2019数据治理报告——云深处的数据规则

作者 | 王融 腾讯研究院资深专家

         王雅蓉  腾讯研究院助理研究员

2018年，腾讯研究院发布了业内第一部年度数据治理报告——《迷雾中的新航向》，全面展现了“数据治理”的重点与全貌，变革与走向，以期为数据政策讨论提供参考启发。

2019年，我们继续推出年度数据治理报告。区别于2018年首期报告的综合性和全面性，2019报告回应本年度重要关切：国际执法协作领域的数据跨境获取问题,形成专题报告——《云深处的数据规则——CLOUD法案与它的蝴蝶效应》。至此，数据治理已经走向了最为复杂的核心领域。

在数字经济“全球化发展”的长期趋势与“逆全球化”等短期局部现象并存的大背景下，期待通过这份报告的系统梳理，来帮助厘清当前复杂形势下所面临的重大挑战。如同“数字经济”以“开放创新”为核心驱动，基于其上的“数据治理”也需与时俱进，推动制度现代化，以并行实现数字经济安全性和成长性两大战略目标。

本期公众号抢先推出报告核心观点，以飨读者。

引言

数据跨境流动是当前数字经济全球化最重要的政策议题之一。

过去几年，贸易语境下的数据跨境流动议题得到普遍关注，全球政策框架逐步明晰，包括：美国以贸易利益为驱动的数据自由流动主张，欧盟在人权项下的精细管理模式，以及发展中国家出于国家整体利益而实施的数据本地化措施。全球化中的数据跨境流动秩序似乎正在形成。

然而，自去年3月美国出台《澄清域外合法使用数据法案（Clarifying Lawful Overseas Use of Data Act，CLOUD Act，以下称“CLOUD法案”）》以来，该法案所确立的以美国为主导的跨境电子证据协助调取机制，让我们的目光投向数据跨境所服务的另一个重要场景——国际执法协作。它不仅直指最核心的国家司法主权和数据安全，也对正在成形的全球数据跨境流动秩序带来了全面冲击。

至此，两个场景下的数据跨境政策构建需要通盘考虑。贸易场景下的数据流动，伴随着数字服务的全球化，发生在商业主体之间或内部，是大规模而持续的；而执法协作场景中的数据跨境，发生在执法部门与商业主体之间，相对个案偶发。尽管两种数据跨境转移（获取）的性质截然不同，但却有着千丝万缕的联系。这也是CLOUD法案虽在近期出台，但却已显露后发制人效果的根本原因。

CLOUD法案从其诞生之初便引起无数争议。然而，经过一年半的喧嚣沉淀，其发展版图与态势逐步浮现。英国、欧盟、澳大利亚已经或正在启动与美双边谈判，重构数字时代的跨境执法数据调取机制。作为对传统司法协助制度的重大改革，CLOUD法案不仅为跨境取证体系带来新鲜血液，提升跨境执法效率，增强公共安全保障能力，同时，通过对等互惠机制，美国对与之签订协议的国家让渡部分执法便利，允许其直接向美国服务提供者调取数据，从而弱化了此类国家实施数据本地化的动机，对数据本地化机制带来对冲效果，美国国家安全利益和产业发展利益取得了高度一致。

正如“蝴蝶效应”所描绘的那样，在局部领域的细微变化，将会带动整个系统长期而巨大的连锁反应。CLOUD法案本身只是创立了一种法律机制，但在以云计算、物联网、5G为核心的数字基础设施中，其直指网络空间中的核心数据问题。在全球化浪潮中CLOUD法案及其带来的蝴蝶效应，势必对数字经济未来发展以及基于其上的国家数据治理框架，乃至国际网络空间关系带来前所未有的深刻影响。

本报告从理解CLOUD 法案最重要的前提基础——管辖理论入手，对CLOUD法案的管辖效力、主要机制、争议影响、发展走势等问题展开了全面分析，形成核心观点判断，并在此基础上面向企业、政府部门提出相关建议与启发。

20个核心观点与建议

1.  管辖是指国家对其领土及其国民行使主权的具体体现，也是研究CLOUD法案的起点。CLOUD法案的管辖问题包括两类：适用主体范围和刑事调查取证所涉数据的触达范围。

