夏 颖,王凌燕
(安徽农业大学 人文与社会科学学院,安徽 合肥 230036)
大数据时代在给经济生活带来诸多便利的同时,也滋生了个人信息泄露等网络安全问题。网络安全主要包括系统安全、网络的安全、信息传播安全、信息内容安全四个方面,只要其中有一个方面出现问题便很可能直接表现为个人信息的大量泄露,所以个人信息的保护直接映射着我国网络安全的现状。在中国消费者协会发布的《APP个人信息泄露情况调查报告》中显示,遭遇过个人信息泄露的人数占比高达85.2%,且受访者表示在其个人信息被泄露后常遇到的问题主要有:受到推销电话或短信的骚扰、接到诈骗电话以及收到垃圾邮件等。另外,随着网络在国家整体发展中的重要性日渐凸显,霸权主义国家通过其在信息发展中形成的经济、人才、技术等多方面优势对其他国家的网络空间主权肆意侵犯,国家利益和社会公共利益也因此存在着被侵害的现实而紧迫的危险。有鉴于此,必须构筑好网络空间的上层建筑——对网络安全进行立法,这是关系国家总体安全的重要举措。2016年6月1日,十二届全国人大常委会经表决高票通过的《中华人民共和国网络安全法》正式施行,它的出台既是依法治国方针的具体落实,也是网络空间法制化进程中的重要里程碑。虽然该法的实施在解决一些网络安全问题上发挥了巨大的作用,但由于该领域立法体系、内容不尽科学合理、执法人员专业素养不高、信息控制者缺乏行业自律等问题,该法实施后所收获的社会效益并没有完全达到当初的立法目的,在解决个人信息泄露等诸多社会问题上仍显乏力。
关键信息基础设施的运营者对网络安全重要性的认识不到位,缺乏主动防御意识。领导干部对网络安全重要性的认识不够,未把维护网络安全实际置于政府或部门工作的重要议程中。另外社会公众的网络安全意识总体不强,作为网络空间领域的弱势群体,自身认知缺乏又谈何维权问题呢?
一是网络安全态势感知平台建设滞后,不能实现对重要信息系统网络安全风险的全天候实时、动态监测。二是容灾备份体系建设总体滞后,不能有效应对重大网络安全风险。三是重要工控企业的设备和控制系统国产化程度有待提高。一些重要工控企业对外国技术依赖严重,从生产控制系统到配套的网络及安全设备都采用国外产品,甚至设备的实际操作都由外方人员掌控。四是应急预案流于形式。主要存在针对性不足、缺乏可操作性、未实际进行演练以及因为经费短缺不能及时解决发现的问题等情况。
执法检查组对随机选取的关键信息基础设施进行了相关测试和扫描后发现不少安全漏洞,系统及服务器安全面临严重威胁,用户信息存在被泄露的危险,一些市政府的门户网站存在页面被篡改风险。许多单位没有依照法律进行相应的操作,可能导致网络安全事件发生时无法及时进行追溯和处置。许多单位对网络安全不够重视,甚至未部署任何安全防护设施,长期不进行漏洞扫描,存在重大网络安全隐患。
不少网络服务提供者和企业事业单位在收集、使用公民个人信息时存在不符合法律规定的行为。如不明示收集和使用的目的、内容、方式和范围,过度采集信息和利用优势地位强行收集等行为也时有发生。执法部门的工作也存在一定问题,用户权利救济困难现象较为普遍,对于一些侵犯隐私的行为甚至缺乏有效的监管和惩处。另外有的信息控制者对网络安全设施和内控制度的建设不够重视,导致大量个人信息暴露在被泄露的危险中。一些地区已经形成贩卖个人信息的黑色产业链,因个人信息泄露而引发的违法犯罪行为逐渐增多,人民的财产安全面临严重威胁。
主管部门未能很好地发挥统筹协调作用,执法部门之间因缺乏有效沟通和协调导致权责划分不清,继而产生争管、推诿和执法效率低下等问题。在发生网络安全事件后,投诉无门和执法部门之间推诿扯皮是造成用户权利救济困难的最主要原因。另外有不少网络运营单位表示主管部门采集的信息未实现“互联互通”,且存在重复检查和检查标准不一等问题,这将增加网络运营单位的负担。当前网络安全形势十分严峻,一些网络安全重点行业仍然存在执法力量严重不足的情况。
