張春飛 楊筱敏

(中國信息通信研究院政策與經(jīng)濟研究所，北京 100191)

0 引言

2020年7月16日，歐盟法院在“Schrems II”案件中判定歐盟與美國在2016年達成的用于跨大西洋傳輸個人數(shù)據(jù)的《歐美隱私盾》協(xié)議無效，因為美國的數(shù)據(jù)保護未能達到歐盟標準。該判決援引的核心論據(jù)是美國政府根據(jù)《外國情報監(jiān)視法》第702條(下文簡稱“702條款”)和《12333號美國情報活動行政令》(下文簡稱“12333號令”)所開展的情報監(jiān)視活動對數(shù)據(jù)主體權(quán)利造成潛在干擾，法院還提及斯諾登事件所披露的兩個數(shù)據(jù)監(jiān)視程序“棱鏡計劃”(PRISM)和“上游計劃”(UPSTREAM)。為什么“702條款”和“12333號令”會對隱私盾協(xié)議的有效性產(chǎn)生這么大的影響？本文通過探究美國政府對電子數(shù)據(jù)的監(jiān)視和調(diào)取制度以求找到答案。

1 不同執(zhí)法目的下美國政府的電子數(shù)據(jù)調(diào)取體系概述

美國政府出于不同執(zhí)法目的的電子數(shù)據(jù)監(jiān)視和調(diào)取體系大體可分為兩類：一般執(zhí)法情形下的數(shù)據(jù)調(diào)取體系和以保障國家安全為目的的數(shù)據(jù)監(jiān)視和調(diào)取體系，兩種體系下美國的數(shù)據(jù)調(diào)取法律依據(jù)、程序、手段和可獲取的數(shù)據(jù)范圍有所不同。

1.1 一般執(zhí)法情形下的數(shù)據(jù)調(diào)取體系

一般執(zhí)法情形下的數(shù)據(jù)調(diào)取體系以《電子通信隱私法》(ECPA)為核心依據(jù)，該法共由三章組成，分別為《竊聽法》《存儲通信法》和《筆式記錄器法》[1]?！峨娮油ㄐ烹[私法》在明確禁止非法監(jiān)聽、保護公民通信隱私為一般原則的同時，也規(guī)定了為滿足美國政府機構(gòu)刑事調(diào)查、民事案件、國家安全等各類執(zhí)法目的的例外情形，包括如何使用各類型的司法程序來向信息通信企業(yè)監(jiān)聽和調(diào)取通信內(nèi)容、用戶信息和通信記錄等數(shù)據(jù)?！峨娮油ㄐ烹[私法》制定于1986年，由于立法之時云計算等信息通信技術(shù)尚未興起，因此沒有考慮數(shù)據(jù)跨境流動的情形。2018年，為了解決大數(shù)據(jù)時代背景下政府執(zhí)法機構(gòu)跨境調(diào)取數(shù)據(jù)的實際困難，美國政府出臺《澄清境外數(shù)據(jù)的合法使用法》(下文簡稱為“CLOUD法”)對《存儲通信法》進行了重大修訂，明確賦予美國執(zhí)法機構(gòu)出于保護公共安全、調(diào)查嚴重犯罪的目的調(diào)取境外數(shù)據(jù)的權(quán)力。

