欧美个人数据跨境转移政策变迁及对我国的启示

□ 王顺清，刘 超

（南京财经大学，江苏 南京 210023）

欧美个人数据跨境转移政策变迁及对我国的启示

□ 王顺清，刘 超

（南京财经大学，江苏 南京 210023）

从上世纪90年代至今，美国与欧盟间的个人数据跨境转移政策几经变化，期间妥协交融与冲突对抗并存。本文在研究其政策变迁的基础上，剖析了影响政策变化的隐性因素，认为我国在个人数据跨境传输领域，应理性认识公民数据权与信息安全的相互关系，高度重视数据主权、数据管辖权对国家战略的意义，完善数据跨境流通管控制度，积极参与国际规则的制定，发出中国的声音。

信息安全；数据主权；数据管辖；数据传输

近年来，跨境数据传输①联合国跨国公司中心对跨境数据传输的界定是：跨越国界对存储在计算机中的机器可读的数据进行处理、存储和检索。一般来说，跨境数据流动可以分为两类：一种是数据跨越国界传输和处理；另一种是数据即使没有跨越国界，但被第三国的主体访问。本文所探讨的“数据”均指个人数据。成为各界关注的焦点之一，特别是在当今大数据时代、云计算大发展的背景下，数据的跨境传输往往涉及公民隐私权、信息安全甚至是国家安全。当下的社会发展很大程度上依托于互联网信息交换技术，越是先进、尖端的领域，数据信息的传输交流越是频繁。但由于网络的特殊性，导致对网络世界的监管治理一直是个难题，因此，跨境数据传输的研究意义不言而喻。通常情况下，数据主要通过互联网设备实现跨境传输，所以对数据跨境传输的治理不仅涉及传统的互联网治理还涉及各国不同法系的冲突与交流，但数据传输及数据保护方面尚无通行或可参考的统一的国际规则，所以各国多是立足各自国情制定相关法律及政策。

在我国，2017年6月实施的《网络安全法》就数据跨境传输如何规范及治理等问题向世界表明了中国的态度。［1］由于西方的数据应用技术领先于我国且起步较早，在数据传输、信息保护方面已有较多的探索和实践，法律政策体系也相对完善。如一贯注重保护公民隐私权和个人信息安全的欧盟，始终致力于建设严格的个人数据保护制度，不仅在其内部推动实施，甚至将其高标准和理念延伸至欧洲以外。欧盟与美国之间的“安全港”协议以及尚在谈判中的“隐私盾”便是数据跨境传输的经典案例，两大巨头之间的个人数据跨境转移政策几经波折，这背后折射出的就是治理跨境信息的关键点以及未来的发展趋势。

一、两大法系数据保护制度的暂时性妥协——“安全港协议”的产生

“安全港协议”是欧洲与北美在信息保护领域的折中成果，是由欧盟为代表的大陆法系和美国为代表的英美法系所探索出的规范信息跨国传输的新机制，也是“权宜之计”。因为有关个人信息保护和数据传输，两大法系的规范天壤之别，欧美对这一问题的态度也南辕北辙。

欧洲主张“个人权利保护模式”，欧盟采用的模式以法律规制为主导，通过政府立法从法律上确立个人数据保护的各项基本原则与各项具体的制度，并在此基础上建立相应的司法或行政救济措施，形成完备逻辑体系。［2］具有法律规范性、强制性、体系性、机械性的特征。最具有代表性的法律文件是1995年颁布的《数据保护指令》（以下简称《指令》）。该《指令》从立法角度保护个人数据权利，①数据权利等同于个人数据主权，是相对应公民数据采集义务而形成的对数据利用的权力，即用户对其数据的自决权和自我控制权。具体包括对个人隐私权、生命财产的数据保护、对企业资产的数据保护和本国公民及其他境内行为体在国际社会的数据保护等。主张隐私权不容侵犯、保障人权、统一欧洲数据保护法，［3］并明确规定禁止将欧盟成员国公民的私人资料传输至他国，除非这些国家能够对数据资料提供有力的保护，确保达到“充分性标准”。美国则倾向“促进资本发展模式”，干涉甚少。美国没有设定个人数据保护最低要求的综合性联邦法律，基本上采取以行业自律为主导的模式。所谓行业自律指的是通过行业内部制定行为规范或规章的形式，实现行业内部的自我规范和自我约束。［4］除了就政府机关及某些如儿童信息、医疗档案以及金融数据高度敏感的领域进行立法保护外，总体呈现行业自律即自治性、松散性、灵活性的特点。［5］简言之，对于数据传输和信息保护的规范程度，美国体现的是“行业标准”，欧盟体现的是“法律标准”。

