篇一:全球安全倡议心得
全球安全倡议主要内容
全球安全是一个全球性的问题,涉及到各个国家和地区的安全。为了维护全球安全,各国政府和国际组织一直在积极推动全球安全倡议。全球安全倡议主要内容包括以下几个方面:
一、反恐怖主义
恐怖主义是全球安全的重要威胁之一。各国政府和国际组织一直在积极打击恐怖主义。反恐怖主义的措施包括加强情报交流、加强边境管控、打击恐怖组织的财务来源等。
二、打击跨国犯罪
跨国犯罪是全球安全的另一个重要威胁。各国政府和国际组织一直在积极打击跨国犯罪。打击跨国犯罪的措施包括加强情报交流、加强边境管控、打击犯罪组织的财务来源等。
三、维护网络安全
网络安全是全球安全的新威胁之一。各国政府和国际组织一直在积极维护网络安全。维护网络安全的措施包括加强网络安全法律法规的制定、加强网络安全技术的研发、加强网络安全人才的培养等。
四、维护核安全
核安全是全球安全的重要组成部分。各国政府和国际组织一直在积
极维护核安全。维护核安全的措施包括加强核安全法律法规的制定、加强核安全技术的研发、加强核安全人才的培养等。
五、维护环境安全
环境安全是全球安全的重要组成部分。各国政府和国际组织一直在积极维护环境安全。维护环境安全的措施包括加强环境保护法律法规的制定、加强环境保护技术的研发、加强环境保护人才的培养等。
全球安全倡议是一个长期而复杂的过程,需要各国政府和国际组织的共同努力。只有通过加强合作,才能更好地维护全球安全。
篇二:全球安全倡议心得
网络空间战略论坛CyberspaceStrategyForum吾道不孤:从施雷姆斯案看《全球数据安全倡议》文│厦门大学法学院网络空间国际法研究中心副主任杨帆厦门大学法学院网络空间国际法研究中心研究助理刘业杨帆
2020年9月发布的《全球数据安全倡议》(以府对欧盟公民个人信息的大规模侵犯,奥地利籍隐私下简称《倡议》),从供应链安全、关键基础设施重权活动人士马克斯·施雷姆斯(MaxSchrems)积要数据保护、个人信息安全、企业海外数据存储要求、极行使欧盟个人数据保护制度所赋予的权利,以脸谱数据跨境调取、禁止设置后门、安全漏洞补救等方面,(Facebook)为突破点,在爱尔兰启动欧盟个人数据系统提出了我国对数据安全内涵的理解以及具体主张。权利的救济程序,并推动欧盟司法体系对美国这一全《倡议》发出后,赢得了来自境内外媒体、业界和学球监控事件进行法律评判。界的广泛认同。应该说,这种认同,部分来源于一个起初,爱尔兰数据保护委员会(DPC)注意到,事实,即在各国已有的实践中,《倡议》的各条主张支撑美欧之间跨境数据传输平稳运行15年之久的均已得到不同程度的体现。其中,《倡议》第三条指欧盟2000/520/EC号《安全港决定》(SafeHarbor出:“各国承诺采取措施防范、制止利用网络侵害个Decision)已经认定美国提供了充分性保护,并以此人信息的行为,反对滥用信息技术从事针对他国的大为由拒绝受理施雷姆斯的投诉。随后,施雷姆斯起诉规模监控、非法采集他国公民个人信息。”就此而言,至爱尔兰高等法院。高院首次对美国监控事件做出否欧盟个人数据保护制度和实践所立基的价值主张和行定评价,并进一步提出对《安全港决定》合法性的质事逻辑,显然即与此条《倡议》精神高度契合,其典疑,提交欧盟法院预先裁决。欧盟法院在高院裁决的型的案例就是施雷姆斯(Schrems)案。基础之上,将美国全球监控事件作为《安全港决定》充分性保护不足认定的主要事实论据,宣布与《美国—一、施雷姆斯案与《倡议》第三条价值欧盟安全港协议》(US-EUSafeHarborScheme)有主张相呼应关的《安全港决定》无效。