11月7日,十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》。中国社会科学院法学研究所研究员、中国法学会互联网与信息法学研究会副会长周汉华今日接受正义网记者专访时表示,该部法律是国家安全立法体系的重要组成部分,开启我国信息网络立法进程。
北京师范大学副教授吴沈括同样认为,《网络安全法》的制定出台,是贯彻落实网络强国战略的重要一环,将有力地促进并服务于“互联网+”行动和网络强国战略的进一步实施。对于完善我国在网络空间的规范治理体系具有基础性意义。
推动网络安全立法2013年出现契机
7日上午,十二届全国人大常委会第二十四次会议以154票赞成、1票弃权,表决通过了网络安全法。周汉华说,这项立法从最初提出,到现在正式通过,立法进程算是比较快的。
“要不要制定《网络安全法》?这个话题在十年前就开始引发讨论,当时设想是制定《信息安全条例》。”周汉华回忆,推动网络安全立法,2013年出现契机——国家互联网信息办公室在中央的统一部署下,启动了制定国家信息网络专项立法工作。同时推进的,还有国家安全立法的系统设计。
在他看来,这一年里,对《网络安全法》有了明确的观念和认识,其定位是国家网络信息立法的基础性法律。“这部法律是国家信息网络立法工作迈出的第一步,它确立了网络安全的基本制度,回应了重大的问题,把中央的一系列战略部署通过法律形式予以反映。”周汉华说,这是他最欣慰的地方,实现从零到一的跨越,将改变我国信息网络领域长期以来缺少基本法律支撑的状况。
回顾立法经过,周汉华告诉正义网记者,这部法律从起草之初,就体现出科学立法的精神。他举例,如对《网络安全法》的基本定位,最初就有科学的界定,它是国家信息立法的基础性法律,是以网络的运行安全为主,提出“关键信息技术设施的运行安全”,然后兼顾个人信息保护、网络信息内容管理,以及如何推动、促进网络安全产业发展。
“这部法律的框架或叫 线路图 在2013年便确定下来,从基本结构上算是科学立法的典范。一、二、三审稿,直至最终出台稿,在基本结构、基本内容方面,没有根本性的修改。”周汉华说,足见,2013年的立法规划很科学。
首次引入网络安全“地基”概念
周汉华对正义网记者说,他们提出将整个信息网络立法划分为四个层面:最基础层是互联网信息的关键基础设施;基础层之上的是互联网中间平台,要制定《电子商务法》;平台之上的是互联网用户;用户之上就是互联网信息。这个基本架构是在2013年被国家信息网络立法规划全盘接受。
“《网络安全法》该完成什么任务,这部法的起草,充分的吸收了我们的意见。”周汉华认为,信息网络立法分层中属“地基”性的需要两部法律,《网络安全法》和正制定尚未出台的《电信法》。《电信法》解决的是传输问题,《网络安全法》的核心是解决关键信息基础设施安全,要维护网络数据的完整性、保密性和可用性。
他解释,这如同盖楼房一样,最重要的是打地基。这部法律第一次引入网络安全“地基”概念。如何妥善处理信息安全等级保护制度和关键信息基础设施保护制度之间的关系,这是立法难点。因为等级保护制度已推行19年,国家投入很大,也积累了一些经验,但与国际社会的关键信息基础设施保护制度的理念不完全匹配。所以,此次立法既有延续性,延续了计算机信息系统等级保护制度的传统做法,又引入了关键信息基础设施保护这个新的理念。
吴沈括也表示,对关键信息基础设施的制度安排,是《网络安全法》的突出亮点。
周汉华认为,《网络安全法》的关键义务主体或核心义务主体是网络运营者。网络运营者不仅要承担网络运行的一般责任,如开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,承担社会责任等。若被界定为关键信息基础设施的运营者,其还要承担关键基础设施运营者的相应法律义务。
记者注意到,《网络安全法》第三十四条规定,关键信息基础设施的运营者还应当履行下列安全保护义务:设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期进行演练;法律、行政法规规定的其他义务。
怎样界定网络运营者?周汉华认为,包括网络系统的所有者、管理者和网络服务的提供者,如几大电信运营商、BAT等企业,以及国家机关中的网络执法部门。
在个人信息保护方面有许多创新
周汉华说,《网络安全法》对其他主体也规定了相应的法律义务,包括其他组织或个人。大家享受依法使用网络的权利,同时要遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
在权利保障方面,周汉华特别提到,《网络安全法》加强了对个人信息的保护。此次立法在2012年全国人大常委会通过的《关于加强网络信息保护的决定》的基础上,对个人信息保护有多方面的创新,比如在一定程度上确立了被遗忘权。
他解释,个人发现网络运营者违反法律、行政法规的规定或者双方的约定,收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
另外,网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
周汉华告诉记者,在过去,个人可以要求商家删除或更张自己的错误信息,而随着《网络安全法》实施后,若发现运营商没按约定使用自己的个人信息,就可以要求对方删除。此前只有在构成侵权或违法的情况下,才能要求删掉。“我们基于过去的制度和借鉴国外的做法,在一定程度上确立了被遗忘权。”周汉华说,此次法律还规定,泄漏个人信息的,要告知个人。
开启我国信息网络立法的进程
谈到《网络安全法》出台的意义,吴沈括表示,其作为我国新一代信息网络立法的首部立法成果,及时总结了网络安全领域的中国经验,为参我国与跨国对话合作、提高国际话语权奠定了坚实的制度基础,对于后续互联网信息服务、电子商务、个人信息保护等领域的立法具有深刻的导向意义。
周汉华表示,《网络安全法》是整个国家安全立法体系的重要组成部分。在完善我国安全立法、维护国家根本利益、抵御各种风险等方面意义巨大。开启了我国信息网络立法的进程。
“过去,我们的信息网络立法也有,但层级、位阶较低,存在分散化、碎片化的情况。”周汉华回顾,2000年,国务院制定的《互联网信息服务管理办法》,至今实施已16年;2012年,全国人大会常委会通过了《关于加强网络信息保护的决定》;2015年通过的《刑法修正案(九)》,规定了对涉网络犯罪的几个主要行为如何惩罚。《网络安全法》此次出台,奠定了整个信息网络立法的基础。
周汉华认为,《网络安全法》的成功立法经验,首先体现在顶层设计。“这次的国家安全立法和国家信息网络立法,都是在顶层设计的强力推动下进行的。”其次,完善国家信息网络立法规划,体现了立法的科学性原则,也遵循了互联网的发展规律。再次,打破了过去由部门立法的弊端,改由全国人大法工委直接起草,更加超脱地体现立法的民主性。另外,从过程看,立法做到了公开透明。一次审议稿、二次审议稿、三次审议稿,在网上都能找到。
“这部法律实现了从零到一的突破,但很多制度都还停留在零。”周汉华表示,我们要制定关键信息基础设施保护的相关条例,有关部门已开始启动。大量的配套规定、配合制度,要在这部法律正式实施前到位。不足七个月的过渡时间太短。
他举例,如法律引入了网络关键信息基础设施保护制度,而关键信息基础设施的具体范围和安全保护办法要由国务院制定。关键信息技术设施运营者采购网络安全产品和服务,可能影响国家安全的,要进行安全审查。但如何审查?操作标准是什么?程序有哪些?
周汉华还提到,在此次立法中,数据本地化的要求首次写入法律。即关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。怎样评估?这同样涉及制度安排。
周汉华表示,诸如此类的一系列问题,亟待解决。立法只是走完第一步,后面有更大的挑战。