俄罗斯互联网监管:立法、机构设置及启示

2019-07-16 03:53李彦
关键词:信息安全俄罗斯信息

李彦

摘要:通过不断修改相关互联网监管立法并根据新形势制定新法,设立分工明确、权责清晰的监管机构,更新国家网络安全战略等举措,俄罗斯已形成以《信息安全学说》等纲领性文件为政策指导、以《信息、信息技术和信息保护法》等互联网监管立法为依据、以电信和大众传媒部等监管机构为主体的互联网监管体系。近几年,国际政治格局的变动和两大阵营的博弈使俄罗斯互联网监管形势日益严峻,它将互联网监管的重点逐渐转移到维护信息安全上。对信息安全的强调使俄罗斯互联网监管措施日益严格,引发了如何协调互联网自由和信息安全之间的关系、如何规范互联网监管机构的执法行为等争议。辨明争议的焦点并从中吸取教训,将为我国互联网监管制度的完善提供借鉴。

关键词:俄罗斯;互联网监管;《信息、信息技术和信息保护法》;电信和大众传媒部;信息安全

中图分类号:D912.1;D922.294 文献标识码:A 文章编号:1673-8268(2019)06-0059-14

随着互联网的日益普及和网民数量的不断增长,俄罗斯境内的网络侵权、网络犯罪、网络极端主义和网络恐怖主义等问题日益猖獗。为有效应对这些问题、维护网络安全,俄罗斯采取了一系列包括纲领性文件、立法、机构设置等在内的互联网监管措施。由于我国与其互联网监管法律制度、政策框架及网络发展情况等的相似性,研究俄罗斯互联网监管制度对完善我国互联网监管法律制度具有借鉴意义。然而,现有的相关研究还不系统,如何以俄罗斯为鉴完善我国互联网监管法律制度尚待探讨。在此背景下,本文拟重点对上述立法及监管机构进行梳理,以期对相关研究提供参考。

一、俄罗斯互联网监管立法体系

俄罗斯于1994年才接人互联网和拥有“.ru”国家域名,但此后俄罗斯互联网获得了长足的发展,互联网用户数量呈几何级数增长。根据《2017世界电子商务报告》,目前全球仅有7个国家互联网用户过亿,其中就包括俄罗斯;根据Staista数据,俄罗斯2018年电子商务市场收入达到180亿美元,预计到2021年,市场交易量将达到至少达到230亿美元。由此可见,互联网的迅猛发展、电子商务的崛起为俄罗斯经济、社会的发展贡献了新的力量。不过,互联网的发展也形成了新的挑战,如网络攻击、网络犯罪活动猖獗等。近年来,为有效应对网络安全挑战,各国政府包括俄罗斯普遍加强了对互联网的管控,俄罗斯也加大了互联网监管的力度。自20世纪末以来,俄罗斯先后通过了一系列互联网纲领性文件,如《信息安全学说》《信息社会发展战略》《2020年前俄联邦国际信息安全领域国家政策框架》《信息安全纲要》等;并结合新情况,对1991年的《大众传媒法》、1995年的《信息、信息化和信息保护法》等立法进行了修订;还通过了一系列规范互联网活动的新的、专门性立法,如《防止青少年接触有害其健康和发展的信息法》等。本文拟重点研究上述法律。

(一)《信息、信息技术和信息保护法》

接入互联网后.俄罗斯社会出现了新的亟需调整的问题,如服务商在为消费者提供服务时产生的信息资源的使用、信息技术的创造和使用、信息及相关主体权利的保护等问题。为有效解决这些问题,俄罗斯国家杜马于1995年2月颁布了《信息、信息化和信息保护法》。该法分为四章,分别涉及了该法的一般原则、信息资源、信息资源的使用和信息系统、技术和它们的支持措施。由于该法的某些规定具有时代局限性,随着新技术的发展,该法逐渐显露出一定的落后性。例如,该法规定的“强制提交信息记录”规定了公民、国家权力机关、地方政府、组织、公共机构需承担提交信息记录的义务,但对上述实体的义务并未作具体的区分。在当时的历史情况下,笼统地规定上述实体均具有提交消息记录的义务有利于保护信息安全,维护国家政治稳定。然而,随着实践的发展,这种规定显示出其落后性:它过度限制了相关主体的权利,不仅对他们施加了过重的负担,也与当前互联网监管适当平衡国家安全与互联网自由之间关系的要求不符。又如,该法事实上是俄罗斯信息领域的基本法,但它并未对后续信息领域立法应遵循何种原则、具体指向的监管机构及监管机构的权力边界等进行必要的规定,这与其“基本法”定位不符。

为适应信息领域的新变化,更好地维护信息主体的信息权利、保障信息安全及促进信息技术的应用,2006年7月,俄国家杜马在前法基础上通过了新版《信息、信息技术和信息保护法》。它修正了前版所存在的问题,并根据新情况增加了新内容,为后续互联网监管立法奠定了基础。其一,它对互联网领域的基础概念如互联网页面、域名、网址、网站所有者等进行了界定,这些概念被普遍适用于俄罗斯随后的互联网立法中。其二,它调整的法律关系非常广泛,涉及实现信息权利、使用信息技术、保障信息安全时出现的各种法律关系。它明确了相關法律关系应遵循的原则及后续信息立法、大众传媒立法等应遵循的原则,为俄罗斯相关互联网立法确立了标准。其三,它重视对信息主体(尤其是公民)信息权利及信息的保护,专门对公民信息权利、义务、权利被侵犯时的救济途径及信息保护的内容进行了规定,为随后的俄罗斯互联网立法提供了思路,这是前版所没有的。最后,为有效监管互联网活动、履行国家机关权力、保障部门间信息交换有序进行,它要求建立信息系统(联邦、区域、市政和其他信息系统)。这些系统的建立保障了互联网监管措施的有效实施,同时也赋予监管机构相当大的职权——它们有权为特定信息系统的操作程序提出义务性要求。然而,该版并未对监管机构的监管权限、监管范围、行使监管权的方式及侵权甚至违法行为进行规制,这为监管机构滥用监管权埋下了隐患。

