網絡安全立法走向何方

2015年7月《網絡安全法（草案）》向社會公開征求意見，是我國法治建設事業的一件大事。它是在《國家安全法》新近發布網絡安全條款后的又一舉措，關系到能否“堅持總體國家安全觀”實現建設網絡強國的戰略部署。草案的主要條款都具有良好的制度價值，現實意義毋庸諱言。然而，草案將引領中國網絡安全法治走向何方？這卻是不得不三思的問題。

中國網絡安全法律制度建設由來已久，可以追溯至1994年2月18日國務院頒布《計算機信息系統安全保護條例》。那一部法律文件以計算機信息系統為對象建立安全保護制度，具有奠基石的意義。此后20多年，我國網絡安全法制建設獲得了持續發展，形成了單行法律與關聯法律兩個層次。前者是指名為網絡安全（或信息安全、計算機安全）的專門法律規范，如全國人大常委會頒布的《關於維護互聯網安全的決定》、《關於加強網絡信息保護的決定》等﹔后者是指涉及網絡空間安全的、寬泛意義上的法律法規。

總的來看，我國現有網絡安全法律制度呈現出一個側重於治理網絡犯罪和違法行為的雜亂體系。其根本缺陷之一是，真正法律層級上的規定少,部門規章和地方法規多,條款的可執行性也不好。根本缺陷之二是，禁止性規范多，保護性規范少，即“重管制輕權利”。我國強調信息網絡服務者和網民的責任和義務，而信息網絡權利保障的規定相對欠缺。大量由網絡空間新型權利（如上網權或自由、網絡使用權、虛擬財產權、網絡信息權或數據權、被遺忘權）等得不到法律承認與保護。要改變這種狀況，我國需要推出一部網絡安全的基本法。

其實，頒行相當於基本法或“憲法”的網絡安全法律，是發達國家的新動態。美國一直嘗試著走通這條路。一般認為，美國最早的、真正意義上的網絡安全法是2003年的《聯邦信息安全管理法》（FISMA），那是一部關於政府信息安全管制的法律。2008年，美國總統又頒布了國家綜合網絡安全全面倡議的政策架構。到2010年，美國進入網絡安全立法的密集期，參眾兩院陸續開議《國際網絡犯罪報告與合作議案》、《全球反擊網絡攻擊犯罪之培育議案》、《增強網絡安全犯罪議案》、《國防安全授權議案》、《將網絡空間作為國民資產保護議案》等法律草案。其中影響最大的就是美國《2010年網絡安全加強議案》。《2012年網絡安全議案》、《2014年網絡安全情報分享議案》又先后在國會進行票決。不難看出，美國試圖通過頒行全面的網絡安全“基本法”，將網絡安全納入法律軌道。相比美國的法律難產而言，日本於2014年11月通過了《網絡安全基本法》（Cybersecurity Basic Act），自2015年1月9日起生效。這是一部旨在加強日本政府與民間在網絡安全領域的協調和運用的重要法律。它規定了國家的責任和義務，明確了國家、地方政府、重要基礎設施運營商、網絡相關運營商的聯動方針。誠然，國情不同立法也不同，但網絡安全“基本法”的國際潮流值得我國關注。

就本土資源而言，我國制定網絡安全“基本法”的基礎不是一窮二白，而是蔚為大觀。且不說《刑法》、《民法通則》、《著作權法》、《未成年人保護法》、《治安管理處罰法》等法律中含有大量的網絡安全專門條款，僅就行政規范性文件層面而言就涵蓋了網絡安全治理的方方面面。據不完全統計，截至目前國務院頒布了諸如《計算機信息網絡國際聯網管理暫行規定》等13部相關行政法規，有關部委施行了《信息安全等級保護管理辦法》等62部行政法規，至於地方性法規和地方政府規章更是不計其數。這一現狀決定了我國網絡安全立法的現實選擇是挖掘本土資源，而非移植外法資源。但是，我國也必須避免將現有行政法律規范“提升”為法律的簡單思路。那並不是真正法治意義上的立法，而是為現有或未來的行政執法“背書”﹔制定出來的充其量是“網絡安全條例”，“法”的味道就要差很多。

