云法案》、《爱国者法案》和云存储:美国不再是应许之地

在线数据存储正在蓬勃发展。市场的领导者当然是美国人。通过 Google Drive、iCloud 和 Dropbox 等提供商,大西洋彼岸的公司正在引领潮流。

不过,虽然它们的服务质量很高,但并不能确定它们没有民族主义的嫌疑。使用美国服务提供商在线存储公司数据可能是一个严重的错误。

Statue de la liberté avec drapeau en arrière plan

无论是在军事、经济还是工业方面,美国现在都是世界头号强国。在这样做的同时,美国政府僭取了自己的特权,它完全有能力将这些特权强加给整个国际社会。

在这种情况下,《爱国者法案》和《云端法案》等美国法律就是对非美国公民实施治理政策的武装力量。换句话说,根据你的选择,美国政府和司法部门有权控制你和你的数据。

你可能会认为,美国作为世界民主的先锋,拥有最好的政治制度,尤其是在制衡理论和宪法实践方面。换句话说,就是孟德斯鸠等国家理论家所推崇的最完善的三权分立。

现实却并非如此。美国自二十世纪下半叶以来实施的大规模监控法律,最终于 2018 年颁布的《云法案》,似乎不仅违背了其宪法,也违背了经典的法治理念。换句话说,任何其他国家推出此类立法,很可能会立即被打上警察国家的烙印。

这是因为,除了《爱国者法案》和《云法案》之外,美国的法律武器库仍然以一部法律和一项总统令为基础:《外国情报监视法》和行政命令。根据这些法律条文,我们将解释为什么将数据存储在由美国公司管理的云中是一个危险的选择。为此,我们将了解一旦您决定使用云服务,将适用于您的法律。

什么是《爱国者法案》,其治外法权条件是如何规定的?

爱国者法案》是一部美国国土安全法,在 2001 年 9 月 11 日袭击事件发生后仅 45 天就获得通过。换句话说,它是由仍在遭受纽约事件创伤的国会匆忙通过的。

Collecte de données

其结果是给了警察当局一张进行调查的空白支票。为什么会这样呢?因为尽管需要法官的授权,但法官不能再以没有 “可能的理由 “为由反对授权。

因此,你的所有数据都可以在你甚至未被告知或美国法官无法反对的情况下被扣押。不要以为《美国宪法》能帮上什么忙,因为根据美国司法部的说法,《爱国者法案》只是编纂了最高法院已经认可的判例法

例如,1979 年,最高法院裁定秘密搜查违宪的说法 “毫无意义”。12 年前,最高法院已经裁定,警官不必告诉被告搜查的原因。

然而,对于法国或欧洲公司来说,《爱国者法案》的新意在于其域外适用性。换句话说,从你的企业被怀疑与威胁美国领土或其利益的恐怖分子或恐怖组织有联系的那一刻起,整个针对你的行政手段就可以启动了。

不要以为你可以逍遥法外,即使你并不打算与恐怖组织建立联系,或者与你可能忽略了其激进思想的客户建立联系。我们将看到,《爱国者法案》在实践中远没有看上去那么一目了然。在此之前,让我们先来看看另一部安全方面的对应法案:《云法案》。

什么是《云法案》?

云法案》于 2018 年通过,旨在让美国当局有更多机会获取在线数据存储解决方案用户的数据。

司法部的官方说法是,该法案允许第三国当局请求任何美国公司托管数据,目的是获取数据作为刑事诉讼的一部分

更详细地说,它允许任何美国政府获取任何用户的数据,只要这些数据……存储在美国:

– 存储在美国境内

– 或由美国公司存储在世界任何国家、

– 除了被要求的公司和相关政府部门外,所有人都毫不知情。

美国的这项最新立法并不是为美国政府服务的唯一工具。

什么是《外国情报监视法》(FISA)?

