查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《暨南学报(哲学社会科学版)》
云环境下政府数据存取的法律困境及应对
【作者】 马宁【作者单位】 西安交通大学法学院
【分类】 行政法学【中文关键词】 云计算;政府数据存取;法律困境及应对
【文章编码】 1000-5072(2014)01-0054-09【文献标识码】 A
【期刊年份】 2014年【期号】 1
【页码】 54
【摘要】

政府数据存取法律制度是一国政府有效实施调查权的必要保障,为了刑事侦查与反恐之目的,各国立法普遍赋予本国政府进行数据存取的权力。但在云环境下,由于云计算自身的技术特性,政府存取云数据将面临执法方面的障碍,需要云服务商提供必要的执法协助,并对存取途径和方法进行调整。同时,云计算海量用户数据的集中存储为政府利用数据存取进行大规模的数据挖掘提供了可能,加之用户对数据的所有权与控制权相分离,这愈发引起公众对政府公权力滥用的担忧,需要立法对相关利益进行平衡。但我国目前可适用于云计算政府数据存取的法律规定较为笼统且分散,与云用户和云服务商合法权益息息相关的协助执法补偿制度和侵权救济制度仍然存在立法缺位,亟待对相关法律制度进行调整与完善。

【全文】法宝引证码CLI.A.1183945    
  一、云计算对政府数据存取的影响
  政府数据存取(Government Access to Data)也称政府数据访问或政府数据获取,是指政府机构{1}在履行其职责的过程中访问及获取相关数据的活动[1]114。为了维护国家安全和社会稳定,各国立法普遍承认和赋予政府为刑事侦查之目的进行数据存取的权力,特别是在“9·11”事件之后,为了更为有效地预防和打击恐怖主义,政府进行数据存取的职权得到强化。例如美国爱国者法案以防止恐怖主义为目的扩张了美国警察机关的权限,规定警察机关有权搜索电话、电子邮件通信、医疗、财务和其他种类
  的记录。英国调查权管理法案规定,如果政府
  证明存在合理理由确信存在刑事犯罪(不包括轻微刑事犯罪),而获取数据对于侦破案件有重大价值,政府可以要求法官签发搜查和扣押令,以存取相关数据。随着云计算服务的全球化繁荣和云计算技术的多维度部署,大量的个人和企业数据向云端迁移,数据的集中存储似乎给政府数据存取提供了更为便利的途径,但事实并非如此[2]。
  美国国家标准和技术研究院(NIST){2}提出的云计算定义目前受到最广泛的认可,其认为云计算是一种能够通过网络以便利的、按需付费的方式获取计算资源(包括网络、服务器、存储、应用和服务等)并提高其可用性的模式。按照NIST的定义,云计算模式的技术特性将导致用户数据的收集、使用和处理在整个数据生命周期中凸显出异质性,对政府数据存取产生了多维度的影响。
  第一,政府数据存取在云环境下最大的障碍在于可能产生的隐私侵犯。尽管政府公权力与个人隐私权冲突具有相当的普遍性,并非为云环境下政府数据存取特有的关注点,但由于云环境下用户对数据的控制力被削弱[3]157,这种冲突将变得更为激烈且难于控制。在每一个历史时期,“人们都使各种价值准则适应当时的法学任务,并使它符合一定时间和地点的社会理想”[4]。理论上,云计算和隐私保护是一致的。随着用户数据控制权转移至云服务商一方,用户在选择云服务时往往具有更高的隐私期待。但数据的大规模存储和处理本身就存在极大的安全隐患,技术脆弱性所引发的数据泄露、丢失、混同等安全风险较于传统IT环境更为突出,云服务商需要负担更为严格的数据安全义务,云服务商必须采取更为紧缩的数据访问控制策略,例如尽量控制第三方对用户数据的访问、最小化访问特权、严格限制用户数据披露等等。这些内部控制措施在客观上造成政府进行数据存取的过程更为困难,获得数据的周期加长,甚至产生云服务商拒绝政府进行数据存取的情况{3}。
