做系统和打补丁 －谈网络安全法的立法模式 网络时代的立法，无论是美国等率先通过建议现代法治而成功转 型的西方国家，还是转型中的中国，都面临着和以往时代的立法，比 如农业时代、工业时代的立法完全不同的境遇。在以前的立法过程中， 尤其是西方国家在迈向工业化过程中的一系列立法，都更容易建立在 线性逻辑的基础上，把立法涉及的行为及其民事、刑事和行政后果类 型化、定型化，也即在立法的时候，更有条件也更容易把立法涉及的 多方面问题想清楚。 这与涉及立法、执法和司法之变量的相对单一和司法过程多局限 在享有共同价值观、拥有共同生活经历和对正确与错误的行为方式的 认识都容易达成共识，有非常密切的关联。法律既可能是共同的记忆， 比如宗教法，也可能是共同的生活体验，比如习惯法，亦可能是上升 到民族国家高度的共同意志。 但互联网时代的立法，可能面临着完全不同的境况。一方面，互 联网具有联结一切，重构一切力量。另一方面，互联网时代的立法又 面临着完全开放并且随时都可能在变化的价值观、时空观和多样化、 高度互动式的影响立法和司法的众多变量。 互联网时代的立法者需要考虑的另一个问题，是“不是我不明白， 是时代变化的太快”。技术发展的快，技术与社会生活、与意识形态、 与价值观的互动，都发展得太快。可以用来对公司、个体和国家行为 进行类型化、规范化的标准，也处于高速互动和不断变化之中。网络 的全开放性，还打破了互联网时代之前立法和司法所赖以存在的最基 本的思维方式，即类似于“法律面前人人平等”的线性思维和经济人 式的理性思维，而代之以更多的非线性（羊毛出在狗身上，让猪买单） 的甚至是非理性的思维（烧钱做服务）。 同时，我们还应当关注的是，互联网之前的立法，尤其是晚近资 本主义转型以来的立法，其立法权和执法权，是由凌驾于社会之上的 公共机构来完成的，国家有专门的立法机构、司法机构，也可以说， 国家基本上垄断了司法和司法裁断权。这样，国家不仅定标准，还通 过其背后的强制性力量，确保这些标准的实施，确保社会活动开展所 需要的秩序。 但互联网时代，尤其是随着移动互联网时代、大数据时代和云计 算时代的到来，大的互联网公司不仅逐步完成了对社会各项活动赖以 发生和进行的基础数据的搜集工作，而且用与国家法律相平行的“代 码”，对用户行为、生活方式和价值观等进行着可能比国家法律更有 效的、更常规性的、的影响和重塑，也以更潜移默化的方式，与国家 法律和国家依法设定的纠纷解决机构竞争着“定纷止争”的空间。 因此，互联网时代的立法，会面临着刚开始什么也不明白，到后 来即使明白，又对飞速发展的互联网产业及其对人们行为方式、价值 观等产生的影响难以用类型化、定型化的方式，来进行有效地归类、 规范的境地。 在这种情况下，是遵循以前立法的基本制式，把问题考虑清楚了 再立，还是在实践中不断根据变化的情况，采用“头痛医头、脚痛医 脚”式的或解决具体问题的立法模式，是摆在世界各国政府，当然也 是中国政府面前的一项重要任务。 一、补丁式的网络立法 在以前的文章当中，我把中国互联网立法划分为三个阶段，从 1994 年到 2000 年这段时间，以 2000 年 12 月 28 日 第九届全国人民 代表大会常务委员会第十九次会议通过的《全国人民代表大会常务委 员会关于维护互联网安全的决定》为第一个阶段。自 2000 年到 2012 年年底第十一届全国人民代表大会常务委员会第三十次会议通过《全 国人民代表大会常务委员会关于加强网络信息保护的决定》为第二个 阶段，自 2012 年年底到现在，为第三个阶段。 