法的有效性评估是检视法律规范体系的完备性、规范性和可适用性是否满足社会关系调整需求的重要方法和手段。作为我国网络安全保障的基本法,《网络安全法》(网安法)的有效性直接关系到国家网络空间的治理水平和安全能力。在全球范围内,网络安全法律规范体系的有效性评估受到广泛重视,早在2009年,美国奥巴马政府即开展了为期60天的网络安全政策审查、2015年全球网络安全能力中心发起的针对英国网络安全能力的审查,都包含了对网络安全立法和规范体系的评估,对网络安全脆弱性、事件响应、利益相关者等要素进行了评价,提出法律成熟度建设对策,有效推进网络安全法律规范的完善。网安法正式实施一年有余,配套法规的制定工作如火如荼,执法行动日益频密,实现了网络安全基本法的功能价值。然而,限于我国网络环境的复杂性和立法技术的滞后性,网安法尚不完备,适用层面仍存在诸多有待澄清的现实障碍,需要全面评估其有效性,提出未来建设路径。

一、网安法内容和实施现状简述

法律助力经济、政治发展的作用日益彰显,以法律规制网络行为、维护网络空间安全呈现出世界趋同性,各国竞相发布网络安全战略、政策、法律及标准,以此规范网络行为。我国也相继发布了网安法的配套法规标准,在实践层面也展开了执法行动。

(一)网安法制度设计涵盖宽泛

网安法总体结构可以概括为三大战略、四大原则和八项制度设计,提出网络安全、人才培养和可信身份三大战略,将习总书记强调的和平、安全、开放、合作原则以立法形式确定下来。网安法贯穿了网络运行安全、产品和服务安全、数据安全的全过程规定了网络安全等级保护制度、关键信息基础设施(CII)保护制度、网络产品和服务的审查制度、数据跨境传输制度、个人信息保护制度、安全认证和检测制度、信息通报制度、网络安全事件应急处置制度,充分体现了我国对网络空间保护的多维度和广泛性。

(二)配套法规和标准制定拉开帷幕

网安法为配套制度的建设预留了诸多接口,正式颁布后相关配套法规也开始紧锣密鼓地进行,其中网络安全等级保护、网络安全事件应急管理、个人信息保护、数据跨境、CII保护的下位法制定成为重中之重。

网络安全等级保护方面,2017年1月,全国信标委按照云计算、物联网、工控系统、移动互联安全等不同领域,发布了《信息安全技术 网络安全等级保护测评要求(征求意见稿)》及《信息安全技术 网络安全等级保护设计技术要求(征求意见稿)》的一系列标准;2018年1月,全国信标委发布《信息安全技术 网络安全等级保护定级指南(征求意见稿)》;2018年4月,公安部发布《网络安全等级保护测评机构管理办法》。

网络安全事件应急管理方面,2017年1月,中央网信办发布《国家网络安全事件应急预案》;5月,工信部发布《工业控制系统信息安全事件应急管理工作指南》,全国信标委发布《信息安全技术 网络安全事件应急演练通用指南(征求意见稿)》;8月,工信部《公共互联网网络安全威胁监测与处置办法》;11月,工信部发布《公共互联网网络安全突发事件应急预案》。

个人信息保护方面,2017年8月,《信息安全技术 个人信息去标识化指南》标准发布征求意见稿;2018年5月,《信息安全技术个人信息安全规范》(GB/T 35273—2017)开始正式实施。

数据跨境方面,2017年4月,中央网信办发布《个人信息和重要数据出境安全评估办法(征求意见稿)》;8月,全国信息安全标准化技术委员会发布《信息安全技术 数据出境安全评估指南(征求意见稿)》。

CII保护方面,2017年7月,中央网信办发布《关键信息基础设施安全保护条例(征求意见稿)》;8月,《信息安全技术 关键信息基础设施安全保障评价指标体系》及《信息安全技术 关键信息基础设施安全检查评估指南》开始征求意见。

有关网络产品和服务审查、安全漏洞、信息内容管控、信息通报、网络安全和服务、安全认证和检测的配套法规和标准也已经颁布或正在制定过程中(限于篇幅限制,在此不再详细展开,网络产品和服务审查、信息内容管控等重要制度将于下篇详述)。

(三)专项检查和执法行动依法开展

最近一年,国家层面和地方政府机构都开始进行专项检查和执法行动,以期将网安法落到实处,提升网络安全保护水平,建立全方位的态势感知能力。

首先,国家层面的专项检查迅速开展。2017年8月,中央网信办、工信部、公安部、全国信标委四部门组成的专家组对携程网、淘宝等在内的10款APP隐私条款进行评审,审查隐私条款内容、展示方式和征得用户同意方式等。2017年8月至10月,全国人大常委会执法检查组进行了“一法一决定”的执法检查,并发布检查报告。

