一、问题的提出
《中华人民共和国网络安全法》(下称“该法”或“网络安全法”)2017年6月1日起施行。该法第二条规定了它的调整范围:“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。”该法第七十六条定义的“网络”,“是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”。
在2018年9月7日公布的《十三届全国人大常委会立法规划》中,个人信息保护法和数据安全法的立法计划已被列入“第一类项目:条件比较成熟、任期内拟提请审议的法律草案”之中。
在网络安全法已对个人信息保护和数据安全(包括但不限于违法信息监管、数据跨境传输)进行规制的情况下,未来的个人信息保护法、数据安全法如何与网络安全法分工和协调?
(一)法律的核心概念
该法的核心概念是“网络安全”。下面首先回顾近几年我国官方的相关论述。
1. 总体国家安全观中“信息安全”的提法
2014年4月15日习近平总书记在中央国家安全委员会第一次会议上提出总体国家安全观。他强调,要准确把握国家安全形势变化新特点新趋势,坚持总体国家安全观,走出一条中国特色国家安全道路。他指出:当前我国国家安全内涵和外延比历史上任何时候都要丰富,时空领域比历史上任何时候都要宽广,内外因素比历史上任何时候都要复杂,必须坚持总体国家安全观。他要求:构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。
这里所说的国家安全体系所涵盖的十一种安全中包括“信息安全”。
2. 国家安全法中“网络与信息安全”的提法
2015年7月1日通过并施行的《中华人民共和国国家安全法》是在总体国家安全观指导下进行的立法。其中第二十五条规定:“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。”
其中与总体国家安全观中“信息安全”对应的条款中采用了“网络与信息安全”的提法。
3. 网络安全法中“网络安全”的提法
2016年11月7日通过的《中华人民共和国网络安全法》,从名称到正文,“网络安全”出现108次;“网络空间安全”出现1次(出现在第五条最后的“维护网络空间安全和秩序”这句话中)。虽然就国家安全法与网络安全法的关系而言,前者是“纲”,后者是“目”,纲举则目张,但是,在网络安全法中并没有沿用国家安全法中“网络与信息安全”的提法,而是自始至终采用了“网络安全”的提法。
4. 国家网络空间安全战略中“网络空间安全”的提法
网络安全法颁布后,在经中央网络安全和信息化领导小组批准、国家互联网信息办公室于2016年12月27日发布的《国家网络空间安全战略》中,却并没有沿用该法关于“网络安全”的提法,而是在标题中明确采用了“网络空间安全”的提法,并且在正文一开始就采用了“网络空间安全(以下称网络安全)”的提法,其后“网络安全”总计出现42次。注意,这里42次出现的“网络安全”是“网络空间安全”的简称,并不必然等于网络安全法中的“网络安全”。换言之,《国家网络空间安全战略》是用“网络空间安全(以下称网络安全)”作为过渡,舍去了“网络安全”的提法而改用“网络空间安全”的提法。
5. 网络空间国际合作战略中“网络安全”的官方英译是cyber security
在经中央网络安全和信息化领导小组批准、由外交部和国家互联网信息办公室于2017年3月1日共同发布的《网络空间国际合作战略》中文版中,“网络安全”出现14次;“网络空间安全”出现1次。在《网络空间国际合作战略》的官方英译本(这是网络安全法律相关官方文件中少见的官方英译本)中,network security完全没有出现;cyber security出现13次;cyberspace security出现1次。
显然,在《网络空间国际合作战略》的发布机关外交部和国家互联网信息办公室看来,该文件中文版中的“网络安全”并不对应于network security,而是对应于cyber security/cyberspace security。
官方表述的上述变迁过程可用图1表示。在此过程中,我们看到的趋势是:中文表述转为“网络空间安全”;英文表述转为“cyber security”。
图1 官方文件中相关术语使用的演变过程
英文中,network security与cyberspace security/cyber security/cybersecurity的含义并不相同;同理,中文中的“网络安全”与“网络空间安全”这两个术语的含义也不相同。它们之间的差异并不是将“网络空间安全”简称为“网络安全”就可以解决的。
(二)法律的自洽
法律应当自洽。该法的自洽要求有待满足。该法的名称是“网络安全法”,其中第七十六条将“网络安全”定义为:“是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。”但该法的内容却包含了如个人信息保护、违法信息监管、数据跨境传输、未成年人网络保护、知识产权保护等内容。这些内容显然并不属于该法定义的“网络安全”的范围之内。
如何解决该法的自洽问题?
如果以国际标准ISO/IEC 27032:2012为依据,则可以使该法的核心概念建立在国际标准基础上,可以解决该法的自洽问题,可以在该法中给规制个人信息保护、违法信息监管、数据跨境传输、未成年人网络保护、知识产权保护等找到国际标准的依据,可以构建该法的完备的逻辑体系。