【作者】江溯(北京大学法学院副教授,博士研究生导师)
【来源】《政治与法律》2020年第8期“经济刑法”栏目。因篇幅较长,已略去原文注释。
【投稿地址】http://zhen.cbpt.cnki.net,欢迎赐稿!
摘要:网络犯罪治理模式包括公力模式、私力模式和公私合作模式。由于网络犯罪的复杂性,无论是对于公共部门还是私营机构而言,都具有充分的动力参与公私合作。无论是在域外还是在我国,公私合作模式已具有一定的立法和现实基础。不可否认的是,网络犯罪治理公私合作模式还存在一些困难和挑战。如何应对这些困难和挑战,将会对公私合作模式的前景产生重要影响。我国当前的网络犯罪治理模式可归入公力模式,该模式的缺陷在于,过于强调执法机构在网络犯罪治理中的能动性,容易造成网络犯罪治理过于追求监管有效性而忽视整体效益最大化。为克服这种缺陷,我国有必要借鉴公私合作模式,将包容性与多元化的价值理念融入网络犯罪治理的各个环节。公私合作模式能合理解决公私部门在应对网络犯罪危机中的紧张关系,使网络犯罪治理模式不再固守传统的一元治理机制,而是通过对话和合作来消除信息和资源的不对称性。有必要将公私合作模式落实到我国当前网络犯罪治理过程中,提升网络犯罪治理的实际效益,实现多元共赢的治理目标。
关键词:网络犯罪治理;公私合作模式;多元共赢
当前,网络的发展给人们的社会生活带来极大的便利,同时,互联网面临着日益严峻的安全问题,网络犯罪的数量急剧增长,不仅对公民的人身、财产造成损害,而且对国家安全和社会安全造成严重威胁。根据有关报道,在中国,网络犯罪的数量已经占到所有犯罪的三分之一,成为名副其实的第一大犯罪类型,其所具有的社会危害性不容小觑。与传统犯罪相比,网络犯罪具有智能性、隐蔽性、匿名性与跨国性等特征,因此给传统的犯罪治理带来了许多严峻的挑战。不仅如此,网络犯罪具有全球性和无国界性,因此,如何通过加强与国际社会的合作,有效地打击跨国网络犯罪,也是目前国际社会面临的一个重大挑战。在传统的犯罪治理模式公力模式之中,公共部门始终发挥着主导作用,在某种程度上垄断着刑事惩罚的权力。然而,由于在理念、资源、技术与效率等方面存在不足,面对各种新型网络犯罪,传统的犯罪治理模式显得捉襟见肘。从现实看,私营机构不仅运营着相当比例的网络基础设施,而且在技术、效率等方面明显优于公共部门。正因为如此,近年来,无论是在域外还是在我国,一种新的网络犯罪治理模式即公私合作模式应运而生,这种新的模式强调公共部门与私营机构共同合作治理网络犯罪。笔者于本文中通过对域外关于网络犯罪治理公私合作模式的立法与实践的分析,为我国构建相关法律制度提供参考和借鉴。 从世界各国网络犯罪治理的立法和实践来看,主要存在以下三种模式。 以新加坡为代表的公力模式即政府主导型网络犯罪治理模式,强调政府在整个网络行为监管过程中的决定性作用。这种治理模式可以说是“科层管理思想”在网络犯罪治理中的体现。公力模式强调公共部门对网络信息资源的控制与投入,公共部门在明确管理目标、管理过程和管理方法后,就会制定相应的治理措施和行动方案,最后由各级公共部门落实对犯罪行为的预防和打击。这种模式的优点是能够最大程度地集中资源去落实政策和设计制度,适合行政决策与管理。与此同时,政府部门基于公权力主体地位,能够在短时间内聚集资源,提高打击网络犯罪的效率和力度。在这种公力模式的网络犯罪治理模式之中,政府发挥着主导角色。由于政府的主导角色,公力模式在打击网络犯罪行为过程中具有稳定性和确定性。然而,由于缺乏社会力量(私营机构、个体消费者等)的参与和互动,与网络犯罪治理相关的信息与技术无法得到及时充分的共享,这种模式缺乏灵活性与适应性,从而无法对“日新月异”的网络犯罪行为作出及时恰当的反应。 私力模式是指由私营主体间自由合作治理网络犯罪的模式,强调在尽可能减少政策和法规对互联网进行监管的基础上,期待公共部门放手让互联网自由发展。在这一政策的指导下,互联网企业、社会部门组织和消费者个体会相互建立牢固的数据分享交流渠道与平台。该模式的优点是能够发挥行业间优势,聚集来自不同企业组织的数据、产品和服务,共同对抗网络犯罪行为。因为大型互联网企业在wi-fi安全、网络诈骗、网络传销等领域具有丰富的防御经验和技术,从而使资源得到充分的共享和整合。此外,从私营机构的集体共同利益出发来预防和打击网络犯罪行为,不仅有利于提升效率,而且有助于营造一种充分信任、互惠互利的网络安全环境。然而,不可否认的是,网络犯罪治理的私力模式缺少公共部门的参与,因而存在以下不足:一是覆盖范围有限,中小企业缺乏参与权和话语权,容易形成以大型互联网企业利益为核心的运行机制;二是缺乏外部的监管,使得相关的法规及政策规定空心化。当然,总体而言,发挥私营主体间的优势打击网络犯罪,突破了以往对公共部门过于依赖的状况,有助于促使各利益相关方不同程度地共同参与网络犯罪的治理,提升打击网络犯罪的效率。近年来,在我国出现了一些网络犯罪治理的私力模式的实践。例如,2019年,腾讯安全网御联合实验室与安信与诚(北京)信息技术有限公司、上海安垚网络科技有限公司等四家科技企业正式签订战略合作协议,联合成立了反网络犯罪实验室,合力打击网络非法入侵、反动宣传、网络诈骗等多发性网络违法犯罪行为。