裴 炜 | 刑事跨境取证中的数据安全风险及其应对
点击
蓝字
关注我们~
北京航空航天大学法学院副教授
摘 要
数据跨境传输是数据安全风险的重要成因之一,跨境数据取证作为网络信息时代打击犯罪的新常态,其中蕴含的数据跨境安全风险不容忽视。《数据安全法》第36条尽管关注到了这一特殊领域,但其一方面将司法协助与数据安全的批准机制混同,未明确境内单位和个人协助境外机构取证时数据跨境的具体安全审查情形及相应机制;另一方面该审查仅涉及跨境数据取证多种措施中应用范围最窄的一种,对于网上远程勘验、向网络信息业者调取等新出现的跨境取证措施关注不足。对于跨境数据取证中的安全审查和保障机制,其制度设计应当回归到资源性数据保护这一逻辑起点,基于跨境数据取证的双边性特征,在兼顾和平衡数据安全保障与有效打击犯罪的双重需求的前提下,根据不同跨境数据取证场景分析和化解其数据安全风险,并辅之以契合跨境数据取证需求的数据安全评估机制和安全风险跨境预警机制。
引 言
在网络信息时代,数据作为国家的基础性战略资源,其保障程度直接关涉国家整体安全。相对于传统资源,数据的安全风险不仅存在于静态存储和管理,更存在于动态传输和使用。特别是在网络空间弱地域性特征的作用下,数据跨境传输成为常态,进一步提升了数据安全风险的管控难度和急迫性。在此背景下,2021年正式出台的《数据安全法》明确了重要数据出境安全管理的法律依据(第31条),并对违反相关规定的数据出境活动设置了相应的法律责任(第46条)。上述条文基本上延续了《网络安全法》的规定,但除此以外,《数据安全法》还专门关注了国际司法协助或执法合作中的数据提供场景(第36条),特别强调禁止非经我国主管机关批准的跨境提供数据行为。
可以看到的是,《数据安全法》第36条与2019年出台的《国际刑事司法协助法》第4条第3款可谓异曲同工,某种程度上是对近年来美国等国家或地区域外管辖权扩张趋势的应对与防御。问题在于,该条文在回应他国法律挑战之时,未能充分考量本国法律规定以及司法实践需求,一方面与《刑事诉讼法》《国际刑事司法协助法》等相关规定存在兼容困难的问题,另一方面则未能就司法实践中出现的一些新做法可能产生的数据安全风险予以规制。从这个角度讲,《数据安全法》第36条不仅在规制重点上未免顾此失彼,且在适用不当时可能减损网络信息时代犯罪治理的实际效能。
本文正是以此为背景,试图理顺《数据安全法》第36条与刑事跨境数据取证现有法律规定和实践需求之间的关系,明确该场景中数据安全的主要风险来源,并在此基础上探索合理、有效的跨境取证数据安全规则和保障机制。本文主要包括以下三个主要部分:第一部分分析数据跨境传输中安全风险的本质与类型,以明晰现有规则与刑事跨境取证之间的冲突;第二部分集中探讨当前各种跨境数据取证机制中的安全风险并将其类型化;第三部分回归数据安全保障的逻辑起点,针对跨境取证的具体场景设计对应的数据安全保障机制。
一、数据跨境中的安全风险本质
(一)现有法律框架下数据安全的界定
探讨跨境数据取证中的数据安全保障问题,首先需要明确的是数据安全的含义。《数据安全法》第3条第3款将“数据安全”定义为“通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”。该定义一方面涉及到数据安全的静态状态,另一方面涉及到数据安全的动态能力,结合数据处理的含义,其描述的是在数据全生命周期中对数据安全的全面保障。可以看到,该定义主要从数据安全保障的效果角度进行定义,我们需要进一步分析“安全状态”和“安全能力”的具体评价要素。考察本法出台之前的一些规范性法律文件,可以看到“数据安全”这一概念主要沿用的是信息安全的“保密性、完整性、可用性”标准,如《网络安全法》第76条中将“网络安全”定义为“通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力”,其中典型地将“网络数据安全”的保障重点界定为“三性”能力之上;类似地,《中国银保监会监管数据安全管理办法(试行)》第3条将数据安全描述为“可用、完整和可审计状态”。具体而言,“保密性”是指信息不泄露给未授权的个人、实体、进程,或不被其利用;“完整性”是指数据没有遭受以未授权方式所作的更改或破坏;“可用性”是指已授权实体一旦需要就可访问和使用。此外,世界刑警组织(Interpol)制定的《数据处理规则》(Interpol’s Rules on the Processing of Data)中对于“数据安全”的规定同样是建立在保密性、完整性和可用性的三性基础之上,是典型的数据安全三性在国际刑事司法层面的适用。
在数据安全的“三性”框架下,基于我国目前已经建立起的网络信息法律框架,我们可以进一步在两个方面对数据安全概念进行明晰。
