丁道勤

(京東集團(tuán) 法律研究中心，北京　100176)

?

“上天入地”，還是“度權(quán)量利”
——《網(wǎng)絡(luò)安全法》(草案)述評(píng)

丁道勤

(京東集團(tuán) 法律研究中心，北京100176)

摘要：為應(yīng)對(duì)網(wǎng)絡(luò)安全日益嚴(yán)峻的威脅與風(fēng)險(xiǎn)挑戰(zhàn)，近年來全球主要國(guó)家和地區(qū)紛紛加強(qiáng)網(wǎng)絡(luò)安全戰(zhàn)略制定和立法活動(dòng)。在此背景下，全國(guó)人大2015年制定公布了《網(wǎng)絡(luò)安全法》(草案)，草案確立了網(wǎng)絡(luò)安全監(jiān)管體制、關(guān)鍵信息基礎(chǔ)設(shè)施、安全審查制度、重要數(shù)據(jù)境內(nèi)留存制度、個(gè)人信息保護(hù)制度等亮點(diǎn)制度，但仍存在立法理念“重賦權(quán)賦能，輕保護(hù)程序”、個(gè)人信息保護(hù)立法與網(wǎng)絡(luò)安全立法價(jià)值取向的悖論、關(guān)鍵信息基礎(chǔ)設(shè)施中的網(wǎng)絡(luò)服務(wù)提供者標(biāo)準(zhǔn)和范圍有待明確，合法偵聽的職權(quán)和程序不明確、網(wǎng)絡(luò)通信臨時(shí)限制的適用條件偏低等諸多問題。制定網(wǎng)絡(luò)安全法應(yīng)堅(jiān)持“安全和發(fā)展并重、管理和保護(hù)齊行”的立法理念，在賦權(quán)賦能監(jiān)管機(jī)構(gòu)管理的同時(shí)，明確網(wǎng)絡(luò)安全保護(hù)的程序和流程，以改觀我國(guó)長(zhǎng)期以來網(wǎng)絡(luò)安全立法“重安全、輕發(fā)展，重管理、輕保護(hù)”的現(xiàn)狀。

關(guān)鍵詞：網(wǎng)絡(luò)安全法；關(guān)鍵信息基礎(chǔ)設(shè)施；安全審查；個(gè)人信息保護(hù)；網(wǎng)絡(luò)服務(wù)提供者

“風(fēng)能進(jìn)，雨能進(jìn)，國(guó)王不能進(jìn)”這句膾炙人口的法諺*這個(gè)廣為傳頌的名言出自英國(guó)的一位首相威廉·皮特。原文為：“即使是最窮的人，在他的小屋里也敢于對(duì)抗國(guó)王的權(quán)威。屋子可能很破舊，屋頂可能搖搖欲墜；風(fēng)可以吹進(jìn)這所房子，雨可以打進(jìn)這所房子，但是國(guó)王不能踏進(jìn)這所房子，他的千軍萬馬也不敢跨過這間破房子的門檻?！薄帮L(fēng)能進(jìn)，雨能進(jìn)，國(guó)王不能進(jìn)”道出了一個(gè)基本常識(shí)，那就是公權(quán)力和私權(quán)利有明確的界限，必須恪守“井水不犯河水”的原則。參見趙可：《風(fēng)能進(jìn)，雨能進(jìn)，國(guó)王不能進(jìn)》，載《人民法院報(bào)》2011年3月4日。，深刻闡釋了公權(quán)力與私權(quán)利的關(guān)系和界限問題，而這一名言或可作為網(wǎng)絡(luò)安全立法領(lǐng)域一個(gè)鮮活的反向注腳。

一、 《網(wǎng)絡(luò)安全法》草案的立法背景

為了應(yīng)對(duì)網(wǎng)絡(luò)安全日益嚴(yán)峻的威脅與風(fēng)險(xiǎn)挑戰(zhàn)，近年來全球主要國(guó)家和地區(qū)紛紛加強(qiáng)網(wǎng)絡(luò)安全戰(zhàn)略制定和立法活動(dòng)。例如，英國(guó)政府在2009年6月公布了《網(wǎng)絡(luò)安全戰(zhàn)略》，又于2011年11月發(fā)布了《新網(wǎng)絡(luò)空間戰(zhàn)略》；澳大利亞政府2009年11月發(fā)布了《網(wǎng)絡(luò)安全戰(zhàn)略》；美國(guó)總統(tǒng)府于2011年5月發(fā)布了《網(wǎng)絡(luò)空間國(guó)際戰(zhàn)略》及《網(wǎng)絡(luò)空間安全法案》，2014年11月出臺(tái)《網(wǎng)絡(luò)安全增強(qiáng)法》；歐盟2013年啟動(dòng)《網(wǎng)絡(luò)信息安全指令》立法，目前已進(jìn)入最后的審議階段；日本政府將《保衛(wèi)國(guó)民信息安全戰(zhàn)略2010—2013》作為日本的網(wǎng)絡(luò)空間戰(zhàn)略，2014年11月通過了《網(wǎng)絡(luò)安全基本法》；韓國(guó)2011年8月制定了《國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃》。與此同時(shí)，西方國(guó)家紛紛通過立法、規(guī)劃、戰(zhàn)略等多種政策工具，不斷推動(dòng)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的立法進(jìn)程。例如歐盟2008年的《關(guān)鍵基礎(chǔ)設(shè)施認(rèn)定和安全評(píng)估指令》，美國(guó)先后制定發(fā)布了《1996年國(guó)家信息基礎(chǔ)設(shè)施保護(hù)法》、《1996年關(guān)鍵基礎(chǔ)設(shè)施保護(hù)行政令(第13010號(hào))》、《2001年信息時(shí)代關(guān)鍵基礎(chǔ)設(shè)施保護(hù)行政令(第13231號(hào))》、《2002年關(guān)鍵基礎(chǔ)設(shè)施信息保護(hù)法(CIIA)》、《2003年關(guān)于國(guó)家關(guān)鍵基礎(chǔ)設(shè)施認(rèn)定、優(yōu)化和保護(hù)的國(guó)土安全總統(tǒng)令(第7號(hào)HSPD7)》、《2013年美國(guó)促進(jìn)關(guān)鍵基礎(chǔ)設(shè)施和網(wǎng)絡(luò)空間安全保護(hù)性政令》等多部法律和行政法規(guī)。

“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全”。同理，沒有網(wǎng)絡(luò)安全，也沒法保障信息安全。從1994 年以來，我國(guó)信息安全法律保障能力有了全面的提升，初步建立了國(guó)家信息安全法律體系。[1]我國(guó)近年來更是加快了網(wǎng)絡(luò)安全方面的立法步伐。2015年7月1日，十二屆全國(guó)人大常委會(huì)第十五次會(huì)議通過《國(guó)家安全法》，明確要求“維護(hù)國(guó)家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益”，“實(shí)現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控”，網(wǎng)絡(luò)安全成為國(guó)家安全的重要組成部分。在《國(guó)家安全法》的大框架之下，為解決我國(guó)網(wǎng)絡(luò)安全領(lǐng)域存在的突出問題，以制度建設(shè)提高國(guó)家網(wǎng)絡(luò)安全保障能力，掌握網(wǎng)絡(luò)空間治理和規(guī)則制定方面的主動(dòng)權(quán)，切實(shí)維護(hù)國(guó)家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益，順應(yīng)國(guó)內(nèi)外日益復(fù)雜的網(wǎng)絡(luò)安全態(tài)勢(shì)，迫切需要在國(guó)家層面制定一部統(tǒng)一的網(wǎng)絡(luò)安全基本法。在此背景下，2015年7 月 6日，全國(guó)人大網(wǎng)公布《網(wǎng)絡(luò)安全法》(草案)(下文簡(jiǎn)稱“《草案》”)，向社會(huì)公開征求意見[2]。