但随着美国互联网产业的快速发展，互联网厂商在提供服务的同时，跨境收集、转移、处理个人数据成为一个必然趋势。然而在欧盟看来，“美国模式”下个人数据的保护明显不及欧洲，是否能达到“充分性保护”值得商榷。双方法律政策以及保护力度的断层，直接影响了个人数据的正常跨境流通。此时，“安全港协议”应运而生，并成为连接欧美两种法制模式的桥梁。该协议曾于2000年正式生效，主要涵盖欧盟与美国间信息传输、数据存储方面的各项议题和标准。之后，欧盟委员会通过“NO．2000／520决议”确认了“安全港协议”的合法性和有效性。至此，美国企业只要加入该协议并按照要求作出相应承诺，便可将欧盟公民的个人信息传输至美国境内进行存储或处理，此举极大地便利了双方个人数据流动。

二、欧美数据跨境传输新波折——“安全港协议”被废除

2013年，爱德华·斯诺登使美国依靠互联网监控欧洲公民、窥视世界的行为公之于众，欧盟成员国数据保护机构纷纷质疑 “安全港协议”，双方于2014年1月重开谈判，商讨应对之策，双方还未达成建设性成果，欧盟一纸判决就彻底否定了原协议。

2015年10月6日，欧盟最高司法机构欧洲法院作出裁决，宣布欧美所签署的《安全港协议》无效，欧盟境内的美国公司应立刻停止其数据传输活动。该争议由奥地利的一名法律系学生马克斯·施姆雷斯最先提出，他向脸书欧州总部所在地的爱尔兰信息监督部门提出申诉，认为脸书爱尔兰子公司将欧洲用户数据传输至美国服务器处理，侵犯了用户数据隐私，未经同意使用多种用户数据，以未授权的方式将数据传输至外部渠道，协助美国国家安全局（NSA）监控。［6］鉴于美国“棱镜”计划的曝光，美国情报部门联合脸书等公司监视欧洲公民信息。有理由相信，美国法律和制度未能对数据传输给予有效的安全和保护，欧洲用户隐私被窥探，个人信息受到美国国家机构的监控。但爱尔兰当局驳斥了该项申诉，理由便是援引欧美签署的《安全港协议》。对此，施姆雷斯发起超过1万人参与报名对该议题提起集体诉讼，爱尔兰卢森堡高等法院正式受理此案后，依据欧盟法律将案件递交欧洲法院，由欧洲法院对案中涉及的法律问题进行“先行裁决”。经调查审理，法院指出：协议适用于那些加入并承诺执行协议的美国企业，而联邦政府机构则不受协议任何管制和约束，这些机构的功能或行为潜在的影响甚至侵犯了《指令》所保护的欧洲公民的基本权利，并且美国当前也没有任何限制上述影响的具体法律措施以满足欧洲公民对个人资料安全的诉求。法院在裁决要点里强调：欧洲委员会未能尽职调查美国对个人数据实际上是否提供充分性保护，仅仅通过审查安全港协定就得出武断结论；通过《安全港协议》认证的公司为遵守美国国家安全局指示、维护美国的利益和法律，“无视”《安全港协议》的原则和标准；欧洲公民的个人信息在传输过程中被美国政府部门蓄意获取，数据安全和隐私权受到侵犯时，《安全港协议》中没有规定针对上述情况的救济途径，只有解决商业纠纷的条款；《安全港协议》未符合《指令》中对个人数据保护锁规定的“充分性”标准。［7］综合多方面，遂裁决《安全港协议》无效。

三、欧美个人数据跨境传输新渠道——“隐私盾”

