我國網絡安全管制的基礎、架構與限定

文/龍衛球

我國網絡安全管制的基礎、架構與限定

文/龍衛球

導言：網絡安全管制的釋義問題

近年來網絡安全管制觀念有了重要發展。隨著全球范圍移動互聯網、云計算、大數據、物聯網等新一代信息技術風起云涌，網絡空間發展提升到一個前所未有的新階段。網絡普及化、商業化、實境化程度遠非以前可比，不僅人們一般的生產生活網絡化，個人財產和隱私與網絡系統緊密相聯，而且國家的重要基礎設施運營越來越依賴于網絡信息系統，國家安全、社會安全和經濟安全也越來越與網絡信息系統相關。此外，網絡的國際關聯性和互動也愈加復雜，導致復雜的網絡空間國際競爭和合作的要求。這些，使得網絡安全事件的破壞性和威脅程度更加嚴重，網絡安全建設的基礎性、保障性更加凸顯。當前，主要網絡大國一反過去對于網絡安全專門立法的猶豫，在構建網絡安全管制體系方面似乎有了默契，紛紛出臺專門的網絡安全法，賦權確立國家網絡安全管制的正當性，強調發揮國家在網絡安全管制中的作用。

我國在2016年11月7日出臺了《網絡安全法》，2017年6月1日起正式施行，堪稱一部全面規范網絡空間安全管理方面問題的基礎性法律。我國《網絡安全法》的出臺，從立法上確立了我國網絡安全管制的依據，然而從法律實施的角度來說，卻依舊存在理論釋疑的必要。因為從世界網絡發展和治理的過程來看，當前的網絡安全法的管制理論本身是從歷史爭議中一路走來的，確立專門網絡安全管制框架特別是賦予國家和政府主導管制之力，畢竟是一種重大觀念和體制突破，這種突破絕對不會是沒有邊界的。因此，我們還需要深入研究相關規范，以求更加深入的理解，這樣才能更加準確地把握好立法賦予的國家管制內涵和界限，便于下一步更好地組織好這部法律的實施。為此，本文擬就我國《網絡安全法》確立的網絡安全管制的基礎、內容框架及其限定性問題進行重點探討，以期提供有益的參考。

網絡安全管制的正當化基礎及其演化

網絡安全管制是網絡管制中最為敏感的問題之一。網絡安全管制區別于網絡其他可管制事項更令人敏感的原因，不在于網絡安全保障本身對于網絡空間而言是否具有根本性，而在于人們對于是否應當基于網絡安全需要而加以特殊管制的正當化基礎的認識上面，存在重大的辨識分歧。

網絡理論家在早期網絡體驗中，持有一種網絡自由且不可管制的信念，認為網絡空間具有一種天生抗拒管制的能力，是不可管制的并且也是不應被管制的，政府對于網絡空間施加管理的必要和能力都極為有限。這種網絡不可管制以及不受管制的思想，很快在網絡現實發展面前逐漸變得不切實際。隨著網絡普及到社會的方方面面，并且不斷升級換代，網絡空間變得復雜起來，不僅產生了網絡復雜的人際關系，還與真實世界互動日益密切。這些，不僅導致關于既有網絡空間本身的觀念發生變化，也使人們認識到網絡普及化之后網絡世界和真實世界之間存在越來越多的交集。特別是在網絡商業化利用出現之后，建立在追求所謂“最小化”的、以技術中立、開放共享為表達的TCP／IP通訊協定基礎上的網絡空間，其發展越來越呈現一種由經濟利益主導、受商業利益控制的傾向。新的網絡系統為迎合商業化的需要，不斷在應用層加入各種控制結構。在這種情況下，人們產生了有關網絡空間的新管制觀念，網絡可管制以及應該受到管制的思想逐漸興起。

