经过DPO社群中热心同学的努力,美国司法部2019年4月发布的白皮书——《云法案的目的和影响》中文翻译终于出炉了。在此,把译者前言贴出来。

译者序言

近期,美国司法部启动了关于“云法案”(The CLOUD Act, the Clarifying Lawful Overseas Use of Data Act)的全球宣传行动。宣传行动的关键举措之一就是对外发布了一份关于“云法案”的白皮书——《推动全球公共安全、隐私和法治:“云法案”的目的和影响》。

在白皮书中,美司法部推崇“云法案”为执法跨境调取数据的新范式,认为其符合当代商业模式和技术发展的现实,同时在保障公民权利和执法需要之间取得了良好的平衡。

美国司法部的愿望是希望更多的国家能够接受“云法案”提出的跨境调取数据的模式,并加入这个由美国主导的数据跨境流动秩序。在这个秩序中,美国的国家利益和绝对的主动权得到了法律上的固定。感兴趣的读者可阅读下面这篇短文,了解这方面的分析。

在这份白皮书中,非常值得关注的一点是美国司法部对“云法案”管辖范围作出了官方的解释,对此摘录如下:

美国对外国公司管辖权的法律限制是基于美国宪法中的约束,并且是美国法院多年来制定的。当公司位于美国时,属人管辖权是最容易确立的。位于美国境外但在美国提供服务的外国公司是否与美国有足够的联系且受美国管辖,是基于对个案中该公司与美国的联系的性质、数量和质量的考查。公司越是有目的地将其行为引导到美国,法院就越有可能认定该公司受美国管辖。例如,美国法院将这一分析应用于涉及网站的民事案件,重点关注网站与其辖区内的客户的互动程度,同时考虑到网站的功能和机制、对客户的任何特定促销、通过网站招揽业务以及客户的实际使用情况等因素。

从上述文字可以清晰看出,“云法案”绝不仅仅适用于在美国注册成立的公司。境外的公司只要在经营活动中与美国有足够的联系(contacts),就足以触发美国法律的管辖权。换句话说,在中国注册成立的(中国或美国)公司,在不同情形下都可能触发“云法案”的管辖。

在白皮书中,美国司法部还提供了很多有意思的信息。总之这份白皮书很值得研究。译者还在此附上此前对于“云法案”的分析。这个分析是站在中国的角度,与美国司法部站在自身角度看待“云法案”形成了鲜明的对比。

洪延青


美国快速通过Cloud法案清晰明确数据主权战略

作者:洪延青

2018年2月6日,美国4位参议员提交一部立法草案“云法案”(the Clarifying Lawful Overseas Use of Data Act,CLOUDAct)。3月21日,“云法案”被塞入等待批准的《2018年综合拨款提案》。随着3月23日美国总统川普在《2018年综合拨款提案》上签名,“云法案”在短短时间内走完从草案到正式法律的历程,即刻生效。然而,在该法案经历的1个半月时间,美国国会没有对该法案进行任何辩论。这次美国人如此迫切地通过该法案,值得关注。

一、“云法案”的缘起

美国推出“云法案”,是为了修改1986年生效的《存储通信法案》(Stored Communication Act,SCA)。

首先,《存储通信法案》没能明确美国政府的搜查令是否能要求通信服务商提交存储在境外的数据。在关键问题上的模糊,导致了微软和美国政府之间一路打到美国最高法院的法律争议。微软认为,数据存储在爱尔兰,只适用于美国境内的搜查令不能覆盖到爱尔兰,即微软坚持“数据存储地标准”。政府一方认为,执行搜查令无需美国执法人员跑到爱尔兰,微软有能力在美国境内进行操作,在美国境内向政府披露数据。因此,搜查令没有适用于美国境外,微软有义务配合美国政府获得该数据,即美国联邦调查局(FBI)坚持“数据控制者标准”。

其次,《存储通信法案》规定,通信服务商不得向外国政府提供通信内容数据。严格的禁令导致许多国家在调查本地人实施的本地犯罪时,仅仅因为犯罪分子使用了美国通信服务提供商的产品,只能通过双边司法协助的途径请求美国当局同意给出内容数据。

二、“云法案”的基本内容

该项立法有针对性地改革了《存储通信法案》,具体来说,就是对微软和FBI之间的争议提出了解决方案,同时还对外国执法部门调取存储在美国的通信内容数据提供通道。以下对该法案内容做出分析:

1.采用“数据控制者标准”

