2022年1月19日,据路透社报道,美国商务部情报与安全办公室(Commerce Department’s Office of Intelligence and Security)正在针对阿里云业务开展国家安全审查,审查的重点在于阿里云如何存储美国用户的数据,包括个人信息以及相关的知识产权内容,以及中国政府是否会通过阿里云访问到美国用户的数据[1]。美国监管机构最终可能强制要求阿里云采取相应措施,用以明确降低云业务带来的风险,甚至有可能全面禁止美国用户在美国内外继续使用阿里云服务。
这已不是阿里云第一次在美遭受调查,中资互联网企业在境外遭受他国执法机构调查也已经不是什么新鲜事。美国等西方国家利用长臂管辖的手段对海外企业和个人启动的刑事执法行动,给中资出海企业的经营活动以及相关人员的人身安全带来重大风险。除直接调查企业之外,各国执法机构的目标也瞄准了跨国互联网平台掌握的海量数据。以全球电商巨头亚马逊为例,仅在2020年一年,亚马逊就收到了来自全球执法机构3282份跨境调取电子数据的刑事司法协助请求[2]。这些请求来自不同的国家和不同的法域,并且直接指向企业掌握的用户数据,给企业在合规应对各国执法机构和保护用户合法权益之间造成了巨大的冲突和矛盾。企业应当从何种角度妥善应对?本文将就跨境电子数据取证的执法趋势、互联网企业应对跨国刑事执法的不同维度以及相应的企业跨境合规方案出发,在本文中进行讨论。
一、跨境电子数据取证的全球执法趋势
(一)传统国际公约和条约框架下的各国跨境数据取证合作
早在2001年,欧洲理事会的26个欧盟成员和美国、加拿大、日本和南非等30个国家的政府官员在布达佩斯共同签署了《网络犯罪公约》(Cyber-crime Convention,以下简称《布达佩斯公约》)。作为全世界第一部针对网络犯罪行为所指定的国际公约,该公约希望通过建立国际间对于网络犯罪立法的共同参考目标,进而有效促进国际合作。《布达佩斯公约》原则上规定,各国应当通过国内立法,确保其主管机关能够命令在其国内运营的服务提供商提交该服务提供商拥有或者控制的与此类服务有关的用户信息[3];并且允许各国主管机构搜查或访问其境内的计算机系统上的数据;如果主管机关有理由相信数据存储在另一计算机系统中,主管机构也可以扩大搜查访问另一系统。《布达佩斯公约》第二议定书草案已于2021年11月通过,并将于2022年5月进入签署和各国批准阶段。第二议定书授权执法机关直接向互联网服务提供者调取存储在境外的注册人信息以及IP地址,为执法机关直接调取境外电子数据做出了更快捷的设计[4]。目前已有66个国家加入《布达佩斯公约》。可以想见,在各国逐步签署第二议定书之后,类似的调查活动会更加频繁,跨国互联网平台面对的压力会不断增加。
除《布达佩斯公约》之外,欧盟《涉刑事电子证据生成和存留命令条例(草案)》(以下简称《电子证据条例》(草案))提出了欧盟电子证据提取令(European Production Order)和欧盟电子证据保存令(European Preservation Order),并授权一成员国司法机关直接向另一成员国内的互联网服务提供者直接调取数据[5]。同时,《电子证据条例》(草案)扩大了适用范围,只要互联网服务提供者意在向欧盟境内居民提供服务,就要受到该法的管辖[6]。这意味着,一旦该法生效通过,便立即对我国包括TikTok, 淘宝等在内的各大互联网平台拥有管辖权。
(二)双边刑事司法协助协议下的跨境数据取证合作
除国际公约以及区域性条约之外,国与国之间通常通过刑事司法协助(Mutual Legal Assistance, MLA)的方式进行跨境数据取证协助。以中国为例,我国于2018年10月26日就通过了《中华人民共和国国际刑事司法协助法》。根据该法,对于已经与我国签订刑事司法互助条约的国家,我国按照双边刑事司法协助条约规定的程序进行跨境取证。对于尚未与我国签订双边条约的国家,两国基于平等互惠原则开展刑事司法互助。截止目前,我国已与包括美国在内的世界上56个国家签订了双边刑事司法协助条约,同时也加入了国际刑警组织[7]。理论上说,这56个国家的执法机构向位于我国境内或者境外的企业调取电子证据,都应当遵守双边刑事司法协助的流程规定。这些国家的执法机构应当向所在国的中央执法机构(central authority)提出请求,并由中央执法机构向我国司法部提出跨境刑事司法协助请求,再由司法部将相应的请求转递给国家监察委、最高人民法院、最高人民检察院、公安部、国家安全部等部门,最后由这些具体的办案机关向企业调取证据[8]。
以上流程也是世界各国通用的刑事司法协助流程。联合国毒品与犯罪问题办公室(United Nations Office on Drugs and Crime)早在2007年就出台了《刑事司法互助模范法典》(Model Law on Mutual Assistance in Criminal Matters)[9]。这为各国制定相应的国内立法提供了立法框架和技术支持。
