蘋果公司境內存儲密鑰的法律效果再分析

筆者按：

在【美國Cloud Act法案到底說了什麼】和【如何看待「iCloud中國賬戶密鑰將存儲在中國」】兩篇文章中，筆者無奈於「由於從公開渠道無法得知就iCloud服務雲上貴州和蘋果的合作模式以及具體分工，因此本節分析就此打住」。但感謝環球時報的一篇獨家報道【蘋果在中國做了件事，果然又被外媒給說了！】，讓筆者掌握了更多的信息，而且能夠對雲上貴州服務協議中的一句話「您理解並同意，蘋果公司和雲上貴州有權訪問您在此服務中存儲的所有數據，包括根據適用法律向對方和在彼此之間共享、交換和披露所有用戶數據（包括內容）的權利。」做出相對比較完整分析了。

正文開始：

《環球時報》報道提供的新信息是：上述接近雲上貴州的知情人士25日告訴環環，只有在滿足相關法律監管要求，比如為打擊犯罪，公安部、省公安廳在提供合理的證據請求的時候，雲上貴州才會依法執行程序，把要求提供用戶數據的請求發送給蘋果公司，「絕對不會隨隨便便地透露用戶數據」。

另外根據路透社的報道：

根據路透社的報道，蘋果獨家控制和管理存儲在中國的iCloud賬戶密鑰。【見如何看待「iCloud中國賬戶密鑰將存儲在中國」】

首先，密鑰就算移存至中國，仍然由蘋果公司單獨管理（Apple says the joint venture does not mean that China has any kind of 「backdoor」 into user data and that Apple alone – not its Chinese partner – will control the encryption keys.）。

其次，由蘋果公司（而非雲上貴州）單獨接收、處理中國執法部門調取用戶數據的法律文件。（Any information in the iCloud account could be accessible to Chinese authorities who can present Apple with a legal order.）

再次，蘋果公司還會對其接收到的調取數據請求，反映在其透明度報告中，且蘋果不會對「批量的數據請求」作出響應。（Apple said requests for data from the new Chinese data centre will be reflected in its transparency reports and that it won』t respond to 「bulk」 data requests.）

以下的分析都建立於這兩篇報道內容都真實可靠的前提下，同時結合美國最高法院正在審理的微軟和FBI之間的法律爭議【見美國Cloud Act法案到底說了什麼】：

在與「雲上貴州」合作之前

蘋果公司統一將所有iCloud賬戶內容加密，存儲於全球各地的數據中心或提供存儲服務的第三方雲服務商，同時將密鑰（通過該密鑰就能訪問用戶iCloud賬戶的大部分內容）僅僅存儲於美國。【「All iCloud content data stored by Apple is encrypted at the location of the server. When third-party vendors are used to store data, Apple never gives them the keys.Apple retains the encryption keys in its U.S. data centres.」，見蘋果的Legal Process Guidelines: Government & Law Enforcement outside the United States，第10頁, https://www.apple.com/hk/en/privacy/government-information-requests/】

這樣的設計導致的結果就是只有美國法院能夠強迫總部在美國的蘋果公司交出iCloud密鑰。換言之，不僅是中國，世界上其他國家政府需要調取用戶iCloud賬戶內的內容，都需要走司法協助的路徑並取得美國法院的首肯。

以上這一點，在蘋果自己的Legal Process Guidelines: Government & Law Enforcement outside the United States 第10頁說得很明白：「All requests from government and law enforcement agencies outside of the United States for content stored in our data centers in the United States, with the exception of emergency circumstances (defined above in Emergency Requests), must comply with the United States Electronic Communications Privacy Act (ECPA) 」。其中「存儲通信法案」（Stored Communication Act）就是ECPA的第二章。

這樣的安排使得位於美國的蘋果總部成為全球iCloud賬戶內容數據的唯一數據控制者。法律效果：

從境外調取的方面來說，既然密鑰是在美國境內，那美國政府通過法律程序自然能夠強迫蘋果交出全球用戶的iCloud內容數據。【這點是從蘋果沒有像微軟那樣將FBI告到法院推斷出來的。但從許多美國公司的標準做法來說，一般都是配合美國執法機構。】

