美國CLOUD 法案對我國跨境數(shù)據(jù)獲取的挑戰(zhàn)及應(yīng)對

黃志鵬

（中南財經(jīng)政法大學，湖北 武漢 430073）

跨境數(shù)據(jù)獲取是當今國家之間跨境取證的新的表現(xiàn)形式。隨著科技的發(fā)展，云儲存技術(shù)得到廣泛地運用，服務(wù)商都傾向于將其在運營過程中產(chǎn)生、收集的數(shù)據(jù)存儲在不同國家的服務(wù)器上。國家在具有獲取數(shù)據(jù)的需要時，就必須向多個國家發(fā)起刑事司法協(xié)助請求。雙邊司法協(xié)助協(xié)議進程確保所有訪問要求都必須通過數(shù)據(jù)存儲所在國的法律系統(tǒng)，而不是由外國政府直接向存儲數(shù)據(jù)的私營實體提出要求。這一過程進展非常緩慢，浪費檢察官在刑事調(diào)查中的時間。[1]在此背景下，2018 年美國國會迅速通過了《澄清合法使用海外數(shù)據(jù)法案》（Clarifying Lawful Overseas Use of Data Act，以下簡稱CLOUD 法案），旨在允許執(zhí)法部門收集存儲在外國的數(shù)據(jù)來協(xié)助刑事調(diào)查。其一大特點是在跨境數(shù)據(jù)獲取方面，改“數(shù)據(jù)存儲地模式”為“數(shù)據(jù)控制者模式”。數(shù)據(jù)控制者模式在域外取證方面突破了刑事雙邊司法協(xié)助協(xié)議的限制，可以直接在所需數(shù)據(jù)的所在國獲取數(shù)據(jù)而無需征得目標國的同意。從效率上看，CLOUD 法案固然提供了一種新的快速獲取數(shù)據(jù)證據(jù)的方式，但若與其他國家沒有相關(guān)合作，則極易引起沖突。本文旨在分析CLOUD 法案的頒布對跨境數(shù)據(jù)獲取的挑戰(zhàn)，并提出相關(guān)沖突解決方案。

一、CLOUD 法案帶來的挑戰(zhàn)

2013 年12 月，聯(lián)邦執(zhí)法人員向美國紐約南區(qū)地方法院要求微軟披露與其客戶賬戶相關(guān)的所有電子郵件和其他信息。一名治安法官確信特工人員有充分理由相信該賬戶正被用于進一步非法販毒，于是簽發(fā)了2703 號逮捕令。微軟公司認為，美國《存儲通信法案》（Stored Electronic Communications Act，以下簡稱SCA 法案）只規(guī)定了通訊服務(wù)提供商有向美國執(zhí)法機構(gòu)提供其所擁有的數(shù)據(jù)的義務(wù)，但并沒有指出美國執(zhí)法機構(gòu)是否能夠獲取服務(wù)商存儲在境外的數(shù)據(jù)。微軟以美國所需的數(shù)據(jù)在愛爾蘭為由，采取行動撤銷了對存儲在愛爾蘭的信息的搜查令。也就是在該背景下，CLOUD 法案應(yīng)運而生，以彌補SCA 法案效力范圍上的不足。其在《美國法典》第18 卷2713 條中規(guī)定，電子通信服務(wù)或遠程計算服務(wù)的提供商應(yīng)遵守本章的義務(wù)，無論信息是否位于美國境內(nèi)，服務(wù)提供商應(yīng)該備份、披露電子通信內(nèi)容以及服務(wù)提供商所管控的其他數(shù)據(jù)信息。根據(jù)該條規(guī)定，CLOUD 法案拓寬了SCA 中效力范圍的規(guī)定。只要該數(shù)據(jù)是服務(wù)提供商所擁有、保管和控制的，那么美國執(zhí)法機構(gòu)就可以請求服務(wù)提供商提供其所需要的數(shù)據(jù)。為此，美國確立了一種高效的單邊跨境數(shù)據(jù)獲取方式，即“數(shù)據(jù)控制者模式”。然而，這種單邊的跨境數(shù)據(jù)獲取方式會帶來諸多問題，如使跨國企業(yè)陷入兩難境地、造成不同國家之間的網(wǎng)絡(luò)主權(quán)沖突、管轄沖突和法律沖突等。

