进入信息社会后,随着社会各领域对互联网的日益依赖,网络安全问题也日益突出,并已严重影响到社会的稳定与发展。为应对这一威胁,世界各国及国际组织积极采取措施,信息化高度发展的美国已建立了相对完备的网络安全法律体系,为其网络信息构筑了一道坚实的安全屏障,其他发达国家的网络安全法律体系也在逐步完善和走向成熟。中国网络安全法律体系的构建则刚刚起步,亟待完善,直到2015年6月,全国人大常委会才公布了《中华人民共和国网络安全法》的草案,并于2016年11月正式通过,这是我国第一部基本意义上的网络安全法,标志着我国进入了网络安全基本法立法阶段,该法进一步界定了关键信息基础设施范围,对攻击、破坏我国关键信息基础设施的境外组织和个人规定了相应的惩治措施,增加了惩治网络诈骗等新型网络违法犯罪活动的规定等。

一、国外网络安全法律体系

1.1 美国网络安全法律体系

美国在面对国外网络发展激烈竞争和国内计算机发展所带来的严重社会问题时,制定了一系列的法律制度和发展政策,来加快了自身的网络技术和信息化的健康发展,来保持其在这个领域的领先优势。这么多年来美国一直坚持信息网络技术发展与网络安全并重的理念,在发展的同时加强网络立法,最终使其成为世界上网络发达和网络立法完善的国家。

美国网络安全法律体系分为两个层次,第一层次是法律。美国首部专门针对网络安全的立法规范是1966 年国会颁布的《信息自由法》,这是美国国家信息安全立法起步阶段的标志,在美国信息安全法律史上具有举足轻重的地位。此后,随着网络安全新问题的凸显,以《信息自由法》为中心,又制定包括《隐私权法》(1974)、《计算机欺诈与滥用法》(1984)、《电子通信隐私法》(1986)、《计算机安全法》(1987)、《信息技术管理改革法》(1995)、《通信净化法》(1996)、《国家信息基础设施保护法》(1996)、《数据保密法》(1997)、《公共网络安全法》(1997)、《加强计算机安全法》(1997)、《儿童在线隐私权保护法》(1998)、《网络电子安全法案》(1999)、《政府信息安全改革法案》(2000)、《全球及全国电子商务签名法》(2000)、《网络安全信息法》(2000)、《网络安全研究与开发法》(2001)、《联邦信息安全管理法》(2002)、《国土安全法》(2002)、《爱国者法》(2002)、《网络安全法案》(2009)在内的共21部法律。以上法律均由美国最高立法机构国会制定,构成了美国网络安全法律体系最基本的框架。在此后网络安全管理的实践中,为适应网络安全管理的需要,对相关法律进行了修正,如《信息自由法》分别在1974年、1976年、1978年、1984年、1986年、1996年、2007年进行了七次修订。

第二层次是法规。美国对网络安全管理的具体政策指令是来自历届总统颁布的总统令,在管理实践中坚持的指导思想是国家安全战略报告。20世纪60~70年代,互联网雏形阿帕网诞生,针对这一时期网络安全问题,卡特政府于1978年颁布第12065号总统令,该命令是美国政府颁布的第一份专门解答如何有效管理与国家安全相关信息的政策文件。它体现了对于涉及国家信息安全的信息的基本管理方式,是美国政府关于网络安全问题法规政策具有独立性的开端。随后,各时期的美国政府也相继颁布关于网络安全问题总统令或国家战略报告,如克林顿政府《关于保护美国关键基础设施的第63号总统令》、小布什政府《信息时代保护关键基础设施第13231号总统令》、奥巴马政府《国家基础设施保护计划》等总统令。

