数据跨境取证的困局与突破：《云法案》下的跨境数据共享机制

《云法案》（CLOUD Act）是美国颁布的一项法律，全称《澄清境外数据合法使用法案》（Clarifying Lawful Overseas Use of Data Act），于2018年3月23日签署生效。该法案的目的是为美国执法机构提供更加明确的权限，表面上是在调查犯罪时访问跨境存储的电子数据，实际上是方便美国政府向企业索取和管理境外数据。此前，执法机构需要通过相应司法程序请求外国政府提供这些数据，这种方式可能存在时间上的延迟和法律上的限制。该法案使得美国执法机构在获取这些数据方面变得畅通无阻。由于美国社交平台公司、云端服务提供商在全球市场占领大部分份额，这意味美国企业在全球业务扩展到多少国家，美国的数据主权就扩展到哪里，实现网络空间国际治理领域的“长臂管辖”。¹

美国国会研究服务部（Congressional Research Service，“CRS”）在2018年4月23日发布了立法机关律师Stephen P. Mulligan的研究报告《〈云法案〉下的跨境数据共享》（Cross-Border Data Sharing Under the CLOUD Act）。该报告回顾了美国刑事法律事务中跨境数据共享的发展状况，从《电子通信隐私法》（Electronic Communications Privacy Act，“ECPA”）和《存储通信法》（Stored Communications Act，“SCA”）的概述开始，讨论了“微软案”中提出的问题以及《云法案》对这些问题产生的影响，最后总结了《云法案》下新的国际数据共享机制。²下面本文将对该报告予以综述。

一、ECPA与SCA

ECPA于1986年颁布，是美国政府规范个体持有的电子通信披露的主要法律之一。ECPA由三部分组成：第一章通常被称为《窃听法》，主要管理对于有线的、口头的以及电子通信的拦截；第二章通常被称为《存储通信法》（SCA），适用于多种形式的电子通信和相关数据，包括电子邮件、个人短信、网上帖子、社媒评论以及YouTube视频；第三章规定了禁止监视记录器（Pen Register）及追踪装置（Trap And Trace）在没有搜索令的情况下，记录传递有线或电子通讯过程中的通话、路由、定位、讯号资讯。ECPA的每一章都包含了对于有关数据可以被使用或披露的情况的限制。

ECPA自颁布以来，通讯技术不断发展，执法部门也已将其重点从根据《窃听法》拦截实时通信转向寻求由SCA管理的目前常见的存储通信形式。但是SCA并没有对其范围内的所有通信或数据适用同样的规定。相反，SCA的范围可能会受到该法律是否适用于“电子通信服务”（ECS）或“远程计算服务”（RCS）的提供商的影响。SCA的一些要求因提供者的不同而有所不同。SCA有两个核心组成部分，适用于两种形式的提供者：（1）禁止披露某些数据；（2）强制性披露规定。

1. SCA项下的禁止披露

SCA的第一部分是对于供应商共享客户的电子通信及其相关记录和信息的能力的限制。限制因数据的种类而不同。对于电子通信的内容（如电子邮件正文），SCA禁止向“任何个人或实体”披露。SCA还禁止ECS 和RCS这两类提供商向美国政府披露“与该类服务的订户或客户有关的记录或其它注册号码等相关信息”——这项涉及非内容信息或“元数据”（例如相关帐户名称、IP地址和电话号码）的禁令，并不禁止向私人实体或外国政府披露信息。

2. SCA项下的强制披露

SCA的第二部分要求供应商向美国政府披露客户通信和相关记录。SCA建立了一个分级体系，具有不同的程序和标准，以便美国政府向云端服务提供商索要用户的存储通信。如下所述，SCA的强制披露标准取决于多种因素，其中包括：所要求的数据类型；ECS或RCS是否持有数据；数据存储的时长；数据是内容还是非内容；是否提前通知用户。多重因素导致对确定披露是否具有强制性的判断变得复杂，需要针对具体事实进行评估。

