“上天入地”，還是“度權量利”
——《網絡安全法》(草案)述評

丁道勤

(京東集團 法律研究中心，北京　100176)

?

“上天入地”，還是“度權量利”
——《網絡安全法》(草案)述評

丁道勤

(京東集團 法律研究中心，北京100176)

摘要：為應對網絡安全日益嚴峻的威脅與風險挑戰，近年來全球主要國家和地區紛紛加強網絡安全戰略制定和立法活動。在此背景下，全國人大2015年制定公布了《網絡安全法》(草案)，草案確立了網絡安全監管體制、關鍵信息基礎設施、安全審查制度、重要數據境內留存制度、個人信息保護制度等亮點制度，但仍存在立法理念“重賦權賦能，輕保護程序”、個人信息保護立法與網絡安全立法價值取向的悖論、關鍵信息基礎設施中的網絡服務提供者標準和范圍有待明確，合法偵聽的職權和程序不明確、網絡通信臨時限制的適用條件偏低等諸多問題。制定網絡安全法應堅持“安全和發展并重、管理和保護齊行”的立法理念，在賦權賦能監管機構管理的同時，明確網絡安全保護的程序和流程，以改觀我國長期以來網絡安全立法“重安全、輕發展，重管理、輕保護”的現狀。

關鍵詞：網絡安全法；關鍵信息基礎設施；安全審查；個人信息保護；網絡服務提供者

“風能進，雨能進，國王不能進”這句膾炙人口的法諺*這個廣為傳頌的名言出自英國的一位首相威廉·皮特。原文為：“即使是最窮的人，在他的小屋里也敢于對抗國王的權威。屋子可能很破舊，屋頂可能搖搖欲墜；風可以吹進這所房子，雨可以打進這所房子，但是國王不能踏進這所房子，他的千軍萬馬也不敢跨過這間破房子的門檻?！薄帮L能進，雨能進，國王不能進”道出了一個基本常識，那就是公權力和私權利有明確的界限，必須恪守“井水不犯河水”的原則。參見趙可：《風能進，雨能進，國王不能進》，載《人民法院報》2011年3月4日。，深刻闡釋了公權力與私權利的關系和界限問題，而這一名言或可作為網絡安全立法領域一個鮮活的反向注腳。

一、 《網絡安全法》草案的立法背景

為了應對網絡安全日益嚴峻的威脅與風險挑戰，近年來全球主要國家和地區紛紛加強網絡安全戰略制定和立法活動。例如，英國政府在2009年6月公布了《網絡安全戰略》，又于2011年11月發布了《新網絡空間戰略》；澳大利亞政府2009年11月發布了《網絡安全戰略》；美國總統府于2011年5月發布了《網絡空間國際戰略》及《網絡空間安全法案》，2014年11月出臺《網絡安全增強法》；歐盟2013年啟動《網絡信息安全指令》立法，目前已進入最后的審議階段；日本政府將《保衛國民信息安全戰略2010—2013》作為日本的網絡空間戰略，2014年11月通過了《網絡安全基本法》；韓國2011年8月制定了《國家網絡安全綜合計劃》。與此同時，西方國家紛紛通過立法、規劃、戰略等多種政策工具，不斷推動國家關鍵信息基礎設施安全保護的立法進程。例如歐盟2008年的《關鍵基礎設施認定和安全評估指令》，美國先后制定發布了《1996年國家信息基礎設施保護法》、《1996年關鍵基礎設施保護行政令(第13010號)》、《2001年信息時代關鍵基礎設施保護行政令(第13231號)》、《2002年關鍵基礎設施信息保護法(CIIA)》、《2003年關于國家關鍵基礎設施認定、優化和保護的國土安全總統令(第7號HSPD7)》、《2013年美國促進關鍵基礎設施和網絡空間安全保護性政令》等多部法律和行政法規。

“沒有網絡安全就沒有國家安全”。同理，沒有網絡安全，也沒法保障信息安全。從1994 年以來，我國信息安全法律保障能力有了全面的提升，初步建立了國家信息安全法律體系。[1]我國近年來更是加快了網絡安全方面的立法步伐。2015年7月1日，十二屆全國人大常委會第十五次會議通過《國家安全法》，明確要求“維護國家網絡空間主權、安全和發展利益”，“實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控”，網絡安全成為國家安全的重要組成部分。在《國家安全法》的大框架之下，為解決我國網絡安全領域存在的突出問題，以制度建設提高國家網絡安全保障能力，掌握網絡空間治理和規則制定方面的主動權，切實維護國家網絡空間主權、安全和發展利益，順應國內外日益復雜的網絡安全態勢，迫切需要在國家層面制定一部統一的網絡安全基本法。在此背景下，2015年7 月 6日，全國人大網公布《網絡安全法》(草案)(下文簡稱“《草案》”)，向社會公開征求意見[2]。

