张龑 | 网络空间安全立法的双重基础
时间:2021-11-20网络空间安全立法的双重基础
作者:张龑,中国人民大学法学院教授
来源:《中国社会科学》2021年第10期P83—P104
摘要
为保护自身的网络空间安全,各国纷纷立法,由此形成了网络空间国家化趋势。然而,这一趋势越是加深,网络空间安全秩序内含的矛盾越发凸显,这源于封闭性的国家立法在面对具有跨越性的网络空间时,立法目的难以达成,而隐藏其后的则是物理空间与网络空间的二元论对立思维。我国《网络安全法》中的网络数据和《数据安全法》中的数据的认知差异深受这一思维的广泛影响。为此,需回到网络空间本身的跨人格性、跨国家性与跨空间性等属性,反思我国现行网络安全立法。在明晰主权国家和网络空间命运共同体的辩证关系基础上,确立网络空间安全立法的双重基础,构建一套包含立法理念、基本原则与体系构成要素的安全立法基础性规范。
关键词
跨越性,网络空间国家化,网络安全立法,网络空间命运共同体
引言
网络空间安全的立法保障是当前国家治理和法治建设中最紧迫的实践命题之一。在迅猛发展的智能科技时代,我国的网络安全经历着巨大的挑战。这一挑战既有来自网络超级大国的干涉渗透,也有大型社交平台汇聚起来的网络民意引发的舆情危机,还有掌握海量数据的网络平台巨头产生的安全数据泄露,以及大量的黑客攻击、个体信息泄露等。为维护网络安全,抓住网络发展机遇,我国近年来网络安全领域立法步伐加快,在2015年制定的《国家安全法》引领下,《网络安全法》(2016)、《密码法》(2019)、《数据安全法》(2021)等陆续出台,关于个人信息安全、关键基础设施安全、网络安全等级保护等都已纳入国家立法规划,我国网络空间安全立法体系初步形成。
学界亦对网络安全立法展开大量的研究,却少有对网络空间本身属性的关注,这使得一系列建立在物理空间思维基础上的相关概念直接运用到网络立法,相关主体无法从中获得明确的安全边界指引和法律预期。网络发展到今天,它不仅是法律调整的一般对象,还是法律运行所依赖的空间。可是,当封闭的主权国家为开放的网络空间进行安全立法时,网络安全既是国家安全与发展利益的一部分,某种程度上又成为传统国家安全的挑战和威胁。基于网络空间命运共同体的现代科技文明追求,反观我国现行网络安全立法,对网络与网络安全有着认知上的滞后性,需要深入探究网络空间自身的属性,辨析网络主权论的利弊,明确网络安全立法的双重基础及其基本法律关系,确立立法理念、基本原则与体系要素等安全基础规范,力求实现我国网络空间的安全有序与健康发展。
1、立法中的认知差异
我国《网络安全法》第76条第2款对网络安全给出了明确界定,“网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。”据此,网络安全中包含网络数据安全,第76条第4款则规定了网络数据是指“通过网络收集、存储、传输、处理和产生的各种电子数据”。与之相比,我国《数据安全法》第3条对数据的定义为“任何以电子或者其他方式对信息的记录”,范围明显大于网络数据。由此产生了立法体系解释上的两个问题,一是通常认为《网络安全法》与《数据安全法》之间是一般法与特别法的关系,而后者的数据范围却较前者的数据更广;二是《数据安全法》对数据的保护不限于网络数据,还包括其他形式的数据,重要的原因在于网络数据与其他形式的数据之间没有明确的界限。这两个问题表明,我国网络空间立法中对于物理空间和网络空间的关系存在一些认知上的差异,即以物理空间思维定义网络数据,以虚拟空间思维理解网络空间和数据。一直以来,网络空间多被视为独立于物理空间的虚拟空间,物理空间与网络空间的二元论成为不言自明的前提。如有学者认为网络空间等同于虚拟空间,有的直接将网络空间视为陆、海、空、太空之外的第五空间。尽管不乏有学者意识到网络空间与物理空间之间具有复杂的关联性,如有学者指出网络空间“在象征意义上是虚拟的连接,在功能意义上却依赖于物理场所和国家领地”,也有学者主张网络空间与物理空间是一种虚实同构的双层空间,却并没有对此给出专门细致的辨析。现实是,网络空间是一种嵌入到物理世界中国家法与国际法秩序的新空间,其独特的空间属性,为国家、社会和个体的安全带来巨大而持续的挑战。
(一)网络空间的跨越性与安全性
网络空间呈现出多重属性,如虚拟性、全球性、物理性、人造性等,但归根结底,最基本的属性还是跨越性。跨越性(trans-)既不同于独立性,也不同于超越性(over-),是指事物之间、跨越事物边界的联结性和交互性。网络空间既不是独立自足的空间,也不是超越性的形而上空间,而是一种跨越性空间,而且内含三重跨越性:第一是跨人格性,这也是其名为“互联网”的原因。网络空间为人与人之间的交往沟通提供了前所未有的便利,无论身在何地,只要有网络,人与人之间就可以相互联通。为此,在网络空间里,个体人格将不再是人的主要人格特征,跨人格性在网络空间中获得了最大程度的实现,这也是网络空间可以瞬间集聚起公共舆论海啸的原因。第二是跨国家性。网络空间是国家与社会框架之外的第三空间,如果说国家具有的是一种超越个体的公共人格,网络空间不是超越于国家之上的空间,而是一种跨越于不同国家之间的空间,如数据的跨境流动实际上是数据在网络空间的自由流动。 第三是跨空间性。网络空间寄身于物理空间中的网络基础设施,却又自成一个虚拟空间,跨越二者之间的媒介是数据与算法。数据依托于网络空间而存在,自由流动于物理与虚拟空间之间,是网络空间跨越性的典型体现。
