我国网络安全管制的基础、架构与限定

文/龙卫球

我国网络安全管制的基础、架构与限定

文/龙卫球

导言：网络安全管制的释义问题

近年来网络安全管制观念有了重要发展。随着全球范围移动互联网、云计算、大数据、物联网等新一代信息技术风起云涌，网络空间发展提升到一个前所未有的新阶段。网络普及化、商业化、实境化程度远非以前可比，不仅人们一般的生产生活网络化，个人财产和隐私与网络系统紧密相联，而且国家的重要基础设施运营越来越依赖于网络信息系统，国家安全、社会安全和经济安全也越来越与网络信息系统相关。此外，网络的国际关联性和互动也愈加复杂，导致复杂的网络空间国际竞争和合作的要求。这些，使得网络安全事件的破坏性和威胁程度更加严重，网络安全建设的基础性、保障性更加凸显。当前，主要网络大国一反过去对于网络安全专门立法的犹豫，在构建网络安全管制体系方面似乎有了默契，纷纷出台专门的网络安全法，赋权确立国家网络安全管制的正当性，强调发挥国家在网络安全管制中的作用。

我国在2016年11月7日出台了《网络安全法》，2017年6月1日起正式施行，堪称一部全面规范网络空间安全管理方面问题的基础性法律。我国《网络安全法》的出台，从立法上确立了我国网络安全管制的依据，然而从法律实施的角度来说，却依旧存在理论释疑的必要。因为从世界网络发展和治理的过程来看，当前的网络安全法的管制理论本身是从历史争议中一路走来的，确立专门网络安全管制框架特别是赋予国家和政府主导管制之力，毕竟是一种重大观念和体制突破，这种突破绝对不会是没有边界的。因此，我们还需要深入研究相关规范，以求更加深入的理解，这样才能更加准确地把握好立法赋予的国家管制内涵和界限，便于下一步更好地组织好这部法律的实施。为此，本文拟就我国《网络安全法》确立的网络安全管制的基础、内容框架及其限定性问题进行重点探讨，以期提供有益的参考。

网络安全管制的正当化基础及其演化

网络安全管制是网络管制中最为敏感的问题之一。网络安全管制区别于网络其他可管制事项更令人敏感的原因，不在于网络安全保障本身对于网络空间而言是否具有根本性，而在于人们对于是否应当基于网络安全需要而加以特殊管制的正当化基础的认识上面，存在重大的辨识分歧。

网络理论家在早期网络体验中，持有一种网络自由且不可管制的信念，认为网络空间具有一种天生抗拒管制的能力，是不可管制的并且也是不应被管制的，政府对于网络空间施加管理的必要和能力都极为有限。这种网络不可管制以及不受管制的思想，很快在网络现实发展面前逐渐变得不切实际。随着网络普及到社会的方方面面，并且不断升级换代，网络空间变得复杂起来，不仅产生了网络复杂的人际关系，还与真实世界互动日益密切。这些，不仅导致关于既有网络空间本身的观念发生变化，也使人们认识到网络普及化之后网络世界和真实世界之间存在越来越多的交集。特别是在网络商业化利用出现之后，建立在追求所谓“最小化”的、以技术中立、开放共享为表达的TCP／IP通讯协定基础上的网络空间，其发展越来越呈现一种由经济利益主导、受商业利益控制的倾向。新的网络系统为迎合商业化的需要，不断在应用层加入各种控制结构。在这种情况下，人们产生了有关网络空间的新管制观念，网络可管制以及应该受到管制的思想逐渐兴起。

人们虽然相信网络安全重要，但是对于是否需要专门赋予政府一套网络安全管制权力，却一直存在疑虑，担心一旦允许国家以网络安全为名建立专门的管制，把握不好可能会变成一种国家对于网络空间的任性管理。这里，产生疑虑的原因，既有管制理论上的困惑，更有现实中对于政府可能借用安全问题而擅用扩权的畏惧。所以，很长时期以来，一种观点认为，网络安全的治理不应该有特殊性，从管制基础和范围来说，只需将一般法律关于安全的治理规则推及网络空间即可，这些法律如国家安全法、刑法、侵权法中的有关安全的规则，等等，没有必要通过专门立法来确立一套所谓的网络安全专门管制体系。这种观点反对专门的网络安全立法，认为这样只会导致任意增加政府权力而没有效率，进而添加网络负担，甚至妨碍网络发展。如美国国会和联邦政府早期虽然试图发起一些网络安全管制方面立法，但是多数没有成功，那些立法议案失利的主要原因，是遭到网络企业代表等方面对政府管制的警惕和反对。

