論技術(shù)標(biāo)準(zhǔn)增強(qiáng)《網(wǎng)絡(luò)安全法》適用效能

郗 蕊

一、問題的提出

隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展和網(wǎng)絡(luò)安全形勢(shì)的需要,我國(guó)網(wǎng)絡(luò)安全法治歷經(jīng)多次變革,從零散的、低位階的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等行政法規(guī)和《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法》等部門規(guī)章,逐漸走向統(tǒng)一的、高位階的專門法律,以《網(wǎng)絡(luò)安全法》為基本法的網(wǎng)絡(luò)安全法律法規(guī)體系已經(jīng)初具規(guī)模?！?〕參見黃道麗主編:《中國(guó)網(wǎng)絡(luò)安全法治40 年》,華中科技大學(xué)出版社2020 年版,第1 頁。同時(shí),在國(guó)家網(wǎng)信部門負(fù)責(zé)領(lǐng)導(dǎo)統(tǒng)籌協(xié)調(diào)下,國(guó)務(wù)院電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)依照《網(wǎng)絡(luò)安全法》等法律法規(guī)之規(guī)定分工負(fù)責(zé)的網(wǎng)絡(luò)安全管理體系也已在運(yùn)行之中。然而,面對(duì)具有技術(shù)屬性的網(wǎng)絡(luò)安全領(lǐng)域,當(dāng)前立法還存在立法者專業(yè)知識(shí)不足、立法規(guī)范可操作性較低、立法更新相對(duì)滯后等局限性;實(shí)踐中,網(wǎng)絡(luò)安全監(jiān)管“九龍治水”現(xiàn)象仍然存在,行政執(zhí)法過程中還存在不同執(zhí)法部門對(duì)同一單位、同一事項(xiàng)重復(fù)檢查且檢查標(biāo)準(zhǔn)不一等問題?！?〕《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)執(zhí)法檢查組關(guān)于檢查〈中華人民共和國(guó)網(wǎng)絡(luò)安全法〉 〈全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定〉 實(shí)施情況的報(bào)告》,載中國(guó)人大網(wǎng),http://www.npc.gov.cn/npc/c30834/201712/73685f79f8014eceadd9354bc48d1bc9.shtml,最后訪問日期:2017年12 月24 日。這導(dǎo)致了《網(wǎng)絡(luò)安全法》適用的有效性降低,法律治理的效能不高?！?〕何治樂:《〈網(wǎng)絡(luò)安全法〉 有效性評(píng)估及提升路徑》,載《中國(guó)信息安全》2018 年第7 期,第67～70 頁。立法的實(shí)施還需要其他規(guī)范作為補(bǔ)充,而網(wǎng)絡(luò)安全標(biāo)準(zhǔn)正是《網(wǎng)絡(luò)安全法》實(shí)施中發(fā)揮重要作用的規(guī)范之一。

我國(guó)《標(biāo)準(zhǔn)化法》規(guī)定,標(biāo)準(zhǔn)(含標(biāo)準(zhǔn)樣品)〔4〕本文所指標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化工作中的“標(biāo)準(zhǔn)”(standard) 二字。根據(jù)國(guó)家質(zhì)檢總局和國(guó)家標(biāo)準(zhǔn)委2014 年發(fā)布的中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)《標(biāo)準(zhǔn)化工作指南第 1 部分:標(biāo)準(zhǔn)化和相關(guān)活動(dòng)的通用術(shù)語》(GB/T20001.1-2014),標(biāo)準(zhǔn)是指“通過標(biāo)準(zhǔn)化活動(dòng),按照規(guī)定的程序經(jīng)協(xié)商一致制定,為各種活動(dòng)或其結(jié)果提供規(guī)則、指南或特性,供共同使用的和重復(fù)使用的文件”,同時(shí)注明“標(biāo)準(zhǔn)宜以科學(xué)、技術(shù)和經(jīng)驗(yàn)的綜合成果為基礎(chǔ),以促進(jìn)最佳的共同效益為目的。”是指農(nóng)業(yè)、工業(yè)、服務(wù)業(yè)以及社會(huì)事業(yè)等領(lǐng)域需要統(tǒng)一的技術(shù)要求。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是網(wǎng)絡(luò)安全領(lǐng)域需要統(tǒng)一的技術(shù)要求。例如,《網(wǎng)絡(luò)安全法》實(shí)施以來,國(guó)家從立法層面相繼發(fā)布了一系列與個(gè)人信息保護(hù)有關(guān)的法律法規(guī)、規(guī)范性文件及司法解釋;由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)牽頭制定的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273-2017,以下簡(jiǎn)稱《個(gè)人信息安全規(guī)范》),從國(guó)家標(biāo)準(zhǔn)層面明確了企業(yè)收集、使用、分享個(gè)人信息的合規(guī)要求,為企業(yè)制定隱私政策及個(gè)人信息管理規(guī)范指明了方向;APP 違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理中,網(wǎng)信、工信、公安等監(jiān)管部門在執(zhí)法中參考了《個(gè)人信息安全規(guī)范》等技術(shù)文件;互聯(lián)網(wǎng)協(xié)會(huì)、網(wǎng)絡(luò)空間安全協(xié)會(huì)等社會(huì)組織以及各大互聯(lián)網(wǎng)應(yīng)用平臺(tái)在工作中引用、參考相關(guān)技術(shù)文件;各類技術(shù)文件已經(jīng)逐步成為各行業(yè)、各領(lǐng)域開展APP 個(gè)人信息保護(hù)工作的“統(tǒng)一標(biāo)尺”。

上述表明,這些本不具有法律屬性的技術(shù)標(biāo)準(zhǔn)卻在法治領(lǐng)域發(fā)揮著類似“法”統(tǒng)一調(diào)整的功能。標(biāo)準(zhǔn)化在網(wǎng)絡(luò)安全治理中的作用早已為學(xué)界和實(shí)務(wù)界所認(rèn)識(shí)〔1〕參見王智江主編的《網(wǎng)絡(luò)安全法概論》、張楚主編的《網(wǎng)絡(luò)法學(xué)》以及朱明編著的《公安機(jī)關(guān)信息網(wǎng)絡(luò)安全管理及法律適用研究》等書籍都提到技術(shù)標(biāo)準(zhǔn),其中,《網(wǎng)絡(luò)安全法概論》將標(biāo)準(zhǔn)放入法律體系中進(jìn)行論述;《公安機(jī)關(guān)信息網(wǎng)絡(luò)安全管理及法律適用研究》認(rèn)為標(biāo)準(zhǔn)對(duì)法律法規(guī)的執(zhí)行具有支撐性的作用,指出標(biāo)準(zhǔn)提供了網(wǎng)絡(luò)安全等級(jí)保護(hù)的依據(jù)和內(nèi)容,并將標(biāo)準(zhǔn)作為公安機(jī)關(guān)執(zhí)法的依據(jù);張楚主編的《網(wǎng)絡(luò)法學(xué)》將技術(shù)標(biāo)準(zhǔn)納入網(wǎng)絡(luò)技術(shù)規(guī)范范疇,并與網(wǎng)絡(luò)技術(shù)性法律規(guī)范相區(qū)別。,主要觀點(diǎn)是模糊地把標(biāo)準(zhǔn)當(dāng)成“法”的一種而作為互聯(lián)網(wǎng)企業(yè)合規(guī)和行政監(jiān)管執(zhí)法的依據(jù),卻沒有真正厘清標(biāo)準(zhǔn)與法律的關(guān)系,也沒有闡釋標(biāo)準(zhǔn)發(fā)揮作用的機(jī)制原理。這樣的觀點(diǎn)還是比較淺顯的。為此,本文以《網(wǎng)絡(luò)安全法》為樣本,分析網(wǎng)絡(luò)安全標(biāo)準(zhǔn)進(jìn)入法治領(lǐng)域而獲得合法效力的授權(quán)根據(jù),從彌補(bǔ)立法局限和支撐法律實(shí)施兩個(gè)方面闡釋標(biāo)準(zhǔn)增強(qiáng)法治效能的作用原理,嘗試提出我國(guó)網(wǎng)絡(luò)安全法律援引技術(shù)標(biāo)準(zhǔn)法制化的完善建議,以期有益于該領(lǐng)域企業(yè)合規(guī)、行政執(zhí)法等法務(wù)實(shí)踐,并以專業(yè)研究進(jìn)一步推進(jìn)“標(biāo)準(zhǔn)支撐法律”等標(biāo)準(zhǔn)化法基礎(chǔ)理論研究。

二、進(jìn)入《網(wǎng)絡(luò)安全法》的技術(shù)標(biāo)準(zhǔn)

網(wǎng)絡(luò)安全標(biāo)準(zhǔn)能夠增強(qiáng)法治效能的前提是技術(shù)標(biāo)準(zhǔn)在與《網(wǎng)絡(luò)安全法》規(guī)范領(lǐng)域和對(duì)象重疊基礎(chǔ)上,因法律引用而進(jìn)入到《網(wǎng)絡(luò)安全法》法條文本,獲得合法的效力授權(quán)。