（一）跨境獲取數(shù)據(jù)的企業(yè)合規(guī)困境

對于在境外設(shè)立了營業(yè)地的企業(yè)來說，不管在實踐中是否配合執(zhí)法機關(guān)跨境調(diào)取數(shù)據(jù)的要求，均可能面臨引發(fā)法律和經(jīng)營方面的風險。[2]根據(jù)CLOUD 法案的規(guī)定，服務(wù)提供商必須將所有的數(shù)據(jù)提供給美國執(zhí)法機構(gòu)，數(shù)據(jù)存儲地所在國會以違背國家主權(quán)為由禁止企業(yè)將數(shù)據(jù)傳輸至境外，這與有關(guān)法律沖突。在這種情況下，企業(yè)將面臨著選擇遵守哪一國家法律的尷尬境地。為了逃避法律責任，企業(yè)很有可能選擇將數(shù)據(jù)信息轉(zhuǎn)交給美國執(zhí)法部門，但此舉會引發(fā)客戶對企業(yè)的信用危機，侵害客戶的隱私。

（二）跨境獲取數(shù)據(jù)的數(shù)據(jù)主權(quán)沖突與網(wǎng)絡(luò)主權(quán)沖突

跨境獲取數(shù)據(jù)易導致主權(quán)國家數(shù)據(jù)主權(quán)之間的沖突。數(shù)據(jù)主權(quán)即國家對本國涉外跨境的數(shù)據(jù)以及位于本國境內(nèi)的數(shù)據(jù)擁有所有權(quán)、控制權(quán)，使用權(quán)以及管轄權(quán)，對內(nèi)表現(xiàn)為擁有對本國數(shù)據(jù)及本國國民跨境數(shù)據(jù)的最高管控權(quán)，對外體現(xiàn)為不受干涉、平等地處理數(shù)據(jù)。[3]但在CLOUD 法案的規(guī)定下，美國執(zhí)法機構(gòu)可以徑直要求數(shù)據(jù)所在國提供其所需要的數(shù)據(jù)，干涉了數(shù)據(jù)所在國對其本國數(shù)據(jù)的管轄權(quán)、所有權(quán)和控制權(quán)等。在此情形下，一國并不能夠做到獨立且平等地管控本國的數(shù)據(jù)。當今世界正經(jīng)歷百年未有之大變局，新一輪的科技革命和產(chǎn)業(yè)變革正悄無聲息地發(fā)生，數(shù)據(jù)資源成為新的生產(chǎn)要素。[4]它關(guān)系到數(shù)據(jù)主權(quán)乃至國家主權(quán)，數(shù)據(jù)主權(quán)的沖突在CLOUD 法案的這一規(guī)定下是不可避免的。

在CLOUD法案背景下的跨境數(shù)據(jù)獲取除了會引發(fā)數(shù)據(jù)主權(quán)的沖突外，還極有可能引起網(wǎng)絡(luò)主權(quán)的紛爭。網(wǎng)絡(luò)數(shù)據(jù)主權(quán)是網(wǎng)絡(luò)主權(quán)的組成部分之一，網(wǎng)絡(luò)主權(quán)是網(wǎng)絡(luò)數(shù)據(jù)控制權(quán)的上位概念。[5]我國《國家安全法》第25 條和《網(wǎng)絡(luò)安全法》第1 條均表明，我國處理網(wǎng)絡(luò)問題的一個基本原則就是牢牢把握網(wǎng)絡(luò)主權(quán)。國家對網(wǎng)絡(luò)空間主張主權(quán)具有合法性基礎(chǔ)，同樣，對網(wǎng)絡(luò)空間的數(shù)據(jù)資源施加主權(quán)也有合法性基礎(chǔ)。然而，美國對于此問題持相反態(tài)度。為了掩蓋憑借其在互聯(lián)網(wǎng)領(lǐng)域絕對的技術(shù)優(yōu)勢而削弱他國數(shù)據(jù)掌控能力的真實目的，其認為網(wǎng)絡(luò)空間并不存在主權(quán)。[6]這勢必會造成網(wǎng)絡(luò)主權(quán)認定上的沖突。

（三）跨境獲取數(shù)據(jù)的管轄沖突

CLOUD 法案規(guī)定，只要數(shù)據(jù)歸服務(wù)提供商所有、控制，不管數(shù)據(jù)位于本國境內(nèi)還是境外，美國執(zhí)法機構(gòu)出于需要即可向提供商索取。但是，在美國全球監(jiān)控計劃“棱鏡門”監(jiān)控事件后，包括我國在內(nèi)的許多國家都在本國的法律條文中加入了數(shù)據(jù)本地化的要求。CLOUD 法案的這一規(guī)定實質(zhì)上對沿襲已久的數(shù)據(jù)本地化模式帶來了巨大的沖擊，因為美國擁有極具影響力的互聯(lián)網(wǎng)公司，可以獲得大量的用戶數(shù)據(jù)。正是因為CLOUD 法案旨在從數(shù)據(jù)本地化模式向數(shù)據(jù)控制者模式的轉(zhuǎn)化導致美國延伸了其對于數(shù)據(jù)的司法管轄權(quán)范圍，一意孤行地單方面對境外數(shù)據(jù)主張管轄權(quán)，從而在數(shù)據(jù)問題方面確立長臂管轄模式，改變了以往數(shù)據(jù)所在地的屬地管轄模式，取而代之的是對數(shù)據(jù)控制者的屬人管轄模式，管轄權(quán)沖突才慢慢浮現(xiàn)出來。