(三)以“云法案”为代表的跨国直接执法行动
虽然双边刑事司法协助条约成为世界各国之间的官方刑事司法协助渠道,但是该渠道效率缓慢冗长。在跨境网络犯罪蔓延的今天,各国执法机关对于域外电子数据的渴求日趋明显,因此不断尝试通过国内法框架来突破域外取证的司法主权限制。
从电子数据取证的角度,美国早在1986年里根时代便通过了《电子通讯隐私法》(Electronic Communications Privacy Act, 以下简称ECPA)。《电子通讯隐私法》修正了1986年《综合犯罪防止及街坊安全法第三篇》(Title III of the Omnibus Crime Control and Safe Street Act),目的是延伸原先在电话有限监听的相关管制范围,并且扩大对于透过电脑的电子数据传递的调查力度。美国政府根据《电子通讯隐私法》的第二篇《存储通讯记录法》(Stored Communication Act,以下简称SCA)可以要求通信服务商提交存储于电脑上的电子数据。
由于SCA并没有明确解决域外证据调取的问题,2018年美国又通过了《澄清域外合法使用数据法》(Clarifying Lawful Overseas Use of Data Act,以下简称the Cloud Act)。The Cloud Act 提出了“数据控制者”标准,即“无论通信、记录或者其他信息是否存储在美国境内,只要上述通信内容、记录或其他信息为该服务提供者所拥有、监管或控制,服务提供者均应当按照本章规定的义务要求保存、备份、披露通信内容、记录或其他信息”。同时,the Cloud Act明确,只要通信服务提供者受到美国法的管辖,如在美国境内存在商业实体(或者外国公司在美国境内存在分支机构),美国执法人员可以依据SCA送达搜查令或者法庭命令,该商业实体就必须提供其可以控制的电子数据。
除美国之外,世界上的许多其他国家也纷纷通过此类立法强化域外电子证据取证的力度。2019年2月,英国通过了《海外调取证据法》(U.K. Crime (Overseas Production Order) Act),允许英国警方直接调取位于英国以外的电子证据。在英国与他国签署条约的前提下,英国执法机构与相关单位基于调查和起诉英国国内严重犯罪的需要,可以向法院申请海外证据搜索令(Overseas Production Order, “OPO”),凭借搜索令要求自然人或法人,提供存储于英国境外的电子证据(electronic data)或者特殊电子证据 (excepted electronic data)。由于美英之间已经签署条约落实该协议,故英国可以根据《海外调取证据法》调取位于美国境内的电子证据。截止目前鲜少见关于英国使用OPO的报道。值得关注的是,英国执法机关并无权力直接向外国企业发出OPO,而必须经过英国内政大臣转递该请求。
二、跨国企业应对跨境刑事取证的不同维度
(一)综合考量企业全球布局下的各国连结点引发的多重管辖权
截止2021年,中国已经成为全球第三大对外直接投资国,共有1.6万中国投资主体在全球179个国家和地区成立了2.2万家海外企业[10]。从2015年开始,包括BAT在内的中国互联网头部企业纷纷大手笔布局海外市场,投身“大航海时代”。许多互联网企业甚至在全球多个国家和地区注册数十家各类境外主体,以享受不同国家和地区的法律营商红利。在享受红利的同时,这些企业也不知不觉地将自己纳入到全球不同国家的执法管辖范围中去。常见的情况是,某些企业注册地在一个国家,实际经营地又在其他多个国家,同时又通过实际控制的方式控制不同国家的不同关联企业。某些企业基于特殊营业目的的需要,还会在不同国家申请不同类型的营业牌照。最后,大部分企业会用云存储服务,将自己的数据存储在AWS, 阿里云,Google等不同云服务商的服务器上,而这些服务器又会位于全球各地。在这种情况下,企业往往会与十几个国家建立不同的法律上的连结(contacts),导致十几个不同的国家都可以依据国内法对企业行使管辖权。这些不同的国家可以针对在其境内的跨国企业实体发出调取证据请求,并且要求跨国企业配合调取境外的证据。虽然这种做法没有明确国内法支持,多少有打“擦边球”的嫌疑,但是企业出于对境内高管、员工的人身制裁风险等多重因素的考量,往往不得不配合。
在这种情况下,企业首先要全面梳理全球可能与企业建立连接点的国家,包括但不限于公司注册地、实际经营地、数据存储地、关联公司所在地、业务牌照所在地、用户所在地等等。单一应对某一国家的法规,往往会导致企业顾此失彼,从而对他国潜在制裁风险不自知。
(二)综合考量不同类型部门法对于企业应对跨境刑事取证合规的影响
出海企业跨境刑事执法应对的合规不仅需要考虑到不同国家法律对于企业的影响,还要考虑到不同部门法对于企业合规的影响。
