《网络安全法》正是在总体国家安全观下,总结并综合了我国二十余年来互联网发展中网络安全的有效和措施,对网络和信息安全事项作出了全方位规范
魏永征(1941-):本名魏庸徵。原上海社会科学院新闻研究所研究员、教授,1987-1998年任《新闻记者》社法人代表、主编,2001-2010年任树仁大学专任教授,2003年起任中国传媒大学传媒法和政策专业博士生导师、媒介法和政策研究中心总顾问,2010年起任汕头大学长江新闻与学院教授、教授。主要著作有:《被告席上的记者——新闻侵权论》(1994)、《新闻法教程》(2002、2006、2009、2013四版)、《大众》(2006)等。
【财新网】(专栏作家 魏永征)《网络安全法》于2016年11月经全国常委会通过并于2017年6月起实施,被称为我国网络领域的一部基础性法律,也是我国传媒法领域的第一部法律。而它同时又是国家安全的一部重要法律,被认为是2015年7月全国常委会通过的《国家安全法》的一部主要配套法律。虽然这两部法律位阶相同,但存在着源流种属和配合依存关系,它们都是习同志总体国家安全观的具体体现和实施。
我国曾于1993年制定《国家安全法》。传统对国家安全的理解,主要指国家主权、领土完整和人民的国家不受和。在当时国际国内形势下,此法主要任务是防范和打击境外和境内外敌对,国家,;从事间谍活动;窃取、刺探、、非法提供国家秘密等危害国家安全的活动,其客体是社会主义国家,实施机构是国家安全机关和机关,并就国家安全的义务和、危害国家安全行为的法律制裁作了。20余年间,对于国家安全和利益、保障事业顺利进行,发挥了重要作用。
进入新世纪以来,国际国内形势发生了巨大变化,国家安全的任务和要求也相应发生变化。我国国家安全的形势日益严峻,面临着对外国家主权、安全、发展利益,对内安全和社会稳定的双重压力,各种可以预见和难以预见的风险因素明显增多,非传统领域安全日益凸显。国家安全内涵和外延比历史上任何时候都要丰富,时空领域比历史上任何时候都要宽广,内外因素比历史上任何时候都要复杂。正是在这样背景下,十八届决定成立国家安全委员会,2014年4月在国安会成立的第一次会议上,习同志宣告了“总体国家安全观”。
习提出“要准确把握国家安全形势变化新特点新趋势,总体国家安全观,走出一条中国特色的国家安全道”。他列举了十一项安全:安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全,强调要构建集各项安全于一体的国家安全体系。他提出兼顾“五对关系”:“既重视外部安全,又重视内部安全”,“既重视国土安全,又重视国民安全”,“既重视传统安全,又重视非传统安全”,“既重视发展问题,又重视安全问题”,“既重视自身安全,又重视共同安全”。他要求:“以人民安全为旨,以安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,走出一条中国特色国家安全道。”
以习总体国家安全观来衡量,1993年《国家安全法》主要只是国家安全机关的职权和反间谍斗争,涵盖就小了。为此,全国常委会在2014年11月审议通过了《反间谍法》,同时废除了1993年《国家安全法》。此前,常委会委员长会议已经提出了新的《国家安全法》议案。2015年7月1日,全国常委会经三审程序通过新的《国家安全法》并且当即实施。
这是一部完整体现总体国家安全观的法律。其中将国家安全定义为“指国家、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有和不受内外的状态,以及保障持续安全状态的能力。”(第二条)这个定义当然适用于我国所有法律文件中的“国家安全”概念。按此定义,国家安全既包括、主权、领土这些传统事项,还要延伸到民生、经济和国家其他重大利益等问题;既要求没有现实的和,又要求具有持续保障的能力;此类既可能来自外部,也可能来自内部。按照总体国家安全观,任何一个领域里如果出现了安全隐患,发展到一定程度都可能会影响到整个国家的安全利益,都必须予以防范和。所以该法直接采纳了习的提法:
“国家安全工作应当总体国家安全观,以人民安全为旨,以安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,各领域国家安全,构建国家安全体系,走中国特色国家安全道。”(第)
新的《国家安全法》就、人民、国土、军事、经济、金融、资源能源、粮食、文化、科技、民族、教、社会、生态等诸多方面的安全,以及防范、处置、极端主义等作出了,第二十五条就是网络安全的:
