当全球关注于美国掀起的贸易战波澜时,另一个更重要的领域——数据主权与数据安全领域的竞争正在悄悄进行。
2018年2月6日,美国4位参议员提交一部立法草案《澄清域外合法使用数据法》(the Clarifying Lawful Overseas Use of Data Act,简称CLOUD Act)。3月21日,CLOUD Act被塞入等待批准的《2018年综合拨款提案》。3月23日,美国总统特朗普在《2018年综合拨款提案》上签名,CLOUD Act在短短时间内走完从草案到正式法律的历程,即刻生效。在该法案经历的1个半月时间,美国国会没有对该法案进行任何辩论。美国如此迫切地通过该法案,其原因、影响都值得关注。
国内互联网安全问题专家、北京大学互联网研究中心的洪延青对此法案的来龙去脉进行了比较清晰的研究,相关内容有较高的参考价值(下文的事实部分,引述了洪延青的相关文章)。
一、《澄清域外合法使用数据法》意在堵上境外数据管理漏洞。
美国推出CLOUD Act,是为了修改1986年生效的《存储通信法案》(Stored Communication Act,SCA)。首先,《存储通信法案》没能明确美国政府的搜查令是否能要求通信服务商提交存储在境外的数据。微软曾和美国政府为此法律争议把官司打到最高法院。微软认为应坚持“数据存储地标准”,微软的数据如果存储在爱尔兰,只适用于美国境内的搜查令将不能覆盖到爱尔兰。但美国政府认为,执行搜查令无需美国执法人员跑到爱尔兰,微软有能力在美国境内进行操作,在美国境内向政府披露数据。微软有义务配合美国政府获得该数据,即美国联邦调查局(FBI)坚持“数据控制者标准”。其次,《存储通信法案》规定,通信服务商不得向外国政府提供通信内容数据。严格的禁令导致许多国家在调查本地人实施的本地犯罪时,仅仅因为犯罪分子使用了美国通信服务提供商的产品,只能通过双边司法协助的途径请求美国当局同意给出内容数据。
二、《澄清域外合法使用数据法》确立了“数据控制者标准”。
1、CLOUD Act明确采用了“数据控制者标准”。CLOUD Act最大的进展,是采取了美国政府坚持的“数据控制者标准”。法案规定,“无论通信、记录或其他信息是否存储在美国境内,服务提供者均应当按照本章(即《存储通信法案》)所规定的义务要求保存、备份、披露通信内容、记录或其他信息,只要上述通信内容、记录或其他信息为该服务提供者所拥有(possession)、监管(custody)或控制(control)。”据此,根据该法案,在FBI发出搜查令后,微软必须向FBI提交其存储于爱尔兰的电子邮件内容。
同时,CLOUD Act也给服务商提供了“抗辩”的渠道。该法案规定,当服务提供者合理地认为同时存在如下情况时,可提出“撤销或修正法律流程的动议”:一是目标对象不是“美国人”(the United States Persons)且不在美国居住;二是披露内容的法律义务将给服务提供者带来违反“符合资格的外国政府”(qualifying foreign governments)立法的实质性风险。其中,“美国人”是指美国公民或国民、合法承认为永久居民的外国人、其中相当数量的成员是美国公民或拥有合法承认的永久居留权的外国人的法人团体,或在美国注册成立的公司。
不过,要撤销法律流程很不容易。根据CLOUD Act,法院在确认撤销流程而需进行的礼让分析(comity analysis)中,法案规定了法官应考虑的七个要点:一是美国政府的利益,包括寻求信息披露的具体政府组织在调查方面的利益;二是符合资格的外国政府在避免其法律禁止的内容披露方面的利益;三是不一致的法律要求,对服务提供者(或其雇员)带来处罚的可能、范围、性质;四是目标对象所处的地点和国籍,以及目标对象与美国联系的性质和范围(如知晓的话);五是服务提供者与美国的联系及存在于美国的性质和程度;六是所要求披露的信息对调查的重要程度;七是及时有效地获取所需要披露的信息的手段造成消极后果的可能性。
显然,要满足这些条件的难度极大,可以认为这是在撤销法律流程中设置的程序障碍。
2.外国政府机构调取存储于美国的数据,难度极大。CLOUD Act允许“符合资格的外国政府”在与美国政府签订行政协定后,向美国境内的组织直接发出调取数据的命令。
