- 维护网络空间安全:中国网络安全法解读
- 王春晖
- 18128字
- 2020-08-28 01:48:46
三、网络安全立法的中国实践
(一)网络安全刑事立法的实践
2015年,《中华人民共和国刑法修正案(九)》(以下简称《刑法修正案(九)》)颁布实施,这是《中华人民共和国刑法》(以下简称《刑法》)历次修正中规模最大的一次。其中一个重要的内容就是对《刑法》中涉及互联网安全的内容进行了优化,包括:对《刑法》原来的有关危害计算机信息系统安全的规定作了补充;强化了互联网服务提供者的网络安全管理责任;把网络上带有预备实施犯罪性质的行为,在《刑法》中作为独立的犯罪加以规定;对网络上具有帮助他人犯罪的属性的行为,专门作为犯罪独立加以规定。
此外,《刑法修正案(九)》还将其他与网络安全相关的规定作了配套性修改:把出售、非法提供公民个人信息的犯罪作了进一步完善;对在信息网络上编造虚假的险情、疫情、灾情、警情这样四种比较容易引起社会恐慌的谣言的行为,以及明知是这些谣言而传播的行为,增加规定为犯罪;对泄露依照法律规定不公开审理的案件中不应当公开的信息的行为作了规定。关于网络安全犯罪的专门规定,主要涉及我国现行《刑法》的五个条文,即第二百五十三条、第二百八十五条、第二百八十六条、第二百八十七条、第二百九十一条。
1.《刑法》第二百五十三条
《刑法》第二百五十三条之一
是对“侵犯公民个人信息罪”的规定。近年来,侵犯公民个人信息犯罪处于高发态势,既严重侵犯了公民个人信息安全,又往往与电信诈骗等其他犯罪存在密切关联,社会危害日益突出,必须依法予以惩治。2015年11月1日,《刑法修正案(九)》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,扩大了犯罪主体和侵犯个人信息行为的范围,加重了对非法出售、提供或窃取公民个人信息等行为的处罚力度。
2017年5月9日,最高人民法院、最高人民法院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),于2017年6月1日正式施行。《解释》对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。第一,相比于《网络安全法》,《解释》扩大了个人信息的认定范围,将个人信息的定义覆盖到“反映特定自然人活动情况的各种信息”,使得如行踪轨迹信息等具有某种隐私或私密属性的信息类型也纳入到个人信息的范围中;第二,《解释》明确了“提供”公民个人信息的含义,即“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的”都属于提供公民个人信息的情形;第三,扩大了非法利用信息网络罪的使用范围,将个人信息交易的网站、微信群、QQ群等形式也明确纳入《刑法》打击范围;最后,《解释》对于违反信息网络安全管理义务的刑事责任、涉案公民个人信息数量的计算标准予以了澄清。
适用案例:2015年6月,被告人张某某在登录浏览“魅力惠”购物网站时发现,通过修改该网站网购订单号可以查看到包含用户姓名、手机号、住址等内容的订单信息。为牟取利益,张某某委托他人针对上述网站漏洞编制批量爬取数据的恶意程序,在未经网站授权的情况下,进入该网站后台管理系统,从中非法获取客户订单信息12503条,通过QQ等联络方法将上述客户信息分数次卖给被告人姚某某,获利人民币5359元。被告人姚某某购得上述订单信息后,又在网络上分别加价倒卖从中牟利。上海市黄浦区人民检察院提起公诉后,2016年3月29日,黄浦区人民法院以侵犯公民个人信息罪,判处张某某有期徒刑一年九个月,罚金人民币5万元,判处姚某某有期徒刑一年六个月,罚金人民币2万元。
2.《刑法》第二百八十五条
《刑法》第二百八十五条共涉及三个罪名,即:非法侵入计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统的程序、工具罪。本条规定的“违反国家规定”,是指违反国家关于保护计算机安全的有关规定;所谓“侵入”,是指未取得国家有关主管部门合法授权或批准,通过计算机终端访问国家重要计算机信息系统或者进行数据截收的行为;所谓“计算机信息系统”,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的系统。
适用案例:2010年3月至5月间,被告人范某某伙同被告人文某利用计算机上互联网,通过后门程序侵入最高人民检察院反渎职侵权厅、长沙质量技术监督局、青海质量监督总站、抚顺政务公开网、佛山市高明区档案局、句容市安全生产监督管理局、繁昌县文化广电新闻出版局(体育局)、邹平党建网、楚雄州人大常委会、接力出版社、读书人俱乐部、北京钨钼材料厂等网站后台,修改网页源代码,添加“黑链代码”,对上述网站的主页进行修改,以提高其他网站在搜索引擎的排名,从而达到非法获利的目的。二被告人获利共计人民币6000元。
北京市朝阳区人民检察院以被告人范某某、文某犯非法侵入计算机信息系统罪、非法控制计算机信息系统罪,于2010年12月13日向朝阳法院提起公诉。朝阳法院于2011年2月18日作出判决:被告人范某某犯非法侵入计算机信息系统罪,判处有期徒刑九个月;犯非法控制计算机信息系统罪,判处有期徒刑一年,罚金人民币2000元;决定执行有期徒刑一年六个月,罚金人民币2000元。被告人文某犯非法侵入计算机信息系统罪,判处有期徒刑六个月;犯非法控制计算机信息系统罪,判处有期徒刑九个月,罚金人民币1000元;决定执行有期徒刑一年,罚金人民币1000元。追缴被告人范某某、文某犯罪所得人民币6000元,予以没收。
