2022-09-09 16:17

英美《数据访问协议》即将生效,在英跨国企业有何风险?

英美《数据访问协议》即将生效,在英跨国企业有何风险?

2022年7月21日,英美两国发表联合声明,称双方于2019年签署的《关于为打击严重犯罪而获取电子数据的协议》(Access to Electronic Data for the Purpose of Countering Serious Crime ,Data Access Agreement,后文简称《数据访问协议》)将于2022年10月3日正式生效。

英美《数据访问协议》作为第一款正式落地的《CLOUD法案》体系下的双边协议,开启了美英合作的新纪元。美国司法部表示,该协议将允许美国和英国的执法机构在获得适当授权的情况下,绕开可能的法律障碍,直接向设在对方国家的科技公司索取有关严重犯罪的电子数据。这是否意味着,在英有跨国实体的企业,会更容易面临被美国约束或制裁的风险呢?未来美国还可能与哪些同盟国签署类似协议,这对于我国企业在出境经营的过程中会带来哪些影响呢?


一、英美为何要签署英美《数据访问协议》?


英美《数据访问协议》第3条明确指出,通过该协议进行的数据跨境取证行为的法律效力仅来自于签发方的法律,并且两国都承诺确保其与数据的保存、认证、披露和调取有关的国内法律允许适用的数据提供商遵守受该协议约束的数据调取命令。由此可见,两国的相关国内法律是英美《数据访问协议》能够得以落地实施的基石。此外,随着全球各主要国家相继出台了保障国家数据安全的相关法规,英美在全球范围内调取数据将会遇到空前的阻力,英美两国希望能够通过签署该数据访问协议来解决困境。

(一)英美两国的国内法基础

无论是美国还是英国,在英美《数据访问协议》签署之前,就已经发布了《CLOUD法案》和《 2019年犯罪(境外提交令)法案》来调取境外数据,那双方为何还需要签署该数据访问协议呢?

1、微软公司诉美国政府案与《CLOUD法案》

在《CLOUD法案》出台前,美国与数据存储有关的法律主要是1986年生效的《存储通信法案》(Stored Communications Act, SCA)。 SCA 存在一个巨大的缺陷,即没有明确的美国政府搜查令能否要求通信服务商提交其存储在境外的数据,这也导致了微软公司诉合众国案历时五年仍悬而未决。

为填补《存储通信法案》的漏洞,美国国会在2018年3月紧急通过了《澄清境外合法使用数据法案》(Clarify Lawful Overseas Use of Data Act,后文简称《CLOUD法案》),该法案采取“数据控制者标准”,即无论数据是否存储在美国境内,只要掌控该数据的服务提供者是受美国管辖的主体,该服务提供者就有义务提供美国政府所要求的数据。随着《CLOUD法案》的出台,微软案的核心争议也就不复存在了。美国意在通过《CLOUD法案》弥补其现有数据监管体系中关于数据跨境获取和利用体系中的漏洞,扩张其数据主权。

2、《犯罪(境外提交令)法案》(Crime (Overseas Production Orders) Act 2019)

目前,英国执法部门调取境外存储的电子证据途径主要是通过司法协助(MLA)程序,但该程序复杂且缓慢,通常需要几个月甚至几年的时间,难以满足英国政府打击网络犯罪的效率需求。在此背景下,英国通过了《犯罪(境外提交令)法案2019》(简称为“COPO”法案)。该法案于当年10月生效。该法案规定,在英国与他国签署条约的前提下,英国执法机构与相关单位基于调查和起诉英国国内严重犯罪的需要,可以向法院申请海外证据搜索令(Overseas Production Order, “OPO”),凭借搜索令要求自然人或法人,提供存储于英国境外的电子证据(electronic data)或者特殊电子证据 (excepted electronic data)。

故而,从性质上来说,《CLOUD法案》或英国的“COPO”法案都是英美主权国家对内颁布的法律制度。《CLOUD法案》或者“COPO”法案为英美两国执法部门跨境调取数据提供了法律依据,但该项法律依据无法约束境外主体,仅有这种法律依据并不能使得该项跨境执法的权限得以落地,故而,这两个法案的落地需要“双边执法协议“机制,即英美《数据访问协议》的签署生效才能使得这两项法案更好的执行。

(二)数据本地化浪潮

从广义上理解,数据本地化可以视为任何对数据跨境流动加以限制的制度。如中国《网络安全法》《数据安全法》《个人信息保护法》都要求数据本地化存储; 2018年欧盟委员会颁布的《通用数据保护条例》(GDPR)规定只有具备“充分保护”个人数据水平的主体才能与欧盟进行自由数据流动; 2019 年11 月,俄罗斯《主权互联网法》要求互联网服务提供商采取措施最大程度减少俄罗斯用户数据向国外传输;2019年印度提出效仿欧盟GDPR的《个人数据保护法草案2018》和《印度电子商务国家政策框架草案》,明确印度将逐步采取措施推进数据储存本地化的进程等等。


二、英美《数据访问协议》究竟约定了什么?


