[作者简介] 程乐(https://orcid.org/0000-0002-4423-8585),男,浙江大学外国语言文化与国际交流学院、光华法学院双聘教授,博士生导师,浙江大学城市学院魏绍相讲席教授,哲学博士,主要从事法律话语与翻译、语料库语言学和符号学研究;
基于自建语料库,研究发现信息(数据)是美国、中国和欧盟网络安全法律的核心规制对象。网络安全法律及其中的法律术语具有符号学时空性特点。一方面,美国、中国和欧盟在网络安全法律内容及其法律术语阐释方面存在空间性的差异,即在不同的司法管辖区,对网络安全法律以及同一法律术语存在不同的解释项;另一方面,法律术语作为语言符号具有时间性,规范现实空间的传统法律术语已不适应网络时代社会的发展,亟须对其进行重构以适用于网络空间。此外,社会发展、法的发展和各国互联网技术发展水平的不平衡性决定了网络安全法律移植的必要性,而在移植过程中,应充分考虑网络安全法律及其术语的空间性、本国国情以及国外法与本国法之间的兼容性。
In recent years, with the rapid development of Internet and Information Technology and the subsequent cybersecurity problems, it appears to be of particular significance to provide legislative guarantee to cybersecurity by establishing the legislative system. Therefore, various jurisdictions have introduced cybersecurity laws and regulations and supporting polices to regulate cyberspace behaviors so as to safeguard national cybersecurity and public interests. With three specially created corpora of cybersecurity laws and regulations of the United States, China and European Union, this study integrates quantitative and qualitative approaches: on one hand, the corpus analysis software, Sketch Engine, is utilized to deal with the data in three corpora; on the other hand, from a semiotic perspective, this study attempts to investigate the convergence and divergence of cybersecurity laws in the United States, China and European Union respectively and to probe into the potential reasons for this so as to provide enlightening insights into legal interpretation and transplantation concerning cybersecurity and the improvement of the China cybersecurity legal system. Through preliminary data analysis, a semiotic interpretation and empirical research, several conclusions are drawn as follows:
First of all, ″information (data)″ is a high-frequency word in three corpora, which indicates that ″information (data)″ is the key regulated object of cybersecurity law in the United States, China and the European Union. Furthermore, the collocations of ″information″ ″data″ “信息” and “数据”,are examined. It is found that the legal hierarchy of Chinese cybersecurity laws and regulations is relatively low with fewer epistatic laws, which is evidenced by the legal constitution of each corpus and laws and regulations concerning ″sensitive information″. Moreover, the types of information regulated by law are distinct from one another in the three corpora, and even for the same information type mentioned by different jurisdictions, its legal meaning may be constructed in various ways, such as ″sensitive information″ and ″copyright management information″, which is mainly attributed to distinct legal systems, ICT levels as well as social development situations in different jurisdictions. Therefore, as legal signs, the cybersecurity law and its legal terms are spatial and their meanings can be interpreted in various ways in different jurisdictions. Only in a particular jurisdiction can the meanings of cybersecurity law and its legal terms exist.
In addition, due to its temporality, a cybersecurity law and its legal terms may change with the times and technological innovations, which results in the occurrence of new types of information. It is mainly reflected in three aspects: the lawmaking based on new cybersecurity challenges and crises arising in the society; the lawmaking or revision relevant to new technologies and business; and the formulation of basic cybersecurity law. For instance, due to the technological advances and social development, the content ranges of ″special categories of data″ and of ″personal data″ prescribed in the 1995 European Union Data Protection Directive are expanded in the European Union’s 2016 General Data Protection Regulation. Thus, it can be concluded that the meanings of cybersecurity law and its legal terms should be reconstructed to accommodate the creative and dynamic society. Additionally, due to the conflict between the traditional legal system and terms and the rapid development of virtual cyberspace, the system of accusation and the standard of criminal penalty should be contextually reconstructed to adjust to the cyberspace.
Thirdly, the imbalance of social development, law development and a country’s Internet technology levels decides the necessity of legal transplantation, during which the spatial feature of cybersecurity law and its terms, national conditions as well as the compatibility between foreign law and domestic law need to be taken fully into account, and foreign law and its terms cannot be deemed as texts in a vacuum. The legal meanings of the traditional cybersecurity legal system and legal terms should be reconstructed to adapt to the development and changes of the virtual cyberspace. Additionally, every construction, deconstruction and reconstruction of cybersecurity law and its legal terms serving as legal signs is the interaction between law and society. The roles of relevant social institutions should be given full play through social surveys in order for specific issues to serve as proof or evidence for defining and revising the law.
