在2013年6月公布的《第十二届全国人大常委会立法规划》中,网络安全立法被认定为立法条件尚不完全具备、需要继续进行研究论证的立法项目。然而,2016年《网络安全法》已然出台。对于这一现象,我认为有以下三方面的原因:
(一)国内外网络安全形势严峻
根据世界银行数据库显示,2015年全球互联网用户达到43.998%,多数发达国家互联网用户甚至高于65.57%.1逐年激增的互联网用户数量也警示着,一旦网络安全出现问题,将造成不可估量的损失,近年来这样的例子不计其数。如,美国"棱镜门"事件曝光引发全球恐慌、朝鲜网络遭攻击导致瘫痪、美国政府两千万人事信息数据外泄波及美国近7%公民人身安全等。国际网络安全问题层出不穷,国内网络安全形势同样不容乐观。截至2016年12月,我国网民数量达到7.31亿,互联网普及率达到53.2%.据中国互联网协会发布的《2016中国网民保护调查报告》显示,2015年下半年至2016年上半年一年期间,我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受经济损失达到915亿元,人均损失133元。
(二)我国网络安全法律法规不健全
(三)网络安全问题引起国家高度重视
2014年2月27日,在中央网络安全和信息化领导小组第一次会议表示,"没有网络安全就没有国家安全,没有信息化就没有现代化",将网络安全上升到国家安全层面。同时建议抓紧制定网络安全立法规划,完善关键信息基础设施保护、网络信息管理等法律法规,使网络空间治理有法可依,维护公民的合法权益。这一举措直接推动《网络安全法》的顺利出台。
二、《网络安全法》的制度亮点
中国工程院院士李建成教授指出,"网络安全建设,应当以法律为根,技术为基。"《网络安全法》是在吸取国内外立法经验的基础上,经过两次公开征集意见,人大常委会三次审议之后完成的。尽管立法过程历时较短,但其中不乏制度亮点。
(一)明确了"1+X"的监管机制
(二)首次以法律形式规定网络实名制
(三)准确定义关键信息基础设施
国际社会上有两个类似的概念,即关键基础设施和关键信息基础设施。在国际社会中,各国对关键基础设施有着基本的共识,主要包括两大特征:一是该设施为国家正常运转提供必不可少的支持;二是一旦遭到破坏,会对国家安全、社会稳定、公众健康和安全造成严重的影响。然而各国对如何界定关键信息基础设施则存在着较大的分歧。在这里,可以简单将其理解为需要进行网络安全保护工作的关键基础设施。随着网络信息技术的迅速发展,越来越多的基础设施逐步接入互联网,关键信息基础设施这一概念所涵盖的范围也不断扩大。现今两者的概念边界逐渐模糊,经常交错适用,可理解为从传统安全和网络安全两大不同的领域来界定同一保护对象。我国《网络安全法》延续了国际上的惯常做法,采用了"关键信息基础设施"这一概念。同时,在经过两次公开征集意见后,改变了最初采用的"列举式"定义,而以"列举式"与"概括式"相结合的方式来界定关键信息基础设施。这种定义方式既突出了"关键信息基础设施"的本质,同时也列举出"关键信息基础设施"较常见的类型,以便实践中更具操作性。
(四)明确规定跨境数据流动规则
三、《网络安全法》存在的不足与完善
《网络安全法》中不乏诸多亮点制度,这是网络安全立法领域向前发展的一大步。然而,在对上述亮点制度的分析过程中,笔者发现其中仍存在一些不足,主要可以概括为以下三个方面:
(一)网络安全政策不应列入《网络安全法》
国家网络安全布局,是指国家综合考量本国国情和国际形势后,对未来网络安全领域将采取何种政策所做的一个中长期的规划。而重点领域网络安全政策,正是国家网络安全布局在某一领域的具体表现。布局、政策和法律属于现代社会治理中相辅相成的两种手段。笔者认为,《网络安全法》将国家网络安全布局和重点领域网络安全政策纳入其调整内容中,这种做法不仅混淆了三者之间的概念,有损法律的权威性、可执行性,同时在一定程度上可视为对立法资源的浪费。反观世界各国和各地区关于网络安全的立法进程,普遍是综合运用法律、战略、政策、规划来对国家网络安全进行全方位保护。目前,我国并未明确制定国家网络安全布局,仅在2006年中共中央办公厅、国务院办公厅印发的《2006-2020年国家信息化发展战略》中提到将"建设国家信息安全保障体系"作为我国信息化发展的战略重点之一。笔者相信在接下来的网络安全立法进程中,这对我国制定国家网络安全布局及重点领域规划网络安全政策具有一定的指导作用。