马俊

[摘 要]2015年10月，欧盟法院做出了一项里程碑式的裁决：安全港协议是无效的。由此判决引发了大数据时代下，人们对于各国间数据安全的热议。这不仅跟个人信息的商业价值息息相关，对国家安全也有十分重要的影响。本文首先回顾了安全港协议案的背景及案件始末，而后立足于该案对各方的影响，总结出中美签订网络协议的经验教训。

[关键词]安全港协议；无效裁决；网络安全；合作与发展

[中图分类号]D99 [文献标识码] A [文章编号] 1009 — 2234（2016）05 — 0055 — 02

一、案件源起

本案第一次引起公众注意是在2014年，一位奥地利隐私保护人士马克斯？施雷姆斯（Max Schrems）发起了一项针对Facebook欧洲子公司的大范围集体诉讼，他指控Facebook违背了欧洲数据保护法律。施雷姆斯在维也纳商业法院向Facebook也提起了这项诉讼。这些行动已经促使Facebook删除了脸部识别和过多的用户数据。不过作为欧洲唯一有权处罚Facebook的机构，爱尔兰监管机构并没有按照施雷姆斯的要求推动Facebook其他改革。当时，施雷姆斯表示：“这起案件已经持续了三年，但到目前为止仍然没有做出判决。他们总是承诺“下个月”或“很快”做出决定，但三年来这些投诉始终没有带来具有约束力的成果。”去年，美国和加拿大以外的任何Facebook用户都可以通过fbclaim.com网站加入这位名叫马克斯？施雷姆斯（Max Schrems）的法律专业学生发起的集体诉讼。

虽然施雷姆斯之前的诉讼已对社交网络公司产生相当大的影响，迫使Facebook放弃面部识别程序，相关用户也可以要求Facebook公布数据。但是，施雷姆斯和其他Facebook用户认为，Facebook在其他许多方面都不尊重欧盟隐私法，其中包括参与美国国家安全局的“棱镜”项目，即Facebook通过使用有“点赞”按钮的页面跟踪任何访问这一页面的用户，帮助其收集公共互联网使用的个人数据。另外，Facebook也未经用户同意，私下使用多种用户数据。迫于爱尔兰当局对官司施加的政治压力，施雷姆斯选择在奥地利对Facebook提起新一轮起诉。由于欧盟的运作方式，奥地利的判决仍适用于Facebook在爱尔兰的业务。安全港协议法律问题由此产生。

二、欧盟法院的裁决要点

欧盟法院于十月六号做出了对此案件裁决，并在判决书中列明了一百多条判决理由。主要的判决依据总结如下：国家监管当局的独立担保旨在确保对于个人隐私保护的监控的有效性和可靠性；安全港协议不能保护个人资料已经或可能被转移到第三国的人员免于接受国家监管当局提出的要求；安全港计划没有规定会保护欧盟公民关于美国当局访问他们的个人资料转移到美国，只涉及商业争端解决条款；安全港计划不符合欧盟数据保护指令在保护个人数据方面的标准所需的要求，所以相应的“无效”。

《欧盟数据保护指令》规定，原则上仅在第三国确保适当程度的数据保护的情况下，才可向第三国进行个人数据传输。欧盟法院裁决认定，即便欧委会认为第三国可确保适当程度的保护，国内监管机构在处理主张时，还必须能完全独立地审查向第三国进行个人数据传输是否符合《数据保护指令》。因此，国家数据保护机构不受欧盟委员会2000年7月安全港决议的约束。法官还认为，欧盟委员会理应查明美国依照其国内法或其国际承诺在事实上确保其对基本权利的保护程度，在本质上等同于欧盟数据保护指令项下欧盟地区对基本权利的保护。但欧委会仅仅对安全港计划进行了审查，并未将美国政府机构不受协议约束这一情况考虑在内。美国的国家安全法律允许美国政府机构可以获取存储于美国服务器中的个人数据。该判决当前产生的结果是，涉及本案的爱尔兰监管机构需依照欧盟数据保护指令，决定是否应基于美国无法提供适当程度的个人数据保护这一理由，暂停向美国传输脸谱公司欧洲用户的数据。也就意味着，安全港协议被欧洲法院的判决推翻之后，虽然该裁定不会自动终止数据传输到境外，但如果公司没有充分保护用户数据，它允许各国监管机构暂停数据传输。

