董朦朦
西藏警官高等专科学校,850003
论文摘要:由于互联网身份认证技术高速发展,互联网可信身份识别和认证成为法律监管的重要内容。就互联网可信身份的法益衡量而言,是个人信息保护和公共安全信息保护的衡量,也是个人信息和隐私权保护的衡量。而互联网可信身份本质上又是一种准司法的许可行为,兼具人格保护、财产保护和公共利益的特性,要对其进行合理适用,必须基于信任关系,将合理使用理念和目的限度原则相结合,通过技术创新和法律监管、意思自治和监管节点、完善法律和构建平台等措施,才能重构互联网可信身份认证的规制。
关键词:互联网可信身份;合理使用;目的限度;个人信息
引言
网络空间不仅是国家基础设施的重要组成部分,还是当代公民不可或缺的重要虚拟维度空间。然而,网络可信身份识别作为保障网络安全空间的重要制度保障,在解决身份管理安全问题、防止信息泄露等方面发挥着越来越重要的作用。
在此基础上,从衡量个人信息保护和公共安全保护、隐私权和个人身份信息采集的角度考量网络可信身份认证的法律限度,不仅有利于厘清大数据时代下公民身份信息的复杂性和多变性,还有利于构建身份信息的适度安全机制,从而实现个人信息自由保护与网络空间数据共享之间的平衡。
一、基本概念
(一)互联网可信身份认证
互联网可信身份认证,是将原先静态、固定的身份证明,转变成为动态、自主的数字信息的过程。在获得可信身份认定后,其信任、法律效能可以作用于物理空间和网络空间,换言之,互联网可信身份认证在实质上是一种准司法的行政认可行为。
(二)法益与法律限度
法益是指法律所保护的利益。包括实体的刑法法益和形式的刑法法益。实体的刑法法益基于个人主义的思想,重在刑法法益的内容,形式的刑法法益概念,基于全体主义,重在刑法法益的方法。
随着我国法律体系的健全,如何保护公民法益不受侵害成为法治的关键。法律的实现收到多种现实因素的制约,如何更好的实现法律,保护每个公民利益的同时不侵犯公民法益,这就是法律限度的意义。
二、互联网可信身份识别中的法律问题及现状
(一)个人信息安全问题
互联网可信身份识别的基础是对个人信息的合理收集和科学利用,而其保护的客观对象是网络公共安全。于个人信息上,互联网可信身份的确定,必须基于个人信息的识别,而根据宪法的规定,个人信息是支配权和控制权,仅能供信息所有者或者授权者进行使用、收益、删除等操作;于公共安全上,由于网络空间的隐蔽性、虚拟性,致使许多灰黑地带滋生许多犯罪链,比如贩卖公民个人信息、电信诈骗等,严重危害到不特定人的人身、财产安全。在此基础上,于兼具私权、支配性质的个人信息保护和在兼具公权、公益性质的公共安全保护中寻求一个平衡支点,成为当下界定互联网可信身份识别法律规制范畴构成的重要因素。
(二)隐私权问题
互联网可信身份识别要收集个人信息,必将涉及到隐私权保护的范围。个人信息是独属所有者的标的物,其内容包括但不限于精神权利信息、财产利益内容、公民自由权利部分等,在信息社会中,个人信息已经具备权利属性,在特定条件下,该权利属性还能兼具法律意义和财产价值。此时,个人信息与隐私权中部分可营利的权利发生了重合,换言之,网络可信身份收集的个人信息,隶属于隐私权保护的范围,比如新冠状疫情期间的健康码,此码一旦生成,扫码单位就能在片刻间获悉个人信息,即使生成了可信身份,但是在信息安全保护方面依旧存在泄露风险。
(三)法律现状
一方面,立法稳定[1]。2014年,中央网信办提出要建设具有中国特色的“网络可信体系发展体系”,将网络可信身份认证作为构建网络可信发展体系的核心。2016年,《国家网络空间安全战略》的颁布,指出网络身份识别是实现国家网络空间安全的重要举措,必须实现网络安全和信息化和谐发展。2017年,我国正式施行《中华人民共和国网络安全法》,在第24条提出,我国实施网络可信身份战略,推动公民互联网身份认证系统的建设。
另一方面,立法不足[2],在网络身份管理方面,我国还缺乏一部设定网络参与方责任与义务、为网络可信身份管理提供法律依据的专门法。
三、互联网可信身份识别中的法律限度判定
互联网可信身份,是公民个人信息进行数据转化的数字凭证,在考量其法益实质时,应当将其定位为一种混合权利,兼具人格保护、财产保护、公共利益三大特性[3]。
(一)互联网可信身份识别的法律风险
在物理世界,公民个人身份信息认证是依靠公安部发行的身份证件,一人一证,绝无重合,公民和国家统治有较强信赖基础;在网络世界,信息诈骗、虚假信息、网络舆情泛滥等法律问题频频发生,网络信息提供者难以对网络信息服务方提供唯一有效身份认证,导致了网络世界中信任关系的脆弱并产生一定的法律风险。在该现实背景下,法律限度判定核心落在信息公开的程度和限度上,其公开的合法程度和合理限度应当参照传统法律对个人信息的收集和保护条款,规避隐私泄露、数据转卖等违法现象的产生。若产生的严重结果致使信任关系全面崩塌,可以考虑使用刑法法律规范对严重侵害法益一方进行刑事否定性评价。
