吴海文、张 鹏|打击网络犯罪国际规则的现状、争议和未来
点击关注了解更多精彩内容!!
载《中国应用法学》2020年第2期
网络犯罪天然具有很强的跨国性,对其有效应对离不开国际合作。当前在这一领域已有的一些区域性公约难以适应国际合作的需要,国际社会迫切需要在联合国框架下制定更加统一的规则,有效协调各国立法和实践。打击网络犯罪国际规则涉及网络犯罪的定罪、电子证据跨境取证、管辖权等复杂的法律问题,各国多年来在联合国、亚非法协等多边平台就此进行了有益讨论。2019年12月,第74届联大通过重要决议,正式开启打击网络犯罪全球性公约谈判。未来各方共同谈判制定的公约将极大便利和推进打击网络犯罪的国际合作。
网络犯罪 国际公约 跨国合作
网络信息技术的发展促进了经济发展和社会进步,但同时也带来了日益严重的网络犯罪问题。由于网络信息技术的特点,网络犯罪天然具有很强的跨国性,对其有效应对离不开国际合作。十几年来,国际社会在交流协调对网络犯罪的预防、定罪、管辖权和司法执法合作方面作了一些努力和尝试,取得了一些成效。但总的来看,受政治和法律差异、治理能力上“数字鸿沟”等问题的制约,当前打击网络犯罪的国际协调力度仍很不够,国际规则仍高度碎片化,在一些关键问题上尚难形成一致,这对国际合作十分不利。面对日益上升和不断变化的网络犯罪危害,在全球层面探讨制定打击网络犯罪国际规则,协调各国的立法和实践日益成为紧迫课题。联合国于2011年成立网络犯罪政府专家组,就打击网络犯罪国际合作问题进行讨论,探讨制定专门的全球性公约。2019年12月,第74届联大通过重要决议,正式开启谈判制定全球性公约的进程,反映了国际社会以更有力措施应对网络犯罪的共识和决心。
国际社会为打击毒品、腐败、恐怖主义等领域的跨国犯罪制定了不少国际公约,比如《联合国打击跨国有组织犯罪公约》《联合国反腐败公约》等。这些类型的公约一般会聚焦发挥四个方面的作用:一是协调定罪,明确各国应当将哪些行为规定为犯罪并予以处罚;二是协调管辖权,对特定类型跨国犯罪的管辖权作出原则划分;三是协调国际合作,为跨国执法合作、司法协助、引渡和追回犯罪资产合作提供基本框架;四是协调其他事项,主要包括立法和执法措施、预防、国际交流和技术援助等。这四方面事项互相衔接配合,共同构成打击特定犯罪的国际合作制度和规则。比如,在定罪方面加以协调,一方面能在最大范围内消除犯罪“庇护所”,另一方面也有利于确保同一犯罪行为满足司法协助和引渡合作中的“双重犯罪”要求,便利国际合作。
尽管网络犯罪具有很强的跨国性质,但迄今,在打击网络犯罪方面还没有全球性的公约。只有几部区域性的多边条约。包括《欧洲委员会网络犯罪公约》(又称“《布达佩斯公约》”)《阿拉伯国家联盟打击信息技术犯罪公约》(下称“阿盟公约”)、《上海合作组织成员国保障国际信息安全政府间合作协定》(下称“上合协定”)、《非洲联盟网络安全和个人数据保护公约》(下称“非盟公约”)。区域性条约中,《布达佩斯公约》成员国数目最多。该公约于2001年由欧洲委员会部长级会议通过,于2004年生效。最初仅允许欧洲委员会成员国加入,后在名义上对所有国家开放,同时新成员国加入设定了很高的门槛。根据公约规定,非欧洲委员会的国家要加入公约,须经所有缔约国的一致同意才能获得邀请。实践中,潜在受邀对象国的法律体系要事先经过欧洲委员会的评估、作出修改完善。
美国虽非欧委会成员国,但在该公约谈判和制定过程中积极发挥作用,使公约基本反映了美国主张。美国也于2006年成为第一个参加《布达佩斯公约》的非欧委会成员国。为扩大《布达佩斯公约》的影响,欧洲委员会不遗余力地在多边和双边平台、利用技术援助等手段推广公约,寻求扩员。自2012年起,日本、加拿大等与西方立场相近的发达国家陆续加入该公约。近年,一批网络信息技术水平参差不齐的发展中国家也被吸收为成员国,包括阿根廷、佛得角、哥斯达黎加、加纳、摩洛哥、巴拉圭、斯里兰卡和菲律宾等。截至目前,已有64个国家批准该公约,其中有44个欧洲委员会成员国,20个非欧洲委员会成员国。
上述区域性条约在打击网络犯罪方面不同程度地发挥了作用,对各国立法和实践具有一定借鉴价值,但各项条约的关注点各有不同,内容差别较大,加之参与谈判的国家数量有限,难以反映普遍的需求和共识,而且在成员国范围和加入程序等方面存在差异,并不能真正为各国提供全球性解决方案。
