《網絡安全法》實施:實現網絡安全的法治保障
源于我國面臨國內外網絡安全形勢的客觀實際和緊迫需要,2016年11月7日,《中華人民共和國網絡安全法》(以下簡稱“網安法”)經第十二屆全國人大常委會第二十四次會議表決通過,已于2017年6月1日施行。網安法為我國有效應對網絡安全威脅和風險、全方位保障網絡安全提供了上位法依據。
一、戰略發布:不斷強化網安法提出的原則和政策
2016年12月27日發布的《國家網絡空間安全戰略》,是我國首次發布關于網絡空間安全的戰略。戰略與網安法提出的構建網絡空間的“和平、安全、開放、合作”原則相銜接,從國家戰略層面詮釋了網安法主張的網絡空間主權原則,將“堅定捍衛網絡空間主權”作為九大戰略任務之首,強調“根據憲法和法律法規管理我國主權范圍內的網絡活動,保護我國信息設施和信息資源安全,采取包括經濟、行政、科技、法律、外交、軍事等一切措施,堅定不移地維護我國網絡空間主權。堅決反對通過網絡顛覆我國國家政權、破壞我國國家主權的一切行為”;戰略將“保護關鍵信息基礎設施”作為九大戰略任務之三,進一步拓展了關鍵信息基礎設施的外延,將重要互聯網應用系統納入其中,強調著眼識別、防護、檢測、預警、響應、處置等環節,建立實施關鍵信息基礎設施保護制度;同時,戰略再次強調要建立實施網絡安全審查制度,加強供應鏈安全管理。
2017年3月1日發布的《網絡空間國際合作戰略》,全面宣示了我國在國際互聯網治理問題上的基本原則和行動要點,奠定了我國在國際社會競爭中的話語權和軟實力。該戰略站在各國共同維護網絡空間安全的角度,重申了網安法的和平、主權原則;戰略主張的“促進企業提高數據安全保護意識,支持企業加強行業自律,就網絡空間個人信息保護最佳實踐展開討論。推動政府和企業加強合作,共同保護網絡空間個人隱私”的行動倡議與網安法第四章“網絡信息安全”的個人信息保護規定緊密契合。
這兩個戰略開啟了我國網絡空間治理的全新范式,鞏固和強化了網安法構建的由內而外、自上到下的原則和政策,為我國網絡安全相關政策和配套法律的出臺指明了方向,有助于繼續深入推進網絡主權保障、關鍵信息基礎設施保護、個人信息保護、國家安全審查等方面的法律構建。
二、配套規定出臺:有效銜接網安法構筑的制度和規則
網安法從運行安全、信息安全和事件應對三個維度立體化、全方位保護網絡安全。相關部門正制定或出臺相應的下位法與之配套,切實保障網安法的可操作性,避免流于表面化。
在網絡運行安全方面,網絡安全審查和關鍵信息基礎設施保護制度是下位法制定的重點。網安法第35條規定應該對可能影響國家安全的關鍵信息基礎設施的網絡產品和服務進行國家安全審查,該條已在國家互聯網信息辦公室2017年5月2日發布的《網絡產品和服務安全審查辦法(試行)》中進行了具體規定,該規定是首個正式生效的網安法重要配套規定,并已于6月1日同步施行。該辦法旨在提高網絡產品和服務安全可控水平,防范供應鏈安全風險。根據該辦法,關系國家安全和公共利益的信息系統使用的重要網絡產品和服務以及關鍵信息基礎設施運營者采購的網絡產品和服務,可能影響國家安全的,都要經過網絡安全審查;網絡安全審查重點在于網絡產品和服務的安全性、可控性。
信息安全等級保護制度是國家對基礎信息網絡和重要信息系統實施重點保護的關鍵措施。我國的信息安全等級保護工作初步實現了標準化、規范化,但是仍呈現體系不完善、重點不突出、保護效果不佳、保護對象不完整等問題。網安法第21條提出國家實行網絡安全等級保護制度,第31條進一步要求關鍵信息基礎設施要落實國家安全等級保護制度,突出保護重點,是深化信息安全等級保護制度、保護國家關鍵信息基礎設施和大數據安全的迫切需要。為落實網安法第21條和第31條的規定,必須科學合理地推動網絡安全等級保護制度的演進與變革,構建和完善等級保護2.0制度體系。
網安法第31條規定建立關鍵信息基礎設施保護制度,授權國務院制定關鍵信息基礎設施的具體范圍和安全保護辦法。關鍵信息基礎設施安全保護辦法是法律中唯一明確規定“由國務院制定”的行政法規,也是網絡安全法律體系的重中之重。主管部門已開展了相關條例的具體調研、安全檢查、起草編寫、部門論證和企業座談等工作。在與關鍵信息基礎設施保護配套的強制性標準方面,全國信安標委2017年工作重點之一即為落實網安法要求,加快推動重點標準研制,網絡安全產品與服務、關鍵信息基礎設施保護等強制性國家標準的研究。由此可見,與網安法第31條配套的法規、國家標準等正在經歷著縝密的夯實歷程。
