數位安全與正當程序：現代化雲時代之跨境政府的存取標準

Vincent Chen-WS

Published in

Vincent Chen

30 min readMar 9, 2018

Digital Security & Due Process: Modernizing Cross-Border Government Access Standards for the Cloud Era

By KENT WALKER, Senior Vice President at Google, responsible for Legal, Policy, Trust & Safety, and Google.Org

European Cybersecurity Journal (ECJ)，VOLUME 3 (2017) | ISSUE 3

https://app.box.com/s/uegxg6bk87bx1vle6sodgcknsf7fxmxu

世界各地的民主國家都將致力保證其公民的安全。這些政府需要獲得數位證據(digital evidence)，而這些證據通常由外國電信服務提供商 (foreign communication service providers) 所持有。然而，今天的國際法律框架(international legal frameworks)是建立在對跨境證據收集的需求很少的過去的時代。因此，各國都在嘗試努力尋找獲得所需資訊的新方式，但所提出的解決方案往往需要高昂的隱私和安全成本。本文件中的建議將允許執法機關(law enforcement authorities)在保護隱私的同時，獲得他們需要的更加及時的調查合法案件的數位證據。

問題1…

遵守基準隱私權(baseline privacy)、正當程序(due process)和人權標準(human rights Standards)的政府，在獲取服務提供商電子數據的能力時仍會受到限制。這些政府有合法的執法目標，但他們往往無法及時獲得這些數據……

解決方式….

由服務提供商所擁有的數位證據，應該被合法的執法調查(legitimate law enforcement investigations)以及時方式存取。對基準隱私權、正當程序、人權原則有所承諾的國家，應該能夠向其他民主國家的服務提供商提出直接請求。對於其他國家的現有互助框架(mutual assistance frameworks)亦應進行改革，以改善回應時間。

問題2….

用戶的隱私權沒有得到當前法律框架的充分保護……

解決方式….

如果國家希望直接向其他民主國家的服務提供商提出要求，該國必須在其國內法律中承諾基準隱私權、正當程序和人權的基本原則。

1963年（和2017年）大火車搶劫案

1963年，一列從格拉斯哥前往倫敦(Glasgow to London)的列車被一群年輕人攔截，後來他們偷走了當時正在運輸的260萬英鎊。「大火車搶劫案(he Great Train Robbery)」正如其已知的那樣，在英國留下了不可磨滅的印記，成為最惡名昭著的罪行之一。該罪行經過精心策劃，大部分被盜資金從未被追回。當時利用傳統的調查技術開展了多項調查。目擊者接受了採訪，物品上有指紋的灰塵，有人向海港發出潛在的嫌疑人的警告，大多數匪徒最終被捕。

假想在2017年對大火車劫案進行調查，將仍涵蓋1963年當時使用的一些相同的調查技術，但在某些方面也會有所重大的不同。閉路電視（CCTV）鏡頭的可用性可以幫助識別肇事者和主要證人；來自電子郵件提供商、社交媒體服務、通信服務和其他提供商的數據的可用性可能產生證據，以確定犯罪發生時肇事者的下落和有關規劃搶劫犯的通信。

這就是事情變得複雜的地方。如果美國的一家公司提供用於計劃搶劫的電子郵件服務，英國政府需要求助於美國政府，以獲得法律援助以獲取相關電子郵件。美國可能有理由開展自己的調查，向電子郵件服務提供商索取電子郵件，然後與英國官員分享。如果沒有可能從美國獲得這些電子郵件，英國調查人員將根據美國和英國之間的「法律互助條約」（Mutual Legal Assistance Treaty : MLAT）援引外交程序。

MLATs條約是關鍵條約，允許一個國家尋求另一國的援助以獲得證據和調查支持。MLAT程序具有重要作用。它允許各國在調查中進行合作，同時確保尊重彼此重要的價值觀。這些條約尊重每個國家的主權利益(sovereignty interests)，甚至允許有很大對抗關係的國家在有共同點的地方仍能共同努力。

