转载自:尚权刑辩
网络空间的去地域化引发刑事侦查跨境数据取证的频繁化,在传统国际刑事司法协助机制难以及时有效满足取证需求的背景下,向谷歌、苹果、推特、脸书、微软等网络信息业者直接调取数据成为代表性的改革模式。该模式依赖于刑事侦查机关与网络信息业者的紧密协作,但在提高取证效率的同时,亦存在主权冲突、合规困境和认知错位等制度与实践障碍,并对网络信息产业整体生态产生深刻影响。障碍的化解需要建立在尊重主权和遵守相关国家法律规定的基础之上。在各国尚未废弃数据主权的属地属性的前提下,直接向网络信息业者跨境取证的模式应当具备国际协议等正当性基础,并协调国内法形成统一立场;在立法过程中为刑事侦查取证设置相对独立的个人信息保护、网络或数据安全等方面的规则;在司法实践中推进侦查机关与网络信息业者双方在认知层面和机制层面的协同。
关键词:跨境数据取证、刑事司法协助、执法管辖权、合规困境、认知协同
一、引言
网络信息技术深刻转变了刑事司法的外部生态和内部逻辑,网络犯罪与传统犯罪的界限逐渐弱化,而电子数据也成为各类犯罪中广泛存在甚至关键的证据类型。原先基于物理场域系统建构的针对传统犯罪的刑事诉讼制度难以及时有效地应对如此大规模的犯罪转型,犯罪与犯罪治理之间错位日益明显。刑事跨境数据取证是这一错位关系的集中体现。网络空间的弱地域性与刑事执法管辖权的强地域性之间反差鲜明,并且这种反差已经演变为刑事司法的新常态,而流程漫长、程序繁冗、强地域性的传统国际刑事司法协助机制已经难以有效满足司法实践的要求。在此背景下,向网络信息业者跨境取证模式应运而生。网络信息业者作为主要的数据占有者或控制者,基于其所掌握的技术和资源优势,越来越多地成为执法机关调取数据的对象。这种新跨境取证模式的优势在于高效,但同时也会面临制度和实践障碍,例如管辖权冲突、诉讼规则冲突、数据控制者合规冲突等。如何建构正当合理有序的刑事跨境数据取证规则,在平衡主权、安全、和人权等多项价值的基础上,形成侦查机关与数据控制者之间的良性互动,是当前亟待分析和探索的重要议题。从我国当前的学术研究积累来看,与该问题紧密联系的刑事诉讼法学研究成果相对较少,一定程度上导致了现实执法需求与现有理论积累的偏差。[1]2019年乌镇举办的第六届世界互联网大会发布了概念文件《携手构建网络空间命运共同体》,提出在尊重网络主权的前提下,“实现网络空间资源共享、责任共担、合作共治,建立公平正义的网络空间秩序”。在联合国即将启动犯罪治理国际新规则体系建构的背景之下,能否及时进行相关议题的理论和规则探讨,以形成充分的理论准备和智力支持,是践行概念文件“积极推进全球互联网治理体系变革”的关键。[2]2019年12月28日,联合国正式批准了由中国、俄罗斯等国牵头起草的决议,计划于2020年建立起特设专家委员会,联合国际力量“打击为犯罪目的使用信息通信技术”,并启动联合国框架下打击此类犯罪的国际公约的起草工作。新国际规则的建构需要中国的积极参与,中国也需要及时做好理论准备,通过联合国机制扩大发展中国家参与网络空间国际治理的代表性和发言权。有鉴于此,本文试图从刑事诉讼法的视角入手,基于我国当前刑事诉讼法律规定和司法实践情况,并通过观察联合国、欧盟、美国和网络犯罪《布达佩斯公约》等相关制度的最近进展,对数据控制者跨境取证模式的源起、障碍和应对路径进行分析,从而为我国下一步探索刑事跨境数据取证制度提供理论准备。本文第一部分从传统的国际刑事司法协助机制入手,探讨向数据控制者取证的制度源起;第二部分结合国内外立法与司法状况,分析当前向网络信息业者跨境取证的源起和主要模式;第三部分集中探讨向网络信息业者取证模式中的三项障碍及应对;第四部分回归我国刑事诉讼制度框架,提出向网络信息业者跨境数据取证的立法和机制设想。
二、问题源起:传统机制与实践需求的错位
(一) 一个前提:司法管辖与执法管辖的分野
跨境取证并非刑事侦查取证的全新情况,但其既有制度相对复杂。这种复杂性首先源于刑事管辖制度。我国《刑法》和《刑事诉讼法》均包含管辖权的规定,但两者规制的对象和建构思路应予以区别。《刑法》的管辖权规定主要是从主权国家间关系入手,无论是属地管辖、属人管辖、保护管辖还是普遍管辖,针对的都是犯罪本身。《刑事诉讼法》对于管辖的规定则主要着眼于主权国家内部权力机关之间的权限划分,针对的是刑事司法权力机关及其职权行为。《刑法》中的管辖权规定关注的是主权完整,因此具有较强的地域性和刚性;《刑事诉讼法》的管辖权规则关注的则是分工配合,因此一方面着重于不同类型权力机关及权力机关内部的层级划分,另一方面尽管也做地域划分,但灵活度和可协调度则较强。概括而言,《刑法》之管辖权主外,而《刑事诉讼法》之管辖权主内;《刑法》之管辖权重主权,而《刑事诉讼法》之管辖权重公权。《刑法》与《刑事诉讼法》的管辖权规定在规制对象和规制思路上的差异,加之网络犯罪这一概念本身的模糊性,使得早期关于网络空间管辖权的探讨主要从刑事实体法入手,并集中关注于网络犯罪行为本身。然而,《刑法》基于国家主权对犯罪行为的管辖权界定,并不能直接套用于刑事侦查取证行为,根源在于犯罪行为与执法行为之间并不必然存在地域上的一致性。换言之,我国司法机关基于《刑法》具有针对犯罪的管辖权,并不意味着执法机关同样具有执法管辖权。网络信息技术使得司法管辖权与执法管辖权的错位更为明显。在物理场域中,犯罪活动与侦查行为之间的重合度相对较高,在于犯罪发生后证据的时空分布状态相对集中、一致和稳定。[[1]]因此从充分和高效收集证据的角度出发,传统的刑事诉讼规定原则上将侦查取证的管辖权归于犯罪地的侦查机关。[3]在“犯罪地”指向的多种具体类型的法律规定之下,国内侦查取证出现侦查机关超出管辖地域执法的情形有限;当出现异地执法需要时,基于执法管辖权的整体性,执法机关可以通过个案中的异地办案协作方式侦查取证。[4]但是如果涉及域外证据材料的收集,即便本国对该犯罪享有司法管辖权,刑事侦查行为原则上也需要通过国际刑事司法协助等特殊方式进行。长期以来,司法管辖权与执法管辖权相对一致,因此刑事诉讼法较少关注域外执法规则,司法实践中面临的挑战也相对较小。我国1996年《刑事诉讼法》第17条对于国际刑事司法协助进行了原则性规定,时至今日,立法者未对这条规定做任何修订或制度化建设。但是,网络信息技术的发展深刻改变了刑事执法的运行逻辑。与物理场域相对比,虚拟空间的去地域性使得可能作为刑件证据使用的电子数据呈现出分散分布和高速流动的特征,犯罪地与证据材料所在地相分离成为常态。根据现有刑事诉讼管辖权的规定,针对位于我国境内的电子数据,我国侦查机关享有执法管辖权,可以对其进行收集提取。[5][[2]]但问题在于,伴随着互联网的全球联通,电子数据的分布呈现出鲜明的国际化特征。在社会生活高度数字化、网络化的背景下,电子数据证据已经成为各类犯罪中最为常见的证据类型,这意味着过去位于制度边缘的跨境取证逐渐普遍化,成为当前刑事侦查取证的新常态,集中体现在国际刑事司法协助机制的困境之中。
(二)一个现状:刑事司法协助机制的困境
在新常态之下,国际刑事司法协助明显捉襟见肘,其所面临的挑战主要集中于以下四个方面。首先,国际刑事司法协助制度 “极其复杂、缓慢和官僚化”,[[3]]在数据高速流动的今天,这种迟缓极大阻碍了犯罪的有效控制和侦查,例如我国近些年高发的经由网络实施的诈骗、[6]侵犯知识产权案件、[7]传销[8]等犯罪,犯罪分子为逃避侦查,往往将服务器设置于境外进行运作,“一旦发现被侦查,立即关闭境外服务器,致使公安取证难。”[9]同时,犯罪危害的扩散速度也伴随网络空间中数据的快速传输而成几何式增长,侦查机关能否及时保全和调取数据就变得尤为关键,而程序繁冗、执行缓慢的国际刑事司法协助机制难以有效应对。其次,国际刑事司法协助制度的强地域性与网络空间侦查的弱地域性相矛盾。承袭自国家主权的地域性,国际刑事司法协助地域性既表现在主观层面,即请求国在发出请求之前应确信目标证据材料位于被请求国境内,也表现在客观层面,即目标证据材料往往确定并完整位于被请求国境内。但是在网络环境中,无论请求国还是被请求国均存在确认目标数据所在地的困境。例如云计算的大规模推广适用意味着在刑事案件中被指控人、被害人、数据存储地、云服务提供者注册地等分属不同国家或地区将成为常态。[10][[4]]同时,刑事执法管辖权的地理边界促使犯罪分子或将犯罪活动迁往境外,[[5]]或通过暗网等隐藏具体位置。[[6]]此时作为取证对象的数据的实际位置难以及时查明,更不用说向相关国家提出刑事司法协助请求。再次,国际刑事司法协助以被请求国确有权力和能力代为取证为前提。这是由于在物理场域下,物理边界可以有效限定证据和取证行为:一方面,控制物理入口往往意味着控制证据的可获取性,被请求国控制物理入口,意味着通常情况下有能力控制其中的证据材料;另一方面,这种限定也意味着一般情况下涉案证据能够与其他无关材料相分离,从而避免对被请求国公民或组织的正当权益形成不当干预。在网络环境中,物理边界的限定作用被严重削弱,数据的物质载体无法有效限定和区分其中的数据类型、体量和相关性。换言之,即便数据载体位于被请求国境内,也并不意味着数据位于其境内,更不意味着被请求国能够获取该数据。[[7]]最后,传统刑事司法协助制度主要应对的是国家主权障碍,但在数字侦查语境下,利益关系复杂化,数据本身牵涉到国家关键基础资源的争夺,例如数据安全、网络安全、个人信息保护、网络产业发展等。刑事司法协助协议通常会就本国主权或安全设置协助例外,例如中国与英国的刑事司法协助条约明确规定,如果被请求方认为执行请求将损害本国主权、安全、公共秩序或其他重大利益,则被请求方可以拒绝提供协助;我国《国际刑事司法协助法》也同样在第15条中做了相应规定。在传统域外刑事取证过程中,由于目标证据材料的相对明确和独立,国家主权以及国家或公共利益的判断相对容易判断或评价,因此以上例外规定仍然具有较强的可执行性。但在网络信息社会中,占有数据本身即可形成利益,大数据分析等技术进一步使得这种占有与数据类型脱钩。同样基于数据的资源属性,在网络空间中,各国并非采用外层空间等区域的联合共治模式,而是努力试图在主权方面作出超地域的扩展。从这个意义上讲,传统管辖权是划界之后的消极防守,现在则转化为各国的全面进攻,使得以往偶然发生的管辖权冲突变得频繁和主动。
三、思路变革:数据控制者取证模式
(一)网络信息业者取证的制度动因
