万众瞩目之下,全国人大终于在2015年7月6日公布了《网络安全法(草案)》。认真研读了该草案之后,笔者可以用“半喜半忧”来形容心情。就如笔者的朋友所说,《网络安全法》意义重大、争议不小。但,不论若何,有些事,不管有没有用,总要有人去做!这也许也是学者所应该承担的责任。 草案公布后,笔者及所在研究团队已经在《网络安全法(草案)》原条款内容的基础上,结合我们自己起草的《网络安全法(学者建议稿)》,提出了全面修改建议,随后将提交有关部门。在此,笔者愿意将《网络安全法(草案)》的几个重大问题做些总结,以期高明之士斧正。
首先是关于《网络安全法(草案)》的立法定位。从理论上讲,网络安全法涉及到宪法、刑法、行政法、民商法、经济法、环境法、诉讼法、国际法之方方面面。如果一次性地全面立法,既增加了立法难度,也难保科学正确。欲速则不达。仓促之下,必有毗误。因此,全国人大在《网络安全法(草案)》的说明中指出,重点对网络自身的安全作出制度性安排,同时在信息内容方面也作出相应的规范性规定。笔者认为,这无疑是十分明智的。 然而,《网络安全法(草案)》的问题也很多,而且在笔者看来都是十分重大的问题。笔者扼要例举如下:
第一个问题是草案的立法体例问题。草案将体例分为总则,网络安全战略、规划与促进,网络运行安全,网络信息安全,监测预警与应急处置,法律责任,附则这几大部分。然而,这几大部分,尤其是网络安全战略、规划与促进,网络运行安全,网络信息安全,监测预警与应急处置,是一种什么样逻辑关系?草案说明中指出,从网络设备设施安全、网络运行安全、网络数据安全、网络信息安全等方面建立和完善相关制度,体现中国特色。然而,笔者大胆猜测,这四个方面恐怕也仅仅是相关部门的感性经验认识与总结。它们并不具有严格的法律逻辑体系。
同时,笔者还发现,整篇草案几乎全部都是政府授权性条款和企业、公民的义务性条款。仅有第九条提到“国家保护公民、法人和其他组织依法使用网络的权利”,及第五十四条与相关条款中提到“保护公民个人信息的权利”。草案全篇都在描述政府如何管理,以及企业和个人如何配合政府管理。从本质上讲,这种立法体例已经俨然将“网络安全法”换位成国内的“网络安全管理法”。
从另一方面讲,只关注国内的网络安全管理是十分狭隘的。实际上,从境外发起的针对我国的网络安全入侵,其危险性、危害性更大,甚至要比国内的网络安全管理问题更重要!当然,不能否认,国内的网络安全管理规定也是十分重要的。但是,它仅仅是《网络安全法》的一部分!
因此,笔者认为,有必要重新调整《网络安全法(草案)》的立法体例。既要明确网络安全的管理规定,也要明确企业、个人的权利与义务,更要从国家安全角度防范来自境外的网络安全入侵。当然,草案已经提出的有关国家机构职能、国家网络安全战略及专门提出的网络主权问题都是十分重要的,必须纳入本次立法范畴。
第二个问题是网络主权问题。草案只在第一条提到“网络空间主权”的概念,此后再无任何相关陈述。这种“蜻蜓点水”的立法方式既不符合传统立法形式要求,也不具有立法的实际效果。对于具有主权性质的法律规定,一般规定在基本法的序言部分,它用于宣誓国家对某一领域的主权及国家对某一领域的国际法原则主张。比如说,中华人民共和国宪法、香港特别行政区基本法均设有序言部分。至于,提出网络主权概念,其本身并非世界独有的创新。笔者认为,真正的创新不如提出网络主权的具体规定。比如说,我们在《网络安全法(草案)》的建议稿中提出建议,不妨将“中华人民共和国领域内网络设施上所形成的网络空间是中华人民共和国国家主权的重要组成部分。中华人民共和国在网络主权范围内享有独立的立法权、行政权、司法权。网络主权神圣不可侵犯。”、“捍卫国家网络主权是中华人民共和国的权力与责任。中华人民共和国反对任何网络入侵或以网络入侵相威胁的行为,国家得采取必要措施进行自卫与反制。”、“中华人民共和国本着相互尊重、相互信任的原则,与各国通过积极有效的国际合作,共同构建安全、开放、透明的网络空间,开展多种形式的交流与合作,倡导通过和平对话方式解决网络争端。”、“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。在中华人民共和国境外使用网络,侵犯中华人民共和国网络空间主权,侵犯中华人民共和国国家安全、社会公共利益及公民、法人和其他组织的合法权益的,可以适用本法。在中华人民共和国境外使用网络,即使行为地法律不认为是违法犯罪的,中华人民共和国有权在网络主权范围内采取相应的封锁、过滤等管制措施。”作为网络主权的具体规定。
