黃道麗
公安部第三研究所信息網絡安全公安部重點實驗室 上海 201204
我國近年來網絡安全事故頻繁發(fā)生,2008年全國信息網絡安全狀況調查結果顯示,我國網絡安全事故的發(fā)生已有了涉及面廣,影響程度深的特點,網絡安全已成為制約我國信息化發(fā)展的瓶頸。因此,加強網絡安全監(jiān)管成為推動我國信息化發(fā)展的現實需要。
我國網絡安全監(jiān)管主體制度的規(guī)定存在于網絡安全監(jiān)管法律中,而我國網絡安全監(jiān)管法律框架體系的構建,基本屬于“滲透性”模式,即國家沒有制定專門性的網絡安全監(jiān)管法律規(guī)范,而是將涉及網絡安全監(jiān)管的立法內容滲透、融入相關的法律、行政法規(guī)和部門規(guī)章中。
(1)網絡安全監(jiān)管的立法層次不高
從我國目前有關網絡安全監(jiān)管的立法現狀來看,國家沒有制定專門的網絡安全監(jiān)管法律規(guī)范。立法層次不高,現有規(guī)定中行政法規(guī)、規(guī)范性文件、部門規(guī)章及相關文件居多,法律、有關法律的規(guī)定較少。
(2)政府監(jiān)管機構的職權界定不明確
我國雖然已經建立起了由網絡與信息安全協調小組進行統籌協調,公安部、工業(yè)和信息化部、國務院信息產業(yè)主管部門、國家密碼管理機構和國務院其他有關部門等部門分行業(yè)監(jiān)管的網絡安全監(jiān)管體系,但實際情況大多是自我封閉、條塊分割監(jiān)管。
(3)行業(yè)組織的監(jiān)管主體地位不明確
我國對自律監(jiān)管給予了高度重視,但我國網絡安全監(jiān)管體制仍是一個自上而下的體系,法律法規(guī)的出臺、標準的制定、網絡安全評估體系的建立、認證認可體系的建立并不是根據行業(yè)的實際情況出發(fā)的,這容易造成網絡安全監(jiān)管“虛化”的問題。
(4)政府監(jiān)管機構與行業(yè)組織之間的協調機制缺乏規(guī)定
目前在我國,已經形成了中國互聯網協會在工業(yè)和信息化部的領導下致力于互聯網治理工作的模式,但政府監(jiān)管機構與行業(yè)組織之間的關系還不明確,政府監(jiān)管機構與行業(yè)組織之間的協調機制還沒有完全建立起來。
(5)監(jiān)管主體的法律責任規(guī)定不明確
目前在我國,除了被處罰者可依法提請行政復議和行政訴訟外,其他各項網絡安全監(jiān)管是否合理,基本上是由安全監(jiān)管機構自身及其上級做出判斷,并無被監(jiān)管者等利益相關者實施民主監(jiān)管的正常渠道。
我們應該把網絡安全監(jiān)管立法問題提高到事關國家安全、社會穩(wěn)定、產業(yè)發(fā)展的高度和信息化建設的全局來考慮,盡快制定一部網絡安全監(jiān)管的基本法律,在與我國整體政府機構的管理體系協調一致的前提下,明確專門的權威部門或機關對網絡安全實施統一和協調監(jiān)管。此外,圍繞網絡安全監(jiān)管法,可以制定配套的行政法規(guī)和部門規(guī)章,形成一個以網絡安全監(jiān)管法為核心、行政法規(guī)和部門規(guī)章作配套和補充的完整的法律體系。行政法規(guī)和部門規(guī)章中則可以就權威監(jiān)管機構之外的其他監(jiān)管機構及其職權進行詳細規(guī)定。
法律原則是指可以作為規(guī)則的基礎或本源的原理和準則。它沒有預先假定任何確定和具體的事實狀態(tài),沒有規(guī)定具體的權利和義務,也沒有賦予確定和具體的法律后果。網絡安全監(jiān)管主體設置的原則是指對確定網絡安全監(jiān)管主體起統帥作用的基本準則。網絡安全監(jiān)管主體的設置應該遵循依法原則和公眾參與原則。
(1)依法原則
