文 │ 北京师范大学法学院暨刑科院副教授 吴沈括
法国斯特拉斯堡大学法学院硕士 张力威
2019年10月,英美关于为抗制严重犯罪跨境获取电子数据的双边协议在两国政府的合意下达成签署,并将于为期180日的两国议会和国会审议期结束后生效。作为基于美国“云法案”框架达成的数据跨境获取执法机制的最新协议,英美协议不仅将是美西方国家后续其他执法协议的范本,还可能成为以美国为主导的跨境数据治理体系的重要模式,将产生重大国际反响并制约我国数据跨境治理体系的建设,对我国网络产业走出去产生显著影响。
一、英美数据跨境执法新协议的背景:美国“云法案”
要理解英美新协议的意义及影响,离不开对“云法案”的认知。在“美国司法部诉微软”案件中,双方就美国执法机构是否有权限获取美国公司存储于境外的数据产生争议:就微软方面而言,根据既有的《存储通信法案》(Stored Communication Act),以及存在的违反欧盟数据保护规范的可能,美国执法机构不能够依据签发的令状,要求其提供存储在爱尔兰境内都柏林数据中心的用户数据。该案件一路诉至美国最高法院,并在美国国会对此迅速响应并通过“云法案”立法后被驳回。
而在这一迅速通过的“云法案”中确定了两项对于跨境数据治理而言极为重要的原则和制度,分别是数据控制者管辖标准以及与适格政府的跨境获取数据的双边执法协议机制。
(一)数据控制者管辖标准
“云法案”第103条规定,提供电子通信服务或远程计算服务的供应商应遵守包括存储、备份、披露所有有线或电子通讯记录以及任何供应商拥有、监测或控制的用户信息,无论这些数据是否位于美国境内或境外。而负有此义务的公司不仅仅是在美国注册成立的美国公司,亦可是因与美国具有足够多的性质、数量和质量上的联系而受美国管辖的公司——这也为美国的“长臂管辖”提供了基础。
由此义务签发的数据获取令状在三种情形下可能被撤销:1.数据披露会造成提供商违反适格外国政府的立法;2.基于司法利益和案件情形的综合考虑,该程序应被撤销;3.所涉及的客户或用户并非美国公民。在第二种情形下,法院还应综合美国、适格外国政府的利益、信息主体的国籍、与美国的联系、信息的重要程度等进行谦抑性分析,但无论如何,适用此标准而产生的分析都是立足于美国对该数据的重要需求,他国基于对物理设备管辖而产生的对储存数据的管辖仅是考量因素之一。
换言之,这一标准确定了美国对于数据的管辖并不基于数据的物理属性所在,而是依靠数据本身的虚拟性和可依附于网络空间的特点,根据辖下主体的控制能力确定管辖范围。在目前美国具有大量强势企业和数据优势的情况下,进一步扩大其数据主权的范围所及,加强其数据霸权的地位。
(二)数据跨境获取的双边执法协议机制
“云法案”第105条亦新增了美国与其他国家政府的关于数据跨境获取的双边执法协议机制,其规定了除司法互助协议以外,两国执法机构就电子数据的证据获取等事项直接要求域外主体提供配合的执法机制,也是此次英美数据跨境执法协议的主体内容。
在订约的具体标准上,“云法案”要求考虑对方政府是否具备以下条件:首先,作为核心要求,其国内法是否对数据收集活动中的公民自由和隐私提供了切实有效的实体法和程序法的保护。就具体的研判因素而言,包括以下各项:1.是否有足够多的关于网络犯罪和电子证据的充分的实体法和程序法,如《布达佩斯网络犯罪公约》中列举的法律;2.是否遵守法治和非歧视原则;3.是否尊重和保护国际普遍人权;4.是否具有明确的关于电子数据收集、留存、使用和共享的法律授权程序;5.是否有透明的电子数据披露的问责机制;6.是否有对信息自由流动和互联网开放性的承诺。
从这些判断的因素可以看出,数据跨境获取双边执法协议本质上还是以美国标准为核心,以美式立法作为范本和磋商的前提。换言之,作为跨境数据治理模式的一部分,这一执法协议机制首先为美国就其数据控制范围之外的跨境数据的获取提供了路径,美国可以通过与他国签订双边条约,直接向目标国企业要求提供相应数据,而不用经过冗长的司法互助程序。另一方面,这一双边执法协议的订立标准,本质上是美国依据其数据优势地位而进行的范式推广,从而进一步将数据流控制在自己及其盟友的优势法律管辖下。
二、英美数据跨境执法新协议的主要内容