其次,地方层面的执法行动渐趋频繁。网安法实施初期,汕头、北京、广州、合肥、深圳、铜陵、重庆等市相继出现“执法第一案”,违法主体既包括个人,也包括组织。处罚措施包括警告、责令整改、关闭网站、对直接主管人员和组织罚款、拘留、约谈等。处罚内容主要包括:违反等级保护制度(21、25、59条);违反个人信息保护制度(22、41、42、43、64条);提供网络电话服务未落实用户真实身份信息(24、61条);违法有害信息处置要求(47、68条);较为零散地出现了对网络产品和服务存在安全缺陷和漏洞(22、64条)等其他行为的执法处罚。

网安法的配套法规和标准制定工作有序跟进,体现了“依法治网”的重要方略;国家和地方政府机构的执法活动自上而下展开,检验了网安法部分条款的可适用性,揭开了我国网络安全治理的新篇章。网安法的基本法地位和功能开始凸显,“遵法”、“守法”、“执法”已经在全社会形成基本的示范效应,为我国从网络大国向网络强国的崛起提供了良好的法治理论和实践环境。信息技术日新月异,网络安全法律也应适时作出调整。国家主权博弈日益激烈、网络犯罪的无国界性和破坏度持续增加、网络安全立法技术不成熟等现象并存,倒逼我们对网安法的有效性进行评估,以便健全法规、切实解决执法困难,形成上下联动的迅速响应机制。

二、网安法有效性评估

对网安法有效性进行评估是增强其自身完备性的重要措施,能够及时改善立法质量,科学把握未来网络安全立法的方向和趋势。

(一)网安法的规范效果有待提升

网安法促使我国网络空间开始迈入“高设防”时代,制定的战略和制度为规制网络行为提供了重要依据。从网安法自身完备性评价,其既有值得肯定的地方,亦存在需要完善之处。

一方面,网安法克服了传统信息法律条款零散分布的弱点,更加重视对网络空间的整体维护,提出的战略及原则成为我国网络安全下位法的制定依据。网安法确立的CII保护、网络安全审查制度等填补了立法空白。随着域外反对势力对我国意识形态领域的干涉,我国关键行业和重要系统的风险尤为凸显,网安法的规定可以避免数据“透明”现象,对维护我国政治稳定和网络主权具有重要意义。

另一方面,网安法的规定过于原则和框架性,很多规定停留于“点出即可”的状态,缺乏进一步的详细规定。在进行法律移植的过程中,没有充分考虑到我国政治、经济、文化和网络环境的差异性,在很大程度上会削弱部分条款的可适用性。部分规定与现有法律交叉重叠。最典型的为网安法第四章的网络信息安全,其与2012年的《全国人民代表大会常务委员会关于加强网络信息保护的决定》内容大部分一致,忽视了新型安全风险的挑战,个人信息保护力度有所欠缺。

(二)网安法配套法规亟待增补和调整

网安法规定的八大制度中,网络安全等级保护制度和事件应急处置的法规已趋于完善。我国网络等级保护法规已经颁布实施20余年,具有深刻的社会背景和现实基础,加上新近出台的配套法规和系列标准,已经形成较为完善的遵从体系;网络事件应急管理方面,相关部门至少颁布了4部网安法配套法规,明确监管机构及跨部门联动处置机制、网络安全事件的分级预警要求、公共互联网网络安全威胁的处置原则等,增强了网安法相关条款的可操作性。比较而言,个人信息保护、数据跨境和CII保护配套法规和标准的匮乏局面日益凸显。

首先,个人信息保护的片面规定不利于维护个人权益。网安法并未确定个人的法定信息权,单纯的规定了网络运营者的个别信息保护义务,缺乏已被普遍承认的被遗忘权、数据可携权等人格权利和赔偿权等财产权利的规定,缺乏相关机构的监管机制。个人信息保护的配套法规尚未开始制定,已发布标准虽然规定较为全面但缺乏强制性,现有立法对个人信息的保护尚处于初级发展阶段。

其次,数据跨境法规的缺失忽视了数据主权的基本诉求。国家之间的主权博弈不可避免,摩擦日益升级,数据跨境流动的立法监管折射出执法便利提升和国家主权维护等多元诉求。美国云法案、欧盟的GDPR都直接或间接地扩大了执法权,对我国的企业利益、国家主权等造成严重冲击,但我国网安法37条未体现我国对跨国企业数据跨境的规定和执法权力。评估办法征求意见稿确立的义务主体超越了网安法规定(CII运营者),对中小型企业来说负担过重,影响创新发展和技术进步。

再次,CII保护条例延迟落地削弱国家安全的维护能力。网安法的网络运行安全一章、CII保护条例(征求意见稿)初步构建起关键信息基础设施的法律制度框架,形成了较为低层次的CII管理体系。但立法确定的CII范围和界定相对宽泛,其认定标准和程序难以把握,会增加CII保护的脆弱性。此外,CII内涵分析与三级以上网络安全等级保护系统本质相同,网安法规定应在等级保护的基础上进行CII保护,但保护条例(征求意见稿)的内容并未体现网安法的基本要求,将二者完全割裂不利于资源整合使用。

