文│ 北京市公安局网络安全保卫总队五支队 周永战 刘鸣 田延伟
《中华人民共和国网络安全法》(下文简称《网络安全法》)自2017年6月1日颁布实施以来,在我国网络空间治理、信息安全保护等方面发挥了积极的作用,成为我国网络安全治理历程上的一个里程碑事件。就实施过程来看,《网络安全法》在打击网络犯罪、保护公民个人隐私、规范网络运营者主体责任、维护国家安全等方面发挥了不可替代的作用,但部分内容以原则性规定为主,相关规定在执行层面相对宽泛,不利于具体实施落实,有待在后续立法过程中逐步完善。
一、对《网络安全法》实施三周年的总体看法
《网络安全法》对网络运行、信息安全、检测和响应、监管处罚等方面进行了详细规定,围绕网络空间主权原则、网络空间安全与信息化发展并重原则、共同治理原则等进行了顶层设计,在数据安全保护方面按照数据安全、个人数据保护及国家层面数据保护三个层次进行了递进式的要求和规定。
(一)对网络安全防护各个环节进行详细规定
《网络安全法》针对网络安全防护中涉及的网络运行、信息安全、检测和响应以及监管处罚等方面,均按照网络运营者和关键信息基础设施运营者两个维度,进行了一般规定和特殊规定,明确不同主体的职责和任务,以及相应的处罚规定。比如在网络运行方面,对网络运营者“留存相关网络日志不少于六个月”“应当要求用户提供真实身份信息”“应当制定网络安全事件应急预案”等进行了明确的规定,进一步明确了网络运营者应当适用的一般规定,要求所有网络运营者都必须遵守和执行;而对关键信息基础设施运营者一方面进行了清晰的界定,并对“设置专门安全管理机构和安全管理负责人”、“制定网络安全事件应急预案,并定期进行演练”、“对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助”等内容进行了明确规定,要求关键信息基础设施运营者履行不同于一般网络运营者的更高责任要求。
(二)对基本原则进行了明确和进一步阐述
在《网络安全法》颁布之前,我国关于网络空间治理和信息安全防护的要求散见于各类法规、政策和文件要求中,在执行过程中既不利于统筹把握,也存在法律位阶不高的现实掣肘。随着《网络安全法》的颁布实施,对网络空间主权原则、网络空间安全与信息化发展并重原则、共同治理原则等进行了明确的阐述,不仅对网络安全的理念与指导思想从法律层面予以了确认,更是对习近平总书记关于网络安全方面的理论思想的具体贯彻和集中体现,是中国特色社会主义法治建设中的重要一环。
(三)在具体措施上有明显的创新
《网络安全法》的颁布实施,解决了我国一段时间以来网络空间安全治理主管责任不清晰,存在“九龙治水、责权不清”等现象的弊端,同时在网络实名制、数据跨境流动等方面的明确规定,为管理执法层面提供了切实可行的法规支撑,保证了监管力度和执行效率。有关研究指出,《网络安全法》对“1+X”监管制度的明确,进一步强化了对互联网市场的监管,一定程度上解决了曾经存在的互相推诿、协作不力等问题,兼具“自上而下”及“自下而上”的监管模式,提升了管理部门执行效率,降低了监管部门相关人员出现玩忽职守、滥用职权等现象的发生。而在网络实名制和数据跨境流动等方面的具体规定,为监管部门在实践过程中提供了切实可靠的法律依据,有力解决了原有网络实名制立法等级较低的问题,同时从国家安全的高度对数据安全的重要性进行了明确,为国家实施数据安全保护提供了强而有力的法律依据。
二、积极实践应用,加大执法力度
