论政府基于国家安全理由对网络的管制:逻辑、措施与限度*
2021-10-12宋方青
宋方青,张 可
(厦门大学 法学院,福建 厦门 361005)
伴随着信息技术的发展,网络在得到普遍运用的同时也成为威胁国家安全的潜在不稳定因素,尤其是近两年以来,网络领域的几个大事件更加引发了人们对于网络管制的关注,其中包括重大公共卫生事件下的网络舆情管理,如个别国家因国家安全担忧而禁止华为参与其通信设施建设,2020年8月,美国政府基于国家安全理由要求字节跳动出售其“TikTok”(抖音海外版)在美业务等。根据国内外形势,为进一步谋求发展与平衡,在对其他国家的过当管制进行思考的同时,我们不得不将注意力转向自身。在全面依法治国背景下,政府对网络的管制也应顺应国家治理法治化的要求,实现网络治理法治化。这也是推进国家治理体系和治理能力现代化的应有之义。检视当下的现状,我们会发现我国网络管制规范体系尚不完善,实践中至少存在两个明显的问题:第一,管制措施缺乏或不规范,无法满足保障国家安全的需要。第二,现有规范偏重于强调国家安全,将秩序置于网络管制的第一价值位阶。实际上,网络安全保障涉及国家、其他主体及信息化发展等各方面利益。政府实施网络管制的全部目的不仅是保障国家安全,还应兼顾其他主体权益,并促进信息化健康发展。以国家安全为由对网络实施的管制一旦过度,就很可能伤害到市场经济环境下其他网络主体的权利,从而对政治和经济造成不良影响。本文将结合现有立法确定的规范,探讨进一步完善针对国家安全的网络管制措施,明确政府基于国家安全理由对网络管制的限度,以期在制度层面促进网络治理法治化。
一 政府基于国家安全理由实施网络管制的逻辑
(一)基于国家安全理由的管制依据:总体国家安全观
党的十八届三中全会后,为应对更复杂的国内外安全形势,国家安全委员会得以成立。为实现国家安全工作的集中统一领导和高效统筹,中央国家安全委员会第一次会议便提出总体国家安全观。总体国家安全观是国家安全工作的总纲要,在此框架下,国家安全工作的思路得以整合,进而为理顺相关体制机制提供指引。总体国家安全观的基本要求是,居安思危,“坚持国家利益至上,以人民安全为宗旨,以政治安全为根本”[1]13。在“十一种安全”的基础上,统筹各领域安全,从制度体系、能力建设等方面着力建设国家安全体系。
为使网络安全与国家安全相衔接,形成更为高效、统筹一体的安全防控机制,我国在顶层设计上已将网络安全纳入总体国家安全观的框架中[1]164。总体国家安全观下,网络管制与国家安全的衔接关系体现在两个层面:
第一层面,网络安全纳入总体国家安全观,使网络管制与国家安全之间建立起密切关系。信息时代,政府实施一定程度的网络管制是实现网络安全的必要手段。而网络安全作为总体国家安全观的重要组成部分,与国家安全密切相关。2014年召开的中央网络安全与信息化领导小组第一次会议指出:“没有网络安全,就没有国家安全。”信息技术的快速发展,给国家安全带来新的风险因素,且这种风险由于网络架构的系统化而呈现出结构性特点。现代政府迎接互联网时代到来的同时,亦不得不应对网络所引发的系列风险。为使风险得到防控,有针对性的管制措施成为理想手段。而政府基于国家安全理由实施网络管制的规范依据,其形成离不开风险管控的逻辑基础,即防范信息技术的发展和普及给国家安全带来不可测的风险,是政府在互联网时代背景下,为继续实现其维系国家安全、社会稳定等职能所采取的管制手段的自我补足。防范国家安全风险既是管制的正当性理由,也是实施管制的具体界限。正是借助网络安全与总体国家安全观的嵌套关系,我国网络管制相关的机制得以建构在《国家安全法》《网络安全法》《数据安全法》《国家网络空间安全战略》等规范依据之上。如《网络安全法》《数据安全法》第一条都将“维护国家安全”确定为立法目的之一。《国家网络空间安全战略》更是将总体国家安全观作为重要指导。因此,维护国家安全是网络安全的重要目标,也是网络管制的重要目标。由于网络安全与总体国家安全观的这种紧密关系,政府基于国家安全理由对网络实施管制具备了合理性基础。
第二层面,总体国家安全观反过来为网络管制提供合理性依据和根本遵循。从整体上而言,没有总体国家安全观作为引领,网络管制的措施和相应制度就缺乏理论指引和全局性支撑。从局部视角来看,网络管制涉及的领域非常广泛,影响到社会生活的各个方面。总体国家安全观的框架体系,为网络管制的这种广泛影响提供了逻辑关系说明。作为总体国家安全观的一部分,网络安全与其他组成部分相互关联。虽然各组成部分之间都有一定关联,例如经济安全必然渗透着社会安全,资源安全必然渗透着生态安全。但网络安全的影响范围更为广泛。这是因为信息技术的普及应用,使网络渗透到社会生活的方方面面。大数据将所有领域囊括其中,任何具体的领域都成为区块链上的一环。在一个“去中心化”的信息时代,又形成了网络这一新的中心,网络是一把“双刃剑”的原因便在于此。因此,网络安全处于各安全领域汇集的中心地带,可谓牵一发动全身,相应地,网络管制的影响范围得以进一步拓展与深化。
