广义上讲，法律上的网络安全至少应该包括网络上私有空间安全、信息安全、交易中的信用安全等三个方面的内容。网络空间安全是指在互联网络上由于未经授权而访问或非法侵入他人支配的私有空间，从而导致所有人或权利人失去对其空间的支配或控制的情形。非法侵入他人的私有虚拟空间，不仅侵害了他人对其虚拟空间的财产权，同时，也可能侵害存储与该虚拟空间上的信息权利。所谓网络上的信息安全，是指信息在网络空间存储、传输过程中不被截获、破解或解密，不被刺探、不被篡改、不被删除。根据信息的属性不同，网络信息安全可能涉及到国家秘密、商业秘密、个人信息安全等三个方面的问题，因此，理论上讲，在私法上，侵害网络上的信息安全相应地也就涉及到信息财产权和信息人格权---隐私权问题。网络交易中的信用安全，是指在网络交易时为了避免由于合同的非及时履行所可能导致履行不能或履行瑕疵而需要相应的财产作为承担责任的保障，或由中立的第三方提供信用担保，一旦债务人不能履行时由其在担保的范围内替代履行，从而保障债权人的履行利益得以实现。狭义上的网络安全，仅指网络上的信息安全、空间安全，而不包括信用安全。网络环境的开放性、虚拟性、无纸化、技术化、数字化等特征使得在网络环境中进行民事活动不仅将面临诸如信息被截获、刺探、篡改、删除、破译或解密等信息安全问题，同时还将面临信用安全和网络私有空间安全等问题。因此，保障网络信息安全、交易心中的信用安全和网络私有空间不受非法侵入对于保证网络信息交流和电子商务健康发展的决定心因素。虽然，对于采取某些技术措施也可以在一定程度上保障网络安全，但是，网络安全的最终保障还是需要法律制度的规范。

　　一、网络私有空间安全的法律问题及私法保护

　　（一）网络私有空间所面临的安全问题及其规制现状

　　在互联网络上，私有虚拟空间包括但不限于终端用户的电脑内存、网络服务商的服务器空间等属于私人所有或私人使用的空间范围。根据虚拟空间的权利内容不同，私有虚拟空间可以分为所有权意义上的虚拟空间和使用权意义上的虚拟空间。其中，虚拟空间所有权是指电脑、服务器的所有人因其对电脑、服务器的所有权而当然地对内在于电脑、服务器中的虚拟空间享有所有权。所谓使用权意义上的虚拟空间，是指通过租用他人电脑内存或服务器空间而享有专有使用权的虚拟空间。目前，许多通过租借服务商的服务器空间而建立起来的网站、网页、博客，其所有这对于这些虚拟空间享有专有使用权。

　　实际上，无论是自己所有的虚拟空间，抑或是租借他人的虚拟空间，都类似于现实生活中的自有房屋和租赁房屋。在现实生活中，法律承认并保护所有人和承租人的所有权和专有使用权。网络虚拟空间是人们在网络上进行信息存储、信息交流的必备“空间”，因此，也是一种稀缺的资源。网络虚拟空间是否安全，不仅关系到其上的信息安全，也关系到其本身的使用价值或财产价值。因此，保障网络虚拟空间的安全应该是网络时代法律所面临的一种使命。

　　近年来，各种非法侵入与危害网络私有虚拟空间安全的行为非常猖獗。2005年发生在美国的Jeanson James Ancheta利用远程黑客程序实施网络攻击案[1]、2006年发生在深圳的“黑客侵入深圳巴士公司网站”一案[2]、2006年至2007年在互联网络上流行的传播和使用熊猫烧香病毒、灰鸽子程序非法控制、访问他人虚拟空间的行为等就是典型的非法侵入他人私有虚拟空间的行为。在这些非法行为中，尤其是以恶意远程控制程序最为严重。这些利用远程控制程序者通过远程程序可以大量控制他人的电脑，其结果不仅可以窥视他人的网络活动和密码，收集用户电脑电脑上的信息，而且，还可以远程控制和操作用户电脑。也正是因为这个原因，黑客们往往以其控制的电脑的“控制权”作为交易对象获得利益。各种非法侵入他人网络私有空间的行为之所以如此猖獗，其主要原因在于，既有的法律制度下无法找到合适和有效的规制措施，尤其是在我国现行私法制度下更是如此。

