內在的事務撮要:我國已經由過程《收集平安法》《小我信息維護法》以及《數據平安法》保護國度平安以及國民符合法規權益。跟著跨境數據調取在收集平安以及收集隱私中激發的爭議,繚繞數據跨境調取懇求審查尺度的《數據平安法》第36條值得沉思。今朝,該條目存瑜伽教室在數據分類不清楚、審查尺度含混、審查權分派僵化等題目。面臨世界立法規中已存在的復雜審查規定,應當均衡國度平安與小我隱私權維護之間的張力,并基于國度主權的斟酌付與前者以優先位置。進而,從數據靜態活動與靜態存儲的技巧實行角度剖析,司法數據跨境調取審查規定的建構需求尊敬科技的選擇、合適我國的國度好處、服從我國今朝有關數據流出政策的監管趨向。最后,本文以完全、詳細的重塑后的“第36條”作為結論。
關 鍵 詞:數據跨境調取審查 國度平安 小我隱私 數據存儲 數據活動
一、數據跨境調取的實際沖突
跟著收集世界的飛速成長,數據已成為國度基本計謀資本。固然今朝在國際法層面尚未構成有關數據跨境活動管理的同一規定,但重要存在兩種趨向:一種趨舞蹈教室向誇大“數據主權論”,以為全球數據管理仍然應該繚繞主權睜開,并以收集主權為出發點朝著對技巧主權的尊敬而成長;另一種趨向1對1教學是“數據不受拘束主義”,誇大列國不該該以主權為來由干預數據的不受拘束活動。兩種思緒在實行中不竭碰撞,由實際差別帶來的實行沖突是以不足為奇,①當然,同時主意兩者的混雜退路范式的國度也存在。②
(一)數據主權及其在技巧主權支持下的擴大趨向
對數據管理的追蹤關心是收集成長與管理的高等形狀,是以數據主權實際是收集主權實際的天然延長,是物理主權在收集空間的邏輯映射。③國度主權包括的數據主權重要包含表裡兩個范疇“對內”指一國在其國土范圍內對信息通訊技巧運動(針對收集虛擬腳色)、信息通訊技巧體系(針對平臺)及其承載數據(針對收集虛擬資產)具有最高的、排他的管轄權與安排力;④“對外”指在以主權國度為單元的公共次序下,列國遵照《結合國憲章》有關國際關系的基礎準繩,不受他國干預地管理本國收集空間,以同等介入協同共治的理念處理爭端、推進成長,保持收集空間和實際空間在國際軌制上的分歧性。⑤
技巧主權是歐盟于2020年2月密集發布的三份主要數字計謀文件,即《歐盟數據計謀》(A European Strategy for Data)、《塑造歐洲的數字將來》(Shaping Europe's Digital Future)和《人工智能白皮書——尋求出色和信賴的歐洲計劃》(White Paper:On Artificial Intelligence-A European Approach to Excellence and Trust),(下稱“《人工智能白皮書》”),都提出并貫串一直的主要概念。該概念與數據主權親密相干,但在技巧、規定和價值三個方面年夜年“也就是說,大概需要半年時間?”夜拓寬了原有實際。
起首,技巧主權在數字技巧自己層面拓寬了數據主權概念,誇大歐盟在要害技巧範疇以及主要基本舉措措施方面堅持自立性,削減對其他國度或地域的技巧依靠。其次,技巧主權在規定層面拓展了數據主權概念。針對與數據處置有關的基本舉措措施,如5G,歐盟追蹤關心、介入并制訂了相干技巧尺度。面臨全球數據管理在短時光內難以構成同一尺度,歐盟提出構建“單一的歐洲數據空間”,并在這一實際基本上樹立可以或許反應歐洲好處的規定與法律系統。最后,技巧主權在價值層面拓展了數據主權概念,歐盟經由過程技巧主權向全世界輸入本身價值不雅。《塑造歐洲的數字將來》寫道:“歐洲的技巧主權并不針對任何人,而是經由過程追蹤關心歐洲國民和歐洲社會形式的需求而斷定的”,“數字歐洲應當反應出歐洲最好的屬性:開放、公正、多樣化、平易近主和自負”,為此,歐洲要成長“辦事于人的技巧”、打造“公正競爭的經濟”、扶植“開放、平易近主和可連續的社會”,誇大“歐洲數字化轉型的方法,要可以或許加強歐洲的平易近主價值不雅,尊敬歐洲國民的基礎權力,并有利于完成可連續成長、天氣中立和資本節儉型經濟”。
(二)數據不受拘束實際
與數據主權實際安身于國度主權相反,數據不受拘束實際是在收集空間自力的理念上成長而來。自收集發生伊始,便有不雅點將收集比作和太空、公海等類似的“全球公域”,誇大收集世界的開放、無鴻溝與虛擬性。⑥持這種理念的學者以為,收集世界應當高度自治、充足不受拘束,從而解脫主權國度的一切約束。與此絕對應,持數據不受拘束實際的學者以為,收集空間中的數據自力于物理世界而存在,其活動是技巧支撐的成果,應該弱化主權國度鴻溝對數據活動形成的影響,數據管理也應該采用自治的方法,由私營部分、平易近間集團同國度當局配合介入。⑦
但是,有一種欠好的趨向是,存在將收集不受拘束主義作為“單邊主義”的捏詞從而使其成為政治霸權與經濟逆全球化的說明東西。好比有學者以為,假如在法令範疇對數據跨境活動設置具有強迫力的規定,將會“不成防止地障礙貿易運動”,也會使規制數字跨境活動的法令變為障礙數字商業的壁壘,是對收集不受拘束市場的損壞,是以,在數字範疇消除國度權利干涉長短常需要的。⑧甚至有人以為,主權國度對數據不受拘束與開放的障礙終極將招致收集空間的“巴爾干化”。⑨現實上,在列國今朝數字科技與數字經濟實力相差宏大的佈景下,單方面尋求數據不受拘束的不雅點在實質上是固化數字實力強盛國度曾經樹立和擁有的“數據上風”,進而在收集空間中成為新的立法者。⑩從列國成長角度看,在收集範疇只談不受拘束的做法無疑是有利于數字科技發財國度的,將使當下不公正的競爭格式更加嚴重,褫奪新興國度在數字科技範疇的話語權與成長權,是以,誇大“數據主權”恰好是對“數據不受拘束”能夠激發的不公正格式擴大的應對。(11)
可以看出,“數據不受拘束”誇大列國數字經濟與數字商業間的不受拘束與效力,而“數據主權”則更重視主權國度的平安與成長,這就招致二者在數據與主權關系題目上發生了彼此沖突的態度。現實上,列國在數字範疇采取的立場與其實際訴求親密相干,列國在“數據主權”與“數據不受拘束”之間的選擇恰是基于各自好處的分歧,浮現出彼此競爭、彼此融合的復雜狀況。
(三)實行中數據主權的雙重表達
自美國2018年《廓清海內符合法規數據應用法案》(Clarifying Lawful Overseas Use of Cloud Data,以下簡稱“《云法案》”)經由過程之后,便同《通信存儲法案》(Stored Communication Act,以下簡稱“SCA”)以及早在1987年失效的《電子通信隱私法案》(Electronic Communications Privacy Act,以下簡稱“ECPA”)一路成為美國當局調取境外存儲數據的法令根據,并與2016年經由過程、2018年失效的歐盟《通用數據維護規定》(General Data Protection Regulation,以下簡稱“GDPR”)(12)配合成為可以或許代表分歧數據存儲與調取國好處的兩年夜立法陣營。此中,愛爾蘭微軟案直接促生了《云法案》的出臺,提醒了司法數據跨境調取背后的兩級好處權衡,并由此開端了對司法數據跨境調取審查尺度的普遍切磋。
