您好,欢迎光临北大公法网! 中文版|ENGLISH|老网站入口

联系我们

北京大学宪法与行政法研究中心
地址:北京市海淀区颐和园路5号北京大学法学院四合院
电话:86-10-62760063
传真:86-10-62760063
E-mail:pkupubliclaw@126.com
您当前的位置:首页 > 理论前沿

论行政指导在网络安全管理中的运用

作者:方世荣   点击量:798

论行政指导在网络安全管理中的运用

方世荣,谭冰霖   
《中国法学》2013年第7

 

      摘要 广大网络使用者基于个体的松散性、信息赤字和信息不对称、专业技术问题以及其他原因,在网络安全意识和防范能力方面相对薄弱,亟需网络管理部门给予充分、必要的指导,而目前我国的网络安全管理还缺乏对行政指导的有效运用。行政指导对调动网络使用者参与维护网络安全具有较强的针对性和适应性,网络管理部门应当充分发挥这一治理手段的优势,大量运用警示型指导、激励型指导、技术型指导、协助型指导、组织型指导、抑制型指导等多样化的方法来帮助、引导网络使用者进行安全防范,以形成网络管理部门与网络使用者的良性互动。行政指导制度应当成为我国网络安全立法中的一项重要内容。

    关键词 网络安全;网络安全立法;行政指导

 

  在现实的网络生活中,当我们开启任何一个网页,通常弹出的是各种商业广告、网页游戏甚至隐含欺骗内容的信息,却几乎未见有来自网络管理部门的安全提示,这显然反映了广大网络使用者十分缺乏网络安全的指导和帮助。

  随着互联网的高速发展,网络安全问题也日益突显。据统计,2012年我国有84.8%的网民遇到过安全事件,总人数高达4.56亿,包括个人资料泄露、网购支付不安全等。其中77.7%遭受了不同形式的损失,产生经济损失的占7.7%,涉及直接经济损失达194亿元。[1]这些网络安全问题的产生,与网络使用者缺乏安全意识和防范能力有重要关系。广大网络使用者基于个体的松散性、信息不对称以及专业技术水平有限等原因,网络安全意识和防范能力相对薄弱。而目前我国网络安全管理的重点对象是网络运营商、信息服务提供商以及制造网络安全风险者,在管理手段上则以审批、备案、罚款、吊销许可证、关闭网站乃至刑事制裁等管制方式为主,但对广大网络使用者却没有充分提供安全防范的指导和帮助,更没有形成网络管理者与使用者的良性互动。对此,我国的网络安全管理应当建立健全网络安全行政指导制度,并确立为网络安全立法中的一个重要内容。本文试就此提出初步探讨。

  一、网络安全的内涵

  目前理论界一般将网络安全的界定为:“网络系统的硬件、软件及其系统中的数据受到保护,不因偶然或者恶意的原因而遭到破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不中断”[2],或者“网络系统保持正常运行的状态,不因偶然的或者恶意的原因导致相关硬软件被破坏、数据被窃取”[3]等。总体上讲,这些界定是从技术层面对网络安全基本内涵的揭示。从法学的角度思考,仅仅就技术层面观察保障网络安全仍是不够的,网络安全在根本上还涉及特定网络使用主体的安全利益,由于各类主体的网络安全利益不尽相同,网络安全也就要包括更丰富的内容。一般来说,网络使用主体大体上可以分为公民个体、企业法人和国家机关(包括行政机关、党政机关以及其他公共机构)等三大类。这三类主体既有共性的网络安全,也各自有着特殊的网络安全。共性的网络安全主要是技术层面的安全,如在使用网络的过程中不因网络病毒或其他网络侵袭而造成硬件和软件系统的崩溃、瘫痪而影响计算机的正常使用和网络畅通。对此安全问题任何网络使用者都同样面临。除此之外,上述不同主体也有各自特殊的网络安全利益问题。