(二)基于国家安全理由的管制目标:网络构成的要素分析
《网络安全法》第七十六条对网络安全的定义为:采取必要措施,防范网络安全事故、维持网络运转、保障数据完整。由此可知,网络管制的基本任务在于防范风险和保护网络及数据安全。但网络作为非传统领域,具有信息化、虚拟化等独特属性,以网络为管制对象时,我们不得不考虑到网络的特性,从而采取有针对性的措施。根据《网络安全法》提出的三项基本要求,结合网络的虚拟化特性,网络管制的基本特征可概括为防范对象的不确定性、保护对象的虚拟性及管制的非建构性。
首先,网络管制的防范对象具有不确定性。网络空间的个体因匿名登入而具备身份不确定性。任何人都可以几乎无门槛地进入网络世界并实现信息的无障碍交流与传输。网络个体的匿名意味着去身份化,网络使用者得以与其现实身份脱节。个体的不确定性令网络安全面临的风险倍增,危害网络安全者的真实身份往往难以确定。从国内考虑,这引发了网络去中心化、无政府主义等风险[2]。从国外考虑,身份的不确定性为外部势力的网络攻击或入侵提供便利或制造借口。
其次,网络管制的保护对象具有虚拟性。网络安全的核心是信息安全[3],其最主要的保护对象就是信息数据,但信息数据是无形的,只存在于机器设备和程序之中,这就使得网络管制和保护的难度增加。面对信息数据,网络安全保障者常常难以定位其保护的对象并采取保护措施。
最后,在网络空间中,国家管制权力是非建构性的。网络空间是虚拟的,而建构性的政治秩序需要以一定地域和调整对象为基础建立。在现实世界,传统的管制权力呈现出科层式结构,每一层级的管制机构都针对一定地域和调整对象。建构性的政治秩序使得政府各部门协同运作,共同实现国家权力的有效行使。然而虚拟的网络空间却不能参照现实,把网络空间划分为多个行政区,并设立科层式的管制机构。网络环境使得权力实施的地域和对象都难以把握,管制机制难以成体系,这将导致组织力量得不到发挥,甚至可能出现各部门间权责空白、重复等现象。
由于网络管制的不确定性、虚拟性与非建构性,传统管制手段可能失灵。所以,政府开展网络管制,应从构成网络的基本要素着手,有效应对网络管制带来的新难题。根据网络的内部构成以及发挥影响的方式和渠道,国家安全面临的风险可能来自四个方面:信息数据、互联网设备、信息内容、信息技术产业。因此,管制目标应指向为确保信息数据安全、设备安全、内容安全、产业安全。
其一,信息数据安全要求信息不被非法获取、干扰破坏,并能够被有效运用,具体包括信息数据保密、存储及运用安全。其中,保密安全强调信息的秘密性,未获授权的组织或个人一律不得获取信息;存储安全强调信息的完整性,保障信息在存储或传输中的正确性,信息内容不被篡改或破坏。运用安全着眼于信息的可利用性,确保对信息的有效控制。
其二,设备安全指网络信息传输所依赖的软、硬件等互联网设备安全,这些设备包括网络传输介质互联设备、网络物理层互联设备、数据链路层互联设备、网络层互联设备及应用层互联设备五类[4]。较为常见的有传输层的光缆电缆,物理层的中继器、集线器,数据链路层的网桥和交换机,网络层的路由器,应用层的网络协议和各类应用软件等。网络信息设备是一个庞大繁杂的系统,任何环节的设备出现问题都可能导致整个信息系统的瘫痪,网络安全的外延也可以扩展到信息设备的方方面面。如第一层的软件安全、硬件安全,第二层的传输设备安全、应用设备安全等,第三层的光缆安全、中继器安全等,具备十足的广度及深度。另外,信息数据安全与设备安全共同构成信息系统安全。信息系统安全是网络安全的核心内容。信息系统是一个整体概念,指组成一套可运行的信息传输系统的所有软、硬件和其中的信息数据(1)信息系统安全有广义和狭义之分,广义的信息系统安全包括信息数据安全、信息设备安全、信息内容安全,狭义的信息系统安全仅指信息数据安全及设备安全,本文采狭义概念。参见张焕国、韩文报、来学嘉等:《网络空间安全综述》,载《中国科学:信息科学》2016年第2期。。