二、 《網絡安全法》草案的亮點制度

草案共七章六十八條。主要制度內容包括：

(一) 網絡空間主權和網絡安全戰略(第1、11條)

《草案》第一條開宗明義提出立法目的是維護網絡空間主權和國家安全。在數字化時代中，網絡空間是國家經濟社會運行的重要載體，網絡安全已經成為國家安全的重要內容。例如，聯合國信息社會世界峰會通過的《日內瓦原則宣言》明確表示：“互聯網公共政策的決策權是各國的主權”。[3]

如上文所述，國家層面的網絡和信息安全戰略在美國*網絡已經成為繼領土、領海、領空之后的“第四空間”，將成為未來一個國家和民族發展賴以生存的空間，同時，第四空間將直接對現實空間起到制約作用,其戰略地位遠在領土、領海和領空之上。美國已經為更大范圍地實行信息霸權做準備。參見陳寶國：《美國國家網絡安全戰略解析》，載《信息網絡安全》2010年第1期。、歐盟、日本、韓國和俄羅斯等國家和地區陸續出臺。其中，美國和韓國出臺了多個網絡空間戰略和規劃，歐盟是出臺單獨的信息安全戰略，俄羅斯和日本是在國家戰略或者國家外交戰略中涵蓋網絡信息安全戰略。有鑒于此，《草案》設專章規定網絡安全戰略及規劃。

(二) 網絡安全監管體制(第6條)

《草案》以法律形式明確了各管理職能部門權責，尤其明確了網絡信息安全的執法部門，將原來有關政策文件中的互聯網安全管理的國家互聯網信息部門(以下簡稱國家網信部門)、工業和信息化部門、公安部門的“三駕馬車”架構法律化，并完善各主管部門在維護網絡信息安全工作中的協同配合機制。

(三) 網絡安全等級保護制度(第17條)

《草案》將現行的網絡安全等級保護制度*現行法規規定的是“信息安全等級保護制度”。上升為法律。要求網絡運營者按照網絡安全等級保護制度的要求，采取相應的管理措施和技術防范等措施，履行相應的網絡安全保護義務。

(四) 網絡關鍵設備和網絡安全專用產品安全認證檢測制度(第19條)

《草案》對網絡關鍵設備和網絡安全專用產品的安全認證和安全檢測制度作了必要的規范，要求符合相關國家標準、行業標準的強制性要求，并經過安全認證合格或者安全檢測符合要求后方可銷售。

(五) 網絡實名制的網絡身份管理制度(第20條)

《草案》拓展了2012年《全國人大常委會關于加強網絡信息保護的決定》所規定的網絡實名制范圍，從法律層面新增了一類，即在“網絡接入、辦理電話等入網手續或者為用戶提供信息發布服務”基礎上，新增“域名注冊服務”。同時規定網絡身份管理制度，即國家支持研發安全方便的電子身份認證技術，推動不同電子身份認證技術之間的互認、通用。

(六) 合法偵聽協助制度(第23條)

《草案》授權偵查機關在為國家安全和偵查犯罪的需要時，可依法要求網絡運營者提供必要的支持與協助。

(七) 關鍵信息基礎設施運行安全保護制度(第25-29條、第32條、第33條)

在國際層面，主要國家和地區全面開展和完善對關鍵信息基礎設施保護的立法活動，都將關鍵基礎設施的網絡安全作為保護的重點，立法多聚焦于關鍵信息基礎設施的事前“安全性”和遭受到攻擊之后的“可恢復性”上?！恫莅浮芬幎岁P鍵信息基礎設施的范圍，并對保護辦法的制定、負責安全保護工作的部門、運營者的安全保護義務、有關部門的監督和支持等作了規定。

(八) 關鍵信息基礎設施網絡產品服務安全審查制度(第30條)

《草案》在關鍵信息基礎設施安全保護制度里規定了網絡產品服務的安全審查制度，但留下立法開口，規定具體辦法由國務院規定。

(九) 關鍵信息基礎設施重要數據境內留存制度(第31條)

《草案》也是在關鍵信息基礎設施安全保護制度里規定了關鍵信息基礎設施的運營者在境內存儲公民個人信息等重要數據的要求，確需在境外存儲或者向境外提供的，應當按照規定進行安全評估。

(十) 個人信息保護制度(第34-39條)

《草案》在堅持《全國人大常委會關于加強網絡信息保護的決定》所確立的原則基礎上進一步完善了相關管理制度，主要包括公民個人信息收集規則(第35條)，處理規則、信息泄露通知(第36條)，刪除更正權(第37條)及不受竊取、非法獲取、出售或非法提供權(第38、39條)。

