网络安全法的基本原则
摘要:网络安全法的基本原则是指导和规范网络安全法的立法、执法、规范网络安全法律关系主体的行为以及相关争议处理的基础性规范,是体现网络安全法根本价值的法律原则,构成网络安全法体系的神经中枢。我国网络安全法的基本原则包括网络空间主权原则、适度安全原则和公共治理原则等三个。
关键词:基本原则;网络空间主权原则;适度安全原则;公共治理原则
一、网络安全法基本原则的概念和功能
(一)网络安全法基本原则的概念
法律原则与法律规则、概念共同构成了法律规范的基本要素[1]。法律原则是指可以作为规则的基础或本源的综合性、稳定性原理和准则。法律原则不预先设定任何确定的、具体的事实状态,没有规定具体的权利和义务,更没有规定确定的法律后果。但是,它是指导和协调着全部社会关系的法律调整机制[2]。法的基本原则贯穿法律规范的始终,是其他规则的来源和依据,具有不可动摇的根本地位,对于立法、执法和司法具有指导和规范作用。网络安全法的基本原则是指导和规范网络安全法的立法、执法活动、规范网络安全法律关系以及相关争议处理的基础性规范。它贯穿于网络安全法的始终。
(二)网络安全法基本原则的功能
根据法理学对于法律原则的概念和功能的总结,网络安全法的基本原则在网络安全法制领域的功能可以概括为:第一,网络安全法基本原则是网络安全法的“基础性规范”,网络安全法的具体规则和原则以网络安全法基本原则为指导、反映和体现网络安全法的基本原则,而不能与之相抵触。立法者在制定网络安全法律法规的过程中受到网络安全法基本原则的指导和约束,网络安全法律、网络安全法规和规章都要体现和贯彻网络安全法的基本原则。第二,网络安全法基本原则是一种普遍性规范,它对网络安全法律关系进行整体宏观调整、规范。执法者和司法者在适用网络安全法具体规范调整特定法律关系时,必须受网络安全法基本原则的指导和约束。网络安全法的基本原则也为网络活动的参与者提供了一定的行为准则,理解网络安全法的基本原则对于他们理解和遵守网络安全法律规范具有指引作用。第三,网络安全法基本原则在特定条件下可以起到补充作用,在一定情形下也直接规范与网络安全有关的活动以及相关争议的处理。一般来说,网络安全法基本原则并不直接调整和规范网络安全法律关系。但是在相应问题缺少具体规则、或者法律给执法机关或争议处理机关留下较广泛的裁量空间时,就需要接受网络安全法基本原则的拘束,即根据网络安全法基本原则做出相应行为和裁决相应争议。
二、网络安全法基本原则的确定
网络安全法的基本原则的确定应当建立在对于网络安全法产生的时代背景以及其所调整的社会关系的基础之上。笔者认为,以下四个方面因素是确定网络安全法基本原则必须考量的因素。第一,网络安全法承担着维护国家主权的重要任务。网络安全是关系国家安全和发展,关系到人民群众切身利益的重大问题。网络安全法是以总体国家安全观为指导思想制定的,维护国家网络环境安全是网络安全法的重要任务。网络空间主权已经成为我国处理网络事务的根本指针和制度基石,也是网络安全立法、司法和执法必须遵循的原则。网络安全法应当以网络空间主权原则为核心和首要原则,网络空间主权原则的确立对于相关领域的国内事务、国际事务处理均具有重要意义。第二,网络安全法是以“问题为导向”的法律规范,其内容具有一定的综合性和复杂性。网络安全法并不是一部独立的部门法,这部立法主要针对网络安全领域中存在的突出问题,规范了各方面参与主体的权利义务,以及国家有关部门的职责,是相关领域的民商事活动、行政活动等的法律依据。因此,问题的多元性决定了网络安全法律规范的多元性,网络安全法律规范涵盖了相关领域的民事、行政和刑事法律规范。因此,网络安全法基本原则的确定需要结合不同领域的社会关系调整方式的不同,合理的界定国家治理与社会自治的关系。第三,网络安全法需要处理好信息技术发展与网络安全之间的关系。网络安全的实现需要以信息技术为基石,信息技术的发展是网络安全的技术保障,也是整个国民经济发展的重要支撑。为了维护网络安全而构建的网络安全审查制度、信息共享制度等制度无疑会增加相关行业的运行成本,过于严苛的网络安全保障制度设置会阻碍信息的自由流通,甚至会窒息互联网行业的发展空间。因此,合理界定监管权力的范围、平衡网络安全与信息技术发展的关系是网络安全法的重要任务[3]。
