西安交大信息安全法律研究中心 方婷
2015年6月,第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》(以下简称《草案》)。作为网络安全保障的基本法,《草案》的诸多规定与现行的《国家安全法》、《保密法》、《反恐法(草案)》、《刑法》、《治安管理处罚法》、全国人大《关于加强网络信息保护的决定》相衔接,共同构成完备的网络安全管理规范体系。
一、《草案》与《国家安全法》的关系
作为人类社会“第二类”生存空间和“第五大”作战领域,网络空间已经成为维护国家主权、安全和发展利益的战略高地。随着网络信息技术的不断发展,我国国家关键基础设施越来越依赖复杂的网络空间,习近平总书记在国家安全委员会第一次会议上即指出,“当前我国国家安全内涵和外延比历史上任何时候都要丰富,时空领域比历史上任何时候都要宽广,内外因素比历史上任何时候都要复杂”。 由此可见,网络安全构成国家安全的重要方面,其对国家安全和社会稳定产生的巨大影响日益凸显。因此,《国家安全法》中设置有针对网络与信息安全保障的专门条款,如《国家安全法》第二十五条明确规定:国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。同时,《国家安全法》第五十九条规定: 国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。值得注意的是,《草案》第三十条建立了关键信息基础设施运营者采购网络产品、服务的安全审查制度,其中规定:关键信息基础设施的运营者采购网络产品或者服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的安全审查。从上述条款可以看出,网络安全保障的内容如涉及国家安全,基于维护国家网络空间主权、安全和发展利益,将受到《国家安全法》的规制和保护。在此方面,《国家安全法》对涉及国家安全事项的网络与信息安全保障做出了原则性的规定,而《草案》作为网络安全管理方面的基础性法律,具体指导相关规定的有效实施,充分体现了两部法律在相关规定上的衔接。
然而,《草案》是保障网络空间安全的基本法,其与《国家安全法》都是由全国人大常委会制定的法律,因此二者在我国法律体系内处于同一法律位阶,不存在上位法与下位法的关系。《草案》的立法宗旨是“保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展”。《国家安全法》的立法宗旨在于“维护国家安全,保卫人民民主专政的政权和中国特色社会主义制度,保护人民的根本利益,保障改革开放和社会主义现代化建设的顺利进行,实现中华民族伟大复兴”。由此可见,作为《草案》的四大支柱,国家安全、社会稳定、产业发展和个人隐私是《草案》所追求的价值目标,其相互之间必然存在一定的利益冲突,而《草案》即是在某种程度上实现上述利益关系之间的协调与平衡。相较而言,《国家安全法》所追求的价值目标为单一的国家安全利益,不涉及社会公共利益、企业和个人利益,从这一层面来看,《草案》涉及的内容更加全面,调整的社会关系更为广泛。
综上所述,《国家安全法》与《草案》之间的关系既不是简单的上位法与下位法的关系,也不是普通法与特别法的关系,在法律位阶上二者属于同位阶法,在内容上,二者存在一定的交叉关系,一方面,《国家安全法》原则性规定涉及国家安全利益的网络与信息安全保障事项,具体以《草案》付诸实施;另一方面,《草案》调整的社会关系和规制的具体内容较《国家安全法》而言更为广泛。
二、《草案》与《保密法》的关系
如前所述,《草案》与《保密法》之间亦不存在简单的上位法与下位法的关系,在法律位阶上二者属于同位阶法,都由全国人大常委会制定;在某些方面,涉及国家秘密的事项受《保密法》作为特别法进行规制,如网络安全运行保障、信息系统存储处理的信息保护、信息处置和法律责任等方面的规定。
(一)国家秘密事项
《草案》第二十三条规定,为国家安全和侦查犯罪的需要,侦查机关依照法律规定,可以要求网络运营者提供必要的支持与协助。《保密法》第九条规定,下列涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的,应当确定为国家秘密:维护国家安全活动和追查刑事犯罪中的秘密事项。因此,根据《草案》第二十三条规定,网络运营者在为侦查机关提供必要的支持与协助过程中知悉或接触到涉及国家秘密的事项,应当受《保密法》的规制与调整,有关人员不得泄露相关信息,否则将适用《保密法》追究其法律责任。
(二)网络安全等级保护
《保密法》第二十三条规定,存储、处理国家秘密的计算机信息系统(以下简称“涉密信息系统”)按照涉密程度实行分级保护。涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划,同步建设,同步运行。涉密信息系统应当按照规定,经检查合格后,方可投入使用。由此可见,本条确立了涉密信息系统的分级保护制度,并对其设备设施适用三同步原则。
