近日,美国最高法院开庭审理长达5年之久的微软跨境数据隐私案,该案件可以追溯到2013年,那时美国联邦调查局前往纽约向法院提出索要微软某客户数据的诉求,但这位涉嫌贩毒客户的数据存储在微软爱尔兰的服务器上,微软拒绝了调查局的请求,希望检察官前往爱尔兰并经爱尔兰法院许可才能拿到该数据。2016年,微软在这桩案件中胜诉,但最近,美国政府对这一案件上诉并开庭辩论。
专题入口:CLOUD法案:美国云服务商巨头的“两难”抉择
法庭辩论无果 CLOUD法案或成突破口
然而,2月27日法庭上的辩论结果并没有取得实质性进展,各方争执不下。支持法院的一方企图避开“爱尔兰”,让微软从美国总部大楼将相关数据检索出来。但这种方式得到了另一方的反驳,因为即使是“检索”,也属于域外行为。
当然,曾在2月5日被在国会公开阐释的CLOUD法案(Clarify Lawful Overseas Use of Data海外数据使用权明确法)也在辩论中被提及,以金斯堡(Ginsburg) 为代表的法官们认为,如果国会通过CLOUD法案,微软这桩案件解决起来可能会容易一些。
微软总裁兼首席法务官布拉德·史密斯(Brad Smith)在辩论中明确提出,这场辩论让其越发感受到国会采取行动的必要,他表示:“我们需要21世纪的法律来保护21世纪的技术”。很显然,CLOUD法案已经呼之欲出了。
含有“双边数据共享协议”的CLOUD法案
正如史密斯所说,美国1986年版《美国存储通讯法(1986版)》(Stored Communications Act of 1986,简称CSA)已经跟不上技术发展的节奏了,20世纪80年代,云计算的概念并不像现在这风生水起,数据跨境存储还是一件相对遥远的事,但是现在过时的CSA必须面对这样一个事实:它已经解决不了当下的所有事了,2016年微软胜诉也恰恰是因为没有对数据的跨境存储做出规定。
据了解,CLOUD法案较为重要的一点在于授权美国与符合条件的国家签订双边数据共享协议(Bilateral data-sharing agreements),根据该协议,美国同意解除企业/组织向协议国执法机构披露信息的禁令,协议国也需同意企业/组织向美国执法机构披露信息。CLOUD法案明确双边数据共享协议是双方共享数据的前提,美国云服务商禁止向未签署协议的外国政府披露信息。
CLOUD法案规定,签订双边数据共享协议后,美国执法部门仅需凭借法院数据搜查令就可以从美国云服务商那里获取存储在海外的数据,但前提是这些数据在美国云服务商的管理范围之内。这使得美国执法机构无需诉诸繁琐的外交渠道就能获取海外存储的信息,以调查犯罪等行为。
同时,CLOUD法案也指出,云服务商具有对数据搜查令提出质疑的能力,法院在接受质疑后,根据国际礼让的利益考虑是否修改或废止数据搜查令。
对美国云服务商来说 CLOUD法案将会带来两难选择
但CLOUD法案可能还存在一些问题,特别是对于美国云服务商来说,如果1986的CSA可以使云服务商们有权利与美国政府对簿公堂,那么美国政府、法律界、科技界呼之欲出的 CLOUD法案等于把云服务商与政府对簿公堂的权利给剥夺了。
正如上文所说,CLOUD法案的重点在于双边数据共享协议:
只有与条件合适的国家签订了双边数据共享协议,CLOUD法案才具有了生命力; 对于没有签订双边数据数据共享协议的国家来说,CLOUD法案将不具有法律效力。
对于第二点,对没有与美国签订双边数据共享协议的国家中的客户,美国云服务商将面临比微软更加艰难的处境。CLOUD法案的生效已证明美国与其他国家共享数据成为了法律共识,如果某国没有与英国签订双边数据共享协议,则证明两国在数据共享这一核心点上没有谈拢,即双方不愿意共享各自的数据给对方,那么美国云服务商想要进驻对方国家可能会面临一系列障碍,这将阻碍美国云服商的全球化进程。
对于尤为重要的第一点,我们以英美为例,据《华盛顿邮报》报道,美国已经与英国正在做“双边数据共享协议”的相关事项。签署双边数据共享协议之后,英美双方将会实现数据的共享,如果美国云服务商选择遵守法律,对于那些不想让英国政府、美国政府获得其数据的客户来说,美国云服务商将失去竞争力,或者说,该法案将刺激不与美国签订双边数据共享协议国家的云服务业绩的增长;