在联合国网络犯罪政府间专家组(UNIEG)等场合,也有观点认为,由于网络犯罪属于“跨国有组织犯罪”,各国可以根据《联合国打击跨国有组织犯罪公约》开展合作,不必制定全球性公约。事实上,这项公约虽然在一定程度上可以为各国调查、打击跨国网络犯罪提供法律基础,但由于其主要是为“跨国有组织犯罪”量身打造,在定罪、管辖权和国际合作方面的规定远不能适应打击跨国网络犯罪的特殊需要。特别是缺少对网络犯罪的定罪协调,缺少对跨境电子证据保全和调取的专门规定,使公约在打击网络犯罪方面的局限性突出。
包括中国、俄罗斯、南非等在内的很多国家很早就关注打击网络犯罪国际合作规则问题,认为现有的区域性条约不仅不能解决问题,反而会造成规则碎片化、妨碍国际合作,主张尽快在联合国框架下谈判制定全球性的打击网络犯罪公约。俄罗斯还草拟了《联合国合作打击网络犯罪公约(草案)》提交给第72届联大。但在联合国大会、联合国预防犯罪和刑事司法委员会和UNIEG等场合的讨论中,以美国、欧洲国家为主的部分《布达佩斯公约》缔约国强烈抵制谈判制定全球性公约。持不同意见的两个阵营争议至今,导致联合国迄今未能就谈判全球性打击网络犯罪法律文书采取行动。
部分《布达佩斯公约》成员国主张将该公约上升为“全球标准”。它们认为,该公约是当前全球范围内应对网络犯罪“唯一有效运行”的法律框架,是最优安排,并通过发布实施指南、制定议定书等方式与时俱进;公约缔约国数目在稳步增长;要加强国际协调,最好的选项是鼓励各国加入《布达佩斯公约》;谈判制定全球性公约不仅耗费时间和资源,而且难以保障在打击网络犯罪和保护人权方面的高标准。
另一方面,主张制定全球性公约的国家则反对由少数国家为全球制定规则,并指出《布达佩斯公约》的固有政治、法律和技术缺陷:一是制定于18年前,内容早已跟不上网络信息技术迅猛发展。二是参与谈判的国家有限,只反映了少数国家的需求和关注,没有普遍适用基础;关于跨境调取电子证据的条款可能侵犯别国司法主权。三是公约设定了“全体缔约国同意”的加入门槛,事实上只是个封闭的“俱乐部”,其他国家能否加入完全要看别国的脸色。因此,《布达佩斯公约》不具备作为所谓“全球性标准”的条件。要有效协调打击网络犯罪规则,最好的途径是在联合国框架下以民主透明和多边参与的方式,谈判制定一项全球性法律文书。
围绕是否制定全球性公约的争议,实质上是各方围绕国际规则的主导权之争。这种争议持续多年,一定程度上冲淡了各方对网络犯罪问题的务实讨论。与此同时,美国通过出台“云法案”和与英国等盟友的双边协议,努力就打击网络犯罪中最核心的跨境保全和调取电子证据问题打造规则“朋友圈”(详见下文),也可能加剧网络犯罪国际合作规则的“碎片化”。同时也应该看到,网络犯罪的跨国性和危害性日益受到普遍重视,把这一问题和相关规则纳入联合国框架下进行多边讨论是合情合理的选项,受到多数国家的支持。2018年,联合国大会以94票支持、59票反对、33票弃权的结果通过了第73/187号决议,决定将打击网络信息技术犯罪列为第74届联大议程,责成联合国秘书长就此提交专题报告。UNIEG的工作虽然屡受波折,但日益受到更多国家支持。《布达佩斯公约》扩员努力进展缓慢,其维护“小圈子”“高标准”与加紧扩员之间的矛盾会逐渐显现。没有中国、俄罗斯、印度和南非等大国的参与,该公约势难成为“全球标准”。并非所有《布达佩斯公约》的缔约国都排斥制定全球性公约,阿根廷等支持在联合国框架下讨论适当法律框架,有的国家还对提出制定《联合国打击跨国有组织犯罪公约》附加议定书的选项。多数发展中国家由于技术能力等方面的问题,对网络犯罪规则协调的重要性还缺乏清晰认识,在制定全球性公约问题上的立场尚不明确。随着越来越多的国家对这一问题的认识更为清晰,在联合国框架下谈判制定法律文书的时机一定会逐渐成熟,为最终解决规则“碎片化”铺平道路。
(一)联合国网络犯罪政府专家组(UNIEG)
