肖輝龍

7月5日，中國人大網(wǎng)公布了《網(wǎng)絡(luò)安全法（草案）（二次審議稿）》（下稱二審稿），開展為期一個(gè)月的公開征求意見。

與去年6月全國人大常委會(huì)提交審議的《網(wǎng)絡(luò)安全法（草案）（一次審議稿）》（下稱一審稿）相比，二審稿在加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施及其數(shù)據(jù)保護(hù)，強(qiáng)調(diào)公民個(gè)人信息保護(hù)和加大對(duì)危害網(wǎng)絡(luò)安全行為的懲戒力度等方面的條款，都進(jìn)行了調(diào)整甚至擴(kuò)增。

中國互聯(lián)網(wǎng)立法進(jìn)程不斷加快，網(wǎng)絡(luò)立法涉及的領(lǐng)域變得越來越寬，如“三個(gè)十條”（“微信十條”、“賬號(hào)十條”和“約談十條”）等規(guī)范性文件的出臺(tái)，都呈現(xiàn)出縱深、細(xì)化的監(jiān)管發(fā)展態(tài)勢，這讓互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展和網(wǎng)絡(luò)用戶的切身利益保護(hù)等問題備受關(guān)注。

作為中國首次系統(tǒng)性推出網(wǎng)絡(luò)安全方面的基本法，網(wǎng)絡(luò)安全法最終將如何平衡涉及國家、企業(yè)、公民等多元主體的權(quán)利義務(wù)關(guān)系？以及怎樣處理政府管制和社會(huì)共治關(guān)系，形成以法律為根本治理基礎(chǔ)的治理模式？

諸多影響公民使用網(wǎng)絡(luò)信息服務(wù)的內(nèi)容，成為草案征求意見中不可忽視的議題。

立法提速

中國關(guān)于網(wǎng)絡(luò)安全的專門立法，可追溯到2003年中辦27號(hào)文《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》提出“抓緊研究起草 《信息安全法》”的動(dòng)議。

直到2014年2月27日成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組（下稱網(wǎng)安領(lǐng)導(dǎo)小組），并確立中國網(wǎng)絡(luò)安全和信息化最高領(lǐng)導(dǎo)體制和常設(shè)管理機(jī)制，中國的互聯(lián)網(wǎng)安全治理，才正式上升至國家戰(zhàn)略層面。

2015年7月，網(wǎng)安領(lǐng)導(dǎo)小組做出新的指示，將信息化推進(jìn)、網(wǎng)絡(luò)信息安全協(xié)調(diào)等職責(zé)明確賦予網(wǎng)安領(lǐng)導(dǎo)小組辦公室，同時(shí)具體由工信部負(fù)責(zé)網(wǎng)絡(luò)強(qiáng)國建設(shè)，致力于維護(hù)網(wǎng)絡(luò)安全。

高規(guī)格加快網(wǎng)絡(luò)安全法的起草與立法，與近年受到嚴(yán)重的網(wǎng)絡(luò)安全威脅和趨于緊張的網(wǎng)絡(luò)安全形勢有關(guān)。這些威脅源自多個(gè)層面，有其他國家，也有組織和個(gè)人。

比如，恐怖組織和其他犯罪組織利用網(wǎng)絡(luò)宣揚(yáng)極端主義，傳播、擴(kuò)散不良信息和淫穢色情違法信息，以及黑客攻擊重要互聯(lián)網(wǎng)企業(yè)，盜用個(gè)人隱私數(shù)據(jù)等案例頻發(fā)，這些都令網(wǎng)絡(luò)安全局勢不穩(wěn)定。

據(jù)賽門鐵克公司在《2015年度諾頓安全調(diào)查報(bào)告》中披露的消息，2014年大約有2.4億中國消費(fèi)者成為網(wǎng)絡(luò)犯罪的受害者，經(jīng)濟(jì)損失高達(dá)7000億元。

