【数据法学】裴炜:“权利——权力”关系形成的网络服务提供者协助义务边界
B D A I L C
欢 迎 关 注
Agostino Veroni
“权利——权力”关系形成的
网络服务提供者协助义务边界
文 / 北京航空航天大学法学院副教授 裴炜
就“权利——权力”关系对网络服务提供者的协助执法义务的限制而言,有必要分两个步骤进行分析:其一是对网络服务提供者三项义务所涉及的公民基本权利加以识别;其二是以比例原则的四项要求为框架,进行义务边界的划定。
(一) 公民相关基本权利识别
如前所述,网络服务提供者的三项执法协助义务基本上围绕着用户信息展开,无论该信息是注册信息、服务信息亦或内容信息。《宪法》第二章集中规定了公民的基本权利,其中与用户信息相关的主要包括第33条概括式规定的“人权”、第35条规定的“言论自由”和第40条规定的“通信自由和通信秘密”。在《宪法》构建的基本权利框架下,部门法也通过具体规定进一步落实基本权利的保障,例如2017年出台的《民法总则》第五章涉及到一些相关的具体权利,主要包括第110条规定的“隐私权”和第111条规定的“个人信息”;[1]《刑法》自1979年以来一直设置专章保护公民的人身财产权利,特别是《刑法修正案九》新增加的侵犯公民个人信息犯罪,进一步确认个人信息作为公民基本权利的属性。
在以上涉及到的公民基本权利中,宪法与法律层面明确作出权利干预限制的是通信自由和通信秘密,只能“因国家安全或者追查刑事犯罪的需要”并且“由公安机关或者检察机关依照法律规定的程序”进行检查。就其他相关权利而言,宪法层面上并未专门设定限制;法律层面,《民法总则》在确认隐私权与个人信息相关权利的同时,也未就干预行为的目的加以明确,仅在个人信息项下不完全列举了非法干预此项权利的形式。[2]
以上权利在规范性文件的效力级别、效力范围、干预方式、干预强度等方面均存在差异,这些差异将进一步影响比例原则四项要求的具体衡量和适用。因此,除识别网络服务提供者协助执法义务可能涉及的权利类型以外,仍有必要从权利性质、范围、内容等角度进行纵向层级上的划分。
首先,从权利依据的规范性文件效力层级角度出发,有必要对《宪法》第40条规定的“通信自由和通信秘密”做进一步分析。2004年全国人大常委会法制工作委员会在《关于如何理解宪法第四十条、民事诉讼法第六十五条、电信条例第六十六条问题的交换意见》(下文简称《交换意见》)[3]中,就该项权利进行了原则性说明。首先,《交换意见》肯认公民通信自由和通信秘密不仅是公民的基本权利,并且强调“该项权利的限制仅限于宪法明文规定的特定情形”;其次,就所涉的特定案件情形而言,《交换意见》认为,移动用户通话详单反映了“通话对象、通话时间、通话规律等大量个人隐私和秘密,是通信内容的重要组成部分,应属于宪法保护的通信秘密范畴”;第三,《交换意见》明确法院取证需符合宪法规定,不得侵犯公民的基本权利。
《交换意见》重申了《宪法》第40条的上位效力,但其在一般适用过程中仍需进一步明确何为“通信自由和通信秘密”。《交换意见》反映出的逻辑是通信秘密包括但不限于通信内容,而通信内容不仅包括内容信息本身,还包括与通信行为相关的附带信息,例如通信对象、时间、规律等。《宪法》第40条并未进一步明确“通信”的含义,但从相关司法裁判来看,凡是起到信息传递与交流功能的行为,都应当属于通信行为。例如2012年浙江省舟山市中级人民法院审理的一件行政诉讼案件中,[4]争议焦点之一是电脑QQ聊天记录属于宪法规定的公民通信权利还是民法意义上的隐私权,两者之核心区别就在于对于该权利的干预是否仅限于“国家安全或追查刑事犯罪”之目的。对此,舟山市中院认为,“腾讯QQ……主要功能就是对外联络和交流,在本质上与信件、电报等传统的通讯方式一样均属于公民通信自由和通信秘密的范畴。”与之相类似的,承担有信息传输交流功能的电子邮件、即时通讯等网络服务同样应当被划入《宪法》第40条的保护范围。
