数据主权的全球扩张:美国“云幕法案”简评
苏 宇 [445]
美国国会于2018年3月23日通过了《海外数据合法使用权明确法案》[446] (Clarifying Lawful Overseas Use of Data Act,简写为CLOUD Act即所谓“云幕法案”),同日,该法案获得总统签署,产生法律效力。由于涉及数据与信息控制权的战略性争夺,这一法案获得了世界范围内的广泛关注。法案以“保护公共安全和打击严重犯罪行为”的需要为由,为美国政府获取企业跨国存储的数据提供了至关重要的授权。本文是对“云幕法案”的简要述评,旨在为国内数据与信息法制的研究者与实务工作者提供参考。在数据资源日益成为关键战略资源的信息时代,我们亦需要紧密关注与研究美国这一重要立法动态,完善数据资源利用与规制方面的立法和国际协议,同时防范潜在国际法律冲突的风险。
一、“云幕法案”的主要内容
“云幕法案”的主要内容,除背景介绍部分外,主要是两项对既有通信法制(相关内容在《美国法典》第18卷)的修正:一是授权美国政府要求通信服务供应商提供存储在外国的数据,二是规定适格的外国政府(qualifying foreign government)如何从美国通信服务供应商获得存储在美国的数据。这两个部分表面上一来一往、逻辑相仿,实际规定却大相径庭。
(一)背景介绍
“云幕法案”的正当性基础来自背景介绍部分开门见山的断言:及时获得通信服务供应商的电子数据是政府保护公共安全和打击严重犯罪行为(包括恐怖主义)之努力的重要组成部分,但是美国管辖的通信服务供应商(communications-service providers that are subject to jurisdiction of the United States)所监管、控制或占有的一些数据存放于美国以外,美国政府在获取这些数据时遇到了障碍,即外国法律可能禁止供应商向美国政府提供这些数据。同时,法案也指出,外国政府在试图利用美国通信服务供应商占有的电子数据以打击严重犯罪行为时也遇到了类似的障碍。因此,法案在这两方面都提供了一系列的规则,利用国际协定提供的机制帮助美国政府以及有相同法治共识的相关外国政府解决相互冲突的法律义务,共同促进公民隐私和自由的保护。
(二)美国政府要求提供存储在外国的数据
早在《存储通信记录法》(Stored Communication Act,SCA)中,美国政府就可以通过行政传票(subpoenas)、法院命令(court order)或搜查令(warrant)获取存储在本土的数据,包括用户姓名、地址、电话、网络地址、通话记录和支付信息等。[447] “云幕法案”本身只是对美国政府获取数据范围的延伸,对美国政府要求提供存储在外国的数据没有施加额外的程序和条件限制。法案中对此的核心规定是:“一个提供电子通信服务或远程计算服务的供应商应遵守本章提到的义务,包括保存、备份或披露有线或电子通信的通信记录,以及任何供应商占有、监管、控制的用户信息;无论这些通信信息、记录或其他相关信息位于美国境内还是境外,都应受到监管或控制。”这一项作为单独的第2713条内容加入《美国法典》中,使得此前已经载于第2703等条的数据提供义务也适用于存储在美国境外的数据。
不过,通信服务供应商对于提供数据的义务也可以有一定的豁免权。在两种情况下,供应商可以申请修改或免除一项提供数据的要求:一是客户或订阅者既非美国人、又不居住在美国;二是提供信息的要求会违反“适格的外国政府”的法律。所谓“适格的外国政府”,需要满足两个标准:一是与美国政府缔结了《美国法典》第2523条下的执行性协议,且协议已生效;二是该国的法律为通信服务供应商和远程计算服务供应商(remote computing service providers)提供与《美国法典》第2713条“定义”部分第(2)段和第(5)段相似的实体性与程序性的(辩护与救济)机会,其主要内容是承认同样的豁免权(包括获得法院审查的机会),并且提出豁免申请可以产生数据提供义务延期效果。通信服务提供商申请豁免时,除非法院基于《美国法典》第2705条第(a)款第(2)项下的特殊危险情形发出命令,否则相关服务供应商没有立即提供数据的义务。
