目前,世界不少国家和地区所设计的数据跨境流动制度安排中,往往配置了考察数据目的地国家或地区的政治法律环境。【见文末中所列的本公号曾发表的系列文章】。在考察政治法律环境时,重点内容之一,即是安全或情报机关、执法机关大规模调取数据的权力。本文即是对此种现象的观察和分析。作者是朱悦[1]。

七年半前,斯诺登从美国出发,辗转我国香港,最终抵达俄罗斯。他所揭开的、美欧监控体系的幽暗一角,深刻塑造了隐私权与信息保护的后续发展。生根,发芽,渐而参天。2019年来,围绕政府主导的、对个人信息的大规模收集与处理,一系列基础性案件,在全球范围内“瓜熟蒂落”。由美洲、欧洲而至非洲,各地十余国家,纷纷颁下判决,俨然一股浪潮。

此处意在对相应案件作高度概括的简述[2]。第一节,讨论争议所涉的“大规模收集与处理”。第二节,讨论不同判决共同体现的一些特点。第三节是简要的启示:一方面,因“数据主权”之争白热化,又因Schrems II等案件明文提及,如何应对此类案件,直接牵涉数据治理的国际格局;另一方面,对实践中的部分信息收集、处理,当有启发。最后结语、展望。

大规模收集与处理,争议点在何处

此述争议,大致分为四类。第一类,讨论最丰:出于“国家安全”的、“一般性且无区别”的信息收集,尤其是个体通讯信息的截取、解密与处理[3];第二类常常与第一类相关:在秘密法庭进行的、正当程序保护存疑的,对收集、处理信息是否合法的裁决。对第三类的关注日益升温:围绕大规模数字基础设施的争议。第四类争议,是大规模应用算法的合法性。

第一类判决集中于欧美。作为背景,简介两点事实。首先,出于安全考虑,所涉国家常设立国家安全法律,要求通讯服务提供商将海量(元)数据留存一段时间。同时,这些法律的具体落实,通常在高度保密的状态中进行[4]。其次,各国安全机关间,时常互换所得数据。有学者指出:此类互助,时常用于绕过本国对个人信息或隐私权的保护[5]。

在欧洲,争议体现在至少两个层面。其一,欧盟范围内法律对通讯秘密、私人生活等基本权利的保障,应如何与各国的国家安全利益相调和。[6]一定程度上,这涉及权力在不同层面间的划分。其二,在德国等地,争议更为具体:一方面,如果此类收集、处理仅针对域外通讯,对基本权利的保护,在多大程度上适用?另一方面,是如何应对前述信息互换[7]。

在美国,争议同样可以大致划分至两个维度。之一,此处和世界其它地域的争议,颇有重合:政府对相应通讯(元)数据的大规模收集、处理,是否已逾越了基本权利的界限[8]。之二更偏向实际:实践中,即使已有纸面上的法律保障,安全部门内,依然可能存在随意解释法律或不当处理信息的行为。对此,应当如何判定是否合法,以及,如何予以纠正[9]。

第二类争议,在相当程度上,可视为第一类的衍生。相关安全立法,并非漫无边际,而时常伴有法院审查制度。例如,倘若希望监控特定个体或群体,安全部门需向法院申请、以获批许可或令状。不过,因为国家安全这一考量,此类审查通常严格保密,可能的被监控者全不知晓,亦无法参与。于是,审查有“橡皮图章”之虞。第一类案件,常与此类相交织[10]。

第三类争议,主要发生在发展中国家。此类争议,源起于当地政府推进的“统一身份识别工程”相关。引起争议的,包括但不限于以下三项环节:首先,此类工程需要收集大量(敏感)个人信息,有时,甚至涉及基因序列等敏感信息;其次,同样出于国家安全考虑,相应工程,通常需要保持一定的秘密;最后,识别工程,将与医疗、福利等大量法律权益挂钩。

