外媒稱“iCloud中國賬户密鑰轉存雲上貴州引發人權擔憂”，真當如此？_風聞

上個月，蘋果公司宣佈在中國的iCloud雲服務將轉由中國“雲上貴州”公司負責營運。2月24日，路透社刊發一篇文章稱，蘋果此舉將引發人權方面的擔憂。對此，微信號微信號“網安尋路人”（DataProtection101）刊發一篇文章稱，首先蘋果公司和雲上貴州同為數據控制者，其次密鑰仍有蘋果控制，再次由於美國互聯網公司的強勢地位，跨境執法調取數據問題不僅是中國執法機關面臨的問題，也是其他國家在偵查中碰到的難題。

作者認為，​討論的前提是，中國執法機關調取數據符合中國法律的規定。在這樣的前提下，因本地執法向蘋果調取中國用户的iCloud賬户中的數據時，中國政府已經不用像其他國家政府那樣，首先徵得美國的首肯。

洪延青：如何看待“iCloud中國賬户密鑰將存儲在中國”，原文如下：

筆者按：

這又是一篇蹭熱點的文章，但這篇文章又感覺很有寫的必要。因為和上一篇文章《美國Cloud Act法案到底説了什麼》非常相關，路透社2月24日報道的《蘋果將iCloud密鑰轉存至中國，引發人權方面的擔憂》（Apple moves to store iCloud keys in China, raising human rights fears）中涉及了執法跨境調取數據的問題。而這也是美國最高法院即將開庭審理的微軟和FBI一案的核心事項。路透社的報道暫時還沒有中文譯文，但是鼓勵大家看一下英文全文【附後】。

正文開始：

蘋果公司上月宣佈在中國的 iCloud 雲服務將轉由中國貴州的“雲上貴州”公司負責營運後，中外媒體就有一輪密集報道。2月24日，路透社的上述報道又“啓動”了新的一輪熱議。這次焦點主要是iCloud密鑰的存儲方式。在路透社報道中，iCloud密鑰（通過該密鑰就能訪問用户iCloud賬户的大部分內容）從未在美國之外的地方存儲。這次將中國用户的iCloud密鑰轉存至國內，是破天荒頭一遭。

蘋果公司和“雲上貴州”同為數據控制者

事實上，當蘋果公司決定和“雲上貴州”共同向中國用户提供iCloud服務時，在中國存儲iCloud密鑰是必然的一個步驟。

先看中國以外的世界其他地方，蘋果公司都是獨營iCloud，因此蘋果公司是單獨的數據控制者（data controller）。在蘋果最新版的《iOS Security, iOS 11》（January 2018）的第53頁中，蘋果給出瞭如下的説明：

第二段中蘋果提到了其使用了第三方雲存儲服務，例如S3和谷歌雲。但存儲於第三方雲的內容不包括“任何用户可識別信息”，僅僅是一堆第三方無法讀取的加密文件。蘋果會將用户文件的元數據（file’s metadata）和用於加密用户數據內容的密鑰（keys）存儲在iCloud賬户中。此時，第三方雲存儲提供者顯然是數據處理者（data processor）而已，而蘋果是唯一的數據控制者。

但是由於中國雲服務業務關於外資准入的監管要求，特別是工信部2016年年底徵求意見的《關於規範雲服務市場經營行為的通知（徵求意見稿）》明確要求：

雲服務經營者與有關單位開展技術合作，應向電信管理機構書面報告雲服務合作事項。合作過程中不得存在以下行為：

（一）以任何形式向合作者變相租借、轉讓電信業務經營許可證，以及為合作者非法運營提供資源、場地、設施等條件；

（二）由合作者直接與用户簽訂合同；

（三）僅使用合作者的商標和品牌向用户提供服務；

（四）違法向合作者提供用户個人信息和網絡數據；

（五）違反法律法規規定的其他行為。

因此，只能由“雲上貴州”和中國用户簽訂iCloud的條款與條件。該法律文件中第二段明確説明：“您在使用ICLOUD產品、軟件、服務和網站（合稱“本服務”）時受到您與雲上貴州大數據產業發展有限公司（“雲上貴州”）之間的本法律協議的管轄。”（見下圖）