(一) 技術(shù)標(biāo)準(zhǔn)與《網(wǎng)絡(luò)安全法》的關(guān)系

網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與法律之間存在區(qū)別,又密切聯(lián)系。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是關(guān)于網(wǎng)絡(luò)安全技術(shù)術(shù)語、技術(shù)參數(shù)、技術(shù)措施和管理要求等的一類技術(shù)文件,其本質(zhì)是不同于法律規(guī)范、存在于網(wǎng)絡(luò)安全法律法規(guī)體系之外可自行運(yùn)轉(zhuǎn)的一類社會(huì)規(guī)范系統(tǒng)。但是,現(xiàn)代治理背景下,標(biāo)準(zhǔn)已然成為治理的工具;自2010 年以來,治理理論正從“傳統(tǒng)治理”走向“新治理”;新治理理論一致強(qiáng)調(diào)標(biāo)準(zhǔn)的重要性。〔2〕李容華、劉瑾、徐海寧:《標(biāo)準(zhǔn)作為治理工具及其立法觀察》,載《中國(guó)標(biāo)準(zhǔn)化》2020 年第11 期,第59～66 頁?！毒W(wǎng)絡(luò)安全法》以法律形式認(rèn)可技術(shù)標(biāo)準(zhǔn)作為網(wǎng)絡(luò)安全治理工具的一種。第7 條明確規(guī)定了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)在網(wǎng)絡(luò)治理體系中的作用,對(duì)于構(gòu)建和平、安全、開放、合作的網(wǎng)絡(luò)空間而言,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定和打擊網(wǎng)絡(luò)違法犯罪一樣,是有效的治理工具之一。這為技術(shù)標(biāo)準(zhǔn)“進(jìn)入”網(wǎng)絡(luò)安全法治領(lǐng)域提供了可能。具體而言,由于法律與標(biāo)準(zhǔn)把網(wǎng)絡(luò)的運(yùn)行安全和信息安全作為同一規(guī)范對(duì)象,把維護(hù)網(wǎng)絡(luò)安全與秩序作為同一追求目標(biāo),《網(wǎng)絡(luò)安全法》與技術(shù)標(biāo)準(zhǔn)的規(guī)范領(lǐng)域發(fā)生重疊。這些領(lǐng)域的問題既是法律治理的問題,也是標(biāo)準(zhǔn)治理的問題。

網(wǎng)絡(luò)安全標(biāo)準(zhǔn)進(jìn)入法律,是指《網(wǎng)絡(luò)安全法》以法律援引標(biāo)準(zhǔn)的方式,使標(biāo)準(zhǔn)成為法條中的一部分內(nèi)容,并賦予相應(yīng)法律效力。所謂“進(jìn)入”是指兩個(gè)不同的事物,在某種途徑下,由一個(gè)事物嵌入另一個(gè)事物內(nèi)部。標(biāo)準(zhǔn)的實(shí)施有三種基本方式:一是法律引用(也稱法律援引);二是當(dāng)事人約定;三是合格評(píng)定(認(rèn)證認(rèn)可)〔1〕參見柳經(jīng)緯:《論標(biāo)準(zhǔn)替代法律的可能及限度》,載《比較法研究》2020 年第6 期,第174～184 頁。。法律援引指把與標(biāo)準(zhǔn)有關(guān)的內(nèi)容作為法律條款的構(gòu)成部分。它既是技術(shù)標(biāo)準(zhǔn)自身得以實(shí)施的方式之一,也是技術(shù)標(biāo)準(zhǔn)進(jìn)入法治系統(tǒng)〔2〕參見柳經(jīng)緯:《論標(biāo)準(zhǔn)的私法效力》,載《中國(guó)高校社會(huì)科學(xué)》2019 年第6 期,第76～79 頁。的方式之一。這種援引就像是一條傳送帶,把法律的齒輪與標(biāo)準(zhǔn)的齒輪環(huán)環(huán)相扣。這種援引方式并不改變標(biāo)準(zhǔn)的屬性,只是讓標(biāo)準(zhǔn)從法律之外進(jìn)入到法治領(lǐng)域,成為法律規(guī)范的技術(shù)工具,標(biāo)準(zhǔn)的法律效力依賴于法律的規(guī)定。

(二) 《網(wǎng)絡(luò)安全法》關(guān)于標(biāo)準(zhǔn)的條款

《網(wǎng)絡(luò)安全法》為鼓勵(lì)政府、社會(huì)、企業(yè)和個(gè)人共同參與治理,以達(dá)到預(yù)防、控制、合理分配安全風(fēng)險(xiǎn)的目的,在法律條文中設(shè)置涉及技術(shù)標(biāo)準(zhǔn)的專門條款,以授予網(wǎng)絡(luò)安全標(biāo)準(zhǔn)合法地位和法律效力。關(guān)于標(biāo)準(zhǔn)制定的條款,涉及標(biāo)準(zhǔn)制定的主體和參與標(biāo)準(zhǔn)制定主體,還涉及標(biāo)準(zhǔn)的類型。關(guān)于標(biāo)準(zhǔn)效力的條款,一方面涉及網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)遵守強(qiáng)制性標(biāo)準(zhǔn)的要求,另一方面涉及違反強(qiáng)制性標(biāo)準(zhǔn)要求應(yīng)當(dāng)承擔(dān)相應(yīng)的法律責(zé)任。

1.關(guān)于標(biāo)準(zhǔn)制定的條款

《網(wǎng)絡(luò)安全法》第一章、第二章中對(duì)標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全治理工具地位、標(biāo)準(zhǔn)的制定主體與參與主體、標(biāo)準(zhǔn)體系以及標(biāo)準(zhǔn)類型一一進(jìn)行了規(guī)定,其目的在于賦予網(wǎng)絡(luò)安全標(biāo)準(zhǔn)合法地位,授予政府部門主導(dǎo)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化活動(dòng)的相關(guān)權(quán)限。

《網(wǎng)絡(luò)安全法》第15 條規(guī)定“國(guó)家建立和完善網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系。國(guó)務(wù)院標(biāo)準(zhǔn)化行政主管部門和國(guó)務(wù)院其他有關(guān)部門根據(jù)各自的職責(zé),組織制定并適時(shí)修訂有關(guān)網(wǎng)絡(luò)安全管理以及網(wǎng)絡(luò)產(chǎn)品、服務(wù)和運(yùn)行安全的國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)”。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系建立和完善的主責(zé)部門在于政府?！毒W(wǎng)絡(luò)安全法》將標(biāo)準(zhǔn)制定主體以組織規(guī)范意義上的空白授權(quán)方式賦予國(guó)務(wù)院標(biāo)準(zhǔn)化行政主管部門和國(guó)務(wù)院其他有關(guān)部門如公安部、工信部等,國(guó)務(wù)院各相關(guān)部門根據(jù)自己的職責(zé),制定國(guó)家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)。

《網(wǎng)絡(luò)安全法》第15 條第2 款規(guī)定“國(guó)家支持企業(yè)、研究機(jī)構(gòu)、高等學(xué)校、網(wǎng)絡(luò)相關(guān)行業(yè)組織參與網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的制定”,以法律形式認(rèn)可標(biāo)準(zhǔn)治理的民主性,以提升履行含有合標(biāo)要求之義務(wù)的自愿性。按照現(xiàn)代治理理論,標(biāo)準(zhǔn)化活動(dòng)的主體是多元化的,包括政府機(jī)構(gòu)、社會(huì)中間組織和企業(yè)?！?〕于連超:《作為治理工具的自愿性標(biāo)準(zhǔn):理論、現(xiàn)狀與未來——兼論中國(guó)標(biāo)準(zhǔn)化法制的革新》,載《宏觀質(zhì)量研究》2015 年第4 期,第92～99 頁。在標(biāo)準(zhǔn)制定過程中,可以通過眾多利益相關(guān)方的充分討論來影響標(biāo)準(zhǔn)制定的最終結(jié)果〔2〕于連超:《標(biāo)準(zhǔn)支撐法律實(shí)施:比較分析與政策建議》,載《求是學(xué)刊》2017 年第4 期,第91～97 頁。,體現(xiàn)了網(wǎng)絡(luò)安全治理工具的民主性,也使標(biāo)準(zhǔn)更容易得到權(quán)威與遵從。

根據(jù)適用范圍,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)可以分為國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn)等。標(biāo)準(zhǔn)類型與《關(guān)于加強(qiáng)國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見》中“原則上不制定地方標(biāo)準(zhǔn)”相一致,以確保標(biāo)準(zhǔn)的高度統(tǒng)一性。在國(guó)家標(biāo)準(zhǔn)方面,截至2020 年12 月,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)共歸口國(guó)家標(biāo)準(zhǔn)320項(xiàng)〔3〕參見《已發(fā)布網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)清單》,https://www.tc260.org.cn/front/bzcx/yfgbqd.html,最后訪問日期:2020 年12 月21 日。,其中強(qiáng)制性國(guó)家標(biāo)準(zhǔn)不到10 條,其余均為推薦性國(guó)家標(biāo)準(zhǔn)。在行業(yè)標(biāo)準(zhǔn)方面,國(guó)務(wù)院承擔(dān)網(wǎng)絡(luò)安全監(jiān)管職能的部門還制定大量行業(yè)標(biāo)準(zhǔn)。如工信部制定的《YD/T 3212-2017 內(nèi)容分發(fā)網(wǎng)絡(luò)服務(wù)信息安全管理系統(tǒng)接口規(guī)范》、公安部制定的《GA/T 404-2002 信息技術(shù) 網(wǎng)絡(luò)安全漏洞掃描產(chǎn)品技術(shù)要求》。