一方面,数据安全强调的对象是数据,而非基于数据挖掘、分析之后形成的信息。之所以进行这一区分,主要在于我国当前立法已然形成了“数据”与“信息”概念二分的局面,而《数据安全法》也直接在定义中将数据与信息进行了区分,即将“数据”定义为“以电子或其他方式对信息的记录”(第3条)。在现有立法中,“信息更加贴近于对事物本身的描述,数据则侧重于表达信息的数字状态。”在大数据和人工智能发展迅猛的背景下,通过数据聚合和挖掘可以获取哪些信息,本身难以在事前予以明确,这也使得数据和信息进一步分离。此时如果以信息可能涉及国家安全来规制其底层数据,则任何数据均可能因此落入到强监管的语境中去,进而使得数据分类分级不再具有实际意义。从这个角度讲,“数据安全”与“信息安全”并非相同概念,前者主要指向的是数据载体及数据本身的安全;而后者不仅包含信息本身及作为其载体的数据安全,还包含信息所传达的内容之于国家安全、社会稳定和公共利益等的影响,即国标《信息安全技术:信息安全事件分类分级指南》中所述的“信息内容安全”。
需要注意的是,区分数据安全和信息安全并非意味着法律不保护后者;相反地,这些基于数据分析和挖掘而产生的信息及其安全保障往往落入到其他法律的规制框架之下,例如,如果基于数据挖掘形成个人信息,则其属于《个人信息保护法》及相关法律制度的保护范围,与之类似地,涉及国家秘密或情报的信息可能落入《国家安全法》《反恐怖主义法》《情报法》等相关法律的保护范围。做此种区分的重要性在于,《数据安全法》的制定不应当消解已有的信息安全与保障法律制度的功能,而是需要形成法律规定之间的合理、有效衔接,而这种衔接需要以明确《数据安全法》的功能定位为前提,其背后必然推导至数据安全与信息安全的关系问题。
另一方面,数据安全保护的首要是作为资源的数据聚合体。这一点在《数据安全法》起草过程中已经有充分表述。根据全国人大法工委2020年对立法必要性的说明,数据安全的立法基础首先在于“数据是国家基础性战略资源”,其保障机制是建立在国家安全总体框架之下,其目的是“发挥数据的基础资源作用和创新引擎作用”。基于数据安全保护客体的基础资源属性,可以判断的是,单个或少量数据并非《数据安全法》关注的重点。这一特征在涉及个人信息的场景中尤为明显,例如国家互联网信息办公室2021年7月发布的《网络安全审查办法(修订草案征求意见稿)》中特别强调对掌握超过100万用户个人信息的运营者的国外上市加强网络安全审查(第6条)。
我们可以从两个层面进一步理解资源型数据聚合体这一数据安全法律制度的客体。第一是数据安全保障的重点在于数据的资源属性,这是相关安全保障制度建立的前提。第二是数据的资源性往往以数据聚合为前提,即单个数据难以具有资源意义上的重要性。但是需要注意的是,上述两方面的含义并不意味着将数据体量与资源属性等同,亦不意味着大体量数据的资源属性更强。数据的资源属性首先是在国家整体层面,这也是将数据安全纳入到国家安全整体框架的前提。
(二)基于数据安全概念的主要安全风险类型
从数据安全的概念出发,破坏数据安全的活动大致可以划分为两类:其一是通过干扰或破坏数据载体而间接干扰或破坏数据;其二是直接针对数据本身的干扰或破坏。前者例如设备故障、网络攻击等,其风险防范主要围绕关键信息基础设施安全展开;后者例如数据篡改、假冒、泄露、丢失等,对应的主要是数据处理者的安全保障义务。数据安全保障的核心在于防范数据安全风险,而风险主要集中于两个维度:第一个是技术维度,第二个是机制维度。前者主要指向的是数据处理活动所采用的技术的可靠性,后者则主要指向的是数据处理活动的管理机制。从法律层面来看,规制的重点主要在后者,特别是从数据作为资源进行利用的目的出发,对数据处理者进行严格控制就变得格外重要。基于此,从保障数据安全的角度出发,一般认为数据处理者需要具备“AAA”要素:第一是身份真实(authentication),第二是行为授权(authorization),第三是可追责(accountability)。缺少上述要素的处理机制不仅无助于数据安全保障,同时其本身即构成数据安全的风险漏洞。
将数据安全的法律概念与技术风险相结合,就形成了数据安全保障机制的整体框架,即破坏数据安全的行为的法律性质在于对数据处理权限的违反,在技术层面表现为针对数据本身和数据载体的干扰或破坏,损害结果的评价标准是对数据保密性、完整性、可用性的减损,相关机制保障的利益主要是聚合性数据资源承载的国家安全。
数据安全风险可能发生于数据生命周期中产生、存储、使用、分享、归档和销毁等各个环节。整体而言,不同生命周期环节中的数据状态大致可以分为四类:休止中的数据(data-at-rest)、使用中的数据(data-in-use)、传输中的数据(data-in-transit)、以及销毁后的数据(data-after-delete)。不同数据状态面临的具体安全风险亦存在差异,这是构建全面系统数据安全保障体系的认知前提。基于上述数据安全分析框架,具体到数据跨境这一场景,其主要针对的是“传输中的数据”和“使用中的数据”这两种数据状态,此时该场景中的数据安全风险主要源于以下两个方面。第一是数据传输和使用中的技术安全风险,既源于作为数据载体的软硬件系统自身的漏洞或缺陷,也源于人为对数据安全保障系统或机制的规避或破坏。第二是数据传输和使用中的机制漏洞风险,尤为典型地体现为不同法域之间对于数据权限的规定存在差异,在缺少必要的法律衔接机制的情况下,在一个法域内享有权限的数据处理行为在另一法域中就可能转变为无权或越权的行为。
