人类社会的“信息”绝非近二十年来科技发展的成果。从十七世纪的电报到十九世纪的电话，乃至更早时期的活字印刷、信鸽、烽火台、旗鼓、驿站都是人类对信息的开发和使用，但是，只有计算机技术突飞猛进之后，人类才彻底突破了信息载体对于信息存储类型的限制，从而大幅扩展了信息记录和处理的类型范围。时至今日，文字、图像、声音、地理位置、行为习惯、人际关系，乃至味觉、触觉等内容，都可以通过数字技术进行量化处理，而随着云计算、大数据、“信息化链”（chaininformatisation）、“泛在智能”（ambientintelligence）的普及，世界上的一切事物、人们的一切行为都终将成为数字化处理的对象。随着网络社会的来临，我们不再把世界看作是一连串自然现象或社会事件，而是由信息所构成的比特之城，个人对信息的权利由此成为当今的核心问题之一。不过，与既有的从民商法或行政法角度理解个人信息权不同，本文尝试着从网络主权的角度加以审视，以期在消除惯常误解的同时，发现网络主权对普通公民的重要意义。

一、为何从网络主权开始

2015年12月16日，在第二届世界互联网大会上，中国领导人首次提出“坚持尊重网络主权、维护和平安全、促进开放合作、构建良好秩序”的网络治理四项原则，深化和拓展了2010年6月《中国互联网状况》白皮书中“互联网主权”的概念。即将于2017年6月实施的《中华人民共和国网络安全法》开宗明义地说明其主旨“维护网络空间主权和国家安全、社会公共利益”，并专设“网络信息安全”一章，以确保个人信息权利免受侵犯。据此，“网络主权”作为网络空间首要原则和根本基石的地位已经确定，从而成为个人信息权利等各项制度建构的重要指针。但遗憾的是，关于网络主权的法律意蕴和要素构成至今仍缺乏探究，以至于往往沦为一种政治话语和宏大叙事，无法发挥对具体规则制定的指引功能。更严重的是，网络主权的简单化解读引发了人们对网络主权有损于个人网络权利，特别是信息权的错误观念，亟待予以追根溯源地澄清。为此，本文首先从对内主权和对外主权的两个面向上，将网络主权界定为“国家针对网络设施、网络主体和网络信息，由人民赋予的在一国领域内的最高权力（对内网络主权）以及国家向他国主张的排斥干涉的权利以及相应的合作义务（对外网络主权）”。

二、对内网络主权对个人信息权利的塑造

（一）个人信息权利的生成有赖于对内网络主权作为一项新型权利，个人信息权利的确立、内容与保护均须遵循法治国家的逻辑，即只有通过严格的立法程序才能由理论权利变为现实权利，而这一转化的桥梁就是网络内对主权。立法权是主权者的首要特权（thefirstprerogative），网络空间亦是如此。在我国宪法第二条“中华人民共和国的一切权力属于人民”的框架下，网络内对主权应秉承人民主权的宗旨，坚持人民是国家权力的来源，也唯有来自人民授予的权威，国家网络权力才具有正当性。为此，国家要主动回应民众关于信息权利的诉求，尽快启动个人信息权利立法程序，同时促成信息主体和信息业者在审慎论辩基础上做出决定，通过将边缘化的民众引入到法律制定过程之中，个人信息权利的实质正当性得以证立。基于此，国家不但要为各种网络主体提供参与渠道，搭建公共推理与公私合作的制度平台，并且，考虑到尚未“触网”或无法发声的弱势群体在经济资源、政治机会和信息获取上的欠缺，国家还应进行倾斜性的“赋权”，以实现真正意义上的审议和决定。

（二）个人信息权利的行使有赖于对内网络主权在技术和代码主宰的网络社会中，信息主体并不能当然地就其信息行使拒绝权、查询权、更正权、获取权、删除权等权利，相反，那些对信息拥有存储、处理和传输能力的网络运营商和网络服务提供者才是真实的权利人。可兹佐证的是，在全世界拥有7亿活跃用户的Facebook，早在2009年，就对用户服务协议进行修改，声称对用户上传的资料拥有永久的许可授权。例如，一旦用户点击了某个百货零售店的“赞”键，那么该连锁店主页广告上就可显示该用户的姓名和照片。正因如此，人们甚至用“数据主权”来描述互联网信息巨头们通过对身份认证、用户协议、平台入口的掌控，凭借云计算和大数据挖掘的工具，占有和使用个人信息的权力。如果说劳伦斯?莱斯格在《代码》一书中洞见到“网络空间中的权力来自于架构设计”，那么信息巨头们所拥有的至高无上架构设计权，将直接在微观上影响甚至决定着用户的行为，这比物理空间中主权者更有效地实现自己的意志。在个人与企业的信息控制权战场上，个人永远落在下风，亟待国家运用由网络主权所派生出的公权力加以矫正。质言之，国家首先应重申对本国信息进行管理是其固有权力，从而正当化对信息业者经营行为的限制。其次，应从个人信息权利出发明确“经营限制原则”，即收集个人信息必须有具体、明确和正当的目的，且只得收集为该特定目的所必要的最少信息，同时，对个人信息的处理应在个人信息收集时的明示特定目的范围内进行，超出特定目的处理个人信息时，应当告知信息主体并征得其同意。再次，鉴于网络空间互联互通的特质，其呈现出扁平化和多中心的场景，“由上至下”的传统权力亦应适时而变，将更多的权力交由不同类型的网络主体分享。其中，少数处于垄断地位的网络运营商和网络服务提供者，创设了信息交互平台，掌握着海量的用户信息，实际上已成为去中心化网络中的“半中心”，应被视为政治过程的参与者，要求其承担保护个人信息的重任，以达到行业利益、个人利益和国家利益的平衡。最后，国家应向信息主体充分赋权，使之有权采用建议、检举、申诉、控告等方式参与网络治理，对抗网络业者。为此，我国可以借鉴英国“监督而非监控”的理念，建立受理、调查、处理、反馈、保障、不当举报制约等一系列监督辅助制度，最大限度地实现网络空间的“自我规制”。