Last but not the least, the quantitative corpus approach contributes to mining new contents and analytical methods for traditional scientific research, which is conductive to digging out the textual meanings of legal signs and to a better understanding of the divergence and convergence of meanings of legal terms in different jurisdictions.
根据世界网络用户和人口统计数据, 截至2017年6月30日, 全球网民总数约为38.35亿(约占全球总人数75.19亿的一半)① (参见Internet World Statistics, http://www.internetworldstats.com/stats.htm, 2018年3月28日。) 。随着网络的不断普及, 网络空间被视为并列于陆、海、空、天的第五空间② ( 参见孙苗苗《做“ 第五空间” 的维护者》, 2016年8月15日, http://www.cac.gov.cn/2016-08/15/c_1119331199.htm, 2018年3月28日。) , 成为新形势下维护国家安全的重要领域之一。随着网络空间的兴起、扩张和发展, 法治不仅能够在制度层面提供治理途径, 而且有利于实现不同价值和利益之间的协调以及利益主体的自我约束[1]。因此, 许多国家致力于通过构建网络安全立法体系为网络安全提供法治保障。
目前, 就网络安全法律的研究对象而言, 国内外学界主要集中在网络安全国内法[24]、国际法[56]及其中的法律术语[78], 聚焦关键(信息)基础设施[9]、智能电网[10, 11]、云计算[12, 13]、信息共享[14, 15]、隐私[4, 16]、网络恐怖主义[5, 17]、网络犯罪[18, 19]、网络战[20, 21, 22]以及网络空间主权[23, 24, 25]等。就研究方法而言, 常见的方法包括实证分析法[5]、价值分析法[26]、比较分析法[27]和社会经济分析法[28], 鲜有利用语料库的方法对网络安全相关法律进行探索的。鉴于此, 本研究将基于语料库的研究方法和符号学的视角, 从符号的共有属性— — 时空性出发, 阐释网络安全法律的构成, 并着重探讨法律术语①(本文的法律术语是指“ 立法机关用来表达法律概念的专门用语” 。参见陈炯《法律语言学概论》, (西安)陕西人民教育出版社1998版, 第75页。)的建构、解构及重构问题。
作为一种跨学科、跨领域的方法论, 符号学被界定为研究符号的一门学说[29]3。Saussure首次提出并确立了符号学这门学科, 他从语言符号学的角度出发, 基于结构主义, 提出了符号学二分理论, 符号由“ 能指” 和“ 所指” 两部分组成, 能指是符号的语音形象, 所指是符号的意义概念部分[30]95。Saussure的语言符号学以系统性为核心, 认为语言是一种表达观念的符号系统, 是一个有固有秩序的封闭系统, 主张排除一切跟语言的组织、系统无关的东西[31]43, 如民族、种族、政治、社会制度、地域、文化和方言等, 以保持语言系统的“ 纯洁” 。因此, Saussure的语言符号学被认为具有一定的狭隘性和局限性。
作为后结构主义的先锋和符号先驱者之一, Peirce对符号学进行了发展和突破, 提出了逻辑— 修辞学模式, 即符号学三分体系, 符号由“ 再现体” “ 对象” 和“ 解释项” 三部分构成。“ 再现体” 相当于Saussure的能指, 而Saussure的所指被Peirce分成了两部分:“ 符号所代替的, 是对象” , 而“ 符号所引发的思想” 称为符号的“ 解释项” [30]95。这是Peirce符号学理论的核心, 也是他对符号学的突破, “ 解释项” 使符号向无限衍义开放, 即“ 解释项变成了一个新的符号, 以至无穷, 符号就是我们为了了解别的东西才了解的东西” [31]101。
