《网络安全法》执法情况讨论分析
我国首部保障网络空间安全的基本法——《网络安全法》正式施行三月有余,期间,各地网信办及公安部门以此为依据加强对相关案件的执法,全国各地纷纷涌现行政执法“第一案”。本期内容旨在对执法情况和相关案例进行分析、解读,从中发现共性,对《网络安全法》与现行法律法规之间的有效衔接以及在实际执法过程中的适用性问题进行讨论。
作为我国网络空间安全保障基本法的《网络安全法》(以下简称“网安法”) 2017年6月1日正式实施以来,与其相关的执法行为逐渐走向常态,全国各地相继出现违反网安法的行政执法“第一案”,引起社会各界的广泛关注。这些案例中执法机关依据网安法具体条款对违法行为予以行政处罚,意味着网安法已经由法律条文设计进入到实际操作层面,对于强化网络安全监督管理职责、落实网安法主体责任意义重大,推动了我国依法治理网络空间的整体进程。本文梳理了截至目前公开的大部分执法案例,并就执法机构职责、行刑衔接、责任竞合等可能导致执法风险的若干问题进行简单分析。
一、网安法执法案例汇总
下表是本文梳理的2017年6月1日至8月底各地落实《网络安全法》相关规定的执法案例。
从截至目前的执法案例可以看出以下特点:执法机构为网信部门和各级公安部门;查处依据不仅包括网安法,还包括了《计算机信息系统安全保护条例》《互联网信息服务管理办法》等行政法规和《信息安全等级保护管理办法》《互联网用户账号名称管理规定》等规范性文件;处罚对象以互联网和教育行业为主,全部集中于网络运营者这一核心责任主体;处罚行为主要包括网络运营者不履行网安法第21条所规定的网络安全等级保护义务,第24条所规定的用户真实身份管理义务,第47条所规定的平台违法违规信息管理义务;行政处罚措施包括了警告、罚款、暂停相关业务等类型。
二、网安法法律责任分析
网安法第六章详细规定了违反网安法的法律责任,以惩戒危害网络空间安全的行为。简单分析网安法的法律责任,有助于进一步理解网安法的执法案例和规制范围。
从责任主体看,网安法的法律责任涉及一般网络运营者、关键信息基础设施的网络运营者、对直接负责的主管人员和其他直接责任人员、网络产品或服务提供者等责任主体。网络运营者是网络空间中连接国家和用户的关键节点,是承担法律责任的核心主体,包括网络的所有者、管理者和网络服务的提供者。网安法将网络运营者的网络安全义务和责任法定化,在第三章网络运行安全和第四章网络信息安全中明确了网络运营者建立网络安全等级保护制度、事件应急处置、个人信息保护、违法信息处置、投诉处理、配合监督检查、协助执法等具体的法律义务,并在法律责任中规定了不履行相应义务的行政处罚责任。
从处罚方式看,网安法主要涉及行政处罚,既包括警告、罚款、责令暂停相关业务、停业整顿、关闭网站、关闭通讯群组、吊销相关业务许可证或者吊销营业执照、没收违法所得、拘留等传统处罚类型;也包括一些新型的准行政处罚类型,例如限制从业资格(职业禁入)、失信公示、约谈等。此外,还包含了针对特定运营者的处分措施和针对境外实体的制裁措施。在监管机关的检查或执行过程中,目前已经开始实施的主要处罚措施包括罚款和警告,如重庆市第一案、四川省第一案。
从行为内容看,网安法处罚的行为包括侵犯个人信息、违反网络产品或服务的安全审查、从事危害网络安全的活动、不履行安全保护和风险告知义务、违法传播网络安全信息、境外存储有关数据等,这些行为是目前网络空间发生的最频繁和常见的危害活动,而其中围绕网络安全等级保护制度更是处于基础地位。各地第一案(如广东省第一案)均体现了与违反等级保护要求之间的密切联系。网安法执法案例对违反网络安全等级保护义务的行为予以规制,充分体现了其问题导向和条款聚焦。2017年8月25日,全国人大常委会启动了“一法一决定”的执法检查,将强化关键信息基础设施保护及落实网络安全等级保护制度情况作为重点检查内容之一。
三、网安法执法的潜在风险
总体来说,网安法施行后,网络安全领域立法呈现的滞后性有所缓解,但由于关键信息基础设施保护、数据出境评估、网络安全等级保护等网安法重要配套制度的制定与出台仍在严谨、审慎论证中,网安法与现行法律法规之间的有效衔接问题尚需梳理,部门规章、地方立法及政策的制定和调整工作也需要相互协调,因此网安法的全面有效执行和条款的科学性尚待检验。
以上已发生的网安法执法案例严格按照法律法规规定,对违法行为按照法律责任条款给予了罚款、警告或者暂停相关业务等行政处罚,执法程序、处罚结果等都没有引起太多争议,但由于执法机构和执法依据的结构性整合尚未完成,法律责任的相关规定已经呈现出一些协调问题和潜在的执法风险。
(一)执法机构职责问题
