《中华人民共和国网络安全法》是为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定的法律。2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,自2017年6月1日起施行。《中国网信》在今年第3期刊登《加快建立网络综合治理体系全面提升治网管网能力水平》,并进一步提出“推动修订网络安全法等基础性法律”。笔者抛砖引玉,对网络安全法的修订谈几点建议。
一、定期评估法律实施效果并及时修订法律
2017年8月,为了解《全国人民代表大会常务委员会关于加强网络信息保护的决定》实施情况,着力推进法律实施中重点、难点问题的解决,全国人大常委会开展了“一法一决定”执法检查,并于2017年12月形成最终报告,涉及法律制定、实施的有两方面问题。
一是关于部门职责。网络安全监管“九龙治水”现象仍然存在,权责不清、各自为战、执法推诿、效率低下等问题尚未有效解决,法律赋予网信部门的统筹协调职能履行不够顺畅。如果不能合理定位,准确厘清部门之间的职责,等级保护制度和关键信息基础设施保护制度落实过程中也会产生执法不协调问题。二是关于制度细则。作为网络安全管理方面的基础性法律,网络安全法不少内容还只是原则性规定,真正“落地”还有赖于配套制度的完善。在论述这一问题时,检查组列举了大量案例,涉及法律中的多项制度和多个条款。网络安全工作中长期以来存在管理体制机制难题并未通过立法得到解决,反而对立法和执法效果产生了不利影响。网络安全问题太新太复杂,立法时“摸着石头过河”是常态。甚至有些问题本身还在发展之中,立法时尚未完全暴露。这是网络安全法制定时面临的特殊历史条件,固然可以理解,但终究需要解决。为此,确有必要定期评估法律实施效果并及时修订法律。
二、建立评价网络安全法的标准
评价网络安全法十分困难,因为可能的视角太多,且不同人的诉求、观念差异极大,难以达成共识。故提出四个评价网络安全法的标准,而不对法律作出评判结论。一是法律实施与解释机制的完备性。专业领域的法律法规,必定有一个主要部门负责推进实施,即各项制度要有明确的执法主体,要有部门对法律实施作出总体安排。最简单的指标是,法律中各项条款有无明确落地时间表?是否进行定期检查与评估?特别是公众对一些条款的疑问,有无部门负责解释?一些条款在执行时可能存在理解错误,是否有部门去厘清?一些社会机构出于商业利益曲解网络安全法,有没有部门去纠正?甚至更严重的是,不同政府部门对法条有相异的解释,该听谁的?
二是实际执法案例所援引的条款比例。网络安全法的执法案例数不胜数,这是好现象,却不能作为全面评价一部法律的标准。应当统计现有执法案例所援引条款在法律中的比例。如果大量执法案例主要集中在个别条款,这本身就是问题。此外,网络安全法的立法定位很明确,主要解决网络自身安全问题,信息内容安全不是该法重点。但从实际效果看,公众的感觉是相反的,这值得深思。
三是细则与配套法规的出台比例。网络安全法中很多制度的细则和配套法规都曾缺失,但时过境迁,当前有必要作一些统计:这些细则和配套法规怎么样了?已经制定的占多少比例?特别是有两类问题需要回答。第一类是涉及监管对象的关键概念是否已定义清楚?第二类是细则和配套法规未出台前相关制度的实施状态是什么?公众很担心“突然执法”。
四是遗留问题的解决情况。网络安全法曾对不同问题拿出了几种态度。有的问题已经研究清楚,立法过程只是将相关制度上升为法律规定而已;有的问题则只是刚被注意到,尚未形成解决方案,故只能原则性表述。对此,参与起草的同志毫不讳言,公众也给予了充分理解。但这些问题后来解决了吗?解决了多少?这也有个比例和程度问题。
三、关于“法律责任”的修改