三、网络安全法基本原则的内容
在全面考察网络安全法产生的历史背景以及其所调整的社会关系的特殊性的基础上本文认为以下三个基本原则应当作为网络安全法的基本原则,即———网络空间主权原则、适度安全原则和公共治理原则。
(一)网络空间主权原则
学者将网络空间提炼为“网络设施、网络主体和网络行为”三要素[4],并在此基础之上借鉴主权的概念将网络空间主权界定为国家在其领域内对网络设施、网络主体和网络行为所拥有的最高权力、对外的独立权和自卫权[5-6]。综合学界现有的研究成果,我们将网络空间主权原则界定为:国家对一国网络基础设施、网络主体和网络活动管辖具有最高的管辖权,有权通过行政、经济、法律手段维护网络秩序,确保国家利益不受侵犯;有权参与国际网络空间治理活动,在遭遇他国政府或公民网络攻击时有权行使自卫权。网络空间已经成为继陆地、海洋、天空、太空之后的“第五大空间”。理论上网络空间可以自由进入和开发,但并不能就此认定网络空间属于“全球公域”,不受任何主权国家的管制。网络空间是受主权国家管辖的空间。这是因为:第一,组成网络空间的物理设备设施是在主权国家管辖之下的。第二,网络空间中的信息自由不是因为它是一个全球公域,而是因为各国免除或放松了信息出入境管制。但是网络空间不是完全的虚拟空间,而是现实世界的一部分,传统法律自然而然地延伸适用于网络空间;国家主权也自然而然地延伸适用于网络空间。第三,网络空间具有社会性。全球已有超过30亿的网民参与其中,人们在网络空间中交流互动,形成了一个真正的社区或社会,构成现实社会的一部分。在这样一个有海量国民参与的社会空间中,网络主体在网络空间中享有权利的同时也应履行相应的义务,承担相应的法律责任。第四,网络的互联互通性或无国界性意味着各国政府、组织和社会公众要加强合作,共同治理网络空间;意味着各国对打击其领域上的网络犯罪等违法行为负有一定的国际义务和责任[7]。网络空间主权原则对于国家以及所有网络活动的参与者都具有极强的现实意义。第一,国家应当制定法律法规、采取相应措施对于国内信息网络实施管理。在网络安全问题凸显的今天,国家承担保护国内信息网络安全的义务,应当积极履行职责,针对个人网络安全、关键信息基础设施的安全等建立有针对性的保护机制,维护国内信息网络安全秩序。第二,国家在处理涉外网络安全问题时坚持网络主权原则,依法对于来自于境外的网络安全风险和威胁采取措施,进行监测、防御和处置,保障国家关键信息基础设施免受攻击、侵入、干扰和破坏。国家在处理国内网络安全问题时,本着网络空间主权原则,对境内的网络活动参与者、网络系统与数据行使最高管理权。第三,网络服务提供者、关键信息基础设施的运营者以及网络用户均受网络空间主权原则的约束,应尊重国家主权,保守国家秘密,在从事可能涉及国家安全和利益的各项活动中自觉接受国家安全机关、保密机关以及国家网信机关的监督和管理。
(二)适度安全原则
