【编者按】
本讲义由上海国瓴律师事务所名誉主任、上海交通大学网络空间治理研究中心主任寿步教授撰写,内容取材于2016年11月我国网络安全法发布以来至2023年2月底期间的相关规范性文件,权威性高,实用性强,可供关心网络安全法律政策的读者阅读。连载共13篇。
目录
第一节 网络安全法概述
一、立法必要性和起草经过
20世纪 90年代以来,信息技术在全球迅速传播, 因特网(Internet,也称“互联网”)在各国广泛应用,使得人类社会各领域发生了深刻变化,极大地改变和影响着人们的社会活动和生活方式。网络与信息技术的应用,在促进技术创新、经济发展、文化繁荣、社会进步的同时,也导致网络安全问题日益凸显。
在此背景下, 应对来自网络空间的安全挑战,切实保障网络空间安全,已经成为各国面临的共同课题。互联网的全球性,导致网络空间的安全问题必然也是全球性综合性的社会问题。网络空间安全问题的解决,当然就离不开法律的规制。
我国网络安全法律制度的历史可以分为两个阶段:
第一阶段,从20世纪90年代到2014年2月中共中央网络安全和信息化领导小组成立。
这一时期我国的网络安全立法基本属于渗透型模式,也就是将涉及网络安全的相关规定渗透融入相关的法律、行政法规、部门规章、司法解释、国家标准、行业标准等规范性文件中,其内容涉及网络监管、信息安全等级保护等多方面。
第二阶段,从2014年2月中共中央网络安全和信息化领导小组成立至今。
2014年2月27日,习近平在中共中央网络安全和信息化领导小组第一次会议上强调,“没有网络安全,就没有国家安全”。中央网信领导小组的成立,极大地推动了各级党委政府和各行各业对网络安全工作的关注和重视,网络安全已经提升到国家战略的重要地位。2014年4月15日,习近平在中央国家安全委员会第一次会议上提出,坚持总体国家安全观,走出一条中国特色国家安全道路。党中央从总体国家安全观出发,就网络安全问题提出了一系列新思想新观点新论断,对加强国家网络安全工作作出重要部署。2014年10月中共十八届四中全会决定要求完善网络安全保护方面的法律法规。
广大人民群众十分关注网络安全,强烈要求依法加强网络空间治理,规范网络信息传播秩序,惩治网络违法犯罪,使网络空间清朗起来。
为适应国家网络安全工作的新形势新任务,落实党中央的要求,回应人民群众的期待,第十二届全国人大常委会于2013年10月将制定网络安全方面的立法列入本届全国人大常委会的立法规划,之后,又列入2014年至2016年的立法工作计划。
2014年上半年,全国人大常委会法制工作委员会组成工作专班,开展网络安全法研究起草工作,会同相关部门多次交换意见,反复研究,形成网络安全法(草案),于2015年6月由全国人大常委会委员长会议提请全国人大常委会进行审议。初次审议之后,网络安全法(草案)向社会公开征求意见。2016年6月,全国人大常委会对网络安全法(草案二次审议稿)进行审议。二次审议之后,网络安全法(草案二次审议稿)向社会公开征求意见。在此基础上,2016年11月7日,全国人大常委会审议通过《中华人民共和国网络安全法》。
我国已经进入以网络安全法为统领、以《国家网络空间安全战略》为指导、构建网络空间安全法律全面保障体系的新时期。以2021年9月1日起施行的数据安全法、2021年11月1日起施行的个人信息保护法、2021年9月1日起施行的关键信息基础设施安全保护条例为代表,这一体系逐步健全完善。
二、立法指导思想和起草工作要点
网络安全法的指导思想是:坚持以总体国家安全观为指导,全面落实党的十八大和十八届三中、四中全会决策部署,坚持积极利用、科学发展、依法管理、确保安全的方针,充分发挥立法的引领和推动作用,针对当前我国网络安全领域的突出问题,以制度建设提高国家网络安全保障能力,掌握网络空间治理和规则制定方面的主动权,切实维护国家网络空间主权、安全和发展利益。
据此,网络安全法的起草工作要点如下:
第一,坚持从国情出发。根据我国网络安全面临的严峻形势和网络立法的现状,充分总结近年来网络安全工作经验,确立保障网络安全的基本制度框架。重点对网络自身的安全作出制度性安排,同时在信息内容方面也作出相应的规范性规定,从网络设备设施安全、网络运行安全、网络数据安全、网络信息安全等方面建立和完善相关制度,体现中国特色;并注意借鉴有关国家的经验,主要制度与国外通行做法是一致的,并对内外资企业同等对待,不实行差别待遇。
第二,坚持问题导向。本法是网络安全管理方面的基础性法律,主要针对实践中存在的突出问题,将近年来一些成熟的好做法作为制度确定下来,为网络安全工作提供切实法律保障。对一些确有必要,但尚缺乏实践经验的制度安排做出原则性规定,同时注重与已有的相关法律法规相衔接,并为需要制定的配套法规预留接口。
第三,坚持安全与发展并重。维护网络安全,必须坚持积极利用、科学发展、依法管理、确保安全的方针,处理好与信息化发展的关系,做到协调一致、齐头并进。通过保障安全为发展提供良好环境,本法注重对网络安全制度作出规范的同时,注意保护各类网络主体的合法权利,保障网络信息依法有序自由流动,促进网络技术创新和信息化持续健康发展。
三、网络安全法的主要内容
网络安全法共有七章、七十九条。
网络安全法的主要内容包括:
(一)维护网络空间主权
网络空间主权是国家主权在网络空间的体现和延伸,网络空间主权原则是我国维护国家安全和利益、参与网络空间国际治理与合作所坚持的重要原则。为此,网络安全法将“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展”作为立法宗旨,规定“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。”
(二)保障网络产品和服务安全
维护网络安全,首先要保障网络产品和服务的安全。网络安全法明确了网络产品和服务提供者的安全义务;规定了网络产品和服务提供者的个人信息保护义务;将网络关键设备和网络安全专用产品的安全认证和安全检测制度上升为法律并作了必要的规范;对网络安全服务活动作了原则规范。
(三)保障网络运行安全
保障网络运行安全,必须落实网络运营者第一责任人的责任。据此,网络安全法将此前实行的网络安全等级保护制度上升为法律,要求网络运营者按照网络安全等级保护制度的要求,采取相应的管理措施和技术防范等措施,履行相应的网络安全保护义务。
(四)保障关键信息基础设施安全
为了保障关键信息基础设施安全,维护国家安全、经济安全和保障民生,网络安全法设专节对关键信息基础设施的运行安全作了规定,实行重点保护。对关键信息基础设施的范围、关键信息基础设施保护制度的主要内容、关键信息基础设施的运营者采购网络产品和服务的国家安全审查措施、关键信息基础设施的数据的境内存储和跨境提供作了原则规定。
(五)个人信息保护
在2012年全国人大常委会《关于加强网络信息保护的决定》基础上,网络安全法进一步完善了网络运营者收集使用个人信息的规则、网络运营者保护个人信息安全的义务与责任,加强对个人信息的保护,防止个人信息数据被非法获取、泄露或者非法使用。
(六)保障网络信息安全
在2012年全国人大常委会《关于加强网络信息保护的决定》基础上,网络安全法进一步完善了保障网络信息安全的规定。一是确立了网络身份管理制度即网络实名制,以保障网络信息的可追溯;二是明确了网络运营者处置违法信息的义务;三是规定了发送电子信息、提供应用软件不得含有法律和行政法规禁止发布或者传输的信息;四是规定了网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助;五是赋予有关主管部门处置违法信息、阻断违法信息传播的权力。
(七)监测预警与应急处置
为了加强国家的网络安全监测预警和应急制度建设,提高网络安全保障能力,网络安全法规定:一是国家建立网络安全监测预警和信息通报制度,加强网络安全信息收集、分析和情况通报工作;二是建立健全重要行业、重要领域的网络安全监测预警和信息通报制度;三是规定了政府部门网络安全信息的监测、分析、预警制度和网络安全事件的应急处置措施;四是规定了为维护国家安全和社会公共秩序,处置重大突发社会安全事件的网络通信临时限制措施。