这种模式能积极有效地发现网上暴恐、邪教和涉黄赌毒等违法信息,并通过联合打击来维护网络空间安全。 随着网络技术的代际升级和不断发展,尤其是建立在大数据信息共享机制下的第三代信息网络的出现,网络犯罪更为隐蔽和复杂,对网络犯罪的预防和打击提出了更为严格的要求,不仅需要政府等公共部门加强监管和提高治理能力,而且需要重视互联网企业、行业协会组织和个体消费者在网络犯罪治理中的作用。在此背景下,公私合作模式(也称:公私合作伙伴关系)即由公共部门与私营机构特别是大型互联网企业共同合作打击网络犯罪的模式应运而生。 公私合作模式的特点在于:第一,鼓励和保证各利益相关方以最大的自由度和主体性参与网络犯罪治理,形成“多主体参与、多层面协同”的治理体系;第二,注重网络犯罪的预防和系统的快速恢复能力。它是现代政府治理政策由单一的政府主导模式向更为多元、灵活和可恢复性方向转变的充分体现。2013年联合国发布的《网络犯罪综合报告》反映,以网络服务提供商为代表的私营机构从执法机构处获得的数据请求日益增多(例如,一个国际电信运营商表示,在2008年至2010年间,该公司收到的正式计算机数据请求增加了50倍);一些私营机构表示,它们正在创建旨在加强与执法机构合作和信息交流的机制。这些调查结果表明,私营机构在网络犯罪案件侦查活动中发挥着至关重要的作用。此外,电子服务提供商保存的用户信息、计费发票、连接日志、通信内容等数据都可能是关键内容证据,但这些机构一般并没有主动向执法机构报告犯罪活动的义务。因此,公私合作模式的建立是从以往仅靠权力获取刑事侦查过程中的数据向注重双方利益合作方向转变的有效途径。 我国已出现不少体现网络犯罪治理公私合作伙伴关系的实践。例如,腾讯公司与公安部在2016年启动了“守护者计划”,该计划将网络治理分为内外两个维度:对内统合并集中公司部门内部的资源;对外联合政府、行业、民众等多方面的力量,共同参与网络空间治理。这种公私合作模式的实践,一定程度上改变了传统一元化的网络治理模式过于追求监管有效性的倾向,提升了网络犯罪治理的合理性和科学性,有利于提高公共服务效率和社会生产力。 网络犯罪治理公私合作模式的产生,除了网络犯罪这一最为重要的外因以外,还存在诸多复杂的内因。无论是对于公共部门还是对于私营机构而言,采取公私合作模式治理网络犯罪均有充分的动力,这种内在的动力是确保公私合作模式具有可行性的重要前提。 网络安全的“相互依赖性脆弱”体现为以下两个方面。一是网络的高度互联互通使主体间高度相互依赖所表现出的脆弱性。在新型大数据背景下,网络犯罪行为呈现三个代次,即第一代犯罪是低端的网络犯罪,第二代犯罪是混合型犯罪,第三代犯罪是精准数据下的网络犯罪。第三代网络犯罪往往表现为利用精准的大数据实施犯罪行为。在这种背景下,网络服务提供商保存的某些通信内容数据在网络犯罪打击中的作用就显得更为重要。然而,私营机构披露和保存数据信息的义务范围并没有统一的标准,因国家、行业和数据类型的不同而迥异。因此,治理和修复这种脆弱性,在不减少各主体相互依赖性的前提下,只能通过各个部门的高度参与和信息共享,来共同应对网络安全威胁。二是网络安全依赖于与网络安全相关的信息的可信度。没有网络安全就没有可信任的信息安全,信息安全不但表现在信息的产生与存储上,而且表现在信息的传输和交流上,所有这些环节都离不开计算机和网络。在信息传导的任一环节,如果网络遭受攻击,都将直接影响信息的完整性与可靠性。在某种程度上,只有确保网络安全,才能确保信息安全。因此,在网络犯罪治理政策的调整上,既要加强侦测、阻止网络危险的硬实力,又要注重网络系统对犯罪行为的预防和恢复的软实力。通过鼓励各相关利益方以最大的自由度和主体性参与网络犯罪治理,可以达到维护网络系统的内部活力和自我进化能力的目标。 在传统的公力模式下,依赖国家权力主体地位治理网络犯罪,能够提升政策制定和执行效率,尤其是在跨国网络犯罪的侦查和打击方面,公力模式的优势非常明显,然而,如前所述,传统公力模式也存在明显的灵活性和适应性不足的问题,公共部门具有公私合作治理网络犯罪的内在需求。 维护网络空间安全是整个社会包括政府、企业和所有个体消费者等主体的共同责任,大多数网络犯罪行为都会不同程度地对个体私营机构的隐私权、信息权、财产权、知识产权等基本权利产生威胁,因此公众对网络安全治理的建议、网络安全知识与技能的教育培训、网络安全产品的技术研发与生产、信息共享与突发网络事件的处理等对网络安全都具有深层次的意义。过于强调国家在网络安全治理中的角色和作用,而忽视可能涉及的对个人基本权利和企业相关利益的保护,不利于国家长期决策机制的稳定建立。新时期网络安全治理工作中,既要强化政府运用大数据加强监管和保护公民权益的能力,又要重视互联网行业协会等社会组织在网络犯罪中的作用,激励所有相关互联网参与者共同应对大数据背景下的网络犯罪,组建大数据背景下全员参与的安全保障模式。 2013年联合国发布的《网络犯罪综合报告》显示,执法机构与互联网服务提供商之间的互动特别复杂。首先,互联网企业对不同类型数据的保存政策存在差异,并且一些信息只有在用户账户活动期间才会予以保存,这就使得公共部门在获得获取相关数据的批准时,出现相关内容已不复存在的情况。