需要指出的是,根据“云法案”的要求,缔约国双方的议会或议院可于180日内否决此项已签署的协议,因此,当前协议尚未正式施行,并且其内容可能还会被进一步修改,需要进一步予以追踪研判。
英美数据跨境获取执法协议共有17条,其赖以实施的核心制度是数据调取令(Order)。该协议对数据调取令的适用范围、签发和送达程序、保障性限制及对协议的审查补充等问题做出了规定。
1.数据调取令的适用范围。根据该协议第4条,被限定在对严重犯罪的预防、侦查或起诉的程序中,其中值得注意的是“严重犯罪”的定义,根据该协议第1条,严重犯罪仅被定义为最高刑罚在三年监禁以上的犯罪。
这不同于欧盟《欧洲议会和欧洲理事会关于刑事犯罪电子证据的调取令和保全令的规定的提案》中对严重犯罪的定义,也即罪名最低刑期为三年有期徒刑,并且该罪名应是特别罪名(如恐怖主义犯罪)。同时,这不同于英国《调查权法》(Investigatory Powers Act)中的定义,也即一名无前科的成年人可能被判处最低三年以上监禁,或涉及特定情形的罪行。而且这也远远超出了美国司法部在公报中提及的“恐怖主义、儿童色情和网络犯罪”的范畴,更不要求该罪名在英美两国都存在。换言之,该协议实质上对严重犯罪采取了十分宽松的定义,降低了数据获取的门槛,较之于国内法扩大了调取数据的适用范围。该协议第4条还要求,数据调取令不应有意地针对接收方国家的公民,并根据第7条的要求,确保数据调取令指向的任何账号确实属于调查对象所有。
2.数据调取令的签发和送达程序。该协议第5条第一款规定,相关数据调取令的发出皆应基于所调查行为的可阐明、可信的事实及其特殊性、合法性和严重性。而这一要求的表述在一定程度上具有模糊性,在后续条款中也并未继续阐明其具体含义,不同于美国《电子通信隐私法案》(Electronic Communications Privacy Act)中的“相当理由”(Probable Cause)的要求,甚至可以说低于该要求。而该协议第5条第二款要求应存在独立机构如法官、法院等对发出的数据调取令进行审查,但并未涉及对数据调取令本身效力层级的要求,而在《电子通信隐私法案》中,调取此类信息往往需要较高层级的数据调取令(Super Warrant),并且该条款也没有涉及相关数据调取令的发出是否需要司法授权为前提的问题,而仅仅涉及发出后的独立审查制度。
3.调查、监听的时长问题。该协议亦采取了较为宽松的标准,仅要求调查时限及其延长为固定的、合理的有限期限内,但并未对此指明区间,也没有对延长的次数和条件进行规定。除此之外,还应注意第5条第八款设定了数据调取令发出方对数据提供者的通知义务及其提出异议的程序,但并未设定对数据关联者即被调查者的通知义务,换言之,两国可在被调查者未知情的情况下进行跨境数据的调取,因而被调查者也就不存在相应的手段以救济其可能或已被侵害的权利。总体而言,在英美协议中,数据调取令相关的各项程序要求都采取了较为宽松的标准,适用门槛较低,且缺乏对公民个人的救济的保障措施。
4.跨境数据保障问题。该协议的第7条至第10条规定了一系列对跨境数据获取、保存程序的保障性限制。第7条规定了对目标的限制和最小化程序(Minimization Procedures),要求任一缔约方在发出数据调取令时都应作出善意而合理的努力以确保获取数据所对应的账户严格限定为调查对象所有;最小化程序则同时还要求调取者采取措施及时审查、隔离、封存和删除所获取的数据,并防止其泄露,并确保仅有接受适当程序培训的相关人员方可接触该数据。
但这一程序要求并不同等适用于缔约方双方,而仅适用于英国发出相关数据调取令的情形下,英国应采取确保损害或影响最少的程序。易言之,美国实质上受到更少的保障性限制,也无需受最小化程序的制约。
此外,第9条对获取信息的处理和转移进行了限制,强调了对未经缔约方同意共享数据的禁止,并对涉及言论自由和死刑的案件的跨境数据获取上作出了保留,这是因为美国对言论自由的限制十分宽松,在世界范围内皆属独树一帜,在英国一些被禁止的仇恨言论、准恐怖主义言论等可能在美国未受限制,从而阻碍数据调取令对相应数据的调取;而在死刑方面,与美国不同,英国已废除了死刑,并且死刑在相当数量国家被视为对人权的否定。但应注意的是,此处的保留仅针对数据“作为证据使用”(by the introduction of such data as evidence)的情形,发出方需获得提供方的授权,若仅涉及数据的获取,两国对该数据的处理并不受到限制,并依旧可能引发言论自由或人权保护的相关问题。
