《网络安全法》的立法定位、立法框架和制度设计

如何应对网络安全威胁已是全球性问题,国际网络安全的法治环境正发生变革,美欧等网络强国纷纷建立全方位、更立体、更具弹性与前瞻性的网络安全立法体系,网络安全立法演变为全球范围内的利益协调与国家主权斗争,有法可依成为谈判与对抗的必要条件。2015年《中华人民共和国国家安全法》和《中华人民共和国反恐怖主义法》相继通过;2015年7月,作为网络安全基本法的《中华人民共和国网络安全法(草案)》第一次向社会公开征求意见;2016年11月7日,全国人大常委会表决通过了《网络安全法》。立法的迅速推进源自我国面临国内外网络安全形势的客观实际和紧迫需要,标志着我国网络空间法制化进程的实质性展开。

科学的立法定位是搭建立法框架与设计立法制度的前提条件。立法定位对于法的结构确定起着引导作用,为法的具体制度设计提供法理上的判断依据。

第一,该法是网络安全管理的法律。《网络安全法》与《国家安全法》《反恐怖主义法》《刑法》《保密法》《治安管理处罚法》《关于加强网络信息保护的决定》《关于维护互联网安全的决定》《计算机信息系统安全保护条例》《互联网信息服务管理办法》等法律法规共同组成我国网络安全管理的法律体系。因此,需做好网络安全法与不同法律之间的衔接,在网络安全管理之外的领域也应尽量减少立法交叉与重复。

第二,该法是基础性法律。基础性法律的功能更多注重的不是解决问题,而是为问题的解决提供具体指导思路,问题的解决要依靠相配套的法律法规,这样的定位决定了不可避免会出现法律表述上的原则性,相关主体只能判断出网络安全管理对相关问题的解决思路,具体的解决办法有待进一步观察。

第三,该法是安全保障法。面对网络空间安全的综合复杂性,特别是国家关键信息基础设施面临日益严重的传统安全与非传统安全的“极端”威胁,网络空间安全风险“不可逆”的特征进一步凸显。在开放、交互和跨界的网络环境中,实时性能力和态势感知能力成为新的网络安全核心内容。

二、立法架构:“防御、控制与惩治”三位一体

在上述背景下,传统上将风险预防寄托于惩治的立法理念面临挑战。为实现基础性法律的“保障”功能,网络安全法需确立“防御、控制与惩治”三位一体的立法架构,以“防御和控制”性的法律规范替代传统单纯“惩治”性的刑事法律规范,从多方主体参与综合治理的层面,明确各方主体在预警与监测、网络安全事件的应急与响应、控制与恢复等环节中的过程控制要求,防御、控制、合理分配安全风险,惩治网络空间违法犯罪和恐怖活动。

法律界定了国家、企业、行业组织和个人等主体在网络安全保护方面的责任,设专章规定了国家网络安全监测预警、信息通报和应急制度,明确规定“国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、入侵、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序”,已开始摆脱传统上将风险预防寄托于事后惩治的立法理念,构建兼具防御、控制与惩治功能的立法架构。

三、制度设计:网络安全的关键控制节点

美国大法官霍姆斯说过“法律的生命不在于逻辑,而在于经验”。无论从霍姆斯时代出发,还是从网络社会领域来探索,在“坚持问题导向”的立法原则下,经验之于网络安全法的作用比逻辑更加根本,更加精髓,更加有推动力。全国人大发布的《关于〈中华人民共和国网络安全法(草案)〉的说明》明确表示,“该法将近年来一些成熟的好做法作为制度确定下来”。

《网络安全法》关注的安全类型是网络运行安全和网络信息安全。网络运行安全分别从系统安全、产品和服务安全、数据安全以及网络安全监测评估等方面设立制度。网络信息安全规定了个人信息保护制度和违法有害信息的发现处置制度。法律制度设计基本能够涵盖网络安全中的关键控制节点,体系较为完备。除了网络安全等级保护、个人信息保护、违法有害信息处置等成熟的制度规定外,产品和服务强制检测认证制度、关键信息基础设施保护制度、国家安全审查制度等都具有相当的前瞻性,成为该法的亮点。从制度具体内容来看,部分规范性内容较为细化,打破了传统“原则性思路”的束缚,具有较强的可操作性。

