6月18日,国务院新闻办公室举行新闻发布会,介绍网络法治保障高质量发展有关情况。截至目前,中国已制定出台了网络领域立法150多部,形成了以宪法为根本、以法律法规为依托、以传统立法为基础、以网络专门立法为主干的网络法律体系,搭建了中国网络法治的“四梁八柱”,为网络强国建设提供了坚实的制度保障。
2024年是习近平总书记提出网络强国战略目标10周年,是中国全功能接入国际互联网30周年,也是中国网络法治建设起步30周年。党的十八大以来,我国网络与数据立法步伐逐步加快,特别是制定《电子商务法》《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等基础性法律,为构建网络强国和营造良好数字社会生态提供了坚实的基础法治保障和基本依循,并为相关网络与数字立法预留了拓展空间。
《网络安全法》是维护国家网络空间主权的基石
2017年6月1日起实施的我国首部《网络安全法》是在国际网络安全严峻时期出台的,适逢其时,显得非常及时且极为重要。《网络安全法》是我国网络安全领域的基础性法律,充分体现了信息化发展与网络安全并重的安全发展观,突出的亮点是:确立了网络空间主权原则、明确了重要数据的本地化存储、强化了对个人信息的保护、确定了网络安全人才培养制度、提出了关键信息基础设施的安全保护及其范围,尤其是针对电信网络诈骗等新型网络违法犯罪的多发态势,强化了惩治网络诈骗等新型网络违法犯罪活动的规定。
从立法的调整范围看,《网络安全法》是一部网络与数据领域的综合性立法。在网络安全方面,《网络安全法》重点规定了网络运行安全制度和网络安全监测预警与应急处置制度,如国家网络安全等级保护制度、关键信息基础设施安全保护制度、网络安全风险评估和应急工作机制等;在数据保护方面,《网络安全法》重点规定了数据的分类、重要数据的境内存储和出境安全评估制度,以及确立了网络数据的定义等;在个人信息保护方面,《网络安全法》第四章用较大的篇幅规定了公民个人信息权保护的基本法律制度,如“合法、正当、必要”原则,以及用户个人的知情权、删除权、更正权等。
《网络安全法》具有整体性、协调性、稳定性和可操作性等特征,是我国应对国际网络空间安全挑战、维护网络空间主权、保障公民网络空间的合法权益不受侵害、保障国家安全的利器,也为全球互联网的治理贡献了中国智慧。
《数据安全法》坚持总体国家安全观
《数据安全法》以贯彻总体国家安全观的目的为出发点,以数据治理中最为重要的安全问题为切入点,抓住了数据安全的主要矛盾和平衡点,是我国数据安全领域的一部重要基础性法律。《数据安全法》第七条规定:“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”这是我国首次以法律的形式提出“促进以数据为关键要素的数字经济发展”。
纵观改革开放40多年,我国要素市场建设和改革取得重要进展,土地、劳动力、资本、技术等四大要素市场从无到有、从小到大,相关法律保障体系已经建立,市场配置要素资源的生态体系逐步形成。上述四类要素市场的发展和成熟都是顺应工业经济和城镇化发展要求,并在借鉴西方经验基础上逐步深化改革的成果,而提出把数据作为新生产要素,特别是《关于构建数据基础制度更好发挥数据要素作用的意见》从数据产权、流通交易、收益分配、安全治理四方面系统地布局了构建数据基础制度与发挥数据要素作用的关键路径和战略举措,这是准确把握工业经济向数字经济转型发展趋势,率先在全球提出的重大数据要素理论创新,也是推进网络强国、数字中国建设的重大战略举措。
构建数据要素市场生态体系是一项长期的系统工程,应当发挥法治固根本、稳预期、利长远的重要作用,以法治的力量协调和处理与数据生产力发展相适应的数字化生产关系,统筹提升数据产权、数据要素流通与交易、数据要素收益与分配、数据要素治理等基础制度体系的法治化水平,这是推动数据要素与实体经济协同融合,激发数据生产力“乘数效应”,不断创新适应数字生产力发展的数字化生产关系的必由之路。
《个人信息保护法》确立了处理个人信息的基本原则
《个人信息保护法》是社会关注度极高的一部法律,该部法律总体上坚持了“以人民为中心”的法治理念,突出了国家尊重和保障人权的宪法原则,规范了个人信息处理的规则,强化了对个人敏感信息的保护,充分保障了个人信息权益的行使,强化了个人信息处理者的义务等,确立了处理个人信息的基本原则,抓住了个人信息保护的主要矛盾和平衡点,是我国个人信息保护领域的一部重要基础性法律。
《个人信息保护法》总则部分第六条提出了处理个人信息的“两个最小”原则,一个是处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式;另一个是收集个人信息应当限于实现处理目的的最小范围,不得过度收集个人信息。这两个“最小原则”是个人信息处理的核心规则,也是《个人信息保护法》的最大亮点,尤其是处理目的的“最小范围”,是禁止“过度收集个人信息”的核心要点,因为个人信息处理者只有在严格遵守处理目的的“最小范围”的前提下,才能确保对个人权益影响最小。
《关键信息基础设施安全保护条例》强化运营者的主体责任
2021年9月1日,《关键信息基础设施安全保护条例》(以下简称《条例》)正式施行。《条例》是《网络安全法》的一部重要配套法规,用较大的篇幅强化了关键信息基础设施运营者的主体责任,在总则部分第四条、第六条对运营者责任作了原则规定,要求运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
建立健全网络安全保护制度和责任制。《条例》明确运营者的“一把手”对本单位的关键信息基础设施安全保护负总责,并重点夯实三大职责:一是领导关键信息基础设施的安全保护;二是领导组织对重大网络安全事件的处置工作;三是组织研究解决重大网络安全问题。
履行重大网络安全事件报告制度。《条例》第十八条规定:关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。
确保采购安全可信的网络产品和服务。《条例》明确要求,采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全制度审查,这项制度是《国家安全法》确立的一项重要法律制度,审查的内容包括但不限于核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务等。