  公民个人的特殊网络安全利益主要是三种:(1)个人信息安全。即公民的个人信息不因偶然或恶意的原因被窃取、泄漏而遭到不当利用。个人信息包括公民个人的身份信息、生活隐私、网上账户和密码等。一旦个人信息安全发生问题,便可能导致公民的隐私权、财产权受到损害,如Cookies[4]泄漏可能会造成个人的浏览历史被窥视或网上账户丢失等。(2)网络生活安宁的安全。即公民不因接入或使用网络而使其享有的正常生活受到非法骚扰、干涉或破坏,如上网时收到垃圾邮件、被强迫弹出不愿浏览的网页等。“生活安宁是一种重要的人格权,它要求他人不得以任何手段、形式来破坏其安宁生活的环境、秩序甚至于已有习惯”[5],公民的生活安宁受法律保护,我国《治安管理处罚法》42条规定“多次发送淫秽、侮辱、恐吓或者其他信息干扰他人正常生活的”属于违反治安管理秩序的行为。网络是现代人生活的重要领域,享有安宁的网络生活自然也当成为网络安全的组成部分。(3)网络言行安全。一是避免受到网络有害信息误导而发生不安全的后果。如听信网上诈骗信息导致上当受骗并蒙受人身、财产损失,或受网上黄、赌、毒不法信息的诱惑;二是避免成为网络风险的制造者,防范在网络上作出有违法纪和社会公德的言行而陷入承担相应责任的困境。

  企业法人和国家机关的特殊网络安全利益也包含单位信息安全、网络工作正常秩序安全(如遭遇恶意访问或注册造成服务器堵塞而影响正常的电子政务)和网络言行安全(如发布不准确、不真实的信息导致商务诚信和政务诚信下降等)。同时,企业法人和国家机关还有区别于公民、更为重要的安全利益。企业法人的特殊网络安全利益的重点是商业秘密安全,即企业的市场情报、客户资料、营销方案、财务信息等商业秘密不因泄漏或被窃取导致企业的经济利益和经营利益受损。如著名人力资源公司纳杰就曾被他人潜入公司内部QQ群盗取大量招聘业务信息,造成公司损失过百万。[6]国家机关的特殊网络安全利益的重点是:(1)国防安全。即国家不因遭受敌对势力的网络信息武器攻击而导致国防利益受损。如20109月美国和以色列两国联合研制的名为“震网”的网络病毒攻击了伊朗,导致该国上千台离心机报废,并使其核项目倒退数年。[7]2)国家秘密安全。即国家机密和重要情报不因偶然或故意的网络原因遭到泄漏和窃取。2010年震惊全球的“维基解密”即是一起典型的国家秘密安全事件,导致多国外交秘密泄露。[8]

  由此,网络安全不仅仅是一种技术安全,它还进而延伸到网络使用者更深层次的特殊网络利益安全问题。不同的网络使用者在网络技术安全上有共性要求,而在网络利益安全上则有不同需求和特点,这就需要网络管理部门运用多样化的指导来提供帮助。

  二、行政指导对网络安全管理的针对性

  对于网络安全管理来讲,行政指导基于其灵活简便和信息提供等优势能够发挥独特的安全保障作用,因而具有很强的针对性,这主要表现在以下三个方面:

  1.对弥补单一管制模式不足的针对性

  目前我国对网络安全保障主要依靠管制方式:一是对网络服务提供和运营的许可准入。如《互联网信息服务管理办法》7条规定,“从事经营性互联网信息服务,应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门申请办理互联网信息服务增值电信业务经营许可证。”二是对危害网络安全行为的行政处罚。如《全国人大常委会关于加强网络信息保护的决定》第11条规定,“对有违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚。”三是对严重危害网络安全犯罪行为的刑事制裁。如《刑法》286条第3款规定,“故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚(处五年以下有期徒刑或者拘役)。”诚然,管制方式对于保障网络安全是具有必要性的,但其局限性也显而易见,需要行政指导来加以弥补:(1)从管理对象上看,网络安全的保障是一个系统工程,既需要从上游对网络服务提供商、运营商以及造谣者、黑客、网络骗子等进行规范和控制,也有赖于下游网络使用者的自我积极防范。管制由其对象的有限性,尚未能对网络使用者给予得力的防御帮助。因此,单一依靠管制将不能构成网络安全管理的完整体系。而行政指导可以从另一个角度形成重要补充。行政指导主要适用于网络使用者,能够指导网络使用者自主预防和应对安全风险,还可以引导其积极自律,避免成为网络安全风险的制造者,从而有助于配合管制手段构建更加完整的网络安全管理链条。(2)从管制过程上看,许可和处罚都有阶段节点上的局限。行政许可是在事前加以审查限制,这虽然能够通过市场准入机制对网络安全风险进行一定程度的过滤,但它只是作用于准入环节;行政处罚、刑事制裁则是在网络安全损害法律事实发生的事后适用,它对已发生的网络安全风险实际上是一种消极防范。在事前准入与事后惩罚之间存有一个巨大的管理空间,行政指导作为一种灵活的管理手段,可以在网络管理的全过程依职权积极发动,这就能充分运用于这个管理空间,以调动广大网络使用者积极参与网络安全的防范和监管。(3)从管制环境上看,管制方式在网络环境下的有效适用面临一定障碍。因为网络具有开放性,任何个人和组织都可以自由接入和使用,正如人们常说的“互联网上没人知道你是一条狗”,行为主体通常具有虚拟性和隐蔽性,这些因素毫无疑问会增加确定和查处安全危害来源的难度。如当前电子商务领域普遍存在经营主体不进行工商登记、备案或不向客户披露真实身份的现象,导致工商管理部门因掌握不到真实情况而无法确定具体管制对象,对虚假交易、交易欺诈、假冒伪劣等违法行为也难以取证和处罚。[9]在这种情况下,运用行政指导增强广大网络使用者的安全意识和防范能力,可以在积极意义上最大限度地减少网络安全危害后果的发生。

  2.对网络信息赤字和信息不对称问题的针对性

  目前网络安全事件频发的一个重要症结,是网络中存在严重的信息赤字和信息不对称问题,即广大网络使用者缺乏必要的安全知识或者在信息占有的对比中处于劣势地位。这表现为:许多网络使用者文化水平有限,截至2012年,我国网民中拥有大学本科及以上学历者还不足12%[10]这会导致部分网络使用者对网络安全风险缺乏必要的辨别和应对能力。有调查表明,过半网民表示对网络安全领域认知模糊或缺乏安全知识。[11]同时,现代社会的高度分工使网络专业技术人员与非专业技术人员之间的专业知识差异巨大,普通网络使用者不可能系统掌握诸如查杀病毒、数据保护等专门知识技能。而且在当今信息爆炸时代,搜集和掌握网络安全知识信息将花费不少的时间和精力,从经济学角度讲,只有当网络使用者权衡认为掌握网络安全知识信息所能获得的安全利益大于付出的成本时,他们才愿意搜集和掌握网络安全知识信息。然而,网络安全事件对于个体来说毕竟不属于常态事件,在大部分网络安全知识信息收集活动中,个体不能期待其获得的利益超过所付出的机会成本,因而常常出现逆向选择,如遇到网络安全事件时有高达47.5%的网络使用者选择不做任何处理。[12]此外,一些网络运营主体基于维护竞争优势甚至谋取非法利益对网络信息实施垄断也是造成信息不对称的重要因素。而行政指导是“在信息、知识、自觉等方面都处于优势地位的行政机关与处于劣势地位者的国民之间成立的关系”[13],其重要功能在于提供知识技术等信息以指引相对人的行为。针对上述状况,行政指导可以为广大网络使用者提供全面准确、及时便捷的公共信息服务,并极大减少信息获取成本和人为垄断现象,从而能有力地缓解或消除信息赤字和信息不对称,从而对保障网络安全发挥积极作用。