這些都是推動(dòng)網(wǎng)絡(luò)安全法立法工作提速的客觀因素。

正在征求意見的草案二審稿，總共分7章72條，確立和突出了網(wǎng)絡(luò)安全的戰(zhàn)略，由網(wǎng)絡(luò)安全戰(zhàn)略、規(guī)劃與促進(jìn)，網(wǎng)絡(luò)運(yùn)行安全，網(wǎng)絡(luò)信息安全，監(jiān)測預(yù)警與應(yīng)急處置，法律責(zé)任等七大板塊內(nèi)容組成。

草案公開征求意見三天后，7月8日，網(wǎng)安領(lǐng)導(dǎo)小組就啟動(dòng)了首次對(duì)全國范圍關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的檢查工作，時(shí)間持續(xù)至今年12月底。

金融、電力、通信、交通等關(guān)鍵信息基礎(chǔ)設(shè)施，都被納入檢查范圍。

早在2010年9月，伊朗布什爾核電站控制系統(tǒng)局部電腦感染名為“震網(wǎng)”（Stuxnet）的超級(jí)病毒事件，曾震驚世界。該病毒能通過漏洞實(shí)現(xiàn)入侵系統(tǒng)，并對(duì)系統(tǒng)控制的基礎(chǔ)設(shè)施造成致命破壞，而該系統(tǒng)還被廣泛應(yīng)用于水利、核能、交通等關(guān)鍵領(lǐng)域。

廣泛用于中國金融、電力、通訊，以及能源、水利、交通和軍工等重要基礎(chǔ)行業(yè)相關(guān)設(shè)備中的工控系統(tǒng)，也一度被國外黑客研究人員作為入侵演示的目標(biāo)對(duì)象。

截至目前，除美國率先構(gòu)建起網(wǎng)絡(luò)安全戰(zhàn)略體系外，英國、德國、法國、俄羅斯和日本等近50個(gè)國家也出臺(tái)了國家安全網(wǎng)絡(luò)空間戰(zhàn)略，從機(jī)制、立法、基礎(chǔ)設(shè)施、產(chǎn)業(yè)、貿(mào)易、攻防對(duì)抗等多個(gè)角度，加速網(wǎng)絡(luò)空間戰(zhàn)略部署。

隨著“互聯(lián)網(wǎng)+”行動(dòng)升級(jí)，云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)的廣泛應(yīng)用，越來越多的關(guān)鍵信息基礎(chǔ)設(shè)施的安全邊界正在消失。

漏洞盒子的報(bào)告顯示，僅2015年上半年，包括銀行、證券和新興互聯(lián)網(wǎng)金融等關(guān)鍵信息基礎(chǔ)領(lǐng)域網(wǎng)絡(luò)安全漏洞數(shù)量，都在爆發(fā)性增長。互聯(lián)網(wǎng)金融業(yè)的高、中危級(jí)別漏洞數(shù)量總和占比一度高達(dá)97.2%。

中國社會(huì)科學(xué)院法學(xué)研究所研究員周漢華對(duì)二審稿草案提出了反饋意見。他向《財(cái)經(jīng)》記者表示，草案加強(qiáng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施及其數(shù)據(jù)的保護(hù)，是此次網(wǎng)絡(luò)安全法立法條款中的主要?jiǎng)?chuàng)新之一——不僅首次確立了中國關(guān)鍵信息基礎(chǔ)設(shè)施的概念，而且首次明確了對(duì)相關(guān)設(shè)施的保護(hù)制度。

對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的解讀，一審稿曾以列舉方式作了介紹，但二審稿時(shí)取消了列舉項(xiàng)，規(guī)定具體范圍由國務(wù)院制定。

周漢華稱，將立法重點(diǎn)落在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域，是吸收和借鑒了國外安全立法的普遍經(jīng)驗(yàn)。

中國互聯(lián)網(wǎng)協(xié)會(huì)研究中心法治工作委員會(huì)秘書長胡鋼也曾參與草案意見反饋，他推測，按目前立法進(jìn)度，二審稿結(jié)束征求意見后，還將進(jìn)行第三次審議，并有望在年內(nèi)發(fā)布。

