我国网络安全监管主体法律问题研究

黄道丽

公安部第三研究所信息网络安全公安部重点实验室 上海 201204

0 前言

我国近年来网络安全事故频繁发生，2008年全国信息网络安全状况调查结果显示，我国网络安全事故的发生已有了涉及面广，影响程度深的特点，网络安全已成为制约我国信息化发展的瓶颈。因此，加强网络安全监管成为推动我国信息化发展的现实需要。

1 我国网络安全监管主体制度的立法现状及存在问题

1.1 我国网络安全监管主体制度的立法现状

我国网络安全监管主体制度的规定存在于网络安全监管法律中，而我国网络安全监管法律框架体系的构建，基本属于“渗透性”模式，即国家没有制定专门性的网络安全监管法律规范，而是将涉及网络安全监管的立法内容渗透、融入相关的法律、行政法规和部门规章中。

1.2 我国网络安全监管主体制度的存在问题

（1）网络安全监管的立法层次不高

从我国目前有关网络安全监管的立法现状来看，国家没有制定专门的网络安全监管法律规范。立法层次不高，现有规定中行政法规、规范性文件、部门规章及相关文件居多，法律、有关法律的规定较少。

（2）政府监管机构的职权界定不明确

我国虽然已经建立起了由网络与信息安全协调小组进行统筹协调，公安部、工业和信息化部、国务院信息产业主管部门、国家密码管理机构和国务院其他有关部门等部门分行业监管的网络安全监管体系，但实际情况大多是自我封闭、条块分割监管。

（3）行业组织的监管主体地位不明确

我国对自律监管给予了高度重视，但我国网络安全监管体制仍是一个自上而下的体系，法律法规的出台、标准的制定、网络安全评估体系的建立、认证认可体系的建立并不是根据行业的实际情况出发的，这容易造成网络安全监管“虚化”的问题。

（4）政府监管机构与行业组织之间的协调机制缺乏规定

目前在我国，已经形成了中国互联网协会在工业和信息化部的领导下致力于互联网治理工作的模式，但政府监管机构与行业组织之间的关系还不明确，政府监管机构与行业组织之间的协调机制还没有完全建立起来。

（5）监管主体的法律责任规定不明确

目前在我国，除了被处罚者可依法提请行政复议和行政诉讼外，其他各项网络安全监管是否合理，基本上是由安全监管机构自身及其上级做出判断，并无被监管者等利益相关者实施民主监管的正常渠道。

2 完善我国网络安全监管主体制度的建议

2.1 提升我国网络安全监管的立法层次

我们应该把网络安全监管立法问题提高到事关国家安全、社会稳定、产业发展的高度和信息化建设的全局来考虑，尽快制定一部网络安全监管的基本法律，在与我国整体政府机构的管理体系协调一致的前提下，明确专门的权威部门或机关对网络安全实施统一和协调监管。此外，围绕网络安全监管法，可以制定配套的行政法规和部门规章，形成一个以网络安全监管法为核心、行政法规和部门规章作配套和补充的完整的法律体系。行政法规和部门规章中则可以就权威监管机构之外的其他监管机构及其职权进行详细规定。

2.2 确立网络安全监管主体设置的原则

法律原则是指可以作为规则的基础或本源的原理和准则。它没有预先假定任何确定和具体的事实状态，没有规定具体的权利和义务，也没有赋予确定和具体的法律后果。网络安全监管主体设置的原则是指对确定网络安全监管主体起统帅作用的基本准则。网络安全监管主体的设置应该遵循依法原则和公众参与原则。

（1）依法原则

依法原则包括两方面的内容：第一，管理机构必须依法设定。网络安全监管机关的设置、职能、权限划分、职权的行使程序等由法律规定，其必须在法定的权限范围内活动，越权则无效。第二，网络安全监管机关的监管行为必须符合法律规定。首先，进行网络安全监管的时候，不得超越其职权。其次，监管机构的监管活动不仅要遵守实体法，还要遵守程序法。

（2）公众参与原则

公众参与原则要求网络安全监管摒弃封闭式的监管体制，建立开放式监管体制。从政府强有力的贯彻向用户的普遍参与过渡，体现积极防御和风险控制思想。风险控制思想的实质是以高效率的网络安全保障为原则，将风险控制的责任分配给最有能力控制风险的一方。行业主管部门最熟悉行业的网络应用情况，投资者最关心其投资利益，应当给他们分配相应的风险控制责任。给行业、投资者和用户分配控制风险责任还在于认识到政府管理能力的有限性。毫无疑问，政府发现、分析威胁网络安全需要及时掌握必要的信息，而如果企业知情不报，信息收集、通报和分析的工作就无法落实。只有政府和企业、个人密切配合，才能弥补政府网络安全监管能力的不足，使其更好地履行职责，实现保障社会安全的目标。

2.3 规范网络安全监管主体制度的具体内容

（1）明确各个政府监管机构的职权

我国可以考虑对工业和信息化部、公安部、国家安全部等部门的职权重新调整，以增强其协同执法的能力。目前我国政府网络安全监管机构的职权可做如下明确：

工业和信息化部主要负责从行政监管上加强网络安全管理。其监管职权具体应该包括：负责建设和管理网络与信息安全技术平台，做好经营性互联网网络安全的应急协调工作；对互联网接入服务商、互联网信息服务提供者和联网单位的联网备案、记录留存、有害信息报告、清除等安全管理制度的落实情况进行监管检查。工业和信息化部还可根据国务院新闻办、公安部、国家安全部等中央授权部门的要求，利用网络与信息安全技术平台，对网上有害信息进行监控，对违规从事网上业务的境内网站，依法采取责令整顿，予以关闭等行政处罚措施。