相应争议,远非新颖。在印度、毛里求斯等地,数年前即有相应判决[11]。印度案例,在世界范围内有一定影响。然而,2019年来相关判决,呈现出崭新的复杂图景。一方面,工程对各基本权利的挑战,深刻、全面且极尽微妙,无法以简洁原则简单应对;另一方面,判决不可避免地既是“政治的”,又是“技术的”,还是“法律的”,任一维度,均无法回避[12]。

第四类争议,同样不新。实际上,一、二、三类争议,或多或少,也涉及信息的自动化处理、分析。单列一类之缘由,有三:居首,数字政务、智慧城市与智慧司法等风尚下,以算法进行的大规模处理,愈发影响个体各(基本)权益;其次,政府对“风险社会”的治理,又常倚赖可侦测、判别、化解风险的相应算法;最后,针对算法的典型案例,开始出现[13]。

大规模收集与处理:判决体现了什么

如前所述,“多方面的困难”,是讨论此类案例时,脑海中最先浮现的描述。实际上,阅读此处案例,令人仿佛目睹:法官在通往数字治理秩序的幽暗小径中,竭力呼喊、摸索、沉思,却依然难免迷途。尽管如此,初步的整理,还是可以给出对此类案件的大体印象,分五点:繁复冗长;技术实难;国际交互;倚赖立法;以及,前途未卜。以下次第展开。

繁复冗长,有两方面意蕴。其一,时间和所历经程序,堪称冗长[14]。案件本身的难度,是解释之一;国家安全对审理过程的制约,是更加直接的解释。具言之,相应案件的核心事实,从监控的运行细节,到身份工程的设计和安全水平,再到税务反欺诈算法所用模型与代码,均属机密[15]。因此,事实认定与法律适用,每一步都需要越过相关的安全性规定[16]。

其二,案例篇幅,同样堪称冗长。一旦涉及个人信息的大规模收集、处理,判决篇幅,平均在100页左右;涉及身份识别系统的判决,通常长达200-300页[17]。涉及法律规定的庞杂,利益攸关方数量众多,时常出现的、对专业证据的长篇剖析,对国际先例、特别是欧美相关法律与判例的援引,以及利益平衡时的“委曲求全”,都是导致篇幅增加的原因[18]。

涉及技术的争议,实在困难。诚然,研究可以在一定程度上规避对技术细节的讨论,但是,倘若涉及“真刀真枪”的争议,细节时时成为主要的“战场”。例如,前述反欺诈算法案例中,如何界定“大数据”、“人工智能”或“深度学习”,以及,如何判断GDPR对相应概念的适用,是案件焦点之一。然而,法院坦承:“这里[对上述概念]并不存在清楚的定义。”[19]

固然,在部分案件中,法院可以笨拙地绕过细节、直达结论。反欺诈算法,即为实例之一。不过,这一策略,并不总是能够奏效。例如,围绕身份识别系统收集、处理DNA信息是否违反最小化原则,非编码DNA上的生物学进展,有亲缘关系个体间DNA可能相互揭示的信息,以及,基于DNA之歧视的可能,都是判决最小化原则时难以忽略的“细节”[20]。

国际层面的交相援引,是此类案件又一值得注意的趋势。这里,或许存在两部分动因:为首,是久已有之的、制度层面的借鉴与移植。具体的借鉴、移植方向,通常由欧、美出发,指向各发展中国家。另一方面,隐私与个人信息领域,相近术语的全球通行,以及,如上所述,技术细节对审理相应争议的重要性,很可能进一步加强了这一彼此交织的趋势。

欧、美依然是援引的重点。例如,第二、三类别案件中,《欧洲人权公约》与GDPR,时常被发展中国家法院移用,以判断技术面前、本国法律“(信息)隐私权”的内涵与边界;美国关于信息隐私的新近判例[21][22],以及,欧美在法理层面的探讨,亦非鲜见。之外,对于更加具体的、判决所施加的信息安全义务,第29条工作组的成果,是颇为称手的参照。