用戶實(shí)名制考量

二審稿第23條對(duì)實(shí)名制的強(qiáng)調(diào)并不屬新規(guī)，但還是引人關(guān)注。

該法條規(guī)定，“網(wǎng)絡(luò)運(yùn)營者為用戶辦理網(wǎng)絡(luò)接入、域名注冊服務(wù)，辦理固定電話、移動(dòng)電話等入網(wǎng)手續(xù)，或者為用戶提供信息發(fā)布、即時(shí)通訊等服務(wù)，在與用戶簽訂協(xié)議或者確認(rèn)提供服務(wù)時(shí)，應(yīng)當(dāng)要求用戶提供真實(shí)身份信息。用戶不提供真實(shí)身份信息的，網(wǎng)絡(luò)運(yùn)營者不得為其提供相關(guān)服務(wù)?！?/p>

工信部賽迪智庫信息安全研究所所長劉權(quán)介紹，用戶實(shí)名制以2010年工信部宣布實(shí)施電話用戶實(shí)名登記為標(biāo)志。2012年，全國人大常委會(huì)通過的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》中，也對(duì)此有明確要求。

這次草案將相關(guān)制度規(guī)定上升為法律，有利于為個(gè)人隱私信息保護(hù)提供更多法律保障。

不過，在實(shí)際的互聯(lián)網(wǎng)服務(wù)中，如果網(wǎng)絡(luò)運(yùn)營者采取的信息安全防護(hù)手段不足，也會(huì)增加個(gè)人隱私信息泄露的風(fēng)險(xiǎn)。

2015年2月11日，國內(nèi)十大知名連鎖酒店因網(wǎng)站存在高危漏洞，導(dǎo)致房客開房信息泄露。千萬級(jí)酒店顧客的訂單信息，如顧客姓名、身份證號(hào)、手機(jī)號(hào)、住房信息、家庭住址、信用卡后四位數(shù)以及截止日期、郵件等大量敏感信息，都被黑客竊取。

無獨(dú)有偶，4月22日，上海、重慶、沈陽等超過30個(gè)省市衛(wèi)生和社保系統(tǒng)，也出現(xiàn)大量高危漏洞，數(shù)千萬用戶社保信息可能因此泄露。

為此，劉權(quán)建議草案應(yīng)規(guī)定網(wǎng)絡(luò)運(yùn)營者采取必要措施，確保個(gè)人數(shù)據(jù)信息安全，并界定網(wǎng)絡(luò)運(yùn)營者保護(hù)個(gè)人數(shù)據(jù)安全的責(zé)任、義務(wù)和處罰措施。

二審稿第23條引發(fā)的討論并不僅限于此，該條款在增加網(wǎng)絡(luò)運(yùn)營者的義務(wù)范圍同時(shí)，還提高了網(wǎng)絡(luò)運(yùn)營者的義務(wù)標(biāo)準(zhǔn)，如增加對(duì)“即時(shí)通訊等服務(wù)”的規(guī)定。

業(yè)內(nèi)法律研究專家介紹，中國移動(dòng)即時(shí)通訊工具活躍用戶數(shù)已超過10億人次，成為名副其實(shí)的最常用網(wǎng)絡(luò)聯(lián)系手段。立法時(shí)，應(yīng)對(duì)二審稿條款中規(guī)定的“用戶”加以區(qū)分，不同的網(wǎng)絡(luò)服務(wù)信息平臺(tái)，都會(huì)有未實(shí)名存量用戶和新增用戶。

“增量用戶容易實(shí)現(xiàn)實(shí)名，但存量用戶的實(shí)名難度較大，因?yàn)椴煌脩粼敢馀浜涎a(bǔ)充個(gè)人真實(shí)身份信息進(jìn)行再注冊的程度并不一致?！币晃换ヂ?lián)網(wǎng)產(chǎn)業(yè)界人士回應(yīng)稱。

