物联网技术在法律学科中的应用综述.pdf

物联网技术在法律学科中的应用综述 -物联网中的信息安全规制模式研究 摘要：在借鉴国外信息安全规制模式和参照我国目前互联网环境下的信息安全规制模式 的前 提下，综合考虑价值的正当性、内容的可接受性、结果的有效性和成本的低廉性等因素，可以将我国物联网环境下的信息安全规制模式建构为政府主导、社会力量配合规制与自我规制 相结合的多元主体模式。关键词：物联网，信息安全，规制模式，风险社会 信息安全规制模式的确立是进行信息安全规制的前提，只有确立了规制模式,后续的规制制度才能得以良好的安排。然而规制模式的确立并不是随意的，因为 其本质上是一种公权力结构的安排。因此，在物联网环境下，要确保信息安全规 制的效果，首要的一点是对规制模式的设计进行科学、理性的探讨，以使设计的 规制模式能满足物联网环境下信息安全规制的要求。由于物联网是在互联网基础 上发展起来的，在信息安全问题方面有共性的一面，因此在探讨物联网环境下的 信息安全规制模式时不可能撇开互联网环境下的信息安全规制模式，国外互联网 环境下的信息安全规制模式可以成为借鉴的对象。一、国外互联网环境下的信息安全规制模式考察 从 2O 世纪 80 年代开始，经过二三十年的发展，世界许多国家都根据自己国家 的政治和行政理念、政府体制、社会状况等情况建立了自己的信息安全规制法律 制度，已经形成了一些典型的信息安全规制模式。1.以政府权威主体为核心的政府主导、行业组织和社会共同参与的信息安全 规制模式。在这种模式下，规制主体是多方面的，既有政府，也包括行业组织和 企业，政府主导，行业自律；但政府中必有一机构居于核心地位，其他主体包括 政府其他部门处于参与地位，且各自分工明确，并以法律的形式明确下来。此种 规制模式最典型的是欧盟。制定的法律适用于整个欧盟成员国。在信息安全的规制方面，它通过法律的 形式确立了相应的规制主体，并明确了职责。在政府层面，2003 年，欧盟为解决 各成员国在信息安全规制方面各自为政的状态，就策划建立欧洲信息网络安全局(ENISA)，以加强网络和信息安全，提升成员国和欧盟机构的能力，防范网络信息 安全问题的出现或对其作出反应。2004 年 3 月，欧盟依照欧洲议会和欧盟委员会 颁布的建立欧洲网络与信息安全局的条例，正式成立了该机构。该机构作为 超越成员国和欧盟委员会之外的机构，独立运作，主要承担协调和咨询作用，对 促进各利益主体间的协作具有基础性意义。另外，“欧盟各成员国均建立了各具 特色的信息安全管理相关机构。一般来说，主要包含：信息安全决策部门、公共 网络与信息安全部门、信息安全联络机构、信息安全研究部门等。在欧盟各成员 国中，这些机构由不同的国家部门来承担，其具体称谓虽有不同，但履行的职责 和使命却是一致的。在行业组织和社会层面，欧盟积极推进官方与行业组织和企 业的关系，加强与行业的密切合作，培养网络专家，让行业组织和第三方机构积 极参与到信息安全的规制中，以发展出风险评估和风险管理的方法，加强欧盟解 决信息安全问题的能力。2.政府与私人相互合作的信息安全模式。在这种规制模式下，政府与私人之 间是一种合作关系，政府并不居于绝对的主导地位，私人也不仅仅居于参与、配 合的地位，而是实行信息共享，共同完成信息安全规制工作。该种规制模式的代 表有美国。美国作为世界上信息技术最先进的国家，在信息安全的管理方面也是最先进 的，其强调“公一私”合作，共同对信息安全进行法律规制。从“公”的方面讲，美国联邦政府设立了庞大的信息安全规制机构，包括美国审计署、行政管理和预 算局、国家标准技术研究院等多个部门和信息安全法律规制的委员会和办公室主 要有全国信息保障委员会、全国信息保障同盟和关键基础设施信息保障办公室等 多个委员会及办公室。从“私”的方面讲，美国在“9.1T 事件后，明确承认 政府无法完成信息安全的规制，提出改进规制方式，将私营部门吸收进来共同完 成信息安全的规制。2003 年 12 月，美国的一些私营组织成立了一个非官方的法人 治理特别工作组，该工作组从信息安全规制的角度出发，确立了一个基础性的信 息安全规制结构，可以有效地进行信息安全规制。