大洋两岸关于大数据监控措施的对话
来源:lirice 作者:lirice 人气: 发布时间:2017-03-18
摘要:2014年12月18日至19日,关于监控措施的国际研讨会在马普刑法所举办,该次研讨会以“transatlantic diglogue on surveillance methods”为主题,欧洲和美国的学者就大数据时代的数据权利和监控措施,以及所带来的一系列法律问题进行了学术性的讨论和交流。研
|
2014年12月18日至19日,关于监控措施的国际研讨会在马普刑法所举办,该次研讨会以“transatlantic diglogue on surveillance methods”为主题,欧洲和美国的学者就大数据时代的数据权利和监控措施,以及所带来的一系列法律问题进行了学术性的讨论和交流。研讨会主题 我们正处于所谓大数据时代的前期阶段,电子化数据迅速膨胀,可获得的电子化数据被公共领域和私人领域使用和挖掘利用。大数据的方式在本质上是预测性的,这种基于预测性数据准确性进行的数据导向决策正在改变法律和安全目标如何实现、政策如何形成和应用、以及政府结构如何试图去适应现代科技带来的巨大电子数据流。通过模型分析进行的数据挖掘的有效性和未来预测形政府管理模式所声称的价值增加了政府收集、存储和保留、分析越来越多的电子数据的压力。斯诺登事件进行的披露提供了一个大数据如何改变传统情报收集活动的例子。 这次研讨会主要探讨迅速涌现的数据相关科技和情报收集方式在法律、政治、经济和哲学等方面产生的影响,分析路径涉及到比较法、刑法和犯罪学、国际人权法、宪法保障和原则等。特别的,本次活动请参与学者探讨技术发展——网络和信息社会、大数据、超级计算机、自动化决策和网络监控、预测性政策和前犯罪模型、行为生成及神经科学、人工智能管理系统等等——在将来对法律、基本权和核心宪法价值可能产生的影响。 笔者有幸参加了为期两天的研讨会,聆听学习,获益匪浅。在这里选取两篇与数据相关的文章,作为介绍。 一、欧洲数据保存指令后英国的数据保存:为何全面监测并非“安全毯”Data retention in the UK post the European Data RetentionDirective: Why blanket surveillance is no security blanket?(Draftonly—please do not cite without permission.)(此部分根据Lucia Zendner 教授提交的会议发言稿整理,此稿非正式稿件,非经作者同意请勿引用)Lucia Zendner 教授是牛津大学法律系的刑事制度方向教授,任职于牛津大学犯罪学研究中心,属于牛津大学基督圣体学院。这篇文章中,Zendner教授回顾了自2006年后,欧洲悄然、大规模、而未经通知便实施的,对全球的大规模数据保存,并且考量这种大规模侵犯公民自由的数据保存能否被所面临的安全威胁所正当化。本文还考察了ECJ于2014年4月做出的里程碑式的判决。该判决认定欧洲数据保存指令,从最根本上说,因为不合比例性而应认定为是无效的。此外,本文其还分析了英国对此判决的反应,尤其是在2014年ECJ认定2006数据保存指令无效后的国内立法。文章指出,这种特别的、无正当基础的、诉诸于紧急情况权力的做法,有损于立法过程规制,威胁了议会主权和法治原则。同时新的英国立法因为违反了欧洲法院的决定,因此是违法的。一个深刻的讽刺是,尽管从数据保存的历史来看,它是被安全需求所推动的;但是过度扩张的大规模监控自身就又构成了国家对公民安全的威胁。 (一)欧洲数据保存历史简述 在2006数据保存指令生效前,电子通讯的通信数据(electronic communications traffic data)应当在不再存在支付账单的目的之后,被清除或者匿名化。这种通常的对数据保存的禁止被指令97/66/EC部分侵蚀,该指令允许成员国,“为了保护公共安全、国防和公共秩序的需要,当相关活动涉及到国际安全问题和刑事法律的执行时也包括国家的经济良好运行”,可以进行国内层面立法,要求进行数据保存。