安全與隱私：美國網(wǎng)絡(luò)安全信息共享的立法博弈分析

方 婷,李欲曉

(1.西安交通大學 法學院，陜西 西安 710049;2.北京郵電大學 國際學院，北京 100876)

?

安全與隱私：美國網(wǎng)絡(luò)安全信息共享的立法博弈分析

方 婷1,李欲曉2

(1.西安交通大學 法學院，陜西 西安 710049;2.北京郵電大學 國際學院，北京 100876)

美國網(wǎng)絡(luò)安全信息共享目的、范圍、主體和程序的條款規(guī)定引發(fā)了安全倡導者與私權(quán)擁護者關(guān)于安全與隱私的激烈爭論，其中既有關(guān)政府使用共享信息的目的條款保障人類網(wǎng)絡(luò)空間生存權(quán)得以實現(xiàn),又有共享的網(wǎng)絡(luò)威脅信息范圍條款界定存在瑕疵，共享的政府參與主體條款違反正當法律程序規(guī)定，共享前的個人信息移除程序條款違反比例原則的要求；通過建立政府與私營企業(yè)的信任機制，增強共享政策、程序、措施實施的透明度，建立激勵機制，制定信息共享協(xié)議等，能夠有效實現(xiàn)網(wǎng)絡(luò)安全信息共享立法中安全與隱私的博弈均衡。

網(wǎng)絡(luò)安全信息共享；安全；隱私；網(wǎng)絡(luò)威脅指標

全球化融合態(tài)勢下，網(wǎng)絡(luò)威脅信息成為網(wǎng)絡(luò)防御的關(guān)鍵要素，及時共享和分析有價值的網(wǎng)絡(luò)威脅信息已被視為新技術(shù)背景下提升整體網(wǎng)絡(luò)安全態(tài)勢感知能力的重要內(nèi)容。為了回應(yīng)在美國持續(xù)發(fā)生的一系列大規(guī)模網(wǎng)絡(luò)攻擊事件*2014年至2015年初，零售商塔吉特(Target)公司、易趣(eBay)公司、世界最大的家裝零售商家得寶公司(Home Depot)、摩根大通(J.P.Morgan Chase)、醫(yī)療保險公司安澤姆(Anthem)公司、索尼(Sony)電影公司等企業(yè)相繼遭到破壞性的網(wǎng)絡(luò)攻擊。，增強公共與私營部門共同應(yīng)對網(wǎng)絡(luò)安全威脅的能力，避免“網(wǎng)絡(luò)珍珠港”(Cyber Pearl Harbor)事件的發(fā)生，出于改善政府與私營企業(yè)之間共享技術(shù)漏洞、網(wǎng)絡(luò)入侵、惡意攻擊等技術(shù)細節(jié)和預警信息的目的，網(wǎng)絡(luò)安全信息共享立法已成為近年來美國國會優(yōu)先考慮的事項*自2011年開始，支持和倡導網(wǎng)絡(luò)安全信息共享立法的國會議員先后提起了多項有關(guān)網(wǎng)絡(luò)安全信息共享的綜合性和專門性立法議案，如《2011年促進和增強網(wǎng)絡(luò)安全和信息共享效力法案》、《2011年網(wǎng)絡(luò)安全強化法案》(H.R.2096，作為H.R.756議案在第113屆國會再次提出)、《2011年網(wǎng)絡(luò)情報共享和保護法案》(H.R.3523，作為H.R.624議案在第113屆國會再次提出，作為H.R.234議案在第114屆國會再次提出)、《2012年推進美國網(wǎng)絡(luò)信息和技術(shù)研究及發(fā)展法案》(H.R.3834)、《2012 年網(wǎng)絡(luò)安全法案》(S.2105)以及該法案的修正版本(S.3414)和替代版本(S.3342)、《2014年網(wǎng)絡(luò)安全信息共享法案》(S.2588，作為S.754在第114屆國會再次提出)、《2015年保護網(wǎng)絡(luò)空間法案》(H.R.1560)、《2015年國家網(wǎng)絡(luò)安全保護增強法案》(H.R.1731)，重點關(guān)注政府和私營企業(yè)之間有關(guān)網(wǎng)絡(luò)威脅的信息共享。。其中，第114屆國會眾議院《保護網(wǎng)絡(luò)空間法案》(H.R.1560)*2015年3月24日，眾議院特別情報委員會(House Permanent Select Committee on Intelligence)提出《保護網(wǎng)絡(luò)空間法案》(Protecting Cyber Networks Act,PCNA)，并于4月13日修訂發(fā)布，最終于2015年4月22日在眾議院以307:116的票數(shù)通過。、《國家網(wǎng)絡(luò)安全保護增強法案》(H.R.1731)*2015年4月13日，眾議院國土安全委員會(House Homeland Security Committee)提出《國家網(wǎng)絡(luò)安全保護增強法案》(National Cybersecurity Protection Advancement Act,NCPAA)，并于4月17日修訂發(fā)布，最終于2015年4月23日在眾議院以355:63的票數(shù)通過。和參議院《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)*2015年3月13日，美國《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)在參議院情報委員會(Select Committee on Intelligence)以14:1的票數(shù)通過，經(jīng)過多次修正，法案最終于2015年10月27日在參議院以74:21的票數(shù)通過。均已取得重大進展。然而，參議院《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)的相關(guān)表述在美國民權(quán)組織、公民自由組織、安全專家和部分學者中仍存有關(guān)于安全與隱私的重大爭議[1]。因此，以《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)為分析對象，美國網(wǎng)絡(luò)安全信息共享立法中安全與隱私的爭議焦點是什么，法案文本中如何體現(xiàn)安全與隱私的立法博弈，怎樣理性解讀安全與隱私在美國網(wǎng)絡(luò)安全信息共享的立法博弈，美國網(wǎng)絡(luò)安全信息共享立法中安全與隱私博弈的發(fā)展趨勢如何，都是值得深入探討和解決的問題。

