专家观点:完善立法,明确网络主权、控制数据主权

作者:王永刚 来源:人民网-观点频道
2015-02-05 08:18:00

  一、 背景

  通信技术和互联网的发展给中国和世界都带来了全方位地变革,近年来随着网络的宽带化、手机的智能化,移动互联网进入了高速发展期,又一次给我们带来了更深刻的变革。移动互联网对传统行业以及互联网行业进行了颠覆性的创新,对新闻、邮电、影视、图书、金融、交通、教育等传统行业都进行了改造。同时移动互联网又创造了全新的领域:微信、Twitter、facebook、微博等。可以说互联网和移动互联网涉及到社会的方方面面,上至国家安全与国民经济发展,下至百姓生活。互联网的虚拟世界已经与现实世界形成了一一对应的映射关系。

  互联网、移动互联网给我们的生产、生活带来了极大便利的同时,也在涉及国家安全、社会稳定、经济发展和公民隐私等方面带来了诸多新的问题:

  1) 世界各国的互联网对美国单向透明

  互联网的根服务器基本都在美国境内,可以说美国拥有互联网的最高控制权,可以随意对其他国家的网络使用情况进行监控和入侵。

  2) 外国势力长期以来对我国的数据进行野蛮的侵入和窃取

  “棱镜门”等事件已经暴露出美国政府一直在不遗余力地搜集世界各国,特别是中国政府的国家机密,分析政府要员个人信息、政治倾向、施政风格,窃取国有企业的商业机密乃至普通老百姓的个人信息,一旦国际政治风云突变,他们会通过网络的控制权对我国造成毁灭性的打击。

  3) 以颠覆意识形态为目的的文化入侵

  国外势力通过互联网,特别是通过移动互联网的APP能够毫无阻碍的将涉及到意识形态的音乐、影视、游戏等数字文化产品输入到中国,对中国国民进行潜移默化的意识形态的渗透,成为引发社会问题的导火索和助燃剂。

  4) 不良信息传播

  不法分子通过互联网、移动互联网发布违反法律、违反道德、破坏信息安全的文字、图片、音视频等内容,严重侵犯公民隐私和影响中国社会稳定。

  5) 立法上的空白

  互联网产业还没有完成国家层面立法,造成了执法主体不明确,执法机关对涉网案件的调查权和取证权无清晰的法律支撑。

  6) 互联网、移动互联网易成为恐怖主义与分离势力的犯罪工具

  恐怖主义与分离势力会通过互联网、移动互联网煽动和宣扬民族仇恨、文化仇恨、宗教仇恨,并策划实施具体的恐怖行为。

  二、 完善立法

  党的十八届四中全会提出了建设中国特色社会主义法治体系,建设社会主义法治国家的总目标,我国的依法治国进程进入了重要时期和关键阶段。正处于高速发展的信息产业要做依法治国的忠实践行者、有力推动者,通过法治建设保障产业的有序发展。

  互联网的特点是开放、自由、平等、合作,要维护中国网络环境的健康,保障国家安全,促进经济发展和维护国民个人权益,就必须联合其他国家一起对国际互联网进行规范和管理,形成广泛的国际共识,这对打击跨国网络犯罪,打击恐怖主义行为,维护国家的长治久安都具有极为现实的意义。而建立和完善中国的互联网相关立法,是开展与其他国家合作,建立更广泛的国际互联网行为准则的先决条件。

  1. 什么是网络主权

  是指主权国家对互联网基础设施和关键硬件设备的所有权和控制权,对互联网软件技术的自主知识产权,在互联网传播领域国家意志和主流意识形态的话语权,保障公民网络通信自由和国家、组织及个人信息安全权力的总称。

  从历史上看,国家主权的覆盖范围并非一成不变,而是随着人类活动空间的拓展而拓展,是动态的、发展的,国家主权从最初的陆地逐渐向海洋、天空、太空延伸。而当网络空间出现后,国家主权再向网络空间延伸是客观的必然。领网已经是与陆地、海洋、天空、太空并列的国家主权之一。

