环境政治已经成为传统政治之外新的拓展领域。
张庆福、王文彤在1995年撰文,认为制宪权与修宪权是同一性质的国家权力,均由全国人大掌握。成文宪法制是否允许一个制宪机关存在,这是至关重要的问题。
既然采用成文宪法,就不宜再同时维持一个具有最高权威的国家机关,甚至连常在的制宪权也应当受到限制。因此,制宪是指对实定宪法的创造、改变或废止。施密特的实定宪法理论对成文宪法与政治实践的关系具有较强的解释力,它很准确地揭示了维护成文宪法最高法律效力的要点。[16]同注[10],第133-134页。制宪机关的任务,是要表达能正确反映制宪权意志的实定宪法。
[47]在1954年12月全国人大常委会制定的《逮捕拘留条例》第7条,[48]其规定的许可期限与宪法草案的规定基本一致。张友渔认为,全国人大是我国的制宪机关。我国《网络安全法》立足强化政府管制作用,确立了我国网络安全管制中的两大特殊权力:监测预警权与应急处置权,赋予国家和政府在网络应急事项上的事先管理、事中管理的较大行动力。
欧盟指令还特别鼓励小微企业(工人在10~50人之间,且年营业额或资产总额在200万~1000万欧元之间为小型,之下为微型)的发展,将之排除在监管之外,明令对于数字服务提供者的网络安全监管义务不适用于小微企业。《网络安全法》管制规范的实施,无论是其机构管制权力或职责,还是关于运营者的法定义务规定,还是包括用户在内的其他主体的对应义务或特殊保障权利,首先应该合乎处于法律体系最高位置的目的,目的构成一部法律的基本限定。这里,产生疑虑的原因,既有管制理论上的困惑,更有现实中对于政府可能借用安全问题而擅用扩权的畏惧。新的网络系统为迎合商业化的需要,不断地在应用层加入各种控制结构。
然而,对于这样一部强监管法律,从合理而有效实施的角度而言,必须特别注意其实施中的边界问题,特别是其中国家管制权力的界限问题。例如,来自美国网络信息技术机构的代表和网络政治家就激烈反对政府管制论,美国信息技术协会主席Haris Miler、TechNet的总裁 Rick White等呼吁,在所谓网络安全问题上,过多的政府规制会对网络企业通过革新提升网络安全能力带来阻碍或限制,或者影响其灵活性。
原则包括尊重维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展。最终支持加强政府管制的观点,在世界范围推动了一轮网络安全立法,主要网络国家包括日本、美国、欧盟等,2014年之后纷纷做出立法决断,纷纷出台专门的网络安全法,尽管架构和范围不尽相同,但都呈现了一种强化政府管制权力的趋势。即应当遵循合法、正当、必要、公开、明示、用户同意的原则和要求,禁止超出服务范围收集、违反法律或者约定收集或使用,应当依照法律和约定处理其保存的信息。包括:网络安全事故风险评估和应急工作机制、政府在网络安全事故风险增大时的应对机制、建立网络安全事故发生应急处理机制。
我国2017年《网络安全法》也是在这股浪潮中应运而生,旨在通过确立强大的政府管制手段,以便应对当下非常复杂、非常重要的网络安全治理需要。这部法律得到有效实施的前提,在于我们能否很好地理解其确立的内在基础所在以及有关网络安全管制架构的内涵和界限。最后,设定管理机构和人员的尽职管理的保障义务。包括:任何组织不得以窃取或其他非法方式获得信息。
(第三十一条)(2)明确专门机构负责规划和监管。这一定义与我们见到的欧盟指令(NIS Directive)的相关界定极为近似,应该说这是一种比较可观、容易把握的定义。
第四十九条规定网络运营者应当设置网络信息安全投诉、举报机制(包括建立制度公布信息、及时受理和处理等要求,这既适用于用户信息保护,也适用于有害信息管制。(第三十七条)(8)实行运营者安全年检和报告。