在跨境刑事司法取证的语境下,企业至少需要全面考量以下四大类的部门法:第一类是刑事实体法。刑事实体法包括各国的刑法和刑事单行法。刑事单行法又包括各国反腐败法、反商业贿赂类立法、打击网络犯罪专门立法、打击金融犯罪专门立法等等。例如,美国常依据《反海外腐败法》(FCPA)对跨国企业的商业活动进行调查,并要求企业配合相应的跨国刑事执法行动。又例如,新加坡警方曾依据《反腐败、毒品走私和其他严重犯罪(犯罪孳息没收)法案》(Corruption, Drug Trafficking and Other Serious Crimes (Confiscation of Benefits) Act)要求跨国互联网企业提交用户数据。第二类是刑事程序法。刑事程序法不仅包括各国的刑事程序国内法,还包括国与国之间的刑事司法协助条约、多边条约、国际公约等。企业必须对各国的跨境刑事执法行动的司法协助规范流程了然于心,才能准确识别各国执法机构的请求。第三类是数据保护类法律。跨境刑事司法的主要目的是为了获取境外电子证据。由于跨国企业会将数据储存在不同的国家,证据请求国与数据存储国往往不是同一个国家,企业为了配合一国的跨境刑事证据请求就必须要将数据从一国迁移至另一国。企业的跨境数据传输行为必须要符合数据存储国的数据与隐私保护法律。不少国家都对数据出境做出了明确的限制和申报审批要求,亦有国家对于出境数据用于刑事侦查活动做出了明确的限制[11]。因此企业的配合行为往往会直接导致违反他国数据保护法。第四类是消费者权益保护法。互联网平台往往面对世界各地的用户提供服务,提供这些用户的数据给他国刑事执法机构可能会导致违反一国的消费者权益保护法。例如就美国用户而言,《金融服务现代化法案》(Gramm-Leach-Bliley Act)对于金融机构对外披露金融用户信息设定了非常严格的限制,仅给予美国法院及监管机构以获取个人信息的部分豁免[12]。
(三)厘清不同国家不同法律的交叉适用
以上基于与不同国家和地区的连接点产生了企业适用不同种类的部门法的可能性。因此,单一地配合某国法律或者单一地考虑某类法律都无法合规地完成跨境刑事执法配合的活动,反而会将企业卷入国别法律冲突的旋涡。因此,企业必须结合全球的商业布局和战略定位,厘清不同国家和地区法律对自身的适用范围。同时,企业需要根据自己全球的员工布局、高管境外旅行的实际需要,厘清不同国家法律可能对员工高管带来的制裁措施。最后,企业还需要综合考虑不同部门法的交叉适用问题。企业只有找到不同国家不同部门法交叉平衡点,才能把控企业对于他国执法机构配合行为的风险,不至于陷自身于两难之地。
大部分中资企业还需要充分地考虑到中国的监管禁止性规定。我国于2018年10月出台的《国际刑事司法协助法》以及2021年6月出台的《数据安全法》从不同维度构建起了我国应对外国跨境数据取证的“封阻法案”(blocking statute)。除此以外,2019年出台的《证券法》也在证券领域制定了应对外国政府跨境调查的进一步规制手段。如何利用各国类似的封阻法案最大程度地进行抗辩以实现跨境合规与商业利益的平衡,也是出海企业必须要考量的实际问题。
三、跨国互联网企业的跨境刑事执法应对合规方案
(一)制定完善的跨境刑事协查对外流程
面对频繁的跨国刑事证据调取,企业必须制定好跨境刑事协查配合流程方案。该流程指引一方面要考虑到企业的全球布局可能带来的不同国家管辖,另一方面要结合企业的自身业务特征考虑到不同类型部门法对企业业务的影响。除此以外,企业还必须在不同国家的风险当中进行平衡。该流程还必须具有足够的实操可能性。因为该流程面对的调查不仅是来自中国的执法机关,还来自全球多个不同的国家。这些国家既包括普通法系国家,也包括大陆法系国家;既有单一制国家,也有联邦制国家。有些国家的调查取证主体和我国类似,仅限于警察、检察官等执法机关。有的国家还会赋予行政机关广泛地类刑事执法权,金融监管、税务、商贸等多个行政部门都有可能有权力向企业提出配合请求。因此,一个完善且可落地的跨境刑事协查对外流程指引需要帮助企业在多国复杂的法律交叉情境下找到“最大公约数”,从而最大程度地规避企业在不同国家和地区可能面临的不同种类的风险。
(二)建立跨境刑事协查企业内部管理方案
配合跨境刑事执法,不仅需要完善的对外流程,更需要健全的内部配合相应方案。一方面,配合外国刑事协查的流程需要企业员工访问、调取存储在不同国家的用户数据。很多情况下,用户数据会包括金融信息、生物识别信息等在内的敏感信息,其访问流转会适用更高级别的保护规定。企业应当对内部员工的访问权限做好分级管理,以防止在配合过程中导致的用户信息泄露问题。另一方面,跨国企业的部门很多,不同国家的不同部门都有可能面临来自各国执法机构的调查。因此企业必须建立起对外统一的配合窗口,在内部将外部调查归口统一管理,以防止多头配合导致企业内部信息不匹配带来的延误配合或者过度配合的问题。企业还应当建立起完善的内部管理档案管理制度,并且指派专人进行记录留档和管理,并且妥善应对因配合执法机关执法导致的用户投诉、企业商业信誉受损等问题。