此后,国家杜马先后通过了多个修正案以规范互联网信息活动。2013年12月,国家杜马三读通过的修正案授权检察长屏蔽包含发起未经批准的公共抗议和极端主义活动内容的网站。2014年4月通过的修正案(《博主法》)将规范主体扩大到博主,并规定任何日访问量超过3 000人的公开网站或网页均被视为类似报纸的媒体,其所有人(即博主)应向公共机构登记备案。根据该法规定,知名博主不能利用网站或自己的网页从事违法活动、泄露国家机密,不能传播包含公开呼吁实施恐怖活动或公开美化恐怖主义的材料及其他极端主义材料,不能传播宣传色情、暴力、残暴行为及包含污言秽语的材料。2015年6月,普京总统又签署了数个限制公共机构采购外国软件的修正案,要求公共机构只能购买国产软件(由俄罗斯企业、组织等控股50%以上的企业开发的软件),只有在没有国产软件替代的情况下,才可购买外国软件。2018年4月初,国家杜马通过了《互联网诽谤法案》,要求在法院下达命令的一日内对那些“未能消除抹黑公民的荣誉、尊严或商业信誉的信息”的冒犯性网站进行封锁。相比2006年版的《信息、信息技术和信息保护法》,这些修正案不仅扩大了监管机构的权力,而且也限制了相关互联网实体更多的权利。例如,上述2013年修正案授权检察官可在未获得法庭命令的情况下发出网站封杀令,屏蔽含有上述未经批准的公共抗议和极端主义活动内容的网站。而根据2006年版保护法的规定,网站享有的信息权利相当广泛,只要不侵犯公民等主体的信息权利,网站可自由生产、获取、发布、传播信息,检察官无权封杀网站。

从根本上说,上述修正案都是以维护信息安全为目的的。以2015年6月的修正案为例,限制购买外国软件的措施逐渐降低了外国网络设备和信息技术在俄罗斯关键部门的市场份额,这为生产和使用本国的网络安全设备提供了条件,有利于预防来自国外的网络风险。事实上,由于长期扶植、笼络本土互联网企业,俄罗斯已实际控制主要的本土互联网企业,这既方便了俄罗斯政府掌握和获取资源,又为控制互联网和防护互联网安全提供了便利。维护本国信息安全本身无可非议。但上述修正案仍引发了争议,原因主要在于:从涉及的群体来看,它们不仅影响本土企业,而且约束外国企业。以《博主法》为例,为方便行政机关有效实施监管,它规定任何日访问量超过3000人的公开网站或网页均被视为类似报纸的媒体,它们及搜索引擎、社交网络、论坛等平台,必须保留过去6个月内在俄境内发布的所有的电子记录。因此,社交网站、各类个人网站甚至博客等均可能成为被规范的主体。例如,2015年5月,俄罗斯媒体监管机构致函Google、Twitter和Facebook等科技业巨头,要求它们遵守俄罗斯《博主法》,交出法律所规定的博主姓名,同时删除由俄罗斯总检察官认定的“极端主义信息”。从影响的范围看,它们不仅影响互联网服务提供商,而且还波及诸多电子企业。上述限制购买外国软件的要求不仅规范了公共机构的互联网活动,而且还对在俄罗斯进行交易的其他国家的互联网服务提供商、电子企业产生了影响。例如,2016年9月,俄罗斯政府督促政府部门降低对美国消息技术的依赖,要求市政厅使用企业电邮系统My Office Mail取代最初安装在6 000台电脑上的微软系统Exchange Server和Outlook,同时替换了城市监控摄像头和本地软件中使用的美国思科公司的系统。限制公共机构购买外国软件意味着相关外国企业将丧失这部分市场,随着俄罗斯政府日益严格的限制政策的落实,外国企业在俄罗斯的市场份额越来越小。而电信及大众通信部数据显示,早在2015年,外国生产的桌面和移动操作系统已占俄罗斯政府机构所使用系统的95%,外国服务器操作系统占75%,外国数据中心管理系统占86%。由此,该修正案备受争议。

(二)《俄罗斯联邦大众传媒法》

20世纪末.自由主义成为影响俄罗斯的一个主流思想流派。自由主义反对政府干涉企业的生产和经营,认为大众传媒应通过市场竞争获得生存和发展,通过市场获得经济独立,维持财政上的自给自足。在自由主义理论的指引下,解体前的苏联政府通过了《苏联报刊与其他大众传媒法》并于1990年8月1日生效。该法是俄罗斯历史上第一部传媒法,确立了出版登记许可证制度,但该法生效不到一年,苏联即宣告解体,该法也随之失效。

1991年12月27日,俄罗斯国家杜马颁布了《俄罗斯联邦大众传媒法》。它将前法的39个条款增加到62条,不仅完善了前法,而且还将适用对象扩大到新兴媒体如互联网等。该法对于互联网监管的意义主要在于三个方面。首先,它赋予了互联网相当程度的自由,规定“检索、获取、制造、传播大众新闻,创办大众传媒,拥有、使用和支配这些媒体,制造、获取、保存和使用技术设备及用于生产和传播信息的材料不受限制,除非俄罗斯联邦大众传媒立法有特殊规定”。这保障了俄罗斯互联网在此后十年左右时间里的相对自由发展,同时其例外规定(“除非俄罗斯联邦大众传媒立法有特殊规定”)也为随后对互联网日益严格的限制埋下了伏笔。其次,它保障了互联网免受不合理的新闻检查:该法不仅禁止行政机关等预先或变相进行新闻审查,而且规定了侵犯新闻自由应承担相应的责任。将行政机关的权力关在制度的“笼子”里,有利于保障互联网的新闻自由。最后,考虑到互联网的特殊性,该法还特别对相关问题作出了规定,从而确认了作为大众媒体的互联网与传统媒体的共性和差异。例如,由于互联网媒体通常不像传统媒体一样定期印刷出版物,它们的出版权常被狭义地理解为以电子书的形式出版,该法确认:“本法关于定期印刷出版物的规定,适用于建立并储存在電脑数据库中的定期发行量超过1000份的文章。”这确认了互联网媒体与传统媒体一样享有出版权。同时,限定了定期印刷出版物规定适用的条件,适格的互联网媒体必须达到一定的发行量。另外,该法对大众传媒活动、大众新闻的传播、违反大众传媒法应承担的责任等作了较为详细的规定,这些规定均适用于互联网,为互联网的监管提供了较全面的法律规范。总之,适度的自由、较为合理的限制及较全面的实体和程序规则保障了俄罗斯互联网在此后相当长一段时间的迅猛发展。

