2018年2月6日,美国4位参议员提交一部立法草案《澄清域外合法使用数据法》(the ClarifyingLawful Overseas Use of Data Act,CLOUD Act)。3月21日,《澄清域外合法使用数据法》被塞入等待批准的《2018年综合拨款提案》。随着3月23日美国总统川普在《2018年综合拨款提案》上签名,《澄清域外合法使用数据法》在短短时间内走完从草案到正式法律的历程,即刻生效。然而,在该法案经历的1个半月时间,美国国会没有对该法案进行任何辩论。这次美国人如此迫切地通过该法案,值得关注。

一、《澄清域外合法使用数据法》的缘起

美国推出《澄清域外合法使用数据法》,是为了修改1986年生效的《存储通信法案》(Stored Communication Act,SCA)。

首先,《存储通信法案》没能明确美国政府的搜查令是否能要求通信服务商提交存储在境外的数据。在关键问题上的模糊,导致了微软和美国政府之间一路打到美国最高法院的法律争议。微软认为,数据存储在爱尔兰,只适用于美国境内的搜查令不能覆盖到爱尔兰,即微软坚持“数据存储地标准”。政府一方认为,执行搜查令无需美国执法人员跑到爱尔兰,微软有能力在美国境内进行操作,在美国境内向政府披露数据。因此,搜查令没有适用于美国境外,微软有义务配合美国政府获得该数据,即美国联邦调查局(FBI)坚持“数据控制者标准”。

其次,《存储通信法案》规定,通信服务商不得向外国政府提供通信内容数据。严格的禁令导致许多国家在调查本地人实施的本地犯罪时,仅仅因为犯罪分子使用了美国通信服务提供商的产品,只能通过双边司法协助的途径请求美国当局同意给出内容数据。

二、《澄清域外合法使用数据法》的基本内容

该项立法有针对性地改革了《存储通信法案》,具体来说,就是对微软和FBI之间的争议提出了解决方案,同时还对外国执法部门调取存储在美国的通信内容数据提供通道。以下对该法案内容做出分析:

1.采用“数据控制者标准”

《澄清域外合法使用数据法》明确采用所谓的“数据控制者标准”。其规定“无论通信、记录或其他信息是否存储在美国境内,服务提供者均应当按照本章(即《存储通信法案》)所规定的义务要求保存、备份、披露通信内容、记录或其他信息,只要上述通信内容、记录或其他信息为该服务提供者所拥有(possession)、监管(custody)或控制(control)。”据此,根据该法案规定,在FBI发出搜查令后,微软应向FBI提交其存储于爱尔兰的电子邮件内容。

当然,该法案给服务提供者“抗辩”的渠道。该法案规定,当服务提供者合理地认为同时存在如下情况时,可提出“撤销或修正法律流程的动议”:一是目标对象不是“美国人”(the UnitedStates Persons)且不在美国居住;二是披露内容的法律义务将给服务提供者带来违反“符合资格的外国政府”(qualifying foreign governments)立法的实质性风险。其中,“美国人”是指美国公民或国民、合法承认为永久居民的外国人、其中相当数量的成员是美国公民或拥有合法承认的永久居留权的外国人的法人团体,或在美国注册成立的公司。

当接到服务提供者提出的“撤销或修正法律流程的动议”后,具有管辖权的法院应给予政府部门回应的机会,并在确认同时存在以下情形后,方可撤销或修正法律流程:一是披露义务将会导致服务提供者违反“符合资格的外国政府”的立法;二是基于该个案的所有情况,为维护司法公正,该法律流程应被撤销或修改;三是对象确不是“美国人”且不在美国居住。

法院在确认上述第二项情形时,需要进行礼让分析(comity analysis)。在礼让分析中,法案规定了法官应考虑的七个要点:一是美国政府的利益,包括寻求信息披露的具体政府组织在调查方面的利益;二是符合资格的外国政府在避免其法律禁止的内容披露方面的利益;三是不一致的法律要求,对服务提供者(或其雇员)带来处罚的可能、范围、性质;四是目标对象所处的地点和国籍,以及目标对象与美国联系的性质和范围(如知晓的话);五是服务提供者与美国的联系及存在于美国的性质和程度;六是所要求披露的信息对调查的重要程度;七是及时有效地获取所需要披露的信息的手段造成消极后果的可能性。

