跨境电子取证的中国应对
陈丽,中国人民大学法学院博士研究生
摘 要
一、问题的提出
全面依法治国要求统筹国内法治和涉外法治,跨境电子取证是涉外法治的重点工作领域。当前跨境电子取证需求呈上升态势,欧盟委员会的报告指出,大约有85%的刑事调查需要电子数据,这些调查中又有2/3涉及向跨境服务提供者(位于另一司法辖区)取证。为应对跨境电子取证挑战,不少国家尝试提出了符合本国利益的规则方案。我国需要及时跟进研究,推动跨境电子取证的国内法律与国际规则相衔接,提出契合国际法治和中国实际、为国际社会普遍接受的建设性方案。
我国研究者们提出的跨境电子取证方案不一而足,但主要存在两大误区。一种误区是坚持司法协助路径,其主张在司法协助框架内实现跨境电子取证,典型表述如,“自行取证终究只是权宜之计,还是要回归到刑事司法协作的轨道上来”;“司法协助调查取证方式具有优先性,非正式取证方式仅在例外情形下可适用”;“在刑事司法协助框架下构建跨境电子数据取证制度是必不可少的”。司法协助的出发点是一国对网络空间没有主权,故需与他国合作,这实际上默示、主动放弃了网络空间主权。另一种误区是坚持数据存储地模式,其主张一国对位于本国疆域内的电子数据具有取证管辖权。典型表述如,“我国可依数据存储地模式,要求云服务提供者将云服务器建立在我国境内”;“基于数据主权战略,原则上应当坚持数据存储地模式”。数据存储地模式表面上强调主权,但由于网络空间无法清晰划定国家疆域、电子数据存储位置具有不确定性,因此该方案在落地实践时效果不佳。这两种方案的共同缺陷在于架空了网络空间主权。
本文旨在回答如何基于国家主权原则构建高效、便捷的跨境电子取证方案。关于此,新时期代表性国家立法的共性规律是迈向属人主义,网络服务提供者向执法机构披露数据的现状亦为属人主义奠定了基础。习近平指出:“国与国之间开展执法安全合作,既要遵守两国各自的法律规定,又要确保国际法平等统一适用,不能搞双重标准,更不能合则用、不合则弃。”这是一种和合思维,即要异中求同、同中存异。我国强调国家主权原则的跨境电子取证方案可以兼容属人主义共性规律。具言之,我国可建构数据任意访问者模式,以办案机关签发令状、由诉讼参与人或其他主体直接收集电子数据;还可基于国家主权调适数据控制者模式,允许办案机关向在中国注册或提供服务的网络服务提供者调取境外电子数据。
二、跨境电子取证既有方案的误区
我国虽强调基于国家主权原则开展跨境电子取证活动,但现行立法却未能完整准确贯彻该理念。2016年《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第9条第2款、第3款之规定可能导致执法人员在缺乏监督的情况下作出影响他国主权的决定,引发外事纠纷。有学者指出,我国当前的单边取证,尤其是包含技术侦查的跨境电子取证显然有违网络空间主权原则。为解决该问题,2019年《公安机关办理刑事案件电子数据取证规则》(以下简称《电子数据取证规则》)第23条规定:“对公开发布的电子数据、境内远程计算机信息系统上的电子数据,可以通过网络在线提取。”这是对原有跨境电子取证规则的微调,但尚未完全解决主权问题,也未达到与国际接轨的层次。面对立法含混,我国学界批判有余、建构不足。学者们提出的跨境电子取证中国方案主要存在两大误区,一是固守司法协助路径,二是坚持数据存储地模式。
(一)对司法协助方案的反思性检讨
司法协助是传统的证据调取模式,在我国立法中备受推崇。《国际刑事司法协助法》专门在第四章规定了我国向外国请求调查取证及外国向我国请求调查取证的程序。《刑事诉讼法》第18条规定,根据我国缔结或者参加的国际条约,或者按照互惠原则,我国司法机关和外国司法机关可以相互请求刑事司法协助。《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》中规定,依照刑事司法协助等方式收集的境外证据材料,经查证属实,可以作为定案的依据。司法实践中,办案机关常常会采取司法协助路径收集境外电子数据。例如,在张某某等52人电信网络诈骗案中,肯尼亚在遣返犯罪嫌疑人前已经查获了涉案电子数据,然后将这些境外证据移交给了我国公安机关。
