一、我国跨境电子取证管辖权的“公”扩张
(一)我国长期坚持数据主权及网络空间主权
跨境电子取证的对象是电子数据,因此跨境电子取证的合法性涉及数据主权内涵与外延的界定。就国际学术层面来说,数据主权的内涵可以概括为:(1)将数据主权简化为对云端中的具体数据资源的所有权;(2)数据主权是一种权利,权利主体可能是国家也可能是公民;(3)数据主权被视为立法的结果,如“数据主权是指以二进制数字形式转换和存储的信息受其所在国家/地区的法律约束的概念”;(4)数据主权是国家主权的延伸,“数据主权是国家主权的关键方面并以民族国家的确立为前提”。根据国际法的一般理论,访问存储在另一国领土上的服务器的数据,构成对该国领土的破坏,若该行为归属于国家,则构成国家的不法行为,除非该国家已经正式获得主权国同意。
与美、英为代表的数据发达国家不同,我国作为网络空间主权的支持者,在国际会议文件和我国网络安全法中正式确认了“网络空间主权”这一概念。我国将数据主权作为传统主权的延展,将数据主要存储的网络空间视为与太空、海洋相似的主权空间,电子数据被视为物理空间中的有形实物,一国进入他国物理空间或网络空间取证需获得对方国家的同意,否则视为违法行为。
(二)传统主权理论的桎梏
一方面,以数据主权为依据的刑事司法协助制度效率低、用时久、流程长,无法满足实践中打击犯罪的目的;另一方面,传统主权理论无法应对数据“位置的丧失”。用户数据不仅由服务提供商控制和管理,还分布于世界各地的数据中心进行存储和处理。而如“数据分片”、动态数据管理等方法进一步导致服务提供者和调查机构都无法确定数据在某一时刻的确切位置,从而造成了“位置丢失”的数据问题。当调查机关无法明确数据的具体存储位置时,调查机关同样面临无法确定司法协助请求对象的窘境。用户的数据通过算法在“云”中不断移动,侦查机关尽管可以访问某个电子邮件信息,却无法确切知道该特定信息的具体位置。
(三)我国跨境取证的执法管辖权的司法扩张
尽管完全抛弃国家对本土数据的话语权并不现实,但坚持传统主权理论无疑会逐渐加深跨境调取数据的阻碍。在此情形下,世界各国纷纷选择在司法实践中对跨境取证的执法管辖权进行扩张,我国亦不例外。我国在国际上积极推动多边协议的制定,凝聚国际共识。如在国际层面强调各国检察机关应力图在打击网络犯罪上形成合力,推动签署和完善双边及多边司法协助条约,建立解决网络犯罪刑事管辖权冲突的长效机制。
二、服务商的履行能力与意愿
(一)明确服务商的履行能力:“占有”、“保管”和“控制”
在云调查中,执法机关通常希望直接访问存储在“云”中的电子邮件或文件,并假设这样做符合“客户-服务器模式”,然而问题在于服务商是否有权或有能力提供这些信息。美国云法案规定了“数据控制者”需要“占有、保管或控制数据”。“占有”、“保管”相当于物理意义上的实际占有。而对于“控制”,美国法院通常采用“合法权利”和“实际能力”双重标准判断。而网络犯罪公约中“拥有或控制”包括“要制作的数据不在该人的实际占有范围内,但该人仍可自由控制数据的制作”,应当体现“法律权利”和“技术能力”。在越来越多公司采取“多层云服务”和“数据信托云”的情况下,执法机构在确定对数据具有“占有、保管或控制”的特定服务提供商时将面临更大困难。如微软的“数据托管人”模式,通过与外国公司合作,将用户数据置于美国当局的管辖范围之外。
(二)增加服务商的履行意愿:提供救济性权利
私营服务商在面临与侦查机关数据共享时,由于缺乏相应的信任,即便具有履行能力,履行意愿也存在不足。服务提供商提供数据的行为可能违反其他部门法律或者与客户之间的合约义务,且由于不同国家的法律不同,对此国法律的遵循可能导致对彼国法律的违反。当前,每个服务提供商都规定了自己的机制,必须通过该机制提出执法要求。不同公司采用的程序中的一些要求是,合法请求应来自官方(而非个人)电子邮件地址,并明确指出有争议的法律、被请求提供详细信息的账户以及其与调查的联系等。
