冯俊伟:跨境电子取证制度的发展与反思
【作者】冯俊伟(山东大学法学院副教授、博士生导师)
【来源】《法学杂志》2019年第6期“跨境追诉专题”
内容提要:在信息化时代,电子数据的跨境流动对各国刑事司法功能的实现有重要意义。立足于本国法的“数据本地化”要求不能成为解决跨境电子取证问题的有效方案。传统司法协助途径和非正式的远程(跨境)搜查等方式在跨境电子取证上各存在优势和不足。各国应在国际法与国内法互动的基础上,坚持司法协助的基本框架,探索一种“(相互)尊重主权、重视程序参与者权利保障、高效、便捷”的跨境电子取证新机制。
关键词:电子数据;司法协助;数据主权;远程跨境搜查
在信息化时代,人类的沟通、交流和行为与电子数据、电子信息紧密地结合在一起,各类数据和信息不仅清晰地记录了我们的生活和工作,还深刻地影响了我们的生活方式、行为方式乃至思维方式。随着大数据和人工智能应用的兴起,数据、信息在经济发展、社会治理和犯罪预防等领域发挥了更大的作用。在这一背景下,电子数据的取得和运用在刑事司法中日益重要。电子数据取证牵涉的一个重大难题是现实世界与虚拟空间的分离。在现实世界,根据主权原则,各个民族国家构成了不同的主权区域,整个世界被划分为不同的疆域;而在虚拟世界,各类电子数据、电子信息在整个网络空间自由流动,虚拟空间构成了一个无疆界的区域。[1]在处理跨境网络犯罪等案件中,各国刑事司法面临的一个共同难题是如何高效、便捷地从另一国取得存储于该国的电子数据,以实现本国刑事司法的功能。
为了回应电子数据广泛运用的发展趋势,我国2012年修正的《刑事诉讼法》正式将“电子数据”列入证据种类。近年来,最高人民法院、最高人民检察院、公安部又相继出台了多个关于电子数据收集、运用的法律文件。[2]随着打击电信诈骗等犯罪活动的深入,司法实践中,我国办案机关面临着如何从另一国家取得电子数据的难题。这一问题在其他国家、地区也具有普遍性。在欧盟,实现包括电子数据在内的刑事证据的跨境流动,是当前刑事一体化的重要课题,立法者通过一系列立法举措试图解决这一问题,但前景仍不容乐观。美国在9·11事件后,不断强化对境外电子数据的取得,案件范围也从最初的反恐案件逐步扩大到其他刑事案件。到了2013年,“微软案”[3]的出现深刻地改变了美国跨境电子取证的立法与实践。2013年12月,纽约南区联邦地区法院签发了一个搜查令,要求微软公司披露某电子邮箱的相关信息,执法人员怀疑该邮箱用户涉嫌犯罪,微软公司提出,邮箱内容信息存储于都柏林,搜查令不具有域外效力,因此向联邦地区法院提出了撤销动议申请,但法院驳回了该申请。微软公司不服这一决定,上诉至美国第二巡回上诉法庭。上诉法庭认为,《存储通讯法》(Stored Communications Act)并无域外适用效力,支持了微软的主张。2017年6月,美国司法部将案件诉至联邦最高法院,在这期间,为了回应从境外取得电子数据的难题,2018年3月,美国国会迅速通过了《境外数据合法使用法》(“云法”)(Clarifying Lawful Overseas Use of Data Act)(“CLOUD Act”),该法明确规定,美国执法者有权获取存在于美国或美国境外的任何通讯、记录或者其他信息。在这一法案通过后,该案中的争议已失去意义。
“微软案”的主要争议是美国1986《存储通讯法》是否具有域外适用效力问题,但在更深层面,这一案件集中反映出了主权有限与犯罪无界、现实世界与虚拟空间、法律规定与技术发展之间的矛盾。美国《境外数据合法使用法》的出台在全球产生了广泛影响,欧盟在2018年4月出台了跨境电子数据取证的新草案,加拿大及时调整了本国相关立法。需要讨论的是,数据主权之下跨境电子数据取证如何展开、跨境电子数据取证制度是如何演进的,以及如何在国际法与国内法互动的基础上,促进跨境电子数据取证制度的未来发展。本文将结合美国、欧盟最新立法动态,对上述问题作初步分析。
一、数据主权与跨境电子取证
跨境电子数据取证仍然面临主权问题,一国对于储存于本国内的电子数据具有排他性支配权,各国在跨境电子数据取证中应当尊重他国的网络主权、数据主权。采取“数据本地化”方案有助于促进和维护本国数据主权,但不能有效解决刑事诉讼中电子数据的跨境流动问题。
(一)数据主权及其维护
跨境电子数据取证与国内电子数据取证的最大差别在于“跨境”,即电子数据在另一国家、地区或云空间存储,需要跨境取得。在这方面,跨境电子数据取证不过是传统域外刑事取证制度的一个具体领域,遭遇的最大障碍仍然是主权问题。[4]刑事案件中的调查取证行为是重要的刑事司法行为,也最能体现一国主权的排他性特征。“当牵涉刑法时,国家主权的关切是最棘手和最紧张的领域。”[5]国家主权是一个上位概念,具体又可以分为领土主权、领海主权、领空主权等。对于网络空间是否存在主权,则存在着不同主张。我国明确主张网络空间存在主权,习近平总书记在多次重要讲话中都阐述了我国所主张的网络主权观。[6]《网络安全法》第1条规定,该法的任务之一是“保障网络安全,维护网络空间主权和国家安全”。《国家安全法》第25条也规定,要维护国家网络空间主权、安全和发展利益。美国等部分国家则主张网络空间无主权,但从美国在网络领域、电子数据领域的相关立法和实践来看,其主张的“网络无主权”与其实际做法相悖。美国采取了多重措施维护其网络主权、数据主权,并严格限制他国对于储存在美国的电子数据的共享和取得,后文将结合美国《境外数据合法使用法》的规定作进一步分析。也有论者直接指出,在这一问题上,美国的做法存在着霸权逻辑和双重标准。[7]
