論技術標準增強《網絡安全法》適用效能

郗 蕊

一、問題的提出

隨著網絡信息技術的發展和網絡安全形勢的需要,我國網絡安全法治歷經多次變革,從零散的、低位階的《計算機信息系統安全保護條例》等行政法規和《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》等部門規章,逐漸走向統一的、高位階的專門法律,以《網絡安全法》為基本法的網絡安全法律法規體系已經初具規模?！?〕參見黃道麗主編:《中國網絡安全法治40 年》,華中科技大學出版社2020 年版,第1 頁。同時,在國家網信部門負責領導統籌協調下,國務院電信主管部門、公安部門和其他有關機關依照《網絡安全法》等法律法規之規定分工負責的網絡安全管理體系也已在運行之中。然而,面對具有技術屬性的網絡安全領域,當前立法還存在立法者專業知識不足、立法規范可操作性較低、立法更新相對滯后等局限性;實踐中,網絡安全監管“九龍治水”現象仍然存在,行政執法過程中還存在不同執法部門對同一單位、同一事項重復檢查且檢查標準不一等問題?！?〕《全國人民代表大會常務委員會執法檢查組關于檢查〈中華人民共和國網絡安全法〉 〈全國人民代表大會常務委員會關于加強網絡信息保護的決定〉 實施情況的報告》,載中國人大網,http://www.npc.gov.cn/npc/c30834/201712/73685f79f8014eceadd9354bc48d1bc9.shtml,最后訪問日期:2017年12 月24 日。這導致了《網絡安全法》適用的有效性降低,法律治理的效能不高?！?〕何治樂:《〈網絡安全法〉 有效性評估及提升路徑》,載《中國信息安全》2018 年第7 期,第67～70 頁。立法的實施還需要其他規范作為補充,而網絡安全標準正是《網絡安全法》實施中發揮重要作用的規范之一。

我國《標準化法》規定,標準(含標準樣品)〔4〕本文所指標準是標準化工作中的“標準”(standard) 二字。根據國家質檢總局和國家標準委2014 年發布的中華人民共和國國家標準《標準化工作指南第 1 部分:標準化和相關活動的通用術語》(GB/T20001.1-2014),標準是指“通過標準化活動,按照規定的程序經協商一致制定,為各種活動或其結果提供規則、指南或特性,供共同使用的和重復使用的文件”,同時注明“標準宜以科學、技術和經驗的綜合成果為基礎,以促進最佳的共同效益為目的?！笔侵皋r業、工業、服務業以及社會事業等領域需要統一的技術要求。網絡安全標準是網絡安全領域需要統一的技術要求。例如,《網絡安全法》實施以來,國家從立法層面相繼發布了一系列與個人信息保護有關的法律法規、規范性文件及司法解釋;由全國信息安全標準化技術委員會牽頭制定的《信息安全技術 個人信息安全規范》(GB/T 35273-2017,以下簡稱《個人信息安全規范》),從國家標準層面明確了企業收集、使用、分享個人信息的合規要求,為企業制定隱私政策及個人信息管理規范指明了方向;APP 違法違規收集使用個人信息專項治理中,網信、工信、公安等監管部門在執法中參考了《個人信息安全規范》等技術文件;互聯網協會、網絡空間安全協會等社會組織以及各大互聯網應用平臺在工作中引用、參考相關技術文件;各類技術文件已經逐步成為各行業、各領域開展APP 個人信息保護工作的“統一標尺”。

上述表明,這些本不具有法律屬性的技術標準卻在法治領域發揮著類似“法”統一調整的功能。標準化在網絡安全治理中的作用早已為學界和實務界所認識〔1〕參見王智江主編的《網絡安全法概論》、張楚主編的《網絡法學》以及朱明編著的《公安機關信息網絡安全管理及法律適用研究》等書籍都提到技術標準,其中,《網絡安全法概論》將標準放入法律體系中進行論述;《公安機關信息網絡安全管理及法律適用研究》認為標準對法律法規的執行具有支撐性的作用,指出標準提供了網絡安全等級保護的依據和內容,并將標準作為公安機關執法的依據;張楚主編的《網絡法學》將技術標準納入網絡技術規范范疇,并與網絡技術性法律規范相區別。,主要觀點是模糊地把標準當成“法”的一種而作為互聯網企業合規和行政監管執法的依據,卻沒有真正厘清標準與法律的關系,也沒有闡釋標準發揮作用的機制原理。這樣的觀點還是比較淺顯的。為此,本文以《網絡安全法》為樣本,分析網絡安全標準進入法治領域而獲得合法效力的授權根據,從彌補立法局限和支撐法律實施兩個方面闡釋標準增強法治效能的作用原理,嘗試提出我國網絡安全法律援引技術標準法制化的完善建議,以期有益于該領域企業合規、行政執法等法務實踐,并以專業研究進一步推進“標準支撐法律”等標準化法基礎理論研究。

二、進入《網絡安全法》的技術標準

網絡安全標準能夠增強法治效能的前提是技術標準在與《網絡安全法》規范領域和對象重疊基礎上,因法律引用而進入到《網絡安全法》法條文本,獲得合法的效力授權。

(一) 技術標準與《網絡安全法》的關系

網絡安全標準與法律之間存在區別,又密切聯系。網絡安全標準是關于網絡安全技術術語、技術參數、技術措施和管理要求等的一類技術文件,其本質是不同于法律規范、存在于網絡安全法律法規體系之外可自行運轉的一類社會規范系統。但是,現代治理背景下,標準已然成為治理的工具;自2010 年以來,治理理論正從“傳統治理”走向“新治理”;新治理理論一致強調標準的重要性?！?〕李容華、劉瑾、徐海寧:《標準作為治理工具及其立法觀察》,載《中國標準化》2020 年第11 期,第59～66 頁?！毒W絡安全法》以法律形式認可技術標準作為網絡安全治理工具的一種。第7 條明確規定了網絡安全標準在網絡治理體系中的作用,對于構建和平、安全、開放、合作的網絡空間而言,網絡安全標準制定和打擊網絡違法犯罪一樣,是有效的治理工具之一。這為技術標準“進入”網絡安全法治領域提供了可能。具體而言,由于法律與標準把網絡的運行安全和信息安全作為同一規范對象,把維護網絡安全與秩序作為同一追求目標,《網絡安全法》與技術標準的規范領域發生重疊。這些領域的問題既是法律治理的問題,也是標準治理的問題。

