美國《澄清海外合法使用數據法》及其影響與啟示

收稿日期：2020-05-14

作者簡介：鄭琳（1990-），女，博士，講師，研究方向：信息資源管理、信息法規(guī)與政策。

摘 要：[目的/意義]分析《澄清海外合法使用數據法》，明確法案出現的背景和核心內容，分析法案所帶來的影響與啟示。[方法/過程]采用文獻研究、內容分析等方法對法案內容進行剖析，包括法案出臺背景、主要內容、將帶來的影響以及為我國帶來的啟示，并提出針對性建議。[結果/結論]《澄清海外合法使用數據法案》將對數據控制者、數據權利人產生深遠影響，將與現有數據保護法案產生法律沖突，對我國數據保護法案和跨境數據獲取提出了更高的要求。

關鍵詞：美國;澄清海外合法使用數據;跨境數據獲取;數據保護

DOI：10.3969/j.issn.1008-0821.2021.01.015

〔中圖分類號〕G251 〔文獻標識碼〕A 〔文章編號〕1008-0821（2021）01-0130-07

U.S.As Clarifying Lawful Overseas Use of

Data Act and Its Influences and Implications

Zheng Lin

（College of Social Science，Yangzhou University，Yangzhou 225008，China）

Abstract：[Purpose/Significance]By analyzing the Clarifying Lawful Overseas Use of Data Act，the paper aims to clarify the acts emergence background and core content points，put its influences and implications.[Method/Process]The paper used literature review method and content analysis method to analyze the laws emergence background，core content，influences and implications.[Result/Conclusion]Cloud act may bring far-reaching effects to data controllers and holders，it may conflict with existing data protection laws，and put challenges to our countrys data protection laws cross-border data access laws and policies.

Key words：America;Clarifying Lawful Overseas of Data Act （CLOUD Act）;cross-border data access;data protection

《澄清海外合法使用數據法》（英文全名Clarifying Lawful Overseas Use of Data Act，以下簡稱CLOUD法案）是美國于2018年3月份簽署生效的一部聯邦法案，該法案的出臺打破了以往跨國數據類證據調取過程中遵循的數據屬地管轄模式，構建了一套全新的以數據控制者實際數據控制權限為衡量依據的標準框架。CLOUD法案承認他國政府獲取存儲于美國境內數據證據的權利，并對數據控制者申請撤銷和國際禮讓原則等內容進行了規(guī)定。不過，“適格政府”概念的提出、嚴格的撤銷和國際禮讓標準以及倉促的立法程序都使得這部法案自出臺以來就備受爭議，尤其是與以歐盟GDPR（General Data Protection Regulation，通用數據保護條例）為代表的數據保護法案之間的法律適用矛盾，從根源上反映了數據跨境和數據本地化這兩種不同數據政策之間的沖突與博弈。本文通過對CLOUD法案的立法背景及核心內容進行分析，試圖明確其為數據權利人、數據控制人、現有數據保護法律體系等不同方面所帶來的深刻影響與啟示，以期為今后相關研究提供有益參考。

1 立法背景

1.1 導火索：FBI與微軟的法律糾紛

CLOUD法案出臺的直接原因是美國聯邦調查局（以下簡稱FBI）與微軟公司之間圍繞跨國數據證據調取產生的法律糾紛。在2013年的一項毒品走私案件調查過程中，FBI要求微軟向其提供一名美國公民存儲于微軟服務器中的電子郵件，但是微軟公司以該電子郵件內容存儲于愛爾蘭而非美國境內的數據庫中為由拒絕了FBI的數據調用指令，之后，案件一路升級至美國最高法院。在處于下風的情況下，微軟公司辯稱法院不應當將關注點聚焦于此案，而是應該首先對《存儲通信法案》（Stored Communication Act，簡稱SCA）進行修改，因為FBI要求調用數據的法律依據來自SCA，而SCA自1986年生效后就再也沒有修改過了，盡管之后的30年是互聯網產業(yè)發(fā)展的劇變期。

