张新宝
当今社会已经进入网络时代和信息化时代,网络信息与国家及其公民个人的利益休戚相关。国际上围绕网络信息的获取、使用和控制的竞争愈演愈烈,因而网络信息安全成为维护国家综合安全(包括经济安全、军事安全和社会安全)的一个重大问题,成为世界各国普遍关注的一个战略问题。近年来,云计算等新技术成果的出现,改变了信息提供和存储的模式,使得网络信息安全问题日益突出。①
1.黑客攻击。近年来发生的黑客攻击事件表明,黑客攻击已经从单纯的技术攻击、病毒危害发展成了旨在攫取经济利益、破坏国家信息基础网络和重要信息系统的有组织网络犯罪活动。②威胁网络信息安全的黑客行为的跨国流动性强,其规模化特征凸显。黑客攻击是各国政府和公共机构、企业与个人面临的主要的、常规的网络信息安全威胁。
2.美国等国的国家行为。2013年6月9日,前美国国家安全局(NSA)员工爱德华·斯诺登逃到香港,向英国《卫报》揭露了NSA的窃听丑闻。斯诺登称,美国从2007年开始实施一项名为“棱镜”(Prism)的电子监听项目,许可监听对象包括任何在美国境外的人士,或是任何与外国人通信的美国人。该项目还通过直接接入苹果、微软、谷歌、雅虎等9大互联网公司的中心服务器,针对美国境外的非美国人搜集情报,用户的电子邮件、在线聊天、信用卡信息等都无密可保。从这9大互联网遍及全球的影响力来说,该项目对于全球大部分公民无疑是极大的隐私侵犯。斯诺登还揭露,NSA通过思科路由器监控中国网络和电脑,而思科公司参与了中国几乎所有大型网络项目的建设,这些大型网络项目涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等要害部门的网络建设,以及中国电信、中国联通等电信运营商的网络基础设施建设。美国“棱镜”计划的曝光让所有人震惊,也使人们意识到信息安全的重要性——网络信息安全问题危及个人隐私权、国家安全利益和经济命脉及社会稳定;③同时,它使人们看到了加强国际合作的必要性④,认识到信息安全绝不是一个国家的事情,处于全球信息空间的每一个个体都不是孤立的存在,个体之间具有一损俱损的关系,人们必须联合起来,共同抵制破坏信息安全的行为。
信息技术的发展和普及,特别是互联网技术的发展,在全球形成了一个没有边界的网络空间:每个国家都是这个空间的一员,面临着共同的风险和挑战。从实际发生的网络信息安全事件来看,大多都具有跨国性的特点。⑤此外,在这个信息大爆炸的时代,网络信息安全涉及政治、经济、军事、日常生活等领域,涉及面广、问题复杂,单凭一个国家的力量难以从各个方面从容应对。因此,任何一个国家如果无法超越基于主权的传统安全观念,则无论其拥有怎样的技术能力和相对优势,最终仍将面临严峻的安全挑战。基于自愿基础上的有效的国际合作,正日趋成为应对信息安全挑战的唯一有效措施。主要国家在加强网络信息安全方面有大量举措:
1.美国。在网络信息安全保护方面,美国表现出鲜明的两面性:一方面通过大量立法和强有力的执法活动,强化其国内网络信息安全,维护其国家利益;另一方面通过国家安全局等机构大肆侵害其公民以及非美国公民、外国国家机关和公共机构、企业等个人或机构的网络信息安全。⑥美国有关网络信息安全的法律有《信息自由法》、《个人隐私法》、《伪造访问设备和计算机欺骗滥用法》、《计算机安全法》、《电讯法》、《儿童网上保护法》、《公共网络安全法案》、《加密个人通信法案》、《个人通信与消费者保护法案》等。⑦美国于1996年根据第13010号总统行政命令成立了“关键基础设施保护总统委员会”和“基础设施保护专门工作组”,作为专门保护信息安全的权威机构,统一指导、协调安全工作。2008年,美国制定了《国家网络安全综合计划》。针对日趋严重的网络安全形势,美国开展了专门演习,以便在发生网络安全事件时能够促进各部门之间的合作。在网络信息安全国际合作方面,2010年7月,中国、美国、俄罗斯等15个国家共同向联合国提交了一份关于全球网络安全问题的建议稿。美国积极与其他国家展开对话交流,如与中国一起举办了“中美互联网论坛”等活动。但是要看到,美国的这些努力主要是服务于其国家安全利益的,为了这一利益,它不惜通过各种技术手段侵害他国的网络信息安全,窃取情报和侵害隐私,甚至通过黑客手段对特定国家发动定点攻击。⑧从历史上看,美国对于国际法的制定及其效力的态度,是以绝对的国家利益为标准的,它认为国内法的效力高于国际法,任何国际法只要稍微不利于美国或者为了平衡利益而对美国有适度限制,美国就拒绝加入相关公约。因此,应当认识到,在加强网络信息安全领域的国际合作以促进国际规则的制定方面,美国既可能是一个积极因素,也可能是一个消极的绊脚石。