然而,随着私有化政策的日益深入实施,外国投资的传媒机构包括网站等越来越多,它们常在诸如反恐战争等重大问题上抵毁俄罗斯国家形象、危害国家利益。鉴于此,国家杜马多次对《俄罗斯联邦大众传媒法》进行了修正,主要表现为两个方面。其一,增加了一些禁止性和取缔性规定。例如,2000年修正案增加了“禁止在大众传媒包括计算机网络中,传播关于制作和使用麻醉品、精神刺激品及其替代品的信息……传播联邦法律明文禁止的其他信息”的规定;2008年4月的修正案进一步规定“对经常传播假消息,诽谤他人的荣誉与尊严的大众传媒应予以取缔”。这些规定不仅有效回应了当时出现的问题,也有利于进一步规范互联网媒体信息的传播。但是,禁止传播“法律明文禁止的其他信息”涵盖的范围过大,实际赋予了监管机构较大的行政裁量权,在一定程度上限制了互联网的自由发展。其二,设立了更高的外资参与互联网传媒的门槛,促进传媒机构“本土化”。例如,2001年8月的修正案要求在设立传媒机构时外资不得超过50%;2014年9月24日的修正案提出了关于外资参与大众传媒和广播组织的新要求。通过上述修正案,俄罗斯不断提高外资参与门槛,逐渐排除外国互联网企业对俄罗斯互联网媒体的控制,将权力收归国内互联网企业,甚至国有互联网企业手中。加之,通过实施一系列扶持、资助措施,政府已将主要的国内互联网企业牢牢控制在手中,对这些企业的控制为政府监管互联网、主导互联网事务提供了较大便利。

总之,在对《大众传媒法》多次修改的基础上,俄罗斯逐渐控制了作为大众传媒的互联网。这一方面有利于政府有效监管互联网,保障本国互聯网安全;另一方面赋予政府过度的监管权,不利于互联网的自主发展。

(三)《防止青少年接触有害其健康和发展的信息法》

俄罗斯互联网监管的一个重要目的是保护青少年,特别是阻止青少年进入互联网购买毒品。随着互联网的日益普及,互联网对青少年的影响日益深重。根据“rumetrika”网站2009年进行的调查,俄罗斯14岁以下的网民中有39%的人承认浏览过色情网站,19%的人观看过暴力视频,16%的人玩过网络赌博游戏。为了给青少年营造一个健康的成长环境,俄罗斯加大了对互联网的监管力度,保护青少年免于接触互联网有害信息被提上立法议程。2010年12月21日,由国家杜马通过的《防止青少年接触有害其健康和发展的信息法》(即第436-FZ号联邦法案),就是在这一背景下产生的。法案主要包括四章,分别界定了对青少年有害信息的范围、要求对互联网信息内容进行分级、规定了信息传播的具体要求等。然而,由于该法并未规定具体的执行机制,它在通过后迟迟未能生效。为有效落实该法的具体内容,2012年7月11日,国家杜马通过《防止青少年接触有害其健康和发展的信息法》修正案(第139号联邦法),建立了“黑名单登记”制度,要求对含有禁止在俄联邦传播的信息的网站、网页、网址、域名进行统一登记,从而解决了该法缺乏执行机制的问题。根据该制度,俄罗斯联邦通讯、信息技术与大众传媒监督局从2012年11月起建立黑名单,该局可根据举报将提供吸毒、自杀、儿童色情信息的网站、域名、IP地址等列入黑名单,然后委托电信运营商通知网站所有者立即删除有关网页;倘若网站所有者拒绝执行,监管部门有权通过封锁IP地址或过滤内容的方式阻止该网站的信息传播。

该法被称为“俄罗斯互联网限制法案”,其作用主要表现为两个方面:一方面,作为一部专门的互联网立法,它明确了青少年保护在互联网监管中的突出地位,推动了青少年保护朝着更全面、更有效的方向发展;另一方面,它确立的“互联网内容分级”制度和“黑名单登记”制度,明确了网站、域名等的所有者或运营商的具体权利、义务内容及责任追究程序等,为青少年网络保护提供了强有力的制度保障。国家杜马家庭、妇女和儿童委员会前主席、联邦委员会成员米祖琳娜曾指出,该法实施后,仅2013年就有近1.5万幅儿童色情图片被自愿删除,在列入黑名单的危险内容中,55%是毒品信息、30%是儿童色情、15%是自杀信息。

当然,该法也存在一定的问题。其一,某些重要问题规定不明确甚至缺失。如对其他信息传播主体(如网民)的违法责任仅规定“依据俄罗斯联邦立法”,没有指向较为具体的法律;对于监管机构的责任也只字未提。其二,个别规定的落实存在技术上的困难。以IP地址的屏蔽为例,由于同一IP地址可以对应数个不同的网站、网址等,被列入黑名单的IP地址能否有效屏蔽具有不确定性;即使能够屏蔽IP地址,以现有黑客技术利用镜像网站、暗网等隐藏甚至修改IP地址亦并非难事,因此,屏蔽的作用将大打折扣。

