摘要 :網(wǎng)絡(luò)安全是個(gè)筐,什么都往里面裝
網(wǎng)絡(luò)安全法(草案)公開征求意見(jiàn)工作在不斷推進(jìn),從草案中公布的相關(guān)內(nèi)容以及國(guó)外的先進(jìn)經(jīng)驗(yàn)來(lái)看,這份立法的涉及內(nèi)容、關(guān)鍵信息基礎(chǔ)的界定以及是否需要大篇幅涉及個(gè)人信息保護(hù)內(nèi)容等三個(gè)問(wèn)題值得斟酌。
涉及內(nèi)容是否需要無(wú)所不包?
網(wǎng)絡(luò)安全的概念眾說(shuō)紛紜,歸納看來(lái)可以分三個(gè)層面來(lái)定義:第一層面指網(wǎng)絡(luò)層面的安全,主要涉及網(wǎng)絡(luò)設(shè)施等;第二層面的安全包括網(wǎng)絡(luò)層面的安全及信息內(nèi)容的安全,如違法有害信息處理等;第三層面的網(wǎng)絡(luò)安全主要是網(wǎng)絡(luò)空間的安全,既包括第一及第二層面,又包括其他因網(wǎng)絡(luò)引起的安全,如反恐、網(wǎng)絡(luò)詐騙等網(wǎng)絡(luò)犯罪等。這三個(gè)層面的概念由小到大,依次遞進(jìn)。
從國(guó)際經(jīng)驗(yàn)來(lái)看,美國(guó)沒(méi)有統(tǒng)一的綜合性網(wǎng)絡(luò)安全法。網(wǎng)絡(luò)安全主要由一系列的州和聯(lián)邦法規(guī),以及特殊行業(yè)立法實(shí)現(xiàn)。目前美國(guó)50多個(gè)州法直接或間接對(duì)網(wǎng)絡(luò)安全予以規(guī)定,并且在內(nèi)容上主要強(qiáng)調(diào)的是網(wǎng)絡(luò)層面的安全,包括關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全等。
需要指出的是,美國(guó)部分立法中也出現(xiàn)“信息安全”字樣,但其含義與我國(guó)立法中信息安全并不一致。我國(guó)的信息安全更強(qiáng)調(diào)內(nèi)容安全,而美國(guó)的信息安全指的是保護(hù)信息及信息系統(tǒng)免于非授權(quán)訪問(wèn)、使用、泄露、干擾、修改或破壞以保障信息的完整性、秘密性及可用性。在《聯(lián)邦信息安全現(xiàn)代化法案》中,該概念與網(wǎng)絡(luò)安全并沒(méi)有實(shí)質(zhì)區(qū)別,只是表述不同。
另外,反恐及網(wǎng)絡(luò)犯罪等內(nèi)容各國(guó)通常在其他立法中進(jìn)行規(guī)定,而非網(wǎng)絡(luò)安全法。如近年英國(guó)通過(guò)的《反恐及安全法案》,要求互聯(lián)網(wǎng)服務(wù)提供商和移動(dòng)運(yùn)營(yíng)商保存用戶IP地址并應(yīng)向監(jiān)管機(jī)構(gòu)要求提交等。
從我國(guó)的網(wǎng)絡(luò)安全法草案中“重點(diǎn)對(duì)網(wǎng)絡(luò)自身的安全作出制度性安排,同時(shí)在信息內(nèi)容方面也作出相應(yīng)的規(guī)范性規(guī)定,從網(wǎng)絡(luò)設(shè)備設(shè)施安全、網(wǎng)絡(luò)運(yùn)行安全、網(wǎng)絡(luò)數(shù)據(jù)安全、網(wǎng)絡(luò)信息安全等方面建立和完善相關(guān)制度”的內(nèi)容可以看出,我國(guó)要立的是一部綜合性的、無(wú)所不包的網(wǎng)絡(luò)安全法 ,涵蓋網(wǎng)絡(luò)層面安全、信息安全,甚至整個(gè)網(wǎng)絡(luò)空間安全。
網(wǎng)絡(luò)安全的概念界定也是立法的核心問(wèn)題。當(dāng)前草案指出,網(wǎng)絡(luò)安全是指通過(guò)采取必要措施,防范對(duì)網(wǎng)絡(luò)的攻擊、入侵、干擾、破壞和非法使用以及意外事故,使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài),以及保障網(wǎng)絡(luò)存儲(chǔ)、傳輸、處理信息的完整性、保密性、可用性的能力,但立法內(nèi)容遠(yuǎn)遠(yuǎn)大于此概念,尤其大篇幅闡述個(gè)人信息保護(hù),這點(diǎn)需要斟酌。
個(gè)人信息保護(hù)是否還需濃墨重彩?
