自2016年11月7日,第十二届全国人大常委会第24次会议通过了《中华人民共和国网络安全法》(以下简称“《网络安全法》”),并于2017年6月1日正式实施以来,我国在网络安全法治建设、网络治理能力、社会公众的网络安全意识等方面均取得了许多重大的进展和显著实效。信息时代,网络安全是事关国家安全的重大战略问题。完善网络安全立法,不断提高网络安全法治保障水平和网络治理实践能力,是增强网络安全防御能力和威慑能力,并将网络安全风险控制在可接受的范围内的必由之路。
原文 :《完善网络安全立法,加强网络空间法治保障》
作者 |华东政法大学互联网法治研究院院长、国家安全法研究中心教授 叶 青
图片 |网络
网络安全立法是一项长期性、系统性工作
从形式上说,作为中国第一部网络安全立法,该法涵盖涉及网络安全的多个方面,保证了基本法的基础性、原则性。但这也使得《网络安全法》的指导性条款过多,软法含量比例过高,妨碍了法律的实施效果。例如,该法第37条中规定了涉及向境外提供网络数据的,须按规定先进行安全评估,通过后方可实施,但是法条未对评估的标准等作出明确规定,势必影响法条的实施效果。又例如,在责任处罚上,虽然专门设置了一章,对相关的违法犯罪行为的处罚进行规定,但多数法律责任规定的处罚过轻,且多为罚款处罚,不利于实现立法目的。网络安全立法应当是一项长期性、系统性工作,未来应当根据网络安全保护的实际需要,加强分类分项管理。诸如针对APP、个人信息保护等领域的专门性立法,实现网络安全法律体系的不断完善。
《网络安全法》对个人层面的数据保护规定较多,但对涉及国家层面的数据保护较为粗疏,尤其是一般性主体在国家网络运行安全方面的保护责任不够明晰、细化。对于保障数据完整性、保密性和可用性方面,该法规定了网络运营者的安全保护义务,明确要求任何人不能提供专门用于窃取网络数据的程序和工具。相比而言,《网络安全法》在国家层面的数据保障建设未成体系。该法虽对国家网络安全监测预警和信息通报制度做出了规定,但规定的对象仅是国家网信部门、负责关键信息基础设施安全保护工作的部门,且对于安全检测预警和信息通报只是规定了框架性的预警和通报制度,至于该制度的责任主体、监测模式、通报周期等都未做明确规定。而对于企业协助和报告的责任则更是散见于该法的不同条款中,不集中、不明确,也未对境外互联网企业、网络安全厂商与我国网信部门共享网络安全信息作出具体的规定。
当前是新型冠状病毒防控的关键期,企业通过信息技术实现远程办公。在法律上,进一步区分远程办公不同模式下的网络安全责任主体,以明确判断远程办公涉及的网络安全问题和应对措施,显得特别重要。远程办公平台的运营方,作为平台及相关网络的运营者,应当对网络的运行安全负责。《网络安全法》的主要规制对象是网络运营者,即网络的所有者、管理者和网络服务提供者。网络运营者应当承担《网络安全法》及其配套法规下的网络运行安全和网络信息安全的责任。对于远程办公系统而言,不同的系统运营方式下,网络安全责任主体(即网络运营者)存在较大的差异。按照远程办公系统的运营方式划分,企业远程办公系统大致可以分为自有系统、云办公系统和综合型系统三大类。应明确区分企业与平台运营方的责任界限,以明确判断不同主体应采取的网络安全措施。自有系统,无论是否为企业自研系统,由于系统架构完毕后由企业单独所有并自主管理,因此企业构成相关办公系统的网络运营者,承担相应的网络安全责任。
云办公系统,由于云办公系统(SaaS或APP)的网络、数据库、应用服务器都由平台运营方运营和管理,因此,云办公系统的运营方构成网络运营者,通常对SaaS和APP的网络运行安全和信息安全负有责任。综合型系统,此类系统部署在企业自有服务器和第三方服务器上,综合了自有系统和云办公,系统的运营不完全由企业控制,多用于有多地架设本地服务器需求的跨国企业。云办公系统的供应商和企业本身都可能构成网络运营者,应当以各自运营、管理的网络系统为边界,对各自运营的网络承担相应的网络安全责任。
完善法律制度规范,倒逼运营商加强数据安全投入
