文│ 中国信息通信研究院互联网法律研究中心主任 方禹
2021年,网络领域重要立法密集出台,网络法治体系进一步充实完善,是网络立法繁荣发展的重要一年。广义来看,《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等相继出台实施,网络安全领域立法大为充实。同时,网络安全领域配套规则逐步明确清晰,为网络安全相关工作提供了确定的指引。
一、网络安全法律体系概述
2016 年,《网络安全法》正式出台,以网络安全法为基础和上位法依据,国家有关部门陆续出台配套法规、规章和规范性文件,逐步形成了系统的网络安全法律体系,主要覆盖网络运行安全、个人信息保护和网络内容管理等三个方面。
一是网络运行安全。《网络安全法》首要解决的就是网络作为对象的安全性问题,网络入侵、网络攻击等非法活动,对电信、能源、交通、金融等领域产生了严重威胁,云计算、大数据、物联网等新技术、新应用面临着更为复杂的网络安全环境。从体系上看,《网络安全法》对网络运行作出了一般性规定。在关键信息基础设施保护方面,出台了《关键信息基础设施安全保护条例》;在网络安全审查方面,出台了《网络安全审查办法》,并根据情况变化正在进行修订;在网络漏洞管理方面,出台了《网络产品安全漏洞管理规定》。通过系列配套规则,明确和完善了《网络安全法》相关要求。
二是个人信息安全。《网络安全法》对个人信息安全作出了原则性、概括性规定。以《网络安全法》为依据,在国家网信办统筹指导下,工信部起草了《移动应用程序个人信息保护管理规定》。国家网信办出台了《儿童个人信息网络保护规定》,牵头制定出台了《常见类型移动互联网应用程序必要个人信息范围规定》等配套规定。在《个人信息保护法》颁布实施前,《网络安全法》及其配套规定,为个人信息保护工作提供了依据和保障。
三是网络内容管理。《网络安全法》为网络内容管理提供了充实的上位法依据。国家网信办以《网络安全法》为基础,基本形成了“2+N”的网信法律体系。“2”是指两部部门规章,国家网信办修订出台《互联网新闻信息服务管理规定》,规范了互联网新闻信息服务活动;制定了《网络信息内容生态治理规定》,从治理的高度对网络信息内容管理提出了新要求。“N”是指一系列规范性文件,覆盖了音视频、网络直播、公众账号、移动应用程序、即时通信工具、跟帖评论、微博客等领域,为全面依法治网提供了有力的法治基础。
随着技术发展和普及,《网络安全法》时代的形势和客观条件都发生了变化。今年,《数据安全法》和《个人信息保护法》相继出台实施,《网络安全法》所规范的有关活动和对象也出现了变化和调整。
二、网络安全法律体系调整及内涵外延变化
伴随《网络安全法》的深入推进实施,特别是普法宣传、执法培训相关活动丰富化、常态化,《网络安全法》的生命力和活力持续得以释放。同时,在《网络安全法》实施过程中,网络技术与应用继续深入发展和普及,进一步改变人们生产、生活的组织方式,网络安全法律体系的内涵和外延出现变化和调整。
从网络法治体系的整体结构看,党的十八届四中全会和中央全面依法治国工作会议对法治建设及依法治网提出了总体性、纲领性要求。党的十八大以来,尤其是党的十九大以来,网络法治建设快速推进。网络法具有跨领域性,普遍认为网络法属于领域法学。法律科学不属于纯粹理论,而是实践理论。网络活动日益普及和丰富,网络空间逐步成为社会生活的基本载体,网络法治研究持续深入,即将或者已经能够支撑网络法成为独立的法律部门。学科的繁荣势必伴随着细分化、专业化的过程。从今年来看,网络安全法律体系作为网络法的主要组成部分,也发生了调整和变化,呈现出精细化、聚焦化的特点,有些内容逐渐独立成体系,从网络安全框架中剥离并与之并行。
按照 2016 年出台的《网络安全法》架构,相关法律主要包括网络设施和运行安全(包括关键信息基础设施)、网络信息安全等方面。其中,《网络安全法》以“网络信息安全”囊括了内容安全和个人信息安全,聚焦网络内容管理和个人信息权益。近年来,随着实践变化和理论研究深入,相应发生了一些变化,尤其表现为网络内容管理和个人信息保护逐步自成体系的趋势。
