对《数据安全法》的理解和认识 | 中国版的封阻法令

笔者按：

先摆出来《数据安全法》第三十三条：

此前，类似的条款已经出现在《国际刑事司法协助法》第四条：

《数据安全法》第三十三条和《国际刑事司法协助法》第四条本质上属于针对外国长臂管辖的“封阻法令”（the blocking statutes），本篇文章将初步分析封阻法令的一些基本方面。【注：以下内容主要节选于公号君一篇尚未发表的学术论文。】

主权合作模式及其困境

通常来说，本国执法机关调取存储在国外的数据，以及外国执法机构调取存储在本国数据，均需要通过数据存储地所在国家的有权机关的同意和协助，而不能越殂代疱。从国际法角度，这样的形式最能体现对主权的尊重。目前，寻求另一主权国家的同意和协助主要通过以下几种形式：

一是国家共同参加的国际公约，这些公约中包含了部分司法协助的条款。例如我国加入的《联合国有组织跨国犯罪公约》以及《联合国反腐败公约》。二是国家之间签署的“司法协助程序”（Mutual Legal Assistance, MLA）。据公开披露的最新资料，截止2017年2月，我国与外国签署了民刑事司法协助条约19项（全部生效）、刑事司法协助条约40项（32项生效）、民商事司法协助条约20项（17项生效）。三是基于互惠原则的一事一议性质的司法协助。四是司法协助函，即一国的法院向另一国法院提出的正式协助请求。五是双多边警务合作。如我国《公安机关办理刑事案件程序规定》第339条规定的“公安机关进行刑事司法协助和警务合作，我国缔结或者参加的国际条约和公安部签订的合作协议有规定的，按照条约和协议的规定办理，但是我国声明保留的条款除外，无相应条约和协议规定的，按照互惠原则通过外交途径或国际刑事警察组织进行”。

上述五种形式共同的特征是国家主权充分的参与：公约和司法协助条约其内容由主权国家共同协商，并需要主权国家签署批准；其他形式的协助请求和警务合作，都需要国家有权机关的共同参与和执行。但也正是因为不能“绕过”主权，上述五种形式在实践中存在较高的“门槛”。例如寻求协助的事项必需在被请求国家中也被认定为犯罪，以及如果“被请求方认为，接受请求将损害本国主权、安全、公共秩序或者其他重大公共利益，或者其后果与本国法律的基本原则相抵触”，可以拒绝协助请求。当然，既然需要其他主权的合作，免不了会有一些非司法方面的考量，例如美国和俄罗斯之间存在司法互助协定，但美国经常抱怨俄罗斯政府鲜少协助美国对俄罗斯网络罪犯进行执法调查。

事实上，除了门槛高、需要大量协调合作外，上述五种形式最为让人“无法忍受”缺陷是请求处理耗时过长。据美国学者研究，外国向美国政府提交法律协助请求，平均的处理时间要耗时10个月。显然，这样的速度完全无法满足执法机关的需求，特别是在瞬息万变的网络时代。

此外，还有两个新的变化导致执法机关对司法协助程序愈发不满，但本质上问题不是出在司法协助程序本身。其一，由于通信加密技术广泛采用，执法部门在境内通过在数据传输过程中拦截通信的方式（local intercepting），往往只能截获加密的数据包而无法成功解密获得通信内容，因此“搜查”通信内容“落地”的服务器、终端、云端成为执法部门的必需。由于这些服务器、终端、云端经常位于境外，这也就加强了执法跨境调取数据的必要。同时也意味着本地执法要比以往，更加经常需要走国际司法协助程序。

