摘要:网络空间可以引发和助长生物安全危机相关挑战。网络生物安全属于生物安全子议题,其危害性与生物安全一脉相承,但又具有网络空间问题的性质与形式,并在特定行为中体现出对生物安全与网络安全的双重威胁。从国际国内两个维度考察,近年网络生物安全法制发展有加速、多面向和聚焦之
网络空间可以引发和助长生物安全危机相关挑战。网络生物安全属于生物安全子议题,其危害性与生物安全一脉相承,但又具有网络空间问题的性质与形式,并在特定行为中体现出对生物安全与网络安全的双重威胁。从国际国内两个维度考察,近年网络生物安全法制发展有加速、多面向和聚焦之势,但法学界反应相对冷淡。当下法律应对有赖于法理引导,并应立足问题实际,紧扣网络生物安全法益,从确定问题边界、建立合理公正权责关系、确定评判价值与标准以及明确与其他领域立法衔接关系四个方面解决问题。
一、网络生物安全的问题界定
“网络生物安全(cyberbiosecurity)”尚无国际政府组织明确定义。对其概念把握,可以“安全—生物安全—网络生物安全”层层递进思路切入。
(一)辨识两种“安全”概念
“安全(security)”在一些国际官方文件中被译为“安全保障”,以示与另一“安全”指向“safety”区分。对“security”的理解需基于与“safety”的区别。讨论“safety”时,英语语境常指具体安全问题,而“security”强调系统性和制度性安全保障。国家间安保类条约,英文标题也用“security”,如独联体集体安全条约(CIS Collective Security Treaty)、中美洲民主安全框架条约(Framework Treaty on Demo-cratic Securityin Central America)等。而核安全公约(Conventionon Nuclear Safety)、职业安全与卫生公约(Occupational Safety and Health Convention)、联合国人员和有关人员安全公约(Convention on the Safety of United Nations and Associated Personnel)等采“safety”,因这类条约都以规定特定安全问题具体应对为主。
(二)以威胁源头识别生物安全
“biosecurity”以前缀“bio”将“security”范围限定于生物领域,理解“biosecurity”需先理解何谓“生物的”。世界卫生组织(WHO)和联合国粮农组织(FAO)共同文件将“biosecurity”定义为“分析和管理人类、动物和植物生命与健康相关风险及环境相关风险的战略性综合举措”,列举了八个部门文件中的生物安全危害:
尽管WHO和FAO定义权威性高,所列生物安全危害门类符合其“人类、动物和植物生命与健康相关”和“环境相关”范围限定,也带来问题,即如何将“生物”与其他类型安全区别?特别是作为CBRN(化学、生物、放射、核)四大非常规安全问题之一,如何与其他三类区别?核化辐同样对人类、动植物健康及环境带来危害,如不有效区分几种安全边界,不仅导致立法无序,且会引发法律适用与管理混乱。
首先,依以上定义,四大非常规安全关联性较强。特别是生物安全灾害,有时体现为其他三类安全问题次发灾害。核弹与辐射的生命、健康与环境危害无需再提。化学污染生物危害后果也符合上述食品安全危害表现。因此该定义不能体现生物安全与其他三类问题的独立并列。