《草案》在保障网络产品和服务安全方面,将网络关键设备和网络安全专用产品的安全认证和安全检测制度上升为法律并作了必要的规范(第十九条);在保障网络运行安全方面,将现行的信息安全等级保护制度更名为网络安全等级保护制度并上升至法律层面进行规制,要求网络运营者按照网络安全等级保护制度的要求,采取相应的管理措施和技术防范等措施,履行相应的网络安全保护义务(第十七条)。为了保障关键信息基础设施安全,维护国家安全、经济安全和保障民生,《草案》进一步设专节对关键信息基础设施的运行安全作了规定,实行重点保护,并明确了关键信息基础设施的范围包括基础信息网络、重要行业和领域的重要信息系统、军事网络、重要政务网络、用户数量众多的商业网络等,同时对关键信息基础设施安全保护办法的制定、负责安全保护工作的部门、运营者的安全保护义务、有关部门的监督和支持等作了具体规定(第二十五条至第二十九条、第三十二条、第三十三条)。由此可见,按照我国网络安全等级保护制度的相关规定,三级以上的信息系统即为涉密信息系统,在此方面,应当受到《保密法》的规制和保护,针对《保密法》中未作出规定的内容,应当适用《草案》的相关规定,并且实行比其他信息系统保护更为严格的规定。在此方面,《保密法》可被视为《草案》的特别法,在涉及涉密信息系统保护时优先予以适用。
(三)禁止实施的危害行为
《保密法》第二十四条规定,机关、单位应当加强对涉密信息系统的管理,任何组织和个人不得有下列行为:(一)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;(二)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;(三)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息;(四)擅自卸载、修改涉密信息系统的安全技术程序、管理程序;(五)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途。第二十六条规定,禁止非法复制、记录、存储国家秘密。禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密。上述两条是针对涉密信息的保护规定,《草案》第四章“网络信息安全”涉及对公民个人信息、隐私和企业商业秘密的保护。在此方面,二者的保护和规制对象在内容上不存在交叉重合。
(四)违法和保密信息的处置要求和义务
《保密法》第二十八条规定,互联网及其他公共信息网络运营商、服务商应当配合公安机关、国家安全机关、检察机关对泄密案件进行调查;发现利用互联网及其他公共信息网络发布的信息涉及泄露国家秘密的,应当立即停止传输,保存有关记录,向公安机关、国家安全机关或者保密行政管理部门报告;应当根据公安机关、国家安全机关或者保密行政管理部门的要求,删除涉及泄露国家秘密的信息。
《草案》则明确了网络运营者处置违法信息的义务,其中第四十条规定:网络运营者发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。第四十一条规定,电子信息发送者发送的电子信息,应用软件提供者提供的应用软件不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,发现电子信息发送者、应用软件提供者有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。在此方面,两部法律均规定了网络运营者及相关主体处置违法信息的停止传输、保存记录、防止影响扩大、向主管部门报告等义务,《草案》是一般性规定,而涉及涉密信息的处置义务应当优先适用《保密法》的特别规定。
(五)法律责任
《保密法》第四十八条规定,违反本法规定,有下列行为之一的,依法给予处分;构成犯罪的,依法追究刑事责任:(七)在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的;(八)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的;(九)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的;(十)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的;(十一)擅自卸载、修改涉密信息系统的安全技术程序、管理程序的;(十二)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。有前款行为尚不构成犯罪,且不适用处分的人员,由保密行政管理部门督促其所在机关、单位予以处理。第五十条规定,互联网及其他公共信息网络运营商、服务商违反本法第二十八条规定的,由公安机关或者国家安全机关、信息产业主管部门按照各自职责分工依法予以处罚。