其三,网络信息内容安全同样是国家安全重点关注的领域,当下讨论较多的网络舆情控制和网络意识形态引导均属此列(2)参见赵蓉英、王旭:《突发事件网络舆情关键节点识别及导控对策研究——以“大贤村遭洪灾事件”为例》,载《现代情报》2018年第1期;李江静:《新传播语境下网络意识形态领域的风险及其应对》,载《思想理论教育》2020年第8期。。随着网络的普及应用,网络中俨然形成一个虚拟的人类社会。网络社会正是基于网络空间诞生的上级概念,源于人类在网络中的活动。社会是一个人文概念,言论和文字所承载的信息对社会影响深远。尤其在网络社会中,个体被信息技术所赋权,其散布信息的传播距离和受众得以成倍扩张[5]。在这种情况下,信息内容如果夹杂不安全因素,就可能导致网络社会不稳定,并间接影响现实社会的稳定。因此,网络中传播的信息内容,不得损害其他主体的合法权益,不能对经济发展、社会稳定造成不利影响。具体而言,网络信息内容应符合法律法规、国家治理及经济发展的需要,符合社会道德规范的要求。
其四,网络相关的产业安全即指信息技术产业安全。在经济全球化背景下,信息技术产业亦迈入全球化时代。全球信息技术产业的构建,一方面着实产生极大的便利性与经济效益,但另一方面也直接导致另一种形式的隐患发生,即一国内部的信息技术产业市场混乱,而国外信息技术产业凭借其资本、技术优势入侵本国市场。信息技术产业是构成网络的主观能动基础,因此,经济层面的混乱或入侵将引发信息数据、设备、信息内容等方面受到威胁。就国内市场而言,信息技术产业的发展,若缺乏相应规范予以管制,则很可能偏离正轨,走向违背社会公共利益的道路。这是由资本的性质所决定。正如我国互联网兴起之初,违法违规网站层出不穷,各种盗版资源横行网络,这些现象都是在有关法律制度确立后,情况才逐步好转。从国际市场来看,由于经济全球化,信息技术产业跨国占领市场变得更为容易。国外信息技术产业主导本国网络之建设,将导致本国信息技术产业萧条,进而影响到实体经济,并在经济威胁的基础上构成国家安全威胁。近年以来,欧美各国针对华为参与5G通信基础设施建设的争议,以及美国对“TikTok”、微信发出的交易禁令都已充分说明这点。以上国家表达不充分的是,他们仅以信息数据安全为由拒绝中国企业参与其网络市场,实际上则包含了以经济利益为基础的综合性网络安全担忧。
二 政府基于国家安全理由实施网络管制的措施
从上述关于网络管制的逻辑分析可知,网络管制的基本特征是采取管制措施的基本遵循。通过对基本特征的分析,可以准确把握管制措施的着力点与关键环节,而其管制的四重对象即为信息数据、设备、信息内容和信息技术产业。因此,政府基于国家安全理由对网络的管制措施得以从这四个维度进行建构。尤应注意的是,现代化的网络管制要坚持规范化原则,在形成法律制度的基础上逐步规范管制措施。
(一)信息数据保护:加快专门立法,明确职能划分
信息数据面临的主要威胁来自数据窃取和破坏。信息时代,大到国家的各类数据库、日常事项、机密文档、通知报告,小到个人档案、身份信息、个人数据,都依赖网络信息系统储存和传输。这虽然解决了人类数据处理和传输的难题,但涉及国家安全的重要信息却可能在网络中暴露。目前,我国信息数据保护缺乏强有力的措施,这体现在:一般单位或个人设置的网络防火墙等安全代码防范系数不高,计算机病毒等攻击手段却在不断进化。且网络防火墙的性质是事前防御,缺乏必要的威慑力和救济、惩罚手段。虽然《国家安全法》已提出要实现重要领域信息数据的安全可控,《网络安全法》也对信息安全作了原则性规定。但根据现实的需求,结合总体国家安全观,全面评估网络信息数据保护,促进国家投入更多力量防范信息数据安全风险乃为必要之举措。具体措施包括:
其一,推动相关制度落实,加快个人信息保护立法。目前,我国涉及信息数据保护的立法有《国家安全法》《网络安全法》和最近通过的《数据安全法》,另外还有部分行政法规、部门规章。但《国家安全法》与《网络安全法》中关于信息数据保护的内容,一则较为宏观,缺乏可操作性;二则较为分散,缺乏体系性与针对性。行政法规、部门规章虽有专门关于信息数据保护的,但立法层级却偏低,实施效果并不理想。《数据安全法》虽是针对公共数据保护的专门立法,但纵观其五十五个条文,大部分是原则性规定,且提及的数据安全目录、标准、制度机制等大多没有作出具体规定。构建周密的信息数据安全法律体系,一是要结合《数据安全法》中的有关条文,推动相关目录、标准、制度机制的制定和落实;二是加快出台十三届全国人大常委会立法规划及其2021年立法计划中已确定的《个人信息保护法》。《数据安全法》针对公共信息数据安全,《个人信息保护法》针对个人信息数据安全。两部法律双管齐下,构建完备的信息数据保护法律体系。