2016年初，继欧美双方重开谈判后，欧盟委员会发布了包含“隐私护盾”协议（下称“隐私盾”）的法律文本，新协议将取代原“安全港”框架，发布的文件包括“充分性决定”草案、美国政府在执法过程中对隐私保护的书面承诺，以及针对美国安全部门而制定的限制数据访问、保护信息的文本。［8］与它的前身相比，“隐私盾”的保护承诺不仅覆盖商业领域，同时涵盖国家安全部门访问私人数据的范畴，强化了数据主体和数据主权的概念。可见，后者是前者的升级版，不仅在前者的基础上查漏补缺，还进行了丰富与细化。“隐私盾”在商业监管和隐私保护方面有了显著改善，加强了联邦贸易委员会（Federal Trade Commission简称“FTC”）和欧盟数据保护部门间的合作，制定了独立严格的执行标准以确保防护效果升级。新协议需要强大的监控和执行机构作为后盾，美国商务部（US Department of Commerce简称“DoC”）、联邦贸易委员会、欧洲数据保护部门 （European Data Protection Authorities简称“DPAs”）三方将通力合作为新协议保驾护航。与原协议相比，“隐私盾”的创新和进步之处显而易见：第一，救济机制的完善是“隐私盾”的一项重要突破。欧洲公民可获得多种途径解决问题，个人可以根据协议选择救济渠道、救济方案或向咨询机构寻求帮助。救济主体还可向侵权企业提出申诉，同时可免费获得替代性纠纷解决方案。参加 “隐私盾”的企业承诺引入仲裁机制，而强制性仲裁可为欧洲公民提供最终的法律救济。第二，美国商务部将直接介入解决投诉和询问。由美国国务卿设置、掌握“重要新资源”的特别小组监督“隐私盾”的执行情况，并由副国务卿凯瑟琳·诺维利出任监察专员。该小组隶属于国务院但独立于国家安全部门，监察机构和监察专员还负责监督国家安全部门的数据访问情况。第三，可提高数据使用透明度，增强参与方所提供的保护力度，全面告知欧洲公民在新协议项下的权利和救济方式。“安全港协议”实施阶段，准入认证机制宽范，许多企业“宽进宽出”，“遵纪守约”意识淡薄，这些成为原协议的漏洞之一。“隐私盾”则对加入的企业进行了严格认证，且规定了一系列公示和审查制度，明确了企业义务。美国商务部还定期更新“入盾退盾”的企业名单，及时告知公众相关企业的真实状况，帮助其了解个人数据被处理的讯息。即便企业“退盾”，若继续存储或使用其在“入盾”时期获得的个人数据，必须对这些数据承担相应的义务，给予一定的保护。第四，“隐私盾”增加了新的隐私保护合同。即要求跨国公司向第三方传输数据或由其代理商处理数据时，确保该个人数据至少享有同等水平的连续性保护。根据合同中的严格问责制，除非符合免责条件，第三方的违规行为需由“盾内”企业承担后果。第五，“隐私盾”首次为欧洲公民对情报活动下关于隐私权的疑问提供了特别解决渠道。作为进程的一部分，美国政府正在对上述渠道中的一些合理诉求做出承诺和回应，如已经达成共识的欧盟数据保护机构与美国情报部门共同负责国家安全准入问题的年度审查。该要求比《一般数据保护条例》①2015年12月15日，欧盟三方机构（欧洲议会、欧盟理事会、欧洲委员会）初步达成《一般数据保护指令》（GDPR），这是欧盟启动数据保护立法改革四年来的最新成果。GDPR旨在加强个体对其个人信息的控制力，为其赋予更强数据权利。（以下简称《条例》）的相关规定更为严格，因为《条例》要求至少每4年对第三方国家的隐私保护情况进行一次审查。审查主体由欧洲委员会与美国商务部共同组成，对隐私护盾的相关情况进行审查并公开相关报告。此举意在监督美国履行承诺，保证新协议的有效运行。此外，年度审查为实质资格审查而非形式主义，若发现美国企业和政府部门存在逾矩行为，欧洲委员会有权暂停隐私护盾的运作。

目前，美国已通过了司法赔偿法案，该法案赋予了欧洲公民保护个人数据的实权，使他们能在美国法庭上对抗侵权的美国执法机构，针对其数据滥用行为进行维权，这为“隐私盾”协议发挥更大的效力增加了砝码。美国情报局已向欧盟递送书面保证，承诺随意或普遍的监控将不会再发生，并且声明任何情报局出于国家安全目的的访问将受到新机制明确的限制和监督。此外，美国司法部、运输部、国务院、联邦贸易委员会也一同随附书信并承诺。限制美国的官方行为并得到美国政府的承诺是“隐私盾”范本的突出亮点之一。

