互联网信息管理的政策法规体系构建进展与展望

向 宇 周文泓 孟 焕 李彦可 吴 琼

一、引言

根据第46 次《中国互联网发展状况统计报告》，我国网民规模截至2020 年9 月超过9 亿[1]，已形成海量的互联网信息。政策法规作为关键工具，正在权力机关、政府、社会第三方组织、公众等力量的推进下日趋聚焦于这些网民形成于互联网上的多样化信息，面向管理哪些信息、管理活动、具体管理要求等探索体系化的管理依据。以《中华人民共和国网络安全法》为代表的顶层法规政策相继出台，并面向不同网络活动或平台落实出具体规范，如《微博客信息服务管理规定》《即时通信工具公众信息服务发展管理暂行规定》。然而，现有政策法规对互联网信息的界定与如何管理缺乏立足多元利益相关者的整体设计。例如，多关注于合规形成信息与隐私防护，同多样化的信息管理活动和主体需求均难以全面匹配。

研究层面的具体探索由三个方面展开：一是以互联网信息对象明确管理内容、特征与管理要求发现政策法规体系完善的必要性[2][3]53-54，从不同性质的信息与不同类型的互联网应用的信息发现政策法规所应用的信息范畴应拓展[4]109-118。二是基于互联网信息主体，从不同利益相关者的需求、能力、责任等维度提出政策法规对管理的权责界定以及具体要求[5]38-59[6]48-62。三是从管理的不同环节及其目标明确政策法规应在具体内容上如何为互联网信息提供具体规则，对当前基于信息安全的保管与利用予以探讨[7]119-129。然而，现有研究缺乏对我国政策法规体系的深入梳理与分析，其完善尚需更全面与针对性的策略。

因而，为完备互联网信息管理的政策法规，本文将基于由国家互联网信息办公室与北大法宝获得的涉及互联网信息管理的政策法规信息共63 篇，明晰规则体系的建构进展与不足，由此发现待完善的空间与基本对策。

二、互联网信息管理相关政策法规的内容归纳结果

基于所获取的政策法规中所提取的涉及互联网信息管理的内容，相关规则显示如下。

1.管理主体。政策法规显示的互联网信息管理主体主要为监管互联网信息的机构，为他人利用信息开展活动提供空间的网络服务提供者（下文简称“平台”）、使用网络服务时形成、传播或利用信息的用户，主要定位与职责如下。

（1）监管机构。监管机构以网信部门为核心，如国家互联网办公室、中共中央网络安全和信息化委员会负责互联网信息的统筹指导、监督和管理工作。有8 份政策法规提供了相关规定，将职责认定概括为事前控制、事中监督、事后处置三方面。首先，事先建立管理规则和制度，规范网络信息活动秩序。其次，在信息服务过程中，监督各类信息行为。最后，应对违规主体予以处罚。

（2）平台。法律法规规定平台权力须以“不侵害用户权益”和“不违反法律法规”为限。例如，规定平台收集使用未成年人信息时应征得未成年人及其监护人同意。具体义务表现为：第一，应做好管理工作。《电信大数据应用白皮书（2017）》规定，平台应在管理时构建数据存储、传输的安全保护体系；第二，应回应用户的合理需求。《儿童用户信息网络保护规定》指出，平台应根据用户需求更正错误信息。

（3）用户。首先，鼓励用户行使合法权利。用户有权提出合理请求，如《网络交易监督管理办法》规定用户有权向平台提出信息查询、更正、删除的申请。其次，规范用户义务。如《微博客信息服务管理规定》明确，用户应上传真实身份认证信息，且不得发布、传播法律法规禁止的信息内容。

2.管理信息对象。政策法规中得到不同程度规范的为用户信息、内容信息、资产信息和信息行为记录四类信息对象。其中，用户信息以及部分具体内容如电子签名、互联网用户账号名称得到界定。用户信息的定义主要表述为：以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人用户身份的各种信息，包括但不限于自然人的姓名、位置、住址、联系方式等。同时，内容信息、资产信息和信息行为记录主要由其他涉及的信息中归纳得出，没有具体定义：内容信息为用户在平台上发布、上载的信息，在信息管理环节以及政策文件标题中提及，具体表现为用户日志、互动内容及上载信息；资产信息见于《文化部关于规范网络游戏运营加强事中事后监管工作的通知》提及的娱乐游戏中的虚拟货币与《电信大数据应用白皮书（2017）》中提及的金融支付类数据；信息行为记录反映用户在网络信息服务平台活动轨迹的信息，如用户日志和交易信息，多在信息存储环节提及。