其二,明确信息数据保护的职能部门与职责划分。《数据安全法》出台前,我国立法所提及的信息数据保护部门过于混乱,职责划分不明。以《国家安全法》为例,第25条规定了信息数据安全的保障措施,但未提及实施该措施的具体职能部门。再如《网络安全法》第8条规定了网络安全相关部门的职责分工,涉及的部门包括国家网信部门、国务院电信主管部门、公安部门和其他有关机关,但对于信息数据保护的职能部门和职责划分同样语焉不详。实际上,《网络安全法》除明确“国家网信部门”的统筹协调职能外,其他各项具体职责都以“有关部门”代称,这就对各部门具体职责履行造成了障碍。域外的实践表明,只有明确信息数据保护的职能部门与职责划分,才能很好地完成信息数据保护工作(3)例如,日本2013年发布的《网络安全战略》中,将明确网络安全领域的相关主体责任作为重要内容。该战略详细规定了各类主体的职责与合作,以求共同应对网络空间威胁。再如美国庞大的信息安全机构体系,也是建立在多部门职责明确的基础之上。参见王舒毅:《日本网络安全战略:发展、特点及借鉴》,载《中国行政管理》2015年第1期;尹建国:《美国网络信息安全治理机制及其对我国之启示》,载《法商研究》2013年第2期。。《数据安全法》第五、六条对公共数据安全监管的职能、职责予以明确。我国应落实《数据安全法》规定,形成由国家网信部门统筹协调,各职能部门高效合作的保护机制,并在《个人信息保护法》中进一步明确个人信息保护的具体机制。
(二)网络设备保障:健全关键信息基础设施安全体系
网络的建立和正常运转必须依靠各类软、硬件设备。没有各项设备的协同工作,互联网也就失去了建立的物质要素,网络将不复存在[6]。而在所有网络设备中,依据《网络安全法》定义,与网络安全密切相关的设备可统称为关键信息基础设施。关键信息基础设施安全也是实现网络安全的必要条件。维护关键信息基础设施安全,就是维护网络信息系统的整体安全,并从根源上保障网络安全。
我国对关键信息基础设施安全尤为重视,《国家网络空间安全战略》将保护关键信息基础设施列为战略任务之一。《网络安全法》也对关键信息基础设施的运行安全作了专节规定,初步建立了关键信息基础设施安全保障制度框架,但部分制度缺乏具体细则和实施办法,需出台配套措施加以完善。这些配套措施包括:
其一,明确关键信息基础设施的具体范围。《网络安全法》第31条规定,“关键信息基础设施的具体范围和安全保护办法由国务院制定”。根据该款条文,国家互联网信息办公室2017年起草了《关键信息基础设施安全保护条例(征求意见稿)》,可至今还未正式发布。该文件对关键信息基础设施范围有所涉及,但仍不具体。国务院和各相关部门,应尽快出台关键信息基础设施具体范围的细则,弥补关键信息设备保护对象的缺位(4)2017年6月1日,国家网信办等四部门已联合发布《网络关键设备和网络安全专用产品目录(第一批)》,确定了部分关键信息基础设施的名单。。
其二,规范关键信息基础设施的选用标准。《网络安全法》第23条规定,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求进行安全认证、检测。第35条又规定,网络产品或服务可能影响国家安全的,应当进行国家安全审查。针对这些要求,全国信息安全标准化技术委员会在上位法的框架下,制定了关键信息基础设施的六项标准,并进一步构建了各标准间的体系关系。2018年,国家认证认可监督管理委员会发布《网络关键设备和网络安全专用产品安全认证实施规则》(下称《实施规则》),对国家公布的第一批网络关键设备和网络安全专用产品的安全认证作出详细规定。但遗憾的是,以上标准和规范都仅限于安全保障方面的要求,忽视了对关键信息基础设施性能状况、自主研发程度的要求。另外,这些标准和规范的层级均不高,规定内容皆不够详实,且其中信息安全标准化委员会的六项标准尚未正式发布。以《实施规则》为例,其着眼点是认证环节。关键信息基础设施的选用,不能只凭这项认证,因为一次性认证无法提供可靠的安全保障。所以构建完善的关键信息基础设施选用标准仍是当务之急。
