方 婷,李欲曉

(1.西安交通大學(xué) 法學(xué)院，陜西 西安 710049;2.北京郵電大學(xué) 國(guó)際學(xué)院，北京 100876)

?

安全與隱私：美國(guó)網(wǎng)絡(luò)安全信息共享的立法博弈分析

方 婷1,李欲曉2

(1.西安交通大學(xué) 法學(xué)院，陜西 西安 710049;2.北京郵電大學(xué) 國(guó)際學(xué)院，北京 100876)

美國(guó)網(wǎng)絡(luò)安全信息共享目的、范圍、主體和程序的條款規(guī)定引發(fā)了安全倡導(dǎo)者與私權(quán)擁護(hù)者關(guān)于安全與隱私的激烈爭(zhēng)論，其中既有關(guān)政府使用共享信息的目的條款保障人類網(wǎng)絡(luò)空間生存權(quán)得以實(shí)現(xiàn),又有共享的網(wǎng)絡(luò)威脅信息范圍條款界定存在瑕疵，共享的政府參與主體條款違反正當(dāng)法律程序規(guī)定，共享前的個(gè)人信息移除程序條款違反比例原則的要求；通過(guò)建立政府與私營(yíng)企業(yè)的信任機(jī)制，增強(qiáng)共享政策、程序、措施實(shí)施的透明度，建立激勵(lì)機(jī)制，制定信息共享協(xié)議等，能夠有效實(shí)現(xiàn)網(wǎng)絡(luò)安全信息共享立法中安全與隱私的博弈均衡。

網(wǎng)絡(luò)安全信息共享；安全；隱私；網(wǎng)絡(luò)威脅指標(biāo)

全球化融合態(tài)勢(shì)下，網(wǎng)絡(luò)威脅信息成為網(wǎng)絡(luò)防御的關(guān)鍵要素，及時(shí)共享和分析有價(jià)值的網(wǎng)絡(luò)威脅信息已被視為新技術(shù)背景下提升整體網(wǎng)絡(luò)安全態(tài)勢(shì)感知能力的重要內(nèi)容。為了回應(yīng)在美國(guó)持續(xù)發(fā)生的一系列大規(guī)模網(wǎng)絡(luò)攻擊事件*2014年至2015年初，零售商塔吉特(Target)公司、易趣(eBay)公司、世界最大的家裝零售商家得寶公司(Home Depot)、摩根大通(J.P.Morgan Chase)、醫(yī)療保險(xiǎn)公司安澤姆(Anthem)公司、索尼(Sony)電影公司等企業(yè)相繼遭到破壞性的網(wǎng)絡(luò)攻擊。，增強(qiáng)公共與私營(yíng)部門共同應(yīng)對(duì)網(wǎng)絡(luò)安全威脅的能力，避免“網(wǎng)絡(luò)珍珠港”(Cyber Pearl Harbor)事件的發(fā)生，出于改善政府與私營(yíng)企業(yè)之間共享技術(shù)漏洞、網(wǎng)絡(luò)入侵、惡意攻擊等技術(shù)細(xì)節(jié)和預(yù)警信息的目的，網(wǎng)絡(luò)安全信息共享立法已成為近年來(lái)美國(guó)國(guó)會(huì)優(yōu)先考慮的事項(xiàng)*自2011年開始，支持和倡導(dǎo)網(wǎng)絡(luò)安全信息共享立法的國(guó)會(huì)議員先后提起了多項(xiàng)有關(guān)網(wǎng)絡(luò)安全信息共享的綜合性和專門性立法議案，如《2011年促進(jìn)和增強(qiáng)網(wǎng)絡(luò)安全和信息共享效力法案》、《2011年網(wǎng)絡(luò)安全強(qiáng)化法案》(H.R.2096，作為H.R.756議案在第113屆國(guó)會(huì)再次提出)、《2011年網(wǎng)絡(luò)情報(bào)共享和保護(hù)法案》(H.R.3523，作為H.R.624議案在第113屆國(guó)會(huì)再次提出，作為H.R.234議案在第114屆國(guó)會(huì)再次提出)、《2012年推進(jìn)美國(guó)網(wǎng)絡(luò)信息和技術(shù)研究及發(fā)展法案》(H.R.3834)、《2012 年網(wǎng)絡(luò)安全法案》(S.2105)以及該法案的修正版本(S.3414)和替代版本(S.3342)、《2014年網(wǎng)絡(luò)安全信息共享法案》(S.2588，作為S.754在第114屆國(guó)會(huì)再次提出)、《2015年保護(hù)網(wǎng)絡(luò)空間法案》(H.R.1560)、《2015年國(guó)家網(wǎng)絡(luò)安全保護(hù)增強(qiáng)法案》(H.R.1731)，重點(diǎn)關(guān)注政府和私營(yíng)企業(yè)之間有關(guān)網(wǎng)絡(luò)威脅的信息共享。。其中，第114屆國(guó)會(huì)眾議院《保護(hù)網(wǎng)絡(luò)空間法案》(H.R.1560)*2015年3月24日，眾議院特別情報(bào)委員會(huì)(House Permanent Select Committee on Intelligence)提出《保護(hù)網(wǎng)絡(luò)空間法案》(Protecting Cyber Networks Act,PCNA)，并于4月13日修訂發(fā)布，最終于2015年4月22日在眾議院以307:116的票數(shù)通過(guò)。、《國(guó)家網(wǎng)絡(luò)安全保護(hù)增強(qiáng)法案》(H.R.1731)*2015年4月13日，眾議院國(guó)土安全委員會(huì)(House Homeland Security Committee)提出《國(guó)家網(wǎng)絡(luò)安全保護(hù)增強(qiáng)法案》(National Cybersecurity Protection Advancement Act,NCPAA)，并于4月17日修訂發(fā)布，最終于2015年4月23日在眾議院以355:63的票數(shù)通過(guò)。和參議院《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)*2015年3月13日，美國(guó)《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)在參議院情報(bào)委員會(huì)(Select Committee on Intelligence)以14:1的票數(shù)通過(guò)，經(jīng)過(guò)多次修正，法案最終于2015年10月27日在參議院以74:21的票數(shù)通過(guò)。均已取得重大進(jìn)展。然而，參議院《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)的相關(guān)表述在美國(guó)民權(quán)組織、公民自由組織、安全專家和部分學(xué)者中仍存有關(guān)于安全與隱私的重大爭(zhēng)議[1]。因此，以《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)為分析對(duì)象，美國(guó)網(wǎng)絡(luò)安全信息共享立法中安全與隱私的爭(zhēng)議焦點(diǎn)是什么，法案文本中如何體現(xiàn)安全與隱私的立法博弈，怎樣理性解讀安全與隱私在美國(guó)網(wǎng)絡(luò)安全信息共享的立法博弈，美國(guó)網(wǎng)絡(luò)安全信息共享立法中安全與隱私博弈的發(fā)展趨勢(shì)如何，都是值得深入探討和解決的問題。