因此，雲上貴州應當被視為中國用户數據的控制者，或者至少和蘋果一道被視為中國用户數據的共同控制者（joint controllers）。【關於此點，見協議中一句很彆扭的話：“凡提及雲上貴州之處，在蘋果公司提供支持的範圍內，應視為提及雲上貴州和蘋果公司”】但支持的範圍有多大，包括什麼？不得而知。

正是因為雲上貴州和蘋果的法律角色，才有了該協議中飽受爭議的一句新增條款：“您理解並同意，蘋果公司和雲上貴州有權訪問您在此服務中存儲的所有數據，包括根據適用法律向對方和在彼此之間共享、交換和披露所有用户數據（包括內容）的權利。”

我想，這樣的合作安排和法律角色，也是蘋果將密鑰轉存至中國的重要原因之一。雖然對上述合作安排蘋果很不願意（“While we advocated against iCloud being subject to these laws, we were ultimately unsuccessful,”），但是為了中國市場，蘋果已經做了這樣的選擇。

密鑰仍然由蘋果控制

根據路透社的報道，雲上貴州似乎還不是一個和蘋果法律地位平等的數據控制者，特別是在密鑰的控制和管理方面。

首先，密鑰就算移存至中國，仍然由蘋果公司單獨管理（Apple says the joint venture does not mean that China has any kind of “backdoor” into user data and that Apple alone – not its Chinese partner – will control the encryption keys.）。

其次，由蘋果公司（而非雲上貴州）單獨接收、處理中國執法部門調取用户數據的法律文件。（Any information in the iCloud account could be accessible to Chinese authorities who can present Apple with a legal order.）

再次，蘋果公司還會對其接收到的調取數據請求，反映在其透明度報告中，且蘋果不會對“批量的數據請求”作出響應。（Apple said requests for data from the new Chinese data centre will be reflected in its transparency reports and that it won’t respond to “bulk” data requests.）

由於從公開渠道無法得知就iCloud服務雲上貴州和蘋果的合作模式以及具體分工，因此本節分析就此打住。下面轉而討論密鑰轉存中國後對“跨境執法調取數據”的影響。

對跨境執法調取數據的影響

囉囉嗦嗦，終於進入寫本文的初衷。路透社的報道特別強調了一點：由於密鑰將存儲在中國，中國權力機關將不再需要通過美國法院來尋求iCloud用户的信息，而是能夠利用自己的法律系統來要求蘋果交出中國用户的iCloud數據。（That means Chinese authorities will no longer have to use the U.S. courts to seek information on iCloud users and can instead use their own legal system to ask Apple to hand over iCloud data for Chinese users）

原先為什麼要通過美國法院？因為所有的iCloud密鑰都存在美國，只有美國法院能夠強迫總部在美國的蘋果公司交出iCloud密鑰。也就是説，不僅是中國，世界上其他國家政府需要調取用户iCloud內的內容，都需要美國法院的首肯。在路透社的報道中，失去了美國法賦予的兩大保護：法院的獨立性和法院頒發搜查令的高標準，iCloud內容數據能夠輕易地被中國執法部門查閲，將引起人權方面的擔憂。

或許美國法確實對調取用户內容數據給了更高的保護標準，但一個不容忽視的問題是，僅僅是因為使用了蘋果的產品，中國用户之間的通信就應該一下子受美國法的“管轄”？

好人還沒問題，如果是兩個公民為在中國境內實施犯罪開展的通信內容或存儲的其他數據，因為使用了美國或是日本或是韓國公司的產品，獲取這些內容就需要符合美國或者日本或是韓國法律所規定的標準？顯然，這有失公允。