作为网络安全领域的基本法,网络安全法中不少内容还只是原则性、禁止性规定,要想真正贯彻落实该法,实现该法的立法目的,需要制定合理的配套法规。例如第二十八条所规定的“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协作”,实现协作要经由怎样的前置程序,协作范围的边界,第三人的个人信息要如何保障等问题都需要通过配套法规的制定予以明确。
专攻网络安全风险防控领域的专业人才缺乏,不能与当下严峻的网络安全现状相适应。不少网络信息的主管部门及其他企业事业单位的网站管理人员未接受过专门的网络安全技能训练,难以应对一些突发的网络安全事件。另外一线执法人员的专业素养和技能难以胜任网络运行安全常态化监管执法职责。
由此可见,虽然网络安全法的出台一定程度上实现了保护国家安全和个人信息安全的立法初衷,对调整网络安全领域的社会关系起到了一定的积极作用,但是由于诸多困境的存在,严重影响了网络安全法的实施成效。
形成困境的原因是多方面的,主观上公民等主体的网络安全意识不强,客观上网络安全的基础设施建设仍然薄弱;执法者的专业素养未能达到该领域的实际要求;信息控制者对利益最大化的追求等,但笔者认为网络安全法本身存在的问题是形成实施困境的最主要原因,下文将就一些重要原因进行详述。
一方面,对网络安全领域行为性质的认定往往需要执法者对网络信息技术有一定程度的掌握,如果执法者自身缺乏这方面的专业素养又片面地追求执法效率,便容易导致错误的行为性质认定。另一方面,网络空间行为的规范涉及很多法律的衔接,如果不能单纯通过位阶的高低来判断应该适用的法律,那么执法者该通过何种途径在相同位阶的法律规范中作出正确的取舍呢?哪些行为由行政处罚法来规范,哪些行为由网络安全法来评价,哪些行为由刑法来惩戒等都是执法者在处理网络空间领域问题所要准确判断的,如果执法者没有较高的法学素养便不能厘清这些法律的适用边界,一些行为便得不到适当的法律评价。执法者作为管控危害网络安全行为的最终屏障,如果因专业素养的缺乏而导致对行为性质评价不足不仅会使得网络安全法的实施陷入困境,而且还会给网络空间安全、国家安全、个人信息安全留下巨大的隐患。
大数据时代的到来虽然便利了人们的日常生活,但这种便利实际上也要求着对信息主体权利的克减,信息控制者在网络空间行为管制方面比一般执法者更能发挥及时有效的规范作用,如果他们不能做到行业自律,那么外部监管就显得尤为重要,但是如何在大数据的发展利用和个人信息的保护之间寻找平衡点也是立法的一大难题。如果对信息控制者的监管过于严苛必将阻碍大数据的发展,如果外部监管乏力,那么大数据的发展必将以个人合法权益的减损作为代价。信息控制者所掌握的个人信息往往代表着隐形的财富,即使发生信息泄露,他们也不会是直接的受害者,本着利益最大化的原则,其有足够的动机将个人信息转化为现实的财富。虽然网络安全法对信息控制者需要承担的义务做了明文规定,但是这种规定往往是原则性的、禁止性的规定,例如该法的第二十一条、二十二条等,它并没有区分不同类别的信息控制者的责任边界,而是针对所有信息控制者制定的笼统的行为标准,这也使执法者不好掌握对相关信息控制者的惩戒力度。外部监管的威慑力不够,内部形成行业自律的动力不足将会使一系列危害网络安全的行为得不到有效控制,这是网络安全法的实施没有完全达到立法目的的重要原因之一。
从立法层面看,网络安全法的出台填补了网络空间管辖基本法的空白,在这一领域实际上起着“宪法典”的作用。它与散见于其他法律中的有关条款一起,在调整和规范网络空间行为上发挥着指导和引领作用。国务院及有关部门出台的法规、规章在这一领域则发挥着辅助和补充作用,通过一系列的细化和补充促进法律法规的有效落实和准确适用。但是不可否认的是,我国在网络领域的立法探索还处于初级阶段,整体来看这一领域的立法层次较低——高位阶的法律较少,而低位阶的规章却过于庞杂。从实践层面看,各工作部门为了保证工作的顺利开展,前后出台了大量行政法规和地方政府规章来规制网络空间行为,但是由于部门本身在职能上就存在一定程度的交叉,从而使得这些规章在内容上出现了不同程度的重复。这也暴露了各部门在制定部门规章时缺乏横向上的沟通和协作,仅局限于自己的工作需要,也造成了法律资源一定程度的浪费。一方面,规章内容的交叉重复难免造成一些网络空间行为在法律适用上的矛盾和冲突,另一方面,也使得某些网络空间行为缺乏规制,处于无法可依的状态。众多的规章并没有把防止网络违法和犯罪行为的屏障筑牢,反而在一些范围内呈现管理混乱的状态。
