沙 龙 数据保护官沙龙（DPO Salon）公益出品 官 美国司法部白皮书 保 护 《云法案的目的和影响》 中译文 数 据 翻校：洪延青等 2019年4月 署名-非商业性使用-禁止演绎 2.5 中国大陆 译者序言 近期，美国司法部启动了关于“云法案”（The CLOUD Act, the Clarifying Lawful Overseas Use of Data Act）的全球宣传行动。宣传行动的关键举措之一 就是对外发布了一份关于“云法案”的白皮书——《推动全球公共安全、隐私和 法治：“云法案”的目的和影响》。 龙 在白皮书中，美司法部推崇“云法案”为执法跨境调取数据的新范式，认为 其符合当代商业模式和技术发展的现实，同时在保障公民权利和执法需要之间 取得了良好的平衡。 沙 美国司法部的愿望是希望更多的国家能够接受“云法案”提出的跨境调取数 据的模式，并加入这个由美国主导的数据跨境流动秩序。在这个秩序中，美国 的国家利益和绝对的主动权得到了法律上的固定。感兴趣的读者可阅读下面这 篇短文，了解更多这方面的分析。 官 在这份白皮书中，非常值得关注的一点是美国司法部对“云法案”管辖范围 作出了官方的解释，对此摘录如下： 据 保 护 美国对外国公司管辖权的法律限制是基于美国宪法中的约束， 并且是美国法院多年来制定的。当公司位于美国时，属人管辖权是 最容易确立的。位于美国境外但在美国提供服务的外国公司是否与 美国有足够的联系且受美国管辖，是基于对个案中该公司与美国的 联系的性质、数量和质量的考查。公司越是有目的地将其行为引导 到美国，法院就越有可能认定该公司受美国管辖。例如，美国法院 将这一分析应用于涉及网站的民事案件，重点关注网站与其辖区内 的客户的互动程度，同时考虑到网站的功能和机制、对客户的任何 特定促销、通过网站招揽业务以及客户的实际使用情况等因素。 数 从上述文字可以清晰看出，“云法案”绝不仅仅适用于在美国注册成立的公 司。境外的公司只要在经营活动中与美国有足够的联系（contacts），就足以触 发美国法律的管辖权。换句话说，在中国注册成立的（中国或美国）公司，在 不同情形下都可能触发“云法案”的管辖。 在白皮书中，美国司法部还提供了很多有意思的信息。总之这份白皮书很 值得研究。译者还在此附上此前对于“云法案”的分析。这个分析是站在中国的 角度，与美国司法部站在自身角度看待“云法案”形成了鲜明的对比。 洪延青 美国快速通过Cloud法案 清晰明确数据主权战略 作者：洪延青 龙 2018年2月6日，美国4位参议员提交一部立法草案“云法案”（the Clarifying Lawful Overseas Use of Data Act，CLOUD Act）。3月21日，“云法案”被塞入等 待批准的《2018年综合拨款提案》。随着3月23日美国总统川普在《2018年综 合拨款提案》上签名，“云法案”在短短时间内走完从草案到正式法律的历程， 即刻生效。然而，在该法案经历的1个半月时间，美国国会没有对该法案进行 任何辩论。这次美国人如此迫切地通过该法案，值得关注。 沙 一、“云法案”的缘起 官 美国推出“云法案”，是为了修改1986年生效的《存储通信法案》（Stored Communication Act，SCA）。 保 护 首先，《存储通信法案》没能明确美国政府的搜查令是否能要求通信服务 商提交存储在境外的数据。在关键问题上的模糊，导致了微软和美国政府之间 一路打到美国最高法院的法律争议。微软认为，数据存储在爱尔兰，只适用于 美国境内的搜查令不能覆盖到爱尔兰，即微软坚持“数据存储地标准”。政府一 方认为，执行搜查令无需美国执法人员跑到爱尔兰，微软有能力在美国境内进 行操作，在美国境内向政府披露数据。因此，搜查令没有适用于美国境外，微 软有义务配合美国政府获得该数据，即美国联邦调查局（FBI）坚持“数据控制 者标准”。 数 据 其次，《存储通信法案》规定，通信服务商不得向外国政府提供通信内容 数据。严格的禁令导致许多国家在调查本地人实施的本地犯罪时，仅仅因为犯 罪分子使用了美国通信服务提供商的产品，只能通过双边司法协助的途径请求 美国当局同意给出内容数据。 二、“云法案”的基本内容 该项立法有针对性地改革了《存储通信法案》，具体来说，就是对微软和 FBI之间的争议提出了解决方案，同时还对外国执法部门调取存储在美国的通 信内容数据提供通道。以下对该法案内容做出分析： 1．采用“数据控制者标准” “云法案”明确采用所谓的“数据控制者标准”。其规定“无论通信、记录或其 他信息是否存储在美国境内，服务提供者均应当按照本章（即《存储通信法 案》）所规定的义务要求保存、备份、披露通信内容、记录或其他信息，只要 上述通信内容、记录或其他信息为该服务提供者所拥有（possession）、监管 （custody）或控制（control）。”据此，根据该法案规定，在FBI发出搜查令 后，微软应向FBI提交其存储于爱尔兰的电子邮件内容。 沙 龙 当然，该法案给服务提供者“抗辩”的渠道。该法案规定，当服务提供者合 理地认为同时存在如下情况时，可提出“撤销或修正法律流程的动议”：一是目 标对象不是“美国人”（the United States Persons）且不在美国居住；二是披露内 容的法律义务将给服务提供者带来违反“符合资格的外国政府”（qualifying foreign governments）立法的实质性风险。