1.2 以保障國家安全為目的的數(shù)據(jù)監(jiān)視和調(diào)取體系

基于國家安全的數(shù)據(jù)監(jiān)視和調(diào)取體系主要建立在《外國情報監(jiān)視法》和12333號令的基礎(chǔ)上，《愛國者法》《美國自由法》等都曾對《外國情報監(jiān)視法》進行過修訂?！锻鈬閳蟊O(jiān)視法》建立了一套滿足于國家安全目的的情報數(shù)據(jù)執(zhí)法體系，創(chuàng)設(shè)了專門的外國情報監(jiān)視法庭(FISC)來批準情報部門的監(jiān)視計劃。目前，在執(zhí)法中被廣泛使用的是2008年通過的《外國情報監(jiān)視法》第702條，該條款授權(quán)美國情報部門可以出于獲取外國情報信息目的，在美國境內(nèi)監(jiān)視位于境外的外國公民的通信數(shù)據(jù)和內(nèi)容，同時還規(guī)定了目標程序和最小化程序來確保監(jiān)視僅針對外國公民，以減少對美國公民數(shù)據(jù)的附帶收集。美國政府稱，702條款對保障國家安全至關(guān)重要，能夠提供恐怖分子的身份、計劃、運行等信息，以及核擴散者和其他威脅美國的國外敵對勢力的意圖和能力的信息。例如，702條款收集的信息對于發(fā)現(xiàn)并破壞2009年一起針對紐約市地鐵系統(tǒng)的炸彈襲擊具有決定作用，并最終導(dǎo)致罪犯被逮捕和定罪。里根總統(tǒng)在1981年簽署的12333號令，也是美國情報機構(gòu)開展情報收集的主要授權(quán)文件之一。12333號令建立了美國情報收集的組織架構(gòu)和授權(quán)，并且和702條款互為補充，美國國家安全局等情報機構(gòu)根據(jù)該命令可在美國境外開展外國情報信息和數(shù)據(jù)收集。

2 一般執(zhí)法情形下的數(shù)據(jù)調(diào)取體系

2.1 數(shù)據(jù)調(diào)取程序與范圍具有較強的規(guī)范性

美國政府依據(jù)《電子通信隱私法》開展數(shù)據(jù)調(diào)取活動必須獲得相關(guān)的法律文件授權(quán)，并且基本遵守一案一議的做法，因此充分考慮了公民權(quán)利并具有較強的規(guī)范性。依據(jù)《電子通信隱私法》，一般情況下政府需要通過法律文件(如傳票、法院命令或搜查令)，才可要求信息通信企業(yè)披露用戶數(shù)據(jù)。在各類法律文件中，傳票的門檻最低，使用最廣泛，政府可在未有法官審核下發(fā)出傳票，但可獲取的數(shù)據(jù)類型最少，例如，僅可調(diào)閱Gmail的用戶注冊信息、登陸IP地址和時間戳，而不能調(diào)取郵件標頭信息和內(nèi)容。政府機構(gòu)可在刑事和民事案件中使用傳票。法院命令的門檻居中，需通過法官審查取得，可獲取的數(shù)據(jù)類型多于傳票，例如，可獲取電子郵件標頭信息。搜查令的門檻最高，可獲取的數(shù)據(jù)類型最多，例如可獲取電子郵件內(nèi)容等信息，政府機關(guān)須向法官提出申請，并舉出更多證據(jù)證明搜查令的必要性和正當理由。法院命令及搜查令僅適用于刑事案件調(diào)查[2]。

2.2 美國政府對4家科技巨頭的數(shù)據(jù)調(diào)取規(guī)模位居全球首位

根據(jù)谷歌、蘋果、微軟、臉書披露的全球政府數(shù)據(jù)調(diào)取的透明度報告，美國政府向這4家科技巨頭調(diào)取的用戶賬戶數(shù)量分別占其全球用戶總數(shù)的46%、74%、36%和37%[3-6]，位居全球之首，且該調(diào)取數(shù)量一直在高速增長。以谷歌為例，2013年下半年美國政府請求披露的用戶賬戶數(shù)量為18 254個，到2019年下半年，美國政府請求披露的用戶賬戶數(shù)量增長為94 934個，6年增長了420%。谷歌、蘋果、微軟、臉書在收到美國政府的數(shù)據(jù)調(diào)取請求后會進行合法性評估，在確認請求符合法律規(guī)定后，才會根據(jù)請求提供數(shù)據(jù)。美國政府的執(zhí)法請求得以遵循的比例相對較高，例如，谷歌近年來對美國政府的數(shù)據(jù)調(diào)取請求遵守比例大概在80%～95%之間，而對俄羅斯政府提出的數(shù)據(jù)調(diào)取請求遵守比例在0%～15%之間。

