久久99国产精品尤物-国产高清色播视频免费看-男生肌肌往女人桶爽视频-精品国产-91PORNY九色|www.jqdstudio.net

文 │ 北京師范大學法學院暨刑科院副教授  吳沈括 

法國斯特拉斯堡大學法學院碩士  張力威

2019年10月，英美關于為抗制嚴重犯罪跨境獲取電子數據的雙邊協議在兩國政府的合意下達成簽署，并將于為期180日的兩國議會和國會審議期結束后生效。作為基于美國“云法案”框架達成的數據跨境獲取執法機制的最新協議，英美協議不僅將是美西方國家后續其他執法協議的范本，還可能成為以美國為主導的跨境數據治理體系的重要模式，將產生重大國際反響并制約我國數據跨境治理體系的建設，對我國網絡產業走出去產生顯著影響。

一、英美數據跨境執法新協議的背景：美國“云法案”

要理解英美新協議的意義及影響，離不開對“云法案”的認知。在“美國司法部訴微軟”案件中，雙方就美國執法機構是否有權限獲取美國公司存儲于境外的數據產生爭議：就微軟方面而言，根據既有的《存儲通信法案》（Stored Communication Act），以及存在的違反歐盟數據保護規范的可能，美國執法機構不能夠依據簽發的令狀，要求其提供存儲在愛爾蘭境內都柏林數據中心的用戶數據。該案件一路訴至美國最高法院，并在美國國會對此迅速響應并通過“云法案”立法后被駁回。

而在這一迅速通過的“云法案”中確定了兩項對于跨境數據治理而言極為重要的原則和制度，分別是數據控制者管轄標準以及與適格政府的跨境獲取數據的雙邊執法協議機制。

(一)數據控制者管轄標準

“云法案”第103條規定，提供電子通信服務或遠程計算服務的供應商應遵守包括存儲、備份、披露所有有線或電子通訊記錄以及任何供應商擁有、監測或控制的用戶信息，無論這些數據是否位于美國境內或境外。而負有此義務的公司不僅僅是在美國注冊成立的美國公司，亦可是因與美國具有足夠多的性質、數量和質量上的聯系而受美國管轄的公司——這也為美國的“長臂管轄”提供了基礎。

由此義務簽發的數據獲取令狀在三種情形下可能被撤銷：1.數據披露會造成提供商違反適格外國政府的立法；2.基于司法利益和案件情形的綜合考慮，該程序應被撤銷；3.所涉及的客戶或用戶并非美國公民。在第二種情形下，法院還應綜合美國、適格外國政府的利益、信息主體的國籍、與美國的聯系、信息的重要程度等進行謙抑性分析，但無論如何，適用此標準而產生的分析都是立足于美國對該數據的重要需求，他國基于對物理設備管轄而產生的對儲存數據的管轄僅是考量因素之一。

換言之，這一標準確定了美國對于數據的管轄并不基于數據的物理屬性所在，而是依靠數據本身的虛擬性和可依附于網絡空間的特點，根據轄下主體的控制能力確定管轄范圍。在目前美國具有大量強勢企業和數據優勢的情況下，進一步擴大其數據主權的范圍所及，加強其數據霸權的地位。

(二)數據跨境獲取的雙邊執法協議機制

“云法案”第105條亦新增了美國與其他國家政府的關于數據跨境獲取的雙邊執法協議機制，其規定了除司法互助協議以外，兩國執法機構就電子數據的證據獲取等事項直接要求域外主體提供配合的執法機制，也是此次英美數據跨境執法協議的主體內容。 

在訂約的具體標準上，“云法案”要求考慮對方政府是否具備以下條件：首先，作為核心要求，其國內法是否對數據收集活動中的公民自由和隱私提供了切實有效的實體法和程序法的保護。就具體的研判因素而言，包括以下各項：1.是否有足夠多的關于網絡犯罪和電子證據的充分的實體法和程序法，如《布達佩斯網絡犯罪公約》中列舉的法律；2.是否遵守法治和非歧視原則；3.是否尊重和保護國際普遍人權；4.是否具有明確的關于電子數據收集、留存、使用和共享的法律授權程序；5.是否有透明的電子數據披露的問責機制；6.是否有對信息自由流動和互聯網開放性的承諾。

從這些判斷的因素可以看出，數據跨境獲取雙邊執法協議本質上還是以美國標準為核心，以美式立法作為范本和磋商的前提。換言之，作為跨境數據治理模式的一部分，這一執法協議機制首先為美國就其數據控制范圍之外的跨境數據的獲取提供了路徑，美國可以通過與他國簽訂雙邊條約，直接向目標國企業要求提供相應數據，而不用經過冗長的司法互助程序。另一方面，這一雙邊執法協議的訂立標準，本質上是美國依據其數據優勢地位而進行的范式推廣，從而進一步將數據流控制在自己及其盟友的優勢法律管轄下。

