美国战略与国际研究中心报告：挖掘CLOUD法案协议的全部潜力

文|时圣辉中国信通院互联网法律研究中心助理工程师

2024年6月6日，美国战略与国际研究中心发布了《挖掘CLOUD法案协议的全部潜力》报告（以下简称“报告”）。报告指出，2018年美国国会通过的《澄清境外合法使用数据法案》（the Clarifying Lawful Overseas Use of Data Act，以下简称“CLOUD法案”）允许美国科技公司在美国政府与其他满足特定条件的外国政府签订行政协议后，根据外国政府要求直接向其披露用户数据以协助调查重大事件，或由处于外国司法辖区的公司根据美国政府要求进行类似的数据披露。但目前为止CLOUD法案仍处于实施的早期阶段，自2018年以来仅和英国和澳大利亚达成了相关数据使用协议，而和欧盟及其他国家的协议仍在协商之中。报告强调，CLOUD法案协议（以下简称“协议”）作用关键、前景广阔，可以在全球机构合法调查、保护人权法治和促进全球信息自由流动方面发挥重要作用，协议的有效利用和正确实施将为执法机构提供重要抓手，并加强国际证据收集安排。

一、总结回顾CLOUD法案及协议情况

报告梳理了CLOUD法案诞生的背景、目的和历程，多年以来，多国政府在执行法律或维护国家安全时常常面临其所需的证据或情报被境外司法辖区的公司实体所掌握的情况，随着时间推移，这一情况因美国公司所提供服务受到世界范围内的热捧而成为外国司法辖区的普遍难题。美国法律禁止美国服务提供商在未经美国法院有效法律程序的情况下披露相关用户信息，即使这些信息仅涉及境外行为和境外用户。这些阻止管辖实体向境外政府提供证据的法令被称为“阻却法规”（“blocking statutes”），触犯相关法规可能构成刑事重罪。

报告认为阻却法规事关重要的公共政策目标，即发挥民主政府在监管本国公司行为方面的合法权力，国会并不希望美国服务商披露侵犯公民自由的用户数据。例如，美国政府不会希望一家美国公司回应外国政府对一名正在组织政治抗议活动的持不同政见者Outlook电子邮件账户的窃听要求。阻却法规为美国公司回应这种要求提供了法律上的阻碍，从而帮助美国公司在不想透露这些信息的情况下利用阻却法规来可信地解释，它因被美国法律禁止而无法遵照有关外国政府的要求。相关限制并不因外国政府的法治程度而改变，例如，美国法律不允许电子邮件提供商遵照英国法令披露用户的私人电子邮件，即使用户、犯罪发生地和受害者均在英国境内。此外，其他司法辖区也有类似设计，欧盟《通用数据保护条例》第48条限制向非欧盟成员国政府进行数据披露，法国的阻却法规禁止披露可能损害法国利益的信息。

正是由于阻却法规的严格性和呆板性，很多国家通过与美国签订双边法律协助条约、类似协议或国际公约的形式获取案件执行信息或证据。美国在1977年与瑞士合作时首次签订此类协议，20世纪80年代和90年代又与澳大利亚、加拿大、以色列和牙买加等国家签订了协议。911袭击发生后，有关法律协助协议的谈判步伐加快，美国渴望利用这些谈判来协助恐怖主义调查。但随着互联网时代的兴起和美国互联网巨头服务的流行，使得其他国家通过法律协助协议从美国公司处获得信息的需求不断增多，美国司法部国际事务办公室被陷于巨大的需求文书之中导致流程不畅、时间漫长，2013年一份美国有关方面的报告显示相关请求流程平均需要花费10个月，其他涉及法律协助的国际协定如《欧洲委员会网络犯罪公约》《美洲刑事事务互助公约》《经济合作与发展组织关于打击国际商业交易贿赂外国公职人员公约》以及一些涉及腐败、有组织犯罪、贩毒和恐怖主义的若干联合国公约也面临着类似的问题。