事實上，這不單單是中國執法機關面臨的問題。2017年5月，英國副國家安全顧問Paddy McGuinness在美國參議院司法委員會上作證（testify）指出：以往，位於英國境內的個人密謀在英國境內實施恐怖主義犯罪，英國警方能夠方便地監聽（intercept）他們之間的通信內容（例如電話、短信）。

但由於美國互聯網公司在英國市場的絕對優勢地位，這些恐怖主義分子越來越多地使用美國公司提供的通信產品和服務，例如從2013年5月起，英國政府處理的十來起恐怖主義案件都涉及美國公司的產品。對於英國政府提出的獲取通信內容的要求，不少美國公司明確表示只能通過雙邊司法協助程序。

以協助調取內容數據為例，美國的司法協助流程如下：一國向美國發送司法協助請求，由美國司法部統一接收並審核；審核通過後，司法部發往檢察官辦公室（U.S. Attorney’s office），檢察官辦公室需要從適格管轄區的法官處申請搜查令，然後由檢察官送達搜查令並獲得相應數據；檢察官辦公室和司法部前後審核數據後，再送達提出請求的外國政府。美國法官僅會在外國政府提交的搜查事由滿足美國國內下達搜查令的門檻，而非根據外國法律本身來判斷搜查令是否應當下達。

也就是説，本地人實施的本地犯罪，以往英國警方通過國內法律程序就能實施監聽，現在因為用了美國公司的產品，卻轉而需要符合美國法律規定的監聽或搜查的“門檻”，還徵得美國檢察官和法官的同意才能調取犯罪分子之間的通信內容，這還不算其中涉及的人力成本和“遙遙無期”的等待。【據美國學者研究，外國向美國政府提交法律協助請求，平均的處理時間要耗時10個月。】

正是在這個背景下，才有了Cloud Act草案中提出的允許“適格外國政府”（qualifying foreign governments）向美國境內的數據控制者直接發出調取數據的命令。當然，前提是符合一系列的門檻。【見美國Cloud Act法案到底説了什麼】

那通過中國的法律程序來要求蘋果提供中國用户的iCloud賬户內容數據是否正當？

**首先，中國不可能成為Cloud Act中的“適格外國政府”（qualifying foreign governments）。**因此，中國和美國之間還是隻能走雙邊司法協助路徑或者警務合作。在路透社的報道中，蘋果自己表示，從2013年年中到2017年年中，雖然收到了來自中國有關部門的176項調取數據請求，該公司一次也沒有向中國監管機構提供用户賬户內容。相比之下，蘋果對來自美國政府的8475項請求中的2366項作出了回應，提供了美國用户賬户內容。（From mid-2013 to mid-2017, Apple said it did not give customer account content to Chinese authorities, despite having received 176 requests, according to transparency reports published by the company. By contrast, Apple has given the United States customer account content in response to 2,366 out of 8,475 government requests.）可見跨境執法調取數據何其困難。

**其次，轉移至中國數據中心的用户基本上全部為位於中國境內的中國公民。**按照我自己的親身經歷，要將Apple ID地域轉換為中國境外，要麼註冊時的ip地址是境外的，要麼能提供外國的信用卡和支付方式。在中國的外國人可以輕易地通過後者將自己的Apple ID更換為境外。因此，這兩個方式基本上確保了“雲上貴州”只是服務“本地人”。那咱們本地人接受本地法律的管轄，很正常。

當然，**上述所有討論的前提是，中國執法機關調取數據要符合中國法律的規定。**這也是筆者的真誠期望。在這個前提下，因本地執法向蘋果調取中國用户的iCloud賬户中的數據時，中國政府已經不用像其他國家政府那樣，首先徵得美國的首肯。

碼了這些字，其實就想説一句話：暫時拋開我國雲市場準入政策不説，如果國際司法協助程序還不改革的話，要求數據本地化以方便執法調查、偵查就可能越來越普遍。中外莫不如是。

（原文鏈接在此，鏈接中附加了路透社的英文原文，想要閲讀，點我！）