网络空间的去地域性特征、电子数据证据成为新的“证据之王”、传统国际刑事司法协助机制的固有缺陷,三者相结合,使得刑事侦查面临巨大挑战。2018年的微软爱尔兰案已经充分表明,即便针对各类管辖权连接点均在本国境内的纯“本国案件”,由于电子数据证据位于境外,普通侦查也也进而转变为跨境执法。[11]该案仅涉及静态数据。如果针对动态数据,那么执法管辖权与证据材料分布在地域上的错配将更为明显,国际刑事司法协助机制的短板亦将愈加凸显。对于数据而言,以证据材料本身的地域性来划定执法管辖权,难以有效回应网络执法现实需求。因此越来越多的国家和地区开始转变思维,试图从控制或占有数据的网络信息业者入手,来建立执法管辖权的连接点。以网络信息业者为取证对象的跨境取证主要涉及两种情形:第一种情形是网络信息业者位于境外;第二种是目标数据位于境外。就第一种情形而言,又可以进一步划分为两种具体类型。第一种类型是数据位于本国境内,此时执法机关明确享有执法管辖权,但由于执法能力不足,需要通过境外网络信息业者进行取证。第二种类型是侦查人员无法确知数据所在地,或者探明其所在地的成本过高,从而需要依靠境外网络信息业者协助取证。就数据位于境外的情形而言,又可以进一步划分为网络信息业者为本国机构和外国机构两种类型。当网络信息业者为外国机构时,向其调取境外数据取证则存在双重跨境。此外,在实践中,侦查取证可能涉及多种数据,这些数据的存储或处理位置可能分散位于不同国家或地区,此时跨境执法活动面临的问题将更为复杂。跨境取证的管辖连接点之所以从数据所在地转向网络信息业者所在地,是建立在网络信息业者的三个重要特性之上。首先,相对于数据而言,网络信息业者的地理位置更容易确定,也因此更容易与执法管辖权建立起相对明确的连接点。这种对比在涉及云计算和动态数据的情况下更为明显,特别是数据实际位置不明的情况下,侦查机关甚至难以根据国内法获取必要的执法令状。同时,从执法管辖权的属人连接点角度出发,以网络信息业者为取证对象,易于嵌入到本国现有执法管辖权法律框架之中。其次,相对于执法机关而言,网络信息业者具有技术、资源和业务优势。正如DanielJ. Solove所言,“我们的社会已经变为记录的社会,但这些记录不在我们自己手中,而是在第三方那里。”[[8]]正是这种优势使得网络信息业者更为了解自身业务所采用的技术特点、占用或控制的用户数据类型、分布状况和数据状态,进而能够更为高效和准确地收集相关数据。实践中,有些数据甚至只能通过网络信息业者获取,这在涉及网络电信诈骗等案件中尤为常见,而我国国内网络信息业者愈发强化的协助执法义务,同样反映出这一趋势。[[9]]这意味着即便各国侦查机关之间能够通过直接警务合作跳过司法协助的复杂程序,数据所在国侦查机关仍然需要借助网络信息业者的协助才可能获取被请求的数据,从而其取证效率仍然会相对较低。再次,相对于侦查机关,在全球范围内广泛开展业务的网络信息业者,藉由其日常经营活动,往往更为系统、综合地了解境外法律规定,其规则敏感性更高。例如自2016年欧盟通过GDPR到2018年正式实施,期间各大互联网企业纷纷针对该《条例》调整自身产业政策,其敏感度远高于执法机关。这种敏感性使得取证过程中的法律冲突风险点能够在更为便捷、动态的过程中加以识别和处理。
(二)向网络信息业者取证的类型化
网络信息技术在世界范围内发展和应用不平衡,尽管扩张本国既有管辖权是普遍意图,但向网络信息业者跨境取证存在多种制度样态。根据执法管辖权与网络信息业者的连接点不同,这些样态主要可以划分为两种模式:其一是网络信息业者的实体本国模式;其二是网络信息业者的虚拟本国模式。第一种是实体本国模式,即向本国网络信息业者直接调取案件所需境外数据。此时,作为取证对象的网络信息业者的注册地或者主要运营地在本国,因此从法律上可以将其视为本国公民,因此其本质仍然是属人管辖权。主体本国模式的优势在于,仍然将侦查取证行为从形式上收归到本国既有的执法管辖权之下。至于该模式下,侦查机关具体能够通过何种程序向数据控制者获取何种类型的数据,则取决于其本国法的具体规定。例如美国未修改前的《存储通讯法》(StoredCommunication Act)允许本国刑事执法机关基于行政令状向本国注册的企业收集其用户的非内容信息。如果取证对象是内容信息,则需要司法令状予以许可,同时该令状不具有域外效力。正是由于针对不同数据类型制定了不同的取证程序、划定了不同范围的效力,才引发了微软公司与美国执法机关之间旷日持久的争议,进而促进了《云法》的制定。第二种是网络信息业者的虚拟本国模式,主要针对的是网络信息业者非本国机构的情形,核心是以行为界定主体之管辖,有学者将其称为“虚拟存在”(virtualpresence)。[[10]]在该模式下,侦查行为通过网络信息业者在该国境内实施的业务行为而形成地域上的管辖连接点。相关业务行为大致可以划分为两类:其一是在取证国设立代表机构或拥有其他设施;其二是服务于取证国市场或在取证国开展活动。其中,前者介乎于主体本国模式和行为本国模式之间,相对容易确定其地域管辖;相比之下,后者则语义模糊。例如欧盟GDPR采用的表述是在欧盟境内“有效且真实开展活动”,包括但不限于设立地方网站、投放广告、支持当地货币、市场或用户调查等行为。[12]行为范围涵盖之广,以至于有学者将其描述为“全覆盖”模式(just-about-anything-is-covered)[[11]]。例如在雅虎比利时案中,[13]比利时最高法院则认为,尽管雅虎未在比利时境内设置任何机构,但该国法律规定的数据披露义务适用于“任何积极向比利时用户开展经济活动的网络运营者或服务提供者”。向网络信息业者跨境取证的具体模式因地而变,尤其表现为美国和欧盟地区的差异。其中,美国围绕《云法》推进的主要是实体本国模式,而欧盟地区在主体本国模式之外,更多强调了虚拟本国模式的应用。为提升本区域内部网络空间刑事执法效能,促进刑事电子取证活动,欧洲委员会于2018年起草了《涉刑事电子证据提取和存留命令条例(草案)》[14](下文简称《刑事电子证据条例(草案)》)和配套的《协调刑事诉讼中指定取证法定代表人的规则的指令(草案)》[15](下文简称《代表人协调指令(草案)》)。其中,《刑事电子证据条例(草案)》的核心措施是在特定条件下,由请求国的适格机关直接向相关信息或网络服务提供者或其在欧盟境内的代理人发出针对特定数据的“欧盟提取命令”(EuropeanProduction Order,EPO)或“欧盟存留命令”(EuropeanPreservation Order,EPO-PR)。根据两份文件草案,只要网络服务提供者在欧盟境内提供服务,成员国相关机关可以直接向其发出这电子证据提取和存留命令。之所以形成两种模式在美欧之间的不同取舍,在于在当前互联网经济格局下,网络信息业者在世界范围内的分布相对集中,特别是大型互联网企业,多集中于美国,这也构成美国强推《云法》体系的重要基石。在此背景下,对于互联网经济相对较弱的国家和地区而言,实体本国模式进行侦查取证无疑具有其局限性,而虚拟本国模式则提供了更为宽泛的管辖权扩展空间。
四、现实障碍:主权、合规与认知协同
实体本国模式和虚拟本国模式均能够为一国侦查机关向网络信息业者调取数据提供本国法意义上的形式正当性和合法性基础。问题在于,扩张执法管辖权并不等同于实质上可以获取到证据;相反地,各国采用不同模式扩张执法管辖权会产生并激化一系列制度冲突,进而阻碍侦查取证活动。具体而言,这些障碍集中体现在三个方面:第一是主权冲突问题;第二是合规困境问题;第三是认知错配问题。
(一)障碍一:主权冲突
当谈及跨境取证时,相关争论往往首先指向主权冲突,即从主权边界的地域性和侦查行为的跨地域性之间的错位为出发点,探讨数据是否构成主权地域性的例外,进而分析跨境取证是否构成对他国主权的侵犯。[12]即便在具体案件中外化为网络信息业者与侦查机关之间的争议,其实质仍然是主权国家的主权冲突。对此,首先需要明确的一个前提是,尊重主权是底线要求,但并不排除各国在互相尊重主权基础上开展合作。进一步讲,跨境取证与尊重主权之间并非相互排斥。事实上,在全球化的大背景下,主权这一概念只有放置在参与国际交往和国际社会治理的语境中,才有其现实意义。中国提出的“网络主权”和“网络空间命运共同体”两个概念,提倡的即是尊重主权基础上的国际开放合作。基于此,探讨的重点不是跨境取证是否能具有管辖上的正当性基础,而是如何避免跨境侦查不当干预其他主权者对网络空间的管制。更进一步讲,争议重心不在于跨境取证是否会侵犯他国主权,而是判断何种跨境取证行为构成对他国主权的侵犯。一直以来,“主权”始终是一个模糊概念,并且其内涵和外延在网络空间中被进一步复杂化。但正如德国总理默克尔所言,“当我们还在争论数据主权的哲学问题时,世界已经从我们身上碾压而过”。[16]因此,更为关键的问题是,主权这一概念为跨境执法设置了哪些底线性要求。无论采用各种定义,主权一般包含三个共通要素:第一是主权的至高性;第二是主权的独立性;第三是主权的地域性。[[13]]主权者在特定地域范围内的自决权和排除外部干预的权力,这种权力自然延伸至本国境内的数据。[17][[14]]主权的这些要素一方面构成现代国际交往以及国际规则体系的静态基准,另一方面也催生出主权冲突语境下的动态协调机制。这些动态协调机制既可以建立在统一的国际规则基础上,又可以依赖于国际礼让原则而具体适用。无论通过何种方式,主权冲突的解决均应建立在主权者同意的基础之上,刑事司法协助机制正式典型例证。需要说明的是,关于数据主权与主权地域性之间的关系,一直存在争议,核心问题在于一国对于数据的主权是否可以突破主权地域性的限制。对此,主要存在数据例外和数据非例外两种观点,[[15]]其背后是对于网络空间整体治理秩序的不同认知,是对网络空间地域性的不同假设。然而正如MiltonMueller在其著作中指出的那样,网络空间是整体化还是碎片化,一方面固然取决于技术因素,但另一方面更多取决于制度因素。[[16]]可以观察到的是,随着近些年世界不同国家和地区纷纷制定各自的网络治理政策和法律,早先对于全球网络一体化和超地域性整体治理体系的预测已经逐渐被打破,2019年俄罗斯实施的“断网”测试就是典型例证,而为世界多国采用的数据本地化政策也使得网络分割更为明显。在此背景下,网络空间及数据的地域性特征非但不会消除,反而会通过其他方式建立起来,代表性做法就是将数据的地域性转移到数据控制者的地域性上去。从跨境取证的执法管辖权来看,这里只是发生了域外取证传统连接点的重心转移:针对境内数据仍然可以适用属地管辖;而针对境外数据的属地管辖则转换为了针对数据控制者的属人管辖,并且就属人的含义进行了扩充。从这个角度来讲,当前对于跨境数据取证的主权性争议并非要求突破基于主权的管辖权的基本理论,而是源于连接点重心移转后,细化规则的缺失和调整不及时。基于以上认知,从主权概念的要素出发,在尊重一国主权基本原则之下,我们至少可以推演出两项底线性规则:其一是干预他国主权的行为应当具备国际法意义上的正当性基础,其对应的消极要求是禁止不具有正当性基础的跨境执法行为;其二是干预他国主权的行为应当遵守他国法律,对应的消极要求是禁止违反他国法律实施跨境执法行为。