“云法案”明确采用所谓的“数据控制者标准”。其规定“无论通信、记录或其他信息是否存储在美国境内,服务提供者均应当按照本章(即《存储通信法案》)所规定的义务要求保存、备份、披露通信内容、记录或其他信息,只要上述通信内容、记录或其他信息为该服务提供者所拥有(possession)、监管(custody)或控制(control)。”据此,根据该法案规定,在FBI发出搜查令后,微软应向FBI提交其存储于爱尔兰的电子邮件内容。

当然,该法案给服务提供者“抗辩”的渠道。该法案规定,当服务提供者合理地认为同时存在如下情况时,可提出“撤销或修正法律流程的动议”:一是目标对象不是“美国人”(the United States Persons)且不在美国居住;二是披露内容的法律义务将给服务提供者带来违反“符合资格的外国政府”(qualifying foreign governments)立法的实质性风险。其中,“美国人”是指美国公民或国民、合法承认为永久居民的外国人、其中相当数量的成员是美国公民或拥有合法承认的永久居留权的外国人的法人团体,或在美国注册成立的公司。

当接到服务提供者提出的“撤销或修正法律流程的动议”后,具有管辖权的法院应给予政府部门回应的机会,并在确认同时存在以下情形后,方可撤销或修正法律流程:一是披露义务将会导致服务提供者违反“符合资格的外国政府”的立法;二是基于该个案的所有情况,为维护司法公正,该法律流程应被撤销或修改;三是对象确不是“美国人”且不在美国居住。

法院在确认上述第二项情形时,需要进行礼让分析(comity analysis)。在礼让分析中,法案规定了法官应考虑的七个要点:一是美国政府的利益,包括寻求信息披露的具体政府组织在调查方面的利益;二是符合资格的外国政府在避免其法律禁止的内容披露方面的利益;三是不一致的法律要求,对服务提供者(或其雇员)带来处罚的可能、范围、性质;四是目标对象所处的地点和国籍,以及目标对象与美国联系的性质和范围(如知晓的话);五是服务提供者与美国的联系及存在于美国的性质和程度;六是所要求披露的信息对调查的重要程度;七是及时有效地获取所需要披露的信息的手段造成消极后果的可能性。

2.外国政府机构调取存储于美国的数据

“云法案”允许“符合资格的外国政府”在与美国政府签订行政协定后,向美国境内的组织直接发出调取数据的命令。

(1)“符合资格的外国政府”的认定

“云法案”要求美国总检察长(连同国务卿)向国会提交书面报告,认定外国政府符合下述所有的条件,才能判定外国政府符合法案提出的资格。

判定的核心准绳是“外国政府的国内立法,包括对其国内法的执行,是否提供了对隐私和公民权利足够的实质和程序上的保护”。“这样的认定是考虑了可信的信息和专家的意见,且考虑了以下因素”:一是外国政府在网络犯罪和电子证据方面,是否拥有足够的实质性和程序性法律,是否加入了《布达佩斯网络犯罪公约》,或其国内法与该公约第1章和第2章相吻合;二是展现出对法治和平等原则的尊重;三是遵守国际人权义务或展现出对国际基本人权的尊重,包括保护隐私免于肆意和非法的干涉、公平的庭审权利、表达结社和平游行的自由、避免肆意逮捕和监禁、避免酷刑和残酷的非人道或贬低人格的待遇和惩罚;四是对允许通过行政协定获取数据的外国政府机关,有清晰的法律要求和程序,包括这些机关收集、获取、使用和共享数据的程序,以及对上述数据活动的有效监管;五是有足够的机制能对外国政府收集和使用电子数据课以责任和提供适当的透明度;六是展现出对全球信息自由流动和维护互联网开放、分布式、互联本质的决心和承诺。除此之外,该外国政府应采取了适当的程序,最小化了对涉及“美国人”信息的获取、留存和散布。

