修改版的Cloud Act终成为法律

在美国时间3月23日周五下午，美国总统川普在“2018年综合拨款提案”签上了自己的名字，就此Cloud Act在短短时间内走完从草案到正式法律的历程，即刻生效。本公号过去的相关分析见：【美国Cloud Act法案到底说了什么】、【Cloud Act可能本周就得以通过！】、【如何看待“iCloud中国账户密钥将存储在中国”】、【苹果公司境内存储密钥的法律效果再分析】、【欧洲将立法允许执法跨境直接调取数据】

与之前分析过的草案版本相比，正式的Cloud Act做了一些修改，但主要是针对美国国内的非政府组织、学者的关注——应当确保确实对人权和隐私尊重的国家，才可以和美国政府签署协定，获得直接向美国通信服务提供者发出数据调取命令的资格。

例如，草案版本只是要求总检察长（连同国务卿）考虑如下因素：

一是外国政府在网络犯罪和电子证据方面，是否拥有足够的实质性和程序性法律，是否加入了《布达佩斯网络犯罪公约》，或其国内法与该公约第1章和第2章相吻合；二是展现出对法治和平等原则的尊重；三是遵守国际人权义务或展现出对国际基本人权的尊重，包括保护隐私免于肆意和非法的干涉、公平的庭审权利、表达结社和平游行的自由、避免肆意逮捕和监禁、避免torture和残酷的非人道或贬低人格的待遇和惩罚；四是对允许通过行政协定获取数据的外国政府机关，有清晰的法律要求和程序，包括这些机关收集、获取、使用和共享数据的程序，以及对上述数据活动的有效监管；五是有足够的机制能对外国政府收集和使用电子数据课以责任和提供适当的透明度；六是展现出对全球信息自由流动和维护互联网开放、分布式、互联本质的决心和承诺。除此之外，该外国政府应采取了适当的程序，最小化了对涉及“美国人”信息的获取、留存和散布。

正式的版本呢，强制要求总检察长（连同国务卿）应当向国会提交报告，认定外国政府符合上述所有的条件。但这个报告不需要对外公开。

从咱们中国的角度来看，正式的版本和草案版本相比，没有任何实质性的修改，只不过离所谓的“适格外国政府”（qualifying foreign governments）事实上变得更远了。

还有一个非常显著的新增条款，值得我们关注——关于加密、解密。§ 2523
(b)(3)规定：“the terms of the agreement shall not create any obligation that providers be capable of decrypting data or limitation that prevents providers from decrypting data”。也就是说，外国政府与美国政府签署的协定，不能被解释为服务提供商具有解密义务。

这也是为什么微软总裁Brad Smith在声明中讲到：“The bill also includes a strong statement about the importance of preventing governments from using the new law to require that U.S. companies create backdoors around encryption, an important additional privacy safeguard”。

随着Cloud Act的正式通过并开始生效，美国的数据主权战略已经非常清晰：

一是美国积极推行APEC的“跨境隐私保护规则”（CBPR）体制。其努力争取其传统盟友加入，具体包括加拿大、墨西哥、日本、韩国、新加坡、澳大利亚。核心实质是强制各加入国家在个人信息跨境流动时放弃国内的高保护水平，转而认同美国对个人信息保护的低水平，促进个人信息自由地跨境流动，更准确地说，向美国聚拢，或为美国公司方便地获取、掌握。

二是在执法跨境调取数据方面，通过Cloud Act，允许美国监管、执法、司法部门通过国内法律程序调取美国公司存储在境外的数据（实现其国内目的），同时也允许其认可的、少量国家直接向美国公司调取数据用于侦查执法以换取这些国家放弃数据本地化的要求。

那什么是中国的数据主权战略？

正式版本的Cloud Act正文如下：