從美國《2015年網(wǎng)絡(luò)安全信息共享法案》看網(wǎng)絡(luò)監(jiān)控與隱私權(quán)保護(hù)

摘 要：美國《2015年網(wǎng)絡(luò)安全信息共享法案》全文將保護(hù)公民隱私貫穿始終，對網(wǎng)絡(luò)監(jiān)控與個人隱私進(jìn)行平衡與協(xié)調(diào)。中國也在著力于網(wǎng)絡(luò)立法的進(jìn)一步完善，特別是要注重公共安全與公民個人權(quán)利保護(hù)之間的平衡。在這一方面，美國網(wǎng)絡(luò)立法中就安全共享機(jī)制與公民隱私權(quán)保護(hù)的立法設(shè)計，值得我國網(wǎng)絡(luò)立法考量與借鑒。

關(guān)鍵詞：《2015年網(wǎng)絡(luò)安全信息共享法案》;網(wǎng)絡(luò)監(jiān)控;隱私權(quán)保護(hù)

中圖分類號：D923 ? ?文獻(xiàn)標(biāo)識碼：A ? ?文章編號：2095-4379-（2019）26-0200-02

作者簡介：徐優(yōu)萍（1995-），女，煙臺大學(xué)，研究生（二年級），研究方向：民商法學(xué)。

? 一、《2015年網(wǎng)絡(luò)安全信息共享法案》中的網(wǎng)絡(luò)監(jiān)控與隱私權(quán)保護(hù)

（一）信息共享主體與范圍

總結(jié)《2015年網(wǎng)絡(luò)安全信息共享法案》第3條的一般規(guī)定，聯(lián)邦政府應(yīng)當(dāng)同聯(lián)邦實體與非聯(lián)邦實體共享相關(guān)的以解密的、非機(jī)密的（包括受控非機(jī)密）網(wǎng)絡(luò)威脅指征①和防御措施以及網(wǎng)絡(luò)安全威脅或受授權(quán)使用的相關(guān)信息。同時聯(lián)邦政府亦可同適當(dāng)?shù)墓姽蚕矸菣C(jī)密網(wǎng)絡(luò)威脅指征和防御措施。由此可見，信息共享的主體為聯(lián)邦實體、非聯(lián)邦實體與相關(guān)公眾。

（二）信息共享的目的

《2015網(wǎng)絡(luò)安全信息共享法》信息共享的目的僅僅限定于保護(hù)信息系統(tǒng)或信息系統(tǒng)中存儲、處理或傳輸?shù)男畔ⅲ馐芫W(wǎng)絡(luò)安全威脅或安全漏洞的影響。該法案在第5（d）（5）（A）中具體規(guī)定為：“聯(lián)邦實體或非聯(lián)邦實體根據(jù)本編向聯(lián)邦政府提供的網(wǎng)絡(luò)威脅指征或者防御措施，僅限于如下目的：網(wǎng)絡(luò)安全目的，應(yīng)對、阻止或者減輕緊急的死亡威脅或嚴(yán)重身體損害，應(yīng)對、預(yù)防或者減輕對未成年人的性剝削和人身安全威脅，應(yīng)對、預(yù)防或者減輕與欺詐或者盜用身份相關(guān)的行為、與間諜和審查制度相關(guān)的行為以及與侵害商業(yè)秘密有關(guān)的行為。”②隨后法案規(guī)定，不得以上述所列目的之外的任何目的向任何聯(lián)邦機(jī)構(gòu)或部門披露或由其保存、使用。由此可以推斷，網(wǎng)絡(luò)安全信息共享的目的僅限于上述列舉。

（三）信息共享方式

該法案整體在信息共享方式上倡導(dǎo)的是一種自愿共享方式。其中，第8（g）明確規(guī)定③，聯(lián)邦政府不得采取任何威脅性或者引誘性措施迫使非聯(lián)邦實體與其共享信息，也不得設(shè)置與非聯(lián)邦實體分享信息的前提條件。正如上文所述，在網(wǎng)絡(luò)信息與國家安全或恐怖主義活動有關(guān)時，政府機(jī)構(gòu)在持有外國情報監(jiān)控法庭的“調(diào)取令”前提下可以強(qiáng)制聯(lián)邦實體或非聯(lián)邦實體進(jìn)行信息共享，整體上該法案倡導(dǎo)的是網(wǎng)絡(luò)信息的自愿共享。

