從美國(guó)《2015年網(wǎng)絡(luò)安全信息共享法案》看網(wǎng)絡(luò)監(jiān)控與隱私權(quán)保護(hù)

徐優(yōu)萍

煙臺(tái)大學(xué)，山東 煙臺(tái) 264005

一、《2015年網(wǎng)絡(luò)安全信息共享法案》中的網(wǎng)絡(luò)監(jiān)控與隱私權(quán)保護(hù)

(一)信息共享主體與范圍

總結(jié)《2015年網(wǎng)絡(luò)安全信息共享法案》第3條的一般規(guī)定，聯(lián)邦政府應(yīng)當(dāng)同聯(lián)邦實(shí)體與非聯(lián)邦實(shí)體共享相關(guān)的以解密的、非機(jī)密的(包括受控非機(jī)密)網(wǎng)絡(luò)威脅指征①和防御措施以及網(wǎng)絡(luò)安全威脅或受授權(quán)使用的相關(guān)信息。同時(shí)聯(lián)邦政府亦可同適當(dāng)?shù)墓姽蚕矸菣C(jī)密網(wǎng)絡(luò)威脅指征和防御措施。由此可見，信息共享的主體為聯(lián)邦實(shí)體、非聯(lián)邦實(shí)體與相關(guān)公眾。

(二)信息共享的目的

《2015網(wǎng)絡(luò)安全信息共享法》信息共享的目的僅僅限定于保護(hù)信息系統(tǒng)或信息系統(tǒng)中存儲(chǔ)、處理或傳輸?shù)男畔ⅲ馐芫W(wǎng)絡(luò)安全威脅或安全漏洞的影響。該法案在第5(d)(5)(A)中具體規(guī)定為：“聯(lián)邦實(shí)體或非聯(lián)邦實(shí)體根據(jù)本編向聯(lián)邦政府提供的網(wǎng)絡(luò)威脅指征或者防御措施，僅限于如下目的：網(wǎng)絡(luò)安全目的，應(yīng)對(duì)、阻止或者減輕緊急的死亡威脅或嚴(yán)重身體損害，應(yīng)對(duì)、預(yù)防或者減輕對(duì)未成年人的性剝削和人身安全威脅，應(yīng)對(duì)、預(yù)防或者減輕與欺詐或者盜用身份相關(guān)的行為、與間諜和審查制度相關(guān)的行為以及與侵害商業(yè)秘密有關(guān)的行為。”②隨后法案規(guī)定，不得以上述所列目的之外的任何目的向任何聯(lián)邦機(jī)構(gòu)或部門披露或由其保存、使用。由此可以推斷，網(wǎng)絡(luò)安全信息共享的目的僅限于上述列舉。

(三)信息共享方式

該法案整體在信息共享方式上倡導(dǎo)的是一種自愿共享方式。其中，第8(g)明確規(guī)定③，聯(lián)邦政府不得采取任何威脅性或者引誘性措施迫使非聯(lián)邦實(shí)體與其共享信息，也不得設(shè)置與非聯(lián)邦實(shí)體分享信息的前提條件。正如上文所述，在網(wǎng)絡(luò)信息與國(guó)家安全或恐怖主義活動(dòng)有關(guān)時(shí)，政府機(jī)構(gòu)在持有外國(guó)情報(bào)監(jiān)控法庭的“調(diào)取令”前提下可以強(qiáng)制聯(lián)邦實(shí)體或非聯(lián)邦實(shí)體進(jìn)行信息共享，整體上該法案倡導(dǎo)的是網(wǎng)絡(luò)信息的自愿共享。

(四)信息共享權(quán)力限制

1.不對(duì)無(wú)網(wǎng)絡(luò)安全威脅的個(gè)人信息進(jìn)

行共享《2015年網(wǎng)絡(luò)安全信息法》第3條規(guī)定，聯(lián)邦政府在共享網(wǎng)絡(luò)威脅指征之前，應(yīng)當(dāng)審查網(wǎng)絡(luò)威脅指征，以移除不直接涉及網(wǎng)絡(luò)安全威脅的個(gè)人信息。使用技術(shù)措施移除聯(lián)邦實(shí)體在共享時(shí)已知的，并不直接涉及網(wǎng)絡(luò)安全威脅，而是屬于特定個(gè)體的個(gè)人信息，或者能夠識(shí)別特定個(gè)體的信息。出現(xiàn)共享任何美國(guó)人民的個(gè)人信息時(shí)，及時(shí)通知上述人員。此處設(shè)置網(wǎng)絡(luò)安全信息共享的前置審查措施，避免將不直接涉及網(wǎng)絡(luò)安全的個(gè)人信息進(jìn)行共享，威脅公民的個(gè)人隱私。

2.第5條(b)專門對(duì)隱私和公民自由作出具體規(guī)定

《2015年網(wǎng)絡(luò)安全信息共享法》多次對(duì)隱私權(quán)作出相關(guān)規(guī)定。其中，第5條(b)(3)包括對(duì)隱私和公民自由進(jìn)行保護(hù)的規(guī)定，其要求司法部長(zhǎng)和國(guó)土安全部部長(zhǎng)及相關(guān)的國(guó)土安全部負(fù)責(zé)人與相關(guān)官員進(jìn)行磋商，共同制定與公民自由和隱私保護(hù)相關(guān)的指南。

