在执法数据跨境获取需求日益增加、国际法律冲突日益激化、国际司法协助体系效率低下、数据本地化成为全球一大立法趋势的背景下,美国出台了《合法使用境外数据明确法》(以下简称“CLOUD 法”)为执法机构获取境外数据以及外国政府获取美国境内数据提供依据。CLOUD 法突破了传统的数据存储地模式,将美国的执法效力扩展至全球并建立了以美国为中心的数据跨境获取体系,对我国企业合规、数据主权等带来巨大影响。为应对该法,我国应建立执法数据出境规范机制,防止美国绕过我国监管机制向企业直接调取数据;厘清数据管辖权边界,争取战略主动;变革司法协助机制,推进双边或多边协议的签订。
引言
随着网络的日益普及,网络犯罪也呈现出高发态势。云计算、移动互联网等新一代信息技术采用的分布式存储使得传统的网络边界更加模糊。据市场研究公司Gartner 发布的最新报告显示,2018 年全球公有云服务市场规模达1824亿美元,预计到2022 年云服务行业的市场规模将大幅增长,达到3312 亿美元。云服务市场的高速发展促使数据的全球化存储日益常态化。在网络犯罪领域,执法数据的跨境调取需求愈加频繁,国际法律冲突也更加激化。在此背景下,如何有效跨境获取境外数据成为各国面临的共同困境。
2018 年3 月23 日,美国总统特朗普正式签署《合法使用境外数据明确法》(Clarify Lawful Overseas Use of Data Act,又称“CLOUD 法”)。该法旨在解决美国政府如何合法获取境外数据,及外国政府如何合法获取美国境内数据的问题。针对前者,该法将美国执法机构的执法效力扩展至境外,明确美国执法机构可基于美国调查令获取存储于境外服务器上的数据。对于后者,该法在美国现行的司法协助程序之外,提出了一个新的解决方案——“执行协议”,并对执行协议的实质性和程序性要求做出了明确规定。
在立法应如何设计以规范执法部门跨境数据获取成为全球性难题的背景下,美国CLOUD法颇具研究价值。此外,CLOUD 法带来的美国执法效力的扩张,以及以美国为中心的数据跨境获取体系的建立将对我国企业合规、国家安全、数据主权、国际话语权等带来巨大冲击,如何有效应对成为我国亟需解决的问题。本文将从CLOUD 法的颁布背景、主要内容出发,深度剖析CLOUD 法核心要点及其对中国的影响,并提出应对建议。
1 CLOUD 法的颁布背景
CLOUD 法的出台是在网络空间国际法律冲突日益激化的背景下酝酿,在近期微软诉FBI案件的催化下产生的,是美国政府解决跨境数据获取问题的一次立法尝试。其出台有着深刻的社会背景,承载着美国立法者多种利益诉求。
1.1 跨境数据获取需求激化国际法律冲突
随着网络的普及和信息技术的发展,犯罪数据全球化存储趋势加强,为调查、打击违法犯罪行为,执法部门跨境获取数据的需求日益增加。相应地,国家间的法律冲突也日益激化。美国作为超级网络大国,拥有全球最大的数据流量,在跨境数据获取方面,其面临着更为严峻的国际法律冲突态势。
从企业层面来看,美国拥有苹果、谷歌等诸多互联网巨头,掌握着全球其他国家大量用户的数据。诸多国家执法部门需要获取的数据掌握在美国服务提供商手中。这意味着,美国企业需要应对更多的外国政府的执法要求。该现象导致居于美国政府与外国政府之间的美国企业常困于美国与外国法律义务冲突的两难境地。从政府层面来看,为打击犯罪和恐怖主义,美国执法部门同样存在获取境外数据的需求,但各国数据本地化趋势使得美国政府在获取境外数据方面面临着越来越大的障碍。
在此背景下,美国政府及诸多互联网企业均亟需一个机制来解决境外数据获取问题。
1.2 美国现行法律机制应对不足
