张效羽丨通过完善网络空间法律规制确保网络空间安全

资源描述

《张效羽丨通过完善网络空间法律规制确保网络空间安全》由会员分享，可在线阅读，更多相关《张效羽丨通过完善网络空间法律规制确保网络空间安全（7页珍藏版）》请在金锄头文库上搜索。

1、张效羽丨通过完善网络空间法律规制确保网络空间安全2016 年 11 月 7 日，全国人大常委会颁布网络安全法，同年 12月 27日，国家互联网信息办公室颁布国家网络空间安全战略（以下简称战略）。网络安全法和战略的出台，改变了我国网络空间安全治理领域缺少基本法律和政策文件的窘境，有助于网络空间安全治理制度化、规范化，也有助于稳定预期、促进发展。 “徒法不足以自行” ，如果网络空间法律规制能力得不到相应提升，则网络安全法和战略只能沦为具文。当前，我国网络空间法律规制尚存在一些不适应互联网发展的问题，也存在一些规制误区，这些都制约着我国网络空间法律规制能力的提升。因此，必

2、须深化改革，通过转变网络空间规制思维，完善网络空间法律规制体制，从而提升网络空间规制能力，使得网络安全法和战略真正落到实处。一、我国当前网络空间法律规制存在的问题我国当前网络空间法律规制存在以下三方面突出问题：第一，规制力量分散。我国网络空间安全治理的一个突出问题是规制机关条块分割严重、规制力量分散，无法形成合力。网络空间活动的一个特征是“一点上线、无界扩展”，网络空间侵犯公民个人隐私信息的活动也是“一点泄露、全网扩散” ，一位公民的信息在教育领域被泄露，很可能立即就在金融领域被滥用；一位公民的信息在山东被泄露，很可能立即就在福建被滥用。而我国有关网络空间个人信息保

3、护规制仍旧是以地域和行业进行条块分割，相关规制力量分散在各个行业和地区，无法应对网络犯罪活动的侵袭。比如，在山东徐玉玉遭受电信诈骗自杀案件中，徐玉玉的个人信息泄露就是当地县教育部门网站被黑客攻破所致。在互联网世界，黑客可以在全国范围内寻找薄弱网站实施攻击，而县教育部门自身的规制能力既无力打击黑客也无力防范黑客。实际上，徐玉玉遭受诈骗之后报案的当地派出所，也缺乏侦破此类全国性甚至跨国性犯罪活动的能力。网络空间不安全事件在全国网络空间中的薄弱环节发生，而全国缺乏有机统一的规制力量予以防范。第二，规制工具欠缺。我国网络空间规制手段仍旧是行政处罚、行政许可、行政强制措施等行政措施

4、为主，主要是事前设置准入门槛、事中发现责令制止、事后施以行政处罚。但这“三板斧”在网络空间治理中效果不佳。当前，网络空间活动大多集中在几大平台，而这些平台大多已经具备规制机关设置的准入门槛，而符合准入门槛与积极执行相关法律之间也缺乏正相关性。规制机关缺乏事中第一时间发现相关网络空间不安全事件的能力，事中采取行政强制措施则无从谈起。由于网络空间侵害活动具有损害结果不可逆性和损害范围不可测性，使得相关行政处罚力度难以确定、效果有限。比如，泄露公民个人信息往往并不会立即造成严重损害，但是不同源头泄露的公民信息汇集在一起往往对公民造成极大法律风险，对独立的泄露信息的处罚往往会出现

5、处罚不足的问题。总之，运用传统规制方法进行网络安全规制，有“抽刀断水”之嫌。第三，规制激励错配。由于互联网空间的活动具有天然跨地域性和跨行业性,使得规制力量往往缺乏打击网络空间违法犯罪活动的动力。比如，长期以来，我国的网络诈骗横行，在一些地区甚至形成网络诈骗专业村、诈骗专业镇，之所以地方政府对这些网络诈骗活动睁只眼闭只眼，是因为网络诈骗活动并不会直接损害当地企业和公民的权益，而网络诈骗活动还能“促进”当地一些消费行业的发展。这种激励错配，使得一些负有规制职责的部门，缺乏积极规制的动力。二、网络空间规制需要克服的误区第一，“安全至上”不是控制至上。互联网空间安全规制要求“安全第

6、一”“安全至上”，因为没有安全就没有一切。但“安全至上”不是控制至上，不能将行政控制视为确保安全的最佳路径。实际上，从世界发展历史看，互联网安全的基石不是强大的行政控制，而是强大的技术创新。在互联网领域，最安全的是技术最强的而不是行政控制最强的。而发展技术的主力军是企业，给企业充分的经营自由，让企业在经济发展中获得充足资源，才能使得企业有资源发展技术，并最终实现技术创新。行政控制只是针对特定情况的临时性紧急措施,必须慎重采用行政控制方式进行网络安全规制。在网络安全规制领域，政府仍旧是依法提供公共服务的主体，而不是行业的主宰。第二，“合作规制”不是“政企不分”。在互联网经济时代，

