作者:方建伟|费洁琼
单位:环球律师事务所
2015年12月27日,十二届全国人大常委会第十八次会议表决通过《中华人民共和国反恐怖主义法》(“《反恐法》”),法律全文共分十章九十七条,一万四千多字,将自2016年1月1日起施行[尾注 1]。在《反恐法》出台之前, 除散落于《中华人民共和国刑法》或有关应急响应法律法规中的部分条款外,打击恐怖主义并无专门的法律可循。该部《反恐法》作为中国关于打击恐怖主义的首部专项法律,为中国的反恐实践建立了较为系统、全面的法律依据。
由于信息技术的发展,恐怖主义在近年出现了一些新趋势,越来越多的恐怖分子利用网络宣扬和煽动恐怖主义,甚至通过网络组织策划实施恐怖活动,将网络作为恐怖主义发展的一个重要工具。在2015年12月16日开幕的第二届世界互联网大会中,习近平主席也指出网络安全对国家安全和国家发展至关重要。在这一背景下,《反恐法》亦针对电信业务经营者及互联网服务提供者设置了相关义务或限制条款,如将互联网企业与新闻、广播、电视等单位并列,要求其承担向社会进行反恐怖主义宣传教育等义务[尾注 2]。然而,该等对互联网企业设定义务或限制的条款在出台之后即颇受争议。现将《反恐法》中有关设置互联网企业义务或限制的条款梳理如下。
用户身份验证义务
《反恐法》第二十一条规定,互联网经营者或服务提供者有义务对用户的身份进行验证,对于身份不明或拒绝身份查验的,不得为其提供服务。就违反用户身份验证义务的法律责任而言,除互联网经营者或服务商会被主管部门责令改正外,互联网公司及主管人员、责任人员均有可能面临罚款[尾注 3]。
网络用户实名制在2015年7月6日公布的《中华人民共和国网络安全法(草案)》(“《网络安全法》(草案)”)中已被明确提出,草案规定互联网服务提供者为用户提供信息发布等服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息;用户不提供真实身份信息的,不得为其提供相关服务尾注 4]。
互联网运营商或服务商应重视对用户身份验证系统的建立与规范,对身份验证进行流程化管理,保留完整的用户信息查验数据。企业通过建立和运行有效的用户验证系统履行用户验证义务,既有可能对恐怖分子通过互联网散播恐怖主义信息、实施恐怖活动起到一定的预防作用,也可以为相关政府部门进行恐怖活动的调查提供有效信息。
防止恐怖主义信息传播、删除恐怖主义内容信息义务
《反恐法》第十九条规定,电信业务经营者、互联网服务提供者应当通过内容监督、技术防范等措施,防止含有恐怖主义、极端主义内容的信息传播。一旦发现含有恐怖主义、极端主义内容的信息,相关企业应当立即停止传输,删除相关信息,但需要保存相关记录以供进一步调查,并及时向公安机关或者有关部门报告。如违反该义务,互联网公司及其主管人员和其他责任人员将面临政府部门的罚款,主管人员和其他责任人员还有可能被公安机关处以五日到十五日的拘留[尾注 5]。
该条款中所涉及的网络安全管理义务在2015年8月29日通过、2015年11月1日起实施的《中华人民共和国刑法修正案(九)》(“《刑法修正案(九)》”)中已有体现,修正案中规定网络服务提供者不履行网络安全管理义务,经监管部门通知采取改正措施而拒绝执行,致使违法信息大量传播的,致使用户信息泄露,造成严重后果的,或者致使刑事犯罪证据灭失,严重妨害司法机关追究犯罪的,将会承担刑事责任[尾注 6]。
与去年11月3日发布的《反恐法》(草案)的征求意见稿相比,最终通过的《反恐法》删除了“互联网企业应当将相关设备、境内用户数据留存在中国境内”的争议条款,但从国家秘密、个人信息保护等层面的法律规定来看,互联网企业对于境内数据的保留与传输仍应持审慎态度。如在《刑法修正案(九)》中,出售、非法提供公民个人信息罪和非法获取公民个人信息罪的犯罪主体已经由特殊主体(国家机关、金融、电信、交通、教育、医疗等单位及其工作人员)扩大到一般主体,包括互联网企业。《网络安全法》(草案)第三十四至三十七条也规定了互联网服务提供者保护公民个人信息、隐私和商业秘密的义务。境外数据传输则会涉及保护国家秘密的相关规定,因此互联网企业应更加谨慎对待,以避免因泄露国家秘密而导致的行政责任或刑事责任。
协助恐怖主义防范及调查义务
《反恐法》第十八条规定,电信业务经营者、互联网服务提供者应当为公安机关、国家安全机关依法进行防范、调查恐怖活动提供技术接口和解密等技术支持和协助。
该条款的制定借鉴了美国、欧盟等地的法律,要求互联网企业具有相应的技术能力,为司法机关包括执法人员进行合法监听提供技术协助,对于加密传输的文件提供相应的解密支持[尾注 7]。《网络安全法》(草案)也提出互联网服务提供者有就国家安全的方面协助侦查机关的义务。相对于互联网企业对相关部门的积极协助义务,此前的《刑法修正案(九)》中则包含企业不得为互联网犯罪提供技术支持的禁止性规定。明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持或者提供广告推广、支付结算等帮助,情节严重的,将被追究刑事责任。
尽管相关立法者表示《反恐法》的这一协助义务规定并不会限制企业的合法经营活动,也不会侵犯企业的知识产权,但对于互联网企业而言,为政府机关提供技术支持仍存在技术秘密泄露的风险。因此,在对相关政府部门的协助中,企业需要谨慎处理履行法定义务与保护自身核心技术的关系。
综上所述,在打击新型网络恐怖主义的背景下,《反恐法》对互联网运营商及服务提供商的相关义务作出了一些相对具体的规定,要求互联网企业遵守用户身份查验义务、防止恐怖主义信息传播义务、删除恐怖主义内容信息义务,以及协助恐怖主义防范及调查等义务。这些义务有可能会在未来通过进一步立法或司法及执法实践被进一步细化,互联网企业应持续关注相关进展,对自身需要承担的法律义务及时建立正确、清晰的认识,以保证经营行为的合法合规性。
1、关于我国个人信息和网络安全保护的立法梳理及对《中华人民共和国刑法修正案(九)》相关条款的解读(2015年9月22日)
2、《网络安全法(草案)》条文梳理与热点剖析(2015年10月23日)
尾注:
尾注 1:新华网,《反恐法出台 反恐纳入国家安全战略》,2015年12月28日,http://news.xinhuanet.com/mil/2015-12/28/c_128572562.htm
尾注 2:《中华人民共和国反恐怖主义法》第十七条
尾注 3:《中华人民共和国反恐怖主义法》第八十六条
尾注 4:环球法律专递,《网络安全法(草案)》条文梳理与热点剖析,2015年10月23日,http://www.glo.com.cn/content/details_13_736.html
尾注 5:《中华人民共和国反恐怖主义法》第八十四条
尾注 6:环球法律专递,关于我国个人信息和网络安全保护的立法梳理及对《中华人民共和国刑法修正案(九)》相关条款的解读,2015年9月22日,http://www.glo.com.cn/content/details_13_728.html
尾注7:网易新闻,《李寿伟:反恐法涉及电信、互联网服务等规定符合实际》,2015年12月27日,http://news.163.com/15/1227/18/BBS3C2FQ00014JB6.html