虽然俄罗斯互联网监管立法远远不止上述几项,国家杜马通过了一系列新的立法,地方政府和相关政府部门也通过了一系列地方法规和部门规章等。但是,上述三项立法是俄罗斯位阶较高的互联网监管立法.是俄罗斯互联网监管法律制度的核心:立法涵盖了互联网的多个重要领域,保障了互联网活动有法可依;较为明确的规定,有利于规范互联网主体的行为、维持俄罗斯互联网秩序等。不过,它们仍存在一定的问题,其中最突出的问题在于规范相关监管机构权力和行为活动等的条款较少甚至缺失。

另外,俄罗斯在信息化建设中颁布的一系列纲领性文件为国家信息化建设道路做出了整体规划,也为信息安全领域的立法目的、方法及意义等提供了政策性指引。2000年通过的《信息安全学说》系统地阐述了俄罗斯信息安全保护的目的、任务、方法等;2000年生效的《信息安全纲要》界定了国家利益,分析了公民、社会乃至整个国家面临的威胁;2008年公布的《信息社会发展战略》、2009年批准的《2020年前俄联邦国际信息安全领域国家政策框架》、2017出台的《2017-2030年俄罗斯联邦信息社会发展战略》等均是阶段性规划,具有极强的指导作用。其中,2000年和2016年前后两版的《信息安全学说》确立和更新了俄罗斯国家信息安全战略,直接指导俄罗斯网络空间建设的战略规划:2000年版《信息安全学说》既是制定国家信息安全政策、法规和开展信息安全专项活动的纲领性文件,也是国家信息安全战略确立的标志;2016年版《信息安全学说》在2015年《联邦国家安全战略》基础上更新了国家信息安全战略,赋予俄罗斯政府依据信息空间主权原则实施独立自主的信息安全政策的权力,是保障国家信息安全的官方观点体系和保障国家安全的战略规划性文件。上述“内容分级”制度和“黑名单登记”制度、网络检查和审核机制等正是俄罗斯政府以法律管理本国范围内信息活动的具体措施,也是对国家信息安全战略的具体落实。

二、俄罗斯互联网监管机构设置

为贯彻落实互联网监管法律法规和政策纲领,俄罗斯政府陆续设立了一系列权责明晰、分工明确的专门机构。俄罗斯政府主张以政府为主导、社会参与的网络治理工作机制,确保互联网监管的有效运行。

(一)俄罗斯安全委员会

俄罗斯安全委员会是根据1992年6月联邦总统第547号法令设立的,目的在于确保总统国家管理职责的履行,国内、外交和军事安全领域政策的实现等。委员会由总统任主席,总统通过联邦安全委员会成员会议及有关部委对信息网络安全工作进行直接领导和监督。

委员会总体负责国家信息安全工作,统一领导国家信息安全规划与建设。具体来说,它承担制定统一的网络安全政策、审议重要的网络安全及信息安全事项等职责。但是,由于它在很大程度上承担着统领全局、协调互联网监管机构及其他各方行为、活动等的职责(包括:研究与国家利益相关的信息;界定必须加以保护的信息资源;明确保障网络安全的方法,并就保护个人、社会乃至国家的关键利益免受内部和外部威胁提出建议;协调联邦信息安全法的制定工作等),并不实际执行互联网监管措施。因此,它主要还是一个协调机构。

(二)俄罗斯电信和大众传媒部

2008年5月12日,在联邦信息技术与通信部的基础上,俄罗斯成立了通信与大众传媒部。其工作目標是能够以电子形式为国家、州、区提供基本的社会服务,保证TT行业高速发展,保质保量且及时地进行邮政服务,普及通信服务和网络,普及大众传媒。作为一个重要的互联网监管机构,通信和大众传媒部的权限包括立法和执法两方面。一方面,它具有部门立法权,负责制定和执行电信和大众传媒(包括互联网)领域的政策和法规。具体包括以下领域:电信,包括无线电频谱的分配和转换;大众传媒,包括电子媒体如互联网、电视、电台广播及相关技术的发展;相关信息技术,包括创建政府信息资源和促进对信息资源的访问;个人数据处理和网络治理等。上述限制公共机构购买外国软件的《信息、信息技术和信息保护法》修正案就是由该部起草的。另一方面,它具有执法权。它执法的对象不仅包括电信部门、传统媒体、新媒体(如互联网)等,而且包括个人;执法的内容不仅包括对通信及信息传播活动和内容等的监管,还包括对与之相关的技术的创建和管理等。

为有效执行互联网监管职责,该部下设了一系列监管机构,其中最重要的是根据2008年12月联邦总统第1715号法令设立的俄联邦电信、信息技术和大众传媒监管局(Roskomnadzor)。该局主要负责监管相关互联网立法的遵守情况。例如,为落实《防止青少年接触有害其健康和发展的信息法》规定的“黑名单登记”制度,仅2012年就有180个网站分别因为散布危害青少年健康、自杀、淫秽信息内容而被该局列入黑名单。该局还负责监管电子媒体、大众通信、信息技术和电信及相关技术;管理无线电频率服务部门;依法保护和处理个人资料等。行政监控是该局履行上述互联网监管职责的主要方式,它可自行或根据举报,对在俄罗斯网域内提供有害信息、发布含有未经许可的游行和恐怖主义等信息的网站采取删除网页乃至屏蔽IP等手段。为有效履行监管职责,该局还致力于实施技术监控。例如,自2011年3月起,它开始研制互联网在线自动监控系统,以全天候监控和过滤互联网信息内容。目前,该局影响力颇大,是主要的互联网监管部门。

总之,通信和大众传媒部及其下设的联邦通讯、信息技术与大众传媒监督局是主要的互联网监管机构。通信和大众传媒部主要负责互联网监管相关立法和政策的制定,而联邦通讯、信息技术与大众传媒监督局主要负责落实相关互联网监管立法及相应的监管措施,它们共同保障了俄罗斯互联网监管的有效性。

(三)联邦安全局

联邦安全局成立于1995年,是联邦政府设立的一个履行维护联邦信息安全职责的行政机构。在2004年之前,联邦政府通信和信息局是俄罗斯信息安全的主要机构,而联邦安全局与互联网监管相关的职能并不多。2004年,联邦政府通信和信息局被撤销编制,它的部分职能被分散到联邦安全局和联邦保卫局特别通信和信息处。

