华政学报 | 刘晗 叶开儒 网络主权的分层法律形态
网络主权的分层法律形态
作
者
简
介
刘 晗 清华大学法学院副教授、智能法治研究院副院长,法学博士
叶开儒 清华大学法学院博士研究生
目次
一、导言
二、网络主权:何种主权?
三、网络主权的分层形态
四、结论
摘 要
自互联网诞生以来,关于传统主权概念和法律制度能否适用于互联网的问题,即是学界和业界争论的焦点。但是,传统关于网络主权的讨论主要是在威斯特伐利亚主权的概念框架内进行的,而这种主权观已经不能完全反映当代网络主权的真实形态。随着信息技术的发展,国与国之间的联系愈发紧密,网络空间也出现了一种新的主权形态,即相互依赖的主权。通过历史和理论的梳理,我们会发现,这种主权观一直都存在,且更能体现主权的本质。不过,由于互联网自诞生之日起就采用了分层的架构形态,因此,相互依赖的主权观也无法全盘适用于整个网络空间。相反,在不同的层面,网络主权会体现出不同的形态。正因为如此,中国的网络主权应该根据不同层次的法律框架进行分层建构,才能将抽象意义上的网络主权观念变为实质意义上的法律规制。
关键词
网络主权 威斯特伐利亚主权 相互依赖的主权 分层
一、导言
传统法律中的主权概念能否适用于网络空间?随着各国网络安全问题的激化,这个互联网领域的老问题,最近在国内外又重新成为热点。尤其在斯诺登事件后,各国纷纷意识到维护网络安全对于一国主权的重要性,网络主权(cyberspace sovereignty)也因此成为讨论主权概念的新的维度。
对中国而言,捍卫网络安全、维护网络主权更是被提升到空前的高度。2015年《国家安全法》第25条规定:“ 维护国家网络空间主权、安全和发展利益”。同时,我国政府在各种场合都反复强调网络主权在网络空间治理中的地位。例如,2017年3月1日,外交部和国家互联网信息办公室共同发布的《网络空间国际合作战略》也强调以尊重国家网络主权为基础的网络空间治理和国际合作。
尽管网络主权日益成为我国进行网络空间治理的重要的基础性概念,但是无论是官方还是学术界,目前于网络主权的性质都缺乏较为清晰的探讨,这势必影响网络空间治理的完善和国际合作的开展。目前的主流观点认为,网络主权是传统国家主权在网络空间的自然延伸,因而强调网络空间与现实空间的同构性。例如,2019年10月21日,在第六届世界互联网大会上发布的《网络主权:理论与实践》宣言,对网络主权的概念界定即采用此种观点。诚然,将网络主权视为国家主权在网络空间的自然延伸,自然就具有突出的理论价值;然而,在此基础上,论者仍需进一步厘定网络空间与物理空间的微妙差异,而非采用总体化的直接迁移路径来制定、执行和解释相关法律法规。否则,不但我国的网络信息产业发展会受阻,而且我国在网络空间层面的国际合作也将面临诸多困难。与此同时,有部分学者从网络的特性出发,认为网络主权的核心是信息主权或数据主权。但这一观点却大大缩小了网络主权的范围,从而无法为构建完整的、有层次的网络规制体系提供理路。
由此,要对网络主权的概念进行重新界定,就必须结合主权和互联网在当今世界中的新趋势,在分析思路和框架上进行更新。一方面,“主权”本身存在复杂的理论形态和演变逻辑,只有从“主权”自身的理论脉络出发,重新界定该概念的当代含义,才能为网络主权奠定正当性的基础;另一方面,互联网自身亦存在诸多特点,因而还需要将主权的概念与网络空间的内部结构特性相结合。毫无疑问,互联互通的性质是互联网的基本面;然而,在互联网体系架构的不同层次上,互联互通也呈现出程度的差异,因而每一个层次所呈现的主权形态和制度形式也是有差别的。
因此,本文试图将“网络主权”的概念放在主权的理论脉络和互联网内部的不同层次中进行辨析。其所想回答的核心问题是:网络主权能否在理论上被证成为一种不同于传统的领土主权的主权形态?更重要的是,此种新的主权形态在互联网内部的不同层次中,又体现为何种不同的法律面貌?通过回答这些问题,我们才能够理解,目前国际社会针对网络空间内主权管辖和法律规制所存在的共识与分歧,从而为建构“和平、安全、开放、合作”的全球互联网治理体系提供理论资源。
二、网络主权:何种主权?
