龙卫球
2021年中國网络诚信大会是中国网络诚信化建设推进的重要盛会,笔者非常高兴有机会应邀参加法治论坛,一起分享观点和信息。人类社会每个发展阶段都有自身的机遇与风险,二者总是存在不同的紧张关系,我们治理者只有善于化解矛盾才能够真正趋利避害。今天也不例外,进入数字化时代以来,网络信息化导致的蓬勃的新发展格局与网络信息安全和可信问题的矛盾,前所未有地凸显出来、重要起来,极有必要从法律上予以认真对待,做出合理的化解或应对。笔者从以下三个方面讨论合理应对的必要性、策略和法治保障特点。
我们应立足新背景,来认识需要特殊应对的新问题及其性质。
网络信息化2.0时代的数字化机遇与挑战。人类基于新信息技术突如其来的发展与应用,从20世纪晚期开始进入网络信息化时代,而且不断迭代发展。我们通常把计算机互联网出现和应用初期归为网络信息化1.0时代。今天,发展到了网络信息化2.0时代,其特点是全面数字化,因此也称为数字化时代。
数字化时代的基础,是大数据的集聚发展和资源化过程。随着移动互联网、云计算、大数据、人工智能、物联网等技术应用,网络信息化形成了一种数据资源化的显著趋势,数据成为基础战略资源。数据化利用成为新常态,由此启动全面数字化的现实进程,也导致了全新的数字化发展机遇,网络与现实,从虚拟到实景全面重合,数字经济、数字社会、数字政府等不断升级。
2020年3月30日,中共中央、国务院出台了《关于构建更加完善的要素市场化配置体制机制的意见》(简称《意见》),提出要构建更加完善的要素市场化配置体制机制,并把数据提升到重要资源的位置。《意见》提出,要“完善要素市场化配置是建设统一开放、竞争有序市场体系的内在要求”“深化要素市场化配置改革,促进要素自主有序流动,提高要素配置效率”。其中,有“加快培育数据要素市场”的要求,具体包括推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护三项。
但是,机遇总是与挑战并存,全面数字化时代面临全新的挑战和冲突。从国际上来说,出现了数字化贸易合作和保护、数字化主权和国际竞争等矛盾关系。从国内来说,也面临如何处理数字发展模式、数字发展权与竞争、数据资源市场化配置与政府作用、数字化增长与公平等重大关系和问题的挑战。其中,一个重要而棘手的问题是数字化带来的一种新型安全和可信问题,这也是当前我们要重点应对的主要问题。
数字化背景下面临的新型安全和信任问题。数字化的发展,对于我们既有的安全和信任观念产生了全新的冲击。在信息为王、数字为王的数字化新发展格局下,网络信息、数据的巨大利益与冲突关系也应运而生,并具有深深依赖于网络运行和信息科技应用不断迭代的风险特点。显然,这是一种新型的安全和可信问题。数字化时代网络信息和数据的安全和可信问题,作为一项重大新挑战,使得我们在迎接全面数字化的同时也必须就其做好有效应对,以便切实保障数字化的健康基础要求。
首先是网络信息和数据安全问题。网络信息化、数字化条件下,鉴于信息和数据的基础地位以及易于集合的特点,针对网络信息和数据的窃取、未经允许的取得和利用,或者针对网络信息和数据的破坏、篡改等,往往会给相关利益主体带来直接的损害,同时在很多情形下还会导致大规模的公共性灾难。这就是对网络信息和数据的安全威胁。包括基于行为的安全威胁,体现为针对网络信息、数据安全的破坏行为;也包括基于系统的安全威胁,可能体现为系统攻击、侵入等外部行为,也可能体现为因自己的系统设计、管理、操作缺陷导致系统崩溃或其他类似问题,重点有网络信息基础设施安全、网络服务提供者平台安全、物联网系统安全等。
其次是网络信息、数据的可信问题。网络信息、数据作为数字化时代的运行基础,应当具有高质量的要求,其中一个最起码的指标,应当就是可信。如果网络信息、数据为虚假、错误或者不完整,那么网络化运行基础就会十分脆弱,数字经济、数字社会和数字政府就不具备真实基础,随时有陷入崩塌的危险。这种可信要求体现在网络信息、数据产生和处理的每一个环节,在检验上可与主体关系可信任直接相关。现实中,网络信息化、数字化条件下,重要信息、数据形成或聚集自许多场景,有公共管理的场景,也有市场的场景。后者很多是以网络平台作为纽带方式呈现,从其信息、数据的产生、集成的主体可信关系看,主要体现为平台信息、数据参与者的可信关系问题,具体有平台主体、用户、平台第三方的复杂信任关系,不同主体进行信息、数据交互,可信为其前提。网络信息、数据形成之后,在数字化运行下汇聚进入和应用于各种经济、社会、管理关系,主体交互进一步的复杂化,使得可信问题更加敏感而不确定。此外,数字经济全球化之下,因不同国家数据信息保障机制不同,还导致跨境安全和可信的特殊治理难题。
我们应该从有效性出发探讨应对策略,包括应确立面向重大风险治理为特点的复杂治理体系和重点布局具有防范和威压功能的新型监管机制。
