蓄力一紀 由是始之——《網絡安全法(草案)》評述

千呼萬喚始出來，《網絡安全法(草案)》（以下簡稱草案）終於同公眾見面了。回顧2003年，中辦27號文《國家信息化領導小組關於加強信息安全保障工作的意見》便已提出“抓緊研究起草《信息安全法》”的要求，迄今已十二年整，恰如白駒過隙。古稱十二年為一紀，《國語•晉語四》曰“蓄力一紀，可以遠矣”，但功歸一載，利在千秋。

一、重大歷史進步

網絡安全不是今天才重要，網絡安全立法也不是今天才迫切。十二年前的中央文件曾罕見地以書名號明確了立法任務，可見決心之巨。只是網絡安全立法之路實在艱辛，時國務院信息辦審時度勢，由信息安全條例角度入手，並連續數年推動其列入國務院法制辦二類立法計劃，之后未能再進一步。2008年后，國務院信息辦職能整體劃轉至工業和信息化部，有關方面意識到制定條例未必就比人大立法容易，且國務院行政法規無力調整現行上位法的法律規定，遂決定返回制定信息安全法。然而國民經濟和社會發展頗多領域亟待立法，國家立法資源有限，每個部門允許提出的立法建議屈指可數。工業和信息化部既要考慮信息化立法，還要考慮工業立法，一半指標已不得用，而信息化方向還有一部歷史更為悠久的電信法望眼欲穿，信息安全法終究連個隊都沒排上。期間，人大建議、政協提案不計其數，社會公眾翹首以盼，均無果。

此次草案公開征求意見，表明這項工作進入了實質性立法程序，這是一個重大歷史進步。歡欣鼓舞之所在，不是因為草案具體內容，而源於征求意見本身的象征意義。時至今日，我們對網絡安全立法不是搞清楚、看明白了，而是問題更多、更復雜了，很多觀點分歧可能更大了，網絡安全立法難度不降反升，但突破恰恰在此時。中央網絡安全和信息化領導小組成立后，中央領導同志英明決策，切實將網絡安全提升到了國家安全和發展的高度，不但作出“網絡強國”的全局戰略部署，更扎實推進各項工作取得積極進展。網絡安全宣傳周、網絡空間安全一級學科等，無一不歷經多年論証而蹉跎，今朝方開花結果。

誠然，網絡安全立法工作十分艱巨，草案肯定有這樣那樣的問題，但今天的一小步，是國家網絡安全工作的一大步。我們應該寬容它、呵護它，使其不斷成熟、更加科學，成長為護佑國家網絡安全和信息化發展的參天大樹。

二、彰顯國家意志，確立基本原則

草案在“總則”和“網絡安全戰略、規劃與促進”部分提出的宣示性條款遠較其他法律為多，還設立一條倡導性條款（即“倡導誠實守信、健康文明的網絡行為”）。作為我國網絡安全的基本法，這些“軟性”法律規定確有必要，其意在於宣示國家網絡安全工作的基本原則，明確建設網絡安全保障體系的主要舉措，從而為整體推進保障體系建設提供法律依據。

一是堅持網絡安全和信息化發展並重原則。網絡安全和信息化是一體之兩翼，驅動之雙輪，要堅持以安全保發展、以發展促安全，不能簡單地通過不上網、不共享、不互聯互通來保安全，或者片面強調建專網。要努力實現技術創新和體制機制創新，不斷增強維護網絡安全的新思路、新方法、新舉措、新本領，而不是因噎廢食、自甘落后。

二是提出了網絡空間主權。網絡空間主權是國家主權在網絡空間的體現和延伸，網絡空間主權原則是我國維護國家安全和利益、參與網絡空間國際合作所堅持的重要原則。草案雖未作解釋，且一筆帶過，然猶有石破天驚之意。

三是開展國際合作。網絡安全是全球面臨的共同問題，中國對廣泛開展國際合作持積極態度，合作重點包括但不限於網絡治理、技術與標准、打擊違法犯罪等，目標是推動構建和平、安全、開放、合作的網絡空間。

四是建立統籌協調、分工負責的網絡安全管理體制。多年實踐和各國經驗表明，網絡安全工作離不開統籌協調。隨著中央網絡安全和信息化領導小組的成立，有必要通過立法增強領導小組及其辦公室的權威性。草案規定，國家網信部門負責統籌協調網絡安全工作和相關監督管理工作。具體包括，對監測預警和信息通報、網絡安全應急、關鍵信息基礎設施安全防護等跨部門工作，由網信部門統籌協調﹔對網絡安全審查、重要數據跨境流動安全評估等新出現的綜合性管理工作，由網信部門會同國務院有關部門制定辦法或組織實施。由此，政府向解決分散、多頭和重復管理邁出了關鍵一步。

五是加強行業自律。要充分發揮行業組織作用，指導行業組織成員加強網絡安全防護，促進行業健康發展。

六是強化網絡安全頂層設計。頂層設計至關重要，首先是要制定網絡安全國家戰略，對外宣示主張，對內指導工作﹔其次要由行業主管部門、其他有關部門制定重點行業、重點領域網絡安全規劃，確保戰略落地，確保這些行業和領域的網絡安全工作有目標、有任務、有舉措、有監督。

七是建立和完善網絡安全標准體系，充分發揮標准在網絡安全建設中的指導性、規范性作用。

八是加大財政投入，以加快產業發展，深化技術研發，提升網絡安全創新能力。

九是做好宣傳教育和人才培養工作。首先，要開展經常性的網絡安全宣傳教育﹔其次，要通過學歷教育和在職培訓，採取多種方式培養網絡安全人才。

三、關鍵信息基礎設施保護工作進入正軌

關鍵信息基礎設施保護（CIIP）是各國的通行舉措。雖然關鍵基礎設施保護（CIP）涉及物理設施安全，與前者不完全一致，但兩者在多數情況下已可以混用。CIIP/CIP一直是各國網絡安全戰略的重點，有的國家甚至以CIIP/CIP戰略代指國家網絡安全戰略。我們國家在2003年時已經要求“重點保障基礎信息網絡和重要信息系統安全”，並且在實踐中明確了基礎信息網絡是廣電網、電信網、互聯網，重要信息系統是銀行、証券、保險、民航、鐵路、電力、海關、稅務等行業的系統，即俗稱的“2+8”，相關保護工作也常抓不懈。但整體而言，我們與國外差距很大，已是國家安全的軟肋，草案為此設立了“關鍵信息基礎設施的運行安全”一節。

一是擴展了保護范圍。縱觀世界各國，凡是已經開展了網絡安全建設的國家，其關鍵基礎設施的范圍幾乎都遠超過我們，例如美國有17類，而我們則有很多重要系統尚未納入保護視野。草案首次明確了關鍵信息基礎設施范圍，包括基礎信息網絡、重點行業信息系統、公共服務領域重要信息系統、軍事網絡、地市級以上國家機關政務網絡、用戶數量眾多的網絡服務商系統。最后一類系統中很多由私企運營，運營者可能對其列為國家關鍵信息基礎設施不適應，但當網絡服務商的用戶達到一定規模時，其安全已經不再是企業自身問題，而成為一個公共問題、社會問題甚至國家安全問題，理應承擔更多責任。一些國外機構可能會拿這個做文章，但事實上美國的關鍵基礎設施有87%受私營企業控制。

二是明確了保護要求。等級保護是1994年《計算機信息系統安全保護條例》提出的制度，其對全國各類信息系統提出了分五個等級的通用安全要求。恰恰因為通用，這個要求隻能是基線（即基本要求），其有必要但並不足夠，特別是不足以反映應用模式日趨復雜的異構系統的動態防護需求。此外，保護關鍵信息基礎設施涉及很多工作，不僅僅是提出系統自身的保護要求、加強系統安全建設那麼簡單，還包括一系列的管理工作和公共平台建設，不能由一項制度取代其他制度，理應對此建立專門制度。草案提出，關鍵信息基礎設施安全保護辦法由國務院制定。對於某些重點要求，如網絡安全審查、風險評估等，草案則在具體條款中進行了明確。

三是劃定了保護責任。草案規定了關鍵信息基礎設施運營者的安全保護義務，解決了其保護責任模糊不明的問題。他們有必要從國家安全角度承擔防護責任，但這個責任畢竟是有界限的。大家希望知道做到什麼程度就無責了，也關心自身的權利如何保障。對很多重點行業的信息技術或網絡安全部門來說，這不僅僅是免責的需要，也是推動工作的需要，因為這些內設機構如果沒有強制性依據，很難得到業務部門的配合。此外，以前我國重點行業的網絡安全監管責任也很不明確。似乎誰都可以進入機房檢查，但誰都不用負責，重點行業往往無所適從、疲於應付。為此，草案明確了行業主管部門的監督指導職責，這是一個重要進步。考慮到關鍵信息基礎設施保護的確涉及多個部門，草案授權國家網信部門統籌協調有關部門，建立協作機制。特別是在網絡安全檢查工作中，要杜絕某個部門前腳走，另一部門后腳來的現象。

四、兼具綜合法與專門法的特點

網絡安全包含的內容太多，當前需要立法規范的事項也很多，於是就有了綜合法與專門法的爭議。一個基本事實是，目前世界上鮮見網絡安全的綜合法，有名的美國《計算機安全法》實際上針對的是美國聯邦政府信息系統安全保護，近幾年美國國會討論的《網絡安全法》或《網絡安全增強法》則主要解決關鍵基礎設施的安全保護問題。

作為第一部網絡安全法（《電子簽名法》不應該計算在內），草案首先要體現綜合性，其側重點應該在以下四個方面：

一是要明確部門、企業、社會組織和個人的權利、義務和責任。

二是規定國家網絡安全工作的基本原則和理念。

三是將成熟的政策規定和措施上升為法律，為政府部門的工作提供法律依據，體現依法治國要求。這首先是政府部門的工作需要（如對境外違法信息予以阻斷、實施網絡通信管制等）﹔其次，這些規定和措施往往經過了實踐檢驗，部門間爭議較小，有利於提高立法效率。

四是建立國家網絡安全的一系列基本制度、形成制度框架，這些基本制度帶有全局性、基礎性，是推動基礎性工作、夯實基礎能力所必需。

此外，為了突出實用性，草案還應部分體現專門法的特點。這應從三個方面去考慮：

一是實施重點防護，對關鍵信息基礎設施、網絡信息內容等重點安全關注予以優先考慮。

二是防范重大威脅。例如，信息系統安全受控於人是我們面臨的心腹大患，斯諾登事件使我們進一步看清風險所在，這就要對供應鏈安全進行規范。

三是對普遍性、長期存在的社會訴求予以響應。

總體看，草案比較好地處理了綜合法與專門法的關系問題，但個別條款還是過於糾結細枝末節（如網絡運營者的分項安全保護義務不必展開），或細致到了足可取代部分專門法的地步（如個人信息保護應制定專門法，原有條款似可刪減后將重心轉向規范信息內容安全）。除了個人信息外，草案沒有突出對公民個人權益的更多保護，如對危害網絡安全行為的舉報並不是為了解決公民作為受害者“報案無門”的困窘，這不能不說是小的遺憾。

五、重大制度性設計還應有更全面考慮

立法的重要目的之一是提出重大制度性設計。但凡重大制度性設計，必經過深入研究論証，具備充分可行性並取得高度共識后方可寫入法律條文。全國人大的起草說明中指出，草案的起草堅持問題導向，對一些確有必要，但尚缺乏實踐經驗的制度安排做出原則性規定。這一處理十分務實、有益，但對於什麼是“原則性規定”則要仔細琢磨。一般而言，側重於“目標”或“效果”的描述可視為“原則性規定”，但側重於“手段”的描述很可能會限定具體實施方式，超出了“原則性規定”。例如“實名制”要求，其目的是為了使行為主體可追溯，但這一定需要信息服務提供者去驗証用戶真實身份嗎？這條規定似可更原則性一些。

立法不是協調部門間分歧的手段。反之，部門間協調一致反而是立法的前提條件。對於在部門間長期爭議的事項，在寫入法條時需要十分謹慎。例如，我國曾試圖建立統一的信息安全產品認証認可體系，以解決重復檢測、重復收費問題，其結果是沒有減少任何一張証書，反而是新成立的統一認証機構又多發了一張証書。草案提出“安全認証和安全檢測結果互認”，這反映了產業界的長期訴求，但短時間內很難實現，且有可能引發新的WTO貿易問題。

六、“網絡安全”的定義還可以更為妥帖

“網絡”和“網絡安全”是“網絡安全法”的題眼。但草案給出的這兩個定義卻使整篇草案黯然失色，效果有雲泥之別。近年的工作中，我們用過“信息安全”，也用過“網絡安全”，學者們各抒己見，一些部門也喜歡朝向有利於自身職能的角度去解釋，這些自不待言。但中央網絡安全和信息化領導小組成立后，已經基本將其統一為“網絡安全”。當然，國安委還是使用“信息安全”，《國家安全法》使用的是“網絡與信息安全”，但這些已不會造成工作上的障礙。

只是這個“網絡安全”實是“Cyber Security”之譯，非“Network Security”。這裡面的“網絡”其實指的是“網絡空間”（Cyberspace）。因此，當草案試圖從“網絡空間”的內涵上去解釋“網絡”時，便挑戰了大眾的科技常識底線，且出現了“網絡是指網絡和系統”的尷尬。當然，如果就這麼用下去，倒也自成一脈，但草案轉眼就去使用狹義的“網絡”了，如“建設、運營、維護和使用網絡”、“網絡基礎設施”、“網絡數據”、“網絡接入”等，這裡都是指的“network”。由此，草案中頻繁出現自己與自己打架的情況。

而草案中的“網絡安全”定義也需修改。現有定義不但丟掉了信息內容安全，更是與“網絡空間主權”沒有關聯。

解決這個問題的途徑是，網絡就是網絡，不要讓網絡去包括信息系統。即，自始至終使用傳統意義上的“Network”概念。對關鍵信息基礎設施，既要包含基礎信息網絡，也要包含重要信息系統，而不是以“網絡”統稱。對於“網絡安全”，則按“網絡空間安全”去解釋即可。

七、對《網絡安全法（草案）》的討論應更加科學務實

草案公布后引起了全社會的強烈關注，掀起了網絡安全立法討論的熱潮。這對推動《網絡安全法》盡快出台、提升全社會網絡安全意識無疑是十分重要的。隨著《網絡安全法》在后續階段進入人大二讀、三讀階段，社會上還會有更多、更專業的討論。為了更充分地發揮專業討論的建設性作用，同時也是為了使公眾更好地理解《網絡安全法》，建議有關討論應更加科學務實。

一是不要把“網絡安全”等同於“互聯網安全”。互聯網是個新生事物，其管理問題很有挑戰性，涉及面也很廣，互聯網立法研究因此一度佔據我國信息化立法的舞台，這方面涌現出了一大批專家。目前很多專家把《網絡安全法（草案）》放到互聯網法律體系中去討論，這顯然是片面的。《網絡安全法》是解決網絡空間的安全問題，既針對互聯網，還針對其他網絡、各類信息系統﹔既涉及網上信息內容的管理問題，也涉及網絡與信息系統的安全可靠運行問題。事實上，互聯網安全管理並不是《網絡安全法》的重點，這方面的行政法規、政策已經很多，《網絡安全法》要補充行政法規疏漏的內容，為我們的很多互聯網管理措施（例如對境外違法信息的封堵）提供法律依據。除此之外，《網絡安全法（草案）》更多地則關注了網絡空間安全基礎性工作和信息系統的安全防護。

二是要把對《網絡安全法（草案）》的建議與對我國網絡安全立法體系的建議區分開，不要期望一個法解決所有問題。很多專業討論都認為草案內容有缺失。例如，一些專家認為草案太多體現了“管”，行政色彩太濃﹔還有些專家認為草案距離美國的立法理念太遠，沒有闡明軍隊的角色。這些建議，更多的是對我國網絡安全立法工作的期望，但這些期望很難在第一部法中完全體現。畢竟，工作有緩急之分，《網絡安全法》應該解決最緊迫的問題、最可能解決的問題。

三是要把法同戰略、政策區分開。法同戰略、重大政策同屬頂層設計，但作用卻完全不同。最近的網絡安全法討論中，一些研究者喜歡以美國為對標，但剖析的對象很多不是美國的法律文本，而是戰略甚至技術規范，於是乎入手失之毫厘、結論謬以千裡。但是對於美國國會的網絡安全立法工作，國內卻少有深入研究。例如，美國這十年間究竟出台了什麼網絡安全法？其網絡安全法歷次闖關失敗的真實原因是什麼？立法研究與戰略研究是不同的領域，兩者密切關聯，但不可混為一談。

四是充分尊重起草者的意圖。網絡安全是嶄新的研究領域，自然成了各種理論、理念誕生的溫床。但網絡安全也是一門實踐性很強的科學，不能總是搞成哲學甚至玄學。網絡安全立法是為了解決問題，不是為了制造新理論。當條條大路通羅馬時，如果起草者的道路沒有問題，評論者就應當充分尊重起草者的意願，而不是一定要提出一條新的道路，否則無益於《網絡安全法（草案）》的修改。例如，《網絡安全法（草案）》的立法目的涵蓋了國家安全、公眾利益、公民和組織權益等三個方面，考慮了新引入的網絡空間主權概念，強調了安全的最終目的是促進發展，這個立法目的應該是全面和清晰的。但很多評論者還提出了很多新的表述方法，這僅是角度不同而已。

（來源：中國信息安全）