魏永征的博客

2016年11月全国人大常委会通过并发布、2017年6月施行的《中华人民共和国网络安全法》 ，是我国网络领域第一部全面规范网络安全的基础性法律 ，对于网络法治建设具有重大意义。网络法与传媒法存在着交叉关系，网络是一种重要的传媒，号称第四媒体、新媒体，虽然网络发展至今已经成为社会的重要生活设施，“互联网+”延伸拓展的许多行业不属于传媒领域，但是网络作为传媒运行所遵循的法律规范显然是传媒法的组成部分并且显得愈益重要。从这个意义上说，《网络安全法》是我国第一部法律位阶的传媒专门法，当前移动互联网已经成为信息传播的主渠道 ，《网络安全法》的颁行意味着传媒法治建设登上了一个新台阶。

本文回顾2016年以来颁行的有关网络和传媒的法律文件，并予以简单评述。

一、《网络安全法》是以总体国家安全观为指导的法律

2014年4月在国安会第一次会议上，习近平同志宣布了“总体国家安全观”。他提出“要准确把握国家安全形势变化新特点新趋势，坚持总体国家安全观，走出一条中国特色的国家安全道路”。他列举了政治安全、国土安全、军事安全、经济安全、文化安全、信息安全等共十一项安全，强调要构建集各项安全于一体的国家安全体系。他要求：“以人民安全为宗旨，以政治安全为根本，以经济安全为基础，以军事、文化、社会安全为保障，以促进国际安全为依托，走出一条中国特色国家安全道路。” 在此以前两个月，他发表了“没有网络安全就没有国家安全” 的著名论断，表明网络安全在国家安全中的极其重要地位。

全国人大常委会在2015年颁行以总体国家安全观为指导的新的《国家安全法》，取代了主要只是规定国家安全机关的职权和反间谍斗争的1993年《国家安全法》。新国安法将国家安全定义为“指国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态，以及保障持续安全状态的能力。”（第二条）可以看到国家安全的范围有很大扩展，国家安全的要求也有很大提升。从第十五条到第三十三条，一共列举规定了15项安全，其中第二十五条规定了网络和信息安全。按照总体国家安全观，任何一个领域里如果出现了安全隐患，发展到一定程度都可能会影响到整个国家的安全和利益，都必须予以严格防范和坚决制止。此后制定的《网络安全法》与新《国家安全法》一脉相承，被认为是后者的配套法律。

正因为此，《网络安全法》涵盖范围很广，有学者称之为“统筹了全部网络要素的网络立法” 。有关研究对其内容归纳和论述很多，这里举两个：一是调整法律关系繁多，包括了国际关系（网络空间主权），国家与人民关系，政府部门与网络运营者、使用者关系，网络运营者与使用者关系，网站、群组设立者与参与者关系，网络行业组织与参与者关系以及司法关系等多方面的关系。二是安全保障范围广泛：《网络安全法》有“网络运行安全”（第三章）和“网络信息安全”（第四章）两章，学界再细分为四部分：设施安全，运行安全，数据安全，内容安全。 内容安全与一部分数据安全的规定就与传媒密切相关。世界各国都高度重视网络安全，而据研究认为就数中国的这部法律涵盖最广最全。美国2015年《网络安全法》（CybersecurityAct of 2015） ，主要内容是涉及信息系统和网络数据的安全，是一部行政法。有学者认为，美国《网络安全法》体现的是“小安全”概念，而中国《网络安全法》体现的是“大安全”概念。

二、《网络安全法》制定以来我国传媒法治建设

检视三年来我国法制建设进程表明，《网络安全法》为传媒法治建设提供上位法依据，传媒法治建设则为《网络安全法》完善下位法配套。

《网络安全法》有关内容安全的规定，与传媒关系密切，是传媒法的重要内容。主要有4条：第六条是倡导性规范，规定了“推动传播社会主义核心价值观”。第十二条第二款是禁止性规范，规定了内容底线，这也是我国第一次以法律位阶规定的传媒内容底线，而以往传媒禁载禁播条款都只是由行政法规、部门规章加以规定。第四十七条，网络营运者对用户发布信息的管理义务。第六十八条，网络运营者未尽管理义务的法律责任。内容安全主要涉及总体国家安全的哪些方面呢？可以引用习近平同志今年1月25日在人民日报社讲话强调的三个安全来说明，就是政治安全、文化安全、意识形态安全。他还重申：“我多次说过，没有网络安全就没有国家安全；过不了互联网这一关，就过不了长期执政这一关。” 。显示了中央领导层对网络所关注的重点所在。

