2015年7月6号公布的《网络安全法草案》(8月5日草案征求意见截止),比较全面地规定了在促进和维护网络安全方面政府、企业和个人应当履行的义务和职责,较为全面地提出了解决网络安全问题的基本思路和应对策略。
草案既是对中国互联网立法以往经验的总结,也会对中国互联网产业和发展,对民众使用互联网的权利和自由,甚至对中国今后一段时间的政治、经济和文化的发展,产生较大的影响。
互联网及相关领域的发展,无论从全球的角度,还是从中国的角度,都经历了一个相对完整的过程,对互联网发展过程中遇到的问题,尤其是涉及互联网安全的问题,包括中国在内的政府、企业和个人,都有非常多的感受和体会。也可以说,网络安全法草案,代表了我们对这个问题的思考,也是我们对相关问题的解决思路。
从总体上来看,从全局的角度、综合的角度制定网络安全法,重新划分网络安全目标实现过程中的责任、权力和义务,为将来的互联网安全拿出一个相对整体的方案,是非常有必要。草案回应了我们在安全问题上的关切,如果最终通过,也会对解决相关的网络安全问题,对建立各种网络安全方面的法律制度,提供强有力的支持。
目前的网络安全法草案,有如下问题。
草案让互联网企业压力过重
政府少干预、少通过行政权力参与市场资源配置,是中国互联网发展过程中发现和找到的宝贵经验。
首先,从目前的诸多指标,比如互联网产业规模、拥有的世界级互联网公司数量、网民数及互联网对中国经济的助推力来看,中国的互联网产业不仅可以比肩美国,而且在电子商务、移动互联网和云计算等方面,还呈现出超越美国、引领全球之势。这种局面的形成,与互联网在中国的野蛮生长,即政府对其干预很少,中国法律对个人数据、知识产权保护保护的相对弱化,有非常直接的关系。
因此,在互联网发展中,放手让企业来施展自己的身手,放手让市场来解决发展过程中遇到的问题,政府少干预、少通过行政权力参与市场资源配置,是中国互联网发展过程中发现和找到的宝贵经验。在将来互联网发展的过程中,应当坚持这一在实践中获得的宝贵经验,坚持把这条经验发扬光大。
但从目前的草案内容来看,出于解决网络安全问题的迫切心情,出于重构网络空间法治秩序之内在需要,出于更好地掌控网络发展主动权的战略诉求,出于重整中国互联网发展的整体战略之考虑,草案要求互联网企业采取安全措施方面,施加了许多具体而繁多的义务。出于网络运行安全的考虑,这样做无可厚非,但同时还应当考虑的问题是,这些义务或职责,会不会给企业产生过多过重的负担,会不会对整个互联网产业的发展产生负面的影响。
互联网服务提供商不应对第三方内容负责
法律的目的要追求秩序的建构或重构,法律的目的还要给中国的互联网企业的发展创造条件。
在互联网服务提供商的责任问题上,尤其是作为核心部分的内容责任方面,美国1996年电讯法的责任划分方式,比较可取。就是互联网服务提供商只对自己提供的内容负责,对第三方通过自己的服务产生的内容,负责任的前提条件,是互联网服务提供商是否负有法律上应当负有的义务。如果有就负责,如果没有就不负责。单纯提供平台或通道服务并且对平台内容不行使编辑控制权,服务提供商就不对违法内容负责。如果服务提供商对平台内容行使编辑控制权,或对外声称其行使此类权利的,才对违法内容承担法律责任。
这种归责原理,虽然会给互联网服务提供商留下不对违法内容负责的借口,但可以解放互联网服务提供商,使之更快地成长。法律的目的要追求秩序的建构或重构,法律的目的还要给中国的互联网企业的发展创造条件。
中国互联网企业发展空间大了,其在国际上,尤其是与美国的同类企业的竞争中,就能获得更多的机会和主动权,就能不断变大变强。而中国拥有更多大型互联网企业,是中国网络安全的重中之重。很难想象的是,如果中国没有世界级的重量级的企业,中国的网民都去使用外国的互联网企业提供的服务的情况下,中国的互联网会是安全的。
因此,中国网络安全法,目光不应当仅仅盯安全,还要考虑到企业的发展,还要在能够确保网络基本秩序的前提下,确保网络发展的动力和活力,确保互联网企业丰富、完善和提升自己的服务质量的过程中,有足够的腾挪空间,有足够的余力。
个人信息保护应该专门立法
