收稿日期：2020-05-14

作者简介：郑琳（1990-），女，博士，讲师，研究方向：信息资源管理、信息法规与政策。

摘 要：[目的/意义]分析《澄清海外合法使用数据法》，明确法案出现的背景和核心内容，分析法案所带来的影响与启示。[方法/过程]采用文献研究、内容分析等方法对法案内容进行剖析，包括法案出台背景、主要内容、将带来的影响以及为我国带来的启示，并提出针对性建议。[结果/结论]《澄清海外合法使用数据法案》将对数据控制者、数据权利人产生深远影响，将与现有数据保护法案产生法律冲突，对我国数据保护法案和跨境数据获取提出了更高的要求。

关键词：美国;澄清海外合法使用数据;跨境数据获取;数据保护

DOI：10.3969/j.issn.1008-0821.2021.01.015

〔中图分类号〕G251 〔文献标识码〕A 〔文章编号〕1008-0821（2021）01-0130-07

U.S.As Clarifying Lawful Overseas Use of

Data Act and Its Influences and Implications

Zheng Lin

（College of Social Science，Yangzhou University，Yangzhou 225008，China）

Abstract：[Purpose/Significance]By analyzing the Clarifying Lawful Overseas Use of Data Act，the paper aims to clarify the acts emergence background and core content points，put its influences and implications.[Method/Process]The paper used literature review method and content analysis method to analyze the laws emergence background，core content，influences and implications.[Result/Conclusion]Cloud act may bring far-reaching effects to data controllers and holders，it may conflict with existing data protection laws，and put challenges to our countrys data protection laws cross-border data access laws and policies.

Key words：America;Clarifying Lawful Overseas of Data Act （CLOUD Act）;cross-border data access;data protection

《澄清海外合法使用数据法》（英文全名Clarifying Lawful Overseas Use of Data Act，以下简称CLOUD法案）是美国于2018年3月份签署生效的一部联邦法案，该法案的出台打破了以往跨国数据类证据调取过程中遵循的数据属地管辖模式，构建了一套全新的以数据控制者实际数据控制权限为衡量依据的标准框架。CLOUD法案承认他国政府获取存储于美国境内数据证据的权利，并对数据控制者申请撤销和国际礼让原则等内容进行了规定。不过，“适格政府”概念的提出、严格的撤销和国际礼让标准以及仓促的立法程序都使得这部法案自出台以来就备受争议，尤其是与以欧盟GDPR（General Data Protection Regulation，通用数据保护条例）为代表的数据保护法案之间的法律适用矛盾，从根源上反映了数据跨境和数据本地化这两种不同数据政策之间的冲突与博弈。本文通过对CLOUD法案的立法背景及核心内容进行分析，试图明确其为数据权利人、数据控制人、现有数据保护法律体系等不同方面所带来的深刻影响与启示，以期为今后相关研究提供有益参考。

1 立法背景

1.1 导火索：FBI与微软的法律纠纷

CLOUD法案出台的直接原因是美国联邦调查局（以下简称FBI）与微软公司之间围绕跨国数据证据調取产生的法律纠纷。在2013年的一项毒品走私案件调查过程中，FBI要求微软向其提供一名美国公民存储于微软服务器中的电子邮件，但是微软公司以该电子邮件内容存储于爱尔兰而非美国境内的数据库中为由拒绝了FBI的数据调用指令，之后，案件一路升级至美国最高法院。在处于下风的情况下，微软公司辩称法院不应当将关注点聚焦于此案，而是应该首先对《存储通信法案》（Stored Communication Act，简称SCA）进行修改，因为FBI要求调用数据的法律依据来自SCA，而SCA自1986年生效后就再也没有修改过了，尽管之后的30年是互联网产业发展的剧变期。

事实上，美国政府早就意识到有必要对SCA进行修改，早在CLOUD法案之前，2015年出台的《执法部门获取海外存储数据法案》[1]（Law Enforcement Access to Data Stored Abroad Act，简称LEADS法案）和2017年出台的《国际通信隐私法案》[2]（International Communications Privacy Act，简称ICPA）都曾试图对SCA进行修改，但由于种种原因最终未能获得通过。直至微软案后，美国政府加紧了修法进程：CLOUD法案于2018年2月份提交至国会，为加速审批，该法案被打包放进待批准的《2018年度综合拨款法案》中，随着美国总统特朗普于2018年3月份签署批准了《2018年度综合拨款法案》，CLOUD法案也正式生效，成为美国立法史上从提案到正式生效历时最短的法案之一。