如前所述,笔者认为网络安全法在实施过程中陷入困境的原因主要在于其立法工作的不尽科学合理,所以解决措施的着力点应放在完善该法本身,另外还需强化网络安全意识,加强网络安全基础设施建设,推进执法工作顺利进行,通过内外部共同发力促使信息控制者形成行业自律。
意识的强化主要针对两类主体,一是公民,二是关键信息设施运营单位。就公民而言,虽然有关部门的宣传工作取得了一定成效,但是网络安全事件的发生往往具有隐蔽性,其形式也是多样的,危害的产生也具有不易察觉的特点,随着新型网络犯罪行为逐渐增多,强化公民网络安全意识成为必要。个人信息的泄露是公民在网络安全领域所面临的普遍威胁,所以有关部门应该通过宣传网络安全知识、引导公民积极维权、公布典型网络侵权事件、及时披露新型网络违法犯罪手段等途径加强公民的网络安全意识。就关键信息设施运营单位而言,有关部门要通过对其网络安全工作进行常态化检查,合理运用行政手段进行警示或惩戒等途径,转变其“重建设、轻安全;重使用,轻防护”的错误认知。
大数据为电子政务、智慧型城市的发展提供了无限可能,但人们容易忽视的是,安全与发展是辩证统一的,安全是发展的前提,发展是安全的保障。在此次执法检查中检测出的关键信息基础设施漏洞充分暴露了一些重要行业存在的网络安全风险,所以异地容灾备份、网络安全态势感知平台、应急预案等网络安全基础设施的建设要严格执行,不断加强。另外还需加大经费投入支持网络安全核心技术的研发工作,提高重要工控企业的网络及安全设备的国有化程度,通过财政补贴和出台一些利好政策回应一些单位提及的“网络安全合规成本过高”的问题,使其主动加强安全基础设施建设,并从网络安全防护的提高中受益。当下针对关键信息基础设施的境内和境外威胁正在不断增多,囿于地域、时空的限制以及网络安全事件的特性,追责破坏关键信息基础设施的行为人的实效性要弱于一般的违法犯罪行为,所以加强网络安全基础设施的建设作为最有效的一种事前防御措施,能够一定程度上规避事后追责的困难,避免不必要的经济或财产损失。
美国的《网络安全法案》将网络安全人才的培养单独列出,由此可见网络安全领域对专业素养的要求要远远高于一般行业,笔者所指专业素养并不局限于网络信息技术方面的素养,还包括法学素养。要想执法者对网络安全行为作出准确的评价,必须要掌握网络安全法的规定,了解其中包含的法律精神,能够正确地界定各部门法律所调整的行为的边界,而不能想当然地依照惯性思维对具有独特性的网络空间行为作出偏离立法目的和精神的评价。如果囿于资源的有限性,投入过多的人力和物力来提高执法者网络安全专业素养的计划在现阶段并不能实现,那么也应该积极寻求与外界网络安全人才的合作,通过其对相关行为的性质作出前置性的评价来达到间接提高该领域执法水平的目的,但是执法者法学素养的提高没有可以替代的方案,因为执法者的评价与国家、社会和个人的利益密切相关,所以有关部门应当制定相应的人才培养计划,投入一定的资源致力于提高网络安全领域执法者的专业素养。
一方面要从外部监管着手,通过对网络信息控制者实行区别责任制,根据信息控制者所属类别、在行业中占据的地位、在信息掌控环节中所处的位置等因素决定其应承担的责任,倒逼行业主导者管控信息源头,树立行业自律的标杆形象。通过加快个人信息保护法的出台明确网络信息控制者的行为规范,增加其违法的成本,通过有效的外部威慑达到良好的治理效果。另一方面要促使其内部形成有效的治理机制,诚如前文笔者所述,信息控制者并不是个人信息的泄露的直接受害者,但如果使其利益也在个人信息的泄露中受到巨大冲击,那么毫无疑问地,信息控制者必将自发形成有效的防御机制来避免此类事件的发生。我们可以通过建立用户信息保护信用机制来促使行业自律的形成。随着网络社会的发展,用户越来越重视网络环境下个人隐私的保护,如果信息控制者不能为用户信息提供有效保障必将被用户所抛弃,反之则将在市场竞争中赢得更多用户的青睐。对于违法获取、泄露个人信息的网络服务提供者进行披露必将使其意识到自身利益正受到现实的威胁,对于信用良好的网络服务提供者也必将感受到保护用户信息给自身长期发展带来的诸多益处。外部监管和内部治理双管齐下,促进信息控制者形成行业自律便不再遥远。
