红包分享
钱包管理
0- 0
- 0
来源: 网络空间治理思与行 原创 寿步
寿步主编《网络空间安全法律问题研究》连载之31
【内容提要】
本书由寿步教授主编。本书以ISO/IEC 27032:2012关于网络空间、网络空间安全、网络空间安全态、网络空间犯罪(态)这四个术语的定义为逻辑起点,将网络空间安全与信息安全、应用程序安全、网络安全、因特网安全、关键信息基础设施保护等术语进行明确定义和区分,提出在此基础上构建满足自洽要求的我国《网络空间安全法》的逻辑体系,未来制定《网络空间安全法》,以使我国的网络空间安全法律建立在严谨、周密、坚实的技术基础上,以便建立科学的、完整的网络空间安全法学理论体系。
本书可供所有关心网络空间安全法律问题的读者阅读,特别是供网络空间安全法律的立法工作者、理论研究者和实务工作者参考。
本书的网购地址是:http://product.dangdang.com/1335832922.htm
第四节 因特网安全的法律保障
因特网安全的保障分为三个层面,一是技术层面,二是管理层面,三是法律层面。这三个层面是循序渐进,相互配合的。因特网安全责任主体的行为需要受到相关法律法规、国家标准、行业标准的约束。技术层面的保障是根本,技术的发展能够降低因特网本身的脆弱性。管理层面一方面靠政府机构的管理,另一方面靠行业组织的自律管理。法律层面是最后一道保障,对危害因特网安全行为进行法律惩治,同时对因特网的技术、管理进行监督以期防患于未然。
目前与因特网安全相关的法律十分繁多,虽然很多法律中所使用的名词为网络空间安全,但是因特网安全作为网络空间安全的一部分,规制网络空间安全的法律同样可以规制因特网安全,同样具有参考意义。本章对中外因特网相关服务立法和因特网相关信息系统与网络立法进行了考察和总结,以期能对我国因特网安全立法提出一些建议。
一、中外立法考察
(一)因特网相关服务的立法情况
1.我国有关因特网相关服务的立法
(1)关于因特网服务提供者的责任。我国有关因特网相关服务的立法(详见本章附录7-1),主要都是针对因特网相关服务提供者的义务进行规定的,也就是说因特网相关服务提供者是因特网相关服务安全的责任主体。这些服务提供者包括网络服务提供者、电信业务经营者、互联网服务提供者、网络运营者等。但存在的问题是这些服务提供者缺乏类型化,定义也相互交叠,并不明晰,且不同的法律当中所使用的称呼也不同。这种模糊的概称导致了不同的服务提供者缺乏明确的责任边界。在网络安全法第七十六条第一款第三项中规定:“网络运营者是指网络的所有者、管理者和网络服务提供者。”但是,网络安全法并没有明确界定网络的所有者、管理者和网络服务提供者的内涵与外延。
服务提供者在保障因特网相关服务安全方面的义务包括:因特网服务提供者在提供因特网相关服务的过程中,要尽到保护公民个人信息的义务、网络安全管理义务、恐怖活动防范调查技术支持义务、客户身份查验义务等。可以看出在我国因特网安全的保护责任主要依赖于服务提供者承担,而国家的有关部门负责协调、管理、监督。可以说,服务提供者从某种程度上替代行政部门行使对因特网用户的管理权。
(2)有关国家监管机构的责任。我国因特网相关服务的主要监管机构为工业和信息化部下属的信息通信管理局,负责依法对电信与信息服务实行监管,提出市场监管建议和制定有关政策;负责市场准入管理,监管服务质量;保障普遍服务,维护国家和用户利益;拟订电信网间互联互通与结算办法并监督执行;负责通信网码号、互联网域名、地址等资源的管理及国际协调;承担管理国家通信出入口局的工作;指挥协调救灾应急通信及其它重要通信,承担战备通信相关工作。
2.外国因特网相关服务的立法情况
(1)有关因特网服务提供者的责任。国外的因特网相关服务安全立法也主要是以因特网服务提供商为责任主体。各国对因特网服务提供商的称呼不尽相同,如美国称呼为宽带运营商,欧盟称呼为网络与服务供应商、电子通信服务提供者等。
美国的相关立法主要对因特网服务提供者的行为进行原则性规定,具体的措施性的规定较少(详见本章附录7-2)。例如美国2015年出台的《保护因特网开放指令》规定了宽带运营商在因特网开放方面的三条明线规则:一是禁止屏蔽,宽带运营商不能对合法的内容、程序、服务以及设备进行屏蔽;二是禁止流量调节,宽带运营商不能基于内容、应用、服务或者无害设备而去损害或者降低合法的互联网流量;三是禁止付费优先待遇,即禁止因特网快车道,宽带运营商不能在收受对价的基础上给予特定的合法网络流量以优先待遇,也禁止因特网服务提供商对其关联公司的内容和服务提供优先待遇。这主要体现的是网络中立性,讲求无差异的平等的因特网服务,实现“非歧视性的互联互通”,是指因特网运营者不得通过调整网络配置使服务产生差别,即要平等的对待所有的因特网终端用户。
欧盟也十分注重网络中立性,2002年的《关于电子通信网络和相关设施的接入和互连指令》中规定了电子通信服务提供者应当提供非歧视服务的义务。欧盟2002年的《处理个人数据和保护电子通信部门隐私的指令》中规定了电子通信服务提供者的个人数据安全保护义务,规定了欧盟国家确保在公共网络的通信机密性的义务。2002年的《关于电子通信网络和服务共同监管框架指令》规定了国家监管机构监管因特网相关服务提供者的原则和主要任务。
(2)有关国家监管机构的责任。美国的因特网相关服务的监管机构是美国联邦通信委员会(Federal CommunicationsCommission,FCC),依据《1934年通信法》,有线宽带接入业务属于传统公共电信业务,由美国联邦通信委员会(FCC)按照传统公共电信业务对其线路扩展活动实施行政许可管理制度。
在欧盟的法律中,欧盟各成员国政府以及各成员国国家监管机构(NRAs)对因特网相关服务安全负有责任。国家监管机构(NRAs)的运作原则有三点:一是独立性,与提供电子通信网络、设备、服务的组织相互独立。二是上诉权,被NRAs的决定所影响的独立主体例如用户以及电子通信服务提供者等都享有上诉的权利。三是公正透明,NRAs必须公正透明的行使权力,同时考虑采取有可能影响市场的行动时应该制定相关咨询机制。国家监管机构(NRAs)的任务是促进竞争,发展内部市场,保护欧洲人民的权益。
(二)因特网相关信息系统与网络的相关立法
1.我国因特网相关信息系统与网络的相关立法
因特网相关信息系统与网络的安全在我国的现有立法中的体现为对“运行安全”的保护,我国因特网相关信息系统与网络安全的立法(详见本章附录7-3)主要有以下几方面的内容:
(1)国家及有关部门保障信息系统与网络安全的责任。国家在保障信息系统与网络安全方面有着顶层设计和指挥的责任,如《中华人民共和国国家安全法》第二十四条、二十五条、五十九条规定,一方面要促进信息系统与网络安全方面的立法和执法,以建立完备的信息系统与网络安全保障体系,提升信息系统与网络安全保护能力,另一方面也要加强自主创新能力建设,加快发展自主可控的战略高新技术和重要领域核心关键技术,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。
此外,《中华人民共和国计算机信息系统安全保护条例》中规定公安部主管全国计算机信息系统安全保护工作,国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
(2)网络运营商、服务商、电信业务运营商等的责任。对于信息系统与网络安全的保护,我国实行“谁使用,谁管理,谁负责”的原则。例如在《计算机信息网络国际联网安全保护管理办法》的第十条,规定互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行安全保护职责,包括健全安全保护管理制度、落实安全保护技术措施、进行对用户的安全教育和培训、信息内容审核、用户登记等。再例如,《中华人民共和国电信条例》第五十九条规定电信业务经营者的内部安全保障责任。
除了安全保障职责之外,因特网运营商的责任还包括保护国家秘密的责任,《中华人民共和国保守国家秘密法》第二十八条规定其需要配合公安机关、国家安全机关、检察机关调查泄密案件并配合执法,一旦发现有人利用因特网泄密时,要立即停止传输、保存记录、报告相关部门并删除有关泄密信息。
(3)个人的责任。个人不得入侵、攻击、破坏信息系统与网络,不得对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机网络或者通信系统不能正常运行。个人和其他组织对以上行为承担刑事责任或者刑事处罚,《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国刑法》、《中华人民共和国治安管理处罚法》、《中华人民共和国电信条例》等均对此有所规定。
(4)因特网信息系统与网络的相关市场准入许可及备案制度。就因特网相关信息系统与网络安全的立法当中,很多因特网相关的产品以及服务在我国都实行严格的行政许可制度。
《中华人民共和国计算机信息系统安全保护条例》第十六条规定国家对计算机信息系统安全专用产品的销售实行许可证制度。公安部出台的《计算机信息系统安全专用产品检测和销售许可证管理办法》具体规定安全专用产品生产者在其产品进入市场销售前要申领《计算机信息系统安全专用产品销售许可证》。
商用密码产品是指对不涉及国家秘密的信息进行加密保护或者安全认证所使用的密码技术和密码产品,与因特网安全息息相关的商用密码产品有计算机终端加密机、服务器(主机)加密机、安全路由、加密网关等,《商用密码管理条例》中规定这些产品的生产与销售都要得到国家密码管理机构的核准或者许可。
通信信息网络系统集成企业资质、通信用户管线建设企业资质等通信建设资质资格认定原本需要由工业和信息化部进行行政审批,不过工信部通函〔2013〕314号决定取消这几项行政审批,转而将这些通信建设资格管理工作交由社会组织承接,以顺应政府职能转变、行政审批制度改革的要求。
《中华人民共和国电信管理条例》第七条明确规定,国家对电信业务经营按照电信业务分类,实行许可制度。因特网服务属于电信业务,因而也需要获得行政许可。电信业务经营者应该依法取得电信管理机构颁发的经营许可证才能经营电信业务。相关经营许可证包括《基础电信业务经营许可证》与《增值电信业务经营许可证》。
《计算机信息网络国际联网安全保护管理办法》第十一条、第十二条明确规定国际联网的备案制度。用户应当在办理入网手续时填写用户备案表,互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织,应当在与因特网正式接通30日内到公安机关指定的受理机关办理备案手续。
《互联网信息服务管理办法》第四条规定国家对经营性互联网信息服务实行许可制度,对非经营性互联网信息服务实行备案制度。经营性互联网信息服务需要向省、自治区、直辖市的电信管理机构或者工业和信息化部申请办理互联网信息服务增值电信业务经营许可证,从事非经营性互联网信息业务的,向上述机构办理备案手续。
《互联网上网服务营业场所管理条例》第七条规定国家对互联网上网服务营业场所经营单位的经营活动实行许可制度。经营单位申请从事互联网上网服务经营活动,应该向县级以上地方人民政府文化行政部门提出申请,获审查批准,检查合格后,发给《网络文化经营许可证》。
因特网的逻辑基础设施IP地址实行备案管理,域名管理实行行政审批制度。根据《互联网IP地址备案管理办法》,由各级IP地址分配机构在工业和信息化部指定的网站上以电子形式报备IP地址信息。根据《中国互联网络域名管理办法》,在中国境内设置根域名服务器及设立域名根服务器运行机构、设置域名注册管理机构、域名注册服务机构,应当向工业和信息化部提出申请并获得批准。
根据《国际通信出入口局管理办法》的规定,国际通信信道出入口,包括国际通信光缆、电缆等在国内的登录或入境站、入境延伸终端站等的设置、调整和撤销都需要得到工业和信息化部的审批,并受到工业和信息化部的监督管理。
根据《电信设备进网管理办法》的规定,电信终端设备、无线电通信设备和涉及网间互联的电信设备实行进网许可制度。生产企业应当向工业和信息化部授权的受理机构提交申请材料。
2.国外因特网相关信息系统与网络的立法
美国和欧盟因特网相关信息系统与网络的立法(详见本章附录7-4),主要涵盖以下几个方面:
(1)国家及有关部门保障信息系统与网络安全的责任。美国采取自上而下的信息系统与网络安全的保障模式,该模式强调加强顶层政府的领导建设数字化国家,私营部门和政府部门共担网络空间安全责任,建立联邦各级政府、软件服务提供者、网络运营商、数据所有者、安全服务提供者、执法和情报部门等之间的信息共享和应急响应机制,鼓励技术创新。美国的国家标准局、国防部、国土安全部、商务部等都对因特网相关信息系统的安全负有责任,美国模式强调多部门合作,设立专门机构协调各方携手保护因特网相关信息系统与网络的安全。其中,《1987计算机安全法》规定国家标准局负责为计算机系统制定标准和原则;《克林格科恩法》体现了美国对采购政策的审查和保障信息技术采购安全性的法律保障;《国土安全网络和物理基础设施保护法》规定国土安全部负责阻止、应对针对民间非军事和非情报组织网络攻击和安全事件并组织恢复网络的安全状态;《2010国家网络空间基础设施保护法案》规定了能源部建立“网络空间防御联盟(Cyber DefenseAlliance)”来在公私合作伙伴之间分享威胁信息与提供技术支持;《2014年国家网络空间安全保护法》规定了国土安全部建立国家网络空间安全和通信集成中心(National Cybersecurity And Communications Integration Center)作为联邦政府实体和非联邦政府实体之间共享网络空间安全风险、事件、分析、警告的接口。
(2)网络运营商、服务商、电信业务运营商等的责任。就网络运营商等的安全保护义务而言,欧盟和美国均是“以管理为基础的规制”,将监管对象内部的管理流程、模式作为着力点。其并未具体在法律层面规定各网络运营商在落实安全保护策略时应该采取的具体技术或者措施,而是要求网络运营商在设计安全保护策略时应遵循一定的原则和步骤,达到一定的目标,将风险管理作为设计安全保护策略的基本框架。
(3)个人的责任。美国《关于电子通信网络和服务授权的第2002/20/EC号指令》为电子通信网络和电子通信业务市场准入提供了更大的自由,电子通信网络和电子通信业务准入仅需要一般授权即可。
二、我国因特网安全法律保障建议
(一)我国因特网安全立法存在的问题
从抽象方面来看,我国因特网安全立法存在如下两点问题:
(1)首先是立法层级低。属于专门规定因特网安全的法律包括网络安全法、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《全国人民代表大会常务委员会关于维护互联网安全的决定》,另外,还有零星相关规定散见于《中华人民共和国刑法》、《中华人民共和国反恐怖主义法》、《中华人民共和国治安管理处罚法》、《中华人民共和国警察法》、《中华人民共和国突发事件应对法》、《中华人民共和国国家安全法》、《中华人民共和国保守国家秘密法》等法律中,其余全都是行政法规及部门规章,还有数量及其庞大的地方性规章。因此,因特网安全领域具有统领性作用且位阶较高的仅有于2017年6月1日开始实施的网络安全法。但是网络安全法是我国的创新性立法,其本身以及实施过程中有诸多问题尚需在探索中完善。
(2)其次是立法主体多,缺少系统性与协调性。上述列举的法律法规中,立法主体包括全国人民代表大会常务委员会、国务院、工业和信息化部、国家保密局、原国务院信息化工作领导小组办公室、教育部、公安部等。这些不同主体立法中存在很多重复和交叉。在适用现有法律过程中,会出现多头执法的现象,使得相关企业的正常经营活动受到影响,甚至会阻碍我国因特网行业的发展。
从具体方面来看,我国因特网安全立法方面存在如下问题:
(1)网络安全法出台以前,相关立法多以事后惩治为主,不够重视事前的防御。针对因特网的网络攻击成本低、影响广、扩散快、溯源难等特性,仅仅靠事后惩治难以对网络攻击产生威慑,不能充分起到对因特网安全的保障作用。我国《刑法》第二百八十五条、二百八十六条规制的是已经发生的入侵、破坏计算机信息系统、获取计算机系统数据的行为,实际损害已经发生,其作用只是处罚犯罪行为人,无法挽回或者弥补已发生的损害。
(2)网络运营者的责任边界不明。网络安全法中首次提出了“网络运营者”的概念,此前相关的法律法规都没有出现过这一表述。与“网络运营者”相近或有关的概念有《刑法修正案》(九)中的网络服务提供者、《中华人民共和国反恐怖主义法》中的电信业务经营者、互联网服务提供者等。网络服务提供者、电信业务经营者、互联网服务提供者、网络运营者等概念相互交叠,而且没有明晰的定义边界,缺少类型化的划分。网络安全法第七十六条第一款第三项中规定:“网络运营者是指网络的所有者、管理者和网络服务提供者。”但是,网络安全法并没有明确界定网络的所有者、管理者和网络服务提供者的外延。这种模糊的界定会导致社会相关企业无法确定自己是否属于“网络运营者”的范围,使得有关企业无法及时承担自身的因特网安全保护义务。
(3)因特网服务提供者的角色错位。在实际操作过程中,因特网服务提供者(现有立法中所称的网络运营者、网络服务提供者等)有着双重角色。因特网服务提供者作为一个市场主体,与因特网用户(公民、法人和其他组织)地位平等,存在着平等的民事关系。另外,因特网服务提供者同时作为连接国家和因特网用户的关键节点,更像是被赋予了国家机关的“公权力”,对因特网用户进行监督管理。在因特网时代,这种政府委托因特网服务提供者代理政府监管职能的现象十分普遍。因为,政府很难直接干预因特网事物,如进行网络监管、违法信息审查、删除有害信息等,其监督管理职权必须依赖因特网服务提供者来具体实现。如网络安全法第四十七条,要求网络运营者对因特网用户发布的信息进行管理,及时阻断违法信息的传播。可以说,因特网服务提供者无偿地承担了执法机构的部分职责,甚至可能需要额外承担经济支出和责任风险。换一个视角来看,因特网服务提供者对因特网用户的监管可以说是一种权力,这种权力存在着被滥用的风险,需要因特网服务提供者遵守一定的道德标准和社会价值观,因此,因特网服务提供者的社会角色十分复杂,要担负起维护因特网安全的法定义务和社会责任。由于因特网服务提供者的双重角色容易导致其角色错位,需要后续立法过程中对因特网服务提供者的权责明确化。
(二)因特网安全立法理念
从各国实际情况看来,因特网管理的原则大致可以区分为“自我调节原则”,“国家干预原则”和“国际协调原则”三种类型。
“自我调节原则”排斥国家和政府的干预,强调因特网自由发展和行业自律。
“国家干预原则”不排斥、承认甚至倡导国家和政府在因特网某些领域的干预,根据国家干预的程度该原则可进一步分为国家干预最低限度原则、国家轻度干预原则、国家干预原则三类。第三类的国家干预原则表现为“网络法治原则”和“综合管制原则”。我国因特网管理表现为“综合管制原则”,既强调网络法治,又强调国家干预、行业自律。
因特网国际治理中强调“国际协调原则”原则。2003年的日内瓦联合国信息世界峰会(WSIS)通过《原则宣言-建设信息社会:新千年的全球性挑战》,主张“互联网的国际管理应是多边、透明和民主的,有政府、私营部门、民间团体和国际组织的全面参与。”
西方一些国家推崇因特网自由,反对国家和政府对因特网治理过度干预,并且将因特网的开放性和互操作性放在首位。但是实际上迄今为止连美国也在不断制定、修订适用于本国的因特网法律。美国在2009年《网络空间政策评估报告》中提出了加强顶层政府领导,建设数字化国家,共担网络空间安全责任,建立信息共享和应急响应机制,鼓励技术创新等政策性建议;2014出台了《2014年国家网络空间安全保护法》。
我国在国内的因特网管理方面采用的是“综合管制原则”,同样遵循“国际协调原则”。网络安全法、《全国人民代表大会常务委员会关于维护互联网安全的决定》等法律体现出我国强调网络法治。《网络空间国际合作战略》体现出我国遵循“国际协调原则”,寻求在因特网安全方面的国际合作。
“综合管制原则”与“国际协调原则”是因特网治理的两个大方向。在具体立法操作的过程中,还需要更加细化的标准与理念。
1.安全与发展并举
正如习近平总书记2016年4月19日在网络安全和信息化工作座谈会上的讲话中提到的:网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。
随着因特网技术的飞速发展,各种安全问题层出不穷,因特网面临着各种针对相关服务和相关信息系统与网络的网络攻击,并且,网络攻击的方式不断迭代更新。加上因特网已渗透军事、文化、政治、经济等各个领域,因特网安全问题的重要性和紧迫性就更加显现了出来。这并不意味着我们要减缓因特网技术的发展速度,而是我们应该在解决因特网安全问题的前提下,为因特网技术的发展提供稳健的基础,稳健发展的因特网技术反过来会促进因特网安全的保障。最终会形成安全促发展、发展助安全的良性循环,最终实现我国建设网络强国的目标。《欧盟理事会2007年3月22日关于建立欧洲信息社会战略的决议》从发展的角度提出“在发展中解决安全问题”的思想,鼓励政府机构和企业创造更先进更安全的产品和服务。
2.开放与自主共存
在因特网技术发展上,我国存在两种观点:第一种认为我国应该彻底摆脱对外国技术的依赖,另起炉灶,发展我们国家纯粹自主的因特网技术;第二种认为,应该开放创新,站在巨人的肩膀上发展自己的技术。习近平认为我们要用辩证的观点看待问题,在核心技术上坚持自主创新,但同时不能关起门来搞研发,在一些非核心技术方面可以引进、消化吸收再创新或者与外国合作开发。
由于因特网的一大特点就是其具有开放性,全球互联互通。因特网的互操作性有赖于各种协议和标准的使用。除了基础的TCP/IP协议,还有用于网页浏览器和服务器间信息交换的HTTP协议,VoIP协议,用于图片文件压缩的JPEG标准,用于视频文件格式压缩的多种MPEG标准等。在因特网技术研发过程中,不能无视这些通用的技术标准语言,需要开发符合或者兼容这些标准的技术才能保持因特网的互通。但另一方面,也不能墨守陈规,需要积极的自主研发,推进本国技术发展,培养更多有能力的企业和个人,更多地参与到互联网工程任务组(IETF)的因特网新标准的开发工作中,在平等的获得因特网标准制定权后,因特网将会更加自主可控,其安全也更容易得到保障。
因而,为更好的促进我国因特网技术发展,在我国因特网安全立法过程中,要强调自主研发,同时也要坚持开放的理念,如对一些因特网先进技术的外资引进可以适当放宽审查,适当扩大外商可投资的业务领域,进一步加强我国因特网领域技术发展与国外的交流合作。
3.秩序与自由的平衡
随着中国网络安全法的出台,争议与批评层出不穷,其中很大的一个原因就是批评者认为网络安全法会进一步限制因特网自由。笔者认为,因特网并非像自由派代表约翰·派瑞·巴尔洛(John PeRRy Barlow)所认为的是一个虚拟世界,是一个无组织、无政府、无国界的数字空间,永远不受政府管辖。相反,随着因特网的发展,因特网与实体社会的联系愈加紧密融合,因特网基础设施、网民等都真实的存在于主权国家的领土上,当然应该受到所在国的管辖。因特网不应是法外之地,网络空间主权是主权在网络空间的自然延伸,与因特网有关的公共政策问题的决策权是各国的主权。
在现代社会,因特网自由并不意味着不受约束。人类社会之所以有法律,在于人们对于无序状态的担忧,因特网的秩序迟早会到来,因特网无法也不应该摆脱法律与道德的束缚。因特网法治能够给因特网带来秩序,尤其是在当下网络空间环境极其复杂、安全问题频发的状况之下,通过因特网法治来构建因特网秩序,提供良好的因特网环境,使得人们能够使用更加安全与真实的因特网,才能保障人们获得更长久与广泛的因特网自由。
因此,我国的因特网安全立法,要兼顾秩序与自由的平衡。例如我国《刑法》第二百九十一条之一第二款规定了编造、故意传播虚假信息罪,这在某种程度上限制了人们的言论自由,但却保证了因特网上信息真实性,保障社会有序运行。再如,网络安全法第五十八条规定了在发生重大突发事件时,为了国家安全和社会公共秩序的需要,可以对特定区域断网。上述都体现了法的价值衡量,即现阶段秩序价值优位于自由价值。因特网立法要注重自由与秩序的动态平衡。随着因特网的发展,其安全性和稳定性得到保证的情形下,自由价值将优位于秩序价值。
(三)因特网安全法律保障建议
本书所讨论的因特网安全的法律保障主要是从公法角度去考虑的,包括国内公法和国际公法。正如有学者所说的,“但是,这并不意味着所有的事项都涉及公共利益。对于不涉及公共利益的网络空间内容,公权力应当保持谦抑性。动辄使用公权力,既是对公共资源的浪费,也是对公民行为自由的不当干涉。在主要涉及私人利益的情况下,则应充分发挥公民自动行使权利的积极性,发挥行业自律等社会自身的自治力量,通过自下而上的治理,更有利于实现社会共治。”
1.国内因特网安全监管与法律保障建议
(1)考虑对因特网产业链上的不同参与者赋予不同的网络安全责任。
我国网络运营者范围模糊,其责任边界不明。在网络安全法(草案)中规定:“网络运营者,是指网络的所有者、管理者以及利用他人所有或者管理的网络提供相关服务的网络服务提供者,包括基础电信运营者、网络信息服务提供者、重要信息系统运营者等。”而正式出台的网络安全法已将此处的“包括基础电信运营者、网络信息服务提供者、重要信息系统运营者等”删除,网络运营者概念由列举式的表述变为概括式的表述,即规定网络运营者“是指网络的所有者、管理者和网络服务提供者。”这样做的原因可能是因特网飞速发展,网络运营者种类推陈出新,为了适应社会情势变更,减轻法律的滞后性效果而采取概括式表述。但同时这种概括式的规定使得法律的模糊性和不确定性增加,往往会给守法、执法、司法带来困难。就立法语言而言,因特网安全主体的构成条件应当通俗易懂、简短明了。“网络运营者”并非既有的、约定俗成的法律称谓,网络安全法对它的定义有必要通过立法解释予以释明。
因特网安全与因特网产业链上的参与者息息相关。因特网产业链上的参与者,根据所提供产品和服务分类,包括因特网设备提供商、因特网服务提供者(ISP)、因特网内容提供者(ICP)、应用程序服务提供者(ASP)、因特网数据中心(IDC)服务商、内容分发网络(CDN)服务商、最终用户等。网络安全法将网络运营者分为网络的所有者、管理者和网络服务提供者,按照这个定义,因特网产业链上的所有参与者(除最终用户外)都可以归为网络运营者。但是,对处于产业链上不同位置的参与者都赋予同样的因特网安全保护责任似乎值得商榷。需要思考的是,上述因特网产业链参与者中,哪一个或几个参与者控制和决定因特网的发展,是否应当对该参与者赋予重点法律责任?是否应当构建一个共同合作、相互监督的体系?
纵观因特网链上的参与者与我国因特网产业的运营模式,ISP和ICP对因特网产业发展起着主导作用,是因特网产业发展过程中最具创新的环节,理应在因特网安全保护中承担重点责任。ISP和ICP相关企业往往提供多种产品和服务,占据因特网产业链上的多个环节。例如我国的三大电信运营商(中国移动、中国电信、中国联通)首先提供因特网物理基础设施,提供因特网接入服务,还积极提供应用程序服务,其中中国电信还提供因特网数据中心服务等。这三大电信运营商的技术实力强、运营规模大,是因特网安全保护的重点责任主体。另外,我国因特网三巨头也就是通常所说的BAT,即百度、阿里、腾讯这三大互联网公司,也担任着因特网服务提供者、因特网内容提供者的多重角色,也对因特网安全保护负有重要责任。除此之外,我国还有数不清的互联网公司作为因特网服务提供者或者因特网内容提供者,如网易、新浪等。
总体而言,应构建一个以ISP和ICP为中心的相互合作、相互监督的因特网安全责任体系,根据相关企业的规模、技术能力划分层次,承担不同层次的责任,对社会重点企业赋予重点责任,对一些微小的、财力物力技术能力有限的企业,只需其承担最低限度的因特网安全责任。
例如腾讯作为用户数最多的互联网公司之一,主动担负其保障网络安全的社会责任。2016年腾讯安全与产业链各方联合发起了第二届中国互联网安全领袖峰会,成立腾讯安全联合实验室(旗下有科恩、玄武、湛泸、云鼎、反病毒、反诈骗、移动安全,共7大实验室),仅2016年上半年就向微软、Adobe、苹果、谷歌提交了100多个系统级漏洞。
(2)网络安全保护监管相关各部门应更紧密地相互配合。
网络安全法第八条规定,国家网信部门统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关依法负责相关网络安全保护和监督管理工作。
国家网信部门是指中共中央网络安全和信息化委员会办公室(国家互联网信息办公室)及地方各级网信办,是协调统筹因特网安全工作的部门。国务院电信主管部门是指工业和信息化部,其负责因特网行业管理,协调因特网基础设施建设,加强行业准入管理,拟定因特网相关网络与信息安全规划、政策、标准并组织实施,负责网络安全防护、应急管理和处置等。公安部门负责设立国际联网安全保护管理工作的专门机构,负责联网备案管理,进行安全监督检查,通告安全隐患,追查违法犯罪等。其它有关部门如保密工作部门负责保密监督检查工作。
(3)网络运营者承担代理监管义务应有相应的补偿。
网络运营者在网络安全方面承担着代理监管的角色;政府在一定程度上委托因特网服务提供者行使代理政府监管职能。例如,网络安全法第27条规定网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。无论是履行监管职能还是支持协助侦查,无疑会消耗网络运营者的资源,网络运营者会在经营成本之外将产生额外支出。这种情况下,政府应考虑向网络运营者购买技术支持与服务,即就网络运营者提供的代理监管和技术服务支付相应的对价。如果网络运营商完全无偿地履行义务,其积极性将大大减少。
(4)发展因特网安全的公私合作伙伴关系。
2010年,斐济建立了基于公私合作伙伴关系的网络安全工作组,成员包括政府的信息技术部门、金融情报部门(负责监视非法活动,如洗钱)、得到授权的运营商、网络服务提供商、银行等。
2016年由以色列国家网络局、经济部及首席科学家办公室共同出资打造了“促进网络安全公私合作计划——前进2.0”,重点资助突破性和颠覆性技术研发、优秀网络安全企业产品创新和概念验证,网络安全疑难问题综合解决方案创造。
2016年7月5日,欧委会公布决定:在欧盟研发创新框架计划地平线2020(Horizon 2020)中,针对网络安全启动一项新的合同式公私合作伙伴关系(cPPP),用以联合公私双方优势力量和资源,共同应对日益严峻网络安全挑战。作为“数字化单一市场战略”的一部分,欧委会期望通过该PPP实现跨部门通力合作,促进欧盟创新安全技术、产品和服务的开发。
公私合作伙伴关系合作的双方是政府的公共部门和民营组织,目的是政府公共部门实现公共利益,民营组织获得自身利益,这是一个双赢的合作过程。我国可以考虑采取这种热门创新的政策工具,在因特网安全的不同领域建立公私合作伙伴关系,尤其是在因特网安全产品与服务的开发方面,可以联合电信主管部门、公安部门、国家安全部门、三大电信运营商、基础设备制造商、超级互联网公司等相关主体,通力合作,促进因特网安全创新技术的发展。
2.国际因特网安全监管与法律保障建议
(1)缔结或参加符合中国利益的国际条约。
网络安全法第二条规定在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。可见,原则上网络安全法只在我国境内适用。不过该法第五条、第五十条、第七十五条规定了其特定的域外效力,即:国家采取对来源于境外的网络安全风险和威胁的监测、防御、处置措施;网信部门级有关部门可以通知有关机构采取技术措施及其它必要措施阻断来自于境外的违法信息;境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中国关键信息基础设施的活动,造成严重后果的,依法追究其法律责任,采取其他必要制裁措施。
然而,网络安全法的特定域外效力非常有限,仅有境外针对关键基础设施的破坏活动才被追究法律责任,而针对非关键基础设施的例如公民、法人及其它组织的网络攻击则无法进行追责。例如,前一段时间的永恒之蓝病毒,攻击了全球包括英国、美国、中国、俄罗斯、西班牙、意大利等上百个国家和地区的计算机。该行为可以定性为我国《刑法》第二百八十六条所规定的“破坏计算机信息系统罪”。但实际操作过程中,来自于境外的此类针对因特网的网络攻击很难被追究法律责任,因为一方面域外调查面临取证困难,另一方面还涉及到管辖权、刑事司法协助等多个环节的问题。
网络犯罪的行为地和结果发生地可能遍布多个国家,管辖权的积极冲突加剧,会发生两个及以上的国家主张管辖权的现象。由于各国立法的差异性,一国认定为犯罪的行为在另一国或许不属于犯罪。若有管辖权的国家怠于行使管辖权,会导致针对某一犯罪行为没有任何国家行使管辖权,这就形成管辖权的消极冲突。
2001年11月由26个欧盟成员国以及美国、加拿大、日本和南非等30个国家的政府官员在布达佩斯所共同签署的《网络犯罪公约》(Cyber-crime Convention)是全世界第一部针对网络犯罪行为所制订的国际公约。《网络犯罪公约》在网络犯罪定义、管辖权确立、各国合作方面的规定都比较先进。该公约第二十二条是关于管辖权的规定,其中第一款确定了属地管辖原则和属人原则;第二款规定可放弃第一款第b项至第d项的权限:即可以放弃针对对在域外行驶的悬挂本国国旗之船舶、依该国法注册的域外行驶之航空器、犯罪行为实施地或犯罪行为不为任一国国内法管辖的情形下的司法管辖权;第三款规定了或引渡或起诉原则,以确保公约所规定的网络犯罪被追诉;第四款允许各签约方确立符合其国内法的其他类型的刑事管辖权;第五款允许各方在出现积极管辖权冲突时通过协商确定合适的管辖。
我国可以倡议缔结或者参加与禁止和制裁网络攻击行为相关的国际公约。很多学者就我国是否有必要参加《网络犯罪公约》进行了研究。有观点认为《网络犯罪公约》所规定的技术类犯罪类型比较老,偏离当前最新的罪情发展,同时该公约仅能反映欧洲的利益和需求,中国没有必要追随西方国家将《网络犯罪公约》上升为全球性公约的潮流而盲目参加该条约;倡导中国应该另寻他法,缔结或参加符合中国利益的国际公约,坚持能够在联合国平台上构建规制网络攻击的国际公约。还有观点认为构建单一的国际条约并不现实,一方面各国缺少商谈的基础,另一方面网络攻击的主体复杂多元,攻击行动具有高度的隐蔽性,各国的国际刑事合作机制存在诸多法律上和文化上的障碍等因素,要在短期内形成一部全球统一适用的打击网络犯罪国际公约的可能性不大,应积极研究加入《网络犯罪公约》的可能性。
笔者赞同在联合国框架下构建规制网络攻击的国际公约,这将有利于全球共同参与合作。实际上,中国政府早在2010年发布的《中国互联网状况》白皮书中提出,建议一个联合国框架下的互联网国际监管机构。在2013年的联合国预防犯罪和刑事司法委员会第22届会议上,中国又明确表示“支持制定关于网络犯罪的综合性多边法律文书”。上海合作组织成员国向第66届联合国大会提交了《信息安全国际行为准则》。中国政府近年来的态度表明中国显然已经将在联合国框架下制定网络犯罪国际公约作为自己的主要主张之一。中国应当进一步积极推进共同制定双边或多边因特网安全合作的国际法律基础,提出网络攻击国际治理规则的“中国方案”,制定包括解决诸如对网络攻击的认定的国际标准,网络攻击的管辖确定方案,指出保护因特网免受网络攻击的国家责任,提出建立国家间政策、技术及情报信息共享机制,国际司法协助等。
以“永恒之蓝”勒索病毒为例。永恒之蓝是美国国家安全局所开发的网络武器,被黑客窃取后才造成了全球范围内的因特网安全事件。谁该为此次事件负责?美国当局作为网络武器的开发者应该承担怎样的国家责任?本次勒索软件的犯罪收益该如何追缴?网络武器和网络战应该通过怎样的国际法来规制?这些都是国际法律层面应该考虑的问题。
(2)积极参加因特网治理组织,获得因特网基础资源平等管理权。
目前国际上的因特网基础资源管理机构是ICANN。虽然我国政府和一些学者积极参与ICANN的活动中,但相比美国等发达国家而言,我国的参与度较低。虽然我国坚持政府而非私营企业应该在因特网基础资源管理中占据主导地位,但是在目前的大环境下,我国不太可能颠覆现有的因特网基础资源管理体系,只能通过积极参与ICANN来争取在国际上因特网基础资源管理方面的话语权。
ICANN由许多代表不同利益的小组组成,有三个支持组织,分别为处理IP地址的组织、处理域名的组织、国家和地区代码顶级域名管理者;有四个咨询委员会,分别为政府和国际条约组织、根服务器运营商、互联网安全相关方、“一般”社群(即一般互联网用户);还有一个技术联络组。ICANN的董事会由21位成员组成,其中15名成员拥有表决权,另外六位是无表决权的联络员。8位有表决权的成员是由独立的提名委员会选拔,其余有表决权的成员从支持组织中提名。
ICANN制定决策的过程如下:通常是一个支持组织提出问题或建议,并在该支持组织中讨论并制作报告后供公众评审。其他任何小组有异议,会提出自己的观点,该异议小组的观点也会公布并供公众评审。最终该支持组织会向董事会提供一份报告,概述之前的所有讨论并提供建议列表,董事会会对该问题进行讨论,最终决策由董事会决定。
我国应该制定政策,鼓励我国相关机构与一般的因特网用户多了解ICANN的组织结构与决策机制,并参与ICANN的多利益相关方社群中。对于已经加入ICANN相关社群的成员,鼓励其继续扎实地参与ICANN各个社群组织和政策制定流程的具体工作,长期投入,做出贡献,树立中国社群的声望和领导力。
我国也正在朝着这个方向努力,如2016年2月20日中国互联网协会正式成为一般“社群”成员,代表中国普通因特网用户参与ICANN工作。中国政府GAC(政府咨询委员会)代表之一郭丰从2017年3月起担任GAC副主席职务。
第五节 小结
随着因特网(Internet)的迅猛发展,因特网已经和各国民众的生活深度融合,与政治、经济、社会发展的联系日益紧密,其安全问题的解决刻不容缓。
本章从ISO/IEC 27032:2012给出的定义出发,明确了因特网安全包括两部分内容。一是因特网相关信息技术系统与网络的安全,对应于物理安全要素和逻辑安全要素。物理安全面临着物理破坏(包括不可抗力、人为失误、蓄意破坏)与网络攻击等威胁;逻辑安全面临着IP地址资源短缺、缺乏因特网基础资源管理权等威胁。二是因特网相关服务的安全,对应于信息安全要素,主要面临着网络攻击的威胁。因特网安全破坏最终会导致多方面的后果,侵犯网络空间主权,破坏经济安全,侵害公民个人权利等。
通过考察中外在因特网安全方面的立法,本章提出了一些因特网安全法律保障的建议。包括坚持安全与发展并举、开放与自主共存、秩序与自由平衡的立法理念,同时,在国内层面上,对因特网产业链上的不同参与者赋予不同的网络安全责任、国家相关部门进行更紧密的配合、网络运营者承担代理监管义务应有相应的补偿、发展因特网安全的公私合作伙伴关系;在国际层面上,要缔结或参加符合中国利益的国际条约,积极参加因特网治理组织、获得因特网基础资源平等管理权等。
由于因特网本身架构极其复杂,同时其互联互通性导致因特网安全涉及多方主体,因特网安全法律保障的具体措施尤其是国际法层面的措施还值得进行更深入的研究。
编辑:韩乐怡