一、美國網(wǎng)絡(luò)安全信息共享的目的條款爭議

(一)美國網(wǎng)絡(luò)安全信息共享的目的條款規(guī)定

《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)首先明確了法案制定的目的旨在通過增強的網(wǎng)絡(luò)安全威脅信息共享，保障美國的網(wǎng)絡(luò)安全。具體而言，這一立法目的通過對私營企業(yè)和政府機構(gòu)雙方做出的規(guī)定得以體現(xiàn)。一方面，私營企業(yè)可以基于網(wǎng)絡(luò)安全目的共享、接收或使用網(wǎng)絡(luò)威脅信息；另一方面，聯(lián)邦政府機構(gòu)對其接收的網(wǎng)絡(luò)威脅信息進行披露、存留和使用的目的包括：①網(wǎng)絡(luò)安全目的；②識別網(wǎng)絡(luò)安全威脅(包括此類網(wǎng)絡(luò)安全威脅的來源)或安全漏洞；③識別國外敵對勢力或恐怖分子使用信息系統(tǒng)引發(fā)的網(wǎng)絡(luò)安全威脅；④響應(yīng)、減輕或防止因恐怖活動或使用大規(guī)模殺傷性武器而造成的死亡威脅，嚴重的人身傷害或經(jīng)濟損失；⑤響應(yīng)、減輕或防止針對未成年人的嚴重威脅(包括性剝削和人身安全的威脅)；⑥阻止、調(diào)查或起訴特定的犯罪(包括嚴重的暴力犯罪，欺詐和身份盜竊犯罪，間諜罪，以及侵犯商業(yè)秘密的犯罪)。法案中，“網(wǎng)絡(luò)安全目的”被界定為：“保護信息系統(tǒng)及系統(tǒng)中存儲、處理或傳輸?shù)男畔⒚馐芫W(wǎng)絡(luò)安全威脅或安全漏洞的影響*《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)第5(d)(5)條?！?。

(二)美國網(wǎng)絡(luò)安全信息共享目的條款的安全與隱私爭議分析

法案的上述規(guī)定引發(fā)了來自美國公民自由聯(lián)盟(American Civil Liberties Union,ACLU)、民主與技術(shù)中心(The Center for Democracy and Technology,CDT)、電子前沿基金會(Electronic Frontier Foundation,EFF)等民權(quán)組織的強烈質(zhì)疑，其認為《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)將政府使用共享信息的目的*《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)將其規(guī)定為“聯(lián)邦政府對其接收的網(wǎng)絡(luò)威脅信息進行披露、存留和使用的目的”。進行了廣義界定，包括網(wǎng)絡(luò)安全以外的寬泛目的，如實施國外監(jiān)聽或反間諜情報活動，甚至規(guī)定可用于廣義的國家安全、執(zhí)法和反恐目的，這樣一來，將導致網(wǎng)絡(luò)安全信息共享演變?yōu)楹戏ㄊ跈?quán)的后門監(jiān)聽方式，嚴重威脅隱私和公民自由。尤其是在美國國家安全局“棱鏡門”監(jiān)控項目曝光之后，立法中對政府使用共享信息目的的寬泛界定可能導致政府有關(guān)部門的監(jiān)聽權(quán)力被再次擴大。正如微軟公司可信賴計算部全球副總裁斯科特·查尼(Scott Charney)在2015年第114屆參議院題為“保護美國不受網(wǎng)絡(luò)攻擊：信息共享的重要性”的國會聽證中所指出的，政府不應(yīng)當通過信息共享來確保或促進執(zhí)法或國家安全目標的實現(xiàn)，因為信息共享旨在自愿共享信息以形成更強大的網(wǎng)絡(luò)防御能力，其不同于執(zhí)法和國家安全的要求[2]。然而，保護美國的網(wǎng)絡(luò)聯(lián)盟(Protecting America′s Cyber Networks Coalition)、美國商會(U.S.Chamber of Commerce)以及美國金融、能源等行業(yè)協(xié)會均認為，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)旨在保護美國的網(wǎng)絡(luò)系統(tǒng)，其不是一項如某些隱私倡導者所聲稱的監(jiān)聽法案，事實上，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)并未授權(quán)實施等同于聯(lián)邦刑事犯罪監(jiān)聽法律或《外國情報監(jiān)聽法》(Foreign Intelligence Surveillance Act,FISA)規(guī)定的電子監(jiān)聽行為，并且美國國家安全局的監(jiān)控問題與網(wǎng)絡(luò)安全信息共享立法無關(guān)*參見2015年8月19日“網(wǎng)絡(luò)安全信息共享立法：共享網(wǎng)絡(luò)威脅指標——區(qū)分事實與虛構(gòu)”的文件https://www.uschamber.com/sites/default/files/cisa_ctis_separating_fact_from_fiction_aug_19_final.pdf.。

筆者認為，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)的目的條款充分體現(xiàn)了網(wǎng)絡(luò)安全信息共享立法的目的，即提高公共和私營部門共同應(yīng)對網(wǎng)絡(luò)安全風險的能力，保障美國的網(wǎng)絡(luò)安全。正如美國心理學家亞伯拉罕·馬斯洛所指出的，安全是人類最基本的需求*美國心理學家亞伯拉罕·馬斯洛在其1943年發(fā)表的《人類動機的理論》一書中提出需求層次理論(Need-hierarchy theory)，將人的需求劃分為五個層次，由較低層次到較高層次依次為生理需求、安全需求、社會需求、尊重需求和自我實現(xiàn)需求。，網(wǎng)絡(luò)安全信息共享立法的提出即是人們實現(xiàn)其網(wǎng)絡(luò)空間安全需求的重要表現(xiàn)。從更深層的角度來看，信息技術(shù)的高速發(fā)展促使人類社會對網(wǎng)絡(luò)空間的高度依賴，作為獨立于陸地、海洋、航空、航天以外的第五維空間，網(wǎng)絡(luò)空間的安全在國家安全、社會民生、經(jīng)濟發(fā)展和政府事務(wù)中的基礎(chǔ)性作用不斷凸顯，并逐步成為保障整個社會持續(xù)運轉(zhuǎn)的重要支撐。美國作為高度信息化的國家之一，保障公民的網(wǎng)絡(luò)空間安全需求和網(wǎng)絡(luò)空間“生存權(quán)”[3]已經(jīng)成為其當前立法的迫切需求，而網(wǎng)絡(luò)安全信息共享能夠促使政府和企業(yè)及時獲取和分析信息系統(tǒng)本身的安全漏洞，網(wǎng)絡(luò)入侵、惡意攻擊的技術(shù)細節(jié)和預警信息等網(wǎng)絡(luò)威脅信息，是保障人類網(wǎng)絡(luò)空間生存權(quán)和安全需求得以滿足的有效手段和必要途徑。正如霍布斯所言，“人民的安全乃是至高無上的法律”[4]317，作為現(xiàn)階段關(guān)系到人類網(wǎng)絡(luò)空間生存權(quán)和內(nèi)心安全需求實現(xiàn)的重要載體，網(wǎng)絡(luò)安全信息共享立法所積極追求的安全目標應(yīng)當在具體條款中得以體現(xiàn)。

