摘要:我国已通过《网络安全法》《个人信息保护法》以及《数据安全法》维护国家安全以及公民合法权益。随着跨境数据调取在网络安全以及网络隐私中引发的争议,围绕数据跨境调取请求审查标准的《数据安全法》第36条值得深思。目前,该条款存在数据分类不清晰、审查标准模糊、审查权分配僵化等问题。面对世界立法例中已存在的复杂审查规则,应该平衡国家安全与个人隐私权保护之间的张力,并基于国家主权的考虑赋予前者以优先地位。进而,从数据动态流动与静态存储的技术实践角度分析,司法数据跨境调取审查规则的建构需要尊重科技的选择、符合我国的国家利益、遵从我国目前有关数据流出政策的监管趋势。最后,本文以完整、具体的重塑后的“第36条”作为结论。
关键词:数据跨境调取审查;国家安全;个人隐私;数据存储;数据流动
一、数据跨境调取的理论冲突
随着网络世界的飞速发展,数据已成为国家基础战略资源。虽然目前在国际法层面尚未形成有关数据跨境流动治理的统一规则,但主要存在两种趋势:一种趋势强调“数据主权论”,认为全球数据治理依然应当围绕主权展开,并以网络主权为起点朝着对技术主权的尊重而发展;另一种趋势是“数据自由主义”,强调各国不应该以主权为理由干涉数据的自由流动。两种思路在实践中不断碰撞,由理论差异带来的实践冲突因此屡见不鲜,当然,同时主张两者的混合进路范式的国家也存在。
(一)数据主权及其在技术主权支撑下的扩张趋势
对数据治理的关注是网络发展与治理的高级形态,因此数据主权理论是网络主权理论的自然延伸,是物理主权在网络空间的逻辑映射。国家主权包含的数据主权主要包括内外两个范畴,“对内”指一国在其领土范围内对信息通信技术活动(针对网络虚拟角色)、信息通信技术系统(针对平台)及其承载数据(针对网络虚拟资产)具有最高的、排他的管辖权与支配力;“对外”指在以主权国家为单位的公共秩序下,各国遵守《联合国宪章》有关国际关系的基本原则,不受他国干涉地治理本国网络空间,以平等参与协同共治的理念解决争端、推动发展,坚持网络空间和现实空间在国际制度上的一致性。
技术主权是欧盟于2020年2月密集发布的三份重要数字战略文件,即《欧盟数据战略》(A European Strategy for Data)、《塑造欧洲的数字未来》(Shaping Europe’s Digital Future)和《人工智能白皮书——追求卓越和信任的欧洲方案》(White Paper: On Artificial Intelligence-A European Approach to Excellence and Trust),(下称“《人工智能白皮书》”),都提出并贯穿始终的重要概念。该概念与数据主权密切相关,但在技术、规则和价值三个方面大大拓宽了原有理论。
首先,技术主权在数字技术本身层面拓宽了数据主权概念,强调欧盟在关键技术领域以及重要基础设施方面保持自主性,减少对其他国家或地区的技术依赖。其次,技术主权在规则层面拓展了数据主权概念。针对与数据处理有关的基础设施,如5G,欧盟关注、参与并制定了相关技术标准。面对全球数据治理在短时间内难以形成统一标准,欧盟提出构建“单一的欧洲数据空间”,并在这一理论基础上建立能够反映欧洲利益的规则与执法体系。最后,技术主权在价值层面拓展了数据主权概念,欧盟通过技术主权向全世界输出自身价值观。《塑造欧洲的数字未来》写道:“欧洲的技术主权并不针对任何人,而是通过关注欧洲人民和欧洲社会模式的需求而确定的”,“数字欧洲应该反映出欧洲最好的属性:开放、公平、多样化、民主和自信”,为此,欧洲要发展“服务于人的技术”、打造“公平竞争的经济”、建设“开放、民主和可持续的社会”,强调“欧洲数字化转型的方式,要能够增强欧洲的民主价值观,尊重欧洲人民的基本权利,并有利于实现可持续发展、气候中立和资源节约型经济”。
(二)数据自由理论
与数据主权理论立足于国家主权相反,数据自由理论是在网络空间独立的理念上发展而来。自网络产生伊始,便有观点将网络比作和太空、公海等相似的“全球公域”,强调网络世界的开放、无边界与虚拟性。持这种理念的学者认为,网络世界应该高度自治、充分自由,从而摆脱主权国家的一切束缚。与此相对应,持数据自由理论的学者认为,网络空间中的数据独立于物理世界而存在,其流动是技术支持的结果,应当弱化主权国家边界对数据流动造成的影响,数据治理也应当采用自治的方式,由私营部门、民间团体同国家政府共同参与。
