中国信通院:《网络安全法》的适用——网络运营者及其主管部门的确定
再不点蓝字关注,机会就要飞走了哦
《网络安全法》以保障“网络”安全为主要立法目的,目的实现有赖网络运营者积极守法和主管部门勤勉执法。主管部门做好《网络安全法》实施的监督检查工作,是实现保障国家网络安全目的的必要条件之一。不无遗憾的是,《网络安全法》除个别条款明确到具体主管部门(如第23条、第28条、第63条)外,均笼统使用了“有关主管部门”表述,未能明确具体执法部门,这将给网络安全监督管理和执法工作带来一定的不便。为了减少多头管理、交叉管理及可能产生的“权力真空”等不利影响,有必要根据各有关主管部门的职责定位和管理实践中形成的分工,明确网络运营者落实网络安全义务的具体主管部门(为行文方便,将其简称为"网络运营者主管部门")。
一、网络运营者的构成
(一)网络概念辨析
1.概念
《网络安全法》第76条参考《计算机信息系统安全保护条例》第2条关于“计算机信息系统”的定义,将“网络”界定为“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”。《计算机信息系统安全保护条例》将“计算机信息系统”界定为“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统”。对比二者的定义,可以发现如出一辙。
字面上,《网络安全法》将“其他信息终端”与“计算机”并列作为网络的构成要素,似乎外延要比计算机信息系统大些,但《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》已将计算机信息系统解释为“具备自动处理数据功能的系统”,包括计算机、网络设备、通信设备、自动化控制设备等。从实际涵盖范围看,“网络”即“计算机信息系统”,二者外延是相同的。
2、存在的问题
《网络安全法》参照“计算机信息系统”定义界定“网络”,有利也有弊。利的方面,是可以实现管理对象的广泛化,大到全国性的基础电信网络小到驾校培训系统甚至一部手机只要具备信息(或称数据)自动处理功能,都可以称之为“网络”。[1]从保护具有数据处理功能的设施、设备或者系统不被攻击、侵入、干扰和破坏角度,将“网络”界定为“系统”是稳妥的,但从规范“网络运营者”行为角度分析,难免不会存在“打击面过大”和“管理标准一刀切”的问题,即其弊的一面。按照《网络安全法》的“网络”标准,手机、单台计算机或者网吧管理系统等符合“网络”的定义,如此一来,不仅给人以“大炮打蚊子”的印象,而且也不适宜将手机等自用设备或者系统作为管理对象(如《网络安全法》规定的信息留存、重要数据备份、采取防范措施、制定内部管理制度、应急预案等诸多制度不适用于自用的系统)。
3、与计算机信息系统的差异
从定义切入路径看,《网络安全法》是由内而外,从网络服务提供者或者信息处理功能发出者角度,对“网络”进行界定,未考虑到用户以及用户与该系统之间的“联结”,因此是封闭的,与一般认识中网络的“开放性”不同。如,某提供电子交易平台的网站,建有相关处理信息的服务器,从“计算机信息系统”和“网络”定义看,既为计算机信息系统又为网络,但在一般观念上网站不过是网络服务提供者,即通过网络向用户提供服务,其本身为计算机信息系统还说得过去,但却不是网络,而联结服务提供者与用户的正是“网络”,但《网络安全法》对“网络”的定义似乎不能涵盖此处的“网络”。
细究起来,计算机信息系统是“点”的概念,而网络是“面”的概念。在物理层面,网络的建立,需要机房、信息系统、管线、基站等要素,信息系统仅是其中的构成要素之一。在逻辑层面,网络四通八达,可以将众多网络服务提供者(从计算机信息系统角度看,网络服务提供者是计算机信息系统的使用单位)和广大用户之间进行联结。因此,计算机信息系统不过是网络中的节点而已,网络更多体现为“联结”特点。《网络安全法》参照“计算机信息系统”定义界定“网络”存在不妥,未能点明网络的“联结”这一基本特征。[2]
(二)网络运营者
1、关键信息基础设施运营者
《网络安全法》规定了关键信息基础设施保护制度,对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上实行重点保护,并且鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。据此,可以认为关键信息基础设施属于网络的组成部分,且是需要重点保护的网络。