对司法协助方案进行考察,可以发现其主要存在以下几个问题:首先,取证效率不高。“中国跨国取证主要通过司法协助和警务合作等渠道,但由于各国法律制度不同、协作效率不高等原因,往往程序繁琐,用时较长。”正因此,有学者指出,司法协助与追求快捷、高效的电子取证理念格格不入,脱离司法协助框架收集电子数据的需求愈发强烈。其次,适用范围有限。司法协助仅适用于与我国签订了多边或双边司法互助协议的国家,亦或依据平等互惠原则可展开跨境电子取证合作的国家。再者,无法满足取证需求。司法协助方案因循守旧,无法实现突破性变革。尽管有学者提出可以构建跨境电子取证简易程序,但随着跨境电子取证需求的井喷式增长,即使对原有司法协助程序进行简化也无法满足实践需求。最后,也是最重要的一点,司法协助方案看似是在尊重他国主权,实则默认、放弃了我国拥有网络空间主权。现代国际法普遍承认,国家领土是国家行使主权的空间。领土是指处于国家主权管辖支配下的地球特定部分,包括陆地、水域及陆地和水域的上空及地下层。领土主权是指国家对其领土内的人、物、事行使的最高的和排他的权力。从“领土”和“领土主权”的传统定义来看,网络空间并未被纳入其中。但技术进步拓展了国家疆域,在各个空间延伸了主权管辖的“领土”。我国2016年《国家网络空间安全战略》明确将国家主权拓展延伸到网络空间,2017年生效的《网络安全法》明确规定要维护网络空间主权。但按照司法协助的逻辑,由于我国对网络空间没有主权或网络空间主权范围不明确,因此只能通过寻求他国的协助来获取电子数据,这实际上是默示、主动放弃了对网络空间主权的追求,进而架空了网络空间主权原则。
(二)数据存储地模式的厘清与辩驳
古典管辖理论认为,属地性是管辖权的首要根据。数据存储地模式即延循了属地管辖思路,其主张办案机关对本国疆域内存储的电子数据有取证管辖权。这就要求清晰划定一国在网络空间的疆域、明确电子数据的存储位置。但网络空间具有跨国界、无边界的特性,它剥离了人类活动、数据传输的“属地性”;云计算、区块链、暗网等新兴技术挑战了电子数据位置的确定性,这些均导致网络空间主权范围无法清晰界定,数据存储地模式落地实践效果不佳。
首先,云存储电子数据的位置难以识别。数据由本地存储转为云端存储是当今社会一大变革,云中存储的数据通常会被复制并保存在多个位置,这就导致多点(甚至多国)存储的指数级增长。因此,云计算对司法证据规则的一项关键挑战就在于“繁多性”,云中数据副本可能在不同的虚拟机和物理机上存储,有时甚至是在不同管辖区内。当云服务商需要回应执法机关的数据请求时,可能不得不从多个地点取回数据。云计算中数据的分布式性质和远程存储使得确定电子数据位置十分困难。此外,云空间的数据分区亦导致电子数据位置难以识别,“分区数据库的各个组件可被存放于多个位置,人们只有使用适当的应用程序才能理解‘关系数据库’。例如,医生可在其办公室调取病历,但病历的各组成部分——患者姓名、药物史等,可能分布存储于不同位置,若没有适当软件,相关信息就无法以可用方式组合起来。”
其次,暗网中电子数据的位置未知且难以追踪。在明网中,人们日常访问的公开互联网域名均在特定国家注册,域名和IP地址受互联网名称与数字地址分配机构(ICANN)管理。因此,在传统刑事犯罪调查中,办案人员可利用域名对应到IP地址,通过网络服务提供者的配合定位涉案电子设备位置、确定犯罪分子身份信息。但暗网域名体系不受ICANN的管理,暗网的IP地址和数据传输通常是匿名的,人们难以解析传输内容。借用量子力学的宏观表达,构成网络行为对象的电子可以在不同地方同时出现,廉价的存储器、便捷的访问和全球性的覆盖使得主权国家难以掌控网络信息的流动。此外,暗网不存在可被国家监管的中心节点,暗网节点遍布全球,中间节点和目标节点的地理位置未知。再加之,暗网空间存在通信实体的高动态性(节点可随机加入或退出)、网络结构异构(节点列表定期更新)、通信关系弱关联性(随机而非固定选择下一跳节点)等资源要素隐匿问题。因此,暗网中电子数据的位置无法确定,这为根据属地主义明确执法管辖权和部署全球执法协作带来挑战。
