論《網絡安全法》的實施困境與解決對策

夏 穎，王凌燕

(安徽農業大學 人文與社會科學學院，安徽 合肥 230036)

大數據時代在給經濟生活帶來諸多便利的同時，也滋生了個人信息泄露等網絡安全問題。網絡安全主要包括系統安全、網絡的安全、信息傳播安全、信息內容安全四個方面，只要其中有一個方面出現問題便很可能直接表現為個人信息的大量泄露，所以個人信息的保護直接映射著我國網絡安全的現狀。在中國消費者協會發布的《APP個人信息泄露情況調查報告》中顯示，遭遇過個人信息泄露的人數占比高達85.2%，且受訪者表示在其個人信息被泄露后常遇到的問題主要有：受到推銷電話或短信的騷擾、接到詐騙電話以及收到垃圾郵件等。另外，隨著網絡在國家整體發展中的重要性日漸凸顯，霸權主義國家通過其在信息發展中形成的經濟、人才、技術等多方面優勢對其他國家的網絡空間主權肆意侵犯，國家利益和社會公共利益也因此存在著被侵害的現實而緊迫的危險。有鑒于此，必須構筑好網絡空間的上層建筑——對網絡安全進行立法，這是關系國家總體安全的重要舉措。2016年6月1日，十二屆全國人大常委會經表決高票通過的《中華人民共和國網絡安全法》正式施行，它的出臺既是依法治國方針的具體落實，也是網絡空間法制化進程中的重要里程碑。雖然該法的實施在解決一些網絡安全問題上發揮了巨大的作用，但由于該領域立法體系、內容不盡科學合理、執法人員專業素養不高、信息控制者缺乏行業自律等問題，該法實施后所收獲的社會效益并沒有完全達到當初的立法目的，在解決個人信息泄露等諸多社會問題上仍顯乏力。

一、網絡安全法實施存在的困境

(一)網絡安全意識不強

關鍵信息基礎設施的運營者對網絡安全重要性的認識不到位，缺乏主動防御意識。領導干部對網絡安全重要性的認識不夠，未把維護網絡安全實際置于政府或部門工作的重要議程中。另外社會公眾的網絡安全意識總體不強，作為網絡空間領域的弱勢群體，自身認知缺乏又談何維權問題呢？

(二)網絡安全基礎設施建設薄弱

一是網絡安全態勢感知平臺建設滯后，不能實現對重要信息系統網絡安全風險的全天候實時、動態監測。二是容災備份體系建設總體滯后，不能有效應對重大網絡安全風險。三是重要工控企業的設備和控制系統國產化程度有待提高。一些重要工控企業對外國技術依賴嚴重，從生產控制系統到配套的網絡及安全設備都采用國外產品，甚至設備的實際操作都由外方人員掌控。四是應急預案流于形式。主要存在針對性不足、缺乏可操作性、未實際進行演練以及因為經費短缺不能及時解決發現的問題等情況。

(三)網絡安全形勢不容樂觀

執法檢查組對隨機選取的關鍵信息基礎設施進行了相關測試和掃描后發現不少安全漏洞，系統及服務器安全面臨嚴重威脅，用戶信息存在被泄露的危險，一些市政府的門戶網站存在頁面被篡改風險。許多單位沒有依照法律進行相應的操作，可能導致網絡安全事件發生時無法及時進行追溯和處置。許多單位對網絡安全不夠重視，甚至未部署任何安全防護設施，長期不進行漏洞掃描，存在重大網絡安全隱患。

(四)用戶個人信息保護不完善

不少網絡服務提供者和企業事業單位在收集、使用公民個人信息時存在不符合法律規定的行為。如不明示收集和使用的目的、內容、方式和范圍，過度采集信息和利用優勢地位強行收集等行為也時有發生。執法部門的工作也存在一定問題，用戶權利救濟困難現象較為普遍，對于一些侵犯隱私的行為甚至缺乏有效的監管和懲處。另外有的信息控制者對網絡安全設施和內控制度的建設不夠重視，導致大量個人信息暴露在被泄露的危險中。一些地區已經形成販賣個人信息的黑色產業鏈，因個人信息泄露而引發的違法犯罪行為逐漸增多，人民的財產安全面臨嚴重威脅。