三、对外网络主权对个人信息权利的塑造

（一）个人信息权利的保障有赖于对外网络主权2016年8月，山东临沂女孩徐玉玉被电话诈骗走9900元大学学费后身亡，其始作俑者就是侵入教育局网站、获取其信息的黑“互联网的诞生便是国家积极推动的结果；网络社会中的主权亦不再是传统的抽象、一元、绝对的面貌，而呈现出具体、多样、相对的特质。事实上，从个人信息权利的生成和行使，到个人信息权利的保护和充实，都有赖于国家主权的介入。”客。徐玉玉案并非孤例，2015年就有陕西6万高考生信息泄漏、多省市社保用户信息泄露、网易过亿数据泄露等重大信息安全事件。对个人信息的威胁远不限于境内，跨境的黑客攻击和有组织犯罪时有发生，数据窃取、网络钓鱼屡见不鲜，其隐蔽性和跨国性给信息安全带来了前所未有的损害。实际上，网络空间的全球化是如此彻底，以至于离开了各国的共同参与，一国不可能完成其打击网络犯罪、维护网络安全、治理有害信息、规制网络服务提供者、最终为个人信息权提供保障的重任。对此，对外网络主权一方面立足于主权独立，排除他国对其网络空间恶意侵入和攻击，制止从他国境内发起的采用网络病毒、僵尸网络、拒绝服务攻击、旁路控制、高持续威胁攻击等手段对网络信息的窃取、拦截、修改和删除，以维护个人信息的保密性、完整性和可用性。另一方面，对外网络主权立足于主权合作，要求各国在通力写作，建立个人信息的全球保障体制。为此，各国应致力于建立正式的磋商平台和机制，定期举办国际会议，逐步建立联合国及其安理会下的“以国家为主体、多利益攸关方参与、公私合作”的国际网络空间组织，全面协调和管理个人信息安全事务。作为个人信息保护的最终解决之道，各国应秉承坦诚和善意，尽可能促成国际准则和国际公约的订立，并采取一切必要措施保证准则和公约的严格执行，以实现其长效约束力。

（二）个人信息权利的充实有赖于对外网络主权信息的生命在于流动，在某种意义上，网络社会的繁荣就建立在信息以前所未有的低成本复制和传播的基础上。故而，个人信息权在安全的价值诉求之外，尤为关注自由，特别是信息获取和信息传递的自由。在经济、政治、文化全球化的今天，信息创造者、接收者和使用者分属不同国籍，信息的发送地、传输地及目的地分属不同国家的情形无时不在上演。既然如此，如何在提升信息流动自由的同时，又不令其沦为恣意，就成为对外网络主权规范信息跨境流动的关键。就信息获取自由而言，对外网络主权可表现为“国家完全自主管制信息跨境流入”的强主权模式、“国家有条件管制信息跨境流入”的弱主权模式和“通过国际合作管制信息跨境流入”的程序主权模式。其中，强主权模式无视网络固有的互联、互通、互动特质，实属挟泰山而超北海之举；弱主权模式以抽象自由为最高准则，却忽视政治、经济、文化的国际冲突，只是看上去很美；而程序主权模式将信息流入管制交由主权国家平等参与和共同形成的国际准则，不但顺应了主权合作的潮流，更使得管制措施容易实施。就信息流出而言，对外网络主权亦表现为“刚性禁止模式”（如俄罗斯）、“柔性禁止模式”（如欧盟）和“本地备份模式”（如印度）等三种样态。为了综合平衡自由和安全，我国可以区隔普通信息和敏感信息：对于前者，在信息流出国具有充分信息保护水平的情况下，可以适当放开，对于后者，应更多地倚重国内数据中心建设机制，要求网络主体在中国境内的数据中心完成备份造作，最大限度地实现信息本地化处理。结语一种对网络主权的习见批评是：它为国家控制互联网寻求合法性，并对个人信息权利构成威胁。但正如本文所阐述的，这样的批评既误解了网络，又误解了主权：网络空间并非自在自为之物，而是由主权国家参与塑造的“人为之物”，互联网的诞生便是国家积极推动的结果；网络社会中的主权亦不再是传统的抽象、一元、绝对的面貌，而呈现出具体、多样、相对的特质。事实上，从个人信息权利的生成和行使，到个人信息权利的保护和充实，都有赖于国家主权的介入。就此而言，个人信息权利未来最大的威胁不是国家的反应过度，而是它根本没有反应。

作者：许可 单位：金融科技与互联网安全研究中心