深度解读 | 微软VS美国政府:他们到底在争什么?
目前已有100000+人加入我们,欢迎您关注
笔者按:
美国华盛顿时间2018年2月27日,美国微软公司与美国司法部对峙于美国最高法院,双方就美国政府是否有权合法要求微软交出海外数据问题展开辩论。
那么这起必将对美国科技界和法律界产生巨大影响的世纪大案是怎么发生的?又会怎样发展?争议的焦点又是什么?“监管与合规”公号综合了洪延青博士发表在公号“网安寻路人”的数篇大作【数据本地化要求杂谈(一)、数据本地化要求杂谈(二)、网络主权的胜利?再评微软与FBI关于域外数据索取的争议、网络主权的胜利?再评微软与FBI关于域外数据索取的争议、微软与FBI关于域外数据索取的争议暂告一段落】,以飨读者!再次对作者的授权表示感谢!
1
美国政府与微软关于海外数据的争论相持已久。2013年,美国缉毒局(DEA)在调查毒品走私案件时发现一些电子邮件,当时邮件存储在微软爱尔兰都柏林的服务器上,检方希望微软提供相关邮件信息,并根据1986年的一项法律向法院申请搜查令。
2013年12月,美国纽约南区联邦地区法院助理法官(Magistrate Judge)詹姆斯·佛朗西斯(James C. Francis)签发搜查令(Search Warrant),要求微软公司协助该起毒品案件的调查,将该用户的电子邮件内容和其他账户信息提交给美国政府。
不想,刑事调查中再正常不过的一环却引起轩然大波。去年一年,《纽约时报》、《华盛顿邮报》、《卫报》等欧美主流媒体分几轮对此案进行了长篇累牍的报道。在2014年12月15日这一天,苹果、思科、亚马逊等28家全球领先的技术和媒体公司、35位知名计算机科学家,以及23家行业协会和政策倡导组织一共提交十份"法庭之友"陈述,支持微软拒绝交出该用户电子邮件内容的立场,以及就此搜查令向美国第二巡回上诉法庭提起上诉的决定。
到底这名用户什么来头,在互联网社群中有如此巨大的号召力?其实,美国执法部门至始至终没有透露该名用户是谁,也没说他(或她)是否为美国人。触发互联网社群“团结起来、一致对外”的根本原因是,这名用户的电子邮件数据是存储在微软位于爱尔兰的数据中心,而非美国本土境内。
从根本上,这些互联网社群真正反对的是美国执法部门(注:美国家安全局是情报部门,与执法部门适用不同的法律)强迫美国公司提供存储在美国境外的数据内容的权力。换句话说,如果美国法院最终认定美国政府拥有这项权力,那无论你身处何方,无论你的国籍,也无论美国互联网企业是否采取“数据存储本地化”,只要使用了他们的产品或服务,那美国政府就能合法地获得关于你的各种数据。
美国企业在互联网领域占据无可争议的统治地位,很难想象哪个智能手机、电脑上没有使用或安装产自美国企业的硬件、软件或应用。在很大程度上,这个案子决定了在互联网时代美国政府的手能伸多长。难怪微软总法律顾问布拉德·史密斯(Brad Smith)说,“这不是一个狭窄的法律问题,而是关系到全球科技未来的具有全局性的根本议题”。确实,这事不仅关系到每一个国家的网络空间主权和自治,也与你我老百姓息息相关。
让我们来看看当事双方都有些什么说法。一般来说,美国执法部门可以走双边司法合作的途径,通过爱尔兰执法部门获取这项境外信息。但在美国执法部门看来,这样的程序“慢且繁琐”。他们认为,在符合法律规定的前提下(比如符合“相当理由”、“合理”等美国法规定的各种标准或条件后),“政府就有权要求其管辖的个人或机构提供这些个人或机构所控制或拥有的记录”。微软是注册于美国的公司,美国政府要求一个美国公司提供其控制或所拥有的信息记录,天经地义。走双边司法合作的路也就没必要。
注意,这里面的两个关键词组,“其管辖的个人或机构”和“记录”是案件争议的焦点所在。首先是“其管辖的个人或机构”。美国公司微软认为,美国政府依据《存储传播法案》(Stored Communication Act)申请的搜查令只在美国境内有效,出了国境就没有效力。存放电子邮件内容的微软爱尔兰数据中心,不归美国政府管辖,美国法律自然说了不算。而关于此电子邮箱用户登录的时间、地点等元数据(Metadata)确实存在美国国内,对此,按照搜查令的要求,微软已经双手奉上。