其三,推进关键信息基础设施技术的自主创新,确保核心技术安全。核心技术的掌控,是构建关键信息基础设施安全体系的基本条件。核心技术受制于人的前提下,应用端的安全措施犹如空中楼阁。过去两年的实例表明,一旦国外就核心技术发难,关键信息基础设施将陷入窘迫境地。相反,在掌握核心技术的情况下,安全防护的效果亦将事半功倍。“我们要掌握我国互联网发展主动权,保障互联网安全、国家安全,就必须突破核心技术这个难题”[1]172。关键信息基础设施核心技术的自主创新,不仅关乎技术安全和设备安全,还关系到国家在全球互联网格局中的地位,以及对互联网资源的占有情况。互联网资源指网络根服务器、数据库、云计算中心等具有巨大价值的关键信息基础设施及其中的数据。例如,美国掌握了全球互联网13台根服务器中的10台,由此实现对全球互联网的管制,奠定其网络霸主地位[7]。再如,某些大型数据库、云计算中心,其信息数据涵盖人群和地域的范围相当广泛。掌握这些数据库的国家,便相应掌握了数据库的信息资源。因此,在制度层面而言,要鼓励关键信息基础设施的自主创新,为优化营商环境与科研氛围作出制度贡献,并加强网络核心技术的研发保护,确保核心技术牢牢掌握在自己手中。
(三)信息内容审查:完善二元三维处理机制
网络信息内容安全是维护网络安全乃至现实社会稳定的重要保障。网络中的所有内容都可归结为信息数据,也就是说,只要掌控信息数据的发布和传播,便从源头上实现了对信息内容安全的有效控制。2016年,中央网络安全和信息化工作座谈会指出,要依法加强网络空间治理,加强网络内容建设。《国家网络空间安全战略》也提到,国家网络空间安全面临的挑战,包括网络渗透危害政治安全、网络有害信息侵蚀文化安全,要坚决维护国家安全,加强网络文化建设。
我国现有规范已对网络信息内容安全作了相关规定,执行力度也相当大。如,《国家安全法》第25条提到防范、制止和依法惩治散布违法有害信息的行为。再如,《网络安全法》第12、47、48、50条规定,发现法律、行政法规禁止发布或传输的信息时,有关部门可以采取相应措施;第58条还规定因网络发生重大社会安全事件,国务院可以决定或批准在特定区域采取限制网络通信等临时措施。但整体观察相关规范不难发现,目前网络信息内容安全的保障主体、措施和程序较为分散,部分事项甚至未予以明确,应结合实际情况,完善针对网络信息内容的二元三维处理机制(见图1)。其中,二元指网络信息内容的审查主体,包括政府主管部门与网络平台运营者。而三维指网络信息内容安全保障工作的维度,可以分为信息内容审查、有关信息处置与重大突发事件应急管理三方面。将此方案引入实践,二元主体得以在三个工作维度上协同开展工作,形成高效的二元三维处理机制。具体措施是:在信息内容审查维度上,设立网络平台运营者和有关主管部门的联合审查机制,共同对信息内容实行双向审查。在违法违规信息处置维度上,经过前一阶段审查,将需要处理的信息集中交由网络平台运营者处理。在应急管理维度上,网络平台运营者和有关主管部门共同监测网络舆情,一旦发生重大突发事件,主管部门立即报告国务院,由国务院采取临时限制措施。
图1 网络信息内容的二元三维处理机制
(四)信息技术产业规范:立足国内与国外双重考量
规范信息技术产业的发展,是实现网络安全、科技安全和经济安全的重要保障,也是国家信息化发展的必然要求。政府规范信息技术产业发展的具体要求包括:
第一,确保信息技术产业的发展合乎经济社会形势需要。历史经验表明,市场存在局限性,没有任何市场可以完全摆脱政府干预而独自存在[8]。从制度层面来讲,脱离法制干预的信息技术产业将不受控制、超越界限地增长。知识产权亦得不到有效保障,网络便可能沦为资本逐利的天堂。信息技术产业的恶性发展,最终会对国家安全造成损害。《中国制造2025》便将“新一代信息技术产业”列入重点发展的十大领域,其中就包括集成电路及专用装备、信息通信设备、操作系统及工业软件。不难发现,以上产业所涉及的,均为近来颇引人注意的技术,这正是美国基于国家安全理由对我国进行交易限制的领域。政府运用调节手段支持这些产业发展,正应了中科院院长白春礼所说:“把美国卡脖子清单变成科研任务清单。”工信部、国家发改委亦于2016年发布《信息产业发展指南》。以上文件虽然对信息技术产业的发展作出了详细规划,但值得注意的是,当代信息技术瞬息万变,因此,不能过度依赖事先规划,使信息技术产业发展受到局限,而应结合形势需要灵活调整,把握好规范制定与适用之间的张力。
第二,防范国外信息技术产业的市场侵占。《国家网络空间安全战略》提到信息技术是经济发展的新引擎,它的出现是国家经济发展、产业结构调整的重大机遇。长期以来,我国高度重视国内信息技术产业的发展,防范国外企业过度侵占市场。正是在这样温和的市场环境下,国内的信息设备、网络中介平台、交易平台、移动支付、物联经济、共享经济、社交应用等信息技术产业发展壮大。在经济上,这不仅满足了国内市场需要,还使得我国经济影响力辐射到其他国家。在国家安全层面,则确保了网络的安全可控,杜绝网络霸权主义借助信息技术产业渗透进行政治渗透。我国当前面临新的国际环境与经济形势,对国外信息技术产业的管制需转变思路,在制度安排上要把握两点原则。其一,扩大网络经济对外开放。当前全球保护主义抬头,扩大网络经济对外开放,是抵制保护主义,维护经济全球化的有力手段,同时也有利于引进国外先进产业和技术,更便于国内信息技术产业走出国门。其二,明确不可开放的关键领域。这主要针对尚处于发展中,需要给予保护的信息技术产业,还有与国家安全密切相关的信息技术产业。
