个人网络安全保护立法思路

11月11日，中国的购物狂欢节盛况空前，全网交易额达到1229.37亿元人民币，同比增长52.7%。其中各平台移动端占比都超过了PC端。天猫移动端占比达到68%，京东移动端占比达到74%。

中国接入互联网20多年来，人们的生活空间逐步由传统的现实空间走向虚拟与现实相融合的双层空间中，且虚拟空间占据的生活比重越来越大。

网络购物、网络会议、网络订餐、网络订票、网络地图、打车软件、即时通讯工具等等，对人们来说已经不再陌生。

特别是移动互联网络的普及、智能手机的推广，促进了衣食住行与互联网络的高度融合，出门在外，一部手机似乎就可以搞定一切。

然而，网络给我们的日常生活带来极大便利的同时，也产生了众多个人网络安全问题。譬如，个人信息泄露、支付账户被窃取、信息网络诈骗等。

根据《中国互联网络发展状况统计报告》显示，2014年中国手机网民达到5.27亿，首次超过传统PC网民规模。在移动互联网全面普及之后，手机APP产品更加纷繁多样，这些隐含的网络安全问题就显得愈发尖锐。

以网络安全针对的对象划分，可以将网络安全分为个人层面的网络安全、社会层面的网络安全以及国家层面的网络安全。

国家层面的网络安全无疑是网络安全保障的最高层次，它关系到国家在网络空间的独立地位、甚至关系到一个国家的生死存亡。但是，个人层面的网络安全也是网络安全的重要内容，不容忽视。

个人网络安全堪忧

个人网络安全问题与人们的日常生活息息相关，这些问题一旦爆发会对公民的财产权利、人身权利造成侵害。

例如，支付宝作为当前流行的支付工具，已经从线上逐渐转移到线下，网上购物常用支付宝，网下实体商店也渐渐采用了这一便捷的结算方式。但是一些流氓软件的安装可能会导致支付宝账户信息被窃取，进而威胁到使用者的财产安全。

又如，当前各种手机APP往往存储着用户的各种私密信息，包括私密照片、聊天记录、位置信息等等，随着云存储的发展，这些内容还可能同步上传到云端，这些信息一旦被非法获取，公民的隐私权利就会遭受严重的威胁。

个人网络安全问题是国家网络安全的重要基础，是国家网络安全不可分割的一部分。

以网络数据为例，随着网络与现实生活的高度融合，数据急剧增长，“数据主权”、“数据强国”在世界范围内不断得到重视，而个人数据（包含但不限于个人信息）是重要的子集，对个人数据的窃取或不当使用，同样关系到国家数据的安全，对国家网络安全造成威胁。

因此，保障个人层面的网络安全应该成为网络安全法的重要命题，与个人网络安全有关的社会关系理应成为网络安全法调整的重要对象。

事实上，在网络安全立法中重视个人层面的网络安全，在信息网络技术发达的国家和地区已有先例。

在计算机信息技术发展最成熟的美国，其网络安全法律制度调整内容可以分为以保护国家安全为主的法律、以保护企业安全为主的法律、以保护个人安全为主的法律以及综合性法律。其中以保护个人安全为主的法律，主要有《1988年计算机匹配与隐私保护法》（Computer Matching and Privacy Protection Act）、《1999年在线隐私保护法》（Online Privacy Protection Act）、《2005年个人数据隐私与安全法》（Personal Data Privacy and Security Act）等。

可以看出，美国网络安全法律制度中对个人层面网络安全的保护主要集中在个人数据安全及隐私保护方面。

在欧盟，早在1995年就颁布了《个人数据保护指令》，对以传统方式及借助计算机处理个人数据的行为加以规制。近年来，“数据权”、“被遗忘权”也成为欧盟关注的重要议题，欧盟数据保护工作小组还出台了“被遗忘权”的具体实施细则。

个人网络安全获立法重视

回顾中国网络安全法律制度的发展历程，网络安全问题日益得到重视，个人层面的网络安全问题也逐步在法律文件中得到确认。

中国的网络安全法律制度建设，最初可以追溯至1994年2月18日国务院颁布的《计算机信息系统安全保护条例》。

这是中国以计算机为重心建立安全保护制度的法律文件，开启了中国网络安全立法的序幕，具有里程碑的意义。

此后20多年以来，中国网络安全法制建设获得了持续发展，颁布了《关于维护互联网安全的决定》、《关于加强网络信息保护的决定》等专门法律，此外，《刑法》、《治安管理处罚法》、《未成年人保护法》等综合性法律也针对网络安全问题做了相应的调整。