其二是所谓的变换通信工具和渠道的问题。2017年5月，英国副国家安全顾问Paddy McGuinness在美国参议院司法委员会上作证（testify）指出：以往，位于英国境内的个人密谋在英国境内实施恐怖主义犯罪，英国警方能够方便地监听（intercept）他们之间的通信内容（例如电话、短信）。但由于美国互联网公司在英国市场的绝对优势地位，这些恐怖主义分子越来越多地使用美国公司提供的通信产品和服务，例如从2013年5月起，英国政府处理的十来起恐怖主义案件都涉及美国公司的产品。对于英国政府提出的获取通信内容的要求，不少美国公司明确表示只能通过双边司法协助程序。也就是说，本地人实施的本地犯罪，以往英国警方通过国内法律程序就能实施监听，现在因为用了美国公司的产品，却转而需要符合美国法律规定的监听或搜查的“门槛”，还征得美国检察官和法官的同意才能调取犯罪分子之间的通信内容，这还不算其中涉及的人力成本和“遥遥无期”的等待。这还是有司法协助协定的情况，如果犯罪分子故意选择那些所谓“犯罪天堂”出品的通信工具，那执法几乎完全无法开展。

上述情况导致的结果就是，司法协助程序或其他需要借由其他主权同意和协助才能完成的侦查，在应对互联网时代的犯罪显得苍白无力。不难想象，英国警方面临的困境，包括我国或其他国家在内的执法机关很可能会感同身受。

 好在“办法总比困难多”。随着组织的跨国化和采用互联网等新兴信息技术的程度越来越高，执法部门经常能发现在境外掌握数据的组织，其总部恰好设在境内或在境内设有分支。在境内就意味着有天然的管辖权，何不通过境内法律流程和文书，直接要求或强迫境内总部或分支将境外数据“带到”境内即可？这样就省得看别的国家政府的脸色，一切都能自己搞定，还高效便捷。

 中国银行在美国的系列案件就是这样一个思路的典型体现，只不过是在诉讼场景中：如中国银行继续拒绝提供当事人中国银行账户的信息，美国纽约南区联邦地区法院对中国银行纽约分行处于每天5万美元的罚款。远在巴西同样上演了相似的一幕：2016年3月，Facebook巴西高管Diego Dzodan被判入狱。原因是WhatsApp拒绝交出与一起在巴西塞尔希培州（Sergipe）审理的有组织犯罪和贩毒案件相关的通信内容。Facebook随即提出抗议，理由之一便是WhatsApp在巴西没有工作人员，且与Facebook完全独立运营，因此Diego Dzodan不应为此事负责。在巴西法院看来，恰恰因为WhatsApp在巴西不设点，但是Facebook全资收购了WhatsApp，又在巴西本地设立了办公室，因此才会有这样“巧妙”地行使管辖权。

封阻法令的缘起和实践

既然一些国家在从境外“取”数据有创新，那自然一些国家也开始在“防”的方面提出针对性措施。其中最为人知的形式之一，当属大陆法系国家为了阻断普通法系（主要是美国）“任意得近乎恣意”的证据开示（discovery）程序而专门立法，也就是所谓的“封阻法令”（the blocking statutes）。而在所有的封阻法令中，又属法国的最为著名。

1980年，为了阻止美国针对法国航运公司的反垄断调查，法国专门立法通过了所谓的“封阻法令”（the Blocking Statute），禁止在没有法国法院命令的情况下，任何法国个人出于提交证据的目的，向境外司法或行政机关披露关于经济、商业、工业、金融、技术方面的信息。

为什么会有“封阻法令”？最本质的原因，在于普通法系和大陆法系对提供证据的根本不同的立场。在美国法中，证据开示（discovery）程序是美国的民事和刑事案件中诉讼双方交换证据的司法过程，证据在这个阶段并不提供给法庭，但为了“真相”能从诉讼双方“对抗”中浮出水面，法官会支持和保障当事人充分的知情权。因此，美国法庭往往会以法庭命令的形式（例如传票）支持一方当事人获取证据的要求，而且证据开示的范围十分广泛。