2.欧盟及其成员国⑨。2001年,欧洲委员会发起制定了《网络犯罪公约》(即《布达佩斯公约》⑩),这是迄今为止全球范围内针对网络犯罪达成的唯一多边公约[11]。2010年11月,欧洲网络与信息安全局(ENISA)和欧盟联合研究中心(JRC)联合举办了一次名为“网络欧洲2010”的网络安全演习,以促进各成员国在维护网络安全方面进行更广泛的合作。欧盟在2012年3月宣布设立“欧洲网络犯罪中心”(European Cybercrime Center,ECC),该中心 2013 年3月正式投入使用。该中心的建立是欧盟集合各方资源共同应对网络犯罪的一个重要里程碑。[12]英国政府成立了两个专门的网络安全部门——网络安全办公室(Office of Cyber Security)和网络安全行动中心(Cyber Security Operations Centre),前者负责协调政府各部门的网络安全计划,后者的任务是协调政府和民间机构的主要电脑系统的安全保护工作。英国提出了《2010年战略防务与安全评估报告》,并于2011年10月发布了国家安全战略报告,将恐怖主义、网络攻击、涉及英国及其盟国的国家间军事危机、重大事故和自然灾害定为英国面临的四大主要安全威胁。英国的“网络服务供应商协会”(ISPA)制定了行业自律公约,“英国互联网监视基金”旨在制止互联网上违法信息的传播。英国还研究出了高灵敏度的RFC网络电子分级装置,对网上信息进行分级、认定和分类。[13]在国际合作方面,英国积极与其他国家开展交流、对话,如与中国开展“中英互联网圆桌会议”等对话活动,以加强沟通、增进互信。法国在1986年成立了信息系统安全中心处,该机构2000年升级为信息系统安全中心局,对行政管理机构、公共机构和企业信息系统的安全进行鉴定、评估和认证。法国“互联网接入和内容服务协会”负责制定业内会员行业自律和道德规范手册等。法国还重点研究了高性能过滤系统、有害信息的过滤技术、追踪非法侵入的信息源等,以加强信息保护。在国际合作方面,2000年5月,法国和日本共同主持了主题为“政府机构和私营部门关于网络空间安全与信任对话”的八国集团会议,这是世界上首次以打击网络犯罪为主要议题的国际性会议。[14]
3.俄罗斯。1998年俄罗斯向联合国大会(简称联大)第一附属委员会(即裁军与国际安全委员会)提交了“国际安全背景下信息和电信领域的发展”决议草案[15],在此基础上形成了联大第53/70号决议。2011年9月,中国、俄罗斯、塔吉克斯坦、乌兹别克斯坦等国的常驻联合国代表联名致函联合国秘书长,要求将由上述国家共同起草的“信息安全国际行为准则”作为第66届联大正式文件,旨在为全球制定网络安全国际公约提供范例。[16]
4.中国。近年来,中国有关部门陆续下发了《国家信息化领导小组关于加强信息安全保障工作的意见》、《国家信息化发展战略》、《国家信息安全战略报告》、《国家“十一五”信息安全专项规划(征求意见稿)》等政策性、指导性文件。[17]其中,《国家信息安全战略报告》明确提出要“积极开展国际合作”,其内容主要包括:积极开展国际技术交流与合作;积极开展国际司法合作,参与国际社会打击网络空间犯罪和恐怖活动的行动;积极参与信息安全领域的国际公约、规则和标准的制定,重视利用国际舆论、国际法和国际规则解决信息安全问题等;举办“中美互联网论坛”、“中英互联网圆桌会议”等对话活动,积极沟通,增进互信,促进互联网安全;与俄罗斯、塔吉克斯坦、乌兹别克斯坦等国一起向联大提交“信息安全国际行为准则”。[18]这说明,中国政府和社会已充分认识到了国际合作对于保障信息安全的必要性和重要性,并将其作为解决信息安全问题的战略途径。[19]
从上述情况可知,各国在通过国内立法等措施加强信息安全应对的同时,也日益认识到了加强信息安全合作的必要性和重要性,并取得了日益广泛的共识、采取了一些实际行动,从而使得进一步加强信息安全国际合作、制定共同遵行的国际规则具备了现实基础。