其次,对服务提供商规定数据配合义务的法规多为原则性规定,导致解决服务提供商提供数据过程中出现的隐私问题也面临挑战;一些私营机构会在接受公共部门的数据请求时,明确其是否有进行信息披露的法定义务,以及相关部门是否有请求该信息的基本法定权利,以确保私营机构自身不违反其它任何法律或者与当事人和客户隐私有关的合约义务。 相对政府而言,当今一些大型企业组织具有更强的数据、资金、技术、行业互助协调能力。在国外,一些领先的网络科技公司正在大力投资安全可靠的信息和通信技术,部分商业交易实践要求科技公司在研发上投入巨资,以提高商业交易的完整性和可靠性。部分领先的网络科技公司拥有参与网络犯罪治理的安全技术和竞争力。例如,澳大利亚海关采用高科技手段和全面的IT基础设施应对边境非法移民、毒品走私和其他非法活动造成的安全威胁。其中,自2007年初,澳大利亚海关运用Forefront客户端安全技术,成功抵御了一些病毒、间谍软件对国家网络数据系统的威胁。Forefront是一个商业软件,提供保护、访问和管理解决方案,它是围绕用户构建的可互操作的集成平台。公共部门通过与私营互联网企业的合作,在提升技术等级的同时降低了操作成本。 建立网络安全防御机制、增强网络犯罪预防能力,是从源头上减少网络犯罪的根本手段。一些大公司尤其是金融服务行业的大公司,往往投入巨大的成本开发先进的防御工具,包括防火墙、数字证据保全、特定IP地址连接的限制、使用硬件识别标识符等安全技术。网络公司也在积极对新出现的威胁进行检测并发布定期报告。一些大型技术型企业同样采取了积极的法律行动来打击僵尸网络、垃圾邮件发送者和诈骗犯罪分子。依靠公共部门单方力量维持网络的安全运营,势必会要求政府机构提升对网络安全建设的财政支持,从而加大国家的财政预算和成本支出。然而,也有一些小型网络公司尚未采取相关防范措施,甚至没有认识到网络安全的现实风险。因此,公共部门需充分发挥监管协调功能,提供必要的资金和技术扶持,以便增强网络系统整体的风险预防能力。此外,学术机构和政府间组织也是网络犯罪治理的重要利益相关方,执法当局应当鼓励其进行相关知识的开发和共享、参与法律和政策的制定等活动。 网络犯罪治理公私合作的动力不只是来自公共部门,私营机构同样有充分的合作动力。 网络犯罪技术的发展提升了私营机构成为被攻击对象的风险。时至今日,传统诈骗和金融犯罪已发生革命性变化,可能的犯罪行为与日俱增,既包括欺诈整个企业的财产利益,也包括通过数据泄漏来获得储存的个人和金融信息,这些可能性使得私营机构遭受网络犯罪的风险显著上升。欧洲国家的有关数据表明,规模越大的企业遭受网络攻击的风险就越大。犯罪行为人认为越大的企业就具有越高的攻击价值,因而大型企业具有更大的协助公共部门打击网络犯罪的动力,以便降低潜在的风险。中小型企业在观念上不重视网络安全,导致其不会投入太多的成本进行技术防护和网络配置升级,其网络安全上的漏洞会给犯罪行为提供可乘之机。此外,一些针对互联网企业的突发性网络攻击事件一旦发生,对私营机构和组织的打击是致命的,轻则会导致部分财产利益和关键性数据的丢失,重则会导致整个互联网系统的瘫痪,此时依赖于私营组织自身独自展开补救和调查是不现实的。 打击网络犯罪、增强企业运营安全能力是所有企业应当共同承担的社会责任。网络空间的安全需要所有互联网利益相关者的共同参与。通过一些可视化的成果将社会责任予以呈现,会增加社会公众对私营企业的信任度,提高企业的声誉。实践中,部分互联网公司直接将其CSR投资与核心竞争力业务连接起来,例如,微软的儿童剥削追踪系统(CETS)、商业欺诈数据管理系统和其他一些跨司法管辖区的犯罪数据存储库都是私营企业将核心竞争力与可衡量结果相结合的范例。积极承担社会责任能有效提升私营企业的社会声誉和知名度,对企业提升运营效益大有裨益。此外,随着刑事合规的重要性日益凸显,互联网公司尤其是大型互联网企业基于对数据隐私风险的担忧,势必会逐渐加入“大数据保护合规”的业务。“公私合作模式”的开展对私营企业进行刑事合规活动极为有利,因为在与政府等公共部门合作的过程中,企业可以更好地把握法律与政策的红线,从而有效降低自身触犯刑事法律的风险。 网络服务提供商作为服务器开发者和提供者,保存着与案件最直接相关的数据资源和证据信息,只有实现相关数据的共享,才能及时进行犯罪侦查。相关调查报告显示,执法机构普遍反映在向网络服务提供商获取数据时,面临着诸如没有充分的法律权力、披露和取证范围不确定等各种挑战。例如,美洲一个国家的联邦法律规定,政府可要求电子通信服务提供商披露电子存储器的有限通信内容,但披露时限仅为108天或以下,且只能根据令状进行。按照该法律的规定,国内执法机构可通过传票访问某些类型的数据,但其他形式数据的获取则需要法院签发的令状授权。与此同时,出于对客户隐私信息的保护,多数私营机构并不认为其在任何情况下都有按要求提供数据的义务,而是会先判断机构自身是否存在提供信息的法定义务,且披露该信息不会违反其它法律或公司合同义务。因此,公私合作模式可以成为加强公私双方信息共享的重要途径,一方面,通过开展非正式合作,可以弥补法律政策方面上的不足;另一方面,在打击跨国网络犯罪实践中,又能够利用司法互助条约或外交合作等形式促进数据内容的共享。 