实际上，对于当事一方或诉外一方（non-party）存放在境外的文件、数据等，早在上世纪70年代，美国联邦第二巡回上诉法院就清楚地指出，“如果某一联邦法院对某人具有管辖权（personal jurisdiction），那该法院就有权要求该人提供位于境外的文件，如果该人拥有该文件或对该文件具有控制能力。联邦法院这样的权力毋庸置疑。”2017年美国法学会最新的《第四次对外关系法重述（第三稿）》中再次表明，美国联邦法院在民事中一直都拥有这样的权力。在刑事领域，美国检察官在侦查时可以使用搜查令、传票等形式获得证据。和民事诉讼一样，美国的案例法长久以来都支持美国检察官通过传票的形式，要求在美国经营的公司交出处于境外的文件、记录等。事实上，在美国司法部发布的联邦检察官刑事资源手册（Criminal Resource Manual）第279节传票（Subpoenas）就明确写道，美国检察官可要求外国银行美国办公室提供位于美国境外的文件数据，但要经过额外的司法部内部程序。

简单来说，在美国法中，无论是刑事还是民事诉讼，能否从境外调取数据最为关键的因素并非数据的存储地，而是诉讼能否在美国进行。如果美国法院具备管辖权，那涉案的一方就需要提供其所拥有的，或所控制的，或能够访问的与案件相关的境外文件和数据。美国法允许的“取”的强势程度，可见一斑。

法国不是唯一向美国说“不”的国家。德国、英国等许多国家也有类似的“封阻法令”。例如，英国 1980 年通过贸易利益保护法 (Protection of Trading Interests Act of 1980，即 PTIA)，授权其国务大臣 (the Secretary of State) 基于英国贸易利益或有侵越英国主权疑虑之考虑下，可以要求禁止配合外国法院或其他公权力机关的证据开示要求。

另外两个类型的“防”的措施可能没有那么争锋相对，但事实上也极大地抬高了从执法跨境调取数据的门槛。由于执法跨境调取数据的案例经常发生在银行业，因此也有人认为各国银行业相关法律中普遍规定的客户信息严格保密的规定，事实上也构成一种“封阻法令”，例如瑞士、卢森堡、新加坡等国的规定。第二个类型就是个人信息保护方面的法律。一个非常显著地例子就是欧盟2018年5月生效的《通用数据保护条例》（GDPR）。

GDPR在第五章专门规定了个人数据向欧盟境外传输的合法事由和条件，还专门在本章中的第48条明确规定：当第三国的法院或裁判所，或者第三国的行政机关要求数据控制者或数据处理者提供或披露个人数据，则仅当该要求是基于国际协定时才有效，例如欧盟或成员国与第三国签署的双边司法协助条约。据此，一部在全欧盟境内保护个人数据的法律，统一性地对个人数据出境做出了规定，其中还专门囊括了“执法跨境调取数据”这个情形。

与GDPR第48条相伴的Recital115说得更加非常明确：“有些第三国会通过法律、规则或其他法律措施，直接规管（regulate）在欧盟成员国管辖范围内个人和法人的数据处理活动。其中可能包括第三国法院或裁判所的判决或行政机关的决定，要求数据控制者或处理者移转或揭露个人资料，且并非基于如司法互助条约等在请求数据的第三国与欧盟或成员国间具有效力的国际协议。第三国类似的法律、规则及其他法律措施涉及治外法权的适用，可能违反国际法，且可能妨碍本条例达成对个人在欧盟的保护。数据移转应仅得在本条例对于数据移转至第三国所规定的条件均得到满足时，才能被条例所允许。”

因此，按照上述规定，外国执法机构要求当事人从欧盟境内将涉及个人数据的证据转移至欧盟境外时，只能通过双边司法协助条约；另外一个渠道是，当事人基于GDPR第五章规定的特殊情况下，将个人数据传输至境外。总之，外国法院、执法机关的命令，在GDPR眼里没有任何法律效力。