然而，近年來，提交給美國的MLAT請求數量幾乎淹沒了該系統的運作，導致在很大程度上仍須依賴人工手動作業。請求數量的大幅增加很大程度上，是因為很多調查都涉及美國通信服務提供商所持有的證據。這個數量與諸如缺乏自動化、對美國MLAT申請程序所要求的理解不清、以及其他挑戰等因素相結合，導致MLAT過程變得緩慢和繁瑣。結果就是，今天英國政府可能需要幾個月的時間，才能收到它所尋求的通訊內容。在此期間，罪犯仍能保持自由，將可能會犯下後續罪行，證人可能會移動或變得不可用，而且證據可能會被銷毀。為了減少拖延，美國可能能夠加快處理請求，但當然這是以犧牲等候清單中的其他未決的請求為代價的。

對於具有合法執法權益的政府來說，這種情況是站不住腳的。它讓全世界的政府都在尋找其他方式，來獲取他們在公共安全和安保(public safety and security)責任方面所需的信息。這些替代方案可能會令人厭惡，也可能會造成附帶損害，破壞我們所有人的隱私和安全保護，而且最終卻仍有可能無法獲得信息。

這是一個迫切需要採取行動解決的問題，以承認合法的執法利益，尊重代議制民主國家的主權和政治程序(sovereignty and political process)，並提高全世界的隱私權、正當程序和人權標準。我們認為這些行動應該：

為民主國家提供MLAT的替代方案，直接向外國提供商尋求信息。

根據用戶的身份(who the user is)保護隱私，而不是基於數據的存儲位置(where the data is stored)。

現代化MLAT流程並實施其它實際改進。

********

關於執法機構獲取數據的規則，正在以兩種關鍵但不同的方式逐漸過時。

首先，它們不能確保尊重法治和人權(respect for the rule of law and human rights)的國家，能夠以足以反映執法公平性受到威脅的方式獲得數位證據 — 如可在雲服務中及時存取和獲取數位證據。其次，技術創新讓現有的規則不足以充分保護用戶的隱私權(privacy rights of users)。

未能及時更新法律的不利後果現在正在逐漸顯現 — 由於受到妨礙及時獲取數位證據，以致於有越來越多國家在防止或調查犯罪和恐怖主義行為的時候感受到挫折。這表現在：

●面對一國法律的域外主張(extraterritorial assertion)時，產生明顯的法律衝突。

●數據本地化建議(data localization proposals)。

●針對美國境外的美國提供商的員工的侵略性執法行為(aggressive enforcement efforts)（如監禁、大額罰款，工資扣押）。

●提高政府存取權力(government access powers)的建議，包括政府駭客攻擊力度(government hacking efforts)的增加和侵略性。

隨著對犯罪和恐怖主義問題的擔憂加劇，我們看到了各種建議，這些建議總是會在不同國家之間造成法律衝突。例如，如上所述，美國法律通常禁止美國公司向外國政府披露電子通信內容。由於無法及時通過主權管道獲取這些數據，以致令人沮喪。一些外國政府正在訴諸其他策略 — 包括國內其他法律的域外適用(extraterritorial application of their own laws )- 這些通常會與美國法律相互衝突。

試圖保護各國自行利益之間的這種衝突，可能會使公司處於決定是否冒險違反請求國(requesting country)的法律，或冒著違反總部所在國法律的風險的立場。這類的衝突會大大降低了執法機關，從服務提供商處獲得數據的可能性，這些服務提供商的回應能力亦將受到限制。致力於尋求避免法律衝突的解決方案，為合法的執法調查提供數位證據，並激勵隱私和正當程序標準的改進，是符合所有利益相關者的利益，

兩個基本挑戰(Two Fundamental Challenges)

(1) 政府在及時獲取合法執法調查(Legitimate Law Enforcement Investigations)的數據方面遇到困難

●尊重法治的民主國家在努力及時獲取通信內容，以進行合法的執法調查時遇到困難。

過去提供通信服務的公司大都出現在為本地用戶提供服務的地區，並且主要是電話服務的世界。自然而且可以理解的是，法律是基於這一現實創造出來的。這一事實假設，反映在美國的主要法律中，例如1986年的「電子通信隱私法(Electronic Communications Privacy Act)」（ECPA）。 ECPA運行良好多年，其中大部分內容仍然充滿活力和相關性，即使在2017年也是如此。但同樣清楚的是，它的一些潛在技術假設，已日益過時，已無法應付行動數據無所不在、跨界亦無所不在的世界。可以理解的是，1986年的美國國會並未考慮美國網際網路公司將向全球數十億用戶提供服務的世界。由於一些最大的網際網路通信服務提供商都位於美國，ECPA不僅在美國，而且在全世界，它是一項特別重要的法律，