最后,区块链中电子数据具有多位置性、不稳定性。在国内外司法实践中,区块链记录用作证据已成为客观现实。根据2018年《最高人民法院关于互联网法院审理案件若干问题的规定》第11条,电子数据通过区块链技术验证,能够证明其真实性的,互联网法院应当确认。2021年《人民法院在线诉讼规则》第16条认可了通过区块链技术存储的电子数据的法律效力。国外亦不乏关于区块链证据的立法。区块链最大的特征是去中心化,即区块链数据的验证、记账、存储、维护和传输等过程都是基于分布式网络架构,无需第三方机构或中心机构。并且区块链本身的数字基础设施几乎总是超越领土边界,交易各方可在几分钟之内完成跨越各大洲的支付行为。这就导致区块链中存储的数据具有多位置性。量子理论能为区块链去中心化特征提供底层支撑,量子世界最基本的原理是“不确定性”和“非定域性”,区块链所构筑的分布式世界遵循同样的原则。这就导致区块链中的数据存储位置具有不稳定性。
此外,数据存储地模式会导致一国基于维护自身利益的考量,积极加强对本国数据的管控,影响跨境电子取证国际合作。有研究报告表明,包括中国在内的13个国家和地区通过立法对数据本地化做出了要求。我国《征信业管理条例》第24条、《人口健康信息管理办法(试行)》第10条、《地图管理条例》第34条、《网络预约出租车经营服务管理暂行办法》第27条、《网络安全法》第37条等均对数据本地化存储作出了规定。本地化存储覆盖的数据范围包括个人数据和行业内重要数据,如医疗健康业、银行业、保险业、征信业、电子支付业等。当外国执法机构向中国调取上述数据时,就会受到我国数据本地化法律的限制。适当实施数据本地化政策有利于维护国家主权和安全,但若过于推崇该政策,则是对属地原则的恪守,可能引发法律冲突,制约跨境电子取证国际合作。例如,欧盟认为我国不符合开展数据跨境国际合作的要求,特别是“数据本地化”的政策难以与欧盟和美国主导的双边/多边机制兼容。
综上可知,数据存储地模式下网络空间主权范围无法清晰界定,司法协助方案则默示、主动放弃了我国对网络空间主权的追求,这两种方案均架空了网络空间主权原则。
三、迈向属人主义:跨境电子取证的模式转型
《周易·系辞上》说:“一阴一阳之谓道。”“万物负阴而抱阳,冲气以为和。”这启发我们,跨境电子取证模式变革需要在对立统一中把握其客观发展规律。当前跨境电子取证变革的逻辑理路是实践逻辑与理论逻辑的辩证统一,主要表现为由属地主义迈向属人主义。这既揭示出新时期代表性国家跨境电子取证立法的共性规律,也反映出执法机构跨境电子取证的客观实践。
(一)新近各国立法揭示属人主义共性规律
凡根据人或事物的存在地或发生地行使管辖就是主张属地管辖,根据人的国籍行使管辖则是主张属人管辖。属地管辖是国家行使管辖权最主要的原则,这是因为“国家领土内一切人和物都属于国家的属地最高权支配,因而每个国家对它们都有管辖权。”但在网络犯罪呈全球蔓延趋势的当今时代,基于属地主义确定国家对数据的取证管辖边界是执着于追求简单明确规则的过时思维。“虚拟服务器”革新了数据存储地概念,多重加密技术致使暗网中涉案数据的实际物理存储位置难以追踪。数据混杂性也意味着,基于用户位置确定法律规则十分困难。以属地原则为主的传统管辖理论在网络空间难以适应,人们开始寻找替代性的理论。有学者指出应以国籍作为网络空间管辖的基本原则,这种以国籍为系属的管辖理论实质上沿循了属人主义进路。
