张春飞 杨筱敏

(中国信息通信研究院政策与经济研究所，北京 100191)

0 引言

2020年7月16日，欧盟法院在“Schrems II”案件中判定欧盟与美国在2016年达成的用于跨大西洋传输个人数据的《欧美隐私盾》协议无效，因为美国的数据保护未能达到欧盟标准。该判决援引的核心论据是美国政府根据《外国情报监视法》第702条(下文简称“702条款”)和《12333号美国情报活动行政令》(下文简称“12333号令”)所开展的情报监视活动对数据主体权利造成潜在干扰，法院还提及斯诺登事件所披露的两个数据监视程序“棱镜计划”(PRISM)和“上游计划”(UPSTREAM)。为什么“702条款”和“12333号令”会对隐私盾协议的有效性产生这么大的影响？本文通过探究美国政府对电子数据的监视和调取制度以求找到答案。

1 不同执法目的下美国政府的电子数据调取体系概述

美国政府出于不同执法目的的电子数据监视和调取体系大体可分为两类：一般执法情形下的数据调取体系和以保障国家安全为目的的数据监视和调取体系，两种体系下美国的数据调取法律依据、程序、手段和可获取的数据范围有所不同。

1.1 一般执法情形下的数据调取体系

一般执法情形下的数据调取体系以《电子通信隐私法》(ECPA)为核心依据，该法共由三章组成，分别为《窃听法》《存储通信法》和《笔式记录器法》[1]。《电子通信隐私法》在明确禁止非法监听、保护公民通信隐私为一般原则的同时，也规定了为满足美国政府机构刑事调查、民事案件、国家安全等各类执法目的的例外情形，包括如何使用各类型的司法程序来向信息通信企业监听和调取通信内容、用户信息和通信记录等数据。《电子通信隐私法》制定于1986年，由于立法之时云计算等信息通信技术尚未兴起，因此没有考虑数据跨境流动的情形。2018年，为了解决大数据时代背景下政府执法机构跨境调取数据的实际困难，美国政府出台《澄清境外数据的合法使用法》(下文简称为“CLOUD法”)对《存储通信法》进行了重大修订，明确赋予美国执法机构出于保护公共安全、调查严重犯罪的目的调取境外数据的权力。

1.2 以保障国家安全为目的的数据监视和调取体系

基于国家安全的数据监视和调取体系主要建立在《外国情报监视法》和12333号令的基础上，《爱国者法》《美国自由法》等都曾对《外国情报监视法》进行过修订。《外国情报监视法》建立了一套满足于国家安全目的的情报数据执法体系，创设了专门的外国情报监视法庭(FISC)来批准情报部门的监视计划。目前，在执法中被广泛使用的是2008年通过的《外国情报监视法》第702条，该条款授权美国情报部门可以出于获取外国情报信息目的，在美国境内监视位于境外的外国公民的通信数据和内容，同时还规定了目标程序和最小化程序来确保监视仅针对外国公民，以减少对美国公民数据的附带收集。美国政府称，702条款对保障国家安全至关重要，能够提供恐怖分子的身份、计划、运行等信息，以及核扩散者和其他威胁美国的国外敌对势力的意图和能力的信息。例如，702条款收集的信息对于发现并破坏2009年一起针对纽约市地铁系统的炸弹袭击具有决定作用，并最终导致罪犯被逮捕和定罪。里根总统在1981年签署的12333号令，也是美国情报机构开展情报收集的主要授权文件之一。12333号令建立了美国情报收集的组织架构和授权，并且和702条款互为补充，美国国家安全局等情报机构根据该命令可在美国境外开展外国情报信息和数据收集。

2 一般执法情形下的数据调取体系

2.1 数据调取程序与范围具有较强的规范性

美国政府依据《电子通信隐私法》开展数据调取活动必须获得相关的法律文件授权，并且基本遵守一案一议的做法，因此充分考虑了公民权利并具有较强的规范性。依据《电子通信隐私法》，一般情况下政府需要通过法律文件(如传票、法院命令或搜查令)，才可要求信息通信企业披露用户数据。在各类法律文件中，传票的门槛最低，使用最广泛，政府可在未有法官审核下发出传票，但可获取的数据类型最少，例如，仅可调阅Gmail的用户注册信息、登陆IP地址和时间戳，而不能调取邮件标头信息和内容。政府机构可在刑事和民事案件中使用传票。法院命令的门槛居中，需通过法官审查取得，可获取的数据类型多于传票，例如，可获取电子邮件标头信息。搜查令的门槛最高，可获取的数据类型最多，例如可获取电子邮件内容等信息，政府机关须向法官提出申请，并举出更多证据证明搜查令的必要性和正当理由。法院命令及搜查令仅适用于刑事案件调查[2]。