(十一) 網絡信息管理制度(第40、41、43條)

《草案》在《全國人大常委會關于加強網絡信息保護的決定》基礎上，明確規定了網絡運營者處置違法信息的義務(第40條)，以及發送電子信息、提供應用軟件合法發布或者傳輸信息義務(第41條)。

《草案》特別授權有關主管部門要求停止傳輸、采取消除等處置違法信息的權力，以及有關主管部門對境外的法律法規禁止發布或者傳輸的信息，采取包括采取防火墻在內的阻斷措施。(第43條)

(十二) 重大突發社會安全事件的網絡通信臨時限制制度(第50條)

在《突發事件應對法》、《電信條例》和《無線電管制規定》等法律法規的基礎上，為維護國家安全和社會公共秩序，處置重大突發社會安全事件，《草案》對網絡通信管制作了規定。

此外，《網絡安全法》草案還確立了總體國家安全觀指導下的網絡主權和戰略規劃制度、各項網絡運行安全保障制度、監測預警與應急處置制度及法律責任等方面內容。

三、 《網絡安全法》草案存在的不足

如上文所述，《網絡安全法》草案規定了眾多亮點制度，但仍存在有待完善的地方，主要表現為以下幾個方面：

(一) 立法理念“重賦權賦能，輕保護程序”

在《國家安全法》這樣框架性的法律之下，作為配套法律的《草案》也延續了賦權管控的立法理念——賦權、賦能于執法機關，為采取各項防范和處置網絡安全的措施提供法律依據。在應對全球范圍的日趨嚴重的網絡安全威脅和挑戰的當下，這樣的立法理念具有重要意義。在此立法理念的指導下，《草案》從網絡運行安全、網絡信息安全和監測預警應急處置三大方面進行了規定。

應當說，網絡安全立法領域是一個集中體現了公權與私權激烈沖突和對抗的區域。為了維護網絡安全秩序，必然加大公權力的監管力度,這樣勢必會對行政相對人的私權利有所限制，私權需要做出適當讓渡，但是，必須明確劃定網絡安全管理的程度和界限，防止公權力濫用，避免過度限制行政相對人的合法權益。包括美國等在內的主要西方國家以及我國實踐，都試圖在公權和私權的博弈中尋求平衡。在現代法治社會和依法治國的當下，如何調和、平衡公權與私權之間的利益沖突，如何在日益復雜開放的網絡環境下保障網絡安全，值得深入思考。

不容忽視的是，“重實體，輕程序”和“重管理，輕保護”是我國網絡信息安全法律制度中比較突出的問題，對于嚴重影響行政相對人合法權益的多項措施，如果欠缺相應的程序性規定，在實踐中容易被濫用，而且也會降低法律的可預期性。在“重賦權賦能，輕保護程序”的立法理念之下，據筆者不完全統計，《草案》共出現了19次“有關部門”、15次“有關主管部門”和3次“有關法律、行政法規”，以及3次由國務院規定具體辦法(第17條的“網絡安全等級保護具體辦法”，第25條的“關鍵信息基礎設施安全保護辦法”及第29條“關鍵信息基礎設施采購網絡產品和服務的安全審查具體辦法”)，2次國務院網信辦部門會同國務院有關部門制定辦法(第19條“制定、公布網絡關鍵設備和網絡安全專用產品目錄”和第31條“關鍵信息基礎設施境內留存重要數據安全評估辦法”)，留下諸多立法開口?！恫莅浮焚x權、賦能“有關部門”采取上述十多個管理措施，如果沒有相應明確的權限和程序性規定，“有關部門”真可以“上天入地”地進行執法了。

(二) 個人信息保護立法與網絡安全立法價值取向的悖論

國外紛紛通過制定專門的數據保護法或個人信息保護法來規范個人信息所有者、持有者、使用者有關個人信息收集、處理和利用等方面的活動，其立法價值取向是維護公民的個人信息權等基本權利，規范個人信息的合理流動和秩序。而網絡安全法本質是為了維護國家安全、社會安定和不特定公民權益，而采取對個人信息權在內的公民私權予以必要限制，某種程度構成了對個人信息安全的威脅。從價值取向方面，個人信息保護立法和網絡安全立法存在明顯區別。

