作者:尚权律所 时间:2022-11-25
编者按
近年来,对美国基于所谓“长臂管辖”原则制定的若干国内法进行反制,成为我国涉外法律体系建设中的一项重大需求。随着美国《云法案》在世界范围内第一次确立了网络空间数据管辖领域的“数据控制者”原则,对于新兴产业特别是云存储行业的不同主体而言,可以进行多重解读,尤其可能对一国数据主权产生影响。基于此,我国或可在借鉴欧洲《阻断法案》的基础上,正式确立数据存储领域之阻断立法模式,实现上述目标。
问题的提出:《云法案》与“长臂管辖”的不断拓展
长期以来,美国采取所谓“长臂管辖”政策持续影响着包括中国在内的各国相关政策反应。近年来,美国立法机构及政府相继出台了多部法律法规,以国内法规制他国自然人和法人从事美国不认同的民商事活动,其中就包括《2012年伊朗自由和反扩散法》(The Iran Freedom and Counter-Proliferation Act of 2012)、美国商务部的《出口管理条例》(Export Administration Regulations, EAR)等。这些法案和条例都以“最小接触原理”一再重申美国的“长臂管辖”权。
“长臂管辖”是属人管辖发展的结果,实质上是一国管辖权扩张的表现,有学者认为,这更是美国滥用国际司法协作与合作的结果。作为目前世界上法律域外性最普遍的国家,美国《澄清域外合法使用数据法案》(Clarifying Lawful Overseas Use of Data Act ,CLOUD Act,以下称《云法案》)的出台又企图确立其在网络空间数据领域的“长臂管辖”规则,各国也不得不将视野扩展到网络空间数据权利领域,以保障各自国内新兴网络产业的发展。
域外目前的相关研究中,不乏一些对《云法案》的积极评价,例如有的学者认为该法案规范并且便利了跨境电子数据取证,有的学者认为其是跨境数据流动在司法协助领域进步的体现,等等。国内学者则更多从网络控制权和数据主权的角度,从国家利益出发来看待美国的做法。不可否认,国外部分学者提到的《云法案》对跨境数据流动的积极作用客观存在。
从《云法案》功能上看,其确定了“数据控制者”法律管辖原则,排除了美国获取跨境电子数据的障碍,同时也提供了一些对等的条件方便其他国家获取美国境内的电子数据。但也要看到,这种“对等”其实相当有限。数据控制者原则与我国长期以来坚持的属地主义原则相悖,这是难以调和的矛盾。尤其是,对于《云法案》中关于服务提供者数据披露义务的解读也可能产生不同认识。
《云法案》自身条文及可能的解释导致其适用于不同领域的对象时,可能产生不同结果。但网络空间数据主权以及管辖权的确立不能一直处于这种纷争不明的状态,尽快在国内现有部分法规规章基础上,锚定我国政策目标,理顺态度,进行全国人大层面的立法,才能自“法律体系”甚至“治理体系”层面尽快完善较为根本性的应对举措。
党的十九届四中全会通过《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》,其中特别提出“加快我国法域外适用的法律体系建设”,结合当下实践中已经非常迫切的现实需要,前述相应法律机制不仅是对类似《云法案》的网络空间数据管辖制度表明态度,更是影响我国应对美国所谓“长臂管辖”原则时的整体态度和思路,在这些问题上,我们或可进一步借鉴域外近年来不断完善的阻断立法经验。
(一)云存储对数据主权认识的影响
数据并非因互联网而生,也并非完全依附于互联网;但互联网使数据形成大数据,并且在网络中,数据才具有了流动和广泛使用的意义。伴随着2003年12月联合国《日内瓦原则宣言》提出的“与互联网有关的公共政策问题的决策权是各国主权”,到2013年联合国大会提出“国家主权和源自主权的国际规范和原则适用于国家进行的信息通信技术活动,以及国家在其领土内对通信技术基础设施的管辖权”,再到2015年7月由20个国家组成的政府专家组重申各国的网络空间主权,“网络主权”的思想逐渐得到国际认同。而网络空间中的数据主权问题无疑会成为网络主权问题中的最重要方面,数据主权源于网络主权,同时又是国家主权在大数据时代的核心表现。没有全球数据体系的存在,全球互联网体系也将难以运转,而数据安全则伴随着网络信息技术的发展而显得越发重要。
在信息技术不发达的时代,数据尚没有产生并且显示其重要作用。随着信息网络技术的发展,各国之间的经贸往来、司法协作也带动了数据流动,数据对于产业发展甚至国家安全的重要意义被不断认识到。数据和互联网一样天然依附于计算机硬件设备中,设备必然有安置地,并且存储于某地设备中的数据又往往由当地人、事、物产生,因此数据便天然归属到了相关设备所在地国——“数据主权”一说由此产生。数据主权理论与传统的国家主权理论变得密不可分,一直以来都依据属地标准对数据主权进行划分。在数据主权中,属地的含义即数据的存储地;基于传统的国家主权理论,存储于本国领土设备中的数据,自然也要归属于本国。
这使国家主权原则在数据主权领域得以适用,类似于国家主权赋予一国在其领土范围内完全、排他的权力。特别是在美国“棱镜门”事件以后,很多国家都增强了危机意识,基于对数据主权的保护加强了本国立法,同时进行数据本地化立法,对数据的跨境流动增加诸多限制。例如,欧盟通过《通用数据保护条例》(General Data Protection Regulation, GDPR)将个人数据治理制度规范的适用范围扩展到所有处理欧盟治下个人数据的外国主体之上,间接强化了欧盟各国在网络主权及数据主权方面的态度。互联网上各种网站的搭建、访问原理较为简单时,由于功能、内容范围单一,一般不会产生跨区域的管辖权问题。但随着网页功能逐渐增多,内容范围逐渐扩大,一些特殊类型网站中出现的纠纷便不再适合采用旧有管辖方式。