二、從CLOUD 法案規(guī)定分析沖突成因

（一）外國適格政府的規(guī)定

CLOUD 法案有關(guān)跨境數(shù)據(jù)的調(diào)取主要針對美國政府獲取他國數(shù)據(jù)和他國獲取位于美國境內(nèi)的數(shù)據(jù)。然若他國政府欲獲取位于美國境內(nèi)的數(shù)據(jù)，其必須是CLOUD 法案所認定的適格外國政府且已與美國簽署了獲取數(shù)據(jù)的行政協(xié)議。美國為了體現(xiàn)其向境外獲取跨境數(shù)據(jù)與其他國家向美國獲取跨境數(shù)據(jù)對等，在CLOUD 法案（h）項中規(guī)定了外國適格政府，即與美國簽訂行政協(xié)議并根據(jù)《美國法典》第2523 條已經(jīng)生效，其法律向電子通信服務(wù)提供商和遠程計算服務(wù)提供商提供類似于第（2）和第（5）款規(guī)定的實質(zhì)性和程序性機會的國家。此外，通過行政協(xié)議成為外國適格政府的主體還需要滿足法案所作出的限定，而其中的核心判斷標準是外國政府的立法包括國內(nèi)法律的執(zhí)行在數(shù)據(jù)收集以及政府活動方面是否在隱私和公民權(quán)利方面提供了足夠的實質(zhì)和程序上的保護。其還得對下述情況進行考量：第一，外國政府是否制定關(guān)于網(wǎng)絡(luò)犯罪和電子證據(jù)方面實質(zhì)性和程序性的法律規(guī)定以及是否加入《布達佩斯網(wǎng)絡(luò)犯罪公約》或者國內(nèi)法與《布達佩斯網(wǎng)絡(luò)犯罪公約》第一章和第二章的內(nèi)容是否相一致；第二，尊重法治和非歧視原則；第三，遵守國際人權(quán)義務(wù)或者尊重國際普遍人權(quán)；第四，通過行政協(xié)議獲取數(shù)據(jù)的外國政府有清晰的法律要求和程序，包括這些機關(guān)收集、獲取、使用和分享數(shù)據(jù)的程序；第五，在外國政府收集和使用電子數(shù)據(jù)方面有提供責任和恰當透明度的足夠機制；第六，展現(xiàn)出對全球信息自由流動的促進和保護的承諾。

除了在實體方面對適格外國政府作出限定外，在程序方面，CLOUD法案也作出了相應(yīng)的限制：第一，外國政府只有在遵守行政協(xié)議所約定的外國政府不得針對具有美國國籍的人或者在美國境內(nèi)具有住所的個人這一條件后，才能夠調(diào)取存儲在美國境內(nèi)的數(shù)據(jù)；第二，獲取數(shù)據(jù)應(yīng)具有針對性而不能傷及無辜，若只需獲取具有美國國籍的公民或者在美國境內(nèi)有住所的人的信息，則不能以其他國家的人為目的；第三，所獲得的信息不能與第三國乃至美國政府共享；第四，外國政府發(fā)出的獲取數(shù)據(jù)的要求應(yīng)該與嚴重犯罪相關(guān)等。

從CLOUD法案有關(guān)適格外國政府的規(guī)定可以看出，雖然美國表面上考慮在國家之間進行互惠以獲取數(shù)據(jù)，但是其條文設(shè)置了諸多障礙，僅憑適格外國政府必須是《布達佩斯網(wǎng)絡(luò)犯罪公約》的成員國這一條件就排除了許多國家，遑論其他條件。

（二）有限定的禮讓

美國立法者在制定CLOUD法案時顯然預見到采用數(shù)據(jù)控制者模式將會導致管轄沖突、企業(yè)陷入合規(guī)的尷尬境地等問題出現(xiàn)。其在CLOUD 法案第103 條（b）款中作出了禮讓分析的規(guī)定：在符合規(guī)定的條件下，服務(wù)提供商可以拒絕美國執(zhí)法機構(gòu)的要求，對其所擁有的數(shù)據(jù)不予披露。