网络空间的跨越性根源在于其内在的复合结构。从技术角度观察,网络空间由三个相互重叠的层次所组成:最底层是网络基础设施构成的物理层;中间层是逻辑层,也即代码与算法层;最上层是内容层或虚拟层。在面向全球开放的虚拟层中,不同用户在无数终端之间瞬时发出和接收数据,由此生成了跨越个体、国家以及现实与虚拟之间的网络空间。 网络空间的跨越性决定了,网络空间安全需要国家主权立法的保护,却并不全然在国家主权覆盖范围之内。就物理层的网络基础设施来说,这一部分完全是实体世界中有形、有坐标的存在,故属于传统安全的范畴。同物理层不同,网络空间的逻辑层是无形的、不透明的,其关键网络资源主要由全球互联网技术社群负责设定,不在一国主权管辖范围之内。网络空间的内容层则是一个虚拟空间,这种虚拟性打破了传统意义上的国家边界,动摇了以领土为基本要素的国家主权秩序逻辑。网络空间的三层结构对应的是三种安全需求:一是物理层的关键基础设施安全,二是逻辑层的网络运行与算法安全,三是虚拟层中的信息与数据安全,三种安全跨越个体、国家以及现实空间与虚拟空间,共同构成了一种总体安全的需求。
概括来说,网络空间是新生事物,准确把握网络空间的性质是立法的前提。正确的观察方法应该是,以物理性观察物理空间,以虚拟性观察虚拟空间,以跨越性观察网络空间,三者混淆则会发生认知差异。据此方法,网络空间安全既包括网络本身的物理安全,也包括数据与算法等虚拟空间的安全,是国家、社会和个体的重大利益在网络空间中相对处于没有危险,不受内外威胁的状态。
(二)国家立法保障网络安全的边界争议
在网络安全概念出现之前,一般使用的是信息安全。信息只属于网络空间的一个层面,现在更多使用的是网络数据安全。网络数据跨境流动,是网络空间跨人格性和跨国家性的典型表现,但网络数据是虚拟空间之物,并不等于网络空间,网络空间跨越物理空间和虚拟空间,既包括网络数据,也包括非网络数据。自17世纪以来,主权国家保护人民安全是基本的安全立法范式,网络空间以跨越性将世界和人类联为一体,国家立法保护网络空间安全,必然面临认知方式转换的问题。
回顾网络空间与主权国家之间关系的历史,在短短数十年里经历了三个不同性质的历史阶段。第一阶段是国家在网络空间中。20世纪六七十年代肇始于美国的信息技术革命按下了造就当今覆盖全球的网络空间的按钮,21世纪初互联网取得了爆炸式的成长。2003年美国的《保护网络空间的国家战略》首次正式提出和界定网络空间,尽管有关网络技术发展与国家管辖权、管辖能力的微妙关系引发了不少关注,但有关网络空间治理的观念和实践还远没有展开。这一阶段是自由而无序的网络空间生成阶段,众多国家都对网络空间敞开大门。第二阶段可以称为网络空间的国家化。21世纪以来,各国开始就网络是否要治理、如何治理等问题展开讨论,由此步入延续至今的“网络空间国家化”进程。此阶段,总体上表现为两种相反力量的对抗,一种是网络超级大国试图降低、排除甚至阻断发展中国家实质介入全球网络空间治理;另一种是技术和实力相对弱势的发展中国家,坚持并努力介入全球网络空间治理。此阶段,网络空间秩序成为国际秩序的投影,主权不过是传统主权观的延伸。第三阶段是网络空间中的主导权之争。网络空间国家化阶段尚未结束,网络主导权之争已现端倪。各国政府、跨国网络巨头、非政府组织、技术社群、网络用户等都是网络空间行为主体,不同主体之间占有的资源与技术能力处于快速变动中,竞争的领域覆盖了网络空间各个领域。网络发展到今天,已经不存在唯一的、掌控一切的绝对权威,网络新兴国家、跨国网络巨头等通过技术以及其他手段掌握海量的数据,对网络关键基础设施和资源的掌控力越来越强,传统意义上的国家主权与安全格局变得日益复杂与脆弱。
从立法角度观察,当前网络空间、国家主权空间以及世界空间处于一种边界相互交错的态势。国家立法保护网络空间安全,至少面临两个亟须解决的边界难题:第一,国家法效力的封闭性与网络的跨国家性。每个国家的法律效力都是有界限与范围的,超出主权范围,就会丧失法律效力。但就网络虚拟空间来说,所有国家共享一个虚拟空间,虚拟空间具有自身统一的技术标准。即便网络空间逐步国家化,对于跨国家的网络行为,网络安全执法很难有效实现。第二,安全的总体性与网络的跨空间性。安全是一个整体性概念,脱离了总体安全谈局部安全是没有意义的。网络安全是一种包含三层结构安全的总体安全,物理层的安全依然离不开传统主权和安全观,而虚拟层一定程度上要求全球共治共享,这就意味着,为了维护网络安全,必须处理好当下国家利益和人民的发展利益的边界、国家间合作与竞争的边界。单纯的网络空间国家化趋势,不宜成为网络安全立法应当遵循的立法精神,应从网络空间的性质出发重新审视这一国际学界热议的话题。
2、空间二元论下的网络主权观反思
无论是物理空间安全,还是网络空间安全,说到底都是为了人民的安全。人民总是同特定空间凝结在一起,国家则是基本的空间单位。如前所述,国际学界和法学界广泛争议的网络主权问题,实质上是网络空间国家化的问题,隐藏其后的则是物理空间与网络空间二元论的思维定式,需要从网络空间的跨越性对之加以反思。
(一)近代主权观与空间立法的正当性
一般认为,人民主权是一国法治的正当性基础与法律效力的来源。人民主权是指人民对于特定人居空间具有绝对、不可分、不可让渡、不受干涉的权力。这一观念表达了一种解决两种世界之间关系的方案,即精神(或意志)对于实体世界的主导范式。据此,人与外部空间的关系就分为精神上占有和身体上占有:身体上占有,如世代生活在某一土地上或暴力征服,并不当然产生法律上的财产关系;精神上占有,如意志对自身以及外部世界的把握,成为现代法律以及财产权的基础。任何一种空间主权都是精神占有与身体占有的统一,身体占有属于事实问题,而精神占有则关涉立法正当性问题。人民成为主权者对应的是精神占有的正当性,即人民的意志和利益成为主权立法意志。