如果政府寻求ECS供应商访问已在“电子存储”少于180天（最长期限）的通信内容，SCA要求，美国政府必须获得搜查令。搜查令的发布只有基于美国政府证明了可能的犯罪证据；如果通信已存储超过180天，或者如果RCS“仅为提供存储或计算机处理服务”而“保存或维护”，那么只要告知了客户，政府就可以使用ECPA的18 U.S.C.§2703(d)项下的传票或法院命令：要根据本条获得命令，申请人必须证明“具体和明确的事实，证明有合理理由相信……电子通信……与正在进行的刑事调查有关且重要。”³

SCA还允许政府通过搜查令访问除通信内容外的非内容信息，但在这种情况下，需要同时使用传票或第2703节(d)命令向客户提供通知。所访问的基本用户信息，包括用户的姓名、地址、电话号码、服务时长和支付方式（包括银行账号）。为了获得搜查令或第2703节(d)项下的命令，政府可能遵循更严格的要求，但政府也可以使用行政传票，从而不需要事先由司法官员授权并通知客户。

二、“微软案”与《云法案》

如上所述，SCA要求，政府获取搜查令后，云端服务提供商必须披露用户电子通信的内容。2013年12月，美国缉毒局执法官员获得了一份SCA搜查令，要求微软披露与其一个用户账户相关的所有电子邮件和通讯信息。美国缉毒局发现该账户被用于非法贩毒后，地方法官发布搜查令要求微软披露在其拥有、保管或控制范围内电子邮件账户的内容和与账户相关的所有记录或信息。

微软声称，虽然用户账号的元数据/非内容数据（例如相关帐户名称、IP地址和电话号码）存储在美国，但存储其内容数据的一个数据中心在爱尔兰境内的都柏林。微软将用户的电子邮件存储在其世界各地众多的数据中心里——通常是用户注册电子邮件服务时所在的地方。微软并不否认它有能力用美国电脑访问爱尔兰邮件，但它拒绝遵循搜查令中访问存储在境外的数据这一要求，因为SCA的强制性披露规定并不适用于域外管辖范围。

2014年4月25日，纽约南区联邦地区法院驳回了微软的反对意见，并以微软公司未能提供电子邮件为由裁定其为民事上的藐视法庭罪。但在2016年7月14日，美国联邦第二巡回上诉法院推翻了这些裁决。根据联邦最高法院确立的先例即除非法律另有规定，否则美国法律在美国领土管辖权之外无效），第二巡回上诉法院认为，SCA对只存储在外国服务器上的电子邮件不具有授权控制的效力。随后，美国司法部对第二巡回上诉法院的判决提起了上诉，联邦最高法院于2017年10月批准审理“微软案”，引起了社会各界的广泛关注。“微软案”从2013年底持续到2018年初，而《云法案》出台的时机正是在“微软案”上诉至美国联邦最高法院的审理期间。《云法案》可以说是美国政府在社会各界的多方呼吁下，对于“微软案”的立法回应。

（一）《云法案》对微软公司的立法回应

当“微软案”在最高法院悬而未决时，美国司法部寻求对第二巡回上诉法院的裁决作出立法回应。在2017年6月，众议院司法委员会的一个听证会上，司法部代表认为，第二巡回上诉法院的裁决阻碍了美国政府获取服务提供商存储在海外的数据的执法能力，造成影响公共安全的一项重大问题。因此，司法部提出了一项法律草案，将修改ECPA中的规定，包括SCA中的规定，明确规定当数据在提供者拥有、保管或控制之下时，服务提供者必须遵守法律的强制性披露要求——无论该数据是否处于美国境内。如美国司法部所称，该动议旨在“恢复‘微软案’前的状况，即服务提供者按惯例遵守SCA对海外存储数据的授权”。

2018年2月，美国参众两院提出了相同的法案——其中就包含司法部动议的治外法权条款。《云法案》被列入《2018年综合拨款法案》，该法案经两院通过后，于3月23日由时任总统特朗普签署成为法律。《云法案》修订了ECPA，包括以下治外法权规定：

“（提供者）应遵守本章的义务，保存、备份或披露有线或电子通信的内容和任何记录以及在这些提供者的占有、监管或控制之下的用户其他信息，无论这些通信、记录、或其他信息是否位于美国境内。”

