中外学者齐聚天津大学,研讨网络安全前沿问题
导读:10 月13 日—14日,在最高人民法院中国应用法学研究所的指导下,由天津大学法学院主办的“互联网安全政策与法律国际研讨会”在天津大学卫津路校区隆重举行。国内外互联网安全领域的专家学者与天津大学师生近80人参加了研讨会。
10 月13 日—14日,在最高人民法院中国应用法学研究所的指导下,由天津大学法学院主办的“互联网安全政策与法律国际研讨会”在天津大学卫津路校区隆重举行。国内外互联网安全领域的专家学者与天津大学师生近80人参加了研讨会。
本次国际研讨会共分为“‘互联网+ ’产业发展法制国际比较”、“国家大数据战略实施的法治保障”、“网络信息安全保障的法治发展”三个议题。
议题一“‘互联网+’产业发展法制国际比较”由天津大学法学院院长孙佑海教授主持。
哈佛大学克莱恩伯克曼互联网与社会研究中心高级研究员David O’Brien作了题为“隐私和数据保护:美国的挑战与机遇并存”的报告,他介绍了美国隐私和数据保护法的渊源,数据保护机制的相关判例,隐私和数据保护的趋势、挑战和机会等。美国已经开发了一种应用于商业环境独立的隐私和数据保护方法。具体而言,隐私和数据保护法的渊源可分为三类:美国宪法、习惯法以及法规和条例。针对数据安全保护,政府需要平衡安全控制和隐私保护。技术和数据保护的发展趋势主要包括:(1)云计算模型和分布式基础设施;(2)隐私的国内监管,判断标准为“欺骗和不公平”标准;(3)国际和国内数据流动,其中既包括欧盟的一般数据保护条例和2018年将生效的新规章,也包括施雷姆斯诉数据保护管理人案等典型案例;(4)共同法律协助协议,其中的问题是准备期长达18个月的数据分享耗时过长,需要对其展开新一轮的思考和定位;(5)科技、数据保护和国家安全的冲突:美国执法部门愈发关注公司实现消费者通信服务和设备上的默认加密。
中国社会科学院知识产权中心主任、天津大学知识产权法研究基地主任李明德教授作了题为“互联网络与制止不正当竞争”的报告,他谈到,互联网带来很多挑战,涉及版权、商标、不正当竞争等很多问题。相应的法律规范,包括我们的认识可能也存在一些问题。李明德认为网络所涉及的法律问题不应全部用《反不正当竞争法》调整。一些学者把目光投向诚实信用原则,李明德不主张频繁使用诚实信用条款。他谈到,随着网络的到来,互联网企业中虚假宣传和商业诋毁案例逐步增加。接下来,李明德具体介绍了汉涛诉爱帮案、奇虎诉金山案、百度robots协议案和合一公司诉金山公司案件4个事例。他对这些问题的看法是,市场的问题交给市场,技术的问题交给技术,法院只管应该管的法律问题。
北京大学法学院蒋一可博士作了题为“中美互联网合作:问题、焦点与对策”的报告。从当前我国与美国的互联网合作形势来看,双边互联网合作总体表现为“政冷经热”,双方在互联网商业贸易,信息技术产业发展等非政府层面的合作频繁,结构性合作阻碍较少;而在政治与国家安全等领域,双方尚未能取得实质性的合作成果。中美互联网在网络空间基础设施管理、网络空间信息治理、网络间谍活动的规则、网络恐怖主义的应动与防护、网络知识产权的保护及IT产业的合作发展等各领域合作仍存在问题。这些问题产生的原因和建议可以从政治、经济、法律、国家战略、文化思想5个层面出发。总而言之,寻求彼此利益共同点是未来两国加强互联网合作的关键。在国际制度层面要推动中美网络政治对话,在外交层面要继续推进中美网络反恐合作,在法治建设层面要提升我国的知识产权保护水平,在经济贸易层面要加强推进中美双边技术投资协定,在国家政策层面要促进两国IT产业链融合,加强公民隐私保护,开发新隐私保护技术。