在这些涉及网络安全的法律文件中，个人层面的网络安全逐步得到确认，例如，《关于加强网络信息保护的决定》从法律的高度确认了对公民个人信息的保护;《刑法修正案（九）》确立了“侵犯公民个人信息罪”等等。

随着网络空间的迅速发展，网络空间安全问题日渐突出，“棱镜门”事件可谓敲响了各国网络安全保障的警钟，中国对网络空间安全问题的关注度也不断提高。

2014年2月27日，中央网络安全和信息化领导小组成立，统筹协调各个领域的网络安全和信息化重大问题。2015年7月1日，新《国家安全法》颁行，提出要建设网络与信息安全保障体系。

越来越复杂多样的网络安全问题亟须基础性法律文件的出台。

2015年7月6日，全国人大公布《网络安全法（草案）》并向社会公开征求意见，该草案对于中国网络安全立法具有重要意义，网络安全领域的基本法律呼之欲出。

该草案共7章68条，其主要内容包括：网络安全战略、规划与促进;网络产品和服务安全;网络运行安全;网络数据;监测预警与应急处理;网络安全监管体制等。

其中，草案在“网络产品和服务安全”中明确网络产品和服务提供者不得设置恶意程序，并负有向用户告知安全缺陷、漏洞等风险、持续提供安全维护服务等义务。

在网络数据安全方面，草案明确了网络运营者备份和加密重要数据的义务，并对加强公民个人信息的保护作了规定。

立法应给公民更多赋权

总体来看，《网络安全法（草案）》兼顾了国家层面以及个人层面的网络安全。

但是，在个人网络安全问题上，草案的规定仍有不足。

如前所述，个人层面的网络安全主要涉及财产安全、人身安全，后者又主要指向公民的隐私权益。

对于个人网络安全的保护，既要从整体统筹考虑，平衡各方利益、协调各层次网络安全之间的关系;也要从细处着眼，具体保障公民个人在网络空间中的财产安全、信息安全、数据安全，其中赋权是一种重要手段。而现有的《网络安全法（草案）》在这些方面还有待完善。

就整体而言，草案并未对网络安全保障针对的对象作出区分，而且偏重对网络整体环境、关键基础设施的保障。对于个人层面的网络安全，草案缺乏直接、明确的保护规定，仅仅对与公民个人信息相关的内容作了规定。当然，个人层面的网络安全与社会及国家层面的网络安全之间也是相辅相成的，良好的网络运行环境为个人网络安全的保障奠定基础。

就细处来看，草案在公民个人网络安全的保障方面，通过规定网络产品和网络服务提供者的义务，使得个人用户在接受服务、使用产品时得到一定保障;此外，关于网络数据保护的规定集中体现了对公民个人信息的保护。

这两方面的规定是值得肯定的，但是这样的规定还是不够的。

个人网络用户是网络活动的重要参与者，其权益的保障不容忽视，草案第一条也明确提出了保护公民合法权益的立法目的。

以基本法定位的“网络安全法”应该引入更多的“赋权”条款，现有规定“重管制轻权利”，禁止性规范多，保护性规范少，这样的条款风格有失偏颇，为了有效地保障个人层面的网络安全，明确赋予公民个人信息权、数据权、正常使用通信网络不受非法干扰等权利就具有重要的意义，个人信息权的重要性自不待言，在移动终端普及度越来越高的情况下，移动终端系统的安全、移动网络的正常使用等新型权利有必要突出强调，有权利才有救济，通过赋权使得公民在其网络安全权益受侵害时有诉诸法律救济的可能性。

因此，在个人层面的网络安全保障上，应当在网络安全基础性法律中赋予公民必要的新型权利。

在网络安全立法过程中，强调对公民网络权利的保障、重视个人层面的网络安全并不是要割裂其与国家网络安全、社会网络安全的关系，更不是要喧宾夺主。

重视个人层面网络安全的保障是为了全面维护网络空间的社会秩序，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法利益，促进经济社会信息化健康发展。只有平衡好各方利益，统筹规划网络安全保护战略，宏观把握、细处着眼，才能真正地实现保障网络安全的目的。

作者分别为中国人民大学法学院教授、网络犯罪与安全研究中心执行主任;中国人民大学法学院硕士研究生