第三个问题是草案对网络主体的归纳与描述问题。笔者相信,绝大多数人对草案中的网络主体描述都存在理解困难。为什么用“网络运营者”的概念?为什么用“电子信息发送者发送的电子信息”、“应用软件提供者”的概念?既不好理解,又不能合理科学地区分实践中的网络主体。由于不同的网络主体,其权利与义务又是不尽相同的,因此草案法条中关于网络主体的权利义务描述必然也是十分混杂的。值得说明的是,从立法语言角度讲,网络主体的称谓应当是通俗易懂、简短明了的。即使目前并没有约定俗成的法律称谓,但本法完全可以通过立法解释予以释明。
笔者及研究团队曾经试图对《网络安全法》中的网络主体进行理论上的归纳描述。具体而言,我们首先将网络活动中的基本结构作了示意描述,如下:
以上示意图表明,从网络自身安全的角度出发,网络安全法的主体主要包括四大类,即一般网络用户、网站运营人、网络运营商和网络主管部门。所谓的一般网络用户是指利用网络访问系统开展生产生活活动的网络主体,包括个人和组织;网站运营人是指利用网络服务系统提供各种服务的网络主体,包括个人和组织;网络运营商是指提供网络基础通信服务的网络主体,主要是组织;网络主管部门是指具有网络监管职能的政府部门,包括网信部门、工信部门等。
此外,还有两类主体也应该纳入网络安全法的调整范畴。一类是,网络设备生产者,它是为一般网络用户、网站运营人、网络运营商提供软件、硬件设备与产品的组织与个人。另一类是网络行业组织,它在网络安全中也具有十分重要的地位和作用。
实际上,以上示意图已经表明了笔者所要谈到的第四个问题,即网络安全要素问题。网络自身安全应当由网络系统安全、网络数据安全、网络信道安全及网络主体秩序安全这四个要素构成。笔者认为,在网络安全法的起草过程中,应当将该四要素全部纳入考量。任一要素缺失,都是网络安全体系的疏漏。
尤其是,网络信道安全一直是目前法律法规中比较忽视的要素。之前,朝鲜遭受国外的网络攻击正是通过恶意流量封堵网络出入口节点。实际上,据笔者所知,国内各地司法部门正在处理多起利用DDOS封堵网络信道的网络攻击。
当然,由于《网络安全法(草案)》的说明中指出,重点对网络自身的安全作出制度性安排,因此可以将网络主体秩序安全仅做部分规定,即与网络自身安全直接相关的部分。
第五个问题是网络行政主体的职权划分仍然较为模糊。无论出现何种形式的网络违法犯罪活动,总能发现有多个部门能够交叉监管。这是网络的技术特性所决定的。为了强化网络安全的领导与管理,美国在白宫内设立一个总统特别助理兼“网络安全协调官”,旨在提高机构间协作与同步协调效率,协调和整合政府的网络政策,制定网络安全长远规划,统揽整个美国网络安全管理事务,对重大的计算机事件和攻击做出协同反应。
从草案第六条规定来看,本法似乎将网信部门定性成网络安全的“统筹协调”部门和“监督管理”部门。这与美国的“网络安全协调官”角色近乎相同。不管如何,笔者认为,网信部门与其他部门的职权划分及角色定位有待进一步梳理、明确。虽然这也是“立法之难隐”!
最后,草案的立法语言、立法技术仍有上升空间。如,不应将网络安全的制度描述与具体实施条款混揉描述,不应对“网信部门”采用简称。当然,各个法律条款可以继续抽象、简练、准确些。
虽然笔者吹毛求疵,但是本草案可圈可点之处还是许多!既包括前面所述提出“网络主权”概念,也包括将关键网络基础设施保护、网络安全监测与应急响应、网络安全等级保护、网络实名等制度化。
求全责备!不知为何,世界各国均主张推行的网络安全公私合作、网络安全的国际合作在草案中并无太多体现?