【编者按】
本讲义由上海国瓴律师事务所名誉主任、上海交通大学网络空间治理研究中心主任寿步教授撰写,内容取材于2016年11月我国网络安全法发布以来至2023年2月底期间的相关规范性文件,权威性高,实用性强,可供关心网络安全法律政策的读者阅读。连载共13篇。
目录
第二章 网络安全法总则
网络安全法第一章总则包含第一条至第十四条,主要涉及网络安全法的立法目的和适用范围、网络安全与信息化发展并重原则、保障网络安全的战略布局、保障网络安全的规则框架、保障网络安全的监管体系、未成年人网络保护制度等。本章对此进行讨论。
第一节 立法目的
网络安全法第一条规定:“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。”
一、保障网络安全
网络安全法是我国网络安全领域的基础性法律。保障网络安全是制定本法的首要目的。网络安全法涉及网络运行安全制度和网络信息安全制度,其中网络运行安全制度既包括网络安全等级保护制度等一般制度、也包括关键信息基础设施运行安全制度,网络信息安全制度包括个人信息保护制度、违法信息监管制度、数据跨境传输制度。网络安全法还涉及网络安全支持与促进制度、网络安全监测预警与应急处置制度、网络安全法律责任制度等。
二、维护网络空间主权
网络空间主权是国家主权在网络空间的延伸和表现。《国家安全法》第二十五条规定:“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。”
这是我国法律首次涉及 “网络空间主权”的概念。网络安全法以“维护网络空间主权”为立法目的之一,为我国网络空间主权的行使提供了制度保障。
一般认为,网络空间主权至少包括以下内容:一是国内主权,即国家拥有对其领土范围内网络基础设施、网络活动与信息的管辖权;二是平等权,即各国拥有管理跨界网络活动的权力地位应该平等,这一权力通常需要依赖国际合作来实现;三是独立权,即独立制定政策、自主处理国内外网络事务,不受他国干涉的权力;四是自卫权,即对他国的网络攻击有采取自卫措施的权力。
三、维护国家安全和社会公共利益
《国家安全法》第二条规定:“国家安全是指国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力。”这里的前半句是指safety,后半句是指security。
维护国家安全的任务之一,就是国家建设网络与信息安全保障体系。网络安全法是保障网络安全的立法;制定网络安全法是在总体国家安全观指导下维护国家安全的必然要求。
社会共同利益是反映社会最广大群体的共同价值的客观需求。网络现已成为公共基础设施,涉及不特定多数人的利益,承载着巨大的社会公共利益。保障网络安全,要求通过网络提供的产品和服务安全可靠,网络中存储、传输的信息真实、准确、完整,要防范网络安全事件危害社会公众利益。
四、保护公民、法人和其他组织的合法权益
公民、法人和其他组织是在网络空间参与各类网络活动的相关利益主体。网络安全法既要落实保障每一位公民、法人和其他组织接入、使用网络的权利,也要规定其应当遵守的法律义务,同时要建立保障合法权益受侵害时的救济机制。
五、促进经济社会信息化健康发展
信息化代表了一种信息技术被高度应用,信息资源被高度共享,从而使得人的智能潜力以及社会物质资源潜力被充分发挥,个人行为、组织决策和社会运行趋于合理化的理想状态。同时信息化也是信息技术产业发展与信息技术在社会经济各部门扩散的基础之上的,不断运用信息技术改造传统的经济、社会结构从而通往如前所述的理想状态的一段持续的过程。网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。制定网络安全法,可以为经济社会信息化发展提供制度保障。经济社会信息化发展可以为网络安全实践提供更多的支撑。
第二节 适用范围
网络安全法第二条规定:“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。”
一、空间效力
网络安全法是全国人大常委会制定的法律,其空间效力及于我国全部法域范围之内。“在中华人民共和国境内”的要求,体现了属地管辖的基本原则。考虑到跨境网络活动的特殊性,网络安全法还规定了其特定的域外效力,具体如下:
第五条:“国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。”
第五十条:“国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。”
