文 | 腾讯网络安全与犯罪研究基地研究员 李佳 王京婕

美国去年出台的《澄清域外合法使用数据法案》(CLOUD法案),以及我国近期出台的《国际刑事司法协助法》,集中凸显了目前全球跨境电子取证的法律冲突:一边是倡导数据自由流动的国家单方面积极行使长臂管辖权;另一边是倡导数据主权的国家对此予以禁止。这一冲突往往导致在多个法域拥有实体企业的应对困境。本文旨在对导致这一困境的各主要法域的相关法律进行简要总结,并提出应对思考。

一、综述

总体而言,跨境电子取证通常只有在同时满足三个前提时才会发生法律冲突:1.证据调取国实施“长臂管辖权”,通常此类管辖权仅仅依据其国内法律,而在别国——尤其是证据所在国——不受认可;2.证据所在国存在对数据流通的限制;3.前两项之间的矛盾无法通过证据调取国与证据所在国之间可适用的数据流动协议协调。

首先,长臂管辖权。以美国的CLOUD法案和欧盟的《欧洲议会和欧洲理事会关于刑事犯罪电子证据的调取令和保全令的规定的提案》(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on European Production and Preservation Orders for electronic evidence in criminal matters)为例,CLOUD法案由微软与美国司法部的诉讼案催生,规定了美国执法机构有权调取储存于其境外的数据;欧盟的提案目前尚未生效,但是,一旦投票通过,可能产生等同于或者甚于CLOUD法案的长臂效果。

其次,跨境数据流动限制。基于各国规制方法的差别,可分为两种,一种是隐私规制,一般是以隐私保护为基础,根据隐私保护的原则和标准对跨境数据流动进行限制;另一种是数据本地化,与隐私规制不同,数据本地化并不考虑数据的接受、处理或存储方的隐私保护水平,往往对数据跨境转移实施绝对的限制,或者要求建立或使用本地的基础设施或服务器。

再次,数据流动协议。主权国家或地区之间的数据流动协议可以在一定程度上缓解跨境证据调取的矛盾,其将允许企业内部在生效国家的范围内进行数据传输。目前,影响力较大的有两个框架协议:一是欧盟的《通用数据保护条例》(GDPR),在特定情况下允许数据传输的渠道,其中包括美国与欧盟的《隐私盾协议》;二是亚太经合组织(APEC)框架下的跨境隐私规则体系(CBPR)协议。

二、长臂管辖权

以美国CLOUD法案为代表,“长臂管辖权”往往允许某一主权国家突破传统的地域主权限制,可以获得位于境外的数据。通常此类国家倡导数据的自由流动,反对数据主权的概念。CLOUD法案授权美国执法部门在特定案件中通过电子通讯服务或远程计算机服务的提供者获取存储于境外的电子数据。该法案允许电子证据调取的双向性,但是,仅有适格外国政府(Qualifying Foreign Government)可依据该法案调取位于美国境内的数据。

欧盟为了加速刑事调查中的电子证据调取,使成员国的调查机关可以直接向服务提供者要求提供电子证据,提出了《欧洲议会和欧洲理事会关于刑事犯罪电子证据的调取令和保全令的规定的提案》。该提案规定了某一欧盟成员国为刑事调查或刑事程序的目的,直接要求位于另一成员国的服务提供者调取电子证据的程序,无论该电子证据的储存地为何。该提案所涵盖的数据包括:1.用户数据;2.访问数据;3.交易数据(前三种均为“非内容数据”);4.内容数据。由于不同类型的数据涉及对基本权利的不同程度的侵犯,因此,须区别对待,适用不同的条件。一般而言,用户数据和访问数据对于发现犯罪嫌疑人的身份非常重要;而交易数据和内容数据更为可能具有证明价值。

对企业而言,在检验自身是否处于某一国家的长臂管辖范围之内时,应主要关注以下三点:

第一,该企业是否属于该法律适用对象之列,即企业应检验其自身是否属于法律所规定的服务提供者类型。例如,美国CLOUD法案的对象是指电子通讯服务或远程计算机服务的提供者,且对这些服务有明确的定义。欧盟的提案也规定其将适用于电子通讯服务和信息社会服务供应商。

第二,企业是否受该法域管辖。虽然所谓“长臂”管辖会涉及存储于境外的数据,但是,此类法律仍须拥有对该企业的地域管辖权,这通常要求该企业与这一法域有充分的联系。比如,欧盟的提案提及该法将适用于所有在欧盟境内“提供服务”的服务提供者,并对何为主动“提供服务”下了明确定义。美国的CLOUD法案并未提及这一内容,但是,在个案中需要结合美国其他法律,确定执法机构申请搜查令所在的法院是否有管辖权对该企业签发搜查令。

第三,企业还应关注所要求调取的数据类型。例如,个人信息与非个人信息的分类:在微软与美国司法部的诉讼案中,微软仅拒绝提交个人信息,但是,一直配合提交非个人信息;且欧盟在2018年10月4日投票通过的《非个人数据自由流动条例》(Regulations on a Framework for the Free Flow of Non-Personal Data)中,规定了非个人信息较为宽松的自由流动。即使就个人信息而言,欧盟关于证据调取令和保全令的提案对不同数据类型的调取规定了不同的条件。

三、对数据流通的规制

基于规制方法的差别,跨境数据流动限制分为两种。

一种是隐私规制,一般是以数据保护法(隐私法或个人信息保护法等)为基础,根据隐私保护的原则和标准对跨境数据流动进行限制。例如,欧盟通过GDPR采取隐私规制的方式限制个人信息的流动,除非此类数据转移到欧盟以外的经“充分性保护水平认定”的第三国。