網絡安全標準進入法律,是指《網絡安全法》以法律援引標準的方式,使標準成為法條中的一部分內容,并賦予相應法律效力。所謂“進入”是指兩個不同的事物,在某種途徑下,由一個事物嵌入另一個事物內部。標準的實施有三種基本方式:一是法律引用(也稱法律援引);二是當事人約定;三是合格評定(認證認可)〔1〕參見柳經緯:《論標準替代法律的可能及限度》,載《比較法研究》2020 年第6 期,第174～184 頁。。法律援引指把與標準有關的內容作為法律條款的構成部分。它既是技術標準自身得以實施的方式之一,也是技術標準進入法治系統〔2〕參見柳經緯:《論標準的私法效力》,載《中國高校社會科學》2019 年第6 期,第76～79 頁。的方式之一。這種援引就像是一條傳送帶,把法律的齒輪與標準的齒輪環環相扣。這種援引方式并不改變標準的屬性,只是讓標準從法律之外進入到法治領域,成為法律規范的技術工具,標準的法律效力依賴于法律的規定。

(二) 《網絡安全法》關于標準的條款

《網絡安全法》為鼓勵政府、社會、企業和個人共同參與治理,以達到預防、控制、合理分配安全風險的目的,在法律條文中設置涉及技術標準的專門條款,以授予網絡安全標準合法地位和法律效力。關于標準制定的條款,涉及標準制定的主體和參與標準制定主體,還涉及標準的類型。關于標準效力的條款,一方面涉及網絡運營者應遵守強制性標準的要求,另一方面涉及違反強制性標準要求應當承擔相應的法律責任。

1.關于標準制定的條款

《網絡安全法》第一章、第二章中對標準的網絡安全治理工具地位、標準的制定主體與參與主體、標準體系以及標準類型一一進行了規定,其目的在于賦予網絡安全標準合法地位,授予政府部門主導網絡安全標準化活動的相關權限。

《網絡安全法》第15 條規定“國家建立和完善網絡安全標準體系。國務院標準化行政主管部門和國務院其他有關部門根據各自的職責,組織制定并適時修訂有關網絡安全管理以及網絡產品、服務和運行安全的國家標準、行業標準”。網絡安全標準體系建立和完善的主責部門在于政府?！毒W絡安全法》將標準制定主體以組織規范意義上的空白授權方式賦予國務院標準化行政主管部門和國務院其他有關部門如公安部、工信部等,國務院各相關部門根據自己的職責,制定國家標準或行業標準。

《網絡安全法》第15 條第2 款規定“國家支持企業、研究機構、高等學校、網絡相關行業組織參與網絡安全國家標準、行業標準的制定”,以法律形式認可標準治理的民主性,以提升履行含有合標要求之義務的自愿性。按照現代治理理論,標準化活動的主體是多元化的,包括政府機構、社會中間組織和企業?！?〕于連超:《作為治理工具的自愿性標準:理論、現狀與未來——兼論中國標準化法制的革新》,載《宏觀質量研究》2015 年第4 期,第92～99 頁。在標準制定過程中,可以通過眾多利益相關方的充分討論來影響標準制定的最終結果〔2〕于連超:《標準支撐法律實施:比較分析與政策建議》,載《求是學刊》2017 年第4 期,第91～97 頁。,體現了網絡安全治理工具的民主性,也使標準更容易得到權威與遵從。

根據適用范圍,網絡安全標準可以分為國家標準、行業標準和企業標準等。標準類型與《關于加強國家網絡安全標準化工作的若干意見》中“原則上不制定地方標準”相一致,以確保標準的高度統一性。在國家標準方面,截至2020 年12 月,全國信息安全標準化技術委員會共歸口國家標準320項〔3〕參見《已發布網絡安全國家標準清單》,https://www.tc260.org.cn/front/bzcx/yfgbqd.html,最后訪問日期:2020 年12 月21 日。,其中強制性國家標準不到10 條,其余均為推薦性國家標準。在行業標準方面,國務院承擔網絡安全監管職能的部門還制定大量行業標準。如工信部制定的《YD/T 3212-2017 內容分發網絡服務信息安全管理系統接口規范》、公安部制定的《GA/T 404-2002 信息技術 網絡安全漏洞掃描產品技術要求》。

2.關于標準效力的條款

《網絡安全法》通過配置網絡安全義務以達到調整網絡安全行為的目的。將標準援引入法律則是為了明確網絡安全義務的具體操作要求,表現為將合標要求作為義務的構成元素,多以“應當”“必須”等表述為主。網絡監管部門開展網絡安全管理,監督網絡運營者提供網絡產品、服務和開展網絡運行,均需按照法律法規的規定,符合網絡安全領域國家標準和行業標準的要求。如第15 條。網絡運營者建設、運營網絡或者通過網絡提供服務應當依照法律、行政法規的規定和國家標準的強制性要求,采取相關技術措施,保障網絡運行安全和數據安全。如第10 條。網絡運營者提供的網絡產品與服務要符合相關國家標準的強制性要求。如第22 條。特別是網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求,經檢測認證或符合要求后,才可以對外銷售或者向社會提供。如第23 條?？傊?網絡安全產品的生產、服務的提供、措施的組織需遵守有關標準和認證要求成為網絡運營者網絡安全義務的一部分。