其次,此定义也不能说明生物安全与生态安全、环境安全两个相似概念的区别。生物安全、生态安全、环境安全关系密切,特别是生态与环境安全高度相似。有国家将生态安全视为最高层次国家安全领域,与政治安全、军事安全并列。如我国宪法序言提出“五位一体”总体建设布局,包括经济、政治、文化、社会和生态。国家安全法第二章第30条对生态安全予以规定,提出保障人民赖以生存的自然环境和条件不受威胁和破坏,促进人与自然和谐发展。俄罗斯2010年通过的安全法第1条提出国家、公共、环境与个人四大安全领域。联合国官网对生物安全定位亦在环境安全之下。受国家和国际政策影响,一些学者将生物安全视为生态或环境安全下位概念。虽然也有学者不认为生物安全可被视为生态安全下位概念,但也支持这些概念高度相关,并认为环境(生态)安全比生物安全更广泛。但WHO和FAO定义无法表明二者关系,反而易生生物安全比环境安全更宽泛的误解。
最后,容易被忽视的是,当代社会“security”不仅指生命或健康相关安全,生物安全亦如此。伴随生物技术惊人发展,生物伦理问题日益尖锐。伦理问题有时与健康和生命皆不相关,生物技术在健康上甚至可能于人有利,但也会引发文明社会基本伦理挑战。如基因编辑婴儿、克隆人研究、生物杂交,所涉不仅是生命健康,也关切其它伦理危机。因此,从社会安全视角看,不应将生物安全关注点限于生命健康。
总之,此定义既未体现生物安全与其他非常规安全并列地位,也未体现与周延高度相关的生态与环境安全概念区别,更未体现社会伦理威胁这一生物安全问题特点,空洞且过于抽象。
作为变迁中的概念,我们可能长时间无法准确把握“生物安全”内涵与外延,对于“生物安全”概念,当前共识恰是其有不确定性。但我们无需精确描述何谓“生物安全”,更无需将其应对危害与其他安全问题截然分开。一起安全事件常难免涉及多领域安全问题。需厘清其与相关或同一范畴概念区别和联系,以确定从理论向实践转向时不同问题应对机制。正如我们也不可能完全确定其他非常规安全内涵,但不影响我们将核、化学或辐射安全相区别,并采取不同应对。
目前生物安全概念定义在CBRN四大非常规安全中识别性不足,但其它三大非常规安全定义都可见于相关国际组织文件。IAEA(国际原子能机构)是唯一以应对核安全为主职的政府间国际组织。其将“核安全(nuclear security)”定义为“对涉及核材料、其他放射性物质或其相关设施的盗窃、破坏、未经授权进入、非法转移或其他恶意行为的反应、探测和回应”。禁止化学武器组织是与联合国密切合作的以应对化学安全为主职的国际多边组织,其官方文件将“化学安全(chemical security)”定义为“防止故意释放有毒化学品并在此类事件发生时减轻其影响的措施,更广泛背景下还包括防止企图获取有毒化学品或化学武器前体的政策”。应对放射安全的主要国际多边机构也是IAEA,但其关注更具体指向“放射源安全(Security of Radioactive Sources)”,其官方文件将放射源安全定义为“防止未经授权进入或损坏、丢失、盗窃或未经授权转移放射源的措施”。
以上三类非常规安全识别共同点在于以威胁来源区分。核安全应对核材料、放射性物质或相关设施威胁;化学安全应对有毒化学品威胁;放射安全往往与核安全并提,应对放射源威胁。生物安全作为生态安全形式之一,与其它非常规安全类型并列,因此从安全法体系协调、理论界定与实践应对共振角度出发,也应从威胁来源角度把握范畴。作为与“生物防御”有方式与目的关系的概念,“生物安全”应以威胁来源是否属生物领域确定应对对象。
需注意的是,生物威胁的产生未必依赖外在生物材料,人体本身亦可在技术改造下形成生物威胁。不仅是生物材料,生物技术、知识、技能也可被视为生物安全威胁源头。以此界定威胁范畴,并结合前述“security”本意,生物安全可被识别为对生物材料或生物科学知识、技能、技术所致风险与损害的制度化应对。
(三)在生物安全范畴下认识网络生物安全