《云法案》颁布后，美国政府申请了新的搜查令，在新法律的授权下请求获取与微软争议的电子邮件。由于美国和微软都同意新的搜查令取代了之前的搜查令，联邦最高法院认为本案已经不存在争议，失去了继续审理的法律意义，遂裁定驳回了该案件。

（二）《云法案》与外国法律冲突时的救济

《云法案》除了明确定义ECPA（包括SCA在内）强制性披露规定的管辖范围，还包含旨在解决潜在法律冲突（如果美国政府寻求访问的数据存储在一个法律禁止披露数据的国家）的规定。作为救济，《云法案》授权提供者在满足下列状况时提交撤销或修改数据访问的请求：

·提供者有理由相信访问的目标不是美国人也不居住在美国

·提供者有理由相信披露会因违反外国法律而造成重大风险

·违反其法律的国家与美国签有《云法案》授权的数据共享协议

法院在查明这三个条件满足后，可批准提供者提出撤销或修改政府对数据访问请求的动议：（1）请求的披露将违反外国法律；（2）出于公共利益，访问请求应撤销或改变；（3）目标不是美国人且不居住在美国。在确定第二个条件是否得到满足时，法院必须进行“礼让分析”。礼让原则（尊重外国主权原则）要求法院在一些情况下为违反美国法律的行为开脱，或者在域外法律下强制实施的行为违反美国法律时，减轻对这类违法行为实施的制裁。礼让原则曾被描述为模糊和定义不明确的，但《云法案》具体列举了法院在决定礼让原则是否支持撤销或修改数据访问请求时所应考虑的因素。

然而，值得注意的是，《云法案》的礼让因素和提交撤销或修改动议的法定权利仅适用于与美国有数据共享协议的国家。对于没有达成这类协议的国家，《云法案》保留了普通法上的礼让原则。普通法礼让原则一般规定，只有当有关个人或实体出于善意行事以避免冲突时，才能因外国法律而避免美国的法律义务，但仍有可能因不遵守外国法律而受到严厉的制裁。最终，根据《云法案》或普通法原则进行的礼让分析很可能是一种高度针对事实的评估，取决于美国政府对海外存储数据的访问需求的具体情况。

三、《云法案》后的国际数据共享

《云法案》不仅明确扩大了美国政府获取存储在境外数据的权限，还限制了外国政府在美国获取数据的能力。随着基于互联网的通信已变得司空见惯，犯罪行为的证据往往来自于存储在犯罪发生国家的领土管辖范围以外的服务器上的数据。由于总部设在美国的科技公司在其服务器上拥有世界上大部分的电子通信设备，外国政府经常寻求访问美国公司持有的数据。与此同时，ECPA规定，在没有法定例外或联邦法院授权的情况下，禁止服务提供者直接向外国政府披露电子通信内容。

由于ECPA作为一项“阻断法案”（blocking statue），禁止外国政府直接获取由美国私人实体存储的某些第三方数据，外国政府已经寻求美国政府的帮助，以获得授权披露的搜查令。在《云法案》颁布之前，有两种获得搜查令的常见国际法律程序：调查委托书和司法互助协定。

（一）跨境数据共享的三种途径

1、调查委托书

调查委托书（Letters Rogatory）是一个国家的法院向另一个国家的法院提出的请求，以寻求帮助来获取位于国外的证据。历史上，调查委托书是国家之间共享证据的主要机制。而司法互助协定和《云法案》下授权的协议通常仅限于政府间的刑事案件请求，民事案件中的刑事被告和私人诉讼当事人可以要求美国法院发出调查委托书。当美国与外国没有签订司法互助协定或云法协议时，美国政府也可以使用调查委托书寻求司法援助，跨境取证。

调查委托书是以礼让原则为前提的自由裁量请求，而不是国际法规定的义务。没有任何法定义务保障接受委托的国家会作出回应，证据共享的过程也是周期漫长且不可预测的。因此，“调查委托书”通常被认为是在跨境取证最不可取的方法。