首先，客戶或者訂戶不是美國人并且其在美國沒有住所；其次，披露數(shù)據(jù)的行為會導致服務(wù)提供商承擔違反外國適格政府法律的實質(zhì)性風險。在滿足以上條件之外，拒絕披露數(shù)據(jù)的請求還需要在法律程序進行中的14 天之內(nèi)提出，最后由法官根據(jù)案件的總體情況考量是否予以采納。這些情況包括美國和要求披露數(shù)據(jù)的政府部門的利益、外國適格政府防止禁止披露的數(shù)據(jù)外泄的利益、服務(wù)提供商及其雇員因違反施加其身上的法律義務(wù)（披露數(shù)據(jù)）而可能遭受的懲罰、訂戶或用戶所處的位置及國籍以及服務(wù)提供商與美國的聯(lián)系程度等內(nèi)容。相較服務(wù)提供商提出拒絕披露數(shù)據(jù)因素的明確性，法院所要考慮的情況則模糊得多，[7]法官具有極大的自由裁量權(quán)。例如，美國和要求數(shù)據(jù)披露的政府部門的利益究竟是何種利益尚不明確，服務(wù)提供商及雇員違反數(shù)據(jù)披露義務(wù)而可能遭受的懲罰是指何種懲罰從條文中也不得而知。更為重要的是，該法案（h）（2）（B）項規(guī)定，法官可能（may）修改或者撤銷。簡言之，即使?jié)M足上述條件，法官也有拒絕的可能。因此，從條文的內(nèi)容可以看出，雖然規(guī)定禮讓分析為美國行使數(shù)據(jù)控制者模式帶來了一定的便利，有利于緩解其與他國在主權(quán)以及管轄權(quán)等方面的沖突，但實際上有諸多限制條件。美國基于CLOUD 法案所確立的數(shù)據(jù)控制者模式與他國所產(chǎn)生的數(shù)據(jù)管轄權(quán)的沖突發(fā)生在國家與國家層面，但禮讓分析針對的是企業(yè)對披露數(shù)據(jù)的抗辯，調(diào)整國家與企業(yè)（個人）的關(guān)系。[8]質(zhì)言之，即使美國法官在分析完企業(yè)的申訴以及考慮相關(guān)情況后決定采納企業(yè)不披露數(shù)據(jù)的請求，但這也并不意味著美國放棄對數(shù)據(jù)的管轄。因為在國家與國家層面，美國仍然可以根據(jù)數(shù)據(jù)控制者模式向數(shù)據(jù)存儲地所在國的法院主張管轄權(quán)。由是觀之，美國法院依舊可以向外擴張其數(shù)據(jù)管轄權(quán)，禮讓分析并沒有消弭國家之間的管轄權(quán)沖突。

（三）制定的雙重標準

根據(jù)上文可以看出，CLOUD 法案實質(zhì)上構(gòu)建了雙重標準。美國對外獲取數(shù)據(jù)的標準與外國獲取位于美國境內(nèi)數(shù)據(jù)的標準完全不同，同時國家之間的地位也并不一樣。CLOUD 法案從實體方面和程序方面都介紹了適格外國政府獲取美國境內(nèi)數(shù)據(jù)的種種條件，但對于美國執(zhí)法機構(gòu)獲取外國境內(nèi)數(shù)據(jù)的條件卻規(guī)定得十分精簡。另外，對于適格的外國政府，CLOUD 法案允許法官通過禮讓分析放寬獲取數(shù)據(jù)的限制，但目前我國并不符合CLOUD 法案定義下的適格外國政府標準，當然也就無法享受禮讓待遇。在數(shù)據(jù)采取的模式上，CLOUD 法案也采取了雙重標準：對位于本國境外的數(shù)據(jù)采用數(shù)據(jù)控制者模式，對位于本國境內(nèi)的數(shù)據(jù)仍然采取數(shù)據(jù)本地化模式。這也就意味著美國可以隨意獲取位于本國境外的數(shù)據(jù)而無需經(jīng)過他國的同意，但外國欲獲取美國境內(nèi)的數(shù)據(jù)，還需要得到美國政府的同意?？梢哉f，CLOUD 法案其實并不對等，表面上以互惠為幌子顧及國家之間的數(shù)據(jù)流動，而實質(zhì)上是將其數(shù)據(jù)主權(quán)擴張到其他領(lǐng)域，并沒有落實法案所稱的互惠理念。[9]

