Loading
2018-07-20 11:25:00
其一、欧盟议会于2016年4月14日通过的《通用数据保护条例(General Data Protection Regulations)》(下称GDPR)于2018年5月25日在欧盟成员国内正式生效实施。
其二、美国总统特朗普于2018年3月23日签署《澄清境外数据合法使用法案》(下称CLOUD法案)。
GDPR生效实施以后,欧盟对个人信息保护及其监管达到了前所未有的高度,为此,该条例被称史上最严格的数据保护法案。
美国CLOUD法案则涉及到一个核心的问题,即国家主权的边界确定,这要从一则案例说起:
2013年12月,美国纽约南区联邦地区法院签发搜查令,要求微软公司协助一起毒品案件的调查,将一名其用户的电子邮件内容和其他账户信息提交给美国联邦调查局(FBI)。微软按照搜查令的要求,将存在美国国内的,关于该名用户电子邮箱的登录时间、地点等数据提供给FBI。但是,由于该用户电子邮件内容数据存储于微软位于爱尔兰的数据中心。微软认为,如需调取位于爱尔兰服务器中的用户数据,需要得到爱尔兰政府的批准,微软据此拒绝向FBI提供,并随即提出废除搜查令的动议。
2014年4月25日,美国纽约南区联邦地区法院助理法官作出驳回微软废除搜查令动议的决定,继续寻求美执法部门的支持。微软随即提请上诉。2014年7月31日,美国纽约南区联邦地区法院首席法官作出裁定,支持助理法官决定,为此,微软继续上诉。2016年7月14日,美国联邦第二巡回上诉法院对这个争议做出了解答。上诉法院的三位法官一致认为,FBI的搜查令不具域外效力(extraterritorial effects),超出1986年美国《存储通讯法案》规定的国内搜查令范围。2017年10月,美国最高法院同意重新审核该案。2018年2月28日,微软和美国司法部在美国最高法院,就海外隐私权问题开展辩论。在CLOUD法案出台之后,司法部与微软先前的争议已失去意义,美国司法部要求最高法院撤销这一诉讼,同时也根据新的法案取得了新的搜查令,要求微软提供爱尔兰服务器上的用户数据。对此,微软尚未回应。
上述案件,表面上是美国政府调查取证的范围问题,其实质涉及到国家主权行使的边界问题,不仅限于公权与私权的边界问题,更为重要的是涉及国家或地区之间权力行使的边界问题,在这一过程中,国家权力(主权)最为重要的体现是管辖权,CLOUD法案就是这一背景下诞生。
事实上,进入互联网时代之后,随着数据信息跨国跨地域迅猛流动,这丰富了传统意义上国家主权的内涵,出现网络主权这一概念。网络主权是一国国家主权在网络空间的自然延伸和表现,对内指国家独立自主地发展、监督和管理本国互联网事务,对外指防止本国互联网受到外部入侵和攻击。网络主权包括管辖权、独立权、防卫权和平等权。2015年12月16日,中国国家主席习近平在第二届世界互联网大会开幕式主旨演讲中提出,推进全球互联网治理体系变革要坚持尊重网络主权,尊重各国自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利,不搞网络霸权,不干涉他国内政,不从事、纵容或支持危害他国国家安全的网络活动。
欧盟为保护成员国个人的隐私权,通过GDPR对其适用范围明确,将管辖权延伸到欧盟以外企业及组织机构,具体为:任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受GDPR的约束,即使一个主体不属于欧盟成员国的公司(包括免费服务),只要满足下列两个条件之一,就受到GDPR的管辖:(1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。(2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息。
同时, CLOUD法案以保护美国国家安全为由,也将管辖权延伸到国境之外,具体如下:(1)对于危害美国国家安全的犯罪、严重的刑事犯罪等重大案件,可以根据CLOUD法案调取相关证据,危害美国国家安全的犯罪、严重的刑事犯罪通常包括:恐怖主义犯罪、重大暴力犯罪、剥削儿童的犯罪、跨国组织犯罪以及金融欺诈犯罪;(2)无论服务提供者(美国境内)的通信、记录或其他信息是否存储在美国境内,只要相关通信内容、记录或其他信息为该服务提供者拥有、控制或者监管,均应当按照法令要求,保存、备份、披露。
当然, CLOUD法案对服务提供者域外司法协助义务也做了例外规定,即当同时满足下列条件时,服务提供者可以向法院申请撤销或者修正的动议:第一,美国政府调查的的目标对象并非“美国人”(the United States Persons),并且不在美国境内居住;第二,服务提供者如果履行CLOUD法案中披露内容的义务将给其带来违反“合格外国政府”(qualifying foreign governments)立法的实质性风险;第三,当接到服务提供者提出的动议后,法院应当给予政府答辩的机会。如果法院确认存在下列情形,可以修改或撤销:(1)所要求的披露将导致供应商违反合格的外国政府的法律;(2)根据案件的整体情节,依据公平正义理念原则,该法律流程应该修改或撤销;(3)对象不是“美国人”,并且不居住在美国。
针对外国政府向美国企业请求获取数据的司法协助,CLOUD法案规定了诸多限制条款,主要包括:1. 外国政府不得有意地针对“美国人”或位于美国境内的个人,且必须采取满足该要求的目标锁定程序;2. 如果外国政府的目的是获取有关美国人或位于美国的人的信息,则不得以美国以外的非美国人为目标;3. 外国政府不得向美国政府或第三方政府提出要求或获得信息的政令,外国政府也不得要求与美国分享任何信息的政府或第三方政府。此外,CLOUD法案还对外国政府发出的政令内容提出了十几项具体要求,基于篇幅所限,不在此赘述。
面对欧盟GDPR和美国CLOUD法案,本人就中国企业及公民面临的相关法律风险及对策分析如下:
一、无论中国企业还是公民个人,要转变观念,重新认识国家领域范围:既包括传统领土、领空、领海以及船舶、航空器等物理空间,也应当包括“网络空间”。同时,中国企业及公民应增强“网络空间”的法律风险防控意识。鉴于欧盟GDPR的实施,其管辖范围的广泛,尤其是在越来越多中国企业走出国门的大背景下,必将对中国企业在欧盟市场的投资和经营产生显著影响,并成为中国企业必须面临的重大法律监管障碍。违反GDPR产生的最严重侵权后果,将遭致行政罚款2000万欧元以下或该企业上一财年全球年度营业总额的4%(二者取其高)。鉴于此,中国企业要强化对个人信息保护,与欧盟市场相关的企业,要依据GDPR做好法律风险管理。
二、针对欧盟GDPR和美国CLOUD法案最新发展,我国应尽快出台《中华人民共和国网络安全法》实施细则,完善相关制度,强化网络主权,保障网络安全,引导企业自觉尊重个人信息权和隐私权。
三、我国应尽快出台《中华人民共和国国际刑事司法协助法》,并就境外政府提出司法协助调取境内存储的数据做出详尽规定。《中华人民共和国网络安全法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”依据该规定,苹果公司将其icloud业务迁至贵州的数据中心(云上贵州)。然而,基于苹果公司总部位于美国加利福尼亚州库比蒂诺市,依据美国CLOUD法案,美国政府有权要求苹果公司提供其存储在云上贵州的相关数据,面对美国政府的这一请求,中国政府如何应对?涉及的相关企业和个人如何应对?这一切都需要在相关立法中做出制度安排。同时,也需要通过法律专业人士在制度框架内代理企业和个人进行博弈。
总而言之,国家权力的边界,无论是公权与私权边界,还是国家主权行使边界,通过法律人运用法律技术得以划定,这就是法治的理想状态。