专家评论

马长山:网络空间安全法律法规体系化建设剖析

编辑/作者:李木然 2021-09-01 我要评论

引言 本文将围绕国家安全法、网络安全法、数据安全法和个人信息保护法这四部法律来解析网络空间主权相关的重要问题。这些重要问题包括了网络空间安全的两重性问...

引言
本文将围绕国家安全法、网络安全法、数据安全法和个人信息保护法这四部法律来解析网络空间主权相关的重要问题。这些重要问题包括了网络空间安全的两重性问题,网络空间主权的中国构建问题,以及面对西方“长臂管辖”的中国应对。本文同时还提出由网络空间主权向数字主权转化的思路,并对网络空间治理重要理论和现实问题做出了回应。
 
一、网络空间安全的两重性
网络空间安全立法,既具有维护自身安全的目的性,又具有大国竞争的博弈性。正是基于这种两重性,我国才对网络空间主权进行了立法构建,这也成为我国应对西方国家长臂管辖的法律工具和法律策略。
众所周知,网络空间安全首先是要保障安全。国家安全法第二条规定,国家安全是指即国家政权、主权统一和领土完整,以及其他重大利益,没有危险,或者不受内外威胁的状态。网络安全法、数据安全法也有相应的规定,以保护公民和其他法人合法利益经济发展,维护公共利益、网络安全和秩序。第三条也做了类似的规定。这就是网络空间安全立法的自身目的性。
 另一方面,在当今数字化时代,网络空间安全立法也是大国博弈的法律工具和策略,这就是它的博弈性。在网络兴起之初,网络自由主义曾盛行一时,可以它其为“网络无政府时代”。但随后的发展表明,网络并非法外之地,也出现了好多问题,比如说民粹主义,数据黑灰产,犯罪活动等等,这些无疑打破了网络自由主义的梦想,各国的国家权力纷纷开始介入,这样,不仅是那种扁平化、匿名化、无国界的网络空间观念被颠复了,而且越来越演变成大国竞争的政策工具。特别是在近几年,美国泛化国家安全观念,单边制裁、技术封锁、极限打压等等,就是突出一例。此外,澳大利亚、加拿大、英国、以及一些欧盟的国家,也都运用网络安全、空间安全这样的法律工具,力图在世界大国的博弈当中占据有力地位。
    对于中国而言,采取的策略是从立法上确认和界定“网络空间主权”,网络安全法第一条就完成了这一法律确认,这在世界上当然是一个重要创新。当然,确认网络安全主权,也曾引起了一些争议,认为网络空间是没有边界的,怎么会有主权?或者它是虚拟的,怎么会有主权?然而,我国立法并没有从“范围”或者“地域上”来网络安全主权进行界定,而是从行为上来进行界定。即一切在我国网络空间领域内非法入侵窃取破坏计算机,以及其他服务设备提供相关的行为,都被视为侵害我国国家主权的行为。这就明确指出了什么样的行为是侵犯网络空间主权的行为,进而通过控制行为来维护国家的网络空间主权,这是我国基于网络安全两重性所做出的维护路径。
网络空间主权的中国构建
中国对网络空间主权的立法构建,展现着一种体系化的逻辑,具体而言:
第一,对网络空间主权进行价值设定。国家安全法第三条确立了总体安全观,它是与其他国家安全观不同的新型安全观,是总体上的价值设定。然后,分别确定了五条原则:一是国家安全法第七条、第十六条、第十二条,明确规定要保护公民权利自由,尊重和保护人权,保护公民财产,保护使用网络的权利等等,形成了权利保障原则;二是国家安全法第十二条,数据安全法第七条、第十一条都有保护数据跨境安全自由流动,确立了保障信息的自由流动原则;三是网络安全法第三条,确立了网络安全和信息化发展并重原则;四是网络安全法第十八条确立了促进公共数据的资源开放原则;五是网络安全法第七条确立了构建多边民主透明的网络体系原则。
第二,确定网络空间主权边界。有了上述价值设定之后,就应对网络空间主权提出疆域主张。尽管我们的立法是通过行为来保护网络空间主权的,但疆域主张还是必要的,即我们的空间主权应该在哪里。从网络安全法来讲,对内我们要独立自主,管理本国事务。对外要防止对我们的入侵,这是对网络安全的基本理解。而网络空间疆域的主张,从立法上来看,主要有两条原则:一是属地原则,二是效果原则。
就属地原则而言,网络安全法第二条,数据安全法第二条规定的十分清楚,在中国境内建设运营维护使用网络以及管理,要适用网络安全法;在中国境内开展数据处理活动,安全监管要适应数据安全法。这就是属地原则。