一、美國(guó)網(wǎng)絡(luò)安全信息共享的目的條款爭(zhēng)議

(一)美國(guó)網(wǎng)絡(luò)安全信息共享的目的條款規(guī)定

《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)首先明確了法案制定的目的旨在通過(guò)增強(qiáng)的網(wǎng)絡(luò)安全威脅信息共享，保障美國(guó)的網(wǎng)絡(luò)安全。具體而言，這一立法目的通過(guò)對(duì)私營(yíng)企業(yè)和政府機(jī)構(gòu)雙方做出的規(guī)定得以體現(xiàn)。一方面，私營(yíng)企業(yè)可以基于網(wǎng)絡(luò)安全目的共享、接收或使用網(wǎng)絡(luò)威脅信息；另一方面，聯(lián)邦政府機(jī)構(gòu)對(duì)其接收的網(wǎng)絡(luò)威脅信息進(jìn)行披露、存留和使用的目的包括：①網(wǎng)絡(luò)安全目的；②識(shí)別網(wǎng)絡(luò)安全威脅(包括此類網(wǎng)絡(luò)安全威脅的來(lái)源)或安全漏洞；③識(shí)別國(guó)外敵對(duì)勢(shì)力或恐怖分子使用信息系統(tǒng)引發(fā)的網(wǎng)絡(luò)安全威脅；④響應(yīng)、減輕或防止因恐怖活動(dòng)或使用大規(guī)模殺傷性武器而造成的死亡威脅，嚴(yán)重的人身傷害或經(jīng)濟(jì)損失；⑤響應(yīng)、減輕或防止針對(duì)未成年人的嚴(yán)重威脅(包括性剝削和人身安全的威脅)；⑥阻止、調(diào)查或起訴特定的犯罪(包括嚴(yán)重的暴力犯罪，欺詐和身份盜竊犯罪，間諜罪，以及侵犯商業(yè)秘密的犯罪)。法案中，“網(wǎng)絡(luò)安全目的”被界定為：“保護(hù)信息系統(tǒng)及系統(tǒng)中存儲(chǔ)、處理或傳輸?shù)男畔⒚馐芫W(wǎng)絡(luò)安全威脅或安全漏洞的影響*《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)第5(d)(5)條?！?。

(二)美國(guó)網(wǎng)絡(luò)安全信息共享目的條款的安全與隱私爭(zhēng)議分析

法案的上述規(guī)定引發(fā)了來(lái)自美國(guó)公民自由聯(lián)盟(American Civil Liberties Union,ACLU)、民主與技術(shù)中心(The Center for Democracy and Technology,CDT)、電子前沿基金會(huì)(Electronic Frontier Foundation,EFF)等民權(quán)組織的強(qiáng)烈質(zhì)疑，其認(rèn)為《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)將政府使用共享信息的目的*《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)將其規(guī)定為“聯(lián)邦政府對(duì)其接收的網(wǎng)絡(luò)威脅信息進(jìn)行披露、存留和使用的目的”。進(jìn)行了廣義界定，包括網(wǎng)絡(luò)安全以外的寬泛目的，如實(shí)施國(guó)外監(jiān)聽或反間諜情報(bào)活動(dòng)，甚至規(guī)定可用于廣義的國(guó)家安全、執(zhí)法和反恐目的，這樣一來(lái)，將導(dǎo)致網(wǎng)絡(luò)安全信息共享演變?yōu)楹戏ㄊ跈?quán)的后門監(jiān)聽方式，嚴(yán)重威脅隱私和公民自由。尤其是在美國(guó)國(guó)家安全局“棱鏡門”監(jiān)控項(xiàng)目曝光之后，立法中對(duì)政府使用共享信息目的的寬泛界定可能導(dǎo)致政府有關(guān)部門的監(jiān)聽權(quán)力被再次擴(kuò)大。正如微軟公司可信賴計(jì)算部全球副總裁斯科特·查尼(Scott Charney)在2015年第114屆參議院題為“保護(hù)美國(guó)不受網(wǎng)絡(luò)攻擊：信息共享的重要性”的國(guó)會(huì)聽證中所指出的，政府不應(yīng)當(dāng)通過(guò)信息共享來(lái)確?；虼龠M(jìn)執(zhí)法或國(guó)家安全目標(biāo)的實(shí)現(xiàn)，因?yàn)樾畔⒐蚕碇荚谧栽腹蚕硇畔⒁孕纬筛鼜?qiáng)大的網(wǎng)絡(luò)防御能力，其不同于執(zhí)法和國(guó)家安全的要求[2]。然而，保護(hù)美國(guó)的網(wǎng)絡(luò)聯(lián)盟(Protecting America′s Cyber Networks Coalition)、美國(guó)商會(huì)(U.S.Chamber of Commerce)以及美國(guó)金融、能源等行業(yè)協(xié)會(huì)均認(rèn)為，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)旨在保護(hù)美國(guó)的網(wǎng)絡(luò)系統(tǒng)，其不是一項(xiàng)如某些隱私倡導(dǎo)者所聲稱的監(jiān)聽法案，事實(shí)上，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)并未授權(quán)實(shí)施等同于聯(lián)邦刑事犯罪監(jiān)聽法律或《外國(guó)情報(bào)監(jiān)聽法》(Foreign Intelligence Surveillance Act,FISA)規(guī)定的電子監(jiān)聽行為，并且美國(guó)國(guó)家安全局的監(jiān)控問題與網(wǎng)絡(luò)安全信息共享立法無(wú)關(guān)*參見2015年8月19日“網(wǎng)絡(luò)安全信息共享立法：共享網(wǎng)絡(luò)威脅指標(biāo)——區(qū)分事實(shí)與虛構(gòu)”的文件https://www.uschamber.com/sites/default/files/cisa_ctis_separating_fact_from_fiction_aug_19_final.pdf.。

筆者認(rèn)為，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)的目的條款充分體現(xiàn)了網(wǎng)絡(luò)安全信息共享立法的目的，即提高公共和私營(yíng)部門共同應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的能力，保障美國(guó)的網(wǎng)絡(luò)安全。正如美國(guó)心理學(xué)家亞伯拉罕·馬斯洛所指出的，安全是人類最基本的需求*美國(guó)心理學(xué)家亞伯拉罕·馬斯洛在其1943年發(fā)表的《人類動(dòng)機(jī)的理論》一書中提出需求層次理論(Need-hierarchy theory)，將人的需求劃分為五個(gè)層次，由較低層次到較高層次依次為生理需求、安全需求、社會(huì)需求、尊重需求和自我實(shí)現(xiàn)需求。，網(wǎng)絡(luò)安全信息共享立法的提出即是人們實(shí)現(xiàn)其網(wǎng)絡(luò)空間安全需求的重要表現(xiàn)。從更深層的角度來(lái)看，信息技術(shù)的高速發(fā)展促使人類社會(huì)對(duì)網(wǎng)絡(luò)空間的高度依賴，作為獨(dú)立于陸地、海洋、航空、航天以外的第五維空間，網(wǎng)絡(luò)空間的安全在國(guó)家安全、社會(huì)民生、經(jīng)濟(jì)發(fā)展和政府事務(wù)中的基礎(chǔ)性作用不斷凸顯，并逐步成為保障整個(gè)社會(huì)持續(xù)運(yùn)轉(zhuǎn)的重要支撐。美國(guó)作為高度信息化的國(guó)家之一，保障公民的網(wǎng)絡(luò)空間安全需求和網(wǎng)絡(luò)空間“生存權(quán)”[3]已經(jīng)成為其當(dāng)前立法的迫切需求，而網(wǎng)絡(luò)安全信息共享能夠促使政府和企業(yè)及時(shí)獲取和分析信息系統(tǒng)本身的安全漏洞，網(wǎng)絡(luò)入侵、惡意攻擊的技術(shù)細(xì)節(jié)和預(yù)警信息等網(wǎng)絡(luò)威脅信息，是保障人類網(wǎng)絡(luò)空間生存權(quán)和安全需求得以滿足的有效手段和必要途徑。正如霍布斯所言，“人民的安全乃是至高無(wú)上的法律”[4]317，作為現(xiàn)階段關(guān)系到人類網(wǎng)絡(luò)空間生存權(quán)和內(nèi)心安全需求實(shí)現(xiàn)的重要載體，網(wǎng)絡(luò)安全信息共享立法所積極追求的安全目標(biāo)應(yīng)當(dāng)在具體條款中得以體現(xiàn)。