该工作组于 2004 年还发表过一 个名为信息安全治理倡议的文件，提出加强美国信息安全的最佳方式是将信 息安全问题作为一项法人治理问题来对待，需要董事会和首席执行官的高度重视。上述信息安全规制模式的设计虽然是互联网环境下的产物，是各国在自身社 会条件、政治和法律条件下所做的选择，不一定完全符合我国目前的状况，更不 要说完全符合我国物联网环境下信息安全规制的要求；但其不仅为我国构建物联 网环境下的信息安全规制模式提供了方向和理念的参考，还提供了思考的框架，因此有着积极的借鉴意义。二、构建物联网环境下信息安全规制模式的考量因素 在考察国外互联网环境下的信息安全规制模式时，我们发现，各国之所以采 用某种规制模式，是在综合考虑政治、社会、互联网信息传播的特点等因素的基 础上科学理性设计的结果，同理，为保障物联网环境下的信息安全而设计规制模 式也需要考量多方面的因素，具体而言，应该包括以下几个方面：1 价值的正当性。信息安全规制模式的构建作为公权力的结构性安排，必须 考虑价值取向问题，在物联网环境下信息安全规制模式的设计应遵循何种正当的 价值呢。我们认为其最少要包括以下四个方面：安全、发展、法治和人权。毫无 疑问，安全是信息安全规制模式得以存在的最基本的价值，信息安全规制的直接 目的就是保障国家信息、商业信息和个人隐私的安全。不能保障这些信息安全，信息安全规制模式就是彻底失败的，从根本上看就背离了模式构建的初衷。但是 在关注安全的同时，也要关注在信息安全规制模式下物联网产业的可持续性发展。尽管保障信息安全是确保物联网快速健康发展的关键，但是如果规制不恰当，又 可能会限制物联网的发展。因为规制作为一种由外在力量进行的干预措施，必然 会运用强制性力量对物联网运行与发展中的问题进行干预，如果干预恰当则有利 于物联网的发展，如果干预不足或者过度，则会对物联网的发展产生限制性影响。因此，在规制模式的设计中，必须体现出安全与发展的平衡。当然，规制模式的 设计也必须在法治的框架之下进行，因此信息安全规制模式的设计同样需要把人 权或者说基本权利作为考虑的重要价值。只有恰当的关注并平衡了上述四种价值，信息安全的规制模式才真正具有正当性。2内容的可接受性。信息安全规制模式的可接受性，顾名思义，就是指信息 安全规制的各方参与主体，包括规制方和被规制方对规制模式所确定的内容的接 受程度。一项制度或政策的可接受程度越高，那么其越能在这个社会有效实施；否则，其实施的效果就大打折扣。我国在设计物联网环境下的信息安全规制模式 时，为增强规制模式的可接受性，必须认真考虑以下几个方面的问题：一是我国 的制度环境。制度环境是制度发挥作用的外在影响因素，是制度得以实施的根基。在构建物联网环境下的信息安全规制模式时既要注重制度的创新，又要注意整体 的制度环境可能存在的潜在影响。二是社会的热度。物联网在信息安全方面的复 杂性，要求社会能有效参与对其的规制，但是社会的热度存在很大差别，因此，构建的信息安全规制模式必须与社会的参与程度相适应，否则社会无法接受。三 是民众的偏好。每个国家由于制度、观念、文化、习惯等因素的影响，在社会生 活中均表现出偏好，在公共行政领域也同样会表现出某种偏好。因此我国在构建 信息安全规制模式时必须深入了解民众的偏好，并对其偏好作出回应。3.结果的有效性。信息安全规制模式作为一种信息安全的治理政策或制度，最根本的一点就是能有效地实施对信息安全的规制。如果整套规制模式无效，那 么这套规制模式就失去了存在的意义。就物联网环境下的信息安全规制模式的设 计而言，规制模式是否有效，需要考量的因素甚多，如上文提到的价值正当性和 可接受性等，但最重要的是是否考虑了物联网自身的因素及其延伸出的问题。具 体来说，物联网在运用无线射频识别技术、传感技术、云计算等新技术，实现物 与物的信息沟通的过程中，产生了国家信息安全和个人隐私保护等风险，这些风 险和其他诸如环境、食品安全风险等一起把人类拉向了风险社会的深渊。因此物 联网环境下人们所面临的信息安全问题实际上是风险社会中的风险问题。也就是 说，物联网环境下的信息安全问题完全具有风险社会中的风险的特征，它一般以 一种难以确定、难以预测的方式出现，遵循传统的规制模式很难有效应对。针对 物联网环境下的信息安全问题，设计规制模式时，必须以风险社会理论为指导，将风险规制体系引入到信息安全规制模式中，才能确保规制模式的有效性。