在跨境电子数据取证问题上,网络主权与数据主权具有一致性,“网络空间只有数据存在,对网络空间主张主权,其必然包括数据主权。”[8]具体言之,数据主权应当被理解为国家“独立自主占有、处理和管理本国数据并排除他国和其他组织干预的国家最高权力。”[9]在这一背景下,一国对本国电子数据具有排他性支配权。根据国际法的一般原理,除获得本国同意外,[10]任何其他国家不得私自获取上述数据。从国际刑事司法协助的发展来看,这种同意主要来自四个方面:一是签定和加入多边国际条约,如《联合国反腐败公约》《联合国打击跨国有组织犯罪公约》中都规定了刑事司法协助调查取证机制,签约国有依照条约规定,相互协助调查取证的义务。二是签定和加入多边或双边刑事司法协助条约,这也是各国进行司法协助调查取证的最重要的方式。根据相关统计,截止2018年9月,我国与其他国家签订的民事刑事司法协助条约共19项、刑事司法协助条约共44项。[11]这对我国开展包括电子数据在内的域外刑事取证工作具有重要意义。三是刑事司法协助平台,如上海合作组织、G20峰会、亚太经合组织等。这些组织和平台也在一定范围内强化了成员国在特定领域的司法协助,如亚太经合组织第26届部长级会议审议通过的《北京反腐败宣言》中就强调,各国应积极支持并参与亚太经合组织反腐败执法合作网络等多边网络,进一步加强国际反腐败合作。四是基于互惠原则,在一国与另一国缺乏多边、双边国际(司法协助)条约和共同参加的国际组织的情形下,在传统国际法上,一国可以同意在个案中为另一国提供调查取证协助,另一国承诺在日后的类似情形下提供协助。例如,在美国、日本等国的刑事司法协助立法中,都规定了为外国提供司法协助的程序。我国2018年通过的《国际刑事司法协助法》第13条也规定,外国与我国“没有条约的,应当在请求书中载明请求机关的名称、案件性质、涉案人员基本信息及犯罪事实、本案适用的法律规定等并附相关材料。”可见,与我国没有签订条约的国家,也可根据互惠原则向我国提出申请。
综上可知,对跨境电子数据取证问题的讨论必须回到主权层面,在相互尊重主权的框架下探索制度化的解决方案,而非单纯地诉诸技术手段。实践中,一些国家授权本国执法部门采取远程跨境搜查等单边取证做法都与尊重他国数据主权的要求不符。
(二)数据主权下的跨境电子取证
在刑事案件中,对存储于另一国家、地区或云空间电子数据的调查取证牵涉敏感的主权问题。而电子数据区别于物证、书证等传统实物证据的特点又使得跨境电子数据取证问题比一般的域外刑事取证活动更加复杂。从学者的论述来看,电子数据有内容海量性、形态易变性、变动的可察觉性等特点。[12]笔者认为,电子数据以下三个特点与跨境电子数据取证密切相关:一是电子数据具有易改变性。电子数据存储在虚拟的网络空间,与物证、书证等传统实物证据相比,更容易被删除、更改或者销毁等。二是电子数据具有脆弱性。电子数据以一种数字化的方式存在,部分电子数据存在于原始存储介质,还有更大一部分电子数据不依附于任何存储介质,一旦不及时取证,将无法获得。[13]三是电子数据具有一定的聚集性。[14]这一特点也完全不同于传统证据种类,传统形式的证据很少具有聚集性,不同种类的证据可能分散在不同地方,但电子数据在多数情形下具有集中性、聚集性,即很多电子信息或者通话信息都处于一定的主体(如服务提供商)控制之下,被集中存储和管理。在一些情形下,并无其他复制件或替代证据可以使用。电子数据的上述特点给传统刑事司法协助调查取证制度带来了巨大挑战。
随着数据主权观念的兴起以及数字经济的巨大发展前景,各国展开了对各种电子数据的争夺,主要有两种做法:一是强化数据本地化存储的要求,二是严格限制本国数据外流。[15]2014年5月俄罗斯通过了《<关于信息、信息技术和信息保护法修改案>及个别互联网信息交流规范的修正案》,在“互联网信息传播组织者的义务”中增加了数据境内留存的要求,规定“自网民接受、传递、发送和(或)处理语音信息、书面文字、图像、声音或者其他电子信息六个月内,互联网信息传播组织者必须在俄罗斯境内对上述信息及网民个人信息进行保存。”[16]除此之外,加拿大、印度、巴西、马来西亚等国也都出台了相关政策,强化了数据本地化存储的要求。[17]我国《网络安全法》第37条要求,关键信息基础设施运营中的相关数据应当本地化存储。2017年4月,国家互联网信息办公室发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》进一步强化了数据本地化存储的要求。
从国内法的角度观察,一国强化“数据本地化”的要求,通过将“境外电子数据”转变为“国内电子数据”确实有助于部分地解决跨境电子数据取证问题。[18]但从国际法与国内法互动的视角观察,这一方案并不能有效解决跨境电子取证的全部问题,存在严重缺陷:一是“数据本地化”要求的范围必定有限,一国无法预知、也无法掌握在刑事办案中可能需要的所有电子数据,跨境电子数据取证问题仍然存在、仍待解决。二是过分强调“数据本地化”,不断扩大本地化存储对象的范围,加之严格限制相关数据外流,必将导致电子数据的“孤岛化”现象,不仅会对数字经济发展产生不利影响,更与及时、高效地取得境外电子数据、有效打击犯罪的目标背道而驰。三是立足于国内法,过分要求“数据本地化”,无助于形成一个国际化的跨境电子数据取证新机制,犯罪分子利用各国电子数据取证司法合作不畅,逃避法律惩处的情形将不断出现。在意识到“数据本地化”方案有所不足后,包括美国、比利时等国在内的一些国家又启动了“数据控制者”方案,通过一些连接因素将一定数据控制者控制的所有数据(不考虑数据实际存储地)都视为“本国数据”,[19]授权本国执法机构可以直接取证。这一方案并不符合国际法的一般原则,也有违主权相互尊重的要求。[20]