在上述两种数据安全风险中,前者普遍存在于各类数据安全场景之中,而后者是数据跨境场景所面临的重要数据安全风险之一。同时需要注意的是,数据跨境场景使得前者的防范与治理变得更为困难:一方面,不同法域之间的技术安全标准和保障机制之间存在差异,进而形成数据跨境过程中的安全落差;另一方面,网络空间的弱地域性与执法行为的强地域性之间存在张力,意味着数据安全执法行为难以跟上数据跨境的速度。
二、跨境取证的主要场景及数据安全风险类型
刑事跨境数据取证是数据跨境的情形之一,不可避免地会牵涉到数据安全问题。如前所述,数据安全风险及其应对与数据应用场景和具体所处状态紧密相关。因此,要准确识别刑事跨境数据取证中的数据安全风险,首先需要对这一活动的具体场景进行分析,在此基础上建设相应的安全规则和机制,这也与《数据安全法》所承载的数据分级分类的基本思路相一致。从当前世界主要国家和地区的相关探索来看,刑事跨境数据取证已经逐渐衍生出三种模式:第一种是传统的刑事司法协助或执法协作模式,第二种是以前文论述的特殊侦查措施为代表的直接取证模式,第三种是向网络信息业者等占有或控制目标数据的第三方跨境调取数据模式。这三种模式分别对应不同的取证场景,并进而对应不同层级和类型的数据安全要求。
(一)场景一:传统刑事司法协助
刑事司法协助是跨境取证的传统途径,同时也是跨境数据取证的典型场景。也正是在这个意义上,《数据安全法》第36条主要关注的是这一场景。该场景具有以下三个典型特征。第一,刑事司法协助机制对于取证主体和活动有着最为严格的限制和审查机制,与数据安全的“AAA”机制要素具有较高的契合度。第二,刑事司法协助中的目标数据往往在体量、范围和指向性上均相对明确、具体和有限,这就区别于《数据安全法》保护客体的“资源性”属性。第三,刑事司法协助机制具有较强的双向性,这一特征体现在跨境数据取证的长期开展本身就具有一定的双向性;即便在单次的跨境取证流程中,请求国同样需要提供辅助数据,从而使得该单次取证仍然具有双向性的特征,例如根据《国际刑事司法协助法》第13条,外国向我国提出刑事司法协助请求的,原则上需要在请求书中载明“案件性质、涉案人员基本信息及犯罪事实”。这与《数据安全法》主要采取的单向性视角存在较大差异,由此,尽管《数据安全法》第36条基本上照搬了《国际刑事司法协助法》第4条第3款的表述,但二者呈现出迥异的立法旨趣。
结合上述两个特征可以看到,传统刑事司法协助与《数据安全法》第36条存在以下两方面的紧张关系。
第一,《数据安全法》第36条与《国际刑事司法协助法》第4条已经建立的主管机关批准机制之间的关系不明,即前者是否设置了独立于后者的数据安全审查批准程序。根据《国际刑事司法协助法》第4条第2款的规定,国际刑事司法协助不得损害我国国家主权、安全和社会公共利益。《数据安全法》在起草过程中一再强调“没有数据安全就没有国家安全”,据此,《数据安全法》框架下的安全机制主要是以国家安全作为上位概念。尽管《国际刑事司法协助法》第14条列举的可以拒绝提供协助的情形并未直接提及国家安全,但从已有双边刑事司法协助条约文本可以看到,损害被请求国国家安全和社会公共利益等往往构成具体文本中的规定,这种规定也符合《国际刑事司法协助法》第4条第2款的立法精神。沿着这一思路分析,《数据安全法》第36条的规定事实上并未超出《国际刑事司法协助法》第4条第3款所确立的主管机关同意机制,前者更多的是对后者的重申,而非重新设置一套独立的数据安全主管机关审查批准机制。
第二,《数据安全法》的立法目的与跨境数据取证中的数据特征不相符。如前所述,《数据安全法》核心关注的是作为资源的数据聚合体,这恰恰不是跨境数据取证过程中的常见情形。事实上,越来越多的国家或地区将刑事侦查机关大规模、不加区分的数据收集活动定性为违法。在何种情形下针对何种性质和规模的数据跨境收集提取需要主管机关启动数据安全审查,而《数据安全法》第36条规定得并不明确,同时本法的其他条文也未能提供明确的指引。如果过于宽泛地解释数据安全审查的范围,则有可能导致跨境数据取证的程序复杂性的普遍提升,降低犯罪侦查取证效率,进而损及打击犯罪这一现实需求。对此,需要结合《数据安全法》第21条规定的数据分类分级保护制度,在具体划分标准上考虑刑事司法这一特殊场景。
(二)场景二:网络侦查技术取证