从精神对空间的占有来看,主权观念可以分为传统主权观与网络空间主权观。传统主权观对应的是物理空间中以国家为单位的主权秩序,国家是由领土、人口与主权三要素组成的基本空间秩序单位。网络空间主权观因其跨越性而更为复杂,既有传统主权的问题,也有网络虚拟空间的主权问题。网络空间的国家化就此表现为两种并行的趋势,一种趋势是传统主权观及其所支撑的传统安全观逐步要求网络空间的国家化,另一种趋势是网络虚拟空间自身生长出来的社会规则与主权意志,它挑战传统主权安全,却大多数时候不得不依赖传统主权国家来保护自身的安全。两种趋势其实代表了关于网络空间主权两种对立的立场。
(二)两种网络空间主权观的局限
如前所述,网络空间与主权国家之间的关系经历了三个历史发展阶段,若从网络主权角度观察,第一阶段就是网络主权的否定观,第二阶段是网络主权的肯定观,第三阶段则是网络空间逐步呈现出整合物理空间和虚拟空间的倾向。有关网络空间主权的核心问题就是,在网络空间中,是传统国家主权秩序优先,还是网络空间自治秩序优先。
网络主权否定论认为,传统主权不能延伸到网络空间,网络空间自治秩序优先。这一立场的代表性观点主要为多利益攸关理论与全球公域理论。2005年,联合国在信息社会世界高峰会上通过《突尼斯议程》,正式提出网络治理的“多利益攸关方主义”。其治理模式主要包含三方面内容:一是不预设任何“中心权威”或“单一的领导者”;二是采取包容性和平等性原则,赋予各参与方相应的权利、义务和责任;三是坚持去中心化、由下至上的进路,这要求所有的决策都应来自受其影响团体的合作和同意。另一种观点是全球公域理论,类似于国际海洋法与国际航空法中对全球公共领域的处理模式。全球公域是指不为任何一个国家所支配而所有国家的安全与繁荣都依赖的领域或区域。全球公域不属于一国主权内事务,它也会面临安全威胁,但没有有形的敌人和固定的对手,保障公域安全需要运用广泛的军事手段与包括政治、外交等在内的一系列非军事手段。将网络空间视为“全球公域”的国家主要是网络超级大国,如美国在《2010年四年防卫评估报告》中明确将网络空间定义为“信息环境中的全球领域”,从而成为美国国家安全的重要内容。当然,如有学者指出的,全球公域控制权是网络霸权主义的军事基础, 全球公域说与其说否定的是网络空间主权,不如说维护的是现有的国际霸权秩序。仔细推究起来,网络空间主权的否定立场实际上主要来自两种价值立场,一种是网络自由主义,另一种是网络霸权主义。两种价值立场都是旧的国际秩序观的映射,前者是“去主权化”的全球网络理想主义,后者是“超主权”的网络霸权主义,二者都无助于一般民族国家特别是弱小的发展中国家保护自身的网络空间安全。
网络主权肯定论主要有两种观点:一种是认为网络空间与物理空间没有质的区别,因此完全可以受到国家管制。 针对网络空间超出一国法律效力范围的论述,法律人需要的是进一步研究冲突法,而不是专门创设出独立于国家法律之外的另一种体系;另一种观点来自国际网络空间治理的实践。许多国家长期不满网络超级大国以“网络空间自治”为名行网络霸权之实,所以在国际场合纷纷发起改革倡议。2011年9月,上海合作组织成员国正式向联合国提交《信息安全国际行为准则》,重申与网络有关的公共政策问题的决策权是各国的主权。2012年12月,在国际电信世界大会上,发展中国家借助“网络主权”概念,要求重新塑造网络空间治理。2017年3月,我国发布《网络空间国际合作战略》,提出尊重国家网络主权为基础的网络空间治理和国际合作的立场。不过,在一定程度上,这种从实践出发肯定网络主权的观点仍旧沿袭传统国家主权观。我国虽进一步提出了合作主权论的观点,但是,如何从理论上加以证成与深化“合作主权论”,还需要回到网络空间自身的性质上来。
(三)以主权国家与网络空间命运共同体为基础的安全立法
无论是网络空间主权的否定论,还是肯定论,所坚持的无非是空间二元论,肯定论是以物理空间观察虚拟空间,否定论是以虚拟空间观察网络空间,都忽略了网络空间的复合结构和跨越性。跨越性对应的是网络空间的共同体属性,单纯的国家化无助于网络空间的健康发展和人民福祉的有效实现。而且,网络空间主权肯定论和否定论都忽略了主权是精神占有与身体占有的统一,如卢梭所言,主权概念的核心是意志与力量的结合,单纯强调力量或是意志都不足以为网络空间提供安全秩序。再者,主权的正当性在于人民性,国家立法的基础是人民意志,国家立法不能只反映和代表物理空间主体的意志,还应包括虚拟空间主体的意志。无论持何种网络主权观,都需要认识到,网络空间时代,人民安全与福祉不能要么简单沿袭要么排斥物理空间时代的主权国家的人民意志,而应同时积极发现和塑造网络空间命运共同体中的共同价值。
当前问题在于,物理空间秩序出现了意志与力量的分化,网络新生意志与传统物理世界的霸权意志之间分歧日益严重,而主权国家与网络空间自生力量——网络平台巨头之间的安全冲突也不断加剧。因此,在网络这个新型跨越性空间里,网络空间的主权问题必然表现为探寻网络空间的共同价值与提升网络技术的控制力和安全保护能力两个维度。在第二届世界互联网大会上,习近平总书记指出,“网络的本质在于互联,信息的价值在于互通”。网络将人类从传统的物理疆界中解放出来,实现瞬时互联互通,创造出具有跨越性的网络空间,跨越性是互联的学理表达。网络空间立法的正当性意志就在于两方面,一方面是主权国家和人民意志,另一方面是网络空间命运共同体和全人类共同价值。二者的结合就构成了网络空间安全立法保护的双重法理基础:网络空间安全立法融贯国家主权与网络空间命运共同体,安全和发展居于立法的核心。以此观之,网络空间主权的肯定论和否定论,要么是单纯的网络空间国家化,要么是脱离现实的去国家化,无法成为网络空间安全的立法保护的理论基础。