三、我国物联网环境下信息安全规制模式的构建 在考察了国外信息安全规制模式和物联网环境下信息安全规制模式设计的考 量虑因素后，那么如何借鉴国外构建信息安全规制模式的经验去完善甚至重构我 国物联网环境下的信息安全规制模式呢？由于物联网与互联网有着先天的亲缘性,构建物联网环境下的信息安全规制模式也就不可能完全抛弃互联网环境下的信息 安全规制模式而另起炉灶，因此为构建出良好的信息安全规制模式，必须先剖析 我国目前的信息安全规制模式。1 我国目前的信息安全规制模式。我国本着“谁主管，谁负责”的原则，建 立了政府强势主导，社会有限参与的信息安全规制模式。一方面，这种模式明确 了政府的相应职责，实现了政府各部门对信息安全的分业规制，同时又强调部门 间的相互配合在这种模式下尽管政府有强烈的规制意愿，信息安全规制的主要工 作由政府承担，政府在规制中整体表现非常强势，但是由于没有建立一个具有相 当权威的机构对各部门之间进行协调，导致整体规制能力弱化，规制效果不尽人 意。另一方面，这种模式也强调保障网络信息安全需要社会力量的配合，更强调 要发挥社会成员，特别是企业和个人在维护信息安全中的作用。如关于维护互 联网安全的决定就规定：“要动员全社会的力量，依靠全社会的共同努力，保 障互联网的运行安全与信息安全，促进社会主义精神文明和物质文明建设。”然 而，在信息安全规制中，社会力量始终处于被动状态，参与的程度非常有限，没 有发挥应有的作用。总之，我国目前的信息安全规制模式在实际操作中形成了政 府自上而下的单一规制格局，而不是多主体协调与合作规制的格局，社会主体的 积极性与主动性没有调动起来.2我国物联网环境下应当构建的信息安全规制模式。我国目前的信息安全规 制模式虽有缺点，也有优点，因此我们完全可以吸纳目前信息安全规制模式的优 点，整合物联网环境下信息安全规制模式应当考量的因素，借鉴国外信息安全模 式，构建我国物联网环境下的信息安全规制模式。首先，坚持信息安全规制的政府主导性。在物联网环境下，尽管信息安全问 题越来越复杂，我国正在逐渐迈进风险社会，政府自身的力量不足以完全承担信 息安全规制的责任，但是政府在信息安全规制中仍然是最有组织能力、最值得信 赖的力量，它的一举一动对社会所产生的影响还没有任何其他力量可以与它匹敌，它的地位也没有其他主体可以取代。在这种情况下，如果政府放弃了在信息安全 规制中的主导地位，信息安全的规制不可能取得良好的效果，物联网信息不可能 达到安全，物联网发展也相应地会受到限制。以欧盟的政府主导模式为榜样。坚 持政府在信息安全规制中的主导地位，并不是说要无限扩大政府在信息安全规制 中的权力，政府仍然需要遵循有限政府的原则，在信息安全的规制中受到人权和 法治原则的制约。其次，确立行业组织、企业等社会力量参与信息安全规制的配合性主体地位。由于物联网环境下的信息安全问题有风险社会中的风险特点，必须依照风险治 理模式将社会力量纳入到信息安全的规制主体中。这既能增强信息安全规制的有 效性，也能降低行政成本。从制度环境来说，随着法治理念、有限政府理念的推 进，我国政府积极转变职能，推进社会管理创新，努力创造条件接纳社会力量参 与社会管理，从社会热度来看，目前，随着我国社会日益走向开放，以及政府积 极推进社会建设，民众的公民意识日益增强，参与社会管理的愿望越来越强烈，我国应当根据社会变迁的状况，不断扩大社会力量的参与范围，提升其参与规制 的程度。最后，强调物联网参与主体的自我规制。由于物联网参与主体直接参与物联 网的运行，其更了解物联网运行的状况，加上其“深厚的专业知识和技术知识”，以及“与受规制方之间更大的相互信任度”，使得规制的成本更低，且能更容 易的满足民众对民主的偏好，增强民众对信息安全规制的理解与支持，使规制的 刚性程度降低，软性程度强化，促使民众接受规制。因此，应当从法律上明确物 联网参与主体有自我规制的义务。只有这样，才能从源头上保障信息安全。总之，在物联网环境下，我国信息安全的规制应当采用政府主导、社会力量 配合规制与自我规制相结合的多元主体的规制模式。