过去一个月,“走了”多少老人?

政信预警通 | 致潍坊江敦涛书记、刘运市长的一封公开信

当疫情数据成了笑话,我们应该反思什么?

北美吐槽君往年经典回顾:手链/所有极品一起关进警察局+后续/Kissmemouth

纽约时报长篇报道:《普京的战争》

生成图片,分享到微信朋友圈
自由微信安卓APP发布,立即下载! | 提交文章网址
查看原文

抢占数据时代的法律高地 ——美国《云法案》基本内容、法律影响和中国的因应

韩逸畴、田旭 网舆勘策院 2022-03-20

作者:韩逸畴、田旭

单位:华东政法大学国际法学院


摘要


“微软案”将日益普遍的跨境数据交换议题推到风口浪尖,美国国会借此迅速通过了《澄清域外合法使用数据法》。这项法案的出台大大减轻了美国政府跨境调取数据的行政负担,降低了侦查部门获取存储境外数据的难度,也使一些与美国达成协议的国家在调取处于美国境内的数据时有法可依。为维护国家网络空间主权、安全和发展利益,中国应及时关注该法案的执行情况及其它最新的国际立法动态,并采取相应的措施。

 


 

美国当地时间2018年3月23日,美国总统特朗普签署《澄清境外数据合法使用法案》(theClarifying Lawful Overseas Use of Data Act,CLOUD Act)(下文简称《云法案》)。明确政府有权依据调查令强制获取存储于境外的数据。伴随着大数据的兴起和云计算时代的到来,数据的使用和保护成为越来越重要和紧迫的议题。本文旨在梳理该法案的出台始末、基本内容和法律影响,并提出中国在数据化时代的战略和立法构想。
 


一、“微软案”与《云法案》出台

美国司法部与微软公司关于海外数据隐私权的争论相持已久。《云法案》的出台就是源于“微软案”(US. vs. Microsoft)。 
2013年12月,美国纽约南区联邦地区法院助理法官佛朗西斯依据联邦调查局申请签发搜查令,要求微软公司协助一起毒品案件的侦查,将一名其用户的电子邮件内容和其他账户信息提交给侦查机关。微软公司提出动议撤销搜查令,理由是这将导致其违反爱尔兰当地法律。法院判决确认搜查令的有效性,并判决微软拒绝协助提供数据行为构成藐视法庭。微软表示不服,将此争议上诉至美国联邦第二巡回上诉法院,要求撤销原判。
2016 年7 月 14 日,第二巡回上诉法院判决支持上诉人微软公司的诉请,判决被上诉人败诉。判决认为,搜查令不具域外效力。法官也指出,政府方面的诉求也具正当性。因此,国会应该尽快修订不适应现实发展的陈旧法律。
2017年10月,美国联邦最高法签署调卷令,决定提审此案。2018年3月23日,在《云法案》生效后,“微软案”这场纷争已经得到解决。2018年4月17日,最高法院作出最终裁决,驳回上诉。
 