如果说《数据安全法》第36条更多针对的是传统的刑事司法协助机制下的取证措施,那么当前网络空间犯罪治理的实际执法需求已经远远超出该传统机制的能力范围,例如目标电子数据的地理位置难以快速查明,被请求国缺少必要的电子取证措施,被请求国响应机制过于缓慢导致数据损毁、灭失,甚至被请求国直接拒绝提供协助。更重要的是,随着表层网络(surface web)治理强度的不断提升,犯罪分子越来越多地向深网(deep web)甚至暗网(dark web)下潜以隐匿身份或隐藏行踪,在无法确定犯罪分子及其活动对应地理坐标的情况下,刑事司法协助机制基本陷于“瘫痪”。
在此背景下,不同国家和地区普遍开始探索利用特殊网络技术开展跨境取证,由此形成跨境数据取证的第二种重要场景,例如美国联邦调查局(FBI)的网络侦查技术(Network Investigative Techniques,NIT)、英国基于《2016年侦查权力法》的设备干预措施(Equipment Interference)等。我国“两高一部”于2016年制定的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《电子数据规定》)中创设的网络远程勘验和在线提取措施,同样是侦查机关试图在网络空间直接获取数据的立法探索。尽管公安部在2019年制定《公安机关办理刑事案件电子数据取证规则》(以下简称《电子取证规则》)时将网络在线提取限定于公开数据和境内计算机信息系统,但网络远程勘验并不受此限制;相反地,远程勘验恰恰是判断目标数据是否位于境内的先行措施。
根据2016年《电子数据规定》第29条,网络远程勘验是指“通过网络对远程计算机信息系统实施勘验,发现、提取与犯罪有关的电子数据,记录计算机信息系统状态,判断案件性质,分析犯罪过程,确定侦查方向和范围,为侦查破案、刑事诉讼提供线索和证据的侦查活动”。可以看到,这里的“勘验”不仅包含勘察计算机信息系统情况,还包含直接的数据取证活动,其措施不仅限于查看,还包括安装新应用程序、使远程系统产生新电子数据、展示电子数据内容或状态等积极措施。同时,网络远程勘验在必要时还可以匹配技术侦查措施。
上述侦查机关直接侵入计算机信息系统开展取证活动的措施具有较强的侵入性,以至于有些学者将其表述为“政府黑客”(government hacking)。对于此类措施,国际警察局长协会(International Association of Chiefs of Police,IACP)在其2015年发布的报告中提出,“执法人员如果不通过侵入计算机信息系统的方式收集证据,那么将无法有效侦查违法活动并起诉犯罪”。
问题在于,这些措施可能引发的数据安全风险要远远大于传统措施。一方面,通过特殊网络技术开展数据取证一定程度上绕开了传统基于国家主权和管辖权建立起的审批制度,是对一国侦查取证权限的重大突破,本身与前述提及的控制数据处理行为的“AAA”要素存在张力;同时基于此类场景的单方性特征,其数据安全保障更依赖于刑事司法程序的内部规制建设。另一方面,特殊网络技术的使用也对数据安全本身的防护技术形成冲击,例如Ahmed Ghappour在观察刑事侦查机关对“零日漏洞”(zero-day vulnerability)的发掘和使用时发现,鉴于此类安全漏洞对于侵入远程计算机信息系统的便利性,侦查机关有强烈的收集“零日漏洞”的动力,但使用此类漏洞存在诸多安全风险。首先,不当使用此类安全漏洞可能导致漏洞信息泄露,甚至被犯罪分子利用,从而危及目标信息系统的整体性安全。其次,使用此类漏洞侵入计算机信息系统后,加大了其中数据遭受泄露、篡改的风险。再次,基于公正审判原则和控辩平等对抗原则,使用此类安全漏洞进行远程跨境网络侦查的措施可能面临向辩方开示的法律要求,从而进一步提升目标系统及数据安全的“三性”风险。就最后一项而言,其不仅仅是技术问题,更与一国的刑事诉讼法律制度紧密相关。从我国当前刑事诉讼相关规定来看,使用此类漏洞的措施的定性并不明确,因此尚无法直接照搬技术侦查措施中对于技术手段保密且不向辩方披露的相关规定。
(三)场景三:向网络信息业者调取
第三种场景涉及到一国侦查机关向他国第三方主体调取数据,其中又以向占有或控制数据的网络信息业者调取为典型情形。对于该场景,我国当前立法对于此种跨境数据取证措施采取了对内对外的两种不同态度。一方面,当我国作为被取证国时,《国际刑事司法协助法》原则上禁止非经我国同意的数据控制者自愿协助外国执法机关;《数据安全法》第36条的后半段采用了与《国际刑事司法协助法》类似的规制思路。另一方面,当我国作为取证国时,我国《刑事诉讼法》及相关司法解释并不禁止侦查机关向外国网络信息业者调取数据,同时此种做法也在一些国际互联网企业披露的《透明度报告》中有所体现。尽管我国立法上对于此种跨境取证模式的规制思路存在矛盾,但可以看到的是,无论是网络犯罪《布达佩斯公约》及其《第二附加议定书》,还是欧盟正在起草中的《电子取证条例》,亦或美国的《云法》及该框架下的双边行政协议体系,均在不断推进和拓宽一国侦查机关与他国网络信息业者直接开展取证合作的通道,结合我国司法实践的现实需求,这种场景未来具有进一步拓展和规范的空间。在此背景下聚焦该场景的数据安全,其在一定程度上是将数据安全审查和保障的义务及法律责任转移给了协助数据侦查取证的网络信息业者,此时相对于技术层面的安全保障,网络信息业者面临的挑战主要源于法律层面,并集中体现在以下两个方面。
