第三節 《網絡安全法》的基本原則
法的原則是法的靈魂,是指導整個法律活動的核心思想,是實現法的目的的基本保證。《網絡安全法》的原則是貫穿互聯網安全立法、司法、執法環節,實現維護社會公共安全的法制目的的根本規則。《網絡安全法》是我國第一部全面規范網絡空間安全治理問題的基礎性法律,無論是從立法宏觀思路上還是從具體制度設計上都具有全局性、戰略性及實踐性。在基本原則層面,《網絡安全法》的“靈魂”聚焦于以下幾個層面。
一、網絡空間主權原則
由于網絡空間不斷擴展著國家安全空間,改變了國家間的權力博弈方式,世界強國圍繞網絡治理展開了非常激烈的博弈。由于各大國在網絡核心資源、核心技術的市場占有份額及文化價值觀念等方面的差異,網絡空間的治理思路仍存在分歧和矛盾。尤其是網絡的跨國界性、去中心化使傳統的“主權”邊界趨于模糊,同時“網絡自由主義”不斷興起,成為網絡強國挑釁他國網絡主權的得力工具。美國關于網絡治理的“全球公域說”及“多利益攸關方模式”不斷挑釁著中國政府主導的、建立在網絡主權基礎上的“多邊主義模式”。基于此背景,“網絡空間主權原則”正式從學術研究范疇邁入立法視野,成為我國網絡空間治理的基本原則。
《國家安全法》第二十五條規定,加強網絡管理,防范、制止和依法懲治網絡攻擊、網絡入侵、網絡竊密、散布違法有害信息等網絡違法犯罪行為,維護國家網絡空間主權、安全和發展利益。繼此之后,《網絡安全法》進一步明確和細化了網絡空間主權原則。《網絡安全法》第一條規定,為了保障網絡安全,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,制定本法;第二條規定,在中華人民共和國境內建設、運營、維護和使用網絡,以及網絡安全的監督管理,適用本法;第四條規定,國家制定并不斷完善網絡安全戰略,明確保障網絡安全的基本要求和主要目標,提出重點領域的網絡安全政策、工作任務和措施;第五條規定,國家采取措施,監測、防御、處置來源于中華人民共和國境內外的網絡安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治網絡違法犯罪活動,維護網絡空間安全和秩序。以上規定體現了習近平總書記在第二屆世界互聯網大會上代表中國提出的推進全球互聯網治理體系變革“四項原則”中的“尊重網絡主權原則”。網絡空間主權原則根植于《聯合國憲章》和國際法法理,是傳統主權在網絡空間的自然延伸,表明作為國際法義務主體之國家既享有主權權利又應承擔國際法義務。從立法層面確立網絡空間的主權原則,既能體現各國政府依法治理網絡空間的責任與權利,也有助于推動各國構建政府、企業和社會團體之間良性互動的平臺,為信息技術的發展及國際交流與合作營造一個健康的生態環境。
二、網絡安全與發展并重原則
我國《網絡安全法》第三條明確規定,國家堅持網絡安全與信息化發展并重,遵循積極利用、科學發展、依法管理、確保安全的方針,推進網絡基礎設施建設和互聯互通,鼓勵網絡技術創新和應用,支持培養網絡安全人才,建立健全網絡安全保障體系,提高網絡安全保護能力。網絡安全與發展并重原則已經成為我國網絡法的核心性原則,習近平總書記對安全和發展的關系有著深刻的論述。2016年“4·19”講話中,習近平總書記指出,網絡安全和信息化是相輔相成的。安全是發展的前提,發展是安全的保障,安全和發展要同步推進。
