99精品国产高清一区二区三区,最新最新在线视频播放,天天看片免费AV午夜大片

天衡研究

權力的邊界——從歐盟GDPR和美國CLOUD法案說起 | 天衡觀點

2018-07-20 11:25:00

2018年上半年，歐盟及美國總統特朗普分別實施和簽署了兩大法律文件，這必將對世界產生重大影響，這一影響雖然剛開始，以致于我們還無法深刻體會到，但是，它正在以無法阻擋的步伐邁向我們。

其一、歐盟議會于2016年4月14日通過的《通用數據保護條例(General Data Protection Regulations)》（下稱GDPR）于2018年5月25日在歐盟成員國內正式生效實施。

其二、美國總統特朗普于2018年3月23日簽署《澄清境外數據合法使用法案》（下稱CLOUD法案）。

GDPR生效實施以后，歐盟對個人信息保護及其監管達到了前所未有的高度，為此，該條例被稱史上最嚴格的數據保護法案。

美國CLOUD法案則涉及到一個核心的問題，即國家主權的邊界確定，這要從一則案例說起：

2013年12月，美國紐約南區聯邦地區法院簽發搜查令，要求微軟公司協助一起毒品案件的調查，將一名其用戶的電子郵件內容和其他賬戶信息提交給美國聯邦調查局（FBI）。微軟按照搜查令的要求，將存在美國國內的，關于該名用戶電子郵箱的登錄時間、地點等數據提供給FBI。但是，由于該用戶電子郵件內容數據存儲于微軟位于愛爾蘭的數據中心。微軟認為，如需調取位于愛爾蘭服務器中的用戶數據，需要得到愛爾蘭政府的批準，微軟據此拒絕向FBI提供，并隨即提出廢除搜查令的動議。

2014年4月25日，美國紐約南區聯邦地區法院助理法官作出駁回微軟廢除搜查令動議的決定，繼續尋求美執法部門的支持。微軟隨即提請上訴。2014年7月31日，美國紐約南區聯邦地區法院首席法官作出裁定，支持助理法官決定，為此，微軟繼續上訴。2016年7月14日，美國聯邦第二巡回上訴法院對這個爭議做出了解答。上訴法院的三位法官一致認為，FBI的搜查令不具域外效力（extraterritorial effects），超出1986年美國《存儲通訊法案》規定的國內搜查令范圍。2017年10月，美國最高法院同意重新審核該案。2018年2月28日，微軟和美國司法部在美國最高法院，就海外隱私權問題開展辯論。在CLOUD法案出臺之后，司法部與微軟先前的爭議已失去意義，美國司法部要求最高法院撤銷這一訴訟，同時也根據新的法案取得了新的搜查令，要求微軟提供愛爾蘭服務器上的用戶數據。對此，微軟尚未回應。

上述案件，表面上是美國政府調查取證的范圍問題，其實質涉及到國家主權行使的邊界問題，不僅限于公權與私權的邊界問題，更為重要的是涉及國家或地區之間權力行使的邊界問題，在這一過程中，國家權力（主權）最為重要的體現是管轄權，CLOUD法案就是這一背景下誕生。

事實上，進入互聯網時代之后，隨著數據信息跨國跨地域迅猛流動，這豐富了傳統意義上國家主權的內涵，出現網絡主權這一概念。網絡主權是一國國家主權在網絡空間的自然延伸和表現，對內指國家獨立自主地發展、監督和管理本國互聯網事務，對外指防止本國互聯網受到外部入侵和攻擊。網絡主權包括管轄權、獨立權、防衛權和平等權。2015年12月16日，中國國家主席習近平在第二屆世界互聯網大會開幕式主旨演講中提出，推進全球互聯網治理體系變革要堅持尊重網絡主權，尊重各國自主選擇網絡發展道路、網絡管理模式、互聯網公共政策和平等參與國際網絡空間治理的權利，不搞網絡霸權，不干涉他國內政，不從事、縱容或支持危害他國國家安全的網絡活動。

歐盟為保護成員國個人的隱私權，通過GDPR對其適用范圍明確，將管轄權延伸到歐盟以外企業及組織機構，具體為：任何收集、傳輸、保留或處理涉及到歐盟所有成員國內的個人信息的機構組織均受GDPR的約束，即使一個主體不屬于歐盟成員國的公司（包括免費服務），只要滿足下列兩個條件之一，就受到GDPR的管轄：（1）為了向歐盟境內可識別的自然人提供商品和服務而收集、處理他們的信息。（2）為了監控歐盟境內可識別的自然人的活動而收集、處理他們的信息。