在美国政府获取境外数据方面,现行的方案有两种。一种是根据国内法的规定,主要是依据《电子通信隐私法》直接要求本国公司提交数据,比如通过搜查令和传票的方式。但是,执法机构能否依据该法要求本国公司提交境外的数据,在司法实践中存在诸多争议(例如微软诉FBI 案)。近年来,越来越多的科技公司表示产生于1986 年的《电子通信隐私法》并不能为美国执法部门获取境外数据提供依据,因为从立法目的上看,当时的立法者不可能旨在解决美国执法部门获取境外数据。另一种方案则是通过司法协助条约(MLAT)的方式。但是随着技术的发展,犯罪数据全球化的趋势进一步加强,MLAT 程序因其程序的复杂性、流程的缓慢性,已经不再能满足网络时代的执法效率需求。
1.3 数据本地化趋势冲击美国数据话语权
CLOUD 法的出台与国际上数据本地化立法趋势的发展密切相关。数据本地化削弱了美国对全球数据的控制力,进而对美国产生了诸多冲击:首先,数据本地化导致美国境外数据获取需求增加,美国需要与外国政府协商以满足其自身数据需求的场景增多;其次,数据本地化削弱了美国现行的司法协助体系的作用。数据所在国可以通过数据本地化,绕过美国的司法协助程序,直接要求企业向其提交数据。为缓解国际数据本地化对美国的冲击,美国也需要建立一个新的机制来维持其在全球范围内的数据话语权。
1.4 微软诉美国司法部案催化新规
CLOUD 法的出台与微软诉美国司法部案密切相关。该案源于2013 年美国一法官为调查一起毒品走私案件向微软发布一份调查令,要求微软根据《存储通信法》的规定提供一位用户邮箱中的所有邮件和其他信息。微软以邮件数据存储在爱尔兰而非美国为由拒绝执行,请求法院撤销该调查令。该案的主要争议在于美国政府能否依据调查令获取美国境外的数据。该案几经庭审,各阶段法庭对此也做出了不同的裁决。
微软诉美国司法部案的争议激发了美国国内对《电子通信隐私法》以及现行的MLAT 程序的反思,凸显了执法部门在数据跨境获取方面面临的执法困境,以及科技公司在履行执法要求方面面临着的合规难题(在第二巡回法院审理期间,爱尔兰政府也向美国上诉法庭提交了一份法律意见书,表明爱尔兰政府不同意微软交出位于其境内的数据)。在美国第二巡回法院意见中,林奇法官敦促国会采取行动,出台新的立法以适应云时代的需求。许多国会议员公开表示无论案件的审理结果如何,均将提议出台新的法律来规范数据跨境获取问题。
2 CLOUD 法的主要内容
CLOUD 法的核心内容包括两部分:一是美国政府如何获取境外数据;二是外国政府如何获取美国境内数据。
2.1 美国政府如何获取境外数据
根据CLOUD 法的规定,电子通信服务或远程计算服务的提供商应根据规定保存、备份或披露其拥有、监管或控制的与其用户相关的记录或信息,包括电子通信信息,无论该信息位于美国境内还是境外。
《电子通信隐私法》对执法部门强制服务提供商披露数据的程序和内容做出了细致的规定。CLOUD 法在此基础上进一步明确了对于存储在美国境外服务器上的数据,美国执法机构仍有权要求服务商提供。这里需要注意以下几点:
首先,义务主体。根据CLOUD 法的规定,在符合条件的情形下,应当提交境外数据的义务主体为:电子通信服务提供商和远程计算机服务提供商两类。值得关注的是,“电子通信服务提供商”和“远程计算机服务提供商”并不仅限于美国企业,还包括在美国境内运营的外国企业。其中,“电子通信服务”是指任何提供给使用者发送或接收有线或电子通信能力的服务。“远程计算服务”是指通过电子通信系统向公众提供计算机存储或处理服务。这里的“电子通信系统”是指,任何有线、无线、电磁、光电或传输这些有线或电子通信的光线设备,及任何为这些通信提供电子存储的计算机设备或相关电子装置。
