郭美蓉
17世纪英国思想家霍布斯曾称:“人们的安全是最高的法律。”任何国家的法治一个最起码、最基本的任务就是保障人民的人身自由不受侵犯。随着互联网技术的飞速发展与网络社会规模的日益扩大,网络空间不再是法外之地,已成为与人类社会各方面密不可分的“第五空间”。层出不穷与日益凸显的网络空间安全问题,甚至可能对国家的稳定与社会的法治构成巨大威胁,网络空间安全的重要性由此可见一斑。十八届四中全会决定予以确认并进行系统部署,规划了中国特色社会主义法治体系建设的宏伟蓝图。将互联网管理部门、互联网企业和网民一体纳入互联网法治建设轨道,将网络空间法治化纳入全面推进依法治国总体部署之中。习近平总书记在党的十九大报告中强调,依法治国是党领导人民治理国家的基本方式,全面依法治国是国家治理的一场深刻革命,是中国特色社会主义的本质要求和重要保障。
安全是一切保障的最低诉求,能够切实有效保障网络空间安全,无疑对利用网络空间发展经济、提高中国实力,丰富民众生活都大有裨益,网络空间安全治理在社会综合治理这一系统工程中的重要性也日益突出。习近平总书记高度重视网络空间安全治理工作,近年来发表的一系列讲话是其互联网法治思想的集中体现,其中包括“网络和信息安全牵涉到国家安全和社会稳定,是我们面临的新的综合性挑战(2013年)”“没有网络安全就没有国家安全,没有信息化就没有现代化(2014年)”“我们要本着对社会负责,对人民负责的态度,依法加强网络空间治理……安全是发展的前提,发展是安全的保障,安全和发展要同步推进(2016年)”“网络安全从国家安全向社会稳定和人民利益递进,明确提升网络综合治理能力,抓好网信重点工作(2018年)”。
网络既是社会治理的对象,也是社会治理可以利用的重要手段;网络空间安全治理是社会治理的新领域、新内容。网络空间安全治理刻不容缓,特别是以移动互联网、物联网、工业4.0、三网融合、云计算、大数据等为代表的“新一代网络”的发展过程中,有诸多法律、政策、技术、市场和社会等方面问题,需要对其相关的法律法规、治理模式与机制等对策进行系统研究。十九大报告指出:加强社会治理制度建设,完善党委领导、政府负责、社会协同、公众参与、法治保障的社会治理体制,提高社会治理社会化、法治化、智能化、专业化水平。因此,网络空间安全治理的法治化研究可以在一定程度上创新和深化习近平总书记的社会治理创新理念。
发达国家在网络空间安全治理方面出现问题比我国更早,他们在网络空间安全的立法实践和学术研究也早于我国。本文将在研究美国、日本、欧盟的网络空间安全立法路线图的基础上,结合我国实际国情,勾画出具有中国特色的网络空间安全治理的法治化体系。
美国、日本和欧盟等在网络空间安全依法治理方面已经采取了一系列的措施,产生了一些有益的经验。从宏观意义上对它们加以分析,结合我国在网络空间安全治理方面的实践,取其精华,并为我们所用。
美国是世界上制定网络法律规范最多的国家,其网络空间安全立法较世界其他国家而言最为全面,几乎涵盖全部的法律体系,包括立法、司法和行政三大领域和联邦与州两个层次,既有宏观规范也有微观规定。美国的网络空间安全立法工作大致可以分为3个阶段。一是起步阶段。严格意义上美国的网络安全立法工作起步于上世纪七八十年代。从1977年到1987年十年间主要颁布了四部相关法律,其中1987年颁布的《计算机安全法》,制定了联邦政府统一的安全标准,并协调各部门制定相互独立的安全标准。二是发展阶段。上世纪90年代至本世纪初,随着互联网的高速发展和网络安全问题开始显现,美国从1995年起颁布了系列法案,其中《政府信息安全改革法案》(2000),以保护国家关键信息基础设施、建立健全管理体系为核心的网络安全立法工作快速发展,法律体系框架初具雏形。三是成熟阶段。自2001年“9·11”事件以来,为应对来自网络空间的恐怖主义威胁,推动有关国家网络空间战略规划的实施,保障美国的网络空间安全,美国全面加强了网络安全立法工作。
