中国法视角下的德国网络安全法

前  言:2018年11月13日晚7点,北大—腾讯问道安全讲堂第二讲在北京大学法学院凯原楼307会议室成功举行。本场讲座的主题为“中国法视角下的德国网络安全法”,主讲人是德国马普外国刑法与国际刑法研究所(以下简称“马普所”)东亚部主管周遵友博士,由北京大学法学院江溯副教授负责主持,评议嘉宾分别是北京大学法学院梁根林教授、车浩教授、王华伟博士,以及腾讯网络安全与犯罪研究基地的高级研究员门美子女士。

讲座伊始,江溯副教授介绍到,周遵友博士在德国弗莱堡大学取得博士学位,是德国马普所东亚部主管,同时也是香港英文报纸《南华早报》的专栏作者。

壹 中国法视角下的德国网络安全法

一、序  言

周遵友博士介绍到,德国的网络犯罪研究存在很多的跨学科研究,没有一部统一的网络安全法法典。其网络立法与2013年的“斯诺登事件”有关,该事件揭露了美国监控全球、在全球范围内充当黑客角色的现状,而德国情报部门与美国之间的数据共享也暴露出德国政府官员的行为失范和信息保护规范的不足。因此,为应对美国的全球监控,德国开始在法律界、政治界、经济界展开广泛讨论,并以“斯诺登事件”为契机,进行网络立法的重大突破。具体而言,德国不仅在本国范围内,还在整个欧盟范围内推动网络安全立法,即当在国内无法通过某部法律时,可以先在欧盟范围内通过,之后再根据“各成员国有义务遵守欧盟法”这个规定将欧盟法转化为德国法。

图 1:Edward Snowden

二、德国立法进展

(一)欧盟法

欧盟立法分为两种:一级立法和二级立法。一级立法的效力很高,相当于国内法,有很多二级立法是以一级立法为基础,包括:《欧盟成立条约》《欧盟运作条约》《欧盟基本人权宪章》。

二级立法包括:条例、指令、决定。三者的效力有所不同。其中,条例在欧盟各成员国直接生效,相当于国内法,无需转化,可以在判决中直接援引。指令是为实现欧盟范围内法律和谐化而找出的各成员国都能接受的最低标准,成员国有义务将指令内容转化为本国法律,法院不得直接援引。决定仅针对某个特定事项,不具有直接效力,需要各国立法推动。

图 2:EU law

德国在欧盟范围内的立法推动主要是通过条例、指令这两种方式。其中,最为重要的条例是欧盟《通讯数据保护条例》。而德国对欧盟法的转化或者直接实施,则是通过网络安全战略、具体立法进展等方式予以呈现的。

(二)德国网络安全战略

2011年战略提到三个基本原则:①均衡原则,即在网络领域强调安全与发展并重;②全面原则,即因信息技术的全球性特点,要加强面对外部危害的国际合作;③共享与协调原则,即与世界各国进行协调并分享自己的经验。

具体目标与措施有:①保护关键基础设施;②保护公民与中小企业的信息系统;③在行政管理中强化信息技术安全;④成立专门机构(如国家网络管理中心);⑤成立国家安全理事会;⑥在网络空间有效地打击犯罪;⑦联合行动;⑧使用可靠与可信的信息技术;⑨应付网络袭击等。

2016年战略则比2011年更加深入,包括四个行动领域:①数字化环境下的安全与自主的行为。侧重培养安全意识和提高安全能力,如提高所有使用者的数字能力、攻克数字出现难题、创造安全及便利的网上安全买卖的条件和安全电子身份等;②国家与企业在网络安全上的共同任务。强调“公私合规”,如保障关键基础设施、加强经济与网络服务商的合作、为服务者创造一个值得信赖的信息交换平台等;③有效且可持续的全国性网络安全格局,如继续发展国家网络防御中心、强化现场分析与反应的能力、深化网络空间的刑事追究、有效打击网络间谍行为与网络破坏行为等;④德国在欧洲与国际网络安全政策中的积极定位,如积极构造有效的欧洲网络安全政策、继续推动北约的网络防御政策、在国际上积极共塑网络安全、在提升网络能力上进行双边与地区协助及合作、强化全球化的刑事追究。

