論中美未來網絡安全保護發展趨勢

羅力

[摘 要]隨著網絡的發展，互聯網數據傳輸的發展得到了質的跳躍。網絡數據的傳輸突破了國與國、界與界的傳統束縛。2015年，歐洲法院裁定安全港協議無效的裁決引發如何保護網絡數據安全的討論。中國作為世界網絡大國和強國，進一步加強網絡數據安全的維護和發展，不僅對提升國際社會共同應對網絡安全問題的信心，也對其他國家開展網絡安全合作提供借鑒有著重要意義。同時，對中美關系的全面發展也不無裨益。未來兩國應認真了解和充分尊重彼此在網絡安全領域的核心利益和重大關切，同時盡量避免將所有議題都與網絡安全掛鉤的“泛安全化”傾向，從雙方都認同或不存在根本分歧的領域入手開展務實合作，推動中美網絡安全邁向新的臺階。

[關鍵詞]安全港協議；網絡安全；中美；合作發展

[中圖分類號]D99 [文獻標識碼] A [文章編號] 1009 — 2234（2016）05 — 0053 — 02

2000年，歐盟委員會與美國簽訂安全港協議，確立了折衷處理美國和歐盟之間隱私手續的框架。2015年10月6日，歐洲法院做出裁決，美歐簽訂的安全港協議，因無法充分保證歐洲個人資料的安全，予以撤銷。歐美之間網絡數據傳輸這一合法通道被關閉，無疑對臉書、谷歌等超過5000家受到協議保護的美國網絡公司來說是一記重擊。

一、案例簡介

歐盟與美國于16年前簽訂了安全港協議，允許網絡運營商忽略歐盟各國法律差異，在美國與歐盟之間合法傳輸網絡數據。臉書、谷歌等5000多家美國網絡科技公司的歐洲運營模式都在該協議下受到保護，得以將歐洲用戶數據送往美國存儲及分析。2013年，“棱鏡門”曝光，美國中情局前雇員斯諾登爆料，臉書等公司在“棱鏡”項目中和美國情報機構串通，允許情報機構使用并監視普通用戶數據，引起歐洲社會各界擔憂和不滿。在此背景之下，施雷姆斯率先向臉書歐洲總部所在地愛爾蘭當局提出申訴，控告臉書非法追蹤用戶數據，參與美國情報機構的監控計劃。愛爾蘭主管部門以安全港協議為由駁回了施雷姆斯的申訴，施雷姆斯繼續將申訴提交到司法機構，最終由歐洲法院做出了判決。

2015年10月6日，歐洲法院支持了施雷姆斯的申訴，裁定有關跨大西洋地區的數據傳送安全港協議無效。歐洲法院在裁定中指出，歐盟的數據保護法規規定，歐盟公民的個人數據不能傳輸至非歐盟國家，除非該非歐盟國家能為這些數據提供有效保護。鑒于美國未能達到上述要求，歐美之間簽訂的安全港協議無效，臉書等美國公司應立即停止將收集到的歐洲用戶個人數據傳輸至美國。同時，歐洲法院還裁定愛爾蘭數據保護部門要詳盡地處理施雷姆斯的申訴。

二、案例評析

1995年，歐盟通過《個人數據處理和自由流動中個體權利保護指令》，對個人數據提供了高程度的保護?！吨噶睢?5條規定，“只有當第三方國家對個人數據提供充分保護時，才允許將歐盟民眾的個人數據存儲或者傳輸到該第三方國家?！边@一規定實際禁止向歐盟以外的第三方國家轉移個人數據，除非歐盟發現該第三方國家的國內法或者國際承諾可以提供充分保護?！吨噶睢穼⑦@一權力賦予了歐盟委員會，由歐委會發現并決定第三方國家的國內法或者國際承諾是否可以提供充分保護。對不能提供充分保護的第三方國家，歐盟法律提供了兩個變通規定，即標準合同條款和公司內部規則。數據發送者和數據接收者簽署歐盟與個人數據傳輸和保護有關的格式合同，或者相關實體采取公司內部規則保障個人數據安全，以此來達到充分保護要求。由于美國未能達到歐盟《指令》的充分保護要求，美國和歐盟于2000年達成了一個折衷的安全港協議，擁有發現和確認第三方國家是否達到充分保護要求的歐委會通過“2000/520號歐盟決定”，確認安全港隱私原則以及附屬條款對個人數據的保護達到了歐盟指令的充分保護要求。美國機構可以自愿加入安全港協議，遵守并執行安全港隱私原則，并公開宣布其符合安全港協議的相關要求。獲得安全港認證的美國機構可以享受安全港協議帶來的一系列好處，包括在美國境內收集、存儲歐盟公民的個人數據。

