郗 蕊
隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展和網(wǎng)絡(luò)安全形勢的需要,我國網(wǎng)絡(luò)安全法治歷經(jīng)多次變革,從零散的、低位階的《計算機(jī)信息系統(tǒng)安全保護(hù)條例》等行政法規(guī)和《計算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》等部門規(guī)章,逐漸走向統(tǒng)一的、高位階的專門法律,以《網(wǎng)絡(luò)安全法》為基本法的網(wǎng)絡(luò)安全法律法規(guī)體系已經(jīng)初具規(guī)模?!?〕參見黃道麗主編:《中國網(wǎng)絡(luò)安全法治40 年》,華中科技大學(xué)出版社2020 年版,第1 頁。同時,在國家網(wǎng)信部門負(fù)責(zé)領(lǐng)導(dǎo)統(tǒng)籌協(xié)調(diào)下,國務(wù)院電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)依照《網(wǎng)絡(luò)安全法》等法律法規(guī)之規(guī)定分工負(fù)責(zé)的網(wǎng)絡(luò)安全管理體系也已在運行之中。然而,面對具有技術(shù)屬性的網(wǎng)絡(luò)安全領(lǐng)域,當(dāng)前立法還存在立法者專業(yè)知識不足、立法規(guī)范可操作性較低、立法更新相對滯后等局限性;實踐中,網(wǎng)絡(luò)安全監(jiān)管“九龍治水”現(xiàn)象仍然存在,行政執(zhí)法過程中還存在不同執(zhí)法部門對同一單位、同一事項重復(fù)檢查且檢查標(biāo)準(zhǔn)不一等問題。〔2〕《全國人民代表大會常務(wù)委員會執(zhí)法檢查組關(guān)于檢查〈中華人民共和國網(wǎng)絡(luò)安全法〉 〈全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定〉 實施情況的報告》,載中國人大網(wǎng),http://www.npc.gov.cn/npc/c30834/201712/73685f79f8014eceadd9354bc48d1bc9.shtml,最后訪問日期:2017年12 月24 日。這導(dǎo)致了《網(wǎng)絡(luò)安全法》適用的有效性降低,法律治理的效能不高。〔3〕何治樂:《〈網(wǎng)絡(luò)安全法〉 有效性評估及提升路徑》,載《中國信息安全》2018 年第7 期,第67~70 頁。立法的實施還需要其他規(guī)范作為補(bǔ)充,而網(wǎng)絡(luò)安全標(biāo)準(zhǔn)正是《網(wǎng)絡(luò)安全法》實施中發(fā)揮重要作用的規(guī)范之一。
我國《標(biāo)準(zhǔn)化法》規(guī)定,標(biāo)準(zhǔn)(含標(biāo)準(zhǔn)樣品)〔4〕本文所指標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化工作中的“標(biāo)準(zhǔn)”(standard) 二字。根據(jù)國家質(zhì)檢總局和國家標(biāo)準(zhǔn)委2014 年發(fā)布的中華人民共和國國家標(biāo)準(zhǔn)《標(biāo)準(zhǔn)化工作指南第 1 部分:標(biāo)準(zhǔn)化和相關(guān)活動的通用術(shù)語》(GB/T20001.1-2014),標(biāo)準(zhǔn)是指“通過標(biāo)準(zhǔn)化活動,按照規(guī)定的程序經(jīng)協(xié)商一致制定,為各種活動或其結(jié)果提供規(guī)則、指南或特性,供共同使用的和重復(fù)使用的文件”,同時注明“標(biāo)準(zhǔn)宜以科學(xué)、技術(shù)和經(jīng)驗的綜合成果為基礎(chǔ),以促進(jìn)最佳的共同效益為目的?!笔侵皋r(nóng)業(yè)、工業(yè)、服務(wù)業(yè)以及社會事業(yè)等領(lǐng)域需要統(tǒng)一的技術(shù)要求。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是網(wǎng)絡(luò)安全領(lǐng)域需要統(tǒng)一的技術(shù)要求。例如,《網(wǎng)絡(luò)安全法》實施以來,國家從立法層面相繼發(fā)布了一系列與個人信息保護(hù)有關(guān)的法律法規(guī)、規(guī)范性文件及司法解釋;由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會牽頭制定的《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273-2017,以下簡稱《個人信息安全規(guī)范》),從國家標(biāo)準(zhǔn)層面明確了企業(yè)收集、使用、分享個人信息的合規(guī)要求,為企業(yè)制定隱私政策及個人信息管理規(guī)范指明了方向;APP 違法違規(guī)收集使用個人信息專項治理中,網(wǎng)信、工信、公安等監(jiān)管部門在執(zhí)法中參考了《個人信息安全規(guī)范》等技術(shù)文件;互聯(lián)網(wǎng)協(xié)會、網(wǎng)絡(luò)空間安全協(xié)會等社會組織以及各大互聯(lián)網(wǎng)應(yīng)用平臺在工作中引用、參考相關(guān)技術(shù)文件;各類技術(shù)文件已經(jīng)逐步成為各行業(yè)、各領(lǐng)域開展APP 個人信息保護(hù)工作的“統(tǒng)一標(biāo)尺”。
上述表明,這些本不具有法律屬性的技術(shù)標(biāo)準(zhǔn)卻在法治領(lǐng)域發(fā)揮著類似“法”統(tǒng)一調(diào)整的功能。標(biāo)準(zhǔn)化在網(wǎng)絡(luò)安全治理中的作用早已為學(xué)界和實務(wù)界所認(rèn)識〔1〕參見王智江主編的《網(wǎng)絡(luò)安全法概論》、張楚主編的《網(wǎng)絡(luò)法學(xué)》以及朱明編著的《公安機(jī)關(guān)信息網(wǎng)絡(luò)安全管理及法律適用研究》等書籍都提到技術(shù)標(biāo)準(zhǔn),其中,《網(wǎng)絡(luò)安全法概論》將標(biāo)準(zhǔn)放入法律體系中進(jìn)行論述;《公安機(jī)關(guān)信息網(wǎng)絡(luò)安全管理及法律適用研究》認(rèn)為標(biāo)準(zhǔn)對法律法規(guī)的執(zhí)行具有支撐性的作用,指出標(biāo)準(zhǔn)提供了網(wǎng)絡(luò)安全等級保護(hù)的依據(jù)和內(nèi)容,并將標(biāo)準(zhǔn)作為公安機(jī)關(guān)執(zhí)法的依據(jù);張楚主編的《網(wǎng)絡(luò)法學(xué)》將技術(shù)標(biāo)準(zhǔn)納入網(wǎng)絡(luò)技術(shù)規(guī)范范疇,并與網(wǎng)絡(luò)技術(shù)性法律規(guī)范相區(qū)別。,主要觀點是模糊地把標(biāo)準(zhǔn)當(dāng)成“法”的一種而作為互聯(lián)網(wǎng)企業(yè)合規(guī)和行政監(jiān)管執(zhí)法的依據(jù),卻沒有真正厘清標(biāo)準(zhǔn)與法律的關(guān)系,也沒有闡釋標(biāo)準(zhǔn)發(fā)揮作用的機(jī)制原理。這樣的觀點還是比較淺顯的。為此,本文以《網(wǎng)絡(luò)安全法》為樣本,分析網(wǎng)絡(luò)安全標(biāo)準(zhǔn)進(jìn)入法治領(lǐng)域而獲得合法效力的授權(quán)根據(jù),從彌補(bǔ)立法局限和支撐法律實施兩個方面闡釋標(biāo)準(zhǔn)增強(qiáng)法治效能的作用原理,嘗試提出我國網(wǎng)絡(luò)安全法律援引技術(shù)標(biāo)準(zhǔn)法制化的完善建議,以期有益于該領(lǐng)域企業(yè)合規(guī)、行政執(zhí)法等法務(wù)實踐,并以專業(yè)研究進(jìn)一步推進(jìn)“標(biāo)準(zhǔn)支撐法律”等標(biāo)準(zhǔn)化法基礎(chǔ)理論研究。
網(wǎng)絡(luò)安全標(biāo)準(zhǔn)能夠增強(qiáng)法治效能的前提是技術(shù)標(biāo)準(zhǔn)在與《網(wǎng)絡(luò)安全法》規(guī)范領(lǐng)域和對象重疊基礎(chǔ)上,因法律引用而進(jìn)入到《網(wǎng)絡(luò)安全法》法條文本,獲得合法的效力授權(quán)。
