淺析歐盟法院“安全港協(xié)議”案

馬俊

[摘 要]2015年10月，歐盟法院做出了一項里程碑式的裁決：安全港協(xié)議是無效的。由此判決引發(fā)了大數(shù)據(jù)時代下，人們對于各國間數(shù)據(jù)安全的熱議。這不僅跟個人信息的商業(yè)價值息息相關(guān)，對國家安全也有十分重要的影響。本文首先回顧了安全港協(xié)議案的背景及案件始末，而后立足于該案對各方的影響，總結(jié)出中美簽訂網(wǎng)絡(luò)協(xié)議的經(jīng)驗教訓(xùn)。

[關(guān)鍵詞]安全港協(xié)議；無效裁決；網(wǎng)絡(luò)安全；合作與發(fā)展

[中圖分類號]D99 [文獻標(biāo)識碼] A [文章編號] 1009 — 2234（2016）05 — 0055 — 02

一、案件源起

本案第一次引起公眾注意是在2014年，一位奧地利隱私保護人士馬克斯？施雷姆斯（Max Schrems）發(fā)起了一項針對Facebook歐洲子公司的大范圍集體訴訟，他指控Facebook違背了歐洲數(shù)據(jù)保護法律。施雷姆斯在維也納商業(yè)法院向Facebook也提起了這項訴訟。這些行動已經(jīng)促使Facebook刪除了臉部識別和過多的用戶數(shù)據(jù)。不過作為歐洲唯一有權(quán)處罰Facebook的機構(gòu)，愛爾蘭監(jiān)管機構(gòu)并沒有按照施雷姆斯的要求推動Facebook其他改革。當(dāng)時，施雷姆斯表示：“這起案件已經(jīng)持續(xù)了三年，但到目前為止仍然沒有做出判決。他們總是承諾“下個月”或“很快”做出決定，但三年來這些投訴始終沒有帶來具有約束力的成果?！比ツ?，美國和加拿大以外的任何Facebook用戶都可以通過fbclaim.com網(wǎng)站加入這位名叫馬克斯？施雷姆斯（Max Schrems）的法律專業(yè)學(xué)生發(fā)起的集體訴訟。

雖然施雷姆斯之前的訴訟已對社交網(wǎng)絡(luò)公司產(chǎn)生相當(dāng)大的影響，迫使Facebook放棄面部識別程序，相關(guān)用戶也可以要求Facebook公布數(shù)據(jù)。但是，施雷姆斯和其他Facebook用戶認(rèn)為，F(xiàn)acebook在其他許多方面都不尊重歐盟隱私法，其中包括參與美國國家安全局的“棱鏡”項目，即Facebook通過使用有“點贊”按鈕的頁面跟蹤任何訪問這一頁面的用戶，幫助其收集公共互聯(lián)網(wǎng)使用的個人數(shù)據(jù)。另外，F(xiàn)acebook也未經(jīng)用戶同意，私下使用多種用戶數(shù)據(jù)。迫于愛爾蘭當(dāng)局對官司施加的政治壓力，施雷姆斯選擇在奧地利對Facebook提起新一輪起訴。由于歐盟的運作方式，奧地利的判決仍適用于Facebook在愛爾蘭的業(yè)務(wù)。安全港協(xié)議法律問題由此產(chǎn)生。

二、歐盟法院的裁決要點

歐盟法院于十月六號做出了對此案件裁決，并在判決書中列明了一百多條判決理由。主要的判決依據(jù)總結(jié)如下：國家監(jiān)管當(dāng)局的獨立擔(dān)保旨在確保對于個人隱私保護的監(jiān)控的有效性和可靠性；安全港協(xié)議不能保護個人資料已經(jīng)或可能被轉(zhuǎn)移到第三國的人員免于接受國家監(jiān)管當(dāng)局提出的要求；安全港計劃沒有規(guī)定會保護歐盟公民關(guān)于美國當(dāng)局訪問他們的個人資料轉(zhuǎn)移到美國，只涉及商業(yè)爭端解決條款；安全港計劃不符合歐盟數(shù)據(jù)保護指令在保護個人數(shù)據(jù)方面的標(biāo)準(zhǔn)所需的要求，所以相應(yīng)的“無效”。

