美國《澄清海外合法使用數(shù)據(jù)法》及其影響與啟示

收稿日期：2020-05-14

作者簡介：鄭琳（1990-），女，博士，講師，研究方向：信息資源管理、信息法規(guī)與政策。

摘 要：[目的/意義]分析《澄清海外合法使用數(shù)據(jù)法》，明確法案出現(xiàn)的背景和核心內(nèi)容，分析法案所帶來的影響與啟示。[方法/過程]采用文獻研究、內(nèi)容分析等方法對法案內(nèi)容進行剖析，包括法案出臺背景、主要內(nèi)容、將帶來的影響以及為我國帶來的啟示，并提出針對性建議。[結(jié)果/結(jié)論]《澄清海外合法使用數(shù)據(jù)法案》將對數(shù)據(jù)控制者、數(shù)據(jù)權(quán)利人產(chǎn)生深遠影響，將與現(xiàn)有數(shù)據(jù)保護法案產(chǎn)生法律沖突，對我國數(shù)據(jù)保護法案和跨境數(shù)據(jù)獲取提出了更高的要求。

關(guān)鍵詞：美國;澄清海外合法使用數(shù)據(jù);跨境數(shù)據(jù)獲取;數(shù)據(jù)保護

DOI：10.3969/j.issn.1008-0821.2021.01.015

〔中圖分類號〕G251 〔文獻標(biāo)識碼〕A 〔文章編號〕1008-0821（2021）01-0130-07

U.S.As Clarifying Lawful Overseas Use of

Data Act and Its Influences and Implications

Zheng Lin

（College of Social Science，Yangzhou University，Yangzhou 225008，China）

Abstract：[Purpose/Significance]By analyzing the Clarifying Lawful Overseas Use of Data Act，the paper aims to clarify the acts emergence background and core content points，put its influences and implications.[Method/Process]The paper used literature review method and content analysis method to analyze the laws emergence background，core content，influences and implications.[Result/Conclusion]Cloud act may bring far-reaching effects to data controllers and holders，it may conflict with existing data protection laws，and put challenges to our countrys data protection laws cross-border data access laws and policies.

Key words：America;Clarifying Lawful Overseas of Data Act （CLOUD Act）;cross-border data access;data protection

《澄清海外合法使用數(shù)據(jù)法》（英文全名Clarifying Lawful Overseas Use of Data Act，以下簡稱CLOUD法案）是美國于2018年3月份簽署生效的一部聯(lián)邦法案，該法案的出臺打破了以往跨國數(shù)據(jù)類證據(jù)調(diào)取過程中遵循的數(shù)據(jù)屬地管轄模式，構(gòu)建了一套全新的以數(shù)據(jù)控制者實際數(shù)據(jù)控制權(quán)限為衡量依據(jù)的標(biāo)準(zhǔn)框架。CLOUD法案承認(rèn)他國政府獲取存儲于美國境內(nèi)數(shù)據(jù)證據(jù)的權(quán)利，并對數(shù)據(jù)控制者申請撤銷和國際禮讓原則等內(nèi)容進行了規(guī)定。不過，“適格政府”概念的提出、嚴(yán)格的撤銷和國際禮讓標(biāo)準(zhǔn)以及倉促的立法程序都使得這部法案自出臺以來就備受爭議，尤其是與以歐盟GDPR（General Data Protection Regulation，通用數(shù)據(jù)保護條例）為代表的數(shù)據(jù)保護法案之間的法律適用矛盾，從根源上反映了數(shù)據(jù)跨境和數(shù)據(jù)本地化這兩種不同數(shù)據(jù)政策之間的沖突與博弈。本文通過對CLOUD法案的立法背景及核心內(nèi)容進行分析，試圖明確其為數(shù)據(jù)權(quán)利人、數(shù)據(jù)控制人、現(xiàn)有數(shù)據(jù)保護法律體系等不同方面所帶來的深刻影響與啟示，以期為今后相關(guān)研究提供有益參考。

1 立法背景

1.1 導(dǎo)火索：FBI與微軟的法律糾紛

CLOUD法案出臺的直接原因是美國聯(lián)邦調(diào)查局（以下簡稱FBI）與微軟公司之間圍繞跨國數(shù)據(jù)證據(jù)調(diào)取產(chǎn)生的法律糾紛。在2013年的一項毒品走私案件調(diào)查過程中，F(xiàn)BI要求微軟向其提供一名美國公民存儲于微軟服務(wù)器中的電子郵件，但是微軟公司以該電子郵件內(nèi)容存儲于愛爾蘭而非美國境內(nèi)的數(shù)據(jù)庫中為由拒絕了FBI的數(shù)據(jù)調(diào)用指令，之后，案件一路升級至美國最高法院。在處于下風(fēng)的情況下，微軟公司辯稱法院不應(yīng)當(dāng)將關(guān)注點聚焦于此案，而是應(yīng)該首先對《存儲通信法案》（Stored Communication Act，簡稱SCA）進行修改，因為FBI要求調(diào)用數(shù)據(jù)的法律依據(jù)來自SCA，而SCA自1986年生效后就再也沒有修改過了，盡管之后的30年是互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的劇變期。