其次，在全球化融合態(tài)勢下，互聯(lián)互通的信息系統(tǒng)已經(jīng)發(fā)展成為支撐整個社會持續(xù)運轉(zhuǎn)的基礎(chǔ)設(shè)施，因此，網(wǎng)絡(luò)信息系統(tǒng)本身的機密性、完整性和可用性的安全要求與整體的國家安全需求密不可分，尤其是網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)間諜、網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)恐怖主義等行為的日益猖獗更是對國家安全提出了嚴峻挑戰(zhàn)?；诖耍绹毒W(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)的上述條款對政府使用共享信息的目的進行了寬泛界定，除規(guī)定用于“網(wǎng)絡(luò)安全目的”之外，還包括反恐、反間諜情報甚至偵查嚴重暴力犯罪等廣義的國家安全和執(zhí)法目的，其實質(zhì)上是根據(jù)當前國家安全利益需求的凸顯程度及對其加以維護的緊迫性所做出的理性判斷。正如前文所述，重要的網(wǎng)絡(luò)威脅信息共享是防御網(wǎng)絡(luò)攻擊的關(guān)鍵要素，同時，基于安全標準的法規(guī)遵從策略在應(yīng)對復雜的、不斷發(fā)展的網(wǎng)絡(luò)威脅行為時已凸顯乏力[5]。因此，在某種程度上，美國網(wǎng)絡(luò)安全信息共享的目的條款中對政府使用共享信息的目的所做出的廣義界定是保障國家安全利益和有效應(yīng)對當前安全形勢的必然要求。

值得注意的是，“規(guī)則本身是空無的、曲解的和沒有定說的……法律規(guī)則本身沒有基本的意義，所以解釋是對法律規(guī)則暴力式的偷竊式的理解，其目的是強加一個方向，強加一個意志，強迫法律規(guī)則參與不同的游戲?！盵6]美國民權(quán)組織對《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)的上述條款進行的解釋在某種程度上曲解了網(wǎng)絡(luò)安全信息共享立法的目的。如前所述，網(wǎng)絡(luò)安全已經(jīng)構(gòu)成總體國家安全不可分割的重要組成部分，法案的目的并非在于為執(zhí)法機構(gòu)和情報部門提供侵犯公民隱私和通信的后門機制，其實質(zhì)目的在于促進美國公共與私營部門之間有關(guān)網(wǎng)絡(luò)威脅信息的共享，以充分整合政府和企業(yè)在網(wǎng)絡(luò)安全風險識別、風險評估、風險預防和風險控制方面的技術(shù)能力和資源優(yōu)勢，保障網(wǎng)絡(luò)安全甚至國家安全。

二、美國網(wǎng)絡(luò)安全信息共享范圍的條款爭議

(一)美國網(wǎng)絡(luò)安全信息共享范圍的條款規(guī)定

美國《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)規(guī)定，網(wǎng)絡(luò)安全信息共享的范圍包括：安全漏洞、網(wǎng)絡(luò)威脅以及用于防止或減輕網(wǎng)絡(luò)攻擊所采取的努力和對策，幾乎包括與網(wǎng)絡(luò)威脅相關(guān)的任何類型的信息，概括而言，即為法案第2(6)條界定的“網(wǎng)絡(luò)威脅指標”(Cyber Threat Indicator,CTI)和第2(7)條界定的防御性措施(Defensive Measure)兩大類，其中“網(wǎng)絡(luò)威脅指標”(Cyber Threat Indicator,CTI)是指“對于描述或識別下列七類網(wǎng)絡(luò)數(shù)據(jù)而言必要的信息，包括惡意偵察(malicious reconnaissance)，例如異常模式的通信；破壞安全控制措施或利用安全漏洞的方法；安全漏洞；導致用戶在對信息系統(tǒng)或系統(tǒng)中存儲、處理或傳輸?shù)男畔⑦M行合法訪問時不經(jīng)意地破壞安全控制措施的方法；惡意的網(wǎng)絡(luò)命令和控制；事件造成的實際或潛在的損害(包括因描述網(wǎng)絡(luò)安全威脅而引發(fā)的信息泄露)；任何其他性質(zhì)的網(wǎng)絡(luò)安全威脅?！蓖瑫r，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)將“防御性措施”(Defensive Measure)界定為“以信息系統(tǒng)及系統(tǒng)中存儲、處理或傳輸?shù)男畔楸Ｗo對象，所采用的用于防止、減輕已知或可疑的網(wǎng)絡(luò)安全威脅或安全漏洞的行動、設(shè)備、程序、簽名、技術(shù)或其他措施?！痹诖?，參議院情報委員會(Select Committee on Intelligence)修正了美國《網(wǎng)絡(luò)安全信息共享法案(2014版)》(S.2588)*2014年7月10日，《網(wǎng)絡(luò)安全信息共享法案(2014版)》(S.2588)在參議院情報委員會(Select Committee on Intelligence)以12:3的票數(shù)通過。該法案的內(nèi)容來源于2012年《網(wǎng)絡(luò)安全法案》(CSA)、2012年《利用研究、教育、信息和技術(shù)增強和提高網(wǎng)絡(luò)安全法案》(SECURE IT Act)和2013年《網(wǎng)絡(luò)情報共享與保護法案》(CISPA)。的相關(guān)條款，對“防御性措施”(Defensive Measure)的定義不包括授權(quán)使用通常被認為具有進攻性的措施，因為其可能對其他實體的信息系統(tǒng)造成實質(zhì)性損害，例如針對其他實體的信息系統(tǒng)進行未經(jīng)授權(quán)的訪問或執(zhí)行計算機代碼。