《网络安全法》之前的《电信条例》,将网络划分为公用电信网和专用电信网。《电信条例》设定的电信业务许可制度,针对的是利用公用电信网提供的服务,如基础电信运营商提供的服务,而专用电信网则不涉及办理电信业务许可,如机关、气象、电力、金融、交通、铁路、大型矿山等用以内部通信、调度所用的电信网络。能源、交通、水利、金融、公共服务等行业或领域的关键信息基础设施,具备信息传输、交换和处理等功能,从电信和互联网行业管理角度看,其符合专用电信网的特征,故其为专用电信网。
2、基础电信业务经营者
《网络安全法》将关键信息基础设施作为重点保护的网络,但关键信息基础设施在国家网络体系中的地位是什么样的?《网络安全法》并未给出答案。我国以“基础电信网络”(即“公共通信和信息服务”)为纽带,联结了诸多计算机信息系统(含金融、交通、水利等行业或者领域的关键信息基础设施),构成了国家的网络体系。计算机信息系统之所以有保护的必要,或者说能源、交通、金融等行业和领域的关键信息基础设施之所以有保护的必要,在于这些信息系统与外界之间通过“网络”建立了联结。外界可以通过“网络”这一联结对关键信息基础设施等信息系统进行攻击和破坏。若无网络联结,则无所谓建立计算机信息系统安全保护和关键信息基础设施保护制度的必要。而起到网络联结作用的,正是基础电信网络。
制定《网络安全法》的目的,是为了保障网络安全。基础电信网络是国家网络体系的基础,故而保障基础电信网络的安全是确保国家网络安全的核心。与保障基础电信网络安全直接关联的,是保障网络联结的关键信息基础设施及其他计算机信息系统等的安全。关键信息基础设施及其他计算机信息系统是网络运行的数据承载平台,是网络运行的传输载体与终端显示。因此,计算机信息系统安全保护和关键信息基础设施保护与保障基础电信网络密不可分,缺一不可。
基础电信业务经营者和关键信息基础设施及其他计算机信息系统运营或者使用单位,由于在网络中的地位和性质不同,所承担的网络安全义务不同。在安全义务分担上,基础电信运营商运营的电信网络是国家网络的主干和基础,承担着维护国家网络体系安全运行的责任,是维护国家网络安全的根本保证。基础电信网络安全,是国家网络安全的“皮”,相应的关键信息基础设施保护和计算机信息系统安全保护则是国家网络安全的“毛”。因此,电信和互联网行业开展的网络与信息安全管理,对于维护国家网络安全,发挥着基础、不可替代的作用。
3、网络运营者的种类
《网络安全法》中的“网络运营者”,指“网络的所有者、管理者和网络服务提供者”。虽然理论上可以将网络运营者细分为“网络基础设施的运营者”(对应于网络所有者和管理者)和“网络服务提供者”,但网络基础设施的运营者由于运营网络本身即是提供网络服务(服务对象包括其他网络服务提供者和一般终端用户),所以其同时也是网络服务提供者。网络基础设施的运营者和网络服务提供者的区分意义,在于明确提供的网络服务是基于自有或者自我管理的网络还是基于他人网络。一般而言,网络基础设施的运营者是利用自身网络提供服务,而其他网络服务提供者是利用他人网络提供服务,二者在网络体系中的位置和作用不同。
从网络本身的属性出发,可以将网络运营者划分为广播电视网络服务提供者、电信服务提供者和互联网服务提供者。从网络服务的内容和性质出发,可以将网络运营者划分为电信业务经营者、互联网信息服务提供者、互联网视听节目服务提供者、互联网金融信息服务提供者、互联网广告服务提供者、互联网新闻信息服务提供者等等。
二、主管部门的范围
《网络安全法》规定的主管部门,指该法的执法部门,负责查处网络安全领域的违法行为。根据《网络安全法》第8条“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作”的规定,除通常一般认识中的 “网信”“电信”和“公安”等网络安全监督管理部门外,还有其他一些主管部门负有网络安全管理职责。例如,《网络安全法》第32条规定“按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作”,进一步明确关键信息基础设施的运行安全管理由“本行业、本领域”的主管部门负责。
关于第32条规定的“负责关键信息基础设施安全保护工作的部门”,可以根据第31条关于“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”确定,即某行业或者领域的关键信息基础设施由该行业或者领域的主管部门负责。《关键信息基础设施安全保护条例(征求意见稿)》第4条也规定“国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作”。根据第32条的列举规定,我国负责关键信息基础设施的保护的部门有电信、能源、交通、水利、金融等主管部门。综上,《网络安全法》规定的主管部门,包括网信、电信、公安、能源、交通、水利、金融等多个部门。