2.外国政府机构调取存储于美国的数据

《澄清域外合法使用数据法》允许“符合资格的外国政府”在与美国政府签订行政协定后,向美国境内的组织直接发出调取数据的命令。

(1)“符合资格的外国政府”的认定

《澄清域外合法使用数据法》要求美国总检察长(连同国务卿)向国会提交书面报告,认定外国政府符合下述所有的条件,才能判定外国政府符合法案提出的资格。

判定的核心准绳是“外国政府的国内立法,包括对其国内法的执行,是否提供了对隐私和公民权利足够的实质和程序上的保护”。“这样的认定是考虑了可信的信息和专家的意见,且考虑了以下因素”:一是外国政府在网络犯罪和电子证据方面,是否拥有足够的实质性和程序性法律,是否加入了《布达佩斯网络犯罪公约》,或其国内法与该公约第1章和第2章相吻合;二是展现出对法治和平等原则的尊重;三是遵守国际人权义务或展现出对国际基本人权的尊重,包括保护隐私免于肆意和非法的干涉、公平的庭审权利、表达结社和平游行的自由、避免肆意逮捕和监禁、避免酷刑和残酷的非人道或贬低人格的待遇和惩罚;四是对允许通过行政协定获取数据的外国政府机关,有清晰的法律要求和程序,包括这些机关收集、获取、使用和共享数据的程序,以及对上述数据活动的有效监管;五是有足够的机制能对外国政府收集和使用电子数据课以责任和提供适当的透明度;六是展现出对全球信息自由流动和维护互联网开放、分布式、互联本质的决心和承诺。除此之外,该外国政府应采取了适当的程序,最小化了对涉及“美国人”信息的获取、留存和散布。

(2)“符合资格的外国政府”直接送达命令的要求

对于外国政府发出的调取数据命令,行政协定要求:一是外国政府不得有意地针对“美国人”或位于美国境内的个人,且必须采取满足该要求的目标锁定程序(targeting procedures)。二是如果外国政府的目的是获取有关美国人或位于美国的人的信息,则不得以美国以外的非美国人为目标。三是外国政府不得在美国政府或其他第三国政府的要求下发出命令,或为与美国政府或其他第三国政府共享数据而发出命令,也不得将获得的信息与美国政府或其他第三国政府共享。四是外国政府发出的调取数据命令,应是与预防、侦破、调查、起诉严重犯罪(包括恐怖主义)相关的;调取命令应限定于特定的个人、账号、住址、个人设备等;外国政府要求服务提供者提供数据应具备国内法的明确授权,且具备合理事由(如基于可信、可描述的事实,特别是调查所针对行为的违法性、严重性);调取命令应受本国法院、法官、治安法官,或其他独立机构的审核和监督;当调取命令涉及拦截监听实时通信或延长监听时限时,则监听应有固定的期限且不得超过完成命令所合理必需的时间,同时必须是使用其他入侵性更少的方式无法合理地取得同样的数据。五是外国政府颁发的命令不得用于限制言论自由。六是外国政府应及时审核根据行政协定所收集的材料,并将还未审核的通信存放在安全的系统且仅有经过训练的人员可访问。七是外国政府应严格做到最小化的要求。八是外国政府不得将关于“美国人”的通信内容提供给美国政府,除非遵循特定程序且通信内容涉及能对美国或“美国人”带来严重伤害的威胁。九是外国政府应提供数据访问的相互权利。十是外国政府应同意美国政府定期开展的审核。十一是美国政府保留权利停止外国政府的某项具体命令。

三、《澄清域外合法使用数据法》效果分析

先看“取”。在《澄清域外合法使用数据法》中,判断对数据的管辖权标准并非数据的存储地域而是数据控制者,同时该法案仅在涉及非“美国人”且该对象非在美国境内时,才给通信服务提供者提供一定程度上的避免法律冲突(conflicts of law)的机制,并且是由美国法院来做礼让分析。这样的设计形成的客观效果是:只要数据到了美国的数据控制者手中,默认的情况是美国政府能够直接从全球各地调取,仅在少数情况下是例外,而且例外的大小宽窄均由美国法院单独裁量决定。借此,美国政府的数据攫取之手方便地延伸到国境之外,做到了“国内国外一盘棋考虑”。

再看“防”。《澄清域外合法使用数据法》改革了《存储通信法案》,当且仅在一定条件得到满足时,才允许特定外国政府直接向服务提供者发出内容数据调取命令:一是特定外国政府也给美国对等的待遇,即允许美国直接向其服务提供者发出内容数据调取命令;二是数据调取的对象非“美国人”,且该对象非在美国境内;三是调取命令的范围必需严格限定;四是这个国家必须符合一定的人权保护和隐私保护基线。这种设计形成的客观效果是:一方面,继续对“美国数据”保持绝对的控制:美国人的数据以及在美国境内的人的数据,无论存储于何地,外国政府要调取均应当通过司法协助渠道,即必需经过美国国内的司法程序。另一方面,“其他国家的数据”只要为美国数据控制者持有,美国政府就能借机要求发出调取命令的外国政府必须遵守一定的人权和隐私保护基线,同时给美国政府同样的对等待遇,而且美国能够随时关闭外国政府的这个渠道。

