本文为作者向无讼阅读独家供稿，转载请联系无讼阅读小秘书（wusongyueduxms）

2018年3月23日，CLOUD Act作为《综合拨款法》（Consolidated Appropriations Act）的第V部分（Division V）由参众两院通过，并由特朗普总统签署，正式成为美国的法律。

CLOUD Act是Clarify Lawful Overseas Use of Data的简称，CLOUD Act主要对美国1986年《存储通信法案》（Stored Communications Act，以下简称SCA）进行修正并新增条款，允许美国政府要求数据服务商提供受其拥有、监管或控制的存储域外的数据[1]，同时，允许适格外国政府调取服务提供商存储于美国的数据[2]，并规定了两种情形下的实体和程序要求。

CLOUD Act正式成为美国法律后，引发了国际讨论。CLOUD Act究竟会对国际数据保护、数据主权和数据跨境流动带来哪些影响，又会与我国的《网络安全法》、数据安全产生何种冲突，对数据服务商等科技类公司产生何种影响，这些问题有待解决。

一、17-2 United States v. Microsoft Corp.

CLOUD Act法案的出台是由No. 17-2 United States， petitioner v. Microsoft Corp.案件触发，微软公司是一家全球领先的电脑软件提供商，并且提供云服务，并在40个国家有超过100个数据中心[3]。

（一）核心法律争点

引用原文Issue：The question presented is whether a United States provider of email services must comply with a probable-cause-based warrant issued under 18 U.S.C.2703 by making disclosure in the United States of electronic communication within that provider‘s control， even if the provider has decided to store that material abroad.简而言之，SCA2703号搜查令是否有权调取存储于美国境外的的数据。

（二）案件经过

2013年12月4日，美国纽约南区联邦地区法院助理法官（Magistrate Judge）詹姆斯·佛朗西斯（James C. Francis）签发搜查令（Search Warrant），要求微软公司协助一起毒品犯罪案件的调查，将一名其用户的电子邮件内容和其他账户信息提交给美国政府。这份搜查令依据的是联邦刑事诉讼程序Rule 41，然而，Rule 41并没有规定调查令具有域外效力。关于该名用户电子邮箱的登录时间、地点等元数据（Metadata）确实存在美国国内，对此，按照搜查令的要求，微软已经提供。但该名用户的电邮内容数据存储于微软位于爱尔兰都柏林的数据中心而非美国境内，微软据此拒绝向FBI提供，并随即提出废除搜查令的动议。

2014年4月25日，助理法官詹姆斯·佛朗西斯做出驳回微软废除搜查令动议的动议，继续对美执法部门予以支持。微软公司很快提出上诉。

2014年7月31日，美国纽约南区联邦地区法院首席法官洛蕾塔·普瑞斯卡（Loretta Preska）作出裁定，支持佛朗西斯法官的观点。微软继续上诉。

2014年12月23日，爱尔兰政府支持微软向法庭出具“法庭之友”（amicus brief）陈述，在陈述中，爱尔兰政府强调爱尔兰的主权不应受到侵犯，并指出获取存储于爱尔兰境内数据的合适方式，应该是通过国际条约和国际合作。

2016年7月14日，美国联邦第二巡回上诉法院对这个争议做出了解答。法官引用了美国最高法院2012年的 Morrison v. National Australia Bank案例中的规则“longstanding principle of American law that legislation of Congress， unless a contrary intent appears， is meant to apply only within the territorial jurisdiction of the United States.”上诉法院的三位法官一致认为，FBI的搜查令不具域外效力（extraterritorial effects）。

2016年10月，FBI向联邦第二巡回上诉法院提出了重审的申请。

2017年1月24日，美国联邦第二巡回上诉法院的八位法官中，4位拒绝重新审理案件，4位支持。第二巡回上诉法院法官Jose Cabranes提出不同意见认为有必要由更高层级法院或者美国国会修正SCA，因为这涉及到国家利益和国际关系。