《草案》大篇幅吸收和照搬《全國人大常委會關于加強網絡信息保護的決定》有關個人電子信息保護的條款(不知道是有意還是無意，在進行“法律移植”過程中，《草案》刪除了該決定中與“網絡服務提供者”相并列的主體——“其他企業事業單位及其工作人員”)，主要規定了網絡運營者的個人信息收集、處理和利用的各項規則和流程，但對于個人信息收集、處理和利用的另外一大主體——政府機關和其他企業事業單位卻一筆帶過(第39條只提“負有網絡安全監管職責的部門”)或根本不提。由此導致，在同一部法律的《草案》中，存在網絡安全保護和個人信息保護的內在價值沖突，這樣大篇幅規定個人信息保護的基本制度，一方面在一定程度上造成了立法資源的浪費，另一方面也擠壓了未來專門出臺《個人信息保護法》的立法空間。

(三) “網絡”和“網絡安全”定義有失準確，與立法內容不相匹配

從網絡層次來分，廣義上的網絡安全主要包括設備設施安全、網絡層安全和應用層安全，狹義的網絡安全就是設備設施和網絡層安全，應用層安全主要是信息安全，也即保護信息資源，防止不良的外來信息的入侵，和防止信息的泄漏、修改和破壞，保證信息的安全和可靠。信息安全是非實物性的、屬于應用層面的安全問題。

網絡安全和信息安全二者相互關聯、相互影響、相互作用、密不可分。信息安全首先要建立在網絡安全之上，信息安全的內容既有網絡的運行安全(防止入侵)，也有信息本身的安全(信息加密等)，此外還包括構成網絡的設備本身的安全。因此，在我國先前的法律政策文件多使用“網絡與信息安全”的表述，如《國家安全法》使用的是“網絡與信息安全”，但在成立中央網絡安全和信息化領導小組以后，基本將“網絡與信息安全”的提法統一為“網絡安全”。

“網絡”和“網絡安全”是《草案》的“法眼”，但《草案》對“網絡”和“網絡安全”的定義過于狹窄，有失準確，沒有包括信息安全，更是與“網絡空間主權”沒有關聯，這樣與立法內容明顯不相符合。從《草案》的立法內容來看，此法的“網絡安全”實為“Cyber Security”，而非“Network Security”?！熬W絡”實指 “網絡空間”(Cyberspace)。這點也從《草案》的“網絡運行安全”和“網絡信息安全”兩大章節的區分得以印證。

(四) 網絡責任主體的表述不統一

《草案》規定了眾多網絡責任主體，據筆者不完全統計，最多的“網絡運營者”出現了27次，“關鍵信息基礎設施的運營者”出現9次(另外還出現一次“國家機關政務網絡的運營者”)，“網絡產品、服務的提供者”出現4次，“電子信息發送者”和“應用軟件提供者”各出現3次，“電子信息發送服務提供者”和“應用軟件下載服務提供者”各出現2次，“網絡服務提供者”出現2次。在同一部法律里出現了規制對象的用語不統一，《草案》的相關規定有失嚴謹性。

(五) 變相新設許可有悖國務院取消行政審批的大趨勢

根據2007年《國務院關于第四批取消和調整行政審批項目的決定》(國發[2007]33號)[4]，國務院明確取消“通信電子質檢機構設立與授權”行政審批項目。另據2012年《國務院關于第六批取消和調整行政審批項目的決定》(國發[2012]52號)[5]，國務院明確取消“安全技術防范產品銷售審批”項目。

《草案》第19條規定了網絡關鍵設備和網絡安全專用產品需要由具備資格的機構進行安全認證合格或安全檢測符合要求后方能銷售，這樣就相當于新設兩項行政許可，一是必須由國家網信部門會同國務院有關部門制定公布網絡關鍵設備和網絡安全專用產品目錄，納入目錄的設備和產品必須經過安全認證合格或安全檢測符合要求，才能進入市場銷售。二是必須有具備資格的機構進行安全認證和安全檢測。至于該機構如何設立和授權，沒有明確規定。該條新設或變相新設的兩項行政許可事項與國務院持續取消行政許可簡政放權的大趨勢相悖。

(六) 關鍵信息基礎設施中的網絡服務提供者標準和范圍有待明確

關鍵信息基礎設施安全立法保護是國際通行做法 國際上對關鍵基礎設施保護(Critical Infrastructure Protection，簡稱CIP)已有多年，各國都出臺了一系列相關政策，并成立或指定相關部門負責此項工作。例如在美國，國家關鍵基礎設施和重要資源被分為信息技術(IT)、通信、農業和食品、國防工業基地、能源、醫療和公共衛生、國家紀念碑和標志、銀行和金融、水、化學品、商業設施、關鍵制造業、大壩、應急服務、核反應堆/核原料和廢料、郵政和物流、交通和政府設施等18個領域，其中的IT 和通信兩個獨立的基礎設施領域屬于信息基礎設施，而其他16個領域中都有其Cyber組成部分，與兩個基礎設施領域共同構成信息基礎設施。在澳大利亞，CII 被稱為NII，是CI的一個分支。德國出臺《信息基礎設施保護國家計劃》，定義了信息基礎設施。此處參見任衛紅：《分析國外信息基礎設施關鍵性評價方法審視我國等級保護定級工作》，載自2012年第3期《信息網絡安全》。，從法律層面規定關鍵信息基礎設施安全保護制度有利于清理我國關鍵信息基礎設施安全保護領域各種現行法律、行政法規以及部門規章中相互沖突、相互重復或不合時宜的規范內容，有利于爭奪在關鍵信息基礎設施和網絡空間新興領域的安全立法的國際社會規則的話語權，縮小與發達國家的法律制度鴻溝。

