美国CLOUD 法案对我国跨境数据获取的挑战及应对
2022-02-05黄志鹏
黄志鹏
(中南财经政法大学,湖北 武汉 430073)
跨境数据获取是当今国家之间跨境取证的新的表现形式。随着科技的发展,云储存技术得到广泛地运用,服务商都倾向于将其在运营过程中产生、收集的数据存储在不同国家的服务器上。国家在具有获取数据的需要时,就必须向多个国家发起刑事司法协助请求。双边司法协助协议进程确保所有访问要求都必须通过数据存储所在国的法律系统,而不是由外国政府直接向存储数据的私营实体提出要求。这一过程进展非常缓慢,浪费检察官在刑事调查中的时间。[1]在此背景下,2018 年美国国会迅速通过了《澄清合法使用海外数据法案》(Clarifying Lawful Overseas Use of Data Act,以下简称CLOUD 法案),旨在允许执法部门收集存储在外国的数据来协助刑事调查。其一大特点是在跨境数据获取方面,改“数据存储地模式”为“数据控制者模式”。数据控制者模式在域外取证方面突破了刑事双边司法协助协议的限制,可以直接在所需数据的所在国获取数据而无需征得目标国的同意。从效率上看,CLOUD 法案固然提供了一种新的快速获取数据证据的方式,但若与其他国家没有相关合作,则极易引起冲突。本文旨在分析CLOUD 法案的颁布对跨境数据获取的挑战,并提出相关冲突解决方案。
一、CLOUD 法案带来的挑战
2013 年12 月,联邦执法人员向美国纽约南区地方法院要求微软披露与其客户账户相关的所有电子邮件和其他信息。一名治安法官确信特工人员有充分理由相信该账户正被用于进一步非法贩毒,于是签发了2703 号逮捕令。微软公司认为,美国《存储通信法案》(Stored Electronic Communications Act,以下简称SCA 法案)只规定了通讯服务提供商有向美国执法机构提供其所拥有的数据的义务,但并没有指出美国执法机构是否能够获取服务商存储在境外的数据。微软以美国所需的数据在爱尔兰为由,采取行动撤销了对存储在爱尔兰的信息的搜查令。也就是在该背景下,CLOUD 法案应运而生,以弥补SCA 法案效力范围上的不足。其在《美国法典》第18 卷2713 条中规定,电子通信服务或远程计算服务的提供商应遵守本章的义务,无论信息是否位于美国境内,服务提供商应该备份、披露电子通信内容以及服务提供商所管控的其他数据信息。根据该条规定,CLOUD 法案拓宽了SCA 中效力范围的规定。只要该数据是服务提供商所拥有、保管和控制的,那么美国执法机构就可以请求服务提供商提供其所需要的数据。为此,美国确立了一种高效的单边跨境数据获取方式,即“数据控制者模式”。然而,这种单边的跨境数据获取方式会带来诸多问题,如使跨国企业陷入两难境地、造成不同国家之间的网络主权冲突、管辖冲突和法律冲突等。
(一)跨境获取数据的企业合规困境
对于在境外设立了营业地的企业来说,不管在实践中是否配合执法机关跨境调取数据的要求,均可能面临引发法律和经营方面的风险。[2]根据CLOUD 法案的规定,服务提供商必须将所有的数据提供给美国执法机构,数据存储地所在国会以违背国家主权为由禁止企业将数据传输至境外,这与有关法律冲突。在这种情况下,企业将面临着选择遵守哪一国家法律的尴尬境地。为了逃避法律责任,企业很有可能选择将数据信息转交给美国执法部门,但此举会引发客户对企业的信用危机,侵害客户的隐私。
(二)跨境获取数据的数据主权冲突与网络主权冲突
跨境获取数据易导致主权国家数据主权之间的冲突。数据主权即国家对本国涉外跨境的数据以及位于本国境内的数据拥有所有权、控制权,使用权以及管辖权,对内表现为拥有对本国数据及本国国民跨境数据的最高管控权,对外体现为不受干涉、平等地处理数据。[3]但在CLOUD 法案的规定下,美国执法机构可以径直要求数据所在国提供其所需要的数据,干涉了数据所在国对其本国数据的管辖权、所有权和控制权等。在此情形下,一国并不能够做到独立且平等地管控本国的数据。当今世界正经历百年未有之大变局,新一轮的科技革命和产业变革正悄无声息地发生,数据资源成为新的生产要素。[4]它关系到数据主权乃至国家主权,数据主权的冲突在CLOUD 法案的这一规定下是不可避免的。