之后,施雷姆斯案进入第二阶段(Schrems《倡议》第三条“针对他国的大规模监控、非法II),其核心争议点是“标准合同条款(SCC)机制是采集他国公民个人信息”行为的核心关注,可以追溯否具备充分性保护”。爱尔兰数据保护机构和高院重到2013年的斯诺登事件。该事件将美国的全球监控新审视美国全球监控事件所暴露出的数据保护不足问棱镜计划(PRISM)公之于众,引发全球对美国政府题,认定SCC机制无法为欧盟公民个人数据流转至美大规模监控、非法采集个人信息、侵犯他国公民隐私国提供充分性保护。但是,在高院审理过程中,欧盟乃至危害他国国家安全的担忧。时至今日,美国并没第2016/1250号决定[DECISION(EU)2016/1250]《隐有停止进行全球大规模监控,甚至还不断扩张其情报私盾决定》(PrivacyShield)为《安全港决定》的替部门的实力,这仍然构成了全球网络安全的重大威胁,代性机制迅速生效,阻断案件审理进程。爱尔兰高院对全球用户的个人信息安全以及他国的国家安全造成遂将“SCC机制和《隐私盾决定》是否提供了充分性极大危害。保护”这一议题提交至欧盟法院进行预先裁决。考虑欧盟施雷姆斯案第一阶段(SchremsI)正是在到美国在规制政府获取欧盟公民个人数据的法律方面美国棱镜计划被曝光的背景下,依托欧盟的个人数据并无实质性改善,未达到欧盟法所要求的标准,欧盟保护制度和司法体系,得以成案。当时,面对美国政法院最终裁决宣告《隐私盾决定》无效。2020.11/79CNITSEC
网络空间战略论坛yberspaceStrategyForum在施雷姆斯案各阶段,面对美国大量收集欧盟公民个人信息进行大规模监控这一严重侵犯公民个人数据权和隐私权的行为,马克斯·施雷姆斯、爱尔兰数据保护委员会、爱尔兰高院以及欧盟法院等各层次的行为体,均展现了高度一致的严厉反对立场。应该说,这种对大规模监控、非法采集公民个人信息的反感,与欧盟历史悠久的人本主义文化传统和尊崇隐私的价值理念密不可分。作为这种传统和理念最直接的外化表现,《欧盟基本权利宪章》(CharterofFundamentalRightsoftheEuropeanUnion)(以下简称《宪章》)对个人数据权以及私人生活隐私等基本权利以最高法律地位的形式予以确立。他国非法收集和监控欧盟公民个人信息的行为,触犯了欧盟基本权利价值底线,而这也恰是《倡议》第三条的核心价值主张。CNITSEC止数据跨境传输至第三国。这些手段也具体体现在以施雷姆斯案第二阶段为代表的欧美数据安全博弈之中。作为欧美数据跨境传输的前置条件,欧盟委员会通过《隐私盾决定》,对美国做出了符合欧盟充分性保护要求的认定。在评估中,欧盟委员会重点分析了美国《外国情报监控法案》(FISA)第702条款、第12333号行政令(ExecutiveOrder12333)和第28号总统政策指令(PresidentialPolicyDirective28)等与监控相关的法律文件,进而认为,美国法律对政府部门访问和使用从欧盟传输至美国的个人数据行为,严格限定在为实现国家安全、公共利益以及执法需要等目的的情形,并提供了相应的法律保护。但是,通过施雷姆斯案第二阶段激活的事后审查,欧盟法院推翻了欧盟委员会的判断。根据欧盟法院的审查,在美国相关法律文件中,并未明确说明对其授予政府部门进行外国情报监视的权力进行何种限制,也没有为可能成为这些计划目标的非美国人提供任何法律保证。因而,美国政府很可能在未经司法审查的情况下大量获取境外数据,美国法律也并没有以足够明确和准确的方式界定这种大量收集个人数据的范围界限。这违反了《宪章》第52条。