歐盟法院“安全港協(xié)議”無效案對(duì)我國網(wǎng)絡(luò)數(shù)據(jù)隱私保護(hù)的啟示

曹雯雯

[摘 要]在美國政府大規(guī)模監(jiān)聽活動(dòng)被曝光后，歐盟法院（ECJ）周二做出里程碑式的裁決，推翻了一項(xiàng)有關(guān)歐美間數(shù)據(jù)傳輸方面的協(xié)議。此前根據(jù)該協(xié)議，成千上萬家企業(yè)能夠輕松地將個(gè)人資料從歐洲傳送至美國，這一裁定不僅對(duì)臉書、谷歌、亞馬遜等美國互聯(lián)網(wǎng)巨頭影響重大，更對(duì)一個(gè)國家將制定怎樣的法律以及兩國或多國之間簽署怎樣的協(xié)議來保護(hù)數(shù)據(jù)傳輸以實(shí)現(xiàn)隱私保護(hù)有著深遠(yuǎn)意義。

[關(guān)鍵詞]歐盟；安全港協(xié)議案；數(shù)據(jù)傳輸；隱私保護(hù)

[中圖分類號(hào)]D99 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1009 — 2234（2016）05 — 0057 — 02

1 安全港協(xié)議案

安全港協(xié)議，是指在2000年12月，美國商業(yè)部就跟歐洲聯(lián)盟簽訂了一份名為“安全港”（Safe Harbor）的協(xié)議。安全港協(xié)議的要求是如果企業(yè)通過網(wǎng)絡(luò)收集個(gè)人的數(shù)據(jù)那么該企業(yè)就必須將收集數(shù)據(jù)一事告知當(dāng)事人， 并承諾會(huì)對(duì)數(shù)據(jù)做適當(dāng)處分，在得到當(dāng)事人同意的情況下，才能將數(shù)據(jù)傳遞給第三方。安全港協(xié)議確立了美國和歐聯(lián)之間隱私手續(xù)的框架。參與協(xié)議的15個(gè)成員國中簽署協(xié)議的企業(yè)都必須服從協(xié)議， 這意味著這些企業(yè)必須經(jīng)個(gè)人授權(quán)后才能被第三方進(jìn)行使用與轉(zhuǎn)移， 其中超過4000家數(shù)據(jù)相關(guān)的美國企業(yè)都簽署了這一協(xié)議， 而未加入安全港的企業(yè)也必須單獨(dú)從各個(gè)歐洲國家獲取授權(quán)方能得到歐洲法律的認(rèn)可。

1.1 案情簡(jiǎn)介

一位名叫Schrems的奧地利公民自2008年以來就在使用Facebook，他發(fā)現(xiàn)Facebook在愛爾蘭的分支機(jī)構(gòu)將收集的他的個(gè)人數(shù)據(jù)傳輸?shù)搅薋acebook在美國的服務(wù)器。2013年發(fā)生的斯諾登事件增強(qiáng)了歐洲國家對(duì)美國隱私保護(hù)的懷疑，他因此向愛爾蘭數(shù)據(jù)保護(hù)委員會(huì)提出申訴，聲稱考慮到大規(guī)模的政府監(jiān)控，美國并沒有對(duì)轉(zhuǎn)移到其國內(nèi)的個(gè)人數(shù)據(jù)提供充分的保護(hù)，并要求該機(jī)構(gòu)行使法定權(quán)力禁止愛爾蘭分公司將他的個(gè)人數(shù)據(jù)轉(zhuǎn)移到美國。愛爾蘭數(shù)據(jù)保護(hù)委員會(huì)否決了他的申訴，認(rèn)為根據(jù)歐委會(huì)于2000年7月26日通過的“2000/520號(hào)歐盟決定”，安全港協(xié)議對(duì)個(gè)人數(shù)據(jù)提供了充分保護(hù)。于是，他向愛爾蘭高等法院提起了訴訟。愛爾蘭高等法院認(rèn)為，監(jiān)控和攔截被轉(zhuǎn)移到美國的個(gè)人數(shù)據(jù)事關(guān)公共利益，而斯諾登事件表明美國國家安全局（NSA）等聯(lián)邦機(jī)構(gòu)過度濫用了其職能，致使歐盟民眾的權(quán)利得不到有效保護(hù)。一旦個(gè)人數(shù)據(jù)被轉(zhuǎn)移到美國，在大規(guī)模以及不加選擇的監(jiān)控和攔截過程中，NSA、FBI等聯(lián)邦機(jī)構(gòu)就可能侵入這些數(shù)據(jù)，所以美國對(duì)個(gè)人數(shù)據(jù)沒能夠提供充分保護(hù)。由于該案涉及到了歐委會(huì)的“2000/520號(hào)歐盟決定”的效力問題，而只有歐盟法院對(duì)歐盟法律的效力擁有最終發(fā)言權(quán)，所以愛爾蘭高等法院提請(qǐng)歐盟法院對(duì)相關(guān)法律問題做出初步裁決。這才有了2015年10月6日的那份無效判決。