然而,有一种不好的趋势是,存在将网络自由主义作为“单边主义”的借口从而使其成为政治霸权与经济逆全球化的解释工具。比如有学者认为,如果在法律领域对数据跨境流动设置具有强制力的规则,将会“不可避免地阻碍商业活动”,也会使规制数字跨境流动的法律变为阻碍数字贸易的壁垒,是对网络自由市场的破坏,因此,在数字领域排除国家权力干预是非常必要的。甚至有人认为,主权国家对数据自由与开放的阻碍最终将导致网络空间的“巴尔干化”。事实上,在各国目前数字科技与数字经济实力相差巨大的背景下,片面追求数据自由的观点在本质上是固化数字实力强大国家已经建立和拥有的“数据优势”,进而在网络空间中成为新的立法者。从各国发展角度看,在网络领域只谈自由的做法无疑是有利于数字科技发达国家的,将使当下不公平的竞争格局越发严重,剥夺新兴国家在数字科技领域的话语权与发展权,因此,强调“数据主权”恰恰是对“数据自由”可能引发的不公平格局扩张的应对。
可以看出,“数据自由”强调各国数字经济与数字贸易间的自由与效率,而“数据主权”则更注重主权国家的安全与发展,这就导致二者在数据与主权关系问题上产生了彼此冲突的立场。事实上,各国在数字领域采取的态度与其现实诉求密切相关,各国在“数据主权”与“数据自由”之间的选择正是基于各自利益的不同,呈现出彼此竞争、相互交融的复杂状态。
(三)实践中数据主权的双重表达
自美国2018年《澄清海外合法数据使用法案》(Clarifying Lawful Overseas Use of cloud Data,以下简称“《云法案》”)通过之后,便同《通讯存储法案》(Stored Communication Act,以下简称“SCA”)以及早在1987年生效的《电子通讯隐私法案》(Electronic Communications Privacy Act,以下简称“ECPA”)一起成为美国政府调取境外存储数据的法律依据,并与2016年通过、2018年生效的欧盟《通用数据保护规则》(General Data Protection Regulation,以下简称“GDPR”)共同成为能够代表不同数据存储与调取国利益的两大立法阵营。其中,爱尔兰微软案直接促生了《云法案》的出台,揭示了司法数据跨境调取背后的两级利益衡量,并由此开始了对司法数据跨境调取审查标准的广泛探讨。
2013年12月4日,纽约南部地区法院发布了一项允许政府向微软获取其存储的某一用户电子邮件内容与元数据的令状。这一数据虽然被微软存储在美国服务器中,但同其他互联网公司一样,为了使用户能够就近获取信息,大部分消费者信息都存储在位于爱尔兰的数据中心。因此,微软以SCA不具有域外效力为由拒绝执行法院令状。虽然法院没有采纳微软的意见,但是参与该案的许多法律顾问认为,如果法院授权美国政府在本案中强迫微软提供存储在境外数据的权力,则有冒犯他国主权的嫌疑,尤其是来自爱尔兰的法律顾问,以此为由向法院递交了法律意见。案件上诉到第二巡回法院。第二巡回法院支持了微软的请求,认为授权美国政府调取爱尔兰数据的行为超出了法院的权力范围,政府不能强行调取存储在美国境外的数据。因此,第二巡回法院在本案中确定了“数据存储地”管辖权规则的优先地位。
然而,在本案中,与该数据相关的管辖权基础所涉及的地点至少有3个,分别是:数据存储地爱尔兰、数据控制者所在地美国、数据用户所在地,当然,如果该用户存在某些违法行为,行为所在地与损害结果发生地也有管辖权。并且,上述地点都可以采取一定手段允许或拒绝将数据提供给他国。例如,爱尔兰可以数据保护为由出台数据本地化要求,美国可以国家安全为由胁迫数据控制者在本国的雇员要求其提供数据,数据用户所在地可以其在诉讼中具有公共利益、而数据存储地具有偶然性为由要求优先调取数据。可见,若不对司法数据跨境调取的审查标准做出双边、区域甚至国际层面的统一安排,数据跨境调取仍将长期出于混乱状态。
二、数据跨境调取审查规则的构建基础——撕裂与聚合
目前,各国对数据跨境调取进行审查主要围绕个人隐私保护与国家安全审查展开。
(一)“数据隐私保护”导致利益张力扩大
GDPR将数据跨境分享与调取的调整重心从欧盟成员国之间转移到欧盟与第三国之间,其在第五章规定了个人数据调取与传输的一般规则,且该规则制定的自然人数据保护标准不得被减损。早在GDPR生效之前,欧盟的个人数据保护立法,尤其是第95/46/EU指令(以下简称“1995指令”)就对作为数据接收国的第三国的个人数据保护标准提出了“充分保护水平”(adequate level of protection)要求,促使多个国家为了满足此要求从欧盟获取数据而更改了国内法。但是在欧盟看来,数据存储量与需求量最大的美国却不满足“充分保护水平”标准。不论是1995指令还是GDPR,均规定“充分保护水平”标准的判断者为欧盟委员会,即欧盟委员会“决定第三国境内或其部分领域,或相关国际组织是否能够提供充分保护”。没有被欧委会认证的国家则需要通过标准合同条款、行为模式认证、授权认证机制、第三国数据控制者和操作者的执行承诺等方式,与欧盟展开一对一谈判。