封阻法令的效果初探

封阻法令的确立，具体会如何影响美国法官、执法机关的考量。在取得对外国主体的长臂管辖后，美国法院还面临一个问题：要求外国银行提交位于国外的客户信息的命令，必然与国外政府禁止其对外披露客户信息的法律发生冲突。美国的法官尽管有扩张权力的欲望，但同时也有自我节制的能力，尤其是涉及到强制要求外国主体披露信息时会冒犯到另一国的国家利益时，会进行礼让分析。

对此，美国法学会在1965年的《第二次对外关系法重述》中，对此建议“各国应本着善意的原则，按照国际法综合考虑以下因素，对其司法管辖权进行适当调整：

1. 各国国家利益的重要性；

2. 法律冲突造成当事人履行困难的性质和程度；

3. 一国强制措施需要在他国境内履行的程度；

4. 当事人的国籍；

5. 各国施行强制措施所能达到合理预期效果的程度。

   
   

随后美国第二巡回法院1968年美国第一国民银行的案件中第一次援引了上述观点，经过五点因素的考量后，裁定该银行强制履行大陪审团有关提交该银行位于德国的客户信息的传票。此后很多案件中，法院都认可上上述判断五个原则。

1987年美国法学会《第三次对外关系法重述》对上述原则进行了修改，规定：“在决定是否签发命令要求披露位于国外的信息前，美国的法院或政府机构需要考虑到的因素包括：

1. 所要求披露的文信息对调查或诉讼的重要性；

2. 要求披露的具体程度；

3. 信息是否产生于美国；

4. 是否存在获取该信息的其他替代性手段；

5. 不遵守强制披露信息的命令将在多大程度上损害美国的利益，或者遵守该命令会在多大程序上损害信息所在国的法律所保护的利益。

   
   

在1987年MINPECO, SA v. Conticommodity Services, Inc.一案中，纽约联邦南区法院在上述五要素的基础上又发展了两个要素，包括（6）被要求披露方履行传票所遭遇的困难；（7）被要求披露方是否善意。

从上述因素来看，封阻法令可以让美国法官和执法机关一定程度上认识到法律冲突将给当事人带来的困境。但是由于考量因素众多，因此封阻法令的存在，在多大程度上会改变美国法官和执法机关的裁量，其实仍然很不确定。

总的来说，公号君认为《数据安全法》第三十三条和《国际刑事司法协助法》第四条这样的封阻法令的确立，对于应对针对数据的长臂管辖来说，具有一定的积极意义。（完）

数据保护官（DPO）社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时，DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月，DPO社群举行了第一次线下沙龙。沙龙每月一期，集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下：

人脸识别系列文章

1. 欧盟基本权利局“人脸识别技术”报告中文翻译（DPO社群出品）
   

2. 法国数据保护局（CNIL）关于人脸识别报告的中译文（DPO社群出品）
   

3. 零售门店使用人脸识别技术的主要法律问题（DPO社群成员观点）
   

4. 人脸识别技术的规制框架（PPT+讲稿）
   

5. 人脸识别技术运用的六大场景及法律规制框架的适配（DPO社群成员观点）
   

6. 解读世界首例警方使用人脸识别技术合法性判决（DPO社群成员观点）
   

7. 人脸识别技术的法律规制研究初探（DPO社群成员观点）

8. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

9. 美国华盛顿州人脸识别服务法案中文翻译（DPO社群出品）

10. PAI | 《理解人脸识别系统》全文翻译（DPO社群出品）

美国联邦隐私保护立法草案研究

1. 美国联邦隐私保护立法草案研究（一）：“行为个性化”

2. 美国联邦隐私保护立法草案研究（二）：“个人敏感信息”