(五)執法體制不順暢

主管部門未能很好地發揮統籌協調作用，執法部門之間因缺乏有效溝通和協調導致權責劃分不清，繼而產生爭管、推諉和執法效率低下等問題。在發生網絡安全事件后，投訴無門和執法部門之間推諉扯皮是造成用戶權利救濟困難的最主要原因。另外有不少網絡運營單位表示主管部門采集的信息未實現“互聯互通”，且存在重復檢查和檢查標準不一等問題，這將增加網絡運營單位的負擔。當前網絡安全形勢十分嚴峻，一些網絡安全重點行業仍然存在執法力量嚴重不足的情況。

(六)網絡安全的配套法規不完善

作為網絡安全領域的基本法，網絡安全法中不少內容還只是原則性、禁止性規定，要想真正貫徹落實該法，實現該法的立法目的，需要制定合理的配套法規。例如第二十八條所規定的“網絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協作”，實現協作要經由怎樣的前置程序，協作范圍的邊界，第三人的個人信息要如何保障等問題都需要通過配套法規的制定予以明確。

(七)網絡安全人才缺乏

專攻網絡安全風險防控領域的專業人才缺乏，不能與當下嚴峻的網絡安全現狀相適應。不少網絡信息的主管部門及其他企業事業單位的網站管理人員未接受過專門的網絡安全技能訓練，難以應對一些突發的網絡安全事件。另外一線執法人員的專業素養和技能難以勝任網絡運行安全常態化監管執法職責。

由此可見，雖然網絡安全法的出臺一定程度上實現了保護國家安全和個人信息安全的立法初衷，對調整網絡安全領域的社會關系起到了一定的積極作用，但是由于諸多困境的存在，嚴重影響了網絡安全法的實施成效。

二、網絡安全法實施存在困境的原因分析

形成困境的原因是多方面的，主觀上公民等主體的網絡安全意識不強，客觀上網絡安全的基礎設施建設仍然薄弱；執法者的專業素養未能達到該領域的實際要求；信息控制者對利益最大化的追求等，但筆者認為網絡安全法本身存在的問題是形成實施困境的最主要原因，下文將就一些重要原因進行詳述。

(一)執法者的專業素養不足

一方面，對網絡安全領域行為性質的認定往往需要執法者對網絡信息技術有一定程度的掌握，如果執法者自身缺乏這方面的專業素養又片面地追求執法效率，便容易導致錯誤的行為性質認定。另一方面，網絡空間行為的規范涉及很多法律的銜接，如果不能單純通過位階的高低來判斷應該適用的法律，那么執法者該通過何種途徑在相同位階的法律規范中作出正確的取舍呢？哪些行為由行政處罰法來規范，哪些行為由網絡安全法來評價，哪些行為由刑法來懲戒等都是執法者在處理網絡空間領域問題所要準確判斷的，如果執法者沒有較高的法學素養便不能厘清這些法律的適用邊界，一些行為便得不到適當的法律評價。執法者作為管控危害網絡安全行為的最終屏障，如果因專業素養的缺乏而導致對行為性質評價不足不僅會使得網絡安全法的實施陷入困境，而且還會給網絡空間安全、國家安全、個人信息安全留下巨大的隱患。

(二)信息控制者對利益最大化的追求

大數據時代的到來雖然便利了人們的日常生活，但這種便利實際上也要求著對信息主體權利的克減，信息控制者在網絡空間行為管制方面比一般執法者更能發揮及時有效的規范作用，如果他們不能做到行業自律，那么外部監管就顯得尤為重要，但是如何在大數據的發展利用和個人信息的保護之間尋找平衡點也是立法的一大難題。如果對信息控制者的監管過于嚴苛必將阻礙大數據的發展，如果外部監管乏力，那么大數據的發展必將以個人合法權益的減損作為代價。信息控制者所掌握的個人信息往往代表著隱形的財富，即使發生信息泄露，他們也不會是直接的受害者，本著利益最大化的原則，其有足夠的動機將個人信息轉化為現實的財富。雖然網絡安全法對信息控制者需要承擔的義務做了明文規定，但是這種規定往往是原則性的、禁止性的規定，例如該法的第二十一條、二十二條等，它并沒有區分不同類別的信息控制者的責任邊界，而是針對所有信息控制者制定的籠統的行為標準，這也使執法者不好掌握對相關信息控制者的懲戒力度。外部監管的威懾力不夠，內部形成行業自律的動力不足將會使一系列危害網絡安全的行為得不到有效控制，這是網絡安全法的實施沒有完全達到立法目的的重要原因之一。