根据网安法第8条的规定,目前我国形成了网信、电信、公安等部门各司其职并在网信部门统筹协调下开展网络安全保护和监督管理工作的职责布局。从法律责任条款中具体处罚的监管机构规定来看,除网安法第63条、第64条和第67条明确规定由公安机关实施处罚外,其余处罚条款均未明确处罚监管机构,一律概括为“有关主管部门”。第8条同时规定有关法律、行政法规也是监管机构实施监管的法定依据。《人民警察法》第6条规定公安机关的人民警察监督管理计算机信息系统的安全保护工作;《计算机信息系统安全保护条例》第六条规定“公安部主管全国计算机信息系统安全保护工作”;《计算机信息网络国际联网安全保护管理办法》第3条规定“公安部计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作”。公安机关是以上法律和行政法规授权的网络安全主管部门,理应是其他法律责任规定的处罚实施主体。
(二)行刑衔接问题
行政执法与刑事司法形成行政执法机关与司法机关打击犯罪的合力,网安法致力于完善“两法衔接”机制,开始探索网络安全行政执法权与刑事司法权的有效衔接。如网安法第63条规定的从事危害网络安全的活动中的窃取网络数据,提供专门用于从事危害网络安全活动的程序、工具的行为,与《刑法》第285条第2款规定的非法获取计算机信息系统数据罪,提供侵入、非法控制计算机信息系统程序、工具罪相衔接。第63条规定的为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,与《刑法》第287条之二中规定的帮助信息网络犯罪活动罪相链接。第64条规定的窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息的行为,与《刑法》第253条之一规定的侵犯公民个人信息罪相衔接。第67条规定的设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,与《刑法》第287条之一规定的非法利用信息网络罪相衔接。行政执法与刑事司法,在适用对象、范围、强度和最终法律效果上都存在不同。行政处罚与刑事制裁之间的衔接一直是我国司法实践的难点。执法对象的客观行为决定了行政执法与刑事司法的衔接关系,违反网安法行政处罚和刑事制裁之间的衔接也非常值得持续关注。
作为现有执法案例核心条款之一的网安法第59条也存在和刑法第286条之一规定的拒不履行信息网络安全管理义务罪的衔接问题。网安法第59条规定网络运营者不履行网络安全保护义务的,由有关主管部门责令改正而拒不改正,或者导致危害网络安全等后果的,予以罚款(双罚制),也就是说,责令改正并非59条实施行政罚款的前置条件,四川宜宾和安徽蚌埠两个案件中即因发生了黑客入侵事件造成危害后果,直接予以双罚;刑法第286条之一的拒不履行信息网络安全管理义务罪则以责令改正拒不改正为前置条件,其入刑条件为责令改正拒不改正和情节严重。
上述基于“择一规则”适用网安法59条,和“并且规则”适用刑法286条之一的规定,将导致在仅直接发生(严重)危害网络安全后果的情形下,无法对违法主体进行刑事追责。一旦网络运营者采取了改正措施,即使已经造成严重情形或严重后果(在网络空间中,这些情形和后果往往具有不可逆性),也无法按照刑法追究刑事责任。即刑事责任必须以监管机构先进行责令改正为前提。考虑到网络空间中网络运营者的多样性和普遍化,这对不同监管部门的监管和部门间协调提出了更为高超、精准的要求。
(三)责任竞合问题
网安法第63条规定的从事危害网络安全的活动中的非法侵入他人网络、干扰他人网络正常功能与《治安管理处罚法》第29条第(一)项“违反国家规定,侵入计算机信息系统,造成危害”和第(二)项“违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的”竞合,网安法第74条原则规定了治安管理处罚优先适用的原则,因此,对违反网安法63条的个人则应适用《治安管理处罚法》处罚,对单位适用网安法第63条第二款处罚。
值得一提的是,2017年1月16日,《治安管理处罚法(修订公开征求意见稿)》正式向社会公开,对现行的《治安管理处罚法》有关网络安全的管理做了很大修改,特别是第31条、32条规定与网安法的若干法律责任规定竞合,在《治安管理处罚法》修订后,以上危害网络安全的行为和网络安全管理义务违反将可能适用更为严厉的处罚措施,也存在和网安法如何竞合适用的问题。
四、小结
随着网安法的全面实施,包括网络安全等级保护、关键信息基础设施保护、个人信息保护等在内的基本制度也已经开始在全社会形成执法检查活动。上述这些问题的潜在风险在于不仅增加义务主体的责任不确定性和额外负担,也给现有法律规则带来挑战。因此在坚持问题导向和立法原则的基础上,应进一步结合实践案例,不断提升执法机构的执法能力,既关注既有法律的结构性问题,也在未来配套制度的设计与落地中相互迎合,消减执法效力的自我损耗。 | 
.jpg)
.jpg)