人們雖然相信網絡安全重要，但是對于是否需要專門賦予政府一套網絡安全管制權力，卻一直存在疑慮，擔心一旦允許國家以網絡安全為名建立專門的管制，把握不好可能會變成一種國家對于網絡空間的任性管理。這里，產生疑慮的原因，既有管制理論上的困惑，更有現實中對于政府可能借用安全問題而擅用擴權的畏懼。所以，很長時期以來，一種觀點認為，網絡安全的治理不應該有特殊性，從管制基礎和范圍來說，只需將一般法律關于安全的治理規則推及網絡空間即可，這些法律如國家安全法、刑法、侵權法中的有關安全的規則，等等，沒有必要通過專門立法來確立一套所謂的網絡安全專門管制體系。這種觀點反對專門的網絡安全立法，認為這樣只會導致任意增加政府權力而沒有效率，進而添加網絡負擔，甚至妨礙網絡發展。如美國國會和聯邦政府早期雖然試圖發起一些網絡安全管制方面立法，但是多數沒有成功，那些立法議案失利的主要原因，是遭到網絡企業代表等方面對政府管制的警惕和反對。

遺憾的是，網絡安全的惡性事件不斷發生，特別是在2010年之后大量的全球范圍網絡安全事件的發生以及帶來的巨大破壞促使人們反思：僅僅寄希望于網絡企業和民間力量似乎是不夠的，在市場力量和政府力量之間應該有所平衡。此外，2013年斯諾登事件出現之后，人們甚至一些國家政府還意識到，網絡安全治理需要應對的還有國家任意行為問題，網絡安全管制包括對國家行為的管制。在這種背景下，主張通過專門的網絡安全立法，確立國家和政府主導的管制體系以有效應對網絡安全問題的觀點，逐漸占據上風。這些觀點，有的是從網絡活動的價值追求和利益保護的角度，有的是從管制技術效用的角度，有的則是從其他的正當化辨識角度，支持通過立法建立政府主導的網絡安全管制體系。我國《網絡安全法》也在這股浪潮中應運而生，旨在通過確立強大的政府管制手段，應對當下非常復雜、非常重要的網絡安全治理需要。

我國網絡安全管制架構

我國《網絡安全法》的治理基礎，系以一個更加多層次的綜合化的網絡安全概念為面向，重在強化國家對于網絡安全的管制力。其架構原則，體現為由復雜原則組合指導的特點，一定程度上考慮了網絡技術和組織特點而照顧多樣化協同治理的需要，但關注點在于如何指導構建一套體現國家地位的強管制架構。其管制事項，名目繁多，可謂體系廣泛而內容綿密。

（一）《網絡安全法》管制的概念面向

《網絡安全法》以管制“網絡安全”作為對象，可見對“網絡安全”概念的界定處于體系解釋的中心位置。《網絡安全法》第77條對“網絡”和“網絡安全”進行了法律界定，意在避免法律適用的模糊性。該條關于網絡安全的定義方式，是一種技術事實層面的描述，立足網絡安全實施主體的行為和能力的角度。這一定義與我們見到的歐盟指令（NISDirective）的相關界定極為近似，應該說這是一種比較可觀、容易把握的定義。

網絡安全法作為一部法律，其所謂的網絡安全，是要從法律體系出發追求法律意義的，所以應該進一步地限定為與法律利益具有相關性，即與法律利益保護結合起來，是一種涉及法律利益保護目標的網絡安全。也就是說，網絡安全不只是某種絕對單純的技術安全或行為安全，而應該是網絡空間產生的或帶來的與法律利益息息相關的網絡安全，這些法律利益或者存在于網絡空間本身，或者透過網絡介入或者活動而被連接到。