(三)拓展服务商的管辖范围:对外签订直接数据访问协议
大部分国家并未直接通过法律将管辖权延伸至他国服务商,而少部分国家将外国服务商也归为其管辖范围,如美国采取“充分接触”原则,当一家公司与美国有足够密切的联系,则该家外国公司应受到美国的管辖。直接数据访问协议采取了一种折中方法,这些协议基本上使一个司法管辖区的当局能够直接要求位于另一个司法管辖区的服务提供商提供信息。如欧盟允许一个成员国的司法当局要求在另一个成员国设立或代表的服务提供商出示或保存电子证据。然而,直接数据访问协议无法解决不同国家间数据和犯罪种类、司法批准的要求、个人权利保护方面的差异,也进一步引起了人们对隐私、透明度、问责制和缺乏足够监督等方面的担忧。
三、隐私保护与个人同意
(一)签订协议要求对等隐私权保护
要求协议签署方满足一定的隐私权保护要求,是欧盟和美国在双边或多边协议中较多采用的限制方法。根据云法案,外国政府成为适格政府的第一个决定因素是其自身的法治和隐私保护是否充分。除满足基线标准外,签署协议的外国政府还需要同意采取程序,尽量减少获取、保留和传播美国人的信息。由于执法机构越来越多推动可能采取破坏隐私和安全的方式来破译加密技术,往往会要求他国执法机构解密中立。
(二)基于个人对执法机构获取信息的同意
《网络犯罪公约》第三十二条允许两种情况下,未经另一方授权可进行跨境搜索:一种情况是访问公开可用的存储的计算机数据,无论数据的地理位置;另一种是通过境内的计算机系统访问或接收存储在另一缔约方的计算机数据。这意味着外国国家的授权并不总是必要的,私人当事方也可以同意搜查。“合法同意”、“合法授权”则由相关国家自己规定,云提供商原则上可以决定自愿配合执法部门的要求。
在各国能够向服务提供商寻求直接获取用户信息的情况下,范围的限制和服务商自由裁量权的限度影响着个人隐私权保护的程度。就涵盖的数据类型而言,美国-英国执行协议中数据涵盖的范围最广,包括内容数据、流量或元数据,以及用户信息。而布达佩斯公约第二附加议定书则规定披露的数据仅限于用户信息和流量数据,相对降低对隐私的威胁程度。
(三)限制跨境调查取证的案件门槛
虽然实践中涉及跨境电子数据取证的案件众多,但仍需要回答电子数据的相称性问题,即侦查机关可以侵犯个人隐私权并直接获取相关数据的具体条件。云法案规定相关刑事案件必须只与“预防、侦查、调查或起诉严重犯罪等”有关,但并未定义“严重犯罪”。在美国和英国的执行协议中,“最高刑期至少为3年”被用作定义严重犯罪的标准。布达佩斯公约第二附加议定书则要求所请求提供的数据信息必须是对刑事调查而言是必要的和相称的。
四、强化跨境电子取证公私合作的规制基础
(一)对接国际条约,建立多边机制
大部分学者认为,我国应当构建多元化的跨境电子取证制度,然而对于多边机制架构的具体设计却有所不同。有学者认为,应当推动跨境电子取证从二元范式转向多元治理,弱化地域性。也有学者认为,国际礼让原则对解决单边跨境数据调取冲突能力有限,应当积极在公约中完善多边规则。但条约的建立往往受到外交政策、国际关系、资源分配等多种因素影响,且需经过漫长的谈判过程。现阶段我国可按照“有条约、司法互助协定、两岸司法互助协议”和“不具有规定规范”两种情况分别进行优化。
在双方政府存在条约、协定的情况下,双方优先使用条约内容,提供对等的跨境取证便利,在个案中弱化本土数据政策以提高执法行为的效率。可以效仿国家间的互免签证协议,签署双边条约简化司法协助程序。在不具有规定的情况下,又可以分为“有非官方形式合作”和“无任何合作”的两种情况。“有非官方形式合作”是指我国的某地区政府或主管机关和外国某地区政府或主管机关建立了良好的“点对点”合作关系,双方在实践中可以优先配合彼此工作,加速执法进程。如欧盟在其成员国之间推行的“欧洲数据提交令”和“欧洲数据保存令”。