事實上，美國政府早就意識到有必要對SCA進行修改，早在CLOUD法案之前，2015年出臺的《執(zhí)法部門獲取海外存儲數據法案》[1]（Law Enforcement Access to Data Stored Abroad Act，簡稱LEADS法案）和2017年出臺的《國際通信隱私法案》[2]（International Communications Privacy Act，簡稱ICPA）都曾試圖對SCA進行修改，但由于種種原因最終未能獲得通過。直至微軟案后，美國政府加緊了修法進程：CLOUD法案于2018年2月份提交至國會，為加速審批，該法案被打包放進待批準的《2018年度綜合撥款法案》中，隨著美國總統(tǒng)特朗普于2018年3月份簽署批準了《2018年度綜合撥款法案》，CLOUD法案也正式生效，成為美國立法史上從提案到正式生效歷時最短的法案之一。

1.2 現實需求：缺乏有效手段保證數據跨境

一般而言，美國法律體系下對數據證據的跨境調用可以通過兩種途徑實現，即調查委托書（Letters Rogatory，簡稱LB）和司法互助協定（Mutual Legal Assistance Treaties，簡稱MLATs）。其中，LB主要發(fā)生在兩國的法院之間，是委托法院向受托法院提出的可由政府和訴訟當事人自由處理的請求。但是，由于LB對受托法院和訴訟當事人并不具有強制性法律效力，因而一直以來都被看作是獲取境外數據證據的最低效與不可靠的方法。MLATs各國政府在刑事案件偵查中確?？缇匙C據共享的簡化程序和條約，由美國司法部和聯邦法院審查通過。MLATs能夠從一定程度上彌補LB的不足，但是仍存在以下問題：首先，MLATs下的數據證據調用申請需得到數據存儲國家政府的批準，這大大增加了數據證據調用結果的不確定性，尤其在各國數據保護政策收緊的前提下，通過MLATs獲取數據證據似乎并不是一個明智選項;其次，當前與美國達成MLATs的國家一共有63個[3]，雖然數量可觀，但是覆蓋程度依然有限，無法適應數據全球化的發(fā)展態(tài)勢;最后，MLATs無論從申請、獲批到執(zhí)行所需流程都相當繁瑣、費時費力，需要配置大量資源保障。美國通過MLATs獲取他國數據證據的同時還要應對來自他國的調用請求，分身乏術。CLOUD法案之前，美國政府的跨國數據證據調用主要渠道就是MLATs，如今，CLOUD繞開了MLATs，重新界定了數據證據調用權限和適格政府標準，能夠有效解決MLATs的短板，為美國政府獲取存儲于境外的數據證據提供更加直接、有效的方式，這也是該法案得以快速制定并簽署生效的主要原因之一。

1.3 隱含目的：拓展美國政府數據調用權限

數字經濟背景下，數據資源已經成為新型的“黃金”和“石油”，具有非常重要的戰(zhàn)略性價值。近年來，美國一直都是數據全球化的堅定支持者，其本質是試圖借助其在互聯網行業(yè)的先發(fā)優(yōu)勢搶占數據資源。2013年棱鏡門事件曝光后，許多國家啟動修法進程，加強對本國數據，尤其是數據跨境的監(jiān)管力度，支持數據本地化的聲音不斷出現，根據美國信息技術和創(chuàng)新基金會的統(tǒng)計報告，當前已有36個國家和地區(qū)出臺了數據本地化相關法案和政策[4]。為此，美國頻繁發(fā)聲，抨擊數據本地化存儲是一種新型的貿易壁壘。不僅大力推動APEC（亞洲太平洋經濟合作組織）的跨境隱私保護準則（CBPR），要求成員國放棄本國原有的高數據保護水準，轉而低就于CBPR的低保護水平，促進數據跨境流動，還曾在其主導的《跨太平洋伙伴關系協定》（Trans-Pacific Partnership Agreement，簡稱TPP）中規(guī)定要確保數據跨境流動，不將數據本地化作為允許締約方企業(yè)進入本國市場的前提條件[5]。雖然之后特朗普政府退出TPP，但是美國拓展數據權限的意圖卻并未改變。在如此敏感的背景下，CLOUD法案的出臺不免令人懷疑其是美國政府擴展數據資源調用長臂管轄范圍的一種嘗試。

