|
网安法之罅不在于规则而在于体系 絮言:我的导师何家弘教授教育我们:我们要讲真话,至少是自以为是的话。 2016年10月14日,笔者应邀参加了天津大学主办的“互联网安全政策与法律国际研讨会”。会上,笔者做了“网络安全法的立法模式”的主题发言。发言中,笔者介绍了美国、欧盟、日本、中国的网络安全立法模式,并提出当前网络安全立法的问题不在于规则而在于体系。 一、网络安全法的体系缺陷源于基础理论研究的不足 在社会生活中,有一种现象。有些人埋头刻苦地做事,但抬起头来时却不知道为什么去做这件事,甚至忘了要做出什么样的东西。 在网安法的讨论过程中,就有这样的现象。许多专家学者在各说各话,最后都忘了网络安全法到底要干什么,应该是什么样的。中国有句俗话叫“盲人摸象”,网安法的研究就属于这种现象。以至于,即使现在《网络安全法》已经出台了,我们仍然在怀疑它是否建立在沙滩之上。 为什么会有这样的怀疑?这是因为我们缺少一套理论基础和理论体系。这也是笔者一直在研究的问题。即,建立一套网络安全法律的理论体系。 二、网络安全法的体系应当与网络技术理论体系相对接 在会上,笔者提出,网络安全法与其他部门法相同,其体系研究应当包括客体、主体与行为模式。且,科学严密的网络法律体系应当与网络技术体系相对接。 网络安全法的客体应当与网络技术体系相对接。有些网络安全问题是传统行为利用网络工具而导致法律客体(法律利益)的量变,有些网络安全问题则是由于网络与信息系统的保护需求而催生了新的法律客体(法律利益),即质变。 结合网络技术模型,可以把网络安全法分为三个体系层面:网络安全秩序法、网络安全管理法、网络安全技术法。网络安全秩序法主要解决的是利用网络开展生产生活活动所危害的传统社会秩序安全问题,即量变的法律客体。而,网络安全管理法与网络安全技术法则是质变的法律客体,即新产生的法律客体。前者主要解决的是网络主体与网络主体关系之间的安全管理问题。后者主要解决的网络的技术性安全问题,包括系统安全、数据安全、信道安全等。 就美国2015年《网络安全法案》而言,它就是典型的网络安全技术法。从本质上讲,该法其实就是一部“网络漏洞防治法”。该法的主要特征是以网络的技术性安全为调整目标。 而,欧盟2016年《网络与信息安全指令》是属于网络安全管理法,它侧重于网络安全主体之间合作与响应工作流程的管理。该法的主要特征是以网络安全的合作响应机制为调整目标。 日本2014年《网络安全基本法》也是属于网络安全管理法,但它更侧重于网络安全管理主体的设置与协调,而非网络安全合作与响应机制的管理。该法的主要特征是以网络安全主管机构的职责为调整目标。 综上可见,美国、欧盟、日本的网络安全立法都能够从网络技术模型体系中找到对接的法律客体。即,美国的网络安全立法致力于调整网络自身的技术性安全问题,立足于保护新产生的技术性安全法律客体;而,欧盟的网络安全立法致力于调整网络主体的管理性安全问题,立足于规制网络主体之间的合作与响应规则;日本的网络安全立法虽亦是致力于网络的管理性安全问题,但更侧重于网络安全主管机构的职责与分工问题。 当然,网络安全主体与行为模式的归纳也是极其重要的。比如,就“网络运营者”而言,像移动、电信、联通这样的基础“网络运营者”与运营网站的“网络运营者”,其行为模式、主体责任是大不相同的。就运营网站的“网络运营者”而言,不同类型的主体其行为模式、主体责任亦可能大不相同。比如,提供数字内容的网络服务与提供数字存储的网络服务,其网络安全义务是不尽相同的。而,提供数字存储的网络服务与提供搜索引擎的网络服务,其网络安全义务则亦是截然不同的。也正因为此,欧盟2016年《网络与信息安全指令》就试图对不同类型的网络主体和不同类型的网络服务作出区分,并试图给予不同的权利义务界定。 三、我国网络安全法的体系性问题及隐患 不可否认的是,我国当前的《网络安全法》是一部典型的以问题为导向的法律文本,其中不乏一些致为可贵的经验归纳与制度总结。然而,由于缺少基础理论体系的支撑,这些经验与制度并未能形成良好的体系。 网络安全法既有内部体系性问题,也有外部体系性问题。《网络安全法》的外部体系性问题,是指《网络安全法》与现有行政法律、刑事法律、宪法、国际法的衔接与协调问题。 网络安全法的立法难点在于内部体系性。网络技术,摧枯拉朽,新象频生。《网络安全法》立法之首难,并非现有经验与制度的总结,而是如何保持立法向后的开放性与包容性。目前现行的《网络安全法》基于经验将体例分为:总则、网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任。而,这各个部分之间并未形成严格的法律逻辑体系。这对于法律的向后兼容将形成极大的挑战。 内部体系科学与否,对后续的法律修订、下位法制定、法律适用,甚至法律研究都会有巨大的影响。在此,不妨以我国刑事立法与民事立法进行比较。 我国刑事立法是基于较为科学的理论体系。我国《刑法》基于法律客体体系安排了较为合理的立法例。即,刑法分则根据犯罪客体特征将体例分为:危害国家安全罪、危害公共安全罪、破坏社会主义市场经济秩序罪、侵犯公民人身权利民主权利罪、侵犯财产罪、妨害社会管理秩序罪等。这种较为科学的体例安排既有利于对法律的理解,也使得整体立法有了很好的向后包容性。即使在今天,环境犯罪、网络犯罪等新犯罪现象频生,但仍然能基于刑法体系对此予以较好安排。 而,我国1986颁行的《民法通则》则与当前的《网络安全法》极其相似,属于在特定时期权宜推出的基本法律。但是,由于《民法通则》缺少体系性,导致与《合同法》、《物权法》、《侵权责任法》、《婚姻法》、《继承法》等相关民事法律并存的局面。恰逢三十年的今天,我们在考虑重新编撰《民法典》,弥补三十年前的遗憾。 《网络安全法》是否会走《民法通则》的老路? 四、当前网络安全法规则不会有错 《网络安全法》是网络安全法律规则的第一次制定,也是网络安全社会价值的第一次权衡。既然是第一次,就意味着本无标准。既然本无标准,就意味着不会有错。 从这个意义上讲,我国《网络安全法》立法看似争议极大,实际上争议极小。当然,这是就规则本身而言,部门之间的权力配置因素则不在此论。 |