《网络安全法》规定了网络安全等级保护、关键信息基础设施安全保护、网络安全监测预警和信息通报、用户信息保护、网络信息安全投诉举报等制度,以及网络关键设备和网络安全专用产品认证、关键信息基础设施运营者网络产品和服务采购的安全审查、关键信息基础设施运营者信息/数据境内存储、关键信息基础设施运营者信息/数据境外提供安全评估、关键信息基础设施运营者年度风险检测评估、网络可信身份管理、建设运营网络或服务的网络安全保障、网络安全事件应急预案/处置、漏洞等网络安全信息发布、网络信息内容管理、网络安全人员背景审查和从业禁止、网络安全教育和培训、数据留存和协助执法等制度。可以看出,一部切合网络安全战略,关注技术、管理与规范的网络安全保障基本法,由十多套(部)配套制度共筑框架的法律体系已悄然成型。

四、重中之重:关键信息基础设施安全保护办法

关键信息基础设施保护制度是网络安全法若干制度设计的核心之一。近年来,世界主要国家和地区都陆续出台了国家层面的关键信息基础设施保护战略、立法和具体的保护方案。以美国为主的西方国家都将关键信息基础设施的保护视为网络安全的最核心部分。

《网络安全法》在“网络运行安全”一般规定的基础上设专节规定了关键信息基础设施保护制度,首次从网络安全保障基本法的高度提出关键信息基础设施的概念,并提出了关键信息基础设施保护的具体要求。

第一,《网络安全法》中明确界定了关键信息基础设施概念的本质,即“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”,并规定关键信息基础设施的具体范围由国务院另行制定。这表明,作为网络安全领域的基本法,应当尽可能确保网络安全法的稳定性而不宜进行过于细化的条款设定这一立法需求。而关键信息基础设施的范围将基于国家安全和社会运行的风险评估进行不断调整,即其认定范围遵循动态调整机制。

第二,关键信息基础设施安全保护办法是《网络安全法》中预留接口的下位法,也是法律中唯一明确规定“由国务院制定”的行政法规。我国关键信息基础设施法律制度在法律调整的社会关系及调整对象上更具复杂性。政治、法律传统等国情的差异导致我国关键信息基础设施保护制度的构建不能简单照搬外国的经验,应坚持国内经验总结和国外经验借鉴,建立符合我国国情且具有较强可操作性的关键信息基础设施保护制度,同时也科学合理地推动网络安全等级保护制度的演进与变革,有效融合等级保护评测和关键信息基础设施的风险评估等,实现制度间的互补和融合,降低关键信息基础设施运营者的守法成本和行政执法成本。

第三,为了鼓励网络运营者自愿参与国家关键信息基础设施保护体系,促进网络运营者、专业机构和政府有关部门之间的网络安全信息共享,并加强对这些信息的保护,《网络安全法》规定,“国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系;国家网信部门和有关部门在关键信息基础设施保护中取得的信息,只能用于维护网络安全的需要,不得用于其他用途。”这在一定程度上鼓励了网络运营者,尤其是承担重要社会职能的网络运营者能够利用其自有的技术能力和资源优势更加积极地投入关键信息基础设施保护的工作中,促进政府和企业双方共同保障关键信息基础设施安全运行。

五、结语

网络安全法对维护网络空间主权,规范网络安全实践,指导下位法的制定完善等意义重大,影响深远。为持续推动我国网络空间的法制化发展进程,落实顶层设计,一方面亟需有效梳理基础性法律与现行法律法规之间的关系,开始部门、地方立法和政策的制定、调整和完善工作;另一方面也亟需出台系列配套规定,不仅包括《关键信息基础设施安全保护办法》等下位法的制定,也包括更为详细的制度规定、具体行业的网络安全规划和网络安全标准体系等,实现与基础性法律的有效衔接。

本文转自d1net(转载)

时间: 2024-10-27 00:24:44

《网络安全法》的立法定位、立法框架和制度设计的相关文章

网络安全法草案二审 “互联网+”立法加速

备受关注的网络安全法草案在十二届全国人大常委会第二十一次会议上迎来第二次审议. <人民日报>报道称,草案二审稿进一步强化国家的责任和公民.组织的义务,加强关键信息基础设施保护,协同推进网络安全与发展,切实维护国家网络主权.安全和发展利益. 中国互联网协会互联网法治工作委员会委员丁道勤介绍,草案建立了关键信息基础设施安全保护的三大制度:关键信息基础设施运行安全保护制度.重要数据境内留存,以及网络产品和服务的安全审查制度. 相比于一审稿,草案在安全保护的主体.范围.措施等方面均进行了"扩

网络安全法解读:开启我国信息网络立法进程

11月7日,十二届全国人大常委会第二十四次会议表决通过了<中华人民共和国网络安全法>.中国社会科学院法学研究所研究员.中国法学会互联网与信息法学研究会副会长周汉华今日接受正义网记者专访时表示,该部法律是国家安全立法体系的重要组成部分,开启我国信息网络立法进程. 北京师范大学副教授吴沈括同样认为,<网络安全法>的制定出台,是贯彻落实网络强国战略的重要一环,将有力地促进并服务于"互联网+"行动和网络强国战略的进一步实施.对于完善我国在网络空间的规范治理体系具有基础性

《网络安全法》和云等保框架下,企业如何为安全掌舵?