2 核心內容

2.1 法律主體與范圍

關于CLOUD法案的法律主體，需要明確兩個核心問題，即法案適用的主體范圍和數據資源范圍。針對第一個問題，在103節(jié)中，CLOUD法案將其法律主體定義為電子通信和遠程計算服務提供商，而關于電子通信和遠程計算服務提供商的定義則引述自《美國法典》第18條。在第18條2510款中，規(guī)定“任何在州際或國際之間通過電線、無線電、電磁、光電子或光學系統(tǒng)中，全部或部分傳輸任何性質的符號、信號、文字、圖像、聲音、數據或情報的服務商都屬于電子通信服務商的范圍”[6]。而在第18條2711款中，則規(guī)定“遠程計算服務提供商為通過電子通信系統(tǒng)向公眾提供計算機存儲或處理服務的服務商”[7]。從上述兩項定義中至少可以明確兩點信息：首先，盡管CLOUD法案并未明確規(guī)定其法律主體是否包括境外服務提供商，但是引述自《美國法典》的定義卻將境外服務商劃入主體范圍之內，這在實際操作中為法案的執(zhí)行預留了一定程度的靈活解釋空間。除此之外，CLOUD法案還在禮讓分析的內容部分規(guī)定，法官在做禮讓分析時需要考慮到服務提供商與美國之間的關系以及這種關系的性質和程度，而如果法律的主體特指美國境內的服務提供商，其與美國的關系及性質是非常明晰且不需考慮的，上述規(guī)定似乎顯得多余。因此可以合理推斷，CLOUD法案在制定過程中，實質上已經將那些雖然并未于美國境內注冊，但是在美國境內有實際存在的服務提供商也歸入了主體范疇之內。

針對第二個問題，根據第2項定義可知，CLOUD法案的法律主體范圍限制在那些面向公眾的服務提供商，也就是說，終端用戶的個人數據是CLOUD法案調用的主要對象，非個人數據并不在CLOUD法案的調用對象之內。進一步講，由于CLOUD法案核心目的是為美國政府獲取跨國數據證據提供法律保障，其所調取的數據資源不僅應是個人數據，還必須是可識別性數據資源。這一點從當前CLOUD法案的數據證據調用許可中可以得到印證：現有數據證據調用許可中，典型的數據需求為特定日期內，特定個人賬戶中的電子郵件信息、用戶身份信息、地址簿、聯系人列表、圖片文件以及通訊記錄等。

2.2 司法管轄權的延伸

CLOUD法案規(guī)定，無論用戶的數據是否存儲在美國境內，只要服務提供商對用戶數據具有實際控制或管轄權，服務提供商就有義務按照法案規(guī)定保存、備份甚至是披露用戶數據。這一規(guī)定極大地延伸了美國的數據司法管轄權范圍：一直以來，判斷數據司法管轄權限的主要標準是數據的存儲位置。以上述微軟案為例，盡管微軟公司位于美國，但是由于其將用戶的數據存儲于愛爾蘭而非美國境內的數據庫中，因而目標數據的司法管轄權不受美國制約。但是，根據CLOUD法案的規(guī)定，盡管用戶數據存儲于愛爾蘭，但是由于實際控制數據的微軟公司位于美國境內，微軟就有義務向美國政府提交用戶數據。

可見，CLOUD法案實際上是重新樹立了一個數據司法管轄權的判斷標準，將已有的屬地管轄轉化為現有的數據控制范圍管轄，這從根本上擴大了美國的數據主權范圍和效力。一方面，屬地管轄到數據控制范圍管轄的轉變十分有利于美國的互聯網產業(yè)發(fā)展優(yōu)勢地位：美國擁有全球規(guī)模和影響力最大的一批互聯網公司，從微軟、谷歌到臉書等一大批企業(yè)掌握著規(guī)模難以計量的用戶數據，這些企業(yè)遵循CLOUD法案為美國政府提供的用戶數據量將是任何國家都難以企及的;另一方面，CLOUD法案是對當前世界范圍內主要國家數據本地化政策的一個有力沖擊。數據本地化是當前國家的主要數據主權保障策略之一，強調數據的存儲、備份、處理和傳輸等操作必須發(fā)生在本國境內，部分國家甚至還以數據本地化作為外國互聯網企業(yè)的準入條件。CLOUD法案的出臺破除了數據本地化政策所帶來的數據證據跨國調用屏障，有效擴大美國政府可獲取的數據資源范圍。