阿里巴巴集团法律研究中心副主任顾伟作了题为“互联网企业向政府提供数据的法律问题与实践”的发言,他指出,许多国家政府已经成为本国最大数据资源生产者和拥有者,掌握着社会上超过80%的数据资源。随着社会信息化,政府对信息资源的绝对优势地位正在被打破,政府对市场主体的数据需求将越来越大。顾伟接下来从国内互联网企业向政府提供数据的法律,国内互联网企业向政府提供数据的实践问题,美国互联网企业向政府提供数据的法律,美国互联网企业向政府提供数据的实践问题四个方面具体阐述,最后对国内互联网企业向政府提供数据的治理进行展望,认为最值得借鉴的域外经验是,政府获取企业数据,数据要分类,至少区分内容数据和非内容数据;程序也要分级,行政机关在执法过程应该根据数据敏感程度,区分不同审查门槛的法律程序。最终实现企业依法向政府提供数据的主体明确、领域限定、程序规范、成本可控、责任清晰。
公安部第三研究所、信息网络安全公安部重点实验室二级警督黄道丽作了题为“互联网企业面临的信息安全法律问题与实践”的报告,她将题目里的“法律问题”解读为企业的法律风险,这个风险来自于现有法律法规中对企业有什么信息网络安全保护义务的要求。有了义务规定之后,企业又该如何遵从。黄道丽希望把相关的法律、技术和标准结合起来,推动国内的个人信息保护问题的解决。接下来,她介绍了互联网企业面临的传统信息安全法律问题;《网络安全法》草案二次审议稿框架的合规升级;关键信息基础设施保护义务;互联网企业的执法协助义务;互联网企业的用户个人信息保护义务等问题。最后黄道丽特别提到“拒不履行信息网络安全管理义务罪”。《刑法修正案九》新增了这一罪名,强调网络服务提供者不履行网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有具体情形的构成犯罪。对互联网企业是一个很大的触动,但因司法解释未出,本条中的严重后果等规定都无法量化。这条罪名的实际运用,值得关注。
《中国信息安全》杂志社副社长秦安做了题为“完善中国方案推动全球网络空间规则体系建设”的发言,他主要讲了三个问题:首先是中国方案。中国方案要聚焦四条主线和四个关系。四条主线包括一个空间定位、一个政策路线、一个思想体系和一个焦点问题。一个空间定位指的是网络空间的定位。一个政策路线分别是十八届三中全会国家治理体系和治理能力现代化;十八届四中全会依法治国、依法治网;十八届五中全会国民经济和社会发展第十三个五年规划。一个思想体系就是习近平总书记网络强国建设系列思想。一个焦点问题是网络立法。四个关系包括网络战略和网络立法的关系,网络强国战略、大数据战略、“互联网+”行动计划的关系,国际国内的关系,原有法律体系和网络立法的关系。其次是全球网络空间规则体系,包括国际公约类、法律体系、技术标准、作战规则。再次是点亮全球网络治理体系变革的中国智慧。一是网络空间和平共处原则,即构建网络空间命运共同体。二是网络空间的“一带一路”,即“数字丝路”。三是网络空间国际公约方面,完善自己的国内法,让国际法成为全球网络治理的规范,推动网络空间治理的联合国模式。四是网络空间的法律体系。五是网络空间的国际合作,建立国际网络维和部队。通过论述以上几个问题,秦安分析了美国移交互联网域名管理权的实质及中国的选择。秦安认为中国的选择至关重要。一要深化、细化构建网络空间命运共同体的中国主张。二是熟悉ICANN的运行模式,以社团组织的方式积极参与其中。三是扭住网络空间规则体系这个关键,寻求全球网络治理体系的变革。四是树立网络空间治理的中国典范,聚焦遏制网络犯罪,打击网络恐怖主义等关键,成为全球网络空间治理的典范。五是坚持运用网络中国繁荣世界,中国应以网络经济空间创新驱动,造福人类,用不断增强的实力提升全球网络治理的话语权。
公安部第三研究所所长助理、中国网络空间安全协会理事金波对以上发言进行点评。金波指出,David O’Brien的发言很有启发性,美国在制度设计、标准体系、技术控制,对中国有很大的参考价值。中美互联网的合作问题,从长远来看合作是主流,因为网络的无边界性使网上的经济网络和犯罪打击都需要跨国合作。金波指出,最新出台的《关于办理刑事案件提取、搜集相关数据的规定》中有一个创新是对电子数据的冻结,把电子数据作为冻结的客体,一方面解决了企业协助执法义务的问题,另一方面也可解决数据提交过程中程序规范和成本可控的问题。金波认为国家明确网络强国战略是非常必要的。中国作为一个负责任的互联网大国,要更加积极主动地参与全球网络安全规则的制定。