需要说明的是,“《网络安全法》规定的主管部门”,与“网络运营者主管部门”,是不同的概念。“《网络安全法》规定的主管部门”,指该法的执法部门或者说行政处罚的作出部门;“网络运营者主管部门”,指监督网络运营者落实网络安全义务的主管部门。换言之,“网络运营者主管部门”一定是“《网络安全法》规定的主管部门”;有些部门属于“《网络安全法》规定的主管部门”,但却不是“网络运营者主管部门”。本文重点是围绕如何确定“网络运营者主管部门”展开论述,若无特别说明,本文所说的“主管部门”即指“网络运营者主管部门”。
三、具体主管部门的确定
(一)确定原则
1、避免多头管理
主管部门有多个,易产生多头管理、交叉管理问题,有时也难免形成“权力真空”。建立科学合理的网络安全监督管理体制,必须清晰界定相关主管部门的职责分工,明确“哪个主体由哪个部门管、哪个事情由哪个部门管”。若无法妥善处理在网络安全监督管理工作中可能存在的多头管理问题,将加重企业经营成本,造成企业负担,不利于企业可持续发展,最终不利于提升国家网络安全防护水平和能力。换个角度,从便于在发生重大网络安全事故后追究有关部门管理责任角度,若是可以清晰地判断出“谁家孩子谁抱走”,就可以说明主管部门的确定是合理的。因此,确定主管部门应当首先遵循的原则就是“避免多头管理”。
2、管业务必须管安全
确定主管部门应当坚持“管业务必须管安全”原则。《网络安全法》规定关键信息基础设施运行安全保护工作由本行业或者领域的主管部门负责(第32条),即是按照关键信息基础设施的属性,明确由其业务主管部门负责。关键信息基础设施属于国家重点保护的“网络”,从逻辑上来讲,某行业或者领域关键信息基础设施以外的网络的运行安全也应由本行业或者领域的主管部门负责监督管理。反之,若某行业或者领域的网络,根据重要性不同而由不同部门负责安全监督管理,则会机械地割裂或人为地破坏该行业或者领域网络安全监督管理体系,不利于保障该行业或者领域网络安全。
由某行业或者领域的业务主管部门负责本行业或者领域的网络安全监督管理工作,主要原因在于网络安全、稳定运行是网络运营者开展业务或提供服务的必要条件,同时也是服务内容的重要组成部分。例如,电信业务经营者确保将用户通信内容安全、准确、完整传输给通信对象,属于网络安全范畴,是其提供服务的主要内容。《电信条例》第5条“电信业务经营者应当为电信用户提供迅速、准确、安全、方便和价格合理的电信服务”的规定,将“安全”明确为电信服务的管理要求。工业和信息化部“三定方案”规定其负责“组织拟订电信网、互联网及其相关网络与信息安全规划、政策和标准并组织实施”,“指导督促电信企业和互联网企业落实网络与信息安全管理责任,组织开展网络环境和信息治理”,“拟订电信网、互联网网络安全防护政策并组织实施”,明确电信和互联网行业网络与信息安全管理是其业务管理工作的重要内容。
(二)确定规则
主管部门有多个,应当避免多头管理,但并非意味着对同一网络运营者不能有多个不同主管部门,而是说对同一主体的同一事项应当由一特定主管部门负责。确定网络运营者的具体主管部门,应当根据管理事项的性质,并结合相关部门的职责定位,即“因事定部门”。
1、区分网络性质
确定网络运营者的主管部门,应当首先根据网络的属性,确定其业务主管部门。例如,若网络为广播电视网,则其业务主管部门为广播电视行政部门;[3]若网络为电信网或互联网,则其业务主管部门为电信主管部门。网络运营者的业务主管部门,负责监督管理网络运营者落实《网络安全法》规定的运行安全相关制度,如安全防护措施、日志留存、应急处置、风险评估、个人信息保护、监测预警等制度。简言之,业务主管部门主要负责监督管理网络运营者自身网络安全能力的建设和提升,包括建立安全防护措施、配备专业人员、应急处置风险等。