其次,权力干预的信息类型不同,对于基本权利的干预程度亦会有所差异,例如2015年《网络犯罪公约》委员会在其报告中明确区分注册人信息(subscriber information)、交互信息(traffic data)和内容信息(content data),包括英国、澳大利亚、法国等国家则采用了内容信息与非内容信息的二分模式。[5]该区分是基于一个前提假设作出:相对于非内容信息,内容信息会更加直接、完整地反映出包括隐私在内的个人敏感信息,从而对相关公民基本权利形成的干预更为严重。以美国为例,如果仅搜集用户的基本注册信息,则仅需要大陪审团签发的传票即可;如果要搜集与邮箱账号相关的IP地址信息,则需要为刑事侦查之目的,以具体且确定的事实为基础;如果要对邮件内容进行搜查,则必须以法院签发的刑事案件搜查证为依据。[6]因此即便当前各级规范性法律文件未对通信权以外的其他权利就公权力干预上设置特殊限制,我们仍有必要深入到权利内部,对干预程度进行阶层划分。
第三,单纯就信息所涉及的内容而言,不同国家往往基于其社会历史文化形成对一般信息和敏感类信息的划分,后者往往与“隐私”联系在一起,例如英国《数据保护法》(Data Protection Act 1998)长期将种族背景、政治观点、宗教信仰、健康、性健康和犯罪记录等信息列为敏感信息,并对这些信息进行更为严格的保护。[7]
第四,权力干预的信息范围不同,同样会对公民的基本权利构成不同程度的侵犯。基于镶嵌论(mosaic theory)的相关理论,[8]针对公民信息搜集的范围越广,在其中发现或拼组出公民个人信息、隐私或通信信息的可能性越高,从而对公民基本权利侵犯的程度越高。正是在这个意义上,各国对于公民信息不加区别的收集(bulk interception)通常采用更高的限制。例如美国在2015年出台的《美国自由法》第201条明确要求监听设备要依附于具体的特定物品,而不能在广阔地域上开展。
第五,公权力收集、使用信息的方式不同,也会影响对公民基本权利的干预程度。典型的例子是对信息的动态收集(real-time collection),由于无法事前确定可能采集到的信息类型和内容,在一定程度上相当于不加区分的信息采集,因此相对于静态的信息搜集,动态信息采集的限制相对更严格。美国最高法院Bennett法官在United States v. Graham案中[9]就回溯性(retroactive)的静态信息搜集与预期性(prospective)的动态信息搜集进行了区分,并以此作为宪法第四修正案是否适用的判断标准之一。
据此,就网络服务提供者协助执法义务可能干预的公民基本权利,我们可以从以上五个向度对涉及的用户信息进行区分,并由此建构起比例原则适用的基本框架,接下来我们将进一步进入到框架内,从四项要求逐步划定网络服务提供者的协助执法义务边界。
(二) 基于比例原则的协助义务边界
比例原则的第一项要求为目的正当要求。如前所述,在两个向度划分的信息类型中,除通信权类信息外,公权力对于其他类型信息的干预在这一层面以存在法律依据即可。就通信权类信息而言,目的正当不仅意味着该目的为法律规定所认可,还意味着该目的的特定性,即“国家安全或追查刑事犯罪”。就国家安全而言,《中华人民共和国国家安全法》(下文简称《国安法》)第2条将其定义为“国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对出于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力”;而“追查刑事犯罪”则以《刑法》明文规定之犯罪行为为对象,以《刑事诉讼法》规定之权力为界限。
司法实践中存在着仅以满足前者即认定干预行为正当的情形,例如2014年四川省蔡光华与龚忠能、XX刚、郝德财提供劳务者受害责任纠纷一案[10]中,一审法院依职权调取了再审申请人的通话记录,被申请人主张该行为是法律赋予的权力,因此不构成对公民通信自由和通信秘密的侵犯。四川省高级人民法院最终认可了这一主张。但是该主张的问题在于,仅因法院之取证权由《民事诉讼法》授权,遂认定未侵犯公民通信权利,实则忽视了《宪法》第40条对于干预目的和干预主体的双重限制。《民事诉讼法》作为下位法,其授权不得与上位法相抵触,因此法院以解决民事纠纷为目的调取公民通话记录应当属于对公民通信权的不当干预。事实上,这也恰恰是《交换意见》反映出的信息,即法院之取证行为不得与宪法相违背。与之相类似的,即便是由公安机关进行调查取证的治安管理案件,同样不符合《宪法》第40条限定的目的。[11]
