魏书音
2018年3月23日,美国总统特朗普签署了2018年综合拨款提案,其中包括《澄清境外数据合法使用法案》(Clarifying Lawful Overseas Useof DataAct,CLOUDAct),明确了美国执法机构对网络运营商的数据调取权具有域外效力,并附之相应的国际礼让原则,同时设立了外国政府从美国调取数据的机制。
CLOUD Act发布背景及缘由
美国政府访问网络服务提供商存储的数据,通常依据《电子通信隐私法》(ECPA)第二篇《存储通信法案》(SCA)的规定进行,调取数据需要有法官发布搜查令或特别的ECPA法庭命令,或者政府向提供者发出有效的传票。2013年,美国司法部将微软公司诉至法院,因微软拒绝提供位于爱尔兰数据中心的数据,美国联邦第二巡回法院在判决中认定,根据SCA,通过搜查令要求网络运营者提供数据的规定不适用于境外,推翻了美国政府按照对网络运营商主体的控制权而非数据存储位置来确定管辖权的辩护,确认以数据存储位置作为判断数据管辖权的标准。
当数据没有存储在美国时,美国执法部门一般依靠三种途径访问其他国家存储的数据:条约、协定、警方间的合作。其中,最主要的途径是法律援助条约或协定(MLATs),美国有63个国家的MLATs,但这些MLATs并不能满足现有跨境调取数据的执法需求。一是这些MLATs并非普遍覆盖,无法调取在没有条约或协议国家存储的数据。二是繁琐的程序调取导致过程缓慢,无法满足快节奏数据环境下案件调查和证据留存的需求。比如,MLATs请求必须经过多个级别的外交和行政机构进行审查。三是能否调取数据由接收请求的国家自行决定,加大了跨境数据调取的不确定性。四是美国司法部没有足够的资源对来自外国的MLATs请求进行有效处理。据统计,美国政府平均需要10个月才能完成MLAT请求,导致外国请求长期积压。
数据是人类社会生存和发展的基础性战略资源,大国之间新一轮的竞争,在很大程度上就是通过大数据来增强对世界局势的影响力和主导权。国家间围绕数据占有和利用的博弈日趋激烈,已设置多项政策防范美国的监控和数据垄断。一是各国通过强制数据本地化存储、实施强制性反加密制度等,加强对数据的控制权。在棱镜门事件之后,为防范美國的数据监控,很多国家都不同程度地要求在其境内从事业务的网络运营商对数据进行本地化存储,或是在本地设置商业机构,或在境内设置或使用本地数据中心,或是在本地存储某些数据或此类数据的副本。本地化存储政策打破了美国对数据控制的优势和支配地位。另一些国家则是设置强制性反加密制度,例如,强制性后门,为数据的实时拦截提供便利。二是不少国家通过单方面主张域外管辖权获取境外数据。英国、巴西和其他国家单方面声称,它们有权迫使在其管辖范围内的互联网服务提供商提供存储在其他国家司法管辖区的电子邮件和其他私人通信,而无需考虑目标的位置或国籍。
CLOUD Act维护美国数据霸权的全新制度框架和标准
CLOUD Act规定,无论数据是否存储在美国境内,服务供应商均应按照法案要求,对其所有、监护或控制的数据进行保存、备份和披露通信内容或记录等。此规定打破了一直以来以数据位置作为数据主权判断标准的框架,重新确立了以网络运营商控制权为标准的全新框架,而美国拥有全球最大的互联网巨头,具有最广泛的全球用户和强大的数据收集、挖掘和分析的技术优势。以管辖的网络运营商为数据主权判断标准,一是为美国跨境数据调取创造了优势地位。不仅为美国在全球范围内执法行动提供了最大限度的便利,而且打破了原本双边或多边司法援助机制所建立的平等框架,以美国互联网产业优势压制其他国家执法权,并增加了网络执法合作领域的话语权和标准制定权。二是通过对抗数据本地化存储政策来维护其对数据资源的掌控权。以数据位置作为司法管辖权的判断标准,促使本地化存储政策广泛施行,使得美国互联网公司不断将数据转移到其他国家,美国很可能失去对全球数据资源的主导权,而以网络运营商控制权为标准,则打破了本地化存储的保护效力,延伸“臂长”加大了控制力。三是通过加强对美国互联网巨头的控制权,以维护其对全球的监控能力。棱镜等监控计划已经使得美国互联网公司面临信任危机,在别国市场面临准入困境,如果继续以数据位置作为管辖权标准,将促使互联网公司在美国境外建立数据中心,逐渐摆脱美国政府控制,由此美国将失去全球监控的重要工具。
CLOUD Act还将创建一个用于外国政府从美获取数据的新通道,即与符合要求的国家签署跨境数据请求的双边和多边执行协议,这一协议不受司法或行政复审的制约,对繁琐的司法援助程序进行了简化。但是,这一程序必须满足一系列严格要求,并经过认证和审查。这些标准和要求以美国理念为出发点,其规定也较为笼统,实质上并非一个完全便捷和畅通的渠道。
为了缓和调取数据的域外效力与其他国家法律产生冲突的问题,CLOUD Act设置了法律程序的礼让原则。提供电子通信服务的供应商,在被要求根据法案发布的法律命令披露订阅者或用户的有线或电子通讯内容时,在满足一定条件下可以申请修改或撤销法律议案,但是撤销条件极为苛刻。
一是撤销的唯一理由只能是与外国政府有法律冲突,且客户或订户不是美国公民,也不居住在美国。二是只有法院可以适当修改或撤销法律命令,且需要根据利益衡量结果来决定法律程序是否应该被修改或撤销。三是以美国利益为优先考量因素,即使与外国法律具有冲突,因美国利益等因素,法院也可拒绝撤销。这些礼让原则范围十分有限,而且因为美国利益衡量等模糊标准赋予法院过于宽泛的自由裁量权,并不能减缓强制调取境外数据产生的国家间法律冲突。比如,2018年5月生效的欧盟《通用数据保护条例》规定,如果第三国要求数据控制者或者处理者调取数据信息,只能通过有效的国际条约才能执行。
应对美国数据霸权的策略
在国家战略层面,应加强数据主权保护的顶层设计数据的流动性、可复制性等特性,使其不能完全适用于传统国际法的主权原则。
在国际合作层面,应大力推动互联网执法国际协作目前,国际司法协助程序繁杂缓慢且不够通畅,无法有效应对互联网时代的跨境犯罪问题,对各国政府的执法带来严重阻碍。
在法律层面,应完善数据跨境调取方面的相关制度。目前,我国还没有关于数据跨境调取方面的专门制度,需要进一步完善相关规则,有效应对外国政府对我国数据的肆意调取。