在美國“棱鏡門事件”爆發后，引發我們對美國“八大金剛”(思科、IBM、谷歌、高通、英特爾、蘋果、甲骨文、微軟)的高度關注和憂慮。有鑒于此，《草案》第25條首次界定了關鍵信息基礎設施范圍，明確將“網絡服務提供者”納入其中。但是，對于“網絡服務提供者”的“用戶數量眾多”的界定標準，到底是以用戶數量達到一百萬、一千萬為標準，還是一億呢，《草案》沒有明確的量化指標。此外，對于提供何種類型的網絡或服務的“網絡服務提供者”，也沒有予以明確。

更為關鍵的是，將“用戶數量眾多的網絡服務提供者所有或者管理的網絡與系統”納入“關鍵信息基礎設施”，與國際上大多數實行關鍵信息基礎設施保護的其他國家的通行做法相違背。例如，美國定義“關鍵信息基礎設施”(critical information infrastructure)，是指一旦中斷運行或受到破壞，將對國家安全和經濟安全構成嚴重影響的金融、電信、交通、能源、應急救援(emergency services)和政府核心事務(government essential services)等行業或業務信息系統的關鍵部位。*此處參見《2002年美國關鍵基礎設施信息法》(Critical Infrastructure Information Act Of 2002)。歐盟是通過先對“關鍵基礎設施”進行定義，再對“關鍵信息基礎設施”(CII)劃定范圍。歐盟《關鍵基礎設施指令》將關鍵基礎設施定義為“那些資產或其中的部分資產，它們是維護包括供應鏈、健康、保險、安全、人民的經濟或社會福祉在內的關鍵社會職能所必不可少的”。OECD理事會在2008年4月通過的《關鍵信息基礎設施OECD理事會建議》定義為，關鍵信息基礎設施(CII)指具有……特征的互聯的信息系統和網絡，其破壞和中斷會給健康、安全、公民經濟福利、政府或國家的有效運作帶來嚴重影響。日本國家信息安全管理機構——NISC對關鍵基礎設施的定義是：在國民生活及社會活動中，提供不可或缺服務的社會基礎，具有顯著的難以替代性，因此停止其功能后將會對社會經濟活動帶來極大影響。

(七) 合法偵聽的職權和程序不明確

美國、英國、歐盟、俄羅斯等主要西方國家都制定了專門的合法偵聽法律法規，合法偵聽范圍已擴展至全球，合法偵聽領域已經由傳統通信偵聽擴展至互聯網偵聽。國際上并沒有關于合法偵聽的嚴格統一定義，如美國界定合法偵聽是“為了國家安全需要，根據國家法律明確規定并且經過授權機構的法律授權，由具有合法偵聽權的機構在法律授權范圍內對通信內容進行攔截偵查”。因為偵聽是一種行使公權力的表現，會對公民權利帶來嚴重的侵犯，因此，主要西方國家都規定了比較嚴格的偵聽授權批準程序和權限。

為了保護公民的通信自由和通信秘密，在一般情況下，任何組織和個人均不得以任何理由對網絡信息內容進行檢查，這是基本的常態規則。只是在為了維護國家安全或偵查重大犯罪需要的特殊情況下，具有偵聽授權的機構在法律授權的范圍和嚴格程序下，可以采取偵聽或攔截措施，要求網絡服務提供者提供必要的偵聽支持和協助。這是一個例外情況?！恫莅浮返?3條僅規定例外情形，沒有重申和明確基本的常態規則，有些本末倒置，而且缺乏必要的偵聽支持和協助的具體范圍和程序流程。

(八) 個人信息的刪除權及數據泄密通知缺乏操作性

《草案》第37條賦予公民享有個人信息“刪除權”(其與國際上熱議的“被遺忘權”仍有明顯區別)，與《侵權責任法》和《信息網絡傳播權保護條例》所設立的相對精準的“通知刪除”規則相互矛盾。網絡運營者只有在用戶提出符合條件通知的情況下，才能斷開相關鏈接或刪除有關信息。泛泛地規定，公民有權要求刪除其個人信息，容易引發用戶的惡意投訴或濫用刪除權。