《数据访问协议》全文共计17个条文,主要约定了协议的目的、与国内法之间的关系、适用的范围、数据调取命令涉及的数据类型、数据调取命令适用人员的限制、数据调取命令送达的程序与对象、数据调取保障问题等内容。

(一)适用范围

《数据访问协议》第4条规定,调取数据的命令必须是为了“获得与预防、侦查、调查或起诉适用的罪行有关的信息”。又根据该协议第1条的规定,适用的罪行是指根据签发方的法律,构成严重犯罪的行为。其中严重犯罪是指可能被判处的最高刑期三年以上的犯罪。

(二)涉及的数据类型

数据调取命令可以要求通信提供商提供广泛的数据,主要包括由以适用的提供者身份行事的私人实体所拥有或控制的以下类型的数据:电子或有线通信的内容;为用户存储或处理的计算机数据;与电子或有线通信或为用户存储或处理的计算机数据有关的流量数据或元数据;以及根据同时寻求本定义中所提及的任何其他类型数据的命令而寻求的用户信息。其中,用户信息是指识别适用的供应商的用户或客户的信息,包括姓名、地址、服务时间和类型、用户号码或身份(包括分配的网络地址和设备标识符)、电话连接记录、会话时间和持续时间记录以及支付方式。

(三)数据调取命令适用人员的限制

一国申请调取数据的对象必须是非对方国家的人员,也就是说,该协议防止签发方针对接收方国家的公民及组织。需要注意的是,协议中两国对接收方人员的认定是不同的,如果美国是接收方,接收方人员的范围是:

(1)其任何政府机构或其当局,包括在州、地方、领土或者部落级别的;

(2)其公民或国民;

(3)合法获得永久居留权的人;

(4)有大量成员属于第二项或第三项的非公司协会;

(5)在美国注册的公司;

(6)位于其境内的人。

如果英国是接收方,接收方人员的范围是:

(1)任何政府机构或国家当局;

(2)非法人协会,其大量成员位于其境内;

(3)位于或在其境内注册的公司;

(4)位于其境内的任何其他人员。

从二者的范围上不难看出,美国作为接收方时,其人员的范围要大于英国,美国的接收方人员包括在美国境外的美国人,而英国作为接收方时只限于位于英国境内的人员或组织。这导致了英国执法机构不能向英国法院申请故意针对美国公民或者组织的数据调取命令,但美国执法部门却可以向法院申请针对英国公民或者组织的数据调取命令,只要这些人员位于英国境外即可。

上述规定类似场景如:美国司法部要求调取位于英国某个科技公司的非英国人的数据,当该非英国人在英国居住,基于以上约定,美国司法部不能调取他的数据,反之,当他在英国境外居住,美国司法部就可以调取他的数据。而当美国司法部想要调取一个英国人存放在英国某个科技公司的数据时,除非该英国人在英国境内,否则美国司法部依然可以调取他的数据。而当一个位于英国的外资公司,该外资公司的高管相关电子数据存放在英国,美国也无权调取。也就是说,美国调取存储在英国的数据的限制范围系属地主义,即只要是位于英国的人或组织,无论是否是英国公民,美国司法部都不能针对性的调取数据。而即便是英国公民,数据存储在英国,只要其人在境外,美国司法部都可以调取他的数据。

此外,当美国司法部要求调取英国企业的境外关联企业的存储于英国境外的数据时,该企业是否需要配合?这需要视具体情况而定。英美《数据访问协议》第一条第三款规定,该协议适用的数据范围是相关主体拥有或控制的数据。因此,考察该英国企业对境外的关联企业的数据是否有控制权至关重要。根据英国GDPR中关于控制和处理的相关规定,如果主体能够单独或者共同决定该数据的处理目的和方式,那么该主体就应被认定为能够控制该数据。这里提到的处理要做广义上的解释,收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供的披露、对齐或组合、限制、删除或破坏等行为都属于处理的范畴。换言之,对数据或数据集的任一操作,都是在处理数据。故该英国企业如果能影响境外的关联企业对数据的处理,美国司法部就有权调取该企业的相关数据。但如果该英国企业无法从任何意义上影响到境外关联企业对数据的处理,仅仅能够访问境外企业的有关数据,那么该英国企业不应当被认定为能够控制境外企业的数据,美国司法部也就当然无权调取相关的数据。

(四)数据调取命令送达的程序与对象

签发国在申请数据调取命令时,必须证明被调查行为的合法性和严重性符合英美《数据访问协议》中申请调取数据的要求,并提供充分的事实与法律依据。由于该协议对于事实和法律依据应当满足何种条件方为充足并没有明确的约定,导致了签发国的法院的裁量权过大,不利于保障被调查人员或组织的合法权益。

