网络法律评论(第18卷)
上QQ阅读APP看书,第一时间看更新

专题链接

网络安全的法律定位

张金平[2]

摘要:自“斯诺登事件”以来,网络安全问题不断升温。本文从法律角度,首先考察网络安全的定义,指出网络安全的核心是信息安全,网络安全的重点是保障信息和信息系统免遭非法访问、使用、干扰、泄露、降级、篡改和破坏。继而,本文分析了欧美以及巴西对于网络安全的法律定位和相应的立法,发现美国侧重于政府与企业的信息共享与合作,欧盟和巴西侧重于个人数据和隐私的保护。最后,本文提出我国应当准确定位我国的网络安全,加快出台网络安全战略和专门立法,注重信息安全和个人数据的保护。

关键词:网络安全 信息安全 信息共享 个人数据

Cybersecurity:A Legal Perspective

Abstract:Cybersecurity becomes a priority issue after Edward Snowden dis-closed PRISM.This article analyzes cybersecurity in a legal perspective.First,this note reviews the definition of cybersecurity and points out its core is the securi-ty of information and information system.Second,this note focuses on examining the legislation of the European Union,the United States and Brazil,founding that the United States emphasizes on the information sharing while the European Union and Brazil stress the protection of personal data and privacy.Finally,this article argues that we should have a clear legal framework on cybersecurity,publishing a cybersecurity strategy and increasing the pace of legislation on cybersecurity and the protection of personal data and privacy.

Key words:Cybersecurity,Information Security,Information Sharing,Pers-aonal Data

一、问题的提出

自人类进入网络时代以来,政府、军队、企业、金融机构、医院以及其他组织和机构,通过计算机以及互联网,搜集、存储、传输和处理了大量的国家机密、商业秘密和个人隐私等方面的敏感信息。随着网络攻击在数量、规模、破坏性的不断升级,世界各国对于国家安全的保障、商业秘密的保护、个人隐私的维持都越来越关切。而“斯诺登事件”则引发世界各国对如何治理网络安全的进一步思考。

作为互联网大国,我国也高度关切网络安全的国家治理,尤其是法律治理。在国际层面,我国政府希望在信息领域没有双重标准,各国都有权维护自己的信息安全,不能一个国家安全而其他国家不安全,一部分国家安全而另一部分国家不安全,更不能牺牲别国安全谋求自身所谓绝对安全。为此,我国积极探讨多边、民主、透明的互联网国际治理体系。

然而,网络安全的治理无法一蹴而就,很多问题仍不明确,最重要的是界定网络安全的概念和确定治理的思路:网络安全是针对什么而言的?网络安全涉及的主体有哪些?网络安全的危机在哪里?网络安全应如何应对?国外有哪些做法?怎样的做法既符合国际惯例,又能确保我们的个人福利、互联网产业的发展和国家安全?这一系列的问题,都促使我们去做一个系统的分析和通盘的考虑。本文仅仅从概念的角度切入,探讨网络安全的概念,尤其是欧美、巴西等国家对于网络安全的定位,最终提出我国对于网络安全的合理的法律定位。

二、网络安全的概念

对于网络安全概念的界定,目前世界各国并未达成一致。从词语构成上来说,“网络安全”是“网络”与“安全”两个概念的组合,是指与网络有关的安全。汉语中,“网络”一词最早用于电学,《现代汉语词典》(1993年版)曾作出这样的解释,“在电的系统中,由若干元件组成的用来使电信号按一定要求传输的电路或这种电路的部分,叫网络”。在计算机领域中,网络通常是指信息发送、传输、接收、共享的虚拟平台,通过它把各个点、面、体的信息联系到一起,从而实现这些资源的共享。而网络这些信息的共享,需要网络基础设施(如计算机终端、客户端、服务端、光纤、电缆、局域网、互联网)的支持和软件的应用。因此,网络安全,就与网络基础设施、软件及网络上传输的信息的安全同义。但是,这仅仅是词语结构的角度去分析网络安全的概念。

在我国,中国互联网信息中心作为我国信息社会重要的基础设施建设者、运行者和管理者,从网络信息安全事件的角度进行统计很多与网络安全有关的数据,但并未对网络安全进行界定。该中心2008年发布的《2008年中国网民信息网络安全状况研究报告》,采用了“信息网络安全”的概念,但对于该概念并未进行界定;2012年发布的《2012中国网民信息安全状况研究报告》,采用的是“信息安全”;2013年发布《2013中国网民信息安全状况研究报告》沿用2012年的概念,但都未对“信息安全”进行界定。