  3.对网络适用环境的针对性

  对于行政指导而言,网络环境提供了一个十分有利的施展平台。这体现在:(1)指导易于传播。截至20126月底,我国总体网民数量已达5.38亿,手机网民数量为4.2亿,互联网普及率为39.9%[14]这为行政指导提供了极其广泛的受众基础和传播空间,而且网络媒体具有传播快速的特点,尤其是在当下自媒体时代,微博和社交网络等新兴媒介方式更使得指导内容的扩散获得了空前强劲的传播动力。(2)指导易于接受。相比一般口头或书面形式的行政指导,依托网络平台实施的指导因其反复适用和高频出现(如自动弹窗、网页公告等),能对社会保持着较高的熟悉程度和感知程度。根据心理学上的“可得性启发”(availability heuristic)原理[15],熟悉的风险较之不熟悉的风险、显眼的风险较之不显眼的风险会被认为更易发生并受到重视。[16]从影响机制上看,借助网络平台实施的行政指导更易获得广大网络使用者的关注、重视和接受。(3)时空范围无限。网络平台的无限性使得行政指导在一定意义上突破了时空的局限,任何网络使用者可能同时在任何地点通过接入网络获得行政指导。依靠自动化信息技术和计算机软件的支持,行政指导自身亦摆脱了工作时间、地点的限制,网络管理部门可以根据管理需要随时随地上网实施行政指导。(4)灵活简便,成本低廉。网络平台本身具有很强的可塑性,可以针对不同的管理对象和安全风险灵活调整指导方法,且实际运用中可以省略合并传统指导的步骤、阶段,具有简便易行的优点。同时,通过网络平台实施指导所耗费的人力、物力、财力都较少,大大节约了行政成本。

  三、网络安全行政指导的运用方法

  基于网络使用者的共同的技术安全和不同的特殊安全利益,网络管理部门必须充分运用各类指导资源、创新各种指导方法来有针对性地实施。对此,可以充分运用以下几种方法:

  1.技术型指导

  技术型指导是指网络管理部门运用其掌握的知识信息资源对网络使用者提供行为指引和技术支持,以弥补网络使用者信息赤字和信息不对称的指导方法。技术型指导适用于所有网络使用者的技术安全保障,其中重点是专业技术条件以及水平、能力相对较弱的公民个体和企业法人。当然,国家机关在某些情况下也需要给予网络安全指导。因为,网络安全维护具有高度的专业化、技术化要求,国家机关虽然较之于公民、企业在安全防御措施(如防火墙、数据隔离等)方面有更好的条件,但国家机关使用网络毕竟也是由具体的工作人员个人来操作的,他们基于个人能力不足、警惕意识薄弱等因素,在各种防不胜防的网络安全风险面前,也与普通公民一样需要获得必要的网络安全防范指导。技术型指导的内容十分广泛,措施也复杂多样,就基本措施而言主要有:公布技术标准和安全信息,如定期发布危险网站“黑名单”和政府安全认证网站的“白名单”;定期向广大网络使用者公布最新的网络安全标准、资讯(如公众IP网络安全要求和安全协议框架、ISO15408信息技术安全评估准则)或相关网络安全测评软件(如360软件的安全测评功能);及时发布网络安全评估报告,如CNNIC每年定期发布的《中国网民信息安全状况研究报告》等;教示防御措施和应对方案,如怎样辨识有害信息、欺诈信息,怎样查杀病毒木马、修补系统安全漏洞和防止个人信息泄露等。