2.3 復議與禮讓原則

CLOUD法案承認服務提供商申請或變更法律程序的動議，但是需要滿足下述兩個條件：首先，要求數據權利人不是美國公民或不居住于美國;其次，數據披露行為會導致服務提供商面臨違反外國政府法律的實質性風險。滿足上述條件的情況下，動議需要在進入法律程序之后的14天之內提交或經允許后適當延長期限。撤銷和變更的裁決只有法院有權利做出，而法官在確認撤銷和變更動議都符合上述條件的過程中，又需要充分衡量該個案的全部情況，包括美國和要求數據調取的政府實體的利益、外國政府利益、服務提供商如為滿足要求可能受到的處罰的可能性、性質以及嚴重程度、用戶或客戶與美國關系的性質與程度、服務提供商與美國的關系與程度等多方面因素。

上述撤銷動議和禮讓分析存在的一個問題是衡量的標準過于嚴格，在衡量和判斷的過程中需要考慮的影響因素太多，這將導致判斷過程中難以避免的人為和主觀因素影響，進而賦予美國政府過于寬泛的單邊裁量權，很難實現復議和禮讓最初的公平目的。尤其在當前世界各國數據保護政策收緊的前提下，CLOUD法案的復議與禮讓原則并不能有效緩解與別國數據保護法案之間的法律沖突。另一個問題是部分衡量標準過于模糊，例如，法案對于服務提供商因違反外國政府法律所帶來的實質性風險到底應該如何確定，所謂實質性風險的判斷依據和評價標準既沒有說明，也沒有提供可供參考的法律淵源。

3.4 “適格政府”標準

宏觀來講，CLOUD法案對于數據證據的調取包含兩個層面的意義：一個層面是美國政府從他國境內調取數據證據，另一層面則是他國政府從美國境內調取數據證據。針對他國政府從美國境內調取數據證據的情況，CLOUD引入了“適格政府”的概念。粗略來講，“適格政府”應符合以下標準：首先，“適格政府”應給予美國政府能夠直接從其境內調取用戶數據證據的權限;其次，“適格政府”所調取的數據證據類型必須滿足數據權利人非美國公民和居民的條件;再次，對于調取的數據證據類型和范圍應有嚴格限制;最后，“適格政府”需與美國簽訂行政協議，達到一定的人權和隱私保護標準，如：能夠對公民的隱私與公民自由提供實質性、程序性的保護;應采取有效措施最小化對美國公民的數據采集、存儲以及傳播;不得應他國政府要求獲取數據并提供給他國政府;不得與第三方政府共享任何數據等。從上述“適格政府”標準中不難看出，美國政府對于外國政府獲取存儲于美境內的數據采用了十分嚴格的審核標準，這些標準綜合涵蓋了政策、法規(guī)、技術甚至是意識形態(tài)等各個層面，并就外國政府獲取美國公民以及與美相關人士的數據證據做出了嚴格限制，甚至還保留了對適格國家的最終解釋權。其客觀效果就是可以在獲取跨境數據證據的同時能夠較好地保證本國對數據的控制權。

3 CLOUD法案的影響與啟示

從積極意義來看，CLOUD法案的出臺確實為解決數據證據跨境流動問題做出了嘗試，并且相較于其前身SCA來講也具有更大程度的法律確定性，解決了SCA遺留下的立法滯后問題，在法律執(zhí)行層面也具有更大的可操性。然而相比之下，其存在的問題似乎更為突出：從法案自身來講，自出臺之日起法案在立法內容方面就不斷受到質疑，其對于數據控制者、數據權利人和當前各國的數據政策與治理框架也都可能產生深遠的作用。