事實上，美國政府早就意識到有必要對SCA進行修改，早在CLOUD法案之前，2015年出臺的《執(zhí)法部門獲取海外存儲數(shù)據(jù)法案》[1]（Law Enforcement Access to Data Stored Abroad Act，簡稱LEADS法案）和2017年出臺的《國際通信隱私法案》[2]（International Communications Privacy Act，簡稱ICPA）都曾試圖對SCA進行修改，但由于種種原因最終未能獲得通過。直至微軟案后，美國政府加緊了修法進程：CLOUD法案于2018年2月份提交至國會，為加速審批，該法案被打包放進待批準(zhǔn)的《2018年度綜合撥款法案》中，隨著美國總統(tǒng)特朗普于2018年3月份簽署批準(zhǔn)了《2018年度綜合撥款法案》，CLOUD法案也正式生效，成為美國立法史上從提案到正式生效歷時最短的法案之一。

1.2 現(xiàn)實需求：缺乏有效手段保證數(shù)據(jù)跨境

一般而言，美國法律體系下對數(shù)據(jù)證據(jù)的跨境調(diào)用可以通過兩種途徑實現(xiàn)，即調(diào)查委托書（Letters Rogatory，簡稱LB）和司法互助協(xié)定（Mutual Legal Assistance Treaties，簡稱MLATs）。其中，LB主要發(fā)生在兩國的法院之間，是委托法院向受托法院提出的可由政府和訴訟當(dāng)事人自由處理的請求。但是，由于LB對受托法院和訴訟當(dāng)事人并不具有強制性法律效力，因而一直以來都被看作是獲取境外數(shù)據(jù)證據(jù)的最低效與不可靠的方法。MLATs各國政府在刑事案件偵查中確保跨境證據(jù)共享的簡化程序和條約，由美國司法部和聯(lián)邦法院審查通過。MLATs能夠從一定程度上彌補LB的不足，但是仍存在以下問題：首先，MLATs下的數(shù)據(jù)證據(jù)調(diào)用申請需得到數(shù)據(jù)存儲國家政府的批準(zhǔn)，這大大增加了數(shù)據(jù)證據(jù)調(diào)用結(jié)果的不確定性，尤其在各國數(shù)據(jù)保護政策收緊的前提下，通過MLATs獲取數(shù)據(jù)證據(jù)似乎并不是一個明智選項;其次，當(dāng)前與美國達成MLATs的國家一共有63個[3]，雖然數(shù)量可觀，但是覆蓋程度依然有限，無法適應(yīng)數(shù)據(jù)全球化的發(fā)展態(tài)勢;最后，MLATs無論從申請、獲批到執(zhí)行所需流程都相當(dāng)繁瑣、費時費力，需要配置大量資源保障。美國通過MLATs獲取他國數(shù)據(jù)證據(jù)的同時還要應(yīng)對來自他國的調(diào)用請求，分身乏術(shù)。CLOUD法案之前，美國政府的跨國數(shù)據(jù)證據(jù)調(diào)用主要渠道就是MLATs，如今，CLOUD繞開了MLATs，重新界定了數(shù)據(jù)證據(jù)調(diào)用權(quán)限和適格政府標(biāo)準(zhǔn)，能夠有效解決MLATs的短板，為美國政府獲取存儲于境外的數(shù)據(jù)證據(jù)提供更加直接、有效的方式，這也是該法案得以快速制定并簽署生效的主要原因之一。

