网络安全法的立法定位、立法框架和制度设计

本篇文章3364字，读完约8分钟

如何应对网络安全威胁已成为全球性问题，国际网络安全的法律环境正在发生变化。美国和欧洲等网络强国已经建立了全面、更加立体、更加灵活和前瞻性的网络安全立法体系。网络安全立法已经演变为全球利益协调和国家主权的斗争，有法可依已经成为谈判和对抗的必要条件。2015年，《中华人民共和国国家安全法》和《中华人民共和国反恐怖主义法》相继通过；2015年7月，作为网络安全基本法的《中华人民共和国网络安全法(草案)》首次公开征求公众意见；2016年11月7日，全国人大常委会投票通过了《网络安全法》。立法的快速推进源于客观现实和国内外中国网络安全形势的迫切需要，标志着中国网络空之间的法制化进程的实质性发展。

一、立法定位:网络安全管理的基本保障法

科学的立法定位是构建立法框架和设计立法体系的前提。立法定位对法律结构的确定具有导向作用，并为具体的法律制度设计提供法理基础。

首先，这条法律是网络安全管理的法律。《网络安全法》与《国家安全法》、《反恐怖法》、《刑法》、《保密法》、《治安管理处罚法》、《关于加强网络信息保护的决定》、《关于维护互联网安全的决定》、《计算机信息系统安全保护条例》、《互联网信息服务管理办法》等法律法规共同构成了中国网络安全管理的法律体系。因此，有必要在网络安全法与不同法律之间建立良好的联系，尽量减少网络安全管理以外领域的立法重叠和重复。

第二，法律是基本法。基本法的作用不在于解决问题，而在于为解决问题提供具体的指导思想。问题的解决取决于配套的法律法规。这种定位决定了法律表达必然会有原则。相关主体只能判断网络安全管理对相关问题的解决方案，具体解决方案需要进一步观察。

第三，法律就是证券法。面对网络空之间安全的综合复杂性，特别是国家重点信息基础设施面临传统安全和非传统安全日益严重的极端威胁，网络空之间不可逆转的安全风险特征进一步凸显。在开放、互动和跨境的网络环境中，实时能力和态势感知已经成为新网络安全的核心内容。

第二，立法框架:防卫、控制和惩罚三位一体

在上述背景下，传统的预防风险的刑罚立法理念面临挑战。为了实现基本法的保障功能，网络安全法应建立防卫、控制和惩罚三位一体的立法框架，用防卫和控制法律规范取代传统的单纯惩罚的刑事法律规范，明确网络安全事件预警与监控、应急响应和控制恢复等各主体的过程控制要求。，防御、控制和合理分配安全风险，惩罚网络间的非法犯罪和恐怖活动空。[2]

该法明确了国家、企业、行业组织和个人在网络安全保护方面的责任，专门设立了一章，规定了国家网络安全监测预警、信息通报和应急响应系统，并明确规定国家应采取措施，监测、防范和应对来自中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施不受攻击、入侵、干扰和破坏，依法惩处网络违法犯罪活动。为了维护网络的安全和秩序，我们已经开始摆脱传统的先预防后惩罚的立法理念，建立起一个具有防御、控制和惩罚功能的立法框架。

第三，系统设计:网络安全的关键控制节点

美国大法官霍姆斯说，法律的生命不在于逻辑，而在于经验。无论是从霍姆斯时代开始，还是从网络社会领域进行探索，在问题导向立法的原则下，经验对网络安全法的影响都比逻辑更根本、更精髓、更具驱动力。全国人大颁布的《中华人民共和国网络安全法(草案)》说明，该法作为一个体系，近年来已经形成了一些成熟的良好做法。

《网络安全法》涉及的安全类型有网络运行安全和网络信息安全。从系统安全、产品和服务安全、数据安全和网络安全监控与评估等方面建立了网络运行安全体系。网络信息安全规定了个人信息保护制度和违法有害信息的发现和处置制度。法律制度设计基本上可以涵盖网络安全中的关键控制节点，系统相对完整。除了网络安全等级保护、个人信息保护、非法有害信息处置等成熟的制度规定之外，产品和服务的强制检查和认证制度、关键信息基础设施的保护制度和国家安全审查制度都颇具前瞻性，成为法律的亮点。从制度的具体内容来看，一些规范性内容更加细化，打破了传统原则性思维的束缚，具有较强的可操作性。

