從網絡主權看個人信息權利

人類社會的“信息”絕非近二十年來科技發展的成果。從十七世紀的電報到十九世紀的電話，乃至更早時期的活字印刷、信鴿、烽火台、旗鼓、驛站都是人類對信息的開發和使用，但是，隻有計算機技術突飛猛進之后，人類才徹底突破了信息載體對於信息存儲類型的限制，從而大幅擴展了信息記錄和處理的類型范圍。時至今日，文字、圖像、聲音、地理位置、行為習慣、人際關系，乃至味覺、觸覺等內容，都可以通過數字技術進行量化處理，而隨著雲計算、大數據、“信息化鏈”（chain informatisation）、“泛在智能”（ambient intelligence）的普及，世界上的一切事物、人們的一切行為都終將成為數字化處理的對象。隨著網絡社會的來臨，我們不再把世界看作是一連串自然現象或社會事件，而是由信息所構成的比特之城，個人對信息的權利由此成為當今的核心問題之一。不過，與既有的從民商法或行政法角度理解個人信息權不同，本文嘗試著從網絡主權的角度加以審視，以期在消除慣常誤解的同時，發現網絡主權對普通公民的重要意義。

一、為何從網絡主權開始

2015年12月16日，在第二屆世界互聯網大會上，中國領導人首次提出“堅持尊重網絡主權、維護和平安全、促進開放合作、構建良好秩序”的網絡治理四項原則，深化和拓展了2010年6月《中國互聯網狀況》白皮書中“互聯網主權”的概念。即將於2017年6月實施的《中華人民共和國網絡安全法》開宗明義地說明其主旨“維護網絡空間主權和國家安全、社會公共利益”，並專設“網絡信息安全”一章，以確保個人信息權利免受侵犯。據此，“網絡主權”作為網絡空間首要原則和根本基石的地位已經確定，從而成為個人信息權利等各項制度建構的重要指針。但遺憾的是，關於網絡主權的法律意蘊和要素構成至今仍缺乏探究，以至於往往淪為一種政治話語和宏大敘事，無法發揮對具體規則制定的指引功能。更嚴重的是，網絡主權的簡單化解讀引發了人們對網絡主權有損於個人網絡權利，特別是信息權的錯誤觀念，亟待予以追根溯源地澄清。為此，本文首先從對內主權和對外主權的兩個面向上，將網絡主權界定為“國家針對網絡設施、網絡主體和網絡信息，由人民賦予的在一國領域內的最高權力（對內網絡主權）以及國家向他國主張的排斥干涉的權利以及相應的合作義務（對外網絡主權）”。

二、對內網絡主權對個人信息權利的塑造

（一）個人信息權利的生成有賴於對內網絡主權

作為一項新型權利，個人信息權利的確立、內容與保護均須遵循法治國家的邏輯，即隻有通過嚴格的立法程序才能由理論權利變為現實權利，而這一轉化的橋梁就是網絡內對主權。

立法權是主權者的首要特權（the first prerogative），網絡空間亦是如此。在我國憲法第二條“中華人民共和國的一切權力屬於人民”的框架下，網絡內對主權應秉承人民主權的宗旨，堅持人民是國家權力的來源，也唯有來自人民授予的權威，國家網絡權力才具有正當性。為此，國家要主動回應民眾關於信息權利的訴求，盡快啟動個人信息權利立法程序，同時促成信息主體和信息業者在審慎論辯基礎上做出決定，通過將邊緣化的民眾引入到法律制定過程之中，個人信息權利的實質正當性得以証立。基於此，國家不但要為各種網絡主體提供參與渠道，搭建公共推理與公私合作的制度平台，並且，考慮到尚未“觸網”或無法發聲的弱勢群體在經濟資源、政治機會和信息獲取上的欠缺，國家還應進行傾斜性的“賦權”，以實現真正意義上的審議和決定。

（二）個人信息權利的行使有賴於對內網絡主權

在技術和代碼主宰的網絡社會中，信息主體並不能當然地就其信息行使拒絕權、查詢權、更正權、獲取權、刪除權等權利，相反，那些對信息擁有存儲、處理和傳輸能力的網絡運營商和網絡服務提供者才是真實的權利人。可茲佐証的是，在全世界擁有7億活躍用戶的Facebook，早在2009年，就對用戶服務協議進行修改，聲稱對用戶上傳的資料擁有永久的許可授權。例如，一旦用戶點擊了某個百貨零售店的“贊”鍵，那麼該連鎖店主頁廣告上就可顯示該用戶的姓名和照片。正因如此，人們甚至用“數據主權”來描述互聯網信息巨頭們通過對身份認証、用戶協議、平台入口的掌控，憑借雲計算和大數據挖掘的工具，佔有和使用個人信息的權力。如果說勞倫斯·萊斯格在《代碼》一書中洞見到“網絡空間中的權力來自於架構設計”，那麼信息巨頭們所擁有的至高無上架構設計權，將直接在微觀上影響甚至決定著用戶的行為，這比物理空間中主權者更有效地實現自己的意志。

在個人與企業的信息控制權戰場上，個人永遠落在下風，亟待國家運用由網絡主權所派生出的公權力加以矯正。質言之，國家首先應重申對本國信息進行管理是其固有權力，從而正當化對信息業者經營行為的限制。其次，應從個人信息權利出發明確“經營限制原則”，即收集個人信息必須有具體、明確和正當的目的，且隻得收集為該特定目的所必要的最少信息，同時，對個人信息的處理應在個人信息收集時的明示特定目的范圍內進行，超出特定目的處理個人信息時，應當告知信息主體並征得其同意。再次，鑒於網絡空間互聯互通的特質，其呈現出扁平化和多中心的場景，“由上至下”的傳統權力亦應適時而變，將更多的權力交由不同類型的網絡主體分享。其中，少數處於壟斷地位的網絡運營商和網絡服務提供者，創設了信息交互平台，掌握著海量的用戶信息，實際上已成為去中心化網絡中的“半中心”，應被視為政治過程的參與者，要求其承擔保護個人信息的重任，以達到行業利益、個人利益和國家利益的平衡。最后，國家應向信息主體充分賦權，使之有權採用建議、檢舉、申訴、控告等方式參與網絡治理，對抗網絡業者。為此，我國可以借鑒英國“監督而非監控”的理念，建立受理、調查、處理、反饋、保障、不當舉報制約等一系列監督輔助制度，最大限度地實現網絡空間的“自我規制”。

三、對外網絡主權對個人信息權利的塑造

（一）個人信息權利的保障有賴於對外網絡主權

對個人信息的威脅遠不限於境內，跨境的黑客攻擊和有組織犯罪時有發生，數據竊取、網絡釣魚屢見不鮮，其隱蔽性和跨國性給信息安全帶來了前所未有的損害。實際上，網絡空間的全球化是如此徹底，以至於離開了各國的共同參與，一國不可能完成其打擊網絡犯罪、維護網絡安全、治理有害信息、規制網絡服務提供者、最終為個人信息權提供保障的重任。對此，對外網絡主權一方面立足於主權獨立，排除他國對其網絡空間惡意侵入和攻擊，制止從他國境內發起的採用網絡病毒、僵尸網絡、拒絕服務攻擊、旁路控制、高持續威脅攻擊等手段對網絡信息的竊取、攔截、修改和刪除，以維護個人信息的保密性、完整性和可用性。另一方面，對外網絡主權立足於主權合作，要求各國在通力寫作，建立個人信息的全球保障體制。為此，各國應致力於建立正式的磋商平台和機制，定期舉辦國際會議，逐步建立聯合國及其安理會下的“以國家為主體、多利益攸關方參與、公私合作”的國際網絡空間組織，全面協調和管理個人信息安全事務。作為個人信息保護的最終解決之道，各國應秉承坦誠和善意，盡可能促成國際准則和國際公約的訂立，並採取一切必要措施保証准則和公約的嚴格執行，以實現其長效約束力。

（二）個人信息權利的充實有賴於對外網絡主權

信息的生命在於流動，在某種意義上，網絡社會的繁榮就建立在信息以前所未有的低成本復制和傳播的基礎上。故而，個人信息權在安全的價值訴求之外，尤為關注自由，特別是信息獲取和信息傳遞的自由。在經濟、政治、文化全球化的今天，信息創造者、接收者和使用者分屬不同國籍，信息的發送地、傳輸地及目的地分屬不同國家的情形無時不在上演。既然如此，如何在提升信息流動自由的同時，又不令其淪為恣意，就成為對外網絡主權規范信息跨境流動的關鍵。

就信息獲取自由而言，對外網絡主權可表現為“國家完全自主管制信息跨境流入”的強主權模式、“國家有條件管制信息跨境流入”的弱主權模式和“通過國際合作管制信息跨境流入”的程序主權模式。其中，強主權模式無視網絡固有的互聯、互通、互動特質，實屬挾泰山而超北海之舉﹔弱主權模式以抽象自由為最高准則，卻忽視政治、經濟、文化的國際沖突，只是看上去很美﹔而程序主權模式將信息流入管制交由主權國家平等參與和共同形成的國際准則，不但順應了主權合作的潮流，更使得管制措施容易實施。就信息流出而言，對外網絡主權亦表現為“剛性禁止模式”（如俄羅斯）、“柔性禁止模式”（如歐盟）和“本地備份模式”（如印度）等三種樣態。為了綜合平衡自由和安全，我國可以區隔普通信息和敏感信息：對於前者，在信息流出國具有充分信息保護水平的情況下，可以適當放開，對於后者，應更多地倚重國內數據中心建設機制，要求網絡主體在中國境內的數據中心完成備份造作，最大限度地實現信息本地化處理。

結語

一種對網絡主權的習見批評是：它為國家控制互聯網尋求合法性，並對個人信息權利構成威脅。但正如本文所闡述的，這樣的批評既誤解了網絡，又誤解了主權：網絡空間並非自在自為之物，而是由主權國家參與塑造的“人為之物”，互聯網的誕生便是國家積極推動的結果﹔網絡社會中的主權亦不再是傳統的抽象、一元、絕對的面貌，而呈現出具體、多樣、相對的特質。事實上，從個人信息權利的生成和行使，到個人信息權利的保護和充實，都有賴於國家主權的介入。就此而言，個人信息權利未來最大的威脅不是國家的反應過度，而是它根本沒有反應。

（作者系金融科技與互聯網安全研究中心副主任）

（來源：中國信息安全）