1.跨境取证的正当性基础
之所以强调是国际法意义上的正当性基础,在于一国本国的法律规定并不足以成为本国干预他国主权有效的法律依据。一般而言,这种正当性基础指向的是国际条约、国际习惯、各国普遍承认的一般法律原则等国际法渊源,其效力根据源自以主权国家为主的国际社会行为体的意志协调,例如我国与他国司法机关开展刑事司法协助的基础是国际条约或者互惠原则;具体到调查取证,则一般需要通过有关国际条约、协议规定的联系途径、外交途径或者国际刑事警察组织渠道开展。[18]在认同一国对本国境内数据的属地管辖的前提下,在未经主权国家任何形式同意的情况下,他国侦查机关直接跨境收集该数据则原则上构成对数据所在国主权的违反,违反的严重性则取决于该数据与数据所在国的国家安全、公民基本权利、社会公共利益等因素的联系程度。从这个角度讲,我国2016年“两高一部”《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(下文简称《电子数据规定》)中,针对境外存储介质或远程计算机信息系统进行直接网络在线提取数据的规定,本身即有干预他国主权之嫌,也与《刑事诉讼法》的相关规定不相符。[17]2018年《国际刑事司法协助法》第4条第三款禁止外国机构、组织和个人在我国境内进行包括调查取证在内的刑事诉讼行为,两规定之间的冲突尤为明显,这也进一步促成了2019年公安部在制定《公安机关办理刑事案件电子数据取证规则》(下文简称《电子取证规则》)时的立场转变。未经数据所在国许可进行的直接跨境数据取证尽管触犯他国主权,但基于国际法既有理论和规则,并结合当前跨境数据取证的一些实际做法,这种触犯通常存在三种的例外免责情形:其一是危难或危急情况;其二是无主观过错或善意;其三是合比例性。第一种常见免责情形是危难或危急情况。当犯罪行为危及国家和社会公共安全、公民重大人身财产利益、未成年被害人等时,调查取证的紧迫性使得未经数据所在国许可的跨境取证被正当化。例如在荷兰的Descartes案中,警方在侦查儿童性虐待图片传播犯罪时,追踪到这些图片的存储服务器极可能位于美国,为了及时阻止这些图片进一步传播扩散,荷兰警方没有请求美国刑事司法协助,而是直接进入该服务器移除了相关图片。[19]第二种常见免责情形是善意或无主观过错。该情形主要指向的是在数据位置不明的情况下侦查人员在追踪数据过程中非故意地造成跨境取证事实,上文提及的暗网侦查便是典型例证。当前一些国家和地区允许在无法判断数据所在地情况下的善意跨境取证,例如美国FBI通过使用类似黑客技术和恶意软件技术的网络侦查技术(NetworkInvestigative Technique, NIT)对所在地不明的数据进行收集提取。[20]为强化该措施的合法性,美国在2016年底修订了《联邦刑事诉讼规则》第41条,正式确认了远程搜查令(remotesearch warrant)的合法地位,允许侦查机关在目标数据或存储介质所在地不明或因技术原因无法阐明的情况下,对该数据或存储介质进行远程搜查。类似地,网络犯罪《布达佩斯公约第二附加议定书(草案)》也将极端紧急情况和善意跨境纳入跨境直接取证的许可情形。第三种常见免责情形涉及到比例原则的应用,即对于执法行为的必要性与可能造成的损害之间进行衡量,在必要性重大而损害微小的情况下,也可以允许不经同意的跨境直接取证。对此,典型的情形是针对已经在互联网上公开的公共数据,因其公开性而对国家安全、公共利益和公民权益的干预甚微,侦查机关可以直接调取数据,而无需考虑其实际存储地是否位于境外。我国公安部《电子取证规则》第23条就将网络在线提取的范围限定于“公开发布的电子数据”和“境内远程计算机信息系统上的电子数据”;[21]而网络犯罪《布达佩斯公约》第32条也允许执法机关直接调取“公开来源的公共数据”。三种例外情形一般仅限于侦查取证行为实施当时的合法性判断,并不具有延续性,也并不免除侦查机关通过正当途径获取数据所在国同意的义务。例如上文提及的美国新修订的《联邦刑事诉讼规则》第41条,侦查过程中如果发现目标数据处于境外,则该条项下的搜查令即时失效。[22]与之相类似的,《欧盟侦查令指令》也要求对位于他国的侦查对象进行电子通讯监听时应当及时通知该国;监听时无法获知相对人具体位置的,,应当在获知位置之后立即通知,此时相对人所在国有96小时时间予以拒绝。总结以上分析,在各国尚未废弃数据主权的属地属性的前提下,我们形成三项基本结论。首先,未经该数据所在国的同意,侦查机关原则上不应当直接跨境收集提取该数据。其次,尽管在特殊情形下允许基于善意或紧急情况的跨境执法行为,但这些情形应当进行个案评价,并且需要后续措施加以补救。再次,向网络信息业者跨境取证一定程度上能够弱化跨境直接取证对他国主权的不当干预,转移管辖权连接点的制度设计本身已经在调和数据的弱地域性和主权的强地域性之间的冲突。2.跨境取证对他国法律的遵守在向网络信息业者跨境取证的制度设计中,存在多种形态的法律冲突,一些属于一国内部不同法律规定之间的协调问题,笔者将在之后的合规冲突部分进行进一步分析。另一些冲突则与他国的法律自治相关,由此再次上升至主权层面。其中,最为典型和激烈的冲突源自于一国对本国公民自愿协助外国执法的禁止性规定。从当前世界各国的立法来看,限制或者禁止本国企业基于自愿向外国执法机关提供数据是普遍做法。例如美国《存储通信法》原则上禁止美国网络服务提供者向国外执法机关提供通信内容数据和用户记录,除非两国之间存在依据《云法》签署的行政协议。与之相类似的,欧盟国家普遍存在类似的对数据控制者自愿配合的禁止,并且其禁止范围不相一致;[23]在我国,《国际刑事司法协助法》第4条第3款也设置了类似的禁止性规定;欧盟2018年生效的《刑事取证个人数据保护指令》采用了类似立场,但是同时设置了紧急威胁的例外,即当成员国或第三国面临现实且紧迫的公共安全或重大利益威胁,而无法及时获得数据所在国授权时,允许数据控制者直接向第三国或国际组织传输个人数据。由于不同国家基于不同连接点划定网络信息业者的“本国”属性,针对同一取证对象,一国禁止自愿协作的规定直接会与他国的刑事取证规则相冲突,在协调失败时更有可能演变为国家强制力的施加。例如在2015年,微软员工为遵守美国禁止合作的规定,拒绝遵守巴西执法机关的数据披露要求,进而被巴西政府逮捕。[24]2019年我国招商银行、交通银行和浦发银行在美国面临了类似的困境。在该案中,美国法院基于犯罪侦查需求,要求三家中资银行提供指定客户的账户资金材料,三家银行以该协助违反中国法律为由拒绝合作,美国法院认定该行为构成藐视法庭罪,进而对三家银行施加高达每日五万美元的罚金。[25]以上案件中的共性在于,侦查机关试图基于本国法要求网络信息业者协助,但该协助违反后者所在国法律。此时,主权冲突被强行转移到网络信息业者身上,本质上是通过间接方式干预他国主权。对此,美国司法实践中向刑事司法领域扩展适用的“长臂管辖权”即是典型例证。如果美国执法机关的管辖权与他国法律相冲突,则可能触发美国法院基于礼让原则(principleof comity)的评价机制。[26]通过该机制,美国实际上将他国法律是否适用纳入到本国的执法裁量之中去,而上文提及的中国三家银行被罚案也正是在此背景下发生。我国现有法律规定对此不甚明确。一方面,《刑事诉讼法》第54条规定,公检法有权“向有关单位和个人收集、调取证据。有关单位和个人应当如实提供证据。”这里既未明确“有关单位和个人”的本国属性,也未提及相关证据材料的本国属性,并且这种执法活动也并不考虑是否与他国法律规定相冲突的问题,采用的是与美国类似的一元化视角。结合“两高一部”《电子数据规定》第13条[27]和公安部《电子取证规则》第41条,执法管辖权似乎并不受取证对象和取证材料的地域限制,例如在传播淫秽物品牟利案中大量存在租用境外服务器的情况,而该情况并不妨碍侦查机关进行网络远程勘验。[28]此外,根据《网络安全法》第28条的规定,网络运营者应当为侦查犯罪的活动提供技术支持和协助,该法对于“网络运营者”的概念解释也并未就其所在地予以限制。从另一方面来看,《国际刑事司法协助法》第25条在规定向国外请求调查取证时,并未涉及证据材料来源的地域性。如前所述,该法第4条第3款已经明确禁止非经我国同意的数据控制者自愿协助外国执法机关,基于对等原则,中国执法机关也不应当在未经他国同意的情况下向他国数据控制者取证。因此进一步推断,第25条的适用仍然以证据材料自身的地域性为标准。此时,该规定便对《刑事诉讼法》的规定形成大幅度限缩。事实上,通过分析国际主要互联网公司的透明度报告可以看出,我国执法机关在实践中确实存在直接向境外公司调取数据的情形。[[18]]《刑事诉讼法》及相关法律规定的模糊性处理,恰恰反映出了司法实践中的现实需求,也同时反映出了《国际刑事司法协助法》与刑事诉讼法律制度体系的脱节。这种脱节一定程度上也形成了中国执法要求与外国自愿合作禁止规定之间相冲突的风险。基于此,在主权国家之间达成协议的前提下,对一国国内法进行调整,往往成为调和此类法律冲突的方法。例如网络犯罪《布达佩斯公约第二议定书(草案)》在规定向网路服务提供者直接跨境调取注册人信息时,明确要求成员国修订国内立法并采取相应措施,以确保本国境内网络服务提供者依法可以向他国适格执法人员披露相关数据。与之相类似的,在英国与美国基于《云法》框架达成的《为打击严重犯罪获取电子数据的协议》中,也设立了专门条款,要求协议双方调整各自国内有关电子数据存储、验真、披露和提供的相关法律规定,确保协议涉及的服务提供者能够遵守协议项下的数据提供命令。总结以上分析,我们可以得出以下结论。首先,就网络信息业者自愿协助域外刑事执法而言,各国的普遍做法是予以禁止或严格限制。其次,此在缺乏协议基础的情况下,强行要求他国网络信息业者协助执法,其实质仍然构成对他国主权的干预。再次,对于此种情形下的主权冲突调和,一方面仍然需要回归到国与国之间的协议上去,另一方面也意味着一国需要相应的调整国内法以转化协议规则。