1.3 隱含目的：拓展美國政府?dāng)?shù)據(jù)調(diào)用權(quán)限

數(shù)字經(jīng)濟背景下，數(shù)據(jù)資源已經(jīng)成為新型的“黃金”和“石油”，具有非常重要的戰(zhàn)略性價值。近年來，美國一直都是數(shù)據(jù)全球化的堅定支持者，其本質(zhì)是試圖借助其在互聯(lián)網(wǎng)行業(yè)的先發(fā)優(yōu)勢搶占數(shù)據(jù)資源。2013年棱鏡門事件曝光后，許多國家啟動修法進程，加強對本國數(shù)據(jù)，尤其是數(shù)據(jù)跨境的監(jiān)管力度，支持?jǐn)?shù)據(jù)本地化的聲音不斷出現(xiàn)，根據(jù)美國信息技術(shù)和創(chuàng)新基金會的統(tǒng)計報告，當(dāng)前已有36個國家和地區(qū)出臺了數(shù)據(jù)本地化相關(guān)法案和政策[4]。為此，美國頻繁發(fā)聲，抨擊數(shù)據(jù)本地化存儲是一種新型的貿(mào)易壁壘。不僅大力推動APEC（亞洲太平洋經(jīng)濟合作組織）的跨境隱私保護準(zhǔn)則（CBPR），要求成員國放棄本國原有的高數(shù)據(jù)保護水準(zhǔn)，轉(zhuǎn)而低就于CBPR的低保護水平，促進數(shù)據(jù)跨境流動，還曾在其主導(dǎo)的《跨太平洋伙伴關(guān)系協(xié)定》（Trans-Pacific Partnership Agreement，簡稱TPP）中規(guī)定要確保數(shù)據(jù)跨境流動，不將數(shù)據(jù)本地化作為允許締約方企業(yè)進入本國市場的前提條件[5]。雖然之后特朗普政府退出TPP，但是美國拓展數(shù)據(jù)權(quán)限的意圖卻并未改變。在如此敏感的背景下，CLOUD法案的出臺不免令人懷疑其是美國政府?dāng)U展數(shù)據(jù)資源調(diào)用長臂管轄范圍的一種嘗試。

2 核心內(nèi)容

2.1 法律主體與范圍

關(guān)于CLOUD法案的法律主體，需要明確兩個核心問題，即法案適用的主體范圍和數(shù)據(jù)資源范圍。針對第一個問題，在103節(jié)中，CLOUD法案將其法律主體定義為電子通信和遠程計算服務(wù)提供商，而關(guān)于電子通信和遠程計算服務(wù)提供商的定義則引述自《美國法典》第18條。在第18條2510款中，規(guī)定“任何在州際或國際之間通過電線、無線電、電磁、光電子或光學(xué)系統(tǒng)中，全部或部分傳輸任何性質(zhì)的符號、信號、文字、圖像、聲音、數(shù)據(jù)或情報的服務(wù)商都屬于電子通信服務(wù)商的范圍”[6]。而在第18條2711款中，則規(guī)定“遠程計算服務(wù)提供商為通過電子通信系統(tǒng)向公眾提供計算機存儲或處理服務(wù)的服務(wù)商”[7]。從上述兩項定義中至少可以明確兩點信息：首先，盡管CLOUD法案并未明確規(guī)定其法律主體是否包括境外服務(wù)提供商，但是引述自《美國法典》的定義卻將境外服務(wù)商劃入主體范圍之內(nèi)，這在實際操作中為法案的執(zhí)行預(yù)留了一定程度的靈活解釋空間。除此之外，CLOUD法案還在禮讓分析的內(nèi)容部分規(guī)定，法官在做禮讓分析時需要考慮到服務(wù)提供商與美國之間的關(guān)系以及這種關(guān)系的性質(zhì)和程度，而如果法律的主體特指美國境內(nèi)的服務(wù)提供商，其與美國的關(guān)系及性質(zhì)是非常明晰且不需考慮的，上述規(guī)定似乎顯得多余。因此可以合理推斷，CLOUD法案在制定過程中，實質(zhì)上已經(jīng)將那些雖然并未于美國境內(nèi)注冊，但是在美國境內(nèi)有實際存在的服務(wù)提供商也歸入了主體范疇之內(nèi)。

針對第二個問題，根據(jù)第2項定義可知，CLOUD法案的法律主體范圍限制在那些面向公眾的服務(wù)提供商，也就是說，終端用戶的個人數(shù)據(jù)是CLOUD法案調(diào)用的主要對象，非個人數(shù)據(jù)并不在CLOUD法案的調(diào)用對象之內(nèi)。進一步講，由于CLOUD法案核心目的是為美國政府獲取跨國數(shù)據(jù)證據(jù)提供法律保障，其所調(diào)取的數(shù)據(jù)資源不僅應(yīng)是個人數(shù)據(jù)，還必須是可識別性數(shù)據(jù)資源。這一點從當(dāng)前CLOUD法案的數(shù)據(jù)證據(jù)調(diào)用許可中可以得到印證：現(xiàn)有數(shù)據(jù)證據(jù)調(diào)用許可中，典型的數(shù)據(jù)需求為特定日期內(nèi)，特定個人賬戶中的電子郵件信息、用戶身份信息、地址簿、聯(lián)系人列表、圖片文件以及通訊記錄等。