所谓“适度安全原则”是指,网络安全法需要平衡网络安全与信息自由之间的冲突,将对网络安全的保护控制在适度的范围之内,不能为了绝对的网络安全而对于信息网络的使用者与运营者加诸过于严格的安全保护义务以至于扼杀了信息网络的互联互通和信息技术的发展。全国人大常委会在对于《网络安全法(草案)》的说明中明确了“坚持安全与发展并重”的原则。一方面,如果过分强调个人的表达自由、通信自由以及互联网行业的技术创新、价值创造的需要而片面降低对于网络安全的要求,那么不受约束的网上谣言、诽谤、盗版传播甚至犯罪活动最终会瓦解公众对于互联网的信任、打压文学艺术以及科技创新,将信息网络引向歧途。另一方面,如果过于强调网络安全,要求网络服务提供商或者中间平台等承担过于严格的网络安全保障义务,那么中间平台无疑会动辄得咎,疲于应付,生存下去都会成为问题,更何谈发展和创新[8]。网络服务提供商的安全保障义务过重会直接限制整个国家信息化发展的进程。因此,网络安全的保护不可避免地会引起对于网络使用的限制,但是这一限制应当是“有限度”的,要平衡网络安全与信息自由之间的冲突,将对于网络安全的保护控制在适当范围之内。适度安全原则主要体现在对于网络服务提供者的侵权责任认定上。早在上个世纪末,美国、德国和欧盟的相关立法就系统地规定了互联网服务提供商中间平台的责任豁免制度。欧美对于互联网服务提供商责任豁免的法律规定,对其他国家的互联网立法产生了广泛的影响,逐步成为各国普遍采用的一项基本法律制度[7]。适度安全原则在《网络安全法》《侵权责任法》等立法中均由体现。《网络安全法》第三条明确规定了“国家坚持网络安全与信息化发展并重”,这是适度安全原则的重要体现。《侵权责任法》在网络服务提供者的侵权责任认定问题上吸收了国际通行的“避风港规则”和“红旗规则”。《侵权责任法》第三十六条第二、三款的规定也被称之为“通知与移除规则”(noticeandtakedown),“通知与移除规则”的确立为网络服务提供者建立了一个“避风港”,使其免受来自指控他人侵权之人、网络服务对象的两头夹击,有利于维护网络技术服务提供者的合理自由[9]。但无疑这种“自由”必须是有限度的,否则它将摧毁信息自由本身。适度安全原则的确立要求立法者在立法过程中必须正视网络安全与发展间的矛盾,找到二者间的切合点。《电子商务法》立法过程中对于电商平台责任的争议以相应条款的五次修改体现了适度安全原则对于相关立法活动的影响。《电子商务法》一审稿规定了电商平台对于平台内经营者侵犯知识产权行为的注意义务。对于这一条款普遍意见认为:仅规范“明知”的情形过于宽松,不利于电商平台履行注意义务。为此,二审稿强化了电商平台的注意义务,除了其明知侵权行为的情形之外,另外规定了在其“应当知道”平台经营者存在侵犯知识产权的情形的情况下未采取必要措施时与侵权行为人承担连带责任。对于二审稿的这一规定,很多代表认为:电商平台不但应该对于侵犯知识产权的行为负责,还应该与消费者权益保护法的规定衔接细化其对于消费者权益的保护责任。针对上述意见,三审稿提出了“双连带责任”的规范模式,增加了电子商务平台经营者对于关系消费者生命健康的商品或者服务的经营者的审核义务和相应的连带责任。三审稿公布之后,电商平台等纷纷对于第二层次的连带责任提出了反对意见,认为这一规定给平台经营者施加了过于严苛的注意义务,不利于电子商务行业的发展,提出应当将第二层次的“连带责任”减弱为“补充责任”。四审稿吸收了这一意见,降低了平台经营者的注意义务,草案一旦获得通过平台经营无疑将获得更大的自由,却打破了电商与消费者权利相平衡的状态,减弱了对消费者权利的保护。最终在平衡消费者权益保护与电商发展两方面的利益之后,表决稿将“补充责任”修改为“相应责任”[10]。虽然最终的立法结果并未彻底解决争议,但是,这一立法过程无疑是体现了适度安全原则指引下对于安全与自由二者的权衡。
(三)公共治理原则