在适用主体上，CLOUD法案并没有扩展管辖，其依旧延续其前身——《存储通信法（Stored Communications Act，SCA）》所适用的两类主体，即受美国管辖的电子通信服务提供商（Provider of Electronic Communication Service，ECS）与远程计算服务提供商（Provider of Remote Computing Service, RCS）。这也是美国司法部对外强调其并没有扩展管辖的重要理由。然而，考虑到美国长臂管辖理论和刑事领域管辖本身的扩张性，CLOUD法案在管辖主体方面留下了极大的不确定性。企业需要参考美国长臂管辖中确立的最低联系标准，推演其适用于CLOUD法案场景下所承担的法律义务，以及由此而产生的法律合规冲突。

3.  而在刑事调查取证所涉数据的触达范围方面，CLOUD法案明确扩张适用于受美国管辖的服务提供商在美国境外存储的数据，这给他国政府的境内数据安全、数据本地化政策以及司法主权带来直接挑战。

4.  CLOUD法案服务于刑事调查跨境取证这一目的。在CLOUD 法案之前，服务于这一目的的主要机制是MLAT——双边司法协助条约/协定（Mutual Legal Assistance Treaty/Arrangement，MLAT/MLAA）。传统MLAT机制下，一国执法部门不能径行要求服务提供商跨境提供证据，双方政府需指定一个“中央机关”来负责处理两国之间的司法协助工作。该机制充分尊重了一国司法主权，一国政府可以通过充分审查，自主决定是否给与协助。截止目前我国已与55个国家签订了刑事司法协助条约[ii]。

5.  但在经济全球化和数字化浪潮下，这一复杂冗长的协助机制，已不能适应需要。以欧盟为例，当前有85%的刑事调查中会涉及提取电子证据，其中又有65%需要跨境提取电子证据[iii]。即使美欧司法系统高度接近，其电子数据调取周期也近乎以年计算。MLAT耗时久，取证效率低的缺陷在数字时代充分暴露。

6.   除了缺乏效率这一固有缺陷外，MLAT无法适应数字时代的根本原因还在于，随着云计算分布式存储的广泛应用，数据会在不同数据存储中心之间流转，导致很难识别特定数据在给定时间的具体位置，MLAT机制在启动环节就遭遇了困境。在特定案件中，应当寻找与哪一国开展司法协助？传统机制的运转面临根本挑战。因此，美国选择了对MLAT的彻底改革方案，而不是在原有的机制上进行改良[iv]。

7.   CLOUD法案即是对MLAT的根本改革方案。本质上看，云计算发展所导致的数据控制者、数据处理者、数据主体、数据存储所在地相分离的情况已经远远超出了原有法律的规制范围，使得企业主体和执法部门陷入了无法可依的尴尬局面。这种对新的解决方案的需求是CLOUD法案诞生的原动力，也是CLOUD法案获得微软苹果、谷歌、Facebook等互联网公司支持的根本性原因[v]。

8.   微软与美国政府之间的一系列诉讼加速了这一进程。自2013年以来，微软针对美国政府提起了四起不同的数据隐私诉讼[vi]，其目的是寻求政府执法数据获取的法律规则的现代化，确保个人和客户的隐私权得到保护，明确服务提供商特别是云计算这种新的服务形态中，服务提供商的法律义务边界。

9.  CLOUD法案所创设的直接向服务提供商获取电子证据的模式，对数据本地化政策带来直接影响，也因此产生截然不同的观点。有观点认为，CLOUD法案进一步强化了数据本地化，而反对者则持相反立场。究其原因，是二者忽略了讨论的前置条件。早在CLOUD法案出台之前，以发展中国家为主，各国出于产业发展、执法便利、数据安全等因素考虑，已不同程度地实施数据本地化政策，要求服务提供商将数据存储在一国境内。因此，在不同动机驱动下的本地化政策，将受到CLOUD法案的不同影响。由于CLOUD法案对于符合条件的适格国家，提供了对等的执法便利，因此其弱化了该动机下的本地化政策；而对于以国家数据安全视角的本地化政策，CLOUD法案带来了新的担忧，因此这部分国家又在本地化政策基础上，普遍出台“封锁”条款，禁止服务提供商将存于本国境内的数据提供给他国执法部门，这使得服务提供商陷入前所未有的合规窘境。

10.  这对于服务全球市场的跨国企业更是如此，他们往往需要符合不同国家的法律要求。针对于由其掌握的电子证据，一国要求提供，另一国要求不得提供，企业陷入法律冲突的泥潭，同时也限制了执法部门跨境获取电子证据的能力，对公共安全保障带来负面影响。这是CLOUD法案无法回避的问题，因此其精心设计了复杂机制，以尽可能解决其带来的法律冲突等负面影响。