网络安全法在实施面临的最大问题是威慑力不够。例如,在天津市互联网信息办对“视觉中国”行政处罚一案中,一些人质疑监管部门“雷声大雨点小”,仅处罚30万元了事。但该案中,监管部门表示这是“从重处罚”,一度引发社会热议。问题实质是,由于“网络运营者”的范围太广,既包括大型互联网企业,也包括中小微企业,网络安全法只能将经济处罚额度向最低看齐。根据“视觉中国”被处罚的案由,50万元是上限。这显然不合时宜,立法时就曾有过激烈讨论。为此,网络安全法的首要修订任务,是在“法律责任”中,引入对违法行为按比例(是否按营业额比例则可进一步论证)处罚机制。我国个人信息保护法已采取这一方法,解决了对不同规模机构的执法适用性问题。
1.厘清、细化某些条款
澄清和细化的目的是消除社会疑问,有些条款有模糊不清之处。第八条的国家网信部门职责。由于“统筹协调”和“监督管理”本身相斥,需明确哪些工作需要统筹协调,哪些工作可直接实施“监督管理”。第三十二条的关键信息基础设施安全规划。这一概念借鉴了美国相关经验,但却未像美国一样规定格式和工作机制。第三十六条的保密协议。法律要求,关键信息基础设施的运营者采购网络产品和服务时应当签订安全保密协议,但这与传统保密协议有何区别并不明确?第三十八条的强制检测和认证制度。哪些需要进行安全认证,哪些又需要进行安全检测?安全检测后是否需要再进行认证?这些问题都缺少答案。第五十一条的网络安全监测预警信息统一发布机制。因“统一规定”尚未明确,导致很多部门、机构仍在各自发布网络安全监测预警信息。第五十四条和第五十六条的“省级以上人民政府有关部门”,目前该部门的具体所指不是很明确。
2.某些条款需要调整和完善
调整的原因是情况发生了变化,已与原有设计不符,或原有规定存在瑕疵。第二十三条的强制检测和认证制度。法律要求对检测和认证结果实施互认,但检测和认证本身不能互认,实际工作中也没有出现“互认”的情况。第二十六条的网络安全信息发布制度。目前工业和信息化部已牵头印发了关于漏洞信息的发布规定,但其他信息发布规定尚属空白,原条款可据此调整重点。第三十五条的网络安全审查制度。目前该制度的范围已经大大扩充,加入了数据安全审查内容,故需对上位法的相应要求进行调整。第三十七条的数据出境安全评估制度。该条仅限于规范关键信息基础设施的数据出境行为,有明显疏漏,国家后来进行了补充,故需对原条文进行修正。第四章网络信息安全主要涉及个人信息保护,鉴于个人信息保护法已经发布实施,可删减该章多数内容。
这针对的是原条款本身没问题但实践中有了更好方案,或者出现了新需求的情况。第十二条的违法有害信息界定。《网络信息内容生态治理规定》等对此有新规定,并界定了九种“不良信息”,可据此对上位法进行完善。第十三条的未成年人保护规定。考虑到《未成年人网络保护条例》正在制定之中,有必要对原条款进行细化、展开,从而为条例提供更充分的上位法依据。第二十四条的实名制。实践中出现了多种不同的实现方式,有的引发了隐私保护争议,建议对其进行细化,并与国家正在推行的网络身份认证公共服务相衔接。第二十五条的网络安全事件应急制度。鉴于目前行业、地方预案与国家预案缺少衔接,有必要对此提出进一步要求。第三十九条的网络安全信息共享制度。这是个很复杂的制度,涉及数据权属、责任追究等很多因素,不宜只作原则规定。如有可能,应将其作为一项重大制度,设立专门条款。
3.需要新增一些条款
网络安全法发布实施以来,出现了一些需立法规范的新情况,或某些方面的风险急剧上升,有必要制定新的条款。
对网络安全等级保护制度进行详细规定。网络安全法第二十一条虽然提出了网络安全等级保护制度,但只列举了具体的网络安全措施,并不能构成网络安全等级保护的制度设计,如定级、备案、测评等工作,需作较多补充。对供应链安全增加新要求。随着网络空间国际博弈的加剧,供应链安全风险持续上升,现有规定过于简单,距离防范重大风险的需求有较大距离。规范公安机关、国家安全机关执法行为。网络安全法规定了对公安机关、国家安全机关的执法配合要求,但很多机构希望能够明确其调取数据等执法活动的程序。针对极端情况下互联网技术断供、商业平台获取军事情报价值数据等问题,有必要设立专门章节对网络产品和服务提供者提出更多规范要求。