当前网络安全立法工作的三个重点

◎天津大学法学院副院长 蓝蓝

2018年9月18日，美国发布了特朗普政府首份网络安全战略报告《国家网络战略》，这份战略报告在维护多利益攸关方治理模式、实施网络威慑、维护互联网自由、加强志同道合国家的合作、重视关键基础设施等方面，均继承了奥巴马政府时期的关键理念，体现出网络治理政策的一致性和连贯性。战略报告通篇都在强调美国利益至上，这符合特朗普上任以来一贯强硬的表现，同时也是他为自己争取政治筹码、在中期选举中拉拢选民的重要手段，对此我们应当正确看待。

在这份《国家网络战略》中，美国公开点名俄罗斯、中国、伊朗和朝鲜等国，用非常霸道、蛮横的语言横加指责，试图将自己包装成一个纯粹的网络安全受害者，反映出浓厚的网络霸凌主义色彩。“打铁还需自身硬”，反制霸凌主义的硬道理就是更好更快发展。具体到网络安全，当务之急是要加快我国网络安全相关立法的步伐，以法治手段稳步推进网络安全建设。笔者认为，当前网络安全立法工作应当关注如下三个重点：

一、进一步完善《网络安全法》这部基本立法

2016年11月7日，全国人大常委会表决通过了《中华人民共和国网络安全法》（以下简称《网络安全法》），该法的出台在我国网络治理进程中具有里程碑式的意义。作为我国第一部网络安全的专门性综合性立法，它提出了应对网络安全挑战这一全球性问题的中国方案，使网络安全从此有法可依。但我们也应当看到，这部基本立法还有一些亟待完善和明确之处。试举两例说明。

比如，“网络安全”的范围如何来界定？《网络安全法》附则部分第76条对网络安全内涵进行了界定，但这部法律要想在实践中很好地应用，还需要明确网络安全的准确外延，这个问题是整部立法的核心所在。在这个问题上，我认为要特别关注中美两国对“网络安全”的不同理解。在美国，传统意义上的网络安全主要指信息系统安全，防范的是未经授权侵入信息系统的行为，侧重于对数据及关键网络基础设施的保护。2015年年底，美国国会通过了《网络安全法案》，该法案对“网络安全”的范围作了一定的扩展，由单一的“信息系统安全”调整为“信息系统安全和网络数据安全”两部分，但是总体说来，美国的“网络安全”仍然属于“小安全”的范畴。而中国的“网络安全”则是“大安全”的概念，其本质上是从主权的高度出发，防御以网络为手段对政治、经济、文化和社会等实施的内外部威胁，因此其范围要远宽于美国。笔者主张，对“网络安全”外延的界定不宜过宽，这一方面是考虑到网络安全监管的可行性和实效，另一方面也是网络安全国际合作与对话的实际需要。

另一个例子是《网络安全法》配套规定的出台。《网络安全法》的某些条款将若干核心问题留给了相关部门进一步制定具体的制度措施，作为该法的配套规定，包括第二十一条规定的网络安全等级保护制度，第二十三条规定的网络关键设备和网络安全专用产品目录，第三十一条规定的关键信息基础设施的具体范围和安全保护办法，第三十七条规定的个人信息和重要数据出境安全评估办法等。目前，国家网信办已发布《个人信息和重要数据出境安全评估办法（征求意见稿）》（2017年4月11日）、《网络产品和服务安全审查办法（试行）》（2017年5月2日）、《关键信息基础设施安全保护条例（征求意见稿）》（2017年7月12日），全国信息安全标准化技术委员会发布了《信息安全技术数据出境安全评估指南（草案）》（2017年5月27日），公安部发布了《网络安全等级保护条例（征求意见稿）》（2018年6月27日）等等。对于这些正在密集制定或已发布征求意见稿的配套规定，我们需要注意两点：一是配套规定要遵从上位法的规定，二是配套规定之间应当协调一致，不能相互矛盾。之所以如此说，是因为实践中已经发生了配套规定与上位法之间的矛盾现象。《网络安全法》第三十七条只要求“关键信息基础设施的运营者”在业务需要时，对其在中国境内运营中收集和产生的个人信息和重要数据进行出境安全评估，而《个人信息和重要数据出境安全评估办法（征求意见稿）》第二条则将出境安全评估的适用对象扩大到了“网络运营者”，这种扩大是否妥当值得商榷。在《网络安全法》的适用中，我们要对这些问题进行充分思考、合理把握。

