制定实施网络安全法的目的,在于保障网络运行和信息安全,特别是关键信息基础设施的网络安全。这些网络安全的建设、管理和日常的运行维护,首先是各行业和各企业自己的业务。由于网络安全需要投入人力物力财力,如果没有执法案例和网络安全事件产生的震慑,企业往往会懒得增加自己在这方面的投入。因此,在网络安全管理方面,需要以一定的网络安全执法案例来督促企业进行守法合规工作。
如果把网络安全法比作一辆车,那么执法管辖的确定,就相当于发动引擎的按钮或钥匙。现在这辆车已经上路,远看装备精良、性能不错,虽然目前实施还不到半年,但已牛刀小试,震慑和反响也比较大,但在这过程中也凸显出网络安全管理的管辖模糊带来的问题,急需进一步明确。
网络无边界,网络无国界,在互联网上没有人知道你是一条狗。这些都是大家耳熟能详的话了。传统行政执法的“属地管理”基本规则在网络时代遭遇挑战,但仍是确定管辖的第一考虑因素。
在属地管辖前提下,我国网络安全法关于管辖的规定主要有五种:第一种是“由有关主管部门”管辖;第二种是公安机关(含部分条款涉及的国家安全机关以及应对境外攻击的公安部和有关部门);第三种是网信部门会同国务院有关部门进行的网络国家安全审查和信息出境安全评估;第四种是网信部门法定的统筹协调有关部门对关键信息基础设施的安全保护职责(《中华人民共和国网络安全法》第三十九条)、信息安全管理监管职责(第五十条);第五,国家机关政务网络不履行法定义务的,由上级机关或者有关机关责令改正和给予处分(第七十二条),这一条严格来说不是执法管辖而是公务员和政府机构内部管理。
我国立法目前多为部门立法,惯例是谁立法谁执法,很多法律都有明确的执法机构规定,比如税法、广告法,执法机关就是税务部门、工商部门,一般都是按照属地管辖原则规定县级以上部门有管辖权。简单说就是行业归口,专业部门管辖。
但网络安全法没有采用这样的立法体例,从前文概括的网络安全法的管辖规定可以看出,由有关主管部门管辖本身就存在解释空间,可以解释为按照行业归口管理,比如银行的归到银监会,证券的归到证监会,但民营和外企没有对应业务主管部门。也可以解释为网络安全事务主管部门是网信部门、工信部门(这两个部门之间也应该明确管辖分工),没有级别管辖的规定。更重要的是,由于网络安全涉及安全技术问题,专业性很强,现在对于大部分省级和省级以下政府部门来说,要承担网络安全执法工作不仅急需网络安全法本身的执法培训,还需要通过政府采购等方式引进第三方安全企业、电子取证服务企业、司法鉴定机构等作为执法取证所需的技术服务机构。
在网络安全法关于执法的管辖规定并不明确的情况下,复杂网络安全事件的网络安全执法管辖与公务员体系的问责规则如何协调,也是一个需要探讨的问题。
网络安全事件掺杂着各种复杂情况是大概率事件,网络时代任何大的事件也都有可能借助网络放大效应。如果出了问题的一条线上下都要被处罚,这固然可以通过问责来增强责任心,但也要考虑问责规则的刚性反过来会不会影响部门主动介入调查处理的积极性。毕竟避险乃人性使然。
总结目前已经发生的网络安全法执法案例,执法能力对于执法积极性有重大影响,公安机关执法的案例较多,这与公安网警的网络安全执法能力较强有密切联系。但同一个条文,公安和其他部门都在用,都称是“有关主管部门”,这与管辖恒定原则是有冲突的。
从境外执法案例看:2012年,谷歌早前被指控蒙骗数以百万计的苹果Safari浏览器用户,使用的特殊代码能绕过Safari浏览器的隐私设置,从而不断追踪用户的上网习惯。对此美国地方法院举行听证后,准许联邦贸易委员会(FTC)向谷歌开出2250万美元罚单,并驳回了消费者权益保护组织对谷歌施以更严厉处罚的请求。2014年,美国联邦通信委员会(FCC)宣布,威瑞森(VERIZON)电信公司将支付740万美元,以了结针对其侵犯消费者隐私行为进行的调查。FCC指控威瑞森在定制营销活动时未经客户许可使用他们的个人信息,这种行为持续了数年之久。除罚款外,威瑞森还同意之后三年内在给客户的每份账单上注明他们与营销相关的退出权利。从这两个案例可以看出,都是集中在中央层面的国家调查机构进行的调查,这与网络安全的技术复杂性与法律专业性是高度关联的。我国要实施好网络安全法,短期内还是需要省级及以上机构才可能具备这样的专业技术和法律专业能力。
执法管辖只要存在两个以上可能,无论是地域管辖还是级别管辖,就都有可能存在推诿与选择管辖的空间。由于网络特性,网络安全法立法关于管辖并不十分明确,确定管辖除了网络安全法外,还要结合国务院关于部门职责的规定,以及其他相关法律关于管辖的规定。对于仍然难以确定的,建议还是由国家部委层面协调指定管辖为好。只有将主体落实,才能落实网络安全管理的主体责任。
(作者系中国电子商务协会政策法律委员会副主任、律师)