公共治理是指由开放的公共管理与广泛的公众参与这两种基本元素综合而成的治理模式[11]。公共治理原则包含三方面的内容:第一,包括政府、企业、公民在内的多元治理主体;第二,治理工具上既包括强制性的法律,也包括非强制性的软法及二者的混合;第三,治理结构不再是垂直的“命令-服从”,而是网络状的、平行的协商模式[12]。在网络安全领域,多元的治理主体、灵活的治理手段以及协商、合作的治理模式对于网络安全的保障具有重要意义。这是由于:第一,网络安全的保障是一个具有极强的技术性的问题,网络安全的保障程度与相关领域的技术研发、技术创新和应用密切相关。而掌握最新、最优网络安全保障技术的往往是相关领域的企业或者科研机构研发出来的。因此,网络安全的保障有赖于国家与这些企业、研发机构及高等院校之间的合作,通过鼓励、推动和运用新技术而不断提升网络安全保障的水平。第二,网络用户与从事网络信息有关活动的组织往往是与网络安全问题距离最近的主体,相比而言,政府从知情到响应往往需要较长的时间并支付更高的成本。因此,尽可能的调动广大网民、网络服务提供者等社会主体参与到网络安全的公共治理之中,能够更加及时、高效、便捷地应对网络安全问题。特别是网络服务的提供者,往往通过其掌握的行业规律、常见争议及安全问题等事先制定网络规约、建立安全问题举报制度、信用评价制度等等制度,已经在网络安全的保障上发挥了重要的作用,将这些多元的治理机制吸纳到网络安全的保障与规制中来,符合效率性的要求。第三,相比行业组织、信息网络的运营者与网络服务的提供者等主体而言,政府机关的人员配备及专业能力都相对较弱。只有吸收多元主体、综合运用国家法律与行业规则、兼顾国家规制与行业自律的多元治理模式方能够胜任网络安全保障工作[12]。作为网络安全法基本原则的公共治理原则体现在网络安全法律规范的多个层次。首先,公共治理原则要求国家、个人、网络运营者、网络服务提供者、行业组织、科研机构、高等院校等多元主体共同参与到网络安全的治理活动中来。我国《网络安全法》第六条规定了国家倡导通过全社会共同参与促进网络安全的良好环境的形成。其次,公共治理原则要求在网络安全的保障上坚持国家规制与行业自律并重,重视行业组织在网络安全保障上的重要作用,借助行业自律的高效性、专业性提升整个国家网络安全保障的水平。我国《网络安全法》在强调国家的监管责任的同时,亦重视行业自律对于维护网络安全的重要作用。《网络安全法》第十五条、第二十九条的相关规定就是这一原则的重要体现。再次,公共治理原则要求对于网络安全的保障要采取强制性管理与柔性合作并举的治理手段,不能片面强调强制性规则的重要性而忽略了柔性的行业与部门合作、协商、信息共享等手段的重要性。例如《网络安全法》第三十九条的规定就强调了国家有关部门与关键信息基础设施的运营者等间的网络安全信息共享与安全保障合作。这些都是公共治理原则的体现。当然,除了网络空间主权原则、适度安全原则、公共治理原则之外,在网络安全法的各个领域还需要遵循相应部门法的基本原则。例如,在处理平等主体之间的网络安全纠纷时,应坚持民法上的平等原则;在处理网络安全的行政监管问题时,应坚持行政法上的合法行政原则、比例原则和正当程序原则等原则;在追究涉及网络安全的刑事犯罪的过程中,应当遵循刑法的罪刑法定原则、罪责刑相适应原则等原则。
四、结语
随着《网络安全法》的颁行,《电子商务法》《互联网新业务安全评估管理办法》等等网络安全相关领域的法律规范也在制定过程之中。探讨网络安全法的基本原则对于指导当前的立法活动意义尤为重大。同时,随着网络安全法律规范相继实施,实务在适用相关法规过程中也需要运用网络安全法的基本原则指导执法与司法活动。从理论层面挖掘网络安全法的基本原则的内涵对于推进网络安全立法和实践均具有重要意义。
参考文献
[1]张文显.法理学[M].3版.北京:北京大学出版社,2007:113-114.
[2]张文显.规则原则概念———论法的模式[J].现代法学,1989(3):27-30.
[3]刘品新,张艺贞.《网络安全法》立法的三原则[J].中国信息安全,2014(9):66-68.