二審稿規(guī)定，如果存量用戶不提供實(shí)名身份信息，網(wǎng)絡(luò)運(yùn)營者只能對(duì)其采取停止網(wǎng)絡(luò)信息服務(wù)的強(qiáng)制措施，這意味著大批存量用戶賬號(hào)將消失。

網(wǎng)絡(luò)運(yùn)營者如果不按規(guī)定執(zhí)行，有可能面臨最高50萬元的罰款，還有被主管部門關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證等風(fēng)險(xiǎn)。

上述研究專家稱，大批存量用戶的流失會(huì)影響產(chǎn)業(yè)發(fā)展，這也與二審稿第12條規(guī)定的“國家保護(hù)公民、法人和其他組織依法使用網(wǎng)絡(luò)的權(quán)利”有矛盾之處。

依據(jù)行政法中的最小損害原則和便于法律落地的綜合角度考慮，他建議，將停止服務(wù)的強(qiáng)制措施改為引導(dǎo)或鼓勵(lì)用戶配合實(shí)名的條款，并給予網(wǎng)絡(luò)運(yùn)營者和用戶足夠的緩沖推進(jìn)期限，同時(shí)對(duì)網(wǎng)絡(luò)實(shí)名制范圍進(jìn)行限定，因?yàn)槭欠袼械木W(wǎng)絡(luò)信息服務(wù)產(chǎn)品都需實(shí)名，值得商榷。

強(qiáng)化個(gè)人信息保護(hù)

截至去年底，中國的網(wǎng)民數(shù)達(dá)到6.88億人次，通過技術(shù)手段盜取、倒賣個(gè)人信息的侵權(quán)案件，也隨之呈井噴狀增長。

今年6月中旬，廣東省公安廳展開打擊整治網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪的系列專案行動(dòng)，抓獲近400名犯罪嫌疑人，打掉犯罪團(tuán)伙78個(gè)。

犯罪嫌疑人不乏來自大型通信公司的員工，有的甚至充當(dāng)“掮客”向他人提供和出售公司掌握的用戶信息。

此外，犯罪嫌疑人還會(huì)利用受害人不慎點(diǎn)擊或掃描帶木馬鏈接的短信、二維碼等手段方式，將木馬程序植入受害人手機(jī)，從而攔截、竊取受害人資料信息。

中國的個(gè)人信息保護(hù)制度，散見于諸多法律法規(guī)之中。

比如刑法中的侵犯公民個(gè)人信息罪，而個(gè)人信息保護(hù)法自2005年開展立法工作以來遲遲未出臺(tái)，至今并無系統(tǒng)的保護(hù)個(gè)人信息之立法，尤其是互聯(lián)網(wǎng)中的個(gè)人信息保護(hù)。

在此方面，二審稿強(qiáng)調(diào)保護(hù)公民個(gè)人信息，草案增加了具有收集用戶信息功能的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，需事前向用戶明示并取得同意，且遵守相關(guān)法律法規(guī)的規(guī)定。

不過，二審稿也給商業(yè)開發(fā)留下一定口子。

首先，一審稿第36條規(guī)定，網(wǎng)絡(luò)運(yùn)營者對(duì)個(gè)人信息必須嚴(yán)格保密。二審稿后，在與之對(duì)應(yīng)的第40條，修改增加了“經(jīng)被收集者同意”或“對(duì)特定個(gè)人信息數(shù)據(jù)進(jìn)行處理達(dá)到無法識(shí)別且不能復(fù)原”兩種情況，可允許網(wǎng)絡(luò)運(yùn)營者進(jìn)行大數(shù)據(jù)及其商業(yè)開發(fā)利用。

其次，一審稿從法律層面，首次規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)在境內(nèi)存儲(chǔ)公民個(gè)人信息等重要數(shù)據(jù)。二審稿則基于此還列明“重要業(yè)務(wù)數(shù)據(jù)”，也屬強(qiáng)制境內(nèi)存儲(chǔ)的數(shù)據(jù)。