   就效果原则而言,不管在境内还是在境外,只要对我国产生社会后果,那就要纳入我们的法律管辖,因为网络本身就是虚拟的,没有边界,至少是超越了物理边界。因此,境外的机构、组织或者个人从事攻击、侵入、干扰、破坏我国的信息基础设施,所造成一定社会后果,我们应当追究其法律责任,这也是网络安全法第七十五条所规定的。数据安全法第二条规定,在中国境外开展数据处理活动,损害中国国家安全、公共利益或公民、组织合法权益的,依法追究法律责任。刚刚通过的个人信息保护法第三条规定,在境外处理我国境内自然人个人信息的活动,以向境内自然人提供产品或者服务为目的;分析、评估境内自然人的行为;以及法律、行政法规规定的其他情形,要适用个人信息保护法。这样,就通过属地原则和效果原则来向域外主张网络空间主权的疆域。
    第三,构建网络空间主权的法律体系。总体来讲,我们是通过国家安全法、网络安全法、数据安全法为主线,来构建网络空间主权的法律体系的。国家安全法是总体性立法,网络安全法主要是从空间安全的角度立法,数据安全法主要是从数据信息安全的角度立法。与此密切相关的则是个人信息保护法,它是从保护权益的角度出发的。这样,就形成了主导性法律和关联性法律之间互补支撑的法律体系,共同来维护我们的网络空间主权。
    第四,对网络空间主权的规制方式。从立法本身或者立法理念来看,国家安全法是关系法,它主要设定维护国家安全的任务职责、安全制度、保障公民权利义务等等,它是维护国家安全关系的一部法律。而网络安全法和数据安全法是行为法,网络安全法主要设定关键信息运行的安全、设施的安全方面的权利义务和责任,数据安全法主要设定数据安全方面的权利义务和责任等,它们更多地是从网络空间主权的行为角度来进行规制,主要涉及了网络和信息行为的物理层、连接层、网络层、传输层和应用层,构建了相应的规制方式。
三、“长臂管辖”中国应对
大家知道,欧盟的GDPR设有“长臂管辖”,美国也有类似的法律,如澄清境外数据合法使用法,也称作“云法”。
    有人说,美国这个法律也是“长臂管辖”。但在我看来,它和欧盟的“长臂管辖”不一样,它应该叫“规避管制”。因为,它不是要把手伸到你那里去“管”,而是直接伸到你那里去“拿”。比如,“云法”明确规定美国执法机构可以直接获取境外数据,同时,应外国政府(适格国家)请求向其提供美国公司控制的非美国人数据 (个人信息),这无疑是在规避所在国的管辖,相当于“治外法权”了。在过去,治外法权是殖民的产物,也是外交上的特权,但它是有物理疆域的,有特定的属性,而今天“云法”则是在实施管辖规避,可以说是数字疆域之下的“治外法权”。
    面对这种严峻形势,我们应当采取积极的安全保护措施,其中一个重要的策略,就是阻断外国法律的不当适用。无论是“长臂管辖”还是“规避管制”,我们都应该进行阻断。阻断一个是靠网络空间主权的设定,一系列法律保护;另一方面靠具体的措施,包括颁布阻断外国法律与措施不当域外适用办法。
    其次,应增强网络空间主权的适用效力。我国法律做了很多的设定,但是设定仅仅是一种宣誓,关键要让设定能够切实产生实际效果。网络安全法第2条、第5条、第75条,数据安全法第2条的规定,以及个人信息保护法第3条都有较好的规定,但仅有这些规定是够的,还需要有更详尽、可操作的实施办法。
    再次,要加强国际合作。要让法律产生域外效力,就必须加强国际合作,要有互认的标准,也要有“朋友圈”;要形成一定的话语权,积极参与国际规则和制定。这样,让我们的法律真正产生域外效力,也才能落地生根。
    总体来看,网络空间主权也是一种法治竞争,如果把网络空间主权范围再放大一点,可能就上升为“数字主权”,它比网络空间主权的意义更大。在当今数字时代,“数字主权”无疑是大国竞争的一个非常重要的领域。
 
 
本文作者系华东政法大学数字法治研究院院长、教授;本文是作者在2021北京网络安全大会首届“中国网络与数据安全法治50人论坛”的演讲内容,已经作者审核。
文章来源:移动安全网

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。4、对于网友投稿的文章请仔细核对其真实性,如遇要求汇款转账情况,请格外谨慎。

相关文章
  • 时建中:我国网络与数据安全及个人信息保护法

    时建中:我国网络与数据安全及个人信息保护法

  • 马长山:网络空间安全法律法规体系化建设剖析

    马长山:网络空间安全法律法规体系化建设剖析

  • 李国杰院士:中国经济要有“竹节式”发展思想

    李国杰院士:中国经济要有“竹节式”发展思想

  • 金融行业网络安全攻防怎样搞?

    金融行业网络安全攻防怎样搞?