网络空间法治化治理的域外借鉴

陈国飞

(中共厦门市委党校，福建厦门 361027)

网络言论自由属于受我国宪法和法律保障的重要权益，但若公民滥用网络言论自由则可能会侵害到国家安全、个人信息安全、知识产权以及未成年人健康等权益。“网络空间法治化是建设网络强国的必由之路”[1]，如何通过立法来协调这些不同权益之间可能存在的冲突，从而达到网络空间不同权益之间的合理平衡，是重要的研究课题。纵观全球网络发达国家的网络空间治理，在实践中一般通过立法来适当限制公民网络言论自由，从而保障国家安全、公民个人信息安全、知识产权和未成年人健康等权益。本文以下内容按照网络空间法治化治理过程中与网络言论自由可能存在冲突的四种常见的权益类别，分为：涉及保障国家安全的相关立法；涉及保障个人信息安全的相关立法；涉及保障知识产权的相关立法；涉及保障未成年人权益的相关立法等四个部分，对网络发达国家如何通过立法来协调网络言论自由与其他相关权益之间的冲突进行介绍和分析，为完善我国网络空间法治化治理提供借鉴参考。

一、涉及保障国家安全的相关立法

在协调网络言论自由与保障国家安全领域，美国的立法处于全球领先地位。美国珍视通过长期历史斗争获得的来之不易的表达自由。在保障国家安全立法方面，美国早在1947年就制定了《国家安全法》，并努力寻求国家安全和个人自由之间的平衡。然而，在2001年“9·11”事件发生后，这种平衡有向国家安全倾斜的趋势。该事件发生的45天内，美国国会通过了《爱国者法》(USA Patriot Act)，隔年又通过了《国土安全法》(Homeland Security Law of 2002)，对公民的网络言论自由及相关个人信息权利等造成一定的影响。

《爱国者法》在“9·11”事件发生后罕见地为参众两院所迅速通过并颁布。该法是美国历史上第一部专门针对恐怖主义的法律，赋予了政府相关部门更大的权力以调查和打击恐怖犯罪，由此确立国家对网络传播内容、私人信息资料等进行监控和收集的合法性。例如，该法第212、217条规定：政府有权监控、收集和截听的内容，不仅包括公民的口头谈话及电话内容，还包括公民通过文字、图片、音频或视频等任何电子通讯形式传递的各种信息；美国的电信服务商和运营商有义务按照政府的要求向其提供详细的客户资料，并且不能让客户知晓等等。[3]随后颁布的《国土安全法》进一步强化了政府的网络监控权限，特别增加了惩罚黑客的条款。该法规定：在出现特定受保护的电脑遭受袭击或者发生危及国家安全的情况时，当局对电子邮件或网络上其他信息进行的监控可以不必事先征得法院的同意；针对在网络攻击中导致或企图导致他人死亡的黑客，最高可以判终身监禁；根据该法中“加强电子安全”部分的有关条款，调查机关有权要求网络服务提供者将网络用户的背景资料等有关信息呈交政府。[3]从这两部法律的规定来看，为了打击恐怖主义、保护国家安全，美国对公民网络言论自由、个人信息权和隐私权作出了较大的限制。

2013年斯诺登曝光了美国“棱镜”窃听项目之后，美国社会普遍认为公民隐私、网络言论自由等权益受到了以国家安全为名的威胁，在这样的背景下，美国于当地时间2015年6月2日下午通过了《美国自由法案》(USA Freedom Act)，该法案对美国国家安全局(NSA)收集美国公民的通话数据的行为进行限制，只允许收集特定必要的数据，并要求先获得秘密法庭——即外国情报监视法庭(FISC)的批准后方可实施。但遗憾的是该法案并不约束美国收集外国情报的行为。