  第二,政府进行数据存取的前提是云服务商提供有效的数据访问途径或提供政府试图存取的数据,这要求云服务商应当知悉数据的实时位置{4}。但云环境中的数据流动相较于传统IT服务而言更为灵活和难于控制,特别是在多数据中心的情况下,云服务商可能无法获知某一特定时刻数据存储的具体位置,而无法满足政府进行数据存取的要求。此外,为了实现成本效益,多租户共享资源是云服务的基本模式,云服务商通常将用户数据集中存储。为了向政府提供可用的数据,云服务商需要把云中所存储的数据重新组合,并将政府所存取的数据分离出来,同时还要保证其他云用户敏感数据的隔离安全。如果不能按照要求提供数据,政府可能会选择对所有存储在服务器上的数据进行存取,这势必增大了数据存取的难度,也将导致政府获得不相干用户的数据,产生隐私侵犯的潜在风险[5]81。
  第三,政府数据存取最根本的目的通常与刑事侦查相关联,因此数据的真实性至关重要。但云环境相对于传统物理隔离的IT环境更为开放和具有弹性,用户数据更容易受到未经授权的访问、篡改、变更和删除,任何在技术和管理方面的疏漏都可能对数据的真实性造成减损。最常用的保证数据真实性的方法是在整个数据生命周期中采用加密措施,但这又带来另一个问题,基于刑事侦查的需要,加密的数据通常不符合政府数据存取的要求,各国法律一般要求云服务商提供明文数据。如果数据为云服务商加密,政府可以要求云服务商提供密钥或解密数据,但如果数据为用户加密,在缺乏密钥托管机制的情况下,云服务商需要通知用户解密数据或提供密钥,这造成政府数据存取活动的秘密性降低,也可能由于用户恶意删除或篡改数据的行为而影响数据的真实性。
  第四,政府数据存取通常依据特定的管辖权,即只有在立法所确立的司法管辖权范围内,政府才能够进行必要的数据存取。例如美国政府强调本国法律的优先适用原则,当云服务商位于美国,或者在美国有分公司或办事处,或者在美国有连续进行的业务,相关的云服务即被纳入美国的司法管辖权范围。但在云服务中的数据跨境传输成为常态,云用户、云服务提供商、云基础设施提供商、数据中心可能分属不同的国家,因此政府是否有权存取位于管辖区外的数据成为云环境下政府数据存取的重要问题[6]19-27。出于对用户隐私的考虑,云服务商可能寻求规避政府数据存取强制性法律要求的方法。例如一些云服务商建议用户选择位于安全地区或国家的云数据中心,这些地区或国家通常较少受政府数据存取的影响[7]。尽管从执法的角度考量,云计算代表了在数据跨境中必然会发生的管辖冲突,但法律互助协议{5}能够显著减少政府获取他国云数据的阻碍。例如,德国政府与美国政府关于刑事调查事项签订的协议{6},允许成员国要求获取和接受位于其他成员国的信息(包括存储在第三方设备上的信息)。因此,政府在云环境下进行数据存取必须开展更为广泛的国际合作,避免管辖权争议。
  第五,云计算海量用户数据的集中存储为政府利用数据存取进行大规模的数据挖掘(Data Mining){7}提供了可能,数据挖掘可以使政府获取隐含的、具有潜在价值的信息,并可以使这些信息更为明确地指向个人,这愈发引起公众对政府公权力滥用的担忧。我们注意到越来越多的国家开始基于反恐目的授权政府进行数据存取,由于以反恐为目的的数据存取很难在立法上划定数据获取的范围,在实践中往往会放宽对数据特定性的要求,受到“最小化收集原则”的限制更小,政府可能会对云端数据不加区分地进行存取,以在最大限度上满足反恐的要求。因此在云环境下,政府数据存取极易被泛化和滥用,对用户隐私产生更为严重的侵犯。需要立法确立更为有效的监督和审查机制,明确对个人隐私的保护态度,强化政府对数据的保密义务。
  政府数据存取在云环境下一方面受到外部技术因素的影响,获取数据的难度加大;另一方面云计算海量用户数据的集中存储为政府利用数据存取进行大规模的数据挖掘提供了可能,政府数据存取泛化和滥用的风险加大。这些特殊性需要建立与云环境下政府数据存取更为契合的法律框架,调整和完善现行法律规范,充分应对云环境下政府数据存取的困境,并弱化权力滥用的风险。
  二、欧美云环境下政府数据存取的法律实践
  (一)美国云环境下政府数据存取的法律实践