《澄清域外合法使用数据法》在“取”和“防”两方面的设计,使美国政府事实上将美国企业铸造成自身在“网络空间的国土”。美国企业在全球互联网行业有多大的市场份额,扩展到多少国家,美国的数据主权就扩展到哪里。同时,通过允许少部分国家“进入”自己的“网络空间的国土”,以换取“进入”这些少部分国家的“网络空间的国土”。美国同时还保有单方面裁量是否开启,以及随时关闭进入“网络空间的国土”的通道的权力。  

目前,美国正在通过积极推行亚太经合组织(APEC)的“跨境隐私保护规则”(Cross Border Privacy Rules, CBPR)体制,吸引数据流入美国本土,促成美国企业掌握全球数据。CBPR的实质是强制各加入国家在个人数据跨境流动时放弃坚持数据在国内享有的高保护水平,转而认同美国较低的保护水平。目前,美国争取到其传统盟友加入,意图形成网络效应,包括加拿大、墨西哥、日本、韩国、新加坡、澳大利亚等。在WTO场合针对我国提交的书面意见中,美国也明确提出我国在建立《网络安全法》要求的数据出境安全评估体制时不应另起炉灶,而应加入CBPR。

从综合效果看,美国通过CBPR强化了美国企业获取数据的能力,再通过《澄清域外合法使用数据法》法案,达到美国法律覆盖在全球运营的美国企业的效果。至此,美国的数据主权战略轮廓清晰。

四、初步应对建议

首先是加强我国的“防”。主要是加强《网络安全法》第37条的制度设计,明确规定“外国司法和执法机关直接调取我国境内存储的数据,应经主管监管部门的批准,方可向境外提供”。

其次是适度放开我国的“取”。《网络安全法》第75条宣誓对来自境外的危害关键信息基础设施的活动,我国将主张管辖权。为落实《网络安全法》第75条,我国执法和监管部门不可避免地要跨境调取大量数据。一直以来,我国均坚持司法协助路径,应考虑适度放开,一方面满足国内的需求,另一方面形成和美国目前战略的对冲。

总的来说,目前依旧看不出我国在数据主权战略方面清晰、系统的构想。因此,我国应加快设计,拿出符合国家利益、符合中国企业走出去步伐的数据主权战略设想。

以上内容发表于《中国信息安全》2018年第4期。

备注:

其实还有两个问题需要理清。

一是Cloud Act适用的企业范围:分别是:(1)面向公众提供电子通信服务的提供商;(2)远程计算服务(RCS)提供商,即远程计算服务(RCS)提供商。其中,电子通信是指:Any transfer of signs, signals, writing, images, sounds, data, or intelligence of any nature transmitted in whole or in part by a wire, radio, electromagnetic, photoelectronic or photooptical system that affects interstate or foreign commerce, but does not include—

(A) any wire or oral communication;

(B) any communication made through a tone-only paging device;

(C) any communication from a tracking device (as defined in section 3117 of this title); or

(D) electronic funds transfer information stored by a financial institution in a communications system used for the electronic storage and transfer of funds;

另外,远程计算服务是指:the term “remote computing service” means the provision to the public of computer storage or processing services by means of an electronic communications system; 而“electronic communications system” means any wire, radio, electromagnetic, photooptical or photoelectronic facilities for the transmission of wire or electronic communications, and any computer facilities or related electronic equipment for the electronic storage of such communications;

远程计算服务在定义中已经强调了面向公众。而电子通信服务在定义中没有类似的强调,因此在Cloud Act中专门强调了“面向公众提供服务”。因此,该法案主要限定与面向公众提供服务的科技公司。同时,数据调取命令的对象也是这些科技公司的客户(customer)或服务订阅者(subscriber)。

所以不面向公众提供服务的系统,不会被Cloud Act管辖。但,这里有个大大的但,美国执法机关虽然不能通过Cloud Act来直接获得数据,但依旧可以通过法庭的证据开示,或者通过别的法律程序强迫公司提供存储在境外的数据。再次仅举出一例:“在美国司法部发布的联邦检察官刑事资源手册(Criminal Resource Manual)第279节传票(Subpoenas)就明确写道,美国检察官可要求外国银行美国办公室提供位于美国境外的文件数据,但要经过额外的司法部内部程序。”

二是Cloud Act是否只适用于在美国注册成立或者总部在美国的公司。答案应该是否定的,如果中国的“面向公众提供电子通信服务的提供商”、远程计算服务提供商,在美国有比较实质性的存在时,需要接受该法案的管辖。这一点在法案文本中予以明确:

看到法案提出的——“including a foreign electronic communication service or remote computing service”。还有另外一个地方:

在做礼让分析时,法官要考虑上文高亮部分。如果Cloud Act仅仅适用于在美国注册成立或者总部在美国的公司的话,那显然法官不需要考虑该项了。

所以,中国的科技企业,如果面向公众提供通信服务,在美国拥有不少用户的话,会被该法案管辖。届时,中国企业将会被要求按照《澄清域外合法使用数据法》,向美国执法机关提供数据,无论数据是否存储在美国或者中国。

声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。