返回上一页 文章阅读 登录

欧树军:双重认证与互联网治理

更新时间:2022-06-04 23:31:02
作者: 欧树军  
确立了针对违法信息内容发布的行为认证原则:“谁经营、谁负责”,要求经营者从技术上强化行为认证:加强对移动通信网络所接入和传输的文字、声音、图像和视频等信息的日常动态监测和实时监测。这是在社会安全意义上确保法律与秩序的一般原则。

  

   除了出于社会安全目的要求企业进行违法信息内容发布者的行为认证以外,互联网信息服务的一般行为认证规则也逐渐清晰。2011年,工业和信息化部通过《规范互联网信息服务市场秩序若干规定》,确立了针对一般互联网信息服务的行为认证三大基本原则:同意原则、正当原则、安全原则。同意原则,是指未经用户同意,互联网信息服务提供者不得收集与用户相关、能够单独或者与其他信息结合识别用户的信息,不得将用户个人信息提供给他人,法律、行政法规另有规定的除外。正当原则,是指即使用户同意收集个人信息,也应当明确告知用户收集和处理用户个人信息的方式、内容和用途,不得收集其提供服务所必需以外的信息,不得将用户个人信息用于其提供服务之外的目的。安全原则,是指互联网信息服务提供者须加强系统安全防护,依法维护用户上载信息的安全,保障用户对上载信息的使用、修改和删除。互联网信息服务提供者不得无正当理由擅自修改或者删除用户上载信息;不得未经用户同意,向他人提供用户上载信息,但是法律、行政法规另有规定的除外;不得擅自或者假借用户名义转移用户上载信息,或者欺骗、误导、强迫用户转移其上载信息;不得有其他危害用户上载信息安全的行为。

  

   与此同时,中国互联网治理还将行为认证嵌入代码层,嵌入重要信息系统的安全维护。2003年,微软公司与中国政府签署政府安全协议,向中国政府提供操作系统的源代码。2009年,工业和信息化部发布《互联网网络安全信息通报实施办法》,将重要信息系统界定为“政府部门、军队以及银行、海关、税务、电力、铁路、证券、保险、民航等关系国计民生的重要行业使用的信息系统”。2014年,中国银行业监督管理委员会发布《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》和《银行业应用安全可控信息技术推进指南(2014-2015年度)》,提出为实现2019年安全可控信息技术在银行业总体达到不低于75%的使用率,银行业金融机构要能够掌握重要信息系统的设计原理、设计架构、源代码等核心知识和关键技术,拥有该系统完备可用的资料,具有自行开展系统维护的能力,因此,信息技术企业要向银监会备案源代码。2015年,国际商业机器公司(IBM)接受中国政府的要求,工业与信息化部将审查其产品的源代码。这确立了中国针对关键信息基础设施的行为认证原则:互联网信息服务提供者在代码层的行为认证,必须接受中国政府的源代码安全审查。关键信息基础设施的定义在2016年《中华人民共和国网络安全法》中进一步扩展,包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息基础设施

  

   2016年,《中华人民共和国网络安全法》在网络信息安全专章中,设定了包括严格保密、合法、正当、必要、同意和匿名使用等在内的网络运营者行为认证原则(第四十至四十二条),行为认证原则从部门规章上升为国家法律。

  

   四、构筑双重认证

  

   双重认证机制的形成,同样是个渐次推进的过程。1997年,公安部制定《计算机信息网络国际联网安全保护管理办法》,在执行细则中规定:“具有保存3个月以上系统网络运行日志和用户使用日志记录功能,内容包括IP地址分配及使用情况,交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应IP地址。”“交互式栏目的信息等开设交互式信息栏目的,具有身份登记和识别确认功能。”行为认证和身份认证并列为“安全保护技术措施”,这是双重认证机制在部门规章层级的雏形。

  

   2000年国务院发布《互联网信息服务管理办法》,对互联网信息服务提供者的身份和行为确立了双重认证原则。2012年的修订版征求意见稿重申并强化了这一原则。

  

   2000年通过的《中华人民共和国电信条例》,堪称中国信息网络治理的基本法,它既规制物理层,也规制内容层,既规制传统的固定电话、移动网络电话、卫星通信、互联网以及带宽、波长、光纤、光缆、管道等网络物理层,也规制利用这些公共网络物理层提供电信和信息服务的内容层。因此,这里的“电信”无所不包,覆盖利用基于无线电频)、卫星轨道位)、电信网码号的有线或无线电磁系统或广电系统等稀缺资源,收发语音、文字、图像等一切信息的活动。电信条例的基本法地位,赋予1998年成立的信息产业部巨大的信息网络空间治理权。2000年,信息产业部发布《互联网电子公告服务管理规定》,双重认证机制的雏形在这一中国首部内容层规制法中至关重要,但二者的地位并不平衡,行为认证优于身份认证。行为认证包括多个环节:发现违法信息,保存信息内容记录及其发布时间,然后立即删除违法信息,向国家机关报告。身份认证有两类:一是针对法人的,记录互联网地址或域名;二是针对自然人的,记录上网时间、用户账号、互联网地址或域名和主叫电话号码,用以识别发布者的身份。此时,并未要求用户在发布信息前的账户注册时必须使用真实的身份信息,也就是说,从物理层到传输层的身份认证还不是法律义务。

  

   这一疏漏很快得到补正。2001年,信息产业部发文提出电子公告服务审批管理制,强化了身份认证和行为认证,前者通过用户登记制度进行,要求提供真实、准确、最新的个人信息,包括姓名、电话、身份证号码,后者则以列举方式说明具体环节,包括栏目明确、版主负责、规则张贴、安全过滤,新闻、出版、教育、医疗保健、药品和医疗器械等特殊专业互联网信息服务审核制,以及工作责任、工作联系、违法处罚等。2001年教育部《高等学校计算机网络电子公告服务管理规定》也采纳了上述机制。