  通常认为,美国云环境下的政府数据存取以爱国者法案为基础,爱国者法案以防止恐怖主义为目的扩张了美国警察机关的权限,规定警察机关有权搜索电话、电子邮件通信、医疗、财务和其他种类的记录,并减少对于美国本土外情报单位的限制。该法案延伸了恐怖主义的定义,扩大了警察机关可控制的活动范围。尽管爱国者法案普遍被认为赋予政府更多地获取数据的权力,但事实上爱国者法案并没有提供新的更广泛的调查权力,而是扩大了现有的调查方式,并限制了滥用宪法和法律的行为[8],例如根据爱国者法案,政府访问电子文件和通信内容比其他非核心数据信息有着更严格的限制。
  但在大多数情况下,政府存取云数据需要受美国电子通信隐私法(ECPA)的规制,根据规定,只有法官发出搜查令,或者政府向云服务商发出有效传票的情况下,政府才能够存取相关的云数据。而法官只有在有理由相信发生刑事犯罪或在云数据中能够找到犯罪证据时,才能对云服务商发出搜查令。在电子通信隐私法的规制下,政府获得搜查令是唯一有权存取云数据的途径。如果政府通过搜查令或传票要求存取用户数据,通常政府在从云服务商手中获取数据之前必须通知用户。此项规定能够保证用户的知情权,允许用户对政府存取云数据提出质疑{8}。但如果通知云用户将威胁到其人身安全,这种通知就可能会被延迟。美国电子通信隐私法案禁止云服务商在没有收到正式法律要求时自动披露云用户的数据{9},禁止美国政府拦截传输中的电子数据{10}。
  此外,美国政府在某些反恐和国外情报收集过程中还可以通过外国情报监视法案命令(FISA Orders)和国家安全信函(NSLs)存取云数据。如果政府表明存在合理理由相信获取云数据与获取外国情报或反对恐怖主义或间谍活动的调查相关,政府可以存取诸如联系方式、服务年限或交易记录等用户非核心数据,但一般不会包括服务器中的电子记录和文件。外国情报监视法案命令和国家安全信函是在美国爱国者法案之前就以立法形式确立的,但爱国者法案扩大了政府存取数据后云服务商协助执法的义务。例如爱国者法案增加了“司法限制言论令”(gag order){11}的规定,禁止接收到外国情报监视法案命令和国家安全信函的云服务商披露相关事实。但如果云服务商认为政府存取的数据扩大了其实际需要的数据范围,可就该命令提出质疑。
  (二)欧盟云环境下政府数据存取的法律实践
  欧盟在其相关的条例、公约、指令中明确了政府数据存取的权力,并要求云服务商提供必要的协助。虽然欧盟的网络犯罪公约(以下简称公约)不会被其成员国直接使用,但是会被转化为成员国的国内法发挥效力。该公约规定,执法机关依法有权强制云服务商在成员国领土范围内、在其技术所及范围内采取相关专业技术手段收集和记录有关通信实时数据,以配合或者帮助执法机关的犯罪侦查行为。存取的数据通信包括从云端中下载的文件、由违法者接收或发送的电子邮件以及聊天记录。同时规定收集数据包括两种不同的方法,第一种方法通常要求云服务商安装一个接口,使执法机关能够用来直接访问云服务商的基础设施。第二种方法是使执法机关能够强制要求云服务商收集执法机关要求的数据。该公约同时要求缔约方通过立法以及采取其他措施要求云服务商对存取数据的过程以及相关信息进行保密。
  此外,欧盟自成立以来一直积极致力于建立统一的欧洲电子商务市场,并制定了许多与密码相关的政策法规以为其成员国提供指导,促进其内部成员国间政策法规的互融互通。尤其是在政府数据存取过程中云服务商的协助解密义务方面,要求云服务商向执法机关提供其已加密的明文内容。公约设置了关于产品令状的规定,即任何一方应当遵循立法或其他措施,从而实现其主管机关被授权的必要令状,当事人应在主管机关管辖范围内提供其所拥有或控制的存储于计算机系统或计算机数据存储机制中的特定数据信息。同时,其解释性备忘录补充到“缔约国可以对当事人设立必须按照令状指定的形式提供指定计算机数据信息的义务”。因此,公约允许但并不强制其成员国建立解密令状制度。但是,其解释性备忘录也指出,加密技术原则上应被视为对隐私的合法保护措施,因此对于加密技术的应用应被视为是一种合法的权利,从而确立了加密技术在隐私保护中的法定地位。都拉黑名单了,还接个P