在继承联邦政府通信和信息局职权的基础上,联邦安全局被赋予一系列与互联网监管相关的职责,主要包括:规划和落实有关信息安全的国家政策;对互联网设备、受加密系统保护的网络系统及互联网上涉及国家安全的不良信息进行监管等。2013年1月15日,俄罗斯总统普京签署了《关于设立查明、预防和消除对俄罗斯信息资源计算机攻击后果的国家系统》的总统令,责令联邦安全局建立国家网络安全系统,以监测、防范和消除计算机信息隐患,发现和预防网络攻击并消除其后果,甚至检测黑客人侵和攻击国家信息系统和电信网络的方法等。由此,联邦安全局增加了若干新的与信息安全、网络攻击相关的监管职能,具体包括评估国家信息安全形势、保障重要信息基础设施安全、鉴定计算机安全事故、建立电脑攻击数据库等。

联邦安全局下设一系列既分工负责又合作互助的机构,共同执行上述职能和目标。例如,计算机和信息安全处负责监控和打击间谍行为和网络犯罪;有关信息技术研究机构对信息特别是与刑事案件、网络恐怖主义活动相关的案件信息进行技术性评价。此外,为更有效地管理互联网,联邦安全局还主持了一系列互联网监管行动,第一个真正旨在监管互联网的行动就是由它主持的。2000年,联邦安全局开始要求互联网服务提供商安装监管设备,并设立和运行了专门的互联网监控系统“行动侦查活动系统”(SORM)。2008年,联邦安全局进一步要求所有电话和互联网服务商安装SORM系统,以确保国家安全部门能及时、有效地获取数据。境内的服务器数据被强制接人SORM中,一些不愿合作的服务商被迫下线并被威胁吊销营业执照。SORM系统的安装,使联邦安全局能够在服务商不知情的情况下获取数据,这意味着所有电话和网络通讯数据都可被记录在案。自2010年起,联邦安全局开始升级SORM系统,增加了分析新数据类型的功能;同时,它也可用于监视总部位于俄罗斯的国内外社交网络。目前SORM仍然相当活跃,它监控了几乎所有的俄罗斯电信网络、互联网系统和所有传播媒介。

得益于联邦安全局相关部门及其发起的监管行动,俄罗斯对互联网的监管日益全面、有效。

(四)俄罗斯网络和服务协会

网络和服务协会是联邦信息技术和通信部于1994年发起设立的、致力于制定和执行互联网规范的一个政府机构;也是一个拥有122个成员(包括高校、科研机构、联邦政府各部、律所、保险公司、互联网服务商、运营商、供应商和用户等)的公共机构。作为一个公共机构,网络和服务协会发起互联网研究项目,组织相关互联网活动,协调互联网活动相关主体间关系,推广相关互联网理念,拥有的互联网监管职能极其有限。作为一个政府机构,网络和服务协会协助其他政府机构制定互联网规范,确立和落实相关互联网项目和计划,建立互联网管理制度,享有一定的监管职权。虽然通常情况下,该协会制定的规范需要其他政府机构协助,其发起的监管行动强制力较弱,但该机构对推动俄罗斯互联网正式立法的制定、实施及互联网产业健康、有序的发展发挥了重要作用。

事实上,俄罗斯互联网监管机构繁多,不仅包括上述政府机构、混合性机构,还包括一些政府直属的企业、公益和社会组织等,如俄罗斯科技信息资源开发公司、安全互联网联盟、俄罗斯联邦信息中心、俄罗斯域名协调中心等。这些非政府性质的互联网监管机构在协助国家机构方面起到了不可忽视的作用。例如,安全互联网联盟这一社会组织协助国家机构打击在网上传播危险信息(青少年色情、吸毒、暴力、法西斯主义、极端主义等)的互联网资源拥有者,还对不同年龄段的青少年、家长、教师提出安全使用互联网的建议。据该联盟统计的数据显示,近年来,俄网上儿童色情传播比例大幅下降,已退居美国和荷兰之后。尽管如此,俄罗斯互联网监管权仍主要掌握在政府机构手中,混合型机构、企业、组织等的监管权有限,且实践中实施监管的有效性较弱。

三、俄罗斯互联网监管中的主要问题及对中国的启示

近年来,随着网民的急剧增加,网络安全问题日益严峻。为有效应对这些问题,相关立法日益严格,监管机构对互联网的干预越来越频繁,这引发了前所未有的争议,也对完善我国互联网监管都具有一定的启示。

(一)俄罗斯互联网监管中的主要问题

问题的焦点在于如何在保障信息安全的同时适度保障互联网自由,以及如何规范监管机构的监管行为和活动。主要问题具体表现如下。

1.如何有效协调互联网自由与信息安全的关系

虽然接人互联网较晚,但近年来俄罗斯互联网发展迅猛。2011年,俄罗斯域名数量已名列全球第五,并一跃成为欧洲互联网用户最多的国家;至2014年底,俄罗斯互联网普及率达到62%。互联网的迅猛发展为网民和社会发展带来极大便利的同时,也带来了信息安全风险。从国内来看,由于互联网具有匿名性、无中心性、虚拟性、跨国性等特征,网民在互联网上的不法行为相对不易被追究,滥用互联网自由的现象时有发生,并因此对公共利益和互联网安全等造成巨大冲击,互联网一度成为散布极端主义思想、策划暴力恐怖活动的主要途径,严重威胁着俄罗斯信息安全。从国际上看,发达国家的信息化建设起步较早,高新技术侦察系统的研究和开发速度较快,信息处理自动化水平较高,技术侦察和电讯密码分析能力较强,给俄罗斯信息安全造成了潜在的威胁。随着网络空间战略地位的日益凸显,美国等老牌互联网大国积极组建网络部队、雇佣黑客部队甚至是采取监听等方式,意图在网络空间对别国实施遏制和打击,这直接威胁着俄罗斯信息安全。然而,俄罗斯的信息技术基础相对薄弱,信息产品的国产化水平不高,难以有效应对国内外信息安全威胁。