既然合標屬于義務的部分要求,那么違標也應承當相應法律責任,以保障標準與法律之共同目的的實現?！毒W絡安全法》設置了相對應的法律責任條款,指出違反涉及相關標準和認證的義務條款時須承擔的法律責任。網絡運營者違反標準,可能被有關主管部門處以責令改正、警告等處罰;拒不改正或者導致危害網絡安全等后果的,對單位和直接負責人處以罰款等處罰。如第60 條。網絡安全認證、檢測機構違反標準開展認證、檢測,可能被有關主管部門處以責令改正、警告等處罰;拒不改正或者情節嚴重的,既處以罰款,并處以暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照等處罰,同時還對直接負責的主管人員和其他直接責任人員處以罰款。如第62 條。

由于法律規范是一種包含條件的命令,包括事實要件和法律后果兩個層面;一旦事實要件具備,法律后果就產生?！?〕參見[德] 哈特穆特·毛雷爾:《行政法學總論》,高家偉譯,法律出版社2000 年版,第122頁。標準效力條款表明,按照法律規范“假定條件+行為模式+法律后果”的形式,當網絡運營者提供網絡產品、服務時,要依照合標條款履行義務,否則將受到違標責任條款的懲罰。這樣的合標要求條款與違標責任條款恰好構成一條完整的法律規范,標準的技術規范轉換為法律的行為規范。這是網絡安全標準的法律效力來源,也是標準能夠發揮“法”作用的根源。

三、技術標準彌補《網絡安全法》立法局限

網絡安全標準增強法治效能的首要表現是標準可以彌補法律漏洞、提升立法質量、節約立法資源,使《網絡安全法》科學、明確、先進以更符合良法品質,從而為法律適用提供基礎依據。

同作為規范系統,《網絡安全法》與網絡安全標準不僅規范領域重疊、規范對象一致,而且兩者具有相同的價值追求,都強調民主與程序,即通過利益相關方的充分參與,按照一定的程序協商制定共同遵守的規則。這使兩者在文本形式上可以相互引用、實現融合互通。面對技術密集型的網絡安全領域,在調整以技術對象為基礎的網絡安全法律關系時,《網絡安全法》保持開放性和包容性并與標準規范互動才得以取標準之長補法律之短。

(一) 彌補立法者專業知識的不足:標準的專業性

《網絡安全法》是由全國人民代表大會常務委員會于2016 年11 月7 日表決通過。作為一部網絡安全領域的基本法,其功能在于調整網絡安全法律關系和設置權力與責任、權利與義務等,其定位本身就不在于解決具體技術問題。但是對于什么樣的操作流程、技術措施是可以抵御網絡安全威脅的,需要有一定的客觀衡量尺度,根據當前科技發達水平來度量在當前一段時間內至少應達到什么程度的防范水平。由于全國人民代表大會常務委員會的審議委員多為人大代表、法律專家等,并非精專于網絡安全的技術專家,難以在法律中規定具體的技術要求和技術措施。

與之相對的,技術標準是由網絡安全領域的專家起草,在科學論證的基礎上,依據一定的程序經協商一致而制定的技術規范文件。在我國,全國信息安全標準化技術委員會(以下簡稱“信安標委”),是專門從事信息安全標準化的工作組織,委員會分別由國內相關部門、研究所、企事業單位及高等院校等代表組成,如中國電子技術標準化研究院、中國科學院計算技術研究所、清華大學、華為技術有限公司,等等。且委員多為網絡與計算機專業的高級工程師、研究員。

具體到某一個標準的起草單位,也具有很強的專業性。如《信息安全技術 網絡安全漏洞標識與描述規范》(GB/T 28458-2020) 起草單位包括國家信息技術安全研究中心、國家計算機網絡應急技術處理協調中心、中國信息安全測評中心,中國電子技術標準化研究院、中國科學院信息工程研究所等研究機構,中國科學院大學國家計算機網絡入侵防范中心等大學,啟明星辰信息技術集團股份有限公司、北京百度網訊科技有限公司、奇安信科技集團股份有限公司等企業……可以看出,技術專家比一般立法者更有技術話語權,這使技術標準在規范的科學性、客觀性上更有專業權威。

(二) 彌補立法的概括性:標準的具體性

“網絡安全首先是一個技術問題。從技術上講,網絡安全是一個立體的、多方位、多層次的系統,覆蓋了信息網絡中的物理環境、通信平臺、網絡平臺、主機平臺和應用平臺等多個系統單元?！薄?〕張楚:《網絡法學》,高等教育出版社2008 年版,第95 頁。網絡安全與否是一門專門學科研究領域,有專門的語言代碼、運算法則、發展規律和管理規則。而法律條文記錄不了技術語言。以網絡安全等級保護為例,《網絡安全法》第21 條規定“國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務:……采取防范……危害網絡安全行為的技術措施”。該條文可以看出《網絡安全法》沒有也不能把具體技術措施窮舉在法條中,只能使用界定內涵的描述性語言進行概括。實踐中,網絡安全等級保護制度則配套有《計算機信息系統安全保護等級劃分準則》(GB 17859-1999)、《信息安全技術 信息系統通用安全技術要求》(GB/T 20271-2006)、《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)、《信息安全技術 網絡安全等級保護安全設計技術要求》(GB/T 25070-2019)、《網絡安全等級保護測試評估技術指南》(GB/T 36627-2018) 等一系列國家標準。

