笔者按:
《数据安全法(草案)》已经正式开始公开征求意见了。
第一篇文章关注《数据安全法》的立法思路:对《数据安全法》的理解和认识 | 立法思路。
第二篇文章关注《数据安全法》第十九条提出的数据分级分类的要求:对《数据安全法》的理解和认识 | 数据分级分类
本篇文章将关注《数据安全法》第三十三条提出的境外执法机构调取我境内数据的相关要求。
先摆出来《数据安全法》第三十三条:
第三十三条 境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。中华人民共和国缔结或者参加的国际条约、协定对外国执法机构调取境内数据有规定的,依照其规定。
此前,类似的条款已经出现在《国际刑事司法协助法》第四条:
第四条 中华人民共和国和外国按照平等互惠原则开展国际刑事司法协助。
国际刑事司法协助不得损害中华人民共和国的主权、安全和社会公共利益,不得违反中华人民共和国法律的基本原则。
非经中华人民共和国主管机关同意,外国机构、组织和个人不得在中华人民共和国境内进行本法规定的刑事诉讼活动,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。
熟悉本公号的读者肯定知道,这样的条款很大程度上是为了应对近年来美、欧在因执法目的跨境调取数据方面的激进措施。
《数据安全法》第三十三条和《国际刑事司法协助法》第四条本质上属于针对外国长臂管辖的“封阻法令”(the blocking statutes),本篇文章将初步分析封阻法令的一些基本方面。【注:以下内容主要节选于公号君一篇尚未发表的学术论文。】主权合作模式及其困境
通常来说,本国执法机关调取存储在国外的数据,以及外国执法机构调取存储在本国数据,均需要通过数据存储地所在国家的有权机关的同意和协助,而不能越殂代疱。从国际法角度,这样的形式最能体现对主权的尊重。目前,寻求另一主权国家的同意和协助主要通过以下几种形式:
一是国家共同参加的国际公约,这些公约中包含了部分司法协助的条款。例如我国加入的《联合国有组织跨国犯罪公约》以及《联合国反腐败公约》。二是国家之间签署的“司法协助程序”(Mutual Legal Assistance, MLA)。据公开披露的最新资料,截止2017年2月,我国与外国签署了民刑事司法协助条约19项(全部生效)、刑事司法协助条约40项(32项生效)、民商事司法协助条约20项(17项生效)。三是基于互惠原则的一事一议性质的司法协助。四是司法协助函,即一国的法院向另一国法院提出的正式协助请求。五是双多边警务合作。如我国《公安机关办理刑事案件程序规定》第339条规定的“公安机关进行刑事司法协助和警务合作,我国缔结或者参加的国际条约和公安部签订的合作协议有规定的,按照条约和协议的规定办理,但是我国声明保留的条款除外,无相应条约和协议规定的,按照互惠原则通过外交途径或国际刑事警察组织进行”。
上述五种形式共同的特征是国家主权充分的参与:公约和司法协助条约其内容由主权国家共同协商,并需要主权国家签署批准;其他形式的协助请求和警务合作,都需要国家有权机关的共同参与和执行。但也正是因为不能“绕过”主权,上述五种形式在实践中存在较高的“门槛”。例如寻求协助的事项必需在被请求国家中也被认定为犯罪,以及如果“被请求方认为,接受请求将损害本国主权、安全、公共秩序或者其他重大公共利益,或者其后果与本国法律的基本原则相抵触”,可以拒绝协助请求。当然,既然需要其他主权的合作,免不了会有一些非司法方面的考量,例如美国和俄罗斯之间存在司法互助协定,但美国经常抱怨俄罗斯政府鲜少协助美国对俄罗斯网络罪犯进行执法调查。
事实上,除了门槛高、需要大量协调合作外,上述五种形式最为让人“无法忍受”缺陷是请求处理耗时过长。据美国学者研究,外国向美国政府提交法律协助请求,平均的处理时间要耗时10个月。显然,这样的速度完全无法满足执法机关的需求,特别是在瞬息万变的网络时代。
此外,还有两个新的变化导致执法机关对司法协助程序愈发不满,但本质上问题不是出在司法协助程序本身。其一,由于通信加密技术广泛采用,执法部门在境内通过在数据传输过程中拦截通信的方式(local intercepting),往往只能截获加密的数据包而无法成功解密获得通信内容,因此“搜查”通信内容“落地”的服务器、终端、云端成为执法部门的必需。由于这些服务器、终端、云端经常位于境外,这也就加强了执法跨境调取数据的必要。同时也意味着本地执法要比以往,更加经常需要走国际司法协助程序。
