网络安全法:保障网络安全的根本举措
导读:网络安全法是统领国家网络安全工作的基础法律,对于保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,影响深远。
作者简介
孙佑海,天津大学法学院院长,教授、博士生导师;天津大学法学院网络政策与法律研究中心主任;天津大学数据科学研究院学术委员;最高人民法院研究室原副主任、最高人民法院中国应用法学研究所原所长;最高人民法院互联网法律适用研究中心原主任;一级高级法官;撰写的“中国网络安全的十大问题与对策”论文,荣获中国法学会主办的第八届中国法学家论坛二等奖;主持起草了《中华人民共和国网络安全法》专家建议稿;主持互联网与法律适用问题重点课题并结项,发表高水平互联网法律问题科研论文多篇。
2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,自2017年6月1日起施行。网络安全法是统领国家网络安全工作的基础法律,对于保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,影响深远。
一、深刻认识制定网络安全法的重大意义,依法维护网络安全
所谓网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
当前,网络和信息技术迅猛发展,已经深度融入我国经济社会的各个方面,极大地改变和影响着人们的社会活动和生活方式,在促进技术创新、经济发展、文化繁荣、社会进步的同时,网络安全问题也日益凸显。自2000年以来,我国陆续发布了《全国人民代表大会常务委员会关于维护互联网安全的决定》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》等法律,同时在《刑法》、《国家安全法》中都写入了网络安全相关内容,在维护网络安全方面发挥了重要作用。但是,由于缺乏网络安全领域基础法,导致权责不清晰,监管主体不明确,诸多问题得不到解决,离党中央全面依法治国的要求,离广大人民群众的期盼有很大差距。党的十八大以来,以习近平同志为核心的党中央对加强网络安全工作做出重要部署,党的十八届四中全会明确提出制定完善网络安全法律法规。《网络安全法》正是在此背景下出台。
在当前形势下,我国制定网络安全法意义十分重大。首先,制定网络安全法是落实国家总体安全观的迫切需要。党的十八大以来,党中央从总体国家安全观出发,对加强国家网络安全工作作出了战略部署,对加强网络安全法制建设提出了明确的要求,制定网络安全法是适应我国网络安全工作新形势、新任务,落实党中央决策部署,保障网络安全和发展的重大举措。其次,制定网络安全法是维护我国网络安全的迫切需要。中国是一个网络大国,也是面临网络安全威胁最严重的国家之一,迫切需要建立完善网络安全的法律制度,提高我国网络安全的保护水平。再次,制定网络安全法是维护广大人民群众切身利益的有力武器。当前网络上的侵权行为、违法的信息,严重损害了公民、法人和其他组织的合法权益,广大人民群众强烈呼吁加强网络空间法制建设、净化网络环境,使网络空间清朗起来。制定网络安全法顺应了广大人民群众的呼声和期待,是维护国家和人民利益的非常重要的立法行动。网络安全法集中反映了多年来尤其是近年来我国在网络安全领域的政策法律研究和制度建设的最新成果,是指导和规范我国网络安全工作的一部综合性、全局性、基础性的十分重要的法律。我们一定要认真学习好,宣传贯彻好。
二、贯彻实施网络安全法,必须全面把握起草网络安全法的指导思想和方针、原则
我国制定网络安全法的指导思想是:坚持以总体国家安全观为指导,全面落实党的十八大和十八届三中、四中全会决策部署,坚持积极利用、科学发展、依法管理、确保安全的方针,充分发挥立法的引领和推动作用,针对当前我国网络安全领域的突出问题,以制度建设提高国家网络安全保障能力,掌握网络空间治理和规则制定方面的主动权,切实维护国家网络空间主权、安全和发展利益。网络安全法的总则部分,规定了维护网络安全的方针和原则,需要我们重点把握。
坚持网络安全与信息化发展并重。当前,我们必须坚持安全和信息化并重的原则,切实协调好安全与发展之间的关系,做到协调一致、齐头并进。为此,网络安全法规定,国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
坚决维护网络空间安全和秩序。我国是主权国家、法治国家,必须坚决维护国家的网络空间和秩序。为此,网络安全法规定,国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。
全社会共同参与促进网络安全。维护网络安全,涉及的方面十分广泛,需要全社会的共同努力,才能完成这一重要使命。为此,网络安全法规定,国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。
构建和平、安全、开放、合作的网络空间。维护网络安全,我们既要稳步做好国内的工作,也要积极开展正常的国际合作。为此,网络安全法规定,国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。
三、贯彻实施网络安全法,必须牢牢把握网络安全法的基本要求
网络安全法共7章,79条,分别从总则、网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任、附则等七个方面对网络各主体的行为进行了规范。如下的重点部分,尤其需要用心把握。
