主要观点:(1)作为信息时代的新兴法律,网络安全法之为物,仁者见仁。从国家、企业与个人,政策、法律与技术,学术与实务,国外与国内等各个方面进行观察和比较,有利于认清网络安全法的本来面貌,有利于形成网络安全法的体系认识;(2)应当树立“网络”的“社会观”和“安全”的“秩序观”。在这种理解下,网络安全法应当定性为传统社会之“特别法”与网络社会之“基本法”。
网络安全的国家观、企业观、个人观
首先,我要讲的是网络安全的国家观、企业观、个人观。关于网络安全,目前为止中国高层最为集中的表态,应该说是中央网络安全与信息化领导小组第一次会议上习总的讲话。当然,其中提到要抓紧制定立法规划,完善互联网信息内容管理、关键信息基础设施保护等法律法规,依法治理网络空间,维护公民合法权益。但是,习总没有提到网络主权的问题。这非常正常,因为国家领导人提这个问题相当敏感。但是,外交部在与联合国共同主办的国际研讨会、国信办主任鲁炜在ICANN伦敦会议讲话,都提到了网络主权问题。总的来说,从国家角度来看,目前主要是关注国家安全问题、网络主权问题、网络反恐问题和网络治理问题。包括网络传谣、网络诈骗怎么治理,包括网络监控、网络过滤怎么搞。最近有一个消息,说国外的势力通过网络策反中国的大学生,这也能让人感受到网络反恐是一个极大的问题。
企业目前最关心的是网络身份的认证与电子签名、网络交易安全、商业秘密数据保护、网络知识产权保护等。比如这个企业和那个企业交易之间,怎么知道那个地方就是那个企业,怎么用电子签名进行网络认证。还有前段时间有一个企业说把它的公章变成电子版,嵌在文档里签合同。你可以叫它是电子印章,但不可能是电子签名。
个人关注的东西,包括个人信息及隐私权保护、网络舆论自由权、网络通信自由权、网络虚拟财产保护等。比如,大家有QQ币,游戏币各种各样的虚拟财产,怎么保护,这也都是值得思考的问题。
网络安全的政策观、法律观、技术观
其次,我要讲的是网络安全的政策观、法律观、技术观。网络政策关系到很多问题,有网络经济、网络政治、网络文化,网络国防,或者互联网经济,互联网政治,互联网文化等等,这里问题很多很多。这里我要讲的一个事情就是前段时间我跟一个学者讨论美国起诉中国军人事件的时候,他们问我说网络安全的国防政策、技术攻防和法律有什么关系?我给他打了一个比方,我说中美就像两个武士在决斗,法律就是他们手上的剑。国防是它的盔甲,技术攻防其实就是它的暗器,那些东西都可以做,但是你能亮的武器只有法律。所以,我不得不说,美国拿法律来作为武器是比较明智的做法,因为法律是正义的武器,所以这就是为什么整个世界要讲究国际法,要讲法律。这里,我对美国的网络安全政策演讲做个简要介绍,克林顿时期,美国是以防御为主,9·11以后,布什采取攻防结合的政策等,奥巴马政府则以进攻和震慑为主。
法律学者与技术专家,关于“安全”这个词确实有不同的理解。法律人所说的安全是一种秩序安全,它是指网络活动所导致的社会秩序安全及网络活动中的各方主体权利义务关系问题。技术人所说的安全是一种技术安全,它包括系统安全、数据安全、信道安全等。比如说,前段时间小米出了泄露的事件,我是一个交叉人,我跟法律人讨论,他们就关心小米要不要承担责任,承担什么责任。如果你是普通老百姓,你知道这个事情,偷偷摸摸尝试做这个事情,要不要承担什么责任。他们关注权利义务的关系问题,这里侵犯的是什么社会秩序,网络空间这种社会秩序怎么界定?技术专家就讨论技术上的安全问题。比如,开源代码不安全,还讨论哈希值怎么这么简单就破译了。因为它的密码是用哈希存储的。哈希怎么不被破译?