二、英美數據跨境執法新協議的主要內容

需要指出的是，根據“云法案”的要求，締約國雙方的議會或議院可于180日內否決此項已簽署的協議，因此，當前協議尚未正式施行，并且其內容可能還會被進一步修改，需要進一步予以追蹤研判。

英美數據跨境獲取執法協議共有17條，其賴以實施的核心制度是數據調取令（Order）。該協議對數據調取令的適用范圍、簽發和送達程序、保障性限制及對協議的審查補充等問題做出了規定。

1.數據調取令的適用范圍。根據該協議第4條，被限定在對嚴重犯罪的預防、偵查或起訴的程序中，其中值得注意的是“嚴重犯罪”的定義，根據該協議第1條，嚴重犯罪僅被定義為最高刑罰在三年監禁以上的犯罪。

這不同于歐盟《歐洲議會和歐洲理事會關于刑事犯罪電子證據的調取令和保全令的規定的提案》中對嚴重犯罪的定義，也即罪名最低刑期為三年有期徒刑，并且該罪名應是特別罪名（如恐怖主義犯罪）。同時，這不同于英國《調查權法》（Investigatory Powers Act）中的定義，也即一名無前科的成年人可能被判處最低三年以上監禁，或涉及特定情形的罪行。而且這也遠遠超出了美國司法部在公報中提及的“恐怖主義、兒童色情和網絡犯罪”的范疇，更不要求該罪名在英美兩國都存在。換言之，該協議實質上對嚴重犯罪采取了十分寬松的定義，降低了數據獲取的門檻，較之于國內法擴大了調取數據的適用范圍。該協議第4條還要求，數據調取令不應有意地針對接收方國家的公民，并根據第7條的要求，確保數據調取令指向的任何賬號確實屬于調查對象所有。

2.數據調取令的簽發和送達程序。該協議第5條第一款規定，相關數據調取令的發出皆應基于所調查行為的可闡明、可信的事實及其特殊性、合法性和嚴重性。而這一要求的表述在一定程度上具有模糊性，在后續條款中也并未繼續闡明其具體含義，不同于美國《電子通信隱私法案》（Electronic Communications Privacy Act）中的“相當理由”（Probable Cause）的要求，甚至可以說低于該要求。而該協議第5條第二款要求應存在獨立機構如法官、法院等對發出的數據調取令進行審查，但并未涉及對數據調取令本身效力層級的要求，而在《電子通信隱私法案》中，調取此類信息往往需要較高層級的數據調取令（Super Warrant），并且該條款也沒有涉及相關數據調取令的發出是否需要司法授權為前提的問題，而僅僅涉及發出后的獨立審查制度。

3.調查、監聽的時長問題。該協議亦采取了較為寬松的標準，僅要求調查時限及其延長為固定的、合理的有限期限內，但并未對此指明區間，也沒有對延長的次數和條件進行規定。除此之外，還應注意第5條第八款設定了數據調取令發出方對數據提供者的通知義務及其提出異議的程序，但并未設定對數據關聯者即被調查者的通知義務，換言之，兩國可在被調查者未知情的情況下進行跨境數據的調取，因而被調查者也就不存在相應的手段以救濟其可能或已被侵害的權利。總體而言，在英美協議中，數據調取令相關的各項程序要求都采取了較為寬松的標準，適用門檻較低，且缺乏對公民個人的救濟的保障措施。

4.跨境數據保障問題。該協議的第7條至第10條規定了一系列對跨境數據獲取、保存程序的保障性限制。第7條規定了對目標的限制和最小化程序（Minimization Procedures），要求任一締約方在發出數據調取令時都應作出善意而合理的努力以確保獲取數據所對應的賬戶嚴格限定為調查對象所有；最小化程序則同時還要求調取者采取措施及時審查、隔離、封存和刪除所獲取的數據，并防止其泄露，并確保僅有接受適當程序培訓的相關人員方可接觸該數據。

但這一程序要求并不同等適用于締約方雙方，而僅適用于英國發出相關數據調取令的情形下，英國應采取確保損害或影響最少的程序。易言之，美國實質上受到更少的保障性限制，也無需受最小化程序的制約。

此外，第9條對獲取信息的處理和轉移進行了限制，強調了對未經締約方同意共享數據的禁止，并對涉及言論自由和死刑的案件的跨境數據獲取上作出了保留，這是因為美國對言論自由的限制十分寬松，在世界范圍內皆屬獨樹一幟，在英國一些被禁止的仇恨言論、準恐怖主義言論等可能在美國未受限制，從而阻礙數據調取令對相應數據的調取；而在死刑方面，與美國不同，英國已廢除了死刑，并且死刑在相當數量國家被視為對人權的否定。但應注意的是，此處的保留僅針對數據“作為證據使用”（by the introduction of such data as evidence）的情形，發出方需獲得提供方的授權，若僅涉及數據的獲取，兩國對該數據的處理并不受到限制，并依舊可能引發言論自由或人權保護的相關問題。