显然,欧盟的隐私数据保护要求在很大程度上提高了他国政府或公司获取数据的门槛,阻碍了数据的全球传输。没有被欧委会认证的外国政府甚至在每一次提出数据申请时都需要经历“谈判——审查”的冗长过程,即便获得数据,也可能因为时间的耽搁而没有实践意义。此外,欧盟通过GDPR的重点之一就是为了防止外国公司通过在欧盟境内设立分支机构的方式为本国或其他分支机构所在国攫取欧盟及其成员国的个人数据,未经认证的第三方国家的私主体也因GDPR难以直接向数据云储存服务者提出直接请求。除了在本区域立法层面以隐私权保护为中心提高欧盟之外第三国的数据获取标准,欧盟还在双边条约层面对他国获取欧盟数据提出了严格要求,以欧美“安全港协议”及“隐私盾协议”被欧盟法院宣告无效为典型。“安全港协议”在著名的“施奈姆”系列案(Schrems I和Schrems II)中被废除。根据斯诺登2013年关于美国国家安全局的大规模监控计划(如PRISM)以及隐瞒与互联网公司合作的情况,奥地利隐私律师Max Schrems向爱尔兰数据保护局提出投诉,当所有欧洲Facebook用户的数据定期转移到美国服务器的时候,如何确保数据传输到美国的合法性。特别是,通过援引爱尔兰数据保护机构的调查权力,Schrems声称美国的法律和实践没有提供足够的保护手段,以防止对欧盟公民大规模监视的风险。爱尔兰数据保护专员拒绝了该投诉,理由是欧美间的数据转移依赖于欧盟委员会具有拘束力的适当性决定。该案件被提交到爱尔兰高等法院审理,经过司法审查,爱尔兰高等法院向欧盟法院提交了该案件的初步裁决,认为安全港适当性的存在可能会对数据保护机构根据投诉进行调查造成妨碍。最终欧盟法院宣布欧盟委员会的适当性决定无效。欧盟法院强调,任何允许公共当局在一般情况下获取个人信息的法律都必须被视为不尊重隐私权利。
此后,Facebook开始改用标准合同条款作为将欧洲个人数据传输至美国的合法依据。2015年年底,Schrems第二次向爱尔兰数据保护委员会投诉,以相同理由要求暂停Facebook使用标准合同条款。在该案审理期间,欧美重新签订了“隐私盾”协议,协议于2016年正式通过。根据该协议,用于商业目的的个人数据从欧洲传输到美国后,享有与在欧盟境内同样的数据保护标准。美方承诺严格履行协议中的要求,保证国家安全部门不会对这些个人数据采取任意监控或大规模监控措施。但由于美国多项立法和多个监控项目将国家安全、公共利益和相关部门的执法要求放在首位,因此在相关部门调查、获取传输到美国的欧盟公民个人数据时,不能提供充分保护。欧洲法院在判决中认为美国的国内法对于相关执法部门的数据调取权限并没有进行任何限制,也没有对非美国人员赋予相关的救济和保障措施,因此做出了欧美“隐私盾”协议无效的裁定。
可以看出,欧盟在建立强有力的个人数据隐私安全保护体系上的决心,欧盟对外签订的隐私安全协议将不断受到欧盟居民挑战以及欧盟机构的连续性审查。对于贸易伙伴来说,如何满足欧盟《欧洲联盟基本权利宪章》、GDPR以及数据隐私安全法体系内的“充分保护”等级,如何判断哪些措施属于“有效救济”,如何平衡国内立法和欧盟法之间的关系,如何在满足欧盟要求的前提下保障本国的国家安全、公共利益、执法需求等,都是需要考虑的问题。比如2019年1月,欧盟委员会与日本达成协议,允许个人数据在贸易伙伴之间的双向传输,但要求日本对欧盟个人数据提供更高层次的保护
由此可见,对于欧盟来说,不论在单边立法还是在国际条约中,欧盟都将隐私权的高标准保护视为不可放弃的利益,并欲在全球范围内推行其保护标准。
(二)“国家安全”导致利益张力缩小化
美国宪法以及判例法层面一直将“国家安全至上”置于首位,并且如前所述,对于不在美国境内居住的外国公民甚至与这类公民交流的居住在美国本地的美国公民,都会在法律的授权下遭到美国政府的监视,这种调取数据的方式已经在很大程度上超出了法律规制的范畴,不属于跨境调取数据的合法途径,尽管在“斯诺登事件”之后,美国的这一行为有所收敛,但并没有改变美国政府的整体行为导向。美国宪法第四修正案规定,宪法给予隐私权的保护不适用于个人与“第三方”共享的信息,美国最高法院依据该原则判定,宪法保护的是“合理的可预见的隐私权”,并进一步解释,当个人与“第三人”共享信息时,就缺乏了合理性以及可预见性基础,因为该个人应该能够预见到获得其信息的“第三方”可能将信息分享给政府。