從「防」境外拿的角度，SCA禁止蘋果（作為美國的數據控制者）向外國政府直接提供內容數據。就拿中國來說，蘋果公司從2013年年中到2017年年中，收到了來自我國有關部門的176項調取數據請求，但蘋果沒有一次提供用戶賬戶內容數據。同期，蘋果對來自美國政府的8475項請求中的2366項作出響應，提供了用戶賬戶內容。

在與「雲上貴州」合作之後

2018年年初，蘋果公司做出了全球範圍內的唯一一次「妥協」。在中國以外的世界其他地方，蘋果公司都是獨營iCloud服務，是單獨的數據控制者。但在中國，是由「雲上貴州」和中國用戶簽訂iCloud的條款與條件，因此「雲上貴州」應和蘋果一道被視為中國用戶數據的共同控制者（joint controllers）。同時，蘋果公司決定將中國區用戶的iCloud密鑰也在中國境內存儲，但繼續獨家管理iCloud密鑰，並處理中國執法部門調取用戶數據的法律要求。

結合《環球時報》提供的新信息，分工如下：雲上貴州對接中國執法部門，如果數據請求合法正當，將請求轉交給蘋果公司（獨家掌握密鑰），然後蘋果公司對中國區iCloud賬戶內容加密，提供給雲上貴州，然後雲上貴州提供給中國執法部門。

為什麼要通過雲上貴州？這樣做的法律效果是什麼呢？為什麼協議中要有這句話「您理解並同意，蘋果公司和雲上貴州有權訪問您在此服務中存儲的所有數據，包括根據適用法律向對方和在彼此之間共享、交換和披露所有用戶數據（包括內容）的權利。」

如果中國執法機構直接對蘋果中國發出iCloud賬戶內容數據調取命令，蘋果中國還是要將數據請求發往美國總部，而且美國的SCA法案禁止美國的數據控制者向外國政府交出內容數據。這才有了路透社報道中的蘋果公司從2013年年中到2017年年中，收到了來自我國有關部門的176項調取數據請求，但蘋果沒有一次提供用戶賬戶內容數據。

但是如果中國執法機構向雲上貴州發出iCloud賬戶內容數據調取命令，雲上貴州是個中國公司，所以沒問題。但云上貴州沒有密鑰，只能將請求轉給蘋果。當蘋果解密中國區iCloud賬戶內容數據後，注意，不是向中國執法機構提供，而是向雲上貴州提供，因此，不觸犯SCA禁止向外國政府提供內容數據的要求。

但是SCA是否允許美國數據控制者將內容數據提供給私主體？在SCA §2702 (b)

「獲得了發送方/通信對象/預期的接收方的合法同意，或獲得了遠程計算服務的訂閱用戶的合法同意」，則可向任何人提供。

因此，為了獲得用戶同意，所以在協議中有了這句話：「您理解並同意，蘋果公司和雲上貴州有權訪問您在此服務中存儲的所有數據，包括根據適用法律向對方和在彼此之間共享、交換和披露所有用戶數據（包括內容）的權利。」

至此，用戶給了同意。

因此，蘋果公司與雲上貴州之間的合作，合法地滿足了美國SCA法案的要求。內容數據到了雲上貴州後，就完全遵循中國法律了。環球時報中的消息人士強調，只有在公安部、省公安廳在提供合理的證據請求的時候，因此雲上貴州自然應該將數據提供給公安部、省公安廳。這樣，原本中國執法機關在蘋果面前的閉門羹，通過雲上貴州就能得到滿足。

美國最高法院如果採用了「數據存儲地標準」

如果美國最高法院採用了數據存儲地標準，則中國用戶iCloud賬戶內容和密鑰都可以躲開美國政府的直接調取；

對存儲於其他國家的用戶數據來說，美國政府雖然能通過國內法律流程拿到密鑰，但是只能走司法協助等國際合作形式拿到存儲於其他國家的加密數據，所以多了一道困難。

美國最高法院如果採用了「數據控制者標準」

先看從境外調取數據，由於蘋果公司還是中國用戶的共同數據控制者之一，單獨管理著密鑰，同時也管理著中國區iCloud賬戶內容的加密數據包，如果美國最高法院採用了數據控制者標準，美國政府還是可以要求蘋果公司提供存儲於中國的數據，蘋果公司也有義務提供。

註：以上所有的分析僅限於iCloud賬戶內容數據，其他類型的數據需要另外分析。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！