2.關(guān)于標(biāo)準(zhǔn)效力的條款

《網(wǎng)絡(luò)安全法》通過配置網(wǎng)絡(luò)安全義務(wù)以達(dá)到調(diào)整網(wǎng)絡(luò)安全行為的目的。將標(biāo)準(zhǔn)援引入法律則是為了明確網(wǎng)絡(luò)安全義務(wù)的具體操作要求,表現(xiàn)為將合標(biāo)要求作為義務(wù)的構(gòu)成元素,多以“應(yīng)當(dāng)”“必須”等表述為主。網(wǎng)絡(luò)監(jiān)管部門開展網(wǎng)絡(luò)安全管理,監(jiān)督網(wǎng)絡(luò)運(yùn)營(yíng)者提供網(wǎng)絡(luò)產(chǎn)品、服務(wù)和開展網(wǎng)絡(luò)運(yùn)行,均需按照法律法規(guī)的規(guī)定,符合網(wǎng)絡(luò)安全領(lǐng)域國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的要求。如第15 條。網(wǎng)絡(luò)運(yùn)營(yíng)者建設(shè)、運(yùn)營(yíng)網(wǎng)絡(luò)或者通過網(wǎng)絡(luò)提供服務(wù)應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求,采取相關(guān)技術(shù)措施,保障網(wǎng)絡(luò)運(yùn)行安全和數(shù)據(jù)安全。如第10 條。網(wǎng)絡(luò)運(yùn)營(yíng)者提供的網(wǎng)絡(luò)產(chǎn)品與服務(wù)要符合相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求。如第22 條。特別是網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求,經(jīng)檢測(cè)認(rèn)證或符合要求后,才可以對(duì)外銷售或者向社會(huì)提供。如第23 條。總之,網(wǎng)絡(luò)安全產(chǎn)品的生產(chǎn)、服務(wù)的提供、措施的組織需遵守有關(guān)標(biāo)準(zhǔn)和認(rèn)證要求成為網(wǎng)絡(luò)運(yùn)營(yíng)者網(wǎng)絡(luò)安全義務(wù)的一部分。

既然合標(biāo)屬于義務(wù)的部分要求,那么違標(biāo)也應(yīng)承當(dāng)相應(yīng)法律責(zé)任,以保障標(biāo)準(zhǔn)與法律之共同目的的實(shí)現(xiàn)?！毒W(wǎng)絡(luò)安全法》設(shè)置了相對(duì)應(yīng)的法律責(zé)任條款,指出違反涉及相關(guān)標(biāo)準(zhǔn)和認(rèn)證的義務(wù)條款時(shí)須承擔(dān)的法律責(zé)任。網(wǎng)絡(luò)運(yùn)營(yíng)者違反標(biāo)準(zhǔn),可能被有關(guān)主管部門處以責(zé)令改正、警告等處罰;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,對(duì)單位和直接負(fù)責(zé)人處以罰款等處罰。如第60 條。網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)機(jī)構(gòu)違反標(biāo)準(zhǔn)開展認(rèn)證、檢測(cè),可能被有關(guān)主管部門處以責(zé)令改正、警告等處罰;拒不改正或者情節(jié)嚴(yán)重的,既處以罰款,并處以暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照等處罰,同時(shí)還對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處以罰款。如第62 條。

由于法律規(guī)范是一種包含條件的命令,包括事實(shí)要件和法律后果兩個(gè)層面;一旦事實(shí)要件具備,法律后果就產(chǎn)生。〔1〕參見[德] 哈特穆特·毛雷爾:《行政法學(xué)總論》,高家偉譯,法律出版社2000 年版,第122頁。標(biāo)準(zhǔn)效力條款表明,按照法律規(guī)范“假定條件+行為模式+法律后果”的形式,當(dāng)網(wǎng)絡(luò)運(yùn)營(yíng)者提供網(wǎng)絡(luò)產(chǎn)品、服務(wù)時(shí),要依照合標(biāo)條款履行義務(wù),否則將受到違標(biāo)責(zé)任條款的懲罰。這樣的合標(biāo)要求條款與違標(biāo)責(zé)任條款恰好構(gòu)成一條完整的法律規(guī)范,標(biāo)準(zhǔn)的技術(shù)規(guī)范轉(zhuǎn)換為法律的行為規(guī)范。這是網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的法律效力來源,也是標(biāo)準(zhǔn)能夠發(fā)揮“法”作用的根源。

三、技術(shù)標(biāo)準(zhǔn)彌補(bǔ)《網(wǎng)絡(luò)安全法》立法局限

網(wǎng)絡(luò)安全標(biāo)準(zhǔn)增強(qiáng)法治效能的首要表現(xiàn)是標(biāo)準(zhǔn)可以彌補(bǔ)法律漏洞、提升立法質(zhì)量、節(jié)約立法資源,使《網(wǎng)絡(luò)安全法》科學(xué)、明確、先進(jìn)以更符合良法品質(zhì),從而為法律適用提供基礎(chǔ)依據(jù)。

同作為規(guī)范系統(tǒng),《網(wǎng)絡(luò)安全法》與網(wǎng)絡(luò)安全標(biāo)準(zhǔn)不僅規(guī)范領(lǐng)域重疊、規(guī)范對(duì)象一致,而且兩者具有相同的價(jià)值追求,都強(qiáng)調(diào)民主與程序,即通過利益相關(guān)方的充分參與,按照一定的程序協(xié)商制定共同遵守的規(guī)則。這使兩者在文本形式上可以相互引用、實(shí)現(xiàn)融合互通。面對(duì)技術(shù)密集型的網(wǎng)絡(luò)安全領(lǐng)域,在調(diào)整以技術(shù)對(duì)象為基礎(chǔ)的網(wǎng)絡(luò)安全法律關(guān)系時(shí),《網(wǎng)絡(luò)安全法》保持開放性和包容性并與標(biāo)準(zhǔn)規(guī)范互動(dòng)才得以取標(biāo)準(zhǔn)之長(zhǎng)補(bǔ)法律之短。

(一) 彌補(bǔ)立法者專業(yè)知識(shí)的不足:標(biāo)準(zhǔn)的專業(yè)性

《網(wǎng)絡(luò)安全法》是由全國(guó)人民代表大會(huì)常務(wù)委員會(huì)于2016 年11 月7 日表決通過。作為一部網(wǎng)絡(luò)安全領(lǐng)域的基本法,其功能在于調(diào)整網(wǎng)絡(luò)安全法律關(guān)系和設(shè)置權(quán)力與責(zé)任、權(quán)利與義務(wù)等,其定位本身就不在于解決具體技術(shù)問題。但是對(duì)于什么樣的操作流程、技術(shù)措施是可以抵御網(wǎng)絡(luò)安全威脅的,需要有一定的客觀衡量尺度,根據(jù)當(dāng)前科技發(fā)達(dá)水平來度量在當(dāng)前一段時(shí)間內(nèi)至少應(yīng)達(dá)到什么程度的防范水平。由于全國(guó)人民代表大會(huì)常務(wù)委員會(huì)的審議委員多為人大代表、法律專家等,并非精專于網(wǎng)絡(luò)安全的技術(shù)專家,難以在法律中規(guī)定具體的技術(shù)要求和技術(shù)措施。

與之相對(duì)的,技術(shù)標(biāo)準(zhǔn)是由網(wǎng)絡(luò)安全領(lǐng)域的專家起草,在科學(xué)論證的基礎(chǔ)上,依據(jù)一定的程序經(jīng)協(xié)商一致而制定的技術(shù)規(guī)范文件。在我國(guó),全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(以下簡(jiǎn)稱“信安標(biāo)委”),是專門從事信息安全標(biāo)準(zhǔn)化的工作組織,委員會(huì)分別由國(guó)內(nèi)相關(guān)部門、研究所、企事業(yè)單位及高等院校等代表組成,如中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、中國(guó)科學(xué)院計(jì)算技術(shù)研究所、清華大學(xué)、華為技術(shù)有限公司,等等。且委員多為網(wǎng)絡(luò)與計(jì)算機(jī)專業(yè)的高級(jí)工程師、研究員。

具體到某一個(gè)標(biāo)準(zhǔn)的起草單位,也具有很強(qiáng)的專業(yè)性。如《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范》(GB/T 28458-2020) 起草單位包括國(guó)家信息技術(shù)安全研究中心、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國(guó)信息安全測(cè)評(píng)中心,中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、中國(guó)科學(xué)院信息工程研究所等研究機(jī)構(gòu),中國(guó)科學(xué)院大學(xué)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心等大學(xué),啟明星辰信息技術(shù)集團(tuán)股份有限公司、北京百度網(wǎng)訊科技有限公司、奇安信科技集團(tuán)股份有限公司等企業(yè)……可以看出,技術(shù)專家比一般立法者更有技術(shù)話語權(quán),這使技術(shù)標(biāo)準(zhǔn)在規(guī)范的科學(xué)性、客觀性上更有專業(yè)權(quán)威。

(二) 彌補(bǔ)立法的概括性:標(biāo)準(zhǔn)的具體性

“網(wǎng)絡(luò)安全首先是一個(gè)技術(shù)問題。從技術(shù)上講,網(wǎng)絡(luò)安全是一個(gè)立體的、多方位、多層次的系統(tǒng),覆蓋了信息網(wǎng)絡(luò)中的物理環(huán)境、通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)、主機(jī)平臺(tái)和應(yīng)用平臺(tái)等多個(gè)系統(tǒng)單元?！薄?〕張楚:《網(wǎng)絡(luò)法學(xué)》,高等教育出版社2008 年版,第95 頁。網(wǎng)絡(luò)安全與否是一門專門學(xué)科研究領(lǐng)域,有專門的語言代碼、運(yùn)算法則、發(fā)展規(guī)律和管理規(guī)則。而法律條文記錄不了技術(shù)語言。以網(wǎng)絡(luò)安全等級(jí)保護(hù)為例,《網(wǎng)絡(luò)安全法》第21 條規(guī)定“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行下列安全保護(hù)義務(wù):……采取防范……危害網(wǎng)絡(luò)安全行為的技術(shù)措施”。該條文可以看出《網(wǎng)絡(luò)安全法》沒有也不能把具體技術(shù)措施窮舉在法條中,只能使用界定內(nèi)涵的描述性語言進(jìn)行概括。實(shí)踐中,網(wǎng)絡(luò)安全等級(jí)保護(hù)制度則配套有《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB 17859-1999)、《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》(GB/T 20271-2006)、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T 25070-2019)、《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)估技術(shù)指南》(GB/T 36627-2018) 等一系列國(guó)家標(biāo)準(zhǔn)。

