下载掌阅APP,畅读海量书库
立即打开
网络安全法作为网络安全法律规制的基本法,体现为以治理思维为基础的综合、动态立法,从治理原则上来说至少覆盖四个方面,包括应该明确与网络基础规范的关系的原则、网络安全的目的与结构的原则、网络安全体制的原则以及网络安全运行机制的原则。
4.1.1 首先是与网络基础规范的关系原则,体现为网络运营、公平与安全 相结合的原则。 在今天网络技术高度发展的背景下,我们必须适应网络技术的发展趋势,并且以充分享受网络福利、合理追求网络创造为基础尊重其自由开发与应用,特别是应极大发挥其促进商业、社会、文化、政治等方面不断开放的自由功能。但是,我们又必须看到,网络科技开发及其应用,本身具有复杂面,可以在积极方面也可以在消极方面对经济、社会、文化乃至政治产生巨大作用力,所以,我们又必须在鼓励其极大自由地开发和应用的同时,注意消除或者克制其副作用的一面,这就需要同时做到确保网络公平和安全。所以,第一条原则即网络运营、公平与安全相结合,应该同时处理好运营、公平、安全三个主要维度的关系,三者不能相互孤立,缺一不可。
《网络安全法(草案)》第3条
规定了“国家坚持网络安全与信息化发展并重”,第7条规定了“建设、运营网络或者通过网络提供服务……保障网络安全、稳定运行”,第9条规定了“国家保护公民、法人和其他组织依法使用网络的权利……保障网络信息依法有序自由流动”,这些都不同程度地涉及网络自由与网络安全的协同问题,但是并未上升到一个更加宏观整合的高度,同时忽略了网络公平问题。所以不意外的是,在具体展开中,《网络安全法(草案)》多为管理授权条款及营运者和用户义务规定,仅用寥寥法条阐述运营者、用户的权利(比较典型的为第54条和第9条),颇有将网络安全法完全建立在绝对的管理权力基础上之嫌,而忽视了运营、公平与安全的协同基础。
4.1.2
其次是维护网络安全的目的与结构原则,体现为目的上确保网络系
统和活动中国家、社会和个人正当利益的安全以及结构上确保国家、社会、个
人正当利益的安全一致受保护的原则。
前已述及,网络安全可以从不同角度加以理解,例如目的、功能等角度,但从价值原则上说应该是从立足目的角度,如此才能上升到法律精神的高度。从目的上说,网络安全的法律规制应该致力于确保网络技术和开发应用对于人类带来积极福利的同时,积极避免其对于国家、社会和个人正当利益的危害和破坏,这种正当利益既包括具体利益,也包括整体上的政治、经济、社会、文化等利益。此外,我们要注意,这一目的原则是一种结构的存在,国家、社会和个人均需尊重,不得偏废,这就使得网络安全法在保护利益体系上存在一种复合利益多重交织的特点和要求。《网络安全法(草案)》在第9条涉及了网络安全问题上国家、社会和个人的正当利益一体保护问题,该条规定了两款,但是表述上非常不清晰
。
4.1.3 再次是维护网络安全的体制原则,体现为治理体制上的统一领导与 分工协作监管相配合的原则。 网络安全治理作为一个科学可行的有效体系,从功能上而言要做到与网络系统、网络运行结构的实际特点相符,也就是说治理机制应该覆盖全面、纵横交错,同时又要突出必要层次与事项的区分。确保网络安全是网络的基本价值之一。为了使这一基本价值得到实现,在治理机构、职责以及管理事项上面,提到保障配置层次,就此进行基本价值保障,确立统一领导机制和战略管理机制。许多国家为此设立高级别的领导体系,确立战略管理架构。我国也不例外,中央网络安全与信息化领导小组的成立,就是其体现,此次应该借助《网络安全法(草案)》立法在治理体制层面予以清晰化,使得其作为政治的体系能够与国家的体系相对接。此外,网络安全事务非常复杂,涉及基础、运行、管理和信息不同类型的安全,也涉及经济、社会、政治、文化等不同领域的安全,涉及国内和国外不同的关系,涉及合法与违法、一般违法与犯罪等不同情况,这些都使得统一领导难以化为统一管理,所以,应该依据现行机构体制的科学特点建立一个严密合理的分工协作的管理体系,配置必要的职责,明确清晰的程序。