(一)回溯围绕网络主权的争论
要探讨当代网络主权的实质内涵,不妨先从概念生成的源初语境入手。事实上,互联网兴起早期即已经出现了“网络主权”的概念,只是其意思与今天人们的用法大相径庭,主要指的是互联网相对于民族国家来说,具有独立的主权,不受国家控制。这一概念最初由约翰•巴洛(John P. Barlow)在其著名的《网络空间独立宣言》中提出。巴洛认为,网民(netizens)与传统主权国家之间不存在任何社会契约;相反,他/她们通过自由联合造就了一个全新的社会共同体,因而主权国家无法通过强制力来推行现实空间内运行的法律。
在以巴洛为代表的主权否定论者看来,网络空间之所以超越传统国家主权,是因为以下两个因素。其一,网络空间突破了传统主权国家之间的领土边界。由于互联网完全是虚拟空间,传统物理世界中的领土边界无法对应到网络空间中。在网络空间中只有两种边界存在:(1)虚拟空间和现实空间的边界;(2)网络空间中不同空间之间的界限(如不同的游戏空间)。在网络空间内,人们无法像在现实空间内一样寻找地点(place),也不能框定空间(space)。威斯特伐利亚体系确定的领土边界概念在网络空间中失效了。其二,在网络空间中,用户的交易行为无法找到属地管辖标识。在现实世界中,当一个人从本国越过边境进入另一国时,会立即意识到自己目前已经处于他国管辖范围内。然而,在互联网之中,人们进行交易或者互动时,并不是自然而然地知道此人从哪里来,也不知道目前自己到了哪里,应该受到什么地方法律的管辖。
与主权否定论相对的是,另外一批学者提倡主权肯定论,认为如同电话和电报一样,互联网仍然是一种通信技术手段,因此完全可以受到国家管制,因为一国网民可能侵犯另一国网民的法定权利。例如,针对互联网超越法律管辖权的论述,主权肯定论认为,这跟现实世界中跨境交易并无本质不同。一旦侵害发生,直接通过侵害发生地来寻求救济或者惩罚即可。面对互联网所产生的法律问题,律师、法官和法学家需要的是进一步研究冲突法,而不需要专门创设出独立于国家法律之外的另一种体系。正如美国法官和法学家伊斯特布鲁克(Frank Easterbrook)所言,并不存在一种独立于传统法律之外的“网络法”(cyberlaw),正如并不存在一种法律叫“马法”(the law of the horse)一样。
至于主权否定论者关于主权国家无法规制网上交易的看法,主权肯定论者认为,即便抛开目前对消费者进行地理定位和对服务器的定位技术,电子商务依赖于网上银行、信用卡等金融中介进行交易,而政府可以通过规制银行和信用卡公司来规制网络交易,例如美国政府正是通过这种办法来取缔在线香烟销售行为的。
近年来,随着全球范围内政治经济问题的新发展,特别是随着互联网领域的国际争夺,尤其是数据争夺的日益激烈化,主权肯定论的说服力也越来越大。尤其是随着斯诺登事件的不断发酵,各国都开始加强对本国企业数据跨境流动的监管,并重点关注政府和公共部门数据的跨境规制。因此,关于国家对网络空间是否享有主权这一问题,世界各国在一定程度上已经达成肯定的共识。但是对于国家实现网络主权的形式,国际社会依然存在巨大分歧。从法律角度来看,当代的争议已不再是互联网早期人们讨论的互联网需不需要法律规则的问题,而是采用何种法律规则、谁的法律规则进行规制的问题。由此,我们首先必须重新回到对主权概念本质的讨论,才能厘清网络主权的多重面向,进而为具体的法律规制奠定制度性的框架。
(二)主权的去领土化
从上述围绕网络主权的争论来看,双方关于主权的理解和界定本身其实存在共识:一种基于领土排他性的威斯特伐利亚主权(Westphalian sovereignty)。换言之,在一国的领土范围之内,该国的主权者具有最高的政治权威,不受其他国家的挑战和干涉。此种主权观念,不仅意味着法律上的独立,也意味着在事实上的自主。在当代,诸如“互联网主权”“网络主权”“信息主权”“数据主权”等概念,核心意涵都是将维斯特法利亚主权概念,直接运用于“网络空间”(cyberspace)之中。因而,这些概念本身带有着非常强的领土性和防卫性。这其实正是由现代欧洲通过威斯特伐利亚体系的主权国家体系,推广到全世界的国际政治原则和国际法逻辑:“现代主权是一种反抗自己以外一切政治力量的政治力量,是一个反抗一切其他国家的国家”。
然而,主权并非单一的概念。相比于1648年威斯特伐利亚条约所确立的民族国家的领土主权观,“主权”理论在漫长的演变历史中,并没有为空间概念所绑定。在西方近代主权理论的思想家眼中,“主权”恰恰来源于个体的意志,而非空间场域,因而其发挥作用的对象也是公民/臣民,而非领土和海洋。无论是在霍布斯还是卢梭眼中,“主权”都旨在为自然状态下的个体奠定秩序,而非划定疆界。恰恰是因为主权所奠定的政治秩序能够保障人民和国家的安全,主权才是最高且绝对的。理论上,主权只需为其签订契约的公民承担责任和义务,而无须考虑与其他国家建立平等的权力关系。当一国国民的安全受到威胁时,为了消除这种威胁,一国也就具有侵入别国领土空间进行干涉的正当性。
从历史上看,在近代欧洲,民族国家只是其中的一个面向,与之并存的还有“帝国”面向。1815年维也纳会议后,欧洲五大强国英国、俄国、奥地利、普鲁士、法国形成“共治”(pentarchy)格局,确立了“协调”机制,以防止欧洲内部类似于法国大革命的事件再次发生。由此,欧洲大陆迎来了近百年的相对和平,这有力地推动了欧洲大陆各国的民族国家建设。然而,这种和平并不意味着欧洲各国就恪守威斯特伐利亚条约所确定的领土主权原则。在欧洲之外,欧洲列强的帝国建设与民族国家建设实际上是同步的。通过殖民扩张,欧洲列强实际上建构了充满多元性的殖民帝国,从而确立了以宗主国、殖民地和扈从国为体系的中心与边缘的权力关系。而建立起这套秩序合法性的也并非是领土扩张,而是基于以人为核心的“文明等级论”——恰恰是殖民地的人民“文明程度低”,欧洲大陆的人民“文明程度高”,因此欧洲列强才具有进行征服和教化的正当性。
从后续的历史发展来看,世界各国也并未真正遵循威斯特伐利亚的领土主权观。“一战”的爆发打破了“维也纳体系”所确立的欧洲内部的主权领土的平衡,欧洲传统的公法秩序彻底瓦解,随之而来的则是各国间绝对主权与绝对主权的相互对抗,国际社会又重新回到战争状态。