而遍觀《網絡安全法（草案）》，人們看到了這樣的一種極大可能性。現有條款共計68條，主要涉及與網絡安全相關的國家權力機關、網絡建設運營服務提供商、網絡行業組織、網絡使用者以及其他個人組織等主體，內容涵蓋權力、權利、義務與責任等。簡單列表分析可見，“草案”賦予了國家權力機關10項以上的權力，而其義務、責任條款都隻有一條﹔規定網絡建設運營服務提供商要承擔10項義務、面對10項罰則，其權利條款闕如﹔對於網絡行業組織、網絡使用者以及其他個人組織也是充實其義務。惟一的權利條款是賦予公民的，“有權要求網絡運營者刪除其個人信息⋯⋯有權要求網絡運營者予以更正”（第37條）。至於公民、組織和網絡商的基本權利及其界限，更是語焉不詳。人們很難設想，離開了廣大網民、網絡商等權利主體的主動參與，靠權力主體的監管就能實現網絡空間的安全。特別是在單純的網絡監管弊端重重的情況下，草案給人們呈現了怎樣的海市蜃樓？

近年來我國的網絡安全事件層出不窮，在很大程度上是現行互聯網管理體制存在根本缺陷的體現。人們常說我國網絡安全監管存在“多頭管理、職能交叉、權責不一、效率不高”的問題，難道強化監管機關的權力就能夠解決問題嗎？果真如此，干脆抽調分散在各個部門的網絡安全監管力量、組建一個單獨的“網絡安全部”算了。維護網絡安全，需要的是共同治理！而共治絕不是片面強化網絡提供商、網絡使用者、網絡行業組織以及其他個人組織的責任。它們在網絡空間擁有多大的權利、利益，關系到能否自覺地投身到維護網絡安全的活動中。在中央網絡安全和信息化領導小組第一次會議中,習近平同志曾經指出：“要抓緊制定立法規劃，完善互聯網信息內容管理、關鍵信息基礎設施保護等法律法規，依法治理網絡空間，維護公民合法權益。”不難看出，設定網絡主體的相關權利及其救濟措施，是網絡安全立法不容回避的核心內容。

此外，如何在有效保障網絡主體合法權益的基礎上合理設置監管機關的權力，也是需要斟酌的。國家斷網權是一個典型的例子。草案第50條規定，國務院或省級政府經國務院批准可以“在部分地區對網絡通信採取限制等臨時措施”。該條的限定看似嚴格，然而其缺陷也是顯見的。所謂斷網，斷的就絕對不僅僅是“網絡通信”，它必然涉及到使用網絡的一切活動，也必然影響到千家萬戶的基本生活。它的實質是“限制或剝奪用戶使用網絡”，同上網權、網絡使用權相沖突。立法對此應當確定一個強度不等的措施體系（切斷互聯網是最重的手段之一），豈能用“等臨時措施”這樣的模糊表述一帶而過？

關於這一點，美國早期法律有過原則性的意見，現階段則呈現出截然不同的兩種觀點。美國《1934年通信法》規定，總統有權在戰爭時期接管或關閉有線和無線電通訊。根據有關原則性的解釋，總統似乎有關閉互聯網的權力。然而，《2009年網絡安全法》被提交至國會審議時，其第18條就規定“總統有權在出現威脅國家安全、網絡安全的緊急情況下，關閉關鍵基礎設施網絡”。2011年提交國會審議的《網絡安全和互聯網自由法》則明確“禁止總統或其他官員切斷互聯網”﹔不過，授權總統可以宣布“信息空間的緊急狀態”，在此狀態下政府可以部分接管或禁止對部分站點的訪問。這兩部法案均未獲通過。在我國，關於國家斷網權的公開討論或辯論並不多，但實踐中諸如網絡封鎖、網絡監控、網絡過濾等行為引起了關於限制使用網絡的不小擔心。草案中將該權力賦予國務院或經國務院批准的省級政府，且未明確具體事由與程序。這顯然是會引爆各方力量的質疑。

從權力條款走向權利條款，脫離管制性的“行政條例”走向綜合性的“基本法”，是我國網絡安全立法的方向問題。按照這一示路，《網絡安全法（草案）》必須通過制度設計促進不同網絡主體的共治，且在法律責任條款方面達致起碼的平衡。

（來源：中國信息安全）