返回上一页 文章阅读 登录

欧树军:双重认证与互联网治理

更新时间:2022-06-04 23:31:02
作者: 欧树军  

   【内容提要】在过去三十年的中国互联网治理中,双重认证机制让国家得以用更小的财政成本谋求更大的公共安全收益,但其实效往往取决于行为认证主体所实际掌握的自由裁量权。这种自由裁量权越大,国家治理所遭遇的挑战也越大。本文揭示了旨在协调国家认证与社会认证之间关系的双重认证机制的形成过程,并探讨了这一机制对网络空间的“可治理性”的价值,及其给政府、作为网民的公民、企业与网络基础架构之间关系带来的新变化,以及社会的自我保护需求所催生的新政治、新法律和新政策。

  

   【关键词】身份认证;行为认证;双重认证;法律规制;互联网治理

  

   在新冠肺炎疫情暴发之前,人脸识别等新技术的兴起,掌握海量个人网络身份、行为和财产信息的互联网平台巨头的崛起,已经引发中国社会的广泛关注,中国政府也因此正在强化对个人信息保护、生物信息安全和具有准公共物品性质的商业数据安全的立法。在新冠肺炎疫情暴发之后,出于防疫需要收集的个人信息在疫情结束后如何处理,也备受社会各界重视。这些方面都凸显了新的认证机制在互联网治理中的重要作用。

  

   一、通过认证的互联网治理

  

   二十余年前,斯坦福大学互联网与社会研究中心创始人、哈佛大学法学院罗伊·弗曼法学与领导学讲席教授劳伦斯·莱西格(Lawrence Lessig),在其堪称互联网法律研究奠基之作的《代码》中提出:有了数字身份技术,互联网的基础架构将更容易控制和规制。2006年,莱西格又在其《代码2.0》中重申了这一判断。诚哉斯言。人们惯常所见的,往往是数据迷雾所创造的匿名幻象,或是信息爆炸所缔造的技术乌托邦或网络空间的“去中心化”。人们常常忽略信息技术其实是一把双刃剑,可以同时强化“去中心化”与“再中心化”、“去规制化”与“再规制化”、“去治理化”与“再治理化”。在现实层面,1968-1998年,人们更重视互联网的“不可治理性”。从1999年起,人们更侧重互联网的“可治理性”。莱西格所坚持的,正是这一认知转折的关键所在。他所说的数字身份技术,就是信息技术革命所催生的新认证机制。

  

   所谓认证,是指国家通过收集、识别、确认和证明人(自然人、法人)、财(固定或流动财产)、物(自然物、人造物)、行(犯罪、社会和经济行为)、事(社会经济事务)等基本社会事实,建立起数据与人的对应关系,减少信息与权力的双重不对称现象,提升人之于国家的“可治理性”的政治过程。美国的社会安全号码、英国的国民健康号码、瑞典的个人信息码和中国的公民身份号码等,就是这种由中央政府代表国家建立的现代认证机制。这种现代认证机制通过固定人的生物、社会和经济特征及其变化,并把这些个人资料整合在政府维护的各类基础公共数据库中,用数字标示人,用编码代表人。简言之,认证意味着现代人的生物、社会和经济特征及其变化成为“国家基础权力的基础”,成为解决大规模社会治理困境的抓手,成为最具公共性的公共物品。

  

   在互联网治理领域,最基本的认证主要包括身份认证和行为认证两大类。身份认证,是指对标示网络用户生物特征和社会特征的信息的收集、识别、确认和证明。生物特征包括姓名、年龄、住所、地址、体质、体貌、照片、衣着、文身、指纹、掌纹、声纹、血型、脱氧核糖核酸等;社会特征包括性别、民族、种族、语言、宗教、就业、阶级阶层、教育程度、性取向、社会身份、职业技能等。作为身份认证的基本机制,公民身份依赖政府颁发的各类证照号码文件获得确证,比如出生证、结婚证、离婚证、社保证、死亡证、身份证、学生证、工作证、驾驶证、护照、通行证、交通卡,以及纳税号码、社保号码、医保号码等。在互联网世界中,用户的姓名、住址、出生日期、身份号码、电话号码、账号、接入网络的终端编码以及使用互联网服务的时间和地点等个人信息,均可单独或与其他信息结合来识别用户的真实身份。

  

   身份认证主要发生在互联网的物理层,权力主体是国家,行为主体或授权主体是有权代表国家的政府。由于身份认证直接关涉公民资格、公民身份和公民权利,身份认证权直接影响国家主权的完整性、有效性和正当性,无论由个人还是商业公司、社会组织掌握都极易引发纠纷,只有归于国家,才能避免社会层面陷入全面对抗的利维坦状态。因此,公民身份信息属于国家权威的微观基础,身份认证属于国家权力和公共服务,身份数据库可以说是最基础的公共物品,身份认证是一种非常明显而必要的“国家认证”。

  

   行为认证,是指对互联网用户的网页浏览、网络游戏、网络视听、网络买卖、信息沟通、上传下载、影像传播等网上行为的收集、识别、确认和证明。行为认证更多发生在互联网的代码层,由于其频率非常高、规模非常大,且与作为公民的网民的通畅、便利、有效的信息沟通权利直接相关,主体往往是互联网运营者,这种社会主体承担的行为认证可称为“社会认证”。

  

   事实上,不仅现实世界须臾离不开认证,在互联网这个“信息乌托邦”里,认证也无处不在,它是互联网治理链条的第一环,并嵌入信息网络系统的每个环节、每个层次的基础组织架构。因此,认证堪称互联网治理的基石,由身份认证、行为认证所构成的双重认证机制及其内部关系的协调,对于建构合理有效的互联网治理体系尤为关键。

  

   二、嵌入身份认证

  

   中国的互联网治理嵌入身份认证是个渐进的过程。1987年9月,中国学术网在北京计算机应用技术研究所正式建成中国第一个国际互联网电子邮件节点。9月14日中国第一封电子邮件发出,内容如下:“Across the Great Wall we can reach every comer in the world(越过长城,走向世界)”,这一电邮似乎在无意中预示了中国互联网治理的重心演变。

  

   1994年4月20日,随着北京市海淀区中关村教育与科研示范网络工程接入互联网,中国首次开通互联网的全功能服务。在此两个月前,1994年2月18日,国务院发布第一部互联网法规《中华人民共和国计算机信息系统安全保护条例》,旨在确保物理“系统”的安全,包含设备、设施、环境和信息安全及正常运行,重点维护国家事务、经济建设、国防建设、尖端科技,并创立沿用至今的等级保护制度。这部以安全为首要目标的法规,标志着以公安部为主要执法主体之一的中国互联网治理从物理层开始了。

  

   1996年2月1日,国务院发布《中华人民共和国计算机信息网络国际联网管理暂行规定》,确立了中国的国际联网原则:统筹规划、统一标准、分级管理、促进发展,在管理上采取“新旧区分”。已建立的互联网络,分别由邮电部、电子工业部、国家教育委员会和中国科学院管理。新建的互联网络,由国务院信息化工作领导小组作为执法主体,由其负责协调解决国际出入口信道提供单位、互联单位、接入单位和用户的权利、义务、责任及检查监督等问题。该法规的实施细则首次规定在物理层向传输层过渡时,要进行身份认证:用户向接入单位申请国际联网时,应提供有效的身份证明或者其他证明文件,并填写用户登记表。这是身份认证在中国互联网治理中的首次亮相。

  

   1999年10月7日,国务院发布《商业密码管理条例》。针对不涉及国家秘密的信息进行加密保护或者安全认证所使用的密码技术和密码产品,由国家密码管理机构负责管理。商用密码的科研、生产均是指定型的特许业务,并在其销售环节设置了针对销售者的身份认证要求:用户的名称(姓名)、地址(住址)、组织机构代码(居民身份证号码)以及每台商用密码产品的用途,并将登记情况报国家密码管理机构备案。这一行政法规主要规范物理层。

  

   可以看出,1994-1999年为中国互联网的起步期,认证主要嵌入物理层的治理,并在从物理层向传输层过渡之际,设置了身份认证,既针对法人,也针对自然人。而内容层规制则不以身份认证为前提条件,尽管治理对身份认证有内在要求。

  

   进入21世纪,中国互联网治理的身份认证水平在物理层进一步提升。2003(,掌握域名规制权的信息产业部发布《中国互联网域名管理公告》,规定互联网信息服务提供者网站的互联网域名或IP地址下所包括的信息内容必须合法,强化了域名注册申请者的身份认证要求:域名注册信息必须真实、准确、完整,并与域名注册服务机构签订用户注册协议。2005年,信息产业部发布《互联网IP地址备案管理办法》,规定法人和自然人均须报备包含完整身份认证信息的IP地址信息。2006年,信息产业部发布《互联网电子邮件服务管理办法》,规定中国对互联网电子邮件服务提供者的电子邮件服务器IP地址,实行向电信管理机构登记管理的制度。2009年,工业和信息化部发布《通信网络安全防护管理办法》,要求电信业务经营者和互联网域名服务提供者管理和运行的公用通信网和互联网的网络安全防护工作,均须接受电信管理机构监管。很明显,这一时期身份认证的重心是互联网信息服务提供者,对法人的身份认证要求明显高于自然人。

  

   此后,身份认证重心开始从法人转向自然人。2013年9月1日,工业和信息化部制定的《电话用户真实身份信息登记规定》开始实施。2014年8月,国家互联网信息办公室发布《即时通信工具公众信息服务发展管理暂行规定》,即时通信工具服务提供者按照“后台实名、前台自愿”原则,要求用户通过真实身份信息认证后注册账号。即时通信工具服务使用者注册账号时,应与即时通信工具服务提供者签订协议,承诺遵守法律法规、社会主义制度、国家利益、公民合法权益、公共秩序、社会道德风尚和信息真实性“七条底线”。随后,2014年8月26日,国务院授权重新组建的国家互联网信息办公室负责全国互联网信息内容管理和监督管理执法,身份认证原则得到进一步强化。

  

   2014年5月9日,中央网信办发布《关于加强党政机关网站安全管理的通知》,把身份认证设定为党政机关网站安全管理的重要内容。2015年4月,中共中央办公厅、国务院办公厅发布《关于加强社会治安防控体系建设的意见》,将身份认证作为信息网络防控网建设的重要环节,其作用首次在社会治理意义上得以确认。

  

   三、嵌入行为认证

  

2004年,国家广播电影电视总局发布《互联网等信息网络传播视听节目管理办法》,针对以互联网协议(IP)作为主要技术形态,以计算机、电视机、手机等各类电子设备为接收终端,通过移动通信网、固定通信网、微波通信网、有线电视网、卫星或其他城域网、广域网、局域网等信息网络,从事开办、播放(含点播、转播、直播)、集成、传输、下载视听节目服务等活动。2005年,国务院新闻办公室、信息产业部联合发布《互联网新闻信息服务管理规定》,针对互联网新闻信息服务单位登载、发送的新闻信息或者提供的时政类电子公告服务,规定了与2001年信息产业部电子公告服务审批管理制大致相同的行为认证要求。同年,信息产业部专门针对移动通信网络不良信息传播治理发布部门规章,(点击此处阅读下一页)


爱思想关键词小程序
本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/134422.html
文章来源:《中国政治学》2021年第四辑
收藏