议题二“国家大数据战略实施的法治保障”由最高人民法院中国应用法学研究所刑事法室主任李玉萍主持。
天津大学管理与经济学部教授、博士生导师张兮作了报告《大数据安全》。大数据对于提升人们的生活质量和科学研究等具有很大价值,但也会造成严重的隐私泄露问题,这是研究大数据安全问题的重要切入点。网络内容、承诺需求、多层次安全和大数据风险平衡等问题,成为这两年大数据安全方面的讨论热点,目前大数据安全的研究重心在于如何提高人们的忧患意识。在大数据安全问题上,现在存在过分保护的现象,以至于分享数据越来越难,给我们造成了困扰。从这种过度保护的现象出发,应当如何平衡数据分享利益与数据安全风险之间的关系呢?张兮认为可以有一些新的解决方式。大数据之所以会产生如此多的安全问题,主要原因是数据生产者和数据掌控者是割裂的,数据生产者可能是每一个人,但是我们并不能掌控自己的数据,这就造成很多监管缺失的机构可能随意使用我们的数据,对我们产生损害。所以从这个角度来说,大数据保护和相关法律应该有所创新,即不要全方位地去控制它,而是让数据生产者知道数据的流向、存储地点和用途,数据生产者应该有这方面的知情权,同时确立标准,说明数据是可控和安全的,这样数据的分享才是安全的,这可能是未来大数据安全与大数据分享之间所能做的平衡。此外,企业在技术上进行一定的投入来保障数据安全也是十分重要的,华为、阿里巴巴等公司都有非常好的经验可以借鉴。
俄罗斯莫斯科信息法中心高级顾问、IBM 法律顾问Alexandre Savelyer介绍了《俄罗斯的数据隐私——新俄罗斯个人数据信息法》。《新俄罗斯个人数据信息法》的适用包括:第一、网站存储的俄罗斯公民的个人数据,必须存储于俄罗斯境内的服务器上。这是一般性的规定。并且,立法适用于所有行业,包括电子商务等。在适用企业层面,不仅包括俄罗斯的国内企业,还包括国外企业,该国外企业需面向俄罗斯的本土居民,且须有本土化的活动。第二、在属人管辖方面,适用于在俄罗斯本土的俄罗斯公民。第三、信息获取的方式必须是直接获取。该法案的实施可分为两个步骤:首先必须有一定的数据本土化,也就是数据采集公司在本土进行数据存储。接下来,又有一个反向的过程,即存储在俄罗斯境内之后可以转出,法案并不禁止信息的共享,也不禁止信息跨境。目前,俄罗斯关于违法的处罚措施非常有限:一是行政处罚,也就是罚款,现有的罚款数额非常低,新的立法方案计划将罚款数额提高。二是阻止网站,使其无法使用。俄罗斯数据保护当局倾向于使用第二种方式,尤其是对于在俄罗斯境内没有进行注册、也没有财产的公司进行处理时。《新俄罗斯个人数据信息法》的积极影响体现在:首先,对俄罗斯经济以及社会的氛围均会产生影响。其次,使执法当局更容易获得证据。第三,为本土化税收带来更多的可能性。消极影响包括:使遵守法律的成本升高;可能造成选择性执法的问题;使市场选择性减少。该法施行近一年,综合看来,法案具有积极性影响。
天津大学法学院副教授蓝蓝报告题目是《大数据交易现实下的三大追问》。针对我国各地大数据交易平台的纷纷成立,蓝蓝提出三大追问。第一,现在是否为发展大数据交易的成熟时机?蓝蓝认为并不是。从他国经验来看,大数据的发展基本上以政府公共数据开放作为主流和重点内容,而非大规模的数据交易。这里有几方面的原因,其中之一就是政府公共数据开放引发的风险或问题可能会更少。但是,我国地方政府在经济利益的驱动下,对建大数据交易平台的兴趣要远大于公共数据的开放,由此产生很多问题。当然,大数据交易并非绝对不可行,但必须以完备的立法作为交易实践开展的前提。这是我们目前不具备的,因此,现在贸然启动大数据交易非常危险。第二,大数据交易平台实践中,个人信息与隐私是否得到了充分保护?目前,大数据交易平台一般依靠数据脱敏等技术手段,这是非常危险的,因为这种技术手段完全可能被其他技术攻克。那么应当如何保护?首先要靠法律把个人数据的收集、利用、交易规则规定下来,再辅以技术手段,这才是保护个人数据的“王道”。中国目前的立法状况远未达到这样的标准,这种情况下就搞大数据交易非常可怕。第三,用户的个人信息权利是否应当得到确认?蓝蓝的观点是肯定的,这种权利包含人格权和财产权两部分,现在争议的焦点是在财产权部分。蓝蓝认为,用户对其个人信息所具有的财产利益应当被正视,尽管其可能价值微小;并且,这种财产利益应当被置于财产权制度的框架之下加以保护。