从克林顿政府到奥巴马政府再到特朗普政府,美国网络安全政策战略的演进,可以在网络安全应对策略上发现,基本经历了从国内到国际,从政策到立法,从被动应对到主动防御、再到国际威慑的阶段,这显示了美国网络安全策略逐渐走向全面和成熟,也体现了其争夺网络空间主导权的深层次战略意图。2014年12月18日,美国前总统奥巴马为加强美国抵御网络攻击的能力签署了四个法案(《联邦信息安全管理法案》《边境巡逻员薪资改革法案》《国家网络安全保护法》《网络安全人员评估法案》),这是美国网络安全立法方面的一次重要进展,将网络安全中的国家安全、社会安全、网络基础安全作为一个整体,统筹规范。2015年10月22日,美国参议院通过了《网络安全信息共享法案 (修正案)》,这标志着美国开始推进“世界警察”版网络安全法。2017年5月11日,美国总统特朗普签署一份行政命令,要求在联邦政府网络、关键基础设施网络、民众网络三方面加强安全措施。美国的网络安全政策战略始终以网络空间内关键基础设施的保护为中心,着力于与其有关的三个重点方面,即政府部门和私营部门之间的公私合作、网络安全信息的共享以及个人隐私和公民自由的保护,而这三个方面也成为近期美国政府和国会网络安全综合性立法的重点。
日本是亚洲最早将信息技术应用于国民经济部门和社会生活的国家,是世界上信息化程度最高、信息技术最发达的国家之一,同时也是对网络空间安全最为重视的国家之一。日本提出创建“领先世界的强大而有活力的网络空间”,实现“网络空间安全立国”的目标;重视加强政府与民间在网络空间安全领域的协调和运用,以期更好地应对日益严重的网络空间安全问题。
日本国内有两部非常重要的网络安全法规,分别是《网络安全战略》与《网络安全基本法》。日本《网络安全战略》是国家信息安全中心在2010年《日本保护国民信息安全战略》的基础上,于2013年6月发布的经过全面强化和升级的战略。该战略为国家网络提出了新的、更全面的安全战略目标;鲜明提出构建“世界先进的”“坚强的”“充满活力的”网络空间,确定了将要实施的具体措施与即将执行的基本原则,以确保网络安全。其中需要遵循的4项基本原则,即确保信息的自由流动;通过创新举措应对日益突出的网络威胁;实施基于变化的网络风险应对方法;各方面主体共同承担网络空间责任。《网络安全战略》的修正案于2015年5月25日在“网络安全战略本部”会议上通过,用以确保日本网络空间自由和安全,并为2020年东京奥运会的顺利举办作保证,指出今后三年基本措施的发展方向。
日本《网络安全基本法》于2014年11月6日在国会众议院通过,旨在加强日本政府官方与日本民间私人在网络安全领域方面的协调和运用,以期更好地应对网络攻击。日本政府根据这部法案新设“网络安全战略本部”,将与日本其他相关机构包括:日本国家安全保障会议、IT综合战略本部等机构加强合作,并协调各政府部门的网络安全对策。《日本网络安全基本法》的颁布实施,为日本全面推进国家网络安全保障、建设网络安全强国确立了法制基础。
从日本的网络安全战略发展来看,日本已基本建立起较为完备的网络安全保障体系,国家战略的目标和行动举措逐步清晰并得到落实。随着《网络安全基本法》的颁布实施、“网络安全战略本部”的设立以及国家信息中心职责的法定化等一系列重要举措的推出,曾经在网络安全法律保障、组织机构保障方面存在的一些突出问题得到逐步解决。
欧盟在网络空间安全体系建设方面成效显著,主要包含立法、战略、实践三部分。立法体系包含决议、指令、建议、条例等;战略体系包含长期战略与短期战略;实践体系则包含机构建设、培训、合作演练等多项内容。
