从‘欧美隐私盾“协议失效看
张春飞㊀杨筱敏
(中国信息通信研究院政策与经济研究所,北京100191)
摘要:从‘欧美隐私盾“协议被欧盟法院判定无效的核心论据出发,对美国政府基于不同执法目的下的电子数据调取体系进行了探究㊂指出尽管美国政府在一般执法情形下的数据调取体系较为严谨和规范,但是基于国家安全目的的数据监视和调取体系具有一定的不透明性和不规范性,正是这一特点导致欧盟法院认为其无法满足欧盟对于个人数据的保护标准,从而给两者的数据跨境传输合作机制带来了负面影响㊂ 关键词:数据调取;国家安全;隐私盾
中图分类号:D971.2;D912.1;D913㊀㊀㊀㊀文献标识码:A
引用格式:张春飞,杨筱敏.从‘欧美隐私盾“协议失效看美国政府电子数据调取体系[J].信息通信技术与政策,2021,47(1):38-42.
doi:10.12267/j.issn.2096-5931.2021.01.008
0㊀引言
2020年7月16日,欧盟法院在 Schrems II 案件中判定欧盟与美国在2016年达成的用于跨大西洋传输个人数据的‘欧美隐私盾“协议无效,因为美国的数据保护未能达到欧盟标准㊂该判决援引的核心论据是美国政府根据‘外国情报监视法“第702条(下文简称 702条款 )和‘12333号美国情报活动行政令“(下文简称 12333号令 )所开展的情报监视活动对数据主体权利造成潜在干扰,法院还提及斯诺登事件所披露的两个数据监视程序 棱镜计划 (PRISM)和 上游计划 (UPSTREAM)㊂为什么 702条款 和 12333号令 会对隐私盾协议的有效性产生这么大的影响?本文通过探究美国政府对电子数据的监视和调取制度以求到答案㊂
1㊀不同执法目的下美国政府的电子数据调取体系概述
轮胎帘布㊀㊀美国政府出于不同执法目的的电子数据监视和调取体系大体可分为两类:一般执法情形下的数据调取体系和以保障国家安全为目的的数据监视和调取体系,两种体系下美国的数据调取法律依据㊁程序㊁手段和可获取的数据范围有所不同㊂
钢锭模1.1㊀一般执法情形下的数据调取体系
一般执法情形下的数据调取体系以‘电子通信隐私法“(ECPA)为核心依据,该法共由三章组成,分别为‘窃听法“‘存储通信法“和‘笔式记录器法“[1]㊂
‘电子通信隐私法“在明确禁止非法监听㊁保护公民通信隐私为一般原则的同时,也规定了为满足美国政府机构刑事调查㊁民事案件㊁国家安全等各类执法目的的例外情形,包括如何使用各类型的司法程序来向信息通信企业监听和调取通信内容㊁用户信息和通信记录等数据㊂‘电子通信隐私法“制定于1986年,由于立法之时云计算等信息通信技术尚未兴起,因此没有考虑数据跨境流动的情形㊂2018年,为了解决大数据时代背景下政府执法机构跨境调取数据的实际困难,美国政府出台‘澄清数据的合法使用法“(下文简称为
CLOUD法 )对‘存储通信法“进行了重大修订,明确赋予美国执法机构出于保护公共安全㊁调查严重犯罪的目的调取数据的权力㊂
1.2㊀以保障国家安全为目的的数据监视和调取体系
基于国家安全的数据监视和调取体系主要建立在‘外国情报监视法“和12333号令的基础上,‘爱国者法“‘美国自由法“等都曾对‘外国情报监视法“进行过修订㊂‘外国情报监视法“建立了一套满足于国家安全目的的情报数据执法体系,创设了专门的外国情报监视法庭(FISC)来批准情报部门的监视计划㊂目前,在执法中被广泛使用的是2008年通过的‘外国情报监视法“第702条,该条款授权美国情报部门可以出于获取外国情报信息目的,在美国境内监视位于的外国公民的通信数据和内容,同时还规定了目标程序和最小化程序来确保监视仅针对外国公民,以减少对美国公民数据的附带收集㊂美国政府称,702条款