11.  为了在实现跨境电子取证高效化目标的同时，尽可能降低服务提供商面临的法律冲突，CLOUD法案设置一项核心机制——互惠激励。按照CLOUD法案设定的标准，他国政府可以被划分为两类：适格政府与不合格政府，从而在跨境电子取证方面享受不同程度的优惠待遇。包括：

1）可以直接向受美国管辖的服务提供商要求调取数据；

2）受美国管辖的服务提供商按他国执法部门要求提供数据并不视为违反美国国内法；

3）接受美国执法部门数据调取命令的服务提供商可以将这一事实披露给他国政府；

4）对于美国执法部门提出的数据提供命令，服务提供商可以行使申请撤销或修改命令的权利，从而启动法院的司法礼让分析。

其中：适格政府完整享受以上四种对等优惠待遇；不合格政府不享受任何优惠措施，只能通过传统MLAT机制获取数据，而美国执法部门却可以径行要求受管辖的服务提供商提供美国域外证据。

12.  区分上述两类政府资格的标准，具有一定的单边色彩。标准包括两方面内容：一是依据CLOUD法案与美国签署双边协定；二是该国政府能够为电子通信服务提供商和远程计算服务提供商（也就是CLOUD法案适用的两类主体）提供类似于CLOUD法案规定的实质性和程序性权利保障[vii]。

13.   可以总结为，只有符合CLOUD法案标准的他国政府，在跨境取证方面才能够享受对等便利，同时也消除了美国服务提供商所面临的法律冲突。适格政府能够在执法调查中，直接从美国服务提供商处便利地获取证据，实施数据本地化的必要性大为减少。至此，通过CLOUD法案的精心设计，美国国家利益和产业利益取得了高度一致。

14.  CLOUD法案生效后，尽管面临一些批评质疑，但由于其提出了数字全球化时代的司法协助改革方案，总体进展超出预期。2019年10月，英美正式达成基于CLOUD法案之下的协助协议[viii]。欧盟一方面紧随CLOUD法案出台了欧盟执法扩张性立法草案，另一方面也启动了与美国基于CLOUD法案的双边协商[ix]。

15.  微软作为行业代表也提出了CLOUD法案后续具体实施中应当遵循的六项原则：[x]

1）除特殊情况外，用户有知情权（保密永远是例外，而不是常态）；

2）前置的独立司法授权和最低要求的公开；

3）具体完整的法律流程和明确的质疑理由；

4）解决与第三国法律冲突的机制；

5）查询企业数据规则的现代化；

6）透明度。

微软特别强调：执法部门应直接从云客户而不是云服务提供商处调取数据，这两者之间的关系才是执法场景下最直接的法律关系。

16.   CLOUD法案并不能一蹴而就解决作为刑事证据的数据跨境获取问题，后续在双边协议谈判中，仍存在如下争议和难点：

1）对通信内容数据和非内容数据的保护分歧。美欧都认同该数据分类，但欧盟对非内容数据也坚持高标准保护要求；

2）服务提供商的法律冲突困境，CLOUD法案中设置的抗辩机制如何有效实施；

3）如何合理的设置电子取证中的留存，提取，保全环节；

4）如何在新的执法协作机制中落实双重犯罪原则。

5）管辖权冲突变得频繁和主动，如何以更好的方式予以协调解决；

6）在涉及第三国利益时，如何通过实体和程序设计，保障第三国权益。

上述问题的讨论将进一步明晰CLOUD法案的具体细节，加速CLOUD改革方案的落地推行。在基于CLOUD法案的第一份行政协议——英美协议中，已经对上述问题进行了回应，值得研究参考。

17.  对于企业来说，需要加紧准备因CLOUD法案及类似法案（如欧盟《电子证据条例》）、英国《犯罪（海外执行命令）法案》带来的合规挑战。以CLOUD法案为例，需要从“服务类型——管辖——数据”三个方面拓展合规空间，对控制、访问数据的主体实施分离，降低法律冲突：

1）明确自身服务类型（是否属于CLOUD法案管辖的电子通信服务提供商和远程计算机服务提供商）。对这两种服务商的界定不仅依靠CLOUD条文表述，更需要结合相关案例来综合判断；

2）充分利用针对“长臂管辖”的限制原则，寻找管辖豁口，准确理解和适用国际礼让原则；

3）调整公司治理结构，配合技术管理措施，对数据实行分离管理。明确证明并不控制、监管或拥有相关数据。“管理分离”也是短期内最重要的一个合规方向。

不仅互联网企业，包括数字化的金融、航空等传统企业也将面临极大合规挑战。考虑到美国是判例法国家，CLOUD法案生效后，应关注和跟进援引CLOUD法案的相关案例，提炼总结经验。特别是对于将国际化视为重要发展战略的企业来说，需要做好充分的法律合规风险评估。

