网络信息安全监管法治体系建设研究最新章节_李翔著

第五节
网络信息安全监管的重点领域

重点治理是我国国家治理的一个显著特点。我国网络信息安全监管实践充分体现了这一点。网络信息安全监管涉及的事项、环节和任务极其繁复，固然需要统筹兼顾，但也不能搞“平均主义”。由于监管资源的有限性，必须在监管事项的优先次序上作出选择。回顾我国网络信息安全监管历程，一个较为清晰的轨迹是，在不同时期，党和政府根据当时网络信息安全的总体形势、突出问题以及所涉及利益的性质，总会选定若干重点监管领域，在战略谋划、法律制定、政策实施等方面予以重点保障，实现以点带面的监管效果。重点监管领域的分布较为广泛，既涉及网络信息硬件设施，也包括软件、网络信息内容和网络空间形形色色的行动者。本书重点关注以下监管领域。

一、关键信息基础设施安全监管

我国关键信息基础设施自主创新能力不足，核心元部件依赖进口，造成我国关键信息基础设施的脆弱性和安全风险隐患。我国关键信息基础设施的立法体系已初步形成，包括《国家安全法》《网络安全法》《密码法》《网络安全审查办法》《数据安全法》《关键信息基础设施安全保护条例》等。

准确定义和认定关键信息基础设施是实施安全监管的前提和关键。关于关键信息基础设施的定义，《关键信息基础设施安全保护条例》第2条规定：“本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”关于关键信息基础设施的认定，《关键信息基础设施安全保护条例》第9条规定，制定关键信息基础设施的认定规则应当综合考虑三方面因素：一是网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；二是网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；三是对其他行业和领域的关联性影响。

对于关键信息基础设施的运营者，《关键信息基础设施安全保护条例》提出“三同步”原则，即安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用；要求关键信息基础设施运营者设立专门的安全管理机构，具体履行八方面法定职责：（1）建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划；（2）组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；（3）按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件；（4）认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议；（5）组织网络安全教育、培训；（6）履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度；（7）对关键信息基础设施设计、建设、运行、维护等服务实施安全管理；（8）按照规定报告网络安全事件和重要事项。《关键信息基础设施安全保护条例》还对危害关键信息基础设施的行为作出规定，为行政监管、司法监管提供了法律依据。

二、网络信息内容安全监管

网络信息内容是指在网络空间以文字、图片、符号、音频、视频等形式存在，表达一定意义的内容信息。在网络社会不断发展背景下，网络信息内容的生产主体越来越多，影响范围越来越广。从国家安全角度来说，网络信息内容除涉及网络安全外，还可能涉及政治安全、军事安全、国土安全、经济安全、社会安全、文化安全、生态安全等诸多安全领域。网络信息内容涉及网络言论自由和网络表达权，网络信息安全监管需要统筹安全和自由。从现实实践来看，网络表达权的行使存在很多失序问题。例如，网络虚假信息、网络低俗违法信息、网络谣言等层出不穷；不满人士或有特定目的的人士常常通过网络操纵舆论；国与国之间的认知战、信息战、舆论战也主要通过网络空间展开。网络直播、深度伪造、合成内容、社交机器人等给网络信息内容治理带来源源不断的新挑战。

在网络信息内容监管方面，我国也已经建立起基本的制度架构。例如，《中华人民共和国刑法》（以下简称《刑法》）不断完善对网络空间编造、故意传播虚假信息罪的惩治。《网络安全法》明确了主管部门和网络运营者对网络信息内容的监管职责。2020年3月1日起施行的《网络信息内容生态治理规定》对网络信息内容安全监管具有重要意义。其中，第6条明确要求，网络信息内容生产者不得制作、复制、发布含有下列内容的违法信息，其中很多和国家安全和公共安全有关，具体包括：（1）反对宪法所确定的基本原则的；（2）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；（3）损害国家荣誉和利益的；（4）歪曲、丑化、亵渎、否定英雄烈士事迹和精神，以侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉的；（5）宣扬恐怖主义、极端主义或者煽动实施恐怖活动、极端主义活动的；（6）煽动民族仇恨、民族歧视，破坏民族团结的；（7）破坏国家宗教政策，宣扬邪教和封建迷信的；（8）散布谣言，扰乱经济秩序和社会秩序的；（9）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；（10）侮辱或者诽谤他人，侵害他人名誉、隐私和其他合法权益的；（11）法律、行政法规禁止的其他内容。

