中國信息安全 - 論壇·數據跨境治理 | 司法和執法數據跨境調取的國際規則發展與應對實踐－鑽石舞台

掃碼訂閱《中國信息安全》雜誌

權威刊物重要平台關鍵渠道

郵發代號 2-786

文│對外經貿大學數字經濟與法律創新研究中心研究員張鵬

為維護國家安全和配合司法執法行為的數據跨境調取需求與日俱增，現階段的國際司法協助及執法合作等傳統機制難以適應數據跨境調取更高的時效要求，客觀上導致出現了以美國《澄清域外數據合法使用法案》（ClarifyingLawful Overseas Use of Data Act，CLOUD Act）（以下簡稱「雲法案」）為代表的、繞開數據存儲國向互聯網企業索要境外數據的模式，並引發了各國對數據主權的關切。尤其是日常控制和處理大量數據的互聯網企業，也面臨越來越多數據主權與國外長臂管轄的碰撞問題。

一、數據跨境調取問題的根源在於不同利益的衝突

司法和執法數據跨境調取是指一國官方機構為維護國家安全和履行司法執法職能調取存儲在他國境內的數據。對調取數據的國家而言，維護國家安全和司法執法是強需求，通過外國政府的官方國際合作程序往往不能及時獲取相關數據，而直接向控制數據的企業提出要求更方便快捷。對主權國家而言，他國未經同意擅自調取本國境內存儲的數據，相當於外國在本國領土上實施了執行管轄，侵犯了本國的數據主權。如果對方國家獲取的數據達到一定量級，或者數據本身具有關係國家安全的屬性，存在被外國情報機關分析利用的可能，也會引發國家安全和數據安全關切。對用戶而言，用戶把數據交給了企業，企業有義務確保用戶個人數據安全和隱私不受侵犯，否則可能引起用戶的關切甚至訴訟，用戶發現自己的數據可以被外國政府任意獲取，也很可能選擇棄用相關產品或服務。

在數據跨境調取的場景中，實際控制數據的互聯網企業發現自己不得不協調打擊違法犯罪、保障數據安全、保護個人隱私等各利益相關方，也面臨需要在應對外國跨境調取數據時必須維護國家安全、尊重國家主權的壓力。

美國互聯網企業率先做出了一些嘗試，「微軟訴美國」（Microsoft VS the United States）案是一個經典案例。在這個引起世界關注的訴訟中，微軟通過在美國法院起訴並積極促成「雲法案」出台，在一定程度上促使美國政府澄清了數據跨境調取的規則。但是，「微軟訴美國」案並未解決美國互聯網企業面臨的根本問題，隨着其他國家陸續出台針對美國單邊跨境調取數據的「阻斷法」，這些企業在很多國家陷入法律衝突，在實踐中只能採取有限的緩和措施。

二、數據跨境調取的國際規則探索與企業的實踐

數據跨境調取已成為各國面臨的共同難題，國際社會不斷探索解決方案，但是總體上進展緩慢。中美兩國的互聯網企業基於各自政府的立場和實踐，在面對外國跨境調取數據的請求時也採取了不同的應對方式。

（一）數據跨境調取的國際規則探索

由於電子證據在打擊跨國網絡犯罪中越來越重要的作用，關於數據跨境調取問題的討論最先在打擊網絡犯罪國際規則進程中發端。2011 年，聯合國預防犯罪與刑事司法大會啟動了聯合國打擊網絡犯罪問題政府間專家組（UNIEG）進程。在 2021 年結束工作前，UNIEG 先後舉行七次會議，電子證據跨境調取一直是各國爭論最激烈的問題之一。美國及其盟友力推直接從企業跨境調取數據的模式，中俄及眾多發展中國家則強調應尊重國家主權，主張通過國際司法協助渠道調取數據。雙方在該問題上分裂成為兩個陣營。缺乏政治共識導致 UNIEG 未能就該問題達成有效的成果。

