◎天津大學(xué)法學(xué)院副院長(zhǎng) 藍(lán)藍(lán)

2018年9月18日，美國(guó)發(fā)布了特朗普政府首份網(wǎng)絡(luò)安全戰(zhàn)略報(bào)告《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》，這份戰(zhàn)略報(bào)告在維護(hù)多利益攸關(guān)方治理模式、實(shí)施網(wǎng)絡(luò)威懾、維護(hù)互聯(lián)網(wǎng)自由、加強(qiáng)志同道合國(guó)家的合作、重視關(guān)鍵基礎(chǔ)設(shè)施等方面，均繼承了奧巴馬政府時(shí)期的關(guān)鍵理念，體現(xiàn)出網(wǎng)絡(luò)治理政策的一致性和連貫性。戰(zhàn)略報(bào)告通篇都在強(qiáng)調(diào)美國(guó)利益至上，這符合特朗普上任以來一貫強(qiáng)硬的表現(xiàn)，同時(shí)也是他為自己爭(zhēng)取政治籌碼、在中期選舉中拉攏選民的重要手段，對(duì)此我們應(yīng)當(dāng)正確看待。

在這份《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》中，美國(guó)公開點(diǎn)名俄羅斯、中國(guó)、伊朗和朝鮮等國(guó)，用非常霸道、蠻橫的語言橫加指責(zé)，試圖將自己包裝成一個(gè)純粹的網(wǎng)絡(luò)安全受害者，反映出濃厚的網(wǎng)絡(luò)霸凌主義色彩?！按蜩F還需自身硬”，反制霸凌主義的硬道理就是更好更快發(fā)展。具體到網(wǎng)絡(luò)安全，當(dāng)務(wù)之急是要加快我國(guó)網(wǎng)絡(luò)安全相關(guān)立法的步伐，以法治手段穩(wěn)步推進(jìn)網(wǎng)絡(luò)安全建設(shè)。筆者認(rèn)為，當(dāng)前網(wǎng)絡(luò)安全立法工作應(yīng)當(dāng)關(guān)注如下三個(gè)重點(diǎn)：

一、進(jìn)一步完善《網(wǎng)絡(luò)安全法》這部基本立法

2016年11月7日，全國(guó)人大常委會(huì)表決通過了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》），該法的出臺(tái)在我國(guó)網(wǎng)絡(luò)治理進(jìn)程中具有里程碑式的意義。作為我國(guó)第一部網(wǎng)絡(luò)安全的專門性綜合性立法，它提出了應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)這一全球性問題的中國(guó)方案，使網(wǎng)絡(luò)安全從此有法可依。但我們也應(yīng)當(dāng)看到，這部基本立法還有一些亟待完善和明確之處。試舉兩例說明。

比如，“網(wǎng)絡(luò)安全”的范圍如何來界定？《網(wǎng)絡(luò)安全法》附則部分第76條對(duì)網(wǎng)絡(luò)安全內(nèi)涵進(jìn)行了界定，但這部法律要想在實(shí)踐中很好地應(yīng)用，還需要明確網(wǎng)絡(luò)安全的準(zhǔn)確外延，這個(gè)問題是整部立法的核心所在。在這個(gè)問題上，我認(rèn)為要特別關(guān)注中美兩國(guó)對(duì)“網(wǎng)絡(luò)安全”的不同理解。在美國(guó)，傳統(tǒng)意義上的網(wǎng)絡(luò)安全主要指信息系統(tǒng)安全，防范的是未經(jīng)授權(quán)侵入信息系統(tǒng)的行為，側(cè)重于對(duì)數(shù)據(jù)及關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護(hù)。2015年年底，美國(guó)國(guó)會(huì)通過了《網(wǎng)絡(luò)安全法案》，該法案對(duì)“網(wǎng)絡(luò)安全”的范圍作了一定的擴(kuò)展，由單一的“信息系統(tǒng)安全”調(diào)整為“信息系統(tǒng)安全和網(wǎng)絡(luò)數(shù)據(jù)安全”兩部分，但是總體說來，美國(guó)的“網(wǎng)絡(luò)安全”仍然屬于“小安全”的范疇。而中國(guó)的“網(wǎng)絡(luò)安全”則是“大安全”的概念，其本質(zhì)上是從主權(quán)的高度出發(fā)，防御以網(wǎng)絡(luò)為手段對(duì)政治、經(jīng)濟(jì)、文化和社會(huì)等實(shí)施的內(nèi)外部威脅，因此其范圍要遠(yuǎn)寬于美國(guó)。筆者主張，對(duì)“網(wǎng)絡(luò)安全”外延的界定不宜過寬，這一方面是考慮到網(wǎng)絡(luò)安全監(jiān)管的可行性和實(shí)效，另一方面也是網(wǎng)絡(luò)安全國(guó)際合作與對(duì)話的實(shí)際需要。

