论网络安全法的基本原则
2018-07-17谢永江
谢永江
法律原则是指法律的根本准则,是指在一定法律体系中作为法律规则的指导思想、立法基础或本源的、综合的、稳定的法律原理和准则。法律的基本原则体现了法律的基本精神和根本价值,反映了法律的本质。网络安全法的基本原则是贯穿于网络安全法律之中的、为网络安全法所固有,并对网络安全法的创制和实施具有最高指导意义的根本准则,体现了网络安全法的立法宗旨和基本精神,是全部网络安全法律规范的价值主线和灵魂所在。
根据我国《网络安全法》的规定,网络安全法的基本原则应包括网络空间主权原则、网络安全与发展并重原则、责权利相统一原则和共同治理原则等四项基本原则。本文拟对各项原则进行逐一分析。
一、网络空间主权原则
(一)网络空间主权原则的确立
所谓网络空间主权或网络主权,简单来讲,就是一国国家主权在网络空间中的自然延伸和表现。对内而言,网络空间主权指的是国家独立自主地选择本国网络发展道路、网络管理模式、互联网公共政策,不受外部干涉;对外而言,网络主权指的是一国平等地参与网络空间国际治理,防止本国互联网受到外部入侵和攻击。网络主权是一国国家主权不可分割的组成部分,是国家主权的应有之义,不是与传统国家主权并行的事物。
网络空间是否有主权,目前仍有一些争议。有人认为,网络无国界,网络空间是全球公域,不应受任何单个国家所管辖、支配,因而网络主权一说不成立。现在多数学者认为,网络虽然无国界,但是计算机、路由器、服务器、光纤等网络基础设施是处于一国境内,网民、互联网企业等网络主体都是有国籍的,网络上的数据和信息也是存放在一国境内的服务器上,基于网络而形成的网络社会更是现实社会不可分割的部分,因此网络空间理所应当受到国家的管辖,而不应该是法外之地,因此明确网络主权非常有必要。值得注意的是,各国虽然在网络主权的提法上各执己见,但在实践层面却无一例外对本国网络加以管理和保障,防止受到外部入侵和干涉。
中国是在国际上积极倡导网络主权的国家。早在2010年6月公布的《中国互联网状况》白皮书中就指出,互联网是国家重要基础设施,中华人民共和国境内的互联网属于中国主权管辖范围,中国的互联网主权应受到尊重和维护。2014年7月16日,习近平主席在巴西国会演讲中提出,每一个国家在信息领域的主权权益都不应受到侵犯。同年11月19日,习近平主席致首届世界互联网大会贺词中又表示:“中国愿意同世界各国携手努力,深化国际合作,尊重网络主权,维护网络安全,共同构建和平、安全、透明的网络空间。”特别是2015年12月16日,习近平主席在第二届世界互联网大会开幕式主旨演讲中提出了“四项原则”和“五点主张”,明确指出推进全球互联网治理体系变革要坚持尊重网络主权原则。此后,在2016年11月16日第三届世界互联网大会开幕式上的视频讲话中,以及2017年12月3日致第四届世界互联网大会的贺信中,再次强调了网络主权原则,这是习近平主席连续四次在世界互联网大会上强调网络主权原则。在立法和政策上,2015年通过的《国家安全法》第二十五条、2016年通过的《网络安全法》第一条都明确提出了要维护网络空间主权,2016年12月出台的《国家网络空间安全战略》和2017年3月出台的《网络空间国际合作战略》也对网络空间主权作了较具体的阐述,可见我国对网络主权之重视。法律是治理网络空间不可或缺的重要手段之一,之所以要将网络空间主权原则作为网络安全法的基本原则,主要是因为:
第一,网络的发展没有改变以《联合国宪章》为核心的国际关系基本准则,尊重国家主权是当今国际关系的基本准则,其原则和精神也应该适用于网络空间。全球互联网实际上可以看作各国国家局域网的互联互通,网络空间具有国际性,网络法也就具有一定的域外性,一国网络法的实施不可避免地会对境外的网民访问境内的网站信息造成一定影响。这些影响都会映射到网络空间主权问题上来,因此网络安全法必须对网络空间主权问题有一个明确的立场,即要尊重各国网络空间主权。
第二,网络空间主权是一国网络安全立法、执法、司法的基石,也是一国实施网络治理的前提和基础。在现实世界中,各主权独立国家的立法、执法、司法都是基于一国主权而实施的,不容他国任意干涉。网络空间也是一样,各国基于国家主权对其领土上的网络设施、网民、网络活动、网络信息进行管理,是行使网络空间中国家主权的体现,网络安全法应当对此予以确认。