(三)網絡安全領域立法層次較低

從立法層面看，網絡安全法的出臺填補了網絡空間管轄基本法的空白，在這一領域實際上起著“憲法典”的作用。它與散見于其他法律中的有關條款一起，在調整和規范網絡空間行為上發揮著指導和引領作用。國務院及有關部門出臺的法規、規章在這一領域則發揮著輔助和補充作用，通過一系列的細化和補充促進法律法規的有效落實和準確適用。但是不可否認的是，我國在網絡領域的立法探索還處于初級階段，整體來看這一領域的立法層次較低——高位階的法律較少，而低位階的規章卻過于龐雜。從實踐層面看，各工作部門為了保證工作的順利開展，前后出臺了大量行政法規和地方政府規章來規制網絡空間行為，但是由于部門本身在職能上就存在一定程度的交叉，從而使得這些規章在內容上出現了不同程度的重復。這也暴露了各部門在制定部門規章時缺乏橫向上的溝通和協作，僅局限于自己的工作需要，也造成了法律資源一定程度的浪費。一方面，規章內容的交叉重復難免造成一些網絡空間行為在法律適用上的矛盾和沖突，另一方面，也使得某些網絡空間行為缺乏規制，處于無法可依的狀態。眾多的規章并沒有把防止網絡違法和犯罪行為的屏障筑牢，反而在一些范圍內呈現管理混亂的狀態。

三、解決網絡安全法實施困境的對策

如前所述，筆者認為網絡安全法在實施過程中陷入困境的原因主要在于其立法工作的不盡科學合理，所以解決措施的著力點應放在完善該法本身，另外還需強化網絡安全意識，加強網絡安全基礎設施建設，推進執法工作順利進行，通過內外部共同發力促使信息控制者形成行業自律。

(一)強化網絡安全意識

意識的強化主要針對兩類主體，一是公民，二是關鍵信息設施運營單位。就公民而言，雖然有關部門的宣傳工作取得了一定成效，但是網絡安全事件的發生往往具有隱蔽性，其形式也是多樣的，危害的產生也具有不易察覺的特點，隨著新型網絡犯罪行為逐漸增多，強化公民網絡安全意識成為必要。個人信息的泄露是公民在網絡安全領域所面臨的普遍威脅，所以有關部門應該通過宣傳網絡安全知識、引導公民積極維權、公布典型網絡侵權事件、及時披露新型網絡違法犯罪手段等途徑加強公民的網絡安全意識。就關鍵信息設施運營單位而言，有關部門要通過對其網絡安全工作進行常態化檢查，合理運用行政手段進行警示或懲戒等途徑，轉變其“重建設、輕安全；重使用，輕防護”的錯誤認知。

(二)加強網絡安全基礎設施建設

大數據為電子政務、智慧型城市的發展提供了無限可能，但人們容易忽視的是，安全與發展是辯證統一的，安全是發展的前提，發展是安全的保障。在此次執法檢查中檢測出的關鍵信息基礎設施漏洞充分暴露了一些重要行業存在的網絡安全風險，所以異地容災備份、網絡安全態勢感知平臺、應急預案等網絡安全基礎設施的建設要嚴格執行，不斷加強。另外還需加大經費投入支持網絡安全核心技術的研發工作，提高重要工控企業的網絡及安全設備的國有化程度，通過財政補貼和出臺一些利好政策回應一些單位提及的“網絡安全合規成本過高”的問題，使其主動加強安全基礎設施建設，并從網絡安全防護的提高中受益。當下針對關鍵信息基礎設施的境內和境外威脅正在不斷增多，囿于地域、時空的限制以及網絡安全事件的特性，追責破壞關鍵信息基礎設施的行為人的實效性要弱于一般的違法犯罪行為，所以加強網絡安全基礎設施的建設作為最有效的一種事前防御措施，能夠一定程度上規避事后追責的困難，避免不必要的經濟或財產損失。

