2018.5.10
陳安揆 美國哥倫比亞特區律師
原來眾所矚目的美國最高法院U.S. v. Microsoft一案,隨著大法官們提出僅有三頁長的共同意見,認定當事人之間就提交最高法院審理事宜不再有任何爭點,全案於2018年4月17日突然終結。當事人雙方于其個別訴狀提及且大法官于言詞辯論時肯認為本案最適當之解決方案,即是由美國國會立法,於2018年3月22日川普總統簽署明確海外資料使用法(CLOUD)(以下簡稱「雲端法」)時獲得實現。新法可能使美國政府獲得具爭議的更大能力,可以取得海外存放的私人資訊。而於目前世界其它國家資料隱私制度正快速發展的情況下,特別是近期關於Facebook及Cambridge Analytica被披露的事實,未來的挑戰可能具有實質國際上的影響。本短文將扼要說明U.S. v. Microsoft一案,以及雲端法著眼的議題及使用的機構,再探討有待解答的問題。
2013年12月,聯邦幹員針對微軟申請了第2703條(18 U.S.C.第2703條)規定的授權令,要求微軟針對幹員門正在調查的販毒事宜必須揭露某一帳戶特定電子郵件。微軟于紐約南區地方法院尋求撤銷授權令。2014年地方法院拒絶撤銷(並認為微軟不遵循授權令有藐視法院的行為),但此裁決遭到第二巡迴上訴法院撤銷。因此,2017年6月23日,美國政府將本案上訴最高法院,並於2017年10月16日獲准上訴。
本案核心議題為儲存通訊法(Stored Communications Act,以下簡稱「SCA」),1986年美國國會有鑒於越來越多資訊可能以電子形式儲存,但與信封密封信件或口頭溝通相較之下,該電子資訊目前仍未獲得相同的防止未獲授權揭露的法律保護,而通過電子通訊隱私法,SCA即為其一部分。如前所述,第2703條揭櫫了電子儲存通訊免遭執法單位不合理搜索及扣押之保護,並注明執法人員得取得前述資訊之方法及情境,明示規定「...唯有依據管轄法院簽發之授權令方得為之...」。在雲端法進行修訂之前,第2703條關於以電子方式存放海外之通訊是否仍受到保護,並無支字片語。影響所及,U.S. v. Microsoft一案主要法律爭點在於法規解釋,但並非關於SCA是否適用於域外,因當事人雙方已承認,依據最高法院於Morrison v. National Australia Bank Ltd.一案之判決,由於國會意圖不明,因此第2703條不得作域外適用之解讀。相反地,美國政府辯稱,由於授權令簽發物件為美國國內公司微軟,且資訊最終也將於美國揭露,因此相關行為於美國境內發生,第2703條不得作域外適用並無關宏旨。微軟則反駁,SCA系關於保護儲存資訊,而非揭露儲存資訊,因此資訊揭露地點無關緊要,且政府要求微軟採取的行動,至少部分於外國發生,因此超出授權令無法於美國境外執行的範圍,,即政府必須仰賴其與愛爾蘭簽訂之司法互助條約以取得該資訊。
於2018年2月27日進行言詞辯論時,雲端法已於2018年2月6日于眾議院作為H.R.4943法案提出。因此,回答Sotomayor大法官關於法案狀態問題時,即使美國政府律師解釋法案其實已實質上支持政府有從某一供應商獲得資料(不問其世界上儲存地點)之權力,但仍提醒法案仍需一段時間方成為法律,而法院實務上不會等待立法程式完成再解決一個案件。因此,雲端法能進到於三月份快速通過使美國政府能維持運作之綜合撥款包裹法案,甚至於極少眾議院實際審閱過法案條文,實在令人略為驚奇。
如前所述,雲端法明確規定SCA可域外適用。新規定(18 U.S.C. 第2713條)特別注明服務供應商應「遵循[SCA]以便保存、備份或揭露電子通訊...內容...而不問該通訊、紀錄或其它資訊位於美國境內與否。」為求平衡,若服務供應商合理認為以下兩種情形皆存在時即可享有拒絶請求之法律依據(新增18 U.S.C.第2703(h)條):
- 美國政府目前尋求電子通訊或資料之當事人非美國公民或合法居民;以及
- 揭露將為服務供應商帶來違反「合格」外國政府法律之實質風險。
第二項要求是美國關於存取電子資料國際司法互助的新作法一環,以下將扼要進行探討。一旦法院接獲服務供應商依據第2703(h)(2)(B)條拒絶請求之聲請,除審查服務供應商主張之前述兩項法律依據外,法院也應針對是否裁定拒絶政府資訊請求進行「全面情境」禮讓分析。雲端法已列舉此禮讓分析應考慮之以下某些議題:
- 美國政府取得資訊之利益,以及合格外國政府避免揭露之利益。
- 供應商因法律抵觸而可能面臨處罰之可能性。
- 所追索通訊之當事人地點及國籍,以及其與美國之關係。
- 供應商對於美國之關連及設立據點之性質。
- 資訊對於系爭調查之重要性。
- 所尋求資訊之取得方式,可產生較不嚴重後果的可能性。
