网安法施行五周年,左晓栋建议考虑提高对头部企业的处罚力度
自2017年6月1日以来,网络安全法已经走过了第五个年头。时值网络安全法正式施行的五周年之际,中国信息安全法律大会专家委员会、苏州市委网信办主办了以“新时代网络安全的法治使命与担当”为主题的线上活动,邀请多位专家学者探讨新形势下网络安全法治体系的构建和发展。
会上,中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋发表了题为“进一步发挥网安法重要作用 推动立法完善”的主旨演讲。他提议通过实际执法案例所援引的网安法条款比例等四个标准来评价网络安全法的实施效果,并建议修改其中有关法律责任的相关规定——目前的处罚额度对头部互联网企业而言远远不够。
四个标准评价网安法实施效果
“网络安全法的发布和实施是网络安全领域的重大事件,对网络安全工作的开展产生了非常重要的作用。在它发布五年之后,目前的确到了一个需要去回顾的历史时刻。”在会上,左晓栋表示,应该通过四个标准去评价一部法律的实施效果。
一是法律实施与解释机制的完备性。在他看来,每部法律法规在实施过程中都应有一个主要部门负责或在几个部门的协商下进行整体推进,由主要部门对法律规定事项的落实做出整体安排,为每一项具体条款设定明确的落地时间,每年还需对网络安全法的实施情况进行跟踪和督促,然而目前落实情况不尽如人意。
左晓栋指出,判断网络安全法的实施效果还需从其执行机制方面考虑。比如当下不少公众对该法律中的部分条款仍存有疑问,这种情况下,是否有部门负责解释、不同部门的解释是否一致、如何处理部分社会机构为了商业利益曲解法律以及在执法时,如何为对条款理解存在分歧的各部门纠偏等。
二是通过实际执法案例所援引的条款比例来判断网络安全法的实施效果。左晓栋表示,不能仅凭网络安全法的执法案例数量众多就给出评价,还需考虑执法案例所援引的条款在该法律中所占的整体比例。“这个比例高不高,可能需要一个定量的说法。现在人们为有大量网安法的执法案例而津津乐道,实际上可能都主要集中于法律的部分条款。”
他强调,网络安全法的定位是主要解决信息技术领域的安全问题,互联网信息内容安全并非其重点。然而实际上,公众看到网络安全法发挥作用的情形大多都与信息内容安全相关,最常见的是在微信里阅读某篇文章时,突然发现这篇文章因违反网络安全法的相关规定而被删除,“这显然不是当时立法的一个重点。”
细则与配套法规的出台比例是左晓栋指出的第三个评价标准。他认为,目前有必要对与网络安全法实施相关的细则和配套法规进行统计,了解已经制定相应细则与配套法规的制度占据多少比例。
最后一个评价标准是遗留问题的解决程度。“任何法律制定的时候都具有滞后性,随着网络安全风险挑战的快速变化,立法中难免有遗留问题。不过,在法律施行五年以后,我们要看看遗留问题解决的比例,如果长期得不到解决,那可能是有问题的。”他说。
建议修改网安法法律责任规定
如果有机会完善网络安全法,应该怎么做?对此,左晓栋提出了五点具体建议。
2019年4月,由于“视觉中国”网站在其发布的多张图片中刊发敏感有害信息标注,天津市网信办依据网络安全法对该网站运营主体汉华易美(天津)图像技术有限公司做出行政处罚,罚款三十万元。
网络安全法规定,网络运营者对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,可处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
左晓栋认为,网络安全法应修改法律责任的相关规定。“当时,有关罚款30万的说法是‘严格’‘顶格’处罚,因为法律规定最高罚款额度就是50万,这是考虑到网络安全法需适用于全社会所有各类网络运营者的结果。然而,对于头部互联网企业而言,这种处罚额度显然是远远不够的。”为此,他建议参考欧盟《通用数据保护条例》(GDPR)的规定,根据企业的营业额比例来进行罚款。
他表示,目前网络安全法中有关法律责任的规定到了“可以修改的时候”,如果所有不良运营者都使用同一个处罚标准,可能导致法律实施效果不理想。
左晓栋还列举了一些需要进一步澄清和细化的条款。比如网络安全法中规定,关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。“安全保密协议的重点是什么?如何落地?从目前供应链安全形势来看,仅仅一个安全保密协议可能是不够的。”
在需要调整的规定方面,左晓栋则指出,建议适度删减网络安全法中有关个人信息保护的内容,原因是去年11月起施行的我国首部针对个人信息保护的专门性立法——个人信息保护法相关规定已经足够明确和充分。此外,他还建议对未成年人保护、实名制等有关规定进行完善,为《未成年人网络保护条例》征求意见稿等提供更多上位法依据。
网络安全法第二十八条规定,网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
左晓栋还建议在网络安全法中增加一些内容。上述条款中,除了要求运营者配合公安机关、国家安全机关执法,还有必要规范公安机关、国家安全机关的执法行为。此外,他建议对等级保护制度的相关内容进行进一步展开,“现在公安机关正在研究等保条例,可以考虑在网安法中增加相关内容,为其提供更多上位法依据。”