網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與法律之間存在區(qū)別,又密切聯(lián)系。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是關(guān)于網(wǎng)絡(luò)安全技術(shù)術(shù)語、技術(shù)參數(shù)、技術(shù)措施和管理要求等的一類技術(shù)文件,其本質(zhì)是不同于法律規(guī)范、存在于網(wǎng)絡(luò)安全法律法規(guī)體系之外可自行運轉(zhuǎn)的一類社會規(guī)范系統(tǒng)。但是,現(xiàn)代治理背景下,標(biāo)準(zhǔn)已然成為治理的工具;自2010 年以來,治理理論正從“傳統(tǒng)治理”走向“新治理”;新治理理論一致強(qiáng)調(diào)標(biāo)準(zhǔn)的重要性?!?〕李容華、劉瑾、徐海寧:《標(biāo)準(zhǔn)作為治理工具及其立法觀察》,載《中國標(biāo)準(zhǔn)化》2020 年第11 期,第59~66 頁?!毒W(wǎng)絡(luò)安全法》以法律形式認(rèn)可技術(shù)標(biāo)準(zhǔn)作為網(wǎng)絡(luò)安全治理工具的一種。第7 條明確規(guī)定了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)在網(wǎng)絡(luò)治理體系中的作用,對于構(gòu)建和平、安全、開放、合作的網(wǎng)絡(luò)空間而言,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定和打擊網(wǎng)絡(luò)違法犯罪一樣,是有效的治理工具之一。這為技術(shù)標(biāo)準(zhǔn)“進(jìn)入”網(wǎng)絡(luò)安全法治領(lǐng)域提供了可能。具體而言,由于法律與標(biāo)準(zhǔn)把網(wǎng)絡(luò)的運行安全和信息安全作為同一規(guī)范對象,把維護(hù)網(wǎng)絡(luò)安全與秩序作為同一追求目標(biāo),《網(wǎng)絡(luò)安全法》與技術(shù)標(biāo)準(zhǔn)的規(guī)范領(lǐng)域發(fā)生重疊。這些領(lǐng)域的問題既是法律治理的問題,也是標(biāo)準(zhǔn)治理的問題。
網(wǎng)絡(luò)安全標(biāo)準(zhǔn)進(jìn)入法律,是指《網(wǎng)絡(luò)安全法》以法律援引標(biāo)準(zhǔn)的方式,使標(biāo)準(zhǔn)成為法條中的一部分內(nèi)容,并賦予相應(yīng)法律效力。所謂“進(jìn)入”是指兩個不同的事物,在某種途徑下,由一個事物嵌入另一個事物內(nèi)部。標(biāo)準(zhǔn)的實施有三種基本方式:一是法律引用(也稱法律援引);二是當(dāng)事人約定;三是合格評定(認(rèn)證認(rèn)可)〔1〕參見柳經(jīng)緯:《論標(biāo)準(zhǔn)替代法律的可能及限度》,載《比較法研究》2020 年第6 期,第174~184 頁。。法律援引指把與標(biāo)準(zhǔn)有關(guān)的內(nèi)容作為法律條款的構(gòu)成部分。它既是技術(shù)標(biāo)準(zhǔn)自身得以實施的方式之一,也是技術(shù)標(biāo)準(zhǔn)進(jìn)入法治系統(tǒng)〔2〕參見柳經(jīng)緯:《論標(biāo)準(zhǔn)的私法效力》,載《中國高校社會科學(xué)》2019 年第6 期,第76~79 頁。的方式之一。這種援引就像是一條傳送帶,把法律的齒輪與標(biāo)準(zhǔn)的齒輪環(huán)環(huán)相扣。這種援引方式并不改變標(biāo)準(zhǔn)的屬性,只是讓標(biāo)準(zhǔn)從法律之外進(jìn)入到法治領(lǐng)域,成為法律規(guī)范的技術(shù)工具,標(biāo)準(zhǔn)的法律效力依賴于法律的規(guī)定。
《網(wǎng)絡(luò)安全法》為鼓勵政府、社會、企業(yè)和個人共同參與治理,以達(dá)到預(yù)防、控制、合理分配安全風(fēng)險的目的,在法律條文中設(shè)置涉及技術(shù)標(biāo)準(zhǔn)的專門條款,以授予網(wǎng)絡(luò)安全標(biāo)準(zhǔn)合法地位和法律效力。關(guān)于標(biāo)準(zhǔn)制定的條款,涉及標(biāo)準(zhǔn)制定的主體和參與標(biāo)準(zhǔn)制定主體,還涉及標(biāo)準(zhǔn)的類型。關(guān)于標(biāo)準(zhǔn)效力的條款,一方面涉及網(wǎng)絡(luò)運營者應(yīng)遵守強(qiáng)制性標(biāo)準(zhǔn)的要求,另一方面涉及違反強(qiáng)制性標(biāo)準(zhǔn)要求應(yīng)當(dāng)承擔(dān)相應(yīng)的法律責(zé)任。
1.關(guān)于標(biāo)準(zhǔn)制定的條款
《網(wǎng)絡(luò)安全法》第一章、第二章中對標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全治理工具地位、標(biāo)準(zhǔn)的制定主體與參與主體、標(biāo)準(zhǔn)體系以及標(biāo)準(zhǔn)類型一一進(jìn)行了規(guī)定,其目的在于賦予網(wǎng)絡(luò)安全標(biāo)準(zhǔn)合法地位,授予政府部門主導(dǎo)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化活動的相關(guān)權(quán)限。
《網(wǎng)絡(luò)安全法》第15 條規(guī)定“國家建立和完善網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系。國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院其他有關(guān)部門根據(jù)各自的職責(zé),組織制定并適時修訂有關(guān)網(wǎng)絡(luò)安全管理以及網(wǎng)絡(luò)產(chǎn)品、服務(wù)和運行安全的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)”。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系建立和完善的主責(zé)部門在于政府。《網(wǎng)絡(luò)安全法》將標(biāo)準(zhǔn)制定主體以組織規(guī)范意義上的空白授權(quán)方式賦予國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院其他有關(guān)部門如公安部、工信部等,國務(wù)院各相關(guān)部門根據(jù)自己的職責(zé),制定國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)。
《網(wǎng)絡(luò)安全法》第15 條第2 款規(guī)定“國家支持企業(yè)、研究機(jī)構(gòu)、高等學(xué)校、網(wǎng)絡(luò)相關(guān)行業(yè)組織參與網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的制定”,以法律形式認(rèn)可標(biāo)準(zhǔn)治理的民主性,以提升履行含有合標(biāo)要求之義務(wù)的自愿性。按照現(xiàn)代治理理論,標(biāo)準(zhǔn)化活動的主體是多元化的,包括政府機(jī)構(gòu)、社會中間組織和企業(yè)?!?〕于連超:《作為治理工具的自愿性標(biāo)準(zhǔn):理論、現(xiàn)狀與未來——兼論中國標(biāo)準(zhǔn)化法制的革新》,載《宏觀質(zhì)量研究》2015 年第4 期,第92~99 頁。在標(biāo)準(zhǔn)制定過程中,可以通過眾多利益相關(guān)方的充分討論來影響標(biāo)準(zhǔn)制定的最終結(jié)果〔2〕于連超:《標(biāo)準(zhǔn)支撐法律實施:比較分析與政策建議》,載《求是學(xué)刊》2017 年第4 期,第91~97 頁。,體現(xiàn)了網(wǎng)絡(luò)安全治理工具的民主性,也使標(biāo)準(zhǔn)更容易得到權(quán)威與遵從。
根據(jù)適用范圍,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)可以分為國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn)等。標(biāo)準(zhǔn)類型與《關(guān)于加強(qiáng)國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見》中“原則上不制定地方標(biāo)準(zhǔn)”相一致,以確保標(biāo)準(zhǔn)的高度統(tǒng)一性。在國家標(biāo)準(zhǔn)方面,截至2020 年12 月,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會共歸口國家標(biāo)準(zhǔn)320項〔3〕參見《已發(fā)布網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)清單》,https://www.tc260.org.cn/front/bzcx/yfgbqd.html,最后訪問日期:2020 年12 月21 日。,其中強(qiáng)制性國家標(biāo)準(zhǔn)不到10 條,其余均為推薦性國家標(biāo)準(zhǔn)。在行業(yè)標(biāo)準(zhǔn)方面,國務(wù)院承擔(dān)網(wǎng)絡(luò)安全監(jiān)管職能的部門還制定大量行業(yè)標(biāo)準(zhǔn)。如工信部制定的《YD/T 3212-2017 內(nèi)容分發(fā)網(wǎng)絡(luò)服務(wù)信息安全管理系統(tǒng)接口規(guī)范》、公安部制定的《GA/T 404-2002 信息技術(shù) 網(wǎng)絡(luò)安全漏洞掃描產(chǎn)品技術(shù)要求》。
2.關(guān)于標(biāo)準(zhǔn)效力的條款