網(wǎng)絡(luò)安全等級(jí)保護(hù)包括定級(jí)、備案、安全建設(shè)、等級(jí)測(cè)評(píng)、監(jiān)督檢查等五個(gè)階段,具體而言:網(wǎng)絡(luò)運(yùn)營(yíng)單位第一步確認(rèn)定級(jí)對(duì)象,參考《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》(GB/T 22240-2020) 等初步確認(rèn)等級(jí),組織專家評(píng)審,主管單位審核;第二步,持定級(jí)報(bào)告和備案表等材料到公安機(jī)關(guān)網(wǎng)安部門進(jìn)行備案;第三步,以《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019) 中對(duì)應(yīng)等級(jí)的要求為標(biāo)準(zhǔn),對(duì)定級(jí)對(duì)象當(dāng)前不滿足要求的進(jìn)行建設(shè)整改;第四步,委托具備測(cè)評(píng)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)對(duì)定級(jí)對(duì)象進(jìn)行等級(jí)測(cè)評(píng),形成正式的測(cè)評(píng)報(bào)告,測(cè)評(píng)機(jī)構(gòu)依照《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》(GB/T 28448-2019) 開展測(cè)評(píng);第五步,向當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)安部門提交測(cè)評(píng)報(bào)告,配合完成對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施情況的檢查。公安機(jī)關(guān)的監(jiān)督檢查是對(duì)依照技術(shù)標(biāo)準(zhǔn)采用技術(shù)措施后的網(wǎng)絡(luò)安全秩序給予一種法律上的審核,這種網(wǎng)絡(luò)安全秩序?qū)嵸|(zhì)上是網(wǎng)絡(luò)運(yùn)營(yíng)者遵循技術(shù)標(biāo)準(zhǔn)的結(jié)果。

上述可見,技術(shù)標(biāo)準(zhǔn)提供了明晰而易操作的工作規(guī)范和管理規(guī)則,以保障用戶使用的便捷性。相較于法律規(guī)范,標(biāo)準(zhǔn)規(guī)范更具備實(shí)施上的可操作性。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)能夠?yàn)榫W(wǎng)絡(luò)運(yùn)營(yíng)者履行網(wǎng)絡(luò)安全義務(wù)提供操作指南,指出如何保障網(wǎng)絡(luò)安全的具體做法,細(xì)化《網(wǎng)絡(luò)安全法》中的不確定法律概念。

(三) 彌補(bǔ)立法的滯后性:標(biāo)準(zhǔn)的先進(jìn)性

網(wǎng)絡(luò)安全是相對(duì)的,會(huì)隨著時(shí)代技術(shù)發(fā)展而不斷變化。網(wǎng)絡(luò)攻防技術(shù)的發(fā)展總是“道高一尺魔高一丈”。要想保障安全,必須時(shí)刻保持在技術(shù)的前沿。法律規(guī)范具有穩(wěn)定性,即制定出來后在一段時(shí)間內(nèi)保持穩(wěn)定,不可朝令夕改。面對(duì)日新月異的互聯(lián)網(wǎng)技術(shù),法律的穩(wěn)定性容易隨時(shí)代與技術(shù)的發(fā)展表現(xiàn)為不適應(yīng)性。與之相對(duì),技術(shù)標(biāo)準(zhǔn)通常隨公認(rèn)技術(shù)發(fā)展而不斷修訂,這種相對(duì)靈活性使其更容易適應(yīng)社會(huì)對(duì)技術(shù)安全的要求?！稑?biāo)準(zhǔn)化法》規(guī)定了我國(guó)技術(shù)標(biāo)準(zhǔn)的復(fù)審制度,復(fù)審周期不超過5 年。經(jīng)過復(fù)審,對(duì)不適應(yīng)經(jīng)濟(jì)社會(huì)發(fā)展需要和技術(shù)進(jìn)步的標(biāo)準(zhǔn)應(yīng)當(dāng)及時(shí)修訂或廢止。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)往往在當(dāng)前科學(xué)技術(shù)研究成果和實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上,經(jīng)專家深入調(diào)查論證和向社會(huì)廣泛征求意見,不斷更新,以保障網(wǎng)絡(luò)產(chǎn)品、服務(wù)的安全性、通用性和先進(jìn)性?！?〕參見《標(biāo)準(zhǔn)化法》第4 條、第22 條、第29 條。例如,針對(duì)個(gè)人信息安全問題,為規(guī)范個(gè)人信息控制者在收集、保存、使用信息環(huán)節(jié)中的相關(guān)行為,《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273-2017) 于2017 年12 月29 日發(fā)布、2018 年5 月1 日實(shí)施。但隨著我國(guó)個(gè)人信息應(yīng)用實(shí)踐的迅速推廣和執(zhí)法活動(dòng)的深入開展,原規(guī)范的修訂很快納上日程,以應(yīng)對(duì)新技術(shù)和商業(yè)模式,2019 年一年之內(nèi),2 月、6 月、10 月先后三次分別發(fā)布了原規(guī)范的修訂草案和修訂征求意見稿。最終2020 年3 月6 日,國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)正式發(fā)布了《信息安全技術(shù)個(gè)人信息安全規(guī)范》(GB/T 35273-2020),實(shí)施后將替代《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T35273-2017)。因此,技術(shù)標(biāo)準(zhǔn)在適應(yīng)技術(shù)進(jìn)步上更具優(yōu)勢(shì)。

綜上,《網(wǎng)絡(luò)安全法》引入網(wǎng)絡(luò)安全標(biāo)準(zhǔn),可以彌補(bǔ)純粹法律條文在專業(yè)性、原則性、滯后性等方面的局限,打破具體適用上的技術(shù)壁壘,借以將法律規(guī)范效應(yīng)延伸至技術(shù)領(lǐng)域,以完成《網(wǎng)絡(luò)安全法》對(duì)網(wǎng)絡(luò)安全法律關(guān)系的實(shí)質(zhì)性規(guī)制。就援引效果而言,從表面看,《網(wǎng)絡(luò)安全法》通過援引技術(shù)標(biāo)準(zhǔn)解決了法律規(guī)范在技術(shù)領(lǐng)域的規(guī)制困境。當(dāng)法律遇到網(wǎng)絡(luò)安全技術(shù)問題時(shí),立法部門不必另行尋找解決技術(shù)問題的辦法,而是充分吸納符合立法目標(biāo)的標(biāo)準(zhǔn)規(guī)范。這不僅使網(wǎng)絡(luò)安全立法更加科學(xué)合理,還節(jié)約了立法資源,提升了立法效益。從更深層次看,《網(wǎng)絡(luò)安全法》通過援引技術(shù)標(biāo)準(zhǔn)使法律規(guī)范在保持形式上穩(wěn)定性的同時(shí),又在實(shí)質(zhì)上保持“與時(shí)俱進(jìn)”。面對(duì)技術(shù)問題,網(wǎng)絡(luò)安全立法不再解決技術(shù)細(xì)節(jié),而把實(shí)現(xiàn)網(wǎng)絡(luò)安全的具體技術(shù)問題交給標(biāo)準(zhǔn)化組織完成,不需要再啟動(dòng)法律修訂程序?qū)Ψ蓷l款進(jìn)行調(diào)整,通過升級(jí)其所援引的標(biāo)準(zhǔn)即可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全法律關(guān)系調(diào)整規(guī)范。加之,通常情況下標(biāo)準(zhǔn)應(yīng)在五年之內(nèi)被修訂一次,以保證標(biāo)準(zhǔn)反映最新技術(shù)發(fā)展現(xiàn)狀,因而《網(wǎng)絡(luò)安全法》援引最新標(biāo)準(zhǔn)有利于推動(dòng)立法水平實(shí)質(zhì)上的進(jìn)步。

四、技術(shù)標(biāo)準(zhǔn)支撐《網(wǎng)絡(luò)安全法》的實(shí)施

網(wǎng)絡(luò)安全標(biāo)準(zhǔn)增強(qiáng)法治效能的表現(xiàn)除了彌補(bǔ)立法局限提升立法品質(zhì)外,更主要體現(xiàn)在支撐《網(wǎng)絡(luò)安全法》的實(shí)施,使法律真正成為可具操作性的“活”法而發(fā)揮善治作用。