在联合国框架下,各国在2010年开启了打击网络犯罪国际规则的讨论。2010年4月,第十二届联合国预防犯罪和刑事司法大会通过《萨尔瓦多宣言》(Salvador Dec-laration),请联合国预防犯罪和刑事司法委员会召集一个不限成员名额政府间专家组,对网络犯罪问题以及各会员国、国际社会和私营部门就此采取的对策进行一次全面研究,包括就国家立法、最佳做法、技术援助和国际合作交流信息,以期审查各种备选方案,加强现有并提出新的国家和国际打击网络犯罪的法律和其他对策。同年12月,第六十五届联合国大会通过第65/230号决议,成立联合国网络犯罪政府专家组(UNIEG)。
UNIEG第一次会议于2011年1月在维也纳举行,100多个国家和相关国际组织专家与会,就网络犯罪问题、各自应对措施以及如何加强应对网络犯罪交换了意见。UNIEG通过了《工作方法》(Methodology)和《议题范围》(Draft Collection of Topics),并授权联合国毒品和犯罪问题办公室根据上述方法和议题范围编撰《网络犯罪问题综合研究报告(草案)》(Draft Comprehensive Study on Cybercrime,下称《综合研究报告草案》)。2012年1月至7月间,联合国毒罪办向各国、政府间组织和私营部门与学术机构的代表分发关于网络犯罪问题的问卷。在收到的来自69个国家、40个私营部门机构、16个学术机构和11个政府间组织问卷回复基础上,并参考500多份公开资料,联合国毒罪办于2013年初完成《综合研究报告草案》。《综合研究报告草案》共分8个章节,对网络犯罪及其特点和发展趋势、对国际社会的危害、各国国内以及国际层面的应对措施以及相关国际合作情况等,进行了全面详尽的实证研究,并提出了结论和建议。
2013年2月,UNIEG第二次会议重点讨论对《综合研究报告草案》的下一步行动。由于报告草案在结论和建议中指出,应当尽快讨论制订打击网络犯罪的普遍性多边条约或国际示范性法律文书,招致美国和欧洲国家不满,对报告草案持强烈反对态度,批评其“数据不全、论证不足”,反对将其提交联合国预防犯罪和刑事司法委员会采取进一步行动。会议未达成共识,并导致UNIEG工作停滞。
直到2017年4月UNIEG才召开了第三次会议。在中国等金砖国家的努力下,UNIEG搁置了围绕《综合研究报告草案》的争议,决定继续就打击网络犯罪国际合作的实质性问题展开讨论,争取形成一系列结论和建议供各国参考。2018年4月,UNIEG第四次会议一致通过了由中国提出的“2018年至2021年工作计划”,决定在2018年至2021年定期召开会议,讨论网络犯罪的实质问题,包括“立法和框架”“定罪”“执法与侦查”“电子证据与刑事司法”“国际合作”以及“预防犯罪”。原则上每年讨论两个议题,鼓励各国就相关议题提交政策和实践建议。UNIEG将汇总各国的建议,不晚于2021年讨论通过,提交联合国预防犯罪和刑事司法委员会。这份工作计划终于使UNIEG的工作重回正轨。
第四次会议上,UNIEG就“立法和政策框架”和“定罪”两项议题进行了讨论,并汇集各国提出的初步建议供后续会议审议。2019年3月,UNIEG第五次会议围绕“执法与调查”和“电子证据与刑事司法”进行讨论。各国普遍认识到了云计算、加密技术、大数据、人工智能等新技术的发展增加了执法与调查的难度;认可加强执法与调查能力建设,以及平衡要求网络服务提供者配合防范和调查与保护企业合法权益的重要性;也在网络犯罪的管辖权规则、电子证据采信规则以及调取境外电子数据规则等方面存在不同关切;在是否需要制定全球性打击网络犯罪公约的问题上,各方分歧依然明显。
(二)联大其他平台进程
2018年12月,俄罗斯发起、金砖国家参与共提的“打击为犯罪目的使用信息通信技术”决议于第73届联大进行表决并获得通过。决议要求第74届联大将“打击为犯罪目的使用信息通信技术”列为正式议题,要求联合国秘书长就网络犯罪问题拟定报告,鼓励各国向联合国秘书长提交网络犯罪相关书面评论。中国支持联合国在网络空间国际规则制定中发挥主渠道作用,欢迎联大通过该决议,并在2019年5月提交了书面评论。联合国秘书长整合了61个国家提交的书面评论,并于2019年7月发布了《打击为犯罪目的使用信息和通信技术专题报告》,内容涵盖打击信息技术犯罪在国内和国际层面面临的挑战,以及各国应对挑战的经验和方案,并强调在打击网络犯罪方面开展国际合作的重要性。