与本部分主题相关的一个例子是，2015年12月2日在美国南加州发生的一起恐怖分子枪击案。(1)美国CNN对该案件的报道，请见网址http://edition.cnn.com/2015/12/02/us/san-bernardino-shooting.在该案中，犯罪嫌疑人所留下的苹果手机成了关键证据。然而，这部手机设定了密码，若输入10次错误密码，手机上存储的信息将全部被清除。美国FBI请求苹果公司协助破解密码，被后者拒绝。随后，FBI提起诉讼，获加州法院支持，苹果公司被要求在手机上设置一个后门，令前者可以不限次数地在犯罪嫌疑人的手机上尝试不同密码。对此，苹果公司表示不服并提起上诉。2016年3月29日，美国司法部称在一个私营公司的协助下已破解了恐怖分子手机密码，撤销了要求苹果公司帮忙解锁的法律诉讼。尽管该案以庭外的方法得以解决，但公民享有的网络言论自由、隐私权以及个人数据信息安全的权利与国家安全之间法益的紧张关系如何平衡仍是个亟待解决的现实问题。为了保护国家安全的利益，适度限制公民个人权利是必要的，但该限制不能超过必要限度，否则会侵害公民的隐私和个人信息安全等权利。即使在不得已需要对公民的网络言论自由等基本权利进行限制时，也应当采用相对温和的手段将限制所造成的损害控制在尽可能小的范围之内。

二、涉及保障个人信息安全的相关立法

个人信息和隐私之间既有联系，又有区别。在现实空间中，有些个人信息属于隐私，而有些则不属于隐私。现实空间中隐私的范围不限于信息，还包括自己的物品等。而在网络空间里，个人信息的范围则要广于个人隐私信息。因此，本部分讨论保障个人信息安全立法，也包括了个人隐私保护立法。网络言论自由与隐私权存在一定的紧张关系，网络言论自由倾向于公开信息，而隐私权则要求对个人信息进行保密。网络言论自由的滥用，不仅可能会对隐私权构成侵害，而且可能会通过黑客等行为给个人信息安全带来侵害。因此，许多国家都制定了旨在保护个人隐私与信息安全的法律。世界上最早的个人信息安全保护的立法是德国黑森州《1970年数据保护法》，此后，各具特色的个人信息安全保护立法在世界各地陆续出台。(2)需要指出的是，经合组织在1980年发布了《隐私保护与个人数据跨界流通指南》，成为了国际上开展个人数据保护的标志性法律文件。就国别之间的区际合作而言，自美国制定了《1974年隐私权法》后，欧盟于1995年制定了对个人数据采取超强保护态度的《个人数据保护指令》，一定程度上推动了双方在个人数据保护方面的规范融合，进而，双方于1998年签订了“安全港”协定，以规范美国公司运用个人数据的行为。本部分将选取欧盟、日本及美国这三个对个人信息安全保护较有特色的地区和国家的立法进行介绍。

欧盟1995年制定的《个人数据保护指令》对个人数据信息采取超强保护态度。为了促进整个欧盟刑事侦查的高度信息化，建立起统一的监管信息网络的通信服务平台，欧盟于2006年通过了《信息数据监管指引规则》，要求各成员国的网络服务提供者按要求的标准和条件，管理与存储各类通信数据信息，唯有公安机关、检察机关、国土安全部门以及各类欧盟区际司法合作组织等刑事案件调查部门在有证据表明犯罪嫌疑人可能利用网络实施危害国家安全、侵犯公民人身安全、有组织恐怖犯罪等“严重犯罪”时，有权直接调取信息内容。并且，欧盟还就网络反恐的措施提出了一系列建议，具体包括：在网页视窗和操作系统上安装报告键；加强对社会媒体的监督；扩大网络服务提供商信息共享；恐怖活动自动监测；更详细的记录；内容过滤；网络实名制等等。[4]可见，十多年前，欧盟在个人信息规制领域的立法就已达到了较为精细化的程度，有诸多可资借鉴之处。