三、案件影响及各方态度

“我非常认同该法院的裁决”施雷姆斯则表示这是对美国监控的重大打击，并称这清楚地表明，该裁决绘制了一条明确的界限，它明确对人民的监控违反了我们的基本权力，美国企业不能帮助美国间谍活动违反欧盟基本权利。同时，施雷姆斯补充说道，“这个判例法将是一个里程碑，这将对执行类似监控的欧盟成员国带来宪法挑战。”

尽管安全港协议失效被认为是隐私和监控的胜利，但给企业带来的是一系列复杂问题。分析人士认为，欧洲法院的判决将使依赖于《安全港协议》的企业不得不重新制定数据存储方案，因此一部分美国企业如果要执行新规定，将欧洲用户的数据存储在欧洲，需要在技术上做出大幅调整，从而耗费大量时间和金钱，还有一种可能就是美国企业因为在欧洲的运营受限可能正式撤离欧洲，让欧洲用户在登录时签署个人授权，从而登录美国网页，那么它的运营方式也将会不得不采取一些新的改变。

从欧盟的立场来看，《安全港协议》的废除无疑树立了其坚决的姿态。但是后续影响的可不只是美国。一方面是欧盟贸易的受损，另一方面，欧盟各国还要面临国内众多美国科技公司用户的不满和指责。欧盟委员会副主席蒂默曼斯在宣布裁定当天表示，尽管欧洲法院作出了判决，但欧美双方企业间的数据交换并不会就此停止，欧盟会加快与美国制订新的数据传输协议，代替被法院裁定无效的《安全港协议》。2016年2月2日，欧盟委员会宣布，欧盟和美国已经就两地公司之间传输个人数据涉及的隐私保护问题达成新的框架协议，即欧美隐私保护（EU-US Privacy Shield）协议。该协定还需经过一些机构的批准才能生效。新协议将要求美国公司履行更加严格的义务来保护欧洲的个人数据。希望从欧洲得到个人数据的美国公司需要承诺关于个人数据如何处理和个人权利得到保障的“稳健义务”。美国商务部将监控企业自行发布并接受联邦贸易委员会依照美国法律执行的承诺书。另外，任何处理来自欧洲人力资源数据的公司必须承诺遵守欧洲数据保护相关机构的决定。欧盟委员会也表示，新协定满足了欧洲法院裁定中的要求。

四、互联网时代与数据信息安全

近年来，智慧城市建设大大加速了大数据的生产，由于城市公共信息平台汇集了城市的地理空间信息、人口信息、经济信息、信用信息、政务信息等各种信息资源，因此，这些大数据无疑已成为国家重要的战略资源。在互联网时代，用

户个人数据时刻面临被非法获取或滥用的风险，任何人都有成为网络“透明人”的可能。

很多国家都已经认识到这个严峻的问题，欧盟则在这方面有独特的经验。欧盟在 1995 年10 月就通过了《欧盟议会和欧洲委员会就有关处理和自由转移私人数据问题保护个人的指南》，明确禁止将成员国私人数据传输到对隐私权保护不力的国家。1998 年 10月，欧盟正式批准生效了具有法律性质的《个人数据采集和传输行为保护指令》。2012年，欧盟通过修改“数据保护指令”，又把个人数据保护制度向前推动了一步。相比之下，我国虽然在数据信息安全领域的立法起步不晚，但是发展情况与发达欧盟及其他发达国家相差甚远。我国1994年通过国务院发布《中华人民共和国信息系统保护安全条例》，该条例是计算机信息系统安全保护的法律基础。但我国现行的信息安全立法的现状仍不乐观：信息安全基本法缺位，相关的法律规定大部分仍然散见于各个部门法当中、缺乏统一的立法理念、立法层级较低、立法结构不合理。并且对于目前云计算和进一步全球化趋势将会带来的信息安全风险的保障作用都十分有限。