二、《云法案》基本内容

从一个主权国家的角度来说,出于执法目的跨境访问数据主要由两个场景组成:一是执法所需的数据恰好存储在国外;二是外国执法机构需要访问存储在本国的数据。《云法案》主要是阐明美国和他国如何及何时可以访问存储于彼此法律辖区内云服务器的数据。
(一)明确政府有权依据调查令强制获取存储于境外的数据
《云法案》规定:“无论通信、记录或其他信息是否存储在美国境内,服务提供者均应当按照本章所规定的义务要求保存、备份、披露通信内容、记录或其他信息,只要上述通信内容、记录或其他信息为该服务提供者所拥有、监管或控制。”这表明,只要服务提供者可以控制数据,美国政府即有权强制该服务提供者披露相关信息,而不考虑数据存储载体的域外性。
当然,该法案也给服务提供者“抗辩”的渠道。该法案规定,当服务提供者合理地认为同时存在如下情况时,可提出“撤销或修正法律流程的动议”:一是目标对象不是“美国人”且不在美国居住;二是披露内容的法律义务将给服务提供者带来违反“符合资格的外国政府”立法的实质性风险。当接到服务提供者提出的“撤销或修正法律流程的动议”后,具有管辖权的法院应给予政府部门回应的机会,并在确认同时存在以下情形后,方可撤销或修正法律流程:一是披露义务将会导致服务提供者违反“符合资格的外国政府”的立法;二是基于该个案的所有情况,为维护司法公正,该法律流程应被撤销或修改;三是对象确不是“美国人”且不在美国居住。
法院在确认上述第二项情形时,需要进行礼让分析。法案规定法官应考虑如下要点:一是美国政府的利益,包括寻求信息披露的具体政府组织在调查方面的利益;二是符合资格的外国政府在避免其法律禁止的内容披露方面的利益;三是不一致的法律要求,对服务提供者(或其雇员)带来处罚的可能、范围、性质;四是目标对象所处的地点和国籍,以及目标对象与美国联系的性质和范围(如知晓的话);五是服务提供者与美国的联系及存在于美国的性质和程度;六是所要求披露的信息对调查的重要程度;七是及时有效地获取所需要披露的信息的手段造成消极后果的可能性。
(二)外国政府机构调取存储于美国的数据
《云法案》允许“符合资格的外国政府”在与美国政府签订行政协定后,向美国境内的组织直接发出调取数据的命令。《云法案》要求美国总检察长连同国务卿向国会提交书面报告,认定外国政府符合下述所有的条件,才能判定外国政府符合法案提出的资格。
为抚平国内人权组织的不满情绪,《云法案》对“符合资格的外国政府”判定的核心准绳是高度的隐私权保护标准,即“外国政府的国内立法,包括对其国内法的执行,是否提供了对隐私和公民权利足够的实质和程序上的保护”。
《云法案》为认定“符合资格的外国政府”设置了人权保护和互联网开放等多项条件。根据这些规定,中国目前很难被美国认定为“符合资格的外国政府”。
 


三、《云法案》的法律影响



在《云法案》出台之前,1986年生效的《存储通信法案》存在的两个主要问题。首先,《存储通信法案》未能明确美国法院签发的搜查令效力是否及于存储在境外的数据,这是“微软案”核心争议。其次,《存储通信法案》未能预见频繁出现的域外数据的调取对案件侦查的重要性,导致域外数据调取程序存在立法空白。《云法案》的出台有效地解决了上述问题。
第一,该法案明确通信服务提供者应当披露数据,无论该数据存储与境内或境外。判断对数据的管辖权标准并非数据的存储地域而是数据控制者,同时该法案仅在涉及非“美国人”且该对象非在美国境内时,才给通信服务提供者提供一定程度上的避免法律冲突的机制,并且是由美国法院来做礼让分析。因此,只要数据到了美国的数据控制者手中,默认的情况是美国政府能够直接从全球各地调取,仅在少数情况下是例外,而且例外的大小宽窄均由美国法院单独裁量决定。
第二,该法案制定双边数据交换机制,同意“合格外国政府”在满足一定条件后获取存储与美国的数据。一方面,继续对“美国数据”保持绝对的控制:美国人的数据以及在美国境内的人的数据,无论存储于何地,外国政府要调取均应当通过司法协助渠道,即必需经过美国国内的司法程序。另一方面,“其他国家的数据”只要为美国数据控制者持有,美国政府就能借机要求发出调取命令的外国政府必须遵守一定的人权和隐私保护基线,同时给美国政府同样的对等待遇,而且美国能够随时关闭外国政府的这个渠道。
 