在美国1997年“Cybersell,Inc.v.Cybersell,Inc.”一案中,第九巡回上诉法院借鉴地区法院在先判决,以一种新视角,即“正比例增减”(directly proportionate)的路径来解决网络活动中纠纷的管辖问题。第九巡回上诉法院认为,当受众所在地之外登记注册的公司通过网络形式对该地受众建立商业联系时,对于其网络商业活动中产生的纠纷,受众所在地法院并不当然地因该商业活动通过网络发生在该地而具有管辖权。
上诉法院认为,在此情况下,能否行使管辖权需要考察的一项重要指标是,“该公司在受众所在地所开展的网络活动的性质与特征,是否足以表明其有意享受该地的相关利益并愿意接受该地法院的管辖”。为判断该指标是否满足,上诉法院创造性地把网页区分为“被动型”(passive)和“互动型”(interactive)两种,并指出当该地受众能够在“互动型”网页上与公司直接开展商业活动时,能够证明上述“有意享受该地的相关利益并愿意接受该地法院的管辖”成立;同时,对不在受众所在地登记注册但通过“互动型”网页在该地开展商业活动的公司行使“长臂管辖”权。
这种“正比例增减”路径,明确了依据涉案网页上发生的信息交流的商业性质以及交互程度高低,来判断受众所在地法院能否对在该地之外注册登记的公司行使管辖权。因为其认为即便“互动型”网页的服务器等基础设施没有设置在自己的管辖区域内,但由于网页本身的交互性和商业联系的直接性较强,因此涉案网页所有的受众所在地法院都会基于这种实质上的联系具有管辖权。而相反,“被动型”网页则由于不向其受众开展直接的商业活动和实质性交互,因此该地点与网站经营者的联系不强,不足以仅以此建立管辖权。这便是美国将“长臂管辖”权理论适用于网络中的一种限制——但技术的发展远不止于此,法律适用情景日新月异。
云存储的出现改变了传统的数据存储与应用模式。云存储是指“借助网络,运用应用软件,为用户提供数据存储及访问功能的一个软硬件结合的数据集合系统”,属于广义云计算中的基础设施服务(Infrastructure as a Service, IaaS)。其能够在灵活、位置独立的基础上实现所需资源的快速无缝分配,所以才会出现实践当中某国某公司的数据存储在其他国家的情况。
基于分布式计算的“云”,自诞生以后便迅速成为一种商业模式,云存储成为其中用途最广泛的一种。云存储的最典型特征就是其服务器位置的不确定性,这是其分布式计算的基本原理所导致的。在这种特征之下,云存储一经出现便引发了对于数据安全和隐私安全的讨论,而这些讨论更多针对一国国内的数据安全问题。当云存储成为跨国、跨地区的商业模式之后,这一问题便上升到了国家数据主权层面——美国即是在这种模式中进一步找到了其“长臂管辖”权的扩展空间。
在“微软诉美国”(这里引用的是第二巡回上诉法院的判决)一案中,美国的缉毒局执法人员基于1986年生效的《存储通信法案》(SCA)申请搜查令,要求微软公司披露其储存于爱尔兰都柏林的数据。微软公司认为该数据实际存储于爱尔兰境内,其并不能直接根据美国法院签发的搜查令而提供,对这些数据进行获取应该通过双边司法协助程序进行。缉毒局执法人员则主张,微软公司对这些数据享有的是实际控制权,其有能力在不告知爱尔兰的情况下直接在美国境内提取相关数据信息。
第二巡回上诉法院2016年作出判决:该种搜查令并不要求网络服务供应商提供从美国境外获取的数据,其理由在于国会在制定该法案时关注的是国内用户的隐私保护而未明示或推定地将该搜查令条款的适用范围扩张至域外。也就是说,搜查令不具备域外效力(extraterritorial effects)。支持判决结果但存有不同论据的林奇(Lynch)法官发表协同意见称:国会亟须修改这一过时的法案以填补犯罪分子借机将数据存储于境外而逃避搜查的漏洞。
2018年2月6日,美国众议院提出《云法案》议案并提交其司法委员会。众议院代表发起此次提案动议旨在“修订《美国法典》第18篇,以促进执法部门对跨境存储数据的获取,以及服务于其他目的”。对于众议院所称的“其他目的”,美国司法部后来发布的《“云法案”白皮书》(Promoting Public Safety, Privacy, and the Rule of Law Around the World: The Purpose and Impact of the CLOUD Act, White Paper)及其刑事办公室发布的《关于“云法案”案件管理与数据获取系统对个人隐私影响的评估报告》(Privacy Impact Assessment for the CLOUD Act Case Management & Data Retrieval System)给出了细致回答:该法案的产生首先要回应时代背景之变化,即近些年来信息交流技术的革新以及跨国科技公司在其公司体系布局上的创新;就社会背景方面而言,从恐怖主义到暴力犯罪,从对儿童的性侵害到网络犯罪,信息技术同样被恶意利用在了犯罪领域。由此,相关信息数据的获取对执法机关调查犯罪,特别是跨国犯罪便显得尤为重要。
此外,其还从主体需求层面解释了社会对这一法案的需求:一是美国自身亟须获取相关信息数据来解决犯罪问题、保障国民公共安全;二是由于控制此类信息的许多公司设立在美国,这便导致了许多其他国家请求获取物理存储在美国的信息数据。然而,其他国家的数据获取需求与日俱增,通过传统的司法互助协定的安排无法有效、及时地完成域外取证的任务,这为构建一种更为高效的信息数据请求与分享机制创造了动力。