3. 美国联邦隐私保护立法草案研究（三）：“个人敏感信息”的保护规则

4. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

传染病疫情防控与个人信息保护系列文章

1. 传染病疫情防控与个人信息保护初探之一：个人信息的性质
   

2. 传染病疫情防控与个人信息保护初探之二：同意的例外

3. 传染病疫情防控与个人信息保护初探之三：数据技术的应用路径

4. 传染病疫情防控与个人信息保护初探之四：接触追踪的数据共享安全规范

5. 传染病疫情防控与个人信息保护初探之五：电信数据的安全规范

6. 传染病疫情防控与个人信息保护初探之六：GDPR框架下的公共卫生数据共享

7. 传染病疫情防控与个人信息保护初探之七：美国公共卫生机构的数据调取权力

8. 传染病疫情防控与个人信息保护初探之完结篇：解读中央网信办通知

9. 欧盟国家和英国的数据保护部门对疫情防控的官方意见汇总（DPO社群出品）

10. 美国疫情防控中的关键基础设施的识别和认定（DPO社群出品）

11. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见（DPO社群出品）

12. 欧委会关于新冠疫情中利用移动数据和应用官方建议的全文翻译（DPO沙龙出品） 

13. 漫画图解苹果和谷歌联手开发的接触追踪应用的基本原理  

14. 澳门关于疫情防控中进出场所人员个人资料保护的通告

15. 疫情防控常态化中的接触追踪：中国方案

16. 欧委会“支持抗击新冠疫情的APP的数据保护指引”全文翻译（DPO社群出品）

17. 来自欧洲的接触追踪协议（ROBERT Protocol）的基本原理：漫画图解

18. 英国信息专员对苹果谷歌接触追踪项目的官方意见：全文翻译（DPO社群出品）

19. 三百名学者关于接触追踪APP的联合声明

20. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

21. 新冠疫情防控常态化下的个人信息保护工作的思考和建议 

22. 韩国利用ICT抗疫经验总结：接触追踪部分（中文翻译）

23. 全文翻译 | 欧盟新冠肺炎“接触追踪”APP 共同工具箱（DPO沙龙出品）

个人数据与域外国家安全审查系列文章

1. 个人数据与域外国家安全审查初探（一）：美欧概览

2. 个人数据与域外国家安全审查初探（二）：CFIUS实施条例详解

3. 个人数据与域外国家安全审查初探（三）：从美国《确保ICT技术与服务供应链安全》        

4. 个人数据与域外国家安全审查初探（四）：从美国《2019年安全与可信通信网络法案》看

5. 个人数据与域外国家安全审查初探（五）：禁止中国公司对StayNTouch的收购

6. 个人数据与域外国家安全审查初探（六）：《2019国家安全和个人数据保护法案》

7. 个人数据与域外国家安全审查初探（七）：美国众议院荒唐的决议草案

8. 个人数据与域外国家安全审查初探（八）：《2020安全的5G和未来通信》法案

9. 个人数据与域外国家安全审查初探（九）：澳大利亚《协助和访问法》

10. 美国司法部狙击中国内幕（Inside DOJ's nationwide effort to take on China）

11. 美国司法部“中国计划”的概况介绍

美国电信行业涉及外国参与的安全审查系列文章

1. 美国电信行业涉及外国参与的安全审查（一）：基本制度介绍

2. 美国电信行业涉及外国参与的安全审查（二）：国际性的第214节授权

3. 美国电信行业涉及外国参与的安全审查（三）：建立外国参与安全审查的行政令

4. 美国电信行业涉及外国参与的安全审查（四）：FCC对中国企业的陈述理由令

中国的网络安全审查系列文章：

1. 网络安全审查制度利刃出鞘

2. 对《网络安全审查办法（征求意见稿）》的几点观察

3. 网络安全审查制度吹响了向网络安全强国迈进的号角

4. 我国网络安全审查制度走向前台

5. 网络安全审查的中欧比较：以5G为例

美国的出口管制制度系列文章：

1. 美国出口管制制度系列文章之一：对“外国生产的产品”的相关规则

2. 美国出口管制制度系列文章之二：适用EAR的步骤

3. 美国出口管制制度系列文章之三：苏联油气管道的“华为”事件

4. 《华盛顿邮报》披露《美国对中国的战略路径》背后的决策博弈

5. 美国出口管制制度 | 允许华为和美国公司共同制定5G标准
   

自动驾驶系列文章：

1. 自动驾驶数据共享：效用与障碍

2. 自动驾驶数据共享：效用与障碍（附文字实录）

3. 北京市关于自动驾驶车辆道路测试的立法综述及动态（DPO社群成员观点）