5.审查和实施程序问题。该协议的第12条规定了对协议本身的审查和实施程序,要求缔约方应对各方遵守协议的情况进行定期审查,但并没有规定具体的定期审查的时长、是否公开审核、由什么机构审核、是否公开审核的事实或结果等问题。对于主管部门基于数据调取令的年度报告制度规定亦十分模糊,存在后续博弈的较大空间。
三、英美数据跨境执法新协议的影响与应对
毋庸置疑,英美数据跨境执法新协议不仅仅是关于跨境数据获取的双边合作协议,更是美国意欲广泛推广的以“云法案”为基础、美国为主导的新型国际跨境数据治理范式,协议中普遍存在的更低适用标准,对美国更少的制度限制,宽松而模糊的关于数据获取或者法案审核、实施报告等程序的要求,“云法案”中涉及的对获取数据调取令需设置独立的法官或官员进行司法审查的要求和涉及言论自由以及死刑案件的特别保留都体现了这一特点。
通过英美数据跨境执法新协议所强化的数据治理模式,美国一方面可以通过“数据控制者”标准,确保其作为最大数据市场对数据流的有效控制,也通过其宽广的管辖范围,实现对域外数据控制力的扩张,从而继续加强和保持其优势地位。另一方面,美国可以通过复制与其盟友的双边协议实践,将这种跨境数据治理范式渗透到更多的国家,从而获得数据跨境治理的国际合作话语权,从而影响将来可能的最低限度的国际条约的制定,并通过这种方式持续传播其国家理念和意识形态。
时下除了英国之外,美国还在与加拿大、澳大利亚和欧盟等国家或地区进行相关执行协议的商谈,以该协议为模版的执法协议将在之后更加频繁出现于国际数据治理的场合中,可以预见我国网络产业在走出去的过程中将遭受美国以数据跨境执法获取为由的更大范围的干扰和阻碍。就如何应对美国试图引入和推广的新的跨境数据获取执法机制而言,有必要考虑采取两项措施:
1.完善跨境数据治理的制度设计,厘清和设定数据管辖边界
我国《网络安全法》第28条明确规定了网络运营者对公安机关、国家安全机关依法维护国家安全和侦查犯罪时提供技术支持和协作的义务,此中也必然包含了将涉案数据提供给有关部门的具体义务。而国家网信部门发布的《个人信息处境安全评估办法(征求意见稿)》也显示了我国完善跨境数据治理制度的制度指向。此外,外交部和国家互联网信息办公室共同发布的《网络空间国际合作战略》指出要“明确网络空间的主权,既能体现各国政府依法管理网络空间的责任和权利,也有助于推动各国构建政府、企业和社会团体之间良性互动的平台,为信息技术的发展以及国际交流与合作营造一个健康的生态环境,”并且“各国政府有权依法管网,对本国境内信息通信基础设施和资源、信息通信活动拥有管辖权,有权保护本国信息系统和信息资源免受威胁、干扰、攻击和破坏,保障公民在网络空间的合法权益”。
回归到现有的立法和法律体系上,鉴于我国对于跨境数据治理的管辖规则及具体要求还尚付阙如,应进一步加强在数据治理方面的顶层设计工作,并完善配套的执法机制、主管机关和问责机制,厘清和设定数据本地化要求,着眼关键敏感行业,基于数据主权实现对个人数据和重要数据出境的全生命周期保护。
2.发挥自身优势,积极参与和影响跨境数据国际治理
在完善现有的数据治理体系的同时,切实发挥我国互联网产业及互联网企业的全球发展优势,在国际跨境数据治理体系尚处起步阶段之时,一方面,积极鼓励和支持我国企业参与国际跨境数据执法规则的讨论和制订,尤其是推动在联合国框架下跨境数据国际执法机制的生成过程,并旗帜鲜明地反对任何依托数据霸权推广或强加于他国的治理模式。
另一方面,在通过政府与企业各种形式的公私合作的基础上完善我国跨境数据治理规则建设,同时加速与其他国家的数据执法合作,探索形成我国的数据跨境执法方案,并依托“一带一路”、区域全面经济伙伴关系协定等合作平台与合作工具,推广我国数据跨境执法的立场、制度和典型案例。
本文为国家社会科学基金项目(批准号:15CFX035)的阶段性成果。
(本文刊登于《中国信息安全》杂志2019年第12期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