ECPA在跨境調查中已產生了重大挑戰，因為數位證據的製作，對於解決或起訴在美國境外發生的犯罪行為至關重要。

ECPA包含「阻止」條款，通常禁止美國公司向外國執法機構披露通訊內容。在沒有緊急情況的情況下，外國政府 — 無論其是否遵守基準隱私權、正當程序和人權標準 — 都不能在不依賴MLAT程序或其他外交管道的情況下接收到通信內容，但這些外交管道通常會阻礙合法執法以及時獲取數據的目的。在參議院和眾議院司法委員會最近的證詞中，英國的國家安全顧問副國務卿(Deputy National Security Advisor)麥吉尼斯(Paddy McGuinness)認為，這項禁令使美國公司處於「不得不隱瞞可能保護公共安全的信息的不公平地位」。。

實際上，ECPA中的阻止條款是民主國家尊重法治、維護公民自由的實質性和程序性保護，以及需要調查涉及美國當地服務使用者的當地犯罪而制定。法國和德國內政部長在致歐洲聯盟理事會主席的信中認為，「成員國當局正面臨服務提供商，拒絕提供有關法律理由的信息，我們必須能夠克服此一問題。電子通信服務提供商必須能夠，被授權提供與用戶連接相關的數據為成功的調查做出更多貢獻。此外，歐洲客戶的數據必須存儲在與[EU]成員國主管當局有直接合作的管轄區內」。最近的法英行動計劃(French-British Action Plan)還呼籲開展合作，以「確保通信的數據和內容可以無論在哪裡存儲，跨國界執法都應可以迅速獲得」。

僅僅因為它是由美國服務提供商在ECPA規範的保存下，這些國家通常無法及時獲取數位證據，即使是完全屬於國內性質的犯罪。由於無法獲得這些數據，會促使這些國家尋求其他技術來獲取信息的誘因，包括在法律衝突的情況下，在域外實施其法律。此還會為訂定數據本地化的法律(data localization laws)和侵略性的調查工作(aggressive investigative efforts)提供了誘因，這些措施都會破壞一般安全性及用戶的隱私。

美國並不是唯一擁有這種封鎖條款的國家。歐盟委員會最近的一項調查強調，大多數歐盟成員國的法律「不包括/允許在成員國設立的服務提供商，回應來自另一個歐盟成員國或第三國的執法機關的直接請求」。事實上，「只有2個成員國」似乎允許這種合作。執法機關也存在這種限制，法律常常阻止執法機關向任何其他國家的服務提供商提出直接合作請求。很明顯，阻止條款帶來的挑戰是在國際範圍內，而不僅僅局限於美國。

一個國家可能希望限制總部設在其管轄範圍內的提供商的行為方式，包括提供商向誰披露數據的行為。例如，一個國家可能希望阻止其本地供應商，向人權記錄欠佳的政府披露通信內容。然而，與政策含義背道而馳及缺乏細微差別的廣泛阻礙的法規，可能會讓合法需要信息的國家尋找替代手段，其中一些手段可能是不實際的、侵略性的和不安全的。

● 通過替代外交管道和程序（如MLAT），以改善公共安全和公民自由

如上所述，ECPA的阻止條款給美國以外的執法機構設置了障礙，並且經常阻止他們獲取美國提供商持有的信息，即使這些機構處於民主國家，尊重法治並且完全在調查國內事務。通常情況下，這些機構需要通過外交管道與美國政府取得通信內容。這可以採取多種不同的形式，包括調查委託書(letters rogatory)，以及在有條約或執行協議的情況下，通過司法互助條約（MLAT）的要求。MLAT請求是外國政府從美國服務提供商獲取電子通信內容的主要法律機制。MLAT通過向美國司法部提出請求，使外國政府能夠請求和獲取此類通信內容。