同时,法案还规定法院在决定是否准许这种豁免时需要考量的国际礼让因素。这些礼让因素包括美国的利益、适格外国政府禁止提供相关信息的利益、供应商及其雇员受处罚的可能性以及处罚的性质和程度、对被提供的信息进行调查的重要性、数据客户或用户与美国或外国的联系、以不会造成严重后果的其他方式及时获得相关信息的可能性、供应商在美国的经营活动情况及与美国的关联紧密程度等。质言之,供应商的豁免权并不必然能够导致其数据提供义务的豁免,最终结果需要取决于法院根据复杂因素的综合裁量。
(三)外国政府请求提供存储在美国的数据
对外国政府请求提供存储在美国的数据的规定占据了此次相关修法内容的大部分篇幅。按照前述定义,“适格的外国政府”表面上只需要两个条件:一是执行生效的行政协定,二是给予通信服务供应商类似于美国政府要求提供数据时给予的实质性和程序性机会。但细究到外国政府请求美国通信服务供应商提供数据的制度细节,则可发现具体标准的严苛繁密。首先,提供数据的请求在程序上至少需要经过美国国务卿的同意和总检察长的决定,还需要向美国国会提交书面证明,证实此种请求符合法律的一系列要求;随后,国会还将通过参众两院的多个委员会对请求进行审查,还要依法举行听证,还可以在90天内通过联合决议否决总检察长的决定。其次,符合“云幕法案”的外国请求需要符合《美国法典》第2523条中极为庞杂的一系列新增要求,而该条对此种请求设定了非常多的条件限制。最后,即使经过重重审查,总检察长的决定得以生效,它的效力也不是永久性的,需要每五年更新一次。质言之,外国政府请求通信服务供应商提供存储在美国的数据可谓困难重重。
对外国政府请求获取数据的条件限制,构成了与“云幕法案”相伴的法律修订的最重要内容。这些限制包括了三个大的层面:
1.满足公民隐私保护与公民自由保护的程序性和实质性标准。如果相关国家不是《网络犯罪公约》的缔约国且在惩治网络犯罪和获取电子证据方面有充分的程序性与实体性法律规定,就必须满足一整套复杂的标准。这些标准包括6个大项、11个具体项目,诸如“对法治和不歧视原则的尊重”“尊重国际普遍人权”“有明确的法律授权和程序”、问责性、透明度、互联网的开放性、分布性和互联性等标准都在此列,而“尊重国际普遍人权”又包括了防止非法和任意干涉隐私、言论自由、交往自由、和平集会的自由、获得公平审判的权利、禁止酷刑等大量的价值判断内容。
2.要求外国政府采取了适当的程序,尽量减少获取、保留和传播受协定约束的和美国人有关的信息。这一标准在规定上比较简单,目标亦十分明确,但裁量余地较大,也需要一定的价值判断与阐释。
3.对外国政府的此种行政命令从内容和方式上提出直接的要求。这些要求包含了11个大项(其中一项还包括6个子项和3个二级子项)的繁复内容,逻辑上颇为驳杂,既包括不得用于侵犯言论自由、不得故意针对美国公民或在美人士、不得向美国政府或第三方政府发布要求获取信息的命令等比较简明的、原则性的标准,也包括对命令内容和持续时间的详细规定,还包括类似于比例原则中最小侵害原则的规定。其中,若干明确的强制性规定值得我们特别关注:一是要求此种命令能够受法院、法官、裁判官或其他独立机构审查;二是如果外国政府禁止供应商披露数据,也至少要给美国供应商提供访问数据的对等权利、取消对供应商访问数据的限制并提供正当法律程序的保护;三是外国政府应同意定期审查其是否遵守由美国政府执行的协议条款。这些规定对我国通过“云幕法案”获取美国的数据构成了潜在的障碍。
二、“云幕法案”的立法思路与价值立场
(一)立法思路
