我國網絡安全的法治化進程：從諸法分立到協(xié)調統(tǒng)一

馬寧（西安交通大學法學院）

1987年，我國建成了第一個國際互聯(lián)網電子郵件節(jié)點，并正式向世界發(fā)出了第一封電子郵件，標志著我國開始邁入網絡時代。1990年，我國正式注冊了本國的國際頂級域名CN，并于4年后全功能接入國際互聯(lián)網，成為網絡社會的第77個成員。短短30余年間，我國的網絡發(fā)展速率迅猛，成為真正意義上的網絡大國。

但任何技術的饋贈都有其陰暗面，我們在享受網絡帶來的便利的同時，也在經歷著由此產生的安全風險。我們幾乎每個人都飽受騷擾電話、垃圾郵件、網絡詐騙、身份盜竊、虛假信息、網絡攻擊、惡意軟件、非法內容和個人信息濫用的困擾，甚至造成重大的財產損失和人身損害。技術的進步同樣為網絡不法行為提供了便利，催生了各種新型的網絡侵權和網絡破壞活動，網絡安全開始成為全社會關注的普遍性問題，迫切需要法律提供強有力的規(guī)范途徑。

我國的網絡安全法治化進程與我國邁入國際互聯(lián)網大門幾乎是同步的。1994年，我國全功能接入國際互聯(lián)網，同年，我國即頒布了第一部網絡安全立法《計算機信息系統(tǒng)安全保護條例》，標志著網絡安全的法治化進程正式開啟。2003年，國家信息化領導小組第三次會議通過了《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)〔2003〕27號），明確提出研究起草信息安全法，建立和完善信息安全法律制度，明確社會各方面保障信息安全責任和義務。2011年，“十二五”規(guī)劃首次納入“加強網絡與信息安全保障”的總體要求，明確提出建立健全網絡與信息安全法律法規(guī)，將我國的網絡安全立法推向全面繁榮階段。2016年，第十二屆全國人民代表大會常務委員會第二十四次會議通過網絡安全法，我國擁有了專門的網絡安全基本法，網絡安全保障開始從諸法分立走向協(xié)調統(tǒng)一，在網絡安全的法治化進程中具有重要的里程碑意義。

前網絡安全法時代的立法特點及其主要關注點

在頒布網絡安全法之前，我國的網絡安全立法較為零散，有關網絡安全的規(guī)定散見于多部法律規(guī)范中，橫跨刑事、民事和行政多個領域。且各法之間缺乏必要的協(xié)調和承接，尚未形成系統(tǒng)性的法律體系，被眾多學者戲稱為“補丁式”立法，呈現(xiàn)出諸法分立的格局。這時的“網絡安全”事實上并沒有被作為一個整體加以保護，網絡安全項下的各類保障要求被作為獨立的問題進行立法考量。由于該時期法律規(guī)范的“控制域”較為狹窄，諸法分立產生的最大問題就是規(guī)范性內容高度重復，法律數(shù)量看似較多，但能夠提供的規(guī)范能力有限。此外，諸法分立也造成監(jiān)管機構職能邊界不明，多頭監(jiān)管情況嚴重，對網絡安全風險重事后懲處，輕事前預警。

盡管諸法分立的弊端十分明顯，但這也是國家網絡安全法治化進程中的必由階段。在網絡技術應用初期，特別是網絡技術的社會化利用之前，由網絡技術所引入的風險或矛盾并不能充分暴露出來。網絡安全保障具有“攻擊先于防御”的特點，法律所產生的規(guī)范效果只能針對已經出現(xiàn)或可預測的問題作出安排，這也正是法律滯后性的現(xiàn)實體現(xiàn)。正如所有法律制度均需要在實踐中不斷豐富、塑造、完善和改良一樣，前網絡安全法時代的諸法分立同樣提供了有益的立法經驗，仍然對網絡安全保障視域下的國家安全、社會穩(wěn)定和隱私保護提供了必要的制度支撐。