《歐盟數(shù)據(jù)保護指令》規(guī)定，原則上僅在第三國確保適當(dāng)程度的數(shù)據(jù)保護的情況下，才可向第三國進行個人數(shù)據(jù)傳輸。歐盟法院裁決認(rèn)定，即便歐委會認(rèn)為第三國可確保適當(dāng)程度的保護，國內(nèi)監(jiān)管機構(gòu)在處理主張時，還必須能完全獨立地審查向第三國進行個人數(shù)據(jù)傳輸是否符合《數(shù)據(jù)保護指令》。因此，國家數(shù)據(jù)保護機構(gòu)不受歐盟委員會2000年7月安全港決議的約束。法官還認(rèn)為，歐盟委員會理應(yīng)查明美國依照其國內(nèi)法或其國際承諾在事實上確保其對基本權(quán)利的保護程度，在本質(zhì)上等同于歐盟數(shù)據(jù)保護指令項下歐盟地區(qū)對基本權(quán)利的保護。但歐委會僅僅對安全港計劃進行了審查，并未將美國政府機構(gòu)不受協(xié)議約束這一情況考慮在內(nèi)。美國的國家安全法律允許美國政府機構(gòu)可以獲取存儲于美國服務(wù)器中的個人數(shù)據(jù)。該判決當(dāng)前產(chǎn)生的結(jié)果是，涉及本案的愛爾蘭監(jiān)管機構(gòu)需依照歐盟數(shù)據(jù)保護指令，決定是否應(yīng)基于美國無法提供適當(dāng)程度的個人數(shù)據(jù)保護這一理由，暫停向美國傳輸臉譜公司歐洲用戶的數(shù)據(jù)。也就意味著，安全港協(xié)議被歐洲法院的判決推翻之后，雖然該裁定不會自動終止數(shù)據(jù)傳輸?shù)骄惩?，但如果公司沒有充分保護用戶數(shù)據(jù)，它允許各國監(jiān)管機構(gòu)暫停數(shù)據(jù)傳輸。

三、案件影響及各方態(tài)度

“我非常認(rèn)同該法院的裁決”施雷姆斯則表示這是對美國監(jiān)控的重大打擊，并稱這清楚地表明，該裁決繪制了一條明確的界限，它明確對人民的監(jiān)控違反了我們的基本權(quán)力，美國企業(yè)不能幫助美國間諜活動違反歐盟基本權(quán)利。同時，施雷姆斯補充說道，“這個判例法將是一個里程碑，這將對執(zhí)行類似監(jiān)控的歐盟成員國帶來憲法挑戰(zhàn)。”

盡管安全港協(xié)議失效被認(rèn)為是隱私和監(jiān)控的勝利，但給企業(yè)帶來的是一系列復(fù)雜問題。分析人士認(rèn)為，歐洲法院的判決將使依賴于《安全港協(xié)議》的企業(yè)不得不重新制定數(shù)據(jù)存儲方案，因此一部分美國企業(yè)如果要執(zhí)行新規(guī)定，將歐洲用戶的數(shù)據(jù)存儲在歐洲，需要在技術(shù)上做出大幅調(diào)整，從而耗費大量時間和金錢，還有一種可能就是美國企業(yè)因為在歐洲的運營受限可能正式撤離歐洲，讓歐洲用戶在登錄時簽署個人授權(quán)，從而登錄美國網(wǎng)頁，那么它的運營方式也將會不得不采取一些新的改變。

