欧盟与美国法律在数据保护与执法取证方面的互惠性冲突及其解决路径

本文作者为Jessica Shurson，其所属机构为伦敦玛丽女王大学商业法律研究中心。该文发表于《国际法律与信息技术杂志》（international journal of law and information technology），出版时间为2020年。

本文的核心议题是探讨在云计算时代背景下，欧盟与美国法律体系之间在数据保护与执法机构跨境获取电子证据方面存在的互惠性冲突，并分析潜在的解决方案。文章特别关注了美国《澄清境外合法使用数据法案》（Clarifying Lawful Overseas Use of Data Act，简称CLOUD Act）与欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）之间的潜在冲突，以及英国脱欧后可能面临的新挑战。

一、 问题的提出：跨境数据取证的双重困境 文章开篇即指出，云计算的兴起凸显了国家面临的两个时常相互冲突的需求：一是保护本国公民数据的需要，二是执法机构（Law Enforcement Authorities，简称LEAs）为获取证据而需要访问这些常存储于境外的数据的需求。美国和欧盟成员国都主张其国内法律程序足以要求披露由境外服务商持有或控制的数据。然而，美欧双方又都拥有数据保护法规，这些法规可能依据其国内法律程序阻止数据向外国执法机构的转移，从而形成了“互惠性冲突”。

这种冲突的根源在于数据存储的物理位置与数据控制者法律管辖权的分离。文章指出，即便是在完全涉及本国行为和本国行为者的国内刑事调查中，数字证据也可能存储在海外或由位于外国的服务提供商控制。在欧洲，超过一半的国内刑事调查需要存储或控制于境外的数据。鉴于美国服务提供商在云计算和互联网通信领域的主导地位，欧洲执法机构寻求的大量数据由美国公司控制或位于美国。

二、 核心冲突点分析：GDPR与SCA作为“阻断法规” 文章的主体部分详细剖析了两大核心法律障碍如何相互构成“阻断法规”（blocking statute）。

1. GDPR作为对美国执法的阻断

   • 法律依据：GDPR第48条规定，除非基于国际协议（如司法互助条约，Mutual Legal Assistance Treaty，简称MLAT），或符合GDPR第五章（第45-47条及第49条）规定的其他合法转移依据，否则不得仅因第三国法院或行政机构的判决或决定而承认或执行要求转移或披露个人数据的命令。这意味着，美国依据《存储通信法案》（Stored Communications Act，简称SCA，CLOUD Act对其进行了修订）签发的、要求服务商提供存储于欧盟境内数据的搜查令（SCA warrant），很可能因违反GDPR第48条而受阻。
   • 关键案例：文章以著名的“微软爱尔兰案”为例，说明了在CLOUD Act通过前，美国SCA搜查令的域外效力存在法律争议。CLOUD Act明确了此类搜查令的域外适用性，即要求美国服务提供商提供其拥有、保管或控制的数据，无论数据存储于何处。这直接加剧了与GDPR第48条的潜在冲突。
   • 例外情况探讨：文章分析了GDPR下可能允许数据转移的例外情况：
     • 国际协议：通过MLAT程序获取数据是合规途径，但该程序通常耗时数月，效率低下。
     • 其他合法转移依据：包括基于充分性决定（如已失效的“安全港”和现存的“隐私盾”）、适当保障措施（如具有约束力的公司规则、标准合同条款）的转移。然而，文章引用欧洲数据保护委员会（EDPB）和学者的观点指出，这些机制主要适用于商业数据传输，通常不适用于执法目的的数据转移，且后续的执法调取（onward transfer）可能仍受限制。
     • 减损情形：例如为“重要的公共利益”或控制者的“压倒性合法利益”。但文章指出，这些减损被严格解释，难以作为常规SCA搜查令的合法依据，且服务商通常无法仅凭搜查令本身判断其是否符合欧盟或成员国法律认可的公共利益。
   • 结论：综合来看，GDPR在绝大多数常规情况下，会阻断美国执法机构依据SCA签发的、针对存储于欧盟个人数据的搜查令，除非通过MLAT等国际协议进行。

2. 美国SCA作为对欧盟执法的阻断

   • 法律依据：美国SCA禁止服务提供商在无有效美国搜查令的情况下向任何实体披露通信内容数据。这意味着，欧盟成员国执法机构直接向美国服务提供商发出的数据提供令（production order），如果要求的是内容数据，将与SCA的禁止性规定相冲突。
   • 欧盟的应对与潜在冲突：当前，许多欧盟成员国法律已赋予其数据提供令域外效力。欧盟正在推进的《电子证据》（e-evidence）提案（包括一项条例和一项指令）旨在使这一过程在欧盟内部更加高效，其适用范围涵盖“在联盟内提供服务的服务提供商”，而不论数据位于何处。这可能导致位于美国、但在欧盟提供服务的提供商，同时受到欧盟数据提供令（要求提供内容数据）和美国SCA（禁止无美国搜查令下披露内容数据）的约束，形成法律冲突。

