深入推进网络安全法治化建设
2016-04-02卢超
文/卢超
深入推进网络安全法治化建设
文/卢超
《国家安全法》对信息安全体系建设作出战略部署,从网络技术研发、关键信息基础设施保护、网络违法犯罪治理、网络空间主权维护等多个视角对信息安全制度建设进行了顶层设计,确立了针对网络信息技术产品与服务的国家安全审查机制。网络安全法(草案)从保障网络产品和服务安全、网络运行安全、网络数据安全、网络信息安全等诸多方面进行了具体制度设计。作为落实《国家安全法》的部门法,网络安全法不仅将《国家安全法》中涉及信息安全的事项予以细化,更以网络空间为载体,统筹政治、经济、文化等国家安全各个领域。
网络安全是事关国家安全和经济社会发展的重大战略问题。习近平总书记在中央网络安全和信息化领导小组第一次会议上,提出了“没有网络安全就没有国家安全”的科学论断。2015年7月1日通过的《国家安全法》,对信息安全体系建设作出战略部署,从网络技术研发、关键信息基础设施保护、网络违法犯罪治理、网络空间主权维护等多个视角对信息安全制度建设进行了顶层设计,确立了针对网络信息技术产品与服务的国家安全审查机制。
在互联网时代,我国面临严峻的网络安全挑战,需要从国家治理现代化的战略高度,在《国家安全法》的基础上,通过网络安全法等专项立法实现对网络安全的全面掌控。2015年6月24日,十二届全国人大常委会十五次会议初次审议了网络安全法(草案)。草案从保障网络产品和服务安全、网络运行安全、网络数据安全、网络信息安全等诸多方面进行了具体制度设计。作为落实《国家安全法》的部门法,网络安全法不仅将《国家安全法》中涉及信息安全的事项予以细化,更以网络空间为载体,统筹政治、经济、文化等国家安全各个领域。
“十三五”规划进一步提出,强化信息安全保障,统筹网络安全和信息化发展,完善国家网络安全保障体系,强化重要信息系统和数据资源保护,提高网络治理能力,保障国家信息安全。可以预见,随着信息化程度的日益加深,网络安全将成为维护国家安全的关键着力点。总的看,草案基本满足了我国当下维护国家安全的需要,但在关键信息基础设施保障、网络安全技术研发、网络安全自我规制等方面仍需进一步深化完善。
加大关键信息基础设施网络安全保障力度
在互联网时代,国家安全可以说主要取决于关键信息基础设施是否拥有一个稳固的网络环境。确保网络系统对关键信息基础设施提供安全支持,是政府应当担负的重要职责。
关键信息基础设施的网络安全监管主要难题在于,由于许多关键信息基础设施的所有权掌握在私人运营商手中,基础设施所有者和运营者不会充分考虑国家利益和国家安全问题。西方国家是通过信息共享来破解这一难题的,即政府与关键信息基础设施所有者、运营者、相关行业组织之间建立信息共享机制,由政府来诊断并控制网络安全风险,尽量减轻网络安全规制手段对商业秘密的不利影响。
相比西方国家来说,我国关键信息基础设施涉及的领域更多属于国家所有,政府获取信息相对比较容易。但随着我国信息安全市场和产业的发展,越来越多的原始安全信息将逐步集中在网络、电信等私营企业手中。由于电信、电力、运输、银行、证券等国家关键信息基础设施的管理法规不健全,在发生突发事件和紧急状态情况下, 应急预案、违法犯罪信息和安全测试等可用于安全防范的信息难以共享,关键信息基础设施行业内部也缺乏有效的信息交流与协调,个别部门甚至为了自身利益刻意隐瞒、封锁有关信息,严重削弱网络安全维护的快速反应、统一调配能力。因此,建立政府与企业之间的信息共享机制显得日益必要和紧迫。
网络安全法草案第33条第3款规定,“国家网信部门应当统筹协调有关部门,建立协作机制。对关键信息基础设施的安全保护可以采取下列措施:……(三)促进有关部门、关键信息基础设施运营者以及网络安全服务机构、有关研究机构等之间的网络安全信息共享”。这一条款旨在确立我国关键信息基础设施的网络安全信息共享机制,但仍略显粗糙,一是没有明确共享信息的用途限制,这不利于保护关键信息基础设施运营者的合法商业利益,二是对信息共享的运作机构和程序缺乏具体规定。