第三,当前阶段,一些网络霸权国家在战略上把网络空间当作“全球公域”,强调网络空间中的行动自由,甚至利用技术优势肆意监视其他国家和政府领导人活动;一些国家基于自己的价值观和意识形态,推行所谓的“互联网自由”,利用网络手段进行意识形态渗透,甚至意图颠覆他国政府。但网络空间完全不同于传统上的公海、太空、南极等全球公域,网络空间虽然具有全球性,但其根基于各国领土之上,构成网络空间的物理设备设施及其上的数据和信息以及网络用户均是在各国领土范围内,从而自然而然地在各国主权管辖之下。因此,网络安全法尤其要强调网络空间主权原则,抵制他国利用网络实施损害我国主权、政权和网络安全的行为。
第四,网络主权原则对于像中国这样的网民迅速增长的发展中国家尤为重要。当前网络空间治理国际规则尚待形成,全球互联网治理体系变革处于关键时期,而网络空间治理国际话语权主要为欧美等西方网络强国把持,在网络治理平台搭建、议题设定、舆论宣传等方面均占据主导地位;它们极力推崇多利益相关方模式,有意无意地排斥主权国家参与的多边模式;在其所倡导的多利益相关方模式下[以互联网名称与数字地址分配机构(ICANN)为典型],网络发展中国家因能力所限而根本无法平等地参与网络空间国际治理。发展中国家的治理能力虽然有所欠缺,但网民数量却迅速增加。根据Miniwatts公司统计,本世纪以来,非洲网民增长85倍,亚洲网民增长16倍,拉丁美洲和加勒比海地区网民增长21.4倍,中东地区网民增长43.7倍,大大超过世界平均水平(9.8倍),远超网络发达地区的欧洲(5.3倍)和北美(2倍)。网民的快速增长所带来的治理问题,客观上要求政府积极开展国内网络治理,并参与国际网络空间治理,要求网络空间国际治理更加平衡地反映大多数国家的意愿和利益,而遵守《联合国宪章》、尊重网络主权则是保障广大发展中国家根据自己的国情开展国内网络治理和平等参与国际治理的法理基石,是使全球网络空间治理体系更加公正合理的前提。
第五,从近年来的国家和国际实践来看,各国无一例外地行使着网络空间主权,不断出台各种有关网络基础资源管理、网络安全、个人信息保护、网络犯罪、网络知识产权保护、电子商务等方面的法律和政策,组建新的网络监管机构,加强网络执法,强化对网络空间的治理,保障网络空间安全有序。例如,美国特别强调对其关键基础设施的保护,先后出台《1996年国家信息基础设施保护法》《2002年关键基础设施信息法》《信息时代的关键基础设施保护第13231号行政令》《关键基础设施的安全和可恢复第21号总统政策令》《促进关键基础设施网络安全第13636号行政令》《加强联邦网络和关键基础设施的网络安全的总统令》等法律和政策,以维护其网络安全;欧盟十分重视对个人数据的保护,先后出台了《个人数据保护指令》(95/46/EC)、《一般数据保护条例》等,强调个人数据不得传输到未达到欧盟标准的国家和地区,欧盟各成员国也据此完善本国的个人数据保护立法。这些立法都是在网络空间行使国家主权的典型表现。其实,明确网络空间主权原则,既能体现各国政府依法管理网络空间的责任与权利,也有助于推动各国构建政府、企业和社会团体之间良性互动的平台,为信息技术的发展以及国际交流与合作营造一个健康的生态环境。
(二)网络空间主权原则在网络安全法中的体现
对于网络空间主权的内容,可以从传统国家主权的管辖权、独立权、防卫权、平等权等四个方面进行引申理解,但与传统国家主权的内涵相比,网络空间主权存在一些特殊之处。
1.管辖权
管辖权是指国家对它领土之内的一切人(享有外交豁免权的人除外)和事物以及领土外的本国人实行管辖的权力,有权按照自己的情况确定自己的政治制度和社会经济制度。对网络空间而言,管辖权指的是主权国家对本国境内的网民、网络设施、网络活动、网络信息和领土外的本国网民实行管辖的权力。基于网络主权,一国有权制定适用于本国的网络法律法规和政策,依法采取必要措施,管理本国信息系统及本国疆域上的网络活动;有权决定境内的网络是否接入国际互联网,境外的网站是否可以在境内被访问;可以禁止不服从本国法律法规的网站在境内提供服务;可以对网络空间的谣言、诈骗等非法信息传播进行必要的管制;对网络违法犯罪行为有权行使行政、司法管辖权,等等。例如,我国《网络安全法》第二条明确规定:“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。”这就是通过立法明确网络管辖权。《国家安全法》第二十五条也规定,要加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。