《網(wǎng)絡(luò)安全法》通過配置網(wǎng)絡(luò)安全義務(wù)以達(dá)到調(diào)整網(wǎng)絡(luò)安全行為的目的。將標(biāo)準(zhǔn)援引入法律則是為了明確網(wǎng)絡(luò)安全義務(wù)的具體操作要求,表現(xiàn)為將合標(biāo)要求作為義務(wù)的構(gòu)成元素,多以“應(yīng)當(dāng)”“必須”等表述為主。網(wǎng)絡(luò)監(jiān)管部門開展網(wǎng)絡(luò)安全管理,監(jiān)督網(wǎng)絡(luò)運營者提供網(wǎng)絡(luò)產(chǎn)品、服務(wù)和開展網(wǎng)絡(luò)運行,均需按照法律法規(guī)的規(guī)定,符合網(wǎng)絡(luò)安全領(lǐng)域國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的要求。如第15 條。網(wǎng)絡(luò)運營者建設(shè)、運營網(wǎng)絡(luò)或者通過網(wǎng)絡(luò)提供服務(wù)應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國家標(biāo)準(zhǔn)的強(qiáng)制性要求,采取相關(guān)技術(shù)措施,保障網(wǎng)絡(luò)運行安全和數(shù)據(jù)安全。如第10 條。網(wǎng)絡(luò)運營者提供的網(wǎng)絡(luò)產(chǎn)品與服務(wù)要符合相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求。如第22 條。特別是網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求,經(jīng)檢測認(rèn)證或符合要求后,才可以對外銷售或者向社會提供。如第23 條??傊?網(wǎng)絡(luò)安全產(chǎn)品的生產(chǎn)、服務(wù)的提供、措施的組織需遵守有關(guān)標(biāo)準(zhǔn)和認(rèn)證要求成為網(wǎng)絡(luò)運營者網(wǎng)絡(luò)安全義務(wù)的一部分。
既然合標(biāo)屬于義務(wù)的部分要求,那么違標(biāo)也應(yīng)承當(dāng)相應(yīng)法律責(zé)任,以保障標(biāo)準(zhǔn)與法律之共同目的的實現(xiàn)?!毒W(wǎng)絡(luò)安全法》設(shè)置了相對應(yīng)的法律責(zé)任條款,指出違反涉及相關(guān)標(biāo)準(zhǔn)和認(rèn)證的義務(wù)條款時須承擔(dān)的法律責(zé)任。網(wǎng)絡(luò)運營者違反標(biāo)準(zhǔn),可能被有關(guān)主管部門處以責(zé)令改正、警告等處罰;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,對單位和直接負(fù)責(zé)人處以罰款等處罰。如第60 條。網(wǎng)絡(luò)安全認(rèn)證、檢測機(jī)構(gòu)違反標(biāo)準(zhǔn)開展認(rèn)證、檢測,可能被有關(guān)主管部門處以責(zé)令改正、警告等處罰;拒不改正或者情節(jié)嚴(yán)重的,既處以罰款,并處以暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照等處罰,同時還對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處以罰款。如第62 條。
由于法律規(guī)范是一種包含條件的命令,包括事實要件和法律后果兩個層面;一旦事實要件具備,法律后果就產(chǎn)生?!?〕參見[德] 哈特穆特·毛雷爾:《行政法學(xué)總論》,高家偉譯,法律出版社2000 年版,第122頁。標(biāo)準(zhǔn)效力條款表明,按照法律規(guī)范“假定條件+行為模式+法律后果”的形式,當(dāng)網(wǎng)絡(luò)運營者提供網(wǎng)絡(luò)產(chǎn)品、服務(wù)時,要依照合標(biāo)條款履行義務(wù),否則將受到違標(biāo)責(zé)任條款的懲罰。這樣的合標(biāo)要求條款與違標(biāo)責(zé)任條款恰好構(gòu)成一條完整的法律規(guī)范,標(biāo)準(zhǔn)的技術(shù)規(guī)范轉(zhuǎn)換為法律的行為規(guī)范。這是網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的法律效力來源,也是標(biāo)準(zhǔn)能夠發(fā)揮“法”作用的根源。
網(wǎng)絡(luò)安全標(biāo)準(zhǔn)增強(qiáng)法治效能的首要表現(xiàn)是標(biāo)準(zhǔn)可以彌補(bǔ)法律漏洞、提升立法質(zhì)量、節(jié)約立法資源,使《網(wǎng)絡(luò)安全法》科學(xué)、明確、先進(jìn)以更符合良法品質(zhì),從而為法律適用提供基礎(chǔ)依據(jù)。
同作為規(guī)范系統(tǒng),《網(wǎng)絡(luò)安全法》與網(wǎng)絡(luò)安全標(biāo)準(zhǔn)不僅規(guī)范領(lǐng)域重疊、規(guī)范對象一致,而且兩者具有相同的價值追求,都強(qiáng)調(diào)民主與程序,即通過利益相關(guān)方的充分參與,按照一定的程序協(xié)商制定共同遵守的規(guī)則。這使兩者在文本形式上可以相互引用、實現(xiàn)融合互通。面對技術(shù)密集型的網(wǎng)絡(luò)安全領(lǐng)域,在調(diào)整以技術(shù)對象為基礎(chǔ)的網(wǎng)絡(luò)安全法律關(guān)系時,《網(wǎng)絡(luò)安全法》保持開放性和包容性并與標(biāo)準(zhǔn)規(guī)范互動才得以取標(biāo)準(zhǔn)之長補(bǔ)法律之短。
《網(wǎng)絡(luò)安全法》是由全國人民代表大會常務(wù)委員會于2016 年11 月7 日表決通過。作為一部網(wǎng)絡(luò)安全領(lǐng)域的基本法,其功能在于調(diào)整網(wǎng)絡(luò)安全法律關(guān)系和設(shè)置權(quán)力與責(zé)任、權(quán)利與義務(wù)等,其定位本身就不在于解決具體技術(shù)問題。但是對于什么樣的操作流程、技術(shù)措施是可以抵御網(wǎng)絡(luò)安全威脅的,需要有一定的客觀衡量尺度,根據(jù)當(dāng)前科技發(fā)達(dá)水平來度量在當(dāng)前一段時間內(nèi)至少應(yīng)達(dá)到什么程度的防范水平。由于全國人民代表大會常務(wù)委員會的審議委員多為人大代表、法律專家等,并非精專于網(wǎng)絡(luò)安全的技術(shù)專家,難以在法律中規(guī)定具體的技術(shù)要求和技術(shù)措施。
與之相對的,技術(shù)標(biāo)準(zhǔn)是由網(wǎng)絡(luò)安全領(lǐng)域的專家起草,在科學(xué)論證的基礎(chǔ)上,依據(jù)一定的程序經(jīng)協(xié)商一致而制定的技術(shù)規(guī)范文件。在我國,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(以下簡稱“信安標(biāo)委”),是專門從事信息安全標(biāo)準(zhǔn)化的工作組織,委員會分別由國內(nèi)相關(guān)部門、研究所、企事業(yè)單位及高等院校等代表組成,如中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中國科學(xué)院計算技術(shù)研究所、清華大學(xué)、華為技術(shù)有限公司,等等。且委員多為網(wǎng)絡(luò)與計算機(jī)專業(yè)的高級工程師、研究員。
具體到某一個標(biāo)準(zhǔn)的起草單位,也具有很強(qiáng)的專業(yè)性。如《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞標(biāo)識與描述規(guī)范》(GB/T 28458-2020) 起草單位包括國家信息技術(shù)安全研究中心、國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國信息安全測評中心,中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中國科學(xué)院信息工程研究所等研究機(jī)構(gòu),中國科學(xué)院大學(xué)國家計算機(jī)網(wǎng)絡(luò)入侵防范中心等大學(xué),啟明星辰信息技術(shù)集團(tuán)股份有限公司、北京百度網(wǎng)訊科技有限公司、奇安信科技集團(tuán)股份有限公司等企業(yè)……可以看出,技術(shù)專家比一般立法者更有技術(shù)話語權(quán),這使技術(shù)標(biāo)準(zhǔn)在規(guī)范的科學(xué)性、客觀性上更有專業(yè)權(quán)威。