（四）內(nèi)容之沖突

造成沖突的原因除了CLOUD法案規(guī)定的適格外國政府以及禮讓分析不對等之外，更為明顯的是CLOUD 法案條文本身的內(nèi)容與國際公約和其他國家法律存在矛盾。CLOUD 法案的規(guī)定與在打擊網(wǎng)絡(luò)犯罪方面具有較大影響力的《布達佩斯網(wǎng)絡(luò)犯罪公約》相比稍顯齟齬。[10]《布達佩斯網(wǎng)絡(luò)犯罪公約》第29 條明確指出，若一國調(diào)取存儲于非本國境內(nèi)的數(shù)據(jù)，其須向存儲地國請求司法協(xié)助后方能獲取。由此可知，公約秉持存儲地標準而反對CLOUD 法案數(shù)據(jù)控制者的立場。此外，網(wǎng)絡(luò)空間國際習慣法規(guī)則的權(quán)威編纂——《網(wǎng)絡(luò)行動國際法塔林手冊2.0 版》第11 條規(guī)定，一國實施域外管轄的前提只能是國際法的特定授權(quán)以及屬地管轄國的同意。除了國際公約之外，CLOUD 法案還與《歐盟通用數(shù)據(jù)保護條例》存在沖突?！稓W盟通用數(shù)據(jù)保護條例》第48 條規(guī)定，只有在以任何方式得到承認或強制執(zhí)行時，才能基于請求國與歐盟或成員國之間生效的國際協(xié)定（如司法協(xié)助條約）進行數(shù)據(jù)的跨境轉(zhuǎn)移。在該規(guī)定下，美國若想獲得歐盟的數(shù)據(jù)，只能通過雙邊協(xié)助的方式而不能依據(jù)CLOUD 法案的規(guī)定直接調(diào)取。就我國而言，我國有關(guān)法律與CLOUD 法案也存在諸多沖突。如《網(wǎng)絡(luò)安全法》第37 條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當在境內(nèi)存儲，采用數(shù)據(jù)本地化模式，這與CLOUD 法案中的數(shù)據(jù)控制者模式相沖突。又如，根據(jù)我國《國際刑事司法協(xié)助法》第二章第二節(jié)的規(guī)定，我國數(shù)據(jù)出境采用的是分段式審查模式。[11]此外，根據(jù)該法第4 條的規(guī)定，外國并不能直接通過刑事司法協(xié)助的方式獲得電子數(shù)據(jù)，而必須得經(jīng)過我國主管機關(guān)同意。

（五）沖突發(fā)生的其他原因

跨境數(shù)據(jù)的特點也決定司法管轄權(quán)與數(shù)據(jù)主權(quán)沖突的必然存在。數(shù)據(jù)流動是在虛擬的網(wǎng)絡(luò)中進行的，而網(wǎng)絡(luò)空間并不限制在領(lǐng)土的范圍內(nèi)，也就不存在物理邊界。數(shù)據(jù)可以自由流動，可能跨越多個國家。例如，數(shù)據(jù)由甲國產(chǎn)生，經(jīng)跨國公司流入乙國的數(shù)據(jù)存儲服務(wù)器，可能被丙國等多國使用。當甲乙丙三國同時對該數(shù)據(jù)主張權(quán)利時，就必然造成數(shù)據(jù)主權(quán)沖突，進而造成管轄權(quán)沖突。此外，數(shù)據(jù)存儲方式的分散化以及存儲介質(zhì)的虛擬化特點也是造成沖突的原因之一。數(shù)據(jù)不再局限于一國境內(nèi)或者特定的一臺機器中，而有可能分塊或者分區(qū)存儲于數(shù)個國家或者數(shù)臺機器上。[12]隨著科技的發(fā)展，數(shù)據(jù)的儲存方式也從實體服務(wù)器轉(zhuǎn)移到云端，給管轄問題造成巨大挑戰(zhàn)，因為此類數(shù)據(jù)涉及多國數(shù)據(jù)中心，當相關(guān)國家紛紛主張數(shù)據(jù)主權(quán)時，各國又將競相管轄。

三、我國應(yīng)對CLOUD 法案的策略

（一）國際禮讓原則的運用

國際禮讓即一個國家對另外一個國家政府利益的尊重。它是本土的聯(lián)邦普通法，以最高法院的判例法為基礎(chǔ)，以習慣國際法為依據(jù)。[13]荷蘭法學家胡伯在其所主張的三原則中首次提出禮讓的概念，并經(jīng)過美國法學家斯托雷的繼承和發(fā)展，對后期沖突法產(chǎn)生了重大的影響。[14]美國法院將“真實沖突”作為適用國際禮讓原則的核心考量因素始于“哈特福德案”，亦即只有在國內(nèi)法和外國法之間存在真實沖突才可以適用國際禮讓原則。