在网络内容管理方面,有关部门以《网络安全法》为上位法依据,出台了相关内容管理的部门规章和规范性文件,基本形成了完善的制度体系。党的十九大首次明确了“意识形态安全”的重要性,互联网和移动互联网技术发展,以及人工智能等新技术普及和应用,进一步拓展了网络空间的公共表达渠道和内容供给模式。2019 年底,国家互联网信息办公室出台《网络信息内容生态治理规定》,将管理思维转变为治理思维,体现多元主体共同参与,同时也将内容管理“二分法”(违法信息和合法信息)调整为“三分法”(违法信息、不良信息和合法信息)。在此基础上,网络内容管理立法体系相应进行了调整。今年以来,国家互联网信息办公室制定了《互联网用户公众账号信息服务管理规定》,启动了《互联网用户账号名称信息管理规定》修订工作。
在个人信息保护方面,《网络安全法》对个人信息保护做出了原则性、概括性规定,以保护个人信息为主要目的。而近年来,个人信息保护实践日益普遍,主体多元、类型多样、场景丰富,大规模收集、使用个人信息的活动越来越成为常态,侵害个人信息权益的行为更为普遍,个人信息保护已经成为广大人民群众最关心最直接最现实的利益问题之一。同时,个人信息具有丰富的数据价值,对其合理利用也是数字经济发展的基础之一。个人信息保护统一立法的全球趋势也十分明显。结合国内外情况,有必要制定全面性、基础性的个人信息保护法律。今年 8 月,《个人信息保护法》正式通过,并于 11 月起实施。《个人信息保护法》作为个人信息领域的基础性法律,对个人信息保护进行了整体安排和制度重构,立法目的既包括对个人信息的保护,也包括个人信息合理利用。《个人信息保护法》对《网络安全法》中有关个人信息保护的内容进行了大幅拓展和一定程度调整,规定了个人信息处理的合法性基础、个人信息处理者的义务、个人在个人信息处理活动中的权利、个人信息保护监管体制等主要内容,基本覆盖了个人信息保护的各个方面,下一步将继续形成个人信息保护法律体系。
从网络安全法律体系自身来看,其组成架构也发生了变化和调整。一方面,传统的网络安全问题还是比较突出,传统网络攻击形式,如分布式拒绝服务(DDos)攻击仍然呈现持续上升趋势,2021年 DDos 攻击的数量、规模较往年继续上升。《网络安全法》继续发挥应对传统网络安全的重要作用,今年以来,相关配套立法也相继出台,进一步规范网络安全相关工作。另一方面,5G、物联网等技术发展普及,不断改变网络连接方式和连接对象,物理空间和网络空间的边界不断融合、模糊,内生式网络安全问题不断产生,其中明显以数据为主要对象。网络治理问题很大程度上已经凸显为数据治理问题,网络安全问题正在不断聚焦成为数据安全问题。围绕数据展开的一系列讨论越来越丰富,越来越深入。相关数据立法工作也在加速推进,逐步形成数据治理顶层法律体系。数据安全、数据权属等问题倍受关注,各方都期待数据领域能够广泛达成共识,建立起明确的数据活动规则,谋求安全与发展平衡之道。
三、网络安全配套法规体系持续完善
今年,《网络安全法》已经实施了四年。2016 年,习近平总书记在网络安全和信息化工作座谈会上做重要讲话指出,维护网络安全,要“聪者听于无声,明者见于未形”。如今,《网络安全法》制定之时的所听所见也都成为现实的迫切问题。《网络安全法》的制度潜力不断释放,依然是网络治理领域的重要法治依据。2021 年,以《网络安全法》为上位法的配套规定相继出台,有关具体要求得以确定。
一是关键信息基础设施安全保护法律制度最终明确。关键信息基础设施保护是网络安全的重要部分,主要思路是将为社会运转提供基础性、关键性服务的设施列为关键信息基础设施,并予以保护。美国、德国、日本、澳大利亚等都通过立法对关键基础设施进行保护。今年 7 月,《关键信息基础设施安全保护条例》(以下简称《条例》)正式出台。作为《网络安全法》的重要配套立法,《条例》积极应对国内外网络安全保护的主要问题和发展趋势,为下一步加强关键信息基础设施安全保护工作提供了重要法治保障。《条例》界定了适用范围、监管主体、评估对象等关键信息基础设施安全保护相关基本要素,提出了安全保护要求及措施,确保对象具体、权责清晰、任务明确,为安全保护工作开展提供系统指引和工作遵循。