在国际立法层面,早在2004年,欧洲委员会《网络犯罪公约》第32条b款就授权执法机构采取属人主义收集境外数据,前提是相应行为获得了拥有法定权限、通过计算机系统向取证方披露数据的个体合法且自愿的同意。《网络犯罪公约》目前已有63个缔约方(而且还在增加),其中超一半缔约方并非欧盟成员,这就为缔约国在打击网络犯罪方面展开国际合作、达成广泛共识奠定了基础。2021年《网络犯罪公约》第二附加议定书(草案)第6条、第7条是关于执法机构与网络服务提供者“直接合作”的条款,该草案第6条允许某一缔约方当局向在另一缔约方境内提供域名服务的机构直接调取域名注册信息,草案第7条允许某一缔约方当局向另一缔约方境内的服务提供者直接调取用户信息。在这种跨境电子取证模式下,数据存储于何处、如何传输并不重要,关键在于执法机构是否能对有能力访问这些数据的人主张属人管辖权。
美国2018年发布的《澄清合法使用境外数据法》(简称《云法案》)规定,受一国管辖的公司可以被要求输出公司控制的数据,无论数据何时存放于何处。《云法案》明确采用数据控制者模式,允许美国政府要求在其国内注册的网络服务提供者提交其存储于他国境内的用户信息。这表明美国通过属人管辖思路的延伸,对美国企业境外运营数据实施管辖。
2018年4月17日,欧盟提出《欧洲议会和欧洲理事会关于刑事犯罪电子数据的调取令和保全令的规定的提案》(以下简称《电子证据条例》),其中规定无论数据位置存储于何处,成员国调查当局可命令在欧盟内提供电子通信和其他信息服务的服务提供者提交或保存电子数据。这其实也反映出属人主义的管辖思路。虽然目前该条例因为隐私争议尚未获得绝对支持,但一旦投票通过,其可能产生等同或甚于《云法案》的长臂效果。
美欧的做法可归结为数据控制者模式,即通过寻求跨境云服务提供者的合作或对其发出指令的方式,获取其控制的数据。这种基于属人主义的跨境电子取证模式虽反映出欧美等国立法的共性规律,但也存在不容忽视的问题。我国在构建跨境电子取证的中国方案时既应借鉴属人主义规律,也应警惕数据控制者模式的弊端。
第一,数据控制者模式可能会导致主权重叠、管辖权冲突。例如,为满足用户需求和降低成本,网络服务提供者经常将其提供的服务部分外包,因此不同国家同时管控同一条数据的情形时有发生。又如,在当前欧盟法律框架下,受欧盟管辖的服务提供者不得直接回应美国政府提出的数据请求。一些欧洲服务提供者表示,来自外国政府的数据请求通常被忽略或不被执行。2019年9月25日,欧盟和美国正式开始谈判,旨在缔结一项“跨大西洋电子数据跨境获取协议”,以开展刑事司法合作。促使这次谈判的重要理由之一是避免欧盟和美国的法律冲突。针对“跨大西洋电子数据跨境获取协议”的范围和架构,欧盟与美国尚存分歧。
第二,数据控制者模式可能导致将国家责任转嫁给私人实体。根据一种批判性意见,执法人员向网络服务提供者调取电子数据是将传统国家能力“外包”,国家出于经济和效率的考量将自身在刑事问题上的责任转移给私人公司,将相关成本外部化给私人实体,这实际上是一种霸权主义的政治立场。
第三,数据控制者模式面临着网络服务提供者协助取证困难问题。大多数网络服务提供者并未设立专门机构来响应执法机构提出的取证请求,因为这对公司开展业务而言并非必需。并且,由于云是以付费使用的形式向用户提供各种服务的分布式计算系统,云服务提供者与用户会通过服务级别协议约定服务内容,包括调查取证等。这种按需付费的特性使得云服务提供者必须按服务级别协议履行义务。若服务级别协议允许第三方访问用户数据,或允许服务提供者向第三方披露可能影响、损害用户声誉的信息,支付费用的云服务购买者可能会拒绝签署这样的协议。
(二)网络服务提供者披露数据为属人主义奠基
在基于属人主义的跨境电子取证模式中,电子数据的存储位置不再重要。相反,控制或有权访问电子数据的主体是谁,一国能否基于属人管辖权要求其提交数据,其是否愿意配合调查取证变得至关重要。本文采取实证分析法,选取了微软、脸书、谷歌、推特、苹果这五大网络服务提供者,根据其公开发布的2013-2020年透明度报告,分析执法机构向其调取数据的情况。
