“以管理为基础的规制”——对网络运营者安全保护义务的重构

和世界上大多数国家一样,我国的网络运营者主要是党政军和国有企事业单位之外的私营部门。因此,如何妥善地界定他们所需承担的网络安全保护义务,是改善我国网络安全状况的关键问题之一。在此方面,现行制度和两次公开征求意见的《网络安全法(草案)》,均采用了关注安全底线的、静态的、具体的措施性规定,作为网络运营者安全保护义务的核心内容。而在网络安全形势瞬息万变的今天,关注安全底线的、静态的、具体的措施性规定实际上并不足以为网络和信息系统提供实质性的安全。因此,《网络安全法》中对于安全保护义务的制度设计,应该致力于让网络运营者在内部决策环节就足够重视风险管理,使安全义务从外部至上而下地施加转变为内化于心。