(五)数据调取保障问题

英美《数据访问协议》的第7条规定了目标锁定和最小化程序原则。在确定数据调取命令的对象时,相关执法机构应当实施适当的目标锁定程序,通过这些程序,执法机构必须做出善意的、合理的努力以确保要调取的数据是属于目标对象所使用或控制的。

第7条第2至5款规定的最小化程序对英国进行了额外的限制。第一,协议要求英国应采取适当的程序来减少获取、保留和传播根据本协议获取的美国人的信息。第二,英国有义务对获得的信息进行隔离、密封或删除处理,并且不传播与预防、侦查、调查或起诉所适用的罪行无关的信息,也不得传播为保护任何人免受死亡威胁或严重人身损害所需要的信息以及为评估其重要性所需要的信息。第三,协议要求英国及时审查收集到的数据,并将其存储在安全的系统中。第四,对英国的执法人员提出了技术要求,只有经过适用程序培训的执法人员才能访问收集到的数据。第五,英国原则上不得向美国传播依据数据调取命令收集到的美国人的通信内容。

可见,英美双方在该协议中的权利义务并不是对等的,该协议对英国的限制远远多于对美国的限制,美国是该双边协议的最大受益方。虽然《CLOUD法案》及英美《数据访问协议》在形式上是公平、互惠的,但实质上“适格外国政府”的条件过于苛刻,并且赋予美国政府很大的自由裁量权。从条文数量来看,涉及美国获取外国境内数据的条款并不多,需要满足的条件较为简单;但外国政府调取美国境内数据资料的条文数量明显增加,法案规定了详细复杂的限制条件。


三、英美《数据访问协议》对我国的跨国企业有何影响?


英美通过该双边协议,利用自身互联网的发展优势,试图突破传统的数据属地管辖,通过强制网络服务提供者披露数据的方式单边获取他国境内数据,将二国的数据主权延展至境外,一方面,从英美国家的政府角度而言,正如英美两国在联合声明中所指出的,《数据访问协议》的生效将开启美国和英国之间合作的新时代,为应对严重犯罪的威胁带来新的承诺。

另一方面,通过英美数据跨境执法新协议所强化的数据治理模式,美国不但可以通过“数据控制者”标准,确保其作为最大数据市场对数据流的有效控制,也通过其宽广的管辖范围,实现对域外数据控制力的扩张,从而继续加强和保持其优势地位。

对于跨国企业,特别是作为众多电子数据控制者的通信服务提供商(CSP)而言,其位于英国的关联公司(定义)同样存在收到美国司法部基于英美《数据访问协议》,而要求其提供涉案用户电子数据的相关函件。

那么,对于该跨国企业的英国主体或数据中心而言,是否存在被要求提供企业高管人员的电子数据的情况呢?

就当前英美《数据访问协议》的相关内容而言,美国执法部门在申请调取英国的CSP电子数据时,需要对调取数据的必要性、适当性做出充分说明。而正如前文对该协议的调取对象所做的介绍一样,该协议要求一国申请调取数据的对象必须是非对方国家的人员,也就是说,该协议防止签发方针对接收方国家的公民及组织。也就是说,理论上而言,美国司法部不得申请调取位于英国的公司的相关人员、居住在英国的人的电子数据。但在实践中,位于英国的外资公司,其关联公司(该关联公司不在英国境内)高管人员是否能够被纳入到接收方组织的相关人员,可能是一件具有争议的事实,在没有明确法律规定及协议约定的情况下,美国司法部也极有可能认定该关联公司不属于位于英国的公司,故而其高管人员的数据属于英美《数据访问协议》的调取对象。

如,一个印度公司,母公司位于印度,母公司高管也居住在印度,但子公司及数据中心都在英国,而母公司的高管人员有大量数据存放在英国的数据中心,此时,如该高管被认定涉嫌一起美国具有管辖权的刑事案件,且属于刑期在三年以上的严重犯罪,美国司法部就很可能依据英美《数据访问协议》来要求位于英国的子公司调取该名高管的电子数据。

此外,作为第一份即将生效的执法跨境获取数据的双边协议,美国可以通过复制英美《数据访问协议》的相关实践,将这种跨境数据治理范式渗透到更多的国家,从而获得数据跨境治理的国际合作话语权,从而影响将来可能的最低限度的国际条约的制定,并通过这种方式特续传播其国家理念和意识形态。

时下,除了英国之外,美国还在与加拿大、澳大利亚和欧盟等国家或地区进行相关执行协议的商谈,以该协议为模版的执法协议将在之后更加频繁出现于国际数据治理的场合中,可以预见我国网络产业在走出去的过程中将遭受美国以数据跨境执法获取为由的更大范围的干扰和阻碍。

本文链接:https://www.8btc.com/media/6776262
转载请注明文章出处

评论
登录 账号发表你的看法,还没有账号?立即免费 注册
下载
分享
收藏
阅读
评论
点赞
上一篇
下一篇