3、三种基本法律关系
国家是网络空间建设的推动者、网络安全风险的承受者,也是网络空间安全的保障主体。同时,推动建构网络空间命运共同体,实现国内人民和各国人民之间的互联互通,合作共享,是网络空间跨越性的应有之义。网络空间是跨国家的,人民安全就其范围也是跨国家的,网络安全风险来自国家内外,故网络空间安全立法既包括国内法,也包括涉外法,既要考虑国内法秩序,也要考虑国际法秩序。主权国家是人民安全所系,网络空间命运共同体是各国人民发展利益所在,在安全和发展的辩证关系中,网络安全立法就在国家为主导的网络实践中形成了三种基本的法律关系:网络新兴国家与网络超级大国之间、国家与作为网络运营者的网络平台巨头之间、国家与公民个体之间的法律关系。
(一)多元法律主体的意志与权力
网络空间拓展了人民的生活空间,也就产生了新的利益和安全需求。在新旧秩序迭代过程中,传统的超级大国意在维持自己的霸权与利益,网络新兴国家则希望积极发展网络科技的同时也能有效保护自己的安全,网络平台巨头期待网络空间自治,因网络而汇聚起来的民众公共舆论则释放着自己的情绪。网络空间的多元法律主体既有着各自的合理安全需求,又因其权力而成为网络安全的重大风险源,它们的意志与权力因此成为立法必须加以规范的基本内容。
第一,网络超级大国的霸权意志与空间主导性权力。网络超级大国是指在网络的关键基础设施、算法技术能力以及虚拟空间的规则设定等方面具有实际控制力和主导能力的国家。目前称得上全球网络超级大国的只有美国,如全球13台根服务器,不仅主根服务器位于美国,其余12台辅根服务器中的9台也都在美国。根区文件虽由互联网名称与数字地址分配机构(ICANN)直接管理,但全球主根DNS的最终管理权仍处于美国控制之下。 美国通过对网络空间信息流动的控制,实现对全球网络空间的塑造,从而形成有利于自己的网络空间秩序,维护和延续自身的霸权地位。2013年棱镜门事件表明,超级大国以国家力量,借助本国网络巨头、情报机构以及其他系统,建立了一套统治全球的服务于本国安全利益的网络治理体系。
第二,主权国家的国家意志与国家强制力。国家基于自身主权范围内的国家强制力,成为网络空间中的基本权力单位。在以超级大国为主导的全球网络空间控制中,各民族国家不是行动者,而是被动的参与者。网络空间本身是去中心化的,主权国家始终是独立的网络单位和管理者。每个国家在其主权范围内拥有独立自主的管辖权,可以随时动用国家机器介入全球网络空间治理,如对网络内容的管控、数字产品的管理、网约车等新业态的监管。在涉外法治方面,各国借助自身在国际市场、国际社会中的地位和份额来影响全球网络治理,通过选择议题、设定议程、参与国际体系的规则制定来维护自己的国家意志和利益。现在,“领网”以及“制网权”成为继海洋权、航空权以及外层空间权之后最为重要的一项国际竞争的权力类型。它们一方面体现了主权国家的国家意志和安全需求,另一方面若运用不当难免会成为阻碍网络空间健康发展的保守力量。
第三,网络巨头的自治意志与媒介性社会权力。网络巨头是一种跨国家与跨空间的大型网络平台的运营者,它可以对物理空间与网络空间中的身份、利益和机制加以重新配置、构成或重构,故也称为媒介性权力。相对于具有边界的国家空间来说,网络空间的跨越性决定了网络空间的疆界模糊性。具有统一性的网络技术规范是网络空间秩序不可缺少的基础,是媒介性权力的源泉。从全球范围看,网络空间的技术规范与算法主要掌控在网络巨头手中,正在从权力与合法性方面挑战国家的地位。大量人群的网上活动、个人数据、社交网络行为等都控制在少数网络巨头手里,它们在网络空间承担的公共职能以前都是国家的专属权。拥有超大用户群的网络巨头,如苹果、谷歌等,甚至被视为网络空间中的数据帝国,就此而言,将虚拟国家与物理国家整合为一体,可以说是网络空间立法权的正当性任务所在。
第四,民众的公共意见与“广场权力”。现代性的一个重要特征就是人类跨越传统疆界,实现更大范围的一体化。网络空间的出现,把民族国家之内的众多个体从物理疆界中解放出来,形成了一个由多元化力量共同主宰的全球网络空间,它可以在极短的时间内集合公共意见进行表达,引领公众的注意力。由于全球网络空间并没有一个统一的、中央所垄断的权威,这种民众的公共意见类似于“广场权力”,大型网络社交平台则是网络空间中的广场。但是,民众的公共意见往往容易情绪化,很容易为人所利用。从 2009 年伊朗总统选举引发的“推特革命”到维基揭秘系统披露美国在阿富汗、伊拉克的战争文件,再到2011年以来风起云涌的“阿拉伯之春”“占领华尔街”运动,都可看到民众的公共意见携同其身后的霸权国家、网络巨头以及资本的力量在网络空间中结合为一种新权力形态,成为威胁网络空间安全的巨大风险源。
(二)安全风险与法律关系的形成
“维护网络安全,首先要知道风险在哪里,是什么样的风险”。安全风险是法律治理与规范的对象,安全风险越大,安全立法越迫切,相应的法律关系越重要。当前网络技术不断迭代升级,网络安全风险也此消彼长,网络安全涉及的各种法律关系也更为复杂。在霸权秩序尚在的情况下,具有跨越性的网络空间打破了传统国内与国际秩序的平衡,撕开了各国的安全防线,上述法律主体之间相互竞争甚至对抗,要么威胁一国主权安全,要么破坏网络共同体的发展演进,为各国网络空间安全带来了三方面的重大风险,由此形成三种网络空间安全基本法律关系。
