第二节 《网络安全法》与相关立法的关系
一、《网络安全法》的本质特征
《网络安全法》是我国网络空间法治建设的重要里程碑,是我国第一部关于网络安全的基础性法律。《网络安全法》具有“保障法”的属性,即保障网络运行安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。重点保护关键信息基础设施运行安全,保障网络信息安全,重视网络安全风险的监测预警与网络安全事件应急处置。
《网络安全法》以社会公共利益为本位,具有“社会法”的属性。任何法的目的都有其存在的社会经济基础,《网络安全法》也不例外。随着信息系统的网络化发展,网络成为国民经济和社会发展的先进生产力。网络安全保障法就具有明显的“社会法”属性,社会公共利益成为发展信息网络、保障经济和社会发展的根本利益。我们必须清醒地认识到,在以信息化带动工业化、全面推动国民经济和社会发展的过程中,社会公共利益与个体利益的冲突是主要的、不可避免的,此时的社会公共利益可适当优先于个体利益。
二、与相关立法的关系
(一)《网络安全法》与相关行政法规
1.《网络安全法》与《国家安全法》
国家安全体系集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体。《国家安全法》涵盖了国家安全各领域的内容,很多都是原则性规定,重点解决国家安全各领域带有普遍性的问题和亟待立法填补空白的问题,同时为今后制定相关配套法律法规预留了空间。网络安全是国家安全的重要内容,其对国家安全和社会稳定产生的巨大影响日益凸显。尤其是新时期,网络安全的战略性、全局性特征明显,没有网络安全就没有国家安全,信息安全也是国家安全的重要部分。可以说《网络安全法》与《国家安全法》相互呼应,在推动我国网络安全建设和捍卫国家安全方面起到重要的推动作用。
从宏观上来看,《网络安全法》的立法宗旨是“保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展”。《国家安全法》的立法宗旨在于“维护国家安全,保卫人民民主专政的政权和中国特色社会主义制度,保护人民的根本利益,保障改革开放和社会主义现代化建设的顺利进行,实现中华民族伟大复兴”。在维护国家安全,保护人民根本利益,保障社会稳定方面,两法的立法宗旨具有一致性。其中《国家安全法》第二十五条明确规定“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益”。提出加强网络和信息安全保障,加强网络和信息技术创新开发,加强网络管理的要求,以立法形式将网络与信息安全提升到国家安全层面。
从具体制度设计上来看,《国家安全法》规定了监测预警制度,其第五十七条规定“国家健全国家安全风险监测预警制度,根据国家安全风险程度,及时发布相应风险预警”。《网络安全法》在第五章专门设置章节规定监测预警与应急处置,增强《国家安全法》的可操作性;《国家安全法》第五十九条对涉及国家安全事项的网络与信息安全保障做出了原则性的规定,“国家建立国家安全审查和监管的制度和机制,对影响或可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险”。而《网络安全法》作为网络安全监管领域的基础性法律,在《国家安全法》的原则指导性指导下,具体规定了实施细则,充分体现了两部法律在维护网络安全相关规定上的有效衔接。
网络安全保障的内容如果涉及国家安全,基于维护国家网络空间主权、安全和发展利益,将受到《国家安全法》的规制和保护。在此方面,《国家安全法》对涉及国家安全事项的网络与信息安全保障做出了原则性的规定;而《网络安全法》作为网络空间安全管理的基础性法律,在具体指导相关制度规定的有效实施方面起到重要作用,充分体现了两部法律在相关规定上的衔接。
2.《网络安全法》与《反恐怖主义法》
《网络安全法》与《反恐怖主义法》均是维护总体国家安全观的落地法律。在总体国家安全观的指导下,信息安全是国家安全的重要组成部分。《反恐怖主义法》针对网络恐怖主义犯罪规定了相关条款,在这方面体现了维护网络空间安全稳定运行的立法目的,与《网络安全法》在立法背景和立法原则方面相互呼应;《网络安全法》关于协助调查、应急处置、安全审查等的制度设计对应《反恐怖主义法》的相关规定,为其提供具体的技术支持,加强其可操作性,在打击网络恐怖主义犯罪和维护网络空间安全运行方面,两法共同承担重要的责任。从宏观上来看,两者的总则规定具有重叠,《反恐怖主义法》在第二条中明确规定了“国家反对一切形式的恐怖主义”,其中包括网络恐怖主义。
在具体的制度设计中,《反恐怖主义法》在身份认证、对重点部位(行业、领域、目标)做重点防控、协助义务、应急处置方面都做出了具体规定。例如,《反恐怖主义法》第二十一条规定:电信、互联网、金融、住宿、长途客运、机动车租赁等业务经营者、服务提供者,应当对客户身份进行查验。对身份不明或拒绝身份查验的,不得提供服务……《反恐怖主义法》第二十七条第二款规定:地方各级人民政府应当根据需要,组织、督促有关建设单位在主要道路、交通枢纽、城市公共区域的重点部位,配备、安装公共安全视频图像信息系统等防范恐怖袭击的技防、物防设备、设施。第三十一条至三十四条分别对重点目标的管理、涉外、背景审查等做出了规定。这些规定在《网络安全法》中均有对应内容,《网络安全法》第二十四条明确规定,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通信等服务,在与用户签订协议或确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认;并在第二章第二节专门规定了保障关键技术设施的运行安全。
此外,《网络安全法》第三十四条、第三十五条明确规定,设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查。关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
可以说《网络安全法》做出了进一步细化,在打击恐怖主义涉网行为中,可实施性增强,更具有操作性,有利于网络安全保障措施和应对方案的有效实施。
3.《网络安全法》与《治安管理处罚法》
《治安管理处罚法》作为维护社会治安秩序,保障公共安全,保护公民、法人和其他组织的合法权益,规范和保障公安机关及其人民警察依法履行治安管理职责的基本法律,素有“小刑法”的称谓,与《刑法》的体系编排和内容设置均有交叉重叠。《治安管理处罚法》与《刑法》出于共同的价值目标即维护良好的社会秩序,在维护网络信息安全内容部分,《治安管理处罚法》第二十九条明确规定,利用计算机进行违法活动的,处五日以下拘留;情节较重的,处五日以上十日以下拘留:①违反国家规定,侵入计算机信息系统,造成危害的;②违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的;③违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;④故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。与《刑法》相关内容呼应,在处罚范围方面有所区别:社会危害性小,尚不构成刑罚处罚范围的,应该适用《治安管理处罚法》的规定。
与《网络安全法》相比,在网络信息管理安全维护方面,《治安管理处罚法》的内容设置与《刑法》具有一致性,两法与《网络安全法》的区别也具有相似性。《治安管理处罚法》对危害网络安全的违法行为是事后的救济,而《网络安全法》构建了事前预防、事中监控、事后处罚“三位一体”的治理体系,从源头对网络攻击进行防范,在攻击发生时确保能够迅速响应与处置,将损害降至最低。在具体制度层面,《网络安全法》及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告;此外还明确要求国家也要建立网络安全监测预警和信息通报制度,范围比《治安管理处罚法》更加全面具体。可以说,在网络安全运行管理层面,打击危害网络安全管理制度的违法行为过程中,《网络安全法》更具有专业性和针对性,在《治安管理处罚法》未做出明确规定的情况下,应适用《网络安全法》。
4.《网络安全法》与《保密法》
《网络安全法》与《保密法》在法律位阶上属于同位阶法,都由全国人大常委会制定。《网络安全法》与《保密法》都从维护网络安全的根本目的出发,其中《网络安全法》第二十八条明确规定,网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。《保密法》第九条规定,下列涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的,应当确定为国家秘密:维护国家安全活动和追查刑事犯罪中的秘密事项。因此,根据《网络安全法》第二十八条规定,网络运营者在为侦查机关提供必要的支持与协助过程中知悉或接触涉及国家秘密的事项,应当受《保密法》的规制与调整,有关人员不得泄露相关信息,否则将适用《保密法》追究其法律责任。
在具体制度方面,涉及国家秘密的网络安全管理事项受《保密法》作为特别法进行规制,如网络安全运行保障、信息系统存储处理的信息保护、信息处置和法律责任等方面的规定。例如,《保密法》第二十三条对网络安全等级保护制度做出了规定:存储、处理国家秘密的计算机信息系统(以下简称“涉密信息系统”)按照涉密程度实行分级保护。涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划、同步建设、同步运行。涉密信息系统应当按照规定,经检查合格后,方可投入使用。本条确立了涉密信息系统的分级保护制度,并对其设备设施适用三同步原则。
《网络安全法》第二十一条,在保障网络运行安全方面,将网络安全等级保护制度上升至法律层面进行规制,要求网络运营者按照网络安全等级保护制度的要求,采取相应的管理措施和技术防范等措施,履行相应的网络安全保护义务。为了保障关键信息基础设施安全,维护国家安全、经济安全和保障民生,《网络安全法》进一步设专节对关键信息基础设施的运行安全做了规定,实行重点保护,并在第三十一条明确规定,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。由此可见,按照我国网络安全等级保护制度的相关规定,三级以上的信息系统即为涉密信息系统。在此方面,应当受到《保密法》的规制和保护,针对《保密法》中未做出规定的内容,应当适用《网络安全法》的相关规定,并且实行比其他信息系统保护更为严格的规定。在此方面,《保密法》可被视为《网络安全法》的特别法,在涉及涉密信息系统保护时优先予以适用。
《保密法》第二十四条规定了禁止实施的危害行为,机关、单位应当加强对涉密信息系统的管理,任何组织和个人不得有下列行为:①将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;②在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;③使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息;④擅自卸载、修改涉密信息系统的安全技术程序、管理程序;⑤将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或改作其他用途。第二十六条规定,禁止非法复制、记录、存储国家秘密;禁止在互联网及其他公共信息网络或未采取保密措施的有线和无线通信中传递国家秘密;禁止在私人交往和通信中涉及国家秘密。《网络安全法》第四章“网络信息安全”涉及对公民个人信息、隐私和企业商业秘密的保护,相比《保密法》前款内容,又加大了公民个人信息、隐私和企业商业秘密安全保护的力度。在此基础上,两法将国家安全与公民个人信息,隐私和企业商业秘密纳入法律保护体系。
5.《网络安全法》与《刑法》
在应对危害网络安全活动的专业性、技术性强等特点上,单独针对任何单一或部分行为的打击或治理无法实现对“产业链”的全方位覆盖。因此,《刑法》作为抗御社会违法行为的最后一道防线,其严格把握“入罪”的界限,通过多次修正案不断调整思路,对危害网络安全活动也做了相关规定。第二百八十五条规定了非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、工具罪。第二百八十六条规定了破坏计算机信息系统罪;网络服务渎职罪。第二百八十七条规定了利用计算机实施犯罪的提示性规定。此外,《刑法修正案(九)》针对《刑法》第二百八十五条的规定增加了单位犯罪的情形;在《刑法》第二百八十六条中增加了拒不履行信息网络安全管理义务罪和前款的单位犯罪的情形;在《刑法》第二百八十七条后增加了非法利用信息网络罪,帮助信息网络犯罪活动罪及单位犯罪的情形,进一步加强网络空间活动的监管,加大对危害网络安全行为的惩处力度,维护网络空间安全运行。《网络安全法》作为从预防到惩治的综合性立法,也适时提出了多方参与、综合治理的构想,丰富了《刑法》原本的对侵入系统、窃取数据等罪名的行为规定,对预防和惩罚犯罪有着不可替代的意义。
《网络安全法》第二十七条将危害网络安全运行行为分为三大类,包括危害网络安全的活动;提供危害活动的程序及工具的帮助行为;提供技术支持、广告推广、支付结算的帮助。危害网络安全的活动又细分为非法侵入他人网络、干扰他人网络正常功能、窃取网络数据,这和《刑法》的规定基本吻合,《刑法》及其司法解释中详细规定了行为构成要件和惩罚制度。其中,侵入行为主要通过各种非授权访问的方式进入网络、系统,直接危害网络运行和网络数据的保密性、完整性;干扰行为则主要通过各种物理或逻辑的方式导致网络、系统的功能紊乱、错误、丧失,直接危害网络运行和系统的完整性、可用性;窃取网络数据的行为通常发生在侵入行为之后,对象可以包括一般数据和敏感、涉密数据,如隐私、商业秘密和国家秘密等信息,主要危害网络数据的保密性和可用性(严格而言,随着实施危害活动的程序和工具的能力强化,某一危害行为均可能同时危害保密性、完整性和可用性,并在行为和危害后果上难以截然区分如利用勒索软件实施的攻击行为)。危害网络安全的活动、提供危害活动的程序及工具这两种行为的主观态度应当包括故意或过失,提供技术支持、广告推广、支付结算的帮助行为则明确指出行为人应为故意,即“明知”。
将《网络安全法》与现有《刑法》进行对比可以看出,《网络安全法》也做出了进一步细化规定。
首先,《网络安全法》构建了涵盖事先监测预警、事中应急响应、事后惩治与恢复的“三位一体”的治理体系。基于网络攻击的低成本性、隐藏性及影响范围广等特征,仅仅依靠事后惩治显然不能起到对网络攻击的威慑,更难以实现对网络安全的保障。我国《刑法》第二百八十五条、第二百八十六条、第二百八十七条规制的行为是已经实施的入侵计算机信息系统的行为,或者造成实体损害的行为。显然其作用只是起到了对犯罪行为人的处罚,对于已经造成的损害无法进行弥补。而《网络安全法》“三位一体”的治理体系,从源头对网络攻击进行防范,在攻击发生时确保能够迅速响应与处置,将损害降至最低,最后再对犯罪行为人进行惩处。《网络安全法》规定网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告;此外,还明确要求国家也要建立网络安全监测预警和信息通报制度。
其次,《网络安全法》建立了信息共享机制,确保信息的及时、准确。近年来,我国在信息公开方面做出了许多努力,而《刑法》在经过2015年第九次修订后尚未增加网络安全信息共享的内容。《网络安全法》作为网络安全领域的基本法对该部分内容进行了完善与补充,明确规定国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:促进有关部门、关键信息基础设施运营者,以及有关研究机构、网络安全服务机构等之间的网络安全信息共享。
再次,《网络安全法》保护与规制的范围较之《刑法》更加广泛。依据《刑法》第二百八十五条第一款的规定,国家事务、国防建设、尖端科学技术领域是关键基础设施领域的重要组成部分。显然,仅依靠这部分的安全并不能实现真正的网络安全。而《网络安全法》对这方面的规定就更加全面和科学。设立“关键信息基础设施的运行安全”专门章节对关键信息基础设施进行统一且全面的规定。
最后,《网络安全法》新增了漏洞披露等规定。目前,安全漏洞攻击成为全球网络安全最大的威胁之一。作为网络大国的中国,也亟须提升防御能力,最大限度减少安全漏洞可能产生的危害。我国《刑法》仅在第二百八十五条、第二百八十六条、第二百八十七条规定了关于入侵计算机信息系统的犯罪,并未明确漏洞挖掘、披露等内容。《网络安全法》要求开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,并规定了相应的惩罚责任。
可以看出,在借鉴国际经验、结合我国国情的情况下,在应对各类突发网络安全攻击事件方面,《网络安全法》都是对《刑法》的一大突破。构建“三位一体”治理体系,对关乎民生的重要领域的网络安全重点保护都顺应了社会的发展趋势,其中网络安全信息共享与漏洞更是一个新亮点。考虑到《网络安全法》的网络安全领域基本法的地位,只能从宏观上对网络安全治理进行原则上的规定,为了确保法律的效力和实施效果,还需要制定相配套的立法与之相结合,共同提升我国网络安全治理水平。