建立定期的、正式的磋商平台和机制,可以互通有无,共享信息,增强互信,在法律、政策和应对的技术手段上进行及时交流,通过交流达成共识,共同促进信息安全保护。[20]就目前来看,虽然已有部分国家和地区开始与其他国家和地区进行磋商、制定协议等,但这毕竟是少数国家之间的活动,且此类活动具有突击应对的特点。因此,定期召开国际协作会议,建立正式的磋商平台和机制很有必要。该磋商平台和机制的建立,可以由行业协会等非官方组织负责,其本着平等互利的原则,在各国之间就信息安全相关问题协调立场。
目前,涉及网络信息安全的国际合作大多集中在打击网络犯罪和网络恐怖主义方面,且主要是通过双边、多边或者区域性协议来进行。如2001年10月6日,西方七国集团财长会议制定了《打击资助恐怖主义活动的行动计划》,呼吁加强反恐信息共享、切断恐怖分子的金融网络以及确保金融部门不为恐怖分子所利用。[21]同年11月23日,欧洲委员会43个成员国以及美国、日本和南非正式签署了《打击网络犯罪条约》,这是第一份有关打击网络犯罪的国际公约。[22]随着科学技术的发展,信息安全涉及的领域越来越广泛,影响的范围也越来越广,网络信息安全保护仅仅依靠这些双边、多边或者区域性规则是不够的,且集中在打击网络犯罪和网络恐怖主义方面也具有局限性。我们应当积极推动制定适用于全球的共同规则,加强网络信息安全领域更广泛的合作。2011年9月,中国等国向联大提交的“信息安全国际行为准则”旨在“促进各国合作应对信息空间的共同威胁与挑战”。[23]笔者建议,应在国际法律层面推动以该行为准则为基础制定相关国际公约,加强网络信息安全国际法的制定和打击网络犯罪、网络恐怖主义,以保护国家安全、公民隐私和知识产权,推进网络信息技术国际标准制定、网络信息安全技术开发利用、电子商务的安全监督等方面的合作。就制定有普遍约束力的国际公约而言,在内容上应当以“信息安全国际行为准则”为基础。
建立一个统一的、具有广泛适用性的国际公约,对于推动信息安全领域的国际法治有重大意义。美国“棱镜门”事件凸显了信息安全领域问题的严重性,使得制定信息安全国际公约显得尤为迫切。中国等国家向联大提交的“信息安全国际行为准则”能较好地兼顾国际社会维护信息安全的各项主张,未来的“网络信息安全国际公约”(简称“公约”)的内容框架应当在充分吸收该准则的精神和内容的基础上构建。
“公约”应在序言中明确国家和国际社会在信息安全领域应遵循的基本原则,这些原则将构成实现信息安全领域国际法治的基础理念,将贯穿信息安全保护的各个领域,并通过各项具体制度得以体现和贯彻。
1.尊重主权原则。该原则是国际法的一项基本准则,包括主权平等和主权安全。《联合国宪章》中规定了“各会员国主权平等之原则”;“各会员国在其国际关系上不得使用威胁或武力,或以与联合国宗旨不符之任何其他方法,侵害任何会员国或国家之领土完整或政治独立”。1970年《国际法原则宣言》重申了“主权平等”、“主权安全”和“不干涉内政”原则。[24]“公约”也应明确:国家行为应尊重其他国家的主权,不以非法手段侵害其他国家主权、获取其他国家秘密、对他国进行网络攻击或颠覆其他国家政权;应当尊重主权国家之间彼此的核心利益。在尊重国家主权方面,“公约”应包括但不限于下列规定:国家承诺“遵守《联合国宪章》和公认的国际关系基本准则,尊重各国主权、领土完整和政治独立,尊重各国历史、文化、社会制度的多样性”;“与互联网有关的公共政策问题的决策权是各国的主权。对于与互联网有关的国际公共政策问题,各国拥有权力并负有责任”;“各国在互联网信息采集、与互联网有关的公共政策问题的决策、保障信息安全方面采取的行为,不应侵犯其他国家主权完整和主权安全”;“国家不应以窃取、监听等不文明手段获得他国信息,不得利用所获得信息侵害其他国家主权、获取其他国家秘密、对他国进行网络攻击或颠覆其他国家政权。国家有权采取反措施以应对其他国家的不文明行为,但该反措施应以遵守国际法基本原则和本公约规定为限”等。
2.尊重公民基本权利的原则。保障公民在互联网信息安全领域的基本权利,是公民私权利在国际公法领域的体现,是国际社会保障人权的一个方面。1948年《世界人权宣言》第12条即规定了任何人对于其私生活、家庭、住所、通讯有受法律保护和不受侵犯的权利。在尊重公民基本权利方面,“公约”应包括但不限于下列规定:国家承诺“遵守《联合国宪章》和公认的国际关系基本准则,尊重人权和基本自由”;“充分尊重信息空间的权利和自由,包括在遵守各国法律法规的前提下寻找、获得、传播信息的权利和自由”;“公民的互联网信息也是公民的隐私。各国尊重和保障公民在互联网领域的基本权利和自由,保障公民在互联网领域的财产权利,保证公民信息安全不被不合理地侵犯”;“对他国公民通讯的监控和信息的获取,应取得合法手续,并以不违反国际法基本原则和本公约规定为限”等。
