互联网时代的法律规制

第五届中国法学博士后论坛

    10月12日，第五届中国法学博士后论坛在中国社科院法学研究所召开，本报分两期推出论坛的演讲实况，本期是第二期，主题是法治国家的互联网法律问题。

有来自工信部、商务部、证监会、银监会等单位的官员和各级法院的法官，各知名高校、研究机构的专家与学生，各大互联网公司的法律顾问，以及多家媒体记者100余人一同畅谈法治中国的互联网发展之道。

陈琴：移动互联网时代信息安全犯罪的发展与应对

如果说互联网时代使得传统犯罪从现实社会拓展到网络空间，那么移动互联网时代的到来促进了网络犯罪的空间拓展，比方说盗窃、诈骗等传统的犯罪，现实社会向网络空间然后再向移动网络空间的犯错拓展，也就是传统犯罪、网络犯罪到移动网络犯罪。

根据2014年中国互联网络信息中心的中国互联网发展状况的统计报告，手机浏览器成为网民接入移动互联网的主要入口，所以当前移动网络犯罪的主要表现形式是手机犯罪。

随着科技的发展，未来能够接入移动互联网的设备会越来越多，比方说谷歌眼镜、物联网汽车等等，可以预见到将来互联网犯罪的形式会越来越多，不过由于终端系统的先天性不足，必然会存在很多安全隐患。

移动互联网的接入方式包括2G、2.5G以及3G和WIFI形式，因为WIFI稳定性强，没有流量限制，所以WIFI使用规模也不断提升。

我前段去美国，租了一个公司的随身WIFI，由于有对微信发信息、传图片的需求，所以我每次到机场等地方都会寻找免费WIFI，而WIFI的发展趋势也是尽可能多的对公共场所进行热点覆盖，犯罪分子可以通过设立伪WIFI来获取被害人的信息。

比方说在2013年2月长沙市就曾经发生过一起案例，有一个男子在家里每天蹭免费的WIFI，有一天登录不知来源的免费WIFI之后进行网银操作，后来就发现银行卡有三万块钱被盗窃。

目前，移动互联网时代网络犯罪主要有三大领域，人与人、人与商品以及人与信息之间。

首先，在人与人的关系当中，主打社交和熟人关系的移动即时通讯发展迅速，截止到2014年，我国即时移动通信的使用率为86.2%，使用率位居第一。

目前即时通讯软件也在引入社交元素，人们可以随时随地进行沟通、分享信息和上传照片或者视频，具有非常强的传播能力，相对于微博、论坛等等开放式的平台，微信等通讯工具通常是以熟人为媒介进行闭环传播，用户对信息的信任度更高，危害也更大。

微博开放性更强，搜索以及辟谣都更为容易，但微信是基于熟人社区和通讯录，它没有搜索功能，它的信息只可以对好友可见，所以它的监控难度会更大。

基于移动即时通讯闭环传播的特性，在防止网络传播谣言的犯罪方面，作为运营商而言，在政策管控举报方面、程序方面应当配合主管部门来加强监管，履行管理责任，运营商应当完善技术手段，加强技术监测，进行信息过滤，同时应当建立不良信息的及时处理控制机制。

在人与商品关系当中，移动在线支付手段逐渐普及，资金流动更为便捷。近年来我国的移动电子商务发展迅速，用户规模达到1.44亿，使用率为25.1%，移动支付的普及存在3个方面的因素，一是大规模的手机网民为在线支付提供了用户基础。

第二，是移动商务的发展刺激了电子移动支付的增长。

第三，是移动支付手段自身具有一些便捷性，比方说支付宝钱包以及腾讯公司的微信支付等等这些都是移动支付迅速发展的特例。

移动支付的核心是智能手机，智能手机不仅控制全部支付过程，而且还可以通过短信验证重新设置支付密码。

当然移动支付在带来便利的同时也带来了风险，用户只需要将网络中的智能手机绑定银行卡，利用手机号码、密码和身份信息就可以完成支付过程。

如果在这个过程当中，犯罪人通过向手机植入木马，进而控制手机，就可以将被害人绑定的银行卡的财产进行洗劫。现实生活当中这样的案例越来越多，而且催生了地下黑市产业链的形成。    

