通力法评 | 澄清域外合法使用数据法: 风险与机会
作者:通力律师事务所 杨迅
2018年3月23日, 作为《2018年综合拨款提案》的一部分, 由两党联合提案的《澄清域外合法使用数据法》 (Clarifying Overseas Use of Data Act, 简称Cloud 法案) 在美国总统签字之后正式生效。
回头来看, 该法案被诡异地“塞入”年度综合拨款提案中通过, 却在内容上与拨款案无关; 它从草案提出仅一个半月就获通过, 却终结了长达近五年的微软和联邦政府在域外数据采集上的争议; 它正文不过寥寥三条, 却对全球信息流通格局产生深远影响。本文将简要预测该法案可能对中国市场和在中国企业的影响。
一、Cloud法案的出台背景
Cloud法案旨在澄清《第121章储存电子通讯和交易记录准入》中网络通讯提供商和远程计算服务商(在该法案中定义, 为本文目的简称“网络服务商”)向政府提供其掌握的电子通讯记录的义务, 是对历时近五年的微软和联邦政府的域外数据采集权利上争议的回应。
该案起源于2013年, 美国政府要求微软提交存储于微软云中与嫌犯相关的数据。但是, 相关的数据储存于微软设置于爱尔兰的数据中心。如果微软将相应的数据直接提交于美国政府, 则有可能违反欧盟和爱尔兰关于数据出境的法律, 因此其拒绝将相应的数据直接提供给美国政府, 并要求执法机构通过双边司法协助协议的途径以获得相应的数据。
在这样的背景下, 司法部将微软诉至法院。一审中, 法院支持了司法部提出的“数据控制者”标准, 即无论数据位于何地, 只要数据控制者有能力提供该数据, 就应当根据政府机关的要求提供相应的数据。而上诉中, 联邦第二巡回法院则认为, 美国法律并未明确要求数据控制者提供处于美国境外的数据, 因此美国法律下的搜查令的范围也不适用于境外储存的数据。据此, 美国政府无权要求微软提供位于境外的数据, 该标准即为“数据储存地标准”。
该案历经联邦地区法院、上诉法院, 直到最高法院, 法院判决不一, 但争议的焦点一直集中在美国联邦政府是否有权无视爱尔兰法律, 要求注册在美国的微软公司提交储存在爱尔兰服务器上的信息。
Cloud法案针对这个争议, 规定了美国政府有权要求网络服务商提供境外储存的信息的条件, 以及网络服务商可以抗辩的理由。同时, Cloud法案也提出了外国政府提请调取美国境内储存的信息需要满足的条件。
二、Cloud法案的内容
Cloud法案的中心思想是: 除非是美国政府信任的国家, 美国政府可以要求调阅本国网络服务商控制下的储存于他国服务器上的信息, 但是他国政府却无权获得位于美国的服务器上的信息。
具体而言, Cloud法案主要涉及以下三方面内容: 第一, 确立了“数据控制者”标准, 以平息“微软爱尔兰数据纠纷案”的纷争; 第二, 设立“符合资格的外国政府”标准, 提供给外国政府调取有关内容数据的权利; 第三, 以“礼让性分析”作为服务提供者可能的救济途径。
Cloud法案明确指出: 美国的网络通服务商, 应当应美国政府要求, 保存和提供处于其控制下的信息, 而无论该信息存储在什么地方。即, Cloud法案采取备受争议的“数据控制者”原则, 根据该原则的内容, 凡是美国公司控制下的信息, 美国政府都可以要求调取。
不过, Cloud法案也给服务提供者提供了对美国政府的信息披露要求的“抗辩”的途径: 当服务提供者合理地认为同时存在以下情况时, 可以要求法院对于执法机构的数据索求行为进行审查: 一是数据索求的目标非美国人, 也不在美国居住; 二是提交数据的法律义务将会使服务提供者面临违反“符合资格的外国政府”立法的实质性风险; 三是提交抗辩时符合程序性要求。其中, 美国人既包括公民, 有永久居留权的外国人以及在美国注册成立的公司。
且不论抗辩中的其他条件, Cloud法案对“符合资格的外国政府”的要求相当主观。根据该法的要求, 一个“符合资格的外国政府”需要总体上满足美国政府认为的“立法和执行上都对隐私和公民权利提供了足够的实质和程序上的保护”的条件。具体而言, 这样的外国政府首先需要与美国政府签订一份双边协定, 同时还需要提供与美国政府同等的救济程序(例如前文所述的抗辩)和数据披露范围。这其中, 为了签订双边协定, 该外国政府需要满足至少六大项要求, 其中就包括是否加入了《布达佩斯网络犯罪公约》与 “是否有维护互联网开放、分布式、互联本质的决心和承诺”等的要求。
最后, Cloud法案虽然原则上允许“符合资格的外国政府”向美国政府提出请求, 调取位于美国的信息, 但是, 成为“符合资格的外国政府”条件同样苛刻, 程序也相当复杂。
三、Cloud法案对中国企业和市场的影响
Cloud法案显然是美国政府利用美国网络服务商在全球的市场优势地位, 攫取其在网络信息方面的霸权。中国政府和企业必然需要有所应对。尤其是, 应当注意到, CLOUD Act对“符合资格的外国政府” 的要求显然与中国所持的态度相悖, 因此中国政府基本上不可能被美国政府认定为是《澄清域外合法使用数据法》下的“符合资格的外国政府”。
首先, 中国政府长期以来对于互联网信息服务、电子邮件服务和数据中心业务领域的外资准入态度谨慎。可以预见的是, 中国政府将继续限制外资在该类领域的投资, 因为, 外资(主要是美资)如果投资该类领域的服务, 那么使用该类服务而储存和处理的信息都可能被美国政府调取, 而无视信息主体的意愿和中国法律的限制。
其次, 中国政府很有可能会继续和加大对信息出境的限制, 因为存储于中国境外的信息不仅对中国政府而言难以监控, 而且有随时被美国政府获得的风险。
再次, 对于企业而言, 将面临严峻的法律冲突。无论是欧盟最近生效的《一般数据保护条例》, 还是中国的《网络安全法》及相关条例, 都要求网络运营者在信息跨境传输时尊重相关信息主体的意愿, 以及提供大量的信息安全保护。这些要求和Cloud法案下美国政府对信息的域外获取权是直接矛盾的。对于业务范围涉及美国以及欧洲或中国的企业而言, 无论选择履行欧盟或中国, 抑或美国法律下的义务, 其都将会触发违反另一方法律的问题。
此外, 企业在选择云服务时, 出于企业信息安全和商业秘密保护的考虑, 应当尽可能避免使用服务方为美国公司的服务, 以及服务器或者云服务器为美国公司控制的云, 否则企业的秘密信息有可能随时被美国政府所调取。
最后, 对于中国, 乃至美国以外各国的网络信息服务提供商而言, Cloud法案却可以被认为是一个好消息。如果其在美国没有实质性业务, 将有理由将其“不受美国政府”调取令限制而披露客户信息, 作为其业务的一个重要卖点, 从而相对美国企业而言获取市场优势。
联系人:
✎ 往期分享
通力法评 | 浅析GDPR对中国企业海外运营的影响及应对
通力法评 | 中国网络安全法对外资私募管理人的法律要求(精简版)
Llinks Review|CHINA CYBER SECURITY LAW REQUIREMENTS ON WFOE PFMS
通力快讯 | 通力律师受邀三度赴美参加体育律师协会年会
精雅商业财经印刷集团有限公司于香港联合交易所GEM成功上市
Elegance Commercial and Financial Printing Grp Ltd’s HK GEM IPO
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。