其次，在全球化融合態(tài)勢(shì)下，互聯(lián)互通的信息系統(tǒng)已經(jīng)發(fā)展成為支撐整個(gè)社會(huì)持續(xù)運(yùn)轉(zhuǎn)的基礎(chǔ)設(shè)施，因此，網(wǎng)絡(luò)信息系統(tǒng)本身的機(jī)密性、完整性和可用性的安全要求與整體的國(guó)家安全需求密不可分，尤其是網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)間諜、網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)恐怖主義等行為的日益猖獗更是對(duì)國(guó)家安全提出了嚴(yán)峻挑戰(zhàn)?；诖?，美國(guó)《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)的上述條款對(duì)政府使用共享信息的目的進(jìn)行了寬泛界定，除規(guī)定用于“網(wǎng)絡(luò)安全目的”之外，還包括反恐、反間諜情報(bào)甚至偵查嚴(yán)重暴力犯罪等廣義的國(guó)家安全和執(zhí)法目的，其實(shí)質(zhì)上是根據(jù)當(dāng)前國(guó)家安全利益需求的凸顯程度及對(duì)其加以維護(hù)的緊迫性所做出的理性判斷。正如前文所述，重要的網(wǎng)絡(luò)威脅信息共享是防御網(wǎng)絡(luò)攻擊的關(guān)鍵要素，同時(shí)，基于安全標(biāo)準(zhǔn)的法規(guī)遵從策略在應(yīng)對(duì)復(fù)雜的、不斷發(fā)展的網(wǎng)絡(luò)威脅行為時(shí)已凸顯乏力[5]。因此，在某種程度上，美國(guó)網(wǎng)絡(luò)安全信息共享的目的條款中對(duì)政府使用共享信息的目的所做出的廣義界定是保障國(guó)家安全利益和有效應(yīng)對(duì)當(dāng)前安全形勢(shì)的必然要求。

值得注意的是，“規(guī)則本身是空無(wú)的、曲解的和沒有定說(shuō)的……法律規(guī)則本身沒有基本的意義，所以解釋是對(duì)法律規(guī)則暴力式的偷竊式的理解，其目的是強(qiáng)加一個(gè)方向，強(qiáng)加一個(gè)意志，強(qiáng)迫法律規(guī)則參與不同的游戲?！盵6]美國(guó)民權(quán)組織對(duì)《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)的上述條款進(jìn)行的解釋在某種程度上曲解了網(wǎng)絡(luò)安全信息共享立法的目的。如前所述，網(wǎng)絡(luò)安全已經(jīng)構(gòu)成總體國(guó)家安全不可分割的重要組成部分，法案的目的并非在于為執(zhí)法機(jī)構(gòu)和情報(bào)部門提供侵犯公民隱私和通信的后門機(jī)制，其實(shí)質(zhì)目的在于促進(jìn)美國(guó)公共與私營(yíng)部門之間有關(guān)網(wǎng)絡(luò)威脅信息的共享，以充分整合政府和企業(yè)在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)預(yù)防和風(fēng)險(xiǎn)控制方面的技術(shù)能力和資源優(yōu)勢(shì)，保障網(wǎng)絡(luò)安全甚至國(guó)家安全。

二、美國(guó)網(wǎng)絡(luò)安全信息共享范圍的條款爭(zhēng)議

(一)美國(guó)網(wǎng)絡(luò)安全信息共享范圍的條款規(guī)定

美國(guó)《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)規(guī)定，網(wǎng)絡(luò)安全信息共享的范圍包括：安全漏洞、網(wǎng)絡(luò)威脅以及用于防止或減輕網(wǎng)絡(luò)攻擊所采取的努力和對(duì)策，幾乎包括與網(wǎng)絡(luò)威脅相關(guān)的任何類型的信息，概括而言，即為法案第2(6)條界定的“網(wǎng)絡(luò)威脅指標(biāo)”(Cyber Threat Indicator,CTI)和第2(7)條界定的防御性措施(Defensive Measure)兩大類，其中“網(wǎng)絡(luò)威脅指標(biāo)”(Cyber Threat Indicator,CTI)是指“對(duì)于描述或識(shí)別下列七類網(wǎng)絡(luò)數(shù)據(jù)而言必要的信息，包括惡意偵察(malicious reconnaissance)，例如異常模式的通信；破壞安全控制措施或利用安全漏洞的方法；安全漏洞；導(dǎo)致用戶在對(duì)信息系統(tǒng)或系統(tǒng)中存儲(chǔ)、處理或傳輸?shù)男畔⑦M(jìn)行合法訪問時(shí)不經(jīng)意地破壞安全控制措施的方法；惡意的網(wǎng)絡(luò)命令和控制；事件造成的實(shí)際或潛在的損害(包括因描述網(wǎng)絡(luò)安全威脅而引發(fā)的信息泄露)；任何其他性質(zhì)的網(wǎng)絡(luò)安全威脅?！蓖瑫r(shí)，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)將“防御性措施”(Defensive Measure)界定為“以信息系統(tǒng)及系統(tǒng)中存儲(chǔ)、處理或傳輸?shù)男畔楸Ｗo(hù)對(duì)象，所采用的用于防止、減輕已知或可疑的網(wǎng)絡(luò)安全威脅或安全漏洞的行動(dòng)、設(shè)備、程序、簽名、技術(shù)或其他措施?！痹诖耍瑓⒆h院情報(bào)委員會(huì)(Select Committee on Intelligence)修正了美國(guó)《網(wǎng)絡(luò)安全信息共享法案(2014版)》(S.2588)*2014年7月10日，《網(wǎng)絡(luò)安全信息共享法案(2014版)》(S.2588)在參議院情報(bào)委員會(huì)(Select Committee on Intelligence)以12:3的票數(shù)通過(guò)。該法案的內(nèi)容來(lái)源于2012年《網(wǎng)絡(luò)安全法案》(CSA)、2012年《利用研究、教育、信息和技術(shù)增強(qiáng)和提高網(wǎng)絡(luò)安全法案》(SECURE IT Act)和2013年《網(wǎng)絡(luò)情報(bào)共享與保護(hù)法案》(CISPA)。的相關(guān)條款，對(duì)“防御性措施”(Defensive Measure)的定義不包括授權(quán)使用通常被認(rèn)為具有進(jìn)攻性的措施，因?yàn)槠淇赡軐?duì)其他實(shí)體的信息系統(tǒng)造成實(shí)質(zhì)性損害，例如針對(duì)其他實(shí)體的信息系統(tǒng)進(jìn)行未經(jīng)授權(quán)的訪問或執(zhí)行計(jì)算機(jī)代碼。