(二)障碍二:合规困境
向网络信息业者跨境取证的本质是将侦查任务下移给数据控制者,是规制对象的转移,而非法律规则冲突的实质性解决。网络空间治理本就涉及多种法律关系,在各国普遍扩张网络管辖权的背景下,网络信息业者往往被置于多重互异甚至彼此冲突的规则之下,进而形成其合规困境。具体而言,这种困境主要体现在两个方面:其一是与网络安全制度之间的冲突;其二是与个人信息保护制度的冲突。
1.基于网络安全的合规困境
网络安全制度框架下的合规困境典型地体现在数据本地化要求和数据出境规则之上。世界经济合作与发展组织(OECD)2019年的调查报告将数据跨境流动的管制强度由弱到强分为四个层级:第一层级是对数据跨境流动不舍任何法律限制,该层级多出现于最不发达国家;第二层级是不对数据跨境做事前限制,但设置事后审查和追责机制;第三层级是规定数据出境条件和情形,并对数据接收国设置资质限制,例如欧盟《通用数据保护条例》采用的就是这种思路;第四层级是最高限制层级,即数据能否跨境流动需要经过个案审查。[29]在以上四个管制层级中,最后一个层级主要针对的是个人信息和涉及国家安全、公共安全等的重要信息,并且通常伴随着数据本地化的要求。[19]例如澳大利亚《个人控制下的电子健康记录法》(PersonallyControlled Electronic Health Records Act,PCEHR Act)针对的是公民健康类数据,[30]俄罗斯[31]和马来西亚[32]则要求存储本国公民的各类个人数据;德国的《电子通信法》(Telekommunikationsgesetz,TKG)对原始数据的本地存储进行了规定,[33]印度《国家数据分享和准入政策》(NationalData Sharing and Accessibility Policy, NDSAP)则要求所有通过使用公共基金收集的数据均于本国境内存储。[34]我国《网络安全法》基于保障网络数据安全之考量,明确要求在境内存储存储“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据”。结合《个人信息和重要数据出境安全评估办法(征求意见稿)》[35]《信息安全技术数据出境安全评估指南(草案)》、《关键信息基础设施安全保护条例(征求意见稿)》[36]等文件可以看出,“个人信息”和“重要数据”的范围颇广。数据跨境流动的限制必然伴随复杂的安全评估和审查程序。例如根据欧盟GDPR的规定,在向欧盟境外第三国传输数据时需要经过两个步骤的审查:其一是数据传输行为本身是否有合法授权和依据;其二是数据接收国是否符合欧盟委员会的相关安全性要求。我国2019年国家互联网信息办公室起草的《个人信息出境安全评估办法(征求意见稿)》也有类似机制:[37]一方面明确禁止特定情形下的个人信息出境;另一方面搭建起个人信息安全评估出境的一般性流程。根据该文件,个人信息出境首先需要进行出境安全评估申报并提供相应材料,省级网信部门进行形式审之后,正常情况下在15日内完成安全评估,特殊情况下该期限可以延长。类似的安全评估和风险评估要求同样体现在了2020年《个人信息保护法(草案)》之中。刑事跨境数据取证不可避免地涉及到数据出境和安全审查问题,而网络信息业者往往承担着确保数据出境安全的法律义务。问题在于,网络安全并非是刑事司法首要考量因素,侦查取证更关注及时、高效、准确获取数据以有效打击犯罪。在此背景下,刑事侦查需求与网络安全需求之间的冲突需要协调国内法予以化解,这也意味着需要在一国数据跨境流动法律框架中为刑事执法开辟特殊通道,以便于为打击犯罪、维护国家、社会和个人重大利益的目的进行跨境数据取证,以此消除网络信息业者因配合执法可能面临的合规困境。当前国际立法与实践探索主要以三种方式化解合规困境。第一种方式是就特定犯罪中特定类型的个人信息出境设置区域内跨境流动规则,例如欧盟2016年制定的《预防、调查、侦查和起诉恐怖主义犯罪和严重犯罪中适用乘客姓名记录指令》(简称《PNR指令》),[38]在欧盟成员国之间形成乘客姓名记录信息的共享机制,从而简化此类信息跨境取证的程序。第二种方式是区分信息收集和信息传递,在需要进行审查的情形中,通过前者先行及时固定数据,以待审查通过后向境外提供。对此,典型的例证是欧盟的《电子证据条例(草案)》。第三种方式是通过双边协议,对符合条件的协议对象设置跨境数据取证的“绿色通道”,2019年美国和英国基于《云法》签订的协议即属于这一类型。总结以上分析,我们可以得出以下结论。首先,概括性的数据跨境流动限制即便主要针对的是一般社会治理,其效力仍不可避免地波及侦查取证,进而引发网络信息业者的的合规困境。其次,为化解困境,有必要专门针对侦查取证建立数据跨境规则,关键在于及时保全和调取电子数据证据。再次,制定专门规则并不意味着降低侦查的正当程序要求;相反地,需要同步修改刑事诉讼法律规定,以强化因侦查需要进行数据跨境传输时的必要性和合法性审查。
2.基于个人信息保护的合规困境。
网络信息业者所面临的另一合规困境主要来自于其所承担的个人信息保护义务。当前国际层面对于个人信息保护的重视程度不断提升,但不同国家或地区对于“个人信息”的定义本身存在较大争议,例如关于个人信息的“识别说”就存在多种观点。[20]更重要的是,刑事司法对个人信息保护提出了特殊要求。这些要求主要体现在三个方面。首先是知情同意要求。个人信息保护的一般法律框架建立在信息主体知情同意的基础上,既包括数据收集和处理的事前告知,也包括未经同意不得处理的禁止性规定。在刑事司法领域,由于打击犯罪、保证诉讼程序顺利进行的需要,不可避免地需要限制甚至禁止将取证活动告知信息主体,由此限制其“知情权”。同时,鉴于刑事司法行为的强制性,能否调取信息往往与信息主体的主观意愿无关;不仅无关,有关单位和个人还有如实提供的义务,因此“同意”之要求也无从谈起。其次是合目的性要求。个人信息保护的合目的性强调的是信息收集和处理应当符合事先约定的目的,相关处理行为应当服务于该特定目的的实现,并且不应当超出该目的范围。原则上,侦查机关向网络信息业者调取个人信息也应当遵守合目的性要求,即所收集的个人信息应当与特定案件的侦查、起诉、审判、执行等活动直接相关。但这种合目的要求往往存在诸多例外场景:其一是网络信息业者以经营为目的收集和处理的个人信息为刑事司法之目的使用;其二是行政机关为一般执法活动收集和处理的个人信息为刑事司法之目的使用;其三是为特定犯罪收集和处理的个人信息,为打击其他犯罪、一般性犯罪预防或行政执法之目的使用;其四是在本案中收集和处理的个人信息为他案之刑事诉讼程序使用。在这些场景中,数据的后续处理目的均在某种程度上偏离了初始目的,而这种偏离的合法性是网络信息业者免除违法责任、有效协助执法的前提。再次是特殊信息主体保护要求。从信息主体的自身特征出发,个人信息保护制度往往要求区分一般主体和特殊主体,并对于未成年人等敏感或特别脆弱群体予以特殊保护。刑事司法领域同样关注主体区分,但区分方式有所不同,适用于犯罪嫌疑人、被告人的规则多与被害人、证人等诉讼参与人相区别,例如在欧盟《个人数据刑事司法指令》第6条不仅要求将以上人员同犯罪人和犯罪嫌疑人区分开来,还特别要求将被害人和其他诉讼参与人进行区分;印度《个人数据保护法案(草案)》第43条明确规定了为预防和打击犯罪之目的而豁免前述章节中关于个人信息保护的各项要求,但又特别强调如果数据主体是被害人、证人或其他相关人员,则这种豁免仅应当在存在妨碍打击犯罪目的的切实危险时才适用。刑事司法的特性使得单独规定该领域的个人信息保护规则成为普遍做法。欧盟《个人数据刑事司法指令》专门强调了刑事司法的特殊性,表示GDPR项下的数据主体同意,并不构成刑事司法有权机关处理个人数据的法律依据;巴西2018年《一般数据隐私法》概括性地排除了该法在犯罪侦查和起诉方面的适用;[39]澳大利亚昆士兰省2009年《信息隐私法》(InformationPrivacy Act 2009)针对信息控制者的信息收集、披露、使用等行为,均在信息主体的同意之外,设置了“预防、调查、侦查、起诉或惩罚刑事犯罪”的例外;[40]新西兰2018年《隐私法(草案)》(PrivacyBill 2018)也作出了类似的例外规定;[41]而马来西亚2010年《个人数据保护法》则将政府对于个人数据的使用一并排除在外,其中也包括刑事司法权力机关。[42]总结以上分析,我们可以得出以下结论。首先,与网络安全制度类似,个人信息保护制度同样会影响刑事侦查活动的有效实施。其次,在本国法未区分个人信息保护制度在不同领域的适用规则时,不可避免地会加剧网络信息业者协助侦查取证中的合规困境。再次,个人信息保护在刑事司法领域的建构思路区别于民商事领域和一般行政执法领域,基于后者所形成的数据控制者个人信息保护义务难以直接套用于前者。第四,以上差异并非意味着在刑事执法活动过程中不需要对数据控制者设置个人信息保护义务,相反地,这种义务应当基于刑事执法必要性和比例原则而有所提升和强化。
(三)障碍三:认知错位
向网络信息业者跨境取证的高效率是建立在一个前提之上,即侦查机关与网络信息业者就数据类型、数据状态、收集程序、取证范围、取证目的与手段的契合性等问题形成基本共识。但在司法实践中,两者对于法律和技术的认知并非完全匹配,以至于双方无法有效判断和评估取证的实际要求和效果。研究表明,网络信息业者是否协助执法机关提取数据,往往取决于多个因素,例如这种披露是强制性的还是基于自愿的、服务是否面向公众、服务的类型是电子通信服务还是远程计算服务、要求提供的数据是静态存储的还是动态传输中的、以及收集对象是内容数据还是非内容数据。[[21]]具体而言,双方的认知错位集中体现在三个方面:其一是对基本概念的认知错位;其二是对相关技术要求的认知错位;其三是对各自内部分工和衔接机制的认知错位。
1.概念认知错位