根据图1可知,总体而言,执法机构对网络服务提供者提出的数据披露请求自2013-2020年持续增长。2020年脸书共收到364605项请求,比2013年增加了近六倍;2020年谷歌共收到217424项请求,比2013年增加了三倍多;2020年推特共收到27218项请求,比2013年增加了近十倍;苹果自2013—2020年收到的数据披露请求数量呈缓慢增长趋势;2020年微软共收到48891项请求,与2013年的72279项请求相比,下降了32.26%。这表明,除了微软,其他网络服务提供者收到的数据披露请求均呈上升趋势。微软在2013年时是五大服务提供者中收到数据披露请求最多的公司,但2016年后谷歌和脸书收到的请求数量开始赶超微软,并呈指数增长趋势。脸书在2015年成为五大服务提供者中收到数据披露请求最多的公司,至今仍处于遥遥领先的地位。
结合图1和图2可知,执法机构向微软、脸书、谷歌、推特公司提出的请求数与所涉及的账户/用户数呈正相关关系,执法机构向苹果公司提出的请求数与所涉及的账户/用户数呈非线性关系。具言之,脸书、谷歌、推特公司自2013-2020年收到的执法机构数据披露请求持续增长,请求所涉及的账户/用户数也随之增长;微软公司自2013-2020年收到的执法机构数据披露请求缓慢下降,请求所涉及的账户/用户数也随之下降;苹果公司自2013-2020年收到的执法机构数据披露请求虽然平稳增长,但请求所涉及的账户/用户数却波动起伏,并于2014年下半年达到了峰值661482。
结合图3和表1可知,五大网络服务提供者向执法机构披露数据的比率普遍能达到60%以上,但具体比率则因公司而异。自2013—2020年脸书、谷歌、苹果向执法机构披露数据的比率整体呈上升趋势,微软、推特向执法机构披露数据的比率整体呈下降趋势。在五大网络服务提供者中,苹果向执法机构披露数据比率的平均数、中位数都是最高,2017年后该公司披露数据的比率能达到80%;推特向执法机构披露数据比率的平均数、中位数都是最低,2020下半年该公司披露数据的比率仅有30%。这表明,网络服务提供者对于执法机构的数据披露请求并非均持配合态度。司法实践中,在网络服务提供者拒绝数据披露请求时,执法机构可能会通过威胁、恐吓、秘密监视等方式获取电子数据,但这些措施可能侵犯用户隐私,致使公司在网上开展业务的成本提高。例如,在谷歌被控不当收集用户数据后,韩国执法机构突袭了谷歌在首尔的办公室,查获了涉案电子数据。
对执法机构向网络服务提供者调取数据现象兴盛的缘由进行探析,可以发现原因主要有二,一则当今时代网络服务提供者掌握了海量电子数据。《2021年数字经济报告》显示,苹果、微软、亚马逊、谷歌、脸书、腾讯及阿里巴巴是最大的数字平台。这些公司掌握的海量数据均可能成为涉案电子数据。例如,在一起破坏计算机信息系统案中,公安机关提供了阿里云后台服务器操作日志电子数据。在一起诈骗案中,法院通过比对公安机关调取的相关银行流水及阿里云邮箱邮件,证实了诈骗数额。在一起非法获取计算机信息系统数据、非法控制计算机信息系统案中,指控证据包括犯罪嫌疑人谷歌邮箱内含有公民个人信息的邮件及内容的截图等。在一起非法吸收公众存
款案中,公安机关调取了阿里云平台后台数据等电子数据。二则网络服务提供者有时可以决定数据传输路径或存储位置,因此当执法机构不便基于数据存储地模式获取电子数据时,寻求网络服务提供者的帮助成为了最佳替代方案。目前数据存储位置不再依托于传统司法管辖权,而是取决于网络服务提供者对业务架构的选择。虽然用户可以通过签订协议与网络服务提供者约定数据存储位置,但大多数用户并未这么做。当海量电子数据由这些网络服务提供者持有或控制时,执法机关就会向他们寻求披露数据。这就为基于属人主义的跨境电子取证模式之勃兴提供了客观基础。
四、跨境电子取证中国方案的创新路径