最终,该法案于2018年3月正式生效。这一法案明确授权美国执法机关可以强制要求网络服务提供者披露他们实际掌握的数据,无论这些数据储存于何地,并且也无须告知实际的存储地国家。这样的授权在美国联邦最高法院复审“美国诉微软”案件中得到确认:“《云法案》之于《存储通信法案》新增了下列条款……不久后,政府根据新法重新向微软发出同原搜查令内容相同的第2703号搜查令。现本案当事双方已无实质争议,本案所涉问题已不具有讨论意义。”由此可见,《云法案》满足了美国执法机关“数据储存在国外,凭借国内搜查令也可搜查”之需求,使美国对数据的管辖权扩张超出了传统的属地管辖和属人管辖范围。
另外,《云法案》还规定了外国执法机关需要的数据存储在美国境内时如何调取数据的情况,即外国政府必须符合“适格外国政府”(qualifying foreign governments)的要求。至于何为“适格外国政府”,该法作出了细致规定:“(1)依据本法第2523节与美国拥有一个生效的行政协定;(2)其法律为电子通信服务提供商和远程计算服务提供商提供类似于本法案规定的实质性和程序性机会。”英国政府于2019年10月7日在《云法案》之下与美国签订了此种行政协议,即一种数据共享的协议文本;欧盟与美国也原则上签订了《跨大西洋数字隐私协议框架》(Trans-Atlantic Data Privacy Framework)。
由此,现阶段的云模式不可避免地在各国不同的管辖权规定之下产生规制冲突,特别是涉及跨国数据流动方面。美国《云法案》的规定也并非完全对等公平,但其也反映出现代社会的云存储模式应该有一种适当的跨国数据流通方式,这也会影响我国对于数据主权的看法:一种将传统的属地管辖原则转变为数据控制者原则的思路需要得到提倡。
(二)数据控制者原则的适用范围
1.《云法案》第103节规定的管辖权
所谓“数据控制者原则”源于“微软诉美国”一案中的关键争点:与“数据存储地原则”相对立,数据控制者原则的核心就是“谁控制这些信息,而非信息所在位置”。(“It is aquestion of control, not aquestion of location of that information.”)如前所述,美国为解决新出现的云存储类型案件的跨境数据调取问题,迅速出台了《云法案》,确定了数据控制者原则。《云法案》将此原则规定在第103节,即提供电子通信服务或者远程计算机服务的供应商应遵守包括存储、备份、披露所有有线或电子通信记录,以及任何供应商拥有、监测或控制的用户信息的义务,无论这些数据位于美国境内或境外。
同时,负有这种义务的公司并不仅限于在美国注册成立的公司,即便是因为一些原因应当受到美国管辖的公司也要受到这一限制,这就又进一步扩大了美国“长臂管辖”权的范围。在同时满足三种条件的情况下,第103节(b)赋予了数据提供者抗辩的机会:第一,数据披露会造成提供商违反适格外国政府的立法;第二,基于个案情况以及公平理念,这一程序应当被撤销或者修改;第三,对象并非“美国人”且不在美国居住。
值得注意的是,《云法案》第103节中并没有将“提供电子通信服务或者远程计算机服务的供应商”明确为云计算或云存储服务提供者,而实践中大型公司基于成本考虑将自己的数据存储在其他地点的做法并不少见——即使有些时候这种存储方式并非由云计算服务提供商提供,也没有被称为“云存储”。根据第103节之规定,即便不是由纯粹的云计算服务提供商提供的云服务情况,也可以被定义在本节规定之内。这使该条的适用范围得到进一步扩张,美国的数据权力主导地位进一步加强。
在上述赋予数据提供者抗辩机会的三种情况中,第一种和第三种情况会给相关外国政府一定的应对空间。在第一种情况下,外国政府可以用国内立法阻断美国的“长臂管辖”,但对“适格外国政府”的解释和认定仍然让美国在适用该条时存在很大空间。在第三种情况下,如果相关数据涉及的客户或者用户并非美国公民且不在美国居住,此种数据披露要求可以被撤销,这可以为外国政府保护本国公民信息安全以及国家安全提供空间。该种情况之规定有其现实合理性。
实践中很多公司在其他国家进行数据存储和服务器设置,可能并非因为其想要在该地区开展业务,而只是出于运营成本考虑而设置自己的服务器,或者租用其他公司的服务器实现自己的数据存储。这种时候涉案数据很有可能并不涉及外国公民。而如果相关公司在国外开设或租用服务器是为了在当地开展业务,相关服务器就势必会存储外国公民的信息,在涉案数据涉及外国公民的情况下,外国政府便极有可能抵制这种数据调取,国家间的矛盾便有可能增大甚至激化。
综合来看,这种情况似乎更像是对前述“正比例增减”原则的一种变型。“正比例增减”原则根据网站的商业性和交互性决定网站所涉及地点的管辖权,可以理解为根据网站数据的实质接触和交互程度来确定管辖权。如果某网站在某地区有实质性经营行为,那么这个网站的经营者就是在对该地区获得的数据进行实际控制,那么该地区就对实际控制数据的网站具有管辖权。但这种思路在涉及跨国网站的情况下就不能再发挥作用:云存储设备所在的国家很难因云存储设备中的数据来源于国内,而对租用云存储设备的外国企业进行管辖,最多也只能是通过控制云存储服务提供商来对实际存储在境内的数据进行管辖。
这其实并不影响《云法案》吸收其正比例增减的思路,《云法案》第103节中规定的是数据控制者所在地法院可以管辖其控制的数据,哪怕这些数据不在物理的管辖区域内。而对于相关数据所涉公民身份的要求以及外国政府的国内规定的阻断要求,无疑是在为这种实际控制设定“比例”,即不能无限制进行数据管辖。这也代表“长臂管辖”扩展到云存储领域也是受限的,这种“云存储”不仅包括由云服务提供商提供的专门云存储服务,也包括实践中经常出现的公司实际经营地和数据存储地、服务器设置地分离的情况,可以说是一种广义的“云存储”。这也是本文对“云存储”的概念理解。
2.数据控制者原则的合理性及限制
