沈逸:网络安全审查,国家、企业、个人的“正当边界”在哪里?

来源:观察者网

2021-07-06 12:03

沈逸

沈逸作者

复旦大学国际政治系教授

大家好,欢迎来到《逸语道破》的加更。

7月4日,国家互联网信息办公室发布了关于某家企业的另一个通知。它通知这家企业的APP下架,下架的原因是隐私保护。根据举报,经检测核实,这个APP存在对于用户信息的过量收集的行为。经过查证,发现举报内容基本属实,并责令下架整改。

网信办连续两天对于这家企业的调查和审查,其中存在两条线。首先,在网络安全审查方面,关注的焦点在于数据是否存在出境的行为,以及这种出境的行为是否对于国家安全构成潜在风险,因此需要对其进行评估。而7月4日的通报则是关于隐私保护。

网络安全和信息化治理是一个非常复杂的问题。它的治理如何趋向于精细化?从最宏观的角度上来看,它涉及三种不同利益、三个主体之间的均衡。第一是国家安全,考虑的是数据在跨境流动时,是否存在风险。第二是个人隐私保护。第三则是企业正当的商业利益。

对于一个国家而言,如何运用信息技术的发展,把握信息技术革命的契机,去推动数字经济的发展,它需要在国家安全、经济发展、个人隐私保障的三者利益之间达成一个均衡的选项。放眼全球,从治理偏好来看,各个国家有着不同的选择。如同经济学中的科斯产权理论有涉及对于原始产权的界定,网络安全和信息化治理也需要从主体利益的角度出发,去设定一个治理的切入点。

其中就有三种代表性的类型,第一类是以欧盟为代表的,其标杆是个人隐私至上。欧盟出台的《通用数据保护条例》(GDPR),优先考虑对个体权利的绝对性保护。它认为当和个人隐私利益相冲突的时候,其他利益都要靠边。当然,欧盟出台这样一套以GDPR为代表的治理体系,与欧盟数字经济和信息产业发展的现状是密切相关的。我朋友在做这方面的研究时,调侃戏称,欧盟的GDPR是打别人家的孩子,自己不心疼。

欧盟自身并没有特别大的信息化企业,所以这些条例约束的是像美国的Google、 Facebook、Twitter这样的超级平台和跨国企业。这些企业为此而增加的运营成本、治理合规成本,都是它们自身的问题,和欧盟不相关。从另一个角度来说,欧盟通过确立一套高度关注个人隐私保障的治理体系,能限制以美国为代表的跨国超级平台和媒体企业无节制地扩张,从而保护欧洲的数字产业的发展。所以欧盟选择强调个人隐私的绝对保障。

第二类是美国。美国追求的是霸权式的自由秩序,优先保障两个主体的利益,而它们在很多时候是保持高度一致的。一是美国政府的利益,在网络空间确立一个美国处于至高位置的霸权性的秩序。

它讲“自由”,但跟美国政府联系在一起的“自由”是有方向性的。比如说,当全世界各地的数据可以自由地被美国公司所获取,在有需要的时候,美国政府可以接触到这些数据并利用于情报工作和商业应用,而无视这些数据的具体存储的地理位置。

举个经典的案例,美国政府通过美国法院,向以微软为代表的美国企业发传票,要求它提供相关的数据,而不管数据存储在地球上的哪个位置。它可以把在爱尔兰的服务器数据拿过来,这实际构成了一种“长臂管辖”。

第二个利益是确保美国企业在全球范围以最低的成本运营,且能够“自由地”去汲取分布在世界各地的数据资源,实现数据从其他国家向美国企业转移。像美国和其核心盟友间的单向性数据流动,就会被定义为“自由秩序下的数据流动”。

然而,当其他国家的企业,试图通过正常的商业规则,去获得存储在美国本土的数据时,比如中国企业曾尝试收购一家美国的同性交友软件,美国会以“投资有损美国公民安全”,“有损美国国家安全”为由对收购进行阻断,通过国外投资安全审查委员会下达各种禁令,对收购商业活动进行干扰进行审查,以确保美国获得一种单向度的、非对称的霸权秩序。

相比较这两者而言,中国在网络空间治理上,通过连续两天的实践,我们可以看到中国政府尝试一种均衡的治理。2016年4月19日,总书记在召开网络安全和信息化工作座谈会,并且发表重要讲话的时候,提到的第一条:

推动我国网信事业发展,让互联网更好造福人民。

相关的信息和数据在网络空间内,应当以一种有序的方式进行流动。中国确实关注自身的主权安全和发展的利益,但这种利益并不要求绝对的数据本地化存储,而是根据业务需求进行精细化的管理,使得数据有序流动。

在具体实操过程中,对于相关的业务,数据要达到怎样的精细程度,其实是有很多技术上的处理手段。不同的技术处理手段对应不同的商业成本,同时对应不同的治理理念。如果政府更加偏向于人民这一侧,那么它对于隐私保障会进行更多的关注,但是又不能只关注一方面。它还需要在正当的商业利益和国家安全的正当需求之间找到均衡。这对政府的治理能力和治理体系都有很高的要求。

