第二节　依托跨境云服务提供者的数据控制者模式

一、数据控制者模式概说

所谓数据控制者模式，在刑事侦查中是指在云计算的技术背景下，通过寻求跨境云服务提供者的合作或对其发出指令的方式获取其所控制的数据。关于这一刑事取证管辖模式，可以从以下方面加以理解：其一，不仅将云数据与其他有形实物相区分，而且将云数据所在的虚拟空间与有形实物所处的物理空间相区隔，在云数据的刑事取证管辖方面完全不考虑数据存储的位置，从而绕避常规的司法协助程序。其二，依托跨境云服务提供者，属于对存储于境外的数据的一种间接取证方式。其三，数据范围只涉及跨境云服务提供者控制的数据，具体而言即其“拥有”（possession）、“保管”（custody）或“掌控”（control）的数据。(35)

通过数据控制者模式获取位于境外的数据，近年来逐渐受到一些国家的重视，并且在国际上已经展现出两种基本的表现形式。

一是通过在本地无实体机构的外籍网络服务提供者披露境外数据。例如在比利时的一起案件中（下文简称“比利时雅虎案”），嫌疑人通过雅虎的电子邮件账户针对比利时境内的目标实施了欺诈犯罪。在侦查阶段，比利时的检察官根据该国《刑事诉讼法》第“46bis § 2”条的规定(36)直接向雅虎公司在美国的办公室发出指令，要求后者披露注册用户的信息及用户的IP地址。然而，雅虎是在美国加利福尼亚注册的公司，在比利时并无分支机构，其拒绝向比利时执法部门披露上述数据，并认为后者是在向境外扩大适用刑事管辖权。为此，雅虎公司告知比利时的检察官，应当通过常规的双边司法协助机制，请求美国当局协助执行。不过，比利时检察官并未采取这样的方案，而是依据上述《刑事诉讼法》规定对雅虎公司提出了检控。雅虎公司在庭审中除了继续主张该案应当通过司法协助机制开展相应证据调查工作而外，也提出自身并不属于比利时境内的“电子通信的网络服务提供者”（provider of electronic communications services），因此不受比利时当局的管辖。

此案的几次审理颇为引人注目。2009年3月2日，雅虎公司在登德尔蒙德（Dendermonde）刑事法院败诉，但是在根特（Ghent）上诉法院胜诉。经过几轮复杂的诉讼程序，比利时安特卫普上诉法院于2013年11月裁决，雅虎公司应当披露上述涉案数据。法院的理由在于，该公司通过在比利时境内提供电子通信服务，通过使用“www.yahoo.be”域名而参与到比利时的经济活动中，在该网站使用当地的语言，且网站上的弹出式广告可连接至比利时境内的商户和用户服务提供商。因此，该公司“事实上是位于”（virtually located）比利时的。于是，法院判决雅虎公司败诉。随后，雅虎公司向比利时最高法院提出上诉。2015年12月1日，比利时最高法院拒绝了雅虎公司的上诉请求，并以未尽执法配合义务为由对其罚款44000欧元。如果雅虎公司拒绝接受判决，则比利时最高法院会考虑将其IP从比利时境内移除。(37)

二是通过在本地有实体机构的外籍网络服务提供者披露境外数据。例如，2014年4月23日施行的《巴西境内使用网络之原则、担保、权利与义务的确立》（Estabelecimento de princípios，garantias，direitos e deveres para o uso da Internet no Brasil）第11条第2段规定，只要网络服务提供者向巴西公众提供服务，即使其在国外运营，也受到该法调整。2015年1月，微软分支机构受美国《存储通信记录法》约束而未按巴西一家法院的指令披露其存储于境外的嫌疑人的信息，为此被巴西当局罚款数百万美元，而且员工还遭到刑事起诉（下文简称“巴西微软案”）。(38)此外，根据英国2016年施行的《调查权法》（Investigatory Powers Act）第85条即“跨境适用”（Extra-territorial application）及第3部分“获取通信数据的授权”（AUTHORISATIONS FOR OBTAINING COMMUNICATIONS DATA）的相关规定，执法部门可以向其境内运营的电讯网络服务提供者发送指令，以此获取其存储于境外的数据。英国政府曾对《调查权法》的前身即《数据留存与调查权法》（Data Retention and Investigatory Powers Act，DRIPA）草案(39)解释道，对于“在英国为客户提供通信服务的所有运营者而言，无论其服务是从何处提供的，都应当遵守数据披露的要求。”(40)而华盛顿大学法学院Jennifer Daskal女士所援引的英国官方的解读则更为具体：其主要目的就是要授权获取采用其他方法难以收集的位于美国的网络服务提供者掌控的数据。(41)

不过，比利时、巴西、英国的立法或实践更多的只是对数据控制者模式的问世进行了初步的探索。这一模式系统理论的提出更多地是受到了“微软爱尔兰案”的影响，并最终在美国《云法案》于2018年出台之后正式成型。(42)该法第1节开宗明义地指出，其立法目的就在于授权美国执法部门在云计算的背景下通过网络服务提供者获取境外数据。该法标志着美国在云数据的跨境刑事取证管辖方面，从数据存储地模式彻底转向了数据控制者模式。