在人与信息的关系当中，移动搜索成为用户获取信息的主要途径。

根据2014年的统计，中国手机搜索的网民人数较去年同期增长25.3%，手机搜索网民快速增长是近两年来整体搜索引擎增长的主要动力，利用手机上网搜索会制造一些新的犯罪模式。

比方说，初为人母的妈妈利用手机来搜索，比方说通过百度来搜索关键词“奶粉”，那么她自己的手机号码、手机型号、曾经访问过的网址、关键词“奶粉”等等信息都会保留在运营商百度的网络服务信息系统当中。

如果犯罪人通过指定网站上的服务端代码，未经授权静默地将这些个人信息采集出来，打包卖给奶粉行业的商家，商家就可以通过这些个人信息，有针对性地进行电话回拨来进行推销，被害人可能会错认为是运行商泄露的，其实不是，是犯罪人通过技术手段来非法获取的。

对于这种行为如何进行定罪量刑，一般来说可以认定构成刑法第285条非法获取计算机的信息系统数据罪，但是问题在于，一个是用户通过移动搜索所留存的手机号码、手机型号、访问轨迹和关键词，是否可以视为公民的个人信息，从而构成非法获取公民个人信息罪。

换句话来说，公民个人信息在刑法上是怎样来把握的。我国仍然没有一部专门的个人信息保护法，只是在2012年底的时候出台了一个《关于加强网络信息保护的决定》，它的第一条第一款就规定，国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。

以此为基础，两高以及公安部在2013年下发了《关于依法惩处公民个人信息犯罪的通知》，它明确规定公民个人信息包括公民的姓名、年龄、身份证号、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等等能够识别公民个人身份或者涉及公民个人隐私的信息数据资料。

再比方说，这是一个真实的案例，犯罪嫌疑人利用技术手段，当你用QQ登录的时候，他可以查询到你实时的地址，他再将你的实时地址出售给他人，这样属不属于公民信息，这也是值得探讨的问题。

还有，公民个人信息的类型和个人信息的来源限制。我国《刑法》第253条，规定了出售非法提供以及“非法获取个人信息罪”，将公民个人信息的来源限定在履行职责或者提供服务当中来获得的，但是这种限定难以涵盖实践当中的一些复杂情形。

比方说司法实践中发生的一些非法获取公民个人信息的一些案件，他的信息来源往往不限于上述法条所规定的场景。

司法实践当中出现的这些新的情况都要求刑法及时做出修改，将这个公民个人信息的来源不再限定于前面法条所做的规定。

移动互联网时代瞬息万变，技术在创新，犯罪也在更迭，与此相应我们在防治和打击移动网络犯罪时更需要将技术与法律融合，多部门相互配合，共守移动网络空间的安全与秩序。

陈昶屹：个人信息安全与行政干预

我觉得个人信息这块既有私法的背景也有行政法的背景，从国际上来看，无论是个人的私权力还是从个人信息的角度上来看，如果从私权力上是从民法的角度，个人信息的角度更多是从行政法甚至从宪法行政法的角度来看。

我想讨论的角度主要还是从一个关系论的角度来考虑，从私权个人信息的保护，个人信息权力的问题和公权力的干预、行政法的干预角度，最后是从互联网企业创新的角度来讨论。

其中，个人信息的安全问题一直是非常关注的一个问题，都涉及有多重风险的问题，这就引出了一个风险规制的悖论问题。

个人信息权，如果从私法的角度看，具体而言谈到互联网来说，它的关系可能处于一种三方的紧张关系。

从基本角度来说可以用侵权法的角度来看就是自己行为和他人行为，他人行为主要是互联网作为平台的角度来考察的，在这个过程当中，我这个微观关系的紧张关系主要是谈平台商的角度。

如果说出现了被侵权人，侵权人在找不到侵权用户的时候，可能会出现很多侵权上的难题，就像最近10月9日最高人民法院公布了《利用网络侵害他人的人身权益的司法解释》，这个司法解释当中我也很荣幸，8个典型案例有我审理的两个典型案例入选。

谈到微观的关系，其实恰恰是要体现出这个平台商作为中间商和侵权人、被侵权人之间的关系，因为他提供平台，在这个过程当中可能经常会引出实名制或者非实名制的问题，这样的话就存在进一步引申的问题——关于信息的问题，这个过程当中要大量收集信息，过程当中可能他会有储存和分析，信息安全很多时候可能就集中到网络服务商。