Peirce的符号学理论被称为当代符号学的理论基础和重要模式, 已被国内外学者广泛应用在法律领域中, 包括法律翻译[32]、法律术语[33, 34]、法律文化[35]336、法律外交话语[35]37-106、法律情态[36]以及裁判文书体裁[37]等。程乐基于符号学语义三角提出了翻译语义三角, 为法律翻译中的精确对等提供理论基础以理解法律翻译的复杂性[32]。而且, 符号学还可以为解读法律话语语境中的情态词和法律术语的复杂性提供可行的理论视角[36], 法律术语具有符号的特有属性— — 时空性, 其意义只存在于特定情景中, 在不同的历史阶段有不同的含义[33]。此外, 正如“ 解释项” 是Peirce符号学理论的核心, 许多学者将其运用到法律解释领域, 例如对立法语言中法律术语的阐释[33, 34]以及对作为符号体系的法律文化的概念解析[35]336等。由此可见, 从符号学时空性的视角来审视法律解释活动、法学方法论具有很强的理论研究价值和实践解释能力[34]。
同理, 根据Peirce符号学理论对网络安全法律及其术语进行阐释具有可行性和贴合性。法律术语是立法体系中各个法律文本语言的重要支柱之一, 其法律意义的稳定性是相对的, 不是一成不变的。作为法律符号, 法律术语具有时空性特点, 同一法律术语随着一定历史条件的产生或消亡在不同的司法辖区或不同的法律领域会有不同的含义, 只有在特定的时间和空间语境下才具有特定含义[33]。一方面, 信息技术领域的技术进步, 尤其是数字化进程, 促进了广泛的社会变革以及开放社会的构建[6]43。鉴于在网络空间发展过程中可能发现新的参与可能性以及改善之前的参与过程, 因此网络空间更适用于在“ 开放的社会” 中进行治理, 开放的法律制度也因而是必要的[6]43。网络空间的这种特性决定了网络安全法律及其术语的时间性和动态性, 即作为符号可被解释和再解释, 其含义可有多种解释项[38]。另一方面, 不同国家或不同学说对网络安全法律及其术语的含义可能有不同的解释, 比如“ 个人信息[39]48-79“ 网络空间” [5]1等, 这就决定了其空间性和多样性。从符号学视角研究法律术语, 有利于解决法律术语面临的困境, 即术语标准化与术语多样性和动态性之间的冲突[40]。
本研究自建三个语料库:(1)通过梳理美国国会研究局报告《网络安全相关的联邦法律》①(Fischer E.A., ″Federal Laws Relating to Cybersecurity: Overview of Major Issues, Current Laws, and Proposed Legislation, ″ Congressional Research Service Report, R42114, 2014.)以及美国网络安全促进委员会发布的《关于保护数字经济安全的报告》中的《网络安全立法概览》②(Commission on Enhancing National Cybersecurity, ″Report on Securing and Growing the Digital Economy″(Appendix 6: Cybersecurity Legislation Overview), 2016, pp.81-83.)两个文件中的网络安全法律法规, 采集到了58部网络安全联邦法律, 总字数为1 067 176; (2)基于欧盟法律法规数据库(EUR-Lex), 分别以“ cyberspace” “ cybersecurity” “ computer” “ network” 和“ Internet” 为关键词进行搜索(访问日期2017年10月1日), 结合学者Eneken Tikk-Ringas对欧盟网络安全领域法律法规的梳理③(Tikk-Ringas E., ″Legal Framework of Cyber Security, ″ in Lehto M. & Neittaanmä ki P.(eds.), Cyber Security: Analytics, Technology and Automation, Cham: Springer, 2015, pp.109-127.), 采集到23部欧盟颁布的网络安全相关的法律, 总字数为429 117; (3)利用北大法宝法律法规数据库, 根据关键词“ 网络” “ 计算机” “ 互联网” 和“ 因特网” 进行搜索(访问日期2017年10月16日), 经排除与网络安全无关的法律法规后, 采集到68部, 其中法律4部、行政法规9部、部门规章55部, 总字数为120 385。本研究将以上三个语料库作为主要素材, 但在解释具体问题时根据需要也参照了其他司法管辖区的相关法律文献, 以便更深入地探讨。