網絡安全等級保護包括定級、備案、安全建設、等級測評、監督檢查等五個階段,具體而言:網絡運營單位第一步確認定級對象,參考《信息安全技術 網絡安全等級保護定級指南》(GB/T 22240-2020) 等初步確認等級,組織專家評審,主管單位審核;第二步,持定級報告和備案表等材料到公安機關網安部門進行備案;第三步,以《信息安全技術網絡安全等級保護基本要求》(GB/T 22239-2019) 中對應等級的要求為標準,對定級對象當前不滿足要求的進行建設整改;第四步,委托具備測評資質的測評機構對定級對象進行等級測評,形成正式的測評報告,測評機構依照《信息安全技術網絡安全等級保護測評要求》(GB/T 28448-2019) 開展測評;第五步,向當地公安機關網安部門提交測評報告,配合完成對網絡安全等級保護實施情況的檢查。公安機關的監督檢查是對依照技術標準采用技術措施后的網絡安全秩序給予一種法律上的審核,這種網絡安全秩序實質上是網絡運營者遵循技術標準的結果。

上述可見,技術標準提供了明晰而易操作的工作規范和管理規則,以保障用戶使用的便捷性。相較于法律規范,標準規范更具備實施上的可操作性。網絡安全標準能夠為網絡運營者履行網絡安全義務提供操作指南,指出如何保障網絡安全的具體做法,細化《網絡安全法》中的不確定法律概念。

(三) 彌補立法的滯后性:標準的先進性

網絡安全是相對的,會隨著時代技術發展而不斷變化。網絡攻防技術的發展總是“道高一尺魔高一丈”。要想保障安全,必須時刻保持在技術的前沿。法律規范具有穩定性,即制定出來后在一段時間內保持穩定,不可朝令夕改。面對日新月異的互聯網技術,法律的穩定性容易隨時代與技術的發展表現為不適應性。與之相對,技術標準通常隨公認技術發展而不斷修訂,這種相對靈活性使其更容易適應社會對技術安全的要求?！稑藴驶ā芬幎宋覈夹g標準的復審制度,復審周期不超過5 年。經過復審,對不適應經濟社會發展需要和技術進步的標準應當及時修訂或廢止。網絡安全標準往往在當前科學技術研究成果和實踐經驗的基礎上,經專家深入調查論證和向社會廣泛征求意見,不斷更新,以保障網絡產品、服務的安全性、通用性和先進性?！?〕參見《標準化法》第4 條、第22 條、第29 條。例如,針對個人信息安全問題,為規范個人信息控制者在收集、保存、使用信息環節中的相關行為,《信息安全技術 個人信息安全規范》(GB/T 35273-2017) 于2017 年12 月29 日發布、2018 年5 月1 日實施。但隨著我國個人信息應用實踐的迅速推廣和執法活動的深入開展,原規范的修訂很快納上日程,以應對新技術和商業模式,2019 年一年之內,2 月、6 月、10 月先后三次分別發布了原規范的修訂草案和修訂征求意見稿。最終2020 年3 月6 日,國家市場監督管理總局、國家標準化管理委員會正式發布了《信息安全技術個人信息安全規范》(GB/T 35273-2020),實施后將替代《信息安全技術 個人信息安全規范》(GB/T35273-2017)。因此,技術標準在適應技術進步上更具優勢。

綜上,《網絡安全法》引入網絡安全標準,可以彌補純粹法律條文在專業性、原則性、滯后性等方面的局限,打破具體適用上的技術壁壘,借以將法律規范效應延伸至技術領域,以完成《網絡安全法》對網絡安全法律關系的實質性規制。就援引效果而言,從表面看,《網絡安全法》通過援引技術標準解決了法律規范在技術領域的規制困境。當法律遇到網絡安全技術問題時,立法部門不必另行尋找解決技術問題的辦法,而是充分吸納符合立法目標的標準規范。這不僅使網絡安全立法更加科學合理,還節約了立法資源,提升了立法效益。從更深層次看,《網絡安全法》通過援引技術標準使法律規范在保持形式上穩定性的同時,又在實質上保持“與時俱進”。面對技術問題,網絡安全立法不再解決技術細節,而把實現網絡安全的具體技術問題交給標準化組織完成,不需要再啟動法律修訂程序對法律條款進行調整,通過升級其所援引的標準即可實現對網絡安全法律關系調整規范。加之,通常情況下標準應在五年之內被修訂一次,以保證標準反映最新技術發展現狀,因而《網絡安全法》援引最新標準有利于推動立法水平實質上的進步。

四、技術標準支撐《網絡安全法》的實施

網絡安全標準增強法治效能的表現除了彌補立法局限提升立法品質外,更主要體現在支撐《網絡安全法》的實施,使法律真正成為可具操作性的“活”法而發揮善治作用。

網絡安全標準的技術規范效力主要作用于產品、服務、措施等事務對象,以規制產品的質量、服務的功能、系統運行的狀態、數據的完整保密屬性等性能,主要依靠市場主體基于經濟效益的考量而自愿執行,不具有強制性?！毒W絡安全法》通過援引標準,使標準在本身技術規范效力基礎上,獲得了法律意義上的規范效力,即一旦被援引則具有一定的法律拘束力。依據《標準化法》《網絡安全法》的規定,強制性標準必須執行;推薦性標準和行業標準經法律引用后,應具備強制實施效力〔1〕參見柳經緯:《標準的類型劃分及其私法效力》,載《現代法學》2020 年第2 期,第165 頁。;標準經企業自我聲明公開后,必須遵守。在《網絡安全法》實施的不同階段,針對不同的實施主體,這些被援引的標準表現出的法律規范效應大不相同:對于網絡運營者而言,網絡安全標準是網絡安全義務規定的具體化;對行政機關而言,網絡安全標準則是具體行政行為事實認定的判斷依據;對司法機關而言,網絡安全標準則是審判中事實認定和法律適用的重要參考。