四、欧美个人数据跨境转移政策对我国的启示

（一）公民数据权与信息安全可互为表里

欧盟与美国就数据跨境流动议题的博弈已20余年，当然这样的较量还会继续。总结双方20余年的政策变化不难得出这样的结论：由于双方对网络环境中涉及的公民隐私权和信息安全的保护力度不同，各自的法律政策体系存在明显差异和冲突，但当面对数据跨境传输问题时，为了经济利益双方会做出妥协，寻求创新性的解决之道。这不仅仅是法系相异政法文化冲突的问题，深层次方面是出于对自身政治利益和国家战略的考量，完全认同对方几乎不可能。

凭借先进的移动互联技术以及大型网络数据公司的影响力，美国在网络空间和数据控制上占有总体优势。如此背景下，欧盟不遗余力地推行“欧洲保护标准”与美国分庭抗礼争夺数据控制权也是必然选择。在技术上处于相对弱势的欧盟深知保护欧洲公民数据的重要性，若是欧洲公民信息任由美国随意监控，后果将不堪设想。更何况“斯诺登事件”已经敲响了警钟。无论是为了保障人权或是个人数据权，抑或是从国家的整体利益出发来维护信息安全，跨境信息流动必须置法律政策的严格监管之下。

个人信息资料汇成的大数据蕴藏着最新科技、社会动态、市场变化、国家安全威胁征兆、战场态势和军事行动等各种政治、经济、文化、安全等信息。［9］此时的数据不仅关乎隐私权，还涉及国家信息安全，二者互为表里。以苹果公司为例，依据其特有的Apple ID制度，每个苹果产品的背后都对应着一份详细的客户数据档案。这些数据信息透露着使用者的邮箱、性别、年龄、兴趣爱好、隐私密闻等信息。2016年2月18日，Apple Pay正式进入中国大陆市场。上述信息辅之以Apple Pay使用后的财务数据，通过大数据云计算搜集的用户资料，将详细而真实的透露一个地区或国家的社会现状、经济水平等等，这对于一些情报部门而言，没有任何信息比这些最全面最敏感的数据更有说服力了，而这些被盗用的数据正威胁着信息流失国的国家安全。因此，笔者认为，此类数据信息都应该置于安全有效的保护机制之下，合理合法的进行利用和存储。当这些数据信息跨境流动时，更需要周密高效的管理方案进行数据管辖，维护本国信息安全，保护公民隐私权，防止信息被外国势力恶意窃取、盗用。

（二）数据主权和数据管辖权与国家战略紧密相关

欧洲法院的裁决文件中曾建议，为了更好地保护欧洲公民的数据安全和隐私权，将要求美国跨国公司将存储有数据信息的服务器留在欧洲本土，禁止将欧洲数据传回美国。虽然在后来达成的“隐私盾”协议中欧盟做出了妥协，不再强行要求美国公司将服务器留在欧洲，但不难看出，关于服务器去留问题的背后是对数据主权的考量和对数据管辖权的争夺。