根据该条规定,任何对《宪章》确认的基本权利的干涉都必须尊重这些权利和自由的本质,并由法律明确界定限制的范围;限制这些权利需要满足维护欧盟普遍利益或保护他人权利所必需的相称性要求。易言之,对个人数据保护的减损和限制,必须仅在绝对必要的情况下适用,且必须实施最低限度的保障措施,使数据主体享有可预期的充分保障,保护其个人数据免受政府滥用威胁。还必须说明的是,在何种条件通过何种程序实施法律规定处理此类数据的干涉措施,从而确保干涉限于严格必要的范围内。显然,美国政府部门获取和使用欧盟个人数据的相关法律,并不符合欧盟合法限制基本权利的条件。此外,根据《宪章》第47条和GDPR第45(2)(a)条,当数据主体的数据权利受侵犯时,享有得到独立公正司法救济的权利;欧盟委员会在进行充分性认定时,二、施雷姆斯案与《倡议》第三条价值主张的实现从施雷姆斯案出发,不仅可以看出欧盟实践与《倡议》第三条价值主张的呼应,同时,还可以了解欧盟如何以其特有方式,按其自身标准对“滥用信息技术从事针对他国大规模监控、非法采集他国公民个人信息”的行为进行评定,并实质性影响相关国家,从而实现此种价值主张。简言之,为达至前述目的,欧盟所依赖的手段主要有三个。首先,作为一般基础,欧盟以《宪章》和《通用数据保护条例》(GDPR)为核心,构建高标准的个人数据保护制度。其次,作为前置条件,涉及与第三国跨境数据传输的,通过欧盟委员会主导的充分性认定机制,要求第三国提供与欧盟实质等同的高标准数据保护水平。最后,作为事后审查,欧盟可依据数据保护执法或司法制度启动对第三国行为的评判,若第三国因为存在未能“采取措施防范、制止利用网络侵害个人信息”或者“滥用信息技术从事针对他国大规模监控、非法采集他国公民个人信息”的情况,导致不再符合充分性认定标准,欧盟可单方面拒绝或终8/2020.11网络空间战略论坛CyberspaceStrategyForum从施雷姆斯案出发,不仅可以看出欧盟实践与《倡议》第三条价值主张的呼应,同时,还可以了解欧盟如何以其特有方式,按其自身标准对“滥用信息技术从事针对他国大规模监控、非法采集他国公民个人信息”的行为进行评定,并实质性影响相关国家,从而实现此种价值主张。也应当重点评估第三国对数据主体是否存在有效的行认真审视其国内的隐私和数据保护标准,并重新评估政和司法救济制度。其相关情报立法是否存在明显“滥用信息技术从事针但是,在以FISA第702条款和第12333号行政对他国大规模监控、非法采集他国公民个人信息”的令为基础的监控计划中,相关美国法律均未授予数据情形,是否需要通过完善国内立法限制和约束政府非主体针对美国当局的侵害行为向法院提起诉讼的救济法收集他国公民个人信息的行为。权利。为弥补这方面的缺陷,《隐私盾决定》创设了如果要对《倡议》第三条做前瞻性检视,那么就隐私盾监察员(ombudsperson)制度,并通过在行政有必要剖析以施雷姆斯案为代表所体现的欧盟方式得上直接对美国国务卿负责的方式确保其独立性。但是,以顺利推进的原因。就此而言,主要有以下三点值得欧盟法院认为,监察员人事任免方面的独立性并未得关注。到美国法律的确立,美国法律也没有赋予监察员对情第一,欧盟的数据保护规则特色鲜明,而且持续报机构违法行为做出具有法律约束力决定的权力,因释放全球影响。从1980年世界经济合作与发展组织此,监察员制度并未提供实质等同于欧盟法要求的独(OECD)颁布《关于隐私保护和个人数据跨境流动立公正的救济权。