综上,“数据本地化”方案不能成为数据主权时代解决跨境电子数据取证问题的“捷径”,有必要梳理跨境电子数据取证制度的演进,并探索其未来发展。
二、跨境电子取证制度的发展
从国际刑事司法协助的发展来看,司法协助是跨境电子取证的主要途径。司法协助方式建立在主权相互尊重的基础上,主要依据多边或者双边司法协助条约展开,也被称为“正式(formal)方式”。[21]为了弥补传统司法协助调查取证制度的不足,新型司法协助形式逐渐兴起。但在实践中,各国更多依赖了非正式的、备受争议的单边取证做法。
(一)正式取证制度及其发展
根据国际刑事司法协助的立法和实践,在两国存在多边、双边司法协助条约时,或在互惠原则的基础上,一国可以向另一国提出调查取证的请求,另一国应当根据司法协助条约和本国法(如国际刑事司法协助法)的相关规定完成请求事项。随着电子数据的广泛应用,电子数据存储于另一国家或地区的情形以及关于电子数据取证的司法协助请求不断增多。因应这一变化,正式的司法协助调查取证制度不断发展。
1.传统“倒U型”的取证程序。这一取证程序是指从请求国执法机构提出取证申请到被请求国执法机构收到请求,沿循了一个“倒U型”的流程。就传统司法协助方式而言,其最大的优势是对他国主权的尊重。从制度发展来看,传统国际刑事司法协助成型于上世纪60年代,而电子数据是20世纪70年代以后随着计算机技术、网络技术的发展而逐步出现的。因此,通过传统司法协助途径取得电子数据本身就有一定的不适应性。[22]
随着跨境犯罪的不断增多,传统司法协助制度的不足逐渐显现。对传统司法协助方式的批评主要是司法协助程序缓慢、低效,难以为跨境刑事取证问题提供一个有效的解决方案。部分欧洲检察官表述到,“在(其通过‘委托协助’)提出的约400件请求中,在4年之内,仅收到60件答复。其中很多答复迟缓,甚至在寄出请求的数年之后才予答复!”[23]美国的相关数据也表明,司法协助请求一般在10个月以上才能完成。[24]这严重影响了对跨境犯罪的有效打击。从相关立法和实践观察,上述不足与刑事司法协助“倒U型”的程序构造密切相关。[25]
以中日刑事司法协助调查取证为例,在我国基层公安机关申请司法协助调查取证的案件中,根据《公安机关办理刑事案件程序规定》第370条的规定,首先由基层公安机关按照司法协助条约的要求,提出司法协助请求书并附相关文件及日文译本。然后层报省级公安机关审核后报送公安部,公安部审查后根据《中日关于刑事司法协助的条约》的规定,与日本法务大臣或者国家公安委员会联系,提出司法协助请求。根据日本《国际侦查协助法》第6条、第7条、第8条的规定,[26]日本法务大臣或者国家公安委员会收到相关请求后,需要进行审查,审查通过后则交由地方检察厅或国家公安委员会,地方检察厅应当命令检察官开展取证工作,国家公安委员会应当将相关文件交由适当的都道府县警察署进行调查取证。最后,在日本检察官或司法警察取得相关证据后,将证据经由原渠道交回。
从上述司法协助的一般流程来看,“倒U型”的程序构造本身就带来了程序复杂、程序冗长等问题。在各种双边刑事司法协助条约中,对于调查取证问题仅作了概括性规定,具体的协助取证程序必须依据对方国家的国内法来进行。在这一过程中,请求国由于不了解被请求国的法律规定,或者未能正确地理解对方国家的法律规定,可能导致在请求事项、请求程序等方面发生分歧,延误取证行为。刑事司法协助中关于拒绝执行司法协助请求的理由较为宽泛,也使得通过司法协助程序能否取得相关证据难以预期。
传统司法协助调查取证制度在遭遇跨境电子取证问题后,其滞后性更加凸显:一是缓慢低效的取证程序难以满足电子数据及时取证的需要。二是电子数据与隐私权、数据权利等权利保障密切相关,传统司法协助程序缺乏对程序参与者权利保障问题的有效关注,也难以回应相关主体的权利保障期待。三是电子取证的复杂性使得取证结果难以预期。如在很多情形下,证据所在国也不清楚数据在哪或者缺乏必要的取证能力。[27]
2.“一字型”直接取证程序。在传统司法协助程序存在严重缺陷,难以满足跨境电子取证实践需要的背景下,各国提出了诸多立法措施,以促进及时、高效取证。其中最引人瞩目的是2001年欧洲委员会通过的《网络犯罪公约》,该公约不仅要求签约国在打击网络犯罪方面提供最广泛的司法协助,还规定了电子数据保存、加速取证等程序,极大地促进了电子数据在签约国之间的自由流动。[28]随着社会的发展,这一公约在实践中的局限性不断显现,欧盟、美国等又开始探索新立法,在传统司法协助“倒U型”程序外,着力构建新的“一字型”的跨境取证程序,即请求国执法机构与被请求国的执法机构、服务提供者、数据权利人直接合作的取证程序。“一字型”取证程序主要包括三种:
