从《国家安全法》到《网络安全法》

学习习近平总体国家安全观

 

《网络安全法》于2016年11月经全国人大常委会通过并于2017年6月起实施,被称为我国网络领域的一部基础性法律,也是我国传媒法领域的第一部法律。而它同时又是维护国家安全的一部重要法律,被认为是2015年7月全国人大常委会通过的《国家安全法》的一部主要配套法律[1]。虽然这两部法律位阶相同,但存在着源流种属和配合依存关系,它们都是习近平同志总体国家安全观的具体体现和实施。

总体国家安全观是对传统国家安全观的创造性发展

我国曾于1993年制定《国家安全法》。传统对国家安全的理解,主要指国家主权、领土完整和人民民主专政的国家政权不受威胁和侵犯。在当时国际国内形势下,此法主要任务是防范和打击境外和境内外敌对势力阴谋颠覆政府,分裂国家,推翻社会主义制度;从事间谍活动;窃取、刺探、收买、非法提供国家秘密等危害国家安全的活动,其保护客体是社会主义国家政权,实施机构是国家安全机关和公安机关,并就公民维护国家安全的义务和权利、危害国家安全行为的法律制裁作了规定。20余年间,对于维护国家安全和利益、保障改革开放事业顺利进行,发挥了重要作用。

进入新世纪以来,国际国内形势发生了巨大变化,维护国家安全的任务和要求也相应发生变化。我国国家安全的形势日益严峻,面临着对外维护国家主权、安全、发展利益,对内维护政治安全和社会稳定的双重压力,各种可以预见和难以预见的风险因素明显增多,非传统领域安全日益凸显。国家安全内涵和外延比历史上任何时候都要丰富,时空领域比历史上任何时候都要宽广,内外因素比历史上任何时候都要复杂。正是在这样背景下,十八届党中央决定成立国家安全委员会,2014年4月在国安会成立的第一次会议上,习近平同志宣布了“总体国家安全观”。[2]

习近平提出“要准确把握国家安全形势变化新特点新趋势,坚持总体国家安全观,走出一条中国特色的国家安全道路”。他列举了十一项安全:政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全,强调要构建集各项安全于一体的国家安全体系。他提出兼顾“五对关系”:“既重视外部安全,又重视内部安全”,“既重视国土安全,又重视国民安全”,“既重视传统安全,又重视非传统安全”,“既重视发展问题,又重视安全问题”,“既重视自身安全,又重视共同安全”。他要求:“以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,走出一条中国特色国家安全道路。”

习近平总体国家安全观是习近平新时代中国特色社会主义思想的重要组成部分。

以习近平总体国家安全观来衡量,1993年《国家安全法》主要只是规定国家安全机关的职权和反间谍斗争,涵盖就小了。为此,全国人大常委会在2014年11月审议通过了《反间谍法》,同时废除了1993年《国家安全法》。此前,人大常委会委员长会议已经提出了新的《国家安全法》议案。2015年7月1日,全国人大常委会经法定三审程序通过新的《国家安全法》并且当即实施。

这是一部完整体现总体国家安全观的法律。其中将国家安全定义为“指国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力。”(第二条)这个定义当然适用于我国所有法律文件中的“国家安全”概念。按此定义,国家安全既包括政权、主权、领土这些传统事项,还要延伸到民生、经济和国家其他重大利益等问题;既要求没有现实的危险和威胁,又要求具有持续保障的能力;此类威胁既可能来自外部,也可能来自内部。按照总体国家安全观,任何一个领域里如果出现了安全隐患,发展到一定程度都可能会影响到整个国家的安全利益,都必须予以防范和制止。所以该法条文直接采纳了习近平的提法:

“国家安全工作应当坚持总体国家安全观,以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,维护各领域国家安全,构建国家安全体系,走中国特色国家安全道路。”(第三条)

新的《国家安全法》就维护政治、人民、国土、军事、经济、金融、资源能源、粮食、文化、科技、民族、宗教、社会、生态等诸多方面的安全,以及防范、处置恐怖主义、极端主义等作出了规定,第二十五条就是规定网络安全的:

“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。”

《国家安全法》规定在中国共产党领导下建立集中统一、高效权威的国家安全领导体制。

《网络安全法》如何落实总体国家安全观

互联网本来就是美国因应新形势下国防即国家安全需要而发明创建的,维护网络安全自然成为第一要务。美国在本世纪就曾先后制定了三个重要的网络空间战略文件,并于2015年制定了成文的《网络安全法》。[3]中国在接入国际互联网时制定的第一件行政法规也正是维护网络安全的,即《计算机信息系统安全保护条例》(1994年2月),其后各有关管理部门相继发布了多件有关网络安全的规章和规范性文件。