然而，MLAT程序通常很慢並且很麻煩。部分原因是因為MLAT要求的數量增加了，因為有越來越多的證據被其他司法管轄區的公司所持有，即使犯罪本身完全是本地犯罪。在2015年財政年度預算申請中，司法部指出，「過去十年來，外國援助請求的數量由刑事司的國際事務辦公室（Criminal Division’s Office of International Affairs : OIA）處理的增加近60％，電腦記錄的請求數量增加了十倍。雖然工作量急劇增加，但美國政府的資源，包括人員和技術，還沒有跟上這種增長的需求。」。 2013年，總統的情報和評估審查小組通信技術部門(President’s Review Group on Intelligence and Communications Technologies)報告說（第229頁），MLAT要求「似乎平均需要大約10個月才能完成，有些請求要花費相當長的時間」。

但是，問題並不完全在於美國。MLAT程序也常常受到請求國不了解滿足美國法律標準所需的條件，或請求國系統效率低下的影響。這些外交管道是關鍵工具，工作需要更有效率。

● ECPA的限制，讓美國政府努力獲取合法執法調查中的用戶數據方面，備感挫敗

ECPA中的過時概念，也困擾著美國的政府機構。美國去年召開的美國第二巡迴上訴法院的小組一致認為，根據ECPA簽發的搜查令，僅允許美國政府實體，能夠強制執行像Google這樣的提供商可以搜索、檢索和製作存儲在美國的記錄。該裁決強調了美國解釋1986年的法規，並將其應用於現代技術現實和跨國執法調查的挑戰。

在ECPA通過的時候，對權證(warrants)的這種限制可能是有道理的。自那以後，時代和更重要的網路都發生了變化。對ECPA權證(ECPA warrants) 數據存儲在美國的限制，對執法機構已構成了挑戰，服務提供商對此表示贊同，並在美國其他地區引發訴訟。這不是要批評第二巡迴法院的決定，該決定是建立在既定和長期的法定建築原則之上的。相反，它強調了國會干預更新法律的重要性。在全國各地待決的案件中，法官們努力了解國會在1986年制定的這部法規中的意圖，早在Google和Facebook等提供商存在之前。

但是這些挑戰只能由美國國會來解決。根據ECPA要求的數據位置(location of data)，在適用於傳統權證的標準下，應修改ECPA下的法律程序，以考慮潛在用戶的國籍和地點(user’s nationality and location)。讓我們來關注用戶，而不是數據的存儲位置。

(2) 可以更加改進用戶的隱私權

● 任何跨境執法請求框架，都應建立基準隱私、正當程序和人權標準上。

多年來，我們呼籲美國國會更新「電子通信隱私法」（ECPA），並編制一項內容權證標準(warrant-for-content standard)。正如我們在美國國會以前的證詞中指出的那樣，內容授權標準實際上就像當今土地的法律一樣。該標準由政府實體和提供商所觀察(observed by governmental entities and providers)，並且必要時被法院所接受，以滿足美國的憲法標準。在2016年和2017年，眾議院通過了電子郵件隱私法案(Email Privacy Act)，該法案將編制程內容權證標準。但是，儘管已經出現了支持這一標準的明確共識，但它迄今尚未頒布成法律。

目前，一些全球最大的網際網路公司總部位於美國，因此受到美國的管轄。因此，美國的政策改革，例如編纂內容權證標準，對於產生和激勵可以改善全球隱私和正當程序標準的國際改革類型至關重要，同時滿足合法的執法需求。

這一點尤為重要，因為許多國家仍然缺乏政府在雲服務中存取數據的強有力的保障和標準。即使在志同道合的國家中，標準差異也很大，儘管用戶對隱私權的合理期望與政府的存取權並不相同。一個更廣泛的國際跨國執法(cross-border law enforcement)請求框架，需要修改沒有充分保護隱私、正當程序和人權的國家的國內法規。這是任何政府存取法律(government access laws)根本調整的核心，它必須反映現代執法需求和網際網路用戶的隱私期望和權利。

毫無疑問，這對許多國家來說需要時間和重大改變。這也意味著MLAT程序將成為許多國家在可預見的將來依賴的主要機制。然而，遵守基準隱私權、正當程序和人權標準，在獲取雲服務中存儲的電子證據方面，與執法部門的利益一樣，並且應該同樣令人信服。

提出的解決方案(Proposed Solutions) — 改革藍圖(A Blueprint for Reform)