根据互联网治理的“主权差异”观,互联网在不同地方应根据当地规范、习俗和规则进行差异化运作。在承认差异的基础上扩大共识、寻求各国做法“最大公约数”,应当是完善跨境电子取证中国方案的智慧。因此,我国需在坚持国家主权原则的基础上革新跨境电子取证的属人主义模式,具体路径有二,一是建构数据任意访问者模式,二是基于国家主权调适数据控制者模式。
(一)建构数据任意访问者模式
跨境电子取证的数据任意访问者模式是指以办案机关签发令状、由诉讼参与人或其他主体直接收集电子数据。从取证主体来看,当事人、律师等私权利主体是直接取证主体,侦查人员、执法人员等公权力主体是间接取证主体。从取证手段来看分“两步走”,第一步是国家通过立法赋予当事人、律师等私权利主体取证资格,明确其应遵循的取证原则、取证程序、取证权利义务,私权利主体依法进行跨境电子取证活动,访问获取数据在法律性质上并非技术性访问或强制性访问;第二步是司法机关、执法机关等公权力机关向私权利主体签发令状,调取其已经获得的电子数据,即办案机关的权力仅及于数据任意访问者。
数据任意访问者模式的法理基础可追溯至权力—权利关系。首先,权力与权利互为表里。在以客体标准区分权利与权力的语境下,权利与权力存在结构上的嵌套关系,即权力中有权利,权利上有权力。在这一结构中,权力以权利为客体,权利以自然物为客体,因此权力即二阶权利。其次,权力与权利可以相互转化。权力转化为权利,即通过权力来确认、保护权利,使权利得以实现和不受侵犯。权利可以转化为权力,如财产所有权本是一种权利,经济学家却把资本称为“支配他人劳动的权力”。数据任意访问者模式的逻辑起点是公民权利本位,逻辑中介是我国公民对其在境外形成的数据拥有数据主权,逻辑终点是将国家主权意志输入到私权利主体身上。
国家根据公民身份对数据任意访问者设置权利义务规则是属人管辖权的体现。并且数据任意访问者模式能够平衡刑事执法利益和对外关系利益,反映出对他国主权的尊重。《塔林手册》2.0版明确只有国家能构成对他国主权的侵犯,非国家行为体行为不能构成侵犯主权,除非这些行为可归责于国家。按照此标准,只有国家能构成侵犯他国主权的行为主体,而私权利主体跨境电子取证并不会侵犯他国主权。因此,数据任意访问者模式从本质上看并非长臂管辖权,但却起到了大致相当的取证效果。当然,数据任意访问者在调取境外电子数据时,应遵循诉讼法基本原则和规则。为更好地构建数据任意访问者模式,我国可以作出以下几点证据制度调整:
第一,进行文书改造,将现有的勘验笔录、远程勘验笔录、网络在线提取笔录改造为二合一笔录。为规范办案程序,保障电子数据的合法性,《电子数据取证规则》第26条规定,网络在线提取电子数据应在笔录中注明的事项;《电子数据取证规则》第31条规定,远程勘验结束后应制作《远程勘验笔录》;《人民检察院办理网络犯罪案件规定》第32条规定,判断电子数据的合法性,应注重审查相关勘验笔录、搜查笔录、提取笔录等取证记录是否完备。传统意义上,《网络在线提取笔录》《远程勘验笔录》《勘验笔录》等都由办案人员制作,因为正是他们完成了电子数据取证过程。根据数据任意访问者模式,跨境电子取证程序需要两份文书:一是当事人、律师等数据任意访问者自行收集提取境外电子数据形成的笔录;二是司法机关向已经获取境外电子数据的数据任意访问者出具证据调取通知书。因此,原来办案人员跨境电子取证中使用的《网络在线提取笔录》《远程勘验笔录》《勘验笔录》等,应调整为数据任意访问者取证笔录和办案人员证据调取笔录二合一的笔录。
第二,合理降低民事诉讼、行政诉讼中证据合法性审查标准。在民事诉讼、行政诉讼当中,若当事人因取证权能不足无法调取境外电子数据,办案机关就会不予立案。为解决该问题,不少当事人选择了“翻墙”获取境外电子数据,但此类证据面临合法性问题。《民事诉讼法司法解释》第106条规定:“对以严重侵害他人合法权益、违反法律禁止性规定或者严重违背公序良俗的方法形成或者获取的证据,不得作为认定案件事实的根据。”“翻墙”获取的境外电子数据是否应作为非法证据被排除备受争议。广州互联网法院在一起著作权侵权案件中,综合分析了非法证据排除规则在三大诉讼中的价值取向、证据在民事案件中的作用,指出民事诉讼对证据合法性的认定不宜过分严苛,当事人通过VPN方式获取境外网页、邮件等电子数据,在取证手段上虽存在瑕疵,但并不违背《计算机信息网络国际联网管理暂行规定》第6条之立法目的,最终结合其他证据采信了该“翻墙”获得的电子数据。在民事诉讼、行政诉讼中合理降低证据合法性审查标准有利于数据任意访问者模式的推广运用。