(二)美國網(wǎng)絡(luò)安全信息共享范圍條款的安全與隱私爭議分析

美國民權(quán)組織指出，網(wǎng)絡(luò)安全信息共享的范圍界定對于隱私保護至關(guān)重要。然而，為了涵蓋需要共享的一切信息，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)對“網(wǎng)絡(luò)威脅指標”(Cyber Threat Indicator,CTI)進行了廣義界定，包括網(wǎng)絡(luò)攻擊中竊取的醫(yī)療記錄、財務(wù)記錄、密碼和密鑰材料、商業(yè)秘密等，因為這些信息能夠表明網(wǎng)絡(luò)安全事件造成的實際損害[7]。相反，保護美國的網(wǎng)絡(luò)聯(lián)盟(Protecting America′s Cyber Networks Coalition)則指出，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)對“網(wǎng)絡(luò)威脅指標”(Cyber Threat Indicator,CTI)的定義限定了政府機構(gòu)和私營企業(yè)共享的網(wǎng)絡(luò)威脅信息范圍，本質(zhì)上包括用于確定并幫助其抵御惡意行為人損害受害人計算機網(wǎng)絡(luò)的戰(zhàn)略、技術(shù)和程序，而不針對此類網(wǎng)絡(luò)或系統(tǒng)中包含的敏感個人信息*參見2015年8月19日“網(wǎng)絡(luò)安全信息共享立法：共享網(wǎng)絡(luò)威脅指標——區(qū)分事實與虛構(gòu)”的文件https://www.uschamber.com/sites/default/files/cisa_ctis_separating_fact_from_fiction_aug_19_final.pdf.。

筆者認為，“安全價值不是一種絕對價值，因為安全價值的實現(xiàn)，本身受到既對個人有益又對社會有益這個條件的限制?！盵4]320在網(wǎng)絡(luò)安全問題凸顯之時，立法上的利益關(guān)注很容易偏向于主要作為社會利益出現(xiàn)的安全，而忽視對于個人合理利益的維護。如果從長遠來看，社會利益和個人利益在本質(zhì)上是趨于一致的，即如密爾所說的“公眾的永久利益是同個人權(quán)利結(jié)合在一起的”[8]53，那么，從現(xiàn)實和短期來看，這種一致性在很多情況下是不存在的。通過分析不難看出，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)對美國網(wǎng)絡(luò)安全信息共享范圍的廣義界定就是為了優(yōu)先保障作為社會利益出現(xiàn)的人類網(wǎng)絡(luò)空間生存權(quán)和安全需求，而忽視了對公民個人隱私這一合法權(quán)益的保護。根據(jù)《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)對“網(wǎng)絡(luò)威脅指標”(Cyber Threat Indicator,CTI)的定義，無辜用戶的網(wǎng)頁瀏覽活動也將被視為一個分布式拒絕服務(wù)攻擊(Distributed Denial of Service,DDoS)*分布式拒絕服務(wù)攻擊(Distributed Denial of Service,DDoS)是互聯(lián)網(wǎng)環(huán)境下最具有破壞力的一種攻擊方式，它利用TCP/IP協(xié)議的缺陷和網(wǎng)絡(luò)帶寬資源的有限性，向被攻擊方惡意發(fā)送許多連接請求或無用的數(shù)據(jù)包，從而大量占用受害者的系統(tǒng)和帶寬資源，使其無法再繼續(xù)響應(yīng)其他正常用戶的請求。，因為技術(shù)上很難從分布式拒絕服務(wù)攻擊(DDoS)的訪問中將用戶訪問網(wǎng)站的活動分離出來，甚至針對與釣魚攻擊相關(guān)的通信文本而言，因為其構(gòu)成了破壞安全控制措施的方法，也將被納入網(wǎng)絡(luò)安全信息共享的范圍，從而嚴重侵犯公民的個人隱私。

從美國網(wǎng)絡(luò)安全信息共享的具體實踐可知，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)中界定的“網(wǎng)絡(luò)威脅指標”(Cyber Threat Indicator,CTI)包括域名(Domain names)、互聯(lián)網(wǎng)協(xié)議地址(Internet protocol addresses)、日志數(shù)據(jù)(Log data)、惡意軟件(Malware)、數(shù)據(jù)包(packets)、端口(packets)、簽名(Signatures)、時間戳(Time/date stamps)、統(tǒng)一資源定位符(Uniform Resource Locator，URL)等數(shù)據(jù)，基于其技術(shù)特性，在大部分網(wǎng)絡(luò)事件中共享上述信息不會對個人的行為、金融或社會信息產(chǎn)生影響，但是，在某些情況下個人信息可能被嵌入“網(wǎng)絡(luò)威脅指標”(Cyber Threat Indicator,CTI)或“防御性措施”(Defensive Measure)當中，這就要求相關(guān)立法通過規(guī)范網(wǎng)絡(luò)安全信息共享的程序，明確網(wǎng)絡(luò)安全信息共享參與主體的義務(wù)及相應(yīng)的法律責任，為受害者提供侵權(quán)救濟的法律途徑等，以保障公民的個人隱私。

由此可見，一個法律規(guī)范需要設(shè)定一定的構(gòu)成要件，這種構(gòu)成要件本身就有衡量、斟酌的要求，而斟酌、衡量的目的在于尋求一種合理的平衡[9]。基于此，如何在立法中對網(wǎng)絡(luò)安全信息共享的范圍進行合理界定，確保在實踐中共享的“網(wǎng)絡(luò)威脅指標”(Cyber Threat Indicator,CTI)或“防御性措施”(Defensive Measure)包含個人信息的情形被限定在一種可被接受的“極少數(shù)情況下”，實現(xiàn)網(wǎng)絡(luò)安全與個人隱私之間的動態(tài)協(xié)調(diào)，是網(wǎng)絡(luò)安全信息共享立法始終面臨的重大考驗，同時也將不可避免地成為利益相關(guān)者爭議的焦點問題。