我国民间则主要从分类角度描述网络安全,认为网络安全由于不同的环境和应用而产生了不同的类型:(1)运行系统安全,即保证信息处理和传输系统的安全。它侧重于保证系统正常运行。避免因为系统的崩溃和损坏而对系统存储、处理和传输的消息造成破坏和损失。避免由于系统故障产生信息泄露,干扰他人或受他人干扰;(2)网络上系统信息的安全。包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计,计算机病毒防治,数据加密等;(3)网络上信息传播安全,即信息传播后果的安全,包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果,避免公用网络信息失控;(4)网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。其本质是保护用户的利益和隐私。[3]

在英语中,网络安全主要先用两个单词的“cyber”与“security”构成,后来发展为一个单词“cybersecurity”。[4]美国马里兰大学认为,网络安全,又可以称为“信息技术安全”,主要关注计算机、网络、软件和数据的保障,使其免遭恶意或非经许可的访问、篡改和破坏。[5]美国Whatls.com将网络安全定位为:为保护网络、计算机、程序和数据免于攻击、破坏或非法访问而设计的技术、程序和实践的总称。在构成上,网络安全包括五个要素:应用安全、信息安全、网间安全、灾难恢复与商业持续计划、最终用户教育。[6]

在美国2002年的《国土安全法》(第223条)中,网络安全(cybersecurity)问题首度得到专门规定,但该法也没有对网络安全进行界定。2004年11月5日美国国土安全部在其发布的《燃油与汽油领域网络安全标准的比较研究》中则使用“Cyber Security”。而在此之前,美国白宫于2003年发布的《网络空间安全保障的国家战略》则使用“se-cure Cyberspace”来表明网络空间的安全保障应提升到国家战略层面。而到2013年美国总统奥巴马发布行政命令《关于改善关键基础设施网络安全的行政命令》,则再度使用了“cybersecurity”。2011年,奥巴马政府向国会提出了有关计算机安全的立法建议,该建议对“网络安全威胁”(cybersecurity threat)进行了说明。根据立法建议,网络安全威胁是指任何可能导致对信息系统、信息系统中存储的信息或信息系统的传输未经授权的访问、操纵或对其完整性、机密性或可用性的损害,或是对信息系统中存储的信息或信息系统的传输进行的未经授权的泄露。[7]不过,直到2014年12月,美国才通过的《全国网络安全保护法》,在第3条中首度回应了2002年《国土安全法》的网络安全方面的立法,并对“网络安全危险”(cybersecurity risk)进行界定:“因非法访问、使用、泄露、降级、干扰、篡改、破坏信息或信息系统(包括恐怖活动引发的上述结果)而导致的信息或信息系统遭受的威胁。”至于信息系统的概念,该法则回归到《美国法典》第3502条第8款,即指的是“为收集、处理、保存、使用、分享、传播和处置信息而构建的一系列信息资源”。由此可见,在美国现有立法当中,网络安全是针对于信息和信息系统而言的,网络安全的核心是应对网络安全威胁,防止信息和信息系统的非法访问、使用、泄露、降级、干扰、篡改和破坏,但同时,网络安全的保障也涉及关键基础设施的安全保障。

在欧盟2013年颁布的第526/2013号条例中,欧盟采用“网络与信息安全”的术语,并将其界定为,“在给定的可置信水平上,网络或者信息系统抵抗意外事件、非法的或者恶意的行为的能力。这些意外事件、非法的或者恶意的行为可能损害已储存或已传输信息的可用性、完整性和机密性,以及通过网络或信息系统提供的或者获得的服务”。[8]

由此观之,网络安全,又可以称为信息网络安全,是相对于网络攻击或网络安全威胁而言的,指的是确保信息和信息系统免遭非法访问、使用、干扰、泄露、降级、篡改和破坏。

三、美、欧、巴西对网络安全的立法定位

在网络时代,个人信息、商业数据以及政府机关的信息都充斥在互联网上,而这些信息或处理这些信息的信息系统又可能随时随地遭受网络攻击。因此,世界各国都高度重视网络安全的应对。