在關於政府存取標準(government access standards)的爭論中，將解決方案視為一種平衡行為是可以理解的趨勢，在這種情況下，改善政府獲取用戶數據的態度必然會與用戶隱私（或者反之亦然）相互作用。但是，制定更有效的政府存取標準，和更強大的隱私和正當程序標準的目標並不相互排斥。事實上，通過更新法律以反映新的現實，我們將創造出更適合執法和公民自由的新方法。我們可以而且應該努力實現這兩個目標，而不一定是去尋找一種意味著權衡取捨的平衡的方法。

下面提出的解決方案旨在解決上述兩個基本挑戰。我們相信這些想法可以在應對這些挑戰方面取得重大進展，但我們也認識到可行的國際框架，需要來自更廣泛的利益相關者群體的意見和貢獻。

● 促使某些民主國家能夠從美國服務提供商處獲得電子數據

越來越清楚的是，必須制定與MLAT相輔相成的解決方案，以應對因網際網路時代的到來而產生的跨國執法調查所面臨的挑戰。這已是姍姍來遲。致力於基準隱私、人權和正當程序原則的國家，應該能夠在緊急情況下向美國供應商提出請求，而無需美國政府的干預和參與。提供這樣一個途徑，將有助於鼓勵帶動外國政府提高其隱私和正當程序標準的效果，以便他們能夠利用此一新而且更有效的程序。

這樣一個框架也會帶來附帶好處，使這些國家的公民在解決政府獲取數據的立法過程中取得真正的利益。目前，美國法律通常對非美國人的數據向其政府披露的情況有所限制。例如，一家德國執法機構尋求有關德國Gmail用戶的通信內容，在大多數情況下，必須符合美國法律標準才能獲取此類數據。修正美國法律，以解除在緊急情況下禁止向某些外國政府披露通訊內容的禁令，顯示尊重代議政府及其公民的民主程序，其中許多人可能與美國法律規定的保護比較，更喜歡根據其國內法律規定所提供的隱私保護。

2016年7月和2017年5月，美國司法部（DOJ）公佈了修訂ECPA的立法，授權但不要求美國提供商向外國政府披露符合基準正當程序、人權以及隱私標準。該法律將授權美國政府與外國政府達成行政協議(executive agreements)，該協議符合實質性和程序性權利保護的最低要求(minimum requirements of substantive and procedural protection of rights)。根據此類協議，合格的外國政府可以向美國服務提供商提出法律要求，進行涉及嚴重犯罪的某些類型的刑事調查(criminal investigations)，而無需通過外交途徑，如MLAT流程。司法部和國務院將被要求，確定並證明(determine and certify)一個國家在公司可以將該內容披露給該國家之前，需遵守基準隱私、正當程序和人權原則。外國政府將被要求為美國政府提供獲得電子數據的互惠權利，這些外國政府以前可能亦會禁止服務提供商披露電子數據。

美國和英國政府正在就這種類型的協議進行談判，這是此類協議的首例。英國方面已經頒布立法，實施這項協議的關鍵組成部分，包括要求通訊內容的法律要求須具有強大的事實依據，並由獨立於英國政府的司法專員(judicial commissioner)進行審查。期望其他民主國家對隱私、正當程序、人權和法治的承諾，將成為未來雙邊或多邊協議的候選國。

這種框架可以幫助設定對外國政府為滿足基準隱私、正當程序和人權標準而需要做出的變化類型的期望。為這些國家直接提供一個可以接從其他國家司法管轄區的服務提供商獲取電子證據的途徑，但如果這些司法管轄區沒有明顯的公平性來阻止信息的不當披露，將會對單邊、治外法權的國家主張、數據本地化建議、侵略性擴大政府存取權力(government access authorities)以及危險的調查技術等產生誘惑，這對我們所有人來說最終都是不利的。

上述美國法律的變化將為外國提供強有力的激勵誘因，以便更新其政府存取法規，俾與基準隱私、正當程序和人權標準相一致。關於政府必須採取哪些具體措施來達到這些標準，國際上沒有達成共識，但也有不同的模式可以為此做出貢獻。