2.2 司法管轄權(quán)的延伸

CLOUD法案規(guī)定，無論用戶的數(shù)據(jù)是否存儲在美國境內(nèi)，只要服務(wù)提供商對用戶數(shù)據(jù)具有實際控制或管轄權(quán)，服務(wù)提供商就有義務(wù)按照法案規(guī)定保存、備份甚至是披露用戶數(shù)據(jù)。這一規(guī)定極大地延伸了美國的數(shù)據(jù)司法管轄權(quán)范圍：一直以來，判斷數(shù)據(jù)司法管轄權(quán)限的主要標(biāo)準(zhǔn)是數(shù)據(jù)的存儲位置。以上述微軟案為例，盡管微軟公司位于美國，但是由于其將用戶的數(shù)據(jù)存儲于愛爾蘭而非美國境內(nèi)的數(shù)據(jù)庫中，因而目標(biāo)數(shù)據(jù)的司法管轄權(quán)不受美國制約。但是，根據(jù)CLOUD法案的規(guī)定，盡管用戶數(shù)據(jù)存儲于愛爾蘭，但是由于實際控制數(shù)據(jù)的微軟公司位于美國境內(nèi)，微軟就有義務(wù)向美國政府提交用戶數(shù)據(jù)。

可見，CLOUD法案實際上是重新樹立了一個數(shù)據(jù)司法管轄權(quán)的判斷標(biāo)準(zhǔn)，將已有的屬地管轄轉(zhuǎn)化為現(xiàn)有的數(shù)據(jù)控制范圍管轄，這從根本上擴大了美國的數(shù)據(jù)主權(quán)范圍和效力。一方面，屬地管轄到數(shù)據(jù)控制范圍管轄的轉(zhuǎn)變十分有利于美國的互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展優(yōu)勢地位：美國擁有全球規(guī)模和影響力最大的一批互聯(lián)網(wǎng)公司，從微軟、谷歌到臉書等一大批企業(yè)掌握著規(guī)模難以計量的用戶數(shù)據(jù)，這些企業(yè)遵循CLOUD法案為美國政府提供的用戶數(shù)據(jù)量將是任何國家都難以企及的;另一方面，CLOUD法案是對當(dāng)前世界范圍內(nèi)主要國家數(shù)據(jù)本地化政策的一個有力沖擊。數(shù)據(jù)本地化是當(dāng)前國家的主要數(shù)據(jù)主權(quán)保障策略之一，強調(diào)數(shù)據(jù)的存儲、備份、處理和傳輸?shù)炔僮鞅仨毎l(fā)生在本國境內(nèi)，部分國家甚至還以數(shù)據(jù)本地化作為外國互聯(lián)網(wǎng)企業(yè)的準(zhǔn)入條件。CLOUD法案的出臺破除了數(shù)據(jù)本地化政策所帶來的數(shù)據(jù)證據(jù)跨國調(diào)用屏障，有效擴大美國政府可獲取的數(shù)據(jù)資源范圍。

2.3 復(fù)議與禮讓原則

CLOUD法案承認(rèn)服務(wù)提供商申請或變更法律程序的動議，但是需要滿足下述兩個條件：首先，要求數(shù)據(jù)權(quán)利人不是美國公民或不居住于美國;其次，數(shù)據(jù)披露行為會導(dǎo)致服務(wù)提供商面臨違反外國政府法律的實質(zhì)性風(fēng)險。滿足上述條件的情況下，動議需要在進入法律程序之后的14天之內(nèi)提交或經(jīng)允許后適當(dāng)延長期限。撤銷和變更的裁決只有法院有權(quán)利做出，而法官在確認(rèn)撤銷和變更動議都符合上述條件的過程中，又需要充分衡量該個案的全部情況，包括美國和要求數(shù)據(jù)調(diào)取的政府實體的利益、外國政府利益、服務(wù)提供商如為滿足要求可能受到的處罰的可能性、性質(zhì)以及嚴(yán)重程度、用戶或客戶與美國關(guān)系的性質(zhì)與程度、服務(wù)提供商與美國的關(guān)系與程度等多方面因素。

上述撤銷動議和禮讓分析存在的一個問題是衡量的標(biāo)準(zhǔn)過于嚴(yán)格，在衡量和判斷的過程中需要考慮的影響因素太多，這將導(dǎo)致判斷過程中難以避免的人為和主觀因素影響，進而賦予美國政府過于寬泛的單邊裁量權(quán)，很難實現(xiàn)復(fù)議和禮讓最初的公平目的。尤其在當(dāng)前世界各國數(shù)據(jù)保護政策收緊的前提下，CLOUD法案的復(fù)議與禮讓原則并不能有效緩解與別國數(shù)據(jù)保護法案之間的法律沖突。另一個問題是部分衡量標(biāo)準(zhǔn)過于模糊，例如，法案對于服務(wù)提供商因違反外國政府法律所帶來的實質(zhì)性風(fēng)險到底應(yīng)該如何確定，所謂實質(zhì)性風(fēng)險的判斷依據(jù)和評價標(biāo)準(zhǔn)既沒有說明，也沒有提供可供參考的法律淵源。

