网络安全国家安全;网络空间治理;双重定位体系构成
[中图分类号]D63
[文献标识码]A
一、国家网络空间安全捍卫法
(一)网络安全与国家安全的关系
国家安全是安邦定国的头等大事和重要基石,属于法治运行系统强规制的核心领域。①传统安全观把主权、领土、政治安全作为国家安全的重中之重,维护国家安全主要依靠军事力量和手段。随着人类社会不断发展和世界形势的不断变化,以网络安全为代表的非传统领域安全日益凸显,成为威胁国家安全的重要因素。面对国内外安全形势的复杂变化,我国提出了总体国家安全观,强调统筹外部安全和内部安全、国土安全和国民安全、传统安全和非传统安全、自身安全和共同安全。[1]
(二)网络安全法将维护国家安全作为立法目的之一
其一是网络安全等级保护制度。1994年国务院颁布了《计算机信息系统安全保护条例》,明确提出:“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法由公安部会同有关部门制定。”2007年公安部、国家保密局、国家密码管理局、国务院信息工作办公室联合发布了信息安全等级保护管理办法,规定信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及遭到破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级,从第一级到第五级的保护要求渐次提升。在此基础上,网络安全法以法律形式确立了网络运行安全基础制度,其中第21条和第59条确立了网络安全等级保护制度及网络运营者的基本义务。②
根据《信息安全技术网络安全等级保护定级指南》(GB/T22240-2020),在网络安全等级保护定级中,将受侵害的客体分为“公民、法人和其他组织的合法权益”“社会秩序、公共利益”“国家安全”三类。其中:(1)“公民、法人和其他组织的合法权益”定级分为一级(一般侵害)、二级(严重侵害或者特别严重侵害);(2)“社会秩序、公共利益”定级分为二级(一般侵害)、三级(严重侵害)、四级(特别严重侵害);(3)“国家安全”定级分为三级(一般侵害)、四级(严重侵害)和五级(特别严重侵害)。定级越高,对网络安全保护的要求也越高。由此可见,我国网络安全法的保护对象具有广泛性,不限于“国家安全”。③同时,网络安全法对三者的保护程度又存在区分,对“国家安全”实行高定级和强保护。
(四)网络安全法与数据安全法的关系
随着数据对国家安全的愈加重要,网络数据安全问题凸显。根据国家安全法第25条及网络安全法第76条,网络安全包括“保障网络数据的完整性、保密性、可用性的能力”。对网络数据安全的保护散见于其制度设计之中。③网络安全法无论是在基本概念界定、总体要求还是具体制度设计方面都将网络数据安全纳入了考量,并予以规范。另外,网络安全法对“网络数据安全”的碎片化规范设计,又难以满足数据渐成“国家战略资源、企业关键资产与个人人格表征”[3]的体系化规范需求。在此背景下,我国加快了数据领域的立法进程。数据安全法已于2021年6月10日正式通过,2021年9月1日起施行。
从网络安全法与数据安全法的关系来看:首先,二者均是由全国人大常委会制定的一般法律,属于同一层级并行的法律,并非上下位法的关系;其次,二者同属安全法系列,采取以“风险”为基础的社会控制模式,[4]在对网络或数据进行分类基础上建立风险防范、评估和危机应对等安全制度。再次,二者均承载着贯彻总体国家安全观、维护国家安全的重任,对关涉国家安全的网络设施和信息系统、重要数据和国家核心数据实行重点保护和强保护。最后,在调整对象方面,二者在网络数据安全规范方面存在交叉。数据安全法所调整的数据是指任何以电子或者其他方式对信息的记录。其不仅包括电子形式的数据,还包括其他形式的数据;既包括通过网络处理的数据,也包括通过其他媒介处理的数据。
今后宜将数据安全法作为关于数据安全的基本的、主要的法律规范依据。首先,从立法初衷和定性来看,基于数据的重要性、复杂性和特殊性考虑,将“数据安全”作为独立于“网络安全”的特定领域进行单独立法调整规范。将数据安全法作为“数据安全领域的基础性法律”。[5]其次,某种程度上数据安全法亦是为了弥补网络安全法在网络数据安全方面的规范供给不足而制定。[6]作为后来立法,数据安全法需要解决网络安全法实施以来在数据安全方面的短板和不足,在吸收网络安全法的规范经验基础上发展完善。而且,作为“数据安全领域的基础性法律”,数据安全法不应该在“网络数据”这一重要规范对象方面出现空白或者借助于其他法律来规范。因此,整体上宜由数据安全法吸纳网络安全法的规范设计,未来网络安全法在网络数据安全方面或可提供法律适用链接。