因此,美国公民的诸如银行账户、电话号码以及垃圾信息等内容,只要与好友分享,即失去了可预见性与合理性。另一方面,最高法院也规定,在某些情况下,宪法第四修正案对隐私权的保护并不适用于美国政府对居住在美国之外的外国公民进行调查,这实际上是对美国单边域外执法的听之任之。在United States v.Verdugo-Urquidez案中,美国政府同墨西哥代理人共同在一墨西哥公民家中搜集证据,此时该墨西哥公民正在美国候审。该公民认为美国这一取证行为没有经过授权,但法庭判定宪法第四修正案并不限制美国政府在境外对外国公民数据调取的行为。毫无疑问,这两条宪法原则为NSA在全球范围内展开监控和非法调取数据大开方便之门,尤其随着云端数据存储与传输的发展,这一“方便之门”带来的隐私权侵害逐渐难以控制,批判接踵而至,直至最终导致了“斯诺登事件”,使奥巴马政府不得不囿于来自全球的谴责而在立法上有所收敛。联邦地区法院开始在相似判例中判决NSA对百万美国公民电话信息的收集行为是违宪的,并承认在电子化时代,公民与第三方的交流信息亟待隐私权保护。美国国会最终在2015年6月通过《美国自由法案》,否定了美国政府对美国公民与第三方交流时候的监听行为的合法性,要求这种行为必须获得法官授权,且必须针对特定的人,否定了大范围收集数据的合法性。然而,在对域外外国人的监视行为,NSA仍旧可以依据宪法获得合法性依据。
也正是在国家安全领域,欧盟对隐私权的一贯坚持开始变得松软,在这点上与美国不谋而合,从而使国家安全成为跨境数据调取审查的共同与优先利益基础。首先,欧盟数据管辖框架授权成员国以国家安全为由广泛限制对隐私权的保护,并特别强调为预防、调查、侦查以及起诉刑事犯罪可以降低对隐私权的保护标准。欧盟法院也通过判例承认大量为国家安全以及刑事正义采取措施的国家属于成员国,因此,在国家安全限制下的欧盟成员国的隐私权保护标准实际上参差不齐。比如德国不论在国家层面还是联邦层面都有完善的隐私权保护体系,并能保证严格执行;但英国则对来自政府的监视以及调查行为很宽容,法国在2015年以前就已经通过议会以及宪法委员会为政府的监视行为扫清了立法障碍,数据隐私只能为国家安全让位。
三、数据跨境调取的审查规则构建
数据跨境调取的审查规则之所以难以建立,虽然与所涉利益主体众多、立法动机复杂有关,但从本质上来说都源于数据依靠云科技在互联网的自由流动,并因这种流动给众多法域带来影响。因此,是数据在云中的原因,而非数据本身引发了数据跨境调取的冲突问题。
(一)以“云数据流动影响”为核心的数据调取权
从爱尔兰微软案中可知数据流动至少与数据调取请求国、数据主体所在国、数据控制者所在国有关,但并没有统一的理论能够穷尽数据流动影响的范围,即使有,也会因为科学技术、交流方式的进一步发展而失去指导意义。因此,仅就目前能够受到数据流动的主要地点是否适合作为管辖权基础予以探讨。在此,我们将数据调取与具体的跨境案件调查相结合,会发现与数据调取相关的法域或主体包括:(1)数据调取请求国,往往是对案件调查拥有管辖权的国家,比如侵权行为地、侵权结果发生地等;(2)数据控制者经营所在地所属国家,指经营云数据存储的公司所在地;(3)数据主体所在地,也就是案件被调查对象、数据指向的主体,包括该主体的住所地、国籍国所在地。
首先,数据调取请求国,即对司法案件拥有管辖权的国家,往往是受行为人活动影响的地点,这一表述与美国“对人管辖权”规则相似,均强调主权国家因域外行为对本国造成的影响从而对行为人进行管辖。因而,这里存在两种权力的重叠,一是对案件的管辖权,二是为调查、审理案件而产生的数据调取权。二者的相似之处是都因行为“影响”获得管辖,也都在极端情况下由于网络或云存储的原因需要把握“影响”的程度,否则据此确立的管辖权极易膨胀,最终因行为对多法域都可能存在潜在影响,造成全球范围内平行管辖的局面。因此,数据调取请求国基于“数据影响”当然应该合理合法调取数据,只是这种“影响应当限缩在一定范围内,或与其他管辖权规则相结合。