從概念使用內涵上來說，應當注意我國“網絡安全”十分復雜和獨特，存在準確理解的必要。首先，和其他國家一樣，網絡安全概念，需要借助相關的知識和規范加以補充豐富。其次，非常重要的是我國關于網絡安全的概念，比較起其他國家來，具有更加多層次、多角度的內涵特點，因此更加具有廣泛性，這就使得我國關于網絡安全的理解范圍其實更加寬泛和獨特，我國《網絡安全法》的實際管制空間也因此更加寬泛。2016年12月我國首份《國家網絡空間安全戰略》出臺，明確使用了網絡空間存在政治安全、經濟安全、文化安全、社會安全和國際安全的分類描述。其中，非常值得重視的是我國關于網絡主權安全的意識。我國特別強調，要從網絡主權高度來看網絡安全，沒有網絡安全就沒有國家安全，認為隨著全球信息化的深入發展和持續推進，以數字化、網絡化、智能化、互聯化、泛在化為特征的網絡社會逐漸向國際空間化方向發展，為網絡安全帶來了主權空間化意義的新內涵。所以，在我國網絡安全中，很注重一般安全和網絡主權安全（屬于國家安全的重要部分）的區分，網絡空間安全成為我國主權安全觀念的新領域，也是我國國際關系觀念的新領域。

（二）《網絡安全法》管制的架構原則

《網絡安全法》在管制架構上體現出一種由多項原則復雜組合指導的特點，包括統一管理和分工協作結合、戰略管理與具體管理結合、社會共治、國際協同合作、加強未成年人特殊保護等。我國的這些原則組合，與其他國家比較有許多相同點，比如重視戰略管理、協同共治、區分特殊保護等，但是也有不少專屬于自己的體制和觀念特色，尤其是特別注重凸顯國家管理架構。

（三）《網絡安全法》管制的架構事項

《網絡安全法》在管制事項上布局綿密，建立了豐富的管制渠道，授予政府和有關方面廣泛而剛性的權力，構成了以形式龐大的權力集群：（1）在總則第四條確立了國家就網絡安全具有戰略管理權力；（2）專章對促進與支持網絡安全設定了國家和政府相關的一些措施權力；（3）規范網絡一般運行安全，賦予了國家相關的網絡運行安全保障權力；（4）特別強調保障關鍵信息基礎設施運行的網絡安全的要求，賦予國家在此事項保障運行安全的強大權力或職責；（5）引入了多層次的信息安全概念，確立了極有特色的網絡信息安全保障制度；（6）立足強化政府管制作用，確立了我國網絡安全管制中的兩大特殊權力：監測預警權與應急處置權，賦予國家和政府在網絡應急事項上的事先管理、事中管理的較大行動力。

我國網絡安全管制實施的限定因素

《網絡安全法》推崇國家管制功能，建立了一個強大的國家監管體系，通過具體制度設計賦予了國家廣泛的事項管制力，要求較高且普遍剛性。然而，對于這樣一部強監管法律，從合理而有效實施的角度而言，必須特別注意其實施中的邊界問題，特別是國家管制權力的界限問題。

（一）網絡管制規范的目的和體系限定

任何法律從其適用基本原理出發，都需要通過目的和體系解釋加以適用，管制規范就其特性來說更需要如此。《網絡安全法》確立的管制規范，從法律體系上說，應當受到《網絡安全法》之外的廣義法律目的和體系的限定，也應當受到《網絡安全法》本身目的和體系的限定。對于《網絡安全法》之外的限定，比如憲法作為其上位法的優位性，其與刑法、民法、訴訟法等基本法律的關系，與一般行政法和其他像《國家安全法》等具體行政法的關系，等等，非常復雜，限于篇幅，在此不展開解釋。這里只簡單闡述《網絡安全法》本身的目的和體系限定要求。

1．《網絡安全法》的目的限定

《網絡安全法》顧名思義，從規范目的和立法定位角度來說，是一部專門明確以網絡安全為規范對象的特別法，旨在通過確立網絡安全管制以達成網絡安全。所以，它從目的上說，直接服務于保障網絡安全，該法中的那些規范特別是管制規范，應當限于這個目的事項本身而加以適用。《網絡安全法》管制規范的實施，無論是其機構管制權力或職責，還是關于運營者的法定義務規定，還是包括用戶在內的其他主體的對應義務或特殊保障權利，首先應該合乎處于法律體系最高位置的目的，目的構成一部法律的基本限定。此外，具體規范之間發生沖突時也存在適用中基于目的的利益衡量問題。