其次,微软认为电子邮件内容不应该被认
35 45078 35 15886 0 0 7178 0 0:00:06 0:00:02 0:00:04 7181为是记录(record),而应是财产(property)。如果认定电子邮件内容是一项财产,那按照美国宪法第四修正案的要求,要让微软交出存在爱尔兰的邮件内容,美国执法部门必须拿到“具有境外法律效果的搜查和扣押令”。但执法部门认为邮件内容对微软来仅是一个记录。因为“物理世界中发生的搜查和扣押”涉及“进入”某个场所,以及执法机关对这项财产暂时性的排他控制,而邮件内容可以无限复制,微软只需交出复制的邮件内容即可。这使得执法部门认为,他们手里的搜查令,在功能上更像是传讯,也就是说要求协助调查而已。在美国的司法实践中,“要求美国公司在美国境内提供其海外运营的各种记录”,司空见惯。
2014年4月25日,助理法官詹姆斯·佛朗西斯支持美执法部门的说法,驳回微软废除搜查令的动议。对于微软公司的上诉,美国纽约南区联邦地区法院首席法官洛蕾塔·普瑞斯卡(Loretta Preska)于2014年7月31日作出裁定,支持佛朗西斯的观点。她认为,收到联邦法官批准的搜查令,公司就得交出其控制的任何数据,无论这些数据被储存在哪里;案件问题的关键在于“谁控制这些信息,而非信息所在位置”。但她同时表示会暂缓裁定生效时间,以便微软向美国第二巡回上诉法庭提出上诉。
在当年的圣诞节前夕,爱尔兰政府也提交了一份"法庭之友"陈述。在陈述中,爱尔兰政府强调爱尔兰的主权不应受到侵犯,并指出获取存储于爱尔兰境内数据的合适方式,应该是通过国际条约和国际合作。
得到爱尔兰政府的声援,微软自然为不是“自己一个人在战斗”倍感欣慰。但案件当事人是美国政府和微软,法庭在多大程度上采纳其他人的看法,都要打个问号。今年二月初,美国政府将按期提交阐释自身立场的陈述,微软需在3月中旬做出回应。
让我们从法律争论中暂时抽身出来,看看围绕着这个案件,存在着哪些有意义的命题,值得我们仔细揣摩。首先,数据的法律界定问题。2010年10月,英国《经济学人》杂志提出“数据正在成为与资本和劳动力相比肩的生产原材料”,这个观点广受认同。但同时,数据有和资本和劳动力截然不同的属性,最显著的莫过于数据并不受物理性消耗的约束,一方使用并不影响另一方的使用。也正因为数据可随意复制、低成本传送的特点,引发了关于电子邮件是“记录”还是“财产”的争论。与此相关连的问题是,谁对数据拥有排他性所有权?回想在MH370失联事件中,外界第一次知道英国罗罗公司不停地实时接收其制造的飞机发动机的数据。问题是,到底是购买并实际运营飞机的一方,还是罗罗公司对飞行中产生的发动机数据具有所有权?看来,在言必谈互联网经济的今天,如何给数据一个准确的法律内涵,对美国、对中国、对其他所有国家都是当务之急。
其次,执法部门的正当需求。和经济一样,犯罪同样步入了互联网时代,跨境网络犯罪司空见怪。如果法院最终判定搜查令无效,可以肯定的是犯罪分子一定会抓住这个机会,特意将数据分散存储于不同的国家。执法部门将不得不花费大量的人力、物力和时间,用于取得境外电子证据。如果执法部门遇上那些没有与任何国家建立双边司法协助关系的国家,又该怎么办?是不是执法部门都要效仿美国国家安全局,通通采用非法拦截、监控的手段?有意思的是,在日前提交的陈述中,爱尔兰政府引述了爱尔兰最高法院曾做出的一份判决:出于犯罪或相类似的调查,爱尔兰法院可以要求爱尔兰实体(Irish Entity)交出存储在爱尔兰境外的信息;这样的权力只能在没有其他任何手段可以获得该信息的情况下使用。那爱尔兰的做法是不是一个最佳的选择?而各国为适应数字时代特点,在改进司法国际合作方面又需要作出哪些努力?