2、司法互助协定

司法互助协定（Mutual Legal Assistance Treaties，MLATs）通常是双边条约，签约国家同意在调查和起诉犯罪方面向外国政府提供某些援助。调查委托书是自由裁量的请求，而司法互助协定则创造了国际法规定的基于条约的义务。20世纪70年代，随着对复杂的、协调一致的国际犯罪（例如洗钱和毒品走私等）的调查变得更加普遍，美国和其它国家开始加入MLATs，建立了在刑事案件中跨国共享证据的标准化程序。

虽然每个MLAT的要求可能因条约的具体条款而有所不同，但MLATs一般要求各国传唤证人，强制其出示文件和其他证据，签发搜查令，并根据外国政府的请求提供帮助。MLATs通常也会明确拒绝请求的理由。美国与超过60个国家签订了MLATs，但这个数量还不到全世界的一半。

MLAT的每一方都指定了一个中央当局，双方通过它可以进行直接通信。美国的中央当局是在司法部刑事部门的国际事务办公室（OIA）。当美国收到提交的司法协助请求时，OIA进行初步审查，以确保该请求包含所有必要的信息，并符合要求的格式。OIA随后将请求转发给证人或证据所在辖区的美国检察官，检察官向联邦地区法院提出请求，要求向法院下达命令或搜查令，授权美国执行外国所要求的行动。在授权采取行动之前，法院将审查该请求，以确保其符合基本条约、美国法律和宪法要求。在搜查令或法院命令发布后，服务提供者也将数据转移到美国政府之后，OIA和联邦调查局（FBI）对这些材料进行审查，以尽量减少无效请求信息的产生。

根据2013年美国总统情报和通信技术审查小组的数据，提交给美国的MLAT请求平均需要大约10个月才能完成。当美国从外国寻求数据时，有些请求需要相当长的时间，特别是当提交给不合作或法律体系不那么复杂的国家时。据美国司法部官员David Bitkower说，对于某些特定种类的数据访问请求，美国从未收到过相应回复。⁴美国寻求跨境数据访问的过程中，MLAT这一途径依然存在着困难，给美国直接获取跨境数据设置了障碍。

3、由《云法案》授权的执行协议

尽管通过MLAT的取证过程通常被认为比调查委托书更可预测和更具效率，但近年来，MLAT也成为了被批评的对象，因为MLATs协议下的取证请求响应时间太久，且与美国签订MLAT的国家太少。与此同时，请求协助获取美国数据和其他证据的数量显著增加。美国司法部在2017财年预算申请中表示，外国请求美国司法援助的数量同比增加了近85%，其中对美国的“计算机记录”的访问请求数量同比增加了1000%以上。

随着外国政府对海外数据的需求扩大，一些国家直接从美国提供商处寻求数据，并通过立法授权本国政府强制企业披露某些数据。这些发展使美国科技公司处于潜在法律义务冲突的交集：服务提供商可能收到外国法院强制披露数据的命令，同时美国法律又禁止披露这些数据。潜在的相互冲突的法律义务，加上对MLAT和调查委托书繁冗程序的批评，催生了关于改变国际数据共享制度的建议，最终形成了《云法案》。

《云法案》创造了国际数据共享机制的第三种范式：有可能达成这样一种国际协议，取消对美国科技公司（响应某些国家发布的强制披露数据命令）直接从美国获取数据的法律限制。而MLATs是美国宪法意义上的“条约”——这意味着它们是行政部门在收到参议院“条约条款”规定的建议和同意后达成的具有约束力的国际协议。《云法案》授权美国与符合条件的外国签订“行政协定”。行政协定是行政部门根据条约条款以外的权力来源而签订的具有约束力的国际协定。行政机关的权力权往往来自立法，《云法案》的授权机制也同样如此。

《云法案》所授权的执行协议要求服务提供者直接向请求访问的（与美国签订数据共享协议的）外国政府披露电子通信的内容，包括存储通信和被窃听拦截的实时通信。该法案取消了ECPA禁止向这些外国政府披露信息的禁令。当签订《云法案》协议的国家向美国云端服务提供者发出数据访问的“命令”时，提供者可以披露其所要求的数据，而不受ECPA规定的民事或刑事处罚。相比之下，在MLAT和调查委托书的程序中，跨境数据请求最初是提交给政府实体，而不是提交给拥有数据的私人主体。