2017年6月，美国司法部（Department of Justice）将案件提交至美国最高法院，美国司法部得到33个州的支持，称微软、谷歌、雅虎拒绝提供存储于美国外的数据，阻碍了大量的刑事侦查。微软辩称法院不应当审理此案，而应该由国会修正不适应时代要求的1986年SCA。1986年SCA允许政府在出示正当理由后，获取SCA搜查令（SCA Warrant）要求网络服务提供者提供客户信息、邮箱和其他资料。尽管自1986年互联网发展变化很大，但此法案几乎没有变化。[4]

2017年10月16日，最高法院同意审理该案。（petition granted）案情信息详见图1[5]。

图1

2018年2月27日，最高法院就此案第一次开庭审理，听取双方的口头陈述。（见最高院2018年2月庭审清单截图2[6]）

图2

2018年3月23日周五下午，美国总统特朗普签署《综合拨款法》（Consolidated Appropriations Act），就此作为其Division V的CLOUD Act在短短时间内完成从草案到正式法律的程序，即刻生效，正式成为美国的法律。

2018年3月23日，CLOUD Act通过当天，美国司法部（U.S. Department of Justice）向美国最高法院送交一份说明，说明中特意指出CLOUD Act的通过，新增了关于允许美国调取美国公司在域外存储的数据的规定（第2713条），并说明CLOUD Act第103节与本案最相关，美国政府目前正在考虑CLOUD法案的通过在多大程度上会影响本案的审理，并会尽快提交解决问题的补充文件。[7]

2018年6月，最高院将会作出最终判决。

（三）各方观点

微软认为，根据SCA，政府无权执行搜查在国外的数据，同时指出USA PATRIOT Act修正SCA允许法官发布在其管辖地之外的搜查令，但也仅限美国，而不是世界范围。美国政府可以通过爱尔兰与美国之间的相互法律协助条约（Ireland-U.S. Mutual Legal Assistance Treaty，以下简称MLAT）获得内容数据。本案中电子邮件内容数据存储于爱尔兰，因此，电子邮件内容搜查令违法，微软无需执行。微软代表了“数据存储地标准”一派观点，即数据存储的地点而非受谁控制，才是至关重要的（location matters）。

助理法官（Magistrate）认为SCA调查令是混合的：部分是调查令部分是传票（part warrant and part subpoena）。案件问题的关键在于“谁控制这些信息，而非信息所在位置”（“It is a question of control， not a question of location of that information.”），这是“数据控制者标准”一派的观点。而且，该助理法官还认为在美国执法机关审查数据之前，根本不存在搜查，所以也就没有域外搜查之说。最后，助理法官认为通过国际条约的形式又慢又繁琐，法院有自由裁量权否决MLAT的主张。如果一定要通过MLAT的方式，美国与一些国家没有MLAT，数据服务提供商就有可能不在任何国家的管辖范围，那么就存在法外之地了。

微软公司还获得了 AT&T， Verizon， Cisco/Apple，the Electronic Frontier Foundation和the Center for Democracy & Technology等的法庭之友（amici curiae）的支持。

二、CLOUD法案主要内容

就在案件尚在审理的过程中，美国国会以迅雷不及掩耳之势通过了CLOUD Act。CLOUD Act位于长达2232页的《综合拨款法》Consolidated Appropriations Act（2018）的第2201页及以后。CLOUD Act的通过几乎是秘密的，并没有讨论和专门投票，而是打包进这个《综合拨款法》中一同通过。《综合拨款法》是美国政府开支的一项每年必须要通过的立法，如果立法者提出任何形式的反对意见，立法者将会不得不否决整个上千页的提案并面临政府倒闭的风险。 CLOUD Act似是当局者有意为之放进支出法案中，而议员们迫不得已通过的。（见图3[9]，Sen. Rand Paul proved the only lawmaker to attempt reading all 2，232 pages.）

图3

在各国尚未达成关于数据流动和数据本地化统一规则的情况下，美国率先通过了可能影响别国的CLOUD Act，这引起了各国的高度关注。因此，本部分介绍CLOUD Act的主要内容，着重于其中涉及国际影响的具体内容。