我们固然要强调对个人隐私个人数据的保护,但绝对没有必要通过网络安全法对个人隐私个人数据的过度保护,来改变现有的模式。
其次,草案对个人信息保护而制定的条款很多,占了草案很大一块篇幅。这种立法安排虽然彰显了国家对个人信息的重视,虽然具有很大的针对性。但这种安排有两个明显的后果,需要中国在修改的时候认真考虑。
一是将过多的保护个人隐私、个人数据的内容放在网络安全法里,将来还制定不制定专门的法律了?这部分内容的过重会不会冲淡将来制定专门法的需要,而许多国家在保护个人隐私、个人数据方面,都是通过专门法来解决的。因此,中国可能需要考虑将来的专门法与网络安全法关于个人隐私、个人数据保护的关系。为将来的专门法的制定留下空间。
在如今的大数据时代,云计算时代,不仅互联网企业的正常运转必须建立在对用户个人数据的搜集、加工、处理和深度挖掘的基础之上,而且将来经济的发展,个人在使用互联网过程中积累的数据信息,也是进行宏观经济决策的重要依据,在这种情况下,企业和政府使用个人数据是不可避免的。
这些年互联网发展过程中,主导性的商业模式,也是企业提供越来越多的免费服务、免费平台,以此来换取大量的用户,并借助用户产生的内容,包括个人数据,并通过对这些数据的使用而获得企业进一步发展的利润空间。中国的互联网巨型企业,也都是依靠这种模式,依据中国的人口优势成长起来的。
在这种情况下,我们固然要强调对个人隐私个人数据的保护,但绝对没有必要通过网络安全法对个人隐私个人数据的过度保护,来改变现有的模式。这既不符合互联网发展的内在规律的要求,实施的话,也会同时损害互联网企业和广大用户的利益。
这次网络安全法草案对个人数据方面权利益分配的模式,与欧盟对个人数据的保护要求一致,不仅要求互联网企业在搜集、使用和处理个人信息的时候,遵守法律的基本要求,同时还要求企业必须征得个人的同意。事实上,许多数据的搜集和处理,都是由机器自动操作的,如果任何一个搜集行为都要征求个人意见,个人会遇到很多这样的请求,企业也会因此而增加大量的人员来处理这类事务,不仅会使个体使用互联网的体验和感受大大受损,而且还会极大地增加企业的负担和运营成本,非常不利于中国互联网产业的发展。
网安法应给互联网正常发展松绑
法律限制和打击的,是企业非常搜集、处理、出售个人信息的作法,尤其是涉嫌刑事犯罪的作法,而不是企业符合行业规律的、正常的使用个人数据和信息的作法。
在个人数据保护方面,中国的法律一直不太健全,中国网民和企业的隐私保护观念,也远远不及西方国家,尤其欧洲国家。这是中国的互联网产业发展,尤其是产生了几个市值排名在全球靠前的大的互联网公司的重要原因之一。
而欧盟对个人数据的过度保护,欧洲国家对个人数据使用过于严格的限制,也是欧洲在互联网发展过程中,尤其是至今还没有大型的可以排在世界前20位的互联网企业的重要原因。
在大数据成为经济发展主要驱动力,在大数据成为国家重要软实力的当下,我们应当庆幸我们在互联网产业发展的成就,应当珍惜我们取得的成果,而绝对不能再步欧洲的后尘。
本着这一思路,在涉及个人数据处理的问题上,要平衡国家、企业和个人之间的利益关系,在保护直接涉及个人隐私信息或影响个人尊严、生活宁静的基本信息的情况下,在数据的处理不会给个体造成直接损害的情况下,应当减少企业在使用个人信息个人数据方面所受到的不必要的束缚,给企业松绑。
法律限制和打击的,是企业非常搜集、处理、出售个人信息的作法,尤其是涉嫌刑事犯罪的作法,而不是企业符合行业规律的、正常的使用个人数据和信息的作法。
严格推行实名制违背宪法与国际公约
宪法是国家根本大法,是制定其他法律需要参照的标准,网络安全法也不例外。
最后,网络安全法草案,延续了2012年《全国人大关于加强网络信息安全保护的决定》的精神,要求互联网服务提供商、基础电信运营商在为用户提供互联网服务、使用电信基础服务的时候,要严格推行实名制,要禁止网民使用加密技术,或以匿名的方式来使用互联网服务。