作为生物安全子领域,尽管网络生物安全可能以网络活动为直接关注,却以生物领域威胁为根本关注,以实现生物安全价值为最终目标。从定义提出背景看,该学者以关于“网络生物安全”的专家讨论为据,但这些讨论更关注生物经济领域所受信息技术威胁,直接威胁来自网络,结果主要表现为经济损害。因此个人生物数据保护这一纯粹网络安全问题也被纳入定义外延。网络生物安全需生物与网络领域从业者共同应对,有明显跨学科性。依此定性,网络生物安全应着眼应对网络技术引发或推动的生物安全挑战,结合生物安全概念,其问题范畴可识别为对由生物材料或生物科学知识、技能、技术所致风险与损害的网络诱因的制度化应对。
二、网络生物安全的政策发展
各国和地区生物安全政策主体为两用生物技术管控和维护生物健康与繁衍两大领域,网络生物安全问题也基本通过这两类政策内容体现。前者主要涉及生物信息流动作为一种技术转移形式的控制;后者涉及生物安全信息不当扩散、虚假生物安全信息网络传播和对生物安全系统的网络攻击等议题。近年对后者关注愈加显著。
(一)2000年以前的网络生物安全制度
21世纪前,网络生物安全所受关注相对缺乏。但前互联网时代对信息活动的生物安全威胁关切已体现于若干国家技术管制立法中,如德国1961年武器控制法第12条。进入1990年代,网络技术得到推广,但关系网络问题的生物安全政策发展依然迟缓。为数不多的规范性内容主要见诸遗传资源信息管理,如欧盟1990年颁布的第90/220号指令、英国1990年颁布的环境保护法和我国1998年制定的《人类遗传资源管理暂行办法》。
(二)2000至2010年期间的网络生物安全制度
21世纪头十年一个明显变化是两用生物技术进出口管控对象普遍从实体延伸至信息。欧盟2000年出台第1334/2000号理事会条例,提出两用项目(dual-use items)包括软件和技术,技术指“开发”“生产”或“使用”货物所需特定信息,这些信息以“技术数据”或“技术支持”形式出现,通过电子媒介向境外传输软件与技术受控制。加拿大于2007年将其进出口许可法的管控对象从货物扩展至数据或信息形式技术。
生物恐怖主义在21世纪初成为焦点,与之相关生物技术信息不当扩散引发世界主要国家和地区注意。欧盟2007年出台讨论生物风险应对的政策报告,部分内容亦涉及生物科研信息传播的政策建议。一些国家立法也开始涉足相关问题,如澳大利亚《2008年国家卫生安全条例》第3.21款和3.24款规定对未经或未依适格处理机构批准获取或尝试获取安全敏感类生物制剂信息行为的通报;加拿大2009年颁布人类病原体和毒素法关注到信息和数据传播带来的生物安全问题。国际层面,WHO于2004年发布《实验室安全手册》,表达对信息技术风险引发的生物安全问题的关注,2006年发布《风险管理——实验室生物安全保障指南》阐释生物实验室信息安全,提出生物信息两用性问题。
疾病应对方面,一些国家和地区开始强化传染病联防联控,网络技术在卫生领域被广泛运用,相关网络生物威胁关注度提升。欧盟在2004年成立欧洲疾病预防控制中心(ECDC),主要工作之一是维护疾控情报网强健稳定。随后两年欧盟陆续出台第〔2005〕605号公报、第〔2005〕607号公报和《欧盟大流感实施计划——实施共同立场》三份涉网络生物安全文件以支持ECDC工作。国家层面,先是网络安全,而非生物安全领域,政府开始关注网络与生物双重安全问题。如德国2009年颁布联邦信息安全办公室法将卫生基础设施纳入信息办公室安保范围。
(三)2010年以来的网络生物安全制度
2010年以来,移动网络需求剧增,推动大数据、云计算及算法发展。生物经济与安全领域在新技术带动下深化大数据和人工智能的利用融合,推动网络生物安全政策显著发展。
国际层面,大量文件体现网络生物安全内容。WHO先后发布《对全球卫生安全负责的生命科学研究》、66.24号决议、71.7号决议、第四版《实验室生物安全手册》《全球数字健康战略(2020-2025)》等,出现网络生物安全相关阐述。联合国区域间犯罪和司法研究所(UNICRI)2012年与欧盟合作发布《合成生物学和纳米生物技术安全影响——对生物技术进展的风险和反应评估》、国际刑警组织2015年发布《暗网药物犯罪——对非法在线市场的研究》亦聚焦网络生物安全具体问题。