（一）概览

第一节：法律简称Short title，即《澄清域外合法使用数据法》可简称为“CLOUD法案”。

第二节：国会决定Congressional findings

第三节：记录的保存；法律程序的礼让分析Preservation of records； comity analysis of legal process

第四节：现行通信法的补充修正Additional amendments to current communications law

第五节：外国政府获取数据的行政协定Executive agreements on access to data by foreign governments

第六节：解释规则rule of construction，即除本法及本法修正案外，任何执法机构仍然可在刑事调查或者指控中，依据美国法典第18卷第3582节、第28编第1782节的规定或另外的法律规定获取协助。

（二）主要内容

1. 本法宗旨和目的

第二节主要表达了三层含义，第一，该法案的最终目的是政府保护公共安全和打击包括恐怖主义在内的重大犯罪；第二，美国在实现这一目的的过程中受到无法获取域外存储（stored）数据的阻碍，而监管、控制或拥有（custody， control， possession）这些数据的通信服务提供商却在美国的管辖范围内；外国政府也同样为打击犯罪需要获取在美的数据，这使得服务提供者面临法律冲突；第三，为了解决这一障碍，实现打击犯罪的目的，美国与相关外国政府对法治保护隐私和公民自由作出相同承诺和达成国际协定，这些国际协定中包含了解决潜在冲突法律义务的机制。

2.美国政府调取境外数据

披露义务及撤销或变更法律程序动议

新增§2713.要求保存与披露通信和记录：

“无论通信、记录或其他信息是否存储在美国境内，电子通信服务商和远程计算服务提供者均应当按照本章所规定的义务要求保存、备份、披露通信内容、记录或其他信息，只要上述通信内容、记录或其他信息为该服务提供者所拥有、监管或控制。”[10]这条新增的含义是美国执法机关有权调取服务提供者存储于他国的数据。

但是，该法案给服务提供者“抗辩”的程序。法案规定，当服务提供者合理地认为同时存在如下情况时，可提出“撤销或变更法律程序的动议”，此类动议应在提供商进入法律程序之日起14天内提交，缺少政府协议或经法院允许可依据14天内提出的申请延长期限。该撤销权不妨碍基于其他理由撤销法律程序或提出抗辩，但其是由于与“适格外国政府”有关的法律冲突而撤销法律程序的唯一基础。提出该动议的两点理由是：

（1）目标对象不是“美国人”（the United States Persons）且不在美国居住；

（2）披露内容的法律义务将给服务提供者带来违反“适格外国政府”（qualifying foreign governments）立法的实质性风险。

当接到服务提供者提出的“撤销或变更法律程序的动议”后，法庭应当允许政府组织回应的机会，并在确认同时存在以下情形后，方可撤销或变更法律程序：

（1）披露义务将会导致服务提供者违反“适格外国政府”的立法；

（2）基于该个案的所有情况，公平正义理念原则规定（dictate）该法律程序应当被撤销或修改；

（3）对象确不是“美国人”且不在美国居住。

对于法院如何判断基于个案公平正义理念原则判断这个情形，CLOUD法案给出了“礼让分析”（comity analysis）8种法院应当考虑的因素，如美国的利益，包括寻求披露的政府组织的调查利益；“适格外国政府”在防止任何违禁披露方面的利益等。

3.“适格外国政府”调取美国数据

新增“依据本节的规定，适格外国政府依照法律程序获取作为其国民或居民的客户或用户的有线或电子通信内容，向公众或远程计算机提供电子通信服务的提供商向适格外国政府披露的信息不构成对依据第2705节的规定发布的保护令的违反。”[11]这条规定是允许适格外国政府调取美国服务提供商存储于美国的数据。

CLOUD法案不仅允许美国政府调取域外存储的数据，也在一定条件下允许“适格外国政府”（qualifying foreign governments）直接向美国境内的服务提供商发出调取数据的指令，“适格外国政府”的认定标准尤为重要。CLOUD法案在第2317节定义“适格外国政府”：