侦查机关与网络信息业者的概念认知错位体现在诸多方面,例如数据控制者是否属于法律规定所表述的对象,典型的例子是云服务提供者是否属于“电子通信服务提供者”抑或“信息社会服务提供者”;又如关于“相关涉案数据”的定义,网络信息业者也多与执法机关存在不同理解,导致双方往往在目标数据的范围和类型描述上不相一致。从数据取证可能干预个人信息相关权利来看,双方认知错位尤其典型地体现在对个人数据分类之上。个人信息保护法律制度多将个人信息划分为内容数据和非内容数据;非内容数据又可以进一步划分为不同种类,例如《布达佩斯公约》将非内容信息划分为通信数据(trafficdata)和注册人数据(subscriberdata);欧盟草拟的《刑事取证条例草案》则将非内容数据划分为注册人数据(subscriberdata)、接入数据(accessdata)、交互数据(transactionaldata)。[43]我国《网络安全法》等相关法律规定并未明确就个人信息做进一步的分类,只是在2019年公安部牵头制定的《互联网个人信息安全保护指南》中,提及了个人敏感数据的收集和处理。从当前《个人信息保护法(草案)》的架构来看,未来将主要延续《指南》的分类方式。不同类型的个人信息匹配不同类型和强度的处理行为。具体到侦查领域,当侦查行为干预的是构成公民重大基本权利的数据时,基于比例原则的基本要求,立法应当对其设置更为严格的限制。基于此,立法者在规制数据取证时,便捷性的措施多针对敏感性较低的非内容数据。例如欧洲刑警组织在其2019年的调研报告中指出,在针对网络服务提供者的直接取证过程中,以及在紧急情况下要求网络服务提供者自愿披露数据的过程中,执法机关最常调取的是基本的注册人数据,其次是交互数据,最少调取的是内容数据。[44]由此延伸分析,数据类型的划分将直接影响数据控制者协助执法义务的范围,以及与他国法律制度之间的冲突激烈程度。例如网络犯罪《布达佩斯公约第二附加议定书(草案)》授权执法机关直接向网络服务提供者调取境外存储的注册人信息,并将IP地址纳入其范围。欧盟网络服务提供者协会等组织提出反对意见,认为相对于基本的注册人信息,IP地址对于公民基本权利的干预性更强。[45]基于类似的理由,欧洲人权法院曾在2018年的Benedikv. Slovenia案[46]中明确要求区分注册人信息和动态IP地址,并要求警察在获取后者时必须有法院的令状许可。
2.技术认知错位
在向网络信息业者调取数据的过程中,侦查机关容易形成一种认识倾向,即认为企业能够直接获取各种类型的数据,并且其协助执法成本较低。但在实践中,取证对象可能因为提供服务的具体形式和运营模式所限,而无法按照执法机关的要求调取相关数据。从技术角度来看,这种限制主要体现在两个方面:其一是就技术应用本身对于数据控制能力的限制;其二是技术应用成本对于数据控制能力的限制。首先,就技术应用本身而言,不同的技术架构对于数据控制者能够实际生成和提供的数据有着直接影响。以云服务为例,其服务类型可以大致划分为三类:第一类是云软件服务(CloudSoftware as a Service, SaaS);第二类是云平台服务(Cloud Platform as aService, PaaS);第三类是云架构服务(Cloudinfrastructure as a Service, IaaS)。在不同的服务架构之下,同一网络信息业者的数据控制能力存在差异,更毋庸提实践中存在的多种服务架构相混合的情形。[47]在各类网络服务特别是通信服务中,通过加密和定期销毁保护用户通信秘密和隐私是常规做法,而不同网络信息业者对用户数据的加密强弱或存储时间长短差异较大,意味着即便针对同类数据,不同信息业者协助执法的程度亦会有所不同。例如即时通讯服务提供者WhatsApp采用的是用户端对用户端的通信加密模式,其自身无法直接获取和对外提供相关内容数据。[48]与之相类似的,推特由于其服务性质,对于数据的存储期限不一,自发布《透明度报告》以来,其对于执法机关调取账户信息请求的执行率始终在50%至60%之间。[49]苹果公司对iOS8.0及之后的版本提高了保密层级,而苹果公司本身不持有加密密钥,因此无法应执法机关要求提供加密数据。2020年年初,苹果公司再次拒绝在个案中就其加密服务为刑事执法机关开设后门,一方面这种后门设置将需要调整iOS系统进而影响所有用户,另一方面后门一旦存在,将不可避免地为犯罪分子所利用。[50]其次,就协助执法的成本而言,其不仅与执法请求的内容和体量有关,也与数据控制者自身的财务和技术能力相关。从执法请求来看,世界主要网络服务提供者每年收到大量执法机关调取数据的请求,并且需要对各份请求进行个案判断以确定配合方式和执行程度,这种接受、评估、处理、回应本身就会形成企业负担。[[22]]对于中小型网络信息业者而言,这种协助执法所造成的成本将更为沉重。正是基于该考量,当网络犯罪《布达佩斯公约第二附加议定书(草案)》对外征求意见时,欧洲网络服务提提供者协会、奥地利网络服务者协会等组织均提出应当对中小型网络服务提供者设置协助义务的例外或予以限缩。[51]
3.机制认知错位
在实操层面,由于缺乏统一的规则或指引,网络信息业者配合跨境侦查取证的机制差异较大,尤其典型地反映在三个方面:其一是可获取的数据和协助范围;其二是联络机制和申请方式;其三是数据控制者的内部审查机制。首先,就可获取的数据和协助范围而言,侦查机关是否确知网络信息业者实际掌握的数据类型和数量,将直接影响调取数据命令的执行率。以微软公司为例,2013年至2019年间,在微软公司收到的所有数据调取请求中,“未找到相关数据”的比例一直徘徊在15%到18%之间,2019年上半年这一数字更是高达26.76%。[52]这一比率也受到数据控制者对请求的合理性和合法性评估的影响,例如2019年上半年,苹果公司全部或部分拒绝了来自全球425项关于用户账户的执法请求,原因之一在于这些请求不够明确或涉及数据范围过广。[53]其次,就双方的联络机制和申请方式而言,并非所有网络信息业者均设立统一的面向执法机关的联络点,具体联络方式也多种多样。根据欧洲刑警组织的调研报告,多数网络服务提供者倾向于通过电子邮件方式接受和处理执法协助请求。[54]少数公司建立起了统一的在线申请系统,例如谷歌和推特都提供此种方式。即便统一使用电子邮件,不同数据控制者的具体要求也存在差异,例如苹果公司针对美国以外的政府和执法机关的信息请求设置了统一的联络邮箱,制定了《政府和执法机构信息请求模板》,并要求相关请求必须通过政府或执法机构的官方电子邮件发送。[55]再次,就配合数据执法的内部审查机制而言,不同的数据控制者多制定各自的内部审查标准和规则,这些规则在不相一致的情况下也有可能降低协助程度。例如苹果公司针对美国境外的政府和执法机构的《法律程序指南》提出了请求是否有有效的法律依据、请求是否不明确、不恰当或过于宽泛等审查标准。[56]推特则详细列举了执法机关调取数据提供令状所应当包含的多项内容。[57]在执法机构所在国有明确法律依据,或者执法机构所在国与网络信息业者所在国有明确的互助协议的情况下,这种内部审查相对容易;但在缺乏此类依据的情况下,则会降低内部审查的效率。此外,是否具备有效且明确的法律依据,不仅影响数据控制者的配合率,还会影响后续具体的执行方式,例如微软和苹果原则上都会将协助执法的事实通知相关用户,除非有合法依据禁止通知,或此类通知可能造成严重后果。
五、回归本土:立法与实践的双重思考
化解跨境取证新模式的诸多障碍,依赖于立法者、刑事执法者和网络信息业者的共同努力,其核心在于在多节点协同治理的框架下,推进认知协同、技术协同、资源协同、制度协同。就宏观层面的协同框架建构而言,笔者已经进行过专门论述,此处不再赘述。[[23]]本部分聚焦于跨境数据取证这一具体的犯罪治理场景,回归中国当前的立法与司法实践,分别从立法和实践两个视角提出相应的制度建议。
(一)立法者视角
在向网络信息业者跨境取证的制度建构中,立法者的核心功能在于在协调和平衡多方利益的基础上,形成对外基本立场一致、对内自身逻辑自洽的规则体系。随着我国执法机关参与网络空间国际治理的不断强化,体系化的规则建设将不仅为其提供法律依据,也将从刑事司法角度提升本国的网络信息业的营商环境,并且有助于在建构网络空间国际治理规则中发声。
1.规则的基本立场一致
如前所述,向网络信息业者跨境取证面临刑事诉讼规则与《国际刑事司法协助法》的冲突。尽管有学者认为《国际刑事司法协助法》第4条第3款的功能在于对冲美国的长臂管辖,[[24]]但不可否认的是,作为法律规定,该条文不仅仅是政策宣言,更具有对司法实践的现实约束力。事实上,刑事诉讼与国际司法协助之间的规则冲突反映出的是我国的立法立场矛盾:即一方面希望藉由数据属地管辖来限缩他国的执法空间,另一方面又希望突破数据属地管辖来扩张本国的执法空间。这种矛盾进一步体现在后续的规则设计之中,典型的是在强化网络信息业者的协助本国执法的义务的同时,又试图以其为屏障来阻断他国的直接跨境取证。近些年来,中国代表团在参与联合国网络犯罪政府间专家组会议的过程中,这种立场冲突也时常引发质疑;而前文提及的中国三银行美国被罚案件也进一步反映出单纯的政策宣言的执行障碍。在此背景下,构建起立场一致的法律框架不仅必要,而且急迫。从当前已有的法律框架来看,并且基于对世界其他主要国家立法和司法实践的观察,数据属地管辖的标准不仅不会被废除,还有进一步强化的趋势,因此协调立场冲突的核心在于为数据属地管辖权以外的跨境取证方式寻求立法上的正当化基础。从前文分析可以看出,这种正当化基础需要回归到国际协议上去,而我国立法需要在国际刑事司法协助机制之外,为其他类型的跨境取证协议建构起相应的规则体系。在协议框架下,具体规则的设计应当充分考量网络空间的特性,特别是从数据高速流动的角度出发,应当考虑两方面的规则:其一是区分数据存留规则和数据调取规则,前者由于对数据安全和国家主权的干预程度较低,因此可以设置较低的门槛,以便于在尊重他国主权的同时及时保全刑事诉讼证据;其二是对紧急情况设置快速便捷的跨境取证通道,在此种情况下赋予数据控制者一定的自愿协助空间,并对相应的法律责任进行减免。
2.规则的内部逻辑自洽