遗憾的是，网络安全的恶性事件不断发生，特别是在2010年之后大量的全球范围网络安全事件的发生以及带来的巨大破坏促使人们反思：仅仅寄希望于网络企业和民间力量似乎是不够的，在市场力量和政府力量之间应该有所平衡。此外，2013年斯诺登事件出现之后，人们甚至一些国家政府还意识到，网络安全治理需要应对的还有国家任意行为问题，网络安全管制包括对国家行为的管制。在这种背景下，主张通过专门的网络安全立法，确立国家和政府主导的管制体系以有效应对网络安全问题的观点，逐渐占据上风。这些观点，有的是从网络活动的价值追求和利益保护的角度，有的是从管制技术效用的角度，有的则是从其他的正当化辨识角度，支持通过立法建立政府主导的网络安全管制体系。我国《网络安全法》也在这股浪潮中应运而生，旨在通过确立强大的政府管制手段，应对当下非常复杂、非常重要的网络安全治理需要。

我国网络安全管制架构

我国《网络安全法》的治理基础，系以一个更加多层次的综合化的网络安全概念为面向，重在强化国家对于网络安全的管制力。其架构原则，体现为由复杂原则组合指导的特点，一定程度上考虑了网络技术和组织特点而照顾多样化协同治理的需要，但关注点在于如何指导构建一套体现国家地位的强管制架构。其管制事项，名目繁多，可谓体系广泛而内容绵密。

（一）《网络安全法》管制的概念面向

《网络安全法》以管制“网络安全”作为对象，可见对“网络安全”概念的界定处于体系解释的中心位置。《网络安全法》第77条对“网络”和“网络安全”进行了法律界定，意在避免法律适用的模糊性。该条关于网络安全的定义方式，是一种技术事实层面的描述，立足网络安全实施主体的行为和能力的角度。这一定义与我们见到的欧盟指令（NISDirective）的相关界定极为近似，应该说这是一种比较可观、容易把握的定义。

网络安全法作为一部法律，其所谓的网络安全，是要从法律体系出发追求法律意义的，所以应该进一步地限定为与法律利益具有相关性，即与法律利益保护结合起来，是一种涉及法律利益保护目标的网络安全。也就是说，网络安全不只是某种绝对单纯的技术安全或行为安全，而应该是网络空间产生的或带来的与法律利益息息相关的网络安全，这些法律利益或者存在于网络空间本身，或者透过网络介入或者活动而被连接到。

从概念使用内涵上来说，应当注意我国“网络安全”十分复杂和独特，存在准确理解的必要。首先，和其他国家一样，网络安全概念，需要借助相关的知识和规范加以补充丰富。其次，非常重要的是我国关于网络安全的概念，比较起其他国家来，具有更加多层次、多角度的内涵特点，因此更加具有广泛性，这就使得我国关于网络安全的理解范围其实更加宽泛和独特，我国《网络安全法》的实际管制空间也因此更加宽泛。2016年12月我国首份《国家网络空间安全战略》出台，明确使用了网络空间存在政治安全、经济安全、文化安全、社会安全和国际安全的分类描述。其中，非常值得重视的是我国关于网络主权安全的意识。我国特别强调，要从网络主权高度来看网络安全，没有网络安全就没有国家安全，认为随着全球信息化的深入发展和持续推进，以数字化、网络化、智能化、互联化、泛在化为特征的网络社会逐渐向国际空间化方向发展，为网络安全带来了主权空间化意义的新内涵。所以，在我国网络安全中，很注重一般安全和网络主权安全（属于国家安全的重要部分）的区分，网络空间安全成为我国主权安全观念的新领域，也是我国国际关系观念的新领域。

（二）《网络安全法》管制的架构原则

《网络安全法》在管制架构上体现出一种由多项原则复杂组合指导的特点，包括统一管理和分工协作结合、战略管理与具体管理结合、社会共治、国际协同合作、加强未成年人特殊保护等。我国的这些原则组合，与其他国家比较有许多相同点，比如重视战略管理、协同共治、区分特殊保护等，但是也有不少专属于自己的体制和观念特色，尤其是特别注重凸显国家管理架构。

（三）《网络安全法》管制的架构事项

《网络安全法》在管制事项上布局绵密，建立了丰富的管制渠道，授予政府和有关方面广泛而刚性的权力，构成了以形式庞大的权力集群：（1）在总则第四条确立了国家就网络安全具有战略管理权力；（2）专章对促进与支持网络安全设定了国家和政府相关的一些措施权力；（3）规范网络一般运行安全，赋予了国家相关的网络运行安全保障权力；（4）特别强调保障关键信息基础设施运行的网络安全的要求，赋予国家在此事项保障运行安全的强大权力或职责；（5）引入了多层次的信息安全概念，确立了极有特色的网络信息安全保障制度；（6）立足强化政府管制作用，确立了我国网络安全管制中的两大特殊权力：监测预警权与应急处置权，赋予国家和政府在网络应急事项上的事先管理、事中管理的较大行动力。

我国网络安全管制实施的限定因素

《网络安全法》推崇国家管制功能，建立了一个强大的国家监管体系，通过具体制度设计赋予了国家广泛的事项管制力，要求较高且普遍刚性。然而，对于这样一部强监管法律，从合理而有效实施的角度而言，必须特别注意其实施中的边界问题，特别是国家管制权力的界限问题。

