普華法律時事漫談/網路無國界?淺談蒐集外國數位證據及個人資料的難題

新聞媒體 2020-05-16

2018年2月27日,備受全球法律及IT產業矚目的United States v. Microsoft Corp.案在美國最高法院進行言詞辯論。本案的背景事實要回溯到2013年,美國檢察官為了偵查毒品運輸案件,以令狀要求微軟公司提供涉案人士的電子郵件。本案相關的電子郵件部分儲存在美國國內,部分儲存在愛爾蘭,微軟公司提出了儲存在美國的電子郵件,但拒絕提供儲存在愛爾蘭的電子郵件。在訴訟程序裡,下級法院認可了檢察官的令狀,但聯邦第二巡迴上訴法院予以駁回,全案現由美國最高法院審理中。

要求提供儲存於外國的電子郵件,到底是國內行為還是國外行為?

本案訴訟中主要的爭執點有二:其一,檢察官以令狀要求微軟公司提供其儲存在愛爾蘭的電子郵件的行為,是在國內的行為還是在國外的行為?其二,1986年施行的《儲存通訊保護法》(Stored Communication Act,SCA)有沒有授權檢察官搜索儲存在美國境外的資料?

微軟公司主張,檢察官的令狀是境外的搜證,而且1986年施行的《儲存通訊保護法》(當時雲端計算尚不存在),並未授權美國把手伸進其他國家得領地內,聯邦第二巡迴上訴法院也判決現行法並沒有賦予美國法官核發境外搜索票的權利。相對的,檢方主張本案根本不是境外蒐證,因為電子郵件儲存的地點雖然是在愛爾蘭,但是只要在美國境內點一點滑鼠就可以取得。

在2月27日的言詞辯論程序中,美國最高法院大法官的意見有所分歧。有認為《儲存通訊保護法》不得適用於外國蒐證,但若當事人是在美國法院,而美國法院要求其提出資訊,這個要求本身就是國內而非跨國的行為。也有大法官認為,雖然相關行為部分是在美國做成,但是也有部分是發生在國外的-雖然電子郵件內容的揭露是發生在美國,但是電子郵件的蒐集與傳送是在國外發生的。大法官間的不同觀點,也為本案的判決結果添上變數。

本案判決對台灣企業與人民可能產生的影響

本案之所以受到國際密切關注,除了其判決結果將為司法偵查效率與個人隱私權的範圍畫下一條重要的界線以外,更重要的是其可能產生重大的後續效應。

倘若本案美國政府勝訴,亦即美國政府可以單方面以令狀要求提供電子郵件服務的公司提出儲存於外國的電子郵件,是否將導致美國政府可以用這個方式,規避司法互助協議所規定的程序與限制?舉例來說,台灣與美國訂有「駐美國台北經濟文化代表處與美國在台協會間之刑事司法互助協定」,依本協定第2條第1款,司法協助應經由其所屬領土內之相關主管機關,本協定第3條第1款、第2款約定,台美司法互助應由美國在台協會所屬領土之司法部長或受司法部長指定之人與駐美國台北經濟文化代表處所屬領土之法務部部長或受法務部部長指定之人依照本協定提出或受理請求,本協定第4條、第5條並定有受請求方之指定代表人得拒絕協助的狀況及請求之形式及內容等等。如果最高法院同意美國政府可以要求美國民間企業提供其儲存在境外伺服器的資料,美國政府可能無須透過司法互助請求他國政府協助調查,直接施壓美國企業即可。

近年來台灣積極吸引外國資訊科技業者投資,Google已於2013年12月11日啟用位於彰濱工業區的資料中心,並於今年3月21日啟動「智慧台灣計劃」(Intelligent Taiwan),以台灣做為實現人工智慧優先「AI-First」願景的戰略基地。今年年初,微軟也在台灣成立AI研發中心。台灣作為資訊產業的重要基地,本案後續發展對台灣企業與人民的影響可能非常巨大,值得持續關注。

台灣企業協助外國政府偵查應注意個人資料保護問題

若外國政府為了偵查犯罪,要求台灣企業提出其持有的電子郵件或其他資料,此時台灣企業應如何因應也牽涉到個人資料保護法(以下簡稱個資法)的問題。

企業所持有的電子郵件等資料內如果包含自然人之姓名、特徵、聯絡方式、社會活動等得以直接或間接方式識別該個人的個人資料,依照個資法第19條、第20條,非公務機關蒐集、處理或利用個人資料,除非符合法條列舉的例外狀況,應該取得當事人的同意。就「政府要求提供個人資料以協助犯罪偵查」的狀況而言,較有攸關性的例外狀況是「法律明文規定」、「為增進公共利益所必要」、「為防止他人權益之重大危害」三種。

若是我國檢察官依法取得通訊監察書,業者依據前述三款例外事由協助提出儲存於我國的個人資料,應無疑義。但如果是外國政府要求提出儲存於我國的個人資料,企業得否基於前揭理由協助外國政府?如果相關資料儲存在第三國,該國法令是否允許企業以此方式蒐集、處理及利用儲存於該國的個人資料? 則較有疑義,須要依照不同個案狀況進一步分析。就此而言,各該國家的法治狀況、要求提供協助的政府有無就案件狀況提出相關說明,都是須要審酌的重點。

除此之外,企業將資料傳輸至外國政府,屬於國際傳輸。依照個資法第21條,如果有(一)涉及國家重大利益、(二)國際條約或協定有特別規定、(三)接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞、(四)以迂迴方法向第三國(地區)傳輸個人資料規避本法等狀況,中央目的事業主管機關可以予以限制,此點也應該加以注意。

結語

商業的全球化已經是過去數十年來的既成事實,在網路科技日新月異的推波助瀾下,傳統以規範在地、內國事務為核心思維的法律領域在處理新興科技的事務上往往顯得左支右絀,也因此,近年來各國法制為了有效規範新興科技,其變動幅度也不可謂不大。從企業經營者的角度而言,除了要在技術、商品、服務上持續領先以維持競爭力之外,也應委請法律專業人士隨時更新與其業務相關的各國政策、法律及標竿判決以控制法律風險,避免誤觸法網。


關注我們

NOTICE US

送出