在这三个时间段所制定的互联网法律、法规当中，有全国人大 制定的两个具有一般法性质的法律，再加上 2004 年 8 月 28 日第十届 全国人民代表大会常务委员会第十一次会议通过的《中华人民共和国 电子签名法》。其中的两个决定虽然适用于整个网络空间，也带有基 础性、全局性，涉及与互联网相关的各方面、各领域的问题，但从立 法目的和所要实现的目标来讲，其所要解决的问题，2000 年的决定， 是要不要适用再有法律到网络空间，尤其是刑事法律的相关规定要不 要适用于网络空间的问题。而 2012 年的决定，则主要解决网络信息 保护的问题，立法的关注点非常集中，只集中解决与大家都非常关注 的网络信息保护及其相关的问题，决定的条文也带有较明显的原则性。 也就是说，都只能是今后一段时间内用于指导互联网立法的带有总纲 性质的立法，无论从其结构和具体的条文来讲，都不是典型的立法或 立法文件。 另外一部法，即《中华人民共和国电子签名法》，只有 36 条， 关注和要解决的问题仅仅集中于电子签名这一具有专业性的问题，其 调整的范围和对象，无论就当时的互联网发展状况、还是现在的互联 网发展状况，都是相当专、相当窄的。除了电子签名和与电子签名相 关的行为外，其他行为，都不是电子签名法所要调整的范围和对象。 这么大一个国家，在这么不算短的 20 年时间，尤其是在互联网 产业规模、用户数等指标在全球都数一数二、在移动互联网、大数据、 云计算和电子商务等方面已经走在世界前列的情况下，只有三部适用 于互联网方面的一般法，而且是带有转接性、原则性、指导性和专业 性的立法。其余的，都是位阶较低的由国务院和各部委制定的行政法 规、部门规章和规范性文件、通知等。也就是说，中国的互联网立法， 至少从立法的效力等级和现有的立法成果来看，远远无法与中国互联 网的发展相匹配。 这是中国互联网立法存在的一个被大家所熟知的情况和特点， 再往下深入，也可以说，在互联网这个新生事物来到中国的时候，我 们不太明白它是什么，它会发展成什么，自然也不知道怎么从总体上， 从顶层设计的角度，来提出完整、全面和具有前瞻性的立法规划。等 到互联网在中国飞速发展起来以后，互联网发展及其所产生的问题呈 现出现实化、多样化和复杂化、国际化之后，我们的互联网立法，基 本上就只能跟在产业发展的后面，在先容忍产业发展所带来的一系列 问题的情况下，被动地、亡羊补牢式地，同时也是频繁地通过大量的 低位阶的行政法规、部门规章、规范性文件甚至是通知等较为灵活的 方式，来解决网络发展和网络行为的规制，来避免网络的发展所带来 的一系列问题。 因此，我把这个时间段里的中国互联网立法，归纳为打补丁式 的立法，即在再有法律规范所确立的规则体系、在中国现有司法制度 所允可的程序框架下，通过现有的司法体系，将现有的规则体系适用 于互联网网相关问题的办法，通过解决具体问题甚至是解决不了具体 问题的低位阶的法规，来回应互联网发展过程中产生的问题。在互联 网立法的问题上，中国并没有产生顶层设计型的、带有全局性的、试 图解决互联网全局问题的立法成果。 二、做系统的网络安全法 这次的网络安全法，与以往的涉及互联网方面的立法，无论从 条文本身、法规的结构还是其所规制的对象及其对互联网产业影响的 整体性来讲，都是在做系统。更重要的是，它不仅以系统显身，表现 出极强极明显的系统性，而且还是个母系统，是个系统之系统。或者 更直观来讲，将来这个法以一个系统运转之后，还需要更多的系统来 配合它的动作。一是要丰富、完善这个系统所要追求和实现的目标， 二是要以分系统的方式，来与主系统共同运行，以组成更大的、且不 断变大、变复杂的系统的运转。 