互联网的功能经历了通讯工具­——媒体——基本生活设施这样的巨大扩展和飞跃,如习近平所说:“现在,互联网越来越成为人们学习、工作、生活的新空间,越来越成为获取公共服务的新平台。”[4]网络法成为一种涉及各个法律部门、深入社会生活各个领域的庞大法律系统,网络安全也成为一个“领域”性的概念。也就是说,它不只是单独的自身运行安全,还与总体国家安全观提出的各项安全,特别如政治安全、文化安全、科技安全、社会安全等存在密切的关联。网络传播具有互联、无界、瞬时等特点,“在信息时代,网络安全对国家安全牵一发而动全身”[5],成为总体国家安全不可缺少的组成部分,“没有网络安全就没有国家安全”[6],便是习近平的一个重要论断。

《网络安全法》正是在总体国家安全观指引下[7],总结并综合了我国二十余年来互联网发展中维护网络安全的有效规定和措施,对网络和信息安全事项作出了全方位规范。从这个意义上说,《网络安全法》也就是在网络领域维护国家安全的一部法律。

第一,以网络空间主权为主旨,昭示依法抵御和制裁网络攻击、网络入侵等威胁和挑战。

维护网络空间的国家主权是习近平的一贯主张。[8]主权是一个国家在其管辖区域拥有的至高无上的、排他性的政治权力。如今网络空间已经成为与陆地、海洋、天空、太空同等重要的居民活动新区域,即所谓“第五疆域”。国家主权必须拓展延伸到网络空间,网络空间主权成为国家主权的重要组成部分,包括国家对于自己领属范围内网络设施、网络活动和信息的管辖权,对于本国网络政策、法律的制定权,对于本国公民、法人网上合法权益的保护权,对于来自他国的网络入侵的自卫权,以及对于管理跨境网络活动和构建网络空间命运共同体同他国和国际的协商权和合作权。美国作为互联网的创始国,提出把网络空间视为超越任何国家主权和管辖范围的类似于公海、太空那样的“全球公域”(global commons)的概念,实质上是要维护它在网络空间的全球霸权地位。事实上恰恰是美国极其重视“网络空间战略”,寻求本国在线利益最大化,甚至通过网络暗中监视国民以至外国政要,侵犯他国主权。尊重网络空间主权,维护网络安全,谋求共治,实现共赢,正在成为国际社会共识。《网络安全法》不仅把维护网络空间主权作为立法主旨,规定了国家制定并不断完善网络安全战略,国家采取措施,监测、防御、处置来自境内外的网络安全和风险,并特别规定依法追究和制裁境外的机构、组织、个人的攻击、侵入、干扰、破坏等网络犯罪活动,而且立法活动本身也就是行使国家主权的一项行动。网络主权原则是贯穿于《网络安全法》的一条主线。

第二,全面构建网络和信息安全保障体系,维护网络空间国家安全和利益。

按照《网络安全法》定义,“网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。”(第七十六条)习近平特别强调要“加快构建关键信息基础设施安全保障体系”,指出这方面一旦出问题,会“具有很大的破坏性和杀伤力”,“是网络安全的重中之重”。[9]根据网络构建和和运行的规律,网络和信息安全保障体系可以分为四个方面:

1.设施安全。网络空间无论怎样广袤无际,都必须依赖于现实世界的物理设施。《网络安全法》将网络定义为“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”(同前),保护网络物理设施安全是网络安全的基础。《网络安全法》不仅对网络产品、服务规定了应当符合国家标准的强制性要求并持续提供安全维护,而且特别规定网络关键设备和网络安全专用产品应该按照国家标准通过安全认证和安全检测(第二十一条至第二十三条),关键信息基础设施运营者采购可能影响国家安全的网络产品和服务应当通过国家安全审查(第三十五条),还规定了对若干涉及国家安全、国计民生、公共利益的关键信息基础设施实行重点保护(第三十一条)。

2.运行安全。《网络安全法》规定国家实行网络安全等级保护制度,网络运营者应该依法履行安全保障义务,从而为已有行政法规、部门规章的有关规定提供了上位法律依据(第二十一条)。本法还以专节规定“关键信息基础设施运行安全”,此类设施运营者应该履行比一般运营者更严格的安全保护义务(第三十四条)以及每年至少进行一次风险检测评估(第三十八条)。还按照《国家安全法》的要求,以专章规定了“监测预警和应急处置”制度,其中包括为维护国家安全等需要在特定区域对网络通信采取限制等临时措施的规定。

