文│对外经贸大学数字经济与法律创新研究中心研究员 张鹏
为维护国家安全和配合司法执法行为的数据跨境调取需求与日俱增,现阶段的国际司法协助及执法合作等传统机制难以适应数据跨境调取更高的时效要求,客观上导致出现了以美国《澄清域外数据合法使用法案》(ClarifyingLawful Overseas Use of Data Act,CLOUD Act)(以下简称“云法案”)为代表的、绕开数据存储国向互联网企业索要境外数据的模式,并引发了各国对数据主权的关切。尤其是日常控制和处理大量数据的互联网企业,也面临越来越多数据主权与国外长臂管辖的碰撞问题。
一、数据跨境调取问题的根源在于不同利益的冲突
司法和执法数据跨境调取是指一国官方机构为维护国家安全和履行司法执法职能调取存储在他国境内的数据。对调取数据的国家而言,维护国家安全和司法执法是强需求,通过外国政府的官方国际合作程序往往不能及时获取相关数据,而直接向控制数据的企业提出要求更方便快捷。对主权国家而言,他国未经同意擅自调取本国境内存储的数据,相当于外国在本国领土上实施了执行管辖,侵犯了本国的数据主权。如果对方国家获取的数据达到一定量级,或者数据本身具有关系国家安全的属性,存在被外国情报机关分析利用的可能,也会引发国家安全和数据安全关切。对用户而言,用户把数据交给了企业,企业有义务确保用户个人数据安全和隐私不受侵犯,否则可能引起用户的关切甚至诉讼,用户发现自己的数据可以被外国政府任意获取,也很可能选择弃用相关产品或服务。
在数据跨境调取的场景中,实际控制数据的互联网企业发现自己不得不协调打击违法犯罪、保障数据安全、保护个人隐私等各利益相关方,也面临需要在应对外国跨境调取数据时必须维护国家安全、尊重国家主权的压力。
美国互联网企业率先做出了一些尝试,“微软诉美国”(Microsoft VS the United States)案是一个经典案例。在这个引起世界关注的诉讼中,微软通过在美国法院起诉并积极促成“云法案”出台,在一定程度上促使美国政府澄清了数据跨境调取的规则。但是,“微软诉美国”案并未解决美国互联网企业面临的根本问题,随着其他国家陆续出台针对美国单边跨境调取数据的“阻断法”,这些企业在很多国家陷入法律冲突,在实践中只能采取有限的缓和措施。
二、数据跨境调取的国际规则探索与企业的实践
数据跨境调取已成为各国面临的共同难题,国际社会不断探索解决方案,但是总体上进展缓慢。中美两国的互联网企业基于各自政府的立场和实践,在面对外国跨境调取数据的请求时也采取了不同的应对方式。
(一)数据跨境调取的国际规则探索
由于电子证据在打击跨国网络犯罪中越来越重要的作用,关于数据跨境调取问题的讨论最先在打击网络犯罪国际规则进程中发端。2011 年,联合国预防犯罪与刑事司法大会启动了联合国打击网络犯罪问题政府间专家组(UNIEG)进程。在 2021 年结束工作前,UNIEG 先后举行七次会议,电子证据跨境调取一直是各国争论最激烈的问题之一。美国及其盟友力推直接从企业跨境调取数据的模式,中俄及众多发展中国家则强调应尊重国家主权,主张通过国际司法协助渠道调取数据。双方在该问题上分裂成为两个阵营。缺乏政治共识导致 UNIEG 未能就该问题达成有效的成果。
西方主导的经济合作与发展组织(OECD)于 2020 年 12 月开启一项谈判,希望就政府为国家安全和打击犯罪所需从企业调取数据制定“共同原则”,已于 2021 年 4 月取得初步成果。业界普遍认为,该进程旨在恢复“民主国家”在数据流动方面的信任,同时与所谓“集权国家”划清界限。2021 年10 月,全球隐私大会(GPA)通过决议,就政府从企业调取个人数据提出一套“建议原则”,但其立场和取向明显更偏重于个人隐私保护。欧洲委员会(COE)也有意就《有关个人数据自动化处理中的个体保护公约》的第 11 条(基于国家安全、国防、调查刑事犯罪等目的限制数据主体权利的规定)出台指引文件,在欧委会层面进一步发展相关规则。
上述进程总体上是西方主导,参与规则制定的国家数量有限,且有较强的以价值观划“小圈子”的倾向。
(二)美欧等西方国家和地区的实践及美国企业的应对
美欧等西方国家和地区近年来主要通过两个并行的路径推进直接向企业跨境调取数据的模式:一是推进单边跨境调取数据国内立法。美国的“云法案”、欧盟正在拟定的《电子证据条例》(e-Evidence Regulation)是此类典型立法。巴西等国也有效仿。二是构建单边跨境调取数据小圈子。“云法案”规定,美国可与秉持“民主自由价值观”的“合格外国政府”缔结行政协定,相互允许从对方企业调取数据。基于这一规定,美国于 2019 年和英国缔结了《美国和英国为打击严重犯罪调取电子数据的协定》。2021 年 12月,美国又宣布与澳大利亚缔结同类协定。美国还与加拿大、欧盟等进行此类协定的谈判。虽然“云法案”在国际社会引发很多质疑和批评,但是却得到美国互联网企业的欢迎。这些企业在实践中还采取进一步措施,努力强化自己在数据跨境调取问题上的“中立性”和透明度。