3.《刑法》第二百八十六条
《刑法》第二百八十六条涉及两个罪名,即:破坏计算机信息系统罪,网络服务渎职罪。其中,破坏计算机信息系统罪,是指违反国家规定,对计算机信息系统功能或计算机信息系统中存储、处理或者传输的数据和应用程序进行破坏,或者故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。2011年9月1日施行的《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,对《刑法》第二百八十六条中“后果严重”、“后果特别严重”进行了明确。
适用案例:2013年底至2014年10月,付某、黄某等人租赁多台服务器,使用恶意代码修改互联网用户路由器的DNS设置,进而使用户登录“2345.com”等导航网站时,跳转至其设置的“5w.com”导航网站。二人再将获取的互联网用户流量出售给“5w.com”导航网站所有者——杭州久尚科技有限公司。“2345.com”网站察觉后向警方报案,上海警方于2014年10月立案。经查,两名被告人短时间内违法所得高达75.47万余元人民币。浦东法院在审理后认为,被告人付某、黄某违反国家规定,对计算机信息系统中存储的数据进行修改,后果特别严重,依照《刑法》第二百八十六条、第二十五条第一款的规定,均已构成破坏计算机信息系统罪,分别应处五年以上有期徒刑。被告人付某、黄某具有自首情节,可以减轻处罚;被告人付某让其母亲劝说被告人黄某投案,可以酌情从轻处罚。最终两被告人均获刑三年。依照《刑法》第七十二条第一款和第七十三条第二款、第三款的规定,对被告人付某、黄某均可以宣告缓刑。
4.《刑法》第二百八十六条之一
《刑法》第二百八十六条之一规定了拒不履行信息网络安全管理义务罪。近年来,随着网络技术的快速发展与普遍适用,随之而来的网络安全问题也愈发突出。司法实践中,众多犯罪的发生,往往是一些网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务所致。因此,《刑法修正案(九)》新增不履行信息网络安全管理义务罪。
本罪的犯罪构成分析如下。第一,本罪的主体为特殊主体。即年满16周岁具有刑事责任能力的网络服务提供者,包括互联网接入服务提供者和互联网内容服务提供者。另外,单位也可构成本罪。第二,关于本罪的主观方面应当表现为故意。第三,本罪侵犯的客体是有关国家网络安全的管理制度。第四,本罪在客观方面表现在三个方面:第一个方面是行为违法,即网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务;第二个方面是拒不改正,即经监管部门责令采取改正措施而拒不改正;第三个方面是危害后果,即导致了违法信息大量传播、或用户信息泄露并造成严重后果、或刑事案件证据灭失情节严重、或有其他严重情节的后果的产生。
5.《刑法》第二百八十七条之一
《刑法》第二百八十七条之一规定了非法利用信息网络罪,属于《刑法修正案(九)》的新增罪名。非法利用信息网络罪,是指利用信息网络设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,或发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息,或为实施诈骗等违法犯罪活动发布信息,情节严重的行为。
本罪的犯罪构成分析如下:第一,本罪主体为一般主体。即年满l6周岁具有刑事责任能力的自然人,单位也可构成本罪;第二,本罪在主观方面只能由故意构成,过失不构成本罪;第三,本罪侵犯的客体是有关国家网络安全的管理制度;第四,本罪客观方面表现在利用电子信息传输的通道实施违法犯罪活动,情节严重的行为。主要表现在三个方面:一是设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;二是发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;三是为实施诈骗等违法犯罪活动发布信息的。
6.《刑法》第二百八十七条之二
《刑法》第二百八十七条之二规定了帮助信息网络犯罪活动罪。这条规定主要是针对“为他人实施犯罪提供技术支持等帮助的行为”。明知他人实施犯罪,给其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,直接便利了犯罪的实施。提供广告推广和支付结算,也是互联网犯罪链条上不可缺少的环节,这些帮助行为使得互联网上相关犯罪形成“社会化分工”,降低了犯罪成本,提高了犯罪效率,增强了罪犯逃避打击的能力。如有人专门协助他人非法获取公民的身份信息用于办理大量银行卡,然后提供转账、提取现金等服务;帮助实施互联网诈骗的团伙获取违法收益,逃避法律责任。所以,《刑法》专门对这种帮助行为独立作出规定。
7.《刑法》第二百九十一条之一
《刑法》第二百九十一条之一规定了两个罪名,即:投放虚假危险物品罪,编造、故意传播虚假恐怖信息罪。其中,编造、故意传播虚假恐怖信息罪,是指编造爆炸威胁、生化威胁、放射威胁等恐怖信息,或明知是编造的恐怖信息而故意传播,严重扰乱社会秩序的行为。本罪的主体为一般主体,年满16周岁具有刑事责任能力的自然人,均可构成罪;本罪所侵害的客体为社会秩序;本罪在主观方面必须出于故意;本罪在客观方面表现为编造爆炸威胁、生化威胁、放射威胁等恐怖信息,或者传播编造的恐怖信息,严重扰乱社会秩序的行为。
