導航

豐國(guó)說(shuō)法

【豐國(guó)說(shuō)法】蘋果iCloud數據遷移我國(guó)境内,僅僅是提升服務速度與可(kě)靠性嗎(ma)?美國(guó)剛通過的CLOUD Act對此又有何影(yǐng)響? 原創: 王立 豐國(guó)律師(shī) 3月26日(rì) 2018-03-26
蘋果iCloud數據遷移我國(guó)境内,僅僅是提升服務速度與可(kě)靠性嗎(ma)?美國(guó)通過的CLOUD Act對此又有何影(yǐng)響?
 
 

作(zuò)者:王立

(經濟法學博士,浙江豐國律師事務所工會委員會律師(shī)、杭師(shī)大(dà)錢江學院教師(shī))
 

 

2月28日(rì)開始,蘋果公司基于我國(guó)相(xiàng)關法律的規定,将iCloud服務轉由“雲上貴州”運營。中國(guó)内地公民(mín)在iCloud上存儲的所有信息,包括照(zhào)片、視頻、文稿和備份等,全部由我國(guó)境内的雲上貴州運營。

 

乍一看(kàn)這條新聞似乎也沒什麽,不過就(jiù)是蘋果公司将客戶數據從(cóng)中國(guó)境外存儲轉爲中國(guó)境内存儲而已。可(kě)以提升服務速度與可(kě)靠性。

 

但(dàn)筆者看(kàn)到另一則新聞,說(shuō)美國(guó)總統特朗普在3月23日(rì)簽署生(shēng)效了《CLOUD Act》。這個法案與蘋果的iCloud服務數據遷移,兩者一比照(zhào),就(jiù)有意思了。

 

1、蘋果iCloud 數據遷移前的執法跨境數據調取


首先明确一點,中國(guó)内地公民(mín)在iCloud上存儲的信息(包括照(zhào)片、視頻、文稿和備份等)實際上原本就(jiù)是存儲在中國(guó)境内的。隻不過,iCloud的密匙信息(iCloud的登錄密碼、指紋等)是存儲在美國(guó)的。這次與雲上貴州的合作(zuò),實際上是将iCloud密匙信息從(cóng)美國(guó)服務器上遷移到了中國(guó)服務器上。

 

iCloud密匙存儲在中國(guó)和存儲在美國(guó),有着重要的法律适用區别。按照(zhào)國(guó)際通行的司法管轄原則,跨境數據的司法調取遵循“數據存儲地标準”或“數據控制者标準”。前者是指隻有數據存儲地的政府才有權直接調取數據,後者是指數據控制者所在國(guó)的政府也可(kě)以直接要求數據控制者調取存儲在境外的數據。

 

實踐中,一般的通行标準是“數據存儲地标準”。也就(jiù)是說(shuō),我們中國(guó)公民(mín)通過iCloud服務進行通訊和工(gōng)作(zuò)協作(zuò),産生(shēng)糾紛之後走司法程序。中國(guó)司法機(jī)關要求美國(guó)的蘋果公司提供iCloud上的相(xiàng)關數據時,美國(guó)的蘋果公司有權拒絕提供存儲在美國(guó)的iCloud密匙。

 

當然,存儲在中國(guó)境内的用戶照(zhào)片、視頻、文稿等信息必須提供給司法機(jī)關。隻不過這些信息都(dōu)是加密的,而美國(guó)蘋果公司并沒有解密義務。換言之,我可(kě)以給你(nǐ)數據,但(dàn)你(nǐ)無法讀(dú)取。

 

并且美國(guó)有SCA法案禁止蘋果向外國(guó)政府直接提供内容數據:


蘋果自(zì)己表示,從(cóng)2013年(nián)年(nián)中到2017年(nián)年(nián)中,雖然收到了來(lái)自(zì)中國(guó)有關部門(mén)的176項調取數據請(qǐng)求,該公司一次也沒有向中國(guó)監管機(jī)構提供用戶賬戶内容。相(xiàng)比之下,蘋果對來(lái)自(zì)美國(guó)政府的8475項請(qǐng)求中的2366項作(zuò)出了回應,提供了美國(guó)用戶賬戶内容。

 

所以,中國(guó)執法、司法機(jī)關如(rú)果需要獲得(de)完整的相(xiàng)關數據,就(jiù)需要根據雙邊的司法協定請(qǐng)求美國(guó)法院調取。因爲iCloud密鑰存儲于美國(guó),隻有美國(guó)法院能夠強迫總部在美國(guó)的蘋果公司交出iCloud密鑰。不僅是中國(guó),世界上其他(tā)國(guó)家政府需要調取用戶iCloud内的内容,都(dōu)需要美國(guó)法院的首肯。

 

首先,美國(guó)法院是否首肯會受到美國(guó)法律(而非中國(guó)法律)的制約;其次,可(kě)能還(hái)有政治文化等因素;第三,就(jiù)算前面的障礙全部清除,整個司法協助程序走下來(lái)可(kě)能也需要十個月甚至更多的時間。

 

民(mín)商事(shì)案件(jiàn)還(hái)好說(shuō),如(rú)果是兩個中國(guó)公民(mín)通過蘋果的服務進行走私、販毒等違法犯罪行爲,調查取證難道也需要經過美國(guó)法院的首肯?這簡直就(jiù)是将司法主權拱手相(xiàng)讓。



由于美國(guó)互聯網公司在英國(guó)市場的絕對優勢地位,這些恐怖主義分(fēn)子越來(lái)越多地使用美國(guó)公司提供的通信産品和服務,例如(rú)從(cóng)2013年(nián)5月起,英國(guó)政府處理(lǐ)的十來(lái)起恐怖主義案件(jiàn)都(dōu)涉及美國(guó)公司的産品。對于英國(guó)政府提出的獲取通信内容的要求,不少美國(guó)公司明确表示隻能通過雙邊司法協助程序。


