随着信息技术的渗透,医疗、金融、交通等各领域对网络的依存度都显著提升,网络安全对国家安全、社会稳定、产业发展和公民隐私越来越重要。目前,我国研究网络运营者安全保护义务一般都围绕《侵权责任法》展开,这显然与社会现实存在着巨大差距,也无法有效保障网络安全。
究其原因,一方面,目前学者对网络运营者安全保护义务的研究都是以《侵权责任法》第三十六条的“通知—删除”义务以及与之相关的侵权内容审查义务为主要内容。这种理解片面缩小了网络运营者安全保护义务的应然范围。另一方面,鉴于《侵权责任法》并非专门的网络安全治理法律,其中对网络运营者安全保护义务的规定过于笼统,对现实中网络安全保护义务没有更详细的规定,也无法为执法机关和网络运营者提供充实的法律依据。除此之外,《侵权责任法》主要关注网络运营者在经营过程中对私主体负有的合理注意义务,因而其中的安全保护义务就自然无法涵盖公共利益的安全需求。因此,仅依据《侵权责任法》并不能有效解决网络安全问题。《网络安全法》的出现,以网络安全领域基本法的权威地位,将有效解决上述问题。
首先,从网络运营者安全保护义务的内容来看,《网络安全法》第二十一条对网络运营者的安全义务做了一般性规定,其中较早款是人员安全,第二款和第三款是技术管理保障义务,第四款是数据安全,第五款是兜底条款。该条虽未能涵盖所有网络运营者的安全保护义务,但是在第五款设定兜底条款,为未来根据发展增加新的义务提供出口,同时还可以避免技术进步对法律稳定性产生的影响。
其次,从严格程度来说,《网络安全法》对网络运营者的安全义务提出了更高的要求。第二十一条规定,网络运营者必须采取技术措施对网络运行状态、网络安全事件进行检测和记录,且相关网络日志留存时间不少于六个月。同时,在有关部门依法对网络运营者实施监督检查时,网络运营者必须予以配合。基于国家安全与刑事调查的需求,执法机构在法定程序内要求网络运营者进行相关配合,这也是网络运营者安全保护义务中维护国家安全的一种具体表现。
较后,从法条之间的关系来看,第二十一条是网络运营者安全保护义务的一般性规定,在《网络安全法》网络安全保护义务的所有规定中具有总领地位,是其他条款的基础。《网络安全法》在第四十一条、第四十二条、第四十三条、第四十四条、第四十五条规定了“个人信息保护”;在第四十六条、第四十七条、第四十八条规定了“内容管理”。这些都是对第二十一条的进一步细化和补充,使得网络运营者安全保护义务更加完善和健全。
网络运营者作为网络节点的控制者,作为国家网络安全中关键角色,对其课以严格的安全保护义务是非常必要。《网络安全法》作为网络安全领域的基本法,详实而全面地设定了网络运营者的安全保护义务,及时弥补了现有法律中相关规定的空白与不足,使得网络安全法律体系更加科学与完善,也保证了相关法律预设的效果,必将为我国网络安全保障产生重大积极作用。(西安交通大学信息安全法律研究中心 冯潇洒)