(二)网络安全个人隐私保护立法的实践
《网络安全法》中的隐私主要指,个人电子信息等个人生活领域内的信息,这些信息不为他人知悉,与公共利益、群体利益无关,他人不便知晓和不得干涉的个人信息。隐私权是自然人享有的对其个人的与公共利益无关的个人信息、私人活动和私有领域进行支配的一种人格权。我国关于隐私权保护的规定分散于多部法律法规中,既有宪法性规定,也有部门法规定,还有司法解释。我国宪法第三十八条、第三十九条、第四十条关于公民人格尊严、住宅、通信自由和通信秘密的保护规定为其他部门法及司法解释保护公民个人隐私提供了母法依据。
在民事立法中,1987年1月1日颁布的《民法通则》第一百零一条规定了“公民、法人享有名誉权,公民的人格尊严受法律保护,禁止用侮辱、诽谤等方式损害公民、法人的名誉。”最高人民法院《关于贯彻执行<中华人民共和国民法通则>若干问题的意见(试行)》第一百四十条规定:“以书面、口头等形式宣扬他人隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。”2001年2月26日最高人民法院《关于确定民事侵权精神损害赔偿责任若干问题的解释》第一条、第三条将隐私作为一项独立的人格利益加以保护,但还没有把隐私权作为一项独立的人格权予以保护。长期以来,我国的民事立法上一直没有把隐私权作为一项独立的基本的公民权利来加以直接保护,而是将公民隐私权归入名誉权中进行间接保护,因此导致我国公民个人隐私权的保护一直未能得到有效重视。事实上,名誉权与隐私权是两种完全不同的概念,两项权利应该是并列关系而不是包含关系。
我国首次在立法中明确使用“隐私权”这一概念的是2005年制定的《妇女权益保障法》,随后在2009年颁布的《侵权责任法》第二条第二款规定:“本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。”可见在这部新法中已经把隐私权作为一项公民基本权利规定出来,隐私权再也不是附属于名誉权的二等权利。2013年修订的《消费者权益保护法》中明确规定了“消费者享有个人信息受保护的权利”。2017年发布的《民法总则》第一百一十条第一款规定:“自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。”在其他单行法中,《刑事诉讼法》、《民事诉讼法》、《行政诉讼法》、《未成年人保护法》、《残疾人保护法》等单行立法中都有关于隐私权保护的零散规定。
对网络隐私权的保护是互联网时代的一个新课题,针对网络隐私权的专门保护,相关部门出台过一批规范性文件。例如,1997年12月8日,国务院信息化工作领导小组审定通过的《计算机信息网络国际联网管理暂行规定实施办法》第十八条规定:“不得在网络上散发恶意信息,冒用他人名义发出信息,侵犯他人隐私。”1997年12月30日,公安部发布施行的《计算机信息网络国际联网安全保护管理办法》第七条规定:“用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。”2000年10月8日,信息产业部第四次部务会议通过的《互联网电子公告服务管理办法》第十二条规定:“电子公告服务提供者应当对上网用户的个人信息保密,未经上网用户同意不得向他人泄露,但法律另有规定的除外。”这些规定为网络隐私权的保护奠定了一定的法律基础。2012年12月28日,第十一届全国人民代表大会常务委员会第三十次会议通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》第一条明确规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”除此之外,网络服务商采取的保护网络隐私权的自律措施,网站公布的自身网络隐私保护声明也都对保护网络隐私起到了一定的积极作用。
(三)网络安全侵权责任立法的实践
随着计算机应用及通信技术的发展,网络已快速辐射到社会各个领域,互联网的广泛应用改变了人们的生活与生产方式,上网浏览新闻、网络游戏、网络购物、网络聊天、网络下载等几乎成为人们日常生活中不可或缺的组成部分。与此同时,通过网络侵犯他人民事权益的现象也日益增多,如利用网络诽谤他人、上传盗版音乐及影视作品,以及“人肉搜索”的流行等。
网络侵权行为是一种特殊的侵权行为,是指行为人通过计算机网络侵害他人的财产和人身,依法应承担民事责任的行为。从侵权行为的种类来看,根据侵权人身份与地位的不同,可分为网络产品生产经营者侵权行为、网上信息获取者侵权行为、网络服务提供者ISP的侵权行为和网络内容提供者ICP的侵权行为。值得关注的是互联网服务提供者的侵权责任问题。网络服务提供者是网络空间中一种全新的主体,对网络的正常运行和健康发展起着举足轻重的作用。正是因为这种不可或缺的职能,网络服务提供者往往会卷入网上的各种侵权纠纷中。因此,如何认定网络服务提供者的版权侵权责任的问题已经摆在面前,需要法律作出回应。
