《網絡安全法》的宏觀立法思路與具體制度設計

編者按：出台《網絡安全法》是黨和國家針對網絡安全的戰略舉措。要使其成為國家網絡空間治理的基本遵循，就必須在立法思路和具體設計上高度把握全局性、戰略性和實踐性要求。立法思路應戰略統籌，立足國家安全把握立法重點，立足國內和國外經驗相結合把握立法范圍，立足公共和私營部門把握監管框架，立足安全與發展把握監管標准，立足國際合作把握國際規則。具體制度設計應抓住核心重點，突出解決國家安全，充分落實關鍵基礎設施保護制度﹔突出綜合應對網絡安全挑戰，建立網絡安全信息共享制度。從而在全局和細節兩個方面，充分發揮《網絡安全法》在國家治理體系和治理能力現代化以及全球互聯網治理體系變革中的關鍵作用和重要價值。

制訂《網絡安全法》具有重大意義，是全面落實黨的十八大和十八屆三中、四中全會相關決策部署的重大舉措，是我國第一部針對網絡安全起草的專門性綜合性立法，提出了應對網絡安全挑戰這一全球性問題的中國方案。此次立法進程的迅速推進，顯示了黨和國家對網絡安全問題的高度重視，對我國網絡安全法治建設來說是一個重大的戰略契機。在《網絡安全法（草案）》（以下簡稱“草案”）二次審議之際，針對草案提出以下幾點思考和建議。

一、明確宏觀立法思路

網絡安全是指保護網絡信息系統及其所存儲和傳輸的信息數據不受非法行為的威脅和侵害。網絡安全法立法的基本思路，筆者認為可以從如何應對網絡安全風險入手進行思考，主要包括預防威脅、填補漏洞、應對危害、風險信息共享四個方面。根據這一思路，結合習總書記在網絡安全和信息化工作座談會上講話（以下簡稱“講話”）的重要精神，在宏觀立法思路上提出以下建議：

（一）應從國家安全的高度上把握網絡安全立法的重點

網絡安全立法涉及了社會生活的多個領域，包括網絡犯罪、隱私權保護、電子商務、電子政務、技術標准、內容管制以及基礎設施保護等等，內容多樣復雜，需要戰略性的安排和體系化的研究。確定立法重點最基本的指導原則就是確保國家安全，也就是說關注網絡信息系統及其所存儲和傳輸的信息數據受到威脅和侵害時所引發的國家安全問題。從美國、歐盟等國家的立法設想看，這個重點就是關鍵基礎設施的保護。

但關鍵基礎設施並不等於重要基礎設施。習總書記在講話中明確指出，“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞”，一旦出問題，“具有很大的破壞性和殺傷力。”筆者理解，判斷這些作為“經濟社會運行神經中樞”的關鍵基礎設施的標准，就是這些設施一旦遭受攻擊是否直接影響國家安全。

應該承認網絡安全法制是一個多層次規范相互配合的法律體系，而網絡安全專門性立法應該著重解決其中事關國家安全的重點問題，面面俱到有可能導致重點不明、成效有限。有些問題應該通過其他法律規范來解決，不建議在《網絡安全法》中規定。比如第三章第22條禁止網絡非法侵入，重復了《刑法》第285條、第286條的規定，筆者認為一般的入侵網絡信息系統在刑法裡規定比較恰當。再比如草案第四章“網絡信息安全”第34條——38條對個人信息的保護，《刑法》《消費者權益保護法》等已經有了類似規定，而且還有制定專門個人信息保護法的主張，個人信息保護本身也不是網絡信息系統受到侵害會引發的國家安全問題，沒有必要寫進《網絡安全法》。

此外，建議刪去草案的第二章“網絡安全戰略、規劃與促進”。這不是否定戰略的重要性，相反國家網絡安全戰略極其重要。從域外經驗看，一般是先制定國家網絡安全戰略，再推進網絡安全綜合性立法。遺憾的是，雖然有關部門努力多年，但我國至今沒有網絡安全國家戰略。建議在這次立法進程中適時制定公布這一戰略，以保持戰略適度公開透明，防止其他國家戰略誤判。但戰略構想可以通過立法的具體制度設計來體現，寫成法條形式的必要性並不充分，戰略構想本身很難成為具有規范效力的法律規定。

