编者按:网络空间已经成为关系国家安全、社会稳定和民族复兴的战略新高地,构筑全方位的国家网络空间治理体系,加速推进网络立法成为当务之急。四中全会以“依法治国”为主题,强调立法先行,成为我国加快网络立法的重大契机。坚持以国家治理体系和治理能力现代化为法制目标,以总体国家安全观为立法理念,加快综合性立法,以“防御和控制”性的法律规范替代传统单纯“惩治”性的刑事法律规范,从多方主体参与综合治理的层面,构建“防御、控制与惩治”三位一体的网络空间法治体系。其目的不仅是提升执行力,全面落实四中全会精神,而且在于塑造网络空间的根本大法,为“依法治网”提供基本依据。
四中全会通过的《中共中央关于全面推进依法治国若干重大问题的决定》强调,审议通过了《中共中央关于全面推进依法治国若干重大问题的决定》。习近平就《决定(讨论稿)》向全会作了说明。全会提出,法律是治国之重器,良法是善治之前提。全会强调了,建设中国特色社会主义法治体系,必须坚持立法先行,发挥立法的引领和推动作用,抓住提高立法质量这个关键。全会还强调,全面推进依法治国,就要在中国共产党领导下,坚持中国特色社会主义制度,贯彻中国特色社会主义法治理论,形成完备的法律规范体系、高效的法治实施体系、严密的法治监督体系、有力的法治保障体系,形成完善的党内法规体系,坚持依法治国、依法执政、依法行政共同推进,坚持法治国家、法治政府、法治社会一体建设,实现科学立法、严格执法、公正司法、全民守法,促进国家治理体系和治理能力现代化。这为网络立法提出了明确的要求和清晰的目标,成为依法治网,构建“防御、控制与惩治”三位一体的国家网络治理法律体系的重大契机。
一、法制目标:实现国家网络治理体系和治理能力现代化
网络空间作为人类社会“第二类”生存空间和“第五大”作战领域,已经成为维护国家主权、安全和发展利益的战略高地。美国等网络强国已经在紧锣密鼓地抢占网络空间规则制定的制高点。无论是其牢牢把控的各种网络技术标准,还是持续推动的《打击网络犯罪公约》,包括已经推出,企图作为网络战争法典的《塔林手册》,都凸显了其战略企图和精心准备。在这场体现国家治理体系和治理能力,进而获得网络空间国际话语权的战略博弈中,我们已经处于落后的位置。为此,加紧结合网络空间自身特点和发展规律,综合考虑国内国际两个大局,兼顾网络空间蕴含的新质生产力、文化力和国防力,坚持党的领导、人民当家作主、依法治国有机统一,在网络空间这个全新领域,坚定不移走中国特色社会主义法治道路,坚决维护宪法法律权威,依法维护人民网络权益、维护网络社会公平正义,维护网络空间国家主权、安全和发展利益,为实现“两个一百年”奋斗目标、实现中华民族伟大复兴的中国梦插上网络的翅膀。
二、立法理念:实现总体国家安全
“法律制定及运用之最高原理,谓之法律之理念;法律之理念,为法律的目的及手段之指导原则”。立法理念是对法律的本质及其发展规律的一种宏观的、整体的理性认知和把握。理念比观念、概念和法律意识等的层次更高,可对法律制定和实施进行科学的预测和指导。现代法的立法理念包括了正义、民主、平等、法治、权利、安全、效益和可持续发展等。安全理念作为人类普遍的基本需求,在信息化社会中的价值和作用不断凸现。
随着网络信息技术的不断发展,我国国家关键基础设施越来越依赖复杂的网络空间,习近平总书记在国家安全委员会第一次会议上即指出,“当前我国国家安全内涵和外延比历史上任何时候都要丰富,时空领域比历史上任何时候都要宽广,内外因素比历史上任何时候都要复杂”。网络空间对国家安全和社会稳定产生巨大的影响日益凸显。习近平总书记审时度势,提出了“坚持总体国家安全观,走中国特色国家安全道路”的新观点,强调国家的安全发展要同时兼顾内外安全、国土与国民、传统与非传统、发展安全、自身与共同安全。“总体国家安全观”强调了更深、更高、更全面的综合安全,创造性地提出了富有中国特色的国家安全价值观念、工作思路与机制路径,是比“安全理念”或“综合安全理念”更宏观、整体的理性认知。
“总体国家安全观”为我国网络立法的制定和实施工作提供了科学的指导,符合“总体国家安全观”要求的网络安全是国内外复杂开放环境下的网络安全,不是碎片化、局域化、区域化的网络安全。我们应确立“总体国家安全观”的法律理念,以此为指导,协同考虑安全与发展关系,制定落实“总体国家安全观”的综合性立法。