3.管理活动。当前，政策法规对如下互联网信息管理活动有一定规范。

（1）信息修改环节，涉及9 份政策法规，主要指向用户及平台对用户上载信息的行为：①规范平台提供信息修改功能的义务。某些法规更提及了对修改时效的要求，如《App 违法违规收集使用用户信息行为认定方法》中“人工处理修改请求无承诺时限的，以15 个工作日为限”。同时，为保护用户隐私和权益，限制平台信息修改权。②明确并规范用户主动或被动修改上载信息的权利。部分司法解释规定了用户行使权利的限制范围。

（2）关于信息收集，有20 份政策法规涉及，规定中的收集主体包括平台和第三方，收集对象多为用户信息，对收集行为的规范如下：不同效力的层级文件都明确了收集用户信息的原则、要求和规定；部分政策文件限定平台私自收集用户信息或超范围收集用户信息，不得因用户拒绝提供信息而停止信息服务，列举了超范围、超频次等违规收集行为；《数据安全管理办法》对规范收集行为作出规定。

（3）当前涉及信息存储的16 份政策法规主要明确了用户的法律义务，针对用户信息、信息行为记录以及内容信息的存储进行管理。具体情况如下：①明晰平台需存储的信息类型。除9 部对信息类型或内容作较具体规定外，其余仅针对网络日志信息。②明确信息的存储期限。③有3 份政策法规对特殊信息的存储作出特殊规定，包含儿童用户信息、用户敏感信息以及金融支付类信息的存储。

（4）信息利用涉及的政策法规共有13 份，主要体现信息利用法规适用于特定利用情境，包括：①规范检索活动。平台在提供检索服务前，应对信息进行鉴定，不得提供部分特殊信息（如未成年人信息）的检索显示。②明确信息转让情形。《数据安全管理办法》等规定，转让需经过用户本人同意，且必须在法律允许范围内，且平台应提前评估信息转让风险，常需要匿名化处理。③规范信息的安全共享与开放。《大数据白皮书（2019）》指出，数据开放工作应当排除“涉及用户的数据和信息”。《互联网信息服务严重失信主体信用信息管理办法》规定了如有必要公开，政府或平台应在发布前进行技术处理。

（5）信息处置涉及政策法规23 份，规定的处置主体包括平台、用户以及监管机构或司法机关，相应的处置对象和处置手段亦不同。①平台：处置对象多为法律法规禁止发布或传输的内容信息，以及违法违规发布此类信息的用户。针对前者，处置手段多为停止信息传输、消除信息，并向监管部门报告；针对后者，处置手段多为限制功能、暂停更新和关闭账号。②用户：该主体享有依法依规使用、修改和删除用户信息和上载信息的权利，以及用户信息免受非法收集、存储、使用、披露和转移的合法权益。故处置对象多为用户的个人信息及其上载信息。处置手段一般为要求网络平台代为执行其修改、删除信息等要求。③监管机构或司法机关：处置对象多为违法违规平台。处置手段一般为责令整改、暂停或终止网络信息服务。此外，司法解释还对拒不履行信息网络安全管理义务造成犯罪的情形予以明确。

（6）信息保护环节在42 份政策法规中得到规定，以防止信息的泄露、篡改、毁损、非法利用：①在保护主体上，包括对三类主体的规定，其中重点规范主体为平台；官方部门包括行政部门如网信部门，司法部门如“人民法院”、立法单位；以及潜在的第三方信息利用者。②在保护对象上，包括互联网信息的四个方面，总体倾向于对用户信息的保护。关于用户信息，在法规中的表述大都统一为“用户信息”，个别也提及“用户隐私”“公民用户电子信息”等。关于内容信息、信息行为记录和资产信息，在法规中以“日志信息”“交易记录”等提法涵盖。③在保护方法上，主要通过技术措施与制度规范保护互联网信息。另外，具体规定了平台需配备专业人员，明确协议与合同内容，告知相关人员，获取主体同意、评估信息安全和依法自查等；要求国家相关部门建立更加完善的法规、标准或机制；小部分政策法规鼓励多主体合作。

