新闻快讯
< >

攻略| 数据企业实现执法协助合规的“十全脑补”

〇、前言

美国新近的《CLOUD法案》再次将2013年底开始的微软与美国政府之间境外数据令状一案推向幕前。2018年2月底美最高法院开庭审理该案,即将给出司法机关的最终意见,该意见与立法机关在《CLOUD法案》中的法条表述,将一并构成了当前“美国CLOUD法案允许政府跨境调取数据中国客户存在美国云服务商那里的数据特朗普想看就看?”和“欧盟寻求立法允许执法部门跨境获得用户资料”普遍焦虑的来源。一时间,要求对从事境内跨境业务企业和《网络安全法》第37条重新审视和解释的讨论如火如荼。

公号小编组对微软系列案长期给予关注(参见原浩《微软电子邮件案与数据管辖的基础问题浅析》和《网络服务商的“自我搜查”权利及其限制》,载于《信息网络与高新技术法律前沿》(第八卷、第九卷),上海交通大学出版社出版,网上持续有售)。其实微软对跨境数据存取司法实践的推动功劳可谓巨大,除了上述能否获取“神秘客户”位于境外Ireland服务器上邮件的基础刑案外,微软还贡献了包括“导演”诉前高级软件架构师Alex Kibkalo商业秘密刑案等精彩案例,直接挑战了美执法机关的权限。多年以后回看,上述两案与苹果与FBI的iPhone 5c案(参见《从AWA和苹果解锁争议透析协助解密义务》)都是当年的经典案例。

攻略| 数据企业实现执法协助合规的“十全脑补”-E安全

本文分三部分。一是摘录了各方势力在案件过程中的亮点,以期打开看官脑洞,部分论调连美国最高法院九人恐怕也要拍案叫绝(斯卡利亚:你以为就你会写);二是考虑到小编组刚翻译完毕新鲜出炉的《CLOUD法案》,必须将其中的关键点放出以飨读者;三是结合中国《网络安全法》和小编组合规实务的好实践(这年头,都不敢说自己是最佳实践),给各家数据企业(比《网络安全法》的网络运营者概念略宽泛,但可以约等于)的合规一些可视化的参考。

个案亮点呈现

1、法院令状的性质:地方法院声称签发的令状具有搜查令和传票的混合属性。传票属性要求ISP自行提供其处理、保管或控制的信息而不需考虑信息的物理存储位置,并具有无需政府机构人员的直接介入、无需说明合理是由等较少的程序限制;搜查令属性则可以确保符合证据规则和作为合法的取证方式,以适用于获取电子数据证据。一般来说,法院令状要么调查令要么传票,同时具有两种属性,致力于研究量子计算机操作系统的微软也给跪了。

2、将搜、查分开解释:微软认为,搜查令的“搜”和“查”应有所区别,在“查”的行为发生之前有“搜”的过程,法院故意混同了不同行为导致了错误适用——一旦微软按照搜查令实施了邮件复制的行为,就构成了第四修正案下的“搜”,而非法院认为的“呈现”。当政府机构实施了数据复制,便实际的占有了数据并可用作其他用途,用户便失去了对数据的绝对权利,后续如何“查”的行为对用户而言就显得不再重要。在大数据时代,搜而不查的数据“囤积”不可谓不严重!

3、“自抛自扣”:按照EFF解读,Kibkalo 案中微软暗示其“无需获得法院令状,就能够‘自己搜查自己’”。尽管有微软法务部门的内部授权,但此行为已违反了电子通信隐私法(ECPA) ,即微软应当在获得相应授权/许可令状之后才能进行相关的邮件搜查(search,在EFF的表述中,搜查的概念似乎从属于调查)活动。微软则发微博称:我们认为Hotmail和Outlook电子邮件属于个人隐私。……我们也仅仅会在极端情况下查看(此处用了review,弱化了行为的强制性和侵犯性)用户的邮箱及其他服务数据。看看,搜查、调查、查看!各方咬文嚼字到令人发指的程度!

二、CLOUD法案关键条款

虽然美最高法院九人组这两年蹭热点的频度越来越高,但115届国会这两年也没闲着,议员们学习热情高涨,提出了电网研发、漏洞发掘、信息共享等各类法案。为了用“21世纪的法律来保护21世纪的技术”,Hatch等一波议员埋头苦写了CLOUD法案(参议院版本)。法案可以分为两个部分,一是解决类似微软Ireland案的美执法机关如何获取境外数据的问题,二是作为对连锁反应的反应,如何回应外国政府对美提出的类似要求。

(一)法案规定,电子通信服务或远程计算服务的提供者(“服务供应商”)应当遵守本章规定的义务,保存、备份和披露有线和电子通信的内容以及拥有、监管或控制的与其用户或订户的相关的任何记录或其他信息,无论此类通信、记录或其他信息位于美国境内或是境外

作为例外,法案规定服务供应商可以在14天内提出撤销或变更(获取数据)法律程序的动议,理由可以是:(1)目标对象不是“美国人”且不在美国境内居住;(2)所要求的披露将会使服务供应商陷入违反适格外国政府法律的实质性风险。