(二)美國(guó)網(wǎng)絡(luò)安全信息共享范圍條款的安全與隱私爭(zhēng)議分析

美國(guó)民權(quán)組織指出，網(wǎng)絡(luò)安全信息共享的范圍界定對(duì)于隱私保護(hù)至關(guān)重要。然而，為了涵蓋需要共享的一切信息，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)對(duì)“網(wǎng)絡(luò)威脅指標(biāo)”(Cyber Threat Indicator,CTI)進(jìn)行了廣義界定，包括網(wǎng)絡(luò)攻擊中竊取的醫(yī)療記錄、財(cái)務(wù)記錄、密碼和密鑰材料、商業(yè)秘密等，因?yàn)檫@些信息能夠表明網(wǎng)絡(luò)安全事件造成的實(shí)際損害[7]。相反，保護(hù)美國(guó)的網(wǎng)絡(luò)聯(lián)盟(Protecting America′s Cyber Networks Coalition)則指出，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)對(duì)“網(wǎng)絡(luò)威脅指標(biāo)”(Cyber Threat Indicator,CTI)的定義限定了政府機(jī)構(gòu)和私營(yíng)企業(yè)共享的網(wǎng)絡(luò)威脅信息范圍，本質(zhì)上包括用于確定并幫助其抵御惡意行為人損害受害人計(jì)算機(jī)網(wǎng)絡(luò)的戰(zhàn)略、技術(shù)和程序，而不針對(duì)此類網(wǎng)絡(luò)或系統(tǒng)中包含的敏感個(gè)人信息*參見2015年8月19日“網(wǎng)絡(luò)安全信息共享立法：共享網(wǎng)絡(luò)威脅指標(biāo)——區(qū)分事實(shí)與虛構(gòu)”的文件https://www.uschamber.com/sites/default/files/cisa_ctis_separating_fact_from_fiction_aug_19_final.pdf.。

筆者認(rèn)為，“安全價(jià)值不是一種絕對(duì)價(jià)值，因?yàn)榘踩珒r(jià)值的實(shí)現(xiàn)，本身受到既對(duì)個(gè)人有益又對(duì)社會(huì)有益這個(gè)條件的限制。”[4]320在網(wǎng)絡(luò)安全問題凸顯之時(shí)，立法上的利益關(guān)注很容易偏向于主要作為社會(huì)利益出現(xiàn)的安全，而忽視對(duì)于個(gè)人合理利益的維護(hù)。如果從長(zhǎng)遠(yuǎn)來(lái)看，社會(huì)利益和個(gè)人利益在本質(zhì)上是趨于一致的，即如密爾所說(shuō)的“公眾的永久利益是同個(gè)人權(quán)利結(jié)合在一起的”[8]53，那么，從現(xiàn)實(shí)和短期來(lái)看，這種一致性在很多情況下是不存在的。通過(guò)分析不難看出，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)對(duì)美國(guó)網(wǎng)絡(luò)安全信息共享范圍的廣義界定就是為了優(yōu)先保障作為社會(huì)利益出現(xiàn)的人類網(wǎng)絡(luò)空間生存權(quán)和安全需求，而忽視了對(duì)公民個(gè)人隱私這一合法權(quán)益的保護(hù)。根據(jù)《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)對(duì)“網(wǎng)絡(luò)威脅指標(biāo)”(Cyber Threat Indicator,CTI)的定義，無(wú)辜用戶的網(wǎng)頁(yè)瀏覽活動(dòng)也將被視為一個(gè)分布式拒絕服務(wù)攻擊(Distributed Denial of Service,DDoS)*分布式拒絕服務(wù)攻擊(Distributed Denial of Service,DDoS)是互聯(lián)網(wǎng)環(huán)境下最具有破壞力的一種攻擊方式，它利用TCP/IP協(xié)議的缺陷和網(wǎng)絡(luò)帶寬資源的有限性，向被攻擊方惡意發(fā)送許多連接請(qǐng)求或無(wú)用的數(shù)據(jù)包，從而大量占用受害者的系統(tǒng)和帶寬資源，使其無(wú)法再繼續(xù)響應(yīng)其他正常用戶的請(qǐng)求。，因?yàn)榧夹g(shù)上很難從分布式拒絕服務(wù)攻擊(DDoS)的訪問中將用戶訪問網(wǎng)站的活動(dòng)分離出來(lái)，甚至針對(duì)與釣魚攻擊相關(guān)的通信文本而言，因?yàn)槠錁?gòu)成了破壞安全控制措施的方法，也將被納入網(wǎng)絡(luò)安全信息共享的范圍，從而嚴(yán)重侵犯公民的個(gè)人隱私。

從美國(guó)網(wǎng)絡(luò)安全信息共享的具體實(shí)踐可知，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)中界定的“網(wǎng)絡(luò)威脅指標(biāo)”(Cyber Threat Indicator,CTI)包括域名(Domain names)、互聯(lián)網(wǎng)協(xié)議地址(Internet protocol addresses)、日志數(shù)據(jù)(Log data)、惡意軟件(Malware)、數(shù)據(jù)包(packets)、端口(packets)、簽名(Signatures)、時(shí)間戳(Time/date stamps)、統(tǒng)一資源定位符(Uniform Resource Locator，URL)等數(shù)據(jù)，基于其技術(shù)特性，在大部分網(wǎng)絡(luò)事件中共享上述信息不會(huì)對(duì)個(gè)人的行為、金融或社會(huì)信息產(chǎn)生影響，但是，在某些情況下個(gè)人信息可能被嵌入“網(wǎng)絡(luò)威脅指標(biāo)”(Cyber Threat Indicator,CTI)或“防御性措施”(Defensive Measure)當(dāng)中，這就要求相關(guān)立法通過(guò)規(guī)范網(wǎng)絡(luò)安全信息共享的程序，明確網(wǎng)絡(luò)安全信息共享參與主體的義務(wù)及相應(yīng)的法律責(zé)任，為受害者提供侵權(quán)救濟(jì)的法律途徑等，以保障公民的個(gè)人隱私。

由此可見，一個(gè)法律規(guī)范需要設(shè)定一定的構(gòu)成要件，這種構(gòu)成要件本身就有衡量、斟酌的要求，而斟酌、衡量的目的在于尋求一種合理的平衡[9]?；诖?，如何在立法中對(duì)網(wǎng)絡(luò)安全信息共享的范圍進(jìn)行合理界定，確保在實(shí)踐中共享的“網(wǎng)絡(luò)威脅指標(biāo)”(Cyber Threat Indicator,CTI)或“防御性措施”(Defensive Measure)包含個(gè)人信息的情形被限定在一種可被接受的“極少數(shù)情況下”，實(shí)現(xiàn)網(wǎng)絡(luò)安全與個(gè)人隱私之間的動(dòng)態(tài)協(xié)調(diào)，是網(wǎng)絡(luò)安全信息共享立法始終面臨的重大考驗(yàn)，同時(shí)也將不可避免地成為利益相關(guān)者爭(zhēng)議的焦點(diǎn)問題。