2019年10月,俄罗斯在第74届联大三委提交新的“打击为犯罪目的利用信息通信技术”决议草案,包括我国、南非、印度等在内的40个国家参与共提。11月,联大三委以88票赞成、58票反对、34票弃权的表决结果通过了该决议草案。12月,第74届联大全会再次对决议草案投票表决,最终以79票赞成、60票反对、33票弃权通过该决议,正式开启谈判制定打击网络犯罪全球性公约的进程。根据决议,联合国将设立一个代表所有区域的不限成员名额特设政府间专家委员会,拟定打击网络犯罪全球性公约。专家委员会将于2020年8月在纽约召开组织会议,商定下一步工作计划,提交第75届联大审议。
(三)亚非法协网络空间国际法工作组
亚洲—非洲法律协商组织于1956年成立,是1955年万隆会议的重要成果,是亚洲、非洲国际法交流合作的唯一政府间国际组织,目前共有成员国48个。根据中国政府建议,该组织于2014年将“网络空间国际法问题”作为常设议题,并于2015年成立了网络空间国际法工作组,为提升亚非国家参与网络空间治理发挥了重要推动作用。网络犯罪问题是法协网络空间国际法工作组的工作重点之一。截至目前,工作组已召开四次会议,打击网络犯罪国际合作是历次会议讨论的重点问题。最近的一次会议于2019年9月在杭州举行。
(一)对网络犯罪的定罪
如上所述,协调对网络犯罪的定罪范围、找到最大公约数,尽量缩小各国就相同行为的定罪和处罚差异,是开展国际合作、避免跨国“法律真空”或“避风港”的关键。如果定罪范围差别过大,甚至同一行为在不同国家面临罪与非罪的不同后果,或者处罚上会有实质性差异,可能会加剧犯罪的跨国转移,容易因为不满足“双重犯罪”原则而制约国际合作。例如,在2000年,一个菲律宾人开发了“爱虫”计算机蠕虫病毒,导致全世界4500万用户受到感染,造成巨大财产损失。由于当时的菲律宾法律尚未将研发和传播恶意软件行为规定为犯罪,因此无法追究当事人的责任。
国际上对网络犯罪的定义和范围没有一致看法。理论上一般认为,狭义的网络犯罪仅指针对网络信息系统实施的犯罪,主要是破坏系统保密性、完整性和可用性的行为,如非法访问、攻击、操纵网络信息系统,窃取和破坏数据等。更广泛意义上的网络犯罪,则除上述犯罪外,还包括利用计算机和网络信息系统实施的犯罪,如宣扬暴力、仇恨、恐怖主义和色情等的内容犯罪,以网络为工具或手段实施的诈骗、侵犯知识产权等传统犯罪。从刑事定罪角度看,“网络犯罪”实际上只是个概括性的“标签”,用以泛指网络信息环境中的新型犯罪。在国际上协调定罪不在“名”而在“实”,主要目的不是追求各国就“网络犯罪”的概念达成一致理解,或者创设“网络犯罪”的相同罪名,而是要促使各国把在网络信息环境中具有社会危害性、应予刑事惩处的行为都规定为犯罪,具体归类和罪名并不是关键问题。例如,《布达佩斯公约》及其议定书中没有对“网络犯罪”的解释,而是包括了针对信息系统本身的犯罪,也规定以网络信息技术为手段或条件的欺诈、伪造和侵犯知识产权犯罪,以及散布儿童色情、种族主义和排外言论的内容犯罪。
根据联合国网络犯罪专家组《综合研究报告草案》对60多个国家立法的分析,各国在定罪范围上的实践有共同之处,同时差异也很明显。一方面,多数国家针对危害网络信息系统的常见行为规定了专门类别的罪名,对于在网络信息环境中实施的普通犯罪,也继续依照原有的普通罪名予以定罪处罚。另一方面,少数国家的定罪覆盖范围不足,甚至未将常见的非法侵入、盗取个人信息、截取网络通信、传播恶意软件等行为入罪。各国在网络儿童色情、网络赌博、传播仇恨和恐怖主义言论的行为是否入罪上差别较大。此外,根据《综合研究报告》对逾百个国家立法的分析比较,即使是均被规定为犯罪的行为,各国对构成犯罪的主客观要件也存在不同要求。以非法侵入信息系统为例,约70%的国家立法规定单纯侵入系统即可构成犯罪,30%的国家立法则对这类犯罪规定了“意图实施其他犯罪”“损害安全系统”或“窃取、修改或删除数据”等其他构成要件。实践中,这种细微的差别很可能导致同一行为在不同国家被认定为罪或非罪,从而影响相应的国际执法和司法合作。在联合国秘书长2019年7月向第74届联大提交的《打击为犯罪目的使用信息和通信技术专题报告》中,日本、印度、缅甸、南非等多国均认为,各国定罪的差异和不充分是打击网络犯罪国际合作的一大挑战。