(一) 對網絡運營者的規范效應

《網絡安全法》通過設置網絡安全義務對網絡安全行為進行調整規范?！毒W絡安全法》關注網絡運營者“應當為”的問題,而該義務履行的判斷在于網絡運行的狀態。當網絡運行達到風險防控標準要求時,運營者義務履行落實到位;反之,則沒有。標準通過網絡安全義務具體化產生作用,解答網絡運營者“如何為”的問題,為網絡運營者履行網絡安全義務提供技術規范指引,提升網絡運營者對《網絡安全法》的遵從性。

1.衡量產品、服務安全與否的標尺

這種表面看似以產品服務為調整對象,實則對網絡運營者產生規范效應,構成網絡產品服務提供者的安全義務之一?！毒W絡安全法》第9 條創設了網絡安全保護義務,而第10 條指明了第九條義務的總體要求與相關依據,即網絡運營者采取技術措施維護網絡安全時,除了應當依照法律和行政法規的規定,還要依照國家標準的強制性要求?！毒W絡安全法》第22 條、第23 條規定網絡產品、服務特別是網絡關鍵設備和網絡安全專用產品應當符合相關國家標準的強制性要求,如強制性國家標準《網絡關鍵設備安全通用要求》(GB 40050-2021)?！毒W絡安全法》明確了網絡產品、服務提供者的安全義務,其中規定“國家標準的強制性要求”是網絡產品服務的準入性“門檻”。除了強制性標準,推薦性標準、行業標準經法律援引或經企業自我聲明或作為第三方檢測認證依據后,也成為網絡安全義務的構成部分,對網絡運營者產生拘束力。此效力主要來源于《標準化法》第27 條“國家實行團體標準、企業標準自我聲明公開和監督制度。企業應當公開其執行的強制性標準、推薦性標準、團體標準或者企業標準的編號和名稱;企業執行自行制定的企業標準的,還應當公開產品、服務的功能指標和產品的性能指標?！本W絡安全產品、服務不符合標準要求的,應承擔相應的民事、行政甚至刑事責任。如《網絡安全法》第60 條、第62 條,《標準化法》第25 條、第36 條、第37 條、第38 條。

2.第三方機構檢測認證的依據

標準是認證的依據,認證是標準的實施?！毒W絡安全法》第23 條規定網絡關鍵設備的銷售,除了符合強制性國家標準,還需要通過安全檢測或認證,方可對外銷售。網絡關鍵設備的安全檢測需要由具備資格的機構按照網絡關鍵設備安全檢測依據的標準實施檢測?！毒W絡關鍵設備安全檢測實施辦法(征求意見稿)》規定檢測機構應按照檢測標準執行檢測任務,檢測機構不按照檢測標準要求執行檢測任務,工業和信息化部采取暫停采信其檢測結果等處理措施;還規定網絡關鍵設備安全檢測依據的標準另行發布?！?〕參見《網絡關鍵設備安全檢測實施辦法(征求意見稿)》第7 條、第11 條、第14 條。又如,為規范移動互聯網應用程序收集、使用個人信息的行為,市場監管總局、中央網信辦于2019 年3 月15 日決定開展App 安全認證工作并發布了《移動互聯網應用程序(App) 安全認證實施規則》。根據該規則,App 數據安全認證的依據為最新版本《信息安全技術 個人信息安全規范》(GB/T 35273) 及相關標準、規范?！?〕《〈個人信息安全規范〉(2020 版) 簡要解讀和合規建議》,載https://www.sohu.com/a/41754 7927_672137,最后訪問日期:2021 年3 月7 日。

3.網絡安全措施的技術指南

《網絡安全法》第41 條規定網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意?！缎畔踩夹g個人信息安全規范》(GB/T 35273-2020) 對如何開展收集、保存、使用、共享、轉讓、公開披露等個人信息處理活動提出了具體要求和操作規范,并以附錄形式給出個人信息示例、個人敏感信息判定、實現個人信息主體自主意愿的方法、個人信息保護政策模板。雖然該網絡安全標準為推薦性國家標準,不具有強制實施效力,但是行政執法機關常以媒體曝光、產品下架等方式查處違反標準的企業,從而影響到企業名聲和股價等市場價值。這在一定程度上對網絡運營者產生震懾效應,迫使其依照標準組織網絡運營,履行企業網絡安全義務。如2020年12 月,廣東省公安機關發布新聞稱,在超范圍收集用戶信息App 清理整治專項行動中,直接點名共監測發現“萬聯e 萬通”“微信電話本”“中國移動”“百度地圖(iOS)”等38 款移動互聯網應用程序(APP) 存在超范圍收集用戶信息違規行為?！?〕《這38 款APP 違規收集用戶信息! 廣東警方曝光》,載https://www.sohu.com/a/441049255_118392,最后訪問日期:2021 年3 月7 日。公安機關認定這38 款APP 存在超范圍采集個人信息行為即參照《信息安全技術個人信息安全規范》(GB/T 35273-2020),特別是個人信息保護政策(也稱隱私政策) 模板。

