11月7日,十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》(下称:《网络安全法》)。《网络安全法》由总则、网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任以及附则共七章七十九条组成,内容十分丰富。作为我国网络安全的综合性立法,它填补法律空白,搭建治理框架,梳理职责权限,明确治理理念,解决突出问题,提供行为依据,完善责任体系,布局制度蓝图,初步构建了我国网络安全法制框架,必将促进我国网络安全保障能力快速提升。《网络安全法》充分体现了我国对网络安全问题本质特点和客观规律的深刻认识,对后续关键基础设施保护、互联网信息服务、个人信息保护等领域的立法具有深刻的导向意义,可谓我国网络安全法治体系的总章程。
谋篇布局
实现全国网络安全“一盘棋”
从目标来看,《网络安全法》立足国内,着眼于三个维度:在国家安全层面,强调网络主权、关键基础设施保护、跨境数据流动、非法信息传播;在产业发展层面,支持和促进网络安全技术和产业发展;在个人权利保护层面,保护个人信息安全和财产安全。《网络安全法》还放眼全球,以法律的形式宣示网络主权和我国的网络空间治理理念和目标,并把网络安全界定在防御而非攻击层面,充分体现维护网络安全的国际责任。
从内容来看,《网络安全法》以综合性立法的形式覆盖关键信息基础设施保护、网络和信息系统安全以及信息安全三个层面,全方位布局网络安全,全过程监测、防御、处置来源于境内外的网络安全风险和威胁,统领网络安全各项工作,具有长远指导意义。《网络安全法》不但对现有制度进行全面整合、完善,还在很多关键制度的设计上实现了从无到有的跨越,如关键信息基础设施保护制度、网络产品和服务的国家安全审查制度等。
从主体来看,《网络安全法》将国家主管部门、网络运营者、网络使用人、网络相关行业组织和社会公众统一纳入治理体系,系统而全面地明确了各主体的权利、义务和责任,充分发动全社会力量,利用各方优势,完善网络空间治理体系,尤其是建立了由国家网信部门负责统筹协调、监督管理工作,国务院电信主管部门、公安部门和其他有关机关在各自职责范围内负责网络安全保护和监督管理工作的治理框架,打破“九龙治水”格局,解决现存的多头管理、职能交叉、权责不一、效率不高等弊端,改变头痛医头、脚痛医脚、各自为营、相互牵制、存盲留白的问题。
从措施来看,除明确网络安全义务和责任外,网络安全法还从战略、标准、研发、行业自律、培训交流、宣传教育等层面进行部署,充分发挥制度外的力量软硬兼施、固本强基。
把握规律
指明网络安全治理“路径”
关键信息基础设施、网络运行和网络信息这三个层面所涉及的价值目标、法律原则、调整对象各有不同,《网络安全法》根据其不同的发展规律选择相应的调整路径。这种治理思路是落实安全和发展同步推进的科学方案,也是对网络社会风险所打破的传统制度体系的重新调整,反映了我国在网络空间治理过程中对互联网发展规律的准确把握。
在关键信息基础层面,基于关键信息基础设施运行安全关系到国家安全、国计民生、公共利益,传统法律所采取事后制裁惩罚网络犯罪行为的措施已不能适应关键基础设施保护的需求,《网络安全法》采取事前防范与过程监管相结合的手段,包括风险预警、信息共享,并对其实行重点保护,除了一般运营者应遵守的义务以外,对关键信息基础设施的运营者设立了更加严格的安全保护义务,对其网络产品和服务采购以及跨境数据转移也提出特殊要求,并且明确由国务院制定专门立法保障关键信息基础设施安全。这样,通过明确网络运营者的事前和事中预防责任结合事后处罚责任建立了关键基础设施安全保护的系统体系。
在网络运行层面,考虑到一般网络运营商多是私营主体且对国家安全和公共利益影响较小,但却是产业发展的中流砥柱,其安全保护义务不为其发展创新增加过重的负担,《网络安全法》对其设置了网络安全防护的“底线”,同时也以“相对安全”理念赋予了其在市场环境中的有限责任,并采取各种激励机制和政策鼓励其技术创新与发展。
