跨大西洋合作中欧美对出入境旅客信息的收集与应用

●张 燕

(武警学院 边防系，河北 廊坊 065000)

跨大西洋合作中欧美对出入境旅客信息的收集与应用

●张 燕

(武警学院 边防系，河北 廊坊 065000)

研究美国和欧盟对出入境旅客信息收集的形式和主要途径，从实际移民管理工作出发分析美国和欧盟对出入境旅客信息应用的共性和差异性，并就跨大西洋合作中美国与欧盟间出入境人员信息共享的相关政策进行归纳，以期为我国出入境管理和边防检查工作中对旅客个人信息的收集与应用提供参考。

跨大西洋合作；美国；欧盟；出入境旅客信息

美国与欧盟建立的准区域间的合作关系是世界上重要的双边关系之一。跨大西洋合作的发展也将影响着国际局势的走向。在安全问题上，双方领导人强调在地区冲突预防和危机应对，特别是在网络安全、反恐、打击极端势力等领域加强合作。美国“9·11”恐怖袭击以后，美国和欧盟更是将识别恐怖分子和打击跨国犯罪作为了其收集和处理日益增长的大量旅客数据的原动力，加大了欧美准区域间合作中的信息共享，不断增强了对于出入境旅客信息的收集、分析和研判[1]。

一、欧美对出入境旅客信息的收集

在美国和欧盟各国的移民管理过程中，对出入境旅客数据密集型的安全审查以各种各样的形式进行。旅客个人数据可以在较早的阶段获取，数据得以被提前收集审查，有更多的时间用于筛选。政府部门加大对出入境旅客数据的收集力度，利用更多更详细的旅客个人信息和资源可以筛选出出入境的重点人员。以往欧美政府通过对出入境旅客所属的国家对旅客进行初步筛选，即国家化筛选。当前，新的旅客信息搜集方式和信息来源使他们更注重对于旅客信息的个人特征辨别，也就是逐渐向个人化筛选的方向发展。出入境旅客信息的预分析和研判可以帮助欧美移民机构和出入境边防检查机关有效地控制跨国犯罪和非法出入境活动，解决出入境旅客数量逐年增加给口岸管理工作带来的巨大压力。

美国和欧盟收集出入境旅客信息的来源一般包括三个方面：一些旅客信息由政府直接通过个人途径收集；一些旅客信息由政府向航空公司收集；还有一些信息通常是直接通过政府自身或政府内部机构收集，这些数据多为执法数据。其所收集到的出入境旅客数据主要包括以下几项：

(一)旅客姓名记录(Passenger Name Record， PNR)

旅客姓名记录是指由出入境旅客在旅行中产生的商业信息，这些信息往往来源于交通工具的预订系统。旅客姓名记录中含有多种信息，包括姓名、地址、护照号码、信用卡信息、旅行社信息，甚至包括用餐等信息。在美国，包括美国公民在内的所有入境旅客的PNR数据，都存储在一个数据库中。这些数据在美国移民管理工作中有着不同的用途。一方面，旅客姓名记录数据被用来识别已经确定的罪犯或其同伙。另一方面，通过统计，可以有针对性地分析和识别部分美国国土安全部没有发现的但可能对国家安全带来一定风险的人员。在对收集来的PNR数据进行自动处理之后，美国政府要对无论是被确定为具有潜在安全风险的个人还是无安全风险的个人，实施额外的人工检查，以确定任何可疑的出入境旅客。一般要求航空公司要在起飞前72小时发送旅客PNR数据到美国国土安全部。美国国土安全部远程获取信息，并进行筛查。旅客个人数据或最终的人工核查处理结果可以在旅客到达美国甚至在他们刚出发时被传送到口岸出入境检查部门。这些信息对于美国寻求实施将出入境边境检查前置向国外这一策略发挥了重要作用，保证出入境检查机关在乘客到达美国时更加高效地实施边境安全控制。在出入境旅客PNR数据收集方面，欧盟出于对数据的保护和安全风险防范方面的考虑，仅提出建设欧盟成员国内的PNR数据系统，用于防控重大跨国犯罪和恐怖主义活动。

(二)预报旅客信息(Advance Passenger Information， API)

