網(wǎng)絡(luò)安全法(草案)公開征求意見工作在不斷推進(jìn),從草案中公布的相關(guān)內(nèi)容以及國外的先進(jìn)經(jīng)驗來看,這份立法的涉及內(nèi)容、關(guān)鍵信息基礎(chǔ)的界定以及是否需要大篇幅涉及個人信息保護(hù)內(nèi)容等三個問題值得斟酌。
涉及內(nèi)容是否需要無所不包?
網(wǎng)絡(luò)安全的概念眾說紛紜,歸納看來可以分三個層面來定義:第一層面指網(wǎng)絡(luò)層面的安全,主要涉及網(wǎng)絡(luò)設(shè)施等;第二層面的安全包括網(wǎng)絡(luò)層面的安全及信息內(nèi)容的安全,如違法有害信息處理等;第三層面的網(wǎng)絡(luò)安全主要是網(wǎng)絡(luò)空間的安全,既包括第一及第二層面,又包括其他因網(wǎng)絡(luò)引起的安全,如反恐、網(wǎng)絡(luò)詐騙等網(wǎng)絡(luò)犯罪等。這三個層面的概念由小到大,依次遞進(jìn)。
從國際經(jīng)驗來看,美國沒有統(tǒng)一的綜合性網(wǎng)絡(luò)安全法。網(wǎng)絡(luò)安全主要由一系列的州和聯(lián)邦法規(guī),以及特殊行業(yè)立法實現(xiàn)。目前美國50多個州法直接或間接對網(wǎng)絡(luò)安全予以規(guī)定,并且在內(nèi)容上主要強(qiáng)調(diào)的是網(wǎng)絡(luò)層面的安全,包括關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全等。
需要指出的是,美國部分立法中也出現(xiàn)“信息安全”字樣,但其含義與我國立法中信息安全并不一致。我國的信息安全更強(qiáng)調(diào)內(nèi)容安全,而美國的信息安全指的是保護(hù)信息及信息系統(tǒng)免于非授權(quán)訪問、使用、泄露、干擾、修改或破壞以保障信息的完整性、秘密性及可用性。在《聯(lián)邦信息安全現(xiàn)代化法案》中,該概念與網(wǎng)絡(luò)安全并沒有實質(zhì)區(qū)別,只是表述不同。
另外,反恐及網(wǎng)絡(luò)犯罪等內(nèi)容各國通常在其他立法中進(jìn)行規(guī)定,而非網(wǎng)絡(luò)安全法。如近年英國通過的《反恐及安全法案》,要求互聯(lián)網(wǎng)服務(wù)提供商和移動運(yùn)營商保存用戶IP地址并應(yīng)向監(jiān)管機(jī)構(gòu)要求提交等。
從我國的網(wǎng)絡(luò)安全法草案中“重點對網(wǎng)絡(luò)自身的安全作出制度性安排,同時在信息內(nèi)容方面也作出相應(yīng)的規(guī)范性規(guī)定,從網(wǎng)絡(luò)設(shè)備設(shè)施安全、網(wǎng)絡(luò)運(yùn)行安全、網(wǎng)絡(luò)數(shù)據(jù)安全、網(wǎng)絡(luò)信息安全等方面建立和完善相關(guān)制度”的內(nèi)容可以看出,我國要立的是一部綜合性的、無所不包的網(wǎng)絡(luò)安全法,涵蓋網(wǎng)絡(luò)層面安全、信息安全,甚至整個網(wǎng)絡(luò)空間安全。
網(wǎng)絡(luò)安全的概念界定也是立法的核心問題。當(dāng)前草案指出,網(wǎng)絡(luò)安全是指通過采取必要措施,防范對網(wǎng)絡(luò)的攻擊、入侵、干擾、破壞和非法使用以及意外事故,使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài),以及保障網(wǎng)絡(luò)存儲、傳輸、處理信息的完整性、保密性、可用性的能力,但立法內(nèi)容遠(yuǎn)遠(yuǎn)大于此概念,尤其大篇幅闡述個人信息保護(hù),這點需要斟酌。
個人信息保護(hù)是否還需濃墨重彩?