再者是互联网公司的利益。不少美国互联网公司在提交的陈述中说得很明白:就是因为斯诺登事件,让全世界对美国的互联网企业都持一个怀疑的态度;改变不了政府,我走还不行吗?我把数据中心放到别的国家,这样你美国政府鞭长莫及,其他国家的用户才能重拾对我们的信任,使用我们的产品和服务;但现在美国政府又来这一出,你让我们的生意该怎么做?而且,本来出于效率考虑,我们是不用在那么多国家设立本地数据中心的。现在一个搜查令,就让我们的巨额投资付之东流。
最后,对网络空间主权的严重影响。在斯诺登事件之后,俄罗斯、巴西、德国、印度、越南、印度尼西亚、韩国等国家都提出“数据存储本地化”的政策主张或者法律提案。根本目的就是在于利用国际关系和国际法中普遍认可、规定的国家主权,树立起一道免于美国监控的屏障。如果美法院判定搜查令成立,那从其他国家的角度来看,美国互联网企业就可以类比成美国领土在自己境内的延伸,仅仅要求“数据存储本地化”已经不够,下一步还得靠产品和服务的完全本土化。事情还没完,既然美国仅仅凭借其国内法,就能产生如此强烈的域外效力,把全世界“管起来”。那为什么我们不能这么做?区区一个搜查令,不仅分裂了互联网分裂,还使得本不稳定的国际关系完全乱了套。
这个案件中,该有的元素都有了,俨然一个数字时代的“完美案件”。这出大戏将如何演下去,让我们拭目以待。
2
一方振振有词,认为互联网、数据经济天然就应该坚持数据自由流动,计算和存储设施本地化要求不仅是对效率、效益的违背,更是与互联网开放、自由的精神背道而驰。这些过分的要求将会分裂互联网!
另一方则认为数据在自由流动时还应该保障流动是安全的,否则数据越流动,可能造成的危害就越大。前段时间沸沸扬扬的针对银行间SWIFT系统的网络犯罪就是一个明显的例证。犯罪分子入侵孟加拉国家银行的SWIFT终端,伪造挪款指令发送至美国纽约州联邦银行,美国的银行员工因信任SWIFT系统,于是执行了该指令,最终造成8100万美元的损失。看,在没有安全的前提下,一串不安全的指令(其实也就是数据)自由地从亚洲流到美国,能造成多大的危害。而数据本地化要求是为实现数据安全的一种措施而已。
一、数据本地化——无奈之举
其实,许多情况下一个国家施加基于国别的要求(nationality-based requirements),无论是数据本地化留存,还是计算和存储设施本地化要求,本质上是一种规制手段跟不上的无奈之举。
在监管者看来,现在ICT产品的供应链是如此复杂,参与供应链的各个实体是如此地多样化、如此地全球化,威胁和漏洞有可能在任何环节入侵或植入产品中。一方面面对巨大的风险和未知,另一方面承担着保障安全的压力,监管者很自然会认为在国境内的生产、国内的企业和人员相对可控,因为监管者有一系列的法律、行政等方面的手段可对其施加影响。
二、越来越普遍的数据本地化
实际上,世界上不少国家在立法中都明确设立了数据本地化的要求,只不过范围有大有小而已。请大家看下图:
首先,颜色比灰色深的国家,都或多或少设立了数据本地化的要求。其次,颜色越深,数据本地化要求的范围或程度就越强。下面这张图是说明。
看,欧盟位居第二梯队。无论是95年的指令,还是新近通过的《通用数据保护条例》(GDPR)都对个人数据流出欧盟做了原则性限制。
GDPR第44条规定,“向第三国或国际组织传输个人数据,以及个人数据的后续传输必须遵守的前提是,数据控制者、数据处理者遵循本章节的有关规定,以及符合《条例》其他条款规定。本章节所有条款应全部适用,以保障《条例》对自然人的保护水平不会降低。” (Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to theother provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation. All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons guaranteed by this Regulation is not undermined.)