(二)互联网可信身份识别的法益平衡
目前,在以互联网可信身份识别为代表的科技创新应用领域,均存在基于法益冲突的法益平衡问题。为解决这一问题,我们应当从互联网可信身份本质属性出发,思考法律限度。由于互联网和科技创新的有机结合,致使公民面临信息收集平台所发布的新网络技术、新科技产品时,忽略对个人信息公开限度的衡量。我们应该在进行互联网可信身份认证阶段时遵守合理保护原则,注意信息公开限度。首先,若基于预防刑事犯罪、规避基本权利受侵害的角度,在可信身份识别上,可衡量程序之正当性和合法性对公民信息进行客观收集;其次,若基于个人信息法益与公共安全保护的角度,必须综合衡量应当受到保护的公共法益被影响的程度和个人信息外用的受害程度;最后,基于价值选择的角度,立足于信息流动自由和个人信息保护的二元性,依据正当合理、均衡保护的价值观,做出符合信息流通和多方合理预期的法益衡量选择。
(三)互联网可信身份识别的法律监管
现实中,合理的法律限度离不开良好高效的法律监管。在互联网可信身份识别过程中,我们需要遵循以下两点原则:一是信息收集必须符合法律监管的明确目的;二是信息使用必须在法律许可的范畴之内。在目的上,收集互联网可信身份的数据必须基于合法目的,诸如完成刑侦追击、提供精准化服务、政务监管需要等,若该可信身份流动数据被不法分子用于犯罪途径,比如伪造身份、信息诈骗、盗用信息等违法途径,极易造成公民合法权益遭受严重损害的法律后果;在限度上,可信身份的数据流动的法律范畴,必须立足于传统法律、创新适用上,数据收集者禁止泄露和买卖个人身份数据,若可信身份数据被违法泄露和使用、买卖时,监管部门可以将限制利用、目的利用作为监管标准,依法追究数据收集者的法律责任。
四、互联网可信身份认证的规制重构
互联网可信身份认证和网络信息安全是相辅相成、密不可分的有机整体,要发挥互联网可信身份认证对网络信息安全的正推动作用,必须从构建责任体系和平衡法律规范这两方面着手。
(一)意思自治为主,数据监测为辅
尊重互联网可信用户的主观意思表示,通过全面监测流动数据、活动环节设置监察节点,来引导行业自律、推动社会共治。实现互联网可信身份认证,具体表现在两方面,一方面,在数据收集上,应当关注个人信息所有者的主观意思,将信息收集的权限确认移交给用户,同时对可信身份可疑数据、非法数据进行全面监测,创造公开合理、科学高效的数据流动监管环境;另一方面,在可信身份数据流动过程中,依据数据特性和先进技术,在数据流动的全活动链条中,选择分叉点抑或是重要节点设立法律监管节点,此监管节点有法律监管部门进行控制,在权限认定上应当设为完全授权。
(二)完善法律规制体系,创造数据监管平台
一方面,增设有关互联可信身份管理的法律法规。可以制定一部专门的互联网可信身份管理办法,规制与网络可信身份认证相关的法律主体,包括但不限于身份服务提供商、个人可信身份用户、应用参与者,该法律法规应当设定网络可信身份认定的法律程序、适用范畴、主体职能和责任分配等内容[4]。
另一方面,创造网络可信身份流动数据监管平台。采用云计算、物联网、大数据等先进技术,收集泄露、使用、买卖可信身份数据的违法反分子行为构成和用户画像,并将这些违法主体的数据进行归纳整体,构建信用评价和黑名单监管数据平台,阻断网络安全问题的发生途径。
结语
综上所述,要在公民个人信息保护与公共安全保护、个人信息和隐私权之间做到合理法益衡量,必须厘清互联网可信身份的混合权利特质,兼顾信任关系、合理使用、目的限度这三个法律限度构成要件,才能实现网络信息自由和个人信息保护的良性循环,构建互联网可信身份识别和认证的法律监管体系。
参考文献
[1]仇保利.中国特色网络可信身份战略实践——互联网+可信身份认证平台[J].警察技术,2020(03):7-10.
[2]江伟玉,高能,李敏.网络可信身份管理战略和方法研究[J].信息安全研究,2017,3(09):803-809.
[3]阮晨欣.法益衡量视角下互联网可信身份认证的法律限度[J/OL].东方法学:1-19[2020-09-03].https://doi.org/10.19404/j.cnki.dffx.20200831.003.
[4]国家信息中心首席工程师李新友:完善网络可信身份管理机制及相关法律法规[J].新产经,2019(12):18.