云计算、大数据等技术的兴起开启了人类信息化生活的新时代并深刻地改变着全球经济生态。与此同时,网络安全风险也成为21世纪各国所面临的最严峻的经济与国家安全挑战之一。近期的“棱镜门”事件暴露出我国网络信息安全的脆弱,巨大的风险迫切地要求我国重新思索网络信息安全战略,在充分利用新技术以提升经济效率的同时确保网络信息安全、公民权利以及国家安全。基于此,本文试图剖析“棱镜门”事件背后我国网络信息安全面临的挑战,旨在从法治的角度构建我国网络信息安全战略。
1 “棱镜”折射下我国网络信息安全面临的巨大挑战
1. 1 对新兴科技的滥用加剧网络安全的脆弱性
美国著名技术史专家M.Kranzberg曾深刻地指出:“科技本身既不好也不坏,甚至不是中立的。科技进步往往对环境、社会以及人产生超越科技设备及技术本身直接。科技本目的的影响,这正是科技与社会生态的互动” 身不会对网络安全造成威胁,对科技的滥用才是网络安全风险的根源。“棱镜门”事件中,无论是美国政府,还是涉事的几大网络巨头,无一不利用了新技术的跨地域性、隐秘性、造成破坏的规模性及不确定性,加剧了全球网络安全的脆弱性。了解新技术对我国网络安全的影响,是构筑我国网络安全战略的必要前提。
1.1.1“云”技术放大了数据风险“云计算”指远程数字信息存储技术,该技术允许用户从接入到互联网的任意互联设备接触其文件。云计算技术如同双刃剑,在用户运用该技术便捷地进行数据共享、备份的同时,也为新的技术风险与社会冲突开启了方便之门。
首先,云计算服务商可能基于监管套利“合法地侵害”我国用户的个人隐私和安全。监管套利指互联网环境下,某些跨国企业通过选择适用自身偏好的法律以规避对己不利的监管。云计算的服务器可能位于不同国家,而不同国家对数据安全义务的界定、数据丢失责任、隐私保护、数据的公开政策等均存在不同规定,监管法律的差异为云服务商提供了套利空间。例如卷入“棱镜门”的谷歌公司,虽然向我国用户提供网络服务,其服务器却位于美国加州。其提供的谷歌云端硬盘(GoogleDrive)服务要求用户同意谷歌可“依据谷歌的隐私政策使用其数据”,但谷歌有权随时改变其隐私政策。在谷歌最新的隐私政策中规定:“如果我们确信:为了满足适用法律、法规、法律程序的要求或强制性的政府要求的目的而有必要访问、使用、保留或披露相关信息,我们就会与Google以外的公司、组织和个人分享用户个人信息。”据此,谷歌有权也有义务遵守服务器所在地的美国国家安全局的要求,向其提供用户储存的数据。作为互联网用户无可避免的传输和储存信息的数字中介,云计算服务商向美国政府披露用户信息在美国虽属“合法”,却严重地损害了他国用户的个人信息隐私和安全,甚至可能影响他国国家安全。
其次,云计算“数据所有人与控制人分离”的模式增加了对网络信息在物理上监管和追责的难度。在传统模式下,数据存放在本地技术设施中,数据在逻辑上、物理上是可控的,因此风险也是可控的。在云计算模式下,由于用户的数据不是存储在本地计算机上,而是在防火墙之外的远程服务器集中储存,传统的、借助机器或网络物理边界来保障信息安全的方式已经无法发挥作用。发生信息安全事件时,日志纪录可能分散在位于不同国家的多台主机和数据中心,因此即使是同一个云服务商部署的应用程序和托管服务,也可能难以追查纪录,这无疑增加了取证和数据保密的难度。
1.1.2大数据技术动摇数据保护的基本原则大数据指各类组织依托海量数据、更快的电脑以及新式分析技巧以挖掘隐藏的极有价值的关联性、更为强大的数据挖掘方式。“棱镜门”牵涉的所有互联网巨头,包括谷歌、微软、脸谱、雅虎等均以不同形式运用了大数据技术,并将数据作为其主要资产以及价值创造来源。
首先,大数据可能动摇数据保护规制的基石。欧盟的数据保护指令、欧盟通用数据保护条例草案,以及世界其他国家的数据保护法大多依赖于“透明度”和“同意”的要求以确保用户能够在知情的基础上分享个人信息。然而大数据的性质就在于通过数据挖掘与分析寻找意料之外的联系以及制造难以预测的结果,不仅用户对于其同意的对象和目的缺乏认知,甚至运用数据挖掘技术的公司自身也无法事先得知通过大数据技术将发现什么,因此也就很难实现实质意义上的“同意”。