换句话说,如果第三国或国际组织无法提供与欧盟相称的数据保护水平,那欧盟的个人数据就不应当流向该第三国或国际组织。
三、美国“搬起石头砸了自己的脚”
美国当然是数据不应本地化存储的最大倡导者,无论是在TPP协定,还是G20、OECD等平台上,美国的声音最大,或者把一些国家推到前台,自己躲在后面,然后在必要的时候,或者谈判陷入僵局时再跳出来。
但“棱镜门”事件曝光出,美国“老大哥”(big brother)一直在利用自己的技术和产业优势,肆无忌惮监控全球互联网上的数据流。很自然,不少国家会想到利用“主权”(sovereignty)这个法律盾牌,抵挡美国监控黑手。这也是为什么在斯诺登泄密之后,欧洲有不少政治家提出建立“欧洲云”的设想。
微软与美国政府的争端中,如果美法院最终判定FBI搜查令成立,那从其他国家的角度来看,美国互联网企业就可以类比成美国领土在自己境内的延伸。这样的话,仅仅要求“数据存储本地化”已经不够,下一步还得靠产品和服务的完全本土化,才能挡住美国的窥探。
有趣的是,微软可能已经提前在为此做准备了。2015年12月,微软和德国电信下属的公司T-Systems合作,在德国设立云计算中心。此项合作的精妙之处在于,按照德国法律的规定,T-systems是此项合作安排中的“数据托管者”(data trustee);微软能否访问数据,最终由这个数据托管者说了算。因此即便最终美国法院支持了FBI的“跨境”搜查令,如果T-systems没有给予授权,微软也无法向美国政府提供数据。
美国纽约南区联邦地区法院首席法官洛蕾塔·普瑞斯卡(Loretta Preska)提出这样的观点:“案件问题的关键在于‘谁控制这些信息,而非信息所在位置’”。微软与德国电信的这项合作,显然是为应对这个观点的“未雨绸缪”。这下微软可以对美国政府说,看,“不仅数据不在美国,而且也不在我的控制之下,真的没法给你”。
四、可能的出路
首先,美国不应当利用自己的技术优势侵害各国的主权。当然,这就话说了没什么用,但还是要让美国人知道,只要你的监控措施还是无所顾忌,那别的国家提数据本地化要求,你就没什么理由说三道四。
其次,主要大国或者国际社会共同探讨在ICT供应链全球化趋势不可逆的情况下,什么样的机制和标准可以保障供应链的安全,进而保障最终的产品和服务的安全可信。拿出双方都认可的标准和机制,不仅能让企业受益(如中兴、华为在美国,思科、因特尔在中国等),对全世界来说,也是巨大的贡献。
3
美国时间2016年7月14日,美国联邦第二巡回上诉法院终于对这个问题做出了解答。从2013年就发端的争议暂时告一段落。上诉法院的三位法官一致认为,FBI的搜查令不具域外效力(extraterritorial effects);要获取境外数据,通过双边司法协助条约(mutual legal assistance treaty)方是正道。
一、法院怎么说——数据存储的地点最重要
在此先简单回顾以下本案的法律争议焦点:案件中每一方都认可,搜查令基于的“存储通信法案”(Stored Communication Act)不适用于域外。进一步,微软认为,数据存储在爱尔兰,只适用于美国境内的搜查令怎么能覆盖到爱尔兰?因此,搜查令违法,微软无需执行。
但政府一方(包括支持政府的法官)认为,执行搜查令无需美国执法人员跑到爱尔兰,也无需微软(在执行搜查令时被看到政府的代理,agent of US Government)派出职员在数据存储地点做具体操作;搜查令只要求微软——一家美国服务提供商——在美国境内作出一定的操作,并在美国境内向政府交出数据。因此,搜查令没有适用于美国境外,微软有义务配合美国政府获得该数据。
