深入推進(jìn)網(wǎng)絡(luò)安全法治化建設(shè)

文/盧超

深入推進(jìn)網(wǎng)絡(luò)安全法治化建設(shè)

文/盧超

《國家安全法》對信息安全體系建設(shè)作出戰(zhàn)略部署，從網(wǎng)絡(luò)技術(shù)研發(fā)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、網(wǎng)絡(luò)違法犯罪治理、網(wǎng)絡(luò)空間主權(quán)維護(hù)等多個視角對信息安全制度建設(shè)進(jìn)行了頂層設(shè)計(jì)，確立了針對網(wǎng)絡(luò)信息技術(shù)產(chǎn)品與服務(wù)的國家安全審查機(jī)制。網(wǎng)絡(luò)安全法（草案）從保障網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全、網(wǎng)絡(luò)運(yùn)行安全、網(wǎng)絡(luò)數(shù)據(jù)安全、網(wǎng)絡(luò)信息安全等諸多方面進(jìn)行了具體制度設(shè)計(jì)。作為落實(shí)《國家安全法》的部門法，網(wǎng)絡(luò)安全法不僅將《國家安全法》中涉及信息安全的事項(xiàng)予以細(xì)化，更以網(wǎng)絡(luò)空間為載體，統(tǒng)籌政治、經(jīng)濟(jì)、文化等國家安全各個領(lǐng)域。

網(wǎng)絡(luò)安全是事關(guān)國家安全和經(jīng)濟(jì)社會發(fā)展的重大戰(zhàn)略問題。習(xí)近平總書記在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上，提出了“沒有網(wǎng)絡(luò)安全就沒有國家安全”的科學(xué)論斷。2015年7月1日通過的《國家安全法》，對信息安全體系建設(shè)作出戰(zhàn)略部署，從網(wǎng)絡(luò)技術(shù)研發(fā)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、網(wǎng)絡(luò)違法犯罪治理、網(wǎng)絡(luò)空間主權(quán)維護(hù)等多個視角對信息安全制度建設(shè)進(jìn)行了頂層設(shè)計(jì)，確立了針對網(wǎng)絡(luò)信息技術(shù)產(chǎn)品與服務(wù)的國家安全審查機(jī)制。

在互聯(lián)網(wǎng)時代，我國面臨嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)，需要從國家治理現(xiàn)代化的戰(zhàn)略高度，在《國家安全法》的基礎(chǔ)上，通過網(wǎng)絡(luò)安全法等專項(xiàng)立法實(shí)現(xiàn)對網(wǎng)絡(luò)安全的全面掌控。2015年6月24日，十二屆全國人大常委會十五次會議初次審議了網(wǎng)絡(luò)安全法（草案）。草案從保障網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全、網(wǎng)絡(luò)運(yùn)行安全、網(wǎng)絡(luò)數(shù)據(jù)安全、網(wǎng)絡(luò)信息安全等諸多方面進(jìn)行了具體制度設(shè)計(jì)。作為落實(shí)《國家安全法》的部門法，網(wǎng)絡(luò)安全法不僅將《國家安全法》中涉及信息安全的事項(xiàng)予以細(xì)化，更以網(wǎng)絡(luò)空間為載體，統(tǒng)籌政治、經(jīng)濟(jì)、文化等國家安全各個領(lǐng)域。

“十三五”規(guī)劃進(jìn)一步提出，強(qiáng)化信息安全保障，統(tǒng)籌網(wǎng)絡(luò)安全和信息化發(fā)展，完善國家網(wǎng)絡(luò)安全保障體系，強(qiáng)化重要信息系統(tǒng)和數(shù)據(jù)資源保護(hù)，提高網(wǎng)絡(luò)治理能力，保障國家信息安全?？梢灶A(yù)見，隨著信息化程度的日益加深，網(wǎng)絡(luò)安全將成為維護(hù)國家安全的關(guān)鍵著力點(diǎn)?？偟目?，草案基本滿足了我國當(dāng)下維護(hù)國家安全的需要，但在關(guān)鍵信息基礎(chǔ)設(shè)施保障、網(wǎng)絡(luò)安全技術(shù)研發(fā)、網(wǎng)絡(luò)安全自我規(guī)制等方面仍需進(jìn)一步深化完善。