其次,数据控制者经营所在地。数据调取请求国一方面可以通过请求数据控制国政府调取数据,另一方面可直接向经营数据存储的私主体——公司请求数据。而在诸多案件中,许多数据控制公司,比如谷歌(Google)和脸书(Facebook)均认为只有当数据控制者位于法域内时,该地法院才对数据具有合法的调取权,否则公司可以拒绝该国的数据请求。也就是说,如果赋予数据控制者经营所在地以合法的调取数据权,那么数据调取请求国不论通过上述哪种方式都无法当然主张其获取数据的正当性。然而事实上,数据控制者经营所在地因其不稳定性以及主观性不适合被赋予合法的数据调取权。一方面,公司经营所在地同云技术下的数据存储地一样,具有任意性。与一国毫无关系的个人可以很容易地在该国设立公司,并宣称受该国法律管辖,而实际上其经营项目以及由此而产生的纠纷与该国关系微弱甚至毫无关系;另一方面,公司可以出于避税的需要轻易在外国设立分支机构,即使其大部分税收收入来源于内国。除此之外,数据控制者只是提供数据的存储、分析等服务,在不涉及数据编辑(如果涉及则属于下述第三类“数据拥有者”)的情况下, 其既无法知晓每一个数据的具体内容,更无从知晓每一数据所牵连的案件,因此,公司只是数据存储的媒介,其设立地与数据背后的案件因素没有管辖权意义上的联系。正因如此,某些国家以数据控制公司在其境内设立为由,强行要求其雇员提供公司控制的信息,是缺乏法律基础的。
最后,数据主体所在地,包括被调查对象的住所地或国籍国。除了数据调取请求国,与数据存在密切联系的主体莫过于被调查对象,正是被调查对象与他人的谈话内容、电子邮箱地址、银行账户等信息构成数据的主要内容,因此,数据主体不仅与数据有密切联系,也存在完整利益。而数据主体住所地或国籍国一方面出于属人管辖权,对居住在本地的居民或不论是否居住在本地的公民,都具有国家主权方面的利益;另一方面,数据构成数据拥有者隐私权的重要客体,出于隐私权保护的需要,数据拥有者所在地或国籍国在控制、审查数据流动方面也应享有权力,并且这种隐私权保护利益与数据获取国调查、起诉案件所彰显的国家安全利益刚好构成一对张力。此外,数据主体所在地的数据调取权之所以受到关注和支持,还源于其稳定性,这是数据存储地以及数据控制者经营所在地所不具备的。然而,这一管辖权规则的缺点是,在调查案件的过程中,当数据主体是案件嫌疑人时,其身份不一定总能够在调取数据前锁定。
因此,在数据流动牵涉的主体中,应当有条件地承认数据调取请求国与数据主体所在地对数据的调取权,如果其他与数据相关的国家或公司收到来自这两类国家的数据调取请求,在审查时应当予以满足。相反,应当非常谨慎地审查数据控制者经营所在地的数据调取请求。此外,在被审查通过的司法数据调取权发生冲突时,应当以国家安全作为最终衡量标准。
(二)以“云数据存储”为核心的合法审查权
自第二巡回法院在爱尔兰微软案中以数据存储地规则支持微软拒绝美国政府的数据请求以来,围绕数据存储地对数据的控制权的讨论便不绝于耳。在“云数据存储”模式下,并非数据存储在某地,便当然地使该地拥有审查数据调取请求的权限,原因是,一方面,数据存储地有其优点,比如相比数据拥有者所在地更易被获知,从支持数据具有地域性的观点出发,数据与票据、股票没有什么区别,其所在地与数据本身具有密切联系。另一方面,如果当然地承认所有情况下的存储地对数据均具有审查权,那么将至少产生三种负面影响:一是基于目前大部分数据都存储在美国,这一数据控制权将赋予美国广泛的数据调取利益,使其掌握全球数据话语权;二是出于争夺数据控制权的需要,将会引发各国数据本地化立法泛滥,不利于网络自由;三是方便数据拥有者通过变更存储地绕过某一政府对该数据的管辖。因此,对于数据存储地当然地控制数据的合理性不应一概而论,上述讨论均忽略了从科技角度探究“云存储”的具体模式,而不同的科技手段自然将对法律规制产生差异影响。为解决科技给法律造成的难题,也应从科技这一源头思考应对之策。
1.“数据本地云”模式下的审查权
不论是爱尔兰微软案中两级法院是否支持微软拒绝向美国政府提供数据的决定,还是目前很多国家采用的“数据本地化”立法要求,其科技基础都是针对“数据本地云”这一存储模式而言的,也就是说,公司将云中的信息只存储在一个国家或区域内。许多经营云存储服务的科技公司,包括著名的微软以及亚马逊网络服务公司(AWS)均采用这种模式。AWS在全球范围内拥有55个“可访问域”,最新开放的可访问域位于法国。德国通信公司同样也只将信息存储在德国。因此,“数据本地云”存储模式是一种科技手段,依靠科技将数据存储在本地,并只允许特定的来自一个或多个地点的访问,排除了非授信地的访问申请和权限。这一存储模式是爱尔兰微软案的核心。本案牵涉的电子邮件存储在爱尔兰的都柏林,该云存储服务器是由微软的爱尔兰分支机构独立运营的,美国想通过域外执行法律获得该数据,但第二巡回法院否定了美国法(SCA)在此领域的域外效力,支持了微软的拒绝提供行为。但是,本案中微软采用的“数据本地云”存储具有特殊性,是一种“不完全的”或者说“部分化的”数据本地云存储。虽然本案中的电子邮件仅存储在爱尔兰,但其授信的“访问域”则有两个——都柏林和微软总部雷德蒙德,因此,美国主张获取该数据也并非没有道理。而AWS以及微软在欧盟地区的分支机构则采用的是“完全”数据本地云存储,从而排除了数据存储地以外的法域对数据的请求权,数据管辖权也就当然归数据存储地所有。