（四）信息共享權(quán)力限制

1.不對無網(wǎng)絡(luò)安全威脅的個人信息進(jìn)行共享

《2015年網(wǎng)絡(luò)安全信息法》第3條規(guī)定，聯(lián)邦政府在共享網(wǎng)絡(luò)威脅指征之前，應(yīng)當(dāng)審查網(wǎng)絡(luò)威脅指征，以移除不直接涉及網(wǎng)絡(luò)安全威脅的個人信息。使用技術(shù)措施移除聯(lián)邦實體在共享時已知的，并不直接涉及網(wǎng)絡(luò)安全威脅，而是屬于特定個體的個人信息，或者能夠識別特定個體的信息。出現(xiàn)共享任何美國人民的個人信息時，及時通知上述人員。此處設(shè)置網(wǎng)絡(luò)安全信息共享的前置審查措施，避免將不直接涉及網(wǎng)絡(luò)安全的個人信息進(jìn)行共享，威脅公民的個人隱私。

2.第5條（b）專門對隱私和公民自由作出具體規(guī)定

《2015年網(wǎng)絡(luò)安全信息共享法》多次對隱私權(quán)作出相關(guān)規(guī)定。其中，第5條（b）（3）包括對隱私和公民自由進(jìn)行保護(hù)的規(guī)定，其要求司法部長和國土安全部部長及相關(guān)的國土安全部負(fù)責(zé)人與相關(guān)官員進(jìn)行磋商，共同制定與公民自由和隱私保護(hù)相關(guān)的指南。

該指南應(yīng)該對聯(lián)邦實體接收、保存、使用以及傳播其獲得的與本編授權(quán)活動有關(guān)的網(wǎng)絡(luò)威脅指征做出相應(yīng)的規(guī)定。該指南的內(nèi)容（歸納為幾個方面）在設(shè)計上應(yīng)當(dāng)包括五個方面：第一，限制聯(lián)邦政府依據(jù)本編實施的活動對隱私和公民的影響;第二，限制包含特定的個人信息或者能夠識別出特定個體之信息的網(wǎng)絡(luò)威脅指征的接收、保存使用以及傳播，包括——建立相應(yīng)機(jī)制，及時銷毀已知的與本編授權(quán)使用不直接相關(guān)的信息;第三，對網(wǎng)絡(luò)威脅指征存儲期限施加以特別限制;第四，指南也應(yīng)當(dāng)規(guī)定對未經(jīng)授權(quán)訪問含有特定的個人信息，或者能夠識別的特定個體之信息的網(wǎng)絡(luò)威脅指征的聯(lián)邦政府官員、職員或者代理人違反指南的適當(dāng)制裁。當(dāng)接收信息的聯(lián)邦實體認(rèn)為接收到的信息不構(gòu)成一項網(wǎng)絡(luò)威脅指征時，通知其他實體和聯(lián)邦實體的程序。最大限度地保護(hù)含有特定個體信息，或能識別特定個體之信息的網(wǎng)絡(luò)威脅指征的機(jī)密性，同時需通知接收者該指征僅可基于本編授權(quán)的目的使用;同時，在規(guī)定與聯(lián)邦政府共享或為其提供信息時，法案也規(guī)定，要保護(hù)特定個體的個人信息和能識別特定個體的信息免于未經(jīng)授權(quán)使用或者披露及其機(jī)密性。

3.在政府活動監(jiān)督部分規(guī)定個人信息移除的獨立報告

《2015年網(wǎng)絡(luò)信息安全共享法案》規(guī)定：自本法制定之日起3年內(nèi)，美國聯(lián)邦政府審計總長應(yīng)當(dāng)根據(jù)本編的規(guī)定，向國會提供移除網(wǎng)絡(luò)威脅指征或防御措施中的個人信息所采取的措施，向國會提供一份報告。該報告應(yīng)當(dāng)包含對依據(jù)本編制定的政策、程序和指南，在保護(hù)隱私和公民自由問題上的充分性進(jìn)行評估。

二、美國網(wǎng)絡(luò)監(jiān)控立法對我國網(wǎng)絡(luò)安全立法的啟示

（一）建立安全信息自愿共享機(jī)制

在網(wǎng)絡(luò)服務(wù)商與政府之間建立安全信息自愿共享機(jī)制。該自愿共享機(jī)制應(yīng)當(dāng)包括共享方式、共享范圍以及人事設(shè)置的規(guī)定。在共享的方式上，網(wǎng)絡(luò)服務(wù)商與政府按照自愿原則與政府實施信息共享，自愿與政府進(jìn)行信息共享的網(wǎng)絡(luò)服務(wù)商應(yīng)當(dāng)在網(wǎng)絡(luò)服務(wù)合同中明確提示網(wǎng)絡(luò)使用者的信息有安全威脅時可能被與政府共享;在共享的范圍上，限于分享有安全威脅的信息以及網(wǎng)絡(luò)防御信息，嚴(yán)禁對安全沒有影響的個人信息進(jìn)行共享;在人事設(shè)置方面，聘請專業(yè)的網(wǎng)絡(luò)技術(shù)人員對相關(guān)信息進(jìn)行實時分析，篩選有安全威脅的信息和無威脅的個人信息。