3.数据安全。《网络安全法》规定的信息安全,在学理上可以分为数据安全和内容安全。数据即网络数据,是指通过网络收集、存储、传输、处理和产生的以电子方式记录的各种信息。数据安全是指保障网络数据的完整性、保密性和可用性,不受破坏、窃取和损害。本法有关网络运行安全的规定中包含了保障数据安全的内容,并且对保护网络用户信息和个人信息订立了多项措施(第四十条至四十五条)。关于保护网络设施中的国家秘密,在《保守国家秘密法》(2010)中已有专门规定,本法规定必须遵守保密法规。

把个人信息安全列入网络安全的范畴,体现了总体国家安全观以人民安全为宗旨的思路。个人信息被任意泄露、传播甚至用来牟利,不仅损害当事人,而且会影响社会稳定,引发社会恐慌,也可能危及国家安全。这反映了中国保护个人信息与西方不同的理念。

4.内容安全。内容安全是指在网络空间公开传输的文字、声音、图像等各种形态的信息不得对国家、社会和他人产生损害效果,那么才是安全的;主要属于文化安全的范畴。《国家安全法》对文化安全有专条规定。《网络安全法》同样规定了倡导网络“推动传播社会主义核心价值观”(第十六条),同时规定了网络传播内容的底线(第十二条)和有利于未成年人身心健康的原则(第十三条),以及不得利用网络从事违法犯罪活动或传播涉及违法犯罪活动的信息(第四十六条)。

习近平一贯从维护国家安全的高度来看待网络空间的舆论传播[12],指出“做好网上舆论工作是一项长期任务,要创新改进网上宣传,运用网络传播规律,弘扬主旋律,激发正能量,大力培育和践行社会主义核心价值观,把握好网上舆论引导的时、度、效,使网络空间清朗起来”[13]。《国家安全法》也把散布违法有害信息列为应予防范、制止和惩治的行为。《网络安全法》有关内容安全的规定对于清朗网络空间无疑具有重要意义。确保内容安全,在中国特色的网络安全制度中居于重要地位。

第三,建立以政府主导、各方共同参与的网络安全责任制。

如何建立适合互联网“去中心化”和“分布式”的技术特性的有效治理和管理体制,是各国都在探索的问题。习近平指出:“维护网络安全是全社会的共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。”他还就政府和企业的管理责任作了这样的概括:“企业要承担企业的责任,党和政府要承担党和政府的责任,哪一边都不能放弃自己的责任。网上信息管理,网站应负主体责任,政府行政管理部门要加强监管。”[14]《网络安全法》在落实安全责任方面体现了这些原则。

本法规定了国家网信部门、国务院电信部门和公安部门以及其他有关机关维护网络安全的职责,各级政府应当采取的支持与促进网络安全的措施,网信等部门有要求网络运营者对违法有害信息采取措施、通知有关机构对来自境外有害信息采取阻断措施等职责(第五十条)[15],有建立网络安全监测预警和信息通报的职责(第五十一条至五十三条),在网络安全事件风险增大或者发生时省级以上政府有关部门采取应对措施的职责(第五十四条至五十六条)。

规定网络运营者维护网络安全的责任和义务,是《网络安全法》的重要内容。网络运营者不仅负有遵守安全等级制度,采取技术措施保障安全运行,使用合格的网络设备、产品和定期进行风险检测等义务;而且必须落实用户实名制(第二十四条)并承担对用户信息保密的义务(第四十条)。特别是,网络运营者还负有管理用户发布的信息的责任,发现法律法规禁止发布的信息,应当立即停止传输,保存记录,并向有关部门报告(第四十七条)。网络运营者还应当为公安、国安执法提供技术支持和协助(第二十八条)。网络运营者拒不履行管理义务,要承担行政责任以至刑事责任[16]。

《网络安全法》规定保护公民、法人依法使用网络的权利,同时规定任何人使用网络应当遵守法律、秩序和道德,不得发布法律禁止的信息(第十二条);任何人有权举报危害网络安全行为(第十四条);任何人不得从事危害网络安全的活动(第二十七条);用户必需实施实名制以保证网络信息具备可追溯性。