2013年12月4日,紐約南部地域法院發布了一項答應當局向微軟獲取其存儲的某一用戶電子郵件內在的事務與元數據的令狀。(13)這一數據固然被微軟存儲在美國辦事器中,但同其他internet公司一樣,為了應用戶可以或許就近獲守信息,年夜部門花費者個人空間信息都存儲在位于愛爾蘭的數據中間。(14)是以,微軟以SCA不具有域外效率為由謝絕履行法院令狀。(15)固然法院沒有采納微軟的看法,可是介入該案的很多法令參謀以為,假如法院受權美國當局在本案中逼迫微軟供給存儲在境外數據的權利,則有沖犯他國主權的嫌疑,尤其是來自愛爾蘭的法令參謀,以此為由向法院遞交了法令看法。案件上訴到第二巡回法院。第二巡回法院支撐了微軟的懇求,以為受權美國當局調取愛爾蘭數據的行動超越了法院的權利范圍,當局不克不及強行調取存儲在美國境外的數據。是以,第二巡回法院在本案中斷定了“數據存儲地”管轄權規定的優先位置。
但是,在本案中,與該數據相干的管轄權基本所觸及的地址至多有3個,分辨是:數據存儲地愛爾蘭、數據把持者地點地美國、數據用戶地點地,當然,假如該用戶存在某些守法行動,行動地點地與傷害損失成果產生地也有管轄權。并且,上述地址都可以采取必定手腕答應或謝絕將數據供給給他國。例如,愛爾蘭可以數據維護為由出臺數據當地化請求,(16)美國可以國度平安為由勒迫數據把持者在本國的雇員請求其供給數據,(17)數據用戶地點地可以其在訴訟中具有公共好處、而數據存儲地具有偶爾性為由請求優先調取數據。可見,若不合錯誤司法數據跨境調取的審查尺度做出雙邊、區域甚至國際層面的同一設定,數據跨境調取仍將持久出于凌亂狀況。
二、數據跨境調取審查規定的構建基本——扯破與聚合
今朝,列國對數據跨境調取停止審查重要繚繞小我隱私維護與國度平安審查睜開。(18)
(一)“數據隱私維護”招致好處張力擴展
GDPR將數據跨境分送朋友與調取的調劑重心從歐盟成員國之間轉移到歐盟與第三國之間,其在第五章規則了小我數據調取與傳輸的普通規定,且該規定制訂的天然人數據維護尺度不得被減損。(19)早在GD小樹屋PR失效之前,歐盟的小我數據維護立法,尤其是第95/46/EU指令(以下簡稱“1995指令”)就對作為數據接受國的第三國的小我數據維護尺度提出了“充足維護程度”(adequate level of protection)請求,(20)促使多個國度為了知足此請求從歐盟獲取數據而更改了國際法。(21)可是在歐盟看來,數據存儲量與需求量最年夜的美國卻不知足“充足維護程度”尺度(22)。非論是1995指令仍是GDPR,均規則“充足維護程度”尺度的判定者為歐盟委員會,即歐盟委員會“決議第三國境內或其部門範疇,或相干國際組織能否可以或許供給充足維護”。(23)沒有被歐委會認證的國度則需求經由過程尺度合同條目(24)、行動形式認證(25)、受權認證機制(26)、第三國數據把持者和操縱者的履行許諾等方法,與歐盟睜開一對一會談。
顯然,歐盟的隱私數據維護請求在很年夜水平上進步了他國當局或公司獲取數據的門檻,障礙了數據的全球傳輸。沒有被歐委會認證的本國當局甚至在每一次提出數據請求時都需求經過的事況“會談——審查”的冗長經過歷程,即使取得數據,也能夠由於時光的耽誤而沒有實行意義。此外,歐盟經由過程GDPR的重點之一就是為了避免本國公司經由過程在歐盟境內建立分支機構的方法為本國或至於她現在的生活是重生,還是夢想給了她,她不在乎,只要她不再後悔和受苦,有機會彌補自己的罪過,就足夠了。其他分支機構地點國掠奪歐盟及其成員國的小我數據,未經認證的第三方國度的私主體也因GDPR難以直接向數據云貯存辦事者提出直接懇求。除了在本區域立法層面以隱私權維護為中間進步歐盟之外第三國的數據獲取尺度,歐盟還在雙邊公約層面臨他國獲取歐盟數據提出了嚴厲請求,以歐美“平安港協定”及“隱私盾協定”被歐盟法院宣佈有效為典範。“平安港協定”在有名的“施奈姆”系列案(Schrems I(27)和Schrems II(28))中被廢止。依據斯諾登2013年關于美國國度平安局的年夜範圍監控打算(如PRISM)以及隱瞞與internet公司一起配合的情形,奧天時隱私lawyer Max Schrems向愛爾蘭數據維護局提出上訴,當一切歐洲Facebook用戶的數據按期轉移到美國辦事器的時辰,若何確保數據傳輸到美國的符合法規性。特殊是,經由過程徵引愛爾蘭數據維護機構的查詢拜訪權利,Schrems宣稱美國的法令和實行沒有供給足夠的維護手腕,以避免對歐盟國民年夜範圍監督的風險。愛爾蘭數據維護專員謝絕了該上訴,來由是歐美間的數據轉移依靠于歐盟委員會具有拘謹力的恰當性決議。該案件被提交到愛爾蘭高級法院審理,顛末司法審查,愛爾蘭高級法院向歐盟法院提交了該案件的初步判決,以為平安港恰當性的存在能夠會對數據維護機構依據上訴停止查詢拜訪形成妨害。終極歐盟法院宣布歐盟委員會的恰當性決議有效。歐盟法院誇大,任何答應公共政府在普通情形下獲取小我信息的法令都必需被視為不尊敬隱私權力。
此后,Facebook開端改用尺度合同條目作為將歐洲小我數據傳輸至美國的符合法規根據。2015年年末,Schrems第二次向愛爾蘭數據維護委員會上訴,以雷同來由請求暫停Facebook應用尺度合同條目。在該案審理時代,歐美從頭簽署了“隱私盾”協定,協定于2016年正式經由過程。依據該協定,用于貿易目標的小我數據從歐洲傳輸到美國后,享有與在歐盟境內異樣的數據維護尺度。美方許諾嚴厲實行協定中的請求,包管國度平安部分不會對這些小我數據采取肆意監控或年夜範圍監控辦法。但由于美國多項立法和多個監控項目將國度平安、公共好處和相干部分的法律請求放在首位,是以在相干部分查詢拜訪、獲取傳輸到美國的歐盟國民小我數據時,不克不及供給充足維護聚會場地。歐洲法院在判決中以為美國的國際法對于相干法律部分的數據調取權限并沒有停止任何限制,也沒有對非美國職員付與相干的接濟和保證辦法,是以做出了歐美“隱私盾”協定有效的裁定。
可以看出,歐盟在樹立強無力的小我數據隱私平安維護系統上的決計,歐盟對外簽署的隱私平安協定將不竭遭到歐盟居平易近挑釁以及歐盟機構的持續性審查。對于商業伙伴來說,若何知足歐盟《歐洲同盟基礎權力憲章》、GDPR以及數據隱私平安法系統內的“充足維護”品級,若何判定哪些辦法屬于“有用接濟”,若何均衡國際立法和歐盟法之間的關系,若何在知足歐盟請求的條件下保證本國的國度平安、公共好處、法律需求等,都是需求斟酌的題目。(29)好比2019年1月,歐盟委員會與japan(日本)告竣協定,答應小我數據在商業伙伴之間的雙向傳輸,但請求japan(日本)對歐盟小我數據供給更高條理的維護。(30)
由此可見,對于歐盟來說,非論在單邊立法仍是在國際公約中,歐盟都將隱私權的高尺度維護視為不成廢棄的好處,并欲在全球范圍內奉行其維護尺度。
(二)“國度平安”招致好處張力減少化