如何判定哪些屬于“違法法律、行政法規的規定或者雙方的約定”情形，《草案》沒有不明確，主觀隨意性太強。對于沒有“違反法律、行政法規的規定或者雙方的約定”的收集、使用其個人信息，是否可以要求網絡運營者刪除呢。此外，《草案》也沒有規定本條的相應罰則條款。

(九) 網絡通信臨時限制的適用條件偏低，程序不明確

《草案》將使早前一些原本分散的規定或實踐做法予以制度化和法律化。例如，2009年“7·5事件”就采取了切斷新疆的互聯網網絡和電話聯系的臨時限制措施。

一般認為，網絡信息安全緊急狀態是指由于自然災害、計算機系統本身故障、組織內部和外部人員違規(違法)操作、計算機病毒或蠕蟲及網絡惡意攻擊等因素引起的,對計算機信息系統的正常運行造成嚴重影響的危機狀態。同時，根據緊急狀態涉及范圍的大小、影響程度的嚴重與否，對緊急狀態的啟動進行分級管理。[6]但是《草案》規定的“維護社會公共秩序的需要”這一網絡通信臨時限制的適用條件偏低，容易被有關地方或有關部門濫用。而且在移動互聯網和云計算、大數據時代，互聯網金融、互聯網醫療和物聯網等業務的飛速發展，互聯網滲透到社會的方方面面，與人們的人身權和財產權緊密關聯，一旦采取網絡通信臨時限制，必然會對用戶的財產權乃至人身權帶來重要影響乃至重大損害。對于網絡通信限制這樣嚴重影響人身權和重大財產權的臨時措施應當由全國人大決定或備案，而非由國務院直接決定。此外，《草案》沒有明確規定網絡通信臨時限制的范圍和時間(一周還是一個月)及其相應的審批權限和程序。

四、 完善《網絡安全法》草案的建議

政府監管(又稱政府規制)是政府依據規則和規范，運用公共權力，對國家的社會經濟生活進行約束和控制。[7]政府監管也覆蓋到網絡安全領域。但是，政府對網絡安全的監管并非任意妄為，有效監管是其正當性基礎和衡量標尺。有效監管的前提是充分了解監管領域的特性，界定監管的范圍，采取科學的監管決策程序，并以行之有效的監管措施最終建立起該領域良好的市場秩序。[8]美國保障網絡安全與維護公民基本權利平衡的立法努力，對我國具有重要的借鑒意義。[9]為了實現網絡安全領域的有效監管，建議從以下方面完善草案相關內容：

(一) 建議從廣義上定義“網絡安全”，明確將信息安全相關內容納入其中

信息網絡安全法的目的，在于對網絡上的行為的正當與否做出實體意義上判斷，進而保護利益主體的合理利益(主要由“網絡社區法律規范”來解決)，并通過程序性規則防止這些利益被不正當的行為所侵害(主要由“技術性法律規范”來解決)。[10]網絡安全是本法的“題眼”，需要在適用范圍條款予以明確界定。附則的“網絡安全”定義過于狹窄，“網絡安全”實為“Cyber Security”，而不僅僅是“Network Security”。但不建議采用“網絡空間安全”的提法。

因此，建議刪除附則有關用語含義的定義*“網絡”、“網絡運營者”、“網絡數據”和“公民個人信息”并非本法需要明確界定的，為了避免與其他法律的沖突，保持統一，避繁就簡，建議回避上述用語的定義。，并將“網絡安全”定義提前至第二條，并分別明確界定“網絡安全”和“信息安全”(第四章)，第二條修改為：

“在中華人民共和國境內建設、運營、維護和使用網絡，以及網絡安全的監督管理，適用本法。

網絡安全(Cybersecurity)，是指組成網絡信息系統的硬件、軟件和數據資源受到妥善的保護，系統中的信息資源不因自然和人為因素而遭到破壞、更改或泄露，信息系統能連續正常運行。網絡安全包括網絡系統安全(Network Security)和網絡信息安全(Information security)?！?/p>

(二) 建議第三章吸收《全國人大關于維護互聯網安全的決定》的相關內容，規定保障互聯網運行安全的各種舉措

建議有關網絡安全的一般性禁止性提前到最前面，因為無論是個人還是網絡運營者等主體，都負有不危害網絡安全的責任。建議將第22條調整為第17條，放于第三章第二節之首條，并修改為：