本法还就网络行业组织加强行业自律作了规定。

综上所述,从实际含义上说,《网络安全法》以上内容也可以认为是《国家安全法》第二十五条的具体化。

主管部门落实《网络安全法》的措施

“增强忧患意识,做到居安思危”[17],是习近平提出总体国家安全观的出发点。《网络安全法》的出台具有鲜明的针对性。在本法通过后不久国家网信办发布的《国家网络空间安全战略》,就列举了网络安全形势日益严峻,网络渗透危害政治安全,网络攻击威胁经济安全,网络有害信息侵蚀文化安全,网络恐怖和违法犯罪破坏社会安全等风险和挑战[17],按照总体国家安全观,这些风险和挑战不加防范和制止,任其发展势必动摇国家安全。毫无疑问,这些风险和挑战并非随着《网络安全法》的发布就自动消失。法律的生命力和权威在于实施,《网络安全法》确立了法律原则,也就授予行政机关执行法律、制定实施细则规范的权力。《网络安全法》公布和实施以来,有关主管部门密集出台了一系列规章和规范性文件加以落实。

在网络设施安全方面,2016年8月,国家网信办发布《关于加强国家网络安全标准化工作的若干意见》,就科学构建网络安全标准体系的方面提出方案。2017年5月,网信办发布《网络产品和服务安全审查办法(试行)》,规定关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查,审查重点是网络产品与服务的安全性和可控性。7月,网信办发布《关键信息基础设施安全保护条例(征求意见稿)》,对支持和保障措施、关键信息基础设施范围、运营者安全保护、产品和服务安全、监测预警、应急处置和检测评估等作了具体规定。10月,网信办发布《互联网新闻信息服务新技术新应用安全评估管理规定》,要求互联网新闻信息服务提供者建立健全新技术新应用安全评估管理制度和保障制度,自行组织开展安全评估,并报请国家或者省级网信办组织开展安全评估。

在网络运行安全方面,2017年6月,国家网信办发布《国家网络安全事件应急预案》,将网络安全事件分为特别重大、重大、较大、一般四级,规定了各级领导机构、办事机构和各部门的职责和应急办法。同月,针对网络新型业务层出不穷的现状,工信部出台《互联网新业务安全评估管理办法(征求意见稿)》,所谓“互联网新业务”,是指“电信业务经营者通过互联网新开展其已取得经营许可的电信业务,或者通过互联网运用新技术试办未列入《电信业务分类目录》的新型电信业务”,经营者拟将此类新业务面向社会公众上线的,应当按照规定进行安全评估。9月,工信部发布《公共互联网网络安全威胁监测与处置办法》,建立网络安全威胁信息共享平台和公共互联网网络安全威胁认定制度,明确了网络运营者的监测与处置义务。

在网络数据安全方面,4月,网信办发布《个人信息和重要数据出境安全评估办法(征求意见稿)》,就《网络安全法》规定的网络运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要向境外提供的,应当进行安全评估(第三十八条),制定了具体办法。

主管部门出台配套文件更多在有关网络内容安全方面。新闻信息服务事关网上舆论导向,始终是监管的一个重点。早在《网络安全法》通过之前,2016年8月,国家网信办就贯彻习近平关于“网上信息管理,网站应负主体责任”的指示,对 8家从事互联网新闻信息服务的商业网站进行了专项检查,发现存在信息内容安全保障漏洞较多等不容忽视的问题,对新闻信息服务网站提出了完善总编辑负责制等八项要求。2017年5月,网信办以一号令发布新修订的部门规章《互联网新闻信息服务管理规定》,将互联网新闻信息服务许可分为互联网新闻信息采编发布服务、转载服务、传播平台服务,规定“通过互联网站、应用程序、论坛、博客、微博客、公众账号、即时通信工具、网络直播等形式向社会公众提供互联网新闻信息服务,应当取得互联网新闻信息服务许可,禁止未经许可或超越许可范围开展互联网新闻信息服务活动”,以保证新闻信息线下线上一个标准,传统媒体禁止的内容,新媒体同样不准传播,是本世纪第三件规定互联网新闻业务许可的规章。不久,网信办又发布《互联网新闻信息服务许可管理实施细则》,细化“规定”有关条款。10月,网信办出台《互联网新闻信息服务单位内容管理从业人员管理办法》,首次从制度层面明确了从业人员行为规范,加强教育培训的要求,以及监督管理的措施,把党管媒体的原则延伸到新媒体领域。10月,国家新闻出版广电总局下达《关于加强广播电视节目网络传播管理的通知》,要求对网络传播的广电节目严格审查把关。

随着网络直播勃兴,2016年秋冬,三家主管部门先后出台规制文件,即:国家新闻出版广电总局《关于加强网络视听节目直播服务管理有关问题的通知》(2016.9.)、国家网信办《互联网直播服务管理规定》(2016.11.)、文化部《网络表演经营活动管理办法》(2016.12.)。其中网信办文件提出开展互联网新闻信息直播业务中的服务提供者和直播发布者都应当依法取得互联网新闻信息服务资质的“双资质”要求。