其次,抗辩事由。针对美国执法部门发出的执行要求,CLOUD 法赋予了服务提供商撤销或变更执法要求的抗辩权。抗辩事由为:(1)提供商有合理理由认为该用户不是美国人,且不居住在美国;且(2)服务商直接提供该数据将会陷入违反“适格外国政府”(qualifying foreign government)法律的重大风险。
再次,礼让原则。为平衡美国与数据所在国的法律冲突,CLOUD 法规定了法官在做出是否撤销执法机构的数据获取程序决定前的礼让原则,明确了遵循礼让原则需要考量的八大因素,包括:(1)美国的利益,包括提出披露要求的政府机构的调查利益;(2)“适格”外国政府在保护禁止披露信息方面的利益;(3)由于对提供商施加法律要求的不一致性,导致的提供商或提供商的雇员所面临处罚的可能性、程度及性质;(4)被要求提供通信记录的客户的位置和国籍,以及该客户与美国之间联系的性质和程度。如果披露要求是由外国主管部门依据第3512 条发起的,则考虑该客户与外国主管机关所属国家之间联系的性质和程度;(5)提供商与美国之间的联系及其在美国活动的性质和程度;(6)要求披露的信息对于调查的重要程度;(7)采用其他负面影响更小的方式能够及时有效获取所需披露信息的可能性;(8)如果数据披露要求是由外国主管部门依据第3512条发起的,则考虑发布协助要求的外国主管部门进行调查的利益。
最后,法律责任。对于违反CLOUD 法规定拒不提交数据的法律责任,CLOUD 法并未明确。但是,从美国法典的规定来看,企业未遵守CLOUD 法的规定向执法机构数据的,可能构成藐视法庭罪。
2.2 外国政府如何获取美国境内数据
针对外国政府如何获取美国境内数据的问题,CLOUD 法建立了一套新的机制,即执行协议(executive agreement)。CLOUD 法明确了与美国签订执行协议的外国政府应当满足的先决条件,以及签订执行协议程序。
关于先决条件,根据CLOUD 法的规定,执行协议应当满足四项要求,包括:
(1)受协议约束的外国政府的国内法已经为隐私权和公民自由提供强有力的实质性和程序性保护。
(2)受协议约束的外国政府已采取适当的程序,尽量减少获得、保留和传播与美国人有关的信息。
(3)协议不得要求提供商解密数据或限制提供商解密数据。
(4)协议应当对外国政府根据执行协议发布的政令提出要求,包括外国政府不得故意以美国人或位于美国的人为目标,且必须采取满足该要求的目标锁定程序;应当指明具体的个人、账户、地址、个人设备、或其他具体的标识符作为政令的对象;应当受到法院、法官、裁判官或其他独立机关的审查或监督;涉及拦截通信信息的,该拦截命令须有确定的、有限的期限,不得超过完成该命令合法目的所需的合理必要的时间,且只能在无法用其他侵扰更小的手段合理获取信息时才可发布;外国政府应同意定期审查其遵守由美国政府执行的协议条款的情况等。
关于程序性要求,根据CLOUD 法的规定,签订执行协议的程序性要求如下:司法部长提出签订建议—国务卿同意—司法部长作出认定决定—司法部长作出认定决定7 天内向国会提交书面证明并按规定对具体事项作出说明—执行协议在司法部长作出认定决定的180 天后生效,除非国会作出不予批准的联合决议。
3 CLOUD 法对中国的影响
CLOUD 法突破了传统的数据存储地模式,将美国的执法效力实质性地通过其全球性的互联网企业扩展至诸多国家或地区,并建立了以美国为中心的数据跨境获取体系,对我国企业合规、数据主权等带来巨大冲击。
3.1 增加企业合规成本及风险
CLOUD 法的出台对中国的影响首当其冲是企业。当前我国阿里、华为、中兴等诸多电子通信服务提供商和远程计算机服务提供商在美设有营业地。根据CLOUD 法的规定,上述企业均有可能成为CLOUD 法所规定的义务主体,需要根据规定披露其拥有、监管或控制的与其用户相关的记录或信息,即使该数据存储于美国境外。