对于网络侵权行为,2000年通过的《全国人民代表大会常务委员会关于维护互联网安全的决定》第六条第二款中规定,“利用互联网侵犯他人合法权益,构成民事侵权的,依法承担民事责任。”2009年发布的《侵权责任法》第三十六条第一~三款规定:“网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。”“网络用户利用网络服务实施侵权行为的,被侵害人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。”“网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。”《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》第五条规定:“提供内容服务的网络服务提供者,明知网络用户通过网络实施侵犯他人著作权的行为,或者经著作权人提出确有证据的警告,但仍不采取移除侵权内容等措施以消除侵权后果的,人民法院应当根据民法通则第一百三十条的规定追究其与该网络用户的共同侵权责任。”可见网络仅仅是侵权的媒介,网络用户或网络服务提供者利用网络侵犯他人合法权益,应当依法承担相应的法律责任。
根据《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》第五条和《侵权责任法》第三十六条的规定,我国对网络服务提供者采取了过错责任的归责原则。其中,《侵权责任法》第三十六条中,关于网络服务商所谓的“必要措施”,是指根据侵权的具体情形和技术条件,在客观上足以阻止侵权行为的危害后果进一步扩散的各种手段;所谓的“知道”,应该是“明知”,而不是“应知”;所谓的“通知”,是指利害关系人就第三人利用网络服务商的服务实施侵权行为的事实向网络中介服务提供者所发出的要求其采取必要技术措施,以防止侵权行为进一步扩大的法律行为;所谓的“及时”,是指在接到利害关系人的侵权“通知”后的合理时间内采取合理的技术措施,以防止侵权行为损害后果的不当扩大;所谓的“扩大部分”,是指网络中介服务提供者在接到利害关系人的“通知”后,由于没有及时采取合理或必要的技术措施,从而导致侵权行为危害结果进一步扩大。
(四)网络安全消费者权益保护立法的实践
近年来,随着我国网络购物规模和网购用户规模迅速增长,网络消费已经成为不可忽视的一种消费形式。网络交易在我国蓬勃发展,给网络消费者带来了方便、快捷的生活,使我们的交易方式由传统的纸质交易开始向数字化交易转变。正是由于网络交易具有虚拟性、无地域性、开放性等特点,与传统交易相比,在网络环境下,消费者权益更容易遭受侵害,对消费者权益保护提出了严峻的挑战。为此,我国新修订的《消费者权益保护法》从维护消费者个人信息安全权、反悔权、求偿权等方面进行了完善。
1.消费者个人信息安全受法律保护
消费者在购物和接受服务过程中,个人信息被随意泄露或买卖的情况时有发生,消费者的正常生活受到严重干扰。而我国在个人信息保护方面尚无专门法律,仅相关法律、法规涉及其中内容,缺乏顶层设计。新修改的《消费者权益保护法》首次将个人信息保护作为消费者权益确认下来,该法第十四条规定:“消费者在购买使用商品和接受服务时,享有人格尊严、民族风俗习惯得到尊重的权利,享有个人信息依法得到保护的权利。”
2.网络购物7日内无理由退货制度
消费者反悔权或后悔权,也被称为7日内无理由退货制度或冷静期制度。《消费者权益保护法》第二十五条第一款、第二款规定,经营者采用网络、电视、电话、邮购等方式销售商品,消费者有权自收到商品之日起7日内退货,且无须说明理由,但下列商品除外:(1)消费者定做的;(2)鲜活易腐的;(3)在线下载或者消费者拆封的音像制品、计算机软件等数字化商品;(4)交付的报纸、期刊。除前面所列商品外,其他根据商品性质并经消费者在购买时确认不宜退货的商品,不适用无理由退货。消费者退货的商品应当完好,经营者应当自收到退回商品之日起7日内返还消费者支付的商品价款。退回商品的运费由消费者承担,经营者和消费者另有约定的,按照约定执行。
随着信息技术发展,网购逐渐成为人们购物的重要方式之一。但这种消费方式因消费者主要通过经营者提供的图片、文字、别人评价等选择商品,不易辨别商品的真实性,消费者投诉持续增加。为秉持公平理念,平衡消费者和经营者之间信息不对称问题,保护消费者的权益,《消费者权益保护法》针对网络等远程购物方式赋予了消费者反悔权。为防止有的消费者滥用这种权利,《消费者权益保护法》规定,反悔权仅适用于网络等远程购物方式,消费者直接到商店购买的物品,不适用该条规定;反悔权的期限是7日内;根据商品性质不宜退货的商品,也不在此列;明确了退货的商品应当完好以及退货费用的承担,从而增强了法律适用的确定性和可操作性。当然,法律关于7日无理由退货的规定仅是最低要求,实践中经营者可以为消费者提供更长的退货权行使期间,法律鼓励经营者为消费者提供更优质的服务。
3.损害赔偿责任主体确定的特殊规定
消费者通过网络交易平台购买商品或者接受服务,其合法权益受到损害的,可以向销售者或者服务者要求赔偿。网络交易平台提供者不能提供销售者或者服务者的真实名称、地址和有效联系方式的,消费者也可以向网络交易平台提供者要求赔偿;网络交易平台提供者作出更有利于消费者的承诺的,应当履行承诺。网络交易平台提供者赔偿后,有权向销售者或者服务者追偿。网络交易平台提供者明知或者应知销售者或者服务者利用其平台侵害消费者合法权益,未采取必要措施的,依法与该销售者或者服务者承担连带责任。
(五)网络安全电子商务立法的实践
一直以来,立法滞后和监管空白让电商发展面临诸多矛盾和问题。2016年12月19日,《中华人民共和国电子商务法(草案)》(以下简称《电子商务法(草案)》)首次提请人大常委会审议,成为我国第一部电商领域的综合性法律,解决了电子商务主体与平台责任、电商征税的规定、个人信息的保护、网购消费者维权等焦点问题。
1.规范电子商务经营主体