該指南應(yīng)該對(duì)聯(lián)邦實(shí)體接收、保存、使用以及傳播其獲得的與本編授權(quán)活動(dòng)有關(guān)的網(wǎng)絡(luò)威脅指征做出相應(yīng)的規(guī)定。該指南的內(nèi)容(歸納為幾個(gè)方面)在設(shè)計(jì)上應(yīng)當(dāng)包括五個(gè)方面：第一，限制聯(lián)邦政府依據(jù)本編實(shí)施的活動(dòng)對(duì)隱私和公民的影響；第二，限制包含特定的個(gè)人信息或者能夠識(shí)別出特定個(gè)體之信息的網(wǎng)絡(luò)威脅指征的接收、保存使用以及傳播，包括——建立相應(yīng)機(jī)制，及時(shí)銷毀已知的與本編授權(quán)使用不直接相關(guān)的信息；第三，對(duì)網(wǎng)絡(luò)威脅指征存儲(chǔ)期限施加以特別限制；第四，指南也應(yīng)當(dāng)規(guī)定對(duì)未經(jīng)授權(quán)訪問含有特定的個(gè)人信息，或者能夠識(shí)別的特定個(gè)體之信息的網(wǎng)絡(luò)威脅指征的聯(lián)邦政府官員、職員或者代理人違反指南的適當(dāng)制裁。當(dāng)接收信息的聯(lián)邦實(shí)體認(rèn)為接收到的信息不構(gòu)成一項(xiàng)網(wǎng)絡(luò)威脅指征時(shí)，通知其他實(shí)體和聯(lián)邦實(shí)體的程序。最大限度地保護(hù)含有特定個(gè)體信息，或能識(shí)別特定個(gè)體之信息的網(wǎng)絡(luò)威脅指征的機(jī)密性，同時(shí)需通知接收者該指征僅可基于本編授權(quán)的目的使用；同時(shí)，在規(guī)定與聯(lián)邦政府共享或?yàn)槠涮峁┬畔r(shí)，法案也規(guī)定，要保護(hù)特定個(gè)體的個(gè)人信息和能識(shí)別特定個(gè)體的信息免于未經(jīng)授權(quán)使用或者披露及其機(jī)密性。

3.在政府活動(dòng)監(jiān)督部分規(guī)定個(gè)人信息移除的獨(dú)立報(bào)告

《2015年網(wǎng)絡(luò)信息安全共享法案》規(guī)定：自本法制定之日起3年內(nèi)，美國(guó)聯(lián)邦政府審計(jì)總長(zhǎng)應(yīng)當(dāng)根據(jù)本編的規(guī)定，向國(guó)會(huì)提供移除網(wǎng)絡(luò)威脅指征或防御措施中的個(gè)人信息所采取的措施，向國(guó)會(huì)提供一份報(bào)告。該報(bào)告應(yīng)當(dāng)包含對(duì)依據(jù)本編制定的政策、程序和指南，在保護(hù)隱私和公民自由問題上的充分性進(jìn)行評(píng)估。

二、美國(guó)網(wǎng)絡(luò)監(jiān)控立法對(duì)我國(guó)網(wǎng)絡(luò)安全立法的啟示

(一)建立安全信息自愿共享機(jī)制

在網(wǎng)絡(luò)服務(wù)商與政府之間建立安全信息自愿共享機(jī)制。該自愿共享機(jī)制應(yīng)當(dāng)包括共享方式、共享范圍以及人事設(shè)置的規(guī)定。在共享的方式上，網(wǎng)絡(luò)服務(wù)商與政府按照自愿原則與政府實(shí)施信息共享，自愿與政府進(jìn)行信息共享的網(wǎng)絡(luò)服務(wù)商應(yīng)當(dāng)在網(wǎng)絡(luò)服務(wù)合同中明確提示網(wǎng)絡(luò)使用者的信息有安全威脅時(shí)可能被與政府共享；在共享的范圍上，限于分享有安全威脅的信息以及網(wǎng)絡(luò)防御信息，嚴(yán)禁對(duì)安全沒有影響的個(gè)人信息進(jìn)行共享；在人事設(shè)置方面，聘請(qǐng)專業(yè)的網(wǎng)絡(luò)技術(shù)人員對(duì)相關(guān)信息進(jìn)行實(shí)時(shí)分析，篩選有安全威脅的信息和無(wú)威脅的個(gè)人信息。