市场监管作为网络信息安全和可信的治理现代化的合理标配。改革开放四十多年来,在建立社会主义市场经济目标指引下,我国进行了从绝对的公有制、计划经济到以充分发挥物的利用价值和市场化经济功能的中国特色社会主义市场经济体制改革,在发挥主体创造性、激发市场力量、创造财富方面取得了极大成绩,创造出了世界第二经济大国奇迹。但我们也看到,市场解决不了所有问题,政府既需要为市场提供规则和环境,也需要为市场公平提供保障,还需要为经济健康发展提供引导和推动。
所以,我们一直都注意在市场和政府的关系之间维持一种平衡,发挥市场基础性作用,促进效率,同时运用政府的力量,防止市场化失灵,加以纠偏、调整,同时推动积极、公平和健康的发展。2013年中共中央十八届三中全会通过《关于全面深化改革若干重大问题的决定》,提出全面深化改革的总目标是完善和发展中国特色社会主义制度,推进国家治理体系和治理能力现代化,明确强调应当紧紧围绕使市场在资源配置中起决定性作用深化经济体制改革,指出市场和政府的两个不同作用,即“经济体制改革是全面深化改革的重点,核心问题是处理好政府和市场的关系,使市场在资源配置中起决定性作用和更好发挥政府作用”。2019年10月中共中央十九届四中全会通过《关于坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化若干重大问题的决定》,继续强调“必须坚持社会主义基本经济制度,充分发挥市场在资源配置中的决定性作用,更好发挥政府作用”。总之,我们对于市场化弊端的治理不能通过退回到计划经济去消除,而必须坚持在发挥市场决定性作用条件下加以应对,注意治理转型。这种治理转型要求的是非计划的政府作用机制。
在数字化背景下,发展数字经济、数字社会和数字政府,仍然应当使市场在资源配置中起决定性作用。鉴于数字化发展不仅存在数字促进和数字公平等要求,也存在特殊的安全、可信的治理难题,这些又都是不能依靠市场所能解决的,因此需要注意发挥政府作用。这种政府的作用是非计划的管理,体现为一种新型的适应市场体制下的有效监管机制,因此必须坚持与发展并重。《网络安全法》第三条国家坚持网络安全与信息化发展并重;《数据安全法》第十三条坚持国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。这些规定都是把安全治理放在了与信息化发展同轨的并重结构中,作为数字产业发展的保障。
数字化新型安全、可信的强化监管设计。数字化以网络信息、数据作为运行基础,所以网络信息、数据的安全和可信问题可以说是数字化基础性和系统性的风险问题。考虑到这一点,我们应当以对极其重大的风险治理的立场来设计相关的监管要求,即应当超出一般监管的范畴,从重大基础利益关涉角度,确立强化的监管设计,体现为引入增强式的监管机制。
首先,引入同步监管要求。对于新型安全与可信问题必须坚持同步建设。与同步监管相对立的是审慎监管,后者认为对于创新应当适度鼓励,不宜轻易动用管理,以免压制创新。数字化当然是一种代际性的重大创新,一开始不是很清晰,在许多方面或者在初期阶段确实需要一定的审慎监管。但是,这种观点不能适用于数字化的重大风险问题的应对上。数字化新型安全和可信问题事关重大,属于丝毫不能够疏忽的重大风险,这种风险不仅仅是数字化经营者或运营者自身的,也是广大信息数据主体的,同时还往往是社会和经济整体的,后者与国家数字化整体发展利益紧密联系,甚至与国家总体安全紧密联系。因此新型安全、可信问题作为重大风险问题,应当引入同步监管作为增强治理要求,确保安全与发展同步,避免盲目发展的灭顶之灾。《网络安全法》第三十三条明确了在关键信息基础设施上的网络安全同步监管的规则。“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。”《数据安全法》第四条也明确认为,“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。”以及第二十八条规定:“开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。”这些都明显体现了同步监管的内在机理。