（1）依据第2523节与美国拥有一个生效的行政协定；

（2）其法律为电子通信服务提供商和远程计算服务提供商提供类似于法案规定的实质性和程序性机会。

外国政府与美国签订的获取数据的行政协定需要满足下列条件：司法部长（Attorney General）经国务大臣（the Secretary of State）的同意做出认定、并向国会提交这一认定的书面证明，法案对书面证明中的每一款对价进行详细解释。判断“适格”的核心准绳是“外国政府的国内立法，包括对其国内法的执行，是否提供了对隐私和公民权利强健的（robust）实质和程序上的保护”并且最小化了对涉及“美国人”信息的获取、留存和散布。

在程序上：

总检察长由此作出的认定或者证明不应受到司法审查或者行政审查。通知国会：总检察长认定该行政协议后的7天内，依据以上规定将该决定通知国会，并向参议院司法委员会和外交委员会以及众议院司法委员会和外交委员会提供行政协定的副本。生效：由总检察长认定并证明符合本节要求的行政协定应在不早于通知的180天后生效，除非国会作出联合决议不予批准。参议院（senate）和众议院（house of representatives）的根据上述审查标准进行审议，并应符合一定程序。（略）认定更新：总检察长在国防大臣同意后，应每5年再次依据上述规定对行政协定作出认定，并应向国会报告。

（三）法案中的制衡机制

从一个主权国家的角度来说，出于执法目的跨境访问数据（cross-border access to datafor law enforcement purposes）主要由两个场景组成：一是执法所需的数据恰好存储在国外；二是外国执法机构需要访问存储在本国的数据。CLOUD Act恰巧针对这两个场景提出了解决方案，因此可将CLOUD Act拆分在这两个场景中解释。[12]

CLOUD法案在为美国本国政府调取域外存储数据提供便利的同时，也考虑到互惠原则，允许满足一定条件的适格政府调取位于美国境内的数据，并为此消除了障碍。为平衡二者之间的关系，CLOUD Act中分别设置了不同实体和程序要求。

第一，撤销或变更调取数据的法律程序须符合美国利益。美国政府调取美国公司存储境外的数据时，虽然设定了撤销和变更调取法律程序的动议程序，但是提出撤销和变更法律程序动议的理由仅有两点而且有时间限制（在调取法律程序开始之日14天内），而政府回应和法院最终决定可以撤销或变更的依据中除提出动议的两点理由外，还新增了“个案考量”的因素，即个案考量后，发现即使撤销或变更法律程序也不会影响美国利益，方可以撤销或者变更法律程序。简而言之，法院须优先考虑美国利益，即使调取数据对象是外国人或者与外国法律存在冲突，美国服务提供商仍须提供境外数据。

第二，外国政府调取美国数据与美国政府调取外国数据的实体效率和程序便利程度不可相提并论。美国政府调取外国数据的程序仅须启动，可能会产生延迟仅是服务提供商提出撤销或变更法律程序的动议以及政府回应、法院作出决定的程序，而这一程序中要求了提出撤销或变更动议须在法律程序启动之日起14日内完成，而后法院需要考虑的事项仅三点，其中是否为外国人、是否与外国法律冲突，并不耗时，而“个案考量”最核心考虑的是美国利益，这其实也并不会耗费太长时间和精力，即可作出决定。反之，外国政府要求调取美国数据，相应的程序和实体要求相当繁琐和复杂。实体上，要判断该外国政府是否为“适格外国政府”，其中包括（1）与美国签订生效的行政协定；（2）该政府法律为电子通信服务提供商和远程计算服务提供商提供CLOUD法案中规定的实质性和程序性机会。这些条件的审核需要耗费不少时间。其次，确认了该政府是适格外国政府之后，还需要进行30多项的实质性检视，确保外国政府对隐私权和公民自由提供了实质性和程序性的有力保护。法案还要求外国政府发布的政令须满足一定条件。程序上，要求总检察长在与国务卿达成一致决议，并向国会提交书面认可文件，国会则会对此进行进一步听证、审查等。综上，无论从实体上还是程序上，CLOUD Act中对外国政府调取美国公司存储于美国的数据都更为繁琐和复杂。