从宏观的关系上来看，存在着三方对立统一的关系，因为政府实际上在这个过程当中，要对国家的安全、经济的安全、公共安全要进行风险管控和规制。

对于网络用户来说，虽然一方面在享受这个服务便利，同时也受到关于信息安全的威胁。政府在这个过程当中一方面可以作为网络用户保护、信息保护的一个上位权力的干预者，同时他也可以对网络服务商是一个权力的干预者，既有相互的依存规制，同时也有对立统一的关系，所以从这两个关系来看，实际上有小三角关系和大三角的两重关系。

这两重关系悖论的产生，我觉得从大三角上来看，网络服务商他要对网络服务的模式进行创新，相应的商业服务模式来进行创新，这是他不断发展的一个动力。

在这个创新的过程当中，新事物必然会遇到很多新问题，就会存在很多不确定性，有技术开发商的不确定性也有服务模式上的不确定性，也有政策的不确定性，对用户来说，网络用户实际上一方面在用网络的时候，他留下的数据实际上说得通俗一点就是他的痕迹，他的痕迹信息一旦脱离他的控制以后就会遇到很多风险。

还有一个不确定性就是政府，一旦涉及互联网创新的问题的时候，就会涉及很多不确定性的问题。

比如，前段时间出现的打车软件，刚运营不久政府就要求暂停，比如说互联网金融的创新刚运行不久，最后也可能被政府叫停，这个叫停更多是一种合理性的审查问题，就涉及政府权力的问题，学私法的人和公法的人一直对权力有一种警惕，权力有一种扩张性，权力的扩张性与保护服务创新之间的平衡点在什么地方？行政干预的临界点在什么地方？

另外一个是多方安定性的需求，从服务商的角度来说，他创新总是希望有一个创新的预期，不会希望说对数据大量分析，重新重组，创造新的商业模式，结果造成最后政府很快叫停。

所以他对创新的预期、创新的安全与创新的成本都有一个安定性的需求。对用户来说，他的信息一旦脱离他之后，他一定会对他这个使用的范围肯定会有一个预期，也就是他的信息安全。

这样就存在一个范围的预期、信息安全的预期还有控制成本的预期，我为了控制这个成本，会有多大预期的问题。

政府作为我们说的公共安全的守护者，必然有一个对社会风险的预期，他要保证一定秩序的问题，你可以做创新，创新之后造成秩序的不稳定，这样的话我肯定会进行干预，这样的话他有一种安定性的需求。

我们说的这个悖论的模型，我们现在希望是用确定性的管制来对不确定性进行规制，产生的实际上有一种新的不确定性的问题，以确定或者不确定的干预的管制，管制的是不确定性的风险，产生不确定消费比。

其实，我们说在互联网上经常也是这样，我研究新的一种商业模式和新的信息重组，最后产生投入成本和国家的角度来讲，我把它管制了和不管制产生的经济上的成本和社会上的成本上的效费比，这也是一种不确定性上的悖论的关系。

从政府层面上，我们现在国家强调创新驱动，强调经济上的发展，另外政府有公共服务管理的职能，对安全秩序还有追求。

它的工具就是行政干预管理，存在的问题就是涉及原始权力会发生权力扩张问题，而服务商的角度，我们观察现在的现象，传统产业现在出现了“互联网化升级”趋势，另外相反的方式，互联网企业往传统方式靠，我们叫“传统产业化扩张”趋势。

它是用信息控制和重组的方法来产生就会产生派生权力，商业上的扩张变成模式重组和信息重组，看到的反向扩张就会触及社会网络的方方面面，基本上形成一个闭合式的从上端到下端都形成的社会网络，这个网络与政府的公共性重合，与政府的公共性重合和互联网的公共性重合就会发生一个冲突和矛盾的问题。

