网络安全怎么确保?靠制度设计有用吗?

[可以考虑学习一下欧盟,欧盟在个人信息保护新规当中,设定的法律责任是说,最大的罚款可以到上一年度营业额的4%。]

算起来我也应该是有20年网龄的互联网老兵了。我们的网络安全法,虽然以前没有叫这个具体的名字,却一直是互联网法律圈内大家重点研究关注的对象。今天谈一点思考。

我读网络安全法二审稿时有一个疑问,这几年发生了那么多网络上的事件,如果按照现在的网络安全法,能不能对这些事件有一个相应的预防或是制裁、应对?

实际上网络这个领域,现在的学术研究跟过去不一样,过去学术刊物有很高的编辑门槛,有人把关。识别专家的简单做法就是看论文专著,或者更简单点看什么权威研究机构的职称。现在自媒体也有了,任何一个人,哪怕是昨天刚进入这个领域的,今天开了一个会,马上晚上就可以写一篇文章发到微信上,也许明天就成为了“十万+”的文章。但他对这个问题的研究真的到位吗?不见得。

确立网络安全特定情况下的域外效力问题

我想谈的第一个问题是,确立网络安全特定情况下的域外效力问题。

像斯诺登事件,在我们的网络安全法中应总结出怎样的经验教训,然后落实成制度设计反映到我们的网络安全法中?我认为对于类似斯诺登事件这样的应有所体现,当然要看出这一点,可能需要经过“翻译”的过程,这实际上就是中国的网络安全法是不是要有域外的效力问题。

通常来说,任何一个主权国家的法律是不能有域外效力的。但在少量的法律当中,比如反垄断法或者说竞争法中是有域外效力的。而美国常常通过长臂管辖,尽量让它的法律具有管辖权。

为什么要这样做?因为现在是全球化的时代,尤其是互联网时代,网络上并没有物理上的边境线。如果没有相关的法律规定,我们除了声讨以外几乎没有任何办法。我们要采取法律行动的话,是必须要有明确的法律依据的。

我们现在起草的很多法律文件不是律师的思维,也不是法官的思维,而是国内语境下的政策思维,它的前瞻性、法律层面的操作性有欠缺,针对具体问题的内容,尤其是采取什么行动,落实到第几条第几款,往往没有做到。

同时,今天的国际环境下,要采取一个措施,还必须讲出国际上可以让人接受的道理来,否则难免受到攻击。借鉴对外贸易法曾经有类似的规定,如果其他国家对我们国家采取歧视性的贸易措施,我们是可以采取对应措施的。那么在我们的网络安全法当中能不能也落实这样一条?如果有人在境外采取侵害我国权益的网络技术措施(类似美国对全球的监控)或是歧视性的法律措施,中华人民共和国也可以采取对等行为。

如何建立管辖连接点

第二个问题,如何建立管辖连接点,让中华人民共和国境内的利益或中华人民共和国公民受到损害的时候,能够启动司法程序,维护国家和人民的利益。

中国经常大量受到网络攻击,我们应做哪些反思?有没有这个本事查出攻击者?如果有这个本事,那么我们哪个机关采取行动,怎么确定管辖?建议在法律当中形成制度,如果境外或海外其他机构,对中华人民共和国境内机构或中华人民共和国的公民采取了非正常法律行动或实施了犯罪,中华人民共和国被害人所在地的有管辖权的机关,或者被害人不明确的,由公安部指定的机关行使管辖权,以采取针对性的法律行动。

关键是,我们现在的管辖连接点一般是属地原则,在哪里信息被偷了,到属地公安机关报案。如果行为主体来自境外,没有哪个公安机关受理报案。而且目前侦查机关启动程序几乎完全靠举报,如果没有具体被害人、没有人举报,我们应该怎么做?这些问题都需要明确。

利用规则设置引导市场主体博弈

第三,网络立法从技术上要有这样的思想,也是经济学上的博弈论的应用,利用规则设置来引导市场主体的博弈行为。

这方面我们其实不乏成功的先例。比如劳动合同法出台之前,企业不签书面劳动合同的情况大量存在。由于劳动合同法规定不签订书面劳动合同要赔偿一年的双倍工资,现在不签书面劳动合同的企业已经大量减少。