“任何組織和個人不得有下列危害網絡運行安全的行為：

(一) 侵入第二十五條規定的關鍵信息基礎設施的網絡和系統；

(二) 故意制作、傳播計算機病毒等破壞性或惡意程序，攻擊網絡和系統，致使網絡和系統遭受損害；

(三) 違反國家規定，擅自中斷網絡或者服務，造成網絡或者系統不能正常運行；

(四) 入侵他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的；

(五) 提供從事入侵網絡、干擾網絡正常功能、竊取網絡數據等危害網絡安全活動的工具和制作方法；

(六) 為他人實施危害網絡安全的活動提供技術支持、廣告推廣、支付結算等幫助。

(七) 法律、法規禁止的其他行為?！?/p>

建議將第18條修改為：

網絡產品、服務具有收集用戶信息功能的，網絡服務提供者應當向用戶明示并取得同意；網絡服務提供者發現其網絡產品、服務存在安全缺陷、漏洞等風險時，應當及時向用戶告知并采取補救措施。

網絡服務提供者應當為其產品、服務持續提供安全維護；在規定或者當事人約定的期間內，不得終止提供安全維護。

建議將19條調整放置第三章第二節，修改為以下：

“納入關鍵信息基礎設施的網絡關鍵設備和網絡安全專用產品應當按照相關國家標準、行業標準的強制性要求。

網絡關鍵設備和網絡安全專用產品目錄由國家網信部門會同國務院有關部門制定和公布?！?/p>

(三) 建議鼓勵用戶數量眾多的網絡服務提供者自愿加入關鍵信息基礎設施保護，并參照國家關鍵信息基礎設施安全保護法規保護其所有或者管理的網絡和系統

如上文所述，草案對于關鍵信息基礎設施中的網絡服務提供者*建議將草案中的“網絡運營者”、“網絡產品、服務提供者”(第18條)和“網絡服務提供者”(第25條)統一規定為“網絡服務提供者”。標準和范圍規定不明確，而且將“用戶數量眾多的網絡服務提供者所有或者管理的網絡與系統”納入“關鍵信息基礎設施”與大多數國家的通行做法相悖。因此，建議第25條修改為：

“國家對提供公共通信、廣播電視傳輸等服務的基礎信息網絡，能源、交通、水利、金融等重要行業和供電、供水、供氣、醫療衛生、社會保障等公共服務領域的重要信息系統，軍事網絡，設區的市級以上國家機關等政務網絡(以下稱關鍵信息基礎設施)，實行重點保護。關鍵信息基礎設施安全保護辦法由國務院制定。

國家鼓勵用戶數量眾多的網絡服務提供者自愿加入關鍵信息基礎設施保護，參照關鍵信息基礎設施安全保護辦法保護其所有或者管理的網絡和系統?！?/p>

(四) 建議明確合法偵聽是保護用戶通信自由和通信秘密的例外情形

網絡用戶依法使用網絡的自由和通信秘密受法律保護。相關部門要求網絡服務提供者提供必要的支持和協助進行檢查，需要依照法定的權限和程序進行。因此，建議將第23條修改為：

“任何組織和個人*建議將全文的“任何個人和組織”統一修改為“任何組織和個人”的表述。(第九條第二款、第十條、第二十二條、第三十八條)不得以任何理由對網絡信息內容進行檢查。但是，因國家安全或者追查刑事犯罪的需要，由公安機關、國家安全機關或者人民檢察院依照法律規定的程序對網絡信息內容進行檢查除外，網絡服務提供者應當提供必要的支持與協助?！?/p>

(五) 建議規范用戶的刪除權

本條與《侵權責任法》和《信息網絡傳播權保護條例》所設立的相對精準的“通知刪除”規則相互矛盾。網絡服務提供者只有在用戶提出符合條件通知的情況下，才能斷開相關鏈接或刪除有關信息。泛泛地規定，公民有權要求刪除其個人信息，容易引發用戶的惡意投訴或濫用刪除權。建議直接刪除第37條，或者將其修改為：

“用戶發現網絡服務提供者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，有權要求網絡服務提供者在收到有效通知后刪除其個人信息；發現網絡服務提供者收集、存儲的其個人信息有錯誤的，有權要求網絡服務提供者予以更正?！?/p>

(六) 建議第四章吸收《電信條例》和《互聯網信息服務管理辦法》所規定的“九不準”內容，并增加一條，放置為本章首條

因為《草案》主要著眼于規范互聯網公共信息的安全管理，建議《草案》壓縮或提煉個人信息保護相關條文，為后續制定專門的《個人信息保護法》留下空間。建議將第九條第二款修改為：“任何組織和個人不得利用網絡從事危害國家安全、社會公共利益或他人合法權益的活動?！?/p>

(七) 建議嚴格網絡通信臨時限制的適用條件及程序

現在都移動互聯網和云技術、大數據時代，很多互聯網應用已廣泛滲透到人們的生產生活的各個方面，一旦限網，必然帶來的人身權的損害以及對人身自由所帶來的限制，因此，限網措施應上升為人大常委會決定。