二、 《網(wǎng)絡(luò)安全法》草案的亮點(diǎn)制度

草案共七章六十八條。主要制度內(nèi)容包括：

(一) 網(wǎng)絡(luò)空間主權(quán)和網(wǎng)絡(luò)安全戰(zhàn)略(第1、11條)

《草案》第一條開宗明義提出立法目的是維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全。在數(shù)字化時(shí)代中，網(wǎng)絡(luò)空間是國(guó)家經(jīng)濟(jì)社會(huì)運(yùn)行的重要載體，網(wǎng)絡(luò)安全已經(jīng)成為國(guó)家安全的重要內(nèi)容。例如，聯(lián)合國(guó)信息社會(huì)世界峰會(huì)通過的《日內(nèi)瓦原則宣言》明確表示：“互聯(lián)網(wǎng)公共政策的決策權(quán)是各國(guó)的主權(quán)”。[3]

如上文所述，國(guó)家層面的網(wǎng)絡(luò)和信息安全戰(zhàn)略在美國(guó)*網(wǎng)絡(luò)已經(jīng)成為繼領(lǐng)土、領(lǐng)海、領(lǐng)空之后的“第四空間”，將成為未來一個(gè)國(guó)家和民族發(fā)展賴以生存的空間，同時(shí)，第四空間將直接對(duì)現(xiàn)實(shí)空間起到制約作用,其戰(zhàn)略地位遠(yuǎn)在領(lǐng)土、領(lǐng)海和領(lǐng)空之上。美國(guó)已經(jīng)為更大范圍地實(shí)行信息霸權(quán)做準(zhǔn)備。參見陳寶國(guó)：《美國(guó)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略解析》，載《信息網(wǎng)絡(luò)安全》2010年第1期。、歐盟、日本、韓國(guó)和俄羅斯等國(guó)家和地區(qū)陸續(xù)出臺(tái)。其中，美國(guó)和韓國(guó)出臺(tái)了多個(gè)網(wǎng)絡(luò)空間戰(zhàn)略和規(guī)劃，歐盟是出臺(tái)單獨(dú)的信息安全戰(zhàn)略，俄羅斯和日本是在國(guó)家戰(zhàn)略或者國(guó)家外交戰(zhàn)略中涵蓋網(wǎng)絡(luò)信息安全戰(zhàn)略。有鑒于此，《草案》設(shè)專章規(guī)定網(wǎng)絡(luò)安全戰(zhàn)略及規(guī)劃。

(二) 網(wǎng)絡(luò)安全監(jiān)管體制(第6條)

《草案》以法律形式明確了各管理職能部門權(quán)責(zé)，尤其明確了網(wǎng)絡(luò)信息安全的執(zhí)法部門，將原來有關(guān)政策文件中的互聯(lián)網(wǎng)安全管理的國(guó)家互聯(lián)網(wǎng)信息部門(以下簡(jiǎn)稱國(guó)家網(wǎng)信部門)、工業(yè)和信息化部門、公安部門的“三駕馬車”架構(gòu)法律化，并完善各主管部門在維護(hù)網(wǎng)絡(luò)信息安全工作中的協(xié)同配合機(jī)制。

(三) 網(wǎng)絡(luò)安全等級(jí)保護(hù)制度(第17條)

《草案》將現(xiàn)行的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度*現(xiàn)行法規(guī)規(guī)定的是“信息安全等級(jí)保護(hù)制度”。上升為法律。要求網(wǎng)絡(luò)運(yùn)營(yíng)者按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，采取相應(yīng)的管理措施和技術(shù)防范等措施，履行相應(yīng)的網(wǎng)絡(luò)安全保護(hù)義務(wù)。

(四) 網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證檢測(cè)制度(第19條)

《草案》對(duì)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的安全認(rèn)證和安全檢測(cè)制度作了必要的規(guī)范，要求符合相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的強(qiáng)制性要求，并經(jīng)過安全認(rèn)證合格或者安全檢測(cè)符合要求后方可銷售。

(五) 網(wǎng)絡(luò)實(shí)名制的網(wǎng)絡(luò)身份管理制度(第20條)

《草案》拓展了2012年《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》所規(guī)定的網(wǎng)絡(luò)實(shí)名制范圍，從法律層面新增了一類，即在“網(wǎng)絡(luò)接入、辦理電話等入網(wǎng)手續(xù)或者為用戶提供信息發(fā)布服務(wù)”基礎(chǔ)上，新增“域名注冊(cè)服務(wù)”。同時(shí)規(guī)定網(wǎng)絡(luò)身份管理制度，即國(guó)家支持研發(fā)安全方便的電子身份認(rèn)證技術(shù)，推動(dòng)不同電子身份認(rèn)證技術(shù)之間的互認(rèn)、通用。

(六) 合法偵聽協(xié)助制度(第23條)

《草案》授權(quán)偵查機(jī)關(guān)在為國(guó)家安全和偵查犯罪的需要時(shí)，可依法要求網(wǎng)絡(luò)運(yùn)營(yíng)者提供必要的支持與協(xié)助。

(七) 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全保護(hù)制度(第25-29條、第32條、第33條)

在國(guó)際層面，主要國(guó)家和地區(qū)全面開展和完善對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的立法活動(dòng)，都將關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全作為保護(hù)的重點(diǎn)，立法多聚焦于關(guān)鍵信息基礎(chǔ)設(shè)施的事前“安全性”和遭受到攻擊之后的“可恢復(fù)性”上?！恫莅浮芬?guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，并對(duì)保護(hù)辦法的制定、負(fù)責(zé)安全保護(hù)工作的部門、運(yùn)營(yíng)者的安全保護(hù)義務(wù)、有關(guān)部門的監(jiān)督和支持等作了規(guī)定。

(八) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)產(chǎn)品服務(wù)安全審查制度(第30條)

《草案》在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度里規(guī)定了網(wǎng)絡(luò)產(chǎn)品服務(wù)的安全審查制度，但留下立法開口，規(guī)定具體辦法由國(guó)務(wù)院規(guī)定。

(九) 關(guān)鍵信息基礎(chǔ)設(shè)施重要數(shù)據(jù)境內(nèi)留存制度(第31條)

《草案》也是在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度里規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在境內(nèi)存儲(chǔ)公民個(gè)人信息等重要數(shù)據(jù)的要求，確需在境外存儲(chǔ)或者向境外提供的，應(yīng)當(dāng)按照規(guī)定進(jìn)行安全評(píng)估。

(十) 個(gè)人信息保護(hù)制度(第34-39條)