在CLOUD法案背景下的跨境数据获取除了会引发数据主权的冲突外,还极有可能引起网络主权的纷争。网络数据主权是网络主权的组成部分之一,网络主权是网络数据控制权的上位概念。[5]我国《国家安全法》第25 条和《网络安全法》第1 条均表明,我国处理网络问题的一个基本原则就是牢牢把握网络主权。国家对网络空间主张主权具有合法性基础,同样,对网络空间的数据资源施加主权也有合法性基础。然而,美国对于此问题持相反态度。为了掩盖凭借其在互联网领域绝对的技术优势而削弱他国数据掌控能力的真实目的,其认为网络空间并不存在主权。[6]这势必会造成网络主权认定上的冲突。
(三)跨境获取数据的管辖冲突
CLOUD 法案规定,只要数据归服务提供商所有、控制,不管数据位于本国境内还是境外,美国执法机构出于需要即可向提供商索取。但是,在美国全球监控计划“棱镜门”监控事件后,包括我国在内的许多国家都在本国的法律条文中加入了数据本地化的要求。CLOUD 法案的这一规定实质上对沿袭已久的数据本地化模式带来了巨大的冲击,因为美国拥有极具影响力的互联网公司,可以获得大量的用户数据。正是因为CLOUD 法案旨在从数据本地化模式向数据控制者模式的转化导致美国延伸了其对于数据的司法管辖权范围,一意孤行地单方面对境外数据主张管辖权,从而在数据问题方面确立长臂管辖模式,改变了以往数据所在地的属地管辖模式,取而代之的是对数据控制者的属人管辖模式,管辖权冲突才慢慢浮现出来。
二、从CLOUD 法案规定分析冲突成因
(一)外国适格政府的规定
CLOUD 法案有关跨境数据的调取主要针对美国政府获取他国数据和他国获取位于美国境内的数据。然若他国政府欲获取位于美国境内的数据,其必须是CLOUD 法案所认定的适格外国政府且已与美国签署了获取数据的行政协议。美国为了体现其向境外获取跨境数据与其他国家向美国获取跨境数据对等,在CLOUD 法案(h)项中规定了外国适格政府,即与美国签订行政协议并根据《美国法典》第2523 条已经生效,其法律向电子通信服务提供商和远程计算服务提供商提供类似于第(2)和第(5)款规定的实质性和程序性机会的国家。此外,通过行政协议成为外国适格政府的主体还需要满足法案所作出的限定,而其中的核心判断标准是外国政府的立法包括国内法律的执行在数据收集以及政府活动方面是否在隐私和公民权利方面提供了足够的实质和程序上的保护。其还得对下述情况进行考量:第一,外国政府是否制定关于网络犯罪和电子证据方面实质性和程序性的法律规定以及是否加入《布达佩斯网络犯罪公约》或者国内法与《布达佩斯网络犯罪公约》第一章和第二章的内容是否相一致;第二,尊重法治和非歧视原则;第三,遵守国际人权义务或者尊重国际普遍人权;第四,通过行政协议获取数据的外国政府有清晰的法律要求和程序,包括这些机关收集、获取、使用和分享数据的程序;第五,在外国政府收集和使用电子数据方面有提供责任和恰当透明度的足够机制;第六,展现出对全球信息自由流动的促进和保护的承诺。
除了在实体方面对适格外国政府作出限定外,在程序方面,CLOUD法案也作出了相应的限制:第一,外国政府只有在遵守行政协议所约定的外国政府不得针对具有美国国籍的人或者在美国境内具有住所的个人这一条件后,才能够调取存储在美国境内的数据;第二,获取数据应具有针对性而不能伤及无辜,若只需获取具有美国国籍的公民或者在美国境内有住所的人的信息,则不能以其他国家的人为目的;第三,所获得的信息不能与第三国乃至美国政府共享;第四,外国政府发出的获取数据的要求应该与严重犯罪相关等。