第一,跨国家层面的安全风险,表现为网络超级大国与网络新兴国家之间的安全法律关系。网络超级大国既是传统国际秩序的霸权力量,也是网络空间最早的创建者和推动者,但也可能是新旧空间矛盾最难以克服的国家。对于网络新兴国家来说,旧秩序的历史包袱没有那么重,如中国在短短20多年时间里,网民的数量已经跃居世界第一,拥有世界第一的固定网络与移动网络。但是对于网络超级大国来说,自身与新兴国家之间的竞争是新旧矛盾交织的,因而也是全方位的,包含了现代性的全要素:资本、科技、信息与军事等。如美国2018年通过的《澄清境外数据合法使用法》(简称“云法”),沿袭传统安全思维,将美国的主权管辖范围延伸到所有美国公司控制的数据,相比起网络新兴国家主张的多边主义,具有强烈的单边主义倾向。目前来看,两种国家之间能够将法治作为“以其人之道还治其人”的方式进行规则竞争,是全球网络空间安全与和平的幸事。
第二,跨空间层面的安全风险,表现为网络新兴国家与网络巨头之间的安全法律关系。经过几个世纪的斗争和磨合,国家主权秩序意味着资本与国家处于一定的平衡制约机制当中。国家需要资本促进繁荣,资本需要国家提供良好的营商环境,民众在享受资本带来的繁荣的同时,也通过国家来克制资本的剥削与贪婪。平台与资本的结合打破了这种平衡,重塑了利益分配格局。当前来说,网络空间内部权力格局还处于发展阶段,根本性的法则还没有形成共识,大量的网络空间资源还没有被有效纳入治理,所以这一阶段的国家还要联合并依靠本国的网络巨头共同维护国家安全与网络安全,而网络巨头出于国内和跨国经营的安全需求,还需要母国主权的庇护。2020年12月15日欧盟发布了《数字服务法》和《数字市场法》两部草案,旨在打破互联网企业的垄断,特别是针对提供数字服务的美国网络巨头征收数字税,确保欧洲数字经济健康可持续发展。我国《数据安全法》第4章赋予网络平台以数据安全义务,同时对于本国网络巨头在国外受到不公正待遇亦提供法律保护。
第三,跨人格层面的安全风险,表现为网络巨头与民众之间的安全法律关系。网络平台巨头是网络空间的产物,尚缺乏公法上的正当性。普通用户依靠平台来生存与活动,但在真正实现自我意志的公共整合之前,根本无法与平台平等对话。网络平台与用户民众之间的关系既是一种服务关系,也是集数量之巨的裹挟关系。原本服务于普通用户和民众的网络平台通过占有数据获得了一种新的巨大权力,如通过用户画像、追踪用户偏好、特定用户算法排序等潜移默化地影响用户对客观世界的认知,网络平台巨头就此打造出网络空间的“信息和数据帝国”。为此,各国纷纷以《反垄断法》对网络平台巨头加以约束。当然,即便是这样一种虚拟世界的帝国,在正当性上依然与人民主权相一致,网络空间中的普通用户才是网络空间真正的主人。如欧盟《一般数据保护条例》(GDPR)体现的是人权优先的个体信息安全保护模式,但也因此成为“立法者的梦想,法官的噩梦”。一国以及跨国的普通民众如何在网络空间实现公共意志的结合,从而生成对网络平台巨头的立法意志,就成为网络空间安全立法的重要任务。
结合上述分析,不难发现主权国家的网络安全立法至少包含如下三种基本法律关系:一是国家与网络超级大国的霸权威胁之间的法律关系,二是国家与网络巨头的社会权力之间的法律关系,三是国家与个体信息安全之间的法律关系,包括国家立法规范个人与网络平台之间的法律关系。这三种法律关系彼此不可替代,却经常相互交织。而且,随着网络空间的进一步发展,这三种法律关系也将发生一些主次变化,如国家与网络超级大国之间的安全冲突转变为经过网络科技赋能的跨越物理空间和网络空间的新兴国家与传统国家之间的安全冲突,以及国家与网络巨头之间有时以竞争和规制关系为主,有时以保护与合作关系为主。
(三)法律关系之间的冲突与协调
事实上,这些基本法律关系已多次出现在我国网络安全保护的制度实践中。在第一种法律关系中,我国的网络安全受到来自超级大国的干涉,网络生存空间和正常网络发展利益受到超级大国全方位的打压。如作为中国向海外成功输出的第一款网络社交型产品,TikTok在进军美国市场时备受打压。针对这些打压,我国《出口管制法》(2020)、《反外国制裁法》(2021)等涉外法律的出台表明,这一法律关系已经成为我国网络安全立法体系的一部分。在第二种法律关系中,网络巨头的垄断性力量和跨国家性对我国网络空间安全构成了多重挑战。最为典型的挑战是以蚂蚁金服为代表的互联网金融给国家金融安全造成的系统性风险,以及一些平台巨头到美国上市引发的国家安全数据泄露危险的事件。在第三种法律关系中,国家对个体信息安全承担保护职责,而个体信息安全的案件主要集中在个体信息滥用、网络电信诈骗以及网络金融诈骗等方面,受害人群之广、诈骗金额之巨、连年攀升之势,使得这方面的立法保护非常紧迫,为此,我国在《民法典》(2020)中增加了公民隐私权保护的条款,全国人大常委会也专门制定了《个人信息保护法》(2021)。
三种基本法律关系各自对应不同的法律主体,每种法律主体都有不同的安全风险,产生不同的安全需求。而且,实践中的网络安全事件往往是几种基本法律关系交织在一起。法律是社会生活的规范构造,一个成熟的立法体系是同社会生活样态相适应的。从我国现有的立法体系来看,三种基本法律关系既在现有的法律体系框架之内,又相当程度地突破了这一框架,纵向上受宪法的统摄,横向上则跨越了不同的部门法,网络空间安全的各项立法呈现出传统部门法之间的交叉融合的特征。正如三种基本法律关系的主体与对象来自不同的文化、不同的社会阶层、不同的国家,甚至是不同的空间,如数字货币、虚拟人格等,需要统筹处理这三种基本的法律关系。对于第一种关系,需要统筹国内法治与涉外法治,协调国内立法与涉外立法,如《网络安全法》(第7条)、《数据安全法》(第11条)都体现了涉外法治立法的特征。