如前所述,在面临网络犯罪的共同威胁之下,无论是公共部门还是私营机构,均存在强烈的合作治理网络犯罪的现实需求和内在动力。在这种现实需求和内在动力的驱动下,无论是在域外还是在我国,都已出现一些网络犯罪治理公私合作模式的立法和实践。 过去十多年来,相关国际和区域法律文件逐渐开始重视网络犯罪治理公私合作模式,这些文件有的具有拘束力,有的则没有拘束力。其中,《网络犯罪公约》是国际社会第一个关于网络犯罪的公约,旨在建立一个统一协调的区域性打击网络犯罪的合作框架,它是打击网络犯罪全球化合作机制的首次尝试。《网络犯罪公约》第三章规定了“有关相互协助的一般原则”,对网络服务提供商的协助义务进行了具体规定,明确其在快速保护和部分公开业务数据、搜查和查封储存的计算机数据、实时收集业务数据、拦截内容型数据等方面的义务,以协助收集、记录、提交网络用户信息、通信数据和内容数据,并对此负有保密义务。《网络犯罪公约》对公私合作内容的规定是颇具前瞻性的,对于促进国际社会在打击网络犯罪中的相互合作与协助,共同应对网络犯罪威胁具有重要意义。 在欧洲,公私合作伙伴关系最早由英国政府于1982年提出:它是指由政府等公共部门和私营组织(营利或非营利)就某个项目达成合作关系,共同提供公共产品和服务的一项模式。在《网络犯罪公约》对公私合作的内容作出相关规定之后,欧盟又陆续出台了一系列规定。美国也非常重视网络犯罪治理中的公私合作伙伴关系,其一,行政部门积极推动网络安全公私合作的建立和推广;其二,国会已经将公私合作作为应对网络犯罪的一种妥善应对措施,并将继续探索支持和扩大公私合作的机会,例如,参议院近年来正在研究金融服务的网络风险,高度重视私营企业部门的参与和合作。此外,据笔者阅读国外相关法律文献发现,德国、奥地利、荷兰、西班牙在网络安全领域的公私伙伴关系建立方面较其他国家领先,均通过相关法律文件建立了正式的公私合作伙伴关系。 由于网络犯罪发生场域的特殊性,互联网服务提供商存储和控制大量的网络连接和交易数据。各国在调取境外数据问题上并未形成统一的国际规则,对是否应允许一国绕过国际司法协助和执法合作渠道直接跨国调取电子数据存在较大分歧。以美国、英国、智利为代表的《网络犯罪公约》缔约国表示,国际司法协助和执法合作渠道取证效率低,无法适应调取电子数据的需求,应授权执法机关直接向互联网企业调取证据,包括存储在他国的证据。美国强调,不应因电子数据存储在外国而影响调查取证,可通过双边协议构建快捷取证通道,并大力推荐《网络犯罪公约》便利合作调取境外证据的“7天24小时机制”。 为了维护隐私权和犯罪控制之间的合理平衡,许多国家和地区建立了执法机构与私人企业间信息共享的平台。首先,欧盟在2013年发布《网络和信息安全(NIS)指令》,意在使用各种管制手段,确保欧盟的网络和信息安全高度统一;其要求各成员国成立NIS主管机构和计算机紧急响应组织,提供一个政府和行业可以实时共享网络犯罪数据信息的可靠环境,现今在许多国家和地区都建立了公私部门信息共享的平台。其次,建立网络快速恢复能力是美国在网络安全方面的主要战略之一,国土安全部(DHS)不仅负责联邦政府网络安全、重要基础设施的保护以及对网络威胁的响应,而且负责打击网络犯罪、促进公私部门合作和创新等领域。美国以国土安全部为中心,建立了网络信息分享平台。这些网络信息共享的机构和平台为执法机构开展网络犯罪侦查提供了极大的便利,能尽量有效避免紧急情况下电子数据获取的棘手问题。 随着跨国网络犯罪行为的增加,欧美国家政府和私营机构在实践层面上强化了合作,最为突出的是通过建立正式和非正式合作关系来获取跨境电子数据。例如,2014年,僵尸网络病毒在全球范围内广泛传播,对各国网络运营造成了巨大损失,各国执法机构与大型互联网企业通过跨国合作,利用“操作源”(Operation Source)成功地抑制了该病毒的扩散。这一国际合作的参与者包括荷兰国家高技术犯罪机构(NHCTU)、EC3、打击犯罪联合行动工作组(J-CAT)、FBI和美国司法部等政府部门,以及英特尔、迈克菲等企业的研究人员。该案例说明在打击跨国网络犯罪中,公私合作势在必行,其中,执法机构侧重于打击方案的规划和执行,私营机构提供威胁情报和必要的技术支持。 近年来,公私合作模式在网络犯罪预防中也开始受到重视。例如,在2015年4月召开的第十三届联合国预防犯罪和刑事司法大会上,各方一致认为,“目前打击网络犯罪所面临的严峻挑战远远大于任何人之前的想象,要有效预防和制止相关活动,有必要在私营和公共部门之间建立起牢固的合作伙伴关系”。这次会议着重强调了美国微软公司下设的一个“数字犯罪部”在打击跨国有组织网络犯罪的预防工作中所发挥的重要作用。该部门通过在全球30个地点开设分支机构和应用各种创新方法,帮助有关国家开展遏制相关网络犯罪的行动,已取得令人瞩目的成效,这可以说是网络犯罪预防公私合作模式的一个典型范例。 2016年11月,全国人大常委会通过了我国《网络安全法》,这是我国第一部全面规范网络空间安全管理的基础性法律,有力地推动了当前网络空间治理的刑事政策转向。我国《网络安全法》第29条强调公共部门对网络营运者参与网络安全的治理与预防的支持,并对私力模式作出了原则性规定。该法第28条明确规定网络营运者在网络犯罪调查中的配合义务。