互联网和科学技术的发展将人类活动拓展至虚拟空间，如此背景下，主权概念也不再局限于传统实体空间并得到相应扩展，数据主权①数据主权可以概括为，在大数据、云计算背景下，一国对本国的数据及本国国民跨境数据拥有所有权、控制权、管辖权和使用权，是国家数据主权和个人数据权利的总和，体现为对内的最高数据管控权和对外的数据处理权。随之诞生并延展了国家主权的内涵。学界认为，跨境数据传输是数据主权这一概念得以提出的基础条件和大前提。如前文所述，数据信息所承载的意义非凡，数据跨境流通涉及的利益方面众多，上至国家安全，下至公民权利，因此，国际上许多国家日益重视数据主权和数据管辖权，要求数据本土化存储。服务器位置本土化是一国维护数据主权、行驶数据管辖权的直接体现。如法国政府宣称，无论新协议如何规定，在法经营的有关美国公司其存储信息的服务器须留在法国，以便有效地保护用户隐私和数据安全。据2015年9月1日开始生效的俄罗斯《数据本土化法律》规定，所有收集、处理俄罗斯公民信息的公司，应使用位于俄罗斯境内的服务器处理和存储数据，并负有法律义务向莫斯科数据监管部门报告本地化情况。［10］巴西政府也通过立法规定要求境外的互联网公司在其境内开展互联网业务必须使用其境内的数据中心，②谷歌在其发布的《The Datacenter as a Computer》一书中，将数据中心解释为“多功能的建筑物能容纳多个服务器以及通信设备。这些设备被放置在一起是因为它们具有相同的对环境的要求以及物理安全上的需求，并且这样放置便于维护”，而“并不仅仅是一些服务器的集合”。通过对数据中心的管理实现对数据的可控、可管。国际社会已经开始形成这样的共识：数据已经成为支撑国家安全与发展的重要战略资源，占有控制数据，就占有了获取数据的巨大价值；谁能挖掘并能利用数据的真正价值，谁就等于扼住了时代发展的脉搏。当下，国家间数据主权的博弈争夺日益激烈，侵犯他国数据主权的现象亦时有发生，有些国家依仗技术优势正在推行数据霸权。我国对互联网领域的立法已日臻完善，对数据主权和数据管辖也提出了相应主张和规定，这就为治理跨境数据传输提供了法律依据。相信在《网络安全法》的统筹作用下，配套以完善的法规政策，我国的数据主权和数据管辖权会得到充分的保障和捍卫。

（三）以网络安全法为核心，完善数据跨境流通监管制度

当前，我国人口数量全球第一，数据应用市场复杂多变，如此庞大的用户群体使我国成为世界上数据储量最大、内容最丰富的国家。如何有效地存储和管理这些数据，数据跨境流动时又该如何维护公民的隐私权并保障其信息安全，捍卫数据主权和数据管辖权，都面临着严峻挑战。

刚刚实施的《网络安全法》是国家网络领域的基础性法律，奠定了我国信息网络领域法律治理的基调。该法强调了网络主权，注重个人信息保护，确立了数据离境存储制度、关键信息基础设施重要数据跨境传输的规则。但其不可能涵盖数据传输的方方面面或者细化每个方面的具体事项，所以需要有关部门在此基础上建立具体周详的法律政策，完善数据跨境流通监管制度。有效的监管制度应当在对数据管控的同时不影响数据正常的传输活动。应将涉及互联网数据传输的电信企业和CDN企业纳入法律的调整范围，对外国的数据入境和国内的数据出境进行双向实时监控，保护涉及国家安全、企业经营和公民隐私的数据，严控特定信息的跨境传输。同时对在国内传输的数据进行审查，严格监控其传播流向，防止公民隐私被窃取，禁止传播颠覆意识形态的信息，完善舆情控制，保障社会稳定。［11］

（四）妥善处理跨境数据传输的难点问题

由于数据跨境流动的特殊性和难控性，数据跨境流动对国家数据主权产生了强烈冲击，而维护数据主权过程将面临很多难题，这些问题又是数据跨境传输中存在且亟待解决的。

跨境数据传输牵涉不同主体，且各主体管辖权交叉重叠。数据跨境流动时常涉及信息创造者、接收者和使用者，信息的发送地、运送地及目的地，信息基础设施的所在地，信息服务提供商的国籍及经营所在地等，［12］并且数据传输者、储存者、占有者的身份会出现分离，数据信息将受多个不同国家法律所管辖，而各国关于数据保护的法律或政策又不尽相同，如此造成数据主权冲突频发就在所难免了。如云计算、云存储中的数据主权归属问题争议很大。“云”已经替代传统硬件系统进行数据的存储和处理，即由网络来为数据的计算和存储提供资源和服务。诚如百度、阿里巴巴，以及英特尔、苹果、谷歌、亚马逊等跨国公司都向公众提供云服务的产品。国际社会对这些云储存、云计算中的数据归属问题没有统一定论，目前争议颇大。网络提供者为降低营运成本、提高客户满意度，时常将其提供的服务部分外包，如此会使问题更加复杂化，可能导致多个主体掌控着同一条数据而出现管辖的交叉和重复。