各国在定罪协调方面的立场也不尽一致。在联合国网络犯罪专家组讨论中,部分《布达佩斯公约》缔约国主张各国立法应秉持“技术中立”原则,使定罪尽可能适应未来技术发展,不应频繁修订或增加罪名;在前述联合国秘书长《打击为犯罪目的使用信息和通信技术专题报告》中,德国就认为,“试图制定适用于使用计算机或通过互联网实施的所有罪行的条款既不可行,也不可取;关于核心网络犯罪的条款需要足够灵活,以跟上技术发展”,“几乎任何犯罪都可以使用计算机设备实施,但这并不意味着它们就是网络犯罪”。定罪还应当符合国际人权法框架,保护个人隐私言论自由。另一部分国家则持务实立场,主张定罪应紧跟犯罪发展趋势,及时根据需要扩大网络犯罪定罪范畴;各国有权根据本国国情和需要立法,包括就非法利用网络犯罪行为、网络恐怖主义行为等单独定罪。
(二)关于公私合作
调查网络犯罪需要较强的专业技术能力,也高度依赖以电子数据形式存在的证据。尤其是考虑到互联网企业掌握网络技术、网络资源和用户数据,它们能否给执法机关提供必要的配合与协助,直接关系到能否迅速侦破犯罪。打击网络犯罪的公私合作,强化互联网企业配合执法与调查的义务,已成为多数国家的共识。澳大利亚2018年底通过了《协助和获取法案》(The Assistance and Access Act,亦称“AA法案”),授权澳安全和执法机关向互联网公司获取加密信息访问权限,以收集电子证据。白俄罗斯亦出台类似规范,指导打击网络犯罪协作。挪威则注重机制创新,通过建立“网络安全中心”加强执法机关与互联网企业调查网络犯罪协作。在前述联合国秘书长《打击为犯罪目的使用信息和通信技术专题报告》中,阿根廷认为,私营部门在应对网络犯罪方面发挥着十分重要的作用。除了私营部门的自愿合作之外,还有必要研究确立强制性合规规则。挪威、新西兰等多国也认为,政府与私营部门间的互动配合至关重要。
在公私合作问题上,如何保护互联网企业的合法权利和个人隐私是各国在历次专家组会议讨论中的重点。以色列认为,各国在打击网络犯罪时面临的最严峻挑战之一是国家与私营公司之间的互动。有必要考虑制定一个适当的均衡框架,一方面便于各公司向其客户提供可靠的服务,同时保护其隐私和言论自由及促进创新;另一方面找到一个适当的框架,与执法机关合作处理犯罪活动案件。俄罗斯主张,应平衡执法效率和企业、个人权利,在未来制定全球性公约时可邀请互联网企业参加,以确保其权利得到保障。加拿大、意大利、智利、南非等国主张通过互联网企业调取电子数据应符合比例原则和必要原则,平衡执法的侵入性和企业权利、个人隐私保护,并防止数据泄露。《布达佩斯公约》缔约国已在公约第二附加议定书的谈判过程中,邀请了相关企业参与讨论,确保反映企业的权利保障诉求。我国在专家组会议上主张,既要立法明确互联网企业配合执法与调查的义务,也要明确此类义务的边界,确保互联网企业的合法权利不受侵犯。欧洲委员会强调公私合作中要注意保护个人隐私,建议联合国毒罪办制定相关规则供各国参考。
(三)关于电子证据及跨境调取
各国法律对电子证据的定义多有差异,但基本接受“用户数据(subscriber data)”“内容数据(content data)”和“通信数据(traffic data)”的电子证据分类。在第五次会议上,各国普遍主张要完善电子证据法律体系,包括确认电子证据的证据能力,明确电子证据的定义和范围,在判断电子证据的真实性、合法性、关联性、完整性,以及在适用传统证据规则时考虑到的电子证据的特殊性;规定扣押、封存原始存储介质、现场提取、远程勘验、冻结等电子证据取证手段。
由于网络信息传递的特性,调查网络犯罪往往需要跨国调取电子证据,且相关证据往往掌握在作为网络服务提供商、运营商的企业手中。建立便捷的跨境电子证据调取安排对加强国际合作十分重要,联合国秘书长《打击为犯罪目的使用信息和通信技术专题报告》显示,很多国家认为,调查网络犯罪时经常遇到证据位于另一国的情况,跨国调取数据问题日益受到各国的重视。实践中,各国对电子证据跨境取证方式分歧较大,做法不一。