1.2 现实需求：缺乏有效手段保证数据跨境

一般而言，美国法律体系下对数据证据的跨境调用可以通过两种途径实现，即调查委托书（Letters Rogatory，简称LB）和司法互助协定（Mutual Legal Assistance Treaties，简称MLATs）。其中，LB主要发生在两国的法院之间，是委托法院向受托法院提出的可由政府和诉讼当事人自由处理的请求。但是，由于LB对受托法院和诉讼当事人并不具有强制性法律效力，因而一直以来都被看作是获取境外数据证据的最低效与不可靠的方法。MLATs各国政府在刑事案件侦查中确保跨境证据共享的简化程序和条约，由美国司法部和联邦法院审查通過。MLATs能够从一定程度上弥补LB的不足，但是仍存在以下问题：首先，MLATs下的数据证据调用申请需得到数据存储国家政府的批准，这大大增加了数据证据调用结果的不确定性，尤其在各国数据保护政策收紧的前提下，通过MLATs获取数据证据似乎并不是一个明智选项;其次，当前与美国达成MLATs的国家一共有63个[3]，虽然数量可观，但是覆盖程度依然有限，无法适应数据全球化的发展态势;最后，MLATs无论从申请、获批到执行所需流程都相当繁琐、费时费力，需要配置大量资源保障。美国通过MLATs获取他国数据证据的同时还要应对来自他国的调用请求，分身乏术。CLOUD法案之前，美国政府的跨国数据证据调用主要渠道就是MLATs，如今，CLOUD绕开了MLATs，重新界定了数据证据调用权限和适格政府标准，能够有效解决MLATs的短板，为美国政府获取存储于境外的数据证据提供更加直接、有效的方式，这也是该法案得以快速制定并签署生效的主要原因之一。

1.3 隐含目的：拓展美国政府数据调用权限

数字经济背景下，数据资源已经成为新型的“黄金”和“石油”，具有非常重要的战略性价值。近年来，美国一直都是数据全球化的坚定支持者，其本质是试图借助其在互联网行业的先发优势抢占数据资源。2013年棱镜门事件曝光后，许多国家启动修法进程，加强对本国数据，尤其是数据跨境的监管力度，支持数据本地化的声音不断出现，根据美国信息技术和创新基金会的统计报告，当前已有36个国家和地区出台了数据本地化相关法案和政策[4]。为此，美国频繁发声，抨击数据本地化存储是一种新型的贸易壁垒。不仅大力推动APEC（亚洲太平洋经济合作组织）的跨境隐私保护准则（CBPR），要求成员国放弃本国原有的高数据保护水准，转而低就于CBPR的低保护水平，促进数据跨境流动，还曾在其主导的《跨太平洋伙伴关系协定》（Trans-Pacific Partnership Agreement，简称TPP）中规定要确保数据跨境流动，不将数据本地化作为允许缔约方企业进入本国市场的前提条件[5]。虽然之后特朗普政府退出TPP，但是美国拓展数据权限的意图却并未改变。在如此敏感的背景下，CLOUD法案的出台不免令人怀疑其是美国政府扩展数据资源调用长臂管辖范围的一种尝试。

2 核心内容

2.1 法律主体与范围

关于CLOUD法案的法律主体，需要明确两个核心问题，即法案适用的主体范围和数据资源范围。针对第一个问题，在103节中，CLOUD法案将其法律主体定义为电子通信和远程计算服务提供商，而关于电子通信和远程计算服务提供商的定义则引述自《美国法典》第18条。在第18条2510款中，规定“任何在州际或国际之间通过电线、无线电、电磁、光电子或光学系统中，全部或部分传输任何性质的符号、信号、文字、图像、声音、数据或情报的服务商都属于电子通信服务商的范围”[6]。而在第18条2711款中，则规定“远程计算服务提供商为通过电子通信系统向公众提供计算机存储或处理服务的服务商”[7]。从上述两项定义中至少可以明确两点信息：首先，尽管CLOUD法案并未明确规定其法律主体是否包括境外服务提供商，但是引述自《美国法典》的定义却将境外服务商划入主体范围之内，这在实际操作中为法案的执行预留了一定程度的灵活解释空间。除此之外，CLOUD法案还在礼让分析的内容部分规定，法官在做礼让分析时需要考虑到服务提供商与美国之间的关系以及这种关系的性质和程度，而如果法律的主体特指美国境内的服务提供商，其与美国的关系及性质是非常明晰且不需考虑的，上述规定似乎显得多余。因此可以合理推断，CLOUD法案在制定过程中，实质上已经将那些虽然并未于美国境内注册，但是在美国境内有实际存在的服务提供商也归入了主体范畴之内。