3.4 “適格政府”標(biāo)準(zhǔn)

宏觀來講，CLOUD法案對于數(shù)據(jù)證據(jù)的調(diào)取包含兩個層面的意義：一個層面是美國政府從他國境內(nèi)調(diào)取數(shù)據(jù)證據(jù)，另一層面則是他國政府從美國境內(nèi)調(diào)取數(shù)據(jù)證據(jù)。針對他國政府從美國境內(nèi)調(diào)取數(shù)據(jù)證據(jù)的情況，CLOUD引入了“適格政府”的概念。粗略來講，“適格政府”應(yīng)符合以下標(biāo)準(zhǔn)：首先，“適格政府”應(yīng)給予美國政府能夠直接從其境內(nèi)調(diào)取用戶數(shù)據(jù)證據(jù)的權(quán)限;其次，“適格政府”所調(diào)取的數(shù)據(jù)證據(jù)類型必須滿足數(shù)據(jù)權(quán)利人非美國公民和居民的條件;再次，對于調(diào)取的數(shù)據(jù)證據(jù)類型和范圍應(yīng)有嚴(yán)格限制;最后，“適格政府”需與美國簽訂行政協(xié)議，達到一定的人權(quán)和隱私保護標(biāo)準(zhǔn)，如：能夠?qū)竦碾[私與公民自由提供實質(zhì)性、程序性的保護;應(yīng)采取有效措施最小化對美國公民的數(shù)據(jù)采集、存儲以及傳播;不得應(yīng)他國政府要求獲取數(shù)據(jù)并提供給他國政府;不得與第三方政府共享任何數(shù)據(jù)等。從上述“適格政府”標(biāo)準(zhǔn)中不難看出，美國政府對于外國政府獲取存儲于美境內(nèi)的數(shù)據(jù)采用了十分嚴(yán)格的審核標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)綜合涵蓋了政策、法規(guī)、技術(shù)甚至是意識形態(tài)等各個層面，并就外國政府獲取美國公民以及與美相關(guān)人士的數(shù)據(jù)證據(jù)做出了嚴(yán)格限制，甚至還保留了對適格國家的最終解釋權(quán)。其客觀效果就是可以在獲取跨境數(shù)據(jù)證據(jù)的同時能夠較好地保證本國對數(shù)據(jù)的控制權(quán)。

3 CLOUD法案的影響與啟示

從積極意義來看，CLOUD法案的出臺確實為解決數(shù)據(jù)證據(jù)跨境流動問題做出了嘗試，并且相較于其前身SCA來講也具有更大程度的法律確定性，解決了SCA遺留下的立法滯后問題，在法律執(zhí)行層面也具有更大的可操性。然而相比之下，其存在的問題似乎更為突出：從法案自身來講，自出臺之日起法案在立法內(nèi)容方面就不斷受到質(zhì)疑，其對于數(shù)據(jù)控制者、數(shù)據(jù)權(quán)利人和當(dāng)前各國的數(shù)據(jù)政策與治理框架也都可能產(chǎn)生深遠的作用。

3.1 法案自身存在的問題

從立法程序上講，從2018年2月份提案到3月份簽署通過，CLOUD法案的立法進程迅速得令人側(cè)目，不僅省去了參眾兩院的聽證環(huán)節(jié)，還被打包塞入待批準(zhǔn)的《2018年度綜合撥款法案》中，如此倉促的舉措與應(yīng)有的立法程序嚴(yán)重不符，結(jié)合“微軟案”中，同樣的法律問題卻備受爭議，證明數(shù)據(jù)證據(jù)的跨境調(diào)取權(quán)限問題仍然值得商榷。再結(jié)合當(dāng)前全球數(shù)據(jù)保護與本地化的大背景，CLOUD法案的快速出臺很難不讓人感到微妙，以至于有學(xué)者將CLOUD法案比作是一項“走了后門的法案”（Back-door Piece of Legislation）[8]，并質(zhì)疑CLOUD法案的最終目的是為了擴大美國在數(shù)據(jù)資源獲取方面的長臂管轄權(quán)范圍[9]。