一是司法/执法机关之间直接合作。为了解决相互协助基础上传统国际刑事司法协助“倒U型”程序构造带来的程序冗长、效率低下等问题,欧盟立法者在刑事取证司法合作方面不断推出新立法。[29]在《为获得刑事诉讼中使用的物品、文件和数据的欧盟证据令》[30]《关于刑事案件中的欧盟调查令》[31] (以下简称为《欧盟调查令》)中都规定,在特定情形下,签发机关与执行机关可以直接联络,以促进司法协助调查取证合作。以《欧盟调查令》为例,为了促进司法协助调查取证的顺利进行,该指令第7条第7款规定:“对于执行欧盟调查令文件带来的传送和真实性方面的困难,应当由签发机关和执行机关直接联系处理”;第16条规定了执行机关的通知义务,要求执行机关在采取更为适当的调查措施、不能遵守签发机关指明的程序或手续、推迟执行或推迟承认欧盟调查令、不承认或不执行欧盟调查令决定等情形下,应与签发机关直接进行联络。司法协助中请求国执法机关与被请求国执法机关的直接联络、合作,有助于减少程序环节,提高取证的效率。
二是请求国执法机构与服务提供者直接合作。在2018年之前,实践中就存在着执法机关与服务提供商直接合作的做法,苹果(apple)、谷歌(google)、脸书(facebook)等大型跨国公司也出台了外国执法机关要求提供相关数据需满足条件的指导性文件。[32]美国《境外数据合法使用法》《欧盟刑事案件中电子证据生成与保存令草案》(以下简称为《欧盟电子证据生成与保存令草案》)[33]都规定了这一取证机制。美国《境外数据合法使用法》规定,在一定条件下,外国政府可以直接与服务提供者联系,要求对方提供相关数据。《欧盟电子证据生成与保存令草案》规定,欧盟数据生成令、保全令应当直接发送给服务提供者或其指定的代理人,在一般情形下,服务提供者或其代理人应当在收到数据生成令之日起10日内,将被请求的数据发送给签发机构或执行机构;在紧急情况下,应当自收到欧盟数据生成令之日起6小时内发送被请求数据。[34]欧盟《在刑事程序中为收集证据设立法律代表的趋同规则指令草案》[35]的核心内容就是要求在欧盟内提供服务的服务提供商应当设立法律代表,促进执法机构与服务提供商在电子取证方面的直接合作。
三是请求国执法机构与权利人直接合作。这一规定为《网络犯罪公约》第32条b项所规定,“执法人员在获得了拥有法定权限而通过计算机系统向其披露数据的主体的合法且自愿的同意之后,提取、接收存储在他国境内的计算机系统中的数据。”[36]对于何谓“有法定权限披露数据的主体(原文中使用了person一词)”,该条文的适用指导建议中指出,同意主体既可以是自然人也可以是法人,但服务提供商应当排除在外。[37]这一解释明确了这一方式与上述第二种方式的区别。《网络犯罪公约》第32条b项的规定一直饱含争议,在是否允许一国进行远程搜查扣押上表述不清,[38]这与主权问题密切相关。一国未经他国同意直接获得位于他国境内的电子数据面临两个问题:一是从结果上看,从另一国获得数据牵涉他国数据主权;二是从行为性质上看,这一行为并非简单的获取数据行为,而是刑事调查取证行为,涉及在他国领土上行使刑事司法权,也可能损及他国主权。[39]总体而言,《网络犯罪公约》第32条b项充满争议,实践运行效果不佳。
(二)非正式取证的广泛实践
在正式司法协助机制存在缺陷,不能满足跨境电子取证实践需要的背景下,各国通过各种充满争议的非正式方式获取域外电子数据。[40]在一定程度上,非正式电子取证方式被广泛适用。非正式跨境电子取证方式包括多种类型,其中尤以执法机构远程(跨境)搜查最为常见,立法中多以“远程跨境搜查”“远程勘验”“远程在线提取”等术语表达。一些国家通过本国法的规定,授权本国执法机构可以直接获取位于他国的电子数据。2018年美国《境外数据合法使用法》的一个重要方面就是授权本国执法部门可以通过服务提供者取得存储于境外的电子数据。我国相关立法上也规定对于境外电子数据可以“远程勘验”“远程提取”。[41]从相关实践来看,虽然各国都签订了诸多多边、双边司法协助条约,但在具体实践中,国家更多依赖执法部门的“远程(跨境)搜查”等方式取得境外电子数据。通过国内法,授权本国执法机构可以直接进行远程(跨境)搜查、远程勘验、远程提取存储在他国的电子数据,类似做法充满了主权争议。重要理由在于,一国执法机关未经许可进入他国网络系统,并获取存储于他国境内的非公开的电子数据,涉及在他国实施侦查取证行为,侵害了他国的主权。[42]虽然有学者从各国打击犯罪的现实需要或者从对主权内涵重新诠释的角度,试图对相关做法作出合理性论证,但仍欠缺说服力。[43]无论是根据国际法的一般原则,还是国际习惯法,未经许可在他国实施侦查取证行为,都难以摆脱侵犯他国主权的困扰。在这一背景下,值得注意的是,2019年初我国公安部出台的《公安机关办理刑事案件电子数据取证规则》第23条规定,“对公开发布的电子数据、境内远程计算机信息系统上的电子数据,可以通过网络在线提取。”这一条文借鉴了《网络犯罪公约》第32条a项的规定,将“远程勘验、提取”限定在“境外公开发布的数据、境内远程计算机信息系统上的电子数据”,有重要进步意义。除远程(跨境)搜查外,实践中各国还采用其他手段获得境外电子数据,如未经他国同意的跨境监听、监视、黑客行动、通过第三方(跨国企业、个人)等方式获得位于境外的电子数据。[44]非正式方式取得境外电子数据的优势在于“高效、便捷”,但相关做法不仅有损他国主权,也缺乏对相关主体的权利保障。一国执法部门对非正式方式的严重依赖,长远来看也必将阻碍国际跨境电子取证制度的发展。
三、跨境电子取证制度的反思