在国际司法协助中,跨国调取证据一般须经以下程序:调查国通过外交途径或条约等国际安排规定的途径向证据所在国提出书面请求,描述须调取的证据、用途和法律依据等;被请求国根据条约或法律对请求进行审查,包括涉案行为根据本国法律是否构成犯罪(“双重犯罪”原则),提供协助是否可能损害本国主权、安全利益等。如认为可提供协助,被请求国主管机关负责调查获得证据后,循接受请求的途径转交给请求国。这种机制是基于国家主权原则设计的,可以确保取证活动完全由被请求国依本国法律决定和实施,其司法主权得到充分尊重,但不足之处是需要经过两国数个机关,涉及大量文书往来和审查程序,效率较低。根据联合国毒罪办《研究报告草案》的研究,通过国际司法协助取证往往平均耗时数月之久。联合国秘书长《打击为犯罪目的使用信息和通信技术专题报告》中,多国也抱怨无法按传统司法协助渠道及时跨境获取电子证据。由于调查网络犯罪所必需的电子证据具有即时性、易修改和灭失等特点,对取证时效要求很高。在证据形式和载体上,通常也不限于书面形式。对跨境调取电子证据应当采取何种程序,国际上存在不同做法和主张,问题的核心是如何在保障数据主权与便利执法司法合作之间取得适当的平衡。
从联合国网络犯罪专家组第五次会议的讨论情况来看,各国均认为在调取境外电子数据问题上并未形成统一的国际规则,对是否应允许一国绕过国际司法协助和执法合作渠道直接跨国调取电子数据,各国分歧很大。以美国、英国等《布达佩斯公约》缔约国为代表的一些国家表示,国际司法协助和执法合作渠道取证效率低,不适应调取电子数据的需求,应授权执法机关直接向互联网企业调取证据,包括存储在他国的证据。俄罗斯、南非、伊朗等国则对跨国直接调取电子证据表达关切,强调跨国调取电子证据应尊重证据所在国主权,保障相关主体和个人的权利。在联合国秘书长《打击为犯罪目的使用信息和通信技术专题报告》中,加拿大认为,无论数字证据多么重要,单方面越境获取数字证据都会给国际关系带来压力,并破坏证据搜集工作的有效性。俄罗斯认为,允许单方面跨境调取电子数据可能违反国家主权和不干涉他国内政原则,并让少数国家不受控制地收集世界各地用户个人数据。白俄罗斯等国强调,跨国直接调取电子证据可能使相关企业面临“要么违反本国法,要么违反相关外国法”的法律冲突。西班牙、科威特指出,跨境调取电子数据涉及管辖权等重要问题,需各国协商达成共识。中国则强调,网络犯罪虽然没有国界,但国家主权有国界。跨国调取电子证据应尊重证据所在地的国家主权,不能仅因国际司法协助和执法合作取证效率低便对其简单予以否定。应当综合考虑和平衡各方面因素,更多通过优化司法协助和执法合作的程序和方式提升取证效率,尊重相关企业和个人的正当权利。
值得关注的是,美国等已在传统的刑事司法协助渠道之外,另行设计更便捷的直接跨境电子证据调取方式。包括向管辖范围内的互联网企业直接调取数据,以及《布达佩斯公约》允许的执法机关直接跨境远程取证。美国2018年通过《澄清合法使用境外数据法》(“云法”,CloudAct),利用其互联网优势地位,方便本国直接调取境外电子数据。欧盟正抓紧制定《电子证据条例》,拟设计统一“欧洲数据提取令”及“欧洲数据留存令”,任一成员国均可凭此要求另一成员国互联网企业提取或留存其掌握的境外数据。《布达佩斯公约》成员国正谈判关于电子数据跨境取证的附加议定书,试图完善公约跨境取证条款,进一步发展相关规则。
美国“云法”允许美国政府为调查恐怖主义和严重犯罪,直接从美管辖的互联网企业调取存储在外国的数据。内容主要包括两方面:第一,授权美国政府直接从互联网企业调取存储在外国的数据。只要美国对相关互联网企业有管辖权,即可为调查恐怖主义及严重犯罪需要,直接从企业调取存储在外国的数据。“云法”给企业反对提供数据提供了有限的抗辩依据,包括取证目标对象不是美国公民及永久居民,提供数据可能违反相关外国的法律等。美国法院将审查企业的反对动议,并综合考虑美国利益、外国利益、数据对调查的重要性等因素进行“礼让分析”,决定是否支持动议。
第二,外国政府可通过与美国签署双边协定,获得直接从美国互联网企业调取数据的权利。如果外国政府拟仿效美国做法,要求美国互联网企业提供数据,则必须与美国缔结双边协定。“云法”对缔结协定对象的外国设置了严格条件。一是要求外国政府必须“合格”,如尊重言论、结社与游行自由,尊重法治和非歧视原则,支持全球数据自由流动等。二是对“合格外国政府”数据调取行为设限,强调保护人权和美国公民数据,不侵犯言论自由,接受司法审查、不有意针对美国公民等。三是提出互惠和审查要求,即外国政府也应允许美国政府从其管辖的互联网企业调取数据,并同意美国定期审查行政协定履行情况。英国已经于2019年10月与美国达成了行政协议,澳大利亚也已经与美国开启了谈判。
