从最近关于《网络安全法(征求意见稿)》的大讨论来看,由于对互联网种种纷繁复杂现象的不满甚至是恐惧,很多人都有意无意地将网络安全泛化,将网络谣言、网络犯罪、个人信息过度收集与滥用、涉及网络管理的部门职权划分、国家信息安全产业发展战略等凡是与广义的网络安全沾边的事情,都寄望通过这部网络安全法来予以解决,这显然是一部《网络安全法》无法承受之重。
传统社会也有很多问题,但任何国家都没有一部《传统社会安全法》来作为解决问题的灵丹妙药。因此,恐怕首先要分析清楚我们面临哪些网络安全问题,哪些是需要也可以通过立法来解决的?更为重要的是,这部法律靠什么来确保网络安全?
我国现在面临哪些网络安全问题
我国面临的网络安全主要有三个方面:
首先是核心技术与网络规则不掌握,也就是技不如人的问题。
互联网的基础设施包括软件、硬件和游戏规则全都仰人鼻息。芯片等高端制造业落后,没有成熟商业化的操作系统等基础软件,万一出现极端情况,会不会发生被“掐脖子”,以及有没有人利用底层技术便利已经收集了我国的个人信息等各种信息,窃听和备份我们的电子邮件等网络通信内容?恐怕很难说。这是我国网络安全最大的隐忧。但这些问题主要得靠发展来追赶,以及随着国家和产业实力的增强,可以增强互联网规则的话语权。立法可以通过设立网络产品和服务的安全审查制度,一定程度上达成预防在先,但立法解决不了科技从无到有的问题。虽然存在绝对的网络安全,但也只有网络核心技术实力旗鼓相当,网络安全才具有平等对话的基础。
其次是与所有国家一样,我国的信息网络存在被黑客、恶意软件等攻击,以及由于灾难、事故等各种原因导致的断网、停电、影响国计民生的公用事业和服务等。存在于太空的卫星通信网络,也随着互联网发展存在安全隐患。
这是网络安全法所应当关注和预防解决的重点问题,也是各国都重点关注的网络安全问题,立法予以规制无可厚非,关键是要多听取相关专家的意见并将技术需求进行法律“翻译”,以确定究竟怎么做才更科学、更有效。
目前征求意见稿对于交通、能源、军政网络等安全方面的规定,已经体现出了较为深刻的认识,但从具体业务层面探讨,似乎仍不乏可以提高的空间,比如网络安全等级保护虽然的确是我国行之有效的网络安全保障制度,但并不是唯一的,也不能排除随着情况变化可能出现新的更好的做法。所以,肯定等级保护制度是对的,但也要为其他网络安全保障措施预留法律空间。
第三是跨国网络攻击行为的司法管辖与规制,这是网络无边界与国家主权之间的冲突带来的问题。如果其他国家、地区和组织对中国公民和企业采取非正常法律行动的,我国可以采取对等措施吗?这在目前的网络安全法征求意见稿中没有看到,是否有必要和可行?希望立法部门予以研究。
即使是的确事关网络安全的长远战略问题,是放在网络安全法立法里面规定,还是放在国务院部门的战略规划文件中规定?这也值得深入研究与探讨。
作为一名一线法律实务工作者,与无数法官、检察官等法律人一样,笔者常常在遇到具体业务问题时,为某些宣言式立法的条文粗疏而头痛不已。网络安全产业战略规划是国家行为,而“法律”是调整人与人之间社会关系的行为规范,网络安全战略问题的确重要,但战略问题需要随着情况变化而经常调整,法律却必须尽量作前瞻性规定以确保稳定性和可预见性,因此是否由国务院或相关部委发布更为合理?立法也是一种资源,我们需要腾出时间精力研究出一些更得力的措施,来提高我们网络安全法的实践针对性与可操作性。
靠什么确保网络安全
最后,最为关键的问题是,我们靠什么来确保网络安全呢?笔者认为要靠设立适当的规则引导企业自身做合规,确保网络安全,而不能靠禁止行为的列举,来杜绝威胁网络的行为。
因为列举总是难免挂一漏万,何况网络发展日新月异,今天的列举前瞻性再强,恐怕过不了多久又会成为明日黄花,难堪大用。
从目前征求意见稿中,我们看到“法律责任”一章规定罚款最多为50万元,笔者并不赞成过度扩大行政机关的权力,但无论50万元还是5000万元罚款,对于威胁互联网安全的大企业来说,都是不足以震慑它们的。笔者建议增加民事赔偿责任,增设对恶意威胁我国网络安全的企业限制市场准入甚至下达永久禁令,主要目的在于通过较大的经济风险,让企业不敢拿自己的利益对赌我国有没有能力发现它们的恶意预留漏洞;对于侵犯公民个人信息权等行为,建议设立递进式惩罚性民事赔偿制度,即只要有生效法律文书确定违法侵权行为成立,而被告又拒不改正的,法院可以逐次递增扩大惩罚性赔偿的判赔金额。
这样,既可以保证不会对正常守法企业造成过重负担,又会对恶意违法的企业形成较大经济赔偿风险,从而倒逼企业合规与守法。
本文来源:不详 作者:佚名