網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的技術(shù)規(guī)范效力主要作用于產(chǎn)品、服務(wù)、措施等事務(wù)對(duì)象,以規(guī)制產(chǎn)品的質(zhì)量、服務(wù)的功能、系統(tǒng)運(yùn)行的狀態(tài)、數(shù)據(jù)的完整保密屬性等性能,主要依靠市場(chǎng)主體基于經(jīng)濟(jì)效益的考量而自愿執(zhí)行,不具有強(qiáng)制性。《網(wǎng)絡(luò)安全法》通過援引標(biāo)準(zhǔn),使標(biāo)準(zhǔn)在本身技術(shù)規(guī)范效力基礎(chǔ)上,獲得了法律意義上的規(guī)范效力,即一旦被援引則具有一定的法律拘束力。依據(jù)《標(biāo)準(zhǔn)化法》《網(wǎng)絡(luò)安全法》的規(guī)定,強(qiáng)制性標(biāo)準(zhǔn)必須執(zhí)行;推薦性標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)經(jīng)法律引用后,應(yīng)具備強(qiáng)制實(shí)施效力〔1〕參見柳經(jīng)緯:《標(biāo)準(zhǔn)的類型劃分及其私法效力》,載《現(xiàn)代法學(xué)》2020 年第2 期,第165 頁。;標(biāo)準(zhǔn)經(jīng)企業(yè)自我聲明公開后,必須遵守。在《網(wǎng)絡(luò)安全法》實(shí)施的不同階段,針對(duì)不同的實(shí)施主體,這些被援引的標(biāo)準(zhǔn)表現(xiàn)出的法律規(guī)范效應(yīng)大不相同:對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)者而言,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是網(wǎng)絡(luò)安全義務(wù)規(guī)定的具體化;對(duì)行政機(jī)關(guān)而言,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)則是具體行政行為事實(shí)認(rèn)定的判斷依據(jù);對(duì)司法機(jī)關(guān)而言,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)則是審判中事實(shí)認(rèn)定和法律適用的重要參考。

(一) 對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的規(guī)范效應(yīng)

《網(wǎng)絡(luò)安全法》通過設(shè)置網(wǎng)絡(luò)安全義務(wù)對(duì)網(wǎng)絡(luò)安全行為進(jìn)行調(diào)整規(guī)范。《網(wǎng)絡(luò)安全法》關(guān)注網(wǎng)絡(luò)運(yùn)營(yíng)者“應(yīng)當(dāng)為”的問題,而該義務(wù)履行的判斷在于網(wǎng)絡(luò)運(yùn)行的狀態(tài)。當(dāng)網(wǎng)絡(luò)運(yùn)行達(dá)到風(fēng)險(xiǎn)防控標(biāo)準(zhǔn)要求時(shí),運(yùn)營(yíng)者義務(wù)履行落實(shí)到位;反之,則沒有。標(biāo)準(zhǔn)通過網(wǎng)絡(luò)安全義務(wù)具體化產(chǎn)生作用,解答網(wǎng)絡(luò)運(yùn)營(yíng)者“如何為”的問題,為網(wǎng)絡(luò)運(yùn)營(yíng)者履行網(wǎng)絡(luò)安全義務(wù)提供技術(shù)規(guī)范指引,提升網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)《網(wǎng)絡(luò)安全法》的遵從性。

1.衡量產(chǎn)品、服務(wù)安全與否的標(biāo)尺

這種表面看似以產(chǎn)品服務(wù)為調(diào)整對(duì)象,實(shí)則對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者產(chǎn)生規(guī)范效應(yīng),構(gòu)成網(wǎng)絡(luò)產(chǎn)品服務(wù)提供者的安全義務(wù)之一?！毒W(wǎng)絡(luò)安全法》第9 條創(chuàng)設(shè)了網(wǎng)絡(luò)安全保護(hù)義務(wù),而第10 條指明了第九條義務(wù)的總體要求與相關(guān)依據(jù),即網(wǎng)絡(luò)運(yùn)營(yíng)者采取技術(shù)措施維護(hù)網(wǎng)絡(luò)安全時(shí),除了應(yīng)當(dāng)依照法律和行政法規(guī)的規(guī)定,還要依照國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求。《網(wǎng)絡(luò)安全法》第22 條、第23 條規(guī)定網(wǎng)絡(luò)產(chǎn)品、服務(wù)特別是網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)符合相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求,如強(qiáng)制性國(guó)家標(biāo)準(zhǔn)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》(GB 40050-2021)?！毒W(wǎng)絡(luò)安全法》明確了網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者的安全義務(wù),其中規(guī)定“國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求”是網(wǎng)絡(luò)產(chǎn)品服務(wù)的準(zhǔn)入性“門檻”。除了強(qiáng)制性標(biāo)準(zhǔn),推薦性標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)經(jīng)法律援引或經(jīng)企業(yè)自我聲明或作為第三方檢測(cè)認(rèn)證依據(jù)后,也成為網(wǎng)絡(luò)安全義務(wù)的構(gòu)成部分,對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者產(chǎn)生拘束力。此效力主要來源于《標(biāo)準(zhǔn)化法》第27 條“國(guó)家實(shí)行團(tuán)體標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)自我聲明公開和監(jiān)督制度。企業(yè)應(yīng)當(dāng)公開其執(zhí)行的強(qiáng)制性標(biāo)準(zhǔn)、推薦性標(biāo)準(zhǔn)、團(tuán)體標(biāo)準(zhǔn)或者企業(yè)標(biāo)準(zhǔn)的編號(hào)和名稱;企業(yè)執(zhí)行自行制定的企業(yè)標(biāo)準(zhǔn)的,還應(yīng)當(dāng)公開產(chǎn)品、服務(wù)的功能指標(biāo)和產(chǎn)品的性能指標(biāo)?！本W(wǎng)絡(luò)安全產(chǎn)品、服務(wù)不符合標(biāo)準(zhǔn)要求的,應(yīng)承擔(dān)相應(yīng)的民事、行政甚至刑事責(zé)任。如《網(wǎng)絡(luò)安全法》第60 條、第62 條,《標(biāo)準(zhǔn)化法》第25 條、第36 條、第37 條、第38 條。

2.第三方機(jī)構(gòu)檢測(cè)認(rèn)證的依據(jù)

標(biāo)準(zhǔn)是認(rèn)證的依據(jù),認(rèn)證是標(biāo)準(zhǔn)的實(shí)施?！毒W(wǎng)絡(luò)安全法》第23 條規(guī)定網(wǎng)絡(luò)關(guān)鍵設(shè)備的銷售,除了符合強(qiáng)制性國(guó)家標(biāo)準(zhǔn),還需要通過安全檢測(cè)或認(rèn)證,方可對(duì)外銷售。網(wǎng)絡(luò)關(guān)鍵設(shè)備的安全檢測(cè)需要由具備資格的機(jī)構(gòu)按照網(wǎng)絡(luò)關(guān)鍵設(shè)備安全檢測(cè)依據(jù)的標(biāo)準(zhǔn)實(shí)施檢測(cè)?！毒W(wǎng)絡(luò)關(guān)鍵設(shè)備安全檢測(cè)實(shí)施辦法(征求意見稿)》規(guī)定檢測(cè)機(jī)構(gòu)應(yīng)按照檢測(cè)標(biāo)準(zhǔn)執(zhí)行檢測(cè)任務(wù),檢測(cè)機(jī)構(gòu)不按照檢測(cè)標(biāo)準(zhǔn)要求執(zhí)行檢測(cè)任務(wù),工業(yè)和信息化部采取暫停采信其檢測(cè)結(jié)果等處理措施;還規(guī)定網(wǎng)絡(luò)關(guān)鍵設(shè)備安全檢測(cè)依據(jù)的標(biāo)準(zhǔn)另行發(fā)布?！?〕參見《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全檢測(cè)實(shí)施辦法(征求意見稿)》第7 條、第11 條、第14 條。又如,為規(guī)范移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序收集、使用個(gè)人信息的行為,市場(chǎng)監(jiān)管總局、中央網(wǎng)信辦于2019 年3 月15 日決定開展App 安全認(rèn)證工作并發(fā)布了《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App) 安全認(rèn)證實(shí)施規(guī)則》。根據(jù)該規(guī)則,App 數(shù)據(jù)安全認(rèn)證的依據(jù)為最新版本《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273) 及相關(guān)標(biāo)準(zhǔn)、規(guī)范?！?〕《〈個(gè)人信息安全規(guī)范〉(2020 版) 簡(jiǎn)要解讀和合規(guī)建議》,載https://www.sohu.com/a/41754 7927_672137,最后訪問日期:2021 年3 月7 日。

3.網(wǎng)絡(luò)安全措施的技術(shù)指南

《網(wǎng)絡(luò)安全法》第41 條規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意?！缎畔踩夹g(shù)個(gè)人信息安全規(guī)范》(GB/T 35273-2020) 對(duì)如何開展收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等個(gè)人信息處理活動(dòng)提出了具體要求和操作規(guī)范,并以附錄形式給出個(gè)人信息示例、個(gè)人敏感信息判定、實(shí)現(xiàn)個(gè)人信息主體自主意愿的方法、個(gè)人信息保護(hù)政策模板。雖然該網(wǎng)絡(luò)安全標(biāo)準(zhǔn)為推薦性國(guó)家標(biāo)準(zhǔn),不具有強(qiáng)制實(shí)施效力,但是行政執(zhí)法機(jī)關(guān)常以媒體曝光、產(chǎn)品下架等方式查處違反標(biāo)準(zhǔn)的企業(yè),從而影響到企業(yè)名聲和股價(jià)等市場(chǎng)價(jià)值。這在一定程度上對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者產(chǎn)生震懾效應(yīng),迫使其依照標(biāo)準(zhǔn)組織網(wǎng)絡(luò)運(yùn)營(yíng),履行企業(yè)網(wǎng)絡(luò)安全義務(wù)。如2020年12 月,廣東省公安機(jī)關(guān)發(fā)布新聞稱,在超范圍收集用戶信息App 清理整治專項(xiàng)行動(dòng)中,直接點(diǎn)名共監(jiān)測(cè)發(fā)現(xiàn)“萬聯(lián)e 萬通”“微信電話本”“中國(guó)移動(dòng)”“百度地圖(iOS)”等38 款移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP) 存在超范圍收集用戶信息違規(guī)行為?！?〕《這38 款A(yù)PP 違規(guī)收集用戶信息! 廣東警方曝光》,載https://www.sohu.com/a/441049255_118392,最后訪問日期:2021 年3 月7 日。公安機(jī)關(guān)認(rèn)定這38 款A(yù)PP 存在超范圍采集個(gè)人信息行為即參照《信息安全技術(shù)個(gè)人信息安全規(guī)范》(GB/T 35273-2020),特別是個(gè)人信息保護(hù)政策(也稱隱私政策) 模板。