《草案》在堅(jiān)持《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》所確立的原則基礎(chǔ)上進(jìn)一步完善了相關(guān)管理制度，主要包括公民個(gè)人信息收集規(guī)則(第35條)，處理規(guī)則、信息泄露通知(第36條)，刪除更正權(quán)(第37條)及不受竊取、非法獲取、出售或非法提供權(quán)(第38、39條)。

(十一) 網(wǎng)絡(luò)信息管理制度(第40、41、43條)

《草案》在《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》基礎(chǔ)上，明確規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者處置違法信息的義務(wù)(第40條)，以及發(fā)送電子信息、提供應(yīng)用軟件合法發(fā)布或者傳輸信息義務(wù)(第41條)。

《草案》特別授權(quán)有關(guān)主管部門要求停止傳輸、采取消除等處置違法信息的權(quán)力，以及有關(guān)主管部門對(duì)境外的法律法規(guī)禁止發(fā)布或者傳輸?shù)男畔?，采取包括采取防火墻在?nèi)的阻斷措施。(第43條)

(十二) 重大突發(fā)社會(huì)安全事件的網(wǎng)絡(luò)通信臨時(shí)限制制度(第50條)

在《突發(fā)事件應(yīng)對(duì)法》、《電信條例》和《無線電管制規(guī)定》等法律法規(guī)的基礎(chǔ)上，為維護(hù)國(guó)家安全和社會(huì)公共秩序，處置重大突發(fā)社會(huì)安全事件，《草案》對(duì)網(wǎng)絡(luò)通信管制作了規(guī)定。

此外，《網(wǎng)絡(luò)安全法》草案還確立了總體國(guó)家安全觀指導(dǎo)下的網(wǎng)絡(luò)主權(quán)和戰(zhàn)略規(guī)劃制度、各項(xiàng)網(wǎng)絡(luò)運(yùn)行安全保障制度、監(jiān)測(cè)預(yù)警與應(yīng)急處置制度及法律責(zé)任等方面內(nèi)容。

三、 《網(wǎng)絡(luò)安全法》草案存在的不足

如上文所述，《網(wǎng)絡(luò)安全法》草案規(guī)定了眾多亮點(diǎn)制度，但仍存在有待完善的地方，主要表現(xiàn)為以下幾個(gè)方面：

(一) 立法理念“重賦權(quán)賦能，輕保護(hù)程序”

在《國(guó)家安全法》這樣框架性的法律之下，作為配套法律的《草案》也延續(xù)了賦權(quán)管控的立法理念——賦權(quán)、賦能于執(zhí)法機(jī)關(guān)，為采取各項(xiàng)防范和處置網(wǎng)絡(luò)安全的措施提供法律依據(jù)。在應(yīng)對(duì)全球范圍的日趨嚴(yán)重的網(wǎng)絡(luò)安全威脅和挑戰(zhàn)的當(dāng)下，這樣的立法理念具有重要意義。在此立法理念的指導(dǎo)下，《草案》從網(wǎng)絡(luò)運(yùn)行安全、網(wǎng)絡(luò)信息安全和監(jiān)測(cè)預(yù)警應(yīng)急處置三大方面進(jìn)行了規(guī)定。

應(yīng)當(dāng)說，網(wǎng)絡(luò)安全立法領(lǐng)域是一個(gè)集中體現(xiàn)了公權(quán)與私權(quán)激烈沖突和對(duì)抗的區(qū)域。為了維護(hù)網(wǎng)絡(luò)安全秩序，必然加大公權(quán)力的監(jiān)管力度,這樣勢(shì)必會(huì)對(duì)行政相對(duì)人的私權(quán)利有所限制，私權(quán)需要做出適當(dāng)讓渡，但是，必須明確劃定網(wǎng)絡(luò)安全管理的程度和界限，防止公權(quán)力濫用，避免過度限制行政相對(duì)人的合法權(quán)益。包括美國(guó)等在內(nèi)的主要西方國(guó)家以及我國(guó)實(shí)踐，都試圖在公權(quán)和私權(quán)的博弈中尋求平衡。在現(xiàn)代法治社會(huì)和依法治國(guó)的當(dāng)下，如何調(diào)和、平衡公權(quán)與私權(quán)之間的利益沖突，如何在日益復(fù)雜開放的網(wǎng)絡(luò)環(huán)境下保障網(wǎng)絡(luò)安全，值得深入思考。

不容忽視的是，“重實(shí)體，輕程序”和“重管理，輕保護(hù)”是我國(guó)網(wǎng)絡(luò)信息安全法律制度中比較突出的問題，對(duì)于嚴(yán)重影響行政相對(duì)人合法權(quán)益的多項(xiàng)措施，如果欠缺相應(yīng)的程序性規(guī)定，在實(shí)踐中容易被濫用，而且也會(huì)降低法律的可預(yù)期性。在“重賦權(quán)賦能，輕保護(hù)程序”的立法理念之下，據(jù)筆者不完全統(tǒng)計(jì)，《草案》共出現(xiàn)了19次“有關(guān)部門”、15次“有關(guān)主管部門”和3次“有關(guān)法律、行政法規(guī)”，以及3次由國(guó)務(wù)院規(guī)定具體辦法(第17條的“網(wǎng)絡(luò)安全等級(jí)保護(hù)具體辦法”，第25條的“關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)辦法”及第29條“關(guān)鍵信息基礎(chǔ)設(shè)施采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全審查具體辦法”)，2次國(guó)務(wù)院網(wǎng)信辦部門會(huì)同國(guó)務(wù)院有關(guān)部門制定辦法(第19條“制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄”和第31條“關(guān)鍵信息基礎(chǔ)設(shè)施境內(nèi)留存重要數(shù)據(jù)安全評(píng)估辦法”)，留下諸多立法開口?！恫莅浮焚x權(quán)、賦能“有關(guān)部門”采取上述十多個(gè)管理措施，如果沒有相應(yīng)明確的權(quán)限和程序性規(guī)定，“有關(guān)部門”真可以“上天入地”地進(jìn)行執(zhí)法了。

(二) 個(gè)人信息保護(hù)立法與網(wǎng)絡(luò)安全立法價(jià)值取向的悖論

國(guó)外紛紛通過制定專門的數(shù)據(jù)保護(hù)法或個(gè)人信息保護(hù)法來規(guī)范個(gè)人信息所有者、持有者、使用者有關(guān)個(gè)人信息收集、處理和利用等方面的活動(dòng)，其立法價(jià)值取向是維護(hù)公民的個(gè)人信息權(quán)等基本權(quán)利，規(guī)范個(gè)人信息的合理流動(dòng)和秩序。而網(wǎng)絡(luò)安全法本質(zhì)是為了維護(hù)國(guó)家安全、社會(huì)安定和不特定公民權(quán)益，而采取對(duì)個(gè)人信息權(quán)在內(nèi)的公民私權(quán)予以必要限制，某種程度構(gòu)成了對(duì)個(gè)人信息安全的威脅。從價(jià)值取向方面，個(gè)人信息保護(hù)立法和網(wǎng)絡(luò)安全立法存在明顯區(qū)別。