网络安全的学术观、实务观
再简单谈谈学术观与实务观。搞学术的老师往往注重概念的严谨性。他们关心网络安全是什么?叫什么?它的历史是什么?网络安全的学说有哪些?它跟信息安全到底是什么关系?与数据安全是什么关系。当然,理论学术研究是很重要的。但是,我个人认为在目前这个阶段搞这些概念争辩不是特别好,等成熟以后再去讨论概念和界定是比较好的。当一个新兴事物来的时候,你太纠结那个东西叫什么会很麻烦,最好是从实际问题出发研究怎么解决和应对。这里我想起一个事情,之前电子证据刚兴起的时候,也有概念之争。有些人说叫计算机证据、有些人说叫数字证据、有些人说叫电子物证。其实,电子证据就是那些东西,解决实际的问题就好了。搞实务的人员注意规则的实操性。比如说,有些实务派律师说,网络安全法最好能够解决实际问题,可以操作,别搞虚的,但是我觉得他们可能会失望。
网络安全的国外观、国内观
国外的网络安全法律,有很多专家都有研究,首先是国际法层面,目前最有影响的是《网络犯罪公约》。另外,我专门观察了美国网络安全的立法趋势。在9·11事件之前,美国主要是企业个人的网络安全立法。如,1997年《全球电子商务框架》、《1998年数字千年版权法》、《1999年在线隐私保护法》、《2000年全球及全国电子签名法》。9·11事件一出来,美国开始搞国家安全的立法。如,《2001年爱国者法》、《2002年国土安全法》第225条“网络安全加强法”、《2002年联邦信息安全管理法》。近些年他们搞社会安全方面的网络安全立法,包括人才培养。如,《2010年网络安全法案》、《2010年网络安全加强法案》。最近,美国开始积极关注网络空间国际立法的主导权。如,《2010年国际网络空间与网络安全合作法》、《2010年国际网络犯罪报告与合作法》。美国的网络安全协调官的职责之一就是负责发展多边合作,以制定国际准则、共同政策。另外,美国政府每年要向国会报告联合国各成员国的网络基础设施发展程度、网络犯罪活动程度、打击网络犯罪情况及网络犯罪预防措施,还提出针对某些弱势国家的援助计划和行动计划。这些显然表明他已经向国际法这块入手了。中国国内比较特殊的网络安全问题是,网络造谣和网络诈骗的问题。总书记在第一次信息化小组会议上也重点提到了网络舆论的问题。从事刑事司法的专家知道,网络诈骗也是很重要的事情。
一个杂家的观点
我重点讲讲我这个杂家的观点。
第一,我一直在思考网络到底是一个工具还是一个社会?如果它是一个工具,所有的传统世界的活动都有存在信息化升级的问题,就是利用网络工具升级的问题。只要使用网络这种工具,必然涉及到网络安全的问题。从目前来看,网络最好不要只看成一个工具,我个人认为网络是一个社会。这个社会,对国家而言是法域的扩展,对企业而言是市场的扩展,对于个人而言是生活空间的扩展。
第二,关于网络安全法的性质。如果把网络定性成一个网络社会,我个人觉得,网络安全法它其实跟特别行政区的基本法非常像。它涉及传统领域的法律规范在网络社会这个领域怎么适用的问题,这相当于大陆的法律在香港怎么用的问题,包括政治上怎么用,经济上怎么用,司法上怎么用,全部都存在这个问题。所以,我把网络安全法认为是传统领域的一个特别法。
另一方面,我还把它称之为网络领域的一个基本法,它是网络领域最高的法。当然,我认同网络安全法应当有一个体系,即网络安全法体系。而网络安全法是这个体系里的基本法,它的主要任务就是要回答传统法律体系在涉及到网络安全问题如何适用的问题,以及规定各个网络主体在网络社会里的基本权利义务关系。
第三,关于《网络安全法》的内容,我曾经做了一个比较全面的梳理。当然,这个梳理的逻辑起点是我把网络认为一个社会,把传统法律在网络中遇到的问题梳理出来,这里是简单的一些例举。
比如国际法的问题。我想起中国在外交上有一个很著名的事情,就是和平共处五项基本原则是中国提出来的,中国在网络领域能不能提出像周恩来总理当时提出的和平共处的五项基本原则成为一个国际法共同的一个规则。
比如宪法问题,涉及到网络安全的国家权力与责任,还有网络舆论自由权的问题,当然其实也包括国安委在宪法中的地位是什么。另外,个人信息权也呼吁了很久了。要不要写入宪法?