区域层面,欧盟CBRN风险缓解卓越中心推出一系列CBRN技术设施信息安全文件。欧盟2013年第1082/2013号决定、2016年的动物健康法、第2016/2031号条例及第2017/625号条例等重要立法对网络生物安全给予关注。ECDC强化网络生物安全政策,多项政策报告和项目涉及网络生物安全议题。
国家层面,世界主要国家纷纷投向网络生物安全议题,出台政策规模明显增长,内容愈加细化。法国2015年《国家数字安全战略》指出健康数据泄漏影响集体安全;2017年《全球健康战略》提出规范信息共享与医药网上销售;2018年第20号令从国防利益出发确立生物安全研究信息保密管理体系。德国2011年《网络安全战略》将健康设施识别为受保护关键基础设施;2015年《电子健康法》对医疗互联网运行安全提出组织制度与技术要求;2016年《网络安全战略》指明医疗应用程序会带来公众健康威胁;2017年传染病控制法修订,授权国家疾控机构采取措施确保医疗数据安全;2020年《全球健康战略》提出健康部门需保障数字创新服务安全可靠。英国2014年新《转基因生物(使用限制)条例》明确转基因生物信息管控的国家安全价值;2019年“生物安全问题”国会专题咨询提出防范生物信息扩散风险;成立联合生物安全中心对生物安全网络问题提供具体建议。
我国网络生物安全政策进展明显。2012年《国家中长期动物疫病防治规划(2012—2020年)》提出加强动物疫病防治信息系统安全。2019年《人类遗传资源管理条例》将人类遗传资源分为材料与信息两类,遗传材料转移的管制也适用于遗传信息,扩展《专利法实施细则》第26条“遗传资源”范围。2020年颁布生物安全法涉及生物安全网络信息系统完善并延续《人类遗传资源管理条例》“人类遗传资源”定义,对生物安全谣言、人类遗传资源信息跨境转移、生物安全信息保密等作规定。2021年6月,数据安全法通过,第6条明确了卫生健康领域数据安全监管责任。
(四)整体趋势评析
整体上,网络生物安全制度发展体现加速之势、多面向之势与聚焦之势。
一是加速之势。以上三阶段发展,整体从个别国家零星立法与网络生物安全相关,到许多主要国家和地区都有丰富网络与生物领域政策与之关联,是生物安全关注度和网络技术发展速度双重推动的必然。由2020年以来国际形势看,因网络生物安全概念越加频繁地为各国专家学者所提及并在政府文件中体现,很可能迎来全面发展新阶段。
二是多面向之势。对网络生物安全问题的关注从个别基本问题向更多子领域和具体问题扩张。早期关注点在于遗传生物资源信息处理和两用生物技术管制,且以简单条文强调保护机密信息为主。后期除上述两领域,关注方向遍布从传染病应对、食品安全、生物多样性保护到常规医疗与生物科研等。此外,涉及的网络威胁形式也从机密信息保护向保护生物安全网络基础设施、防止信息泛滥及谣言传播和规范大数据生物研发扩展。我国生物安全法第17条第2款限制生物安全谣言散布;WHO《全球数字健康战略2020-2025》提出提升数据处理研究伦理、治理与安全等。
三是聚焦之势。早期关注如生物信息保密,虽与网络技术相关,但不独发于网络空间,且只以个别条文作原则体现,后续发展越来越聚焦于主要存在于网络空间的生物安全挑战及其子问题,并展开深入专题阐释,如WHO《全球数字健康战略2020-2025》广泛涉及网络生物安全,提出“健康的数字决定因素(digital determinants of health)”概念;ECDC2020年报告专题阐释社交媒体对疫苗接种的影响和应对;国际刑警组织发布专题报告《暗网药物犯罪——对非法在线市场的研究》讨论暗网交易的医疗卫生威胁。