另一個(gè)例子是《網(wǎng)絡(luò)安全法》配套規(guī)定的出臺(tái)。《網(wǎng)絡(luò)安全法》的某些條款將若干核心問題留給了相關(guān)部門進(jìn)一步制定具體的制度措施，作為該法的配套規(guī)定，包括第二十一條規(guī)定的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，第二十三條規(guī)定的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，第三十一條規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法，第三十七條規(guī)定的個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法等。目前，國(guó)家網(wǎng)信辦已發(fā)布《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》（2017年4月11日）、《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》（2017年5月2日）、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》（2017年7月12日），全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布了《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南（草案）》（2017年5月27日），公安部發(fā)布了《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見稿）》（2018年6月27日）等等。對(duì)于這些正在密集制定或已發(fā)布征求意見稿的配套規(guī)定，我們需要注意兩點(diǎn)：一是配套規(guī)定要遵從上位法的規(guī)定，二是配套規(guī)定之間應(yīng)當(dāng)協(xié)調(diào)一致，不能相互矛盾。之所以如此說，是因?yàn)閷?shí)踐中已經(jīng)發(fā)生了配套規(guī)定與上位法之間的矛盾現(xiàn)象?！毒W(wǎng)絡(luò)安全法》第三十七條只要求“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者”在業(yè)務(wù)需要時(shí)，對(duì)其在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)進(jìn)行出境安全評(píng)估，而《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》第二條則將出境安全評(píng)估的適用對(duì)象擴(kuò)大到了“網(wǎng)絡(luò)運(yùn)營(yíng)者”，這種擴(kuò)大是否妥當(dāng)值得商榷。在《網(wǎng)絡(luò)安全法》的適用中，我們要對(duì)這些問題進(jìn)行充分思考、合理把握。

二、全面啟動(dòng)網(wǎng)絡(luò)安全的區(qū)域性立法和行業(yè)性立法

《網(wǎng)絡(luò)安全法》作為一部基本立法，規(guī)定了網(wǎng)絡(luò)安全中最為基本的事項(xiàng)，具有普遍性和一般性，但這還遠(yuǎn)遠(yuǎn)不夠，我們還需要進(jìn)行區(qū)域性和行業(yè)性的專門立法，以提高立法的針對(duì)性與可適用性。

從區(qū)域性立法來看，京津冀地區(qū)網(wǎng)絡(luò)安全的一體化立法就值得考慮。京津冀地區(qū)是我國(guó)經(jīng)濟(jì)最具活力、開放程度最高、創(chuàng)新能力最強(qiáng)、吸納人口最多的地區(qū)之一，是拉動(dòng)我國(guó)經(jīng)濟(jì)發(fā)展的重要引擎，被公認(rèn)為繼長(zhǎng)三角、珠三角之后中國(guó)經(jīng)濟(jì)發(fā)展的“第三極”。北京作為國(guó)家的政治中心、文化中心、國(guó)際交往中心和科技創(chuàng)新中心，其核心地位更是不言而喻，也正因如此，它極易成為網(wǎng)絡(luò)攻擊的目標(biāo)，一旦發(fā)生網(wǎng)絡(luò)安全事件，其后果將不堪設(shè)想。可見，以北京為中心的京津冀地區(qū)在國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略中占據(jù)著舉足輕重的位置，有必要將京津冀網(wǎng)絡(luò)安全一體化立法問題納入視野。此外，京津冀網(wǎng)絡(luò)安全一體化立法也是落實(shí)京津冀協(xié)同發(fā)展戰(zhàn)略的具體舉措。協(xié)同發(fā)展戰(zhàn)略自2014年2月26日提出以來，歷經(jīng)四年多的發(fā)展，已在交通一體化、生態(tài)環(huán)境保護(hù)、產(chǎn)業(yè)升級(jí)轉(zhuǎn)移等重點(diǎn)領(lǐng)域率先取得突破，開始步入“快車道”，當(dāng)下需要尋找新的有力的突破口，網(wǎng)絡(luò)安全領(lǐng)域正是一個(gè)非常好的選擇。一方面是因?yàn)榫W(wǎng)絡(luò)無邊界，網(wǎng)絡(luò)安全整體上是“一盤棋”，在協(xié)同發(fā)展、一體化推進(jìn)方面具有得天獨(dú)厚的優(yōu)勢(shì)，在打破三省市行政壁壘時(shí)遇到的阻力會(huì)較?。涣硪环矫?，京津冀地區(qū)也是我國(guó)信息產(chǎn)業(yè)發(fā)展的重要集散地，2016年10月又獲批為跨區(qū)域類國(guó)家級(jí)大數(shù)據(jù)綜合試驗(yàn)區(qū)，因此，在網(wǎng)絡(luò)安全的人才、技術(shù)和企業(yè)分布等方面都占據(jù)著明顯優(yōu)勢(shì)，同時(shí)也帶來了網(wǎng)絡(luò)安全一體化立法的巨大需求和動(dòng)力。