向网络信息业者跨境取证牵涉的法律关系复杂,但其重心在于规制刑事侦查取证行为。尽管涉及到数据和网络治理的诸多其他法律规定,基本规则框架仍然应当以刑事诉讼的基本要求为出发点和落脚点:一方面,针对相关领域的规则需要为刑事诉讼活动留下必要的空间;另一方面,刑事诉讼规则自身应当考量相关领域的规制需求,两方面之间应当形成互动协作的关系。从近些年来我国有关网络和数据治理的探讨来看,刑事诉讼法学的声音相对微弱,例如关于个人信息保护的分析罕见对于刑事被害人、证人等的特殊保护;关于数据安全出境的规则探索少有涉及对打击犯罪效率的支撑;关于网络犯罪管辖权的理论建构亦较少关注到执法管辖权的规则缺位。反之亦然,例如刑事诉讼法学领域对于电子数据取证规则的分析较少涉及到与其他法律制度的结合,对于网络信息业者的协助义务也往往过于笼统,而网络信息业者面临的合规困境也多起源于此。需要看到的是,随着网络信息技术与犯罪及犯罪治理的结合持续深入,未来刑事跨境取证成为常规操作,而刑事执法活动自身的特殊性需要与网络及数据治理的一般规律相结合。这种结合表现在立法工作中,则应当由两个步骤构成。第一个步骤是将刑事诉讼规则与网络空间一般治理规则适当分离,例如前文论及的个人信息保护制度,就应当在正当性基础、数据及数据主体分类、数据一般规则等方面为刑事诉讼活动设置例外;而“双重犯罪原则”是否需要适用于刑事执法管辖领域,也存在进一步探讨的空间。第二个步骤是从“国家权力——公民权利”的二元互动视角出发,建构刑事诉讼法律体系内部的网络及数据相关规则。[[25]]以数据质量规则为例,其在个人信息保护和数据安全制度方面主要以被动方式规定,但从刑事诉讼打击犯罪的基本任务出发,则应当以公安司法机关的主动保障义务为主要形态。
3.规则应适应网络产业生态
基于前文分析可以看出,不同国家和地区在网络信息化发展状态上的差异,使其各自态度、关注重点和采用的跨境取证策略亦有所区别。其中,拥有大量大型网络信息企业的美国则在努力推动数据的跨境自由流动,尤其是在直接取证方面,正在逐步建立起由其主导的新协议体系;而以欧洲国家为代表的网络信息化发展相对较慢的区域则更倾向于对外扩张本国或本地区的刑事侦查权,集中表现为引入和强化直接取证措施。我国目前的网络信息产业发展状况使其同时具有数据供给者和需求者的双重身份。一方面,我国自二十世纪九十年代接入世界互联网以来,网络信息产业快速发展,形成了多个世界级别的产业巨头。根据亚马逊旗下公司Alexa对世界范围内180多个国家和地区的用户对不同网络服务的使用程度进行数据统计、分析和排名,发现全球使用率最多的网络服务提供者前10中3家为中国,7家为美国。[58]从这个角度看,我国与美国一样,在成为网络大国的同时,也形成了一个相对集中的数据集散地,扮演着数据提供者的重要角色。但另一方面,我国又是很典型的数据需求国,微软、苹果等公司在每年定期公布的透明度报告中,均显示大量来自中国的针对设备、账户、数据等方面的请求。[59]在此背景下,向网络信息业者取证的立法一方面应充分利用我国网络信息产业优势,另一方面不应对其形成不当负担。据此形成以下四项结论。首先,作为国际化网络信息产业的发展重地,我国至少具备建构较为积极的跨境取证规则甚至主导国际跨境数据取证规则的潜力,这是中国采用实体本国模式的重要基础。其次,我国作为数据需求方仍然需要获取外国网络信息业者的执法配合,使得虚拟本国模式具有其必要性,但该模式应当建立在尊重他国主权和遵循国际协议的基础之上。再次,新规则的建构需要尽可能弱化网络信息产业可能面临的规则冲突,本国法施加于网络信息产业配合执法的义务越重,将愈发不可避免地损及相关产业的国际化进程和技术创新,反过来削弱本国公安司法机关的跨境取证能力。最后,无论是从人权保障的角度还是从抵御他国不正当或过度跨境取证的角度来看,当前个人信息保护规则体系中以网络安全为逻辑出发点的思路亟待转变,只有以保障公民基本权利为出发点,才可能在国际数据攻防关系中真正有效制衡他国的跨境取证行为。[60]
(二)司法实践视角
从司法实践的角度来看,法律规则的有效实施依赖于执法者和网络信息业者双方的共识。基于上文中的分析可以看到,在跨越立法中存在的冲突之后,仍然需要在机制层面建立起执法者与数据控制者的衔接路径,这种衔接需要建立在双方协同各项认知的基础之上。
1.概念与规则协同
侦查机关与网络信息业者的合作首先应当建立在概念和规则的认知协同的基础之上。如前所述,基于当前复杂的网络信息规制体系,无论对于侦查执法机关还是网络业者,准确理解立法中采用的概念的内涵和外延,并明确适用的规则,是实现有效执法的前提,而消除概念和规则的认知障碍,依赖于概念和规则自身的明确化、精细化和场景化。就概念认知协同而言,需要双方分别就不同场景下的数据需求和数据供给进行匹配。从侦查机关的角度来看,有必要对其常见的刑事跨境数据取证的案件进行类型化分析,特别是将典型犯罪类型与所需的数据类型进行对应匹配,并形成较为明确的内部行为规范,以便于跨境取证过程中数据控制者以及涉及的第三方国家进行审查评估。从网络信息业者的角度而言,则需要尽可能地将其所掌握的数据类型与执法机关的场景进行匹配,形成动态性的表格式列举,从而提升双方的协作效率。就规则认知而言,关键在于尽可能调和不同网络信息业者的规则差异。实现这一目标,一方面依赖于网络信息业者建立针对执法机关的明确指引,其中既包括程序方面的指引,也包括对相关材料、格式的指引,例如前文论及的微软、苹果、谷歌等大型互联网企业均公布了针对执法机关的数据执法指南;另一方面也依赖于网络信息业者共同体的规则标准化。需要注意到的是,这种规则标准化应当辅之以数据控制者的类型化,特别针对中小型网络信息业者,需要进行区别对待,并尽可能降低其协助执法成本。在概念和规则认知协同的过程中,尤其需要促进双方在三个事项上的达成共识。第一是对侦查取证措施的认知,其中主要涉及到的是针对静态数据的侦查措施和针对动态数据的侦查措施,后者由于可能落入技术侦查的范畴,而需要设置更为严格的限制条件。[[26]]第二是对数据类型的认知,其区分应当以对公民基本权利的干预程度为准,并在此基础上进行侦查取证措施的匹配。第三是对数据鉴真的共识。执法机关从数据控制者调取的数据能否作为证据使用,很大程度上取决于数据自身的可靠性。以数据控制者为取证媒介,意味着需要建立起双方认可的数据可靠性规则,特别是在数据主要通过电子形式传输的背景下,关于鉴真规则的细化就变得尤为关键。
2.协作机制协同
在推进概念和规则认知协同的基础上,向网络信息业者跨境取证依赖于具体便宜的操作机制。当前双方均呈现出各自机制多种多样、方式各异的情况,从而为个案审查造成了障碍。对此,双方有必要从联络机制和审查监督机制两个方面进行改进。首先,联络机制的关键在于联络方式、途径、要求的明确化和规范化。通过观察世界几大互联网企业的透明度报告可以看出,目前执法机关与数据控制者进行联络的途径主要有两种:第一种是通过官方电子邮件;第二种是通过网上在线申请。除联络途径以外,一些大型互联网企业还制定了相应的执法请求模板和材料要求清单,以方便执法机关提交特定申请。此外,明确执法机关具体的联络点和负责部门也是各大互联网企业的普遍做法。可以预见的是,随着跨境数据取证的普遍化,这种常规化、专业化的联络机制将成为高效侦查的关键,其应当至少包含以下四项措施:一是网络信息业者和执法机关均针对跨境取证的建立明确且统一的联络机构,该机构可以考虑与国内执法请求相区别;二是推动申请过程的全程电子化和申请材料格式化;三是建立各类清单制度,典型的是数据控制者可提供数据的清单、特定侦查措施的法律依据清单、特定类型案件涉及的数据类型清单等;四是针对紧急情况建立简化版的快速联络通道,并同步触发目标数据的自动存留机制。其次,侦查机关与网络信息业者就取证方面的协作应当以动态形式呈现,并在动态过程中不断就相关利益进行平衡,对相关规则进行校正,同时也促进外部对于跨境数据取证进行监督。从当前已有的实践做法来看,网络信息业者发布的《透明度报告》为实现这种动态的监督提供了有效的思路。一方面,细化的《透明度报告》可以揭示出取证效率,并推动相关规则的适时调整;另一方面,《透明度报告》也为提升执法行为合法性、协调跨境数据取证行为与个人信息保护、数据安全等利益提供了观察、监督和评判的依据。《透明度报告》仅仅是从数据角度观察双方刑事侦查协作的一种途径。事实上,双方之间合法高效的动态协作依赖于数据分析和共享的进一步细化。具体而言,主要涉及以下两个方面的细化。第一是执法请求的类型需要进一步细化,特别是需要识别跨境请求,以便于协调不同国家之间可能存在的法律冲突。第二是数据控制者部分或全部拒绝配合执法的理由需要进一步明确和细化,通过对于这些理由的跟踪和总结,可以进一步提升执法机关调取数据的精确性。
六、结论
犯罪的整体网络化、数据的全球存储和流动是这个时代的典型特征。在这一背景下,犯罪和犯罪治理都呈现出去地域化的特征,从而为以物理场域作为规则建构逻辑起点的传统侦查取证规则提出了挑战。早期着重关注网络犯罪入罪化的刑事法视角已然不足,实践中已经存在的做法亟待确立合法性依据,多种网络和数据利益需要予以平衡,而网络空间执法管辖权的连接点标准也有待修正。笔者在本文中所作的探讨仅仅是应对这些变化的初步尝试,未来的规则调整不仅牵涉到刑事诉讼法,还将辐射到其他相关法律规定,更将与起草中的《个人信息保护法》和《数据安全法》形成密切的联系。基于本文的探讨,笔者重申以下观点:首先,网络空间的犯罪治理依赖于多主体协同配合,其中网络信息业者已经成为关键主体之一,立法者对此应当予以考量。其次,网络空间的执法管辖权需要与司法管辖权相分离,二者并不必须适用相同的规则。再次,基于主权的相对性,网络空间的跨国侦查取证并不必然与他国主权相冲突,关键在于在一致立场上为跨境取证行为提供正当性依据。第四,刑事司法有其内在逻辑和固有价值,即便执法场域由物理转向虚拟,由境内转向境外,相关规则仍然应当实现其价值、遵循其逻辑,网络空间治理的整体法律框架应当反映出刑事司法与其他领域的差异。第五,鉴于跨境数据取证领域多部门法交叉的特征,刑事诉讼法学也需要积极参与到其他相关立法活动的探讨中去,避免不同部门法之间由于立法前沟通不足而形成实践中的合法合规困境。
注释:[1]相关研究成果主要集中于近两年,例如唐彬彬:《跨境电子数据取证规则的反思与重构》,载《法学》2020年第4期,第156-170页;王立梅:《论跨境电子证据司法协助简易程序的构建》,载《法学杂志》2020年第3期,第82-92页;冯俊伟:《跨境电子取证制度的发展与反思》,载《法学杂志》2019年第6期,第25-36页;梁坤:《跨境远程电子取证制度之重塑》,载《环球法律评论》2019年第2期,第132-146页;梁坤:《基于数据主权的国家刑事取证管辖模式》,载《法学研究》2019年第2期,第188-208页。
[2]概念文件参见:《携手构建网络空间命运共同体》,引自https://www.wicwuzhen.cn/web19/release/release/201910/t20191016_11198729.shtml。访问日期2020年2月3日。