(二) 對(duì)行政機(jī)關(guān)的規(guī)范效應(yīng)

《網(wǎng)絡(luò)安全法》授予行政監(jiān)管機(jī)關(guān)監(jiān)督管理網(wǎng)絡(luò)安全義務(wù)履行的職權(quán),依法采取行政許可、檢查、處罰等具體行政行為。具體行政行為是行政機(jī)關(guān)適用法律的過程。法律適用依次包括四個(gè)階段:①調(diào)查和認(rèn)定案件事實(shí);②解釋和確定法定事實(shí)要件;③函攝:案件事實(shí)與法定事實(shí)是否相符;④確定法律后果。〔1〕參見[德] 哈特穆特·毛雷爾:《行政法學(xué)總論》,高家偉譯,法律出版社2000 年版,第123頁。前三個(gè)階段都是在進(jìn)行事實(shí)認(rèn)定,是確定法律后果的必要條件。標(biāo)準(zhǔn)發(fā)揮作用的環(huán)節(jié)也是在事實(shí)認(rèn)定階段,一方面,對(duì)法律原則性規(guī)定和不確定概念給予具體化解釋,構(gòu)成法定事實(shí)要件;另一方面,對(duì)案件事實(shí)與法定事實(shí)之間的相符性進(jìn)行專業(yè)認(rèn)知判斷。在此基礎(chǔ)上,才是適用包含標(biāo)準(zhǔn)的法律條款作出許可、處罰等處置后果?？傮w而言,標(biāo)準(zhǔn)對(duì)行政機(jī)關(guān)的規(guī)范效應(yīng)主要是作為事實(shí)認(rèn)定環(huán)節(jié)的判斷依據(jù)。

1.行政檢查的技術(shù)依據(jù)

根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定,網(wǎng)絡(luò)安全監(jiān)管內(nèi)容包括技術(shù)監(jiān)管與非技術(shù)監(jiān)管兩部分。技術(shù)執(zhí)法需要技術(shù)標(biāo)準(zhǔn)來認(rèn)定違法事實(shí),例如備案風(fēng)險(xiǎn)等級(jí)與重要性是否相符,收集個(gè)人信息是否超出范圍;非技術(shù)執(zhí)法一般運(yùn)用日常檢查和邏輯判斷,例如:是否符合強(qiáng)制性要求,是否通過認(rèn)證,是否備案,是否留存日志等。在此意義上,網(wǎng)絡(luò)安全監(jiān)管中的行政檢查更多時(shí)候是一種技術(shù)執(zhí)法。技術(shù)執(zhí)法要以標(biāo)準(zhǔn)等為依據(jù),采用檢驗(yàn)檢測(cè)儀器和設(shè)備,運(yùn)用各種技術(shù)方法認(rèn)定違法事實(shí),用科學(xué)的數(shù)據(jù)說話。以公安機(jī)關(guān)監(jiān)督檢查網(wǎng)絡(luò)安全等級(jí)保護(hù)為例,《網(wǎng)絡(luò)安全法》第21 條規(guī)定“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”,《公安機(jī)關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》第10 條規(guī)定公安機(jī)關(guān)應(yīng)當(dāng)依照國(guó)家有關(guān)規(guī)定和標(biāo)準(zhǔn),監(jiān)督檢查互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位是否履行網(wǎng)絡(luò)安全等級(jí)保護(hù)等義務(wù)。具體而言,公安機(jī)關(guān)依據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T 25070-2019)、《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)估技術(shù)指南》(GB/T 36627-2018) 等一系列國(guó)家標(biāo)準(zhǔn),采取現(xiàn)場(chǎng)監(jiān)督檢查或者遠(yuǎn)程檢測(cè)的方式檢查網(wǎng)絡(luò)運(yùn)營(yíng)者是否落實(shí)了網(wǎng)絡(luò)安全措施。

2.行政違法事實(shí)認(rèn)定的客觀依據(jù)

網(wǎng)絡(luò)安全義務(wù)基本邏輯為:“由政府主導(dǎo)至上而下施加義務(wù),并通過國(guó)家、行業(yè)標(biāo)準(zhǔn)規(guī)定非常具體的措施性要求作為義務(wù)的主要內(nèi)容,然后通過行政處罰等手段強(qiáng)制性要求管理對(duì)象合規(guī)”〔2〕洪延青:《“以管理為基礎(chǔ)的規(guī)制”——對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者安全保護(hù)義務(wù)的重構(gòu)》,載《環(huán)球法律評(píng)論》2016 年第4 期,第28 頁。。行政檢查發(fā)現(xiàn)有違法行為的,網(wǎng)絡(luò)安全監(jiān)管機(jī)關(guān)則需立即作出行政處罰的判斷。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)為判定行為合法性與違法性提供事實(shí)證據(jù),而非直接作為違法處罰的依據(jù);行政執(zhí)法的具體罰則依據(jù)是《網(wǎng)絡(luò)安全法》。例如,2017 年7 月22 日,宜賓市翠屏區(qū)“教師發(fā)展平臺(tái)”網(wǎng)站因網(wǎng)絡(luò)安全防護(hù)工作落實(shí)不到位,導(dǎo)致網(wǎng)站存在高危漏洞,造成網(wǎng)站發(fā)生被黑客攻擊入侵的網(wǎng)絡(luò)安全事件〔1〕《〈網(wǎng)絡(luò)安全法〉 實(shí)施后處罰案例盤點(diǎn)》,載https://www.sohu.com/a/166415789_713041,最后訪問日期:2021 年3 月7 日。。宜賓市公安機(jī)關(guān)網(wǎng)安部門調(diào)查發(fā)現(xiàn),該網(wǎng)站自上線運(yùn)行以來,始終未進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)的定級(jí)備案、等級(jí)測(cè)評(píng)等工作,未落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。我國(guó)實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,要求網(wǎng)絡(luò)運(yùn)營(yíng)者首先要依據(jù)強(qiáng)制性國(guó)家標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB 17859-1999) 進(jìn)行定級(jí),而該案中涉事單位未開展定級(jí)工作,且后續(xù)的備案、測(cè)評(píng)等工作也無從談起。根據(jù)《網(wǎng)絡(luò)安全法》第21 條、第59 條第1 款的規(guī)定:決定給予翠屏區(qū)教師培訓(xùn)與教育研究中心和直接負(fù)責(zé)的主管人員法定代表唐某某行政處罰決定,對(duì)翠屏區(qū)教師培訓(xùn)與教育研究中心處一萬元罰款,對(duì)法人代表唐某某處五千元罰款。

3.行政處罰裁量基準(zhǔn)

網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是裁量適用不同檔次行政處罰的基準(zhǔn),是行政裁量選擇的客觀參照?！毒W(wǎng)絡(luò)安全法》通過設(shè)定網(wǎng)絡(luò)安全法律責(zé)任規(guī)定了不同處罰類型,而網(wǎng)絡(luò)安全標(biāo)準(zhǔn)為行政裁量或免于處罰提供客觀證據(jù)?！毒W(wǎng)絡(luò)安全法》在行政處罰中設(shè)定了不同的法律責(zé)任,如責(zé)令改正、警告、罰款等。作為證明客觀事實(shí)的證據(jù)材料,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)不僅關(guān)系到違法事實(shí)認(rèn)定,又關(guān)系到違法行為處罰裁量認(rèn)定。由于國(guó)家標(biāo)準(zhǔn)一般是最低要求,即使嚴(yán)格按照網(wǎng)絡(luò)安全標(biāo)準(zhǔn)落實(shí)防護(hù)措施,網(wǎng)絡(luò)信息系統(tǒng)還是有被攻擊的可能。標(biāo)準(zhǔn)只是一個(gè)便于操作的判斷違法行為成立的方法,符合標(biāo)準(zhǔn)并不能成為行為正當(dāng)性的抗辯事由〔2〕蔣怡琴:《論標(biāo)準(zhǔn)在民事裁判中的適用》,載《行政與法》2018 年第7 期,第120 頁。。雖說遵守網(wǎng)絡(luò)安全標(biāo)準(zhǔn)并不是遵守網(wǎng)絡(luò)安全義務(wù)的唯一途徑,符合標(biāo)準(zhǔn)也并不能完全對(duì)抗法律責(zé)任,但網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是網(wǎng)絡(luò)安全義務(wù)履行與否的重要判定“標(biāo)尺”,是網(wǎng)絡(luò)安全保護(hù)與否這一法律事實(shí)認(rèn)定的關(guān)鍵證據(jù)。“合規(guī)達(dá)標(biāo)”可以是行政機(jī)關(guān)在行政處罰時(shí)選擇不同檔次裁量基準(zhǔn)的事實(shí)證據(jù)。當(dāng)發(fā)生意外或輕微網(wǎng)絡(luò)安全事件時(shí),更甚者“合規(guī)達(dá)標(biāo)”也可以成為免于行政處罰的一個(gè)裁量情節(jié)。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)為《網(wǎng)絡(luò)安全法》在平衡法與情、法律效益與社會(huì)效益的法律適用過程中搭建了一座橋梁。

(三) 對(duì)司法機(jī)關(guān)的規(guī)范效應(yīng)