(二)数据分类分级,加强隐私保护
我国数据安全法第21条初步建立了数据分类分级保护制度,但其依据为数据的“重要程度”,即泄露该数据造成的危害程度。这种分级模式仍然体现出典型的“公权力”思维,而无法直接服务于跨境网络服务商。而最高检发布的《人民检察院办理网络犯罪案件规定》将电子信息数据划分为7种类型,形式上似乎更贴近于国际上服务商通用的“用户数据”、“流量数据”和“内容数据”。但由于与数据安全法的分级制度并未完成嵌套,形式上的数据分类尚未在跨境电子数据调取中发挥实质上的作用。因此,我国未来如果希望更好参与国际条约商谈抑或与跨境服务商达成共识,在不改变数据安全法侧重国家安全和公共利益的分级制度的大框架基础上,需进一步细化电子数据的分类,适当引入“用户、流量、内容”的数据分类分级模式,并提供相应的隐私保护措施。
(三)明确法律位阶,消除内部矛盾
我国于2018年出台的国际刑事司法协助法规定非经中国主管机关同意,外国组织、机构和个人不得在我国境内从事刑事诉讼活动,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料。根据平等互惠原则,中国对外获取证据材料,也应通过司法协助模式。而我国电子数据取证规则却赋予侦查机关直接取证的权力。司法协助法和电子数据取证规则在法律效力的位阶上存在高低之分,国际刑事司法协助法属于全国人大常委会颁布的法律,而电子数据取证规则等法律文件仅属于法规。如不分别对适用情形进行规定,则会产生法律适用的冲突。但冲突的核心并非法律位阶的不同,而是适用情形和范围的模糊,因此需要进一步明确我国直接取证模式的原则与例外。原则上可以允许在特定情况下采取的自卫行为、反制措施,以及出现不可抗力等,此外,遵守比例原则,应尽快明确双重犯罪要求,限定直接调查取证仅以“特定刑事调查或诉讼”的目的提出数据请求。
(四)强化警务合作,避免“执法黑客”
国际警务合作作为一种特殊执法手段,具有国际和国内双重属性。各国享有侦查权力的警察机构在执法领域合作,形成具有针对性的高效犯罪打击网络,在侦查技术的专业性、国际合作的灵活性和司法效益上具有特殊优势。尤其在区域性合作中,区域内合作的渠道更多,且程序简便,有助于提高国际执法能力。我国目前在国际警务合作领域中取得了一系列成果,一方面与周边国家建立了密切的执法合作机制,如中俄国家间执法安全合作机制、中越合作打击犯罪部长级会议机制等;另一方面,我国和国际和区域性合作组织警务执法合作,如国际刑警组织、东盟等。此外,应尽快完善相关规则,执法机关应尽量避免“执法黑客”行为。(武汉大学 常馨予)
参考文献
[1]曼纽尔·卡斯特(Manuel Castells)著;夏铸九,王志弘等译. 网络社会的崛起[M].北京:社会科学文献出版社,2001.
[2]阙天舒,李虹. 网络空间命运共同体:构建全球网络治理新秩序的中国方案[J].当代世界与社会主义,2019(3):8.
[3]唐彬彬. 跨境电子数据取证规则的反思与重构[J].法学家,2020(4):16.
[4]江溯. 论网络犯罪治理的公私合作模式[J]. 政治与法律,2020,(8):38-52.
[5]赵菁. 跨境电子数据取证中的冲突与对策[J]. 政法学刊,2020,37(1):81-88.
[6]魏光禧,刘想树. 跨境数据取证中公私合作的具体路径[J]. 中国人民公安大学学报(社会科学版),2024,40(1):63-74.
[7]陈东阳. 论单边跨境数据调取中的管辖权冲突[J]. 南大法学,2023(2):103-117.
(本文刊载于《人民法治》杂志2025年1月上 新知栏目)