(二)建立信息共享的強(qiáng)制機(jī)制

在網(wǎng)絡(luò)服務(wù)商不愿意進(jìn)行信息共享時(shí)，學(xué)習(xí)借鑒美國(guó)《美國(guó)自由法案》中的相關(guān)規(guī)定，限制政府的網(wǎng)絡(luò)監(jiān)控權(quán)。首先，只有網(wǎng)絡(luò)服務(wù)提供方才能收集、儲(chǔ)存相關(guān)信息，只有政府或者相關(guān)國(guó)家機(jī)關(guān)認(rèn)為有些信息存在安全隱患、并取得相應(yīng)的許可時(shí)，才能調(diào)取網(wǎng)絡(luò)服務(wù)商儲(chǔ)存的個(gè)人信息或者進(jìn)行網(wǎng)絡(luò)監(jiān)控；再次，對(duì)實(shí)施網(wǎng)絡(luò)監(jiān)控的前提進(jìn)行嚴(yán)格限制，在相關(guān)立法中進(jìn)行詳盡式列舉，不能僅僅局限于“國(guó)家安全的需要”此類抽象規(guī)定；同時(shí)，要設(shè)立嚴(yán)格的證據(jù)制度。政府想獲取個(gè)人信息必須達(dá)到以下標(biāo)準(zhǔn)：第一，有證據(jù)證明犯罪事實(shí)已經(jīng)發(fā)生；第二，有證據(jù)表明，獲取相關(guān)信息有助于查明案件事實(shí)；再次，證明網(wǎng)絡(luò)監(jiān)控只能作為最后手段。最后，設(shè)立責(zé)任豁免制度，在政府和國(guó)家機(jī)關(guān)提供相關(guān)證據(jù)的前提下，對(duì)政府和國(guó)家機(jī)關(guān)或者其授權(quán)或委托的技術(shù)人員為網(wǎng)絡(luò)安全而進(jìn)行的涉及侵犯?jìng)€(gè)人隱私的行為進(jìn)行免責(zé)，以避免造成濫訴。

(三)建立信息共享的監(jiān)督與評(píng)估機(jī)制

定期對(duì)政府、國(guó)家機(jī)關(guān)、網(wǎng)絡(luò)服務(wù)商共享的網(wǎng)絡(luò)信息進(jìn)行審查評(píng)估，如果認(rèn)為其不再存在安全威脅或者經(jīng)調(diào)查后沒有安全威脅，應(yīng)當(dāng)立即從政府或者國(guó)家機(jī)關(guān)的系統(tǒng)中移除。負(fù)責(zé)進(jìn)行評(píng)估的部門或者機(jī)構(gòu)應(yīng)當(dāng)定期作評(píng)估報(bào)告，報(bào)告的內(nèi)容包括共享的信息是否對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅、對(duì)網(wǎng)絡(luò)構(gòu)成的威脅程度以及評(píng)估結(jié)論。信息共享的監(jiān)督評(píng)估機(jī)構(gòu)應(yīng)當(dāng)獨(dú)立于與網(wǎng)絡(luò)服務(wù)商進(jìn)行共享的政府機(jī)構(gòu)，保證其評(píng)估的可靠性及專業(yè)性。

網(wǎng)絡(luò)監(jiān)控立法中的隱私權(quán)保護(hù)是一個(gè)極為復(fù)雜的體系，其涉及憲法、民法、刑事訴訟法、行政法等多個(gè)領(lǐng)域。特別是隱私權(quán)日漸受到重視的現(xiàn)代社會(huì)，更要求網(wǎng)絡(luò)監(jiān)控中隱私權(quán)的保護(hù)更為細(xì)化，從監(jiān)控的授權(quán)到監(jiān)控過程再到監(jiān)控結(jié)束都需要嚴(yán)格對(duì)隱私權(quán)進(jìn)行保護(hù)。希望通過借鑒美國(guó)網(wǎng)絡(luò)監(jiān)控中對(duì)隱私權(quán)的保護(hù)形式，能給我國(guó)網(wǎng)絡(luò)監(jiān)控方面隱私權(quán)保護(hù)的立法、執(zhí)法和司法帶來一定的啟發(fā)。

[ 注 釋 ]

①《2015網(wǎng)絡(luò)安全共享法案》第2(7)條將網(wǎng)絡(luò)威脅指征定義為：能夠表明、描述或識(shí)別以下情況的信息；惡意偵查；能夠打破安全控制或者利用安全漏洞的方法；安全漏洞；使用戶能夠合法地訪問存儲(chǔ)在信息系統(tǒng)上、由信息系統(tǒng)處理或傳遞信息系統(tǒng)的信息，從而使安全控制失效或利用安全漏洞的方法；惡意的網(wǎng)絡(luò)指揮和控制；特定事故造成的實(shí)際或潛在危害，包括以描述網(wǎng)絡(luò)安全威脅為目的產(chǎn)生的信息泄露；法律不禁止披露的任何網(wǎng)絡(luò)威脅屬性以及上述情況的結(jié)合.

②《2015網(wǎng)絡(luò)安全共享法案》，Sec.5(d)(5)(A).

③例如，聯(lián)邦政府不能要求某實(shí)體向聯(lián)邦政府提供信息或者要求只有某實(shí)體向聯(lián)邦政府提供網(wǎng)絡(luò)威脅指征時(shí)，聯(lián)邦政府才與該實(shí)體共享網(wǎng)絡(luò)威脅指征.