三、网络生物安全的法律应对
全面研究网络生物安全问题之肇端——《生命科学大数据的影响》指出“减少生命科学大数据漏洞……除使用技术解决方案和常识性行为外,机构和个人对解决系统漏洞几无能为力”。虽网络生物安全政策近年有更大发展,但未突破“技术解决方案和常识性行为”水平,相关立法理论与体系建设滞后。
立法滞后原因,一方面是此话题未吸引立法者足够关注;另一方面是问题有很强技术性,法律点难把握,法学发挥的主要作用不明。然而在生物安全立法引发广泛关注,网络空间行为与数据安全问题形成丰富法理思考和实践的当下,网络生物安全在技术层面外确有相当大法理突破空间。
法律建于社会关系之上,功能在于创设正义社会秩序,并通过调整社会关系实现,不同法律部门划分依据也是社会关系不同。因此法律对网络生物安全问题的介入也通过对其特有社会关系调整实现,进而维护网络生物安全领域社会正义,体现为对该领域关系客体、主体与内容的影响及与其它领域法制的协调。由此,至少如下方面需法律工作者积极跟进。
(一)确定网络生物安全客体边界
作为新兴领域,网络生物安全应具充分新意,并与关联领域划明界限,才有新理论、新制度与新措施发展意义。依赖生物学、网络学、法学在内跨学科合作,并解决网络空间行为的生物安全挑战是网络生物安全问题的应对特点。围绕此特点,需明确“网络空间”边界与“生物安全”应对对象,并基于生物安全为本和跨学科交汇两大特性将其与关联领域分开,进而从整体到各具体议题形成问题边界。如生物安全威胁与化学、核辐射、传统军事打击等其他威胁区别何在,网络空间行为与物理空间行为界限如何等。如仅限当前研究,相关问题难以准确解答。如2013年某知名黑客声称可通过控制联网心脏起搏器造成人身伤害。这一网络技术后来在《网络行动国际法塔林手册2.0》中也有讨论。这显然属网络安全问题,因行为是以物联网为工具实施直接造成物理损害的网络攻击,未借助任何生物材料,个体生理伤害本身亦非直接源于生物安全危害。如沿用既有网络生物安全甚至生物安全定义,难将其与生物安全风险区别。伴随生物物联网技术与社会问题凸显,网络生物安全与生物网络安全的辨识将不可回避。相关问题解决往往需深入行为涉及的社会关系与法益,具体到行为手段、目的与结果等因素分析,有赖法哲学的介入。
(二)建立合理公正的主体权责关系
生物安全类立法维护法益属公共安全,可定位于公法,关注于以“权力—责任”体系为基础的制度设计,其主体范畴主要体现为安保权力行使者。任何一种制度都需稳定持续,并围绕可欲性目标建立。塞缪尔·亨廷顿指出,制度是“稳定、有价值和循环的行为模式”。制度运转稳定性依赖主体权责均衡,权责均衡实现依赖权力制衡。一切权力者皆易滥用权力,防止滥用权力方法是以权力约束权力。为确保制度有效运转,或实现亨廷顿所言组织与程序“价值与稳定性”,还需保证制度主体素质能力与其权责关系适应。就网络生物安全而言,法律介入可促进合理公正权责关系建设,这是制度正常运转基本前提,包括明确不同专业背景(生物技术、网络技术及法律群体等)、不同利益相关方(政府、学者、商业机构、媒体及公众等)、不同地域层级(地方、国家、区域、全球)及不同部门机构(医疗科研、卫生行政、疾病控制、社区治理等)权责范围,基于对网络生物安全监测、预防、警报、处置和问责等不同环节考察,从权责均衡、能岗匹配、整体制衡角度出发,以科学有效应对网络生物安全挑战为引,建立合理公正权责关系。
(三)明确伦理评判价值取向和标准体系