前文已经分析了《云法案》确定数据控制者原则的过程,但对于这一条款具体针对的网络服务提供商和种类的理解,以及对于所谓的“数据控制者”含义的理解不同,可能会产生该原则具有合理性或者相反——美国在滥用该原则——两种完全不同的解读。根据前述第103节之规定,对于“服务提供者”所指的具体服务类型,以及该服务提供者“拥有”(possession)、“监管”(custody)、“控制”(control)的具体含义,可以产生很大歧义。
按照云存储的技术原理和前述“微软诉美国”一案的情况来看,云存储业务过程包含了双方当事人,一方是租用云存储服务器的网络服务提供者,另一方是提供云存储服务器的云存储服务提供者。无论如何,云存储服务提供者都不是服务器中数据的所有者。其更多类似于出租场地一样,将服务器资源进行出租,想要在服务器中存储哪些数据显然应由租用方决定。
而从物理情况上看,因为云存储服务提供者真实控制着所出租的服务器,甚至可以说,其出租的只是服务器的存储能力,至于这些大型服务器到底放在哪个国家哪个城市,均由云存储服务提供者自己决定。这导致从客观上看,云存储服务提供者也是这些服务器中数据的实际控制者。实际上,如果不顾协议约定和这些数据收集的来源问题,云服务器所有者可以对服务器之上的数据进行直接处置。但从“微软诉美国”一案可以看出,微软公司并非云存储服务提供者或云服务器所有者,而是作为位于国外的服务器的实际使用者,其自然有权调取存储在国外服务器中的这些数据。如果对第103节的理解建立在这一基础之上,也就是将“服务提供者”理解为租用云服务器的网络服务提供者,那么其提供自己公司所有并控制的数据似乎并无不妥。
问题也会由此产生。第103节规定“服务提供者”“拥有、监管或控制”数据。这样看来,如果此处的“服务提供者”指的是云存储服务提供者,同时也是客观上服务器中数据的拥有者、监管者和控制者,其和租用云存储服务器的网络服务提供者相比,租用者是数据的真正权利人,出租者则是数据的物理控制人。至于第103节这一概念到底所指哪一“服务提供者”,抑或两种“服务提供者”都包括在内,可能就是其他国家难以接受这一条文规制的主要原因了。
如果将“服务提供者”的含义局限于租用云存储服务器的网络服务提供者,根据前述第103节(b)赋予该服务提供者的抗辩权,同时满足前述法定三种条件的情况下,法院可以豁免网络服务提供者披露相关数据的义务。需要注意的是,如果说服务提供者行使抗辩权的三种法定条件规定得还算相对清晰,那么下面这一点就相当模糊了:法案要求法院判断三种条件中的第二点即“个案情况”时,基于所谓“礼让原则”(comity analysis),在作出决定时要“酌情考虑”(as appropriate)所规定的8项并列要点。
这8项不甚明确却要求法院考虑的要点大体指:(1)美国的利益,包括寻求信息披露的具体政府组织在调查方面的利益;(2)适格外国政府在避免其法律禁止的内容披露方面的利益;(3)不一致的法律要求,对服务提供者(或其雇员)带来处罚的可能性、程度与性质;(4)正在寻求通信的订户或客户的位置和国籍(如果知道的话),以及订户或客户与美国联系的性质和范围,或者如果已根据第3512节代表外国当局寻求法律救济,订户或客户与外国当局联系的性质和程度;(5)服务提供者与美国的联系及存在于美国的性质和程度;(6)要求披露的信息对调查之重要性;(7)及时有效地获取所需披露信息的可能性,这些信息披露方式导致的后果不至于过分负面;(8)如果已根据第3512节代表外国当局寻求法律救济,则考虑提出协助请求的外国当局的调查利益。
如果将“服务提供者”的含义扩大到云计算服务提供者或包括云计算服务提供者在内的广义“网络服务提供者”,那么即使进行上述抗辩和礼让分析,第103节所规定的披露义务也会令人困惑。在与前述“微软诉美国”一案相反之情况下,如果某一案件中当事人的信息恰好存储在美国云存储服务提供商的服务器中,则无论该服务器放置在哪里,该云存储服务提供商都可以被视为其服务器和其中数据的实际控制者——如果基于此便可责令云存储服务提供商披露相关数据和信息,则无疑会对云存储服务协议履行造成危害,甚至威胁整个云存储服务行业。随之而来的,外国企业可能不再敢使用美国云存储服务提供商提供的存储服务。对他国亦是如此。
如果基于此,云存储服务提供商进行了数据披露,那么即便从表面看符合了《云法案》的相关规定,也会导致实质意义上的不合理。因为通过此种扩大解释,此时该条款针对的对象从一开始便为错误,即便运用抗辩理由和礼让分析,该过程的错误之处都将无法被掩盖。
基于此本文认为,只有将第103节限制在租用云存储服务的网络服务提供者范围,才具有合理性,这也是对于该条文本应有的限制。但目前来看,美国并没有进一步明确该条款所针对主体的范围限制,这必然会暴露条文本身的问题,以及导致各国对该种披露行为调整的错位和失衡。
美国“长臂管辖”在云存储领域的标准失衡
(一)《云法案》第105节之于他国主体的限制
上文提及《云法案》规制的服务提供者可以提出的“抗辩”内容,包括披露内容的法律义务将给服务提供者带来违反“适格外国政府”立法的实质性风险。结合第105节之规定,该法案允许“适格外国政府”在与美国政府签订行政协议后,向美国境内的组织直接发出调取数据的命令。这分别是“适格外国政府”在数据的进与出两方面都可以拥有的便利。由此观之,如果不是“适格外国政府”,那么被要求披露数据的服务提供者便不能援引这项抗辩,该外国政府也就不能通过同样方法从美国境内调取数据。此时,对于“适格外国政府”之认定就变得非常关键。
第105节规定了美国与其他国家关于数据跨境获取的双边执法协议机制,即该外国政府的国内法是否对数据收集活动中的公民自由和隐私提供了切实有效的实体法和程序法保护。