2016年12月,国家互联网信息办公室发布的《国家网络空间安全战略》强调网络犯罪治理的共同责任原则,并提出了网络安全的体系化治理理念。在这一总体网络安全战略中,网络犯罪治理公私合作模式受到高度重视。 近年来,在国内,由侦查机关与互联网企业合作共同打击网络犯罪的实践逐渐增多。2018年,浙江省绍兴市越城区人民检察院、浙江省绍兴市公安局越城区分局和阿里巴巴集团安全部三方共同签署了战略合作框架协议,成立了越城区网络生态治理中心,形成了由检警企三方携手合作,共同打击网络犯罪的打击模式。根据合作协议,利用阿里巴巴集团的技术优势和网络治理经验,为警检网络犯罪案件的侦办提供技术支撑,同时,三方将建立专家辅助办案机制和交流平台,阿里巴巴专家将为检察机关和公安机关侦办重特大、新型网络犯罪案件提供专家意见,对办案全程中涉及的专业技术问题、电子数据提取解读等提供咨询和支持,并开展协助讯问、技术解惑、配合开展侦查实验等,以破解电子数据取证固证难等问题。此外,在打击跨国网络电信诈骗、网络赌博、网络组织卖淫等犯罪的过程中,我国大型互联网公司如腾讯、阿里等与执法机关密切合作,为有效打击上述网络犯罪作出了重要贡献,跨国网络犯罪治理的公私合作模式已经初见成效。 如前所述,无论是在域外还是在我国,无论是在法律文本还是在具体实践方面,公私合作模式已经成为一种重要的网络犯罪治理模式。然而,也必须看到,网络犯罪治理公私合作模式还存在诸多现实困难。直面这些困难和挑战,才能为完善网络犯罪治理公私合作模式找到出路,为维护网络安全作出更大的贡献。 在欧美国家和地区,“网络适应性”(Cyber Resilience)这一政策理念在网络安全治理中被反复提及,并逐渐取代了犯罪控制或安全控制等概念。“网络适应性”是指任何部门和组织面对网络攻击进行阻止、侦测、响应和恢复的能力,凭借这样的能力,力争将网络攻击对其商业信誉和竞争优势所带来的损害降到最低。相比传统的网络犯罪治理理念,该政策强调维护网络空间安全必须贯穿网络活动的全过程,既包含对潜在网络危险的预防,也包含犯罪行为发生后对攻击行为的侦查、阻止和反击,还包含遭到网络攻击后恢复计算机系统和数据的能力。这种全方位的网络预警和反应机制对网络数据共享的要求程度很高,它要求网络参与主体必须是多元化的。然而,在当前实践中存在两方面问题:一是部分私营企业或组织过于依赖公共部门在网络安全治理中的职能,这样的消极态度不利于发展网络安全伙伴关系和构建信任体系;二是在网络黑产的巡查、恶意程序工具的发现、程序功能鉴定能力、非法网站的排查和取缔、境外赌博、色情等非法链接的拦截等能力上存在监管缺失的情况。这两方面的问题加剧了公私主体之间的矛盾。在这种情况下,转变传统以行政执法机构为主导的管理模式势在必行,应当建立一种更具包容性和多元性的网络安全管理系统。 与网络犯罪治理的公力模式相比,公私合作模式更为强调从合作者的共同利益出发,注重平衡公共利益和私人利益之间的冲突。在这个过程中,公共权力与私人权利之间的界限问题会变得更加复杂,进而对公共和私人、国家和市场以及政治和经济之间的关系造成挑战。有学者指出:“公私合作网络安全治理模式的发展所面对的威胁很大程度上来自于政府等公共机构,而非私营机构”。由于公共部门长期习惯于犯罪治理的公力模式,在网络犯罪治理方面建立公私合作模式自然就会出现困难。公共部门对私营机构和个人在治理网络犯罪方面的资格和能力都会有所怀疑。与欧美发达国家相比,我国在公私合作方面的基础尤为薄弱,缺乏公共部门在立法和行政上的推动和引导。另外,一部分私营企业和组织长期来将逐利放在首位,犯罪治理的公私合作得不到私营企业和组织管理层的支持,很多企业组织管理者认为公私合作是一个技术问题而非企业组织内部运营管理问题。尤其是一些中小企业,不重视甚至刻意回避网络安全风险可能带来的负面影响,对公私合作采取冷漠态度,认为自身受到网络攻击的可能性很小(当然也存在技术水平过低而无法发现安全漏洞存在的可能),这种观念上的不重视和被动性在一定程度上影响了公私部门的合作。 目前,关于网络犯罪公私合作的国际法和国内法呈现分散化和碎片化,这种状况加剧了网络安全的复杂性和不确定性。首先,虽然出现了一些网络犯罪的区域性国际条约,但尚未出现一部关于具有普遍适用性的网络犯罪国际公约。由于全球范围内的网络犯罪治理缺乏统一的法律文本基础,导致跨国网络犯罪治理的公私合作出现一些混乱的局面。例如,我国如何与《网络犯罪公约》缔约国的私营机构展开打击网络犯罪的合作?合作双方基于哪些准则来进行数据的披露和分享?在涉及一些客户隐私敏感信息时应如何处理?当区域性国际条约与我国国内法律规范相冲突时,如何展开与国外私营机构的合作?其次,在国内法层面,针对网络安全,我国目前只有2017年出台的我国《网络安全法》,该法只是原则性地规定鼓励开展网络治理的公私合作,并且其规定的重点是私营组织对公权力的配合协助义务,而不是网络治理的公私合作。最后,国际法和国内法的双重缺失导致网络犯罪治理公私合作的法律根据不明确,双方合作的法律效力较低甚至无拘束力,这在很大程度上打击了私营机构合作的积极性。2013年联合国发布的《网络犯罪综合报告》显示,通过政府正式决定创建的合作关系通常更多地涉及提供关键基础设施的公司,如公用事业和电信公司等。