从美国《2015年网络安全信息共享法案》看网络监控与隐私权保护

徐优萍

烟台大学，山东 烟台 264005

一、《2015年网络安全信息共享法案》中的网络监控与隐私权保护

(一)信息共享主体与范围

总结《2015年网络安全信息共享法案》第3条的一般规定，联邦政府应当同联邦实体与非联邦实体共享相关的以解密的、非机密的(包括受控非机密)网络威胁指征①和防御措施以及网络安全威胁或受授权使用的相关信息。同时联邦政府亦可同适当的公众共享非机密网络威胁指征和防御措施。由此可见，信息共享的主体为联邦实体、非联邦实体与相关公众。

(二)信息共享的目的

《2015网络安全信息共享法》信息共享的目的仅仅限定于保护信息系统或信息系统中存储、处理或传输的信息，免受网络安全威胁或安全漏洞的影响。该法案在第5(d)(5)(A)中具体规定为：“联邦实体或非联邦实体根据本编向联邦政府提供的网络威胁指征或者防御措施，仅限于如下目的：网络安全目的，应对、阻止或者减轻紧急的死亡威胁或严重身体损害，应对、预防或者减轻对未成年人的性剥削和人身安全威胁，应对、预防或者减轻与欺诈或者盗用身份相关的行为、与间谍和审查制度相关的行为以及与侵害商业秘密有关的行为。”②随后法案规定，不得以上述所列目的之外的任何目的向任何联邦机构或部门披露或由其保存、使用。由此可以推断，网络安全信息共享的目的仅限于上述列举。

(三)信息共享方式

该法案整体在信息共享方式上倡导的是一种自愿共享方式。其中，第8(g)明确规定③，联邦政府不得采取任何威胁性或者引诱性措施迫使非联邦实体与其共享信息，也不得设置与非联邦实体分享信息的前提条件。正如上文所述，在网络信息与国家安全或恐怖主义活动有关时，政府机构在持有外国情报监控法庭的“调取令”前提下可以强制联邦实体或非联邦实体进行信息共享，整体上该法案倡导的是网络信息的自愿共享。

(四)信息共享权力限制

1.不对无网络安全威胁的个人信息进

行共享《2015年网络安全信息法》第3条规定，联邦政府在共享网络威胁指征之前，应当审查网络威胁指征，以移除不直接涉及网络安全威胁的个人信息。使用技术措施移除联邦实体在共享时已知的，并不直接涉及网络安全威胁，而是属于特定个体的个人信息，或者能够识别特定个体的信息。出现共享任何美国人民的个人信息时，及时通知上述人员。此处设置网络安全信息共享的前置审查措施，避免将不直接涉及网络安全的个人信息进行共享，威胁公民的个人隐私。

2.第5条(b)专门对隐私和公民自由作出具体规定

《2015年网络安全信息共享法》多次对隐私权作出相关规定。其中，第5条(b)(3)包括对隐私和公民自由进行保护的规定，其要求司法部长和国土安全部部长及相关的国土安全部负责人与相关官员进行磋商，共同制定与公民自由和隐私保护相关的指南。

该指南应该对联邦实体接收、保存、使用以及传播其获得的与本编授权活动有关的网络威胁指征做出相应的规定。该指南的内容(归纳为几个方面)在设计上应当包括五个方面：第一，限制联邦政府依据本编实施的活动对隐私和公民的影响；第二，限制包含特定的个人信息或者能够识别出特定个体之信息的网络威胁指征的接收、保存使用以及传播，包括——建立相应机制，及时销毁已知的与本编授权使用不直接相关的信息；第三，对网络威胁指征存储期限施加以特别限制；第四，指南也应当规定对未经授权访问含有特定的个人信息，或者能够识别的特定个体之信息的网络威胁指征的联邦政府官员、职员或者代理人违反指南的适当制裁。当接收信息的联邦实体认为接收到的信息不构成一项网络威胁指征时，通知其他实体和联邦实体的程序。最大限度地保护含有特定个体信息，或能识别特定个体之信息的网络威胁指征的机密性，同时需通知接收者该指征仅可基于本编授权的目的使用；同时，在规定与联邦政府共享或为其提供信息时，法案也规定，要保护特定个体的个人信息和能识别特定个体的信息免于未经授权使用或者披露及其机密性。

