2015年6月,第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》,现已面向社会公开征求意见。为了提升我国《网络安全法》内容的合理性,增强立法的实施效果,配合《网络安全法(草案)》征求意见工作,2015年7月16日,由陕西省法学会信息安全法学研究会、西安交通大学信息安全法律研究中心,联合公安部第三研究所、中国法学会法律信息部、互联网实验室举办的“《网络安全法(草案)》研讨会”在西安交通大学主楼E-910会议室顺利召开。
西安交通大学法学院李万强副院长,陕西省网信办网络安全处黄永宏处长,陕西省网信办寇喜坤、马建峰、郑东、杨帆、杨宗科、王政勋、王根平,陕西省法学会研究部魏清利主任,陕西省国家密码管理局王二鹏处长,汉中市公安局刘正军总工程师,陕西省通信管理局政策法规处张涛,西安理工大学人文学院王宇红副院长,西安政治学院朱雁新教授,西北工业大学人文与经法学院韩文蕾副教授,西北政法大学经济法学院知识产权学院李艳副教授,北京邮电大学崔聪聪博士,《中国信息安全》杨国辉主编,《信息网络安全》关非主编,北京奇虎科技有限公司安全战略与法律研究中心付明先生,RELX集团中国区政府事务高级经理尹鹏翎女士,苹果公司政策总监范勇先生,甘肃亚特投资集团法务专员唐治国先生,上海交通大学法学院史宇航博士,以及信息安全法律研究中心马民虎教授、王玥老师、苏青老师等师生代表共同参加了本次研讨会。
本次研讨会由西安交通大学信息安全法律研究中心王玥老师主持。在会议开幕式阶段,西安交通大学法学院李万强副院长介绍了我校法学院和信息安全法律研究中心的发展历程及学术研究领域,并对本次研讨会的及时召开表示充分肯定。
研讨会共分为主题报告和自由讨论两个阶段。在主题报告阶段,中心硕士生仲利波、崔聪聪博士、张涛和唐治国分别进行了主题发言。首先,中心硕士生仲利波对《网络安全法(草案)》的功能性与结构性进行了深入解读,他指出,《草案》所确立的坚持从国情出发,坚持问题导向以及坚持安全与发展并重的立法原则是值得充分肯定的,但是其中所确立的“维护网络空间主权和国家安全”的立法宗旨使得坚持问题导向受到实质性影响,过于狭隘的立法宗旨会使立法的效果大打折扣。随后,北邮的崔聪聪博士代表齐爱民教授进行发言,就《草案》的具体条款提出了详实的修改意见,强调网络安全法不仅应当保障国家、社会公共安全,还应当明确保护个人网络安全,网络安全教育应明确纳入国家安全战略,突出人才培养,国家应当大力扶持网络和数据咨询服务业的发展,应当明确侵害个人信息的网络服务提供者的民事责任,特别是民事赔偿,《草案》规定的罚款数额起不到惩戒的作用,可借鉴欧洲相关规定等。陕西省通信管理局政策法规处主任科员张涛先生从行政执法角度对《网安法(草案)》进行了精彩解读,他指出《草案》第20条规定的网络实名制开展后,以陕西省为例,截止去年共有425.82万人未进行实名登记,从法不溯及既往的角度,网络实名制的开展不能对之前的存量用户产生约束;同时,我国对身份证管理非常松散的现状,以及《草案》没有规定网络运营商的审查义务,会导致个人信息的大量泄露,因此,他建议增加网络运营商的实质审查义务,而非形式审查义务,并要求公安部门提供无偿服务。最后,亚特投资集团法务专员唐治国先生做了“《网安法(草案)》中义务性法律规范设置分析”的主题报告,他认为,义务性法律规范设置是检验《网络安全法》立法内容是否科学的最重要指标,坚持安全与发展并重应当是本法最核心的立法指导思想,从主体义务性规范设置来看,《草案》对网络运营者和关键基础设施运营者的义务性规范设置较多,对政府及相关机构、行业组织和个人义务性规范设置较少,使得《草案》的监管色彩较为浓厚。