针对第二个问题，根据第2项定义可知，CLOUD法案的法律主体范围限制在那些面向公众的服务提供商，也就是说，终端用户的个人数据是CLOUD法案调用的主要对象，非个人数据并不在CLOUD法案的调用对象之内。进一步讲，由于CLOUD法案核心目的是为美国政府获取跨国数据证据提供法律保障，其所调取的数据资源不仅应是个人数据，还必须是可识别性数据资源。这一点从当前CLOUD法案的数据证据调用许可中可以得到印证：现有数据证据调用许可中，典型的数据需求为特定日期内，特定个人账户中的电子邮件信息、用户身份信息、地址簿、联系人列表、图片文件以及通讯记录等。

2.2 司法管辖权的延伸

CLOUD法案规定，无论用户的数据是否存储在美国境内，只要服务提供商对用户数据具有实际控制或管辖权，服务提供商就有义务按照法案规定保存、备份甚至是披露用户数据。这一规定极大地延伸了美国的数据司法管辖权范围：一直以来，判断数据司法管辖权限的主要标准是数据的存储位置。以上述微软案为例，尽管微软公司位于美国，但是由于其将用户的数据存储于爱尔兰而非美国境内的数据库中，因而目标数据的司法管辖权不受美国制约。但是，根据CLOUD法案的规定，尽管用户数据存储于爱尔兰，但是由于实际控制数据的微软公司位于美国境内，微软就有义务向美国政府提交用户数据。

可见，CLOUD法案实际上是重新树立了一个数据司法管辖权的判断标准，将已有的属地管辖转化为现有的数据控制范围管辖，这从根本上扩大了美国的数据主权范围和效力。一方面，属地管辖到数据控制范围管辖的转变十分有利于美国的互联网产业发展优势地位：美国拥有全球规模和影响力最大的一批互联网公司，从微软、谷歌到脸书等一大批企业掌握着规模难以计量的用户数据，这些企业遵循CLOUD法案为美国政府提供的用户数据量将是任何国家都难以企及的;另一方面，CLOUD法案是对当前世界范围内主要国家数据本地化政策的一个有力冲击。数据本地化是当前国家的主要数据主权保障策略之一，强调数据的存储、备份、处理和传输等操作必须发生在本国境内，部分国家甚至还以数据本地化作为外国互联网企业的准入条件。CLOUD法案的出台破除了数据本地化政策所带来的数据证据跨国调用屏障，有效扩大美国政府可获取的数据资源范围。

2.3 复议与礼让原则

CLOUD法案承认服务提供商申请或变更法律程序的动议，但是需要满足下述两个条件：首先，要求数据权利人不是美国公民或不居住于美国;其次，数据披露行为会导致服务提供商面临违反外国政府法律的实质性风险。满足上述条件的情况下，动议需要在进入法律程序之后的14天之内提交或经允许后适当延长期限。撤销和变更的裁决只有法院有权利做出，而法官在确认撤销和变更动议都符合上述条件的过程中，又需要充分衡量该个案的全部情况，包括美国和要求数据调取的政府实体的利益、外国政府利益、服务提供商如为满足要求可能受到的处罚的可能性、性质以及严重程度、用户或客户与美国关系的性质与程度、服务提供商与美国的关系与程度等多方面因素。

上述撤销动议和礼让分析存在的一个问题是衡量的标准过于严格，在衡量和判断的过程中需要考虑的影响因素太多，这将导致判断过程中难以避免的人为和主观因素影响，进而赋予美国政府过于宽泛的单边裁量权，很难实现复议和礼让最初的公平目的。尤其在当前世界各国数据保护政策收紧的前提下，CLOUD法案的复议与礼让原则并不能有效缓解与别国数据保护法案之间的法律冲突。另一个问题是部分衡量标准过于模糊，例如，法案对于服务提供商因违反外国政府法律所带来的实质性风险到底应该如何确定，所谓实质性风险的判断依据和评价标准既没有说明，也没有提供可供参考的法律渊源。