它具有一个系统性立法所应有的一切因素，追求自己的独立和 自成一体，而不是像以前的立法那样，要不给适用于现实空间的法律 体系打补丁，要么以较低的位阶给较高位阶的法律律打补丁；其次， 它在结构上是完整的，由总则、分则和附则组成。也就是说，它是自 给自足的，仅凭借这一个法律文件，就可以完整地启动司法程序，从 事件发生到事件有个处理结果，在低位阶的法规里，通常要诉诸其他 高位阶法律的帮助，但网络安全法基本上可以自给自足。第三，它所 调整的对象和范围，涉及所有与互联网有关的主体，政府、企业和个 人。同时，众多的问题又都可以统摄到安全这个问题中来。也就是说， 只要与互联网有关的人、物和事件，将来都可能成为这部法律调整的 规范的对象。 网络安全法是做系统的立法，还体现在网络安全法采用了开放 的立法模式，为将来布置了许多需要完成的立法任务和其他方面的任 务。如征求意见稿第十三条就规定，国家要在将来或应当在将来建立 和完善网络安全标准体系。由于网络安全涉及部门众多，将来的国家 标准和行业标准的制定，就落在了国务院和其他众多部门头上。也就 是说，为解决网络安全问题，国务院和相关部门，还需要制定一系列 的行业标准和国家标准。 第十七条规定，国家要实行网络安全等级保护制度，又是一个 留给将来的立法任务。因为它涉及到对网络安全，包括所有在中国境 内甚至在国外的中国企业的安全等级评定标准的制定和相关的评定 工作的实施方式。可以想见，这些都是不小的立法方面的工程。 网络安全法类似的规定也有很多，比如第二十五条的“关键基 础设施安全保护办法”。有些虽然看不出是否需要制定新的法律，但 在实践中，至少需要将相关问题搞明白之后，再制定相应的实话细则， 否则这些规定很可能会在实践中产生混乱。比如第五十条规定的特定 情况下“对网络通信采取限制”的规定和第三十一条规定的信息跨国 流动时需要进行的评估工作，都需要细化相应的程序，否则将来不仅 容易“狗咬刺猬无从下口”，而且容易出现因理解上的偏差而产生的 执法混乱。 三、两种立法模式的比对 要对比两种立法模式，主要的入口，是两种立法模式所具有的特 点，这些特点又有哪些适合互联网发展的规律。对比的话，也需要立 足现有的一些基本情况，比如互联网产业及相关情况对立法提出的一 些内在要求，以及这些要求通过什么方式来满足，会是较为理想的， 效果更好的方法。 对比立法模式，其实也是对比解决问题的方式、方法，不同的方 式方法，在满足不同的价值追求、不同的主体利益方面，存在一定的 差异。或者更直接来讲，不同的方法，会对不同主体的利益产生不同 的效果。一种方法可能对政府加强管理会很有效，但会给互联网企业 增加负担，对企业产生负面影响的可能性较大；另一种方法可能会有 利于产业，有利于把中国的互联网产业做大做强，但可能会使政府的 管理限于被动，会严重削弱政府管理互联网的能力。 对比立法模式，或哪一种立法模式，其背后考虑的因素，还有一 项是文化。文化是个大概念，不太容易说清楚，但通过举例，可能更 能说明问题，也可能更容易理解。比如在神启时代，大家都信超自然 的力量，都信有个上帝或神之类的。在这种情况下的立法，就多由先 知或宗教领袖来完成的，像《摩西十戒》、《摩奴法典》和《古兰经》 等，都是这个民族的先知通过冥想，借助神秘的宗教仪式来完成。法 典也充满了神的力量。罗马法非常发达，影响深远，是因为罗马法充 满理性精神，对现实问题有极强的针对性。为什么会出现这种情况， 与其立法主要由部族的元老通过较为