可以设想的一个场景是,对于在美设有营业机构,但数据存储于中国境内的中国企业一方面需要遵守CLOUD 法向美方提交数据,另一方面也面临着中国的监管。虽然CLOUD 法赋予了义务主体在特殊情形下的抗辩权,但由于我国很难被美国认定为“适格政府”,在我国法律与CLOUD 法冲突的情形下,企业很难依据CLOUD 法赋予的“服务商直接提供该数据将会陷入违反“适格”外国政府法律的重大风险”这一事由做出抗辩。
3.2 冲击数据主权,带来国家安全隐患
大数据时代,数据不仅成为重要的商业资源和生产要素,更是国家基础性战略资源。全球数据本地化的立法趋势冲击了美国长期以来的数据霸主地位,通过CLOUD 法美国可重新获得其对全球数据的控制力。这一扩张性的做法给其他国家将带来诸多问题。
首先是数据主权问题。作为“网络主权”的下位概念,“数据主权”是一个国家独立自主对本国数据进行管理和利用的权力。CLOUD法在原有的司法协助体系之外,建立了一个可以绕过数据所在国监管机构的数据调取机制,将美国执法机构的执法效力实质性地扩展至数据所在国,而缺乏相应的透明度、审批或通报机制,该做法损害了数据所在国对其境内数据的管辖权。
其次,绕过政府直接向企业发出执法命令的机制也为美国从数据所在国获取数据(不限于执法数据)打开了通道,带来了国家安全隐患。当前苹果、微软等美国企业均在我国设有营业机构,根据CLOUD 法的规定,一旦发生相关情形,美国执法机构可以要求苹果、微软等公司提交位于中国境内的数据。在此背景下,CLOUD 法对中国数据主权的冲击将是可见的、现实的。
最后,CLOUD 法也将导致我国在数据跨境调取方面与美国处于不对等的地位。根据CLOUD 法的规定,只有“适格政府”与美国签订执行协议,才可依据CLOUD 法从美国境内获取数据,但从CLOUD 法设置的一系列条件来看,中国很难被美国认定为“适格政府”,而不能依据CLOUD 法对等地获取位于美国的数据。
4 CLOUD 法的中国应对方案
CLOUD 法所凸显的是美国在全球数据领域的权力扩张,在其通过国家力量强制获取境外数据的背景下,企业的直接对抗效果甚微。基于此,企业一方面应注意通过对CLOUD 法、我国《网络安全法》以及接下来的《关键信息基础设施安全保护条例》等相关法律法规的研判,规划部署数据存储地,尽量减少法律冲突。另一方面,应当加强与中美双方监管机构的沟通协调,尤其是与中方监管机构的沟通,推进中美双方国家层面的对话。面对CLOUD 法的冲击,国家力量尤为重要,我国政府应采取一系列的举措全面应对。
4.1 建立执法数据出境规范机制,防止直接调取
分析表明,CLOUD 法确立美国执法效力的扩张将会导致美国执法机构有权绕过我国监管机构而直接从我国境内企业调取数据。基于此,建立执法数据出境规范机制,严格限制相关数据的出境不失为一种应对之策。
从我国现行法来看,我国尚未建立完善的执法数据出境机制,实施已久的网络安全等级保护制度(原信息安全等级保护制度)更多的是关注计算机系统及数据自身的安全,并未解决数据出境及其衍生出来的国家安全、数据主权的问题。《网络安全法》第37 条规定的关键信息基础设施中的个人数据和重要数据的出境评估制度在一定程度上可缓解CLOUD 法所带来的上述问题,但由于关键信息基础设施中的个人数据与重要数据与执法数据并非完全匹配,导致第37 条仍存在诸多适用局限。2018 年10月我国通过的《国际刑事司法协助法》中第4条第3 款规定“非经中华人民共和国主管机关同意,外国机构、组织和个人不得在中华人民共和国境内进行本法规定的刑事诉讼活动,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助”,这被视为对CLOUD 法的直接回应。但是,鉴于该条款规定抽象,也未设立相应的罚则,可操作性不足,实难应对CLOUD 法的冲击。未来我国需进一步确立执法数据出境规范的具体实施细则,尤其是相应的透明度机制和审批机制。
