建構融貫的網絡安全法律體系
2022年9月12日,國家網信辦發布了《關于修改〈中華人民共和國網絡安全法〉的決定(征求意見稿)》(以下簡稱《征求意見稿》)。《征求意見稿》的說明指出,此次修法目的是令《網絡安全法》與2021年修訂實施的《行政處罰法》《數據安全法》《個人信息保護法》在法律責任上相銜接,此為法律體系所固有的融貫性要求。《網絡安全法》作為網絡安全法律體系的基本法,不僅應在法律責任上與新實施的法律之間銜接協調,還需在概念外延、法律適用等方面為網絡安全相關制度奠定體系融貫性基礎。
網絡安全法律體系的融貫性要求
盡管就“網絡法”是否能夠成為一個獨立法律部門仍存在爭議,但對于網絡安全法律體系的存在事實已幾無異議。2015年《國家安全法》的總體國家安全觀為網絡安全法律體系的引領,2016年公布的《網絡安全法》為體系基礎,《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《信息安全等級保護管理辦法》等專門立法為其主干,《民法典》《刑法》等法律制度中的相關規定為其內容,甚至技術標準和社會規范等非國家立法亦為不可忽視的部分。這些共同構成了調整網絡安全法律關系的法律體系。融貫性是法律體系的基本特質,其要求法律體系中的各種規范與各個規則之間價值觀統一、邏輯一致、彼此間能夠相互支持和證立,在法律適用時亦能從整全性視角出發看待規則之間的關系。其中在基本價值上,國家安全目標貫穿于現有網絡安全法律體系的三個部分——網絡運行安全、個人信息安全和網絡信息內容安全。本次《網絡安全法》的修訂則著重于理順規范邏輯與規范內容關系,改善體系協調性。
《征求意見稿》的融貫性措施
《征求意見稿》對于部分違法行為提高或降低了罰款下限,大幅度升高了罰款上限,增加了行政處罰方式,從而與后法相協調。2021年公布的《數據安全法》《個人信息保護法》較之2016年《網絡安全法》大大提高了行政責任幅度。這與國際范圍內對網絡運營者的罰款嚴厲程度上升趨勢有關,尤其是歐盟2018年《一般數據保護條例》所確定的2000萬歐元或上一年度全球營業額4%的巨額罰款上限。《征求意見稿》的“五千萬元以下或者上一年度營業額百分之五以下罰款”新規出自《個人信息保護法》,這也是目前中國網絡安全法律體系中最高金額的罰款規定,體現了《征求意見稿》就高的罰則修改理念。其從業禁止新規亦同樣來自《個人信息保護法》,通報批評這一新的行政處罰方式則取自新修訂的《行政處罰法》。
《征求意見稿》令個人信息安全和數據安全保護呈現為相對獨立部分,內容安全重要性提升。《征求意見稿》在個人信息相關違法行為處罰上,以及關鍵信息基礎設施運營者違反個人信息和重要數據本地化規定應負法律責任上,采取了轉致規定辦法,呈現出將另有全面最新規定的個人信息安全和數據安全保護相對獨立于《網絡安全法》的修法思路。而在網絡信息內容安全的保護上,則體現出了強化網絡運營者的守門人管理義務目的。《征求意見稿》將網絡運營者的網絡信息內容安全法律責任直接提升至網絡運行安全相同高度,尤其是增加了“情節特別嚴重”條款和與之相應的最高罰款金額。其中的從業禁止規定亦與擬修訂的網絡運行安全法律責任相同,即在一定期限內禁止“從事網絡安全管理和網絡運營關鍵崗位的工作”,重申了網絡信息內容治理在網絡安全治理中的重要地位。至此,網絡運行安全、個人信息安全與網絡信息內容安全保護在法律責任規定上幾乎達成一致。
融貫性的提升空間
第一,保護國家安全的理念融貫性要求進一步明確“網絡安全”外延。一方面,國家安全是《網絡安全法》保護的核心法益。個人信息安全雖在特定條件下(特定種類和數量)與國家安全相關,卻因其人格與財產屬性而具有更強的私法和社會法面向。網絡信息內容治理因涉及意識形態安全而與國家安全相聯系,但其保護客體主要是“公民、法人和其他組織的合法權益”(《網絡信息內容生態治理規定》第1條),并因涉及公民表達權這一憲法基本權利而地位獨特。因此,雖然總體國家安全觀為其共同引領,但是涉及國家安全意義中心的部分應為網絡運行安全,處于意義邊緣的個人信息和網絡信息內容治理便可在《網絡安全法》中淡化其存在感。另一方面,新法的不斷出臺令網絡安全各部分之間的差異性進一步凸顯。在《網絡信息內容生態治理規定》《數據安全法》《個人信息保護法》相繼出臺之后,網絡信息內容治理、數據保護和個人信息保護在網絡安全法律體系中日益呈現出獨立態勢。這既表現在網絡信息內容治理以“清朗”而非“安全”為首要目標,也表現為《數據安全法》《個人信息保護法》中的“數據”和“個人信息”概念超越了《網絡安全法》的調整范圍,不僅包含網絡上的電子信息,也包括以其他方式記錄的信息。《征求意見稿》已體現了數據保護和個人信息保護的相對獨立,或可轉而修訂完善2000年公布、2011年修訂的網絡信息內容治理專門立法《互聯網信息服務管理辦法》,從而令網絡信息內容治理規定更加集中,進而強化網絡安全的核心外延。
第二,除總體國家安全觀外,網絡安全法律體系所貫徹的價值還包括《網絡安全法》所提出的網絡安全與信息化發展并重理念。這表現在《數據安全法》第1條的“促進數據開發利用”部分,《個人信息保護法》貫穿全文的處理規則更是突出了其立法目的中“促進個人信息合理利用”的部分。因而在法律適用中,執法、司法部門亦須堅持謙抑態度。最為嚴厲的網絡安全保護法律責任當屬《刑法》第286條之一“拒不履行信息網絡安全管理義務罪”,而該罪因存在前置程序“經監管部門責令采取改正措施而拒不改正”,8年以來適用極少。在行政處罰方面,滴滴案的80.26億元罰款為《個人信息保護法》實施以來所開出的最高罰單。除此之外,并無其他巨額罰款案例。為維護營商環境,在安全和發展之間尋求平衡,還應堅持慎用重典。
第三,《征求意見稿》在一定程度上增加了網絡運營者在經營中的不確定性。其一,《征求意見稿》將部分現行《網絡安全法》針對違反不同條款行為分別論處的處罰措施合并,大大增加了行政執法人員的行政處罰裁量權。其二,現行《網絡安全法》為發布或傳輸違法信息行為的行政處罰設置了轉致規定,《征求意見稿》則為其增加了“法律、行政法規沒有規定的”、由主管部門酌定處罰條款,并設置了最高罰則。這些改變目的是為行政機構規制復雜多變的網絡事務提供便利,有利于個案的靈活處理。為與擴充了的行政裁量權相匹配,國家各方面尤其是執法主體的治理能力亦須得到進一步提升。這包括立法者提供清晰合規指引的能力,執法者的依法行政操守、謙抑行政態度和比例原則運用能力,以及執法者與行政相對人的溝通協作能力,并為體制內外的執法監督提出更高要求,方能實現網絡安全與信息化的均衡發展。