尽管《云法案》授权执行协议取消ECPA禁止披露的禁令，但该法案及其授权的协议都没有规定服务提供者必须遵守外国政府对于数据要求的法律义务。相反，外国政府发布寻求数据的命令的权力必须完全来自其国内法。此外，除ECPA以外的各州或联邦的其它法律仍可能禁止披露特定类别的信息。

（二）《云法案》协议的运作机制

1、《云法案》协议的要求

《云法案》包含了一些限制性规定，明确哪些国家可与美国签订协议，以及符合资格的外国政府可以向美国云端服务提供者请求访问哪些数据。根据《云法案》达成的协议生效之前，司法部长应经州司法部长同意，须制作四项书面认证，提供给国会并在联邦公报上发布：

（1）外国法在其数据收集活动中“为隐私和公民自由提供了强有力的实质性和程序保护”，根据至少七个法定因素确定；

（2）外国政府采取了“适当的”程序，以减少获取、保留和传播有关美国人的信息；

（3）执行协议不会规定提供者能够解密数据的义务，也不会造成阻止提供者解密的限制；

（4）执行协议要求根据其条款发布的任何命令都遵守一套额外的程序和实质性要求。

《云法案》明确规定，这些认证不受司法或行政审查。但该法案赋予国会权力，在提供认证后，通过加快国会的条款审查，阻止拟议中的行政协议生效。认证必须每五年更新一次，重新认证使国会有权通过加速审查程序阻止更新。此外，如果参众两院司法或外交委员会提出要求，行政部门必须向其提供一份它在确定外国政府满足《云法案》要求时所考虑的因素的摘要。

2、《云法案》协议下命令发布的限制

《云法案》的第四项认证要求，根据该法案签订的任何数据共享协议都必须包含一套与外国政府发给服务提供者的命令相关的要求。其中包括：

·确定作为命令对象的特定个人、账户或其他标识符；

·以“基于清晰和可信的事实、特殊性和调查行为的合理理由”为前提；

·不是故意针对美国人（或位于美国的人）或针对旨在获取美国人信息的非美国人；

·为获取与预防、侦查、调查或起诉或“严重”罪行有关的信息而发布；

·遵守发布命令国家的国内法律；

·不用于侵犯言论自由；

·通过窃听捕获实时通信时，需要满足额外要求。

当外国政府从服务提供者那里收到所请求访问的数据时，必须立即审查这些材料，并将任何未被查看的通信数据存储在一个“只有受过适用程序培训的人员才能访问的安全系统”上。“适用程序”必须在最大程度上遵守《涉外情报监视法》（FISA）第101条的最小化程序，外国政府不得应美国或任何第三方政府的要求发布命令，而且不得披露美国人和美国政府的通信内容，但涉及重大伤害的案件以及对美国或美国人构成伤害和威胁的案件除外。

3、《云法案》授予美国的强制性权利

《云法案》要求数据共享协议授予美国政府某些权力。具体来说，外国政府必须给予和美国进行数据访问的互惠权利，并允许美国政府定期审查该国家是否遵守执行协议条款的情况。对于美国政府认为协议“可能未被适当援引”的任何命令，《云法案》协议还必须保留美国“使该协议不适用”的强制性权利。

4、《云法案》协议下司法或政府审查命令

《云法案》跨境调取数据的程序不同于早期的国际数据共享制度。在MLAT和调查委托书的程序中，联邦法院在发布搜查令或法院命令之前，要审查和批准外国政府的数据访问请求。这些要求一般必须满足美国的法律标准和宪法要求，如美国宪法第四修正案。一些联邦上诉法院指出，若遵守MLAT和调查委托书程序会导致违反美国宪法，则可以拒绝该访问请求。对于MLAT的请求，在获得司法批准执行跨境数据调取的请求前后，行政部门的各机构会对美国法律的遵守情况进行额外的审查。