  欧盟还制定了相关法律保障政府数据存取的实施,例如欧盟电子隐私指令和数据存留指令对数据存留的目的、适用范围、数据存留的类别、数据存留的义务、数据存留的期限、存留数据的保护与销毁、存留数据的提供与罚则以及评估等方面做出了详细的规定。从数据存留的主体考虑,欧盟数据存留指令中所明确设定的义务主体是公开提供电子通信服务商或公共通信网络提供商,数据存留的目的是确保执法机关在调查、侦查和起诉各成员国国家立法中所定义的严重犯罪时能够提供相应数据。
  存留的数据仅包含所有自然人或法人的流量数据与位置数据,以及其他用来识别订购者或已登记用户所必需的资料,不得包括内容数据。指令中还专门规定了存留数据的类别,而且各成员国需确保这些数据自流通之日起存留六个月以上,但最多不得超过两年。由于存留的数据涉及公民的隐私,若不慎外泄或被不当利用,将对公民隐私造成重大侵害,故指令专门规定,对于被存留数据的质量、安全和保护等级,应等同于数据传输时的保护。各国更应积极采取适当的技术上或政策上的措施,以避免存留的数据被意外或非法损毁,意外灭失或更改,或未经许可或非法存留、处理、获取或披露。而对于存留期限届满的数据,除非有特殊情况,否则应立即销毁。存留数据的机构须确保其存留的数据可随时配合执法机构的调查而提出,用以协助执法机构进行严重犯罪与恐怖嫌犯之调查时的参考利用。
  在关于欧洲议会和理事会指令的提案中,欧盟主要关注执法机构为预防、调查、侦查或起诉刑事罪行或执行刑事处罚目的的个人数据保护,以及该数据在成员国之间的自由流动,确立了政府跨境存取数据的一般规定,该提案规定了数据在刑事领域的警察和司法合作中转移到第三国或国际组织的一般原则,澄清了跨境数据存取仅为必要的预防、调查、侦查或起诉刑事罪行或刑事处罚的执行之目的,并且应当为政府跨境数据存取的行为提供适当的保护措施,要求成员国应规定服务商需要按照执法机构的要求履行职责,特别是提供其所必需的数据。
  (三)德国云环境下政府数据存取的法律实践
  德国法律授权刑事检察官和监管机构通过法院命令存取第三方云服务器中的数据。但要获得法院的相关指令,政府必须证明有充足的理由相信所存取的数据是与刑事犯罪有关的。此外,如果云服务商提供类似通信服务的业务,根据德国电信法规定,为了起诉犯罪,维护公共安全和秩序,或履行政府职能,政府有权在未事先取得法院命令的情况下存取云用户的某些非内容性数据(例如电话号码、地址、出生年月等等),云服务商需要协助政府进行相关的数据存取,并被禁止向包括用户在内的第三方透露政府的数据存取活动。同时,德国数据保护机构可以要求存储在云服务商的服务器中的数据遵从数据保护法的规定,并被授权存取云服务商服务器中的数据,以审计和验证云服务商是否满足德国数据保护法的相关规定。
  尽管德国政府机构能够基于刑事侦查或数据安全审计的目的存取云数据,但在一般情况下云服务商不能主动向政府机构披露数据。例如,根据德国电信法的规定,云服务商没有明确法定许可的情况下向政府披露用户数据将违反云服务商对用户数据的保密义务。云服务商在接受政府数据存取的要求后,应当尽快地通知用户,但不能影响刑事调查的目的。德国法律没有明确规定政府数据存取需要基于国家安全或反恐的目的,但考虑到在这些领域刑事犯罪的危害性,德国法院可能授予政府更多的自由裁量权以决定是否进行数据存取。
  德国电信法和数据保护法对政府存取数据的规定可以涵盖位于国外的云服务商,但规定并不明确,且德国法院的数据存取命令原则上不适用于位于国外的云服务商,因此,德国政府在希望存取国外云服务商的数据时需要服务器所在国的司法协助。
  三、我国云环境下政府数据存取的法律调整与完善
  政府数据存取法律的调整与完善不能是盲目的,应当把握两个基本方向:一是在云环境下增强政府数据存取的有效性,满足国家安全与反恐之目的;二是平衡政府公权力与个人隐私之间的冲突,严格规范数据存取的适用条件。结合各国司法实践的经验,我国云环境下政府数据存取应当调整和完善以下事项。
  (一)明确云环境下政府数据存取的适用条件
  目前,我国尚未建立专门针对政府数据存取的程序性立法,相关规定散见于《宪法》、《国家安全法》、《人民警察法》、《刑事诉讼法》、《电信条例》、《

