网络安全法靠什么确保网络安全？ - 安防知识网

网络安全法征求意见今天截止，之前一个月大讨论网络安全被严重扩大化，沾边的都被拉进来，如何确保网络安全法尊重法律与网络安全的专业性确保最终立法是经得起时间检验的？在这样网络日新月异的时代也许我们禁受不起在网络安全立法这样的重要领域的重大失误。

　　网络安全法靠什么确保网络安全?

　　刘春泉上海泛洋律师事务所律师

　　从最近关于《网络安全法(征求意见稿)》的大讨论来看，由于对互联网种种纷繁复杂现象的不满甚至是恐惧，很多人都在有意无意地将网络安全泛化，将网络谣言、网络犯罪、个人信息过度收集与滥用、涉及网络管理的部门职权划分、国家信息安全产业发展战略等凡是与广义的网络安全沾边的事情都寄望在通过这部网络安全法来予以解决，这显然是一部《网络安全法》无法承受之重。传统社会也有很多问题，但任何国家都没有一部《传统社会安全法》来作为解决问题的灵丹妙药，因此，网络安全立法恐怕首先就要分析清楚我们面临哪些网络安全问题，哪些是需要也可以通过立法来解决的?当然，更为重要的是，这部法律靠什么来确保网络安全?

　　我国现在面临哪些网络安全问题?主要有三个方面，首先是核心技术与网络规则不掌握，也就是技不如人的问题。互联网的基础设施包括软件、硬件和游戏规则全都仰人鼻息。芯片等高端制造业落后，没有成熟商业化的操作系统等基础软件，万一出现极端情况，会不会发生被“掐脖子”，以及有没人利用底层技术便利已经收集了我国的个人信息等各种信息，窃听和备份我们的电子邮件等网络通信内容?恐怕很难说。这是我国网络安全最大的隐忧，但这些问题主要靠发展来追赶，以及随着国家和产业实力的增强可以增强互联网规则的话语权。立法可以通过设立网络产品和服务的安全审查制度，期望实现一定程度上的预防在先，但最终立法解决不了科技从无到有的问题。虽然不存在绝对的网络安全，但也只有网络核心技术实力旗鼓相当，网络安全才具有平等对话的基础。

　　其次是与所有国家一样，我国的信息网络存在被黑客、恶意软件等攻击，以及由于灾难、事故等各种原因导致的断网、停电、影响国计民生的公用事业和服务等。存在于太空的卫星通信网络，也随着互联网发展存在安全隐患。这是网络安全法所应当关注和预防解决的重点问题。也是各国都重点关注的网络安全问题，立法予以规制无可厚非，关键是要多听取相关的专业界专家的意见并将技术需求进行法律“翻译”，以确定究竟怎么做才更科学、更有效?目前征求意见稿对于交通、能源、军政网络等安全的规定，已经体现出了较为深刻的认识，但从具体业务层面探讨，似乎仍不乏可以提高的空间，比如网络安全等级保护虽然的确是我国行之有效的网络安全保障制度，但并不是唯一的，也不能排除随着情况变化可能出现新的更好的做法。所以，肯定等级保护制度是对的，但也要为其他网络安全保障措施预留法律空间。

　　第三是跨国网络攻击行为的司法管辖与规制，这是网络无边界与国家主权之间的冲突带来的问题。2014年发生了美国起诉五名解放军军官涉嫌黑客攻击事件，而我国除了网络舆论曾一度愤然批判一番外，至今未见采取正式法律应对措施。重要原因之一就是，即使我们想采取类似法律行动，按照目前的刑法和刑事诉讼法，由谁管辖启动侦查程序都是一个大问题。另外这类行为受害人往往是国家，没有像普通网络犯罪案件那样有具体的受害者去报案，换句话说，我们的刑事司法程序可能就没法启动，是否需要像对外贸易法第31条那样，设立一个对等原则，如果其他国家、地区和组织对中国公民和企业采取非正常法律行动的，我国可以采取对等措施?这在目前的网络安全法征求意见稿没有看到，是否必要和可行?希望立法部门予以研究。

　　即使是的确事关网络安全的长远战略问题，是放在网络安全法立法里面规定还是放在国务院部门的战略规划文件中规定，这也是值得深入研究与探讨的。作为一名一线法律实务工作者，与无数法官、检察官等法律人一样，常常在遇到具体业务问题时，为某些宣言式立法的条文粗疏而头痛不已。网络安全产业战略规划，是国家行为，而“法律”是调整人与人之间社会关系的行为规范，网络安全战略问题的确重要，但战略问题需要随着情况变化而经常调整，法律却必须尽量前瞻性规定以确保稳定性和可预见性，是否由国务院或相关部委发布更为合理?立法也是一种资源，我们需要腾出时间精力研究出一些更得力的措施，来提高我们网络安全法的实践针对性与可操作性。

　　最后，最为关键的问题是，我们靠什么来确保网络安全呢?笔者认为要靠设立适当的规则引导企业自身做合规，确保网络安全，而不能靠禁止行为的列举，杜绝威胁网络的行为，因为列举总是难免挂一漏万，何况网络发展日新月异，今天的列举前瞻性再强，恐怕过不了多久又会成为昨日黄花，难堪大用。从目前征求意见稿中，我们看到“法律责任”一章规定的是罚款最多为50万，笔者并不赞成过度扩大行政机关的权力，但无论五十万还是五千万罚款，对于威胁互联网安全的大企业来说，都是不足以震慑他们的。笔者建议是增加民事赔偿责任，增设对恶意威胁我国网络安全的企业限制市场准入甚至下达永久禁令，主要目的在于通过较大的经济风险让企业不敢拿自己的利益对赌我国有没有能力发现他们的恶意预留漏洞;对于侵犯公民个人信息权等行为，建议设立递进式惩罚性民事赔偿制度，即只要有生效法律文书确定违法侵权行为成立，而被告又拒不改正的，法院可以逐次递增扩大惩罚性赔偿的判赔金额。这样既可以保证不会对正常守法企业造成过重的负担，又会对恶意违法的企业形成较大的经济赔偿风险，从而倒逼企业合规与守法。