在网络管辖权方面,对网络信息的管辖权争议较大。在互联网发展初期,各国对网络信息通常采取不管制或放松管制的政策,这让人觉得网络信息绝对自由是天经地义的事情;随着互联网全面渗透到政治、经济、社会的方方面面,非法和不良网络信息也越来越多,使得对网络信息和网络舆情的治理成为各国政府的重要课题。我国基于本国法律对谷歌等不遵守我国有关网络信息法律的网站进行限制正是行使网络空间管辖权的具体体现。一些西方国家主张的所谓互联网自由,就是要否定他国对网络信息的管辖权和治理权,让网络空间成为网络技术霸权国家畅通无阻的“全球公域”。
2.独立权
独立权是指一国完全独立自主地行使权力,排除外来干涉,无须受制于别国。传统的国家主权“含有全面独立的意思,无论在国土以内或在国土以外都是独立的”。由于互联网是全球性网络,各国的网络依赖互存,任何国家的网络都只是国际互联网的一部分;如果一国的网络不与他国的网络互联互通,完全独立运行就只能是一国局域网了。因此,一国的网络要达到完全意义上的独立是不现实的,只能是相对的独立。但网络主权应当是独立的,即一国网络除了应遵守该国认可的统一技术标准和国际规则外,不应受制于个别国家的支配。任何国家都不得搞网络霸权,不得利用网络干涉他国内政,不得从事、纵容或支持危害他国国家安全的网络活动。
目前,由于历史和技术原因,全球13台域名根服务器中美国境内有10台,只要美国在根服务器上屏蔽某一国家的域名,就能让这个国家的顶级域名网站在网络上瞬间“消失”。美国曾在战争的特殊时间里清除过伊拉克、利比亚的国家根域名,使得这两个国家的全部网站从国际互联网上消失。在这个意义上,美国具有全球独一无二的制网权,有能力威慑他国的网络主权。因此除了美国以外的其他各国的网络还无法实现完全的独立存在。要实现各国网络的独立权,就要将互联网的根服务器交给一个像联合国一样的国际机构管理。
我国一直致力于推动由联合国来负责接管互联网名称与数字地址分配机构(ICANN)的职能,但美国极力反对。2016年10月1日,美国商务部下属机构国家电信和信息管理局(NTIA)被迫结束与互联网名称与数字地址分配机构之间的授权合同,把对互联网数字地址分配机构(IANA)的管理权完全移交给位于加利福尼亚州的互联网名称与数字地址分配机构(ICANN)。IANA管理权的移交客观上有助于各国网络摆脱美国的绝对控制,走向更加独立。
3.防卫权
防卫权是指国家为维护政治独立和领土完整而对外来侵略和威胁进行防卫的权力。网络领域的防卫权主要指的是主权国家具有对外来网络攻击和威胁进行防卫的权力。网络攻击造成的损害已经不亚于传统战争,甚至比传统战争造成的损害更大。2007年5月,爱沙尼亚受到大规模病毒攻击,导致整个政府网络几乎关闭。2010年,“震网”病毒导致伊朗布什尔核电站无法正常工作。2010年5月,美国最先设立网络司令部,组建训练网军。2013年,美国棱镜门计划曝光,美国利用自身技术优势对他国民众和国家领导人实施监视、监听。这些事例已经警示人们网络战时代已经来临。此外,有的国家利用自身的信息优势和技术优势针对他国开展网络舆论攻势和意识形态输出,发动“颜色革命”,利用网络颠覆他国政权。总之,防卫权要求主权国家要设置网络疆界、网络边防,要有预防、监测、抵御和反击境外网络进攻的能力。
在网络防卫权方面,我国《网络安全法》第三、五条明确规定,国家建立健全网络安全保障体系,提高网络安全保护能力;国家采取措施,监测、防御、处置来源于中国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏。《国家安全法》第二十五条也明确规定国家要建设网络与信息安全保障体系,提升网络与信息安全保护能力,维护国家网络空间主权、安全和发展利益。