(三)提高網絡安全領域執法者的專業素養

美國的《網絡安全法案》將網絡安全人才的培養單獨列出，由此可見網絡安全領域對專業素養的要求要遠遠高于一般行業，筆者所指專業素養并不局限于網絡信息技術方面的素養，還包括法學素養。要想執法者對網絡安全行為作出準確的評價，必須要掌握網絡安全法的規定，了解其中包含的法律精神，能夠正確地界定各部門法律所調整的行為的邊界，而不能想當然地依照慣性思維對具有獨特性的網絡空間行為作出偏離立法目的和精神的評價。如果囿于資源的有限性，投入過多的人力和物力來提高執法者網絡安全專業素養的計劃在現階段并不能實現，那么也應該積極尋求與外界網絡安全人才的合作，通過其對相關行為的性質作出前置性的評價來達到間接提高該領域執法水平的目的，但是執法者法學素養的提高沒有可以替代的方案，因為執法者的評價與國家、社會和個人的利益密切相關，所以有關部門應當制定相應的人才培養計劃，投入一定的資源致力于提高網絡安全領域執法者的專業素養。

(四)促使網絡安全領域信息控制者形成行業自律

一方面要從外部監管著手，通過對網絡信息控制者實行區別責任制，根據信息控制者所屬類別、在行業中占據的地位、在信息掌控環節中所處的位置等因素決定其應承擔的責任，倒逼行業主導者管控信息源頭，樹立行業自律的標桿形象。通過加快個人信息保護法的出臺明確網絡信息控制者的行為規范，增加其違法的成本，通過有效的外部威懾達到良好的治理效果。另一方面要促使其內部形成有效的治理機制，誠如前文筆者所述，信息控制者并不是個人信息的泄露的直接受害者，但如果使其利益也在個人信息的泄露中受到巨大沖擊，那么毫無疑問地，信息控制者必將自發形成有效的防御機制來避免此類事件的發生。我們可以通過建立用戶信息保護信用機制來促使行業自律的形成。隨著網絡社會的發展，用戶越來越重視網絡環境下個人隱私的保護，如果信息控制者不能為用戶信息提供有效保障必將被用戶所拋棄，反之則將在市場競爭中贏得更多用戶的青睞。對于違法獲取、泄露個人信息的網絡服務提供者進行披露必將使其意識到自身利益正受到現實的威脅，對于信用良好的網絡服務提供者也必將感受到保護用戶信息給自身長期發展帶來的諸多益處。外部監管和內部治理雙管齊下，促進信息控制者形成行業自律便不再遙遠。

(五)借鑒國外的立法經驗提高網絡安全領域的立法層次

美國是法制完善的發達國家，它在網絡安全問題的處理和網絡空間的安全管理方面有許多先進經驗，它在網絡安全方面的立法技術和立法進程都走在世界的前列。美國互聯網監管體系主要包括立法、司法和行政三大領域和聯邦與州兩個層次；涉及面較為全面，既有針對互聯網的宏觀整體規范，也有微觀的具體規定，其中包括行業進入規則、電話通信規則、數據保護規則、消費者保護規則、版權保護規則、誹謗和色情作品抑制規則、反欺詐與誤傳法規等方面，這些法規多達130多部[1]。