从CLOUD法案有关适格外国政府的规定可以看出,虽然美国表面上考虑在国家之间进行互惠以获取数据,但是其条文设置了诸多障碍,仅凭适格外国政府必须是《布达佩斯网络犯罪公约》的成员国这一条件就排除了许多国家,遑论其他条件。
(二)有限定的礼让
美国立法者在制定CLOUD法案时显然预见到采用数据控制者模式将会导致管辖冲突、企业陷入合规的尴尬境地等问题出现。其在CLOUD 法案第103 条(b)款中作出了礼让分析的规定:在符合规定的条件下,服务提供商可以拒绝美国执法机构的要求,对其所拥有的数据不予披露。
首先,客户或者订户不是美国人并且其在美国没有住所;其次,披露数据的行为会导致服务提供商承担违反外国适格政府法律的实质性风险。在满足以上条件之外,拒绝披露数据的请求还需要在法律程序进行中的14 天之内提出,最后由法官根据案件的总体情况考量是否予以采纳。这些情况包括美国和要求披露数据的政府部门的利益、外国适格政府防止禁止披露的数据外泄的利益、服务提供商及其雇员因违反施加其身上的法律义务(披露数据)而可能遭受的惩罚、订户或用户所处的位置及国籍以及服务提供商与美国的联系程度等内容。相较服务提供商提出拒绝披露数据因素的明确性,法院所要考虑的情况则模糊得多,[7]法官具有极大的自由裁量权。例如,美国和要求数据披露的政府部门的利益究竟是何种利益尚不明确,服务提供商及雇员违反数据披露义务而可能遭受的惩罚是指何种惩罚从条文中也不得而知。更为重要的是,该法案(h)(2)(B)项规定,法官可能(may)修改或者撤销。简言之,即使满足上述条件,法官也有拒绝的可能。因此,从条文的内容可以看出,虽然规定礼让分析为美国行使数据控制者模式带来了一定的便利,有利于缓解其与他国在主权以及管辖权等方面的冲突,但实际上有诸多限制条件。美国基于CLOUD 法案所确立的数据控制者模式与他国所产生的数据管辖权的冲突发生在国家与国家层面,但礼让分析针对的是企业对披露数据的抗辩,调整国家与企业(个人)的关系。[8]质言之,即使美国法官在分析完企业的申诉以及考虑相关情况后决定采纳企业不披露数据的请求,但这也并不意味着美国放弃对数据的管辖。因为在国家与国家层面,美国仍然可以根据数据控制者模式向数据存储地所在国的法院主张管辖权。由是观之,美国法院依旧可以向外扩张其数据管辖权,礼让分析并没有消弭国家之间的管辖权冲突。
(三)制定的双重标准
根据上文可以看出,CLOUD 法案实质上构建了双重标准。美国对外获取数据的标准与外国获取位于美国境内数据的标准完全不同,同时国家之间的地位也并不一样。CLOUD 法案从实体方面和程序方面都介绍了适格外国政府获取美国境内数据的种种条件,但对于美国执法机构获取外国境内数据的条件却规定得十分精简。另外,对于适格的外国政府,CLOUD 法案允许法官通过礼让分析放宽获取数据的限制,但目前我国并不符合CLOUD 法案定义下的适格外国政府标准,当然也就无法享受礼让待遇。在数据采取的模式上,CLOUD 法案也采取了双重标准:对位于本国境外的数据采用数据控制者模式,对位于本国境内的数据仍然采取数据本地化模式。这也就意味着美国可以随意获取位于本国境外的数据而无需经过他国的同意,但外国欲获取美国境内的数据,还需要得到美国政府的同意。可以说,CLOUD 法案其实并不对等,表面上以互惠为幌子顾及国家之间的数据流动,而实质上是将其数据主权扩张到其他领域,并没有落实法案所称的互惠理念。[9]
(四)内容之冲突
