从网络主权看个人信息权利

本篇文章3672字，读完约9分钟

人类社会的“信息”绝不是近二十年来科技发展的成果。从17世纪的电报到19世纪的电话，甚至更早的时期，活字印刷、信鸽、烽火台、旗帜和鼓以及邮局都是人类对信息的开发和利用。然而，只有在计算机技术飞速发展之后，人类才完全突破了信息载体对信息存储类型的限制，从而大大扩展了信息记录和处理的类型范围。今天，文字、图像、声音、地理位置、行为习惯、人际关系，甚至味觉和触觉都可以用数字技术来量化。随着云计算、大数据、“连锁信息化”和“泛在智能”的普及，世界上的一切和所有人的行为最终都将成为数字处理的对象。随着网络社会的到来，我们不再把世界看作是一系列自然现象或社会事件，而是一个由信息组成的比特城市，因而个人的知情权成为当今的核心问题之一。然而，与现有的从民商法或行政法角度对个人信息权的理解不同，本文试图从网络主权的角度对其进行审视，以消除通常的误解，发现网络主权对普通公民的意义。

首先，你为什么从网络主权开始

2015年12月16日，在第二届世界互联网大会上，中国领导人首次提出了“尊重网络主权、维护和平与安全、促进开放合作、构建良好秩序”的网络治理四项原则，深化和拓展了2010年6月《中国互联网现状》白皮书中的“互联网主权”概念。将于2017年6月实施的《中华人民共和国网络安全法》明确阐述了其“维护网络空主权、国家安全和社会公共利益”的主要目的，并专门设立了“网络信息安全”一章，以确保个人信息权利不受侵犯。因此,“网络主权”作为网络空的第一原则和根本基石的地位已经确定，从而成为个人信息权等各项制度建设的重要指标。然而，遗憾的是，网络主权的法律含义和要素仍缺乏探索，以致于它们往往成为一种政治话语和宏大叙事，无法起到制定具体规则的指导作用。此外，对网络主权的简单化解释导致人们误认为网络主权有损个人网络权利，尤其是知情权，需要从源头上加以澄清。为此，本文首先将网络主权定义为“一国领土内的人民针对网络设施、网络主体和网络信息所赋予的最高权力(内部网络主权)，以及该国排除他国所主张的干扰的权利和相应的合作义务(外部网络主权)。”

二是内部网络主权对个人信息权的塑造

(一)个人信息权的产生取决于内部网络主权

作为一项新权利，个人信息权的确立、内容和保护必须遵循法治国家的逻辑，即只有通过严格的立法程序才能从理论权利转化为实践权利，而这种转化的桥梁是网络内部的主权。

立法权是君主的第一特权，空.网络也是如此在中国宪法第二条“中华人民共和国的一切权力属于人民”的框架下，网络主权应当坚持人民主权的宗旨，坚持人民是国家权力的源泉，只有从人民赋予的权力中才能证明国家网络权力的正当性。因此，国家应主动回应人们对信息权的诉求，尽快启动个人信息权的立法进程，同时，促进信息主体和信息经营者在认真辩论的基础上做出决策。通过将边缘人引入立法过程，可以证明个人信息权的实质合法性。基于此，国家不仅要为各种网络主体的参与提供渠道，还要为公共推理和公私合作搭建制度平台。考虑到弱势群体缺乏经济资源、政治机会和信息获取渠道，他们还没有"接触网络"或不能畅所欲言，国家也应该进行倾斜的"赋权"，以实现真正的审议和决策。

(二)个人信息权的行使取决于内部网络主权

在以技术和代码为主导的网络社会中，信息主体不能行使拒绝、查询、更正、获取、删除等权利。相反，那些有能力存储、处理和传输信息的网络运营商和网络服务提供商才是真正的权利持有人。可以证明，在全球拥有7亿活跃用户的facebook早在2009年就修改了用户服务协议，声称对用户上传的材料拥有永久许可授权。例如，一旦用户点击百货商店的“喜欢”按钮，用户的姓名和照片就可以显示在连锁店的主页广告上。为此，人们甚至用“数据主权”来描述互联网信息巨头通过控制身份认证、用户协议和平台准入，依靠云计算和大数据挖掘等工具来拥有和使用个人信息的能力。劳伦斯呢？在《代码》一书中，Lesger看到“网络空房间的力量来自于建筑设计”，那么信息巨头拥有的最高建筑设计权将直接影响甚至决定微观层面的用户行为，这比物理空房间的主权更有效

在个人和企业信息控制权的战场上，个人总是落在后面，这需要由网络主权衍生的公共权力来纠正。总之，国家应该首先重申管理自己的信息是其固有的权力，从而证明对信息经营者商业行为的限制是正当的。其次，应当从个人信息权的角度阐明“业务限制”原则，即个人信息收集必须有一个具体、明确和合法的目的，并且应当只收集该具体目的所必需的最低限度的信息。同时，个人信息的处理应在收集个人信息时明示的特定目的范围内进行。当处理超出特定目的的个人信息时，应告知信息主体并征得其同意。第三，鉴于空网络互联互通的特点，呈现出一个扁平的多中心场景，传统的“自上而下”的权力应该及时改变，更多的权力应该由不同类型的网络主体共享。其中，少数处于垄断地位的网络运营商和网络服务提供商创造了一个信息交互平台，掌握了大量的用户信息。事实上，他们已经成为分散网络中的“半中心”，应该被视为政治过程的参与者，要求他们肩负起保护个人信息的重任，从而实现行业利益、个人利益和国家利益之间的平衡。最后，国家应充分授权信息主体，使其有权通过建议、报告、投诉、控告等方式参与网络治理。因此，中国可以借鉴英国“监管而非监督”的理念，建立一系列监管辅助系统，如受理、调查、处理、反馈、保证、不当报告限制等，从而最大限度地实现网络的“自律”。

第三，国外网络主权对个人信息权的塑造

(1)个人信息权的保护依赖于外部网络主权

对个人信息的威胁远不止于国内。跨境黑客攻击和有组织犯罪时有发生。数据盗窃和网络钓鱼屡见不鲜。它们的隐蔽性和跨国性给信息安全带来了前所未有的破坏。事实上，空网络的全球化是如此彻底，没有所有国家的共同参与，一个国家就无法完成打击网络犯罪、维护网络安全、管理有害信息、监管网络服务提供商以及最终为个人信息权利提供保护的重要任务。一方面，外国网络主权是基于主权独立，排除其他国家对其网络空的恶意入侵和攻击，阻止通过网络病毒、僵尸网络、拒绝服务攻击、旁路控制和其他国家发起的高持续威胁攻击等手段窃取、拦截、修改和删除网络信息，以维护个人信息的机密性、完整性和可用性。另一方面，外国网络主权是建立在主权合作的基础上的，这要求所有国家共同努力建立个人信息的全球保障体系。为此，各国应致力于建立正式的磋商平台和机制，定期召开国际会议，逐步建立一个“以国家为主体、多方参与、公私合作”的联合国及其安理会下的国际网络空组织，全面协调和管理个人信息安全事务。作为保护个人信息的最终解决方案，各国应坚持诚信和善意，尽可能促进国际标准和公约的制定，并采取一切必要措施确保标准和公约得到严格执行，以实现其长期约束力。

(二)个人信息权的丰富取决于外国网络主权

信息的生命在于流动。从某种意义上说，网络社会的繁荣是建立在前所未有的低成本复制和信息传播的基础上的。因此，除了安全的价值诉求外，个人信息权特别关注自由，尤其是信息获取和传播的自由。如今，随着经济、政治和文化的全球化，信息的创造者、接收者和使用者分属不同的民族，信息的发送地、传播地和目的地分属不同的国家。在这种情况下，如何提高信息流动的自由性而又不使其具有任意性，已经成为外国网络主权规范信息跨境流动的关键。

就信息获取自由而言，国外网络主权可以表现为“国家完全独立控制信息跨境流入”的强主权模式、“国家有条件控制信息跨境流入”的弱主权模式和“通过国际合作控制信息跨境流入”的程序主权模式。其中，强主权模式忽略了网络固有的互联性、互操作性和交互特性，是依托泰山、超越北海的举措；弱主权模式以抽象自由为最高标准，却忽略了政治、经济和文化的国际冲突，这看起来很美；然而，程序主权模式将对信息流入的控制赋予了主权国家平等参与形成的国际标准，这不仅符合主权合作的趋势，也使得控制措施易于实施。就信息外流而言，国外网络主权也表现出三种模式:“刚性禁止模式”(如俄罗斯)、“柔性禁止模式”(如欧盟)和“本地备份模式”(如印度)。为了全面平衡自由和安全，中国可以区分普通信息和敏感信息:对于前者，当国外信息流有足够的信息保护水平时，可以适当发布；对于后者，应该更多地依靠国内的数据中心建设机制，要求网络主体完成中国数据中心的备份工作，从而最大限度地实现信息的本地化。

结论

对网络主权的普遍批评是，它寻求国家控制互联网的合法性，并对个人信息权构成威胁。然而，正如本文所述，这种批评误解了互联网和主权:互联网空不是一个自制的东西，而是一个由主权国家创造的“人造的东西”,互联网的诞生是国家积极推动的结果；网络社会中的主权不再是传统的抽象、单一和绝对的表象，而是呈现出具体、多样和相对的特征。事实上，从个人信息权的产生和行使到个人信息权的保护和丰富，都有赖于国家主权的干预。在这方面，未来对个人信息权的最大威胁不是国家的过度反应，而是根本没有反应。

(作者是金融技术与互联网安全研究中心副主任)

(来源:中国信息安全网)