三、美國(guó)網(wǎng)絡(luò)安全信息共享主體的條款爭(zhēng)議

(一)美國(guó)網(wǎng)絡(luò)安全信息共享主體的條款規(guī)定

美國(guó)網(wǎng)絡(luò)安全信息共享主體的條款爭(zhēng)議主要體現(xiàn)在有關(guān)“網(wǎng)絡(luò)安全信息共享的政府參與主體”方面，美國(guó)《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)第5(a)(3)條規(guī)定，司法部長(zhǎng)應(yīng)當(dāng)與適當(dāng)?shù)穆?lián)邦機(jī)構(gòu)負(fù)責(zé)人進(jìn)行協(xié)商，共同制定網(wǎng)絡(luò)安全信息共享的政策，確保私營(yíng)企業(yè)與聯(lián)邦政府機(jī)構(gòu)共享的“網(wǎng)絡(luò)威脅指標(biāo)”(Cyber Threat Indicator,CTI)可以通過(guò)實(shí)時(shí)的方式進(jìn)行下列傳輸：(1)與所有適當(dāng)?shù)穆?lián)邦政府機(jī)構(gòu)以自動(dòng)的方式共享；(2)在毫不遲延、不受更改且不受其他行動(dòng)阻礙的情形下，由所有適當(dāng)?shù)穆?lián)邦政府機(jī)構(gòu)實(shí)時(shí)接收；(3)可以被其他聯(lián)邦政府機(jī)構(gòu)獲取?！毒W(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)第2(3)條將“適當(dāng)?shù)穆?lián)邦政府機(jī)構(gòu)”范圍明確界定為“商務(wù)部、國(guó)防部、能源部、國(guó)土安全部、司法部、財(cái)政部和國(guó)家情報(bào)總監(jiān)辦公室”?；诖耍綘I(yíng)企業(yè)不僅要向國(guó)土安全部自愿且實(shí)時(shí)地共享“網(wǎng)絡(luò)威脅指標(biāo)”(Cyber Threat Indicator,CTI)，還要向商務(wù)部、國(guó)防部、能源部、司法部、財(cái)政部和國(guó)家情報(bào)總監(jiān)辦公室這些“適當(dāng)?shù)穆?lián)邦政府機(jī)構(gòu)”，甚至包括國(guó)家安全局、聯(lián)邦調(diào)查局和網(wǎng)絡(luò)司令部，“實(shí)時(shí)且毫不遲延、不受任何阻礙”地傳輸“網(wǎng)絡(luò)威脅指標(biāo)”(Cyber Threat Indicator,CTI)。

(二)美國(guó)網(wǎng)絡(luò)安全信息共享主體條款的安全與隱私爭(zhēng)議分析

美國(guó)網(wǎng)絡(luò)安全信息共享主體的條款中有關(guān)“與其他聯(lián)邦政府機(jī)構(gòu)自動(dòng)實(shí)時(shí)共享”的規(guī)定引發(fā)了美國(guó)國(guó)內(nèi)民權(quán)組織、其他公民自由組織、安全專家和部分學(xué)者的強(qiáng)烈反對(duì)。其中，民主與技術(shù)中心(The Center for Democracy and Technology,CDT)的隱私、監(jiān)聽和安全研究員杰克·萊朋如克(Jake Laperruque)表示，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)在事實(shí)上將允許私營(yíng)企業(yè)直接與國(guó)家安全局實(shí)時(shí)共享信息；美國(guó)公民自由聯(lián)盟(American Civil Liberties Union,ACLU)的立法顧問加布·柔特曼(Gabe Rottman)指出，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)不是一項(xiàng)信息共享法案，而應(yīng)當(dāng)被稱之為《愛國(guó)者法案(2.0版)》，因?yàn)槠涫跈?quán)向國(guó)家安全局提供大量的個(gè)人信息；此外，國(guó)土安全部在答復(fù)參議員弗蘭肯(Franken)的信件中進(jìn)一步指出，雖然目前《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)承認(rèn)需要制定相關(guān)的政策、程序來(lái)控制私營(yíng)企業(yè)與聯(lián)邦政府機(jī)構(gòu)之間網(wǎng)絡(luò)威脅信息的自動(dòng)共享，但是因?yàn)閷?duì)共享的要求規(guī)定為“不受任何遲延或更改”，將導(dǎo)致這些政策和程序不能有效降低某些聯(lián)邦政府機(jī)構(gòu)侵犯?jìng)€(gè)人隱私的風(fēng)險(xiǎn)*參見U.S.Department of Homeland Security′s Response to Senator Franken′s July 1,2015 letter.https://www.eff.org/files/2015/08/05/150731dhsresponse.pdf.。

理論上，美國(guó)憲法第五修正案和第十四修正案共同確立了正當(dāng)法律程序原則，要求“非經(jīng)正當(dāng)法律程序，不得剝奪任何人之生命、自由或財(cái)產(chǎn)?！币话愣裕?dāng)法律程序包括程序性和實(shí)質(zhì)性正當(dāng)法律程序兩部分內(nèi)容，而實(shí)質(zhì)性正當(dāng)法律程序是指，立法機(jī)關(guān)制定的法律和政府實(shí)施的行政行為必須符合正義的要求，在涉及剝奪、限制公民的生命、自由和財(cái)產(chǎn)時(shí)，必須提供充分的理由以證明其行為的必要性和正當(dāng)性，否則法院有權(quán)以其違反正當(dāng)法律程序?yàn)橛尚计錈o(wú)效[10]。然而，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)要求接收網(wǎng)絡(luò)威脅指標(biāo)(Cyber Threat Indicator,CTI)的任何聯(lián)邦政府機(jī)構(gòu)在毫不遲延且不更改信息的情況下將其傳輸至美國(guó)國(guó)防部、國(guó)家安全局和非軍事情報(bào)機(jī)構(gòu)，這意味著法案禁止任何阻礙實(shí)時(shí)信息共享的程序，例如針對(duì)與網(wǎng)絡(luò)安全威脅不相關(guān)的個(gè)人信息進(jìn)行過(guò)濾的程序，因?yàn)槠渥璧K了信息的快速共享而被忽略，這在某種程度上將導(dǎo)致私營(yíng)企業(yè)直接向情報(bào)機(jī)構(gòu)提供大量的個(gè)人可識(shí)別信息，嚴(yán)重侵害隱私和公民自由*2015年4月20日，包括美國(guó)公民自由聯(lián)盟(American Civil Liberties Union,ACLU)、民主與技術(shù)中心(The Center for Democracy and Technology,CDT)、電子前沿基金會(huì)(Electronic Frontier Foundation,EFF)在內(nèi)的民間社會(huì)組織、安全專家和學(xué)者向參議院遞交一封聯(lián)合信(114th April 2015 Oppose CISA Coalition Letter)，其中指出S.754未能確立國(guó)內(nèi)網(wǎng)絡(luò)安全的民用控制，法案優(yōu)先于所有法律以確保民用領(lǐng)域的運(yùn)營(yíng)企業(yè)與聯(lián)邦政府的任何機(jī)構(gòu)共享網(wǎng)絡(luò)威脅指標(biāo)，其中包括國(guó)家安全局。。

“盡管在憲法中可能沒有任何限制性規(guī)定，但立法機(jī)關(guān)仍被禁止提出抑善揚(yáng)惡的法案，提出破壞共和國(guó)自由偉大原則和有關(guān)社會(huì)契約偉大原則的法案”[11]。《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)授權(quán)私營(yíng)企業(yè)與“任何其他機(jī)構(gòu)或聯(lián)邦政府”共享“網(wǎng)絡(luò)威脅指標(biāo)”(Cyber Threat Indicator,CTI)和“防御性措施”(Defensive Measure)而“不受任何其他法律條款的限制”，這將違反美國(guó)的隱私保護(hù)規(guī)定，尤其是美國(guó)《存儲(chǔ)通信法》中限制特定服務(wù)商向政府披露電子通信內(nèi)容的規(guī)定。此外，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)將導(dǎo)致執(zhí)法機(jī)構(gòu)原本需要獲得監(jiān)聽令狀或法庭命令才可實(shí)施的監(jiān)聽活動(dòng)依據(jù)信息共享的相關(guān)法案可以直接實(shí)施，這將與1986年《電子通信隱私法》的正當(dāng)程序規(guī)定發(fā)生根本沖突[12]，也將為企業(yè)協(xié)助政府監(jiān)聽其信息系統(tǒng)和公民通信提供合法性支持，構(gòu)成對(duì)個(gè)人隱私利益的根本性侵害。

