谷歌《数字安全与正当程序：云时代的政府跨境获取标准的现代化》白皮书评析

（武汉大学法学院，湖北 武汉 430072）

0 引言

2017年6月22日，谷歌公司高级副总裁兼总法律顾问肯特·沃克（Kent Walker）在华盛顿传统基金会发表了主题为“数字安全与正当程序”的讲话。肯特·沃克代表谷歌呼吁达成一个新的框架，以此平衡执法需求及个人用户的隐私保护。为此，谷歌发布了《数字安全与正当程序：云时代的政府跨境获取标准的现代化》（Digital Security & Due Procedure：Modernizing Cross-Border Government Access Standards for the Cloud Era）白皮书。本文拟对这一白皮书的发布背景和主要内容进行介绍，并给予简要评价。

1 背景

当今世界，互联网数据已日益成为全球政治、经济及文化命脉。跨境数据流动将继续以高于全球贸易的速度增长。随着云计算等技术的迅速普及，信息产业以及传统产业都越来越依赖于大量的数据。例如，企业收集和分析个人数据，以便更好地了解顾客的偏好和支付意愿，并相应地调整它们的产品和服务从而占据市场主动权；政府执法时，需要电子邮件服务运营商提供当事人的邮件内容。企业利用数据创造价值，政府利用数据行使管理职能，这些只能在跨境数据自由流动的情况下才能正常运作。但是，目前跨境数据的自由流动面临着一些限制，例如政府出于维护网络安全以及管辖便利的需要，在制定网络政策时存在着这样的趋势，即要求网络运营商在本地存储数据同时禁止其向境外传输数据。

在这种政策趋势的背景下，上述企业和政府利用数据的行为一旦跨国实施时，就会面临很多困难。例如对企业来说，掌握个人数据的企业越来越处在两难境地，对于遵守何国法律感到无所适从；对政府来说，在政府执法中，要获取存储于国外的数据必须经过繁琐的程序，完成这些程序可能会需要几个月甚至更长时间，这直接导致破案效率的低下，造成对安全的威胁，并且进一步导致政府在实际操作中会越来越依靠不合规的方式获取数据，这样很容易侵犯隐私。

2 白皮书的主要内容

一方面，互联网数据的自由流动存在重要价值，另一方面，各国对于网络安全的关切不可忽视。那么，政府应该如何适当地管理跨境数据的流动？谷歌在2017年发布此白皮书，就是在这一背景下，以非国家行为体的身份对制定网络空间跨境数据执法的国际规则加以推动。白皮书的主要内容涉及当前各国执法行动中获取个人数据存在的问题、解决途径和操作方式等方面，具体如下：

2.1 当前存在的问题

（1）美国《电子通讯隐私法》（Electronical Communication Privacy Act，ECPA）过时了，欧盟大多数成员国也有封锁条款（禁止本国网络服务提供商向外国政府提供数据）。政府执法时获取数据不及时，导致案件的拖延，尤其是在处理网络攻击及恐怖主义犯罪时的延误就会产生严重的后果。

（2）司法互助条约（Mutual Legal Assistance Treaty，MLAT）实施情况堪忧。外国政府一般需通过外交途径先向司法部提出要求，再找到网络服务提供商。而由于各国法律存在差异，在实施过程中会有很多理解上的偏差导致的拖延，随着近几年工作量的剧增，其有关司法互助人员、机构的配备已远远不满足需求。

（3）基于以上原因，加上效率及国家安全的考虑，政府会在黑客、监控技术上加大投入，寻求其他不合规的秘密方式搜寻证据。

（4）虽然通讯技术与时俱进、日益革新，但政府权力会被滥用，公民隐私在这个过程中得不到保护。

（5）政府会基于管辖便利，要求网络服务提供商本地化储存数据，同时网络服务提供商也越来越处于两难境地，是遵守母国还是东道国的法律？这种全球化的趋势会导致执法延误的恶性循环。

2.2 解决途径

（1）寻求司法互助条约的替代方式，使得符合条件的民主政府能够直接向服务提供商要求提供所需要的证据。

（2）因为互联网数据都是云储存而缺乏边界性，主权国家各自为政地根据数据储存地保护隐私并不可取，通过统一的技术革新，隐去用户身份这类的识别信息来保护隐私权更具有科学性。

（3）改善司法互助条约的执行过程，引入线上操作系统使之标准化、现代化。

2.3 操作方式

（1）划定“隐私、正当程序和人权基线标准”（Baseline of privacy，due process and human rights principles），使得基线以上的政府可以直接向美国的网络服务提供商提出执法请求，同时也鼓励其他国家提高自身人权标准，这个标准由美国司法部和国务院来判断。