对于第二种关系,由于国家、政府和社会组织都在网络空间中活动,三者都属于网络空间中的行为主体,在网络空间中都体现出平台运作的形式,所以需要统筹法治国家、法治政府和法治社会,实现一体建设。如《数据安全法》(第4条)坚持总体国家安全观,同时规定了企业平台数据安全与政务平台数据安全,以及跨境国家数据安全。对于第三种关系,需要实现公法与私法保护的综合立法。网络空间安全保护首先是一个公法命题,保护国家安全和公共利益是立法首要之责。与此同时,网络空间也是民众的生活空间,数字经贸往来的市场空间、企业与公民的个体信息安全保护同样不可或缺,网络空间安全立法的任务之一就是在网络空间里确立一个安全可靠的私法自治空间,以安全保发展,以发展促安全。如我国《个人信息保护法》第4章规定了个人对自己信息享有的一系列权利,但是却对个人信息进行分类保护,涉及关键基础设施上的信息以及敏感信息,给予重点保护,对于一般个人信息则给予一般保护,也就意味着弱化相关主体的保护义务,由此实现安全与发展的统筹协调。概言之,网络空间安全的三种基本法律关系一定程度上突破了我国现有的立法体系架构,为新时代中国特色社会主义法治体系建设增加了新的内涵,需要从网络空间跨越性出发,结合我国网络安全实践,不囿于现有的部门法框架,协调三种基本法律关系之间的张力,制定符合网络空间跨越性的安全立法体系。
4、我国网络安全立法的基础性规范
中国是网络新兴国家,也是发展中国家,还是全球倡议共同构建网络空间命运共同体的负责任大国。我国立法保护网络空间安全同样存在网络空间国家化的问题,必然面临前述三种基本法律关系包含的重大安全威胁,需要从网络空间安全立法的双重基础上加以回应。从我国的立法体例上看,立法的基础性规范主要包括立法理念、基本原则与体系构成要素等。如前所述,我国网络空间安全立法体系初步形成,一定程度上实现了有法可依,而法治不仅要求有法可依,还要求良法善治,达到立法体系的科学性、统一性和前瞻性,理清、理顺我国网络安全立法体系中的基础性规范,为进一步建立和完善网络空间安全法治奠定基础。
(一)立法理念
习近平总书记指出,“《联合国宪章》确立的主权平等原则是当代国际关系的基本准则,覆盖国与国交往各个领域,其原则和精神也应该适用于网络空间。”与此同时,“网络空间是人类共同的活动空间,网络空间前途命运应由世界各国共同掌握。各国应该加强沟通、扩大共识、深化合作,共同构建网络空间命运共同体”。站在百年大变局的历史分水岭上,我国网络空间立法要从网络空间的性质出发,坚持网络空间命运共同体和主权国家的双重基础,确立引领立法方向的两重理念:网络空间命运共同体观与总体国家安全观。
第一重理念是网络空间命运共同体观。网络空间的跨越性表明,网络空间在本质上是一种人与人、国与国、空间与空间之间的命运共同体。它是全人类共同的生活空间,而不是某个强国或大国的。共同体的价值包含共有共治共享,正是网络空间的共同体属性使得各个主权国家之间产生了互相依赖与合作性,以及物理空间与虚拟空间之间的互相依赖性。我国《网络安全法》第7条对此明确规定,“推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系”。需要明确的是,构建网络空间命运共同体并不能一蹴而就,而是一件久久为功的事业,它构成了我国网络安全立法的方向指引,不可混淆于法律上的具体权利或义务。
第二重理念是总体国家安全观,包括国家尊严观与人民安全观。一方面,国家主权是网络安全的制度支撑和保障,没有国家强制力的后盾,网络空间安全都是空谈。对于我国来说,尊重主权是网络空间安全最重要的制度支撑,如全国人大常委会制定《反外国制裁法》时指出的三个出发点:坚决维护国家主权、尊严和核心利益,反对西方霸权主义和强权政治,以法治之道对有关国家的实体和个人实施反制。我国网络安全立法的主权尊严理念主要包含三个层面的内容:一是我国有权根据本国国情和发展利益制定网络发展战略和相关政策法律,任何国家不应利用网络干涉我国内政,破坏我国的国家主权尊严和网络空间安全;二是我国对属于本国核心利益的网络基础设施及其开展的活动享有管辖权,对于来自霸权主义和强权政治的制裁与长臂管辖,采取法治的手段“以其人之道还治其人”;三是立法促进我国网络科技水平和治理能力提升,确保我国在网络空间竞争和反制过程中具备应有的能力。
另一方面,《国家安全法》第3条规定了国家安全工作应当“以人民安全为宗旨”,网络安全同样是为了人民的安全。一国能否制定真正代表网络空间中人民意志与利益的安全立法,直接决定了该法的正当性。就跨国家的网络空间中的人民来说,实际上包含两个层次:一是中国人民,二是世界各国人民。对应这两个层次,在跨国家的全球网络共同体层面,应当坚持全人类的共同价值和国际安全合作治理的原则,积极履行网络安全方面的国际义务。在国家内部层面,中国人民是主权者和立法者,网络安全立法体现的是本国人民的意志,但不能囿于国家的封闭性,而是要兼顾人民的当下安全利益和未来发展利益。
上述理念密切联系,不可割裂对待,是我国作为一个新兴大国在网络空间时代的责任担当。网络空间命运共同体是对网络空间本体性的规律遵循,基于总体国家安全观演绎出的人民安全观是网络空间正当性的法理根据,国家尊严观则是网络空间安全保障的制度支撑。以此为基础,我国网络空间安全的核心理念就可以概括为:以网络空间命运共同体为指引,以人民安全为中心,以主权国家为支撑,从网络发展的实际出发构建我国的网络空间安全立法体系。
(二)基本原则
