网安法之罅不在于规则而在于体系
来源:信息与法 作者:信息与法 人气: 发布时间:2017-03-17
摘要:网络安全法系列随笔 网络安全法 法律体系 基础理论 研究者责任 网安法之罅不在于规则而在于体系 絮言:我的导师何家弘教授教育我们:我们要讲真话,至少是自以为是的话。 2016年10月14日,笔者应邀参加了天津大学主办的“互联网安全政策与法律国际研讨会”。
|
网络安全法系列随笔 网络安全法 法律体系 基础理论 研究者责任 网安法之罅不在于规则而在于体系 絮言:我的导师何家弘教授教育我们:我们要讲真话,至少是自以为是的话。 2016年10月14日,笔者应邀参加了天津大学主办的“互联网安全政策与法律国际研讨会”。会上,笔者做了“网络安全法的立法模式”的主题发言。发言中,笔者介绍了美国、欧盟、日本、中国的网络安全立法模式,并提出当前网络安全立法的问题不在于规则而在于体系。 一、网络安全法的体系缺陷源于基础理论研究的不足在社会生活中,有一种现象。有些人埋头刻苦地做事,但抬起头来时却不知道为什么去做这件事,甚至忘了要做出什么样的东西。在网安法的讨论过程中,就有这样的现象。许多专家学者在各说各话,最后都忘了网络安全法到底要干什么,应该是什么样的。中国有句俗话叫“盲人摸象”,网安法的研究就属于这种现象。以至于,即使现在《网络安全法》已经出台了,我们仍然在怀疑它是否建立在沙滩之上。为什么会有这样的怀疑?这是因为我们缺少一套理论基础和理论体系。这也是笔者一直在研究的问题。即,建立一套网络安全法律的理论体系。二、网络安全法的体系应当与网络技术理论体系相对接在会上,笔者提出,网络安全法与其他部门法相同,其体系研究应当包括客体、主体与行为模式。且,科学严密的网络法律体系应当与网络技术体系相对接。网络安全法的客体应当与网络技术体系相对接。有些网络安全问题是传统行为利用网络工具而导致法律客体(法律利益)的量变,有些网络安全问题则是由于网络与信息系统的保护需求而催生了新的法律客体(法律利益),即质变。结合网络技术模型,可以把网络安全法分为三个体系层面:网络安全秩序法、网络安全管理法、网络安全技术法。网络安全秩序法主要解决的是利用网络开展生产生活活动所危害的传统社会秩序安全问题,即量变的法律客体。而,网络安全管理法与网络安全技术法则是质变的法律客体,即新产生的法律客体。前者主要解决的是网络主体与网络主体关系之间的安全管理问题。后者主要解决的网络的技术性安全问题,包括系统安全、数据安全、信道安全等。就美国2015年《网络安全法案》而言,它就是典型的网络安全技术法。从本质上讲,该法其实就是一部“网络漏洞防治法”。该法的主要特征是以网络的技术性安全为调整目标。而,欧盟2016年《网络与信息安全指令》是属于网络安全管理法,它侧重于网络安全主体之间合作与响应工作流程的管理。该法的主要特征是以网络安全的合作响应机制为调整目标。日本2014年《网络安全基本法》也是属于网络安全管理法,但它更侧重于网络安全管理主体的设置与协调,而非网络安全合作与响应机制的管理。该法的主要特征是以网络安全主管机构的职责为调整目标。综上可见,美国、欧盟、日本的网络安全立法都能够从网络技术模型体系中找到对接的法律客体。即,美国的网络安全立法致力于调整网络自身的技术性安全问题,立足于保护新产生的技术性安全法律客体;而,欧盟的网络安全立法致力于调整网络主体的管理性安全问题,立足于规制网络主体之间的合作与响应规则;日本的网络安全立法虽亦是致力于网络的管理性安全问题,但更侧重于网络安全主管机构的职责与分工问题。当然,网络安全主体与行为模式的归纳也是极其重要的。比如,就“网络运营者”而言,像移动、电信、联通这样的基础“网络运营者”与运营网站的“网络运营者”,其行为模式、主体责任是大不相同的。就运营网站的“网络运营者”而言,不同类型的主体其行为模式、主体责任亦可能大不相同。比如,提供数字内容的网络服务与提供数字存储的网络服务,其网络安全义务是不尽相同的。而,提供数字存储的网络服务与提供搜索引擎的网络服务,其网络安全义务则亦是截然不同的。也正因为此,欧盟2016年《网络与信息安全指令》就试图对不同类型的网络主体和不同类型的网络服务作出区分,并试图给予不同的权利义务界定。三、我国网络安全法的体系性问题及隐患不可否认的是,我国当前的《网络安全法》是一部典型的以问题为导向的法律文本,其中不乏一些致为可贵的经验归纳与制度总结。然而,由于缺少基础理论体系的支撑,这些经验与制度并未能形成良好的体系。网络安全法既有内部体系性问题,也有外部体系性问题。