中国人民大学法学院副院长特聘研究员时延安作了报告《新技术监控、犯罪预防与人权》。他指出,网络给我们提出了新的社会治理方式,也带来很多对个人自由的影响。利用网络进行的技术监控对犯罪预防具有重要意义。现在的监控手段无处不在,包括通信监控、身份监控、财产状况监控、视频监控、大数据监控、行踪监控等。按照主体来划分,监控类型分为政府部门监控、企事业单位监控、自然人监控和社区监控。新技术监控的不当使用可能产生隐忧。时延安列举了三个事例,包括在交通监控中视频的不当使用、行踪资料被作为品格证据使用以及对公民个人信息的不当获取等。他指出,我们需要对新技术监控进行法律规制,这其实都是数据管理的问题,只不过这个数据更强调与监控和犯罪预防联系在一起。这种规制包括六个方面:对技术监控主体及其行为的规制;对收集涉及个人信息技术监控行为的规制;对技术监控收集个人信息储存行为的规制;对技术监控获取个人信息使用行为的规制;对技术监控获取个人信息删除行为规制;对大数据引用行为的规制。时延安认为新技术监控对预防犯罪具有积极意义,但其不可避免地对个人隐私、信息形成干涉,不当使用会直接侵犯人权。从法治角度思考,应建立完善的技术监控方面的法律规制。
工业和信息化部电信研究院政策与经济研究所法律研究部主任李海英对上述发言进行了点评,她认为大数据的发展不仅关乎法律,还影响社会生活其他各个方面的发展。我们现在正处在重要的发展拐点上,希望每位专家都能在技术、立法以及研究方面作出自己的贡献。
集佳律师事务所高级合伙人李永波的发言题目是《互联网不正当竞争领域的案例分析》。他指出,从互联网不正当竞争案件的司法现状来看,案件数量显著增加,涉及互联网或计算机技术的不正当竞争案件和知识产权侵权案件比较突出,涉及的产品领域广泛,涵盖搜索、浏览器、安全产品、电商平台、网络游戏等。不正当竞争行为类型多样,既有传统的不正当竞争类型,如域名抢注、网站混淆等仿冒行为、虚假宣传行为、商业诋毁行为、捆绑软件行为等,也有依托于互联网新型商业模式的不正当竞争行为,如搜索引擎竞价排名、软件冲突干扰行为、恶意插标流量劫持行为、屏蔽广告行为、使用技术手段破坏他人商业模式行为等。现行反不正当竞争法对于网络不正当竞争行为的规制条款包括第五、九、十、十四条。《反不正当竞争法》送审稿增加了网络不正当竞争条款。目前,司法实践中比较典型的不正当竞争行为表现形式包括:一,不正当干扰他人产品或经营,如腾讯诉360“扣扣保镖”破坏QQ软件完整性案;二,通过技术手段误导、组织用户下载、安装他人产品,如搜狗诉360阻止用户默认浏览器设置案;三,利用他人产品引导用户使用自己产品,如百度诉搜狗输入法流量劫持案。四,视频聚合盗链行为,如爱奇艺诉深圳聚网“VST全聚合”软件盗链案。五,在他人网站界面弹出广告、在他人网站搜索栏中增加下拉提示词等,如百度诉360插标案。在审理互联网不正当竞争案件时,一般仍按照侵权案件“三部曲”的审理思路,但从竞争法的角度来说,对竞争行为的正当性与否作出判断,对竞争行为是否符合和促进健康的竞争机制作出判断,才是审理此类案件的基点。