5.審查和實施程序問題。該協議的第12條規定了對協議本身的審查和實施程序，要求締約方應對各方遵守協議的情況進行定期審查，但并沒有規定具體的定期審查的時長、是否公開審核、由什么機構審核、是否公開審核的事實或結果等問題。對于主管部門基于數據調取令的年度報告制度規定亦十分模糊，存在后續博弈的較大空間。

三、英美數據跨境執法新協議的影響與應對

毋庸置疑，英美數據跨境執法新協議不僅僅是關于跨境數據獲取的雙邊合作協議，更是美國意欲廣泛推廣的以“云法案”為基礎、美國為主導的新型國際跨境數據治理范式，協議中普遍存在的更低適用標準，對美國更少的制度限制，寬松而模糊的關于數據獲取或者法案審核、實施報告等程序的要求，“云法案”中涉及的對獲取數據調取令需設置獨立的法官或官員進行司法審查的要求和涉及言論自由以及死刑案件的特別保留都體現了這一特點。

通過英美數據跨境執法新協議所強化的數據治理模式，美國一方面可以通過“數據控制者”標準，確保其作為最大數據市場對數據流的有效控制，也通過其寬廣的管轄范圍，實現對域外數據控制力的擴張，從而繼續加強和保持其優勢地位。另一方面，美國可以通過復制與其盟友的雙邊協議實踐，將這種跨境數據治理范式滲透到更多的國家，從而獲得數據跨境治理的國際合作話語權，從而影響將來可能的最低限度的國際條約的制定，并通過這種方式持續傳播其國家理念和意識形態。

時下除了英國之外，美國還在與加拿大、澳大利亞和歐盟等國家或地區進行相關執行協議的商談，以該協議為模版的執法協議將在之后更加頻繁出現于國際數據治理的場合中，可以預見我國網絡產業在走出去的過程中將遭受美國以數據跨境執法獲取為由的更大范圍的干擾和阻礙。就如何應對美國試圖引入和推廣的新的跨境數據獲取執法機制而言，有必要考慮采取兩項措施：

1.完善跨境數據治理的制度設計，厘清和設定數據管轄邊界

我國《網絡安全法》第28條明確規定了網絡運營者對公安機關、國家安全機關依法維護國家安全和偵查犯罪時提供技術支持和協作的義務，此中也必然包含了將涉案數據提供給有關部門的具體義務。而國家網信部門發布的《個人信息處境安全評估辦法（征求意見稿）》也顯示了我國完善跨境數據治理制度的制度指向。此外，外交部和國家互聯網信息辦公室共同發布的《網絡空間國際合作戰略》指出要“明確網絡空間的主權，既能體現各國政府依法管理網絡空間的責任和權利，也有助于推動各國構建政府、企業和社會團體之間良性互動的平臺，為信息技術的發展以及國際交流與合作營造一個健康的生態環境，”并且“各國政府有權依法管網，對本國境內信息通信基礎設施和資源、信息通信活動擁有管轄權，有權保護本國信息系統和信息資源免受威脅、干擾、攻擊和破壞，保障公民在網絡空間的合法權益”。

回歸到現有的立法和法律體系上，鑒于我國對于跨境數據治理的管轄規則及具體要求還尚付闕如，應進一步加強在數據治理方面的頂層設計工作，并完善配套的執法機制、主管機關和問責機制，厘清和設定數據本地化要求，著眼關鍵敏感行業，基于數據主權實現對個人數據和重要數據出境的全生命周期保護。

2.發揮自身優勢，積極參與和影響跨境數據國際治理

在完善現有的數據治理體系的同時，切實發揮我國互聯網產業及互聯網企業的全球發展優勢，在國際跨境數據治理體系尚處起步階段之時，一方面，積極鼓勵和支持我國企業參與國際跨境數據執法規則的討論和制訂，尤其是推動在聯合國框架下跨境數據國際執法機制的生成過程，并旗幟鮮明地反對任何依托數據霸權推廣或強加于他國的治理模式。

另一方面，在通過政府與企業各種形式的公私合作的基礎上完善我國跨境數據治理規則建設，同時加速與其他國家的數據執法合作，探索形成我國的數據跨境執法方案，并依托“一帶一路”、區域全面經濟伙伴關系協定等合作平臺與合作工具，推廣我國數據跨境執法的立場、制度和典型案例。

本文為國家社會科學基金項目（批準號：15CFX035）的階段性成果。

（本文刊登于《中國信息安全》雜志2019年第12期）