中国制定网络安全法是全世界关注的举措,在国家起草《网络安全法》过程中,我们的研究团队收到很多来自英国的、美国的、日本的学术邮件,就此问题进行探讨和交流,表明中国制定网络安全法是全球关注的一个重大立法实践,是一件开创先河的、利国利民的大事,也是在国际上发出中国法律文化强音和网络安全发展强音的一件大举措。
就《网络安全法(草案)》二审稿(以下简称二审稿)的条文,我有以下一些建议,包含了基本规则、基础概念、基本用语三个方面的范畴。
第一,关于网络运营商的责任到底有多大?
网络运营商到底要赋予他们多大的责任?防止网络违法犯罪活动、是不是民事主体的职责,尽管网络运营商强大到“BAT”的地步。防止和打击犯罪在全世界历来都是政府的职能,在这里我们不应把它给网络运营服务商,网络运营服务商也担负不起。另外就是网络运营服务商也没有经济能力来做这件事。所以我建议关于防止犯罪这个表述删除。
第二,关于知识产权条款是否有必要?
知识产权条款二审稿有几处涉及,但是这个涉及仅仅就是宣示作用,即我在网络安全领域要保障知识产权而不具备法官裁判的原理功能。因为我国知识产权立法已经十分完善和发达,所以没有必要在网络安全法里加入宣示性的条款,而具体的引用,包括网络安全领域的知识产权问题也绝对不会引用到网络安全法。在这里我建议所有的知识产权保护条款删除。
第三,鼓励严格严标准是否妥当?
二审稿第十四条第二款:“鼓励企业制定严于国家标准和行业标准的企业标准”。在这方面我建议要有大于也有小于,不要一味地拔高自己,要更多地鼓励企业去孵化、去创新,不要鼓励企业从一开始就对自己设立特别严格特别高大上的标准。我觉得这一条款应该有所改变。而且这还牵涉法律适用问题,比如在法官判断企业是否尽了合理注意义务时,如果援引鼓励企业制定严标准的条款对企业将是十分不利的。
第四,网络运营者的安全技术措施标准是什么?
网络运营者采取安全技术措施的标准是“合理”。二审稿第二十条第二项建议加“合理”两个字,即“合理”的安全技术措施。因为如果采取的技术措施如果标准过高,运营商不堪重负,他们可能将大量经费用于安保,那就影响了创新和市场运营。如果过低,那么就形同虚设,已经是被淘汰的安保技术,还用它来做自己的安保,来满足法律义务,这样也实现不了目的。所以建议增加“合理”两个字,这也是国际上牵涉到安保义务的一个通例,基本都有“合理”两个字。
第五,市场准入的门槛如何设计?
二审稿第22条里有一个关于“销售”的概念,就是不合规不允许销售。我认为在目前的互联网行业,没有哪一个大公司以及软件是靠销售来占领市场的。应该把“销售”改为“投入市场”,包括免费的也不行。你不合规,即使免费也不可以投入市场。
第六,网络运营商承担义务是否可以请求补偿?
网络运营商承担了安保义务和协助安保义务,应该有一个补偿机制。我认为网络运营商承担了政府的职能,根据政府买服务的基本原则,政府应当给予合理补偿,当然前提是网络运营商提出主张。
第七,境外存储中是否可以区分“重要业务数据”?
在大数据时代,没有哪一个数据是不重要的。换一句话说,在大数据时代,没有哪个数据是重要的。这两句话是一个概念。所以如果我们有“重要业务数据”这种表述的话,那可能会有麻烦。我们不清楚划分的标准,法官更无法判断:企业把什么业务数据放在境外是合法的。所以建议学习美国的做法,不要强调“重要”,而是所有业务数据都要放在美国,中国也可以这么做。结合到用户信息保护制度,用户信息不是强调哪里需要去特别保护,哪里需要去特别保密,用户信息本身就是不得触及的底线。
第八,网络运营者用户建立信息保护制度有利于用户吗?
二审稿第39条:网络运营者应当建立健全用户信息保护制度,对其收集的用户信息必须严格保密。表面看是有利于用户信息保护,其实是一个致命的陷阱,网络运营商就不应该收集用户信息,谈不上保护,立法应该禁止他们收集。这个条款对用户极端不利,而有利于窃取用户信息的人。
第九,与交易无关的个人信息收集行为是否违法?
很明确,任何制定个人信息保护法的国家的第一任务就是禁止收集与交易无关的个人信息。在二审稿第四十条补充 “网络运营者不得利用产品或者服务进行与交易无关的个人信息的收集”,目的就是禁止纯粹为了收集个人信息而收集个人信息。
第十,罚则应该如何构建?
二审稿关于法律责任第六章里,规定的罚则都是确定的一个数额,我对此有些建议。对于个人信息安保义务的违犯,这种数额不大的罚则实际上没有效果。欧盟的一般数据也叫通用数据保护条例,最大的处罚金额是两千万欧元或企业全球年度收入的百分之四,而且是选其中较高的数字,这样才是真正的罚,对企业有威慑力。否则企业交过罚金后,还是会故态复萌。
第十一,基础概念是否应该重新审定?
二审稿出现了网络基础设施的用语,后面又出现了信息基础设施的用语。一个法律基础概念只能用一个,确定一个统一沿用。还有公民个人信息的用语,最好去掉“公民”二字,世界上的立法通例就叫个人信息,个人信息既包括中国人的,也包括在中国的外国人,外国人来中国,他的信息你也得保护。如何界定数据和信息也是立法中不可回避的问题。
第十二,网络安全立法有没有必须考虑的战略性问题?
我认为必须考虑的几个基础性问题如下:
1.网络安全法的立法目的是网络安全吗?如果是,那么大数据交易是否也是网络安全的内容,我们是否需要在网络安全法里面规定大数据交易?
2.网络安全法确立的实名制真的有必要吗?即时通讯服务采取实名制是否涉及面太宽?是运营商的利益所在,还是国家安全所在?
3.网络安全法越俎代庖确立的个人信息保护制度是不是准确掌握了个人信息的内涵和外延,个人信息是否全部可以归结为“身份信息”?
|