网络安全法是否要与原有立法保持一致,还是要另起炉灶?目前的草案明显是采用了后者,采用“网络运营者”这一新概念试图对所有网络的所有者、管理者以及利用网络提供服务的服务提供者进行规范,其含义极其广泛。但这么广泛的定义会不会反而失之于宽?不与现有立法中的准入制度相对应,企业如何能够对号入座,明确自己是否是法律所称的“网络运营者”?而且从草案规定的义务来看,不同的“网络运营者”
如何明确自己应承担义务的范畴?这些都可能在操作中产生困境,影响法律实施的效果。笔者建议由于网络运营者的义务更多侧重于网络的运行安全,而网络服务提供者则侧重于信息安全(数据安全),其义务应有所区分,因此,《网络安全法》还是采用网络运营者和网络服务提供者两个定义,并分别对应于电信条例中的基础电信业务经营者和增值电信业务经营者。
2、关于关键信息基础设施运营者
《国家安全法》第二十五条规定:国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。首次提出了“关键基础设施”的概念,《网络安全法》草案专门规定了“关键信息基础设施的运行安全”.
在关键信息基础设施运营者的界定中,关于《中华人民共和国网络安全法(草案)》的说明中明确指出:关键信息基础设施的范围包括基础信息网络、重要行业和领域的重要信息系统、军事网络、重要政务网络、用户数量众多的商业网络等。
其中,最为引人关注的是商业网络是否属于“关键信息基础设施”的范围。诚然,“用户数量众多的商业网络”无论在商业上,还是管理、安全的意义上都具有较大的影响力。但“商业网络”是否应纳入“关键信息基础设施”的范畴,还是要看“关键信息基础设施”制度的目标和制定初衷。从国外的界定看,关键基础设施对国家安全、经济社会发展十分重要,一旦遭到破坏,后果十分严重。也就是说,关键信息基础设施所在的行业具有全局性、战略性和基础性,对国家安全具有特殊意义,需要划定范围,给予特殊保护。如果关键信息基础设施涵盖“商业网络”,范围过宽,则可能使其“关键性”大打折扣。
三、适应新技术业务发展的网络安全立法
移动互联网、云计算、物联网、大数据等新技术新业务的发展,对网络安全、数据安全、个人信息保护等制度带来新的影响。例如,互联网经济的发展、信息和知识的分享传播等,依赖于全球信息的自由流动。但是为应对云计算等新技术发展对数据安全带来的新挑战,很多国家也在采取不同措施对数据跨境流动进行限制;保护个人的隐私安全是基本的公民权利,但是互联网的业务应用、大数据的发展都依赖于对个人数据等信息的挖掘与使用,也对传统制度形成挑战。
对此,全国人大在关于《中华人民共和国网络安全法(草案)》的说明中专门指出,“随着云计算、大数据等技术的发展和应用,网络数据安全对维护国家安全、经济安全,保护公民合法权益,促进数据利用至为重要。为此,草案作了以下规定:
一是,要求网络运营者采取数据分类、重要数据备份和加密等措施,防止网络数据被窃取或者篡改(草案第十七条)。二是,加强对公民个人信息的保护,防止公民个人信息数据被非法获取、泄露或者非法使用(草案第三十四条至第三十九条)。三是,要求关键信息基础设施的运营者在境内存储公民个人信息等重要数据;确需在境外存储或者向境外提供的,应当按照规定进行安全评估(草案第三十一条)。”可见,《网络安全法》重点从数据安全的角度,制定了应对云计算、大数据发展带来挑战的法律制度。
但是,这些新技术新业务除了带来数据安全问题,由于云服务的技术特点和商业模式也带来一些新的安全问题,例如由于虚拟化的引入带来的安全风险、云平台应用程序安全等。而从主体的角度看,云服务商在网络安全和数据安全中的责任也与传统的互联网数据中心、互联网接入业务、互联网信息服务商等有一定的区别,在法律责任上也应有所不同。例如,由于云计算具有降低成本等优势,云服务商为政府、银行等关键基础设施提供外包服务是各国云计算战略的重要内容。一个云服务商可能承担多个关键基础设施的外包服务,使其本身的云平台具有更重要的安全意义。欧盟网络与信息安全局 2012 年 11月发布《重要云计算--从关键信息基础设施保护的角度看云计算》的报告中也特别分析了金融服务、医疗服务、电子政府服务等重要场景下的云计算安全问题。
在数据安全与数据利用的平衡方面,目前草案更多关注于数据的保护。为更好平衡大数据环境下的数据开放与数据利用的关系,草案可以更多考虑为数据利用扫清法律障碍,增加关于数据匿名化的规定。对于进行了数据匿名化或者脱敏处理的数据,并满足一定条件的情况下,允许企业对数据进行合理的使用。
《网络安全法》是我国第一部集中体现国家对互联网管理意志和政策的法律,它的出台对于我国建立有序的网络空间秩序,参与网络空间国际规则的制定都会产生重要的影响。