四、美國(guó)網(wǎng)絡(luò)安全信息共享程序的條款爭(zhēng)議

(一)美國(guó)網(wǎng)絡(luò)安全信息共享程序的條款規(guī)定

美國(guó)網(wǎng)絡(luò)安全信息共享程序的條款爭(zhēng)議主要體現(xiàn)在有關(guān)“聯(lián)邦政府機(jī)構(gòu)和私營(yíng)企業(yè)在信息共享前的個(gè)人信息移除程序”方面。具體而言，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)對(duì)參與網(wǎng)絡(luò)安全信息共享的聯(lián)邦政府機(jī)構(gòu)和私營(yíng)部門均設(shè)定了共享“網(wǎng)絡(luò)威脅指標(biāo)”之前的個(gè)人信息移除義務(wù)和程序，其中要求聯(lián)邦政府機(jī)構(gòu)和私營(yíng)部門在共享網(wǎng)絡(luò)威脅指標(biāo)之前主動(dòng)采取審查措施，以評(píng)估此類網(wǎng)絡(luò)威脅指標(biāo)(Cyber Threat Indicator,CTI)是否包含任何其在共享時(shí)可能“知道”的、與網(wǎng)絡(luò)安全威脅不直接相關(guān)的個(gè)人信息或可識(shí)別特定個(gè)人的任何信息，并采取適當(dāng)?shù)募夹g(shù)措施將其移除*參見《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)第3(b)(1)(E)條和第4(d)(2)條。。

(二)美國(guó)網(wǎng)絡(luò)安全信息共享程序條款的安全與隱私爭(zhēng)議分析

值得注意的是，美國(guó)網(wǎng)絡(luò)安全信息共享程序的條款中要求“聯(lián)邦政府機(jī)構(gòu)和私營(yíng)企業(yè)在信息共享前移除個(gè)人信息”的規(guī)定同樣引發(fā)了美國(guó)國(guó)內(nèi)民權(quán)組織、其他公民自由組織、安全專家和部分學(xué)者的廣泛質(zhì)疑，其在向參議院情報(bào)委員會(huì)(Select Committee on Intelligence)提交的“反對(duì)《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)當(dāng)前版本的聯(lián)合信”*參見Coalition Letter Opposing the Current Form of the Cybersecurity Information Sharing Act of 2015.中指出，雖然《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)要求私營(yíng)企業(yè)“審查”并移除可識(shí)別特定個(gè)人的“網(wǎng)絡(luò)威脅指標(biāo)”(Cyber Threat Indicator,CTI)，但是其并未設(shè)置合理的審查標(biāo)準(zhǔn)；同時(shí)，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)要求私營(yíng)企業(yè)僅在個(gè)人信息“與網(wǎng)絡(luò)安全威脅不直接相關(guān)”的情況下將其移除，這將鼓勵(lì)私營(yíng)企業(yè)基于疏忽而存留數(shù)據(jù)，向政府不必要地泄露無(wú)辜旁觀者和受害者的個(gè)人信息。相反，美國(guó)商會(huì)和一些行業(yè)團(tuán)體卻認(rèn)為，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)要求聯(lián)邦政府機(jī)構(gòu)和私營(yíng)企業(yè)在信息共享前主動(dòng)采取適當(dāng)?shù)膶彶榇胧┰u(píng)估網(wǎng)絡(luò)威脅指標(biāo)是否包含不必要的個(gè)人信息，這在一定程度上完善了美國(guó)《網(wǎng)絡(luò)安全信息共享法案(2014版)》(S.2588)的相關(guān)規(guī)定，關(guān)注了隱私保護(hù)的利益需求。

筆者認(rèn)為，根據(jù)比例原則的要求，立法者只有在維護(hù)公共利益的必要限度內(nèi)才可對(duì)公民的權(quán)利加以限制，基于此，立法者在對(duì)個(gè)人利益與公共利益進(jìn)行保護(hù)與平衡時(shí)需要仔細(xì)斟酌，特別是面對(duì)公共利益與個(gè)人利益沖突時(shí)更要具體斟酌產(chǎn)生的失衡度，以求得到較為合理的結(jié)果。從廣義上講，比例原則具體通過(guò)適當(dāng)性原則、必要性原則和均衡原則對(duì)法律規(guī)范進(jìn)行審查，其中適當(dāng)性原則用以審查手段與目的之間的關(guān)系，必要性原則用以審查較小侵害的可能替代手段，均衡要求對(duì)所牽涉的相關(guān)價(jià)值法益進(jìn)行輕重的權(quán)衡。在網(wǎng)絡(luò)安全信息共享立法當(dāng)中，適當(dāng)性原則要求考慮網(wǎng)絡(luò)安全信息共享這一手段是否有助于保障網(wǎng)絡(luò)安全這一目的的實(shí)現(xiàn)；必要性原則要求在同等有效達(dá)成網(wǎng)絡(luò)安全目的的手段中選擇對(duì)個(gè)人隱私利益侵害較小的手段；均衡原則要求所牽涉的網(wǎng)絡(luò)安全保障與個(gè)人隱私保護(hù)二者利益之間的適度平衡。

實(shí)踐中，私營(yíng)企業(yè)與聯(lián)邦政府機(jī)構(gòu)在信息共享前移除與網(wǎng)絡(luò)安全威脅不相關(guān)的個(gè)人信息這一程序構(gòu)成網(wǎng)絡(luò)安全信息共享的實(shí)施途徑，基于必要性原則，這一程序條款的設(shè)置應(yīng)當(dāng)遵循“最小侵犯原則”，即政府和私營(yíng)企業(yè)應(yīng)當(dāng)實(shí)施嚴(yán)格的數(shù)據(jù)最小化標(biāo)準(zhǔn)和程序*國(guó)土安全部前首席隱私專員瑪麗·艾倫·卡拉漢(Mary Ellen Callahan)在2015年第114屆眾議院“針對(duì)總統(tǒng)網(wǎng)絡(luò)安全信息共享建議的產(chǎn)業(yè)期望”的國(guó)會(huì)聽證上表示，私營(yíng)企業(yè)在共享網(wǎng)絡(luò)威脅指標(biāo)時(shí)至少可能提供三類信息，即與網(wǎng)絡(luò)安全威脅直接相關(guān)的信息，與網(wǎng)絡(luò)威脅有關(guān)的信息，以及在共享威脅指標(biāo)時(shí)附帶存留的信息，為了限制后兩類信息被共享的數(shù)量，私營(yíng)企業(yè)應(yīng)當(dāng)實(shí)施嚴(yán)格的數(shù)據(jù)最小化標(biāo)準(zhǔn)和程序。。然而，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)允許私營(yíng)企業(yè)與聯(lián)邦政府機(jī)構(gòu)之間共享網(wǎng)絡(luò)威脅指標(biāo)(Cyber Threat Indicator,CTI)中的個(gè)人信息和可識(shí)別信息，除非其“確定地知道”這一信息與網(wǎng)絡(luò)安全威脅不直接相關(guān)，但實(shí)際上很少會(huì)出現(xiàn)這種情況，企業(yè)仍然能夠共享其持有懷疑或強(qiáng)烈相信與網(wǎng)絡(luò)安全威脅不相關(guān)的個(gè)人信息，只要其在共享時(shí)主觀上對(duì)此情況并不明知，這將導(dǎo)致《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)在事實(shí)上默認(rèn)為允許私營(yíng)企業(yè)共享所有的個(gè)人可識(shí)別信息*2015年8月4日，美國(guó)公民自由聯(lián)盟(American Civil Liberties Union,ACLU)對(duì)“《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)的投票建議”(ACLU Vote Recommendation for S.754,the Cybersecurity Information Sharing Act of 2015)中建議不為S.754投票，因?yàn)槠洳⑽匆髲墓蚕淼男畔⒅幸瞥械膫€(gè)人可識(shí)別信息，只有在私營(yíng)企業(yè)共享時(shí)“知道”該信息與網(wǎng)絡(luò)安全威脅不“直接相關(guān)”時(shí)才必須移除信息。，甚至包括對(duì)于識(shí)別或應(yīng)對(duì)網(wǎng)絡(luò)安全威脅而言并不必要的個(gè)人信息*2015年7月27日，電子前沿基金會(huì)(Electronic Frontier Foundation,EFF)聯(lián)合超過(guò)68個(gè)安全專家、科技公司和民間社會(huì)組織向奧巴馬總統(tǒng)遞交一封聯(lián)合信(Coalition Letter CISA 114th President Obama to Veto)，以敦促其盡快否決《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)，因?yàn)槠渲械囊?guī)定嚴(yán)重威脅隱私和公民自由，未能保護(hù)用戶的個(gè)人信息，并允許私營(yíng)企業(yè)與政府共享大量的個(gè)人數(shù)據(jù)，甚至包括對(duì)識(shí)別或應(yīng)對(duì)網(wǎng)絡(luò)安全威脅而言并不必要的個(gè)人數(shù)據(jù)。。