西方主導的經濟合作與發展組織（OECD）於 2020 年 12 月開啟一項談判，希望就政府為國家安全和打擊犯罪所需從企業調取數據制定「共同原則」，已於 2021 年 4 月取得初步成果。業界普遍認為，該進程旨在恢復「民主國家」在數據流動方面的信任，同時與所謂「集權國家」劃清界限。2021 年10 月，全球隱私大會（GPA）通過決議，就政府從企業調取個人數據提出一套「建議原則」，但其立場和取向明顯更偏重於個人隱私保護。歐洲委員會（COE）也有意就《有關個人數據自動化處理中的個體保護公約》的第 11 條（基於國家安全、國防、調查刑事犯罪等目的限制數據主體權利的規定）出台指引文件，在歐委會層面進一步發展相關規則。

上述進程總體上是西方主導，參與規則制定的國家數量有限，且有較強的以價值觀劃「小圈子」的傾向。

（二）美歐等西方國家和地區的實踐及美國企業的應對

美歐等西方國家和地區近年來主要通過兩個並行的路徑推進直接向企業跨境調取數據的模式：一是推進單邊跨境調取數據國內立法。美國的「雲法案」、歐盟正在擬定的《電子證據條例》（e-Evidence Regulation）是此類典型立法。巴西等國也有效仿。二是構建單邊跨境調取數據小圈子。「雲法案」規定，美國可與秉持「民主自由價值觀」的「合格外國政府」締結行政協定，相互允許從對方企業調取數據。基於這一規定，美國於 2019 年和英國締結了《美國和英國為打擊嚴重犯罪調取電子數據的協定》。2021 年 12月，美國又宣布與澳大利亞締結同類協定。美國還與加拿大、歐盟等進行此類協定的談判。雖然「雲法案」在國際社會引發很多質疑和批評，但是卻得到美國互聯網企業的歡迎。這些企業在實踐中還採取進一步措施，努力強化自己在數據跨境調取問題上的「中立性」和透明度。

一是盡力保障用戶本人的知情權。當美國政府調取用戶數據時，美國互聯網企業雖然不用徵求用戶同意，但事後都會履行對用戶的通知義務，讓用戶知道政府調取了他們的數據，除非通知可能危及正在進行的犯罪調查或者可能威脅公共安全。在這種情況下，美國司法部等執法機構一般會向企業發出保密令，明確要求其不得通知用戶。很多美國企業會對保密令的適用範圍做出限定，例如，臉書（Facebook）認為美國聯邦調查局等執法機構簽發的國家安全調查密函只適用於向臉書獲取「姓名」和「網齡」這兩類數據。

二是對回應政府調取數據要求設置嚴格規程。美國互聯網企業普遍制定了專門的「執法機構需求指引」，使執法機構了解如果要調取數據應遵循的流程和條件、企業要審查的內容等。執法機構需根據此類指引明確要調取的數據具體情況，確保發送的對象主體正確，填寫相應的制式表格，滿足一定的形式要求。企業的法務等部門會對這些請求進行審查，如果符合要求則推進流程並最終提供數據，如果不符合則與執法機關溝通、退回相關文書，要求補充完善或建議其通過司法協助等途徑獲取。如果仍無法滿足要求，企業可拒絕提供數據並提出異議，要求撤銷相關的搜查令或傳票。

三是履行對公眾的透明義務。大多數美國互聯網企業會定期向社會公眾發布透明度報告，向公眾披露來自政府的數據調取要求基本情況，包括具體國家發出的請求數量、受影響的用戶賬戶數量、調取的數據類型和占比等。從 2013 年起，臉書每 6 個月對收到的政府調取數據請求總數和性質進行披露。根據推特（Twitter）發布的透明度報告，推特 2012 年以來已收到了來自 93 個國家政府的數據調取請求，美國是發出請求最多的國家，印度排名第二。