我曾提出目前我们的主要困难在于技不如人,客观上需要依赖别人的技术,那么怎么通过制度设计避免他人隐藏后门、漏洞,以防其在可能的关键时刻对我们进行攻击呢?我认为只有审查制度还不够,应增加法律责任倒逼企业守法,即规定在中国销售的网络软硬件产品,应当保证不存在隐瞒漏洞、后门或其他重大风险;销售后发现漏洞或其他风险的,应当立即报告,违反上述规定的,按照上年度营业额的一定比例给予罚款,并且可以限制其在一定年限内在中国市场销售。

虽然面对网络乱象,许多媒体在呼吁加强监管,现在实际上在网上,再实施那么严密的控制已不太现实,技术上也不许可。

这当中,国家怎么去支持网络公共管理,值得讨论。公共管理思路可否改一改,不再像过去一样,什么事情都由政府去做?注重制度建设,这在国家来说就是法律。法律制定好以后,让企业去实施,哪个企业要做相关的生意就要把相关的事情管起来。

笔者发现这次二审稿中有两条已经注意到了这一点。比如一到十倍的违法所得作为罚款,这跟以前的法律比有很大进步,但仍有问题。也被一些人指责为变相鼓励企业违法。可以考虑学习一下欧盟,欧盟在个人信息保护新规当中,设定的法律责任是说,最大的罚款可以到上一年度营业额的4%。对于任何财大气粗的公司,这都是一个非常巨大的数字。而之前在我国只有反垄断法才有上一年度营业额的1%~10%这样的大额罚款金额。正因为有这样的罚款风险,现在所有的企业只要谈到欧盟的数据法规的时候,基本上都非常恐惧。

当然罚款不是最好的方法。我们还要注意另外一个层面的问题,中国的确面临行政层级多、执法机关多的问题,并且也不能给行政执法机关太大的权力,否则也会坏事。

面临这样两难的情况怎么办?笔者建议推行递进式惩罚性的赔偿。第一次被认定违法,可以按照现在这个五十万元罚;再不改,一次一次加重,加重到你赔不起为止。再有,企业非常担心有关部门随意索取数据,如果一个执法人员来让你把公司全部数据拷给他,他带着一封介绍信,是不是经过局长批还不清楚,就要把企业的这些数据都拿走,企业给还是不给?所以我们有必要在相关的立法中完善这样的程序,要依法办案,手续齐全。

====================================分割线================================

本文转自d1net(转载)

时间: 2024-10-16 16:26:16

网络安全怎么确保?靠制度设计有用吗?的相关文章

《网络安全法》的立法定位、立法框架和制度设计

如何应对网络安全威胁已是全球性问题,国际网络安全的法治环境正发生变革,美欧等网络强国纷纷建立全方位.更立体.更具弹性与前瞻性的网络安全立法体系,网络安全立法演变为全球范围内的利益协调与国家主权斗争,有法可依成为谈判与对抗的必要条件.2015年<中华人民共和国国家安全法>和<中华人民共和国反恐怖主义法>相继通过:2015年7月,作为网络安全基本法的<中华人民共和国网络安全法(草案)>第一次向社会公开征求意见:2016年11月7日,全国人大常委会表决通过了<网络安全法

对Web设计有用的10组免费漂亮的图标

图标,使用在正确的位置,正确的选择,可以充分表达出思想和信息.漂亮的有品位的图标,可以帮助Web开发者的设计更能吸引用户的注意. 下面是10组,免费并且漂亮的图标,希望能让你的Web设计增辉! Iconic Iconic由136个高度灵活性的图标组成,具有不同的颜色和5种不同的尺寸(8×8, 12×12, 16×16, 24×24 & 32×32).Iconic也包括PNG, SVG, SWC, OFT/TTF/EOT和Omnigraffle stencil多种格式. Coquette Icon