由于我國在數(shù)據(jù)方面所采取的仍是傳統(tǒng)的數(shù)據(jù)本地化模式，與數(shù)據(jù)控制者模式難免會產(chǎn)生沖突，在傳統(tǒng)數(shù)據(jù)存儲地模式下，對于境外的數(shù)據(jù)獲取必須通過雙邊司法協(xié)助途徑才能進行，但這種做法耗時長且容易使數(shù)據(jù)證據(jù)失去有效性。因此，我國可以嘗試運用國際禮讓原則，將其運用在涉外取證方面，并與多種數(shù)據(jù)管轄權(quán)模式相結(jié)合。這不僅可以彌補數(shù)據(jù)存儲地標準的不足，緩解我國固守數(shù)據(jù)本地化模式的僵化，為獲取境外數(shù)據(jù)提供合法合理的管轄權(quán)基礎(chǔ)，同時也符合國際禮讓原則所強調(diào)的主權(quán)平等原則；另一方面能有效限縮美國法律的域外適用，以合理確定案件的管轄范圍以避免管轄沖突。

總而言之，國際禮讓是習慣國際法規(guī)則所提倡并付諸實踐的，依舊體現(xiàn)習慣國際法中的主權(quán)平等原則。在具體習慣國際法規(guī)則還沒有成型的情形下，國際禮讓是對習慣國際法的補充，各個國家仍舊基于主權(quán)平等原則以及互惠原則以相互禮讓的方式保證國際交往。國際禮讓原則的規(guī)則因各國之間的反復實踐而轉(zhuǎn)化成為國際法，因此，真正的國際禮讓是與國際法息息相關(guān)的，受制于主權(quán)平等原則。[15]

（二）數(shù)據(jù)本地化存儲方式的取舍

我國《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》對于數(shù)據(jù)的存儲模式采用的都是傳統(tǒng)的數(shù)據(jù)本地化模式。從國內(nèi)的角度來看，該做法的確有助于解決跨境電子數(shù)據(jù)獲取的問題，便于限制他國任意調(diào)取位于本國的數(shù)據(jù)。此外，為了保障國家數(shù)據(jù)主權(quán)安全這一重要目標的實現(xiàn)，大多數(shù)國家都通過法律強制性規(guī)定，要求服務(wù)提供者將其在自己境內(nèi)收集到的數(shù)據(jù)進行本地化儲存，[16]但是學者Vivek Krishnamurthy 認為，數(shù)據(jù)本地化的努力有可能會使云計算服務(wù)——以及更廣泛的全球互聯(lián)網(wǎng)——沿著國家的路線分裂，對思想和信息的自由交流、互聯(lián)網(wǎng)的有效運行以及人權(quán)也有嚴重的影響——特別是在進行數(shù)據(jù)本地化的政府并不完全尊重權(quán)利時。[17]通過《數(shù)據(jù)安全法》是為了更好地發(fā)揮數(shù)據(jù)的作用，而并不是讓數(shù)據(jù)處于一種閉塞的狀態(tài)以追求絕對的安全。因此，我們應(yīng)該改變傳統(tǒng)思維，適度放開對數(shù)據(jù)主權(quán)的限制。數(shù)據(jù)本地化模式保護國家數(shù)據(jù)主權(quán)是毋庸置疑的，但也帶來了許多弊端。

第一，數(shù)據(jù)本地化的存儲模式可能有損公民的數(shù)據(jù)隱私。所有的數(shù)據(jù)都匯集在同一個服務(wù)器中，為黑客入侵數(shù)據(jù)提供了便利。也就是說，數(shù)據(jù)本地化不僅會使政府更容易得到用戶的數(shù)據(jù)，也便于個人使用其他非法手段獲得用戶數(shù)據(jù)。學者Tatevik Sargsyan 認為，憑借數(shù)據(jù)本地化模式的采用，政府通過法律手段“操縱和控制”公民通信的能力將會變得更強。他還認為，數(shù)據(jù)的集中管理也會增加人權(quán)的風險。[18]第二，數(shù)據(jù)本地化存儲模式與跨境電子取證的需求相違背。首先，數(shù)據(jù)本地化儲存旨在牢牢抓住數(shù)據(jù)的控制權(quán)。當外國政府進行跨境電子取證時，數(shù)據(jù)的存儲國就得對申請國的請求、數(shù)據(jù)的性質(zhì)以及是否符合本國利益進行考量，這種模式下的程序在某種程度上可以看作是與雙邊司法協(xié)助相配套的，嚴重降低了取證的效率。其次，在數(shù)據(jù)存儲模式下，存儲國很可能為保護本國數(shù)據(jù)主權(quán)而以數(shù)據(jù)獲取會損害其主權(quán)、安全、公共秩序為由予以拒絕，[19]而公共秩序又是極其模糊的一個概念，能否成功獲取數(shù)據(jù)證據(jù)難以預見。最后，數(shù)據(jù)本地化模式要求的范圍是有限的，一國不能預知也無法掌握在刑事辦案中所需要的所有電子數(shù)據(jù)，跨境數(shù)據(jù)取證的問題仍然存在。[20]在構(gòu)建人類命運共同體的倡議下，過分強調(diào)數(shù)據(jù)本地化的存儲模式并擴大存儲對象的范圍會導致電子數(shù)據(jù)形成一種封閉狀態(tài)，與高效打擊犯罪的目標南轅北轍。數(shù)據(jù)局限于本地化而形成“數(shù)據(jù)孤島”，就無法在全球范圍內(nèi)建構(gòu)國際化的跨境電子數(shù)據(jù)取證新舉措，犯罪分子將利用該漏洞逃避法律。

