建立《网络安全法》实施评价标准,推进“十四五”网络安全工作

发布时间:2020-06-28 作者: 中国信息安全

文│ 中国信息安全研究院副院长 左晓栋

《网络安全法》的制定是网络安全领域的一件大事,在实际工作中发挥了重要作用。这个法反映了全社会的共同期盼,凝聚了网络安全从业者的共识,其历史意义永远值得肯定。但不可否认,《网络安全法》在实施中也暴露出了一些问题。有的问题并非《网络安全法》带来的,而是网络安全工作自身面临的挑战。虽瑕不掩瑜,但正视这些问题,是网络安全事业不断取得进步的力量所在,对更好地谋篇布局“十四五”网络安全工作也会有所裨益。


一、“一法一决定”检查本身对《网络安全法》提出了期盼

2017年8月,为了解《网络安全法》《全国人大常委会关于加强网络信息保护的决定》实施情况,查找问题,剖析原因,提出建议,着力推进法律实施中重点、难点问题的解决,全国人大常委会在多个省区市开展了“一法一决定”执法检查。

在2017年12月的检查报告中,检查组从7个方面总结了网络安全工作中存在的困难和问题,也从7个方面提出了贯彻实施“一法一决定”的建议。这些问题与建议,多数针对的是整体网络安全工作,如网络安全意识、网络安全基础设施等方面,但也有些与《网络安全法》的实施直接相关。后者归纳起来主要有两大类:

一是关于部门职责。检查组认为,网络安全监管“九龙治水”现象仍然存在,权责不清、各自为战、执法推诿、效率低下等问题尚未有效解决,法律赋予网信部门的统筹协调职能履行不够顺畅。这本来就是现状,但《网络安全法》不但没有解决这一问题,反而在“法律责任”部分使用了大量语焉不详的“有关主管部门”,加剧了这一矛盾。检查组特别指出,如果不能合理定位,准确厘清部门之间的职责,等级保护制度和关键信息基础设施保护制度落实过程中也会产生执法不协调问题。

二是关于制度细则。检查组指出,作为网络安全管理方面的基础性法律,《网络安全法》不少内容还只是原则性规定,真正“落地”还有赖于配套制度的完善。例如,法律虽然对数据安全和利用作了规定,但数据脱敏标准、企业间数据共享规则等仍然需要有关法规规章予以明确;法律仅明确了关键信息基础设施运营者数据出境需进行评估,但其他网络运营者掌握的重要数据出境是否进行安全评估,尚待进一步明确。关键信息基础设施保护制度是网络安全法一项重要制度,但对于什么是关键信息基础设施、关键信息基础设施认定的标准和程序等,认识尚不一致,需要配套法规予以明确。

在《网络安全法》实施三周年之际,有必要回答,上述问题解决了没有?什么时候解决?没有解决的原因是什么?


二、从几个不同维度思考《网络安全法》实施中面临的挑战

《网络安全法》的重要性自不待言,其作用有目共睹。但这是一项始终处于快速变革中的事业,与时俱进是基本要求,反思的声音更不能缺位,正所谓“审问之,慎思之,明辨之”,方能更好使其起到法律规范作用。从反思的角度看,这里提出四个考量《网络安全法》实施效果的指标,藉此引发对《网络安全法》后续完善方向的讨论。

一是,法律实施与解释机制的完备性。但凡专业领域的法律法规,总是要有一个主要部门负责推进其实施,这不仅体现在法律条款要有明确的执法主体,更要对法律中规定事项的落实作总体安排。遗憾的是,在多个部门从《网络安全法》中获得了执法授权的同时,却基本看不到有哪个部门从总体上对这个法的实施情况进行跟踪、督促。最简单的是,《网络安全法》中每一项需要落地的条款,有没有明确落地时间表?有没有进行定期检查与评估?更为迫切的是,公众对一些条款的疑问,有没有部门负责解释(如“安全可信”的定义)?一些条款在执行时可能存在理解错误(如对“实名制”的扩大化),有没有部门去纠正?一些社会机构出于商业利益曲解《网络安全法》的责任要求,有没有部门去制止?

