二、网络空间是维护国家主权的新领域
自1648年威斯特伐利亚体系首次确立了以主权为基础的国际关系准则以来,国家主权这一民族国家的标志正式步入国际关系舞台中央,在此后长达几百年的时间里始终是国家之间宣示存在、主张权属的原则所系,同时也是各主权国家之间高频冲突、极力维护的关键所在。[7]维护国家主权和领土完整,是被誉为国际法基石的《联合国宪章》所确立的国家间的一项重要国际法原则。互联网络时代,四通八达且如同巨浪般涌来的信息让人类生活、工作与思维均发生了巨大的变革。网络空间具有虚拟性和无边界性,却亟须公正合理的国际治理规则。2013年,联合国信息安全政府专家组达成一份重要文件,确认《联合国宪章》及其他国际法规范和原则适用于国家在网络空间的活动。[8]“领网权”作为国家主权的第四维空间,将与领土权、领空权、领海权并列成为国际法框架下国家主权的重要组成部分。
(一)国家主权的理论与挑战
国家主权是一个国家独立自主地处理对内对外事务的最高权力,是国家的固有属性。国家无论大小强弱,都有自己的主权。没有主权的行为体,不能称之为国家。国家主权最早出现在法国政治思想家、法学家博丹于1577年所著的《论共和国》中,我国学者王沪宁在其《国家主权》一书中,将博丹所提出的主权概念分为四项基本属性。第一,主权是一种绝对的权力。它至高无上,可以任意处理财物、生命和整个国家。第二,主权不受限制。是一切权力的最高归属。第三,主权是永恒的权力。主权以一个国家的存在为基础,无论政治制度和掌权人数如何,主权作为一种自在之物总是存在的。第四,主权是高于法律的权力。其最主要的特征是立法权和废法权,在此前提下,主权自然决定宣战、媾和、任命重要官职、赦免、征税、制币等具体权力。[9]
与博丹所主张的主权权威对内属性不同,格劳秀斯则进一步指出主权的对外属性,他认为国家主权应以万民法为基础,强调主权的至高无上性和地位平等性。格劳秀斯从最高统治权的角度出发,对国家主权范围内的权力进行概括,有决定战争与和平问题、缔结国际条约、征收捐税、颁布法律、司法、任命公职人员等,并对主权合法性与合理性进行论证,第一次提出国家主权的限制问题。卢梭则沿用了博丹所强调国家主权的对内权威及绝对性,自此,展开了国家主权三位一体的经典模式,即“自然法—社会契约—人民主权”,并在此基础上不断发展。经过几个世纪的不断强化发展,国家主权的观念更加丰富,对外含义更加明确,一系列主权独立的国家纷纷崛起。[10]
法律是政治的一部分,法律的最主要原则是法治,而法治的精髓则是法律面前的平等。[11]国际法整体上是主权者共存的结果。[12]《联合国宪章》(以下简称《宪章》)第二条规定:(1)各会员国主权平等的原则;(2)各会员国应忠实履行宪章义务的原则;(3)各会员国应以和平方法解决其争端的原则;(4)各会员国不得以武力相威胁或使用武力的原则;(5)各会员国对联合国依宪章采取的任何行动,应尽力给予一切协助的集体协助原则;(6)在维护国际和平与安全的必要范围内,应确保非会员国遵守上述原则;(7)不得干涉在本质上属于任何国家国内管辖事项的原则。上述联合国及其会员国应予遵循的七项原则,是以国家主权原则为出发点的。
《宪章》第一章第一条第二款规定:“发展国际间以尊重人民平等权利及自决原则为根据之友好关系,并采取其他适当办法,以增强普遍和平。”这也是联合国的宗旨之一。第二条第一款规定:“本组织系基于各会员国主权平等之原则。”这是联合国及其会员国应遵行的首要原则。第二条第四款规定:“各会员国在其国际关系上不得使用威胁或武力,或以与联合国宗旨不符之任何其他方法,侵害任何会员国或国家之领土完整或政治独立。”第七十八条规定:“联合国会员国间之关系,应基于尊重主权平等之原则。”这是贯穿联合国宪章,保障联合国各会员国权益的基本原则。同时,国际组织的长期观察员们公认,联合国的角色是为全球性计划提供集体合法性,且这些全球性计划是由其成员国推动的。[13]1970年,联合国大会通过的《国际法原则宣言》,进一步对国家主权平等原则进行了解释和明确,进一步提高了国家主权原则的首要地位及处理国际关系的作用。周恩来总理于1953年12月底在会见来访的印度代表团时提出了“和平共处五项原则”,其中“互相尊重主权和领土完整、互不侵犯、互不干涉内政”已经成为中国奉行独立自主和平外交政策的基础和完整体现,被世界上绝大多数国家接受,成为规范国际关系的国际法基本准则,至今依然有着强大的生命力。
