(原标题:网络要靠 制度设计确保安全)
刘春泉
[可以考虑学习一下欧盟,欧盟在个人信息保护新规当中,设定的法律责任是说,最大的罚款可以到上一年度营业额的4%。]
算起来我也应该是有20年网龄的互联网老兵了。我们的网络安全法,虽然以前没有叫这个具体的名字,却一直是互联网法律圈内大家重点研究关注的对象。今天谈一点思考。
我读网络安全法二审稿时有一个疑问,这几年发生了那么多网络上的事件,如果按照现在的网络安全法,能不能对这些事件有一个相应的预防或是制裁、应对?
实际上网络这个领域,现在的学术研究跟过去不一样,过去学术刊物有很高的编辑门槛,有人把关。识别专家的简单做法就是看论文专著,或者更简单点看什么权威研究机构的职称。现在自媒体也有了,任何一个人,哪怕是昨天刚进入这个领域的,今天开了一个会,马上晚上就可以写一篇文章发到微信上,也许明天就成为了“十万+”的文章。但他对这个问题的研究真的到位吗?不见得。
确立网络安全特定情况下的域外效力问题
我想谈的第一个问题是,确立网络安全特定情况下的域外效力问题。
像斯诺登事件,在我们的网络安全法中应总结出怎样的经验教训,然后落实成制度设计反映到我们的网络安全法中?我认为对于类似斯诺登事件这样的应有所体现,当然要看出这一点,可能需要经过“翻译”的过程,这实际上就是中国的网络安全法是不是要有域外的效力问题。
通常来说,任何一个主权国家的法律是不能有域外效力的。但在少量的法律当中,比如反垄断法或者说竞争法中是有域外效力的。而美国常常通过长臂管辖,尽量让它的法律具有管辖权。
为什么要这样做?因为现在是全球化的时代,尤其是互联网时代,网络上并没有物理上的边境线。如果没有相关的法律规定,我们除了声讨以外几乎没有任何办法。我们要采取法律行动的话,是必须要有明确的法律依据的。
我们现在起草的很多法律文件不是律师的思维,也不是法官的思维,而是国内语境下的政策思维,它的前瞻性、法律层面的操作性有欠缺,针对具体问题的内容,尤其是采取什么行动,落实到第几条第几款,往往没有做到。
同时,今天的国际环境下,要采取一个措施,还必须讲出国际上可以让人接受的道理来,否则难免受到攻击。借鉴对外贸易法曾经有类似的规定,如果其他国家对我们国家采取歧视性的贸易措施,我们是可以采取对应措施的。那么在我们的网络安全法当中能不能也落实这样一条?如果有人在境外采取侵害我国权益的网络技术措施(类似美国对全球的监控)或是歧视性的法律措施,中华人民共和国也可以采取对等行为。
如何建立管辖连接点
第二个问题,如何建立管辖连接点,让中华人民共和国境内的利益或中华人民共和国公民受到损害的时候,能够启动司法程序,维护国家和人民的利益。
中国经常大量受到网络攻击,我们应做哪些反思?有没有这个本事查出攻击者?如果有这个本事,那么我们哪个机关采取行动,怎么确定管辖?建议在法律当中形成制度,如果境外或海外其他机构,对中华人民共和国境内机构或中华人民共和国的公民采取了非正常法律行动或实施了犯罪,中华人民共和国被害人所在地的有管辖权的机关,或者被害人不明确的,由公安部指定的机关行使管辖权,以采取针对性的法律行动。
关键是,我们现在的管辖连接点一般是属地原则,在哪里信息被偷了,到属地公安机关报案。如果行为主体来自境外,没有哪个公安机关受理报案。而且目前侦查机关启动程序几乎完全靠举报,如果没有具体被害人、没有人举报,我们应该怎么做?这些问题都需要明确。
利用规则设置引导市场主体博弈
第三,网络立法从技术上要有这样的思想,也是经济学上的博弈论的应用,利用规则设置来引导市场主体的博弈行为。
这方面我们其实不乏成功的先例。比如劳动合同法出台之前,企业不签书面劳动合同的情况大量存在。由于劳动合同法规定不签订书面劳动合同要赔偿一年的双倍工资,现在不签书面劳动合同的企业已经大量减少。
我曾提出目前我们的主要困难在于技不如人,客观上需要依赖别人的技术,那么怎么通过制度设计避免他人隐藏后门、漏洞,以防其在可能的关键时刻对我们进行攻击呢?我认为只有审查制度还不够,应增加法律责任倒逼企业守法,即规定在中国销售的网络软硬件产品,应当保证不存在隐瞒漏洞、后门或其他重大风险;销售后发现漏洞或其他风险的,应当立即报告,违反上述规定的,按照上年度营业额的一定比例给予罚款,并且可以限制其在一定年限内在中国市场销售。
虽然面对网络乱象,许多媒体在呼吁加强监管,现在实际上在网上,再实施那么严密的控制已不太现实,技术上也不许可。
这当中,国家怎么去支持网络公共管理,值得讨论。公共管理思路可否改一改,不再像过去一样,什么事情都由政府去做?注重制度建设,这在国家来说就是法律。法律制定好以后,让企业去实施,哪个企业要做相关的生意就要把相关的事情管起来。
笔者发现这次二审稿中有两条已经注意到了这一点。比如一到十倍的违法所得作为罚款,这跟以前的法律比有很大进步,但仍有问题。也被一些人指责为变相鼓励企业违法。可以考虑学习一下欧盟,欧盟在个人信息保护新规当中,设定的法律责任是说,最大的罚款可以到上一年度营业额的4%。对于任何财大气粗的公司,这都是一个非常巨大的数字。而之前在我国只有反垄断法才有上一年度营业额的1%~10%这样的大额罚款金额。正因为有这样的罚款风险,现在所有的企业只要谈到欧盟的数据法规的时候,基本上都非常恐惧。
当然罚款不是最好的方法。我们还要注意另外一个层面的问题,中国的确面临行政层级多、执法机关多的问题,并且也不能给行政执法机关太大的权力,否则也会坏事。
面临这样两难的情况怎么办?笔者建议推行递进式惩罚性的赔偿。第一次被认定违法,可以按照现在这个五十万元罚;再不改,一次一次加重,加重到你赔不起为止。再有,企业非常担心有关部门随意索取数据,如果一个执法人员来让你把公司全部数据拷给他,他带着一封介绍信,是不是经过局长批还不清楚,就要把企业的这些数据都拿走,企业给还是不给?所以我们有必要在相关的立法中完善这样的程序,要依法办案,手续齐全。
(作者系段和段律师事务所合伙人) 来源 : 第一财经日报