概括而言，該時期的網絡安全立法內容主要關注系統(tǒng)安全和內容安全，對于與公民切身利益密切相關的信息技術利用問題回應較少，但已經滲透進對個人信息保護的立法探索。

首先，總體確立了對網絡違法犯罪活動的規(guī)制框架。

早在1994年的《計算機信息系統(tǒng)安全保護條例》中就明確規(guī)定，任何組織或者個人，不得利用計算機信息系統(tǒng)從事危害國家利益、集體利益和公民合法利益的活動，不得危害計算機信息系統(tǒng)的安全。該條規(guī)定確立了信息技術合理使用的根本原則，并成為處罰各類網絡違法犯罪活動的基礎性依據(jù)。2000年，第九屆全國人民代表大會常務委員會第十九次會議通過了《全國人民代表大會常務委員會關于維護互聯(lián)網安全的決定》，第一次較為全面地梳理和規(guī)定了各類網絡違法犯罪活動，確定了四大類十五小類網絡違法犯罪行為（見表一）。

針對上述網絡違法犯罪活動，《全國人民代表大會常務委員會關于維護互聯(lián)網安全的決定》規(guī)定，構成犯罪的，依據(jù)刑法規(guī)定追究刑事責任；尚不構成犯罪的，如果違反社會治安管理，則依據(jù)治安管理處罰法進行處罰。但是，結合當時的刑法和治安管理處罰法的規(guī)定來看，相關條款主要針對計算機信息系統(tǒng)違法犯罪，對于其他網絡違法犯罪活動，則采取線上線下同等適用的模式。例如，刑法第285條、第286條集中規(guī)定了計算機信息系統(tǒng)類犯罪，包括侵入計算機信息系統(tǒng)，非法獲取數(shù)據(jù)、非法控制計算機信息系統(tǒng)，提供專門用于侵入、非法控制計算機信息系統(tǒng)的程序和工具，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，對計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改和增加，故意制作、傳播計算機病毒等破壞性程序等。同時，刑法第287條規(guī)定，利用計算機實施的其他犯罪，依照刑法的有關規(guī)定定罪處罰。治安管理處罰法第29條也同樣作出了類似規(guī)定。

表一

其次，注重對網絡有害信息的管理。

網絡技術的應用為信息生成和傳播提供了前所未有的便捷性，但同時也導致了網絡有害信息泛濫，特別是在網民逐漸低齡化的態(tài)勢下，暴力、色情等有害信息正在成為一種新型公害?！吨腥A人民共和國電信條例》《計算機信息網絡國際聯(lián)網安全保護管理辦法》《互聯(lián)網信息服務管理辦法》等均明確要求，不得制作、復制、發(fā)布、傳播九類有害信息，也就是我們俗稱的“九不準”（見表二）。

同時，網絡運營者或網絡服務提供者負有審查和過濾義務，對網絡有害信息應當及時刪除、屏蔽或斷開鏈接。但是鑒于網絡信息的體量過于龐大，苛求網絡運營者或網絡服務提供者識別和管理所有的網絡有害信息會極大地增加安全成本，而且在很多情況下可能根本無法實現(xiàn)。為此，侵權責任法進行了相應的利益平衡，規(guī)定了被稱為“避風港原則”的網絡服務提供者“通知-刪除”義務，即僅在網絡服務提供者接到網絡用戶的侵權通知后，未采取必要措施的情況下，對損害擴大的部分承擔連帶責任。