然而,在过去20多年时间内,信息技术的突飞猛进推动了全球互联网的迅速发展,网络空间作为陆地、海洋、空气空间和外层空间之外的“第五空间”开始形成。[14]互联网的飞速发展不仅对人们的生活产生了巨大的影响,同时也成为世界全球化的主要推动力量。然而从另一个方面来看,世界各国对于互联网依赖的日益加深,也就意味着一旦这些支撑着国家运转的网络系统遭到侵入或破坏,便可能会导致难以估量的损失,甚至会出现等同于战争危害的破坏性后果。网络安全关乎国家安全,同时也关乎个人隐私及信息安全。但是迄今为止,涉及网络安全的问题在现存国际法体系中仍然没有得到明确的规范和解释。[15]虽然许多技术专家希望网络空间能成为脱离政府的“自由王国”,可事实上,网络空间联系着现实世界,不可能成为脱离主权管辖的法外之地。[16]从2010年中国政府正式提出“互联网是国家重要基础设施,中国境内的互联网属于中国主权管辖范围,中国互联网主权应受尊重和维护”[17]到2013年联合国信息安全政府专家组报告明确提出:“国家主权和由国家主权衍生出来的国际准则与原则,适用于国家开展的信息通信技术相关活动,也适用于各国对本国领土上信息通信技术基础设施的司法管辖”[18]再到2013年3月,北约卓越合作网络防御中心(Cooperative Cyber Defence Centre of Excellence, NATO CCD COE)组织相关领域专家历经4年编纂出版的被称为“第一部网络战争规范法典”的《塔林手册》(Tallinn Manual,全称《塔林网络战国际法手册》)提出的“网络空间不需要新规则,现有国际法适用于网络空间”,这些观点均阐明和证实了一个全新的互联网国际法问题:网络空间这块“新疆域”不是“法外之地”,同样要讲法治,同样要维护国家主权、安全、发展利益并需要一项全新的国家主权观念。
(二)网络空间主权存在的意义与正当性
在互联网技术和信息技术高速发展的今天,“网络空间主权”已经不仅仅是概念上的创新,而是网络化、信息化、全球化时代发展的客观必然,而且“网络空间主权”也已经逐渐呈现出了主导或者占据网络虚拟空间政治主流话语体系的趋势。[19]事实上,“网络主权”是中国在互联网时代,最先提出并坚持倡导的创新型国家主权观。2010年6月中国国务院新闻办发布的《中国互联网状况》白皮书指出,“互联网是国家重要基础设施,中华人民共和国境内的互联网属于中国主权管辖范围,中国的互联网主权应受到尊重和维护。”中国提出“互联网主权”这一概念之后,美国学者克里斯于2012年才撰文提出“网络主权”(Cyberspace Sovereignty),他主张网络空间是一个独立的空间,可以帮助国家领导人确立网络空间的主权意识。[20]
当前,如果看不到网络虚拟空间国家主权具有存在的客观性,那么就等于放任网络空间自由主义、无政府主义,以及网络虚拟力量(能量)无序发展,一旦网络空间负面的虚拟力量寻求到现实的突破口和发泄渠道,就会迅速造成社会动荡,发展成为社会运动或者政治运动,甚至发生革命战争,导致社会秩序失衡,威胁乃至颠覆现有政权。[21]另外,从现实的国际政治实践和政治博弈来看,任何一个主权国家都不会因为网络虚拟空间无界性的存在而放弃维护和捍卫自己国家的主权;而在网络空间技术迅猛发展及经济全球化汹汹浪潮推进的背景下,任何一项网络空间技术和信息技术也都不会顾忌主权国家的安全而停滞,甚至连放缓技术创新的步伐都是不可能的,也是不实际的。[22]因此,当前世界各主权国家或者说国家社会分而治之的现实条件下,网络虚拟主权是存在的,而且它理应成为现代国家主权的一个重要组成部分,理应是“在网络环境下的国家主权的自然延伸”。[23]