人山对保障国家安全至关重要,能够提供的身份㊁计划㊁运行等信息,以及核扩散者和其他威胁美国的国外敌对势力的意图和能力的信息㊂例如,702条款收集的信息对于发现并破坏2009年一起针对纽约市地铁系统的袭击具有决定作用,并最终导致罪犯被逮捕和定罪㊂里根总统在1981年签署的12333号令,也是美国情报机构开展情报收集的主要授权文件之一㊂12333号令建立了美国情报收集的组织架构和授权,并且和702条款互为补充,美国国家安全局等情报机构根据该命令可在美国开展外国情报信息和数据收集㊂
2㊀一般执法情形下的数据调取体系
2.1㊀数据调取程序与范围具有较强的规范性
美国政府依据‘电子通信隐私法“开展数据调取活动必须获得相关的法律文件授权,并且基本遵守一案一议的做法,因此充分考虑了公民权利并具有较强的规范性㊂依据‘电子通信隐私法“,一般情况下政府需要通过法律文件(如传票㊁法院命令或搜查令),才可要求信息通信企业披露用户数据㊂在各类法律文件中,传票的门槛最低,使用最广泛,政府可在未有法官审核下发出传票,但可获取的数据类型最少,例如,仅可调阅Gmail的用户注册信息㊁登陆IP地址和时间戳,而不能调取邮件标头信息和内容㊂政府机构可在刑事和民事案件中使用传票㊂法院命令的门槛居中,需通过法官审查取得,可获取的数据类型多于传票,例如,可获取标头信息㊂搜查令的门槛最高,可获取的数据类型最多,
例如可获取内容等信息,政府机关须向法官提出申请,并举出更多证据证明搜查令的必要性和正当理由㊂法院命令及搜查令仅适用于刑事案件调查[2]㊂
2.2㊀美国政府对4家科技巨头的数据调取规模位居
全球首位
㊀㊀根据谷歌㊁苹果㊁微软㊁脸书披露的全球政府数据调取的透明度报告,美国政府向这4家科技巨头调取的用户账户数量分别占其全球用户总数的46%㊁74%㊁36%和37%[3-6],位居全球之首,且该调取数量一直在高速增长㊂以谷歌为例,2013年下半年美国政府请求披露的用户账户数量为18254个,到2019年下半年,美国政府请求披露的用户账户数量增长为94934个,6年增长了420%㊂谷歌㊁苹果㊁微软㊁脸书在收到美国政府的数据调取请求后会进行合法性评估,在确认请求符合法律规定后,才会根据请求提供数据㊂美国政府的执法请求得以遵循的比例相对较高,例如,谷歌近年来对美国政府的数据调取请求遵守比例大概在80%~ 95%之间,而对俄罗斯政府提出的数据调取请求遵守比例在0%~15%之间㊂线路板制作
2.3㊀美国享有广泛的域外数据管辖权并在国际执法
合作中居于主导地位
漩涡混匀器
㊀㊀2018年通过的CLOUD法对‘电子通信隐私法“的第二章‘存储通信法“进行了修订,一方面授权美国执法机构有权调取受美国管辖的企业所拥有和控制的数据㊂数据范围并不限于美国公民的数据,在满足一定条件的情形下也可调取非美国公民的数据;可调取数据的企业范围也并不仅限于美国企业或总部在美国的企业,外国企业如果在美国提供业务并且与美国发生了充分的联系,也可能被要求提供数据[7]㊂另一方面,CLOUD法授权美国政府与符合规定标准的 适格外国政府 签署双边执法协议,允许出于严重犯罪调查目的,一方执法机构跨境调取另一方国家的信息通信服务提供商的数据,以解决两国间的法律冲突问题㊂2019年10月,美英政府签署了首个CLOUD法授权下的跨境数据调取合作协定 ‘美英反严重犯罪电子数据访问协定“㊂从协定内容来看,