第一方面的挑战涉及数据出境安全管理义务与高效协助执法义务之间的矛盾。根据《网络安全法》第37条的规定,关键信息基础设施运营者在因业务需要向境外提供中国境内收集和产生的个人信息和重要数据时,需要对该数据出境进行安全评估;《数据安全法》第31条在延续《网络安全法》有关关键信息基础设施运营者的规定的同时,进一步将重要数据的出境安全审查义务扩展至其他数据处理者。
总体来看,当前关于数据出境安全评估的规定主要存在以下三个问题。首先,在数据出境安全评估的事由方面,《网络安全法》第37条并未明确规定运营者因协助侦查取证需要向境外提供个人信息和重要数据时是否需要进行安全评估,进而导致《数据安全法》第31条所适用的数据出境事由范围不明。其次,在数据出境安全评估的主体方面,在主管机关批准向外国司法或执法机构提供数据的情况下,协助执法的网络信息业者是否仍然需要开展独立的数据出境安全评估,当前规定同样语焉不详。再次,在数据出境安全评估的流程方面,通过参考2017年发布的《信息安全技术:数据出境安全评估指南(征求意见稿)》可以看到,该流程除包含网络信息业者的自评估以外,还可能需要征得国家网信部门、行业主管部门同意,这一流程本身相对复杂和繁冗,从而产生与传统刑事司法协助机制类似的阻碍高效跨境数据取证的弊端。
第二方面的挑战源自于不同国家或地区的法律义务冲突。可以看到的是,一国网络信息业者以遵守本国数据安全保障规定为由,拒绝协助执行他国刑事司法机关取证命令时,该事由往往难以成为有效的外国法免责事由。这一点与第二种场景中的情形类似,典型的例证是2015年微软员工为遵守美国禁止合作的规定,拒绝遵守巴西执法机关的数据披露要求,进而被巴西政府逮捕。2019年我国招商银行、交通银行和浦发银行在美国面临了类似的困境,其以违反中国法为由拒绝向美国侦查机关提供客户账户资金材料,但美国法院认定该行为构成藐视法庭罪,进而对三家银行施加高达每日五万美元的罚金。这意味着当我国网络信息业者以《数据安全法》第36条之规定为由拒绝向外国侦查机关提供数据时,仍然可能因拒不合作而引发外国法律责任;而外国网络信息业者同样可能面临类似的风险,例如根据我国《数据安全法》第35条的规定,有关组织、个人有义务配合公安机关侦查犯罪的调取数据活动,该义务主体并不限于我国组织或个人,而拒不配合数据调取可能进一步引发该法第48条项下的行政处罚。
三、回归数据安全逻辑起点的跨境取证
基于数据安全“三性”的分析可以看出,刑事跨境数据取证并非不会引发数据安全的风险,但此类风险的来源和性质多元,同时其规制涉及多个部门法,这就使得该领域的规则体系相对复杂,一方面需要在数据安全的总体价值和概念框架下进行规则设计,另一方面这种设计也应当遵循刑事司法的基本逻辑,在数据安全风险规制与犯罪侦查取证实效之间形成平衡。
(一)建立两个逻辑起点
刑事跨境数据取证的数据安全保障规则体系的具体建设,需要以明确数据安全制度的逻辑起点为前提。基于前文分析,我们可以总结出以下两个重要的逻辑起点,作为后续场景划分和配套机制建设的基础。
首先,如前所述,数据安全立法的逻辑起点是数据聚合的资源性,而非直接与对该资源利用、挖掘之后所形成的信息相对应。在刑事司法的语境下,侦查取证行为需要遵循比例原则的限制,这就意味着数据取证不仅需要服务于打击特定犯罪之目的,同时也需要将其体量控制在合理范围内。可以看到的是,一些国家或地区已经在立法中对刑事司法过程中的大规模数据传输进行限制,例如网络犯罪《布达佩斯公约》及其于2021年通过的《第二附加议定书》均强调相关跨境侦查取证措施不能要求进行大规模(mass)或批量性质(bulk)的数据提供;而欧盟地区《刑事司法个人数据保护指令》也明确要求严格遵守必要性原则,避免频繁的(frequent)、大规模的(massive)和结构化的(structural)个人数据传输。此外,从国际上一些大型互联网企业披露的《透明度报告》中也可以看出,侦查机关调取数据范围过广往往成为其拒绝或部分拒绝协助的原因之一。
我国《刑事诉讼法》仅在第52条原则性地规定了收集证据的相关性要求,相关规范性法律文件并未就收集、提取电子数据的范围和比例原则进行明确规定。但是结合《国际刑事司法协助法》的相关规定,以及参考我国已经签署的多个刑事司法协助双边条约,跨境取证本身需要明确请求事项与案件之间的关联性,因此过于宽泛的数据取证请求可能导致请求本身被拒绝。从这一逻辑起点出发,在刑事跨境数据取证的场景中,数据安全审查与保障机制的建构不宜以数据本身的大量聚合作为数据安全风险评判的标准之一。