同時， CLOUD法案以保護美國國家安全為由，也將管轄權延伸到國境之外，具體如下：（1）對于危害美國國家安全的犯罪、嚴重的刑事犯罪等重大案件，可以根據CLOUD法案調取相關證據，危害美國國家安全的犯罪、嚴重的刑事犯罪通常包括：恐怖主義犯罪、重大暴力犯罪、剝削兒童的犯罪、跨國組織犯罪以及金融欺詐犯罪；（2）無論服務提供者（美國境內）的通信、記錄或其他信息是否存儲在美國境內，只要相關通信內容、記錄或其他信息為該服務提供者擁有、控制或者監管，均應當按照法令要求，保存、備份、披露。

當然， CLOUD法案對服務提供者域外司法協助義務也做了例外規定，即當同時滿足下列條件時，服務提供者可以向法院申請撤銷或者修正的動議：第一，美國政府調查的的目標對象并非“美國人”（the United States Persons），并且不在美國境內居?。坏诙?，服務提供者如果履行CLOUD法案中披露內容的義務將給其帶來違反“合格外國政府”（qualifying foreign governments）立法的實質性風險；第三，當接到服務提供者提出的動議后，法院應當給予政府答辯的機會。如果法院確認存在下列情形，可以修改或撤銷：（1）所要求的披露將導致供應商違反合格的外國政府的法律；（2）根據案件的整體情節，依據公平正義理念原則，該法律流程應該修改或撤銷；（3）對象不是“美國人”，并且不居住在美國。

針對外國政府向美國企業請求獲取數據的司法協助，CLOUD法案規定了諸多限制條款，主要包括：1. 外國政府不得有意地針對“美國人”或位于美國境內的個人，且必須采取滿足該要求的目標鎖定程序；2. 如果外國政府的目的是獲取有關美國人或位于美國的人的信息，則不得以美國以外的非美國人為目標；3. 外國政府不得向美國政府或第三方政府提出要求或獲得信息的政令，外國政府也不得要求與美國分享任何信息的政府或第三方政府。此外，CLOUD法案還對外國政府發出的政令內容提出了十幾項具體要求，基于篇幅所限，不在此贅述。

面對歐盟GDPR和美國CLOUD法案，本人就中國企業及公民面臨的相關法律風險及對策分析如下：

一、無論中國企業還是公民個人，要轉變觀念，重新認識國家領域范圍：既包括傳統領土、領空、領海以及船舶、航空器等物理空間，也應當包括“網絡空間”。同時，中國企業及公民應增強“網絡空間”的法律風險防控意識。鑒于歐盟GDPR的實施，其管轄范圍的廣泛，尤其是在越來越多中國企業走出國門的大背景下，必將對中國企業在歐盟市場的投資和經營產生顯著影響，并成為中國企業必須面臨的重大法律監管障礙。違反GDPR產生的最嚴重侵權后果，將遭致行政罰款2000萬歐元以下或該企業上一財年全球年度營業總額的4%（二者取其高）。鑒于此，中國企業要強化對個人信息保護，與歐盟市場相關的企業，要依據GDPR做好法律風險管理。

二、針對歐盟GDPR和美國CLOUD法案最新發展，我國應盡快出臺《中華人民共和國網絡安全法》實施細則，完善相關制度，強化網絡主權，保障網絡安全，引導企業自覺尊重個人信息權和隱私權。

三、我國應盡快出臺《中華人民共和國國際刑事司法協助法》，并就境外政府提出司法協助調取境內存儲的數據做出詳盡規定?！吨腥A人民共和國網絡安全法》第三十七條規定：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。”依據該規定，蘋果公司將其icloud業務遷至貴州的數據中心（云上貴州）。然而，基于蘋果公司總部位于美國加利福尼亞州庫比蒂諾市，依據美國CLOUD法案，美國政府有權要求蘋果公司提供其存儲在云上貴州的相關數據，面對美國政府的這一請求，中國政府如何應對？涉及的相關企業和個人如何應對？這一切都需要在相關立法中做出制度安排。同時，也需要通過法律專業人士在制度框架內代理企業和個人進行博弈。

總而言之，國家權力的邊界，無論是公權與私權邊界，還是國家主權行使邊界，通過法律人運用法律技術得以劃定，這就是法治的理想狀態。