2015 年 7 月 6 日,《网络安全法》草案在中国人大网上全文公布 , 并向社会公开征求意见。《网络安全法》是我国互联网领域的重大立法之一,它体现着国家对建立健全网络空间秩序的基本意志,并在重要制度方面也有所突破。
一、网络安全法是国家管理网络意志的集中体现
随着互联网的发展及向各行业的融合渗透,网络空间已经成为各国政治、经济、社会、文化、国防、军事发展的重要基础领域,各国对网络空间的治理意愿、治理能力和治理水平都在逐步加强。互联网具有跨国界性的特点,网络空间的国际规则也正在制定之中。各国试图在网络空间国际规则制定中施加影响并争夺主导权,而国内立法是影响国际规则、在国际规则的制定中体现本国国家意志的前提条件。《网络安全法》正是我国管理网络的基本意志的集中体现。
网络安全是国家安全的重要组成部分。2015 年 7 月 1 日发布的《国家安全法》第二章的第二十五条,专门对网络与信息安全进行了规定,作为“维护国家安全的任务”之一。***在中央国家安全委员会第一次会议上的讲话中提出将“信息安全”作为国家安全体系的组成部分,《国家安全法》用一条的内容,明确“网络与信息安全”是国家总体安全观的重要组成部分,它涵盖了网络和信息核心产品和技术的安全、关键基础设施和重要领域信息系统的运行安全、数据的安全以及内容安全,是全产业链的概念;该条也指出,重点防范、制止和依法惩治的行为有网络攻击、网络入侵、网络窃密、散布违法有害信息等;要实现的目标是“维护国家网络空间主权、安全和发展利益”.《网络安全法》草案在《国家安全法》规定的基础上,对保障网络安全、维护网络空间主权和国家安全进行了系统的规定。
维护网络空间主权是我国的一贯主张。《网络安全法》草案立法目的明确指出要“维护网络空间主权”,与《国家安全法》保持一致。关于网络主权,早在 2010 年国务院新闻办公室发布的《中国互联网状况》白皮书中明确指出,“中国政府认为,互联网是国家重要基础设施,中华人民共和国境内的互联网属于中国主权管辖范围,中国的互联网主权应受到尊重和维护”.2014年7月16日,国家主席***在巴西国会发表《弘扬传统友好 共谱合作新篇》的演讲,指出虽然互联网具有高度全球化的特征,但每一个国家在信息领域的主权权益都不应受到侵犯,互联网技术再发展也不能侵犯他国的信息主权。
但目前为止我国相关法律文件中并没有对“网络空间主权”进行具体的阐释。从国际层面看,2013 年北约发布的关于国际法对网络战适用性问题的《塔林手册》对网络主权进行了一定的阐释,“一个国家可以对其主权领土范围内的网络基础设施和网络活动行使控制”,“一个国家使用在一个任何位置的、享有主权豁免的平台上的网络基础设施所进行的任何干涉构成了对主权的侵犯”.综合以上,网络空间主权应该包括对本国领土范围内网络基础设施、网络服务平台、网络信息和数据的管辖权;网络管理政策制定的自主权;参与网络空间国际规则制定的独立权,等等。但是由于互联网全球架构的特殊性,在一定程度上会影响我国网络主权的实现。同时,随着互联网与实体经济融合趋势的发展,网络空间主权的内涵和范围也应随之变化。
形成网络空间秩序是网络安全法的价值追求。从目前《网络安全法》草案的内容上看,核心是网络运行安全(包括关键信息基础设施的运行安全)和网络信息安全,同时,也包括网络产品和服务安全、内容安全;规定了网络关键设备和网络安全专用产品在销售前进行安全认证或安全检测的制度;制定了针对关键信息基础设施运营者采购网络产品或者服务的安全审查制度、在境内存储运营中收集和产生的公民个人信息等重要数据的制度;在 2012 年《全国人大常委会关于网络信息保护的决定》基础上,重申和强化了个人信息保护制度、网络实名制、垃圾电子信息治理制度等;专门建立了监测预警与应急处置制度,等等。
2000 年,中国初步建立互联网法律体系,前后发布《电信条例》、《互联网信息服务管理办法》、《全国人大常委会关于维护互联网安全的决定》等。此后,各相关部委围绕互联网资源管理、互联网信息服务管理(如新闻、视听节目、网络游戏、药品、医疗卫生等)、网络商品交易、网络支付、安全保护等共出台了 30 余部部门规章。总结起来,我国对网络空间的立法,其关键词有三个:“管理”、“发展”、和“安全”,这充分体现了中央制定的“积极利用、科学发展、依法管理、确保安全”的十六字方针。但互联网立法以部门立法为主体、立法分散、内容交叉、层级较低等问题也广受诟病。《网络安全法》草案虽然尚有不尽人意之处,但是其“坚持安全与发展并重”的指导思想,兼顾管理与保护,从国情出发并注意“借鉴有关国家的经验”,“对内外资企业同等对待,不实行差别待遇”等立法理念,可以说是国家对网络空间秩序尤其是安全秩序整体期许的集中体现。《网络安全法》中规定的所有制度背后,都体现着国家构建网络空间安全秩序的着眼点和着力点。