“云幕法案”的立法思路非常清晰:一方面为美国政府获取美国数据服务供应商的海外数据提供宽泛的授权;另一方面为美国在互联网价值观和法治理念方面经过严格筛选的盟友提供风险可控、程度有限的支持。(https://www.daowen.com)
美国政府从这一立法中可以获取的战略性优势是显而易见的。鉴于美国企业在通信和远程计算服务方面全球范围内的强势地位,这一法案非常明显地预示了美国政府将更多的海量数据纳入新的掌控范围。这些企业虽然可能拒绝美国政府在其系统中设置后门或解锁其加密系统,并且呼吁对全球范围内政府获取数据设置强有力的审查与制衡,[448]但却碍于既有立法的明确规定,已为美国政府提供了其掌握的大量数据。[449]如果将这些企业在海外占有、监管的数据也一并纳入提供数据的范围,美国政府所掌控的数据资源将进一步急剧增长。尽管法律宣称获取这些数据仅限于“保护公共安全和打击严重犯罪行为”之目标,并且美国已有《电子通信隐私法》(Electronic Communications Privacy Act,ECPA)等一系列保护个人隐私的立法,但事实上美国政府调取与利用这些数据仍然欠缺强有力的深度审查;如果结合《海外情报监控法》(Foreign Intelligence Surveillance Act)获取数据资源,联邦调查局等有关机构向企业获取数据的许多命令甚至不需要经过法官批准,使美国政府在数据获取方面得以拥有外部约束不充分的巨大权力。“云幕法案”进一步强化了这种权力的基础,并且在美国政府和外国政府之间制造出数据获取权方面的明显差异。“云幕法案”对美国政府获取境外数据几乎没有约束,唯一的显著障碍只是“适格的外国政府”的法律禁止,并且还需要法院的审查和确认;而对于外国政府获取美国数据而言,尽管立法的基本面向仍采取了国际礼让的立场,但仅从规则层面观之,此种国际礼让很大程度上是可自主裁量的,施加了几近严苛的多重审查。
易言之,“云幕法案”的基本立法逻辑仍然是以主权国家为基础,通过国家主权的属人性面向延伸“数据主权”(data sovereignty)的范围。此前,数据主权的概念通常是从属地角度进行理解的,[450] “云幕法案”则使之延及主权国家的自然人和法人所监管、控制和占有的数据资源。更进一步看,“云幕法案”为美国政府保留了形成大数据的能力,但将外国政府(哪怕是“适格的外国政府”)的权限严格限定于有时间、对象等精准限制的个别数据。自技术层面观之,这甚至已经不是同一种性质的数据采集行为。这一立法思路针对的是“数据本地化”(data localization)的法律潮流。2016年7月美国联邦第二巡回审判区法院对“微软爱尔兰”案(the “Microsoft Ireland” Case)做出判决,[451]强烈地刺激了许多国家进行“数据本地化”以限制外国政府从本国获取数据的能力。[452]数据本地化的法律措施包括阻止数据被传输出境、数据的跨国传输必须得到预先同意、数据必须在本国存储备份甚至对数据出口征税等,在世界主要国家中,俄罗斯已经就此立法,中国、[453]巴西、韩国、德国、法国等也起草了相关的法律。[454]这意味着如果美国的企业将数据存储在境外,美国的执法机构将越来越难以获得它们的数据。 “云幕法案”则正是美国政府应对这一浪潮的法律对策,这也意味着各国在数据控制权问题上的法律争锋进一步深入展开。在现代法治和人权保障理念下,打击严重犯罪和反对恐怖主义可能悄然包装成某种新的“国家理由”,这是值得忧虑的。
