首页> 图书频道> 工学> 计算机科学

2.2 通信主权

2025年10月13日
版权
2.2 通信主权

自19世纪四五十年代以双边、多边条约形式达成国际邮政协议后,政府开始制定规则,对各自国内的电报网络进行互斥性管控,国际规则亦被限定在国与国间的互联互通范围内。各国间传递的电报消息在发报国边境截止,书面记录下消息后人工递送越过边境,经查验翻译(如有必要)后由边境另一侧的公司再次发送。[8][9][10]

对此类消息的内容加以限制的做法可追溯至跨境电报诞生之初。1850年的《德累斯顿条约》建立了奥地利德国电报公司,条约称,“要求电报局拒绝接受或发送对公众不利或不道德的私人通信消息”。[11]

1865年,国际电报联盟成立,贯彻1849年第一版《维也纳公约》批准的国际电报通信五大基本原则:①所有公民享有通信联络自由;②通信联络保密权;③各国有权仅将规则适用于国际通信联络;④各国有义务阻止对公共秩序和道德不利的电报传输;⑤各国有权在必要情况下暂停国际通信。这些原则呼应了自由国家既需尊重公民的个人自由又需维护国家主权的双重需求。[12]现行的国际电联《组织法》仍包含相似内容。国际电联《组织法》第180节和第181节:[13]电信的停止传送。

第180页。各成员国根据其国家法律,对于可能危及其国家安全或违反其国家法律、妨碍公共秩序或有伤风化的私务电报,保留停止传递的权利,条件是它们立即将停止传递这类电报或其一部分的情况通知发报局。如此类通知可能危及国家安全,则不在此限。

第181页。各成员国根据其国家法律,对于可能危及其国家安全或违反其国家法律、妨碍公共秩序或有伤风化的任何其他私务电信,亦保留予以截断的权利。

国内通信主权的原则为各国普遍采纳,包括美国、俄罗斯、中国和欧盟在内的不同体制的国家往往都将此原则写入国家法律。主要的问题并不在于各国在其领土范围内是否享有通信主权,而在于该主权是否能够延伸至领土以外的范围及能延伸至何种程度(治外法权)。下文举例说明了将数据接入和控制的主权延伸至国境外的部分努力。此行为带来了管辖权、接入和控制方面的敏感问题,推动形成了数据本地化的趋势。(见下文3.4节)

2.2.1 美国

1.美国爱国者法案

《美国爱国者法案》(“2001年通过提供拦截和阻止恐怖主义所需的适当工具团结和强化美国法案”)允许美国政府要求披露“由位于美国的公司运营的全球任意地点的任意数据中心系统存储的任何数据”。法案第505节为出具“国家安全调查函”(NSL)提供了法律依据,调查函可在无法院令状的情况下要求服务提供商上交客户的交易信息。调查函不得用于访问客户的通信内容或文件。根据《1978年涉外情报监控法案》,此类内容的提供需有法院令状,令状可由美国的专门法院(FISA法院)下达,条件是公司与美国具有最低程度的企业往来且拥有、保管或控制所需数据。不论是NSL还是FISA令状,都对数据提供附加了“禁制令”,阻止机构披露传票的存在或对传票的遵循。[14]

2.美国“棱镜”(PRISM)项目

1978年的FISA规定了可有专门的三法官法院授权进行电子监视的条件,对被认为代表外国势力从事间谍活动或计划攻击美国的人员予以监视。据报道,911袭击事件发生后,布什政府秘密授权国家安全局(NSA)绕过法庭,对基地组织嫌疑人及其他人员进行无证监视。“棱镜”(PRISM)是NSA 2007年上线的监视系统,NSA通过该系统拦截一系列美国互联网公司持有的电子邮件、视频剪辑、照片、语音和视频通话、社交网络详细信息、登录数据和其他数据。包括的公司有:微软及其Skype部门,谷歌及其You Tube部门,雅虎,Facebook、AOL和苹果。[15][16]据报道,美国最近(2019年3月)正考虑结束“棱镜”项目。[17]另一方面,据2019年5月1日的最新报道,政府正在倡导对较为宽松的有关立法予以更新。[18]

3.美国“云”法案

2018年通过的《澄清境外数据合法使用法案》(“云”法案)要求所有美国云服务提供商在获得订单时向美国有关部门提供存储在其服务器上的数据,无论数据托管于何处皆需提供。该法案允许美国与同意相互交换信息和数据的国家达成“执行协议”。[19]

法案解决了2013年微软公司拒绝FBI在贩毒调查中访问其爱尔兰服务器的问题,微软公司当时表示,不能强制其提供存储在美国境外的数据,这将导致公司违反欧盟的数据本地化和数据保护法。一审裁决中,美国政府胜诉。微软公司提出上诉,2016年,微软公司诉美国案再次开庭。美国上诉法院随后裁定微软公司胜诉,对“美国搜查令无法覆盖客户存储在海外的数据”的主张表示支持。[20]2017年10月,微软公司表示,司法部(DoJ)变更后的政策代表了“微软公司要求的大部分内容”,因而公司将放弃诉讼。2018年,“云”法案出台。[21]

2.2.2 欧盟《通用数据保护条例》(“GDPR”)

就在“云”法案颁布的几周后,欧洲出台数据保护法——《通用数据保护条例》,即GDPR,条例规定,无论设在何处,收集欧盟公民数据的所有企业都必须遵守GDPR的规定。《通用数据保护条例》(GDPR)取代了2018年春季的《数据保护指令95/46/ec》,成为规范公司保护欧盟公民个人数据的主要法律。不遵守GDPR的公司将受到严厉的处罚和罚款。[22]

GDPR的要求适用于欧盟各成员国,旨在为欧盟各国的消费者和个人数据提供更为一致的保护。GDPR的一些主要隐私和数据保护要求包括:

·数据处理需征得主体同意;

·对收集的数据进行脱敏以保护隐私;

·提供数据泄漏通知;

·安全处理数据的跨境传输;

·要求部分公司指派数据保护官以监督GDPR合规情况。

简言之,GDPR为处理欧盟公民数据的公司制定了一套强制性基准,以更好地保护公民个人数据的处理和流动。[23]此做法与美国的数据流政策存在冲突。[24]

2.2.3 时代计划(TEMPORA)

“时代”(TEMPORA)是英国政府通信总部(GCHQ)曾经使用的秘密计算机系统的代号。该系统用于缓存从光纤电缆中提取的大多数互联网通信,以便之后进行处理和搜索。系统于2008年进行了测试,2011年投入运营。

该系统对作为互联网骨干线路的光纤电缆进行拦截,从而获取对大量互联网用户个人数据的访问,同时避免引起任何个人的怀疑或针对。拦截器布放在英国和海外,拥有电缆或登录站的公司对此知情。“时代”系统的存在是由美国前情报承办商爱德华·斯诺登(Edward Snowden)揭露的,斯诺登于2013年5月向记者格伦·格林沃德(Glenn Greenwald)透露了有关该计划的信息,此外还披露了政府资助的大规模监听项目。斯诺登获得的文件称,“时代”计划收集的数据与美国国家安全局共享。[25]