这些问题和阻碍使得部分外国政府针对美国公司采取了激进的单方惩罚行为，例如通过立法迫使相关企业在其境内储存数据从而便利执法处理，通过对公司和员工采取恐吓骚扰行动迫使公司交出数据，或是通过对网络基础设施漏洞的利用来直接获取数据。许多外国政府也向美国政府施压。美国司法部和联邦调查局受到包括盟国在内的许多国家政府的催促，要求他们设法采用更实际便捷的手段去保护美国公司的通信内容。很多美国企业也加入了探索讨论之中，提出了增加法律协助资源、精简流程、设置自动化门户等建议，部分建议也落实在实践中，通过设置法律协助优先级和提供资金确实减轻了一些系统压力，但并未从根本上改变阻却法规所面临的问题。

转机出现在微软与美国政府的一场纠纷之中，美国倾向于否认美国政府搜查令对海外储存数据有效性的裁决使得美国司法部注意到推动相关立法最终解决国际法律协助中数据提供问题的契机，美国立法机构加快了与跨境数据获取相关的立法尝试，如2015年的《执法获取海外数据存储的法案》和多次迭代的《国际通信隐私法案》。美国司法部还注意到美国政府一般情况下并无阻止美国公司履行外国法律要求提供相关信息的意愿，例如如果日本政府需要获取两名涉嫌在日本发生谋杀案的日本公民之间发送的Gmail账户中的电子邮件，美国的法律并无理由去阻碍这一需求，很难认为相关情形事关美国政府的任何公共政策利益而需要去阻止有关调查的开展。

最终，奥巴马政府向国会提交CLOUD法案文本，允许但不强迫美国公司回应对等开放国家的要求提供数据，CLOUD法案最终在有一定争议的情况下由特朗普签署成为法律。CLOUD法案生效后，美国政府与英国政府花费了大量时间以达成首份协议，后续也与澳大利亚达成协议，与加拿大和欧盟的协议仍在谈判中，这些协议为相关国家提供了获取数据的新途径，减少了数据提供方回应相关需求的限制，明确了披露后数据的处理要求。这些国家在协议外的国际协助需求的减少也为其他未签订协议国家留出了更多申请协助的空间。

二、对释放协议潜能提出具体建议

报告提出，尽管CLOUD法案在实施初期取得了一定进展，但其在全球范围内的推广和实施仍面临诸多挑战，因此需要进一步挖掘协议的全部潜力。

第一，美国政府应与更多国家签订协议，不仅限于在与“五眼联盟”以及欧盟的合作中发挥关键作用。目前司法部将CLOUD法案和协议描述为仅适用于“可信外国伙伴”而暗示协议是针对特定盟国的“俱乐部”，这将难以扩大协议应用范围实现“大帐篷”的愿景，进而迫使印度、巴西等国更有可能采取CLOUD法案所要避免的数据本地化、罚款、逮捕或其他不当行为以获取他们所需要的数据。正如英国和澳大利亚的协议内容虽然相当宽泛，但仍然限制了两国向美国提供被用于死刑定罪证据的相关数据，美国在未来与其他国家签署协议的过程中也应当区分涉嫌罪行（如仅适用于恐怖主义、网络安全等特定重罪）、调查机构（如仅适用于有着良好的过往调查记录且受到有力监督的权力机构）、数据类型（例如仅允许获取存储数据而非实时数据）、数据时间跨度（例如6个月内的存储数据，60天内的实时数据）、调查目标（例如仅限收集被合理认为身处请求国的居民或属于请求国公民的相关数据）、相关政府意见（例如要求相关公司每次进行数据提供时均向司法部发送副本或是视情况在更短的周期内审查协议的执行有效性），从而允许协议在具体执行有所区分摆脱“一刀切”的弊端以吸引印度、巴西、韩国等对现有信息披露机制不满且相关请求量增长较快国家的加入，并投入更多的资源用于协议谈判，以扩大其影响力并促进全球数据治理的一致性。此外，由于CLOUD法案明确规定获得签署协议的资格之一是作为《布达佩斯公约》的成员，因此更广泛的协议推广也能促进有关公约的签署。

