作者:中国法学会刘金瑞
2017年6月1日,《网络安全法》正式生效实施。《网络安全法》作为我国网络安全的基本法,提出了网络安全法治的基本制度框架,主要包括关键信息基础设施保护制度、网络安全等级保护制度、个人信息保护制度、网络信息内容管理制度、网络产品和服务管理制度、网络安全事件应急响应制度等。这些制度设计相对而言比较原则和简单,出台一系列贯彻落实《网络安全法》的配套规定成为《网络安全法》实施一周年的鲜明特点。本文对一年来的配套立法做一简要梳理,在此基础上提出《网络安全法》后续配套立法的展望和建议。
一、《网络安全法》实施一周年配套立法的回顾和梳理
《网络安全法》生效实施一年以来,国家互联网信息办公室、工业和信息化部和公安部等出台或正在制定一系列重要的配套规定,这些配套规定在制度建构方面各有侧重,是落实和细化《网络安全法》基本制度的主要举措。以下通过表格列出这一年以来的主要配套立法,并按领域对其中的重要立法做一简要梳理。
1. 关键信息基础设施保护配套规定
关键信息基础设施保护是《网络安全法》新规定的核心制度,配套立法的重点在于进一步明确关键信息基础设施的范围和监管体制,进一步明确关键信息基础设施运营者的义务。对此《关键信息基础设施安全保护条例(征求意见稿)》规定了总则、支持与保障、关键信息基础设施范围、运营者安全保护、产品和服务安全、监测预警和检测评估、法律责任以及附则,共8章55条。对于关键信息基础设施的范围,该征求意见稿第18条规定了可能纳入关键信息基础设施保护范围的各种“单位”,包括政府机关、能源、金融等行业领域的单位,电信网、广播电视网、互联网等信息网络,广播电台、电视台、通讯社等新闻单位等。但是该条列举“单位”的各项表述,在逻辑层次上并不一致,关键信息基础设施保护的具体范围,实际上是要确定纳入保护范围的具体的“网络信息系统”,规定到“单位”这个层面并没有解决根本问题。鉴于该征求意见稿实际上有多个条文和《网络安全法》的表述基本一致,没有完成制度细化落实的任务。有些尝试细化的规定,仍具有相当的不确定性,相关主体的合规遵从义务仍不明确,这使得该征求意见稿至今仍未通过,该条例将成为2018年网络安全立法的重中之重。
2. 网络安全等级保护配套规定
《网络安全法》总结我国信息安全等级保护的经验,规定了新的网络安全等级保护制度,配套立法的重点在于如何根据《网络安全法》的新要求在信息安全等级保护制度基础上实现制度更新。对此,《网络安全等级保护条例(征求意见稿)》规定了总则、支持与保障、网络的安全保护、涉密网络的安全保护、密码管理、监督管理、法律责任、附则等八个部分。该征求意见稿将等级保护制度扩大到所有网络运营者,并根据网络在国家安全、经济建设、社会生活中的重要程度,以及遭受破坏之后的危害程度等因素,将网络分为五个安全保护等级。对网络运营者明确了十一条“一般安全保护义务”,同时还对第三级以上网络的运营者规定了八条额外的“特殊安全保护义务”。明确了网络运营者对已运行和新上线系统开展上线检测、等级测评、安全整改、自查、产品服务采购、技术维护、监测预警和信息通报、数据与信息安全保护、应急处置等方面工作的要求。网信、公安、保密、密码等主管部门按职责分工负责监管。此外,还进一步加大了监督和处罚力度,以切实落实网络运营者的网络安全主体责任。
3. 个人信息和数据保护配套规定
个人信息保护和数据出境管理是实践中非常突出的难点问题,过去一年配套立法的重点在于明确个人信息和数据出境监管的范围和要求。《个人信息和重要数据出境安全评估办法(征求意见稿)》明确了数据出境安全评估的重点在于数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险等,规定数据出境安全评估适用于所有网络运营者,这一宽泛的要求引发了境内外的高度关注。实际上这并不符合《国家安全法》第25条和《网络安全法》第37条的规定,前者规定要实现“关键基础设施和重要领域信息系统”的数据安全可控,后者规定了“关键信息基础设施运营者”在我国境内收集和产生的“个人信息和重要数据”才适用境内留存和出境评估,并不是针对所有的网络经营者。该办法因争议较大至今尚未通过。