  2010年6月我国公布的《中国互联网状况》白皮书指出,中国政府认为,互联网是国家重要基础设施,中华人民共和国境内的互联网属于中国主权管辖范围,中国的互联网主权应受到尊重和维护。也就是说中国的互联网主权的范围就是中国的领土范围。

  明确了网络主权就可以对网络行为的实施者以及不法行为进行界定,如个人或者有组织的多人实施网络破坏行为,可以界定为黑客;以军队为实施主体的网络破坏行为可以视为国家间的武力攻击行为。

  2. 什么是数据主权

  是指一个国家对其政权管辖地域范围内(即:领网)个人、企业和相关组织所产生的文字、图片、音视频、代码、程序等全部数据在产生、收集、传输、存储、分析、使用等过程拥有的最高管辖权。

  如果把数据理解为矿产资源,信息就是采掘出来的原材料。那么数据主权相当于国家对自然资源和领土的所有权。从这个意义上而言,数据主权比信息主权更有价值,因为国家可以对矿产资源拥有主权,但在市场体系中国家对于生产资料和产品只有分配权和收益权。

  随着科技水平的不断提高,人类已经有能力从海量的数据中通过数据挖掘和云计算等高科技手段得到海量数据中蕴藏着的社会动态、市场变化、经济规律、国家安全威胁征兆、战场态势和军事行动等重要情报信息。如果不明确数据主权并加以立法,会对公民个人隐私、社会经济建设和国家安全造成重大威胁:

  1) 2013年央视315晚会上曝光了安卓系统手机泄漏用户信息,在对330多款安卓系统下的手机软件进行的监测中发现,超过58%都有隐私信息泄密的问题。手机中的应用可以获得用户手机的串号、地理位置、电话本、短信等一切个人隐私信息。不法分子进而可以利用这些用户信息进行信用卡盗刷、敲诈勒索等恶性犯罪行为。

  2) 2014年9月上市的阿里巴巴集团通过旗下的淘宝网、天猫网等占据了中国网络零售业超过70%的市场份额,累计获取了国内数以亿计的用户身份信息、个人偏好、个人财务信息,同时掌握了海量的金融数据。在阿里巴巴集团的股权结构中,前两位股东分别为日本的软银集团和美国的雅虎公司,合计持股比例超过50%。这其中隐藏了巨大的数据安全隐患,一旦阿里巴巴集团的用户数据和金融数据被国外势力恶意利用,后果不堪设想。

  3) 2014年10月,“棱镜门”事件的主角斯诺登再度披露美国国家安全局(NSA)在中国、德国、韩国等多个国家派驻间谍,并通过“物理破坏”手段损毁、入侵网络设备。不仅通过网络远程监控,还通过“人力情报”项目以“定点袭击”的方式挖取机密,甚至在北京设置了“定点袭击前哨站”,疯狂窃取中国机密数据。

  由此可见,大数据和云计算时代的到来使数据所隐含的重要价值得以显现。数据对国家主权有重要意义,是支撑国家安全与发展的重要战略资源,具有重要的主权保护价值。明确数据主权对于国家安全、经济建设、个人隐私保护都着极其重要的意义。

  对数据主权要进行分类和分级的差异化管理

  1) 分类

  数据主权按照数据的归属共分三类,即国家(组织机构)数据主权、企业数据主权以及个人数据主权。

  2) 分级

  数据主权按照其安全性分为五级

  第一级,数据受到破坏会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;

  第二级,数据受到破坏会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;第三级,数据受到破坏会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;

  第四级,数据受到破坏会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;

  第五级,数据受到破坏会对国家安全造成特别严重损害。

  3. 运用法律手段维护网络主权和数据主权

  首先,网络主权和数据主权的提出是主权国家维护其权威和合法性的必然要求。主权国家自诞生之初就有维护其权威和合法性的自然规律需求。在与其他公共权力组织长期竞争的过程中,主权国家获得了绝对优势,成功垄断了合法的公共权力。而主权理论则是维护国家权威与合法性的最重要工具之一。明确网络主权和数据主权,有利于国际社会的各个国家在网络时代的国际法中达成共识。随着云计算、物联网、大数据、智能化等网络信息化新兴应用的迅猛发展,大量数据和信息单方向进入西方发达国家的问题更加严重。实际上,当谷歌、微软等非国家群体被个别国家掌握时,容易形成网络世界的霸权主义。