(八)网络安全监督管理体制
为加强网络安全工作,网络安全法规定由国家网信部门对网络安全工作的统筹协调职责和相关监督管理职责,同时规定了国务院电信主管部门、公安部门和其它有关机关以及地方政府有关部门的网络安全监督管理职责。
(九)法律责任
网络安全法对于不履行网络安全法关于网络运行安全制度的一般规定、关键信息基础设施运行安全制度规定、个人信息保护制度规定、违法信息监管制度规定、数据出境管理制度规定的法律责任,也作了明确规定。
(十)其它
网络安全法第七章附则包含第七十六条至第七十九条,规定了其它事项。
网络安全法第七十六条对本法相关术语如网络、网络安全、网络运营者、网络数据、个人信息等作出定义。
针对涉密网络的运行安全,网络安全法第七十七条规定:“存储、处理涉及国家秘密信息的网络的运行安全保护,除应当遵守本法外,还应当遵守保密法律、行政法规的规定。”
军事网络是中华人民共和国武装力量管理和指挥作战系统的重要组成部分,与民用网络相比,有其特殊性。军事网络面临的安全威胁也日益凸显。网络安全法第七十八条规定:“军事网络的安全保护,由中央军事委员会另行规定。”
关于施行日期,网络安全法第七十九条规定:“本法自2017年6月1日起施行。”
第二节 网络安全法术语
在网络安全法以及与网络安全相关的规范性文件中,包含对网络安全相关术语的定义。给出定义的包括但不限于下列术语。
一、网络
网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。(网络安全法第七十六条)
二、网络安全
网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。(网络安全法第七十六条)
三、网络运营者
网络运营者,是指网络的所有者、管理者和网络服务提供者。(网络安全法第七十六条)
四、网络数据
网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。(网络安全法第七十六条)
五、个人信息
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。(网络安全法第七十六条)
六、重要数据
重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。(《网络数据安全管理条例(征求意见稿)》第七十三条)
七、网络安全事件
网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。(《国家网络安全事件应急预案》1.3)
八、网络运行事故
网络运行事故是指由于突发公共事件、人为破坏、施工损坏或网络自身故障造成的电信基础设施损坏、电信网络中断、电信业务中断等情况。分为特别重大事故、重大事故、较大事故和一般事故。(《电信网络运行监督管理办法》第三条)
作者简介 PROFILE
寿步 国瓴名誉主任
上海国瓴律师事务所名誉主任寿步教授长期从事知识产权法和网络法方面的教学、研究和法律实务工作。他是自动控制专业工学学士、计算机专业工学硕士,1988年考取中国律师资格,1999年起任执业律师至今,擅长办理与IT相关的法律诉讼和仲裁业务,所代理的一些诉讼案件社会影响大,有判例价值。他是2001年成立的中华全国律师协会信息网络与高新技术专业委员会的发起人之一,先后担任该专委会副主任(2001-2011)、主任(2011-2019)、顾问(2019以后)。
寿步教授是上海交通大学知识产权研究中心主任、网络空间治理研究中心主任,中国科学技术大学兼职教授,也是中国科学技术法学会副会长,中国法学会网络与信息法学研究会副会长,中国法学会知识产权法学研究会常务理事,中国法学会案例法学研究会常务理事,中国保密协会专家委员会专家,中国电子学会高级会员、中国电子学会计算机取证专家委员会委员,上海、珠海、青岛等多地仲裁机构的仲裁员。
发表评论 取消回复