自20世纪80年代以来,网络空间的治理引发世界各国的热议。讨论的结果呈现两大观点:一种是网络空间超国家主义,即网络空间是一个全球公域,不为任何国家主权所控制但又为所有国家所依赖的领域或区域,因此,网络安全的治理需要世界各国的合作与治理;另一种观点是传统的国家主义,即事实上并不存在真正的全球统一的互联网络,不仅技术上各国网络体系和物理结构相互区隔、网络基础设施总是处于国家主权管辖疆界之内,而且网络技术产品的应用、开发和推广以及跨境数据传输都受一国的监管。[9]然而,在国际交往频繁的今天,没有哪一个国家能够全盘把控一国的网络,都需要与他国进行对话与合作,因此采取折中的进路:在国际对话机制下,各国通过国内的立法或政策来规制一国的网络空间。

限于篇幅,本文将重点研究欧美及巴西对于网络安全的立法定位,以挖掘网络安全法律治理框架下各自关注的核心问题及其措施。

(一)美国:强调与私营部门合作

在2001年遭受“9·11”事件以后,美国痛定思痛,将网络安全问题作为类似珍珠港事件、“9·11”事件对待,在2002年的《国土安全法》中,网络安全被作为国土安全的一部分,首度在立法中予以规定。该法第223条“非联邦网络安全的实施”规定,国土安全部应与州政府合作,分析关键信息系统的威胁、漏洞,并及时通知关键信息系统所有者(私主体)上述情况,提供相应的协助,帮助私主体应对网络安全威胁。《国土安全法》的出台,让美国建立起国土安全部,同意应对国土安全系列问题,使美国联邦政府、州政府、私营部门和普通市民都参与国土安全的保护,让美国进入了相对长时期的严格而安全的管控时期。

但近几年网络攻击频繁发生,国际上网络安全问题已成为国家间谈判的重点话题,奥巴马政府就开展了一系列积极保护网络安全的举措。但在理解这些立法及政策方面的举措之前,我们不妨先来看一下奥巴马对网络安全的基本立场。

在2015年2月13日的“网络安全与消费者保护高峰论坛”中,奥巴马在斯坦福大学列举了美国应对网络安全的一系列基本原则:“(1)网络安全是大家共同的责任。在美国,相当多的计算机网络和关键基础设施都由私营部门所有,这意味着美国政府无法单独保障网络安全。然而,事实上私营部门也不能单独应对,因为美国政府才有最新威胁的信息。应对网络安全只有一个途径,那就是政府与产业界共同合作,以真正的合作伙伴的姿态来分享信息。(2)我们不得不将我们的精力集中在我们的特殊专长上。政府拥有很多的能力,但很多时候政府并不是保障私营企业网络的最合适人选。今天在座的企业都是最顶尖的企业,但你们通常并没有能力应对网络攻击,感知周遭威胁,实时警告其他企业,以及同其他企业和机构协同应对。因此,我们应当要机智和高效,统合各自所长,共同出击。(3)我们要时刻跟进。计算机病毒攻击首次发生在20世纪80年代,自此以后我们便进入了网络武器竞赛的时代。我们设立新的防御,但黑客和罪犯设计新的手段攻破这些防御,而且这些攻击越来越复杂。因此。我们必须保持快速、灵活和持续地更新我们的防御。(4)最为重要的是,在我们的所有工作当中,我们要确保美国人民的隐私和权利自由。”[10]

基于奥巴马对网络安全的上述定位,我们就不难理解近年来奥巴马政府及国会为何频繁进行网络安全方面的立法提案和发布行政指令。

1.《网络情报共享与保护法案》(下称CISPA)

CISPA是一项旨在为网络威胁情报在情报界和网络安全机构之间共享提供依据的提议法案,于2011年首次提出,并未获得参议院的通过,奥巴马政府方面也表示该法案由于缺乏保密性和公民自由保障的规定而予以否决。2013年2月,该法案再次提上日程,并于2013年4月18日获得众议院通过,参议院还尚未表决。

2013年版CISPA共7条,主要包括网络情报共享的协调工作以及对《1947年国家安全法》的修改。法案并未对网络安全直接进行界定,而是通过对“网络威胁信息”“网络威胁情报”“网络安全犯罪”“网络安全目的”等概念进行定义,侧面表现出“网络安全”的内涵。[11]其中,对于网络安全目的的界定,从一般意义上概括了网络安全所涵盖的内容。