更為重要的是，網(wǎng)絡(luò)安全信息共享立法的規(guī)范性程序要求是實(shí)現(xiàn)安全與隱私協(xié)調(diào)的有效途徑，針對(duì)“信息共享前移除個(gè)人信息的程序”規(guī)定，《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)能夠選擇更加合理的規(guī)定，以符合“最小侵犯原則”的要求。例如，在立法中規(guī)定“私營(yíng)企業(yè)僅應(yīng)當(dāng)在個(gè)人信息對(duì)于識(shí)別網(wǎng)絡(luò)安全威脅而言必要時(shí)才可以向政府提供此類信息”，而不是《網(wǎng)絡(luò)安全信息共享法案(2015版)》(S.754)中采取的相反界定方式；或者要求政府和私營(yíng)企業(yè)針對(duì)其即將共享的信息是否與網(wǎng)絡(luò)安全威脅相關(guān)這一問題進(jìn)行實(shí)質(zhì)審查，并設(shè)置基于“合理信賴”的審查標(biāo)準(zhǔn)，即只要企業(yè)基于合理信賴，認(rèn)為共享的個(gè)人信息與網(wǎng)絡(luò)安全威脅不相關(guān)，則其應(yīng)當(dāng)采取積極的技術(shù)措施，移除該個(gè)人隱私或個(gè)人可識(shí)別信息，上述規(guī)定都將從某種程度上嚴(yán)格規(guī)范政府和企業(yè)仔細(xì)審查其共享信息的義務(wù)和程序，從而將對(duì)個(gè)人隱私造成的侵害降至更低的程度[13]。

五、美國(guó)網(wǎng)絡(luò)安全信息共享立法的安全與隱私 博弈趨勢(shì)分析

美國(guó)國(guó)會(huì)參眾兩院推進(jìn)網(wǎng)絡(luò)安全信息共享立法的歷程表明，安全與隱私的爭(zhēng)議實(shí)質(zhì)上是美國(guó)國(guó)會(huì)立法倡導(dǎo)者、政府機(jī)構(gòu)、行業(yè)協(xié)會(huì)、民權(quán)組織和私營(yíng)企業(yè)等多方利益主體之間的利益博弈過(guò)程。

首先，兼顧安全與隱私的網(wǎng)絡(luò)安全信息共享立法是多方利益主體博弈的積極追求。網(wǎng)絡(luò)安全保障作為美國(guó)網(wǎng)絡(luò)安全信息共享的立法目的，與隱私保護(hù)之間在一定條件下有必要并且是可以妥協(xié)的。因?yàn)椤安扇∫环N妥協(xié)或互相調(diào)整的形式可能要比‘二者取其一’的方法更為可取。”[8]53在美國(guó)網(wǎng)絡(luò)安全信息共享立法中，維護(hù)網(wǎng)絡(luò)空間生存權(quán)有必要確立網(wǎng)絡(luò)安全利益優(yōu)先的原則，但是對(duì)這一原則又必須加以限制和補(bǔ)充，在個(gè)人隱私的保有與讓度之間劃出一條分界線，使得出于安全需要而犧牲的利益被限制在必要的限度內(nèi)[14]。正如龐德所言，這便是“盡可能多地滿足一些利益，同時(shí)使?fàn)奚湍Σ两档偷阶钚∠薅??！盵15]事實(shí)證明，破壞性網(wǎng)絡(luò)攻擊事件的頻發(fā)已經(jīng)促使網(wǎng)絡(luò)安全從事件信息共享發(fā)展為威脅情報(bào)共享，美國(guó)網(wǎng)絡(luò)政治、經(jīng)濟(jì)、軍事等國(guó)家安全利益在不斷豐富，公眾對(duì)隱私保護(hù)的期望也在不斷提升，特別是“斯諾登”事件披露的國(guó)家安全局監(jiān)控項(xiàng)目引發(fā)了隱私團(tuán)體的高度關(guān)注。然而，有關(guān)安全與隱私之間均衡追求的努力從未停止過(guò)，美國(guó)在“9.11事件”之后通過(guò)的《國(guó)土安全法》即為最好的例證。

其次，在法案引發(fā)爭(zhēng)議的過(guò)程中，美國(guó)國(guó)會(huì)在尋求安全與隱私的均衡努力中起到了良好的引導(dǎo)作用。在外界針對(duì)法案提出強(qiáng)烈質(zhì)疑的情況下，參議院情報(bào)委員會(huì)先后舉行了多次聽證會(huì)，為各方利益主體陳述意見并進(jìn)行質(zhì)疑、辯論提供了一個(gè)平臺(tái)。在歷時(shí)近八個(gè)月的爭(zhēng)論中，參議院情報(bào)委員會(huì)認(rèn)真聽取各方意見，尤其是美國(guó)民權(quán)組織、公民自由團(tuán)體、安全專家和有關(guān)學(xué)者的反對(duì)意見，最終形成了多達(dá)129項(xiàng)修正案，其中57項(xiàng)修正案由共和黨提出，71項(xiàng)修正案由民主黨提出，以及1項(xiàng)修正案由獨(dú)立黨提出，這無(wú)疑表明各方主體的利益在立法過(guò)程中得到了充分的博弈[16]，從而確保了法案的科學(xué)性、可行性和公正合理性。