《网络安全法》的外部体系性问题,是指《网络安全法》与现有行政法律、刑事法律、宪法、国际法的衔接与协调问题。网络安全法的立法难点在于内部体系性。网络技术,摧枯拉朽,新象频生。《网络安全法》立法之首难,并非现有经验与制度的总结,而是如何保持立法向后的开放性与包容性。目前现行的《网络安全法》基于经验将体例分为:总则、网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任。而,这各个部分之间并未形成严格的法律逻辑体系。这对于法律的向后兼容将形成极大的挑战。内部体系科学与否,对后续的法律修订、下位法制定、法律适用,甚至法律研究都会有巨大的影响。在此,不妨以我国刑事立法与民事立法进行比较。我国刑事立法是基于较为科学的理论体系。我国《刑法》基于法律客体体系安排了较为合理的立法例。即,刑法分则根据犯罪客体特征将体例分为:危害国家安全罪、危害公共安全罪、破坏社会主义市场经济秩序罪、侵犯公民人身权利民主权利罪、侵犯财产罪、妨害社会管理秩序罪等。这种较为科学的体例安排既有利于对法律的理解,也使得整体立法有了很好的向后包容性。即使在今天,环境犯罪、网络犯罪等新犯罪现象频生,但仍然能基于刑法体系对此予以较好安排。而,我国1986颁行的《民法通则》则与当前的《网络安全法》极其相似,属于在特定时期权宜推出的基本法律。但是,由于《民法通则》缺少体系性,导致与《合同法》、《物权法》、《侵权责任法》、《婚姻法》、《继承法》等相关民事法律并存的局面。恰逢三十年的今天,我们在考虑重新编撰《民法典》,弥补三十年前的遗憾。《网络安全法》是否会走《民法通则》的老路?四、当前网络安全法规则不会有错 《网络安全法》是网络安全法律规则的第一次制定,也是网络安全社会价值的第一次权衡。既然是第一次,就意味着本无标准。既然本无标准,就意味着不会有错。 从这个意义上讲,我国《网络安全法》立法看似争议极大,实际上争议极小。当然,这是就规则本身而言,部门之间的权力配置因素则不在此论。 但是,这并不是意味着笔者完全认同目前《网络安全法》的所有规则。比如,在《网络安全法》三审稿期间,笔者就建议将对网络安全行业极为重要的第二十七条修改为:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据、恶意堵塞网络通讯信道等危害网络安全的活动;不得非法提供专门用于从事侵入网络、干扰网络正常功能和防护措施、窃网络数据等危害网络安全活动的程序、工具。 具体而言,一方面,将“恶意堵塞网络通讯信道”作为危害网络安全的重要类型进行规定。网络通讯的信道安全是一直被忽视的网络安全要素。近年来,从事DDOS攻击等危害网络信道安全的违法犯罪活动日益猖厥,应当重点规制。2014年朝鲜因遭受DDOS攻击导致国家互联网瘫痪数日;近日美国遭受DDOS攻击导致美国东海岸地区网络瘫痪。近些年,国内互联网企业也陆续遭受大规模的DDOS攻击,直接危害到互联网企业的网络安全。这些都直接说明了网络信道安全保护的重要性。 另一方面,将“非法”作为“不得提供专门用于从事侵入网络、干扰网络正常功能和防护措施、窃网络数据等危害网络安全活动的程序、工具”的限定要求。所谓“提供专门用于从事侵入网络、干扰网络正常功能和防护措施、窃网络数据等危害网络安全活动的程序、工具”不应一律予以禁止。本法并未将一些具有必要性、正当性且十分重要的科教、研究、职业行为予考虑。如,杀毒软件公司在合法生产经营活动中为了检测病毒木马提供程序工具,研究人员基于研究网络安全需要而提供程序工具等。因此,应当将“非法性”作为本条的限定要求。五、《网络安全法》立法的研究者责任一个研究者,要坚持批判。《网络安全法》出台之后,歌功颂德之文不少,但那不是研究者的责任,而是媒体與论的事情。一个研究者,要勇于担当。“法教义学”是执法者、司法者、守法者的精神信仰,但于立法者与立法研究者而言则不必然。立法研究者要勇于推出自己的立法主张,即使那些主张最后因为立法利益之争而置之偏隅。一个研究者,要甘于孤独。孤独是在于喧嚣背后的冷静思考,孤独是在于拒绝之后的默默坚持。孤独是在于众人欢天雀跃之余的忧心忡忡。《网络安全法》的理论缺失,我等责任几何? 作者简介:谢君泽,浙江温州人,现为中国人民大学网络犯罪与安全研究中心秘书长、研究员,中国人民大学法学院物证技术鉴定中心副主任、国家司法鉴定人,中国人民大学法学院证据学研究所研究员,首都互联网协会法律专业委员会委员,具有信息技术与法律专业的双重背景,长期致力于计算机网络取证、电子证据司法鉴定、职务犯罪侦查信息化、网络犯罪、网络安全法、网络法理学等信息与法的交叉研究。
|
