网络空间治理需把牢数据主权
编者按
10月9日,习近平总书记在中共中央政治局第三十六次集体学习时强调:加快推进网络信息技术自主创新,加快数字经济对经济发展的推动,加快提高网络管理水平,加快增强网络空间安全防御能力,加快用网络信息技术推进社会治理,加快提升我国对网络空间的国际话语权和规则制定权,朝着建设网络强国目标不懈努力。
数据主权保护是网络空间治理的关键因素。新形势下,我国数据主权保护有何重要性、紧迫性,面临怎样的形势与挑战?应如何坚持数据主权外交战略,反对数据霸权,积极开展数字外交,提升我国数字经济全球影响力?中国国际经济交流中心网络空间治理课题组针对这些问题展开研究,并给出现状分析与政策建议,为推进我国网络强国建设发出智库声音。本版独家刊登,以飨读者。
当今世界,网络信息技术日新月异,全面融入社会生产生活,深刻改变着全球经济格局、利益格局、安全格局。数据传输的跨国界挑战了传统的国家主权概念,带来了复杂的权责关系。
我国已成为互联网应用第一大国,也将是数据创造第一大国,数据主权亟须保护。当前,我国应大力开展数字经济外交,在联合国框架下推动建立新的全球网络空间治理体系,通过信息安全立法,对内强化我国国家关键基础设施的信息安全,对外加强多边合作,推动形成数据保护利益共同体。
数据主权保护:网络治理的现实选择
美国已成为事实的网络霸权国家,其地位很难在短期内被撼动。当前,美国把持着互联网资源的分配权、国际互联网根域名的控制权、网络域名解析(DNS)等核心互联网关键资源;全球13台域名根服务器,其中1台主根服务器设在美国弗吉尼亚州的杜勒斯,12台辅根服务器中有9台设置在美国;互联网传输协议/因特网互联网协议(TCP/IP)、用于网页制作的超文本标记语言(HTML)、无线网络传输技术(WiFi)等也由美国机构控制。此外,美国思科、微软、谷歌、英特尔、高通等公司控制了全球网络硬件基础设施、通信光缆、核心软件等网络产业的关键环节。在短期内,全球很难建立一套新的互联网技术标准、管理制度、产业体系来撼动美国在互联网领域的霸权地位。
美国利用网络霸权地位窃取并监控全球数据、实施网络攻击,严重损害他国主权。美国中央情报局前雇员斯诺登披露,美国国家安全局自2007年就开始实施绝密电子监听计划,通过非法进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器,监控美国公民和国际政要的电子邮件、聊天记录、视频及照片等秘密资料,肆意窃取全球用户数据。为了应对美国霸权威胁,各国纷纷提出数据主权战略,保护本国信息安全。德国对境内数据跨境流动进行了严格规定。2014年3月,欧盟议会高票通过《欧盟个人数据保护条例(草案)》,以严格的立法来推动欧盟数字统一市场的形成。俄罗斯议会于2014年7月通过《个人数据法》,规定俄罗斯公民的个人数据必须保存在俄境内服务器上。
我国已成为互联网应用第一大国,也将是数据创造第一大国,数据主权亟须保护。自1995年互联网首次接入中国,我国网络基础设施建设从无到有,信息通信技术产业从小到大,网民由小众到涵盖大量普通民众。数据显示,截至2015年7月,我国网民数量达6.68亿人,网民规模全球第一;我国网络零售交易额规模跃居全球第一,2015年我国网络零售总额达3.3万亿元;拥有328家互联网相关上市企业,其中61家在美国上市,市值规模合计7.85万亿元,相当于中国股市总市值的25.6%。随着我国网民快速增加,互联网应用深入发展,我国也将成为互联网数据第一大国。2014年,美国国际数据集团(IDC)发布报告《数据增长、商业机会和信息技术渗透》称,未来全球数据每年将保持40%的增长率,每两年数据量将翻一番。到2020年60%的数据将由新兴市场国家产生,而中国将成为产生数据的第一大国。