3.4 “适格政府”标准

宏观来讲，CLOUD法案对于数据证据的调取包含两个层面的意义：一个层面是美国政府从他国境内调取数据证据，另一层面则是他国政府从美国境内调取数据证据。针对他国政府从美国境内调取数据证据的情况，CLOUD引入了“适格政府”的概念。粗略来讲，“适格政府”应符合以下标准：首先，“适格政府”应给予美国政府能够直接从其境内调取用户数据证据的权限;其次，“适格政府”所调取的数据证据类型必须满足数据权利人非美国公民和居民的条件;再次，对于调取的数据证据类型和范围应有严格限制;最后，“适格政府”需与美国签订行政协议，达到一定的人权和隐私保护标准，如：能够对公民的隐私与公民自由提供实质性、程序性的保护;应采取有效措施最小化对美国公民的数据采集、存储以及传播;不得应他国政府要求获取数据并提供给他国政府;不得与第三方政府共享任何数据等。从上述“适格政府”标准中不难看出，美国政府对于外国政府获取存储于美境内的数据采用了十分严格的审核标准，这些标准综合涵盖了政策、法规、技术甚至是意识形态等各个层面，并就外国政府获取美国公民以及与美相关人士的数据证据做出了严格限制，甚至还保留了对适格国家的最终解释权。其客观效果就是可以在获取跨境数据证据的同时能够较好地保证本国对数据的控制权。

3 CLOUD法案的影响与启示

从积极意义来看，CLOUD法案的出臺确实为解决数据证据跨境流动问题做出了尝试，并且相较于其前身SCA来讲也具有更大程度的法律确定性，解决了SCA遗留下的立法滞后问题，在法律执行层面也具有更大的可操性。然而相比之下，其存在的问题似乎更为突出：从法案自身来讲，自出台之日起法案在立法内容方面就不断受到质疑，其对于数据控制者、数据权利人和当前各国的数据政策与治理框架也都可能产生深远的作用。

3.1 法案自身存在的问题

从立法程序上讲，从2018年2月份提案到3月份签署通过，CLOUD法案的立法进程迅速得令人侧目，不仅省去了参众两院的听证环节，还被打包塞入待批准的《2018年度综合拨款法案》中，如此仓促的举措与应有的立法程序严重不符，结合“微软案”中，同样的法律问题却备受争议，证明数据证据的跨境调取权限问题仍然值得商榷。再结合当前全球数据保护与本地化的大背景，CLOUD法案的快速出台很难不让人感到微妙，以至于有学者将CLOUD法案比作是一项“走了后门的法案”（Back-door Piece of Legislation）[8]，并质疑CLOUD法案的最终目的是为了扩大美国在数据资源获取方面的长臂管辖权范围[9]。

从立法基础上讲，MLATs是当前各国之间获取跨境证据的主要渠道，最早能够追溯至1896年于海牙缔结的《民事诉讼程序公约》，之后，在1961年的《取消要求外国公文书认证公约》、1965年的《关于向国外送达民事或商事司法文书和司法外文书公约》等国际公约中都得到了认可，具有较为广泛的法律和国际基础。与此同时，MLATs在促进各国之间司法界的国际交往、巩固国际之间相互尊重和互利等方面也发挥着重要作用。CLOUD法案试图绕过现有的MLATs体系，自主构建一个全新的国际之间获取跨境数据证据的标准框架，无论从法律渊源还是国际认可层面上来讲，都是不被提倡的[9]。

从法律内容上来讲，法案似乎一定程度上忽视了数据控制人和数据权利人的应有权利。对于数据控制人，CLOUD法案并没有为其提供足够的法律救助。尽管与之前的SCA相比更为明确，也赋予了数据控制人申请撤销或变更调令的权利，但是这一权利的约束条件过于严格，范围和幅度都十分有限，从这一层面上来看，数据控制人在拒绝数据调用指令方面的操作空间和余地其实是被大大缩小了。更主要的是，CLOUD法案与其他国家数据保护法案之间的法律冲突将使服务提供商不得不面临一个“选边站”的问题，尤其对于跨国的服务提供商来讲，很难在二者之间寻得折中方案。对于数据权利人来讲，CLOUD法案缺乏一个程序化、组织化的标准以保障数据权利人的数据安全与隐私。并且，CLOUD法案缺乏有关于“通知”的规定，不管是对数据存储地还是对数据权利人的通知，这与现有个人数据保护法案的相关规定背道而驰。另一方面，CLOUD法案从性质上来说更偏向于一部实体法，缺乏相应的程序法作保障，对于数据调取的时限、类型、范围等内容缺乏细节性规定，虽然这在一定程度上增加了法律操作过程中的模糊性和解释上的灵活性，但是却降低了整部法案的公开度与透明度。最为重要的是，现有法案中并未对数据证据调用授权以及授权之后的监督机制作进一步解释，这加剧了侵犯个人数据权益的风险，将强化来自数据权利人方面对于数据安全和个人隐私的关切。