（7）中止或终止服务时的信息处理在5 份政策法规中有所提及：平台与用户的行为都得到一定规范，一般规定无论哪方终止，都要求平台停止收集并删除用户上载信息。针对用户终止的，要求平台停止利用其信息。另，也包括对特殊信息的特定处理，如儿童用户要由平台告知其监护人。

三、政策法规体系问题解析

从总体上看，我国关于互联网信息管理的政策法规体系尽管在保障各方权益与规范职责方面提供逐步细化的依据，但尚未建成完备的内容体系，面向整体与具体管理要素存有两大方面的规范空间。

1.整体框架：体系化构建的程度有限。当前的政策法规缺乏系统的顶层设计而存有整体上的成熟度局限，政策法规未成互联互通的体系。

第一，尽管已有数十个政策法规针对不同场景从不同方面提供合规依据，但这些政策法规未能充分覆盖用户应用互联网于各领域展开的多样化活动所形成、使用、管理的信息以及涉及的信息流程与行动内容。例如，目前主要从网络安全和用户隐私保护方面展开政策法规的顶层设计，信息在形成与传播端的规范较充分，而对信息长久的管理尤其是用户对信息的管理规定有限。同时，涉及快速更迭的信息内容，但由于其更新不及时，致使旧的法律法规内容无法完全满足实践需要等等。例如，《App 违法违规收集使用用户信息行为认定方法》对用户敏感信息的叙述仅为“身份证号、银行卡号”两类信息的列举，并没有充分考虑交易记录、社交媒体平台的聊天记录、病患医疗就诊信息等应当被认定为敏感信息的实际情况。

第二，政策法规之间的一致度有限，术语、原则、规则等具体内容缺乏相对统一的表达，这将使得互联网信息管理的利益相关者如信息形成者、网络服务提供商、监管部门等在确认各自管理范畴、职责与权利等方面的事宜产生不必要的误解与冲突。例如，关于不能开放数据范围的界定，《大数据白皮书（2019）》和《互联网信息服务严重失信主体信用信息管理办法》并不相同，前者指出“涉及用户的数据和信息”皆不能开放，后者则规定“用户隐私信息”不能开放。

第三，政策法规之间的衔接与贯通并不充分，主要表现为政策法规之间的规定不一定是互通且相互参照的，这就使得部分较具价值或应用性的规定不能充分规范更多信息或信息活动。例如，某些规定只针对某一类平台或某一类服务，如《微博客信息服务管理规定》设置在具体的微博平台管理情境下，它在用户发布信息的审核和备案方面有较完善的规范，但对其他近似的社交媒体平台无明确应用效力。

第四，政策法规在具体内容上未充分形成系统规则体系，对于信息由谁管、如何管、管什么等问题提供的依据存有理解与执行上的局限。部分信息或信息活动只是得到提及，或只表达在原则层面，如何落实、由谁落实、落实的具体要求与规范提及甚少。各监管主体的权责划分不明确，导致多主体协同不足，如《网络音视频信息服务管理规定》指出，“各级网信、文化和旅游、广播电视等部门依据各自职责开展网络音视频信息服务的监督管理工作”，而在政策中没有“各自的职责”的具体规定。再如，部分信息收集有关规定仅就原则作了概述，未展开说明实施方法，如《即时通信工具公众信息服务发展管理暂行规定》对于用户账号的实名规则，仅有“后台实名、前台自愿”的原则及非常简要的阐述。

2.具体内容：专业信息管理的显示度有限。互联网相关政策法规主要从互联网情境中的社会活动展开进行合规依据设定，信息管理仅是其中的一部分。在将北大法宝中检索获得的158 条现行有效的政策法规，与国家互联网信息办公室中收集的政策法规比对后，最终纳入研究范围的政策法规仅63 篇，可见信息管理的呈现不足。即使有相关规定，依然存在从信息管理角度审视部分规定并不专业或合理的问题。从信息管理主体、对象、管理环节等基本要素来看，相关内容均有待优化之处。