2.3 美國享有廣泛的域外數(shù)據(jù)管轄權(quán)并在國際執(zhí)法合作中居于主導(dǎo)地位

2018年通過的CLOUD法對《電子通信隱私法》的第二章《存儲通信法》進行了修訂，一方面授權(quán)美國執(zhí)法機構(gòu)有權(quán)調(diào)取受美國管轄的企業(yè)所擁有和控制的境外數(shù)據(jù)。數(shù)據(jù)范圍并不限于美國公民的數(shù)據(jù)，在滿足一定條件的情形下也可調(diào)取非美國公民的數(shù)據(jù)；可調(diào)取數(shù)據(jù)的企業(yè)范圍也并不僅限于美國企業(yè)或總部在美國的企業(yè)，外國企業(yè)如果在美國提供業(yè)務(wù)并且與美國發(fā)生了充分的聯(lián)系，也可能被要求提供境外數(shù)據(jù)[7]。

另一方面，CLOUD法授權(quán)美國政府與符合規(guī)定標準的“適格外國政府”簽署雙邊執(zhí)法協(xié)議，允許出于嚴重犯罪調(diào)查目的，一方執(zhí)法機構(gòu)跨境調(diào)取另一方國家的信息通信服務(wù)提供商的數(shù)據(jù)，以解決兩國間的法律沖突問題。2019年10月，美英政府簽署了首個CLOUD法授權(quán)下的跨境數(shù)據(jù)調(diào)取合作協(xié)定——《美英反嚴重犯罪電子數(shù)據(jù)訪問協(xié)定》。從協(xié)定內(nèi)容來看，盡管協(xié)定本身是基于互惠基礎(chǔ)上達成的，但是正如美國司法部所說，由于很多數(shù)據(jù)由美國互聯(lián)網(wǎng)企業(yè)持有，因此，外國政府的跨境合作需求比自身更大，從而造成協(xié)定中出現(xiàn)了一些不對等條款。例如，美國公民數(shù)據(jù)得到的保護要比英國公民更為嚴格，美國公民和永久居民無論是否在美國境內(nèi)，英國政府都被限制收集其數(shù)據(jù)；而英國公民或永久居民一旦離開英國境內(nèi)，美國政府則不受訪問限制。同時，英國被要求采取最小化程序來確保最低程度附帶收集美國公民的數(shù)據(jù)，而反之對美國并無該項要求。此外，數(shù)據(jù)跨境調(diào)取的關(guān)鍵環(huán)節(jié)決策權(quán)向企業(yè)屬國傾斜，包括：對存在異議的數(shù)據(jù)請求命令是否可執(zhí)行的決定權(quán)，對保障本國數(shù)據(jù)安全的目標化程序和最小化程序的批準權(quán)，以及對可能觸及本國根本利益的數(shù)據(jù)使用的批準權(quán)等。由于美國互聯(lián)網(wǎng)企業(yè)掌握著更多數(shù)據(jù)，這也意味著英國政府將更多地受到美國政府的制約。

3 基于國家安全的數(shù)據(jù)調(diào)取體系

3.1 不同立法授權(quán)下的數(shù)據(jù)調(diào)取范圍有所不同但相互補充

出于維護國家安全和反恐的需要，美國政府可通過國家安全函(NSL)、《外國情報監(jiān)視法》和12333號令進行數(shù)據(jù)調(diào)取和國外情報收集。國家安全函由聯(lián)邦調(diào)查局 (FBI)依據(jù)《電子通信隱私法》等立法簽發(fā)，無需獲得法院批準，可以要求相關(guān)方提供有線或電子通信服務(wù)用戶的“姓名、地址、服務(wù)使用時間以及本地或長途電話收費賬單記錄”。依據(jù)《外國情報監(jiān)視法》，美國國家安全局可出于國家安全目的向國外情報監(jiān)視法庭(FISC)提出在美國境內(nèi)收集外國情報數(shù)據(jù)的申請?！锻鈬閳蟊O(jiān)視法》的702條款使美國政府可以要求美國公司提供位于美國境外的非美國公民或非合法永久居民的賬號相關(guān)信息及通信內(nèi)容。而依據(jù)12333號令，美國國家安全局無需法院命令便可在境外收集通信元數(shù)據(jù)和內(nèi)容。