個(gè)人信息保護(hù)是網(wǎng)絡(luò)時(shí)代的重要法律問(wèn)題,但是否需要在網(wǎng)絡(luò)安全法中占據(jù)大量篇幅值得商榷。
當(dāng)前世界各國(guó)個(gè)人信息保護(hù)立法無(wú)非兩種模式,歐盟模式和美國(guó)模式,即統(tǒng)一立法與分散立法模式。歐盟各成員國(guó)有專門的《個(gè)人數(shù)據(jù)保護(hù)法》,美國(guó)并沒(méi)有統(tǒng)一的個(gè)人數(shù)據(jù)保護(hù)法,而是分散在各行業(yè)立法中,例如《健康保險(xiǎn)可攜帶性和責(zé)任法案》、《金融服務(wù)現(xiàn)代化法案》、《公平準(zhǔn)確信用交易法案》、《兒童線上隱私保護(hù)法案》等??v觀歐美兩種模式,個(gè)人信息保護(hù)立法或通過(guò)專門的《個(gè)人信息保護(hù)法》解決,或通過(guò)各行業(yè)分散的立法解決,均沒(méi)有通過(guò)統(tǒng)一的網(wǎng)絡(luò)安全立法來(lái)解決個(gè)人信息保護(hù)問(wèn)題。
在此問(wèn)題上,我國(guó)已經(jīng)頒布了一些相應(yīng)的法律。2012年,我國(guó)頒布《全國(guó)人大關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》;2013年,工信部頒布《電信和互聯(lián)網(wǎng)個(gè)人信息保護(hù)規(guī)定》,《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》正式實(shí)施;目前,工信部正在制定《電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)技術(shù)要求 》等系列標(biāo)準(zhǔn)??傮w而言個(gè)人信息保護(hù)制度已經(jīng)初步形成,是否還要在網(wǎng)絡(luò)安全法中再繼續(xù)規(guī)范一遍也值得考慮。
事實(shí)上,個(gè)人信息保護(hù)制度與網(wǎng)絡(luò)安全制度在某種程度是沖突的。如個(gè)人信息保護(hù)制度要求在服務(wù)結(jié)束后盡快刪除個(gè)人信息,而網(wǎng)絡(luò)安全角度則需要個(gè)人信息保留越長(zhǎng)越好。
關(guān)鍵基礎(chǔ)設(shè)施如何過(guò)渡到關(guān)鍵信息基礎(chǔ)設(shè)施?
這份草案提出,國(guó)家對(duì)提供公共通信、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò),能源、交通、水利、金融等重要行業(yè)和供電、供水、供氣、醫(yī)療衛(wèi)生、社會(huì)保障等公共服務(wù)領(lǐng)域的重要信息系統(tǒng),軍事網(wǎng)絡(luò),設(shè)區(qū)的市級(jí)以上國(guó)家機(jī)關(guān)等政務(wù)網(wǎng)絡(luò),用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者所有或者管理的網(wǎng)絡(luò)和系統(tǒng)(以下稱關(guān)鍵信息基礎(chǔ)設(shè)施),實(shí)行重點(diǎn)保護(hù)。這里誕生一個(gè)新概念,即“關(guān)鍵信息基礎(chǔ)設(shè)施”。
從美國(guó)立法情況來(lái)看,僅有關(guān)鍵基礎(chǔ)設(shè)施概念,并沒(méi)有關(guān)鍵信息基礎(chǔ)設(shè)施的概念。 根據(jù)美國(guó)國(guó)土安全局官方解釋,關(guān)鍵基礎(chǔ)設(shè)施指任何資產(chǎn)或網(wǎng)絡(luò)系統(tǒng),無(wú)論是物理設(shè)備或虛擬的(系統(tǒng)),只要其失?;蛘邠p毀將對(duì)美國(guó)的安全、國(guó)家經(jīng)濟(jì)安全或國(guó)民公共健康健全造成嚴(yán)重?fù)p害,都將視為關(guān)鍵基礎(chǔ)設(shè)施。2014年2月,美國(guó)白宮發(fā)布《促進(jìn)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全機(jī)制》。這份文件主要包括三個(gè)方面內(nèi)容:機(jī)制核心,機(jī)制藍(lán)圖,以及機(jī)制執(zhí)行分級(jí)。其中,機(jī)制核心列出了在關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域常見(jiàn)的網(wǎng)絡(luò)安全活動(dòng),相應(yīng)的標(biāo)準(zhǔn)和最佳范例等,目的在于促進(jìn)機(jī)構(gòu)內(nèi)部不同層級(jí)之間(包括高級(jí)行政層面和日常運(yùn)營(yíng)層面)關(guān)于網(wǎng)絡(luò)安全信息的溝通。這份文件指出,關(guān)鍵基礎(chǔ)設(shè)施社群通過(guò)信息技術(shù)或者工業(yè)控制系統(tǒng)對(duì)基礎(chǔ)設(shè)施功能運(yùn)行提供支撐服務(wù),對(duì)于技術(shù)及通信的依靠,IT技術(shù)的互連接性及工業(yè)控制系統(tǒng)加劇了基礎(chǔ)設(shè)施的脆弱性并增加了潛在運(yùn)行風(fēng)險(xiǎn)。例如,工業(yè)控制系統(tǒng)和信息技術(shù)中產(chǎn)生的數(shù)據(jù)正廣泛應(yīng)用于提供關(guān)鍵服務(wù),支持商業(yè)決策,網(wǎng)絡(luò)安全事故的潛在影響對(duì)于相關(guān)組織商業(yè)、資產(chǎn)、健康及個(gè)人安全、環(huán)境等影響都需要考慮。