(三)做好跨境刑事司法协助紧急预案
在日常流程之外,企业还应当针对跨境刑事司法协助可能引起的海外制裁问题做好紧急预案。基于此类问题引发的复杂法律关系会导致公司或者高管面临来自不同国家的制裁。比如在英国,拒绝配合法庭的搜查令状可能导致企业的主管人员被判处藐视法庭的罪名[13],从而面临监禁或者罚款。这些罪名有些是不可引渡罪名,而有些则是可引渡罪名。企业高管存在被某国缺席判决然后引渡的风险。除此以外,各国还会利用企业高管国际旅行踏入自己管辖领土的时机向企业高管直接送达相关法律文书[14],从而导致制裁风险由可能转化为现实。公司必须针对此类情况制定紧急预案,做好行前调查,全面排查风险,并且尽量避免携带敏感电子设备,通过充分的行前培训以帮助企业高管在危机下做出妥善应对。
结语
可以想见,在未来此类跨境刑事司法调查会的频率会日益提高,范围会日益扩大,成为互联网企业不得不直面的疑难问题。跨境数据调取已经在国家间的数据攻防战甚至国际政治博弈中成为他国损害我国企业海外利益的武器。一方面,企业在享受各国法律红利的同时需要充分考虑各国的法律制度差异;另一方面,如何真正实现在全球范围内的跨境合规,如何利用合规助力企业海外战略布局,也是企业不得不充分思考的议题。随着疫情不断得到控制,可以预见的是,未来中国企业高管国际旅行会逐步恢复常态,被疫情暂时阻隔的海外制裁风险又会重新浮出水面。如何未雨绸缪、防患未然,是每一个跨国企业都需要尽早规划的议题。
注释:
[1] Exclusive: U.S. examining Alibaba’s cloud unit for national security risks—sources: https://www.reuters.com/technology/exclusive-us-examining-alibabas-cloud-unit-national-security-risks-sources-2022-01-18/
[2] Amazon information request report, https://d1.awsstatic.com/certifications/Information_Request_Report_December_2020.pdf
[3] Convention on Cyber-Crime Article 18-Production Order
1. Each Party Each Party shall adopt such legislative and other measures as may be necessary to empower its competent authorities to order:
a. a person in its territory to submit specified computer data in that person’s possession or control, which is stored in a computer system or a computer-data storage medium; and
b. a service provider offering its services in the territory of the Party to submit subscriber information relating to such services in that service provider’s possession or control.
[4] Article 7-Disclosure of subscriber information
1. Each party shall adopt such legislative and other measures as may be necessary to empower its competent authorities to issue an order to be submitted directly to a service provider in the territory of another Party, in order to obtain the disclosure of specified, stored subscriber information in that service provider’s possession or control, where the subscriber information is needed for the issuing Party’s specific criminal investigations or proceedings.