3.2 數(shù)據(jù)監(jiān)視和調(diào)取的授權(quán)程序和范圍透明性不足，并缺乏實質(zhì)司法監(jiān)督和救濟

盡管在普通刑事、民事領(lǐng)域，美國充分考慮了公民自由和隱私權(quán)利，但是美國政府在國家安全領(lǐng)域的數(shù)據(jù)監(jiān)視和調(diào)取存在一定的寬泛性和不透明性，并受到美國許多人權(quán)組織的詬病。首先，美國總統(tǒng)根據(jù)憲法擁有開展情報監(jiān)視活動的寬泛授權(quán)。美國憲法第二條授權(quán)總統(tǒng)擔任海陸軍總司令。根據(jù)該條款，美國總統(tǒng)有權(quán)在沒有國會和司法監(jiān)督的情形下開展電子監(jiān)視。例如，在“9.11事件”發(fā)生后，布什總統(tǒng)以憲法第二條授權(quán)為由，命令國家安全局在無需獲取司法授權(quán)的情形下對外國公民與境內(nèi)美國公民的通信數(shù)據(jù)進行監(jiān)視和收集。其次，美國政府開展的外國情報監(jiān)視程序透明性不足并缺乏實質(zhì)司法監(jiān)督。如果在境外開展外國情報監(jiān)視，屬于12333號令的授權(quán)范圍，完全依據(jù)總統(tǒng)或者聯(lián)邦情報機構(gòu)的指令和政策行事，無需任何形式的司法審查和監(jiān)督。如果在境內(nèi)開展外國情報監(jiān)視，則屬于《外國情報監(jiān)視法》702條的授權(quán)范圍，由外國情報監(jiān)視法庭(FISC)按年度而非按個案對監(jiān)視計劃做出批準，年度計劃里說明監(jiān)視的數(shù)據(jù)類別(而非具體的目標個人的信息)[8]、目標和最小化程序，年度計劃內(nèi)容和FISC裁決默認都是保密的。FISC從1979—2019年間共批準了42 947項年度監(jiān)視計劃，僅拒絕了135項，其中123項是在2013年棱鏡門事件爆發(fā)后予以拒絕的[9]。最后，由于監(jiān)視程序的非透明性以及“國家秘密特權(quán)”原則的存在，即使是美國公民，要在美國法院挑戰(zhàn)監(jiān)視程序的合法性基本是不可能的，迄今仍未有民事訴訟對702條款和12333號令的監(jiān)視行為起訴成功[10]。在Schrems II案件的判決當中，歐盟法院也提及，美國現(xiàn)行的立法中未給歐盟數(shù)據(jù)主體提供針對美國當局的可訴權(quán)。

與此同時，F(xiàn)ISC作為監(jiān)視計劃的審查和監(jiān)督機構(gòu)，主要依賴于情報機構(gòu)的自我報告來知悉違法監(jiān)視行為，F(xiàn)ISC也多次公開了相關(guān)違規(guī)行為，但并未采取有效的預(yù)防和制止措施。例如，2011年FISC首次獲知“上游監(jiān)視”計劃的范圍要比原先提交給其審查的更為寬泛，但仍允許該計劃繼續(xù)進行。

3.3 采用大規(guī)模的數(shù)據(jù)監(jiān)視手段并存在過度收集數(shù)據(jù)的可能

2013年棱鏡門事件爆發(fā)后，美國國家安全局實施大規(guī)模數(shù)據(jù)監(jiān)聽的“棱鏡計劃”進入公眾視野。實際上，美國政府開展大規(guī)模數(shù)據(jù)監(jiān)視的計劃遠不止于“棱鏡計劃”。根據(jù)美國多份官方、學(xué)者和媒體報道以及“Schrems II”案件的判決書，按照702條款開展的情報監(jiān)視至少包括“上游計劃”和“下游計劃”(原“棱鏡計劃”)兩種[11]，“上游計劃”監(jiān)視涉及對全球電信光纖骨干網(wǎng)的大規(guī)模數(shù)據(jù)監(jiān)視、拷貝和搜索，合作企業(yè)為AT&T、Verizon等電信運營商；“下游計劃”監(jiān)視對象為谷歌、臉書、微軟等互聯(lián)網(wǎng)企業(yè)，政府識別出想要監(jiān)視的賬戶，然后要求企業(yè)披露所有這些賬戶接收和發(fā)送的通信和數(shù)據(jù)。美國政府根據(jù)12333號令也開展了大量的大規(guī)模監(jiān)視計劃，例如，美國國家安全局每天收集數(shù)以億計的移動電話位置記錄，從個人電子郵件中收集數(shù)以億計的通信錄和地址簿等。美國所具備的大規(guī)模外國情報數(shù)據(jù)監(jiān)視條件也是其他國家不可比擬的。由于美國在互聯(lián)網(wǎng)和云計算領(lǐng)域具有全球領(lǐng)先地位，擁有與拉丁美洲、歐洲、亞洲三條最高的區(qū)域間互聯(lián)網(wǎng)容量以及相對便宜的帶寬價格，因而許多外國通信數(shù)據(jù)都會通過美國轉(zhuǎn)接或存儲在美國境內(nèi)服務(wù)器上。

