随着信息技术的迅猛发展,互联网在为经济社会发展带来诸多便利的同时,也产生了一些负面影响,甚至给国家安全带来新的挑战。许多国家都很注重加强网络信息法制建设,发挥互联网的积极作用,应对日益突出的网络和信息安全问题。网络信息立法涉及诸多方面,且彼此间内容多有关联,不易截然分开。我们将陆续地着重从维护网络安全、互联网内容管理、个人信息保护、未成年人保护、发展电子商务和电子政务等几个方面,对一些主要国家或地区的网络信息立法情况进行分类和梳理。
关于维护网络安全
早期的网络立法,侧重于保护关键性信息基础设施,既包括物理实体的安全(即防止因自然灾害、事故或人为破坏而造成基础设施各系统的运行中断),也包括基础设施的逻辑安全(即保障支持设施运行的信息资源和信息技术的可用性、可靠性、完整性、保密性)。随着互联网的发展,各国立法在加强信息基础设施保护的同时,也强调网络信息的安全,加强对网络犯罪的打击。
美国拥有世界上数量最多、内容最全面的网络安全立法。为加强信息网络基础设施保护和打击网络犯罪,美国从1977年开始陆续制定了多部法律。其中,1977年制定的《联邦计算机系统保护法》,首次将计算机系统纳入法律的保护范围。1987年制定的《计算机安全法》,是美国计算机安全的基本法律,目的在于提高联邦计算机系统的安全性和保密性。1996年通过的《电信法》明确规定,不允许利用互联网宣扬恐怖主义、侵犯知识产权、向未成年人传播色情以及从事其他违反美国法律的行为;《国家信息基础设施保护法》则加强了对侵害国家信息基础设施的行为的认定和处罚。2000年通过的《政府信息安全改革法》,规定了联邦政府部门在保护信息安全方面的责任,建立了联邦政府部门信息安全监督机制。2002年3月通过的《联邦信息安全管理法》(后纳入《电子政府法》),对政府机构的信息安全问题作出了更为详细的规定。2002年11月通过的《国土安全法》也涉及对包括通信设施在内的重要基础设施的保障。2002年通过的《关键基础设施信息保护法》,建立了一套完整详细的关键基础设施信息保护程序。
美国还制定了《计算机欺诈与滥用法》(1984年)、《公共网络安全法》(1997年)、《加强计算机安全法》(1997年9月通过、2000年修订)等有关法律。除联邦法律外,美国许多州也制定了相关法律。总统的行政命令在保护关键性网络基础设施方面也发挥着重要作用。在国际合作层面,2006年,美国参议院批准了《计算机犯罪公约》,该公约于2007年1月1日在美国正式生效。这样,由联邦法律、州法律、联邦行政决定、一些判例及国际公约,共同构成了美国的信息安全法律体系。
欧洲在网络安全立法方面也走在前面。瑞典于1973年4月4日通过的《数据法》,是世界上第一部涉及计算机犯罪惩治与防范的法律。英国制定的《1990年计算机滥用法》,将未经授权接触计算机数据,未经授权非法占用计算机数据并意图犯罪,故意损坏、破坏、修改计算机数据或程序认定为违法。德国修改了《刑法》,规定资料间谍、计算机欺诈、伪造证据、与数据处理有关的交易诈骗、伪造证书、伪造证明材料、毁弃文书、篡改资料、计算机破坏、职务文书伪造等计算机犯罪及处罚。欧盟于2001年11月通过了国际上第一个针对计算机系统、网络或数据犯罪的多边协定——《计算机犯罪公约》(ConventiononCybercrime,也译作《网络刑事公约》),明确了网络犯罪的种类和内容,要求其成员国采取立法和其他必要措施,将这些行为在国内法中予以确认;要求各成员国建立相应的执法机关和程序,并对具体的侦查措施和管辖权作出规定;加强成员国间的国际合作,对计算机和数据犯罪展开调查(包括搜集电子证据)或采取联合行动,对犯罪分子进行引渡;对个人数据和隐私进行保护等。依照欧盟制定的统一指令和本国的实际情况,欧盟成员国纷纷研究出台本国的信息安全法律法规。