3.2 与他国数据保护法案之间的法律冲突

从司法管辖权角度来说，CLOUD法案与现有数据保护法案存在冲突，其中最具代表性的法案为欧盟的数据保护法案GDPR。GDPR是对欧盟于1995年出台的《个人数据保护指令》（Data Protection Directive，简称Directive 95/46/EC）的完善，目的是为欧盟各成员国提供更具凝聚力、普适性和平衡性的个人数据保护法律框架，自出台之日起就被学界和业界认为是史上最为严厉的数据保护法案，最高罚款金额将达到企业全球范围内收入的4%或2000万欧元（取最高值）。当前，欧盟认定的符合上述标准的国家主要为欧盟成员和欧洲经济协会成员国，美国并不在其列。因此，根据GDPR第48条规定，美国想获取存储于欧盟的用户数据，只能通过MLATs进行。为此，欧洲数据保护委员会（the European Data Protection Board，简称EDPB）在2018年2月发布的《关于GDPR第49条的减损指南》中特地强调，在存在类似于MLATs类的国际协议的情况下，欧盟公司应该拒绝来自于第三方国家的直接数据请求，而将该数据请求转交给现有的MLATs程序[10]。CLOUD法案作为境外法案，试图绕过MLATs直接获取位于欧盟的数据，很明显是不具有法律效力的，同理可推其他国家的数据保护法案。为解决CLOUD法案与GDPR的冲突问题，EDPB和欧洲数据保护主管（European Data Protection Supervisor，简称EDPS）于2019年7月10日发布了一项针对CLOUD法案及其影响的联合评估报告，该评估报告仔细分析了CLOUD法案与现有个人数据保护法律框架之间可能产生的冲突和影响，认为应通过协商的方式解决2部法案之间的法律冲突[11]。2019年2月份，就在CLOUD刚刚提交给美国国会之后，欧盟委员会即通过了这一建议，EDPS于同年4月份發表了关于这一主题的正式意见，6月份安理会通过了开启谈判的授权决定，截至目前谈判尚未完成，谈判结果尚不可知。

3.3 数据本地化与数据跨境获取的博弈

从全球范围内看，CLOUD法案的出台可能一定程度上加重各国对数据保护议题的担忧。根本来讲，CLOUD法案与现有数据保护法案的冲突可以看作是不同国家之间数据政策与治理观念的矛盾，美国对数据全球化理念的支持实质目的是获取全球数据资源，而得益于其在第一轮数字化浪潮中所积累的产业与技术优势和强大的话语权，势必会对他国的数据保护和治理体系产生不利影响。为此，甚至有学者将美国与他国围绕数据获取所产生的矛盾比喻为《圣经》中David与Goliath之间的对决[7]。CLOUD法案的另一个影响是其有可能会为其他国家在数据跨境获取方面的立法提供不受欢迎的先例，使那些有跨境数据需求的国家寻求仅仅基于该国的司法权威而强制调用存储在世界任何地方的数据。事实上，这种情况已经出现了：英国于2019年2月出台的《犯罪（海外生产订单）法案》（Crime（Overseas Production Orders）Bill，简称OPO）就可以看作是英国版的CLOUD法案，该法案允许英国执法部门向法院申请命令，以直接从非英国境内的通信服务提供商处获取用户数据。与CLOUD法案相似，OPO也试图创建一个国际合作协议，目前，英国正与美国就该协议进行协商。

3.4 对我国的影响与对策

如上文所述，虽然“微软案”是CLOUD法案出台的直接原因，但该法案的出台绝非偶然，而是一种必然：其不仅是跨境数据调取依据在近些年来的最新转向，也是数据跨境获取概念在司法领域中的一个具体落实，更是数据本地化和数据跨境获取博弈之后的一个最终走向。在此背景下，我国也应思考这一法案可能对自身产生的影响，并采取相应措施加以应对。