造成冲突的原因除了CLOUD法案规定的适格外国政府以及礼让分析不对等之外,更为明显的是CLOUD 法案条文本身的内容与国际公约和其他国家法律存在矛盾。CLOUD 法案的规定与在打击网络犯罪方面具有较大影响力的《布达佩斯网络犯罪公约》相比稍显龃龉。[10]《布达佩斯网络犯罪公约》第29 条明确指出,若一国调取存储于非本国境内的数据,其须向存储地国请求司法协助后方能获取。由此可知,公约秉持存储地标准而反对CLOUD 法案数据控制者的立场。此外,网络空间国际习惯法规则的权威编纂——《网络行动国际法塔林手册2.0 版》第11 条规定,一国实施域外管辖的前提只能是国际法的特定授权以及属地管辖国的同意。除了国际公约之外,CLOUD 法案还与《欧盟通用数据保护条例》存在冲突。《欧盟通用数据保护条例》第48 条规定,只有在以任何方式得到承认或强制执行时,才能基于请求国与欧盟或成员国之间生效的国际协定(如司法协助条约)进行数据的跨境转移。在该规定下,美国若想获得欧盟的数据,只能通过双边协助的方式而不能依据CLOUD 法案的规定直接调取。就我国而言,我国有关法律与CLOUD 法案也存在诸多冲突。如《网络安全法》第37 条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储,采用数据本地化模式,这与CLOUD 法案中的数据控制者模式相冲突。又如,根据我国《国际刑事司法协助法》第二章第二节的规定,我国数据出境采用的是分段式审查模式。[11]此外,根据该法第4 条的规定,外国并不能直接通过刑事司法协助的方式获得电子数据,而必须得经过我国主管机关同意。
(五)冲突发生的其他原因
跨境数据的特点也决定司法管辖权与数据主权冲突的必然存在。数据流动是在虚拟的网络中进行的,而网络空间并不限制在领土的范围内,也就不存在物理边界。数据可以自由流动,可能跨越多个国家。例如,数据由甲国产生,经跨国公司流入乙国的数据存储服务器,可能被丙国等多国使用。当甲乙丙三国同时对该数据主张权利时,就必然造成数据主权冲突,进而造成管辖权冲突。此外,数据存储方式的分散化以及存储介质的虚拟化特点也是造成冲突的原因之一。数据不再局限于一国境内或者特定的一台机器中,而有可能分块或者分区存储于数个国家或者数台机器上。[12]随着科技的发展,数据的储存方式也从实体服务器转移到云端,给管辖问题造成巨大挑战,因为此类数据涉及多国数据中心,当相关国家纷纷主张数据主权时,各国又将竞相管辖。
三、我国应对CLOUD 法案的策略
(一)国际礼让原则的运用
国际礼让即一个国家对另外一个国家政府利益的尊重。它是本土的联邦普通法,以最高法院的判例法为基础,以习惯国际法为依据。[13]荷兰法学家胡伯在其所主张的三原则中首次提出礼让的概念,并经过美国法学家斯托雷的继承和发展,对后期冲突法产生了重大的影响。[14]美国法院将“真实冲突”作为适用国际礼让原则的核心考量因素始于“哈特福德案”,亦即只有在国内法和外国法之间存在真实冲突才可以适用国际礼让原则。
由于我国在数据方面所采取的仍是传统的数据本地化模式,与数据控制者模式难免会产生冲突,在传统数据存储地模式下,对于境外的数据获取必须通过双边司法协助途径才能进行,但这种做法耗时长且容易使数据证据失去有效性。因此,我国可以尝试运用国际礼让原则,将其运用在涉外取证方面,并与多种数据管辖权模式相结合。这不仅可以弥补数据存储地标准的不足,缓解我国固守数据本地化模式的僵化,为获取境外数据提供合法合理的管辖权基础,同时也符合国际礼让原则所强调的主权平等原则;另一方面能有效限缩美国法律的域外适用,以合理确定案件的管辖范围以避免管辖冲突。
总而言之,国际礼让是习惯国际法规则所提倡并付诸实践的,依旧体现习惯国际法中的主权平等原则。在具体习惯国际法规则还没有成型的情形下,国际礼让是对习惯国际法的补充,各个国家仍旧基于主权平等原则以及互惠原则以相互礼让的方式保证国际交往。国际礼让原则的规则因各国之间的反复实践而转化成为国际法,因此,真正的国际礼让是与国际法息息相关的,受制于主权平等原则。[15]
(二)数据本地化存储方式的取舍