“二战”结束后,伴随着对两次世界大战(尤其是对纳粹德国的反思),威斯特伐利亚主权虽为去殖民化运动提供了正当性基础,但是随着新自然法学派的复兴,也受到了国际人权法的极大限制。同时,美苏对抗更是彰显了主权的“脱域性”(de-territorialization)——对于美苏而言,全球都是它们争夺霸权的场域。“冷战”结束以来,威斯特伐利亚主权在世界范围内受到了极大的挑战,甚至否定,取而代之的则是弱化领土边界限制的经济全球化呼声。与此同时,国家联盟、国际组织和非政府力量在治理中的作用受到广泛重视和高扬,以民族国家为底色的威斯特伐利亚主权越来越受到超主权结构限制,一些国家为了加入国际组织或发挥非政府力量的作用而放弃部分威斯特伐利亚主权。
(三)从威斯特伐利亚主权到相互依赖的主权
由此可见,威斯特伐利亚式的主权观只能部分解释国际社会的各种现象。无论是在历史上,还是在当今国际社会,去领土化的主权始终存在,且发挥着越来越重要的作用。因此,为了理解网络主权的多重面向,必须重新对主权的概念进行界定。对此,本文借用美国政治学家斯蒂芬•克拉斯纳(Stephen Krasner)在其《主权》一书中的观点,探索当代“主权”概念的诸种面向。
在卡拉斯纳教授看来,“主权”一词至少有四种含义。一是维斯特法利亚主权(Westphalia sovereignty),即强调领土性,也即国家在领土范围内排除外来侵略和干涉。二是国际法主权(international legal sovereignty),即一个政治体获得国际法和国际社会的正式承认,获得国际法共同体的成员资格。换言之,国际法主权就是一个政治组织进入国际(特别是联合国)俱乐部的门票。三是相互依赖的主权(interdependence sovereignty),即在经济全球化的背景下,在相互联系的跨国语境中,管制人员、资源、信息和物品跨境流动的权力。四是内部主权(domestic sovereignty),即一国政府对于境内活动的有效控制,包括立法权、执法权和司法权等具体的管治权。
从上述区分可以看出,主权具备内与外的双重维度,并非是一个铁板一块的整体,拥有一种主权属性并不一定意味着拥有其他属性。威斯特伐利亚主权和内部主权强调国家对于领土范围内事务的控制权;国际法主权和相互依赖的主权则强调国家间的相互承认和交往。在当代国际社会中,相比于主权的内部维度,主权的外部维度越来越受到重视,其中又以相互依赖的主权凸显为主要特征。
相互依赖的主权伴随着国际社会的交流和互动不断加深而出现。尤其是随着“冷战”的结束,世界重新进入以美国为主导的全球经济体系,经济全球化和技术进步使世界各国的联系日益紧密,同时也导致诸如货币危机、恐怖主义、毒品贸易等全球性问题爆发。在这些威胁面前,每个国家都不能独善其身,完全依靠威斯特伐利亚主权来解决问题。正因为如此,克拉斯纳对于相互依赖的主权的界定,也反映了21世纪以来,国际社会和学界对于主权概念重新界定的一种共识,即主权概念必须在全球化的语境下进行重新界定。
由此,相互依赖的主权不仅是一项定义,更是一种关于现实的描述:在全球化的进程中,世界上大多数国家正在失去控制跨境活动的实际能力。具体而言,相互依赖的主权具有以下三个特征。
首先,它会影响一国的威斯特伐利亚主权。在逻辑上,尽管各国调整跨界活动的能力,与其独立的国家地位、国际法主权或威斯特伐利亚主权无关,但实际上,相互依存的主权的损失,可能导致一国对某些威斯特伐利亚主权的实际放弃。例如,当一国无法有效管制其跨境流动活动时,往往会通过订立条约建立超国家的机构来共同管理,但这无疑是在一国领土之内建立一个外部权威,从而损害其威斯特伐利亚主权。
其次,实施主体是多元的。从形式上看,在相互依赖的状况下,主权依然归国家享有。但在具体实施过程中,跨国公司、非政府组织和社会力量都会参与其中。以数据跨境流动为例。尽管就法律资格而言,民族国家对其境内所产生或储存的数据享有“主权”;但是在实际控制意义上,数据主权也部分为互联网巨头公司所分有。在极端情况下,二者甚至对于数据控制权产生争夺。例如,在苹果公司和美国联邦调查局之间的一次纠纷中,美国联邦调查局为调查枪击案嫌犯信息,让地区法院发出命令,要求苹果开发后门软件,以便破解该嫌犯的iPhone5c的密码;苹果公司则拒绝为FBI开发后门程序。这一纠纷典型地体现了微观层面政府与公司之间的“数据主权”斗争。
最后,在相互依赖的状态下,主权本身表现出很强的弹性。当全球化弱化了民族国家的领土边界和控制力时,国家的硬实力很大程度上决定着一国主权的实际控制能力。对强权国家而言,其主权往往体现出扩张态势,即根据自身国家特性和国家利益来决定权力行使的实际范围;而对弱势国家而言,其主权更多体现为防御态势,必须诉诸威斯特伐利亚主权中的主权平等和不干涉原则来保护自身。从现实状况来看,资本和技术的运作使得权力行使日益去中心化,强权国家的主权扩张变得更为隐秘——不再是直接占领领土,而是通过间接控制来实现宰制和攫取。强权国家的主权逐渐变成一张巨大的“网络”,它无处可寻,却又无处不在。
事实上,相比于威斯特伐利亚主权,相互依赖的主权更能体现主权的本质。主权本身包含了两个要素:权威(authority)和控制(control),或者法律主权(legalsovereignty)和实际主权(de facto sovereign)。权威指的是国家从事各种活动的合法权利和正当资格;控制则是通过硬性强制和软性约束所带来的对国内国际活动的有效管理。在法律主权的维度下,一个政治体是否具有主权,核心的是其能否获得国际社会的承认;而在实际权力的维度下,一国政府即便获得了法律上的主权资格,但主权的实现程度仍取决于实际的支配能力。例如,从规范意义而言,世界上现在有将近200个主权国家。但实际能够在领土、军事和经济能力上真正独立于外部力量的国家少之又少,这才有了“失败国家”“半主权国家”或者“无主权国家”的说法。