2015年12月16日,以“互联互通、共享共治——构建网络空间命运共同体”为主题的第二届世界互联网大会在中国浙江乌镇开幕,中共中央总书记、中国国家主席习近平亲临大会开幕式并发表重要讲话,他向全世界发出了共同构建网络空间命运共同体的声音并提出推进“全球互联网治理体系的四项原则”(以下简称“四项原则”):尊重网络主权,维护和平安全,促进开放合作,构建良好秩序。其中“尊重网络主权原则”完全根植于《宪章》和国际法理的基本准则,亦是“和平共处五项原则”在国际网络空间的延续与发展,主要表现为三个方面:一是对内的最高权,各国有权自主选择网络发展道路、网络管理模式、互联网公共政策;二是对外的独立权,各国有平等参与国际网络空间治理的权利;三是防止危害国家的网络安全,不搞网络霸权,不干涉他国内政,不从事、不纵容、不支持危害他国国家安全的网络活动。”四项原则”的提出符合互联网时代各国共同构建网络空间命运共同体的价值取向,也反映了互联网时代“安全与发展”为一体双翼的主潮流,将逐步被世界上绝大多数国家接受,是规范国际网络空间关系的重要准则,必将成为治理全球互联网秩序和规范国际网络空间关系的国际法准则。
(三)《塔林手册》透视出的网络空间主权
《塔林手册》是以西方国家为主,由北约(NATO)卓越合作网络防御中心(CCD COE)发起编写的一个关于网络空间国际法规则的手册,目前已经出了两版。1.0版于2013年完成出版,2.0版在2017年2月刚刚由剑桥大学出版社首发。《塔林手册》1.0版本的关注重点在于那些有违在国际关系中使用武力之禁令的严重网络行为,包括各国有权就此行使自卫权及处理武装冲突所引发的后续事态。《塔林手册》2.0版本则增加了相关法律分析条款,其主要涵盖各国时常经历的低于使用武力或武装冲突阈值的常见性网络事件。在网络国际法适用问题上,《塔林手册》的基本立场是现行法(Lexlata)完全可以适用于网络战争,无须就此问题诉诸应然法(Lexferenda)或创造新的法律。[24]学者朱莉欣在对《塔林手册》的网络主权观评介中指出,《塔林手册》第一条即是“国家主权”原则,规定“一国可对本国领土范围内的网络基础设施和网络活动施加管制”。在这个基础上,第二条规定“一国对其领土内参与网络活动的个人、位于其领土内的网络基础设施以及国际法规定的治外法权地”享有“管辖权”。“就基于领土的管辖而言,必须注意到尽管使用者是在特定的物理方位使用信息和通信技术,但在计算机会话中移动设备的地点也会改变。例如,使用者可以用移动计算机设备(如平板电脑或智能手机)通过云计算服务进行几个数据库的查询或更新处理,查询或更新的同时,使用者也能移动到其他地点,所以使用者执行操作时所在的任何国家都具有管辖权。”与此同时,《塔林手册》构建了网络行为的国际法责任要件:(1)依据国际法国家应对该行为承担责任;(2)该行为违反了国家依法应承担的国际法律义务(不管是依据条约法,还是国际习惯法)。[18]
作为参与编写《塔林手册》2.0版本的中国国际法专家,武汉大学国际法研究所副所长黄志雄教授认为,2.0版本第一章即分析主权问题,作为我国网络主张基石的网络主权概念现在已经被国际上普遍接受,中国政府有关国家主权适用于网络空间的立场已经形成国际共识。但也要看到,2.0版本中关于网络主权的一些具体主张并非与我们完全一致。例如,西方专家认为主权涵盖了一国境内的网络基础设施、活动和活动者这三个方面,而我国大多数学者主张这个主权还应包括数据主权。需要引起警惕的是,《塔林手册》是以美国为首的北约为争夺网络战争规则的制定权所编撰出版的一部非北约官方文件,它的内容不但涉及单边主义倾向,而且显示的网络霸权主义也极为明显。
