我國網絡安全立法的頂層設計與制度安排

李海英　中國信息通信研究院互聯網法律研究中心高級工程師

專家視點

我國網絡安全立法的頂層設計與制度安排

李海英中國信息通信研究院互聯網法律研究中心高級工程師

我國網絡安全立法進程加快，以《國家安全法》、《網絡安全法》（草案）為代表的一系列立法構成我國網絡安全立法的頂層設計，而網絡空間主權、關鍵信息基礎設施保護、數據跨境流動等制度成為網絡安全立法的重點制度安排。

網絡安全；網絡空間主權；關鍵信息基礎設施；數據跨境流動

1　引言

十八屆四中全會提出依法治國的總要求，重點提出“加強互聯網領域立法，完善網絡信息服務、網絡安全保護、網絡社會管理等方面的法律法規，依法規范網絡行為。”我國網絡法治建設進程進一步加速。網絡安全立法是互聯網領域立法的重要組成部分，目前，我國多部相關立法正在推進，其重點制度涉及網絡空間主權、關鍵信息基礎設施保護、數據安全等領域。

2　我國網絡安全立法的頂層設計

2015年7月1日，新的《國家安全法》發布施行，將網絡與信息安全作為“維護國家安全的任務”之一。第二章第二十五條專門對網絡與信息安全進行了規定：“國家建設網絡與信息安全保障體系，提升網絡與信息安全保護能力，加強網絡和信息技術的創新研究和開發應用，實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控；加強網絡管理，防范、制止和依法懲治網絡攻擊、網絡入侵、網絡竊密、散布違法有害信息等網絡違法犯罪行為，維護國家網絡空間主權、安全和發展利益。”2014年4月，習近平在中央國家安全委員會第一次會議上的講話中提出將“信息安全”作為國家安全體系的組成部分，《國家安全法》進一步明確“網絡與信息安全”是國家總體安全觀的重要組成部分，它涵蓋了網絡和信息核心產品和技術的安全、關鍵基礎設施和重要領域信息系統的運行安全、數據的安全以及內容安全，是全產業鏈的概念。而“維護國家網絡空間主權、安全和發展利益”，是要達到的目標。

2015年7月6日，《網絡安全法》（草案）在中國人大網上全文公布，并向社會公開征求意見。《網絡安全法》（草案）在《國家安全法》規定的基礎上，對保障網絡安全、維護網絡空間主權和國家安全進行了系統的規定，是我國互聯網領域的重大立法之一，體現著國家對建立健全網絡空間秩序的基本意志。

2015年11月1日，《刑法》第九修正案正式實施，對刑法中涉互聯網安全的內容做了補充和完善。其中包括加強對公民個人信息的保護，加強網絡服務提供者履行網絡安全管理的責任，規定設立用于實施詐騙、傳授犯罪方法等違法犯罪活動的網站、通訊群組，可以作為犯罪追究，為網絡犯罪提供技術支持也被獨立定罪等。

除此之外，還有幾部法律草案對網絡安全保護有重大影響，是我國網絡安全立法體系的重要組成。

●一是《反恐怖主義法》（草案），草案第十五條要求網絡與信息系統運營者應當綜合采取技術和管理措施，保護網絡和信息系統運行安全；電信業務經營者、互聯網服務提供者應當在電信和互聯網的設計、建設和運行中預設技術接口，將密碼方案報密碼主管部門審查；在中華人民共和國境內提供電信業務、互聯網服務的，應當將相關設備、境內用戶數據留存在中華人民共和國境內。

●二是商務部發布的《外國投資法》草案規定了“國家安全審查”制度，對任何危害或可能危害國家安全的外國投資進行審查。

●三是對于電信設施的物理安全保護，將在《電信法》及電信設施保護的專門立法中進行規定。

隨著互聯網的發展及向各行業的融合滲透，網絡空間已經成為各國政治、經濟、社會、文化、國防、軍事發展的重要基礎領域，各國對網絡空間的治理意愿、治理能力和治理水平都在逐步加強。互聯網具有跨國界性的特點，網絡空間的國際規則也正在制定之中，各國試圖在網絡空間國際規則制定中施加影響并爭奪主導權，而國內立法是影響國際規則、在國際規則的制定中體現本國國家意志的前提條件。這些立法體現了我國網絡安全立法的頂層設計思路，從網絡空間主權、國家安全審查到關鍵信息基礎設施的設備安全、物理安全、網絡安全和數據安全、內容安全，再到網絡運營者維護網絡安全的責任等，一個較為完善的網絡安全法律體系正在形成。

