我國網(wǎng)絡(luò)安全立法的頂層設(shè)計與制度安排

李海英　中國信息通信研究院互聯(lián)網(wǎng)法律研究中心高級工程師

專家視點

我國網(wǎng)絡(luò)安全立法的頂層設(shè)計與制度安排

李海英中國信息通信研究院互聯(lián)網(wǎng)法律研究中心高級工程師

我國網(wǎng)絡(luò)安全立法進(jìn)程加快，以《國家安全法》、《網(wǎng)絡(luò)安全法》（草案）為代表的一系列立法構(gòu)成我國網(wǎng)絡(luò)安全立法的頂層設(shè)計，而網(wǎng)絡(luò)空間主權(quán)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、數(shù)據(jù)跨境流動等制度成為網(wǎng)絡(luò)安全立法的重點制度安排。

網(wǎng)絡(luò)安全；網(wǎng)絡(luò)空間主權(quán)；關(guān)鍵信息基礎(chǔ)設(shè)施；數(shù)據(jù)跨境流動

1　引言

十八屆四中全會提出依法治國的總要求，重點提出“加強(qiáng)互聯(lián)網(wǎng)領(lǐng)域立法，完善網(wǎng)絡(luò)信息服務(wù)、網(wǎng)絡(luò)安全保護(hù)、網(wǎng)絡(luò)社會管理等方面的法律法規(guī)，依法規(guī)范網(wǎng)絡(luò)行為。”我國網(wǎng)絡(luò)法治建設(shè)進(jìn)程進(jìn)一步加速。網(wǎng)絡(luò)安全立法是互聯(lián)網(wǎng)領(lǐng)域立法的重要組成部分，目前，我國多部相關(guān)立法正在推進(jìn)，其重點制度涉及網(wǎng)絡(luò)空間主權(quán)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、數(shù)據(jù)安全等領(lǐng)域。

2　我國網(wǎng)絡(luò)安全立法的頂層設(shè)計

2015年7月1日，新的《國家安全法》發(fā)布施行，將網(wǎng)絡(luò)與信息安全作為“維護(hù)國家安全的任務(wù)”之一。第二章第二十五條專門對網(wǎng)絡(luò)與信息安全進(jìn)行了規(guī)定：“國家建設(shè)網(wǎng)絡(luò)與信息安全保障體系，提升網(wǎng)絡(luò)與信息安全保護(hù)能力，加強(qiáng)網(wǎng)絡(luò)和信息技術(shù)的創(chuàng)新研究和開發(fā)應(yīng)用，實現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控；加強(qiáng)網(wǎng)絡(luò)管理，防范、制止和依法懲治網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密、散布違法有害信息等網(wǎng)絡(luò)違法犯罪行為，維護(hù)國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益。”2014年4月，習(xí)近平在中央國家安全委員會第一次會議上的講話中提出將“信息安全”作為國家安全體系的組成部分，《國家安全法》進(jìn)一步明確“網(wǎng)絡(luò)與信息安全”是國家總體安全觀的重要組成部分，它涵蓋了網(wǎng)絡(luò)和信息核心產(chǎn)品和技術(shù)的安全、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)的運(yùn)行安全、數(shù)據(jù)的安全以及內(nèi)容安全，是全產(chǎn)業(yè)鏈的概念。而“維護(hù)國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益”，是要達(dá)到的目標(biāo)。

2015年7月6日，《網(wǎng)絡(luò)安全法》（草案）在中國人大網(wǎng)上全文公布，并向社會公開征求意見。《網(wǎng)絡(luò)安全法》（草案）在《國家安全法》規(guī)定的基礎(chǔ)上，對保障網(wǎng)絡(luò)安全、維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全進(jìn)行了系統(tǒng)的規(guī)定，是我國互聯(lián)網(wǎng)領(lǐng)域的重大立法之一，體現(xiàn)著國家對建立健全網(wǎng)絡(luò)空間秩序的基本意志。