在第二届世界互联网大会开幕式上,习近平总书记提出了全球互联网治理体系变革应坚持的四项原则:尊重网络主权、维护和平安全、促进开放合作、构建良好秩序。我国《网络安全法》中也规定了一系列基本原则,如网络空间主权原则、网络安全与发展并重原则、权责相统一原则以及共同治理原则。从法律适用上看,基本原则之间也会发生冲突,而且原则不等于规则,规则发生冲突时会发生效力全有或全无的结果,而原则之间是一种需要彼此权衡的合比例关系。从网络空间立法的双重基础观察,一部分原则建立在主权国家基础之上,一部分建立在网络空间命运共同体基础之上,二者之间的辩证关系使得两种原则之间具有或对立或补充的关系,需要统筹兼顾或合比例地运用。具体来说,我国现有网络空间安全立法中的原则可以优化组合为如下四点原则:
第一,兼顾尊重主权与反对垄断的原则。我国是一个网络后进国家,却后来居上,成为网络超级大国之下屈指可数的新兴网络大国。我国既要防范来自网络超级大国的干涉打压,又面临着网络大国共同的安全威胁——跨国网络巨头。一方面,就网络超级大国的干涉来说,尊重国家主权、尊严和核心利益是安全立法的根本。这一原则贯穿于我国的《国家安全法》《网络安全法》《数据安全法》以及《反外国制裁法》等近乎全部网络安全相关法律当中。习近平总书记指出“要理直气壮维护我国网络空间主权”,既是因为国家主权原则适用于网络空间已是发展中国家的共识,也是由于我国在全球网络空间治理进程中受益于该原则并取得重大进展。另一方面,超级大国的干涉往往与跨国网络巨头互相联合利用,所以反干涉必须与反垄断相结合,不能混淆网络空间自治与网络垄断,放任跨国网络巨头以各种形式对我国网络安全进行渗透和控制。事实上,即便对于网络超级大国来说,跨国网络巨头既可以是合作伙伴也会反噬自身。只是在这一点上,我国网络空间安全相关立法并没有将之作为基本原则明确规定下来,这使得维护国家主权的立法理念失去了一个重要的制度支持。
第二,自主创新与善意合作合比例原则。网络安全问题既是一个合法性问题,也是一个技术能力问题。我国虽已成为世所瞩目的网络发展大国,但中美贸易摩擦暴露出我国在核心技术上的短板。常怀忧患意识,避免卡脖子的技术制裁,主动引领新一轮网络空间发展浪潮,是保障我国网络安全的基础。《网络安全法》第3条规定了安全与发展并重的原则,“国家坚持网络安全与信息化并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用”。当然,技术自主创新不等于闭门造车。网络空间是跨越性和结构开放的,国家与国家、国家与跨国大企业之间的合作不可避免。但是,合作的前提是善意原则,如网络发达国家与发展中国家之间在数据流通等领域的合作上,要秉持平等合作、尊重主权的善意原则。我国《数据安全法》第11条表明了我国善意合作的法律立场。保护网络空间安全有赖于一种互相尊重、互相信任与互利共赢的人文交流环境,这是开展国际间善意合作的基础,但是,尊重也是靠自己赢得的,自主创新是获得尊重的前提。因此,既要主张善意合作,更要坚持自主创新,将二者有机结合起来,提升我国网络空间的竞争力和管控力,确保立法制度性理念的充分实现。
第三,网络自治与国家主权合比例原则。由于网络空间本身的跨越性和去中心化,网络空间立法是一个构建自治权和主权之间合比例关系的过程。近年来,区块链技术发展方兴未艾,为网络空间自身建立权威和信用等自治机制提供了技术基础,带动着网络资源控制和安全格局正在发生深刻的改变。为了维护我国网络发展利益,国家应尊重和推动网络空间内在的信用体系建设,支持和促进企业等社会力量的成长,兼顾网络发展与安全有序之间的平衡,基于这一平衡需求调整网络自治与安全监管之间的合比例关系。这一关系主要包括四方面的内容:(1)网络空间自治的主观原则与国家立法的客观共识原则之间的合比例关系。网络空间自治的主观性在于网络发展本身的高度不确定性,以及网络新生社会力量的自我定位的不确定性。相反,国家按照客观法行事,一方面可以确保安全与稳定的预期,另一方面也有其滞后保守的一面,需要与网络空间自治保持恰当的合比例性。(2)网络空间自治的效率性与国家立法的公平性之间的合比例关系,如在网络安全执法过程中,既要采取应急预案及时处理,还应根据部门职权及网络安全事件等级合理划分任务与职责。 (3)网络空间自治的去中心化与国家立法的权威性之间的合比例关系。如根据《网络安全法》第15条之规定,“国家建立和完善网络安全标准体系。……国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定”,国家通过确定网络安全的行业标准体系来实现行业自治。(4)网络空间自治的合道德性与国家立法的合法性之间的合比例关系。如根据《网络安全法》第9条之规定,“网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任”,推进网络法治的同时也要推进网络道德建设,当合比例地推动二者之建设。
第四,权责利相统一与一体化治理相结合的原则。权责利相统一是指在网络法律关系中,网络主体享有的权利、职权、利益与承担的义务、职责、责任必须相一致。网络科技的日新月异引发了立法的滞后性与社会发展之间的矛盾,网络空间的行动主体经常会处于法律空白或空隙之中,有时需要通过后果模式加以约束与制裁。《网络安全法》第12条规定了网络空间的主体既享有网络权利,也要承担相应的责任。为了保障网络空间安全有序发展,各参与主体之间应当处于一种权利、责任和利益上的相辅相成、相互制约的统一关系。与此同时,网络空间的跨越性又经常使得不同的主体在网络空间中责任负担、权力范围、利益诉求的差异化,所以一方面网络立法需要坚持权责相统一的原则,另一方面,从国家安全监管的角度来看还需要确立网络空间一体化治理原则。“网络不是法外之地”,在网络空间中同样要坚持法治国家、法治政府和法治社会的一体建设。作为一个新兴空间,在网络空间中国家、政府和社会的界限时常发生变化,网络空间安全法律体系仅仅依靠国家立法是远远不够的,还应包括涉外类的法或法律规定,如《反外国制裁法》《数据安全法》中的相关规定,以及网络行业的自律规范等社会规则。因此,在网络空间安全立法中确立权责利相统一与网络空间一体化治理原则,是化解网络发展的多变性与立法的安定性之间安全冲突的基本要求。