1.2 判決結(jié)果

歐洲法院判決的主要調(diào)查結(jié)果如下（引號(hào)表示從裁決摘錄）：

“國家監(jiān)管當(dāng)局的獨(dú)立性的保證是為了確保符合有關(guān)個(gè)人保護(hù)的條款監(jiān)測(cè)的有效性和可靠性。”監(jiān)管當(dāng)局的權(quán)力包括“有效有權(quán)的干預(yù)，如對(duì)數(shù)據(jù)的處理實(shí)行短期或永久禁令，并有權(quán)提請(qǐng)法律訴訟?！卑踩塾?jì)劃“并不能阻止個(gè)人就已經(jīng)轉(zhuǎn)移到或即將轉(zhuǎn)移到第三國的個(gè)人數(shù)據(jù)問題像國家監(jiān)管當(dāng)局提出索賠要求，他們的索賠權(quán)利和自由受到保護(hù)?！薄叭珖ㄔ嚎梢钥紤]安全港計(jì)劃的有效性，但只有歐洲法院可以宣布它是無效的。組織自我認(rèn)證的安全港計(jì)劃下被允許“忽視”安全港原則，以符合美國的國家安全，公共利益，或執(zhí)法要求。安全港計(jì)劃“不符合要求”，以保護(hù)個(gè)人數(shù)據(jù)的歐盟數(shù)據(jù)保護(hù)指令所要求的“足夠”標(biāo)準(zhǔn)，是“相應(yīng)無效”。安全港認(rèn)證的組織應(yīng)注意，還有其他的選擇，以將個(gè)人數(shù)據(jù)傳輸?shù)矫绹?，包括明示同意和使用綁定公司?guī)則或歐盟批準(zhǔn)的示范條款協(xié)議。使用安全港認(rèn)證的供應(yīng)商的組織可能希望與他們的供應(yīng)商討論這些其他的選擇。

歐盟法院于10月6日，宣布與“美國-歐盟安全港協(xié)議”（US-EU Safe Harbor Scheme）有關(guān)的“2000/520號(hào)歐盟決定”（Safe Harbor Decision）無效。歐盟法院在判決書中指出，“美國的國家安全、公共利益和執(zhí)法需求都優(yōu)先于‘安全港協(xié)議，從而使得企業(yè)在面對(duì)上述情況時(shí)，勢(shì)必會(huì)漠視‘安全港協(xié)議中的隱私保護(hù)條款。‘安全港協(xié)議并不能約束政府機(jī)構(gòu)的數(shù)據(jù)審查行為，不能起到充分保護(hù)歐洲公民隱私的作用，因而它是無效的?！憋@然，這份無效判決對(duì)已經(jīng)存在了15年之久的美歐安全港協(xié)議的效力帶來了重大挑戰(zhàn)。成員國數(shù)據(jù)監(jiān)管機(jī)構(gòu)可以因此禁止美國公司在美國收集、存儲(chǔ)其國民的個(gè)人數(shù)據(jù)，哪怕美國公司通過了安全港認(rèn)證。