(三)立法进展

1. 2001年和2009年《联邦信息技术安全局法》(BSIG)。2001年《联邦信息技术安全局法》是德国最早的网络安全立法,其设立了一个专门机构——“联邦信息技术安全局”,该机构承担着网络安全管理职能。但因德国的金融系统、卫生医疗系统、能源系统等均有自己的联邦管理部门来承担安全管理,所以联邦信息技术安全局的权力非常小,只是一个统筹协调机构,不能发布指示和直接调查。

图 3:BSI  官网

立基于2001年《联邦信息技术安全局法》,一个新的法案(修改几十部法律)在2009年出现了,其将原本分布于各职能部门的权力收归联邦信息技术安全局,大大提升其权力,而各行业的权力部门如金融部门、食品部门等仅是辅助机构。

2. 2015年7月25日德国《网络安全法》。《网络安全法》仅是一个名称,不是一部法典。因为德国立法是针对问题型立法,即通过法律修改法案、法律改革法案,比如第一条规定修改此法、第二条规定修改彼法。而2015年《网络安全法》的目标是提升德国信息技术系统的安全性能,涉及《能源法》《电媒法》等多项法律的修改,其包含两个主要内容:一是,增加对关键基础设施的保护(如能源、通讯、交通、金融等);二是,确保其他职能部门的报告义务,如在出现安全事件、网络事故或者遭到网络袭击事件时,向联邦信息技术安全局进行汇报,由其进行协调打击和预防等。

在内容上,德国《网络安全法》对《联邦信息技术安全局法》增加了5个条文:第7a条(信息技术安全的调查)、第8a条(关键基础设施信息技术的安全)、第8b条(关键基础设施信息技术安全问题上的中央机构)、第8c条(适用范围)、第8d条(信息申请)。

3. 2016年4月27日欧盟《通用数据保护条例》(GDPR)(2018年5月25日生效)。该部法律相当于德国的国内法,直接适用于德国。在《网络安全法》第8a条中提到的“保密性”即涉及此处的“数据”。在德国,数据权是一个基本的宪法性权利,其在人口普查时就确立了个人信息自决权,属于一般人格权的分支权利。此后,该概念扩展到了世界各国,尤其是欧盟范围,被规定于《欧洲人权公约》中。

图 4:GDPR

在《欧洲人权公约》中还存在另外一个基本权利:“隐私权”,其有别于“数据保护权”。前者包括宗教信仰、政治信仰(团员、党员)、身体状况、性取向、私人生活、金融状况等;后者则指姓名、性别、工作单位之类的个人信息,其不属于隐私权范围,但如果对这些信息进行不恰当地收集、利用等,也会对个人造成影响。因此,要在隐私之外确立信息保护法,保护姓名、生日、电话号码、身份证号码等能够识别个人的信息。对此类信息的收集、处理、加功等行为设置一定规则,防止个人利益受到侵害。

4. 2016年7月6日欧盟《网络与信息系统安全指令》(NSI-Richtlinie)。该指令需要德国制定专门的实施法,进行转化。

图 5:Directive (EU) 2016/1148

5. 2017年6月23日德国《NSI指令实施法》(“第二部《网络安全法》”)。即在德国转化欧盟的《网络与信息系统安全指令》,并对《联邦信息技术安全局法》增加第5a条(在严重情形下恢复信息技术系统的安全或功能)。

6. 2017年6月30日德国《数据保护适应法》。该法是德国为了转化欧盟《通用数据保护条例》而制定的。因为德国现行法中存在与欧盟《通用数据保护条例》相悖的现象,为使两者相适应,需要对现有法律进行修改。该法在《联邦信息技术安全局法》中增加了全面的数据保护条款,所以在个人信息保护方面有所减弱。具体而言,新增条文有:第3a条、第6a条、第6条、第6b条、第6c条、第6d条、第6e条、第6f条。其中,第3a条是对目的绑定原则的突破。

第3a条规定,当初被以特定目的而收集的个人数据可被用于其他目的,只要其对于汇集、评估或者调查关于信息技术上的安全风险或者安全防范措施(Nr. 1 a),或者对于信息技术安全问题上的支援、咨询或者警告(Nr. 1 b)是必要的,以及并无理由相信:受害者对于排除数据之处理具有更高的受保护利益(Nr. 2)。

第3a条之所以给予如此广泛的授权,是因为考虑到联邦信息技术安全局(BSI)必须有条件使用所有可能的数据,以便预防安全风险的出现。只有如此,联邦信息技术安全局才能完成其保护国家安全与公共安全,以及保护公共利益之重大目标。