美国“云法”有明显的单边主义色彩,对其他国家利益、跨境调取电子证据规则有几方面的潜在影响:
一是损害他国司法主权。一国境内司法活动只能由该国司法机关实施,只有在获得他国同意的情况下,一国才能在他国境内从事司法活动,这是国际社会的普遍看法。在美国“云法”出台之前,美国执法机关通过搜查令要求微软公司提供用户在爱尔兰的电子邮箱资料,微软反对并对美政府提出诉讼,即“微软诉美国”案。在就此案提交的“法庭之友”意见中,新西兰认为,允许美搜查令域外适用将损害领土主权和尊重他国管辖权等国际法原则。欧盟也表示,国内法域外适用不应违反国际法禁止性规定,如采取侵入性和破坏性技侦手段获取电子数据,可能构成对数据所在国的网络攻击,违反国际法基本原则。在2000年的“美国诉格什科夫和伊万诺夫”案中,美国联邦调查局远程侵入两名被捕俄罗斯公民在俄境内的电脑获取罪证,引发俄反对。
二是威胁他国的数据安全。“云法”管辖范围宽泛,既适用于总部在美国的互联网巨头,也适用于在美国有分支或用户的外国互联网企业。这些企业通过在全球范围内提供“云存储”等网络服务控制大量外国数据。“云法”为美国政府获取这些数据提供了进一步便利,不利于外国的数据安全。德国的数据保护官员曾公开表达对“云法”的关切,认为该法可能使美国任意获取德国存储在亚马逊云服务器上的敏感数据,损害德国数据安全。
三是与相关国家的数据本地化等法律冲突。随着数据主权、数据安全意识不断提升,包括中国在内的不少国家都要求重要数据本地存储,并出于国家安全、隐私保护等考虑限制相关数据出境。我国《网络安全法》要求有关数据出境应履行安全评估程序。欧盟《通用数据保护条例》规定,欧盟公民个人数据传输至非欧盟国家仅能依据国际协定为之。“云法”授权美国政府直接调取存储在他国的数据,会与相关国家的法律形成冲突,使数据存储和处理企业面临法律上的两难境地。四是影响跨国调取电子数据规则发展。不少国家根据国家主权原则,主张“数据存储地”标准,即一国对存储在其境内的数据有管辖权。例如,巴西法律规定,在巴西设有分支机构或向巴西用户提供服务并收集、存储、维护或处理从这些用户获得数据的外国公司必须遵守巴西法律。这一框架使当局能够直接获取从该国提供的服务中收集的电子证据和数据。而美国政府则持“数据控制者”标准,数据由实际控制者管辖,一国只要对控制数据的企业有管辖权,即可要求其提供数据,不论数据存储在何处。这是各国在跨国调取电子数据规则问题上的核心分歧之一。“云法”明确采取了“数据控制者”标准,美国政府在解释性白皮书中主张该标准是“长期确立的国际原则”,“云法”对与美缔结双边协定的适格对象国作了有浓厚意识形态色彩的限定,也有构建以西方价值观为基础的“朋友圈”、影响相关规则发展的考虑。
(四)网络犯罪的管辖权问题
对网络犯罪的管辖权,各国和相关条约的规定不一。在国家层面,虽然各国通常以属地原则为主,基于“犯罪地”在本国领土内进行属地管辖,但普遍对“犯罪地”作比较宽泛的界定以确保本国管辖权,而且做法不一。例如,美国《计算机欺诈和滥用法》等法律规定,网络犯罪行为实施地,受攻击的计算机、计算机软件及程序所在地,犯罪人所在地,涉案数据所在地,甚至涉案数据流经地等均可作为“犯罪地”。英国1990年《计算机滥用法》规定,“犯罪地”是指犯罪行为实施地、受攻击的计算机所在地、犯罪人所在地。在德国,“犯罪地”包括犯罪行为实施地、犯罪结果发生地、犯罪人希望犯罪结果发生之地。在法国,“犯罪地”除包括犯罪行为实施地、犯罪结果发生地,还包括受害人所在地。
