工信部赛迪智库网络空间研究所副所长 闫晓丽
以立法保障网络安全是国际社会的共识。早在上世纪90年代,我国就开始了网络安全立法工作,在基础信息网络安全、计算机信息系统安全、网络信息保护、打击网络犯罪等方面出台了多部法律规范。当前,我国不是没有网络安全法律法规,而是缺乏一个完善的法律制度体系,尤其是缺乏一部能统筹网络安全各种关系的基本法。2015年7月6日,全国人大全文公布了《中华人民共和国网络安全法(草案)》(以下简称“网络安全法草案”),标志着我国网络安全立法进入了一个新阶段。总体来看,该草案涉及内容广泛,亮点突出,但同时也有一些不足,还需要进一步修改完善。
网络安全法草案亮点突出
一是明确提出维护网络空间主权。网络空间主权是国家主权在网络空间的体现和延伸。草案明确将“维护网络空间主权和国家安全”作为立法目的,是将网络空间安全提升到国家主权高度。
二是将现有行之有效的制度上升为法律,与已有法律法规实现了较好衔接。在草案之前,我国已经出台了多部网络安全法律法规,如《关于加强网络信息保护的决定》、《电子签名法》、《计算机信息系统安全保护条例》、《互联网信息服务管理办法》等。确立了诸如信息安全等级保护、信息安全专用产品认证、个人信息保护等制度,这些制度在实践中被证明是切实可行且行之有效的。对于这些制度,草案都将其上升为法律,还根据实践完善了相关制度。这样做,一方面与专门立法呼应、很好地衔接已有法律法规,另一方面提升原有的立法层级,为网络安全工作提供更充分的法律保障。
三是确立关键信息基础设施安全保护制度,对关键信息基础设施进行重点保护。以立法手段保护关键信息基础设施是国际上的通行做法。草案将关键信息基础设施作为国家网络安全保障的核心内容,定位十分准确。草案一方面明确了关键信息基础设施的保护范围,基本与美等国外规定一致;另一方面确立了一些新的制度,如采购网络产品或服务要通过安全审查、向境外提供数据要进行安全评估、网络安全风险检测评估、定期应急演练、威胁信息共享等,都是国外实践中有效或积极推进的制度,初步构建起了关键信息基础设施保护制度体系。
四是纳入网络安全战略规划、人才培养、技术研发、标准制定等综合性内容。从美国等国家看,网络安全立法普遍经历了一个由点及面、由具体到综合的过程,人才培养、技术研发、意识教育等成为近年来各国立法的重要关注点。例如,2014年底美国公布的《网络安全增强法》中,主要对技术研发、意识教育、从业人员培养、标准规范等作了规定;我国网络安全立法目前还主要是针对某一领域的专门立法,对上述综合性内容关注较少。草案将这些内容纳入,符合其网络安全基本法的定位,为下一步工作开展提供了法律支撑。
网络安全法草案的主要不足
一是法律调整范围的表述不够准确。草案第二条规定“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。”现有表述将网络的建设、运营、维护和使用行为都纳入了调整范围,过于宽泛。草案的本意应当是在建设、运营、维护和使用网络过程中维护网络运行安全的行为适用本法,不是将所有的建设、运营、维护和使用网络行为都纳入。按照现有表述,电信网络、广电网络的建设、运营、维护和使用都属于本法调整范围,但上述行为事实上应当由电信条例等相关法律法规调整。而且,草案第六十五条关于网络的界定也不够准确,现有表述陷入了“网络是网络和系统”的逻辑错误,使得法律的适用范围更为模糊。
二是对政府信息系统安全没有涉及。在网络空间国家对抗日趋严峻的形势下,保护政府信息及信息系统对国家安全至关重要。尽管美等国家都将政府信息系统纳入关键基础设施范围,但都有专门立法对政府信息及信息系统安全进行规定,涉及年度安全评估、政府采购产品和服务满足相应要求等。我国目前此方面的规定很少,虽然采取了减少政府机关互联网连接点数量、严格政府信息技术服务外包安全管理等措施,但却缺乏相关立法,草案对此也未有涉及,可增加一两条对政府信息及信息系统安全相关制度作出规定。
三是个人信息保护未反映大数据时代的特点。大数据给个人信息及隐私保护带来巨大挑战,主要是数据收集无处不在,数据用途不断被挖掘,个人信息和非个人信息越来越难以区分。面对这些挑战,原有的以“告知与同意”为框架的框架越来越难以发挥作用,美欧等都在积极构建新的个人信息及隐私保护法律制度,如美国提出《消费者隐私权利法案》、欧盟提出《一般数据保护条例》,主要的变革包括增强数据处理活动的透明度、建立数据使用的事后问责机制、扩展数据主体对数据的权利、引入数据泄露通知制度等。草案目前主要侧重信息采集方面,对大数据时代数据使用及相关责任涉及较少,可以参照国外立法变革增加相关规定。
四是一些条款较笼统、操作性差。首先,草案第一章、第二章中有些条款停留在口号式呼吁,没有实质内容,如第八条、第九条第一款、第十三条第二款等。其次,草案虽然纳入了人才培养、技术研发等综合性内容,但这些内容都还较原则。再次,草案第十八条、第十九条明确要符合国家标准和行业标准,但目前行业标准都是非强制性的、国家标准中强制性的标准也少之又少,在此种情况下,如若不点明要符合的标准的话,会导致相关规定流于形式。
完善网络安全法草案的几点建议
一是修改关于法律适用范围的表述,将其限定为“建设、运营、维护和使用网络过程中维护网络运行安全的行为,以及网络安全的监督管理。”
二是在关键信息基础设施保护方面增加条款,明确政府信息及信息系统区别于其他关键信息基础设施保护的特殊要求,如在采购信息技术产品和服务方面、政府信息技术服务外包安全管理方面等。
三是在个人信息保护方面增加条款,明确规定网络运营者与第三方分享个人信息,应当明确将分享的目的等告知被收集者,并应当确保接收个人信息的第三方遵守本法规定的个人信息保密等义务;一旦第三方泄露、出售或非法向他人提供个人信息的,网络运营者也承担相应责任。
四是删除或修改草案第一章、第二章中口号式呼吁的条款,并在第十八条、第十九条规定由国家网信部门或相关部门明确并定期更新网络产品和服务、网络关键设备和网络安全专用产品应当符合的国家标准、行业标准目录。
此外,目前《刑法修正案(九)》草案也正在征求意见,对于入侵关键信息基础设施造成重大经济损失、人身伤亡等危害的,可以建议提高法定刑标准,加重对犯罪行为的处罚力度。
(来源:中国信息安全)
相关专题 |
· 专题报道 |