因此,随着相互依赖的主权日益深化,如何基于各国的实际主权——而非法律主权进行国际规则的建构,才是我们思考主权问题的关键。相互依赖的主权强调的,不仅是对跨境流动管制的法律资格,更是一种实际能力。相比威斯特伐利亚主权,相互依赖的主权体现出当代国际社会中主权的另一种形态:在相互交融、开放合作的过程中,一国何以通过更为积极的姿态捍卫国家利益。
三、网络主权的分层形态
相互依赖的主权这一概念的提出,为我们理解网络主权提供了一个新的理论工具。毕竟,互联网本身就存在着极强的去领土化的特征,各国间的网络治理问题亦存在着“相互依赖”的特性。
但仍然需要注意的是,即便是在互联网领域,各国之间相互依赖的程度,在互联网体系架构的不同层次上,仍然存在差异。概而言之,互联网体系自身并非铁板一块,其根据不同的功能可以划分为不同的层面:处于最基础地位的是物理层,主要包括计算机、服务器、移动设备、路由器、网络线路和光纤等;其次是逻辑层,主要包括各种传输协议和标准,如著名的TCP/IP协议;最后是内容层,即人类可以直接理解其意义的表达,包括经由互联网传输的文字、图片、音频、影像等信息和资料,以及移动互联网中的各种应用。
在每个层面,相互依赖主权的适用程度并不相同,甚至存在着威斯特伐利亚主权和相互依赖的主权的情况。因此,要想构建网络主权的规则框架,就必须将网络主权进行分层建构。对于物理层的各种设备而言,其属性更接近于物理空间内的物品,因而互联互通的属性程度相较而言稍低,更接近于传统的威斯特伐利亚主权;逻辑层则呈现出极强的互联互通特性,因而更适用相互依赖的主权概念,因为没有了逻辑层的紧密联结,互联网本身的基础结构即告消灭;内容层则随着早期互联网信息无界流通的弱化趋势,日益体现出多元化和自主化的面貌,该层面的网络主权实际上处于传统威斯特伐利亚主权和相互依赖的主权之间。因此,网络主权的概念必须在物理层、逻辑层和内容层三个层面进行更为精细的界定。
(一)物理层
在目前的国际法和国际实践中,互联网物理层主要适用威斯特伐利亚主权。作为物品,计算机、服务器和光纤完全从属于传统国家法律的管制。国家在私法层面确认对于此类物品的民事权利外,还对其具有国际公法上的管辖权。物理层基础设施可能属于本国的某个私人,但也在主权国家的公法管辖范围内受到保护和控制。如果其他国家、军队或者政府——乃至政府授权的私主体——对于此类物品进行攻击或损害,不但侵害了该物品所有人的财产权,也侵犯了该所有人所在国的主权。
当今国际政治和国际法中所谓的“网络战争”(cyberwar)或者“网络攻击”(cyberattack)很大程度上是物理层主权层面的概念。在国际公法领域,网络战争已经成为公认的法律概念,主权概念也直接应用于网络基础设施领域。北约卓越合作网络防御中心(NATO CCD COE)邀请国际专家小组编写的《适用于网络战争的塔林国际法手册》(以下简称《塔林手册》)是最为鲜明的例子。该手册是国际政治领域目前处理网络战争的法律方案的集中表述,中心思想是将国际公法——特别是战争法——的基本概念和规范引用于网络空间:主权、使用武力、管辖权、诉诸战争权等。值得重点关注的是,《塔林手册》开门见山地点出了网络主权的概念,并肯定了网络主权的存在:虽然没有任何一个国家能够获得对于整个网络空间的主权,但除非被有约束力的国际法规则——如国际人权法——所禁止,一国可以对其主权领土之内的网络基础设施、从事网络活动的人员和网络行为实施控制。
《塔林手册》进一步阐明,网络主权源于一国的领土主权,具有两个具体的法律意涵:第一,网络基础设施受到国家法律法规的管制;第二,国家对于位于其领土上的网络基础设施提供保护——无论从财产法的意义上,某个基础设施属于国有还是私有。可以看出,在物理层上,网络主权与传统主权基本无异——如同主权国家对于其领土上其他基础设施(如公路)的管治权一样。一国攻击另外一国的网络基础设施的行为将侵犯该国的主权。并且,根据主权的原则,一国可以“限制或保护(部分或全部)互联网接入”,接入国际互联网不意味着该国放弃其主权。
具体到国家政策层面,虽然美国政府和舆论在政治修辞层面否认网络主权的概念,主张网络空间的绝对自由,但在针对物理层的网络攻击问题上,实际决策者仍然秉承传统国际法上的主权概念和主权思维——不仅一直坚持美国主权和民族国家观念的共和党如此,而且就连一直提倡国际化和全球化超越民族国家疆界的民主党也是如此。2012年,时任美国国务卿希拉里法律顾问的高洪祝(Harold HongjuKoh)曾在美国网络部队(U.S. Cyber Command)的研讨会上表示:
国家在网络空间从事活动时,必须考虑其他国家的主权,即便是在武装冲突的语境之外。支撑互联网和网络活动的物理基础设施大体上位于主权领土之内,受制于领土国家的管辖权。正因为网络空间互相连接、共同操作的性质,针对位于一个国家之内的互联信息基础设施的攻击行动,可能在另外一个国家产生效果。当一国考虑在网络空间从事活动时,其他国家的主权必须加以考量。
由此,美国也将保护国家网络关键设施作为其网络安全法律体系的重中之重。早在1996年美国国会就制定了《国家信息基础设施保护法案》;1998年,克林顿总统则签署了《关于保护美国关键基础设施的第63号总统令》,要求迅速消除可能导致关键基础设施面临攻击的明显漏洞,该法案时至今日也成为指导美国网络安全工作的指导性文件。2013年,美国两党更是共同签署了《2013年国家网络安全和关键基础设施保护法案》(NCCIP法案),以加强美国关键基础设施的保护。通过一系列的国家立法和行政措施,美国强化了基础信息系统建设、维护、防范等方面的监管。
与此同时,美国法学界很多论述认为,传统国际战争法应直接适用到网络空间。从战略学角度来看,网络空间已经成为陆地、天空、海洋和太空之外的第五疆域(the fifth domain),成为国与国之间战争的新战场。在这一背景下,《塔林手册》的制定也是以“国家主权”这一现代国际法的基础概念为基点,并强调现行的国际法规则完全适用于网络战争。