的指南》(GuidelinesontheProtectionofPrivacyand欧盟法院最终裁决,虽然《隐私盾决定》第1条TransborderFlowsofPersonalData)和1981年欧洲认定美国确保了从欧盟转移至美国公司的个人数据能理事会各成员国签署的108号公约,即《个人数据自得到充分保护,但是该条不符合《宪章》第7条、第动化处理保护公约》(ConventionfortheProtection8条、第47条和第52条以及GDPR第45条的要求,ofIndividualswithregardtoAutomaticProcessing应归于无效;而由于《隐私盾决定》第1条与该决定ofPersonalData),到1995年《数据保护指令》第2条和第6条及其附件不可分割,因此,第1条无(DIRECTIVE95/46/EC),再到2018年生效的效将影响整个决定的有效性,故《隐私盾决定》整体GDPR,欧盟及其主要成员国持续不断向全球输出其无效。裁决做出后,其影响迅速波及美国和欧盟5300关于个人数据权作为一项基本权利的价值理念,并不多家企业的跨境数据交易,并形塑了欧美数据安全新同程度地被各国所认可。一轮博弈的主要背景。第二,欧盟具有良好的法治传统、高效的数据保护执法机制和司法裁判体系,能够将其高标准的个人三、施雷姆斯案的经验及其启发数据保护制度转为实践影响。这正是施雷姆斯案所展示的图景:对《宪章》确立的个人数据基本权利,根基于前文阐述的特有方式,通过施雷姆斯案给美据GDPR贯彻个人数据保护的具体法律制度,通过公国施加影响,欧盟成功捍卫了其价值主张,迫使美国民个人的投诉和起诉,撬动背后的数据保护执法和欧2020.11/81CNITSEC
网络空间战略论坛yberspaceStrategyForum《倡议》特别强调,各国应当“秉持发展与安全并重的原则”,并致力于“维护开放、公正、非歧视性的营商环境”。易言之,一国若以数据安全之名,行数字贸易壁垒之实,将严重影响全球数字营商环境的公平性和开放性,其做法恐怕也失之偏颇,亦非对《倡议》第三条精神的正确解读。盟司法机制不断推进,实现在欧盟法下对美国政府大规模监控行为的法律评判。第三,紧密且庞大的现实利益联结是欧盟做法最终能事实上影响他国的重要因素。美国之所以无法忽视或反击施雷姆斯案中欧盟对美国大规模监控行为的负面认定,概因美国互联网产业发达并强烈CNITSEC第二阶段的裁决提出质疑,认为欧盟对数据安全反应过度,将给全球营商环境蒙上一层阴影。这是因为,该案不仅导致《隐私盾决定》无效,同时还让与欧盟基于SCC机制进行数据跨境传输的全球企业的业务模式陷入法律上的非稳定状态。这些企业被要求除采用SCC机制之外,还需要全面评估其所在国的数据保护水平,尤其是在政府获取数据以及提供救济等方面的法律和实践,并采取相应的保障措施,以达到欧盟的充分性保护认定标准。欧盟通过施雷姆斯案第二阶段裁决变相施加给全球企业的这一严苛责任,无疑将转化为沉重的合规负担,尤其是那些中小企业,因为它们往往并不具备评估所必需的专业人才和资金支持。鉴此,相关论者进一步指出,一国在捍卫本国数据安全的同时,也应当积极与他国展开平等对话,促成数据跨境规则的构建。因为数据安全之目的而不可避免给他国企业数据跨境造成过重的合规负担,一国负有义务积极采取相应举措优化与他国企业的营商环境,例如出具官方的针对他国的数据事实上,《倡议》特别强调,各国应当“秉持发展与安全并重的原则”,并致力于“维护开放、公正、非歧视性的营商环境”。易言之,一国若以数据安全之名,行数字贸易壁垒之实,将严重影响全球数字营商环境的公平性和开放性,其做法恐怕也失之偏颇,亦非对《倡议》第三条精神的正确解读。[本文为国家社科基金项目阶段性成果(项目批准号:18CFX087)]依赖于欧盟市场,而且,这种依赖呈现出单边性的特点。