网络主权的胜利?再评微软与FBI关于域外数据索取的争议
美国政府到底能不能仅仅通过国内签发的搜查令,就获取存储在美国境外的数据?微软和FBI关于这个问题的争议,在数据本地化要求杂谈(一)和数据本地化要求杂谈(二)已做了介绍。
美国时间7月14日,美国联邦第二巡回上诉法院终于对这个问题做出了解答。从2013年就发端的争议暂时告一段落。上诉法院的三位法官一致认为,FBI的搜查令不具域外效力(extraterritorial effects);要获取境外数据,通过双边司法协助条约(mutual legal assistance treaty)方是正道。
一、法院怎么说——数据存储的地点最重要
在此先简单回顾以下本案的法律争议焦点:案件中每一方都认可,搜查令基于的“存储通信法案”(Stored Communication Act)不适用于域外。进一步,微软认为,数据存储在爱尔兰,只适用于美国境内的搜查令怎么能覆盖到爱尔兰?因此,搜查令违法,微软无需执行。
但政府一方(包括支持政府的法官)认为,执行搜查令无需美国执法人员跑到爱尔兰,也无需微软(在执行搜查令时被看到政府的代理,agent of US Government)派出职员在数据存储地点做具体操作;搜查令只要求微软——一家美国服务提供商——在美国境内作出一定的操作,并在美国境内向政府交出数据。因此,搜查令没有适用于美国境外,微软有义务配合美国政府获得该数据。
大家还记得2014年7月31日,美国纽约南区联邦地区法院首席法官洛蕾塔·普瑞斯卡(Loretta Preska)要求微软遵守搜查令时提出的观点:案件问题的关键在于“谁控制这些信息,而非信息所在位置”。(It is a question of control, not a question of location of that information.)这个观点就是对政府立场的浓缩表述。
7月14日的判决意见书,由巡回法院Susan Carney法官主笔。Carney法官首先用很大篇幅陈诉了本案争议焦点在于用户的隐私保护后,提出如下观点:“我们认为,对用户隐私的侵犯,发生在当用户受保护的内容被访问时······也就是微软被政府要求访问存储在爱尔兰数据中心的数据时”。
显然上诉法院明确推翻了普瑞斯卡的观点,在本案中,location matters! (信息存储的地点至关重要!) Carney法官写到:数据存储在都柏林,要取回数据,微软必然要对都柏林的数据中心作出一些(远程)操作或互动,而该数据中心受一外国主权的管辖。
既然搜查令要求在美国境外发生一定(远程)的操作或互动,而搜查令基于的“存储通信法案”又没有域外效力,那搜查令自然无效,微软不用执行。
二、微软——国家主权应被尊重
微软总裁兼总法律顾问Brad Smith第一时间发表声明:“我们当然非常欢迎第二巡回上诉法院作出的决定”。在他看来,这个决定之所以重要有以下三方面原因:一是,“这个决定保障了人们的隐私受其所在国家法律的保护”。用我的话来翻译就是,美国政府不能仅通过自己立法,就能随意获取受别国法律保护的数据或信息。
二是,“这个决定保障了物理世界中的法律保护同样适用于数据领域”。用我的话来翻译就是,物理世界中遵守的主权及其界限,同样适用于网络空间。
三是,”这个决定为如何平衡隐私和执法需求开辟了更好的道路”。用我的话来翻译就是,两个主权国家之间签署双边司法协助条约,才是跨境获取数据的正途。事实上自从今年2月开始,英美两国政府就展开这方面的磋商。如达成协议,英国政府可直接向美国公司索取关于英国公民的个人数据。
三、美国政府——很失望
美国司法部发言人Peter Carr说,“对法院的决定,我们感到很失望,下一步我们将审视留给我们的选项。”
四、总结——网络主权的胜利?
从表面上看来,无论是巡回法院的判决,还是微软的声明,都明确支持了国家在网络空间拥有主权,或者进一步说,对存储于其境内的数据拥有主权。
但其实没那么简单。
仔细通读判决全文,就能看到巡回法院的判决有很强的局限性。判决的主线逻辑是:“存储通信法案”制定于互联网时代之前,没有任何证据显示国会在当时考虑到了今日数据时时刻刻都在跨境流动的情形,国会自然也不可能展示清晰的意图(clear intention)希望“存储通信法案”适用于美国境外。如果国会没有这样清晰的意图表示,那出于对国际关系的稳定等考虑,还是应该假设“存储通信法案”不适用于国外。但巡回法院的法官也指出,政府方面的诉求也具正当性。因此,国会应该尽快修订不适应现实发展的陈旧法律,表达自己的判断和选择。
我把这段话翻译给大家听:美国国会是最终的决策者,在修订法律时,美国国会完全可以确认新法律具有域外适用效力,那时,只要你是美国互联网公司的用户,美国政府通过国内的搜查令就能调取你的任何信息,哪怕这些信息并非存储在美国境内。考虑到美国一贯的霸权作风和双重标准,只要与其有利,别国的主权恐怕也不那么重要吧。
再来看看微软。微软当然欢迎这样的决定,但肯定不是因为微软拥护网络主权这个概念,而是因为这个判决给了跨国互联网公司一定程度的法律确定性:在一个国家运营,只需遵守一个国家的法律;且这个国家的法律不应产生域外效力。
这样的法律确定性对跨国公司弥足珍贵:否则每个国家都立法对公司提出要求,而且必须在全球范围内执行,那跨国公司就会被各个国家相互冲突的立法要求所撕碎。不久前,法国要求谷歌在全球范围内而非法国范围内执行被遗忘权就是另一个例子。
而且微软等美国公司可以拿着判决找到其他国家政府:看,我们不配合美国政府,美国政府也没法拿到你们的数据,所以可以放心使用我们的产品和服务了。另一方面,既然美国法律不允许政府把手伸出国境之外,最好你们也别这么做。
再来看数据本地化:显然,这个判决强化了数据本地化的趋势。如果美国法院认为数据存储的地点至关重要,那只会有越来越多的国家为了躲避美国的监控,提出更多、更严格的数据本地化要求。
因此,这个判决的影响还需要更全面地观察和评估。