由此可見(jiàn),美國(guó)是定義了“關(guān)鍵基礎(chǔ)設(shè)施”,隨后指出關(guān)鍵基礎(chǔ)設(shè)施社群通過(guò)信息技術(shù)手段或者工業(yè)控制系統(tǒng)對(duì)基礎(chǔ)設(shè)施功能運(yùn)行提供支撐服務(wù)。因此強(qiáng)調(diào)了關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全問(wèn)題。我國(guó)草案中并沒(méi)有明確定義“關(guān)鍵基礎(chǔ)設(shè)施”,如何過(guò)渡到“關(guān)鍵信息基礎(chǔ)設(shè)施”值得討論。
建 議
建議網(wǎng)絡(luò)安全法內(nèi)容與附則中網(wǎng)絡(luò)安全定義保持一致。即網(wǎng)絡(luò)安全,是指通過(guò)采取必要措施,防范對(duì)網(wǎng)絡(luò)的攻擊、入侵、干擾、破壞和非法使用以及意外事故,使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài),以及保障網(wǎng)絡(luò)存儲(chǔ)、傳輸、處理信息的完整性、保密性、可用性的能力。據(jù)此定義,網(wǎng)絡(luò)安全主要指網(wǎng)絡(luò)運(yùn)行方面安全。而目前草案中大篇幅的個(gè)人信息保護(hù)內(nèi)容應(yīng)刪除,包括第三十七條,公民發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息的,有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者刪除其個(gè)人信息;發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者收集、存儲(chǔ)的其個(gè)人信息有錯(cuò)誤的,有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者予以更正。此類內(nèi)容并不屬于網(wǎng)絡(luò)安全范疇,而屬于個(gè)人信息保護(hù)法的范疇,可在個(gè)人信息保護(hù)立法中涉及。
建議細(xì)化數(shù)據(jù)存儲(chǔ)本地化要求。這份草案第三十一條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)在中華人民共和國(guó)境內(nèi)存儲(chǔ)在運(yùn)營(yíng)中收集和產(chǎn)生的公民個(gè)人信息等重要數(shù)據(jù);因業(yè)務(wù)需要,確需在境外存儲(chǔ)或者向境外的組織或者個(gè)人提供的,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估。從國(guó)際經(jīng)驗(yàn)來(lái)看,目前僅俄羅斯一項(xiàng)最新法律規(guī)定所有收集俄羅斯公民信息的互聯(lián)網(wǎng)公司都應(yīng)當(dāng)將這些數(shù)據(jù)存儲(chǔ)在俄羅斯國(guó)內(nèi),該立法將于2016年實(shí)施。但在實(shí)踐中,由于互聯(lián)網(wǎng)的互聯(lián)互通及全球性,這一規(guī)定很難實(shí)施,且會(huì)對(duì)產(chǎn)業(yè)帶來(lái)相應(yīng)損失。今年巴西曾在相關(guān)立法草案提出數(shù)據(jù)存儲(chǔ)本地化要求,但經(jīng)過(guò)激烈爭(zhēng)論,最終刪除了該規(guī)定。當(dāng)前草案關(guān)于網(wǎng)絡(luò)數(shù)據(jù)的概念極為廣泛,網(wǎng)絡(luò)數(shù)據(jù)是指通過(guò)網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù),此種概念各國(guó)立法并沒(méi)有先例。目前即使俄羅斯的立法也僅規(guī)定個(gè)人數(shù)據(jù)的本地化,因此,建議立法對(duì)于數(shù)據(jù)限定明確范圍,細(xì)化數(shù)據(jù)存儲(chǔ)本地化要求。
建議將用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者所有或者管理的網(wǎng)絡(luò)和系統(tǒng)納入關(guān)鍵信息基礎(chǔ)設(shè)施的內(nèi)容再加斟酌。主要原因在于,關(guān)鍵信息基礎(chǔ)設(shè)施概念需明確,目前用語(yǔ)模糊,可能所有的網(wǎng)站都可被納入關(guān)鍵基礎(chǔ)設(shè)施并施加相應(yīng)義務(wù)。
此外,目前草案在預(yù)留眾多立法接口,相關(guān)概念的統(tǒng)一性及一致性等方面都需要進(jìn)一步推敲。