從歐盟的立場來看，《安全港協(xié)議》的廢除無疑樹立了其堅決的姿態(tài)。但是后續(xù)影響的可不只是美國。一方面是歐盟貿(mào)易的受損，另一方面，歐盟各國還要面臨國內(nèi)眾多美國科技公司用戶的不滿和指責(zé)。歐盟委員會副主席蒂默曼斯在宣布裁定當(dāng)天表示，盡管歐洲法院作出了判決，但歐美雙方企業(yè)間的數(shù)據(jù)交換并不會就此停止，歐盟會加快與美國制訂新的數(shù)據(jù)傳輸協(xié)議，代替被法院裁定無效的《安全港協(xié)議》。2016年2月2日，歐盟委員會宣布，歐盟和美國已經(jīng)就兩地公司之間傳輸個人數(shù)據(jù)涉及的隱私保護問題達成新的框架協(xié)議，即歐美隱私保護（EU-US Privacy Shield）協(xié)議。該協(xié)定還需經(jīng)過一些機構(gòu)的批準(zhǔn)才能生效。新協(xié)議將要求美國公司履行更加嚴(yán)格的義務(wù)來保護歐洲的個人數(shù)據(jù)。希望從歐洲得到個人數(shù)據(jù)的美國公司需要承諾關(guān)于個人數(shù)據(jù)如何處理和個人權(quán)利得到保障的“穩(wěn)健義務(wù)”。美國商務(wù)部將監(jiān)控企業(yè)自行發(fā)布并接受聯(lián)邦貿(mào)易委員會依照美國法律執(zhí)行的承諾書。另外，任何處理來自歐洲人力資源數(shù)據(jù)的公司必須承諾遵守歐洲數(shù)據(jù)保護相關(guān)機構(gòu)的決定。歐盟委員會也表示，新協(xié)定滿足了歐洲法院裁定中的要求。

四、互聯(lián)網(wǎng)時代與數(shù)據(jù)信息安全

近年來，智慧城市建設(shè)大大加速了大數(shù)據(jù)的生產(chǎn)，由于城市公共信息平臺匯集了城市的地理空間信息、人口信息、經(jīng)濟信息、信用信息、政務(wù)信息等各種信息資源，因此，這些大數(shù)據(jù)無疑已成為國家重要的戰(zhàn)略資源。在互聯(lián)網(wǎng)時代，用

戶個人數(shù)據(jù)時刻面臨被非法獲取或濫用的風(fēng)險，任何人都有成為網(wǎng)絡(luò)“透明人”的可能。

很多國家都已經(jīng)認(rèn)識到這個嚴(yán)峻的問題，歐盟則在這方面有獨特的經(jīng)驗。歐盟在 1995 年10 月就通過了《歐盟議會和歐洲委員會就有關(guān)處理和自由轉(zhuǎn)移私人數(shù)據(jù)問題保護個人的指南》，明確禁止將成員國私人數(shù)據(jù)傳輸?shù)綄﹄[私權(quán)保護不力的國家。1998 年 10月，歐盟正式批準(zhǔn)生效了具有法律性質(zhì)的《個人數(shù)據(jù)采集和傳輸行為保護指令》。2012年，歐盟通過修改“數(shù)據(jù)保護指令”，又把個人數(shù)據(jù)保護制度向前推動了一步。相比之下，我國雖然在數(shù)據(jù)信息安全領(lǐng)域的立法起步不晚，但是發(fā)展情況與發(fā)達歐盟及其他發(fā)達國家相差甚遠。我國1994年通過國務(wù)院發(fā)布《中華人民共和國信息系統(tǒng)保護安全條例》，該條例是計算機信息系統(tǒng)安全保護的法律基礎(chǔ)。但我國現(xiàn)行的信息安全立法的現(xiàn)狀仍不樂觀：信息安全基本法缺位，相關(guān)的法律規(guī)定大部分仍然散見于各個部門法當(dāng)中、缺乏統(tǒng)一的立法理念、立法層級較低、立法結(jié)構(gòu)不合理。并且對于目前云計算和進一步全球化趨勢將會帶來的信息安全風(fēng)險的保障作用都十分有限。

因此，在目前大數(shù)據(jù)的時代，數(shù)據(jù)安全問題不僅是歐美兩方面臨的爭議問題，更何況在我國立法并不完善的情況下，這對于我國的網(wǎng)絡(luò)安全更是一個嚴(yán)峻挑戰(zhàn)。以我國用戶量最多的阿里巴巴公司為例，日前，阿里巴巴集團副總裁石東偉表示：“大數(shù)據(jù)就像我們的生命線一樣?！钡拇_，經(jīng)過十六年的運營，阿里巴巴平臺沉淀了大量的商業(yè)數(shù)據(jù)資源。一方面，阿里巴巴的消費數(shù)據(jù)覆蓋之廣、累積之深，全球沒有任何一家公司和機構(gòu)能出其右；另一方面，阿里巴巴的云計算技術(shù)位居業(yè)界翹楚，其數(shù)據(jù)挖掘能力幾乎獨步江湖。這兩項結(jié)合起來，使阿里巴巴能夠輕而易舉地為其用戶建立一個細致的個人檔案和并進行精準(zhǔn)的行為預(yù)測。然而，需要補充的是，大數(shù)據(jù)不僅是阿里的生命線，更是國家安全的生命線。因此，換一個角度來說：從國家的信息安全的出發(fā)，阿里的大數(shù)據(jù)有多可怕。