(一)强化学习宣贯,营造浓厚氛围。《网络安全法》实施以来,我们采取多种措施,多种形式,从多层面,多角度,多领域,加强学习宣贯。一是内部,先后邀请公安部领导、网络安全专家、执法办案民警对《网络安全法》进行讲座授课,从网络安全的发展过程以及立法过程全面理解。二是外部,受社会各界邀请,民警分行业、分领域,结合案例,谈体会、讲意义,先后组织教育、卫生、国资等行业的讲座12次,在整个社会层面大力宣讲,使《网络安全法》深入民心。三是借鉴经验。多次组织领导和民警参加公安部及相关省市的交流和座谈,先后到昆明、杭州等地学习先进经验,确保法律法规形成实践。
(二)积极实践应用,加大执法力度。通过对全市范围内风险隐患较多的重点网站开展集中执法检查,围绕管制刀具、弩、剧毒化学品、招嫖、赌博、毒品等违法信息,指导互联网企业全面深化网上清理整治。按照《公安机关互联网安全监督检查规定》,针对未落实网络安全措施、存在严重安全隐患的互联网企业,依据《网络安全法》等法律法规,依法给予行政处罚,维护网上安全秩序。一是依法处罚违法信息高发的互联网企业。针对“JJ”网络游戏App用户账号、互动百科网、“猫途鹰”、“名师屋”等网站存在招嫖、赌博等违法信息,依据《网络安全法》给予限期改正、罚款等行政处罚。二是依法处罚超范围采集公民个人信息的互联网企业。针对牛股王App存在超范围采集用户个人信息及手机权限的情况,依据《网络安全法》对该公司给予行政警告处罚。此案例为北京市公安局网安部门首次适用《网络安全法》对涉嫌超范围采集用户个人信息的互联网企业开展行政执法。三是依法处罚未落实实名登记信息的互联网企业。针对互联网应用分发企业(北京奇客创想科技股份有限公司),以及运营商(北京千秋大业信息科技有限公司),存在未按要求留存接入用户真实身份信息的情况,分别给予两家公司限期改正及罚款的行政处罚。
(三)坚持标本兼治,强化综合治理。我总队广泛调动各方积极性,特别是落实互联网企业主体责任,建立网络社会群防群治力量,提升网络社会治理能力和水平。一是注重部门联动,建立网络安全联合执法机制。总队多次会同市网信办、市工商局、市卫健委等部门约谈企业主要负责人,加大联合执法力度,形成我市网络安全执法合力。二是注重教育培训,建立网络风险防范化解机制。专门邀请部局领导,为全局网安系统业务骨干及全市100家重点互联网企业共300余人开展专题部署和培训,进一步提高了网站管理人员的法律意识和工作的主观能动性。
(四)制定工作指引,强化建章立制。按照《公安机关互联网安全监督检查规定》的要求,我总队组织专业技术支撑单位召开专门会议,结合互联网运营商各业务类型技术特点,从备案数据上报、等保测评、网络与信息安全技术防范措施、远程漏洞扫描等方面,创新制定了《运营商检查工作指引》,规范运营商现场检查工作流程。同时,按照从实际出发,突出检查重点、抓准问题要害的整体思路,研究制定《运营商安全监督检查表》,细化现场检查及远程技术检查的标准和方法,形成指导分局运营商检查工作的依据和抓手,推进全市运营商执法检查工作向前发展。
三、问题与思考
《网络安全法》的颁布实施,既是我国网络空间安全防护方面的一项开创性举措,同时也是互联网立法层面的一次探索和尝试,相关内容仍然存在完善和提高的空间。同时,互联网的快速发展,新业态、新技术的层出不穷,也要求我们不断地提升治理水平,不断完善立法和司法的各个环节。