相比之下，根据《云法案》协议，外国政府可以直接向服务提供者提交命令。虽然这些命令“需要接受外国法院、法官、地方法官或其他独立当局的审查或监督”，但《云法案》不需要接受美国法院或联邦机构的审查或批准。与MLAT和调查委托书不同，《云法案》规定，在外国政府向服务提供者发布命令后，外国可以进行司法或其他独立审查。最终的结果是，外国根据《云法案》发布的命令不需要接受美国政府任何分支机构的个别审查，美国法院也不需要分析外国政府的要求是否符合美国宪法标准。这一变化似乎是为了加速数据共享过程，特别是在涉及紧急或其他时间敏感请求的情况下。美国政府审查外国数据请求的时机主要将发生在定期审查共享协议期间，以及在评估一国法律是否满足《云法案》的资格要求时。

5、哪些国家有资格加入《云法案》协议

《云法案》没有具体说明哪些国家符合其要求，美国司法部部长在其报告发布之日也没有为拟议的协议提供必要的证明。因此，在当时哪些国家有资格签订《云法案》协议还不清楚。然而，在2016年，美国司法部通知国会，美国将寻求立法与英国签订双边数据共享协议。虽然双边协定草案尚未公开，但司法部提议立法，司法部认为执行可能的协定是必要的。而《云法案》的结构和许多条款似乎是来自司法部提议的立法，在某些情况下是逐字提取的。一些评论人士认为，美英协议将是第一个由行政部门认证并根据《云法案》的国会审查程序提交国会审查的协议，如下所述。

6、国会对《云法案》协议的审查

《云法案》规定，在拟议的数据共享协议生效之前，国会需要有180天的强制性审查期。该法案还规定了一些程序，授权国会审议拒绝批准关于加快程序的行政协议的联合决议。这些程序还包括，提交联合决议的国会委员会在120天内自动解散；放弃某些命令指示；辩论的限制内容和框架结构；以及加快处理国会另一议院提出的联合决议。

如果国会在180天的审查窗口期间通过一项联合反对的决议（这一决议需要由国会参众两院通过，并由总统签署或推翻否决），根据《云法案》规定，拟议的协议可能不会生效。因为《云法案》规定，拟议的数据共享协议将在得到司法部长和国务卿的批准后提交给国会——评论人士认为，总统不太可能签署一份联合反对决议，确保多数决以阻止拟议中的《云法案》协议生效。

（三）《云法案》的意义与影响

1、对《云法案》的评论

《云法案》受到的评价毁誉参半。一些人认为，该法为与证据全球化和对刑事案件中的跨境数据取证需求增加的问题提供了一种实际的补救方案。支持者声称，由于需要存储在国外的数据（这些数据通常由美国互联网公司持有），已经使MLAT和调查委托书建立的法律体系负担过重，使这些机制“过时和低效”。支持者还认为，《云法案》为隐私、公民自由和人权提供了充分的保护。他们认为，如果没有《云法案》，无法获得美国公司持有的数据的沮丧的外国政府将对本国法律进行域外适用，或颁布数据本地化法律，而数据本地化会阻碍一个开放的互联网的有效运作。美国几家主要科技公司——包括苹果、脸书、谷歌、微软和威讯公司——都支持这项立法，称这是减少法律冲突的有效立法解决方案。

《云法案》的批评者认为，该法案降低了之前在跨境刑事调查和起诉中获得证据所需的标准，这对公民自由和人权构成了威胁。他们认为，《云法案》的个性化怀疑标准（即“基于被调查行为的明确可信事实、特殊性、合法性和严重性的合理理由”）是模糊的，可能达不到在美国获取司法搜查令所需理由的水平。一些人认为，行政机关证明一个国家符合《云法案》标准的决定应该经过司法或其他审查。另外一些人认为，如果外国的国内法律符合该法案的资格标准，那么外国数据请求就不需要个性化审查的这一设定是有缺陷的，因为外国政府的实际运作可能不符合国内法律，并可能会随着时间的推移而改变。《云法案》的几位批评者认为，它应该要求外国法院或独立当局在向美国服务提供商发布命令之前，批准外国政府的命令。另一些批评者认为，除此之外，该法案应该增加外国政府获取实时通信的要求，这与《窃听法》中美国拦截实时通信的标准相同。

