第三节　我国信息网络安全立法的现状和特点

总体上看，我国信息网络安全立法数量已经比较多，但是法律位阶比较低。这些立法往往既缺乏统一的立法主旨和思路，也缺乏系统性和可操作性。

一、我国信息网络安全立法的现状

长期以来，我国较为重视国家安全领域的立法。早在1988年9月5日就公布了《中华人民共和国保守国家秘密法》。1993年2月22日颁布了《中华人民共和国国家安全法》。随着互联网在我国的迅猛发展，我国先后又出台了多部法律、法规和部门规章，以保障信息网络安全，这些法律法规可以分为以下几个层面：

（一）全国人民代表大会及其常委会通过的决定和法律规范

《刑法》第285条和第286条分别规定了非法入侵计算机信息系统罪和破坏计算机信息系统罪，共4款。相关的立法还有《国家安全法》、《保守国家秘密法》、《刑事诉讼法》、《行政处罚法》、《电子签名法》等。[9]

（二）行政法规

第一，1994公布的《中华人民共和国计算机信息系统安全保护条例》。《中华人民共和国计算机信息系统安全保护条例》赋予公安部主管“全国计算机信息系统安全保护工作”的职能，其主管权主要体现在：（1）监督、检查、指导权；（2）计算机违法犯罪案件查处权；（3）其他监督职权。[10]

第二，《互联网信息服务管理办法》。《互联网信息服务管理办法》经2000 年9月20日国务院第31次常务会议通过，共27条，于2000年9月25日公布施行。为了切实保证《全国人大常委会关于加强网络信息保护的决定》的有效实施，国务院法制办正积极会同有关部门对与决定有关的行政法规进行清理，同时抓紧制定相关的配套法规。[11]

（三）地方性法规

与信息安全相关的地方性法规主要有：自1996年5月1日开始施行的四川省人民政府发布的《四川省计算机信息系统安全保护管理办法》；分别自2003 年6月1日和2003年7月1日起开始实施的《广东省计算机信息系统安全保护管理规定》和《广东省计算机信息系统安全保护管理规定实施细则》；2004年开始施行的《上海市信息系统安全测评管理办法》；浙江省于2011年1月1日起开始实施《浙江省信息化促进条例》，规定金融、电信等掌握公众信息的单位，严禁贩卖个人信息；河北省于2013年1月1日起正式实施了《河北省信息化条例》，该条例对保护公民个人信息、禁止利用网络制作、散布谣言、促进政务信息公开等作出了明确规定。[12]

二、我国信息网络安全立法的缺陷和不足

改革开放以来我国制定了大量的法律和行政法规，涉及互联网管理的法律法规只占1.5％左右。总体来看，我国现有的信息网络安全立法和政策规范，除了数量确实过少之外，还有着以下的缺陷和不足：

第一，现有的法律和规定以行政立法为主，法律位阶比较低。既缺乏统一的立法主旨和思路，也缺乏权威性。相关法律法规多由部门制定，有关信息网络安全的执法也是多头交叉管理，缺乏相应的国家统一执法协调机构。目前，公安部、国家互联网信息办公室、信息产业部、国家保密局以及商用密码管理办公室等机构都在管。各省市的情况也与此类似。虽然在《计算机信息系统安全保护条例》中确立了公安部主管全国计算机网络系统的安全保护工作，但由于编制、经费等原因，许多地方公安机关的人员素质和能力还不能适应信息网络技术高速发展的需要。

第二，已经出台的法律和规定缺乏系统性。立法层次比较低，法规内容重管制，轻服务，缺乏协调。[13]多头立法必然造成了执法主体多元化，严重影响执法效率和力度。因此，必须尽快完善我国的信息网络安全保护机制，形成统一的信息网络安全法律法规体系。

第三，现有的法律和规定缺乏针对性和可操作性。信息网络安全涉及的不少概念和规则是公众难以准确把握和理解的。所以，信息网络安全的法律法规应当对一些容易引起误解和争议的问题、一些专业术语等作出解释，使其更具有可操作性。而我国的信息网络安全相关法律、行政法规、部门规章、地方法规等大都为信息网络管理的各个领域所通用，专门性的信息网络安全保护法律法规依然比较欠缺，在针对性和可操作性上还有较大的不足。