预报旅客信息(API)主要是搜集与护照有关的一些出入境旅客的个人数据以及交通运输过程中的其他信息。与PNR数据一样，API数据也通过航空公司收集，但数据类型不够广泛。PNR数据通常包括所有可以作为API的个人数据。在API系统开发实施之前，美国和欧盟更普遍的是使用PNR系统。在美国，API数据的使用目的是在旅客到达美国之前，通过航空公司发送旅客信息到美国海关和边境保护局(CBP)，用来提高保护国家安全能力。欧盟理事会对API数据的使用在2004/82/EC指令中进行了规定。规定中要求航空公司预先发送旅客数据到目的地国家的主管当局，以便加强边境控制和打击非法移民。同时，规定API数据主要用于对出入境旅客信息的验证，必须在24小时保留期后删除，以便保护数据安全。

(三)直接从个人途径收集的信息

在美国和欧盟，除了国家政府部门收集、移民管理部门从航空公司收集的出入境旅客信息以外，还有通过一些办理个人旅行事务的信息系统直接从个人渠道收集的资料。这个过程中的数据不受欧美信息共享协议的约束。然而，这些旅客个人信息是国家收集总体数据的重要部分。例如，美国有电子旅行授权系统(The Electronic System of Travel Authorization， ESTA)，该系统强制要求来自于签证豁免国家的公民至少在72小时前将个人数据提交申请，美国海关和边境保护局(CBP)接到申请后要与国家执法数据库中的信息进行核查。其中，部分数据与旅客PNR和API信息内容是相同的，另外还包含其他一些敏感信息，如身心健康的信息、犯罪记录以及到达美国的目的地址等。欧盟委员会担心这类系统的应用是一种新形式的“变相签证”，因此，目前欧盟还没有类似的系统。再如，注册旅客计划(Registered-Traveler Programs)，其建设的宗旨是出入境旅客提供重要个人信息，通过国家移民部门特定的核查和筛选过程，确定低风险的人员，当低风险人员在通过国家出入境检查时可以简化手续，只需很少的通关时间，通常可以使用自助旅客检查系统自动查验护照。美国在其南部和北部的边界以及在机场实施了注册旅客计划。一些欧盟成员国如荷兰和英国也启动了类似注册旅客计划。

另外，欧美直接从旅客个人途径收集信息的渠道还包括移民管理部门对旅客进行出入境检查时的一些检查系统。在美国，访客和移民身份显示技术(The United States Visitor and Immigrant Status Indicator Technology， US-VISIT)是主要的出入境旅客查验系统，系统中包括对所有外国公民收集的生物识别信息和一些其他个人履历信息。其中，生物特征信息包含指纹和数字照片，外国公民不包括墨西哥部分地区和加拿大公民。但目前US-VISIT系统没有记录旅客出境记录的能力。针对旅客出入境检查，欧盟也开发了签证信息系统(The European Union’s Visa Information System， VIS)，该系统是一个相对集中的欧盟数据库，它能存储非欧盟公民申请短期签证的全部信息，包括照片和指纹等生物特征信息。该系统的开发目的是为了打击持用伪假签证非法出入境活动，方便边境检查，防止安全漏洞。美国和欧盟进行出入境边防检查时使用的这两个系统在数据关系和共享方面是不同的，美国US-VISIT系统的信息与其他相关匹配系统的信息是关联的，具有一定的共享性。但欧盟VIS系统中的数据库仍然是与移民管理工作的相关系统和其他执法机构相互独立，其他系统和执法机构只能在特定的情况和约束条件下访问VIS系统数据。

二、欧美对出入境旅客信息的应用策略

美国和欧盟将检查出入境旅客的重点放在个人信息资料的应用上，主要有两个目的：第一，核查旅客个人数据是出于对国家安全方面的考虑，其中，主要的体现是通过国际警务合作，进行反恐和打击有组织国际犯罪；第二，旅客个人数据更直接用于国家移民管理工作中，可包括记录出入境检查、处理外国人签证、庇护请求等。然而，这两个目的之间有重叠的情况。一方面，出入境旅客信息系统是为国家移民管理目的而建设的，它集成了一定的安全功能，允许执法机构来访问系统数据，或将数据存储在其他数据库。另一方面，通过国际警务合作的一些数据交换渠道收集到的旅客数据，也可用于国家移民管理事务中。