本研究采用语料库分析软件Sketch Engine进行数据采集, 主要利用Word List, Word Sketch以及Concordance功能进行词频和搭配数据统计。
首先, 根据Word List统计词频, 三个语料库中频数排名前六的实词见表1:
表1显示, “ information” “ 信息” 和“ data” 分别是三个语料库中排名第一的高频词(除去表示条款项目的词语和专有名词)。可见, 信息(数据)是美国、中国和欧盟网络安全立法的核心规制对象。随着以数据驱动为特征的新一轮经济全球化的加速推进, 数据作为国家基础性战略资源已成为网络空间安全监管的重点对象[41]84, 这在美国、中国和欧盟的网络安全相关立法中明显地体现了出来。美国将信息(数据)保护纳入隐私保护方面, 出台了多部与隐私保护相关的法律, 并发挥行业自律作用, 构建起了较为完善的隐私保护体系。在我国《网络安全法》中, 数据安全和个人信息保护制度是重要的组成部分之一①(参见中国信息通信研究院《网络安全产业白皮书(2017)》, https://www.sohu.com/a/194209446_353595, 第24页, 2018年3月28日。)。根据《世界互联网发展报告2017· 总论》, 欧盟在《个人数据保护条例》中对个人数据安全做出了严苛的法律规定, 将个人数据保护提到了前所未有的高度②(参见中国网络空间研究院《世界互联网发展报告2017》, https://max.book118.com/html/2018/0514/166249934.shtm, 第30页, 2018年3月28日。)。
作为一种符号, 信息(数据)具有空间性, 在不同司法管辖区可能有不同的表现形式。本研究利用Sketch Engine的Word Sketch功能分别对“ information” “ data” “ 信息” “ 数据” ③(鉴于信息和数据在某种程度上的混用, 这里对两者皆进行检索。)的搭配词进行进一步分析, 根据上述词语的修饰词及其修饰的名词和动词以获取其所规定的主要信息范围。本研究还利用Concordance功能考察了上述词语在三个语料库中的搭配词, 以更全面地对其进行梳理(见表2)。
表2显示, 美国、中国和欧盟的网络安全立法存在信息保护范围的差异。例如, “ 敏感信息” 在美国和欧盟法律中均被界定, 但在中国的法律法规中却未被界定。实际上, 我国指导性技术文件《信息安全技术— — 个人信息安全规范》对个人敏感信息进行了规制, 但因其不属于法律而不具有强制力, 未包含在所建语料库中。比较本研究各个司法管辖区语料库的法律组成和对“ 敏感信息” 的法律规制可发现, 我国网络安全领域的法律法规方面存在法律位阶较低的特点, 上位法律较少。不同司法管辖区对“ 敏感信息” 的规制存在范围上的不同, 如表3所示:
表3显示, 不同司法管辖区对“ 敏感信息” 有不同的表述:“ 敏感信息” (美国)、“ 敏感资料” (中国澳门地区)、“ 特殊类型数据” (欧盟)和“ 敏感信息” (加拿大), 本文采用“ 敏感信息” 的表述。虽然上述不同表述的研究对象并无本质区别, 但对“ 敏感信息” 的界定标准和范围各不相同。
从表3对“ 敏感信息” 的规制中可以看出, 中国大陆地区、中国澳门地区、中国台湾地区和欧盟采取了概括+列举或列举的定义方式, 明确列出了敏感信息的范围。相较之下, 美国和加拿大并没有规定“ 敏感信息” 本身应具有的一般特性, 而是将其落实到各个行业之中。从美国对“ 敏感信息” 的界定来看, 鉴于《美国联邦宪法第四修正案》中对隐私权的明确保护以及美国强大的隐私权法律体系, 其敏感信息规制是在隐私权保护的范围之内的, 而美国的隐私法律是就行业进行的分散式专门性立法, 包括金融领域的《金融隐私权法案》和《金融服务现代化法案》, 保险领域的《健康保险隐私及责任法案》, 电视领域的《有线通讯隐私权法案》和《电视隐私保护法案》, 电信领域的《电讯法》, 以及消费者信用领域的《公平信用报告法》等。因此, 美国亦根据行业特点来判定“ 敏感信息” 。