從立法層面看，美國在這一領域既有聯邦立法又有各州根據本州的具體情況制定的法案，實現了從中央到地方的層級管轄。聯邦立法為各州立法指明了方向，奠定了基調。各州在不與聯邦在某一范圍內制定的法律相抵觸的情況下享有獨立立法權，因此其法律的制定更具靈活性和針對性。從實踐層面看，一方面，實行三權分立的美國實現了立法、司法和行政三大部門的有效協作。通過立法對相關網絡空間行為進行調整和規制；通過司法對危及網絡安全的行為進行否定性的評價和相應的警示、懲戒；通過執法落實具體的法律規范和司法判決，由此為危及網絡安全的行為布下了天羅地網。另一方面，兼具宏觀的整體規范和微觀的具體規定避免了局限網絡安全法調整的范圍和法律保護的對象具有不確定性這兩大弊端。所以美國的網絡安全法具有持久的生命力，也一定程度上避免了危及網絡安全的不法分子利用法律漏洞逃脫制裁的現象出現。

為了解決立法體系縱向上的失衡，我們可以借鑒美國的立法技術，加強網絡安全高位階法律的制定，縱觀、統籌全局，推進具有前瞻性的立法工作；各地方人大及其常務委員會根據本地區網絡安全事件的特點，綜合各方意見加快地方性法規的出臺；對于內容不適當或存在交叉、重復、矛盾現象的規章進行廢除或修改。為了解決立法體系橫向上的混亂，我們可以學習美國實現多部門的溝通合作，對網絡安全管理方面的權利清單進行進一步的細分，這樣便能一定程度上避免因職能交叉或者部門之間缺乏有效的溝通協作而造成網絡空間管理上的混亂和法律資源的浪費。

(六)在網絡領域立法內容的諸多博弈中尋求平衡點

1.情勢變化的迅捷性和法律的相對穩定性之間的平衡

一方面，立法者應當站在時代的前沿，縱觀全球網絡安全發展態勢，制定出具有前瞻性與靈活性的法律，為網絡發展留下廣闊的空間。在制定法律的過程中既要避免對調整的社會關系范圍產生限制，又要避免因此可能帶來的保護對象具有不確定性的弊端，如此才能使法律既能應對瞬息萬變的網絡安全問題，又能在相當長的一段時間里保持其內容與性質的穩定性。這樣具有持久的生命力的法律才能既促進網絡空間的持續發展，又可以避免危害網絡安全的不法分子利用法律的漏洞逃脫制裁。另一方面，要樹立既要遵循現行法律體系又不拘泥于現行法律體系的理念。要充分借鑒美國關于“以法律法規形式強制規定各機構信息系統配置的做法可能會對創造其他更成功的解決網絡安全問題的方法產生影響，而市場是改善網絡安全的主要推動力”的理念，不應拘泥于現行法律體系的束縛[2]。這是解決未來網絡安全立法與現行法律產生沖突問題的不二法門。

2.網絡實名制與信息保護之間的平衡

為了解決網絡環境下個人信息保護的問題，需要個人、行業、國家三個主體做出共同努力。首先，個人應當提高在網絡環境中的警惕性，防止個人信息的泄露和非法利用。其次，網絡商品或服務的提供者應當做到行業自律。網絡行業自律是指民事主體在個人信息處理活動中為保護信息主體權益而建立的自我約束體系[3](P186)。不可否認的是行業自律的形成面臨重重困難。一方面，國內網絡商品和服務的提供者在個人信息保護方面的認識整體上處于較低的水平。另一方面，由于信息收集和使用的隱蔽性，離開有效的外部監督機制，隱私保護也不可能轉化為企業間競爭的動因，更不能為企業保護個人信息提供經濟誘因[4](P167)，因此行業自律產生的效果是極其有限的。此時解決問題的焦點就落在國家機關的立法工作上了，國家應當出臺有關個人信息保護的專門法律。就目前來看，有關個人信息的法律規定只零散地存在于憲法、刑法、侵權責任法、未成年人保護法等法律規范中，并沒有形成完整的法律體系，尤其是針對未成年人的上網安全問題，網絡安全法并沒有進行規制。而美國在這方面的探索開始得很早，已經形成了較為完備的法律體系。我們應當借鑒美國的立法體系與內容，加強網絡安全法的配套法律制定，以調和其與現存權利之間的矛盾與沖突。