第三,对公开发布的电子数据进行扩张解释。信息天然具有非竞争性特征,一旦某项信息被置于公开可访问状态,理论上其价值就可被社会公众共享。在2017年“hiQ Labs,Inc.v.LinkedIn Corporation案”中,法官认为,除非拥有知识产权等法定权利,否则私人主体不应享有单方面限制其他私人主体获取公开信息的权利。如果赋予私人主体此种权利,将可能引发宪法问题,不仅有损言论自由的环境,还将对互联网上信息的自由流动造成阻碍,从而在整体上损害社会公共利益。《网络犯罪公约》第32条规定了缔约国可以跨境访问公开可用的电子数据。《电子数据取证规则》第23条将网络在线提取的范围限缩至境外公开发布的电子数据。学界共识是,一国访问获取可公开获得的电子数据行使的是域内管辖权,而非域外管辖权。因此,执法机关获取此类数据不会侵犯他国主权。举重以明轻,作为普通人的数据任意访问者获取此类数据就更不会侵犯他国主权了。对于电子数据公开发布的情形、时间等,取证主体可以结合表2综合判断。
“数据任意访问者模式”是基于扎实的理论、实践、制度基础,得出的学术判断。首先,从理论基础来看,该模式以属人主义为理论支撑,是属人主义理论在跨境电子取证中的具体应用。其次,从实践基础来看,我国现有的远程勘验抽象出来后就是“数据任意访问者模式”。国外实践中亦存在这种做法,斯诺登事件就已经揭露出此现象,只是未对此进行法律上的抽象讨论。暗网取证等的涌现,反映出哪个地方访问数据,就可在哪个地方取证。最后,从制度基础来看,我国《网络安全法》和《数据安全法》均确立了数据主权原则,该原则落地的具体路径之一就是“数据控制者模式”。
(二)基于国家主权调适数据控制者模式
我国学界普遍主张建立数据控制者模式,只是学者们提出的具体构建方案有所差异。《民事诉讼法》第67条第1款规定:“人民法院有权向有关单位和个人调查取证,有关单位和个人不得拒绝。”在构建跨境电子取证的中国方案时,我国可对承担协助取证义务的“有关单位和个人”进行文义解释,即执法机关、司法机关可以向在中国注册或提供服务的网络服务提供者调取境外电子数据。从本质上看,这是将注册地标准和实质提供服务标准作为确定属人管辖的连接点。
中国在调适向网络服务提供者调取电子数据的模式时,需贯彻尊重国家主权原则,积极寻求国际合作的共识。在世界范围内,跨境电子取证制度愈来愈受到地缘政治、隐私保护、数据政策等的影响。欧盟内部通过欧洲调查令允许参与成员国根据相互承认刑事事项司法裁决原则,发布和执行跨境数据收集指令,这从欧洲调查令指令第13条可以看出。欧洲调查令建立在参与成员国(欧盟27国,爱尔兰和丹麦除外)相互信任的基础上,取代了以往通过司法协助路径获取电子数据的做法。日本与欧盟签订了《欧盟日本数据共享协议》,新加坡积极对接亚太经合组织跨境隐私规则和欧盟机制,美国通过《云法案》实现长臂管辖目的。《网络犯罪公约》《阿拉伯打击信息技术犯罪公约》对跨境电子取证的国际合作进行了专门规定。但上述协议、公约中国均未参与其中。“一带一路”倡议是“新全球化时代”中国方案的具象化。因此,我国可以“一带一路”建设为契机,寻求跨境电子取证的国际合作共识。具体而言,我国可秉持对等和互惠原则,在“一带一路”成员国之间提倡构建新网络犯罪公约,藉此推广向网络服务提供者调取电子数据的取证模式。在配套设施建设上,我国可以与“一带一路”沿线国建立电子数据认证与交换平台,用于以安全、可信、可接受的方式收集和交换电子数据。