我国上述网络安全预测预警和应急处置的权力,非常强大。人们虽然相信网络安全重要,但是对于是否需要专门赋予政府一套网络安全管制权力,却一直存在疑虑,担心一旦允许国家以网络安全为名建立专门的管制,把握不好可能会变成一种国家对于网络空间的任性管理。此外,具体规范之间发生冲突时也存在适用中基于目的的利益衡量问题。网络安全法作为一部法律,其所谓的网络安全,是要从法律体系出发追求法律意义的,所以应该进一步地限定为与法律利益具有相关性,即与法律利益保护结合起来,是一种涉及法律利益保护目标的网络安全。但是,如果从具体的原因来看,网络安全问题则存在区分,这些作为事实形态而表现的网络安全问题,既可以是纯技术的安全事实,例如基于技术原因而产生的各种网络漏洞、网络缺陷,也可以是人为的安全事实,从黑客入侵、爬虫搜索、病毒攻击(如蠕虫病毒、木马病毒)等,到通过网络或介入网络,针对他人的财产、人身进行攻击、侵害甚至犯罪。禁止未经同意向他人提供收集信息(应当采取技术等必要措施确保信息保全,发生泄露、毁损、丢失的信息安全事件应当立即补救并告知用户和向主管机构报告。
《网络安全法》第 77条对网络和网络安全进行了法律界定,意在避免法律适用的模糊性。其次,建立网络安全应急处置机制。
这些观点,有的是从网络活动的价值追求和利益保护的角度,有的是从管制技术效用的角度,有的则是从其他的正当化辨识角度,支持通过立法建立政府主导的网络安全管制体系。第三十一条对关键信息基础设施采取了列举加限定的办法,为公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,并且授权关键信息基础设施的具体范围和安全保护办法由国务院制定。
不得非法出售或提供个人信息。具体到网络安全管制上,每一具体权力的行使,或者法定义务的执行,必须依据规范、依据所明确确立的具体条件和程序行为。
《网络安全法》同时也规定了一般管理,主要体现为网络运行管理(重点为关键信息基础设施管理)、网络信息安全、监测预警与应急处置等内容。我国《网络安全法》赋予的此类权力,包括:(1)国家具有基于促进和支持网络安全需要的标准化的权力。《网络安全法》第4条规定:国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。这里只简单阐述《网络安全法》本身的目的和体系限定要求。
五、结 论 我国刚刚出台的《网络安全法》肩负美好愿望,旨在有效应对当今复杂多变的网络安全问题,进而匡扶网络空间。但是,我国《网络安全法》对于网络空间技术架构特殊考量还是非常不够,许多地方点到为止而过于粗略,许多方面甚至没有顾及,总体上比较依赖国家单方面的管制力,管制直接且比较刚性,因此在实践中可以预见其实施中必定会遭遇与有关网络技术架构、互联网商业利益协调的复杂性和困难性。
首先,建立网络安全预测预警机制。第四十八条规定,禁止利用应用软件或设置恶意程序发送禁止信息。
如果从规范内容来看,《网络安全法》范围涉及网络主体、管理机制、行为方式、保护范围、义务要求、责任、人才培养等,如果从规范的效果来看,既有助于维护网络秩序,也维护了国家、社会、个人以及法人和其他组织的合法利益。比如,美国《网络安全法》的重点就是对信息安全共享机制的确立,将多年来争议很多的问题立法明确下来。
二是网络安全对于美国应急反应等安全系统和国家能源设施等关键系统来说,已经至关重要。(三)《网络安全法》管制的架构事项 《网络安全法》在管制事项上布局绵密,建立了丰富的管制渠道,授予政府和有关方面广泛而刚性的权力,构成了一个形式庞大的权力集群。不过,前两项保全规定不是绝对的,考虑到数据产业的发展,立法为合理加工数据和合法数据交易留下余地,第42条第 1款最后一句立法表述为但是,经过处理无法识别特定个人且不能复原的除外。经国务院决定或批准,为维护国家安全和社会公共利益,基于处置突发社会安全事件的需要,可以在特定区域对网络通讯采取限制等临时措施,这相当于一种准司法权力。
体现为通过网络安全的标准化建设,促进网络安全。5.强化对未成年人特别保护 就特殊利益的网络安全,应建立特别的保护机制和规则。
比如,美国政府克林顿时期曾经就解密晶片使用加密技术同时应当为政府预留后门问题,最早打算通过直接管制的方式达成,但是在遇到产业界和理论界广泛质疑之后,明智地转向更加间接也更具有优势的市场策略方案。(第二十五条)(7)国家保障开展网络安全认证、检测、风险评估等活动,向社会发布网络安全信息,应当依法进行。
即原则构成法律体系中的内在价值体系,对于法律外在体系具有限制功能。许多国家包括欧盟、美国也没有像我国《网络安全法》第二十八条那样宽泛规定一种为依法维护国家安全和犯罪侦查而提供技术支持和协助的义务。