(一)对出入境旅客进行有针对性的移民管理

美国和欧盟出于对国家安全保护和移民管理能力的提高，十分注重对出入境旅客个人数据的收集、处理、分析等新技术及相关系统的应用与开发，对出入境旅客进行更加精细的筛选，以便合理地配置资源、高效地利用国家移民管理中的优势资源，对出入境旅客在出入境过程中以及境内活动实施有针对性地管理。在美国和欧盟传统的移民管理中，管理机关主要根据出入境旅客信息的国籍来决定筛查等级。也就是说，某些国家的公民必须向美国或欧盟国家的领事馆申请签证才能入境，而另外一些国家的人员则可免签，只持用其护照就能进入。迄今为止，这种依靠“国籍排序”而不是“个人排序”的移民管理方法仍然是美国和欧盟的主要管理方式。然而，随着美国和欧盟逐渐具备了更强的存储和处理数字化的旅客个人数据的能力，政府在移民管理工作中已能够使用接近“个人排序”的管理方法，对于数据的筛查、分析和研判聚焦在旅客个人数据特征上，而不只是他们的国籍上。一些按“国籍排序”风险水平低的国家的人，现在在美国或欧盟国家的移民管理中也可能面临严格的审查和控制。

(二)前置性的出入境旅客检查

在移民管理工作中，美国和欧盟各国政府不断加强收集和应用出入境旅客个人数据，尤其是从商业化的或个人途径获得的旅客PNR数据。它从本质上丰富了旅客个人信息的内容，促进了个人数据新类型的发展。日常生活中由个人创建的非行政性的数据量是巨大的，大多数信息的存储很“分散”。美国和欧盟各国政府通过新的信息处理技术试图搜集一些非行政化的旅客个人数据，用于掌握出入境旅客个人的个体特征和行为。通过这些方式，对于出入境旅客个人信息的筛查就不仅仅局限于航空公司传输的旅客API数据的核查，而是通过获得的旅客PNR数据，允许政府移民管理部门对出入境旅客数据在更早阶段开展筛查，而不是等待出入境旅客到达入境口岸或其入境后再对其数据进行检查。将出入境旅客的检查前置到正式入境之前进行，是现代移民管理最重要的发展趋势。

三、跨大西洋合作中出入境人员信息共享的相关政策

在跨大西洋合作中，当美国和欧盟在移民管理工作中加大对越来越多信息资源收集和应用的同时，一些对于个人信息安全的潜在的负面影响也在不断增加。为了尽可能地减少对个人产生的影响，美国和欧盟对于信息应用的细节，如旅客姓名记录PNR，制定了一些政策和实施措施。当然，当这些协议在解决过去存在问题的同时，美国和欧盟之间也在具体实施过程中持续保持着双边谈判，甚至是重新谈判。在出入境旅客个人数据安全性和传输方面，美国和欧盟之间共同制定了8个协议，其中重要的3个协议分别是：旅客姓名记录PNR协议、法律互助协议(MutualLegalAssistanceAgreement)和欧美刑警组织协议(EUROPOL-USAgreement)。在这些协议中均规定可以有选择性地将来往于美国和欧盟成员国之间的出入境人员信息进行交换。

(一)旅客姓名记录PNR协议

起初，美国政府对旅客PNR数据的处理几乎没有任何规定。直到2001年11月美国航空运输安全法案中提出了这方面的相关措施。法案中规定美国海关及边境保护局可以访问所有入境美国飞机上旅客的个人信息。由此，旅客个人信息在反恐和打击跨国犯罪中正式地扮演了重要的角色。旅客PNR数据共享的安全保护需求起源于商业机构。一些欧洲的航空公司担心把乘客数据传输给美国政府会违反欧盟有关个人隐私保护方面的法律。因此，美国和欧盟政府进行了谈判，共同签订了旅客姓名记录PNR协议。协议中明确规定：从安全角度出发，欧盟的商业机构将旅客信息传输给美国政府是合法行为。第一个协议签署于2004年，终止于2006年。第二个协议签订于2006年底，但只是执行了几个月后于2007年到期。最近的欧美旅客姓名记录PNR协议签订于2007年，也是欧美之间第三个旅客姓名记录PNR协议。在里斯本条约(LisbonTreaty)生效之前这个协议需要27个成员批准，因此，该协议也经过了反复谈判。为了确保一致，欧盟委员会和欧盟理事会最后同意同时与美国、加拿大、澳大利亚启动3个PNR协议谈判。