（五）积极传达中国的声音，呼唤数据保护的国际规则

目前，国际法或国际惯例中未对数据管辖和数据主权作出有关规定或参考，国际规则的制定尚处空白，国际社会也未对各国数据主权管控范围进行划分。［13］数据由企业（大部分为跨国公司）和无政府组织主导运行，游离于政府管辖之外。各国从维护自身利益出发，在加强本国数据管控的同时，积极主张本国国民在他国的数据权利，造成数据主权的延伸以及基于主权交叉导致的重复管辖，甚至会引起数据管辖权争夺的情况。当数据遭遇多重管辖时就会出现服务提供商挑选法律的现象，导致网络服务商通过信息转移逃避对数据保护的国内规制，从而使数据主权面临挑战，加剧数据管控的复杂性。

在各国数据保护和跨境数据流通立法存在差异的情况下，国际法和一般国际规则发挥着求同存异的规范作用，而数据的跨境传输必须置于法律监管之下。现如今，个人数据跨境流动日益频繁，数字经济大发展的现状更是要求尽快制定相关国际规则，弥补国际法中数据跨境传输、数据主权以及数据管辖权的空白。作为世界大国，我国在制定完善个人数据保护、数据跨境传输等相关制度的同时，应注重与国际接轨，积极参与国际规则的制定，在数据治理和传输的国际治理中有所作为。

总之，当今世界形势多变，反全球化浪潮兴起，国际政治扑朔迷离。跨境数据传输具有涉及利益众多、波及面广、治理难度大的特点，在网络科技发展一日千里的今天，越来越多的国家意识到数据信息的战略意义。欧洲一体化正面临严重挑战，但主要欧盟成员已形成完备的数据权利意识并建立了有效的保护体系，美国数据优势地位明显，数据霸权暗流涌动。作为网络信息领域的后起之秀，凭借中国今日的能量和成就，必然在世界多极化中承担重要角色。所以，对于数据的跨境传输特别是涉及中国的数据问题，我们必须严肃、慎重，不仅要用战略眼光维护中国的数据主权，明确并行使数据管辖权，还要让世界倾听中国的声音，构建跨境数据传输的良性发展环境。

［1］秦安．学习贯彻网络安全法［J］．中国信息安全，2016，（12）：29．

［2］［4］［5］孙斯汀．欧美个人数据保护制度比较研究［D］．中国政法大学硕士学位论文，2008．32．

［3］刘敏敏．《欧盟个人数据保护指令》的改革和启示［D］．西南政法大学硕士学位论文，2014．1．

［6］See The Court of Justice declares that the Commission＇s US Safe Harbour Decision is invalid，press Release No 117 ／15．Judement in Case C－362／14．Court of Justice of the European U-nion，Luxembourg，6 October 2015．

［7］See ECJ Rules EU－US Safe Harbor Programme is Invalid，Lawflash，2015，pp4－5．

［8］See Davinia Brennan．The European Commission Releases EU－US Privacy Shield，L＆A Goodbody．

［9］［12］［13］杜雁芸．大数据时代国家数据主权问题研究［J］．国际观察，2016，（03）：4－11．

［10］See Reed Smith：Russia ToIncrease Data Audits In 2016 With Data localization Law and More News On The EU＇s Safe Harbor Ruling．Worldwide．January 11．2016．

［11］王永刚．完善立法、明确网络主权、控制数据主权［EB／OL］．人民网，http://opinion.people.com.cn/n/2015/0205/c1003-26511363.html．

（责任编辑：王秀艳）

The Transition of US－EU Transnational Policies in Personal Data and Its Enlightenment to China

Wang Shunqing，Liu Chao

The Transnational Policies in Personal Data between United States and European Union have changed a lot since 1900s．Compromises and conflicts were side－by－side during this period．The paper was based on transition of policies in US－EU；analysising causes factors behind transition and summarize enlightenment to China．Considering that China should perceive wisely therelationship between civildata rightsand information security，realizing whatdata sovereignty and data jurisdiction means to national strategy．Furthermore，under the guide of Cyber Security Law，the supervise institution of transnational data should be consummated．Be circumspect and handling properly the difficulties，taking an active part in formulating international rules，emitting Chinese voice and make a difference to national community．

s：information security；data sovereignty；data jurisdiction；data transmission

D922．16

A

1007－8207（2017）08－0096－07

2017－04－07

王顺清 （1992—），男，江苏扬州人，南京财经大学法学院硕士研究生，研究方向为国际法；刘超 （1969—），男，江西赣江人，南京财经大学教授，法学博士，硕士研究生导师，研究方向为国际法、欧盟法。