三、中国立法进展

(一)《国家网络空间安全战略》

1. 机遇和挑战。其中,重大机遇包括了信息传播的新渠道、 生产生活的新空间、经济发展的新引擎、文化繁荣的新载体、社会治理的新平台、交流合作的新纽带、国家主权的新疆域等。另外,也存在着诸多的严峻挑战,如网络渗透危害政治安全、网络攻击威胁经济安全、网络有害信息侵蚀文化安全、网络恐怖和违法犯罪破坏社会安全、网络空间的国际竞争方兴未艾。总而言之,网络空间机遇和挑战并存,但机遇大于挑战。

图 6:《国家网络空间安全战略》

2. 目标:和平(不同于德国)、安全、开放、合作、有序。

3. 原则:尊重维护网络空间主权(不同于德国,德国在网络空间主权问题上处于中美的中间状态),和平利用网络空间,依法治理网络空间,统筹网络安全与发展(我国侧重发展,德国侧重安全)。

4. 战略任务:坚定捍卫网络空间主权,坚决维护国家安全,保护关键信息基础设施,加强网络文化建设,打击网络恐怖和违法犯罪,完善网络治理体系,夯实网络安全基础,提升网络空间防护能力,强化网络空间国际合作。

(二)中国网络安全法

2016年11月17日《网络安全法》,总共有7章。

四、中德法律比较

(一)立法技术

中德法律在立法技术上存在着两点不同:一是,德国是问题解决型立法,每个法案都修改数部法律,是法律改革,而不是法典。二是,德国法律条文的内容比较务实,宣言性内容较少,可以直接被法院援引。相对的,中国法律中的宣示性原则性内容较多,法院无法直接援引。

(二)网络空间主权

中国将网络空间主权作为国家网络空间安全战略的第一原则。在德国,虽然也有学者主张网络空间主权,但一般不采取攻击性措施,德国处于介于美国(否定网络空间主权)和我国(主张网络空间主权)之间的中间状态。

(三)个人信息保护

德国强调对个人信息的保护,直接适用欧盟《通用数据保护条例》。而中国至今没有出台一部个人信息保护法,个人信息处于“裸奔”状态。于此相反,中国刑法却走在前面,通过部分条文的修订和司法解释来保护个人信息。

(四)网络安全刑法

德国的网络犯罪有:第202a条(窥探数据罪)、第202b条(截取数据罪)、第202c条(对于窥探和截取数据的准备罪)、第303a(修改电磁记录罪)、第303b条(破坏电脑罪)、第317条(妨碍电信设备罪)。

中国的网络犯罪有:第285条第1款(非法侵入计算机信息系统罪)、第285条第2款(非法获取计算机信息系统数据、非法控制计算机信息系统罪)、第285条第3款(提供侵入、非法控制计算机信息系统的程序、工具罪)、第286条(破坏计算机信息系统罪)、第286条之一(拒不履行信息网络安全管理义务罪)、第287条之一(非法利用信息网络罪)、第287条之二(帮助信息网络犯罪活动罪)、第288条(扰乱无线电通讯管理秩序罪)、第124条(破坏广播电视设施、公用电信设施罪)。

总体而言,相较于德国,中国网络安全的保护范围相对狭窄,仅限于重点国防、涉及国家秘密等方面的保护,而不重视对个人信息的保护。此外,中国有比较特殊的罪名,比如第287条之一、第287条之二、286条之一。

五、结  论

在网络安全保护方面,中德之间有很多不同之处:一是,中国强调网络空间主权,而德国的强调程度没有中国高;二是,中国强调发展,把安全放在第二位,而德国则把安全和个人数据保护放在首位,发展置于次位;三是,德国加强个人信息和数据保护,并带动整个欧盟在个人数据保护方面的立法发展。与美国相比,欧盟强调对隐私、个人信息的保护;而美国则强调言论自由大于隐私保护和个人信息保护。因此,欧美在网络安全和个人信息保护方面存在很大不同,这将使数据的跨境转移成为欧美之间不可调和的矛盾。

贰 嘉宾点评

王华伟博士首先提出一个问题——法律规定更严格、更规范,是否会导致信息产业的薄弱?国内有学者持肯定看法,认为相对德国数据保护的严格化,中国的数据保护比较宽松,由此导致了互联网产业的蓬勃。对此,王华伟博士认为这是值得商榷的,一个严格的规范制度可能会使产业走得更远,而德国信息产业的薄弱并不一定是法律政策上的原因。比如,德国网络服务提供者的免责体系在1997年就建立了非常完善的体系,且倾向于保护信息产业,甚至其目的之一就是促进本国信息产业的蓬勃发展,但现实中信息产业的发展却并不尽如设想。因此,规范的宽严与信息产业的发展之间没有直接关联性。