(二) 對行政機關的規范效應

《網絡安全法》授予行政監管機關監督管理網絡安全義務履行的職權,依法采取行政許可、檢查、處罰等具體行政行為。具體行政行為是行政機關適用法律的過程。法律適用依次包括四個階段:①調查和認定案件事實;②解釋和確定法定事實要件;③函攝:案件事實與法定事實是否相符;④確定法律后果?！?〕參見[德] 哈特穆特·毛雷爾:《行政法學總論》,高家偉譯,法律出版社2000 年版,第123頁。前三個階段都是在進行事實認定,是確定法律后果的必要條件。標準發揮作用的環節也是在事實認定階段,一方面,對法律原則性規定和不確定概念給予具體化解釋,構成法定事實要件;另一方面,對案件事實與法定事實之間的相符性進行專業認知判斷。在此基礎上,才是適用包含標準的法律條款作出許可、處罰等處置后果?？傮w而言,標準對行政機關的規范效應主要是作為事實認定環節的判斷依據。

1.行政檢查的技術依據

根據《網絡安全法》的規定,網絡安全監管內容包括技術監管與非技術監管兩部分。技術執法需要技術標準來認定違法事實,例如備案風險等級與重要性是否相符,收集個人信息是否超出范圍;非技術執法一般運用日常檢查和邏輯判斷,例如:是否符合強制性要求,是否通過認證,是否備案,是否留存日志等。在此意義上,網絡安全監管中的行政檢查更多時候是一種技術執法。技術執法要以標準等為依據,采用檢驗檢測儀器和設備,運用各種技術方法認定違法事實,用科學的數據說話。以公安機關監督檢查網絡安全等級保護為例,《網絡安全法》第21 條規定“國家實行網絡安全等級保護制度”,《公安機關互聯網安全監督檢查規定》第10 條規定公安機關應當依照國家有關規定和標準,監督檢查互聯網服務提供者和聯網使用單位是否履行網絡安全等級保護等義務。具體而言,公安機關依據《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)、《信息安全技術 網絡安全等級保護安全設計技術要求》(GB/T 25070-2019)、《網絡安全等級保護測試評估技術指南》(GB/T 36627-2018) 等一系列國家標準,采取現場監督檢查或者遠程檢測的方式檢查網絡運營者是否落實了網絡安全措施。

2.行政違法事實認定的客觀依據

網絡安全義務基本邏輯為:“由政府主導至上而下施加義務,并通過國家、行業標準規定非常具體的措施性要求作為義務的主要內容,然后通過行政處罰等手段強制性要求管理對象合規”〔2〕洪延青:《“以管理為基礎的規制”——對網絡運營者安全保護義務的重構》,載《環球法律評論》2016 年第4 期,第28 頁。。行政檢查發現有違法行為的,網絡安全監管機關則需立即作出行政處罰的判斷。網絡安全標準為判定行為合法性與違法性提供事實證據,而非直接作為違法處罰的依據;行政執法的具體罰則依據是《網絡安全法》。例如,2017 年7 月22 日,宜賓市翠屏區“教師發展平臺”網站因網絡安全防護工作落實不到位,導致網站存在高危漏洞,造成網站發生被黑客攻擊入侵的網絡安全事件〔1〕《〈網絡安全法〉 實施后處罰案例盤點》,載https://www.sohu.com/a/166415789_713041,最后訪問日期:2021 年3 月7 日。。宜賓市公安機關網安部門調查發現,該網站自上線運行以來,始終未進行網絡安全等級保護的定級備案、等級測評等工作,未落實網絡安全等級保護制度。我國實行網絡安全等級保護制度,要求網絡運營者首先要依據強制性國家標準《計算機信息系統安全保護等級劃分準則》(GB 17859-1999) 進行定級,而該案中涉事單位未開展定級工作,且后續的備案、測評等工作也無從談起。根據《網絡安全法》第21 條、第59 條第1 款的規定:決定給予翠屏區教師培訓與教育研究中心和直接負責的主管人員法定代表唐某某行政處罰決定,對翠屏區教師培訓與教育研究中心處一萬元罰款,對法人代表唐某某處五千元罰款。

3.行政處罰裁量基準

網絡安全標準是裁量適用不同檔次行政處罰的基準,是行政裁量選擇的客觀參照?！毒W絡安全法》通過設定網絡安全法律責任規定了不同處罰類型,而網絡安全標準為行政裁量或免于處罰提供客觀證據?！毒W絡安全法》在行政處罰中設定了不同的法律責任,如責令改正、警告、罰款等。作為證明客觀事實的證據材料,網絡安全標準不僅關系到違法事實認定,又關系到違法行為處罰裁量認定。由于國家標準一般是最低要求,即使嚴格按照網絡安全標準落實防護措施,網絡信息系統還是有被攻擊的可能。標準只是一個便于操作的判斷違法行為成立的方法,符合標準并不能成為行為正當性的抗辯事由〔2〕蔣怡琴:《論標準在民事裁判中的適用》,載《行政與法》2018 年第7 期,第120 頁。。雖說遵守網絡安全標準并不是遵守網絡安全義務的唯一途徑,符合標準也并不能完全對抗法律責任,但網絡安全標準是網絡安全義務履行與否的重要判定“標尺”,是網絡安全保護與否這一法律事實認定的關鍵證據?！昂弦庍_標”可以是行政機關在行政處罰時選擇不同檔次裁量基準的事實證據。當發生意外或輕微網絡安全事件時,更甚者“合規達標”也可以成為免于行政處罰的一個裁量情節。網絡安全標準為《網絡安全法》在平衡法與情、法律效益與社會效益的法律適用過程中搭建了一座橋梁。

