- 背景资料
- 创建于 2018年9月20日 09:11:54
- 点击数:17933
2016 年11 月7 日,第十二届全国人民代表大会常务委员会第二十四次会议通过了《中华人民共和国网络安全法》。《网络安全法》全文共七章七十九条,自2017 年6 月1 日起正式施行。这是我国网络安全立法方面迄今为止最为重要的一部法律,本刊特邀请多位专家从多个角度对其进行了深入分析。
2016 年11 月7 日,十二届全国人大常委会第二十四次会议表决通过《中华人民共和国网络安全法》(以下简称《网络安全法》)。《网络安全法》是我国网络安全领域的基础性法律,共有七章七十九条,内容十分丰富,最突出的亮点是确定了保障网络安全的十大法律制度。
维护网络空间主权法律制度
“网络空间主权”是我国《国家安全法》首次提出的概念,这一概念在我国法律上的应用具有重要意义。由于网络空间的电子性、虚拟性,因而在处理网络空间事务时是否应当受作为现代国际法基石的主权原则支配,是国际社会目前面临的重大问题。
习近平在中央网络安全和信息化领导小组第一次会议上讲话时明确指出,没有网络安全就没有国家安全,没有信息化就没有现代化。对此,我国《网络安全法》第一条开宗明义:“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。”可见“维护网络空间主权和国家安全”是我国网络安全立法的目的与宗旨,这表明我国坚定地主张网络空间活动应遵循主权的原则。“维护网络空间主权和国家安全”作为一项法律制度明确了我国处理网络空间主权事务的根本原则,意味着我国各领域在开展网络空间活动、处理网络空间事务时,应尊重他国主权,并且反对任何国家在网络空间侵害别国主权。
在第二届世界互联网大会上,中国国家主席习近平发表主旨演讲,他向全世界发出了共同构建网络空间命运共同体的号召,并提出了推进全球互联网治理体系的四项原则:尊重网络主权,维护和平安全,促进开放合作,构建良好秩序。
笔者有幸作为“乌镇峰会专家”对习主席提出的全球互联网治理的“四项原则”进行了点评:国家主权是一个国家独立自主地处理对内对外事务的最高权力,是国家的固有属性。国家无论大小强弱、制度不同,都有自己的主权。没有主权的行为体不能称之为国家。《联合国宪章》明确规定,“联合国会员国之间的关系应基于尊重主权平等之原则。” 1970 年,联合国大会通过的《国际法原则宣言》进一步对国家主权平等原则进行了解释和明确,进一步提高了国家主权原则的首要地位及处理国际关系的作用。在互联网时代,国家主权从领土、领空、领海等领域拓展到网络空间,形成了基于国家主权的“领网权”,“领网权”是国家主权在网络空间的继承和延伸。《网络安全法》明确了互联网是国家重要基础设施,因此中华人民共和国境内的互联网属于中国主权管辖范围,中国的互联网主权应受到尊重和维护。
构建网络安全标准体系法律制度
网络安全标准化是网络安全保障体系建设的重要组成部分,在构建安全的网络空间、推动网络治理体系变革方面发挥着基础性、规范性、引领性作用。《网络安全法》第十五条规定,国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。
经中央网络安全和信息化领导小组同意,中央网信办、国家质检总局、国家标准委于2016 年8 月联合印发《关于加强国家网络安全标准化工作的若干意见》要求建立统筹协调、分工协作的工作机制,加强标准体系建设,提升标准质量和基础能力,强化标准宣传实施,加强国际标准化工作,抓好标准化人才队伍建设,做好资金保障。按照部署,我国将系统地围绕国家战略需求,开展关键信息基础设施保护、网络安全审查、工业控制系统安全、大数据安全、个人信息保护、网络安全信息共享等领域标准的研制工作。按照《网络安全法》的规定,今后所有的网络产品、服务均应当符合相关国家标准的强制性要求。
完善网络安全等级保护法律制度
网络安全等级保护法律制度是国家在打造网络强国和发展社会信息化的过程中,提高网络和信息安全保障能力与水平,维护国家安全、社会稳定和公共利益,保障和实现网络强国的一项基本法律制度。实行该制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强网络安全保护的整体性、针对性和实效性。
《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照[来自wWw.lW5u.CoM]规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施等。