同时,对社交媒体的监管明显强化。2017年8月,网信办发布《互联网论坛社区服务管理规定》,要求互联网论坛社区服务提供者落实主体责任,建立健全信息审核、公共信息实时巡查、应急处置及个人信息保护等信息安全管理制度,不得利用互联网论坛社区服务发布、传播法律法规禁止的信息。同时还有《互联网跟帖评论服务管理规定》,要求网站实行用户实名制,加强弹幕管理,建立跟帖评论审核管理、实时巡查、应急处置等信息安全管理制度,及时发现和处置违法信息。9月,网信办发布《互联网用户公众账号信息服务管理规定》,要求互联网群组信息服务提供者应当对违反法律法规和国家有关规定的群组建立者、管理者等使用者,依法依约采取降低信用等级、暂停管理权限、取消建群资格等管理措施,建立黑名单管理制度。同月出台的《互联网群组信息服务管理规定》,细化了群组服务提供者的责任,并提出群组建立者、管理者应当履行群组管理责任。[19]

通过以上对《网络安全法》溯源追踪,表明习近平总体国家安全观经过制定并实施《国家安全法》和《网络安全法》,正在网络领域得到全面落实,相信经过政府、企业、社会组织和广大网民的共同努力,一定能够营造一个风清气正的网络空间。

首刊《社会治理》2018年第1期

注释

[1] 连同先前的《反分裂国家法》(2005)、《保守国家秘密法》(2010)、《反间谍法》(2014.11.),同类配套法律还有:《反恐怖主义法》(2015.12.)、《境外非政府组织境内活动管理法》(2016.4.)、《国防交通法》(2016.9.)、《网络安全法》(2016.11.)、《国家情报法》(2017.6.)、《核安全法》(2017.9)。

[2] 习近平在中央国家安全委员会第一次会议上的讲话(2014年4月15日)。

[3] 《美国网络安全法》,中国民主法制出版社(2017)。

[4] 习近平在网络安全和信息化工作座谈会上的讲话(2016年4月19日)。

[5] 习近平在网络安全和信息化工作座谈会上的讲话(2016年4月19日)。

[6] 习近平在中央网络安全和信息化领导小组第一次会议上讲话(2014年2月27日)。

[7] 全国人大法工委副主任郎胜关于网络安全法草案的说明(2015年6月24日)。

[8]习近平在巴西国会的演讲(2014年7月16日);习近平向首届世界互联网大会致贺词(2014年11月19日);习近平在第二届世界互联网大会开幕式上的讲话(2015年12月16日);习近平在第三届世界互联网大会开幕式上的视频讲话(2016年11月16日);习近平给第四次世界互联网大会的贺信(2017年12月3日)。

[9] 习近平在网络安全和信息化工作座谈会上的讲话(2016年4月19日)。

[10] 国务院《计算机信息系统安全保护条例》(1994)、公安部《信息安全等级保护管理办法》(2007)。

[11] 《国家安全法》第二十三条:“国家坚持社会主义先进文化前进方向,继承和弘扬中华民族优秀传统文化,培育和践行社会主义核心价值观,防范和抵制不良文化的影响,掌握意识形态领域主导权,增强文化整体实力和竞争力。”

[12] 参见习近平在全国宣传思想工作会议上的讲话(2013年8月19日)。习近平在这次讲话中提出:“经济建设是党的中心工作,意识形态工作是党的一项极端重要的工作。”

[13] 习近平在中央网络安全和信息化领导小组第一次会议上讲话(2014年2月27日)

[14] 习近平在网络安全和信息化工作座谈会上的讲话(2016年4月19日)。

[15] 《反恐怖主义法》第十九条:“网信、电信、公安、国家安全等主管部门对含有恐怖主义、极端主义内容的信息,应当按照职责分工,及时责令有关单位停止传输、删除相关信息,或者关闭相关网站、关停相关服务。有关单位应当立即执行,并保存相关记录,协助进行调查。对互联网上跨境传输的含有恐怖主义、极端主义内容的信息,电信主管部门应当采取技术措施,阻断传播。”

[16] 《刑法修正案(九)》(2016)设立了拒不履行信息网络安全管理义务罪。

[17] 习近平在中央国家安全委员会第一次会议上的讲话(2014年4月15日)。

[18] 国家网络信息办公室:《国家网络空间安全战略》(2016年12月27日)。

[19] 以上部分资料参照中国传媒大学媒体法规政策研究中心:《2017年度中国传媒法治发展报告》;刊《新闻记者》2018年第1期。

 

Leave a Reply