4. 网络信息内容管理配套规定
网络信息内容管理配套立法的重点在于针对新业态新领域如何落实信息内容安全管理主体责任。国家互联网信息办公室在过去一年相继出台多个规定,对信息内容管理行政执法程序和互联网新闻、互联网论坛社区、互联网公众账户、互联网群组、互联网跟帖评论、微博客等新业态作出专门规范,以全面确保互联网信息内容的安全可控。《互联网信息内容管理行政执法程序规定》,明确了执法主体和范围,建立了执法督查制度,以行政执法办案为主线明确执法程序,全面规范了管辖、立案、调查取证、听证、约谈、决定、执行等各环节的具体程序要求。对于互联网新闻信息服务、互联网论坛社区服务、公众账户信息服务、群组信息服务、跟帖评论服务、微博客信息服务的专门规定,主要规定相关服务提供者要配备与服务规模相适应的专业人员和技术能力,建立健全用户注册、信息审核、应急处置、安全防护等内部管理机制,并履行保护用户个人信息等义务。
5. 网络产品和服务管理规定
《网络安全法》为了确保网络产品和服务安全可控,规定了网络安全审查制度和网络关键设备和网络安全专用产品目录管理制度。网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供,细化这一制度成为配套立法的重点。《网络产品和服务安全审查办法(试行)》规定,关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。审查的重点是网络产品和服务的安全性、可控性。审查的方式包括实验室检测、现场检查、在线监测、背景调查。国家互联网信息办公室会同有关部门成立网络安全审查委员会,网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。截至目前,国家互联网信息办公室会同工信部、公安部等有关部门已经制定了《网络关键设备和网络安全专用产品目录(第一批)》。
6. 网络安全事件应急响应规定
网络安全事件应急响应是关键信息基础设施保护制度和网络安全等级保护制度的重要内容,配套立法的重点在于针对现实潜在的重大网络安全威胁制定充分的应对预案,从目前的规定看主要采取了分级研判应对的思路。中央网络安全和信息化领导小组办公室印发的《国家网络安全事件应急预案》,明确了网络安全事件监测预警、应急处置、预防保障等重要内容。其中网络安全事件被分为四级,为特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件,并规定了对应的预警和应急响应,并对迟报、谎报、瞒报和漏报网络安全事件等情况规定了责任追究制。该预案规定中央网信办统筹协调组织国家网络安全事件应对工作,建立健全跨部门联动处置机制,工业和信息化部、公安部、国家保密局等相关部门按照职责分工负责相关网络安全事件应对工作。此外,工业和信息化部还制定了《工业控制系统信息安全事件应急管理工作指南》和《公共互联网网络安全突发事件应急预案》。
二、《网络安全法》后续配套立法的展望和建议
《网络安全法》实施一年以来,相关配套规定成为贯彻落实该法的有力抓手,可以预见配套立法在未来一段时间仍是我国网络安全基本法律制度实施的重中之重。目前,很多配套规定尚在制定之中,有些重大问题尚未达成广泛共识,有些配套立法也出现了一些不容忽视的问题。针对这些问题,结合《网络安全法》的制度设计,本文对后续配套立法提出以下展望和建议。
1. 配套立法需进一步理顺网络安全监管体制