网络空间的安全与发展是世界各国信息化建设共同面临的挑战。《欧盟理事会2007年3月22日关于建立欧洲信息社会战略的决议》从发展的角度,提出“在发展中解决安全问题”的思想,鼓励政府机构和企业创造更先进更安全的产品和服务。保障“生存权”是美网络安全法的基本价值取向。2003年美《网络空间安全国家战略》明确号召美全民参与对其拥有、使用、控制和交流的网络空间的安全保护。习近平总书记强调,“做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。”这为我国网络空间战略确立了“安全与发展并重”的基本方向。我国应当采取“保安全、促发展”的战略,在发展中解决安全问题,将网络安全作为网络强国建设能力的重要保障。立法落实国家战略,必然需要正确处理“安全”与“发展”的关系,这也决定了我国网络立法兼顾“安全、发展”的二元价值特性。
三、立法重点:制定综合性立法
目前,我国网络安全相关法律基本上是“补丁”式立法,散见于《刑法》、《治安管理处罚法》、《保密法》等法律中。人大颁布的《关于维护互联网安全的决定》及《关于网络信息保护的决定》属原则性的规定。最近国家才刚刚开始启动国家网络安全安全审查、关键基础设施保护和互联网信息服务等方面的专项立法。当前,从国家形势出发,落实“总体国家安全观”,实现国家网络空间治理体系和治理能力现代化,必须制定综合性的立法。
首先,迫切需要一部综合性的统领信息化发展的立法。习近平总书记在中央网络安全和信息化领导小组第一次会议上强调,“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。”这样的顶层部署不能仅仅转化为一部民族产业振兴法、互联网信息内容管理法或刑事责任法。只有进行综合性的立法,明确国家对网络安全的基本原则,统一部署规划,建立国家网络安全的舆情监测、应急响应、技术人才、组织保障等综合法律体系,才能贯彻“总体国家安全观”的理念,体现中央关于网络安全与信息化发展的战略要求,实现国家安全、社会稳定、产业发展和个人隐私保护的总体安全宗旨。
其次,制定综合性立法符合国际惯例。信息化发达国家早已认识到网络安全是威胁国家安全的重要问题之一,纷纷制定综合性立法予以规制。美国先后制定了2001年《爱国者法》、2002年《联邦信息安全管理法》、2002年《国土安全法》等法律,规定了网络监控、政府信息保护、国家安全等内容。尽管从2009年开始美国网络安全法案的出台连遭挫折,但其在网络安全方面已基本形成纵横交错的法律体系。《2006年关于欧盟理事会制定识别、指定欧洲关键基础设施,并评估提高保护的必要性的指令的建议》也属于综合性立法。同为发展中国家的印度2000年颁布综合性立法《信息技术法》,规定了数字签名、电子政务、行政管理、刑事诉讼等内容,该法在2008和2011年两次被修订,不断得以完善。
再次,制定综合性立法符合我国现实的立法需求。网络安全立法涉及需求广,且与云计算、物联网、移动互联网、智能终端等新技术新应用的迅速结合普及密切相关。我国相关法律法规涉及了法律、行政法规、部门规章、地方法规及规范性文件等多个层次,覆盖内容上纵向包括网络系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒防治等特定领域,横向包括政府信息安全维护、企业权益保障和个人信息权利保护等。但总体上来看,现行法律法规无法有效应对日渐严峻的网络安全威胁。棱镜门事件暴露出维护国家网络主权、振兴民族产业的法律保障不足;电信、电力、运输、银行证券等国家关键基础设施建设、管理法制不健全,网络安全技术研究和产品开发政策法律保障乏力,在发生重大、突发事件和紧急状态情况下,应急响应缺乏法律保障,应急预案、违法犯罪信息和安全测试等可以用于社会安全防范的信息难以共享,严重影响快速反应能力、安全保障能力、统一调配能力。针对这一形势和现状,仅对原有法律的解释、修订或增补,难以把握好安全与发展之间的关系,不利于国家总体安全战略目标的实现。我国应制定综合性的立法,明确规定网络安全的基线,为部门、地方的立法和政策的制定、调整和完善提供法律依据。
三、治理体系:防御、控制与惩治的“三位一体”架构
治理是指在以网络技术支持下,政府、非政府组织、企业、公民个人等社会多元要素参与合作、相互协调,针对潜在的和当前的危机,在危机发展的不同阶段采取一系列的控制行动,以期有效地预防、处理和消弭危机,最终达到最大限度地维护和增进公共利益之目的。习近平总书记提出要“依法治理网络空间”,构建体现中国国情和国家利益的网络治理法律体系是基础。我们应确立防御、控制与惩治“三位一体”的治理法律体系,以“防御和控制”性的法律规范替代传统单纯“惩治”性的刑事法律规范,从多方主体参与综合治理的层面,明确各方主体在预警与监测、网络安全事件的应急与响应、控制与恢复等环节中的过程控制要求,防御、控制、合理分配安全风险,惩治网络空间违法犯罪和恐怖活动。