　　在既有法律制度下，虚拟空间要么被认为是作为有体物的电脑或服务器的附属部分，要么被认为是隐私权保护的对象。在第一种观念下，由于作为有体物附属部分的虚拟空间不具有独立的法律地位，因此，对其侵害只能使用传统的物权法制度予以调整；而在以有体物作为规制对象的传统物权法下，对物的侵害行为，只能是有形的、可视的，其后果往往是对物的性能或使用价值造成损害。而对于非法侵入网络虚拟空间的行为，由于侵害行为的无形性及其所针对的是“虚拟‘空间，作为其外在物的电脑或服务器本身在外观上似乎是完整无缺的，人们并不能看到这种有形、有体的物受到来自任何外在的行为的侵害（侵入），权利人仍然可以自由地“支配”或占有其电脑或服务器。这样，通过恶意程序非法侵入或控制他人网络私有虚拟空间的行为在传统物权法上找不到有效的规制依据[3]。在第二种观念下，由于虚拟空间被认为是私人空间，因此，非法侵入网络虚拟空间的行为也就被认为是侵犯私生活领域的行为---隐私侵权行为。且不说这种观点无法解释作为私生活领域的网络虚拟空间何以可以作为出租的对象，就连利用远程控制程序非法控制（还没有“进入”）他人虚拟空间的行为也无法解释：既然还没有进入虚拟空间，何来的侵犯私生活领域？

　　（二）网络私有虚拟空间安全的法律保护

　　目前，对于非法“侵入”网络虚拟空间的行为，英美法的做法是承认网络虚拟空间的独立法律地位，将其视为动产，从而适用其普通法上的非法侵入动产（trespass to chattle）规则予以规范[4]。虽然英美法的做法较之于大陆法系，尤其是我国立法缺位现象具有明显的优点，但是，按照其传统的非法侵入动产（trespass to chattle）规则只能规范非法“侵入”行为，而无法有效规范那些利用远程控制程序非法控制但尚未进入他人网络虚拟空间的行为。在大陆法系，就笔者所掌握的资料来看，目前尚无对从私法上对非法控制他人网络私人空间的立法规制和判例。不过，如果不考虑是否侵害个人信息权或商业秘密、非独创性数据库财产权情形的话，单就对于非法侵（进）入他人的网络私有空间的情形，按照大陆法系的现有理论，如果不承认网络私有空间的独立法律地位的话，是很难找到适当的法理依据的。

　　鉴于大陆法系既有法律与理论的困境，对网络私有领域安全的法律规制问题，笔者认为，虽然英美法普通法上的非法侵入动产（trespass to chattle）规则并不能完美地解决问题，但是，其通过承认私有虚拟空间独立法律地位来保护网络空间安全的思想还是值得我们借鉴的。有鉴于此，未来我国立法对于网络私有领域安全的法律规制，应该首先承认私有网络空间的独立法律地位，即它在法律地位上独立于它物理上所依附的电脑或服务器，可以作为物权法上“空间权”在网络空间的“拓展”---网络空间所有权。这样，电脑或服务器的所有人对其电脑或服务器上的虚拟网络空间享有所有权，未经允许，擅自侵入或控制该虚拟空间的行为就是一种侵害网络空间所有权的行为：其中，非法进入他人的网络空间，就相当于非法进入他人在现实空间的房屋或土地，通过侵害所有人对其房屋或土地的占有、使用而对其所有权的行使造成妨害；对于那种非法控制他人网络私有空间而尚未“进入”的行为，类似于未经允许擅自配制他人房门的钥匙，有随时进入之虞，同时，由于非法刻制者还可以随时通过更换他人网络空间“房门”“钥匙”，“从而令所有人无法“进入”其网络空间，进而无法有效行使其对网络空间的所有权。

　　二、网络信息安全的私法规制

　　（一）私法意义上的信息安全问题

　　在私法上，从所有或控制主体上讲，信息应该包括国家机密、商业秘密或非独创性数据库、个人所控制的信息等三个层面的意义。其中，就国家秘密的保护而言，目前的实际更多的是从公法上进行规制，由于忽略了私法上财产责任制度的规制，其规制效果也因此而打折扣。鉴于篇幅问题，本文对国家秘密的私法保护问题暂不涉及，只就私主体所有或所控制的信息及其安全的法律规制予以讨论。

　　由于信息安全问题是指未经授权擅自刺探、截获、访问、收集或非法侵入他人控制或所有的信息，即明知是他人所有或所控制的信息，再未经授权或许可得情况下刺探、截获、访问、收集乃至利用他人的信息，因此，在私法上，涉及信息安全的主要是指个人信息、商业秘密及非独创性数据库等三个方面的问题。

　　所谓的个人信息，是指能够直接或间接识别出特定自然人主体身份的一条或一组信息。按照个人信息所反映的内容及其是否与人格尊严有无直接关系，个人信息可以分为与人格尊严有直接关系的个人信息和与人格尊严无直接关系的一般个人信息两类[5]。个人信息的安全主要来自于两个方面：一是商家在交易过程或用户访问其网站或网页时未经提示或获得许可而擅自收集与交易无关的用户个人信息；二是通过诸如恶意程序或控制程序等各种形式的非法侵入他人虚拟空间并获取存储于这些虚拟空间上的个人信息。无论那种形式的危害个人信息安全行为，其最终可能侵害的权利或利益应该包括个人信息人格权---隐私权和个人信息商业价值的支配权两类。值得注意的是，个人信息与个人所控制的信息是有区别的，前者是能够直接或间接是识别出特定自然人身份的一条或一组信息，后者在范围上应该更广，即它包括但不限于个人信息，还包括除了个人信息之外的其它信息。在网络环境下，个人控制的信息的识别是通过私有网络空间的“界限”实现的，即凡是属于他人私有网络空间上存储的信息，都属于此范畴。