我国政府历来重视网络安全等级的保护,1994 年就颁布了《中华人民共和国计算机信息系统安全保护条例》,首次以法律的形式明确了“计算机信息系统实行安全等级保护”,安全等级的划分标准和安全等级保护的办法主要由公安部会同有关部门制定。1999 年我国发布了《计算机信息系统安全保护等级划分准则》(GB17859-1999),本标准规定了计算机系统安全保护能力的五个等级,即第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。2003 年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27 号),明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。 2007 年6 月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》,明确了信息安全等级保护的具体要求。
明确网络运营者履行安全义务法律制度
在《网络安全法草案》征求意见期间,一些地方、部门、社会公众提出,为营造良好的网络环境和秩序,应当进一步强化网络运营者的社会责任。对此《网络安全法》增加了网络运营者必须遵守法律、行政法规,遵守社会公德、商业道德,诚实信用,履行网络安全保护义务,接受政府和社会公众的监督,承担社会责任的内容。
一是明确了网络运营者的社会责任。网络运营者的社会责任是指企业在创造利润、对股东承担法律责任的同时,还要承担遵守法律、尊重社会公德和商业道德,诚实信用地履行网络安全的责任。它要求企业必须超越把利润作为目标的传统理念,强调企业经营和服务过程中对网民价值的关注,强调对网络环境的维护和治理。《网络安全法》第九条要求,网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。
二是设定了网络运营者安全保护的义务。《网络安全法》第二十一条对网络运营者的安全义务做了详细规定,如确定了网络安全负责人制度、强化网络安全行为的技术措施、采取数据分类、重要数据备份和加密等措施,同时要求网络运营者采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
三是强化了网络运营者提供安全的网络产品和服务的义务。《网络安全法》第二十二条从五个方面强化了网络运营者的产品与服务的义务:①所有网络产品、服务应当符合相关国家标准的强制性要求;②网络产品、服务的提供者不得设置恶意程序;③网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,及时告知用户并向有关主管部门报告;④应当为其产品、服务持续提供安全维护,同时在规定或者当事人约定的期限内,不得终止提供安全维护;⑤如果网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意,并遵守有关法律、行政法规关于个人信息保护的规定。
完善个人信息保护法律制度
为了强化保护公民个人信息安全,防止公民个人信息被窃取、泄露和非法使用,《网络安全法》在《全国人民代表大会常务委员会关于加强网络信息保护的决定》的基础上用较大的篇幅专章(第四章网络信息安全)规定了公民个人信息保护的基本法律制度,主要有四大亮点:①网络运营者收集、使用个人信息必须符合合法、正当、必要原则。②规定网络运营商收集、使用公民个人信息的目的明确原则和知情同意原则。③明确公民个人信息的删除权和更正权制度,即个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。④规定了网络安全监督管理机构及其工作人员对公民个人信息、隐私和商业秘密的保密制度等。
目前,侵犯个人信息和实施通讯信息网络诈骗等新型网络违法犯罪呈多发态势,对此《网络安全法》有针对性地规定:任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布与实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动有关的信息。这些规定为今后的《个人信息保护法》的制定提供了上位法依据。
强化关键信息基础设施安全保护法律制度
《网络安全法》明确了关键信息基础设施的重点保护范围,即“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”这是我国首次在法律层面提出关键信息基础设施的概念和重点保护范围。
为了明确关键信息基础设施安全保护的责任,《网络安全法》从国家和关键信息基础设施运营者两大层面,明确了对关键信息基础设施安全保护的法律义务与责任。在国家层面,按照国务院规定的职责分工,由专门机构负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作;在关键信息基础设施运营者方面,《网络安全法》在第二十一条做了一般性规定外,在第三十四条专门设定了关键信息基础设施的运营者应当履行的四大安全保护义务和一项兜底条款,即设置专门安全管理机构和安全管理[来自wwW.lw5u.cOm]负责人;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期进行演练,以及法律、行政法规规定的其他义务。