新增的第17條則指出，國家鼓勵(lì)開發(fā)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)和利用技術(shù)，促進(jìn)公共數(shù)據(jù)資源開放，推動(dòng)技術(shù)創(chuàng)新和經(jīng)濟(jì)社會(huì)發(fā)展的內(nèi)容，這也尚屬國家首次從立法層面支持公共數(shù)據(jù)的開放。

周漢華介紹，有關(guān)推動(dòng)數(shù)據(jù)立法和數(shù)據(jù)開放的問題，目前政府部門正在做相應(yīng)研究和部署。

法律實(shí)務(wù)界人士評(píng)價(jià)稱，不足之處在于諸多法條均是從網(wǎng)絡(luò)運(yùn)營者的義務(wù)角度做出規(guī)范，如果能更多從公民個(gè)人權(quán)利角度進(jìn)行立法，立法的積極意義將顯現(xiàn)得更為充分。

監(jiān)管權(quán)力之憂

立法推進(jìn)過程中，如何平衡好國家公權(quán)力介入網(wǎng)絡(luò)運(yùn)營和公民個(gè)人權(quán)利范圍的尺度，考驗(yàn)著立法者的智慧。如果公權(quán)力過度介入，將導(dǎo)致公民個(gè)人權(quán)利與義務(wù)的失衡。

周漢華介紹，草案在推進(jìn)過程中，對(duì)網(wǎng)絡(luò)運(yùn)營者增加監(jiān)管義務(wù)等條款的確出現(xiàn)了爭論。

他認(rèn)為，權(quán)衡國家、公共安全與產(chǎn)業(yè)發(fā)展甚至公民個(gè)人權(quán)利之間的關(guān)系，是世界性難題，很難做到讓所有人滿意。因此，在二審稿征求意見期間，最好能通過充分的意見反饋實(shí)現(xiàn)多贏。

北京航空航天大學(xué)法學(xué)院教授龍衛(wèi)球則表示，網(wǎng)絡(luò)安全法作為網(wǎng)絡(luò)安全法律規(guī)制的基本法，應(yīng)體現(xiàn)以治理思維為基礎(chǔ)的綜合、動(dòng)態(tài)立法特征，從治理原則上把握好網(wǎng)絡(luò)運(yùn)營、公平與安全相結(jié)合的原則。

二審稿第3條、第10條等條款，不同程度涉及網(wǎng)絡(luò)自由和網(wǎng)絡(luò)安全的協(xié)同問題，不過未上升至更宏觀的整合高度，網(wǎng)絡(luò)治理的公平問題提及不多，草案多為管理授權(quán)條款及運(yùn)營者和用戶義務(wù)的規(guī)定，僅有少數(shù)法條闡述運(yùn)營者、用戶的權(quán)利，較為典型的是第12條。如果將網(wǎng)絡(luò)安全法建立在管理權(quán)力基礎(chǔ)上，運(yùn)營、公平與安全的協(xié)同基礎(chǔ)將體現(xiàn)不足。

一些法律實(shí)務(wù)專家舉例說明，第45條要求網(wǎng)絡(luò)運(yùn)營者需加強(qiáng)對(duì)網(wǎng)絡(luò)用戶發(fā)布的信息管理，第46條針對(duì)任何個(gè)人和組織發(fā)送的電子信息作出禁止性規(guī)定。第46條第2款作了進(jìn)一步規(guī)定，要求電子信息發(fā)送服務(wù)提供者履行安全管理義務(wù)，一旦發(fā)現(xiàn)其用戶有前款規(guī)定行為，需采取停止提供服務(wù)等措施。

法條中第45條用詞為“發(fā)布”，而第46條用了“發(fā)送”，二者表述看似相同，但內(nèi)涵意義完全不同——“發(fā)布”一般是用戶公開發(fā)出的內(nèi)容，而“發(fā)送”多指點(diǎn)對(duì)點(diǎn)的信息傳輸。

