在2016年《网络安全法》颁行之后,我国迎来了网络安全相关立法的“井喷期”。这里所说的“立法”是广义概念,既包括制定行政法规和部门规章这些行政性立法,也包括制定技术标准和出台司法解释的“准”立法。

《网络安全法》颁行后,有关部门已经颁行或起草的相关规定包括《网络产品和服务安全审查办法(试行)》《关键信息基础设施保护条例(征求意见稿)》《网络安全等级保护条例(征求意见稿)》等。2017年,国家标准化管理委员会发布《信息安全技术 个人信息安全规范》(GB/T 35273-2017)、《信息安全技术 安全漏洞分类》(GB/T 33561-2017)等相关技术标准。两高一部也于2017年发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。值得注意的是,在《网络安全法》颁行之前,两高一部还曾于2011年发布过一个与网络安全密切相关的重要司法解释,即《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》。

笔者以《网络安全等级保护条例(征求意见稿)》《信息安全技术 个人信息安全规范》及《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》三个规定为例,提出网络立法规制的三种方法,即实体规制法、程序规制法和类型规制法,并尝试探讨三种方法的科学性。

一、实体规制法

《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》这个规定,采取了最为传统的立法方法,即先对个人信息这个实体性概念进行界定,然后在此概念基础上形成相关的实体性规则。具体而言,该解释第一条规定,公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

鉴于公民个人信息是网络时代的新问题,急于对这个实体性概念进行界定,风险巨大。一方面,从理论上讲,公民个人信息是能够识别或反映特定自然人身份的信息。从逻辑范式上讲,公民个人信息与证据的关联性问题最为相似,是一个识别性或反映性的问题。识别性或反映性,其实质上是识别或反映特定自然人身份的强弱程度,是一个“相对性”问题。因此,从学理上讲,公民个人信息应当可以划分为强反映性个人信息、一般反映性个人信息、弱反映性个人信息和无反映性个人信息。反映性的强弱会随着不同案件、不同信息环境产生变化和转化。

从实然法角度而言,根据2012年全国人民代表大会常务委员会通过的《关于加强网络信息保护的决定》第一条规定,公民个人信息是指能够识别公民个人身份的电子信息。根据《网络安全法》第七十六条规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。从上述《决定》及《网络安全法》不难看出,过去对公民个人信息的界定采用了“身份指向性”标准。而该解释试图将公民个人信息做扩张解释,即不仅反映自然人身份的各种信息属于公民个人信息,而且反映特定自然人活动情况的各种信息也属于公民个人信息。换言之,该解释对公民个人信息的界定采用了“身份指向性”和“行为指向性”双重标准。解释起草者可能已经注意到公民个人信息的典型特征是“身份指向性”,因此在描述“行为指向性”时采用了“反映特定自然人活动情况”的限定性描述。然而,这种限定性描述仍然存在着理解上的巨大障碍。

反映特定自然人活动情况的各种信息,这个范围是非常大的。网络用户在上网过程中记录的任何信息,无一例外,都能够反映特定自然人的活动情况。换言之,不管是网络用户上网过程中自己电脑里遗留的各种信息记录,亦或是网络平台在服务过程中遗留的各种信息记录,它们都能够反映“上网用户”该特定自然人的活动情况。因此,采用“反映特定自然人活动情况的各种信息”,无疑是将网络用户在上网过程中的所有信息记录都纳入个人信息的范畴。显然,这是不科学的。

笔者揣测,解释起草者可能是意图将能够反映身份特征的行为记录信息纳入个人信息的保护范畴,其本质上仍然是“身份指向性”。具体而言,在网络空间,能够反映身份特征的信息类型是很多的。最为传统的是,通过姓名、身份证件号码、通信通讯联系方式、住址等直接反映公民身份特征。再者是,通过个人照片、个人指纹、个人DNA等间接反映公民身份特征。值得注意的是,账号密码虽然有可能反映个人信息,但是绝大多数情况下是反映不了公民身份特征的。而在大数据环境下,能够反映公民身份特征的个人信息得以极大扩充,例如上网时间规律信息、IP/MAC地址终端设备信息、GPS定位轨迹信息等。这些信息可以统称为行为记录信息。这些信息在一定条件下(主要是指大数据),也可以反映出行为人的身份特征。维克托·迈尔-舍恩伯格的《大数据时代》一书,曾提到多个不用身份信息也可查到特定自然人的实际案例。

将非直接反映公民身份特征但能够间接反映公民身份特征的这些行为记录信息纳入个人信息的保护与规制,从长远来看是有必要的。应当明确的是,即使将行为记录信息纳入个人信息范畴,其根本原因是“身份指向性”而非“行为指向性”。从理论上讲,前者与后者的关系是“质”与“量”的关系。当“行为指向性”信息足够充分明确时,是完全有可能构成“身份指向性”特征的。不可否认的是,在绝大多数情况下,“行为指向性”信息是不能达到“身份指向性”特征的。因此,直接将含“行为指向性”的电子信息“一篮子”界定为“公民个人信息”,这是不合理的。尤其是在刑法讲究谦抑性原理的情况下,将公民个人信息进行明显不合理的扩大界定,将面临扩张打击的刑事风险。

假若非要进行概念界定,笔者以为,从现阶段看,在立法技术上采用例外规定更为妥当,即公民个人信息是指能够单独或者与其他信息结合识别特定自然人身份的各种信息;反映行为记录的各种信息,足以确定特定自然人身份特征的,按照个人信息认定。鉴于司法实践的复杂性,能否根据行为记录信息足以确定特定自然人身份特征,应当交由个案去认定。在信息技术发展的现阶段,这样也许更为妥当!

