CLOUD法迄今已生效一年有余,而欧盟(包括其成员国)与美国在数据方面的博弈似乎帷幕方启,得失难料,胜负未卜
申军
乍看起来,美国CLOUD法似乎和云有关。事实上,这部“阐明数据海外合法使用法”(Clarifying Lawful Overseas Use of Data Act),乃是一只穿云破雾的长臂,允许美国诸多行政当局仅凭一纸法院令状或诉状,就能从数据存储器的提供商那里,在当事人不知悉的情况下,获取全球各地任何相关个人或非个人性质的数据。目前这些数据中心运营商均为美国数据业巨头。
CLOUD法于2018年3月23日生效,其对1986年美国“储存类通讯记录法”(Stored Communications Act,以下简称SCA法)作出了重大修改。SCA法在治外法权方面缺乏明确规定,因此美国联邦第二巡回上诉法院在2016年7月的一个判决中判定:涉案的美国政府不能仅凭搜查令,单方要求美国某数据公司提供其在爱尔兰数据中心储存的数据。
CLOUD法则明确规定了其适用于美国以外的数据中心存储的信息。美国对全球个人、尤其是非个人数据的域外管辖能力自此得到加强,在全球经济生活方面的介入能力也因此大增。反之,这使得传统的国际司法互助条约变得过时及无用。
GDPR或沦为空文
如果说个人数据包括了具体个人在私人、家庭、财产等方面的情资信息,非个人数据则与物联网产品与服务、人工智能、自动学习及5G等领域密切相关,比如一组聚合性和匿名性的、被用于大数据分析的数据。因此,在当今的数字经济时代,非个人数据体现的科技及商业价值尤显重要;对后者的持有、存储及获取,对于维系及促进一国在创新经济中的竞争力,亦不可或缺。
根据CLOUD法,一旦美国司法部、美国证券交易委员会等行政当局因调查“严重犯罪”提出要求,美国电子通信或远程信息服务的供应商,以及它们在外国的子公司,就须提供其服务器上拥有的用户数据,比如云端运算的存储内容、电子邮件、电子文件以及元数据。相关数据可能涉及个人数据及非个人数据。数据存储地可以位于世界的任何地方。当事人用户的国籍如何,则并不重要。
不难看出,对欧盟境内个人数据的获取,CLOUD法与欧盟通用数据保护条例(以下简称GDPR)存有明显抵触之处。
根据GDPR第48条规定,某个司法管辖区或第三国行政当局,若要求欧盟境内数据处理负责人或分包人传输或透露个人数据,其决定将不被予以承认或具备任何形式的执行力,除非基于国际协议,比如第三方申请国与某个欧盟成员国之间有效的司法互助条约。
对于欧盟境内非个人数据的传输,欧盟2018年11月14日第2018/1807号规章规定了此类数据在欧盟境内可以自由流动的原则,以及欧盟成员国权能当局为履行职能而要求获取此类数据的权力。但可以推断,此类数据若被欧盟境外的当局索要,亦仍须诉诸国际刑事互助协议予以实现。需要指出,不像个人数据被GDPR赋予明确保护,前述欧盟非个人数据流通规章,对于非个人数据的保护并未作出有效、特殊的规定。
而依据CLOUD法,当美国联邦机构要求欧盟境内一家数据处理商提供个人或非个人信息时,想来后者大抵都会予以配合,以避免美国政府对其作出处罚的风险。倘若该企业提供了相关数据,则实际搁置了欧盟GDPR或非个人数据流通规章的适用,美国与该国之间或有的司法互助协议也将变成一纸空文。
难以达成的“执行协议”
众所周知,在CLOUD法出台前的10年间,欧盟几大成员国的多家金融及制造业巨头,均已受领美国政府藉由治外法权祭出的巨额罚单。CLOUD法又可能对欧盟境内个人及非个人数据的保护提出新的挑战,因而欧盟及相关成员国政府对其非常关注。
2018年4月17日,为了应对CLOUD法的出台,欧盟委员会推出了欧盟电子证据规章草案,对刑事方面数字证据的获取进行了法律框定,其中明确了相关治外法权的适用。一旦该规章得以推行,欧盟成员国将能直接从欧盟境内任一数据存储运营商处获取任何资料,而无需考虑相关数据的存储地以及运营商的总部所在地。成员国政府可以直接向运营商发出获取相关数据的命令,令其出具或保存相关证据,不予提供则可给予金钱处罚。由于新一届欧盟理事会将于2019年11月履新,这一草案未来是否将被继续推动;前景是否如同预期,值得留意。
