党的十八届四中全会提出,为使我国社会在深刻变革中既生机勃勃又井然有序,实现我国和平发展的战略目标,必须更好发挥法治的引领和规范作用。在当今世界各国高度重视网络安全,注重依法维护和保障本国网络安全的情形下,我国作为网络大国更应与时俱进,走在维护网络安全的前列,准确发现挖掘网络安全领域面临的重大问题,以法应对,用法治方式为网络安全运行保驾护航。
一、顶层制策,补齐软硬基础条件三个短板
(一)关键基础设施受制于人,需建立关键基础设施保护制度
网络关键基础设施安全问题关系到国家稳定、经济命脉和个人切身利益,其重要性不言而喻。美国利用其掌握的互联网核心技术和垄断地位,对网络设备预置“后门”,并大量窃取我政治、军事、经济、社会等方面情报,对我国家安全构成严重威胁。从网络拓扑结构上看,我国因特网实际上是接入美国因特网的一个分支,在网络技术、网络资源和网络控制权受制于人的情况下,需要明确坚定地划定我国网络关键基础设施的领域范围,有针对性、有重点地加强网络安全保障。
在网络信息安全立法中,应建立关键基础设施保护制度。一方面,国家要对电信终端设备、无线电通信设备和涉及网间互联的设备实行进网许可制度,接入公用电信网的网络设备,必须符合国家规定的标准并取得进网许可证。另一方面,国家要对各类网络终端、存储设备以及操作系统、应用软件、安全软件等实行进口审查制度,进口网络设施和软件必须符合国家规定的标准并取得进口许可证。
(二)民族网络产业落后,需建立民族网络产业优先发展制度
为从根本上保护网络信息安全,必须大力培育和扶植民族网络产业,依法推动自主知识产权网络产品的开发,有目的、有步骤地提升重点领域网络产品的国产化率,实现网络产品的自主可控。经过十余年的发展,我国培育出了阿里巴巴、腾讯、百度、华为、中兴等一批具有世界影响力的民族网络企业。但是,我国的网络企业仍然缺乏核心技术,在半导体芯片、操作系统、高端服务器等领域依然比较落后,且从网络资源到基础协议、创新应用等都由美国等西方国家掌控,难以有效地维护国家网络信息安全。显而易见,民族网络产业的落后,必将给我国网络信息安全带来重大隐患。
因此,应在网络信息安全立法中明确规定,国家要制定支持民族网络产业发展的专项规划,扶植民族网络信息产业优先发展,鼓励开发核心技术、创建民族品牌;并在政策、资金、税收、科研、人才等方面给予支持,促进具有国际竞争力的民族网络产业快速发展,为普及国产网络设备和软件打好基础,从源头上杜绝网络信息的安全隐患。
(三)网络应急保障不力,需建立网络应急保障制度
2014年1月21日,我国访问通用顶级根域名的服务器出现异常,据初步估算,全国三分之二的网站、超过2亿国内用户受到影响,平均受影响时间在3小时左右。可以预见,将来还会出现更多、更严重危害网络信息安全的事件。有学者提出,我国应当建立自己的根服务器,但是,在全球单独建立第14个根服务器,需要通过国际协商和国际合作来完成,实现难度非常之大。即便我国境内建立了根服务器,也将成为互联网黑客攻击的重点对象。为最大限度地避免或减少网络信息安全事件造成的损失,我国亟需加强网络安全应急保障建设。
建立网络应急保障制度是网络信息安全立法的重要内容。网络应急保障的责任主体应包括有关政府职能机构、社会机构和网络运营单位,要设立专门的国家网络信息安全应急保障机构,对网络安全事件实行分级响应和处置的机制。发生涉及国家安全和公共安全的重大网络信息安全事件,有关部门应当启动国家级应急处置预案,形成网络应急保障的合力。
二、统筹建制,补强网络安全管理三个弱项
(一)网络信息安全体制不顺,需建立高效的网络信息安全管理体制
我国互联网管理部门存在各自为政的现实问题,导致出现多头管理、职能交叉、权责不一、效率不高的不利局面。并且,随着互联网媒体属性越来越强,以及移动互联网、“自媒体”的普及,网络媒体和产业管理远远跟不上形势的发展变化。中央网络安全和信息化领导小组宣告成立,有助于解决我国网络安全管理中各自为政、“九龙治水”的问题。但是,现行互联网管理体制与科学管网、严格执法的要求相比,还有很大的差距。互联网管理体制的改革,迫切需要法治化来真正落实。