《电子商务法(草案)》明确规定了一般的电子商务经营者和电子商务第三方平台的义务与责任。鉴于第三方平台是构成我国电子商务发展的重要载体,因此《电子商务法(草案)》对第三方平台作出明确规定:一是要求其对经营者进行审查,提供稳定、安全服务;二是应当公开、透明地制定平台交易规则;三是遵循重要信息公示、交易记录保存等要求;四是设置了退出的要求。
2.网上开店依法征税
与实体店铺相比,网络购物“不开发票,不交税”几乎是一种潜规则。目前,大型的B2C网站整体比较规范,偷税概率低,但部分B2C、C2C模式的商家仍然不交税。《电子商务法(草案)》第十五条、第十六条规定,电子商务经营主体应当依法履行纳税义务,电子商务经营主体销售商品或者提供服务应当出具纸质发票或者电子发票。
3.填补电子支付立法空白
保障支付安全和防范金融风险是此次草案设立电子支付专节的两大目的。为此,《电子商务法(草案)》第三十二条、第三十六条规定,电子支付服务提供者提供的服务不符合国家有关金融信息安全管理要求,造成电子支付服务接受者损失的,应当承担返还资金、补充差额、赔偿应偿利息损失的责任。电子支付服务提供者发现支付指令未经授权,应当立即采取措施防止损失扩大,否则,对损失扩大部分承担责任。
4.完善快递物流服务义务
《电子商务法(草案)》第三十九条规定,快递物流服务提供者在服务过程中,电子商务交易物品发生延误、丢失、损毁或者短少的,应当依法赔偿。以加盟方式提供快递物流服务的,加盟方与被加盟方承担连带赔偿责任。
5.个人信息安全将受保护
骚扰短信、骚扰电话的出现,往往意味着个人信息的泄露。尤其是在“网购”日益发达的今日,如何保护我们的个人信息安全成为关注焦点。为此,《电子商务法(草案)》设置了专节“电子商务数据信息”。《电子商务法(草案)》第四十六条、第四十九条规定,电子商务经营主体不得以拒绝为用户提供服务为由强迫用户同意其收集、处理、利用个人信息;电子商务经营主体应当建立健全内部控制制度和技术管理措施,防止信息泄露、丢失、毁损,确保电子商务数据信息安全。
6.禁止“刷单”、“炒信”
《电子商务法(草案)》第五十六条、第八十九条规定,不得实施损害电子商务信用评价的行为。有以虚构交易、删除不利评价、有偿或者以其他条件换取有利评价等形式,为自己或者他人提升商业信誉;骚扰或者威胁交易对方,迫使其违背意愿作出、修改、删除商品或者服务评价等行为,由各级人民政府有关部门责令限期改正;逾期不改正的,责令停业整顿,并处以三万元以上十万元以下的罚款;情节严重的,吊销营业执照,并处以十万元以上五十万元以下的罚款。
7.网购维权有章可循
电子商务在给人带来便利和实惠的同时,也成为一些假冒伪劣产品的聚集地,这也是电子商务平台为人诟病之处。对此,《电子商务法(草案)》第五十八条明确指出,消费者通过电子商务第三方平台购买商品或者接受服务,其合法权益受到损害的,可以向商品生产者、销售者或者服务提供者提出赔偿。如果电子商务第三方平台不能向消费者提供平台内经营者的真实名称、地址和其他有效联系方式的,消费者可以要求电子商务第三方平台先行赔付。
(六)应时而生的中国网络安全法
网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。随着全球信息化步伐的加快,它已经成为全球关注的热点问题。据统计,世界上有90多个国家制定了专门的法律保护网络安全。在这个大背景下,我国的《网络安全法》应时而生,并于2017年6月1日起正式实施。
1.《网络安全法》的框架结构
《网络安全法》共七章内容,包含79个条文。其中,第一章为“总则”,第二章为“网络安全支持与促进”,第三章为“网络运行安全”,第四章为“网络信息安全”,第五章为“监测预警与应急处置”,第六章为“法律责任”,第七章为“附则”。
2.《网络安全法》确立的主要法律制度
第一,维护网络空间主权法律制度。“网络空间主权”是我国《国家安全法》首次提出的概念,这一概念在我国法律上的应用,具有重要意义。由于网络空间的电子性、虚拟性,因而在处理网络空间事务时是否应当受作为现代国际法基石的主权原则支配,是国际社会目前面临的重大问题。
对此,我国《网络安全法》第一条开明宗义:“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。”可见,“维护网络空间主权和国家安全”是我国网络安全立法的目的与宗旨,这表明我国坚定主张网络空间活动应遵循主权原则。“维护网络空间主权和国家安全”作为一项法律制度明确了我国处理网络空间主权事务的根本原则,寓意着我国各领域开展网络空间活动、处理网络空间事务时,应尊重他国主权,并且反对任何国家在网络空间侵害别国主权。
第二,构建网络安全标准体系法律制度。网络安全标准化是网络安全保障体系建设的重要组成部分,在构建安全的网络空间、推动网络治理体系变革方面发挥着基础性、规范性、引领性作用。《网络安全法》第十五条规定,“国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。”
经中央网络安全和信息化领导小组同意,中央网信办、国家质检总局、国家标准委于2016年8月联合印发《关于加强国家网络安全标准化工作的若干意见》(以下简称《意见》),《意见》要建立统筹协调、分工协作的工作机制,加强标准体系建设,提升标准质量和基础能力,强化标准宣传实施,加强国际标准化工作,抓好标准化人才队伍建设,做好资金保障。按照《意见》的部署,我国将系统地围绕国家战略需求,开展关键信息基础设施保护、网络安全审查、工业控制系统安全、大数据安全、个人信息保护、网络安全信息共享等领域标准研制工作。按照《网络安全法》的规定,今后所有的网络产品、服务均应当符合相关国家标准的强制性要求。