这种规制模式既吸收了国外 信息安全规制模式的经验和教训，又照顾了当前我国信息安全规制的现实，在我 国当前的社会条件下既能满足信息规制的要求，又能节省行政成本和社会成本，在价值上具有相当的正当性，在社会上有相当的可接受性，因此其应当是我国物 联网环境下的一种较好的信息安全规制模式。四、我国物联网环境下信息安全规制模式的内部结构安排 在物联网环境下的信息安全规制模式确定后，还必须延伸性地解决其内部结 构安排问题，即我国由谁来具体承担信息安全的规制；规制主体的职责如何分配。下面即围绕此进行进一步的探讨。1.在物联网环境下信息安全的规制主体无非是政府和社会力量，但这仅是从 宏观上所做的构造，对规制信息安全毫无实益。而对信息安全规制真正有益的是 从微观方面设计规制主体。目前的信息安全规制机构主要有国务院信息化工作领导小组与领导小组办公 室、公安部、工业和信息化部、国家安全部、国家保密局和国务院其他有关部门。这些机构分工负责，互相配合，并且通过工信部下设的全国互联网站管理工作协 调小组进行协调，但是在实践中因缺乏权威的协调主体，以致形成了政出多门，多重管理的状态。由于物联网环境下信息安全问题非常复杂，依赖某个单独的部 门不可能解决好这些问题，因此现在正承担信息安全规制职责的中央政府其他部 门，如公安部、工业和信息化部、国家安全部、国家保密局、密码管理局、国家 计算机网络与信息安全管理中心等也可以作为信息安全规制主体存在。这是在中 央政府层面。就地方层面来讲，对物联网信息安全可以进行二级规制，在省一级 设置专门的信息安全规制机构作为中央层面的物联网信息安全独立规制机构的分 支机构，向中央层面的独立规制机构负责，有独立的行政主体地位；在市县级设 置专门信息安全规制机构作为省级信息安全规制机构的派出机构，没有独立的行 政主体地位。近年来行业协会之类的中介组织在我国蓬勃发展，并且积极参与社会管理，被称为政府之外的“第三部门”，这些组织与政府相比在社会管理方面更有优势 效 果更好，在物联网环境下进行信息安全规制完全可以利用此类组织的优势，对物 联网行业的信息服务企业予以行业规制。二是积极发挥第三方测试机构在物联网 信息安全规制中的作用。第三方检测机构，又称公正检验机构，是指两个相互联 系的主体之外的某个客体，也称作第三方，其往往以企业的形式存在，接受委托 依照法律法规规章、技术标准站在第三方的立场专司技术层面的检验。近年来，我国大力 2.行业组织应当对信息安全规制事项在遵循法律优先和法律保留原则的前提 下享有规则制定权，对其组织成员的信息安全规制活动享有检查权以及相应的行 政强制和行政处罚权，当然也要独立承担由此产生的责任。第三方测试机构主要 接受政府各信息安全规制机构的委托，对信息安全问题进行评估、预警，为信息 安全执法提供技术支持，如证据的调查收集、证据的鉴定等。物联网服务企业主 要依据法律、政府信息安全规制机构、行业组织制定的规则，甚至自己制定的不 违背法律法规规章的内部规则对服务对象及其他侵害信息安全的行为通过技术手 段和其他手段进行防范和排除，保证在自己的服务领域内不出现信息安全问题。总之，通过上述对信息安全规制主体的设置和职权的安排，我们构建的物联网环 境下的政府主导、社会力量配合规制与自我规制相结合的多元主体的信息规制模 式必将使信息安全规制活动达到政府与社会良性互动、运转有序、效果优良的局 面。参考文献】1郭春镇欧盟信息网络安全法律规制及其借鉴意义 J 信息网络安全，2009，(8)2马民虎，赵婵欧盟信息安全法律框架之解读 J 河北法学，2008,(11)3 姜岩欧盟加大信息安全工作力度 EB/OL 新华网，2012一01-05.4 佚名欧盟加强信息安全的主要做法 EB/OL.5 郝凯亭，付强，袁艺俄罗斯加强国家信息安全的主要做法 J 保密工作，2011,(2)6 郝文江，张乐美国信息安全战略发展研究 J 北京人民警察学院学报，2010，(1)7 卫红，伍湘辉，袁艺日本加强国家信息安全的 主要做法J 保密工作，2011，(3)8 美凯斯 R 孙斯坦风险与理性一一安全、法律及环境 M 师帅，译.北京：中国政 法大学岀版社.2005 31-32 9 孙龙，任丙强：当前我国公众网络安全意识与 互联网监管模式创新研究一一 基于四个城市的 实证调查J 科学决策，2011，10 14 英卡罗尔哈洛，理查德罗林斯法律与行政：下卷 M 北京：商务印书馆，2004