(2)“符合资格的外国政府”直接送达命令的要求

对于外国政府发出的调取数据命令,行政协定要求:一是外国政府不得有意地针对“美国人”或位于美国境内的个人,且必须采取满足该要求的目标锁定程序(targeting procedures)。二是如果外国政府的目的是获取有关美国人或位于美国的人的信息,则不得以美国以外的非美国人为目标。三是外国政府不得在美国政府或其他第三国政府的要求下发出命令,或为与美国政府或其他第三国政府共享数据而发出命令,也不得将获得的信息与美国政府或其他第三国政府共享。四是外国政府发出的调取数据命令,应是与预防、侦破、调查、起诉严重犯罪(包括恐怖主义)相关的;调取命令应限定于特定的个人、账号、住址、个人设备等;外国政府要求服务提供者提供数据应具备国内法的明确授权,且具备合理事由(如基于可信、可描述的事实,特别是调查所针对行为的违法性、严重性);调取命令应受本国法院、法官、治安法官,或其他独立机构的审核和监督;当调取命令涉及拦截监听实时通信或延长监听时限时,则监听应有固定的期限且不得超过完成命令所合理必需的时间,同时必须是使用其他入侵性更少的方式无法合理地取得同样的数据。五是外国政府颁发的命令不得用于限制言论自由。六是外国政府应及时审核根据行政协定所收集的材料,并将还未审核的通信存放在安全的系统且仅有经过训练的人员可访问。七是外国政府应严格做到最小化的要求。八是外国政府不得将关于“美国人”的通信内容提供给美国政府,除非遵循特定程序且通信内容涉及能对美国或“美国人”带来严重伤害的威胁。九是外国政府应提供数据访问的相互权利。十是外国政府应同意美国政府定期开展的审核。十一是美国政府保留权利停止外国政府的某项具体命令。

三、“云法案”效果分析

先看“取”。在“云法案”中,判断对数据的管辖权标准并非数据的存储地域而是数据控制者,同时该法案仅在涉及非“美国人”且该对象非在美国境内时,才给通信服务提供者提供一定程度上的避免法律冲突(conflicts of law)的机制,并且是由美国法院来做礼让分析。在礼让分析的实践中,大概率的情况是美国法官主要考虑自己手头的案件,而非外国法律的规定。

这样的设计形成的实际效果是:只要数据到了美国的数据控制者手中,默认的情况是美国政府能够直接从全球各地调取,仅在少数情况下是例外,而且例外的大小宽窄均由美国法院单独裁量决定。借此,美国政府的数据攫取之手方便地延伸到国境之外,做到了“国内国外一盘棋考虑”。

再看“防”。“云法案”改革了《存储通信法案》,当且仅在一定条件得到满足时,才允许特定外国政府直接向服务提供者发出内容数据调取命令:一是特定外国政府也给美国对等的待遇,即允许美国直接向其服务提供者发出内容数据调取命令;二是数据调取的主要直接对象,不应是“美国人”且不应是位于美国境内的人;三是调取命令的范围必需严格限定;四是这个国家必须符合一定的人权保护和隐私保护基线。

这种设计形成的实际效果是:一方面,继续对“美国数据”保持优势控制:美国人的数据以及在美国境内的人的数据,外国政府只能在数据调取令中附带地(incidentally)获得;如果专门要调取这些数据,外国政府还是得通过司法协助渠道,必需经过美国国内的司法程序。另一方面,“其他国家的数据”只要为美国数据控制者持有,美国政府就能借机要求发出调取命令的外国政府必须遵守一定的人权和隐私保护基线,同时给美国政府同样的对等待遇。最后,美国保留能够随时关闭外国政府的这个渠道的权利。

“云法案”在“取”和“防”两方面的设计,使美国政府事实上将美国企业铸造成自身在“网络空间的国土”。美国企业在全球互联网行业有多大的市场份额,扩展到多少国家,美国的数据主权就扩展到哪里。同时,通过允许少部分国家“进入”自己的“网络空间的国土”,以换取“进入”这些少部分国家的“网络空间的国土”。美国同时还保有单方面裁量是否开启,以及随时关闭进入“网络空间的国土”的通道的权力。

目前,美国正在通过积极推行亚太经合组织(APEC)的“跨境隐私保护规则”(Cross Border Privacy Rules,CBPRs)体制,吸引数据流入美国本土,促成美国企业掌握全球数据。CBPRs的实质是强制各加入国家在个人数据跨境流动时放弃坚持数据在国内享有的高保护水平,转而认同美国较低的保护水平。目前,美国争取到其传统盟友加入,意图形成网络效应,包括加拿大、墨西哥、日本、韩国、新加坡、澳大利亚等。在WTO场合针对我国提交的书面意见中,美国也明确提出我国在建立《网络安全法》要求的数据出境安全评估体制时不应另起炉灶,而应加入CBPRs。

从综合效果看,美国通过CBPRs强化了美国企业获取数据的能力,再通过“云法案”,达到美国法律覆盖在全球运营的美国企业的效果。至此,美国的数据主权战略轮廓清晰。(主要内容曾发表于《中国信息安全》2018年第4期)

下载美国司法部“云法案”白皮书中文全文翻译

https://pan.baidu.com/share/init?surl=o2nrw1u9Vo6U_Y8W5a4l0A【提取码:57bu】

声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。