4.1.4 最后是维护网络安全的运行机制原则,体现为治理体系上战略管理 与具体管理相配合、重点管理与一般管理相配合的原则。 网络安全治理体制体现的是网络安全功能承担主体的配置,网络安全治理机制的体现则是功能具体实施途径和方法的配置。这种配置设计,必须通过科学的思维,针对网络科技和网络空间的特殊性进行多功能、多层次、多维度、多环节、宏观与微观结合、事先预防与事后解决结合、一般处置与应急处置结合的机制交织,分别需要借助不同的途径和方法,并且进行重点突出与一般管理的合理布局。
《网络安全法(草案)》没有明确规定战略管理与具体管理相配合、重点管理与一般管理相配合的原则,但是在具体体例安排上体现了这一原则。我们可以从第二章“网络安全战略、规划与促进”和其他章节的区分看到这种处理,但是总体上意识不足,体例安排的科学性也就存在不足,比如具体管理应该依据功能以及重点,区分“网络基础设施”、“网络运行、技术与运营管理”、“个人信息与数据资产保护”、“行业组织和自律管理”、“网络监测、预警与应急管理”、“网络开放与国际合作”等。此点前面已经提及,不复赘言。
网络安全法律规制,从治理思维的体系化、动态化视角,其基本的法律框架应该体现治理原则和治理规则的体系。其中,治理规则在事项内容方面要体现治理体制、治理机制、治理责任等重点要求;在程序方面,则要体现治理权力的配置和运行、治理手段的条件和实施、治理义务的承担和执行、治理效果的发生和承担,总之,是权力—运行—义务—承担—责任的要求。
网络安全法是网络安全法律规制的基本法。目前的《网络安全法(草案)》具体分为总则,网络安全战略、规划与促进,网络运行安全,网络信息安全,监测预警与应急处置,法律责任,附则七大板块。这种架构在体系化、动态化搭建方面存在一定的意识,比如区分了作为原则规定的总则(第一章)和作为规则的具体规定(其他章节),在规则架构上,突出了网络安全的战略性,并且按照管理的环节安排篇章。
《网络安全法(草案)》安排的是一种基于一般管理法视角的架构思考,而并未着重于网络安全法作为现代治理型立法的需求,与治理法应突出体制机制的科学体系和动态配置的要求尚有差距。《网络安全法(草案)》在一定程度上体现了体制的要求,但是进行的是扁平化的处理;此外,也注意到要从功能角度布局机制的要求,区分了“网络安全战略、规划与促进”、“网络运行安全”、“网络信息安全”、“监测预警与应急处置”、“法律责任”几个方面,但是规范区划上较为简陋而且较为理论化(例如网络运行安全和网络信息安全的区分),导致在实践规制的操作上不够精密,也不够实际。
本文认为,从治理法体系的主要结构出发,网络安全法规制重点首先是规制体制架构问题,然后是几大机制板块,包括“网络安全战略管理”、“网络基础设施安全”、“网络运行、技术与管理的规制”、“个人信息与数据资产保护”、“行业自律”、“网络监测、预警与应急管理”、“网络开放、数据开放与国际合作”。这些机制板块同样也是基于功能的区划,却是从实践中网络建设和运营最基本的层次结构和分工特点的角度展开的,且不刻意区分物理安全和信息安全,意在打破这种区分的绝对性,强调信息安全在目标上的可贯通性。此外,进行了必要的体系交叉和功能限制,比如“个人信息与数据资产保护”、“网络开放、数据开放与国际合作”、“行业组织和自律管理”。程序性问题融入具体的章节。所以,建议修改为第一章“总则”(制定依据、法律原则与适用规定)、第二章“网络安全体制(机构体系与职责)”、第三章“网络安全战略”、第四章“网络基础设施安全”、第五章“网络运行、技术与管理安全”、第六章“网络监测、预警与应急管理”、第七章“个人信息与数据资产保护”、第八章“网络开放、数据开放与国际合作”、第九章“行业组织和自律管理”、第十章“法律责任”、第十一章“附则”。
此次《网络安全法》起草,基于以上体系结构,势必遭遇若干难点课题,其中比较复杂的应该有:网络安全和网络运营关系问题;网络安全体制架构问题;完善网络安全战略管理机制问题;网络基础设施安全保障问题;完善网络安全信息共享制度问题;推进数据安全保障问题;个人信息保护和数据资产化问题;数据开放、数据流动和国际合作问题;行业自律问题等。限于篇幅,这里就不具体展开。