三、美國網(wǎng)絡(luò)安全信息共享主體的條款爭議

(一)美國網(wǎng)絡(luò)安全信息共享主體的條款規(guī)定

美國網(wǎng)絡(luò)安全信息共享主體的條款爭議主要體現(xiàn)在有關(guān)“網(wǎng)絡(luò)安全信息共享的政府參與主體”方面，美國《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)第5(a)(3)條規(guī)定，司法部長應(yīng)當與適當?shù)穆?lián)邦機構(gòu)負責人進行協(xié)商，共同制定網(wǎng)絡(luò)安全信息共享的政策，確保私營企業(yè)與聯(lián)邦政府機構(gòu)共享的“網(wǎng)絡(luò)威脅指標”(Cyber Threat Indicator,CTI)可以通過實時的方式進行下列傳輸：(1)與所有適當?shù)穆?lián)邦政府機構(gòu)以自動的方式共享；(2)在毫不遲延、不受更改且不受其他行動阻礙的情形下，由所有適當?shù)穆?lián)邦政府機構(gòu)實時接收；(3)可以被其他聯(lián)邦政府機構(gòu)獲取?！毒W(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)第2(3)條將“適當?shù)穆?lián)邦政府機構(gòu)”范圍明確界定為“商務(wù)部、國防部、能源部、國土安全部、司法部、財政部和國家情報總監(jiān)辦公室”?；诖耍綘I企業(yè)不僅要向國土安全部自愿且實時地共享“網(wǎng)絡(luò)威脅指標”(Cyber Threat Indicator,CTI)，還要向商務(wù)部、國防部、能源部、司法部、財政部和國家情報總監(jiān)辦公室這些“適當?shù)穆?lián)邦政府機構(gòu)”，甚至包括國家安全局、聯(lián)邦調(diào)查局和網(wǎng)絡(luò)司令部，“實時且毫不遲延、不受任何阻礙”地傳輸“網(wǎng)絡(luò)威脅指標”(Cyber Threat Indicator,CTI)。

(二)美國網(wǎng)絡(luò)安全信息共享主體條款的安全與隱私爭議分析

美國網(wǎng)絡(luò)安全信息共享主體的條款中有關(guān)“與其他聯(lián)邦政府機構(gòu)自動實時共享”的規(guī)定引發(fā)了美國國內(nèi)民權(quán)組織、其他公民自由組織、安全專家和部分學者的強烈反對。其中，民主與技術(shù)中心(The Center for Democracy and Technology,CDT)的隱私、監(jiān)聽和安全研究員杰克·萊朋如克(Jake Laperruque)表示，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)在事實上將允許私營企業(yè)直接與國家安全局實時共享信息；美國公民自由聯(lián)盟(American Civil Liberties Union,ACLU)的立法顧問加布·柔特曼(Gabe Rottman)指出，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)不是一項信息共享法案，而應(yīng)當被稱之為《愛國者法案(2.0版)》，因為其授權(quán)向國家安全局提供大量的個人信息；此外，國土安全部在答復參議員弗蘭肯(Franken)的信件中進一步指出，雖然目前《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)承認需要制定相關(guān)的政策、程序來控制私營企業(yè)與聯(lián)邦政府機構(gòu)之間網(wǎng)絡(luò)威脅信息的自動共享，但是因為對共享的要求規(guī)定為“不受任何遲延或更改”，將導致這些政策和程序不能有效降低某些聯(lián)邦政府機構(gòu)侵犯個人隱私的風險*參見U.S.Department of Homeland Security′s Response to Senator Franken′s July 1,2015 letter.https://www.eff.org/files/2015/08/05/150731dhsresponse.pdf.。

理論上，美國憲法第五修正案和第十四修正案共同確立了正當法律程序原則，要求“非經(jīng)正當法律程序，不得剝奪任何人之生命、自由或財產(chǎn)?！币话愣?，正當法律程序包括程序性和實質(zhì)性正當法律程序兩部分內(nèi)容，而實質(zhì)性正當法律程序是指，立法機關(guān)制定的法律和政府實施的行政行為必須符合正義的要求，在涉及剝奪、限制公民的生命、自由和財產(chǎn)時，必須提供充分的理由以證明其行為的必要性和正當性，否則法院有權(quán)以其違反正當法律程序為由宣布其無效[10]。然而，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)要求接收網(wǎng)絡(luò)威脅指標(Cyber Threat Indicator,CTI)的任何聯(lián)邦政府機構(gòu)在毫不遲延且不更改信息的情況下將其傳輸至美國國防部、國家安全局和非軍事情報機構(gòu)，這意味著法案禁止任何阻礙實時信息共享的程序，例如針對與網(wǎng)絡(luò)安全威脅不相關(guān)的個人信息進行過濾的程序，因為其阻礙了信息的快速共享而被忽略，這在某種程度上將導致私營企業(yè)直接向情報機構(gòu)提供大量的個人可識別信息，嚴重侵害隱私和公民自由*2015年4月20日，包括美國公民自由聯(lián)盟(American Civil Liberties Union,ACLU)、民主與技術(shù)中心(The Center for Democracy and Technology,CDT)、電子前沿基金會(Electronic Frontier Foundation,EFF)在內(nèi)的民間社會組織、安全專家和學者向參議院遞交一封聯(lián)合信(114th April 2015 Oppose CISA Coalition Letter)，其中指出S.754未能確立國內(nèi)網(wǎng)絡(luò)安全的民用控制，法案優(yōu)先于所有法律以確保民用領(lǐng)域的運營企業(yè)與聯(lián)邦政府的任何機構(gòu)共享網(wǎng)絡(luò)威脅指標，其中包括國家安全局。。

“盡管在憲法中可能沒有任何限制性規(guī)定，但立法機關(guān)仍被禁止提出抑善揚惡的法案，提出破壞共和國自由偉大原則和有關(guān)社會契約偉大原則的法案”[11]。《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)授權(quán)私營企業(yè)與“任何其他機構(gòu)或聯(lián)邦政府”共享“網(wǎng)絡(luò)威脅指標”(Cyber Threat Indicator,CTI)和“防御性措施”(Defensive Measure)而“不受任何其他法律條款的限制”，這將違反美國的隱私保護規(guī)定，尤其是美國《存儲通信法》中限制特定服務(wù)商向政府披露電子通信內(nèi)容的規(guī)定。此外，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)將導致執(zhí)法機構(gòu)原本需要獲得監(jiān)聽令狀或法庭命令才可實施的監(jiān)聽活動依據(jù)信息共享的相關(guān)法案可以直接實施，這將與1986年《電子通信隱私法》的正當程序規(guī)定發(fā)生根本沖突[12]，也將為企業(yè)協(xié)助政府監(jiān)聽其信息系統(tǒng)和公民通信提供合法性支持，構(gòu)成對個人隱私利益的根本性侵害。