大家还记得2014年7月31日,美国纽约南区联邦地区法院首席法官洛蕾塔·普瑞斯卡(Loretta Preska)要求微软遵守搜查令时提出的观点:案件问题的关键在于“谁控制这些信息,而非信息所在位置”。(It is a question of control, not a question of location of that information.)这个观点就是对政府立场的浓缩表述。
7月14日的判决意见书,由巡回法院Susan Carney法官主笔。Carney法官首先用很大篇幅陈诉了本案争议焦点在于用户的隐私保护后,提出如下观点:“我们认为,对用户隐私的侵犯,发生在当用户受保护的内容被访问时······也就是微软被政府要求访问存储在爱尔兰数据中心的数据时”。
显然上诉法院明确推翻了普瑞斯卡的观点,在本案中,location matters! (信息存储的地点至关重要!) Carney法官写到:数据存储在都柏林,要取回数据,微软必然要对都柏林的数据中心作出一些(远程)操作或互动,而该数据中心受一外国主权的管辖。
既然搜查令要求在美国境外发生一定(远程)的操作或互动,而搜查令基于的“存储通信法案”又没有域外效力,那搜查令自然无效,微软不用执行。
二、微软——国家主权应被尊重
微软总裁兼总法律顾问Brad Smith第一时间发表声明:“我们当然非常欢迎第二巡回上诉法院作出的决定”。在他看来,这个决定之所以重要有以下三方面原因:
一是,“这个决定保障了人们的隐私受其所在国家法律的保护”。用我的话来翻译就是,美国政府不能仅通过自己立法,就能随意获取受别国法律保护的数据或信息。
二是,“这个决定保障了物理世界中的法律保护同样适用于数据领域”。用我的话来翻译就是,物理世界中遵守的主权及其界限,同样适用于网络空间。
三是,”这个决定为如何平衡隐私和执法需求开辟了更好的道路”。用我的话来翻译就是,两个主权国家之间签署双边司法协助条约,才是跨境获取数据的正途。事实上自从今年2月开始,英美两国政府就展开这方面的磋商。如达成协议,英国政府可直接向美国公司索取关于英国公民的个人数据。
三、美国政府——很失望
美国司法部发言人Peter Carr说,“对法院的决定,我们感到很失望,下一步我们将审视留给我们的选项。”
四、总结——网络主权的胜利?
从表面上看来,无论是巡回法院的判决,还是微软的声明,都明确支持了国家在网络空间拥有主权,或者进一步说,对存储于其境内的数据拥有主权。
但其实没那么简单。
仔细通读判决全文,就能看到巡回法院的判决有很强的局限性。判决的主线逻辑是:“存储通信法案”制定于互联网时代之前,没有任何证据显示国会在当时考虑到了今日数据时时刻刻都在跨境流动的情形,国会自然也不可能展示清晰的意图(clear intention)希望“存储通信法案”适用于美国境外。如果国会没有这样清晰的意图表示,那出于对国际关系的稳定等考虑,还是应该假设“存储通信法案”不适用于国外。但巡回法院的法官也指出,政府方面的诉求也具正当性。因此,国会应该尽快修订不适应现实发展的陈旧法律,表达自己的判断和选择。
我把这段话翻译给大家听:美国国会是最终的决策者,在修订法律时,美国国会完全可以确认新法律具有域外适用效力,那时,只要你是美国互联网公司的用户,美国政府通过国内的搜查令就能调取你的任何信息,哪怕这些信息并非存储在美国境内。考虑到美国一贯的霸权作风和双重标准,只要与其有利,别国的主权恐怕也不那么重要吧。
再来看看微软。微软当然欢迎这样的决定,但肯定不是因为微软拥护网络主权这个概念,而是因为这个判决给了跨国互联网公司一定程度的法律确定性:在一个国家运营,只需遵守一个国家的法律;且这个国家的法律不应产生域外效力。