歐盟法院10月6日的裁決雖然不直接針對安全港協議，但是卻為安全港協議的前途籠罩上了一層疑云。歐委會副主席表示，盡管歐盟法院作出了判決，但歐美雙方企業間的數據交換并不會就此停止，歐盟會加快與美國制訂新的數據傳輸協議?，F階段，有關企業可以運用歐盟數據保護法律之下的其他機制，繼續進行跨大西洋數據傳輸。在此之前，與安全港協議有關的“2000/520號歐盟決定”約束所有歐盟成員國，美國公司只要獲得安全港的認證，就可以在美國收集、存儲以及傳輸歐盟公民的個人數據；而該決定的無效意味著安全港協議不再能夠為美國企業提供之前的種種好處，安全港協議有點被架空的意味。目前，該判決對美歐個人數據跨境流動的潛在影響，以及是否會使美國公司在美國收集、存儲歐盟公民的個人數據變得更加困難，還有待進一步觀察。臉書等很多網絡公司持觀望態度，因為除了加入安全港，這些公司還有別的備選方案，如借助歐盟標準合同條款、公司內部規則或者其他承諾，來滿足歐盟指令的充分保護要求。但是，很多做跨國業務的美國中小企業勢必會受到一定程度的影響。

不少專家認為歐洲法院裁定安全港協議失效的影響將十分深遠。有專家指出，歐洲法院的這一判決意味著原來所有按照安全港協議傳輸數據的美國科技公司，都必須改變其數據傳輸方式，受影響的企業將高達4500多家。有專家認為，如果美國企業執行新規定，將歐洲用戶的數據存儲在歐洲，需要在技術上做出大幅調整，耗費大量時間和資金。有專家指出，該裁決有可能對歐洲經濟帶來損害。美國商務部也表示安全港協議的失效會對雙方的經濟發展造成阻礙。

今年2月，歐盟和美國代表重新就歐洲用戶的數據跨境交換問題達成一致意見。根據新協議，類似谷歌和亞馬遜等公司將不再受到歐盟個人數據保護條例的限制，可跨越太平洋將用戶信息傳回至美國。不過新協議仍需要獲得政治上的批準。歐洲數據保護部門表示會限制數據傳輸。歐委會表示，新的隱身保護條例將會讓美國企業在保護歐洲公民個人數據上承擔更多的責任，并且也會要求美國相關部門提供更嚴格的監視和執行，同時“我們第一次收到了來自美國的書面保證，其中詳細說明了美方將如何限制和保護他們的監視項目”。

三、對中國未來網絡安全發展的啟示

除歐盟和美國代表重新就歐洲用戶的數據跨境交換問題達成一致意見。俄羅斯也計劃在2016年增加本地化數據審計，并計劃實施約2000個監控計劃，可見各國均在時代的推動下，不斷加強對網絡安全的保護。

“棱鏡門”事件及安全港協議失效的裁決，對于中國網絡安全的進程產生了巨大啟示。中美作為世界上的網絡大國，如果兩國合作順利，不僅能夠提升國際社會共同應對網絡安全問題的信心，為其他國家開展網絡安全合作提供借鑒；同時，對中美關系的全面發展也不無裨益。

