2014年,国家成立了中央网络安全和信息化领导小组,要求抓紧制定立法规划,加强互联网领域立法,完善网络安全保护法律法规,最终于2016年颁布了网络安全法。
[26]命令机关在执行的时间、方式、何时中止、是否限缩自身请求权等问题上对执行机关进行指令。德国主流学说认为:行政强制执行就是有权机关以行政性程序来强制公民或者其他特定法律主体履行公法义务的过程。
四、公法金钱债权的行政强制执行债务人 《行政强制执行法》第二条对哪些相对人可作为执行债务人(Vollstreckungsschuldner)进行了规定,《税法》第七十七、二百五十五、二百六十三至二百六十七条对该问题进行了补充。[41] 最后,自联邦最高法院认同了民事合伙的权利能力后,[42] 公法上同样认为其整体可以作为地产税的自居债务人。[38] 且对于共同债务,可向任一共同债务人执行全部或部分债务。[72] 六、公法金钱债权的行政强制执行程序 在满足了前文所述前提条件后,强制执行命令的发出意味着具体贯彻强制执行程序的开始,行政强制执行进入到了其第二层次。一般认为,《行政强制执行法》第一条第一款所指的公法金钱债权是指由公法法人通过高权产生或由公法合同产生的金钱之债, 且该法仅针对联邦或联邦直属公法法人的公法金钱债权的执行。
在二元结构的框架下,金钱债权的执行一方面应首先满足所有行政强制执行都应实现的前提条件,另一方面又需回应关照自身的特殊要件。关键词: 公法金钱债权。[38]Congressional Research Service, Critical Infrastructure and Key Assets: Definition and Identification, available at http://congressionalresearch.com/RL32631/document.php,2018年11月16日最后访问。
一些国家的经验显示,关键信息基础设施保护范围的动态变迁由回应特定威胁的需求所引导,由政经社文的制度结构所决定,从根本上受一国关于安全与自由的理念影响。从行政的任务、组织形式到活动方式,都面临着结构性挑战,不能简单套用前网络时代的法律框架。但是,抽查、检测和评估的内容应当加以明确,需要集中于全网关键信息基础设施的相互依赖性、脆弱性分析和威胁评估。《保护条例(征求意见稿)》第40条第2款做了避免交叉重复检测评估的规定。
但是,如果私主体的动力和压力不足,市场机制就不能充分有效地发挥作用。有研究者认为,网络安全执法中,各主管部门从不同角度进行网络安全检查,其中不可避免地存在一定的交叉,给企业造成不必要的监管负担。
当时的保卫制度建立在相对封闭环境中,对物理性的重要设施采用严格的物理隔绝和保护措施,是主要应对传统国家安全威胁的制度。[22] 关键信息基础设施不同于一般设施与网络服务,它是国家安全、稳定的基础,如果受到攻击,可能导致网络运行发生障碍,进而影响国家安全、国计民生和公共利益。[34] 我国网络安全法确立了关键信息基础设施安全保护制度。[82]参见前引[37],陈爱娥文,第6页以下。
参见前引[37],陈爱娥文,第9页,第18页。这就重新整合了政府体系,以更好地回应国土安全保护需要。[20]还有学者建议,针对特别重要的关键信息基础设施建立应急备份和灾难恢复机制。美国政府在反恐战略框架下改革和完善了关键基础设施保护体系。
第二次世界大战之后,英国、美国、法国和德国等主要国家的行政活动,还普遍纳入了城市规划行政这一类型。[53]参见前引[37],陈爱娥文,第8页。
[35]参见周汉华:《网络安全法的调整范围》,第六届中国信息安全法律大会会议(西安交通大学)主题报告,2015年12月9日,陕西西安。自由主义传统所假定的个人在经济上的独立性,很多情况下并不存在。