数据资源日益成为国家战略资源,全球竞争焦点正由商品和物质的争夺向数据的控制转变。21世纪,数据被认为是基础生活资料与市场要素,由此产生的大数据也就成为社会经济发展的新基础“能源”,其战略价值不亚于工业社会的石油。21世纪的大国竞争已经不是硝烟弥漫的战争,也不是物质资源的争夺,而是要争抢对整个世界的影响力和主导权,这主要体现在对数据的掌控上。2012年3月,美国奥巴马政府宣布推出“大数据的研究和发展计划”,以抢占数据资源开发利用的制高点。随后,联合国“全球脉动”计划发布了《大数据开发:机遇与挑战》报告,得到了英、德、法、日等发达国家的积极响应。
困难重重:主客观环境多方掣肘
在大数据时代,数据生产、存储、使用不同主体容易形成数据主权的交互重叠甚至冲突。随着移动互联网发展、高性能计算突破和云计算基础设施的普及,数据的产生、存储、处理和使用已经突破了传统物理空间限制,互联网数据流动已经实现了全球同步,几乎没有时间延滞。在大数据环境下,信息传输的同步导致信息创造者、接收者和使用者,信息发送地、输送地及目的地,信息基础设施的所在地,信息服务提供商的国籍及经营所在地等数据不同利益主体交互重叠甚至有所冲突。数据传输的跨国界对传统的国家主权概念形成挑战,带来了复杂的权责关系。此外,国际社会并未对各国的数据主权管控范围进行划定,数据主权在国际法制定方面尚处空白,各国基于理性自保的需求,积极加强本国数据的管控和本国国民在他国数据的主权,这必然导致主权交叉重复的管辖状况。
西方国家提倡“网络自由”,对网络主权不予承认。长期以来,以美国为首的西方国家借“网络自由”之名,大肆输出意识形态,鼓吹西方政治制度模式,诋毁、攻击我国的政治制度和价值观念,对我国意识形态安全形成极大冲击。美国主导的“网络自由”实为网络霸权。美国等部分西方国家认为,互联网属于“全球公域”,反对任何形式的互联网管辖,借用“网络自由”干预主权国家互联网政策。2011年和2015年,美国等西方国家两次强烈反对由中、俄、塔、乌等上合组织成员国向联合国提交共同起草的“信息安全国际行为准则”草案,其核心是要否定“网络主权”概念,主张网络空间治理应坚持“多利益攸关方”,主权国家应将同等重要的责任和权利分享给其他行为体。
各国由于信息技术实力、文化背景以及价值观不同,数据主权的有关保护法也相差较大。“美国信息交换标准代码”(ASCII)是当前公认的互联网通用代码,以英语为载体的美国文化形成了事实上的互联网语言文化霸权,这就使其他国家很难在数据主权方面形成合力。在数据保护方面,各国也存在较大差异。欧盟早在20世纪90年代就开始实施较为严格的数据保护,有较为完善的数据保护法规;而我国数据保护仍处于部门条例阶段,网络安全法也尚处于立法阶段;广大非洲国家,由于互联网起步较晚、基础设施较落后,互联网数据保护立法还处于空白阶段。
寻求突破:放眼内外、综合施策
在我国外交战略中强化数据主权的目标与行动。新形势下,我国外交战略应坚持数据主权,我国政府对其管辖地域范围内个人、企业和相关组织所产生的数据拥有最高权力,能独立自主对本国数据进行管理和利用。在国际交往合作时,充分尊重他国数据主权,尊重各国自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利,不搞网络霸权,不干涉他国内政,不从事、纵容或支持危害他国国家安全的网络活动。积极开展数字外交,利用我国信息通信技术的优势,帮助发展中国家提升信息基础设施,发展信息产业,推广互联网应用,形成更多和更广泛的利益共同体,提升我国数字经济的全球影响力。积极配合“一带一路”建设,加大信息基础设施投资,建立“一带一路”金融、产业、人口、交通等专业领域大数据,通过数据共享共治,提升区域内的数据治理能力,建立区域数据利益同盟。