第三,完善网络安全等级保护法律制度。网络安全等级保护法律制度是国家在打造网络强国和发展社会信息化的过程中,提高网络和信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和实现网络强国的一项基本法律制度。实行网络安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强网络安全保护的整体性、针对性和实效性。
《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。一是制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;二是采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;三是采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;四是采取数据分类、重要数据备份和加密等措施等。
第四,明确网络运营者履行安全义务法律制度。网络运营者,是指网络的所有者、管理者和网络服务提供者。在《网络安全法(草案)》征求意见期间,一些地方、部门、社会公众提出,为营造良好的网络环境和秩序,应当进一步强化网络运营者的社会责任。对此《网络安全法》增加了网络运营者必须遵守法律、行政法规,遵守社会公德、商业道德,诚实信用,履行网络安全保护义务,接受政府和社会公众的监督,承担社会责任。
首先,明确了网络运营者的社会责任。网络运营者的社会责任是指企业在创造利润、对股东承担法律责任的同时,还要承担遵守法律、尊重社会公德和商业道德,诚实信用地履行网络安全的责任;网络运营者的社会责任要求企业必须超越把利润作为目标的传统理念,强调要在企业经营和服务过程中对网民价值的关注,强调对网络环境的维护和治理。《网络安全法》第九条要求,网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。
其次,设定了网络运营者安全保护的义务。《网络安全法》第二十一条既确定了网络安全等级保护制度也对网络运营者的安全义务作了详细规定,如确定了网络安全负责人制度、强化网络安全行为的技术措施、采取数据分类、重要数据备份和加密等措施,同时要求网络运营者采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
最后,强化了网络运营者提供安全的网络产品和服务义务。近年来,互联网行业的不正当竞争行为日趋多发,例如有的互联网企业利用安全软件的底层优势和垄断的市场地位,通过不兼容、难卸载、恐吓和欺骗等方式来阻止网络消费者安装其他安全软件,还有的网络运营商提供的网络产品随意获取用户的信息等。
《网络安全法》第二十二条从以下五个方面强化了网络运营者的产品与服务的义务:一是所有网络产品、服务应当符合相关国家标准的强制性要求;二是网络产品、服务的提供者不得设置恶意程序;三是网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,及时告知用户并向有关主管部门报告;四是应当为其产品、服务持续提供安全维护,同时在规定或者当事人约定的期限内,不得终止提供安全维护;五是如果网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意,并遵守有关法律、行政法规关于个人信息保护的规定。
第五,完善个人信息保护法律制度。为了强化保护公民个人信息安全,防止公民个人信息被窃取、泄露和非法使用,《网络安全法》在《全国人民代表大会常务委员会关于加强网络信息保护的决定》的基础上用较大的篇幅专章(第四章网络信息安全)规定了公民个人信息保护的基本法律制度,主要有四大亮点:一是网络运营者收集、使用个人信息必须符合合法、正当、必要原则;二是规定网络运营商收集、使用公民个人信息的目的明确原则和知情同意原则;三是明确公民个人信息的删除权和更正权制度,即个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正;四是规定了网络安全监督管理机构及其工作人员对公民个人信息、隐私和商业秘密的保密制度等。
目前,侵犯个人信息和实施通讯信息网络诈骗等新型网络违法犯罪呈多发态势,对此,《网络安全法》有针对性地规定:“任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布与实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动有关的信息。”这些规定对于保护公民网络空间的合法权益,维护网络空间的安宁显得十分必要和紧迫,也为今后《个人信息保护法》的制定提供了上位法依据。
第六,强化关键信息基础设施安全保护法律制度。早在2003年,我国在《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)中就提出了坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。但是该意见未就基础信息网络和重要信息系统安全保护的范围作出明确界定。