四、美國網(wǎng)絡(luò)安全信息共享程序的條款爭議

(一)美國網(wǎng)絡(luò)安全信息共享程序的條款規(guī)定

美國網(wǎng)絡(luò)安全信息共享程序的條款爭議主要體現(xiàn)在有關(guān)“聯(lián)邦政府機構(gòu)和私營企業(yè)在信息共享前的個人信息移除程序”方面。具體而言，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)對參與網(wǎng)絡(luò)安全信息共享的聯(lián)邦政府機構(gòu)和私營部門均設(shè)定了共享“網(wǎng)絡(luò)威脅指標”之前的個人信息移除義務(wù)和程序，其中要求聯(lián)邦政府機構(gòu)和私營部門在共享網(wǎng)絡(luò)威脅指標之前主動采取審查措施，以評估此類網(wǎng)絡(luò)威脅指標(Cyber Threat Indicator,CTI)是否包含任何其在共享時可能“知道”的、與網(wǎng)絡(luò)安全威脅不直接相關(guān)的個人信息或可識別特定個人的任何信息，并采取適當?shù)募夹g(shù)措施將其移除*參見《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)第3(b)(1)(E)條和第4(d)(2)條。。

(二)美國網(wǎng)絡(luò)安全信息共享程序條款的安全與隱私爭議分析

值得注意的是，美國網(wǎng)絡(luò)安全信息共享程序的條款中要求“聯(lián)邦政府機構(gòu)和私營企業(yè)在信息共享前移除個人信息”的規(guī)定同樣引發(fā)了美國國內(nèi)民權(quán)組織、其他公民自由組織、安全專家和部分學者的廣泛質(zhì)疑，其在向參議院情報委員會(Select Committee on Intelligence)提交的“反對《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)當前版本的聯(lián)合信”*參見Coalition Letter Opposing the Current Form of the Cybersecurity Information Sharing Act of 2015.中指出，雖然《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)要求私營企業(yè)“審查”并移除可識別特定個人的“網(wǎng)絡(luò)威脅指標”(Cyber Threat Indicator,CTI)，但是其并未設(shè)置合理的審查標準；同時，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)要求私營企業(yè)僅在個人信息“與網(wǎng)絡(luò)安全威脅不直接相關(guān)”的情況下將其移除，這將鼓勵私營企業(yè)基于疏忽而存留數(shù)據(jù)，向政府不必要地泄露無辜旁觀者和受害者的個人信息。相反，美國商會和一些行業(yè)團體卻認為，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)要求聯(lián)邦政府機構(gòu)和私營企業(yè)在信息共享前主動采取適當?shù)膶彶榇胧┰u估網(wǎng)絡(luò)威脅指標是否包含不必要的個人信息，這在一定程度上完善了美國《網(wǎng)絡(luò)安全信息共享法案(2014版)》(S.2588)的相關(guān)規(guī)定，關(guān)注了隱私保護的利益需求。

筆者認為，根據(jù)比例原則的要求，立法者只有在維護公共利益的必要限度內(nèi)才可對公民的權(quán)利加以限制，基于此，立法者在對個人利益與公共利益進行保護與平衡時需要仔細斟酌，特別是面對公共利益與個人利益沖突時更要具體斟酌產(chǎn)生的失衡度，以求得到較為合理的結(jié)果。從廣義上講，比例原則具體通過適當性原則、必要性原則和均衡原則對法律規(guī)范進行審查，其中適當性原則用以審查手段與目的之間的關(guān)系，必要性原則用以審查較小侵害的可能替代手段，均衡要求對所牽涉的相關(guān)價值法益進行輕重的權(quán)衡。在網(wǎng)絡(luò)安全信息共享立法當中，適當性原則要求考慮網(wǎng)絡(luò)安全信息共享這一手段是否有助于保障網(wǎng)絡(luò)安全這一目的的實現(xiàn)；必要性原則要求在同等有效達成網(wǎng)絡(luò)安全目的的手段中選擇對個人隱私利益侵害較小的手段；均衡原則要求所牽涉的網(wǎng)絡(luò)安全保障與個人隱私保護二者利益之間的適度平衡。

實踐中，私營企業(yè)與聯(lián)邦政府機構(gòu)在信息共享前移除與網(wǎng)絡(luò)安全威脅不相關(guān)的個人信息這一程序構(gòu)成網(wǎng)絡(luò)安全信息共享的實施途徑，基于必要性原則，這一程序條款的設(shè)置應(yīng)當遵循“最小侵犯原則”，即政府和私營企業(yè)應(yīng)當實施嚴格的數(shù)據(jù)最小化標準和程序*國土安全部前首席隱私專員瑪麗·艾倫·卡拉漢(Mary Ellen Callahan)在2015年第114屆眾議院“針對總統(tǒng)網(wǎng)絡(luò)安全信息共享建議的產(chǎn)業(yè)期望”的國會聽證上表示，私營企業(yè)在共享網(wǎng)絡(luò)威脅指標時至少可能提供三類信息，即與網(wǎng)絡(luò)安全威脅直接相關(guān)的信息，與網(wǎng)絡(luò)威脅有關(guān)的信息，以及在共享威脅指標時附帶存留的信息，為了限制后兩類信息被共享的數(shù)量，私營企業(yè)應(yīng)當實施嚴格的數(shù)據(jù)最小化標準和程序。。然而，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)允許私營企業(yè)與聯(lián)邦政府機構(gòu)之間共享網(wǎng)絡(luò)威脅指標(Cyber Threat Indicator,CTI)中的個人信息和可識別信息，除非其“確定地知道”這一信息與網(wǎng)絡(luò)安全威脅不直接相關(guān)，但實際上很少會出現(xiàn)這種情況，企業(yè)仍然能夠共享其持有懷疑或強烈相信與網(wǎng)絡(luò)安全威脅不相關(guān)的個人信息，只要其在共享時主觀上對此情況并不明知，這將導致《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)在事實上默認為允許私營企業(yè)共享所有的個人可識別信息*2015年8月4日，美國公民自由聯(lián)盟(American Civil Liberties Union,ACLU)對“《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)的投票建議”(ACLU Vote Recommendation for S.754,the Cybersecurity Information Sharing Act of 2015)中建議不為S.754投票，因為其并未要求從共享的信息中移除所有的個人可識別信息，只有在私營企業(yè)共享時“知道”該信息與網(wǎng)絡(luò)安全威脅不“直接相關(guān)”時才必須移除信息。，甚至包括對于識別或應(yīng)對網(wǎng)絡(luò)安全威脅而言并不必要的個人信息*2015年7月27日，電子前沿基金會(Electronic Frontier Foundation,EFF)聯(lián)合超過68個安全專家、科技公司和民間社會組織向奧巴馬總統(tǒng)遞交一封聯(lián)合信(Coalition Letter CISA 114th President Obama to Veto)，以敦促其盡快否決《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)，因為其中的規(guī)定嚴重威脅隱私和公民自由，未能保護用戶的個人信息，并允許私營企業(yè)與政府共享大量的個人數(shù)據(jù)，甚至包括對識別或應(yīng)對網(wǎng)絡(luò)安全威脅而言并不必要的個人數(shù)據(jù)。。