其次,大数据技术带来的巨大商业利润可能诱使服务商漠视用户隐私,进而威胁数据安全。在互联网背景下,一方面众多网络信息媒介有机会接触用户的大数据,而大数据技术使这些信息媒介能够以极低的成本轻易地获取和处理这些信息;另一方面,大数据能够产生惊人的商业利润:据McKinsey咨询集团的报告,大数据每年能为美国的健康行业贡献3000亿美元的价值,为欧洲的公共管理行业贡献2500亿欧元。因此,那些有机会接触客户庞大数据的网络媒介有足够的激励,以用户无法想象,并且常常是无法察觉的方式利用其客户的大数据。越来越多的商业组织开始将转卖搜集的数据视为潜在的商业机会,并且开始从中获利。大型金融机构开始将与其客户支付卡相关的数据进行市场推广(例如,常消费的店铺及购买商品)。在荷兰,一家GPS定位服务提供商将其用户移动的地理编码出售给政府机构,包括警察服务,而这些数据原本用以规划自动变速雷达陷阱的优化安装。在面临巨大利润诱惑并且无人知晓、无人监管的情况下,信息媒介对信息的利用容易偏离初衷,将用户信息置于巨大的风险中。
1. 2 我国网络信息安全市场信息不对称导致市场失灵
披露网络安全风险的成本、技术障碍以及我国网络信息安全立法的缺失决定我国网络信息安全市场存在信息不对称。由于缺乏真实反映网络安全风险的信息,产业将无法准确决定需要供给多少网络安全产品,这一市场失灵导致网络信息安全风险的必然性。
1.2.1披露网络安全风险的技术障碍及成本决定网络信息安全市场的信息天然不足网络信息安全风险自身的无形性、复杂性、动态性特征决定了网络安全风险的相关信息存在先天不足。同时,由于公布网络安全风险事件可能损害市场份额、声誉以及客户群,私人企业往往缺乏激励披露网络安全风险事件。有研究显示每公开披露一个安全漏洞,经销商的股价平均下跌0.6%左右,这相当于每披露一次漏洞,就丧失大约8.6亿美元的市值。网络安全风险的信息不对称并不意味着社会没有对网络安全上进行投资或投资过度,相反,它意味着“没有以理想的比例投资正确的防范措施”。由于缺乏对威胁及防范正确的认识,用户和企业倾向于投资万金油式的解决方法。同时,安全企业也不会具有足够的压力将新科技带入市场,以抵御实质性的威胁。
1.2.2我国网络信息安全立法的缺位加剧了市场失灵在公民网络信息安全方面,我国尚未颁布专门的法律。2009年我国在刑法中设立侵犯公民个人信息罪,然而该条款的适用对象仅限于“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,无法涵盖网络空间处理公民个人信息的网络服务提供商。同时该条款由于追责情形不清、缺乏明晰的处罚标准,被批评为“可操作性,欠佳”目前鲜见因该条款被追责的案例。现有网络安全立法散见于效力层级较低的行政法规、部门规章及地方政府规章,或是仅针对特定行业或特定信息对象,适用面狭窄。因此,即使“棱镜门”披露某些企业涉嫌侵犯我国公民网络信息安全,我国网络信息安全立法缺位的现状决定了此类事件在现阶段处于“无法可依、无责可追”的尴尬局面。在立法缺乏规制的情况下,企业并无确保网络安全及披露网络泄露事件的法定义务,对数据泄露事件的公布反而可能引来监管机构更多的关注,从而增加企业,乃至整个行业的运作成本。这决定了企业缺乏动机进行信息安全风险披露,加剧了信息不对称。
1. 3 网络军事化趋势引发网络信息安全风险升级