《草案》大篇幅吸收和照搬《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》有關(guān)個(gè)人電子信息保護(hù)的條款(不知道是有意還是無意，在進(jìn)行“法律移植”過程中，《草案》刪除了該決定中與“網(wǎng)絡(luò)服務(wù)提供者”相并列的主體——“其他企業(yè)事業(yè)單位及其工作人員”)，主要規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者的個(gè)人信息收集、處理和利用的各項(xiàng)規(guī)則和流程，但對(duì)于個(gè)人信息收集、處理和利用的另外一大主體——政府機(jī)關(guān)和其他企業(yè)事業(yè)單位卻一筆帶過(第39條只提“負(fù)有網(wǎng)絡(luò)安全監(jiān)管職責(zé)的部門”)或根本不提。由此導(dǎo)致，在同一部法律的《草案》中，存在網(wǎng)絡(luò)安全保護(hù)和個(gè)人信息保護(hù)的內(nèi)在價(jià)值沖突，這樣大篇幅規(guī)定個(gè)人信息保護(hù)的基本制度，一方面在一定程度上造成了立法資源的浪費(fèi)，另一方面也擠壓了未來專門出臺(tái)《個(gè)人信息保護(hù)法》的立法空間。

(三) “網(wǎng)絡(luò)”和“網(wǎng)絡(luò)安全”定義有失準(zhǔn)確，與立法內(nèi)容不相匹配

從網(wǎng)絡(luò)層次來分，廣義上的網(wǎng)絡(luò)安全主要包括設(shè)備設(shè)施安全、網(wǎng)絡(luò)層安全和應(yīng)用層安全，狹義的網(wǎng)絡(luò)安全就是設(shè)備設(shè)施和網(wǎng)絡(luò)層安全，應(yīng)用層安全主要是信息安全，也即保護(hù)信息資源，防止不良的外來信息的入侵，和防止信息的泄漏、修改和破壞，保證信息的安全和可靠。信息安全是非實(shí)物性的、屬于應(yīng)用層面的安全問題。

網(wǎng)絡(luò)安全和信息安全二者相互關(guān)聯(lián)、相互影響、相互作用、密不可分。信息安全首先要建立在網(wǎng)絡(luò)安全之上，信息安全的內(nèi)容既有網(wǎng)絡(luò)的運(yùn)行安全(防止入侵)，也有信息本身的安全(信息加密等)，此外還包括構(gòu)成網(wǎng)絡(luò)的設(shè)備本身的安全。因此，在我國(guó)先前的法律政策文件多使用“網(wǎng)絡(luò)與信息安全”的表述，如《國(guó)家安全法》使用的是“網(wǎng)絡(luò)與信息安全”，但在成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組以后，基本將“網(wǎng)絡(luò)與信息安全”的提法統(tǒng)一為“網(wǎng)絡(luò)安全”。

“網(wǎng)絡(luò)”和“網(wǎng)絡(luò)安全”是《草案》的“法眼”，但《草案》對(duì)“網(wǎng)絡(luò)”和“網(wǎng)絡(luò)安全”的定義過于狹窄，有失準(zhǔn)確，沒有包括信息安全，更是與“網(wǎng)絡(luò)空間主權(quán)”沒有關(guān)聯(lián)，這樣與立法內(nèi)容明顯不相符合。從《草案》的立法內(nèi)容來看，此法的“網(wǎng)絡(luò)安全”實(shí)為“Cyber Security”，而非“Network Security”?！熬W(wǎng)絡(luò)”實(shí)指 “網(wǎng)絡(luò)空間”(Cyberspace)。這點(diǎn)也從《草案》的“網(wǎng)絡(luò)運(yùn)行安全”和“網(wǎng)絡(luò)信息安全”兩大章節(jié)的區(qū)分得以印證。

(四) 網(wǎng)絡(luò)責(zé)任主體的表述不統(tǒng)一

《草案》規(guī)定了眾多網(wǎng)絡(luò)責(zé)任主體，據(jù)筆者不完全統(tǒng)計(jì)，最多的“網(wǎng)絡(luò)運(yùn)營(yíng)者”出現(xiàn)了27次，“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者”出現(xiàn)9次(另外還出現(xiàn)一次“國(guó)家機(jī)關(guān)政務(wù)網(wǎng)絡(luò)的運(yùn)營(yíng)者”)，“網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者”出現(xiàn)4次，“電子信息發(fā)送者”和“應(yīng)用軟件提供者”各出現(xiàn)3次，“電子信息發(fā)送服務(wù)提供者”和“應(yīng)用軟件下載服務(wù)提供者”各出現(xiàn)2次，“網(wǎng)絡(luò)服務(wù)提供者”出現(xiàn)2次。在同一部法律里出現(xiàn)了規(guī)制對(duì)象的用語不統(tǒng)一，《草案》的相關(guān)規(guī)定有失嚴(yán)謹(jǐn)性。

(五) 變相新設(shè)許可有悖國(guó)務(wù)院取消行政審批的大趨勢(shì)

根據(jù)2007年《國(guó)務(wù)院關(guān)于第四批取消和調(diào)整行政審批項(xiàng)目的決定》(國(guó)發(fā)[2007]33號(hào))[4]，國(guó)務(wù)院明確取消“通信電子質(zhì)檢機(jī)構(gòu)設(shè)立與授權(quán)”行政審批項(xiàng)目。另據(jù)2012年《國(guó)務(wù)院關(guān)于第六批取消和調(diào)整行政審批項(xiàng)目的決定》(國(guó)發(fā)[2012]52號(hào))[5]，國(guó)務(wù)院明確取消“安全技術(shù)防范產(chǎn)品銷售審批”項(xiàng)目。

《草案》第19條規(guī)定了網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品需要由具備資格的機(jī)構(gòu)進(jìn)行安全認(rèn)證合格或安全檢測(cè)符合要求后方能銷售，這樣就相當(dāng)于新設(shè)兩項(xiàng)行政許可，一是必須由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，納入目錄的設(shè)備和產(chǎn)品必須經(jīng)過安全認(rèn)證合格或安全檢測(cè)符合要求，才能進(jìn)入市場(chǎng)銷售。二是必須有具備資格的機(jī)構(gòu)進(jìn)行安全認(rèn)證和安全檢測(cè)。至于該機(jī)構(gòu)如何設(shè)立和授權(quán)，沒有明確規(guī)定。該條新設(shè)或變相新設(shè)的兩項(xiàng)行政許可事項(xiàng)與國(guó)務(wù)院持續(xù)取消行政許可簡(jiǎn)政放權(quán)的大趨勢(shì)相悖。