天津大学法学院吕斯轩博士的报告《互联网交易偷税漏税行为的法律预防与治理研究》通过对中、美、欧、俄、韩、日等六个国家和地区的立法进行考察,发现在对于互联网交易征税的问题上,多数国家认为应当征税,但总体来说各国在征税时都因网络交易的特点遇到一些实际的困难,如证据难以收集、网络交易在一国之内没有具体注册的营业场所和人员难以征税等。从互联网交易税收与税收协定来看,中国和101个国家签订了双边协定,2013年签订了《多边税收互助公约》,相关规定在2016年2月1日开始生效,实施时间是2017年1月1日。签订的双边协定的范本是来自经合组织和联合国的范本,签订的时间都比较久远,电子商务的发展对其产生了挑战,而又没有进行更新,所以起到的作用非常有限。联合国和经合组织、WTO都出台了与电子商务有关的政策或法律,联合国和经合组织给出了相关范本,但范本介绍的都不是很详细。在这种局面下,要解决中国的问题,我们首先要借鉴他国的经验,如通过企业进行税收的代收代缴,建立非常完善的监察机制,由海关和工商管理部门与跨境电子商务运营平台进行合作等。在法律治理上,我们要坚持基本的税收原则:诚信、效率、简明、有效公平、灵活性。要重视保护某些特殊的行业,给予税收减免政策。另外,互联网企业进入海外的时候,一定要了解国外的税收监管体系,看有哪些税收优惠条件或哪些税收的合法权益。为了避免双重征税,也要了解中国和东道国之间有没有税收协定,相关的税收协定是什么,有什么减免方式等。
天津大学法学院王燃博士作了报告《大数据侦查及其法律问题分析》。她从狭义和广义两个角度理解大数据侦查,狭义是指采用大数据技术的侦查行为,广义上则包括大数据侦查方法、大数据侦查思维、大数据侦查模式以及大数据侦查的相关制度等。大数据侦查的思维包括:(1)相关性。找到一个关联物,并监控它;挖掘数据背后的相关性。(2)整体性。主要指取证思维的整体性。(3)预测性。包括对案件的预测、对高危分子的预测、对犯罪热点的预测。大数据侦查的技术和方法包括:(1)大数据搜索,主要是指在侦查机关自有数据库、政府统一数据开放平台、以及互联网数据库中进行搜索。(2)大数据挖掘,侦查实务中常见的有手机数据挖掘、话单数据挖掘、邮件数据挖掘等。(3)大数据画像,其原理是通过对嫌疑人各维度数据的收集,在此基础上为其贴上不同的标签。(4)大数据公司取证,是指侦查机关向掌握有大量数据的互联网公司调取数据。大数据侦查的模式包括“案—数—人”和“人—数—案”模式两种,强调将数据作为人与案之间的连接点。大数据侦查的法律问题包括:第一,大数据分析结果不一定准确。数据采集、分析及运算都有可能产生错误。第二,大数据侦查对正当程序的影响。大数据分析过程技术的不透明,也会带来法律程序的不透明,影响知情、公平、透明等正当价值理念。第三,大数据侦查对个人信息权、个人隐私权的影响。法律的真空地带为大数据侦查中权力的滥用留下空间;实务中对个人数据的收集、挖掘又进一步加剧了对个人信息权的影响。
最高人民法院中国应用法学研究所刑事法室主任李玉萍点评指出,网络的发展带来的益处与难题并存,要解决这些难题,需要大家一起努力,网络法治建设任重道远。
议题三“网络信息安全保障的法治发展”由黄道丽警督主持。
奥地利维也纳大学教授、欧洲电子商务与因特网法律中心创始人兼主任、香港计算机社会道德基金会成员Wolfgang Zankl的报告《欧盟的数据隐私——软法还是硬法》主要从五个方面进行介绍:(1)欧盟立法存在的问题(与美国进行对比);(2)欧盟立法存在的问题(从自身角度出发);(3)问题的解决之道;(4)国际数据隐私原则;(5)总结。首先,Zankl教授以Facebook的做法为例,若按照欧洲的法律规定,Facebook关于数据隐私处理的行为是侵犯数据隐私权利的。而在美国,只要公司遵守美国安全港制度确立的相关规则,则法律允许公司传输信息数据。但是,欧洲法院曾在一个案件中表示美国的安全港制度与欧盟数据保护法的并不一致。由此,出现了数据隐私盾以取代安全港制度。欧盟的法律严于美国,相关的规定数量更多,且欧盟倾向于能够免费获得一些数据,但“世界上并没有免费的午餐”,免费获取数据还是相当困难的。其次,就欧盟本身的立法而言,传统的法律框架已经过时。1995年的《欧盟数据保护指令》已经跟不上科技发展进步的步伐。