為了克服在跨國犯罪中獲取數(shù)據(jù)證據(jù)的困難，減少與他國之間的法律沖突，我國應(yīng)該在堅持對等原則和互惠原則的前提下適度縮小對數(shù)據(jù)主權(quán)的限制范圍，有限度地放開數(shù)據(jù)管控，不論是單方面徑直獲取還是經(jīng)過我國主管機關(guān)的同意。[21]當然，并不是所有的數(shù)據(jù)都是不經(jīng)我國同意就可獲取的。我國可以像CLOUD 法案一樣單方面設(shè)置一定的數(shù)據(jù)獲取條件，如依據(jù)《數(shù)據(jù)安全法》第21 條，對數(shù)據(jù)實行分類分級保護，允許外國政府可以單方面獲取我國非內(nèi)容的數(shù)據(jù)信息并予以公用，而對于涉及秘密級別的數(shù)據(jù)則不允許直接獲取。我國同樣可以根據(jù)《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》，對于原始存儲介質(zhì)位于境外或者遠程計算機信息系統(tǒng)上的電子數(shù)據(jù)，通過網(wǎng)絡(luò)在線提取。

在獲取案件的事實層面，電子數(shù)據(jù)是獲取犯罪案件事實一種必不可少的證據(jù)形式。[22]我國作為數(shù)據(jù)大國，在信息領(lǐng)域占有一席之地，一味堅守數(shù)據(jù)本地化政策不利于數(shù)據(jù)的流通和數(shù)據(jù)經(jīng)濟的發(fā)展。[23]尤其是在全球化發(fā)展的大背景下，單單主張數(shù)據(jù)本地化儲存已不能滿足時代的需求。誠然，數(shù)據(jù)本地化給國家的數(shù)據(jù)主權(quán)安全提供了保障。在充分保護國家主權(quán)安全的前提下，我國可以采取更加開放的態(tài)度，在嚴守數(shù)據(jù)本地化模式與適度放開之間尋求動態(tài)平衡，在保護本國數(shù)據(jù)主權(quán)安全的同時又能獲取他國數(shù)據(jù)。

（三）完善我國相關(guān)法律的規(guī)定

CLOUD法案中不經(jīng)外國的同意便能直接獲取位于外國境內(nèi)數(shù)據(jù)的規(guī)定與我國《國際刑事司法協(xié)助法》第4 條第3 款相矛盾。我國強調(diào)外國政府若要獲取位于我國境內(nèi)的數(shù)據(jù)，需要得到我國主管機關(guān)的同意，否則我國境內(nèi)的機構(gòu)、組織和個人不能對外國政府提供任何證據(jù)。此規(guī)定禁止服務(wù)商擅自向外國機關(guān)提供我國的數(shù)據(jù)證據(jù)，可以看作我國對CLOUD 法案的阻卻立法。但正如上文所述，由于我國并沒有對當事人違反《國際刑事司法協(xié)助法》后所應(yīng)承擔的責任作出規(guī)定，在權(quán)衡利弊之后，服務(wù)提供商為了避免在美國法院可能構(gòu)成藐視法庭罪而選擇違背我國法律規(guī)定。如此一來，在刑事偵查需要跨境獲取數(shù)據(jù)證據(jù)時，即使被美國執(zhí)法機構(gòu)要求提供位于中國境內(nèi)數(shù)據(jù)的服務(wù)商在規(guī)定的時間內(nèi)提出了抗辯，美國法院也極有可能認為我國《國際刑事司法協(xié)助法》與CLOUD法案所規(guī)定的數(shù)據(jù)提供并不存在真實沖突，進而也就無法滿足禮讓原則的外國法強制條件，服務(wù)提供商由此將面臨抗辯失敗的境地。因此，我國應(yīng)盡快完善《國際刑事司法協(xié)助法》第4 條第3 款的規(guī)定，增加違反該款規(guī)定的后果，具體明確有關(guān)主體所應(yīng)承擔的刑事責任。筆者認為，該款可以借鑒《數(shù)據(jù)安全法》第48 條第2 款的規(guī)定，制造與美國CLOUD 法案的真實沖突，在美國執(zhí)法機構(gòu)向中國服務(wù)提供商索取數(shù)據(jù)時，就可以滿足外國法強制這一條件以提出抗辯。