1.2 俄罗斯网络安全法律体系

俄罗斯在网络立法方面的发展起步较晚,其网络安全法律建设是在 90 年代后期才开始的。此时,随着信息产业的快速发展,俄罗斯的网络空间安全问题也变得严重起来。为了确保网络信息产业能够平稳发展,解决网络空间面临的问题,俄罗斯加大了在这方面的立法投入,由此制定了许多关于网络安全与治理的法律。1995 年,俄罗斯首次把网络信息安全这个概念写进到宪法里,通过法律的方式来对网络安全予以保护。随后,政府又通过了《联邦信息、信息化和信息保护法》,这部法律因为其作用的原因,被誉为是俄罗斯的网络安全的基本法。

该法主要规定联邦政府在网络发展中的任务和职责,确立了俄罗斯在信息化发展的方向。同时,由于该法还提出了关于网络犯罪的内容,直接被后来新的俄罗斯刑法所接受,还专门用一章来规定计算机犯罪的问题。这部法律作为俄罗斯的网络安全基本法,为其网络安全立法确立了的基本框架,后来在此法的基础上制定了一系列网络安全法律法规。1997 年通过了《国家安全构想》的文件,俄罗斯政府认为保障网络信息安全关系到国家安全。之后,俄罗斯又推出了《网络立法构想(草案)》,明确提出他们要在国内加强对网络信息的保护,进一步的完善对个人在网络方面权益保护,还要加强有关的网络安全立法建设。2000 年公布的《国家信息安全学说》首次把维护网络信息安全作为国家的战略发展目标,标志着俄罗斯网络安全立法工作的起步。在网络安全特定领域的立法上,俄罗斯在 2001 年制定了规范电子签名的法律,在 2009 年制定了保护未成年人安全使用网络免受不良影响的青少年网络保护法,在 2013 修订了通讯方面的法律来保护通信的安全,还在 2015 年 9 月,实行了保护个人信息安全的数据保护法。除了这些法律外,俄政府还陆续制定了其他一些专门针对网络安全治理方面的法律,由此形成了一套保护网络安全的法律体系。

1.3 欧盟及其成员国的网络安全法律体系

欧盟在 1992 年颁布了《信息安全框架协议》,这是欧盟第一部针对计算机信息安全的法律。此后欧盟签署了一系列协议来保障计算机信息安全的法律,例如《打击计算机犯罪协定共同宣言》、《电子签名指令》、《网络刑事公约》等。又于 2001 年,欧盟通过了世界上第一部关于打击网络犯罪的《网络犯罪公约》,明确了公约规制的几种网络犯罪行为,并要求各签约国加强关于网络犯罪的国内立法,按公约要求建立相应的执法部门和执法程序,贯彻落实公约的内容。通过这一系列法律,欧盟已经构建了一个系统的网络安全法律体系。2013年,欧盟颁布《欧盟网络安全战略》提出了欧盟的网络安全发展战略和具体措施,同时成立统一处理网络犯罪的执法机构,负责协调各成员国进行合作,统筹安排处理网络犯罪的工作。

欧盟的成员国的法律包括两种:一种是自己本国政府发布的法律,还有一种是欧盟颁布的法律。但这两种法律在适用上并不冲突,是兼容的。比如英国,由于有很浓厚的自由主义传统,其互联网空间在受欧盟和本国网络安全法律规制外,网络自治自律机制也在网络净化和网络秩序的维护起着非常重要的作用。1990年,英国政府制定了《计算机滥用法》列举了几类侵犯互联网系统和信息的违法行为,2001 年颁布的《调查权管理法》规定国内全部的网络服务提供商都应当按照政府指定方式的为用户传输数据信息。

1996 年 9 月,网络服务提供商协会、伦敦互联网交流平台和安全网络基金共同颁布了第一个自律性的网络管理规范《R3 安全网络协议》,并由此建立了网络观察基金组织(IWF)。IWF 是英国最大的网络自律管理机构,建立了完整的信息等级分类划分标准。2009 年 6 月英国为了应对外来网络威胁,首次制定了网络安全战略,将网络安全提升到国家战略高度,并成立 OCS 和 CSOC 这两个网络安全机构,通过制定具体网络安全管理措施,来营造网络空间的安全环境,从而保障网络信息产业的健康发展。总体上看,英国在网络空间治理方面实行的是一种由政府部门、行业组织和普通民众相互联合的模式,既有政府的管束,又有社会的自律自治。