关键信息基础设施的范围一直是各方面关心的核心问题。《网络安全法》中有关三同步、供应链安全、跨境数据流动、风险评估等要求都仅适用关键信息基础设施运营者。确定关键信息基础设施运营者是开展关键信息基础设施安全保护工作的基础,有关主体十分关心自己是否以及如何被列入关键信息基础设施范围的问题。《条例》对此采取了主管部门认定和单独通知的流程,规定由负责关键信息基础设施安全保护工作的部门制定认定规则,组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并报国务院公安部门。
二是网络漏洞管理进一步完善。网络漏洞是网络安全中的主要隐患之一,需要有效的机制措施来防范和消除风险。《网络安全法》要求网络产品、服务提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当采取补救措施并通知用户和报告主管部门;要求网络运营者及时处理系统漏洞等安全风险;规定“向社会发布系统漏洞……等网络安全信息,应当遵守国家有关规定”。今年 7 月,工业和信息化部、国家互联网信息办公室、公安部联合制定出台《网络产品安全漏洞管理规定》,推动网络产品安全漏洞管理工作的制度化、规范化、法治化,提高相关主体漏洞管理水平,引导建设规范有序、充满活力的漏洞收集和发布渠道,防范网络安全重大风险,保障国家网络安全。
三是供应链安全要求进一步深化。供应链安全是适应网络安全全周期、长链条等特点的子命题之一。《网络安全法》中对关键信息基础设施运营者采购产品和服务,规定了国家安全审查(即网络安全审查)的要求。2020 年,国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、公安部等十二部门联合制定出台了《网络安全审查办法》,加强关键信息基础设施供应链安全,确保国家安全。今年 7 月,国家互联网信息办公室修订了该办法,并就《网络安全审查办法 ( 修订草案征求意见稿 )》向社会公开征求意见。征求意见稿将供应链安全的主体进一步扩大到数据处理者,调整范围覆盖数据处理活动,体现了数据活动在供应链安全中的风险因素。
四是具体领域进一步细化配套规则。7 月 5 日,国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、公安部、交通运输部制定出台《汽车数据安全管理若干规定(试行)》,对汽车数据处理活动中的重要数据和个人信息予以保护,维护国家安全、数据安全和个人权益。9 月 13 日,工业和信息化部发布《关于加强车联网卡实名登记管理的通知》,明确不同销售阶段车联网卡实名登记要求,防范车联网中的安全风险。9 月 15 日,工业和信息化部发布《关于加强车联网网络安全和数据安全工作的通知》,对车联网的网络安全和数据安全提出了基本要求。
五是反电信网络诈骗提上立法议程。今年 10 月,《反电信网络诈骗法(草案)》提交全国人大常委会首次审议,并向社会公开征求意见。草案的制定秉持了“小切入立法”以及“急用先行”的原则,对现实需求做出回应的同时,全面提升反电信网络诈骗工作的法治化、规范化水平。草案立足源头治理,打击“两卡”犯罪,强化实名制管理,突出新技术整治,完善救济措施,对内建立全链条整治工作机制,对外积极稳妥推进国际执法司法合作。
四、数据安全、个人信息保护、算法等立法快速推进
《网络安全法》在网络治理过程中发挥了重要的作用,也将持续提供制度供给。与此同时,数据安全、个人信息保护、算法等领域问题凸显,场景越来越丰富,活动越来越频繁,亟需立法规制。从历史意义和广义来看,这些法律法规也可以纳入网络安全法律体系的视角。