四、我国在数据主权战略方面的构想



《云法案》的出台,为美国和他国如何及何时可以访问存储于彼此法律辖区内云服务器的数据提供法律依据。为维护国家的数据主权安全,并方便执法部门跨境调取数据,我国也应制定相应政策,并完善有关法律法规。
(一)加快数据安全立法
在斯诺登事件之后,俄罗斯、巴西、德国、印度、越南和韩国等二十多个国家都提出“数据存储本地化”的政策主张或者法律提案。欧盟新近通过的《通用数据保护条例》也对个人数据流出欧盟进行原则性限制。
我国政府充分已意识到数据安全立法的重要性。2017年6月1日,我国开始实施《网络安全法》。该法第37条基于网络主权原则对数据跨境传输进行法律限制。2017年4月11日,我国互联网信息办公室发布《个人信息和重要数据出境安全评估办法(征求意见稿)》。2017年8月25日,全国信息安全标准化技术委员会发布《信息安全技术数据出境安全评估指南(征求意见稿)》(第二稿),明确境内运营、数据出境等概念,并对安全评估的流程进行进一步细化。
正如美国“微软案”所显示,传统通过司法合作的方式调取境外数据的程序繁琐,耗时冗长,效率低下。在数据时时刻刻跨境流动的网络时代,这种方式难以适应执法机构的现实需要。因此,我国可以借鉴《云法案》的立法经验,制定和完善相关的立法,提高我国执法机关跨境调取数据的效率。
(三)实现产品和服务本土化
《云法案》不仅适用于在美国注册成立或者总部在美国的公司,还可能要求中国在美国有比较实质性存在的“面向公众提供电子通信服务的提供商”、远程计算服务提供商向美国执法机关提供数据,而无论数据是否存储在美国或者中国。因此,《云法案》所提供的法律机制,同我国关于数据保护等法律也可能存在冲突。
毋庸置疑,制定和完善相关的国内法律法规对于维护国家的数据主权至关重要,但要更好地维护我国的利益,最终还要靠产品和服务的完全本土化。理由在于:第一,美国企业在互联网领域占据无可争议的统治地位,其产品和服务遍布全球。第二,《云法案》赋予美国执法部门要求美国公司提供存储在美国境外的数据内容的权力。无论美国互联网企业是否采取“数据存储本地化”,只要使用了它们的产品或服务,那美国政府就能合法地获得各种数据。
 


五、结论



通常来说,向其他国家调取数据需要走双边司法协助途径,而不能直接面向企业。但是,在瞬息万变的网络时代,传统的司法协助方式耗时持久,完全无法满足执法机关的需求。
《云法案》旨在解决美国执法机构跨境调取数据的实际困难。该法案有助于美国执法部门在数字时代打击跨国犯罪,提高司法国际合作的效率。该法案允许政府跨境强制通信服务提供者提供存储于境外服务器上的电子数据,包括电子邮件、消息和文件——即使这些信息存储在另一个国家的服务器上,这可能会对其他国家的网络空间主权构成一定的挑战。
在《云法案》生效之前,欧盟就已经酝酿应对措施,并计划立法允许执法跨境直接调取数据。对于可能出现的法律冲突问题,欧盟认为最终决定是否应该提供证据的还应该是欧盟成员国的法院。因此,欧盟的立法模式路径可能会与美国类似,即允许服务提供者提出撤销调取命令的动议,由成员国法院作出礼让分析。
跨境数据流动管理成为影响国家网络信息安全以及相关行业发展的重要问题。美国、欧盟都已基本完成自己关于数据主权的战略布局。我国应密切关注美国《云法案》的执行情况,以及欧盟等国家的相关最新立法动态,尽快拿出可维护国家网络主权、有利于中国企业走出去的数据主权战略设想,并提供与之配套的法律保障,以抢占数据时代的法律高地。

[作者简介]韩逸畴,华东政法大学国际法学院副教授。田旭,华东政法大学国际法学院 2017 级博士研究生。


关于网舆勘策院
网舆勘策院由多年从事互联网监管工作的行业专家、法律专家主办。以敏锐视角洞察网络行业,以精准摘编聚焦网络舆情,以专业知识解读网络政策,提供互联网相关法律、政策以及行业资讯等。
法治思维,从关注网舆勘策院开始

长按二维码,即可关注本公众号

文章有问题?点此查看未经处理的缓存