为此,俄罗斯逐渐将互联网监管体系建设的重点集中在通过一系列限制措施来维护俄罗斯信息安全上.这在国家杜马通过的相关互联网监管法律、修正案及监管机构的监管行为中均有表现。就立法而言,早期互联网立法,如1991年《大众传媒法》、2006年《信息、信息技术和信息保护法》等赋予了互联网发展相当程度的自由。近年来,为应对上述信息安全风险,俄罗斯联邦频繁修改立法,这些立法在维护信息安全的同时,也对互联网自由施加了越来越多的限制。例如,2013年《信息、信息技术和信息保护法》授权检察官可在没有获得法庭命令的情况下发出网站封杀令,屏蔽含有上述未经批准的公共抗议和极端主义活动内容的网站。这一方面可防患于未然,将上述活动扼杀在摇篮里,有利于维护信息安全;另一方面,屏蔽和阻隔含有上述活动内容信息的传播,限制了网站的互联网自由。就监管机构而言,政府机构以信息安全名义实施多项互联网监管措施,包括禁止未经许可的示威、极端活动等,尤其是普京上台后采取了“威权主义”的监管政策,对互联网媒体等实行了更为严厉的监管。例如,为维护信息安全,有关部门将网络互动平台作为监控重点,对网民留言、论坛网贴实行24小时严格监控,并借助技术手段甄别信息。加之行政监控和出于安全动机的刑事调查日益频繁,迫使网站、社交平台、博主、互联网服务商等进行自我审查以传播符合政府意愿的信息内容,互联网受到日益广泛的限制。

互联网限制措施扩大了行政机关的监管权力,有益于保障政府更有效地维护本国信息安全,也引发了互联网自由问题。在2000年版的《信息安全学说》中,“保护宪法赋予公民的权利和自由”共出现了17次,而在2016年版中,类似的表述只出现了3次,数字变化的背后实际反映的是俄罗斯信息安全观的变化。诚然,信息安全观的变化与俄罗斯国内面临的网络犯罪和网络恐怖主义威胁、信息安全威胁与日俱增及外国在俄罗斯情报活动频繁等息息相关,但对互联网自由日益严格的限制却是不争的事实。虽然互联网自由并非是不受限制的,但互联网是公众获取、存储、传播信息等的重要渠道,对互联网自由的限制应当适度。过度地限制可能侵害公众的信息权利,使他们正当的互联网自由很难有效实现或者实现的程度有限。例如,《信息、信息技术和信息保护法》要求搜索引擎、社交网络、论坛等平台,必须保留过去6个月内在俄罗斯境内发布的所有信息内容的电子记录,这固然保障了监管机构有效过滤、分析互联网信息内容,进而有利于维护俄罗斯信息安全。但是,由于自由存储信息是网络时代信息自由的一个重要内容,立法要求保留“所有信息内容”的电子记录方便了监管机构的监控,也构成对信息自由的侵犯。“在对公民个人信息进行刑法保护的过程中,处于核心且对公民生活造成最大困扰的是非法利用公民个人信息的行为。”监管机构查询、获取甚至使用电子信息可能对公民的隐私权造成侵害,甚至还可能对网民形成威慑,使他们不敢充分表达,从而深刻地影响互联网自由。总之,以信息安全为重点的互联网监管措施对互联网自由造成了一些消极影响。为此,如何协调互联网自由和信息安全之间的关系成为俄罗斯互联网法律制度中的一个重要问题。

事实上,其他互联网较为发达的国家,也或多或少涉及了上述限制措施。如德国立法对社交论坛的限制就相当严苛——为限制网络有害言论,德国立法规定对传播有害言论的互联网服务商及论坛经营者定罪。但是,由于德国《基本法》为保护公民的通信自由规定了严格的监管原则(任何未经通信各方同意的監管行为,都将因涉嫌违反《基本法》而被诉),严格的监管并不必然侵犯公民的互联网自由。虽然德国存在互联网自由与信息安全间的矛盾,但这一矛盾并不尖锐。矛盾之所以存在甚至激化的根源并不在于监管措施本身,而在于各国互联网监管所采取的方式和监管的程度。换句话说,实施互联网限制措施本身无可非议,但是,过度的或不适当的互联网限制措施必然引发争议。俄罗斯互联网监管存在的此种矛盾就与过度的限制密不可分。俄罗斯对互联网自由的限制源于对互联网有害言论及有害信息的管控,因此,最初的限制措施可能是善意的、恰当的和适度的。但是,随着互联网问题的日益复杂化及互联网战略地位的日益凸显,这种善意的考量与过度的安全措施相结合,致使俄罗斯对互联网自由的限制日趋严苛,最终导致互联网自由与网络安全的矛盾相对突出。

不过,目前俄罗斯已意识到了这一问题,为了缓和矛盾,政府做出了一系列的努力,如通过网络与民众沟通交流,听取网民意见和建议;在网络和社交网站等新兴媒体上加大信息发布力度等等。但是,这一问题的有效解决还来日方长。

2.如何规范互联网监管机构的监管行为

2006年10月20日.俄罗斯公民扎哈罗夫向欧洲人权法院提出申诉,主张三家移动电话通信服务运营商、通信部和联邦安全服务部侵犯其电话通信的隐私权(Roman Zakharov v.Russia)。在该案中,欧洲人权法院就认定俄罗斯相关监管存在以下不足:第一,相关监管措施不够透明,俄罗斯法律关于监听通讯的规定没有提供足够和有效的避免专断和滥用风险的保障;第二,监管措施的落实和后续规定不完善,相关立法对被控告为犯罪的行为中所涉及的信息是继续存储还是待审判结束后再行决定亦没有规定;第三,授权监听程序形同虚设,该程序在实践中对于规范秘密监听行为力不从心,许多监听请求通常不需提供任何材料;第四,监听的监督存在诸多问题,比如由总统、议会和政府授权的监听无法监督,与安全服务信息相关的组织机构及政策等不受检察官监督等;第五,受到非法监听后的救济很难落实。欧洲人权法院对该案的分析,一定程度上反映了俄罗斯互联网监管立法和监管机构执法存在的问题。俄罗斯互联网监管机构繁多,且监管机构的职权存在一定的重叠现象。例如,在SORM监管体制下,不仅联邦安全局,而且其他7个联邦安全机构(包括税警和内务部警察等)也都能够任意监管公民的互联网传输活动。同时,监管机构的执法行为和活动相当不规范。

如何规范互联网监管机构的监管行为呢?