再次，重點對信息系統(tǒng)實施等級保護。

從我國對網絡違法犯罪的規(guī)定來看，計算機信息系統(tǒng)安全是該時期網絡安全立法的核心內容。針對計算機信息系統(tǒng)安全，我國建立了較為完備的等級保護制度。我國網絡安全領域的首部立法《計算機信息系統(tǒng)安全保護條例》即明確規(guī)定，計算機信息系統(tǒng)實行安全等級保護。2007年，公安部頒布《信息安全等級保護管理辦法》，規(guī)定我國的國家信息安全等級保護實施自主定級和自主保護的原則，信息系統(tǒng)的安全保護等級根據(jù)信息系統(tǒng)在國家安全、經濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。根據(jù)這一定級原則，我國將信息系統(tǒng)分為五級，三級以上的信息系統(tǒng)被視為重要信息系統(tǒng)予以重點保護。例如，三級以上信息系統(tǒng)進行備案時需要提交相關材料，需要選擇使用符合條件的信息安全產品，需要選擇符合條件的等級保護測評機構進行測評等。在此之后，我國陸續(xù)頒布了多項關于信息系統(tǒng)定級、備案、安全建設、等級測評和檢查等規(guī)范信息安全等級保護制度的政策法律文件，形成了較為完善的信息安全等級保護法律體系。

表二

最后，開始對個人信息保護進行立法探索。

到今天為止，我國尚未針對個人信息保護頒布專門立法。但是作為一項公民的基本權利，個人信息保護問題在前網絡安全法時代已然開始了探索之路。該時期的個人信息保護相關規(guī)定極為匱乏，且主要通過個人隱私或人格尊嚴間接實現(xiàn)對個人信息的保護，相關規(guī)定散見于憲法、民法通則、治安管理處罰法、未成年人保護法、統(tǒng)計法、居民身份證法等多部法律中。2009年，這一情況得到實質性改觀，我國刑法修正案（七）增加了侵犯公民個人信息罪，明確規(guī)定出售或者非法向他人提供公民個人信息情節(jié)嚴重的，屬于犯罪。2012年，第十一屆全國人民代表大會常務委員會第三十次會議通過的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》全面系統(tǒng)地對公民個人信息保護作出規(guī)定，明確提出國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息。同時，針對個人信息的收集和使用問題，該法規(guī)定了網絡服務提供者和其他企事業(yè)單位收集和使用公民個人電子信息的原則和方法，對收集的公民個人電子信息必須保密，并采取技術措施和其他必要措施防止信息泄露、損毀或丟失。2014年，修訂后的消費者權益保護法中明確規(guī)定，消費者在購買、使用商品和接受服務時，享有個人信息依法得到保護的權利。此外，2013年，我國制定了《公共及商用服務信息系統(tǒng)個人信息保護指南》標準，涵蓋了個人信息全生命周期的系統(tǒng)保護，盡管其不具有法律強制性，但仍然起到了個人信息保護的指引和規(guī)范效果，也為未來個人信息保護立法奠定了基礎。

網絡安全法的體系脈絡

2016年，第十二屆全國人民代表大會常務委員會第二十四次會議通過《中華人民共和國網絡安全法》，在我國的網絡安全法治化進程中具有里程碑式的重要意義。作為網絡安全保障的基本法，網絡安全法徹底改變了此前諸法分立的局面，形成了具有整體性、協(xié)調性和統(tǒng)一性的網絡安全法治體系。事實上，制定統(tǒng)一的網絡安全法具有極高的立法難度。如前所述，網絡技術的應用已經滲透到社會結構的底層，那么其所產生的行為規(guī)范要求便會幾乎涉及生產生活的全部領域，這對于任何一部專門立法而言都是難以想象的。針對這一矛盾，我國的網絡安全法應當說是頗具智慧的。首先，該法對于前網絡安全法時代的規(guī)范性要求進行了系統(tǒng)化，將原本極為零散的各類安全事項納入統(tǒng)一的保障框架中，使網絡安全轉變?yōu)榻y(tǒng)一的法律客體。其次，該法將前網絡安全法時代的重點立法關注點進行了細致化，使其形成獨立的安全保障制度。典型的如網絡安全等級保護、網絡信息內容管理和個人信息保護。再次，該法對內容過于復雜，或目前尚不清晰的特殊問題預留了立法接口。最后，該法將前網絡安全法時代所未能關注的發(fā)展問題納入規(guī)范體系，明確了網絡安全的支持與促進，形成了標準化、社會化服務體系建設、宣傳教育和人才培養(yǎng)等相應制度，為網絡安全法的進一步完善提供了必要的創(chuàng)新基礎。