3.保障信息安全和互联网自由的原则。在信息时代,安全和自由是网络社会的基石,是互联网和信息技术发展的根本保障。只有保障信息安全和互联网自由,公民才会深度相信并广泛使用手机、电脑和互联网。保障信息安全和互联网自由原则体现着“公约”制定的出发点和宗旨。在保障信息安全和互联网自由方面,“公约”应包括但不限于下列规定:国家“认识到可以放心、安全地使用信息和通信技术是信息社会的一大支柱,必须鼓励、推动、发展和大力建设全球网络安全文化”。
4.国家行为合法性原则。针对斯诺登事件暴露出来的新情况,即个别国家无限监控他国公民、企业组织、政府机关和公共机构,大肆收集个人隐私资料和进行网络攻击,有必要对“信息安全国际行为准则”的内容加以补充,特别强调政府行为在国内法和国际法上的合法性原则,限制任何政府在域外(或者对域外)监控网络、收集个人信息的行为,特别是禁止政府机关对他国实施网络攻击行为。
5.企业自律原则。从美国“棱镜门”事件中我们可以看到美国政府监听项目的“帮凶”,如美国电信巨头威瑞森(Verizon)公司每天向美国国家安全局上交数百万用户的通话记录,美国国家安全局和联邦调查局直接接入微软、谷歌、苹果、Facebook、雅虎等9家网络巨头的中心服务器。该事件中,一些大型技术公司、网络公司可以说是美国政府行为的“共犯”。通过“公约”规范各国国家行为是必要的,但也可以说是不充分的:国家尊重他国主权和公民基本权利之外,还应该尊重公司企业的自主经营;而可以获得大量公民个人信息的技术企业应当自律,真正保障网络和软件用户的信息秘密和安全;公司企业也应该有一套行为准则,以此约束公司企业承担社会责任,并确保公司企业不协助侵犯人权。[25]在提倡企业自律方面,“公约”应包括但不限于下列规定:国家“引导社会各方面理解企业(包括本国信息通信私营部门)在信息安全方面的作用和责任,促进创建信息安全文化及保护关键信息基础设施方面的努力”等。
1.获取信息的条件。个人网络信息往往涉及隐私。隐私权具有对世性,必须加以保障,使之不受任何种类的干涉和攻击。当然,隐私的保护是相对的,政府在一定条件下可以干涉隐私、获取信息。但是,信息的获取必须符合法律要求,有严格的法律程序。“公约”应规定:国家“必须在法律上和实际上保障公民通讯信息的完整和机密”,“应禁止监查(尤其是以电子方式)或拦截电话、电邮和其他通讯形式,禁止窃听和记录谈话”;“各国必须采取有效措施来确保有关个人私生活的资料不会落到法律未授权接受、处理和使用这些资料的人手里,并确保这些资料永远不会被用来做不符合公约的事”等。[26]
2.信息使用的目的。使用互联网信息、开发互联网技术的正当性在于信息使用的目的和宗旨的正当性,即维护“信息安全”和促进“人的发展”。信息的使用应从人的发展需要出发,而不能盲从于国家竞争、商业竞争等异化的目的。“公约”应规定:国家“应避免将信息通信技术用于与维护国际稳定和安全的宗旨相悖的目的,以免给各国国内基础设施的完整性带来不利影响,危害各国的安全”;“应确保信息通信技术包括网络仅用于促进社会和经济全面发展及增进人民福祉的目的,并与维护国际和平与安全的目标相一致”等。
3.信息使用的手段。“公约”应明确,信息不能被滥用,不能被用于从事非法活动,信息的使用不能破坏国际社会基本原则。“公约”应规定:国家承诺“推动各国在信息空间采取建设性和负责任的行为,促进各国合作应对信息空间的共同威胁与挑战”;“不利用信息通信技术包括网络实施敌对行动、侵略行径和制造对国际和平与安全的威胁。不扩散信息武器及相关技术”;“合作打击利用信息通信技术包括网络从事犯罪和恐怖活动或者传播宣扬恐怖主义、分裂主义、极端主义或其他破坏他国政治、经济和社会稳定以及精神文化环境的信息的行为”;“国家不应在域外(或者对域外)监控网络、收集个人信息,不得对他国实施网络攻击”等。
