源于我国面临国内外网络安全形势的客观实际和紧迫需要,2016年11月7日,《中华人民共和国网络安全法》(以下简称“网安法”)经第十二届全国人大常委会第二十四次会议表决通过,已于2017年6月1日施行。网安法为我国有效应对网络安全威胁和风险、全方位保障网络安全提供了上位法依据。
一、战略发布:不断强化网安法提出的原则和政策
2016年12月27日发布的《国家网络空间安全战略》,是我国首次发布关于网络空间安全的战略。战略与网安法提出的构建网络空间的“和平、安全、开放、合作”原则相衔接,从国家战略层面诠释了网安法主张的网络空间主权原则,将“坚定捍卫网络空间主权”作为九大战略任务之首,强调“根据宪法和法律法规管理我国主权范围内的网络活动,保护我国信息设施和信息资源安全,采取包括经济、行政、科技、法律、外交、军事等一切措施,坚定不移地维护我国网络空间主权。坚决反对通过网络颠覆我国国家政权、破坏我国国家主权的一切行为”;战略将“保护关键信息基础设施”作为九大战略任务之三,进一步拓展了关键信息基础设施的外延,将重要互联网应用系统纳入其中,强调着眼识别、防护、检测、预警、响应、处置等环节,建立实施关键信息基础设施保护制度;同时,战略再次强调要建立实施网络安全审查制度,加强供应链安全管理。
2017年3月1日发布的《网络空间国际合作战略》,全面宣示了我国在国际互联网治理问题上的基本原则和行动要点,奠定了我国在国际社会竞争中的话语权和软实力。该战略站在各国共同维护网络空间安全的角度,重申了网安法的和平、主权原则;战略主张的“促进企业提高数据安全保护意识,支持企业加强行业自律,就网络空间个人信息保护最佳实践展开讨论。推动政府和企业加强合作,共同保护网络空间个人隐私”的行动倡议与网安法第四章“网络信息安全”的个人信息保护规定紧密契合。
这两个战略开启了我国网络空间治理的全新范式,巩固和强化了网安法构建的由内而外、自上到下的原则和政策,为我国网络安全相关政策和配套法律的出台指明了方向,有助于继续深入推进网络主权保障、关键信息基础设施保护、个人信息保护、国家安全审查等方面的法律构建。
二、配套规定出台:有效衔接网安法构筑的制度和规则
网安法从运行安全、信息安全和事件应对三个维度立体化、全方位保护网络安全。相关部门正制定或出台相应的下位法与之配套,切实保障网安法的可操作性,避免流于表面化。
在网络运行安全方面,网络安全审查和关键信息基础设施保护制度是下位法制定的重点。网安法第35条规定应该对可能影响国家安全的关键信息基础设施的网络产品和服务进行国家安全审查,该条已在国家互联网信息办公室2017年5月2日发布的《网络产品和服务安全审查办法(试行)》中进行了具体规定,该规定是首个正式生效的网安法重要配套规定,并已于6月1日同步施行。该办法旨在提高网络产品和服务安全可控水平,防范供应链安全风险。根据该办法,关系国家安全和公共利益的信息系统使用的重要网络产品和服务以及关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的,都要经过网络安全审查;网络安全审查重点在于网络产品和服务的安全性、可控性。
信息安全等级保护制度是国家对基础信息网络和重要信息系统实施重点保护的关键措施。我国的信息安全等级保护工作初步实现了标准化、规范化,但是仍呈现体系不完善、重点不突出、保护效果不佳、保护对象不完整等问题。网安法第21条提出国家实行网络安全等级保护制度,第31条进一步要求关键信息基础设施要落实国家安全等级保护制度,突出保护重点,是深化信息安全等级保护制度、保护国家关键信息基础设施和大数据安全的迫切需要。为落实网安法第21条和第31条的规定,必须科学合理地推动网络安全等级保护制度的演进与变革,构建和完善等级保护2.0制度体系。
网安法第31条规定建立关键信息基础设施保护制度,授权国务院制定关键信息基础设施的具体范围和安全保护办法。关键信息基础设施安全保护办法是法律中唯一明确规定“由国务院制定”的行政法规,也是网络安全法律体系的重中之重。主管部门已开展了相关条例的具体调研、安全检查、起草编写、部门论证和企业座谈等工作。在与关键信息基础设施保护配套的强制性标准方面,全国信安标委2017年工作重点之一即为落实网安法要求,加快推动重点标准研制,网络安全产品与服务、关键信息基础设施保护等强制性国家标准的研究。由此可见,与网安法第31条配套的法规、国家标准等正在经历着缜密的夯实历程。