“網(wǎng)絡(luò)安全首先是一個技術(shù)問題。從技術(shù)上講,網(wǎng)絡(luò)安全是一個立體的、多方位、多層次的系統(tǒng),覆蓋了信息網(wǎng)絡(luò)中的物理環(huán)境、通信平臺、網(wǎng)絡(luò)平臺、主機(jī)平臺和應(yīng)用平臺等多個系統(tǒng)單元。”〔1〕張楚:《網(wǎng)絡(luò)法學(xué)》,高等教育出版社2008 年版,第95 頁。網(wǎng)絡(luò)安全與否是一門專門學(xué)科研究領(lǐng)域,有專門的語言代碼、運算法則、發(fā)展規(guī)律和管理規(guī)則。而法律條文記錄不了技術(shù)語言。以網(wǎng)絡(luò)安全等級保護(hù)為例,《網(wǎng)絡(luò)安全法》第21 條規(guī)定“國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,履行下列安全保護(hù)義務(wù):……采取防范……危害網(wǎng)絡(luò)安全行為的技術(shù)措施”。該條文可以看出《網(wǎng)絡(luò)安全法》沒有也不能把具體技術(shù)措施窮舉在法條中,只能使用界定內(nèi)涵的描述性語言進(jìn)行概括。實踐中,網(wǎng)絡(luò)安全等級保護(hù)制度則配套有《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB 17859-1999)、《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》(GB/T 20271-2006)、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》(GB/T 25070-2019)、《網(wǎng)絡(luò)安全等級保護(hù)測試評估技術(shù)指南》(GB/T 36627-2018) 等一系列國家標(biāo)準(zhǔn)。
網(wǎng)絡(luò)安全等級保護(hù)包括定級、備案、安全建設(shè)、等級測評、監(jiān)督檢查等五個階段,具體而言:網(wǎng)絡(luò)運營單位第一步確認(rèn)定級對象,參考《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》(GB/T 22240-2020) 等初步確認(rèn)等級,組織專家評審,主管單位審核;第二步,持定級報告和備案表等材料到公安機(jī)關(guān)網(wǎng)安部門進(jìn)行備案;第三步,以《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019) 中對應(yīng)等級的要求為標(biāo)準(zhǔn),對定級對象當(dāng)前不滿足要求的進(jìn)行建設(shè)整改;第四步,委托具備測評資質(zhì)的測評機(jī)構(gòu)對定級對象進(jìn)行等級測評,形成正式的測評報告,測評機(jī)構(gòu)依照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求》(GB/T 28448-2019) 開展測評;第五步,向當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)安部門提交測評報告,配合完成對網(wǎng)絡(luò)安全等級保護(hù)實施情況的檢查。公安機(jī)關(guān)的監(jiān)督檢查是對依照技術(shù)標(biāo)準(zhǔn)采用技術(shù)措施后的網(wǎng)絡(luò)安全秩序給予一種法律上的審核,這種網(wǎng)絡(luò)安全秩序?qū)嵸|(zhì)上是網(wǎng)絡(luò)運營者遵循技術(shù)標(biāo)準(zhǔn)的結(jié)果。
上述可見,技術(shù)標(biāo)準(zhǔn)提供了明晰而易操作的工作規(guī)范和管理規(guī)則,以保障用戶使用的便捷性。相較于法律規(guī)范,標(biāo)準(zhǔn)規(guī)范更具備實施上的可操作性。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)能夠為網(wǎng)絡(luò)運營者履行網(wǎng)絡(luò)安全義務(wù)提供操作指南,指出如何保障網(wǎng)絡(luò)安全的具體做法,細(xì)化《網(wǎng)絡(luò)安全法》中的不確定法律概念。
網(wǎng)絡(luò)安全是相對的,會隨著時代技術(shù)發(fā)展而不斷變化。網(wǎng)絡(luò)攻防技術(shù)的發(fā)展總是“道高一尺魔高一丈”。要想保障安全,必須時刻保持在技術(shù)的前沿。法律規(guī)范具有穩(wěn)定性,即制定出來后在一段時間內(nèi)保持穩(wěn)定,不可朝令夕改。面對日新月異的互聯(lián)網(wǎng)技術(shù),法律的穩(wěn)定性容易隨時代與技術(shù)的發(fā)展表現(xiàn)為不適應(yīng)性。與之相對,技術(shù)標(biāo)準(zhǔn)通常隨公認(rèn)技術(shù)發(fā)展而不斷修訂,這種相對靈活性使其更容易適應(yīng)社會對技術(shù)安全的要求?!稑?biāo)準(zhǔn)化法》規(guī)定了我國技術(shù)標(biāo)準(zhǔn)的復(fù)審制度,復(fù)審周期不超過5 年。經(jīng)過復(fù)審,對不適應(yīng)經(jīng)濟(jì)社會發(fā)展需要和技術(shù)進(jìn)步的標(biāo)準(zhǔn)應(yīng)當(dāng)及時修訂或廢止。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)往往在當(dāng)前科學(xué)技術(shù)研究成果和實踐經(jīng)驗的基礎(chǔ)上,經(jīng)專家深入調(diào)查論證和向社會廣泛征求意見,不斷更新,以保障網(wǎng)絡(luò)產(chǎn)品、服務(wù)的安全性、通用性和先進(jìn)性?!?〕參見《標(biāo)準(zhǔn)化法》第4 條、第22 條、第29 條。例如,針對個人信息安全問題,為規(guī)范個人信息控制者在收集、保存、使用信息環(huán)節(jié)中的相關(guān)行為,《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273-2017) 于2017 年12 月29 日發(fā)布、2018 年5 月1 日實施。但隨著我國個人信息應(yīng)用實踐的迅速推廣和執(zhí)法活動的深入開展,原規(guī)范的修訂很快納上日程,以應(yīng)對新技術(shù)和商業(yè)模式,2019 年一年之內(nèi),2 月、6 月、10 月先后三次分別發(fā)布了原規(guī)范的修訂草案和修訂征求意見稿。最終2020 年3 月6 日,國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會正式發(fā)布了《信息安全技術(shù)個人信息安全規(guī)范》(GB/T 35273-2020),實施后將替代《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T35273-2017)。因此,技術(shù)標(biāo)準(zhǔn)在適應(yīng)技術(shù)進(jìn)步上更具優(yōu)勢。
綜上,《網(wǎng)絡(luò)安全法》引入網(wǎng)絡(luò)安全標(biāo)準(zhǔn),可以彌補(bǔ)純粹法律條文在專業(yè)性、原則性、滯后性等方面的局限,打破具體適用上的技術(shù)壁壘,借以將法律規(guī)范效應(yīng)延伸至技術(shù)領(lǐng)域,以完成《網(wǎng)絡(luò)安全法》對網(wǎng)絡(luò)安全法律關(guān)系的實質(zhì)性規(guī)制。就援引效果而言,從表面看,《網(wǎng)絡(luò)安全法》通過援引技術(shù)標(biāo)準(zhǔn)解決了法律規(guī)范在技術(shù)領(lǐng)域的規(guī)制困境。當(dāng)法律遇到網(wǎng)絡(luò)安全技術(shù)問題時,立法部門不必另行尋找解決技術(shù)問題的辦法,而是充分吸納符合立法目標(biāo)的標(biāo)準(zhǔn)規(guī)范。這不僅使網(wǎng)絡(luò)安全立法更加科學(xué)合理,還節(jié)約了立法資源,提升了立法效益。從更深層次看,《網(wǎng)絡(luò)安全法》通過援引技術(shù)標(biāo)準(zhǔn)使法律規(guī)范在保持形式上穩(wěn)定性的同時,又在實質(zhì)上保持“與時俱進(jìn)”。面對技術(shù)問題,網(wǎng)絡(luò)安全立法不再解決技術(shù)細(xì)節(jié),而把實現(xiàn)網(wǎng)絡(luò)安全的具體技術(shù)問題交給標(biāo)準(zhǔn)化組織完成,不需要再啟動法律修訂程序?qū)Ψ蓷l款進(jìn)行調(diào)整,通過升級其所援引的標(biāo)準(zhǔn)即可實現(xiàn)對網(wǎng)絡(luò)安全法律關(guān)系調(diào)整規(guī)范。加之,通常情況下標(biāo)準(zhǔn)應(yīng)在五年之內(nèi)被修訂一次,以保證標(biāo)準(zhǔn)反映最新技術(shù)發(fā)展現(xiàn)狀,因而《網(wǎng)絡(luò)安全法》援引最新標(biāo)準(zhǔn)有利于推動立法水平實質(zhì)上的進(jìn)步。
網(wǎng)絡(luò)安全標(biāo)準(zhǔn)增強(qiáng)法治效能的表現(xiàn)除了彌補(bǔ)立法局限提升立法品質(zhì)外,更主要體現(xiàn)在支撐《網(wǎng)絡(luò)安全法》的實施,使法律真正成為可具操作性的“活”法而發(fā)揮善治作用。
