查看原文
其他

重磅解读|美国《澄清域外合法使用数据法案(Cloud Act)》到底说了什么?附法案全文下载

2018-02-25 洪延青 监管与合规

目前已有100000+人加入我们,欢迎您关注

本文转载自“网安寻路人”,作者为洪延青 ,特别感谢作者的授权!


资料免费分享:
 

🌹🌹需要本法案PDF版全文的,请关注本公众号,并在后台回复“美国云”,获取下载链接!


笔者按:

最近,一篇关于美国Cloud Act法律草案的文章非常火【美国CLOUD法案允许政府跨境调取数据  中国客户存在美国云服务商那里的数据特朗普想看就看?】。由于这篇文章是从外媒一篇短新闻翻译过来的,提供的信息支离破碎,如果少了相关的背景知识,一定会觉得美国这么干冒天下之大不韪。但实际上,这个法律草案的出台并不让人意外,是为了解决美国执法机构跨境调取数据的实际困难。在Cloud Act之前,美国参众两院有几个类似的法律草案了。很多人询问公号君关于这个法案的情况,索性就将正在写的一篇长文章的部分内容节选过来,仅就Cloud Act给大家做个介绍,也算蹭个热点吧。


正文开始:


从一个主权国家的角度来说,出于执法目的跨境访问数据(cross-border access to datafor law enforcement purposes)主要由两个场景组成:一是执法所需的数据恰好存储在国外;二是外国执法机构需要访问存储在本国的数据。Cloud Act恰巧针对这两个场景提出了解决方案。因此将Cloud Act拆分在两个场景中解释。


国内执法机关从国外调取


微软和FBI之间的法律争议,大家应该比较熟悉了。属于第一个场景。公号君在多篇文章中做了追踪。【数据本地化要求杂谈(一)数据本地化要求杂谈(二)网络主权的胜利?再评微软与FBI关于域外数据索取的争议微软与FBI关于域外数据索取的争议暂告一段落


简要案情发展如下:


2013年12月,美国纽约南区联邦地区法院助理法官(Magistrate Judge)詹姆斯·佛朗西斯(James C. Francis)签发搜查令(Search Warrant),要求微软公司协助一起毒品案件的调查,将一名其用户的电子邮件内容和其他账户信息提交给美国政府。关于该名用户电子邮箱的登录时间、地点等元数据(Metadata)确实存在美国国内,对此,按照搜查令的要求,微软已经双手奉上。但该名用户的电邮内容数据存储于微软位于爱尔兰的数据中心而非美国境内,微软据此拒绝向FBI提供,并随即提出废除搜查令的动议。


2014年4月25日,助理法官詹姆斯·佛朗西斯做出驳回微软废除搜查令动议的动议,继续对美执法部门予以支持。微软公司很快提出上诉。2014年7月31日,美国纽约南区联邦地区法院首席法官洛蕾塔·普瑞斯卡(Loretta Preska)作出裁定,支持佛朗西斯法官的观点。微软继续上诉。


2016年7月14日,美国联邦第二巡回上诉法院对这个争议做出了解答。上诉法院的三位法官一致认为,FBI的搜查令不具域外效力(extraterritorial effects)。这次轮到FBI向联邦第二巡回上诉法院提出了重审的申请。


2017年1月24日,美国联邦第二巡回上诉法院的八位法官中,4位拒绝重新审理案件,4位则选择支持。由于没有取得多数,FBI重审的申请只能泡汤。 FBI锲而不舍,将案件提交至美国最高法院。2017年10月,最高法院同意审理该案。2018年2月27日,最高法院将就此案第一次开庭审理。对,也就是几天后。


核心法律争议:


微软认为,数据存储在爱尔兰,只适用于美国境内的搜查令怎么能覆盖到爱尔兰。因此,搜查令违法,微软无需执行。一位法官曾说,数据存储的地点而非受谁控制,才是至关重要的(location matters)【数据存储地标准】


政府一方(包括支持政府的法官)认为,执行搜查令无需美国执法人员跑到爱尔兰,也无需微软派出职员在数据存储地点做具体操作;搜查令只要求微软在美国境内作出一定的操作,并在美国境内向政府披露数据。因此,搜查令没有适用于美国境外,微软有义务配合美国政府获得该数据。另一位法官曾说,案件问题的关键在于“谁控制这些信息,而非信息所在位置”。“It is a question of control, not a question of location of that information.”【数据控制者标准】


非常简单地来说,美国最高法院要最终判断:到底哪个说法是符合美国“存储通信法案”(Stored Communication Act)的立法原意。


Cloud Act的解决方案:


The Cloud Act明确规定,“无论通信、记录或其他信息是否存储在美国境内,服务提供者均应当按照本章所规定的义务要求,保存、备份、披露通信内容、记录或其他信息,只要上述通信内容、记录或其他信息为该服务提供者所拥有(possession)、监护(custody)或控制(control)”。据此,根据该法案规定,在FBI发出搜查令后,微软应当向FBI提交其存储于爱尔兰的电子邮件内容。(“A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.”)