由此可见,这一法案实际上有较强的单边主义色彩,有可能导致国际经济乃至政治上的紧张关系。“云幕法案”中的国际礼让规则是以前述“适格的外国政府”为前提,如果外国政府并不符合法案中的条件设定,则有可能引发不可调和的法律冲突,使跨国企业陷入必然违反一方法律的两难境地,未来潜在的经济和社会风险难以估量。美国是信息技术最为发达的国家,其电子商务的发展居世界首位,在资料收集、信息处理上具有强大的优势,其在数据跨国流通中获益最大,是全球最大的数据进口国与数据出口国。[455]目前,许多国家都有美国通信服务供应商的部分经营活动,这些企业不可避免地掌握了大量数据。这意味着即使存在完全公平对等的国际礼让规则,美国向这些企业获取境外数据的能力也远远强于绝大部分其他国家向国内企业获取境外数据(特别是在美国的数据)的能力,何况礼让规则中还存在叠床架屋的多重裁量空间和程序约束。在海量的数据面前,他国政府所使用的计算与通信设备及工作人员的个人终端都有可能为美国政府提供数据,特别是在数据挖掘与分析技术日益优化的前提下,一国政治、经济、军事等方面的重要信息有可能经由数据画像等手段而被美国政府获取;易言之,数据所在国的网络主权与安全面临非常现实的风险。因此,按照“云幕法案”的逻辑,一旦美国企业被迫向美国政府提供其他国家的数据,相关国家若有国家安全或隐私泄露方面的忧虑禁止这些企业提供数据但又不被美国接纳为所谓的“适格的外国政府”的话,将导致相关企业有可能受处罚直至退出这些国家的通信业务市场,有可能引致经济上甚至政治上的紧张和冲突。
不仅如此,这一法案也有侵犯他国公民权利之隐忧。这些供应商将向美国政府提供所有由其监管、控制或占有的数据资源,而美国政府既没有义务保证这些国家的安全和稳定,也没有义务保护其公民的隐私权和其他方面的个人信息权利,如果相关企业被继续允许在所在国进行通信业务的经营活动,用户除空泛的同意条款外,并没有任何手段可以制衡美国政府此种理论上即不受其约束的权力。在信息时代,知情同意原则(principle of informed consent)的负担则日益沉重:如果不同意数据的采集,个体将丧失许多基本互联网应用服务的入口,甚至被隔绝在便利可得的公共服务体系之外,尤其在政府委托企业进行数据采集、分析和互联网应用开发时,许多数据不可避免地会被互联网企业监管、控制或占有。在强势的经济与政治力量夹击之下,个体空泛无力的知情同意权如未被加强为无瑕疵的均等化公共服务请求权,公民行使知情同意权、保护隐私权也就要蒙受不公平的额外负担。即使不存在公共服务方面的问题,面对跨国巨头对互联网生态的巨大影响力,非美国公民有时亦不得不忍受隐私权和个人信息权方面的损失。在美国,面对政府通过种种手段获取数据的行为,互联网企业并没有动力去保护用户的隐私,它们只是顾虑损失恐惧政府监管的用户;[456]而面对不直接接触美国政府的境外客户,它们有可能更加没有顾忌。更何况,“透明度谬论”(transparency fallacy)的存在使得很多人根本没有能力去分析和维护其隐私权方面蒙受的损失和风险。[457]更有甚者,一些通信工具或软件中存在的“后门”可能不经用户同意即秘密收集和传输用户的有关数据,带来更加恶劣的侵害后果。
但是,这些都不在“云幕法案”的顾虑范围之内。“云幕法案”并不是不考虑公民隐私与自由的保护,作为美国的法律,它更主要地考虑美国人的权益保障问题。在外国政府申请获取美国数据时,此种价值立场就不仅得到全面的凸显,而且发展出非常细致的要求。
(二)价值立场
“云幕法案”对适格的外国政府及获取数据的命令所建立的审查标准,基本上完整地体现了美国的法治观念和人权保障价值体系。除公民隐私和公民自由外,外国法律“对国际普遍人权的尊重”也被添加到审查标准之中,其中有与数据采集并无直接关联的一些标准,如不歧视原则、和平集会的自由、禁止任意的逮捕和拘留等;同时还规定了正当法律程序、公平审查权和类似比例原则的有关内容。这实际上等于宣告,在跨国数据使用权问题上,美国的国际礼让是有严格范围的,只对意识形态相同的盟友礼让和接受合作。这些标准虽然存在一定程度上的弹性内涵和判断余地,但却存在明显的价值边界,并且完全落入美国企业与政府在法治秩序与对外交往中久经磨炼的法律技术范围之内。