二、网络安全法的重点规范对象
《网络安全法》草案规定国家相关部门监督管理网络安全工作的职责,规定从事网络安全活动相关主体的权利和义务。
草案中包含:网络产品和服务提供者、关键信息基础设施运营者、网络运营者、电子信息发送服务提供者、应用软件下载服务提供者等诸多主体,其中“网络运营者”在全文共出现了 27次,关键信息基础设施保护也是首次引入的制度,都是网络安全法重点的规范对象。
1、关于网络运营者的定义
《网络安全法》草案第六十五条规定:“网络运营者,是指网络的所有者、管理者以及利用他人所有或者管理的网络提供相关服务的网络服务提供者,包括基础电信运营者、网络信息服务提供者、重要信息系统运营者等。”在具体的制度方面,主要规定网络运营者要按照网络安全等级保护的要求,履行安全保护义务(草案第十七条)。要求网络运营者采取数据分类、重要数据备份和加密等措施,防止网络数据被窃取或者篡改(草案第十七条);规定网络运营者在网络身份管理制度即网络实名制中的义务(草案第二十条);规定网络运营者制定网络安全事件应急预案的制度(草案第二十一条);为国家安全和侦查犯罪,规定网络运营者的支持与协助义务(草案第二十三条);规定网络运营者建立健全用户信息保护制度的义务(草案第三十四、第三十五、第三十六、第三十七条);网络运营者处置违法信息的义务规定:网络运营者发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告(草案第四十条);以及规定相应的法律责任。
由此可见,“网络运营者”是网络安全法中最重要的概念之一,也是它最主要的规范对象。但是在现有立法中,并没有“网络运营者”的定义。与《网络安全法》草案同时向公众征求意见的《刑法》第九修正案规定:“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门通知采取改正措施而拒绝执行”的,应承担刑事责任;《侵权责任法》第三十六条规定:网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任;《保守国家秘密法》规定:
互联网及其他公共信息网络运营商、服务商应当配合公安机关、国家安全机关、检察机关对泄密案件进行调查;《反恐怖主义法》草案规定:网络与信息系统运营者应当按照法律法规和国家机关标准要求,综合采取技术和管理措施,加强网络安全防护、技术检测、风险预警、应急响应和处置等各项工作,保护网络和信息系统运行安全。电信业务经营者、互联网服务提供者应当在电信和互联网的设计、建设和运行中预设技术接口,将密码方案报密码主管部门审查;而在电信和互联网行业的最主要的立法-《电信条例》和《互联网信息服务管理办法》中分别规定了电信业务经营者(基础电信业务经营者和增值电信业务经营者)和互联网信息服务提供者(经营性互联网信息服务提供者和非经营性互联网信息服务提供者)。不同立法其规范的目的、制度各不相同,但是只有“电信业务经营者”和“互联网信息服务提供者”有明确的界定和相关的准入制度相对应。
网络安全法是对网络社会中的秩序安全进行规制的法律规范。由于网络具有与生俱来的技术性,在开展网络安全立法前有必要认清网络安全的主客体关系。这是网络安全立法的基础工作。网络主体主要有一般网络用户、网站运营人、网络运营商和网络主管部门。一般网络...
网络安全主要包括系统安全、网络的安全、信息传播安全、信息内容安全四个方面,只要其中有一个方面出现问题便很可能直接表现为个人信息的大量泄露,所以个人信息的保护直接映射着我国网络安全的现状。...
互联网近年来快速发展, 网络安全问题日益受到各界广泛关注, 我国为解决网络安全问题, 在2016年颁布了《网络安全法》, 对网络监管机制、网络实名制、关键数据信息以及信息跨境流动等作了相对明确的规定, 但同时仍然存在一些不足。...
《网络安全法》是我国网络安全治理方面的基本法, 该法关于个人信息的保护规则比以往相关法律、法规更系统、更全面, 不仅对网络运营者及其他主体保护用户个人信息的责任做出了更具体、更严格的规定, 也赋予了网络用户更广泛的的个人信息权, 对我国加强网络个人...