南方财经全媒体记者 吴立洋 实习生叶子凌 北京报道
随着世界范围内数字经济的快速发展,国家与地区间进行数据流动的频率和规模也在显著提升,但另一方面,随着各国加速构建相关的治理框架,国家间数据治理体系差异造成的司法壁垒,也极大增加了跨境数据治理的成本和难度。
近日,美国司法部和英国内政部在一份联合新闻稿中宣布,两国间已经签署《数据访问协议》(以下简称“《协议》”),该协议将允许两国的执法机构向对方索取用户互联网数据。
双方相关机构负责人表示,该协议将在“保持我们的公民享有的强有力的监督和保护”的基础上,加强追捕危险罪犯的能力,解决国际有组织犯罪和国家安全威胁等罪行。
有关专家在接受记者采访时表示,作为全球第一部专门针对数据跨境取证的双边国际协议,《协议》为国与国之间构建数据流动多边或双边规则提供了一类参照样板,但也赋予了执法机构绕开现行立法以及法院裁判活动,直接获取调查企业所持有的个人信息的权力,对其中潜在的侵犯用户在他国数据隐私权利的风险需要加以警惕。
美国“云法案”体系
《数据访问协议》的制定思路来源于美国国会2018年3月通过的《云法案》,该法案授权美国与合作的他国通过签订双边行政协议的方式,解除彼此获取电子数据进行刑事调查的法律障碍。
《云法案》规定,行政部门有权与外国签订双边协议,在采取足够措施保障公民数据安全的基础上,赋予检察机关通过简便的方式获得所需的跨国数据的能力。
而美英两国于2019年10月制定,即将于今年10月正式生效的《数据访问协议》,正是第一款正式落地的《云法案》体系下的双边协议。美国司法部表示,该协议将允许美国和英国的执法机构在获得适当授权的情况下,绕开可能的法律障碍,直接向设在对方国家的科技公司索取有关严重犯罪的电子数据,包括恐怖主义、儿童性虐待和网络犯罪。
而协议的制定确有其现实依据,北京航空航天大学法学院助理教授赵精武在接受南方财经全媒体记者采访时指出,英国自脱欧之后,英美两国之间的数据跨境传输模式不再沿用欧盟GDPR体系,而在当前社会数据跨境治理中,普遍存在着跨境执法活动“数据取证不安全”的问题,《协议》所赋予相关执法机构的权力可以在一定程度上解决打击犯罪时难以跨境调取数据的难点。
作为《云法案》出台的主因之一,美国执法部门与微软公司间长达数年的诉讼拉锯,起因正是微软拒绝配合政府部门调取存储于爱尔兰服务器上的邮件信息,微软的主要抗辩理由是出台于1986年的美国《存储通信法案》,该法案规定美国本土搜查令无权调阅存取于海外的数据。
但北京师范大学互联网研究院院长助理、中国互联网协会研究中心副主任吴沈括则指出,早在《云法案》正式出台前,美国实际上已经在根据现行法律向境外调取数据了,而《云法案》相当于赋予了缔约国家调取存储于美国数据的权力。
构建《云法案》体系的核心目的,则是输出自身的数据治理规则,进而服务于美国产业和国家利益。吴沈括表示,美方所做出的让步就是允许外国政府在美国设定的特定条件下,向在美企业调取数据,最终是为了打造所谓以美国规则为基础的数据生态圈,形成以所谓美式价值观为基础的数据流转利用规则体系。
“这归根结底依然是一种国际地缘政治的外化和在数据治理领域的具体实现。”吴沈括说。
除英国外,美国也正不断将其数字经济来往密切的盟国纳入《云法案》体系内。去年12月,美国和澳大利亚也将一项类似的CLOUD法案协议提上议程,目前该协议仍在接受美国国会和澳大利亚议会的审查。据悉,美国还在与加拿大、欧盟进行类似协议的谈判。
中国政法大学网络法学副所长商希雪指出,当前国际数据治理规则仍然是碎片化的,由于各国各自的考量不同,在诸多原则问题上尚未达成共识,没有相对统一的治理框架,诸多典型的国际规则体系并未进入实质适用阶段。
“该协议的落实与生效,推动了数据国际治理规则的由虚向实的趋势,但也必然会触发其他国家相关机构和企业对跨境数据取证国际合作的关注和警惕,并开始评估该类国际规则对于开展国际业务的积极或消极影响。”商希雪说。
侵犯隐私的风险
但与官方层面对系列法案大开绿灯形成鲜明对照的是,民间对该法案则颇有微词。非营利性国际法律组织电子前沿基金会(EFF)早在2018年就发文表态称,《云法案》允许美国警方强迫谷歌等服务提供商交出用户存储在外国的内容和元数据的行为,无视了本国的隐私法,其还认为该法案将使美最高法院现行的法律程序失去意义。
赵精武表示,这种怀疑不无道理,因为按照《数据访问协议》的内容,执法机构完全可以绕开现行立法以及法院裁判活动,直接获取调查企业所持有的个人信息,国内法有关个人信息保护的相关规定可能因此被架空。更重要的是,该协议所允许调取的数据类型还包括通信信息。
为了体现自身对于隐私和个人信息保护的重视,《协议》特别在其第三条“国内法与协议的效力”,第四条“目的限制”,第七条“目的最小化原则”,第九条“隐私与数据保护”等条款中规定了相关执法部门的信息保护义务,例如其规定除了涉及可能对他国公民或国家安全造成重大伤害的案件例如恐怖主义、重大暴力犯罪、拐卖儿童等外,不得提供对方公民的信息,且只有经过系统性培训的人员才可查看相关信息。
