作者：王立

（经济法学博士，浙江丰国律师事务所律师、杭师大钱江学院教师）
 

2月28日开始，苹果公司基于我国相关法律的规定，将iCloud服务转由“云上贵州”运营。中国内地公民在iCloud上存储的所有信息，包括照片、视频、文稿和备份等，全部由我国境内的云上贵州运营。

乍一看这条新闻似乎也没什么，不过就是苹果公司将客户数据从中国境外存储转为中国境内存储而已。可以提升服务速度与可靠性。

但笔者看到另一则新闻，说美国总统特朗普在3月23日签署生效了《CLOUD Act》。这个法案与苹果的iCloud服务数据迁移，两者一比照，就有意思了。

首先明确一点，中国内地公民在iCloud上存储的信息（包括照片、视频、文稿和备份等）实际上原本就是存储在中国境内的。只不过，iCloud的密匙信息（iCloud的登录密码、指纹等）是存储在美国的。这次与云上贵州的合作，实际上是将iCloud密匙信息从美国服务器上迁移到了中国服务器上。

iCloud密匙存储在中国和存储在美国，有着重要的法律适用区别。按照国际通行的司法管辖原则，跨境数据的司法调取遵循“数据存储地标准”或“数据控制者标准”。前者是指只有数据存储地的政府才有权直接调取数据，后者是指数据控制者所在国的政府也可以直接要求数据控制者调取存储在境外的数据。

实践中，一般的通行标准是“数据存储地标准”。也就是说，我们中国公民通过iCloud服务进行通讯和工作协作，产生纠纷之后走司法程序。中国司法机关要求美国的苹果公司提供iCloud上的相关数据时，美国的苹果公司有权拒绝提供存储在美国的iCloud密匙。

当然，存储在中国境内的用户照片、视频、文稿等信息必须提供给司法机关。只不过这些信息都是加密的，而美国苹果公司并没有解密义务。换言之，我可以给你数据，但你无法读取。

并且美国有SCA法案禁止苹果向外国政府直接提供内容数据：

苹果自己表示，从2013年年中到2017年年中，虽然收到了来自中国有关部门的176项调取数据请求，该公司一次也没有向中国监管机构提供用户账户内容。相比之下，苹果对来自美国政府的8475项请求中的2366项作出了回应，提供了美国用户账户内容。

所以，中国执法、司法机关如果需要获得完整的相关数据，就需要根据双边的司法协定请求美国法院调取。因为iCloud密钥存储于美国，只有美国法院能够强迫总部在美国的苹果公司交出iCloud密钥。不仅是中国，世界上其他国家政府需要调取用户iCloud内的内容，都需要美国法院的首肯。

首先，美国法院是否首肯会受到美国法律（而非中国法律）的制约；其次，可能还有政治文化等因素；第三，就算前面的障碍全部清除，整个司法协助程序走下来可能也需要十个月甚至更多的时间。

民商事案件还好说，如果是两个中国公民通过苹果的服务进行走私、贩毒等违法犯罪行为，调查取证难道也需要经过美国法院的首肯？这简直就是将司法主权拱手相让。

由于美国互联网公司在英国市场的绝对优势地位，这些恐怖主义分子越来越多地使用美国公司提供的通信产品和服务，例如从2013年5月起，英国政府处理的十来起恐怖主义案件都涉及美国公司的产品。对于英国政府提出的获取通信内容的要求，不少美国公司明确表示只能通过双边司法协助程序。


因此互联网时代，iCloud密匙数据存储在中国还是存储在美国，是个大问题。数据本身的流动性，产生了新的法律问题。

根据我国《网络安全法》第三十七条：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。”，以及中国云服务业务关于外资准入的监管要求（特别是工信部2016年年底征求意见的《关于规范云服务市场经营行为的通知（征求意见稿）》），苹果公司做出数据迁移决定：

苹果做出这样的决定其实很不乐意（“While we advocated against iCloud being subject to these laws, we were ultimately unsuccessful,”）。但是为了中国市场，苹果做了妥协。

路透社2月24日报道《苹果将iCloud密钥转存至中国，引发人权方面的担忧》（Apple moves to store iCloud keys in China, raising human rights fears）中涉及了执法跨境调取数据的问题。路透社报道说，iCloud密钥从未在美国之外的地方存储，苹果公司将之存储于中国境内是破天荒头一遭。由于iCloud密钥将存储在中国，中国权力机关将不再需要通过美国法院来寻求iCloud用户的信息，而是能够利用自己的法律系统来要求苹果交出中国用户的iCloud数据。

笔者认为，抛开人权、知识产权等方面的意识形态讨论，iCloud密匙存储与我国境内，对于中国的数据主权掌控是一件好事儿，有利于我国执法和司法机关开展工作并增强国家网络安全。

但也要注意到，就算是iCloud数据存储于中国境内，调取也不一定会很顺利。数据迁移后，iCloud并非由云上贵州一家管理这些信息，而是由云上贵州和苹果公司共同掌握数据的管理权。根据路透社的报道，云上贵州似乎还不是一个和苹果法律地位平等的数据控制者，特别是在密钥的控制和管理方面仍然是苹果占据主导地位。

云上贵州在媒体采访中表示，只有在满足法律要求的前提下才会将提供用户的数据请求发送给苹果公司。换言之，实际上云上贵州并不掌握iCloud密匙，这些信息仍然由苹果公司掌握。如果苹果公司不愿意，可能还是不能顺利拿到相关数据。

美国时间3月23日，美国总统特朗普正式签署了《澄清域外合法使用数据法案》（Clarify Lawful Overseas Use of Data Act，CLOUD Act），该法案正式生效实施。

CLOUD Act对美国执法人员查看存储在互联网上的电子邮件、文档和其他通信内容的规则进行了更新，允许美国监管、执法、司法部门通过美国的法律程序调取美国公司存储在境外的数据。现在执法人员将不会被阻止访问某人的Outlook帐户，即使微软将用户的电子邮件存储在爱尔兰的服务器上。

该法案还允许“适格外国政府”（qualifying foreign governments）向美国境内的数据控制者（美国公司）直接发出调取数据的命令，美国公司可以将有关美国服务器的信息发送给其他国家的刑事调查人员。

CLOUD Act法案实际上在跨境数据的执法调取上采用了“实际控制标准”，而非“数据存储地标准”。这为当前在国家之间共享互联网用户信息的多方司法协助程序提供了一种高效的替代方案。（更详尽的分析请参阅《美国Cloud Act法案到底说了什么》一文。）

可是CLOUD Act对“适格外国政府”提出多种门槛条件。中国政府不可能符合这个法案中的“适格外国政府”的条件。所以，中国政府想要跨境提取存储在美国的数据还是只能通过双边司法协助程序来进行。

但是反过来，美国政府则可以直接下令美国的公司（如苹果）调取存储在中国的数据。中国政府目前似乎没有任何的阻止办法。

那么问题来了，中国的数据主权该如何掌控？只能要求外国公司所有数据必须存储在中国境内（如iCloud的数据迁移）吗？还是可以做更多？