首先,行政机关有选择地适用法律或规避法律。监管机构经常利用法律制度中的疏漏(如法律规定不明确、不同法律之间的不一致等),有选择地管理互联网媒体,吊销异议传媒机构的许可证,将反对政府的媒体送上法庭,吊销不合作媒体的执照或终止其播出权,指控甚至起诉影响政府官员名誉和尊严的媒体等。监管机构还经常“巧用”合法的“法庭调查”——利用税务局、税收机构和质量检查机构等对不合作的互联网媒体等进行多方面审查,使监管机构在不违反《大众传媒法》所规定的禁止新闻检查等条款的同时,有效管控互联网媒体。

其次,监管机构常以政策取代法律。由于相关立法往往是中立且稳定的,并不一定符合监管机构的现实需求,相比较而言,政策往往比法律更灵活、更具有指向性,也更受俄罗斯互联网监管机构青睐。自2000年以来,俄罗斯通过了一系列互联网政策,密集出台的系列规划促使俄罗斯互联网出现了飞跃式发展,也便利了监管部门。例如,为落实相关政策、维护信息安全,俄罗斯官方要求所有电话、互联网服务供应商安装SORM系统,通过要求本国企业出租网站空间服务器给安全服务机构、要求外国企业把主机服务器设在俄罗斯本土、利用“-ru”域名扩展使俄监管机构能够访问其网络平台等方式,联邦安全局得以行使在服务商不知情的情况下对它们进行监控,并将数据记录在案的权力。一般来说,进行监控和电话截听是需要经司法机关批准的,未经许可的监控和记录本身存在合法性的问题,但以政策作掩护,联邦安全局的行为似乎有理有据,而且长期实施此种行为。

最后,监管不透明。以信息的监管为例,在前苏联,大多信息属国家财产、被视为“国家秘密”,苏联解体后情况有所好转。但直到2005年,互联网监管机构仍将信息视为当局的财产。近年来,俄罗斯对未涉及国家安全、国家机密信息的监管有所放宽,但信息监管尤其是对备受关注的个人信息监管的透明度及如何保障个人信息安全等问题仍未得到很好的解决。例如,联邦通信监管局要求国内外企业从2015年9月开始,必须将所有俄罗斯用户的个人数据存储在该国境内,意图实现数据本地化。虽然国家杜马和联邦通信监管局上述要求的目的是关注个人隐私安全,但是,一款名为FindFace的约会APP利用面部识别技术将社交媒体账户信息与照片联系起来,可以轻松识别出不愿透露姓名用户的真实身份,这令用户陷入隐私泄露危机。其他相关互联网行为和活动的监管亦是如此,目前,行政机关对哪些行为和活动进行监管、监管的原因、监管何时开始、何时结束、如何监督等均是不透明的,无法有效对行政机关的监管行为进行监督。例如,检察官负责对行政机关的监管行为和监管情况进行监督,但监督情况并不对公众公开,加之检察官的监督范围非常有限,涉及国家安全的监管不受其监督,因此,检察官监督的效果也不理想。当然,监管的透明度并不必然要求监管的方方面面均公开,如涉及国家机密等较为特殊信息或问题的监管就不要求公开。但是,一般来说,透明度应涵盖这样的要求——监管机构执行一般的监管措施时应严格遵循法律程序,而且这些程序应当是公开的。俄罗斯监管不透明度问题的症结就在于这些监管程序的不公开。

由此,如何规范互联网监管机构的执法行为成为俄罗斯互联网监管措施的另一争议点。例如,2017年作出的自5月4日起禁用中国社交软件微信海外版(Wechat)的决定就存在争议,俄罗斯给出的书面回应是根据俄2014年5月关于网络信息管理的法律修正案,网络信息服务商应在俄相关部门进行登记,这要求服务商提供所在国的工商注册信息、服务器地址、软件功能说明等信息,而WeChat沒有及时提供这些信息。但就在此后的第7天,即5月11日,通信与大众传媒监督局宣布将WeChat从黑名单当中移除。7天之内上演的这一幕“捉放曹”固然可能存在政治上的博弈,但也反映出监管机构在执法中对于“审慎义务”等的遵守情况并不乐观。

当然,存在上述问题的原因除监管机构本身缺乏自我约束外,还与互联网监管立法的不完善密切相关。俄罗斯早期立法中就特别强调信息安全的重要性,但是这些立法并未赋予行政机关过多的监管权限,因此在实践中问题不大。近年来,俄罗斯通过的一系列新的立法及修正案逐步扩大了监管机构的监管权限,但它们对于监管机构如何行使权力及其侵权、违法责任等的规定不明确甚至缺失,致使监管机构的行为不能得到有效规范。换句话说,立法的不完善也是监管机构执法存在问题的一个原因。

(二)俄罗斯互联网监管立法和机构设置对我国的启示

尽管俄罗斯互联网监管还存在上述问题,但由于俄罗斯互联网监管立法、政策框架、网络发展情况及面临的国际形势与我国有一定的相似性,研究俄罗斯互联网监管对我国互联网监管法律制度的完善具有一定启示意义。