網安法第37條首次在法律中確立了對個人信息及重要數據出境的安全評估制度,并授權國家網信部門會同其他監管部門制定詳細的安全評估實施辦法。數據本地化屬于境內外實體的重大關切,《個人信息和重要數據出境安全評估辦法(征求意見稿)》已于5月11日結束公開征求意見。評估辦法以《國家安全法》和《網絡安全法》等為上位法依據,擴大了數據本地化及安全評估義務適用對象的范圍,解釋了重要數據的概念,數據評估的重點內容,不得出境的條件等,正式制度出臺和具體實施有待在實踐中進一步觀察。
在網絡信息安全方面,《互聯網新聞信息服務管理規定》也于6月1日同步施行,規定第13條第一款和十六條第二款分別銜接了網安法第24條用戶身份管理制度的要求和第47條處置違法信息的義務要求,互聯網新聞信息服務提供者違反這兩款的適用網安法的行政處罰。
兩高《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(《解釋》)5月10日正式發布,解釋降低入罪門檻,嚴懲侵犯公民個人信息犯罪。在個人信息保護基本立法暫時缺位的情況下,《解釋》及時彌補了個人信息刑事責任追責的短板,并實質性的構成了網安法行刑銜接的進一步配套和細化制度,為基本立法提供了案例素材,有利于立法的精準、充分。
三、國際立法變革:網安法后續制度落地的參考方向
國際網絡安全相關戰略和立法迅速進行改革,美歐紛紛建立全方位、更立體、更具彈性與前瞻性的網絡安全立法體系。鑒于事件驅動重大立法規律的存在,可以預見的是,國際立法變革將一直持續。
美國接連通過多部網絡安全戰略及立法,以加強美國網絡安全和抵御網絡攻擊的能力,如2016年通過《信息自由法案促進法》、“應對重大網絡攻擊最新政策指令”、“安全漏洞披露政策”、《波特曼-墨菲反宣傳法案》,2017年通過《國家網絡事件響應計劃(NCIRP)》、《2017NIST網絡安全框架、評估和審查法案》(NIST Cybersecurity Framework, Assessment, and Auditing Act of 2017)(H.R.1224)等。5月11日,美國總統特朗普簽署了《關于加強聯邦網絡和關鍵基礎設施網絡安全的總統行政令》,要求美國采取一系列措施來增強聯邦政府、關鍵基礎設施和國家這三個領域的網絡安全,明確要求聯邦機構必須遵守NIST的網絡安全框架。歐盟2016年7月通過第一部網絡安全法案《網絡與信息系統安全指令》,致力于在歐盟范圍內實現統一的、高水平的網絡與信息系統安全,歐盟成員國必須在21個月內將其轉化為國內法,11月發布了三個有關歐盟《一般數據保護條例》內容的指南,為落實《一般數據保護條例》提供更詳盡的指引。英國2016年底頒布史上最嚴協助執法法《調查權法案》,旨在進一步理清執法機構在通信及通信數據攔截、獲取、留存及設備干擾等方面的權力,幫助執法機構調查犯罪和防控恐怖主義。
從制度設計層面來看,網安法規定了近20項制度,其中,網絡安全等級保護制度、網絡信息內容管理、網絡安全教育和培訓、個人信息保護等制度較為成熟,網絡關鍵設備和網絡安全專用產品認證、漏洞等網絡安全信息發布、關鍵信息基礎設施保護制度、數據留存和協助執法制度、境外網絡攻擊制裁等更多的制度亟需完善設計和后續落地,在制度的貫徹實施過程中必然存在各種挑戰和問題。
而恰恰國際立法變革的內容可以為我國網安法后續制度落地提供參考方向。如美國2016年應對重大網絡攻擊最新政策指令公布了對網絡攻擊嚴重程度進行定性的標準,從0級到5級共分6個層次,分別是基準、低、中、高、嚴重和緊急,其中3級及以上被視為“重大網絡事件”,將觸發政策指令中的威脅應對、資產應對和情報支持活動等反應機制,可以為我國網絡安全事件應急處置和境外攻擊制裁制度落地提供參考。美國國防部“安全漏洞披露政策”可以為漏洞等網絡安全信息發布和漏洞的合法挖掘、合理披露制度構建提供參考。美國《2017NIST網絡安全框架、評估和審查法案》則可為關鍵信息基礎設施保護辦法、關鍵信息技術保護安全要求方面的國家強制性標準制定提供參考。英國《調查權法案》涉及面廣,規定細致,可以為數據存留和協助執法制度的完善提供參考等。必須強調的是,相關制度借鑒應考慮其制定和實施的特殊場景,不能照搬國外經驗,需根據國情實施本土化改造。
作為我國第一部網絡安全管理的基礎性保障法,其全面落地實施是網絡空間法治建設的重要里程碑事件。網安法以發現、消除網絡安全威脅和風險,提升恢復能力為軸心,構建了“防御、控制與懲治”三位一體的立法架構,其配套制度的制定與出臺正不斷夯實豐滿這一立法架構。