接下来的2002年电子隐私指令(e-PrivacyDirective)允许成员国减损通讯的信赖原则,为法律执行目的而实施数据保存,即“当这些限制,构成民主社会中为保障国家安全、国防、公共安全、以及对刑事犯罪,和未经授权使用电子通讯系统行为的预防、调查、侦查和起诉,所必要、适当且和比例的措施”。其结果是导致各国间的在数据保存立法上的差异。 2004年马德里和2005年伦敦的恐怖袭击促进了2006年数据保存指令的出台,该指令意在保证在对有组织犯罪和恐怖主义犯罪的预防、调查、侦查和起诉中,数据的可获得性。保存的-数据是关于在线通讯的通信、用户和地理位置数据——“谁,在哪里,什么时候和什么方式”(所谓元数据),但是不包括内容。该指令适用于固定电话网络、移动网络、网络接入、网络电子邮件和网络电话。然而该指令的通过和实施都存在许多问题。例如德国、罗马尼亚和捷克的宪法法院宣布其数据保存立法无效,保加利亚和塞浦路斯的宪法法院认为该指令是不合宪的、不正当地侵犯。 (二)2014年爱尔兰电子权利案——数据保存指令的死亡 2009年爱尔兰政府质疑数据保存指令,但以失败告终,只是该案并没有从符合基本权的角度展开。另一起案件由爱尔兰电子权利组织和奥地利的Carinthia州政府提起。奥地利宪法法院询问指令是否符合基本权利宪章(the Charter of Fundamental Rights)的要求,因为它允许在相当长的时间里,保存没有限制的自然人的多种类型的数据。奥地利宪法法院认为,数据保存指令几乎没有例外地影响到就像你我一样的个人,而其个人行为根本不能正当化对其相关数据的保存。 ECJ在初裁程序中将此案与其他案件作为联合案件处理。在2014年的特别判决中ECJ认定数据保护指令无效,理由是它“包含了大范围的和尤其严重的,对尊重私人生活和保护个人数据的基本权利的侵犯,并且没有对此种干扰进行极其必要的限制。” ECJ认为该指令侵犯了欧洲人权宪章第7条隐私权的基本权利,和在第8条之下规定的对个人数据的保护。尽管ECJ确认了指令的目标,但坚持还需要确认这种侵犯是符合比例的,也即,是为了实现指令的目标所合适并且必要的。基于从五个方面的论述,ECJ认为,不仅全面监控是无法正当化的,仅就指令而言,也超出了比例原则的限制,因此是违反宪章权利的。ECJ的新闻报道称“该无效宣告溯回至指令生效之日起即产即产生效力”(自始无效,ab initio),这造成各成员国极大的法律不确定性。 (三)英国2014年DRIP法案 “隐私的胜利”只是暂时的。判决带来了极大的法律不确定性,并且使电子服务和通信服务商无法确定其义务。同时考虑到指令的目标,判决也带来了丧失情报来源的重大危险。 英国2009年的数据保存法是为了实施指令而制定的,建立在指令有效的基础上,因此在判决后也失去了法律效力。一些服务商认为,其不再有义务保存数据;但英国政府反对,坚持它们继续受其他法律所规定义务的拘束。2000年的调查权力法案(RIPA)和再早的1984年远程通信法案都授权了数据保存。2014年7月10日,英国通过了数据保存和调查权利法案(DRIP)。该法案的通过严重缩减了议会辩论时间遭到诸多批评,包括从程序和从实体的各方面。 此法案试图使英国法律符合2014年4月判决中确立的比例原则。如将2009年数据保存的12个月的固定期限改为最多为12个月,并允许进一步立法,确定额外的数据保存的安全保障和指导服务商的操作准则,旨在契合4月判决中的必要性和合比例原则。同时该法案扩大了英国政府监视权利的地域范围,允许对英国境外实体以批准令状和命令的方式进行通讯取得和监听资格。二、 隐私作为公共产品Privacy as a Public Good 该文章为Hoshua A.T. Fairfield(Professorof Law, Washington & Lee University School of Law)与Professor Dr. Christoph Engel (Director, Max Planck Institute for Research on Collective Goods, Bonn, Germany)合作完成,是美国和德国两位学者对于大数据时代隐私保护问题的思考,主要运用经济学理论,论证了大数据时代隐私保护模式的范式转变需要。 