因此，在目前大数据的时代，数据安全问题不仅是欧美两方面临的争议问题，更何况在我国立法并不完善的情况下，这对于我国的网络安全更是一个严峻挑战。以我国用户量最多的阿里巴巴公司为例，日前，阿里巴巴集团副总裁石东伟表示：“大数据就像我们的生命线一样。”的确，经过十六年的运营，阿里巴巴平台沉淀了大量的商业数据资源。一方面，阿里巴巴的消费数据覆盖之广、累积之深，全球没有任何一家公司和机构能出其右；另一方面，阿里巴巴的云计算技术位居业界翘楚，其数据挖掘能力几乎独步江湖。这两项结合起来，使阿里巴巴能够轻而易举地为其用户建立一个细致的个人档案和并进行精准的行为预测。然而，需要补充的是，大数据不仅是阿里的生命线，更是国家安全的生命线。因此，换一个角度来说：从国家的信息安全的出发，阿里的大数据有多可怕。

五、安全港协议案对中美未来网络协议的启示

网络安全是全球性挑战，没有哪个国家能够置身事外、独善其身，维护网络安全是国际社会的共同责任。我国近年来也逐步加强对网络安全这一领域的重视，国家主席习近平在乌镇出席第二届世界互联网大会开幕式演讲中更是明确提出了“网络主权”的新概念。网络空间是人类共同的活动空间，网络空间前途命运应由世界各国共同掌握。

网络安全也一直是当前中美关系中的一个焦点问题。早在2010年，中美围绕谷歌事件的交锋就涉及到网络自由的问题；习近平接任国家主席后，奥巴马就在致电表示祝贺时专门提及网络安全问题；在13年6月初加州安纳伯格庄园举行的习奥会上，网络安全成为中美两国首脑会晤的一个重点议题。此次，欧美安全港协议被判失效，再次让网络安全成为中美之间的热点话题。截至目前为止，美国主要在网络安全的两个层面上指责中方：一是所谓互联网自由问题，指责中方对于互联网的管制；二是所谓中方尤其是中国政府支持的针对美国企业服务器的黑客行为。

目前，对于中美两方订立网络仍然存在许多问题和障碍。首先，因为中美的信息化发展阶段不同，采取的策略也有所不同，之间的差异也必然远超欧美。其次，中美两国在历史文化传统、意识形态、发展道路等方也存在着巨大差异。在国际社会上，中国“网络主权”的概念得到了很多国家的支持和认同。但美国则认为，互联网空间应该是一个国际公域，应该保持无限制的开放和自由，并鼓吹互联网世界所谓的公开、透明和人权。最后，思维僵化严重阻碍中美客观全面理解对方。只有双方相互理解对方，才能通过寻求共识，达成双方都能接受和满意的合作框架。这些即是双方在未来需要作出调整和改变的。中美两国签订网络的协议内容，很可能是把目前各个大国已经有共识的内容确定下来，而这个协议将不仅仅是中美两国的，在今后很可能成为全球网络空间共同准则的范本，因此具有十分重要的意义。

〔参 考 文 献〕

〔1〕王倩，朱宏峰，刘天华.大数据安全的现状与发展〔J〕.计算机与网络，2013，（06）.

〔2〕赵阳.大数据时代对国家安全的挑战及对策研究〔D〕.山东师范大学硕士论文，2015，（05）.

〔3〕储昭根.浅议“棱镜门”背后的网络信息安全〔J〕.国际观察，2014，（02）.〔责任编辑：陈玉荣〕