Data Act vs CLOUD Act:誰真正控制您在雲端的數據?

歐洲Data Act與美國CLOUD Act就雲端儲存數據的存取權展開對抗。了解這場法律衝突、其實際影響,以及為何唯有技術上的不可存取性才能保障真正的數位主權。

|

閱讀時間:1 分鐘

Data Act vs CLOUD Act:誰真正控制您在雲端的數據?

多年來,世界一直建立在一個簡單的假設之上:數據擁有實體存放地點。若數據存放於都柏林的伺服器上,則適用愛爾蘭及歐洲法律。這一假設於2018年崩潰——美國通過了CLOUD Act,該法律賦予美國當局存取由美國企業所控制之數據的權力,無論這些數據實際儲存在世界何處。數年後,布魯塞爾以其自身的保護機制作出回應:Data Act現已全面適用,試圖限制第三國當局對歐盟境內數據的域外存取。

以下是這兩項法規的實際內容、它們產生衝突之處,以及為何在這場衝突中,唯有技術上的不可存取性才是真正可靠的保護。

美國CLOUD Act:以控制權而非所在地為基礎的存取

CLOUD ActClarifying Lawful Overseas Use of Data Act,釐清數據境外合法使用法案),於2018年3月通過,修訂了美國法律,新增18 U.S. Code § 2713條款。該條款要求任何電子通訊服務或遠端運算服務提供商,對其持有、保管或控制的通訊內容或相關紀錄,均須予以保存、備份或揭露,無論這些數據是否位於美國境內或境外

正是最後這一條款改變了一切。所採用的判準不再是伺服器的實體位置,而是母公司對其子公司所行使的控制權。因此,在歐洲營運數據中心的美國企業,即便數據完全儲存於歐洲境內,仍須遵從美國的調取要求。

歐洲Data Act:針對域外存取的法律屏障

規例(EU)2023/2854,即Data Act,於2024年1月11日生效,自2025年9月12日起全面適用,部分條款分階段延伸至2026年及2027年。其第32條直接規範了國際政府存取數據的問題。

該條文確立了一項明確規則:第三國司法機關或行政機構要求數據處理服務提供商轉移或提供在歐盟境內持有之非個人數據的任何裁決或判決,只有在以下情況下方可獲得承認與執行:該要求須依據現行國際協議,例如在請求國與歐盟之間、或請求國與相關成員國之間生效的司法協助條約(MLA)。

在缺乏此類協議的情況下,第32條規定了第二條途徑,但受到嚴格限制:只有在第三國的法律體系要求申請須具備充分理由、符合比例原則且具體明確——例如與特定人員或具體罪行之間存在清晰關聯——並且接收方的有據異議可提交該第三國主管法院審查時,外國裁決方可執行。

直接的法律衝突

問題是即時顯現的:CLOUD Act以企業母公司的控制權為基礎要求揭露,並無歐洲法律所要求的類似比例原則條件。相反,Data Act將此類申請的承認置於國際協議的存在或特定程序保障之上。一家在歐洲營運的美國企業,若收到美國當局傳送在歐盟境內託管數據的命令,便會陷入兩項相互矛盾的法律義務之間:要麼遵從美國命令而違反歐盟法律,要麼遵守Data Act而面臨在美國拒絕服從的後果。

這一張力並非理論層面的。它已被歐盟法院(CJEU)在兩項重大裁決中記錄在案,分別是Schrems I(2015年)和Schrems II(2020年)。在Schrems II判決中,CJEU裁定,依據FISA第702條Foreign Intelligence Surveillance Act,外國情報監視法)及第12333號行政命令開展的美國監控活動,不符合歐盟法律在比例原則方面所要求的最低保障,因此不能被視為僅限於嚴格必要的範圍。法院還指出,歐盟相關當事人缺乏有效的司法救濟途徑,違反了《基本權利憲章》第47條。此項裁決使此前規範歐盟與美國之間數據傳輸的Privacy Shield框架無效。

結構性風險:Harvest Now, Decrypt Later

除司法管轄權衝突之外,儲存於受美國法律管轄基礎設施中的數據還面臨一種更為隱蔽的威脅:所謂的Harvest Now, Decrypt Later (HNDL,即先收割、後解密)策略。其原理是,情報機構或敵對國家行為者即時攔截並儲存加密數據,靜待未來量子計算能力成熟後再行解密。

這一策略將對美國雲端基礎設施的長期依賴轉化為延遲的安全債務:今日視為機密的內容,在十年或十五年後可能變得可讀,而攻擊者無需採取任何額外行動,只需時間與耐心。

為何唯有技術上的不可存取性才是真正保障

法律分析與眾多合規專家的共識匯聚於同一結論:無論Data Act的法律框架多麼穩固,它終究是一份可能被地緣政治力量對比和外交壓力繞過、拖延或重新詮釋的文本。唯一不依賴任何未來談判的保護,是技術上的執行不可能性

採用Zero Knowledge架構,即服務提供商從不持有、也從不保管解密金鑰,可使調取令在事實上失去效力。沒有人能被迫交出其從未持有的東西。

這正是Arpokrat等生態系統所依循的邏輯:

  • 司法管轄中和:基礎設施託管於瑞士,受聯邦數據保護法(LPD/FADP)管轄,不在CLOUD Act域外效力的直接適用範圍之內
  • 無保管責任:Zero Knowledge架構使服務提供商完全無能力交出其從未持有的金鑰或內容
  • 降低身份識別暴露面:透過取消以電話號碼或電子郵件地址註冊的要求——這些識別符極易被FISA第702條所依賴的監控追蹤——用戶不再是可識別的訂閱者,而成為匿名的密碼學金鑰

監管鏈不止於訊息加密

合規分析中一個常被低估的要點:若底層作業系統——無論是Android還是iOS——持續在核心層面擷取元數據或遙測資訊,並傳送至受美國司法管轄的伺服器,則僅對通訊內容進行加密是不夠的。保護秘密需要對整個監管鏈實現完整閉合,從內容到底層硬體基礎設施本身。

正是出於這一原因,數位主權亦涉及對所用作業系統的審慎考量,而不僅限於訊息應用程式。在去谷歌化系統中,藍牙或GNSS地理定位等模組可直接在核心層面停用,從而消除任何應用層加密都無法彌補的實體攻擊向量。

後量子密碼學:一個已然啟動的進程

面對HNDL策略所帶來的威脅,採用後量子密碼學(PQC)標準已成為任何希望長期保障敏感數據機密性之人的必要之舉——無論是商業機密、職業通訊還是健康數據。依照當今傳統標準被認為穩健的加密方式,並不保證能抵禦未來十五年內預期出現的量子計算能力。


Data Act與CLOUD Act之間的衝突揭示了一個更宏觀的現實:數位主權不再能僅憑法律文本構建,無論這些文本多麼健全。它要求在每個層面閉合監管鏈,從加密協議到託管司法管轄地,再到作業系統本身。正是這種分層方法——而非對單一監管框架的信任——定義了今日真正意義上的設計原生數位主權。