[72]美国《保卫网络空间安全的国家战略》在优先事务中即鼓励私营部门共享网络安全状况信息。为了规范有关行政机关的行为限度,需要对其收集、分析、使用信息的权力义务作出更为明确的规定和限定。至于对进行网络攻击和入侵的违法犯罪行为人进行行政处罚,乃至追究其刑事责任,实际上并未脱离传统行政法和刑法的框架,只不过增加了一种适用情形而已。See National Academy of Engineering National Research Council of the National Academies, Critical Information Infrastructure Protection and the Law: An Overview of Key Issues, the National Academies Press,2003, pp.8-9. [50]同上。在现代行政国家,随着公务范围的扩展与种类的增多,层级制的局限日益凸显。这就大大提升了美国联邦政府在关键基础设施保护事务方面的组织协调能力和行动能力。
一般而言,监管权过于分散是导致监管不力与市场秩序混乱的重要制度原因,因此监管机构的改革应以加强监管权的统一性和执法力度为主要政策追求。因此,行政层级体制并非唯一可能的调控手段。
如果不能实现立法目的,形式上的合法也就失去了意义。[69]同上书,第40页以下。
在诸多网络安全事务中,合规被受访者列为最高优先级。第一,在保护对象方面,有学者提出,对于是否属于经济社会运行神经中枢的关键信息基础设施,应当以遭受攻击是否直接影响国家安全作为判断标准,并建议授权国家网信部门对其加以认定。
通过公私合作完成行政任务,其目的大多可以概括为追求更好的结果,或是获得更多的资源,或是两者兼而有之。为实现网络安全的政府规制目标,需要更新与重组旧有的监管机构,以适应现代社会对于网络安全的全新需求。在网络安全法研究起草期间,有学者在总结国际立法经验的基础上指出,立法的核心任务是使关键信息基础设施的所有者或者运营者承担相应的社会责任和法律义务,通过组织保障、风险预警、公私伙伴关系等全方位措施,形成多元主体共同参与安全治理的格局。欧盟指令还对完成的时间和频率作了规定。
关键信息基础设施保护的治理对象需要系统分类指定和审慎动态调整。主要国家往往通过合规遵从或安全保障等方式确立供应链审查制度。
当然,更重要的是,不是授权一个中心规制者来监控互联网免受恶意代码的攻入,而是建立一个分布式的监测网络以搜集和分析关于网络威胁的信息。政府对攻击能力强的网络犯罪者、外国机构等侵入者及相关防卫技术更为熟悉。
[63]另有研究者主张建立一支成建制的、体系化的、覆盖全国范围的队伍,统一监管关键信息基础设施保护,因为这样可以避免因多头管理、重复工作、职责分工不明而给运营者带来的极大困惑。关键信息基础设施也是工业化、城市型社会正常运转的根本所在,任何现代国家都不能承受其运营中断的后果。
[98]澳大利亚也规定关键基础设施应当具有恢复力,即在中断、紧急和灾难时有能力提供最低水平的服务,并快速恢复至全面运营的灵活而及时的能力。[85]参见张敏:《我国关键基础设施保护立法定位与内容的思考》,《信息安全研究》2015年第2期。运输部门非常重要,但不是每一座桥梁对整个国家而言都是关键的,因此要聚焦于最高优先级的事务,在预算上重点保障保护关键基础设施所需资源。关键信息基础设施的指定应当相当审慎,既不能过于宽泛,导致有限的资源无法被充分高效地应用。
关键信息基础设施保护的行政任务与此前常规的行政任务形态有着较大差异,其对行政的组织形式提出了挑战。[13]参见马民虎:《网络安全:法律的困惑与对策》,《中国人民公安大学学报(社会科学版)》2007年第1期,第57页以下。
2015年2月6日,美国发布国家安全战略报告,强调要增强关键基础设施的恢复力。[93]详细讨论,参见马民虎、马宁:《〈网络安全法〉与国家网络安全审查制度的塑造》,《中国信息安全》2016年第6期,第31页以下。
[97]欧盟则将获得网络的恢复力作为首要战略优先事务对待。[93]我国网络安全法第23条规定了网络关键设备和网络安全专用产品的安全认证和检测制度,同时规定应避免重复认证、检测。