一是数据安全领域确立基础性法律。数据是数字经济的基础性战略资源,数据治理能力是国家竞争力的体现。2017 年,习近平总书记提出“要加强政策、监管、法律的统筹协调,加快法规制度建设。要制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度。”《数据安全法》今年 6月正式出台,数据治理制度实现从无到有的“突破”,成为我国数据安全领域基础性法律。《数据安全法》对数据分类分级、重要(核心)数据管理、数据安全审查等作出了明确规定,同时,在《网络安全法》的基础上,完善了跨境数据流动的管理要求,回应了关键信息基础设施以外的重要数据的跨境管理诉求。
二是跨境数据流动规则进一步构建完善。《数据安全法》《个人信息保护法》出台后,与《网络安全法》相衔接,完善了跨境数据管理制度。总体来看,跨境数据流动管理制度覆盖了关键信息基础设施运营者、重要数据处理者和个人信息处理者等主体,包括安全评估、认证、标准合同等具体手段。今年 10 月,国家互联网信息办公室对《数据出境安全评估办法(征求意见稿)》公开征求意见,该办法以《网络安全法》《数据安全法》《个人信息保护法》为上位法,细化和明确了我国跨境数据安全自由流动的具体规则,是我国数据治理框架性法律正式成型后,在数据出境安全管理系列规范中具有关键意义和地位的配套规则。
三是数据安全配套立法快速启动。今年 11 月,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》向社会公开征求意见,对网络数据处理活动中涉及的个人信息保护、重要数据安全管理、跨境数据流动规范等内容进行了全方位、多层次的细化规定。该条例将成为《数据安全法》的主要配套规则之一。
四是算法对经济和社会的影响逐步扩大,滋生了“大数据杀熟”“信息茧房”等损害公众利益,破坏正当竞争,扰乱社会秩序的行为。有关部门在高位阶立法对算法概括性要求的基础上,进一步深入推进,从内容安全、社会管理、市场秩序等多维度价值导向层面对算法推荐进行规范。
2021 年 8 月,国家互联网信息办公室发布了《互联网信息服务算法推荐管理规定(征求意见稿)》,对算法推荐技术作出专门管理规定。该规定以互联网信息服务为基础,从算法的公平公正及信息内容角度对算法推荐服务提出了各项具体细化的要求,明确了“算法推荐技术”的范围、算法推荐服务的监管原则与规则以及具体的分级分类、备案、安全评估等监管手段。9 月,国家互联网信息办公室、中宣部、教育部、科技部等九部委印发《关于加强互联网信息服务算法综合治理的指导意见》,提出要利用三年左右时间,逐步建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理格局。
五、下一步展望
网络安全是网络空间的基础性保障问题,网络空间越来越成为社会治理的主要载体,网络安全问题不仅是国家安全的主要内容,也可能成为社会安全的底层逻辑。今年,网络安全相关配套立法得以长足完善,同时网络法治精细化发展趋势,也使得部分领域从网络安全体系中抽离和分立,促进整体网络法治体系的结构化完善。
目前,《数据安全法》和《个人信息保护法》已经相继实施,但部分事项还需要配套规定予以明确。《网络数据安全管理条例》《数据出境安全评估办法》等正在加快制定之中,但数据安全、个人信息保护从功能和目标上来看,需要结构化的制度体系,中短期内仍然有大量的配套立法任务。从下一步来看,一方面,要持续补齐,尽快出台数据跨境管理、数据安全管理相关配套立法,确定有关法律制度的具体要求,为具体执法监督提供指引。另一方,面也要观察总结,适时结合新的发展变化,调整、形成思路和方法,修订或者制定相关网络安全法律规定,为我国网络安全工作持续提供法治保障。
(本文刊登于《中国信息安全》杂志2021年第12期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。