2015年11月1日，《刑法》第九修正案正式實施，對刑法中涉互聯(lián)網(wǎng)安全的內(nèi)容做了補(bǔ)充和完善。其中包括加強(qiáng)對公民個人信息的保護(hù)，加強(qiáng)網(wǎng)絡(luò)服務(wù)提供者履行網(wǎng)絡(luò)安全管理的責(zé)任，規(guī)定設(shè)立用于實施詐騙、傳授犯罪方法等違法犯罪活動的網(wǎng)站、通訊群組，可以作為犯罪追究，為網(wǎng)絡(luò)犯罪提供技術(shù)支持也被獨(dú)立定罪等。

除此之外，還有幾部法律草案對網(wǎng)絡(luò)安全保護(hù)有重大影響，是我國網(wǎng)絡(luò)安全立法體系的重要組成。

●一是《反恐怖主義法》（草案），草案第十五條要求網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)營者應(yīng)當(dāng)綜合采取技術(shù)和管理措施，保護(hù)網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)行安全；電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)服務(wù)提供者應(yīng)當(dāng)在電信和互聯(lián)網(wǎng)的設(shè)計、建設(shè)和運(yùn)行中預(yù)設(shè)技術(shù)接口，將密碼方案報密碼主管部門審查；在中華人民共和國境內(nèi)提供電信業(yè)務(wù)、互聯(lián)網(wǎng)服務(wù)的，應(yīng)當(dāng)將相關(guān)設(shè)備、境內(nèi)用戶數(shù)據(jù)留存在中華人民共和國境內(nèi)。

●二是商務(wù)部發(fā)布的《外國投資法》草案規(guī)定了“國家安全審查”制度，對任何危害或可能危害國家安全的外國投資進(jìn)行審查。

●三是對于電信設(shè)施的物理安全保護(hù)，將在《電信法》及電信設(shè)施保護(hù)的專門立法中進(jìn)行規(guī)定。

隨著互聯(lián)網(wǎng)的發(fā)展及向各行業(yè)的融合滲透，網(wǎng)絡(luò)空間已經(jīng)成為各國政治、經(jīng)濟(jì)、社會、文化、國防、軍事發(fā)展的重要基礎(chǔ)領(lǐng)域，各國對網(wǎng)絡(luò)空間的治理意愿、治理能力和治理水平都在逐步加強(qiáng)。互聯(lián)網(wǎng)具有跨國界性的特點，網(wǎng)絡(luò)空間的國際規(guī)則也正在制定之中，各國試圖在網(wǎng)絡(luò)空間國際規(guī)則制定中施加影響并爭奪主導(dǎo)權(quán)，而國內(nèi)立法是影響國際規(guī)則、在國際規(guī)則的制定中體現(xiàn)本國國家意志的前提條件。這些立法體現(xiàn)了我國網(wǎng)絡(luò)安全立法的頂層設(shè)計思路，從網(wǎng)絡(luò)空間主權(quán)、國家安全審查到關(guān)鍵信息基礎(chǔ)設(shè)施的設(shè)備安全、物理安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全、內(nèi)容安全，再到網(wǎng)絡(luò)運(yùn)營者維護(hù)網(wǎng)絡(luò)安全的責(zé)任等，一個較為完善的網(wǎng)絡(luò)安全法律體系正在形成。

3　立法明確維護(hù)網(wǎng)絡(luò)空間主權(quán)

維護(hù)網(wǎng)絡(luò)空間主權(quán)是我國的一貫主張。《國家安全法》要求“維護(hù)國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益”。《網(wǎng)絡(luò)安全法》（草案）立法目的也明確指出要“維護(hù)網(wǎng)絡(luò)空間主權(quán)”。關(guān)于網(wǎng)絡(luò)主權(quán)，早在2010年國務(wù)院新聞辦公室發(fā)布的《中國互聯(lián)網(wǎng)狀況》白皮書中就明確指出，“中國政府認(rèn)為，互聯(lián)網(wǎng)是國家重要基礎(chǔ)設(shè)施，中華人民共和國境內(nèi)的互聯(lián)網(wǎng)屬于中國主權(quán)管轄范圍，中國的互聯(lián)網(wǎng)主權(quán)應(yīng)受到尊重和維護(hù)”。2014年7月16日，國家主席習(xí)近平在巴西國會發(fā)表《弘揚(yáng)傳統(tǒng)友好共譜合作新篇》的演講，指出雖然互聯(lián)網(wǎng)具有高度全球化的特征，但每一個國家在信息領(lǐng)域的主權(quán)權(quán)益都不應(yīng)受到侵犯，互聯(lián)網(wǎng)技術(shù)再發(fā)展也不能侵犯他國的信息主權(quán)。