3.在政府活动监督部分规定个人信息移除的独立报告

《2015年网络信息安全共享法案》规定：自本法制定之日起3年内，美国联邦政府审计总长应当根据本编的规定，向国会提供移除网络威胁指征或防御措施中的个人信息所采取的措施，向国会提供一份报告。该报告应当包含对依据本编制定的政策、程序和指南，在保护隐私和公民自由问题上的充分性进行评估。

二、美国网络监控立法对我国网络安全立法的启示

(一)建立安全信息自愿共享机制

在网络服务商与政府之间建立安全信息自愿共享机制。该自愿共享机制应当包括共享方式、共享范围以及人事设置的规定。在共享的方式上，网络服务商与政府按照自愿原则与政府实施信息共享，自愿与政府进行信息共享的网络服务商应当在网络服务合同中明确提示网络使用者的信息有安全威胁时可能被与政府共享；在共享的范围上，限于分享有安全威胁的信息以及网络防御信息，严禁对安全没有影响的个人信息进行共享；在人事设置方面，聘请专业的网络技术人员对相关信息进行实时分析，筛选有安全威胁的信息和无威胁的个人信息。

(二)建立信息共享的强制机制

在网络服务商不愿意进行信息共享时，学习借鉴美国《美国自由法案》中的相关规定，限制政府的网络监控权。首先，只有网络服务提供方才能收集、储存相关信息，只有政府或者相关国家机关认为有些信息存在安全隐患、并取得相应的许可时，才能调取网络服务商储存的个人信息或者进行网络监控；再次，对实施网络监控的前提进行严格限制，在相关立法中进行详尽式列举，不能仅仅局限于“国家安全的需要”此类抽象规定；同时，要设立严格的证据制度。政府想获取个人信息必须达到以下标准：第一，有证据证明犯罪事实已经发生；第二，有证据表明，获取相关信息有助于查明案件事实；再次，证明网络监控只能作为最后手段。最后，设立责任豁免制度，在政府和国家机关提供相关证据的前提下，对政府和国家机关或者其授权或委托的技术人员为网络安全而进行的涉及侵犯个人隐私的行为进行免责，以避免造成滥诉。

(三)建立信息共享的监督与评估机制

定期对政府、国家机关、网络服务商共享的网络信息进行审查评估，如果认为其不再存在安全威胁或者经调查后没有安全威胁，应当立即从政府或者国家机关的系统中移除。负责进行评估的部门或者机构应当定期作评估报告，报告的内容包括共享的信息是否对网络安全构成威胁、对网络构成的威胁程度以及评估结论。信息共享的监督评估机构应当独立于与网络服务商进行共享的政府机构，保证其评估的可靠性及专业性。

网络监控立法中的隐私权保护是一个极为复杂的体系，其涉及宪法、民法、刑事诉讼法、行政法等多个领域。特别是隐私权日渐受到重视的现代社会，更要求网络监控中隐私权的保护更为细化，从监控的授权到监控过程再到监控结束都需要严格对隐私权进行保护。希望通过借鉴美国网络监控中对隐私权的保护形式，能给我国网络监控方面隐私权保护的立法、执法和司法带来一定的启发。

[ 注 释 ]

①《2015网络安全共享法案》第2(7)条将网络威胁指征定义为：能够表明、描述或识别以下情况的信息；恶意侦查；能够打破安全控制或者利用安全漏洞的方法；安全漏洞；使用户能够合法地访问存储在信息系统上、由信息系统处理或传递信息系统的信息，从而使安全控制失效或利用安全漏洞的方法；恶意的网络指挥和控制；特定事故造成的实际或潜在危害，包括以描述网络安全威胁为目的产生的信息泄露；法律不禁止披露的任何网络威胁属性以及上述情况的结合.

②《2015网络安全共享法案》，Sec.5(d)(5)(A).

③例如，联邦政府不能要求某实体向联邦政府提供信息或者要求只有某实体向联邦政府提供网络威胁指征时，联邦政府才与该实体共享网络威胁指征.