通过完善法律制度规范,倒逼运营商加强数据安全投入,提高信息保护标准,引导企业提高个人信息保护意识,从而有效预防员工恶意破坏、泄露公司数据,保障公众的数据安全。
内部员工泄密一直是企业数据泄露事故的主要原因之一,也是当前“侵犯公民个人信息犯罪”的典型行为模式。2月23日晚间,微信头部服务提供商微盟集团旗下SaaS业务服务突发故障,系统崩溃,生产环境和数据遭受严重破坏,导致上百万的商户的业务无法顺利开展,遭受重大损失。为此,通过完善《网络安全法》,明确规定运营商应当根据数据敏感程度,制定相适应的访问、改写权限,对于核心数据库的数据,应当禁止员工通过远程登录方式进行操作或处理,即建立数据分级管理制度,以及建立数据泄露的应急管理方案,包括安全事件的监测和上报机制,安全事件的响应预案;组建具备远程安全服务能力的团队,负责实时监控员工对核心数据库或敏感数据的操作行为、数据库的安全情况。
确立个人信息分类分级等基础性制度,明确监管主体和责任主体
目前,《民法总则》《消费者权益保护法》《电子商务法》《侵权责任法》等法律,以及最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》、中国国家标准化管理委员会《信息安全技术个人信息安全规范》、公安部网络安全保卫局《互联网个人信息安全保护指引(征求意见稿)》,等等,从不同角度对个人信息保护作出规定。
要解决目前相关立法散乱问题,笔者认为,有必要在《网络安全法》中对个人信息等基本概念做出明确界定,并对信息、隐私、数据等概念进行准确区分。
建立个人信息分类分级制度是有效保护个人信息、合理利用个人信息的关键。建议借鉴欧盟GDPR等立法成果,并总结吸收我国已有法律、法律解释等成果,在《网络安全法》中确立个人信息分类分级制度。将个人信息按照性质、内容等标准进行分类,并对信息的敏感度进行分级,从而可以针对不同类别和层级的个人信息进行差别化保护,实现信息保护与利用的平衡。此外,为解决监管不力、监管主体缺位等问题,建议对各部门监管职责进行合理分工,明确责任主体,并对各部门合作监管的情形和程序也同时做出规定。
将“网络实名制”真正落到实处
将网络实名制进一步落到实处。《网络安全法》第24条规定:“网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。”实名制可以提升人们的责任感和坦诚度,也能让互联网和现实生活真正接轨。
有学者认为,在这样一种公开、公平的氛围中,人们的网络生活会更加理性和生动,实行网络实名制非但不会成为大家交流的障碍,反而让大家在更加亲切友好的气氛中交流和生活,同时也会有效阻止那些谩骂攻击行为,也可很好杜绝垃圾信息的泛滥,从而净化互联网环境。《网络安全法》中关于实名制的相关规定,需要在具体细则和体现形式等层面进行细化,从而将网络实名制进一步落到实处。网络实名制其实要求服务提供商和基础电信服务提供者,将网民是否进行实名登记作为使用网络服务的交换条件,实际上是要求网民和互联网服务提供商,非实名不得使用互联网,非实名不得提供相关服务。
在目前的网络技术条件下,广大网民事实上已经处于实名状态,因此在这一总体原则基础上,对于不同的网络社群和话题领域,网民的“实名”形式可以有所区分,从而让网民既要对自己的言论和行为负责,又能充分体验互联网的开放性和活力。与此同时,我们也要防止个人信息泄露事件的发生,相关法律法规的完善也理应跟上网络违法犯罪手段和方式的新变化,基于此,《网络安全法》关于实名制的相关规定,还需尽可能予以进一步细化与完善,强化数据安全保密机制的构建,依法严厉打击侵犯公民隐私、损害数据安全、窃取数据秘密等违法犯罪活动,从而更有力推进网络空间法治化进程,将“网络实名制”真正落到实处。
文章原载于社会科学报第1702期第3版,未经允许禁止转载,文中内容仅代表作者观点,不代表本报立场。
观点 | 汪明亮:刑法不是“万能药”,保护公民个人信息仍要谨慎乐观
网络安全博弈:一场全面的“持久战” | 社会科学报
閱讀更多 社會科學報 的文章