这里需要额外讨论的一点是,如何看待刑事正式立案之前的信息收集行为。原则上,案件是否正式进入刑事诉讼程序,以立案为标准,而立案则以发现犯罪事实或犯罪嫌疑人为前提。犯罪事实或犯罪嫌疑人的发现线索来源多样,特别是存在着在行政执法过程中发现犯罪事实之情形。此时尽管行政机关收集的证据材料可以在后续的刑事诉讼程序中作为刑事案件证据使用,但其行为性质并不因此回溯性地被确认为“追查刑事犯罪”,因此也不能当然认为由于收集的信息未来可能用于证明刑事犯罪,从而在行政执法过程中对公民通信信息加以干预。
由此我们可以得出第一项结论,即就通信权类信息而言,网络服务提供者不应当在普遍意义上承担此类信息的收集存储、审查监控和报告披露的协助执法义务。在具体案件的执法活动中,网络服务提供者的协助义务也仅限于为国家安全或追查刑事犯罪之目的。就其他类型的信息而言,尽管其正当目的不仅仅限于此,但“正当性”之要求仍然成立,而该要求成立的前提在于事前对执法目的清晰具体的表述,以及事后对该目的正当性的可审查性。
从目前国内实践来看,司法层面的信息调取一般有司法行政机关公函为依据,其中会列明具体案件信息、法律依据、待查事项以及所需调取的证据。但是在行政执法层面,相应的程序性规则则相对确实。为规范互联网内容信息执法程序,2017年国家互联网信息办公室(下文简称国家网信办)制定了《互联网信息内容管理行政执法程序规定》(下文简称《执法程序规定》),并在第四章专门就调查取证程序加以规定,遗憾的是该《规定》并未就调查取证行为所需的令状加以规定,从而导致具体案件中执法目的不明,进而阻碍比例原则后续要求的评价。
在此基础上,我们进一步对比例原则的其他三项要求进行分析。其中,手段与目的匹配要求同样需要以目的之可识别性为前提。从这个角度讲,要在细化的规则层面对网络服务提供者的协助执法义务进行限缩,首先需要在法律法规层面引入明确的令状规则,用以明确具体执法行为的目的。同时,考虑到网络服务提供者在与国家权力机关互动过程中所处的相对弱势地位,应当从制度层面设置相应的措施,以保障网络服务提供者在衡量所需履行的协助义务与执法目的之间的匹配性。
在此基础上,比例原则第三项要求强调的是手段的必要性,即在可以同等实现正当目的的前提下,采用对公民基本权利干预程度最低的手段。这里需要结合前文关于基本权利干预成本转移的探讨,对这一问题进行进一步分析。如前所述,网络服务提供者之所以成为执法过程的重要参与者,在于用户不可避免地将各类信息交由其管理、使用,这种信息“信托”使得执法者可以绕过用户从网络服务提供者那里获取相关信息,而法律法规就公民个人信息设定的保护措施在此种情形下似乎难以继续适用。
以用户信息使用的“同意原则”为例,2012年全国人大常委会《关于加强网络信息保护决定》(下文简称《决定》)就明确要求网路服务提供者收集、使用公民个人电子信息应当经被收集者同意,并且应当公开收集、使用规则。《网络安全法》第22条第3款延续了这一规定;[12]2017年“两高”出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下文简称《个人信息解释》)更在第3条中明确将“未经被收集者同意,将合法收集的公民个人信息向他人提供的”行为列为《刑法》第253条规定的“提供公民个人信息”行为。但是当网络服务提供者因履行执法协助义务而向司法行政机关提供用户个人信息,是否仍然应当取得用户本人同意,或者是否至少承担告知义务,法律规定语焉不详。这种规则空缺在为执法提供便利的同时,实际上并未降低对公民基本权利的干预程度。
针对这一问题的应对大致可以分为两种类型:一类将问题核心转化为用户“同意”是否构成弃权行为;另一类则转化为执法行为是否构成“同意”的例外。前者的典型例证是美国隐私权保护中,构成合理隐私期待例外的“第三人条款”。根据该条款,当权利主体自愿将信息提交给第三方主体时,其不再对该信息享有合理隐私期待,进而意味着美国宪法第四修正案对于该项权利的保障不再适用。[13]这一规则在网络时代受到了严重挑战,关键在于用户为获得网络服务而不得不向网络服务提供者提供信息,该行为能否适用“第三人条款”。可以看到的是,从著名的United States v. Jones案[14]到斯诺登的棱镜门事件,“第三人条款”对于网络服务提供者的适用在逐步弱化。从本质上而言,信息使用目的的转化使得用户原先为获取相应服务而作出的信息收集和使用授权难以当然地扩展至执法行为。