其中，“美国人”是指美国公民或国 民、合法承认为永久居民的外国人、其中相当数量的成员是美国公民或拥有合 法承认的永久居留权的外国人的法人团体，或在美国注册成立的公司。 保 护 官 当接到服务提供者提出的“撤销或修正法律流程的动议”后，具有管辖权的 法院应给予政府部门回应的机会，并在确认同时存在以下情形后，方可撤销或 修正法律流程：一是披露义务将会导致服务提供者违反“符合资格的外国政府” 的立法；二是基于该个案的所有情况，为维护司法公正，该法律流程应被撤销 或修改；三是对象确不是“美国人”且不在美国居住。 数 据 法院在确认上述第二项情形时，需要进行礼让分析（comity analysis）。在 礼让分析中，法案规定了法官应考虑的七个要点：一是美国政府的利益，包括 寻求信息披露的具体政府组织在调查方面的利益；二是符合资格的外国政府在 避免其法律禁止的内容披露方面的利益；三是不一致的法律要求，对服务提供 者（或其雇员）带来处罚的可能、范围、性质；四是目标对象所处的地点和国 籍，以及目标对象与美国联系的性质和范围（如知晓的话）；五是服务提供者 与美国的联系及存在于美国的性质和程度；六是所要求披露的信息对调查的重 要程度；七是及时有效地获取所需要披露的信息的手段造成消极后果的可能 性。 2．外国政府机构调取存储于美国的数据 “云法案”允许“符合资格的外国政府”在与美国政府签订行政协定后，向美 国境内的组织直接发出调取数据的命令。 （1）“符合资格的外国政府”的认定 “云法案”要求美国总检察长（连同国务卿）向国会提交书面报告，认定外 国政府符合下述所有的条件，才能判定外国政府符合法案提出的资格。 官 沙 龙 判定的核心准绳是“外国政府的国内立法，包括对其国内法的执行，是否 提供了对隐私和公民权利足够的实质和程序上的保护”。“这样的认定是考虑了 可信的信息和专家的意见，且考虑了以下因素”：一是外国政府在网络犯罪和 电子证据方面，是否拥有足够的实质性和程序性法律，是否加入了《布达佩斯 网络犯罪公约》，或其国内法与该公约第1章和第2章相吻合；二是展现出对法 治和平等原则的尊重；三是遵守国际人权义务或展现出对国际基本人权的尊 重，包括保护隐私免于肆意和非法的干涉、公平的庭审权利、表达结社和平游 行的自由、避免肆意逮捕和监禁、避免酷刑和残酷的非人道或贬低人格的待遇 和惩罚；四是对允许通过行政协定获取数据的外国政府机关，有清晰的法律要 求和程序，包括这些机关收集、获取、使用和共享数据的程序，以及对上述数 据活动的有效监管；五是有足够的机制能对外国政府收集和使用电子数据课以 责任和提供适当的透明度；六是展现出对全球信息自由流动和维护互联网开 放、分布式、互联本质的决心和承诺。除此之外，该外国政府应采取了适当的 程序，最小化了对涉及“美国人”信息的获取、留存和散布。 保 护 （2）“符合资格的外国政府”直接送达命令的要求 数 据 对于外国政府发出的调取数据命令，行政协定要求：一是外国政府不得有 意地针对“美国人”或位于美国境内的个人，且必须采取满足该要求的目标锁定 程序（targeting procedures）。二是如果外国政府的目的是获取有关美国人或位 于美国的人的信息，则不得以美国以外的非美国人为目标。三是外国政府不得 在美国政府或其他第三国政府的要求下发出命令，或为与美国政府或其他第三 国政府共享数据而发出命令，也不得将获得的信息与美国政府或其他第三国政 府共享。四是外国政府发出的调取数据命令，应是与预防、侦破、调查、起诉 严重犯罪（包括恐怖主义）相关的；调取命令应限定于特定的个人、账号、住 址、个人设备等；外国政府要求服务提供者提供数据应具备国内法的明确授 权，且具备合理事由（如基于可信、可描述的事实，特别是调查所针对行为的 违法性、严重性）；调取命令应受本国法院、法官、治安法官，或其他独立机 构的审核和监督；当调取命令涉及拦截监听实时通信或延长监听时限时，则监 听应有固定的期限且不得超过完成命令所合理必需的时间，同时必须是使用其 他入侵性更少的方式无法合理地取得同样的数据。五是外国政府颁发的命令不 得用于限制言论自由。六是外国政府应及时审核根据行政协定所收集的材料， 并将还未审核的通信存放在安全的系统且仅有经过训练的人员可访问。七是外 国政府应严格做到最小化的要求。八是外国政府不得将关于“美国人”的通信内 容提供给美国政府，除非遵循特定程序且通信内容涉及能对美国或“美国人”带 来严重伤害的威胁。九是外国政府应提供数据访问的相互权利。十是外国政府 应同意美国政府定期开展的审核。十一是美国政府保留权利停止外国政府的某 项具体命令。 三、“云法案”效果分析 沙 龙 先看“取”。在“云法案”中，判断对数据的管辖权标准并非数据的存储地域 而是数据控制者，同时该法案仅在涉及非“美国人”且该对象非在美国境内时， 才给通信服务提供者提供一定程度上的避免法律冲突（conflicts of law）的机 制，并且是由美国法院来做礼让分析。在礼让分析的实践中，大概率的情况是 美国法官主要考虑自己手头的案件，而非外国法律的规定。 官 这样的设计形