第一，尚需凸显网络信息管理协同要义的管理主体设定。多主体参与和协作日益体现在各类互联网情境下的社会活动中，与之相应的信息活动涉及多方的利益相关者，即使是用户所形成的互联网信息，也往往同社群、社会组织机构、服务提供商等产生信息权利关联，因而协作被视作推进互联网信息管理有序化和分解互联网信息管理复杂性的必要途径。这在当前的政策法规中亦有一定体现。例如，监管机构、平台、用户等均有不同程度的提及。然而，目前相关政策法规没有充分提供管理主体协作的规范框架。

一方面，在偏重于部分主体权责的同时，部分主体的职责与权益没有得到充分说明。相比于政策法规对平台的权利和义务几乎均有规定，其对用户和第三方机构的规范十分有限，相关政策文本较少。关于用户，在形成环节有部分规定，在其他环节均少有规定，即目前的政策法规没有明确用户如何进行信息管理；关于第三方机构，仅在收集、利用和保护环节有少量提及，并且在提及处也是以平台为管理主体。监管机构和平台固然是信息管理中的重要主体，但用户是信息的生产者和所有者，其和第三方机构无论是对政策的制定，还是信息管理的实施，都具有重要意义。

另一方面，政策法规的主体职责内容难以显示是在协作框架下制定的。协作框架下的主体职责往往表达为多方主体在权利以及义务上的协同、平衡以及妥协。然而，现有相关规定在侧重规范平台的同时，忽视了在协同角度下平台与用户间的权利如何实现及相互让渡。例如，对互联网信息的所有权、管理权、利用权规定甚少的情况下，平台方面如何配合用户对信息的处置、迁移、长久保存以及信息利用的主导等更难得到说明。

第二，有待拓展范畴的多元信息对象界定。随着互联网成为社会活动的重要空间，隐私视角下的用户信息保护已不足以保障用户以及其他信息利益相关者的权益与规范行为，用户在互联网空间中开展活动所形成的信息均有合规管理的必要性。尽管现有政策法规中部分内容显示了对应的管理趋势，但尚不深入或是未在更多的政策法规中得到体现。

一方面，现有法律法规对于除用户信息外的其他类型信息，即资产信息、内容信息和信息行为记录缺乏明确的概念界定与具体规范。由于用户在使用网络的过程中形成的信息类型多样化趋势日趋明显，若缺失对其他类型信息的管理，易导致信息管理的完整度不足。据统计，目前共有7 份政策法规文件对用户信息涵盖的内容作出明确界定，且有1 部的效力层级为法律。与之相对，当前政策法规暂未对内容信息、资产信息和信息行为记录进行定义，资产信息仅见于《文化部关于规范网络游戏运营加强事中事后监管工作的通知》提到的娱乐游戏中的虚拟货币与《大数据白皮书（2019）》提及的金融支付类数据。

另一方面，即便是只关注隐私和安全视角下的用户信息，现有规范依旧不甚完备。根据《中华人民共和国网络安全法》，用户信息指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人用户身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、用户生物识别信息、住址、电话号码等。随着大数据的广泛运用，能够与其他信息结合识别自然人身份的信息外延得到了极大拓展，除规定中提到的传统意义上的用户信息，点赞、收藏、购买等用户信息行为记录以及发布的内容信息等相结合，经计算分析亦能勾勒用户画像，识别用户身份。