3.1 法案自身存在的問題

從立法程序上講，從2018年2月份提案到3月份簽署通過，CLOUD法案的立法進程迅速得令人側目，不僅省去了參眾兩院的聽證環(huán)節(jié)，還被打包塞入待批準的《2018年度綜合撥款法案》中，如此倉促的舉措與應有的立法程序嚴重不符，結合“微軟案”中，同樣的法律問題卻備受爭議，證明數據證據的跨境調取權限問題仍然值得商榷。再結合當前全球數據保護與本地化的大背景，CLOUD法案的快速出臺很難不讓人感到微妙，以至于有學者將CLOUD法案比作是一項“走了后門的法案”（Back-door Piece of Legislation）[8]，并質疑CLOUD法案的最終目的是為了擴大美國在數據資源獲取方面的長臂管轄權范圍[9]。

從立法基礎上講，MLATs是當前各國之間獲取跨境證據的主要渠道，最早能夠追溯至1896年于海牙締結的《民事訴訟程序公約》，之后，在1961年的《取消要求外國公文書認證公約》、1965年的《關于向國外送達民事或商事司法文書和司法外文書公約》等國際公約中都得到了認可，具有較為廣泛的法律和國際基礎。與此同時，MLATs在促進各國之間司法界的國際交往、鞏固國際之間相互尊重和互利等方面也發(fā)揮著重要作用。CLOUD法案試圖繞過現有的MLATs體系，自主構建一個全新的國際之間獲取跨境數據證據的標準框架，無論從法律淵源還是國際認可層面上來講，都是不被提倡的[9]。

從法律內容上來講，法案似乎一定程度上忽視了數據控制人和數據權利人的應有權利。對于數據控制人，CLOUD法案并沒有為其提供足夠的法律救助。盡管與之前的SCA相比更為明確，也賦予了數據控制人申請撤銷或變更調令的權利，但是這一權利的約束條件過于嚴格，范圍和幅度都十分有限，從這一層面上來看，數據控制人在拒絕數據調用指令方面的操作空間和余地其實是被大大縮小了。更主要的是，CLOUD法案與其他國家數據保護法案之間的法律沖突將使服務提供商不得不面臨一個“選邊站”的問題，尤其對于跨國的服務提供商來講，很難在二者之間尋得折中方案。對于數據權利人來講，CLOUD法案缺乏一個程序化、組織化的標準以保障數據權利人的數據安全與隱私。并且，CLOUD法案缺乏有關于“通知”的規(guī)定，不管是對數據存儲地還是對數據權利人的通知，這與現有個人數據保護法案的相關規(guī)定背道而馳。另一方面，CLOUD法案從性質上來說更偏向于一部實體法，缺乏相應的程序法作保障，對于數據調取的時限、類型、范圍等內容缺乏細節(jié)性規(guī)定，雖然這在一定程度上增加了法律操作過程中的模糊性和解釋上的靈活性，但是卻降低了整部法案的公開度與透明度。最為重要的是，現有法案中并未對數據證據調用授權以及授權之后的監(jiān)督機制作進一步解釋，這加劇了侵犯個人數據權益的風險，將強化來自數據權利人方面對于數據安全和個人隱私的關切。