3.屬地管轄的局限性與懲戒破壞關鍵信息基礎設施的境外行為之間的平衡

要想真正實現網絡安全法中有關境外侵害行為的管轄，首先應當提升自身信息技術水平，爭取在網絡空間主權方面擁有更多的話語權；其次就是要加強網絡安全領域的國際合作，尋求最廣泛的利益，達成網絡安全和引渡方面的國際條約與協定。以此為法律依據主張管轄權歸屬既可以彌補屬地管轄在涉外網絡安全案件中的局限性，也可以達到比主張保護管轄或者屬人管轄來解決此類爭議更直接和滿意的效果。

4.侵害網絡安全行為的巨大危害與過錯責任界定困難之間的平衡

界定過錯責任，繞不開的話題應當是舉證責任的分配，而在網絡安全法中缺乏相應的規定，但這卻直接關系著舉證難度和司法效率。早在20世紀60年代前后，德國、日本等國家的侵權司法實務就提出了因果關系舉證責任緩和的規則，適當降低原告的證明標準，在原告舉證證明因果關系要件達到蓋然性標準時，推定存在因果關系，而不是完全實行舉證責任倒置[5]。筆者認為，網絡安全法不僅要對舉證責任做出進一步規定，而且還應該采取區別責任制。危害網絡安全的案件中，在信息的存儲和傳播方面占據絕對主導地位的網絡商品和服務的提供者不管在個案中是否屬于直接責任主體，都應對其因信息管理不當而承擔更多的責任，且有關部門對其做出比其他處于信息流通下游的責任主體更重的處罰往往能取到更好的懲罰效果，也可以借此倒逼其加強網絡信息的管理。只有在立法中解決了過錯責任界定的問題才能使具有可罰性的行為能真正為其帶來的社會危害性付出應有的代價。

5.國際協作要求的開放性與立法內容的相對保守性之間的平衡

一方面，雖然無論何時，保護網絡安全領域的國家整體利益是立法的出發點也是最終目的，但是拋開意識形態的差別和有關利益的沖突，我們和其他國家在網絡空間領域仍然存在著廣泛的共同利益，因此我們不應該因噎廢食，應努力推進立法內容從相對保守走向漸進式開放，如此才可以為網絡安全領域的國際協作提供堅實的法律保障，這也是符合長遠的利益發展需求的舉措。另一方面，在國外網絡安全立法中肯定式列舉廣泛存在，這樣的立法內容有利于提高司法工作中的可操作性，也可以一定程度上避免因法官自由裁量權過大而造成審判不公的現象出現。而具體的否定式列舉有利于明確法律禁止行為的外延，規避概括式否定帶來的外延模糊的弊端，也不至于使網絡空間的發展因存在觸犯法律的或然性而受到阻礙。結合三種列舉提高網絡安全法的開放性應當被奉為達成國際協作的有效途徑之一。

四、結語

網絡安全法的出臺宣布了我國在網絡空間領域真正實現了有法可依，明確了網絡空間主權原則，表明我國在依法治國的進程中又邁出了堅實的一步，該法實施以來在規范網絡空間行為上發揮著巨大的作用，但由于各主體的網絡安全意識不強，網絡安全的基礎設施建設較為薄弱，執法人員的專業素養普遍不高，信息控制者缺乏行業自律，該法本身在立法體系上存在著失衡和低層次的特點，在立法內容上總體上呈現相對保守的特點，缺乏前瞻性、靈活性與開放性，對網絡實名制環境下的個人隱私保護缺乏相應的配套法律規定，對境外行為的追責缺乏可操作性規定，對過錯責任的界定和舉證責任的分配缺乏具體規定等，使得網絡安全法的實施并未完全實現其立法目的，在解決一些矛盾時陷入了困境。網絡安全法作為迎合信息時代最迫切的需要而產生的新事物，我們應當從強化網絡安全意識、加強網絡安全基礎設施建設、改善立法體系、提高執法者專業素養、促使信息控制者形成行業自律、在立法內容的諸多博弈中尋求平衡點等措施，多管齊下，帶領網絡安全法走出當下的困境，在實踐中探索為其注入持久生命力的不二法門。