诚然,一国政府获取数据资源的增长,有可能导致统治权力的相应加强和侵犯人权风险的上升,尤其是获取的信息本身位于美国的情况下,更容易引发美国的忧虑。但是,将数据使用权与“国际普遍人权”结合起来考虑的视角,并不完全是基于人权的考虑,而或显或隐地包含了一种战略性的考量。这种战略性的考量体现在对“适格的外国政府”与相关外国政府所发布的数据获取命令的区分之中。如前所述,如果是美国的通信服务供应商因外国禁令而申请豁免,“适格的外国政府”之判断标准相对简单,其核心在于与美国政府是否签署了执行性协议;如果是外国政府请求美国供应商提供数据,判断标准和过程就变得极为复杂。法官审查美国供应商是否能豁免提供数据时,主要考量的是利害关系;而美国政府审查是否可以要求供应商对外提供数据时,主要考量的是意识形态。这种不对称的衡量标准和判断过程体现的是这样一种观念:“云幕法案”对他国政府利用数据的行为预设的是极度不信任之立场。按照侦查犯罪的一般规律,打击重大犯罪甚至是恐怖主义犯罪的信息调查往往需要筛查大量数据、隐秘而迅速地调取关键数据,而“云幕法案”中漫长的生效时间(即使总检察长立即同意并通知国会也需要至少经过90日以上)、严苛的审查条件、大张旗鼓的行政程序和极其明确具体的数据提供请求则不仅几乎无助于打击犯罪,甚至有利于有资源、有能力的犯罪者针对性地采取反侦查手段、隐匿或销毁证据。因此,“云幕法案”中国际礼让部分的规则之宣示意义显然大于实务价值,既有助于保护美国通信服务供应商的利益,使其实际有价值的数据和信息难以被透露,亦可对美国公民就其公民自由和法治价值因政府获取数据而受侵害的忧虑形成一定程度的安抚。
总而言之,“云幕法案”在立法思路上非常务实,在价值立场上“政治正确”而又精明。随着信息时代的到来,数据成为新的基础资源,这一法案是美国在全球数据战略上迈出的一大步,其深远影响难以估量,也需要我们根据自身的法律制度进行思考与回应。
三、思考与启示:我国相关数据法制建设的现状与对策
我国近年来明显加强了信息传输与数据监管方面的立法。涉及互联网或通信服务供应商向政府提供数据的法律规范包括《网络安全法》《互联网信息服务管理办法》《互联网论坛社区服务管理规定》《互联网跟帖评论服务管理规定》《互联网用户公众账号信息服务管理规定》《互联网群组信息服务管理规定》《互联网群组信息服务管理规定》《微博客信息服务管理规定》等,大多数的授权性规范表述较为抽象和含糊,但也包含了向政府提供数据或信息的有关授权,如《网络安全法》第54条规定:“网络安全事件发生的风险增大时,省级以上人民政府有关部门应当按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,采取下列措施:(一)要求有关部门、机构和人员及时收集、报告有关信息,加强对网络安全风险的监测;……”又如,《互联网跟帖评论服务管理规定》第5条规定:“跟帖评论服务提供者应当严格落实主体责任,依法履行以下义务:……(八)配合有关主管部门依法开展监督检查工作,提供必要的技术、资料和数据支持。”这些规定一般都比较宽泛,没有对境内或境外做出明显的区分。不过,《网络安全法》作为这一领域的重要立法,也是上述其他法律规范的立法依据,在第2条规定了属地管辖的原则:“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。”《互联网信息服务管理办法》等也有类似的规定。类似地,《电信条例》虽然有“……因国家安全或者追查刑事犯罪的需要,由公安机关、国家安全机关或者人民检察院依照法律规定的程序对电信内容进行检查”的内容,但是其第2条第1款亦规定“在中华人民共和国境内从事电信活动或者与电信有关的活动,必须遵守本条例。”这些法律规范在逻辑上尚未覆盖我国通信服务供应商在境外存储或控制的数据,因此,我们或许也需要某种类似于“云幕法案”的立法。