3　立法明確維護網絡空間主權

維護網絡空間主權是我國的一貫主張。《國家安全法》要求“維護國家網絡空間主權、安全和發展利益”。《網絡安全法》（草案）立法目的也明確指出要“維護網絡空間主權”。關于網絡主權，早在2010年國務院新聞辦公室發布的《中國互聯網狀況》白皮書中就明確指出，“中國政府認為，互聯網是國家重要基礎設施，中華人民共和國境內的互聯網屬于中國主權管轄范圍，中國的互聯網主權應受到尊重和維護”。2014年7月16日，國家主席習近平在巴西國會發表《弘揚傳統友好共譜合作新篇》的演講，指出雖然互聯網具有高度全球化的特征，但每一個國家在信息領域的主權權益都不應受到侵犯，互聯網技術再發展也不能侵犯他國的信息主權。

但目前為止我國相關法律文件中并沒有對“網絡空間主權”進行具體的闡釋。

從國際層面看，2013年，北約發布的關于國際法對網絡戰適用性問題的《塔林手冊》對網絡主權進行了闡釋，“一個國家可以對其主權領土范圍內的網絡基礎設施和網絡活動行使控制”，“一個國家使用在一個任何位置的、享有主權豁免的平臺上的網絡基礎設施所進行的任何干涉構成了對主權的侵犯”。綜合以上，網絡空間主權應該包括對本國領土范圍內網絡基礎設施、網絡服務平臺、網絡信息和數據的管轄權；網絡管理政策制定的自主權；參與網絡空間國際規則制定的獨立權等。但是由于互聯網全球架構的特殊性，在一定程度上會影響我國網絡主權的實現。同時，隨著互聯網與實體經濟融合趨勢的發展，網絡空間主權的內涵和范圍也應隨之變化。

4　建立關鍵信息基礎設施保護制度

“棱鏡門”事件曝光后，承載重要信息的關鍵基礎設施的安全問題受到前所未有的關注。美國、歐盟、印度、俄羅斯等國家都相繼制定了國家層面的戰略或出臺了相關的法律法規，以提升本國關鍵基礎設施安全保障的水平。

我國《國家安全法》也首次在法律層面提出了“關鍵基礎設施和重要領域信息系統”的概念，《網絡安全法》（草案）專門規定了“關鍵信息基礎設施的運行安全”。在關鍵信息基礎設施運營者的界定中，關于《中華人民共和國網絡安全法（草案）》的說明中明確指出：關鍵信息基礎設施的范圍包括基礎信息網絡、重要行業和領域的重要信息系統、軍事網絡、重要政務網絡、用戶數量眾多的商業網絡等。其中，最為引人注意的是商業網絡是否屬于“關鍵信息基礎設施”的范圍。誠然，“用戶數量眾多的商業網絡”無論在商業上，還是管理、安全的意義上都具有較大的影響力，但是，是否“商業網絡”應納入“關鍵信息基礎設施”的范疇，還是要看“關鍵信息基礎設施”制度的制定初衷和制度目標。從國外的界定看，關鍵基礎設施對國家安全、經濟社會發展十分重要，一旦遭到破壞，后果十分嚴重，也就是說，關鍵信息基礎設施所在的行業具有全局性、戰略性和基礎性，對國家安全具有特殊意義，需要劃定范圍，給予特殊保護。如果關鍵信息基礎設施涵蓋“商業網絡”，范圍過寬，則可能使其“關鍵性”大打折扣，有待于草案進一步修改完善。

關鍵信息基礎設施保護關注于網絡運行安全，而對于設施的物理安全，是近年來地方出臺的電信設施建設和保護規定中的重點內容，也將通過《電信法》等相關立法進行規定，以期對關鍵信息基礎設施實現全方位的保護。

5　新技術新業務安全問題與跨境數據流動

移動互聯網、云計算、物聯網、大數據等新技術新業務的發展，對網絡安全、數據安全、個人信息保護等制度帶來新的影響。例如，互聯網經濟的發展、信息和知識的分享傳播等，依賴于全球信息的自由流動，但是為應對云計算等新技術發展對數據安全帶來的新挑戰，很多國家也在采取不同措施對數據跨境流動進行限制；保護個人的隱私安全是基本的公民權利，但是互聯網的業務應用、大數據的發展都依賴于對個人數據等信息的挖掘與使用，也對傳統制度形成挑戰。