  2.协助型指导

  协助型指导是指网络管理部门依网络使用者的主动申请或自愿选择而直接控制其计算机助其采取安全防御措施,以对有特殊困难或需要的网络使用者予以直接援助的指导方法。在网络安全领域,许多网络使用者的知识技术十分有限,而购买价格不菲的网络安全产品也缺乏经济能力,此时就特别需要网络管理部门提供协助型行政指导,从保障全社会网络安全的角度讲,政府也负有这种服务职责。就目前已有的网络技术来看,协助型指导可以采取的措施主要包括:(1)协助过滤网络信息。网络管理部门对有害的网络信息应当设置一定的过滤系统(如信息内容过滤、关键词过滤等)或作出一定的信息评级、分类以供网络使用者选择,当其无法辨别有害信息或担心遇到相关网络安全风险时,可以基于自愿直接接受经过过滤的网络信息内容,也可自主勾选部分适宜类型的网络内容进行浏览。(2)协助操作处理。当特定的网络使用者需要遇到较困难的网络安全事件(如系统出现漏洞、个人账户丢失、遭遇病毒木马),又因为知识技术原因确实不知该如何应对时,网络管理部门可以运用一定的计算机软件技术对其提供人工或自动的远程协助[17],在特定网络使用者主动申请或给予授权的前提下,直接介入当事人的计算机终端代为实施相关的防御措施。从性质上看,协助型指导与技术型指导存在一定的相似之处,即都是为行政相对人提供技术支持。但二者也有区别,技术型指导只是向行政相对人提供“建议”或“行为指引”,而协助型指导则是直接为行政相对人“代劳”,提供更具体的服务。当然,协助型指导是一项专业性要求很高的方法,网络管理部门在技术、人员等实施条件暂不具备的情况下可以通过政府购买公共服务的形式由符合资质的社会组织(如IT企业)来提供该种指导服务。

  3.警示型指导

  警示型指导是网络管理部门采取一定的警示措施,利用危险后果的指导资源使广大网络使用者认识网络安全风险的严重性以提高其安全防范意识的指导方法。警示型指导特别适合于针对公民个体,在指导内容上主要有两类:(1)警示网络使用者不得实施危害网络安全的言行,否则既可能损害他人的网络安全,也必然使自己承担不利后果。这样,一方面有助于消除公共安全隐患,另一方面也可以帮助他们自身避免风险。这类行政指导在使用上应当做到:告诫哪些网络言行属于是违反公共道德或违法犯罪的言行,具体的责任后果如何;对发现有妨害网络安全苗头的对象,则还可以及时通过电子信函、网上约谈等措施予以制止,并借助其他管制手段的威慑力来促使对方服从指导。(2)发布特定警讯提醒网络使用者加强防范。如提醒他们不要轻信网上的经营谋利信息、不相信或传播网络谣言、不受网上赌博、嫖娼等不法信息的诱惑,不登陆不正规网站等,否则都将导致不利后果。

  4.抑制型指导

  抑制型指导是指网络管理部门运用一定的行为引导性资源对可能妨碍网络安全和公共利益的言行加以预防、规范和制约的指导,它对于可能发生的妨害网络安全的行为可以起到防患于未然的预防作用,对于刚萌芽的妨害行为可起到防微杜渐的抑制作用。抑制型指导主要针对的是公民个人的网络言行安全,其具体措施如:(1)对网络使用者实行实名制,以制约其采取不利于网络安全的言行(造谣、欺诈等)时有所顾忌。(2)对网络使用者进行信用评级,通过声誉机制(对信用低下者进行典型曝光或计入个人征信系统)来引导其注意言行。(3)和网络使用者签订安全责任协议,以行政合同的方式约定双方的权利义务,通过契约责任来规范其言行。抑制型指导与警示型指导有紧密联系,警示型指导的作用机制主要是提醒或警告其不当为某些言行;抑制型指导则是通过一定制约机制使其不能为某些言行。因此,抑制型指导可以说是警示型指导的递进。

  5.激励型指导

  激励型指导是指网络管理部门运用利益诱导资源对网络使用者有益于促进网络安全的行为予以奖励,从而充分发动民力、民智来共同抵御网络安全风险的指导方法。按照指向的不同行为类型,激励型指导主要有:(1)鼓励网络使用者举报网络安全隐患或研发防御网络安全风险的技术对策,并予以奖励。如对举报网络黑客、披露网络谣言者或发现网站安全漏洞者给予奖励。2013年荷兰国家网络安全中心就曾发布了《白帽黑客指导方针》,通过系列措施鼓励民间的白帽黑客和网络安全研究人员查找网络安全缺陷,公布网络安全漏洞信息,[18]起到了积极的网络安全防范作用。(2)激励网络使用者积极提高自身的安全素质和能力。如对定期在网上组织网络安全防御措施信息竞赛或有奖知识问答,并对优胜者给予奖励。网络安全的激励型指导完全可以结合网络文化来进行,从而契合网络生活的特点,更易于为网络使用者所接受。如在物质激励方面可以奖励电子货币、计算机软件、电子数码产品等;在精神激励方面则可以授予单位和个人微博大V、网络安全标兵等称号。