我国《网络安全法》和《数据安全法》对于数据的存储模式采用的都是传统的数据本地化模式。从国内的角度来看,该做法的确有助于解决跨境电子数据获取的问题,便于限制他国任意调取位于本国的数据。此外,为了保障国家数据主权安全这一重要目标的实现,大多数国家都通过法律强制性规定,要求服务提供者将其在自己境内收集到的数据进行本地化储存,[16]但是学者Vivek Krishnamurthy 认为,数据本地化的努力有可能会使云计算服务——以及更广泛的全球互联网——沿着国家的路线分裂,对思想和信息的自由交流、互联网的有效运行以及人权也有严重的影响——特别是在进行数据本地化的政府并不完全尊重权利时。[17]通过《数据安全法》是为了更好地发挥数据的作用,而并不是让数据处于一种闭塞的状态以追求绝对的安全。因此,我们应该改变传统思维,适度放开对数据主权的限制。数据本地化模式保护国家数据主权是毋庸置疑的,但也带来了许多弊端。
第一,数据本地化的存储模式可能有损公民的数据隐私。所有的数据都汇集在同一个服务器中,为黑客入侵数据提供了便利。也就是说,数据本地化不仅会使政府更容易得到用户的数据,也便于个人使用其他非法手段获得用户数据。学者Tatevik Sargsyan 认为,凭借数据本地化模式的采用,政府通过法律手段“操纵和控制”公民通信的能力将会变得更强。他还认为,数据的集中管理也会增加人权的风险。[18]第二,数据本地化存储模式与跨境电子取证的需求相违背。首先,数据本地化储存旨在牢牢抓住数据的控制权。当外国政府进行跨境电子取证时,数据的存储国就得对申请国的请求、数据的性质以及是否符合本国利益进行考量,这种模式下的程序在某种程度上可以看作是与双边司法协助相配套的,严重降低了取证的效率。其次,在数据存储模式下,存储国很可能为保护本国数据主权而以数据获取会损害其主权、安全、公共秩序为由予以拒绝,[19]而公共秩序又是极其模糊的一个概念,能否成功获取数据证据难以预见。最后,数据本地化模式要求的范围是有限的,一国不能预知也无法掌握在刑事办案中所需要的所有电子数据,跨境数据取证的问题仍然存在。[20]在构建人类命运共同体的倡议下,过分强调数据本地化的存储模式并扩大存储对象的范围会导致电子数据形成一种封闭状态,与高效打击犯罪的目标南辕北辙。数据局限于本地化而形成“数据孤岛”,就无法在全球范围内建构国际化的跨境电子数据取证新举措,犯罪分子将利用该漏洞逃避法律。
为了克服在跨国犯罪中获取数据证据的困难,减少与他国之间的法律冲突,我国应该在坚持对等原则和互惠原则的前提下适度缩小对数据主权的限制范围,有限度地放开数据管控,不论是单方面径直获取还是经过我国主管机关的同意。[21]当然,并不是所有的数据都是不经我国同意就可获取的。我国可以像CLOUD 法案一样单方面设置一定的数据获取条件,如依据《数据安全法》第21 条,对数据实行分类分级保护,允许外国政府可以单方面获取我国非内容的数据信息并予以公用,而对于涉及秘密级别的数据则不允许直接获取。我国同样可以根据《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》,对于原始存储介质位于境外或者远程计算机信息系统上的电子数据,通过网络在线提取。
在获取案件的事实层面,电子数据是获取犯罪案件事实一种必不可少的证据形式。[22]我国作为数据大国,在信息领域占有一席之地,一味坚守数据本地化政策不利于数据的流通和数据经济的发展。[23]尤其是在全球化发展的大背景下,单单主张数据本地化储存已不能满足时代的需求。诚然,数据本地化给国家的数据主权安全提供了保障。在充分保护国家主权安全的前提下,我国可以采取更加开放的态度,在严守数据本地化模式与适度放开之间寻求动态平衡,在保护本国数据主权安全的同时又能获取他国数据。
(三)完善我国相关法律的规定
