作者: 赵宏瑞
北京大学中国经济法学士、国际经济法硕士
中国社科院国民经济学博士
哈尔滨工业大学法学院院长
杨一泽
哈尔滨工业大学法学院15级硕士研究生
论网络国家大数据的主权保护
——《网络安全法(草案二审稿)》的特色与完善
摘要:网络与国家安全相互交叉竞合,是世界各国面临的立法难题。在联合国层面,联合国大会、美国以外的西方、发展中国家、上合组织国家、美国自身都各自形成网络安全政策立场的“五大流派”。中国基于自身国内外的需要,制定了统筹领导、统筹规划、统筹协调、部门主管、非政府网络参与者合计27类人的“五层逻辑”《网络安全法 ( 草案二审稿 )》,创立了层次清晰的中国特色网络安全法治轮廓。本文提出优化完善网络主体、客体、平台、活动、治理机制“五点改进”建议,凸显网络空间国家大数据的主权保护、推进该法迅速出台的“最后一公里”。
关键词:网络国家大数据;网络空间主权;网络安全法立法
网络安全的核心,是构建国家大数据安全秩序。当代网络社会体现出了五点特征:全节点、全时点、全空间、全联通、全学科。目前的“网络”范畴体现为全球70亿人口中有30亿人上网,例如土耳其总统就依靠Facebook传播信息来平息突发的政变,表明了全节点联通的网络技术正在影响着各国主权与世界安全。
完善落实国家网络大数据的主权安全保障是立法目的。2016年6月底,中国全国人大在审议《网络安全法(草案二审稿)》(以下简称“二审稿”)后,部分国际媒体认定该法规定得过于严格(路透社,2016年6月28日);在7月7日,西安交通大学马民虎教授在《法制日报》阐释了网络主权的价值基础;在7月12日、14日,方兴东教授等10余位网络专家继续对“二审稿”提出深入具体的修改意见;在2016年7月22日,中国网络空间安全协会在京组织研讨会。本文围绕网络安全的国际视野、“二审稿”的五层逻辑、完善条文的“五点改进”,谈谈落实完善国家网络大数据主权安全保障的立法思考。
联合国层面在网络主权立场上的“五大流派”
国家大数据安全,20年来在联合国引发持续关注。1996年,联合国从南非“信息社会与发展会议”和巴黎“恐怖主义问题部长会议”开始,就把电信发展与国际安全联系起来,常设为联大议程,要求其成员国提交各自政策立场。总结起来,联合国层面最新的书面立场分为如下“五大流派”:
(一)联合国大会的网络主权观
2015年7月22日,第七十届联大《关于从国际安全的角度看信息和电信领域的发展政府专家组的报告》达成了国家主权和国际法适用于网络空间的原则,界定了“信息通信技术活动”、“领土内的信息通信技术基础设施”定义。
(二)美国以外的西方国家观点
美国以外的西方国家主要包括一些北约成员,例如加拿大、德国、荷兰、葡萄牙、西班牙、英国等,它们主要的主张是隐私权保护。
(三)非西方的发展中国家观点
代表性国家例如古巴主张应根据《联合国宪章》和国际法来和平利用信息和通信技术;巴拿马主张建立内部防火墙等基础设施,以确保其国家信息安全。
(四)中俄等上合组织国家观点
2015年1月9日,上海合作组织六国常驻联合国代表提交新版《信息安全国际行为准则》,主张网络空间的主权平等、利益攸关、和平解决争端。
(五)拒绝官方表态的美国观点
美国在联合国20年来一直回避表达自身立场,但美国国内的网络政策十分清晰,它强调网络空间是全球领域、虚拟世界、关键行业、控制“神经”。2010年1月21日,美国国务卿希拉里•克林顿发布“互联网自由”政策(思想、言论或表达、宗教、免于贫穷、全球接入自由、信息流动自由共计“六项自由”)。哈佛大学法学院教授、民主党2016年总统提名者劳伦斯•莱斯格(Lawrence lessig)认为:代码(code,即软件与硬件的总和)是网络空间的法律,网络是“超主权”、“全球人民主权”。他的观点构成了美国“互联网自由”政策的法学基础。
“二审稿”架构网络治理机制上的“五层逻辑”
网络作为主权意义上的本体,需要在中国特色法律体系中整体架构网络安全的治理层级,主要是衔接《国家安全法》和相关部门法从而构成逻辑递进体系。如下图所示。
图片来自《网络空间研究》
(一)国家安全的“统筹领导”机构(国安委)
《国家安全法》第四、五、八、四十、四十五条规定了国家安全“统筹领导”部门是中央国家安全领导机构,它同样是网络安全的“统筹领导”机构。