但是,该法案给服务提供者“抗辩”的渠道。法案规定,当服务提供者合理地认为同时存在如下情况时,可提出“撤销或修正法律流程的动议”:一是目标对象不是“美国人”(the United States Persons)且不在美国居住;二是披露内容的法律义务将给服务提供者带来违反“适格外国政府”(qualifying foreign governments)立法的实质性风险。

当接到服务提供者提出的“撤销或修正法律流程的动议”后,法庭应当允许政府组织回应的机会,并在确认同时存在以下情形后,方可撤销或修正法律流程:一是披露义务将会导致服务提供者违反“适格外国政府”的立法;二是基于该个案的所有情况,公平正义理念原则规定(dictate)该法律流程应当被撤销或修改;三是对象确不是“美国人”且不在美国居住。


等于说,法案给了微软一个抗辩的机会。但微软需要去提供上述材料去证明应该撤销或者修改FBI的搜查命令。


外国执法机关调取国内数据


对于第二个场景,美国的《存储中的通信法案》(the Stored CommunicationsAct, SCA)规定,当外国政府通过法律程序要求受其国内法管辖的组织,提供该组织控制的且存储于美国境内的通信内容数据,SCA禁止美国境内组织在这样的场景中向外国政府提供。【注:非通信内容数据,SCA没有类似的禁止性条款,主要靠美国企业自己内部规范来裁量。】


众所周知,在提供网络产品和服务方面,美国企业的优势地位非常明显,因此存在许多国家向美国组织调取通信内容数据而不得的情况。例如,英国高级别官员在反恐案件调查中,就曾数次公开抱怨从Facebook、Twitter这样的美国平台获取数据极端困难。


另外一方面:通常来说向其他国家调取数据需要走双边司法协助途径,而不能直接面向企业。据美国学者研究,外国向美国政府提交法律协助请求,平均的处理时间要耗时10个月。 显然,这样的速度完全无法满足执法机关的需求,特别是在瞬息万变的网络时代。


Cloud Act的解决方案:


面对两个主要困难,Cloud Act允许“适格外国政府”(qualifying foreign governments)向美国境内的组织直接发出调取数据的命令。


如何认定“适格外国政府”?


需要美国总检察长在与国务卿达成一致意见后具体做出认定。判断“适格”的核心准绳是“外国政府的国内立法,包括对其国内法的执行,是否提供了对隐私和公民权利强健的(robust)实质和程序上的保护”。“这样的认定应当是考虑了可信的信息和专家的意见,且考虑了以下因素”(以下为节选):


  1. 外国政府在网络犯罪和电子证据方面,是否拥有足够的实质性和程序性法律,由是否加入了布达佩斯网络犯罪公约,或其国内法与公约第1章和第2章相吻合;

  2. 遵守国际人权义务或展现出对国际基本人权的尊重,包括保护隐私免于肆意和非法的干涉、公平的庭审权利、表达结社和平游行的自由、避免肆意逮捕和监禁、避免torture和残酷的非人道或贬低人格的待遇和惩罚;

  3. 展现出对全球信息自由流动和维护互联网开放、分布式、互联本质的决心和承诺。


得,咱们中国肯定不可能成为Cloud Act中的“适格外国政府”。


除了资格外,外国政府向美国企业发的调取通信内容的命令本身,还必须满足以下条件(以下为节选):


  1. 外国政府不得有意地针对USP或位于美国境内的个人,且必须采取满足该要求的目标锁定程序(targeting procedures)。

  2. 外国政府发出的命令,应是与预防、侦破、调查、起诉严重犯罪(包括恐怖主义)相关的;应该明确特定的个人、账号、住址、个人设备,或任何其他特定的标识符作为命令的对象;应遵循其国内法律且仅能依据该法律要求提供者提供数据,应基于合理理由(如基于可信、可描述的事实,特别是调查针对的行为的合法性和严重性);应受法庭/法官/治安法官/其他独立机构的审核和监督;

  3. 外国政府颁发的命令不得用于限制言论自由。

  4. 外国政府应向美国提供对等的获取数据的通道

  5. 美国政府保留权利停止外国政府的某项具体命令。


总的来说,以上就是Cloud Act的主要内容了。显然没有新闻描述的那么夸张,毕竟该法案里面有比较多的制衡(check and balance)方面的设计,但是肯定是以美国利益为先了。


从目前美国各方反应来看,基本上都比较认同该法案的内容和设计了,所以通过的可能性较大。公号君正在写的长文章就是从中国角度,如何应对国际上(不只是美国)在执法跨境调取数据的法律和司法变化。


电子书免费分享:
 

重磅!2017年硅谷人都在看的10大互联网科技图书(详情请点击“阅读原文”)

🌹🌹请关注本公众号,并在后台回复“电子书”,获取下载链接!

猜你喜欢(点击阅读)

【讲座视频】人工智能时代的隐私保护与数据合规

【原创连载3】敬告阿里、腾讯和百度——数据合规,合则生,不合则亡!

【原创连载2】论数据权的区分保护和利用制度——政府数据篇

【原创连载1】2018数据权元年——从炮轰支付宝开始 

【前沿10】政府数据开放的整体法律框架

【前沿9】欧盟议会全球首个“关于制定机器人民事法律规则的决议”

 【前沿8】人工智能时代“大数据”加上“差异化算法”带来的身份歧视,就是商业领域隐匿的穷人与狗不得入内!

【前沿7】可识别个人信息、隐私以及新概念

【前沿6】打破匿名化的迷思:数字时代的匿名化挑战

【前沿5】美国布鲁斯的经典隐私理论和德国的人格权理论:四种类型的隐私侵权体系比整体保护体系更好吗?

【前沿4】这是私人的,但归我所有吗?—走向财产权的个人信息

【前沿3】关于马的法律—网络法到底该教些什么?

【前沿2】《自动驾驶的监管挑战:面对悲剧性选择人工智能如何决策》

【前沿1】监管人工智能系统:风险、挑战、能力和策略

“监管与合规”公号是由法学教授、资深官员、专业律师及企业高管领衔的高端法律平台,聚焦于分享市场监管与企业合规领域的前沿资讯和深度报告,重点研究跨国公司的反商业贿赂、不正当竞争、广告、产品标识质量、网络安全、隐私政策及数据竞争行政调查、处罚及复议、诉讼等争端解决,同时关注金融企业和上市公司的金融合规监管。


诚意推荐 欢迎关注


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存