2.2 美国政府对4家科技巨头的数据调取规模位居全球首位

根据谷歌、苹果、微软、脸书披露的全球政府数据调取的透明度报告，美国政府向这4家科技巨头调取的用户账户数量分别占其全球用户总数的46%、74%、36%和37%[3-6]，位居全球之首，且该调取数量一直在高速增长。以谷歌为例，2013年下半年美国政府请求披露的用户账户数量为18 254个，到2019年下半年，美国政府请求披露的用户账户数量增长为94 934个，6年增长了420%。谷歌、苹果、微软、脸书在收到美国政府的数据调取请求后会进行合法性评估，在确认请求符合法律规定后，才会根据请求提供数据。美国政府的执法请求得以遵循的比例相对较高，例如，谷歌近年来对美国政府的数据调取请求遵守比例大概在80%～95%之间，而对俄罗斯政府提出的数据调取请求遵守比例在0%～15%之间。

2.3 美国享有广泛的域外数据管辖权并在国际执法合作中居于主导地位

2018年通过的CLOUD法对《电子通信隐私法》的第二章《存储通信法》进行了修订，一方面授权美国执法机构有权调取受美国管辖的企业所拥有和控制的境外数据。数据范围并不限于美国公民的数据，在满足一定条件的情形下也可调取非美国公民的数据；可调取数据的企业范围也并不仅限于美国企业或总部在美国的企业，外国企业如果在美国提供业务并且与美国发生了充分的联系，也可能被要求提供境外数据[7]。

另一方面，CLOUD法授权美国政府与符合规定标准的“适格外国政府”签署双边执法协议，允许出于严重犯罪调查目的，一方执法机构跨境调取另一方国家的信息通信服务提供商的数据，以解决两国间的法律冲突问题。2019年10月，美英政府签署了首个CLOUD法授权下的跨境数据调取合作协定——《美英反严重犯罪电子数据访问协定》。从协定内容来看，尽管协定本身是基于互惠基础上达成的，但是正如美国司法部所说，由于很多数据由美国互联网企业持有，因此，外国政府的跨境合作需求比自身更大，从而造成协定中出现了一些不对等条款。例如，美国公民数据得到的保护要比英国公民更为严格，美国公民和永久居民无论是否在美国境内，英国政府都被限制收集其数据；而英国公民或永久居民一旦离开英国境内，美国政府则不受访问限制。同时，英国被要求采取最小化程序来确保最低程度附带收集美国公民的数据，而反之对美国并无该项要求。此外，数据跨境调取的关键环节决策权向企业属国倾斜，包括：对存在异议的数据请求命令是否可执行的决定权，对保障本国数据安全的目标化程序和最小化程序的批准权，以及对可能触及本国根本利益的数据使用的批准权等。由于美国互联网企业掌握着更多数据，这也意味着英国政府将更多地受到美国政府的制约。

3 基于国家安全的数据调取体系

3.1 不同立法授权下的数据调取范围有所不同但相互补充

出于维护国家安全和反恐的需要，美国政府可通过国家安全函(NSL)、《外国情报监视法》和12333号令进行数据调取和国外情报收集。国家安全函由联邦调查局 (FBI)依据《电子通信隐私法》等立法签发，无需获得法院批准，可以要求相关方提供有线或电子通信服务用户的“姓名、地址、服务使用时间以及本地或长途电话收费账单记录”。依据《外国情报监视法》，美国国家安全局可出于国家安全目的向国外情报监视法庭(FISC)提出在美国境内收集外国情报数据的申请。《外国情报监视法》的702条款使美国政府可以要求美国公司提供位于美国境外的非美国公民或非合法永久居民的账号相关信息及通信内容。而依据12333号令，美国国家安全局无需法院命令便可在境外收集通信元数据和内容。

3.2 数据监视和调取的授权程序和范围透明性不足，并缺乏实质司法监督和救济

尽管在普通刑事、民事领域，美国充分考虑了公民自由和隐私权利，但是美国政府在国家安全领域的数据监视和调取存在一定的宽泛性和不透明性，并受到美国许多人权组织的诟病。首先，美国总统根据宪法拥有开展情报监视活动的宽泛授权。美国宪法第二条授权总统担任海陆军总司令。根据该条款，美国总统有权在没有国会和司法监督的情形下开展电子监视。例如，在“9.11事件”发生后，布什总统以宪法第二条授权为由，命令国家安全局在无需获取司法授权的情形下对外国公民与境内美国公民的通信数据进行监视和收集。其次，美国政府开展的外国情报监视程序透明性不足并缺乏实质司法监督。如果在境外开展外国情报监视，属于12333号令的授权范围，完全依据总统或者联邦情报机构的指令和政策行事，无需任何形式的司法审查和监督。如果在境内开展外国情报监视，则属于《外国情报监视法》702条的授权范围，由外国情报监视法庭(FISC)按年度而非按个案对监视计划做出批准，年度计划里说明监视的数据类别(而非具体的目标个人的信息)[8]、目标和最小化程序，年度计划内容和FISC裁决默认都是保密的。FISC从1979—2019年间共批准了42 947项年度监视计划，仅拒绝了135项，其中123项是在2013年棱镜门事件爆发后予以拒绝的[9]。最后，由于监视程序的非透明性以及“国家秘密特权”原则的存在，即使是美国公民，要在美国法院挑战监视程序的合法性基本是不可能的，迄今仍未有民事诉讼对702条款和12333号令的监视行为起诉成功[10]。在Schrems II案件的判决当中，欧盟法院也提及，美国现行的立法中未给欧盟数据主体提供针对美国当局的可诉权。