(三) 對司法機關的規范效應

在網絡安全法治領域,標準作為一種涉及技術規范從而指引規范安全行為,對網絡運營者和行政監管部門產生事實上的法律拘束力,是相對容易論證的命題。然而,標準可否作為法院的審判規范,則是一個比較復雜的問題。這既涉及行政機關制定的非法律性文件是否具有審判依據地位問題,又涉及對于不同的法律責任法院審理行政、民事、刑事案件時如何事實認定和法律適用等問題。如前所述,標準不是一種法律淵源,自然不能直接作為審判依據,但是標準還是法律責任的構成要件、事實認定的客觀證據、法律適用的技術參照。事實上對司法機關審判起到一定的規范效應。

1.追究違標責任的依據

面對網絡安全風險,不僅要依照標準治理做好風險預防,還要通過法律強制后盾對違標行為做好違標懲處,以起到安全警戒作用。立法機關在《網絡安全法》通過違標責任條款把標準作為法律責任構成要件之一。這也是司法機關在審理涉及網絡安全標準案件時給予適用的法律依據。對此,《網絡安全法》第六章設定了專門的法律責任,大部分以行政責任為主,如第60 條、第62 條;本法在制度設計上進行了責任之間的銜接,特別是行刑銜接,第71條和第74 條明確了違法本法,依照法律法規,亦可承擔相應的民事、治安和刑事責任。這與《標準化法》第36 條、第37 條的規定相一致。此外,《刑法》第 146 條還專門規定“生產、銷售不符合安全標準的產品罪”,以嚴厲的法律懲罰要求網絡產品、服務提供者履行合標義務。

2.事實認定的客觀證據

在事實認定環節,網絡安全標準是網絡安全義務履行與否的重要判定“標尺”,是網絡安全保護與否這一法律事實認定的關鍵證據。依照標準做出的事實認定結論主要體現為鑒定報告、鑒別報告、檢驗檢測報告等。例如,是否采取了網絡等級保護措施由網絡安全等級保護檢測報告呈現,是否采取了個人信息保護措施可由個人信息安全影響評估(PIA) 報告呈現。這種檢測數據分析報告形成鑒定意見,作為事實認定的證據材料,具有更強證明力。鑒于網絡安全技術的專業性,只要鑒定程序合法,法院往往會采納鑒定意見。畢竟法官是法律專家不是技術專家,依據技術標準進行事實認定則更具有科學性和客觀性。例如,被告人韓某某自2019 年2 月起,在任深圳市某某有限公司(以下簡稱“某某公司”) 經理期間,設立網站域名為某某公司的“某某網”,為他人進行包括公民個人信息在內的數據交易提供平臺,牟取非法利益。上海市公安局寶山分局網安支隊制作的《遠程勘驗工作記錄》、上海弘連網絡科技有限公司計算機司法鑒定所出具的《司法鑒定意見書》,證實經對本案涉案IP “某某”服務器內涉案文件進行遠程勘驗,涉案“某某網”服務器上存有數據條數總計為5421 萬條,含數據的文件有162 件,經人工梳理去重,其中含公民個人信息的文件共39 件,合計為38 萬條?！?〕暨附帶民事公益訴訟被告人韓某某、暨附帶民事公益訴訟被告人楊某某等侵犯公民個人信息案,上海市寶山區人民法院刑事判決書(2019) 滬0113 刑初2482 號。

3.法律適用的技術參照

在法律適用環節,基于網絡安全技術的專業性,法院在適用法律時通過參照網絡安全標準進行法律解釋厘清相關技術概念和內涵。以浙江省紹興市越城區人民法院審判的張某、陳某明、張某榮等提供侵入、非法控制計算機信息系統程序、工具罪一案中,2015 年平某始,被告人陳某明將編寫的“思華”軟件接入“快啊答題”平臺,并上傳至平臺供他人使用軟件進行批量識別驗證碼服務(即批量掃號) 等違法活動,從中收取返利。該軟件繞過騰訊QQ 登錄驗證碼保護措施,批量驗證QQ 賬號密碼是否一致。審理過程中,辯護人提出“根據《網絡安全法》第23 條以及《網絡關鍵設備和網絡安全專用產品目錄》的規定,驗證碼并不屬于網絡關鍵設備和網絡安全專用產品,因此認定圖文識別技術為非法,并將識別騰訊公司驗證碼視為非法侵入計算機信息系統沒有法律依據?！狈ㄔ簩徖碚J為,《網絡關鍵設備和網絡安全專用產品目錄》公布的目的在于加強對網絡關鍵設備和網絡安全專用產品的安全管理,該目錄項下的網絡關鍵設備、網絡安全專用產品類別須經過具有相關資質的認定機構按照國家標準的強制性要求進行安全認證后方可對外提供、銷售,該目錄的公布不具有規定“網絡關鍵設備和網絡安全專用產品是什么”或“目錄之外均不屬于網絡關鍵設備和網絡安全專用產品”的內在意旨,更非對“計算機信息系統安全保護措施”作出定義式限定,辯護人以驗證碼不在該目錄中而否定其安全保護屬性的意見,故不予采納〔2〕張鑫、陳天明、張朝榮等提供侵入、非法控制計算機信息系統程序、工具罪案,浙江省紹興市越城區人民法院(2018) 浙0602 刑初101 號。。

五、網絡安全法治與標準化科學結合的建議

網絡安全標準之所以能夠增強法治效能是其對《網絡安全法》的補充與支撐作用。而該作用的發揮又依賴《網絡安全法》及其配套法規對標準援引規定的完善程度?！毒W絡安全法》對如何援引標準及標準怎樣發揮規范效力等問題規定得越細,標準條款適用得越規范,標準對法治效能的作用越明顯。由中央網信辦、國家質檢總局、國家標準委三部門聯合發布《關于加強國家網絡安全標準化工作的若干意見》明確要求“推動網絡安全標準與國家相關法律法規的配套銜接”。兩者就像一對相互咬合的齒輪相互帶動也相互制約。我國應該重視規范網絡安全法律規范與標準規范之間的銜接,建立健全《網絡安全法》與網絡安全標準的良好協調機制。對此,可以從以下三方面加以完善,防止標準“異化”法治:

(一) 設立更新機制,標準要符合立法目的

可以借鑒國外技術法規的先進經驗,完善網絡安全標準的引入和退出機制。在歐美日等國家,技術法規是按法律規范的程序由政府制定和發布并由政府強制實施的一系列行政法規,其規定的范圍都是涉及人類健康安全、動植物安全、環境保護、國家安全等目標〔1〕參見劉春青:《美歐日技術法規體系共性研究及其對我國的啟示》,載《標準科學》2010 年第2 期,第69～77 頁。。對于技術中立的自愿性標準,各國立法者可根據立法意圖來決定采用與否;一旦不符合立法目的,又回歸到自愿性標準〔2〕劉春青、于婷婷:《論國外強制性標準與技術法規的關系》,載《科技與法律》2010 年第5期,第42 頁。。相比于我國《網絡安全法》以全國人大審議通過的法律來援引網絡安全標準,國外技術法規對標準的吸納更加形式多樣、方式靈活。我國《網絡安全法》援引技術標準既不改變標準屬性,也不是立法權任意擴張,主動權仍掌握在立法者手中。因此,可以借鑒國外技術法規吸納標準的方式,除了通過“標準條款”明確規定外,對雖沒有明確規定但符合立法目的且在實踐中被默認適用的標準,明示給予納入援引范圍;對于不符合立法目的的標準,及時給予退出援引范圍。這樣,讓網絡安全標準在符合立法需要時被援引以完成法律規范的使命任務,在不符合立法需要時被退出以回歸到技術規范的職責范疇。

(二) 明確授權范圍,援引要符合程序規則

有針對性明確援引標準類別和范圍,明確網絡安全標準的規范效力和適用規則。當前,我國網絡安全領域初步建立了網絡安全標準和認證認可的體系規范。隨著5G、物聯網等互聯網技術的快速發展,金融、工控、教育等各個專業領域的網絡安全標準將更加豐富。面對日益龐大的網絡安全標準體系,我國《網絡安全法》目前援引標準的模式,對于誰有權力決定是否適用標準、適用哪個標準以及適用標準的法律后果如何等并沒有具體適用規則,就很導致網絡運營者、執法機關和司法機關在適用法律條款時選擇參照的標準不明確、不統一。特別是網絡安全監管者在執行涉及標準法律條款時,可自由裁量選擇適用標準,選擇不同的鑒定測評機構進行合標檢測,選擇的不同將影響合標與違標的公正判斷。因此,對于網絡安全中涉及國家安全、社會安全、公民基本權益等基礎領域,法律應該具體明確援引標準的類別和范圍,盡快出臺《網絡安全法》援引標準的程序規定,以法的形式明確援引網絡安全標準的類別范圍、適用規則及其規范效力,為行政執法和司法裁判適用標準提供具體參照。

(三) 建立救濟途徑,合標要經過司法審查

歐盟《網絡安全法案》規定了申述權與處罰。我國法律也需借鑒歐盟《網絡安全法案》建立認證、合標相關的救濟渠道。同時,民事、行政、刑事司法審判中要對標準進行審核。網絡安全標準雖然具有較強的科技專業性,大多數法官并不是網絡技術領域的專家,不擅長對涉及網絡技術領域的標準進行分析,但這并不必然說明法院不可能對標準進行審查。究其本質而言,標準并不是一種法律淵源,只是一種技術文件,法院完全可以對其進行審查。例如,當公安機關依照《公安機關互聯網安全監督檢查規定》(公安部令第151 號) 第十條依照有關標準進行監督檢查時,法院就可以對行政行為所依照的有關標準進行審查,包括對標準文件合法性的實體性審查和對依標行政行為的程序性審查。具體而言,其一,對標準的實體內容進行審查,從標準制定的必要性和可行性的角度,對行政機關執法過程中適用標準的合法性進行審查,主要是審查執法依據是否符合上位的法律、行政法規的規定,然后將審查的過程與結果作為法院判決說理的組成部分。其二,對標準的適用程序進行審查,一方面審查行政機關在運用標準實施行政管理行為的程序是否合法,另一方面也可審查標準本身的制定程序是否合法。

結語

在網絡安全領域,《網絡安全法》與網絡安全標準是不同規范。為了維護網絡安全秩序,法律本身并不直接規定所涉及的技術問題,而是以援引方式將其交予標準解決,標準由此成為法律在網絡空間安全治理中不可缺少的工具。從作用上看,網絡安全標準可以彌補立法局限,為《網絡安全法》實施提供技術支撐作用;從效果上看,網絡安全標準影響著《網絡安全法》的可適用性和實施效能?？梢?網絡安全標準與法治之間呈正相關關系,標準質量高,則法治水平高;反之,亦然?！半S著新的標準的采納,技術將繼續推動法律產生變化,從這個意義上看,掌控了互聯網的新技術標準也就掌控了未來法律的方向?！薄?〕張平:《互聯網法律規制的若干問題探討》,載《知識產權》2012 年第8 期,第16 頁。因此,我國在加強網絡安全法治化的同時,要注重援引網絡安全標準,積極采納最新標準化成果,使技術規范與法律規范相得益彰共同發揮治理作用,以提升我國網絡安全總體保障能力。同時,加強標準與法律融合的理論研究,從網絡安全標準作為標準化的專門領域看,可為“標準對法律具有支撐作用”提供理論經驗;從網絡安全標準作為法律系統之外的規范看,則為“社會規范如何與法融合發揮作用”提供例證示范。