不过,认定“符合资格的外国政府”的标准极高。CLOUD Act要求美国总检察长(连同国务卿)向国会提交书面报告,认定外国政府符合下述所有的条件,才能判定外国政府符合法案提出的资格,判定的核心准绳是“外国政府的国内立法,包括对其国内法的执行,是否提供了对隐私和公民权利足够的实质和程序上的保护”。具体包括:(1)外国政府在网络犯罪和电子证据方面,是否拥有足够的实质性和程序性法律,是否加入了《布达佩斯网络犯罪公约》;(2)展现出对法治和平等原则的尊重;(3)遵守国际人权义务或展现出对国际基本人权的尊重,包括保护隐私免于肆意和非法的干涉、公平的庭审权利、表达结社和平游行的自由、避免肆意逮捕和监禁、避免酷刑和残酷的非人道或贬低人格的待遇和惩罚;(4)对允许通过行政协定获取数据的外国政府机关,有清晰的法律要求和程序,包括这些机关收集、获取、使用和共享数据的程序,以及对上述数据活动的有效监管;(5)有足够的机制能对外国政府收集和使用电子数据课以责任和提供适当的透明度;(6)展现出对全球信息自由流动和维护互联网开放、分布式、互联本质的决心和承诺。
可以肯定,这些苛刻的资格要求,实际上断绝了包括中国在内的多个国家从美国获取数据的可能性。如果要达到这些标准,先得在申请国来一场自我革命。
三、《澄清域外合法使用数据法》有效建立了国际数据安全的美国规则。
根据洪延青的研究,CLOUD Act的厉害表现在两个方面——“取”和“防”,即数据获取和数据安全防护。
1、先看“取”。在CLOUD Act中,判断对数据的管辖权标准并非数据的存储地域而是数据控制者,同时该法案仅在涉及非“美国人”且该对象非在美国境内时,才给通信服务提供者提供一定程度上的避免法律冲突(conflicts of law)的机制,并且是由美国法院来做礼让分析。这样的设计形成的客观效果是:只要数据到了美国的数据控制者手中,默认的情况是美国政府能够直接从全球各地调取,仅在少数情况下是例外,而且例外的大小宽窄均由美国法院单独裁量决定。借此,美国政府的数据攫取之手方便地延伸到国境之外,做到了“国内国外一盘棋考虑”。
2、再看“防”。CLOUD Act改革了《存储通信法案》,当且仅在一定条件得到满足时,才允许特定外国政府直接向服务提供者发出内容数据调取命令:(1)特定外国政府也给美国对等的待遇,即允许美国直接向其服务提供者发出内容数据调取命令;(2)数据调取对象非“美国人”,且该对象非在美国境内;(3)调取命令的范围必需严格限定;(3)该国必须符合一定的人权保护和隐私保护基线。这种制度设计的客观效果是:一方面,继续对“美国数据”保持绝对的控制:美国人的数据以及在美国境内的人的数据,无论存储于何地,外国政府要调取均应当通过司法协助渠道,即必需经过美国国内的司法程序。另一方面,“其他国家的数据”只要为美国数据控制者持有,美国政府就能借机要求发出调取命令,外国政府必须遵守一定的人权和隐私保护基线,同时给美国政府同样的对等待遇,美国政府才有可能给予外国政府这个渠道。
CLOUD Act 在“取”和“防”两方面的设计,使美国政府事实上将美国企业铸造成自身在“网络空间的国土”。美国企业在全球互联网行业有多大的市场份额,扩展到多少国家,美国的数据主权就扩展到哪里。同时,通过允许少部分国家“进入”自己的“网络空间的国土”,以换取“进入”这些少部分国家的“网络空间的国土”。美国同时还保有单方面裁量是否开启,以及随时关闭进入“网络空间的国土”的通道的权力。
从上述内容来看,美国政府试图通过CLOUD Act,在缺少规则的数据化时代,以美国的方式来确定全球数据使用和数据安全的游戏规则。值得注意的是,美国是基于其国内法律来制订全球数据安全规则,只要美国还保持着全球强权的地位和影响力,世界各国就必须被动适应这一新的规则。如果以今日中美贸易战的角度来看未来的数据安全之争,那将是一场更加激烈、更加深刻的竞争。
中国作为一个逐渐崛起的新兴大国,已经开始现实地遇到数据主权、数据安全等问题。作为最大的新兴市场国家,一个数据生产和数据应用大国,一个被美国视为长期战略竞争对手的国家,中国需要在国际层面来认真思考数据主权、数据安全等问题了。美国已经在其擅长的国际规则领域进行深入布局了,中国需要重视这种变化、理解这种变化、研究这种变化,最后找到适应和应对这种规则变化的策略。要强调的是,中国需要的应对策略,绝不是一两件事上的一招鲜,而是建立在专业研究基础上的系统方法。
No comments:
Post a Comment