“防御”意指“积极防御”。《国家信息化领导小组关于加强信息安全保障工作的意见》、《2006━2020年国家信息化发展战略》均明确积极防御是国家信息安全战略方针。网络安全威胁的全局性特点决定了风险存在于信息流程的整个过程,实施积极防御有利于强化网络安全风险的控制。立法中的积极防御原则,是指国家在网络安全保护过程中采取各种技术防范措施,完善各项管理制度,规范网络安全教育,关注网络空间活动中技术、管理、社会、经济和法律之间的关系,以法的强制性防范国家网络安全和信息化建设过程中出现的各种安全风险,同时对已确定的攻击源实施战略威慑和有效压制。以积极防御为原则的网络立法,将采取积极主动,从发现威胁、降低风险、控制风险的一切环节构建法律治理能力,如在内容安全管制方面,注重封堵的同时,更重视通过管理和引导促进网络的发展;在技术与产业发展促进方面,充分强调发挥政府的主导作用,由从事前拨款支持改为事后采购扶持,通过采购政策保护巨大的国内市场,扶持民族产业;在处理应急机制构建方面,注重事前的预警、风险防范和紧急情况下的社会动员。
“控制”在法律规范表现形式上更多的是一种程序性法律规范,用以明确如何落实责任,如何行使权利和履行义务,如何打击犯罪分子和恐怖主义。现行法律中往往强调实体法律规范, 导致实体权利和义务规范难以贯彻落实。建立网络安全程序性法律规范是维护网络安全的必然选择,世界其他国家和团体已经注意到了这一情况, 例如, 经济合作组织关于网络安全文化指南以及联合国的有关决议也对网络安全的过程控制提出了对策性建议。
“惩治”是一种强制性、注重结果认定的事后补救法律规范,多以实体刑法为主要调整手段。现阶段我国网络犯罪和网络恐怖主义活动呈现新的上升趋势、发生途径和形态。惩治不力意味着放纵违法犯罪,防御和控制的效果难以落到实处。惩治是治理法律体系中不可替代的一环,兼具惩罚与震慑的双重功效,一方面惩罚违法犯罪行为,另一方面对潜在的不法行为起到震慑作用。加强网络犯罪打击是国际社会共同的认识,欧盟2001年《网络犯罪公约》构建了一套打击惩治网络犯罪的最低国际标准。2013年欧盟发布《关于攻击信息系统的第2013/40/EU号指令》,对抗网络攻击的措施应显示出严厉的刑事处罚性。
因此,建立和完善“防御、控制与惩治”三位一体架构的网络治理法律体系可包括以下“八项”内容: 其一、明确管理决策机制。明确中央网络安全和信息化领导小组办公室的工作机制;明确监管机构及其职责。设立独立的网络安全监管机构,细化和明确公安、保密、国安、工信、通信、商密管理等机构的职责范围,或按照职能扩展在原有职权范围内实施监督管理;其二、明确关键网络基础设施保护制度。确立关键网络基础设施保护的立法原则,明确关组织机构体系及其工作机制,构建监测通报与预警机制、应急处置与响应恢复机制、安全监管制度和责任追究制度;其三、明确通信安全制度。明确通信安全要求,建立通信安全保障机制,规范即时通信、VOIP、电子邮件等现代通信技术的利用,确保通信自由与国家安全。构建攻击、入侵、恶意程序等网络技术滥用的防治法律体系,保障通信等网络系统与数据安全,防止未经授权的访问、使用、中断与披露计算机信息资源;其四、完善网络信息服务管理制度。修改2000年《互联网信息服务管理办法》,其内容可包括ISP、ICP的安全保护义务,特别是用户数据收集与利用方面的安全保障义务,明确互联网恐怖等非法有害信息的认定标准,明确通信数据存留期限等;其五、明确国家网络安全审查制度。明确网络安全审查的范围和标准,对网络信息基础设施、产品内容和服务实施全方位审查,对关键部门和重要领域采购和部署的网络安全产品和服务进行安全审查,对关键业务领域的网络安全保障措施进行定期审查,对进口国外网络安全产品和服务的可信度和可控性进行审查;其六,明确网络监控制度。规定执法部门在办理刑事案件中依法采取通信拦截技术侦查措施的条件和程序,明确企业、其他组织和公民的协助执法义务;其七,明确数据跨境流动的司法合作机制,对跨国重大犯罪与恐怖活动情报收集等活动进行规定;其八,明确军队网络安全立法的规定等。
(作者系西安交通大学法学院 公安部第三研究所)
发表评论