在物理层的主权的问题上,中国和美国并无分殊,都坚持传统国家主权的概念和主权独立、不可侵犯的基本国际公法原则。但与美国相比,我国网络核心技术上相对处于劣势,导致国家关键基础设施面临较大风险,特别是面对高强度的网络攻击的时候。事实上,除了美国之外,世界上其他国家大多都属于网络空间的弱势国家,只能奉行网络防御型战略。正如习近平总书记所言,如今互联网领域已经呈现出发展不平衡、规则不健全、秩序不合理等问题,而不同国家和地区的信息鸿沟也不断被拉大。为了加强网络防控,对我国的网络和信息关键基础设施的保护是关键。为此,2016年通过的《网络安全法》开宗明义地确立“维护网络空间主权”(第1条)的目标之外,相应地在第31条针对物理层进行规定:“国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”其次,由于关键信息基础设施的特殊性和重要性,《网络安全法》还规定了关键信息基础设施的所有者或者运营者承担相应的社会责任和法律义务,并通过风险评估、人员培训、应急预案、技术储备等多种措施,形成多元参与、全方位保护的治理体系。
(二)逻辑层
互联网的逻辑层负责将信息和内容转化为计算机代码并进行传输。其最为基础性的构成要件,是负责网络互联和信息传输的基本协议和标准,特别是TCP/IP协议。这类协议和标准最初是由美国联邦政府的公共财政支持的工程师创造出来,因而是完全公开的。而将互联网赋予色彩和图像的万维网(WWW)协议、HTTP协议和HTML协议的创造者蒂姆•伯纳斯•李(Tim Berners Lee)也完全是出于公益心。
在逻辑层所涉及的主权问题当中,一个根本问题是域名系统(Domain Name System,简称DNS)的控制权争夺。域名系统负责将日常语汇写成的域名解析为互联网协议层中网络可以识别的IP地址,如将www.law.tsinghua.edu.cn解析为166.111.4.100。在网络主权和网络安全问题中,处于核心地位的是域名安全问题。如果域名系统出现问题,互联网会立即陷入阻断状态,甚至瘫痪。
目前根域名治理的相关问题在世界范围内存在较大分歧。历史上,秉承主权否定论思想的一些工程师和互联网人士,曾经试图采取网络空间自治的模式来解决DNS系统的治理问题。如一开始所有的域名数据都存在互联网创始人之一的霍纳桑•波斯特尔(Jonathan Postel)的电脑中,以互联网数字分配权力机构(Internet Assigned Numbers Authority,简称IANA)的名义保存。但后来美国政府开始介入,将其转包给一些公司。互联网自治主义者进而不满美国政府的行为,开始成立了互联网协会(ISOC)来管理DNS,然而美国政府随即以强硬的立场反对,最终全面掌控DNS管治权。
随后,域名治理在美国政府的主导下采取了私有化的方式进行。美国政府通过合同将治理权授权给一个非营利公司“互联网名称与数字地址分配公司”(Internet Corporation for Assigned Names and Numbers,简称ICANN)。ICAAN于是从1998年开始即实际操持DNS系统,成为本来提倡分散治理的互联网领域最为集权式的治理机构。但最为重要的是,ICANN向美国政府负责并报告工作。
具体而言,美国政府对ICANN的实际控制的法律框架基于三个合同。 一是与IANA的合同。据此,ICANN从美国政府那里获得管理IP地址和根域名文件的授权。二是2006年美国商务部和ICANN签订的名为“共同项目协议”(Joint Project Agreement)的备忘录。美国商务部将涉及DNS安全与稳定的管理权授给ICANN,承诺最终过渡到数字地址和域名管理权的私有化。三是美国商务部与VeriSign公司之间的合同。VeriSign作为“.com”和“.net”域名服务器的管理者,据此执行所有ICANN的决定,并听从美国政府的指令。
然而,美国对ICANN的单边控制,既不符合业界对于互联网自由的期待,也不符合世界其他国家的网络主权的期待。因此,有关对ICANN进行改革的呼声一直没有停息,其中出现了两种关于ICANN改革的方案,分别是国家间联合治理的“联合国模式”,以及以多边利益相关方为基础的“公司模式”;而二者所体现的恰恰是两种不同的主权观——前者无疑体现的是威斯特伐利亚主权,后者体现的则是相互依赖的主权。
1.联合国模式
所谓联合国模式即是,在互联网的域名治理问题上,世界各国无论实力大小,都享有一票表决权。在国家之外,包括商业力量、民间团体、技术人员等互联网的实际建构者,没有投票权。虽然在具体实施路径上,各国的主张有所差别,但是其基本的诉求都是试图在ICANN之外,重新打造一个国家间合作共治的域名治理机构。
联合国模式最早是在联合国的“互联网治理世界峰会”(World Summit on Internet Governance,简称WSIG)上提出。WSIG的前身为2002年到2005年间不断召开的多边研讨会“信息社会世界峰会”(World Summit on Information Society,简称 WSIS),其目标是共同致力于建立一个以人为本、包容和面向未来发展的信息社会,在其中每个人都可以创建并分享信息。2005年11月,在突尼斯“信息社会世界峰会”上,欧盟提出,将域名管制权从ICANN和美国商务部转到联合国的国际电信联盟(International Telecommunication Union)领导的“互联网治理工作组”(Working Group on Internet Governance,简称 WGIG)亦有意从 ICANN 手中取得域名和 IP 地址的分配权和管理权。
值得注意的是,国际电信联盟(ITU)一直被美国之外的其他国家寄予厚望。国际电信联盟是为推动互联网国际治理朝着各利益攸关方的方向发展的一个联合国特别机构,其主要负责管理国际无线电频率分配等问题。其支持者主要是许多新兴经济体和发展中国家,它们主张应当将对IANA的监管权交给国际电信联盟。20世纪90年代末,在涉及各国主权问题的顶级域名申请过程中,许多主权国家因为与ICANN沟通不畅,所以诉诸国际电信联盟来解决一些关键问题。在这一时期,国际电信联盟在各主权国家尤其是发展中国家与ICANN的沟通中,充当了重要的决策者,直接推动了ICANN内部政府咨询委员会(GAC)的成立,为推动ICANN管理的国际化与全球化发挥了重要的贡献。2010年,国际电信联盟全权代表会在墨西哥的瓜达拉哈拉召开,讨论了互联网治理问题。代表们提出,由国际电信联盟设立特别机构,拥有否决ICANN决定的权力。