從我國網絡安全法的內容體系來看，其仍然專注于前網絡安全法時代的立法重點，將系統(tǒng)安全和內容安全作為最重要的規(guī)范事項，但相應的細致程度是此前立法所無法比擬的。同時，網絡安全法對于此前諸法分立所導致的“重事后懲處、輕事前預警”的弊端進行了回應，建立了監(jiān)測預警和應急處置的相應制度，變“被動防御”為“積極防御”，建立了諸多極其實用的網絡安全保障制度，對于維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益起到了積極的保障作用。

1.網絡運行安全保障

針對系統(tǒng)安全，我國網絡安全法側重于實現(xiàn)網絡運行安全，并采取了分類分級的保護思路，在網絡安全等級保護制度的基礎上，對關鍵信息基礎設施實施特殊保護。針對一般網絡，網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數(shù)據(jù)泄露或者被竊取、篡改。其具體措施包括，制定內部安全管理制度和操作規(guī)程，確定網絡安全負責人，落實網絡安全保護責任；采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；采取監(jiān)測、記錄網絡運行狀態(tài)、網絡安全事件的技術措施，并按照規(guī)定留存相關的網絡日志不少于六個月；采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施。

由于網絡運行安全很大程度上取決于其所使用的網絡產品和服務的安全性，為此網絡安全法特別強調網絡產品和服務的質量，要求網絡產品、服務應當符合相關國家標準的強制性要求。網絡產品、服務的提供者不得設置惡意程序，并提供持續(xù)性的安全維護。網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。

針對關鍵信息基礎設施，網絡安全法對于其安全性提出了更高的保障要求，除滿足一般網絡的安全保障義務外，關鍵信息基礎設施的運營者還應當設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查；定期對從業(yè)人員進行網絡安全教育、技術培訓和技能考核；對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份；制定網絡安全事件應急預案，并定期進行演練。

除此之外，網絡安全法還為關鍵信息基礎設施保護量身定做了三大安全保障制度：一是網絡安全審查制度，關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家安全審查。二是數(shù)據(jù)跨境安全評估制度，關鍵信息基礎設施的運營者在我國境內運營中收集和產生的個人信息和重要數(shù)據(jù)原則上要求在境內存儲。但因業(yè)務需要，確需向境外提供的，應當進行安全評估。三是年度安全評估，關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估。

2.網絡信息安全保障

我國網絡安全法確立的網絡信息安全保障實質上包含兩部分內容，一是個人信息保護制度；二是網絡信息內容管理制度。針對個人信息保護，網絡安全法對此前有關個人信息保護的規(guī)定進行了繼承和深化，在明確收集和使用個人信息基本原則的基礎上，要求網絡運營者采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。規(guī)定任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。更為重要的是，網絡安全法明確了個人享有的刪除權和更正權，個人在發(fā)現(xiàn)網絡運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息；發(fā)現(xiàn)網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正。

針對信息內容管理，網絡安全法更加強調網絡用戶的自律性，規(guī)定任何個人和組織應當對其使用網絡的行為負責，不得設立用于實施詐騙，傳授犯罪方法，制作或者銷售違禁物品、管制物品等違法犯罪活動的網站、通信群組，不得利用網絡發(fā)布涉及實施詐騙，制作或者銷售違禁物品、管制物品以及其他違法犯罪活動的信息。任何個人和組織發(fā)送的電子信息、提供的應用軟件，不得設置惡意程序，不得含有法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔?。與此同時，網絡運營者同樣承擔必要的信息審查和過濾義務，應當加強對其用戶發(fā)布信息的管理，發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔?，應當立即停止傳輸該信息，采取消除等處置措施，防止信息擴散，保存有關記錄，并向有關主管部門報告。網絡運營者還應當建立網絡信息安全投訴、舉報制度，公布投訴、舉報方式等信息，及時受理并處理有關網絡信息安全的投訴和舉報。

