黃道麗

公安部第三研究所信息網(wǎng)絡安全公安部重點實驗室 上海 201204

0 前言

我國近年來網(wǎng)絡安全事故頻繁發(fā)生，2008年全國信息網(wǎng)絡安全狀況調(diào)查結(jié)果顯示，我國網(wǎng)絡安全事故的發(fā)生已有了涉及面廣，影響程度深的特點，網(wǎng)絡安全已成為制約我國信息化發(fā)展的瓶頸。因此，加強網(wǎng)絡安全監(jiān)管成為推動我國信息化發(fā)展的現(xiàn)實需要。

1 我國網(wǎng)絡安全監(jiān)管主體制度的立法現(xiàn)狀及存在問題

1.1 我國網(wǎng)絡安全監(jiān)管主體制度的立法現(xiàn)狀

我國網(wǎng)絡安全監(jiān)管主體制度的規(guī)定存在于網(wǎng)絡安全監(jiān)管法律中，而我國網(wǎng)絡安全監(jiān)管法律框架體系的構(gòu)建，基本屬于“滲透性”模式，即國家沒有制定專門性的網(wǎng)絡安全監(jiān)管法律規(guī)范，而是將涉及網(wǎng)絡安全監(jiān)管的立法內(nèi)容滲透、融入相關的法律、行政法規(guī)和部門規(guī)章中。

1.2 我國網(wǎng)絡安全監(jiān)管主體制度的存在問題

（1）網(wǎng)絡安全監(jiān)管的立法層次不高

從我國目前有關網(wǎng)絡安全監(jiān)管的立法現(xiàn)狀來看，國家沒有制定專門的網(wǎng)絡安全監(jiān)管法律規(guī)范。立法層次不高，現(xiàn)有規(guī)定中行政法規(guī)、規(guī)范性文件、部門規(guī)章及相關文件居多，法律、有關法律的規(guī)定較少。

（2）政府監(jiān)管機構(gòu)的職權(quán)界定不明確

我國雖然已經(jīng)建立起了由網(wǎng)絡與信息安全協(xié)調(diào)小組進行統(tǒng)籌協(xié)調(diào)，公安部、工業(yè)和信息化部、國務院信息產(chǎn)業(yè)主管部門、國家密碼管理機構(gòu)和國務院其他有關部門等部門分行業(yè)監(jiān)管的網(wǎng)絡安全監(jiān)管體系，但實際情況大多是自我封閉、條塊分割監(jiān)管。

（3）行業(yè)組織的監(jiān)管主體地位不明確

我國對自律監(jiān)管給予了高度重視，但我國網(wǎng)絡安全監(jiān)管體制仍是一個自上而下的體系，法律法規(guī)的出臺、標準的制定、網(wǎng)絡安全評估體系的建立、認證認可體系的建立并不是根據(jù)行業(yè)的實際情況出發(fā)的，這容易造成網(wǎng)絡安全監(jiān)管“虛化”的問題。

（4）政府監(jiān)管機構(gòu)與行業(yè)組織之間的協(xié)調(diào)機制缺乏規(guī)定

目前在我國，已經(jīng)形成了中國互聯(lián)網(wǎng)協(xié)會在工業(yè)和信息化部的領導下致力于互聯(lián)網(wǎng)治理工作的模式，但政府監(jiān)管機構(gòu)與行業(yè)組織之間的關系還不明確，政府監(jiān)管機構(gòu)與行業(yè)組織之間的協(xié)調(diào)機制還沒有完全建立起來。

（5）監(jiān)管主體的法律責任規(guī)定不明確

目前在我國，除了被處罰者可依法提請行政復議和行政訴訟外，其他各項網(wǎng)絡安全監(jiān)管是否合理，基本上是由安全監(jiān)管機構(gòu)自身及其上級做出判斷，并無被監(jiān)管者等利益相關者實施民主監(jiān)管的正常渠道。