4.平等权
平等权是指主权国家不论大小、强弱,也不论政治、经济、意识形态和社会制度有何差异,在国际法上的地位一律平等。国际上,国家间关系的特征是平等和独立。网络领域的平等权主要指的是各国的网络之间可以平等地进行互联互通,各国享有平等参与国际网络空间治理的权利。由于互联网发源于美国,其他国家的网络都是后来接入到美国的互联网上,美国对互联网的掌控具有天然的绝对优势,其他国家则明显处于弱势地位,因而难以平等地参与国际网络空间治理。例如,2018年3月美国通过的《澄清合法海外数据使用法》(CLOUD Act)规定,美国的监管、执法、司法部门可以通过国内法律程序调取美国公司存储在境外的数据,而只有经美国政府认可的“适格”国外政府才可直接向美国境内直接调取数据。考虑到全球十大网络公司中美国占据6家,这些公司掌握着海量的全球公民数据,这样的立法充分体现了美国在网络数据管控方面的霸权优势,显然不利于其他国家政府调取海外数据,平等地开展网络治理。如何重构国际网络空间治理模式,保障各国平等参与网络治理成为当前面临的重要任务。
我国《网络安全法》第七条规定,国家积极参与网络空间治理国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。该规定体现了网络空间国家主权平等原则,倡导国际网络空间治理体系的构建应建立在主权平等原则的基础上。
二、网络安全与发展并重原则
(一)网络安全与发展并重原则的意义
网络的开放性必然带来网络的脆弱性,网络安全问题始终伴随着网络的发展历程。在互联网普及的初期,由于人们的社会经济生活与网络的融合并不十分紧密,网络安全问题也不十分突出,网络发展成为重点。随着信息技术的进步和网络的全面普及,网络已经发展成为全球公共基础设施,并渗透到社会经济生活的各个方面,人们的社会生活和各国的经济繁荣须臾不能离开网络。此时的网络安全问题就不仅仅是网络本身的安全,而是关涉到国家安全和社会进步,因而各国纷纷制定国家网络安全战略,将关键信息基础设施列为国家的战略资产予以特别保护。
习近平总书记指出,“没有网络安全就没有国家安全,没有信息化就没有现代化。”“安全和发展是一体之两翼、驱动之双轮。安全是发展的保障,发展是安全的目的。”“网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”这非常经典地概括了网络安全与信息化发展的辩证关系。没有网络安全,信息化发展是脆弱的、不可持续的;没有信息化的发展,网络安全保障也就没有目标。网络立法应当兼顾网络安全与发展,既要鼓励、维护网络的创新与发展,又要兼顾网络的安全保障。网络安全与发展要同步推进。
目前我国网络发展很快,截至2017年12月,我国网民规模达7.72亿,普及率达到55.8%,但网络安全保障并没有同步跟上。侵害个人信息、侵犯知识产权、网络攻击、网络窃密等网络违法犯罪行为频频发生;网络虚假信息、儿童色情、网络仇恨、网络暴力、网络恐怖主义等非法信息已成为全社会公害;意识形态网络渗透、“颜色革命”的危险仍然阴魂不散;关键信息基础设施核心部件受制于人,仍然十分脆弱。面对各种网络安全威胁,我们政府常常只能被动应对。因此,当前迫切需要大力开发网络信息核心技术,培养网络安全人才队伍,加快构建网络安全保障和防御体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力,在发展中寻求网络安全保障。
(二)网络安全与发展并重原则在网络安全法中的体现
网络安全与发展并重原则在《网络安全法》第三条中有明确规定,即国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针;一方面推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,另一方面支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。另外,对于关键信息基础设施建设,《网络安全法》第三十三条进一步规定了 “三同步”制度,即建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。这充分体现了网络安全与发展并重的原则。