这样的法律确定性对跨国公司弥足珍贵:否则每个国家都立法对公司提出要求,而且必须在全球范围内执行,那跨国公司就会被各个国家相互冲突的立法要求所撕碎。不久前,法国要求谷歌在全球范围内而非法国范围内执行被遗忘权就是另一个例子。
而且微软等美国公司可以拿着判决找到其他国家政府:看,我们不配合美国政府,美国政府也没法拿到你们的数据,所以可以放心使用我们的产品和服务了。另一方面,既然美国法律不允许政府把手伸出国境之外,最好你们也别这么做。
再来看数据本地化:显然,这个判决强化了数据本地化的趋势。如果美国法院认为数据存储的地点至关重要,那只会有越来越多的国家为了躲避美国的监控,提出更多、更严格的数据本地化要求。
4
经过半年的努力,FBI依然没有得到希望的结果。
2016年7月14日,美国联邦第二巡回上诉法院的三位主审法官,一致判定FBI的搜查令不具域外效力(extraterritorial effects);要获取微软公司存储于爱尔兰数据中心的电子邮件内容,通过双边司法协助条约(mutual legal assistance treaty)方是正道。
2017年1月24日,还是在美国联邦第二巡回上诉法院。八位法官中,4位拒绝重新审理案件,4位则选择支持。由于没有取得多数,FBI重审的申请只能泡汤。
微软总裁兼首席法律官 Brad Smith
FBI果然契而不舍地将案件上诉至最高法院,美国华盛顿时间2018年2月27日,美国微软公司与美国司法部对峙于美国最高法院,双方就美国政府是否有权合法要求微软交出海外数据问题展开辩论。
关于辩论的焦点,司法部律师Michael Dreeben将辩论重点放在微软位于美国华盛顿州的总部上,在那里,计算机操作员会检索电子邮件并将其交给联邦当局。微软律师Joshua Rosenkranz则认为,“电子邮件存放在爱尔兰,政府要求我们去爱尔兰把他们带走“。
首席大法官John Roberts表示,法规关注的是披露,邮件信息披露发生在华盛顿州并非爱尔兰,因此,政府的理论更加具有说服力“。这项名为《澄清域外合法使用数据法案(Cloud Act)》的立法得到了美国司法部和微软的支持,但双方的律师表示,法院应先就此案作出裁决,而不是等待国会行动。
在激烈辩论之后,微软总裁 Brad Smith在法庭前对记者说,此次争论强化了他的观点,即国会应该采取行动调整法律以适应科技的发展。他说:“这起案件以及上午的辩论进一步证明,21世纪的科技急需21世纪的法律来保护。“
无论如何,这个案件中有非常多的事项值得深挖。希望在不久的将来,本公号能为大家奉上对此案件详细的研究。
重磅!2017年硅谷人都在看的10大互联网科技图书(详情请点击“阅读原文”)
🌹🌹请关注本公众号,并在后台回复“电子书”,获取下载链接!
【原创连载3】敬告阿里、腾讯和百度——数据合规,合则生,不合则亡!
【前沿9】欧盟议会全球首个“关于制定机器人民事法律规则的决议”
【前沿8】人工智能时代“大数据”加上“差异化算法”带来的身份歧视,就是商业领域隐匿的穷人与狗不得入内!
【前沿5】美国布鲁斯的经典隐私理论和德国的人格权理论:四种类型的隐私侵权体系比整体保护体系更好吗?
【前沿2】《自动驾驶的监管挑战:面对悲剧性选择人工智能如何决策》
“监管与合规”公号是由法学教授、资深官员、专业律师及企业高管领衔的高端法律平台,聚焦于分享市场监管与企业合规领域的前沿资讯和深度报告,重点研究跨国公司的反商业贿赂、不正当竞争、广告、产品标识质量、网络安全、隐私政策及数据竞争的行政调查、处罚及复议、诉讼等争端解决,同时关注金融企业和上市公司的金融合规监管。
诚意推荐 欢迎关注