由于法律、行政法规数量有限，难以形成比较，现对2016年以来出台的有关网络和传媒的部门规章和规范性文件予以考察统计，形成如下表格：

表格呈现的这个数据状态与中央领导层关注重点相吻合，可以得出这样两点结论：

第一，传媒法治建设在整体网络法治建设中在数量上居于领先地位。表内除去传媒法领域无关网络的文件数字，共计法律文件（包括征求意见稿）78件，其中传媒类为57件，占比73%。

第二，当前传媒法治建设已转移到主要在网络领域发展。新闻出版、广播电视等传媒领域专就网络传播或者明确表明涉及网络的文件为57件（包括3件征求意见稿），与网络无关的14件，共计71件，前者占比80%。

纵览这数十个最新颁行的法律文件，可以看出这样5个特点：
（1）内容管理重点扩展。历来网络新闻信息是规制的重点，近来又扩展到“具有舆论属性或社会动员能力的互联网信息服务”。2017年5月网信办1号令《互联网新闻信息服务管理规定》取代了2005年国新办旧规定，对新闻信息管理主要做了3项扩展：a.许可范围扩大到所有社交媒体、自媒体；b.删除“新闻”限于“时政类新闻”的范围；c.服务方式由原有采编、转载增加了平台。3个星期后网信办又发布“许可管理实施细则”，就实施1号令的“规定”作出更加具体的规定。

几个月后即2017年10月，网信办发布《互联网新闻信息服务新技术新应用安全评估管理规定》，首次提出“新闻舆论属性和社会动员能力的信息内容安全风险”的概念。一年后在2018年11月网信办与公安部联合发布《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》。其涵盖范围包括开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等所有社交应用、社交媒体和自媒体以及其他开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的互联网信息服务。此“规定”列举了凡属开办此类服务和使用新技术新应用、用户规模显著变化、违法有害信息扩展等情况，服务者都必须进行安全评估，报告网信部门和公安机关，它们有权组织评审和进行现场检查。没有见到官方或者学界权威对这个安全风险概念的具体阐述，或者可以用香港半年来的动乱来说明：香港动乱分子主要联络工具telegram，就是类似微信的社交应用，具有高度保密性能，在动乱中发挥了重要的动员功能，这种对国家安全构成很大威胁的情况必须予以严格防范。

（2）管理对象全覆盖。本世纪第二个十年以来，随着数字技术的迅猛发展和移动终端的广泛使用，各种信息传播新应用新服务项目快速登台，各家主管部门不敢懈怠，紧跟不舍，迅速出台各种管理规定。除先前发布的即时通信工具（网信办/2014-08）、用户账号名称（网信办/2015-02）、互联网地图（测绘局/2015-10）等，在2016年形成了出台监管规定的高潮：网络出版（新闻出版广电总局/2016-02）、搜索服务（网信办/2016-06）、互联网广播电视（新闻出版广电总局/2016-05）、移动网应用程序（网信办/2016-06）、互联网广告（工商总局/2016-07）、网络直播（新闻出版广电总局/2016-09、网信办/2016-11、六部门/2018-08）、网络表演（文化部/2016-07、2016-12），继而又有：互联网视听节目分类（新闻出版广电总局/2017-04）、互联网新闻信息服务（网信办/2017-05）、网络产品和服务安全审查（网信办/2017-05）、论坛社区（网信办/2017-08）、跟帖评论（网信办/2017-08）、群组（网信办/2017-09）、公众账号（网信办/2017-09）、微博客（网信办/2018-08）、未成年人节目管理（广电总局/2018-08）、金融信息（网信办/2018-12）、区块链（网信办/2019-01）、县级融媒体（中宣部和广电总局/2019-04），直到最近的网上谈话类节目（广电总局/2019-07） ，还不包括专门针对某些具体问题出台的通知、意见等，可谓林林总总，不胜枚举。

2019年9月，网信办出台了“以网络信息内容为主要治理对象”的《网络生态治理规定》（征求意见稿），似有将众多形式的内容服务管理加以整合的趋势，其中特别可注意的是对平台的主体责任作了详细规定。

（3）政府主导、各方参与的责任制。习近平同志指出：“维护网络安全是全社会的共同责任，需要政府、企业、社会组织、广大网民共同参与，共筑网络安全防线。”他还多次提出网上信息管理，网站应负主体责任。 《网络安全法》就国家网信部门、国务院电信部门和公安部门以及其他有关机关维护网络安全的职责（第八条），网络运营者的义务和责任（第四十七条）等作出规定。