（2）例如该国必须表现出“不歧视及尊重法治”原则，遵守包括但不限于“隐私不受非法干涉，公民享有公正审判、表达自由与和平集会的权利，禁止任意逮捕和拘留，禁止酷刑和残忍、不人道或有辱人格的待遇或处罚，政府决策必须接受法院、法官或司法专员、其他独立机构监督”等规则。

（3）由美国国会制定《国际通信隐私法 》（International Communication Privacy Act，ICPA）对《电子通讯隐私法》进行立法改革，通过引入以下几个标准使其法律框架更为灵活，即可平衡包含外国政府和非美国公民在内的各方利益。①内容搜查令：建立一项专门用于搜查电子邮件所有内容的许可制度；②数据位置：不能根据数据本身位置来决定执法者可否获取；③通知：当一国政府在其领土管辖范围内向网络服务提供者请求数据或者要求获取境外的本国公民的信息时，需要履行通知义务，即便有司法互助条约的国家也同样如此；④司法救济和礼让：允许一国在接到通知后有获得申请国司法救济的权利，受理法院应进行礼让分析；⑤互惠原则：根据本国法律赋予给其他国家上述权利的国家有权享有同等待遇。

（4）对司法互助协议操作流程加以现代化。建立一个网上立案系统，外国执法者可利用统一格式的电子表格在网上提交立案申请；同时本国简化审查步骤，例如外事办公室的检察官直接提交文件给法院审查；建立人员培训机制，阐明可适用的法律，增进两国法律互信；政府在这方面提供更多的人员、物资及财政支持等。

最后，白皮书还提到了2015年“全球网络倡议”（Global Network Initiative，GNI）在“超越边界的数据——网络时代的司法互助”（Data Beyond Borders：Mutual Legal Assistance in the Internet Age）的议题中提供的建议。这些建议规定得更加具体，例如处理时间要有可测量性（Scalability），设置30天的上限；通过更高效的总统签署行政协定的方式修改司法互助条约；设置第三方独立机构专门处理跨境数据请求等。

3 评析

3.1 现有立法的局限性

从美国立法上来看，在这份白皮书发布之前，美国有关跨境数据流动管理的法律主要是1986年制定的《电子通讯隐私法》。但随着跨境数据流动的价值日益凸显，该法律的滞后性引发了修改立法的讨论。继2016年的“微软案”之后，2017年的“谷歌案”更是让讨论达到高潮。

2016年7月14日，位于纽约的美国第二巡回上诉法庭在一起政府官员的毒品调查案中，针对微软公司做出判决，认为微软可以拒绝向美国政府提供存储于爱尔兰都柏林的个人数据。法庭认为，作为微软商业记录的信息可以通过传票获取，但不能通过传票获取本该由微软公司存储的个人隐私。在基于不同理由投赞成票的法官来看，国会修改立法势在必行，因为《电子通讯隐私法》已经严重过时了。这个判决的作出引起轩然大波，科技公司及人权运动人士对此判决表示欢迎，反对者则认为会危害国家安全，比如给俄罗斯拒绝提供数据的权力。2017年2月4日，该法庭再次确认不再重新审议该决定，维持原判。

2017年2月6日，在类似的情况下，美国法院对于谷歌案的判决结果却截然相反。美国费城地方法官Thomas Rueter要求谷歌提交存储在美国境外的用户邮件，配合联邦调查局对一起国内欺诈案的调查。Thomas Rueter法官认为将个人信息提交给FBI是合法的，只有将其公之于众才构成侵犯隐私。在提交给法院的文件中，谷歌表示，有时为了保证网络性能，他们会将邮件拆分成几个部分，因此他们也不清楚特定的邮件到底存储在哪里。基于此前“微软案”的判决，谷歌称他们已经非常配合地提交了公司所知的存储在美国的数据，所以谷歌针对本案判决明确提出了上诉。然而同年9月1日，美国阿拉巴马州地区法院维持了原审法院判决。这两起案件的判决，依据的都是1986年制定通过的《电子通讯隐私法》中第二部分《存储通信保护法》（Storage Communication Act，SCT）中第2701-2703节。审理案件的法官以及一些科技公司和人权运动人士都提出了《电子通讯隐私法》已经过时的说法，2016年7月15日，美国司法部也宣称将立即提交至国会立法，但直到现在，美国仍未修改其关于跨境数据管理的法律。