《網絡安全法》的目的限定性，提醒我們應當嚴格把握該法的適用范圍，即應該嚴格限于網絡安全事項本身。不能離開目的限定，轉而簡單從規范內容或效果出發，對網絡安全規制的對象加以曲解，否則很容易導致過寬理解網絡安全規制范圍。但要注意，《網絡安全法》雖然也能夠間接實現有利于有關法律利益保護的效果，但是它不是直接追求保護這些法律利益本身的，否則會導致網絡安全法適用的泛化理解。

2．《網絡安全法》的體系限定

《網絡安全法》采取了總則加具體章節的結構，除了第一條和第二條（目的條款和調整對象條款）之外，第三條以下均為原則表述或概括性規定。原則在制定法的體系之中，是用來概括或構筑法律基本價值的，其本身不能直接援引作為管制授權基礎，但是應當作為具體規范包括管制規范的體系限定基礎，即原則構成法律體系中的內在價值體系，對于法律外在體系具有限制功能。

（二）網絡管制規范的行政限制

網絡管制規范本身主要是一套行政法規范，其確立的管制權力許多是剛性的行政權力，根據其本性應該受到現代行政原理上的特別限制，其行使在正當化要求上應該更加嚴格化，必須遵循“法律保留”“行政比例”等原則。

（三）網絡安全管制的技術限制

網絡技術架構和組織架構的限制，是一種非常重要又非常復雜的限定，但是最容易被忽略。美國著名網絡法權威雷席格曾經深刻揭示了網絡空間以代碼為技術基礎架構的特點，提出代碼實際上就是網絡空間之中的基本規范，其控制著網絡的真實結構和具體發展方向，自從網絡走向廣泛應用特別是走向商業化以來，網絡最初最小化設計架構通過在應用層的不斷鍥入，成為一種為各種特殊應用目的控制的架構。正是因為如此，我們看到許多網絡政治家和產業代表根本不信任通過簡單推行政府管制就可以產生管制作用，從網絡是一種特殊架構的角度出發，他們更加相信只有那些寫出或者采用鍥入代碼的網絡機構本身心甘情愿配合網絡安全才能真正達成網絡安全保障的效果，所以設計有效的網絡安全治理體系不能忽視網絡技術架構的存在，否則規則不僅無益而且還會導致不必要的負擔。比如，美國政府克林頓時期曾經就解密晶片使用加密技術同時應當為政府預留后門問題，最早打算通過直接管制的方式達成，但是在遇到產業界和理論界廣泛質疑之后，明智地轉向更加間接也更具有優勢的市場策略方案。可見，從網絡的技術組織架構特點和管制執行的效率角度來看，網絡管制很多情況下并不適宜直接化，而是需要更多與控制網絡技術架構的機構合作。

結論

我國剛剛出臺的《網絡安全法》肩負美好愿望，旨在有效應對當今復雜多變的網絡安全問題，進而匡扶網絡空間。但是，這部法律得到有效實施的前提，在于我們能否很好地理解其確立的內在基礎所在以及有關網絡安全管制架構的內涵和界限。我們在實踐中應當持有一種格外審慎的態度，著重把握網絡安全管制的正當化基礎和運行界限，特別是要注意結合目的體系、行政權本質以及技術架構等因素，對相關管制規范的實施做出必要的限定解釋。筆者期待，上述研究對于我國《網絡安全法》接下來的實施能具有一定的指導價值。

【作者系北京航空航天大學法學院教授；摘自《暨南學報》（哲學社會科學版）2017年第5期；原題為《我國網絡安全管制的基礎、架構與限定問題——兼論我國〈網絡安全法〉的正當化基礎和適用界限》】