“国家建设网络与信息安全保障体系,提升网络与信息安全能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、和依法惩治网络、网络入侵、网络窃密、违法有害信息等网络违法犯为,国家网络空间主权、安全和发展利益。”
互联网本来就是美国因应新形势下国防即国家安全需要而发明创建的,网络安全自然成为第一要务。美国在就曾先后制定了三个重要的网络空间战略文件,并于2015年制定了成文的《网络安全法》。中国在接入国际互联网时制定的第一件行规也正是网络安全的,即《计算机信息系统安全条例》(1994年2月),其后各有关管理部门相继发布了多件有关网络安全的规章和规范性文件。
互联网的功能经历了通讯工具¬————基本生活设施这样的巨大扩展和飞跃,如习所说:“现在,互联网越来越成为人们学习、工作、生活的新空间,越来越成为获取公共服务的新平台。”网络法成为一种涉及各个法律部门、深入社会生活各个领域的庞律系统,网络安全也成为一个“领域”性的概念。也就是说,它不只是单独的自身运行安全,还与总体国家安全观提出的各项安全,特别如安全、文化安全、科技安全、社会安全等存在密切的关联。网络具有互联、、瞬时等特点,“在信息时代,网络安全对国家安全牵一发而动”,成为总体国家安全不可缺少的组成部分,“没有网络安全就没有国家安全”,便是习的一个重要论断。
《网络安全法》正是在总体国家安全观下,总结并综合了我国二十余年来互联网发展中网络安全的有效和措施,对网络和信息安全事项作出了全方位规范。从这个意义上说,《网络安全法》也就是在网络领域国家安全的一部法律。
网络空间的国家主权是习的一贯主张。主权是一个国家在其管辖区域拥有的至高无上的、排他性的。如今网络空间已经成为与陆地、海洋、天空、太空同等重要的居民活动新区域,即所谓“第五疆域”。国家主权必须拓展延伸到网络空间,网络空间主权成为国家主权的重要组成部分,包括国家对于自己领属范围内网络设施、网络活动和信息的管辖权,对于本国网络政策、法律的制定权,对于本国、法人网上权益的权,对于来自他国的网络入侵的自卫权,以及对于管理跨境网络活动和构建网络空间命运共同体同他国和国际的协商权和合作权。美国作为互联网的创始国,提出把网络空间视为超越任何国家主权和管辖范围的类似于公海、太空那样的“全球公域”(global commons)的概念,实质上是要它在网络空间的全球霸权地位。事实上恰恰是美国极其重视“网络空间战略”,寻求本国在线利益最大化,甚至通过网络暗中国民以至外国,他国主权。尊重网络空间主权,网络安全,谋求共治,实现共赢,正在成为国际社会共识。《网络安全法》不仅把网络空间主权作为立法主旨,了国家制定并不断完善网络安全战略,国家采取措施,监测、防御、处置来自境内外的网络安全和风险,并特别依法追究和制裁境外的机构、组织、个人的、侵入、干扰、等网络犯罪活动,而且立法活动本身也就是行使国家主权的一项行动。网络主权原则是贯穿于《网络安全法》的一条主线。
按照《网络安全法》定义,“网络安全,是指通过采取必要措施,防范对网络的、侵入、干扰、和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。”(第七十六条)习特别强调要“加快构建关键信息基础设施安全保障体系”,指出这方面一旦出问题,会“具有很大的性和杀伤力”,“是网络安全的重中之重”。根据网络构建和和运行的规律,网络和信息安全保障体系可以分为四个方面:
1.设施安全。网络空间无论怎样广袤无际,都必须依赖于现实世界的物理设施。《网络安全法》将网络定义为“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”(同前),网络物理设施安全是网络安全的基础。《网络安全法》不仅对网络产品、服务了应当符合国家标准的强制性要求并持续提供安全,而且特别网络关键设备和网络安全专用产品应该按照国家标准通过安全认证和安全检测(第二十一条至第二十),关键信息基础设施运营者采购可能影响国家安全的网络产品和服务应当通过国家安全审查(第三十五条),还了对若及国家安全、国计民生、公共利益的关键信息基础设施实行重点(第三十一条)。
2.运行安全。《网络安全法》国家实行网络安全等级制度,网络运营者应该依法履行安全保障义务,从而为已有行规、部门规章的有关提供了上位法律依据(第二十一条)。本法还以专节“关键信息基础设施运行安全”,此类设施运营者应该履行比一般运营者更严格的安全义务(第三十四条)以及每年至少进行一次风险检测评估(第三十八条)。还按照《国家安全法》的要求,以专章了“监测预警和应急处置”制度,其中包括为国家安全等需要在特定区域对网络通信采取等临时措施的。