值得注意的是,网络安全应当是一种相对安全、适度安全。适度安全的观念最早出现在美国管理与预算办公室(OMB)1985年制定的《第A-130号通告:联邦政府信息资源管理》中。该通告认为,所有信息系统所要实现的安全水平应当与因系统上储存和传输的信息丢失、滥用、非法访问或非法修改而造成的危险和损害相适应。《2002年联邦信息安全管理法》第301节也明确,联邦机构的责任是提供与因信息被非法访问、使用、披露、破坏、修改或损毁而导致的风险和损失相适应的保护。换言之,安全措施要与损害后果相适应,这是因为采取安全措施是需要成本的,对于危险较小或损害较少的信息系统采取过于严格或过高标准的安全措施,有可能得不偿失。习近平总书记指出:“网络安全是相对的而不是绝对的。没有绝对安全,要立足基本国情保安全,避免不计成本追求绝对安全,那样不仅会背上沉重负担,甚至可能顾此失彼。”相对安全和适度安全的理念意味着要在网络安全和信息化发展之间寻求一个平衡点,使得两者能够相辅相成,同步推进。
三、责权利相统一原则
(一)责权利相统一原则的意义
所谓“责”,是指法律要求网络主体必须履行的职责或义务,以及不履行或不适当履行职责和义务的法律后果;“权”是指法律赋予网络主体一定的职权和权利;“利”是指网络主体通过网络所获取的物质利益和非物质利益。所谓责权利相统一原则,是指在网络法律关系中,网络主体享有的权利、职权和利益与承担的义务、职责必须相一致,有权利必然有义务,有义务必然要有责任,不应当存在脱节错位失衡现象。
随着现代文明的高度发展,社会个体越来越重视权利的享受。互联网给社会公众创造了一个开放、自由、泛在的网络空间,为个体的言论自由权、出版权、通信自由权、受教育权、平等权、经营权、社会监督权等政治、经济、社会、文化权利的实现提供了极大的便利。网民在享受网络空间带来的利益的同时,应当遵守网络空间的法律和规则,承担相应的责任,不得损害国家安全、社会公共利益和他人合法权益。例如,网络服务提供商在收集、使用、处理个人信息,获取商业利益的同时,应当履行保障信息安全和个人隐私的义务;网民在享受网络所带来的信息便利时不得发布网络谣言,传播淫秽色情信息等;在享受免费的网络服务时,也有适度容忍网络广告干扰的义务。
《网络安全法》特别强调了网络运营者的义务和责任。网络运营者,特别是大型网络服务提供者,往往拥有上亿的海量用户,它们是网络治理的关键性主体,它们所经营的网络平台是网络社会中最重要的节点,向上面对政府,向下面向市场和网络用户。我国对网络的管理遵循“谁运营谁负责”、“谁接入谁负责”的原则,强调网络运营者的“主体责任”,要求网络运营者对其运营的网站和提供的网络服务承担安全保护和管理义务。
在网络空间,网络运营者要比传统企业承担更多的安全管理义务,这主要是因为传统的政府管理在网络空间存在失灵现象,政府已经难以独立有效承担网络空间的安全管理责任,有必要根据责权利相一致原则,让网络运营者分担部分管理职责。
一方面,政府欠缺管理所必需的信息。政府对网络空间的管理需要大量的信息支持,但政府和网络运营者之间存在严重的信息不对称。与传统的现实世界由政府掌握更多的管理信息不同,在网络信息时代,政府对信息控制的能力在削弱。政府管理所必需的海量数据往往由互联网企业掌握,政府不得不求助于属于被管理对象的网络运营者,以避免管理困境。
另一方面,政府欠缺管理所必需的技术手段。网络信息技术和应用日新月异,受到技术能力的限制,法律和政府管理手段难以及时跟进。在以信息技术为基础的网络空间,国家的管制权限往往取决于现有的管制科技。
当国家掌握了相应的管制技术手段时,就能较好地履行管制职能;当欠缺相应的管制技术时,就只能采取较少的管制。以知识产权保护执法为例,传统上都是通过执法或司法手段删除特定内容或者起诉侵权行为人,但这种方式基本上已经无法阻止全球性的盗版行为,因而对知识产权保护执法的关切点已经转移到中断互联网接入、利用域名体系关闭整个网站或者阻断网站的资金链等方面,而最有能力采取上述措施的就是网络运营者。如果由政府出资来开发网络管理所必需的技术或者收集、分析网络管理所必需的海量数据,即使能做到,成本也将非常巨大,将显著增加纳税人的负担。网络技术能力和资源主要集中在技术人才身上,高级技术人才的稀缺性决定了政府无法提供有竞争力的薪资来吸引人才;另一方面政府的组织方式和管理方式也无法营造人才得以成长的创新和竞争环境。如果由网络运营者来分担一部分管理责任,显然更有效率。