2 完善我國網(wǎng)絡安全監(jiān)管主體制度的建議

2.1 提升我國網(wǎng)絡安全監(jiān)管的立法層次

我們應該把網(wǎng)絡安全監(jiān)管立法問題提高到事關國家安全、社會穩(wěn)定、產(chǎn)業(yè)發(fā)展的高度和信息化建設的全局來考慮，盡快制定一部網(wǎng)絡安全監(jiān)管的基本法律，在與我國整體政府機構(gòu)的管理體系協(xié)調(diào)一致的前提下，明確專門的權(quán)威部門或機關對網(wǎng)絡安全實施統(tǒng)一和協(xié)調(diào)監(jiān)管。此外，圍繞網(wǎng)絡安全監(jiān)管法，可以制定配套的行政法規(guī)和部門規(guī)章，形成一個以網(wǎng)絡安全監(jiān)管法為核心、行政法規(guī)和部門規(guī)章作配套和補充的完整的法律體系。行政法規(guī)和部門規(guī)章中則可以就權(quán)威監(jiān)管機構(gòu)之外的其他監(jiān)管機構(gòu)及其職權(quán)進行詳細規(guī)定。

2.2 確立網(wǎng)絡安全監(jiān)管主體設置的原則

法律原則是指可以作為規(guī)則的基礎或本源的原理和準則。它沒有預先假定任何確定和具體的事實狀態(tài)，沒有規(guī)定具體的權(quán)利和義務，也沒有賦予確定和具體的法律后果。網(wǎng)絡安全監(jiān)管主體設置的原則是指對確定網(wǎng)絡安全監(jiān)管主體起統(tǒng)帥作用的基本準則。網(wǎng)絡安全監(jiān)管主體的設置應該遵循依法原則和公眾參與原則。

（1）依法原則

依法原則包括兩方面的內(nèi)容：第一，管理機構(gòu)必須依法設定。網(wǎng)絡安全監(jiān)管機關的設置、職能、權(quán)限劃分、職權(quán)的行使程序等由法律規(guī)定，其必須在法定的權(quán)限范圍內(nèi)活動，越權(quán)則無效。第二，網(wǎng)絡安全監(jiān)管機關的監(jiān)管行為必須符合法律規(guī)定。首先，進行網(wǎng)絡安全監(jiān)管的時候，不得超越其職權(quán)。其次，監(jiān)管機構(gòu)的監(jiān)管活動不僅要遵守實體法，還要遵守程序法。

（2）公眾參與原則

公眾參與原則要求網(wǎng)絡安全監(jiān)管摒棄封閉式的監(jiān)管體制，建立開放式監(jiān)管體制。從政府強有力的貫徹向用戶的普遍參與過渡，體現(xiàn)積極防御和風險控制思想。風險控制思想的實質(zhì)是以高效率的網(wǎng)絡安全保障為原則，將風險控制的責任分配給最有能力控制風險的一方。行業(yè)主管部門最熟悉行業(yè)的網(wǎng)絡應用情況，投資者最關心其投資利益，應當給他們分配相應的風險控制責任。給行業(yè)、投資者和用戶分配控制風險責任還在于認識到政府管理能力的有限性。毫無疑問，政府發(fā)現(xiàn)、分析威脅網(wǎng)絡安全需要及時掌握必要的信息，而如果企業(yè)知情不報，信息收集、通報和分析的工作就無法落實。只有政府和企業(yè)、個人密切配合，才能彌補政府網(wǎng)絡安全監(jiān)管能力的不足，使其更好地履行職責，實現(xiàn)保障社會安全的目標。

2.3 規(guī)范網(wǎng)絡安全監(jiān)管主體制度的具體內(nèi)容

（1）明確各個政府監(jiān)管機構(gòu)的職權(quán)

我國可以考慮對工業(yè)和信息化部、公安部、國家安全部等部門的職權(quán)重新調(diào)整，以增強其協(xié)同執(zhí)法的能力。目前我國政府網(wǎng)絡安全監(jiān)管機構(gòu)的職權(quán)可做如下明確：