尽管如此，CLOUD Act中的制衡机制在一定程度上，发挥了较好的作用。通常情况下，数据调取的请求必须经过法院系统，历经获得批准和上诉等司法程序，耗时耗力，现在CLOUD法案为这些国家提供了指引，很多国家有可能修改本国的法律以使像Google这类的公司无须经过法院程序即可递交数据。[13]

在提供网络产品和服务方面，美国企业的优势地位非常明显，因此存在许多国家向美国组织调取通信内容数据而不得的情况。例如，英国高级别官员在反恐案件调查中，就曾数次公开抱怨从Facebook、Twitter这样的美国平台获取数据极端困难。然而，现在CLOUD法案试图解决他国调取美国数据的障碍，正如美国参议院临时主席Hatch在一份statement中所说，希望US-UK在CLOUD Act指引下作出的双边协议框架能够成为美国与其他国家未来建立协议合作的典型和示范。[14]能够迅速执行与欧盟和我们其他盟国建立类似的协议对于保护世界各地的消费者和促进合法的执法调查至关重要。[15]

三、评价与思考

（一）评价

1.支持的观点

美国参议院临时主席（President Pro Tempore of the US Senate） Orrin Hatch称CLOUD法案通过将赋予执法人员获取全世界数据的工具，弥合了时常存在的执法部门和科技界之间的鸿沟。同时，也建立一个常识框架，鼓励国际合作以解决法律冲突。他总结这项立法历时4年，该部立法是Orrin Hatch与议员 Coons、Graham和 Whitehouse四人提案的。CLOUD Act将会为执法部门获取海外存储数据提供有效的工作框架。同时，能够保护数据提供商免于冲突法的干扰并鼓励其他国家加强国内隐私标准。[16]

Apple， Facebook， Microsoft， Google， Oath五家公司于2018年2月6日向议员Hatch、Coons、Graham和 Whitehouse写了一封建议信，称CLOUD Act的出台反映出世界上保护互联网用户日益增长的共识，并为各国提供了一个跨境数据获取管理的解决方案。这部立法对于促进和保护个人隐私权，减少国际法律冲突，和保障我们的安全都迈出了重要的一步。如果立法通过，美国政府将有与其他国家签订双边条约的具体路径，以更好保障客户。更重要的是，立法要求欲签约的国家须具有基本隐私权、人权和法治标准，这将确保客户和数据持有者受到他们本国法律的保护。此项立法也将避免法律冲突而允许执法机关调查跨境犯罪和恐怖分子。CLOUD Act鼓励外交对话的途径，也赋予了科技界两项独特的法定权利以保护客户和解决法律冲突。当对其居民提起法律请求以及有必要发起直接的法律挑战时，CLOUD Act中规定了程序机制以通知外国政府。我们这五家公司一直以来都支持通过国际协议和全球共商的方式保护我们全球的客户和互联网用户，我们也一直强调对话和立法是最好的方式，而非司法。CLOUD Act将会在保护客户权利和减少法律冲突上作出突出进步，我们也很感谢领导层倡导此项有效的立法解决方案，我们也支持这种折中的提案。[17]

微软总裁兼首席法务官布拉德·史密斯（Brad Smith）在一份声明中表示，该法案是“一项强有力的法规和良好的妥协方案”，并补充道：“它使微软等高科技公司能够站出来为我们的客户在世界各地提供隐私权。”

自2013年，微软一直深陷与美国司法部的司法案件中，也许正是该案促使主要的科技公司主张一套统一的国际遵约法律规则，而不是每次都进行诉讼程序解决；而且统一的国际规则对科技公司的运营方式提供了清晰的指南。很显然，这些科技公司认为CLOUD Act是保护隐私和必要的执法方式的最佳折中的解决方案。