第三，尚待融合信息管理专业内涵的环节规范。尽管部分政策法规对于如何管理信息有一定说明，但对管理出优质、可信、可用的信息，规避失存、失真、失效的风险存有不足。

整体而言，我国的政策法规对本文所列的信息管理环节都有涉及，但尚无特定的政策法规文件涵盖了本文所列的全部信息管理环节，且即使部分环节得到规定，也存在规定的科学性问题。由于所有的政策文本都只对部分的信息管理环节有所涉及，这使得政策法规中对不同信息管理环节的规定也各有侧重。从文本解析的情况来看，当前的政策法规对信息保护、信息处置和信息收集的规定较为充分，而对信息利用、信息修改和信息存储的规定则略显单薄。例如，政策法规对信息存储部分的规定多集中于存储期限，而对存储对象、存储方式等同样重要的方面明显规范不足。再如，平台服务中止或终止后的信息处理、信息长久保存涉及的元数据方案、迁移、移交、数据导出等具体要求没有明确提及与规定。

四、面向互联网信息管理的政策法规体系优化展望

基于上述针对现有政策法规对互联网信息管理规定的总体分析，政策法规应补足之处得到明晰。一方面，政策法规有待整体建构以形成更全面、一致、深入的规则体系。这需要：（1）进一步对接我国所倡导的网络空间治理与网络命运共同体内含的服务网络空间建设者与使用者的要义，即政策法规赋予多元主体尤其是基数最为广泛的用户网民管理权责为扩充导向，调研其管理需求与应有职责，同其他利益相关者如平台相协调并细化于互联网信息的全生命周期管理活动中，为政策法规的整体建设提供方向与依据。（2）强化统一框架与贯通体系，深化治理理念与方法，以跨平台、跨情境、跨主体、跨形式、跨内容为前提完善政策法规的内容以提高兼容性与互补性。例如，术语和管理原则的统一。

另一方面，提升政策法规的信息管理内涵与专业度：（1）从信息传播规定中碎片化的信息活动规范延伸向信息管理为显性模块的内容建设，这将要求政策法规不仅要从网络主体在网络空间中的规范活动明晰部分信息管理的规范，而且直接从信息管理的视角规定针对什么样的信息，谁有着怎样的管理活动与具体要求。（2）互联网信息管理的专业要求从主体、对象、环节上提出具体规范，需要进一步理解互联网信息管理在对象与主体上的复杂性，在设计管理规则时面向多元信息范畴融合多方视角，落实于完整的信息管理流程中。

两个方面的优化空间如何实现于更加完备的政策法规体系，以支持与指导优质的互联网信息管理，以推进网络空间有序治理，本质上还是在于更加明确优化空间的具体内涵，即构建怎样的政策法规体系与如何构建的问题。换言之，到底怎样的信息管理规则才更加成熟、系统，且反映于政策法规中？

第一，信息管理专业话语的强化。一方面，政策法规的制定主体与意见征询对象应将信息管理专业机构或群体纳入，这是从政策法规制定的起点至全流程充分认识信息管理的重要性与把握信息管理的科学合理性的关键对策。那么，信息管理的共同体如何能够得到关注、参加并拥有话语权是要继续探寻的问题，这在现实中就落在图书馆、档案馆、信息机构、高校或其他学术团体如何达成与网络监管部门的协作过程中。另一方面，通过信息素养教育的普及以激发社会的信息管理意识，从政策法规的制定主体到适用对象都可以在信息管理的认知深化中相互确认信息管理的规范与需求。相比于信息管理共同体参与政策法规制定，信息素养教育达成社会认知并认可的目标是更大的议题，信息素养教育的内容与形式是什么，如何能够实现社会化范围的教育，依赖于怎样的策略，这些问题都呈现其中。

第二，由政策法规推进信息管理专业领域与时俱进的理论与方法升级，并转化到政策法规的内容中。前文的政策法规梳理与分析结果显示了政策法规没有充分覆盖多元的信息对象与管理主体，也没有完整提供管理活动的依据。这一问题也无法在当下的信息管理理论、方法以及具体实践获得完整的答案，这是由于互联网信息管理本身是一个尚在探索的议题，已有的信息管理理论、方法与实践经验并不全面适用。因而，对亟待参与政策制定的信息管理共同体而言，探寻相对系统的管理方案并在实践中修正是需要进一步投入之处。同时，明确哪些是已有共识或是可确认为必然的方法，从而可以在当下政策法规的优化中及时显示，这需要系统与同步的梳理，而尚待进一步明确之处也应得到梳理并从政策法规的内容中留存空间，这些均是后续研究与实践的方向。