個人信息保護(hù)是網(wǎng)絡(luò)時代的重要法律問題,但是否需要在網(wǎng)絡(luò)安全法中占據(jù)大量篇幅值得商榷。
當(dāng)前世界各國個人信息保護(hù)立法無非兩種模式,歐盟模式和美國模式,即統(tǒng)一立法與分散立法模式。歐盟各成員國有專門的《個人數(shù)據(jù)保護(hù)法》,美國并沒有統(tǒng)一的個人數(shù)據(jù)保護(hù)法,而是分散在各行業(yè)立法中,例如《健康保險可攜帶性和責(zé)任法案》、《金融服務(wù)現(xiàn)代化法案》、《公平準(zhǔn)確信用交易法案》、《兒童線上隱私保護(hù)法案》等??v觀歐美兩種模式,個人信息保護(hù)立法或通過專門的《個人信息保護(hù)法》解決,或通過各行業(yè)分散的立法解決,均沒有通過統(tǒng)一的網(wǎng)絡(luò)安全立法來解決個人信息保護(hù)問題。
在此問題上,我國已經(jīng)頒布了一些相應(yīng)的法律。2012年,我國頒布《全國人大關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》;2013年,工信部頒布《電信和互聯(lián)網(wǎng)個人信息保護(hù)規(guī)定》,《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》正式實施;目前,工信部正在制定《電信和互聯(lián)網(wǎng)服務(wù)用戶個人信息保護(hù)技術(shù)要求》等系列標(biāo)準(zhǔn)??傮w而言個人信息保護(hù)制度已經(jīng)初步形成,是否還要在網(wǎng)絡(luò)安全法中再繼續(xù)規(guī)范一遍也值得考慮。
事實上,個人信息保護(hù)制度與網(wǎng)絡(luò)安全制度在某種程度是沖突的。如個人信息保護(hù)制度要求在服務(wù)結(jié)束后盡快刪除個人信息,而網(wǎng)絡(luò)安全角度則需要個人信息保留越長越好。
關(guān)鍵基礎(chǔ)設(shè)施如何過渡到關(guān)鍵信息基礎(chǔ)設(shè)施?
這份草案提出,國家對提供公共通信、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò),能源、交通、水利、金融等重要行業(yè)和供電、供水、供氣、醫(yī)療衛(wèi)生、社會保障等公共服務(wù)領(lǐng)域的重要信息系統(tǒng),軍事網(wǎng)絡(luò),設(shè)區(qū)的市級以上國家機(jī)關(guān)等政務(wù)網(wǎng)絡(luò),用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者所有或者管理的網(wǎng)絡(luò)和系統(tǒng)(以下稱關(guān)鍵信息基礎(chǔ)設(shè)施),實行重點保護(hù)。這里誕生一個新概念,即“關(guān)鍵信息基礎(chǔ)設(shè)施”。
從美國立法情況來看,僅有關(guān)鍵基礎(chǔ)設(shè)施概念,并沒有關(guān)鍵信息基礎(chǔ)設(shè)施的概念。根據(jù)美國國土安全局官方解釋,關(guān)鍵基礎(chǔ)設(shè)施指任何資產(chǎn)或網(wǎng)絡(luò)系統(tǒng),無論是物理設(shè)備或虛擬的(系統(tǒng)),只要其失?;蛘邠p毀將對美國的安全、國家經(jīng)濟(jì)安全或國民公共健康健全造成嚴(yán)重?fù)p害,都將視為關(guān)鍵基礎(chǔ)設(shè)施。2014年2月,美國白宮發(fā)布《促進(jìn)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全機(jī)制》。這份文件主要包括三個方面內(nèi)容:機(jī)制核心,機(jī)制藍(lán)圖,以及機(jī)制執(zhí)行分級。其中,機(jī)制核心列出了在關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域常見的網(wǎng)絡(luò)安全活動,相應(yīng)的標(biāo)準(zhǔn)和最佳范例等,目的在于促進(jìn)機(jī)構(gòu)內(nèi)部不同層級之間(包括高級行政層面和日常運(yùn)營層面)關(guān)于網(wǎng)絡(luò)安全信息的溝通。這份文件指出,關(guān)鍵基礎(chǔ)設(shè)施社群通過信息技術(shù)或者工業(yè)控制系統(tǒng)對基礎(chǔ)設(shè)施功能運(yùn)行提供支撐服務(wù),對于技術(shù)及通信的依靠,IT技術(shù)的互連接性及工業(yè)控制系統(tǒng)加劇了基礎(chǔ)設(shè)施的脆弱性并增加了潛在運(yùn)行風(fēng)險。例如,工業(yè)控制系統(tǒng)和信息技術(shù)中產(chǎn)生的數(shù)據(jù)正廣泛應(yīng)用于提供關(guān)鍵服務(wù),支持商業(yè)決策,網(wǎng)絡(luò)安全事故的潛在影響對于相關(guān)組織商業(yè)、資產(chǎn)、健康及個人安全、環(huán)境等影響都需要考慮。
