信息安全立法设计

一、中国网络信息安全现状

信息安全问题自古有之,只不过是在互联网出现后,这一问题被无限放大。网络颠覆了传统的信息交流环境,导致网络社会的信息安全问题较之传统社会更加复杂。与其他国家一样,信息安全已成为我国国家安全、公共安全和个人安全最严峻的威胁之一。

(一)国家安全受到严重威胁

网络运转是包括各种硬件设备和相应的软件在内的技术的有机结合,一旦离开了这些技术,网上活动将无法进行。就目前而言,从互联网资源到关键设备、网络核心技术和应用等都由以美国为首的西方国家所掌控,导致我国的网络安全岌岌可危。数据信息不仅蕴含着巨大的经济价值,而且隐藏着政治利益和国家利益,网络时代数据信息可能成为侵蚀他国和危害他国国家安全的一个强有力的武器。大数据时代,因各国的技术水平和收集、处理、控制数据的能力不同而导致信息流动出现了不对等:就经济、贸易信息而言,我国是典型的流出国,信息技术强国的信息“逆差”直接威胁着我国的经济和经济安全。

(二)公共安全受到严峻挑战

随着微博、SNS(社会性网络服务)的出现,信息在网上呈现瀑布式传播和扩散。上述网络创新应用所具有的强大的信息扩散力、渗透力可以将一般性局部事件快速演变为全局性的重大事件,使公共安全和社会稳定受到严重威胁。以美国为首的西方国家利用自身的网络技术和信息优势大量向我国灌输其意识形态和价值观念,恐怖组织、组织、分裂势力积极借助网络空间攻击我国的社会政治制度,企图瓦解民族凝聚力,这直接威胁到党的执政地位和社会安全。此外,信息网络领域不断出现各种以渲染暴力恐怖为目的的文字、图片和视频,以侵害信息网络、破坏网络关键设施、侵犯公民人身财产权利的“恐怖主义”、“网络暴力”活动越来越猖獗,致使网络社会的公共安全受到严峻挑战。

(三)个人权益未获有效保障

数据信息已成为网络时代的重要资源。计算机网络所具有的强大的信息处理能力,导致个人信息被非法收集、利用以及泄露的损害后果更加严重,个人信息在网络时代受到了前所未有的威胁。苹果公司曾被曝在没有告知用户并获得许可的情况下,私自通过iPad和iPhone手机收集用户的行踪信息,经过处理后默认存储在一个未经加密的数据包中,每隔几个小时通过电信网或互联网成批发回苹果公司总部。DCCI互联网数据中心的《213移动隐私安全评测报告》显示,有66.9%的智能手机移动应用(APP)在用户不知情的情况下抓取用户隐私数据,其中通话记录、短信记录、通讯录是隐私信息泄露的三个高危地带。违法收集和滥用个人信息不仅侵犯了权利人的人格尊严,且往往是其他违法犯罪的工具和手段。近年来,通过违法收集、窃取等滥用他人个人信息的手段实现诈骗、盗窃乃至侵犯他人生命权的犯罪形式呈逐年上升之势。CNNIC的《中国网民信息安全状况研究报告》显示,2012年有4.56亿网民遇到过信息安全事件,占网民总数的84.8%。在遇到信息安全事件的网民中,77.7%的网民都遭受了不同形式的损失,除花费时间和精力外,经济损失总额为194亿元。

二、信息安全法的立法目的

立法目的是需要通过立法、执法和司法来实现的基本价值。信息安全法是在网络信息安全问题的不断恶化,已严重威胁国家安全、社会安定和个人合法权益的情况下,由此引起人们的关注并由此产生了解决网络信息安全的强烈需求和实现这一欲望或目的的法律规范。信息安全法的立法目的是指立法机关通过运用法律这种有效的/:请记住我站域名/社会调控手段确立一国的信息安全政策以及网络信息安全与发展的目标。

(一)美、俄信息安全法的立法目的

信息安全法的立法目的是一国在分析其国内特殊的网络安全形势基础上确定该国网络信息安全政策的具体体现。美国的信息安全战略经历了从主张“发展优先”到“安全优先”,从“适度安全”到“先发制人”,根据国家需求,构建了“信息基础设施保护”、“网络信息安全管理制度”和“信息安全文化与价值观”三位一体的国家信息安全战略体系。奥巴马政府出台的《网络空间国际战略》改变了以防御为主的网络空间战略,转而发展以“互联网自由”为核心,以“控制—塑造”为基本特征的进攻型网络空间战略。[1]与国家的网络空间政策相适应,美国在本世纪之初的信息安全法的立法目的是防范网络攻击,保障网络安全,具体而言:减少美国对网络攻击的脆弱性,阻止针对美国至关重要的基础设施的网络攻击,在确实发生网络攻击时,使损害程度最小化、恢复时间最短化。[2]可以预见,随着美国网络空间战略的变化,美国今后的信息安全立法乃至整个网络立法都会以实现控制为核心的进攻性网络空间政策为目标。与美国不同,俄罗斯基于本国所面临的内在和外在的信息安全威胁,提出信息安全法的立法目的是:确保信息安全并在激烈的信息对抗中获得优势以维护国家利益。[3]俄罗斯和美国信息安全法的立法目的之所以存在差异,原因在于信息安全法解决的是一国的特定问题,是与国内特定的信息安全形势相关的。因此,不同的国情决定了各国的信息安全立法有着不同的目的。