《网络安全法》还特别规定:境外的个人或者组织从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该个人或者组织采取冻结财产或者其他必要的制裁措施。
确立限制关键信息基础设施重要数据跨境流动法律制度
联合国跨国公司中心对跨境数据流动的界定是:跨越国界对存储在计算机中的机器可读的数据进行处理、存储和检索。关于一国境内个人信息和重要数据的跨境流动问题,许多国家都规定了重要数据本地化存储、禁止重要数据的跨境流动以及数据跨境流动的安全评估制度。比如美国制定的《出口管理条例》(EAR)和《国际军火交易条例》(ITAR)分别对非军用和军用的相关技术数据的进行出口实施许可管理制度;再如印度的电信许可制度要求各类电信运营商和互联网服务提供商,均不得允许将用户账户信息、用户个人信息转移至境外,否则将吊销经营许可。
实际上数据的流动主要发生在服务器之间的流动, 如果网络运营者的服务器设置在国外, 数据或信息就可能在境内外的服务器之间流动,最终导致个人信息或数据的跨境流动。长期以来,我国对一些特殊领域的个人信息和重要数据存储的位置没有明确规定。就此问题,《网络安全法》专门对关键信息基础设施运营者的个人信息存储地点提出了特殊要求:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息与重要数据应当在境内存储。因业务需要确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
确定了培养网络安全人才法律制度
网络空间的竞争,归根结底是人才的竞争。人才培养是实施网络强国战略进程中的必备基础和先决条件,是建设网络强国的关键所在。尤其是网络技术领军人才的培养、储备和运用是网络强国战略实施之根本,也是网络强国能否成功之基石。网络安全人才的培养应当重点发挥高等院校、科研机构和网信企业的作用。《网络安全法》提出,国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。笔者认为,培养网络安全人才应当在三个方面重点发力:
一是夯实重点和特色高校的网络安全学科建设。在培养模式上以发达国家对标的方式,采取“学习、科研、实训、实战”四位一体的培养模式。着重培养四大领域的专家人才,即网络安全战略专家、网络安全国际法专家、核心领域技术专家、网络技术创新专家。二是推动高等院校、科研机构与行业企业深度合作,协同创新。从培养目标、课程设置、教材编制、实验室建设、实训基地、课题研究、联合演练等环节加强同高等院校、科研机构与企业的合作。三是强化网络安全师资队伍建设。各级政府和教育行政部门应当创造条件,积极鼓励高校和职业院校与企业网络安全技术专家进行双向交流。鼓励高校和职业院校的专业教师到企业参与网络技术的研发工作,同时吸引企业从事网络安全的技术人才来高校或职业学校从事网络安全教学工作。
建立了网络安全监测预警和信息通报法律制度
近几年,国家关键基础设施领域网络信息安全事件频繁发生,呈现不确定性、全局性和连锁性特点,加强监测预警与应急处置已经成为国际社会的普遍共识,尤其是建立应急处置已经成为治理网络安全活动的基本措施。
《网络安全法》第五十一条规定,国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。鉴于网络信息安全的专业性、复杂性和全局性,必须由专门的机构负责网络的监测预警,以便及时把握网络信息安全事件发生的动态和规律。
《网络安全法》分别对关键信
息基础设施安全保护部门和国家网信部门做出了具体要求,即负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息;国家网信部门应当协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。
确立了网络通信管制法律制度
网络空间是虚拟社会,当出现一些突发性重大事件时,就会对网络通信实施管制。类似管制措施在其他国家的立法中早已出现。根据《中华人民共和国突发事件应对法》第三条的规定,突发事件,是指突然发生,造成或者可能造成严重社会危害,需要采取应急处置措施予以应对的自然灾害、事故灾难、公共卫生事件和社会安全事件。按照社会危害程度、影响范围等因素,自然灾害、事故灾难、公共卫生事件分为特别重大、重大、较大和一般四级。
按照上述法律规定,发生特别重大突发事件,对人民生命财产安全、国家安全、公共安全、环境安全或者社会秩序构成重大威胁,采取《中华人民共和国突发事件应对法》和其他有关法律、法规、规章规定的应急处置措施不能消除或者有效控制、减轻其严重社会危害,需要进入紧急状态的,由全国人民代表大会常务委员会或者国务院依照宪法和其他有关法律规定的权限和程序决定。