其二是所谓的变换通信工具和渠道的问题。2017年5月,英国副国家安全顾问Paddy McGuinness在美国参议院司法委员会上作证(testify)指出:以往,位于英国境内的个人密谋在英国境内实施恐怖主义犯罪,英国警方能够方便地监听(intercept)他们之间的通信内容(例如电话、短信)。但由于美国互联网公司在英国市场的绝对优势地位,这些恐怖主义分子越来越多地使用美国公司提供的通信产品和服务,例如从2013年5月起,英国政府处理的十来起恐怖主义案件都涉及美国公司的产品。对于英国政府提出的获取通信内容的要求,不少美国公司明确表示只能通过双边司法协助程序。也就是说,本地人实施的本地犯罪,以往英国警方通过国内法律程序就能实施监听,现在因为用了美国公司的产品,却转而需要符合美国法律规定的监听或搜查的“门槛”,还征得美国检察官和法官的同意才能调取犯罪分子之间的通信内容,这还不算其中涉及的人力成本和“遥遥无期”的等待。这还是有司法协助协定的情况,如果犯罪分子故意选择那些所谓“犯罪天堂”出品的通信工具,那执法几乎完全无法开展。
上述情况导致的结果就是,司法协助程序或其他需要借由其他主权同意和协助才能完成的侦查,在应对互联网时代的犯罪显得苍白无力。不难想象,英国警方面临的困境,包括我国或其他国家在内的执法机关很可能会感同身受。
好在“办法总比困难多”。随着组织的跨国化和采用互联网等新兴信息技术的程度越来越高,执法部门经常能发现在境外掌握数据的组织,其总部恰好设在境内或在境内设有分支。在境内就意味着有天然的管辖权,何不通过境内法律流程和文书,直接要求或强迫境内总部或分支将境外数据“带到”境内即可?这样就省得看别的国家政府的脸色,一切都能自己搞定,还高效便捷。
中国银行在美国的系列案件就是这样一个思路的典型体现,只不过是在诉讼场景中:如中国银行继续拒绝提供当事人中国银行账户的信息,美国纽约南区联邦地区法院对中国银行纽约分行处于每天5万美元的罚款。远在巴西同样上演了相似的一幕:2016年3月,Facebook巴西高管Diego Dzodan被判入狱。原因是WhatsApp拒绝交出与一起在巴西塞尔希培州(Sergipe)审理的有组织犯罪和贩毒案件相关的通信内容。Facebook随即提出抗议,理由之一便是WhatsApp在巴西没有工作人员,且与Facebook完全独立运营,因此Diego Dzodan不应为此事负责。在巴西法院看来,恰恰因为WhatsApp在巴西不设点,但是Facebook全资收购了WhatsApp,又在巴西本地设立了办公室,因此才会有这样“巧妙”地行使管辖权。
封阻法令的缘起和实践
既然一些国家在从境外“取”数据有创新,那自然一些国家也开始在“防”的方面提出针对性措施。其中最为人知的形式之一,当属大陆法系国家为了阻断普通法系(主要是美国)“任意得近乎恣意”的证据开示(discovery)程序而专门立法,也就是所谓的“封阻法令”(the blocking statutes)。而在所有的封阻法令中,又属法国的最为著名。
1980年,为了阻止美国针对法国航运公司的反垄断调查,法国专门立法通过了所谓的“封阻法令”(the Blocking Statute),禁止在没有法国法院命令的情况下,任何法国个人出于提交证据的目的,向境外司法或行政机关披露关于经济、商业、工业、金融、技术方面的信息。
为什么会有“封阻法令”?最本质的原因,在于普通法系和大陆法系对提供证据的根本不同的立场。在美国法中,证据开示(discovery)程序是美国的民事和刑事案件中诉讼双方交换证据的司法过程,证据在这个阶段并不提供给法庭,但为了“真相”能从诉讼双方“对抗”中浮出水面,法官会支持和保障当事人充分的知情权。因此,美国法庭往往会以法庭命令的形式(例如传票)支持一方当事人获取证据的要求,而且证据开示的范围十分广泛。
实际上,对于当事一方或诉外一方(non-party)存放在境外的文件、数据等,早在上世纪70年代,美国联邦第二巡回上诉法院就清楚地指出,“如果某一联邦法院对某人具有管辖权(personal jurisdiction),那该法院就有权要求该人提供位于境外的文件,如果该人拥有该文件或对该文件具有控制能力。联邦法院这样的权力毋庸置疑。”2017年美国法学会最新的《第四次对外关系法重述(第三稿)》中再次表明,美国联邦法院在民事中一直都拥有这样的权力。在刑事领域,美国检察官在侦查时可以使用搜查令、传票等形式获得证据。和民事诉讼一样,美国的案例法长久以来都支持美国检察官通过传票的形式,要求在美国经营的公司交出处于境外的文件、记录等。事实上,在美国司法部发布的联邦检察官刑事资源手册(Criminal Resource Manual)第279节传票(Subpoenas)就明确写道,美国检察官可要求外国银行美国办公室提供位于美国境外的文件数据,但要经过额外的司法部内部程序。
简单来说,在美国法中,无论是刑事还是民事诉讼,能否从境外调取数据最为关键的因素并非数据的存储地,而是诉讼能否在美国进行。如果美国法院具备管辖权,那涉案的一方就需要提供其所拥有的,或所控制的,或能够访问的与案件相关的境外文件和数据。美国法允许的“取”的强势程度,可见一斑。