  其次,信息的处理和使用是国家重要的基础能力,而信息则是通过对数据的挖掘和分析产生的。随着科技的进步和经济的发展,国家能力正在发生从“资本密集型”到“技术密集型”再到“信息密集型”的转移。早在 2010年3月,美国政府就要求各部门实施自己的“大数据”战略,实现从数据到知识、知识到决策、决策到行动的快速转化。在未来,主权国家的数据输入和输出都要遵从国家的意志和法律规定,未经同意的数据流入和流出有可能构成对该国主权的干涉,是对其主权的侵犯。

  通过法律手段保护我国的网络主权和数据主权的重大意义:

  1) 在国家间互联网控制权并不对等的客观现实下,最大化的保障中国国家数据主权,最大程度避免被外国势力实施监控和窃取。

  2) 防止中国政府、组织机构的人员信息遭泄露和被国外势力利用,防止国企的商业机密和经营决策遭到窃取。

  3) 阻止国外势力以颠覆意识形态为目的的信息入侵,依法对通过互联网进入国内和进行传播的数字产品进行审查。

  4) 阻止不良信息传播,控制互联网经济犯罪、防止通过互联网宣扬暴力犯罪,维持社会稳定。

  5) 防止公民个人隐私的泄露和被非法使用,加强行业监管、彻查隐私泄露源头,提高公民防范意识。

  6) 保护企业的合法经营行为,保障商业信息安全和企业知识产权不受侵害,为经济结构调整和经济高速发展保驾护航。

  7) 通过国家立法,保障司法的调查权、取证权和处罚权,从法律层面对公民权利和国家安全进行规范。

  三、 如何用法律手段维护网络主权和数据主权

  1. 贯彻落实依法治国理念,推进网络主权和数据主权立法

  党的十八届四中全会鲜明提出了“建设中国特色社会主义法治体系,建设社会主义法治国家”的命题,明确了立法活动是国家重要的政治活动,立法工作关系党和人民事业发展大局,要发挥立法对中国特色社会主义建设的引领和推动作用。推进对网络主权和数据主权的立法,做依法治国的践行者,符合时代发展潮流,大势所趋民心所向。

  2. 加快和完善信息产业的相关立法

  截止到2014年,国内还没有针对信息产业相关领域进行明确的立法,电信行业、互联网行业以及相关的细分经济领域还在依靠着行业条例、管理办法和国家的相关决定进行管理。如《互联网视听节目服务管理规定》、《互联网电子邮件服务管理办法》、《互联网新闻信息服务管理规定》、《非经营性互联网信息服务备案管理办法》等,各种管理办法层出不穷。而与此同时,电信行业和互联网行业都保持着高速发展势头,新的商业模式、产业模式不断推陈出新,而这些管理办法和规定相对滞后,无法跟上互联网时代和大数据时代的步伐,既阻碍了国民经济的高速发展,也无法保障在互联网时代的国家安全和社会稳定。

  在通过立法保障国家网络主权、数据主权的基础上,要尽快对信息产业的相关行业进行立法,要首先做到有法可依。在立法的基础上,才能有效的对互联网新闻、互联网视频、互联网社交等相关领域实施有效监管,控制不良信息传播,防止意识形态入侵,保证我国的网络安全和数据安全。

  3. 明确执法主体,做到责任清晰,防止“九龙治水”

  由于长期没有针对互联网主权和数据主权的相关立法,造成了目前对电信产业、互联网产业的相关行业约束、监管都是分散在不同的政府部门,职能重叠和分工不明严重制约了行业发展和监管效率。如互联网视频行业的监管,广电总局、工信部、文化部、新闻出版总署、版权总局等多部门都负有相应的管理职责,却又没有主管部门,造成互联网视频行业管理相对混乱,乱象丛生。深圳市快播科技有限公司涉黄被查停止运营就是监管不力的例证。只有明确执法的主体,明确各部门的监管职能,才能做到避免“九龙治水”的局面。

  网络主权和数据主权是关系到国家安全、经济发展和社会稳定的根本,执法主体应该为代表中国最高国家利益的政府机构。作为负责全国互联网信息内容管理工作,并负责监督管理执法的国家互联网信息办公室,应该作为维护网络主权和数据主权的主体。