其中,需要考虑的因素包括类似:
(1)例如是否是2001年11月23日在布达佩斯签署的,并于2004年1月7日生效的《网络犯罪公约》(Budapest Conventionon Cybercrime)之缔约国,或者具备与该公约第一章、第二章规定之内容相一致的国内法,也即拥有完善的关于网络犯罪和电子证据的实体法和程序法;
(2)是否遵守法治和非歧视原则;
(3)是否尊重和保护普遍人权——其中又包括诸如保护隐私、公正审判以及免受酷刑等具体权利;
(4)是否有明确的法律授权和程序,包括这些机构收集、保留、使用和共享数据的程序,以及对这些程序的有效监督;
(5)有充分的针对外国政府收集和使用电子数据进行的问责机制和适当的透明度;
以及(6)是否致力于促进和保护全球信息自由流动,推动互联网的开放性、分布式和互联性。
单就这些条文本身而言,主要以一国信息技术发展水平和立法、司法保护水平作为标准,在信息技术已经越来越发达甚至滥用的时代,从形式上说以这些因素作为判断是否“适格”也不是过分“出格”。但也有学者指出,对于这些条件的标准如何衡量,难免还是会陷入以美国标准为核心、将美式立法作为范本的情况。在这种情况下,签订执法协议使美国的跨境数据获取不再需要冗长的司法互助程序。一定程度上,这也是美国欲推广其数据优势地位的措施。
进一步地,如果外国政府满足“适格”条件,在其发出了调取数据的命令时,协议还会要求:
(1)外国政府不得故意以美国人或在美国境内的人为目标,并应采取旨在满足这一要求的锚定程序(targeting procedures);
(2)如果目的是获取有关美国人或美国境内人士的信息,则外国政府不得以美国境外的非美国人为目标;
(3)外国政府不得应美国政府或第三方政府的要求发布命令,也不得获取向美国政府或第三方政府提供的信息,也不得与美国政府或第三方政府分享任何信息;
(4)外国政府发出的调取数据命令,应用于获取与包括恐怖主义在内的严重犯罪的预防、侦查、调查或起诉有关的信息,且授权必须明确、合法等;
(5)这样的命令不得用于限制言论自由;
(6)外国政府应不延迟地审查根据协议收集的数据,并将未经审查的数据储存于一个安全系统中,且该系统只能由接受过适用程序培训的人员使用;
(7)外国政府应尽可能使用符合1978年《外国情报监视法》(Foreign Intelligence Surveillance Act)第101节中最小化程序定义的程序;
(8)除涉及针对美国或美国人的重大伤害或威胁等极特殊情况外,外国政府不得将关于美国人的数据内容提供给美国政府;
(9)外国政府应提供数据访问的互惠权利;
(10)外国政府应同意美国政府就协议履行情况定期开展审查;
(11)美国政府保留停止适用某协议的权利。
由此可见,即便是迈过了该“适格外国政府”的门槛,在协议的内容和执行上依旧需要满足层层要求;同时美国在根据协议调取相关适格国家的数据时,也应当相应满足以上规定,才能符合对等原则之要求。
(二)不对等影响下的标准失衡
根据《云法案》对“适格外国政府”所提供的便利条件规定:如果被美国认定为“适格外国政府”,那么无论是基于美国国内法的规定还是双方的行政协议要求,美国都应该受到对等原则的限制;如果不能被美国认定为“适格外国政府”,美国政府则可以依据“长臂管辖”原则单方面获取一些存在于外国的数据。也就是说,对于“非适格外国政府”而言,美国政府完全可以依据“《云法案》+‘长臂管辖’原则”绕开存储所在地国家的授权,直接要求相关企业提供数据,且相关服务提供者没有抗辩理由。这就等于从美国国内法上创设、认可了“单边”式数据获取方法,是一种权利极不平衡的规范,也是很多国家质疑这一法案的原因。
主权理论与现代民族国家概念同步诞生,而互联网技术的出现,使国家疆域扩展到了网络空间,主权理论也延伸到了虚拟的网络世界,产生网络主权理论。在现代社会信息技术高速发展之背景下,维护网络主权与维护传统意义上的国家主权同等重要,而数据则是网络空间中最基础和重要的组成部分。《云法案》中对于“非适格外国政府”所设置的“单边”数据获取方式,甚至反映出美国政府对所谓“非适格外国政府”的歧视,会严重威胁到相关国家的数据主权和网络主权。
一方面,外国政府是否“适格”需要依赖于美国政府的判断。前文已有提及,判断标准之一的外国政府在网络犯罪和电子证据方面是否拥有足够的实体性和程序性法律,有类似“是否加入《网络犯罪公约》或者国内法至少与公约第一章、第二章规定相符合”之规定。按照这一标准,因为《网络犯罪公约》的实际生效国家有限,因此世界上多数国家都无法成为所谓的“适格外国政府”,进而对于与非适格外国政府之间的对等原则和数据主权的不尊重显而易见。这一标准由美国单边自由决定,并且也没有尊重其他国家合作治理网络空间的“共治权利”。
另一方面,《云法案》也没有给“非适格外国政府”以其他路径选择,而是在判断其“非适格”后,自己依旧可以通过“长臂管辖”从该国获取数据,而该国却只能“一案一议”,通过传统冗长复杂的司法协助程序进行数据获取。如果服务提供者可以扩展到云计算服务提供者,更会使这种数据获取方式成为一种强权逻辑,体现出在不对等规则下各国之间对于数据流动调整标准的失衡。
应对《云法案》:以阻断法案维护数据主权
显然,美国在数据领域进行的国内法“长臂管辖”规定已经在一定程度上威胁到我国的数据主权,任由美国通过这种方式调取和掌握数据将对我国国家安全和经济安全产生不利影响。且不论《云法案》条款本身存在的矛盾和不明确之处,即便是按照前述第103节、第105节条文之规定,也很难让美国承认我国“适格”,进而使得涉事公司得以抗辩。数据安全也事关网络安全和国家安全,我国应当参照欧盟相关立法之规定,在中国国内现有立法基础上,进一步完善数据管理法律规制,制定全国人大常委会版本的“阻断法”,建立起与国际接轨的数据治理体系。
