罗力

[摘 要]随着网络的发展，互联网数据传输的发展得到了质的跳跃。网络数据的传输突破了国与国、界与界的传统束缚。2015年，欧洲法院裁定安全港协议无效的裁决引发如何保护网络数据安全的讨论。中国作为世界网络大国和强国，进一步加强网络数据安全的维护和发展，不仅对提升国际社会共同应对网络安全问题的信心，也对其他国家开展网络安全合作提供借鉴有着重要意义。同时，对中美关系的全面发展也不无裨益。未来两国应认真了解和充分尊重彼此在网络安全领域的核心利益和重大关切，同时尽量避免将所有议题都与网络安全挂钩的“泛安全化”倾向，从双方都认同或不存在根本分歧的领域入手开展务实合作，推动中美网络安全迈向新的台阶。

[关键词]安全港协议；网络安全；中美；合作发展

[中图分类号]D99 [文献标识码] A [文章编号] 1009 — 2234（2016）05 — 0053 — 02

2000年，欧盟委员会与美国签订安全港协议，确立了折衷处理美国和欧盟之间隐私手续的框架。2015年10月6日，欧洲法院做出裁决，美欧签订的安全港协议，因无法充分保证欧洲个人资料的安全，予以撤销。欧美之间网络数据传输这一合法通道被关闭，无疑对脸书、谷歌等超过5000家受到协议保护的美国网络公司来说是一记重击。

一、案例简介

欧盟与美国于16年前签订了安全港协议，允许网络运营商忽略欧盟各国法律差异，在美国与欧盟之间合法传输网络数据。脸书、谷歌等5000多家美国网络科技公司的欧洲运营模式都在该协议下受到保护，得以将欧洲用户数据送往美国存储及分析。2013年，“棱镜门”曝光，美国中情局前雇员斯诺登爆料，脸书等公司在“棱镜”项目中和美国情报机构串通，允许情报机构使用并监视普通用户数据，引起欧洲社会各界担忧和不满。在此背景之下，施雷姆斯率先向脸书欧洲总部所在地爱尔兰当局提出申诉，控告脸书非法追踪用户数据，参与美国情报机构的监控计划。爱尔兰主管部门以安全港协议为由驳回了施雷姆斯的申诉，施雷姆斯继续将申诉提交到司法机构，最终由欧洲法院做出了判决。

2015年10月6日，欧洲法院支持了施雷姆斯的申诉，裁定有关跨大西洋地区的数据传送安全港协议无效。欧洲法院在裁定中指出，欧盟的数据保护法规规定，欧盟公民的个人数据不能传输至非欧盟国家，除非该非欧盟国家能为这些数据提供有效保护。鉴于美国未能达到上述要求，欧美之间签订的安全港协议无效，脸书等美国公司应立即停止将收集到的欧洲用户个人数据传输至美国。同时，欧洲法院还裁定爱尔兰数据保护部门要详尽地处理施雷姆斯的申诉。

二、案例评析

1995年，欧盟通过《个人数据处理和自由流动中个体权利保护指令》，对个人数据提供了高程度的保护。《指令》25条规定，“只有当第三方国家对个人数据提供充分保护时，才允许将欧盟民众的个人数据存储或者传输到该第三方国家。”这一规定实际禁止向欧盟以外的第三方国家转移个人数据，除非欧盟发现该第三方国家的国内法或者国际承诺可以提供充分保护。《指令》将这一权力赋予了欧盟委员会，由欧委会发现并决定第三方国家的国内法或者国际承诺是否可以提供充分保护。对不能提供充分保护的第三方国家，欧盟法律提供了两个变通规定，即标准合同条款和公司内部规则。数据发送者和数据接收者签署欧盟与个人数据传输和保护有关的格式合同，或者相关实体采取公司内部规则保障个人数据安全，以此来达到充分保护要求。由于美国未能达到欧盟《指令》的充分保护要求，美国和欧盟于2000年达成了一个折衷的安全港协议，拥有发现和确认第三方国家是否达到充分保护要求的欧委会通过“2000/520号欧盟决定”，确认安全港隐私原则以及附属条款对个人数据的保护达到了欧盟指令的充分保护要求。美国机构可以自愿加入安全港协议，遵守并执行安全港隐私原则，并公开宣布其符合安全港协议的相关要求。获得安全港认证的美国机构可以享受安全港协议带来的一系列好处，包括在美国境内收集、存储欧盟公民的个人数据。