在實施大規(guī)模數(shù)據(jù)監(jiān)視和收集的同時，由于美國法律及政策對情報信息和監(jiān)視目的進行了寬泛的界定，例如《外國情報監(jiān)視法》702條款界定的“外國情報信息”除了包含國家安全相關(guān)信息外，還包含任何與美國外交事務(wù)相關(guān)的信息，12333號總統(tǒng)令確定的情報收集目的是為了滿足國家安全、國防、外交關(guān)系的決策需要，因此造成可能收集、保存和使用了大量與國家安全無關(guān)的信息。美國國會和人權(quán)組織多次要求情報機構(gòu)披露被監(jiān)視的美國公民通信數(shù)據(jù)，但是均遭到拒絕。

4 結(jié)束語

由上可見，美國基于普通案件的數(shù)據(jù)調(diào)取體系與基于國家安全的數(shù)據(jù)調(diào)取體系存在著較大的差異，前者更多地考慮了公民隱私等權(quán)利保護，具備較強的嚴謹性和規(guī)范性。而基于國家安全的數(shù)據(jù)調(diào)取體系，存在較多的不透明性和不規(guī)范性，正是其存在的這一特點，使得歐盟對隱私盾協(xié)定是否能充分保障歐盟公民的隱私權(quán)利進行了質(zhì)疑。

目前，美國商務(wù)部和歐盟委員會正在就如何進一步增強歐美隱私盾保護框架進行討論，其若要達成一致需解決的核心問題是，美國政府如何以符合歐盟法院期望的方式進行數(shù)據(jù)監(jiān)視和調(diào)取體系的改革，即基于國家安全獲取數(shù)據(jù)所造成的對隱私權(quán)的限制應(yīng)是“必要且相稱”的。而其中的關(guān)鍵環(huán)節(jié)又在于，美國政府如何改革對大型電信及互聯(lián)網(wǎng)企業(yè)的大規(guī)模數(shù)據(jù)監(jiān)視和收集計劃。一旦兩者難以達成一致，美國的科技巨頭很可能需要將數(shù)據(jù)在歐盟境內(nèi)進行本地化存儲和處理。這對于目前正在與美國科技巨頭爭奪數(shù)據(jù)控制權(quán)和謀求數(shù)字主權(quán)的歐盟來說，也不失為一種理想結(jié)果。另一方面，2019年9月，美國司法部和歐盟委員會開始就基于CLOUD法的執(zhí)法機構(gòu)間的數(shù)據(jù)跨境訪問合作進行正式談判，很明顯這一談判的規(guī)則主導(dǎo)權(quán)掌握在美國手中，歐盟將如何平衡公民隱私權(quán)保護和執(zhí)法利益仍有待觀察。

總體來看，隨著數(shù)據(jù)在地緣政治經(jīng)濟博弈中的重要性不斷提升，一國政府執(zhí)法所采取的數(shù)據(jù)調(diào)取體系對兩國間的數(shù)據(jù)跨境流動合作也在產(chǎn)生日益重大的影響。美歐作為傳統(tǒng)盟國，在個人數(shù)據(jù)領(lǐng)域的合作已經(jīng)出現(xiàn)不小的矛盾，對于我國而言，在《個人信息保護法》《數(shù)據(jù)安全法》尚未出臺的情形下，若要開展與美歐的個人數(shù)據(jù)跨境流動合作可能會面臨更大的挑戰(zhàn)。