  6.组织型指导

  组织型指导是运用政策引导性资源扶持或倡导网络使用者自行建立相关的组织以共同抵御网络安全风险的指导方法。网络安全是网络社会的共同安全,本质上属于社会自治的范畴,所要建立的“是连带社会合作关系的法秩序”[19],社会网络安全应当充分发挥网络社会力量自身的治理功能。我国网络社会起步较晚,社会自治的发育尚处于初级阶段,为此,网络管理部门有必要通过组织型行政指导来帮助广大网络使用者建立自治组织形成自治机制。根据组织学原理,组织型指导首先应当帮助网络使用者依法建立防范风险的组织体系。这里的组织体系既可以为正式组织,如行业协会、自治组织等;也可以为松散的非正式组织,如QQ群、UC频道、豆瓣小组等。一定的组织是网络社会自治的载体和行动力支撑,组织型指导要为这种组织体系的建立提供帮助和指引,包括在政策上提供登记注册“绿色通道”,在物质上提供免费域名、资金支持,帮助网络社会自治组织其宣传造势以吸引公众参与等。为行业协会或网络安全同盟等组织的建立牵线搭桥等。在实践中,我国吉林省于2010年已建立以信息网络安全协会和网吧协会为主体的网络协管员队伍,与大型网络社区论坛版主建立工作关系,依托网站培育网络安全自治组织,[20]这一做法值得肯定和推广。其次,组织型指导要包括帮助自治组织依法制定自治章程,为其活动提供规则。(3)在这方面,国内外已有很多成功经验。如加拿大就建立了标准化协会这类自治组织,并在政府的政策倡导下出台了《个人信息保护示范法》和《电子商务中的消费者保护原则》对个人信息保护和电子商务进行自我规制。[21]在我国,《新浪微博社区公约》的出台曾被誉为“互联网自律的一个里程碑”;百度、360、奇艺等各大搜索引擎服务商也积极签署加入了《互联网搜索引擎服务自律公约》。这些都是网络安全自治章程的范例。对此,网络管理部门今后还应当大力支持和积极推动,以形成政府管理与社会自治的良性互动,从源头上治理网络安全风险。

  四、网络安全行政指导的运用要求

  网络安全管理属于新的风险管理,根据网络的特点,网络安全行政指导的运用应当具备与之相应的要求。

  1.科学指导

  科学指导首先要求指导内容必须真实、准确,不能“误导”网络使用者。其次,科学指导要求指导者本身应当具备相应的条件。在技术性很强的指导事项上,网络管理部门可以依法委托专业性的机构来实施。但受委托的机构根据行政委托理论必须符合法定条件。[22]如受委托的组织具有熟悉网络安全法律、法规、规章和业务知识的工作人员,应具备相应的网络技术资质并拥有组织实施行政指导的设施条件等。再次,行政指导应当提供最新颖的网络技术。网络安全风险会随着互联网技术的发展而不断变化,行政指导必须提供最新的安全技术才能有效应对。

  2.简便易行

  简便易行是针对行政指导的内容而言的,其基本要求可以归纳为:(1)简明易懂。网络安全技术专业性极强,易于使专业水平和能力有限的普通网络使用者难以理解和掌握。同时,在信息时代人们对网络信息习惯于快速浏览,在单条信息上停留时间较短,行政指导的内容如过于复杂或冗长也不受指导对象的欢迎。为此,网络安全行政指导仅仅提供科学、准确的信息仍是不够的,还应当以通俗易懂、简明扼要的形式呈现给网络社会,以有利于被关注、理解和掌握。如可以采取图文并茂、视频演示、声音解说、生动的广告语等形式来进行指导。(2)操作方便。指导内容的操作过于复杂则可能导致网络使用者因怕麻烦或不愿付出时间和机会成本放弃采取风险防御措施,最终会影响指导的实效,故操作方便也是网络安全行政指导的一个重要要求。在实践中,有的公安机关曾以老百姓喜闻乐见的口诀形式来指导市民防范网络诈骗,[23]这就十分便于记忆和操作。

