Loading
2018-07-20 11:25:00
其一、歐盟議會于2016年4月14日通過的《通用數(shù)據(jù)保護條例(General Data Protection Regulations)》(下稱GDPR)于2018年5月25日在歐盟成員國內(nèi)正式生效實施。
其二、美國總統(tǒng)特朗普于2018年3月23日簽署《澄清境外數(shù)據(jù)合法使用法案》(下稱CLOUD法案)。
GDPR生效實施以后,歐盟對個人信息保護及其監(jiān)管達到了前所未有的高度,為此,該條例被稱史上最嚴格的數(shù)據(jù)保護法案。
美國CLOUD法案則涉及到一個核心的問題,即國家主權(quán)的邊界確定,這要從一則案例說起:
2013年12月,美國紐約南區(qū)聯(lián)邦地區(qū)法院簽發(fā)搜查令,要求微軟公司協(xié)助一起毒品案件的調(diào)查,將一名其用戶的電子郵件內(nèi)容和其他賬戶信息提交給美國聯(lián)邦調(diào)查局(FBI)。微軟按照搜查令的要求,將存在美國國內(nèi)的,關(guān)于該名用戶電子郵箱的登錄時間、地點等數(shù)據(jù)提供給FBI。但是,由于該用戶電子郵件內(nèi)容數(shù)據(jù)存儲于微軟位于愛爾蘭的數(shù)據(jù)中心。微軟認為,如需調(diào)取位于愛爾蘭服務(wù)器中的用戶數(shù)據(jù),需要得到愛爾蘭政府的批準,微軟據(jù)此拒絕向FBI提供,并隨即提出廢除搜查令的動議。
2014年4月25日,美國紐約南區(qū)聯(lián)邦地區(qū)法院助理法官作出駁回微軟廢除搜查令動議的決定,繼續(xù)尋求美執(zhí)法部門的支持。微軟隨即提請上訴。2014年7月31日,美國紐約南區(qū)聯(lián)邦地區(qū)法院首席法官作出裁定,支持助理法官決定,為此,微軟繼續(xù)上訴。2016年7月14日,美國聯(lián)邦第二巡回上訴法院對這個爭議做出了解答。上訴法院的三位法官一致認為,F(xiàn)BI的搜查令不具域外效力(extraterritorial effects),超出1986年美國《存儲通訊法案》規(guī)定的國內(nèi)搜查令范圍。2017年10月,美國最高法院同意重新審核該案。2018年2月28日,微軟和美國司法部在美國最高法院,就海外隱私權(quán)問題開展辯論。在CLOUD法案出臺之后,司法部與微軟先前的爭議已失去意義,美國司法部要求最高法院撤銷這一訴訟,同時也根據(jù)新的法案取得了新的搜查令,要求微軟提供愛爾蘭服務(wù)器上的用戶數(shù)據(jù)。對此,微軟尚未回應(yīng)。
上述案件,表面上是美國政府調(diào)查取證的范圍問題,其實質(zhì)涉及到國家主權(quán)行使的邊界問題,不僅限于公權(quán)與私權(quán)的邊界問題,更為重要的是涉及國家或地區(qū)之間權(quán)力行使的邊界問題,在這一過程中,國家權(quán)力(主權(quán))最為重要的體現(xiàn)是管轄權(quán),CLOUD法案就是這一背景下誕生。
事實上,進入互聯(lián)網(wǎng)時代之后,隨著數(shù)據(jù)信息跨國跨地域迅猛流動,這豐富了傳統(tǒng)意義上國家主權(quán)的內(nèi)涵,出現(xiàn)網(wǎng)絡(luò)主權(quán)這一概念。網(wǎng)絡(luò)主權(quán)是一國國家主權(quán)在網(wǎng)絡(luò)空間的自然延伸和表現(xiàn),對內(nèi)指國家獨立自主地發(fā)展、監(jiān)督和管理本國互聯(lián)網(wǎng)事務(wù),對外指防止本國互聯(lián)網(wǎng)受到外部入侵和攻擊。網(wǎng)絡(luò)主權(quán)包括管轄權(quán)、獨立權(quán)、防衛(wèi)權(quán)和平等權(quán)。2015年12月16日,中國國家主席習(xí)近平在第二屆世界互聯(lián)網(wǎng)大會開幕式主旨演講中提出,推進全球互聯(lián)網(wǎng)治理體系變革要堅持尊重網(wǎng)絡(luò)主權(quán),尊重各國自主選擇網(wǎng)絡(luò)發(fā)展道路、網(wǎng)絡(luò)管理模式、互聯(lián)網(wǎng)公共政策和平等參與國際網(wǎng)絡(luò)空間治理的權(quán)利,不搞網(wǎng)絡(luò)霸權(quán),不干涉他國內(nèi)政,不從事、縱容或支持危害他國國家安全的網(wǎng)絡(luò)活動。
歐盟為保護成員國個人的隱私權(quán),通過GDPR對其適用范圍明確,將管轄權(quán)延伸到歐盟以外企業(yè)及組織機構(gòu),具體為:任何收集、傳輸、保留或處理涉及到歐盟所有成員國內(nèi)的個人信息的機構(gòu)組織均受GDPR的約束,即使一個主體不屬于歐盟成員國的公司(包括免費服務(wù)),只要滿足下列兩個條件之一,就受到GDPR的管轄:(1)為了向歐盟境內(nèi)可識別的自然人提供商品和服務(wù)而收集、處理他們的信息。(2)為了監(jiān)控歐盟境內(nèi)可識別的自然人的活動而收集、處理他們的信息。
