一方面坚持保护规范理论作为学理基点,另一方面保护规范标准与保护规范实践的变迁,在这二者之间的运动发展事实上会导致通说与其批评者的立场相互接近。
[98]按照行政规则在时间上的存续性,还可以将其分为临时性规则和正式规则。行政规则属于独立的规范体系,在法律体系中处于特殊的位置。
行政机关制定规则行为之合法性很大程度上取决于法律需要理性解释这一事实。规则制定权的合法性,是作为结果的规则合法性与正当性的前提和保障。我国学界对于行政规则效力的研究虽然都有建设性,但既缺乏对行政制规权和行政规则本质的深入探讨,又缺乏关系视角的支撑,导致学者的观点要么过于迁就现实,要么过于笼统,无法为行政规则提供有效的效力规则。其次,在理论层面,学者们对行政机关制定规则的研究主要集中于现象的解释和制度的建构,即以行政行为理论为基础,从逻辑上将其归为抽象行政行为,这种研究缺乏对该类行为权力属性的关注,未能提取出统一的权力概念,更缺乏对其本质、来源等问题的探究。行政权自身的执行性特点决定了其制定的规则并不天然具有法律效力,法律授权是其规则获得法律效力的最重要渠道。
(二)法律授权:法律效力与权威的注入 法律授权客观上为立法权与行政权的互动和合作提供了重要媒介和渠道。第三,将行政规则作为统一的概念,并不排斥在该概念内部再做细分。这些风险治理措施不一定能够与传统行政法上的类型化行政行为一一对应,总体上属于风险行政的全过程控制措施。
[66]美国很早就认识到,联邦政府只能通过与工业界、州与地方政府的有效合作来完成保卫关键基础设施的任务。关键信息基础设施的持续安全运营既是社会和经济活动得以维系的秩序和安全事务,也在很多情况下与福利和给付密切相关。关键信息基础设施的指定应当相当审慎,既不能过于宽泛,导致有限的资源无法被充分高效地应用。归纳主要国家的立法和行政经验,关键信息基础设施保护过程中的风险治理措施主要包括:(1)关键信息基础设施的识别与指定。
尽管关键基础设施保护制度作为网络安全法中的重要制度已经得到确立,但是对于关键信息基础设施的定义、认定标准和程序等基础问题,人们的认识还不一致,关于检测评估、预警信息发布的具体制度也有待进一步明确。[21]参见张跃冬:《网络安全立法中的关键信息基础设施保护问题》,《中国信息安全》2015年第8期,第86页。
以上述关键步骤为要点,关键信息基础设施保护的全过程风险治理措施得以构建。最为妥当的主体架构是建立一种实质性的、紧密的公私合作伙伴关系。五是基于善意分享和为了网络安全目的使用网络威胁信息可获得民事与刑事责任豁免等。后者可能来自无聊滋事的青少年、蓄意破坏的内部员工、有组织的犯罪分子、恐怖组织,乃至有敌意的国家等。
[56]参见周汉华:《基础设施产业政府监管权的配置》,《国家行政学院学报》2002年第2期,第52页以下。[87]参见[德]乌尔里希·贝克:《风险社会》,何博闻译,译林出版社2004年版,第1页以下。[53]参见前引[37],陈爱娥文,第8页。我国的关键信息基础设施指定应更加注意避免纳入过多设施的倾向,正如不需要作为国家秘密的信息不应被纳入国家秘密,从而导致真正的国家秘密保护力量被削弱一样。
(16)自来水与废水系统。[70]美国国会也在关键基础设施信息保护法(2001)中指出,拥有和运营着大部分关键基础设施的私营部门与具备与众不同的信息和分析能力的联邦政府,都能通过分享信息及其分析结果,极大地受益于合作应对关键基础设施的脆弱性、受到的威胁和实际攻击。
[93]详细讨论,参见马民虎、马宁:《〈网络安全法〉与国家网络安全审查制度的塑造》,《中国信息安全》2016年第6期,第31页以下。网络安全法规定的网络安全审查制度的适用范围仅限于关键设备和专用产品,《保护条例(征求意见稿)》则从是否影响国家安全的角度进行规定,但是将对象扩展到网络产品和服务。