一是尽力保障用户本人的知情权。当美国政府调取用户数据时,美国互联网企业虽然不用征求用户同意,但事后都会履行对用户的通知义务,让用户知道政府调取了他们的数据,除非通知可能危及正在进行的犯罪调查或者可能威胁公共安全。在这种情况下,美国司法部等执法机构一般会向企业发出保密令,明确要求其不得通知用户。很多美国企业会对保密令的适用范围做出限定,例如,脸书(Facebook)认为美国联邦调查局等执法机构签发的国家安全调查密函只适用于向脸书获取“姓名”和“网龄”这两类数据。
二是对回应政府调取数据要求设置严格规程。美国互联网企业普遍制定了专门的“执法机构需求指引”,使执法机构了解如果要调取数据应遵循的流程和条件、企业要审查的内容等。执法机构需根据此类指引明确要调取的数据具体情况,确保发送的对象主体正确,填写相应的制式表格,满足一定的形式要求。企业的法务等部门会对这些请求进行审查,如果符合要求则推进流程并最终提供数据,如果不符合则与执法机关沟通、退回相关文书,要求补充完善或建议其通过司法协助等途径获取。如果仍无法满足要求,企业可拒绝提供数据并提出异议,要求撤销相关的搜查令或传票。
三是履行对公众的透明义务。大多数美国互联网企业会定期向社会公众发布透明度报告,向公众披露来自政府的数据调取要求基本情况,包括具体国家发出的请求数量、受影响的用户账户数量、调取的数据类型和占比等。从 2013 年起,脸书每 6 个月对收到的政府调取数据请求总数和性质进行披露。根据推特(Twitter)发布的透明度报告,推特 2012 年以来已收到了来自 93 个国家政府的数据调取请求,美国是发出请求最多的国家,印度排名第二。
针对美国的数据跨境调取,相关国家出台了“阻断法规”。例如,欧盟在“微软诉美国”案中向美国最高法院提交“法庭之友”意见,明确美国执法机构从欧盟境内调取数据应受欧盟《通用数据保护条例》(GDPR)第五章的约束,即除非属于特定情形,此类数据调取只能通过《欧盟和美国法律互助协定》(Agreement on mutuallegal assistance between the EU and the US) 规 定的程序。法国于 1968 年出台、1980 年修订的《阻断法令》(Blocking Statute),英国 1980 年出台的《贸易利益保护法案》(Protection of TradingInterests Act of 1980),以及瑞士、卢森堡、新加坡等国的金融领域法规,都有阻断外国从本国企业直接调取相关数据的条款。当美国企业被美国政府要求提供存储于这些国家的相关数据时,就不可避免地面临法律冲突问题。
微软等美国企业并不满足于“云法案”的出台,仍千方百计使自己脱身这类麻烦。微软在一些国家甚至主动将数据托管给美国政府没有管辖权的第三方,放弃对数据的控制权,以规避美国执法机构依据“云法案”发出的数据调取要求。
(三)中国政府的实践及中国企业的应对
基于中国政府的国际立场和《国际刑事司法协助法》《数据安全法》《个人信息保护法》等国内法律的规定,在中国境内运营的企业在收到外国执法和司法机构的跨境调取数据请求时,应告知其按照司法协助等官方国际合作程序,或通过外交途径,向中国政府提出请求。从公开的信息看,美国法院审理一些民事和刑事案件时,有时会依据证据开示程序要求中国在美企业的分支机构提供一些存储在中国的数据。例如,2017 年12 月,一家香港公司涉嫌违反美国朝鲜制裁法受到美检方调查,检方手持美国哥伦比亚地区法院签发的传票,要求三家中资银行的在美分支机构提供该香港公司与一家朝鲜国有企业之间的银行交易记录。美国联邦贸易委员会(FTC)、美国证券交易委员会(SEC)等机构也可能出于执法或审计等需要希望获取相关中国企业存储在境内的数据。这就和中国禁止企业向境外提供数据的法规产生了直接冲突。
在一些情况下,中国企业选择在美国法院起诉,提出“国际礼让”(International Comity)抗辩,请求美方撤回相关数据调取要求。例如,上述三家中国在美银行分行曾抗辩称,中国的《国际刑事司法协助法》和《法人金融机构洗钱和恐怖融资风险管理指引》不允许中国企业向外国提供相关信息,根据“国际礼让”规则,美方应撤回传票。但是,从美国法院的司法实践看,中国企业主张“国际礼让”抗辩多数以失败告终,只在 2011 年的“蒂凡尼案”(Tiffany (NJ) LLC v. Andrew)中得到支持。美国法院近年来倾向于认为,美国政府通过中国政府官方程序获取相关数据时间很长,阻碍众多,中国企业向美国提交数据不会遭受中国法律的严重处罚。从美国法院分析“国际礼让”是否适用的整体结果看,越来越不利于中国企业。