對於不適用第2703(h)(2)條提出挑戰的情況下,即當事人非美國公民或永久居民,或相關外國政府不「合乎資格」,則雲端法提供一般除外條款作為後盾,並僅指示法院關於該請求是否應予核准,應針對「禮讓分析」適用「普通法標準」。 然而,針對法律抵觸事宜,SCA並非經常涉訟法規,前述「全面情境」禮讓分析所列因素是否此處也得以適用,並不明確(此等因素顯系基準為現有衝突法原則所撰擬)。因此,如同一般解讀法律條文之情形,儘管新的法律機制或多或少已明確解決針對微軟一案引發的取得儲存於外國的資訊適用SCA的主要問題,但實務上判斷這些禮讓分析因素如何適用,仍為法院的工作。
雲端法另一主要目的較偏政策考慮,即是企圖全面修訂政府之間於世界各地存取電子資訊的體系的計畫。美國政府於微軟一案中一項立場是,儘管微軟另有其它說明,但經由傳統司法互助請求取得電子資訊,通常需要耗時數日與其它國家執法當局協調,才能使執法當局搜索並查扣前述資料,且政府並主張,由於相關電子資料可能跨不同管轄地儲存,因此在雲端儲存的環境下,經由司法互助取得資訊顯得極不切實際。因此雲端法提議一個國與國之間的新體系,在不須經過正式司法互助請求下,可經由該體系更有效處理跨邊界請求。這套體系將由18 U.S.C.第2523條成文,給予美國政府權利與「合格」之外國政府簽訂行政協定,使得雙方政府在一般情況下將可相互取得並分享儲存於每個國家的資訊,惟除了特定除外情形外,外國政府鎖定特定美國人或位於美國人士的能力仍有特定限制。
為判斷一個國家是否「合格」,雲端法將此責任賦予美國檢察總長,由其負責審查該國法律是否提供「網路犯罪及電子證券方面充分的實質及程式法律」,以及「是否遵循相關國際人權義務」等因素。一旦某一潛在國家經判定符合這些要求,檢察總長即于國務卿同意下,針對前述判定作成方式通知國會,並提交一份行政協議。儘管行政協議無需獲得國會同意,但雲端法仍有某種國會監督規範,規定了國會作成聯合反對決議的180天審查程式(原法案為90天期間)。
雲端法的通過,獲得執法單位及(一般持有大量客戶資料)科技公司的支援,因為這部法律一般尋求滿足問題兩方的要求,明確揭櫫取得資訊及挑戰過於廣泛資訊請求的法律機制,也正由於缺乏這種機制,當初才導致微軟一案的法律爭議。 此外,雲端法有意建立一項基於執法目的共用資訊的全球制度,可回避傳統司法互助的許多時效的問題,而同時參與此網路的制格則取決於每個國家法制健全程度,以及對於國際人權義務的遵循程度及以隱私權的重要性。因此這部新法律似乎並無輸家,而一旦美國及其它國家達成第一批雙邊行政協議,及下級法院在第一波訴訟中實務上應用法定禮讓分析因素後,目前新機制的原始及未經測試的特性應會較為明朗。
然而,由於這些機制實質部分取決於此新全球資訊共用制度的建立及存在,因此潛在之前提即為其它國家對於美國簽訂此雙邊行政協定的提議接受程度。許多專家引述的主要可能造成問題之範例即為歐盟通用資料保護規則(General Data Protection Regulation,以下簡稱「GDPR」),其中第48條明示禁止承認並執行要求服務供應商釋出個人資料的外國法院命令(但該命令系基於國際協議時除外),且其文字引述司法互助作為該國際協定範例,但雲端法簽訂的雙邊協定是否符合相同「國際協定」類別,仍不無疑問。若美國基於GDPR無法與歐盟達成協議,或無法與具有禁止服務供應商/資料管制者將個人資訊向外國主管機管揭露之類似隱私權法律的其它國家達成協議,雲端法所構築、基於執法目的共用資訊的典範將遭到嚴重弱化。
同樣的,隱私權運動人士也非常關切此資訊共用典範。儘管依據雲端法簽訂雙邊行政協議的對口國家可能據傳將由美國檢察總長從美國觀點加以「審查」,但該國就儲放於美國的美國公民資訊提出資訊請求時,卻無機制可以「審查」該請求是否符合該國法律。此外,美國法律已不再禁止服務供應商將該資訊交給外國執法單位(一種最不利的潛在結果是抗拒此等請求需要完全仰賴服務供應商的所為,而其抗拒的能力或意願目前完全未經驗證),而這是SCA過去版本明示禁止的。此外,新增第2713條或修正第2703條文字並未特別提及美國執法單位請求相關的授權令、法院命令或傳票,因為其用語為「可修改或撤銷」的「法律程式」,針對目前關於無授權令搜索的法理,該請求的合法性可能遭到質疑。這些問題都需要經過法院檢驗,法院接著會要求美國及數個管轄地簽訂的前述行政協議必須成形。目前最新消息是英國剛脫離歐盟之後,不久將成為與美國簽訂行政協定的第一個國家,且英國已採取措施解決對外提供資訊請求的明顯缺乏監理的問題,但此等措施實務上是否允當,仍有待觀察。
神仙下凡式的解決方案於法律上並不多見。過去SCA版本的問題,在明確的巡迴法院意見分歧發生之前就已被最高法院認為問題嚴重性足以採取行動,而這個時點之巧合最後使得問題可以解決仍僅是因為雲端法僅在條文低度修訂後即被納入政治上較為急迫的綜合撥款法案所致。儘管因為雲端法可提供目前迫切需要的法律明文依據而獲得民主共和兩黨以及微軟一案中兩造支持,但其閃電通過成為法律之模式是福是禍仍有待觀察。無論如何,由於與美國簽訂前述協議的政府有可能以空前便利的方式取得個人資訊,因此法律界及個人都必須密切觀察雲端法相關措施的新發展。