3.数据安全。《网络安全法》的信息安全,在学理上可以分为数据安全和内容安全。数据即网络数据,是指通过网络收集、存储、传输、处理和产生的以电子方式记录的各种信息。数据安全是指保障网络数据的完整性、保密性和可用性,不受、窃取和损害。本法有关网络运行安全的中包含了保障数据安全的内容,并且对网络用户信息和个人信息订立了多项措施(第四十条至四十五条)。关于网络设施中的国家秘密,在《保守国家秘密法》(2010)中已有专门,本法必须遵守保密法规。
把个人信息安全列入网络安全的范畴,体现了总体国家安全观以人民安全为旨的思。个人信息被任意泄露、甚至用来牟利,不仅损害当事人,而且会影响社会稳定,引发社会恐慌,也可能危及国家安全。这反映了中国个人信息与不同的。
4.内容安全。内容安全是指在网络空间公开传输的文字、声音、图像等各种形态的信息不得对国家、社会和他人产生损害效果,那么才是安全的;主要属于文化安全的范畴。《国家安全法》对文化安全有专条。《网络安全法》同样了网络“推动社会主义核心价值观”(第十六条),同时了网络内容的底线(第十二条)和有利于未成年人身心健康的原则(第十),以及不得利用网络从事违法犯罪活动或涉及违法犯罪活动的信息(第四十六条)。
习一贯从国家安全的高度来看待网络空间的,指出“做好网上工作是一项长期任务,要创新改进网上宣传,运用网络规律,主旋律,激发正能量,大力培育和践行社会主义核心价值观,把握好网上引导的时、度、效,使网络空间清朗起来”。《国家安全法》也把违法有害信息列为应予防范、和惩治的行为。《网络安全法》有关内容安全的对于清朗网络空间无疑具有重要意义。确保内容安全,在中国特色的网络安全制度中居于重要地位。
如何建立适合互联网“去中心化”和“分布式”的技术特性的有效治理和管理体制,是都在探索的问题。习指出:“网络安全是全社会的共同责任,需要、企业、社会组织、广大网民共同参与,共筑网络安全防线。”他还就和企业的管理责任作了这样的概括:“企业要承担企业的责任,党和要承担党和的责任,哪一边都不能放弃自己的责任。网上信息管理,网站应负主体责任,行政管理部门要加强监管。”《网络安全法》在落实安全责任方面体现了这些原则。
本法了国家网信部门、国务院电信部门和门以及其他有关机关网络安全的职责,各级应当采取的支持与促进网络安全的措施,网信等部门有要求网络运营者对违法有害信息采取措施、通知有关机构对来自境外有害信息采取阻断措施等职责(第五十条),有建立网络安全监测预警和信息通报的职责(第五十一条至五十),在网络安全事件风险增大或者发生时省级以上有关部门采取应对措施的职责(第五十四条至五十六条)。
网络运营者网络安全的责任和义务,是《网络安全法》的重要内容。网络运营者不仅负有遵守安全等级制度,采取技术措施保障安全运行,使用合格的网络设备、产品和定期进行风险检测等义务;而且必须落实用户实名制(第二十四条)并承担对用户信息保密的义务(第四十条)。特别是,网络运营者还负有管理用户发布的信息的责任,发现法律法规发布的信息,应当立即停止传输,保存记录,并向有关部门报告(第四十七条)。网络运营者还应当为、国安执法提供技术支持和协助(第二十八条)。网络运营者拒不履行管理义务,要承担行政责任以至刑事责任。
《网络安全法》、法人依法使用网络的,同时任何人使用网络应当遵守法律、秩序和,不得发布法律的信息(第十二条);任何人有权举报危害网络安全行为(第十四条);任何人不得从事危害网络安全的活动(第二十七条);用户必需实施实名制以网络信息具备可追溯性。
综上所述,从实际含义上说,《网络安全法》以上内容也可以认为是《国家安全法》第二十五条的具体化。
“增强忧患意识,做到居安思危”,是习提出总体国家安全观的出发点。《网络安全法》的出台具有鲜明的针对性。在本法通过后不久国家网信办发布的《国家网络空间安全战略》,就列举了网络安全形势日益严峻,网络渗透危害安全,网络经济安全,网络有害信息文化安全,网络恐怖和违法犯罪社会安全等风险和挑战,按照总体国家安全观,这些风险和挑战不加防范和,任其发展势必国家安全。毫无疑问,这些风险和挑战并非随着《网络安全法》的发布就自动消失。法律的生命力和权威在于实施,《网络安全法》确立了法律原则,也就授予行政机关执行法律、制定实施细则规范的。《网络安全法》公布和实施以来,有关主管部门密集出台了一系列规章和规范性文件加以落实。