更為重要的是，網(wǎng)絡(luò)安全信息共享立法的規(guī)范性程序要求是實現(xiàn)安全與隱私協(xié)調(diào)的有效途徑，針對“信息共享前移除個人信息的程序”規(guī)定，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)能夠選擇更加合理的規(guī)定，以符合“最小侵犯原則”的要求。例如，在立法中規(guī)定“私營企業(yè)僅應(yīng)當在個人信息對于識別網(wǎng)絡(luò)安全威脅而言必要時才可以向政府提供此類信息”，而不是《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)中采取的相反界定方式；或者要求政府和私營企業(yè)針對其即將共享的信息是否與網(wǎng)絡(luò)安全威脅相關(guān)這一問題進行實質(zhì)審查，并設(shè)置基于“合理信賴”的審查標準，即只要企業(yè)基于合理信賴，認為共享的個人信息與網(wǎng)絡(luò)安全威脅不相關(guān)，則其應(yīng)當采取積極的技術(shù)措施，移除該個人隱私或個人可識別信息，上述規(guī)定都將從某種程度上嚴格規(guī)范政府和企業(yè)仔細審查其共享信息的義務(wù)和程序，從而將對個人隱私造成的侵害降至更低的程度[13]。

五、美國網(wǎng)絡(luò)安全信息共享立法的安全與隱私 博弈趨勢分析

美國國會參眾兩院推進網(wǎng)絡(luò)安全信息共享立法的歷程表明，安全與隱私的爭議實質(zhì)上是美國國會立法倡導者、政府機構(gòu)、行業(yè)協(xié)會、民權(quán)組織和私營企業(yè)等多方利益主體之間的利益博弈過程。

首先，兼顧安全與隱私的網(wǎng)絡(luò)安全信息共享立法是多方利益主體博弈的積極追求。網(wǎng)絡(luò)安全保障作為美國網(wǎng)絡(luò)安全信息共享的立法目的，與隱私保護之間在一定條件下有必要并且是可以妥協(xié)的。因為“采取一種妥協(xié)或互相調(diào)整的形式可能要比‘二者取其一’的方法更為可取?！盵8]53在美國網(wǎng)絡(luò)安全信息共享立法中，維護網(wǎng)絡(luò)空間生存權(quán)有必要確立網(wǎng)絡(luò)安全利益優(yōu)先的原則，但是對這一原則又必須加以限制和補充，在個人隱私的保有與讓度之間劃出一條分界線，使得出于安全需要而犧牲的利益被限制在必要的限度內(nèi)[14]。正如龐德所言，這便是“盡可能多地滿足一些利益，同時使犧牲和摩擦降低到最小限度。”[15]事實證明，破壞性網(wǎng)絡(luò)攻擊事件的頻發(fā)已經(jīng)促使網(wǎng)絡(luò)安全從事件信息共享發(fā)展為威脅情報共享，美國網(wǎng)絡(luò)政治、經(jīng)濟、軍事等國家安全利益在不斷豐富，公眾對隱私保護的期望也在不斷提升，特別是“斯諾登”事件披露的國家安全局監(jiān)控項目引發(fā)了隱私團體的高度關(guān)注。然而，有關(guān)安全與隱私之間均衡追求的努力從未停止過，美國在“9.11事件”之后通過的《國土安全法》即為最好的例證。

其次，在法案引發(fā)爭議的過程中，美國國會在尋求安全與隱私的均衡努力中起到了良好的引導作用。在外界針對法案提出強烈質(zhì)疑的情況下，參議院情報委員會先后舉行了多次聽證會，為各方利益主體陳述意見并進行質(zhì)疑、辯論提供了一個平臺。在歷時近八個月的爭論中，參議院情報委員會認真聽取各方意見，尤其是美國民權(quán)組織、公民自由團體、安全專家和有關(guān)學者的反對意見，最終形成了多達129項修正案，其中57項修正案由共和黨提出，71項修正案由民主黨提出，以及1項修正案由獨立黨提出，這無疑表明各方主體的利益在立法過程中得到了充分的博弈[16]，從而確保了法案的科學性、可行性和公正合理性。

第三，安全與隱私之間在共享目的、共享參與主體、共享信息范圍和共享程序等四個方面爭議的均衡追求，亟需公權(quán)力與私權(quán)益之間信任機制的建立。信任，是美國政府與私主體之間的永恒話題，正是因為有了對信任的制度追求，美國從憲法到基本法已經(jīng)建立起比較完善的信任法律框架。然而，隨著社會網(wǎng)絡(luò)化，執(zhí)法虛擬化，人民對信任法律提出了新的要求，特別是在對敏感信息的共享方面，信任危機治理的法治訴求日益強烈?；诖?，建立政府和私營部門之間的信任機制，增加政府網(wǎng)絡(luò)安全信息共享政策、程序、措施實施的透明度，為企業(yè)提供有效的責任豁免、成本補償、稅收減免、政府保險等激勵機制就成為重構(gòu)信任的有效途徑，尤其是通過網(wǎng)絡(luò)安全信息共享協(xié)議明確共享信息如何被使用、發(fā)布、保障、存儲、清除和管理，甚至包括不披露協(xié)議、諒解備忘錄、合同和授權(quán)范圍等，以此促使網(wǎng)絡(luò)安全信息共享立法中安全與隱私的動態(tài)均衡。