网安法第37条首次在法律中确立了对个人信息及重要数据出境的安全评估制度,并授权国家网信部门会同其他监管部门制定详细的安全评估实施办法。数据本地化属于境内外实体的重大关切,《个人信息和重要数据出境安全评估办法(征求意见稿)》已于5月11日结束公开征求意见。评估办法以《国家安全法》和《网络安全法》等为上位法依据,扩大了数据本地化及安全评估义务适用对象的范围,解释了重要数据的概念,数据评估的重点内容,不得出境的条件等,正式制度出台和具体实施有待在实践中进一步观察。
在网络信息安全方面,《互联网新闻信息服务管理规定》也于6月1日同步施行,规定第13条第一款和十六条第二款分别衔接了网安法第24条用户身份管理制度的要求和第47条处置违法信息的义务要求,互联网新闻信息服务提供者违反这两款的适用网安法的行政处罚。
两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(《解释》)5月10日正式发布,解释降低入罪门槛,严惩侵犯公民个人信息犯罪。在个人信息保护基本立法暂时缺位的情况下,《解释》及时弥补了个人信息刑事责任追责的短板,并实质性的构成了网安法行刑衔接的进一步配套和细化制度,为基本立法提供了案例素材,有利于立法的精准、充分。
三、国际立法变革:网安法后续制度落地的参考方向
国际网络安全相关战略和立法迅速进行改革,美欧纷纷建立全方位、更立体、更具弹性与前瞻性的网络安全立法体系。鉴于事件驱动重大立法规律的存在,可以预见的是,国际立法变革将一直持续。
美国接连通过多部网络安全战略及立法,以加强美国网络安全和抵御网络攻击的能力,如2016年通过《信息自由法案促进法》、“应对重大网络攻击最新政策指令”、“安全漏洞披露政策”、《波特曼-墨菲反宣传法案》,2017年通过《国家网络事件响应计划(NCIRP)》、《2017NIST网络安全框架、评估和审查法案》(NIST Cybersecurity framework, Assessment, and Auditing Act of 2017)(H.R.1224)等。5月11日,美国总统特朗普签署了《关于加强联邦网络和关键基础设施网络安全的总统行政令》,要求美国采取一系列措施来增强联邦政府、关键基础设施和国家这三个领域的网络安全,明确要求联邦机构必须遵守NIST的网络安全框架。欧盟2016年7月通过第一部网络安全法案《网络与信息系统安全指令》,致力于在欧盟范围内实现统一的、高水平的网络与信息系统安全,欧盟成员国必须在21个月内将其转化为国内法,11月发布了三个有关欧盟《一般数据保护条例》内容的指南,为落实《一般数据保护条例》提供更详尽的指引。英国2016年底颁布史上最严协助执法法《调查权法案》,旨在进一步理清执法机构在通信及通信数据拦截、获取、留存及设备干扰等方面的权力,帮助执法机构调查犯罪和防控恐怖主义。
从制度设计层面来看,网安法规定了近20项制度,其中,网络安全等级保护制度、网络信息内容管理、网络安全教育和培训、个人信息保护等制度较为成熟,网络关键设备和网络安全专用产品认证、漏洞等网络安全信息发布、关键信息基础设施保护制度、数据留存和协助执法制度、境外网络攻击制裁等更多的制度亟需完善设计和后续落地,在制度的贯彻实施过程中必然存在各种挑战和问题。
而恰恰国际立法变革的内容可以为我国网安法后续制度落地提供参考方向。如美国2016年应对重大网络攻击最新政策指令公布了对网络攻击严重程度进行定性的标准,从0级到5级共分6个层次,分别是基准、低、中、高、严重和紧急,其中3级及以上被视为“重大网络事件”,将触发政策指令中的威胁应对、资产应对和情报支持活动等反应机制,可以为我国网络安全事件应急处置和境外攻击制裁制度落地提供参考。美国国防部“安全漏洞披露政策”可以为漏洞等网络安全信息发布和漏洞的合法挖掘、合理披露制度构建提供参考。美国《2017NIST网络安全框架、评估和审查法案》则可为关键信息基础设施保护办法、关键信息技术保护安全要求方面的国家强制性标准制定提供参考。英国《调查权法案》涉及面广,规定细致,可以为数据存留和协助执法制度的完善提供参考等。必须强调的是,相关制度借鉴应考虑其制定和实施的特殊场景,不能照搬国外经验,需根据国情实施本土化改造。
作为我国第一部网络安全管理的基础性保障法,其全面落地实施是网络空间法治建设的重要里程碑事件。网安法以发现、消除网络安全威胁和风险,提升恢复能力为轴心,构建了“防御、控制与惩治”三位一体的立法架构,其配套制度的制定与出台正不断夯实丰满这一立法架构。