在亚洲,新加坡1993年制定了《滥用计算机法》,并于1998年6月通过了该法的修正案,新增三项有关非法进入计算机系统的罪名,以应付日益严重的计算机犯罪及其造成的严重后果。韩国于2001年1月通过了《重要信息基础设施保护法》,以建立一套应对黑客、计算机病毒等破坏信息通信网络行为的综合性、系统性保护措施。日本将《刑法》的内容延伸到网络领域,增加计算机犯罪的条款,规定了关于电磁记录的不实使用罪、电子计算机损坏或故意妨碍他人使用罪、电子计算机使用欺诈罪、电磁记录毁弃罪等计算机犯罪及处罚。此外,日本1999年通过的《禁止非法接入行为法》,明确制止非法接入,预防计算机犯罪,保障通信网络的健康发展。
关于规范和管理网络内容
规范和管理网络内容,不仅是社会管理问题,也是涉及公民宪法权利的重大政治问题。由于具体国情、历史传统的不同,各国在互联网内容的管理模式上表现出不同的特点。大致可以划分为:政府主导、政府指导下的行业自律和行业主导三种基本模式。管理模式的不同,在立法上也有相应的体现。
(一) 政府主导的管理模式
这以新加坡和德国等为代表,多采用专门立法规范网络内容,甚至对网络内容提出具体要求,政府直接从事网络内容监管等日常管理工作。德国于1997年通过《为信息与通讯服务确立基本规范的联邦法》(又称“多媒体法”)。该法是世界上第一部网络专门法,对包括网络内容在内的电子网络空间的行为提供了全面、综合的专门法律规范。该法将出版物概念扩展到“音像载体、数据存储设备、图片和其他表现形式”,规定了网络服务提供商的内容责任,对未成年人保护作了明确规定。2000年12月,德国联邦最高刑事法院通过对“托宾案”的裁定,还确立了网络内容域外司法管辖权。
澳大利亚是世界上最早制定互联网管理法规的国家之一。在澳大利亚,有关互联网管理内容的法规及标准由传播和媒体管理局、行业机构、消费者共同制定,主要有:《广播服务法》《反垃圾邮件法》《互动赌博法》《互联网内容法规》和《电子营销行业规定》。《广播服务法修正法(在线服务)》,俗称《互联网审查法》,正式确立了官方性质的互联网内容分级体系。由澳大利亚传播和媒体管理局负责网络内容的监管,根据举报进行调查,并向网络提供商发布相关指令。澳大利亚还颁布了《垃圾邮件法》。
新加坡有严格管制媒体内容的传统,管制内容集中于政治和道德两个方面,相关法条全面、细致。在互联网发展与管理中,政府一直处于主导地位,同时将国家安全和公共利益置于首位。《广播法》及以其为依据制定的《广播(分类许可)公告》《互联网行为准则》,是新加坡互联网内容管理的基础性法律。其他管制内容则散见于《刑法》《国内安全法》《煽动法》《维护宗教融和法》《不良出版物法》等法律法规之中。法律规定实行网络分类管理,所有网络服务提供商、讨论政治或宗教问题的网络内容提供商、在新加坡注册的政党组织所建网站、经营网上报纸并收费的内容提供商,都必须在媒体发展局登记后方能开始运营。
韩国是世界上最早建立互联网审查专门机构的国家,也是第一个强制实行网络实名制的国家,实行比较严格的手机实名制和有限的网络实名制。2001年通过的《促进利用信息和通讯网络法》规定,由国家信息通信部来推广和发展过滤软件,对未成年人有害的网络内容划分等级;被划为“对未成年人有害”等级的网站必须有电子标识。在《电信商务法》框架下,还发布过关于网络内容管理的专门法令,如《互联网内容过滤法令》(2001年7月)在法制层面上确立了网络内容过滤的合法性,审查范围包括BBS、聊天室,以及其他“侵害公众道德的公共领域”“可能伤害国家主权”和“可能伤害青少年感情、价值判断能力的有害信息”。