到2018年,一个新的欧洲数据保护框架将生效,但实际上由于欧盟内部国家众多,制定过程复杂,传统法律框架不太能够与时俱进。可以说,欧盟数据隐私法已过时,尤为重要的是政府数据的获取也应当基于互利互惠的原则,而不应要求免费获取。第三,解决之道主要有五条。(1)软法,主要是指自律性的规则,尤其是对于公司而言;(2)国际数据隐私原则;(3)国际标准;(4)欧盟委员会提供的建议;(5)适应性更强的规则。第四,关于国际数据隐私原则,其中数据保护法律、安全标准、隐私政策及用户协议等都很重要,应当得到遵守。最后,相较于软法而言,硬法的适应性较弱,且不够灵活。强调全透明的原则要比强调完全地保护隐私更重要,不应苛求隐私保护的全面性。
天津大学法学院院长孙佑海教授作了报告《个人信息泄露处置制度的重构》。他从山东省“徐玉玉案”、2014年携程网严重泄露个人隐私等经典案例入手,指出个人信息泄露会造成恶劣的社会影响。接下来,孙佑海对个人信息泄露处置的概念进行界定,指出中国关于个人信息泄露的处置制度立法很严,而执行不到位。他还介绍了个人信息泄露处置的域外经验、法律上的争议、社会对于侵害个人信息的态度等问题。孙佑海对个人信息泄露处置提出几点建议:一,明确管理信息的责任企业应该承担责任。二,在有派遣单位加入的情况下,坚持以用人单位为主承担责任。但是,在派遣单位也有过错的情况下,根据其过错的程度,派遣单位应该按照一定比例确定责任。三,违法购买个人信息的单位也应当承担责任。四,对管理信息的责任企业,发生泄密后应当依法追究泄密者的刑事责任,同时让企业赔偿因泄密给受害人造成的损失,但对企业负责人尽量不启动刑罚手段。五,建议制定专门的个人信息保护法,以加强个人信息保护。六,全社会应对倒卖个人信息的行为采取零容忍态度。最后得出结论:只有明确公司和员工的责任,全社会采取零容忍态度,我国解决电信诈骗问题才能真正收到成效。
中国社科院法学研究所研究员、中国法学会互联网与信息法学研究会副会长周汉华作了报告《互联网立法的结构与基本规律》。互联网立法,究竟应该立什么法,应该在哪个范畴解决问题,存在很多不同认识。我们在争论的过程中,在前期多年研究的基础上,专门研究了国家互联网立法结构与重点任务,并系统地提出建议。从如何认识互联网本身的规律来看,制定互联网法律必须以尊重互联网本身的规律为前提,其最大的规律在于结构上的分层性,网络是分层的,在这4个不同领域,互联网法的立法宗旨、法律原则、治理手段、执法机制等均有差别,应分层处理,从不同层面,提出具体的立法项目。从究竟有哪些需要遵循的规律来看,既要对传统法律进行完善,又要有重点地推进互联网专门立法,通过系统的制度设计预防系统性风险的发生。在互联网服务提供商方面围绕互联网服务提供商的权利、义务与责任展开。在互联网用户方面,推进民主政治,保障个人权利与自由。在互联网信息方面,传统传媒的表达方式变化,管制也应随之改变。在电子政务方面,先在地方采用,再逐步推广。总体而言,发展中国家的电子政务并不存在明显的两阶段推进特征,主要展现的是一种强制性制度变迁的轨迹。在这种发展模式之下,制定电子政府法的时机选择相对而言比较容易确定,不存在选择临界点的问题,立法时机可以说是越快越好。
中国人民大学网络犯罪与安全研究中心秘书长谢君泽进行点评。关于Wolfgang Zankl的主题演讲提出软法和硬法的问题,在中国很多时候是约束力层面的说法。Zankl教授所说的在中国被称为法定和约定。谢君泽认为网络的互通性和无限性都在遵循一个相同的规则,既要遵守法律规范,又要遵守技术的标准。而且法律规范和技术标准都有全球的趋同性。中国在个人信息保护上,更侧重行政管理,所以约定对个人信息保护是缺乏的,这值得后续继续思考。谢君泽建议对美国的 “保辜制度”进行深入思考。此外,他认为研究信息泄露时一定也要研究漏洞,彼此有因果关系。网络安全通过建立了责任人制度和专门责任人制度可以防范企业“内鬼”问题。