4.2 厘清数据管辖权边界,争取战略主动
互联网的跨国界性与经济全球化趋势的进一步融合使得一国法律监管影响往往超出了国家边界。此外,为加强本国在全球市场的数据话语权,诸多国家或地区在数据立法方面也趋向于扩大本国法律的管辖范围。在跨境数据获取方面,在国家层面形成了数据存储地模式和数据控制者模式两大方案。随着网络的发展,传统的数据存储地模式以国家疆域为基础,因其适用困难、取证效率低下而已经有所松动。诸多国家或地区开始适用数据控制者模式,CLOUD 法即为典型。CLOUD 法之外,欧盟也开始制定新法以便执法及司法当局跨境获取电子证据。与CLOUD 法类似,欧盟将不以数据存储位置作为管辖权的决定因素,只要满足相关条件,欧盟成员国的执法或司法当局可直接向在欧盟境内的服务提供商要求提交电子证据,无论数据存储地位于欧盟境内还是境外。
相比之下,我国仍严格采用传统的数据存储地模式的做法,这一方面很难适应犯罪数据全球化的形势,另一方面也很难对抗国际社会尤其是CLOUD法为代表的美国强势立法的冲击。基于此,我国亟需厘清数据管辖权边界,适当扩展数据领域立法的域外效力,争取战略主动权。
4.3 变革国际司法协助体系,推进双边或多边协议签订
长期以来,我国主要是依据国际司法协助体系进行跨境数据的获取。随着新技术的发展,我国也面临着与美国类似的困境,即传统的国际司法协助规则不能满足日益增长的执法数据跨境调取需求和打击网络犯罪的效率需求。新技术背景下我国传统的国际司法协助体系亟需变革。
CLOUD 法确立的执行协议模式,即双边或多边协议模式为执法机构跨境获取数据建立了一个新的框架,为跨境数据交流提供了现实可行的通道,使得美国与别国之间的双向数据调取变得更加容易。CLOUD 法颁布后,澳大利亚、欧盟、英国、加拿大等国家或地区均表示将针对签订跨境电子取证双边协议问题与美国进行谈判。可以看出,美国以CLOUD 法为基础,以“适格政府”为门槛,实际上构建了一个以美国为主导的数据跨境获取体系,这一体系将有助于高效解决云计算等新技术背景下的执法数据跨境调取问题。
可以预见,在执法数据跨境调取领域,传统的国际司法协助体系将逐渐被双边或多边协议所取代,CLOUD 法的出台以及相关国家的效仿或配合举措则是这一趋势的例证。为解决我国当下执法数据跨境调取所面临的困境,同时也为扩大我国在国际空间的话语权,我国应当积极开展国际对话,推动执法数据跨境获取双边或多边协议的签订,构建数据跨境获取新框架。
5 结语
在执法数据跨境调取成为全球性难题的背景下,美国CLOUD 法的出台建立了执法数据跨境调取的新模式,其强势性和扩张性的规定将对我国带来直接冲击。未来我国需进一步确立执法数据出境规范的具体实施细则,完善执法数据出境规范机制,以防美国政府绕过我国监管直接向企业调取数据。同时我国也亟需厘清数据管辖权边界,适当扩展数据领域立法的域外效力。此外,在新技术背景下我国传统的国际司法协助体系亟需变革,推动执法数据跨境获取双边或多边协议的签订。
(为便于排版,已省去原文注释)
作者:胡文华, 公安部第三研究所助理研究员。研究方向: 网络安全与个人数据保护政策立法。
(本文选自《信息安全与通信保密》2019年第七期)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