根据上述分析可知,“数据本土化”方案不能成为跨境电子取证问题的有效解决途径,远程(跨境)搜查等单边取证方式更是缺乏正当性。在《网络犯罪公约》等难以充分发挥效用的背景下,制定一个具有普遍适用性的《电子取证国际公约》具有重要意义。[45]新公约应当倡导和建构一个跨境电子取证的新机制,应当坚持司法协助的基本框架,强化跨境电子取证中的权利保障,[46]在此基础上进一步简化取证程序。
(一)跨境电子取证新机制的建构思路
跨境电子取证制度面临三大难题,分别是国家主权问题、取证中的权利保障问题和高效、便捷的取证程序问题。传统司法协助方式的最大优点是有助于尊重他国主权,但在程序参与人的权利保障、及时获取电子数据方面存在严重不足。而《网络犯罪公约》《境外数据合法使用法》《欧盟电子证据生成与保存令草案》中提出的“一字型”直接合作模式也各有不足。执法机关的直接联络并不等于完全的直接合作。根据美国《境外数据合法使用法》的规定,他国执法机构与美国的服务提供者直接合作,需要满足严苛的条件,有学者评论到,上述规定更多体现了美国对“电子数据”的控制,而非为他国获得电子数据提供便利。[47]实践中的远程(跨境)搜查等非正式电子取证方式面临着损害他国主权、缺乏权利保障的问题。
为了有效回应跨境电子取证的制度难题,从长远来看,一个重要的解决方案是由联合国相关机构牵头,制定一部关于跨境电子数据取证的国际公约。[48]在国际法与国内法互动的基础上,探索一种“(相互)尊重主权、重视程序参与者权利保障、高效、便捷”的跨境电子取证新机制。[49]首先,这一新机制应当坚持司法协助的基本框架,强化对相关程序参与人的权利保障,进一步简化取证程序,以回应跨境电子取证的实践需要。各国应当严格限制和减少远程(跨境)搜查等单边措施的使用。其次,必须强化对程序参与人的权利保障。传统司法协助程序运行不畅除了程序冗长的原因外,权利保障不足也是重要原因之一。跨境电子取证司法合作的完善必须着力解决这一问题,下文将作进一步分析。最后,必须构建一个高效、便捷的跨境电子数据取证程序。考虑到传统司法协助程序的相关缺陷,以下方面有重要意义:一是促进不同国家执法机构的直接联系,减少跨境电子取证司法合作的程序环节,简化跨境电子取证的程序设计。具体举措包括:规定请求国执法机构与被请求国执法机构直接合作的“一字型”取证程序;严格限制拒绝承认、执行调查协助请求的理由;减少请求国、被请求国机关的多重审核;规定对方收集或提取相关证据的期限;规定在特殊情形下一国执法机构可以直接进行电子取证等。二是因应电子技术的发展,将传统司法协助程序升级,探索建立“电子化”的司法协助程序。在电子化的背景下,对于请求书和相关翻译文本都可以采用电子形式,并可以直接发送给对方;对于相关请求书和翻译文本可以进行电子审核,以及在技术可靠的情形下进行电子数据直接传送等。[50]三是在公约的基本框架下,鼓励各国在双边条约中针对跨境电子取证制定单独条款,鼓励各国在互惠原则的基础上制定更多及时、迅速获得电子数据的取证程序。
跨境电子取证新机制的优势是:超越了立足于国内法的单一视角,从国际法与国内法互动的角度,对国家主权、权利保障、及时取证等难题都给与了充分关照,有助于建构一个国际电子跨境取证的新格局。其不足在于,受制于数据大国利益和传统做法等因素的影响,新机制很难在短期内形成。从当前的国际实践来看,《网络犯罪公约》虽然无法有效解决跨境电子取证的全部问题,但在这一领域仍然具有广泛影响力,美国、加拿大、德国、法国等国都将这一公约作为打击网络犯罪的基本规范。[51]同时,各国通过授权本国执法机构可以单边取证和强化对本国电子数据严格控制的做法,将进一步导致全球电子数据的“相互割据”。可以预期的是,上述局面在短期内很难改变。“(相互)尊重主权、重视程序参与者的权利保障、高效、便捷”的跨境电子取证新机制的形成还需要时间。在这一时期,一方面,各国应当加强磋商和合作;另一方面,各国应当努力提升和改善司法协助取证方式,严格限制远程(跨境)搜查等非正式取证方式的适用,并逐步取消。
(二)跨境电子取证中权利保障的强化
必须明确的是,在司法协助的基本框架下,强化权利保障是程序简化的基础,单纯地进行程序简化并不能促进及时、高效地取得位于境外的证据。这一基本判断可以通过欧盟刑事司法协助的实践得到验证。为了解决跨境取证的难题,欧盟立法者基于有效打击犯罪的基本立场,在程序简化等方面作了诸多努力,自2000年以来,先后出台《欧盟国家刑事司法协助公约》及其议定书、《关于执行欧盟冻结财产或证据命令》框架决定、《欧盟证据令》框架决定、《欧盟调查令》指令等。但由于缺乏对司法协助中权利保障问题的有效关注,加之成员国缺乏对另一成员国司法活动的信任,这些立法或者刚一颁发就被随后的立法取代(或部分取代),或者在实践中运行效果不佳。由此可知,在跨境刑事取证(包括电子数据取证)中,忽视权利保障,单纯地进行程序简化并不能起到预期效果。
与跨境取得传统证据类型相比,跨境电子取证中涉及更多的是权利保障问题。这在美国《境外数据合法使用法》和《欧盟电子证据生成与保存令草案》中也有所体现,美国《境外数据合法使用法》中要求,与其他国家签订获取电子数据的行政协定时,美国将考虑外国政府是否对公民的隐私权和其他权利提供了强有力的实体性和程序性的保障,包括外国政府在网络犯罪和电子数据方面的立法情况、对法治和非歧视原则的尊重、对国际人权义务的履行、对国际基本人权的尊重等。虽然这一规定限制了他国获得相关电子数据,但也促进了对跨境电子取证中权利保障问题的关注。[52]《欧盟电子证据生成与保存令草案》第1条也规定,草案的运行必须尊重《欧盟基本权利宪章》第6条中规定的基本权利和法律原则,尊重当事人在刑事诉讼中的辩护权;第17条规定,应当保障被获取数据的犯罪嫌疑人和被告人获得法律救济的权利。