为数众多的管理规范大致可以归纳8项共同要点：a.主管政府部门，或是单个，或是两个以上。b.准入门槛，如新闻信息服务的“两类资质”，直播服务的“双资质”要求，视听节目服务和互联网电视的业务分类制等。c.平台主体责任，包括建立健全用户注册、内容审核、应急处置、安全防护等安全管理制度，制定安全可控的防范措施，配备适应的专业人员，为有关部门履行职责提供技术支持等，有的服务项目还明确规定实行总编辑负责制。d.用户实名制，按照“后台实名、前台自愿”原则，对用户进行真实身份信息认证。e.内容底线，比《网络安全法》第十二条第二款只多不少，有的文件规定必须遵守法律法规、社会主义制度、国家利益、公民合法权益、公共秩序、社会道德风尚和信息真实性这“七条底线”。f.平台与用户签订协议，网络运营者不是行政部门，大多属于商业机构，没有法定的管理权和处罚权，所以对平台的管理只能通过与用户签订协议，对用户发布内容及其他行为进行管理。g.保障用户信息安全，按照《网络安全法》“网络信息安全”有关个人信息安全的规定，建立健全用户信息保护制度，收集、使用用户个人信息应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围等。h.用户违约违规处置，包括警示、拒绝发布、删除违法有害内容、限制功能、暂停更新、封号，以及建立“黑名单制度”。

（4）单项许可细分管理。主要是对网络视听节目管理。根据《行政许可法》规定，法律、行政法规可以设定行政许可，尚无规定的，国务院可以以决定的方式设定许可，但应及时制定法律或行政法规。网络视听节目许可，是2005年国务院确需保留的行政许可的决定第304项规定的。但是视听节目传播运营十分复杂，可分为制、传、播、控四项步骤，有原有的电台电视台和后来兴起的网络企业、电信企业、用户（UGC）等多种主体，有广播电视、电信以及电视机、PC和各种移动端等各种传输渠道、接收平台，涉及广电、电信两大行业，只能实行分门别类管理。这个管理格局也是在近三年内基本定型。一项许可出台了《互联网视听节目服务管理规定》（2007）和《专网及定向传播视听节目服务管理规定》（2016-04）两件部门规章：前一规章规制公共互联网传输、接收视听节目，并在2017年3月发布分类目录，将此项服务按照不同主体、内容、形态、方式等分为4类17项，规定了不同的进入门槛，获得许可的必须按照许可的类别开展业务。后一规章规制IPTV、专网手机电视和互联网电视，分为内容提供服务、集成播控服务和传输分发服务，电信行业所属单位经批准可以进入时政新闻除外的节目制作和传输，而节目播控必须由特定电台电视台掌握。新闻出版广电总局发言人指出，此项制度首要目的是强化网络信息安全和文化安全建设，将内容安全、传输安全和技术安全保护制度作为业务准入的基本条件。

（5）建立行政处罚之外的惩戒措施。根据网络运营特点，在《行政处罚法》规定的传统行政处罚手段警戒罚、资格罚、财产罚、自由罚之外，产生了新的措施，主要是“约谈”制度和“信用惩戒”制度即“黑名单”制度。约谈制度最初有《互联网新闻信息服务单位约谈工作规定》（2015-04），后来扩大到对其它运营者也进行约谈，现在《网络安全法》第五十二条予以规定。“信用惩戒”措施在文化领域最早见于2011年文化部部门规章《互联网文化管理暂行规定》；后来网络领域在群组、跟帖、新闻信息服务、公众账号、直播等文件中都有类似规定，《网络安全法》第七十一条作出规定。有了上位法依据，2019年7月网信办发布《互联网信息服务严重失信主体信用信息管理办法》征求意见稿，按此办法，适用对象包括互联网服务提供者和使用者，黑名单将在“信用中国”平台公布，被纳入黑名单的将实施限制从事互联网信息服务、网上行为限制、行业禁入等惩戒措施。有效期一般为3年。鉴于互联网已经成为基本生活设施，列入黑名单的对象将会严重影响其生活状态，其处罚力度可能高于行政处罚的警戒罚、资格罚和一般金额的财产罚。

三、网络安全法治继续发展的几个要点

《网络安全法》颁行虽已三年，但网络安全法治建设仍然还在路上，还有许多问题尚待解决。本文谨对如下问题提出关注：

（1）进一步完善网络运行安全数据安全方面的法制建设。

前面说到近三年普遍性的网络安全文件较少，主要在于这方面法制建设启动较早。我国在进入国际联网之前两个月，就发布行政法规《计算机信息系统安全保护条例》（1994-02），后来又发布过《计算机信息网络国际联网管理暂行规定》（1996-02）、《计算机信息网络国际联网安全保护管理办法》（1997-12）等行政法规和《计算机信息系统国际联网保密管理规定》（1999-12）、《信息安全等级保护管理办法》（2007-06）等一系列维护网络设施和运行、数据安全的部门规章。