美國憲法以及判例法層面一向將“國度平安至上”置于首位,并且如前所述,對于不在美國境內棲身的本國國民甚至與這類國民交通的棲身在美國當地的美國國民,城市在法令的受權下遭到美國當局的監督,這種調取數據的方法曾經在很年夜水平上超越了法令規制的范疇,不屬于跨境調取數據的符合法規道路,盡管在“斯諾登事務”之后,美國的這一行動有所收斂,(31)但并沒有轉變美國當局的全體行動導向。美國憲法第四修改案規則,憲法賜與隱私權的維護不實用于小我與“第三方”共享的信息,美國最高法院根據該準繩鑒定,憲法維護的是“公道的可預感的隱私權”,(32)并進一個步驟說明,當小我與“舞蹈場地第三人”共享信息時,就缺少了公道性以及可預感性基本,由於該小我應當可以或許預感到取得其信息的“第三方”能夠將信息分送朋友給當局。是以,美國國民的諸如銀行賬戶(33)、德律風號碼(34)以及渣滓信息(35)等外容,只需與老友分送朋友,即掉往了可預感性與公道性。另一方面,最高法院也規則,在某些情形下,憲法第四修改案對隱私權的維護并不實用于美國當局對棲身在美國之外的本國國民停止查詢拜訪,這現實上是對美國單邊域外法律的聽之任之。在United States v.Verdugo-Urquidez案中,(36)美國當局同墨西哥代表人配合在一墨西哥國民家中彙集證據,此時該墨西哥國民正在美國候審。該國民以為美國這一取證行動沒有顛末受權,但法庭鑒定憲法第四修改案并不限制美國當局在境外對本國國民數據調取的行動。毫無疑問,這兩條憲法準繩為NSA在全球范圍內睜開監控和不符合法令調取數據年夜開便利之門,尤其跟著云端數據存儲與傳輸的成長,這一“便利之門”帶來的隱私權損害逐步難以把持,批評相繼而至,(37)直至終極招致了“斯諾登事務”,使奧巴馬當局不得不囿于來自全球的訓斥而在立法上有所收斂。聯邦地域法院開端在類似判例中判決NSA對百萬美國國民德律風信息的搜集行動是違憲的,(38)并認可在電子化時期,國民與第三方的交通信息亟待隱私權維護。(39)美國國會終極在2015年6月經由過程《美國不受拘束法案》,否認了美國當局對美國國民與第三方交通時辰的監聽行動的符合法規性,請求這種行動必需取得法官受權,且必需針對特定的人,否認了年夜范圍搜集數據的符合法規性。(40)但是,在對域外本國人的監督行動,NSA仍然可以根據憲法取得符合法規性根據。
也恰是在國度平安範疇,歐盟對隱私權的一向保持開端變得松軟,在這點上與美國不約而合,從而使國度平交流安成為跨境數據調取審查的配合與優先好處基本。起首,歐盟數據管轄框架受權成員國以國度平安為由普遍限制對隱私權的維護,并特殊誇大為預防、查詢拜訪、偵察以及告狀刑事犯法可以下降對隱私權的維護尺度。(41)歐盟法院也經由過程判例認可大批為國度平安以及刑事公理采取辦法的國度屬于成員國,(42)是以,在國度平安限制下的歐盟成員國的隱私權維護尺度現實上良莠不齊。好比德國非論在國度層面仍是聯邦層面都有完美的隱私權維護系統,并能包管嚴厲履行;(43)但英國則對來自當局的監督以及查詢拜訪行動很寬容,(44)法國在2015年以前就曾經經由過程議會以及憲法委員會為當局的監督行動掃清了立法妨礙,(45)數據隱私只能為國度平安讓位。
三、數據跨境調取的審查規定構建
數據跨境調取的審查規定之所以難以樹立,固然與所涉好處主體浩繁、立法念頭復雜有關,但從實質下去說都源于數據依附云科技在internet的不受拘束活動,并因這種活動給浩繁法域帶來影響。是以,是數據在云中的緣由,而非數據自己激發了數據跨境調取的沖突題目。(46)
(一)以“云數據活動影響”為焦點的數據調取權
從愛爾蘭微軟案中可知數據活動至多與數據調取懇求國、數據主體地點國、數據把持者地點國有關,但并沒有同一的實際可以或許窮盡數據活動影響的范圍,即便有,也會由於迷信技巧、交通方法的進一個步驟成長而掉往領導意義。是以,僅就今朝可以或許遭到數據活動的重要地址能否合適作為管轄權基本予以切磋。在此,我們將數據調取與詳細的跨境案件查詢拜訪相聯合,會發明與數據調取相干的法域或主體包含:(1)數據調取懇求國,往往是對案件查詢拜訪擁有管轄權的國度,好比侵權行動地、侵權成果產生地等;(2)數據把持者運營地點地所屬國度,指運營云數據存儲的公司地點地;(3)數據主體地點地,也就是案件被查詢拜訪對象、數據指向的主體,包含該主體的居處地、國籍國地點地。
起首,數據調取懇求國,即對司法案件擁有管轄權的國度,往往是受行動人運動影響的地址,這一表述與美國“對人管轄權”規定類似,均誇大主權國度因域內行為對本國形成的影響從而對行動人停止管轄。因此,這里存在兩種權利的堆疊,一是對案件的管轄權,二是為查詢拜訪、審理案件而發生的數據調取權。二者的類似之處是都因行動“影響”取得管轄,也都在極端情形下由于收集或云存儲的緣由需求掌握“影響”的水平,不然據此確立的管轄權極易收縮,終極因行動對多法域都能夠存在潛伏影響,形成全球范圍內平行管轄的局勢。(47)是以,數據調取懇求國基于“數據影響”當然應當公道符合法規調取數據,只是這種“影呼應當限縮在必定范圍內,或與其他管轄權規定相聯合。
其次,數據把持者運營地點地。數據調取懇求國一方面可以經由過程懇求數據把持國當局調取數據,另一方面可直接向運營數據存儲的私主體——公司懇求數據。而在諸多案件中,很多數據把持公司,好比谷歌(Google)(48)和臉書(Facebook)(49)均以為只要當數據把持者位于法域內時,該地法院才對數據具有符合法規的調取權,不然公司可以謝絕該國的數據懇求。也就是說,假如付與數據把持者運營地點地以符合法規的調取數據權,那么數據調取懇求國非論經由過程上述哪種方法都無法當然主意其獲取數據的合法性。但是現實上,數據把持者運營地點地瑜伽場地因其不穩固性以及客觀性不合適被付與符合法規的數據調取權。一方面,公司運營地點地同云技巧下的數據存儲地一樣,具有肆意性。與一國毫有關系的小我可以很不難地在該國建立公司,并傳播鼓吹受該法律王法公法律管轄,而現實上其運營項目以及由此而發生的膠葛與該國關系微小樹屋弱甚至毫有關系;另一方面,公司可以出于避稅的需求等閒在本國建立分支機構,即便其年夜部門稅收支出起源于內國。除此之外,數據把持者只是供會議室出租給共享空間數據的存儲、剖析等辦事,在不觸及數據編纂(假如觸及則屬于下述第三類“數據擁有者”)的情形下,其既無法知曉每一個數據的詳細內在的事務,更無從知曉每一數據所連累的案件,是以,公司只是數據存儲的前言,其建立地與數據背后的案件原因沒有管轄權意義上的聯絡接觸。正因這般,某些國度以數據把持公司在其境內建立為由,強行請求其雇員供給公司把持的信息,是缺少法令基本的。(50)
最后,數據主體地點地,包含被查詢拜訪對象的居處地或國籍國。除了數據調取懇求國,與數據存在親密聯絡接觸的主體莫過于被查詢拜訪對象,恰是被查詢拜訪對象與別人的說話內在的事務、電子郵箱地址、銀行賬戶等信息組成數據的重要內在的事務,是以,數據主體不只與數佔有親密聯絡接觸,也存在完全好處。而數據主體居處地或國籍國一方面出于屬人管轄權,對棲身在當地的居平易近或非論能否棲身在當地的國民,都具有國度主權方面的好處;另一方面,數據組成數據擁有者隱私權的主要客體,出于隱私權維護的需求,數據擁有者地點地或國籍國在把持、審查數據活動方面也應享有權利,并且這種隱私權維護好處與數據獲取國查詢拜訪、告狀案件所彰顯的國度平安好處恰好組成一對張力。此外,數據主體地點地的數據調取權之所以遭到追蹤關心和支撐,(51)還源于其穩固性,這是數據存儲地以及數據把持者運營地點地所不具有的。但是,這一管轄權規定的毛病是,在查詢拜訪案件的經過歷程中,當數據主體是案件嫌疑人時,其成分紛歧定總可以或許在調取數據前鎖定。