(一)应对“长臂管辖”并不断进化的欧盟《阻断法案》
为了遏制美国日益严重的“长臂管辖”干涉,欧盟于1996年制定了《免受第三国立法及由此产生行动之域外适用影响的保护法案》[Council Regulation(EC)No.2271/96of22nd November 1996 protecting against the effects of the extraterritorial application of legislation adopted by a third country, and actions based thereonor resulting therefrom,以下简称《阻断法案》]。该部法案一共12条,在当时是用来应对美国针对古巴、伊朗、利比亚的制裁,旨在以法律的形式保障欧盟的企业和个人利益,免受第三国法律的域外适用。
2018年伊朗核协议危机后,为了帮助欧盟企业应对美国制裁伊朗政府,欧盟又重启《阻断法案》,对其进行了更新。这一时期欧盟也有根据其数据领域立法进行管辖权扩张之规定,例如GDPR规定欧盟法院、成员国法院都可以对欧盟外的企业进行涉GDPR诉讼,行政执法机关也可以行使行政执法权。2021年,欧盟发布新的报告《欧洲经济和金融体系:促进开放、强度和抗逆力》(The European economic and financial system:fostering openness, strength and resilience),宣布进一步修订《阻断法案》。
总结欧盟《阻断法案》之立法进程,可以进行如下小结:(1)通过《阻断法案》,欧盟旗帜鲜明地指出,“不承认第三国通过的法律的域外适用,并认为这种影响违反了国际法”;(2)《阻断法案》也需要与时俱进,尤其是在网络信息时代,将数据安全的内容进一步纳入法案的保护范围是大势所趋;(3)我国面临的并非只有美国域外管辖权问题,欧盟《阻断法案》是当代阻断法的代表,而我国是目前世界上主要经济体中极少数尚未制定完整意义上“阻断法”的国家,参考相关成熟立法势在必行。
(二)美国“遇强则弱”的启示:制定中国版“阻断法”的现实意义
阻断法从属性上属于冲突法的一种,是指在国家之间出现管辖冲突的情况下,禁止在本国管辖范围内适用外国具有域外效果之法律并消除其影响的一类国内法的统称。有学者指出,可以将其分为狭义和广义阻断法两种。前者是指直接规定禁止外国某些具有域外效力的法律在本国适用的法律,如欧盟《阻断法案》。广义阻断法在狭义阻断法之基础上,还包括在效果上能实现阻断外国法律在本国适用的法律,如保密法和个人隐私法等。本文所称的阻断法指狭义阻断法。如前所述,目前世界主要经济体都制定了阻断法以阻断美国的域外管辖,主要针对美国在域外调查取证的程序以及用于对本国主体在国外行为的监管。
欧盟《阻断法案》第5条规定,该法案所适用的主体“不得主动或故意疏忽地、直接或通过子公司或其他中间人间接遵守任何基于这些(附件中的外国)法律,或由这些法律所产生的、包括外国法院的要求在内的任何要求或禁令”。该条文阻止了相关主体遵守所阻断的外国法律,但显然,它同时容易使得欧盟内的经济主体要么因为遵守美国的管辖规则而违反欧盟的阻断法,要么就要遵守欧盟的阻断法却被美国制裁,无法实质解决相关经济主体面临的困境。
实际上,美国法院会将类似阻断法在国外的实施情况当作考虑因素——有判例还引述了其他判例中所涉及的,称欧盟《阻断法案》为“伪法”(a sham law):如果欧盟对违反《阻断法案》的行为没有进行严格处罚,那么相关私人经济主体在援引该抗辩的时候也会被美国法院削弱。也就是说,美国法院会部分考虑到相关外国所制定阻断法的严厉程度,“遇强则弱”。如果诸多国家都选择倾向于严格执行,则更表明阻断法的制定意义重大。
(三)借鉴欧盟《阻断法案》,在中国相关阻断法律制度基础上进行立法
1.手段多样、赔偿宽泛:《阻断法案》“阻断”的主要内容
欧盟《阻断法案》主要包括适用范围、反阻措施、豁免规定、赔偿条款四个部分。在适用范围上,欧盟《阻断法案》第11条规定,以下五种情形的自然人或者企业将受到本法案的规制:(1)任何在欧盟成员国内居住并拥有欧盟成员国国籍的自然人;(2)任何在欧盟成员国内注册的法人;(3)任何由1986年12月22日第4055/86号理事会条例涉及的自然人或法人;(4)任何在欧盟成员国内居住的自然人,但拥有他国国籍者除外;(5)任何在欧盟成员国境内(包括领空、领海以及船舶航空器)以专业身份行事的自然人。
可见欧盟采取以传统的属人和属地管辖为基础的判断适用主体的标准;而《云法案》中的“数据控制者原则”,本文认为,仅可适用于租用云存储服务的网络服务提供者,同时还要严格遵守该法案第103节(b)规定的抗辩事由。从《云法案》目前的表述来看,一些概念还需进一步明确,规则适用范围也应当清晰界定,云存储基础设施服务这种典型的IaaS类型应当被排除。目前来看,实践中采用传统管辖理论遇到的问题可能更少。
在阻断措施上,一方面,根据《阻断法案》第4条规定,欧盟法院不仅不承认根据域外法所作出的判决裁定的效力,更不会执行这些决定;另一方面,根据《阻断法案》第5条第1款,欧盟企业和个人,即使企业和个人出于自愿,也不能遵守域外法。欧盟的这种阻断措施可以概括为“不承认、不执行、要遵守”,亦即对于第三国的决定,无论是行政的还是司法的抑或是仲裁庭的,只要是根据欧盟《阻断法案》附件所列的域外法所作出的,都得不到欧盟境内法院的承认,同时对于域外判决裁定所规定的任何经济惩罚措施,都不能得到欧盟境内相关权力机关的执行。另外,欧盟境内的权力机构,包括但不限于法官、仲裁者也有义务确保本法案的适用和执行。