4.信息使用的效果。信息技术的发展和信息的使用,其目的在于使各国提高保障信息安全的能力,保护本国公民的信息不被侵犯和保障国家的信息安全,使网络可以被放心和安全地使用。“公约”应规定:国家“强调互联网安全性、连续性和稳定性的重要意义,以及保持互联网及其他信息通信技术网络免受威胁与攻击的必要性”;“必须加强努力,通过便利在网络安全保护的最佳做法和培训方面向发展中国家转让信息技术和支持其能力建设,弥合数字鸿沟”;“提升各国保障信息技术自主控制权及应对政治、经济和社会安全威胁的能力”。
“公约”还应规定一些方向性的措施,指引国际社会实现信息安全。[27]如规定加强国际合作[28],“协调和合作打击非法利用、滥用信息技术,并在这方面强调联合国和其他国际及区域组织可以发挥的作用”;“重申必须在国家和国际层面就互联网安全问题达成共识并加强合作”;“加强双边、区域和国际合作”等。又如,规定提高技术水平和加强互联网安全防范,“努力确保信息技术产品和服务供应链的安全,防止他国利用自身资源、关键设施、核心技术及其他优势而削弱接受上述行为准则的国家对信息技术的自主控制权,或威胁其政治、经济和社会安全”;“加强创建信息安全文化及保护关键信息基础设施的努力”等。再如,规定“推动建立多边、透明、民主的互联网国际管理机制,确保资源公平分配和方便所有人接入,确保互联网稳定、安全运行”。
公约的执行机制,包括公约实施中遇到违反公约原则、准则的行为的应对,以及在涉及其准则的活动中产生的争端的解决。[29]《联合国宪章》和《国际法原则宣言》都规定了“和平解决国际争端”的基本原则,这一原则也应在“公约”中得到遵守。和平解决国际争端的方式可以多样化,“公约”可以列举一些导向性措施来引导进一步的国际规则制定或国内立法。“公约”可以规定:“在涉及上述准则的活动中产生的任何争端都以和平方式解决,不得使用武力或以武力相威胁”;“国家利用不文明手段获取信息,或者获取信息后有针对他国或公民的违反本公约规定的行为的,承担对国际不法行为的国家责任”;“国家利用不文明手段获取信息,或者获取信息后有针对他国或公民的违反本公约规定的行为,有公司企业参与的,其他国家可以考虑限制该公司企业在内国的经营;有个人或公司企业的高级管理人员参与的,其他国家可以考虑限制其入境或限制其在内国从事与互联网和信息相关的工作”等。
中国、俄罗斯、塔吉克斯坦、乌兹别克斯坦等国的常驻联合国代表已于2011年9月12日联名致函联合国秘书长潘基文,请其将由上述国家共同起草的“信息安全国际行为准则”作为第66届联大正式文件散发,并呼吁各国在联合国框架内就此展开进一步讨论,以尽早就制定规范各国在信息和网络空间行为的国际准则和规则达成共识。在联合国框架下制定一部国际公约有一套既成的程序和方法,在此不作介绍。在此主要分析公约制定程序之外的推动“网络信息安全国际公约”制定的路径。
美国“棱镜”窃听计划因斯诺登主动向国际社会爆料而大白于国际社会,从其公布的材料中可以发现,美国政府不仅一直在监控中俄等大国,而且对其盟友如日本、法国、德国等国家也实行监听。“棱镜门”事件使得美国比较尴尬:针对中俄等“对手国家”的秘密监视被曝光似乎“可以理解”,“盟友国家”也同样被监视则被称“不能接受”。美国与其传统盟友之间的关系产生的裂痕需要修复。俄罗斯同意给斯诺登难民身份后,美俄关系在一定程度上受到了影响。美国面临着国内和国际关系的双重压力。在这一事件的背景下,“公约”的制定可能会遭到美国的阻挠。“公约”旨在维护信息安全,避免一国对另一国公民、企业组织、政府机关和公共机构的监控,防止国家政府部门大肆收集个人隐私资料和进行网络攻击,这些规定都将从国际法基础理念的角度对美国之前的所作所为作出负面评价。加入国际公约意味着要承担国际义务,这会束缚美国的手脚,因而美国有可能不同意制定“公约”,或者不签署“公约”。面对这种可能性,应当清醒地认识并把握复杂的国际关系,采用“合纵连横”方法,争取一切可以争取的力量,推动“公约”的制定。
1.联合立场相同国家。“信息安全国际行为准则”是由中国、俄罗斯、塔吉克斯坦、乌兹别克斯坦等国提出的,这些国家的立场应该是一致的。同时,这些国家还有与自己关系友好的国家可以争取,如利用中国在非洲的影响力和俄罗斯在中东、中亚的影响,联合立场相同的国家。
2.争取立场两面性的国家,主要是美国的盟友国。这些国家的两面性在于:一方面,它们是美国的盟友,在国际网络信息安全合作方面要考虑美国的意见,它们在某种程度上也与美国在信息安全上有着共同的利益;另一方面,它们也是这次“棱镜门”事件的受害者,知道自己的国家信息主权受到了侵犯,推动“公约”的制定也是维护自身利益。