但目前為止我國相關(guān)法律文件中并沒有對“網(wǎng)絡(luò)空間主權(quán)”進(jìn)行具體的闡釋。

從國際層面看，2013年，北約發(fā)布的關(guān)于國際法對網(wǎng)絡(luò)戰(zhàn)適用性問題的《塔林手冊》對網(wǎng)絡(luò)主權(quán)進(jìn)行了闡釋，“一個國家可以對其主權(quán)領(lǐng)土范圍內(nèi)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)活動行使控制”，“一個國家使用在一個任何位置的、享有主權(quán)豁免的平臺上的網(wǎng)絡(luò)基礎(chǔ)設(shè)施所進(jìn)行的任何干涉構(gòu)成了對主權(quán)的侵犯”。綜合以上，網(wǎng)絡(luò)空間主權(quán)應(yīng)該包括對本國領(lǐng)土范圍內(nèi)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)服務(wù)平臺、網(wǎng)絡(luò)信息和數(shù)據(jù)的管轄權(quán)；網(wǎng)絡(luò)管理政策制定的自主權(quán)；參與網(wǎng)絡(luò)空間國際規(guī)則制定的獨(dú)立權(quán)等。但是由于互聯(lián)網(wǎng)全球架構(gòu)的特殊性，在一定程度上會影響我國網(wǎng)絡(luò)主權(quán)的實現(xiàn)。同時，隨著互聯(lián)網(wǎng)與實體經(jīng)濟(jì)融合趨勢的發(fā)展，網(wǎng)絡(luò)空間主權(quán)的內(nèi)涵和范圍也應(yīng)隨之變化。

4　建立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度

“棱鏡門”事件曝光后，承載重要信息的關(guān)鍵基礎(chǔ)設(shè)施的安全問題受到前所未有的關(guān)注。美國、歐盟、印度、俄羅斯等國家都相繼制定了國家層面的戰(zhàn)略或出臺了相關(guān)的法律法規(guī)，以提升本國關(guān)鍵基礎(chǔ)設(shè)施安全保障的水平。

我國《國家安全法》也首次在法律層面提出了“關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)”的概念，《網(wǎng)絡(luò)安全法》（草案）專門規(guī)定了“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全”。在關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的界定中，關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法（草案）》的說明中明確指出：關(guān)鍵信息基礎(chǔ)設(shè)施的范圍包括基礎(chǔ)信息網(wǎng)絡(luò)、重要行業(yè)和領(lǐng)域的重要信息系統(tǒng)、軍事網(wǎng)絡(luò)、重要政務(wù)網(wǎng)絡(luò)、用戶數(shù)量眾多的商業(yè)網(wǎng)絡(luò)等。其中，最為引人注意的是商業(yè)網(wǎng)絡(luò)是否屬于“關(guān)鍵信息基礎(chǔ)設(shè)施”的范圍。誠然，“用戶數(shù)量眾多的商業(yè)網(wǎng)絡(luò)”無論在商業(yè)上，還是管理、安全的意義上都具有較大的影響力，但是，是否“商業(yè)網(wǎng)絡(luò)”應(yīng)納入“關(guān)鍵信息基礎(chǔ)設(shè)施”的范疇，還是要看“關(guān)鍵信息基礎(chǔ)設(shè)施”制度的制定初衷和制度目標(biāo)。從國外的界定看，關(guān)鍵基礎(chǔ)設(shè)施對國家安全、經(jīng)濟(jì)社會發(fā)展十分重要，一旦遭到破壞，后果十分嚴(yán)重，也就是說，關(guān)鍵信息基礎(chǔ)設(shè)施所在的行業(yè)具有全局性、戰(zhàn)略性和基礎(chǔ)性，對國家安全具有特殊意義，需要劃定范圍，給予特殊保護(hù)。如果關(guān)鍵信息基礎(chǔ)設(shè)施涵蓋“商業(yè)網(wǎng)絡(luò)”，范圍過寬，則可能使其“關(guān)鍵性”大打折扣，有待于草案進(jìn)一步修改完善。