網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的技術(shù)規(guī)范效力主要作用于產(chǎn)品、服務(wù)、措施等事務(wù)對象,以規(guī)制產(chǎn)品的質(zhì)量、服務(wù)的功能、系統(tǒng)運行的狀態(tài)、數(shù)據(jù)的完整保密屬性等性能,主要依靠市場主體基于經(jīng)濟(jì)效益的考量而自愿執(zhí)行,不具有強(qiáng)制性?!毒W(wǎng)絡(luò)安全法》通過援引標(biāo)準(zhǔn),使標(biāo)準(zhǔn)在本身技術(shù)規(guī)范效力基礎(chǔ)上,獲得了法律意義上的規(guī)范效力,即一旦被援引則具有一定的法律拘束力。依據(jù)《標(biāo)準(zhǔn)化法》《網(wǎng)絡(luò)安全法》的規(guī)定,強(qiáng)制性標(biāo)準(zhǔn)必須執(zhí)行;推薦性標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)經(jīng)法律引用后,應(yīng)具備強(qiáng)制實施效力〔1〕參見柳經(jīng)緯:《標(biāo)準(zhǔn)的類型劃分及其私法效力》,載《現(xiàn)代法學(xué)》2020 年第2 期,第165 頁。;標(biāo)準(zhǔn)經(jīng)企業(yè)自我聲明公開后,必須遵守。在《網(wǎng)絡(luò)安全法》實施的不同階段,針對不同的實施主體,這些被援引的標(biāo)準(zhǔn)表現(xiàn)出的法律規(guī)范效應(yīng)大不相同:對于網(wǎng)絡(luò)運營者而言,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是網(wǎng)絡(luò)安全義務(wù)規(guī)定的具體化;對行政機(jī)關(guān)而言,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)則是具體行政行為事實認(rèn)定的判斷依據(jù);對司法機(jī)關(guān)而言,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)則是審判中事實認(rèn)定和法律適用的重要參考。
《網(wǎng)絡(luò)安全法》通過設(shè)置網(wǎng)絡(luò)安全義務(wù)對網(wǎng)絡(luò)安全行為進(jìn)行調(diào)整規(guī)范。《網(wǎng)絡(luò)安全法》關(guān)注網(wǎng)絡(luò)運營者“應(yīng)當(dāng)為”的問題,而該義務(wù)履行的判斷在于網(wǎng)絡(luò)運行的狀態(tài)。當(dāng)網(wǎng)絡(luò)運行達(dá)到風(fēng)險防控標(biāo)準(zhǔn)要求時,運營者義務(wù)履行落實到位;反之,則沒有。標(biāo)準(zhǔn)通過網(wǎng)絡(luò)安全義務(wù)具體化產(chǎn)生作用,解答網(wǎng)絡(luò)運營者“如何為”的問題,為網(wǎng)絡(luò)運營者履行網(wǎng)絡(luò)安全義務(wù)提供技術(shù)規(guī)范指引,提升網(wǎng)絡(luò)運營者對《網(wǎng)絡(luò)安全法》的遵從性。
1.衡量產(chǎn)品、服務(wù)安全與否的標(biāo)尺
這種表面看似以產(chǎn)品服務(wù)為調(diào)整對象,實則對網(wǎng)絡(luò)運營者產(chǎn)生規(guī)范效應(yīng),構(gòu)成網(wǎng)絡(luò)產(chǎn)品服務(wù)提供者的安全義務(wù)之一?!毒W(wǎng)絡(luò)安全法》第9 條創(chuàng)設(shè)了網(wǎng)絡(luò)安全保護(hù)義務(wù),而第10 條指明了第九條義務(wù)的總體要求與相關(guān)依據(jù),即網(wǎng)絡(luò)運營者采取技術(shù)措施維護(hù)網(wǎng)絡(luò)安全時,除了應(yīng)當(dāng)依照法律和行政法規(guī)的規(guī)定,還要依照國家標(biāo)準(zhǔn)的強(qiáng)制性要求?!毒W(wǎng)絡(luò)安全法》第22 條、第23 條規(guī)定網(wǎng)絡(luò)產(chǎn)品、服務(wù)特別是網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求,如強(qiáng)制性國家標(biāo)準(zhǔn)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》(GB 40050-2021)?!毒W(wǎng)絡(luò)安全法》明確了網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者的安全義務(wù),其中規(guī)定“國家標(biāo)準(zhǔn)的強(qiáng)制性要求”是網(wǎng)絡(luò)產(chǎn)品服務(wù)的準(zhǔn)入性“門檻”。除了強(qiáng)制性標(biāo)準(zhǔn),推薦性標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)經(jīng)法律援引或經(jīng)企業(yè)自我聲明或作為第三方檢測認(rèn)證依據(jù)后,也成為網(wǎng)絡(luò)安全義務(wù)的構(gòu)成部分,對網(wǎng)絡(luò)運營者產(chǎn)生拘束力。此效力主要來源于《標(biāo)準(zhǔn)化法》第27 條“國家實行團(tuán)體標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)自我聲明公開和監(jiān)督制度。企業(yè)應(yīng)當(dāng)公開其執(zhí)行的強(qiáng)制性標(biāo)準(zhǔn)、推薦性標(biāo)準(zhǔn)、團(tuán)體標(biāo)準(zhǔn)或者企業(yè)標(biāo)準(zhǔn)的編號和名稱;企業(yè)執(zhí)行自行制定的企業(yè)標(biāo)準(zhǔn)的,還應(yīng)當(dāng)公開產(chǎn)品、服務(wù)的功能指標(biāo)和產(chǎn)品的性能指標(biāo)?!本W(wǎng)絡(luò)安全產(chǎn)品、服務(wù)不符合標(biāo)準(zhǔn)要求的,應(yīng)承擔(dān)相應(yīng)的民事、行政甚至刑事責(zé)任。如《網(wǎng)絡(luò)安全法》第60 條、第62 條,《標(biāo)準(zhǔn)化法》第25 條、第36 條、第37 條、第38 條。
2.第三方機(jī)構(gòu)檢測認(rèn)證的依據(jù)
標(biāo)準(zhǔn)是認(rèn)證的依據(jù),認(rèn)證是標(biāo)準(zhǔn)的實施。《網(wǎng)絡(luò)安全法》第23 條規(guī)定網(wǎng)絡(luò)關(guān)鍵設(shè)備的銷售,除了符合強(qiáng)制性國家標(biāo)準(zhǔn),還需要通過安全檢測或認(rèn)證,方可對外銷售。網(wǎng)絡(luò)關(guān)鍵設(shè)備的安全檢測需要由具備資格的機(jī)構(gòu)按照網(wǎng)絡(luò)關(guān)鍵設(shè)備安全檢測依據(jù)的標(biāo)準(zhǔn)實施檢測?!毒W(wǎng)絡(luò)關(guān)鍵設(shè)備安全檢測實施辦法(征求意見稿)》規(guī)定檢測機(jī)構(gòu)應(yīng)按照檢測標(biāo)準(zhǔn)執(zhí)行檢測任務(wù),檢測機(jī)構(gòu)不按照檢測標(biāo)準(zhǔn)要求執(zhí)行檢測任務(wù),工業(yè)和信息化部采取暫停采信其檢測結(jié)果等處理措施;還規(guī)定網(wǎng)絡(luò)關(guān)鍵設(shè)備安全檢測依據(jù)的標(biāo)準(zhǔn)另行發(fā)布?!?〕參見《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全檢測實施辦法(征求意見稿)》第7 條、第11 條、第14 條。又如,為規(guī)范移動互聯(lián)網(wǎng)應(yīng)用程序收集、使用個人信息的行為,市場監(jiān)管總局、中央網(wǎng)信辦于2019 年3 月15 日決定開展App 安全認(rèn)證工作并發(fā)布了《移動互聯(lián)網(wǎng)應(yīng)用程序(App) 安全認(rèn)證實施規(guī)則》。根據(jù)該規(guī)則,App 數(shù)據(jù)安全認(rèn)證的依據(jù)為最新版本《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273) 及相關(guān)標(biāo)準(zhǔn)、規(guī)范。〔1〕《〈個人信息安全規(guī)范〉(2020 版) 簡要解讀和合規(guī)建議》,載https://www.sohu.com/a/41754 7927_672137,最后訪問日期:2021 年3 月7 日。
3.網(wǎng)絡(luò)安全措施的技術(shù)指南
《網(wǎng)絡(luò)安全法》第41 條規(guī)定網(wǎng)絡(luò)運營者收集、使用個人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意?!缎畔踩夹g(shù)個人信息安全規(guī)范》(GB/T 35273-2020) 對如何開展收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等個人信息處理活動提出了具體要求和操作規(guī)范,并以附錄形式給出個人信息示例、個人敏感信息判定、實現(xiàn)個人信息主體自主意愿的方法、個人信息保護(hù)政策模板。雖然該網(wǎng)絡(luò)安全標(biāo)準(zhǔn)為推薦性國家標(biāo)準(zhǔn),不具有強(qiáng)制實施效力,但是行政執(zhí)法機(jī)關(guān)常以媒體曝光、產(chǎn)品下架等方式查處違反標(biāo)準(zhǔn)的企業(yè),從而影響到企業(yè)名聲和股價等市場價值。這在一定程度上對網(wǎng)絡(luò)運營者產(chǎn)生震懾效應(yīng),迫使其依照標(biāo)準(zhǔn)組織網(wǎng)絡(luò)運營,履行企業(yè)網(wǎng)絡(luò)安全義務(wù)。如2020年12 月,廣東省公安機(jī)關(guān)發(fā)布新聞稱,在超范圍收集用戶信息App 清理整治專項行動中,直接點名共監(jiān)測發(fā)現(xiàn)“萬聯(lián)e 萬通”“微信電話本”“中國移動”“百度地圖(iOS)”等38 款移動互聯(lián)網(wǎng)應(yīng)用程序(APP) 存在超范圍收集用戶信息違規(guī)行為?!?〕《這38 款A(yù)PP 違規(guī)收集用戶信息! 廣東警方曝光》,載https://www.sohu.com/a/441049255_118392,最后訪問日期:2021 年3 月7 日。公安機(jī)關(guān)認(rèn)定這38 款A(yù)PP 存在超范圍采集個人信息行為即參照《信息安全技術(shù)個人信息安全規(guī)范》(GB/T 35273-2020),特別是個人信息保護(hù)政策(也稱隱私政策) 模板。