1.3 案件影響

《安全港協(xié)議》的失效可能會(huì)迫使美國互聯(lián)網(wǎng)企業(yè)和信用卡公司重新制定數(shù)據(jù)存儲(chǔ)方案，將歐盟用戶的個(gè)人數(shù)據(jù)存儲(chǔ)在歐洲，但相關(guān)技術(shù)上的調(diào)整會(huì)消耗大量時(shí)間和資金，最終造成部分企業(yè)因其中提高的成本而撤離歐洲。同一天，美國商務(wù)部也給出表態(tài)，稱對(duì)這一裁決表示失望，因?yàn)椤栋踩蹍f(xié)議》的失效會(huì)對(duì)雙方的經(jīng)濟(jì)發(fā)展造成阻礙。對(duì)于正在進(jìn)行《跨大西洋貿(mào)易與投資伙伴關(guān)系協(xié)議》談判的歐美雙方，這一裁決有可能會(huì)拖累談判的進(jìn)程。事實(shí)上，歐盟方面也作出了相同表態(tài)，除了前面提到的歐委會(huì)副主席蒂默曼斯，歐委會(huì)司法專員朱洛娃也公開表示，希望歐美雙方的數(shù)據(jù)傳輸能夠盡快恢復(fù)正常，因?yàn)樗墙?jīng)濟(jì)發(fā)展的中堅(jiān)力量。據(jù)統(tǒng)計(jì)，歐盟公民個(gè)人數(shù)據(jù)在2011年的價(jià)值就已經(jīng)達(dá)到3150億歐元，預(yù)計(jì)到2020年，這一價(jià)值將會(huì)瘋漲到一萬億歐元，對(duì)歐美雙方都是數(shù)量可觀的重要經(jīng)濟(jì)資源。

2 “安全港協(xié)議案”對(duì)我國網(wǎng)絡(luò)信息隱私保護(hù)的啟示

2.1 數(shù)據(jù)傳輸對(duì)網(wǎng)絡(luò)信息隱私保護(hù)的威脅

當(dāng)前，我國對(duì)大數(shù)據(jù)的保護(hù)能力還十分有限，數(shù)據(jù)被惡意使用的現(xiàn)象仍然難以掌控。我國個(gè)人和企業(yè)對(duì)于數(shù)據(jù)資源的保護(hù)意識(shí)，還比較薄弱。隨著電子商務(wù)、社交網(wǎng)絡(luò)、物聯(lián)網(wǎng)、云計(jì)算、以及移動(dòng)互聯(lián)網(wǎng)的全面普及，我國數(shù)據(jù)資源與全球的數(shù)據(jù)資源一樣，正在呈現(xiàn)爆發(fā)性、多樣性的增長(zhǎng)態(tài)勢(shì)。但是，由于對(duì)數(shù)據(jù)保護(hù)認(rèn)識(shí)的不足，以及對(duì)個(gè)人電腦安全防護(hù)的不當(dāng)，個(gè)人或企業(yè)的隱私數(shù)據(jù)暴露在互聯(lián)網(wǎng)上的現(xiàn)象十分普遍。2011年，我國最大程序員網(wǎng)站的600萬個(gè)人信息和郵箱密碼被黑客公開，進(jìn)而引發(fā)了連鎖的泄密事件。2013年，中國人壽80萬客戶的個(gè)人保單信息發(fā)現(xiàn)被泄露。這些事件都凸顯出在大數(shù)據(jù)時(shí)代，信息安全管理所面臨的、前所未有的挑戰(zhàn)。數(shù)據(jù)的爆炸式增長(zhǎng)，數(shù)據(jù)來源的極其豐富和數(shù)據(jù)類型的多種多樣，使數(shù)據(jù)存儲(chǔ)量更龐大，對(duì)數(shù)據(jù)展現(xiàn)的要求更高。而目前我國傳統(tǒng)的數(shù)據(jù)庫，還難以存儲(chǔ)如此巨大的數(shù)據(jù)量。在大數(shù)據(jù)的分析處理方面，由于針對(duì)具體的應(yīng)用類型，需要采用不同的處理方式，因此必須通過建立高級(jí)大數(shù)據(jù)的分析模型，來實(shí)現(xiàn)快速抽取大數(shù)據(jù)的核心數(shù)據(jù)、高效分析這些核心數(shù)據(jù)并從中發(fā)現(xiàn)價(jià)值，而這些數(shù)據(jù)分析能力我國還很欠缺。