依据军事革命理论(RevolutioninMilitaryAffairs),新科技和相关组织架构的创新运用将引发战争性质的变化。随着数字网络关键基础设施的依赖性日渐增强以及相较于传统武器的低成本,军事战场开始从传统的水、陆、空转向网络空间,网络战工具被视为是军事革命的自然演进。Clarke在其《网络战》一书中将网络战定义为“国家为了造成损害或干扰的目的,侵入另一国电脑或网络的行为” 局在互联网上对包括中国在内的多个国家10类主要信息进行监听,该事件正是网络战的真实案例并已经实质性地威胁到全球网络环境的信息安全。不仅如此,我国网络频频遭受来自于海外的信息监控及网络攻击。据中国国家互联网应急中心数据显示,2012年的抽样监测发现,境外约有7.3万个木马或僵尸网络控制服务器控制我国境内1419.7万余台主机,其中位于美国的12891个控制服务器(占境外控制服务器的17.6%)控制我国境内1051.2万余台主机(占受境外控制的境内主机的74.0%),控制服务器数量和所控制的我国境内主机数量均居首位。这些事件并不是孤立的,背后是某些国家利用网络技术对中国、欧洲乃至全球信息霸权独享和控制的体现。网络战对信息安全的破坏存在如下特征。
1.3.1网络战具有不可预测性和不可控性指网络战对他国可能带来的破坏规模无法事先预测,其事后的衍生效应可能无法控制。信息系统在结构和互联设置上任何微小的改动都可能导致截然不同的系统行为,针对某一系统的网络攻击既由系统操作人的行为和该特定系统的性质所驱动,也可能由网络武器自身的特征所影响。网络武器相对小而隐蔽的特征使攻击对象难以察觉,无法作出及时的反应,进一步加剧了网络战后果的不可预测性。在2007年,爱沙尼亚整个国家的网络由于黑客攻击陷入瘫痪。具有政治动机的黑客通过制造数据过载,在长达10小时的时间里,迫使系统每6秒下载相当于整个WindowsXP操作系统规模的数据,致使整个国家的网络陷入瘫痪。爱沙尼亚最大的银行在此过程中损失超过100万美元,爱沙尼亚议会成员持续四天无法登录电子邮件系统。
1.3.2针对关键基础设施的网络战将导致对网络安全破坏强度的升级关键基础设施(CriticalInfrastructure)指一旦被摧毁或干扰,将对健康、安全、国家安全或公民的正常生活或政府的有效运作造成严重影响的、物理和信息的科技设施、网络、服务和财产。“棱镜”项目披露美国国家安全局曾入侵中国电讯公司以获取手机短信信息,并持续攻击清华大学的主干网络以及电讯公司Pacent香港总部的计算机,该公司拥有区内最庞大的海底光纤电缆网络。从该事件可知,网络安全风险已经从网上蔓延至网下,网络攻击的间接效果已经直接地威胁我国关键基础设施的安全。
1.3.3网络空间的军事化缺乏国际制约机制冷战期间各国订立了用以限制核武器制造的条约,以控制军备竞赛可能到来的潜在风险。然而目前各国尚未就互联网治理达成任何具有约束力的国际条约。如果互联网不受国家间条约框架的规制,将导致更加开放和不稳定的军事结构。国家间在网络空间的军备竞赛会威胁数字生态的稳定性,其造成破坏的规模和结果难以预料。
2构筑我国网络信息安全保护方略
“棱镜门”事件为我国网络信息安全敲响了警钟,从法治的视角积极构建我国网络信息安全保护方略不仅必要,而且迫切。在网络信息安全保护方略中,明确网络服务提供商的义务与责任是前提,完善网络用户救济权是核心;与此双管齐下的,是进行国际维权并推动国际谈判向利我方向发展。本文将从国内和国际两个视角分别思考。
2.1国内视角
构筑网络信息安全保护战略首先应体现在完善网络信息处理行为的规范和追责机制,矫正市场失灵,实现政策对确保网络安全和促进科技发展运用的最大效能。
2.1.1出台专门立法明确网络服务提供商的义务与责任
目前我国网络信息安全领域乱象丛生,很大程度在于现行法律缺乏对网络服务提供商在网络信息安全方面的法律义务和责任的规定,这意味着现实生活中的用户信息安全问题和信息安全纠纷解决常常依赖于网络服务供应商与用户之间的许可协议。网络服务商往往会利用自己的优势地位在服务协议中尽可能规避相关风险问题,不承诺对客户个人数据丢失、数据泄密及数据被破坏等行为承担法律责任,这无疑会侵害广大网络用户的信息安全。同时,在云计算、大数据等新生科技背景下,网络信息安全风险的跨地域性、隐秘性、造成破坏的规模性及不确定性等特点,客观上对我国信息网络安全立法提出了更高的要求。鉴于此,建议从以下几点明确网络服务提供商的法律义务与责任:
1)确立网络服务商持续的数据安全保护义务,即所有涉及数据处理的主体或组织都必须实施并保持合理、适当的安全流程及做法,以保护个人信息免受非法接入、丢失、破坏、使用、修改或披露的侵害。由于技术的快速革新,网络风险的来源与形式不断地发生调整,这就决定了数据安全保护义务不是一劳永逸的,而是持续的过程。具体而言,“合理、适当的安全措施”要求公司采取持续的、不间断的过程以定期评估风险、识别风险并针对风险采取适当的安全措施、监控并验证安全措施的有效实施,并确保会根据科技的发展持续地调整、更新。具体采取的安全措施应当由公司自行决定。
2)确立数据泄密的警示义务以确保用户的知情权。由于网络安全风险的无形性、即时性以及连带性,用户可能在发生了严重的犯罪结果后才得知信息外泄、丢失事件。为此,为了防止信息泄密导致用户更加严重的衍生后果,必须明确网络服务商对数据泄密的公示义务,即要求所有处理敏感个人信息的企业及机构在此类信息发生泄密事件后,必须在一定时限内向受影响的用户发出通知及警示。这里需要注意的是,该义务需要明确敏感信息的范围,包括但不限于:身份证号码,金融机构账户或信用卡号码等;而通知的方式应以电子方式或有全国影响力的传统媒体方式实现,以确保通知的覆盖面及即时性;而通知的情形应为个人用户数据的丢失、修改、破坏或者未经许可的接入的情形。
3)明确网络服务商的责任。对于未履行数据保护义务的网络服务商,应承担不同层次的责任,包括由主管部门发出违规通报、责令改正、行政罚款、撤销经营资格等行政处罚;同时个人数据受损的用户有权向网络服务提供商提出民事损害赔偿;刑法层面应将网络服务提供商纳入侵犯公民个人信息罪的主体范围中,并明确“情节严重”的具体认定标准。
4)建议引入欧盟的“长臂”条款约束跨境信息流动。“长臂条款”系欧盟特有的数据保护原则,该原则通过约束位于欧盟以外的数据处理人以及跨国公司集团内部的跨境数据转移,尤其是云计算背景下的第三国数据处理人,旨在确保向欧盟以外传输的欧盟公民个人数据能够获得与欧盟内类似的保护水平,因此具有跨域适用的“长臂效应”。该原则主要过3种机制以实现对欧盟境外主体的约束:①国家保护水平评估机制,即欧盟有权评估第三国是否就数据安全提供了足够水平的保护。如果经评估,第三国未能提供充分的保护水平,欧盟将禁止向该第三国传输个人数据并将与第三国协商。②约束性公司规则(BindingCorporateRules,BCR),指约束向公司集团设立于未提供充分保护水平国家的组织进行个人数据转移的公司内部政策(包括与数据安全、质量、透明度有关的隐私原则,有效性的工具,如审计、培训、投诉处理制度等,以及证明BCR具有约束力的要素)。草案规定跨国企业可以通过制定符合草案要求的BCR,并将BCR提交主要数据保护监管机构审批来履行充分保护义务。③标准数据保护条款或经许可的合同条款,指除了BCR,跨国企业也可以通过适用欧盟采纳的标准数据保护条款来履行足够保护义务。如果需要适用自行商议的合同条款,则该条款需要获得监管机构的事先许可。云计算技术使一国数据可能在他国存储或被处理,网络风险为此可以摆脱时间和地点的限制,风险的来源地和结果地可能完全分离,这为我国监管机构在网络安全监管、取证及追责带来许多困难。有鉴于新技术发展的实际需要,建议引入欧盟的“长臂”条款,明确我国网络安全的法律适用于我国以外建立的公司或组织,如果这些主体对我国用户信息进行处理或者提供外包服务。具体的约束机制包括对其在国内的经营实体进行监管,如未在我国设立经营实体,要求本国企业与其通过合同形式履行我国网络安全保护的义务。
2.1.2以救济权为核心完善网络用户的权利保障机制无救济,则无权利,面临网络空间愈演愈烈的安全风险,完善用户的“救济权”是当务之急。
1)确立保护用户的举证责任。在网络服务关系中,一旦用户选择了某一服务提供商,该服务提供商就获得了用户数据的控制权,可以通过检查用户纪录,掌握客户的商业秘密和个人隐私信息,用户在技术、信息获取、谈判用户处于相对弱势地位。为此,为了防止网络服务商滥用其在网络服务关系中的优势地位,也考虑到个人用户网络取证的难度,对于网络泄密造成的用户损失,应规定主要由网络服务商承担履行数据安全保护相关义务的举证责任。
2)确立“一站式”的主管机构。网络信息安全牵涉到个人隐私、商业秩序、电信设施安全、金融安全、公共安全及国家安全等社会管理的多个环节,各个环节的主管部门都涉及到部分网络监管的职能,然而各自为政、多头管理的体系增加了企业合规的不确定性和成本,也增大了公民维权的难度。建议设立涵盖所有行业的网络信息安全主管机构,考虑到网络安全的战略意义,该主管机构应直属于国务院,负责制定网络信息安全方面的政策战略,监管全行业的网络安全合规情况并具有相应的行政执法权,通过整合协调各个机构与网络信息安全相关的职能,作为受理用户与网络信息安全相关的投诉事件的接待门户,便利用低户成本、高效率、一站式解决网络安全方面的纠纷。
3)提供多层次的救济程序。除了传统的司法程序,针对网络数据保护纠纷涉及面广、技术性强、时效性要求高的特点,建议引入调解、仲裁程序,在网络主管机构下设专门处理个人信息纠纷的仲裁委员会,仲裁委员会由监管政府官员、网络安全技术人员、消费者代表、互联网服务商代表、学者等组成,在给定期限内由仲裁委员会提出调解方案供各方参考,如果各方接受,则作为具有约束力的文件履行;如果无法被接受,则进入司法程序。另外,数据泄密涉及者众,而互联网行业作为新兴行业进行旷日持久的独立诉讼也会造成巨大成本,建议规定数据保护集团诉讼/仲裁的程序,明确诉讼与仲裁之间的效力与程序衔接问题,引导通过集团诉讼或仲裁快速、简便地解决纠纷。
2.2国际视角
构筑我国网络信息安全保护方略不仅体现在国内立法与执法体系的完善上,也应体现在影响网络安全国际标准未来谈判和国际合作走向上。
在网络安全已经成为国际社会面临的共同挑战的今天,防范网络安全风险已不可能完全在封闭的国内法体系中实现,而必须置于国际法框架内予以合作和解决。许多情形下,网络安全问题已经不再是一个国家的司法内政问题,而是涉及到多个国家的司法问题,尤其是在类似于“棱镜门”这样影响范围广、涉及多国当事人的信息外泄事件,必然涉及到跨国取证、协调纠纷管辖以及明确法律适用等现实难题。目前许多国际组织,包括联合国、经合组织、亚太经合组织、欧盟、北约、八国集团、国际电信联盟(ITU)以及国际标准组织(ISO)都在解决信息和通讯基础建设的问题。一些新成立的组织开始考虑制定网络安全政策与标准,现有组织也积极地希望将职能拓展到这一领域。这些组织的协议、标准或做法将对全球产生影响。同时“棱镜门”事件后,各国纷纷对现有网络安全战略进行调整,可以预见今后几年将是推动网络安全国际合作框架建立的关键期。作为最主要的网络安全受害国与最大的发展中国家,一方面我国应进行相关研究,系统掌握各国网络安全战略的特征和动向,尤其是某些国家侵害他国公民网络信息安全的证据,为我国在国际阵地维权提供保障。另一方面中国有必要主动参与网络安全国际公约及标准的制定,充分表达本国合理的利益诉求,与各国紧密合作,借助各个国际舞台,积极争取我国在网络空间中的利益。
3结束语
网络信息科技如双刃剑,既可成为一国经济引擎的有力推手,亦可化身为控制全球信息的霸权利器。“棱镜门”披露的仅是中国面临网络信息安全风险的冰山一角。有鉴于此,深入探究网络信息安全风险的根源,构筑既符合中国产业发展、又符合中国安全利益的国家网络安全战略,乃当务之急。当此之时,我国网络信息安全战略的思路是:一方面构建以明确网络服务提供商的义务与责任为前提,完善网络用户救济权为核心的国内立法和救济体系,以矫正市场失灵,实现政策对确保网络安全和促进科技发展运用的最大效能;另一方面是进行国际维权并推动国际谈判向利我方向发展,以维护我国在网络空间中的利益。唯有紧紧围绕掣肘我国网络信息安全的枷锁与症结,方可在解围之余,防患于未然。
作者简介: 李晶,女,1982 年生,博士生。研究方向: 科技法与知识产权法。