(三)网安法的可适用性尚须增强

迄今为止,全国各地已相继从“执法第一案”逐渐步入执法常态化阶段,可见的违法行为得到相应制裁,大型互联网提供商已经将数据安全和合规作为重中之重。毋庸置疑,网安法引起了我国网络安全空间的新一轮改革。但过多原则性条款的存在、重要制度配套法规的缺失等因素导致其在实践层面产生了一些消极影响:

1. 网安法条款的集中执法降低整体适用性

国家层面的专项检查以宣传、普及、促进网安法实施为主要目的,起到接受、了解和警示作用,可以为网安法的全面贯彻保驾护航,但缺乏真正执法行动的严肃性和威慑作用;地方层面的执法活动过于集中,已发生的案例基本是对网安法21、22、24、25、26、38、46、47条的适用,对数据跨境、产品安全审查、CII等方面的处罚适用还未具体体现,且处罚种类单一、处罚力度不大,执法经验不足、执法能力缺乏直接降低了网安法的监管效能。

2. 配套法规缺失加深义务主体的遵从困难

网安法实际效果的限制与我国现有社会基础、自身规范有效性缺失及执法机构职权划分不清晰密切相关。一方面,我国网络立法意识觉醒较晚,立法技术尚不成熟,最近两年急于制定和颁布的网络安全法律缺乏可操作性,执法活动缺少依据,大多成为空头文件,网络安全整体法治生态系统缺乏良性循环;另一方面,网安法自身原则性和笼统性规定过多,配套法规后续推动乏力,数据跨境、CII保护等重要制度的配套法规未取得实质性进展。网络运营商的合规流程和文件难以细化,对网安法由新颁布时的紧张、警觉变为谨慎、观望。

3. 监管机构职权不清阻碍执法活动有效推进

从现有的网安法执法案例可知,执法机构包括各省市的网信办、公安机关、通信管理部门等。人大“一法一决定”的执法检查报告显示,传统网络安全监管的“九龙治水”现象没有得到彻底解决,机构之间权责划分不清、执法推诿、重复执法、效率低下的问题仍然存在,严重阻碍执法活动的有效性。

综上分析,网安法在一定程度上实现了有效性,但自身制度和配套法规不完备、立法间缺乏有效衔接、机构职责混乱等问题削弱了网安法的可适用性,亟需提出解决路径。

三、网安法有效性的提升路径

网络的无限延伸性、匿名性、攻击主导性等特点加剧了安全威胁,个人信息失控、CII被深度攻击事件频发,亟需增强网安法的有效性,持续推动网络安全法律“防火墙”建设。立法机构应实时观察国际网络安全立法,根据新型风险及时对网安法不适应情况进行说明和修改,抓紧配套法规落地,多层次、全方位的实现网安法规范效果。

第一,构筑专门的个人信息保护体系。观察国际社会个人信息治理体系,深度挖掘GDPR确立的信息主体权利、义务主体责任及政府监管机制,结合我国的技术水平和法治环境,制定个人信息保护的单行法规。第二,推动数据跨境法规实际落地。以网安法37条的基本态度为指引,增加美国云法案(主要针对长臂管辖)的反制措施,加快出台我国数据跨境有关的评估办法和标准指南。确定专门的数据跨境执法机构,构建数据分级分类制度,区分不同风险级别数据出境的条件。第三,筑牢CII保护制度。充分认识CII与网络安全等级保护制度的趋同与差异,利用等保具有的法律体系和社会基础协调网络运营商义务和机构职权,提高立法资源利用率,降低企业合规成本。第四,全面推进执法进程。在增加法律完备性的基础上增加执法范围和力度,提高网安法的警示和规制作用。构建清晰、闭合的执法机构职权划分体系,提高执法行动的实际效果。将执法人员的法律培训提上日程,增加执法水平和经验。

除上述路径外,应重视立法评估对增加法律成熟度的关键作用。建立政府机构、第三方中立和技术机构广泛参与的法律评估机制,定期(至少一年一次)对网安法进行评估,形成评估报告并发布,实现法律的透明度和动态性。评估报告应涵盖网安法适用条款、配套法规、适用性、修改建议等内容。

四、结语

日前围绕国家主权所展开的政治斗争、军事较量、经济竞争、文化冲突无不以网络安全为“前哨战”,网络安全对国家主权、公共安全的嵌入态势渐趋明朗。网络空间战场的大国博弈日趋激烈,我国所倡导的“网络空间命运共同体”规则受到极大挑战,网络主权和国际话语权的较量进入新一轮更迭。网安法是我国网络安全法律发展的里程碑,可视作我国网络安全领域的“宪法”,担负着净化我国网络环境、维护社会正常运转、保护公私合法权益的历史使命。鉴于配套法规的延迟落地和执法行动的集中化,网安法的有效性受到极大限制。有关部门应在充分评估网安法价值的基础上,尽快增补配套法规及标准,以此为导向全面开展执法活动,在全社会形成良好的示范作用,切实实现网络信息系统的统筹兼顾。

(本文刊登于《中国信息安全》杂志2018年第7期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。