(六) 關(guān)鍵信息基礎(chǔ)設(shè)施中的網(wǎng)絡(luò)服務(wù)提供者標(biāo)準(zhǔn)和范圍有待明確

關(guān)鍵信息基礎(chǔ)設(shè)施安全立法保護(hù)是國(guó)際通行做法 國(guó)際上對(duì)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)(Critical Infrastructure Protection，簡(jiǎn)稱CIP)已有多年，各國(guó)都出臺(tái)了一系列相關(guān)政策，并成立或指定相關(guān)部門負(fù)責(zé)此項(xiàng)工作。例如在美國(guó)，國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和重要資源被分為信息技術(shù)(IT)、通信、農(nóng)業(yè)和食品、國(guó)防工業(yè)基地、能源、醫(yī)療和公共衛(wèi)生、國(guó)家紀(jì)念碑和標(biāo)志、銀行和金融、水、化學(xué)品、商業(yè)設(shè)施、關(guān)鍵制造業(yè)、大壩、應(yīng)急服務(wù)、核反應(yīng)堆/核原料和廢料、郵政和物流、交通和政府設(shè)施等18個(gè)領(lǐng)域，其中的IT 和通信兩個(gè)獨(dú)立的基礎(chǔ)設(shè)施領(lǐng)域?qū)儆谛畔⒒A(chǔ)設(shè)施，而其他16個(gè)領(lǐng)域中都有其Cyber組成部分，與兩個(gè)基礎(chǔ)設(shè)施領(lǐng)域共同構(gòu)成信息基礎(chǔ)設(shè)施。在澳大利亞，CII 被稱為NII，是CI的一個(gè)分支。德國(guó)出臺(tái)《信息基礎(chǔ)設(shè)施保護(hù)國(guó)家計(jì)劃》，定義了信息基礎(chǔ)設(shè)施。此處參見任衛(wèi)紅：《分析國(guó)外信息基礎(chǔ)設(shè)施關(guān)鍵性評(píng)價(jià)方法審視我國(guó)等級(jí)保護(hù)定級(jí)工作》，載自2012年第3期《信息網(wǎng)絡(luò)安全》。，從法律層面規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度有利于清理我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)領(lǐng)域各種現(xiàn)行法律、行政法規(guī)以及部門規(guī)章中相互沖突、相互重復(fù)或不合時(shí)宜的規(guī)范內(nèi)容，有利于爭(zhēng)奪在關(guān)鍵信息基礎(chǔ)設(shè)施和網(wǎng)絡(luò)空間新興領(lǐng)域的安全立法的國(guó)際社會(huì)規(guī)則的話語權(quán)，縮小與發(fā)達(dá)國(guó)家的法律制度鴻溝。

在美國(guó)“棱鏡門事件”爆發(fā)后，引發(fā)我們對(duì)美國(guó)“八大金剛”(思科、IBM、谷歌、高通、英特爾、蘋果、甲骨文、微軟)的高度關(guān)注和憂慮。有鑒于此，《草案》第25條首次界定了關(guān)鍵信息基礎(chǔ)設(shè)施范圍，明確將“網(wǎng)絡(luò)服務(wù)提供者”納入其中。但是，對(duì)于“網(wǎng)絡(luò)服務(wù)提供者”的“用戶數(shù)量眾多”的界定標(biāo)準(zhǔn)，到底是以用戶數(shù)量達(dá)到一百萬、一千萬為標(biāo)準(zhǔn)，還是一億呢，《草案》沒有明確的量化指標(biāo)。此外，對(duì)于提供何種類型的網(wǎng)絡(luò)或服務(wù)的“網(wǎng)絡(luò)服務(wù)提供者”，也沒有予以明確。

更為關(guān)鍵的是，將“用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者所有或者管理的網(wǎng)絡(luò)與系統(tǒng)”納入“關(guān)鍵信息基礎(chǔ)設(shè)施”，與國(guó)際上大多數(shù)實(shí)行關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的其他國(guó)家的通行做法相違背。例如，美國(guó)定義“關(guān)鍵信息基礎(chǔ)設(shè)施”(critical information infrastructure)，是指一旦中斷運(yùn)行或受到破壞，將對(duì)國(guó)家安全和經(jīng)濟(jì)安全構(gòu)成嚴(yán)重影響的金融、電信、交通、能源、應(yīng)急救援(emergency services)和政府核心事務(wù)(government essential services)等行業(yè)或業(yè)務(wù)信息系統(tǒng)的關(guān)鍵部位。*此處參見《2002年美國(guó)關(guān)鍵基礎(chǔ)設(shè)施信息法》(Critical Infrastructure Information Act Of 2002)。歐盟是通過先對(duì)“關(guān)鍵基礎(chǔ)設(shè)施”進(jìn)行定義，再對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施”(CII)劃定范圍。歐盟《關(guān)鍵基礎(chǔ)設(shè)施指令》將關(guān)鍵基礎(chǔ)設(shè)施定義為“那些資產(chǎn)或其中的部分資產(chǎn)，它們是維護(hù)包括供應(yīng)鏈、健康、保險(xiǎn)、安全、人民的經(jīng)濟(jì)或社會(huì)福祉在內(nèi)的關(guān)鍵社會(huì)職能所必不可少的”。OECD理事會(huì)在2008年4月通過的《關(guān)鍵信息基礎(chǔ)設(shè)施OECD理事會(huì)建議》定義為，關(guān)鍵信息基礎(chǔ)設(shè)施(CII)指具有……特征的互聯(lián)的信息系統(tǒng)和網(wǎng)絡(luò)，其破壞和中斷會(huì)給健康、安全、公民經(jīng)濟(jì)福利、政府或國(guó)家的有效運(yùn)作帶來嚴(yán)重影響。日本國(guó)家信息安全管理機(jī)構(gòu)——NISC對(duì)關(guān)鍵基礎(chǔ)設(shè)施的定義是：在國(guó)民生活及社會(huì)活動(dòng)中，提供不可或缺服務(wù)的社會(huì)基礎(chǔ)，具有顯著的難以替代性，因此停止其功能后將會(huì)對(duì)社會(huì)經(jīng)濟(jì)活動(dòng)帶來極大影響。

(七) 合法偵聽的職權(quán)和程序不明確

美國(guó)、英國(guó)、歐盟、俄羅斯等主要西方國(guó)家都制定了專門的合法偵聽法律法規(guī)，合法偵聽范圍已擴(kuò)展至全球，合法偵聽領(lǐng)域已經(jīng)由傳統(tǒng)通信偵聽擴(kuò)展至互聯(lián)網(wǎng)偵聽。國(guó)際上并沒有關(guān)于合法偵聽的嚴(yán)格統(tǒng)一定義，如美國(guó)界定合法偵聽是“為了國(guó)家安全需要，根據(jù)國(guó)家法律明確規(guī)定并且經(jīng)過授權(quán)機(jī)構(gòu)的法律授權(quán)，由具有合法偵聽權(quán)的機(jī)構(gòu)在法律授權(quán)范圍內(nèi)對(duì)通信內(nèi)容進(jìn)行攔截偵查”。因?yàn)閭陕犑且环N行使公權(quán)力的表現(xiàn)，會(huì)對(duì)公民權(quán)利帶來嚴(yán)重的侵犯，因此，主要西方國(guó)家都規(guī)定了比較嚴(yán)格的偵聽授權(quán)批準(zhǔn)程序和權(quán)限。