与此同时，FISC作为监视计划的审查和监督机构，主要依赖于情报机构的自我报告来知悉违法监视行为，FISC也多次公开了相关违规行为，但并未采取有效的预防和制止措施。例如，2011年FISC首次获知“上游监视”计划的范围要比原先提交给其审查的更为宽泛，但仍允许该计划继续进行。

3.3 采用大规模的数据监视手段并存在过度收集数据的可能

2013年棱镜门事件爆发后，美国国家安全局实施大规模数据监听的“棱镜计划”进入公众视野。实际上，美国政府开展大规模数据监视的计划远不止于“棱镜计划”。根据美国多份官方、学者和媒体报道以及“Schrems II”案件的判决书，按照702条款开展的情报监视至少包括“上游计划”和“下游计划”(原“棱镜计划”)两种[11]，“上游计划”监视涉及对全球电信光纤骨干网的大规模数据监视、拷贝和搜索，合作企业为AT&T、Verizon等电信运营商；“下游计划”监视对象为谷歌、脸书、微软等互联网企业，政府识别出想要监视的账户，然后要求企业披露所有这些账户接收和发送的通信和数据。美国政府根据12333号令也开展了大量的大规模监视计划，例如，美国国家安全局每天收集数以亿计的移动电话位置记录，从个人电子邮件中收集数以亿计的通信录和地址簿等。美国所具备的大规模外国情报数据监视条件也是其他国家不可比拟的。由于美国在互联网和云计算领域具有全球领先地位，拥有与拉丁美洲、欧洲、亚洲三条最高的区域间互联网容量以及相对便宜的带宽价格，因而许多外国通信数据都会通过美国转接或存储在美国境内服务器上。

在实施大规模数据监视和收集的同时，由于美国法律及政策对情报信息和监视目的进行了宽泛的界定，例如《外国情报监视法》702条款界定的“外国情报信息”除了包含国家安全相关信息外，还包含任何与美国外交事务相关的信息，12333号总统令确定的情报收集目的是为了满足国家安全、国防、外交关系的决策需要，因此造成可能收集、保存和使用了大量与国家安全无关的信息。美国国会和人权组织多次要求情报机构披露被监视的美国公民通信数据，但是均遭到拒绝。

4 结束语

由上可见，美国基于普通案件的数据调取体系与基于国家安全的数据调取体系存在着较大的差异，前者更多地考虑了公民隐私等权利保护，具备较强的严谨性和规范性。而基于国家安全的数据调取体系，存在较多的不透明性和不规范性，正是其存在的这一特点，使得欧盟对隐私盾协定是否能充分保障欧盟公民的隐私权利进行了质疑。

目前，美国商务部和欧盟委员会正在就如何进一步增强欧美隐私盾保护框架进行讨论，其若要达成一致需解决的核心问题是，美国政府如何以符合欧盟法院期望的方式进行数据监视和调取体系的改革，即基于国家安全获取数据所造成的对隐私权的限制应是“必要且相称”的。而其中的关键环节又在于，美国政府如何改革对大型电信及互联网企业的大规模数据监视和收集计划。一旦两者难以达成一致，美国的科技巨头很可能需要将数据在欧盟境内进行本地化存储和处理。这对于目前正在与美国科技巨头争夺数据控制权和谋求数字主权的欧盟来说，也不失为一种理想结果。另一方面，2019年9月，美国司法部和欧盟委员会开始就基于CLOUD法的执法机构间的数据跨境访问合作进行正式谈判，很明显这一谈判的规则主导权掌握在美国手中，欧盟将如何平衡公民隐私权保护和执法利益仍有待观察。

总体来看，随着数据在地缘政治经济博弈中的重要性不断提升，一国政府执法所采取的数据调取体系对两国间的数据跨境流动合作也在产生日益重大的影响。美欧作为传统盟国，在个人数据领域的合作已经出现不小的矛盾，对于我国而言，在《个人信息保护法》《数据安全法》尚未出台的情形下，若要开展与美欧的个人数据跨境流动合作可能会面临更大的挑战。