因此互聯網時代,iCloud密匙數據存儲在中國(guó)還(hái)是存儲在美國(guó),是個大(dà)問(wèn)題。數據本身(shēn)的流動性,産生(shēng)了新的法律問(wèn)題。

 

2蘋果iCloud數據遷移後的執法數據調取

 

根據我國(guó)《網絡安全法》第三十七條:“關鍵信息基礎設施的運營者在中華人(rén)民(mín)共和國(guó)境内運營中收集和産生(shēng)的個人(rén)信息和重要數據應當在境内存儲。”,以及中國(guó)雲服務業務關于外資準入的監管要求(特别是工(gōng)信部2016年(nián)年(nián)底征求意見(jiàn)的《關于規範雲服務市場經營行爲的通知(征求意見(jiàn)稿)》),蘋果公司做出數據遷移決定:

 

 

蘋果做出這樣的決定其實很不樂意(“While we advocated against iCloud being subject to these laws, we were ultimately unsuccessful,”)。但(dàn)是爲了中國(guó)市場,蘋果做了妥協。

 

路(lù)透社2月24日(rì)報道《蘋果将iCloud密鑰轉存至中國(guó),引發人(rén)權方面的擔憂》(Apple moves to store iCloud keys in China, raising human rights fears)中涉及了執法跨境調取數據的問(wèn)題。路(lù)透社報道說(shuō),iCloud密鑰從(cóng)未在美國(guó)之外的地方存儲,蘋果公司将之存儲于中國(guó)境内是破天荒頭一遭。由于iCloud密鑰将存儲在中國(guó),中國(guó)權力機(jī)關将不再需要通過美國(guó)法院來(lái)尋求iCloud用戶的信息,而是能夠利用自(zì)己的法律系統來(lái)要求蘋果交出中國(guó)用戶的iCloud數據。

 

筆者認爲,抛開人(rén)權、知識産權等方面的意識形态討(tǎo)論,iCloud密匙存儲與我國(guó)境内,對于中國(guó)的數據主權掌控是一件(jiàn)好事(shì)兒,有利于我國(guó)執法和司法機(jī)關開展工(gōng)作(zuò)并增強國(guó)家網絡安全。

 

但(dàn)也要注意到,就(jiù)算是iCloud數據存儲于中國(guó)境内,調取也不一定會很順利。數據遷移後,iCloud并非由雲上貴州一家管理(lǐ)這些信息,而是由雲上貴州和蘋果公司共同掌握數據的管理(lǐ)權。根據路(lù)透社的報道,雲上貴州似乎還(hái)不是一個和蘋果法律地位平等的數據控制者,特别是在密鑰的控制和管理(lǐ)方面仍然是蘋果占據主導地位。

 

雲上貴州在媒體(tǐ)采訪中表示,隻有在滿足法律要求的前提下才會将提供用戶的數據請(qǐng)求發送給蘋果公司。換言之,實際上雲上貴州并不掌握iCloud密匙,這些信息仍然由蘋果公司掌握。如(rú)果蘋果公司不願意,可(kě)能還(hái)是不能順利拿到相(xiàng)關數據。

 

3、美國(guó)CLOUD Act簽署生(shēng)效後的執法數據調取

 

美國(guó)時間3月23日(rì),美國(guó)總統特朗普正式簽署了《澄清域外合法使用數據法案》(Clarify Lawful Overseas Use of Data Act,CLOUD Act),該法案正式生(shēng)效實施。

 

CLOUD Act對美國(guó)執法人(rén)員(yuán)查看(kàn)存儲在互聯網上的電子郵件(jiàn)、文檔和其他(tā)通信内容的規則進行了更新,允許美國(guó)監管、執法、司法部門(mén)通過美國(guó)的法律程序調取美國(guó)公司存儲在境外的數據。現在執法人(rén)員(yuán)将不會被阻止訪問(wèn)某人(rén)的Outlook帳戶,即使微軟将用戶的電子郵件(jiàn)存儲在愛爾蘭的服務器上。

 

該法案還(hái)允許“适格外國(guó)政府”(qualifying foreign governments)向美國(guó)境内的數據控制者(美國(guó)公司)直接發出調取數據的命令,美國(guó)公司可(kě)以将有關美國(guó)服務器的信息發送給其他(tā)國(guó)家的刑事(shì)調查人(rén)員(yuán)。

 

CLOUD Act法案實際上在跨境數據的執法調取上采用了“實際控制标準”,而非“數據存儲地标準”。這爲當前在國(guó)家之間共享互聯網用戶信息的多方司法協助程序提供了一種高效的替代方案。(更詳盡的分(fēn)析請(qǐng)參閱《美國(guó)Cloud Act法案到底說(shuō)了什麽》一文。)

 

可(kě)是CLOUD Act對“适格外國(guó)政府”提出多種門(mén)檻條件(jiàn)。中國(guó)政府不可(kě)能符合這個法案中的“适格外國(guó)政府”的條件(jiàn)。所以,中國(guó)政府想要跨境提取存儲在美國(guó)的數據還(hái)是隻能通過雙邊司法協助程序來(lái)進行。

 

但(dàn)是反過來(lái),美國(guó)政府則可(kě)以直接下令美國(guó)的公司(如(rú)蘋果)調取存儲在中國(guó)的數據。中國(guó)政府目前似乎沒有任何的阻止辦法。

 

那麽問(wèn)題來(lái)了,中國(guó)的數據主權該如(rú)何掌控?隻能要求外國(guó)公司所有數據必須存儲在中國(guó)境内(如(rú)iCloud的數據遷移)嗎(ma)?還(hái)是可(kě)以做更多?