美国是法制完善的发达国家,它在网络安全问题的处理和网络空间的安全管理方面有许多先进经验,它在网络安全方面的立法技术和立法进程都走在世界的前列。美国互联网监管体系主要包括立法、司法和行政三大领域和联邦与州两个层次;涉及面较为全面,既有针对互联网的宏观整体规范,也有微观的具体规定,其中包括行业进入规则、电话通信规则、数据保护规则、消费者保护规则、版权保护规则、诽谤和色情作品抑制规则、反欺诈与误传法规等方面,这些法规多达130多部[1]。
从立法层面看,美国在这一领域既有联邦立法又有各州根据本州的具体情况制定的法案,实现了从中央到地方的层级管辖。联邦立法为各州立法指明了方向,奠定了基调。各州在不与联邦在某一范围内制定的法律相抵触的情况下享有独立立法权,因此其法律的制定更具灵活性和针对性。从实践层面看,一方面,实行三权分立的美国实现了立法、司法和行政三大部门的有效协作。通过立法对相关网络空间行为进行调整和规制;通过司法对危及网络安全的行为进行否定性的评价和相应的警示、惩戒;通过执法落实具体的法律规范和司法判决,由此为危及网络安全的行为布下了天罗地网。另一方面,兼具宏观的整体规范和微观的具体规定避免了局限网络安全法调整的范围和法律保护的对象具有不确定性这两大弊端。所以美国的网络安全法具有持久的生命力,也一定程度上避免了危及网络安全的不法分子利用法律漏洞逃脱制裁的现象出现。
为了解决立法体系纵向上的失衡,我们可以借鉴美国的立法技术,加强网络安全高位阶法律的制定,纵观、统筹全局,推进具有前瞻性的立法工作;各地方人大及其常务委员会根据本地区网络安全事件的特点,综合各方意见加快地方性法规的出台;对于内容不适当或存在交叉、重复、矛盾现象的规章进行废除或修改。为了解决立法体系横向上的混乱,我们可以学习美国实现多部门的沟通合作,对网络安全管理方面的权利清单进行进一步的细分,这样便能一定程度上避免因职能交叉或者部门之间缺乏有效的沟通协作而造成网络空间管理上的混乱和法律资源的浪费。
1.情势变化的迅捷性和法律的相对稳定性之间的平衡
一方面,立法者应当站在时代的前沿,纵观全球网络安全发展态势,制定出具有前瞻性与灵活性的法律,为网络发展留下广阔的空间。在制定法律的过程中既要避免对调整的社会关系范围产生限制,又要避免因此可能带来的保护对象具有不确定性的弊端,如此才能使法律既能应对瞬息万变的网络安全问题,又能在相当长的一段时间里保持其内容与性质的稳定性。这样具有持久的生命力的法律才能既促进网络空间的持续发展,又可以避免危害网络安全的不法分子利用法律的漏洞逃脱制裁。另一方面,要树立既要遵循现行法律体系又不拘泥于现行法律体系的理念。要充分借鉴美国关于“以法律法规形式强制规定各机构信息系统配置的做法可能会对创造其他更成功的解决网络安全问题的方法产生影响,而市场是改善网络安全的主要推动力”的理念,不应拘泥于现行法律体系的束缚[2]。这是解决未来网络安全立法与现行法律产生冲突问题的不二法门。
2.网络实名制与信息保护之间的平衡
为了解决网络环境下个人信息保护的问题,需要个人、行业、国家三个主体做出共同努力。首先,个人应当提高在网络环境中的警惕性,防止个人信息的泄露和非法利用。其次,网络商品或服务的提供者应当做到行业自律。网络行业自律是指民事主体在个人信息处理活动中为保护信息主体权益而建立的自我约束体系[3](P186)。不可否认的是行业自律的形成面临重重困难。一方面,国内网络商品和服务的提供者在个人信息保护方面的认识整体上处于较低的水平。另一方面,由于信息收集和使用的隐蔽性,离开有效的外部监督机制,隐私保护也不可能转化为企业间竞争的动因,更不能为企业保护个人信息提供经济诱因[4](P167),因此行业自律产生的效果是极其有限的。此时解决问题的焦点就落在国家机关的立法工作上了,国家应当出台有关个人信息保护的专门法律。就目前来看,有关个人信息的法律规定只零散地存在于宪法、刑法、侵权责任法、未成年人保护法等法律规范中,并没有形成完整的法律体系,尤其是针对未成年人的上网安全问题,网络安全法并没有进行规制。而美国在这方面的探索开始得很早,已经形成了较为完备的法律体系。我们应当借鉴美国的立法体系与内容,加强网络安全法的配套法律制定,以调和其与现存权利之间的矛盾与冲突。