在网络信息层面,网络信息安全与传统的表达自由权和个人隐私权等基本权利密切相关,这些个人权利在网络空间中不仅相互冲突,还与社会经济发展、国家安全问题密切交织,模糊了权利的界限,事后民事救济与刑事制裁机制已不足以提供充分保障,行政权力闯入传统法律的保留地带,传统表达自由权受到制约;与此同时,个人信息泄露所带来的危害不在停留在人格权领域,对财产权造成极大的威胁,个人权利范围也相应扩张。《网络安全法》基于对网络信息安全保护问题的准确把握和认识,一方面,给社会公众提供了“知情同意”、“数据泄露通知”等一系列事前事后保障和制度化救济途径保护个人信息,同时把“个人信息”界定为能够单独或者与其他信息结合识别自然人个人身份的各种信息,这种开放式的概念既为个人提供了充分的保护,也避免了保护范围的不适当扩大;另一方面,为表达自由权划定范围、设立红线,禁止传输含有法律、行政法规禁止发布或者传输的信息。
突出重点
把握网络安全“命门”
因核心设备、技术和高端服务严重依赖外国我国关键基础设施防护能力极弱,互联网核心技术成为我们最大的“命门”。《网络安全法》采取发展与管理相结合的方式力求最大限度地把握这一“命门”:一方面,专设一章通过制定标准、加大投入、宣传教育等各种措施支持和促进网络安全技术、服务的创新和发展,改变“命门”受制于人的局面;另一方面,要求网络产品、服务符合相关国家标准的强制性要求,并为网络产品、服务的提供者设立适当的安全保障义务,从源头防范网络安全威胁。这种对安全与发展协调一致、齐头并进的方式是社会信息化持续推进环境下加强国家安全治理的新思路,必将引领我国网络安全治理走向新道路。
问题导向
铲除网络安全“恶疾”
诈骗充斥于网络空间的各个层面,尤其是通信信息诈骗技术手段日益精准、无孔不入,极大地侵害人民群众合法权益,破坏社会和谐稳定,铲除诈骗这一恶疾成为网络治理的当务之急。《网络安全法》以现存突出问题为导向,布置四道防线严防诈骗渗透:
以实行网络实名制作为第一道防线,《网络安全法》明确网络运营者在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。不仅以法律的形式确认电话实名制,对于为打击通信信息诈骗提供源头治理依据,而且比以往的电话实名制范围更广,可以有效抑制诈骗信息在互联网上的传播,打击网络诈骗。
以防止个人信息泄露作为第二道防线。从公民个人信息的收集、保管、出售三个环节防止个人信息的泄露。网络运营者不得收集与其提供的服务无关的个人信息,对其收集的用户信息应严格保密,并且不得泄露、篡改、毁损。任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
以强化防诈骗意识作为第三道防线。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。用户被告知后可增强防范诈骗的意识。
以阻止诈骗信息传播作为第四道防线。明确任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通信群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
掷地有声
守住网络安全“红线”
《网络安全法》不仅为网络安全相关主体设立了明确的权利、义务和责任,更是建立了完整的责任体系。全文共计十六条法律责任,补充处罚依据空白,增加惩罚力度,由警告、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照、拘留等多种处罚方式相互结合织就了网络安全保障体系“罚网”,掷地有声,红线闪亮。针对社会危害程度大、屡禁不止的问题,强化了相应的惩罚力度,个人信息泄露和非法信息传播、在境外存储网络数据或者向境外提供网络数据的罚款上限大幅度提高,并且采取暂停相关业务、停业整顿、关闭网站等较重的处罚,尤其是针对通信信息诈骗,对于设立用于实施违法犯罪活动的网站、通信群组,或者利用网络发布涉及实施违法犯罪活动的信息,对于不构成犯罪的由公安机关处五日以下拘留。另外,还明确了对危害我国关键信息基础设施的境外机构、组织、个人的制裁措施。
《网络安全法》为我国网络法治体系提供基本框架、治理理念和法律依据,开启了我国网络空间治理的新篇章,在其统一布局下,各项网络安全领域的法律将相继推出,主管部门之间的责任分工也将随之明晰,期待网络安全治理的中国方案落地生根、生机盎然。
本文转自d1net(转载)