從美國《2015年網絡安全信息共享法案》看網絡監控與隱私權保護

徐優萍

煙臺大學，山東 煙臺 264005

一、《2015年網絡安全信息共享法案》中的網絡監控與隱私權保護

(一)信息共享主體與范圍

總結《2015年網絡安全信息共享法案》第3條的一般規定，聯邦政府應當同聯邦實體與非聯邦實體共享相關的以解密的、非機密的(包括受控非機密)網絡威脅指征①和防御措施以及網絡安全威脅或受授權使用的相關信息。同時聯邦政府亦可同適當的公眾共享非機密網絡威脅指征和防御措施。由此可見，信息共享的主體為聯邦實體、非聯邦實體與相關公眾。

(二)信息共享的目的

《2015網絡安全信息共享法》信息共享的目的僅僅限定于保護信息系統或信息系統中存儲、處理或傳輸的信息，免受網絡安全威脅或安全漏洞的影響。該法案在第5(d)(5)(A)中具體規定為：“聯邦實體或非聯邦實體根據本編向聯邦政府提供的網絡威脅指征或者防御措施，僅限于如下目的：網絡安全目的，應對、阻止或者減輕緊急的死亡威脅或嚴重身體損害，應對、預防或者減輕對未成年人的性剝削和人身安全威脅，應對、預防或者減輕與欺詐或者盜用身份相關的行為、與間諜和審查制度相關的行為以及與侵害商業秘密有關的行為?！雹陔S后法案規定，不得以上述所列目的之外的任何目的向任何聯邦機構或部門披露或由其保存、使用。由此可以推斷，網絡安全信息共享的目的僅限于上述列舉。

(三)信息共享方式

該法案整體在信息共享方式上倡導的是一種自愿共享方式。其中，第8(g)明確規定③，聯邦政府不得采取任何威脅性或者引誘性措施迫使非聯邦實體與其共享信息，也不得設置與非聯邦實體分享信息的前提條件。正如上文所述，在網絡信息與國家安全或恐怖主義活動有關時，政府機構在持有外國情報監控法庭的“調取令”前提下可以強制聯邦實體或非聯邦實體進行信息共享，整體上該法案倡導的是網絡信息的自愿共享。

(四)信息共享權力限制

1.不對無網絡安全威脅的個人信息進

行共享《2015年網絡安全信息法》第3條規定，聯邦政府在共享網絡威脅指征之前，應當審查網絡威脅指征，以移除不直接涉及網絡安全威脅的個人信息。使用技術措施移除聯邦實體在共享時已知的，并不直接涉及網絡安全威脅，而是屬于特定個體的個人信息，或者能夠識別特定個體的信息。出現共享任何美國人民的個人信息時，及時通知上述人員。此處設置網絡安全信息共享的前置審查措施，避免將不直接涉及網絡安全的個人信息進行共享，威脅公民的個人隱私。

2.第5條(b)專門對隱私和公民自由作出具體規定

《2015年網絡安全信息共享法》多次對隱私權作出相關規定。其中，第5條(b)(3)包括對隱私和公民自由進行保護的規定，其要求司法部長和國土安全部部長及相關的國土安全部負責人與相關官員進行磋商，共同制定與公民自由和隱私保護相關的指南。

該指南應該對聯邦實體接收、保存、使用以及傳播其獲得的與本編授權活動有關的網絡威脅指征做出相應的規定。該指南的內容(歸納為幾個方面)在設計上應當包括五個方面：第一，限制聯邦政府依據本編實施的活動對隱私和公民的影響；第二，限制包含特定的個人信息或者能夠識別出特定個體之信息的網絡威脅指征的接收、保存使用以及傳播，包括——建立相應機制，及時銷毀已知的與本編授權使用不直接相關的信息；第三，對網絡威脅指征存儲期限施加以特別限制；第四，指南也應當規定對未經授權訪問含有特定的個人信息，或者能夠識別的特定個體之信息的網絡威脅指征的聯邦政府官員、職員或者代理人違反指南的適當制裁。當接收信息的聯邦實體認為接收到的信息不構成一項網絡威脅指征時，通知其他實體和聯邦實體的程序。最大限度地保護含有特定個體信息，或能識別特定個體之信息的網絡威脅指征的機密性，同時需通知接收者該指征僅可基于本編授權的目的使用；同時，在規定與聯邦政府共享或為其提供信息時，法案也規定，要保護特定個體的個人信息和能識別特定個體的信息免于未經授權使用或者披露及其機密性。

