近日，广东省法学会信息通信法学研究会举办了“信息安全的法制建设”学术论坛，来自政府部门、高校和企业的专家学者针对理论与实务上的热点问题进行研讨，就促进信息通信相关产业的规范发展、提高网络信息安全的法制建设水平提出了以下三个方面的意见、建议。

        一、《网络安全法》（草案）的修改意见、建议

        今年6月，《中华人民共和国网络安全法（草案）》（以下简称《草案》）经由十二届全国人大常委会第十五次会议初次审议，并于7月6日起公开向全社会征求意见。此草案虽不乏亮点却也存在有待完善及需要进一步论证之处。

        第一，明确界定网络安全的核心概念。《草案》对于网络安全的定义侧重于从技术层面上来理解，强调的是网络空间即网络硬件、网络系统软件及网络系统信息的安全性。从信息网络的运行来看，网络空间与网络信息是一个不可分离的系统，网络安全的定义显然应包括网络空间安全与网络信息安全两个层面，下定义时有必要将网络安全的外延予以明确，这样可以统一认识，避免适用上的模糊。

        第二，明确目标定位，规范具体内容。紧紧围绕维护国家的网络空间主权和公共安全、公共重大利益，而非过多地介入关于网络信息方面的企业与企业、企业与个人、个人与个人的平等主体之间的法律关系当中，避免胡子眉毛一把抓。

        《草案》的修订可以在公法内容上做加法，在私法内容上做减法。一方面可以突出本法维护网络安全，推动网络安全与信息化建设的立法目的；另一方面又适应网络民商事法律关系发展变化迅捷的要求，把相关立法内容留待《电子商务法》、《个人信息保护法》等法律来解决。

        第三，立法目标的价值抉择与利益平衡问题。在“安全与发展并重”的二元价值下，我国网络安全中的安全价值不应是一个绝对化的概念，而应是“合理安全”的概念。网络安全立法应保持法律的适度“谦抑性”，即立法一方面规范信息技术和网络活动，限制和预防技术的滥用，另一方面应当为信息技术的发展预留适当的空间，防止过度控制技术，压抑网络活动的创造性。立法的保护尺度应适度考虑技术研发和应用的实际情况，以及不同主体的网络安全与发展利益，合理设计和配置权利（力）与义务，实现国家利益、社会公共利益、公民、法人和其他组织等主体间利益关系的平衡。与《草案》的立法目标联系起来看，《草案》不宜对相关法律主体增加过多的、过于绝对的义务，应当注重法律与行业自律等非正式社会规范体系之间的配合分工，发挥其他社会规范的作用。

        第四，立法对策的现实性与可行性的问题。立法要发挥效用，需要在体制、战略规划与规制设计上高度协调，在治理网络安全问题上需要建立政府与民间合作的安全防御与控制机制。另外，《草案》中的规则设计上还存在诸多脱离现实和模糊之处，如第十七条对网络运营者的安全保护义务的规定缺乏可操作性，第十八条中“恶意程序”的定义不清、第十九条“网络关键设备”的认定标准，第三十七条等多个条文关于要求义务主体一旦“发现”网络风险或违法信息要及时采取措施的义务标准过于主观化等等。

        二、互联网企业及个人维护网络信息安全的建议

        第一，网络信息泄露的防护问题。当前信息泄露事件的频发，网络环境中也出现了“拖库”、“撞库”与“洗库”等窃取网络用户信息的违法行为。目前互联网上的黑色产业链已经非常完整，一些黑客在非法获得用户信息，获取和变现资金后，再将用户信息出售给下游团伙。窃取用户信息的手段通常是尝试性地将用户的登录名和密码在不同的网站登录，登录成功后获取用户更多的信息，由此进入一个周而复始的循环。黑客恰是利用了多数用户经常为方便而在不同的网站使用相同的用户名和密码注册账号的习惯窃取信息。因此，为维护网络信息安全，除了网络服务企业需要加强其安全防护能力之外，普通的网民也应该提升保护信息安全的意识和能力。如在不同的网站应使用不同的用户名和密码，以防止黑客恶意盗取个人信息。另外，目前的《草案》中尚未明确行业安全防护的标准，仍需要在法律规则上予以完善。

        第二，网络平台的代码治理问题。如国内的“滴滴打车”与美国的“优步”等被广泛使用的打车网络平台，为解决专车软件刷单“作弊”问题频发的管理漏洞，往往采用代码治理的方式打击这种“作弊”行为。代码治理有监控与执行两种模式，可以实现覆盖监控，网上行为都能被记载。同时，代码治理执行的高效性和自动性也使其能排除人的主观恣意，网络平台能以有限的人力应对巨大的管理压力。但代码治理也面临着几个方面的困难：1.平台系统获取证据的真实性易被质疑；2.处理依据的公开性要求与反作弊措施的保密性的冲突；3.用户避规严重。针对这些问题，专家学者提出了以下三个建议：首先，为解决证据的真实性问题，可以考虑由第三方对系统的可靠性进行鉴定、认证，如公证；其次，因反作弊程序存在失误的可能性，因此应赋予用户可靠的投诉渠道，供被处理的用户投诉、申辩的机会；最后，由于代码治理维系着网络管理的基本秩序，监管部门和司法机关应尊重网络平台代码治理的措施和结果。

        三、进一步完善我国个人信息的立法保护建议

        首先，在大数据时代下，我国公民的网络隐私保护面临着巨大的挑战，大量的网络信息中包含着个人隐私，导致隐私和个人信息的权利边界难以清晰地划分。网络隐私的保护不仅仅涉及隐私权，还与个人信息权有着密切关联。一般意义上所谈论的网络隐私，既包括了传统隐私的内容，也包括通过网络收集、利用个人信息等个人信息权所关注的问题，而这些内容既有隐私权所关注的，亦有个人信息权所涵盖的。学者指出，为适应科技的进步并满足社会生活的需要，更好地保护公民个人信息和隐私安全，必须对隐私权和个人信息权予以区分。

        其次，面对网络隐私的保护问题，传统的法律救济已经不能适应时代的需要。虽然有近40部法律、30余部法规，以及近200部规章涉及个人信息保护，但其中大多数法律法规都是孤立、零散的，该领域缺乏专门性、整体性、位阶高的立法。专家学者认为，基于个人信息权是一项独立的权利，有必要对此进行独立立法，至于如何进行立法，则应结合我国立法现状以及国际上对个人信息保护方面的趋势具体分析和探索。

        围绕个人信息立法的主题，与会人员着重介绍了国内外的前沿理论与实践探索，如美国加州的未成年人“橡皮擦”法案和欧盟法院提出的“被遗忘权”等，并从中国国情出发进行了富有成效的比较法探讨。