由于法案给了服务供应商一个反驳或抗辩政府获取数据的除外性规定,当然法案不限制或妨碍服务提供者基于其他理由的申请,但“该申请是基于与适格外国政府法律冲突而撤销的唯一理由”。单看此条,“美国CLOUD法案允许政府跨境调取数据中国客户存在美国云服务商那里的数据特朗普想看就看?”似乎是个伪问题。然而,法案进一步规定了政府可以对服务提供者的申请作出回应,除了判断是不是美国人和对外国法律的违反外,法院可以综合考虑政府对“个案情形”的阐释,决定最终是否对法律程序作出改变或撤销。首当其冲的便是美国利益(the interests of the United States)。换句人话就是,如果法院经过制衡决定优先考虑美国利益,微软也需提供境外数据,即使是外国人或与外国法律存在冲突。故对各国网安法理解深邃、电子证据运用老道的微软等科技公司对此表示“谨慎乐观”,微软首席法务官布拉德史密斯表示对迄今为止的诉讼(成果)只是感到鼓舞。

(二)外国政府对美(实际上包括美国企业或位于美国境内两种情况)数据收集方面,法案要求在符合“适格外国政府”的前提下,进行大小约30项的实质性检视,以确保外国政府对“隐私权和公民自由提供了实质性和程序性的强有力保护”。其中要求的“对促进和保护全球信息自由流通和互联网的开放,传播和互联性作出承诺”,其他安理会常任理事国和发展中大国表示对此多有不同的理解。而程序上则包括要求总检察长在与国务卿达成一致决议,并向国会提交书面认可文件,国会则会对此进行进一步听证、审查等等。

总之,法案的某些方面规定极其细致,另一些则模糊含混,具有前网络时代的法言法语通病。由于法案目前仍处于引入国会阶段,也会受最高法院最终裁判的因素影响,故其最终版本和通过情况仍然有不确定性。

三、合规建议

直接上干货。

(一)从中国法下企业视角,境内执法机关要求获取境内企业存储在境外数据的合规建议(简要)

序号

流程合规符合

法律依据或细化分析

备注

0

企业架构与对接人员安排

应考虑相应职位与人员配备;相关安全技术、意识、《网络安全法》等法律的培训


           

1

调查令/函及其内容的查看/核实

了解或需获取的资料、信息的具体内容和法律依据;与案件有关的基础信息

参考腾讯拒绝”法院调取微信聊天记录的回函”事件

2

其他程序性合法要件的查看/核实

如执法人员人数,执法证件等;获取可适用的资料复印件


           

3

对需调查(访问、获取)数据做内容数据和非内容数据的区分

不同数据类型在云上的存储逻辑和物理位置都有差异,应与调查令内容结合考虑


           

4

数据存储国的数据合规要求评估

如CLOUD法案下的程序与实质要求

再如,越南不设定严格的数据本地化要求,故可能直接转向对位于(例如美国)境内数据的获取

5

数据访问路径国的数据跨境要求

如适用


           

6

访问企业境外数据的方法

考虑并区分由自行内部人员还是接入执法机关,需外部律师评估对调查令的符合性;应考虑形成访问(网络)日志


           

7

对相关数据的获取(提取、提供/签收)和介质要求

符合《网络安全法》《个人信息安全规范》等个人信息与数据保护的要求,由于不涉及对服务器本身的取证,故应符合取证形式与实质要求


           

8

从备份数据中获取数据的合法性

如适用


           

9

数据本地化的评估

对境外数据的获取,同样涉及到境内数据的出境问题,应与执法机关确认并形成书面文件,以符合《个人信息和重要数据出境安全评估办法(征)》等数据出境评估的要求


           

10

对整体执法协助(取证过程)的固定及其合法理由

考虑必要的签署、记录、录音录像(如适用)


           

11

对加密数据的识别、解密或恢复

《网络安全法》对解密协助无条件限制

美对解密与否有相应规定,参考苹果iPhone 5c案

12

不建议远程访问、勘验或介入第三方网络及其合理理由

涉及数据出境、不安全网络风险等问题


           

13

拒绝或无法协助的合理理由

如适用,需外部律师介入评估并考虑处罚等法律后果


           

14

评估执法协助对企业运营的直接和间接影响

包括但不限于业务连续性、费用等


           

15

协助执法的其他建议

如何合规的接待执法机关人员,区分现场和非现场(如约谈)工作;应通知技术支持部门的其他配合


           

适用说明

本文主要基于《网络安全法》《刑事诉讼法》、美《联邦刑事诉讼规则》(Federal Rules of Criminal Procedure)、《CLOUD法案》(立法程序中)和若干判例,不穷尽所有执法类型,仅作一般性合规参考,完整的合规建议请与维护者联系。本文及相关合规工具由公安三所网络安全法律研究中心共同维护,所引用内容归各自版权人所有。

E安全注:本文系E安全专稿,作者原浩、蔡雨琪,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。