依法原則包括兩方面的內容:第一,管理機構必須依法設定。網絡安全監(jiān)管機關的設置、職能、權限劃分、職權的行使程序等由法律規(guī)定,其必須在法定的權限范圍內活動,越權則無效。第二,網絡安全監(jiān)管機關的監(jiān)管行為必須符合法律規(guī)定。首先,進行網絡安全監(jiān)管的時候,不得超越其職權。其次,監(jiān)管機構的監(jiān)管活動不僅要遵守實體法,還要遵守程序法。
(2)公眾參與原則
公眾參與原則要求網絡安全監(jiān)管摒棄封閉式的監(jiān)管體制,建立開放式監(jiān)管體制。從政府強有力的貫徹向用戶的普遍參與過渡,體現積極防御和風險控制思想。風險控制思想的實質是以高效率的網絡安全保障為原則,將風險控制的責任分配給最有能力控制風險的一方。行業(yè)主管部門最熟悉行業(yè)的網絡應用情況,投資者最關心其投資利益,應當給他們分配相應的風險控制責任。給行業(yè)、投資者和用戶分配控制風險責任還在于認識到政府管理能力的有限性。毫無疑問,政府發(fā)現、分析威脅網絡安全需要及時掌握必要的信息,而如果企業(yè)知情不報,信息收集、通報和分析的工作就無法落實。只有政府和企業(yè)、個人密切配合,才能彌補政府網絡安全監(jiān)管能力的不足,使其更好地履行職責,實現保障社會安全的目標。
(1)明確各個政府監(jiān)管機構的職權
我國可以考慮對工業(yè)和信息化部、公安部、國家安全部等部門的職權重新調整,以增強其協同執(zhí)法的能力。目前我國政府網絡安全監(jiān)管機構的職權可做如下明確:
工業(yè)和信息化部主要負責從行政監(jiān)管上加強網絡安全管理。其監(jiān)管職權具體應該包括:負責建設和管理網絡與信息安全技術平臺,做好經營性互聯網網絡安全的應急協調工作;對互聯網接入服務商、互聯網信息服務提供者和聯網單位的聯網備案、記錄留存、有害信息報告、清除等安全管理制度的落實情況進行監(jiān)管檢查。工業(yè)和信息化部還可根據國務院新聞辦、公安部、國家安全部等中央授權部門的要求,利用網絡與信息安全技術平臺,對網上有害信息進行監(jiān)控,對違規(guī)從事網上業(yè)務的境內網站,依法采取責令整頓,予以關閉等行政處罰措施。
公安部則負責互聯網的安全監(jiān)督。其主要職權應該包括:對網上反動、淫穢、賭博等有害信息進行監(jiān)控,負責打擊攻擊破壞網絡和傳播計算機病毒等違法犯罪活動的應急協調工作,依法處罰和打擊網上違法犯罪行為;對互聯網安全管理制度落實情況進行監(jiān)督檢查,對境外有害信息網站提出封堵意見并通知行業(yè)主管部門實施。
國家安全部則負責互聯網中國家安全事項管理工作。負責對間諜組織以及敵對勢力內外勾結利用互聯網危害國家安全的行為進行查處。對境外有害信息網站進行監(jiān)控并提出封堵意見,并通知互聯網行業(yè)主管部門實施。
(2)明確行業(yè)組織的監(jiān)管主體地位
我國應該改變目前網絡安全監(jiān)管主體的單一性模式,尋求多樣化的監(jiān)管主體來共同實施網絡安全監(jiān)管,實行政府機構與自律組織共同聯合監(jiān)管的模式。明確行業(yè)組織的監(jiān)管主體地位包括以下內容:
首先,行業(yè)組織從內部完善自身的治理結構。以中國互聯網協會為例,完善它的治理結構就應當改革其內部組織結構和決策機制。限制政府官員兼任互聯網協會的領導,改革理事會,使會員大會成為互聯網協會的決策核心。
其次,在法律中對行業(yè)組織自律監(jiān)管職權進行充分合理的配置,樹立自律組織的威信。自律組織實施監(jiān)管的權力不足直接制約了我國網絡安全自律監(jiān)管的發(fā)展??稍诰W絡安全監(jiān)管法中明確自律組織如中國互聯網協會的監(jiān)管主體地位,規(guī)定“互聯網協會可以根據組織章程、行業(yè)標準或準則,對會員實施自律監(jiān)管,互聯網協會有權對會員進行檢查、調查、處分,互聯網協會可以設立會員之間發(fā)生的糾紛的調節(jié)或仲裁制度?;ヂ摼W協會可以依本法或其自治規(guī)章對侵犯網絡安全行為進行制裁”。