《网络安全法》第五十八条规定:“因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。”可见,我国实施网络通信管制措施非常严肃和慎重,需具备三个条件:一是必须是为了处置重大突发社会安全事件的需要;二是处置的范围是特定区域,且是临时性措施;三是实施网络通信管制须经国务院决定或者批准。
我国网络安全法律制度的基本特征
我国《网络安全法》确立的十大基本法律制度主要是调整网络安全领域的建设、运营、维护和网络使用,以及网络安全监督管理等过程中形成的基本法律制度,具有以下四个突出特征:
一是整体性。《网络安全法》确立的法律制度不是数个有关网络安全法律规范机械的组合,而是各个相关网络安全法律规范的有机结合。在网络安全法律制度内,所有网络安全法律规范应当协同一致,形成一股合力,发挥统一的功能和作用。之前我国出台的单个法律规范,如《关于加强网络信息保护的决定》、《关于维护互联网安全的决定》、《计算机信息系统安全保护条例》、《互联网信息服务管理办法》等应当服从《网络安全法》整体的要求;今后出台的国家或地方单个网络安全法律规范应当与《网络安全法》确立的目的、任务和基本原则相符合。
二是协调性。《网络安全法》确立的基本法律制度有自己独立的调整对象,能独立运行和操作,实现其网络社会功能和网络空间治理的目的,因此具有一定的独立性。网络安全法律制度不是各自为政、相互对立,而是在整个法律体系中彼此相互影响、相互作用、相互协调。比如《网络安全法》从维护网络空间的国家主权和维护公共利益到保护公民、法人和其他组织在网络空间的合法权益均体现了协调统一的特征。网络安全法律制度的协调性是由网络空间各利益相关方的普遍联系决定的。
三是稳定性。网络安全立法是互联网时代一项极其严肃、紧迫和慎重的国家顶层战略,在立法进程中始终坚持了“安全与发展并重”这一基本原则,集中体现了可持续安全的发展理念,且经过了严格的程序,内容经了反复讨论和修改,集中了社会最广泛的智慧,符合我国网络安全治理的实际需要,在稳定性的基础上又具有一定的灵活性,必将给网络安全的治理带来稳定的秩序和安定。
四是可操作性。我国《网络安全法》的可操作性主要体现在以下方面:
1. 确定了相关法定机构对网络安全的保护和监管职责。如《网络安全法》第八条规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
2. 调整的网络空间关系客观存在,网络安全法确定的内容与网络空间利益相关者的关系相互协调、相互作用、互为统一。我国网络空间无论是潜在的还是现实的,其复杂性和风险性都是有目共睹和客观存在的,因此迫切需要一部系统的网络安全法对其进行维护和治理。《网络安全法》作为我国首次系统性推出的网络安全基本法,系统地平衡了涉及国家、企业、公民等多元主体的网络权利与义务关系,清晰地协调了政府管制和社会共治网络治理的关系,形成了以法律为根本治理基础的网络治理模式。
3. 权利义务的分配相对合理,规定切实可行。如《网络安全法》第十二条具体规定了“国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动”;同时又规定了“任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。”
4.内容详细具体,规定衔接配套,主要内容包括维护网络主权和战略规划、保障网络产品和运行安全、保障网络数据和信息安全等,覆盖关键基础设施运营安全、网络信息安全和监测预警与应急处置,力度之大、范围之广前所未有。主要体现在三大层面:在国家安全层面,强调网络主权、关键基础设施保护、跨境数据流动、非法信息传播;在产业发展层面,支持和促进网络安全技术和产业发展;在个人权利保护层面,强调保护个人信息安全和数据财产安全。
5. 语言明白准确,不含糊其辞,不模棱两可,对网络安全涉及的主要词语进行了文意解释。比如“网络”,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统;“网络安全”,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力;“个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
“天下之事,不难于立法,而难于法之必行。”只有建立“权责法定、执法严明、公开公正、廉洁高效、诚实守信、健康文明”的网络安全环境,才能赋予《网络安全法》的生命力,树立《网络安全法》的权威性。(南京邮电大学信息产业发展战略研究院院长 王春晖)
- 友情链接
- 今日访问量:5440 总访问量:80978691