商希雪指出,鉴于国内个人信息保护立法一般针对的是社会经济领域中的数据控制者,而非国家机关,并且国家机关对个人信息的使用存在限制例外,因此,在跨境数据调取中个人信息保护落实情况取决于本国立法对于国家机关调取个人信息的限制。
而从《协议》内容来看,在获得法院的“适当授权”后,执法部门可以要求掌握用户数据的公司直接向其提供客户相关的个人数据,“这难免会引起公众对侵犯隐私与数据安全的疑虑。”
赵精武也表示,《协议》要求在不影响任何其他法律依据或各方国内法中的其他重要利益实用性的情况下进行数据跨境传输,并将英双方的重要公共利益、适当地追求合法利益被作为“其他重要利益”的具体内容。但是这种数据调取命令的签发允许双方指定机构相互协商,数据跨境传输仍然存在相当多的模糊性表述。
值得注意的是,当时在《云法案》正式获得通过后,曾对政府数据调取行为颇有微词的苹果、谷歌、微软以及时名Facebook的Meta等科技公司,签署了一份支持《云法案》的联合信,称“该法案将给予消费者保护的必要性”。
赵精武认为,《协议》正式落地后,企业间跨境数据流动需要考虑到该协议可能导致的数据提交义务,有必要重新评估和调整数据跨境流动的范围和类型。
“协议目前只规定两国不得将对方数据与第三方共享,而第三方国家公民存储于两国的数据是否也在《协议》允许执法机关调取的范围内目前尚不明确,这可能构成对第三方国家数据安全的威胁。”其进一步分析表示,数据跨境流动全球立法体系呈现双边或多边协议的碎片化发展趋势,或将得到进一步强化。
跨境数据取证需尊重数据主权
虽然存在着隐私等方面的诸多问题,但多位受访专家也指出,当前执法机关的跨境数据取证乃至跨境数据治理确实存在很多现实问题亟待解决。
由于互联网技术的高速发展,各类涉及金融、数据等领域的刑事犯罪往往以跨境远程操作的形式进行,这一方面加大了执法机关调查取证的难度,另一方面也使得相关的法律惩处措施难以落实到具体的犯罪分子。
商希雪指出,传统的国际刑事司法协助程序及其现实工作较为低效,单边向他国进行远程取证又存在外交风险。因此,在数字化的今天,双边或多边的数据取证协议对部分国家而言不失为一种高效的国际刑事司法协助方式。
此外,相关协议的缔结也可能是各国出于自身利益的考虑。吴沈括指出,虽然英国有比较完备、严格的个人数据保护法规,但是从美英政治同盟,以及共同打造数据圈的角度,英国在增强自身数据调取能力方面,也有和美国签署相关协议的战略诉求。
“正如之前所提到的,《云法案》出台前美国已经在调取存储在境外的数据了,《云法案》的突破是赋予了外国企业调取存储在美国数据的权限。包括由于英国已废止死刑,双方还特别约定不得把基于该协议调取的数据用于查办死刑案件,这其实可以看做美方的让步,也是双方博弈妥协的结果。”吴沈括分析。
而在推动国际刑事司法合作,完善跨境数据取证等相关法律法规方面,近年来我国也在进行着积极探索。
2018年10月,十三届全国大人常委会第六次会议表决通过了《国际刑事司法协助法》,该法自公布之日起施行。
《国际刑事司法协助法》第四条第三款明确规定:中华人民共和国和外国按照平等互惠原则开展国际刑事司法协助。国际刑事司法协助不得损害中华人民共和国的主权、安全和社会公共利益,不得违反中华人民共和国法律的基本原则。非经中华人民共和国主管机关同意,外国机构、组织和个人不得在中华人民共和国境内进行本法规定的刑事诉讼活动,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。
2021年7月,中共中央办公厅、国务院办公厅发布《关于依法从严打击证券违法活动的意见》,提出“加强跨境监管合作。完善数据安全、跨境数据流动、涉密信息管理等相关法律法规……探索加强国际证券执法协作的有效路径和方式,积极参与国际金融治理,推动建立打击跨境证券违法犯罪行为的执法联盟。
商希雪指出,对数据的单独占有本身指向国家间数据基础资源的争夺与控制,在域外数据取证与案件侦查情景下,国家间利益关系愈加复杂。对于我国而言,国际刑事司法协助中要始终坚持数据主权原则,在数据安全保障前提下,基于自身的现实需求筛选适格的国家或地区进行合作,稳妥推进跨境数据取证的国际合作,逐步实现传统跨境取证制度的数字化转型。
吴沈括则指出,在目前数据博弈日益白热化的时代背景下,我们需要建设自身完备的数据规则体系,同时通过有效的国际合作、国际博弈实现规则的输出,并在此过程中,实现更高层次的规则协调,通过双边、多边的磋商谈判,形成有效的数据主权规则。
“最重要的是要形成自己的执法联盟,构建有效、有力、有形的数据流转利用规则,最终服务于产业发展,服务于我国的国家战略,最大限度实现跨国的战略利益平衡和协调。”吴沈括说。