憲法規(guī)定公民享有通信自由。公民點(diǎn)對(duì)點(diǎn)發(fā)送的電子信息，屬公民個(gè)人的通信自由，作為民事主體的電子信息發(fā)送服務(wù)提供者，顯然不能采取涉嫌侵犯公民基本權(quán)利的措施，去履行主動(dòng)發(fā)現(xiàn)義務(wù)。因此，上述法律實(shí)務(wù)專家建議刪除“電子服務(wù)提供者”這一主體的此項(xiàng)義務(wù)。

二審稿第56條涉及“對(duì)特定區(qū)域網(wǎng)絡(luò)通信采取限制性措施”，按憲法第40條規(guī)定，只有基于國家安全或追查刑事犯罪需要，才能由公安或檢察機(jī)關(guān)依法定程序介入對(duì)通信進(jìn)行檢查。二審稿刪除了“省、自治區(qū)、直轄市人民政府”對(duì)第56條的行政執(zhí)法權(quán)力，只保留“經(jīng)國務(wù)院決定或批準(zhǔn)”的許可權(quán)，但“處置重大突發(fā)社會(huì)安全事件的需要”情況下，可采取限制等臨時(shí)措施的條款，“重大突發(fā)社會(huì)安全事件”的概念未進(jìn)行厘清。

一審稿征求意見時(shí)，曾有法學(xué)專家提出兩種改進(jìn)意見。一是在草案里補(bǔ)充“國家安全的需要”條件， 并說明國務(wù)院決定或批準(zhǔn)對(duì)網(wǎng)絡(luò)通信采取限制的程序、方法和時(shí)間，通過行政法予以具體明確。

二是把該條款需補(bǔ)充的內(nèi)容寫入《突發(fā)事件應(yīng)對(duì)法》，再把限制網(wǎng)絡(luò)通信所需的條件、程序和時(shí)間等給予明確規(guī)定。

中國傳媒大學(xué)教授、網(wǎng)絡(luò)法與知識(shí)產(chǎn)權(quán)法研究中心主任王四新也曾參與草案的意見反饋。

7月12日，他在互聯(lián)網(wǎng)實(shí)驗(yàn)室和《中國信息安全》雜志聯(lián)合主辦的二審稿研討會(huì)上表示，不僅歐美等發(fā)達(dá)國家和地區(qū)政府，會(huì)采取通過立法給自己更多授權(quán)的方式，加強(qiáng)對(duì)互聯(lián)網(wǎng)的控制，南非、巴西等國也正在制定更多法律，以限制互聯(lián)網(wǎng)上內(nèi)容的自由流動(dòng)。王四新評(píng)價(jià)稱，這表現(xiàn)出世界各國政府普遍對(duì)互聯(lián)網(wǎng)所引發(fā)的政府管理失效問題感到焦慮。

如果政府的焦慮加劇，所出臺(tái)的管理措施和手段趨嚴(yán)，也可能使網(wǎng)絡(luò)運(yùn)營者遭受兩面壓力，即來自政府公權(quán)力越來越嚴(yán)的監(jiān)管和來自廣大網(wǎng)絡(luò)用戶越來越多的權(quán)利訴求和司法訴訟。

正如兩年前，歐盟法院通過司法判決承認(rèn)用戶享有被遺忘權(quán)以來，世界上最大的互聯(lián)網(wǎng)公司谷歌，所面臨要求刪除個(gè)人相關(guān)記錄的請求也隨之成倍增長。

他認(rèn)為，二審稿文本仍有可調(diào)整之處，立法者應(yīng)盡量使用語義清晰的條文，避免在釋義方面的模糊和歧義。

“對(duì)所要解決的問題要表述到位，讓被規(guī)范對(duì)象清楚法條意思，對(duì)無法說清楚又容易產(chǎn)生歧義或范圍太廣的表述，要盡量避免?！蓖跛男抡f，這是立法應(yīng)遵循的原則，否則會(huì)影響法律的實(shí)施，也容易在實(shí)踐中產(chǎn)生糾紛。

本刊記者陳玉峰對(duì)此文亦有貢獻(xiàn)