CLOUD法案中不经外国的同意便能直接获取位于外国境内数据的规定与我国《国际刑事司法协助法》第4 条第3 款相矛盾。我国强调外国政府若要获取位于我国境内的数据,需要得到我国主管机关的同意,否则我国境内的机构、组织和个人不能对外国政府提供任何证据。此规定禁止服务商擅自向外国机关提供我国的数据证据,可以看作我国对CLOUD 法案的阻却立法。但正如上文所述,由于我国并没有对当事人违反《国际刑事司法协助法》后所应承担的责任作出规定,在权衡利弊之后,服务提供商为了避免在美国法院可能构成藐视法庭罪而选择违背我国法律规定。如此一来,在刑事侦查需要跨境获取数据证据时,即使被美国执法机构要求提供位于中国境内数据的服务商在规定的时间内提出了抗辩,美国法院也极有可能认为我国《国际刑事司法协助法》与CLOUD法案所规定的数据提供并不存在真实冲突,进而也就无法满足礼让原则的外国法强制条件,服务提供商由此将面临抗辩失败的境地。因此,我国应尽快完善《国际刑事司法协助法》第4 条第3 款的规定,增加违反该款规定的后果,具体明确有关主体所应承担的刑事责任。笔者认为,该款可以借鉴《数据安全法》第48 条第2 款的规定,制造与美国CLOUD 法案的真实冲突,在美国执法机构向中国服务提供商索取数据时,就可以满足外国法强制这一条件以提出抗辩。
统筹推进国内法治和涉外法治,要加快涉外法治工作布局,而涉外法治工作的布局要抓紧建立阻断立法,加快我国法的域外适用法律体系建设。[24]我国商务部公布的《阻断外国法律与措施不当域外适用办法》为拒绝承认、执行和遵守相关外国法律提供了法律依据。我国《国家安全法》和《网络安全法》虽然规定了数据主权和网络主权的问题,规制数据在中国的管理,在一定程度上维护了我国的主权安全,但并未明确法律的域外管辖适用问题。阻断立法只能缓解矛盾,我国法律要在域外适用,应考虑加入域外管辖适用的内容。除此之外,我国《网络安全法》第37 条虽然规定在中国境内运营中收集和产生的个人信息和重要数据应当在中国境内储存,但是并没有规定外国政府通过数据控制者模式获取储存在我国境内数据的情况,这就导致我国无法通过CLOUD法案获取储存在美国境内的数据,而本国境内数据则向美国政府敞开。因此,有必要对《网络安全法》予以完善。我国已通过的《数据安全法》规定了域外的管辖效力和监督效力,这是对数据主权观念的体现,也是对美国数据控制者模式的回应。完善后的《国家安全法》和《网络安全法》将和《数据安全法》一同对数据主权安全问题进行规范,在数据保护方面形成一套更加全面的法律规范体系。
结语
习总书记强调单边主义没有出路,要坚持共商共建共享,由各国共同维护普遍安全,共同分享发展成果。美国CLOUD 法案所确立的跨境数据获取的内容仍旧体现其美国利益优先的立场,其通过确定数据控制者模式的途径以径直获取位于外国境内的数据,由此带来管辖权冲突、数据主权和网络主权冲突以及CLOUD 法案条文内容本身和国际公约与其他国家的国内法之间的冲突。构建制度型开放的数据治理规则是我国的立场。没有数据安全就没有国家安全。面对CLOUD 法案带来的一系列问题,笔者建议采取三个解决路径:第一,CLOUD法案所规定的礼让分析并没有体现平等原则,其设置了诸多限制,而国际礼让原则是以国家主权平等为原则的。因此,可以合理运用国际礼让原则解决CLOUD 法案颁布后所引发的管辖冲突。第二,为了使非内容数据能够在国与国之间进行良性高效地流动,我国在数据存储模式上可适度放开数据本地化模式,依据《数据安全法》对数据加以分类,在严守数据本地化模式与适度放开之间寻求一个动态平衡。第三,由于CLOUD 法案的法律条文内容与我国的现行法有许多冲突,有必要完善我国相关法律,在《国际刑事司法协助法》中增加违反该规定的法律后果,改变《国家安全法》《网络安全法》中严守数据本地化的模式。加强我国的阻断立法,保护我国的主权安全和利益,协作治理网络空间,加强国际数据管辖的平等合作,有效应对CLOUD 法案对跨境数据获取带来的挑战。