是以,在數據活動牽扯的主體中,應該有前提地認可數據調取懇求國與數據主體地點地對數據的調取權,假如其他與數據相干的國度或公司收到來自這兩類國度的數據調取懇求,在審查時應該予以知足。相反,應該很是謹嚴地審查數據把持者運營地點地的數據調取懇求。此外,在被審查經由過程的司法數據調取權產生沖突時,應該以國度平安作為終極權衡尺度。
(二)以“云數據存儲”為焦點的符合法規審查權
自第二巡回法院在愛爾蘭微軟案中以數據存儲地規定支撐微軟謝絕美國當局的數據懇求以來,(52)繚繞數據存儲地對數據的把持權的會商便不停于耳。(53)在“云數據存儲”形式下,并非數據存儲在某地,便利然地使該地擁有審查數據調取懇求的權限,緣由是,一方面,數據存儲地有其長處,好比比擬數據擁有者地點地更易被知,從支撐數據具有地區性的不雅點動身,數據與單據、股票沒有什么差別,其地點地與數據自己具有親密聯絡接觸。另一方面,假如當然地認可一切情形下的存儲地對數據均具有審查權,那么將至多發生三種負面影響:一是基于今朝年夜部門數據都存儲在美國,這一數據把持權將付與美國普遍的數據調取好處,使其把握全球數據話語權;(54)二是出于爭取數據把持權的需求,將會激發列國數據當地化立法泛濫,晦氣于收集不受拘束;(55)三是便利數據擁有者經由過程變革存儲地繞過某一當局對該數據的管轄。是以,對于數據存儲地當然地把持數據的公道性不該混為一談,上述會商均疏忽了從科技角度探討“云存儲”的詳細形式,而分歧的科技手腕天然將對法令規制發生差別影響。為處理科技給法令形成的困難,也應從科技這一泉源思慮應對之策。
1.“數據當地云”形式下的審查權
非論是愛爾蘭微軟案中兩級法院能否支撐微軟謝絕向美國當局供給數據的決議,仍是今朝良多國度采用的“數據當地化”立法請求,其科技基本都是針對“數據當地云”這一存儲形式而言的,也就是說,公司將云中的信息只存儲在一個國度或區域內。(56)很多運營云存儲辦事的科技公司,包含有名的微軟以及亞馬遜收集辦事公司(AWS)均采用這種形式。AWS在全球范圍內擁有55個“可拜訪域”,最新開放的可拜訪域位于法國。德國通訊公司異樣也只將信息存儲在德國。是以,“數據當地云”存儲形式是一種科技手腕,依附科技將數據存儲在當地,并只答應特定的來自一個或多個地址的拜訪,消除了非授信地的拜訪請求和權限。這一存儲形式是愛爾蘭微軟案的焦點。本案牽扯的電子郵件存儲在愛爾蘭的都柏林,該云存儲辦事器是由微軟的愛爾蘭分支機構自力運營的,美國想經由過程域外履行法令取得該數據,但第二巡回法教學院否認了美法律王法公法(SCA)在此範疇的域外效率,支撐了微軟的謝絕供給行動。可是,本案中微軟采用的“數據當地云”存儲具有特別性,是一種“不完整的”或許說“部門化的”數據當地云存儲。會議室出租固然本案中的電子郵件僅存儲在愛爾蘭,但其授信的“拜訪域”則有兩個——都柏林和微軟總部雷德蒙德,是以,美國主意獲取該數據也并非沒有事理。而AWS以及微軟在歐盟地域的分支機構則采用的是“完整”數據當地云存儲,從而消除了數據存儲地以外的法域對數據的懇求權,數據管轄權也就當然回數據存儲地一切。
2.“數據共享云”形式下的審查權
與“數據當地云”相反,“數據共享云”運營者將數據存儲在全球范圍內的多個地位,分辨由國際以及國外辦事器同時治理數據。(57)經由過程這種方法存儲的文件會被智能體系拆分紅幾部門并主動決議分派到某一辦事器存儲,而分派尺度重要由效力決議。經由過程這種方法構成的數據存儲地與國度物理鴻溝的聯繫關係甚微,并且出于效力以及存儲便利的斟酌,數據會不竭在云端活動,即便是數據碎片也不會固定存儲在某一地,除非公司經由過程法令手腕限制這一活動。谷歌公司是采取這一存儲方法的典範代表,(58)也恰是其在存儲方法上與愛爾蘭微軟案中的差別,法官在有名的賓夕法尼亞谷歌案中沒有依附“隨機的”數據存儲地判定數據管轄權,由於即便是谷歌公司自己也并不知曉數據“活動”到了何處,(59)是以并不克不及由於數據存儲在谷歌運營的辦事器中就強迫谷歌供給數據,而應該根據行動產生在美國并給美國形成影響支撐美國的數據把持權。(60)但是,固然在“數據共享云”形式下數據以碎片情勢存儲在多國,卻并不料味著但凡數據存儲都城當然可以或許對數據行使把持權,好比谷歌就僅開放美國為可拜訪域,其他數據存儲地點地國即便要獲取當地由谷歌存儲的數據,也只能向美國提出懇求,由於其對該數據沒有把持權。
3.“數據信托云”形式下的審查權
“數據信托云”是一種特別的數據存儲設定,今朝只要微軟在存儲歐盟以及歐洲經濟區內的花費者信息時才采用這一形式,(61)這是今朝為止數據活動範疇主權國度當局對數據安排最弱的數據存儲形式,蘋果公司與我國云上貴州公司之間的一起配合采取了相似方法,但并不完整雷同。同“數據當地云”一樣,在這種形式中數據自己不會被朋分,但數據的治理權倒是分別的。以“微軟云德國”為例,數據存儲所需的收集硬件以及軟件舉措措施由“微軟數據信托”供給并運營,其將花費者信息存儲在位于法蘭克福以及馬格德堡的數據中間,但數據的保密以及拜訪則被受托給自力的德國公司——德國電信(T-Systems),只要其有權拜訪存儲數據的收集。微軟與德國電信的信托設定根據德法律王法公法,由德國電信排他性地擔任數據的加密與拜訪權限,就連微軟也不克不及違反信托設定肆意拜訪數據。這般一來,包含德國在內的任何當局或公司想要取得數據,只能向德國電信提出懇求,而不克不及經由過程法令強迫微軟供給數據。特殊的是,根據德國信托法以及微軟與德國電信的信托設定,微軟也被設定在制止拜訪之列,德國電信抵消費者數據擁有排他的、獨一的拜訪權與監視權。微軟既在德法律王法公法上被制止拜訪花費者數據,也在技巧上無法獲取數據拜訪password。由此可知,此時的數據存儲地——法蘭克福與馬格德堡僅因其特定技巧設定而存在,并不具有法令意義,相反,在把持層面,數據受托公司,即德國電信作為真正的數據把持者,其運營地點地才具有審查權限。在這種形式下,德國電信作為存儲公司,經由過程根據德法律王法公法簽署的信托協定,一方面絕對于美國及其他能夠具稀有據調取審查權的當局,取得了獨家設置拜訪權限與加密的權力,使當局無法經由過程要挾數據把持者(微軟)到達獲取數據的目標,另一方面絕對于微軟取得了完全的數據密鑰和數據把持權,使數據的開放不需求顛末微軟及美國的再次審查。而在蘋果公司與云上貴州的一起配合形式中,可以或許見到顯明的數據信托云的影子,但比擬德國電信,云上貴州絕對于蘋果、美國以及中國當局僅具有絕對自力性,數據信托云講座場地或可成為云上貴州將來的成長標的目的,并為我國數據活動管轄權形式供給具有啟示意義的思緒。