第四，现有的信息网络安全立法远远跟不上信息网络技术发展的需要，过于笼统，部分领域的制度建设进程明显滞后。很多领域存在立法空白。[14]

三、维护信息网络安全的其他问题

在维护信息网络安全的工作中，尤其需要抓住保障网络安全的几个关键主体，例如网络服务提供商、网络认证机构、网络基础设施提供者。总的来讲，相关法律和政策如果能够使网络服务提供商和网络认证机构以及网吧等都在合法有序地开展活动，信息网络安全就有了基本的保障。

（一）网络主体的法律责任问题

1.网络服务商

网络服务商包括主机服务提供商、接入服务提供商、搜索工具提供商、即时通信服务商等。网络服务商如何为其存储和发送非法信息承担各类法律责任，是信息网络安全立法必须回答的关键问题。“避风港”这一制度是目前各国立法中，对于网络服务商这样一个综合信息平台的法律责任问题采取的一项比较合理、有效的民事法律责任制度。[15]

2.认证机构

数字签名机构和认证机构是电子商务的基石，它们的独立性和专业能力可以保证电子商务活动的安全。而且它们的作用不仅仅是发挥在电子商务之中，在电子政务、电子邮件及其他一切的网络传输和交易中都具有重要的作用。可以认为，凡是需要文件传输和参与方提供身份证明的情况下，都需要数字签名和认证。因此，对数字签名及相关认证机构的法律规范对网络安全的重要性就显而易见了。

3.网吧等网络接入服务提供者

网吧是广义的网络基础设施经营商之一。网络服务商等主要提供内容服务，而网吧等网络基础设施经营商则主要提供接入网络的设备服务。在互联网发展的初期，网吧对于普及网络曾经起到了很大的作用。目前，对于我国的很多网民而言，网吧依然是他们享受信息时代的便利窗口。可是，网吧在迅速发展的同时也对网络安全构成了直接的威胁。首先，许多无证无照或者证照过期的“黑网吧”在网吧中占有一定的比例，这些网吧的存在不仅自身的消防等方面的安全状况比较严峻，更导致了互联网服务市场的混乱。其次，网络赌博、网络暴力、网络色情等问题在网吧经营中表现尤为明显，成为影响平安建设的不稳定因素。因此，网吧安全管理的专项治理工作就十分必要。目前，该项工作主要由文化部牵头，工商、公安等部门协助。法律依据是信息产业部颁布的《互联网上网服务营业场所管理条例》。依据这个规定，网吧业主要开业经营必须首先取得文化部门核发的《网络文化经营许可证》，通信部门核发的《经营许可证》以及公安部门核发的《信息安全合格证》，三证都齐全才能取得工商营业执照，这就是网吧经营的“三证一照”。国家希望为网吧产业的持续健康发展以及保护信息网络安全创造一个良好的政策环境。

但是目前，我国有关网吧治理仍然存在着突出的问题：一是执法力量建设严重滞后，人员和装备不足。二是有执法权的机构太多，导致力量分散。公安机关主管治安问题，文化部门只管扫黄打非，工商行政管理部门只抓无照经营。因此，建议在河南成立全省性的互联网上网服务营业场所专项整治工作协调小组，形成齐抓共管、群防群治的综合治理机制。要进一步统一思想，落实措施，做好下一步的网吧专项整治工作。坚决把网吧专项整治工作抓深、抓实、抓出成效。

（二）网络实名制问题

实际上，对于网络服务商、网吧、网络认证机构等提供各类与网络相关服务的经营者，他们在现实社会中的法人、自然人身份早有相关的制度规定需要实名登记注册，并且规定了其营业执照等相关证照的网络公示制度，这是典型的网络实名制。但是，笔者认为，网络实名制也仅仅局限于经营者，而不能及于普通用户。