1.4 日本的网络安全法律体系

在网络安全方面,2013年6月,日本正式发布《日本网络安全战略》, 提出了创建领先世界的强大而有活力的网络空间,实现网络安全立国的目标;2014年11月6日,日本国会众议院表决通过《网络安全基本法》,规定电力、金融等重要社会基础设施营运商、网络相关企业、地方自治体等有义务配合网络安全相关举措或提供相关情报,此举旨在加强日本政府与民间在网络安全领域的协调和运用,更好地应对网络攻击。该法还规定,日本政府将新设以内阁官房长官为首的网络安全战略本部,协调各政府部门的网络安全对策,与日本国籍安全保障会议、IT综合战略本部等其他相关机构加强合作。

在消灭垃圾邮件、计算机病毒以及保护网民隐私信息方面,日本也有明确的法律。日本2011年对《刑法》进行了部分修正,要求网络营运商原则上保存用户30天上网和通信记录,根据必要还可以再延长30天。2015年1月,日本总务省就网络接入服务提供商如何保存用户的通信记录召开专家会议进行了讨论,拟明确此前由服务商自行确定的保存的内容和时长。

此外,日本还采取了完善信息安全机构、扩充网络安全力量、健全信息安全保障机制、研发网络安全技术、举行信息安全演习、举办黑客技术比赛、严厉打击网络违法行为、广泛开展交流合作等一系列举措,加强信息安全建设。

二、我国网络安全法律体系

2.1 我国网络安全法律体系现状

我国网络安全立法的时间仅有二十年左右,但也逐渐形成了一个适应我国国情的网络治理法律体系。从整体上看网络安全法律可以分为两种形式:一是国家立法部门专门出台了多部与网络有关的法律、行政法规、行政规章和司法解释等;二是在新制定或新修订的其他部门法中规定了一些与网络安全有关的内容。从纵向的网络立法来看,我国目前的网络安全法律规范主要是以下五种层次:(1)由全国人大常委会通过的法律,如全国人大常委会对互联网方面的两个决定、《电子签名法》等;(2)由国务院为规范网络服务而颁布的行政法规,如《互联网信息服务管理办法》和《计算机软件保护条例》等;(3)由最高检、最高法针对网络问题做出的一系列司法解释,如两院在 2004 年和 2013 年公布的两个关于网络刑事案件的司法解释;(4)由国务院各部委和各省、市人大、政府及相关部门颁布的适用于某一行业或区域的部门规章、地方性规章和其他规范性文件,如公安部对保护互联网进行国际联网的规定、信息产业部对网络电子公告范围的管理办法、上海市关于促进电子商务发展的规定、杭州市制定的关于保护网络安全的管理办法等;(5)我国参加的国际条约或公约,如两个国际互联网条约和《联合国国际合同使用电子通信公约》。

从横向的网络立法来看,我国现行的网络安全立法主要涉及网络安全法、电子商务法、电子签名法、电子政务法、个人信息保护法、网络犯罪的刑事制度等。网络安全方面的法律规范大部分还是规定在其他部门法中,主要是关于网络犯罪和网络违法行为,而专门法也只有电子签名法。

2.2 我国网络安全体系的发展历程

我国网络安全立法经历了4个阶段,包括计算机安全立法阶段、信息安全与互联网安全立法阶段、信息安全保障立法阶段、网络安全立法阶段。

2.2.1 计算机安全立法阶段(2000年之前)