工業(yè)和信息化部主要負責從行政監(jiān)管上加強網(wǎng)絡安全管理。其監(jiān)管職權(quán)具體應該包括：負責建設和管理網(wǎng)絡與信息安全技術平臺，做好經(jīng)營性互聯(lián)網(wǎng)網(wǎng)絡安全的應急協(xié)調(diào)工作；對互聯(lián)網(wǎng)接入服務商、互聯(lián)網(wǎng)信息服務提供者和聯(lián)網(wǎng)單位的聯(lián)網(wǎng)備案、記錄留存、有害信息報告、清除等安全管理制度的落實情況進行監(jiān)管檢查。工業(yè)和信息化部還可根據(jù)國務院新聞辦、公安部、國家安全部等中央授權(quán)部門的要求，利用網(wǎng)絡與信息安全技術平臺，對網(wǎng)上有害信息進行監(jiān)控，對違規(guī)從事網(wǎng)上業(yè)務的境內(nèi)網(wǎng)站，依法采取責令整頓，予以關閉等行政處罰措施。

公安部則負責互聯(lián)網(wǎng)的安全監(jiān)督。其主要職權(quán)應該包括：對網(wǎng)上反動、淫穢、賭博等有害信息進行監(jiān)控，負責打擊攻擊破壞網(wǎng)絡和傳播計算機病毒等違法犯罪活動的應急協(xié)調(diào)工作，依法處罰和打擊網(wǎng)上違法犯罪行為；對互聯(lián)網(wǎng)安全管理制度落實情況進行監(jiān)督檢查，對境外有害信息網(wǎng)站提出封堵意見并通知行業(yè)主管部門實施。

國家安全部則負責互聯(lián)網(wǎng)中國家安全事項管理工作。負責對間諜組織以及敵對勢力內(nèi)外勾結(jié)利用互聯(lián)網(wǎng)危害國家安全的行為進行查處。對境外有害信息網(wǎng)站進行監(jiān)控并提出封堵意見，并通知互聯(lián)網(wǎng)行業(yè)主管部門實施。

（2）明確行業(yè)組織的監(jiān)管主體地位

我國應該改變目前網(wǎng)絡安全監(jiān)管主體的單一性模式，尋求多樣化的監(jiān)管主體來共同實施網(wǎng)絡安全監(jiān)管，實行政府機構(gòu)與自律組織共同聯(lián)合監(jiān)管的模式。明確行業(yè)組織的監(jiān)管主體地位包括以下內(nèi)容：

首先，行業(yè)組織從內(nèi)部完善自身的治理結(jié)構(gòu)。以中國互聯(lián)網(wǎng)協(xié)會為例，完善它的治理結(jié)構(gòu)就應當改革其內(nèi)部組織結(jié)構(gòu)和決策機制。限制政府官員兼任互聯(lián)網(wǎng)協(xié)會的領導，改革理事會，使會員大會成為互聯(lián)網(wǎng)協(xié)會的決策核心。

其次，在法律中對行業(yè)組織自律監(jiān)管職權(quán)進行充分合理的配置，樹立自律組織的威信。自律組織實施監(jiān)管的權(quán)力不足直接制約了我國網(wǎng)絡安全自律監(jiān)管的發(fā)展?？稍诰W(wǎng)絡安全監(jiān)管法中明確自律組織如中國互聯(lián)網(wǎng)協(xié)會的監(jiān)管主體地位，規(guī)定“互聯(lián)網(wǎng)協(xié)會可以根據(jù)組織章程、行業(yè)標準或準則，對會員實施自律監(jiān)管，互聯(lián)網(wǎng)協(xié)會有權(quán)對會員進行檢查、調(diào)查、處分，互聯(lián)網(wǎng)協(xié)會可以設立會員之間發(fā)生的糾紛的調(diào)節(jié)或仲裁制度?；ヂ?lián)網(wǎng)協(xié)會可以依本法或其自治規(guī)章對侵犯網(wǎng)絡安全行為進行制裁”。

最后，自律組織的活動也必須在法律規(guī)定的框架之內(nèi)進行。

（3）建立政府監(jiān)管機構(gòu)與行業(yè)組織之間的協(xié)調(diào)機制

建立兩者之間的協(xié)調(diào)機制可從兩方面進行：

一是從法律層次上進行的協(xié)調(diào)設置，網(wǎng)絡安全監(jiān)管法律中應明確規(guī)定政府機構(gòu)和行業(yè)協(xié)會相對獨立的監(jiān)管職權(quán)，交叉部分要明確主次，不能出現(xiàn)政策實施和監(jiān)管的“真空”，在法規(guī)中明確政府監(jiān)管機構(gòu)和自律組織聯(lián)合執(zhí)法的范圍，同時應設有專門的機構(gòu)負責政府監(jiān)管機構(gòu)與自律組織的協(xié)調(diào)工作。