在網(wǎng)絡(luò)安全法治領(lǐng)域,標(biāo)準(zhǔn)作為一種涉及技術(shù)規(guī)范從而指引規(guī)范安全行為,對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者和行政監(jiān)管部門產(chǎn)生事實(shí)上的法律拘束力,是相對(duì)容易論證的命題。然而,標(biāo)準(zhǔn)可否作為法院的審判規(guī)范,則是一個(gè)比較復(fù)雜的問題。這既涉及行政機(jī)關(guān)制定的非法律性文件是否具有審判依據(jù)地位問題,又涉及對(duì)于不同的法律責(zé)任法院審理行政、民事、刑事案件時(shí)如何事實(shí)認(rèn)定和法律適用等問題。如前所述,標(biāo)準(zhǔn)不是一種法律淵源,自然不能直接作為審判依據(jù),但是標(biāo)準(zhǔn)還是法律責(zé)任的構(gòu)成要件、事實(shí)認(rèn)定的客觀證據(jù)、法律適用的技術(shù)參照。事實(shí)上對(duì)司法機(jī)關(guān)審判起到一定的規(guī)范效應(yīng)。

1.追究違標(biāo)責(zé)任的依據(jù)

面對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn),不僅要依照標(biāo)準(zhǔn)治理做好風(fēng)險(xiǎn)預(yù)防,還要通過法律強(qiáng)制后盾對(duì)違標(biāo)行為做好違標(biāo)懲處,以起到安全警戒作用。立法機(jī)關(guān)在《網(wǎng)絡(luò)安全法》通過違標(biāo)責(zé)任條款把標(biāo)準(zhǔn)作為法律責(zé)任構(gòu)成要件之一。這也是司法機(jī)關(guān)在審理涉及網(wǎng)絡(luò)安全標(biāo)準(zhǔn)案件時(shí)給予適用的法律依據(jù)。對(duì)此,《網(wǎng)絡(luò)安全法》第六章設(shè)定了專門的法律責(zé)任,大部分以行政責(zé)任為主,如第60 條、第62 條;本法在制度設(shè)計(jì)上進(jìn)行了責(zé)任之間的銜接,特別是行刑銜接,第71條和第74 條明確了違法本法,依照法律法規(guī),亦可承擔(dān)相應(yīng)的民事、治安和刑事責(zé)任。這與《標(biāo)準(zhǔn)化法》第36 條、第37 條的規(guī)定相一致。此外,《刑法》第 146 條還專門規(guī)定“生產(chǎn)、銷售不符合安全標(biāo)準(zhǔn)的產(chǎn)品罪”,以嚴(yán)厲的法律懲罰要求網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者履行合標(biāo)義務(wù)。

2.事實(shí)認(rèn)定的客觀證據(jù)

在事實(shí)認(rèn)定環(huán)節(jié),網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是網(wǎng)絡(luò)安全義務(wù)履行與否的重要判定“標(biāo)尺”,是網(wǎng)絡(luò)安全保護(hù)與否這一法律事實(shí)認(rèn)定的關(guān)鍵證據(jù)。依照標(biāo)準(zhǔn)做出的事實(shí)認(rèn)定結(jié)論主要體現(xiàn)為鑒定報(bào)告、鑒別報(bào)告、檢驗(yàn)檢測(cè)報(bào)告等。例如,是否采取了網(wǎng)絡(luò)等級(jí)保護(hù)措施由網(wǎng)絡(luò)安全等級(jí)保護(hù)檢測(cè)報(bào)告呈現(xiàn),是否采取了個(gè)人信息保護(hù)措施可由個(gè)人信息安全影響評(píng)估(PIA) 報(bào)告呈現(xiàn)。這種檢測(cè)數(shù)據(jù)分析報(bào)告形成鑒定意見,作為事實(shí)認(rèn)定的證據(jù)材料,具有更強(qiáng)證明力。鑒于網(wǎng)絡(luò)安全技術(shù)的專業(yè)性,只要鑒定程序合法,法院往往會(huì)采納鑒定意見。畢竟法官是法律專家不是技術(shù)專家,依據(jù)技術(shù)標(biāo)準(zhǔn)進(jìn)行事實(shí)認(rèn)定則更具有科學(xué)性和客觀性。例如,被告人韓某某自2019 年2 月起,在任深圳市某某有限公司(以下簡(jiǎn)稱“某某公司”) 經(jīng)理期間,設(shè)立網(wǎng)站域名為某某公司的“某某網(wǎng)”,為他人進(jìn)行包括公民個(gè)人信息在內(nèi)的數(shù)據(jù)交易提供平臺(tái),牟取非法利益。上海市公安局寶山分局網(wǎng)安支隊(duì)制作的《遠(yuǎn)程勘驗(yàn)工作記錄》、上海弘連網(wǎng)絡(luò)科技有限公司計(jì)算機(jī)司法鑒定所出具的《司法鑒定意見書》,證實(shí)經(jīng)對(duì)本案涉案IP “某某”服務(wù)器內(nèi)涉案文件進(jìn)行遠(yuǎn)程勘驗(yàn),涉案“某某網(wǎng)”服務(wù)器上存有數(shù)據(jù)條數(shù)總計(jì)為5421 萬條,含數(shù)據(jù)的文件有162 件,經(jīng)人工梳理去重,其中含公民個(gè)人信息的文件共39 件,合計(jì)為38 萬條。〔1〕暨附帶民事公益訴訟被告人韓某某、暨附帶民事公益訴訟被告人楊某某等侵犯公民個(gè)人信息案,上海市寶山區(qū)人民法院刑事判決書(2019) 滬0113 刑初2482 號(hào)。

3.法律適用的技術(shù)參照

在法律適用環(huán)節(jié),基于網(wǎng)絡(luò)安全技術(shù)的專業(yè)性,法院在適用法律時(shí)通過參照網(wǎng)絡(luò)安全標(biāo)準(zhǔn)進(jìn)行法律解釋厘清相關(guān)技術(shù)概念和內(nèi)涵。以浙江省紹興市越城區(qū)人民法院審判的張某、陳某明、張某榮等提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具罪一案中,2015 年平某始,被告人陳某明將編寫的“思華”軟件接入“快啊答題”平臺(tái),并上傳至平臺(tái)供他人使用軟件進(jìn)行批量識(shí)別驗(yàn)證碼服務(wù)(即批量掃號(hào)) 等違法活動(dòng),從中收取返利。該軟件繞過騰訊QQ 登錄驗(yàn)證碼保護(hù)措施,批量驗(yàn)證QQ 賬號(hào)密碼是否一致。審理過程中,辯護(hù)人提出“根據(jù)《網(wǎng)絡(luò)安全法》第23 條以及《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的規(guī)定,驗(yàn)證碼并不屬于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品,因此認(rèn)定圖文識(shí)別技術(shù)為非法,并將識(shí)別騰訊公司驗(yàn)證碼視為非法侵入計(jì)算機(jī)信息系統(tǒng)沒有法律依據(jù)?！狈ㄔ簩徖碚J(rèn)為,《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》公布的目的在于加強(qiáng)對(duì)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的安全管理,該目錄項(xiàng)下的網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)安全專用產(chǎn)品類別須經(jīng)過具有相關(guān)資質(zhì)的認(rèn)定機(jī)構(gòu)按照國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求進(jìn)行安全認(rèn)證后方可對(duì)外提供、銷售,該目錄的公布不具有規(guī)定“網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品是什么”或“目錄之外均不屬于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品”的內(nèi)在意旨,更非對(duì)“計(jì)算機(jī)信息系統(tǒng)安全保護(hù)措施”作出定義式限定,辯護(hù)人以驗(yàn)證碼不在該目錄中而否定其安全保護(hù)屬性的意見,故不予采納〔2〕張?chǎng)巍㈥愄烀?、張朝榮等提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具罪案,浙江省紹興市越城區(qū)人民法院(2018) 浙0602 刑初101 號(hào)。。

五、網(wǎng)絡(luò)安全法治與標(biāo)準(zhǔn)化科學(xué)結(jié)合的建議

網(wǎng)絡(luò)安全標(biāo)準(zhǔn)之所以能夠增強(qiáng)法治效能是其對(duì)《網(wǎng)絡(luò)安全法》的補(bǔ)充與支撐作用。而該作用的發(fā)揮又依賴《網(wǎng)絡(luò)安全法》及其配套法規(guī)對(duì)標(biāo)準(zhǔn)援引規(guī)定的完善程度。《網(wǎng)絡(luò)安全法》對(duì)如何援引標(biāo)準(zhǔn)及標(biāo)準(zhǔn)怎樣發(fā)揮規(guī)范效力等問題規(guī)定得越細(xì),標(biāo)準(zhǔn)條款適用得越規(guī)范,標(biāo)準(zhǔn)對(duì)法治效能的作用越明顯。由中央網(wǎng)信辦、國(guó)家質(zhì)檢總局、國(guó)家標(biāo)準(zhǔn)委三部門聯(lián)合發(fā)布《關(guān)于加強(qiáng)國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見》明確要求“推動(dòng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與國(guó)家相關(guān)法律法規(guī)的配套銜接”。兩者就像一對(duì)相互咬合的齒輪相互帶動(dòng)也相互制約。我國(guó)應(yīng)該重視規(guī)范網(wǎng)絡(luò)安全法律規(guī)范與標(biāo)準(zhǔn)規(guī)范之間的銜接,建立健全《網(wǎng)絡(luò)安全法》與網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的良好協(xié)調(diào)機(jī)制。對(duì)此,可以從以下三方面加以完善,防止標(biāo)準(zhǔn)“異化”法治:

(一) 設(shè)立更新機(jī)制,標(biāo)準(zhǔn)要符合立法目的

可以借鑒國(guó)外技術(shù)法規(guī)的先進(jìn)經(jīng)驗(yàn),完善網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的引入和退出機(jī)制。在歐美日等國(guó)家,技術(shù)法規(guī)是按法律規(guī)范的程序由政府制定和發(fā)布并由政府強(qiáng)制實(shí)施的一系列行政法規(guī),其規(guī)定的范圍都是涉及人類健康安全、動(dòng)植物安全、環(huán)境保護(hù)、國(guó)家安全等目標(biāo)〔1〕參見劉春青:《美歐日技術(shù)法規(guī)體系共性研究及其對(duì)我國(guó)的啟示》,載《標(biāo)準(zhǔn)科學(xué)》2010 年第2 期,第69～77 頁。。對(duì)于技術(shù)中立的自愿性標(biāo)準(zhǔn),各國(guó)立法者可根據(jù)立法意圖來決定采用與否;一旦不符合立法目的,又回歸到自愿性標(biāo)準(zhǔn)〔2〕劉春青、于婷婷:《論國(guó)外強(qiáng)制性標(biāo)準(zhǔn)與技術(shù)法規(guī)的關(guān)系》,載《科技與法律》2010 年第5期,第42 頁。。相比于我國(guó)《網(wǎng)絡(luò)安全法》以全國(guó)人大審議通過的法律來援引網(wǎng)絡(luò)安全標(biāo)準(zhǔn),國(guó)外技術(shù)法規(guī)對(duì)標(biāo)準(zhǔn)的吸納更加形式多樣、方式靈活。我國(guó)《網(wǎng)絡(luò)安全法》援引技術(shù)標(biāo)準(zhǔn)既不改變標(biāo)準(zhǔn)屬性,也不是立法權(quán)任意擴(kuò)張,主動(dòng)權(quán)仍掌握在立法者手中。因此,可以借鑒國(guó)外技術(shù)法規(guī)吸納標(biāo)準(zhǔn)的方式,除了通過“標(biāo)準(zhǔn)條款”明確規(guī)定外,對(duì)雖沒有明確規(guī)定但符合立法目的且在實(shí)踐中被默認(rèn)適用的標(biāo)準(zhǔn),明示給予納入援引范圍;對(duì)于不符合立法目的的標(biāo)準(zhǔn),及時(shí)給予退出援引范圍。這樣,讓網(wǎng)絡(luò)安全標(biāo)準(zhǔn)在符合立法需要時(shí)被援引以完成法律規(guī)范的使命任務(wù),在不符合立法需要時(shí)被退出以回歸到技術(shù)規(guī)范的職責(zé)范疇。

(二) 明確授權(quán)范圍,援引要符合程序規(guī)則

有針對(duì)性明確援引標(biāo)準(zhǔn)類別和范圍,明確網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的規(guī)范效力和適用規(guī)則。當(dāng)前,我國(guó)網(wǎng)絡(luò)安全領(lǐng)域初步建立了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和認(rèn)證認(rèn)可的體系規(guī)范。隨著5G、物聯(lián)網(wǎng)等互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,金融、工控、教育等各個(gè)專業(yè)領(lǐng)域的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)將更加豐富。面對(duì)日益龐大的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系,我國(guó)《網(wǎng)絡(luò)安全法》目前援引標(biāo)準(zhǔn)的模式,對(duì)于誰有權(quán)力決定是否適用標(biāo)準(zhǔn)、適用哪個(gè)標(biāo)準(zhǔn)以及適用標(biāo)準(zhǔn)的法律后果如何等并沒有具體適用規(guī)則,就很導(dǎo)致網(wǎng)絡(luò)運(yùn)營(yíng)者、執(zhí)法機(jī)關(guān)和司法機(jī)關(guān)在適用法律條款時(shí)選擇參照的標(biāo)準(zhǔn)不明確、不統(tǒng)一。特別是網(wǎng)絡(luò)安全監(jiān)管者在執(zhí)行涉及標(biāo)準(zhǔn)法律條款時(shí),可自由裁量選擇適用標(biāo)準(zhǔn),選擇不同的鑒定測(cè)評(píng)機(jī)構(gòu)進(jìn)行合標(biāo)檢測(cè),選擇的不同將影響合標(biāo)與違標(biāo)的公正判斷。因此,對(duì)于網(wǎng)絡(luò)安全中涉及國(guó)家安全、社會(huì)安全、公民基本權(quán)益等基礎(chǔ)領(lǐng)域,法律應(yīng)該具體明確援引標(biāo)準(zhǔn)的類別和范圍,盡快出臺(tái)《網(wǎng)絡(luò)安全法》援引標(biāo)準(zhǔn)的程序規(guī)定,以法的形式明確援引網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的類別范圍、適用規(guī)則及其規(guī)范效力,為行政執(zhí)法和司法裁判適用標(biāo)準(zhǔn)提供具體參照。

(三) 建立救濟(jì)途徑,合標(biāo)要經(jīng)過司法審查

歐盟《網(wǎng)絡(luò)安全法案》規(guī)定了申述權(quán)與處罰。我國(guó)法律也需借鑒歐盟《網(wǎng)絡(luò)安全法案》建立認(rèn)證、合標(biāo)相關(guān)的救濟(jì)渠道。同時(shí),民事、行政、刑事司法審判中要對(duì)標(biāo)準(zhǔn)進(jìn)行審核。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)雖然具有較強(qiáng)的科技專業(yè)性,大多數(shù)法官并不是網(wǎng)絡(luò)技術(shù)領(lǐng)域的專家,不擅長(zhǎng)對(duì)涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域的標(biāo)準(zhǔn)進(jìn)行分析,但這并不必然說明法院不可能對(duì)標(biāo)準(zhǔn)進(jìn)行審查。究其本質(zhì)而言,標(biāo)準(zhǔn)并不是一種法律淵源,只是一種技術(shù)文件,法院完全可以對(duì)其進(jìn)行審查。例如,當(dāng)公安機(jī)關(guān)依照《公安機(jī)關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》(公安部令第151 號(hào)) 第十條依照有關(guān)標(biāo)準(zhǔn)進(jìn)行監(jiān)督檢查時(shí),法院就可以對(duì)行政行為所依照的有關(guān)標(biāo)準(zhǔn)進(jìn)行審查,包括對(duì)標(biāo)準(zhǔn)文件合法性的實(shí)體性審查和對(duì)依標(biāo)行政行為的程序性審查。具體而言,其一,對(duì)標(biāo)準(zhǔn)的實(shí)體內(nèi)容進(jìn)行審查,從標(biāo)準(zhǔn)制定的必要性和可行性的角度,對(duì)行政機(jī)關(guān)執(zhí)法過程中適用標(biāo)準(zhǔn)的合法性進(jìn)行審查,主要是審查執(zhí)法依據(jù)是否符合上位的法律、行政法規(guī)的規(guī)定,然后將審查的過程與結(jié)果作為法院判決說理的組成部分。其二,對(duì)標(biāo)準(zhǔn)的適用程序進(jìn)行審查,一方面審查行政機(jī)關(guān)在運(yùn)用標(biāo)準(zhǔn)實(shí)施行政管理行為的程序是否合法,另一方面也可審查標(biāo)準(zhǔn)本身的制定程序是否合法。

結(jié)語

在網(wǎng)絡(luò)安全領(lǐng)域,《網(wǎng)絡(luò)安全法》與網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是不同規(guī)范。為了維護(hù)網(wǎng)絡(luò)安全秩序,法律本身并不直接規(guī)定所涉及的技術(shù)問題,而是以援引方式將其交予標(biāo)準(zhǔn)解決,標(biāo)準(zhǔn)由此成為法律在網(wǎng)絡(luò)空間安全治理中不可缺少的工具。從作用上看,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)可以彌補(bǔ)立法局限,為《網(wǎng)絡(luò)安全法》實(shí)施提供技術(shù)支撐作用;從效果上看,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)影響著《網(wǎng)絡(luò)安全法》的可適用性和實(shí)施效能。可見,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與法治之間呈正相關(guān)關(guān)系,標(biāo)準(zhǔn)質(zhì)量高,則法治水平高;反之,亦然?！半S著新的標(biāo)準(zhǔn)的采納,技術(shù)將繼續(xù)推動(dòng)法律產(chǎn)生變化,從這個(gè)意義上看,掌控了互聯(lián)網(wǎng)的新技術(shù)標(biāo)準(zhǔn)也就掌控了未來法律的方向?！薄?〕張平:《互聯(lián)網(wǎng)法律規(guī)制的若干問題探討》,載《知識(shí)產(chǎn)權(quán)》2012 年第8 期,第16 頁。因此,我國(guó)在加強(qiáng)網(wǎng)絡(luò)安全法治化的同時(shí),要注重援引網(wǎng)絡(luò)安全標(biāo)準(zhǔn),積極采納最新標(biāo)準(zhǔn)化成果,使技術(shù)規(guī)范與法律規(guī)范相得益彰共同發(fā)揮治理作用,以提升我國(guó)網(wǎng)絡(luò)安全總體保障能力。同時(shí),加強(qiáng)標(biāo)準(zhǔn)與法律融合的理論研究,從網(wǎng)絡(luò)安全標(biāo)準(zhǔn)作為標(biāo)準(zhǔn)化的專門領(lǐng)域看,可為“標(biāo)準(zhǔn)對(duì)法律具有支撐作用”提供理論經(jīng)驗(yàn);從網(wǎng)絡(luò)安全標(biāo)準(zhǔn)作為法律系統(tǒng)之外的規(guī)范看,則為“社會(huì)規(guī)范如何與法融合發(fā)揮作用”提供例證示范。