还有两个月时间,<中华人民共和国网络安全法>就要正式实施.<网络安全法>首先对"网络(Cyber)"进行了重新定义,是指"由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集.存储.传输.交换.处理的系统",而"网络安全(Cyber Security)",是指"通过采取必要措施,防范对网络的攻击.侵入.干扰.破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性.

《网络安全法》对管理体制影响几何?

与其他传统领域相比,互联网领域监管可称得上是"蛮荒之地",因为互联网的发展只在近20年左右才进入高速阶段,许多监管.治理手段都是后知后觉地根据已出现的问题进行后期补充. 11月7日,我国通过<网络安全法>,此次<网络安全法>破除重重障碍.拨云见日,高举"依法治国"大旗,开启了"依法治网"的崭新局面,成为"依法治国"顶层设计下一项共建.共享的路径实践."依法治网"成为我国网络空间治理的

《网络安全法》:网络安全法治体系的总章程

11月7日,十二届全国人大常委会第二十四次会议表决通过了<中华人民共和国网络安全法>(下称:<网络安全法>).<网络安全法>由总则.网络安全支持与促进.网络运行安全.网络信息安全.监测预警与应急处置.法律责任以及附则共七章七十九条组成,内容十分丰富.作为我国网络安全的综合性立法,它填补法律空白,搭建治理框架,梳理职责权限,明确治理理念,解决突出问题,提供行为依据,完善责任体系,布局制度蓝图,初步构建了我国网络安全法制框架,必将促进我国网络安全保障能力快速提升.<网

《网络安全法》年内或出台给数据装上“安全阀”

随着大数据技术给人们生活带来巨大变革的同时,数据安全问题也日益凸显. 有相关人士表示,互联网金融行业存在很大的安全隐患,客户信息泄露.支付漏洞.恶意攻击等为云平台的普及带来了新的威胁.在快速发展的互联网时代,数据安全越来越突出,成为人们最为关心的焦点. 根据监测平台数据显示,从2014年至2015年8月对P2P行业漏洞数量统计显示,高危漏洞占56.2%,中危漏洞占23.4%,低危漏洞占12.3%,其中8.1%被厂商忽略.除了系统安全漏洞,黑客攻击技术的升级仍然是网络安全最大的隐患.2016年5月

网络安全法草案

十二届全国人大常委会第十五次会议2015年6月24日审议了网络安全法草案.草案共7章68条,从保障网络产品和服务安全,保障网络运行安全,保障网络数据安全,保障网络信息安全等方面进行了具体的制度设计,包括赋予相关主管部门处置违法信息.阻断违法信息传播的权力,对网络安全监测预警和应急制度作出了规定,要求发生网络安全事件时,县级以上政府有关部门应当立即启动网络安全事件应急预案,及时向社会发布与公众有关的警示信息. "没有网络安全就没有国家安全",习近平总书记在中央网络安全和信息化领导小组第一

保障公民网络空间权益是网络安全立法重要内容

近日,<网络安全法>已经全国人大常委会审议通过.法律界定了关键信息基础设施范围,对攻击.破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施等.此外,针对当前通讯信息诈骗特别是新型网络违法犯罪呈多发的态势,<网络安全法>规定:任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品.管制物品等违法犯罪活动的网站.通讯群组,不得利用网络发布与实施诈骗,制作或者销售违禁物品.管制物品以及其他违法犯罪活动有关的信息,并增加规定相应的法律责任. 习近平总书记在主持中共中

网络安全法获通过:不是限制国外技术、产品进入的贸易壁垒(附全文)

网络安全已经成为国际社会普遍关注的问题,截止目前有70多个国家发布了<网络安全战略>,今日,中国第一部有关网络安全的法律诞生.在上午的十二届全国人大常委会第二十四次会议上,会议表决通过了<网络安全法>,该法将于2017年6月1日起施行. 在会后全国人大常委会办公厅召开的新闻发布会上,全国人大常委会法工委经济法室副主任杨合庆总结了<网络安全法>六方面的突出亮点:第一,网络安全法明确了网络空间主权的原则.第二,明确了网络产品和服务提供者的安全义务.第三,明确了网络运营者的安