2011年9月,印度、巴西和南非联合提出,互联网治理权应该移转到“联合国互联网相关政策委员会”(UN Committee on Internet—Related Policy,成员来自各国政府、社会和业界),借此实现2005年突尼斯峰会提出的多边主义治理精神。具体的举措是将ICANN纳入联合国体系下的国际电信联盟进行管理。与此同时,上海合作组织向第66届联合国大会提交“信息安全国际行为准则”(International Code of Conduct for Information Security),旨在推动以各国政府为主体的多边主义互联网治理规则的制定。
然而,面对世界各国的激烈反对,美国却始终不为所动。早在2005年,美国国会就宣布,“权威的根域名服务器将仍然在物理上落在美国,而且商务部将继续保持对于ICANN的监督,以使得ICANN能够继续良好地管理互联网域名和地址系统”。2012年,在美国众议院能源与商业委员会(Energy and Commerce Committee, House of Representatives)举行的题为“规制网络的国际提案”(International Proposals to Regulate the Internet)的听证会中,美国对印度、巴西和南非提出的互联网治理计划提出明确反对,从而继续维持原有的ICANN治理框架。考虑到美国在域名治理中的传统优势,“联合国模式”想要真正实现,路依然漫长。
2.多利益相关方模式
2013年,“棱镜计划”曝光之后,大规模的监控使世界对美国主导的互联网治理丧失了信心。为了改变自身形象,2014年3月,美国商务部宣布美国将放弃其对于ICANN的管理权,以平息国际社会的批评之声。由此,ICANN成为新成立的IANA的唯一成员,行使对IANA的全部监管权限。但是同时,根据ICANN章程细则的规定,ICANN对IANA的监管要受到多利益相关方(multi-stakeholder)的控制。这里控制主要是通过两个层次展开的。第一,直接层次。即通过ICANN与IANA架构的涉及,赋予了多利益相关方就ICANN和IANA核心问题治理行为的批准权和驳回权。第二个层次则是多利益相关方在ICANN框架之下,对ICANN的治理。整体上看,多利益相关方在ICANN之中所处的位置比较微妙:一方面多利益相关方并非ICANN的成员;另一方面多利益相关方却又掌握着对ICANN董事会和机构的控制与监督权。
多利益相关方自下而上的治理机制是ICANN监管权限移交的一大原则。具体在ICANN的治理架构之中,多利益相关方则主要是通过赋权社群(Empowered Community)发挥作用。按照ICANN章程细则的规定,赋权社群(Empowered Community)是根据美国加州法律设立的非营利联合体,由五个组织组成:地址支持组织(ASO)、国家代码域名支持组织(ccNSO)、通用名称支持组织(GNSO)、一般会员咨询委员会(ALAC)和政府咨询委员会(GAC)。每一个赋权社群组织的成员,都是决策参与者(Decisional Participant)。
在某种意义上,赋权社群组织类似于一个民族国家内部的下议院,其主要职能包括以下五类:第一,董事选任与罢免权;第二,章程修订权;第三,重大事项批准与否决权;第四,社群复议、调节或开启社群独立审议的进程;第五,司法诉讼。从形式上看,这些规定主要是针对赋权社群的目的与能力;而从内容上看,这些规定事实上将赋权社群的目的仅仅限定在对ICANN的限制与监督之上:事前的通过对ICANN董事会的选任和重大事项的否决权,以及事后通过诉讼的方式进行监督的权力。可以说,赋权社群的创立就是为了监督ICANN。
对于公司而言,能够对董事会形成有效的监督的组织是股东大会。对于非营利公司而言,该职能一般主要是由成员大会履行。但是无论是一般公司的股东大会还是非营利公司的成员大会,其本身的性质都仅是公司的组织机构。而奇怪的是,ICANN章程规定赋权社群却是具有自己独立法人地位的组织,它并非ICANN的内设组织,但又对ICANN机构具有相应的权利。
由此,改革后的ICANN体现了一种与联合国模式相对的多元主体治理模式。从美国的互联网治理观念来看,私营机构之间的协同相比政府或政府间组织能够更好地促进创新和互联网发展。这一看法的背后,其实隐含着美国对于网络空间主权的想象——基于国家边界的威斯特伐利亚主权正在消亡,真正的主权已经落在国家之外的全球互联网群体手中。而构成这一群体认同的也不再是传统的国家、领土或民族,而是基于理性主体相互交流和承认。
但事实上,美国政府对“多利益相关方”模式的强调主要来自两点考虑。第一,不论是将IANA的监管权限移交给国际组织还是政府间主导的组织,都面临一国一票的问题,即使不考虑“数字鸿沟”的存在,美国也需面临国际协作问题。第二,美国政府之所以强调“多利益相关方”模式,也还植根于美国的产业界影响。通过“多利益相关方”模式,可以放大美国在互联网技术与市场上的优势,更好地符合美国产业界的利益。
(三)内容层
如果说物理层和逻辑层更多涉及技术问题,内容层主要涉及信息管理和数据流动规制的问题。在互联网发展初期,各国行使主权的方式主要体现为对互联网信息内容的管理。虽然早期互联网理论家倾向于认为,知识和信息应无国界地流通,但是20世纪末互联网商业化使得网络空间与物理空间日益融合,政府治理重新回到网络空间之内。如今,各国政府在是否需要互联网规制的问题上已经达成一定共识,分歧只在规制的强度和广度。由此,各国对互联网信息的管制,可视为其对传统报刊传媒规制的延续,本质依然是一国威斯特伐利亚主权的体现。
纵观各国的政策法规,各国对网络信息规制的强度和范围往往与一国的文化和意识形态有关。对于广大发展中国家,尤其是网络后发国家而言,出于历史文化和民族宗教等原因,往往会对发达国家的网络信息内容采取限制。例如,大多数中东国家都会禁止本国国民登录与伊斯兰教义不同的网站。而在欧美发达国家内部,对于互联网内容的政府管制也存在着极大差异。例如,同样适用宪法中的言论自由条款,美国最高法院保护仇恨言论(hate speech)——即鼓动和教唆种族仇恨、种族歧视和政治极端思想等,典型如纳粹言论;而德国宪法法院则不将其纳入言论自由保护的范围。甚至美国的邻国加拿大,虽同属普通法系,其宪法和司法判例也不保护仇恨言论。这个问题上的分歧,集中体现在发生在2000年著名的法国政府诉雅虎案(2000)上。案件缘起于法国网民发现雅虎法国网站(yahoo.fr)拍卖纳粹纪念品,随即法国政府在巴黎法院起诉雅虎公司。雅虎公司辩称,依据美国宪法,拍卖行为属于言论自由,而言论自由保护纳粹言论及其表达形式,因而不应受到政府和法律的限制。然而,巴黎法院认定,雅虎必须遵守法国法律,法国法律中的言论自由并不保护纳粹内容。
随着大数据时代的来临,围绕跨境数据流动的法律规则占据了关于网络主权讨论的中心地位,以至于晚近出现了“数据主权”(DataSovereignty)的概念。而在跨境数据流动问题上,世界各国体现出不同的网络主权观:主张威斯特伐利亚主权观的国家往往采取数据本地化的措施,而主张相互依赖主权观的国家则强调国际间的协调和互助。
1.数据本地化
以云计算、物联网和大数据为代表的信息技术的发展,使得数据流动已经成为共识和趋势。但是,由于各国在互联网领域实力的不均衡,现实中国家往往会以维护国家安全、保护个人隐私和促进产业发展等理由而采取数据本地化(data localization)措施,限制数据跨境流动。具体而言,目前世界各国的数据本地化措施可分为以下三种类型。
第一,要求本国/地区收集的数据全部储存在本国/地区境内。这一类型的代表有俄罗斯、越南、尼日利亚等。例如,俄罗斯于2015年9月起实施新的《个人数据保护法》第5部分第18条规定,任何处理俄罗斯公民的个人数据(包括记录、系统化、积累、存储、更新、更改或检索个人数据),都必须在俄罗斯境内进行。而对于需要境外传输的数据,也要求必须在俄罗斯的数据库中进行初始收集或更新。根据本条的规定,经营者必须在俄罗斯境内设立服务器,方可对俄罗斯公民数据进行记录、系统化、累积、存储、修改和检索。第二,要求本国/地区收集的数据部分储存在本国/地区境内。这类国家和地区主要有澳大利亚、加拿大、印度等。如澳大利亚仅对违反澳大利亚的隐私原则(Australian Privacy Principles)的数据跨境流动进行禁止。 对于部分重要敏感信息的跨境流动,澳大利亚也予以限制。例如,2015年11月开始实施《我的健康纪录法》(My Health Records Act 2012)第77节规定,系统操作者、注册存储操作者、注册门户运营商或注册合同服务提供商,在为“我的健康记录”系统保存记录(无论记录是否也用于其他目的),或访问有关此类记录的信息时,不得将健康记录存储或传输至澳大利亚境外。第三,对数据跨境流动的传输路径进行控制。一方面,以欧盟、日本为代表的国家通过限定数据传输的目的地的方式来规制数据跨境流动。例如,欧盟《一般数据保护条例》(GDPR)规定,只有第三国在个人数据隐私的保护方面达到了欧盟认定的保护水平,才许可个人数据向该第三国传输;另一方面,以德国、巴西为代表的国家通过物理路由建立国内或区域内的安全路径,以避免第三国(尤其是美国)的监控。德国甚至还提出创建“申根路径”的设想,使数据可以在申根国家范围内自由流动。
虽然各国数据本地化政策在具体实施路径上存在差别,但本质仍是威斯特伐利亚主权对数据的控制。无论是出于维护国家安全,还是出于保护个人隐私,数据本地化都能保证本国的法律和政策得以有效执行。否则,当本国境内发生严重的威胁公共安全的刑事案件时,当地执法部门要获得相关电子证据,就必须依赖第三国的协助。例如,当印度警方在侦查一个重大刑事案件时,发现有重要证据线索存储在嫌疑人的Gmail和Facebook账户中,但印度警方对该数据的访问请求,很可能会被谷歌或者Facebook以其为美国企业为由而拒绝。为此,印度政府必须寻求美国政府的司法协助。由此,对于许多互联网后发国家来说,只有把数据尽可能多地、牢牢掌握在自己手中,才可能保证其网络主权的实现;此处,威斯特伐利亚主权则更多体现为一国独立自主的网络生存权和发展权。
2.国际协作与互助
尽管在当下,数据本地化的举措能够取得相应的成效,但是从互联网和大数据经济的长远发展角度来看,一国不可能完全切断与外界的数据传输。尤其是在全球经济发展低迷的情况下,数据本地化很可能使得一国错失下一个技术革命的经济增长点。因此,数据跨境流动日益频繁,考验的已不再是一国实现威斯特伐利亚主权的能力,而更多是实现相互依赖主权的程度,尤其是在国际间所能达成共识和合作框架的能力。
当前,国际上有关数据跨境流动的制度实践,很大程度上是由目前的国际政治格局所决定,呈现出该领域国际规则和国际合作的“圈子化”特征。以欧盟和美国为例,作为数据保护的急先锋,欧盟虽然在数据跨境流动监管方面颇为严格,但是为了建立共同的数字市场,保障欧盟范围内数据自由流动,欧盟先后推出的95《指令》和GDPR,统一了欧盟20多个成员国的个人数据跨境规则体系。与此同时,为将欧盟的数据治理标准推广为国际标准,欧盟在GDPR中将管辖规则扩展为“影响主义原则”,即便数据控制者或处理者在欧盟境内没有设立实体机构,但其对数据主体的个人数据处理行为,也适用该法。在实践中,这意味着任何向欧盟居民提供商品或服务的企业都将受制于GDPR,不管该企业是否位于欧盟境内,是否使用境内设备。此外,包括以“充分性协定”为基础的“白名单制度”的建立,也无不体现欧盟试图打造自身在数据治理领域“朋友圈”的雄心。
如果说欧盟在数据跨境流动领域更多采取“以守为攻”的做法,那么美国则是利用其超级大国的地位,直接采取进攻型策略,在其盟友间通过签定国际协定和利用相关的国际组织推动数据跨境流动自由化。例如,2012年的《韩美自由贸易协定》(KORUS FTA)是全球第一个含有数据跨境流动特定约束力规则的自由贸易协议,韩美两国“努力在跨境电子信息流动领域减少或消除不必要的壁垒。2015年,美国政府还推动了“跨太平洋战略经济伙伴协定”(TPP)的签署,包括日本、澳大利亚、新加坡等12个国家都参与其中。该协议第14章第14.11条明确规定,协议各方应允许通过电子手段跨境转移包括个人数据的相关数据。虽然该协议因为美国的退出而前途未卜,但该协议所反映出的关于美国建构自身数据自由流动“朋友圈”的努力不容忽视。此外,美国还推动亚太经合组织(APEC)通过了《跨境隐私规则体系》(Cross-Border Privacy Rules,CBPRs),作为各成员国的跨境数据流动规则,并借此推广其自身模式,争取数据跨境领域的话语权。
虽然欧盟和美国在数据治理中存在许多价值争议,在现实国际法律实践中,美国与欧洲之间的共识多于分歧。例如,近年来随着斯诺登事件的不断发酵,美国和欧洲于2000年签署的《国际安全港隐私权原则》(International Safe Harbor Privacy Principles,以下简称“安全港协议”)最终被欧盟法院判决无效,但很快美欧双方马上开启了新一轮谈判,终于在“安全港协议”失效几个月后,签署了“美欧隐私盾决定”(EU-US Privacy Shield Decision),从而保障了美欧之间必要的数据传输。
四、结论
毫无疑问,随着大数据、人工智能和物联网的快速发展,网络空间与物理空间的界限必将逐渐趋于消解。层出不穷的技术带来的层出不穷的法律问题,必然推进网络治理体系和国际合作体制的更新。较为精确地界定网络主权的概念,对于上述问题而言,其重要性不言而喻。本文针对网络空间的分层特性,对于网络主权的概念和相应法律制度,进行分层建构。
首先,在网络主权概念的建构中,须结合传统领土主权和当今世界出现的互相依赖的主权,在两个维度中丰富对于主权概念的理解,从而使得主权概念贴合网络空间本身的特性。在坚持传统威斯特伐利亚主权观念的同时,在信息全球化的背景下,应考虑国与国之间的互联互通和相互依赖的状况。
其次,主权概念的重新界定,亦无法直接套用到网络空间之中。网络空间从一诞生,即采用了分层的架构形态。在不同层面,互联网具有不同的结构逻辑。因而,需要将主权概念分别匹配到不同的架构之上,方才能够构建完整而有内部区分的网络主权概念体系。
最后,在主权概念应用于具体法律制度建设的过程中,应充分理解和尊重互联网架构体系的分层特征,根据物理层、逻辑层和内容层各自不同的联结属性和国与国之间互相勾连的程度,进行相应的制度匹配。在物理层,可以较为直接地适用传统威斯特伐利亚主权概念,突出对于互联网设施的领土性保护。在逻辑层,需要在网络空间互联互通的基础上,将主权概念转化为一国平等参与互联网基础资源分配决策的权利。在内容层,需要坚持传统主权,塑造符合一国社会文化观念体系的内容治理制度,同时依照传统主权对于数据流动进行相应规制,此外亦须依照相互依赖的主权,参与并推动数据跨境流动的国际互助与协作。
需要加以说明的是,本文对于互联网规制问题中分层的强调,并不意味着互联网的三个层面相互隔离。早年莱西格教授关于端对端(End-to-End)的分析依然是准确的:互联网的几个层面其实是相互连通的,它们共同构成了互联网的运行基础。当信息通过互联网进行传输时,信息从内容层(“最高”层)通过应用程序层、逻辑层流向物理层(“最低”层),然后以相反的顺序流回相同的层。应用程序将内容数字化,将数字信息分解为数据包,并通过互联网协议确定传输地址,最终传递到物理层。物理层通过铜、光纤、无线电台等方式将单个数据包传输到网络上的端点或目的地,然后信息就会垂直向上穿过各个层到达目的地,并被应用程序转译为内容。
然而,端对端结构的建立,绝非是取消了分层的理由。这是因为,就规制和法律建构而言,互联网各个层面的特性存在很大差别。具体来说,由于物理层作为由实物属性较强的因素构成,需要以国家的物理空间载体作为基础,因此国家能够运用威斯特伐利亚主权对其进行规制和管理。但是在物理层之上,无论是逻辑层还是内容层,去领土化的色彩较为明显,互联网也正是在这两个层面真正地实现了一定的互联互通。由此,我们可以看到,在逻辑层和内容层中,民族国家的威斯特伐利亚主权受到了强有力的挑战,各国间相互依赖的程度愈发深入,使得国家的力量已经无法完全切断各国间的相互联系。在这种情况下,美国这样的互联网强国而言一直努力突破威斯特伐利亚主权的限制,试图谋求一种扩张式的主权。与之相对的,则是广大发展中国家努力摆脱美国的控制,并试图在一个多元的权力结构中平等地参与互联网的治理。
不同层面的主权形态的差异,使得民族国家的互联网法律必须与之相适应。倘若用规制物理层的法律思维去规制逻辑层和内容层,最终的结果无异于规制失灵。正如有学者指出,互联网的法律设计应该尊重互联网的基本架构,适用最小限度交叉原则(principle of minimizing layer crossing):“解决规制问题最有效的方法,便是用该层面的规则来处理该层面的问题,而最糟糕的办法,则是将在物理层实施的规则适用于内容层,反之亦然。”可见,对网络主权进行分层建构,是为了更好地实现一国的主权。倘若不加区分地在每个层面都适用威斯特伐利亚主权观处理问题,反而无法实现应有的规制效果。
要而言之,互联网的层次区分并非是为了单纯的区隔,而是为了建构符合网络空间特性的规制框架,进而形成一种整全而有效的网络主权结构体系,从而更好地在网络空间中通过具体的制度设计落实主权原则。
一句话,只有重新界定“主权”,并分层理解“网络”,我们才能进一步厘清“网络主权”概念的深度意涵。在这个意义上,本文仅仅是一个开始。
(责任编辑:陈越峰)
(推送编辑:潘佳妮)
本文原载于《华东政法大学学报》2020年第4期。编辑部在线投稿系统已更新,欢迎学界同仁登录journal.ecupl.edu.cn惠赐大作!