加大關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障力度

在互聯(lián)網(wǎng)時代，國家安全可以說主要取決于關(guān)鍵信息基礎(chǔ)設(shè)施是否擁有一個穩(wěn)固的網(wǎng)絡(luò)環(huán)境。確保網(wǎng)絡(luò)系統(tǒng)對關(guān)鍵信息基礎(chǔ)設(shè)施提供安全支持，是政府應(yīng)當(dāng)擔(dān)負(fù)的重要職責(zé)。

關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全監(jiān)管主要難題在于，由于許多關(guān)鍵信息基礎(chǔ)設(shè)施的所有權(quán)掌握在私人運(yùn)營商手中，基礎(chǔ)設(shè)施所有者和運(yùn)營者不會充分考慮國家利益和國家安全問題。西方國家是通過信息共享來破解這一難題的，即政府與關(guān)鍵信息基礎(chǔ)設(shè)施所有者、運(yùn)營者、相關(guān)行業(yè)組織之間建立信息共享機(jī)制，由政府來診斷并控制網(wǎng)絡(luò)安全風(fēng)險，盡量減輕網(wǎng)絡(luò)安全規(guī)制手段對商業(yè)秘密的不利影響。

相比西方國家來說，我國關(guān)鍵信息基礎(chǔ)設(shè)施涉及的領(lǐng)域更多屬于國家所有，政府獲取信息相對比較容易。但隨著我國信息安全市場和產(chǎn)業(yè)的發(fā)展，越來越多的原始安全信息將逐步集中在網(wǎng)絡(luò)、電信等私營企業(yè)手中。由于電信、電力、運(yùn)輸、銀行、證券等國家關(guān)鍵信息基礎(chǔ)設(shè)施的管理法規(guī)不健全，在發(fā)生突發(fā)事件和緊急狀態(tài)情況下, 應(yīng)急預(yù)案、違法犯罪信息和安全測試等可用于安全防范的信息難以共享，關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)內(nèi)部也缺乏有效的信息交流與協(xié)調(diào)，個別部門甚至為了自身利益刻意隱瞞、封鎖有關(guān)信息，嚴(yán)重削弱網(wǎng)絡(luò)安全維護(hù)的快速反應(yīng)、統(tǒng)一調(diào)配能力。因此，建立政府與企業(yè)之間的信息共享機(jī)制顯得日益必要和緊迫。

網(wǎng)絡(luò)安全法草案第33條第3款規(guī)定，“國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門，建立協(xié)作機(jī)制。對關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)可以采取下列措施：……（三）促進(jìn)有關(guān)部門、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者以及網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、有關(guān)研究機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享”。這一條款旨在確立我國關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全信息共享機(jī)制，但仍略顯粗糙，一是沒有明確共享信息的用途限制，這不利于保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的合法商業(yè)利益，二是對信息共享的運(yùn)作機(jī)構(gòu)和程序缺乏具體規(guī)定。

綜合考慮我國國情和域外經(jīng)驗(yàn)，建議在網(wǎng)絡(luò)安全法草案修訂過程中，重點(diǎn)考慮以下兩方面問題：一是借鑒西方國家有關(guān)信息共享引發(fā)的商業(yè)秘密泄露教訓(xùn)，在網(wǎng)絡(luò)安全法中以專門條款明確規(guī)定對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者提供的相關(guān)信息進(jìn)行嚴(yán)格保護(hù)，僅用于維護(hù)網(wǎng)絡(luò)安全之目的，以確保相關(guān)信息不被泄露和濫用；注意與政府信息公開條例、企業(yè)信息公示暫行條例等行政法規(guī)、規(guī)章銜接，對于因泄露信息而引發(fā)的商業(yè)損失和不利后果，規(guī)定相關(guān)機(jī)構(gòu)及其負(fù)責(zé)人承擔(dān)相應(yīng)的法律責(zé)任。二是在網(wǎng)絡(luò)安全法中規(guī)定建立固定的信息協(xié)調(diào)機(jī)構(gòu)，比如成立信息共享與分析中心，負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)威脅信息的收集、分析、通報和警告，統(tǒng)籌關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)之間的溝通協(xié)調(diào)。通過行業(yè)主管部門與信息共享與分析中心的聯(lián)系，加強(qiáng)各行業(yè)各部門之間的風(fēng)險信息共享。