另外,网络空间的治理更注重预防,而不是事后惩罚。在网络空间,信息发布非常便捷,信息传播非常迅速,违法损害后果常常被网络放大,待到政府事后处理,损害已经造成,损失难以挽回,因此政府的事后处理常常是缺乏效率的。对于至关重要的事前预防和事中监督,政府因缺乏相应的技术和数据支持,常常力不从心,而这对网络运营者来讲,则较为容易做到。
因此,在网络空间,需要重新配置政府、社会、企业的义务和责任。政府根据“谁运营谁负责”、“谁接入谁负责”和“责权利相一致”的原则,将一部分管理职责“下放”给网络运营者或行业协会等社会团体,是一种更有效率的做法。当然,政府也不能将过多的管理责任推卸给网络运营者,网络运营者的信息安全责任不能超出其风险控制能力和负担能力,否则市场主体负担过重,将阻碍网络经济的健康发展。因此,网络安全法需要对网络运营者的安全管理义务进行明确界定,厘清责任边界。
(二)责权利相统一原则在网络安全法中的体现
《网络安全法》贯彻了责权利相统一原则。该法第十二条规定,国家保护公民、法人和其他组织依法使用网络的权利;同时规定,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全。这是我国《宪法》第五十一条所规定的权利义务相一致原则在网络安全法上的体现。
《网络安全法》中的责权利相统一原则主要体现在网络运营者的义务和责任方面。《网络安全法》第九条规定,网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。《网络安全法》以及相关法规、规章还对网络运营者的义务和责任进行了具体化,主要包括:建立网络安全管理制度的义务;对网络运行安全(特别是关键信息基础设施的运行安全)的保护义务;维护网络数据安全的义务;对用户的身份信息和义务信息进行审核的义务;对所运营网络上的公共信息进行管理的义务;保障个人信息安全的义务;对用户发布的违法信息采取措施进行处置的义务;受理并处理投诉和举报的义务;配合执法部门监督检查的义务;记录和保存网络日志的义务;发现违法信息后向有关主管部门报告的义务,等等。
除了网络运营者应当遵守责权利相统一原则,网民也应当遵守这一原则。特别是一些面向社群的信息服务的发起者和管理者,例如百度贴吧的吧主、论坛社区板块的版主、微信群的群主等,他们多是普通的网络服务使用者,并不是互联网服务提供者的雇员,必须自己为其行为负责。当吧主发起贴吧、版主发起论坛、群主建立微信群时,相当于他们在网络空间开辟了一个新的公共空间,为特定或不特定的人群提供信息交流场所,因而就相应地负有一定的安全管理责任。例如,《互联网群组信息服务管理规定》明确要求互联网群组建立者、管理者应当“履行群组管理责任,依据法律法规、用户协议和平台公约,规范群组网络行为和信息发布”。这里的群主管理责任,并不意味着群主需要为群成员的不法行为负责,而是说,当群成员发布了不法信息时,作为群主应当采取必要措施进行管理,如警告、踢出群,甚至解散群。当群主尽到了合理的注意义务和管理义务时,则无须再为群成员的不法行为承担责任。当然,群主要在网络空间行使管理责任,就应当给他配备相应的管理手段,因此,《互联网群组信息服务管理规定》同时明确要求互联网群组信息服务提供者应为群组建立者、管理者进行群组管理提供必要功能权限。
四、共同治理原则
(一)共同治理原则的意义
所谓网络的共同治理,是指政府、国际组织、互联网企业、技术社群、民间机构、公民个人等网络利益相关者根据各自的作用和角色,共同参与规范互联网的发展和使用。共同治理是相对于传统上政府单边主导的社会治理而言的。网络空间的良好秩序仅仅依靠政府是无法实现的,而是需要政府、企业、社会组织和公众等网络利益相关者的共同参与。
网络空间治理之所以需要政府、企业、社会团体和社会公众共同参与,主要是因为:
第一,以政府为主导的传统管理模式已无法胜任网络治理的需要。传统的社会管理模式以属地管理为主,将国家划分为不同层级的行政区域,并设置相应的地方政府管理本地事务,形成自上而下的金字塔式管理体系。正如美国学者莱斯格指出,在现实世界中,我们通过社会规范将某些事物隔离于一定的场所,并能有效地对其进行分化,形成“分区管制”。
这种分区管制的采用,是取决于现实世界的可区分性特征,也就是现实世界的结构。 但网络空间的结构并不适合分区管制的实施。网络空间打破了地域限制,没有现实的地理界限来隔离信息的流动。网络空间的开放性使得人们可以在任何时间、任何地点进入到网络空间的任何角落。一个平台可以容纳全国,甚至全世界的网民参与,在这样的平面化社会结构下,传统的管理模式难以适应治理的现实需要。第二,作为网络社会核心环节的网络平台,基本上都是由民营企业经营,而非由国家控制。架构网络空间的技术标准和协议也都是由企业或技术精英研发出来的,而不是由政府设计的。民族国家、宗教组织、跨国公司等传统的主导权力机构都在网络信息流动中丧失了一定的控制权。政府对信息的控制能力在削弱,这不仅体现在防范国家安全敏感信息外泄能力的缺失,还体现在对信息中介服务全球输出进行限制的能力匮乏。这就要求网络运营者(信息中介)不仅创造互联网规则和政策,同时要承担互联网的内容控制职能。政府与互联网企业的关系不再是简单的管理与服从的关系,还需要建立伙伴关系,开展信息共享,共同应对网络安全威胁。
第三,信息通信技术日新月异,网络应用层出不穷,企业和个人往往能够较快跟进网络社会的发展,而政府对快速变迁的技术和市场的反应明显滞后,因而不能完全适应网络社会快速发展的需要,政府已经难以仅凭一己之力治理好网络社会,而是应该积极引导互联网企业、行业协会和社会公众参与网络治理,开展协同合作,建立伙伴关系,实现网络社会的有效治理。
共同治理原则要求各方主体根据各自的角色和作用发挥治理功能。早在2003年《信息社会世界峰会原则宣言》中就明确指出,各国政府以及私营部门、民间社会和联合国及其他国际组织在信息社会的发展和决策过程中发挥着重要作用,肩负着重要责任。互联网的治理既包括技术问题,也包括政策问题,并应有所有利益相关方以及相关政府和国际组织的参与。2005年联合国《互联网治理工作组报告》对政府、私营机构、民间社会在互联网治理中的不同作用做了进一步描述。政府应当在国家层面进行公共政策的决定、协调和执行,并对区域和国际级别上的政策进行制定和协调;应制定和通过法律、条例和标准,并监督实施;应为信息和通信技术发展创造有利环境等。私营部门应当制定业内的自律规范,确立最佳实践;应为决策人员和其他利益相关者提供政策提议、准则和工具;应开展技术、标准和进程的研究等。民间社会应提高网络安全意识和能力建设(知识、培训、技能分享);促进实现各种公益目标;协助确保政府和市场力量能够顾及社会所有成员的需求;鼓励企业承担社会责任和政府实施善政等。此外,《互联网治理工作组报告》认为,学术界对互联网的贡献十分宝贵,是启发、创新和创造活动的主要来源之一。技术界及其各组织参与互联网业务、互联网标准制定和互联网服务发展的程度很深。这两类群体在互联网的稳定、安全、运作和发展方面起着持久、宝贵的作用。
一国境内的网络空间治理需要坚持共同治理原则,对于国际网络空间的治理而言,同样应当坚持共同治理原则。正如习近平主席在第二次世界互联网大会上所指出的:“国际网络空间治理,应该坚持多边参与、多方参与,由大家商量着办,发挥政府、国际组织、互联网企业、技术社群、民间机构、公民个人等各个主体作用,不搞单边主义,不搞一方主导或由几方凑在一起说了算。”尤其值得注意的是,在网络空间治理活动中,特别是在维护网络安全方面,政府正发挥着越来越重要的作用,各国的网络安全战略也都强调要加强国际合作,因此,在国际网络空间治理方面不能排除或降低各国政府的参与,而应加强各国政府间的沟通交流,完善政府间网络空间对话协商机制,共同研究制定全球互联网治理规则,使全球互联网治理体系更加公正合理,更加平衡地反映大多数国家的意愿和利益。
(二)共同治理原则在网络安全法中的体现
