陕西省通信管理局│张涛
西安交通大学信息安全法研究中心│梁思雨
深度剖析:《网络安全法》对管理体制影响几何?
陕西省通信管理局│张涛
西安交通大学信息安全法研究中心│梁思雨
随着物联网、云计算和大数据等新一代信息技术的蓬勃发展,网络安全已经上升到国家战略高度,现有法律、法规的滞后性愈发凸显,已不能满足现实社会发展需求,网络安全领域亟需更高层级的立法。
与传统领域相比,互联网领域监管可称得上是“蛮荒之地”,因为互联网的发展只在近20年左右才进入高速阶段,许多监管、治理手段都是后知后觉地根据已出现的问题进行后期补充。
11月7日,我国通过《网络安全法》,此次《网络安全法》破除重重障碍、拨云见日,高举“依法治国”大旗,开启了“依法治网”的崭新局面,成为“依法治国”顶层设计下一项共建、共享的路径实践。“依法治网”成为我国网络空间治理的主线和纲领,以“法治”谋求“网治”的长治久安。
《网络安全法》出台前,网络安全管理机构执法主要依据的是《计算机信息系统等级保护的管理办法》、《电信条例》、《互联网信息服务管理办法》、《全国人大常委会加强信息保护的决定》及相应部门规章和内部司局下发的规范文件。这些规范性法律文件为我国前期的网络安全保障工作提供了必要的授权和执法依据,在当时的互联网发展水平下发挥了不可或缺的作用。
但随着物联网、云计算和大数据等新一代信息技术的蓬勃发展,网络安全已经上升到国家战略高度,现有法律、法规的滞后性愈发凸显,已不能满足现实社会发展需求,网络安全领域亟需更高层级的立法。与此同时,现有执法依据多以行政法规和部门规章为主,缺乏整体性框架,制度衔接不协调,导致适用范围较窄,执法实践中出现冲突,很多现实问题得不到良好的解决,不利于网络安全的长期保持。
针对上述问题,《网络安全法》做出了回应。
一方面,《网络安全法》作为网络安全领域的基本法,其出台本身就意味着网络安全管理制度法律层级的提高,为现有政策法规及配套文件的出台提供统一的制定根据;另一方面,通过规定基本网络安全保障制度,《网络安全法》为后续立法预留接口,如“关键信息基础设施安全保护办法”(第三十一条)、“关键信息基础设施安全规划”(第三十二条)、“关键信息基础设施重要数据境外提供安全评估办法”(第三十七条)、“网络安全监测预警和信息通报制度”(第五十一条)、“网络安全风险评估和应急工作机制”、“网络安全事件应急预案”(第五十三条)等,为后续相关政策法规的制定提供上位法依据。
我国目前对网络安全进行管理的机构主要有:网信办、公安部、工业和信息化部、中国证券业监督委员会等,已形成多元化管理体制,然而这种管理体制不仅导致相关部门之间利益相争,而且会产生以下弊端:一方面,造成全盘规划政策的困难;另一方面,导致管理的低效率,统一的安全管理权被不同的部门分割,“九龙治水”的分权架构不仅不能起到制衡作用,反而在一定程度上加大了监管成本、降低了监管效率,同时导致争功诿过、执法责任不明确的后果。
《网络安全法》的出台,将有效解决以上问题。
首先,明确了“1+X”的监管体制。由国家网信部门统筹协调网络安全工作和相关监督管理工作。具体表现为《网络安全法》第八条规定:国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。这种“1+X”的监管体制,符合当前互联网与现实社会全面融合的特点和我国监管需要。县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。
其次,明确了行政移送职责。《网络安全法》第十四条规定“任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。”此条规定了网络安全管理机构在处理不属于自身职责范围内的投诉时,应当移送有关部门的法定职责,明确了网络安全管理机构行政移送的法定义务,同时《网络安全法》第七十三条第二款规定了不履行移送职责的法定后果,“网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。”同时按照行政诉讼法、行政复议法,网络安全管理机构有可能面临被起诉、被复议的法律风险。
《网络安全法》出台前,受制于立法层级,监管多以行政处罚为主,手段单一,其不足主要表现为以下方面。
首先,立法虽规定了吊销许可证的处罚措施,但落实缺乏有力的支撑,例如我国基础电信业务许可证仅颁发到电信企业集团层面,各省级以下(包括省级)的电信企业都没有电信业务许可证,在现阶段要吊销电信企业集团许可证几乎不可能。
其次,违法收益大于违法成本。我国网络安全管理手段多以罚款为主,但对于大型网络运营者来说,罚款对于违规行为震慑力度不够,例如《电话用户真实身份信息登记规定》中对存量用户只能以引导为主,而不能采取中止服务的措施;另外在个人信息保护、垃圾短信治理中,《电信和互联网用户个人信息保护规定》、《通信短信息服务管理规定》由于立法层级低,违法行为只能处3万元以下的罚款,数额过低,不能有效预防和打击违法行为。
《网络安全法》针对不同情形,赋予了网络安全管理机构多项监管工具,有效提升了监管能力。
第一,赋予了网络安全管理机构多项行政处罚措施。《网络安全法》以关键信息基础设施保护为重心,强调落实运营者责任,注重保护个人权益,加强动态感知快速反应能力,以技术、产业、人才为保障,立体化地推进网络安全工作。为保障各项制度落到实处,立法对网络存在较大安全隐患或者发生安全事件的运营者,规定有关部门可以按照规定的权限和程序对其法定代表人或主要责任人进行约谈;对故意从事危害网络安全的活动受到治安管理处罚或者刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作;对有《网络安全法》规定的违法行为,依照有关法律、行政法规的规定记入信用档案,并予以公示。
第二,为有效应对来自境外的网络威胁及风险,保障网络主权。立法中明确了网络安全管理机构可以采取措施封堵来源境外的有害信息,加强《网络安全法》的域外效力。《网络安全法》第五十条规定:国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。第七十五条规定:境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。
第三,突发重大事件可以临时断网。在现实社会中,当出现重大突发事件时,为确保应急处置、维护国家和公众安全,有关部门往往会采取交通管制等措施,网络空间也不例外。《网络安全法》中,对建立网络安全监测预警与应急处置制度专门列出一章做出规定,明确了发生网络安全事件时,有关部门需要采取的措施。
特别规定:因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。
综上,《网络安全法》的出台通过提升网络安全管理法律层级,构建统一法律框架,理顺网络安全管理体制,丰富监管手段,进一步加强网络安全管理机构的监管能力,为新形势下的网络安全管理机构依法行政提供制度保障,有效促进网络空间法治化。
编辑|赵艳薇 zhaoyanwei@bjxintong.com.cn