3.努力使美国同意制定并签署“公约”。美国作为监听的行为国和世界第一强国,需要使其行为受到国际法的约束。[30]在方法上,首先,要借助此次“棱镜门”事件的持续发酵,在国际社会普遍关注的背景下推动“公约”的制定。其次,要突出“公约”的道德价值。目前美国正需要重塑其“价值观卫士”的形象,“公约”可在序言中强调维护信息安全、保护公民基本权利、尊重其他国家主权是民主、文明国家的必备要件,如此,美国若不加入“公约”,就是在用实际行动表明其无意于维护其价值观,还将继续“作恶”。最后,要重视“公约”制定前的谈判磋商。美国与被监听国家的关系仍待缓和,其需要与俄罗斯讨论“后斯诺登时代”的关系走向。国家主权不能作为谈判的筹码,在国际交往的场合不适宜讨论之,如2013年G20峰会上美俄没有会谈。但是,美国确实需要弥合其与欧洲国家的关系。“公约”可以成就这样一个契机,从法律筹备的角度给国际关系的缓和提供一个机会。
“公约”涉及信息通讯领域的国际协作。互联网作为21世纪的新兴产业,其利润巨大。整个世界因互联网而联系紧密,互联网成为人们获取知识和信息的主要渠道,并且在越来越多的国际事件上成为达到政治目的、推动事态变化的有效工具。互联网在经济、社会、政治等领域均有重要影响。可以说,在信息通讯领域出台一部调整国家之间关系的公约本身就不容易,何况“网络信息安全国际公约”还涉及信息收集、监听监控、国家安全等议题,其内容的特殊性和复杂程度会影响其制定进程。对此,可以采取以下解决路径:
1.以原则性规定为主,降低“公约”出台难度。越具体的法律,越难以出台;而且,国际公约很难像国内某些立法那样规定详细。“公约”内容的重点应是突出国家共同关注的利益,给国家行为划定底线,明确国家信息安全行为应遵循的原则。这样可以减少“公约”在联合国框架内通过的阻力。
2.明确实施国家信息安全行为的条件,增强“公约”的可操作性。例如,“公约”可以规定公共当局干涉信息隐私的条件(或者是基于“反恐”的需要,或者是为了犯罪侦查),并且规定容许公共当局实施这种干涉的程序和干涉的方式、事后的补偿与赔偿条款。如此,“公约”在内容上虽偏重于原则性规定,但这些条件设置实际上起到了严格限制侵犯信息安全行为有扩大趋势的作用,在程序方面增强了“公约”的可操作性。
3.“公约”可以以解释原有国际原则的方式扩大其适用性。由《联合国宪章》等国际公约确定的国际法原则已经很成熟并经历了时间的考验,在新的国际条约中拟定新的国际法原则的难度很大。在此背景下,可以考虑对原有规则的内涵重新解释,使原有的、成熟的国际法原则涵盖国际社会新领域。
4.协调好与其他公约的关系,推动“公约”的实施。“公约”要注意与其他国际法律文件相协调。一部公约不可能涵盖所有法律问题,某些领域甚至不适宜在“公约”中规定,因此,应注意“公约”与其他国际公约的协调适用,如与《联合国宪章》、反恐领域的国际公约、人权保护公约[31]、《国家对国际不法行为的责任条款》[32]、《跨国公司和其他商业企业关于人权责任的准则》[33]等公约的配合适用。
法律的生命在于实践。如果一部法律制定出来后无人遵守,或者没有法律约束力,或者无法执行而被束之高阁,那么这部法律就是浪费资源且无实践价值的。美国“棱镜门”一类的事件还会发生,因此,应当探索使“公约”具有长效约束力的机制。主要路径有:
1.建立专门负责维护信息安全的国际机构。可以在联合国框架下成立与国家信息安全有关的专门机构。该机构可以作为“公约”的存放机构,开放给其他国家签署“公约”;负责跟踪监督各国信息安全行为,向有关行为国发出警告,并给可能的“受害国”以警示;配合联合国国际法委员会、人权委员会等机构完善条约,规范国家信息安全行为。
2.建立国家信息安全行为的监督机制。联合国或专门的信息安全国际组织可以借鉴其他国际组织的做法来监督“公约”的履行。如借鉴世界贸易组织的贸易政策评审机制[34],定期对“公约”成员方的信息安全政策等进行评议并发布报告。“公约”的履行要体现透明度要求,各成员方的信息安全法规、所采取的信息安全措施等应及时报告给联合国或信息安全国际组织。