建議《草案》明確第五十條增加網絡通信臨時限制措施執法部門的具體權限和流程，嚴格審批程序保護網絡人身權，防止限網措施的濫用。建議將網絡通信臨時限制的適用條件明確為“為了應對國家安全、內亂、處置重大突發社會安全事件、重大自然災害等緊急狀態的需要”。在實施程序上，明確規定“經國務院建議，報全國人民代表大會常務委員會決定采取網絡通信臨時限制”，并明確限制范圍和限制時間。具體修改為以下：

“為了應對國家安全、內亂、處置重大突發社會安全事件、重大自然災害等緊急狀態的需要，經國務院建議，報全國人民代表大會常務委員會決定，可以在發生重大網絡安全事項的核心區域對網絡通信采取臨時限制措施。臨時限制措施不得超過一周，需要順延的需再次報請全國人民代表大會常務委員會批準。

總之，制定網絡安全法應當堅持“安全和發展并重、管理和保護齊行”的立法理念，在賦權賦能監管機構管理的同時，明確網絡安全保護的程序和流程，以改觀我國長期以來網絡安全立法“重安全、輕發展，重管理、輕保護”的現狀。應當明確網絡安全管理和保障公民私權利之間的關系，依法保護公民的通信自由和通信秘密、個人數據權、隱私權、知識產權等合法權利，禁止各類網絡侵權行為，明確規定行政相對人的法定救濟權及其救濟途徑。

參考文獻：

[1] 馬民虎,王新雷.我國信息安全法律能力建設的思路[J].信息網絡安全,2010(9).

[2] http://www.npc.gov.cn/npc/xinwen/lfgz/flca/2015-07/06/ content_ 1940614. htm[EB/OL].2015-7-8.

[3] 黃惠康.加強網絡領域的國際交流合作[EB/OL]. http://news.xinhuanet.com/world/ 2012-10/05/c_ 113280788. htm，2015-7-22.

[4] http://www.gov.cn/zwgk/2007-10/12/content_775186.htm[EB/OL].2015-7-22.

[5] http://www.gov.cn/zwgk/2012-10/10/content_2240096.htm[EB/OL].2015-7-22.

[6] 馬民虎,賀曉娜.網絡信息安全應急機制的理論基礎及法律保障[J].情報雜志,2005(8).

[7] 吳愛民.公共管理學[M]武漢：武漢大學出版社，2012:167-168.

[8] 沈巋,付宇程,劉權,等.電子商務監管導論[M].北京：法律出版社，2015(8)：84.

[9] 于鵬,解志勇.美國信息安全法律體系考察及其對我國的啟示[J].信息網絡安全,2008(10).

[10] 董皓,張楚.信息網絡安全的法學定義研究——從技術視角向法律思維的轉換[J].信息網絡安全,2006(2).

Try Every Means to Seek or Consider the Rights and Obligations:A Brief Review on the DraftInternetSecurityAct

DING Dao-qin

(Center for Legal Studies, JD.Com.Inc., Beijing 100176, China)

Abstract：In response to the growing threat and risky challenge of cybersecurity in recent years, major countries and regions in the world have strengthened the related strategy formations and legislative activities. In this background, the National People’s Congress announced the Internet Security Act in 2015. The draft established the cybersecurity supervision system,critical information infrastructure, security review system,important data retention system and personal information protection system.Nevertheless, a great many problems still exist, for example, the legislative philosophy emphasizes too much on empowerment rather than how to preserve procedures; the standard and scope of internet services supplier need to be clarified in critical information infrastructure; the legislative value between personal information conservation and cybersecurity is contradictory;the right and procedure of lawful interception is ambiguous; the temporary restrictions of online communication is poorly operated. Consequently,for the sake of improving the situation of “giving priority to security and management over development and preservation” at long durations, the development of cybersecurity law should adhere to the concept that the security and improvement should be equally emphasized,meanwhile, the management and conservation should be coordinately propelled. Additionally,to endow the regulators with power and explicate the procedures and processes of cybersecurity is also necessary.

Key Words：Internet Security Act;critical information infrastructure; safety review;personal information protection;internet services supplier

中圖分類號：D922.8

文獻標識碼：A

文章編號：1009-105X(2016)03-0034-08

作者簡介：丁道勤(1977-)，男,京東集團法律研究中心主任，中國互聯網協會互聯網法治工作委員會委員，中國政法大學法學博士后。原工業和信息化部電信研究院(現中國信息通信研究院)研究員，主要從事電子商務、數據保護、網絡信息安全、互聯網競爭等領域法律政策研究工作。

收稿日期：2015 - 03 - 26