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)關(guān)注于網(wǎng)絡(luò)運(yùn)行安全，而對于設(shè)施的物理安全，是近年來地方出臺的電信設(shè)施建設(shè)和保護(hù)規(guī)定中的重點內(nèi)容，也將通過《電信法》等相關(guān)立法進(jìn)行規(guī)定，以期對關(guān)鍵信息基礎(chǔ)設(shè)施實現(xiàn)全方位的保護(hù)。

5　新技術(shù)新業(yè)務(wù)安全問題與跨境數(shù)據(jù)流動

移動互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)新業(yè)務(wù)的發(fā)展，對網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息保護(hù)等制度帶來新的影響。例如，互聯(lián)網(wǎng)經(jīng)濟(jì)的發(fā)展、信息和知識的分享傳播等，依賴于全球信息的自由流動，但是為應(yīng)對云計算等新技術(shù)發(fā)展對數(shù)據(jù)安全帶來的新挑戰(zhàn)，很多國家也在采取不同措施對數(shù)據(jù)跨境流動進(jìn)行限制；保護(hù)個人的隱私安全是基本的公民權(quán)利，但是互聯(lián)網(wǎng)的業(yè)務(wù)應(yīng)用、大數(shù)據(jù)的發(fā)展都依賴于對個人數(shù)據(jù)等信息的挖掘與使用，也對傳統(tǒng)制度形成挑戰(zhàn)。

對此，全國人大在關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法（草案）》的說明中專門指出，“隨著云計算、大數(shù)據(jù)等技術(shù)的發(fā)展和應(yīng)用，網(wǎng)絡(luò)數(shù)據(jù)安全對維護(hù)國家安全、經(jīng)濟(jì)安全，保護(hù)公民合法權(quán)益，促進(jìn)數(shù)據(jù)利用至為重要。為此，草案作了以下規(guī)定：

●一是要求網(wǎng)絡(luò)運(yùn)營者采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施，防止網(wǎng)絡(luò)數(shù)據(jù)被竊取或者篡改（草案第十七條）。

●二是加強(qiáng)對公民個人信息的保護(hù)，防止公民個人信息數(shù)據(jù)被非法獲取、泄露或者非法使用（草案第三十四條至第三十九條）。

●三是要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在境內(nèi)存儲公民個人信息等重要數(shù)據(jù)；確需在境外存儲或者向境外提供的，應(yīng)當(dāng)按照規(guī)定進(jìn)行安全評估（草案第三十一條）。

可見，《網(wǎng)絡(luò)安全法》重點從數(shù)據(jù)安全的角度，制定了應(yīng)對云計算、大數(shù)據(jù)發(fā)展帶來挑戰(zhàn)的法律制度。但是，這些新技術(shù)新業(yè)務(wù)除了帶來數(shù)據(jù)安全問題，由于云服務(wù)的技術(shù)特點和商業(yè)模式也帶來一些新的安全問題，如由于虛擬化的引入帶來的安全風(fēng)險、云平臺應(yīng)用程序安全等。而從主體的角度看，云服務(wù)商在網(wǎng)絡(luò)安全和數(shù)據(jù)安全中的責(zé)任也與傳統(tǒng)的互聯(lián)網(wǎng)數(shù)據(jù)中心、互聯(lián)網(wǎng)接入業(yè)務(wù)、互聯(lián)網(wǎng)信息服務(wù)商等有一定的區(qū)別，在法律責(zé)任上也應(yīng)有所不同。在數(shù)據(jù)安全與數(shù)據(jù)利用的平衡方面，目前草案更多關(guān)注于數(shù)據(jù)的保護(hù)。為更好平衡大數(shù)據(jù)環(huán)境下的數(shù)據(jù)開放與數(shù)據(jù)利用的關(guān)系，草案可以更多考慮為數(shù)據(jù)利用掃清法律障礙，增加關(guān)于數(shù)據(jù)匿名化的規(guī)定，對于進(jìn)行了數(shù)據(jù)匿名化或者脫敏處理的數(shù)據(jù)，并滿足一定條件的情況下，允許企業(yè)對數(shù)據(jù)進(jìn)行合理的使用等。