《網(wǎng)絡(luò)安全法》授予行政監(jiān)管機(jī)關(guān)監(jiān)督管理網(wǎng)絡(luò)安全義務(wù)履行的職權(quán),依法采取行政許可、檢查、處罰等具體行政行為。具體行政行為是行政機(jī)關(guān)適用法律的過程。法律適用依次包括四個階段:①調(diào)查和認(rèn)定案件事實;②解釋和確定法定事實要件;③函攝:案件事實與法定事實是否相符;④確定法律后果?!?〕參見[德] 哈特穆特·毛雷爾:《行政法學(xué)總論》,高家偉譯,法律出版社2000 年版,第123頁。前三個階段都是在進(jìn)行事實認(rèn)定,是確定法律后果的必要條件。標(biāo)準(zhǔn)發(fā)揮作用的環(huán)節(jié)也是在事實認(rèn)定階段,一方面,對法律原則性規(guī)定和不確定概念給予具體化解釋,構(gòu)成法定事實要件;另一方面,對案件事實與法定事實之間的相符性進(jìn)行專業(yè)認(rèn)知判斷。在此基礎(chǔ)上,才是適用包含標(biāo)準(zhǔn)的法律條款作出許可、處罰等處置后果。總體而言,標(biāo)準(zhǔn)對行政機(jī)關(guān)的規(guī)范效應(yīng)主要是作為事實認(rèn)定環(huán)節(jié)的判斷依據(jù)。
1.行政檢查的技術(shù)依據(jù)
根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定,網(wǎng)絡(luò)安全監(jiān)管內(nèi)容包括技術(shù)監(jiān)管與非技術(shù)監(jiān)管兩部分。技術(shù)執(zhí)法需要技術(shù)標(biāo)準(zhǔn)來認(rèn)定違法事實,例如備案風(fēng)險等級與重要性是否相符,收集個人信息是否超出范圍;非技術(shù)執(zhí)法一般運用日常檢查和邏輯判斷,例如:是否符合強(qiáng)制性要求,是否通過認(rèn)證,是否備案,是否留存日志等。在此意義上,網(wǎng)絡(luò)安全監(jiān)管中的行政檢查更多時候是一種技術(shù)執(zhí)法。技術(shù)執(zhí)法要以標(biāo)準(zhǔn)等為依據(jù),采用檢驗檢測儀器和設(shè)備,運用各種技術(shù)方法認(rèn)定違法事實,用科學(xué)的數(shù)據(jù)說話。以公安機(jī)關(guān)監(jiān)督檢查網(wǎng)絡(luò)安全等級保護(hù)為例,《網(wǎng)絡(luò)安全法》第21 條規(guī)定“國家實行網(wǎng)絡(luò)安全等級保護(hù)制度”,《公安機(jī)關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》第10 條規(guī)定公安機(jī)關(guān)應(yīng)當(dāng)依照國家有關(guān)規(guī)定和標(biāo)準(zhǔn),監(jiān)督檢查互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位是否履行網(wǎng)絡(luò)安全等級保護(hù)等義務(wù)。具體而言,公安機(jī)關(guān)依據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》(GB/T 25070-2019)、《網(wǎng)絡(luò)安全等級保護(hù)測試評估技術(shù)指南》(GB/T 36627-2018) 等一系列國家標(biāo)準(zhǔn),采取現(xiàn)場監(jiān)督檢查或者遠(yuǎn)程檢測的方式檢查網(wǎng)絡(luò)運營者是否落實了網(wǎng)絡(luò)安全措施。
2.行政違法事實認(rèn)定的客觀依據(jù)
網(wǎng)絡(luò)安全義務(wù)基本邏輯為:“由政府主導(dǎo)至上而下施加義務(wù),并通過國家、行業(yè)標(biāo)準(zhǔn)規(guī)定非常具體的措施性要求作為義務(wù)的主要內(nèi)容,然后通過行政處罰等手段強(qiáng)制性要求管理對象合規(guī)”〔2〕洪延青:《“以管理為基礎(chǔ)的規(guī)制”——對網(wǎng)絡(luò)運營者安全保護(hù)義務(wù)的重構(gòu)》,載《環(huán)球法律評論》2016 年第4 期,第28 頁。。行政檢查發(fā)現(xiàn)有違法行為的,網(wǎng)絡(luò)安全監(jiān)管機(jī)關(guān)則需立即作出行政處罰的判斷。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)為判定行為合法性與違法性提供事實證據(jù),而非直接作為違法處罰的依據(jù);行政執(zhí)法的具體罰則依據(jù)是《網(wǎng)絡(luò)安全法》。例如,2017 年7 月22 日,宜賓市翠屏區(qū)“教師發(fā)展平臺”網(wǎng)站因網(wǎng)絡(luò)安全防護(hù)工作落實不到位,導(dǎo)致網(wǎng)站存在高危漏洞,造成網(wǎng)站發(fā)生被黑客攻擊入侵的網(wǎng)絡(luò)安全事件〔1〕《〈網(wǎng)絡(luò)安全法〉 實施后處罰案例盤點》,載https://www.sohu.com/a/166415789_713041,最后訪問日期:2021 年3 月7 日。。宜賓市公安機(jī)關(guān)網(wǎng)安部門調(diào)查發(fā)現(xiàn),該網(wǎng)站自上線運行以來,始終未進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)的定級備案、等級測評等工作,未落實網(wǎng)絡(luò)安全等級保護(hù)制度。我國實行網(wǎng)絡(luò)安全等級保護(hù)制度,要求網(wǎng)絡(luò)運營者首先要依據(jù)強(qiáng)制性國家標(biāo)準(zhǔn)《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB 17859-1999) 進(jìn)行定級,而該案中涉事單位未開展定級工作,且后續(xù)的備案、測評等工作也無從談起。根據(jù)《網(wǎng)絡(luò)安全法》第21 條、第59 條第1 款的規(guī)定:決定給予翠屏區(qū)教師培訓(xùn)與教育研究中心和直接負(fù)責(zé)的主管人員法定代表唐某某行政處罰決定,對翠屏區(qū)教師培訓(xùn)與教育研究中心處一萬元罰款,對法人代表唐某某處五千元罰款。
3.行政處罰裁量基準(zhǔn)
網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是裁量適用不同檔次行政處罰的基準(zhǔn),是行政裁量選擇的客觀參照。《網(wǎng)絡(luò)安全法》通過設(shè)定網(wǎng)絡(luò)安全法律責(zé)任規(guī)定了不同處罰類型,而網(wǎng)絡(luò)安全標(biāo)準(zhǔn)為行政裁量或免于處罰提供客觀證據(jù)?!毒W(wǎng)絡(luò)安全法》在行政處罰中設(shè)定了不同的法律責(zé)任,如責(zé)令改正、警告、罰款等。作為證明客觀事實的證據(jù)材料,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)不僅關(guān)系到違法事實認(rèn)定,又關(guān)系到違法行為處罰裁量認(rèn)定。由于國家標(biāo)準(zhǔn)一般是最低要求,即使嚴(yán)格按照網(wǎng)絡(luò)安全標(biāo)準(zhǔn)落實防護(hù)措施,網(wǎng)絡(luò)信息系統(tǒng)還是有被攻擊的可能。標(biāo)準(zhǔn)只是一個便于操作的判斷違法行為成立的方法,符合標(biāo)準(zhǔn)并不能成為行為正當(dāng)性的抗辯事由〔2〕蔣怡琴:《論標(biāo)準(zhǔn)在民事裁判中的適用》,載《行政與法》2018 年第7 期,第120 頁。。雖說遵守網(wǎng)絡(luò)安全標(biāo)準(zhǔn)并不是遵守網(wǎng)絡(luò)安全義務(wù)的唯一途徑,符合標(biāo)準(zhǔn)也并不能完全對抗法律責(zé)任,但網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是網(wǎng)絡(luò)安全義務(wù)履行與否的重要判定“標(biāo)尺”,是網(wǎng)絡(luò)安全保護(hù)與否這一法律事實認(rèn)定的關(guān)鍵證據(jù)?!昂弦?guī)達(dá)標(biāo)”可以是行政機(jī)關(guān)在行政處罰時選擇不同檔次裁量基準(zhǔn)的事實證據(jù)。當(dāng)發(fā)生意外或輕微網(wǎng)絡(luò)安全事件時,更甚者“合規(guī)達(dá)標(biāo)”也可以成為免于行政處罰的一個裁量情節(jié)。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)為《網(wǎng)絡(luò)安全法》在平衡法與情、法律效益與社會效益的法律適用過程中搭建了一座橋梁。