概言之, 普通法系司法管辖区对“ 敏感信息” 的规制采取敏感信息行业化的方式, 而大陆法系司法管辖区①(欧盟是大陆法系和普通法系相融合的组织, 而在“ 敏感信息” 的法律界定方面体现出了大陆法系的特点。)采用的是概括加列举的方式。造成这种立法形式差异的原因在于大陆法系和普通法系立法思维不同。大陆法系法律的主要法律形式是成文法, 列举的方式比较符合成文法规范的法律思维, 既可满足现实中复杂多变的行业行为, 又可保证成文法的统一性和稳定性。此外, 大陆法系的立法者希望“ 法律周密翔实而历久不变, 因此以概括措辞撰写法律, 使得法官诠释法律更具弹性” [42]42。因此, 采取概括和列举相结合的方式比较符合大陆法系司法管辖区的法制状况。普通法系制定法的立法技术与制定法解释往往从实用主义出发, “ 不讲究结构的完整性和概念的严密性, 常以列举、例解的方式来表述条文” [43]9。此外, 本文认为, 依据行业特点来规定“ 敏感信息” 范围的主要原因之一也在于美国制定法解释的实质化倾向— — 动态解释理论, 即将法律条文适用于某个具体问题之前, 抽象的法律意义是不存在的; 只有在具体语境下适用法律的时候, 才有所谓的法律的意义[44]92。因此, 美国依据行业特点对“ 敏感信息” 进行立法规制, 为法官随社会环境的改变而动态地解释法律提供了可能性。
“ 敏感信息” 的界定至关重要, 因为与一般个人信息相比, “ 敏感信息” 可享受更严格的法律保护; 而且在不同司法辖区, 对“ 敏感信息” 的规定产生的法律效果会不同, 例如, 美国法律对“ 敏感信息” 的保护程度低于欧盟的《一般数据保护条例》和1995年的《数据保护指令》[5]67。此外, 关于“ 敏感信息” 的界定有两方面的问题值得深思:一方面, 信息组合可否构成敏感信息, 例如, 在庞某某与北京趣拿信息技术有限公司等隐私权纠纷②(北京市第一中级人民法院, (2017)京01号民终509号。)一案中, 法官认为, 单一的姓名和手机号不属于隐私信息, 但当姓名、手机号和行程信息结合在一起时, 整体上可构成隐私信息。在个人隐私、个人信息电子化的信息时代, 针对敏感信息或个人隐私进行立法时, 应考虑信息组合的重要性。另一方面, “ 敏感信息” 的界定应是开放式的, 所以可借鉴美国和加拿大等国家的实践, 在特定行业或特定主体的立法中明确“ 敏感信息” 的具体范围, 以顺应社会和行业的动态发展。
即使同样的信息类型均被中美网络安全法律提及, 但不同司法管辖区在这些信息类型的具体界定方面还是存在差异的。例如, 表2中“ 版权管理信息” 分别在美国《数字千年版权法》和我国《信息网络传播权保护条例》中进行了规制, 但两者在版权管理信息形式、侵权行为的表现形式和法律责任等方面存在差异(见表4)。
从表4可以看出, 就信息形式而言, 《信息网络传播权保护条例》所规定的“ 权利管理电子信息” 仅限于电子形式的信息, 而《数字千年版权法》对信息形式并无限制。而且, 在美国的司法实践中, 非电子形式的版权管理信息亦受到《数字千年版权法》的保护, 比如在McClatchey v. Associated Press③(McClatchey v. Associated Press, No.3:05-cv-145 (Johnstown), 2007 WL 776103 (W.D. Pa. March 9, 2007)。法官在说理过程中表示, “ 为了避免术语冗余, 法律亦必须保护非电子形式信息” 。)和Associated Press v. All Headline News④(Associated Press v. All Headline News, 608 F. Supp 454 (S.D.N.Y. 2009).)两案中, 对版权管理信息进行了广义解释, 即非电子形式版权管理信息(如刊物照片上的作者署名)亦属于版权管理信息的范围。
就侵权行为的表现方式来看, 《信息网络传播权保护条例》仅包含“ 删除和改变” 两种形式, 而美国《数字千年版权法》第1202条第1款还对虚假版权管理信息进行了规制。删除或改变版权管理信息的前提是作品原本就存在版权管理信息, 但实践中也存在行为人未经版权人许可在没有版权管理信息的作品上添加虚假的版权管理信息的情况, 同样会给权利人的利益造成损害[45]。