二、国家网络空间治理的基本法
(一)加快网络法治建设的时代背景
(二)网络安全法的规范支撑
其二是未成年人的特别保护。总则第13条规定:“国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。”
其三是个人信息安全制度。网络安全法在《关于加强网络信息保护的决定》基础上,完善了个人信息安全制度,主要包括:建立用户信息保护制度(第40条),个人信息收集使用规则(第41条),网络运营者的个人信息保护义务(第42条),个人信息的删除权和更正权(第43条),禁止非法获取、买卖、提供个人信息(第44条),监督管理部门的保密义务(第45条)以及法律责任(第64条)。
其四是网络信息内容规制。网络安全法从法律层面为网络信息内容治理提供了法律规范依据,主要包括推动传播社会主义核心价值观的倡导性规范(第6条)、规定内容底线的禁止性规范(第12条)、网络运营者对用户发布信息的管理义务(第47条)、网络运营者未尽管理义务的法律责任(第68条)四个条文。如学者所言,这是我国首次以法律位阶规定的传媒内容底线,而以往传媒禁载、禁播条款都只是由行政法规、部门规章加以规定。[13]而网络安全法规定网络信息内容规制亦具有立法上的传承性。①
(三)多部门/领域法发展的规范支撑
网络安全法是我国较早完成的一部网络专门立法,此后我国还先后制定出台了数据安全法、个人信息保护法等专门性法律,而且在既有传统部门法的制定或者修订过程中,也会增加专门规范信息网络的内容,如民法典、刑法、未成年人保护法等,这些立法规范内容共同构成了我国网络空间治理的规范依据,规范网络空间主权范围的人际行为或关系的法律秩序。因此,我国网络安全立法的第二重定位将在法律适用中得到多部门/领域法发展的规范支撑。如网络违法犯罪将得到社会治安处罚法、刑法的规范支撑;未成年人网络保护将得到未成年人保护法的规范支撑等。
由上可知,随着我国网络法治体系的不断发展完善,在网络安全立法以外的其他法律部门或者法律领域立法与网络安全立法之间存在一定交叉,也会涉及网络安全规范,这部分内容也应该作为我国网络安全立法体系的组成部分,但是就多法律部门或法律领域本身而言,可能涉及多维法律价值的考量与平衡,因此整体这些法律部门或者领域应独立于网络安全立法体系。
结论
[参考文献]
[2]中国信息安全测评中心.以关键信息基础设施安全防护筑牢网络安全之基[J].中国信息安全,2021(9).
[3]许可.《数据安全法》:数字时代的基本法[N].经济参考报,2021-06-22.
[4]翟志勇.网络安全法的体系定位[J].苏州大学学报(哲学社会科学版),2021(1).
[6]黄道丽,胡文华.中国数据安全立法形势、困境与对策——兼评《数据安全法(草案)》[J].北京航空航天大学学报(社会科学版),2020(11).
[7][8]李欲晓等.论我国网络安全法律体系的完善[J].中国工程科学,2016(6).
[9]于雯雯.网络治理法治化是依法治国的应有之义[N].学习时报,2017-07-10.
[10]王四新.《网络安全法》:互联网治理的总动员令[J].人民论坛,2016(12).
[11]赵宏瑞等.中国《网络安全法》的立法特色与国际影响[J].中国信息安全,2018(7).
[12]程琳主编.中美网络安全比较研究[M].北京:中国人民公安大学出版社,2017:97.
[13]魏永征.基于《网络安全法》的传媒法治建设探究[J].社会治理,2020(3).
[14]程啸.个人信息保护法理解与适用[M].北京:中国法制出版社,2021:7.
[15]王军.传媒法规与伦理(第二版)[M].北京:中国传媒大学出版社,2021:32.
[16]李建伟.美国网络安全监控战略与法制变迁及其启示[J].北京航空航天大学学报(社会科学版),2020(5).
[17]刘金瑞.欧盟网络安全立法近期进展及对中国的启示[J].社会科学文摘,2017(6).