当前的欧美旅客姓名记录PNR协议包括3个文件：第一个文件是协议主体，规定了航空公司将旅客数据传送给美国国土安全部的基本法律依据。另外两个文件是美国和欧盟间的交换函件。美国给欧盟的函件中包括整个旅客姓名记录PNR数据，并注明旅客数据是用于反恐和打击跨国犯罪；函件中列出了可以处理数据的类型和处理敏感数据的方法；最后注明数据保留的时间，规定7年内数据可保存在分析数据库中，7年以后的8年中这些数据将仅仅被保存而不再操作使用。欧盟提供给美国的函件中则提供了具有必要保护措施的基础数据[2]。

(二)出入境旅客个人数据保护协议

近几年来，跨大西洋合作下数据保护和数据处理框架在不断演化，从2007年签订欧美旅客姓名记录PNR协议后，美国和欧盟间出入境旅客数据保护的谈判也在进行。为了持续关注数据保护和个人隐私权的问题，美国与欧盟于2006年11月成立了高级联络组(Hign Level Contact Group)，这个组的成员来自于美国国土安全部、国务院，以及欧盟委员会、欧洲议会、欧盟轮值主席国的高级官员。在2008年发布的报告中确定了一系列旅客数据保护的政策和观点。高级联络组提出的观点更加广泛，涉及出入境旅客数据的使用限制、比例以及敏感数据的监督等。然而，高级联络组不能消除美国和欧盟各国移民管理之间的差异，事实证明也很难调和一些最敏感的冲突。例如，欧盟的专家呼吁欧盟公民的个人数据应该受到美国隐私法保护，避免其个人信息被滥用，但实际上美国的这部法律仅适用于美国公民和美国永久居民。相比较而言，欧盟认为类似的法律要适用于所有旅客而不考虑其国籍，并在相关协议中规定数据传输范围应该限定于跨国犯罪和恐怖主义活动的预防、调查、侦查和起诉。

(三)出入境旅客数据传输法律协议

美国和欧盟各国政府及相关机构之间的数据传输是出入境旅客数据应用的重要方面。2010年美国和欧盟间签署了数据相互传输法律协议，这个协议相较于旅客姓名记录PNR协议中单方面的传输数据，启动了能够进行互惠互利的数据交换程序。此外，还有一系列美国与欧盟成员国签订的双边协议。例如，德国与美国签订的协议中规定，为了深入防范和打击恐怖主义活动和跨国犯罪，政府之间可以交换指纹、DNA等个人生物特征信息[3]。美国与德国签订了这个协议之后，又陆续与一些其他已经加入美国免签计划的欧盟成员国签订了类似协议。

在过去10多年的发展过程中，美国和欧盟各国致力于新信息技术在移民管理中的应用，在出入境旅客个人数据收集、处理、存储与应用以及国际合作中对信息共享和传输等方面进行了有益地探索，并在实际移民管理工作中取得了丰富的成功经验。目前，面对跨国犯罪和恐怖主义活动日益突出的问题，提高出入境旅客数据的收集、分析研判能力，增强出入境边防检查的前置水平，也是我国出入境管理和边防检查工作的必然要求。

[1] Paul De Hert， Rocco Bellanova. Transatlantic Cooperation on Travelers’ Data Processing： From Sorting Countries to Sorting Individuals[R]. Washington： Migration Policy Institute，2011.

[2] EC. Report on the Joint Review of the Implementation of the Agreement between the European Union and the United States of America on the Processing and Transfer of Passenger Name Record (PNR) Data by Air Carriers to the United States Department of Homeland Security (DHS) [R].Brussels： EC， 2010.

[3] DHS. Agreement between the Government of the United States of America and the Government of the Federal Republic of Germany on Enhancing Cooperation in Preventing and Combating Serious Crime[R].Washington： DHS， 2008.

The Traveler’s Data Information Collection and the Application in Transatlantic Cooperation by EU and US

ZHANG Yan

(DepartmentofBorder-controlandImmigration，TheArmedPoliceAcademy，Langfang，HebeiProvince065000，China)

This paper studies the travelers’ data collection form and main progressing way of the United States and the European Union， analyzes the commonalities and differences of the information application from the practical immigration management of the United States and the European Union. Finally， the related policies and agreements on transatlantic data sharing between the United States and the European Union have been introduced in the paper which provides the

for the exit-and-entry management and border-control inspection work in China to deal with the travelers’ data.

Transatlantic Cooperation； United States； European Union； traveler data

2014-09-01

张燕(1976— )，女，内蒙古乌兰察布人，副教授。

D523.29

A

1008-2077(2015)03-0089-04