在联合国框架下推动建立新的全球网络空间治理体系。《联合国宪章》确立的主权平等原则是当代国际关系的基本准则,覆盖国与国交往各个领域,其原则和精神也应该适用于网络空间。然而,当前全球缺乏统一的针对网络数据主权的法律法规,各国的治理水平和能力也不均衡。纵观现有的全球网络空间治理体系,可考虑建立联合国框架下的数据主权的网络空间治理体系,强调任何一个主权国家,不论国家大小,主张地位平等,反对数据霸权,强调数据治理公平与开放。应强化联合国下设机构国际电信联盟的作用,增强其在全球互联网核心资源分配、全球信息通信基础设施改善、缩小数字鸿沟、打击网络犯罪和建立全球数据流动规则等方面的作用。此外,也可以在现有二十国集团(G20)的基础上,建立数据二十国集团(D20)数字经济治理机制,加强二十国集团成员在全球数字经济领域的沟通协作建立定期磋商机制,共同探讨全球网络治理新体系。
加强国家关键基础设施信息安全和核心数据的保护。我国应加快网络安全法审议进程,建立完善的国家关键基础设施保护制度。包括:
建立国家关键基础设施信息安全保护制度。明确国家关键基础设施分类,制定国家关键基础设施信息安全认定标准、等级和程序;全面评估我国国家关键基础设施信息安全现状,建立国家关键基础设施信息安全测评制度;建立国家关键基础设施信息安全负责人制度、保密管理和境外数据处理禁则。
建立国家关键基础设施信息安全事件的监测通报、预警制度和处置机制。从预警级别、预警启动、不同级别预警的应对机制以及预警解除等方面,完善国家关键基础设施信息安全事件的预警机制。成立专门的监管机构,负责国家关键基础设施信息安全风险监测工作,制定国家关键基础设施信息安全事件监测通报规划和方案。制定国家关键基础设施信息安全事件的分级处置标准、信息发布机制、数据恢复制度、责任追究机制,对于特大、重大信息安全事件要做好专项预案。
明确专门监管机构的信息安全监督管理职责,明确各个国家关键基础设施行业主管部门的信息安全监督管理职责;实施国家关键基础设施信息安全保护的行业主管和安全主管分离的制度。
在法律框架下行使数据主权、保护数据安全。网络主权和数据主权关系到国家安全、经济发展和社会稳定的根本,应加快从法律上确立我国网络主权和数据主权地位,国家对其管辖地域范围内个人、企业和相关组织所产生的文字、图片、音视频、代码、程序等全部数据在产生、收集、传输、存储、分析、使用等过程拥有最高管辖权。在现有《中华人民共和国网络安全法(草案)》基础上,建议进一步完善公民个人信息保护等相关制度,规范网络使用行为,加大对网络违法犯罪活动的惩处力度,切实维护广大人民群众的合法权益;从法律制度上增强国家应对网络安全威胁的能力,推广、应用安全可信的网络技术和产品,加强关键信息基础设施保护,切实维护网络设施和网络数据安全。
切实加强多边合作,形成数据保护利益共同体。欧洲在数据保护方面有丰富的立法和实践经验,对数据跨境流动实行了严格的保护。早在1995年,欧盟就出台了《关于与个人数据处理相关的个人数据保护及此类数据自由流动的指令》即个人数据保护指令,制定了严格规范的个人信息保护法律框架,并要求各加盟国建立统一的个人隐私保护法律、法规体系以保证个人数据在加盟国之间自由流通。2015年12月15日,欧盟《通用数据保护条例》(也称《一般数据保护条例》)出台,对互联网企业自由收集、分析和管理用户信息的权限进行了严格限定和监管,严格保护个人数据。在全球网络空间治理体系中,欧洲也处于弱势地位,缺乏全球性的互联网企业,核心技术和关键资源也受制于美国。中国与欧洲在全球网络空间治理和数据主权方面存在利益交汇点,数据主权和信息安全同样受美国网络霸权的威胁,我国应加强与欧盟在数据保护方面的合作,建立数据保护合作机制。
中国国际经济交流中心网络空间治理课题组
来源:《光明日报》