就第二种转化而言,关键在于设置这种例外的本质是公权力赋权行为,从法治原则的角度出发,这种赋权应当有法律上的明确规定。例如根据美国相关法律规定,政府部门可以通过出具行政令状或《联邦刑事诉讼规则》规定的令状,要求远程计算服务提供者披露电信或电子通讯的内容信息,但政府对该服务的注册者或用户的告知义务仅在后一种情形中可以豁免。[15]就非内容信息而言,则条件相对放宽,政府部门主要可以在五种情形下要远程计算服务提供商提供此类信息:(1)根据《联邦刑事诉讼规则》获取有权法院的特定令状;(2)在特定情形下获取法院命令;(3)获取注册者或用户的同意;(4)针对电话销售诈骗,就用户或注册者的姓名、住址、工作地址向服务提供者出具正式的书面信息提取函;(5)要求提供的信息限于姓名、住址、通讯时长、距离、支付方式、电话号码或服务号码等信息。[16]与之相类似的,2016年欧盟出台的《一般数据保护条例》(General Data Protection Regulation)明确归纳出合法处理数据的六种情形,其中除数据被收集者同意外,其他几项都必须建立在为特定目标所必需的基础上。[17]
基于以上分析,我们可以得出第二项结论,即网络服务提供者所承担的保护和尊重用户个人信息的义务,其本身应当被视为公民基本权利的延伸。基于执法之目的对该义务设定例外,本质上仍然是对公民基本权利的干预。在此基础上,将执法对象从具体公民个体替换为网络服务提供者,并不能够实现降低基本权利干预程度的目标。但这并不意味着这种替换不能提高执法收益。
由此,接下来的一个问题是,执法行为作为网络服务提供者所承担的用户个人信息保护义务之例外情形时,所依赖的正当化基础是什么。回答这个问题涉及到对执法行为所欲保护之利益与公民基本权利保护之利益之间的衡量,由此我们进入到比例原则最后一项要求的考察。根据该要求,“国家所干预的基本权利愈重要,对基本权利的干预愈强、造成的损失愈大,由此得以实现的其他法益就应该愈重要,对这些法益的实现的促进作用就应该愈大。”[18]在本文的研究框架下,该项要求的核心问题在于在协助执法过程中,网络服务提供者所承担的保障用户信息的义务在何种情形下基于何种理由依何种条件可以被豁免。
从前文就公民基本权利的分析可以看出,信息收集或使用的方式、对象、程度、范围、目的不同,对于公民基本权利的干预程度亦会有所差异,这种差异恰恰构成了狭义比例原则要求适用的核心。由此我们可以得出第三项结论,即网络服务提供者所承担的协助执法义务的强度,应当与用户信息的具体干预形式形成阶层式对应。具体而言,该结论由以下五个推论构成:首先,针对内容信息的协助义务门槛应当高于非内容信息;其次,动态信息监控审查的协助义务门槛应当高于静态信息的收集存储义务;第三,涉及个人隐私等敏感类信息的协助义务门槛应当高于其他个人信息;第四,针对用户的不加区分的信息搜集的协助义务门槛应当高于特定类型信息搜集;第五,针对预测性信息收集的协助义务门槛应当高于回溯性信息收集。
在此基础上,我们仍然有必要进一步就“门槛”的构成要素进行进一步探讨。通过考察国内外相关立法与司法实践,我们可以归纳出以下几个关键要素。首先,从干预行为所欲实现的法益类型而言,一般区分为公共利益与个人利益,前者可以进一步划分为包括犯罪治理、国家安全等在内的重大公共利益与一般性社会治理公共利益,后者可以区分为信息被收集者利益与第三方主体利益。基于该区分,一方面,刑事司法或国家安全多构成公民基本权利保护之例外,或者立法对其设置相对较低的限制;另一方面,为第三方利益所进行的执法活动往往难以直接对抗信息被收集者的合法权益。