首先，去年司法部公佈的立法，描述了其他國家必須遵守的人權規範類型，以便接受立法規定的各類執行協議的認證。例如，各國必須表現出「尊重法治和不歧視原則(respect for the rule of law and principles of non-discrimination)」，並遵守國際人權準則，包括但不限於「防止任意和非法干涉隱私(protection from arbitrary and unlawful interference with privacy); 公平審判權(fair trial rights); 言論自由和和平集會自由(freedoms of expression and peaceful assembly) ;禁止任意逮捕和拘留(prohibitions on arbitrary arrest and detention);禁止酷刑和殘忍、不人道或有辱人格的待遇或處罰 (prohibitions against torture and cruel, inhuman, or degrading treatment or punishment )」。來自這些政府的法律命令必須「基於合理理由的要求、基於可說明和可信的事實、特殊性、合法性和受調查行為的嚴重程度(severity regarding the conduct under investigation)」。外國政府發布的此類命令「必須經過法院，法官，裁判官或其他獨立機構的審查或監督(review or oversight)」。

其次，必要和比例原則(Necessary and Proportionate Principles)也可以成為一個有用的指導原則。2013年，聯合國人權理事會發起了一個程序，制定並闡明各國政府在制定符合國際人權法的政府存取法規方面可以效仿的原則。這一程序的結果是必要和比例原則，這是一套由世界各地的隱私權和人權非政府組織制定的十三套指導方針(a set of thirteen guideposts)。必要和比例原則 — 作為前提性文字說明 — 可以為政府「提供一個框架，以評估當前或建議的監控法律和做法(surveillance laws and practices)是否符合人權。」

只要各國能夠達到基準隱私權、正當程序和人權標準，司法部公佈的立法授權的雙邊協議，為明顯改善全球隱私標準提供了最有希望的途徑，並為外國政府獲取合法數位證據之執法調查創造了一條途徑。

當然，雙邊協議並不是提高隱私標準和使外國政府能夠在合法執法調查中獲得數位證據的唯一途徑。通過達成相同目標的多邊協議，相同的目標可能會更好，也許更有效。但是，目前的美國和英國的協議，是迄今為止處理的最好的實例。鑑於無所作為的不利後果，各國政府應迅速採取行動，以應對多年來顯而易見的挑戰，而且這種挑戰隨著時間的推移，會變得更加嚴峻。

● 制定國際通信隱私法（International Communications Privacy Act : ICPA）

與此相關的是，各國開始重新制定國內法規，以考慮到國家境外的個人的合法隱私利益，以及這些個人是公民的國家的共同利益( comity interests )，也是至關重要的。ICPA是一個兼顧這兩種權益的框架。雖然我們認識到ICPA需要改進，但它可以成為其他政府的有用模式，因為它們考慮如何將其國內法規適用於現代的現實，數位證據通常對刑事調查至關重要，而且往往涉及到非公民的隱私權利和外國的共同利益。。

現代網際網路絡越來越智慧化地存儲數據，經常在數據中心和跨國界之間無縫地移動和複製數據，以保護數據的完整性並最大限度地提高用戶的效率和安全性。這一技術現實凸顯了立法解決方案的重要性，即在確定某個國家是否可以對服務提供商行使管轄權時，避免將數據位置作為相關考慮因素。

值得注意的是，所有在第二巡迴案件中發布相關裁決的法官（包括2016年原來的專家意見和2017年裁定否認在整個第二巡迴法庭上重審）都敦促國會考慮適當修改ECPA，以解決案件中政策問題的核心。林奇法官(Judge Lynch)在2016年案中的表態在這方面值得注意：

儘管我認為我們在解釋規約時已經達到了正確的結果，但我更強烈地認為仍應修改規約，以維護和加強該法案的隱私保護、合理化和現代化此一條款，以允許執法機構獲得存儲的電子通信和其他利益所需的數據，並仔細衡量執法需求（特別是在處理最嚴重的跨國犯罪的調查）和侵害其他主權國家的利益之間的平衡。

無所作為意味著關於電子隱私和政府存取的重要政策決定，默認歸屬於法院。法院被要求以脫離健全的政策解決方案的方式解決個人糾紛，而沒有在各種利益相關者之間進行巨大機會的辯論，實際上可能完全在封閉的法庭中進行辯論。這不是適當解決用戶、執法機構、服務提供商和外國主權權益的途徑。