其次,刑事跨境数据取证的数据安全保障体系需要考虑到国际执法和司法活动的双边性特征,这与一国境内数据安全审查的单边性特征存在差异。换言之,在刑事跨境数据取证的场景中,一国侦查机关采取的措施能否顺利进行,不仅取决于该措施本身,更取决于请求国与被请求国之间基于平衡和互惠原则所依据的国际多边或双边条约等制度安排。考虑到伴随着网络信息技术与犯罪融合的不断加深,跨境数据取证已然成为打击各类犯罪活动的新常态,侦查活动的普遍国际化意味着平等互惠原则的普遍化。
从双边性的特征出发,我们至少可以推演出跨境数据取证场景中数据安全机制的两个限制。第一个限制是数据安全审查机制不应当不当阻碍侦查取证的顺利进行。在可能作为犯罪证据的数据在全球范围内高速流动和分散分布的背景下,考虑到高效侦查取证和电子数据证据快速保全的现实需求,数据安全审查机制不宜不加区分地全面嵌入国际刑事司法协助的主管机关审查机制之中。事实上,结合第一个逻辑起点进行分析,在绝大多数仅涉及有限和特定数据的案件中,并无必要启动数据安全的专门审查。
第二个限制针对的是使用网络信息技术开展的特殊类型侦查措施,这些措施本身具有较强的单方性,尽管会绕开传统的国际刑事司法协助机制,但其本身是对涉网络信息技术犯罪侦查取证现实需求的回应,也因此为越来越多的国家或地区所采用。但是如前所述,此种措施往往会形成更为紧迫且现实的数据安全系统性风险,同时由于其单边性,不仅可能直接与他国主权相冲突,也可能触发其他国家或地区的数据安全保障机制,进而导致侦查取证人员可能面临现实的法律责任。上述困境的化解一方面依赖于国内法对于此类措施施加必要的限制,另一方面也需要形成国际层面的共识,在认可其必要性的前提下,对此类措施划定必要的边界、明确其适用的具体案件类型或情形,并在此基础上建立起相应的数据安全保障机制。
(二)区分三个取证场景
如前所述,跨境数据取证中的三个主要场景分别面临不同类型和程度的数据安全风险,这意味着需要设置对应的数据安全保障机制。
1.刑事司法协助场景
针对传统刑事司法协助机制,此种场景中可能产生的数据资源性和系统性安全风险相对较低,因此其审查机制可以相对简化。结合《刑事诉讼法》与《国际刑事司法协助法》等相关法律规定,可以看到的是,刑事司法协助仍然是当前刑事跨境数据取证的主要场景,考虑到该机制本身的复杂性与数据取证高效性之间的矛盾,可以考虑从以下方面划定该场景中的数据安全审查的适用范围:第一是限定犯罪类型,主要针对危害国家安全犯罪、涉恐怖主义犯罪等严重犯罪;第二是限定取证对象,至少将安全审查机制限定于涉及关键信息基础设施运营者收集或生产的重要数据的情形;第三是限定数据体量,避免针对仅涉及个别、具体数据的案件启动数据安全审查机制;第四是审查程序与取证程序适当分离,允许在有初步材料的情况下对目标数据进行先行冻结,从而避免数据安全审查流程过长而导致数据损毁、灭失,进而妨碍后续的刑事诉讼程序和犯罪打击目的。
需要注意的是,在传统刑事司法协助场景下,被请求国除考虑数据出境可能对本国造成的安全风险外,有时也会将请求国的数据安全保障水平作为评估是否予以合作时的重要考量因素,例如《〈布达佩斯公约〉第二附加议定书》中多处条文授权被请求成员国对协助他国侦查取证活动增设加密等额外的安全保障要求。基于这一考量因素,为促进跨境数据取证的顺利进行,进而有效打击犯罪,就需要在国际层面建立起相对统一的数据安全规则,其中核心是就数据安全保障机制的最低标准达成共识。
2.网络侦查技术取证场景
针对使用特殊网络侦查技术进行跨境取证的场景而言,该场景以一国侦查机关的单方措施为特征,其参与主体和程序相对简单,但可能引发的数据安全风险更为严重。如前所述,在我国当前法律框架下,此类措施主要被纳入到远程勘验项下。与美国NIT等侦查措施类似的是,此类措施主要适用于目标数据或系统所处地理位置不明的情况,特别是针对利用Tor等技术的暗网进行侦查取证时,需要采取相应的技术措施进行网络追踪。基于此类场景的单方性特征,其数据安全保障更依赖于刑事司法程序的内部规制建设。
结合我国既有法律规定,针对该场景的数据安全审查机制应当至少符合以下条件。首先,技术性数据取证措施的适用本身应当遵循国际法的对等原则和及时告知义务;特别是在采取此类措施造成相关国家数据安全风险时,应当及时将该风险告知对方。之所以强调上述原则和义务,在于尽管该场景表现为单边措施,但其可能在现实操作中超出一国边境进而侵犯他国刑事管辖权;同时针对他国计算机信息系统采取的侵入性措施可能违反他国法律而引发相应的法律责任。例如在我国,外国侦查机关或人员针对我国计算机信息系统采取侵入性数据取证措施的,可能落入到《刑法》第285条规定的非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪,第286条规定的破坏计算机信息系统罪等罪名,这些犯罪成立与否与侵入行为是否具有外国法依据或授权无关,同时我国刑事司法机关对采取此类措施的境外单位或个人享有保护管辖权。类似地,《美国对外关系法(第三次)重述》中也明确表示,“一个行为在其实施国合法并不妨碍美国法的适用,即便该国采取强势政策允许甚至鼓励该行为。”而俄罗斯联邦安全局早在2002年就曾对美国联邦调查局探员提起刑事诉讼,指控其远程进入俄罗斯境内服务器并获取数据。