从《网络安全法》和目前的配套规定看,网络安全监管权限划分仍不够清晰。全国人民代表大会常务委员会执法检查组就明确指出:网络安全监管“九龙治水”现象仍然存在,权责不清、各自为战、执法推诿、效率低下等问题尚未有效解决,法律赋予网信部门的统筹协调职能履行不够顺畅。从关键信息基础设施的监管主体看,《网络安全法》第32条原则上规定了关键信息基础设施分行业、分领域主管部门负责制,《关键信息基础设施安全保护条例(征求意见稿)》第4条规定“国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作”。但“国家行业主管或监管部门”的表述还是比较原则,该条例本身就是国务院的行政法规,建议在该条例中直接把“按国务院规定的职责分工”规定下来,进一步明确领导不同行业关键信息基础设施保护的主管部门,明确国家网信部门、工信部门、公安机关等各自职责范围和执法权限。正因为目前规定不够清晰,实践中已经出现不同监管部门针对同一单位进行关键信息基础设施保护重复检查而且标准不一的问题,给网络运营商增加了不必要的负担。网络安全工作涉及领域多、范围广、任务重、难度大,系统性、整体性、协同性很强,应该进一步理顺网络安全的监管体制,强化国家网信部门的统筹协调职能。要明确各职能部门的权责界限和接口,形成网信、工信、公安、保密等各部门协调联动机制,既要防止职能交叉、多头管理,又要避免执法推责、管理空白,不断提高执法效率,有效维护网络空间的安全。
2. 《网络安全法》的核心配套制度亟待完善
虽然过去一年出台了不少《网络安全法》的配套规定,一定程度上细化落实了《网络安全法》的规定,但有些配套规定还存在简单重复上位法规定、还停留在原则性规定的问题,有些核心配套法规制度亟待完善。比如,《关键信息基础设施安全保护条例(征求意见稿)》就存在这样的问题。关键信息基础设施保护制度是网络安全法一项重要制度,但对于什么是关键信息基础设施、关键信息基础设施认定的标准和程序、关键信息基础设施运营者数据出境评估的范围和程序、关键信息基础设施如何进行年度检测评估等,目前尚存在认识不统一、规定不明确的问题,需要配套法规尽快予以规定。
再比如,网络安全法虽然对数据安全和利用作了规定,但现实中数据运用比较复杂,数据脱敏标准、企业间数据共享规则等,仍然需要有关配套规定予以明确。对此,全国人民代表大会常务委员会执法检查组明确指出,要加快《关键信息基础设施安全保护条例》《网络安全等级保护条例》的立法进程,对实践中大家普遍感觉难以把握的问题,如什么是关键信息基础设施、如何认定关键信息基础设施等作出明确规定,并对等级保护制度和关键信息基础设施保护制度落实过程中的部门职责进一步予以明确。此外,网信、工信、公安等部门要尽快制定配套规章或者文件,细化法律中网络数据管理、网络安全监测预警和信息通报、网络安全审查、网络安全认证和安全检测结果互认等制度。
3. 《网络安全法》的补充配套立法亟需健全
目前,数据合法利用和安全管理已经成为亟待解决的监管难题。从前文分析看,限于《网络安全法》第37条的规定,以“个人信息和重要数据出境安全评估办法”试图解决所有数据安全管理的问题并不可行。不得不指出的是,《网络安全法》虽然第四章名为“网络信息安全”,但主要规定的是个人信息保护,并未对数据合法利用和安全管理作出全面而充分的规定。换言之,《网络安全法》在此问题上存在立法“漏洞”,亟需作出补充性配套立法。《国家安全法》第25条为数据安全管理提供了上位法依据,该条规定要“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。这需要对纳入监管范围的数据进行类型化研究和相应制度设计。以数据跨境安全管理为例,从域外立法经验来看,跨境数据监管的类型至少包括个人数据、重要的技术数据、敏感的政府数据、敏感的商业数据以及非法内容数据等。管制非法内容数据,如规制儿童色情、恐怖主义信息等。管制技术数据,如西方33国缔结的《瓦森纳协定》明确将与管制商品和技术清单内容直接相关的各类技术数据纳入受管控范围。建议尽快对数据安全管理的场景类型、问题挑战、手段措施等进行研究,在此基础上制定健全具有针对性、可操作性的《网络安全法》补充配套立法。
(本文刊登于《中国信息安全》杂志2018年第7期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。