美國國會有機會更新網際網路時代的ECPA，並考慮國內美國政府存取法(government access laws)的實施，如何影響外國權益和非美國人的隱私權。處理相關利益相關者權益的法律框架，遠遠優於長期的訴訟戰爭，而這種戰爭缺少重要的聲音和觀點。這是國會的工作，而不是法院的工作。在上屆大會上，馬里諾和德爾貝尼(Marino and DelBene) 代表以及哈奇、庫恩和海勒(Hatch, Coons, and Heller)參議員介紹了國際通信隱私法（ICPA）。通過進一步改進，ICPA可以為用戶數據的跨境執法需求提供正確的框架。以下原則應該說明ICPA的進一步變化。然而，我們認為，重要的是保持靈活性，為各種挑戰和廣泛的權益制定解決方案。

● 內容權證(Warrants for Content)：國會應該編制一個內容權證標準。這已經兩次通過眾議院，沒有任何反對，這一改革得到了政界廣泛的支持。

● 數據位置(Data Location)：根據以下附加原則，美國提供商所持有的數據的位置，不應該自身決定根據ECPA的存儲通信章節發布的法律程序是否可以獲得該數據。

● 通知(Notice)：當一個國家的政府機構努力通過合法程序，從其管轄範圍內的提供商那裡獲得屬於或位於不同國家的用戶的電子數據時，該機構應通知其他國家。本通知要求將有可以理解的例外和限制，但是與另一個國家建立了外交機制（例如「司法互助條約」（MLAT））的國家在跨境調查中製作數據，並且觀察分享、隱私基本原則、正當程序和人權，應遵守這一通知原則。鑑於其公民的合法隱私利益以及該國的共同利益(comity interests)和價值觀，這使對方有機會通過外交途徑提出關於該請求的關切。

● 賠償和共同利益因素(Redress and Comity Factors)：收到上述通知的司法管轄區應有機會在請求國的司法管轄區進行補救。這可能包括在請求國管轄範圍內發起法律挑戰的機會。聽到這種挑戰的法院應該進行共同利益分析(comity analysis)，以幫助衡量這些國家的權益。該分析所考慮的因素可能包括：（i）客戶或用戶的地點和國籍; （二）犯罪的地點; （三）犯罪的嚴重性; （iv）數據對調查的重要性; 和（v）通過其他方式存取數據的可能性。

● 互惠(Reciprocity)：根據其國內法將上述權利（即通知和補救）擴大到其他國家的國家應期待互惠。但不應要求各國向其他沒有義務進行對話的國家提供通知或補救機制。當然，任何國家都不應該要求將上述權利延伸到不遵守基準隱私權、正當程序和人權標準的國家。

解決各種權益權問題的立法框架的基礎是存在的，我們渴望與感興趣的利益相關者合作，以這種方式更新ECPA。

● 現代化MLAT流程(Modernize the MLAT Process)

老化的法律制度所面臨的各種挑戰並沒有靈丹妙藥，這些制度沒有適應技術創新、現代執法需求以及強化隱私權、正當程序和人權標準。MLAT的改善可以對於美國向外國執法機構及時提供數據的能力，逐漸強化信心至關重要。在可預見的將來，絕大多數國家都將依靠MLATs和同等的外交機制，這強調了迅速全面資助和實施MLAT程序必要改革的重要性。

司法部可以採取多種方式使其對MLAT請求的回應程序現代化。

● 為MLAT請求開發標準電子表格和線上審理系統(Online Docketing System for MLAT Requests)：司法部應該為提交MLAT請求創建公開可用的標準化線上表格。另外，司法部應該創建一個線上審理服務，以接收只能由那些MLAT合作夥伴存取的MLAT請求。外國政府應該能夠利用這種線上審理系統追踪未完成的MLAT請求的狀態。

● 簡化對MLAT請求的審查：司法部可以通過消除其國際事務辦公室（OIA）和當地美國檢察官辦公室(local U.S. Attorney’s Office)的重複審查，以簡化對MLAT內容數據請求的處理。這可以通過現有的法定機構以多種方式完成。例如，OIA的律師可以審查MLAT請求，準備執行該請求所需的美國法律文件，並直接向美國法院提交這些文件，而無需通過當地的美國檢察官辦公室工作。其次，OIA律師可以準備執行MLAT請求所需的美國法律文件，然後將這些文件提供給哥倫比亞特區的助理美國檢察官，或在其他適當地區指定專門代表代替OIA提交這些文件。第二種選擇將擴大在最近與美國哥倫比亞特區檢察官辦公室就第2703（d）號命令的要求，進行的一個非常成功的試驗項目。這兩種選擇並不相互排斥，通過消除因不同辦事處的多個司法部門的律師審查和處理相同的MLAT請求而造成的延誤，將大大簡化MLAT流程。

