2022年9月12日,国家网信办发布了《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》(以下简称《征求意见稿》)。《征求意见稿》的说明指出,此次修法目的是令《网络安全法》与2021年修订实施的《行政处罚法》《数据安全法》《个人信息保护法》在法律责任上相衔接,此为法律体系所固有的融贯性要求。《网络安全法》作为网络安全法律体系的基本法,不仅应在法律责任上与新实施的法律之间衔接协调,还需在概念外延、法律适用等方面为网络安全相关制度奠定体系融贯性基础。

网络安全法律体系的融贯性要求

尽管就“网络法”是否能够成为一个独立法律部门仍存在争议,但对于网络安全法律体系的存在事实已几无异议。2015年《国家安全法》的总体国家安全观为网络安全法律体系的引领,2016年公布的《网络安全法》为体系基础,《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《信息安全等级保护管理办法》等专门立法为其主干,《民法典》《刑法》等法律制度中的相关规定为其内容,甚至技术标准和社会规范等非国家立法亦为不可忽视的部分。这些共同构成了调整网络安全法律关系的法律体系。融贯性是法律体系的基本特质,其要求法律体系中的各种规范与各个规则之间价值观统一、逻辑一致、彼此间能够相互支持和证立,在法律适用时亦能从整全性视角出发看待规则之间的关系。其中在基本价值上,国家安全目标贯穿于现有网络安全法律体系的三个部分——网络运行安全、个人信息安全和网络信息内容安全。本次《网络安全法》的修订则着重于理顺规范逻辑与规范内容关系,改善体系协调性。

《征求意见稿》的融贯性措施

《征求意见稿》对于部分违法行为提高或降低了罚款下限,大幅度升高了罚款上限,增加了行政处罚方式,从而与后法相协调。2021年公布的《数据安全法》《个人信息保护法》较之2016年《网络安全法》大大提高了行政责任幅度。这与国际范围内对网络运营者的罚款严厉程度上升趋势有关,尤其是欧盟2018年《一般数据保护条例》所确定的2000万欧元或上一年度全球营业额4%的巨额罚款上限。《征求意见稿》的“五千万元以下或者上一年度营业额百分之五以下罚款”新规出自《个人信息保护法》,这也是目前中国网络安全法律体系中最高金额的罚款规定,体现了《征求意见稿》就高的罚则修改理念。其从业禁止新规亦同样来自《个人信息保护法》,通报批评这一新的行政处罚方式则取自新修订的《行政处罚法》。

《征求意见稿》令个人信息安全和数据安全保护呈现为相对独立部分,内容安全重要性提升。《征求意见稿》在个人信息相关违法行为处罚上,以及关键信息基础设施运营者违反个人信息和重要数据本地化规定应负法律责任上,采取了转致规定办法,呈现出将另有全面最新规定的个人信息安全和数据安全保护相对独立于《网络安全法》的修法思路。而在网络信息内容安全的保护上,则体现出了强化网络运营者的守门人管理义务目的。《征求意见稿》将网络运营者的网络信息内容安全法律责任直接提升至网络运行安全相同高度,尤其是增加了“情节特别严重”条款和与之相应的最高罚款金额。其中的从业禁止规定亦与拟修订的网络运行安全法律责任相同,即在一定期限内禁止“从事网络安全管理和网络运营关键岗位的工作”,重申了网络信息内容治理在网络安全治理中的重要地位。至此,网络运行安全、个人信息安全与网络信息内容安全保护在法律责任规定上几乎达成一致。

融贯性的提升空间

第一,保护国家安全的理念融贯性要求进一步明确“网络安全”外延。一方面,国家安全是《网络安全法》保护的核心法益。个人信息安全虽在特定条件下(特定种类和数量)与国家安全相关,却因其人格与财产属性而具有更强的私法和社会法面向。网络信息内容治理因涉及意识形态安全而与国家安全相联系,但其保护客体主要是“公民、法人和其他组织的合法权益”(《网络信息内容生态治理规定》第1条),并因涉及公民表达权这一宪法基本权利而地位独特。因此,虽然总体国家安全观为其共同引领,但是涉及国家安全意义中心的部分应为网络运行安全,处于意义边缘的个人信息和网络信息内容治理便可在《网络安全法》中淡化其存在感。另一方面,新法的不断出台令网络安全各部分之间的差异性进一步凸显。在《网络信息内容生态治理规定》《数据安全法》《个人信息保护法》相继出台之后,网络信息内容治理、数据保护和个人信息保护在网络安全法律体系中日益呈现出独立态势。这既表现在网络信息内容治理以“清朗”而非“安全”为首要目标,也表现为《数据安全法》《个人信息保护法》中的“数据”和“个人信息”概念超越了《网络安全法》的调整范围,不仅包含网络上的电子信息,也包括以其他方式记录的信息。《征求意见稿》已体现了数据保护和个人信息保护的相对独立,或可转而修订完善2000年公布、2011年修订的网络信息内容治理专门立法《互联网信息服务管理办法》,从而令网络信息内容治理规定更加集中,进而强化网络安全的核心外延。

第二,除总体国家安全观外,网络安全法律体系所贯彻的价值还包括《网络安全法》所提出的网络安全与信息化发展并重理念。这表现在《数据安全法》第1条的“促进数据开发利用”部分,《个人信息保护法》贯穿全文的处理规则更是突出了其立法目的中“促进个人信息合理利用”的部分。因而在法律适用中,执法、司法部门亦须坚持谦抑态度。最为严厉的网络安全保护法律责任当属《刑法》第286条之一“拒不履行信息网络安全管理义务罪”,而该罪因存在前置程序“经监管部门责令采取改正措施而拒不改正”,8年以来适用极少。在行政处罚方面,滴滴案的80.26亿元罚款为《个人信息保护法》实施以来所开出的最高罚单。除此之外,并无其他巨额罚款案例。为维护营商环境,在安全和发展之间寻求平衡,还应坚持慎用重典。

第三,《征求意见稿》在一定程度上增加了网络运营者在经营中的不确定性。其一,《征求意见稿》将部分现行《网络安全法》针对违反不同条款行为分别论处的处罚措施合并,大大增加了行政执法人员的行政处罚裁量权。其二,现行《网络安全法》为发布或传输违法信息行为的行政处罚设置了转致规定,《征求意见稿》则为其增加了“法律、行政法规没有规定的”、由主管部门酌定处罚条款,并设置了最高罚则。这些改变目的是为行政机构规制复杂多变的网络事务提供便利,有利于个案的灵活处理。为与扩充了的行政裁量权相匹配,国家各方面尤其是执法主体的治理能力亦须得到进一步提升。这包括立法者提供清晰合规指引的能力,执法者的依法行政操守、谦抑行政态度和比例原则运用能力,以及执法者与行政相对人的沟通协作能力,并为体制内外的执法监督提出更高要求,方能实现网络安全与信息化的均衡发展。