2018年1月,蘋果公司正式對外宣布在中國的iCloud云辦事將轉由中國貴州的“云上貴州”公司擔任運營,(62)這是蘋果為了中國市場,面臨中國有關云辦事營業外資準進監管請求所做出的世界范圍內的獨一讓步,是我國數據監管範疇的一次標志性事務。(63)根據《iCloud(由云上貴州運營)條目與前提》(64)云上貴州應該被視為中國用戶數據的把持者,或許至多和蘋果公司一道被視為中國用戶數據的配合把持者,同時蘋果公司決議將中國區用戶的iCloud密鑰也在中國境內存儲,但持續獨家治理iCloud密鑰,并處置中國法律部分調取用戶數據的法令請求。而在其他國度,蘋果會將用戶文件的元數據(metadata)和用于加密用戶數據內在的事務的密鑰存儲在iCloud賬戶中,第三方云存儲供給者則是數據處置者,而蘋果是獨一的數據把持者。可見,云上貴州獲得了相似于上述德國電信公司的法令位置,但分歧的是,云上貴州絕對于蘋果公司并沒有獲得對數據的完全把持權。來自中國法律部分調取用戶數據的法令文件仍由蘋果公司(而非云上貴州)零丁接受,並且蘋果公司還會對其接受到的數據調取懇求反應在其通明度陳述中,且蘋果不會對“批量的數據懇求”做出呼應,但比擬與云上貴州一起配合之前,密鑰僅存儲于美國,使世界上其他國度當局需求調取iCloud用戶賬戶內在的事務均只能向美國追求司法協助的情形,要公道得多。但是,對于蘋果與云上貴州的這一絕對自力性設定,也會使部門網平易近存在對中國當局逼迫云上貴州提交數據的擔心。
經由過程上述會商可知,分歧存儲形式下的數據存儲地擁有完整分歧的法令位置,為了立法便利而支撐數據存儲地的審查權,同基于肆意性而否認該審查權的立場都是單方面的。起首,在“數據共享云”形式下,由于數據存儲地是由體系僅出于效力與便利斟酌分派的,不該當具稀有據調取懇求的審查權;其次,在“數據信托云”形式下,由于僅有微軟在歐盟針抵消費者信息采取這種形式,且數據現實把持者為數據受托人,應當從數據受托人/把持人的角度斟酌審查權,此時的數據存儲地因其固定性不具有法令意義,也不該具稀有據調取懇求審查權。最后,在“數據當地云”形式下,由于斟酌到數據擁有者拜訪數據的便利,科技公司偏向于將完全數據存儲在最接近用戶的地位,從而使數據現實存儲地擁有了把持權上的意義,此時,確定數據存儲地管轄權基本是公道的。是以,僅在采取數據當地云技巧存儲數據時,才應確定數據存儲地審查權的公道性。
四、我國《數據平安法》第36條的審閱與成長
我國自2016年《收集平安法》公佈以來,又先后出臺了《小我信息維護法》以及《數據平安法》。此中,直接調劑跨境數據調取的條目為《數據平安法》第36條:“中華國民共和國主管機關依據有關法令和中華國民共和國締結或許餐與加入的國際公約、協議,或許依照同等互惠準繩,處置本國司法或許法律機構關于供給數據的懇求。非經中華國民共和國主管機關批準,境內的組織、小我不得向本國司法或許法律機構供給存儲于中華國民共和國境內的數據。”
(一)對《數據平安法》第36條的審閱
《數據平安法》第36條明白了收回調取數據請求的主體為“本國司法或許法律機構”,調取數據的范圍為存儲在“我國境內”的數據,調取道路為“批準制”與“合作協議”相聯合。由此可見,在數據跨境調取懇求的審查經過歷程中,我國今朝仍然付與“數據存儲地”以自然的審查權,即只需數據存儲在我國,境外法律機構思要調取,一概應當經陳述后批準方可流出;在數據調取途徑上不只付與了相干機構“一事一議”的批準權限,也為將來國度間數據調取協助協議的締結開辟了途徑。但是,也恰是以上兩個方面成為了第36條的缺乏。
起首,從“數據”舞蹈教室自己的范圍與分類來看,第36條并沒有區分需求請求批準的數據品種,而是規則無論何種數據均需求請求批準,但在實行中,聯合世界立法潮水以及我國國情,需求對以下數據品種履行“批準制”予以斟酌。一是元數據。“元數據”(metadata)也稱“無內在的事務數據”(non-content data)或“流量數據”(traffic data),與“內在的事務數據”絕對,并不反應數據主體的心坎運動。(65)從立法主旨和需要性來看,元數據是收集體系操縱、運轉數據不成缺乏的副產物,好比當數據主體請求行使相干數據權力時,收集辦事供給者需求元數據斷定數據回屬,其是監管數據活動的需要東西,也就是說,對元數據活動的嚴厲限制將使收集運轉與數據主體行使權力無從談起。從實行角度看,對隱私權維護最為嚴厲的歐盟也在GDPR中消除了對元數據活動的限制;(66)異樣,美國自《電子通信隱私法案》(ECPA)到《通信存儲法案》(SCA)再到2018年《云法案》均不限制本國法律機構獲取元數據,包含數據主體的姓名、地址、IP地址、登岸時光以及地位信息等,是以,我國若針對元數據也停止一攬子限制,將晦氣于我國將來與他國在數據跨境調取範疇的一起家教配合。從效力角度看,元數據比擬內在的事務數據加倍瑣碎和複雜,良莠不齊,若請求主管機關逐一停止過濾審查,不只將減輕主管機關的任務累贅,並且會發生高本錢卻低效的行政治理成果,與收集世界的高速準繩相悖。二是已脫敏數據。數據脫敏凡是是指對敏感數據停止技巧處置,往除或下降其敏感度。在小我信息維護的法令系統中,與數據脫敏相干的法令概念重要包含匿名化(anonymization)、往標識化(de-identification)、化名化(Pseudonymization)等。數據脫敏的出發點是小我信息,即以電子或許其他方法記載的、與已辨認或許可辨認的天然人有關的各類信息。美國、歐盟以及我國對小我信息的界說基礎誇大了可辨認性(identifiable),也就是說,不具有可辨認特定天然人的信息對隱私權的影響絕對較低,沒有需要一概停止報批法式。三長短本國公民數據不該該成為數據跨1對1教學境調取審查的客體。非論是美國《云法案》,仍是歐盟共享會議室GDPR,抑或是比來的蘋果與云上貴州實行,所針對的均為本國公民數據,別的,對數據主體國籍做出區分,可以或許緩解數據存儲國、數據調取懇求國、數據把持者地點國與數據主體國籍國之間的管轄權沖突,即前三者只針對本國公民數據活動停止管控,對后者的數據管轄凡是不形成攪擾。
其次,繚繞“數據存儲地”的數據審查權分歧理且不迷信。國度之間繚繞數據把持權之間的博弈,是保護國度平安與小我隱私權之間好處張力的成果,而使二者遭遇要挾的并非數據自己,而是數據主體的行動、該行動對數據調取懇求國形成的影響,以及數據把持者作為運營者的好處訴求,(67)數據自己無法提醒主體之間的聯絡接觸,是以以“數據”為中間的立法形式分歧理;此外,如上所述,數據存儲是一種科技“行動”,不是一切的存儲地都應當具有法令意義,數據共享云與信托云形式下的現實存儲地就因隨機性與特別的合同設定而不該具有把持權上的意義,即便是當地云形式的“數據存儲地”,假如可以或許證實該地與上述主體行動及好處訴求缺少聯絡接觸和好處聯繫關係,也不該付與該地數據跨境調取懇求審查權,是以,以“數據存儲地”為中間的立法形式不迷信。