以电信网和互联网为例,利用电信网或者互联网提供服务,属于经营电信业务或者提供互联网信息服务,依法应当取得电信业务经营许可证或者履行网站备案手续。电信主管部门负责电信业务或者互联网信息服务准入管理,在《网络安全法》实施前,依据《电信条例》《互联网信息服务管理办法》和《电信业务经营许可管理办法》等已将“网络与信息安全保障措施”作为核发电信业务经营许可证的审批条件。电信主管部门负责的准入管理,将网络与信息安全保障措施作为审批条件之一,说明《网络安全法》之前的立法也是按照“管业务必须管安全”原则,将电信和互联网网络安全管理职责赋予电信主管部门负责。另一方面,由于电信主管部门负责准入管理,由其负责电信和互联网网络安全管理,并且将相关网络安全管理要求融入准入条件,是顺理成章的事情,也可以确保管理效果。今后,电信主管部门应当将《网络安全法》关于网络运营者的相关管理要求融入业务准入管理之中,从源头确保《网络安全法》的管理要求落到实处。
另外,关键信息基础设施的主管部门负责本行业或者领域关键信息基础设施的运行安全监督管理工作,如工业和信息化部和省级工业和信息化主管部门负责工业控制系统的安全防护。需要注意的是,一般认识中容易忽略“网信”“电信”等部门以外主管部门的处罚职能。若某部门属于《网络安全法》规定的主管部门,则可以依据该法享有处罚权,如工业和信息化部和省级工业和信息化主管部门就工业控制信息系统运行安全防护工作享有相应的处罚权,可以开展有关执法活动。
2、区分“安全”属性
《网络安全法》将“安全”区分为“运行安全”和“信息安全”。确定主管部门,也应区分“安全”属性,并结合相关主管部门的职责定位。例如,国家网信部门根据国务院授权负责互联网信息内容管理工作,主要负责网络的信息安全管理工作;[4]国务院电信主管部门承担电信和互联网行业管理,主要负责电信和互联网的网络安全管理工作。因此,对于电信和互联网领域的网络运营者而言,其“信息安全”主管部门为网信部门,“运行安全”主管部门为电信主管部门。
具体到关键信息基础设施运行安全,根据《网络安全法》规定,交通、金融、水利等部门是其主管部门,而网信部门属于统筹协调部门,不属于主管部门。以《网络安全法》第39条为例,对关键信息基础设施进行安全风险检测、应急演练等工作应由相应的交通、金融、水利等主管部门负责,网信部门则负责统筹协调。
3、内外有别
公安机关是《网络安全法》规定的执法部门之一,实际也发挥着维护网络安全的重要作用,但却不属于监督网络运营者落实网络安全义务的主管部门。如何划分公安机关与主管部门之间的网络安全监督管理职责?这是一个必须明确的问题。从公安机关的主要职责入手,可以很容易地解决该问题。公安机关是我国的社会公共安全保卫部门,负责打击违法犯罪活动。按照公安机关的主要职责和管理优势,具体到网络领域,公安机关负责打击针对网络运营者的攻击、侵入、干扰和破坏等违法犯罪行为。
一般来说,公安机关的管理对象为针对网络运营者的网络攻击、传播计算机病毒木马等违法犯罪行为,保护网络运营者安全、稳定运行网络的状态不被外界干扰和破坏,属于外部管理;业务主管部门的管理对象为网络运营者自身网络安全、稳定运行的状态,负责督促和指导网络运营者依法建立有关机制、采取有关措施实现自身稳定、安全运行,属于内部管理。可以将这种区分概括为“内外有别”。以“内外有别”区分公安机关和主管部门的职责分工,符合“管业务必须管安全”原则,可以充分发挥各相关部门的管理优势,形成管理合力,且可以避免多头管理。
本文主要研究了网络运营者主管部门的确定问题,出发点是推动建立分工合理、配合有序的网络安全监督管理体系,避免因分工不合理或者争夺职责而造成多头管理、重复管理等问题,造成网络运营者过重负担,最终不利于国家网络安全。处理好促进发展与安全管理之间的关系,应当重视合理配备相关部门监管职责,以《网络安全法》为统领彻底清理一些过时、陈旧的监管制度,以网络安全法律体系的统一和谐,保障科学合理网络安全监督体系的建立。
[1] 见江苏省泰州市中级人民法院(2016)苏12刑终19号刑事裁定书,河北省承德市中级人民法院(2016)冀08刑终307号刑事裁定书。
[2] 《计算机信息系统安全保护条例》关于“计算机信息系统”的定义,区分了“网络”与“计算机信息系统”,将“网络”作为计算机信息系统的构成要素之一。
[3] 见《广播电视管理条例》第17条。
[4] 见2014年8月26日《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》(国发〔2014〕33号)。另外,《网络安全法》授权网信部门负责有关网络安全的统筹协调等工作。
作者简介
许长帅,中国信息通信研究院工业和信息化法律服务中心副主任。联系方式:xuchangshuai@caict.ac.cn。
校 审 | 陈立娜 路凌霄
编 辑 | 贺璐婷
推荐阅读
中国信通院:95及106号段码号资源占用情况报告(2017.9)
好文章,快分享,一起涨姿势~