不过在2.0版本编纂过程中,编委会还专门在海牙组织了两次政府代表咨询会议,邀请了包括中国政府代表在内的50多个国家的代表,力求使学者的见解与政府的实践更好地结合。此外,超过50名来自不同国家的专家对各章的内容进行了匿名评审,以确保专业质量。国际专家组组成的变化亦表明《塔林手册》2.0版本的国际化程度有了一定提高。
对中国而言,作为主权国家本身是国际法的主体,也是国际立法的主体,中国需要培养一批网络空间国际法专业人才,积极参与和组织网络空间国际法的研究和国际立法合作,走出国际互联网规则的制定权以欧美为主导和中心的困境,提升我国在国际网络空间立法领域的话语权。
(四)网络空间主权原则与“领网权”
“维护网络空间主权”是我国《国家安全法》首次确立的网络空间主权原则,《国家安全法》第二十五条规定,加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。《网络安全法》继《国家安全法》之后再次明确这一原则,并从法律制度层面进步细化了“网络空间主权”在法律上的适用,具有重要意义。《网络安全法》第一条指出,“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。”第二条指出,“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。”第四条指出,“国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。”第五条指出,“国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。”以上规定集中体现了习主席在第二届世界互联网大会上代表中国政府提出的“全球互联网治理四项基本原则”中的“尊重网络主权原则”,也标志着我国网络主权法律制度的正式形成,为国际网络空间治理提供了宝贵的中国智慧。
随着维护网络空间主权原则的确立,在《联合国宪章》、《国际法原则宣言》以及“和平共处五项原则”的基础上,“领网权”的创立也有着充分的国际法与国内法的基础与依据。尽管网络空间具有虚拟性和跨国界的特征,但是网络基础设施和网络活动与真实世界不可分离,具有国家主权的法律属性。网络时代下,国家主权不仅不会因为受到网络空间的挑战而消亡,反而得到了进一步发展的机会。另外,从客观上讲,网络空间是由人创造的,其自身特点决定了其必然会存在诸多法律问题,而这些问题的解决需要国家介入,网络空间要想持续健康地发展离不开国家的规则和调整,这样一来,必然导致的一个结果就是国家主权向网络空间的客观延伸和网络主权概念的诞生。[25]本书作者拟文率先提出了“网络主权的国际法边界应当以‘领网权’界定”,认为“领网权”应当以各主权国家的领土范围为效力边界,涵盖国际法域外管辖情形,是以网络空间活动及网络基础设施为管辖内容,以管理和规制为目标的国家主权在网络空间的继承和延伸。“领网”的确立意味着国家能对网络空间进行一定程度的控制。其中,对内层面是指国家对一国网络基础设施和网络活动的管辖,通过行政、经济、法律手段维护网络秩序,保护网民合法权益,确保国家网络利益不受侵犯;对外层面主要是指国家对网络空间国际治理活动的参与,以及遭受他国政府或公民网络攻击时网络自卫权的行使。[26]
“领网”的效力范围
(五)国家网络安全监测预警和信息通报
《网络安全法》建立了维护国家网络安全的一系列基本制度,这些基本制度是防范重大风险所必需,亦是国家主权原则和“领网权”得以实现的重要保障。其中《网络安全法》第五十一条规定,“国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。”第五十二条规定,“负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。”另在第五十六条规定,“省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。”
