6月1日,世所瞩目的《中华人民共和国网络安全法》(以下简称:《网络安全法》)正式施行。作为我国网络安全治理领域的基础性立法,《网络安全法》尤其注重在技术要素、组织管理以及在线内容等诸多层面全方位构筑网络空间的规范设计体系。该法律的施行必将极大地促进信息社会的法治文明建设,对人民大众的工作生活样态产生深远的积极影响,令人怀抱殷切的期待与美好的展望。

《网络安全法》:需要的支持与带来的改变

  一、强化普及面向大众的安全与法治意识教育

  毋庸置疑,作为法律实效保障的核心逻辑之一,民众对《网络安全法》的认识水平和接受程度高低是影响网安法贯彻实施的广度和程度的重要基础条件。

  从全球来看,2017年春,联合国正式启动网络安全与网络犯罪教育计划(Education for Justice,E4J项目),其根本宗旨便是提升各层次主体的安全与法治认知水平,为网络安全和网络犯罪治理提供必要的软环境;而英国国家网络安全中心(NCSC)也在其繁多的职能活动中将公众教育与能力建设作为重要的业务活动。

  事实证明,不同的受众对于立法文本有着不同的关注点。因此,一方面需要在《网络安全法》第19条的指引下,由各级人民政府及其有关部门深入组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作,而大众传播媒介也应当有针对性地面向社会进行网络安全宣传教育。另一方面,也需要国家根据《网络安全法》第20条的规定进一步支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。

  二、理性优化网络安全各部门法间的协调适用

  基于《网络安全法》第74条的明文规定,违反其规定,给他人造成损害的,依法承担民事责任,如果构成违反治安管理行为的,依法给予治安管理处罚,而在构成犯罪的情况下,则应当依法追究刑事责任。从上述规定中可以想见,在该法施行过程中,有关网络安全的各部门法之间的协调适用会成为重要的命题之一。

  特别地,相应刑事责任与行政责任的衔接配套问题会是普遍、持续存在的焦点、热点问题之一。作为示例:

  根据《网络安全法》第69条的明文规范,网络运营者违反该法规定,有下列行为之一的,可能追究行政责任:(1)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施的;(2)拒绝、阻碍有关部门依法实施的监督检查的;(3)拒不向公安机关、国家安全机关提供技术支持和协助的。

  事实上,这与刑法第286条之一规定的拒不履行信息网络安全管理义务罪的典型行为之间存在相当的交集可能性,由此意味着如何准确厘定这一领域行政责任与刑事责任各自的边界是《网络安全法》施行过程中可能经常面对的现实问题。

  对此,需要进一步地厘定规则,尽可能地在网安法实施过程中避免可能产生的刑事责任泛化的不良倾向。正是在此意义上,“两高”近期出台的公民个人信息刑事司法解释以及正在酝酿过程中的网络犯罪司法解释就是极具积极意义的有益尝试。

  三、积极应对中国法与外国法之间的互动博弈

  网络空间的弱边界性使得网络业务活动以及网络安全治理的规范与实践必然呈现程度各异的跨国性色彩。可以想见,《网络安全法》在施行过程中自然也会产生域外溢出效应,对各类境外主体产生规范制约,进而在国际网络治理领域产生显著的域外影响和约束力。

  作为示例,《网络安全法》将“网络运营者”定义为网络的所有者、管理者和网络服务提供者,并且将“个人信息”界定为以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。显然,这些定义决定了法律规范的适用对象能够覆盖各类国内外主体。

  与此同时,外国法对于应当遵循《网络安全法》的外国以及中国主体同样可能造成影响甚至反向制约。可以认为,《网络安全法》正式施行期间,中国法与外国法之间的互动博弈一定会呈现常态化的局面。对此,我们已经看到了各种积极的制度尝试,例如在4月11日公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》中,第15条明确规定我国政府与其他国家、地区签署的关于数据出境的协议,按照协议的规定执行,这便是建构国际博弈机制的重要进路之一。

  因此,我们需要在《网络安全法》施行过程中持续引入更多的制度智慧,在可能的法规冲突的情形下,为不同跨国主体尤其是我国的跨境企业依法开展业务活动提供更为明确、更具操作性的行为指引。

  四、妥善厘定各有权国家机关的执法裁量权限

  随着大数据、云计算、物联网以及人工智能等新一代信息技术的快速发展演进,《网络安全法》的实施面对着极其纷繁复杂的网络技术应用和网络业务生态。

  在这样的经济-技术背景下,负责《网络安全法》实施的国家有权机关保有一定弹性的裁量权限是不可避免的,也是必要的。从美国、欧盟等域外相关实践经验看,其在《2015年网络安全法案》以及2016年《网络与信息系统安全指令》等规范确定的法律框架下,各自通过机制化、系统化的执法、司法判例提高法律施行的可操作性、确定性和可预见性,是比较普遍、相对有效的路径选择。

  因此,在我国网安法施行过程中,除了通过规范配套、规范解释推进相对抽象的有关条文的细化整合工作,同时也需要注意实务判例包括行政执法和司法判例的针对性遴选和系统性优化,尽可能确保权力运行、权力裁量在逻辑层面的一致性和操作层面的透明性,在既定成文规范的图景下最大限度地发挥“活的法律”对普罗大众的行为导向作用。(作者:吴沈括 北京师范大学刑事法律科学研究院暨法学院副教授、中国互联网协会研究中心秘书长)