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
【参考文献】

[1]Francoise Gilbert.Demystifying the Patriot Act:Cloud Computing Impact[J].Tech Target,2012,(5).

[2]Winston Maxwell,Christopher Wolf.A Global Reality:Governmental Access to Data in the Cloud[R/OL].[2013-01-29].http:∥www.cil.cnrs.fr/CIL/IMG/pdf/Hogan_Lovells_White_Paper_Government_Access_to_Cloud_Data_Paper_1_.pdf.

[3]蒋洁.云数据隐私侵权风险与矫正策略[J].情报杂志,2012,(7).

[4]庞德.通过法律的社会控制[M].北京:商务印书馆,1984.

[5]邓仲华,朱秀芹.云计算环境下的隐私权保护初探[J].图书与情报,2010,(4).

[6]史本懿,林举琛.全球信息保密管理:在网络环境下的跨境信息流[J].黄义也,译.科技与法律,2010,(5).

[7]Scott M.Fulton.EU’s Reding to Cloud Providers:Stop Sheltering Yourself from US Patriot Act[R/OL].[2012-03-02].http:∥www.readwriteweb.com/cloud/2011/12/eusredingtocloudproviders.php.

[8]Kromann Reumert.Government Access to Information in“The Cloud”[R/OL].[2013-03-06]. http:∥www.kromannreumert.com/enUK/Publications/Articles/Documents/Government%20access%20to%20information%20in%20the%20cloud.pdf.

[9]马民虎.网络信息安全保障的法律监管研究[M].西安:陕西科学技术出版社,2007.

[10]张文显.法理学[M].北京:高等教育出版社,2003.

[11]UK Data Retention Requirements Information Data Retention and Disposal[R/OL].[2009-01-08].https:∥www.watsonhall.com/resources/downloads/paperukdataretentionrequirements.pdf.

[12]中国云计算安全政策与法律蓝皮书[R].西安:云计算安全政策与法律工作组,2012.

[13]曹卫.秘密侦查的实施主体[J].中国商界,2010,(2).

©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1183945      关注法宝动态:  

法宝联想
【共引文献】
【引证文献】
【相似文献】
【作者其他文献】
【引用法规】

热门视频更多