在这一阶段,网络在我国的应用还非常有限,对网络安全问题的有效规制还没有引起立法机构的重视。1994年出台的《中华人民共和国计算机信息系统安全保护条例》(国务院147令)、1996年出台并在1997年修订的《计算机信息网络国际联网管理暂行规定》、1999年的《商用密码管理条例》等零星立法的层次普遍不高,对网络与信息安全中所存在的问题尚未有深刻的认识。这一阶段的信息安全观念将信息系统的安全边界划定得十分清晰,重点关注信息的保密性和完整性,同时,这一阶段立法保护的对象主要集中在计算机的物理安全,立法所主要规制的行为是针对信息系统的各种未经授权的操作。其中的《中国人民共和国计算机信息系统安全保护条例》首次采用信息系统安全的表述,并以保护计算机信息系统的安全为立法目的,同时将信息系统安全的主管机构定位为立法目的,同时将信息系统的主管部门定位为公安部门,这一立法标志着我国信息安全战略新纪元的开启,也奠定了我国信息与网络安全监管的基础格局。

2.2.2 信息安全与互联网安全立法阶段(2000—2004年)

在这一阶段,我国相继出台了以《电信条例》、《互联网信息服务管理办法》、《全国人民代表大会常务委员会关于维护互联网安全的决定》、《互联网上网服务营业场所管理条例》等为代表的一批立法性文件,反映出我国这一时期已经认识到互联网发展在国民经济、科学技术发展以及社会服务信息化进程中的重要作用,也注意到互联网运行安全和信息安全引发的重要作用,也注意到互联网运行安全和信息安全引发的社会问题,例如对社会主义市场经济秩序的影响,以及对个人、法人和其他组织的人身和财产等合法权利的侵害等。

这一阶段的信息安全观念,除了明确信息的完整性和保密性之外,信息安全的可用性、不可否认性以及可控性也备受关注。从立法结构上来看,尽管该阶段立法性文件数量众多,但是大多数都是以部位规章或者规范性文件的形式出现,专门法律规范仍有不少空白;从具体内容上看,各立法性文件基本都将网络服务接入提供商和网络服务提供商作为立法的主要任务,然而,从整个网络与信息安全立法体系来看,也存在诸多现实问题,例如立法层级仍然较低、多为解决具体问题的对策式立法等。

2.2.3 信息安全保障立法阶段(2005年—2012年)

从2005年起,以互联网为代表的新一代通信技术对国民经济和社会生活不断渗透,网络与信息安全的重要性日益凸显。在此背景下,我国于2006年出台了《2006-2010年国家信息化发展战略》,提出要全面加强国家信息安全保障体系建设,坚持积极防御、综合防范,探索和把握信息化与信息安全的内在规律,主动应对信息安全挑战,实现信息化与信息安全协调发展,不断提高信息安全的法律保障能力等重要内容。

这一阶段,我国除了出台《电子签名法》和《人大常务委员会关于加强网络信息保护的决定》2部高位阶立法之外,还制定了以《信息网络传播权保护条例》、《信息安全等级保护管理办法》和《商用密码产品使用管理条例》为代表的众多规范性文件,并在《刑法》、《侵权责任法》和《治安管理处罚法》等基本法律中加入了网络和信息安全相关的条款,从而填补了我国立法中心性安全保障的空白,使得保护的范围更广,再次表明我国对网络与信息安全问题的认识不断深化。

此阶段的立法的信息安全的范围更加宽泛,不仅局限于防止信息安全事件的发生,而且强调有效的风险管理,通过运用综合的措施保障信息的保密性、完整性、可用性、不可抵赖性等信息属性,呈现出预防为主的思路,迅速反应、主动出击来防范风险,在风险发生时尽快对破坏进行修复;其次,安全观在这个阶段发生了重大调整,认为强调绝对的安全已经不现实,相对安全观已经逐步被大家所接受。最后,信息安全保障也突破了纯技术维护信息安全的范畴,强调技术、管理、法律、人才等因素的综合应用、全方位维护。在这一阶段,我国在对原有的网络与信息安全立法不断完善的基础上,基本建立国家安全保障法律体系,网络安全立法规制的对象随着信息化的不断深化而扩大,但仍然存在立法碎片化、缺乏统一立法理念和顶层设计等问题。