3.属地管辖的局限性与惩戒破坏关键信息基础设施的境外行为之间的平衡
要想真正实现网络安全法中有关境外侵害行为的管辖,首先应当提升自身信息技术水平,争取在网络空间主权方面拥有更多的话语权;其次就是要加强网络安全领域的国际合作,寻求最广泛的利益,达成网络安全和引渡方面的国际条约与协定。以此为法律依据主张管辖权归属既可以弥补属地管辖在涉外网络安全案件中的局限性,也可以达到比主张保护管辖或者属人管辖来解决此类争议更直接和满意的效果。
4.侵害网络安全行为的巨大危害与过错责任界定困难之间的平衡
界定过错责任,绕不开的话题应当是举证责任的分配,而在网络安全法中缺乏相应的规定,但这却直接关系着举证难度和司法效率。早在20世纪60年代前后,德国、日本等国家的侵权司法实务就提出了因果关系举证责任缓和的规则,适当降低原告的证明标准,在原告举证证明因果关系要件达到盖然性标准时,推定存在因果关系,而不是完全实行举证责任倒置[5]。笔者认为,网络安全法不仅要对举证责任做出进一步规定,而且还应该采取区别责任制。危害网络安全的案件中,在信息的存储和传播方面占据绝对主导地位的网络商品和服务的提供者不管在个案中是否属于直接责任主体,都应对其因信息管理不当而承担更多的责任,且有关部门对其做出比其他处于信息流通下游的责任主体更重的处罚往往能取到更好的惩罚效果,也可以借此倒逼其加强网络信息的管理。只有在立法中解决了过错责任界定的问题才能使具有可罚性的行为能真正为其带来的社会危害性付出应有的代价。
5.国际协作要求的开放性与立法内容的相对保守性之间的平衡
一方面,虽然无论何时,保护网络安全领域的国家整体利益是立法的出发点也是最终目的,但是抛开意识形态的差别和有关利益的冲突,我们和其他国家在网络空间领域仍然存在着广泛的共同利益,因此我们不应该因噎废食,应努力推进立法内容从相对保守走向渐进式开放,如此才可以为网络安全领域的国际协作提供坚实的法律保障,这也是符合长远的利益发展需求的举措。另一方面,在国外网络安全立法中肯定式列举广泛存在,这样的立法内容有利于提高司法工作中的可操作性,也可以一定程度上避免因法官自由裁量权过大而造成审判不公的现象出现。而具体的否定式列举有利于明确法律禁止行为的外延,规避概括式否定带来的外延模糊的弊端,也不至于使网络空间的发展因存在触犯法律的或然性而受到阻碍。结合三种列举提高网络安全法的开放性应当被奉为达成国际协作的有效途径之一。
网络安全法的出台宣布了我国在网络空间领域真正实现了有法可依,明确了网络空间主权原则,表明我国在依法治国的进程中又迈出了坚实的一步,该法实施以来在规范网络空间行为上发挥着巨大的作用,但由于各主体的网络安全意识不强,网络安全的基础设施建设较为薄弱,执法人员的专业素养普遍不高,信息控制者缺乏行业自律,该法本身在立法体系上存在着失衡和低层次的特点,在立法内容上总体上呈现相对保守的特点,缺乏前瞻性、灵活性与开放性,对网络实名制环境下的个人隐私保护缺乏相应的配套法律规定,对境外行为的追责缺乏可操作性规定,对过错责任的界定和举证责任的分配缺乏具体规定等,使得网络安全法的实施并未完全实现其立法目的,在解决一些矛盾时陷入了困境。网络安全法作为迎合信息时代最迫切的需要而产生的新事物,我们应当从强化网络安全意识、加强网络安全基础设施建设、改善立法体系、提高执法者专业素养、促使信息控制者形成行业自律、在立法内容的诸多博弈中寻求平衡点等措施,多管齐下,带领网络安全法走出当下的困境,在实践中探索为其注入持久生命力的不二法门。