最后,付與“數據存儲地”自然的數據跨境調取懇求的審查權與我國現階段的數據實行不合適,無法實在保護我國國度好處。一個無法回避的現實是,盡管我國收集高新技巧範疇成長迅猛,但世界上年夜部門電子數據仍由美國公司把持,且不說并不是一切公司都采取當地云存儲形式,即便采取,數據存儲地也疏散活著界各地,(68)因多。聯合第36條的第二種數據分送朋友形式——國度間數據調取協助協定,由于我國并不把握盡年夜部門電子數據,是以并不具有與他國會談的砝碼。相反,尤其在與數據年夜國美國以及歐盟地域追求簽署合作協定時,假如保持數據存儲地的優先位置,相當于輔助對方減輕會談砝碼,晦氣于保護數據好處。我國今朝之所以偏向于付與“數據存儲地”以審查權,是有與《收集平安法》第37條——數據當地化請求——相共同之意,但由于這一請求會年夜幅度增添收集公司的數據存儲本錢,(69)如微軟、“臉書”一樣的年夜型數據公司能否愿意將數據存儲在我國,仍是未知數。即使其愿意,《數據平安法》也并未制止數據公司采守信托云形式對數據拜訪做出特別合同設定。關于數據信托云形式,蘋果與云上貴州之間的數據存儲一起配合至多開釋出兩個電子訊號,一是我國強迫數據當地化請求獲得了蘋果公司的讓步,或將在將來使我國逐步取得數據存儲年夜國的位置,使數據存儲地擁有審查權更具有實行意義;二是在數據信托云形式中,如受托數據存儲公司地點地能取得數據跨境調取審查權,且云上貴州可以或許成為第二家“德國電信”,并順遂推行這一存儲形式,將為數據調取懇求國、數據存儲地、數據把持者地點地的數據把持權沖突供給新的處理計劃。
綜上,可以以為《數據平安法》第36條付與數據存儲地自然的數據跨境調取懇求審查權會給國際行政部分帶來宏大壓力,進步數據公司、收集辦事供給者的運營本錢,晦氣于我國對外睜開數據分送朋友協定會談,激化數據當地化立法趨向,是以,需求對第36條停止反思與成長。
(二)對《數據平安法》第36條的成長
需求明白的是,立法方便化盡非立法目標,最少不是獨一目標,而只是對峙法技巧的評價。就數據跨境調取審查而言,其立法目標應該是均衡國度平安與小我隱私權之間的關系,當二者無法相容時,以國度平安為首;其次,數據調取立法應該可以或許顧及與數佔有關的主體權益,即數據調取懇求方、數據把持方與數據主體,規則何種情況下數據的分送朋友與否由哪一方決議。最后,數據存儲是一種客不雅的技巧導向行動,但選擇分歧的數據存儲技巧則是當事方的客觀認識,假如其在數據存儲前即對此做出了選擇或設定,立法應該予以尊敬。是以,成長后的《數據平安法》第36條為:
第三十六條:境外數據跨境調取審查
1.以下境外法律機構可以向我國主管機關懇求調取存儲在中華國民共和國境內的數據,或中華國民共和國具有屬人管轄權的組織所把持的數據:
(1)數據內在的事務指向的行動與該境外機構地點國具有親密聯絡接觸;
(2)該境外機構地點國對數據內在的事務所指向的主體具有屬人管轄權。
2.對以下類型數據的調取準繩上不需求向有關主管機關陳述和批準,除非根據第五款必需實行批準手續。
(1)無內在的事務數據;
(2)非我國國民數據;
(3)無法辨認數據主體的數據
(4)對我國及我國國民不存在影響但因技巧設定等緣由存儲在我國的數據。
3.調取經由過程數據信托云存儲在我國的數據時,審查尺度根據信托協定的設定履行。
4.境外法律機構根據第一款對數據的調取、應用和處置經過歷程應不違反中華國民共和法律王法公法律律例及締結或餐與加入的國際公約、協議中有關隱私權尺度的規則。
5.如有來由證實下款所涉數據的調取、應用和處置經過歷程會危及國度平安,有關組織、小我應該向有關主管機關陳述,取得批準后方可供給。
注釋:
①例如催生2018年美國《廓清域外符合法規應用數據法案》(Clarifying Lawful Overseas Use of Data Act)經由過程的United States v.Microsoft Corp案以及2017年Google Inc.v.Equustek Solutions Inc案。在第一個案件中,主意數據主權的愛爾蘭與實行長臂管轄的美國產生了跨境數據管理的沖突。在第二個案件中,加拿年夜法院請求谷歌公司刪除在全球范圍內的引擎搜刮成果,而谷歌公司以為加方的主意是在監視本國與本國主權國度(美國)法律運動的長臂管轄。同年,法國最高行政法院向歐洲法院提交了一份關于谷歌公司在全球范圍內實用“被遺忘權”軌制的案件,上述相講座場地似的爭議也產生在法法律王法公法院和谷歌之間。See Jennifer Daskal,Google Inc.v.Equustek Solutions Inc.,112 American Journal of International Law 727,727-733,2018; Andrew Keane Woods,Litigating Data Sovereignty,128 Yale Law Journal 328,328-406,2018.
②例如歐盟在2020年發布的數字計謀文件中明白提出“技巧主權”,但在歐盟《通用數據維護條例》中又制訂了長臂管轄條目。
③拜見支振鋒:《收集主權植根于古代法理》,載《光亮日報》2015年12月17日,第4版
④拜見方濱興主編:《論收集空間主權》,迷信出書社2017年版,第82頁。
⑤拜見黃志雄主編:《收集主權論——法理、政策與實行》,社會迷信文獻出書社2017年版,第70頁。
⑥Department of Defense Washington,D.C.Strategy for Homeland Defense and Civil Support,載http://fas.org/irp/agency/dod/homeland舞蹈場地.pdf,2023年2月5日拜訪;Hillary Rodham Clinton,Remarks on Internet Freedom,載http://20092017.state.gov/secretary/20092013clinton/rm/2010/01/135519.htm,2023年2月5日拜訪。
⑦拜見姜濤:《數據化:由內而外的智能》,中國傳媒年夜學出書社2018年版,第14-26頁。Albright Stonebridge Group,Data Localization:A Challenge to Global Commence and the Free Flow of Information,載http://www.albrightstonebridge.com/news/data-localization-challange-global-commer忽然,她感覺自己握在手中的手,似乎微微一動。ce-and-free-flow-information,2023年2月5日拜訪。
⑧拜見[英]戴恩·羅蘭德、伊麗莎白·麥克唐納:《信息技巧法》,宋連斌等譯,武漢年夜學出書社2004年版,第308頁。
⑨Andrew Keane Woods,Litigating Data Sovereignty,128 Yale Law Journal 328,351-371,2018.
⑩拜見很多奇:《小我數據跨境活動規制的國際格式及中國應對》,載《法學論壇》2018年第3期;闞道遠:《美國“收集不受拘束”計謀評析》,載《古代國際關系》2011年第8期;劉天驕:《年夜西洋立法者之爭》,載《開放時期》2016年第6期。
(11)Evgeny Morozov,Who's the True Energy of Internet Freedom-China,Russia,or the US?,載http://www.theguardian.com/commentisfree/2015/jan/04/internet-freedom-china-russia-us-google-microsoft-digital-sovereignty,2023年2月5日拜訪。
(12)Commission Regulation 2016/679,of the European Parliament瑜伽教室 and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to Processing of Personal Data and on the Free Movement of Such Data and Repealing Directive 95/46/EC(General Data Protection Regulation),2016 O.J.(L 119).
(13)See In re Warrant to Search a Certain E-mail Account Controlled & Maintained by Microsoft Corp.,15 F.Supp.3d 466,467-68(S.D.N.Y.2014).
(14)在本案中,被查詢拜訪用戶應用的長短美國代碼,招致微軟將數據存儲到了愛爾蘭,當存儲完成后,年夜部門雷同內在的事務的信息就會在美國辦事器中刪除。
(15)See Microsoft E-mail Search Warrant Case,教學場地15 F.Supp.3d at 470.
(16)See,e.g.Sergei Blagov,Russia's 2016 Data Localization Audit Plan Released,BLOOMBERG LAW,Jan.13,2016.我國《收集平安法》第37條規則:要害信息基本舉措措施的運營者在中華國民共和國境內運營中搜集和發生的小我信息和主要數據應該在境內存儲。因營業需求,確需向境外供給的,應該依照國度網信部分會同國務院有關部分制訂的措施停止平安評價;法令、行政律例還有規則的,按照其規則。
(17)好比英法律王法公法今朝就有逼迫在其域內運營的一切公司都必需供給數據的請求,而非論數據自己地點地、數據供給者地點地、數據擁有者及相干者的國籍或居處地在何處。See Investigatory Powers Bill,2015-16,H.C.Bill[143]§ § 34(4),35,35(3)(UK).美國在“愛爾蘭微軟案”中異樣采取了勒迫手腕,See Brief for Appellee,In re Warrant To Search a Certain E-mail Account Controlled & Maintained by Microsoft Corp.(2d Cir.Mar.9,2015)(No.14-2985-CV).
(18)Fergus Ryan,Audrey Fritz and Daria Impiombato,"TIktok and WeChat; Curating and Controlling global information flows",ASPI International Cyber Policy Center,Report No.37/2020.Congressional Research Service,"Tiktok:Technology Overview and Issues",Updated December 4,2020,載http://crsreports.congress.gov,2023年2月5日拜訪。
(19)GDPR,art.44.這一尺度同時實用于數據處置者與把持者。
(20)《歐盟數據維護指令》第25條:成員國應該規則,只要在遵從實用該指令的本國立法沒有成見的,才可以將正在處置小我數據或許轉移后再處置的數據向第三國轉移,存在質疑的第三國應該確保充足的維護程度。
(21)好比澳年夜利亞、加拿年夜以及多個東歐國度,See DANIEL W.DREZNER,ALL POLITICS IS GLOBAL:EXPLAINING INTERNATIONAL REGULATORY REGIMES,104(2007).
(22)See Randi Bessette & Vi共享空間rgina Haufler,Against All Odds:Why There Is No International Information Regime,2INT'L STUD.PERSP.69,81(2001).
(23)GDPR,art.45(1).
(24)GDPR,art.46(2)(c).
(25)GDPR,art.46(2)(e).
(26)GDPR,art.46(2)(f).
(27)Case C-352/14,Schrems v.Data Protection Commissioner.
(28)Case C-311/18,Data Protection Commissioner v.Facebook Ireland Limited and Maximillian Schrems.
(29)白一方:《歐盟法院宣布歐美數據傳輸“隱私盾”有效:具體始末若何?將來何往何從?》,載https://www.huxiu.com/article/374791.html,2023年2月5日拜訪。
(30)Commission Implementing Decision(EU)2019/419 of 23 January 2019 Pursuant to Regulation(EU)2016/679 of the European Parliament and of the Council on the adequate protection of personal data by Japan under the Act on the Protection of Personal Information,2019 聽到“非君不嫁”這兩個字,裴母終於忍不住笑了起來。O.J.(L 76),(Mar.19,2019),載http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019D0419&from=EN,2023年2月5日拜訪。
(31)See Jean-Pierre Stroobants & Frédéric Lemaitre,Surveillance électronique:comment Washington espionne les Européens,LE MONDE,June 11,2013; Thomas Da瑜伽場地rnstdt,NSA-Abhrskandal:Amerikas digitaler Grossangriff aus das Vlkerrecht,DER SPIEGEL ONLINE,July 10,2013.
(32)Katz v.United States,389 U.S.347(1967).
(33)United States v.Miller,425 U.S.435,443(1976).
(34)Smith v.Maryland,442 U.S.735(1979).
(35)California v.Greenwood,487 U.S.35(1988).
(36)United States v.Verdugo-Urquidez,494 U.S.259,259(1990).
(37)Christopher Slobogin,Privacy at risk:The New Government Surveillance and the Fourth Amendment,151-164(2007); Orin S.Kerr,The Case for the Third-Party Doctrine,107 MICH.L.REV.561,563 n.5(2009).
(38)Klayman v.Obama,957 F.Supp.2d 1(D.D.C.2013)
(39)See Liberty and Security in a Changing World:Report and Recommendations of the President's Review Group on Intelligence and Communications Technologies,Dec.12.2013.,載http://www.white-house.gov/sites/default/files/docs/2013-12-12_rg_final_report.pdf,2023年2月5日拜訪。
(40)See David Cole,Reining in the NSA,N.Y.REV.BOOKS,June 2,2015; David Cole,Can the NSA Be Controlled?,N.Y.REV.BOOKS,June 19,2014.
(41)依據《歐盟公約》第4條第2款,國度平安屬于成員國本身擔任的事項。《數據維護指令》答應成員國出于以下緣由采取法令辦法限制實行本指令規則的任務:(1)國度平安;(2)自衛;(3)公共平安;(4)為預防、查詢拜訪、偵察、告狀刑事犯法;(5)成員國的主要經濟或金融好處以及屬于歐盟的主要事項,包含貨泉、預算以及稅收。See Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data,O.J.L 281/31(1995),art.13.
(42)See Joined Cases C-293/12 & C-594/12,Digital Rights Ireland,ECLI:EU:C:2014:238; See Federico Fabbrini,Human Rights in the Digital Age:The European Court of Justice Ruling in the Data Retention Case and its Lessons of Privacy and Surveillance in the United States,28 HARV.HUM,RTS.J.65(2015).
(43)See e.g.,VERFASUNG VON BERLIN[CONST.LAND BERLIN]art.33; VERFASSUNG DES LANDES BRANDENBURG[CONST.LAND BRANDENBURG]art.11; VERFASSUNG DES LANDES MECKLENBURG-VORPOMMERN[CONST.LAND MECKLENBURG-VORPOMMERN]art.6; VERFASSUNG FR DAS LAND NORDRHEIN-WESTFALEN[CONST.LAND NORDRHEIN-WESTFALEN]art.4(2).
(44)See David Cole,English Lessons:A Comparative Analysis of UK and US Responses to Terrorism,62(1)CURRENT LEGAL PROS.137,149(2009).
(45)See loi du 24 juillet 2015 relative au renseignement,Journal Officiel De La Pépublique [J.O.R.F.][Officail Jounal Gazette of France]No.171.July 26,2015.
(46)See Andrew 教學Keane Woods,Against Data Exceptionalism,68 Stan.L.REV.755(2016).
(47)See Paul Schiff Berman,Legal Jurisdiction and the Deterritorialization of Data,71 VAND.L.REV.EN BANC 11,(2018),p.27.
