网络安全法重在建立规则
当今世界各国高度重视网络安全,以法律形式、法律思维推动整个网络安全,依法惩治各种网络违法犯罪行为,中国作为网络大国更需与时俱进,走在法治的前列,用法律的手段为网络安全保驾护航
互联网时代,很多人都经历过这样的情况:刚网购完东西,就接到类似产品的推销电话;或者刚报完名考试,卖考题、卖答案、办培训班的电话随后就到。
今后,这种状况或将随着网络安全法的出台而有所改变。
2015年7月初,网络安全法(草案)(以下简称草案)在全国人大网上全文公布,并向社会公开征求意见一个月。
草案共7章68条,涉及网络安全战略、运行安全、信息安全、监测预警、法律责任等方面。每一项法条都连接着生动的现实,关乎每一个网民的切身利益与安全。
草案中的一些显著条款包括国家实行网络安全等级保护制度、网络运营者应当加强对用户个人信息、隐私和商业秘密的保护等。
数据保护也是其中一个重要议题,该草案责令互联网公司加大用户数据保护力度,并在危及用户数据的事件发生时迅速响应。另外,还将推进实名制监管。
日前,卓亚网络法治研究中心召开圆桌会议对草案进行讨论,该中心作为北京卓亚经济社会发展研究中心网络法治研究平台,致力于我国网络法治重大问题的研究。与会专家们建言:网络安全法最重要的是确定标准,建立规则。
立法进入最后冲刺阶段
为何要针对网络安全立法?
全国人大网同时发布的“关于草案的说明”,作出了解释:
网络入侵、网络攻击等非法活动,严重威胁着电信、能源、交通、金融以及国防军事、行政管理等重要领域的信息基础设施的安全;非法获取、泄露甚至倒卖公民个人信息、侮辱诽谤他人、侵犯知识产权等违法活动在网络上时有发生,严重损害公民、法人和其他组织的合法权益。
而且,“宣扬恐怖主义、极端主义,煽动颠覆国家政权、推翻社会主义制度以及淫秽色情等违法信息,借助网络传播、扩散,严重危害国家安全和社会公共利益”。
因此,根据2014年4月发布的全国人大常委会2014年立法工作计划,制定“网络安全法”被列入立法预备项目。
草案的发布,意味着自1994年国务院颁布计算机信息系统安全保护条例后,长期备受关注的网络安全立法工作进入最后冲刺阶段。
卓亚网络法治研究中心负责人、中国政法大学民商经济法学院教授来小鹏在接受法治周末记者采访时说:“目前网络入侵、网络攻击等非法活动已经严重影响到电信、能源以及国防军事等重要领域的安全。”
“同时,非法获取、泄露甚至倒卖公民信息、侮辱诽谤他人、侵犯知识产权的活动也时有发生,宣扬恐怖主义等违法信息也借助网络传播危害到国家安全和社会公共利益。”
在来小鹏看来,网络安全法的制定非常必要。
“这部法律的制定适合我国国情,对国家整个网络安全,甚至经济社会安全起到保障作用,并在国际平台上也能体现我国的立法水平。”来小鹏说。
北京邮电大学互联网治理与法律研究中心主任李欲晓在接受法治周末记者采访时说:“互联网行业越往前发展,越需要建立规则。这20年里,规则只是靠网民的自觉自愿维持,以及政府摸着石头过河的管理方式来建立的。”
李欲晓认为,迅速崛起的互联网使中国快速受益,但网络中极度的自由主义也急需建立相应的规则。“从国际形势上来看,2009年,美国起草网络安全法草案,面对着大量未知的规则体系,我们国家也不能落在后面。”李欲晓说。
“同时从安全角度来看,中美有共同的利益,因为很多不安全的因素都来自恐怖组织,所以都有建立机制的必要性。”
与会专家指出,当今世界各国高度重视网络安全,以法律形式、法律思维推动整个网络安全,依法惩治各种网络违法犯罪行为,中国作为网络大国更需与时俱进,走在法治的前列,用法律的手段为网络安全保驾护航。
一个不争的事实是,互联网在成为全球经济发展新引擎的同时,也逐渐被不法分子当作实施暴力恐怖犯罪的新工具。
据不完全统计,联合国安理会认定的恐怖组织“东伊运”从2010年到2014年共发布了恐怖音视频282部,发布的数量逐年上升。2013年甚至出现爆炸式增长。 面对各种形势,网络安全法草案中提出,“因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,国务院或者省、自治区、直辖市人民政府经国务院批准,可以在部分地区对网络通信采取限制等临时措施”。
网络运营者违规最高罚50万元
事实上,我国对于完善网络安全的立法工作一直在不断地尝试和努力中。