(二)中国信息安全法的立法目的

以安全威胁的来源为标准,可以将威胁我国信息安全的因素分为以下两类:一是网络核心技术失控;二是网络滥用行为。决定了我国信息安全法既要通过规制危害网络安全的行为,又要通过促进网络技术的发展以掌控网络的新技术从而保障我国的信息安全。具体而言,我国信息安全法的目的应通过设定各类主体(政府、网络用户、信息基础设施运营者和信息内容提供者等)的权力或权利、义务和责任,规范信息收集或生成、传递、控制和利用行为,促进网络基础理论的研究,掌控网络的核心技术,实现信息的保密性、完整性、可控性、可用性和不可否认性,从而有效地保障国家安全和个人在信息社会的基本权益。安全主要体现工具性价值的特性又决定了它不可能被作为绝对的终极价值去追求[4],信息安全法的终极目的是实现网络主体的自由。信息安全法通过构建并维持网络社会的基本秩序进而实现保障自由的目的。网络社会秩序究其本质是网络主体的一种有组织化的活动方式,是网络主体行使其权利的基础。自由只能在秩序中获得,这决定网络主体的自由必须依存于网络社会的秩序。自由不是个体的任意,恰恰相反,自由是对个别人的任意的超越和对普遍性的认同。[5]

信息安全法通过对危害信息安全的网络滥用行为的约束以保障其他网络主体的自由。从社会学的视角看,信息是社会结构中不可缺少的构成性要素。[6]14大数据时代,数据信息进一步从社会资源中独立出来并成为一种新的结构性要素,对人类社会活动的各个领域发挥着深远的影响:数据信息对人类的政治、经济、文化等领域起到了基础性的支撑作用。鉴于信息在网络社会中的重要作用,信息安全法的目的应以实现信息的自由流动、保障网络主体传播和获取信息的自由为其终极目标。中国已进入信息社会,网络之于中国公民的意义不仅仅是赋权、赋能,更重要的是赋信息。信息的自由流通能使人们进行独立思考并激发人们的创造能力。因此,网络不单单是信息传递的工具,而且是解放国人个性的工具。通过保障信息安全以促进信息自由流动,实现信息的最大化共享与利用;通过保障网络主体的行为自由,使其能够自由的传播和获取信息,从而激发网络主体的创造力。因此,信息安全法是提高国民素质,促进社会发展与进步,提升国家竞争力的重要制度保障。 三、中国信息安全立法的指导思想

信息安全立法的指导思想是指立法主体据以进行信息安全立法活动的重要理论根据,是为信息安全立法活动指明方向的理性认识。网络的开放性、全球性、虚拟性等特征以及信息安全立法的目的决定了我国信息安全立法应遵循以下指导思想。

(一)适度安全

绝对安全不具有技术上的可能性,抑或是要支付巨额的成本。不能为了获得绝对安全而不计成本,也不能因噎废食而放弃使用网络。因此,信息安全法的“安全”并非绝对安全,而应该是适度安全。适度安全是指信息安全法的制度设计应协调安全与其他价值之间的关系,不能为了保障信息安全而牺牲了网民的自由,进而扼杀了网络技术创新。网民可以在网络世界中自由地获取、传播、处理信息,这一权利已被我国宪法所确认,信息安全法律规范的制度设计不能因强调网络安全问题而影响网络的接入。原因在于,面对网络安全和信息安全问题,恐惧并不理智,不仅对问题解决没有效果,还可能导致过度控制。在个人生活和社会生活中,一味强调安全,只会导致停滞,最终还会导致衰败。[7]41因此,信息安全法应保证国内网民以及世界其他国家和地区的网民都有安全的接入机会。网络的可接入性应该有持续性的保障,除非发生危害国家安全的行为以及刑事犯罪行为。整体安全和个人自由都是需要重点保护的根本利益,对任何一方保护的偏颇或疏漏都有可能造成整个信息安全法律关系的不稳定。因此,未来中国的信息安全法在保障整体安全的同时,应充分重视对网民个体自由的保护,在提升国家和政府对网络安全控制力的同时,协调好国家安全与公民个人自由之间的关系。

(二)开放性

云计算、移动互联网、物联网、大数据的出现将互联网发展带入一个全新的阶段,这对个人信息保护和国家安全保障提出了更高的要求。博客、微博、SNS等网络新业务新形态的出现,移动通信技术的日益成熟和广泛应用,网络信息传播形式从以文字为主向音频、视频、图片等多媒体形态转变,不仅增加了监管的难度,而且使当事人之间的法律关系变得更为复杂。如果信息安全法律规范将有关范畴依附于某一特定的技术形态,而相关技术的发展则使得建立在先前某一特定技术基础之上的法律无法适应新技术条件下的网络活动。因此,信息安全立法应坚持开放性的原则,具有充分的前瞻性和预测性,保持适当的灵活性,避免将有关范畴局限于某一特定的技术形态而遗漏了对其他网络技术特别是网络创新应用的监管。

(三)依靠发展解决安全问题

安全问题最终要依靠网络技术进步解决,在此意义上,发展是解决安全问题的终极手段和措施。鉴于国内严峻的信息安全形势,决定了我国信息安全法既要侧重安全,又必须促进发展,依靠发展解决安全问题,在安全中求得发展。以网络攻击为例,利用最新的网络技术和应用可以有效地预防这一长期困扰行业健康发展的问题:通过对大数据的深入分析,能够帮助企业提前发现恶意进攻发起的时间,做出快速应对,制定智能驱动的安全策略,减少恶意攻击者的停留时间,建立以风险为基础、具备关联性、智能驱动的安全模型,帮助用户防御当今日益增长的高级威胁及恶意进攻者。