五、安全港協(xié)議案對中美未來網(wǎng)絡(luò)協(xié)議的啟示

網(wǎng)絡(luò)安全是全球性挑戰(zhàn)，沒有哪個國家能夠置身事外、獨善其身，維護網(wǎng)絡(luò)安全是國際社會的共同責(zé)任。我國近年來也逐步加強對網(wǎng)絡(luò)安全這一領(lǐng)域的重視，國家主席習(xí)近平在烏鎮(zhèn)出席第二屆世界互聯(lián)網(wǎng)大會開幕式演講中更是明確提出了“網(wǎng)絡(luò)主權(quán)”的新概念。網(wǎng)絡(luò)空間是人類共同的活動空間，網(wǎng)絡(luò)空間前途命運應(yīng)由世界各國共同掌握。

網(wǎng)絡(luò)安全也一直是當(dāng)前中美關(guān)系中的一個焦點問題。早在2010年，中美圍繞谷歌事件的交鋒就涉及到網(wǎng)絡(luò)自由的問題；習(xí)近平接任國家主席后，奧巴馬就在致電表示祝賀時專門提及網(wǎng)絡(luò)安全問題；在13年6月初加州安納伯格莊園舉行的習(xí)奧會上，網(wǎng)絡(luò)安全成為中美兩國首腦會晤的一個重點議題。此次，歐美安全港協(xié)議被判失效，再次讓網(wǎng)絡(luò)安全成為中美之間的熱點話題。截至目前為止，美國主要在網(wǎng)絡(luò)安全的兩個層面上指責(zé)中方：一是所謂互聯(lián)網(wǎng)自由問題，指責(zé)中方對于互聯(lián)網(wǎng)的管制；二是所謂中方尤其是中國政府支持的針對美國企業(yè)服務(wù)器的黑客行為。

目前，對于中美兩方訂立網(wǎng)絡(luò)仍然存在許多問題和障礙。首先，因為中美的信息化發(fā)展階段不同，采取的策略也有所不同，之間的差異也必然遠超歐美。其次，中美兩國在歷史文化傳統(tǒng)、意識形態(tài)、發(fā)展道路等方也存在著巨大差異。在國際社會上，中國“網(wǎng)絡(luò)主權(quán)”的概念得到了很多國家的支持和認(rèn)同。但美國則認(rèn)為，互聯(lián)網(wǎng)空間應(yīng)該是一個國際公域，應(yīng)該保持無限制的開放和自由，并鼓吹互聯(lián)網(wǎng)世界所謂的公開、透明和人權(quán)。最后，思維僵化嚴(yán)重阻礙中美客觀全面理解對方。只有雙方相互理解對方，才能通過尋求共識，達成雙方都能接受和滿意的合作框架。這些即是雙方在未來需要作出調(diào)整和改變的。中美兩國簽訂網(wǎng)絡(luò)的協(xié)議內(nèi)容，很可能是把目前各個大國已經(jīng)有共識的內(nèi)容確定下來，而這個協(xié)議將不僅僅是中美兩國的，在今后很可能成為全球網(wǎng)絡(luò)空間共同準(zhǔn)則的范本，因此具有十分重要的意義。

〔參 考 文 獻〕

〔1〕王倩，朱宏峰，劉天華.大數(shù)據(jù)安全的現(xiàn)狀與發(fā)展〔J〕.計算機與網(wǎng)絡(luò)，2013，（06）.

〔2〕趙陽.大數(shù)據(jù)時代對國家安全的挑戰(zhàn)及對策研究〔D〕.山東師范大學(xué)碩士論文，2015，（05）.

〔3〕儲昭根.淺議“棱鏡門”背后的網(wǎng)絡(luò)信息安全〔J〕.國際觀察，2014，（02）.〔責(zé)任編輯：陳玉榮〕