2、《云法案》协议将会如何与现存的数据共享过程进行交互？

《云法案》授权的执行协议将补充而非取代现有的国际数据共享途径。所以仍可通过MLATs和调查委托书提供跨境数据访问的援助请求。

当根据现有的数据共享过程进行分析时，《云法案》有可能形成一个在刑事案件中进行跨境数据共享的三层系统。那些被批准签署《云法案》协议的国家可以在涉及“严重犯罪”的案件中直接向美国服务提供者要求共享数据——前提是不针对美国人或位于美国的人，并满足《云法案》的其它要求；对于那些签订MLAT但未签订《云法案》协议的国家，或者对于不属于《云法案》范围的数据请求，外国政府可以通过MLAT程序寻求数据访问；最后，私人诉讼主体和未签订《云法案》协议或MLAT的国家可以要求他们的法院向美国法院发出调查委托书。

图1：跨境数据共享的三层系统

四、结语

虽然《云法案》可能为美国执法机构提供了获取跨境数据更加明确的权限，但其对国际数据共享制度的具体影响尚不清晰。随着互联网的不断扩张和愈发全球化，全世界执法机构有望继续寻求访问存储在境外服务器上的数据。尽管负责运营世界上大部分数据的主要科技公司位于美国，但美国互联网用户只占全球约30亿互联网用户的不到10%。这些数据可能使得许多国家寻求加入《云法案》协议，使其更快地访问美国提供商持有的数据。美国最终是否达成此类协议，将取决于行政部门是否愿意证明外国的资格，以及国会是否希望通过不通过法律的联合决议来阻止拟议的协议。

《云法案》对隐私、人权和公民自由利益的影响也同样难以预测。如前所述，该法案有可能创建一个跨境数据共享的三层系统，美国最受信任的外国合作伙伴能够直接从美国公司获得数据，而不需要经过美国政府的个性化审查。由于这种直接访问系统不同于现有的国际数据共享制度，因此数据请求的管理方式、收集的数据类型以及滥用该系统的程度，可能会随着时间的推移变得更加明显。

相对于领土，数据不可避免地发生跨境流动。哪个国家能吸引更多的数据流入，就能控制更多的数据。因此，数据主权不仅仅是指保障一国政府对其管辖区域内数据的控制性权力，还应包括增强一个国家（包括其管辖的组织和个人）对（境内外）数据的掌握程度和处理利用能力。维护我国的数据主权，应同时考虑如何让我国企业能够在全球范围内掌握、利用更多的数据；毕竟，美国之所以能够将长臂伸到全球，依赖的正是其遍布世界的企业。在丰富了数据主权内涵的基础上，在数字时代坚持传统的主权观念和多边主义的同时，如何为我国互联网企业出海以及“全球一体化运作”创建良好的数据流动秩序，也成为我国选择执法跨境调取数据模式的重要考量之一。⁵

参考文献

[1] http://xcb.mdjnu.cn/info/1012/3176.htm

[2] Stephen P. Mulligan，Cross-Border Data Sharing Under the CLOUD Act，Congressional Research Service.

[3] 18 U.S.C. § 2703 - U.S. Code - Unannotated Title 18. Crimes and Criminal Procedure § 2703. Required disclosure of customer communications or records，https://codes.findlaw.com/us/title-18-crimes-and-criminal-procedure/18-usc-sect-2703/

[4] International Conflicts of Law Hearing, supra note 4, at 21 (statement of David Bitkower, Principal Assistant Deputy Att’y Gen., U.S. Dep’t of Justice).

[5] 洪延青：《“法律战”旋涡中的执法跨境调取数据：以美国、欧盟和中国为例》，载《环球法律评论》2021年第1期。

选题、指导 | 刘云

撰稿、编辑 | 刘懿阳

声明：本文来自清华大学智能法治研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。