[3]例如公安部《公安机关办理刑事案件程序规定》第15条规定,“刑事案件由犯罪地的公安机关管辖。”
[4]司法实践中,即便是国内触网刑事案件,受执法管辖权的限制,跨区域数据调取仍然较之本地案件更为复杂,特别是当取证对象是大型互联网企业时,一般需要网信办的介入。
[5]有学者将这种针对本国境内数据的侦查取证列为当前国家刑事取证管辖的主要模式之一,但实际上这种模式仍然是在传统执法管辖权的范式下运行,并未突破传统执法管辖权的运行逻辑。
[6]例如江苏徐州“虚拟货币”传销案,案情介绍参见“江苏徐州‘虚拟货币’传销案涉50万人109亿元”,引自https://www.rong360.com/gl/2016/12/15/125553.html。访问日期2020年4月10日。
[7]典型案件例如2019年春节档电影侵权盗版“2·15”系列专案,涉案网站“麻花影视”将APP服务器架设在境外,实际办公地点及负责运营管理、技术维护等主要成员均在境外。相关案情介绍参见“公安部重拳打击电影侵权盗版违法犯罪,成功侦破春节档电影侵权盗版‘2·15’系列专案新闻发布会实录”,引自http://dy.163.com/v2/article/detail/EDV1APPG0514X3MF.html。访问日期2020年4月29日。[8]参见“当传销披上网络的外衣,你还认识它吗?”,引自http://jk.wngaj.gov.cn/jwdt/jfcq/279695.htm。访问日期2020年4月10日。
[9]参见“当传销披上网络的外衣,你还认识它吗?”,引自http://jk.wngaj.gov.cn/jwdt/jfcq/279695.htm。访问日期2020年4月10日。
[10]根据美国思科公司报告预测,到2021年全球约94%的运算量将通过云中心完成。参见Cisco, “Cisco global cloud index: forecast and methodology, 2016-2021”,available at https://www.cisco.com/c/en/us/solutions/collateral/service-provider/global-cloud-index-gci/white-paper-c11-738085.pdf. Accessed July 12, 2020.
[11] United States v. Microsoft Corp., No. 17-2, 584U.S. (2018)
[12]参见CJEU,Case C-230/14 Weltimmo, 2015; C-131/12 Google Spain, 2014.
[13]关于该案案情,参见Johan Vandendriessche, “The effect of ‘virtual presence’ in Belgium onthe duty to cooperate with criminal investigations”, 2011 Digital Evidence andElectronic Signature Law Review, 8: 194-195.
[14] A Proposal for a Regulation on European Productionand Preservation Orders for electronic evidence in criminal matters.
[15] A Proposal for a Directive laying down harmonizedrules on the appointment of legal representatives for the purpose of gatheringevidence in criminal proceedings.
[16] See Guy Chazan, “Merkel urges EU to seize controlof data from US tech titans”, Financial Review, issued on Nov. 13, 2019.Available at https://www.afr.com/world/europe/merkel-urges-eu-to-seize-control-of-data-from-us-tech-titans-20191113-p53a5v. Accessed February 17, 2020.
[17]至于本文着重探讨的境外数据,有学者认为其主权享有者未必是国家,而可能是大量占有和使用数据的“跨国互联网信息巨头”。笔者认为,从国家权力的行使角度来看,将网络信息业者等数据控制者列为主权者的合理性有待进一步探讨;事实上,一国主权藉由网络信息业者进行延伸,其本质仍然可以归属到该国的属人管辖之上。
[18]公安部《公安机关办理刑事案件程序规定》(下文简称“公安部《规定》”)第375条。
[19]事后荷兰警方及时将相关侦查行为通知了美国,后者并未反对。关于该案介绍,参见Bert-Jaap Koops & Morag Goodwin, “Cyberspace, the cloud, andcross-border criminal investigation”, 2016 Tilburg Law School Legal StudiesResearch Paper Series No. 05/2016, available at https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2698263. Accessed July 11, 2020.
[20] See ACLU, EFF & NACDL, “Challenging governmenthacking in criminal cases”, available at https://www.nacdl.org/uploadedFiles/files/criminal_defense/national_security/Malware-Guide-3.29.2017.pdf. Accessed February 14, 2020.
[21]需要注意的是,在2019年公安部《电子取证规则》中,对于网络勘验行为并未作此类限制。鉴于网络勘验行为本身仍然可能进入他国主权范围之内,而网络勘验和网络在线提取数据之间的联系紧密且边界模糊,《规则》仍然可能与他国主权之间存在紧张关系。
[22] See Letter from Mythili Raman, Acting AssistantAttorney Gen., Criminal Div., U.S. Dep’t of Justice, to Reena Raggi, Chair,Advisory Comm. On the Criminal Rules 2 (Sept. 18, 2013), available at www.justsecurity.org/wp-content/uploads/2014/09/Raman-letter-to-committee-.pdf. Accessed February 14, 2019. See also Ahmed Ghappour, “Searching placesunknown: law enforcement jurisdiction on the dark web”, 2017 Stan. L. Rev., 69:1075, at 1081.
[23] See Council of European Union, “Non paper: progressreport following the conclusions of the Council of the European Union onimproving criminal justice in cyberspace”, available at http://data.consilium.europa.eu/doc/document/ST-15072-2016-INIT/en/pdf. Accessed February 24, 2020.
[24] See Brad Smith, “In the cloud we trust”, availableat https://news.microsoft.com/stories/inthecloudwetrust/. Accessed February 24, 2020.
[25] In re: sealed case, available at https://www.cadc.uscourts.gov/internet/opinions.nsf/6E2FAD8DB7F6B3568525844E004D7A26/$file/19-5068-1800815.pdf. Accessed February 24, 2020.
[26]根据美国《第三次对外关系法重述》第442条,礼让原则在五种情形下适用:其一是行为发生在美国境内;其二是行为人或物品位于美国境内;其三是域外行为在美国境内形成实质影响,或以形成实质影响为目的;其四是美国公民实施的行为;其五是域外行为威胁美国国家或州的安全。其中,与本文当前问题联系紧密的是第三种和第五种情形。
[27] “两高一部”《电子数据规定》第13条规定:“调取电子数据,应当制作调取证据通知书,注明需要调取电子数据的相关信息,通知电子数据持有人、网络服务提供者或者有关部门执行。”
[28]例如陈小杰传播淫秽物品牟利案,浙江省杭州市中级人民法院(2017)浙01刑终723号;王丹传播淫秽物品牟利案,浙江省建德市人民法院(2017)浙0182刑初225号;王某某传播淫秽物品牟利案,湖北省钟祥市人民法院(2017)鄂0881刑初84号。
[29] See OECD Trade Policy Papers No. 22, “Trade andcross-border data flows”, available at https://www.oecd-ilibrary.org/trade/trade-and-cross-border-data-flows_b2023a47-en. Accessed February 26, 2020.