在豁免规定方面,《阻断法案》第5条第2款规定,在特别情形下,欧盟企业和个人可以申请欧盟理事会审查批准对《阻断法案》的特别豁免,即在个案情形中可以不遵循《阻断法案》的规定,仍然遵循域外法。之所以设置此豁免条款,是因为要求所有欧盟企业和个人按照“一刀切”的方式摒弃对域外法的遵循也并不切实际。但豁免需要经过非常严格的审批程序,申请的企业和个人需要提供足够的证据证明,如果不遵循域外法将会给自身造成十分严重的损失,只有在证据充足的情况下,豁免申请才会由理事会转达给委员会审议。
在赔偿条款方面,根据《阻断法案》第6条的规定,凡是第三国适用《阻断法案》附件所列的域外法抑或根据以上域外法所采取的行动,给欧盟企业或个人造成损失的,欧盟企业和个人都有权要求赔偿。这一规定中遭受损失的欧盟企业和个人可能得到的赔偿范围十分广泛,“任何损失,包括诉讼费用”都会是赔偿的范围。案件中被告的范围也十分广泛,适格被告可以是相关负责人和实体,也可以是他们的代表。执行赔偿的方式可以包括抵押或者出卖被告方在欧盟成员国境内的资产,或者出售其拥有的注册在欧盟成员国内公司的股份。
2.欧盟《阻断法案》与中国《阻断外国法律与措施不当域外适用办法》:阻断“长臂管辖”的两条路径
2021年1月9日,商务部出台了《阻断外国法律与措施不当域外适用办法》(以下简称《阻断办法》),可以说是中国版“阻断立法”的第一次重要尝试。此次《阻断办法》的制定、公布机关是商务部,性质属于部门规章。《阻断办法》第2条规定,其适用于违反国际法和国际关系基本准则,不当禁止或者限制中国公民、法人或者其他组织与第三国(地区)及其公民、法人或者其他组织进行正常的经贸及相关活动的外国法律与措施。有分析认为其主要针对的是美国法律概念下的“次级制裁”;也即美国除了通过“初级制裁”限制本国实体和个人与被制裁对象的经济往来,也通过“次级制裁”限制非美国企业和个人与被制裁对象进行交易。
总体而言,《阻断办法》没有对阻断对象作严格限定,也并非专门适用于某一领域,而以判断“是否违反国际法和国际关系基本准则”来进行评估,试图广泛覆盖攸关我国利益的外国法律与措施的域外适用情况。这一点明显不同于欧盟直接将阻断对象作为附件进行规定、37明确划定适用范围的做法。可以说,我国的规定可以避免日后因情势变化导致需要频繁修订的情况,欧盟的规定则更加明确和有针对性。
(四)数据主权面临“长臂管辖”挑战:中国版“阻断法”应关注的重点
本文认为,欧盟《阻断法案》“点名道姓”式的规定应该被未来全国人大常委会层面制定中国版“阻断法”所吸收。在立法目的上,中国“阻断法”应该起到让中国企业和个人可以对抗美国“长臂管辖”的作用,甚至可以追偿因美国“长臂管辖”造成的损失,原则上应当禁止中国企业向美国妥协,但必要时也可以进行豁免。在具体立法框架上应当先识别美国的法律、法规中影响到中国企业和个人利益,有碍全球贸易自由开展的部分,并明确将其列为应当不遵循的域外法。在调整内容上,要重点涵盖云存储产业在内的互联网产业,这必是维护我国数据主权和网络主权的重要举措。
在适用范围上,中国版“阻断法”也应采取规定,对自然人主要以国籍和居住地为判断标准;而对于法人则主要采取注册登记地的判定标准。对于非属于中国地区的自然人,则由其行为性质所决定。《阻断办法》第5条对此进行了初步规定,“中国公民、法人或者其他组织遇到外国法律与措施禁止或者限制其与第三国(地区)及其公民、法人或者其他组织正常的经贸及相关活动情形的……”,这表明如果有外国法律限制中国公民、法人或其他组织与第三国(地区)正常进行经贸活动并造成损失的,即可以向国务院商务部门报告。
在阻断措施上,“阻断法”应奉行“不承认、不执行、要遵守”的原则。具体而言,对于美国单方面决定,无论是行政的还是司法的抑或是仲裁庭的,只要是根据中国版“阻断法”所列明的法律作出的,都不能得到中国法院的承认;对于美国法院裁判的任何经济惩罚措施,都不能得到国内相关权力机关的执行。《阻断办法》第7条对此初步规定:“工作机制经评估,确认有关外国法律与措施存在不当域外适用情形的,可以决定由国务院商务主管部门发布不得承认、不得执行、不得遵守有关外国法律与措施的禁令。”
云存储领域极为特殊,盖因其商业模式涉及多方网络服务提供者。类似美国要求其本国公司提供存储在境外的数据的行为,由于数据的所有者和实际控制者是该美国公司,假如被提供的数据存储在中国云存储服务提供商在中国境内设置的服务器上,中国的云存储服务提供商能否以及应否依据阻断法限制外国企业提取数据可能会存在难题:一方面云存储服务提供者按照协议不应该干涉其客户存储在所租用的服务器中的数据,另一方面根据数据存储地原则我国也可以要求外国企业不得获取存储在我国的数据。
反之,如果我国企业租用了美国云存储服务提供商的服务器,并将数据存储在位于美国的服务器内,同时我们很难符合《云法案》规定的所谓“适格”,这将导致我国不能像美国一样提取存储在美国境内的数据。因此于当下情况,即云存储服务提供商可能面临的两难境地中,我国最好的维护数据主权的做法就是尽快制定一部完善的全国人大常委会层面的“阻断法”,对外国法令予以阻断。
在豁免规定中,中国版“阻断法”应该同时为中国企业保留豁免条款。《阻断办法》第8条规定:“中国公民、法人或者其他组织可以向国务院商务主管部门申请豁免遵守禁令。”美中不足的是,正因为对于《阻断办法》之适用范围而言,采原则规定而没有具体列明,其实会导致相关主体申请豁免时的无所适从。
余论:阻断法与数据主权维护的法律体系建构
当下美国政府相继出台了许多法律法规,旨在规制他国自然人和法人所为的、美国不认同的民事和商贸活动,并对涉事人员、企业进行经济、行政甚至刑事法律制裁。这些法律、法规既冲击世界贸易体系,也会严重破坏自由市场经济,侵犯自然人、企业以及相关国家利益。