針對美國的數據跨境調取，相關國家出台了「阻斷法規」。例如，歐盟在「微軟訴美國」案中向美國最高法院提交「法庭之友」意見，明確美國執法機構從歐盟境內調取數據應受歐盟《通用數據保護條例》（GDPR）第五章的約束，即除非屬於特定情形，此類數據調取只能通過《歐盟和美國法律互助協定》（Agreement on mutuallegal assistance between the EU and the US）規定的程序。法國於 1968 年出台、1980 年修訂的《阻斷法令》（Blocking Statute），英國 1980 年出台的《貿易利益保護法案》（Protection of TradingInterests Act of 1980），以及瑞士、盧森堡、新加坡等國的金融領域法規，都有阻斷外國從本國企業直接調取相關數據的條款。當美國企業被美國政府要求提供存儲於這些國家的相關數據時，就不可避免地面臨法律衝突問題。

微軟等美國企業並不滿足於「雲法案」的出台，仍千方百計使自己脫身這類麻煩。微軟在一些國家甚至主動將數據託管給美國政府沒有管轄權的第三方，放棄對數據的控制權，以規避美國執法機構依據「雲法案」發出的數據調取要求。

（三）中國政府的實踐及中國企業的應對

基於中國政府的國際立場和《國際刑事司法協助法》《數據安全法》《個人信息保護法》等國內法律的規定，在中國境內運營的企業在收到外國執法和司法機構的跨境調取數據請求時，應告知其按照司法協助等官方國際合作程序，或通過外交途徑，向中國政府提出請求。從公開的信息看，美國法院審理一些民事和刑事案件時，有時會依據證據開示程序要求中國在美企業的分支機構提供一些存儲在中國的數據。例如，2017 年12 月，一家香港公司涉嫌違反美國朝鮮制裁法受到美檢方調查，檢方手持美國哥倫比亞地區法院簽發的傳票，要求三家中資銀行的在美分支機構提供該香港公司與一家朝鮮國有企業之間的銀行交易記錄。美國聯邦貿易委員會（FTC）、美國證券交易委員會（SEC）等機構也可能出於執法或審計等需要希望獲取相關中國企業存儲在境內的數據。這就和中國禁止企業向境外提供數據的法規產生了直接衝突。

在一些情況下，中國企業選擇在美國法院起訴，提出「國際禮讓」（International Comity）抗辯，請求美方撤回相關數據調取要求。例如，上述三家中國在美銀行分行曾抗辯稱，中國的《國際刑事司法協助法》和《法人金融機構洗錢和恐怖融資風險管理指引》不允許中國企業向外國提供相關信息，根據「國際禮讓」規則，美方應撤回傳票。但是，從美國法院的司法實踐看，中國企業主張「國際禮讓」抗辯多數以失敗告終，只在 2011 年的「蒂凡尼案」（Tiffany (NJ) LLC v. Andrew）中得到支持。美國法院近年來傾向於認為，美國政府通過中國政府官方程序獲取相關數據時間很長，阻礙眾多，中國企業向美國提交數據不會遭受中國法律的嚴重處罰。從美國法院分析「國際禮讓」是否適用的整體結果看，越來越不利於中國企業。

中國政府歷來堅持數據跨境調取要尊重國家的司法主權，通過司法協助等國際合作機制開展。2020 年，中國的《全球數據安全倡議》明確提出，「各國應尊重他國主權、司法管轄權和對數據的安全管理權，未經他國法律允許不得直接向企業或個人調取位於他國的數據」「各國如因打擊犯罪等執法需要跨境調取數據，應通過司法協助渠道或其他相關多雙邊協議解決」。中國 2018 年出台的《國際刑事司法協助法》和 2021 年出台的《數據安全法》《個人信息保護法》，以及擬出台的《網絡數據安全管理條例》，都明確規定境內組織和個人非經中國主管機關同意，不得向境外執法和司法機構提供境內存儲的數據。