《网络安全法》明确了关键信息基础设施的重点保护范围,即“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”这是我国首次在法律层面提出关键信息基础设施的概念和重点保护范围。
为了明确了关键信息基础设施安全保护的责任,《网络安全法》从国家和关键信息基础设施运营者两大层面,明确了对关键信息基础设施安全保护的法律义务与责任。在国家层面,按照国务院规定的职责分工,由专门机构负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。在关键信息基础设施运营者方面,《网络安全法》除在第二十一条作了一般性规定外,在第三十四条专门设定了关键信息基础设施的运营者应当履行的四大安全保护义务和一项兜底条款,即设置专门安全管理机构和安全管理负责人;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案并定期进行演练,以及法律、行政法规规定的其他义务。
第七,确立限制关键信息基础设施重要数据跨境流动法律制度。个人信息或数据的跨境流动,就是个人信息或数据从我国境内流到国外。联合国跨国公司中心对跨境数据流动(Transborder Data Flow)的界定是:跨越国界对存储在计算机中的机器可读的数据进行处理、存储和检索。关于一国境内个人信息和重要数据的跨境流动问题,许多国家都规定了重要数据本地化存储、禁止重要数据的跨境流及数据跨境流动的安全评估制度。例如美国制定的《出口管理条例》(EAR)和《国际军火交易条例》(ITAR)分别对非军用和军用的相关技术数据进行出口实施许可管理制度;再如印度的电信许可制度要求各类电信运营商和互联网服务提供商,均不得允许将用户账户信息、用户个人信息转移至境外,否则将吊销经营许可。
实际上,数据的流动主要发生在服务器之间,如果网络运营者的服务器设置在国外,数据或信息就可能在境内外的服务器之间流动,最终导致个人信息或数据的跨境流动。长期以来,我国对一些特殊领域的个人信息和重要数据存储的位置一直没有明确规定。就此问题,《网络安全法》专门对关键信息基础设施运营者的个人信息存储地点提出了特殊要求:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
第八,确定了培养网络安全人才法律制度。党的十八届五中全会和“十三五”规划把“网络强国”纳入我国“十三五”规划的战略体系,强调了网络强国战略、大数据战略和“互联网+”行动计划。习近平在网络安全和信息化工作座谈会上指出,“得人者兴,失人者崩。”网络空间的竞争,归根结底是人才竞争。建设网络强国,没有一支优秀的人才队伍,没有人才创造力迸发、活力涌流,是难以成功的。
从长远看,人才培养是实施网络强国战略进程中的必备基础和先决条件,是建设网络强国的关键所在。尤其是网络技术领军人才的培养、储备和运用是网络强国战略实施之根本、也是网络强国能否成功之基石。网络安全人才的培养应当重点发挥高等院校、科研机构和网信企业的作用。《网络安全法》提出,“国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。”
第九,建立了网络安全监测预警和信息通报法律制度。近几年,国家关键基础设施领域网络信息安全事件频繁发生,呈现不确定性、全局性和连锁性特点,加强监测预警与应急处置已经成为国际社会的普遍共识,尤其是建立应急处置已经成为治理网络安全活动的基本措施。因此,建立一套完整、科学、有力的网络监测预警与应急处置法律制度已经迫在眉睫。
《网络安全法》第五十一条规定,“国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。”鉴于网络信息安全的专业性、复杂性和全局性,必须由专门的机构负责网络的监测预警,以便及时把握网络信息安全事件发生的动态和规律。
《网络安全法》分别对关键信息基础设施安全保护部门和国家网信部门作出了具体要求,即负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息;国家网信部门应当协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。
第十,确立了网络通信管制法律制度。现实社会中,出现重大突发事件,为确保应急处置、维护国家和公众安全,有关部门往往会采取管制等措施。例如乘坐飞机旅行时,经常可能遇到空中交通管制而变更航线、目的地、起落时间,有序的空中交通管制是保证所有旅客和空域安全的必要程序。网络空间是虚拟社会,当出现一些突发性重大事件时,例如在暴恐事件中,恐怖分子通过网络通信进行策划、联系、组织实施暴恐行为时,就会对网络通信实施管制。类似的管制措施在其他国家的立法中早已出现,如美国的《网络空间作为国有资产保护法案2010》规定,当国家机构的IT系统出现重大突发事件,总统可宣布进入紧急网络状态,并强制私营业主对关键IT系统采取补救措施,以保护国家的利益。
根据《中华人民共和国突发事件应对法》第三条的规定,突发事件,是指突然发生,造成或者可能造成严重社会危害,需要采取应急处置措施予以应对的自然灾害、事故灾难、公共卫生事件和社会安全事件。按照社会危害程度、影响范围等因素,将自然灾害、事故灾难、公共卫生事件分为特别重大、重大、较大和一般四级。