但是,细究我国的立法现状,我们可能会发现不一样的立法需求。如果仅考虑数据、信息方面的立法,类似“云幕法案”的法律规范是缺失的。《网络安全法》第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”但是,对于关键信息基础设施运营者以外的通信服务供应商则没有规定。其他法律规范则更未考虑到中国通信服务供应商向我国政府提供境外信息的问题。可以认为,我国暂时还缺乏像“云幕法案”这样的法律制度。不过,在打击犯罪方面,《刑事诉讼法》第54条第1款规定了普遍性的、无例外的作证义务:“人民法院、人民检察院和公安机关有权向有关单位和个人收集、调取证据。有关单位和个人应当如实提供证据。”第62条第1款还规定:“凡是知道案件情况的人,都有作证的义务。”尽管结合本条第2款看,第1款中的“人”应当是自然人,但在宽泛的“知道案件情况”的情形中,企业法人中实际掌控数据和信息的自然人未必会被排除在这一义务的范围之外。实际上,这就已经为国内企业提供跨国数据奠定了类似于“云幕法案”的授权基础;跨国企业所掌握的数据一旦成为证据,并不构成法律规定的例外情形。
不仅如此,我国的通信服务供应商在国外亦遇到不小的信任风险,包括华为、中兴等在内的企业并没有取得欧美政府的全面信任,此时如果明确地要求国内的通信服务供应商向政府提供其占有、监管或控制的数据,有可能进一步削弱通信企业的竞争能力。既然我国已经存在《刑事诉讼法》《网络安全法》等相关包含了数据提供授权的法律,在这方面完全可以通过双边或多边的国际刑事司法合作协议解决打击犯罪前提下的数据双向提供问题,并不必然需要专门的立法。
相比之下,目前较为迫切的是需要针对“云幕法案”提出有力的法律对策。苹果、微软、亚马逊、威瑞森等美国企业在中国不同程度地提供了一些互联网通信(包括云计算)服务,如果它们所监管、控制或占有的数据需要向美国提供,有可能威胁到中国公民的隐私权和中国法律所定义的网络安全及信息安全。在我国,《互联网信息服务管理办法》第17条已经对外商的准入做出限制:“经营性互联网信息服务提供者申请在境内境外上市或者同外商合资、合作,应当事先经国务院信息产业主管部门审查同意;其中,外商投资的比例应当符合有关法律、行政法规的规定。”《网络安全法》第66条更是规定了严厉的法律责任:“关键信息基础设施的运营者违反本法第37条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”但是,在“云幕法案”出台的背景下,美国在执法时是否会视中国政府为“适格的外国政府”,相关企业在中国投资成立的商业主体是否也适用“云幕法案”,这些企业如果提出豁免申请是否能够被美国法院认可,都是需要考虑的问题。迄今为止,虽然我国与美国在这方面尚未产生明显的法律冲突,但未来的法律实践仍存在不确定性,难以预测这些企业未来是否会因面临法律冲突而将互联网服务移出中国内地市场,或者因为向美国政府提供数据而引起与我国的矛盾,进而增进双边贸易的紧张态势。为此,我们需要进一步研究若干关键的法律规则,包括跨境传输数据的安全评估标准及程序、与外国政府签订数据共享方面合作协议的授权与限制、各种数据跨境交流渠道的定期安全性评估制度等,探索安全而合理的数据利用国际合作机制。
结语
重视数据采集和利用的趋势正在席卷全球,也推动着各国政府建立新的法律体系。“云幕法案”看似对本国通信服务供应商向政府提供境外数据的技术性立法,实际上包含了争夺和控制全球数据资源的意图。在表面的国际礼让和人权保障话语之下,扩展数据控制范围的政治决断也正符合美国近期的“美国优先”(America first)取向,其中蕴含的风险需要我们及时认知和应对。
可以预见的是,在未来,维护“数据主权”、坚持数据本土化仍是包括中国在内的许多国家必然采取的法律方针,“云幕法案”与数据本土化的潜藏法律冲突要求我们未雨绸缪。在数据控制权日益凸显其重要性的趋势下,数据本土化与国际合作的法律制度基础应当更加丰富而细致,对网络和信息安全、公民信息权利保障、隐私保护、数据价值利用、国际合作等诸多价值寻求周全而精准的综合平衡。