信息技術發展的負面效應給網絡空間帶來棘手的安全隱患,對安全價值的追求成為我國網絡安全治理的目標之一,“沒有網絡安全就沒有國家安全”成為廣泛的共識。但是,網絡發展的加速度不能因對網絡安全的追求而限制并阻礙網絡的發展,保守和封閉的安全觀難以確保整體國家安全,相反將引發更為廣泛和嚴重的安全隱患。因而,“發展才是硬道理”,網絡安全的發展是解決網絡安全隱患的基本前提條件,越發頻繁的網絡安全隱患只有通過網絡的不斷發展來加以應對和化解,越來越多的網絡安全漏洞、黑客攻擊和信息泄露事件正在為安全防御能力的提升和治理手段的完善提供豐富的實踐案例和經驗教訓,任何封閉與停滯的觀念和治理方式都將給網絡發展帶來阻力。網絡技術的不斷發展意味著我們將擁有更為先進的技術、產業,以及培養出成千上萬的網絡安全頂級人才,最終促進安全。同樣,僅追求網絡技術的發展而忽略了安全的考量也是不可持續的發展,不能以網絡安全的失控為代價去換取一時的經濟增長,這與以人為本和科學發展的觀念相背離。綜上,網絡發展與網絡安全應統籌兼顧、相互促進,以發展促安全,以安全保發展,努力追求“雙輪驅動、兩翼齊飛”。
三、網絡安全風險防御原則
安全風險預防為主原則,是預防為主、防治結合、綜合治理原則的簡稱,其基本內涵是指:國家在網絡空間和信息安全保護過程中采取各種技術防范措施,完善各項管理制度,規范信息安全教育,關注信息安全活動中技術、管理、社會、經濟和法律之間的關系,以法的強制性防范國家信息化建設過程中出現的各種安全風險。我國《網絡安全法》基本制度的設定集中體現了網絡安全風險防御的原則。《網絡安全法》第三章“網絡運行安全”和第五章“檢測預警與應急處置”的條款設置體現了網絡安全風險防御的思想。第二十五條規定,網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告。第五十一條規定,國家建立網絡安全監測預警和信息通報制度。國家網信部門應當統籌協調有關部門加強網絡安全信息收集、分析和通報工作,按照規定統一發布網絡安全監測預警信息。
隨著云計算、大數據、移動互聯網等新興技術的廣泛應用,網絡已由獨立分散走向深度關聯、相互依賴。隨著系統邊界的模糊,安全威脅樣式及黑客攻擊手段不斷發生變化。動態、綜合的網絡安全風險防御理念急需樹立并應用于實踐。
《網絡安全法》采用風險防御原則,有利于強化國家對網絡安全風險的控制。網絡安全風險是當代社會所面臨的巨大風險。由于網絡本身的脆弱性,人們還不能只依賴技術措施防范網絡安全風險,必須采取綜合治理的方式,將“風險預防原則”落實在網絡建設、使用、運營的每個環節。如果每個參與網絡的活動者都能夠樹立網絡安全意識,注意網絡安全道德修養,掌握網絡安全知識,明確網絡安全責任責任,那么,我們就能將網絡安全風險降低到最低程度,以維護國家安全,保障社會公共安全和保護網絡參與者的合法利益。
四、協同治理原則
協同理論是現代系統科學理論體系的一支,由德國著名理論物理學家赫爾曼·哈肯在1970年創立。協同理論認為,系統要素在各自發揮作用時,必須借助于其他系統條件,假如能得到其他條件的配合,則可以發揮其應有的作用,反之則可能削弱其功效。網絡安全的協同治理是指應充分發揮包括政府部門、執法機關、社會組織、企業及公民個人在內的每個社會單元的力量,以實現責任分擔、協同參與及利益共享。尤其是應重視企業及政府在網絡攻擊法律治理中的主導作用,不僅要求各主管部門和應急機構不斷整合自身的優勢,明確職能分工,最終形成合力,還應充分發揮企業尤其是網絡服務提供者在網絡攻擊防御與控制中的“一線”優勢。我國《網絡安全法》在關鍵信息基礎設施保護、個人信息保護、網絡安全風險監測預警、應急相應制度建立中尤為重視國家政府、行業管理部門、企業、社會組織及個人發揮的協同作用。實際上,網絡空間安全僅僅依靠政府是無法實現的,而是需要政府、企業、社會組織、技術社群和公民等網絡利益相關者的共同參與。《網絡安全法》堅持共同治理原則,要求采取措施鼓勵全社會共同參與,政府部門、網絡建設者、網絡運營者、網絡服務提供者、網絡行業相關組織、高等院校、職業學校、社會公眾等都應根據各自的角色參與網絡安全治理工作。