从国际立法层面上看，有关个人数据本身的立法呈现碎片化趋势，相应的执法管理规则也较为割裂。与美国强化数据自由流动的倾向形成对比的是，在个人数据保护上一直走在国际前沿的欧盟则对外国政府获取数据的标准加以收紧。2016年2月美欧之间的《隐私盾协议》（EU-US Privacy Shield）旨在强调，实施跨境数据传输的美国企业必须履行充分保护的义务以及提高美国政府执法的获取数据标准和透明度。2016年4月通过的《一般数据保护条例》再次严格限定了数据向欧盟成员国境外跨境流动的条件，其重点均并不在于企业如何科学处理合法合理的政府执法需求。2014年非盟发布的《网络安全和个人数据保护公约》加入了数据保护的内容并对打击网络犯罪作了较为详尽的规定，因为非洲存在信息技术落后、社会问题复杂的特点使得其往往成为网络犯罪分子的“避风港”，所以对于打击网络犯罪仍是局限于国内监管上。2006年《俄罗斯个人数据法》规定了个人数据跨境传输的“同等保护”原则，即规定输入国需要具备对数据“同等保护”的水平，2014年该国修改了《关于信息、信息技术和信息保护法》以确立企业严格的法定义务，实现了政府对数据的全面管控。2017年俄罗斯和中国分别通过的网络安全立法主要针对关键信息基础设施作出了相关规定，但在有关跨境执法上依然存在空白。我国《网络安全法》第三十七条要求关键信息基础设施的服务提供商在境内存储数据，虽然对向境外提供数据的行为未明确加以禁止，但仍缺乏具体的可操作性。

3.2 对白皮书的反响

目前美英正在谈判一项允许两国科技公司向对方国家执法者提供电子数据的双边协议，而新西兰通过了一项禁止网络运营商向境外提供电子数据的法案。因为不同国家对于数据流动的自由度边界看法不一，谷歌白皮书的发布，更引起了人们对各国在数据流动中设置障碍的热烈讨论。首先要明确的是，完全切断数据传输是不可取的，因为这将阻碍数据流动并使外国公司与各国执法者都陷入不利地位。至于对谷歌在数据流动方面的建议，尽管美国有部分学者基于国家安全的考虑对此持保留意见，但包括企业高管、政府官员以及学者在内的多数意见对白皮书的主要内容持支持态度，觉得美国国会进行新的立法是必经途径，并且也认为这种改革能达到的终极目标是美国可借此机会引领相关正当程序和隐私标准的制定。同时他们也认识到：尽管谷歌出台的文件表明美国的政策改革至关重要，因为全球最大的互联网公司的总部多数在美国、受美国法律管辖；但互联网企业中也有大量中小科技公司，对于这些全球范围内超过60000家的中小科技企业，它们缺乏资源来处理在每个国家都可能存在的繁琐限制，常见的有要求企业存储数据的副本、只能在本地存储数据、传输数据必须经过政府审批等等。所以，美国即便改革成功，也需要对内、对外两个层面上的多边合作，以增强消费者、政府、网络服务提供者的互信。2017年7月27日，谷歌法务主管萨加多（Richard Salgado）发表主题为“监控法律现代化的重要一步”的演讲，提到参议员Hatch Coons 和Heller再次提出了已在2016年5月份提出的《国际通讯隐私法》的目标。可以预见的是，美国政府的立法改革指日可待。

就目前的情况来说，无论是发达国家还是发展中国家，都或多或少对数据跨境流动有一定的限制措施，比如印度的电信许可协议中不允许各类电信企业（包括互联网服务提供商）将用户账户信息和个人信息（除了外国用户的漫游信息）转移至境外，否则可能面临吊销许可证的后果；意大利、匈牙利等国在当地的法律法规中，禁止将政府数据存储于国外的IaaS（Infrastructure as a Service）服务提供商。在这里面，尤其是对于信息技术发展较为滞后、进入网络空间较晚的发展中国家来说，它们近年来才提出网络主权的理念，在数据管控上处于较为被动的地位。白皮书中举例反对了一些国家数据本地化的倾向，但实际上欧美国家并没有置身事外。例如，欧盟规定的数据留存主体通常是指通信设备制造商、信息服务提供商，主要负责数据的安全保存和及时销毁；美国“9.11”之后通过的《爱国者法案》也规定数据留存主体包括所有通信服务企业；而我国2017年开始实施的《网络安全法》规定的主体则仅限于关键信息基础设施运营者。抛开立法层面，从数据利用率上来说，美国是互联网大国，在数据存储上表现强势，欧盟一直与美国在数据流向问题上争论不休，但始终不能挽回本土用户数据回传的命运。这种地位的不对等会造成谷歌白皮书说服力的减弱，因为采取数据本地化存储确实是在现有技术水平下最大程度保障国家数据主权的方式，何况美国自身就是数据本地化的最大受益方。

此外，执法需求与数据安全本身具有博弈关系，扩大行政机关权力必然涉及公民隐私，所以执法所需的正当程序是有必要的，但是将国家人权标准与是否能正当执法挂钩则有待商榷。谷歌白皮书的出发点固然是政治正确的——提升全球人权标准基线是必然的目标和趋势，但人权标准始终是一个历史性的概念，它始终在演变之中，并会收到不同意识形态、不同文化背景的影响。再则，人权标准合格的国家是否执法就一定正当呢？以美国为例，事实上针对《爱国者法案》以及根据其制定的一系列决定提出的人权诉讼不胜枚举，从根本上说这些诉讼都是行政权力扩大而导致的。对于发展中国家来说，也许网络安全技术上的升级更加关键，例如将个人信息在传输过程中进行“脱敏”处理从而达到保护隐私的目的，而非美国国务院对于其国内人权标准的反复评估。

3.3 企业对于网络空间国际规则制定的参与

在谷歌出台这份有关跨境数据执法的白皮书前，微软分别在2014年和2016年发布了关于网络安全的立场文件，虽然两者落脚点有所不同，但出发点都是敦促国家履行立法职责、填补法律漏洞，将文件中的准则推动至具有法律约束力的轨道上运行。有些学者认为：“之所以出现这种情况，是由于国家怠于立法，而怠于立法的原因正是国家认为这种法律上的模糊性能让其享有更广泛的权利，正如以往美苏冷战时期对外太空的规制置之不理一样。”网络空间出现的“学者立法”、“企业立法”等非国家行为体参与立法的倾向。由北约网络合作防御卓越中心（CCDCOE）组织一批国际法学者针对“网络战”以及和平时期网络行动编写的《塔林手册》（Tallinn Manual）1.0版和2.0版，就是一个突出的例子。这些趋势表明了国家在网络空间国际规则制定中一定程度存在的“缺位”，但这并不代表这一状况会持续下去。无论是谷歌的白皮书还是微软的立场文件，都表明了国家立法才是解决网络空间困境的必经之路。

同时，我们也应认识到，在网络空间中企业更积极地参与国际规则制定可能是必然趋势。这是因为，网络空间国际法领域相较于传统领域来说更加复杂，传统领域国际习惯法的形成依赖于国家的实践，而在参与者大部分由匿名的非国家行为体构成的网络空间，个人、企业和政府都是利用互联网数据的重要主体。国家行为体可能出于前述原因行动不及时，使法律出现一些“真空”区域。作为举足轻重的网络服务提供者，谷歌、微软等企业在数据存储、传输上有着丰富的资源和实践，当有关规则不足以应对网络空间的相关问题时，首当其冲受到负面影响的正是这些直接参与者。企业作为网络领域直接参与者提出的目标，必然具有更强的现实意义和参考价值，即便目前这些文本不具有约束力，也不能形成国家实践，但这将是一个十分重要的中间阶段，将逐渐推动网络空间国际规则体系的形成，而且当评估国家实践时，这些企业的参与也会是一个衡量指标。

4 结语

云时代的核心是对数据的云计算，数据已是支撑国家安全与发展的重要战略资源，因为我们已经从一个对单个数据进行精确分析的时代过渡到一个对大规模数据进行整合从而使社会更高效运转的时代，这种信息搜索、提取方式的根本性改变使得数据的跨境流动成为必然，也同时让数据的曝光超出了预期。谷歌的《白皮书》提出了关于政府跨境执法取证存在的问题和可能的解决途径。诚然，我们的确需要认识到对数据跨境传输的限制已经对全球范围内的通信服务提供商产生了影响，并且造成了一些执法瓶颈和个人数据安全问题，各国在考虑国家安全与经济安全时也应对制定数据保护政策保持谨慎。互联网科技发展势头如日中天，技术水平的差异必然扩大各国的数字鸿沟，完全禁止数据跨境流动只会创造信息孤岛，使当事国被排除在世界网络体系之外。同时，我们也必须认识到，对于立法不完善和技术不发达的国家而言，完全放开数据管制也会对主权完整性带来严峻挑战。可以看到，这份文件仍是站在美国视角提出的解决模式，美国作为数据信息技术起步早、市场份额占有率高和处在科技前沿的大国，在网络空间中相较于其他国家有明显的技术优势，它倾向于鼓励数据流动并固化“数据占有和利用”的差距。从数据请求的数量上看，世界上大部分跨境数据执法请求会向美国提出，在掌握绝对主动权的情况下，它在判断请求国是否符合民主人权标准时又必然具有鲜明的西方好恶，这个标准由谁制定，是否公平，是否会间接造成干涉内政都有待进一步考证。毕竟，五年前的“棱镜门”事件还历历在目，美国自身在个人数据隐私保护的问题上显然是“不干不净”的，由美国制定“人权评分标准”的可信度就更值得商榷了。

[1]Kent Walker. Digital Security and Due Process:Modernizing Cross-Border Surveillance Law for the Cloud Era[EB/OL]. （2017-06-22）.http://www.heritage.org/technology/event/digitalsecurity-and-due-process-modernizing-crossborder-surveillance-law-the.

[2]Richard Salgado. A Significant Step toward Modernizing Our Surveillance Laws[EB/OL].（2017-07-03）.https://www.blog.google/topics/public-policy/significant-step-towardmodernizing-our-surveillance-laws/.

[3]Jennifer Daskal. Cross-Border Access to Data:Google’s Senior VP Weighs In[EB/OL].（2017-07-14）.https://www.justsecurity.org/42489/cross-border-access-data-googlesgeneral-counsel-weighs/.

[4]Google to Appeal Against Order to Hand Over User Emails Stored OutsideUS[EB/OL].（2017-02-06）.https://www.theguardian.com/technology/2017/feb/06/google-gmail-toappeal-against-order-to-hand-over-useremails-stored-outside-us.

[5]Lawmakers Must Fix Cross Border Access to Data[EB/OL]. （2017-06-22）.https://www.i2coalition.com/lawmakers-must-fix-crossborder-access-to-data/.

[6]Microsoft Corporation v. United States of America,Docket No. 14-2985 (2016) [EB/OL]. （2016-07-12）.http://digitalconstitution.com/wpcontent/uploads/2016/07/Decision-opinion.pdf.

[7] Thomas J. Reuter. In re Search Warrant No.16-1601-M to Google, Memorandum of Decision [EB/OL].(2017-02-03).https://www.washingtonpost.com/news/volokh-conspiracy/wp-content/uploads/sites/14/2017/02/Opinion.pdf?tid=a_inl.

[8]Nigel Cory. Cross-Border Data Flows: Where Are the Barriers and What Do They Cost[EB/OL]. （2017-05-01）.https://itif.org/publications/2017/05/01/cross-border-dataflows-where-are-barriers-and-what-do-theycost.

[9]Microsoft, International Cybersecurity Norms:Reducing Conflict in an Internet-Dependent World[EB/OL]. http://download.microsoft.com/download/7/6/0/7605D861-C57A-4E23-B823-568CFC36FD44/International_Cybersecurity_%20Norms.pdf.

[10]Microsoft, From Articulation to Implementation:Enabling Progress on Cybersecurity Norms[EB/OL]. （2016-06-19）.https://mscorpmedia.azureedge.net/mscorpmedia/2016/06/Microsoft-Cybersecurity-Norms_v Final.pdf.

[11]Kubo Macak. From Cyber Norms to Cyber Rules：Re-Engaging States as Law-Makers[EB/OL]. （2017-05-02）.https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2961821.

[12] Stephanie Condon. Google Pitches New Legal Framework for Cross-Border Data Handling[EB/OL]. (2017-06-22.)http://www.zdnet.com/article/google-pitches-new-legal-frameworkfor-cross-border-data-handling/.

[13]In re Search Warrant No.16-1601-M to Google,Memorandum Opinion and Order [EB/OL].(2017-09-01). http://www.westlaw.com.

[14]果园.《网络安全法》数据留存法律制度的解构与建议[EB/OL]. (2016-06-22). http://theory.people.com.cn/n1/2016/0622/c40531-28469970.html.

[15]黄道丽，何治乐.欧美数据跨境流动监管立法的“大数据现象”及中国策略[J].情报杂志,2017,36(04):47-51.

[16]何波.俄罗斯跨境数据流动立法规则与执法实践 [J].大数据,2016(06): 129-134.

[17]石月.国外跨境数据流动管理制度及对我国的启示[EB/OL]. （2015-07-23）.http://gb.cri.cn/42071/2015/07/23/6611s5041096_1.htm.