4. 自动驾驶的基建工程 — 高精地图产业促进与国家管控的平衡（DPO社群成员观点）

5. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

欧盟“技术主权”进展跟踪系列文章：

1. 技术主权视野下的欧盟数字化转型战略探析（DPO社群出品）
   

2. 欧盟委员会主席首提“技术主权”概念

3. 推进欧洲可持续和数字化转型：《欧洲新工业战略》解读（DPO社群成员观点）
   

4. 欧盟“技术主权”进展 | 德国和法国推出欧盟自主可控的Gaia-X云平台计划

5. 欧盟“技术主权”进展 | 欧盟如何在科技领域能主导下一个十年

6. 欧盟“技术主权”进展 | 关于数字平台监管的建议

7. 欧盟“技术主权”进展 | 欧洲共同数据空间治理立法框架
   

第29条工作组/EDPB关于GDPR的指导意见：

1. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)
   

2. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）
   

3. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

4. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

5. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

6. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

7. EDPB《关于GDPR适用地域范围（第3条）的解释指南》全文翻译（DPO沙龙出品）

8. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

9. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

10. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）
    

11. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

12. EDPB | 《对第2016/679号条例（GDPR）下同意的解释指南v1》中文翻译（DPO社群出品）

13. 第29条工作组 | 《关于匿名化技术的意见》中文全文翻译（DPO社群出品）

14. 欧盟委员会关于GDPR实施两周年评估报告中文翻译（DPO社群出品）

数据跨境流动系列文章：

1. 构建数据跨境流动安全评估框架：实现发展与安全的平衡

2. 构建数据跨境流动安全评估框架：实现发展与安全的平衡（二）

3. 构建数据跨境流动安全评估框架：实现发展与安全的平衡（三）

4. 构建数据跨境流动安全评估框架：实现发展与安全的平衡（四）

5. TPP对跨境金融数据“另眼相看”？

6. 马来西亚拟将我国认定为个人数据跨境流动“白名单”地区

7. 美国ITIF关于数据跨境流动的研究报告简介

8. Chatham House举办Cyber 2017大会，关注中国数据跨境流动

9. 俄罗斯个人信息保护机构对隐私政策和数据跨境流动的新举措

10. 看清APEC“跨境隐私保护规则”体系背后的政治和经济

11. 敬请关注“闭门会-数据跨境流通”

12. “闭门会：数据跨境流动政策分析” 总结

13. 欧盟个人数据跨境流动机制进展更新（截止201810）

14. 俄罗斯数据本地化和跨境流动条款解析

15. 亚洲十四个国家和地区数据跨境制度报告中译本（DPO社群出品）

16. 《个人信息和重要数据出境安全评估办法》实现了安全与发展的平衡

17. 数据出境安全评估：保护我国基础性战略资源的重要一环

18. 个人信息和重要数据出境安全评估之“境内运营”

19. 《数据出境安全评估：保护我国基础性战略资源的重要一环》英文版

20. 个人信息和重要数据出境安全评估之“向境外提供”

21. 数据出境安全评估基本框架的构建

22. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

23. 《网络安全法》中数据出境安全评估真的那么“另类”吗

24. 解析《个人信息出境安全评估办法（征求意见稿）》实体保护规则背后的主要思路

25. 《个人信息出境安全评估办法（征求意见稿）》解读：从中外比较的角度

26. 数据跨境流动 | 澳大利亚政府提出新的数据本地化要求