其次,应当区分一般性勘验和侵入性勘验,后者主要是针对已经采取防护措施或权属明确的网络信息系统,具有更强的侵入性特征,同时更容易对数据安全构成威胁,因此数据安全审查和保障机制应当主要针对后一种类型。需要注意的是,当前《电子数据规定》和《电子取证规则》对于远程勘验措施的类型划分和程序设计主要以是否采取技术侦查措施为标准。问题在于,无论从措施本身还是适用案件的类型来看,具有系统侵入性的勘验措施并不必然落入传统技术侦查措施的范围之中,从而导致部分侵入性的勘验措施反而受到较低的程序性限制。也正是基于此,笔者认为相较于技术侦查措施的采用与否,以措施对网络信息系统的侵入性作为是否启动数据安全审查机制的标准更为适宜。
再次,考虑到部分远程勘验措施本身具有较强的计算机信息系统的侵入性,以及该措施可能导致跨境取证并引发后续的管辖权冲突,此类措施的适用不仅应当像技术侦查措施一样设置较高的程序性门槛;同时针对侵入性较强且数据安全风险较高的远程勘验措施,宜由检察机关进行审查批准,一方面有助于强化其数据安全保障,另一方面也有助于确保目标数据在后续诉讼程序中的证据资格。
3.向网络信息业者调取场景
针对第三种场景中面临的上述两个层面的数据安全保障挑战,其应对思路需要回归到跨境数据取证的双边性这一重要的逻辑起点,以推进数据安全保障的国际共识作为前提,从以下几个层面探索相关机制。
首先,需要化解国内法层面的立场矛盾,从国际合作的角度审视国内刑事司法实践需求,看到网络信息业者不断深入参与跨境数据取证这一现实趋势;其次,需要看到在此种场景中数据跨境传输安全保障义务向第三方的转移,以及该义务转移可能与其他国内法层面其他法律义务形成的冲突,这种冲突的化解需要加强不同部门法之间的沟通和衔接;再次,针对不同国家或地区法律义务冲突而言,其所形成的法律风险难以通过调整一国法律予以实现,需要通过国际条约或协议等方式,化解网络信息业者可能面临的数据安全合规困境;第四,针对公私合作跨境取证的场景,面对数据安全保障的现实需求以及相关安全义务向网络信息业者传递的特征,需要促进全球互联网产业的数据安全共识和标准制定,发挥行业组织和标准组织在推进该场景数据安全保障机制建设的积极作用。
(三)设置两项配套机制
不同场景存在的数据安全风险类型及其来源有所差异,对于上述风险的防控一方面需要结合该场景的特征,另一方面也需要建立起必要的安全保障配套机制。从《数据安全法》第36条的规定来看,其关注点主要在于数据出境的端口控制,缺少对于跨境侦查取证全流程的安全风险防控。对此,应当至少建立起跨境数据取证中两方面的配套机制,以形成完整的数据安全保障机制:其一是取证措施的安全评估机制;其二是安全风险的跨境预警机制。
1. 取证措施的安全评估机制
数据安全的保障重点在于预防,因此可以看到的是,安全评估机制是《数据安全法》确立的保障数据安全的重要措施之一,具体内容涉及建设安全标准体系(第17条)、发展安全检测评估认证服务(第18条)、建立统一高效权威的安全风险评估机制(第22条)、针对重要数据开展定期风险评估和报告(第30条)等。在刑事跨境数据取证过程中,不同场景均可能面临不同程度的数据安全风险,这就需要在这一过程中适当引入数据安全评估机制,尽可能避免或降低数据跨境传输风险。如前所述,在刑事侦查取证中,极少以资源性的数据聚合体作为取证对象,因此这一场景中数据安全评估的重点不应当放置在数据体量之上,而是需要重点关注侦查措施本身,其中又主要涉及两种侦查措施。
第一种措施是采用特殊技术侵入计算机信息系统。这类措施的本质即在于利用网络信息系统的安全弱点或漏洞,因此首先需要形成共识的是,使用此类措施不可避免地会引发数据安全风险。对此,需要建立起针对该技术的强制性的事前数据安全审查机制,尽可能明确该措施针对不同系统可能形成的干扰乃至破坏,一方面引入技术专家对相关措施进行安全评估,并尽可能选择安全风险性较低的措施;另一方面应当遵循比例原则的要求,所采取的特殊侦查措施应当与具体的犯罪性质、情节等相称,并将采用该措施可能导致的对普通公民数据安全的潜在威胁等因素考虑在内。
此外,有学者研究指出,侦查机关可能会收集和存储系统漏洞以备未来侦查取证不时之需,同时我国2021年7月12日由工业和信息化部、国家互联网信息办公室和公安部联合出台的《网络产品安全漏洞管理规定》初步建立起网络产品安全漏洞的发现、收集和报告制度,这些安全漏洞的收集行为本身是打击犯罪、防控网络和数据安全风险的重要措施,但需要看到的是,这种漏洞汇集本身也提高了网络和数据安全的系统性风险,一旦泄露可能波及数个网络信息系统。因此,如果侦查机关进行此类漏洞收集,那么也需要针对漏洞集合本身建立起常规化的安全评估和保障机制,提高整体漏洞集合的安全保障程度,避免形成漏洞泄露事件。