从内部看,我国互联网监管法律制度建构中存在的问题与俄罗斯具有相似性。目前,在相关部门的努力下,我国已经初步建立了以《国家网络空间安全战略》为指导、以《中华人民共和国网络安全法》等法律及相关法规和部门规章、监管机构等为主体的互联网监管体系。与俄罗斯类似,我国互联网监管体系仍不成熟,立法和机构设置上均存在一定的问题,如立法的规定过于宽泛、监管机构职责不明等。以《中华人民共和国网络安全法》为例,对于监管机构的职责问题,该法第45条仅粗略地规定“依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供”。诚然,该法是我国网络空间法律治理的顶层设计,但如此宽泛的规定使其可操作性大打折扣,对该法的解释和履行可能因部门差异而出现相互冲突的现象。为解决上述问题,我国可从俄罗斯互联网监管立法、机构设置和面临的问题中获取经验教训,尤其是俄罗斯互聯网监管的路径值得我国重点关注。

在俄罗斯互联网监管法律制度体系框架下,政策和法律同时作用于监管机构的监管活动,而且政府根据实际情况通过修正案对它们进行一系列的修订,也在实践中不断修正监管路线,从而健全了俄罗斯互联网监管法律制度。相较于立法,政策的灵活性强.对于日新月异的互联网活动能够给出及时和有效的回应,政策在一定程度上缓解了法律存在的滞后性和灵活性缺失的问题。但是,实践中俄罗斯确实存在不少以政策废法的情况,加之立法存在不完善和执法机关执法的不规范,俄罗斯行政机关的互联网监管问题重重。

我国互联网监管法律制度的构建应一分为二地看待俄罗斯经验:我国可借鉴俄罗斯法律和政策双管齐下的建构路径,以纲领性文件为指引,逐步完善现有立法和政策,并根据新形势、新情况制定新的立法、新的政策措施,结合实践逐步确定主要监管部门的具体职责;注意协调政策和法律的关系,不能以政策代替法律。

从外部看,作为新兴网络大国的中国和俄罗斯均面临着来自西方网络大国的压力。中俄信息化水平明显落后于欧美发达国家,所掌握的网络基础资源有限,面临着如何更好地维护本国信息安全等问题。两国互联网监管法律制度构建既需要预防来自外部的网络攻击、切实保障本国的信息安全,又需要充分保障相关网络行为主体的自由,协调本国互联网安全与信息自由的关系成为治理的重点和难点。

事实上,为应对外部压力,俄罗斯政府做出过一系列努力,一方面,加强本土基础网络和信息系统安全建设,及时保障自身信息安全;另一方面,积极防范国外互联网渗透,上述国家网络攻击监控系统和s0RM等都是具体执行措施。而通过不断强化自身网络和信息技术、建立国家互联网安全保护系统,我国互联网监管法律制度也在不断完善,在网络防火墙等网络安全系统建设方面中国甚至走在了俄罗斯的前头。但是,从俄罗斯的经验和教训中,我国仍可获取一些启示。我国在进一步发展信息技术的同时,应积极完善、升级或改进现有的互联网安全保护系统,并注意平衡安全与互联网自由之间的矛盾。

此外,我国互联网监管形势与俄罗斯还存在一定的差别,在借鉴俄罗斯互联网监管立法、机构设置和存在问题的经验教训时,还需要结合我国的具体实际。具体来说,我国互联网还处于电信网、广播电视网、互联网在业务、服务、技术等层面上相互渗透和融合的重要时期,互联网监管面临进一步促进融合、确保融合过程中各方权益的有效保障等问题。在此背景下,我国互联网监管法律制度构建既要正确处理政府、网络运营商和用户之间的关系,又要协调国家、社会和公民的各种利益关系等,尤其是要协调执法机关的行为与公民隐私权的关系。这要求我们在建构和完善我国互联网监管法律制度之路上要特别关注监管部门的监管行为、行为的边界、行使职权的方式和策略及对监管机构的监督等。

总之,要实现对我国互联网的有效监管,就必须认清现实,在分析互联网的发展情况及其所处发展阶段的基础上,制定相关互联网监管的政策,明确监管法律制度及相关行政机关职权、责任等。

四、结语

俄罗斯高度重视互联网监管,通过多年的探索,已经形成了以纲领性文件为政策指导、以互联网立法和监管机构为主体的互联网监管体系。立法上,根据互联网发展的现实需要,国家杜马不断修订既有法律,并针对新出现的网络问题出台新的立法。由于网络空间战略地位的日益凸显,信息安全的重要性与日俱增.互联网立法的重心逐渐转移到维护信息安全上。近年来,为了更好地维护信息安全,俄罗斯采取了一系列互联网限制措施。对信息安全的重视本身无可非议,但是,这些措施实施的方式和程度存在一定的问题,由此引发了信息安全和互联网自由之间的矛盾。机构设置上,为保障互联网监管的有效实施,俄罗斯设置了一系列权责分明的互联网监管机构,俄罗斯安全委员会负责统筹俄罗斯互联网监管政策、协调监管机构活动,其他监管机构(俄罗斯电信和大众传媒部、联邦安全局等)负责具体领域的互联网监管问题。然而,由于立法缺少规范监管机构的条款,加之监管机构本身缺乏有效的自律,其执法行为和活动相当不规范,引发了如何规范互联网监管机构执法行为的问题。尽管如此,俄罗斯的经验和教训对我国互联网监管法律制度的完善仍具有借鉴意义。

互联网与国家安全、信息安全密切相关,互联网监管日益受到各国重视。作为一个处于上升期的新兴互联网大国.我国在互联网领域还面临来自各方的压力和日益复杂多变的挑战。在网络强国战略背景下,如何科学地借鉴包括俄罗斯在内的其他国家的经验教训,进一步完善我国的互联网监管立法和措施,仍是需要我们持续关注和深入研究的问题。

猜你喜欢
信息安全俄罗斯信息
信息安全不止单纯的技术问题
基于模糊综合评价法的信息安全风险评估模型
基于模糊综合评价法的信息安全风险评估模型
订阅信息
展会信息
另辟蹊径
2014第十五届中国信息安全大会奖项
先救谁——原载俄罗斯漫画网▲
同舟共济
欲盖弥彰