2.2 網(wǎng)絡(luò)信息隱私保護(hù)的措施

歐盟法院在判決書中指出，“美國的國家安全、公共利益和執(zhí)法需求都優(yōu)先于‘安全港協(xié)議，從而使得企業(yè)在面對(duì)上述情況時(shí)，勢(shì)必會(huì)漠視‘安全港協(xié)議中的隱私保護(hù)條款?！踩蹍f(xié)議并不能約束政府機(jī)構(gòu)的數(shù)據(jù)審查行為，不能起到充分保護(hù)歐洲公民隱私的作用，因而它是無效的?！迸c歐美不同，我國擁有龐大的人口資源和大數(shù)據(jù)應(yīng)用市場(chǎng)，市場(chǎng)復(fù)雜度高且變化多端，使我國成為世界上最復(fù)雜的大數(shù)據(jù)國家。我國互聯(lián)網(wǎng)用戶，通過利用互聯(lián)網(wǎng)上的海量數(shù)據(jù)來提升自身的商業(yè)價(jià)值和科研價(jià)值。我國企業(yè)用戶，也已積累了大量的數(shù)據(jù)信息資產(chǎn)，如產(chǎn)品數(shù)據(jù)、運(yùn)營(yíng)數(shù)據(jù)和價(jià)值鏈數(shù)據(jù)等。隨著我國企業(yè)信息化系統(tǒng)的深入部署和逐步完善，大數(shù)據(jù)應(yīng)用能力所引發(fā)的商業(yè)模式的改變，將直接影響我國企業(yè)的競(jìng)爭(zhēng)能力。為了解決這一矛盾，結(jié)合歐美的經(jīng)驗(yàn)，我國應(yīng)當(dāng)結(jié)合自己的國情建立一套完善的法制規(guī)范管理網(wǎng)絡(luò)信息安全，同時(shí)結(jié)合現(xiàn)在科技實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的監(jiān)管，另一方面企業(yè)也應(yīng)出臺(tái)相應(yīng)政策配合剛剛國家對(duì)網(wǎng)絡(luò)安全的保護(hù)。

2.2.1 加快制定信息化基本法律

加快制定《網(wǎng)絡(luò)安全法》、《電信法》、《電子商務(wù)法》、《個(gè)人信息保護(hù)法》、《政府?dāng)?shù)據(jù)開放條例》等法律法規(guī)，研究制定《信息化推進(jìn)基本法》、《電子政務(wù)法》、《互聯(lián)網(wǎng)信息內(nèi)容服務(wù)與管理法》、《密碼法》等信息化基本法律，實(shí)現(xiàn)信息化法律關(guān)系主要依靠基本法律支撐的結(jié)構(gòu)性改變。同時(shí)，加快對(duì)不適應(yīng)信息化發(fā)展的現(xiàn)行法律法規(guī)的修改與廢止，提高信息化立法的質(zhì)量，推動(dòng)信息化立法的不斷完善。