《网络安全法》规定了网络安全等级保护、关键信息基础设施安全保护、网络安全监测预警和信息通报、用户信息保护、网络信息安全投诉和报告等。以及网络关键设备和网络安全专项产品认证、关键信息基础设施运营商网络产品和服务采购的安全审查、关键信息基础设施运营商信息/数据的国内存储、关键信息基础设施运营商信息/数据提供的海外安全评估、关键信息基础设施运营商年度风险检测和评估、网络可信身份管理、网络或服务建设和运营的网络安全保障、网络安全事件应急计划/处置。 漏洞等网络安全信息发布、网络信息内容管理、网络安全人员背景审查和就业禁令、网络安全教育和培训、数据保留和执法协助等系统。 可以看出，一部符合网络安全战略、注重技术、管理和规范的网络安全基本法已经悄然成型，拥有十余套配套制度的法律体系。

第四，最重要的是:关键信息基础设施的安全保护措施

关键信息基础设施的保护系统是《网络安全法》中几个系统设计的核心之一。近年来，世界主要国家和地区相继出台了国家重点信息基础设施保护战略、立法和具体保护方案。西方国家，主要是美国，把保护关键信息基础设施作为网络安全的核心部分。

《网络安全法》在网络运行安全总则的基础上，专门设立了一节，规定了关键信息基础设施的保护制度，首次从《网络安全基本法》的高度提出了关键信息基础设施的概念，并对关键信息基础设施的保护提出了具体要求。

首先，《网络安全法》明确界定了关键信息基础设施概念的实质，即一旦遭到破坏、丧失功能或数据泄露，可能严重危及国家安全、国计民生和公共利益，并规定关键信息基础设施的具体范围由国务院另行制定。由此可见，作为网络安全领域的基本法，我们应该尽最大努力保证网络安全法的稳定性，而不是制定过于详细的规定。但是，关键信息基础设施的范围将在国家安全和社会运行风险评估的基础上不断调整，即其识别范围将遵循动态调整机制。

第二，关键的信息基础设施安全保护方法是《网络安全法》中保留接口的从属法，也是国务院在该法中唯一明确规定的行政法规。中国关键信息基础设施的法律体系在社会关系和法律调整对象上更加复杂。由于政治和法律传统的差异，中国关键信息基础设施保护体系的建设不能简单地照搬国外的经验。要坚持国内经验总结和国外经验借鉴，建立符合中国国情、可操作性强的关键信息基础设施保护体系，同时科学合理推进网络安全等级保护体系的演进和改革，有效整合关键信息基础设施等级保护评估和风险评估，实现系统间的互补和整合，降低关键信息基础设施运营商的守法成本和行政执法成本。

第三，为了鼓励网络运营商自愿参与国家重点信息基础设施保护体系，促进网络运营商、专业机构和相关政府部门之间的网络安全信息共享，加强对这些信息的保护，《网络安全法》规定，国家鼓励重点信息基础设施以外的网络运营商自愿参与重点信息基础设施保护体系；国家网络信息主管部门和相关部门在重点信息基础设施保护中获取的信息只能用于维护网络安全的需要，不得用于其他目的。这在一定程度上鼓励网络运营商，特别是承担重要社会职能的网络运营商，利用自身的技术能力和资源优势，积极参与重点信息基础设施的保护，促进政府和企业共同保障重点信息基础设施的安全运行。[2]

五.结论

网络安全法对于维护网络主权、规范网络安全实践、指导从属法律的制定和完善具有重要意义和深远影响。为了不断推进中国网络空的法律发展进程，实施顶层设计，一方面迫切需要有效梳理基本法律与现有法律法规的关系，启动部门和地方立法政策的制定、调整和完善；另一方面，迫切需要出台一系列配套法规，不仅包括制定《重点信息基础设施安全保护办法》等配套法律，还包括更为详细的系统法规、特定行业的网络安全规划和网络安全标准体系等。，从而实现与基本规律的有效衔接。(边肖:黄道里Xi交通大学法学院，公安部第三研究所)

参考:

[1]黄道里。中国网络立法的目标、概念和框架。中国信息安全。2014 (10): 32-35。

[2]黄道里。“关键信息基础设施安全保护措施”亟待制定。保密科学与技术。2016 (07)。

免责声明:本网站的一些文章是从互联网上转载的。如果涉及到第三方的合法权利，请通知本网站进行处理。

来源：央视线