  

   双重认证机制同样出现在对网吧、游戏、音乐等特殊物理层和内容层的治理上。2002年,文化部牵头,会同工商总局、公安部、信息产业部、教育部、财政部、广电总局、法制办、中央文明办、共青团中央,成立全国网吧等互联网上网服务营业场所专项整治工作协调小组,通过《互联网上网服务营业场所管理条例》,首次同时设定身份认证和行为认证。2003年5月10日发布的《互联网文化管理暂行规定》,将进口网络游戏产品的内容规制权授予文化部。2006年,文化部又获得进口网络音乐的内容规制权。2007年,文化部、国家工商行政管理总局、公安部、信息产业部、教育部、财政部、监察部、卫生部、中国人民银行、国务院法制办公室、新闻出版总署、中央文明办、中央综治办、共青团中央联合禁止网吧接纳未成年人,通过网吧现场检查记录制度、网吧日常检查频度最低标准制度和网吧违法经营案件处理公示制度,违法经营网吧的黑名单制度,信息安全管理制度,以及可以暂停互联网接入服务制度。2010年,文化部在《贯彻实施〈网络游戏管理暂行办法〉的通知》中,要求网络游戏运营企业要建立、完善有效的实名注册系统,包括网络游戏用户的真实姓名、有效身份证件号码、联系方式等信息,保存上述信息,并在实名注册系统中向用户明确告知个人信息及隐私保护政策。

  

   作为对过去18年治理经验和教训的总结,全国人大常委会于2012年12月发布《关于加强网络信息保护的决定》,为双重认证机制提供了最高权力机关层级的法律确认。

  

   图片

   如图1所示,双重认证机制出现在互联网接入服务、内容服务两个环节和物理层、传输层、内容层多个层级,具体表现为:在信息从物理层转向传输层、从传输层转向内容层之际,信息服务提供者必须就用户信息的真实性进行两次身份认证,这样就可以识别内容发布主体;从内容层转向传输层之际,信息服务提供商承担法定责任,必须针对用户的信息发布做行为认证,这样就可以确认发布或传输的合法性。两个环节的身份认证和多个环节的行为认证,共同构成了中国互联网治理的双重认证机制。

  

   四年后,全国人大常委会将双重认证机制写入了2016年《中华人民共和国网络安全法》,并在此后至今颁布的一部法律、两份行政法规、三十五个部门规章中反复确认,广泛适用于网络安全、上网、直播、微博客、新闻信息、论坛社区、跟帖评论、群组信息、公众账号、网络游戏、电子证据、移动互联网应用程序、网约车、区块链等信息服务领域。

  

   在双重认证机制正式确认之前,中国互联网治理的责任政府模式愈加明显,及时回应来自家长、学校、用户、大众的社会压力成为常态化的治理理由。发展与治理并重乃至成为后者的前提,治理水平在跌跌撞撞中逐步提升。中国互联网治理架构大致可以分为两个阶段。第一个阶段是1994-2013年。如图2所示,这一时期的互联网治理总体上是分而治之,以“对口管理、分工共治”为主要特征,具有互联网治理权的部门包括国务院信息化工作领导小组(国家互联网信息办公室)、国务院新闻办、公安部、国家密码管理局、工业与信息化部(原信息产业部)、国家广播电影电视总局、新闻出版总署、教育部、文化部、卫生部、国家食品药品监督管理局和互联网协会。这些部门按照既有的块块分工,分别行使互联网行政执法权、行政立法权,但在内容治理上存在多重交叉。全国人大常委会分别于2000年和2012年在互联网安全和网络信息保护领域上行使了国家立法权。

  

   图片

   随着信息网络在国内和国际各类事务上的应用和影响越来越大,以及国际互联网治理博弈的加剧,决策层的信息与网络安全意识逐渐强化,双重认证机制在中国互联网治理领域正式确立,认证开始深度嵌入物理层、传输层、内容层和代码层。2014年2月27日,中央网络安全与信息化领导小组正式成立,中央网络安全与信息化领导小组办公室和国家互联网信息办公室为“一个机构、两块牌子”。2014年8月26日,国务院授权国家互联网信息办公室行使全国互联网信息内容管理和监督管理执法权,中国互联网治理的第二阶段由此开始。2018年3月中央网络安全与信息化领导小组升格为中央网络安全与信息化委员会,中央网络安全与信息化委员会办公室为办事机构。如图3所示,中国互联网治理的基本模式发生巨大变化,从“对口管理、分工共治”转向“中央集中、对口分工”模式。

  

   图片

这种模式初步解决了以往互联网治理权过于分散的问题,中央网络安全与信息化委员会统一行使互联网信息内容管理的行政立法权、指导权、监督权和部分执法权,2014年至今已经在互联网用户账号、互联网新闻信息服务及单位管理、外资金融信息服务管理、党政机关网站安全管理、互联网信息搜索、互联网直播、网络安全标准化、互联网信息内容管理执法程序、互联网新闻信息服务单位内容管理从业人员管理、互联网论坛社区、互联网跟帖评论、互联网群组信息、互联网用户公众账号信息、互联网新闻信息服务新技术新应用安全评估微博客信息、区块链信息等方面制定了二十余份行政法规。但是,在互联网治理架构理顺了中央部门的内部关系,走向“中央集中、对口分工”模式的过程中,也正在遭遇新的问题,(点击此处阅读下一页)


爱思想关键词小程序
本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/134422.html
文章来源:《中国政治学》2021年第四辑
收藏