六、結(jié)論與展望

網(wǎng)絡(luò)安全信息共享立法是法治國家面對當前嚴峻的網(wǎng)絡(luò)安全形勢所做出的理性選擇，其旨在促進政府與私營企業(yè)之間共享網(wǎng)絡(luò)威脅信息，以增強其共同應(yīng)對網(wǎng)絡(luò)安全威脅的能力。實踐中，美國網(wǎng)絡(luò)安全信息共享立法引發(fā)了安全倡導者與私權(quán)擁護者有關(guān)安全與隱私的激烈爭議，具體表現(xiàn)在網(wǎng)絡(luò)安全信息共享目的、范圍、主體和程序的條款規(guī)定等四個方面。通過建立政府和私營部門之間的信任機制，增強政府有關(guān)共享政策、程序、措施實施的透明度，建立激勵機制，簽訂公私共享協(xié)議，能夠有效實現(xiàn)網(wǎng)絡(luò)安全信息共享立法中安全與隱私的動態(tài)均衡。但由于網(wǎng)絡(luò)安全信息共享涉及復雜的技術(shù)因素，因此需要運用技術(shù)與法學的綜合研究視角進行深入剖析，特別是在物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)以及移動互聯(lián)網(wǎng)等新一代技術(shù)利用背景下，圍繞安全與隱私的爭議將有新的表現(xiàn)形式，其中可能催生的立法博弈與均衡將成為值得探討的新問題。

[1] FISCHER E A.Cybersecurity and Information Sharing:Comparison of H.R.1560 and H.R.1731 as Passed by the House[EB/OL].[2015-05-30].http://fas.org/sgp/crs/misc/R43996.pdf.

[2] THE CENTER FOR DEMOCRACY AND TECHNOLOGY.Hearing Before the Senate on Protecting America from Cyber Attacks:the Importance of Information Sharing[EB/OL].[2015-02-10].https://cdt.org/insight/hearing-before-the-senate-on-protecting-america-from-cyber-attacks-the-importance-of-information-sharing/.

[3] 馬民虎.網(wǎng)絡(luò)安全法律問題及對策研究[M].西安：陜西科學技術(shù)出版社，2007：35.

[4] 博登海默.法理學：法律哲學與法律方法[M].鄧正來，譯.北京：中國政法大學出版社，2004：317.

[5] NOJEIM G T.Cybersecurity and Freedom on the Internet[J].Journal of National Security Law & Policy,2010(4):119-137.

[6] 劉星.法律是什么[M].北京：中國政法大學出版社，1998：225.

[7] KESAN J P,HAYES C M.Mitigative Counterstriking:Self-Defense And Deterrence In Cyberspace[J].Harvard Journal of Law & Technology,2012,25:415-527.

[8] 霍布豪斯.自由主義[M].朱曾汶，譯.北京：商務(wù)印書館，1996：53.

[9] 姜昕.公法上比例原則研究[D].長春：吉林大學，2005.

[10] 王媛.美國憲法上的正當法律程序研究[D].濟南：山東大學，2014.

[11] 伯納德·施瓦茨.美國法律史[M].王軍，譯.北京：法律出版社，2011：43.

[12] KELLY B B.Investing in a Centralized Cybersecurity Infrastructure:Why"Hacktivism" Can and Should Influence Cybersecurity Reform[J].Boston University Law Review,2012,92:1663-1711.

[13] SUBCOMMITTEE ON CYBERSECURITY,INFRASTRUCTURE PROTECTION,SECURITY TECHNOLOGIES.Industry Perspectives on the President′s Cybersecurity Information Sharing Proposal[EB/OL].[2015-04-26].http://docs.house.gov/meetings/HM/HM08/20150304/103055/HHRG-114-HM08-Wstate-EggersM-20150304.pdf.

[14] 馬民虎，李江鴻.我國信息安全法的法理念探析[J].西安交通大學學報：社會科學版，2007，27(3)：74-80.

[15] 羅斯科·龐德.法理學：第一卷[M].鄧正來，譯.北京：中國政法大學出版社，2004：26.

[16] CASTRO D.We Need More than a "Good Samaritan" Law for Cybersecurity Information Sharing[J].Cybersecurity Science & Technology,2012(5):161-173.

(責任編輯：馮 蓉)

Security vs.Privacy:Game Analysis of the U.S.Cyber Security Information Sharing Legislation

FANG Ting1,LI Yuxiao2

(1.School of Law,Xi′an Jiaotong University,Xi′an 710049,China；2.International School,Beijing University of Posts and Telecommunications,Beijng 100876,China)

It is the purpose,scope,subject and procedures of U.S.cybersecurity information sharing provisions that triggered intense debate about security and privacy between safety advocates and private rights advocates,in which the terms of the purpose that government use the shared information is to protect the human right to live in cyberspace,the terms of the scope that shared cybersecurity threat information is unreasonably defined,the terms of the subject that government′s participation in information sharing violates the due process,the terms of procedures that remove personal information violates the principle of proportionality.Through the establishment of the trust mechanism between the government and the private sectors,enhancement of transparency on sharing policies,procedures the implemented measures,and adoption of integrated information sharing mode,can effectively achieve game balance between security and privacy in cybersecurity information sharing legislation.

cyber security information sharing; security; privacy; cyber threat indicator

10.15896/j.xjtuskxb.201601009

2015-11-26

國家社會科學基金重大項目(15ZDA047)；國家社會科學基金項目(15BFX050)；信息網(wǎng)絡(luò)安全公安部重點實驗室開放課題項目(C13603)；信息網(wǎng)絡(luò)安全公安部重點實驗室開放課題項目(C13604)

方婷(1987- )，女，西安交通大學法學院博士研究生；李欲曉(1969- )，男，北京郵電大學國際學院教授。

D920.0

A

1008-245X(2016)01-0069-08