2.反对的观点

EFF，仍然不看好CLOUD Act，他们认为这项立法没有要求国外的执法机构寻求个别和事先的司法审查，以及美国警方在没有获得调查令时即向国外提供实时访问和拦截；这项法案中也没有对此类协议中所涉的犯罪类型和严重程度作出具体的清单限制；也没有向被调查人、被调查人所在国和数据存储国进行任何程度的告知。[18]

American Civil Liberties Union （ACLU） 与多个隐私保护组织（privacy-oriented organization）于2018年3月12日共同向国会送达他们反对CLOUD法案的书信，信中称该项立法损害了美国国内国外的个人权利，主要体现在以下几个方面：1.允许国外政府在不符合美国法律标准的情况下在美国国土上窃听；2.赋予了行政机关不经国会同意即可签署国外协议，包括在各国有有关人权记录的情况下；3.允许外国政府在不符合宪法标准的情况下获得可能与美国个人相关的信息；4.很有可能协助外国政府获取可能被用以侵犯人权的信息。[19]ACLU主要是从美国本国的人权保护和安全角度出发，认为赋予行政机关过大权力，实际上将国会的权力架空，这不利于权力的制衡。

（二）笔者思考

1.对我国的影响

我国《网络安全法》第27条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”

根据该条的规定，我国属于明文规定数据本地化的国家，而且较为严格。该条规定的是CII的收集和存储须在境内，仅在业务需要的时候，确实需要向境外提供，在按照国家网信部门会同国务院有关部门制定的办法安全评估后，方可决定是否可以向境外提供。此处规定的是业务需要，业务需要并不能涵盖刑事协助的问题，也即在刑事方面是否可向境外提供境内存储数据，我国尚无相关规定。

2.国际网络犯罪共治背景

网络犯罪公约（Cyber-crime Convention）是于2001年11月由欧洲委员会的26个欧盟成员国以及美国、加拿大、日本和南非等30个国家的政府官员在布达佩斯所共同签署的国际公约，自此《网络犯罪公约》成为全世界第一部针对网络犯罪行为所制订的国际公约。《网络犯罪公约》制定的目标之一是期望使国际间对于网络犯罪的立法有一致共同的参考标的，也希望国际间在进行网络犯罪侦查时有一个国际公约予以支持，而得以有效进行国际合作。

笔者查阅了Council of Europe网站中的签署国名单，中国目前尚不是《网络犯罪公约》的签署国。[20]这不符合美国CLOUD法案中的有权调取美国境内存储数据的“适格政府”的资格。

3.评价CLOUD法案

CLOUD Act第一节中国会阐明了及时获取通信服务提供商持有的电子数据是政府保护公共安全和打击包括恐怖主义在内的重大犯罪的关键，可见，制定CLOUD法案的目的是为了更好打击犯罪，及时获取犯罪证据甚至遏制犯罪发生。然而，各国在数据保护和数据本地化方面的规定不尽一致，而跨境数据调取与数据保护之间存在一定冲突，这造成了在跨境数据调取方面各国之间存在障碍。如何弥合这种冲突，如何平衡防范犯罪保障公民安全和防止数据泄露保护信息安全之间的关系，是当前国际社会共同面临的问题。

美国CLOUD法案释放出的信号是，为了打击犯罪保障公民安全，可以一定程度上降低个人数据保护要求甚至牺牲个人数据保护。然而，分析法案中美国调取美国公司存储境外的数据和外国政府调取美国公司存储于美国的数据之间的制衡机制，仍然能够体会出对服务提供商抗辩，尤其是外国政府的制约较多，而平衡力量尚显不足。