另一种是数据本地化,与隐私规制不同,数据本地化并不考虑数据的接受、处理或存储方的隐私保护水平,往往对数据跨境转移实施绝对的限制,或者要求建立或使用本地的基础设施或服务器。数据本地化的政策形式有很多种,包括禁止将数据向境外发送、要求在数据跨境传输之前必须征得数据主体的同意、要求在境内留存数据副本、对数据输出进行征税等。例如,美国国税局于2016年发布了出版物1075(Publication 1075)《联邦、州和地方机构的税务信息安全指南》(Tax Information Security Guidelines For Federal, State and Local Agencies),要求联邦机构必须“限制接收、处理、存储的信息系统的位置,或将‘联邦税务信息’传送到美国领土、大使馆或军事设施内的地区。”我国《网络安全法》也规定了“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”

在跨境流动规制的方式选择上,全球存在显著的差异化现象。美国主张数据自由流动,欧盟注重隐私规制,大量发展中国家则偏好数据本地化存储。

对企业而言,对数据流通的限制不仅意味着需要严密的防护系统以防范数据泄露,同时,需要对所涉及地区不同类型的规制法律事先进行研究,预防因配合境外的证据调取而违反当地相关法律。

四、国家之间的数据流动协议

主权国家或地区之间的数据流动协议可以在一定程度上缓解企业应对跨境证据调取的困境。例如,A国家和B国家之间若存在数据流动协议,且企业加入了该协议项下的名录,那么,该企业可以在A国家和B国家之间传输和备份数据。

利用国家之间的数据流动协议来缓解冲突,企业须特别注意以下两点:一是各数据流动协议往往对企业内部的隐私政策有不同的要求,企业须及时进行自我评估,以确保这些要求被满足,从而保证可以适用数据流动协议;二是允许流动的数据类型。协议可能会根据数据类型的不同而有不同程度的传输要求,如欧盟-美国隐私盾中针对员工信息和非员工信息规定了不同的框架。

(一)欧盟GDPR框架下的数据流动协议

GDPR对于跨境数据传输的规定,设置了跨境数据流动的条件,主要包括四种方式:1.在充分性认定的基础上的传输。即对第三国数据保护水平进行评估的白名单制度;2.受到适当保障的传输。GDPR明确指出,在受到适当保障的情况下(如约束性公司规则),个人数据可向第三国或国际组织传输;3.以国际条约为基础的法院判决或行政机构决定。该传输情形适用于以双边或多边国际条约为基础的执行法院判决或行政机构决定的个人数据传输;4.特殊情况下的例外规定。GDPR规定了对于不满足前述三种情形下的跨境数据传输情形,包括允许传输的兜底条款(详见GDPR第49条)。

(二)APEC框架下的CBPR协议

跨境隐私规则体系(CBPR)由亚太经合组织(APEC)制定,旨在建立跨境电子商务中的个人信息保护规则。CBPR被APEC定义为“规范APEC成员经济体企业个人信息跨境传输活动的自愿的多边数据隐私保护计划”。

CBPR是自愿的多边数据隐私保护计划,其规范的对象仅限于亚太地区涉及个人信息跨境传输业务的企业,该体系只规范自愿加入的成员经济体的企业,凡是涉及个人信息收集、存储、加工、传输的企业都在其范围之内。

CBPR适用于可识别的个人信息,包括能够单独或与其他信息结合识别自然人的各种信息。其规范的跨境传输的个人信息包括消费者信息、员工信息和健康信息等,可以由参加国自主选择,但是,美国加入该体系时只选择了消费者信息。

五、应对思考与建议

(一)国家层面

1.完善数据出境相关法律法规

我国《网络安全法》规定了关键信息基础设施数据的本地化存储及出境安全评估原则,建议在此基础上进一步细化操作规则,例如,明确域外执法机构调取我国境内数据所需满足的条件和程序,对域外执法机构调取数据的指令从本国法律制度层面进行衔接,为企业应对外部压力提供支持。

2.加强国际对话,形成双边或多边协作机制

我国的数据保护立法应探索加强国际对话,通过双边或多边协作机制,扩大“朋友圈”。这些双边或多边的数据流动协议,可以在不减损我国数据主权立场的基础上,提高司法协作效率,减轻企业压力,实现数据的安全和合理流动。

(二)企业层面

1.严格落实我国相关法律法规

严格按照《网络安全法》规定,做好数据本地化管理和数据跨境传输管理;按照《国际刑事司法协助法》,完善企业内部支持跨境调证的制度和流程。

2.探索和推进海外业务合规工作

一是继续探索和推进海外业务的合规工作。以GDPR为例,其包含99条正式条款和多达100余条“鉴于条款”的繁复的法律规范,其中,相当多的内容体现为“原则性”条款,尤其是在数据主体权利保障中存在大量“表达自由”“公共利益”等抽象的判断标准,对于这些条款的理解和合规,需要企业在实践中不断探索和完善。

二是保持对各国数据跨境政策法规和执法案例的跟进。当前是各国数据立法窗口期,企业需要保持对海外业务所在国相关政策法规的跟进、对相关执法案例的研究,以便及时掌握监管思路,总结同行出海合规经验,更好推进海外业务。

(本文刊登于《中国信息安全》杂志2019年第5期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。