　　所谓的商业秘密，是指在网络私有空间上由主体采取一定的保护措施而控制的具有商业价值的信息。 而非独创性数据库，则是指由商家投资开发的不符合版权法保护要件但具有使用价值的信息库，这种信息库虽然不符合版权保护条件，但是由于它对既有信息的收集、加工和提炼，减少了一般社会公众获取该信息的成本，因此，如果社会公众愿意从其信息库中直接获取信息，信息库的开发者或所有者有权收取一定的报酬。法律给与开发者或所有者报酬收取权的保护，在经济学上是合理的、有效的。当然，社会公众也可以从其它途径获取包含在数据库中的信息，数据库的开发者或经营者也不能阻止他人通过正当或其他合法途径获取信息。由于数据库的经营者为了防止他人擅自访问其投资开发的数据库，往往都对数据库采取了一定的技术保护措施，从而在客观上为其行使权利提供了物质基础---为权利人在法律上控制该数据库提供了“围栏”， 也为一般社会公众获取信息，尤其是基于商业目的获取和使用数据库中的信息行为提供了“权利不得侵犯”之界标。

　　可见，无论是网络上的个人信息，商业秘密，还是非独创性数据库，乃至个人网络空间上存储的资料，由于其具有使用价值，都被主体采取一定的技术保护措施“圈”了起来，能够将其与一般信息区分开来，能够为社会公众网络自由提供一个“不得侵犯他人权益”的界碑。同时，也由于私有空间的界限和对网络上的商业秘密、非独创性数据库采取技术保护措施，不仅商业秘密与非独创性数据库无法截然区分开来，就是非独创性数据库、商业秘密与存储在一般个人网络空间（电脑空间）上的一般信息也无法区分，至少对其进行区分的意义已经不大了，即它们在本质上都属于私人控制的信息，都具有潜在的商业价值。因此，未经许可或授权擅自访问或侵入他人的信息存储设备，刺探或收集他人网络空间上的私人控制信息，无论是个人信息、商业秘密、非独创性数据库，乃至于私有网络空间上存储的其它信息，在本质上都属于一种信息侵权行为。

　　（二）私人控制信息安全的法律保护

　　信息的无形性，往往导致这样一个问题，即即使被发现侵入他人的私有领域，窥视者往往不承认其看到了他人的私有信息，受害人也无法或很难证明这种非法侵入这到底收集或窥视了哪些由其控制的信息[6]。有时，入侵者通过诸如木马程序等远程控制程序秘密控制受害人的电脑，随时可以进入受害人的电脑秘密浏览、修改乃至删除受害者的信息。在此情况下，受害者要维护自己的权益更是难以找到合适的法律依据，尤其是在大陆法系国家里更是如此。这也正是为何目前网络信息侵害行为如此泛滥的最重要的原因。同时，由于现行法律不承认个人对其个人信息商业价值的财产权，只对少数个人信息给与人格权保护，而非法收集个人信息者的主要目的往往就是为了赢利，因此，即使被控非法收集个人信息，原告只有在举证证明被收集的个人信息属于隐私，自己的精神利益因此而受到了损害，被告才承担赔礼道歉和赔偿精神损失的法律责任。这种法律责任制度不足以对信息侵权构成威慑，因此，也就不能有效地预防和规制信息侵权行为的方式。鉴于民法上的法律责任制度以补偿性为其主要功能，而补偿性法律责任的设立，尤其是财产责任的设立，一般必须以所侵害的利益属于财产利益为理论前提；鉴于在网络环境下对私人控制信息的侵害往往是首先对私有网络空间财产权的侵犯；考虑到目前网络上泛滥的信息侵权行为的主要原因之一就是缺乏法律的规制，尤其是由于缺乏对主体私有网络空间独立法律地位的应有承认，缺乏对私人控制信息财产利益的承认而不能对侵权者施以财产责任，从而无法有效地遏制网络信息侵权行为的发生。因此，私人控制信息安全的法律保护的主要方式就是承认主体对其网络私有领域或私有虚拟空间的所有权或使用权；其次，应该承认私主体对其所合法控制信息个人信息的商业价值的财产权益。值得一提的是，在对于私人控制信息的法律保护上，应该针对不同性质的信息采取不同的变化方式。具体说来，鉴于个人信息的可识别性及其可能包含有人个要素，因此，在保护方式和保护的内容上应该有所不同，即对他应该采取绝对权保护，对其它信息，由于不具有可识别性，社会公众也可以从其它渠道合法地获取，因此，如果也采取绝对权保护，对社会公众的行为自由或信息自由也将造成妨害。