作为全球网络技术最发达、信息化程度最高的国家,早在2004年,美国政府就设立了总统网络安全顾问,制定国家网络安全框架及国家网络空间安全战略。到奥巴马政府,美国网络安全政策已日趋全面和成熟,已从国内扩展到国际,从政策鼓励转变到立法保护,从被动应对发展到主动防御。2014年,美国政府机构宣布放弃对ICANN的管理权,目的是共同构建一个互联网的“多方共治”模式,但表示不会将ICANN的管理权移交给联合国,而是移交给一个所谓的“全球利益攸关体”。2014年12月,在美国国会与总统集中通过包括《国家网络安全保护法》在内的五项与网络安全相关的法案后,2002年的《国土安全法》得以更新,与关键基础设施有关的信息共享与事件响应被特别关注,2009年11月国土安全部成立的“国家网络安全和通信整合中心”(National Cybersecurity and Communications Integration Center, NCCIC)的职能、组成及其原则被进一步明确,学者袁春阳、杜跃进、周威在文章《美国政府国家网络应急响应计划及其借鉴意义》中详细论述了NCCIC的职能主要在于实时在联邦实体和非联邦实体之间共享有关网络安全风险、事件、分析和预警的信息,并指导NCCIC为公共和私营部门提供额外服务,例如技术协助、风险管理支持和事件响应能力,具体包括:作为一个多方位、跨部门的与网络安全隐患、事件、分析、警报相关信息共享的联邦民用通道;提供共享状态感知能力,确保跨联邦政府和非联邦实体的实时、联合行动,以应对网络安全风险和事件;协调跨联邦政府的网络安全风险和事件的信息共享;促进跨部门协调以应对网络安全风险和事件,包括网络安全风险和事件可能涉及或产生的跨部门影响;进行整合和分析,包括跨部门的一体化的网络安全风险和事件分析,并与联邦和非联邦实体共享分析结果;根据要求向联邦或非联邦实体的网络安全风险或事件提供及时技术协助、风险管理支持,以及事件响应能力,可能包括原因、缓解和补救措施;向联邦和非联邦实体提供安全和权宜措施的信息和建议,特别是包括促进信息安全、加强信息系统应对网络安全风险和事件的信息和建议。在中心组成方面,该法要求联邦机构、执法机构、情报机构人员,以及州和当地政府机构人员、信息共享与分析组织人员、关键信息系统的所有者或运营者人员、中心具体实施人员、跨部门协调人员等参加。[27]
国家网络安全监测预警和信息通报制度是网络安全管理中必不可少的一部分,是实现网络安全风险管理的重要手段。从某种程度上说,网络安全风险预警和信息通报制度就是根据对网络安全的监测与分析,找出在最大可能上避免网络安全风险发生的措施,并与其所产生的经济利益相平衡。换句话说,网络安全监测预警和信息通报制度是手段,而网络安全管理则是最终的目标。对网络安全风险实施监测管理,数据的提供和信息的披露尤为重要。为保证监测管理过程中监测者获得的数据的准确性和及时性,监测管理中需要标准的信息收集方法,这就需要通过法律规制来完成和实现。另外,网络安全管理所面对的事故具有时间上和范围上的不确定性,损害后果的严重性,社会危害的公共性等特点,在监测预警和信息通报制度的落实上要更加注意提高管理上的协同联动,重视网络安全风险评价的作用及相关信息的及时公开。
(六)国家网络安全风险评估和应急工作机制
2017年5月12日开始,“勒索病毒”攻击了100多个国家和地区的大量机构和个人的计算机。360公司统计发现,仅2017年5月12日和13日两天,国内出现了29000多个感染了该“勒索病毒”的IP,涉及教育科研单位、商业中心、医疗单位等,此事件提前检验了2017年6月1日将施行的《网络安全法》。中央网信办网络安全协调局负责人表示,“勒索病毒”事件发生后,公安、工信、教育、银行、网信等有关部门都立即作了部署。按照《网络安全法》的相关规定,中央网信办立即启动了网络安全事件应急预案,对“勒索病毒”进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布了与公众有关的警示信息。奇虎360、腾讯、安天、金山安全、安恒、远望等相关企业迅速开展研究,主动提供安全服务和防范工具。各相关媒体作了大量报道,对提高全社会的防范意识、遏制勒索软件发挥了重要作用。