3.建立“公约”的执行机制。“徒法不足以自行。”国际条约往往因为没有强有力的执行机制而成为“软法”、“没有牙齿的老虎”。[35]建立“公约”的执行机制可以增强“公约”的效力。建立“公约”执行机制的首选是建立依托于“公约”的争端解决机制,如借鉴WTO的争端解决机制。但是,信息安全领域不同于贸易投资领域,前者牵涉主权和人权、国家利益和公民基本权益,因而建立专门的争端解决机制难度较大。建立“公约”执行机制的灵活做法是授权其他国际组织负责解决信息领域的争端。如规定国际法院可以审理、裁决信息安全领域的争端。建立“公约”执行机制的更为现实的做法是向国内立法授权。若在国际条约的层面上很难达成一致意见来让国家承担国际责任,则“公约”可以设计授权条款,允许内国法对另一国侵犯其主权和公民权利的行为予以制裁。成员国的国内立法属于主权范围内的事项,其灵活度较大,可以将参与窃听公民个人信息的公司放入合作或贸易的“黑名单”中,限制该类公司的高级管理人员在内国从事与互联网等相关的工作。
网络信息安全具有综合性和国际性。加强各国之间的合作,制定共同适用的国际规则,形成有效的国际合作机制,是应对信息安全问题的必然途径。随着各种网络信息安全事件的出现,各国已更加清醒地意识到信息安全的重要性,也积极采取了各种应对措施和行动。斯诺登事件发生后,绝大多数国家对美国的网络监控、黑客攻击等行为表示了担忧。在此背景下,推动网络信息安全方面的国际合作,制定共同国际规则,正面临一个较好的契机。
虽然美国自恃其技术优势,尤其是其行为在国内法上的“合法性”和“反恐”的国家利益需要,可能对制定具有普遍约束力的国际公约有所顾虑,但其自身作为恐怖袭击和网络黑客攻击的受害者,也会在一定程度上寻求国际合作。美国“棱镜门”事件的广大“受害国”也将成为推动信息安全国际公约制定的重要力量,这就为“公约”的制定提供了最广泛的共同利益基础。
国际社会在制定信息安全国际规则方面实际上存在着比较广泛的共同需要,在此背景下,应将中国与俄罗斯、塔吉克斯坦、乌兹别克斯坦等国共同起草的“信息安全国际行为准则”重点推出,注重其内容上的原则性与灵活性并重、自身制度设计与其他国际法规范相配合并进一步完善,以此作为未来国际社会制定信息安全国际条约的基础。在外部需求和内部建设的双重推动下,“网络信息安全国际公约”的制定应正当其时。
注释
①周昕:《“云计算”时代的法律意义及网络信息安全法律对策研究》,《重庆邮电大学学报(社会科学版)》2011年第4期。②此处讨论的黑客攻击的方法参见李德成:《网络隐私权保护制度初论》,中国方正出版社,2001年,第34—40页。其他方法还有cookies文件的滥用、监视软件滥用等。③李娜:《“棱镜门”暴露大数据时代隐私危机》,《科技导报》2013年第18期;郭美玲:《网络信息安全及网络立法探讨》,《现代情报》2004年第9期。④周琪:《“棱镜门”事件对美国和国际社会的影响》,《中国党政干部论坛》2013年第7期。⑤郭瑜:《个人数据保护法研究》,北京大学出版社,2012年,第246页。⑥尹建国:《美国网络信息安全治理机制及其对我国之启示》,《法商研究》2013年第2期。⑦参见赵水忠:《谁偷窥了你的网络隐私》,电子工业出版社,2004年,第249—253页;张新宝:《隐私权的法律保护》,群众出版社,2004年,第144—147页。⑧晓岸:《冷观斯诺登事件的三个角度》,《世界知识》2013年第13期。⑨关于欧盟及其成员国的网络信息安全保护,详见顾华详、安娜:《国外依法保障网络信息安全措施比较与启示》,《上海政法学院学报(法治论丛)》2011年第2期。⑩Council of Europe,Convention on Cybercrime(opened for signature on 23 December 2001 and entered into force on 1 July 2004.)该公约的内容参见周文:《欧洲委员会控制网络犯罪公约与国际刑法的新发展》,《法学评论》2002年第3期。[11]详见宋玉萍:《全球化与全球治理——以欧洲委员会〈网络犯罪公约〉为例》,《新疆社科论坛》2013年第1期。[12]马民虎、赵婵:《欧盟信息安全法律框架之解读》,《河北法学》2008年第11期。[13]张恒山:《英国网络管制的内容及其手段探析》,《重庆工商大学学报(社会科学版)》2010年第3期;徐晓:《2010年国际网络安全新动向及展望》,《现代电信科技》2011年Z1期。