美国国会于 1978 年通过了《外国情报监视法》,旨在规范联邦当局的监视行为。与《爱国者法案》一样,该法试图将现有做法编纂成法律。

2008 年新增的第 702 条规定,美国公司有义务协助对美国境外人员进行有针对性的监控。

该法专门针对涉嫌拥有、接收或传递反间谍信息的非美国公民。与《爱国者法案》一样,该法的正式目的是打击国际恐怖主义。

第 12333 号行政令

正如《华盛顿邮报》所指出的那样,罗纳德-里根于 1981 年签署的第 12333 号行政令是一份比《爱国者法案》第 215 条更具可能性的文件。

不过,这次的 12333 号总统令只适用于居住在国外的美国公民。如果美国情报机构对你的某位美国客户感兴趣,他们仍然可以利用你的数据。

根据这项法令,美国情报机构获取的所有数据都不需要任何搜查令,因此不受法官甚至国会的控制。

由此可见,法律并不总是弱者对抗强者的保障。它远非总是保护个人自由,或者更广泛地说,保护整个公众自由。尤其是当我们考虑到法律的适用,也就是法律的解释时。

法律只有通过解释才能存在

对法律的正确理解永远不能仅仅通过阅读法律来实现。这是为什么呢?因为法律总是不可能按照字面意思来适用。换句话说,要了解一项法律的范围,就必须了解它是如何适用的。这就是美国《爱国者法案》和《云法案》带来的问题。

Constitution américaine

当《爱国者法案》提到 “可疑活动 “时,这种活动是如何定义的?这一概念包括哪些内容?只有通过解释才能将某一活动描述为可疑活动。问题是,每个政府都以自己的方式解释这项法律,而且完全保密。

这就意味着,一旦你的数据被一家美国公司存储,你的所有数据都可以被中情局、国家安全局和财政部等政府部门随意访问。无聊吧?别以为你不是罪犯或恐怖分子,就可以免受调查。

这个法律武器库的主要目的不是追捕恐怖分子,而是扭曲自由竞争。你以为美国是自由贸易的典范吗?你错了。

更重要的是,数据收集不仅仅涉及客户数据。美国财政部也对数据收集感兴趣,这不是没有道理的。FCPA 将告诉您,存储数字数据绝对会让您付出代价。

FCPA 法案,或非美国公司的新税收

1977 年通过的《反海外腐败法》允许美国法院责令公司支付巨额罚金。2014 年,阿尔斯通支付了 7.72 亿美元,2008 年西门子支付了 8 亿美元,2010 年戴姆勒支付了 1.85 亿美元,2010 年阿尔卡特朗讯支付了 1.37 亿美元。这些只是金额较大的几个案例。

您认为证据是如何产生的?不择手段,包括通过云中的数据。如果您认为自己在美国没有子公司或员工,所以很安全,那么您应该知道,只要美国利益受到威胁,FCPA 就会适用。在这里,”美国利益 “的概念也是可以解释的,重要的不是你的利益。

考虑到所有这些有关美国立法的信息,在欧洲领土上选择由法国或欧洲公司管理的云似乎更有意思。不过,仍有必要对著名的 RGPD 进行评估。

根据法国和欧洲法律制定的《一般数据保护条例

欧盟通过了《一般数据保护条例》(GDPR),以保证用户在互联网上委托给在欧洲境内运营的公司的数据的安全。

Le Règlement Général sur la Protection des Données (RGPD)

在了解负责处理用户数据的公司在数据传输(尤其是传输到美国)中的作用之前,有必要先了解一下该公司所承担的义务以及相关的处罚措施。

数据控制者的义务

RGPD 尤其确保在收集数据时保护儿童的权利。虽然仍禁止收集 13 岁以下儿童的相关数据,但对于 13 至 16 岁的儿童,只有在父母授权的情况下,并且涉及直接面向儿童的服务时,才允许收集相关数据。