[5] Explanatory Memorandum: Regulation of the European Parliament and of the Council on European Production and Preservation Orders for electronic evidence in criminal matters
Chapter 1: Subject matter, definitions and scope
This Regulation shall give additional tools to investigating authorities to obtain electronic evidence without limiting the powers already set out by national law to compel service providers established or represented on their territory. If the service provider is established or represented in the same Member State, authorities of that Member State shall therefore use national measures to compel the service provider.
The data ordered through a European Production Order should be provided directly to the authorities without the involvement of authorities in the Member State where the service provider is established or represented. The Regulation also moves away from data location as a determining connecting factor, as data storage normally does not result in any control by the state on whose territory data is stored. Such storage is determined in most cases by the provider alone, on the basis of business considerations
[6] Explanatory Memorandum: Regulation of the European Parliament and of the Council on European Production and Preservation Orders for electronic evidence in criminal matters
Chapter 1: Subject matter, definitions and scope
Moreover, the Regulation is also applicable if the service providers are not established or represented in the Union, but offer services in the Union.
[7] 中华人民共和国——条约数据库
[8] 《中华人民共和国国际刑事司法协助法》
第五条 中华人民共和国和外国之间开展刑事司法协助,通过对外联系机关联系。
中华人民共和国司法部等对外联系机关负责提出、接收和转递刑事司法协助请求,处理其他与国际刑事司法协助相关的事务。
中华人民共和国和外国之间没有刑事司法协助条约的,通过外交途径联系。
第六条 国家监察委员会、最高人民法院、最高人民检察院、公安部、国家安全部等部门是开展国际刑事司法协助的主管机关,按照职责分工,审核向外国提出的刑事司法协助请求,审查处理对外联系机关转递的外国提出的刑事司法协助请求,承担其他与国际刑事司法协助相关的工作。在移管被判刑人案件中,司法部按照职责分工,承担相应的主管机关职责。
办理刑事司法协助相关案件的机关是国际刑事司法协助的办案机关,负责向所属主管机关提交需要向外国提出的刑事司法协助请求、执行所属主管机关交办的外国提出的刑事司法协助请求。
[9] United Nations Office on Drugs and Crime: Model Law on Mutual Assistance in Criminal Matters:
https://www.unodc.org/pdf/legal_advisory/Model%20Law%20on%20MLA%202007.pdf
[10] 中国企业全球化最佳实践:应对运营挑战 https://www3.weforum.org/docs/WEF_EmerginBestPracticesofChineseGlobalizers_2014_CN.pdf
[11] Act on the Protection of Personal Information——Japan
Article 78
(1) The Commission may provide the foreign authorities enforcing those foreign laws and regulations equivalent to this Act (hereinafter referred to as the “foreign enforcement authorities” in this Article) with information recognized as contributory to fulfilling their duties (limited to those equivalent to the Commission’s duties prescribed in this Act; the same shall apply in the succeeding paragraph).
(2) Concerning the provision of information pursuant to the preceding paragraph, appropriate action shall be taken so that the information is neither used for purposes other than for the foreign enforcement authorities fulfilling their duties nor used for a foreign criminal case investigation (limited to the one conducted after the criminal facts subject to the investigation have been specified) or adjudication (hereinafter collectively referred to as an “investigation etc.”) without consent pursuant to the succeeding paragraph.
(3) The Commission may, when having received a request from the foreign enforcement authorities, consent that the information it provided pursuant to paragraph (1) be used for a foreign criminal case investigation etc. in connection with the request except for those cases falling under any of each following item.
(i) when a crime subject to the criminal case investigation etc. in connection with the said request is a political crime, or when the said request is recognized to have been made for the purpose of conducting the investigation etc. into a political crime
(ii) when an act relating to the crime subject to a criminal case investigation etc. in connection with the said request, if it were committed in Japan, shall not constitute a criminal offense according to the laws and regulations in Japan
(iii) when there is no assurance that the requesting country will accept the same kind of request from Japan
(4) The Commission shall, in case of consenting under the preceding paragraph, obtain a Minister of Justice’s confirmation of the case not falling under item (i) and item (ii) of the preceding paragraph, and a Minister of Foreign Affairs’ confirmation of the case not falling under item (iii) of the preceding paragraph respectively.
[12] 15 U.S. Code § 6802 - Obligations with respect to disclosures of personal information
[13] Crime (International Co-operation) Act 2003
If a person fails to comply with a production order, the court may (whether or not it deals with the matter as a contempt of court) issue a warrant under subsection (1) in respect of the material to which the production order relates.
[14] Tom Epps & Marie Kavanagh, KBR v. SFO: Implication for overseas document production