二、全面启动网络安全的区域性立法和行业性立法

《网络安全法》作为一部基本立法，规定了网络安全中最为基本的事项，具有普遍性和一般性，但这还远远不够，我们还需要进行区域性和行业性的专门立法，以提高立法的针对性与可适用性。

从区域性立法来看，京津冀地区网络安全的一体化立法就值得考虑。京津冀地区是我国经济最具活力、开放程度最高、创新能力最强、吸纳人口最多的地区之一，是拉动我国经济发展的重要引擎，被公认为继长三角、珠三角之后中国经济发展的“第三极”。北京作为国家的政治中心、文化中心、国际交往中心和科技创新中心，其核心地位更是不言而喻，也正因如此，它极易成为网络攻击的目标，一旦发生网络安全事件，其后果将不堪设想。可见，以北京为中心的京津冀地区在国家网络安全战略中占据着举足轻重的位置，有必要将京津冀网络安全一体化立法问题纳入视野。此外，京津冀网络安全一体化立法也是落实京津冀协同发展战略的具体举措。协同发展战略自2014年2月26日提出以来，历经四年多的发展，已在交通一体化、生态环境保护、产业升级转移等重点领域率先取得突破，开始步入“快车道”，当下需要寻找新的有力的突破口，网络安全领域正是一个非常好的选择。一方面是因为网络无边界，网络安全整体上是“一盘棋”，在协同发展、一体化推进方面具有得天独厚的优势，在打破三省市行政壁垒时遇到的阻力会较小；另一方面，京津冀地区也是我国信息产业发展的重要集散地，2016年10月又获批为跨区域类国家级大数据综合试验区，因此，在网络安全的人才、技术和企业分布等方面都占据着明显优势，同时也带来了网络安全一体化立法的巨大需求和动力。

另一方面，行业性网络安全立法也必须得到高度重视。根据《网络安全法》的相关规定，该法的主要适用对象包括网络运营者和关键信息基础设施运营者。其中，《网络安全法》附则部分第76条对于“网络运营者”作了定义，但该定义几乎适用于所有拥有或管理其网络的中国企业，可以说，任何企业在中国通过运营网络开展业务，及提供服务或收集数据的，就很可能包含在此法之内。但我们必须看到，不同行业的网络经营者在网络安全方面负有的义务和责任应当是不同的，需要区别对待，因而需要在《网络安全法》的统领下，分别制定适用于本行业的具体细则或规定，如此方可使《网络安全法》的落实更加到位。

三、深化个人信息保护立法的相关理论研究

网络安全的重要内容之一是信息安全，个人信息安全则是信息安全中的“重头戏”。事实上，我国个人信息保护立法在2003年就提上了议事日程，数个版本的《个人信息保护法》（专家建议稿）业已问世。不过，出于多种原因，个人信息保护立法的进程一度停滞。今年9月7日，十三届全国人大常委会正式发布未来五年的立法规划，我们很高兴地看到，个人信息保护法被列入到了一类项目中，属于立法条件比较成熟、在本届人大任期内拟提请审议的立法项目，这意味着个人信息保护立法的出台已经指日可待。在这样一个重要的历史时期，学界应当对个人信息保护立法可能涉及到的一些重点问题展开深入研究。 这些问题包括：个人信息保护法的性质及立法体例、个人信息的内涵与外延、个人信息保护等级的划分、个人信息权的确认与性质、个人信息权的权能、个人信息权的保护、个人信息利用与保护之间的平衡等。需要特别指出的是，个人信息保护的理论研究在十多年前曾经是一股热潮，涌现出了不少研究成果，但当下的研究不应当是已有研究的简单重复，而应当是老问题新对策。原因很简单：时过境迁，我们已经从当时的小数据时代跨越到了人工智能时代，个人信息保护问题所生长的土壤已然有了本质的区别，因此必须要结合大数据、人工智能、量子科学、区块链等新兴技术的应用进行探讨，千万要杜绝新瓶装老酒；此外，国际形势和国内状况也较十多年前有了显著的变化，我们一定要密切关注他国关于个人信息保护的立法与研究动态，对国内相关立法与近期研究成果也要进行细致梳理和缜密分析。总之，要在全新的时代背景下开展研究，以结出丰硕的理论之花，为科学立法提供充足的依据。