另一方面，行業(yè)性網(wǎng)絡(luò)安全立法也必須得到高度重視。根據(jù)《網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定，該法的主要適用對(duì)象包括網(wǎng)絡(luò)運(yùn)營(yíng)者和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者。其中，《網(wǎng)絡(luò)安全法》附則部分第76條對(duì)于“網(wǎng)絡(luò)運(yùn)營(yíng)者”作了定義，但該定義幾乎適用于所有擁有或管理其網(wǎng)絡(luò)的中國(guó)企業(yè)，可以說，任何企業(yè)在中國(guó)通過運(yùn)營(yíng)網(wǎng)絡(luò)開展業(yè)務(wù)，及提供服務(wù)或收集數(shù)據(jù)的，就很可能包含在此法之內(nèi)。但我們必須看到，不同行業(yè)的網(wǎng)絡(luò)經(jīng)營(yíng)者在網(wǎng)絡(luò)安全方面負(fù)有的義務(wù)和責(zé)任應(yīng)當(dāng)是不同的，需要區(qū)別對(duì)待，因而需要在《網(wǎng)絡(luò)安全法》的統(tǒng)領(lǐng)下，分別制定適用于本行業(yè)的具體細(xì)則或規(guī)定，如此方可使《網(wǎng)絡(luò)安全法》的落實(shí)更加到位。

三、深化個(gè)人信息保護(hù)立法的相關(guān)理論研究

網(wǎng)絡(luò)安全的重要內(nèi)容之一是信息安全，個(gè)人信息安全則是信息安全中的“重頭戲”。事實(shí)上，我國(guó)個(gè)人信息保護(hù)立法在2003年就提上了議事日程，數(shù)個(gè)版本的《個(gè)人信息保護(hù)法》（專家建議稿）業(yè)已問世。不過，出于多種原因，個(gè)人信息保護(hù)立法的進(jìn)程一度停滯。今年9月7日，十三屆全國(guó)人大常委會(huì)正式發(fā)布未來五年的立法規(guī)劃，我們很高興地看到，個(gè)人信息保護(hù)法被列入到了一類項(xiàng)目中，屬于立法條件比較成熟、在本屆人大任期內(nèi)擬提請(qǐng)審議的立法項(xiàng)目，這意味著個(gè)人信息保護(hù)立法的出臺(tái)已經(jīng)指日可待。在這樣一個(gè)重要的歷史時(shí)期，學(xué)界應(yīng)當(dāng)對(duì)個(gè)人信息保護(hù)立法可能涉及到的一些重點(diǎn)問題展開深入研究。 這些問題包括：個(gè)人信息保護(hù)法的性質(zhì)及立法體例、個(gè)人信息的內(nèi)涵與外延、個(gè)人信息保護(hù)等級(jí)的劃分、個(gè)人信息權(quán)的確認(rèn)與性質(zhì)、個(gè)人信息權(quán)的權(quán)能、個(gè)人信息權(quán)的保護(hù)、個(gè)人信息利用與保護(hù)之間的平衡等。需要特別指出的是，個(gè)人信息保護(hù)的理論研究在十多年前曾經(jīng)是一股熱潮，涌現(xiàn)出了不少研究成果，但當(dāng)下的研究不應(yīng)當(dāng)是已有研究的簡(jiǎn)單重復(fù)，而應(yīng)當(dāng)是老問題新對(duì)策。原因很簡(jiǎn)單：時(shí)過境遷，我們已經(jīng)從當(dāng)時(shí)的小數(shù)據(jù)時(shí)代跨越到了人工智能時(shí)代，個(gè)人信息保護(hù)問題所生長(zhǎng)的土壤已然有了本質(zhì)的區(qū)別，因此必須要結(jié)合大數(shù)據(jù)、人工智能、量子科學(xué)、區(qū)塊鏈等新興技術(shù)的應(yīng)用進(jìn)行探討，千萬要杜絕新瓶裝老酒；此外，國(guó)際形勢(shì)和國(guó)內(nèi)狀況也較十多年前有了顯著的變化，我們一定要密切關(guān)注他國(guó)關(guān)于個(gè)人信息保護(hù)的立法與研究動(dòng)態(tài)，對(duì)國(guó)內(nèi)相關(guān)立法與近期研究成果也要進(jìn)行細(xì)致梳理和縝密分析。總之，要在全新的時(shí)代背景下開展研究，以結(jié)出豐碩的理論之花，為科學(xué)立法提供充足的依據(jù)。