欧盟立法者在《欧盟电子证据生成与保存令草案》提议中指出,该草案可能影响三类主体的基本权利,“收集之数据所有人的权利,包括个人数据保护、隐私和家庭生活受到尊重、言论自由、辩护权、获得有效救济和公正审判的权利;服务提供者的权利:商业自由的权利,获得有效救济的权利;所有公民的权利:自由和安全方面的权利。”[53]跨境电子取证必须重视上述三类主体的基本权利。例如,在隐私权、数据权利保护方面,2001年《网络犯罪公约》签订中,电子取证中的隐私权、数据权利保护就受到关注。“在虚拟世界中,存储在计算机里的个人信息、显示个人活动的业务数据更容易受到侵犯和监控。”[54]随着信息技术的发展,不仅在计算机中,在手机和其他移动电子设备、存储设备中都包含诸多隐私性信息和数据信息。数据所在国的一个担忧是,如果数据被一个隐私保护较差的国家获取,相关数据可能很快被泄露在网络上,本国法上的隐私权保障将变得毫无意义。[55]再如,在服务提供者商业自由保护方面,美国、欧盟立法中也作了回应。美国《境外数据合法使用法》中规定,在一定条件下,服务提供商可以向法院提出申请撤销或者更改披露电子数据的动议。《欧盟电子证据生成与保存令草案》第15条规定,服务提供商可以根据第三国法律的相关规定,要求启动义务冲突审查。
综上所述,构建跨境电子取证新机制必须强化程序参与者的权利保障,这是进行程序简化的前提,也是司法协助程序能够有效运行的关键。从我国的相关立法来看,为了能够与其他国家有效开展跨境电子取证合作,一方面,在宏观层面,应当完善刑事诉讼、个人信息保护、隐私权保护等方面的立法,以“(相互)尊重主权、重视程序参与者权利保障、高效、便捷”的电子取证新机制为参照,尽快制定我国跨境电子取证的专门立法,全面提高我国电子取证中的权利保障。另一方面,在具体案件中,应当严格遵守刑事司法协助中的特定性原则,严禁办案机关将通过司法协助途径获得的电子数据用于其他案件或其他目的,严格履行电子数据交回或处置的承诺,以促进对数据权利、隐私权等权利的保障。
(三)跨境电子取证中的可采性评价
跨境电子数据取证的可采性问题必须被置于国际法与国内法互动的背景下考量,未来的电子数据取证国际公约也应当关注这一问题。具体言之,应当重视以下三个方面:第一,坚持司法协助的基本框架,规定司法协助调查取证方式具有优先性,[56]非正式取证方式仅在例外情形下可适用。在证据所在地国和证据请求国存在司法协助条约的情形下,证据请求国未通过司法协助途径取得境外电子数据,而是采取了远程(跨境)搜查等非正式方式取证,该电子数据原则上不可以作为证据使用。有教授提出,在跨境刑事司法中,应当建立“侵害他国主权行为所获证据”的排除规则。[57]而未经他国允许,以远程(跨境)搜查、技术侦查方式获得位于他国的电子数据是典型的侵害他国主权的行为,相关证据应予排除。[58]第二,跨境电子取证中的权利保障与可采性的关联。根据证据法理,法律程序中诉讼权利保障的缺失可能带来证据排除的后果。在跨境电子取证中,如果存在严重侵害相关主体隐私权、数据权利等情形,所获电子数据不具有可采性。跨境电子取证中的权利保障还牵涉权利保障标准的问题。从国际刑事司法协助的发展来看,司法协助中的权利保障问题刚刚起步,并不存在通行的制度方案,在理论上,综合国际条约、证据所在国法、证据请求国法的规定,在个案中确定最小权利保障标准具有一定可行性。电子取证公约中可以参照联合国《禁止酷刑公约》第15条,规定以严重侵犯程序参与人隐私权、数据权利等方式获得的电子数据,不应在成员国作为认定被追诉人有罪的证据使用。第三,跨境电子取证中的电子数据鉴真问题。通过司法协助程序取得境外电子数据,还涉及到电子数据的鉴真问题,实物证据鉴真的一般要求,[59]在传统做法上,主要通过电子数据载体的保管链完整来解决。在跨境取证的背景下,可以建立电子数据载体在不同主体之间流转的完整记录制度。在技术层面,可以通过可信时间戳、哈希值校验、区块链等手段,保障境外电子数据内容的同一性、完整性。
四、结语
信息技术的发展深刻地改变了人们的交流方式和行为方式,犯罪手段也早已发生变化,因此,各国的犯罪治理方式必须随之改变,必须有效回应跨境电子取证的制度难题。与一般意义上的数据流动问题不同,刑事诉讼中的跨境电子取证是一种侦查取证行为,牵涉数据所在国的主权,应当在相互尊重主权的框架下解决。在当前跨境电子取证正式方式、非正式方式并存,各有不足的背景下,各国应当深化合作,在国际法与国内法互动的基础上,优化司法协助调查取证制度,逐步构建一种“(相互)尊重主权、重视程序参与者权利保障、高效、便捷”的跨境电子取证新机制。
[1] See Bernhard Maier, How Has the Law Attempted to Tackle the Borderless Nature of the Internet?18,(2) International Journal of Law and Information Technology,2010, pp.142~143.