比如，现在普遍出现的一个镜面效应的问题，虚拟空间本来是网络企业在做，原来物理空间是政府在管，现在他们两个重合以后当然要打架。

这个过程当中就会出现政府与互联网之间关于疆域争夺的问题。对用户来说实际上是用户痕迹和习惯的关系，从私权力角度来讲很多是公民权和人权的角度。

其实，我认为，说到问题的本质，实际上就是在互联网时代利益交织产生的这种权力扩张，对传统权力范围之间的扩张的这种交叉产生的这种冲突。

这种冲突产生的悖论，可能要研究他们之间的关系还要回到几个层面来说，一个是各归其位，信息从用户的角度，他对信息的支配上来说要强调他的核心利益，从服务商的角度对信息的加工要强调他这方面的核心利益，从政府的角度要强调产品，也就是我们说的信息变成一种模式之后的产品的监管。

还有一个是各得其所，要廓清各种传统权力和现在衍生权力之间相互的范围，也就是说在确定性和模糊性之间要达到最大的公约数，就是达到最大的确定性和最小的不确定性的问题。

  第三种就是各司其职，在利益与冲突交织中构建利益合作模式和冲突管理并存的问题，就是要尊重科学，我们说规则建构要从信息安全的风险上建立一种致力于自律——他律的范式来进行解决。对于模式的规制里面要尊重科学和同时进行政府和企业之间要进行商谈的这种范式来进行解决。对于创新成本来说，一方面要鼓励，同时国家也要对他进行相应的救助，才会理顺三方的大三角到小三角的相互关系。

刁胜先：个人信息的

民法保护应权力化

个人信息的热点大家都应当深有感触，在世界性蔓延的网络侵权问题引起了极大的关注。

个人信息我们要加以保护，但是我们的保护在法律上需要追问的是保护的权力基础是什么？

目前看来学界主要有几种观点，首先引起大家达成共识的叫个人信息权，但是这个权力它的性质、定位、针对的客体、它的权能这些深层次的问题，目前还没有充分的讨论，在学术上争鸣的状态还没有形成。

我们这个权力是针对个人信息设立的一个权力还是针对个人信息不同的价值层面可以成立多种权力，这样一个基本问题就是我们要讨论的课题。

我认为，个人信息能以物质形态的这种价值体现出来。但是，它本身不能成为财产，因此不能在它上面设立一个财产权，物质性的利益和财产性的利益中间有一个法律进程，需要通过法律再确认，然后赋予相应的一些权能，这样它能成为一种财产的客体。

因此我们关注和面对个人信息带来的财产性的价值并不能说它就是财产权的客体，而是说它是人格本身具备双重价值。

这个问题我认为是可以解决的，就是我们的人格利益其实一直都是具有双重属性的，物理性的生命身体健康抽象型的，它的表现形式稍微不同。

因此，在实务方面，关于《个人信息法》的制定，它的保护范围应该是一个一般的个人信息还是所有的个人信息，这就是个人信息权的定位，也是个人信息双重性的体现与解决的方案。

综合学界的几种观点，我自己形成一个看法，我觉得可能把个人信息权界定为一个框架性的人格权可能比较合适一点。

我把人格利益进行了一个新的分类，我们原来的分类大家都很清楚，就是我们把人格利益分成物质性的人格和精神性的人格，但是我认为物质和精神在这个地方，这个逻辑标准并不是太合适，因为我们物质的东西已经表现出它精神层面的利益价值，我们人格利益它实际上也包含了物质性的价值在里面，因此这种分类我觉得这个逻辑标准并不是统一的。

通过我们现在一种说法，世界是由物质、能量和信息三大基本元素构成，以人格利益的表现形态来划分为物质型的人格利益和信息型的人格利益，无论是物质型的还是信息型的，这个人格利益都是表现形式而已，但是它隐含的价值都是两个层面，有精神性的和物质性的，这样我们对人格权统一设立一个能动的权能，他可以许可使用获得相应的经济的报酬，但是它本身不能成为财产，这个是我对人格利益新型的分类。

在这种基础上，应当把个人信息权力定位一种框架性的人格权，理由主要是这几个方面。第一，因为具体的人格权的内涵与外延都应当比较确定有自己独立的内容，而以这个标准来看，个人信息实际上他的内涵和外延都相对的不确定。

第二个原因，侵权案件当中具体人格权保护范围与其他个人信息在一起很难区分。

第三是不同领域的个人信息保护和范围存在较大区别，很难和具体的人格权加以区分。