在互联网络这个新兴领域,在理论研究和实践经验都不够成熟的情况下,采用“先界定概念,再形成规则”这种实体规制法,其风险是十分巨大的。可谓,下策!

二、程序规制法

现阶段互联网领域的规制问题,可用一言以概之,即理论研究尚未成熟,实践问题业已发生。在这种情况下,采用程序规制法,也许是相对较好的方法。所谓程序规制法,是指在实体性规则尚未成熟的情况下,通过程序性指引规制人们的行为方式。

2017年的《信息安全技术 个人信息安全规范》正是采用了程序规制法,即该规范在体例上设计为个人信息的收集、个人信息的保存、个人信息的使用、个人信息的委托处理、共享、转让、公开披露等,并建立相应的具体规则(程序要求)。值得注意的是,该规范与欧盟的《通用数据保护条例》(GPDR)有一脉相承之处。比如,GPDR的主体部分主要是规定了数据主体、控制者、处理者在不同情形下的权利、义务与行为准则。

采用程序规制法解决信息网络问题,其最大的特点是:繁、杂、乱,需要归纳网络环境各种行为的可能性,并引以规则设计。产生这种现象的根本原因是:网络具有天然的自由、开放属性,而我们却要穷尽各种行为可能性进而制定社会规则与之契合或对抗。鉴于规则认知的滞后性,社会规则与新兴实践的脱节也是必然的。在这一点上,从全球各大互联网企业对GPDR的情绪反映上可见一斑。

总言之,程序规制法当下意义较大,能够一定程度解决当前问题,实务指导性较强。这种规制方法也往往为务实的英美法系国家所接纳。然而,程序规制法往往在可持续性上会因为理论支撑不足而缺少生命力,理论创新价值有限。尤其是,在采用程序规则法时,往往还会因为忽视实体法价值导向而“被带入”。笔者认为,GPDR的实体法价值导向其实是信息主权的扩张和入侵,在失去实体法价值认知的情况下,盲目随承程序规则会“被卖了,还替人数钱”。

因此,乃中策!

三、类型规制法

当抽象一般概念及其逻辑体系不足以掌握某生活现象或意义脉络的多样表现形态时,大家首先会想到的补助思考形式是“类型”。对于法及法学而言,更重要的是那些自始就包含规范性因素的类型。在选择标准的“表现形象”及详细地界分类型时,规范目的及规整背后的法律思想亦有其决定性的影响。质言之,必须基于规范性的观点从事选择及界分。由是,在形成类型及从事类型归属时,均同时有经验性及规范性因素参与其中,此两类因素的结合正系此种类型的本质,笔者因此名之为“规范性的真实类型”。(引自:[德]卡尔·拉伦茨著 陈爱娥译:《法学方法论》,商务印书馆,2004年版,第337-340页。)

在今天网络法学基础理论研究不足的情况下,采用类型规制法解决当下的网络问题,应为上策。

以正在征求意见的《网络安全等级保护条例(征求意见稿)》而言,该条例第十五条规定:根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。

笔者充分赞同该条例所采用的等级划分法,并按等级进行规制。不论是等级划分法、分级划分法,亦或是案件类型划分法、数据类型划分法等等,其本质上都是类型规制法,只是所采取的维度标准不同。尤其是,该条例采以“法律利益”为主要维度,而非以“技术要求”为主要维度,值得肯定。至于如何使“技术标准”科学合理地反映“法律利益”的要求,应当在技术标准上继续努力,以实现“法律标准技术化”与“技术标准法律化”的深度融合。

当然,《网络安全等级保护条例(征求意见稿)》在执权主体、执权范围、执法流程、管理要求、技术要求、规则周延性、立法语言等各方面都还存在不尽完善之处,应当多多听取各方意见,以提高具体规则的合理性与可操作性。

尤其是,在当前欧美国家信息主权入侵的背景下,适当增加具有弹性的“反制”规则条款,具有国家安全意义。笔者认为,为了补《网络安全法》的主权条款缺失,不妨在未来《网络安全等级保护条例》中增加:在中华人民共和国境外建设、运营、维护、使用网络,对中华人民共和国公民提供网络服务的,可以参照适用本条例,或实施对等原则。

(本文刊登于《中国信息安全》杂志2018年第8期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。