3.監(jiān)測預警與應急處置

近年來，網絡安全風險所具有的“非對稱性”越來越明顯，攻擊者只需要付出很小的成本就能夠造成極為嚴重的后果，而且網絡攻擊工具變得越來越便利且容易獲得，這意味著任何信息系統(tǒng)所可能遭遇的潛在威脅將越來越嚴重。在很多情況下，等到安全事件發(fā)生后再采取應對措施已然毫無意義。為此，我國的網絡安全法專章對網絡安全監(jiān)測預警和應急處置進行規(guī)定，要求建立網絡安全監(jiān)測預警和信息通報制度，建立健全網絡安全風險評估和應急工作機制，制定網絡安全事件應急預案，并定期組織演練。其中，監(jiān)管機構承擔主要的安全保障職責。當網絡安全事件發(fā)生的風險增大時，省級以上人民政府有關部門應當按照規(guī)定的權限和程序，并根據(jù)網絡安全風險的特點和可能造成的危害，采取有效措施，包括要求有關部門、機構和人員及時收集、報告有關信息，加強對網絡安全風險的監(jiān)測；組織有關部門、機構和專業(yè)人員，對網絡安全風險信息進行分析評估，預測事件發(fā)生的可能性、影響范圍和危害程度；向社會發(fā)布網絡安全風險預警，發(fā)布避免、減輕危害的措施。其在網絡安全監(jiān)督管理過程中，發(fā)現(xiàn)存在較大安全風險或者發(fā)生安全事件的，可以對該網絡運營者的法定代表人或者主要負責人進行約談。網絡運營者應當按照要求采取措施，進行整改，消除隱患。當發(fā)生網絡安全事件后，應當立即啟動網絡安全事件應急預案，對網絡安全事件進行調查和評估，要求網絡運營者采取技術措施和其他必要措施，消除安全隱患，防止危害擴大，并及時向社會發(fā)布與公眾有關的警示信息。

在網絡安全法頒布實施之后，可以發(fā)現(xiàn)我國陸續(xù)制定并頒布了大量專門性的配套法規(guī)，網絡安全的法治化開始進入到全面繁榮時期。例如針對網絡運行安全的《網絡安全等級保護條例（征求意見稿）》；針對關鍵信息基礎設施保護的《關鍵信息基礎設施安全保護條例（征求意見稿）》《網絡產品和服務安全審查辦法（試行）》；針對網絡信息內容安全的《互聯(lián)網新聞信息服務管理規(guī)定》《互聯(lián)網信息內容管理行政執(zhí)法程序規(guī)定》《互聯(lián)網跟帖評論服務管理規(guī)定》《微博客信息服務管理規(guī)定》《互聯(lián)網群組信息服務管理規(guī)定》；針對個人信息保護的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》《數(shù)據(jù)安全管理辦法（征求意見稿）》《兒童個人信息網絡保護規(guī)定》；針對監(jiān)測預警和應急處置的《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》等。

這得益于網絡安全法奠定的良好基礎，通過梳理網絡安全法的體系脈絡可以發(fā)現(xiàn)，網絡安全法的積極意義并不在于其內容多么完備——事實上，在很多制度層面，現(xiàn)有規(guī)定仍然是原則性和框架式的——而在于其對于紛繁復雜的網絡安全保障事項進行了協(xié)調統(tǒng)一，使之體系化、系統(tǒng)化，將以前的分散保護轉變?yōu)檎w保護，并對若干安全保障制度預留了立法接口，在未來可以很快形成完整的網絡安全保障法律體系，極大促進了國家網絡安全保障能力的提升。