欧盟法院10月6日的裁决虽然不直接针对安全港协议，但是却为安全港协议的前途笼罩上了一层疑云。欧委会副主席表示，尽管欧盟法院作出了判决，但欧美双方企业间的数据交换并不会就此停止，欧盟会加快与美国制订新的数据传输协议。现阶段，有关企业可以运用欧盟数据保护法律之下的其他机制，继续进行跨大西洋数据传输。在此之前，与安全港协议有关的“2000/520号欧盟决定”约束所有欧盟成员国，美国公司只要获得安全港的认证，就可以在美国收集、存储以及传输欧盟公民的个人数据；而该决定的无效意味着安全港协议不再能够为美国企业提供之前的种种好处，安全港协议有点被架空的意味。目前，该判决对美欧个人数据跨境流动的潜在影响，以及是否会使美国公司在美国收集、存储欧盟公民的个人数据变得更加困难，还有待进一步观察。脸书等很多网络公司持观望态度，因为除了加入安全港，这些公司还有别的备选方案，如借助欧盟标准合同条款、公司内部规则或者其他承诺，来满足欧盟指令的充分保护要求。但是，很多做跨国业务的美国中小企业势必会受到一定程度的影响。

不少专家认为欧洲法院裁定安全港协议失效的影响将十分深远。有专家指出，欧洲法院的这一判决意味着原来所有按照安全港协议传输数据的美国科技公司，都必须改变其数据传输方式，受影响的企业将高达4500多家。有专家认为，如果美国企业执行新规定，将欧洲用户的数据存储在欧洲，需要在技术上做出大幅调整，耗费大量时间和资金。有专家指出，该裁决有可能对欧洲经济带来损害。美国商务部也表示安全港协议的失效会对双方的经济发展造成阻碍。

今年2月，欧盟和美国代表重新就欧洲用户的数据跨境交换问题达成一致意见。根据新协议，类似谷歌和亚马逊等公司将不再受到欧盟个人数据保护条例的限制，可跨越太平洋将用户信息传回至美国。不过新协议仍需要获得政治上的批准。欧洲数据保护部门表示会限制数据传输。欧委会表示，新的隐身保护条例将会让美国企业在保护欧洲公民个人数据上承担更多的责任，并且也会要求美国相关部门提供更严格的监视和执行，同时“我们第一次收到了来自美国的书面保证，其中详细说明了美方将如何限制和保护他们的监视项目”。

三、对中国未来网络安全发展的启示

除欧盟和美国代表重新就欧洲用户的数据跨境交换问题达成一致意见。俄罗斯也计划在2016年增加本地化数据审计，并计划实施约2000个监控计划，可见各国均在时代的推动下，不断加强对网络安全的保护。

“棱镜门”事件及安全港协议失效的裁决，对于中国网络安全的进程产生了巨大启示。中美作为世界上的网络大国，如果两国合作顺利，不仅能够提升国际社会共同应对网络安全问题的信心，为其他国家开展网络安全合作提供借鉴；同时，对中美关系的全面发展也不无裨益。

我国法律起步相对较晚，而对于网络数据的研究和保护更是一个全新的领域。而美国对于数据保护的立法已经相对完善。美国作为行业自律模式的代表，政府积极引导私人企业开发保护隐私的自律机制。通过建设性行业指引、网络隐私认证计划、技术保护模式、安全港模式等手段对个人数据进行多方面保护。网络打破了国与国的传统界限，网络个人数据的保护也必将加强国际间合作。为了进一步加强与美国在网络协议方面的进展，我国首先要加强自身对网络个人数据的保护。