可以说,美国单边主义扩张至网络空间的最新发展即为《云法案》的推出。其中若干条文之规定,依据自己的利益需求,改变其所提出的“数据控制者原则”涵摄范围,以及明确数据领域的“长臂管辖”,就典型表明了这一点。数据主权和网络主权是国家主权重要组成部分,这已经成为共识。其他国家成熟有效的阻断立法,可以在一定程度上解决、至少是部分抵消单边主义对本国带来的不利影响。
对于《云法案》所提出的新兴云存储产业中的数据内容管辖问题,只有各国在平等、对等之立场上,共同理解新兴技术带来的行业内变革,理解行业发展的规范需求,同时在尊重各市场主体合法权益和各国数据主权乃至网络主权的前提下,才能形成具有实践意义和“共赢”积极作用之共识。相反,在不对等处理和随意定义“数据控制者原则”的情况下,《云法案》无疑会导致美国单方面的数据垄断,这时就凸显了“阻断法”制约“长臂管辖”之意义。
在更广阔的视域中,于更加广泛的产业发展和全球化进程而言,以“阻断法”防止单边主义扩张,其意义不仅在于维护诸如云存储行业这一新兴行业,更在于维护我国经贸利益以及构建更加公正合理的国际经济贸易格局。
我国出台《阻断办法》当然是有益尝试,但在处理类似云存储等新兴商业模式方面,就产业特点而言,如果因循传统阻断思路势必会给云存储模式带来相当不利之影响,不利于产业做大做强,参与全球竞争。当下中国阻断立法对于解决传统国际商事领域的许多问题有了回应,在维护国家网络主权和数据主权的前提下,我们也要在未来的立法中兼顾新兴网络产业的发展。就这一方面,在《阻断办法》有益实践之基础上,借鉴欧盟《阻断法案》,尽快出台中国版“阻断法”,以降低美国“长臂管辖”不利影响,进而构建维护国家网络主权和数据主权之法律体系,均属题中之义。
2022年7月13日,美国参议院议员克里斯·库恩斯(Chris Coons)和托德·扬(Todd Young)共同提出一项新的法案,名曰《反经济胁迫法案》(Countering Economic Coercion Act of 2022)。该法案篇幅不长,一共6个条款。顾名思义,其主要内容旨在赋予行政部门以具体手段向遭受所谓经济胁迫的主体提供支持;条文明确接驳诸如《出口管制改革法案》(Export Control Reform Act of 2018, 50 U.S.C. 4801 et seq.)等。可见,于西方国家而言,运用涉外法律进行国内/国际经济治理达到国际竞争目的的方式已经颇成体系,这一动向应该引起我们的重视与思考。
按语
党的二十大报告继续强调坚持全面依法治国,推进法治中国建设。作为法治的重要环节之一,刑事诉讼相关理论和实践一直备受关注。本期中法评专论聚焦“刑事诉讼的新理念与新发展”。
近两年来,为营造法治化营商环境、促进民营企业依法依规经营,最高人民检察院主导推进了企业合规改革。但此项改革并无直接明确的法律依据,而是在现有的制度框架内寻找改革空间,力度有限,时常面临突破法律边界的合法性质疑。鉴于此,理论界与实务界对于合规入法的声音日渐高涨。陈卫东的《刑事合规的程序法建构》一文,明晰了刑事合规诉讼程序立法的现实背景、基本原则,并以此为基础进行了制度设计:立法模式应选择特别程序的专章模式,正确处理合规诉讼程序与认罪认罚从宽制度的关系,设置适用合规诉讼程序的消极条件,将合规诉讼程序延伸至侦查、审判阶段,注重程序启动与整改考察中的权利保障。
数字检察作为新发展阶段检察机关的战略性改革部署,已然受到学界和司法实务部门的强烈关注。但在科学技术深度融合的同时,技术行动范式与法律监督结构范式之间的张力始终存在。高景峰的《数字检察的价值目标与实践路径》一文,聚焦数字检察改革实践的价值取向和目标,探索和完善符合法律监督权力运行规律的实践路径,为我国法律监督数字化智能化现代化总结实践经验、凝聚理论共识。
施鹏鹏的《刑事证明责任理论体系之检讨与重塑》认为,受民事诉讼影响,刑事诉讼构建了类似的证明责任理论体系,却无视公法的制度环境,从而引发了诸多混乱和矛盾。依刑事诉讼的公法特质构建新的刑事证明责任理论体系实属必要,包括承认被告人一方的证明权、确立检察官和法官的实质真实义务以及放弃“证明责任”和“证明责任倒置”的表述。新的刑事证明责任理论体系,本质上涉及职权主义实质真实的刑事证明观,强调证明的职权原则,而非处分原则,因而与当事人主义以及民事诉讼的证明观区分开来。
2010年以来,我国积极借鉴域外相关制度建立了相对独立的非法证据排除庭审调查程序,回应了司法实践中的迫切需求。吴洪淇的《被嵌入的程序空间:庭审排非程序十二年观察与反思》一文,通过观察过去十二年庭审排非程序相关立法和司法解释,发现域外引入的先行调查规则与我国既有刑事司法系统之间产生了较为严重的冲突。在与我国刑事司法大环境不断的磨合过程中,庭审排非程序逐渐被改造成独具中国特色的程序设置和制度体系。总结庭审排非调查程序的改革之路,对我国相关程序改革在创造改革外部环境、保持程序各方控制权平衡以及改革路径等方面都具有相当的启发意义。
近年来,对美国基于所谓“长臂管辖”原则制定的若干国内法进行反制,成为我国域外法律体系建设中的一项重大需求。郭烁的《云存储的数据主权维护——以阻断法案规制“长臂管辖”为例》通过对美国在世界范围内第一次确立的网络空间数据管辖领域的“数据控制者”原则进行解读,提出我国或可在借鉴欧洲《阻断法案》的基础上,正式确立数据存储领域之阻断立法模式。前述相应法律机制不仅是对类似美国《云法案》的网络空间数据管辖制度表明态度,更是影响我国应对美国所谓“长臂管辖”原则时的整体态度和思路。
来源:中国法律评论
作者:郭烁 ,中国政法大学诉讼法学研究院教授