三、平台企业监管

传统的经济模式依赖特定的物理要素，需要经由一个个必要的物理环节实现商品从生产端到消费端的流动。在平台经济模式下，任何环节的经济活动都可以被数字平台整合，生产的时空界限被打破，供需双方可以在短时间内快速对接，中间环节大大减少，商品和资本以前所未有的速度流动和增值，塑造出一个“扁平化的世界”。这场深刻的经济变革一方面极大地提高了经济运行效率，同时也带来很多负外部性问题。2021年3月15日，习近平主持召开中央财经委员会第九次会议时强调，推进平台经济规范健康持续发展，坚持发展和规范并重，更好统筹发展和安全，反对垄断，防止资本无序扩张。

我国加强平台企业监管具有充分的政治和安全考量。平台经济预示了数字技术革命所推动的社会经济组织形式的变革方向，这必然会引起资本主义国家经济矛盾的加深，以及劳动者经济社会地位的恶化，对发达资本主义国家的社会稳定、制度合理性以及全球秩序构成了严峻挑战。……社会主义中国正在对基于资本主义生产方式的平台经济进行“积极扬弃”。

从监管工具看，反垄断监管和网络安全审查是近年来常用的两种工具。例如，针对阿里巴巴的“二选一”问题，依据《反垄断法》进行了巨额惩罚。再如，针对滴滴公司危害信息安全、网络安全的问题，国家互联网信息办公室（以下简称国家网信办）等部门以网络安全审查的方式进行了巨额惩罚。除了这些法律工具外，有研究者提出，针对平台经济、共享经济的交易结构横向化、主体多元化、客体零散化等特点，应从劳动法、合同法、竞争法、税法、知识产权法等领域进行规制。基于统筹发展和安全原则，对于网络平台企业的新业态，实验性规制模式值得重视。实验性规制具有创新友好型特点，当政府对法律规制创新产品的影响不确定时，实验性规制可以提供一个可选择的预防性方法，走一步看一步，逐渐探索出符合创新发展的规制手段。

四、数据安全监管

面对复杂的数据安全形势对个人、公共乃至国家安全造成的冲击，我国高度重视数据安全监管和法治建设工作。《数据安全法》《个人信息保护法》的出台为数据安全监管提供了重要法律依据，但从学理上来说，我国数据安全监管制度建设仍处于探索阶段。数据有核心数据、重要数据和一般数据之分，维护核心数据和重要数据安全是当务之急。数据治理源起于20世纪90年代，最初并非作为实际管理手段被提出。2004年以后，数据治理率先在企业管理中使用。

金融数据治理是数据治理的重要领域。从全球视角对比来看，我国开展金融数据治理工作的时间较晚。2018年，原中国银行保险监督管理委员会（以下简称原银保监会）发布《银行业金融机构数据治理指引》。在该文件中，原银保监会对金融数据治理内涵进行重点阐述，并从数据治理原则、数据管理、数据质量控制、数据价值实现以及数据治理框架方面进行细则描述。在学界，关于金融数据治理的理论选择主要分为权利派和权益派。将数据定性为权利还是权益直接决定着数据的法律属性、规则适用、价值位阶等问题。实践中因行业透支数据安全引致监管呈趋严之势。

我国《数据安全法》的施行为数据安全监管提供了一个基本法律框架。《数据安全法》明确规定，维护数据安全，应当坚持总体国家安全观，坚持统筹安全与发展。在监管体制和职责方面，《数据安全法》也作出规定，具体包括：（1）中央国家安全领导机构负责国家数据安全工作的决策和议事协调；（2）各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责；（3）工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责；（4）公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责；（5）国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。

五、网络信息犯罪治理

对于网络信息犯罪，刑法学者更多从刑法教义学立场讨论其在刑法适用中的问题，如网络信息犯罪解释空间向度研究，网络时代刑法解释的限度问题，新技术犯罪的刑事规制问题，网络中立帮助行为的可罚性问题，等等。与之不同，犯罪学研究者围绕网络信息犯罪的态势、网络信息犯罪的原因、网络信息犯罪的治理等进行了全面研究。

实践表明，仅靠刑法和刑事政策无法有效防范和应对日益严峻的网络信息犯罪问题。《中华人民共和国反电信网络诈骗法》的制定和施行代表了一种新的治理思路，即全链条、全覆盖、穿透式的综合监管模式。其中规定：“反电信网络诈骗工作坚持以人民为中心，统筹发展和安全；坚持系统观念、法治思维，注重源头治理、综合治理；坚持齐抓共管、群防群治，全面落实打防管控各项措施，加强社会宣传教育防范；坚持精准防治，保障正常生产经营活动和群众生活便利。”该法设置电信治理、金融治理和互联网治理专章，同时第27条到第37条规定了综合措施，强化对电信网络诈骗的前端监管和预防、制止。