[2] 最新的法律文件是2019年1月公安部印发的《公安机关办理刑事案件电子数据取证规则》。
[3] 该案的基本情况See United States v. Microsoft Corporation, No.17-2,584 U. S.(2018).
[4] 参见冯俊伟:《域外取得的刑事证据之可采性》,载《中国法学》2015年第4期。
[5] Robert J. Currie, Cross-Border Evidence Gathering in Transnational Criminal Investigation: Is the Microsoft Ireland Case the “Next Frontier”?54 The Canadian Yearbook of International Law 2016, p.65.
[6] 参见于志刚:《网络主权观与法治理论的创新》,载《光明日报》2016年9月11日第1版。
[7] 参见高奇琦、陈建林:《中美网络主权观念的认知差异及竞合关系》,载《国际论坛》2016年第5期。
[8] 齐爱民、祝高峰:《论国家数据主权制度的确立与完善》,载《苏州大学学报(哲学社会科学版)》2016年第1期。
[9] 齐爱民、祝高峰:《论国家数据主权制度的确立与完善》,载《苏州大学学报(哲学社会科学版)》2016年第1期。
[10] See A. Osula, Mutual Legal Assistance & Other Mechanisms for Accessing Extraterritorially Located Data,9(1)Masaryk University Journal of Law and Technology 2015, p.45. See Robert J. Currie, Cross-Border Evidence Gathering in Transnational Criminal Investigation: Is the Microsoft Ireland Case the “Next Frontier”?54 The Canadian Yearbook of International Law 2016, p.70.
[11]https://www.fmprc.gov.cn/web/ziliao_674904/tytj_674911/tyfg_674913/t1215630.shtml,访问日期:2019年3月28日。
[12] 参见陈永生:《电子数据搜查、扣押的法律规制》,载《现代法学》2014年第5期。
[13] See Jack L. Goldsmith, The Internet and the Legitimacy of Remote Cross-Border Searches, University of Chicago Legal Forum,vol.2001, p.103.
[14] 当然,在云技术下,网络数据存储也具有多中心的特点。
[15] 参见京东法律研究院:《欧盟数据宪章:<一般数据保护条例>GDPR评述及实务指引》,法律出版社2018年版,第21页。
[16] 中央网络安全和信息化领导小组办公室、国家互联网信息办公室政策法规局:《外国网络法选编(第一辑)》,中国法制出版社2015年版,第408页。
[17] 同注释〔15〕。
[18] 参见梁坤:《美国<澄清合法使用境外数据法>背景阐释》,载《国家检察官学院学报》2018年第5期。
[19] See Nathalie A. Smuha, Towards the EU Harmonization of Access to Cross-Border E-Evidence: Challenges for Fundamental Rights & Consistency,8(1) EuCLR 2018, p.93.
[20] 实际上也很难实现。例如,我国《国际刑事司法协助法》第4条第3款规定,“非经中华人民共和国主管机关同意,外国机构、组织和个人不得在中华人民共和国境内进行本法规定的刑事诉讼活动,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。”
[21] 但在何谓“正式(formal)方式”方面,则存在不同理解,See Susan W. Brenner & Joseph J. Schwerha IV, Transnational Evidence Gathering and Local Prosecution of International Cybercrime,20 J. Marshall J. Computer & Info. L.(2002), p.354.本文将新型司法协助也纳入正式取证机制。
[22] See Sophie and Barnett Mirko Hohmann, System Upgrade: Improving Cross-Border Access to Electronic Evidence( Policy Brief), p.4.
https://www.gppi.net/media/GPPi_2018_Hohmann_Barnett_System_Upgrade.pdf,访问日期:2019年4月16日。
[23] [法]米哈依尔·戴尔玛斯-马蒂:《迈向欧洲刑事诉讼模式》,赵海峰译,载陈光中、江伟主编:《诉讼法论丛》(第5卷),法律出版社2000年版,第182页。
[24] 参见梁坤:《美国<澄清合法使用境外数据法>背景阐释》,载《国家检察官学院学报》2018年第5期。
[25] 较早对“请求书(letters rogatory)”类似适用流程的描述,see C. Gane and M.Mackarel, The Admissibility of Evidence Obtained from Abroad into Criminal Proceedings - The Interpretation of Mutual Legal Assistance Treaties and Use of Evidence Irregularly Obtained,4 Eur. J. Crime Crim. L.& Crim. Just.1996, p.110.
[26] 参见张凌:《日本刑事诉讼法律总览》,于秀峰译,人民法院出版社2017年版,第361~362页。
[27] See Jack L. Goldsmith, The Internet and the Legitimacy of Remote Cross-Border Searches, University of Chicago Legal Forum,vol.2001, p.103.