需要指出的是，欧盟关于保护公民“被遗忘权”(The Right to be Forgotten)的立法亦颇有特色。早在1995年，欧盟就在《欧洲数据保护指令》中提出了“被遗忘权”概念，指出有关公民可以在其个人数据不再需要时提出删除要求。[5]2012年的《一般数据保护条例》(GDPR)进一步建议各成员国制定关于保护网上个人信息“被遗忘权”的法律，以符合欧盟保护个人信息的方针。根据该条例第17条的规定，除非有合法的理由，数据主体有权要求数据控制者将其个人数据永久删除以使其被互联网遗忘的权利。2014年5月13日欧洲法院作出裁定，正式确认普通公民的个人隐私信息在网络空间享有“被遗忘权”。(3)该案全称为：Google Spain SL and Google Inc. v Agencia Espa?ola de Protección de Datos (AEPD) and Mario Costeja González，被称为“欧盟被遗忘权第一案”，国内学者对该案的分析，可参见网址：https://www.tisi.org/Article/magz_list/id/4017/ori/48.html.在“人肉搜索”现象空前严重，而公民隐私保护立法相对不足的我国，欧盟的相应立法值得借鉴。在网络空间中，有的公民曾发布租房信息时留下了自己的手机、邮箱等联系方式；有的公民曾为了领取免费礼品留下了自己的邮寄地址；还有的公民在未成年时所犯下的一些不良行为记录亦曾被曝光于网上。类似如上的信息很容易被他人“人肉搜索”并不法利用，从而给数据主体的生活安宁及人身、财产安全带来不利影响。对此，借鉴欧盟作法，在时机成熟时，经由被遗忘权立法规定公民有权要求网络数据控制者永久彻底删除涉及其个人隐私且与公共利益无关的个人数据信息，是一条可行之道。

日本在2003年颁布了《个人信息保护法》。该法参照现代隐私权保护理论，以“个人信息控制权”为核心，从而适应了网络信息时代下个人信息保护的新形势。日本的个人信息保护与个人信息隐私权的认定之间存在紧密的联系，其所认定的违法性要件，是以发生于20世纪60年代的日本保护隐私权第一案——“宴之后”案中确立起来的隐私侵权行为的违法性构成一般要件为标准的。法院在该案判决中指出，被公开的信息要满足如下三个要件方构成对隐私权的侵害：第一，被公开的信息是个人私生活上的事项，或者被信为是个人私生活上的事项；第二，以一般人的认识水平和容忍程度，被公开的信息为不欲公开的信息；第三，被公开的信息在此前未被公众所知。[6]在BBS隐私侵权案[7]中，日本著名的BBS“第二频道”因涉嫌侵害用户的个人信息权益而被诉诸法院。由于日本的多数网络论坛采用会员制，会员需要按规定要求向网络服务提供者和论坛版主提供自己真实详细个人信息，并有权要求自己所提供的个人信息不被滥用、泄露和侵犯。因此，法院援引在“宴之后”案中建立起来的认定标准巧妙地保护了原告的“个人信息控制权”。(4)法院在判决中指出，即便个人以广告形式将其个人信息刊登于黄页，也并不意味着其也同意他人可随意将其个人信息公布到网上。“个人信息控制权”为隐私权基本属性，即使个人为了某目的，已将个人信息公开，但是在此目的之外，该个人信息仍属受保护的个人隐私。本案被告违背了原告限于黄页公开之目的，侵害了原告的“个人信息控制权”，具有违法性。参见孙午生. 网络社会治理法治化研究[M]. 北京：法律出版社，2014：171.如今日本保护隐私权的“个人信息控制权”理论被越来越多的国家所借鉴。

尽管“9·11”事件之后，美国很快就通过了《爱国者法》与《国土安全法》，授予了有关国家机关可以对网络用户进行监听、了解网络用户的私人信息等权力，对公民网络言论自由和网络隐私权进行了部分的限制，但是，美国在保护隐私权方面积累了丰富的经验。早在1974年，美国就制定了隐私权法，并结合一系列判例建构了较为完善的隐私权法律保障体系。随着电子及网络科技的进步和发展，美国较早意识到了对公民网络隐私的保障，并于1986年制定了《电子通讯隐私权法案》。该法禁止政府及第三方主体在未经授权的情况下获取、公布公民个人的电子通信内容。域外国家有关保障公民在网络空间个人信息安全的相关立法，为完善我国隐私权保护法律制度，杜绝“人肉搜索”等侵犯隐私权的现象有着重要的参考价值。

三、涉及保障知识产权的相关立法

在网络信息时代，由于信息技术的进步，侵犯知识产权的现象日益普遍。网民甚至只需通过简单复制、粘贴，就可以将他人的智慧成果放在自己公开的网络空间里。对此，传统规制现实空间的法律已经无法适应网络空间知识产权保护的需要。很多国家纷纷制定新的立法，对滥用网络言论自由侵犯知识产权的行为进行规制。其中，影响较大的是1998年10月美国国会两院通过的《数字千年版权法》(The Digital Millennium Copyright Act，简称DMCA)，该法中文也称为《数字千禧年版权法》。

网络言论自由的滥用对知识产权的侵害和威胁，主要体现在两个方面：首先，行使网络言论自由主体，在网络上传播他人作品时，随意对他人作品的署名、内容、出处等信息进行更改。这不但会侵害作品著作权人的权益，也会给作品使用者的利益带来损害；其次，行使网络言论自由的主体，未经著作权人授权而随意进行复制与传播，会给著作权人带来超越地域限制的损害。针对如上两个方面的问题，美国《数字千禧年版权法》分别采取了应对措施。对于第一方面的问题，该法在103条中作出了“保护著作权权利管理信息的完整性( Integrity of Copyright Management Information)”的规定，对破坏著作权信息完整性的几类行为明确予以禁止。对于第二方面的问题，该法通过禁止规避著作权之保护体系(Circumvention of Copyright Protection Systems)，即禁止非法通过“翻越防火墙”、“破解密码”等方式绕行那些用于控制获取作品渠道或者重置作品的科技保护措施的行为，予以保护。《数字千禧年版权法》的另一个创新点在于该法对网络服务提供商的侵权责任采用“过错责任归责原则”，即只有在网络服务提供商明知网络用户上传信息的行为已构成侵权，而仍不采取措施删除信息或者阻止他人再次访问的情况下才需要承担侵权责任。(5)美国国会1998年通过的《数字千禧年版权法》(The Digital Millennium Copyright Act of 1998)的英文版本，请见网址https://www.copyright.gov/legislation/dmca.pdf.该规定既可追究侵权者的法律责任，又可保护网络行业的健康发展。

四、涉及保护未成年人权益的相关立法

未成年人心智尚未成熟，自制力相对较差，自我保护能力较为薄弱，需要一个良好的网络环境。然而，有些主体或为了牟利，或为了寻求不良刺激等非法目的，在网络上发布情色淫秽等信息，给未成年人的健康带来了伤害。因此，诸多国家或地区经由立法，整治网络环境，预防、制止和打击滥用网络言论自由、发布网络淫秽色情等信息、侵害未成年人健康的行为。其中，欧盟、日本和美国在保护未成年人的立法方面颇有特色。

在打击网络儿童色情方面，欧盟于1998年发布了《保护未成年人和人权尊严建议》，并在2004年制定了《儿童色情框架决定》。其中，《保护未成年人和人权尊严建议》第1条第2款将儿童色情界定为，以影像方式描述或者表现：有真实的儿童参与其中的任何明显具有性意味的行为(Sexually Explicit Conduct)，包括淫秽地展现儿童的生殖器或者私处；有真实的、外表像儿童的人参与的明显具有性意味的行为；逼真之虚拟儿童参与明显具有性意味的行为。[8]而《儿童色情框架决定》则要求各成员国在2006年1月20日前根据该决定采取相应的措施打击作用于在计算机系统传输的儿童色情、在计算机系统上提供、传播或者传输儿童色情、通过计算机系统为特定人或者其他人代购儿童色情以及在计算机系统或者计算机数据存储媒介上存有儿童色情的行为，以保护未成年人权益，打击儿童色情。此外，欧盟2012 年11月颁布的《个人数据保护条例》(General Data Protection Regulation)在第8条也增加了儿童个人数据的特殊保护规定。欧盟在保护未成年人健康，避免儿童色情危害方面做了很大的努力，其有关“儿童色情”的界定标准被很多国家所借鉴。

日本专门制定了用于打击利用网络开展“援助交际”等色情活动的网络立法，如《打击利用交友网站引诱未成年人法》《交友类网站限制法》等。2003年《交友类网站限制法》实施后，为了应对网络色情犯罪活动更加隐蔽、监管更为复杂的局面，日本政府在2008年对该法进行修改，并规定了更加严格的责任，以保护未成年人免受交友网站的侵害。此外，日本《青少年网络规制法》要求从2008年6月起通信公司与未满18岁的青少年签约时必须提供手机网络过滤服务。[9]不仅如此，2009年制定的《青少年网络环境整备法》，对网络运营商、监护人应承担的责任作出了明确规定。[10]在多方的努力下，日本保护未成年人上网的法律制度开始形成政府主导、学校监督、家庭监管、多方负责的良好局面。[11]另外，为遏制日本年轻人之间出现的以报复为目的、将前任交往对象的私密照片或视频等上传至网络的行为，日本还于2014年讨论通过了《复仇色情片受害防止法案》。根据该法案，未经当事人同意，上传性爱视频至网络，并向不特定人群公开，将面临3年以下监禁和50万日元以下的罚款。[12]尽管对网络色情言论信息应予以严格限制，但是对网络色情的规制措施不能规定得过于严格而侵害公民正当的网络言论自由，否则就可能构成违宪而无效。

美国1998年制定了《儿童网上隐私保护法》，加大了对儿童网络隐私权的保护力度，要求与儿童有关的商业网站经营者，或有意向儿童收集姓名、家庭地址、电子邮箱地址、社会安全号码、电话号码等个人信息的网站经营者不得以欺诈的方式或者不公开、不公平的手段收集、披露或使用未满13周岁的儿童的个人数据信息；通过网上论坛、电子邮件服务等方式收集未满13周岁的儿童个人数据信息的，必须获得儿童家长的明确同意，且在收集、使用等方式有重大变更时，须再次获得家长的同意；网站经营者必须采用合理的程序来避免被收集的儿童个人数据信息的泄露，确保信息的安全、完整和准确等。[13]为了保护未成年人免受网络不良信息内容的侵害，2000年12月1日美国乔治·W·布什总统签署了《儿童网络保护法》(简称CIPA)，该法要求所有希望获得联邦“教育折扣”(The e-rate discounts)或拨款的公立学校和图书馆，即从幼儿园开始至12年级的所有学校(K-12 schools)和图书馆，应当为包括教职工使用的电脑在内的全部电脑，安装过滤软件或防火墙并采取其他措施，防止儿童接触到淫秽、儿童色情或者其他有害的网络信息。[14]此外，美国部分州通过立法进一步强化了对未成年人的保护，例如2013年加州制定了《橡皮擦法案》，要求社交网站应当允许未成年人删除自己的上网痕迹，从而避免其成年后受到自己在心智尚未成熟时留下的上网痕迹的困扰。[15]该立法与欧盟提出的“被遗忘权”有异曲同工之妙。只是，被遗忘权不只针对儿童，而是所有公民。我国于2019年8月22日公布的《儿童个人信息网络保护规定》，尽管吸收了域外国家的一些好的制度和经验，但该法仅限于儿童个人信息保护，而对如何保护儿童免受网络不良信息侵害等方面的内容并未涉及，有待我国后续立法进一步健全和完善。总之，未成年人在网络空间的合法权益需要全面加以保护，网络不良信息的法律规制，涉及社会公序良俗、青少年身心健康以及公民网络言论自由等受宪法保障的不同法益价值，立法时应当予以充分考虑和适当兼顾。

综上所述，网络空间的法治化治理，需要对网络言论自由与国家安全、个人信息安全、知识产权以及未成年人身心健康等不同权益之间可能存在的冲突，通过立法进行协调和平衡。党的十八届五中全会通过的“十三五”规划《建议》中明确提出实施“网络强国”战略。网络强国战略必然要求网络空间治理法治化。我国网络空间立法起步较晚，应当立足于本国问题的实际，在宪法统领下，适当学习借鉴网络发达国家对网络言论自由与其他相关权益进行协调平衡的先进制度和有效立法，以不断健全完善我国网络空间的法治化治理。