随着数字和网络科技的发展，按照《网络安全法》的要求，有关法制亟需进一步完善。前举有关网络基础设施安全、安全等级保护等有7件征求意见稿，就属于还需要完成的配套规范。其中有《关键信息基础设施安全保护条例》、《网络安全等级保护条例》、《个人信息和重要数据出境安全评估办法》这3件征求意见稿，未来位阶都应该属于行政法规。2017年12月全国人大常委会“一法一决定”检查报告在明确指出当前存在网络安全意识亟待增强、网络安全基础建设总体薄弱、网络安全风险和隐患突出、网络安全执法体制有待进一步理顺、网络安全法配套法规有待完善等问题之后，就点名要求加快前两部条例的立法进程，并细化法律中个人信息和重要数据出境安全评估等制度。 时过两年，这方面立法进展究竟如何，为什么一直停留在征求意见层面，有关部门应该有所交代。

（2）内容管理法制有待体系化。

前文所举有关内容安全的种种所谓“法律文件”，普遍位阶过低，多数连部门规章也够不上。有许多措施，并没有上位法的依据，从用户上网实名制 到“黑名单”制，都是干起来再说，此后再制定法律追认。这种每出现一种新应用新服务项目就急着出台一种管理文件的方式，也许有着不得已的因素，但是严格说来，是违背基本法律《立法法》规定的。 应该力求避免。

我国社会主义法律体系已经基本形成，所谓法律体系，就是由部门齐全、结构严谨、内部协调、体例科学的法律及其配套法规形成的整体。现在有了《网络安全法》，但是在内容安全配套规范方面，却是一大堆未能进入《立法法》范畴的文件，这是无论如何不能认为符合体系化原则的。我国是有网络内容管理的行政法规的，这就是2000年《互联网信息服务管理办法》，但是时过20年，已经显得陈旧。新闻信息服务许可、网络视听节目许可，都还是由2005年的国务院“决定”设置的，这又违背了《行政许可法》 。事实上，有的文件将《互联网信息服务管理办法》作为上位法，其实只是一句空话，其内容在“办法”里找不到具体依据。2012年6月，国新办曾发布《互联网信息服务管理办法》修订草案征求意见稿，但时隔六、七年未见下文。有必要重新启动此法规修订，以弥补在法律和部门规章、规范性文件之间出现的空白。

（3）切实而全面地实施法律。

“法律的生命力和权威在于实施。” 制定法律只是一个起点，实施则是一个漫长的征程。

以个人信息保护为例：这在《网络安全法》占有重要地位，从第四十条到第四十五条都属此内容；与全国人大常委会2012年“决定”十分近似。此外还有一些保护个人信息的推荐性或指导性国标文件提供了具体标准，但是没有法律的强制力。人们指出，目前个人信息保护制度还不完善，还有一些重大空白。这是事实。本届人大已将《个人信息保护法》列入立法计划，人们对此抱有强烈期待。

但是，即使是对现有不够完善、然而已经生效的法律规定，如何加以实施，仍然存在问题。《网络安全法》规定“收集、使用个人信息，应当遵循合法、正当、必要的原则”，这“必要”二字，就大有文章。有学者就对某地提出要在地铁安装人脸识别进行安检提出强烈异议：

“进出大学校园要出示证件，邮寄东西要核查身份证，住宾馆要人脸识别，坐地铁人物同检尚嫌不够，还要进一步运用所谓新技术，继续提升安保级别。我想问一句，接下去，是不是要在所有的马路上，所有的公共场所，全面安装人脸识别的机器……呢？”

这位学者讲的几件措施，在数年前漫长的以往都是不存在的，也没有听说校园、邮寄物、宾馆、地铁，发生了什么严重问题；即使偶尔发生问题也有能力加以处理和解决。那么，究竟如何确定“必要”呢？谁有权确定“必要”呢？如何论证“必要”呢？对“必要”发生争议采取什么程序予以解决呢？为了将法律规定的“必要”原则付诸实施，是不是需要制定切实可行的细则呢？

网络不是法外地带，网络必须实行法治，但法治（Rule of law）并不非仅仅是公权力用法律管理老百姓（Rule by law)，法治也意味着老百姓拥有监督和限制公权力，防止公权力不法侵犯自己的合法权益的权能，对后者我们还有更多文章要做。

原载《社会治理》2010年第3期