2.2.2 優(yōu)化信息化執(zhí)法體制與機(jī)制

改革與完善信息化執(zhí)法體制，推進(jìn)政府職能整合，著力解決執(zhí)法權(quán)交叉、執(zhí)法權(quán)限模糊、管轄權(quán)不明確等問題；加大違法行為的法律責(zé)任，改變違法成本過低現(xiàn)象；建立快速處理各類爭(zhēng)議的行政執(zhí)法與司法裁判程序，迅速處理與處置各種法律爭(zhēng)議問題；充分利用市場(chǎng)機(jī)制、私法執(zhí)法、信息披露等多元化執(zhí)法方式，處理好行政執(zhí)法與刑事執(zhí)法的有效銜接，提高執(zhí)法效果，形成執(zhí)法合力；大力培育行業(yè)自律等社會(huì)治理機(jī)制，形成網(wǎng)絡(luò)社會(huì)多元治理格局。

2.2.3 大力加強(qiáng)信息化執(zhí)法能力建設(shè)

加強(qiáng)現(xiàn)行法律在信息化環(huán)境下的立法、執(zhí)法與司法解釋，充分利用好現(xiàn)有立法資源；加強(qiáng)對(duì)國家機(jī)關(guān)工作人員信息化知識(shí)培養(yǎng)與教育，培養(yǎng)復(fù)合型人才，提高信息化應(yīng)用能力；推廣負(fù)面清單管理方式，將不增設(shè)新的行政許可或者其他事前管理機(jī)制作為電子商務(wù)的基本原則，為互聯(lián)網(wǎng)產(chǎn)業(yè)與電子商務(wù)發(fā)展提供寬松的制度環(huán)境；通過執(zhí)法方式改革與手段創(chuàng)新，建立實(shí)時(shí)風(fēng)險(xiǎn)監(jiān)測(cè)、預(yù)警與預(yù)測(cè)，推行過程監(jiān)管，加強(qiáng)部門信息共享與執(zhí)法合作；擴(kuò)大信息化執(zhí)法國際交流與合作，推動(dòng)建立公正、透明國際互聯(lián)網(wǎng)治理體系；規(guī)范執(zhí)法程序，明確裁量基準(zhǔn)，強(qiáng)化執(zhí)法監(jiān)督，并通過嚴(yán)格的行政執(zhí)法責(zé)任追究，切實(shí)解決執(zhí)法不作為、亂作為與執(zhí)法謀私等現(xiàn)象。

2.2.4 開展網(wǎng)絡(luò)社會(huì)自覺守法意識(shí)宣傳與教育

以多種形式開展信息化法律宣傳教育，弘揚(yáng)法治價(jià)值，促進(jìn)社會(huì)公平正義，處理好維穩(wěn)與維權(quán)的關(guān)系；提倡文明上網(wǎng)、理性上網(wǎng)、公平競(jìng)爭(zhēng)、合法經(jīng)營(yíng)、規(guī)范執(zhí)法，減少或杜絕選擇性執(zhí)法現(xiàn)象；全面樹立“網(wǎng)絡(luò)無邊界、法律無死角”觀念，提高全社會(huì)自覺守法意識(shí)。

〔參 考 文 獻(xiàn)〕

〔1〕馬芳.美歐跨境信息《安全港協(xié)議》的存廢及影響〔J〕. 中國信息安全.2015，（11）.

〔2〕王輝.歐盟與美國達(dá)成“信息安全港”協(xié)議〔J〕.全球科技經(jīng)濟(jì)瞭望.2000，（11）.

〔3〕張新寶.隱私權(quán)的法律保護(hù)〔M〕.北京：群眾出版社.1997：67.

〔4〕姜振穎.論隱私權(quán)及其法律保護(hù)〔J〕.開封：河南大學(xué)學(xué)報(bào)：社科版，2004，（05）：51.

〔責(zé)任編輯：陳玉榮〕