因此,要通过网络信息安全立法,整合互联网管理机构职能,以法律形式明晰各管理职能部门权责,尤其要明确网络信息安全的执法部门;完善各主管部门在维护网络信息安全工作中的协同配合机制,明确规定各部门在中央的统一领导下,各司其职,密切配合,形成从技术到内容、从日常安全到打击犯罪的互联网管理合力。在法律具体条文中,要对技术管理和内容管理划定明确的法律界限,并对不同的管理部门规定明确具体的法定职责。
(二)网络信息安全法律责任不明,需明确危害网络信息安全的法律责任
新的领域往往由于旧法难顾,新法未建,使得违法行为难被认定和追究。互联网技术和应用的飞速发展,也同样带来了大量管理“漏洞”或“真空”。例如,一些网络运营商将收集的信息进行大数据分析并销售给他人,给用户带来巨大安全隐患。再如,当前网上非法倒卖银行卡十分猖獗,严重威胁国家金融安全,但是,我国目前没有相应的刑法罪名应对,以致于只能依据《居民身份证法》对违法使用身份证办理银行卡行为处以200元以下的罚款,违法成本极低,在客观上助长了违法行为。
因此,在网络信息安全立法中,有必要对危害国家和公共网络安全的行为明确法律责任,为追究违法者创造法律条件。一是对于违法行为,应当相应地规定其民事责任、行政责任和刑事责任,明确各自的责任界限。二是要解决好民事责任、行政责任和刑事责任之间的衔接问题,对于尚不构成犯罪的违法行为,应当依法承担民事责任或行政责任。三是建立移送制度,对于危害性较大且已经构成犯罪的行为,应依法移送司法机关追究刑事责任,避免“以罚代刑”。四是所有网络运营商都有维护用户信息安全的义务,这些义务主体在未履行保护网络信息安全义务时,应当承担相应的法律责任。
(三)网络安全立法思路不清,需分别制定“网络信息安全法”和“个人信息保护法”
进行网络安全立法必须要明确该法的规制对象,即法律保护或惩治的对象是谁?关于我国网络安全立法,应制定“网络安全法”还是“信息安全法”或是其它名称的法律,存在很大争议。如有的学者使用“网络安全法”的概念,研究“信息社会与网络安全威胁”和“网络犯罪及其控制方略”等领域的网络问题。有的学者主张使用“信息安全法”的概念,其理由是“信息技术的应用从工商业领域已逐渐扩展到国家政治与社会生活的各个领域,信息安全也从技术和产业问题,上升到事关国家政治、经济、文化和军事安全等重大战略性问题”。这些观点各有优长和侧重,也使当前网络信息安全立法思路显得模糊。
对于中国国情来说,网络信息安全,首先需要解决国家安全和公共安全的问题,要将网络信息安全上升到国家和战略高度,没有国家的安全,个人的安全也无法保障。因此,根据我国实际情况和需要,并借鉴西方国家的立法经验,网络安全立法应走分别制定“网络信息安全法”和“个人信息保护法”的立法道路。两部法律各有侧重,“网络信息安全法”重点保护互联网领域的国家安全和公共安全,保护的对象既包括作为硬件设施的网络,也包括作为内容的数据信息等;而“个人信息保护法”侧重于保护公民个人的信息安全。
三、综合立法,补全信息安全保护四个不足
(一)网络数据存在泄密隐患,需建立网络信息安全保障制度
网络空间的资源分配权一直掌握在美国政府控制下的“互联网名称与数字地址分配机构”(ICANN)手中,从台湾网络资讯中心和ICANN共同签署的入网协议内容来看,根本没有防止监控和窃取入网国家和地区的网络信息等安全保障方面的约定。今年,美国国家安全局发布的第一份“透明度报告”,明确承认该机构监控的对象接近9万个。随着“大数据”时代的到来,丰富和集中的数据更加容易被滥用或窃取,这将给我国的网络信息安全带来巨大隐患。
