本文由信息与电子前沿（ID:caeit-e）授权转载，作者：苏嫚

· 数据安全 ·

由于移动互联网、电子商务和社交媒体的快速发展导致了数据量成指数增长。据IDC 《数字宇宙》(Digital Universe)的研究报告表明，2020 年全球新建和复制的信息量已经超过 40ZB，是2012年的12倍;而中国的数据量则会在2020年超过8ZB，比2012年增长22倍。

随着大数据的快速发展，其面临许多问题随之凸显，数据安全与个人隐私问题是人们公认的关键问题之一。

当前，人们在互联网上的一言一行都掌握在互联网商家手中，包括购物习惯、好友联络情况、阅读习惯、检索习惯等等．多项实际案例说明，即使无害的数据被大量收集后，也会暴露个人隐私。

事实上，数据安全含义更为广泛，而实现大数据安全与隐私保护，较以往其它安全问题（如云计算中的数据安全等）更为棘手。在大数据的背景下，互联网商家既是数据的生产者，又是数据的存储、管理者和使用者，因此，单纯通过技术手段限制商家对用户信息的使用，实现用户隐私保护是极其困难的事。

比较法视野下的

美国数据安全立法体系 

经过互联网几十年发展，美国不仅拥有世界上最为先进的网络技术，且建立起较为完备的数据安全法律体系。美国没有综合性数据安全法律文件，而是采取分散式立法模式。其立法的发展过程并非一蹴而就，而是与网络发展、社会发展相适应，经历了从探索到不断完善的过程。

从现有法律体系来看，美国数据安全立法保护多元化的社会利益：在促进数据开放的基础上，不仅保障国家安全，而且保护个人隐私，打击网络犯罪。

• 促进数据开放与信息自由是美国早期数据安全立法之价值导向，有关法律不仅规范了数据，有利于以数据为基础的信息自由传播，同时以例外的方式列举了不可公开信息的情形以保障国家安全。

• 保护个人隐私的法律旨在规范行政机关、商业实体和其它团体对个人信息的使用，避免以公共利益和商业利益为由侵犯个人隐私。

• 打击网络犯罪的法律对于维护法制化的网络环境至关重要。

• 保障国家安全的有关立法，承担了打击国际恐怖主义、保护关键性基础设施、应对外来威胁、保障美国安全的历史重任。

一. 促进信息自由

作为现代民主国家，美国注重保护公民的基本人权和自由。美国宪法第一修正案明确保障公众的言论自由、新闻自由和信仰自由，并由此引申出了一条重要的宪法原则：保证信息自由。

上世纪六、七十年代，互联网应运而生，其诞生之际就展示出强大的信息存储、传输和处理能力。而美国规范信息管理并促进信息自由的立法，间接促进了互联网的快速发展，规范了网络信息环境，是互联网快速发展的法律基础。该阶段美国的立法以尊重公民知情权、规范信息管理、促进信息公开和自由为重点，同时兼顾国家安全，先后颁布了《信息自由法》（1966）、《信息自由法修正案》（1975）、《阳光政府法》（1975）、《电子信息自由法》（1996）、《开放政府法案》（2007），使行政机关承担向民众提供包括电子信息在内的行政情报方面的义务。

二. 保护公民个人隐私

互联网的发展和网络空间的形成是把双刃剑，一方面极大的方便了民众的生活，提高了收集信息、处理信息和传输信息的效率；另一方面，在使用信息的过程中，侵犯个人隐私权的事件频繁发生。而保护个人隐私是被美国宪法第四修正案扩张涵义所确立的宪法权利。随着侵犯个人信息隐私案件的增多，美国开启了保护个人信息隐私的立法征程。