此外,欧盟当局考虑利用CLOUD法中的特别条款,拟与美国政府进行“执行协议”(Executive Agreement)的谈判、委托欧盟委员会进行相关谈判的提案也在准备之中。如果该协议能够达成,欧盟将可以要求美国数据服务商直接传送其拥有的信息,而无需考虑耗时冗长的双边刑事互助条约等规则。不过,此种谈判的技术前提是,美国的谈判对手应该是一个合格的外国政府。因此欧盟正就其作为合格缔约方的资质问题和美方进行讨论,以确认相关的缔约能力。而美国政府似乎不愿与欧盟达成此类协议,强调这是它与单一国家进行的双边谈判。
实际上,截至目前,美国尚未与任何欧盟成员国签署该项协议。鉴于欧盟各大权力机构将于11月份更迭,加上近期美国政坛的情势变化,二者直接谈判的可能性能否在未来峰回路转,值得观察。而在欧盟GDPR第44条至第48条规定的条件下,该类执行协议是否具备可行性,现在亦不确定。
法国如何应对冲击
在法国方面,2019年4月底,为了应对CLOUD法对主权造成的冲击,法国经济与金融部长提出了建立“国家战略云”计划之构想,认为需要拥有位于法国的主权性数据存储工具,以便将法国企业的战略性数据进行安全存储并加以保护,以免美国能够通过CLOUD法获取之。他要求法国的数据存储运营商在2019年年底之前,向其提交一份关于存储技术装置的正式提案,以保证某些战略性数据的独立性及主权性。他还认为法国必须和美国就CLOUD法的运作形式达成协议;其应在美国法官的控管下运作,而非受到美国行政当局的支配。
2019年6月26日,针对美国的治外法权问题,应法国总理的要求,法国国民议会继2016年的相关报告之后,发布了一份名为“重建法国及欧洲的主权,保护我们的企业免于有治外法权效力的法律和措施”的报告。此份报告既对美国将世界拖入司法保护主义时代、利用法律规则与其他国家展开贸易战(包括与美国的欧洲盟国)不吝微辞,也对法国企业在CLOUD法的背景下,如何有效保护其拥有的非个人数据,提出了相关建议。其中值得关注的几点如下:
其一,创立一部新法,禁止不通过司法互助协议、向外国行政或司法当局提供法人机构的数据。因此,任何数据存储服务或数据处理服务的供应商,若未经行政或司法合作的管道,及(或)未经法国相关行政或司法权能当局的授权,不得鉴于一个要求、行政或司法决定,将法国企业法人的电子数据直接传送给外国当局。此立法建议可被视为是对GDPR适用范围的扩展,即是将对个人数据的保护,延伸到非个人数据。
其二,对违反上述行为的行为人加大行政处罚力度。未来对所涉行为人的最高行政处罚金额可达2000万欧元,或是相关企业上年全球营业额的4%,以二者间的最高金额为准。此类处罚与GDPR第83-5条的规定相似。
其三,赋予法国电子通讯和邮局调控署(ARCEP)新的使命,使之成为法人机构数据保护的独立行政监管当局。由此,ARCEP未来或将与负责个人数据保护的CNIL(法国国家信息技术与自由委员会)相得益彰,共同维护法国境内的自然人与法人的信息安全。
另外,该报告建议应在法国企业中普及敏感性数据的加密化。依照CLOUD法,美国数据存储商应美国联邦机构的要求,必须提供用户在其服务器上的存储内容,但该法对相关当局是否有权获取加密数据的密钥没有任何明确表述。对如何创造条件以造就新兴的法国或欧盟本土电子数据存储商,此报告亦认为有必要对此进行深入思考。
CLOUD法迄今已生效一年有余,而欧盟(包括其成员国)与美国在数据方面的博弈似乎帷幕方启,得失难料,胜负未卜。但毋庸置疑的是,CLOUD法的适用范围绝非仅针对欧盟境内的个人和非个人数据。欧盟方面采取的任何对策措施也不会只对美国相关企业造成冲击。在经济高度全球化、数据高度价值化的今天,不论是作为此类博弈的参与者或旁观者,任何国家如何既能应付裕如、游刃有余,又能伏云降雾、高屋建瓴,实属巨大挑战。
(作者系法国执业律师)
责编:马蓉蓉