從立法基礎(chǔ)上講，MLATs是當(dāng)前各國之間獲取跨境證據(jù)的主要渠道，最早能夠追溯至1896年于海牙締結(jié)的《民事訴訟程序公約》，之后，在1961年的《取消要求外國公文書認(rèn)證公約》、1965年的《關(guān)于向國外送達民事或商事司法文書和司法外文書公約》等國際公約中都得到了認(rèn)可，具有較為廣泛的法律和國際基礎(chǔ)。與此同時，MLATs在促進各國之間司法界的國際交往、鞏固國際之間相互尊重和互利等方面也發(fā)揮著重要作用。CLOUD法案試圖繞過現(xiàn)有的MLATs體系，自主構(gòu)建一個全新的國際之間獲取跨境數(shù)據(jù)證據(jù)的標(biāo)準(zhǔn)框架，無論從法律淵源還是國際認(rèn)可層面上來講，都是不被提倡的[9]。

從法律內(nèi)容上來講，法案似乎一定程度上忽視了數(shù)據(jù)控制人和數(shù)據(jù)權(quán)利人的應(yīng)有權(quán)利。對于數(shù)據(jù)控制人，CLOUD法案并沒有為其提供足夠的法律救助。盡管與之前的SCA相比更為明確，也賦予了數(shù)據(jù)控制人申請撤銷或變更調(diào)令的權(quán)利，但是這一權(quán)利的約束條件過于嚴(yán)格，范圍和幅度都十分有限，從這一層面上來看，數(shù)據(jù)控制人在拒絕數(shù)據(jù)調(diào)用指令方面的操作空間和余地其實是被大大縮小了。更主要的是，CLOUD法案與其他國家數(shù)據(jù)保護法案之間的法律沖突將使服務(wù)提供商不得不面臨一個“選邊站”的問題，尤其對于跨國的服務(wù)提供商來講，很難在二者之間尋得折中方案。對于數(shù)據(jù)權(quán)利人來講，CLOUD法案缺乏一個程序化、組織化的標(biāo)準(zhǔn)以保障數(shù)據(jù)權(quán)利人的數(shù)據(jù)安全與隱私。并且，CLOUD法案缺乏有關(guān)于“通知”的規(guī)定，不管是對數(shù)據(jù)存儲地還是對數(shù)據(jù)權(quán)利人的通知，這與現(xiàn)有個人數(shù)據(jù)保護法案的相關(guān)規(guī)定背道而馳。另一方面，CLOUD法案從性質(zhì)上來說更偏向于一部實體法，缺乏相應(yīng)的程序法作保障，對于數(shù)據(jù)調(diào)取的時限、類型、范圍等內(nèi)容缺乏細節(jié)性規(guī)定，雖然這在一定程度上增加了法律操作過程中的模糊性和解釋上的靈活性，但是卻降低了整部法案的公開度與透明度。最為重要的是，現(xiàn)有法案中并未對數(shù)據(jù)證據(jù)調(diào)用授權(quán)以及授權(quán)之后的監(jiān)督機制作進一步解釋，這加劇了侵犯個人數(shù)據(jù)權(quán)益的風(fēng)險，將強化來自數(shù)據(jù)權(quán)利人方面對于數(shù)據(jù)安全和個人隱私的關(guān)切。

3.2 與他國數(shù)據(jù)保護法案之間的法律沖突

從司法管轄權(quán)角度來說，CLOUD法案與現(xiàn)有數(shù)據(jù)保護法案存在沖突，其中最具代表性的法案為歐盟的數(shù)據(jù)保護法案GDPR。GDPR是對歐盟于1995年出臺的《個人數(shù)據(jù)保護指令》（Data Protection Directive，簡稱Directive 95/46/EC）的完善，目的是為歐盟各成員國提供更具凝聚力、普適性和平衡性的個人數(shù)據(jù)保護法律框架，自出臺之日起就被學(xué)界和業(yè)界認(rèn)為是史上最為嚴(yán)厲的數(shù)據(jù)保護法案，最高罰款金額將達到企業(yè)全球范圍內(nèi)收入的4%或2000萬歐元（取最高值）。當(dāng)前，歐盟認(rèn)定的符合上述標(biāo)準(zhǔn)的國家主要為歐盟成員和歐洲經(jīng)濟協(xié)會成員國，美國并不在其列。因此，根據(jù)GDPR第48條規(guī)定，美國想獲取存儲于歐盟的用戶數(shù)據(jù)，只能通過MLATs進行。為此，歐洲數(shù)據(jù)保護委員會（the European Data Protection Board，簡稱EDPB）在2018年2月發(fā)布的《關(guān)于GDPR第49條的減損指南》中特地強調(diào)，在存在類似于MLATs類的國際協(xié)議的情況下，歐盟公司應(yīng)該拒絕來自于第三方國家的直接數(shù)據(jù)請求，而將該數(shù)據(jù)請求轉(zhuǎn)交給現(xiàn)有的MLATs程序[10]。CLOUD法案作為境外法案，試圖繞過MLATs直接獲取位于歐盟的數(shù)據(jù)，很明顯是不具有法律效力的，同理可推其他國家的數(shù)據(jù)保護法案。為解決CLOUD法案與GDPR的沖突問題，EDPB和歐洲數(shù)據(jù)保護主管（European Data Protection Supervisor，簡稱EDPS）于2019年7月10日發(fā)布了一項針對CLOUD法案及其影響的聯(lián)合評估報告，該評估報告仔細分析了CLOUD法案與現(xiàn)有個人數(shù)據(jù)保護法律框架之間可能產(chǎn)生的沖突和影響，認(rèn)為應(yīng)通過協(xié)商的方式解決2部法案之間的法律沖突[11]。2019年2月份，就在CLOUD剛剛提交給美國國會之后，歐盟委員會即通過了這一建議，EDPS于同年4月份發(fā)表了關(guān)于這一主題的正式意見，6月份安理會通過了開啟談判的授權(quán)決定，截至目前談判尚未完成，談判結(jié)果尚不可知。