按照上述法律的规定,发生特别重大突发事件,对人民生命财产安全、国家安全、公共安全、环境安全或者社会秩序构成重大威胁,采取《中华人民共和国突发事件应对法》和其他有关法律、法规、规章规定的应急处置措施不能消除或者有效控制、减轻其严重社会危害,需要进入紧急状态的,由全国人民代表大会常务委员会或者国务院依照宪法和其他有关法律规定的权限和程序决定。
《网络安全法》第五十八条规定,“因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。”可见,我国实施网络通信管制措施非常严肃和慎重,需具备三个条件:一是必须是为了处置重大突发社会安全事件的需要;二是处置的范围是特定区域,且是临时性措施;三是实施网络通信管制须经国务院决定或者批准。
以上列举的《网络安全法》十大法律制度,将在本书以下各章节进行系统分解和释疑。
3.《网络安全法》的配套规定
第一,《网络产品和服务安全审查办法(试行)》(以下简称《审查办法》)。2017年5月2日,国家网信办发布了《审查办法》,并于2017年6月1日起正式实施。根据《审查办法》第四条的规定,网络安全审查重点审查网络产品和服务的安全性、可控性,主要包括四大方面:一是产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险;二是产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;三是产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;四是产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险。尽管《审查办法》仅有十六条规定,但其构建了网络产品和服务安全审查的基本制度框架。
第二,《互联网新闻信息服务管理规定》(以下简称《管理规定》)和《互联网新闻信息服务许可管理实施细则》(以下简称《实施细则》)。国家网信办分别于2017年5月2日和5月22日发布了《管理规定》和《实施细则》,二者都自2017年6月1日起施行。《管理规定》明确了申请互联网新闻信息服务许可的相关规定,申请主体为中央新闻单位(含其控股的单位)或中央新闻宣传部门主管的单位的,由国家互联网信息办公室受理和决定;申请主体为地方新闻单位(含其控股的单位)或地方新闻宣传部门主管的单位的,由省、自治区、直辖市互联网信息办公室受理和决定;申请主体为其他单位的,经所在地省、自治区、直辖市互联网信息办公室受理和初审后,由国家互联网信息办公室决定。国家或省、自治区、直辖市互联网信息办公室决定批准的,核发《互联网新闻信息服务许可证》。《互联网新闻信息服务许可证》有效期为三年。有效期届满,需继续从事互联网新闻信息服务活动的,应当于有效期届满三十日前申请续办。
第三,《互联网信息内容管理行政执法程序规定》(以下简称《程序规定》)。2017年5月2日,国家网信办发布了《程序规定》,并于2017年6月1日起正式实施。《程序规定》在《行政处罚法》的基本原则下做到“统一协调、面面俱到、内外兼修、与时俱进”,为此后监管执法工作提供了重要的法律依据,可谓是互联网信息内容管理行政执法所仰仗的利器。
第四,《个人信息和重要数据出境安全评估办法》(以下简称《评估办法》)。根据《评估办法》的规定,数据出境安全评估应重点评估以下内容:数据出境的必要性;涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;数据出境及再转移后被泄露、毁损、篡改、滥用等风险;数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险及其他需要评估的重要事项。
第五,《关键信息基础设施安全保护条例》(以下简称《保护条例》)。《保护条例》在《网络安全法》的基础之上明确提出了两项新的法律要求:一项是对于“外包开发的系统、软件以及接受捐赠的网络产品”,上线应用前的安全检测要求;另一项是关键信息基础设施的境内运行维护要求,因业务需要,确需进行境外远程维护的,应事先报国家行业主管或监管部门和公安部门。对于面向关键信息基础设施开展安全检测评估,发布系统漏洞、计算机病毒、网络攻击等安全威胁信息,提供云计算、信息技术外包等服务的机构,《保护条例》也明确要求服务机构应当符合网信办会同国务院有关部门另行制定的具体要求。
可以预见,国务院及相关部门将围绕《网络安全法》陆续制定和颁布一系列的配套法规和规章,进一步完善以《网络安全法》为基本法的我国网络空间安全法律体系。
本章参考文献
[1] 王春晖.互联网治理四项原则基于国际法理应成全球准则.南京邮电大学学报(自然科学版),2016(1):9-15
[2] 杨合庆.《中华人民共和国网络安全法》释义.北京:中国民主法制出版社,2017
[3] 李立众.刑法一本通.北京:法律出版社,2016
[4] 王晋.网络服务提供者著作权侵权责任研究.北京:知识产权出版社,2016
[5] 于志刚,郭旨龙.网络刑法的逻辑与经验.北京:中国法制出版社,2016
[6] 刁胜先等.个人信息网络侵权问题研究.上海:上海三联书店,2013
[7] 刘跃进.国家安全学.北京:中国政法大学出版社,2004
[8] 朱莉欣,韩晓阳.基于机遇和挑战谋略发展和安全.信息安全与通信保密,2017(2):30-37
[9] 吴沈括.战略引领、法律规制,加速拓展网络空间安全建设的中国道路.中国信息安全,2017(2):45-46
[10] 孙佑海.论我国网络安全面临的十大问题和立法对策.中国信息安全,2014(10):42-45