[14]详见杨君佐:《发达国家网络信息内容治理模式》,《法学家》2009年第4期;蒋耀平、李一军、王海伟:《国家网络信息安全战略规划的国际比较研究》,《管理科学》2004年第1期;皮勇:《论网络恐怖活动犯罪及对策》,《武汉大学学报(人文科学版)》2004 年第 5 期。[15]United Nations General Assembly,Developments in the Field of Information and Telecommunications in the Context of International Security(A/RES/53/70),4 January 1999.[16]《信息安全国际行为准则》,外交部网站,http://www.fmprc.gov.cn/mfa_chn/ziliao_611306/tytj_611312/zcwj_611316/t858317.shtml.[17]李振汕:《对网络信息安全法律若干问题的研究》,《网络安全技术与应用》2010年第1期。[18]在国内法方面,通过修改《刑法》,增加了对侵害公民个人信息犯罪行为的刑事处罚(《刑法》修正案(七)第七条规定:“在刑法第二百五十三条后增加一条,作为第二百五十三条之一:‘国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。’‘窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。’‘单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。’”)2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过了《全国人民代表大会常务委员会关于加强网络信息保护的决定》。[19]徐丽萍:《“棱镜门”凸显构筑移动互联网之无疆长城紧迫性》,《通信世界》2013年第19期。[20]丛培影:《国际网络安全合作及对中国的启示》,《广东外语外贸大学学报》2012年第4期。[21]刘凡:《反恐融资国际法律规范发展及我国的立法完善》,《武汉大学学报》2013年第1期。[22]俞晓秋:《全球信息网络安全动向与特点》,《现代国际关系》2002年第2期。[23]沈逸:《以实力保安全,还是以治理谋安全?——两种网络安全战略与中国的战略选择》,《外交评论(外交学院学报)》2013年第3期。[24]王铁崖主编《国际法》,法律出版社,1995年,第37—41页。[25]余劲松主编《跨国公司法律问题专论》,法律出版社,2008年,第410—424页。[26]此处参考了联合国《公民权利和政治权利国际公约》第17条的一般性意见的规定,详见国际人权法教程项目组编《国际人权法教程》,中国政法大学出版社,2002年,第203—204页。[27]如从传统隐私权保障转到“数据保护”上来,进而保护“信息隐私权”。(参见赵水忠:《谁偷窥了你的网络隐私》,电子工业出版社,2004年,第294页。)[28]实现国际法价值的重要途径是加强国际合作。(参见高岚君:《国际法的价值论》,武汉大学出版社,2006年,第165—175页。)[29]参见朱文奇、李强:《国际条约法》,中国人民大学出版社,2008年,第353—366页。[30]这是因为国际条约、国际法能否发挥作用及其发挥作用的方式,取决于有关主角的身份。详见[澳]杰里·辛普森:《大国与法外国家——国际法律秩序中不平等的主权》,北京大学出版社,2008年,第14页。[31]如联合国《公民权利和政治权利国际公约》中就有对“私生活”的规定,详见国际人权法教程项目组编《国际人权法教程》,中国政法大学出版社,2002年,第199—205页。[32]《国家对国际不法行为的责任条款》还处于草案阶段,不具有约束力,但在本公约中可以借鉴《国家对国际不法行为的责任条款》的规定,明确国家承担责任的方式,如要求违反本公约义务的国家承担道歉、平抑损害等责任。[33]该公约的详细内容参见余劲松主编《跨国公司法律问题专论》,法律出版社,2008年,第409页。[34]详见陈咏梅:《WTO贸易政策评审机制法律问题研究》,中国检察出版社,2009年。[35][德]沃尔夫冈·格拉夫·魏智通主编《国际法》,吴越、毛晓飞译,法律出版社,2012年,第576—582页。