尽管协定本身是基于互惠基础上达成的,但是正如美国司法部所说,由于很多数据由美国互联网企业持有,因此,外国政府的跨境合作需求比自身更大,从而造成协定中出现了一些不对等条款㊂例如,美国公民数据得到的保护要比英国公民更为严格,美国公民和永久居民无论是否在美国境内,英国政府都被限制收集其数据;而英国公民或永久居民一旦离开英国境内,美国政府则不受访问限制㊂同时,英国被要求采取最小化程序来确保最低程度附带收集美国公民的数据,而反之对美国并无该项要
求㊂此外,数据跨境调取的关键环节决策权向企业属国倾斜,包括:对存在异议的数据请求命令是否可执行的决定权,对保障本国数据安全的目标化程序和最小化程序的批准权,以及对可能触及本国根本利益的数据使用的批准权等㊂由于美国互联网企业掌握着更多数据,这也意味着英国政府将更多地受到美国政府的制约㊂
3㊀基于国家安全的数据调取体系
3.1㊀不同立法授权下的数据调取范围有所不同但相
互补充
㊀㊀出于维护国家安全和反恐的需要,美国政府可通过国家安全函(NSL)㊁‘外国情报监视法“和12333号令进行数据调取和国外情报收集㊂国家安全函由联邦调查局(FBI)依据‘电子通信隐私法“等立法签发,无需获得法院批准,可以要求相关方提供有线或电子通信服务用户的 姓名㊁地址㊁服务使用时间以及本地或长途电话收费账单记录 ㊂依据‘外国情报监视法“,美国国家安全局可出于国家安全目的向国外情报监视法庭(FISC)提出在美国境内收集外国情报数据的申请㊂‘外国情报监视法“的702条款使美国政府可以要求美国公司提供位于美国的非美国公民或非合法永久居民的账号相关信息及通信内容㊂而依据12333号令,美国国家安全局无需法院命令便可在收集通信元数据和内容㊂
3.2㊀数据监视和调取的授权程序和范围透明性不足,
并缺乏实质司法监督和救济
㊀㊀尽管在普通刑事㊁民事领域,美国充分考虑了公民自由和隐私权利,但是美国政府在国家安全领域的数据监视和调取存在一定的宽泛性和不透明性,并受到美国许多人权组织的诟病㊂首先,美国总统根据宪法拥有开展情报监视活动的宽泛授权㊂美国宪法第二条授权总统担任海陆军总司令㊂根据该条款,美国总统有权在没有国会和司法监督的情形下开展电子监视㊂例如,在 9.11事件 发生后,布什总统以宪法第二条授权为由,命令国家安全局在无需获取司法授权的情形下对外国公民与境内美国公民的通信数据进行监视和收集㊂其次,美国政府开展的外国情报监视程序透明性不足并缺乏实质司法监督㊂如果在开展外国情报监视,属于12333号令的授权范围,完全依据总统或者联邦情报机构的指令和政策行事,无需任何形式的司法审查和监督㊂如果在境内开展外国情报监视,则属于‘外国情报监视法“702条的授权范围,由外国情报监视法庭(FISC)按年度而非按个案对监视计划做出批准,年度计划里说明监视的数据类别(而非具体的目标个人的信息)[8]㊁目标和最小化程序,年度计划内容和FISC裁决默认都是保密的㊂FISC从1979 2019年间共批准了42947项年度监视计划,仅拒绝了
135项,其中123项是在2013年棱镜门事件爆发后予以拒绝的[9]㊂最后,由于监视程序的非透明性以及 国家秘密特权 原则的存在,即使是美国公民,要在美国法院挑战监视程序的合法性基本是不可能的,迄今仍未有民事诉讼对702条款和12333号令的监视行为起诉成功[10]㊂在Schrems II案件的判决当中,欧盟法院也提及,美国现行的立法中未给欧盟数据主体提供针对美国当局的可诉权㊂
与此同时,FISC作为监视计划的审查和监督机构,主要依赖于情报机构的自我报告来知悉违法监视行为,FISC也多次公开了相关违规行为,但并未采取有效的预防和制止措施㊂例如,2011年FISC首次获知 上游监视 计划的范围要比原先提交给其审查的更为宽泛,但仍允许该计划继续进行㊂