(二)网络安全的“统筹规划”机构(国务院)
“二审稿”第十五、二十九、五十六条规定国务院和省、自治区、直辖市人民政府应当“统筹规划”网络安全相关事务,制定关键信息基础设施的具体范围和安全保护办法,可以在特定区域对网络通信采取限制等临时措施。
(三)网络安全的“统筹协调”部门(网信办)
“二审稿”第八、三十七、四十九条规定了国家网信部门负责“统筹协调”网络安全工作和相关监督管理工作,统筹协调有关关键信息基础设施的安全保护等。
(四)国家网信关键基础设施部门(各部委)
“二审稿”第八、十四、二十二、三十、三十三、三十五条等规定国务院电信主管部门、 公安部门和其他有关机关在各自职责范围内的网络安全职责。
(五)非政府网络“要素”参与者(27种人)
“二审稿”第一、九、十一、十八、十九、二十一、二十二、三十二、三十六、三十九、四十、四十六、五十二、五十四、六十二、六十九、七十条规定了27类网络参与者,规定了网络运营者、行业组织、大众传播媒介、企业和高校、职教培训机构、网络服务提供者、具备资格的安全认证或者安全检测机构、关键信息基础设施运营者、安全管理负责人、关键岗位人员、从业人员等的职责。
“二审稿”完善网络治理机制上的“五点改进”
综合国际形势与国内需求,“二审稿”在广泛调研基础上抓住了中国网络安全范畴安内攘外的总体立法需求。为协调衔接现有制度,可以优化改进如下:
(一)在“网络平台”定义方面的同一性
“二审稿”第三、四、五、十、二十二条等条款中有关“网络基础设施”、“关键信息基础设施”、“网络关键设备和网络安全专用产品”共29处概念与《国家安全法》需保持同一性。
《国家安全法》第二十五条定义的“网络信息”应当在“二审稿”条文中体现,并用于前置和后接“安全保障体系、安全保护能力、技术创新应用、关键基础设施、重要领域信息系统及数据关键设备、安全专用产品”等概念,因此建议相应修订29处。
(二)在“网络主体”定义方面的同一性
鉴于《国家安全法》第二十五条“网络空间主权”的提出,“二审稿”第二十、三十五、 四十六条等应当规范“身份”、“公民个人信息”等网络主体定义的同一性;建议统一改为主权范畴下的“个人”主体,涵盖领土范围内的自然人、成年人、未成年人、居民、人为设置的网络镜像装置,并相应修订草案20处。
(三)在“网络客体”定义方面的同一性
“二审稿”第十、十七、四十六条等分别提出16处“网络数据”、3处“电子数据”概念,这应当与“网络信息”保持同一性。数据(data)、电子数据、代码(code)、情报(intelligence)等在电信和物理现实世界中各有含义,例如“量子通信”之“量子”(并非电子)所产生的数据是什么?目前科技界尚无统一共识。建议统一使用“信息”(具有可识别性)作为“网络客体”,并在条文中相应替代修订19处。
(四)在“网络活动”定义方面的同一性
“二审稿”第十四、十五条规定的“网络产品和服务”、“网络产品、服务和运行”应当与《国家安全法》第五十九条规定的国家安全审查制度衔接起来。关于网络活动的范围界定,建议修改为“网络信息、技术、产品、服务和运行”并相应修订9处。
(五)在“治理机制”方面的四项制度优化
“二审稿”第六条建议用“不良文化”替代或者并列“核心价值观”;第十五条“网信标准”建议添加“网信办会同国务院各部门”共同制定;第二十二条有关国家大数据的问题,建议添加所有网络运营者应“实时上报并自行留存”网络日志的规定,以使国家网络大数据形成“池子”并作为安全审查的基础;在第三十五条数据外移需要安全评估的基础上,建议添加“安全审查”机制,实现制度优化。
结论:发挥中国维护网络信息安全的优势
中国维护网络安全的优势,在于拥有国别最多的网络用户。在全球人均“生产”网络信息内容均等的情况下,中国应发挥自身用户与信息总量的优势,以网络主权为导向,以网络四要素为支撑,优化衔接其他法律,统筹构建出中国特色的网络安全法治体系,以维护国际网络正义,服务中国文明崛起。
赵宏瑞,杨一泽,《论网络国家大数据的主权保护》,汕头大学学报网络空间研究,2016年第4期,第31-33页。
中图分类号:G203 文献标识码:A
本文版权归《网络空间研究》所有,转载请保留文章完整,注明出处。