欧盟已形成包括立法、战略、实践三大部分的网络安全体系。在立法方面,欧盟自2013年开始推动网络安全的综合性立法计划,由欧盟委员会和欧盟外交与安全高级政策代表于2013年2月提出了“确保欧盟统一、高水平网络与信息系统安全之相关措施的指令”(Network and Information Security Directive,以下简称NIS指令)建议。NIS 指令于 2016 年8月8日正式生效,该指令是欧盟建立数字单一市场(digital single market)的重要举措之一,是欧盟层面第一部综合性网络安全立法,提出了在欧盟确保统一、高水平网络与信息系统安全的基本法治框架。该指令建立的欧盟网络安全法治框架包括以下内容:(一)欧盟各国必须制定自身的网络与信息安全国家战略;(二)增强欧盟各国之间的网络安全战略合作和跨境协作;(三)建立计算机安全事件响应团队并建立欧盟合作网络;(四)区分基本服务运营者和数字服务提供者,分别予以监管;(五)针对不同主体建立不同程度的网络安全事件报告制度;(六)鼓励产业发展尤其是将小微企业排除在监管范围之外。根据 NIS 指令的规定,指令本身并不涉及个人信息处理,个人信息保护制度主要依据的是《1995年个人数据保护指令》,但该指令已被2016年4月通过的《一般数据保护条例》(General Data Protection Regulation,简称 GDPR)取代。GDPR在95指令的基础上增设了一系列的数据主体权利,同时也大幅度强化了数据控制者的义务。GDPR具有在欧盟成员国直接适用的法律效力,且高于成员国的国内法,促进了欧盟范围内个人数据保护立法的统一;GDPR还将适用范围扩展至了“未在欧盟境内设立营业地,但向欧盟提供商品或服务”的机构。这一系列举措大大提升了欧盟个人数据保护水平,并将其管辖范围扩展至了全球。
在战略方面,2013年欧盟发布了《欧盟网络安全战略:开放、安全和可靠的网络空间》,提出要增强网络恢复力、有效减少网络犯罪、制订欧盟网络防御政策、发展网络安全产业和技术以及建立欧盟统一的网络空间国际政策等。该战略设定了网络安全五项原则(即核心价值原则、基本权利原则、全面开放原则、共同治理原则、共担责任原则),力图在欧盟建成世界上最安全的网络环境。在实践方面,2013年1月,欧盟委员会在荷兰海牙正式成立欧洲网络犯罪中心网络犯罪中心连通所有欧盟警务部门的网络,整合欧盟各国的资源和信息,支持犯罪调查,旨在维护一个自由、开放和安全的网络环境,保护欧洲民众和企业不受网络犯罪的威胁。
我国网络空间安全治理的法治化进程主要分为两个阶段:第一阶段,20世纪90年代至2014年2月中央网络安全和信息化领导小组成立之前。这段时期我国网络空间安全的立法基本属于“渗透型”模式,即将涉及网络空间安全的相关规定渗透、融入若干相关的法律、行政法规、部门规章与司法解释中,内容涉及网络监管、信息安全等级保护等多方面。在法律层面,直接涉及互联网管理的法律只有《全国人民代表大会常务委员会关于维护互联网安全的决定》和《电子签名法》,法律和行政法规总计只有10余部,绝大多数是部门规章、地方性法规和地方政府规章。对网络空间安全治理的相关研究仅限于少数高校和研究机构,主要是对欧美国家相关法律规范进行研究,探索制定符合中国国情的法律规范。
第二阶段,2014年2月中央网络安全和信息化领导小组成立以来。中央网络和信息化领导小组的成立,极大地推动了各级政府和各行各业对网络空间安全工作的关注和重视。我国《网络安全法》起草中的两次公开征求意见和正式颁布,促进了各界对网络空间安全相关法律问题的研究。在此期间,与网络空间安全法律和治理相关的各类研究机构如雨后春笋般不断涌现。我国在2016年11月7日通过的《中华人民共和国网络安全法》,自2017年6月1日起施行。网络安全法的出台,标志着我国同美国、欧盟、日本等发达经济体一样,有了网络安全基本法的规范,具有标志性的意义。紧接着在2016年12月27日国家互联网办公室发布《国家网络空间战略》,作为我国首次发布的关于网络空间安全的战略性纲要文件,该战略不仅阐明了我国关于网络空间发展和安全的重大立场和主张,更明确了若干年内的战略方针和主要任务。这“一法一战略”的相辅相成,从法律层面保障我国网络空间安全,促进我国从网络大国向网络强国的演变,在全球网络空间治理中发挥中国的积极作用。