3.3 數(shù)據(jù)本地化與數(shù)據(jù)跨境獲取的博弈

從全球范圍內(nèi)看，CLOUD法案的出臺可能一定程度上加重各國對數(shù)據(jù)保護議題的擔(dān)憂。根本來講，CLOUD法案與現(xiàn)有數(shù)據(jù)保護法案的沖突可以看作是不同國家之間數(shù)據(jù)政策與治理觀念的矛盾，美國對數(shù)據(jù)全球化理念的支持實質(zhì)目的是獲取全球數(shù)據(jù)資源，而得益于其在第一輪數(shù)字化浪潮中所積累的產(chǎn)業(yè)與技術(shù)優(yōu)勢和強大的話語權(quán)，勢必會對他國的數(shù)據(jù)保護和治理體系產(chǎn)生不利影響。為此，甚至有學(xué)者將美國與他國圍繞數(shù)據(jù)獲取所產(chǎn)生的矛盾比喻為《圣經(jīng)》中David與Goliath之間的對決[7]。CLOUD法案的另一個影響是其有可能會為其他國家在數(shù)據(jù)跨境獲取方面的立法提供不受歡迎的先例，使那些有跨境數(shù)據(jù)需求的國家尋求僅僅基于該國的司法權(quán)威而強制調(diào)用存儲在世界任何地方的數(shù)據(jù)。事實上，這種情況已經(jīng)出現(xiàn)了：英國于2019年2月出臺的《犯罪（海外生產(chǎn)訂單）法案》（Crime（Overseas Production Orders）Bill，簡稱OPO）就可以看作是英國版的CLOUD法案，該法案允許英國執(zhí)法部門向法院申請命令，以直接從非英國境內(nèi)的通信服務(wù)提供商處獲取用戶數(shù)據(jù)。與CLOUD法案相似，OPO也試圖創(chuàng)建一個國際合作協(xié)議，目前，英國正與美國就該協(xié)議進行協(xié)商。

3.4 對我國的影響與對策

如上文所述，雖然“微軟案”是CLOUD法案出臺的直接原因，但該法案的出臺絕非偶然，而是一種必然：其不僅是跨境數(shù)據(jù)調(diào)取依據(jù)在近些年來的最新轉(zhuǎn)向，也是數(shù)據(jù)跨境獲取概念在司法領(lǐng)域中的一個具體落實，更是數(shù)據(jù)本地化和數(shù)據(jù)跨境獲取博弈之后的一個最終走向。在此背景下，我國也應(yīng)思考這一法案可能對自身產(chǎn)生的影響，并采取相應(yīng)措施加以應(yīng)對。