健全網(wǎng)絡(luò)安全技術(shù)研發(fā)扶植機(jī)制

網(wǎng)絡(luò)安全技術(shù)研發(fā)由于高成本、長周期、低回報，企業(yè)缺乏研發(fā)投資熱情，對此政府應(yīng)當(dāng)加強(qiáng)財(cái)政補(bǔ)貼與資金投入，以增強(qiáng)網(wǎng)絡(luò)企業(yè)的投資信心。相比美國等西方發(fā)達(dá)國家而言，對于網(wǎng)絡(luò)安全產(chǎn)品，我國缺乏具有強(qiáng)大研發(fā)實(shí)力的企業(yè)，只有國家成為網(wǎng)絡(luò)安全研發(fā)資金投入的主體，才能真正有效建立起網(wǎng)絡(luò)安全技術(shù)保障體系。

在網(wǎng)絡(luò)安全立法中確立政府對網(wǎng)絡(luò)安全技術(shù)研發(fā)的扶植義務(wù)，是一個國際通例。以美國網(wǎng)絡(luò)安全監(jiān)管立法為例，2002年2月美國頒布的《網(wǎng)絡(luò)安全研究與發(fā)展法》，在網(wǎng)絡(luò)安全研究機(jī)構(gòu)建設(shè)、研究計(jì)劃管理、資金投入與管理、專門科研人才培養(yǎng)等方面初步確立了保障美國信息安全技術(shù)研發(fā)的制度；2013年通過的《網(wǎng)絡(luò)安全提升法案》，進(jìn)一步對網(wǎng)絡(luò)安全科研成果的產(chǎn)業(yè)轉(zhuǎn)化機(jī)制、科研資助方式、網(wǎng)絡(luò)安全人才教育機(jī)制、網(wǎng)絡(luò)安全科技標(biāo)準(zhǔn)的提升手段等進(jìn)行修訂。

我國網(wǎng)絡(luò)安全法草案確立了網(wǎng)絡(luò)安全技術(shù)研發(fā)的政府扶植機(jī)制和法定義務(wù)，體現(xiàn)了貫徹落實(shí)《國家安全法》的要求。草案第14條規(guī)定，“國務(wù)院和省、自治區(qū)、直轄市人民政府應(yīng)當(dāng)統(tǒng)籌規(guī)劃，加大投入，扶持重點(diǎn)網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)和項(xiàng)目，支持網(wǎng)絡(luò)安全技術(shù)的研究開發(fā)、應(yīng)用和推廣，保護(hù)網(wǎng)絡(luò)技術(shù)知識產(chǎn)權(quán)，支持科研機(jī)構(gòu)、高等院校和企業(yè)參與國家網(wǎng)絡(luò)安全技術(shù)創(chuàng)新項(xiàng)目”。第16條規(guī)定，“國家支持企業(yè)和高等院校、職業(yè)學(xué)校等教育培訓(xùn)機(jī)構(gòu)開展網(wǎng)絡(luò)安全相關(guān)教育與培訓(xùn)，采取多種方式培養(yǎng)網(wǎng)絡(luò)安全技術(shù)人才，促進(jìn)網(wǎng)絡(luò)安全技術(shù)人才交流”。 盡管草案上述兩個條款設(shè)定了各級政府扶植網(wǎng)絡(luò)安全技術(shù)研發(fā)的義務(wù)，但缺乏嚴(yán)格的責(zé)任機(jī)制和可行的操作機(jī)制。建議借鑒國外經(jīng)驗(yàn)，在網(wǎng)絡(luò)安全法頒布后，制定行政法規(guī)或部門規(guī)章，詳細(xì)規(guī)定政府為網(wǎng)絡(luò)安全技術(shù)研發(fā)提供資金支持的具體手段，并明確資助范圍、申請條件、辦理程序和獎懲機(jī)制等。