(48)有關谷歌的典範案件為:Case C-131/12,Google Spain SL v.Agencia de Protección de Datos(AEPD),2014E.C.R.para.60.本案中,谷歌以為歐洲法院對谷歌具有管轄權,根據第95、46號數據維護指令,谷歌在西班牙樹立了分支機構,并在西班牙停止市場行銷宣揚,其辦事也針對的是西班牙居平易近。
(49)有關臉書的典範案件為:Douez v.Facebook,Inc.,2014 BCSC 953,paras,134-35(Can.B.C.),rev'd,2015 BCCA 279(Can.B.C.),臉書以為其針對的是加利福尼亞居平易近,而其辦事條目中也載明一切的與數據相干的膠葛都應在加利福尼亞法院處理。
(50)好比2015年1月,微軟雇員就由於不願違反美國《數據存儲法案》(SCA)而被巴西當局拘捕,這是數據獲取國要挾當地外籍雇員的典範例子。Brad Sm個人空間ith,In the Cloud We Trust,MICROSOFT STORIES,載http://news.microsoft.com/sotries/inthecloudwetrust,2023年2月5日拜訪。
(51)See Paul Schiff Berman,Legal Jurisdiction and the Deterritorialization of Data,71 VAND.L.REV.EN BANC 11,(2018),p.24-35.See also Andrew Keane Woods,Against Data Exceptionalism,68 Stan.L.REV.729(2016),p.768.
(52)In re Warrant to Search a Certain E-mail Account Controlled & Maintained by Microsoft Corp.,829 F.3d 197(2d Cir.2016).
(53)See Secil Bilgic,Something Old,Something New,and Something Moot:The Privacy Crisis under the CLOUD Act,32 HARV.J.L.& TECH.321(2018); Jennifer Daskal,Law Enforcement Access to Data across Borders:The Evolving Security and Rights Issues,8 J.NAT'L Sec.L.& POL'y 473(2016); Paul Schiff Berman,Legal Jurisdiction and the Deterritorialization of Data,71 VAND.L.REV.EN BANC 11(2018); Paul舞蹈教室 M.Schwartz,Legal Access to the Global Cloud,118 COLUM.L.REV.1681(2018); Jordan A.Klumpp,International Impact of the Clarifying Lawful Overseas Use of Data(CLOUD)Act and Suggested Amendments to Improve Foreign Relations,48 GA.J.INT'L & COMP.L.613(2020).
(54)從今朝來看,為數據全球化助力的第三方重要是美國科技公司。好比,在印度、巴西、英國以及德國排名前十的供給云存儲辦事的收集科技公司,美國就分辨占了9個、7個、9個和7個:See Top Sites in India,ALEXA,載http://www.alexa.com/topsites/countries/IN,2023年2月5日拜訪; Top Sites in Brazil,ALEXA,載http://www.alexa.com/topsites/countries/BR,2023年2月5日拜訪;Top Sites in United Kingdom,ALEXA,載http://www.alexa.com/topsites/countries/GB,2023年2月5日拜訪;Top Sites in Germany,ALEXA,載http://www.alexa.com/topsites/countries/DE,2023年2月5日拜訪。
(55)我國《收集平安法》第37條規則:“要害信息基本舉措措施的運營者在中華國民共和國境內運營中搜集和發生的小我信息和主要數據應該在境內存儲。因營業需求,確需向境外供給的,小樹屋應該依照國度網信部分會同國務院有關部分制訂的措施停止平安評價;法令、行政律例還有規則的,按照其規則。”印度也直接請求在印度境內與金融買賣相干的信息必需存儲在境內:Notifications,Storage of Payment System Data,RESERVE BANK OF INDIA,載Reserve Bank of India-Notifications(rbi.org.in),2023年2月5日拜訪。并在2018年經由過程了針對一切在印度境內搜集、分送朋友、獲取的數據必需物感性地存儲在印度境內的法案:Personal Data Protection Act,ch.2 § 8,Acts of Parliament,2018(India);越南在2018年也經由過程了第24/2018/QH14號收集平安法,并在2019年除夕失效,根據該法,在越南境內供給收集辦事的一切本國和本國公司,以及一切從越南收集用戶中搜集、剖析、獲取的小我數據都要受制于數據當地化請求:拜見《國際:歐盟-美國跨境數據傳輸》,載http://www.raysync.cn/news/post-id-613,2023年2月5日拜訪。
(56)See Patrick Ryan et al.,When the Cloud Goes Local:The Global Problem with Data Localization,Computer,Dec.2013,at 54,57.
(57)See Sikha Bagui & Loi Tang Nguyen,Database Sharing:To Provide Fault Tolerance and Scalability of Big Data on the Cloud,5 Int'l J.Cloud Applications & Computing 35(2015); Patrick Ryan & Sarah Falvey,Trust in the Clouds,28 Computer L.& Security Rev.513,520(2012).
(58)蘋果公司也采取“數據分送朋友云”存儲形式。See In re Search of an Apple iPhone Seized During Execution of a Search Warrant on a Black Lexus IS300,Cal.License Plate 35KGD203.No.ED 15-0451M,2016 WL 618401,at 1(C.D.Cal.Feb.16,2016).
(59)232 F.Supp.3d at 725.
(60)See id,at 721-22.
(61)See Microsoft,Microsoft Cloud Germany Datasheet 1-2(2016),載https://go.microsoft.com/fwlink/?LinkId=839380&clcid=0x409,2023年2月5日拜訪。
(62)《致中國際地iCloud用戶的主要告訴》:“自2018年2月28日起,與您的Apple ID相干聯的iCloud辦事將轉由‘云上貴州’運營。應用這些辦事及您經由過程iCloud存儲的一切數據(包含照片、錄像、文稿和備份等)都將遭到iCloud(由云上貴州運營)條目與前提的束縛。”
(63)工信部2016年《關于規范云辦事市場運營行動的告訴(征求看法稿)》明白請求:云辦事運營者與有關單元展開技巧一起配合,應向電信治理機構書面陳述云辦事一起配合事項。一起配合經過歷程中不得存在以下行動:(1)以任何情勢向一起配合者變相租借、讓渡電信營業運營允許證,以及為一起配合者不符合法令運營供給資本、場地、舉措措施等前提;(2)由一起配合者直接與用戶簽署合同;(3)僅應用一起配合者的商標和brand向用戶供給辦事;(4)守法向一起配合者供給用戶小我信息和收集數據;(5)違背法令律例規則的其他行動。
(64)《iCloud(由云上貴州運營)條目與前提》:“凡說起云上貴州之處,在蘋果公司供給支撐的范圍內,應視為說起云上貴州和蘋果公司”。
(65)See Barbara L.Cohn,Data Governance:A Quality Imperative in the Era of Big Data,Open Data,and Beyond,10 ISJLP 821,(2015)共享空間.固然也有部門學者以為,元數據異樣可以供給數據的愛好、運動以及社交關系的細節。See Daniel Solove,Why Metadata.Matters:The NSA and the Future of Privacy,TEACH-PRIVACY(Dec.2,2013),載http://www.techprivacy.com/metadata-matters-nsa-future-privacy,2023年2月5日拜訪。
(66)GDPR,recital(26):"The Principles of data protection should therefore not apply to anonymous information,namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable.
(67)Andrew Keane Woods,Against Data Exceptionalism,68 Stan.L.REV.781,782(2016).
(68)Zarine Kharazian & Bruce Zagaris,Cross-Border Law Enforcement Access to E-Evidence:The State of the Playing Field After the Passage of the U.S.CLOUD Act,34 No.10 I小樹屋NT'L ENF'L.REP.518(2018).
(69)See Anupam Chander & Uyen P.Le,Data Nationalism,64 EMORY L.J.721,2015.
發佈留言