在网络设施安全方面,2016年8月,国家网信办发布《关于加强国家网络安全标准化工作的若干意见》,就科学构建网络安全标准体系的方面提出方案。2017年5月,网信办发布《网络产品和服务安全审查办法(试行)》,关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查,审查重点是网络产品与服务的安全性和可控性。7月,网信办发布《关键信息基础设施安全条例(征求意见稿)》,对支持和保障措施、关键信息基础设施范围、运营者安全、产品和服务安全、监测预警、应急处置和检测评估等作了具体。10月,网信办发布《互联网新闻信息服务新技术新应用安全评估管理》,要求互联网新闻信息服务提供者建立健全新技术新应用安全评估管理制度和保障制度,自行组织开展安全评估,并报请国家或者省级网信办组织开展安全评估。
在网络运行安全方面,2017年6月,国家网信办发布《国家网络安全事件应急预案》,将网络安全事件分为特别重大、重大、较大、一般四级,了各级领导机构、办事机构和各部门的职责和应急办法。同月,针对网络新型业务层出不穷的现状,工信部出台《互联网新业务安全评估管理办法(征求意见稿)》,所谓“互联网新业务”,是指“电信业务经营者通过互联网新开展其已取得经营许可的电信业务,或者通过互联网运用新技术试办未列入《电信业务分类目录》的新型电信业务”,经营者拟将此类新业务面向社会上线的,应当按照进行安全评估。9月,工信部发布《公共互联网网络安全监测与处置办法》,建立网络安全信息共享平台和公共互联网网络安全认定制度,明确了网络运营者的监测与处置义务。
在网络数据安全方面,4月,网信办发布《个人信息和重要数据出境安全评估办法(征求意见稿)》,就《网络安全法》的网络运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要向境外提供的,应当进行安全评估(第三十八条),制定了具体办法。
主管部门出台配套文件更多在有关网络内容安全方面。新闻信息服务事关网上导向,始终是监管的一个重点。早在《网络安全法》通过之前,2016年8月,国家网信办就贯彻习关于“网上信息管理,网站应负主体责任”的,对 8家从事互联网新闻信息服务的商业网站进行了专项检查,发现存在信息内容安全保障漏洞较多等不容忽视的问题,对新闻信息服务网站提出了完善总编辑负责制等八项要求。2017年5月,网信办以一号令发布新修订的部门规章《互联网新闻信息服务管理》,将互联网新闻信息服务许可分为互联网新闻信息采编发布服务、转载服务、平台服务,“通过互联网站、应用程序、论坛、博客、微博客、账号、即时通信工具、网络直播等形式向社会提供互联网新闻信息服务,应当取得互联网新闻信息服务许可,未经许可或超越许可范围开展互联网新闻信息服务活动”,以新闻信息线下线上一个标准,传统的内容,新同样不准,是第三件互联网新闻业务许可的规章。不久,网信办又发布《互联网新闻信息服务许可管理实施细则》,细化“”有关条款。10月,网信办出台《互联网新闻信息服务单位内容管理从业人员管理办法》,首次从制度层面明确了从业人员行为规范,加强教育培训的要求,以及监督管理的措施,把党管的原则延伸到新领域。10月,国家新闻出版下达《关于加强电视节目网络管理的通知》,要求对网络的广电节目严格审查把关。
随着网络直播勃兴,2016年秋冬,三家主管部门先后出台规制文件,即:国家新闻出版《关于加强网络视听节目直播服务管理有关问题的通知》(2016.9.)、国家网信办《互联网直播服务管理》(2016.11.)、文化部《网络表演经营活动管理办法》(2016.12.)。其中网信办文件提出开展互联网新闻信息直播业务中的服务提供者和直播发布者都应当依法取得互联网新闻信息服务资质的“双资质”要求。
同时,对社交的监管明显强化。2017年8月,网信办发布《互联网论坛社区服务管理》,要求互联网论坛社区服务提供者落实主体责任,建立健全信息审核、公共信息实时巡查、应急处置及个人信息等信息安全管理制度,不得利用互联网论坛社区服务发布、法律法规的信息。同时还有《互联网跟帖评论服务管理》,要求网站实行用户实名制,加强弹幕管理,建立跟帖评论审核管理、实时巡查、应急处置等信息安全管理制度,及时发现和处置违法信息。9月,网信办发布《互联网用户账号信息服务管理》,要求互联网群组信息服务提供者应当对违反法律法规和国家有关的群组建立者、管理者等使用者,依法依约采取降低信用等级、暂停管理权限、取消建群资格等管理措施,建立管理制度。同月出台的《互联网群组信息服务管理》,细化了群组服务提供 者的责任,并提出群组建立者、管理者应当履行群组管理责任。
原刊《社会治理》2018年第1期,原标题为《从国家安全法到网络安全法——学习习总体国家安全观》,注释略