三 政府基于国家安全理由实施网络管制的限度
网络空间包罗万象,政府是网络安全工作的主导力量,但政府所维护的网络安全价值不仅仅是国家安全,还有其他主体权益与信息化发展。完善政府基于国家安全理由对网络的管制,建构具体而全面的管制措施是必要手段。但是规范的管制不应毫无边界,管制限度应当成为不得不回应的话题。
(一)网络安全三维价值样态:划定政府管制权力的边界
我国《网络安全法》立法目的包括维护国家安全,保护公民、法人和其他组织的合法权益,以及促进经济社会信息化健康发展。这些立法目的概括了网络安全的三维价值样态,分别是保障国家安全、保护网络中的其他主体权益及促进信息技术的发展。《国家网络空间安全战略》也指出,既要确保国家网络空间安全,也要把握好网络这一经济发展的新引擎,保障公众在网络空间的合法权益。这些要求,旨在统筹安全、权利、发展三种价值,以合理的制度安排消解不同价值之间的冲突。可见,网络安全虽在一定程度上服务于国家安全,但并不完全包含于国家安全。网络安全的三维价值样态是构建网络管制相关法律制度的目标和指引,开展网络管制工作时,相关理念和措施同样要贯彻三维价值目标。因此,为维护网络安全而存在的政府网络管制,也并不以国家安全为唯一目的,还应兼顾其他主体权益及信息化健康发展。
有学者提出,基于更广阔的国家安全视角,网络安全应当包含于国家安全之中[9]。网络安全作为当代国家安全的重要组成部分,将其置于总体国家安全观的框架下予以考虑是必要的,但并不能据此说,网络安全的全部目的就在于服务国家安全,从而忽视其他价值。价值产生分歧的背后是主体多元。现代治理体系的重要进步之一,就在于扬弃了自西方启蒙时代以来的强法制主义[10],开始注重多元主体间利益诉求的协调[11]。在信息化潮流中,国家虽越来越倚重网络处理各项事务,但国家不是网络唯一的使用者。事实上,网络中活跃的公民个人及社会组织,乃至信息化发展都与网络安全息息相关。对个人和企业等其他主体而言,他们也要求在网络中的权益得到保障。对信息行业整体来说,则要求发展利益不受损害。网络安全相关主体的多元,决定了网络安全的价值样态必然也多元。网络安全内在包含的三种价值是对立统一关系。国家网络安全需建立在与个人网络权益和信息化发展两项利益协调的基础上。对另外两种价值的忽视,不仅损害其他主体的利益,最终还会损害国家安全本身。
相应地,就政府的网络管制而言,一方面要按照总体国家安全观的部署,建立完善的国家安全管制机制;另一方面,则要充分考虑网络安全其他相关主体的利益诉求,妥善保护网络中的其他主体权益和信息化健康发展。当网络管制很好地平衡了各种价值之间的分歧,而不是以一种价值压制其他价值,才符合近代以来法治尊重多元主体的基本要求(5)这种法治要求是指,近代西方启蒙运动以来,对个体的关注越来越多,社会治理的侧重点转移到对个人偏好的尊重。正是基于这样的思想观念,民主政治成为主流。在理论上,则经历了协商民主对代议制民主的批判,以及程序法治对协商民主的完善。但所有的理论,都没有偏离对不同价值偏好的尊重,这也成为现代法治的基本要求。参见马德普:《论协商民主对代议民主的超越》,载《政治学研究》2016年第1期;汤善鹏:《论立法与法治的契合——探寻程序法治的理论逻辑》,载《法制与社会发展》2019年第5期。。网络管制出现价值失衡的根本原因,是政府对网络安全的目标和价值出现了认知偏差,导致管制措施过分侧重于维护国家安全,超越必要限度。所以,基于国家安全理由实施网络管制的限度应得到明确:在内部通过追溯国家安全本身的管制需求决定,在外部则由其他主体和信息化发展的利益划定边界。基于国家安全的网络管制限度问题,实际是国家安全的价值边界问题。以网络安全的三维价值为基准,内部限制与外部限制相结合,构建起合理的国家安全网络管制体系。
(二)内部限制:找准国家安全对网络管制的需求程度