三、 无国际协议下的现状与困境 文章指出，在缺乏国际协议解决上述冲突的情况下，服务提供商处于两难境地：遵守一国法律可能导致违反另一国法律并面临严厉制裁。可能的应对方式包括： * 数据本地化：服务商将数据按区域和用户国籍进行“隔离”，使美国服务商将其欧盟数据交由欧盟子公司控制，从而避免从美国境内访问。但文章认为这是一种不可取的选择，会导致互联网“巴尔干化”，增加成本、降低效率、损害安全性和可靠性。 * 礼让原则抗辩：服务商在法庭上挑战存在冲突的命令，由法院通过“礼让分析”权衡各国利益以决定适用哪国法律。但这要求服务商进行成本高昂的个案判断和诉讼，且对于涉及跨境数据的海量请求（占欧洲案件一半以上）而言不具可持续性。此外，关于应由哪国法院（美国法院还是欧盟法院）进行礼让分析也存在争议。

四、 解决方案：CLOUD Act框架下的双边协议 文章认为，通过新的国际协议解决冲突是根本途径，并重点分析了美国CLOUD Act第二部分建立的双边协议框架。 * 机制：CLOUD Act授权美国与符合特定隐私和公民自由保护标准的“合格外国政府”签订双边协议。根据此类协议，协议国的执法机构可以直接向美国服务提供商发出数据提供令，从而解除SCA的阻断条款。协议具有互惠性，也允许美国执法机构直接向协议国的服务提供商发出命令。 * 首个实践：英国与美国于2019年10月达成了首个依据CLOUD Act框架的双边协议。为配合该协议，英国通过了《犯罪（海外数据提供令）法案2019》，创建了专门与相关国际协议配合使用的、具有域外效力的“海外数据提供令”。 * 对欧盟的启示：文章探讨了欧盟与美国达成类似协议的可能性。挑战在于欧盟是否被视为CLOUD Act意义上的“外国政府”。一种可行的路径是达成一个美欧框架协议，再由各成员国分别与美国签署并完成认证。这种基于CLOUD Act框架的协议被视为最高效的解决方案，能够移除GDPR和SCA在常规案件中的阻断条款，解决大部分法律冲突。

五、 新挑战：英国脱欧后的潜在冲突 文章特别指出，尽管英国在推动CLOUD Act及美英协议方面发挥了关键作用，但脱欧使其自身可能陷入与美国类似的、针对欧盟数据的困境。 * 新问题：英国脱欧后，其执法机构向位于欧盟的服务提供商（或控制欧盟数据的美国服务提供商）发出的数据提供令，可能同样受到GDPR第48条的阻断。 * 数据转移基础：英国希望维持与欧盟间的数据自由流动，但这取决于欧盟是否对英国做出“充分性认定”。然而，英国在国家安全和移民方面的法律与实践（如《2016年调查权力法案》下的数据保留和大规模监控权力，以及与“五眼联盟”的情报共享）可能影响欧盟对其数据保护水平的评估。 * 未来选择：为避免GDPR的阻断，英国可能的选择包括：1) 通过法律安排继续参与“欧洲调查令”体系；2) 退而依赖欧洲委员会的司法互助公约；3) 与欧盟谈判达成类似CLOUD Act的双边协议，允许英国执法机构直接访问欧盟服务提供商的数据。文章认为，无论哪种路径，英国都需要与欧盟进行新的谈判，以确保其执法机构能够有效获取数字证据。

六、 结论与意义 文章总结道，数据保护法律与执法取证需求之间的张力，在跨境背景下变得尤为突出且不可避免。CLOUD Act和GDPR的同时生效，以及欧盟《电子证据》提案的推进，凸显并可能加剧了这些冲突。 * 核心价值：本文系统地梳理和分析了美欧之间在跨境电子取证领域复杂的法律冲突图谱，清晰地阐明了GDPR和SCA/CLOUD Act如何作为相互的“阻断法规”发挥作用。它不仅停留在问题描述层面，还深入探讨了法律条文解释、例外情形、司法实践（如微软爱尔兰案）以及政策动态（如美英协议）。 * 前瞻性：文章的重要贡献在于前瞻性地指出了英国脱欧这一地缘政治变化所带来的新法律挑战，将讨论从传统的“美欧”二元对立扩展至“美-欧-英”三角关系，丰富了该领域的研究视角。 * 政策意义：本文明确指出，依赖数据本地化或个案礼让分析并非可持续的解决方案。它有力地论证了通过国家间双边或多边协议（如CLOUD Act模式）建立基于共同人权标准的互惠性直接访问框架，是平衡数据隐私与执法效率、解决当前困境的最有希望的路径。同时，文章也警示，即使达成此类协议，各国（如脱欧后的英国）仍需妥善处理与现有区域数据保护框架（如GDPR）的关系，以避免产生新的法律裂痕。