其次,强化重点监管布局。既要有一般系统的安全可信监管布局,必要时在数字化运行的关键环节或者重要方面,更有必要预防和及时治理为要求确立严格的安全、可信监管。广义上包括增强监管能力和增强监管机制的建设。以《数据安全法》为例,第二章许多涉及增强安全能力的建设机制,如第十五条“国家支持开发利用数据提升公共服务的智能化水平”,第十六条“国家支持数据开发利用和数据安全技术研究”, 第十七条“国家推进数据开发利用技术和数据安全标准体系建设”,第十八条“国家促进数据安全检测评估、认证等服务的发展”、第二十条“国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训”等,都直接授权国家采取相应措施支持增强安全能力;第三章则建立数据安全制度,增强监管手段,包括第二十一条“国家建立数据分类分级保护制度”,第二十二条“国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,国家建立数据安全应急处置机制”,第二十四条“国家建立数据安全审查制度”,第二十五条“国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制”等特殊机制;第四章对数据处理者规定“数据安全保护义务”,提出在数据安全和可信方面的特殊主体义务和责任,这些都是极具强化监管特色的重点监管。《个人信息保护法》除了在个人信息保护体系中加强安全和可信的治理保护,还将之安全可信要求明确确立为处理行为的原则。第八条:“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响”,明显包含了可信的质量要求;第十条:“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动”,则包含对于个人信息安全保护的宣示。
数字化新型安全和可信的治理保障,应当通过法治的有力方式来加以保障,惟其如此,才能更好体现治理的规律性、确定性、严肃性和权威性。中共中央十八届四中全会《关于全面推进依法治国若干重大问题的决定》指出,我国全面推进依法治国,是国家治理领域一场广泛而深刻的革命。
数字化新型安全和可信的法治保障,重点是建立相关法律监管体系和机制。近年来,国家正视网络信息、数据的安全和可信问题,以坚持数字市场化发展为导向,采取了及时防治和监管的立法对策,根据需要制定了多部作为数字化新型安全和可信治理依据的专门法,包括2016年《网络安全法》、2021年《數据安全法》、2021年《个人信息保护法》等法律,以及许多相关法规。这些法律法规明确定位于对数字化安全、可信的维护和保护。例如,《网络安全法》第一条开宗明义规定,“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展”而制定本法;《数据安全法》第一条规定其宗旨是“为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益”;《个人信息保护法》第一条规定其宗旨是“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”。这些都明确了相关法律法规作为新型安全保障和一定程度的可信保障的基本功能定位。
上述法律关于网络信息、数据的安全和可信的法律设计,凸显自身体系上和机制上的显著特色。从体系上说,采取了综合保护和重点强化相结合的治理体系。形成了针对网络安全、数据安全、个人信息安全的复合治理结构,从网络安全、数据安全、个人信息保护三重角度做出治理设计,覆盖网络信息活动的全流程和各环节,同时突出对重点治理的功能强化,引入以防治和威压为特点的专门管理和特殊法律责任等机制。从治理对象上说,注重行为治理和科技治理的结合,其中更加重视技术治理。数字化新型安全和可信的问题,与新技术发展和应用密切相关,因此基于标本兼治的需要,不能仅仅只把眼光放在行为治理策略上,必要时应当放弃所谓技术中立而规制技术活动。行为的治理,体现为对相关数字化主体的网络信息行为的监管,关键是数字化平台企业和机构。相关技术治理,则延伸到网络、大数据、人工智能等网信科技研发和应用领域,重点需要治理相关科技开发和运行引发的信息、数据安全和可信的风险,必要时应将重大安全和可信治理提前到研发阶段或应用布局之际,并建立适时监测预警和应急处理系统,确保网络信息安全可信实际可控。需要补充的是,我们过去在数字化新型安全保障领域已经显示出了极大努力,但在确保可信方面显然意识不足,还存在提升空间。
总之,我们置身于一个滚滚向前、风云际会的数字化时代。此中,充满了数字化的际遇和惊喜,数字经济、数字社会、数字政府的蓝图也在徐徐展开。但是,也充满了风险和治理危机,尤其是作为数字化根基的网络信息、数据资源,本身存在安全和可信的重大隐患,需要我们加以努力应对。在这个意义上,相关网络诚信建设要求极为必要。作为一种新型的安全和可信治理要求,应当同时从积极和消极两个方面入手做出有针对性的保障和防范,而不仅仅是事后保障。包括:明确治理重点,确保网络安全、数据安全和个人信息保护三大安全,完善全链条的治理保障体系;强化重点监管机制,突出多方协同共治功能,突出强化具有防治功能的监管机制、具有特殊威压功能的法律责任机制;重视数字化的新技术基础,将风险治理从行为领域延伸到更加微妙和复杂的技术治理领域。这些是数字化时代诚信建设和相关风险治理的应有之义。
作者系中国网络与信息法学会副会长,北京航空航天大学网络空间国际治理研究基地主任、法学院院长
【编辑:左志新】