第七十五条:“境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。”
二、调整对象
在中华人民共和国境内从事建设、运营、维护和使用网络,以及网络安全的监督管理活动的,都应当遵守本法。其主体涉及广泛,包括网络建设者、网络运营者、网络维护者、网络使用者和有关的国家管理机关、事业单位和相关组织等。
第三节 网络安全与信息化发展并重原则
关于国家网络安全和信息化工作的原则、方针和主要内容,网络安全法第三条规定:“国家坚持网络安全与信息化发展并重【原则】,遵循积极利用、科学发展、依法管理、确保安全的方针【方针】,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力【主要内容】。”
第四节 保障网络安全的战略布局
一、制定网络安全战略
网络安全法第四条规定:“国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。”
网络安全法发布后,2016年12月27日,经中央网络安全和信息化领导小组批准,国家互联网信息办公室发布了《国家网络空间安全战略》。
该战略指出了网络空间给人类社会带来的重大机遇和严峻挑战。
伴随信息革命的飞速发展,互联网、通信网、计算机系统、自动化控制系统、数字设备及其承载的应用、服务和数据等组成的网络空间,正在全面改变人们的生产生活方式,深刻影响人类社会历史发展进程。网络空间已经成为信息传播的新渠道,生产生活的新空间,经济发展的新引擎,文化繁荣的新载体,社会治理的新平台,交流合作的新纽带,国家主权的新疆域。
网络安全形势日益严峻,国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临严峻风险与挑战。具体表现在:网络渗透危害政治安全,网络攻击威胁经济安全,网络有害信息侵蚀文化安全,网络恐怖和违法犯罪破坏社会安全,网络空间的国际竞争方兴未艾。
该战略提出的目标是:以总体国家安全观为指导,贯彻落实创新、协调、绿色、开放、共享的发展理念,增强风险意识和危机意识,统筹国内国际两个大局,统筹发展安全两件大事,积极防御、有效应对,推进网络空间和平、安全、开放、合作、有序,维护国家主权、安全、发展利益,实现建设网络强国的战略目标。
该战略认为:一个安全稳定繁荣的网络空间,对各国乃至世界都具有重大意义。中国愿与各国一道,加强沟通、扩大共识、深化合作,积极推进全球互联网治理体系变革,共同维护网络空间和平安全。因此,该战略提出了四项原则:尊重维护网络空间主权,和平利用网络空间,依法治理网络空间,统筹网络安全与发展。
该战略指出:中国的网民数量和网络规模世界第一,维护好中国网络安全,不仅是自身需要,对于维护全球网络安全乃至世界和平都具有重大意义。中国致力于维护国家网络空间主权、安全、发展利益,推动互联网造福人类,推动网络空间和平利用和共同治理。该战略提出了九项战略任务:坚定捍卫网络空间主权,坚决维护国家安全,保护关键信息基础设施,加强网络文化建设,打击网络恐怖和违法犯罪,完善网络治理体系,夯实网络安全基础,提升网络空间防护能力,强化网络空间国际合作。
二、参与网络安全国际合作
关于我国参与网络安全国际合作,网络安全法第七条规定:“国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。”
网络安全法发布后,2017年3月1日,经中央网络安全和信息化领导小组批准,外交部和国家互联网信息办公室共同发布《网络空间国际合作战略》。该战略是指导中国参与网络空间国际交流与合作的战略性文件。
《网络空间国际合作战略》全面宣示中国在网络空间相关国际问题上的政策立场,系统阐释中国开展网络领域对外工作的基本原则、战略目标和行动要点,旨在指导中国今后一个时期参与网络空间国际交流与合作,推动国际社会携手努力,加强对话合作,共同构建和平、安全、开放、合作、有序的网络空间,建立多边、民主、透明的全球互联网治理体系。
第五节 保障网络安全的规则框架
保障网络安全既需要从宏观层面战略布局,也需要从微观层面践行落实。网络空间的参与主体,大到国家、政府,小到企业、个人,都是网络安全的守护者。因此,网络安全法对国家、社会、企业和个人的网络行为都作出了规范性设计。
一、国家机构的职责
网络安全法第五条规定:“国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。”
网络安全法第六条规定:“国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。”