第一，采取立法模式和行业自律模式相结合的安全港模式。即可以依据不同行业的特点，进行灵活保护；又可以实现双重监督。行业自律可以作为一种最初的和产业层面的申诉场所，实现网络信息隐私权的基础保护，法律则是网络信息隐私权保护的最终手段，使网络用户的信息隐私权保护更有保障，有法可依。

第二，确立网络个人数据的法律地位，明确侵犯网络信息隐私权的行为构成与责任形式，加强信息安全的法律调控。从我国现有的法律体制看，对网络个人数据的立法规定零星杂乱。这对于网络个人数据的保护，尤其是新兴的网络个人数据的保护是极为不利的。这就要求我们立法应该作长远打算，联系国情，提供出一套全面、有效的保护机制。

第三，公共保护与用户自我防范相结合。无论是国家立法还是行业自律，都是一种公共保护机制，都是依靠外部力量进行规范，但用户自身也要提高防范意识，注重自己的网络个人数据保护。首先，用户不应随意泄露个人数据。其次，用户应树立了解网站如何处理个人数据，如何管理收集到的个人数据的意识。第三，用户应自行采取技术手段，如在上网时使用匿名，隐藏地址，邮箱加密，安装防火墙等。总之，宣传树立公民的网络个人数据观念，鼓励网民使用网络个人数据保护的措施，提倡网络经营者和用户使用网络个人数据选择平台，是网络个人数据保护的一个重要环节。

只有在自身对于个人网络数据保护达到一个相对完善的保护体系时，再顾社会利益，加强国际合作。网络打破了国与国之间的传统界限，网络无国界的特点使得在处理有关网络的问题时必须加强国际间的合作。网络个人数据保护也不例外，已经初步显示出国际统一化的大趋势。另一方面，游离于国际保护体系之外，也不利于我国网络经济的发展。如《欧盟数据保护指令》就已经规定了“除非非成员国对数据及其相关个人有适当的保护，成员国不能向非成员国传播个人数据”，这表明欧盟对个人数据的保护已经上升到国际合作的高度，我国如不重视对个人数据的保护，就有可能在全球电子商务中遇到阻碍。所以这要求我们一方面要尽快完善我国的网络个人数据保护体系，一方面要积极与有关国家进行协调，提出我们认可的对我国用户网上个人数据保护的要求与标准。并且，这样做的意义还在于，可以尽快完善我国市场经济的法制环境，为我国加入后的顺利发展创造良好的环境。因此，在与美国网络安全的合作方面，可以采取以下几个方面。第一，了解和尊重对方在网络安全领域的核心利益和重大关切。第二，尽量避免将所有议题都与网络安全挂钩的“泛安全化”倾向。第三，从双方都认同或不存在根本分歧的领域入手开展务实合作。第四，充分发挥个人、跨国组织和公民社会等非国家行为体的促进作用。

中美在网络空间的威胁、风险与机遇相伴而生，且将长期存在，必须做好打持久战的准备。中美竞争性网络安全关系的存在，以及维护网络空间安全的共同关切，决定了发展建设性的中美网络安全关系需要坚持在竞争中增进合作，在合作中规范竞争，进而控制威胁、管理风险、避免误判，最终实现互利共赢。

〔参 考 文 献〕

〔1〕王孛.美国与欧盟个人信息跨国流通安全港协议简论〔Z〕.2008.

〔2〕秦天宁.从美国安全港提议透析我国的网络隐私权保护模式〔J〕.法制典社会，2007.

〔3〕张莉.论斯诺登事件后中美网络安全合作〔J〕.新视野，2014.

〔责任编辑：陈玉荣〕