就法律责任而言, 首先, 《数字千年版权法》在民事救济①(《数字千年版权法》第1203条第3款第4项, 重复侵犯:在原告承担举证责任的情况下, 若法院发现被告在被判定违反第1201条或第1202规定后的3年内再次违规, 则法院可在公平性之衡量下以3倍赔偿金处罚被告。)和刑事犯罪及罚款②(《数字千年版权法》第1202条第2款。)中都对“ 重复侵犯” 加大了惩罚力度, 而《信息网络传播权保护条例》仅依据非法经营数额来设定罚款制度。本文认为, 依据非法经营数额来设置罚款门槛过于单一, 且在我国的司法实务中, 重复侵犯行为确实存在。例如, 在中青文公司诉百度云侵犯信息网络传播权案(百度云案)二审中③(详见北京中青文文化传媒有限公司等与侵害作品信息网络传播权纠纷二审民事判决书, 北京市高级人民法民事判决书, (2016)京民终247号。) , 两者之间的前诉案件(百度文库案)④(详见北京市高级人民法院(2014)高民终字第2045号民事判决书(即百度文库案的二审民事判决), 二审维持了百度文库案一审判决(北京市第一中级人民法院(2013)一中民初字第11912号民事判决书), 认定百度公司的行为构成帮助侵权。)判决已认定百度公司的行为构成帮助侵权, 但中青文公司在百度云案一审期间发现相同的且已被认定为侵权的文档仍然出现在百度云中, 可理解为百度公司构成了重复侵权。根据美国的《数字千年版权法》, 重复侵权的侵害人应承担更为严厉的法律责任, 但百度云案二审法官却并未对百度公司严加惩罚。因此, 在立法修改中, 建议建立多元化的惩罚标准, 对重复侵犯行为加大惩罚力度以提高侵害人的注意义务, 有效避免侵权行为的再次发生和损害结果的继续扩大, 进而更好地维护版权人的利益。其次, 《数字千年版权法》和《信息网络传播权保护条例》皆规定了刑事责任, 《数字千年版权法》中详细规定了入罪门槛和法定刑幅度, 《信息网络传播权保护条例》规定了可入刑, 但《刑法》中却并未设立具体的刑罚条款, 表明我国应细化《刑法》相关规定或通过司法解释将刑罚条款予以明确, 使定罪量刑有所参考。此外, 相较于《数字千年版权法》, 《信息网络传播权保护条例》罚款数额较少且量刑幅度小。
从上述“ 敏感信息” 和“ 版权管理信息” 在不同司法管辖区的界定来看, 作为同一符号, 不同司法管辖区在网络安全法律的构成及其中的法律术语含义方面存在不同的解释项, 这种差异性很大程度上取决于法律体系、信息与通信技术水平、国际政治目标、各国特定的信仰以及社会价值[5]4。此外, 法律术语的含义存在于特定的符号系统中, 只有在特定的司法管辖区内, 网络安全法律及其法律术语才有特定含义[46]236, 因此, 对“ 敏感信息” 和“ 版权管理信息” 含义的具体阐释必须基于特定司法管辖区的法律。此外, 从“ 敏感信息” 和“ 版权管理信息” 的法律规制中也可以看出, 鉴于美国和欧盟在网络技术上的全球统治地位, 它们被视为网络环境下国家实践和司法决定最发达的组织和国家[5]52, 而较于美国和欧盟, 我国在网络安全立法方面尚须对部分滞后性、法律级别低、不完善及不明确的问题进行改进。
表2中的每个信息类型的出现皆是网络安全法律随着时代变迁和技术革新而变化的结果, 主要体现在三个方面:基于社会网络安全新挑战、新危机的法律制定; 新技术、新业务相关法律的制定或修订; 网络安全基本法的制定。
在国家层面上, 网络安全分布在众多法律领域中。Sieber指出了西方法律体系中计算机犯罪立法的6次变革:隐私保护(20世纪70年代和80年代), 计算机相关的经济犯罪(20世纪80年代早期), 知识产权保护(20世纪80年代), 非法和有害内容(20世纪80年代), 计算机相关的刑事诉讼法(20世纪80年代), 网络安全法(20世纪90年代)[47]24-31。
21世纪以来, 网络空间新技术、新业务的相关法律也已经出现, 如韩国2015年公布的《云计算发展和用户保护法》, 对提供安全可靠的云服务使用环境、保障云用户的数据等方面进行了规定; 美国沿用已有法律即《联邦信息安全管理法》(FISMA), 该法适用于所有的联邦政府机构IT系统的安全保障, 包括云计算; 日本颁布了《云服务信息安全管理指南》; 法国颁布了《云计算数据保护指南》。此外, 一些国家制定了网络安全基本法, 如中国《网络安全法》(2016年11月)、日本《网络安全基本法》(2014年11月)、欧盟《网络安全指令》(2016年7月)、新加坡《网络安全法案2017》(2017年7月)以及美国《网络安全法案》(2015年12月)。
网络空间立法的每次变革都会产生新的法律概念, 这就需要对法律术语进行重构, 以适应网络空间的快速发展, 应对凸显的社会危机和挑战。正如表1所示, “ 信息(数据)” 这一符号是网络安全法律中的重要规制对象, 但随着历史和社会条件的变迁, 需要对此符号进行重构。例如, 2016年, 欧盟颁布了《一般数据保护条例》, 废除了欧盟1995年的《数据保护指令》, 并对“ 个人数据” 和“ 特殊类型数据” 进行了修订(见表5)。
表5显示, 在欧盟的两部法律中, 法律术语“ 个人数据” 和“ 特殊类型数据” 实质意义上并无差别, 但外延在不断扩大。在《一般数据保护条例》中, 位置数据和网上标识被列入“ 个人数据” , 而基因数据和生物数据以及性取向相关数据被纳入“ 特殊类型数据” 。法律术语具有社会性, “ 个人数据” 和“ 特殊类型数据” 的外延不断扩大是建立在科技发展和社会问题不断凸显的背景上的, 是特定经济条件和时代发展的产物。
首先, 将生物数据纳入“ 特殊类型数据” 的主要原因是生物识别技术的长足发展和广泛应用, 例如人脸识别、指纹识别、眼球识别已被广泛应用于生活中各个领域, 如申根签证、互联网支付平台、智能手机、银行开户、门禁和上班考勤等。其次, 将基因数据列入“ 特殊类型数据” 主要是因为基因数据库的建立和开发存在泄漏个人隐私的漏洞。2012年3月, 美国国家卫生研究院(NIH)宣布其千人基因组计划的全部数据将免费对外开放, 这也是目前世界上最大的人类基因变异数据库。2013年5月, 美国马萨诸塞州的人类遗传学家Hayden在对过去5年里包含基因数据的公共数据库进行研究后发现, 在研究中贡献出DNA序列的人或由于潜在的漏洞而导致其身份泄露, 公开记录中可以查到DNA捐助者的身份, 这项新研究成果发表在《科学》杂志上, 这表明基因数据库存在泄漏个人隐私的安全隐患[48]。
此外, 将性取向相关数据纳入“ 特殊类型数据” 是符合《欧洲联盟运行条约》的, 该条约第10条规定, “ 在确定和实施其政策及行动时, 联盟应致力于反对任何基于性别、种族、宗教或信仰、残疾、年龄或性取向的歧视” 。一份欧盟基本人权机构(FRA)在欧盟范围内发布的在线调查结果显示, 三分之二的人表示不愿在公共场合显示自己的性取向, 而在同性恋群体中, 该比例更是达到了四分之三, 表明性取向相关数据逐渐成为欧盟公民的个人隐私①(参见″EU LGBT Survey: Results at a Glance, ″ p.26, http://fra.europa.eu/sites/default/files/fra-eu-lgbt-survey-main-results_tk3113640enc_1.pdf, 2018年3月28日。)。
可见, 随着时代发展和科技进步, 在逐渐意识到社会中日益凸显的问题后, 欧盟立法者对“ 特殊类型数据” 这一符号进行了重构以应对出现的或可能出现的新问题、新危机以及新挑战, 从而更好地保护个人数据和隐私, 体现了欧盟立法从“ 以信息为本” 到“ 以人为本” 的转变。
现实社会物理空间与网络虚拟空间相互融合, 传统形式的法律术语意义选择和建构均基于现实社会, 这与网络空间中的语言符号有一定的差异。并且, 现实社会物理空间和网络空间在社会结构组成、表现形态等方面存在重大差异, 亟须对传统的法律术语进行词义的扩张解释甚至再解释②(于志刚《网络社会的谣言与传统刑法的适用》, 2013年9月13日, http://rmfyb.chinacourt.org/paper/html/2013-09/13/content_70488.htm?div=-1, 2018年3月28日。)。例如, 为了使现实社会传统的法律术语与网络空间出现的网络侵权和犯罪行为之间建立联系, 从而使传统的罪名体系能够适用于网络空间, 我国主要通过发布一系列司法解释对传统法律术语的含义进行再次阐释(如表6), 重构了传统意义上的“ 开设赌场罪” “ 寻衅滋事罪” “ 敲诈勒索罪” “ 非法经营罪” “ 制作、复制、出版、贩卖、传播淫秽物品牟利罪” 和“ 传播淫秽物品罪” , 使其定罪量刑标准更符合网络空间的特点。
此外, 随着许多危害网络空间生态环境和破坏网络秩序的行为不断入刑, 亟须对相关的传统罪名体系在新语境中进行意义重构。比如2017年6月, 我国首例“ 组织刷单入刑” 案宣判, 90后刷单组织者李某因其刷单炒信行为被判处非法经营罪; 2017年12月, 我国首例黄牛抢购软件案宣判, 三名犯罪嫌疑人因制作、销售黄牛抢购软件被法院以“ 构成提供侵入、非法控制计算机信息系统的程序、工具” 判刑; 2017年12月, 我国首例“ 花呗” 套现非法经营案宣判, 利用“ 花呗” 套现并从中收取手续费这一行为被以非法经营罪定罪处罚。可见, 许多网络犯罪行为沿用了传统罪名。但网络空间和现实空间的差异导致犯罪行为的社会危害性存在程度上的差异, 因此, 本文建议对上述网络犯罪行为的入罪门槛和法定刑幅度进行进一步细化, 例如, 对网络空间中某些经济领域和行为模式下的非法经营罪可采取“ 概括数额+情节” 的入罪标准和量刑模式, 通过司法解释填补此类非法经营罪所存在的刑档空白, 明确其定罪量刑可操作性的标准, 使罪刑相当, 进而营造清朗的网络空间。
总体而言, 作为一种符号, 法律规定和法律术语不是一成不变的, 其含义会随着社会的发展而不断变化, 而这种变化又将对社会的发展产生影响[46]241。传统的法律术语和法律制度与互联网虚拟空间所产生的法律问题不断发生冲突, 所以亟须对传统的罪名体系进行意义重构, 并细化入罪标准和量刑模式, 使传统法律法规通过网络空间的情境化建构而实现动态发展、完善。此外, 应注意的是, 虽然刑法解释可弥补网络违法犯罪行为的刑档空白, 有利于解决刑法规范不足与犯罪事实变幻无穷之间的矛盾, 但会造成司法解释的扩张化趋势, 对罪刑法定原则形成一定的冲击, 所以应把握刑法解释的内部限度和外部限度[49]。
本文借助语料库相关功能进行比较研究, 发现信息(数据)是中国、美国和欧盟网络安全法律的核心规制对象, 但对信息(数据)相关概念的界定存在差异, 体现出我国网络安全法律缺位、级别低、不完善及不明确的现状。
本文从符号学时空性视角对网络安全法律及其术语进行了阐释:一方面, 网络安全法律及其法律术语具有时间性, 会随着社会历史的变迁和变革而发生变化, 因此, 不能孤立地通过现行法律去解构网络空间出现的新情况, 应在历史连续性中对网络空间新情况进行界定, 例如, 应对传统的法律术语、罪名体系等的含义进行重构, 使其顺应当今网络虚拟空间的发展和变化; 另一方面, 网络安全法律构成及其法律术语具有空间性, 鉴于不同司法管辖区在法律制度、信息与通信技术水平以及社会发展状况方面的不同, 其网络安全法律及术语的规制也存在差异, 对同一网络安全法律术语(如“ 敏感信息” 和“ 版权管理信息” 等)存在不同的解释项。此外, 每次符号的建构、解构和重构皆是社会与法律相互作用的结果, 因此, 要充分发挥社会的作用, 可基于相关部门的社会调查, 针对具体问题进行法律制定和修订。
本文对网络安全法律及其术语的建构、解构和重构的探讨可为我国网络安全法律方面的法律移植提供有益的指导。我国网络安全法律滞后且上阶法律较少, 另外, 有的条款无法与传统的法律规则相协调, 难以适应信息技术发展的需要和日益严峻的网络安全问题, 这种社会发展、法的发展以及各国网络技术水平发展的不平衡性决定了法律移植的必要性。在法律移植过程中, 要充分考虑符号的空间性特点, 所以不能将国外法及其中的法律术语视为独立于空间的文本, 还应充分考虑本国国情以及国外法与本国法之间的兼容性。
研究表明, 语料库的量化研究为传统科学研究提供了新的分析方法, 有助于挖掘法律符号的文本意义, 从而更好地了解不同司法管辖区在法律术语含义上的同一性和差异性, 可为网络安全法律的文本研究提供新的方法与路径。
The authors have declared that no competing interests exist.
[1] |
|
[2] |
|
[3] |
|
[4] |
|
[5] |
|
[6] |
|
[7] |
|
[8] |
|
[9] |
|
[10] |
|
[11] |
|
[12] |
|
[13] |
|
[14] |
|
[15] |
|
[16] |
|
[17] |
|
[18] |
|
[19] |
|
[20] |
|
[21] |
|
[22] |
|
[23] |
|
[24] |
|
[25] |
|
[26] |
|
[27] |
|
[28] |
|
[29] |
|
[30] |
|
[31] |
|
[32] |
|
[33] |
|
[34] |
|
[35] |
|
[36] |
|
[37] |
|
[38] |
|
[39] |
|
[40] |
|
[41] |
|
[42] |
|
[43] |
|
[44] |
|
[45] |
|
[46] |
|
[47] |
|
[48] |
|
[49] |
|