一方面，CLOUD法案的出台迫使我国数据安全保护相关法案加快完善脚步。尽管我国于2016年11月7日发布，并于2017年6月1日起执行的《中华人民共和国网络安全法》第37条规定了“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”，但是并没有就外国政府通过数据控制者获取存储于中国境内的数据这一情况加以规定。这将导致我国在数据获取问题上处于一种尴尬位置：我国不属于CLOUD法案规定的“适格政府”行列，无法通过CLOUD法案获取存储于美国境内的数据，然而，我国数据保护立法的不完善却使得存储于中国境内的数据资源向美国政府城门洞开，《网络安全法》也随着CLOUD法案的出台而丧失了实际意义。与此同时，由于CLOUD法案的司法救助中提到，服务提供商可以以“数据披露行为会导致服务提供商面临违反外国政府法律的实质性风险”为由申请撤销动议，我国完善相应规定禁止国外政府通过服务提供商获取存储于境内的数据合情合理。CLOUD法案带来的另一项启示是我国应尽快出台和完善跨国数据调取相关法案和规定。数据全球化背景下，数据跨境调取的需求将越来越多，如何在平等互利的基础之上有效获取跨境数据这一点非常重要。针对这一问题，我国于2018年出台了《中华人民共和国国际刑事司法协助法》，法案中规定了我国向外国政府请求提供的证据类型中涵盖数据，但是由于该法案仅适用于国际刑事司法领域，并且关于数据的规定仅见于法案第4章第4条，并不能看作是一部完整意义上的数据跨境调用法案，并且该法案也无法摆脱司法协助辐射范围有限、程序繁琐等缺陷，更加完善并高效的方式仍然亟待提出。

参考文献

[1]Congress.Gov.S.512-Law Enforcement Access to Data Stored Abroad Act[EB/OL].https：//www.congress.gov/bill/114th-congress/senate-bill/512/text，2019-03-21.

[2]Congress.Gov.S.1671-International Communications Privacy Act[EB/OL].https：//www.congress.gov/bill/115thcongress/senatebill/1671？r=1&q=%7B%22search%22%3A%5B%22International+Communications+Privacy+Act%22%5D%7D，2019-03-21.

[3]ITIF.How Law Enforcement Should Access Data Across Borders[EB/OL].http：//www2.itif.org/2017-law-enforcement-data-borders.pdf，2019-04-05.

[4]ITIF.Cross-Border Data Flows：Where Are the Barriers，and What Do They Cost？[EB/OL].https：//itif.org/publications/2017/05/01/cross-border-data-flows-where-are-barriers-and-what-do-they-cost，2019-03-21.

[5]Office of the United States Trade Representative.TPP Full Text[EB/OL].https：//ustr.gov/trade-agreements/free-trade-agreements/trans-pacific-partnership/tpp-full-text，2019-03-21.

[6]Office of the Law Revision Counsel United States Code[EB/OL].https：//uscode.house.gov/view.xhtml？req=（title：18 section：2510 edition：prelim） OR （granuleid：USC-prelim-title18-section2510）&f=treesort&edition=prelim&num=0&jumpTo=true，2019-03-21.

[7]Office of the Law Revision Counsel United States Code[EB/OL]https：//uscode.house.gov/view.xhtml？req=（title：18 section：2711 edition：prelim） OR （granuleid：USC-prelim-title18-section2711）&f=treesort&edition=prelim&num=0&jumpTo=true，2019-03-21.

[8]Syed H，Genc S Y.European Union General Data Protection Regulation（GDPR）and United States of Americans Clarifying Overseas Use of Data（CLOUD）ACT：David Versus Goliath[J].Prodeecings Book，128.

[9]CCBE.CCBE Assessment of the U.S.CLOUD Act[EB/OL].https：//www.ccbe.eu/fileadmin/speciality_distribution/public/documents/SURVEILLANCE/SVL_Position_papers/EN_SVL_20190228_CCBE-Assessment-of-the-U-S-CLOUD-Act.pdf，2019-03-21.

[10]EDPB.EDPB Guidelines 2/2018 on Derogations of Article 49 Under Regulation 2016/679[EB/OL].https：//webcache.googleusercontent.com/search？q=cache：oliq5TxHM2IJ：https：//edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf+&cd=4&hl=zh-CN&ct=clnk&gl=ph，2019-03-21.

[11]EDPB.Initial Legal Assessment of the Impact of the US CLOUD Act on the EU Legal Framework for the Protection of Personal Data and the Negotiations of an EU-US Agreement on Cross-border Access to Electronic Evidence[EB/OL].https：//webcache.googleusercontent.com/search？q=cache：zSrie5yAd6MJ：https：//edpb.europa.eu/sites/edpb/files/files/file2/edpb_edps_joint_response_us_cloudact_annex.pdf+&cd=5&hl=zh-CN&ct=clnk&gl=jp，2019-03-21.

（責任编辑：郭沫含）