第二，美国政府应建立有效的评估机制，确定协议是否有效消除了合法调查的不必要障碍，改善或至少防止人权方面的倒退。这将有助于美国政府制定改进协议的相关方案，或是研究并发展其他类似机制；使得非政府组织和学者评估相关进程；并帮助国会了解和审查协议执行情况。目前司法部在相关网页上发布了关于谈判、协议和官方沟通的信息，但没有公布具体的数据请求数量或数据类型，英国政府也披露了部分信息但缺乏细节。需要注意的是，CLOUD法案允许相关公司在接到有关国家请求后在不通知美国政府的情况下提供数据，但没有禁止相关公司向司法部发送一份具有更详尽信息的报告。目前签署的协议均要求双边政府提交年度报告并提供基于协议而传输的汇总数据情况，美国与英国间的相关报告已经编写并完成交换，只是可能仍在审查中而尚未公开，既然CLOUD法案并未要求相关报告情况应该保密，司法部应当推动对协议实际运用情况的相关信息、协议年度报告和协议更新报告的公开，即使有充分的理由不全面公开，也应该考虑发布关于协议如何运作的定性和定量数据的摘要。此外，收到请求的有关公司也应该在其透明度报告中发布他们收到的CLOUD法案下请求数量以及对应国家，但关键的信息公布应该是来自外国政府的请求总数和类型统计，而不单单是每个提供者收到的请求情况。

第三，美国政府应制定相关机制检测和应对协议的不当使用。这既是因为扩大协议应用范围并附加条款限制后予以执行落实的必然，也是因为相关国家可能在签署协议后自行修改立法而破坏协议签署的基础。例如建立一套美国公司向美国司法部报告的程序，以便司法部对有关国家进行警告或暂停协议执行，或在协议中约定一段时间后对执行情况予以审查以决定协议是否延续。目前，与英国和澳大利亚的协议都允许相关公司向发出请求的外国政府提出初步的反对意见；如果反对意见没有得到解决，相关公司可以引入本国政府，以便两国政府进行协商解决；现有的协议也并没有禁止相关公司在提出异议的同时就通知本国政府。

总的来说，报告总结了CLOUD法案的背景、目的和历程，介绍了协议的目前状况和巨大潜能，并提出了释放协议潜能的具体建议，真实地反映出当前美国在加强跨境数据协作方面的重点与未来方向。

参考来源：

1.Untapping the Full Potential of CLOUD Act Agreements，https://www.csis.org/analysis/untapping-full-potential-cloud-act-agreements；

2.18 U.S. Code § 2523 – Executive agreements on access to data by foreign governments，https://www.law.cornell.edu/uscode/text/18/2523；

3.Agreement between the Government of the United States of America and the Government of the United Kingdom of Great Britain and Northern Ireland on Access to Electronic Data for the Purpose of Countering Serious Crime，https://www.justice.gov/d9/pages/attachments/2019/10/07/us-ukcloudagt10.3.2019-withsidenotes.pdf；

4.AGREEMENT BETWEEN THE GOVERNMENT OF THE UNITED STATES OF AMERICA AND THE GOVERNMENT OF AUSTRALIA ON ACCESS TO ELECTRONIC DATA FOR THE PURPOSE OF COUNTERING SERIOUS CRIME，https://www.justice.gov/d9/pages/attachments/2022/01/25/usa-and-australia-12152021.pdf；

5.The CLOUD Act and Transatlantic Trust，https://www.csis.org/analysis/cloud-act-and-transatlantic-trust；

6.The CLOUD Act, Explained，https://www.orrick.com/en/Insights/2018/04/The-CLOUD-Act-Explained

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。