其他的公私合作关系则主要是基于合作伙伴之间的法律协议或其它机制例如谅解备忘录和“任务小组”成员资格等创建的。作为组织和推动合作活动的依据,法律被各国提及的比例最低(只有5%多一点)。在法律基础薄弱的现实背景之下,网络犯罪治理的公私合作实践势必会出现诸多困难。 公私合作在网络犯罪案件侦查和电子数据获取方面也面临着诸多困难。首先,2013年联合国发布的《网络犯罪综合报告》显示,网络犯罪行为的报案率极低。在引起警方关注的全部网络犯罪行为中,由受害者向警方报案的比例最高仅占1%;一项由私营机构开展的调查显示,80%的核心网络犯罪行为的个人受害者并未向警方报告此种行为。报案率低一定程度是由于公众对警方打击网络犯罪的能力缺乏信心、受害者未察觉自己受害和不了解报案机制、受害者感到屈辱和难堪等。这直接导致执法机构需要花费更多的成本去发现犯罪。其次,公私合作必然涉及数据共享问题,但大多数情况下,由于缺乏信任,私营机构对此持消极态度,特别是在企业组织内部未完全评估一些安全漏洞之前,一旦对这些漏洞进行了曝光,就会面临极大的潜在风险,甚至会损害公司的市值、信誉和客户信任,引发不确定的监管和民事责任问题。虽然各国公司法一般均明确规定对于涉及重大风险、可能影响投资人利益的情形要进行及时披露,但实践效果并不是很乐观。此外,私营机构也担心执法机构会接触到企业组织的核心机密,导致企业的核心机密暴露,从而影响企业的经营管理,使其面临一系列的责任和监管风险问题。最后,网络服务提供商对不同类型数据的储存政策存在差异,一些信息只有在用户账户活动期间才会予以留存,这会导致公共部门在获得获取相关数据的批准之时,相关电子数据内容已不复存在。由此可见,由于报案率低、缺乏统一的网络犯罪信息共享、协调的立法和机构平台,公共部门在侦查、执法过程中获取相关电子数据就显得异常困难。 在打击跨国网络犯罪过程中,如果需要调取位于他国的相关电子数据,一般是通过国际司法协助或双边、多边协议的渠道进行,其优点是能够充分保障证据所在国的司法主权,但也面临着程序繁琐、效率低下等问题。比如,一些执法机构表示从境外网络服务提供商那里获取电子数据的过程相当冗长,而且难以确定“电子数据实际所在地既有法定权力又有技术能力的外国当局”。在网络犯罪中,因为电子数据不稳定、易灭失,其需要快速保存和提取,所以这种跨境的正式合作机制在取证效率上的缺陷就日益明显。为此,欧美一些国家近年来绕过上述正式渠道和主权国家政府,采取非正式合作的方式直接联系境外网络服务提供商,要求其提供用户、通信或内容数据等直接证据。对于是否应允许一国绕过国际司法协助和执法合作渠道而直接跨国向私营机构调取电子数据,各国之间存在较大分歧。支持者多为《网络犯罪公约》的缔约国,其认为应授权国内执法机构直接向境外互联网企业和组织调取证据,并认为《网络犯罪公约》已将直接调取域外电子数据作为更快捷的程序加以规定。反对者则认为,如果完全允许符合欧美国家执法标准的数据跨境流动,可能会危害国家主权和互联网企业的数据安全;跨境调取电子数据应尊重证据所在地的国家主权,不能仅因国际司法协助和执法合作取证效率低就予以简单否定,应当通过优化司法协助和执法合作的程序和方式来提高取证效率,同时尊重相关企业和个人的正当权利。无论是正式合作还是非正式合作,跨国网络犯罪治理的公私合作实践往往由于涉及国家主权问题而变得尤为复杂。随着跨国网络犯罪行为的不断增长,如何更好地促进公私部门间的合作,成为国际社会所面临的和必须解决的问题。 犯罪预防是通过能够影响多重犯罪根源的干预手段,降低犯罪发生的风险及其个人对合社会潜在有害影响的战略和措施。网络犯罪预防着眼于提高网络使用者对网络社会变迁的适应能力与自控能力,共同维持网络社会的正常秩序。以往我国对网络犯罪治理“重打击、轻预防”的理念与过于强调政府在网络犯罪治理中的主导地位、忽视互联网私营企业和行业协会等主体的作用密切相关。网络犯罪预防需要建立大数据的信息收集和共享机制,而我国缺乏专门的网络犯罪信息共享和协调平台,使公共部门在数据信息共享方面不能很好地发挥引导作用,最终使不同规模的私营企业在网络犯罪的预防工作上呈现出断层式的差别。规模较小的网络公司缺乏足够的成本和资源去建立牢固的网络预防机制。随着风险社会的到来,危险将更加难以预测和感知。以网络媒介为载体的网络犯罪是风险社会的典型风险,由于互联网的特殊性,网络犯罪的社会危害将更为广泛和严重,这就需要提前预测和感知可能出现的危险。这种网络犯罪治理重心从事后打击到事前预防的转移,使得网络服务提供商的防范技术和能力、个体消费者的网络安全意识、网络数据资源的共享等在网络犯罪治理中的作用更为凸显。传统的公力模式势必要进行调整与重构,吸纳更多私营机构和个体参与网络安全维护的各个环节。通过建立公私合作伙伴关系实现网络犯罪的预防和打击并非不切实际的构想,当然,从目前状况看,与这种合作关系相关的立法与实践还存在诸多漏洞和风险。只有相关公私组织和机构承认和重视这些问题,才能促使公私合作关系成为一种长期和有效的网络犯罪治理模式。 基于以上对网络犯罪治理公私合作模式存在的困难和挑战的分析,笔者认为,应当从以下几个方面着手完善这一犯罪治理模式。 近年来,网络犯罪治理的观念发生了重大转变,从传统强调打击、围堵与控制的公力模式转向多元参与、综合防控的公私合作模式。