對此，全國人大在關于《中華人民共和國網絡安全法（草案）》的說明中專門指出，“隨著云計算、大數據等技術的發展和應用，網絡數據安全對維護國家安全、經濟安全，保護公民合法權益，促進數據利用至為重要。為此，草案作了以下規定：

●一是要求網絡運營者采取數據分類、重要數據備份和加密等措施，防止網絡數據被竊取或者篡改（草案第十七條）。

●二是加強對公民個人信息的保護，防止公民個人信息數據被非法獲取、泄露或者非法使用（草案第三十四條至第三十九條）。

●三是要求關鍵信息基礎設施的運營者在境內存儲公民個人信息等重要數據；確需在境外存儲或者向境外提供的，應當按照規定進行安全評估（草案第三十一條）。

可見，《網絡安全法》重點從數據安全的角度，制定了應對云計算、大數據發展帶來挑戰的法律制度。但是，這些新技術新業務除了帶來數據安全問題，由于云服務的技術特點和商業模式也帶來一些新的安全問題，如由于虛擬化的引入帶來的安全風險、云平臺應用程序安全等。而從主體的角度看，云服務商在網絡安全和數據安全中的責任也與傳統的互聯網數據中心、互聯網接入業務、互聯網信息服務商等有一定的區別，在法律責任上也應有所不同。在數據安全與數據利用的平衡方面，目前草案更多關注于數據的保護。為更好平衡大數據環境下的數據開放與數據利用的關系，草案可以更多考慮為數據利用掃清法律障礙，增加關于數據匿名化的規定，對于進行了數據匿名化或者脫敏處理的數據，并滿足一定條件的情況下，允許企業對數據進行合理的使用等。

對于跨境數據留存和設施本地化問題，《反恐怖主義法》（草案）不僅規定了境內用戶數據的境內留存，要求在境內提供電信業務、互聯網服務的，應當將相關設備設置在境內。目前，美國擁有在互聯網、云計算、大數據等新興領域的絕對優勢，其跨國公司在全球擴張過程中，在一些國家遭遇數據留存和設施本地化的限制，為此，美國極力主張數據自由流動，反對他國提出的設施本地化要求，并在WTO電子商務工作組提出該方面建議，也在各國際多雙邊談判中推銷此類主張。在剛剛公布全文的《跨太平洋伙伴關系協定》（TPP）的“電子商務”章節規定，不得將設立數據中心作為締約方企業進入本國市場的前提條件（第14.13條），不能要求其轉讓或提交軟件源代碼（第14.17條），也不允許締約方以歧視性措施或直接阻止的方式支持本國類似產品的生產或供應商（第14.4條）。在數據跨境流動方面，將在保障個人信息等合法公共政策目標的前提下，確保全球信息和數據自由流動（第14.11條）。可見，數據的跨境自由流動和本地存儲已經成為國際規則制定中新的博弈點。

我國網絡安全立法體現了國家對互聯網的管理意志，其頂層設計和重點制度安排將對我國建立有序的網絡空間秩序，進而參與網絡空間國際規則的制定，“提高我國在全球經濟治理中的制度性話語權”奠定基礎。

［1］崔文波.《塔林手冊》對我國網絡安全利益的影響［J］.江南社會學院學報，2013，03：22-26.

［2］劉楊鉞，楊一心.網絡空間“再主權化”與國際網絡治理的未來［J］.國際論壇，2013（6）：1-7+77.

［3］曹磊.網絡空間的數據權研究［J］.國際觀察，2013（1）：53-58.［4］國務院新聞辦公室.《中國互聯網狀況》白皮書，2010.

Top-level Design and Institution Arrangement of Cyber Security Legislation

Li Haiying

China’s cyber security legislative process is speeding up.The National security act，draft cyber security law and other related legislations constitute an entire Chinese cyber security legislative framework.The focus of cyber security legislation may include but not limited to cyber sovereignty，critical information infrastructure protection and cross-border data flow s.

cyber security；cyber sovereignty；critical information infrastructure；cross-border data flows

2015-12-10）