美国将个人信息隐私分为涉公领域与非涉公领域，并分别采取分散式立法与行业自律保护模式。

• 在涉公领域，主要指政府机关对个人信息的收集、利用、编辑和处理等方面，美国采取分散式立法，先后制定出台了《隐私权法》（1974）、《隐私权保护法》（1980）、《电子通讯隐私权法》（1986）、《计算机查对和隐私保护法》（1988）、《健康保险携带和责任法》（1996）、《儿童在线隐私保护法》（2000），逐步构建并完善了网络环境下保护个人隐私的法律机制，规范了美国政府对个人信息的使用方式，使其承担保护个人隐私的法律义务。

• 在非涉公领域，为了保障信息的自由流通，美国采取灵活的行业自律模式，保持政府与商界及消费者团体的长期对话机制，制定行业准则，通过行业组织的内部规范，实现非涉公领域对个人信息隐私权的有效保护。

  
  

三. 打击数据安全相关犯罪

数据安全虽然不同于传统形式的人身和财产安全，数据安全的保护也需要在技术成熟的基础上对传统法律进行解释和结构。尤其是数据安全方面的犯罪行为，一些新的犯罪形式和手段为法律发展带来了难题。

美国制定了一系列法律加以规范。

• 1977 年美国颁布的《联邦计算机系统保护法案》，首次将计算机系统纳入法律的保护范畴。

• 1984年美国对《联邦刑法》进行了修改，并通过了《仿造信息存取手段及计算机欺诈与滥用法》。

• 1987 年美国颁布了《计算机安全法》，该法是美国计算机安全的基本法律，可以看作美国国家信息安全政策趋于稳定的标志。

该法的目的是为了改善联邦政府计算机系统内敏感信息的安全与保密，以法律形式规定国家标准与技术局是为联邦政府计算机系统制定信息安全政策和标准的授权单位，凡是存有敏感信息的政府计算机系统，必须制定安全计划；凡参与上述系统的管理、使用或操作的人员必须定期接受强制的培训；在商务部内建立一个国家计算机系统安全与保密咨询委员会，并明确了其职责内容该法规定，联邦政府各机构必须确认存有敏感信息的信息系统，并制定保护这些信息的信息安全计划。

四. 保障国家安全

网络空间是各国政治、经济、军事等力量角逐的全新领域。由于网络空间的形成，国家不仅要面临传统的安全威胁，而且必须应付来自网络空间的新威胁。保障国家安全，始终是美国数据安全立法的重要方面。以9·11事件为分界点，美国保障国家安全的立法重点分为两个阶段。

9·11事件以前，美国朝野上下普遍认为国家数据安全面临的主要威胁在于对关键性信息基础设施的攻击以及窃取其中的数据，保障国家安全的首要任务就是防止恐怖分子破坏关键性的信息基础设施，降低其利用其中数据的可能性。因此，美国出台了一系列法律加强对于国家关键信息基础设施安全的保护：包括《国家信息基础设施保护法案》（1996）、1998年克林顿总统签署的《关于保护美国关键基础设施的第 63 号总统令》。

9·11事件改变了美国政府对数据安全威胁的判断。

恐怖分子非但没有采取攻击和窃取行为，反而是充分利用发达的通讯网络作为组织策划跨国行动的有效工具。他们借助网络改善其跨国组织、策划与协调的能力，传递袭击后果，增加恐怖效应。

总之，恐怖分子在利用、网络机器中的数据，而非窃取。9·11事件使美国对国家安全战略做出了重大调整，其数据安全政策重点调整为监控国内和全球信息流动，以牺牲公民的知情权和隐私权为代价，从“开放为主”转向“控制优先”，在法律制度的制定和修订中清晰地反映出美国长期崇尚的信息自由、数据开放和隐私保护至上的价值导向开始发生转向服务于国家安全的需要。《关键性基础设施信息法》（2002）、《爱国者法案》（2002）、《国土安全法》（2002）在此背景下应运而生，并成为2003年美国政府首个国家信息安全战略——《保障信息空间安全的国家战略》的重要法律基础。2006年，又通过了《爱国者法修改与再授权法》，延长了2001年《爱国者法案》的时效，并对加强反恐行动中联邦政府的权力和加强对公民的权利保障做出了诸多重大修改。