网络安全立法是否需要大而全?网络安全
网络安全法(草案)公开征求意见工作在不断推进,从草案中公布的相关内容以及国外的先进经验来看,这份立法的涉及内容、关键信息基础的界定以及是否需要大篇幅涉及个人信息保护内容等三个问题值得斟酌。
涉及内容是否需要无所不包?
网络安全的概念众说纷纭,归纳看来可以分三个层面来定义:第一层面指网络层面的安全,主要涉及网络设施等;第二层面的安全包括网络层面的安全及信息内容的安全,如违法有害信息处理等;第三层面的网络安全主要是网络空间的安全,既包括第一及第二层面,又包括其他因网络引起的安全,如反恐、网络诈骗等网络犯罪等。这三个层面的概念由小到大,依次递进。
从国际经验来看,美国没有统一的综合性网络安全法。网络安全主要由一系列的州和联邦法规,以及特殊行业立法实现。目前美国50多个州法直接或间接对网络安全予以规定,并且在内容上主要强调的是网络层面的安全,包括关键基础设施的网络安全等。
需要指出的是,美国部分立法中也出现“信息安全”字样,但其含义与我国立法中信息安全并不一致。我国的信息安全更强调内容安全,而美国的信息安全指的是保护信息及信息系统免于非授权访问、使用、泄露、干扰、修改或破坏以保障信息的完整性、秘密性及可用性。在《联邦信息安全现代化法案》中,该概念与网络安全并没有实质区别,只是表述不同。
另外,反恐及网络犯罪等内容各国通常在其他立法中进行规定,而非网络安全法。如近年英国通过的《反恐及安全法案》,要求互联网服务提供商和移动运营商保存用户IP地址并应向监管机构要求提交等。
从我国的网络安全法草案中“重点对网络自身的安全作出制度性安排,同时在信息内容方面也作出相应的规范性规定,从网络设备设施安全、网络运行安全、网络数据安全、网络信息安全等方面建立和完善相关制度”的内容可以看出,我国要立的是一部综合性的、无所不包的网络安全法,涵盖网络层面安全、信息安全,甚至整个网络空间安全。
网络安全的概念界定也是立法的核心问题。当前草案指出,网络安全是指通过采取必要措施,防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力,但立法内容远远大于此概念,尤其大篇幅阐述个人信息保护,这点需要斟酌。
个人信息保护是否还需浓墨重彩?
个人信息保护是网络时代的重要法律问题,但是否需要在网络安全法中占据大量篇幅值得商榷。
当前世界各国个人信息保护立法无非两种模式,欧盟模式和美国模式,即统一立法与分散立法模式。欧盟各成员国有专门的《个人数据保护法》,美国并没有统一的个人数据保护法,而是分散在各行业立法中,例如《健康保险可携带性和责任法案》、《金融服务现代化法案》、《公平准确信用交易法案》、《儿童线上隐私保护法案》等。纵观欧美两种模式,个人信息保护立法或通过专门的《个人信息保护法》解决,或通过各行业分散的立法解决,均没有通过统一的网络安全立法来解决个人信息保护问题。
在此问题上,我国已经颁布了一些相应的法律。2012年,我国颁布《全国人大关于加强网络信息保护的决定》;2013年,工信部颁布《电信和互联网个人信息保护规定》,《信息安全技术公共及商用服务信息系统个人信息保护指南》正式实施;目前,工信部正在制定《电信和互联网服务用户个人信息保护技术要求》等系列标准。总体而言个人信息保护制度已经初步形成,是否还要在网络安全法中再继续规范一遍也值得考虑。
事实上,个人信息保护制度与网络安全制度在某种程度是冲突的。如个人信息保护制度要求在服务结束后尽快删除个人信息,而网络安全角度则需要个人信息保留越长越好。
关键基础设施如何过渡到关键信息基础设施?
这份草案提出,国家对提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统(以下称关键信息基础设施),实行重点保护。这里诞生一个新概念,即“关键信息基础设施”。
从美国立法情况来看,仅有关键基础设施概念,并没有关键信息基础设施的概念。根据美国国土安全局官方解释,关键基础设施指任何资产或网络系统,无论是物理设备或虚拟的(系统),只要其失常或者损毁将对美国的安全、国家经济安全或国民公共健康健全造成严重损害,都将视为关键基础设施。2014年2月,美国白宫发布《促进关键基础设施网络安全机制》。这份文件主要包括三个方面内容:机制核心,机制蓝图,以及机制执行分级。其中,机制核心列出了在关键基础设施领域常见的网络安全活动,相应的标准和最佳范例等,目的在于促进机构内部不同层级之间(包括高级行政层面和日常运营层面)关于网络安全信息的沟通。这份文件指出,关键基础设施社群通过信息技术或者工业控制系统对基础设施功能运行提供支撑服务,对于技术及通信的依靠,IT技术的互连接性及工业控制系统加剧了基础设施的脆弱性并增加了潜在运行风险。例如,工业控制系统和信息技术中产生的数据正广泛应用于提供关键服务,支持商业决策,网络安全事故的潜在影响对于相关组织商业、资产、健康及个人安全、环境等影响都需要考虑。
由此可见,美国是定义了“关键基础设施”,随后指出关键基础设施社群通过信息技术手段或者工业控制系统对基础设施功能运行提供支撑服务。因此强调了关键基础设施的网络安全问题。我国草案中并没有明确定义“关键基础设施”,如何过渡到“关键信息基础设施”值得讨论。
建议
建议网络安全法内容与附则中网络安全定义保持一致。即网络安全,是指通过采取必要措施,防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。据此定义,网络安全主要指网络运行方面安全。而目前草案中大篇幅的个人信息保护内容应删除,包括第三十七条,公民发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。此类内容并不属于网络安全范畴,而属于个人信息保护法的范畴,可在个人信息保护立法中涉及。
建议细化数据存储本地化要求。这份草案第三十一条规定,关键信息基础设施的运营者应当在中华人民共和国境内存储在运营中收集和产生的公民个人信息等重要数据;因业务需要,确需在境外存储或者向境外的组织或者个人提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。从国际经验来看,目前仅俄罗斯一项最新法律规定所有收集俄罗斯公民信息的互联网公司都应当将这些数据存储在俄罗斯国内,该立法将于2016年实施。但在实践中,由于互联网的互联互通及全球性,这一规定很难实施,且会对产业带来相应损失。今年巴西曾在相关立法草案提出数据存储本地化要求,但经过激烈争论,最终删除了该规定。当前草案关于网络数据的概念极为广泛,网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据,此种概念各国立法并没有先例。目前即使俄罗斯的立法也仅规定个人数据的本地化,因此,建议立法对于数据限定明确范围,细化数据存储本地化要求。
建议将用户数量众多的网络服务提供者所有或者管理的网络和系统纳入关键信息基础设施的内容再加斟酌。主要原因在于,关键信息基础设施概念需明确,目前用语模糊,可能所有的网站都可被纳入关键基础设施并施加相应义务。
此外,目前草案在预留众多立法接口,相关概念的统一性及一致性等方面都需要进一步推敲。