第二种措施是要求网络信息业者提供解锁设备、系统解密等技术支持,其可能同时出现在三种场景之中。此时,数据安全风险并非直接源于侦查机关自身,而是产生于网络信息业者协助执法的行为。但需要看到的是,要求网络信息业者提供特定技术支持,从可能引发的数据安全风险的性质和程度而言,与侦查机关直接采取特殊侦查措施无异,只是此时出现了安全责任的转移。对此,典型的例证是2015年美国联邦调查局要求苹果公司解锁用户手机设备,在后者提出的多项反对观点中就曾提到,该措施可能系统性威胁苹果手机用户数据安全。此时,网络信息业者实际上面临着数据安全的困境:一方面,基于一般性的数据安全要求,其有义务采取措施保障其信息系统及数据用户安全;另一方面,进行设备解锁、系统后门提供等技术支持又不可避免地会暴露或形成系统漏洞、提升整体性的数据安全风险。侦查机关在提出此类协助要求时,需要考虑到网络信息业者执行该命令可能对其服务系统及用户数据安全等造成的潜在风险,并在程序设计上允许网络信息业者基于该安全风险全部或部分拒绝协助;此外,有必要针对网络信息业者等第三方提供技术支持和提供数据这两项协助方式设置不同的申请程序,其中对于数据安全可能造成系统性风险的技术支持,应当设置更高的启动门槛,例如可以考虑引入同级人民检察院的审查批准。
2. 安全风险事件的跨境预警机制
第二项在跨境数据取证中重要的数据安全保障配套机制是安全预警机制。与安全评估机制类似,《数据安全法》第22条同样将安全风险的监测预警机制列为重要的数据安全制度,并要求数据处理者加强风险监测和应急处置(第29条)。可以看到的是,现有预警机制主要涉及的是境内数据处理活动,但对于数据跨境场景的安全风险监测、预警和应急处置则关注较少,其背后体现的仍然是对于数据跨境安全管理的端口控制而非过程控制思路。然而,对于刑事跨境数据取证而言,其数据安全风险恰恰主要来自于侦查取证过程中因技术和法律衔接不畅带来的风险,同时基于国际法层面的对等原则和互惠原则,一国也有义务保障其跨境取证行为不损及被请求国或第三国的数据安全利益。
基于此,在刑事跨境数据取证中,有必要建立起国际间的数据安全风险预警机制。对此,当前世界范围内一些关于跨境数据取证的立法探索已经关注到这一点,例如2021年5月通过的《〈布达佩斯公约〉第二附加议定书》要求在出现数据安全事件,可能对个人或其他成员国造成物理或非物理损害时,接收数据的成员国有义务立即评估损害的可能性和范围,及时将事件通知数据传输方,并立即采取恰当措施以降低损害。与前述安全评估机制类似,国际层面的数据安全风险预警机制需要以共同适用的国际规则为其有效运行的前提,既可以借用国际刑警组织、计算机安全突发事件响应组(CSIRTs)等已有机制,也可以考虑针对跨境数据取证制定专门的数据安全风险国际预警机制。
需要注意的是,区别于其他领域的预警机制,刑事侦查取证本身有着较高的保密性要求,不当的信息披露可能妨碍侦查取证的顺利进行。在发生数据安全风险事件时,其风险可能不仅限于申请国与被申请国,还有可能波及到位于世界其他国家或地区的网络信息系统及数据安全;然而,如果此时立即进行全面预警,则又有可能导致侦查措施暴露等后果,有损犯罪侦查的有效开展,进而可能妨碍打击犯罪的目的;在目标犯罪涉及国家安全、社会公共安全或公民的重大人身财产权利时,全面预警可能造成更为严重的损害结果。基于此,刑事跨境数据取证过程中的数据安全风险预警应当考量多方面利益,特别是需要基于比例原则在保障数据安全与打击犯罪之间寻求平衡,在安全预警可能损及犯罪侦查取证时,应当允许对预警采取必要且合理的限制,例如进行部分风险预警、对通知对象的范围进行限缩、临时禁止或推迟向第三方扩散预警等。
结 论
《数据安全法》建立起数据安全保障体系的宏观框架,作为网络空间治理的重要组成部分,该法的影响涉及到各种类型的数据处理活动,这其中也涉及刑事司法领域。刑事跨境数据取证中数据安全保障的复杂性,不仅在于数据跨境传输本身所存在的安全风险,同时也在于强地域属性的刑事司法制度对于跨境取证的诸多限制;在这一场景中,数据安全并非是最主要的价值,并且该目标也并非总能与刑事司法自身价值相兼容。此时,加强刑事诉讼法与数据安全法的对话与衔接以推动价值平衡就变得尤为重要。这一方面需要明确数据安全这一概念自身的内涵和外延,特别是需要将其放置在我国网络信息法律制度整体框架下进行审视,尽可能将其与《网络安全法》《个人信息保护法》等相关立法的功能进行划分,避免其涵盖范围的过度扩张,也正是在这个意义上,笔者始终强调应当主要针对资源性的数据聚合体探讨数据安全,并且数据安全的评价要素应当回归;另一方面需要紧密结合刑事跨境取证本身的特征和需求,根据不同的跨境数据取证场景来考察其中的数据安全风险,在确保犯罪治理目的得以有效实现的前提下,设置相应的数据安全保障机制。
作者系裴炜,北京航空航天大学法学院副教授。文章发表于《国家检察官学院学报》2021年第6期。微信公号文章有删节,引用请参照原文。