同時, CLOUD法案以保護美國國家安全為由,也將管轄權(quán)延伸到國境之外,具體如下:(1)對于危害美國國家安全的犯罪、嚴重的刑事犯罪等重大案件,可以根據(jù)CLOUD法案調(diào)取相關(guān)證據(jù),危害美國國家安全的犯罪、嚴重的刑事犯罪通常包括:恐怖主義犯罪、重大暴力犯罪、剝削兒童的犯罪、跨國組織犯罪以及金融欺詐犯罪;(2)無論服務(wù)提供者(美國境內(nèi))的通信、記錄或其他信息是否存儲在美國境內(nèi),只要相關(guān)通信內(nèi)容、記錄或其他信息為該服務(wù)提供者擁有、控制或者監(jiān)管,均應(yīng)當(dāng)按照法令要求,保存、備份、披露。
當(dāng)然, CLOUD法案對服務(wù)提供者域外司法協(xié)助義務(wù)也做了例外規(guī)定,即當(dāng)同時滿足下列條件時,服務(wù)提供者可以向法院申請撤銷或者修正的動議:第一,美國政府調(diào)查的的目標對象并非“美國人”(the United States Persons),并且不在美國境內(nèi)居住;第二,服務(wù)提供者如果履行CLOUD法案中披露內(nèi)容的義務(wù)將給其帶來違反“合格外國政府”(qualifying foreign governments)立法的實質(zhì)性風(fēng)險;第三,當(dāng)接到服務(wù)提供者提出的動議后,法院應(yīng)當(dāng)給予政府答辯的機會。如果法院確認存在下列情形,可以修改或撤銷:(1)所要求的披露將導(dǎo)致供應(yīng)商違反合格的外國政府的法律;(2)根據(jù)案件的整體情節(jié),依據(jù)公平正義理念原則,該法律流程應(yīng)該修改或撤銷;(3)對象不是“美國人”,并且不居住在美國。
針對外國政府向美國企業(yè)請求獲取數(shù)據(jù)的司法協(xié)助,CLOUD法案規(guī)定了諸多限制條款,主要包括:1. 外國政府不得有意地針對“美國人”或位于美國境內(nèi)的個人,且必須采取滿足該要求的目標鎖定程序;2. 如果外國政府的目的是獲取有關(guān)美國人或位于美國的人的信息,則不得以美國以外的非美國人為目標;3. 外國政府不得向美國政府或第三方政府提出要求或獲得信息的政令,外國政府也不得要求與美國分享任何信息的政府或第三方政府。此外,CLOUD法案還對外國政府發(fā)出的政令內(nèi)容提出了十幾項具體要求,基于篇幅所限,不在此贅述。
面對歐盟GDPR和美國CLOUD法案,本人就中國企業(yè)及公民面臨的相關(guān)法律風(fēng)險及對策分析如下:
一、無論中國企業(yè)還是公民個人,要轉(zhuǎn)變觀念,重新認識國家領(lǐng)域范圍:既包括傳統(tǒng)領(lǐng)土、領(lǐng)空、領(lǐng)海以及船舶、航空器等物理空間,也應(yīng)當(dāng)包括“網(wǎng)絡(luò)空間”。同時,中國企業(yè)及公民應(yīng)增強“網(wǎng)絡(luò)空間”的法律風(fēng)險防控意識。鑒于歐盟GDPR的實施,其管轄范圍的廣泛,尤其是在越來越多中國企業(yè)走出國門的大背景下,必將對中國企業(yè)在歐盟市場的投資和經(jīng)營產(chǎn)生顯著影響,并成為中國企業(yè)必須面臨的重大法律監(jiān)管障礙。違反GDPR產(chǎn)生的最嚴重侵權(quán)后果,將遭致行政罰款2000萬歐元以下或該企業(yè)上一財年全球年度營業(yè)總額的4%(二者取其高)。鑒于此,中國企業(yè)要強化對個人信息保護,與歐盟市場相關(guān)的企業(yè),要依據(jù)GDPR做好法律風(fēng)險管理。
二、針對歐盟GDPR和美國CLOUD法案最新發(fā)展,我國應(yīng)盡快出臺《中華人民共和國網(wǎng)絡(luò)安全法》實施細則,完善相關(guān)制度,強化網(wǎng)絡(luò)主權(quán),保障網(wǎng)絡(luò)安全,引導(dǎo)企業(yè)自覺尊重個人信息權(quán)和隱私權(quán)。
三、我國應(yīng)盡快出臺《中華人民共和國國際刑事司法協(xié)助法》,并就境外政府提出司法協(xié)助調(diào)取境內(nèi)存儲的數(shù)據(jù)做出詳盡規(guī)定。《中華人民共和國網(wǎng)絡(luò)安全法》第三十七條規(guī)定:“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。”依據(jù)該規(guī)定,蘋果公司將其icloud業(yè)務(wù)遷至貴州的數(shù)據(jù)中心(云上貴州)。然而,基于蘋果公司總部位于美國加利福尼亞州庫比蒂諾市,依據(jù)美國CLOUD法案,美國政府有權(quán)要求蘋果公司提供其存儲在云上貴州的相關(guān)數(shù)據(jù),面對美國政府的這一請求,中國政府如何應(yīng)對?涉及的相關(guān)企業(yè)和個人如何應(yīng)對?這一切都需要在相關(guān)立法中做出制度安排。同時,也需要通過法律專業(yè)人士在制度框架內(nèi)代理企業(yè)和個人進行博弈。
總而言之,國家權(quán)力的邊界,無論是公權(quán)與私權(quán)邊界,還是國家主權(quán)行使邊界,通過法律人運用法律技術(shù)得以劃定,這就是法治的理想狀態(tài)。