  3.职责法定

  职责法定要求行政指导成为行政主体(网络管理部门)的一项法定职责和义务,行政主体必须对网络使用者给予网络安全方面的行政指导而无权自由选择。通说认为,行政指导虽然是“基于行政职权作出的”,但并“不是一种行政职权性行为”。[24]换言之,行政指导只是作为一种补充性、选择性的管理手段,而非行政主体的法定义务,是否实施行政指导纯粹属于行政主体的自由裁量范围。然而,随着网络安全形势的日益严峻,形形色色的网络安全风险对公民、法人的财产权、隐私权等基本权利乃至国家利益构成了巨大威胁,网络安全行政指导也不得不放在风险社会的背景重新予以考量。在风险社会,“风险防范已上升为现代政府的一项重要任务”[25],在单一管制方式尚不足以有效预防和应对网络安全风险的情形之下,对网络使用者给予指导与其说是行政主体自由裁量的权力,毋宁更是一种安全保障的职责,行政主体放弃或怠于履行此种职责即构成失职或行政不作为。基于此,网络安全管理中的行政指导应当从权力自由性行政指导转型为职责羁束性行政指导,至于行政指导的具体方式、方法,网络管理部门则可以灵活多样的运用。行政指导作为一项网络管理部门的法定职责,应当在网络安全立法中加以确立,并设置相应的不作为法律责任,规定未依法履行网络安全指导职责的责任后果。

  4.实施及时

  实施及时要求行政指导的运用及时迅捷,不能滞后于网络安全风险的扩散和发展。网络安全风险基于网络快速传播的特点,扩散极为迅速,如2007年的“熊猫烧香”病毒在短短一个月时间内就大规模爆发于互联网,使超过50万台计算机受到感染,受害企业达到上千家。[26]面对这种网络安全风险,强调指导的及时性至为重要,需要在第一时间作出反应,以最迅捷的方式提醒和指引广大网络使用者采取防范措施。同时,网络安全风险本身的形式和内容也处于快速发展演变之中,今天发布的指导信息可能明天就因网络风险的进化、升级而失去作用,这还要求行政指导作出之后必须随着网络安全风险的变化及时更新和调整。

  5.优先展现

  优先展现要求在网络信息的呈现顺序中,网络安全行政指导的内容,应当安排优先于其他各种网络信息而展现。在当下的网络生态中,网络服务商依靠网站点击率和登载广告盈利,公民个体热衷网上娱乐和猎奇,其他企业则借助网络进行营销和发布广告信息,这导致娱乐信息、商业广告以及各类其他信息充斥网络,并逐渐占据了网络信息展现的“制高点”——如打开任何一个网页(政府网站除外),最先弹出的几乎总是商业广告、网页游戏或娱乐新闻等;在各大搜索引擎上随便检索一个词条,排在前列的检索结果也几乎都是商业链接(“百度推广”即为典型)。这种现象是不利于有效进行网络安全管理的,为此,网络安全指导信息在制度设计上必须占领网络信息呈现的前沿阵地,优先于其他网络信息加以展现,以首先引起广大网络使用者的注意和重视,不使之湮没在各类铺天盖地的其他各类网络信息之中。如打开网页时,首先弹出的应当是关于网络安全的指导信息而非商业广告,在搜索引擎中检索特定词条时,最先出现的检索结果应当是与之相关的网络安全信息链接而不是其他付费的网站链接,等等。对于网络生活而言,使用安全是第一位的,安全的网络使用环境是盈利、娱乐、社交等一切网络活动的基础,缺乏网络使用的安全保障,商业经营、网上娱乐等其他利益终将是空中楼阁。从社会责任的角度看,基于天然的逐利本性,网络服务提供商和运营商要优先选择展现广告、娱乐等商业信息。但网络安全的公共性,必须要求法人承担相应的社会责任,即配合网络管理部门保障网络安全,体现在网络信息的展现上,法人的经济利益应当以网络的安全使用为前提,网络安全指导信息则应优先于商业信息。