2.2.4 网络安全立法阶段(2013年—)

2013年以来,国际网络安全形势风云突变,爆发了一系列具有重大影响力的事件,例如2013年棱镜门事件;2014年索尼影业数据大规模被黑;2016年黑客攻击导致乌克兰断电等;2017年勒索病毒的蔓延……在此阶段,我国先后出台的《国家安全法》、《反恐怖主义法》、《反间谍法》和《刑法》等基本法律都包含了与网络安全相关的条款,更为引人注目的是, 2016年6月,我国第一部基本法意义上的网络安全法通过了批准,这对我国的网络安全立法具有重大意义,标志着我国进入了网络安全基本法立法阶段,通过对草案规定的具体制度进行解读,可以看出草案是对我国网络安全相关法律法规的制度总结,将过去的网络安全保障能力进行制度化的处理,重视关键信息基础设施等重要环节的保障,而安全观则贯彻了全方位态势感知的理念。然而,鉴于网络安全问题的复杂性,草案不可能避免地存在各种争议,如结构和体制是否合理、基本原则是否贯彻在具体制度当中、是否兼顾和平衡了各方主体的利益、具体制度是否合理等。

2.2.5 我国网络安全立法的不足

近年来,虽然我国在网络立法方面取得了积极进展,颁布了许多与网络空间安全有关的法律、法规,但未形成系统的法律体系。法律、法规大多内容宽泛、粗糙,规范性、可操作性比较差,无法有效保护我国的网络空间安全。我国在网络空间安全方面的立法始终存在立法层次不高、立法理念陈旧、立法技术落后的弊端。直到2016年11月,才正式通过了第一部比较系统的《网络安全法》,使网络安全领域立法呈现的滞后性有所缓解,但由于关键信息基础设施保护、数据出境评估、网络安全等级保护等网安法重要配套制度的制定与出台仍在严谨、审慎论证中,网安法与现行法律法规之间的有效衔接问题尚需梳理,部门规章、地方立法及政策的制定和调整工作也需要相互协调,《网络安全法》的全面有效执行和条款的科学性尚待检验。目前,我国网络安全立法的问题主要体现在以下几个方面:(1)现有法律法规层级低,欠缺上位法和体系化架构设计;(2)政出多门,立法过于分散,部门立法、地方立法缺乏统筹,难以适应网络法治特点和规律;(3)执法能力相对滞后;(4)立法重管理而轻治理,重义务而轻权利,缺乏对我国参与互联网国际事务的有效支持;(5)网络立法人才极度欠缺,学科支撑基础薄弱。相较欧美一些发达国家近年来加速网络安全立法保护本国利益的做法,我国网络安全立法进度仍显滞后,法律体系还有待进一步建立完善。

三、结束语

美国等国家在信息网络技术方面领先于我国,其网络空间安全立法也早于我国,其网络安全相关问题暴露得更加充分,立法建设方面更为成熟。借鉴他们在维护网络秩序和完善网络监管的经验,对我国的网络安全立法建设具有重大意义。为此,我们应在吸收国外先进立法经验的基础上,首先转变立法思想,以服务代替监管,着力保障网络主体的合法权益;完善网络安全的等级保护制度;明确现行的网络安全法律之间的层级位阶关系,努力解决法律规范的效力位阶冲突;对具体的法律制度和程序进行细化规定,增强规范的可操作性;修订完善有关网络安全的其他法律;完善与其他法律的接轨,形成一个系统保护网络安全的、综合的网络安全法律体系。此外,网络安全关系到国家安全,我国还需要关注对境外网络入侵的防御体系建设,加强网络空间的国际合作,推进国际网络安全立法进程,提出反映自身利益的主张,提高我国在国际网络安全领域的话语权。

声明:本文来自网络安全新视野,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。