“以管理为基础的规制”——对网络运营者安全保护义务的重构

和世界上大多数国家一样,我国的网络运营者主要是党政军和国有企事业单位之外的私营部门。因此,如何妥善地界定他们所需承担的网络安全保护义务,是改善我国网络安全状况的关键问题之一。在此方面,现行制度和两次公开征求意见的《网络安全法(草案)》,均采用了"关注安全底线的、静态的、具体的措施性规定",作为网络运营者安全保护义务的核心内容。而在网络安全形势瞬息万变的今天,"关注安全底线的、静态的、具体的措施性规定"实际上并不足以为网络和信息系统提供实质性的安全。因此,《网络安全法》中对于安全保护义务的制度设计,应该致力于让网络运营者在内部决策环节就足够重视风险管理,使安全义务从外部"至上而下"地施加转变为"内化于心"。