《网络安全法》对各类主体在网络治理中的角色和责任进行了规范,充分体现了共同治理原则。一方面,《网络安全法》明确规范的治理主体包括政府部门、网络运营者、社会组织和机构等共计30多个,涉及广泛,种类繁多,可以说是我国目前规范主体最多的法律。另一方面,《网络安全法》对各类网络治理主体进行了细化。其中,在政府监管主体方面,共包括国务院、中央军委、网信部门、电信主管部门、公安部门、关键信息基础设施安全保护工作部门、地方各级人民政府及其有关部门、政府工作人员等10余种,并特别明确了国家网信部门作为网络安全工作和相关监督管理工作的统筹协调部门的地位。在市场主体方面,法律不但明确了关键信息基础设施运营者、电子信息发送服务提供者、应用软件下载服务提供者等各类网络运营者的网络治理责任,还进一步明确了网络运营者中的网络安全负责人、专门安全管理机构、安全管理负责人、法定代表人、从业人员、关键岗位从业人员等企业内部人员的治理责任。在社会类主体方面,法律不但强调了网络相关行业组织的治理责任,还对研究机构、高等学校、检测认证机构、教育培训机构、大众传播媒介、社会公众等治理主体进行了规范(参见下表)。可见,《网络安全法》的确是将网络空间看作“人类命运共同体”,动员全社会上上下下的力量共同参与治理。
《网络安全法》中的治理主体与治理责任
(续上表
)主体类型主体网络治理的职责、义务电子信息发送服务提供者履行安全管理义务。(第四十八条)应用软件下载服务提供者履行安全管理义务。(第四十八条)企业参与网络安全国家标准、行业标准的制定。(第十五条)网络运营者的网络安全负责人落实网络安全保护责任。(第二十一条)关键信息基础设施运营者的专门安全管理机构安全保护义务。(第三十四条)关键信息基础设施运营者的安全管理负责人安全保护义务。(第三十四条)关键信息基础设施运营者的关键岗位人员安全保护义务。(第三十四条)关键信息基础设施运营者的从业人员接受网络安全教育、技术培训和技能考核。(第三十四条)网络运营者的法定代表人或者主要负责人未能履行网络安全义务的,应就网络安全风险和事件接受约谈。(第五十六条)网络运营者的直接负责的主管人和其他直接责任人员未能履行网络安全义务的,应承担法律责任。(第五十九至六十九条)社会主体网络相关行业组织1.加强和开展行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。(第十一条)2. 参与网络安全国家标准、行业标准的制定。(第十五条)3. 建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。(第二十九条)检测认证机构对网络关键设备和网络安全专用产品进行合格认证或者安全检测。(第二十三条)研究机构参与网络安全国家标准、行业标准的制定。(第十五条)高等学校1.参与网络安全国家标准、行业标准的制定。(第十五条)2. 开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。(第二十条)大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。(第十九条)教育培训机构(企业和高等学校、职业学校等)开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。(第二十条)任何个人和组织1.应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全。(第十二条)2.有权对危害网络安全的行为进行举报。(第十四条)3.不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。(第四十四条)4.应当对其使用网络的行为负责,不得设立用于实施违法犯罪活动的网站、通讯群组,不得利用网络发布涉及违法犯罪活动的信息。(第四十六条)5.发送的电子信息、提供的应用软件不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。(第四十八条)境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国关键信息基础设施的活动,造成严重后果的,应负法律责任。(第七十五条)