（一）网络管制规范的目的和体系限定

任何法律从其适用基本原理出发，都需要通过目的和体系解释加以适用，管制规范就其特性来说更需要如此。《网络安全法》确立的管制规范，从法律体系上说，应当受到《网络安全法》之外的广义法律目的和体系的限定，也应当受到《网络安全法》本身目的和体系的限定。对于《网络安全法》之外的限定，比如宪法作为其上位法的优位性，其与刑法、民法、诉讼法等基本法律的关系，与一般行政法和其他像《国家安全法》等具体行政法的关系，等等，非常复杂，限于篇幅，在此不展开解释。这里只简单阐述《网络安全法》本身的目的和体系限定要求。

1．《网络安全法》的目的限定

《网络安全法》顾名思义，从规范目的和立法定位角度来说，是一部专门明确以网络安全为规范对象的特别法，旨在通过确立网络安全管制以达成网络安全。所以，它从目的上说，直接服务于保障网络安全，该法中的那些规范特别是管制规范，应当限于这个目的事项本身而加以适用。《网络安全法》管制规范的实施，无论是其机构管制权力或职责，还是关于运营者的法定义务规定，还是包括用户在内的其他主体的对应义务或特殊保障权利，首先应该合乎处于法律体系最高位置的目的，目的构成一部法律的基本限定。此外，具体规范之间发生冲突时也存在适用中基于目的的利益衡量问题。

《网络安全法》的目的限定性，提醒我们应当严格把握该法的适用范围，即应该严格限于网络安全事项本身。不能离开目的限定，转而简单从规范内容或效果出发，对网络安全规制的对象加以曲解，否则很容易导致过宽理解网络安全规制范围。但要注意，《网络安全法》虽然也能够间接实现有利于有关法律利益保护的效果，但是它不是直接追求保护这些法律利益本身的，否则会导致网络安全法适用的泛化理解。

2．《网络安全法》的体系限定

《网络安全法》采取了总则加具体章节的结构，除了第一条和第二条（目的条款和调整对象条款）之外，第三条以下均为原则表述或概括性规定。原则在制定法的体系之中，是用来概括或构筑法律基本价值的，其本身不能直接援引作为管制授权基础，但是应当作为具体规范包括管制规范的体系限定基础，即原则构成法律体系中的内在价值体系，对于法律外在体系具有限制功能。

（二）网络管制规范的行政限制

网络管制规范本身主要是一套行政法规范，其确立的管制权力许多是刚性的行政权力，根据其本性应该受到现代行政原理上的特别限制，其行使在正当化要求上应该更加严格化，必须遵循“法律保留”“行政比例”等原则。

（三）网络安全管制的技术限制

网络技术架构和组织架构的限制，是一种非常重要又非常复杂的限定，但是最容易被忽略。美国著名网络法权威雷席格曾经深刻揭示了网络空间以代码为技术基础架构的特点，提出代码实际上就是网络空间之中的基本规范，其控制着网络的真实结构和具体发展方向，自从网络走向广泛应用特别是走向商业化以来，网络最初最小化设计架构通过在应用层的不断锲入，成为一种为各种特殊应用目的控制的架构。正是因为如此，我们看到许多网络政治家和产业代表根本不信任通过简单推行政府管制就可以产生管制作用，从网络是一种特殊架构的角度出发，他们更加相信只有那些写出或者采用锲入代码的网络机构本身心甘情愿配合网络安全才能真正达成网络安全保障的效果，所以设计有效的网络安全治理体系不能忽视网络技术架构的存在，否则规则不仅无益而且还会导致不必要的负担。比如，美国政府克林顿时期曾经就解密晶片使用加密技术同时应当为政府预留后门问题，最早打算通过直接管制的方式达成，但是在遇到产业界和理论界广泛质疑之后，明智地转向更加间接也更具有优势的市场策略方案。可见，从网络的技术组织架构特点和管制执行的效率角度来看，网络管制很多情况下并不适宜直接化，而是需要更多与控制网络技术架构的机构合作。

结论

我国刚刚出台的《网络安全法》肩负美好愿望，旨在有效应对当今复杂多变的网络安全问题，进而匡扶网络空间。但是，这部法律得到有效实施的前提，在于我们能否很好地理解其确立的内在基础所在以及有关网络安全管制架构的内涵和界限。我们在实践中应当持有一种格外审慎的态度，着重把握网络安全管制的正当化基础和运行界限，特别是要注意结合目的体系、行政权本质以及技术架构等因素，对相关管制规范的实施做出必要的限定解释。笔者期待，上述研究对于我国《网络安全法》接下来的实施能具有一定的指导价值。

【作者系北京航空航天大学法学院教授；摘自《暨南学报》（哲学社会科学版）2017年第5期；原题为《我国网络安全管制的基础、架构与限定问题——兼论我国〈网络安全法〉的正当化基础和适用界限》】