3.3㊀采用大规模的数据监视手段并存在过度收集数
据的可能
㊀㊀2013年棱镜门事件爆发后,美国国家安全局实施大规模数据监听的 棱镜计划 进入公众视野㊂实际上,美国政府开展大规模数据监视的计划远不止于 棱镜计划 ㊂根据美国多份官方㊁学者和媒体报道以及 Schrems II 案件的判决书,按照702条款开展的情报监视至少包括 上游计划 和 下游计划 (原 棱镜计划 )两种[11], 上游计划 监视涉及对全球电信光纤
骨干网的大规模数据监视㊁拷贝和搜索,合作企业为AT&T㊁Verizon等电信运营商; 下游计划 监视对象为谷歌㊁脸书㊁微软等互联网企业,政府识别出想要监视的账户,然后要求企业披露所有这些账户接收和发送的通信和数据㊂美国政府根据12333号令也开展了大量的大规模监视计划,例如,美国国家安全局每天收集数以亿计的移动电话位置记录,从个人中收集数以亿计的通信录和地址簿等㊂美国所具备的大规模外国情报数据监视条件也是其他国家不可比拟的㊂由于美国在互联网和云计算领域具有全球领先地位,拥有与拉丁美洲㊁欧洲㊁亚洲三条最高的区域间互联网容量以及相对便宜
的带宽价格,因而许多外国通信数据都会通过美国转接或存储在美国境内服务器上㊂在实施大规模数据监视和收集的同时,由于美国法律及政策对情报信息和监视目的进行了宽泛的界定,例如‘外国情报监视法“702条款界定的 外国情报信息 除了包含国家安全相关信息外,还包含任何与美国外交事务相关的信息,12333号总统令确定的情报收集目的是为了满足国家安全㊁国防㊁外交关系的决策需要,因此造成可能收集㊁保存和使用了大量与国家安全无关的信息㊂美国国会和人权组织多次要求情报机构披露被监视的美国公民通信数据,但是均遭到拒绝㊂
4㊀结束语
由上可见,美国基于普通案件的数据调取体系与基于国家安全的数据调取体系存在着较大的差异,前者更多地考虑了公民隐私等权利保护,具备较强的严谨性和规范性㊂而基于国家安全的数据调取体系,存在较多的不透明性和不规范性,正是其存在的这一特点,使得欧盟对隐私盾协定是否能充分保障欧盟公民的隐私权利进行了质疑㊂
目前,美国商务部和欧盟委员会正在就如何进一步增强欧美隐私盾保护框架进行讨论,其若要达成一致需解决的核心问题是,美国政府如何以符合欧盟法院期望的方式进行数据监视和调取体系的改革,即基于国家安全获取数据所造成的对隐私权的限制应是 必要且相称 的㊂而其中的关键环节又在于,美国政府如何改革对大型电信及互联网企业的大规模数据监
视和收集计划㊂一旦两者难以达成一致,美国的科技巨头很可能需要将数据在欧盟境内进行本地化存储和处理㊂这对于目前正在与美国科技巨头争夺数据控制权和谋求数字主权的欧盟来说,也不失为一种理想结果㊂另一方面,2019年9月,美国司法部和欧盟委员会开始就基于CLOUD法的执法机构间的数据跨境访问合作进行正式谈判,很明显这一谈判的规则主导权掌握在美国手中,欧盟将如何平衡公民隐私权保护和执法利益仍有待观察㊂
总体来看,随着数据在地缘政治经济博弈中的重要性不断提升,一国政府执法所采取的数据调取体系对两国间的数据跨境流动合作也在产生日益重大的影响㊂美欧作为传统盟国,在个人数据领域的合作已经出现不小的矛盾,对于我国而言,在‘个人信息保护法“‘数据安全法“尚未出台的情形下,若要开展与美欧的个人数据跨境流动合作可能会面临更大的挑战㊂
参考文献
[1]刑事法譚.他山之石|美国1986年‘电子通讯隐私法“[EB/OL].(2018-09-12)[2020-11-30].www.