(三)体系构成要素
自1994年接入国际互联网以来,我国对网络的性质与安全经历了从技术工具到生活空间再到重大安全威胁的逐步加深认知的过程。初始人们只是将互联网作为普通技术工具看待,《计算机信息系统安全保护条例》(1994)、《计算机信息网络国际联网管理暂行规定》(1996)等规定均只是将互联网作为新兴的信息技术对待。2000年以后,人们逐渐认识到互联网强大的媒体属性、商业机会和社会价值,各级政府部门开始网络信息立法,《电信条例》(2000)、《互联网信息服务管理办法》(2000)等规定相继出台,全国人大常委会《关于维护互联网安全的决定》开始强调网络安全。2010年以后,我国全面进入网络社会化阶段,网络空间成为中国人的生活空间,网络为人们生活带来巨大便利的同时也产生了大量的安全危害。2016年11月7日《网络安全法》的颁布是一个标志性事件,普遍认为《网络安全法》为保护我国网络空间安全提供了基本法。此前,我国立法机关已经制定了《国家保密法》(2010)、《国家安全法》、《密码法》等,2017年之后,国务院各部门相继颁布了《网络安全审查办法》(2020)、《网络产品安全漏洞管理办法》(2021)等规章,《民法典》中增加了个人信息安全保护的条文,《数据安全法》从实质上丰富了网络安全立法体系。可以说,我国的网络空间安全立法已经形成了一定的体系。
网络空间安全立法体系是中国特色社会主义法律体系的重要组成部分,在纵向的效力层次上,它依然符合我国的立法体制,遵循宪法、法律、其他法律、行政法规、部委规章等由上而下的立法层级结构,这是网络安全立法中主权国家法理基础的要求。在横向上,如网络空间的跨越性表明的,网络空间安全立法与现有部门法体系并不衔接,具体体现为三种立法体系构成要素,也即立法体系中的基本脉络:一是涉外性要素,二是技术标准性要素,三是自治性要素。
第一个要素是涉外性。网络安全立法体系既包含国内法也包含涉外法,一些网络安全法律既包含国内法的条款,也包含涉外法的条款。如《网络安全法》第37条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”;《数据安全法》第25、26、31、36条都是属于关于跨境数据流动监管的涉外性条款。第二个要素是技术标准性。网络空间是人造的科学技术支撑的空间,虚拟空间和物理空间之间的跨越性是通过数据和算法等媒介实现的,这种媒介严格来说也属于技术及其标准范畴,网络空间安全立法中很大一部分法律或行政法都属于技术标准性规范,如《国家标准化法》(2017年修订)、《密码法》以及其他网络安全立法中的技术标准性条款。而且,有些网络技术由于其专属性、受知识产权保护等因素而无法为法律所规制,到目前为止,网络科技与安全立法如何相融合是一个基础性的法律命题。第三个要素是自治性,网络空间立法既包含公法,也包含私法。网络空间是技术支撑的空间,在国家因为网络技术而极大地提高了社会管控和治理能力的同时,猖獗的网络黑客以及网络犯罪说明国家保护网络空间安全特别是个体信息安全能力是有限的。为了保证网络空间民事活动的正常开展,网络空间的跨人格性要求自治性立法,确保个体之间可以在网络空间中安全地开展活动,如《民法典》第469条明确了电子合同的地位,目前各国正在推动的区块链技术的应用,以及技术革新带来的网络伦理自治规则,这些都组成了网络空间立法的自治性规范,尽管这方面的立法还处于起步阶段。概言之,我国网络空间安全立法体系中有三条基本脉络——涉外性、技术标准性与自治性,贯穿于我国网络空间安全立法体系当中,既是网络空间跨越性的体现,也是充分保障网络空间安全的基础性规范要求。
结论
一国立法保护网络安全意味着,现实国家为人们在具有跨越性的网络空间行动提供安全保护,难免会以物理空间思维思考网络空间,引发立法中的认知差异,使得立法体系内部出现理解和解释困境。从法律的效力来看,国家只能对自己可以实施制裁的空间提供法律保护,为了保护本国网络安全和发展利益,现实中就出现了网络空间国家化的趋势。这一趋势本是因应实践需要而发生,在物理空间和网络空间二元论的影响下,转变成学界的网络空间主权肯定论与否定论。两种观点无法为网络空间安全立法提供理论基础,网络空间的跨越性调和了二者的争议,成为网络空间安全立法的基础,从法理层面上表达,就是网络空间命运共同体与主权国家构成了网络安全立法的双重基础。
经过多年努力,我国已经初步建成了《网络安全法》统领下的网络安全立法体系,但达到良法善治的法治境界尚任重道远。在这一体系中,网络超级大国、网络新兴国家、网络平台巨头、通过网络集合起来的民众以及网络黑客,都成为我国网络安全立法不可忽视的行动主体或防范对象。这些主体相互之间的关系构成了我国网络安全立法的基本法律关系,这些法律关系一定程度上突破了我国现有的国家立法体系的内在脉络,要求跨界融合,在现有网络空间安全实定法的基础上,构建一套融合了网络空间命运共同体与总体国家安全观等理念的基础性规范,在网络空间命运共同体和主权国家的辩证关系中,为我国网络空间的安全有序和健康发展保驾护航。