3.2 與他國數據保護法案之間的法律沖突

從司法管轄權角度來說，CLOUD法案與現有數據保護法案存在沖突，其中最具代表性的法案為歐盟的數據保護法案GDPR。GDPR是對歐盟于1995年出臺的《個人數據保護指令》（Data Protection Directive，簡稱Directive 95/46/EC）的完善，目的是為歐盟各成員國提供更具凝聚力、普適性和平衡性的個人數據保護法律框架，自出臺之日起就被學界和業(yè)界認為是史上最為嚴厲的數據保護法案，最高罰款金額將達到企業(yè)全球范圍內收入的4%或2000萬歐元（取最高值）。當前，歐盟認定的符合上述標準的國家主要為歐盟成員和歐洲經濟協會成員國，美國并不在其列。因此，根據GDPR第48條規(guī)定，美國想獲取存儲于歐盟的用戶數據，只能通過MLATs進行。為此，歐洲數據保護委員會（the European Data Protection Board，簡稱EDPB）在2018年2月發(fā)布的《關于GDPR第49條的減損指南》中特地強調，在存在類似于MLATs類的國際協議的情況下，歐盟公司應該拒絕來自于第三方國家的直接數據請求，而將該數據請求轉交給現有的MLATs程序[10]。CLOUD法案作為境外法案，試圖繞過MLATs直接獲取位于歐盟的數據，很明顯是不具有法律效力的，同理可推其他國家的數據保護法案。為解決CLOUD法案與GDPR的沖突問題，EDPB和歐洲數據保護主管（European Data Protection Supervisor，簡稱EDPS）于2019年7月10日發(fā)布了一項針對CLOUD法案及其影響的聯合評估報告，該評估報告仔細分析了CLOUD法案與現有個人數據保護法律框架之間可能產生的沖突和影響，認為應通過協商的方式解決2部法案之間的法律沖突[11]。2019年2月份，就在CLOUD剛剛提交給美國國會之后，歐盟委員會即通過了這一建議，EDPS于同年4月份發(fā)表了關于這一主題的正式意見，6月份安理會通過了開啟談判的授權決定，截至目前談判尚未完成，談判結果尚不可知。

3.3 數據本地化與數據跨境獲取的博弈

從全球范圍內看，CLOUD法案的出臺可能一定程度上加重各國對數據保護議題的擔憂。根本來講，CLOUD法案與現有數據保護法案的沖突可以看作是不同國家之間數據政策與治理觀念的矛盾，美國對數據全球化理念的支持實質目的是獲取全球數據資源，而得益于其在第一輪數字化浪潮中所積累的產業(yè)與技術優(yōu)勢和強大的話語權，勢必會對他國的數據保護和治理體系產生不利影響。為此，甚至有學者將美國與他國圍繞數據獲取所產生的矛盾比喻為《圣經》中David與Goliath之間的對決[7]。CLOUD法案的另一個影響是其有可能會為其他國家在數據跨境獲取方面的立法提供不受歡迎的先例，使那些有跨境數據需求的國家尋求僅僅基于該國的司法權威而強制調用存儲在世界任何地方的數據。事實上，這種情況已經出現了：英國于2019年2月出臺的《犯罪（海外生產訂單）法案》（Crime（Overseas Production Orders）Bill，簡稱OPO）就可以看作是英國版的CLOUD法案，該法案允許英國執(zhí)法部門向法院申請命令，以直接從非英國境內的通信服務提供商處獲取用戶數據。與CLOUD法案相似，OPO也試圖創(chuàng)建一個國際合作協議，目前，英國正與美國就該協議進行協商。

3.4 對我國的影響與對策

如上文所述，雖然“微軟案”是CLOUD法案出臺的直接原因，但該法案的出臺絕非偶然，而是一種必然：其不僅是跨境數據調取依據在近些年來的最新轉向，也是數據跨境獲取概念在司法領域中的一個具體落實，更是數據本地化和數據跨境獲取博弈之后的一個最終走向。在此背景下，我國也應思考這一法案可能對自身產生的影響，并采取相應措施加以應對。

一方面，CLOUD法案的出臺迫使我國數據安全保護相關法案加快完善腳步。盡管我國于2016年11月7日發(fā)布，并于2017年6月1日起執(zhí)行的《中華人民共和國網絡安全法》第37條規(guī)定了“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲”，但是并沒有就外國政府通過數據控制者獲取存儲于中國境內的數據這一情況加以規(guī)定。這將導致我國在數據獲取問題上處于一種尷尬位置：我國不屬于CLOUD法案規(guī)定的“適格政府”行列，無法通過CLOUD法案獲取存儲于美國境內的數據，然而，我國數據保護立法的不完善卻使得存儲于中國境內的數據資源向美國政府城門洞開，《網絡安全法》也隨著CLOUD法案的出臺而喪失了實際意義。與此同時，由于CLOUD法案的司法救助中提到，服務提供商可以以“數據披露行為會導致服務提供商面臨違反外國政府法律的實質性風險”為由申請撤銷動議，我國完善相應規(guī)定禁止國外政府通過服務提供商獲取存儲于境內的數據合情合理。CLOUD法案帶來的另一項啟示是我國應盡快出臺和完善跨國數據調取相關法案和規(guī)定。數據全球化背景下，數據跨境調取的需求將越來越多，如何在平等互利的基礎之上有效獲取跨境數據這一點非常重要。針對這一問題，我國于2018年出臺了《中華人民共和國國際刑事司法協助法》，法案中規(guī)定了我國向外國政府請求提供的證據類型中涵蓋數據，但是由于該法案僅適用于國際刑事司法領域，并且關于數據的規(guī)定僅見于法案第4章第4條，并不能看作是一部完整意義上的數據跨境調用法案，并且該法案也無法擺脫司法協助輻射范圍有限、程序繁瑣等缺陷，更加完善并高效的方式仍然亟待提出。