（二）建立信息共享的強(qiáng)制機(jī)制

在網(wǎng)絡(luò)服務(wù)商不愿意進(jìn)行信息共享時，學(xué)習(xí)借鑒美國《美國自由法案》中的相關(guān)規(guī)定，限制政府的網(wǎng)絡(luò)監(jiān)控權(quán)。首先，只有網(wǎng)絡(luò)服務(wù)提供方才能收集、儲存相關(guān)信息，只有政府或者相關(guān)國家機(jī)關(guān)認(rèn)為有些信息存在安全隱患、并取得相應(yīng)的許可時，才能調(diào)取網(wǎng)絡(luò)服務(wù)商儲存的個人信息或者進(jìn)行網(wǎng)絡(luò)監(jiān)控;再次，對實施網(wǎng)絡(luò)監(jiān)控的前提進(jìn)行嚴(yán)格限制，在相關(guān)立法中進(jìn)行詳盡式列舉，不能僅僅局限于“國家安全的需要”此類抽象規(guī)定;同時，要設(shè)立嚴(yán)格的證據(jù)制度。政府想獲取個人信息必須達(dá)到以下標(biāo)準(zhǔn)：第一，有證據(jù)證明犯罪事實已經(jīng)發(fā)生;第二，有證據(jù)表明，獲取相關(guān)信息有助于查明案件事實;再次，證明網(wǎng)絡(luò)監(jiān)控只能作為最后手段。最后，設(shè)立責(zé)任豁免制度，在政府和國家機(jī)關(guān)提供相關(guān)證據(jù)的前提下，對政府和國家機(jī)關(guān)或者其授權(quán)或委托的技術(shù)人員為網(wǎng)絡(luò)安全而進(jìn)行的涉及侵犯個人隱私的行為進(jìn)行免責(zé)，以避免造成濫訴。

（三）建立信息共享的監(jiān)督與評估機(jī)制

定期對政府、國家機(jī)關(guān)、網(wǎng)絡(luò)服務(wù)商共享的網(wǎng)絡(luò)信息進(jìn)行審查評估，如果認(rèn)為其不再存在安全威脅或者經(jīng)調(diào)查后沒有安全威脅，應(yīng)當(dāng)立即從政府或者國家機(jī)關(guān)的系統(tǒng)中移除。負(fù)責(zé)進(jìn)行評估的部門或者機(jī)構(gòu)應(yīng)當(dāng)定期作評估報告，報告的內(nèi)容包括共享的信息是否對網(wǎng)絡(luò)安全構(gòu)成威脅、對網(wǎng)絡(luò)構(gòu)成的威脅程度以及評估結(jié)論。信息共享的監(jiān)督評估機(jī)構(gòu)應(yīng)當(dāng)獨立于與網(wǎng)絡(luò)服務(wù)商進(jìn)行共享的政府機(jī)構(gòu)，保證其評估的可靠性及專業(yè)性。

網(wǎng)絡(luò)監(jiān)控立法中的隱私權(quán)保護(hù)是一個極為復(fù)雜的體系，其涉及憲法、民法、刑事訴訟法、行政法等多個領(lǐng)域。特別是隱私權(quán)日漸受到重視的現(xiàn)代社會，更要求網(wǎng)絡(luò)監(jiān)控中隱私權(quán)的保護(hù)更為細(xì)化，從監(jiān)控的授權(quán)到監(jiān)控過程再到監(jiān)控結(jié)束都需要嚴(yán)格對隱私權(quán)進(jìn)行保護(hù)。希望通過借鑒美國網(wǎng)絡(luò)監(jiān)控中對隱私權(quán)的保護(hù)形式，能給我國網(wǎng)絡(luò)監(jiān)控方面隱私權(quán)保護(hù)的立法、執(zhí)法和司法帶來一定的啟發(fā)。

[ 注釋 ]

①《2015網(wǎng)絡(luò)安全共享法案》第2（7）條將網(wǎng)絡(luò)威脅指征定義為：能夠表明、描述或識別以下情況的信息;惡意偵查;能夠打破安全控制或者利用安全漏洞的方法;安全漏洞;使用戶能夠合法地訪問存儲在信息系統(tǒng)上、由信息系統(tǒng)處理或傳遞信息系統(tǒng)的信息，從而使安全控制失效或利用安全漏洞的方法;惡意的網(wǎng)絡(luò)指揮和控制;特定事故造成的實際或潛在危害，包括以描述網(wǎng)絡(luò)安全威脅為目的產(chǎn)生的信息泄露;法律不禁止披露的任何網(wǎng)絡(luò)威脅屬性以及上述情況的結(jié)合.

②《2015網(wǎng)絡(luò)安全共享法案》，Sec.5（d）（5）（A）.

③例如，聯(lián)邦政府不能要求某實體向聯(lián)邦政府提供信息或者要求只有某實體向聯(lián)邦政府提供網(wǎng)絡(luò)威脅指征時，聯(lián)邦政府才與該實體共享網(wǎng)絡(luò)威脅指征.