信息安全 国家治理现代化的基础工程
来源:中国社会科学报 更新时间:2020-01-03

【核心提示】国家治理“现代化”,意味着国家治理活动更多的合理性、更强的技术性、更快的回应性和更优的有效性。这些目标的实现,端赖各方面条件的成就,其中信息安全无疑是一项至关重要的基础性工程。

党的十八届三中全会提出“推进国家治理体系和治理能力现代化”,推出的是一场治道革命,开启的是一次善治机遇,彰显的是一以贯之的历史担当。国家治理是古今中外每一个国家的主政者的基本工作,但实现国家治理体系和治理能力的现代化,则非卓越者不能求也。根据笔者的理解,国家治理“现代化”,意味着国家治理活动更多的合理性、更强的技术性、更快的回应性和更优的有效性。这些目标的实现,端赖各方面条件的成就,其中信息安全无疑是一项至关重要的基础性工程。

信息安全战略应上升到国家战略层面

信息安全,是指为数据处理系统而采取的技术和管理上的安全保护,包括保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不被恶意中断。网络时代的到来,拓宽了信息安全的内涵。在大数据时代之前,各国对信息网络安全的关注点主要放在对终端、系统、关键设施和供应链等的安全方面。本世纪初,以美国发布《网络空间行动战略》为标志,建立了依赖大数据的信息网络安全战略,从单纯技术层面的突破和扩张入手,加强了对信息安全的宏观掌控能力,大大拓宽了信息安全领域的传统边界。而在斯诺登事件之后,一场全球性的信息安全战已经悄然开始。对数据的抓取扩展到互联网及其他通信网络。信息的获取方式也更加多样,包括合作收集、监控光纤通信数据,乃至黑客直接盗取。信息安全被保障的程度,一直是衡量国家竞争能力的关键指标。斯诺登事件已经部分释放出信息安全对国家和世界局势的微妙影响。要想在现代社会的国家竞争中不被动挨打,乃至取得优势地位,需要信息安全技术的跨越式发展,更需要将信息安全战略上升至国家战略层面。

信息安全战略以对互联网的有效规制为前提

国家构建和实施信息安全战略,以对互联网的有效规制为前提。而网络规制至少包括这样几层含义:第一,网络规制目的是保护法益。有权利才有保护。任何法律都以值得保护的法益为存在依据。网络规制,也应当基于法益考虑。有私益,包括公民的人身权益、财产权益;更有公益,包括社会安定、国家安全等。不同的“益”,决定着保护“益”的方式、强度、策略都有差异。第二,网络主要规制者是政府和国家。即使是坚决主张互联网络应当是“无政府地带”的人,也认为网络需要规制,只是强调网络规制应当自我规制、技术规制,排斥政府和国家的介入。互联网作为人群关系的联系平台,本身并无独特的价值取向。与任何电子信息和通信技术一样,互联网的运用和社会作用都受既定社会政治体制的约束。尽管在管理转向治理的大背景下,网络规制同样要充分发挥社会组织的作用,但网络的最终规制者是国家。第三,网络规制的方式多种多样。西方有学者强调代码是网络规制的核心规则。笔者认为,代码只是网络的规制技术。其背后起决定性影响的,是政治体制和国家治理能力。在如何对待和利用互联网的问题上,各国通常会采取“消极防范”和“积极利用”相并用的策略。前者是指包括限制上网、过滤信息、封锁网站、监视上网以及关闭网络;后者是指通过鼓励互联网使用,尤其是通过公共服务将其引导到符合体制利益的轨道上来。第四,网络规制要遵循效益最大化和利益平衡原则。互联网既是一种低交易成本的新产业,又是一种更少时空限制更多互动的新媒体。这种双重性决定了政府对此必须采用类型化处理策略,比如针对从业者载体予以经济性规制,而针对媒体内容进行文化控制。与此相适应,政府规制至少应当遵循两个原则:一是最大效益原则,政府监管的力度既要有效防止违法,又不至于扼杀竞争;二是利益平衡原则,尤其是私权利和公权力之间的平衡,以及不同私权利之间的平衡,如保护言论自由权与隐私权,并尊重市场自由竞争,以政府间接管理模式来辅导业者自律,鼓励良好网络内容与服务。

网络安全治理应以法律规制为核心

国家对信息安全的治理,主要体现在对内和对外两个方面:对外,应当与各国早日缔结共识,承认并尊重各国在网络空间的地位,和平利用网络空间,停止网络空间军备竞赛和对抗;对内,建立信息网络安全治理机制,争取在保护国家安全、社会秩序和保障公民自由权和隐私之间达致平衡状态。信息网络安全治理机制,应当在对这一机制的正当性论证和可行性研究的前提下,至少包括该机制的中长期战略规划、组织架构体系,具体规制的模式、范围、程序和审查原则等内容:第一,以“中央网络安全和信息化领导小组”的成立为标志,我国的信息网络安全组织架构已初具雏形。第二,以法律制度为核心的信息网络制度建设尚在完善之中。法律制度是制度建设的重中之重,是权力运行的行动依据。信息网络安全法律制度涵盖了网络基础设施保护、网络泄密与数据保密、打击网络恐怖主义、网络色情治理、惩治网络信息滥用与欺诈、网络知识产权保护等各个板块。可以将其大体分为两类:(1)网络空间规制,包含防止侵入计算机系统,打击制造、传播计算机病毒及恶意软件,保护信息网络基础设施等法律规范;(2)网络信息规制,限制和规范网络信息发布、传播、利用等具体活动的法律规范。第三,信息网络安全的治理手段日益多样化。对信息网络安全的治理,除了法律制约,还可以采用行政手段和技术手段。行政手段主要包括网络监控、网吧管理、网络举报、网络舆论引导、实名制与备案、约束IDC与虚拟主机业者及客户、要求国内外公司合作、谴责与处罚海外公司等。第四,我国信息网络安全的审查原则亟须明晰。美国在审查实践中所形成的明显而即刻危险原则、事后限制原则、形式审查原则等,具有一定的参考价值。

(作者系“2011计划”司法文明协同创新中心研究人员、国家社科基金重大项目“加快建设法治中国研究”课题组首席专家)