反观我国,在制度建设层面,虽然我国对个人信息保护的重视程度不断提升,相关规范性文件也不断健全,但是,现行制度仍呈现出效力位阶低、立法分散粗疏、未设立专门监管机构等特点。在司法救济层面,尽管公民权利意识不断增强,公民个人启动的个人信息相关维权案件数量也不断增多,但是,纯粹以个人信息受到侵害为由的救济请求仍较难获得司法保护,个人信息甚至也仍无法作为独立案由被法院受理,而即使进入司法程序,法院在多大程度上能够通过释法将我国个人信息保护规则用于影响外国政府的大规模监控行为,也有诸多不并呈现出不断扩张的态势,而且,相较欧盟而言,我国数字产业对海外市场的依赖度极高且仍在增长,这一事实恐怕也将削弱我国仿照欧盟方式落实《倡议》第三条的能力。确定因素。此外,我国数字经济体量位居世界第一,保护法律评估报告,以供企业参考。四、余论:要安全也要发展值得注意的是,有论者对欧盟法院施雷姆斯案82/2020.11
篇三:全球安全倡议心得
全球数据安全倡议
文章属性
【缔约国】
【条约领域】邮政通信,科学技术
【公布日期】2020.09.08?
【条约类别】其他
【签订地点】
正文
全球数据安全倡议
信息技术革命日新月异,数字经济蓬勃发展,深刻改变着人类生产生活方式,对各国经济社会发展、全球治理体系、人类文明进程影响深远。
作为数字技术的关键要素,全球数据爆发增长,海量集聚,成为实现创新发展、重塑人们生活的重要力量,事关各国安全与经济社会发展。
在全球分工合作日益密切的背景下,确保信息技术产品和服务的供应链安全对于提升用户信心、保护数据安全、促进数字经济发展至关重要。
我们呼吁各国秉持发展和安全并重的原则,平衡处理技术进步、经济发展与保护国家安全和社会公共利益的关系。
我们重申,各国应致力于维护开放、公正、非歧视性的营商环境,推动实现互利共赢、共同发展。与此同时,各国有责任和权利保护涉及本国国家安全、公共安全、经济安全和社会稳定的重要数据及个人信息安全。
我们欢迎政府、国际组织、信息技术企业、技术社群、民间机构和公民个人等各主体秉持共商共建共享理念,齐心协力促进数据安全。
我们强调,各方应在相互尊重基础上,加强沟通交流,深化对话与合作,共同构建和平、安全、开放、合作、有序的网络空间命运共同体。为此,我们倡议:
——各国应以事实为依据全面客观看待数据安全问题,积极维护全球信息技术产品和服务的供应链开放、安全、稳定。
——各国反对利用信息技术破坏他国关键基础设施或窃取重要数据,以及利用其从事危害他国国家安全和社会公共利益的行为。
——各国承诺采取措施防范、制止利用网络侵害个人信息的行为,反对滥用信息技术从事针对他国的大规模监控、非法采集他国公民个人信息。
——各国应要求企业严格遵守所在国法律,不得要求本国企业将境外产生、获取的数据存储在境内。
——各国应尊重他国主权、司法管辖权和对数据的安全管理权,未经他国法律允许不得直接向企业或个人调取位于他国的数据。
——各国如因打击犯罪等执法需要跨境调取数据,应通过司法协助渠道或其他相关多双边协议解决。国家间缔结跨境调取数据双边协议,不得侵犯第三国司法主权和数据安全。
——信息技术产品和服务供应企业不得在产品和服务中设置后门,非法获取用户数据、控制或操纵用户系统和设备。
——信息技术企业不得利用用户对产品依赖性谋取不正当利益,强迫用户升级系统或更新换代。产品供应方承诺及时向合作伙伴及用户告知产品的安全缺陷或漏洞,并提出补救措施。
我们呼吁各国支持并通过双边或地区协议等形式确认上述承诺,呼吁国际社会在普遍参与的基础上就此达成国际协议。欢迎全球信息技术企业支持本倡议。