网络安全立法走向何方

2015年7月《网络安全法（草案）》向社会公开征求意见，是我国法治建设事业的一件大事。它是在《国家安全法》新近发布网络安全条款后的又一举措，关系到能否“坚持总体国家安全观”实现建设网络强国的战略部署。草案的主要条款都具有良好的制度价值，现实意义毋庸讳言。然而，草案将引领中国网络安全法治走向何方？这却是不得不三思的问题。

中国网络安全法律制度建设由来已久，可以追溯至1994年2月18日国务院颁布《计算机信息系统安全保护条例》。那一部法律文件以计算机信息系统为对象建立安全保护制度，具有奠基石的意义。此后20多年，我国网络安全法制建设获得了持续发展，形成了单行法律与关联法律两个层次。前者是指名为网络安全（或信息安全、计算机安全）的专门法律规范，如全国人大常委会颁布的《关于维护互联网安全的决定》、《关于加强网络信息保护的决定》等；后者是指涉及网络空间安全的、宽泛意义上的法律法规。

总的来看，我国现有网络安全法律制度呈现出一个侧重于治理网络犯罪和违法行为的杂乱体系。其根本缺陷之一是，真正法律层级上的规定少,部门规章和地方法规多,条款的可执行性也不好。根本缺陷之二是，禁止性规范多，保护性规范少，即“重管制轻权利”。我国强调信息网络服务者和网民的责任和义务，而信息网络权利保障的规定相对欠缺。大量由网络空间新型权利（如上网权或自由、网络使用权、虚拟财产权、网络信息权或数据权、被遗忘权）等得不到法律承认与保护。要改变这种状况，我国需要推出一部网络安全的基本法。

其实，颁行相当于基本法或“宪法”的网络安全法律，是发达国家的新动态。美国一直尝试着走通这条路。一般认为，美国最早的、真正意义上的网络安全法是2003年的《联邦信息安全管理法》（FISMA），那是一部关于政府信息安全管制的法律。2008年，美国总统又颁布了国家综合网络安全全面倡议的政策架构。到2010年，美国进入网络安全立法的密集期，参众两院陆续开议《国际网络犯罪报告与合作议案》、《全球反击网络攻击犯罪之培育议案》、《增强网络安全犯罪议案》、《国防安全授权议案》、《将网络空间作为国民资产保护议案》等法律草案。其中影响最大的就是美国《2010年网络安全加强议案》。《2012年网络安全议案》、《2014年网络安全情报分享议案》又先后在国会进行票决。不难看出，美国试图通过颁行全面的网络安全“基本法”，将网络安全纳入法律轨道。相比美国的法律难产而言，日本于2014年11月通过了《网络安全基本法》（Cybersecurity Basic Act），自2015年1月9日起生效。这是一部旨在加强日本政府与民间在网络安全领域的协调和运用的重要法律。它规定了国家的责任和义务，明确了国家、地方政府、重要基础设施运营商、网络相关运营商的联动方针。诚然，国情不同立法也不同，但网络安全“基本法”的国际潮流值得我国关注。

就本土资源而言，我国制定网络安全“基本法”的基础不是一穷二白，而是蔚为大观。且不说《刑法》、《民法通则》、《著作权法》、《未成年人保护法》、《治安管理处罚法》等法律中含有大量的网络安全专门条款，仅就行政规范性文件层面而言就涵盖了网络安全治理的方方面面。据不完全统计，截至目前国务院颁布了诸如《计算机信息网络国际联网管理暂行规定》等13部相关行政法规，有关部委施行了《信息安全等级保护管理办法》等62部行政法规，至于地方性法规和地方政府规章更是不计其数。这一现状决定了我国网络安全立法的现实选择是挖掘本土资源，而非移植外法资源。但是，我国也必须避免将现有行政法律规范“提升”为法律的简单思路。那并不是真正法治意义上的立法，而是为现有或未来的行政执法“背书”；制定出来的充其量是“网络安全条例”，“法”的味道就要差很多。