隐私通常被当成私人物品来研究,这忽略了一个重要的政策问题。一个对自己数据不加关心的个人暴露的不仅是他个人的信息,而且也关乎其他人。这种对个人私有信息不加关心的负外部性效果可以在福利经济学的框架下加以研究。 传统的个人主义视角没有注意信息的溢出效应(spill-over effect)。在大数据时代,不注意个人隐私信息,使个人隐私信息可获得,会带来对没有参与同意的其他人的负面性。根据谈判理论(negotiation theory),可以预测出一个社会隐私保护的次优点,如果所有相关个人都最大化其私人利益,并且期待其他个人会同样行动,新古典理论会预测社会达到隐私的次优水平。即使每个个人以同样的强度珍视其隐私这个预测也将保持不变。理论文献表明为隐私的斗争需要成为一种策略。根据现有的公共物品理论,在现实中人们以超过新古典理论预测的价格进行群体合作。群体生产公共产品可以获得制度的支持,如沟通,框架,或制裁。借助这些制度,通信可以管理公共产品而不需要严厉的政府干涉。法律学者还没有在这个意义上来看待隐私的问题。 隐私保护是集体协作问题。隐私不仅有社会维度,它是一个社会困境。大数据公司收集关乎每个人的海量数据,挖掘数据,最终一条线索能导致他们获得你选择不想披露的数据,或者甚至是你自己都没有发觉的关于你自己的信息。这只是冰山一角。大数据的真正力量在于对碎片信息的关联,有时关联线索会几乎可以肯定地获得那些人们希望不被得知的信息。个人控制的数据是一个从根本上有缺陷的概念,因为个人无法知道他们披露的数据和其他上百万人的数据累加起来会意味着什么。社交网络成为了商业性监控的天罗地网;移动网络极其伴随的地理位置数据更加剧这个问题。现有政策制定者集中在两个因素上:个人消费者注意(通知)和个人化控制(选择)。相关的法律目标应当减少对个人知晓和授权的注意,而更多地注意群体共同保护隐私和防止或加速延缓有害数据积累的速度。应当从行为经济学的理论出发寻找隐私保护的新路径,允许全体维持合作且在没有政府直接干涉的情形下保护隐私。沟通和制裁是实现群体合作的关键因素。此外,马普刑法所两位所长也都出席了本次研讨会,并作学术报告。其中,阿尔布莱希特教授围绕大数据时代给个人数据权利带来的威胁,从个人数据收集、分析、存储等方面,分析了隐私、不安全(包括客观和主观的危险)、整体人口的隐私、滥用风险。并且就DNA、指纹、元数据(metadata)三类数据,对照六种要素给出了一个衡量表格,用于侵犯隐私和立法需要之间比例原则的要素分析。齐白教授从大规模网络监控措施对两类特别类型数据的获取出发展开了细致分析,一类是计算机数据,另外一类是对国外数据的收集。齐白教授从获取数据的计算机技术,和国际法的管辖、主权原则、国际习惯法、国际人权法等多种路径出发,剖析了对这两类数据的各种保护方案的可行性,并指出,达成关于数据流动(informationflow)的共识,以及实现由情报向证据规则的转变(from intelligence to evidence),是非常重要的。另外,美国的Margaret Hu 教授(Assistant Professor of Law, Washingtonand Lee School of Law)进行了两次发言,完整地就其200余页的论文作了报告。她的研究围绕大数据网络监控展开,就由斯诺登事件所引发的对大规模网络监控问题的关注,详细调查了美国的多种相关监控措施,并就其大数据监控模式的特性进行了分析。另外还有其他学者就会议主题做了精彩报告。 对于大数据时代的隐私和大规模监控问题,本次研讨会可谓是从多方面、多角度、多领域,进行了极为深入和前沿的学术讨论。数据相关法律问题正成为一个国际学术研究的新兴与热点领域,中国应当积极开展围绕数据的法学研究,努力参与并构建正在探索和形成过程中的全球性数据权利和规则体系。"Pectus facit jurisconsultum." 让我们做有眼界有情怀的刑法学术!公众号:Max_Planck_mpiccers欢迎关注!
|