7、主要互联网经济模式都呈现平台经济模式，互联网经济呈现天然平台企业寡头垄断的特征。比如在我国，腾讯、阿里、百度、京东、携程、滴滴等少数平台企业，在各自领域居于寡头垄断地位。在这种情况下，政府实施规制，往往要与企业合作，实现公私合作规制。而公私合作规制又不是政企不分。公私协作的本质是政府和企业发挥各自的优点开展规制活动，有些活动应该政府做的，必须政府做，不能推给企业，比如要求互联网即时通信服务商及时发现即时通信中出现的违法信息，就会面临互联网即时通信服务商是否有权检查公民私人通信的宪法问题。有些事情应当企业做的，政府应当通过事中事后监管督促企业完成。再比如，搭建日常监管数据

8、监控网络，这本身就是平台企业擅长的，政府就没有必要自己也搭建一个日常数据监控系统。当前，一些地方交通部门花巨资搭建网约车日常监管平台，甚至想将网约车企业的日常数据同步复制到自己搭建的监管平台上，就是没有搞清楚政府应该做什么。第三，“加强监管”不是提高门槛。提高网络空间活动安全指数的重要措施是加强监管，然而加强监管不能和提高准入门槛划等号，不是网络空间活动准入门槛越高就越安全。首先，网络空间活动门槛大幅增高，会导致大量网络空间活动转入灰色地带，更加难以监管，反而助长网络空间活动的危险性。比如，大幅提升网络直播主播的准入门槛，就会导致“无证主播”大量诞生，这本身就是助长网络直

9、播的危险性。实际上，大幅提升网络空间活动的准入门槛，只是在事故发生时减轻了有关监管部门的责任，并没有提高网络空间整体安全性。其次，网络空间活动门槛大幅增高会导致网络空间合法活动创造性和活力下降，而经过权威机关批准的网络合法活动对网民吸引力下降，本身就是网络空间合法秩序衰败的重要原因。最后，网络空间活动门槛本身与网络空间活动安全性之间并不存在直接关联，通过提高准入门槛这种事前监管方法提升监管水平，也不符合当前简政放权改革的总趋势。二、完善网络空间规制的建议第一，根据互联网空间活动的技术特点整合网络空间规制力量。当前，我国网络空间规制机构，仍旧是按照传统线下活动规制模式设置

10、的，与互联网空间活动的无界性有较大的不兼容之处，也产生了明显的规制激励错配问题。为此，应当考虑根据互联网空间活动的技术特点，整合网络空间规制力量。比如，在纵向上应当提升互联网空间规制机构的层级。互联网空间活动的特点是“一点上线、全国行动”，在这种情况下，应当提升单一规制机构的管辖地域范围，具体而言就是提升规制机构管辖层级。网络安全法第五十四条规定，网络安全事件发生的风险增大时，省级以上人民政府有关部门应当按照规定的权限和程序，并根据网络安全风险的特点和可能造成的危害采取措施；第五十六条规定，省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安全风险或者发

11、生安全事件的，可以按照规定的权限和程序对该网络运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施，进行整改，消除隐患。这两个条款的内容表明，网络安全法已经认识到以省为单位统筹规制的必要性，接下来在涉及网络空间安全的其他法律、行政法规中也要进行相应修订，提升管辖层级。第二，创新规制工具。传统规制工具都是直接控人、控物，但不能直接控制信息，人被抓了、物被扣了，信息仍旧在网上，规制效果则大打折扣。因此，互联网空间的法律规制，应当走出控人控物的老路，而是积极运用信息规制工具针对信息存储、披露、流动等展开规制。具言之，信息规制工具可以在以下三个方面积极运用：披

12、露信息。比如，网络安全法第二十二条规定，网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时，要按照规定及时告知用户并向有关主管部门报告。在网络安全事件出现时，及时向利害关系人披露不安全事件，其效果往往比断网、关停服务器更好，因为用户一旦更改相关个人安全设置，就能较为迅速地防范风险，这要比规制机关采取统一行动更具有效率。留存信息。在互联网时代，由于信息储存和传输的成本大幅降低，长时间、大范围留存信息本身成为可能。在这种情况下，互联网空间活动的信息被长久留存，本身就是一种有效威慑，这使得试图从事不安全活动的企业和个人面临极大的被“秋后算账”的压力，无形地促使有关

13、企业和个人守法合规活动。共享信息。信息和知识一样，具有“1+1 2”的效果，因此信息共享本身就能增加信息价值。当前推行的诚信系统，打造“一处失信、处处受限”的制裁环境，就是利用信息共享的威力。第三，转变规制思维。网络规制部门应当在法律规制中突出互联网特点，顺应互联网的技术特点实施规制，即“以网治网” ，而不是“抽刀断水” ，不能将规制传统行业的思维直接套用在互联网空间法律规制中。互联网空间的典型特征就是无界性，即互联网空间具有“一处上线、处处施展”的特征，天然超越了地理界限。互联网这种无界性特点使得互联网活动风险大幅增强，但针对这一风险的法律规制不是试图扭转互联网无界性，而是要立足互联网无界性创新规制方式。比如，将互联网违法信息也实行“一处违法、处处受限”的方式，就能很好地威慑互联网空间不安全活动，降低互联网空间安全风险。来源|电子政务 2017年第 2 期，转载引用请注明作者 |张效羽，国家行政学院法学部副教授

展开阅读全文