sohu/a/253535386_100013185.
[2]美国司法函令常见问题解答[Z/OL].[2020-11-30].
le/transparencyreport/answer/ 9700059.
[3]Microsoft.Law enforcement request report[R/OL]. [2020-11-30].www.microsoft/en-us/ corporate-responsibility/law-enforcement-requests-report.
[4]Facebook.Government data requests[R/OL].[2020-11-30].transparency.facebook/government-data-requests/jan-jun-2020.
[5]Apple.Apple transparency report:government and private party requests[R/OL].2019[2020-11-30]. www.apple/legal/transparency/pdf/requests-2019-
H2-en.pdf.
[6]Google.Transparency report[R/OL].[2020-11-30].
le/.
[7]U.S.Department of Justice.The purpose and impact of the cloud act white paper[R/OL].2019[2020-11-13].
v/opa/press-release/file/1153446/ download.
[8]CVRIA.Judgment of the court(grand chamber)of16 July2020[Z/OL].(2020-07-16)[2020-12-06].
eur-lex.europa.eu/legal-content/EN/TXT/PDF/?
uri=CELEX:62018CJ0311&from=EN.pp.19. [9]The U.S.Courts.Statistics&reports[R/OL].[2020-11-30].v/statistics-reports/analysis-
reports/directors-report-foreign-intelligence-surveillance-
courts.
[10]Richard Lawne.US surveillance:s702FISA,EO
12333,Prism and upstream[R/OL].(2020-08-13)
[2020-12-06].www.privacysecurityacademy.
com/wp-content/uploads/2020/09/US-surveillance_-s702-
FISA-EO-12333-PRISM-and-UPSTREAM-_-Fieldfisher.
pdf.
陶粒砂过滤[11]Kevin Reed.FISA court documents expose illegal FBI
mass surveillance[R/OL].2019[2020-12-06].https:
///en/articles/2019/10/10/surv-o10.
html.
作者简介:
张春飞㊀中国信息通信研究院政策与经济研究所副所长,高级工程师,主要从事信息通信行业发展
和监管研究工作
杨筱敏㊀中国信息通信研究院政策与经济研究所监管研究部主任工程师,主要从事信息通信行业
监管㊁国际经贸方面的研究工作
Why EU-US privacy shield invalidated:a research perspective from the electronic data access and surveillance systems of the vernment
ZHANG Chunfei,YANG Xiaomin
(Policy and Economics Research Institute,China Academy of Information and Communications Technology,
Beijing100191,China)
Abstract:Derived from the core arguments that the Court of Justice of the European Union invalidated the EU-US Privacy Shield in its Schrems II decision,this paper explores two different electronic data access and surveillance systems of the vernment under different law enforcement purposes.Although the system for general law enforcement purposes is relatively rigorous and standardized,the system based on national security purposes is lack of enough transpancy and too abroad on data surveillance scope,which leads the European Court of Justice to believe that it cannot meet the EU s personal data protection standards,and therefore has a negative impact on the cross-border data transmission.
Keywords:data access;national security;EU-US privacy shield
(收稿日期:2020-12-15)