  同时,需要建立健全综合执法制度,有效避免“要么多头执法、要么无人执法”等问题,形成多部门协调统一执法的良好格局。

  4. 对数据的产生、收集、传输、存储、分析和使用全程实施监管

  要依法保障我国的网络主权和数据主权不受侵害,就要从数据从产生到使用的全过程进行有效的监管

  1) 数据的产生和收集

  对移动终端、操作系统和应用程序进行严格审核和分级管理体系,对程序的个人开发者和企业开发者建立档案体系和溯源机制。防止对公民隐私、企业经营信息和政府安全信息的窃取和监听。

  2) 数据的传输

  通过立法对涉及到互联网数据传输的电信企业和CDN企业进行规范,对来自于外国的数据入境和国内的数据出境进行双向实时监控,防止不良信息通过互联网传入国内,严控关系到国家安全、企业经营和公民隐私的数据非法出境。同时对在国内进行传输的数据进行严格监管,防止公民隐私被窃取和颠覆意识形态的信息传播,完善舆情控制,保障社会稳定。

  3) 数据的存储

  所有在中国境内开展业务的企业,必须使用中国境内的数据中心进行企业数据的存储,中国政府可以依法对数据中心的数据进行监管,以保证互联网安全和数据安全。

  4) 数据的分析和使用

  一方面,政府建立公共数据发布机制,向公众开放就业市场情况、公共设施地图等公共数据,支持企业利用政府数据开展第三方服务。另一方面,政府对关系到国计民生和国家安全的数据,要通过建立对应政府职能部门进行分析和使用,通过大数据对国家在经济、安全、军事等领域发挥作用。

  5. 规范数据中心的使用是维护网络主权和数据主权的关键

  数据中心是数据收集和传输的目的地,是进行数据挖掘和云计算的前提条件,是维护网络主权和数据主权的核心所在。

  从法律角度来看,由于数据中心这一物理性硬件设备的存在,数据中心和数据中心存储的数据形成的法律上的对应关系,均可适用现行的我国法律。目前巴西和俄罗斯政府已经通过立法,要求境外的互联网公司在其境内开展互联网业务必须使用其境内的数据中心,通过对数据中心的管理实现对数据的可控、可管。尤其在维护国家安全方面,明确规定不得在网络中发布推翻和颠覆国家的等信息,国家机关基于这些法律程序和规定,可以依法对数据中心的数据进行日常监管。在维护国家安定和社会组织、公民隐私方面,不得散布谣言。在民事关系方面,网络中的游戏币、游戏装备等可以作为财产继承和转让。在海关关税和纳税方面,可以依据电子商务平台的数据进行规范等。

专家观点:完善立法,明确网络主权、控制数据主权

  (所有在中国境内开展业务的外国企业,其数据中心都要在中国境内自建或租用,任何进出入境的数据,都要遵守中国相关法律法规,需要经过中国政府监管)

  四、 小结

  完善立法、明确网络主权、控制数据的最终目的是解决三个问题:一是维护国家网络安全、信息安全;二是保障企业利益,促进互联网行业健康发展;三是保护网民隐私等合法权益,规范网络参与者的网络行为,加强网民防范意识。同时要处理好两个关系:一是在相互尊重、互惠互利、平等合作的前提下,处理好维护中国网络主权、数据主权与融入国际互联网大环境、促进国际合作之间的关系;二是处理好国家公权力与企业及个人权益之间的关系。

  新中国成立半个多世纪了,迄今为止没有一部全面的、覆盖电信和信息产业的法律,时至今日还处在无法可依阶段,应该说是整个行业的巨大缺憾。中国的快速崛起必然与以美国为首的西方国家在政治、经济、文化等方面发生全方位利益碰撞,科技发展到现在,互联网与移动互联网领域必然成为这些碰撞的主战场。因此,完善立法是重中之重。通过立法明确网络主权、控制数据主权是保障国家安全、国民经济健康发展的前提与基础。

  (作者系北京邮电大学教授、民建中央IT委员会委员、中国行为法学会常务理事)