比如刑法问题,如果把网络作为一个应用的工具,用网络来实施传统的犯罪的时候,我们一般把这种犯罪叫做非纯正的网络犯罪,这种犯罪与传统刑事法律是什么关系?还有犯罪结果怎么认定,还有犯罪停止形态怎么认定?比如我发了一个文章,但是后来我发现发错了,马上删了。但是,有很多人天天泡网,已经把它转走了,这个犯罪停止形态怎么认定。包括共同犯罪,比如我发的文章,你转了,你是不是共同犯罪,因为你是帮助传播的。这里很多问题是值得研究的。我还在思考另一个问题,网络犯罪将来要不要增加新的刑法措施。这个家伙天天爱上博客乱发东西,将来是不是可以限制他上网,或者限制他上网多久。我记得看过一个电影,美国一个7岁小孩入侵国家政府的计算机系统,后来就不允许他家里装电话线,直到成年为止,这种做法在中国能不能适用。
还有行政法问题。现在网络安全行业问题比较多,百度、腾讯、360搞来搞去,这里就要讨论网络安全行业将来要不要搞准入制度,还有网络安全产品的审查制度。其实还有一个问题,比如说,网络产品有缺陷,行政执法部门要处罚,处罚结果要不要搞网络公开制度。不然,偷偷处理了,网民都不知道。这些全部都值得研究。
民商法里面也有很多问题,包括网络虚拟财产是不是民商法里面的财产,当然也包括电子商务安全的问题。
然后经济法的问题也不少,典型的是我知道有很多淘宝卖家,恶意给其他卖家恶评,这是不是不正当竞争,这里损害的是市场经济秩序。当然,也包括有人利用淘宝偷逃税,现在大家在淘宝买东西,有几个是拿发票的。所以,这是涉及到国家的税收秩序的安全。
大家就会发现,如果你把网络理解成一个网络社会,而不是理解成一个工具,在传统领域各种各样的问题在网络都会遇到。所以,这也就导致为什么不同专家,不同学者从不同领域都可以找出问题。所以,最好大家保持一个求同存异,开放的心态。
第七个是环境法的问题。如果大家把网络比作一个社会,网络木马、病毒、蠕虫防治,网络基础设施、网络基础资源、网络带宽的保护与利用,这些网络基础安全问题,更像是这个社会里面的环境法问题。当然,这是我个人的观点,大家可以讨论。
最后一个是诉讼法问题。我个人前期研究比较多的,就是网络取证。比如说,美国起诉中国军人事件,我特别认真看了他的证据,就是用IP地址、手机号码、电子邮箱锁定这个人。我们换一个思维,假设中国人起诉中国人,你敢根据这些电子证据认定这个事情吗?这是不是意味着将来我们在司法过程中,如果发生了这么一个案件,你怎么收集和认定这个证据。这恐怕也需要司法制度的创新。网络上的电子证据怎么收集,怎么认证,这是一个很重要的问题。
第四,谈到网络安全法的体系。首先我个人的观点认为(广义的)网络安全法确实是一个体系,而我们目前最缺的是网络安全的基本法(狭义的网络安全法)。我和一个同事曾经讨论过,他也认同这个观点,中国其实现在关于计算机、系统的一般法律、行政法规、部门规章其实并不少,但是最缺的是顶层的那个东西。儿子很多,但是老爸没有。所以,网络安全法的体系最缺的就是这个基本法,它要解决的问题就是刚才讲的那些问题。
至于一般法律、行政法规、部门规章这些网络安全法下位法怎么去处理呢?它可能有这几种立法方式,一是吸收式立法、二是单行式立法,三是综合式立法。比如网络安全的一些刑法问题,可能吸收到刑法规则里面去修订。这就是吸收式立法。比如,个人信息保护法、电子商务法,它完全有可能独立出来,专门做一个单行法。这就是单行式立法。
第五,关于网络安全法的借鉴与创新。从美国来看,美国不仅在政策上从防御到进攻是变化的,法律上也是从企业个人立法、国家安全立法、社会安全立法再到国际法这样横向变化的。当然,这是随着社会出现的问题而探索出来的。但是,中国因为这个时代的原因,和目前的处境,我们不可能像美国一样再去做横向的探索。所以,我们最好看看人家干了什么,哪些立法内容可以借鉴过来。目前来看,要全面覆盖国家安全、社会安全、企业个人安全,以及国际法问题。
在立法形式上也要创新,目前我个人认为,比较好的就是从上到下,从顶层到底层。先制定网络安全基本法,之后利用计划型,或者规划型的优势,分工给各个职能部门全面推进。通过制定、调整下位法,去执行基本法,这样可能是合适的。
总结
前面讲了很多,其实我的主要观点有三个。
第一,如果你把网络理解成一个社会,它会覆盖到传统社会里面的各方面问题。这是网络的“社会观”。
第二,把安全用社会秩序的角度去理解。因为既然是法,它调整的是社会秩序跟社会活动,如果仅仅限定于技术安全会非常狭隘。这是安全的“秩序观”。
第三,在网络的“社会观”和安全的“秩序观”基础上,不难理解网络安全法是传统社会的“特别法”和网络社会的“基本法”。
谢君泽,中国人民大学物证技术鉴定中心副主任
本文为YOCSEF特别论坛:中国网络安全立法研讨会主题演讲,转载于微信公共号“互联网实验室”