二、网络运营者的义务
网络安全法第九条规定:“网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。”
网络运营者是指网络的所有者、管理者和网络服务提供者。
网络安全法第十条规定:“建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。”
网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。
网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据。
三、网络使用者的义务
网络安全法第十二条规定:“国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。”
第六节 保障网络安全的监管体系
维护网络安全是全社会共同责任。规范的网络行为是网络安全的基石,既需要从进行引导宣传,也需要必要的监管制度落到实处。网络安全法依据不同主体的职责赋予其不同的监管权限,形成从国家机构到行业组织、到社会公众都参与其中的监管体系。
一、国家机构的监督管理
(一)相关规定
网络安全法第八条规定:“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。”
(二)监管机构职责
2011年5月4日,国务院办公厅发出通知,设立国家互联网信息办公室。国家互联网信息办公室的主要职责包括落实互联网信息传播方针政策和推动互联网信息传播法制建设,指导、协调、督促有关部门加强互联网信息内容管理,依法查处违法违规网站等。
2014年2月,中央网络安全和信息化领导小组成立,其办事机构为中央网络安全和信息化领导小组办公室(简称“中央网信办”),由国家互联网信息办公室承担(简称“国家网信办”)具体职责。中央网络安全和信息化领导小组着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力。
2014年8月26日,国务院发布《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》。该通知指出:“为促进互联网信息服务健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,授权重新组建的国家互联网信息办公室负责全国互联网信息内容管理工作,并负责监督管理执法。”
2018年3月,中共中央印发《深化党和国家机构改革方案》,将中央网络安全和信息化领导小组改为中央网络安全和信息化委员会。其办事机构是中央网络安全和信息化委员会办公室。
网络安全法第八条明确了国家网信部门即国家网信办的职责:一是网络安全工作的统筹协调,二是网络安全相关的监督管理。
国务院电信主管部门即工业和信息化部的相关职责:负责网络强国建设相关工作,推动实施宽带发展;负责互联网行业管理(含移动互联网);协调电信网、互联网、专用通信网的建设,促进网络资源共建共享;组织开展新技术新业务安全评估,加强信息通信业准入管理,拟订相关政策并组织实施;指导电信和互联网相关行业自律和相关行业组织发展。负责电信网、互联网网络与信息安全技术平台的建设和使用管理;负责信息通信领域网络与信息安全保障体系建设;拟定电信网、互联网及工业控制系统网络与信息安全规划、政策、标准并组织实施,加强电信网、互联网及工业控制系统网络安全审查;拟订电信网、互联网数据安全管理政策、规范、标准并组织实施;负责网络安全防护、应急管理和处置。
公安部的相关职责:指导、监督地方公安机关对公共信息网络的安全监察工作。
电信主管部门、公安部门和其他有关机关,依照网络安全法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
与中央政府的机构设置相对应,在地方政府中,地方网信部门、电信主管部门和公安部门是承担网络安全保护和监督管理职责的主要部门。
二、行业组织的自律规范
(一)相关规定
网络安全法第十一条规定:“网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。”
(二)行业组织管理
网络安全法规定的行业组织加强行业自律的方式有:(1)制定网络安全行业规范;(2)指导会员加强网络安全保护,提高网络安全保护水平。行业自律的社会效果在于促进行业健康发展。