北京邮电大学互联网治理与法律研究中心副主任崔聪聪代表该中心主任李欲晓教授作了报告《网络空间治理与中国的路径选择》。从社会学的角度来看,互联网给社会结构带来了非常重大的变化,就商业模式而言,互联网的商业模式是双边市场。大家更多的提到了互联网的“治理”,治理需要利益相关方的共同参与,更多的是从下而上的方式。随着互联网应用的不断创新、N家比较大的互联网企业不断出现,比如BAT,在这个过程中,由于规则的不完善、立法的滞后,再加上安全事件频发,相关法律不完善,导致了自上而下的不适应,政府、企业、网民都不适应。中国应该如何应对呢?对中国来说,在近20年的过程中,特别是近期对互联网的顶层设计,在战略思考上有不断的完善。比如习近平总书记的讲话以及各种文件的颁布,证明中国在对互联网的布局逐渐完善。今后仍应该重点思考网络安全。现阶段的网络安全呈现出新的态势,主要是从早期网络本身的安全逐渐扩展到了应用、服务,通过这些应用和服务扩展到了个人的人身、财产安全以及社会公共安全,乃至国家安全。最后,崔聪聪介绍了对于互联网治理的新思考。
谢君泽秘书长的发言题目是《网络安全法的立法模式》。网络安全立法的典型模型中,谢君泽分析的对象包括4个,分别是美国2015年《网络安全法案》、欧盟2016年《网络与信息安全指令》、日本2014年《网络安全基本法》和中国2016年《网络安全法草案(二审稿)》。美国网络安全的立法模式中最重要的部分肯定在最前面,因为其中设定了法律的目标、思路、原则。第二个部分是对2002年美国国土安全法案的修正。谢君泽发现美国的网络安全法案是以公私合作为逻辑起点,以操作性规则为主要形式,主要特征有三个:1.以网络的技术性安全为调整目标;2.明确了技术性行为的授权与禁止;3.以信息共享为制度基础。关于欧盟网络安全的立法模式,欧盟非常注重不同成员国和组织之间的联络机制,提出要有单一联系点。日本网络安全的立法模式最大特点是非常强调国家权力的设置与协调,以公权协调为逻辑起点,特别注重网络安全主管机构的职责调整,甚至设计岗位、运作流程和内外部的关系。关于中国网络安全的立法模式,中国是以公权治理为逻辑起点,以义务设定为主要形式。
李玉萍主任点评指出,目前我国网络安全方面的立法有所欠缺和滞后,但是各位年轻的专家学者对新技术有很快的适应和掌控能力,以及深厚的理论研究功底。有了他们的支撑,就能充分地看到希望,因此准确的说网络安全的立法是建立在绿洲之上。李玉萍强调,网络安全空间的治理既需要科学严密的法律体系,同时也需要相关的技术体系,而且法律体系要与技术体系相适应。
在闭幕式上,Wolfgang Zankl教授总结发言。他从三个汉字词语入手。首先,是“个人”。“个人”用英语来说就是“individual”,仅一个单词,而在中国却是两个汉字组合而成的词汇。这也体现了在中国合作的重要性,以及根深蒂固的集体主义观念。此次会议,就是一次学术上的交流与合作,国内外专家学者共聚一堂探讨互联网络安全法律问题。其次,是“网”。网意味着联系密切,错综复杂。而我们所讨论的互联网安全法律问题也是当前的前沿问题,且难以解决。此次会议的目的便是通过学术思想的交流、碰撞,各国经验的借鉴、学习,最终得出一些新的想法,以促进现实问题的解决。第三个汉字是“中”。“中”意味着找到平衡,真正的法律致力于平衡利益,包括个人与商业主体之间、个人与国家之间等利益的平衡。通过会议期间的交流,相信中国有能力实现这一目标,能够找到自由权利的边界,实现利益平衡。
孙佑海院长总结指出,互联网立法要经过司法实践的长期积累,从司法实践中汲取经验。此次国际研讨会的召开使我们认识到加强网络安全、强化互联网法律的重要性,了解了互联网领域的前沿问题,在网络理论研究方面颇有收获,也得到了网络立法方面的宝贵建议。孙佑海表示天津大学法学院未来会更为重视天津大学应用法学的研究,通过成立互联网政策法律研究中心与世界案例与决策研究中心,加强大数据等法律方面的研究,加强与国际、国内科研机构的联系,夯实互联网法律研究的理论基础,提高应对互联网安全现实问题的辅助决策能力,为中国网络强国建设作出应有的贡献。