對于跨境數(shù)據(jù)留存和設(shè)施本地化問題，《反恐怖主義法》（草案）不僅規(guī)定了境內(nèi)用戶數(shù)據(jù)的境內(nèi)留存，要求在境內(nèi)提供電信業(yè)務(wù)、互聯(lián)網(wǎng)服務(wù)的，應(yīng)當(dāng)將相關(guān)設(shè)備設(shè)置在境內(nèi)。目前，美國擁有在互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等新興領(lǐng)域的絕對優(yōu)勢，其跨國公司在全球擴(kuò)張過程中，在一些國家遭遇數(shù)據(jù)留存和設(shè)施本地化的限制，為此，美國極力主張數(shù)據(jù)自由流動，反對他國提出的設(shè)施本地化要求，并在WTO電子商務(wù)工作組提出該方面建議，也在各國際多雙邊談判中推銷此類主張。在剛剛公布全文的《跨太平洋伙伴關(guān)系協(xié)定》（TPP）的“電子商務(wù)”章節(jié)規(guī)定，不得將設(shè)立數(shù)據(jù)中心作為締約方企業(yè)進(jìn)入本國市場的前提條件（第14.13條），不能要求其轉(zhuǎn)讓或提交軟件源代碼（第14.17條），也不允許締約方以歧視性措施或直接阻止的方式支持本國類似產(chǎn)品的生產(chǎn)或供應(yīng)商（第14.4條）。在數(shù)據(jù)跨境流動方面，將在保障個人信息等合法公共政策目標(biāo)的前提下，確保全球信息和數(shù)據(jù)自由流動（第14.11條）。可見，數(shù)據(jù)的跨境自由流動和本地存儲已經(jīng)成為國際規(guī)則制定中新的博弈點。

我國網(wǎng)絡(luò)安全立法體現(xiàn)了國家對互聯(lián)網(wǎng)的管理意志，其頂層設(shè)計和重點制度安排將對我國建立有序的網(wǎng)絡(luò)空間秩序，進(jìn)而參與網(wǎng)絡(luò)空間國際規(guī)則的制定，“提高我國在全球經(jīng)濟(jì)治理中的制度性話語權(quán)”奠定基礎(chǔ)。

［1］崔文波.《塔林手冊》對我國網(wǎng)絡(luò)安全利益的影響［J］.江南社會學(xué)院學(xué)報，2013，03：22-26.

［2］劉楊鉞，楊一心.網(wǎng)絡(luò)空間“再主權(quán)化”與國際網(wǎng)絡(luò)治理的未來［J］.國際論壇，2013（6）：1-7+77.

［3］曹磊.網(wǎng)絡(luò)空間的數(shù)據(jù)權(quán)研究［J］.國際觀察，2013（1）：53-58.［4］國務(wù)院新聞辦公室.《中國互聯(lián)網(wǎng)狀況》白皮書，2010.

Top-level Design and Institution Arrangement of Cyber Security Legislation

Li Haiying

China’s cyber security legislative process is speeding up.The National security act，draft cyber security law and other related legislations constitute an entire Chinese cyber security legislative framework.The focus of cyber security legislation may include but not limited to cyber sovereignty，critical information infrastructure protection and cross-border data flow s.

cyber security；cyber sovereignty；critical information infrastructure；cross-border data flows

2015-12-10）