即使已经穷竭国际层面的进展,对绝大多数法院而言,确定合适的平衡点与适宜的安全义务,仍然仿佛“不可能的任务”。于是,判决常常分为两部分。第一部分,一般较为“铿锵有力”:就前述各类争议,从基于安全的留存,到一切保密的审查,自统一识别的工程,至算法的普遍应用,在“是否侵犯(基本)权利”上,各地法院,皆作出(部分地)肯定的回答。

不过,“关键在于改变(数字)世界”。在更加重要的“怎么办?”层面,判决时时强调立法,并因此允许附条件的收集、处理。通常而言,立法需要达到“足够的保障水平”。或曰,倘若不要求立法,则要求“足够的通知”、“紧迫的利益”、“充分的保障”和“第三方开展的、有效的审查”。随后,判决即行收束,有时还会补充:这并不代表施加任何确切的义务[23]。

从此出发,即可讨论最后一项特点:前途未卜。虽然,初看之下,上述义务颇具吸引力,不过,即使早在浪潮以前,类似的安全义务,已然存在。美国、加拿大、南非等地,既有法律,又有细则,尚有相关的法庭与“准法庭”。相较既往的各类案例、法律、细则、指南与惯例,这些从理想原则到美好形容的判决,在何种意义与程度上构成超越,值得细细观察。

“未卜”的另一维度,在于行政部门是否遵从。迫在眉睫的威胁,需要非常的便宜行事。虽然如此,必要的权力,又难以与对个体权益保护的懈怠相区分。实际全无边界的收集处理、将“信息最小化”解释为“任何相关的信息”、对(敏感)信息的随意查询、在法院判决后继续推进工程建设……都已经或正在发生。以立法作为解答,似乎只是对难题的简单等价变形[24]。

“数据主权”之争下的启示

以上简述了相关案件的争议焦点与判决特点。在网络空间互联互通日益深化的今天,此类基础性判决,时常造成全面、深刻的影响。典例之一,是当下探讨最为激烈的Schrems II:对美国安全部门“在缺乏等价[于欧洲的]保护水平下,大规模处理个人信息”的担忧,是中止两地间隐私盾的重要考量之一[25]。作出结论,为时尚早。不过,不妨作五点初步的观察。

首先,对于现实中政府大规模收集、处理个人信息的争议,无论发生在何地,分析总是极其困难的。恰如相应案例所示:此类问题不可避免地既是“政治的”,又是“技术的”,还是“法律的”。现有原则,指明了深入的方向,也是各地法院铿锵结论的来源;不过,一旦简明原则需与现实结合,最终所得,通常还有一、二或三百页极尽“婉转”“曲折”的分析。

其次,各方面细节,包括制度的、技术的与工程的细节,成为权益是否得以保障的“要害”。自动化处理等广泛概念,最小化等抽象原则,安全等宽阔的平衡因素,在实际解释与适用时,时常倚赖因地制宜之各类“软法”、(未必谙熟法律的)技术人员的判断、当时当地通行工程实践与要害部门人员经验间,难以预见的互动。二者间断裂,需要时间来弥合。

再次,在国际层面,或者,在网络空间命运共同体日益成型这一层面,技术、制度与观念再一次自欧美向发展中国家流动,值得特别注意。相比于愈发频繁的、国际性的数字治理纲领,法律、案例、指南或法理论说在各国基础性案例中的渐渐交织,至少是一般重要的指标。之外,后者亦有可能成为决定未来全球数字秩序中、各类型制度所占比重的关键因素。

最后,是国别层面的考量。在第一、二、三类案件中,数字基础设施的供应链安全,都是显著的争点。譬如,在身份识别工程案件中,政府聘用他国企业参与信息处理系统开发,成为原告主张系统安全水平不足的核心证据之一。之外,鉴于类似主张频频浮现于立法或政策层面,此类案例,值得为参与国外各类数字基础设施建设的企业所注意。

困难犹多。不过,困难所在,也是机遇所在。从偏向“鸟瞰”层面而言,全球数字基础设施的建设,既有硬件,同样需要制度、观念、(稳定的)惯例等多个层面的软件。信息全球流通,算法各地通用,随之而来的,终将是更广袤的行政与司法合作,愈发“全球兼容”的权利安排,以及,日益全球化的内心和理念。毕昇与古登堡以后,头顶是同样绚烂的星汉。