中国政府历来坚持数据跨境调取要尊重国家的司法主权,通过司法协助等国际合作机制开展。2020 年,中国的《全球数据安全倡议》明确提出,“各国应尊重他国主权、司法管辖权和对数据的安全管理权,未经他国法律允许不得直接向企业或个人调取位于他国的数据”“各国如因打击犯罪等执法需要跨境调取数据,应通过司法协助渠道或其他相关多双边协议解决”。中国 2018 年出台的《国际刑事司法协助法》和 2021 年出台的《数据安全法》《个人信息保护法》,以及拟出台的《网络数据安全管理条例》,都明确规定境内组织和个人非经中国主管机关同意,不得向境外执法和司法机构提供境内存储的数据。
在跨境金融监管涉及的数据调取方面,2018年的《法人金融机构洗钱和恐怖融资风险管理指引(试行)》要求,境外有关部门因反洗钱和反恐怖融资要求中国境内的法人金融机构提供客户、账户、交易信息及其他相关信息的,境内法人金融机构应当告知境外有关部门通过外交途径、司法协助途径或金融监管合作途径等提出请求,未获得许可之前无权擅自提供。2019 年修订的《证券法》规定,境外证券监督管理机构不得在中华人民共和国境内直接进行调查取证等活动。未经国务院证券监督管理机构和国务院有关主管部门同意,任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。
三、“云法案”模式之外的解决方案
现行的司法协助等“官方对官方”机制难以满足数据跨境调取的需要,“云法案”的模式又涉嫌侵犯他国主权,国际社会迫切需要找到一种新的解决方案。现有的讨论主要聚焦如何结合电子数据的特点对传统的司法协助程序进行简易化改造,以及如何实现数据和司法文书网上交换以缩短跨国转递时间。目前看,这似乎代表了中国政府解决数据跨境调取问题的思路。2021 年,中国政府向联合国网络犯罪问题政府间专家组第七次会议提交了书面评论,建议各国应设置网络犯罪司法协助和执法合作快速联络响应机制和联系渠道,考虑通过采用电子签章等技术手段,实现跨境取证法律文书和电子证据网上交换,提高国际合作效率。
司法协助和执法合作的快速响应机制,实际上是一种简易程序,核心是如何根据犯罪性质、所调取的数据属性等因素适当简化现有官方程序的内部审查流程。在这方面有一些域外经验值得参考。例如,《布达佩斯公约》的“7 天 24 小时”机制一直颇受好评,甚至被俄罗斯向联合国打击网络犯罪公约特设委员会提交的公约草案大量吸收。2021 年 11 月,欧洲委员会通过《网络犯罪公约关于加强电子证据合作与披露的第二附加议定书》,首次提出“视频取证”模式,允许请求国在被请求国同意的前提下,通过双方主管机关都参加的视频会议从证人或专家处获取证人证言,突破了传统的跨国获取证人证言机制,提升了取证效率。
司法文书和数据通过网络交换,而不再采取纸质文书或者存储介质的形式跨国递送,无疑能节省司法协助的时间成本,但是由于网络环境存在的安全风险以及数据本身的可篡改性,如何保证证据的原始性、同一性和完整性十分关键。例如,电子邮件虽然以文字、图片、符号等外在信息呈现,但是技术底层则是依据编码规则处理而成的二进制数字组合,且这种数字组合可以被人为修改或删除,导致内容发生根本变化。在这方面,区块链提供了一种解决方案,可使用技术和算法充当虚拟的第三方,将需要存证的数据以交易形式记录,通过电子签名、可信时间戳、链式存储、智能合约等方式固定和保存,使此后任何对数据的改动都能被发现,并可验证是否为原始数据,为数据和司法文书在网上流转过程中确保安全提供了技术保障。
四、结 语
司法和执法场景下的数据跨境调取问题受到各国高度关注,相关的国际规则却长期处于碎片化、阵营化状态,既不利于保障各国的国家安全,也不利于作为数字经济重要引擎的互联网企业全球发展,国际社会迫切需要一个更好的解决方案。2022 年 2 月 28 日至 3 月 11 日,联合国打击网络犯罪公约特委会第一次谈判会议以线上线下混合方式在纽约举行。会议以协商一致方式通过了公约框架和谈判安排,计划于 2024 年 2 月完成公约谈判。届时,各国有望通过谈判确定数据跨境调取的制度安排。
在当前的国际环境下,公约谈判必然交织着政治和法律博弈,解决数据跨境调取这一高度复杂敏感的问题不会一路坦途。无论如何,中国政府能否在公约谈判中提出既能提升数据跨境调取效率,又能兼顾数据主权和数据安全的方案,为国际社会找到美国“云法案”模式之外的选项,值得各方期待。
(本文刊登于《中国信息安全》杂志2022年第3期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。