公安部则负责互联网的安全监督。其主要职权应该包括：对网上反动、淫秽、赌博等有害信息进行监控，负责打击攻击破坏网络和传播计算机病毒等违法犯罪活动的应急协调工作，依法处罚和打击网上违法犯罪行为；对互联网安全管理制度落实情况进行监督检查，对境外有害信息网站提出封堵意见并通知行业主管部门实施。

国家安全部则负责互联网中国家安全事项管理工作。负责对间谍组织以及敌对势力内外勾结利用互联网危害国家安全的行为进行查处。对境外有害信息网站进行监控并提出封堵意见，并通知互联网行业主管部门实施。

（2）明确行业组织的监管主体地位

我国应该改变目前网络安全监管主体的单一性模式，寻求多样化的监管主体来共同实施网络安全监管，实行政府机构与自律组织共同联合监管的模式。明确行业组织的监管主体地位包括以下内容：

首先，行业组织从内部完善自身的治理结构。以中国互联网协会为例，完善它的治理结构就应当改革其内部组织结构和决策机制。限制政府官员兼任互联网协会的领导，改革理事会，使会员大会成为互联网协会的决策核心。

其次，在法律中对行业组织自律监管职权进行充分合理的配置，树立自律组织的威信。自律组织实施监管的权力不足直接制约了我国网络安全自律监管的发展。可在网络安全监管法中明确自律组织如中国互联网协会的监管主体地位，规定“互联网协会可以根据组织章程、行业标准或准则，对会员实施自律监管，互联网协会有权对会员进行检查、调查、处分，互联网协会可以设立会员之间发生的纠纷的调节或仲裁制度。互联网协会可以依本法或其自治规章对侵犯网络安全行为进行制裁”。

最后，自律组织的活动也必须在法律规定的框架之内进行。

（3）建立政府监管机构与行业组织之间的协调机制

建立两者之间的协调机制可从两方面进行：

一是从法律层次上进行的协调设置，网络安全监管法律中应明确规定政府机构和行业协会相对独立的监管职权，交叉部分要明确主次，不能出现政策实施和监管的“真空”，在法规中明确政府监管机构和自律组织联合执法的范围，同时应设有专门的机构负责政府监管机构与自律组织的协调工作。

二是在法律明确了各自的职权的基础上，我国应该建立两者之间互相支持以应对网络攻击事件的信息共享机制。这是因为行业组织或私营部门拥有和经营管理着主要的关键基础设施，但政府却具有独特的信息和分析能力，政府与这些私营部门进行合作，共同分析和使用这些信息，可以共同实现网络安全监管。我国应该确立双向的信息共享机制：一方面，鼓励协会与政府机构共享信息，确保政府部门不会透露协会成员自愿提供的关于威胁和攻击的信息；另一方面，要求政府机构在保护秘密信息和其他敏感的国家安全信息的基础上，适当地将有关信息与行业协会共享。

（4）明确监管主体的法律责任

按照“谁主管谁负责，谁运营谁负责”的原则，各部门要建立和落实责任追究制，要有专门单位、专门人员负责网络安全监管工作。责任追究制主要审查政府监管机构是否存在滥用网络安全监管职权的行为，是否存在超越其监管职权的行为，是否存在对“监管不作为”导致的关键基础设施受到网络安全攻击、破坏后果的行为，是否存在不履行法律规定的程序、颠倒顺序或步骤等程序违法的行为。如果网络安全监管主体存在上述违法行为，应当依法追究其法律责任。

对于违反了上述违法行为的监管主体，应规定相应的法律责任。对“监管不作为”导致的关键基础设施受到网络安全攻击、破坏后果的行为，主要负责人和直接责任人应当承担法律责任；对网络安全监管主体因未履行网络安全监管职责而违反法律规定，造成重大网络安全事故发生，应按照《刑法》规定的渎职罪定罪量刑；对造成网络安全信息共享中对信息延迟、信息截留、信息错误等后果的负责人和工作人员，按照情节轻重分别给予警告、记大过、降级、撤职、开除的处分；因监管机构及其工作人员失职、渎职造成公民、法人或者其他组织受到不应有的损害，应追究赔偿责任。

[1] [美]博登海默.邓正来译.法理学、法律哲学与法律方法[M].北京:中国政法大学出版社.1999.

[2] 马民虎.互联网安全法[M].陕西:西安交通大学出版社.2003.

[3] 李扬,王国刚.资本市场导论[M].北京:经济管理出版社.1998.

[4] 李德智.互联网治理之初探.河北法学[J].2004.

[5] 王全兴,管斌.社会中间层主体研究.经济法论丛[M].第5卷.北京:中国方正出版社.1999.

[6] 赵福建.证券自律监管的经济法视角研究[D].天津师范大学.2005.

[7] 姜明安.行政法与行政诉讼法[M].北京大学出版社.高等教育出版社.1999.

[8] 盛学军.政府监管权的法律定位.社会科学研究[J].2006.

[9] 周汉华.基础设施产业政府监管权的配置.国家行政学院学报[J].2002.

[10] 孙笑侠.法的现象与观念[M].北京:群众出版社.1995.

[11] [法]孟德斯鸠.论法的精神(上)[M].北京:商务印书馆.1982.