2013年的《网络安全法案》旨在提升网络安全并推进网络安全的研究和发展,已送交参议院商务、科学和运输委员会审议。该法案对“网络安全的使命”进行了定义,系指“威胁的降低,网络安全隐患的减少,威慑,国际事务,应急事件反映,网络弹性,以及修复政策和活动,包括计算机网络运行、信息安全、法律执行、外交、军事以及情报活动等与网络空间的安全性和稳定性有关的活动”。[12]

2.《关于改善关键基础设施建设网络安全的行政命令》

奥巴马政府于2013年2月12日颁布了第13636号《关于改善关键基础设施建设网络安全的行政命令》,首次明确规定美国私营实体应当与美国政府共享网络安全方面的信息。在内容上,该命令包括12条。第1条明确提出为了应对网络安全,政府与关键基础设施所有者和管理者达成合作伙伴关系,提高网络安全情报的共享,协同开发并实施防御网络风险的标准。其他条款规定了共享的机制、共享信息时对隐私和公民权利的保护、制定及实施网络安全标准和框架。

3.2014年底通过五部立法

在“斯诺登事件”之后,美国加快了网络安全立法的步伐,并赶在2014年元旦之前一口气通过了五部网络安全方面的立法:《全国网络安全保护法》《联邦信息安全现代化法》《网络安全人员评估法》《国土安全人员评估法》和《网络安全促进法》。

其中,《全国网络安全保护法》修订了2002年的《国土安全法》,并在国土安全部下设一个全国网络安全与统一协调中心,负责分享网络安全威胁与事故,分析和警告联邦和非联邦机构,监督关键基础设施的保护,以及国土安全部相关的项目。[13]《联邦信息安全现代化法》修订了2002年的《联邦信息安全管理法》,重新确立管理与预算局局长对于机构信息安全政策和实践的监管权力;明确提出国土安全部在行政上执行上述政策和实践的权力。[14]《网络安全人员评估法》要求国土安全部评估本部门内的工作人员,并提出一个清晰的工作人员发展战略,加强这些人员的能力。[15]《国土安全人员评估法》作为《边境巡逻机构报酬改革法》的一部分,则主要评估和改善国土安全部下属的边境巡逻机构人员的报酬和任职程序。[16]《网络安全促进法》分为五章:第一章规定政府部门与私营部门的合作机制;第二章规定网络安全研发;第三章规定教育与人员培养;第四章规定网络安全意识和防备;第五章规定网络安全技术标准的推进(包括利用云计算技术)。该法第一章主要授权国家技术与技术局与商务部共同合作,制定一套基于自愿、共识、产业为导向的应对网络安全危险的标准,以此推动公私部门的合作和信息共享。[17]

4.美国网络安全立法:政府强调与企业的信息共享

美国网络安全立法在奥巴马执政期间得到了全面的推进,其重要原因可以归结于“斯诺登事件”的爆发。在这一系列的立法中,奥巴马政府最为关心的是如何实现政府部门与私营部门信息共享,例如提出一个基于自愿、共识和产业导向的应对网络安全危险的标准,共同应对网络安全。

然而,美国企业怕失去商业上的优势地位和形象而不愿与美国政府走得太近,因此,这一系列的立法最终都是政府在推动网络安全风险信息的共享,而企业都是被动进行,因为这些立法都没有涉及私营部门披露信息而引发的侵权责任能否免责。[18]而私营企业是否自愿参与和执行这个标准,很大程度上取决于他们所遇到的网络风险的程度、美国标准与技术局采取的标准的价值以及市场竞争环境下执行该标准的最佳实践。[19]

(二)欧盟:侧重隐私保护

欧盟,作为28个成员国的共同体,对于网络安全的关注,除了为实现欧盟内部统一市场的繁荣而协调欧盟各国电子通信与基础设施的监管机构之外,还尤为关注欧盟成员国市民的隐私保护。

1.设立欧盟网络与信息安全局协调网络安全事务

相较于美国为了应对恐怖主义在2002年成立国土安全部,欧盟在网络安全方面的立法尤为主动,在2004年3月13日,欧盟通过关于建立欧洲网络与信息安全局的第460/2004号条例,设立欧盟网络与信息安全局(ENISA),统筹和协调各成员国应对网络安全威胁。

第460/2004号决议明确网络安全方面的重要概念:(1)“网络与信息安全”是指一个网络或信息系统,在既定的置信水平上,抵御那些将破坏网络及系统所储存或传输的数据的可得性、真实性、完整性及机密性,妨碍网络及系统提供或通过网络及系统可获取的相关服务的偶发事件、违法或恶意行为的能力;(2)上述概念中的“网络”是指传输系统,也可以是转换器或路由设备,以及其他传输电路信号、无限信号、光学信号及其他电磁形式的信号的设备资源,其他电磁形式包括卫星网络,固定(电路交换和信息包交换,包括互联网)以及移动地面网络,电力电缆系统,广播网络,电视播送网络,以及有线电视网络,视它们被用于传输信号的程度而定,而不论传输的信息种类为何;(3)“信息系统”是指电脑,电子通讯网络,以及它们在运算、使用、保护和维护过程中所保存、处理、检索或传输的电子数据;(4)“可得性”是指数据是可获取的,服务是可使用的;(5)“数据完整性”是指所发送、检索或储存的数据是完整的,未被修改的;(6)“数据机密性”是指保护通讯或储存的数据不被未获得授权的人员拦截或读取。

在上述条例出台近十年后,欧盟意识到,电子通信及其基础设施和服务的安全,特别是其完整新、有效性和保密性正在面临越来越多的挑战。为此,欧盟通过了第526/2013号条例,废除第460/2004号条例,旨在增强欧盟网络与信息安全局的力量,协助联盟机构及各成员国提高应对网络与信息完全挑战的能力。尤其重要的是,新条例特别强调政府部门与私营部门之间的广泛合作,公共电子通信、网络或服务的提供者应当采取适当的措施保障其相关设施和服务的完整性和安全性,而各成员国的监管当局须向欧盟网络与信息安全局报告网络安全漏洞或完整性缺失的情况,欧盟网络与信息安全局则统筹全局,制定欧盟网络与信息安全方面的法律、政策,分析和发布网络与信息安全战略、推动欧盟网络产品与服务的安全标准的出台及完善,协助成员国应对网络安全事故。

2.欧盟网络安全战略:创建和维护开放、可靠、安全的网络空间

2013年7月2日,欧盟颁布了《欧盟网络安全战略:创建和维护开放、可靠、安全的网络空间》。在该战略下,欧盟明确指出,网络时代,政府的任务主要是保障准入和开放制度,尊重和保护网络中公民的基本权利,维护互联网的可用性和兼容性,同时承认私营部门在互联网方面的主导作用。在具体内容上,该战略分为四部分:第一部分从四方面阐述“网络安全原则”:(1)欧盟现有立法适用于网络领域;(2)保障基本权利、言论自由、个人数据和隐私;(3)全面开放互联网的访问;(4)民主而高效地多方参与网络安全治理,强调公共机构、私营部门和公民个人,都需要参与网络安全共建当中。第二部分提出了网络安全战略的五大重点和行动:(1)提升网络应变能力;(2)大幅减少网络犯罪;(3)制定与公共安全防务政策;(4)发展网络安全的产业和技术资源;(5)为欧盟制定统一的国际网络安全政策,推广欧盟核心价值观。第三部分规定了各参与主体的角色和职责,强调欧盟网络与信息安全局在欧盟和各成员国、产业界及学术界之间的协调。第四部分则对后续行动进行展望,要求欧盟网络与信息安全局对网络安全进行定期评估,并欧盟高层的进一步会议召开做好准备。

3.个人隐私保护以及跨国数据转移的严格控制

正如欧盟网络安全战略所强调的,欧盟网络安全制度是建立在《欧盟基本权利宪章》之上的,与此同时,没有安全的网络系统,个人权利也无法获得保障。为了维护网络安全,任何威胁个人数据安全的信息共享行径都应当受到欧盟《数据保护指令》的规制。由此可见,对于个人数据的保护是欧盟网络安全战略的重中之重。

早在1995年10月24日,欧盟就通过了第95/46/EC号《数据保护指令》,将欧盟的个人数据保护作为欧盟隐私和人权保护的重要部分,引领了世界各国个人数据保护的趋势。一方面,该指令规定,各成员国根据本指令保护自然人基本人权及隐私,而各成员国不得以保护个人权利为借口,限制或禁止数据在成员国之间进行合法流通;另一方面,该指令第29条和第30条成立工作组,有权评估第三方国家的个人隐私保护水平,如果第三方国家的个人隐私保护水平没有达到《数据保护指令》规定的标准,则限制欧盟个人数据跨境转移到该第三方国家。根据工作组目前的评估,阿根廷、加拿大、瑞士、澳大利亚、以色列、冰岛、挪威、新西兰等符合欧盟《数据保护指令》的要求,欧盟个人数据可以向这些国家进行跨境转移。但其他非欧盟国家的企业,在其所在国立法并不满足的情况下,就要通过其他渠道去满足欧盟的要求。

即使是美国,欧盟也未认同其隐私保护水平。但美国企业为了在欧洲开展商业活动,在自行协商不行的情况下,游说美国商务部与欧盟委员会进行磋商,美国商务部提出隐私保护的安全港框架来满足欧盟的要求。2000年7月28日,欧盟批准了美国的安全港框架。[20]根据这个框架,美国企业要在欧盟开展业务,尤其是进行数据转移,需要向美国商务部提交自评报告,得到商务部审核以后,商务部将该企业公布在美国出口官网的白名单上,告知欧盟这些企业的隐私保护水平满足欧盟数据保护指令的要求。欧盟根据安全港框架则认同这些企业,允许其在欧盟开展业务。

然而,对于其他国家的企业,欧盟委员会则统一要求这些企业(数据进口方)在与欧盟本土企业(数据出口方)达成数据跨境转移协议中,必须加入欧盟委员会通过的“标准合同条款”,按照欧盟的要求进行申报,欧盟有权去监管数据的进口方和出口方,任何一方违约都要承担连带责任。该标准合同条款,最早在2001年6月15日以第2002/16/EC号决定通过。2010年,欧盟委员会更新了标准合同条款。

根据2010年更新的欧盟委员会决定的第2条,新标准合同条款适用于欧盟本土境内成立的个人数据控制者(又称出口方)向非欧盟境内的第三国的数据处理者(又称进口方)的数据转移。这个标准合同条款只管隐私问题,第三国数据处理者与欧盟数据者可以签订其他的合同条款,但进口方仅能按照出口方的要求处理数据而不得转移给其他第三方,后者有书面允许的除外。第4条规定,对于这个合同条款是否得到这些企业的执行,各成员国的监管机构有权监管,并责令禁止或暂停个人数据向境外转移。第5条规定,欧盟委员会每3年做一次评估。

标准合同条款有12条和2个附件的标准合同要求:“个人数据”“适用数据保护法”等概念与欧盟数据保护指令一致;数据转移的细节应作为合同的附件;数据进出口方的义务与责任;仲裁与司法;与监管机构的合作(数据出口方要将合同向监管机构备份);适用法(欧盟成员国法);隐私标准合同条款不得变更(增加新的、不与原有条款冲突的除外);次处理方的义务;数据处理服务终止的义务(进口方应归还或销毁出口方提供的数据,如果进口方所在国有立法不得归还或销毁数据的要求,进口方应保证数据的保密性,也不再进行进一步处理)。最后得附2个附件:一个是转移细节的附件;另一个是进口方有关采取的技术和机构性的安全保障措施的说明。

2012年1月25日,欧盟开始讨论出台《通用数据保护条例》,目的是代替1995年的《数据保护指令》,更全面地反映2009年生效的《欧盟基本权利宪章》对个人隐私和数据保护的要求以及新的侵犯个人数据的威胁。这个修订的内容,包括设定新的权利(如数据转移权和个人遗忘权)、未成年人数据处理的特别规定、提供非欧盟国家满足其立法规定更为方便可行的路径、同时加重违反欧盟立法的处罚(罚款达到该企业全球经营额2%)。[21]

4.欧盟网络安全立法:强调个人数据保护

欧盟作为拥有28个成员国的联盟,对于欧共体网络安全的保障,除了成立欧盟网络与信息安全局来统筹成员国网络安全保护之外,还特别强调欧盟内部市场中个人数据的保护和自由流动,但对于向欧盟外的第三方进行数据跨境转移,则通过强有力的立法进行限制。欧盟这样的做法,一方面是为了推动欧共体内部市场的繁荣,但另一方面又限于互联网企业无法与跨国互联网企业(尤其是美国的跨国企业)抗衡,于是通过《数据保护指令》和标准格式合同条款来限制非欧盟国家企业转移欧盟个人数据。

(三)巴西:对互联网上民事权利进行专门规定

巴西,作为发展中国家的代表之一,在网络方面的立法也非常积极。2014年4月,巴西通过《互联网环境下民事权利法律保护框架》,为巴西互联网的使用设立原则、保障、权利和义务,在这一诉讼领域方面为联邦、各州、联邦地区和各市提供指导准则。

从法律位阶而言,该立法相当于一国的基本立法。在该框架下,巴西对于网络治理提出了网络中立原则的适用,即负责数据传播、交换或者规定路径的主体,有责任确保任何数据包的处理都是同一标准的,而不考虑该数据包的内容、来源、目标、终端或者应用。另外,该框架还专章规定了用户的权利和保障,包括保障交流传递信息、用户储存的私人信息的神圣不可侵犯性和私密性等。包括政府机关在内的他人对于个人信息和数据的获取,有着严格的条件限制。

通过网络利用方面的民事立法,巴西用国际上可以接受的私法保护机制来加强网络治理,从侧面来依法规制巴西网络安全。从这个意义上而言,巴西《互联网环境下民事权利法律保护框架》,尽管没有直接界定网络安全,但对于发展中国家保护网络安全提供了非常有意义的先例。

(四)欧美、巴西立法的启示

从欧美以及巴西的立法来看,网络空间并不是一个国家立法所无法约束的全球公域,事实上,这些国家对于网络空间的立法,既包括大的层面的网络安全立法,即网络安全战略,强调政府与企业的信息共享与合作;也有小的层面的跨境数据转移,强调的是个人隐私保护。

更深层次的挖掘,我们会发现,这些立法都尤其指向企业,尤其是互联网跨国企业,不论是在网络安全方面的信息共享,还是个人数据的跨境转移。以美国为例,正如奥巴马本人所承认的,美国很多关键基础设施的所有者是私营部门,美国国家层面的网络安全保护不得不与企业合作。[22]事实上,在2014年12月底,美国快速通过了四部保障网络安全的立法,涉及企业信息共享。而对于欧美企业之间之间的跨境数据转移问题,美国与欧盟在2014年9月开启的跨大西洋贸易与投资合作伙伴协议,则把隐私保护解决方案作为协议一部分展开专门谈判。

四、未来我国网络安全的法律定位

网络安全,是相对于网络攻击或网络威胁而言的,强调的是保障信息及其信息系统免遭非法访问、泄露、使用、篡改、降级和破坏。在国际互联的网络时代,网络安全的确保,离不开与其他国家的沟通与合作,但本国的立法与政策则代表了一国在网络安全方面的基本立场。

(一)现阶段立法:立法层级低、侧重传统的计算机系统运行安全

2001年,我国《全国人大常委会关于维护互联网安全的决定》,从互联网的运行安全和信息安全两个方面,强调破坏互联网运行安全与信息安全等行为的刑法规制,同时也要求各级政府及有关部门采取积极措施,增强网络的安全防护能力。该决定是我国目前对于网络方面的最高立法,至今起着非常重要的作用。[23]在2012年12月28日,全国人民代表大会常务委员会还从网络信息保护的角度出台了《关于加强网络信息保护的决定》,加强个人信息安全的保护。然而,我们也不得不承认,这两个决定其他的普通立法存在不同,在内容上主要是原则性规则,强调破坏网络安全的行为可以纳入现行刑法的规制范围,但并未规定积极保障网络安全的举措。

在行政法规层面,我国在1997年出台了《计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》,侧重于保障计算机系统的运行安全和国际网联的安全。另外,2000年的《电信条例》则从电信运营方面进行了专门的规定,但对于电信关键基础设施的网络安全问题并没有专门规定。

在部门规章方面,公安部于1998年针对金融领域的计算机系统安全颁布了《金融机构计算机信息系统安全保护工作暂行规定》;于2005颁布了《互联网安全保护技术措施规定》,强调网络服务提供者采取有效的安全保护技术确保网络安全和信息安全。

上述网络安全方面的立法,除了全国人大的决定之外,尚缺乏专门的网络安全立法来统筹互联网时代的网络安全。而且,这些立法大都在十年前颁布,侧重于计算机系统的运行安全,对于信息安全的保护涉及较少。

(二)未来的网络安全定位:加快立法、强调信息安全

我们国家未来的网络安全保护,应当加紧出台专门的立法,重视信息安全的保障,强调网络攻击方面的信息共享和个人数据的保护。具体而言,可以从如下几方面着手:

1.颁布网络安全国家战略

保障网络安全,需要坚固的硬件设备、可靠的软件程序和安全的数据传输协议,涉及个人信息、商业数据以及国家安全等各个层面的防范和维护,涉及个人正常生活、企业商业运作、国家军队及政府的可靠运行,涉及国与国之间的交往与合作。由此可见,网络安全的治理,涉及面广、工作量大、难度高,需要对网络安全有一个准确的定位、科学的指导方针、工作的重点和步骤。而颁布网络安全方面的战略,则是一个可行的做法。

从国际环境来看,欧、美、日等都发布了各自网络安全战略。美国作为互联网的发源地,最早将网络安全提高到国家战略层面。美国白宫于2003年2月发布《网络空间安全保障的国家战略》,提出要应对网络威胁需要一个整体性战略框架,包括战略目标、原则、工作重点和具体部署。日本在2005年4月设立内阁官房设立信息安全中心,目前已经制订了“第一信息安全基本计划”“第二信息安全基本计划”以及“信息安全国民保护计划”等,不断提升日本的网络安全应对水平。在“斯诺登事件”之后,日本政府于2013年6月发布了《日本网络安全战略》,提出了落实网络安全保障任务的三步走的具体措施,即构建坚韧网络空间、构筑有活力网络空间和构建领先世界网络空间。欧盟则在2013年7月颁布《欧盟网络安全战略:创建和维护开放、可靠、安全的网络空间》,明确了欧盟在保障网络安全方面的目标、原则、战略重点与行动、公私主体的角色与职责。

鉴于越来越频发、越来越严重的网络攻击和国际社会对网络安全战略化部署的先例,我国也应当将网络安全的治理提升到国家战略层面,着眼于国内国外的网络安全情势,从战略高度设定网络安全战略的目标、贯彻原则、工作重点和具体措施,统领全国各政府部门、企事业单位和公民,并做好网络安全国际合作,共同治理网络安全。

2.出台网络安全专门立法

在网络安全战略之下,出台网络安全专门立法,以法律的形式确立网络安全方面的全国统筹机构,明确任务重点,确定工作机制和配套制度。同时,将信息安全作为未来网络安全的重点任务来部署,强调与私营主体的合作,并采取适当措施确实保障信息和信息系统免遭非法入侵、使用、泄露、干扰、降级、篡改和破坏,保障国家安全、商业发展和个人权利。

值得注意的是,我国正在起草的《国家安全法》第26条对于网络安全做了比较原则性规定,“国家建设国家网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范和依法惩治网络攻击、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。”[24]这充分体现了我国对网络安全的高度重视,但仍过于宽泛,仍需进一步立法细化。

3.加紧个人数据或个人隐私方面的专门立法

从我国现有的立法来看,最为缺乏的是个人数据或个人隐私方面的专门立法。

网络安全,从宏观层面是国家安全,但从微观而言,是每个公民的个人数据安全和隐私保护。我国作为13亿人口的大国,无疑也是个人数据大国,这些个人数据,不仅包括了个人身份信息、工作信息,还包括了医疗信息、私生活信息、财务信息等敏感信息,与公民的工作生活息息相关。而这些信息主要掌握在企业手中,其收集、使用、加工、删除、转移乃至跨境转移任何一个环节出现问题,都会侵害到亿万公民合法权益,从而引发社会问题,在这个层面,个人隐私和数据安全已经上升为国家的信息安全问题。

从国外情况来看,欧盟和巴西等国家尤其重视个人数据和隐私的保护,在国家立法中明确将个人隐私作为人权来保护,并对数据的收集、使用、加工、删除、转移尤其是跨境转移进行明确的规制。而作为互联网跨国企业最多的美国,也不得不对于个人隐私保护以及个人数据跨境转移等问题,与欧盟等国家进行谈判和妥协。

因此,我国的个人数据或个人隐私方面的立法,迫在眉睫。[25]