近年来,德国网络责任虽有强化趋势,但仍不同于中国。德国没有把责任落实到刑事层面,上升到刑罚地步,至多只是到违反秩序法层面的秩序罚问题。比如,2017年德国通过的《网络执行法》,虽然增加了网络平台、网络服务提供者的义务,但其仍有一个比较健全的商谈文化,会反思制定法的实际效果。与此相对,中国在行政法、民法等部门法没有跟上,立法技术也没有完善的前提下,冲动地制定刑事规则,予以犯罪化,可能会造成现实中的立法虚置现象,值得反思。

门美子女士认为,腾讯在协助公安机关打击、发现、控制网络犯罪和治理网络安全时,会遇到一些现实问题,比如《刑法》第287条之二的“帮助信息网络犯罪活动罪”该如何认定?现有罪名是否合理?有无适用空间?再者,现实中的恶意注册互联网账号行为,往往会为下游犯罪起到源头激发作用,当下游犯罪已经查证属实时,为何不认定共同犯罪呢?当下游行为不成立犯罪甚至连违法行为都不构成时,又该如何适用帮助信息网络犯罪活动罪呢?

当发现互联网犯罪现象时,是否都应当或者可以用刑法来进行规制呢?从刑法的位置、作用来看,用刑法来打击是否合适?通过互联网确实能在短期内获得大量非法利益,但在刑法之外是否还有更为合适的手段,本身也是值得讨论的问题。

车浩教授指出,在我国司法实践中,对侵犯公民个人信息罪过于强调国家对信息秩序的维护。当行为人以非法的方式披露个人信息时,即使个人表示同意,也会因对国家信息秩序的破坏而遭到刑罚。这是值得反思的,既然侵犯公民个人信息罪处于公民的个人权利保护之中,那么国家对数字信息秩序的维护仅是第二位的,第一位仍应是公民对个人信息的自我决定权,当公民自己同意披露时,本罪的保护法益即已不存在。

目前,我国的私权神圣、隐私权极其重要等观念都没有建立起来,对个人的数据保护观也没有建立起来,因此以牺牲个人数据、信息保护为前提的互联网、人工智能等信息产业才能在中国如此迅猛地发展。当以日常性生活技术构建了一套事实交流体系,即使其是非理性的,也因日常生活已经无法摆脱而必须接受和忍受这个体系。

梁根林教授认为,网络安全的另一层面是网络风险,在谈论网络安全时,就是在谈论网络风险的规制问题。这涉及诸多冲突价值的权衡与排序,比如德国侧重安全,美国侧重自由,中国侧重发展等,其与网络安全的宏观架构密切相关,这也会影响到信息产业技术的发展。

现代社会是信息自由流通的社会,因此,要想控制和规制网络风险,仅靠国家监管是不够的,仍需要对企业管理、国家监管、法律制裁等进行合理布局。我国目前的国家规制比较严格,但并不能由此忽视——网络风险规制和网络安全治理主要还是应由企业承担,政府监管和法律制裁是相对次要的。

此外,网络安全问题是以技术为前提和基础的,所以问题的解决最终仍要依靠技术,法律并不能解决所有问题。虽然《刑法修正案(九)》中加强网络犯罪规制的罪名存在问题,但刑法在相当程度上是宣示性的,仅起到威慑作用,实际中的网络安全治理仍是需要实践理性的介入,不可能主要依靠刑法。

信息社会以信息的流通、分享、传递为基础。我国目前的信息保护确实有问题,但由信息泛滥走到另外一个极端也是不合适的。比如刑法对侵犯公民个人信息罪的规定,即是从一个极端走向了另一个极端,是情绪性立法、应急性立法,因此对侵犯公民个人信息罪的合理界定仍需要进一步研究。

最后,梁根林教授也稍微回应了车浩教授的观点,比如在拐卖妇女罪中,即使被拐卖妇女同意甚至是请求被卖,也仍有必要予以处罚,因为人在法理上是不能被当作商品来买卖的,属于超个人法益,个人无权进行处分。同样,在公民个人信息保护中,当已经溢出个人法益范围、侵犯国家对信息秩序的维护时,仍有刑法评价之必要。

文字:张晓媛

排版:刑事法评论

声明:本文来自刑事法评论,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。