最后,自律組織的活動也必須在法律規(guī)定的框架之內進行。
(3)建立政府監(jiān)管機構與行業(yè)組織之間的協調機制
建立兩者之間的協調機制可從兩方面進行:
一是從法律層次上進行的協調設置,網絡安全監(jiān)管法律中應明確規(guī)定政府機構和行業(yè)協會相對獨立的監(jiān)管職權,交叉部分要明確主次,不能出現政策實施和監(jiān)管的“真空”,在法規(guī)中明確政府監(jiān)管機構和自律組織聯合執(zhí)法的范圍,同時應設有專門的機構負責政府監(jiān)管機構與自律組織的協調工作。
二是在法律明確了各自的職權的基礎上,我國應該建立兩者之間互相支持以應對網絡攻擊事件的信息共享機制。這是因為行業(yè)組織或私營部門擁有和經營管理著主要的關鍵基礎設施,但政府卻具有獨特的信息和分析能力,政府與這些私營部門進行合作,共同分析和使用這些信息,可以共同實現網絡安全監(jiān)管。我國應該確立雙向的信息共享機制:一方面,鼓勵協會與政府機構共享信息,確保政府部門不會透露協會成員自愿提供的關于威脅和攻擊的信息;另一方面,要求政府機構在保護秘密信息和其他敏感的國家安全信息的基礎上,適當地將有關信息與行業(yè)協會共享。
(4)明確監(jiān)管主體的法律責任
按照“誰主管誰負責,誰運營誰負責”的原則,各部門要建立和落實責任追究制,要有專門單位、專門人員負責網絡安全監(jiān)管工作。責任追究制主要審查政府監(jiān)管機構是否存在濫用網絡安全監(jiān)管職權的行為,是否存在超越其監(jiān)管職權的行為,是否存在對“監(jiān)管不作為”導致的關鍵基礎設施受到網絡安全攻擊、破壞后果的行為,是否存在不履行法律規(guī)定的程序、顛倒順序或步驟等程序違法的行為。如果網絡安全監(jiān)管主體存在上述違法行為,應當依法追究其法律責任。
對于違反了上述違法行為的監(jiān)管主體,應規(guī)定相應的法律責任。對“監(jiān)管不作為”導致的關鍵基礎設施受到網絡安全攻擊、破壞后果的行為,主要負責人和直接責任人應當承擔法律責任;對網絡安全監(jiān)管主體因未履行網絡安全監(jiān)管職責而違反法律規(guī)定,造成重大網絡安全事故發(fā)生,應按照《刑法》規(guī)定的瀆職罪定罪量刑;對造成網絡安全信息共享中對信息延遲、信息截留、信息錯誤等后果的負責人和工作人員,按照情節(jié)輕重分別給予警告、記大過、降級、撤職、開除的處分;因監(jiān)管機構及其工作人員失職、瀆職造成公民、法人或者其他組織受到不應有的損害,應追究賠償責任。
[1] [美]博登海默.鄧正來譯.法理學、法律哲學與法律方法[M].北京:中國政法大學出版社.1999.
[2] 馬民虎.互聯網安全法[M].陜西:西安交通大學出版社.2003.
[3] 李揚,王國剛.資本市場導論[M].北京:經濟管理出版社.1998.
[4] 李德智.互聯網治理之初探.河北法學[J].2004.
[5] 王全興,管斌.社會中間層主體研究.經濟法論叢[M].第5卷.北京:中國方正出版社.1999.
[6] 趙福建.證券自律監(jiān)管的經濟法視角研究[D].天津師范大學.2005.
[7] 姜明安.行政法與行政訴訟法[M].北京大學出版社.高等教育出版社.1999.
[8] 盛學軍.政府監(jiān)管權的法律定位.社會科學研究[J].2006.
[9] 周漢華.基礎設施產業(yè)政府監(jiān)管權的配置.國家行政學院學報[J].2002.
[10] 孫笑俠.法的現象與觀念[M].北京:群眾出版社.1995.
[11] [法]孟德斯鳩.論法的精神(上)[M].北京:商務印書館.1982.