政府如何使用商业数据：对数据留存的必要性分析

所谓数据留存，是对人们通讯活动过程中产生的讯息进行存储。随着近几年国际恐怖势力的甚嚣尘上，已有国家及国际组织开始对数据留存单独进行立法。如2006年，欧盟颁布《欧洲议会和欧盟理事会2006年3月15日关于存留因提供公用电子通信服务或者公共通信网络而产生或处理的数据及修订第2002/58/EC号指令的第2006/24/EC号指令》，英国对《2000年调查权规则法案》（Regulation of Investigatory Powers Act of 2000）进行修正后通过的《2014年数据留存和调查权法案》（The Data Retention and Investigatory Powers Act 2014），等等。

留存制度的框架一般包括三大核心内容：留存主体、留存内容、留存期限。

其一，留存主体。一般是企业与政府机构。政府方面一般是情报执法机构、警察机构。这些部门留存数据的目的是为了方便公权力大规模监控与侦查犯罪的需要。需要留存数据的企业一般是互联网及电信企业，至于医院、银行、邮政、图书馆、交通运输企业等，有些国家也会对其做出留存数据的要求。

其二、留存内容。重点留存数据为通讯类、身份类、位置类数据。通讯类的数据留存的内容包括通信源、通信种类、通信的具体位置及通信时间的起止点。身份类数据留存的内容主要包括用户身份的协议信息、联系信息、账单信息。

其三，留存时间，一般为4周到2年不等。在留存时间的确定上，各国可能会有差异，时间长短的确定，一般取决于留存的内容、难度、成本及数据留存下来对安全的威胁等因素。

近年来，数据留存在制度价值与企业义务承担两个方面有了新的发展。^[77]

首先，数据留存由过去配合侦查与执法的一种辅助手段上升为保障国家安全的一种防范手段，制度价值呈整体抬升之势。(www.xing528.com)

现在数据留存的制度价值与打击恐怖主义、国家安全、公共安全直接挂钩。有些国家在国家安全立法、间谍法、反恐法中加入数据留存制度。如英国2014年《数据留存和调查权法案（修正）》、澳大利亚2014年《反恐法》；有些国家对原通信法中数据留存制度进行立法修订，加入打击恐怖主义、维护国家安全的目标，如德国2015年《数据留存法案》、澳大利亚2015年《电信（监控和接入）修正（数据留存）法案》。

其次，立法普遍加重了企业的数据留存义务。

这方面的情况体现在以下三个方面：第一，司法机构的制衡机制被普遍弱化。以前，情报执法机构要想取得留存在企业的数据往往需要向法院、第三方监督机构申请，拿到授权许可后才能采集用户数据。而如今，司法机关的制衡机制不仅被弱化，有些国家甚至直接赋予执法机构采集信息的权利。如澳大利亚2014年《反恐法》直接赋予国家警察机构、反恐机构不经司法机构的批准直接获取个人数据的权力。第二，企业的留存义务为强制性的，留存时限相应延长。比如，英国《2000年调查权规则法案》只要求电信运营商对通讯数据留存3个月，而情报机构与警察都可依程序调取。《2014年数据留存和调查权法案》将留存时间延长到1年并对留存制度予以突出强调。第三，原情报执法机构、国家安全机关承担的一部分职责转移到企业。在2015年《美国自由法案》中，原中央情报局承担的一部分义务转由电信企业承担。情报机构可随时从企业处获取所需数据。

数据留存会给电信与互联网企业造成困境。首先，国家法律、执法机构强行要求企业对民众数据进行留存，该项职权往往得到法律的授权与保障，拒绝遵守与服从是违法的；其次，在信息爆炸的年代，执行这样的要求，不仅会增大企业储存信息的成本、提升储存难度，企业还需应对信息储存的安全风险，而数据一旦泄露，企业还有诉讼之忧；最后，企业还将遭受隐私保护机构与普通民众的指责，企业的信誉在这当中也会遭受不利影响。

对于通信行业与互联网企业而言，承担法定指责是一种担当，然而，这当中也存在严重问题。美国联邦最高法院大法官布兰代斯在1928年Olmstead v.United States案件所撰写的反对意见中就曾提醒人们警惕政府滥用权力。他指出，经验教训揭示出，当政府的意图是行善举时，人们最应保持警惕以保卫我们的自由。因为，当心存不良的统治者入侵自由时，生而自由的人们会本能地排斥。自由最大的隐患是来自对个人权利的一种不知不觉的侵蚀，这种侵蚀往往以热情、善意的面目示人，而人们往往对这样的侵蚀缺乏认识与理解。^[78]在与日俱增的全球极端恐怖主义威胁下，隐私保护往往会让位于国家安全。那些涉及危害国家安全的敏感信息往往会与那些不应受到怀疑的信息储存在一起，要从海量数据中提取与国家安全、严重刑事犯罪相关的信息，意味着所有公民的个人信息都将处于被监视的状态，而国家安全与刑事侦查的需要并不能成为对公民信息进行全面监控的足够充分且正当的理由。监控的内容、时间、范围不应以如此普遍的方式存在。