虽然我国现已进入以《中华人民共和国网络安全法》为统领、以《国家网络空间安全战略》为指导的构建网络空间安全法律全面保障体系的新时期。但是,高屋建瓴地建构网络空间安全法律体系的研究成果尚未见到;相关配套的法律法规体系的构建才刚刚开始,亟待解决的包括但不限于关键信息基础设施保护、个人信息保护、网络空间安全人才培养、国际合作等问题。这些问题的解决都需要与之相适应的法治化保障。
在研究美国、日本、欧盟的网络空间安全立法路线图的基础上,结合我国实际国情,提升我国网络空间安全治理的法治化需要建立以下保障机制,包括:
习近平总书记认为,保障信息网络基础设施是网络空间发展的前提,是现代社会运行的基础支撑。只有加强信息基础设施建设,铺就信息畅通之路,不断缩小不同国家、地区、人群间的信息鸿沟,才能让信息资源充分涌流。建设网络强国,要有良好的信息基础设施,要向着网络基础设施基本普及的目标不断前进。要加快构建关键信息基础设施安全保障体系。深入研究国际通行的关键信息基础设施保护制度与我国实施多年且行之有效的信息安全等级保护制度在管理体制、标准体系、保护范围、实施程序等方面的差别,要从制度建设、管理思路、激励多元主体参与等方面入手,进一步构建政府和企业之间网络安全协作机制,最终建立我国关键信息基础设施保护制度。
网络信息安全是网络空间安全治理的核心目标之一。网络信息治理的国际经验表明,网络信息治理有赖于协同政府、行业和社会等多方力量的综合性机制。一方面,我们应重视并充分运用网络企业自律的外在动力及其协助监管的巨大潜力。另一方面,我们应鼓励网络行业的自律和自治,从内部凝聚集体共识,提升治理效力和效率。除此之外,还应建立对网络信息内容分类、分级制度;探索网络信息过滤的正当性及其创新治理模式。
习近平总书记在党的十九大报告中指出,网络安全是人类面临的共同挑战,没有哪个国家能够独自应对人类面临的各种挑战,也没有哪个国家能够退回到自我封闭的孤岛。构建网络空间命运共同体是人类命运共同体的重要组成部分。互联网已经成为世界各国加强联系、开展竞争的又一广阔空间,需要构建一个创新、开放、联动、包容的治理体系。网络空间全球互联互通,因此,网络空间安全治理领域不能局限于一国之内,各国必须加强合作,开展网络空间安全治理方面的交流,共同应对各种网络安全威胁。应立足本国国情,借鉴国际实践,尊重各国网络空间主权,和平利用网络空间,制止网络空间军备竞赛,依法维护网络空间秩序,优化网络空间安全国际合作机制,增强我国在网络空间安全国际规则制定中的话语权和主动权。
习近平总书记强调,建设网络强国,要把人才资源汇聚起来,建设一支政治强、业务精、作风好的强大队伍。“千军易得,一将难求”,要培养造就世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队。网络空间的竞争,归根结底是人才的竞争。对比美国、日本、欧盟的网络空间安全人才确保机制,显示出我国网络空间安全人才还存在数量缺口较大、能力素质不高、结构不尽合理等问题。网络空间安全人才确保机制的构建,要将重视培养高素质的网络空间安全政府从业人员放在首位,扩大网络空间安全专业人才的规模,加强政府从业人员与私营部门网络专业人员的沟通和交流,建立网络空间安全人才的分级培养和评价机制。
网络环境下,单靠某一个主体或者某一种治理手段,网络空间安全治理都不可能奏效。我国应当建立“合作共治式”的网络空间安全治理模式,坚持国家安全与个体安全并重的双重目标。我们要坚持国内国外两手抓,在国内层面,要求网络空间安全治理从“部门化”走向“多元合作共治”;在国际层面,合作共治要求网络空间安全治理从“一国化”走向“国际化”。