我國法律起步相對較晚，而對于網絡數據的研究和保護更是一個全新的領域。而美國對于數據保護的立法已經相對完善。美國作為行業自律模式的代表，政府積極引導私人企業開發保護隱私的自律機制。通過建設性行業指引、網絡隱私認證計劃、技術保護模式、安全港模式等手段對個人數據進行多方面保護。網絡打破了國與國的傳統界限，網絡個人數據的保護也必將加強國際間合作。為了進一步加強與美國在網絡協議方面的進展，我國首先要加強自身對網絡個人數據的保護。

第一，采取立法模式和行業自律模式相結合的安全港模式。即可以依據不同行業的特點，進行靈活保護；又可以實現雙重監督。行業自律可以作為一種最初的和產業層面的申訴場所，實現網絡信息隱私權的基礎保護，法律則是網絡信息隱私權保護的最終手段，使網絡用戶的信息隱私權保護更有保障，有法可依。

第二，確立網絡個人數據的法律地位，明確侵犯網絡信息隱私權的行為構成與責任形式，加強信息安全的法律調控。從我國現有的法律體制看，對網絡個人數據的立法規定零星雜亂。這對于網絡個人數據的保護，尤其是新興的網絡個人數據的保護是極為不利的。這就要求我們立法應該作長遠打算，聯系國情，提供出一套全面、有效的保護機制。

第三，公共保護與用戶自我防范相結合。無論是國家立法還是行業自律，都是一種公共保護機制，都是依靠外部力量進行規范，但用戶自身也要提高防范意識，注重自己的網絡個人數據保護。首先，用戶不應隨意泄露個人數據。其次，用戶應樹立了解網站如何處理個人數據，如何管理收集到的個人數據的意識。第三，用戶應自行采取技術手段，如在上網時使用匿名，隱藏地址，郵箱加密，安裝防火墻等。總之，宣傳樹立公民的網絡個人數據觀念，鼓勵網民使用網絡個人數據保護的措施，提倡網絡經營者和用戶使用網絡個人數據選擇平臺，是網絡個人數據保護的一個重要環節。

只有在自身對于個人網絡數據保護達到一個相對完善的保護體系時，再顧社會利益，加強國際合作。網絡打破了國與國之間的傳統界限，網絡無國界的特點使得在處理有關網絡的問題時必須加強國際間的合作。網絡個人數據保護也不例外，已經初步顯示出國際統一化的大趨勢。另一方面，游離于國際保護體系之外，也不利于我國網絡經濟的發展。如《歐盟數據保護指令》就已經規定了“除非非成員國對數據及其相關個人有適當的保護，成員國不能向非成員國傳播個人數據”，這表明歐盟對個人數據的保護已經上升到國際合作的高度，我國如不重視對個人數據的保護，就有可能在全球電子商務中遇到阻礙。所以這要求我們一方面要盡快完善我國的網絡個人數據保護體系，一方面要積極與有關國家進行協調，提出我們認可的對我國用戶網上個人數據保護的要求與標準。并且，這樣做的意義還在于，可以盡快完善我國市場經濟的法制環境，為我國加入后的順利發展創造良好的環境。因此，在與美國網絡安全的合作方面，可以采取以下幾個方面。第一，了解和尊重對方在網絡安全領域的核心利益和重大關切。第二，盡量避免將所有議題都與網絡安全掛鉤的“泛安全化”傾向。第三，從雙方都認同或不存在根本分歧的領域入手開展務實合作。第四，充分發揮個人、跨國組織和公民社會等非國家行為體的促進作用。

中美在網絡空間的威脅、風險與機遇相伴而生，且將長期存在，必須做好打持久戰的準備。中美競爭性網絡安全關系的存在，以及維護網絡空間安全的共同關切，決定了發展建設性的中美網絡安全關系需要堅持在競爭中增進合作，在合作中規范競爭，進而控制威脅、管理風險、避免誤判，最終實現互利共贏。

〔參 考 文 獻〕

〔1〕王孛.美國與歐盟個人信息跨國流通安全港協議簡論〔Z〕.2008.

〔2〕秦天寧.從美國安全港提議透析我國的網絡隱私權保護模式〔J〕.法制典社會，2007.

〔3〕張莉.論斯諾登事件后中美網絡安全合作〔J〕.新視野，2014.

〔責任編輯：陳玉榮〕