一方面，CLOUD法案的出臺迫使我國數(shù)據(jù)安全保護相關(guān)法案加快完善腳步。盡管我國于2016年11月7日發(fā)布，并于2017年6月1日起執(zhí)行的《中華人民共和國網(wǎng)絡(luò)安全法》第37條規(guī)定了“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲”，但是并沒有就外國政府通過數(shù)據(jù)控制者獲取存儲于中國境內(nèi)的數(shù)據(jù)這一情況加以規(guī)定。這將導(dǎo)致我國在數(shù)據(jù)獲取問題上處于一種尷尬位置：我國不屬于CLOUD法案規(guī)定的“適格政府”行列，無法通過CLOUD法案獲取存儲于美國境內(nèi)的數(shù)據(jù)，然而，我國數(shù)據(jù)保護立法的不完善卻使得存儲于中國境內(nèi)的數(shù)據(jù)資源向美國政府城門洞開，《網(wǎng)絡(luò)安全法》也隨著CLOUD法案的出臺而喪失了實際意義。與此同時，由于CLOUD法案的司法救助中提到，服務(wù)提供商可以以“數(shù)據(jù)披露行為會導(dǎo)致服務(wù)提供商面臨違反外國政府法律的實質(zhì)性風(fēng)險”為由申請撤銷動議，我國完善相應(yīng)規(guī)定禁止國外政府通過服務(wù)提供商獲取存儲于境內(nèi)的數(shù)據(jù)合情合理。CLOUD法案帶來的另一項啟示是我國應(yīng)盡快出臺和完善跨國數(shù)據(jù)調(diào)取相關(guān)法案和規(guī)定。數(shù)據(jù)全球化背景下，數(shù)據(jù)跨境調(diào)取的需求將越來越多，如何在平等互利的基礎(chǔ)之上有效獲取跨境數(shù)據(jù)這一點非常重要。針對這一問題，我國于2018年出臺了《中華人民共和國國際刑事司法協(xié)助法》，法案中規(guī)定了我國向外國政府請求提供的證據(jù)類型中涵蓋數(shù)據(jù)，但是由于該法案僅適用于國際刑事司法領(lǐng)域，并且關(guān)于數(shù)據(jù)的規(guī)定僅見于法案第4章第4條，并不能看作是一部完整意義上的數(shù)據(jù)跨境調(diào)用法案，并且該法案也無法擺脫司法協(xié)助輻射范圍有限、程序繁瑣等缺陷，更加完善并高效的方式仍然亟待提出。

參考文獻

[1]Congress.Gov.S.512-Law Enforcement Access to Data Stored Abroad Act[EB/OL].https：//www.congress.gov/bill/114th-congress/senate-bill/512/text，2019-03-21.

[2]Congress.Gov.S.1671-International Communications Privacy Act[EB/OL].https：//www.congress.gov/bill/115thcongress/senatebill/1671？r=1&q=%7B%22search%22%3A%5B%22International+Communications+Privacy+Act%22%5D%7D，2019-03-21.

[3]ITIF.How Law Enforcement Should Access Data Across Borders[EB/OL].http：//www2.itif.org/2017-law-enforcement-data-borders.pdf，2019-04-05.

[4]ITIF.Cross-Border Data Flows：Where Are the Barriers，and What Do They Cost？[EB/OL].https：//itif.org/publications/2017/05/01/cross-border-data-flows-where-are-barriers-and-what-do-they-cost，2019-03-21.

[5]Office of the United States Trade Representative.TPP Full Text[EB/OL].https：//ustr.gov/trade-agreements/free-trade-agreements/trans-pacific-partnership/tpp-full-text，2019-03-21.

[6]Office of the Law Revision Counsel United States Code[EB/OL].https：//uscode.house.gov/view.xhtml？req=（title：18 section：2510 edition：prelim） OR （granuleid：USC-prelim-title18-section2510）&f=treesort&edition=prelim&num=0&jumpTo=true，2019-03-21.

[7]Office of the Law Revision Counsel United States Code[EB/OL]https：//uscode.house.gov/view.xhtml？req=（title：18 section：2711 edition：prelim） OR （granuleid：USC-prelim-title18-section2711）&f=treesort&edition=prelim&num=0&jumpTo=true，2019-03-21.

[8]Syed H，Genc S Y.European Union General Data Protection Regulation（GDPR）and United States of Americans Clarifying Overseas Use of Data（CLOUD）ACT：David Versus Goliath[J].Prodeecings Book，128.

[9]CCBE.CCBE Assessment of the U.S.CLOUD Act[EB/OL].https：//www.ccbe.eu/fileadmin/speciality_distribution/public/documents/SURVEILLANCE/SVL_Position_papers/EN_SVL_20190228_CCBE-Assessment-of-the-U-S-CLOUD-Act.pdf，2019-03-21.

[10]EDPB.EDPB Guidelines 2/2018 on Derogations of Article 49 Under Regulation 2016/679[EB/OL].https：//webcache.googleusercontent.com/search？q=cache：oliq5TxHM2IJ：https：//edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf+&cd=4&hl=zh-CN&ct=clnk&gl=ph，2019-03-21.

[11]EDPB.Initial Legal Assessment of the Impact of the US CLOUD Act on the EU Legal Framework for the Protection of Personal Data and the Negotiations of an EU-US Agreement on Cross-border Access to Electronic Evidence[EB/OL].https：//webcache.googleusercontent.com/search？q=cache：zSrie5yAd6MJ：https：//edpb.europa.eu/sites/edpb/files/files/file2/edpb_edps_joint_response_us_cloudact_annex.pdf+&cd=5&hl=zh-CN&ct=clnk&gl=jp，2019-03-21.

（責(zé)任編輯：郭沫含）