商务部将加快走出去战略制度设计

商务部副部长王超6日在第四届中外跨国公司CEO圆桌会议上表示,作为实施"走出去"战略的主管部门,商务部将加快进行制度设计和政策制订,做好战略规划和宏观指导. 王超表示,尽管这些年来中国对外投资合作发展较快,但总体来看,中国"走出去"仍处于起步阶段.2009年,中国对外直接投资存量仅占全球存量的1.3%,中国企业距真正意义上的跨国公司还有很大差距. 王超表示,商务部将重点做好以下三个方面的工作. 第一,加快进行制度设计和政策制订,逐步完善"走出去"

促进大数据应用发展的制度设计

促进大数据应用发展的制度设计 魏凯  工业和信息化部电信研究院 2013中国大数据技术大会 促进大数据应用发展的制度设计

专家解读网络安全审查:审查制度出台乃顺势而为

原标题:网络安全审查乃 顺势而为制图:李姿阅22日,国家互联网信息办公室发布消息称,我国将实行 网络安全审查制度.为什么要出台此项制度?网络安全的审查范围和标准是什么?这对信息产业和个人信息安全将产生哪些影响?网络空间是新形势下维护国家安全的又一重要领域"如今,网络空间已经成为继海.陆.空.天之后的第五空间,成为新形势下维护国家安全的重要领域之一."工业和信息化部电信研究院副院长刘多 认为,如今,关键网络基础设施已成为网络武器攻击的主要目标,并可能引发极为严重的灾难性后果.因此,当前中

加强网络安全治理亟需法律制度发力

无论是从观念上还是从机制上,包括许多政府部门和互联网企业在内,全社会对公民个人信息安全的保护并不到位,尤其是对重要网站.数据库和关键基础设施信息系统缺乏有力的网络安全审查与保护机制.(新华网 9月5日) 当前,面对网络技术的飞速发展,一些不法分子利用电信进行诈骗,其手段变化多端,方式层出不穷,对个人生命财产带来严重的威胁,对整个社会造成了严重的困扰.最近轰动全国的"徐玉玉案"更是让我们对电信诈骗恨之入骨,因此,加强网络安全治理,亟需法律制度发力. 发挥政府的主导作用.要加强网络安全管理

创业板投资制度设计旨在保护投资者利益

中国证监会8日就创业板投资者适当性管理暂行规定向社会公开征求 意见,深圳证券交易所和中国证券业协会也分别发布配套文件.备受关注的创业板市场"投资者门槛"问题终于有了明确答案. 与此前市场的传言不同,监管层对创业板的投资者并没有设置资金门槛.实际上,在此次规定当中,"准入"的概念已经淡出,而是突出了"保护投资者利益"的理念. 根据深交所公布的创业板市场投资者适当性管理实施办法,具有两年以上(含两年)交易经验的自然人投资者可以申请开通创业板市场交易,

从制度上保障网络安全的根本

我们目前所处在一个网络时代,社会经济的各个方面.人们的生产和生活方式都极度地受其影响和改变.随着网络和信息技术迅猛发展和日益革新,网络安全问题也逐渐凸显.网络入侵.网络攻击,非法获取.泄露甚至倒卖公民个人信息,宣扬恐怖主义.极端主义等,这些都严重危害了公民个人利益.国家安全以及社会公共利益.可以看出,网络安全已成为关系国家安全和发展,关系人民群众切身利益的重大问题. 党的十八大以来,党中央从总体国家安全观出发,就网络安全问题做出了一系列重要举措,加强网络安全方面的立法,目前<中华人民共和国网络安

个人信息泄露,背后竟有“内鬼”作祟,堵上网络安全漏洞

随着移动互联网.大数据.云计算等信息技术的普及和发展,个人与社会.私域与公域.虚拟与现实的边界变得越来越模糊. 大到维护国家安全,小至保护个人信息,网络治理不是一个部门.一个机构能够完成的任务,而是需要齐抓共管.形成合力. 重要基础设施,要能防得住 今年5月,"永恒之蓝"勒索病毒爆发并肆虐全球时,便有专家提出:"倘若病毒攻击上海的轨道交通等重要基础设施,我们能不能防得住?" 关键信息基础设施,指的是面向公众提供网络信息服务或支撑能源.通信.金融.交通.公用事业等重要