為了保護(hù)公民的通信自由和通信秘密，在一般情況下，任何組織和個(gè)人均不得以任何理由對(duì)網(wǎng)絡(luò)信息內(nèi)容進(jìn)行檢查，這是基本的常態(tài)規(guī)則。只是在為了維護(hù)國(guó)家安全或偵查重大犯罪需要的特殊情況下，具有偵聽授權(quán)的機(jī)構(gòu)在法律授權(quán)的范圍和嚴(yán)格程序下，可以采取偵聽或攔截措施，要求網(wǎng)絡(luò)服務(wù)提供者提供必要的偵聽支持和協(xié)助。這是一個(gè)例外情況?！恫莅浮返?3條僅規(guī)定例外情形，沒有重申和明確基本的常態(tài)規(guī)則，有些本末倒置，而且缺乏必要的偵聽支持和協(xié)助的具體范圍和程序流程。

(八) 個(gè)人信息的刪除權(quán)及數(shù)據(jù)泄密通知缺乏操作性

《草案》第37條賦予公民享有個(gè)人信息“刪除權(quán)”(其與國(guó)際上熱議的“被遺忘權(quán)”仍有明顯區(qū)別)，與《侵權(quán)責(zé)任法》和《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》所設(shè)立的相對(duì)精準(zhǔn)的“通知?jiǎng)h除”規(guī)則相互矛盾。網(wǎng)絡(luò)運(yùn)營(yíng)者只有在用戶提出符合條件通知的情況下，才能斷開相關(guān)鏈接或刪除有關(guān)信息。泛泛地規(guī)定，公民有權(quán)要求刪除其個(gè)人信息，容易引發(fā)用戶的惡意投訴或?yàn)E用刪除權(quán)。

如何判定哪些屬于“違法法律、行政法規(guī)的規(guī)定或者雙方的約定”情形，《草案》沒有不明確，主觀隨意性太強(qiáng)。對(duì)于沒有“違反法律、行政法規(guī)的規(guī)定或者雙方的約定”的收集、使用其個(gè)人信息，是否可以要求網(wǎng)絡(luò)運(yùn)營(yíng)者刪除呢。此外，《草案》也沒有規(guī)定本條的相應(yīng)罰則條款。

(九) 網(wǎng)絡(luò)通信臨時(shí)限制的適用條件偏低，程序不明確

《草案》將使早前一些原本分散的規(guī)定或?qū)嵺`做法予以制度化和法律化。例如，2009年“7·5事件”就采取了切斷新疆的互聯(lián)網(wǎng)網(wǎng)絡(luò)和電話聯(lián)系的臨時(shí)限制措施。

一般認(rèn)為，網(wǎng)絡(luò)信息安全緊急狀態(tài)是指由于自然災(zāi)害、計(jì)算機(jī)系統(tǒng)本身故障、組織內(nèi)部和外部人員違規(guī)(違法)操作、計(jì)算機(jī)病毒或蠕蟲及網(wǎng)絡(luò)惡意攻擊等因素引起的,對(duì)計(jì)算機(jī)信息系統(tǒng)的正常運(yùn)行造成嚴(yán)重影響的危機(jī)狀態(tài)。同時(shí)，根據(jù)緊急狀態(tài)涉及范圍的大小、影響程度的嚴(yán)重與否，對(duì)緊急狀態(tài)的啟動(dòng)進(jìn)行分級(jí)管理。[6]但是《草案》規(guī)定的“維護(hù)社會(huì)公共秩序的需要”這一網(wǎng)絡(luò)通信臨時(shí)限制的適用條件偏低，容易被有關(guān)地方或有關(guān)部門濫用。而且在移動(dòng)互聯(lián)網(wǎng)和云計(jì)算、大數(shù)據(jù)時(shí)代，互聯(lián)網(wǎng)金融、互聯(lián)網(wǎng)醫(yī)療和物聯(lián)網(wǎng)等業(yè)務(wù)的飛速發(fā)展，互聯(lián)網(wǎng)滲透到社會(huì)的方方面面，與人們的人身權(quán)和財(cái)產(chǎn)權(quán)緊密關(guān)聯(lián)，一旦采取網(wǎng)絡(luò)通信臨時(shí)限制，必然會(huì)對(duì)用戶的財(cái)產(chǎn)權(quán)乃至人身權(quán)帶來重要影響乃至重大損害。對(duì)于網(wǎng)絡(luò)通信限制這樣嚴(yán)重影響人身權(quán)和重大財(cái)產(chǎn)權(quán)的臨時(shí)措施應(yīng)當(dāng)由全國(guó)人大決定或備案，而非由國(guó)務(wù)院直接決定。此外，《草案》沒有明確規(guī)定網(wǎng)絡(luò)通信臨時(shí)限制的范圍和時(shí)間(一周還是一個(gè)月)及其相應(yīng)的審批權(quán)限和程序。

四、 完善《網(wǎng)絡(luò)安全法》草案的建議

政府監(jiān)管(又稱政府規(guī)制)是政府依據(jù)規(guī)則和規(guī)范，運(yùn)用公共權(quán)力，對(duì)國(guó)家的社會(huì)經(jīng)濟(jì)生活進(jìn)行約束和控制。[7]政府監(jiān)管也覆蓋到網(wǎng)絡(luò)安全領(lǐng)域。但是，政府對(duì)網(wǎng)絡(luò)安全的監(jiān)管并非任意妄為，有效監(jiān)管是其正當(dāng)性基礎(chǔ)和衡量標(biāo)尺。有效監(jiān)管的前提是充分了解監(jiān)管領(lǐng)域的特性，界定監(jiān)管的范圍，采取科學(xué)的監(jiān)管決策程序，并以行之有效的監(jiān)管措施最終建立起該領(lǐng)域良好的市場(chǎng)秩序。[8]美國(guó)保障網(wǎng)絡(luò)安全與維護(hù)公民基本權(quán)利平衡的立法努力，對(duì)我國(guó)具有重要的借鑒意義。[9]為了實(shí)現(xiàn)網(wǎng)絡(luò)安全領(lǐng)域的有效監(jiān)管，建議從以下方面完善草案相關(guān)內(nèi)容：

(一) 建議從廣義上定義“網(wǎng)絡(luò)安全”，明確將信息安全相關(guān)內(nèi)容納入其中

信息網(wǎng)絡(luò)安全法的目的，在于對(duì)網(wǎng)絡(luò)上的行為的正當(dāng)與否做出實(shí)體意義上判斷，進(jìn)而保護(hù)利益主體的合理利益(主要由“網(wǎng)絡(luò)社區(qū)法律規(guī)范”來解決)，并通過程序性規(guī)則防止這些利益被不正當(dāng)?shù)男袨樗趾?主要由“技術(shù)性法律規(guī)范”來解決)。[10]網(wǎng)絡(luò)安全是本法的“題眼”，需要在適用范圍條款予以明確界定。附則的“網(wǎng)絡(luò)安全”定義過于狹窄，“網(wǎng)絡(luò)安全”實(shí)為“Cyber Security”，而不僅僅是“Network Security”。但不建議采用“網(wǎng)絡(luò)空間安全”的提法。

因此，建議刪除附則有關(guān)用語含義的定義*“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)運(yùn)營(yíng)者”、“網(wǎng)絡(luò)數(shù)據(jù)”和“公民個(gè)人信息”并非本法需要明確界定的，為了避免與其他法律的沖突，保持統(tǒng)一，避繁就簡(jiǎn)，建議回避上述用語的定義。，并將“網(wǎng)絡(luò)安全”定義提前至第二條，并分別明確界定“網(wǎng)絡(luò)安全”和“信息安全”(第四章)，第二條修改為：