随着网络社会的到来,网络犯罪治理应当尽可能吸纳利益相关方的参与,保障网络信息系统的自我调适与自主进化能力。首先,应当加强公共部门在网络犯罪治理公私合作中的引导和协调功能。具体而言,一是公共部门要转化监管理念,建立网络犯罪治理大数据化的牢固观念,与私营机构在数据内容共享的基础上建立阻止、侦测、缓解和响应的协调机制和应急预案;二是要求国家网络安全主管机构在现有平台基础上与其他国家、区域加强合作,通过定期发布网络安全威胁、预警信息以及联合响应方案,促进信息对社会尤其是私营机构的公开性和透明度;三是加大对网络安全技术的投入,提高网络安全技术水平,同时,公共部门要鼓励私营机构加强自我保护,防范网络犯罪侵害。例如,可以通过提供商业机会和提高竞争力,提升私营机构参与网络安全建设的积极性。其次,重视互联网行业协会等社会组织在网络犯罪治理中的作用。具体而言,一是要强化互联网行业协会自律,同时通过其强化企业的主体责任,并充分利用互联网行业协会的专业优势,激励其积极主动参与大数据背景下执法机构的网络犯罪侦查;二是要加强私营机构网络风险防范意识和实践能力,为确保其在突发性网络安全事故中具有及时高效的处理能力,需要私营主体自身加大资金的投入、提高技术研发和操作能力、建立内部危险隔离预案机制,并与公共部门分享其安全信息,主动向公共机构报告网络安全事件。最后,激励其他互联网参与者共同应对大数据背景下的网络犯罪。例如,网络个体消费者应当提高风险防范意识和能力。欧盟委员会要求“网络与信息安全管理局”在2013年提出一份实现“网络与信息安全资格”的路线图,以提高信息行业从业人员的技能培训;要求“网络与信息安全管理局”从2014年开始组织网络安全知识锦标赛,鼓励大学生参与竞赛并提出信息安全的建议;要求各成员国从2013年开始每年举办“网络安全月”活动,提高公众网络安全意识,加强网络与信息安全的教育培训。总体而言,网络犯罪治理刑事政策的转向,有利于从根本上强化公私合作模式在打击网络犯罪中的实际效果。 对于成功的公私合作关系而言,最重要的是双方首先能在高度信任的基础上达成合作协议。就目前而言,公私部门双方对信息和资源的共享状况还很不理想。例如,在许多非正式的合作关系中,即使执法机构获得了调取电子数据法院令状或有其他明确法律依据,但大多数情况下,私营机构出于对企业隐私及客户数据内容的保护,对执法机构的非正式请求并不会迅速给予配合。为了改变这种状况需要建立以下的机制。首先,需要公私双方特别是在具有共同利益的情况下建立对话沟通的可能性,打击网络犯罪从而维护社会安全是双方共同的利益;鉴于犯罪预防信息的保密性和公共部门的权力主体地位,需要公共部门积极主动地与私营机构建立合作关系,确立一个伙伴关系对接口,由一个专门的政府机构组织负责将私营机构对网络安全的利益诉求与公共部门打击犯罪的职责连接起来。例如,国际刑警组织常常充当这样的角色,与微软公司等一些大型互联网企业在侦查和电子数据的获取等问题上进行合作。其次,公私双方特别是私营机构在合作交流的过程中,要明确自身建立合作关系的需求,明确双方利益诉求的前提,有助于对合作机制进行灵活调整,以使双方的合作保持长期的稳定。最后,公共部门还可以增加对私营机构合作的财政支持奖励,私营机构防御网络安全的成本相当高昂,政府应当提供一些培训和资源,这有助于双方间信任友好关系的建立。此外,对于已经遭受网络犯罪攻击的私营机构,政府应当将其视为被害人,对其进行帮助和扶持,通过出台相关的优惠政策改善公私部门的社会互动氛围。 国际组织(例如联合国)和国内立法机构应发挥相应职能,建立清晰的法律规范指导。首先,在国际法层面,应加快制定全球性的规制网络犯罪公约。如前所述,目前尚不存在一部全球性的网络犯罪公约,缺乏对网络犯罪治理公私合作的国际法律规范,因此在打击跨国网络犯罪的法律依据方面显得捉襟见肘。2010年,联合国通过联大65/230决议,要求预防犯罪和刑事司法委员会根据《萨尔瓦多宣言》第42段设立不设名额的政府间专家小组,全面研究网络犯罪问题。由此,在联合国框架下制定规制网络犯罪公约的序幕正式拉开。按照专家小组的计划,2021年有望完成《联合国网络犯罪公约》的草案。虽然各方对这一计划的前景还存在较大的分歧,但这毕竟是由联合国主导的第一次制定全球性网络犯罪公约的努力。如果未来这部公约得到大多数国家的批准,必将极大地有利于网络犯罪的全球治理。其次,在国内法层面,我国《网络安全法》对公私合作模式仅作出一些原则性的规定,今后不仅需要将这些原则性规定予以细化,明确公共部门和私营机构在网络犯罪治理中的权利义务,而且需建立专门的公私合作协调机构,配备专业人员,以便推动公私合作模式的良性运作。 针对执法机构开展侦查活动和获取电子数据存在困难的问题,需要建立以下机制。首先,为了提高网络犯罪的报案率,可以采取一些基本措施包括开展公众意识宣传活动、创建在线和热线报告制度以及改善执法部门的服务机制和信息共享机制。对于网络服务提供商向执法机构报告网络犯罪比例偏低的现象,执法机构有必要与私营机构建立专门的合作机制。部分国外执法机构就表示,“可以在重要网站管理人、互联网服务提供商、警方和安全时间协调中心之家建立24小时联系机制”;也有一些机构表示,“联邦警察正寻求与公众和私营公司达成协议,以便针对这些公司及其客户实施的犯罪能够以电子方式报告给联邦警方”。