对于本国领土外发生但与本国有实质联系的犯罪,主要国家的刑法普遍规定了以属人原则、保护原则为基础的域外管辖制度,基于犯罪人或受害人是本国公民对犯罪进行管辖,或基于犯罪危害本国重要利益进行保护性管辖。美国等不少国家依据效果原则,对在本国境内产生实质影响的境外犯罪进行管辖。这些刑法的一般管辖规则同样适用于跨国网络犯罪。美国、英国还对网络犯罪的域外管辖权作出专门规定。例如,英国1990年《计算机滥用法》确立了“重大联系”原则,规定有关网络犯罪虽发生在英国领土之外,但如与英国存在“重大联系”,英国即可进行域外管辖。美国《爱国者法》规定,即使网络犯罪攻击的是美国境外的计算机,只要对美造成特定影响,美国即可进行域外管辖。
在《联合国打击跨国有组织犯罪公约》、欧洲委员会《布达佩斯公约》、非盟公约、阿盟公约、上合协定等现有公约中,只有上合协定及非盟公约未就管辖权作出规定,其他公约均包含管辖权条款。上述条约均规定了属地管辖,即缔约国可基于“犯罪地”在本国领土内对犯罪进行管辖。根据《布达佩斯公约》的解释性报告,犯罪人所在地和受攻击的计算机所在地均构成“犯罪地”。阿盟公约规定,“犯罪地”包括部分或全部犯罪行为的实施地和犯罪结果发生地。其他条约则未对何为“犯罪地”作出界定。上述公约也都规定了属人原则,特别是要求缔约国对本国公民在境外实施的犯罪,以及在本国登记注册的船舶或航空器上的外国人犯罪进行管辖,一些公约还要求缔约国基于受害人是本国公民进行属人管辖。阿盟公约规定了保护原则,明确授权缔约国对影响本国“重大利益”的犯罪进行保护性管辖。作为一般性原则,有关条约均明确,条约规定不影响缔约国根据国内法行使管辖权。
对跨国网络犯罪而言,犯罪人所在地、犯罪工具所在地、犯罪行为实施地、犯罪结果发生地、犯罪影响产生地等位于不同国家的情况十分常见。随着“云计算”的普及,调查网络犯罪所需的电子证据也越来越多地跨国分布和存储。各国宽泛规定对网络犯罪的管辖权,对本国而言,有利于实现“能管尽管”、维护司法主权。在国家之间,一方面有利于避免出现犯罪无国家管辖的情况,也有潜在的法律问题和风险。一是容易因多国对同一犯罪主张管辖权导致分歧和争端。如分歧得不到有效解决,可能影响国际执法和司法合作,妨碍有效打击犯罪。以引渡为例,管辖权冲突可能导致多个国家对同一犯罪提出引渡请求,使被请求国面临抉择。此外,被请求国对犯罪有管辖权且正在或将要对犯罪进行追究,一般构成可以拒绝引渡的理由。二是导致不合理的域外管辖权。尽管国际社会在“犯罪地”界定上缺乏统一标准,但通常认为“犯罪地”应与犯罪存在真实足够的联系。如果过分宽泛地界定“犯罪地”,在犯罪与本国领土没有或只有很微弱联系的情况下主张属地管辖,实际是以属地管辖之名行过分域外管辖之实。
在发生管辖权冲突时,最终由哪国对犯罪实际进行管辖,受到行使管辖权便利、各国自身利益考量等众多因素影响,没有一定之规。多数情况下,实际控制犯罪人或关键犯罪证据的国家在主张管辖权方面占有优势,但往往也需要其他国家配合才能有效实际行使管辖权。现有打击网络犯罪区域性公约未就解决管辖权“积极冲突”提供解决方案。《布达佩斯公约》规定,在多国管辖情况下,相关国家“在适当时候”可“协商”确定最合适的管辖国,但并未明确“协商”的程序和规则。阿盟公约对确定管辖国应遵循的优先顺位作了规定,但相关条文十分原则。长远看,减少和协调管辖权冲突的有效途径是缔结打击网络犯罪全球性公约,针对跨国网络犯罪的特点,协调属地管辖的“犯罪地”界定标准、域外管辖的边界,以及解决管辖权冲突的指导性原则。
结 语
网络犯罪的跨国性和危害性已受到充分重视,就此类犯罪加强国际合作是必然选项。各国在定罪、管辖权、跨境电子证据等重要问题上的立法和实践差异,已经对跨国合作带来显著挑战。没有任何区域性条约能够获得普遍接受或扮演“国际共识”的角色,在多边民主参与的基础上开展国际规则协调势在必行。联合国和相关国际平台框架下的讨论等虽不乏分歧,但也促使各国更加重视加强国际合作的重要性,客观上都在为加强规则协调积蓄能量。第74届联大成功通过决议,开启打击网络犯罪全球性公约谈判,本质上是各国特别是发展中国家在打击网络犯罪国际规则问题上共识不断凝聚的结果。决议的通过彰显了多边主义,维护了联合国在全球治理规则制定的主渠道地位,也反映了国际社会以更有力措施应对网络犯罪的共识和决心。未来各方共同谈判制定的公约将在网络犯罪定罪、管辖权、国际合作等方面进行有效协调,极大便利和推进打击网络犯罪的国际合作。
(责任编辑:周维明)
本文注释因排版原因略去,完整版本请查看原文。敬请谅解!