參考文獻

[1]Congress.Gov.S.512-Law Enforcement Access to Data Stored Abroad Act[EB/OL].https：//www.congress.gov/bill/114th-congress/senate-bill/512/text，2019-03-21.

[2]Congress.Gov.S.1671-International Communications Privacy Act[EB/OL].https：//www.congress.gov/bill/115thcongress/senatebill/1671？r=1&q=%7B%22search%22%3A%5B%22International+Communications+Privacy+Act%22%5D%7D，2019-03-21.

[3]ITIF.How Law Enforcement Should Access Data Across Borders[EB/OL].http：//www2.itif.org/2017-law-enforcement-data-borders.pdf，2019-04-05.

[4]ITIF.Cross-Border Data Flows：Where Are the Barriers，and What Do They Cost？[EB/OL].https：//itif.org/publications/2017/05/01/cross-border-data-flows-where-are-barriers-and-what-do-they-cost，2019-03-21.

[5]Office of the United States Trade Representative.TPP Full Text[EB/OL].https：//ustr.gov/trade-agreements/free-trade-agreements/trans-pacific-partnership/tpp-full-text，2019-03-21.

[6]Office of the Law Revision Counsel United States Code[EB/OL].https：//uscode.house.gov/view.xhtml？req=（title：18 section：2510 edition：prelim） OR （granuleid：USC-prelim-title18-section2510）&f=treesort&edition=prelim&num=0&jumpTo=true，2019-03-21.

[7]Office of the Law Revision Counsel United States Code[EB/OL]https：//uscode.house.gov/view.xhtml？req=（title：18 section：2711 edition：prelim） OR （granuleid：USC-prelim-title18-section2711）&f=treesort&edition=prelim&num=0&jumpTo=true，2019-03-21.

[8]Syed H，Genc S Y.European Union General Data Protection Regulation（GDPR）and United States of Americans Clarifying Overseas Use of Data（CLOUD）ACT：David Versus Goliath[J].Prodeecings Book，128.

[9]CCBE.CCBE Assessment of the U.S.CLOUD Act[EB/OL].https：//www.ccbe.eu/fileadmin/speciality_distribution/public/documents/SURVEILLANCE/SVL_Position_papers/EN_SVL_20190228_CCBE-Assessment-of-the-U-S-CLOUD-Act.pdf，2019-03-21.

[10]EDPB.EDPB Guidelines 2/2018 on Derogations of Article 49 Under Regulation 2016/679[EB/OL].https：//webcache.googleusercontent.com/search？q=cache：oliq5TxHM2IJ：https：//edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf+&cd=4&hl=zh-CN&ct=clnk&gl=ph，2019-03-21.

[11]EDPB.Initial Legal Assessment of the Impact of the US CLOUD Act on the EU Legal Framework for the Protection of Personal Data and the Negotiations of an EU-US Agreement on Cross-border Access to Electronic Evidence[EB/OL].https：//webcache.googleusercontent.com/search？q=cache：zSrie5yAd6MJ：https：//edpb.europa.eu/sites/edpb/files/files/file2/edpb_edps_joint_response_us_cloudact_annex.pdf+&cd=5&hl=zh-CN&ct=clnk&gl=jp，2019-03-21.

（責任編輯：郭沫含）