[45] 在识别并指定关键信息基础设施部门之后,被指定的每个关键部门内还需要继续根据重要性程度加以分类并指定。[19]有学者主张,应实现国家网络安全审查制度的保障功能。个人需要通过国家实现基本权利,国家也要承担一定的担保任务。然而,即使如此,也需要有人愿意为追求安全之目的去写代码和应用程序。[14]有关政府部门的解读则认为,关键信息基础设施保护关乎国家安全、国计民生、公共利益的信息系统和设施的安全,与等级保护制度相比所涉及的范围相对较小。[23]参见前引[3],Knapp书,译者序。
(二)市场机制的不敷使用 关键信息基础设施的安全似乎应由其所有者和运营者负责,通过市场机制进行调节。在美国,对拥有或者运营关键基础设施的私主体课予义务的法律,一直很难在国会获得通过。
绝大多数的关键信息基础设施处于非竞争性的市场环境中,网络安全方面的投入及成效不会显著影响其总体收益。行政法也需要从以司法过程为中心逐渐向以行政过程为中心迁移。
[50]在这一基于反恐问题意识形成的国土安全标准之下,关键基础设施部门的范围呈现出持续适度扩展之后基本维持稳定的状态。公安部的意图似乎是希望将关键信息基础设施保护和等级保护制度整合起来,合二为一。
以此对照,条文中使用的数据泄露并不能体现不可或缺性,遗漏持续安全运营忽视了威胁结构性,严重性不能替代广泛性,使用重点单位不能充分体现保护的整体性。[34] 我国网络安全法确立了关键信息基础设施安全保护制度。这一指令还从消极的角度规定,网络交易市场、网络搜索引擎和云计算之外的数字服务提供者和小微企业不在其规制范围内。成本—收益的不对称性抑制了市场主体在关键信息基础设施保护上的投入。
财富集中之地容易引发网络犯罪,恐怖分子指向之处将导致恐怖袭击,主权国家矛头所指可能引发战略监控与侵袭。在传统行政法框架中,这一行政任务类型和活动方式应受到合法性控制,其应当遵循依法行政原则,对其在事后进行司法审查有着独特的、不可替代的作用。
在诸多网络安全事务中,合规被受访者列为最高优先级。至于对进行网络攻击和入侵的违法犯罪行为人进行行政处罚,乃至追究其刑事责任,实际上并未脱离传统行政法和刑法的框架,只不过增加了一种适用情形而已。
为实现网络安全的政府规制目标,需要更新与重组旧有的监管机构,以适应现代社会对于网络安全的全新需求。关键信息基础设施安全具有公共属性,在无法完全通过市场机制由私主体独立提供的情况下,政府规制具有正当性。
[20]参见马宁:《国家网络安全审查制度的保障功能及其实现路径》,《环球法律评论》2016年第5期,第134页以下。关键基础设施保护成为国土安全部工作的关键组成部分。2013年后,国土安全部与相关联邦部门的分工被调整和细化,国土安全部长负责对所有关键基础设施定期评估,同时具体负责化学、商业设施、通讯、关键制造业、水坝、应急服务、信息技术、核反应堆与核材料及核废料领域的保护工作,并与总务管理局共同负责政府设施的保护,与运输部共同负责交通运输系统的保护。[30]这些数据和案例说明,完全寄望于市场机制,试图通过市场调节获得安全保障是不切实际的,导入政府规制十分必要。
[55]参见刘红:《美国对关键基础设施的技术保护》,《国际技术经济研究》2004年第4期,第28页以下。美国政府在反恐战略框架下改革和完善了关键基础设施保护体系。
See National Academy of Engineering National Research Council of the National Academies, Critical Information Infrastructure Protection and the Law: An Overview of Key Issues, the National Academies Press,2003, pp.8-9. [50]同上。在美国,关键信息基础设施的具体范围以关键基础设施为基准确定。
[37]因此,从维护和保障人民利益的角度来看,关键信息基础设施的安全具有对象上的无差别性。注释: [1][美]约翰·P.巴洛:《网络独立宣言》,李旭、李小武译,载高鸿钧主编:《清华法治论衡》第四辑,清华大学出版社2004年版,第510页。
留言0