维护网络空间主权。网络主权是国家主权在网络空间的体现和延伸,网络主权原则是我国维护国家安全和利益、参与网络国际治理与合作所坚持的重要原则。为此,网络安全法明确,凡是在我境内建设、运营、维护和使用网络,以及网络安全的监督管理,都适用《网络安全法》,宣示对我境内相关网络活动的管辖权;对攻击、破坏我国关键信息基础设施的境外组织和个人,如造成严重后果将依法追究法律责任,并提出了可采取冻结财产等制裁措施,充分体现了我维护网络安全的决心;明确关键信息基础设施运营者在我国境内运营中收集和产生的个人信息和重要业务数据应当在境内存储,确需向境外提供的应当进行安全评估,解决了长期以来跨境数据流动管理要求不明的问题;明确对来源于我境外的,我法律、行政法规禁止发布或者传输的信息,有权进行阻断传播,充分体现我保护网络主权不受侵犯,维护网络空间秩序的坚定立场。
保障网络产品和服务的安全。维护网络安全,首先要保障网络产品和服务的安全。对此,网络安全法规定:明确网络产品和服务提供者的安全义务,包括:不得设置恶意程序,及时向用户告知安全缺陷、漏洞等风险,持续提供安全维护服务;强化网络关键设备和网络安全专用产品的安全认证和安全检测制度;建立关键信息基础设施运营者采购网络产品、服务的安全审查制度。关键信息基础设施的运营者采购网络产品或者服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的安全审查。
明确网络运营者的基本义务。保障网络运行安全,必须落实网络运营者第一责任人的责任。据此,网络安全法将现行的网络安全等级保护制度上升为法律,要求网络运营者按照网络安全等级保护制度的要求,采取相应的管理措施和技术防范等措施,履行相应的网络安全保护义务。
强化个人信息保护。当前,个人信息被泄露的问题十分突出,需要明确网络产品服务提供者、运营者的责任,严厉打击出售贩卖个人信息的行为,以保护公众个人信息安全。为此,网络安全法做出专门规定:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息,并规定了相应法律责任。
严格防范打击网络诈骗。当前网络诈骗呈多发态势,广大人民群众深受其害,迫切希望加大惩治力度。为此,网络安全法规定:任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布与实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。该法还从强化网络实名制的角度作出新规范:网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
完善关键信息基础设施安全保护制度。随着信息化的深入推进,关键信息基础设施已经成为社会运转的神经系统。保障这些关键信息系统的安全,不仅仅是保护经济安全,更是保护社会安全、公共安全乃至国家安全,保护国家关键信息基础设施也是国际惯例。为此,网络安全法专门单列一节,对关键信息基础设施的运行安全进行明确规定,指出国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施实行重点保护。
强化预警和应急措施。在当前全社会都普遍使用信息技术的情况下,网络通信管制作为重大突发事件管制措施中的一种,重要性越来越突出。比如在暴恐事件中,恐怖分子越来越多地通过网络进行组织、策划、勾连、活动,这个时候可能就要对网络通信进行管制。为此,网络安全法对建立网络安全监测预警与应急处置制度专门列出一章作出规定,明确了发生网络安全事件时,有关部门需要采取的措施。特别规定:因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。
四、提高全民网络安全意识,制定网络安全法配套法规
加快制定网络安全法配套法规。网络安全法是国家网络领域的基础性法律,涵盖了网络安全各个领域的内容,规定了网络安全的主要任务和相关制度。从立法内容上看,这部立足全局、统领网络安全各领域工作的综合性法律,涵盖了网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任等内容,确立了保障网络安全的基本制度框架,解决了一些长期以来无法可依的重要问题,有利于中国特色网络安全法律制度体系的建立,并为维护网络安全提供坚实的法律制度保障。但是,由于网络安全问题涵盖的领域十分广泛,本法不可能涵盖网络安全领域的所有方面。因此,需要国务院及其部门尽快组织起草配套的行政法规和政府规章,增强该法各项重要制度的可操作性,形成原则性和可操作性相结合、针对性和有效性兼备的网络安全法律法规体系。
切实提高维护网络安全的能力。首先要加强学习。建议社会各界尤其是与网络运营、管理相关的单位和个人都要认真学习《网络安全法》,了解立法目的、指导思想和方针原则,掌握法律的各项内容和精神实质。明晰合法行为和违法行为的界限,做依法维护网络安全的践行者,并学会利用法律维护合法权益。其次要加强培训,要将网络安全教育纳入国家教育培训体系,通过多种形式开展网络安全宣传教育活动。再次,切实提高依法保障网络安全的能力。要加大对网络安全建设的投入,保障网络安全工作所需的经费,使各项保障措施真正到位。(本文刊登于《中国信息安全》2016年第12期)