[28] See A. Osula: Mutual Legal Assistance & Other Mechanisms for Accessing Extraterritorially Located Data,9(1)Masaryk University Journal of Law and Technology 2015, p.50.
[29] 参见冯俊伟:《从相互协助到相互承认——欧盟刑事取证立法变迁探析》,载《证据科学》2010年第4期。
[30] Council Framework Decision 2008/978/JHA of 18 December 2008 on the European evidence warrant for the purpose of obtaining objects, documents and data for use in proceedings in criminal matters, OJL350.
[31] Directive of 3 April 2014 regarding the European Investigation Order in criminal matters, OJL 130/1.以下条文皆来自该文本。
[32] See T-CY Cloud Evidence Group, Criminal justice access to data in the cloud:Cooperation with “foreign” service providers, Provisional version 3 May 2016, pp.8~21.
[33] Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for electronic evidence in criminal matters, COM (2018)225 final.
[34] See Article 7、9 of Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for electronic evidence in criminal matters, COM (2018)225 final.本文对该草案条文的翻译,参考了吴沈括等:《欧盟<电子证据条例>(草案)研析》,载《网信军民融合》2018年第12期。
[35] Proposal for a Directive of the European Parliament and of the Council laying down harmonised rules on the appointment of legal representatives for the purpose of gathering evidence in criminal proceedings, COM (2018)226 final.
[36] 梁坤:《美国<澄清合法使用境外数据法>背景阐释》,载《国家检察官学院学报》2018年第5期。
[37] Cybercrime Convention Committee (T-CY), T-CY Guidance Note #3 Transborder access to data (Article 32), Strasbourg,3 December 2014, p.7.
[38] Explanatory Report to the Convention on Cybercrime, Paragraph 293, European Treaty Series - No.185.
[39] See Robert j.currie, Cross-Border Evidence Gathering in Transnational Criminal Investigation: Is the Microsoft Ireland Case the “Next Frontier”?54 The Canadian Yearbook of International Law 2016, p.70.
[40] See Robert j.currie, Cross-Border Evidence Gathering in Transnational Criminal Investigation: Is the Microsoft Ireland Case the “Next Frontier”?,54 The Canadian Yearbook of International Law 2016, p.95.
[41] 2010年最高人民法院、最高人民检察院、公安部(以下简称“两高一部”)颁发的《关于办理网络赌博犯罪案件适用法律若干问题的意见》、2014年“两高一部”颁发的《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》、2016年“两高一部”《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》中都作了规定。
[42] See Robert j.currie, Cross-Border Evidence Gathering in Transnational Criminal Investigation: Is the Microsoft Ireland Case the “Next Frontier”?54 The Canadian Yearbook of International Law 2016, p.70.
[43] See Jack L. Goldsmith, The Internet and the Legitimacy of Remote Cross-Border Searches, University of Chicago Legal Forum,vol.2001, pp.105~112.
[44] 取得境外情报与跨境电子取证也存在交叉,参见王新清、李响:《美国电子监控与情报搜集制度研究》,载《中国刑事法杂志》2017年第1期。
[45] 2018年4月,联合国毒品与犯罪办公室等共同发布了《跨境获取电子证据的实践指引》(Practical Guide for Requesting Electronic Evidence Across Borders),是这一方面的重要努力。
[46] 跨境电子取证中的权利保障问题也为我国学者所关注,参见梁坤:《跨境远程电子取证制度之重塑》,载《环球法律评论》2019年第2期。
[47] 参见洪延青:《美国快速通过CLOUD法案明确数据主权战略》,载《中国信息安全》2018年第4期。
[48] 参见司绍寒:《制定联合国框架下打击网络犯罪法律文书,推动全球网络犯罪治理》,载《法制日报》2018年5月30日第12版。
[49] 在这一问题上,我国在相关会议上提出了相近的主张,参见《联合国网络犯罪政府专家组第五次会议的书面评论意见》, https://www.unodc.org/unodc/en/organized-crime/open-ended-intergovernmental-expert-group-to-conduct-a-comprehensive-study-of-the-problem-of-cybercrime2019.html,访问日期:2019年4月16日。
[50] 2017 Technical Document, p.15. Quote from Sofie Depauw, Electronic Evidence in Criminal Matters: How About E-Evidence Instruments 2.0?,8(1)EuCLR 2018, p.81.
[51] 参见李彦:《建构新的全球打击网络犯罪公约路径》,载《中国信息安全》2018年第7期。
[52] 参见田旭:《美国<云法案>对跨境司法机制的新发展》,载《海关与经贸研究》2018年第4期。
[53] Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for electronic evidence in criminal matters, COM (2018)225 final, p.9.
[54] 周文:《欧洲委员会控制网络犯罪公约与国际刑法的新发展》,载《法学评论》2002年第3期。
[55]See Jenny Ng, International Cybercrime, Transnational Evidence Gathering and the Challenges in Australia: Finding the Delicate Balance,9(2) International Journal of Information and Communication Technology(2016), p.185.
[56] 我国法院在个案中已重视正式方式取证的问题,参见最高人民法院(2014)刑监字第192号再审决定书。
[57] 参见[瑞士]Sabine Gless:《涉外刑事案件之证据禁止》,王士帆译,载《司法周刊》2013年第1647期。
[58] 参见冯俊伟:《域外取得的刑事证据之可采性》,载《中国法学》2015年第4期。
[59] 参见马贵翔、韩康:《实物证据鉴真规则的构成探析》,载《浙江工商大学学报》2017年第6期。
分享本文:
点击界面右上角按钮,在弹出框中选择“发送给朋友”或者“分享到朋友圈”
本刊微信号:faxuezazhi
本刊微信二维码: