2018.5.10
陈安揆 美国哥伦比亚特区律师
原来众所瞩目的美国最高法院U.S. v. Microsoft一案,随着大法官们提出仅有三页长的共同意见,认定当事人之间就提交最高法院审理事宜不再有任何争点,全案于2018年4月17日突然终结。当事人双方于其个别诉状提及且大法官于言词辩论时肯认为本案最适当之解决方案,即是由美国国会立法,于2018年3月22日川普总统签署明确海外资料使用法(CLOUD)(以下简称「云端法」)时获得实现。新法可能使美国政府获得具争议的更大能力,可以取得海外存放的私人信息。而于目前世界其它国家资料隐私制度正快速发展的情况下,特别是近期关于Facebook及Cambridge Analytica被披露的事实,未来的挑战可能具有实质国际上的影响。本短文将扼要说明U.S. v. Microsoft一案,以及云端法着眼的议题及使用的机构,再探讨有待解答的问题。
2013年12月,联邦干员针对微软申请了第2703条(18 U.S.C.第2703条)规定的授权令,要求微软针对干员门正在调查的贩毒事宜必须揭露某一帐户特定电子邮件。微软于纽约南区地方法院寻求撤销授权令。2014年地方法院拒絶撤销(并认为微软不遵循授权令有藐视法院的行为),但此裁决遭到第二巡回上诉法院撤销。因此,2017年6月23日,美国政府将本案上诉最高法院,并于2017年10月16日获准上诉。
本案核心议题为储存通讯法(Stored Communications Act,以下简称「SCA」),1986年美国国会有鉴于越来越多信息可能以电子形式储存,但与信封密封信件或口头沟通相较之下,该电子信息目前仍未获得相同的防止未获授权揭露的法律保护,而通过电子通讯隐私法,SCA即为其一部分。如前所述,第2703条揭橥了电子储存通讯免遭执法单位不合理搜索及扣押之保护,并注明执法人员得取得前述信息之方法及情境,明示规定「...唯有依据管辖法院签发之授权令方得为之...」。在云端法进行修订之前,第2703条关于以电子方式存放海外之通讯是否仍受到保护,并无支字词组。影响所及,U.S. v. Microsoft一案主要法律争点在于法规解释,但并非关于SCA是否适用于域外,因当事人双方已承认,依据最高法院于Morrison v. National Australia Bank Ltd.一案之判决,由于国会意图不明,因此第2703条不得作域外适用之解读。相反地,美国政府辩称,由于授权令签发对象为美国国内公司微软,且信息最终也将于美国揭露,因此相关行为于美国境内发生,第2703条不得作域外适用并无关宏旨。微软则反驳,SCA系关于保护储存信息,而非揭露储存信息,因此信息揭露地点无关紧要,且政府要求微软采取的行动,至少部分于外国发生,因此超出授权令无法于美国境外执行的范围,,即政府必须仰赖其与爱尔兰签订之司法互助条约以取得该信息。
于2018年2月27日进行言词辩论时,云端法已于2018年2月6日于众议院作为H.R.4943法案提出。因此,回答Sotomayor大法官关于法案状态问题时,即使美国政府律师解释法案其实已实质上支持政府有从某一供货商获得数据(不问其世界上储存地点)之权力,但仍提醒法案仍需一段时间方成为法律,而法院实务上不会等待立法程序完成再解决一个案件。因此,云端法能进到于三月份快速通过使美国政府能维持运作之综合拨款包裹法案,甚至于极少众议院实际审阅过法案条文,实在令人略为惊奇。
如前所述,云端法明确规定SCA可域外适用。新规定(18 U.S.C. 第2713条)特别注明服务供货商应「遵循[SCA]以便保存、备份或揭露电子通讯...内容...而不问该通讯、纪录或其它信息位于美国境内与否。」为求平衡,若服务供货商合理认为以下两种情形皆存在时即可享有拒絶请求之法律依据(新增18 U.S.C.第2703(h)条):
- 美国政府目前寻求电子通讯或数据之当事人非美国公民或合法居民;以及
- 揭露将为服务供货商带来违反「合格」外国政府法律之实质风险。
第二项要求是美国关于存取电子数据国际司法互助的新作法一环,以下将扼要进行探讨。一旦法院接获服务供货商依据第2703(h)(2)(B)条拒絶请求之声请,除审查服务供货商主张之前述两项法律依据外,法院也应针对是否裁定拒絶政府信息请求进行「全面情境」礼让分析。云端法已列举此礼让分析应考虑之以下某些议题:
- 美国政府取得信息之利益,以及合格外国政府避免揭露之利益。
- 供货商因法律抵触而可能面临处罚之可能性。
- 所追索通讯之当事人地点及国籍,以及其与美国之关系。
- 供货商对于美国之关连及设立据点之性质。
- 信息对于系争调查之重要性。
- 所寻求信息之取得方式,可产生较不严重后果的可能性。
对于不适用第2703(h)(2)条提出挑战的情况下,即当事人非美国公民或永久居民,或相关外国政府不「合乎资格」,则云端法提供一般除外条款作为后盾,并仅指示法院关于该请求是否应予核准,应针对「礼让分析」适用「普通法标准」。 然而,针对法律抵触事宜,SCA并非经常涉讼法规,前述「全面情境」礼让分析所列因素是否此处也得以适用,并不明确(此等因素显系基准为现有冲突法原则所撰拟)。因此,如同一般解读法律条文之情形,尽管新的法律机制或多或少已明确解决针对微软一案引发的取得储存于外国的信息适用SCA的主要问题,但实务上判断这些礼让分析因素如何适用,仍为法院的工作。
云端法另一主要目的较偏政策考虑,即是企图全面修订政府之间于世界各地存取电子信息的体系的计划。美国政府于微软一案中一项立场是,尽管微软另有其它说明,但经由传统司法互助请求取得电子信息,通常需要耗时数日与其它国家执法当局协调,才能使执法当局搜索并查扣前述资料,且政府并主张,由于相关电子数据可能跨不同管辖地储存,因此在云端储存的环境下,经由司法互助取得信息显得极不切实际。因此云端法提议一个国与国之间的新体系,在不须经过正式司法互助请求下,可经由该体系更有效处理跨边界请求。这套体系将由18 U.S.C.第2523条成文,给予美国政府权利与「合格」之外国政府签订行政协议,使得双方政府在一般情况下将可相互取得并分享储存于每个国家的信息,惟除了特定除外情形外,外国政府锁定特定美国人或位于美国人士的能力仍有特定限制。
为判断一个国家是否「合格」,云端法将此责任赋予美国检察总长,由其负责审查该国法律是否提供「网络犯罪及电子证券方面充分的实质及程序法律」,以及「是否遵循相关国际人权义务」等因素。一旦某一潜在国家经判定符合这些要求,检察总长即于国务卿同意下,针对前述判定作成方式通知国会,并提交一份行政协议。尽管行政协议无需获得国会同意,但云端法仍有某种国会监督规范,规定了国会作成联合反对决议的180天审查程序(原法案为90天期间)。
云端法的通过,获得执法单位及(一般持有大量客户数据)科技公司的支持,因为这部法律一般寻求满足问题两方的要求,明确揭橥取得信息及挑战过于广泛信息请求的法律机制,也正由于缺乏这种机制,当初才导致微软一案的法律争议。 此外,云端法有意建立一项基于执法目的共享信息的全球制度,可回避传统司法互助的许多时效的问题,而同时参与此网络的制格则取决于每个国家法制健全程度,以及对于国际人权义务的遵循程度及以隐私权的重要性。因此这部新法律似乎并无输家,而一旦美国及其它国家达成第一批双边行政协议,及下级法院在第一波诉讼中实务上应用法定礼让分析因素后,目前新机制的原始及未经测试的特性应会较为明朗。
然而,由于这些机制实质部分取决于此新全球信息共享制度的建立及存在,因此潜在之前提即为其它国家对于美国签订此双边行政协议的提议接受程度。许多专家引述的主要可能造成问题之范例即为欧盟通用数据保护规则(General Data Protection Regulation,以下简称「GDPR」),其中第48条明示禁止承认并执行要求服务供货商释出个人资料的外国法院命令(但该命令系基于国际协议时除外),且其文字引述司法互助作为该国际协议范例,但云端法签订的双边协议是否符合相同「国际协议」类别,仍不无疑问。若美国基于GDPR无法与欧盟达成协议,或无法与具有禁止服务供货商/数据管制者将个人信息向外国主管机管揭露之类似隐私权法律的其它国家达成协议,云端法所构筑、基于执法目的共享信息的典范将遭到严重弱化。
同样的,隐私权运动人士也非常关切此信息共享典范。尽管依据云端法签订双边行政协议的对口国家可能据传将由美国检察总长从美国观点加以「审查」,但该国就储放于美国的美国公民信息提出信息请求时,却无机制可以「审查」该请求是否符合该国法律。此外,美国法律已不再禁止服务供货商将该信息交给外国执法单位(一种最不利的潜在结果是抗拒此等请求需要完全仰赖服务供货商的所为,而其抗拒的能力或意愿目前完全未经验证),而这是SCA过去版本明示禁止的。此外,新增第2713条或修正第2703条文字并未特别提及美国执法单位请求相关的授权令、法院命令或传票,因为其用语为「可修改或撤销」的「法律程序」,针对目前关于无授权令搜索的法理,该请求的合法性可能遭到质疑。这些问题都需要经过法院检验,法院接着会要求美国及数个管辖地签订的前述行政协议必须成形。目前最新消息是英国刚脱离欧盟之后,不久将成为与美国签订行政协议的第一个国家,且英国已采取措施解决对外提供信息请求的明显缺乏监理的问题,但此等措施实务上是否允当,仍有待观察。
神仙下凡式的解决方案于法律上并不多见。过去SCA版本的问题,在明确的巡回法院意见分歧发生之前就已被最高法院认为问题严重性足以采取行动,而这个时点之巧合最后使得问题可以解决仍仅是因为云端法仅在条文低度修订后即被纳入政治上较为急迫的综合拨款法案所致。尽管因为云端法可提供目前迫切需要的法律明文依据而获得民主共和两党以及微软一案中双方支持,但其闪电通过成为法律之模式是福是祸仍有待观察。无论如何,由于与美国签订前述协议的政府有可能以空前便利的方式取得个人信息,因此法律界及个人都必须密切观察云端法相关措施的新发展。