● 聘請外國合作夥伴並加強培訓(Engage Foreign Partners and Improve Training)：司法部與其他機構應該保持與跨國的MLAT對口單位(MLAT counterparts)的持續溝通，並建立單一聯絡點(single points of contact)，以免發出請求或命令的發送地點混淆。美國政府還應努力提高和規範執法部門、美國司法部門和其他有關方面如何有效利用MLATs的教育和培訓。這需要與美國進一步協調。美國國務院、聯邦調查局法律代理辦公室以及美國其他相關的聯邦和私營部門實體，可以在美國大使館舉辦海外培訓班。這些會議可集中討論有關使用MLAT、適用的美國法律要求可能的條款、電子鑑識(electronic forensics)指導以及與刑事調查相關的現代電子數據技術等的最佳實務做法。

● 提高透明度(Increase Transparency)：司法部和各州應共同努力提高透明度，向國際執法機構以及在適當情況下向公眾提供線上和可檢索的條約文件、合規指南、常見問題解答(FAQ’s)、統計指標和其他資料。這將可改善有關提交MLAT請求的可用文件，並有助於更多地了解美國對外國同行/機構的法律標準，這些同行/機構往往在為制定滿足美國標準的MLAT請求時遇到困難。以可存取的方式提供這類指導，將有助於向OIA提交更高品質的文件，這反過來將有助於減少審查和處理這些請求的時間。此外，對改善回應時間和其他進展情況的公開報告，將增加外國執法人員對MLAT程序的信任，並作為執法請求的可靠機制。

● 增加資源：美國政府應向OIA分配大量新資源，以加強其人員執行上述其他建議，以改善MLAT流程。考慮到目前的限制以及它處理的請求數量的大幅增加，假如沒有OIA人員和其他資源的地大量增加，要期待OIA能完全應對這些挑戰是沒有道理的。

這絕不是政府可用的政策選項的詳盡列表。有一份Global Network Initiative名稱為「超越國界的數據 — 網際網路時代的互助法律援助(Data Beyond Borders — Mutual Legal Assistance in the Internet Age)」的報告，為改進MLTA流程提供了進一步的建議。外國政府也應考慮切實改善與美國當局合作的方式。例如，歐盟委員會最近的努力，包括對歐盟從業人員就相關美國法律之最佳實踐的交流和培訓提供財政支持，這是一個良好的開端。向美國傳送MLAT請求時，外國政府往往也因內部效率低下而放慢速度。

● 發展近期實用的解決方案(Develop Practical Solutions for the Near Term)

在提升全球隱私標準的同時，亦可促進跨境調查中數位證據制作的雙邊框架，無疑是雄心勃勃的工作。在此期間，政府和服務提供商可以採取切實步驟，使跨境執法調查中的數據提供更加有效，這可以幫助減少政府採取更侵略性措施的可能性，而這些措施總是會削弱隱私和正當程序標準。

根據我們的經驗，有一些有意義和實際的步驟可以改進執法機構和提供商之間的合作，並有助於緩解本文件其他地方所述的問題建議的一些壓力。

● 單點聯繫人（Single Points of Contact : SPOC）: 執法機關應指定官員擔任與外國通信服務提供商合作的專門聯絡點(points of contact)。這些官員將負責理解法律要求，並知道如何向提供商提交法律程序，期望得到什麼樣的回應，以及如何以知識化和迅速化地處理不可避免的錯誤和誤解。我們已經看到，這種聯繫有助於確保這些請求得到適當的制定，並有助於提供商驗證請求是否真實。它還會鞏固（限制）同一調查請求的數量。SPOCs已經在許多採取這種姿態的國家取得了有意義的合作成效，並且這也是改善其他國家MLAT程序的有效途徑。

● 培訓培訓師(Train the Trainer)：國際和區域組織應該開展對提供商應參與的培訓師培訓計畫。如上所述，這種系統在有SPOC的系統中特別有效。。

● 適用法律的明確性(Clarity on Applicable Law)：國際和地區組織應努力收集、翻譯和保持最新，與數據存取相關的國家法律要求，包括主要和次要法律。這將確保提供商和主管部門對這些程序和法律要求具有共同的理解。