2.“数据共享云”模式下的审查权
与“数据本地云”相反,“数据共享云”运营者将数据存储在全球范围内的多个位置,分别由国内以及国外服务器同时管理数据。通过这种方式存储的文件会被智能系统拆分成几部分并自动决定分配到某一服务器存储,而分配标准主要由效率决定。通过这种方式形成的数据存储地与国家物理边界的关联甚微,并且出于效率以及存储方便的考虑,数据会不断在云端流动,即使是数据碎片也不会固定存储在某一地,除非公司通过法律手段限制这一流动。谷歌公司是采取这一存储方式的典型代表,也正是其在存储方式上与爱尔兰微软案中的区别,法官在著名的宾夕法尼亚谷歌案中没有依靠“随机的”数据存储地判断数据管辖权,因为即使是谷歌公司本身也并不知晓数据“流动”到了何处,因此并不能因为数据存储在谷歌经营的服务器中就强制谷歌提供数据,而应当依据行为发生在美国并给美国造成影响支持美国的数据控制权。然而,虽然在“数据共享云”模式下数据以碎片形式存储在多国,却并不意味着凡是数据存储国都当然能够对数据行使控制权,比如谷歌就仅开放美国为可访问域,其他数据存储所在地国即使要获取本地由谷歌存储的数据,也只能向美国提出请求,因为其对该数据没有控制权。
3.“数据信托云”模式下的审查权
“数据信托云”是一种特殊的数据存储安排,目前只有微软在存储欧盟以及欧洲经济区内的消费者信息时才采用这一模式,这是目前为止数据流动领域主权国家政府对数据支配最弱的数据存储模式,苹果公司与我国云上贵州公司之间的合作采取了类似方式,但并不完全相同。同“数据本地云”一样,在这种模式中数据本身不会被分割,但数据的管理权却是分离的。以“微软云德国”为例,数据存储所需的网络硬件以及软件设施由“微软数据信托”提供并运营,其将消费者信息存储在位于法兰克福以及马格德堡的数据中心,但数据的保密以及访问则被受托给独立的德国公司——德国电信(T-Systems),只有其有权访问存储数据的网络。微软与德国电信的信托安排依据德国法,由德国电信排他性地负责数据的加密与访问权限,就连微软也不能违背信托安排任意访问数据。如此一来,包括德国在内的任何政府或公司想要获得数据,只能向德国电信提出请求,而不能通过法律强制微软提供数据。特别的是,依据德国信托法以及微软与德国电信的信托安排,微软也被安排在禁止访问之列,德国电信对消费者数据拥有排他的、唯一的访问权与监督权。微软既在德国法上被禁止访问消费者数据,也在技术上无法获取数据访问密码。由此可知,此时的数据存储地——法兰克福与马格德堡仅因其特定技术安排而存在,并不具有法律意义,相反,在控制层面,数据受托公司,即德国电信作为真正的数据控制者,其经营所在地才具有审查权限。在这种模式下,德国电信作为存储公司,通过依据德国法签订的信托协议,一方面相对于美国及其他可能具有数据调取审查权的政府,获得了独家设置访问权限与加密的权利,使政府无法通过威胁数据控制者(微软)达到获取数据的目的,另一方面相对于微软获得了完整的数据密钥和数据控制权,使数据的开放不需要经过微软及美国的再次审查。而在苹果公司与云上贵州的合作模式中,能够见到明显的数据信托云的影子,但相比德国电信,云上贵州相对于苹果、美国以及中国政府仅具有相对独立性,数据信托云或可成为云上贵州未来的发展方向,并为我国数据流动管辖权模式提供具有启发意义的思路。
2018年1月,苹果公司正式对外宣布在中国的iCloud云服务将转由中国贵州的“云上贵州”公司负责运营,这是苹果为了中国市场,面对中国有关云服务业务外资准入监管要求所做出的世界范围内的唯一妥协,是我国数据监管领域的一次标志性事件。依据《iCloud(由云上贵州运营)条款与条件》云上贵州应当被视为中国用户数据的控制者,或者至少和苹果公司一道被视为中国用户数据的共同控制者,同时苹果公司决定将中国区用户的iCloud密钥也在中国境内存储,但继续独家管理iCloud密钥,并处理中国执法部门调取用户数据的法律要求。而在其他国家,苹果会将用户文件的元数据(metadata)和用于加密用户数据内容的密钥存储在iCloud账户中,第三方云存储提供者则是数据处理者,而苹果是唯一的数据控制者。可见,云上贵州取得了类似于上述德国电信公司的法律地位,但不同的是,云上贵州相对于苹果公司并没有取得对数据的完整控制权。来自中国执法部门调取用户数据的法律文件仍由苹果公司(而非云上贵州)单独接收,而且苹果公司还会对其接收到的数据调取请求反映在其透明度报告中,且苹果不会对“批量的数据请求”做出响应,但相比与云上贵州合作之前,密钥仅存储于美国,使世界上其他国家政府需要调取iCloud用户账户内容均只能向美国寻求司法协助的情况,要合理得多。然而,对于苹果与云上贵州的这一相对独立性安排,也会使部分网民存在对中国政府强迫云上贵州提交数据的担忧。