而遍观《网络安全法（草案）》，人们看到了这样的一种极大可能性。现有条款共计68条，主要涉及与网络安全相关的国家权力机关、网络建设运营服务提供商、网络行业组织、网络使用者以及其他个人组织等主体，内容涵盖权力、权利、义务与责任等。简单列表分析可见，“草案”赋予了国家权力机关10项以上的权力，而其义务、责任条款都只有一条；规定网络建设运营服务提供商要承担10项义务、面对10项罚则，其权利条款阙如；对于网络行业组织、网络使用者以及其他个人组织也是充实其义务。惟一的权利条款是赋予公民的，“有权要求网络运营者删除其个人信息??有权要求网络运营者予以更正”（第37条）。至于公民、组织和网络商的基本权利及其界限，更是语焉不详。人们很难设想，离开了广大网民、网络商等权利主体的主动参与，靠权力主体的监管就能实现网络空间的安全。特别是在单纯的网络监管弊端重重的情况下，草案给人们呈现了怎样的海市蜃楼？

近年来我国的网络安全事件层出不穷，在很大程度上是现行互联网管理体制存在根本缺陷的体现。人们常说我国网络安全监管存在“多头管理、职能交叉、权责不一、效率不高”的问题，难道强化监管机关的权力就能够解决问题吗？果真如此，干脆抽调分散在各个部门的网络安全监管力量、组建一个单独的“网络安全部”算了。维护网络安全，需要的是共同治理！而共治绝不是片面强化网络提供商、网络使用者、网络行业组织以及其他个人组织的责任。它们在网络空间拥有多大的权利、利益，关系到能否自觉地投身到维护网络安全的活动中。在中央网络安全和信息化领导小组第一次会议中,习近平同志曾经指出：“要抓紧制定立法规划，完善互联网信息内容管理、关键信息基础设施保护等法律法规，依法治理网络空间，维护公民合法权益。”不难看出，设定网络主体的相关权利及其救济措施，是网络安全立法不容回避的核心内容。

此外，如何在有效保障网络主体合法权益的基础上合理设置监管机关的权力，也是需要斟酌的。国家断网权是一个典型的例子。草案第50条规定，国务院或省级政府经国务院批准可以“在部分地区对网络通信采取限制等临时措施”。该条的限定看似严格，然而其缺陷也是显见的。所谓断网，断的就绝对不仅仅是“网络通信”，它必然涉及到使用网络的一切活动，也必然影响到千家万户的基本生活。它的实质是“限制或剥夺用户使用网络”，同上网权、网络使用权相冲突。立法对此应当确定一个强度不等的措施体系（切断互联网是最重的手段之一），岂能用“等临时措施”这样的模糊表述一带而过？

关于这一点，美国早期法律有过原则性的意见，现阶段则呈现出截然不同的两种观点。美国《1934年通信法》规定，总统有权在战争时期接管或关闭有线和无线电通讯。根据有关原则性的解释，总统似乎有关闭互联网的权力。然而，《2009年网络安全法》被提交至国会审议时，其第18条就规定“总统有权在出现威胁国家安全、网络安全的紧急情况下，关闭关键基础设施网络”。2011年提交国会审议的《网络安全和互联网自由法》则明确“禁止总统或其他官员切断互联网”；不过，授权总统可以宣布“信息空间的紧急状态”，在此状态下政府可以部分接管或禁止对部分站点的访问。这两部法案均未获通过。在我国，关于国家断网权的公开讨论或辩论并不多，但实践中诸如网络封锁、网络监控、网络过滤等行为引起了关于限制使用网络的不小担心。草案中将该权力赋予国务院或经国务院批准的省级政府，且未明确具体事由与程序。这显然是会引爆各方力量的质疑。

从权力条款走向权利条款，脱离管制性的“行政条例”走向综合性的“基本法”，是我国网络安全立法的方向问题。按照这一示路，《网络安全法（草案）》必须通过制度设计促进不同网络主体的共治，且在法律责任条款方面达致起码的平衡。

（来源：中国信息安全）