【注释】 *方世荣系中南财经政法大学法学院教授,博士生导师,中南财经政法大学法治发展与司法改革研究中心首席专家;谭冰霖系中南财经政法大学现代行政法研究中心助理研究员,博士研究生。本文受教育部“社会管理法治建设”创新团队发展计划资助(项目编号:IRT13102

  [1]参见中国互联网络信息中心(CNNIC):《2012年中国网民信息安全状况研究报告》,第11-12页。http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/mtbg/201212/P020121227486012736156.pdf201386日访问。

  [2]李军、刘慧:《对我国网络安全立法的价值考量》,载《理论观察》2005年第6期。

  [3]王铁占、安海兴:《建立网络安全保障体系的法律思考———以网络安全文化为视角》,载《河南科技大学学报》(社会科学版)2011年第3期。

  [4]Cookies是一种能够让网站服务器把少量数据储存到客户端的技术。当用户浏览某网站时,由Web服务器置于用户硬盘上的Cookies文件可以记录用户的ID、密码、浏览历史等个人信息。

  [5]饶冠俊、金碧华:《生活安宁权保护的现实困境及解决思路》,载《行政与法》2010年第1期。

  [6]参见孙逊、王威:《“商业对手”潜入纳杰QQ群卧底半年》,载《武汉晨报》2013622日。

  [7]参见吴翔、翟玉成:《网络军控:倡议、问题与前景》,载《现代国际关系》2011年第12期。

  [8]参见朱冀湘:《维基解密泄露多国机密希拉里向12国领导人表达歉意》,载中国国际广播电视网络台:http://gb.cri.cn/27824/2010/12/03/5105s3078084.htm.201381日访问。

  [9]参见孙建兵、王辉卉:《破解网络食品交易监督管理工作瓶颈的对策》,载《江苏经济报》20121123日。

  [10]参见中国互联网络信息中心(CNNIC):《第31次中国互联网络发展状况统计报告》,第20页。http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201301/P020130115503321852457.pdf201386日访问。

  [11]参见张珺:《过半网民缺乏网络安全意识七大网络巨头联手“反裸奔”》,载《武汉晨报》2012726日。

  [12]前引[1]

  [13]闫尔宝:《日本的行政指导:理论、规范与救济》,载《清华法学》2011年第2期。

  [14]前引[10]

  [15]可得性启发,是指最易被想到和看到的事件通常被人们所认为是最普遍、最经常发生的事件。

  [16]参见[]凯斯·R.孙斯坦:《风险与理性》,师帅译,中国政法大学出版社2005年版,第41-43页。

  [17]所谓“远程协助”,又称“远程控制”,是在网络上由一台电脑(主控端Remote/客户端)远距离去控制另一台电脑(被控端Host/服务器端)的技术。

  [18]参见彭婷:《打击犯罪+知识普及两招提高网络安全》,载《人民邮电报》2013318日。

  [19][]阿斯曼:《秩序理念下的行政法体系建构》,林明锵等译,北京大学出版社2012年版,第119页。

  [20]参见周立权:《吉林将培育网络安全自治组织强化虚拟社会管理》,载新华网:http://news.xinhuanet.com/zgjx/2010-09/30/c_13536875.htm2013810日访问。

  [21]参见李学江:《加拿大网络监管强调自我规制》,载《人民日报》20121223日。

  [22]参见姜明安主编:《行政法与行政诉讼法》(第二版),北京大学出版社、高等教育出版社2005年版,第146-147页。

  [23]参见詹蔷:《武汉市公安局开展防网上诈骗活动》,载荆楚网:http://news.cnhubei.com/gdxw/201203/t2015036.shtml2013816日访问。

  [24]前引[22]

  [25]金自宁:《风险规制与行政法治》,载《法制与社会发展》2012年第4期。

  [26]参见孙尚伟:《揭秘熊猫烧香病毒肆虐内幕》,载《京华时报》2007124日。