数字经济的发展对全球化提出了全新的命题，全球化发展路径、组织模式将面临根本性调整。在一定时期内，企业需要承受主体分离、运营分离、数据分离等一系列“隔离”措施的阵痛。

18.  跨境电子取证已经远远超越了企业合规视角，卷入了司法主权和数据主权议题，国家将扮演更为重要的角色。从美欧跨境电子证据制度改革看，虽然其制度尝试还远未成熟，但已显露出共同性——积极应对数字全球化对跨国执法协作带来的挑战，通过实体和程序设计，来提升执法协作效率，并尽可能减少法律冲突。美国还通过机制设计，消减数据存储地主权，对冲数据本地化政策扩展势头，进一步在全球推广数据自由流动原则。

19.    当下，造成管辖制度激烈冲突的根源在于，各国对于数字时代的管辖权基础有着不同理解主张。这些主张依托和强化本国优势领域，并有着显著的域外扩张特征。美国：在信息产业领域拥有显著优势，因此其管辖以拥有和控制数据的平台企业为切入点，并通过长臂管辖理论将其放大到极致，同时一定程度上否认数据存储地管辖；欧盟：由于失去产业支撑，其面临几乎失去数据主权的尴尬境地，除了效仿美国的主体管辖外，更强调效果管辖，即欧盟《数据保护通用条例》（GDPR）所提出的只要服务提供给欧盟境内个人即受管辖；发展中国家：实施防御主义的数据本地化政策，则更坚持数据存储地主权。这些管辖主张由于建立在不同的现实基础和利益表达上，短期内难以达成调和。但CLOUD法案的出台和推进，对于“数据本地化政策”的继续推进提出了现实挑战。

20.   长远来看，数字化与全球化仍是不可逆转的发展趋势。因此尽管CLOUD法案具有单边色彩，但其核心目标仍然是服务于美国企业的全球化发展目标，为美国企业在全球继续开疆扩土提供政策支持。而对于我国来说，尽管在整体实力上与美国仍存在差距，但在数字经济领域也形成了一定的基础，在全球化方面也有着发展诉求。

数字经济全球化所带来的数据跨境充分流动现象，以及其带来的执法数据获取的挑战，是当前无法回避的重大问题，固守传统规则，无法走出困境。我们应积极正视，审时度势，直面数字化带来的巨大变革，完善数据治理理论基础，统筹贸易场景下的数据跨境流动议题和执法环境下的数据跨境调取议题，适度调整开放，以灵活务实态度参与国际对话，积极构建国际规则，为企业全球化发展提供多重渠道，通过数字经济的发展捍卫数据主权。

该报告全文4万余字，将于2020年1月11日正式发布。

参考资料

---

王铁崖:《国际法》，法律出版社1995年版，第90页。

[ii]中国司法部网站http://www.moj.gov.cn/Department/node_359.html，2019年11月4日访问。

[iii]Proposal for a Regulation of the European Parliament and of theCouncil on European　Production and　Preservation Orders for electronic evidence in criminal matters　And　Proposal for a Directive of the EuropeanParliament and of the Council laying down　harmonisedrules on the appointment of legal representatives for the purpose of　gathering evidence in criminal proceedings（Brussels,17.4.2018　SWD(2018) 118 final）．

[iv]Deputy Assistant Attorney General Richard W. Downing DeliversRemarks at the Academy of European Law Conference on “Prospects forTransatlantic Cooperation on the Transfer of Electronic Evidence to PromotePublic Safety” London, United Kingdom, Friday, April 5, 2019

[v]David Ruiz, Microsoft Clears the Air About Fighting CLOUD ActAbuses, https://www.eff.org/deeplinks/20 ... g-cloud-act-abuses.

[vi] Brad Smith - The CLOUD Act is an important step forward, but nowmore steps need to follow，Apr 3, 2018, See, https://blogs.microsoft.com/on-t ... eps-need-to-follow/ 。

[vii] 18U.S.C. § 2703

[viii]https://www.justice.gov/opa/pr/us-and-uk-sign-landmark-cross-border-data-access-agreement-combat-criminals-and-terrorists

[ix]https://www.justice.gov/opa/pr/joint-us-eu-statement-electronic-evidence-sharing-negotiations

[x]Brad Smith, A call for principle-based international agreements togovern law enforcement access to data, https://blogs.microsoft.com/on-t ... ent-access-to-data/