注重運(yùn)用行業(yè)自律和自我規(guī)制手段

就網(wǎng)絡(luò)安全監(jiān)管而言，以政府為主導(dǎo)的命令—控制型規(guī)制手段，可能無法充分滿足維護(hù)網(wǎng)絡(luò)安全任務(wù)的需要。相比傳統(tǒng)的政府監(jiān)管機(jī)制，行業(yè)自律和自我規(guī)制擁有相對獨(dú)特優(yōu)勢。首先，自我規(guī)制能夠消除網(wǎng)絡(luò)安全監(jiān)管中的信息不對稱現(xiàn)象，因?yàn)槠髽I(yè)通常比監(jiān)管者更加了解自身網(wǎng)絡(luò)系統(tǒng)的漏洞，以及何種安全應(yīng)對措施更為有效，設(shè)定何種安全標(biāo)準(zhǔn)最為適宜。其次，科技發(fā)展的日新月異使得監(jiān)管機(jī)構(gòu)難以制定恒久不變的網(wǎng)絡(luò)安全規(guī)則，實(shí)踐中網(wǎng)絡(luò)安全議題層出不窮，立法和標(biāo)準(zhǔn)制定往往耗時費(fèi)力，自律機(jī)制和行業(yè)標(biāo)準(zhǔn)反而能夠作出靈活反應(yīng)，及時有效地應(yīng)對安全風(fēng)險。最后，如果監(jiān)管機(jī)構(gòu)制定出具體強(qiáng)制標(biāo)準(zhǔn)，企業(yè)將失去尋求更有效安全應(yīng)對措施的動力，這可能造成遏制技術(shù)創(chuàng)新的不利后果。雖然自我規(guī)制無法取代傳統(tǒng)的政府規(guī)制，但面對紛繁復(fù)雜且技術(shù)含量極高的網(wǎng)絡(luò)安全難題，以行業(yè)自律和自我規(guī)制為主導(dǎo)，帶有實(shí)驗(yàn)主義色彩的多中心治理方式，往往能夠取得良好的合作治理效果。

現(xiàn)代社會已發(fā)展成為一個風(fēng)險社會。就網(wǎng)絡(luò)而言，政府無法全面防范各類安全風(fēng)險，而互聯(lián)網(wǎng)市場主體愿意通過自律方式管控風(fēng)險，市場主體從降低成本、提高效率的角度也愿意制定行業(yè)標(biāo)準(zhǔn)，以實(shí)現(xiàn)網(wǎng)絡(luò)安全的事前防范。網(wǎng)絡(luò)安全法草案適應(yīng)當(dāng)前形勢發(fā)展需要，規(guī)定了網(wǎng)絡(luò)安全的自我規(guī)制體系。第8條規(guī)定，“網(wǎng)絡(luò)相關(guān)行業(yè)組織按照章程，加強(qiáng)行業(yè)自律，制定網(wǎng)絡(luò)安全行為規(guī)范，指導(dǎo)會員依法加強(qiáng)網(wǎng)絡(luò)安全保護(hù)，提高網(wǎng)絡(luò)安全保護(hù)水平，促進(jìn)行業(yè)健康發(fā)展”。第13條規(guī)定，“國家支持企業(yè)參與網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的制定，并鼓勵企業(yè)制定嚴(yán)于國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的企業(yè)標(biāo)準(zhǔn)”。在今后的網(wǎng)絡(luò)安全監(jiān)管實(shí)踐中，應(yīng)當(dāng)以此為依據(jù)，通過建立體系化的網(wǎng)絡(luò)安全行業(yè)標(biāo)準(zhǔn)，充分發(fā)揮行業(yè)自律和自我規(guī)制對網(wǎng)絡(luò)安全政府監(jiān)管的協(xié)作補(bǔ)充作用。

（作者系中國社會科學(xué)院法學(xué)研究所副研究員）