1.普通上网的实名制问题

近日，杭州颁布了《杭州市计算机信息网络安全保护管理条例》，其中关于网络实名制的规定引发了社会的广泛争议。笔者认为，这部法规存在很大缺陷，杭州的网络实名制很可能像当初北京的网店新规一样遭遇尴尬甚至无疾而终。

首先，《条例》有关网络实名制的规定与不少上位法律的条文存在着明显冲突。一是BBS和博客上的不少内容均属于著作权法意义上的作品。而根据我国著作权法的规定，作者享有署名权。署名权的内容包括作者可以选择在作品上署名，也可以不署名；既可以署真实姓名，也可以署笔名。二是根据《宪法》第35条的规定，中华人民共和国公民享有言论自由。按照我国及世界通行的法律原则，下位法不得违反上位法，否则没有法律效力。可是作为地方人大颁布的地方性法规，《条例》显然与《宪法》、《著作权法》等位阶更高的法律存在冲突，其合法性值得质疑。

其次，从《条例》自身来看，也存在不少问题。第一是概念界定不清，例如“谣言”、“恶意”、“扰乱社会秩序、破坏社会稳定”、“捏造事实诽谤他人”等直接关系到是否要进行处罚或处理的重要概念，都没有细化的界定，这赋予了相关行政部门过大的自由裁量权，不利于保护公民的言论自由。第二是强调义务，忽视救济。整部法规，尽是对被监管对象的义务性设定，如及时报告、如实提供、应当如何、不得如何等，却没有规定监管部门应当承担的义务。另外，当公民对监管部门的处罚有异议时，如何提起复议和申诉，也是一片空白。

第三，在操作层面，互联网的跨地域性的特点也使得《条例》很难彻底执行。根据《条例》规定：“杭州市行政区域内的计算机信息网络安全保护与管理活动，适用本条例。”由于我国其他省市并没有要求实施互联网实名制，因此用户完全可以通过其他地区的互联网服务提供商实现匿名注册，使得杭州的网络实名制形同虚设。

2.手机上网的实名制问题

第一，手机用户。推行手机实名制将会使每个用户的姓名、身份证号、家庭住址、出生日期等大量个人信息都被储存进电信企业的信息系统。而在我国，隐私权保护的相关法律法规并不完善，电信企业靠出售将用户信息牟利的丑闻时有发生。在这种情况下，广大用户有理由怀疑手机实名制的登记资料将会再次成为某些企业谋取不当利益的工具。

第二，电信运营商。目前电信运营商出售号码主要有三种渠道。[16]各运营商的手机卡销售有很大部分都是通过分散的代办点进行的。如果实名制实行购买即须登记的办法，由于放号量与代办点的收入直接相关，其登记审核不可能很严格。而在多家电信运营商进行竞争的市场情况下，如果所有运营商都能坚持统一的把关尺度还好，一旦其中一家松动了实名登记的审核标准，势必会引起连锁反应，导致登记资料的真实性大打折扣。

第三，垃圾信息发送者。当前，短信诈骗确实成泛滥之势，但相关职能部门的作为却很有限。原因不在于是否实名，而在于这类诈骗违法成本太小，而追查成本又过高。有道是有心守法的好管，蓄意违法的难防。对于那些本来就打算用匿名手机进行非法活动的人来说，他们绝对不会因为手机实名制而裹足不前，使用假证件买卡开号将是他们的必然选择。

可见，相关的利益主体当前都缺乏足够的动力去遵行严格的手机实名制。手机实名制在治理“信骚扰”和“信诈骗”方面的作用是相当有限的，强制推行手机实名制的结果很可能是大幅增加社会运行成本，却依然治标不治本。此外，应该充分重视发挥行业协会、民间自治、道德规范等组织和资源在维护信息网络安全中的积极作用。国外，无论是发达国家还是发展中国家，在规范与管理信息网络安全方面，都十分重视发挥民间组织尤其是行业组织的作用。对在信息网络的虚拟社区等空间中网民和行业协会等自发形成的规则、程序、标准、秩序等，也应当得到国家立法和行政执法的充分尊重。