在跨境金融監管涉及的數據調取方面，2018年的《法人金融機構洗錢和恐怖融資風險管理指引（試行）》要求，境外有關部門因反洗錢和反恐怖融資要求中國境內的法人金融機構提供客戶、賬戶、交易信息及其他相關信息的，境內法人金融機構應當告知境外有關部門通過外交途徑、司法協助途徑或金融監管合作途徑等提出請求，未獲得許可之前無權擅自提供。2019 年修訂的《證券法》規定，境外證券監督管理機構不得在中華人民共和國境內直接進行調查取證等活動。未經國務院證券監督管理機構和國務院有關主管部門同意，任何單位和個人不得擅自向境外提供與證券業務活動有關的文件和資料。

三、「雲法案」模式之外的解決方案

現行的司法協助等「官方對官方」機制難以滿足數據跨境調取的需要，「雲法案」的模式又涉嫌侵犯他國主權，國際社會迫切需要找到一種新的解決方案。現有的討論主要聚焦如何結合電子數據的特點對傳統的司法協助程序進行簡易化改造，以及如何實現數據和司法文書網上交換以縮短跨國轉遞時間。目前看，這似乎代表了中國政府解決數據跨境調取問題的思路。2021 年，中國政府向聯合國網絡犯罪問題政府間專家組第七次會議提交了書面評論，建議各國應設置網絡犯罪司法協助和執法合作快速聯絡響應機制和聯繫渠道，考慮通過採用電子簽章等技術手段，實現跨境取證法律文書和電子證據網上交換，提高國際合作效率。

司法協助和執法合作的快速響應機制，實際上是一種簡易程序，核心是如何根據犯罪性質、所調取的數據屬性等因素適當簡化現有官方程序的內部審查流程。在這方面有一些域外經驗值得參考。例如，《布達佩斯公約》的「7 天 24 小時」機制一直頗受好評，甚至被俄羅斯向聯合國打擊網絡犯罪公約特設委員會提交的公約草案大量吸收。2021 年 11 月，歐洲委員會通過《網絡犯罪公約關於加強電子證據合作與披露的第二附加議定書》，首次提出「視頻取證」模式，允許請求國在被請求國同意的前提下，通過雙方主管機關都參加的視頻會議從證人或專家處獲取證人證言，突破了傳統的跨國獲取證人證言機制，提升了取證效率。

司法文書和數據通過網絡交換，而不再採取紙質文書或者存儲介質的形式跨國遞送，無疑能節省司法協助的時間成本，但是由於網絡環境存在的安全風險以及數據本身的可篡改性，如何保證證據的原始性、同一性和完整性十分關鍵。例如，電子郵件雖然以文字、圖片、符號等外在信息呈現，但是技術底層則是依據編碼規則處理而成的二進制數字組合，且這種數字組合可以被人為修改或刪除，導致內容發生根本變化。在這方面，區塊鏈提供了一種解決方案，可使用技術和算法充當虛擬的第三方，將需要存證的數據以交易形式記錄，通過電子簽名、可信時間戳、鏈式存儲、智能合約等方式固定和保存，使此後任何對數據的改動都能被發現，並可驗證是否為原始數據，為數據和司法文書在網上流轉過程中確保安全提供了技術保障。

四、結語

司法和執法場景下的數據跨境調取問題受到各國高度關注，相關的國際規則卻長期處於碎片化、陣營化狀態，既不利於保障各國的國家安全，也不利於作為數字經濟重要引擎的互聯網企業全球發展，國際社會迫切需要一個更好的解決方案。2022 年 2 月 28 日至 3 月 11 日，聯合國打擊網絡犯罪公約特委會第一次談判會議以線上線下混合方式在紐約舉行。會議以協商一致方式通過了公約框架和談判安排，計劃於 2024 年 2 月完成公約談判。屆時，各國有望通過談判確定數據跨境調取的制度安排。

在當前的國際環境下，公約談判必然交織着政治和法律博弈，解決數據跨境調取這一高度複雜敏感的問題不會一路坦途。無論如何，中國政府能否在公約談判中提出既能提升數據跨境調取效率，又能兼顧數據主權和數據安全的方案，為國際社會找到美國「雲法案」模式之外的選項，值得各方期待。

（本文刊登於《中國信息安全》雜誌2022年第3期）