结语与展望

如上,通过对十余国家新近案例的简略分析与比较,可以作出许多初步的观察。既有法律如何实际适用的教训,也有一些(很可能是)全球性的趋势,尚有着眼长期、机遇为主的乐观信念。共同的问题,呼唤共同的智慧与方案。当然,这不能替代对相应案例及其所处法律体系的细致分析——实际上,对基础性案例的精细研究,应为以后需要长期进行的工作。(完)

[1] 圣路易斯华盛顿大学职业法律博士(J.D.)在读。本文部分内容曾经与多位师长讨论,少许案例亦曾于“赛博谈读书会”报告、讨论,多有受惠,特此致谢。

[2] 本文暂无意对每一案例进行详尽解读与分析——实际上,鉴于相应案件的复杂程度,对其间任一案件的分析,都会让这篇文章过于冗长。对其中部分案例的简要分析,可参见工作论文《技术与市场之间——试论个人信息最小化原则的理解和适用》,或见笔者后续分析。同时,这并不代表文中的列举已经完备,例如,多地涉及抗疫中信息处理的案件(如Ben Meir v. Prime Minister与CE - N° 444937,等等),其间争点,与本文所述时有交叉,此外,还有不少相关案件正在等待判决。

[3] 例如,可见La Quadrature du Net and Others v Premier ministre and Others。

[4] 典型体现之一,是斯诺登事件中涉及的ST-09-0002。

[5] 例如,可见Milanovic, Marko. "Human rights treaties and foreign surveillance: Privacy in the digital age." Harv.Int"l LJ 56 (2015): 81。

[6] 此处主要涉及两个案例:注3中案例及Privacy International v Secretary of State for Foreign & Commonwealth Affairs &ors.。

[7] 此处见1 BvR 2835/17。

[8] 此处见United States v. Moalin, No. 13-50572 (9th Cir. 2020)。

[9] 此处见Government"s Ex Parte Submission of Reauthorization Certifications and Related Procedures, Ex Parte Submission of Amended Certifications, and Request for an Order Approving Such Certifications and Amended Certifications和In Re: DNI/AG 702(H)Certifications 2018。

[10] 除注6、7、9中案件外,直接涉及这一问题的新近案例,还有IN THE MATTER of anapplication by [原文此处因保密故涂黑] for warrants pursuant tosections 12 and 21 of the Canadian Security Intelligence Service Act, RSC 1985,c. C-23和amaBhungane Centre for Investigative Journalism v Minister of Justice and Correctional Services [2019] ZAGPPHC 384。

[11] 见Madhewoo v. The State of Mauritius and Anor与Justice K. S. Puttaswamy (Retd.) and Anr. vs Union of India And Ors.。

[12] 此处见Robinson, Julian v. The Attorney Generalof Jamaica与Nubian Rights Forum & 2 others v Attorney General & 6 others; Child Welfare Society & 9 others (InterestedParties)。

[13] 此处见Nederlands Juristen Comité voor de Mensenrechten et al. v. The Netherlands。

[14] 例如,注8所及案件。此外,如Jewelv. NSA等相关案件,审理已历十年,却依然在“原告诉权”层面打转,而未能抵达实体层面。

[15] 一般地,见前注5-12对应类别中案例。

[16] 同时,在部分案件中,政府愿意承担判决的不利后果,以免于披露相关信息。

[17] 一般地,见前注5-12对应类别中案例。

[18] 一般地,见前注5-12中案例。

[19] 见前注13中案例。

[20] 见Nubian Rights Forum & 2 others v Attorney General & 6 others; Child Welfare Society & 9 others(Interested Parties)。

[21] 此处实例之一,是Carpenter v. United States, No. 16-402, 585 U.S. ____ (2018)。

[22] 一般地,见前注5-12对应类别中案例。

[23] 同上。

[24] 同上。

[25] 见Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems。

声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。