在自由讨论阶段,参会的专家学者就《草案》的体系、结构、内容、用语规范等问题先后发表了自己的意见。陕西省网信办黄永宏处长从实务的角度出发,认为《草案》第20条应当增加审查机构,但是不应当具体罗列,以适应社会的发展和新问题的出现;同时,对于法律中的一些量词和用语,例如“人数众多”,应当具体化,否则缺乏明确的判断标准,会给法律的执行造成不必要的混乱;对于执法部门过度收集个人信息的问题,不仅应当依靠法律的约束,个人也应当提高个人信息保护意识,在必要的情况下可以拒绝。随后,西安政治学院朱雁新教授、西安理工大学法学院王宇红副院长、西北政法大学李艳副教授、信息安全法律研究中心苏青老师分别从立法的规定、术语、功能和逻辑体系等方面提出了自己的意见。朱雁新教授指出,网络空间没有边界,因此《草案》第二条规定在“境内”建设、运营、维护和使用网络适用本法,无法有效实现维护国家主权的目的。王宇红副院长指出,《草案》中术语的界定比较混乱,例如“网络产品”、“网络服务”等界定不一致。李艳副教授认为,网络安全法应当是公法,但是《草案》设计了很多私法的内容,法律属性定位存在不合理之处;对个人信息的侵犯应当更多地从民事角度出发,但《草案》仅规定了刑事责任。苏青老师肯定了《草案》强调的安全与发展并重原则,并建议将《草案》第二章的“网络安全战略、规划与促进”等内容纳入《草案》第一章的规定,以实现立法体系的逻辑合理性。紧接着,苹果公司的政策总监范勇先生、RELX尹鹏翎女士和360安全战略与法律研究中心付明先生先后从企业发展和立法实施角度表达了自己的意见。范勇总监认为规范应当更加具体细化,为企业提供行为的明晰指南;部门管辖边界应当更加明确,避免造成执法成本的增加或者执法空白,也能让企业更好地配合执法;他认为“合理性”是非常必要的,以减少法律对企业不必要的约束,为企业提供更多的发展空间。尹鹏翎女士指出,企业乐意看到国家通过法律界定个人信息,但是企业搜集的信息往往要比法律界定的个人信息范围更广,因此比较担忧《草案》的可操作性。付明先生指出,《草案》没有提到“网络安全企业”,导致类似于360这样的安全企业处于非常尴尬的位置,因此希望立法对“网络运营者”有一个合理、明确的界定;《草案》中对外企不实行差别待遇不合理,但是国家必须有一定的把控力,应当由国内的可控资本来做中国的信息和网络安全。信息安全法律研究中心博士生方婷、马宁、王玥老师和上海交大法学院博士生史宇航分别就《草案》中“网络安全信息共享”、“网络安全审查”、“关键信息基础设施保护”、“网络信息安全”的相关内容提出了自己的看法和建议。中心博士生方婷认为,《草案》对负责指导信息共享的主管机构界定不明确,将信息共享范围仅仅限定于关键基础设施和网络安全运行方面存在不合理之处。中心博士生马宁认为,标准化相关内容的规定是值得肯定的,《草案》第31条将国家安全审查范围限定在关键基础设施,与之前出台的法律之间存在冲突,应当使其与相关法律协调。王玥老师认为,应当充分考虑“关键信息基础设施保护”这一概念在立法中的适用,与“关键基础设施信息安全保护”界定的适当性。史宇航博士就草案第四章“网络信息安全”中关于概念统一界定的问题提出意见。最后,汉中市公安局刘正军总工程师、陕西省国家密码管理局王二鹏处长从多年来的实际工作角度提出了自己的看法。王二鹏处长认为《草案》中的一些名词定义存在问题,且用词偏行政用语,而非法律术语;从法律的体系和内容来看,《草案》的规定整合了现有法律法规的内容;本法不应当是传统法律的延续,网络安全是社会问题,因此本法在专业性方面严重不足,建议增加纯技术的规定;建议对《草案》进行系统的调整,做到与已经出台的法律法规相协调。
最后,陕西省法学会信息安全法学研究会会长、信息安全法律研究中心主任马民虎教授作总结发言,他表示国家立法以及专家较关心的问题之一就是安全与发展的关系,如何在二者之间做出合理的权衡是一项长期的工作;数据跨境问题中无论是主权还是网络,都是国家非常关心的问题;安全审查问题,涉及审查的对象、方式、力度、机制,都是目前企业非常关注的问题;信任危机治理,应当也是中国网络安全很重要的一个方面,其对社会的危害相比于现实的诈骗等犯罪行为更广泛、更严重;消费者个人隐私的问题和关键基础设施保护问题等都是富有启发意义的研究方向,值得各方专家学者进行更为深入的探讨和研究。