第三，安全與隱私之間在共享目的、共享參與主體、共享信息范圍和共享程序等四個(gè)方面爭(zhēng)議的均衡追求，亟需公權(quán)力與私權(quán)益之間信任機(jī)制的建立。信任，是美國(guó)政府與私主體之間的永恒話題，正是因?yàn)橛辛藢?duì)信任的制度追求，美國(guó)從憲法到基本法已經(jīng)建立起比較完善的信任法律框架。然而，隨著社會(huì)網(wǎng)絡(luò)化，執(zhí)法虛擬化，人民對(duì)信任法律提出了新的要求，特別是在對(duì)敏感信息的共享方面，信任危機(jī)治理的法治訴求日益強(qiáng)烈。基于此，建立政府和私營(yíng)部門之間的信任機(jī)制，增加政府網(wǎng)絡(luò)安全信息共享政策、程序、措施實(shí)施的透明度，為企業(yè)提供有效的責(zé)任豁免、成本補(bǔ)償、稅收減免、政府保險(xiǎn)等激勵(lì)機(jī)制就成為重構(gòu)信任的有效途徑，尤其是通過(guò)網(wǎng)絡(luò)安全信息共享協(xié)議明確共享信息如何被使用、發(fā)布、保障、存儲(chǔ)、清除和管理，甚至包括不披露協(xié)議、諒解備忘錄、合同和授權(quán)范圍等，以此促使網(wǎng)絡(luò)安全信息共享立法中安全與隱私的動(dòng)態(tài)均衡。

六、結(jié)論與展望

網(wǎng)絡(luò)安全信息共享立法是法治國(guó)家面對(duì)當(dāng)前嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)所做出的理性選擇，其旨在促進(jìn)政府與私營(yíng)企業(yè)之間共享網(wǎng)絡(luò)威脅信息，以增強(qiáng)其共同應(yīng)對(duì)網(wǎng)絡(luò)安全威脅的能力。實(shí)踐中，美國(guó)網(wǎng)絡(luò)安全信息共享立法引發(fā)了安全倡導(dǎo)者與私權(quán)擁護(hù)者有關(guān)安全與隱私的激烈爭(zhēng)議，具體表現(xiàn)在網(wǎng)絡(luò)安全信息共享目的、范圍、主體和程序的條款規(guī)定等四個(gè)方面。通過(guò)建立政府和私營(yíng)部門之間的信任機(jī)制，增強(qiáng)政府有關(guān)共享政策、程序、措施實(shí)施的透明度，建立激勵(lì)機(jī)制，簽訂公私共享協(xié)議，能夠有效實(shí)現(xiàn)網(wǎng)絡(luò)安全信息共享立法中安全與隱私的動(dòng)態(tài)均衡。但由于網(wǎng)絡(luò)安全信息共享涉及復(fù)雜的技術(shù)因素，因此需要運(yùn)用技術(shù)與法學(xué)的綜合研究視角進(jìn)行深入剖析，特別是在物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)以及移動(dòng)互聯(lián)網(wǎng)等新一代技術(shù)利用背景下，圍繞安全與隱私的爭(zhēng)議將有新的表現(xiàn)形式，其中可能催生的立法博弈與均衡將成為值得探討的新問題。

[1] FISCHER E A.Cybersecurity and Information Sharing:Comparison of H.R.1560 and H.R.1731 as Passed by the House[EB/OL].[2015-05-30].http://fas.org/sgp/crs/misc/R43996.pdf.

[2] THE CENTER FOR DEMOCRACY AND TECHNOLOGY.Hearing Before the Senate on Protecting America from Cyber Attacks:the Importance of Information Sharing[EB/OL].[2015-02-10].https://cdt.org/insight/hearing-before-the-senate-on-protecting-america-from-cyber-attacks-the-importance-of-information-sharing/.

[3] 馬民虎.網(wǎng)絡(luò)安全法律問題及對(duì)策研究[M].西安：陜西科學(xué)技術(shù)出版社，2007：35.

[4] 博登海默.法理學(xué)：法律哲學(xué)與法律方法[M].鄧正來(lái)，譯.北京：中國(guó)政法大學(xué)出版社，2004：317.

[5] NOJEIM G T.Cybersecurity and Freedom on the Internet[J].Journal of National Security Law & Policy,2010(4):119-137.

[6] 劉星.法律是什么[M].北京：中國(guó)政法大學(xué)出版社，1998：225.

[7] KESAN J P,HAYES C M.Mitigative Counterstriking:Self-Defense And Deterrence In Cyberspace[J].Harvard Journal of Law & Technology,2012,25:415-527.

[8] 霍布豪斯.自由主義[M].朱曾汶，譯.北京：商務(wù)印書館，1996：53.

[9] 姜昕.公法上比例原則研究[D].長(zhǎng)春：吉林大學(xué)，2005.

[10] 王媛.美國(guó)憲法上的正當(dāng)法律程序研究[D].濟(jì)南：山東大學(xué)，2014.

[11] 伯納德·施瓦茨.美國(guó)法律史[M].王軍，譯.北京：法律出版社，2011：43.

[12] KELLY B B.Investing in a Centralized Cybersecurity Infrastructure:Why"Hacktivism" Can and Should Influence Cybersecurity Reform[J].Boston University Law Review,2012,92:1663-1711.

[13] SUBCOMMITTEE ON CYBERSECURITY,INFRASTRUCTURE PROTECTION,SECURITY TECHNOLOGIES.Industry Perspectives on the President′s Cybersecurity Information Sharing Proposal[EB/OL].[2015-04-26].http://docs.house.gov/meetings/HM/HM08/20150304/103055/HHRG-114-HM08-Wstate-EggersM-20150304.pdf.

[14] 馬民虎，李江鴻.我國(guó)信息安全法的法理念探析[J].西安交通大學(xué)學(xué)報(bào)：社會(huì)科學(xué)版，2007，27(3)：74-80.

[15] 羅斯科·龐德.法理學(xué)：第一卷[M].鄧正來(lái)，譯.北京：中國(guó)政法大學(xué)出版社，2004：26.

[16] CASTRO D.We Need More than a "Good Samaritan" Law for Cybersecurity Information Sharing[J].Cybersecurity Science & Technology,2012(5):161-173.

(責(zé)任編輯：馮 蓉)

Security vs.Privacy:Game Analysis of the U.S.Cyber Security Information Sharing Legislation

FANG Ting1,LI Yuxiao2

(1.School of Law,Xi′an Jiaotong University,Xi′an 710049,China；2.International School,Beijing University of Posts and Telecommunications,Beijng 100876,China)

It is the purpose,scope,subject and procedures of U.S.cybersecurity information sharing provisions that triggered intense debate about security and privacy between safety advocates and private rights advocates,in which the terms of the purpose that government use the shared information is to protect the human right to live in cyberspace,the terms of the scope that shared cybersecurity threat information is unreasonably defined,the terms of the subject that government′s participation in information sharing violates the due process,the terms of procedures that remove personal information violates the principle of proportionality.Through the establishment of the trust mechanism between the government and the private sectors,enhancement of transparency on sharing policies,procedures the implemented measures,and adoption of integrated information sharing mode,can effectively achieve game balance between security and privacy in cybersecurity information sharing legislation.

cyber security information sharing; security; privacy; cyber threat indicator

10.15896/j.xjtuskxb.201601009

2015-11-26

國(guó)家社會(huì)科學(xué)基金重大項(xiàng)目(15ZDA047)；國(guó)家社會(huì)科學(xué)基金項(xiàng)目(15BFX050)；信息網(wǎng)絡(luò)安全公安部重點(diǎn)實(shí)驗(yàn)室開放課題項(xiàng)目(C13603)；信息網(wǎng)絡(luò)安全公安部重點(diǎn)實(shí)驗(yàn)室開放課題項(xiàng)目(C13604)

方婷(1987- )，女，西安交通大學(xué)法學(xué)院博士研究生；李欲曉(1969- )，男，北京郵電大學(xué)國(guó)際學(xué)院教授。

D920.0

A

1008-245X(2016)01-0069-08