但在当前刑事证据全球化的呼吁下，CLOUD Act做出了一个很具有争议性的开端。在解决刑事数据证据跨国调取的问题上，美国通过的CLOUD Act并非单边霸权，CLOUD法案中考虑到了两种场景，并非仅美国有权调取域外存储数据，而是美国通过与外国政府签订行政协议，允许适格外国政府调取存储于美国的数据。可能评论者会认为CLOUD法案在本国调取方面的限制较少，而对适格外国政府调取数据的限制较多，但这是可以理解的，毕竟作为一个主权国家制定法律会优先考虑本国利益，而且CLOUD法案中也实际考虑了本国和外国的平衡机制，虽然还存在一些不足。

相较于MLAT国际协议合作的方式调取数据，CLOUD法案设置上述程序的初衷是为打击犯罪提供更加有效和快捷的方式。的确，如果与美国政府签订了符合CLOUD法案的行政协议，那么签约国双方在调取数据将不再通过政府的途径，而是可以直接向服务提供商发送指令，极大提高了打击犯罪的效率。可以说，CLOUD Act在MLAT的基础上建立了更有效的机制，从实体和程序上为探索实现保障公共安全和个人信息安全的平衡迈出了全球第一步。

现阶段只有英国与美国签署了在CLOUD法案下的行政协议，英美两国可以直接向另一国的科技公司调取数据，但由于各国的数据保护政策不同，也出于主权考虑，美国想推进更多的国家签署这样的行政协议，还比较困难。有人在为印度提建议时，提出了一种方式可以解决这个问题，即不是要求整个国家与美国签署刑事数据证据的跨境调取，而是允许特定部门或者执法机关与美国的特定部门签署相应的行政协议。[21]

目前，我们可以拭目以待今年6月份即将作出判决的最高院17-2 United States v. Microsoft Corp.案，是否会对暗度陈仓未经国会讨论投票即获通过的CLOUD Act进行司法审查（judicial review），发挥对政府和国会的制衡作用，贡献出最高院大法官们的智慧。同时，我们也应关注国际上关于跨境调取数据方面是否能够如CLOUD Act所期许的那样，按照美国的要求降低数据本地化的要求。最后，我国政府也可以发挥在国际舞台上的大国形象，呼吁签订各国均认可和遵守的为打击犯罪数据跨境调动的国际协议或合作机制。

注释：

[1] “A provider of electronic communication service or remote computing sevice shall comply with the obligations of this chapter to preserve， backup， or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider‘s possession， custody， or control， regardless of whether such communication， record， or other information is located within or outside of the United States.”

[2] It shall not be unlawful under this chapter for a provider of electronic communication service to the public or remote computing service to intercept or disclose the contents of a wire or electronic communication in response to an order from a foreign government that is subject to an executive agreement that the Attorney General has determined and certified to Congress satisfies section 2523.

[3] Barnes， Robert （October 16， 2017）. “Supreme Court to consider major digital privacy case on Microsoft email storage”. The Washington Post. Retrieved October 16， 2017.

[4] “In re Warrant to Search a Certain Email Account Controlled & Maintained by Microsoft Corp”. harvardlawreview.org. Harvard Law Review. https：//harvardlawreview.org/2015/01/in-re-warrant-to-search-a-certain-email-account-controlled-maintained-by-microsoft-corp/

[5] https：//www.supremecourt.gov/search.aspx？filename=/docket/docketfiles/html/public/17-2.html

[6] https：//www.supremecourt.gov/oral_arguments/hearinglists/HearingList-February2018.pdf

[7] A statement written by U.S. Department of Justice to Supreme Court of the United States on March 23， 2018. Re： United States v. Microsoft， No. 17-2.

[8] Crypto Community Fears Passage of the CLOUD Act，by C.Edward Kelso， https：//news.bitcoin.com/crypto-community-fears-passage-of-the-CLOUD-act/

[9] https：//futurism.com/everything-need-know-CLOUD-act/

[10] “A provider of electronic communication service or remote computing sevice shall comply with the obligations of this chapter to preserve， backup， or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession， custody， or control， regardless of whether such communication， record， or other information is located within or outside of the United States.”