其次,要提升私营机构在合作过程中的数据分享积极性。其一,要确保私营机构在合作关系中拥有足够的自主权和话语权,只有私营结构受到平等对待,才更愿意参与和推动合作的开展。例如,在荷兰,国家网络安全中心(NCSC-NL)积极鼓励私营企业组织通过会议形式与公共部门共同讨论构建网络共享的条件和规范。在这个过程中,政府部门可以分享侦查和起诉网络犯罪的相关流程,双方还可以就打击网络犯罪的技术预防和保护措施、相关技术人员的培训等内容进行交流。其二,要建立一个针对网络犯罪的信息分享平台,承担集中式的信息代管和交换功能。通过这个平台,一些与网络犯罪相关的数据信息可以在彼此之间进行交互传递。在国际上,美国国家网络安全和通信集成中心、国土安全部、宾夕法尼亚州匹兹堡的国家网络取证与培训联盟(NCFTA)和美国信息共享与分析中心网络(ISAC)是信息共享平台的典范。这些平台将执法部门、私营机构和学术界的不同群体聚集在一起,以减轻和打击网络威胁。最后,公私部门要注意保持与立法机构的经验交流。虽然双方在合作过程中会涉及部分较为敏感和隐私的数据内容,但在执法机构终止对案件的审查后,公私部门双方要积极与立法机构进行网络犯罪治理的实践反馈和经验总结,进一步完善打击网络犯罪的立法,弥补相关法律规范的不足。 为提升打击跨国网络犯罪的有效性,必须进一步加强公私部门的合作。首先,公私部门应优先就符合双重犯罪原则的案件进行合作。由于各国网络犯罪法律存在很大差异,在短期内很难建立国际通行或相对统一的实体法和程序法规范,因此,各国可以首先在符合双重犯罪原则的案件中加强合作,这在一定程度上可以避免较为敏感的国家主权问题。例如,《网络犯罪公约》和《阿拉伯国家联盟公约》要求各种形式的引渡和司法互助应符合双重犯罪原则。其次,应推动各国与区域组织间建立双边或多边司法协助协定。在全球性网络犯罪公约缔结之前,为了更好地预防和打击网络犯罪,各国与区域组织间可以通过开展双边或多边合作,重点解决跨国调取网络犯罪相关证据的程序问题,明确协助对方调取电子数据问题的程序以及需要满足的条件,研究解决在不构成双重犯罪的情况下私营机构提供协助的范围和程序。由欧美国家主导的《网络犯罪公约》在区域网络犯罪治理上发挥着重要作用,但一些发展中国家由于技术相对落后以及对网络犯罪的危害性认识不足,在签订防范和打击网络犯罪的双边或多边协定方面仍显不足,具有一定的滞后性。最后,应进一步建立快速协作机制。各国主管网络犯罪的部门各不相同,且通常涉及多个部门,因此各国应统一指定专门的部门组织和机构人员提供国际协作。尤其在需要向域外网络服务提供商获取电子数据的场合,可以通过这些专门的机构组织进行协调和审查,尽可能避免涉及网络数据国家主权问题。对此,可以先从相对容易合作的领域开始合作,在对双边法律制度逐渐了解之后,再行探索建立高效的协作机制。 随着网络社会的到来,互联网技术对网络犯罪预防提出了独特挑战。这些挑战对网络犯罪的预防路径也提出了新的要求,应坚持“多元化和包容性”的预防理念,促进各利益相关方的共同参与。首先,公共部门应将网络犯罪的预防工作作为其打击犯罪方案的长期内容,在保证政府部门内部网络犯罪预防工作明确、清晰的同时,将网络犯罪预防中的公私合作作为长期的网络安全战略。例如,一些欧美国家正在开展网络犯罪预防和意识提升活动,这些活动吸收了一些私营机构与学术界的代表与执法机构等公共部门进行讨论。其次,应当发挥私营机构在网络犯罪预防中的功能。例如,私营机构能提前过滤和筛选一些非法的网络通信和内容,可在第一时间实现犯罪预防。为了更好发挥私营机构在网络预防中的作用,一是要强化对互联网内容的管理义务,加强企业内部的预防策略,例如对自身防火墙技术、数据加密技术、通信协议等技术的研发和投资,提升网络攻击的成本;二是要加强大型互联网企业与中小型企业的防御技术交流合作。计算机网络安全是一体化的存在,不会因企业机构规模的不同而被割裂。建立对网络犯罪行为的预防机制需投入大量的资源与执行成本,而相当多中小互联网企业并没有这样的资源,这就导致一些公司缺乏基本的防范措施,甚至对现实的安全风险缺乏认识。这种安全防护上的漏洞往往为犯罪分子提供了可乘之机,如果后续打击不及时,很容易形成更大规模的网络犯罪侵害。最后,学术机构和政府间组织也是网络犯罪预防和打击的重要利益相关方,可以在网络犯罪预防中发挥重要作用。其可以参与公共部门法律与政策的制定、与私营企业进行技术的开发和共享、为公私部门成员和社会公众提供网络安全防护的知识科普及宣传等活动。总之,网络犯罪预防是网络犯罪治理的基础,通过公私合作有望实现网络犯罪预防的良好效果。 近年来网络犯罪的剧增,迫使人们思考如何治构理建中一的个核科心学角有色效而的无网法络适犯应罪现治代理网模络式犯。罪传治统理的的犯新局面。只有秉持包容性和多元化理念,大力提倡网络犯罪治理的公私合作模式,才能从根本上遏制网络犯罪给网络安全带来的诸多危害和威胁,实现整体社会治理效益的最大化。
转载请注明出处。
分享本文:
点击界面右上角按钮,在弹出框中选择“发送给朋友”或者“分享到朋友圈”
本刊微信号:ZZYFL-SASS
本刊微信链接二维码: