法律治理是维护网络安全的重要手段
信息网络发展和应用的不断深入,为经济社会进步带来了千载难逢的历史机遇。然而,日益突出的网络安全威胁和风险,正以隐蔽化、多样化、复杂化的形态挑战着网络空间秩序和公私利益。没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。因此,网络安全治理事关国家安全和经济社会发展的大局,事关国家利益和人民群众的根本利益,是网络空间治理的首要任务。在网络安全形势日益严峻的背景下,以网络安全法为基础进一步构建和完善网络安全法律治理体系,确保互联网在法治轨道上健康运行,是提高治网管网能力、依法维护网络安全的重要保障。
一
网络安全风险的形成,既有技术不完备或系统漏洞等客观原因,也有相关主体不当行为或恶意行为等主观原因,同时还受到政治、经济和社会等方面不确定因素的影响。因此,网络安全问题不只是技术问题,还是社会关系冲突在网络空间的反映。系统优化、漏洞修复、数据加密、身份认证等技术治理手段可以成为维护网络安全的直接策略,但却无法有效回应和调节其背后的社会关系冲突和利益博弈,也因缺乏普遍性和强制性的制度依据而难以全面落实。因此,维护网络安全不仅需要技术理性也需要制度理性,法律治理与技术治理是网络安全治理一体之两翼。法律治理路径,是通过明确网络空间主体权利义务与责任、规范和约束网络运行和服务过程中的行为、构建有效的监管框架和规则体系,以法律手段和法治思维有效调节网络空间活动中的社会关系和主体行为,并将技术规范上升为具有普遍约束力的法律规则,从而形成全面、充分且有效的网络安全法律治理体系。
网络安全法律治理体系需要基于技术规律和法治规律进行层次化构建。从技术规律来看,逻辑清晰、覆盖全面、科学合理、层次分明的制度体系,能够为相关主体及其行为提供明确法律依据以实现指引、预测和评价等效果,是实施有效法律治理的前提和保障。尽管从技术角度对网络层次有不同类型的划分,但在治理视角下可以根据技术环节和功能特征的差异,将网络空间归纳为提供物理支撑和系统支持的基础层、提供连接服务和信息传输的网络层以及提供内容处理和服务的应用层,相应的网络安全应当包括基础层安全、网络层安全和应用层安全等范畴。从法治规律来看,对网络安全的治理需要明确调整对象、法律主体、行为模式和法律后果,围绕主体、权利、义务、责任进行制度设计。因此,结合技术实现和社会关系调节的层次、重点和路径,可以从基础设施、主体、内容和行为四个层次构建网络安全法律治理体系。位于基础层和网络层的基础设施、位于应用层的数据和信息服务等内容以及贯穿于各层的网络空间主体及其行为,能够作为并列的调整对象在网络空间法律治理体系中实现有机统一。
二
基础设施层次。基础设施是为网络运行提供物理支撑和信息通讯交互的软硬件集合,一旦基础设施遭到攻击或者破坏,将会导致网络瘫痪甚至严重影响国家安全、经济安全以及社会稳定。基础设施安全包括网络基础设施安全和关键信息基础设施安全。前者主要指光缆光纤、移动通信基站、数据中心、IP地址与域名等互联网核心架构的安全稳定,是公共网络能够正常运行的基本保障。后者则是金融、能源、通信、电力等关键领域和其他一旦遭到破坏、丧失功能或数据泄露可能产生严重危害的网站、平台和系统等。基础设施安全是网络安全的重中之重,因此需要将基础设施作为重点对象,以专门的法律制度对其进行特殊保护。具体而言,需要通过立法推动我国网络基础设施自主发展,以市场准入制度和安全审查制度确保基础设施的自身安全自主,同时建立关键基础设施安全评估与预警制度,完善和加强基础设施安全分级保护制度,以实现我国网络基础设施和关键信息基础设施的安全可信、稳定可靠和自主可控。
主体层次。尽管网络空间是虚拟的,但运用网络空间的主体是现实的。网络空间主体涵盖了政府、企业、行业协会、网络用户等诸多利益相关方,而这些主体参与网络空间活动的立场、习惯和行为模式都会在不同程度对网络安全造成影响。抓住网络空间主体这个“牛鼻子”,明确各方权利义务和主体责任,是网络安全法律治理的关键。法律应当明确网络安全治理中的政府角色和监管机制,理顺网络安全治理的职权归属和范围,强化政府相关部门在促进、支持和维护网络安全方面的行政权力与责任,提高网络安全监管执法的能力与效率。同时需要明确网络运营者、网络产品和服务提供者等企业以及网络用户的权利与义务,赋予行业协会和技术社群的自律监管和安全监督的权利和责任,充分调动各类主体维护网络安全的积极性和责任感,鼓励形成捍卫网络安全的社会力量,为各类主体共筑网络安全防线赋能。
内容层次。内容是网络在应用层运行的最终表现,包括提供的产品与服务、交互的数据和信息等。内容的安全直接关系到网络空间的秩序稳定,直接关系到网络活动的经济社会效益,必须将其纳入到网络安全法律治理体系之中。当前内容安全领域最为严峻的挑战是数据安全、个人信息保护、网络交易安全以及网络意识形态安全。对此,需要进一步明确数据权属和数据安全管理制度,强化、落实数据安全保护责任和数据采集、存储、使用、转移规则,建立公共数据开放和隐私数据保护的差异化制度,完善数据合规体系。同时,要完善电子商务、互联网金融等交易领域的身份验证、信息加密、信用评价等安全管理的规则与标准。对于因技术和模式创新所形成的新型应用,需要建立风险评估与安全审查制度,并且结合其风险特征及时建立有针对性的监管规则。此外,要按照总体国家安全观的要求加强网络空间内容治理,增强主流意识形态在网络信息传播和网络文化中的引领作用和主导地位,以法律规范清晰划定网络信息的政治底线和道德底线,以健全的综合治理机制为网络意识形态安全营造风清气正的网络生态。
行为层次。除自然因素等原因外,网络安全事件的爆发往往都是由于相关主体消极进行安全管理或故意实施攻击破坏等行为导致。例如保密管理不到位导致的网上泄密、恶意网络攻击导致系统崩溃和软硬件故障、借助病毒和木马进行网络商业窃密或给文件加密实施勒索、利用网络空间散布传播与主流意识形态和公序良俗相背离的煽动性、虚假性言论等,均是不负责行为或恶意行为的结果。实施网络安全的法律治理,需要综合运用各种法律工具对危害网络安全的行为进行有效约束,以减少乃至杜绝此类行为的发生。一方面需要对网络活动中的各类行为进行正面引导,以提倡性规范或强制性规范明确符合网络安全要求的行为模式和安全规范,确立合法安全用网的行为指南。另一方面需要以严格的法律责任对危害网络安全的行为进行否定性评价,完善涵盖民事、行政和刑事责任的法律责任体系,加大对于危害网络安全行为的查处和追责力度。