3.在政府活動監督部分規定個人信息移除的獨立報告

《2015年網絡信息安全共享法案》規定：自本法制定之日起3年內，美國聯邦政府審計總長應當根據本編的規定，向國會提供移除網絡威脅指征或防御措施中的個人信息所采取的措施，向國會提供一份報告。該報告應當包含對依據本編制定的政策、程序和指南，在保護隱私和公民自由問題上的充分性進行評估。

二、美國網絡監控立法對我國網絡安全立法的啟示

(一)建立安全信息自愿共享機制

在網絡服務商與政府之間建立安全信息自愿共享機制。該自愿共享機制應當包括共享方式、共享范圍以及人事設置的規定。在共享的方式上，網絡服務商與政府按照自愿原則與政府實施信息共享，自愿與政府進行信息共享的網絡服務商應當在網絡服務合同中明確提示網絡使用者的信息有安全威脅時可能被與政府共享；在共享的范圍上，限于分享有安全威脅的信息以及網絡防御信息，嚴禁對安全沒有影響的個人信息進行共享；在人事設置方面，聘請專業的網絡技術人員對相關信息進行實時分析，篩選有安全威脅的信息和無威脅的個人信息。

(二)建立信息共享的強制機制

在網絡服務商不愿意進行信息共享時，學習借鑒美國《美國自由法案》中的相關規定，限制政府的網絡監控權。首先，只有網絡服務提供方才能收集、儲存相關信息，只有政府或者相關國家機關認為有些信息存在安全隱患、并取得相應的許可時，才能調取網絡服務商儲存的個人信息或者進行網絡監控；再次，對實施網絡監控的前提進行嚴格限制，在相關立法中進行詳盡式列舉，不能僅僅局限于“國家安全的需要”此類抽象規定；同時，要設立嚴格的證據制度。政府想獲取個人信息必須達到以下標準：第一，有證據證明犯罪事實已經發生；第二，有證據表明，獲取相關信息有助于查明案件事實；再次，證明網絡監控只能作為最后手段。最后，設立責任豁免制度，在政府和國家機關提供相關證據的前提下，對政府和國家機關或者其授權或委托的技術人員為網絡安全而進行的涉及侵犯個人隱私的行為進行免責，以避免造成濫訴。

(三)建立信息共享的監督與評估機制

定期對政府、國家機關、網絡服務商共享的網絡信息進行審查評估，如果認為其不再存在安全威脅或者經調查后沒有安全威脅，應當立即從政府或者國家機關的系統中移除。負責進行評估的部門或者機構應當定期作評估報告，報告的內容包括共享的信息是否對網絡安全構成威脅、對網絡構成的威脅程度以及評估結論。信息共享的監督評估機構應當獨立于與網絡服務商進行共享的政府機構，保證其評估的可靠性及專業性。

網絡監控立法中的隱私權保護是一個極為復雜的體系，其涉及憲法、民法、刑事訴訟法、行政法等多個領域。特別是隱私權日漸受到重視的現代社會，更要求網絡監控中隱私權的保護更為細化，從監控的授權到監控過程再到監控結束都需要嚴格對隱私權進行保護。希望通過借鑒美國網絡監控中對隱私權的保護形式，能給我國網絡監控方面隱私權保護的立法、執法和司法帶來一定的啟發。

[ 注 釋 ]

①《2015網絡安全共享法案》第2(7)條將網絡威脅指征定義為：能夠表明、描述或識別以下情況的信息；惡意偵查；能夠打破安全控制或者利用安全漏洞的方法；安全漏洞；使用戶能夠合法地訪問存儲在信息系統上、由信息系統處理或傳遞信息系統的信息，從而使安全控制失效或利用安全漏洞的方法；惡意的網絡指揮和控制；特定事故造成的實際或潛在危害，包括以描述網絡安全威脅為目的產生的信息泄露；法律不禁止披露的任何網絡威脅屬性以及上述情況的結合.

②《2015網絡安全共享法案》，Sec.5(d)(5)(A).

③例如，聯邦政府不能要求某實體向聯邦政府提供信息或者要求只有某實體向聯邦政府提供網絡威脅指征時，聯邦政府才與該實體共享網絡威脅指征.