内部限制的思想渊源来自以洛克为代表的有限政府理论,意在直接限制政府本身的权力。按照有限政府理论的观点,个人权利是原生的,政府权力是派生的,权力服务于权利[12]。质言之,国家安全最根本的追求仍然是保障个人权益和信息技术发展。其意义在于,行使管制权力的目的不在于权力行使本身,政府没必要为了管制而管制。基于国家安全理由的网络管制,其目的是保障国家安全,政府在实施维护国家安全的管制时,应严格按照这一目的,划定管制事项的范围。要谨防以国家安全名义统揽一切,陷入什么都管的“泛国家安全”怪圈。尤其要注意限制对两类事项的管制:其一,与国家安全完全无关的个人事项和社会事项。其二,程度轻微,根本不足以达到危害国家安全的事项。
根据内部限制的基本理念,要对基于国家安全理由实施网络管制的措施、启动条件加以限制,并完善其他主体的救济渠道。首先,信息数据要在保护信息权益的基础上最大限度促进信息的利用。就国家安全领域而言,法律授权政府管制的目的,在于防范对国家安全相关信息的违法盗取与破坏。根据公权力“法无授权不可为”的原则,一方面政府所掌有的信息中,对少数涉及国家安全的保密信息进行管制或封存是例外。要确保政府依法公开的信息数据得到充分公开和利用。另一方面,对其他主体的信息数据,除有证据证明其足以影响国家安全,一般不得基于国家安全理由施加额外限制。目前,《个人信息保护法》的制定已考虑这一点,其正式草案第一条便规定要促进个人信息合理利用。与政府管制关系更加密切的《数据安全法》,相关章节和条文同样体现了数据管制与利用的平衡。
其次,在以国家安全为理由对关键信息基础设施实施管制时,要牢牢扣紧两个条件:一是与国家安全的紧密相关性,二是关键性。政府在设立关键信息基础设施相关规范和标准时,要避免将关键信息基础设施的范围泛化,尤其要注意“关键性”的判断标准。可以采取“负面清单”的方式,将受到合理约束范围之外的信息设备,交由其他主体根据自身权益选择配置。另外,要防止以自主创新为名限制其他主体权益、打压信息设备制造企业,避免形成新的权益枷锁和营商门槛。
再次,采取适度的信息内容审查标准。政府的信息内容管制权,相当于对网络信息内容的审核处置权,可视为一种准司法权力[13]。面对这样大的权力,其运用如果不加以规范,便可能超越国家安全的必要限度。《网络安全法》第47条规定,网络运营者发现违法信息时,应当立即停止传输并采取措施防止信息扩散,及时向有关主管部门报告。第50条又规定,国家网信部门和有关部门发现违法信息时,应当要求网络运营者停止传输并采取措施。“违法信息”这一表述仍然难以进行技术性判断,存在滥用可能。监管部门若简单地以维护国家安全、政治安全为理由限制或删除信息,这些条款无异于变成新的“口袋罪”。另外,《网络安全法》第58条规定网络通信临时限制措施,但何为“重大突发社会安全事件”亦无技术性判断标准,决定权在国务院。审查标准之适度性至少应体现在两方面:一方面,秉持审慎谦抑原则,把守最后一道防线。设置审查标准的目的是维护国家安全,而真正能够威胁到国家安全的信息内容只在少数。因此,审查标准不能对信息内容提出过高要求,更不应与道德标准相混淆,而应作为最低限度设立。此外,相关主体对审查结果的救济申诉权不容忽视。另一方面,区分国内与国外的审查标准。就网络信息内容安全而言,来自国外的威胁远大于国内。如果一概而论,则可能导致国内信息过度受限,其他主体信息权利减损,阻碍信息化发展。又或者对来自国外的信息审查过于宽松,敏感信息得不到有效控制。因此,应针对国内与国外信息灵活进行审查。国内信息的审查标准相较于国外信息而言,可以更加宽松,以此平衡国内其他主体之信息权利、信息化发展与国家安全的需要。国外信息的审查标准则更加严格,防止国外不良信息对我国政治、经济、文化安全构成威胁。以上原则和要求,要妥善运用立法、修法加以体现。一是利用国家层面相关法律的制定和修改,构建起更完善、适当的信息内容审查框架。二是在《网络安全法》相关规定的前提下,国务院及有关部门应出台实施信息内容管制的细化规定,以实现规范化的自我约束。
最后,规范对信息技术产业的限制,营造优良营商环境。其一,信息技术产业的发展规划,尤其是以国家安全之名的产业规划,是指导性而非强制性、排他性的。也就是说,在法律法规没有禁止的前提下,政府可以支持规划名录中的产业发展,而不能限制规划名录之外的产业发展,尤其要注意在行政程序上,变相加重非支持产业的负担。其二,严格把关进出口限制的启动条件,所依据的国家安全理由应给予充分说明,不给处于正常交易中的主体权益造成损害。以美国为首的西方国家,近期对我国信息技术产业施加诸多限制。其理由均为出于国家安全考虑,但却不具备充分证据。这些举措虽在表面上维持了国家竞争力,但同时也对其本国市场造成伤害。政府对市场的不当限制,最终都会遭到市场一定程度反噬。因此,我们虽要反制,但在采取反制措施时要理智决策,在法定程序框架内切实找准国家安全的限制需要。