法国不是唯一向美国说“不”的国家。德国、英国等许多国家也有类似的“封阻法令”。例如,英国 1980 年通过贸易利益保护法 (Protection of Trading Interests Act of 1980,即 PTIA),授权其国务大臣 (the Secretary of State) 基于英国贸易利益或有侵越英国主权疑虑之考虑下,可以要求禁止配合外国法院或其他公权力机关的证据开示要求。
另外两个类型的“防”的措施可能没有那么争锋相对,但事实上也极大地抬高了从执法跨境调取数据的门槛。由于执法跨境调取数据的案例经常发生在银行业,因此也有人认为各国银行业相关法律中普遍规定的客户信息严格保密的规定,事实上也构成一种“封阻法令”,例如瑞士、卢森堡、新加坡等国的规定。第二个类型就是个人信息保护方面的法律。一个非常显著地例子就是欧盟2018年5月生效的《通用数据保护条例》(GDPR)。
GDPR在第五章专门规定了个人数据向欧盟境外传输的合法事由和条件,还专门在本章中的第48条明确规定:当第三国的法院或裁判所,或者第三国的行政机关要求数据控制者或数据处理者提供或披露个人数据,则仅当该要求是基于国际协定时才有效,例如欧盟或成员国与第三国签署的双边司法协助条约。据此,一部在全欧盟境内保护个人数据的法律,统一性地对个人数据出境做出了规定,其中还专门囊括了“执法跨境调取数据”这个情形。
与GDPR第48条相伴的Recital115说得更加非常明确:“有些第三国会通过法律、规则或其他法律措施,直接规管(regulate)在欧盟成员国管辖范围内个人和法人的数据处理活动。其中可能包括第三国法院或裁判所的判决或行政机关的决定,要求数据控制者或处理者移转或揭露个人资料,且并非基于如司法互助条约等在请求数据的第三国与欧盟或成员国间具有效力的国际协议。第三国类似的法律、规则及其他法律措施涉及治外法权的适用,可能违反国际法,且可能妨碍本条例达成对个人在欧盟的保护。数据移转应仅得在本条例对于数据移转至第三国所规定的条件均得到满足时,才能被条例所允许。”
因此,按照上述规定,外国执法机构要求当事人从欧盟境内将涉及个人数据的证据转移至欧盟境外时,只能通过双边司法协助条约;另外一个渠道是,当事人基于GDPR第五章规定的特殊情况下,将个人数据传输至境外。总之,外国法院、执法机关的命令,在GDPR眼里没有任何法律效力。
封阻法令的效果初探
封阻法令的确立,具体会如何影响美国法官、执法机关的考量。在取得对外国主体的长臂管辖后,美国法院还面临一个问题:要求外国银行提交位于国外的客户信息的命令,必然与国外政府禁止其对外披露客户信息的法律发生冲突。美国的法官尽管有扩张权力的欲望,但同时也有自我节制的能力,尤其是涉及到强制要求外国主体披露信息时会冒犯到另一国的国家利益时,会进行礼让分析。
对此,美国法学会在1965年的《第二次对外关系法重述》中,对此建议“各国应本着善意的原则,按照国际法综合考虑以下因素,对其司法管辖权进行适当调整:
各国国家利益的重要性;
法律冲突造成当事人履行困难的性质和程度;
一国强制措施需要在他国境内履行的程度;
当事人的国籍;
各国施行强制措施所能达到合理预期效果的程度。
随后美国第二巡回法院1968年美国第一国民银行的案件中第一次援引了上述观点,经过五点因素的考量后,裁定该银行强制履行大陪审团有关提交该银行位于德国的客户信息的传票。此后很多案件中,法院都认可上上述判断五个原则。
1987年美国法学会《第三次对外关系法重述》对上述原则进行了修改,规定:“在决定是否签发命令要求披露位于国外的信息前,美国的法院或政府机构需要考虑到的因素包括:
所要求披露的文信息对调查或诉讼的重要性;
要求披露的具体程度;
信息是否产生于美国;
是否存在获取该信息的其他替代性手段;
不遵守强制披露信息的命令将在多大程度上损害美国的利益,或者遵守该命令会在多大程序上损害信息所在国的法律所保护的利益。
在1987年MINPECO, SA v. Conticommodity Services, Inc.一案中,纽约联邦南区法院在上述五要素的基础上又发展了两个要素,包括(6)被要求披露方履行传票所遭遇的困难;(7)被要求披露方是否善意。
从上述因素来看,封阻法令可以让美国法官和执法机关一定程度上认识到法律冲突将给当事人带来的困境。但是由于考量因素众多,因此封阻法令的存在,在多大程度上会改变美国法官和执法机关的裁量,其实仍然很不确定。
总的来说,公号君认为《数据安全法》第三十三条和《国际刑事司法协助法》第四条这样的封阻法令的确立,对于应对针对数据的长臂管辖来说,具有一定的积极意义。(洪延青)
声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