“在中華人民共和國(guó)境內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)和使用網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理，適用本法。

網(wǎng)絡(luò)安全(Cybersecurity)，是指組成網(wǎng)絡(luò)信息系統(tǒng)的硬件、軟件和數(shù)據(jù)資源受到妥善的保護(hù)，系統(tǒng)中的信息資源不因自然和人為因素而遭到破壞、更改或泄露，信息系統(tǒng)能連續(xù)正常運(yùn)行。網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)系統(tǒng)安全(Network Security)和網(wǎng)絡(luò)信息安全(Information security)?！?/p>

(二) 建議第三章吸收《全國(guó)人大關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》的相關(guān)內(nèi)容，規(guī)定保障互聯(lián)網(wǎng)運(yùn)行安全的各種舉措

建議有關(guān)網(wǎng)絡(luò)安全的一般性禁止性提前到最前面，因?yàn)闊o論是個(gè)人還是網(wǎng)絡(luò)運(yùn)營(yíng)者等主體，都負(fù)有不危害網(wǎng)絡(luò)安全的責(zé)任。建議將第22條調(diào)整為第17條，放于第三章第二節(jié)之首條，并修改為：

“任何組織和個(gè)人不得有下列危害網(wǎng)絡(luò)運(yùn)行安全的行為：

(一) 侵入第二十五條規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)和系統(tǒng)；

(二) 故意制作、傳播計(jì)算機(jī)病毒等破壞性或惡意程序，攻擊網(wǎng)絡(luò)和系統(tǒng)，致使網(wǎng)絡(luò)和系統(tǒng)遭受損害；

(三) 違反國(guó)家規(guī)定，擅自中斷網(wǎng)絡(luò)或者服務(wù)，造成網(wǎng)絡(luò)或者系統(tǒng)不能正常運(yùn)行；

(四) 入侵他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的；

(五) 提供從事入侵網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全活動(dòng)的工具和制作方法；

(六) 為他人實(shí)施危害網(wǎng)絡(luò)安全的活動(dòng)提供技術(shù)支持、廣告推廣、支付結(jié)算等幫助。

(七) 法律、法規(guī)禁止的其他行為。”

建議將第18條修改為：

網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)向用戶明示并取得同意；網(wǎng)絡(luò)服務(wù)提供者發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)及時(shí)向用戶告知并采取補(bǔ)救措施。

網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)為其產(chǎn)品、服務(wù)持續(xù)提供安全維護(hù)；在規(guī)定或者當(dāng)事人約定的期間內(nèi)，不得終止提供安全維護(hù)。

建議將19條調(diào)整放置第三章第二節(jié)，修改為以下：

“納入關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的強(qiáng)制性要求。

網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定和公布。”

(三) 建議鼓勵(lì)用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者自愿加入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，并參照國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)法規(guī)保護(hù)其所有或者管理的網(wǎng)絡(luò)和系統(tǒng)

如上文所述，草案對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施中的網(wǎng)絡(luò)服務(wù)提供者*建議將草案中的“網(wǎng)絡(luò)運(yùn)營(yíng)者”、“網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者”(第18條)和“網(wǎng)絡(luò)服務(wù)提供者”(第25條)統(tǒng)一規(guī)定為“網(wǎng)絡(luò)服務(wù)提供者”。標(biāo)準(zhǔn)和范圍規(guī)定不明確，而且將“用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者所有或者管理的網(wǎng)絡(luò)與系統(tǒng)”納入“關(guān)鍵信息基礎(chǔ)設(shè)施”與大多數(shù)國(guó)家的通行做法相悖。因此，建議第25條修改為：

“國(guó)家對(duì)提供公共通信、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò)，能源、交通、水利、金融等重要行業(yè)和供電、供水、供氣、醫(yī)療衛(wèi)生、社會(huì)保障等公共服務(wù)領(lǐng)域的重要信息系統(tǒng)，軍事網(wǎng)絡(luò)，設(shè)區(qū)的市級(jí)以上國(guó)家機(jī)關(guān)等政務(wù)網(wǎng)絡(luò)(以下稱關(guān)鍵信息基礎(chǔ)設(shè)施)，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)辦法由國(guó)務(wù)院制定。

國(guó)家鼓勵(lì)用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者自愿加入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，參照關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)辦法保護(hù)其所有或者管理的網(wǎng)絡(luò)和系統(tǒng)?！?/p>

(四) 建議明確合法偵聽是保護(hù)用戶通信自由和通信秘密的例外情形

網(wǎng)絡(luò)用戶依法使用網(wǎng)絡(luò)的自由和通信秘密受法律保護(hù)。相關(guān)部門要求網(wǎng)絡(luò)服務(wù)提供者提供必要的支持和協(xié)助進(jìn)行檢查，需要依照法定的權(quán)限和程序進(jìn)行。因此，建議將第23條修改為：

“任何組織和個(gè)人*建議將全文的“任何個(gè)人和組織”統(tǒng)一修改為“任何組織和個(gè)人”的表述。(第九條第二款、第十條、第二十二條、第三十八條)不得以任何理由對(duì)網(wǎng)絡(luò)信息內(nèi)容進(jìn)行檢查。但是，因國(guó)家安全或者追查刑事犯罪的需要，由公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)或者人民檢察院依照法律規(guī)定的程序?qū)W(wǎng)絡(luò)信息內(nèi)容進(jìn)行檢查除外，網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)提供必要的支持與協(xié)助。”

(五) 建議規(guī)范用戶的刪除權(quán)

本條與《侵權(quán)責(zé)任法》和《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》所設(shè)立的相對(duì)精準(zhǔn)的“通知?jiǎng)h除”規(guī)則相互矛盾。網(wǎng)絡(luò)服務(wù)提供者只有在用戶提出符合條件通知的情況下，才能斷開相關(guān)鏈接或刪除有關(guān)信息。泛泛地規(guī)定，公民有權(quán)要求刪除其個(gè)人信息，容易引發(fā)用戶的惡意投訴或?yàn)E用刪除權(quán)。建議直接刪除第37條，或者將其修改為：

“用戶發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)提供者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息的，有權(quán)要求網(wǎng)絡(luò)服務(wù)提供者在收到有效通知后刪除其個(gè)人信息；發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)提供者收集、存儲(chǔ)的其個(gè)人信息有錯(cuò)誤的，有權(quán)要求網(wǎng)絡(luò)服務(wù)提供者予以更正?！?/p>

(六) 建議第四章吸收《電信條例》和《互聯(lián)網(wǎng)信息服務(wù)管理辦法》所規(guī)定的“九不準(zhǔn)”內(nèi)容，并增加一條，放置為本章首條

因?yàn)椤恫莅浮分饕塾谝?guī)范互聯(lián)網(wǎng)公共信息的安全管理，建議《草案》壓縮或提煉個(gè)人信息保護(hù)相關(guān)條文，為后續(xù)制定專門的《個(gè)人信息保護(hù)法》留下空間。建議將第九條第二款修改為：“任何組織和個(gè)人不得利用網(wǎng)絡(luò)從事危害國(guó)家安全、社會(huì)公共利益或他人合法權(quán)益的活動(dòng)?！?/p>