RGPD 还要求数据控制者只收集对收集目的绝对必要的数据,并确保他们可以应当事人的要求删除数据。

遵守 RGPD 规定的所有义务可获得监管机构颁发的证书。证书有效期为三年,可延期。

有关 RGPD 详细信息的更多信息,CNIL(国家信息与自由委员会)已发布了一份面向极小型企业 (VSE) 和中小型企业 (SME) 的在线指南。该指南将教您如何编制文件清单、对数据进行分类并确保其安全。

不遵守 RGPD 规定的义务可能会导致非常严重的经济处罚。

违规情况下适用的处罚

在法国,CNIL 通过三种方式处理案件:

– 用户直接在 CNIL 网站上投诉、

– 对网站或公司进行检查

– 数据泄露后。

随后,CNIL 将采取一系列制裁措施,包括在 Légifrance 和 CNIL 网站上发布公告,以及处以最高 2,000 万欧元或上一财政年度全球营业额 4% 的罚款。

CNIL 因谷歌和 Youtube 的 cookie 政策对谷歌处以 1.5 亿欧元的罚款。CNIL 批评这家美国公司不允许用户像接受 cookie 一样轻松地拒绝 cookie。

2021 年 12 月 31 日同一天,CNIL 还对 Facebook罚款 6000 万欧元,理由与谷歌相同。

仅这些重罚就凸显了欧洲数据保护问题的重要性。然而,在一个全球化的世界里,尤其是在互联网上,所有网络都相互渗透,数据的共享使得数据保护的表述变得有些复杂。

从隐私盾到 Shrem II,法官成为个人数据的监护人

在欧洲收集的数据可能会被转移到第三国。在欧洲和美国之间,当母公司将个人数据传输到子公司或其他服务器时,情况尤其如此。

从 2016 年到 2020 年,适用于从欧盟向美国转移数据的法规受隐私盾管辖。这是一项双边条约,为欧洲用户在美国处理个人数据提供保障。

然而,美国方面的这种数据保护保证并不像条约让我们相信的那样有效。一位名叫 Schrem 的奥地利律师将 Facebook 爱尔兰公司告上了法庭,他认为自己的个人数据被全部或部分转移到了美国,并没有受到与该社交网络所有用户相同的保护。

欧盟法院在一项名为 Schrems II 的裁决中裁定原告胜诉,从而终止了 “隐私保护盾”。裁决中的主要论点涉及美国公共当局及其情报部门可以轻易获取所传输的个人数据。

在法国国内,一些协会也起来反对政府收集数据。例如,最高行政法院不得不就政府与 Doctolib 平台之间的合作关系做出裁决,该合作关系与 Covid 19 疫苗接种预约有关。

最高行政法院在核实数据安全质量后,以未收集医疗数据为由拒绝了协会的请求。

同样,La Quadrature du Net 等协会也向最高行政法院质疑 2011 年 2 月 25 日关于互联网服务提供商必须保留数字数据的法令。

行政法官以涉及国家安全、维护国家基本利益和打击犯罪为由驳回了他们的论点。

然而,欧洲执法机构不可能在没有地方法官事先授权的情况下征用互联网服务提供商或公司。治安法官将根据调查人员向其报告的调查情况,评估此类请求是否有用

结论

总之,在欧洲,无论是属于欧盟成员国内政部还是司法部职权范围内的数据处理和公共机 构获取此类数据的情况都受到严格监管。欧洲没有与美国类似的法律。

Protection des données

因此,如果公司希望使用基于云的解决方案在线存储数据,就必须选择在欧洲本土存储数据的欧洲服务提供商。

在这种情况下,还必须检查公司是否将数据传输到位于欧盟以外国家(尤其是美国)的子公司。美国域外法律很难适用于一家与美国没有任何联系的公司。

通过美国公司存储数据为工业间谍和最高科技的不公平竞争行为敞开了大门。正如我们在西门子、阿尔卡特朗讯和阿尔斯通身上看到的那样,美国政府在法院的支持下,会不惜一切代价削弱这些公司所面临的竞争。

因此,我们不要再拐弯抹角了。