二是,实际执法案例所援引的条款比例。《网络安全法》的执法案例数不胜数,这当然是好现象。但仅以此评价《网络安全法》显示不够。恐怕要看一下,现有执法案例所援引的条款在《网络安全法》中的比例。总的看,这个比例偏低。换言之,现在人们津津乐道的《网络安全法》大量执法案例,实际上主要集中在法律的个别条款。那么,其他条款怎么办呢?《网络安全法》的实施,不能搞成想执行就执行,好执行就执行,对部门有利就执行。另一个延伸的思考是,如果是这样的话,那么当年出台一个只有少数条款的精缩版《网络安全法》是否可以?似乎不会影响今天的执法效果。此外,《网络安全法》的立法定位很明确,主要解决信息技术领域的安全问题,互联网信息内容安全不是这个法的重点。事实上,《网络安全法》全文也对此着墨不多。但从实际效果看,除了公安机关的等级保护执法,公众看到《网络安全法》发挥作用的,仍主要是在信息内容安全领域。这种局面是怎么造成的?如何调整?

三是,细则与配套法规的出台比例。《网络安全法》确立了多项重要制度,凸显了这个法在我国网络安全保障体系中的基础性作用。法律发布之初,很多智库、律所曾以表格形式列举了与《网络安全法》实施相关的法规、标准。这其中有很多牵强附会,事实上多数制度的细则和配套法规都欠缺,这是正常现象。但三年过去了,这些细则与配套法规怎么样了?其中固然有较多的程序和技术问题需要解决,但有必要作一个统计:已经制定的占多少比例?严格计算的话,这个比例不会很高。特别是,有两类问题要尽快解决。第一类是,《网络安全法》中提出的有关重要概念要尽快明晰,这个不能再拖了,因为这个涉及法律的规范对象。第二类是,应该有部门对细则和配套法规未出台前相关条款的实施状态给一个明确的说法。例如,现在数据出境怎么办?细则没出台,那这项制度到底是实施了还是没实施?以后是否会追溯?

四是,遗留问题的解决程度。法律有滞后性,这是天然决定的。但滞后性不完全是坏事,这给了立法者充分研究的时间。然而,信息技术应用日新月异,网络安全风险挑战快速变化,又决定了很多问题可能来不及研究。因此,在充分研究的基础上制定法律条款,这对网络安全类立法而言有时候不现实,立法中难免有些遗留问题。这不可怕,但如果这些问题长时间存在而没有解决,这就是一种“灾难”。例如,《网络安全法》将个人信息保护执法权赋予了“有关主管部门”,这实际上是没研究清楚执法主体的无奈之举。“一法一决定”检查组发现,法律实施之初的情况是“(用户)投诉无门、部门之间推诿扯皮”。但今天的情况又走向了另一个极端,各部门重复约谈企业、重复执法,一法各表,蔚为壮观。另一个值得思考的问题是,如果某项制度在研究中就遇到了阻碍,尤其是部门之间没有取得共识,强行立法是否合适?真的能够通过立法便使部门之间的分歧迎刃而解吗?网络安全产品认证制度就属于这种情况,推进慢是研究不够便匆忙立法造成的。


三、“十四五”时期应继续抓好《网络安全法》的实施

今年是国家“十四五”网络安全规划“编制年”,有着承前启后的重要意义。“承前”要重在解决《网络安全法》实施中出现的问题,抓紧完善制度文件和执法机制,使这个法的实施真正经得起历史考验,真正体现以人民为中心的发展思想。“启后”要重在构建科学合理的国家网络安全政策体系,在确保《网络安全法》中各项重大制度设计切实发挥作用的同时,需要着手考虑配套法规的协同性,必要时对一些制度的具体实施思路作出适当调整,以适应新的局面和形势。

(本文刊登于《中国信息安全》杂志2020年第6期)


返回上一级

400-622-8990