(七) 建議嚴(yán)格網(wǎng)絡(luò)通信臨時(shí)限制的適用條件及程序

現(xiàn)在都移動(dòng)互聯(lián)網(wǎng)和云技術(shù)、大數(shù)據(jù)時(shí)代，很多互聯(lián)網(wǎng)應(yīng)用已廣泛滲透到人們的生產(chǎn)生活的各個(gè)方面，一旦限網(wǎng)，必然帶來的人身權(quán)的損害以及對(duì)人身自由所帶來的限制，因此，限網(wǎng)措施應(yīng)上升為人大常委會(huì)決定。

建議《草案》明確第五十條增加網(wǎng)絡(luò)通信臨時(shí)限制措施執(zhí)法部門的具體權(quán)限和流程，嚴(yán)格審批程序保護(hù)網(wǎng)絡(luò)人身權(quán)，防止限網(wǎng)措施的濫用。建議將網(wǎng)絡(luò)通信臨時(shí)限制的適用條件明確為“為了應(yīng)對(duì)國(guó)家安全、內(nèi)亂、處置重大突發(fā)社會(huì)安全事件、重大自然災(zāi)害等緊急狀態(tài)的需要”。在實(shí)施程序上，明確規(guī)定“經(jīng)國(guó)務(wù)院建議，報(bào)全國(guó)人民代表大會(huì)常務(wù)委員會(huì)決定采取網(wǎng)絡(luò)通信臨時(shí)限制”，并明確限制范圍和限制時(shí)間。具體修改為以下：

“為了應(yīng)對(duì)國(guó)家安全、內(nèi)亂、處置重大突發(fā)社會(huì)安全事件、重大自然災(zāi)害等緊急狀態(tài)的需要，經(jīng)國(guó)務(wù)院建議，報(bào)全國(guó)人民代表大會(huì)常務(wù)委員會(huì)決定，可以在發(fā)生重大網(wǎng)絡(luò)安全事項(xiàng)的核心區(qū)域?qū)W(wǎng)絡(luò)通信采取臨時(shí)限制措施。臨時(shí)限制措施不得超過一周，需要順延的需再次報(bào)請(qǐng)全國(guó)人民代表大會(huì)常務(wù)委員會(huì)批準(zhǔn)。

總之，制定網(wǎng)絡(luò)安全法應(yīng)當(dāng)堅(jiān)持“安全和發(fā)展并重、管理和保護(hù)齊行”的立法理念，在賦權(quán)賦能監(jiān)管機(jī)構(gòu)管理的同時(shí)，明確網(wǎng)絡(luò)安全保護(hù)的程序和流程，以改觀我國(guó)長(zhǎng)期以來網(wǎng)絡(luò)安全立法“重安全、輕發(fā)展，重管理、輕保護(hù)”的現(xiàn)狀。應(yīng)當(dāng)明確網(wǎng)絡(luò)安全管理和保障公民私權(quán)利之間的關(guān)系，依法保護(hù)公民的通信自由和通信秘密、個(gè)人數(shù)據(jù)權(quán)、隱私權(quán)、知識(shí)產(chǎn)權(quán)等合法權(quán)利，禁止各類網(wǎng)絡(luò)侵權(quán)行為，明確規(guī)定行政相對(duì)人的法定救濟(jì)權(quán)及其救濟(jì)途徑。

參考文獻(xiàn)：

[1] 馬民虎,王新雷.我國(guó)信息安全法律能力建設(shè)的思路[J].信息網(wǎng)絡(luò)安全,2010(9).

[2] http://www.npc.gov.cn/npc/xinwen/lfgz/flca/2015-07/06/ content_ 1940614. htm[EB/OL].2015-7-8.

[3] 黃惠康.加強(qiáng)網(wǎng)絡(luò)領(lǐng)域的國(guó)際交流合作[EB/OL]. http://news.xinhuanet.com/world/ 2012-10/05/c_ 113280788. htm，2015-7-22.

[4] http://www.gov.cn/zwgk/2007-10/12/content_775186.htm[EB/OL].2015-7-22.

[5] http://www.gov.cn/zwgk/2012-10/10/content_2240096.htm[EB/OL].2015-7-22.

[6] 馬民虎,賀曉娜.網(wǎng)絡(luò)信息安全應(yīng)急機(jī)制的理論基礎(chǔ)及法律保障[J].情報(bào)雜志,2005(8).

[7] 吳愛民.公共管理學(xué)[M]武漢：武漢大學(xué)出版社，2012:167-168.

[8] 沈巋,付宇程,劉權(quán),等.電子商務(wù)監(jiān)管導(dǎo)論[M].北京：法律出版社，2015(8)：84.

[9] 于鵬,解志勇.美國(guó)信息安全法律體系考察及其對(duì)我國(guó)的啟示[J].信息網(wǎng)絡(luò)安全,2008(10).

[10] 董皓,張楚.信息網(wǎng)絡(luò)安全的法學(xué)定義研究——從技術(shù)視角向法律思維的轉(zhuǎn)換[J].信息網(wǎng)絡(luò)安全,2006(2).

Try Every Means to Seek or Consider the Rights and Obligations:A Brief Review on the DraftInternetSecurityAct

DING Dao-qin

(Center for Legal Studies, JD.Com.Inc., Beijing 100176, China)

Abstract：In response to the growing threat and risky challenge of cybersecurity in recent years, major countries and regions in the world have strengthened the related strategy formations and legislative activities. In this background, the National People’s Congress announced the Internet Security Act in 2015. The draft established the cybersecurity supervision system,critical information infrastructure, security review system,important data retention system and personal information protection system.Nevertheless, a great many problems still exist, for example, the legislative philosophy emphasizes too much on empowerment rather than how to preserve procedures; the standard and scope of internet services supplier need to be clarified in critical information infrastructure; the legislative value between personal information conservation and cybersecurity is contradictory;the right and procedure of lawful interception is ambiguous; the temporary restrictions of online communication is poorly operated. Consequently,for the sake of improving the situation of “giving priority to security and management over development and preservation” at long durations, the development of cybersecurity law should adhere to the concept that the security and improvement should be equally emphasized,meanwhile, the management and conservation should be coordinately propelled. Additionally,to endow the regulators with power and explicate the procedures and processes of cybersecurity is also necessary.

Key Words：Internet Security Act;critical information infrastructure; safety review;personal information protection;internet services supplier

中圖分類號(hào)：D922.8

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-105X(2016)03-0034-08

作者簡(jiǎn)介：丁道勤(1977-)，男,京東集團(tuán)法律研究中心主任，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)互聯(lián)網(wǎng)法治工作委員會(huì)委員，中國(guó)政法大學(xué)法學(xué)博士后。原工業(yè)和信息化部電信研究院(現(xiàn)中國(guó)信息通信研究院)研究員，主要從事電子商務(wù)、數(shù)據(jù)保護(hù)、網(wǎng)絡(luò)信息安全、互聯(lián)網(wǎng)競(jìng)爭(zhēng)等領(lǐng)域法律政策研究工作。

收稿日期：2015 - 03 - 26