□ 宋哲甫
2025年10月全国人大常委会对《中华人民共和国网络安全法》作出修改,并于2026年1月1日起施行。此番修法的显要之处,在于把三件原本分散于政策、实践和理论层面的事项一并纳入了法律的硬框架:一是把“坚持中国共产党的领导、贯彻总体国家安全观、统筹发展和安全”上升为网络安全工作的法定原则,确立了数字治理的政治起点;二是将人工智能、算力、数据要素、算法伦理以及风险监测这些近年来增长最快、变动最大、风险最集中的数字议题统一装入网安法的制度版图;三是将原来相对平面的法律责任部分改造为分级、分档、可攀升的处罚体系,把不同违法情形与不同社会危害对应起来。这种“政治原则前移—技术对象并入—责任结构分层”的组合,恰好与近年数字法“从部门立法走向领域立法”的趋势同向而行,数字法治已不再是对技术的被动回应,而是主动塑造一个可统摄公法与私法的制度场域。
定位明晰:数字法更接近“领域法”而非“再造一个部门法”
围绕“数字法究竟应当是一门新的部门法,还是一种面向特定问题的领域法”这一点,近两年的讨论已经比较充分。比较典型的一条思路认为,互联网、大数据、人工智能的出现,带来了全新的调整对象、立法实践和司法案例,网络法完全可以像劳动法、环境法那样生长为一个独立部门,甚至可以借此摆脱当年“马法之议”所做的那种“对象不同不足以构成新法”的消极判断,借助新技术的推动实现法律部门的再次分化。但同一时期,另一条更贴近当前国家立法方式的论证却指出:数字时代的风险是复合性的,往往同时牵涉人格利益、公共安全、产业竞争乃至国家安全,以传统部门法的分立结构去硬性承载,极易出现规范碎片化、部门壁垒化和执法割裂化;真正需要的,是一种“以问题为中心、以实践为牵引、跨越部门边界的领域整合”。
观察此次网安法的修改,就会发现它与后一种思路是吻合的。一方面,它并没有在民法、行政法、刑法之外再平行立一个同级别的“数字部门法”,而是努力把个人信息保护、数据跨境、关键信息基础设施防护、人工智能安全这些原本散落在不同法律中的要素统摄在同一专门领域之内;另一方面,它又将党的领导、总体国家安全观写入并作为首要条款,把这一领域的正当性来源直接指向国家整体治理结构,而不是指向某一部门法内部的自我完结逻辑。这样的立法式样,很难用传统“部门法—部门法”并列的方式来解释,却与“针对一类高耦合的数字问题,构建一个可以横向调用多部门资源的专门领域法”的思路完全契合。
更重要的是,各学者的观点都提醒公众,数字法的问题不宜做成“非此即彼”的选题:一味强调它“已经足以成为部门法”,容易忽视数字问题的技术依赖性和跨界性;一味否定它的独立性,又会使之滑向“大杂烩”“问题清单”的状态。比较稳妥的做法,是承认数字法在现阶段更适合被处理成“领域法学”——以一簇现实问题为轴,把部门法学的成果、其他学科的知识以及最新技术的规范要求统合起来,同时又不过早要求它在学科谱系上自立门户。从这个角度看,把网络安全法的此次修改理解为中国数字法走向“领域化”的一个样本,既能避免“马法悖论”,也能与当前中央关于发展数字法学、科技法学、社会治理法学等新兴学科的政策要求保持一致。
分层的处罚与弹性的制度:数字违法行为为何要“阶梯式”处理
相较于概念层面的定位,制度层面的变化往往更能体现一个领域法的真实面貌。此次修法对法律责任部分所作的调整,基本可以概括为三层:轻微违法先纠正,中度违法重罚并问责,严重违法要付出停业、关闭乃至吊销的高昂成本。看似只是在原有罚款幅度上作了加码,实则是在重塑数字违法行为的“风险—责任”链条。数字空间的违法往往具有“表象同质、后果异质”的特点——同样是安全措施不到位,有的只是局部数据泄露,有的却会牵动关键信息基础设施、公共服务网络甚至区域性舆情,一刀切的处罚必然会造成要么执法过度、要么失之于宽的两难困境,因此必须做成分档运行。