“门槛”的第二项和第三项构成要素分别是限制条件的数量和强度。就限制条件数量而言,主要涉及到不同来源的限制条件是否叠加的问题,对此可以划分为两类:一类是来自私主体的限制条件,例如前文论及的被收集者同意;另一类是来自公权力主体的限制条件,例如对于令状的要求。就限制的强度而言,一定程度上可以转化为干预条件实现的难易程度。以前文提及的美国关于远程计算服务内容信息提取的规定,由法院依照《联邦刑事诉讼规则》签发的令状,其获取程序的严格程度高于行政令状,因此如果以前者作为收集使用公民个人信息的条件,其实现难度明显高于后者。通过将限制条件的数量与强度进行不同方式的组合,从而形成与被干预权利的层级化对应。
向上滑动阅览
[1] 需要注意的是,尽管《民法总则》将“个人信息”列入第五章之“民事权利”项下,但并未采用“个人信息权”之表述,学界对于其是否构成“权利”以及构成何种类型的“权利”仍存在争议。王利明教授认为“个人信息”属于人格权中的具体人格权。参见王利明:《民法总则》,中国人民大学出版社2017年版,第253-254页。
[2] 《民法总则》第111条:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
[3] 法工办复字【2004】3号
[4] (2012)浙舟行终字第14号
[5] 参见裴炜:《犯罪侦查中网络服务提供商的信息披露义务》,载《比较法研究》2016年第4期,第95-97页。
[6] See Alan Z. Rozenshtein, “Surveillance Intermediaries”, 70 Stanford Law Review (forthcoming 2018), available at https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2935321. Accessed October 16, 2017.
[7] 对于一般信息和敏感信息的区分同样体现在英国2017年新出台的《一般数据保护规定法案》(General Data Protection Regulation)中。
[8] 关于镶嵌论的基本原理和在司法中的运用,参见裴炜:《比例原则视域下电子侦查取证程序性规则构建》,载《环球法律评论》2017年第1期,第80-95页。
[9] United States v. Graham, 864 F. Supp. 2d 384 (D. Md. 2012)
[10] (2014)川民申字第1171号
[11] 典型案例参见(2015)甬宁行初字第46号。本案中,被告宁海县公安局在调查治安管理案件中,监控原告手机微信,从而获取了案件的关键证据。
[12] 《网络安全法》第22条第3款规定:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。
[13] 合理隐私期待(reasonable expectation of privacy)检验标准是在Katz v. United States, 389 U.S. 347 (1967)案件中建立起来的。在Smith v. Maryland, 442 U.S. 735 (1979)案中,最高法院认为用户通过将个人信息提供给电话公司,从而不再对该信息享有合理隐私期待。
[14] United States v. Jones, 132 S. Ct. 945 (2012)
[15] 18 U.S. Code § 2703 (b)
[16] 18 U.S. Code § 2703 (c)
[17] 这六种情形包括:(一)数据被搜集者就一个或多个具体目的作出同意处理其个人数据的表示;(二)在被收集者作为合同当事人的情形下,为实施合同所必需,或者是被收集者签订合同前所必须的步骤;(三)为数据控制者履行其所承担法定义务所必需;(四)为保护被收集者或其他自然人重大利益所必需;(五)为实现公共利益或数据控制者履行公共职务所必需;(六)为实现数据控制者或其他第三方合法利益之目的所必需,但该利益与数据被收集者特别是儿童的基本权利和自由相冲突时除外。
[18] 参见杨登杰:《执中行权的宪法比例原则》,载《中外法学》2015年第2期,第372页。
感谢作者的授权
本文仅作学习交流之用
Claude Monet
往期荐读
编辑:钟柳依
欢迎点击“阅读原文”