价值存在于客体对主体的作用和影响中,是主客体交互的客体效应。因此,价值需通过社会关系内容表现,并成为有价值取向的法律介入社会关系内容的意义所在。自然科学只回答假定希望“从技术上控制生命,我们该如何做”,不回答是否应这样做,是否愿这样做或这样做有无意义。诚然,法学理论亦难独立回答技术政策的价值取向,但能凝聚各利益攸关方智识,并最终以法律呈现。在网络生物安全领域,信息形成与流动管理存在大量需审慎价值判断环节。依《人类遗传资源管理条例》和《生物技术研究开发安全管理条例(征求意见稿)》,我国当前生物研发领域同样强调对危害性技术限制,而对风险和收益皆显著的技术如何管制未明确。在研发机构内设安全审查委员会成员组成上,我国立法草案规定高风险生物技术研发单位应设生物技术安全委员会,对人员构成未明确。出现传染病事件时,依传染病防治法第38条,我国由国家卫生行政部门发布疫情信息,在得其授权后,省级卫生行政部门方可发布疫情信息。同一事项立法差异表明其已触及价值判断难题,安全与发展、科学与伦理、准确与及时、中心化与去中心化等价值权衡往往使制度构建者与技术活动者陷入两难,法学学者通过生物安全与相似领域法制阐释,能为价值取舍和具体标准理性决策提供重要参考。
(四)协调与其他领域立法的衔接
网络生物安全领域尚缺专门立法,但非全无和现有立法对接可能,任何新领域新问题出现也非全然需以新法应对。法律事实虽出现于新场景,但事件及其影响不依赖于新场景特殊性,可在传统法律框架内解决。如p2p金融活动虽普遍依托网络空间开展,但对借此实施非法集资的行为,可援引管制传统金融市场的立法条文处理。前提是先认识网络生物安全哪些行为不具新性质新影响,然后才可识别可与其对接的现有立法条款,即使有新性质新影响,也应具体分析“新”体现于网络空间法还是生物安全法范畴。如劳伦斯·莱西格在探讨网络空间规则时所言,新领域不全然类推旧规则或重新开始,而应理解旧叙事与新体验代沟,而后才有既往无法适用而应创新之需。就网络生物安全这一领域,需完成这一步并确立危害行为主体法律责任;也需依此判明有利于生物安全行为的合法性。就此,可立足前述网络生物安全行为特性,尤其是其发生在网络空间并对生物安全构成威胁这一特点判定行为本身是否需新制度规制。
就认定危害行为法律责任方面,可以生物武器网络化法律问题为例。1910年生效的海牙第五公约第2条规定装载军火或供应品的运输队不得通过中立国领土。但网络时代,交战国通过中立国网络基础设施传输军用病原体研发数据是否受此约束存疑。同一公约第7条规定中立国无义务阻止为交战国输出武器或其他军事用途物品。然而,如交战国用服务器设在中立国的数据库或网站发布军用生物毒剂数据,而此行为易被中立国探悉和制止,此时中立国有无制止义务也不宜贸然适用旧制。为此,我们需探究立法者本意及行为是否因发生在网络空间而致利益冲突变化和如何变化,由此判断行为是否有网络生物安全特性,还需判断所涉疑义应依网络空间还是生物安全法理解决,是否需创设和适用新规。分析全过程不仅涉规范分析,也依赖历史法学、社会法学与自然法学思想交相演绎。
在网络生物安全行为合法性确认方面,以分散化生物数据库安全管理为例。目前多数生物数据库皆分子生物学数据库,这些数据库涉及各类基因、蛋白质和代谢通路等,由不同主体创建,高度分散。为避免生物数据库分散增加数据泄密或篡改风险,需在管理模式上向中心化适度靠拢。可行方案是在WHO领导下建立统一并有约束性数据库安全建设和使用人员资质认证机制。这会强化WHO生物数据管理权,但需与各国数据主权及生物安全、网络安全规则协调,充分体现了新问题、新性质、新影响,应在国家或区域法制层面创新,才能赋予此机制合法性,不可径行实施,造成法制割裂。这需较强法律理论、规则与案例储备及实证能力,离不开法律工作者深度参与。
结语
强大的信息技术支持了生物技术进步,两者联系越紧密,网络问题带来的生物安全挑战就越紧迫。开展生物安全问题研究,制定相关应对政策,需正视网络技术种种问题,有赖跨行业与专业合作,法律界亦大有可为。法学学者应抓住相关理论所处发展阶段的契机,改善领域法理储备不足的现状,为机制完善积极贡献。
来源:上海市法学会一点号