(一)在执行层面迫切需要更具可操作性的实施细则。《网络安全法》在网络安全保护的各环节均作出了具体而明确的规定,特别是在监管处罚方面明确了具体的标准,但在具体执行层面依然存在标准模糊、模棱两可的情况,亟需配套的司法解释予以进一步明确和界定。比如,《网络安全法》中没有对网络信息系统停机整顿的处罚,且在法条论述上比较粗犷笼统,操作性不强,执行困难,需要“两高”、公安部等尽快出台实施细则或司法解释,对相关法条进一步细化分解。再比如,在网络实名制方面,《网络安全法》虽然提出了明确的要求,但在具体执行方面往往存在认识不统一、执行标准不一致的情况,不同的企业、不同的应用对于实名认证的落实程度不一,特别是实名制在与游戏、金融等特殊应用领域的具体要求配套落实过程中,还需要探索具体的操作办法,需要从司法解释、实施细则以及行业标准等方面进一步予以完善支撑。
(二)重视监管职权而信息安全保护有待提升。《网络安全法》在明确网络运营者应尽的义务和责任方面着墨较多,对监管主体的监管责任都进行了详尽的规定,但同时应该看到,在网络安全防护和信息安全保护方面,对公权力和私权利保护程度的平衡,对法律秩序价值和自由价值之间的取舍,是需要加以考量的部分。如何在保证网络实名制等具体措施,在预防网络诈骗、减少网络暴力,整治低俗有害信息层出乱象的过程中发挥实际作用,又能做到充分保障公民的信息安全,确保公民个人隐私信息不受过度采集和不法侵犯,是立法者需要进一步探索和研究的内容。
(三)应对突发事件相关制度需进一步明晰。对于突发重大社会事件的处置,各国因维护国家安全和公共秩序的需要,均确立了对网络通信进行临时管制的制度措施。但随着互联网的高速发展,物联网、云计算、大数据等应用不断深入社会各个方面,网络通信的管制已不再局限于原有的限制公民个人通信自由的范畴,而可能扩展到对公民人身权和财产权产生重要影响。因此,有必要从法律层面对采取网络安全方面的应急管理措施予以明晰,对于国家、省市等不同层级的突发公共安全事件的界定、措施发布和应对方案予以明确,才能更好地确保网络安全应急管理制度的完善。
(四)裁量标准不统一。从行政处罚的结果看,不同区域的裁量标准也不一致。表现为:同样性质的案件,不同分局做出不同的行政处罚;如同样被黑客攻击的案件,有的分局做出了罚款的处罚,有的分局做出了警告的处罚。
(五)司法鉴定存在一定困难。目前,对于处罚证据中的司法鉴定,由哪个鉴定机构鉴定,出具什么样的报告,哪些专家的意见,鉴定程序和鉴定结论等,没有具体规定和具体样本,需要进一步研究和探讨。
四、意见和建议
一是建议继续加快《网络安全法》配套法规的立法。《网络安全法》作为网络安全领域的基础法,其内容大多为基础性、原则性的规定,需要制定配套的法规来实现其立法目的。为适应快速变化的网络发展,我们应当不断改进网络治理手段,提升网络治理能力,加快《网络安全法》的配套法规立法。同时,要让法律法规在实践中不断完善,尽快将前期试行和征求意见稿的法规转正。
二是建议加强各相关主管部门统筹,形成真正意义上的网络监管合力。从《网络安全法》的实践层面来看,各相关主管部门为了保证各自工作顺利开展,纷纷从自身角度出台大量行政法规和地方政府规章来规范网络空间。这些部门间本身就存在职能上的交叉,加之各部门在制定部门规章时缺乏横向沟通,仅局限于自身工作需要,造成制定的规章内容重复,甚至相抵触,无法形成对网络监管的合力。建议相关部门在出台部门规章时,要加强部门间的统筹协调,明确各部门监管职责,形成有效互补,共同担负起维护网络安全的责任。
三是建议加强社会推动,大力宣传提升震慑力度。要加强对执法案例的宣传力度,通过电视、广播、网络等新闻媒体,宣传重要信息系统安全保卫执法的经典案例。让社会公众提升责任单位安全意识,扩大网安影响力,提升震慑力度,产生更广泛的社会效应,来推动重要信息系统安保工作的开展。
(本文刊登于《中国信息安全》杂志2020年第6期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。