(三)外部限制:尊重网络其他相关主体的权益表达
外部限权源于以卢梭为代表的人民主权思想,意在促进人民参与政治活动,从而达到监督、限制政府权力的目的。在主张外部限权的学者看来,内部限权的相关理论存在天然缺陷。原因在于,权力所有者很难出于其他主体的利益去限制自身权力。正是这种缺陷,使社会成员服从政府权力的动机削弱,进而导致现代政府的“合法化危机”[14]。外部限权为限制网络管制提供的方案如下。
其一,引导多方主体共同参与有关立法和决策,并在具体的管制活动中,对政府行为予以监督,赋予救济权利。党的十九大报告提出,要打造共建共治共享的社会治理格局。立法和决策事关权力配置及权益保护,理应由相关主体共同参与。网络安全涉及国家、信息技术产业、个人三方主体,为防止基于国家安全理由的管制超出限度,并使各方价值诉求充分反应在立法和决策中,就有必要让他们参与到立法和决策活动中来,并通过多种方式倾听利益相关产业、个体的诉求,综合调研情况作出形势判断,并给予被限制的主体有效的、层级足够高的申诉渠道。其内在机理是,不同的价值诉求导致价值之间的冲突,冲突的解决有赖于各方主体的沟通、论辩、妥协,从而划定权力和权益的边界。这正是协商民主理论、程序法治观所主张的观点(6)协商民主理论和程序法治都主张通过沟通、论辩来消解分歧,并使决策最大程度体现合理性与正当性。二者的不同点在于,协商民主理论认为不同主体可以凭借公共理性认识到公共利益,从而达成共识并彻底消灭分歧。程序法治观则是秉持对共识的批判态度完善了协商民主理论,最大限度地保障各方主体平等参与论辩的程序,就是决策合理性与正当性的来源。参见马德普:《论协商民主对代议民主的超越》,载《政治学研究》2016年第1期;汤善鹏:《论立法与法治的契合——探寻程序法治的理论逻辑》,载《法制与社会发展》2019年第5期。,也是当代立法、决策满足良法要求,解决立法危机的必然趋势。
其二,发挥互联网软法作用,实现硬法、软法的协同治理。由互联网企业、行业制定的软法,在网络治理中逐步趋于重要地位。这些软法包括行业规范、企业规章、用户协议等,其数量远高于国家硬法。互联网软法的背后代表着信息技术产业发展的利益,可以被视为信息技术产业的“价值宣言书”。在传统的科层式治理结构中,国家权力居于绝对主导地位,其他主体表达自身诉求的平台和渠道很少,互联网软法作为一种新型社会规范,能够起到一定“去中心化”效力。信息技术产业通过软法的制定向国家宣告自己的权益,有助于国家权力边界的厘定。但互联网软法更多是代表信息技术产业一方的利益,实行中面临与国家硬法和个人权益的冲突[15]。软法与硬法的冲突问题由来已久,实践中不少软法违背法律进行规定,损害了国家法律体系之权威。客观来看,软法与硬法冲突并不意味着软法一定有错,国家也不宜动用其权力强制软法进行修改。解决问题的关键还是要保证双方有效沟通,在制定或修改相关硬法、软法的过程中,充分交流意见,了解对方诉求,共同塑造互联网软法与硬法之间的融贯框架。而相对于个人,互联网企业、行业具有优势地位。互联网软法有可能对个人施加不平等条款,侵犯其合法权益。针对此类现象,要利用国家、信息技术产业、个人三角框架的特性,开辟个人就软法侵权条款向企业、行业申诉,以及向国家主管部门投诉要求纠正的渠道。通过对抗手段的补足,稳定的三角关系得以形成。在此基础上,国家、信息技术产业、个人协同发力,织就网络安全防护之网。
四 结 语
在网络安全问题日益突出的今天,传统安全保障已无法适应网络时代的需要。政府基于国家安全理由实施的网络管制,其逻辑依据是总体国家安全观。网络管制的基本特征包括防范对象的不确定性、保护对象的虚拟性及管制的非建构性。其管制目标包括信息数据安全、设备安全、内容安全、产业安全四个方面。网络管制的基本特征是实施管制的基本遵循,而管制目标为管制措施的建立提供基本框架。根据这一逻辑,网络安全管制措施得以从四个维度建构:信息数据保护、关键信息基础设施保障、信息内容安全审查及规范信息技术产业。但网络安全背后蕴含的价值不仅是国家安全,还有保护其他主体权益与信息化健康发展。网络安全的三重价值同样是网络管制的价值追求。因此,我们不仅要完善政府基于国家安全理由的网络管制措施,还要在管制中兼顾网络安全包含的其他价值诉求,明确基于国家安全理由的管制限度,综合国家安全、其他主体权益、信息化健康发展的价值追求,结合内外双重限制,国家安全视角下网络安全保障机制初步形成,在此基础上,进一步推进网络治理法治化。