（二）堅持國內經驗總結與國外經驗借鑒相結合的原則

我國網絡安全工作積累了不少工作經驗，比如“信息安全等級保護管理制度”，體現在草案第三章“網絡運行安全”第一節“一般規定”的第17條（條文稱之為“網絡安全等級保護制度”）。但草案中還借鑒了國外的“關鍵基礎設施保護”制度，規定在草案第三章“網絡運行安全”第二節“關鍵信息基礎設施的運行安全”。兩部分的內容有很多重復之處，比如第18、19條和第29、30條，都是為了確保供應鏈安全。如何協調二者的關系成為完善草案的關鍵問題。建議草案保留這兩個制度，但界定清楚二者適用范圍。對於關鍵基礎設施保護制度，應適用於事關國家安全和命脈的基礎設施。而等級保護管理制度，以“自主定級、自主保護”為原則，則適用於所有網絡信息系統。可以將關鍵基礎設施規定為最高等級的網絡信息系統或其中之一部分，但關鍵基礎設施的保護范圍和強制性監管標准，應該授權國家網信部門按照法定授權予以確定制定。

（三）區分公共部門和私營部門設計不同的監管框架

草案中對政府部門和私營部門網絡信息系統沒有進行區分保護，提供信息服務的政府網絡基本可以納入草案所定義的“網絡經營者”的范圍，而遵循與私營部門一樣的網絡安全義務。而政府部門的網絡信息系統比一般私營部門更加重要，政府網站信息被篡改、竊取往往造成的危害更大，所以在監管標准、技術建設等方面都應不同於私營部門。美國早在2002年就通過了《聯邦信息安全管理法》，並在2014年12月進行了修改，將建立對聯邦計算機網絡的實時、自動監控，減少在安全審查過程中所需的文書工作量，明確保護聯邦計算機網絡安全各機構的角色。美國在政府系統內部署“愛因斯坦”計劃（入侵檢測系統和入侵防御系統）應對政府關鍵基礎設施的威脅，但對於大部分的私有關鍵基礎設施，美國政府不可能強行將其納入監測防御系統，所以美國網絡安全立法中的重點是“私有”關鍵基礎設施的保護。習總書記在講話中明確指出，“要落實網絡安全責任制，制定網絡安全標准，明確保護對象、保護層級、保護措施”，要明確由政府保障的方面和由市場力量防護的方面。建議草案針對公共部門和私營部門設立不同的監管框架，對於公共部門要規定採用統一的技術規范、嚴格遵守統一的監管標准。

（四）在私營部門監管中要貫徹安全與發展並重的原則

堅持安全與發展並重是草案起草說明中提到的基本原則，習總書記講話進一步指出“堅持鼓勵支持和規范發展並行”。規范私營企業的發展，確實是因為企業掌握了“一些涉及國家利益、國家安全的數據”，私營企業某些網絡設施確實事關國家安全和國家利益。從美國和歐盟的立法經驗和設想來看，綜合性網絡安全立法針對私營企業的規定主要是確定私營關鍵基礎設施的范圍並要求遵守強制性的監管標准。考慮到鼓勵支持和規范發展並行，建議遵循安全與發展並重的原則，注意兩個方面：一是審慎劃定私營關鍵基礎設施，但納入關鍵基礎設施范圍內的私營基礎設施，要嚴格遵守依法制定的強制性監管標准﹔二是構建政府和企業的協作機制。首先是行業網絡信息系統保護標准的制定要反映行業最佳實踐﹔其次是建立網絡安全信息共享制度，包括政府和企業的網絡安全信息共享機制和行業內網絡安全信息共享機制。

此外，建議草案相關條文協調好與已有私營企業法定義務的關系。草案中對於規制對象，分為“網絡運營者”、“網絡服務提供者”、“關鍵信息基礎設施的運營者”、“電子信息發送服務提供者”四種。而在我國的《電信條例》中，將相關服務描述為，基礎電信業務中的“互聯網及其他公共數據傳送業務”和增值電信業務中的“互聯網接入服務、互聯網信息服務”。而在我國的《互聯網信息服務管理辦法》中，也明確提出了互聯網信息服務提供者和互聯網接入服務提供者兩大主體，即業界耳熟能詳的“ICP\ISP”。建議沿用之前的管制框架，並賦予不同的義務和責任，比如電信運營商這種網絡接入服務提供者一般僅承擔信息傳輸通道的責任，對信息內容不承擔審查義務。