《草案》在第五十一条、五十五条、五十六条、五十七条等设置了与《保密法》相关条款衔接的法律责任规定,尤其是对关键信息基础设施运营者不履行法定义务或违反有关规定设置了具体的民事、行政和刑事处罚措施。在此方面,原则上,针对涉及国家秘密事项的违反网络安全保障规定的法律责任追究应当优先适用《保密法》的规定,针对具体的处罚措施根据具体情况决定是否适用《草案》的具体规定。
三、《草案》与《反恐法(草案)》的关系
(一)网络与信息系统运营者的网络安全运行保障义务及相应的法律责任
《反恐法(草案)》第十五条规定了网络与信息系统运营者的网络安全运行保障义务,电信业务经营者、互联网服务提供者向密码主管部门进行密码方案报备的义务,并要求其预留技术接口为执法机关提供解密协助,最为重要的是,其中明确了境内提供电信业务、互联网服务的数据存留和本地化要求。另一方面,《反恐法(草案)》第九十四条还规定了电信业务经营者、互联网服务提供者对于恐怖主义信息的监督和处置义务,互联网加密传输服务提供者的密码方案报备义务,网信、工业和信息化、公安、国家安全等主管部门对于恐怖主义信息的监督和处置义务,并进一步规定了电信业务经营者、互联网服务提供者、互联网加密传输服务提供者违反上述规定的行政和刑事责任。在此方面,《草案》并未涉及网络运营者的密码方案报备和协助解密义务,也未对网络运营者做出数据存留和本地化要求,然而,基于反恐和保障国家安全的迫切需求,《反恐法(草案)》在此方面必然规定得更为严格且具有针对性。
《反恐法(草案)》第二十八条规定,重点目标的营运、管理单位应当履行下列职责:涉及国计民生、公共安全和国家安全的基础信息网络和重要信息系统的营运、管理单位应当落实网络安全管理制度和安全技术防护措施,明确安全责任,建立网络安全监测预警系统,加强安全监测和预警通报,保障基础信息网络和重要信息系统安全。基础信息网络和重要信息系统发生重大攻击事件的,应当及时向网信、工业和信息化、公安等网络安全主管部门报告,并配合开展事件调查和应急处置,其中第九十八条进一步对违反上述规定的运营、管理单位设置了相应的行政和刑事处罚措施。在此方面,《草案》也规定了一般的网络运行安全、监测预警与应急处置机制及违反相关规定的法律责任。然而,《草案》的规定更为细化且更加具体,有利于网络安全保障措施和应对方案的有效实施。
(二)网络管制规定
《反恐法(草案)》第六十条规定,应对处置恐怖事件,反恐怖主义工作领导机构可以决定由有关部门和单位采取下列措施:(四)互联网、无线电、通信管制。《草案》第五十条规定,因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,国务院或者省、自治区、直辖市人民政府经国务院批准,可以在部分地区对网络通信采取限制等临时措施。由此可见,国家已经通过立法对经过法定程序实施的临时网络通信管制措施作出了相应的认可。在此方面,有关反恐的网络通信管制实施优先适用《反恐法(草案)》的规定。
四、《草案》与《刑法》、《治安管理处罚法》的关系
《刑法》第二百八十五条、第二百八十六条、第二百八十七条分别对非法侵入计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪,破坏计算机信息系统罪和利用计算机实施的犯罪做出了相应的刑事处罚规定。《治安管理处罚法》第二十九条规定了侵害计算机系统的行为和处罚。在此方面,《草案》对实施上述行为而不构成犯罪的情况设置了相应的处罚措施,在网络信息安全保障的法律责任方面与现有法律形成了很好的衔接关系。
五、《草案》与《关于加强网络信息保护的决定》
《关于加强网络信息保护的决定》内容涵盖个人网络电子信息保护、垃圾电子信息治理、网络和手机用户身份管理、网络服务提供商对国家有关主管机关的协助执法等重要制度,其核心内容和立法宗旨是建立公民个人电子信息保护制度。在此方面,《草案》坚持《关于加强网络信息保护的决定》确立的原则,进一步完善了相关管理制度,尤其在“第四章 网络信息安全”中做出了具体规定,涉及网络运营者的信息保护义务、公民享有的保护其个人信息的权利、网络安全监管部门的相关职责等。第一,确立《关于加强网络信息保护的决定》规定的网络身份管理制度即网络实名制,以保障网络信息的可追溯(第二十条)。第二,明确网络运营者处置违法信息的义务,其中规定:网络运营者发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告(第四十条)。第三,规定发送电子信息、提供应用软件不得含有法律、行政法规禁止发布或者传输的信息(第四十一条)。第四,规定为维护国家安全和侦查犯罪的需要,侦查机关依照法律规定,可以要求网络运营者提供必要的支持与协助(第二十三条)。第五,赋予有关主管部门处置违法信息、阻断违法信息传播的权力(第四十三条)。由此可见,《草案》在网络信息安全保护方面与全国人大《关于加强网络信息保护的决定》形成了很好的衔接与对应关系。
(来源:中国信息安全)
相关专题 |
· 专题报道 |