2005年,韩国发生了一系列轰动事件,如有关演艺明星隐私的大批所谓“X档案”在网上被疯狂转载,引发韩国社会关于“网络公开性与个人隐私保护”等的讨论和反思。2005年10月修改《促进信息化基本法》《信息通信基本保护法》等,为网络实名制提供了法律依据。网络实名制就是网民在网上发言、申请邮箱或注册会员,要事先填写真实姓名、身份证号、住址等详细信息,系统核对无误后才能拥有自己的账号并发布留言。2007年7月《促进使用信息通信网络及信息保护关联法》生效,对35家主要网站实施实名制。2008年,韩国影星崔真实自杀后,又催生了实名制网络法——《信息通信网络法修正案》(俗称《崔真实法》),规定日点击量超过10万的所有网站都需要实行实名制,进一步扩大了网络实名制的范围。但是,2011年7月份韩国发生了有史以来最大规模的黑客事件,网站大规模泄漏个人信息事件,韩国行政安全部8月11日表示,出于保护网络用户个人信息安全的考虑,韩国政府打算分阶段逐步取消网络实名制。
(二)政府指导下的行业自律模式
这以英国为典型代表,政府并不直接从事网络内容的日常监管,而是将大量的日常管理工作交给具有半官方色彩的行业自律组织(如英国的互联网监视基金会IWF),由它间接控制网络内容,政府自己则居于“把关人”的地位,提供立法和执法方面的补充、保障、支持和指导。英国对互联网内容的管理秉持“监督而非监控”的理念,没有专门针对网络内容管理的立法,甚至也没有统一的《新闻法》和《出版法》。英国政府将网络媒体视为出版物的一种,沿用现有法律——如《刑法》《诽谤法》《藐视法庭法》《青少年保护法》《种族关系法》《公共秩序法》《性侵犯法》《淫秽出版物法》《广播法》等来规范其内容。为应对恐怖威胁,英国也注意在立法中赋予政府一定的网络管制权力。2000年制定的《通信监控权法》,规定在法定程序条件下,为了国家安全或保护英国的经济利益,政府可以截收或强制性公开认为必须予以公开的网上信息内容。2001年开始实施的《调查权管理法》,要求所有的网络服务商均要通过政府技术协助中心发送数据。该中心则由军情五处负责运营,其官员可以检查和阅读所选定的任何电子信息。
1996年6月,法国邮电、电信和空间部长菲勒对一部有关通信自由的法律进行补充并提出《菲勒修正案》。该法案根据互联网的特点,为互联网从业人员和用户之间自律解决互联网带来的有关问题提出了3个方面的措施并规定了相关刑事责任,但这一修正案在宪法委员会进行的事先审查中就被否定,胎死腹中。从1999年初开始,法国开始执行“共同调控”的互联网管理政策,共同调控建立在以政府、网络技术开发商、服务商和用户这几方经常不断的协商对话基础上。为了使“共同调控”真正发挥作用,法国还成立了一个由个人和政府机构人员组成的常设机构,即互联网国家顾问委员会。
(四) 行业主导模式
这以美国为代表,政府通常放弃通过专门立法等手段干预网络内容,对网络内容的管理由非官方性质的行业协会自发进行,但网络内容同样要受其他非专门立法的约束。
美国除保护未成年人免受网络色情侵害的立法外,很少有专门针对互联网内容管理的法律。“9•11”恐怖袭击发生后,美国迅速通过立法赋予政府网络监控权。2001年通过的《爱国者法》,通过修订《联邦刑法》《刑事诉讼法》《1978年外国情报法》《1934年通信法》等,授权国家安全和司法部门对涉及化学武器或恐怖行为、计算机欺诈及滥用等行为进行电话、谈话和电子通信监听,并允许电子通信和远程计算机服务商在某些紧急情况下向政府部门提供用户的电子通信。2002年11月通过的《国土安全法》,进一步要求提供网络服务的公司在调查机关要求下,有义务向美国政府提供用户的有关信息和背景;警方有权监视互联网上包括个人电子邮件在内的信息来往;如果出现“危及国家安全”的情况,或“受保护的电脑”遭到袭击,当局无须事先征得法院同意,即可监视电子邮件和互联网上的其他相关信息。在此情形下,服务商信誉和客户机密须让位于国家安全。美国还专门颁布了《反垃圾邮件法》。
关于保护公民个人信息
国际上有关公民个人信息的法律概念主要有三个,分别是“个人数据”“个人信息”与“隐私”。其中,使用“个人数据”概念的国家或地区最多,主要是欧盟成员国以及受欧盟1995年指令影响而立法的其他国家和地区。在美国、澳大利亚、新西兰、加拿大等普通法国家(英国作为欧盟成员国除外),则大多使用“隐私”概念。日本、韩国、俄罗斯等国,则使用“个人信息”概念。概念的不同主要是源于不同的法律传统和使用习惯,实质上并不影响法律的内容。虽然各国关于个人信息保护立法在许多方面具有很大的差别,但都具有两个共同特征:(1)法律保护的对象是作为自然人的个人;(2)法律所要实现的目标是使能够识别特定个人的信息不被随意收集、传播或作其他处理,侵犯个人的权利。
美国十分重视对公民个人隐私权的保护,宪法第四修正案专门规定了公民的隐私权。为规范网上个人信息的收集、利用、发布和隐私权保护,美国先后制定了《电子通信隐私法》(1986年)、《通信净化法》(1996年,后被联邦最高法院宣布为违宪)、《数据保密法》(1997年)、《儿童在线隐私权保护法》(1998年)、《网络电子安全法》(1999年)、《网络安全信息法》(2000年)等法律。其中,《数据保密法》规定,出于商业目的收集个人(包括儿童)信息、发送主动式电子商务邮件等行为,要建立自我规范制度。还规定了出现纠纷后的调解和仲裁办法,同时禁止透露或使用某些政府信息、个人保健和医疗信息等。《公共网络安全法》规定,政府在保证网络安全的同时,还要保证个人的隐私权、知识产权及网络使用者的个人安全,如有侵权行为发生,应对侵权人进行惩罚。《儿童在线隐私权保护法》主要针对在线收集13岁以下儿童个人信息的行为,规定网站管理者要遵守隐私规则,必须说明何时和如何以一种可以验证的方式向儿童家长索求同意,并且网站管理者必须保护儿童在线隐私和安全。
欧盟将隐私权视为一项基本人权并延伸到个人数据的保护,于20世纪90年代出台了一系列有关网上隐私保护的法令。主要有:《欧盟数据资料保护指令》(1995年,欧洲议会)、《电子通信数据保护指令》(1996年,欧洲理事会)、《互联网上个人隐私权保护的一般原则》(1999年,欧盟委员会)、《关于互联网上软件、硬件进行的不可见的和自动化的个人数据处理建议》(1999年,欧盟委员会)、《信息公路上的个人数据收集、处理过程中个人权利保护指南》(1999年,欧盟委员会)等。这些法令为网络用户和网络服务商提供了清楚的隐私权保护法则,为成员国立法提供了明确的路径。同时还规定,第三国的隐私法律只有经欧盟委员会判定达到“充分的”保护标准,才能自欧盟向其进行跨境个人信息传输。2001年欧盟又出台规范共同体的职能机构组织处理和传播个人信息的专门规章。至此,欧盟已在其成员国间建立起统一有效的网络隐私权保护法律法规体系。
欧盟成员国中,英国早在1984年就制定了《数据保护法》,此后又出台了《2002年电子商务条例》。法国1978年制定的《信息技术与自由法案》涉及个人数据保护。德国先后制定了《电信服务数据保护法》(1997年,作为《多媒体法》的一章)、《联邦数据保护法》(2002年)等,加强对公民个人数据的保护。