通过上述讨论可知,不同存储模式下的数据存储地拥有完全不同的法律地位,为了立法方便而支持数据存储地的审查权,同基于任意性而否定该审查权的态度都是片面的。首先,在“数据共享云”模式下,由于数据存储地是由系统仅出于效率与方便考虑分配的,不应当具有数据调取请求的审查权;其次,在“数据信托云”模式下,由于仅有微软在欧盟针对消费者信息采取这种模式,且数据实际控制者为数据受托人,应该从数据受托人/控制人的角度考虑审查权,此时的数据存储地因其固定性不具有法律意义,也不应具有数据调取请求审查权。最后,在“数据本地云”模式下,由于考虑到数据拥有者访问数据的方便,科技公司倾向于将完整数据存储在最靠近用户的位置,从而使数据实际存储地拥有了控制权上的意义,此时,肯定数据存储地管辖权基础是合理的。因此,仅在采取数据本地云技术存储数据时,才应肯定数据存储地审查权的合理性。
四、我国《数据安全法》第36条的审视与发展
我国自2016年《网络安全法》颁布以来,又先后出台了《个人信息保护法》以及《数据安全法》。其中,直接调整跨境数据调取的条款为《数据安全法》第36条:“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”
(一)对《数据安全法》第36条的审视
《数据安全法》第36条明确了发出调取数据申请的主体为“外国司法或者执法机构”,调取数据的范围为存储在“我国境内”的数据,调取途径为“批准制”与“互助协定”相结合。由此可见,在数据跨境调取请求的审查过程中,我国目前仍旧赋予“数据存储地”以天然的审查权,即只要数据存储在我国,境外执法机构想要调取,一律应该经报告后批准方可流出;在数据调取路径上不仅赋予了相关机构“一事一议”的批准权限,也为未来国家间数据调取协助协定的缔结开辟了道路。然而,也正是以上两个方面成为了第36条的不足。
首先,从“数据”本身的范围与分类来看,第36条并没有区分需要申请批准的数据种类,而是规定无论何种数据均需要申请批准,但在实践中,结合世界立法潮流以及我国国情,需要对以下数据种类实行“批准制”予以考虑。一是元数据。“元数据”(metadata)也称“无内容数据”(non-content data)或“流量数据”(traffic data),与“内容数据”相对,并不反映数据主体的内心活动。从立法宗旨和必要性来看,元数据是网络系统操作、运行数据不可缺少的副产品,比如当数据主体要求行使相关数据权利时,网络服务提供者需要元数据确定数据归属,其是监管数据流动的必要工具,也就是说,对元数据流动的严格限制将使网络运行与数据主体行使权利无从谈起。从实践角度看,对隐私权保护最为严格的欧盟也在GDPR中排除了对元数据流动的限制;同样,美国自《电子通讯隐私法案》(ECPA)到《通讯存储法案》(SCA)再到2018年《云法案》均不限制外国执法机构获取元数据,包括数据主体的姓名、地址、IP地址、登陆时间以及位置信息等,因此,我国若针对元数据也进行一揽子限制,将不利于我国未来与他国在数据跨境调取领域的合作。从效率角度看,元数据相比内容数据更加琐碎和庞杂,良莠不齐,若要求主管机关一一进行过滤审查,不仅将加重主管机关的工作负担,而且会产生高成本却低效的行政管理结果,与网络世界的高速原则相悖。二是已脱敏数据。数据脱敏通常是指对敏感数据进行技术处理,去除或降低其敏感度。在个人信息保护的法律体系中,与数据脱敏相关的法律概念主要包括匿名化(anonymization)、去标识化(de-identification)、假名化(Pseudonymization)等。数据脱敏的起点是个人信息,即以电子或者其他方式记录的、与已识别或者可识别的自然人有关的各种信息。美国、欧盟以及我国对个人信息的定义基本强调了可识别性(identifiable),也就是说,不具有可识别特定自然人的信息对隐私权的影响相对较低,没有必要一律进行报批程序。三是非本国国民数据不应该成为数据跨境调取审查的客体。不论是美国《云法案》,还是欧盟GDPR,抑或是最近的苹果与云上贵州实践,所针对的均为本国国民数据,另外,对数据主体国籍做出区分,能够缓解数据存储国、数据调取请求国、数据控制者所在国与数据主体国籍国之间的管辖权冲突,即前三者只针对本国国民数据流动进行管控,对后者的数据管辖通常不造成干扰。