[30]引自https://www.legislation.gov.au/Details/C2012A00063。访问日期2018年9月6日。
[31] Federal Law No. 242-FZ, introduction of the law seeMatthew Newton & Julia Summers, “Russian data localization laws: enriching‘security’ & the economy”, issued on February 28, 2018, available at https://jsis.washington.edu/news/russian-data-localization-enriching-security-economy/#_ftn8. Accessed September 6, 2018.
[32] Personal Data Protection Act 2010, available at http://www.kkmm.gov.my/pdf/Personal%20Data%20Protection%20Act%202010.pdf. Accessed September 6, 2018.
[33]英文文本引自https://www.itu.int/ITU-D/treg/Legislation/Germany/TelecomAct.pdf。访问日期2018年9月6日。
[34]英文文本引自https://data.gov.in/sites/default/files/NDSAP.pdf。访问日期2018年9月6日。
[35]《评估办法(征求意见稿)》将“个人信息”定义为“以电子或其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”,“重要数据”则指“与国家安全、经济发展以及社会公共利益密切相关的数据”。
[36]《关键信息基础设施安全保护条例(征求意见稿)》对“关键信息基础设施”采用了概括加列举的立法模式,原则上凡“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”的网络设备和信息系统,均属于“关键信息基础设施”。从《条例(征求意见稿)》列举的情形来看,其范围不仅涉及公用事业、国防军工、公共媒体等领域,还涉及到“电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位”。
[37]《征求意见稿》中,需要进行出境前安全评估的个人信息扩展至各类网络运营者在境内运营中收集的信息,而不仅限于关键信息基础设施运营者。
[38] Directive (EU) 2016/681 on the use of passengername record (PNR) data for the prevention, detection, investigation andprosecution of terrorist offences and serious crimes. Available at https://eur-lex.europa.eu/eli/dir/2016/681/oj. Accessed December 7, 2019.
[39]英文译本引自https://www.pnm.adv.br/wp-content/uploads/2018/08/Brazilian-General-Data-Protection-Law.pdf,最后访问日期2019年11月12日。
[40]引自https://www.legislation.qld.gov.au/view/whole/html/inforce/current/act-2009-014,最后访问日期2019年11月12日。
[41]引自http://www.legislation.govt.nz/bill/government/2018/0034/latest/LMS23223.html,最后访问日期2019年11月12日。
[42]引自http://www.pdp.gov.my/images/LAWS_OF_MALAYSIA_PDPA.pdf,最后访问日期2019年11月12日。
[43]根据欧盟对该《草案》的说明,“接入数据”是指自身无法识别出用户身份,但是身份识别中所必须的初始数据,例如用户登录服务器的日期和时间、IP地址等;“交互数据”是指与提供服务相关的数据,例如信息的来源和去向、数据的位置、日期、时间、时长、体量、路径、格式、使用的协议和压缩的类型等。参见European Commission, “Frequently asked questions: new EU rules to obtainelectronic evidence”,availableat
https://ec.europa.eu/commission/presscorner/detail/en/MEMO_18_3345. Accessed March 3, 2020.
[44] See Europol, “SIRIUS EU digital evidence situationreport 2019: cross-border access to electronic evidence”, issued on 20 December2019, available at https://www.europol.europa.eu/sites/default/files/documents/sirius_eu_digital_evidence_report.pdf. Accessed March 3, 2020.
[45] See “EuroISPA’s comments on the provisional text ofthe 2nd additional protocol to the Budapest Convention on Cybercrime”, availableat https://rm.coe.int/euroispa-s-comments-to-draft-provisions-2nd-add-protocol-final/168098bcab. Accessed March 3, 2020.
[46] Benedik v. Slovenia, app.no 62357/14 (ECtHR 24April 2018)
[47] See T-CY, “Criminal justice access to electronicevidence in the cloud: recommendations for consideration by the T-CY”,available at https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=09000016806a495e. Accessed March 4, 2020.
[48] See e.g., James Titcomb, “WhatsApp’s encryptionkeeps us safe: attacking it is wrong”, The Telegraph, March 27, 2017, availableat https://www.telegraph.co.uk/technology/2017/03/27/whatsapps-encryption-keeps-us-safe-attacking-wrong/. Accessed March 4, 2020.
[49]相关数据引自https://transparency.twitter.com/en/information-requests.html#information-requests-jul-dec-2016。访问日期2020年3月8日。
[50] See Daniel Howley, “Apple’s Tim Cook defendsdecision to fight DOJ on iPhone ‘backdoor’”, Yahoo Finance, February 27, 2020,available at https://finance.yahoo.com/news/apple-tim-cook-doj-backdoor-iphone-214520728.html. Accessed March 4, 2020.
[51]相关评论引自https://www.coe.int/en/web/cybercrime/protocol-consultations。访问日期2020年3月4日。
[52] See “Microsoft law enforcement requests report”,available at https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report. Accessed March 5, 2020.
[53] See “Apple transparency report: government andprivate party requests, January 1 – June 30, 2019”, available at https://www.apple.com/legal/transparency/pdf/requests-2019-H1-en.pdf. Accessed March 6, 2020.
[54]参见Europol,“SIRIUS EU digital evidence situation report 2019: cross-border access toelectronic evidence”, https://www.europol.europa.eu/sites/default/files/documents/sirius_eu_digital_evidence_report.pdf. Accessed March 6, 2020.
[55]参见苹果:《法律程序指南:美国境外的政府和执法机构》,引自https://www.apple.com/legal/privacy/law-enforcement-guidelines-outside-us-cn.pdf。访问日期2020年3月6日。
[56]参见苹果官网公布的《法律程序指南:美国境外的政府和执法机构》,引自https://www.apple.com/legal/privacy/law-enforcement-guidelines-outside-us-cn.pdf。访问日期2020年3月12日。
[57]参加推特官网的执法机关支持指引,引自https://help.twitter.com/en/rules-and-policies/twitter-law-enforcement-support。访问日期2020年3月12日。
[58] Alexa, “Top 500 sites on the web”, available at https://www.alexa.com/topsites. Accessed July 6, 2020.
[59]微软公司的《执法请求报告》参见https://www.microsoft.com/en-us/corporate-responsibility/lerr/,访问日期2020年11月14日;苹果公司的《透明度报告》参见https://www.apple.com/privacy/transparency-reports/,访问日期2020年11月14日;
[60]关于当前国际跨境数据流通中各国或地区的攻防策略,以及个人信息保护在其中的地位,参见裴炜:《欧盟GDPR:数据跨境流通国际攻防战》,载《中国信息安全》2018年第7期,第32-35页。
参考文献:
[[1]] 冯俊伟. 刑事证据分布理论及其运用[J]. 法学研究, 2019, (4): 174-190.
[[2]] 梁坤. 基于数据主权的国家刑事取证管辖模式[J]. 法学研究, 2019, (2): 188-208.
[[3]] Ian Walden. AccessingData in the Cloud: The Long Arm of the Law Enforcement Agent [C]. in PearsonS., Yee G. (eds.). Privacy and Security for Clouding Computing, ComputerCommunications and Networks, Springer 2012: 45-71.
[[4]] 叶媛博. 我国跨境电子取证制度的现实考察与完善路径[J]. 河北法学, 2019, (11): 106-119.
[[5]] 金丽慧. 2017年网络空间安全现状与趋势分析报告[J]. 信息安全与通信保密, 2018, (3): 120.
[[6]] Ahmed Ghappour. SearchingPlaces Unknown: Law Enforcement Jurisdiction on the Dark Web [J]. Stanford LawReview, 2017, (69): 1075-1136.
[[7]] 裴炜. 比例原则视域下电子侦查取证程序性规则构建[J]. 环球法律评论, 2017, (1): 89-90.
[[8]] Daniel J. Solove. TheDigital Person: Technology and Privacy in the Information Age [M]. New YorkUniversity Press, 2017: 2.
[[9]] 裴炜. 针对用户个人信息的网络服务提供者协助执法义务边界[J]. 网络信息法学研究, 2018, (1): 21-56.
[[10]] JohanVandendriessche. The Effect of “Virtual Presence” in Belgium on the Duty to Cooperatewith Criminal Investigators [J]. Digital Evidence and Electronic Signature LawReview, 2011, (8): 194-195.
[[11]] Jennifer Daskal. Bordersand Bits [J]. Vanderbilt Law, 2018, (71): 187.
[12] 王立梅. 论跨境电子证据司法协助简易程序的构建[J]. 法学杂志, 2020, (3): 85-86.
[[13]] Andrew Keane Woods.Litigating Data Sovereignty [J]. The Yale Law Journal, 2019, (128): 360.
[[14]] 翟志勇. 数据主权的兴起及其双重属性[J]. 中国法律评论, 2018, (6): 196-202.
[[15]] 梁坤. 基于数据主权的国家刑事取证管辖模式[J]. 法学研究, 2019, (2): 198-199.
[[16]] Milton Mueller. Will the Internet Fragment? Sovereignty, Globalization andCyberspace [M]. Polity, 2017: 42-70.
[[17]] 谢登科. 电子数据网络在线提取规则反思与重构[J]. 东方法学, 2020, (3): 89-100.
[[18]] 裴炜. 针对用户个人信息的网络服务提供者协助执法义务边界[J]. 网络信息法研究, 2018, (1): 48-49.
[[19]] 张舵. 刍议跨境数据流动的公共利益保护[J]. 河北法学, 2018, (5): 180-190.
[[20]] 程德理、赵丽丽. 个人信息保护中的“识别”要素研究[J]. 河北法学, 2020, (9): 44-54.
[[21]] Omer Tene. WhatGoogle Knows: Privacy and Internet Search Engines [J]. Utah. L. Rev., 2008, (1433):1476.
[[22]] 裴炜. 针对用户个人信息的网络服务提供者协助执法义务边界[J]. 网络信息法学研究, 2018, (1): 48-51.
[[23]] 裴炜. 信息革命下犯罪的多主体协同治理:以节点治理理论为框架[J]. 暨南学报(哲学社会科学版), 2019, (6): 82-96.
[[24]] 梁坤. 基于数据主权的国家刑事取证管辖模式[J]. 法学研究, 2019, (2): 206.
[[25]] 裴炜. 个人信息大数据与刑事正当程序的冲突及其调和[J]. 法学研究, 2018,(2): 42-61.
[[26]] 梁坤. 跨境远程电子取证制度之重塑[J]. 环球法律评论, 2019, (2): 138-141.
来源: 司法兰亭会
作者:裴炜 北京航空航天大学法学院院长助理兼外事秘书
发表评论