1994年,我国就开启了信息安全立法的历史,但现行的信息安全立法现状并不乐观。
2013年9月,最高人民法院和最高人民检察院发布《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》。
2014年2月,“两高”又发布了《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释》。
2014年5月,“两高”和公安部对网络犯罪案件如何适用刑事程序作了专门规制。
上述这些司法解释为严惩网络犯罪提供了必要的法律依据。
但网络安全基本法却一直缺位,相关的法律规定大部分仍然散见于各个部门法,缺乏统一的立法理念,立法层级较低,立法结构不合理。
专家介绍,具体法律规范多缺乏可操作性,且多为事后的惩治和补救规定,缺乏事前预警和风险防范措施,对于云计算和进一步全球化趋势将带来的信息安全风险的保障作用十分有限。
而对于事后惩治,草案中第六章第五十四条规定,对于网络运营者违反本法规定的,处于5万元以上50万元以下的罚款。
李欲晓认为,这样的处罚力度过低。“对于民企,连续罚款营业额的1%,或者关闭一天服务器,这样的处罚力度会起到震慑作用。”
对于第四章网络信息安全方面的公民个人信息,清华大学法学院网络行为研究所副所长吴伟光在接受法治周末记者采访时认为:“在个人信息方面,应该通过个人信息保护法来保护个人信息,而草案中应该增加网络服务提供者在网络空间拥有的权利和责任,以现有的草案来看,更多的是责任而忽视了权利。”
在美国、德国、意大利等国家,不但有完善的法律保障公民的个人信息不被泄露,同时,一整套电子信息验证标准也对法律形成了有力支撑。
欧盟在2005年就推出了相关战略保证网络社会的身份管理。
以德国为例,德国2010年发布新一代身份证,身份证采用eID公民网络电子身份标识,这是一种在网络上用远程证明个人真实身份的权威性电子信息文件。
李欲晓认为,“互联网法律体系不是由运营商、互联网服务机构或者由政府部门去控制一切,更不是网民完全自我表达一切,而应是一种多方面利益平衡的状态”。
事实上,从其他国家的法律和实践来看,英国、韩国、俄罗斯等国均在电信法中规定,国家有紧急状态下暂停或关闭通信服务的权利。
2005年,英国伦敦“7·7”恐怖爆炸发生后,官方曾实行蜂窝通信管制;埃及政府2011年为应对国内骚乱,亦曾对其境内的互联网和移动通信网络实施通信管制。
除社会事件外,自然灾害发生时通信管制也是备选应急管理手段之一。
美国卡特里娜飓风期间,美国联邦通信委员会在加大通信基础设施抢修力度、恢复通信的同时,也限制了部分地区的公众通信,以确保警察、消防等救灾安保部门通信顺畅。
互联网企业怎么看
当前,我国互联网市场活跃,国家推行“互联网+”既是历史机遇,但在快速发展中也容易产生更多问题。
互联网企业对于网络安全,更是有切肤之感。没有明确的规则,企业怎么进行自身的网络管理实务?这成为网络安全管理绕不过去的议题。
北京奇虎科技有限公司总法律顾问傅彤告诉法治周末记者:“网络安全缺乏法律保障是制约大数据、云计算产业发展的关键。”
“互联网企业发展新技术、新应用,需要解决互联网安全领域无法可依的问题。所以网络安全的基本法,让企业能够找到法律依据,在做产品、做业务的时候更有法律保障。”傅彤说。
她举例,360公司在进行一些技术攻防类产品推广时,很难从现有的法律法规中寻找到适用于实际操作层面的依据,一旦出现纠纷,给司法判决带来难题。
对于草案中的法条,傅彤也提出了一些建议。
草案第三章第二十二条规定,任何个人和组织不得从事入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。
对此条,傅彤觉得还有商榷的空间。她建议,应该存在“入侵”合法的例外情形,比如,为了国家安全、侦查犯罪而进行的“入侵”,或者是经营者应相对人的请求而进行的网络测试等。
草案中第六章第五十三条规定,网络运营者违反本法规定,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由主管部门责令改正。对此,网易法务部法务总监助理常亮也表达了自己的担忧。
常亮向法治周末记者表示:“现实情况,是许多企业很难要求用户提供实名信息,希望这条法条能够进一步具体化,以明确互联网公司的责任。