针对数据控制者模式存在的主权重叠、管辖权冲突问题,我国可借鉴他国立法模式,建立数据分类管理制度。例如,《英美执行协议》涉及调取的数据类型包括内容数据、流量数据、元数据、用户信息;《网络犯罪公约》第二附加议定书(草案)仅适用于调取用户数据,特别排除了流量数据、内容数据;欧盟《电子证据条例》适用于内容数据(仅存储)、非内容数据(用户、访问、业务)。调取的数据类型不同,需要履行的法律程序就会不同。根据微软公司的透明度报告,在全球范围内,有61.41% 的执法请求涉及非内容数据,只有4.6%的执法请求要求提供内容数据,因为获取内容数据需要履行的法律程序更为复杂。建立数据分类管理制度更为重要的原因在于,有时一国执法机关调取境外电子数据并不会导致法律冲突。通过明确一国在监管特定数据方面的利益,以及该国监管特定数据之目的,法院可在发生冲突时轻松判断哪国利益占上风。例如,假设美国通过了一项旨在促进在线创业的法律,该法规定了网络安全标准和数据完整性标准。现英国执法机构在调查犯罪时需访问毒品走私者的电子邮件帐户,该账户由受美国法律管辖的网络服务提供者管理。表面上看因管辖权重叠而发生了法律冲突,但实际并非如此,因为将数据交给英国执法机构,不会影响美国促进在线创业的目标。
针对数据控制者模式存在的网络服务提供者协助取证困难问题,我国可建立单一联络点(SPoC)机制,为执法机构和网络服务提供者提供协助。目前尚无SPoC的统一定义,但其通常可分为两种类型,即用于集中请求的SpoC和用于知识共享和支持的SpoC。用于集中请求的SPoC是指定人员、单位或机构,它们集中审查政府机构的请求并将其提交给网络服务提供者。这些SPoC负责处理请求和接收响应,充当有关国家和外国网络服务提供者调取电子数据事项接触的联络点。用于知识共享和支持的SpoC不一定参与政府机构请求的准备或提交,也不集中信息流。相反,它们充当了一个咨询中心,既向网络服务提供者提供咨询,也向执法机构提供咨询;它们还负责更新网络服务提供者的最新联系方式及相关数据披露请求流程信息,以供调查人员参考。单一联络点机制因其优势而广受欢迎。针对2020年《SIRIUS欧盟电子数据状况报告》而接受采访的所有公司都欢迎SPoC方法。目前,德国、芬兰、比利时、西班牙、荷兰纷纷建立了SpoC机制。
结 语
“治国无其法则乱,守法而不变则衰。”我国既有的跨境电子取证方案存在误区,固守司法协助路径和数据存储地模式实际上架空了网络空间主权,与我国强调国家主权的理念不相符合。在此背景下,唯有革故鼎新,才能促使我国跨境电子取证方案与时代同频、与国际接轨。跨境电子取证全球治理现状和新型治理模式前景,给了我们反思既有取证方案、构建新理论模式的契机。世界范围内一些代表性国家或国际组织在跨境电子取证制度建设上的共性规律是由属地主义迈向属人主义。对微软、脸书、谷歌、推特、苹果2013-2020年向执法机构披露数据情况的实证分析亦发现,网络服务提供者配合执法机构取证呈上升态势,这为基于属人主义的跨境电子取证模式之勃兴奠定了基础。
各国交往需要共同性,两个完全不相容的实体是无法交往的。我国在国际交往中需要积极寻求各国做法“最大公约数”,更有策略地讲好跨境电子取证的中国方案。由属地主义迈向属人主义反映出新时期代表性国家跨境电子取证的共性规律,我国强调国家主权原则的跨境电子取证方案能够兼容该规律。基于此理,本文选取了不同以往的分析视角和学术进路,提出了基于属人主义的跨境电子取证中国方案之创新路径。具言之,我国可以建构数据任意访问者模式,还可以基于国家主权调适数据控制者模式。在理论上,这一巧妙的创新可以超越原有跨境电子取证方案的局限性,实现不同风格的真正综合,为推动国际法规则制定和法治文明进步贡献中国智慧和中国方案。
END
学报编辑部
作者系陈丽,中国人民大学法学院博士研究生。文章发表于《国家检察官学院学报》2022年第5期。微信公号文章有删节,引用请参照原文。