我国的网络安全立法应建立网络数据信息安全保护制度,依法确立“明确责任主体、完善自律机制”的原则,明确相关机构的责任边界。规定对于网站、银行、医院等数据信息集中的单位,要把保护客户信息作为一项铁律,严禁滥用,严禁外泄。任何单位或个人不得将其在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人。同时,依法明确规定,任何互联网公司或组织在我国境内收集的我国公民数据信息,须存储在我国境内,严禁将数据信息存储在境外,违者要追究法律责任。
(二)网上谣言屡禁不止,需建立网络信息安全审查制度
互联网为网民言论自由提供了便利,与此同时,网络的草根化、隐匿化和反主流化也成为了网上谣言等负面信息聚集和传播的平台。互联网不是法外之地,在依法保障网民言论自由的同时,也要对网络信息进行依法管理。当前,我国网络信息内容的管理主要依靠“三驾马车”,即公安、网信和工信三大部门,但三个部门依据的执法标准并不一致。如何在坚持我国优势与特色的基础上,科学借鉴高效管用的国际经验,加强和完善互联网内容管理,已经成为十分紧迫的政治任务和立法任务。
我国进行网络信息安全立法,应在坚持我国管理模式的基础上,统一执法标准,建立网络信息安全审查制度。一是建立政府管理为主和行业自律为辅的网络信息内容审查体制。二是理顺主管部门之间的管理权限和协调配合关系,统一审查标准、明确职责分工,充分发挥事前审查、事中监控和事后惩处的三种管理职能作用。三是互联网行业协会要制定行业自律标准,加强网络运营单位的职业道德建设。四是网络内容服务提供商要采用和完善进行内容审查的信息过滤技术。五是通过政府职能部门和社会组织的共同监管,维护干净清朗的网络环境。
(三)网络恐怖活动猖獗,需建立反恐监控制度
当前,网络恐怖主义等严重危害国家安全和公共安全的违法犯罪活动十分猖獗,将网络作为活动场所,编造、传播虚假恐怖信息,组织、召集、联络实施恐怖犯罪活动,针对计算机信息系统和数据,实施有预谋、有组织的网络攻击,造成了严重的破坏后果和巨大影响。对于网络犯罪,单纯依靠事后的法律制裁,根本无法有效打击和预防网络恐怖主义的违法犯罪活动,也不符合广大人民群众的根本利益,必须要从源头上进行遏止和管控,依法打击。为此,美国国会制定了一系列法律,允许政府特定机构运用特定技术手段,监视特定范围内的信息流动及用户活动。
为打击网络恐怖犯罪活动,在网络信息安全立法中,应当建立完善有效的监控制度,依法授权国家安全机关和公安机关加强网络监管。国家安全机关和公安机关在网络信息安全工作中,对危害国家网络信息安全或利用网络实施危害国家安全、公共安全的行为,有权经过批准采取网络技术侦察,依法行使侦查、拘留、预审和执行逮捕以及法律规定的其他职权。当然,在相关法律中应当明确规定为维护国家安全开展的网络监听、监视活动的主体资格和监听、监视活动的边界范围,防止权力滥用。
(四)重点岗位和人员管理不严,需建立重点岗位和人员的特殊保护制度
我国已经建立了对信息和信息载体按照重要性等级分级别进行保护的制度,即“信息安全等级保护制度”,但该制度因缺乏法律依据,贯彻执行的情况不够理想。当前,在互联网领域,涉及国家安全和公共安全的重点岗位和人员的范围不够明确,网络信息安全保护工作的重点不够突出,以致于一些重点岗位的人员既缺乏网络信息安全保护的意识,也缺少网络信息安全的专业技能,更缺乏网络信息安全的保护措施。
在网络信息安全立法中,应建立重点岗位和人员的特殊保护制度。在国家机关、涉及国计民生的行业以及数据信息大量集中的互联网企业范围内,确定网络信息安全保护的重点岗位和人员,明确重点岗位和人员的保密义务和责任,实施不同强度的监督管理。应根据不同岗位的工作性质,加强网络舆情分析、网络内容监管、网络攻击应对、网络应急保障等方面的专业技能培训,提高重点岗位和人员的网络信息安全保护能力,坚决防治网络泄密。