综合考虑我国国情和域外经验,建议在网络安全法草案修订过程中,重点考虑以下两方面问题:一是借鉴西方国家有关信息共享引发的商业秘密泄露教训,在网络安全法中以专门条款明确规定对关键信息基础设施运营者提供的相关信息进行严格保护,仅用于维护网络安全之目的,以确保相关信息不被泄露和滥用;注意与政府信息公开条例、企业信息公示暂行条例等行政法规、规章衔接,对于因泄露信息而引发的商业损失和不利后果,规定相关机构及其负责人承担相应的法律责任。二是在网络安全法中规定建立固定的信息协调机构,比如成立信息共享与分析中心,负责关键信息基础设施网络威胁信息的收集、分析、通报和警告,统筹关键信息基础设施行业之间的沟通协调。通过行业主管部门与信息共享与分析中心的联系,加强各行业各部门之间的风险信息共享。
健全网络安全技术研发扶植机制
网络安全技术研发由于高成本、长周期、低回报,企业缺乏研发投资热情,对此政府应当加强财政补贴与资金投入,以增强网络企业的投资信心。相比美国等西方发达国家而言,对于网络安全产品,我国缺乏具有强大研发实力的企业,只有国家成为网络安全研发资金投入的主体,才能真正有效建立起网络安全技术保障体系。
在网络安全立法中确立政府对网络安全技术研发的扶植义务,是一个国际通例。以美国网络安全监管立法为例,2002年2月美国颁布的《网络安全研究与发展法》,在网络安全研究机构建设、研究计划管理、资金投入与管理、专门科研人才培养等方面初步确立了保障美国信息安全技术研发的制度;2013年通过的《网络安全提升法案》,进一步对网络安全科研成果的产业转化机制、科研资助方式、网络安全人才教育机制、网络安全科技标准的提升手段等进行修订。
我国网络安全法草案确立了网络安全技术研发的政府扶植机制和法定义务,体现了贯彻落实《国家安全法》的要求。草案第14条规定,“国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发、应用和推广,保护网络技术知识产权,支持科研机构、高等院校和企业参与国家网络安全技术创新项目”。第16条规定,“国家支持企业和高等院校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全技术人才,促进网络安全技术人才交流”。 尽管草案上述两个条款设定了各级政府扶植网络安全技术研发的义务,但缺乏严格的责任机制和可行的操作机制。建议借鉴国外经验,在网络安全法颁布后,制定行政法规或部门规章,详细规定政府为网络安全技术研发提供资金支持的具体手段,并明确资助范围、申请条件、办理程序和奖惩机制等。
注重运用行业自律和自我规制手段
就网络安全监管而言,以政府为主导的命令—控制型规制手段,可能无法充分满足维护网络安全任务的需要。相比传统的政府监管机制,行业自律和自我规制拥有相对独特优势。首先,自我规制能够消除网络安全监管中的信息不对称现象,因为企业通常比监管者更加了解自身网络系统的漏洞,以及何种安全应对措施更为有效,设定何种安全标准最为适宜。其次,科技发展的日新月异使得监管机构难以制定恒久不变的网络安全规则,实践中网络安全议题层出不穷,立法和标准制定往往耗时费力,自律机制和行业标准反而能够作出灵活反应,及时有效地应对安全风险。最后,如果监管机构制定出具体强制标准,企业将失去寻求更有效安全应对措施的动力,这可能造成遏制技术创新的不利后果。虽然自我规制无法取代传统的政府规制,但面对纷繁复杂且技术含量极高的网络安全难题,以行业自律和自我规制为主导,带有实验主义色彩的多中心治理方式,往往能够取得良好的合作治理效果。
现代社会已发展成为一个风险社会。就网络而言,政府无法全面防范各类安全风险,而互联网市场主体愿意通过自律方式管控风险,市场主体从降低成本、提高效率的角度也愿意制定行业标准,以实现网络安全的事前防范。网络安全法草案适应当前形势发展需要,规定了网络安全的自我规制体系。第8条规定,“网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员依法加强网络安全保护,提高网络安全保护水平,促进行业健康发展”。第13条规定,“国家支持企业参与网络安全国家标准、行业标准的制定,并鼓励企业制定严于国家标准、行业标准的企业标准”。在今后的网络安全监管实践中,应当以此为依据,通过建立体系化的网络安全行业标准,充分发挥行业自律和自我规制对网络安全政府监管的协作补充作用。
(作者系中国社会科学院法学研究所副研究员)