（五）在相關條文擬定中為國際規則制定留下適當空間

建議草案從國際規則制定和適用的角度修改相關條文。比如，草案第2條僅規定了法律的域內效力，完全沒有考慮本法的域外效力，不利於充分維護我國的國家安全和網絡空間主權。建議參照《刑法》第6-9條的相關規定，除了“屬地管轄權”之外，還要規定“屬人管轄權”、“保護管轄權”和“普遍管轄權”。對於普遍管轄權，可以擬定如下：“對於中華人民共和國締結或者參加的國際條約所規定的網絡安全非法行為，中華人民共和國在所承擔條約義務的范圍內行使管轄權的，適用本法。”在網絡空間謀求絕對安全幾乎是不可能的，我國未來應該積極主導、參與網絡安全國際規則的制定，起草相關國際條約，通過國際合作來實現各國網絡空間真正的普遍安全。而管轄權規定也為這些戰略設想留有空間。

二、完善具體制度設計

如果贊同宏觀立法思路的第一點，承認網絡安全法應著重解決其中事關國家安全的重點問題，刪去不宜在此法規定的問題，那麼就應該突出立法重點，細化完善網絡安全法重點制度的立法設計。以“關鍵基礎設施保護制度”和“網絡安全信息共享制度”為例，提出以下完善建議：

（一）落實關鍵基礎設施保護制度

針對草案第三章第二節“關鍵信息基礎設施的運行安全”，提出以下完善建議：

1. 明確“關鍵基礎設施”的定義。強調納入關鍵基礎設施范圍的信息系統，是指一旦被攻擊，很可能會嚴重危害人民群眾生命安全、造成國家經濟災難性損害或者導致國家安全嚴重惡化。

2. 授權國家網信部門來認定關鍵基礎設施的網絡安全威脅，指定哪些資產或系統屬於關鍵基礎設施，並協同國家有關部門制定相應的強制性監管方案和監管標准。納入關鍵基礎設施范圍的私營系統或資產必須遵守監管要求，否則要承擔相應的法律責任。

3. 授權國家網信部門和相關行業主管部門開展與私有關鍵基礎設施運營者的合作，設立專門的網絡安全公私合作計劃﹔制定專門的程序和限定條件，與這些運營者分享必要的網絡安全威脅信息和應對策略。

4. 對於遵守監管標准的關鍵基礎設施，可以考慮規定免除其信息系統被惡意攻擊而導致大規模數據泄露時，不用向消費者承擔懲罰性賠償責任。

（二）建立網絡安全信息共享制度

網絡安全風險信息的共享對於應對網絡安全挑戰至關重要。2015年12月18日，美國《網絡信息安全共享法》生效，建立了相對完善的網絡威脅信息共享制度，值得借鑒。而草案第33條、第44條只是原則上規定了“網絡安全信息共享”、“網絡安全監測預警和信息通報制度”。建議在此基礎進一步擴充完善，建立網絡安全信息共享制度：

1. 授權私主體可以為了網絡安全威脅而監控自身信息系統、以及獲得同意的第三方的信息系統，以解決信息共享存在的法律障礙。

2. 授權國家網信部門為了有效接收和分發網絡安全威脅預警的目的，可以指定網絡安全信息交換。授權非政府主體可以在網絡安全信息交換中獲得網絡安全威脅預警信息，但隻能為了抵御或減輕網絡安全威脅的目的而使用、持有或進一步披露。

3. 規定在網絡安全信息交換中共享的信息，免除《政府信息公開條例》的披露義務，以及行政法上單方面接觸的限制。

4. 規定網絡安全信息交換中共享信息不會導致放棄該信息上的任何權利，包括對個人隱私和商業秘密的保護。規定任何政府機構不允許使用網絡安全威脅預警信息，作為針對共享信息主體的行政執法行為的証據。

5. 規定向政府部門披露網絡威脅信息，在一定條件下免除所產生的民事和刑事責任。免責條件草擬如下：（1）向網絡安全信息交換機關披露﹔（2）網絡安全服務提供商向用戶披露﹔（3）向提供或管理關鍵基礎設施的私主體或政府機構提供﹔（4）向其他私主體披露，如果該威脅信息也會在一定合理的時間內向網絡信息交換機關提供。

（來源：中國信息安全）