英美《數據訪問協議》即將生效 在英跨國企業有何風險？_Cloud:LOUD

2022年7月21日，英美兩國發表聯合聲明，稱雙方于2019年簽署的《關于為打擊嚴重犯罪而獲取電子數據的協議》將于2022年10月3日正式生效。

英美《數據訪問協議》作為第一款正式落地的《CLOUD法案》體系下的雙邊協議，開啟了美英合作的新紀元。美國司法部表示，該協議將允許美國和英國的執法機構在獲得適當授權的情況下，繞開可能的法律障礙，直接向設在對方國家的科技公司索取有關嚴重犯罪的電子數據。這是否意味著，在英有跨國實體的企業，會更容易面臨被美國約束或制裁的風險呢？未來美國還可能與哪些同盟國簽署類似協議，這對于我國企業在出境經營的過程中會帶來哪些影響呢？

一、英美為何要簽署英美《數據訪問協議》？

英美《數據訪問協議》第3條明確指出，通過該協議進行的數據跨境取證行為的法律效力僅來自于簽發方的法律，并且兩國都承諾確保其與數據的保存、認證、披露和調取有關的國內法律允許適用的數據提供商遵守受該協議約束的數據調取命令。由此可見，兩國的相關國內法律是英美《數據訪問協議》能夠得以落地實施的基石。此外，隨著全球各主要國家相繼出臺了保障國家數據安全的相關法規，英美在全球范圍內調取數據將會遇到空前的阻力，英美兩國希望能夠通過簽署該數據訪問協議來解決困境。

英美兩國的國內法基礎

無論是美國還是英國，在英美《數據訪問協議》簽署之前，就已經發布了《CLOUD法案》和《2019年犯罪法案》來調取境外數據，那雙方為何還需要簽署該數據訪問協議呢？

1、微軟公司訴美國政府案與《CLOUD法案》

在《CLOUD法案》出臺前，美國與數據存儲有關的法律主要是1986年生效的《存儲通信法案》(StoredCommunicationsAct,?SCA)。SCA存在一個巨大的缺陷，即沒有明確的美國政府搜查令能否要求通信服務商提交其存儲在境外的數據，這也導致了微軟公司訴合眾國案歷時五年仍懸而未決。

Taiko：已上線alpha-4測試網:7月18日消息，基于zkRollup的以太坊Layer2網絡Taiko宣布其alpha-4測試網已上線，旨在測試新的基于質押的驗證者經濟學、于Taiko上部署Taiko作為L3初始層。[2023/7/18 11:02:11]

為填補《存儲通信法案》的漏洞，美國國會在2018年3月緊急通過了《澄清境外合法使用數據法案》，該法案采取“數據控制者標準”，即無論數據是否存儲在美國境內，只要掌控該數據的服務提供者是受美國管轄的主體，該服務提供者就有義務提供美國政府所要求的數據。隨著《CLOUD法案》的出臺，微軟案的核心爭議也就不復存在了。美國意在通過《CLOUD法案》彌補其現有數據監管體系中關于數據跨境獲取和利用體系中的漏洞，擴張其數據主權。

2、《犯罪法案》

目前，英國執法部門調取境外存儲的電子證據途徑主要是通過司法協助程序，但該程序復雜且緩慢，通常需要幾個月甚至幾年的時間，難以滿足英國政府打擊網絡犯罪的效率需求。在此背景下，英國通過了《犯罪法案2019》。該法案于當年10月生效。該法案規定，在英國與他國簽署條約的前提下，英國執法機構與相關單位基于調查和起訴英國國內嚴重犯罪的需要，可以向法院申請海外證據搜索令，憑借搜索令要求自然人或法人，提供存儲于英國境外的電子證據(electronicdata)或者特殊電子證據(exceptedelectronicdata)。

故而，從性質上來說，《CLOUD法案》或英國的“COPO”法案都是英美主權國家對內頒布的法律制度。《CLOUD法案》或者“COPO”法案為英美兩國執法部門跨境調取數據提供了法律依據，但該項法律依據無法約束境外主體，僅有這種法律依據并不能使得該項跨境執法的權限得以落地，故而，這兩個法案的落地需要“雙邊執法協議“機制，即英美《數據訪問協議》的簽署生效才能使得這兩項法案更好的執行。

數據：86個可疑地址再次向交易所存入12.4萬億枚LADYS:金色財經報道，據Lookonchain監測，86個可疑地址在8小時前再次向交易所存入12.4萬億枚LADYS（約120萬美元），目前持有118.6萬億枚LADYS（約1100萬美元），并向交易所存入102.5萬億枚LADYS（約950萬美元）。金色財經此前報道，86個地址向交易所存入了90萬億枚LADYS（約1080萬美元），并發現這些代幣在轉入交易所后LADYS的價格開始下跌。這86個地址目前持有131萬億枚LADYS（約1500萬美元）。[2023/5/17 15:07:54]

數據本地化浪潮

從廣義上理解，數據本地化可以視為任何對數據跨境流動加以限制的制度。如中國《網絡安全法》《數據安全法》《個人信息保護法》都要求數據本地化存儲；2018年歐盟委員會頒布的《通用數據保護條例》規定只有具備“充分保護”個人數據水平的主體才能與歐盟進行自由數據流動；2019年11月，俄羅斯《主權互聯網法》要求互聯網服務提供商采取措施最大程度減少俄羅斯用戶數據向國外傳輸；2019年印度提出效仿歐盟GDPR的《個人數據保護法草案2018》和《印度電子商務國家政策框架草案》，明確印度將逐步采取措施推進數據儲存本地化的進程等等。

二、英美《數據訪問協議》究竟約定了什么？

《數據訪問協議》全文共計17個條文，主要約定了協議的目的、與國內法之間的關系、適用的范圍、數據調取命令涉及的數據類型、數據調取命令適用人員的限制、數據調取命令送達的程序與對象、數據調取保障問題等內容。

適用范圍

《數據訪問協議》第4條規定，調取數據的命令必須是為了“獲得與預防、偵查、調查或起訴適用的罪行有關的信息”。又根據該協議第1條的規定，適用的罪行是指根據簽發方的法律，構成嚴重犯罪的行為。其中嚴重犯罪是指可能被判處的最高刑期三年以上的犯罪。

LinksDAO證實已中標蘇格蘭高爾夫俱樂部:金色財經報道，全球高爾夫愛好者社區LinksDAO，今天證實它贏得了購買蘇格蘭斯佩灣高爾夫俱樂部的競標。 LinksDAO 在推特上說，“我們中標了。我們要買一個高爾夫球場！！！”最終收購價格未知。在首次嘗試收購高爾夫球場時，LinksDAO于二月份進行了投票，并獲得了參與者的支持。

在年初僅 24 小時內售出 9,000 多個 NFT 后，LinksDAO 籌集了價值約1,100 萬美元的以太坊。此次購買是 DAO 出售具有現實世界效用的 NFT 的最重要示例之一，社區成員可以使用這些 NFT 參與購買和管理有價值的實物資產。[2023/3/17 13:09:11]

涉及的數據類型

數據調取命令可以要求通信提供商提供廣泛的數據，主要包括由以適用的提供者身份行事的私人實體所擁有或控制的以下類型的數據：電子或有線通信的內容；為用戶存儲或處理的計算機數據；與電子或有線通信或為用戶存儲或處理的計算機數據有關的流量數據或元數據；以及根據同時尋求本定義中所提及的任何其他類型數據的命令而尋求的用戶信息。其中，用戶信息是指識別適用的供應商的用戶或客戶的信息，包括姓名、地址、服務時間和類型、用戶號碼或身份、電話連接記錄、會話時間和持續時間記錄以及支付方式。

數據調取命令適用人員的限制

一國申請調取數據的對象必須是非對方國家的人員，也就是說，該協議防止簽發方針對接收方國家的公民及組織。需要注意的是，協議中兩國對接收方人員的認定是不同的，如果美國是接收方，接收方人員的范圍是：

其任何政府機構或其當局，包括在州、地方、領土或者部落級別的；

韓國加密交易所Gopax的理財產品GOFi受Genesis影響延遲還本付息:11月17日消息，據官方公告，韓國加密交易所Gopax宣布，因其加密理財產品GOFi受合作伙伴Genesis暫停贖回的影響，GOFi目前延遲還本付息。Gopax表示：“我們已要求Genesis償還所有資產，以保護客戶的資產免受Genesis的損害，但還款尚未進行。”不過，Gopax稱非GOFi客戶資產沒有影響，因為該平臺的資產和GOFi產品的資產分開保管，Gopax存取款不受影響。

據悉，DCG是Gopax的第二大股東。此前昨日消息，Genesis加密貨幣借貸部門暫停客戶贖回和新貸款發放。[2022/11/17 13:17:05]

其公民或國民；

合法獲得永久居留權的人；

有大量成員屬于第二項或第三項的非公司協會；

在美國注冊的公司；

位于其境內的人。

如果英國是接收方，接收方人員的范圍是：

任何政府機構或國家當局；

非法人協會，其大量成員位于其境內；

位于或在其境內注冊的公司；

位于其境內的任何其他人員。

從二者的范圍上不難看出，美國作為接收方時，其人員的范圍要大于英國，美國的接收方人員包括在美國境外的美國人，而英國作為接收方時只限于位于英國境內的人員或組織。這導致了英國執法機構不能向英國法院申請故意針對美國公民或者組織的數據調取命令，但美國執法部門卻可以向法院申請針對英國公民或者組織的數據調取命令，只要這些人員位于英國境外即可。

數據：ENS域名創建數量突破220萬:金色財經報道，據Dune Analytics數據，ENS域名創建數量已突破220萬，截至目前為2,201,567個，獨立參與地址總量544,339個，主域名注冊量為387,609個。[2022/9/5 13:09:41]

上述規定類似場景如：美國司法部要求調取位于英國某個科技公司的非英國人的數據，當該非英國人在英國居住，基于以上約定，美國司法部不能調取他的數據，反之，當他在英國境外居住，美國司法部就可以調取他的數據。而當美國司法部想要調取一個英國人存放在英國某個科技公司的數據時，除非該英國人在英國境內，否則美國司法部依然可以調取他的數據。而當一個位于英國的外資公司，該外資公司的高管相關電子數據存放在英國，美國也無權調取。也就是說，美國調取存儲在英國的數據的限制范圍系屬地主義，即只要是位于英國的人或組織，無論是否是英國公民，美國司法部都不能針對性的調取數據。而即便是英國公民，數據存儲在英國，只要其人在境外，美國司法部都可以調取他的數據。

此外，當美國司法部要求調取英國企業的境外關聯企業的存儲于英國境外的數據時，該企業是否需要配合？這需要視具體情況而定。英美《數據訪問協議》第一條第三款規定，該協議適用的數據范圍是相關主體擁有或控制的數據。因此，考察該英國企業對境外的關聯企業的數據是否有控制權至關重要。根據英國GDPR中關于控制和處理的相關規定，如果主體能夠單獨或者共同決定該數據的處理目的和方式，那么該主體就應被認定為能夠控制該數據。這里提到的處理要做廣義上的解釋，收集、記錄、組織、結構化、存儲、改編或更改、檢索、咨詢、使用、通過傳輸、傳播或以其他方式提供的披露、對齊或組合、限制、刪除或破壞等行為都屬于處理的范疇。換言之，對數據或數據集的任一操作，都是在處理數據。故該英國企業如果能影響境外的關聯企業對數據的處理，美國司法部就有權調取該企業的相關數據。但如果該英國企業無法從任何意義上影響到境外關聯企業對數據的處理，僅僅能夠訪問境外企業的有關數據，那么該英國企業不應當被認定為能夠控制境外企業的數據，美國司法部也就當然無權調取相關的數據。

數據調取命令送達的程序與對象

簽發國在申請數據調取命令時，必須證明被調查行為的合法性和嚴重性符合英美《數據訪問協議》中申請調取數據的要求，并提供充分的事實與法律依據。由于該協議對于事實和法律依據應當滿足何種條件方為充足并沒有明確的約定，導致了簽發國的法院的裁量權過大，不利于保障被調查人員或組織的合法權益。

數據調取保障問題

英美《數據訪問協議》的第7條規定了目標鎖定和最小化程序原則。在確定數據調取命令的對象時，相關執法機構應當實施適當的目標鎖定程序，通過這些程序，執法機構必須做出善意的、合理的努力以確保要調取的數據是屬于目標對象所使用或控制的。

第7條第2至5款規定的最小化程序對英國進行了額外的限制。第一，協議要求英國應采取適當的程序來減少獲取、保留和傳播根據本協議獲取的美國人的信息。第二，英國有義務對獲得的信息進行隔離、密封或刪除處理，并且不傳播與預防、偵查、調查或起訴所適用的罪行無關的信息，也不得傳播為保護任何人免受死亡威脅或嚴重人身損害所需要的信息以及為評估其重要性所需要的信息。第三，協議要求英國及時審查收集到的數據，并將其存儲在安全的系統中。第四，對英國的執法人員提出了技術要求，只有經過適用程序培訓的執法人員才能訪問收集到的數據。第五，英國原則上不得向美國傳播依據數據調取命令收集到的美國人的通信內容。

可見，英美雙方在該協議中的權利義務并不是對等的，該協議對英國的限制遠遠多于對美國的限制，美國是該雙邊協議的最大受益方。雖然《CLOUD法案》及英美《數據訪問協議》在形式上是公平、互惠的，但實質上“適格外國政府”的條件過于苛刻，并且賦予美國政府很大的自由裁量權。從條文數量來看，涉及美國獲取外國境內數據的條款并不多，需要滿足的條件較為簡單；但外國政府調取美國境內數據資料的條文數量明顯增加，法案規定了詳細復雜的限制條件。

三、英美《數據訪問協議》對我國的跨國企業有何影響？

英美通過該雙邊協議，利用自身互聯網的發展優勢，試圖突破傳統的數據屬地管轄，通過強制網絡服務提供者披露數據的方式單邊獲取他國境內數據，將二國的數據主權延展至境外，一方面，從英美國家的政府角度而言，正如英美兩國在聯合聲明中所指出的，《數據訪問協議》的生效將開啟美國和英國之間合作的新時代，為應對嚴重犯罪的威脅帶來新的承諾。

另一方面，通過英美數據跨境執法新協議所強化的數據治理模式，美國不但可以通過“數據控制者”標準，確保其作為最大數據市場對數據流的有效控制，也通過其寬廣的管轄范圍，實現對域外數據控制力的擴張，從而繼續加強和保持其優勢地位。

對于跨國企業，特別是作為眾多電子數據控制者的通信服務提供商而言，其位于英國的關聯公司同樣存在收到美國司法部基于英美《數據訪問協議》，而要求其提供涉案用戶電子數據的相關函件。

那么，對于該跨國企業的英國主體或數據中心而言，是否存在被要求提供企業高管人員的電子數據的情況呢？

就當前英美《數據訪問協議》的相關內容而言，美國執法部門在申請調取英國的CSP電子數據時，需要對調取數據的必要性、適當性做出充分說明。而正如前文對該協議的調取對象所做的介紹一樣，該協議要求一國申請調取數據的對象必須是非對方國家的人員，也就是說，該協議防止簽發方針對接收方國家的公民及組織。也就是說，理論上而言，美國司法部不得申請調取位于英國的公司的相關人員、居住在英國的人的電子數據。但在實踐中，位于英國的外資公司，其關聯公司高管人員是否能夠被納入到接收方組織的相關人員，可能是一件具有爭議的事實，在沒有明確法律規定及協議約定的情況下，美國司法部也極有可能認定該關聯公司不屬于位于英國的公司，故而其高管人員的數據屬于英美《數據訪問協議》的調取對象。

如，一個印度公司，母公司位于印度，母公司高管也居住在印度，但子公司及數據中心都在英國，而母公司的高管人員有大量數據存放在英國的數據中心，此時，如該高管被認定涉嫌一起美國具有管轄權的刑事案件，且屬于刑期在三年以上的嚴重犯罪，美國司法部就很可能依據英美《數據訪問協議》來要求位于英國的子公司調取該名高管的電子數據。

此外，作為第一份即將生效的執法跨境獲取數據的雙邊協議，美國可以通過復制英美《數據訪問協議》的相關實踐，將這種跨境數據治理范式滲透到更多的國家，從而獲得數據跨境治理的國際合作話語權，從而影響將來可能的最低限度的國際條約的制定，并通過這種方式特續傳播其國家理念和意識形態。

時下，除了英國之外，美國還在與加拿大、澳大利亞和歐盟等國家或地區進行相關執行協議的商談，以該協議為模版的執法協議將在之后更加頻繁出現于國際數據治理的場合中，可以預見我國網絡產業在走出去的過程中將遭受美國以數據跨境執法獲取為由的更大范圍的干擾和阻礙。

來源：金色財經

Tags：CloudLOUDCLOOUDEPC-CLOUD2.0Wind bnd EloudCyclonePROUD

比特幣