其次,围绕“数据存储地”的数据审查权不合理且不科学。国家之间围绕数据控制权之间的博弈,是维护国家安全与个人隐私权之间利益张力的结果,而使二者遭受威胁的并非数据本身,而是数据主体的行为、该行为对数据调取请求国造成的影响,以及数据控制者作为经营者的利益诉求,数据本身无法揭示主体之间的联系,因此以“数据”为中心的立法模式不合理;此外,如上所述,数据存储是一种科技“行为”,不是所有的存储地都应该具有法律意义,数据共享云与信托云模式下的实际存储地就因随机性与特殊的合同安排而不应具有控制权上的意义,即使是本地云模式的“数据存储地”,如果能够证明该地与上述主体行为及利益诉求缺乏联系和利益关联,也不应赋予该地数据跨境调取请求审查权,因此,以“数据存储地”为中心的立法模式不科学。
最后,赋予“数据存储地”天然的数据跨境调取请求的审查权与我国现阶段的数据实践不符合,无法切实维护我国国家利益。一个无法回避的事实是,尽管我国网络高新技术领域发展迅猛,但世界上大部分电子数据仍由美国公司控制,且不说并不是所有公司都采取本地云存储模式,即使采取,数据存储地也分散在世界各地,因此,我国作为数据存储地能实际控制的数据并不多。结合第36条的第二种数据分享模式——国家间数据调取协助协议,由于我国并不掌握绝大部分电子数据,因此并不具有与他国谈判的砝码。相反,尤其在与数据大国美国以及欧盟地区谋求签订互助协议时,如果坚持数据存储地的优先地位,相当于帮助对方加重谈判砝码,不利于维护数据利益。我国目前之所以倾向于赋予“数据存储地”以审查权,是有与《网络安全法》第37条——数据本地化要求——相配合之意,但由于这一要求会大幅度增加网络公司的数据存储成本,如微软、“脸书”一样的大型数据公司是否愿意将数据存储在我国,还是未知数。即便其愿意,《数据安全法》也并未禁止数据公司采取信托云模式对数据访问做出特殊合同安排。关于数据信托云模式,苹果与云上贵州之间的数据存储合作至少释放出两个信号,一是我国强制数据本地化要求得到了苹果公司的妥协,或将在未来使我国逐渐获得数据存储大国的地位,使数据存储地拥有审查权更具有实践意义;二是在数据信托云模式中,如受托数据存储公司所在地能获得数据跨境调取审查权,且云上贵州能够成为第二家“德国电信”,并顺利推广这一存储模式,将为数据调取请求国、数据存储地、数据控制者所在地的数据控制权冲突提供新的解决方案。
综上,可以认为《数据安全法》第36条赋予数据存储地天然的数据跨境调取请求审查权会给国内行政部门带来巨大压力,提高数据公司、网络服务提供者的运营成本,不利于我国对外展开数据分享协议谈判,激化数据本地化立法趋势,因此,需要对第36条进行反思与发展。
(二)对《数据安全法》第36条的发展
需要明确的是,立法便利化绝非立法目的,起码不是唯一目的,而只是对立法技术的评价。就数据跨境调取审查而言,其立法目的应当是平衡国家安全与个人隐私权之间的关系,当二者无法相容时,以国家安全为首;其次,数据调取立法应当能够顾及与数据有关的主体权益,即数据调取请求方、数据控制方与数据主体,规定何种情形下数据的分享与否由哪一方决定。最后,数据存储是一种客观的技术导向行为,但选择不同的数据存储技术则是当事方的主观意识,如果其在数据存储前即对此做出了选择或安排,立法应当予以尊重。因此,发展后的《数据安全法》第36条为:
第三十六条:境外数据跨境调取审查
1.以下境外执法机构可以向我国主管机关请求调取存储在中华人民共和国境内的数据,或中华人民共和国具有属人管辖权的组织所控制的数据:
(1)数据内容指向的行为与该境外机构所在国具有密切联系;
(2)该境外机构所在国对数据内容所指向的主体具有属人管辖权。
2.对以下类型数据的调取原则上不需要向有关主管机关报告和批准,除非依据第五款必须履行批准手续。
(1)无内容数据;
(2)非我国公民数据;
(3)无法识别数据主体的数据;
(4)对我国及我国公民不存在影响但因技术安排等原因存储在我国的数
3.调取通过数据信托云存储在我国的数据时,审查标准依据信托协议的安排执行。
4.境外执法机构依据第一款对数据的调取、使用和处理过程应不违背中华人民共和国法律法规及缔结或参加的国际条约、协定中有关隐私权标准的规定。
5.若有理由证明上款所涉数据的调取、使用和处理过程会危及国家安全,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。