[11] It shall not constitute a violation of a protective order issued under section 2705 for a provider of electronic communication service to the public or remote computing service to disclose to the entity within a qualifying foreign government， designated in an executive agreement under section 2523， the fact of the existence of legal process issued under this section seeking the contents of a wire or electronic communication of a customer or subscriber who is a national or resident of the qualifying foreign government.

[12] 《美国CLOUD Act法案到底说了什么》，载“网安寻路人”2018-2-24.

[13] The CLOUD Act and Google： How it affects your data. Written by Jerry Hildenbrand on Mar，24，2018. https：//www.androidcentral.com/CLOUD-act-and-google

[14] 据资料显示，英国是目前唯一与美国在CLOUD法案下签订数据存储协议的国家，这份协议是不对外公开的。来源：Justice Department officials defend CLOUD Act， new data-storage law， on March 28，2018. https：//usnewsaggregator.com/world/justice-department-officials-defend-CLOUD-act-new-data-storage-law/

https：//www.lawfareblog.com/weak-link-double-act-uk-law-inadequate-proposed-cross-border-data-request-deal

[15] Omnibus Passes with Major Hatch Initiatives，Mar 23 2018，https：//www.hatch.senate.gov/public/index.cfm/releases？ID=5337115E-977F-418D-9D2B-EDE4431955B4

[16] Omnibus Passes with Major Hatch Initiatives，Mar 23 2018，https：//www.hatch.senate.gov/public/index.cfm/releases？ID=5337115E-977F-418D-9D2B-EDE4431955B4

[17] Tech Companies Letter of Support for Senate CLOUD Act 020618，Statement from apple， facebook， google， microsoft and oath on Feb.6，2018. https：//blogs.microsoft.com/datalaw/wp-content/uploads/sites/149/2018/02/Tech-Companies-Letter-of-Support-for-Senate-CLOUD-Act-020618.pdf？ranMID=24542&ranEAID=je6NUbpObpQ&ranSiteID=je6NUbpObpQ-qDL.4wEQAma0HdAlQ6lAzw&tduid=（21cf40164c2cda0d1518f91dd9f2a551）（256380）（2459594）（je6NUbpObpQ-qDL.4wEQAma0HdAlQ6lAzw）（）

[18] https：//news.bitcoin.com/crypto-community-fears-passage-of-the-CLOUD-act/

[19] CLOUD act coalition letter 3-8 clean by ACLU，ect. On Mar. 12，2018.

[20] https：//www.aclu.org/sites/default/files/field_document/CLOUD_act_coalition_letter_3-8_clean.pdf

[21] https：//www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185/signatures？p_auth=Ww32IjiV

[22] A “Qualified SPOC” Approach for India and Mutual Legal Assistance，

[23] https：//lawfareblog.com/qualified-spoc-approach-india-and-mutual-legal-assistance

 

参考资料:

[1] https：//www.supremecourt.gov/search.aspx？filename=/docket/docketfiles/html/public/17-2.html

[2] https：//en.wikipedia.org/wiki/United_States_v._Microsoft_Corp._（2018）

[3] https：//en.wikipedia.org/wiki/CLOUD_Act

[4] http：//www.scotusblog.com/case-files/cases/united-states-v-microsoft-corp/

[5] SUPREME COURT OF UNITED STATES，https：//www.supremecourt.gov/search.aspx？filename=/docket/docketfiles/html/public/17-2.html

[6] SUPREME COURT OF UNITED STATES BLOG，http：//www.scotusblog.com

[7] “Microsoft Ireland Case： Can a US Warrant Compel A US Provider to Disclose Data Stored Abroad？”. cdt.org. Center for Democracy and Technology.https：//cdt.org/insight/microsoft-ireland-case-can-a-us-warrant-compel-a-us-provider-to-disclose-data-stored-abroad/

[8] 《特朗普签署CLOUD Act法案使执法机构更容易访问存储在国外的数据》，cnBeta.COMhttps：//www.cnbeta.com/articles/tech/709971.htm

 

编排/郗博鸣