这两天的实践会让我们看到中国在这方面的进展。网信部门通过网信办以及相关职能部门,正在努力构建一个符合中国特色社会主义初级阶段的精准化有效管理体系。它提出的要求有非常明确的指向性,同时和现代信息技术以及数字经济发展的内生需求之间存在着密切关联。

4日的通报指出一个问题,当我们在免费享受APP软件和移动互联网所带来的便捷时,其实所有用户都在做一项交易。第一,人们使用近似于免费的软件,这些软件的供应商企业不是做慈善的,它要获得自己正当的商业利益。因此,企业通过提供免费服务来交换用户的个人信息和数据,是一种惯例,也是支撑起今天互联网信息技术革命和数字经济的一条基本的游戏规则,它是不能一夜之间全部推翻的。

但另一条边界是,这轮信息技术革命形成的消费互联网为代表的数字技术革命,产生的企业商业行为体有种内生的冲动。它在提供服务的同时,能够在不触及法律边界的情况下获取尽可能详细的信息数据。然后它在后台对数据进行深度的定制和加工,使得企业利益的最大化。然而这种企业利益的最大化,通常使个人隐私遭遇到严重的入侵。

因此,网信部门和政府能发挥作用。作为裁判,它们要设定边界。这个边界能够保证一定的经济发展动能、国家安全水平、和保障个人隐私,形成既定的社会共识,并构建西方古典政治学理论里的数字时代的社会契约。简单来说,个人信息的采集和加工的正当边界,它是非常个性化的,它是跟行业跟用户个体,包括社会文化,乃至于国际环境密切相关的一个弹性化的边界。

在弹性化的边界当中,需要考虑几个问题。第一,个体能够接受的程度。第二,它所面临的风险。第三,在实践的过程当中,企业或者说社会需要为此支付的成本。对于不同国家的治理部门来说,它需要尝试和探索,做到精细化定位并不断完善。

毋庸讳言,中国互联网经历了一个早期的野蛮生长,到后来的精细化管理的一个发展、演变的过程。信息技术革命的发展和它的商业化运用,最初是领先于治理能力和领先于社会认知的。大多数人明白,在技术的商业化运用在带来了巨大的便捷和创造出了海量的价值的同时,也带来对于隐私的损害。

而治理体系在后面不断追赶,当然这种追赶不是线性的。遇到一些重大的事件,它可能会出现一个跃迁。因为这些事件的冲击,会在相当大的范围里去挑战人们的认知,去帮助人们形成更加全面深刻准确的认识。再往前,它能催生一个更加完善的精细化治理体系。

目前来看,围绕这家企业的跨境数据流动问题,数据出境当中涉及的国家网络安全审查问题,以及APP对于个体用户隐私信息的过度搜集问题,中国网信的治理实践迎来了一个跃迁的契机。在跃迁的过程中,除了网信部门、相关的企业有各自的任务之外,作为普通个体,我们要去解决的问题是,如何形成一个更加均衡的、全面的、客观的认知。

新闻出来后,网上出现了许多担忧和讨论。这些担忧和讨论有其内生的合理性,但我们也应该理性地看待这一事件。这一事件提供了一种可能性的探索,至于这种可能性是否转化成现实,我们可以遵循所谓的“大胆假设、小心求证”。在此过程当中,需要避免一种常见的认知误区,避免成为“二极管”,在一个极端和另一个极端之间跃迁。要么就是认为它应该绝对地遵循技术市场的内生需求,要求最小化的监管,要么将它视作为洪水猛兽,甚至遵循早期捣毁机器运动的思路,对它进行过度监管。

如何消除这种认知误区,我们需要在方法论和认识论上下功夫。中国有马克思主义基本方法论这样的优势。历史唯物主义、辩证唯物主义教会我们如何实事求是地、客观地、辩证地去看待新事物,遵循向前发展的眼光,强调最终我们是为了实现更加安全、有序、可靠、健康的发展。在此过程当中,我们需要解决发展过程当中面临的新挑战,而不是去阻断发展,妖魔化某项技术,或者某些正常的商业活动。我们要以一种客观的、公正的、辩证的视角去看待它的优势和问题,然后解决其中最主要的缺陷,从而确保我们能够在一个安全的环境下发展。

对最后的政策出台,目前从实践来看,大家可以抱有充分的信心。保障人民的福祉,最大限度地为人民服务,是我国网信部门在推动相应监管落实过程当中已经确立起来的坚定不移的目标。我们应该对网信部门保持坚定的信心。

谢谢大家。

本文系观察者网独家稿件,文章内容纯属作者个人观点,不代表平台观点,未经授权,不得转载,否则将追究法律责任。关注观察者网微信guanchacn,每日阅读趣味文章。

责任编辑:罗煜森
网络安全
观察者APP,更好阅读体验

荷兰“拼了”:阿斯麦,别走!

“嫌犯从乌克兰获大量资金和加密货币,有确凿数据”

美方对俄隐瞒了部分信息?克宫回应

这条中马“一带一路”重点铁路项目 “或延伸至泰国”

国防部表态:中方不会在南海问题上任菲胡来