我国有关互联网行业的社会团体组织,包括:中国网络空间安全协会、中国互联网协会、中国信息协会、中国互联网金融协会、中国互联网上网服务行业协会、中国网络视听节目服务协会、中国计算机行业协会、中国计算机学会、中国电子信息行业联合会等。
三、社会公众的监督举报
(一)相关规定
网络安全法第十四条规定:“任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。
有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。”
(二)举报受理机构
针对危害网络安全行为的举报,受理机构简介如下:
(1)中央网信办(国家网信办)违法和不良信息举报中心。
(2)中国互联网协会受工业和信息化部委托设立的12321网络不良与垃圾信息举报受理中心。
(3)由公安部网络安全保卫局建立的网络违法犯罪举报网站。
(4)全国“扫黄打黑”工作组办公室举报中心。
第七节 案例介绍
【云庭酒店与联通眉山分公司合同纠纷案】
案例类型:法院二审判决
审理法院:四川省眉山市中级人民法院
案号:(2018)川14民终746号
裁判日期:2018.07.05
相关法条:网络安全法第九条、第十条、第二十一条、第二十四条,《合同法》第九十四条第四款,《民事诉讼法》第一百七十条第一款第二项
(一)案情简介
2015年7月,上诉人洪雅云庭假日酒店管理有限公司(以下简称“云庭酒店”)就经营场所内使用通信业务与被上诉人中国联合网络通信有限公司眉山市分公司(以下简称“联通眉山分公司”)签订《接入合同》。合同约定了违约条款和免责条款。合同签订后,联通眉山分公司为云庭酒店接入合同约定的集团固定电话、互联网专线业务。云庭酒店开始使用并缴纳月租费。2017年7月22日,洪雅县公安局高庙派出所对云庭酒店进行网络安全检查,认为其属于互联网使用单位,向公众提供wifi无线上网服务的公共场所,未落实上网实名认证、上网行为审计、日志留存等网络安全技术措施问题,民警随后口头告知工作人员张林,须在2017年8月31日前落实网络安全保护技术措施,并自行选择安装已取得公安部《计算机系统信息安全专用产品销售许可证》的安全专有设备。2017年8月29日,云庭酒店微信通知联通眉山分公司工作人员解除合同。
联通眉山分公司提起诉讼,请求判令:云庭酒店支付违约金21000元。
一审法院判决云庭酒店支付联合眉山市分公司违约金21000元。
云庭酒店提起上诉,请求:撤销原判,改判驳回联通眉山分公司的诉讼请求。
联通眉山分公司答辩:原判正确,请求维持。
(二)法院认为
根据网络安全法第九条、第十条、第二十一条第三项、第二十四条的规定,落实上网实名认证、日志留存等网络安全技术措施是网络运营者的责任和义务。云庭酒店与联通眉山分公司签订《接入合同》的时间早于网络安全法的颁布时间,故此时联通眉山分公司提供给云庭酒店的网络服务未落实网络安全措施不影响其提供的服务的合法性。但在网络安全法正式实施后,联通眉山分公司作为网络运营者应当按照该法律规定及时完成网络安全技术措施以保证其提供给客户使用的网络具有安全性和合法性,该责任不仅是合同义务,更是作为网络运营者的联通眉山分公司的法定义务,云庭酒店没有义务通知联通眉山分公司履行其法定义务。因联通眉山分公司未及时采取网络安全技术措施导致云庭酒店被公安机关查处并限期整改,属联通眉山分公司违约且该违约行为导致云庭酒店不能合法、正常使用该网络并由此给酒店经营造成影响。在此情况下,云庭酒店向联通眉山分公司发出通知要求解除合同并不构成违约。
(三)裁判结果
一、撤销眉山市东坡区人民法院(2018)川1402民初648号民事判决;
二、驳回中国联合网络通信有限公司眉山市分公司的诉讼请求。
作者简介 PROFILE
寿步 国瓴名誉主任
寿步教授现为上海交通大学法学院教授、博士生导师,上海交通大学知识产权研究中心主任、网络空间治理研究中心主任,中国法学会网络与信息法学研究会副会长,中国科学技术法学会副会长、网络空间法专业委员会主任,中国法学会知识产权法学研究会常务理事,中国法学会案例法学研究会常务理事,中华全国律师协会信息网络与高新技术法律专业委员会顾问,上海知识产权法院特邀知识产权专家。
寿步教授长期从事法学与新技术交叉领域的法学研究、法学教育、法律实务工作,尤其是与计算机软件、网络游戏、云计算、网络安全、数据安全、个人信息保护等相关的领域。
寿步教授已出版个人专著5部、合著4部、主编著作21部。代表性论著有《中国软件版权诉讼实务》、《 计算机软件著作权保护》、《软件网络和知识产权》、《软件网络诉讼代理实务》、《信息时代知识产权教程》等。
发表评论 取消回复