从互联网相关技术水准和网民的任何一次上网都会留下可供分析的“痕迹”来讲,无论我们要求不要示实行实名制,互联网的发展都在向实名的方向发展。同时,在互联网成为商业互联网、生活互联网和一切活动赖以开展的互联网的角度来讲,全面严格推行实名制,禁止网民以匿名的方式使用互联网,确实符合互联网发展的规律,确实有利于维护网络交易安全,确实有利于提升网民的责任意识,有利于违法行为在网络空间的产生。同时,对于政府更有效地管理互联网来讲,实名确实也比匿名更容易实现政府的管理目标。
即便如此,也不能说严格推行实名制或禁止用户使用加密技术使用互联网就是完全合法、完全合理的,就是可以在实践中坚决实施的,就是可以在法律当中明确规定下来的。在推行实名、禁止匿名使用互联网的时候,在国家要求网民们只能在网络空间裸奔的时候,还应当考虑以下几方面的情况。
其一,是这和规定与宪法相关条款的兼容问题。宪法是国家根本大法,是制定其他法律需要参照的标准,网络安全法也不例外。宪法规定公民享有通讯秘密的权利,宪法还规定公民享有言论、出版等自由。什么是通讯秘密的自由和权利?至少网民在使用互联网的时候,不能变得在服务提供商面前和政府的机构面前,变得赤身裸体,变得毫无遮拦。
网络安全法草案要求服务提供商和基础电信服务提供者,将网民是否进行实名登记,将网民是否将自己的身份信息作为使用网络服务的交换条件,实际上是迫使网民和互联网服务提供商,非实名不得使用互联网,非实名不得提供相关的服务。
无论是否实名,在目前的网络技术已经可以把每个网民都看得清清楚楚的情况下,在我们的侦查手段和侦查技术完全可以把个别违法之徒纠出来的情况下,在广大网民都已经事实上处于实名的状态下,再强行要求服务提供商非实名不提供服务、广大网民非“裸体”不得用网,对网民依照宪法享有的言论自由,也会产生更多不必要的限制。
通过互联网行使言论自由和出版自由的要义,应当包括以更加自由、更无顾虑地使用网络进行表达的自由,但要求网民实名、禁止网民通过使用加密技术来进行有效的自我保护,无疑会增加网民在网络空间更好地享受言论自由的心理负担。
这种规定如果将来成为法律,也容易成为其他国家攻击我们的靶子,也会给国际社会批评中国人权状况提供口实。就国际社会,尤其是国际学术界的相关研究成果的看法,和欧美国家和地区的司法判决中确立的较为主流的原则来看,网民匿名使用互联网,或通过加密的方式,为自己使用互联网的行为进行适当的保护,是网民的基本权利。国家制定的法律,不仅不应当剥夺网民享有的这项权利,还应当予以立法和技术方面的支持。但中国的做法正好与此相反。
世界人权公约,比如中国作为成员国之一的《世界人权宣言》的第十九条,和中共面临着越来越紧迫之成为正式成员国之压力的《公民权利与政治权利》国际公约的第十九条,都承认和保护每个人都享有不分国界地以他所认为的合适的方式,不分国界地寻求、接受和传播思想和信息的自由。
这种自由和权利,无论是联合国人权委员会相关的配套文件,还是作为联合国人权委员会特别聘请的特别报告员向联合国人权委员会提交的各种报告,都非常明确地指出,匿名使用互联网是个体的基本人权,个体也有权以加密的方式,使自己使用互联网的痕迹不至于成为使自己遭受迫害的“证据”。
今年5月22日,新上任的联合国人权委员会促进和保护意见和表达自由特别报告员David Kaye在提交给联合国人权委员会的报告中,关注的问题,就是网络技术的发展和国家日益提升的监控能力,正在成为个体自由使用互联网的障碍,正在损害网民在网络空间享有的隐私权和表达自由权,正在成为妨害职业记者更好履行职责的隐患。
在这种情况下,他在报告中呼吁国家停止对本国网民的大规模监控,呼吁广大的互联网服务提供商尊重网民的基本人权,呼吁国际社会共同抑制个别国家限制、禁止网民匿名和加密使用互联网的作法。
在这种情况下,网络安全法草案强行要求网民实名使用互联网和禁止网民利用加密使用互联网的作法,不仅容易招致国际社会的批评和指责,还容易让学者们、西方媒体和网民,把中国当成不尊重保护人权的典型。
事实上,目前公布的这个草案,已经受到了西方世界的学者的批评,受到了西方媒体不怀好意的解读。因此,关于实名制的相关规定,还需要弱化国家的强制措施,还需要作相应的调整。
(王四新,中国传媒大学文法学部教授,网络法与知识产权研究中心主任)