統(tǒng)籌推進國內(nèi)法治和涉外法治，要加快涉外法治工作布局，而涉外法治工作的布局要抓緊建立阻斷立法，加快我國法的域外適用法律體系建設(shè)。[24]我國商務(wù)部公布的《阻斷外國法律與措施不當域外適用辦法》為拒絕承認、執(zhí)行和遵守相關(guān)外國法律提供了法律依據(jù)。我國《國家安全法》和《網(wǎng)絡(luò)安全法》雖然規(guī)定了數(shù)據(jù)主權(quán)和網(wǎng)絡(luò)主權(quán)的問題，規(guī)制數(shù)據(jù)在中國的管理，在一定程度上維護了我國的主權(quán)安全，但并未明確法律的域外管轄適用問題。阻斷立法只能緩解矛盾，我國法律要在域外適用，應(yīng)考慮加入域外管轄適用的內(nèi)容。除此之外，我國《網(wǎng)絡(luò)安全法》第37 條雖然規(guī)定在中國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當在中國境內(nèi)儲存，但是并沒有規(guī)定外國政府通過數(shù)據(jù)控制者模式獲取儲存在我國境內(nèi)數(shù)據(jù)的情況，這就導致我國無法通過CLOUD法案獲取儲存在美國境內(nèi)的數(shù)據(jù)，而本國境內(nèi)數(shù)據(jù)則向美國政府敞開。因此，有必要對《網(wǎng)絡(luò)安全法》予以完善。我國已通過的《數(shù)據(jù)安全法》規(guī)定了域外的管轄效力和監(jiān)督效力，這是對數(shù)據(jù)主權(quán)觀念的體現(xiàn)，也是對美國數(shù)據(jù)控制者模式的回應(yīng)。完善后的《國家安全法》和《網(wǎng)絡(luò)安全法》將和《數(shù)據(jù)安全法》一同對數(shù)據(jù)主權(quán)安全問題進行規(guī)范，在數(shù)據(jù)保護方面形成一套更加全面的法律規(guī)范體系。

結(jié)語

習總書記強調(diào)單邊主義沒有出路，要堅持共商共建共享，由各國共同維護普遍安全，共同分享發(fā)展成果。美國CLOUD 法案所確立的跨境數(shù)據(jù)獲取的內(nèi)容仍舊體現(xiàn)其美國利益優(yōu)先的立場，其通過確定數(shù)據(jù)控制者模式的途徑以徑直獲取位于外國境內(nèi)的數(shù)據(jù)，由此帶來管轄權(quán)沖突、數(shù)據(jù)主權(quán)和網(wǎng)絡(luò)主權(quán)沖突以及CLOUD 法案條文內(nèi)容本身和國際公約與其他國家的國內(nèi)法之間的沖突。構(gòu)建制度型開放的數(shù)據(jù)治理規(guī)則是我國的立場。沒有數(shù)據(jù)安全就沒有國家安全。面對CLOUD 法案帶來的一系列問題，筆者建議采取三個解決路徑：第一，CLOUD法案所規(guī)定的禮讓分析并沒有體現(xiàn)平等原則，其設(shè)置了諸多限制，而國際禮讓原則是以國家主權(quán)平等為原則的。因此，可以合理運用國際禮讓原則解決CLOUD 法案頒布后所引發(fā)的管轄沖突。第二，為了使非內(nèi)容數(shù)據(jù)能夠在國與國之間進行良性高效地流動，我國在數(shù)據(jù)存儲模式上可適度放開數(shù)據(jù)本地化模式，依據(jù)《數(shù)據(jù)安全法》對數(shù)據(jù)加以分類，在嚴守數(shù)據(jù)本地化模式與適度放開之間尋求一個動態(tài)平衡。第三，由于CLOUD 法案的法律條文內(nèi)容與我國的現(xiàn)行法有許多沖突，有必要完善我國相關(guān)法律，在《國際刑事司法協(xié)助法》中增加違反該規(guī)定的法律后果，改變《國家安全法》《網(wǎng)絡(luò)安全法》中嚴守數(shù)據(jù)本地化的模式。加強我國的阻斷立法，保護我國的主權(quán)安全和利益，協(xié)作治理網(wǎng)絡(luò)空間，加強國際數(shù)據(jù)管轄的平等合作，有效應(yīng)對CLOUD 法案對跨境數(shù)據(jù)獲取帶來的挑戰(zhàn)。