由此可見,美國是定義了“關(guān)鍵基礎(chǔ)設(shè)施”,隨后指出關(guān)鍵基礎(chǔ)設(shè)施社群通過信息技術(shù)手段或者工業(yè)控制系統(tǒng)對基礎(chǔ)設(shè)施功能運(yùn)行提供支撐服務(wù)。因此強(qiáng)調(diào)了關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全問題。我國草案中并沒有明確定義“關(guān)鍵基礎(chǔ)設(shè)施”,如何過渡到“關(guān)鍵信息基礎(chǔ)設(shè)施”值得討論。
建議
建議網(wǎng)絡(luò)安全法內(nèi)容與附則中網(wǎng)絡(luò)安全定義保持一致。即網(wǎng)絡(luò)安全,是指通過采取必要措施,防范對網(wǎng)絡(luò)的攻擊、入侵、干擾、破壞和非法使用以及意外事故,使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài),以及保障網(wǎng)絡(luò)存儲、傳輸、處理信息的完整性、保密性、可用性的能力。據(jù)此定義,網(wǎng)絡(luò)安全主要指網(wǎng)絡(luò)運(yùn)行方面安全。而目前草案中大篇幅的個人信息保護(hù)內(nèi)容應(yīng)刪除,包括第三十七條,公民發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的,有權(quán)要求網(wǎng)絡(luò)運(yùn)營者刪除其個人信息;發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者收集、存儲的其個人信息有錯誤的,有權(quán)要求網(wǎng)絡(luò)運(yùn)營者予以更正。此類內(nèi)容并不屬于網(wǎng)絡(luò)安全范疇,而屬于個人信息保護(hù)法的范疇,可在個人信息保護(hù)立法中涉及。
建議細(xì)化數(shù)據(jù)存儲本地化要求。這份草案第三十一條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)在中華人民共和國境內(nèi)存儲在運(yùn)營中收集和產(chǎn)生的公民個人信息等重要數(shù)據(jù);因業(yè)務(wù)需要,確需在境外存儲或者向境外的組織或者個人提供的,應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估。從國際經(jīng)驗來看,目前僅俄羅斯一項最新法律規(guī)定所有收集俄羅斯公民信息的互聯(lián)網(wǎng)公司都應(yīng)當(dāng)將這些數(shù)據(jù)存儲在俄羅斯國內(nèi),該立法將于2016年實施。但在實踐中,由于互聯(lián)網(wǎng)的互聯(lián)互通及全球性,這一規(guī)定很難實施,且會對產(chǎn)業(yè)帶來相應(yīng)損失。今年巴西曾在相關(guān)立法草案提出數(shù)據(jù)存儲本地化要求,但經(jīng)過激烈爭論,最終刪除了該規(guī)定。當(dāng)前草案關(guān)于網(wǎng)絡(luò)數(shù)據(jù)的概念極為廣泛,網(wǎng)絡(luò)數(shù)據(jù)是指通過網(wǎng)絡(luò)收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù),此種概念各國立法并沒有先例。目前即使俄羅斯的立法也僅規(guī)定個人數(shù)據(jù)的本地化,因此,建議立法對于數(shù)據(jù)限定明確范圍,細(xì)化數(shù)據(jù)存儲本地化要求。
建議將用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者所有或者管理的網(wǎng)絡(luò)和系統(tǒng)納入關(guān)鍵信息基礎(chǔ)設(shè)施的內(nèi)容再加斟酌。主要原因在于,關(guān)鍵信息基礎(chǔ)設(shè)施概念需明確,目前用語模糊,可能所有的網(wǎng)站都可被納入關(guān)鍵基礎(chǔ)設(shè)施并施加相應(yīng)義務(wù)。
此外,目前草案在預(yù)留眾多立法接口,相關(guān)概念的統(tǒng)一性及一致性等方面都需要進(jìn)一步推敲。