《网络安全法》专门规定了网络安全的风险评估与应急处置机制,其中第五十三条规定,“国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。网络安全事件发生的风险增大时,省级以上人民政府有关部门应当按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,采取下列措施:(一)要求有关部门、机构和人员及时收集、报告有关信息,加强对网络安全风险的监测;(二)组织有关部门、机构和专业人员,对网络安全风险信息进行分析评估,预测事件发生的可能性、影响范围和危害程度;(三)向社会发布网络安全风险预警,发布避免、减轻危害的措施。”第五十五条规定,“发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。”第五十八条规定,“因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。”
2017年8月4日,中国互联网络信息中心(CNNIC)在京发布第40次《中国互联网络发展状况统计报告》(以下简称《报告》)。《报告》显示,截至2017年6月,中国网民规模达到7.51亿,占全球网民总数的五分之一。互联网普及率为54.3%,超过全球平均水平4.6个百分点。网民中使用手机上网的比例为96.3%,手机上网比例持续提升。移动支付用户规模达5.02亿,线下场景使用特点突出,4.63亿网民在线下消费时使用手机进行支付。网民在超市、便利店等线下实体店使用手机网上支付结算的习惯进一步加深,网民在线下购物时使用过手机网上支付结算的比例达到61.6%。公共服务类各细分领域应用用户规模均有所增长。其中,在线教育、网约出租车、网约专车或快车的用户规模分别达到1.44亿、2.78亿和2.17亿。在线教育市场迅速发展,人工智能技术驱动产业升级;网约车市场经历资本驱动的急速扩张阶段,进入规范化发展道路。我国已经成为全球网民人数最多,联网区域最广的网络大国,随着互联网应用越来越深入,网络安全问题也日益显得重要和急迫。
多年来,中国是遭受网络攻击和网络犯罪最严重的国家之一。仅2015年一年期间,中国网络安全事件就层出不穷。2015年1月5日,机锋科技旗下机锋论坛被曝出存在高危漏洞,多达2300万用户的信息遭遇安全威胁。这也成为2015年国内第一起网络信息泄露事件。2015年2月27日,江苏省公安厅发布《关于立即对全省海康威视监控设备进行全面清查和安全加固的通知》,称主营安防产品的海康威视生产的监控设备被曝严重的安全隐患,部分设备已被境外IP地址控制,并要求各地立即进行全面清查,开展安全加固,消除安全隐患。2015年4月22日,从补天漏洞响应平台获得的数据显示,围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个,涉及社保参保信息、财务、薪酬、房屋等敏感信息。2015年9月17日,网上消息曝光非官方下载的苹果开发环境Xcode中包含恶意代码,会自动向编译的APP应用注入信息窃取和远程控制功能。经确认,包括微信、网易云音乐、高德地图、滴滴出行、铁路12306,甚至一些银行的手机应用均受到影响。App Store上超过3000个应用被感染。2016年,中国仍然接二连三发生重大网络安全事件和通讯信息诈骗案件,让全社会倍感网络安全问题的严峻。2016年3月,全球有三分之二的网站服务器使用的开源加密工具OpenSSL曝出新的安全漏洞“水牢漏洞”,这一漏洞允许“黑客”攻击网站,并读取密码、信用卡账号、商业机密和金融数据等加密信息,对全球网站产生巨大的安全考验,中国十万余家网站受到影响。2016年,央视3·15曝光公共免费Wi-Fi可瞬间盗取用户隐私,包括地址、姓名、身份证号、银行卡号等个人信息面临泄露风险,被盗取的个人隐私信息如被不法分子利用,将对消费者造成巨大的人身财产损失。
面对这些重大的网络安全事件,网络安全风险评估和应急工作机制明确了应急处理过程中的行政紧急权力和法律救济机制。学者马民虎、贺晓娜在《网络信息安全应急机制的理论基础及法律保障》一文中认为,在网络安全应急工作机制中,政府是应急处置的组织者和指挥者。对于涉及国家安全或经济发展的网络安全紧急事件,必须由政府统一协调指挥,控制事态的进一步恶化,尽快恢复网络的正常运行和正常的社会生活秩序。首先,政府有控制一般网络安全事件演变为紧急或者危机事件的职责。在早期的计算机发展过程中,“应急”是单位保障计算机连续运营的重要举措。即使到现在,应急保障也是应用单位的工作重点。但是,在网络成为国家信息基础设施之后,网络安全应急已经成为国家整体安全战略的重要组成部分。互联互通中网络的一般性局部事件都可以快速演变为全局性的重大事件,国家和社会处于危机状态,政府对此负有快速应对的职责。其次,政府有能力控制紧急事件和尽快恢复正常的社会生活秩序。网络紧急状态的恶性发展,威胁着社会公共利益和国家安全。而采取的特殊对抗措施,必然要求储备关键技术设备和人、财、物的事前准备。只有政府才能有这样的实力,同时,政府掌握着大量的网络安全信息,可在关键时刻,保障国家基础设施的连续运营。[28]
为了应对紧急状态,临时剥夺某些公民、单位的私权益,可能将引发行政紧急权力与私权益之间的冲突,稍有不慎就可能影响国家命运和人民的根本利益,必须将其纳入法治轨道,同时强调事故处置能力的技术性和专业性并及时准确地将处理信息予以公开。值得注意的是,应急处置中的信息公开可以在一定程度上保护公民的合法权益,有利于突发网络安全事件的有效处理和解决,有利于社会稳定。网络安全风险评价中信息的公开及突发网络安全事件处理中信息的公开都可以使公众对网络安全事件的严重程度有明确的认识并自觉地采取措施,防止风险的发生。与此同时,学者建议根据紧急状态涉及范围的大小、影响程度的严重与否,对紧急状态的启动进行分级管理,对行使行政紧急权力的事件和具体程序进行严格的规定并确定私权保护的最低标准。
首先,应当明确“突发事件”概念,按照我国《突发事件应对法》的规定,突发事件是指突然发生,造成或者可能造成严重社会危害,需要采取应急处置措施予以应对的自然灾害、事故灾难、公共卫生事件和社会安全事件。按照社会危害程度、影响范围等因素,自然灾害、事故灾难、公共卫生事件分为特别重大、重大、较大和一般四级。法律、行政法规或者国务院另有规定的,从其规定。突发事件的分级标准由国务院或国务院确定的部门制定;其次,应对突发事件,必须动员国家和全社会的资源和力量,必须有一整套对付紧急情况的应急处理机制。同时要确保对紧急事实和危险程度判断的准确性,建立制约机制以防止权利的滥用。与此同时,尽管在发生紧急状态时,政府的行政紧急权力是最主要、最重要的手段,在应急处理机制中发挥主导作用,但是为了保障公民的权利不因紧急状态的发生而被政府随意剥夺,须建立有效防止政府随意滥用行政紧急权力的机制,健全责任监督和追究机制。
本章参考文献
[1] [美]博西格诺等.法律之门.邓子滨译.北京:华夏出版社,2010
[2] [美]马丁·C·利比基.美国如何打赢网络战争.薄建禄译.北京:东方出版社,2013
[3] 程群.互联网名称与数字地址分配机构和互联网国际治理未来走向分析.国际论坛,2015,17(1):15-21
[4] 俞可平.论全球化与国家主权.马克思主义与现实,2004,(1):10
[5] 杜潇枭,张琛.从互联网数字分配机构管理权移交探析互联网共治的新格局.学术交流,2016,(6):201-205
[6] Kim G. Von Arx, Gragory R. Hagen. Sovereign Domains A Declaration of Independence of ccTLDs from Foreign Control. 9 RICH.J.L. & TECH.4(Fall 2002)at https://www.itu.int/itudoc/itu-t/workshop/cctld/cctld012.pdf
[7] 檀有志.网络空间主权:《网络安全法(草案二审稿)》的浓重底色.信息安全研究,2016,(9):856-860
[8] 黄治雄.国际法视野下的网络战及中国的对策——以诉诸武力权为中心.现代法学,2015,(5):145-158
[9] 李铁城.联合国的历程.北京:北京语言学院出版社,1993
[10] 高晶,侯雪璟.经济全球化对发展中国家主权的冲击与挑战.法制与社会,2016,6(上):138-140
[11] Shirley V. Scott. International Law in World Politics: An Introduction. Lynne Rienner Publishers,2004
[12] 王铁崖.国际法.北京:法律出版社,1995
[13] [加拿大]刘易斯·波利,[加拿大]威廉·科尔曼主编.全球秩序——剧变世界中的机构、制度与自主性.曹荣湘等译.北京:社会科学文献出版社,2009
[14] 黄志雄.国际法视角下的“网络战”及中国的对策——以诉诸武力权为中心.现代法学,2015,(5):145-158.
[15] 刘仑.从《塔林手册》看网络攻击中自卫权的行使.东岳论丛,2015,(2):178-183
[16] Jack Goldsmith and Tim Wu.Who Controls the Internet? Illusions of a Borderless World. New York: Oxford University Press,2006
[17] 高吉全.网络空间安全:“中国与世界”国际学术研讨会召开.解放军报,2012-05-29
[18] 朱莉欣.《塔林网络战国际法手册》的网络主权观评介.河北法学,2014,(10):130-135
[19] 杨嵘均.论网络空间国家主权存在的正当性、影响因素与治理策略.政治学研究,2016,(3):36-53
[20] Kris E. Barcomb, Dennis J. Krill, Robert F. Mills, Etc. Establishing Cyberspace Sovereignty. International Journal of Cyber Warfare and Terrorism,2012(3),27
[21] 杨嵘均.论网络空间草根民主与权力监督和政策制定的互逆作用及其治理.政治学研究,2015,(3):112-124.
[22] 杨嵘均.论网络虚拟空间对国家安全治理界限的虚拟化延伸.南京社会科学,2014,(8):93-100.
[23] 李鸿渊.论网络主权与新的国家安全观.行政与法,2008,(08):120-122
[24] 陈颀.网络安全、网络战争与国际法——从《塔林手册》切入.政治与法律,2014,(7):147-160
[25] 杜志朝,南玉霞.网络主权与国家主权的关系探析.西南石油大学学报(社会科学版),2014,16(6):79-84
[26] 王春晖.互联网治理四项原则基于国际法理应成全球准则.南京邮电大学学报(自然科学版),2016(1):9-15
[27] 袁春阳,杜跃进,周威.美国政府《国家网络应急响应计划》及其借鉴意义.保密科学技术,2012(5):35-41
[28] 马民虎,贺晓娜.网络信息安全应急机制的理论基础及法律保障.情报杂志,2005(8):77-80