二是在法律明確了各自的職權(quán)的基礎上，我國應該建立兩者之間互相支持以應對網(wǎng)絡攻擊事件的信息共享機制。這是因為行業(yè)組織或私營部門擁有和經(jīng)營管理著主要的關鍵基礎設施，但政府卻具有獨特的信息和分析能力，政府與這些私營部門進行合作，共同分析和使用這些信息，可以共同實現(xiàn)網(wǎng)絡安全監(jiān)管。我國應該確立雙向的信息共享機制：一方面，鼓勵協(xié)會與政府機構(gòu)共享信息，確保政府部門不會透露協(xié)會成員自愿提供的關于威脅和攻擊的信息；另一方面，要求政府機構(gòu)在保護秘密信息和其他敏感的國家安全信息的基礎上，適當?shù)貙⒂嘘P信息與行業(yè)協(xié)會共享。

（4）明確監(jiān)管主體的法律責任

按照“誰主管誰負責，誰運營誰負責”的原則，各部門要建立和落實責任追究制，要有專門單位、專門人員負責網(wǎng)絡安全監(jiān)管工作。責任追究制主要審查政府監(jiān)管機構(gòu)是否存在濫用網(wǎng)絡安全監(jiān)管職權(quán)的行為，是否存在超越其監(jiān)管職權(quán)的行為，是否存在對“監(jiān)管不作為”導致的關鍵基礎設施受到網(wǎng)絡安全攻擊、破壞后果的行為，是否存在不履行法律規(guī)定的程序、顛倒順序或步驟等程序違法的行為。如果網(wǎng)絡安全監(jiān)管主體存在上述違法行為，應當依法追究其法律責任。

對于違反了上述違法行為的監(jiān)管主體，應規(guī)定相應的法律責任。對“監(jiān)管不作為”導致的關鍵基礎設施受到網(wǎng)絡安全攻擊、破壞后果的行為，主要負責人和直接責任人應當承擔法律責任；對網(wǎng)絡安全監(jiān)管主體因未履行網(wǎng)絡安全監(jiān)管職責而違反法律規(guī)定，造成重大網(wǎng)絡安全事故發(fā)生，應按照《刑法》規(guī)定的瀆職罪定罪量刑；對造成網(wǎng)絡安全信息共享中對信息延遲、信息截留、信息錯誤等后果的負責人和工作人員，按照情節(jié)輕重分別給予警告、記大過、降級、撤職、開除的處分；因監(jiān)管機構(gòu)及其工作人員失職、瀆職造成公民、法人或者其他組織受到不應有的損害，應追究賠償責任。

[1] [美]博登海默.鄧正來譯.法理學、法律哲學與法律方法[M].北京:中國政法大學出版社.1999.

[2] 馬民虎.互聯(lián)網(wǎng)安全法[M].陜西:西安交通大學出版社.2003.

[3] 李揚,王國剛.資本市場導論[M].北京:經(jīng)濟管理出版社.1998.

[4] 李德智.互聯(lián)網(wǎng)治理之初探.河北法學[J].2004.

[5] 王全興,管斌.社會中間層主體研究.經(jīng)濟法論叢[M].第5卷.北京:中國方正出版社.1999.

[6] 趙福建.證券自律監(jiān)管的經(jīng)濟法視角研究[D].天津師范大學.2005.

[7] 姜明安.行政法與行政訴訟法[M].北京大學出版社.高等教育出版社.1999.

[8] 盛學軍.政府監(jiān)管權(quán)的法律定位.社會科學研究[J].2006.

[9] 周漢華.基礎設施產(chǎn)業(yè)政府監(jiān)管權(quán)的配置.國家行政學院學報[J].2002.

[10] 孫笑俠.法的現(xiàn)象與觀念[M].北京:群眾出版社.1995.

[11] [法]孟德斯鳩.論法的精神(上)[M].北京:商務印書館.1982.