同时,人工智能驱动的网络环境正在拉大“技术变动的指数级速度”与“法律规则线性演进速度”之间的距离,这是不少地方在执行网安法时都能感受到的“制度时差”:平台刚上新的算法模型或交互功能,法律上的义务、配套的标准、应急的流程、地方的技术能力却还没跟上,执法机关只好用最重条款兜底,结果既影响企业预期,也影响治理信任。将处罚做成梯度式,正是为了给这种时差预留制度缓冲区:第一档确保“有法可依”,第二档通过提高违法成本督促主体持续合规,第三档才是针对真正引发系统性、溢出性、跨境性风险的行为,避免“一上来就最重”。
这种分层,其实还有一层不那么显眼但很关键的意义:它使得私法上的受害事实能够顺利转化为公法上的执法依据。最初的触发点可能只是用户的个人信息被过度采集、未脱敏存储或未经同意跨境传输,这在私法上是人格利益或数据权益受侵害,在传统行政法视角下却未必构成重大违法;但在数字领域法的框架里,只要这种侵害达到一定规模或发生在特定基础设施之上,就可以视为“危害网络安全秩序”,从而进入更高一级的处罚。换言之,正是因为采用了“领域化”的思路,才合理出现了“私权受损—行政处罚—高强度管制”的连续链条。
分层处罚和“党建引领”并不是两张互不相干的制度表。之所以反复强调“没有数据安全就没有国家安全”,就在于它已经嵌进金融、能源、交通、公共服务这些最容易产生系统性影响的行业,一旦出现高位泄露或服务中断,必须要有法律上的刚性手段立即落地。于是,立法者在责任章节拉高上限、允许停业、关闭乃至吊销证照,既是在与现实风险对表,也是使党在网络安全和数据安全领域的集中统一领导能够获得足够的制度抓手。
把方向定在前面:党的领导、总体国家安全观与数字治理
此次修法最引人注目的一个“位置变化”,就是把党的领导写在了首要位置。这种前置并非象征性的强调,而是要在法律层面为三种张力提供统一的解法:一是安全与发展的张力,二是多部门治理与一体推进的张力,三是技术中立与价值导向的张力。数字经济、人工智能和数据要素的发展确实需要更加宽松、更加灵活的制度环境,但同时,数据出境、算法内容生成、关键信息基础设施防护、认知域安全等又都是必须严管的核心领域,如果没有一个能够从政治上做最终裁量的“总开关”,实际操作中就会出现“部委之间各有说法、地方之间尺度不一、平台之间规则不一”的碎片化治理。把党的领导写入总则,正是要防止这种碎片化。
从已有的数字法学讨论来看,很多问题之所以显得“空”“散”“像拼盘”,并不是因为研究者不用功,而是因为缺少一个足够高的、足以把技术、市场、社会、国家拉到同一张桌子上的统领性原则。关于形成具有自主性的数字法学理论的讨论指出,数字法学的研究不能简单照抄国外关于数据权、算法透明、平台责任的现成框架,也不能动辄就创造新权利、罗列新风险,而是要围绕中国式现代化的治理任务、围绕党的数字战略,建立起规范探讨的方式和优先序,做到“问题可分、目标一致”。
当然,把党的领导写进法律,并不意味着要以政治判断取代法律判断。在数字领域,恰恰是通过党的集中统一领导,才能真正形成“以安全托底、以法治定型、以技术赋能、以市场激活”的运作序列。时建中所谈“没有数据安全就没有国家安全”,强调的正是这种序列感:先要把安全这根弦绷紧,再谈要素化、市场化、跨境化,才能既守住底线又释放活力。而在技术层面,中国人民大学法学院教授陈景辉关于“算法之治只能是法治的拘束对象”的提醒,也能帮助我们理解为何必须在法律前端写明政治方向——只有法先站住,算法才能被嵌入法,而不是反过来由算法决定法。
(作者单位:苏州大学王健法学院)