在網(wǎng)絡(luò)安全法治領(lǐng)域,標(biāo)準(zhǔn)作為一種涉及技術(shù)規(guī)范從而指引規(guī)范安全行為,對網(wǎng)絡(luò)運營者和行政監(jiān)管部門產(chǎn)生事實上的法律拘束力,是相對容易論證的命題。然而,標(biāo)準(zhǔn)可否作為法院的審判規(guī)范,則是一個比較復(fù)雜的問題。這既涉及行政機(jī)關(guān)制定的非法律性文件是否具有審判依據(jù)地位問題,又涉及對于不同的法律責(zé)任法院審理行政、民事、刑事案件時如何事實認(rèn)定和法律適用等問題。如前所述,標(biāo)準(zhǔn)不是一種法律淵源,自然不能直接作為審判依據(jù),但是標(biāo)準(zhǔn)還是法律責(zé)任的構(gòu)成要件、事實認(rèn)定的客觀證據(jù)、法律適用的技術(shù)參照。事實上對司法機(jī)關(guān)審判起到一定的規(guī)范效應(yīng)。
1.追究違標(biāo)責(zé)任的依據(jù)
面對網(wǎng)絡(luò)安全風(fēng)險,不僅要依照標(biāo)準(zhǔn)治理做好風(fēng)險預(yù)防,還要通過法律強(qiáng)制后盾對違標(biāo)行為做好違標(biāo)懲處,以起到安全警戒作用。立法機(jī)關(guān)在《網(wǎng)絡(luò)安全法》通過違標(biāo)責(zé)任條款把標(biāo)準(zhǔn)作為法律責(zé)任構(gòu)成要件之一。這也是司法機(jī)關(guān)在審理涉及網(wǎng)絡(luò)安全標(biāo)準(zhǔn)案件時給予適用的法律依據(jù)。對此,《網(wǎng)絡(luò)安全法》第六章設(shè)定了專門的法律責(zé)任,大部分以行政責(zé)任為主,如第60 條、第62 條;本法在制度設(shè)計上進(jìn)行了責(zé)任之間的銜接,特別是行刑銜接,第71條和第74 條明確了違法本法,依照法律法規(guī),亦可承擔(dān)相應(yīng)的民事、治安和刑事責(zé)任。這與《標(biāo)準(zhǔn)化法》第36 條、第37 條的規(guī)定相一致。此外,《刑法》第 146 條還專門規(guī)定“生產(chǎn)、銷售不符合安全標(biāo)準(zhǔn)的產(chǎn)品罪”,以嚴(yán)厲的法律懲罰要求網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者履行合標(biāo)義務(wù)。
2.事實認(rèn)定的客觀證據(jù)
在事實認(rèn)定環(huán)節(jié),網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是網(wǎng)絡(luò)安全義務(wù)履行與否的重要判定“標(biāo)尺”,是網(wǎng)絡(luò)安全保護(hù)與否這一法律事實認(rèn)定的關(guān)鍵證據(jù)。依照標(biāo)準(zhǔn)做出的事實認(rèn)定結(jié)論主要體現(xiàn)為鑒定報告、鑒別報告、檢驗檢測報告等。例如,是否采取了網(wǎng)絡(luò)等級保護(hù)措施由網(wǎng)絡(luò)安全等級保護(hù)檢測報告呈現(xiàn),是否采取了個人信息保護(hù)措施可由個人信息安全影響評估(PIA) 報告呈現(xiàn)。這種檢測數(shù)據(jù)分析報告形成鑒定意見,作為事實認(rèn)定的證據(jù)材料,具有更強(qiáng)證明力。鑒于網(wǎng)絡(luò)安全技術(shù)的專業(yè)性,只要鑒定程序合法,法院往往會采納鑒定意見。畢竟法官是法律專家不是技術(shù)專家,依據(jù)技術(shù)標(biāo)準(zhǔn)進(jìn)行事實認(rèn)定則更具有科學(xué)性和客觀性。例如,被告人韓某某自2019 年2 月起,在任深圳市某某有限公司(以下簡稱“某某公司”) 經(jīng)理期間,設(shè)立網(wǎng)站域名為某某公司的“某某網(wǎng)”,為他人進(jìn)行包括公民個人信息在內(nèi)的數(shù)據(jù)交易提供平臺,牟取非法利益。上海市公安局寶山分局網(wǎng)安支隊制作的《遠(yuǎn)程勘驗工作記錄》、上海弘連網(wǎng)絡(luò)科技有限公司計算機(jī)司法鑒定所出具的《司法鑒定意見書》,證實經(jīng)對本案涉案IP “某某”服務(wù)器內(nèi)涉案文件進(jìn)行遠(yuǎn)程勘驗,涉案“某某網(wǎng)”服務(wù)器上存有數(shù)據(jù)條數(shù)總計為5421 萬條,含數(shù)據(jù)的文件有162 件,經(jīng)人工梳理去重,其中含公民個人信息的文件共39 件,合計為38 萬條?!?〕暨附帶民事公益訴訟被告人韓某某、暨附帶民事公益訴訟被告人楊某某等侵犯公民個人信息案,上海市寶山區(qū)人民法院刑事判決書(2019) 滬0113 刑初2482 號。
3.法律適用的技術(shù)參照
在法律適用環(huán)節(jié),基于網(wǎng)絡(luò)安全技術(shù)的專業(yè)性,法院在適用法律時通過參照網(wǎng)絡(luò)安全標(biāo)準(zhǔn)進(jìn)行法律解釋厘清相關(guān)技術(shù)概念和內(nèi)涵。以浙江省紹興市越城區(qū)人民法院審判的張某、陳某明、張某榮等提供侵入、非法控制計算機(jī)信息系統(tǒng)程序、工具罪一案中,2015 年平某始,被告人陳某明將編寫的“思華”軟件接入“快啊答題”平臺,并上傳至平臺供他人使用軟件進(jìn)行批量識別驗證碼服務(wù)(即批量掃號) 等違法活動,從中收取返利。該軟件繞過騰訊QQ 登錄驗證碼保護(hù)措施,批量驗證QQ 賬號密碼是否一致。審理過程中,辯護(hù)人提出“根據(jù)《網(wǎng)絡(luò)安全法》第23 條以及《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的規(guī)定,驗證碼并不屬于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品,因此認(rèn)定圖文識別技術(shù)為非法,并將識別騰訊公司驗證碼視為非法侵入計算機(jī)信息系統(tǒng)沒有法律依據(jù)。”法院審理認(rèn)為,《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》公布的目的在于加強(qiáng)對網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的安全管理,該目錄項下的網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)安全專用產(chǎn)品類別須經(jīng)過具有相關(guān)資質(zhì)的認(rèn)定機(jī)構(gòu)按照國家標(biāo)準(zhǔn)的強(qiáng)制性要求進(jìn)行安全認(rèn)證后方可對外提供、銷售,該目錄的公布不具有規(guī)定“網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品是什么”或“目錄之外均不屬于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品”的內(nèi)在意旨,更非對“計算機(jī)信息系統(tǒng)安全保護(hù)措施”作出定義式限定,辯護(hù)人以驗證碼不在該目錄中而否定其安全保護(hù)屬性的意見,故不予采納〔2〕張鑫、陳天明、張朝榮等提供侵入、非法控制計算機(jī)信息系統(tǒng)程序、工具罪案,浙江省紹興市越城區(qū)人民法院(2018) 浙0602 刑初101 號。。
網(wǎng)絡(luò)安全標(biāo)準(zhǔn)之所以能夠增強(qiáng)法治效能是其對《網(wǎng)絡(luò)安全法》的補(bǔ)充與支撐作用。而該作用的發(fā)揮又依賴《網(wǎng)絡(luò)安全法》及其配套法規(guī)對標(biāo)準(zhǔn)援引規(guī)定的完善程度?!毒W(wǎng)絡(luò)安全法》對如何援引標(biāo)準(zhǔn)及標(biāo)準(zhǔn)怎樣發(fā)揮規(guī)范效力等問題規(guī)定得越細(xì),標(biāo)準(zhǔn)條款適用得越規(guī)范,標(biāo)準(zhǔn)對法治效能的作用越明顯。由中央網(wǎng)信辦、國家質(zhì)檢總局、國家標(biāo)準(zhǔn)委三部門聯(lián)合發(fā)布《關(guān)于加強(qiáng)國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見》明確要求“推動網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與國家相關(guān)法律法規(guī)的配套銜接”。兩者就像一對相互咬合的齒輪相互帶動也相互制約。我國應(yīng)該重視規(guī)范網(wǎng)絡(luò)安全法律規(guī)范與標(biāo)準(zhǔn)規(guī)范之間的銜接,建立健全《網(wǎng)絡(luò)安全法》與網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的良好協(xié)調(diào)機(jī)制。對此,可以從以下三方面加以完善,防止標(biāo)準(zhǔn)“異化”法治:
可以借鑒國外技術(shù)法規(guī)的先進(jìn)經(jīng)驗,完善網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的引入和退出機(jī)制。在歐美日等國家,技術(shù)法規(guī)是按法律規(guī)范的程序由政府制定和發(fā)布并由政府強(qiáng)制實施的一系列行政法規(guī),其規(guī)定的范圍都是涉及人類健康安全、動植物安全、環(huán)境保護(hù)、國家安全等目標(biāo)〔1〕參見劉春青:《美歐日技術(shù)法規(guī)體系共性研究及其對我國的啟示》,載《標(biāo)準(zhǔn)科學(xué)》2010 年第2 期,第69~77 頁。。對于技術(shù)中立的自愿性標(biāo)準(zhǔn),各國立法者可根據(jù)立法意圖來決定采用與否;一旦不符合立法目的,又回歸到自愿性標(biāo)準(zhǔn)〔2〕劉春青、于婷婷:《論國外強(qiáng)制性標(biāo)準(zhǔn)與技術(shù)法規(guī)的關(guān)系》,載《科技與法律》2010 年第5期,第42 頁。。相比于我國《網(wǎng)絡(luò)安全法》以全國人大審議通過的法律來援引網(wǎng)絡(luò)安全標(biāo)準(zhǔn),國外技術(shù)法規(guī)對標(biāo)準(zhǔn)的吸納更加形式多樣、方式靈活。我國《網(wǎng)絡(luò)安全法》援引技術(shù)標(biāo)準(zhǔn)既不改變標(biāo)準(zhǔn)屬性,也不是立法權(quán)任意擴(kuò)張,主動權(quán)仍掌握在立法者手中。因此,可以借鑒國外技術(shù)法規(guī)吸納標(biāo)準(zhǔn)的方式,除了通過“標(biāo)準(zhǔn)條款”明確規(guī)定外,對雖沒有明確規(guī)定但符合立法目的且在實踐中被默認(rèn)適用的標(biāo)準(zhǔn),明示給予納入援引范圍;對于不符合立法目的的標(biāo)準(zhǔn),及時給予退出援引范圍。這樣,讓網(wǎng)絡(luò)安全標(biāo)準(zhǔn)在符合立法需要時被援引以完成法律規(guī)范的使命任務(wù),在不符合立法需要時被退出以回歸到技術(shù)規(guī)范的職責(zé)范疇。
有針對性明確援引標(biāo)準(zhǔn)類別和范圍,明確網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的規(guī)范效力和適用規(guī)則。當(dāng)前,我國網(wǎng)絡(luò)安全領(lǐng)域初步建立了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和認(rèn)證認(rèn)可的體系規(guī)范。隨著5G、物聯(lián)網(wǎng)等互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,金融、工控、教育等各個專業(yè)領(lǐng)域的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)將更加豐富。面對日益龐大的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系,我國《網(wǎng)絡(luò)安全法》目前援引標(biāo)準(zhǔn)的模式,對于誰有權(quán)力決定是否適用標(biāo)準(zhǔn)、適用哪個標(biāo)準(zhǔn)以及適用標(biāo)準(zhǔn)的法律后果如何等并沒有具體適用規(guī)則,就很導(dǎo)致網(wǎng)絡(luò)運營者、執(zhí)法機(jī)關(guān)和司法機(jī)關(guān)在適用法律條款時選擇參照的標(biāo)準(zhǔn)不明確、不統(tǒng)一。特別是網(wǎng)絡(luò)安全監(jiān)管者在執(zhí)行涉及標(biāo)準(zhǔn)法律條款時,可自由裁量選擇適用標(biāo)準(zhǔn),選擇不同的鑒定測評機(jī)構(gòu)進(jìn)行合標(biāo)檢測,選擇的不同將影響合標(biāo)與違標(biāo)的公正判斷。因此,對于網(wǎng)絡(luò)安全中涉及國家安全、社會安全、公民基本權(quán)益等基礎(chǔ)領(lǐng)域,法律應(yīng)該具體明確援引標(biāo)準(zhǔn)的類別和范圍,盡快出臺《網(wǎng)絡(luò)安全法》援引標(biāo)準(zhǔn)的程序規(guī)定,以法的形式明確援引網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的類別范圍、適用規(guī)則及其規(guī)范效力,為行政執(zhí)法和司法裁判適用標(biāo)準(zhǔn)提供具體參照。
歐盟《網(wǎng)絡(luò)安全法案》規(guī)定了申述權(quán)與處罰。我國法律也需借鑒歐盟《網(wǎng)絡(luò)安全法案》建立認(rèn)證、合標(biāo)相關(guān)的救濟(jì)渠道。同時,民事、行政、刑事司法審判中要對標(biāo)準(zhǔn)進(jìn)行審核。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)雖然具有較強(qiáng)的科技專業(yè)性,大多數(shù)法官并不是網(wǎng)絡(luò)技術(shù)領(lǐng)域的專家,不擅長對涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域的標(biāo)準(zhǔn)進(jìn)行分析,但這并不必然說明法院不可能對標(biāo)準(zhǔn)進(jìn)行審查。究其本質(zhì)而言,標(biāo)準(zhǔn)并不是一種法律淵源,只是一種技術(shù)文件,法院完全可以對其進(jìn)行審查。例如,當(dāng)公安機(jī)關(guān)依照《公安機(jī)關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》(公安部令第151 號) 第十條依照有關(guān)標(biāo)準(zhǔn)進(jìn)行監(jiān)督檢查時,法院就可以對行政行為所依照的有關(guān)標(biāo)準(zhǔn)進(jìn)行審查,包括對標(biāo)準(zhǔn)文件合法性的實體性審查和對依標(biāo)行政行為的程序性審查。具體而言,其一,對標(biāo)準(zhǔn)的實體內(nèi)容進(jìn)行審查,從標(biāo)準(zhǔn)制定的必要性和可行性的角度,對行政機(jī)關(guān)執(zhí)法過程中適用標(biāo)準(zhǔn)的合法性進(jìn)行審查,主要是審查執(zhí)法依據(jù)是否符合上位的法律、行政法規(guī)的規(guī)定,然后將審查的過程與結(jié)果作為法院判決說理的組成部分。其二,對標(biāo)準(zhǔn)的適用程序進(jìn)行審查,一方面審查行政機(jī)關(guān)在運用標(biāo)準(zhǔn)實施行政管理行為的程序是否合法,另一方面也可審查標(biāo)準(zhǔn)本身的制定程序是否合法。
在網(wǎng)絡(luò)安全領(lǐng)域,《網(wǎng)絡(luò)安全法》與網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是不同規(guī)范。為了維護(hù)網(wǎng)絡(luò)安全秩序,法律本身并不直接規(guī)定所涉及的技術(shù)問題,而是以援引方式將其交予標(biāo)準(zhǔn)解決,標(biāo)準(zhǔn)由此成為法律在網(wǎng)絡(luò)空間安全治理中不可缺少的工具。從作用上看,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)可以彌補(bǔ)立法局限,為《網(wǎng)絡(luò)安全法》實施提供技術(shù)支撐作用;從效果上看,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)影響著《網(wǎng)絡(luò)安全法》的可適用性和實施效能??梢?網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與法治之間呈正相關(guān)關(guān)系,標(biāo)準(zhǔn)質(zhì)量高,則法治水平高;反之,亦然?!半S著新的標(biāo)準(zhǔn)的采納,技術(shù)將繼續(xù)推動法律產(chǎn)生變化,從這個意義上看,掌控了互聯(lián)網(wǎng)的新技術(shù)標(biāo)準(zhǔn)也就掌控了未來法律的方向?!薄?〕張平:《互聯(lián)網(wǎng)法律規(guī)制的若干問題探討》,載《知識產(chǎn)權(quán)》2012 年第8 期,第16 頁。因此,我國在加強(qiáng)網(wǎng)絡(luò)安全法治化的同時,要注重援引網(wǎng)絡(luò)安全標(biāo)準(zhǔn),積極采納最新標(biāo)準(zhǔn)化成果,使技術(shù)規(guī)范與法律規(guī)范相得益彰共同發(fā)揮治理作用,以提升我國網(wǎng)絡(luò)安全總體保障能力。同時,加強(qiáng)標(biāo)準(zhǔn)與法律融合的理論研究,從網(wǎng)絡(luò)安全標(biāo)準(zhǔn)作為標(biāo)準(zhǔn)化的專門領(lǐng)域看,可為“標(biāo)準(zhǔn)對法律具有支撐作用”提供理論經(jīng)驗;從網(wǎng)絡(luò)安全標(biāo)準(zhǔn)作為法律系統(tǒng)之外的規(guī)范看,則為“社會規(guī)范如何與法融合發(fā)揮作用”提供例證示范。