第三节 《网络安全法》的基本原则

法的原则是法的灵魂，是指导整个法律活动的核心思想，是实现法的目的的基本保证。《网络安全法》的原则是贯穿互联网安全立法、司法、执法环节，实现维护社会公共安全的法制目的的根本规则。《网络安全法》是我国第一部全面规范网络空间安全治理问题的基础性法律，无论是从立法宏观思路上还是从具体制度设计上都具有全局性、战略性及实践性。在基本原则层面，《网络安全法》的“灵魂”聚焦于以下几个层面。

一、网络空间主权原则

由于网络空间不断扩展着国家安全空间，改变了国家间的权力博弈方式，世界强国围绕网络治理展开了非常激烈的博弈。由于各大国在网络核心资源、核心技术的市场占有份额及文化价值观念等方面的差异，网络空间的治理思路仍存在分歧和矛盾。尤其是网络的跨国界性、去中心化使传统的“主权”边界趋于模糊，同时“网络自由主义”不断兴起，成为网络强国挑衅他国网络主权的得力工具。美国关于网络治理的“全球公域说”及“多利益攸关方模式”不断挑衅着中国政府主导的、建立在网络主权基础上的“多边主义模式”。基于此背景，“网络空间主权原则”正式从学术研究范畴迈入立法视野，成为我国网络空间治理的基本原则。

《国家安全法》第二十五条规定，加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。继此之后，《网络安全法》进一步明确和细化了网络空间主权原则。《网络安全法》第一条规定，为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法；第二条规定，在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法；第四条规定，国家制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提出重点领域的网络安全政策、工作任务和措施；第五条规定，国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。以上规定体现了习近平总书记在第二届世界互联网大会上代表中国提出的推进全球互联网治理体系变革“四项原则”中的“尊重网络主权原则”。网络空间主权原则根植于《联合国宪章》和国际法法理，是传统主权在网络空间的自然延伸，表明作为国际法义务主体之国家既享有主权权利又应承担国际法义务。从立法层面确立网络空间的主权原则，既能体现各国政府依法治理网络空间的责任与权利，也有助于推动各国构建政府、企业和社会团体之间良性互动的平台，为信息技术的发展及国际交流与合作营造一个健康的生态环境。

二、网络安全与发展并重原则

我国《网络安全法》第三条明确规定，国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。网络安全与发展并重原则已经成为我国网络法的核心性原则，习近平总书记对安全和发展的关系有着深刻的论述。2016年“4·19”讲话中，习近平总书记指出，网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。

信息技术发展的负面效应给网络空间带来棘手的安全隐患，对安全价值的追求成为我国网络安全治理的目标之一，“没有网络安全就没有国家安全”成为广泛的共识。但是，网络发展的加速度不能因对网络安全的追求而限制并阻碍网络的发展，保守和封闭的安全观难以确保整体国家安全，相反将引发更为广泛和严重的安全隐患。因而，“发展才是硬道理”，网络安全的发展是解决网络安全隐患的基本前提条件，越发频繁的网络安全隐患只有通过网络的不断发展来加以应对和化解，越来越多的网络安全漏洞、黑客攻击和信息泄露事件正在为安全防御能力的提升和治理手段的完善提供丰富的实践案例和经验教训，任何封闭与停滞的观念和治理方式都将给网络发展带来阻力。网络技术的不断发展意味着我们将拥有更为先进的技术、产业，以及培养出成千上万的网络安全顶级人才，最终促进安全。同样，仅追求网络技术的发展而忽略了安全的考量也是不可持续的发展，不能以网络安全的失控为代价去换取一时的经济增长，这与以人为本和科学发展的观念相背离。综上，网络发展与网络安全应统筹兼顾、相互促进，以发展促安全，以安全保发展，努力追求“双轮驱动、两翼齐飞”。

三、网络安全风险防御原则

安全风险预防为主原则，是预防为主、防治结合、综合治理原则的简称，其基本内涵是指：国家在网络空间和信息安全保护过程中采取各种技术防范措施，完善各项管理制度，规范信息安全教育，关注信息安全活动中技术、管理、社会、经济和法律之间的关系，以法的强制性防范国家信息化建设过程中出现的各种安全风险。我国《网络安全法》基本制度的设定集中体现了网络安全风险防御的原则。《网络安全法》第三章“网络运行安全”和第五章“检测预警与应急处置”的条款设置体现了网络安全风险防御的思想。第二十五条规定，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。第五十一条规定，国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。

随着云计算、大数据、移动互联网等新兴技术的广泛应用，网络已由独立分散走向深度关联、相互依赖。随着系统边界的模糊，安全威胁样式及黑客攻击手段不断发生变化。动态、综合的网络安全风险防御理念急需树立并应用于实践。

《网络安全法》采用风险防御原则，有利于强化国家对网络安全风险的控制。网络安全风险是当代社会所面临的巨大风险。由于网络本身的脆弱性，人们还不能只依赖技术措施防范网络安全风险，必须采取综合治理的方式，将“风险预防原则”落实在网络建设、使用、运营的每个环节。如果每个参与网络的活动者都能够树立网络安全意识，注意网络安全道德修养，掌握网络安全知识，明确网络安全责任责任，那么，我们就能将网络安全风险降低到最低程度，以维护国家安全，保障社会公共安全和保护网络参与者的合法利益。

四、协同治理原则

协同理论是现代系统科学理论体系的一支，由德国著名理论物理学家赫尔曼·哈肯在1970年创立。协同理论认为，系统要素在各自发挥作用时，必须借助于其他系统条件，假如能得到其他条件的配合，则可以发挥其应有的作用，反之则可能削弱其功效。网络安全的协同治理是指应充分发挥包括政府部门、执法机关、社会组织、企业及公民个人在内的每个社会单元的力量，以实现责任分担、协同参与及利益共享。尤其是应重视企业及政府在网络攻击法律治理中的主导作用，不仅要求各主管部门和应急机构不断整合自身的优势，明确职能分工，最终形成合力，还应充分发挥企业尤其是网络服务提供者在网络攻击防御与控制中的“一线”优势。我国《网络安全法》在关键信息基础设施保护、个人信息保护、网络安全风险监测预警、应急相应制度建立中尤为重视国家政府、行业管理部门、企业、社会组织及个人发挥的协同作用。实际上，网络空间安全仅仅依靠政府是无法实现的，而是需要政府、企业、社会组织、技术社群和公民等网络利益相关者的共同参与。《网络安全法》坚持共同治理原则，要求采取措施鼓励全社会共同参与，政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等都应根据各自的角色参与网络安全治理工作。