尚权推荐丨郑曦:刑事数据出境规则研究
摘要
基于国际刑事司法协助的需要,刑事数据出境不可避免,但目前我国的研究和立法对此问题都缺乏足够的关注。事实上,刑事数据出境涉及主权、安全、权利保障等诸多重要法益,在处理国家主权与司法协助、数据安全与数据自由流动、常态开放与个案请求三组关系时,应坚持国家主权为本、数据安全优先、个案请求为主的要求。在此前提下,刑事数据出境应以刑事数据分类分级为基础,坚守必要性原则与目的限制原则,兼顾平台利益和公民的权利,并依此确立刑事数据出境的请求与接受、安全评估、安全保障和权利救济等具体规则。
关键词:刑事数据;出境;国际刑事司法协助;国家主权;数据安全
一、问题的提出:刑事数据出境的特殊性及规制需求
数据具有自由流动的天然属性,往往跨越实体之疆界而形成数据的跨境流动。数据的跨境流动包括数据入境和数据出境两方面。从维护数据的国家安全、商业机密或个人隐私等角度考量,日本《个人信息保护法》、欧盟《通用数据保护条例》(GDPR)和《关于域外适用和数据跨境流动条款适用问题的指南》、美国《澄清境外数据的合法使用法案》(又称《云法案》CLOUD Act)都对数据出境规则加以规定。我国《网络安全法》《数据安全法》、国家网信办《数据出境安全评估办法(征求意见稿)》《网络数据安全管理条例(征求意见稿)》、质检总局《信息安全技术数据出境安全评估指南(征求意见稿)》对于数据出境也有相关规定,尤其是《个人信息保护法》第三章的6个条文对个人信息出境规则作出了较为细致的规定,从三个维度构建了个人信息出境规则的基本框架,足见国家对此问题的重视。与数字时代人类社会生活中的其他任何领域一样,刑事犯罪在网络空间留下证据,这些证据往往以电子数据的形式存在,于是针对网络犯罪的追诉活动不得不超越国境,侦查机关或刑事司法中的其他公权力需要跨境调取这些主要以电子数据形式呈现的网络犯罪证据,由此产生了刑事数据入境和出境的问题。
刑事数据与刑事司法的运作密切相关,从刑事证明之行为意义看,刑事数据是推动刑事司法发展的动力。在司法实践中,刑事数据十分常见,例如包含犯罪嫌疑人或被告人身份信息、定位信息的数据,被害人的生物识别数据、金融账户数据等等。需要注意的是,刑事数据不同于刑事执法数据或刑事司法数据,所谓刑事执法数据或刑事司法数据是指在刑事执法、司法活动中形成的数据,虽与刑事数据一样都与刑事司法密切相关,但刑事执法、司法数据往往产生于刑事案件侦查完成之后的刑事诉讼活动中,故不具有与刑事案件的同步性,而且其内容主要是对刑事司法活动的记录,亦不具有对案件事实本身的证明价值。
由于刑事数据的自身特征,且因其身处刑事司法这样一个相对封闭、秘密的空间,刑事数据出境具有相较于其他类型数据出境的显著特征:第一,刑事数据出境带有强烈的公权力色彩,相较于其他类型数据出境的场景下对平台或公民意志的关注,刑事数据出境主要是国家公权力行使的结果,是国家意志的体现,平台或公民个人在此过程中鲜有发言权或者其作用微乎其微;第二,刑事数据出境直接涉及国家主权和国家间司法协助问题,因此往往受一国主权观念和国际政治关系等因素影响,刑事数据出境时必须极其审慎地考虑可能给国家主权带来的影响;第三,刑事数据出境与国家安全利益关系较为密切,刑事数据直接影响刑事案件的处理,其中涉及敏感案件的刑事数据,例如涉及危害国家安全案件、恐怖活动案件等数据,直接关系一国的核心安全利益,事关重大;第四,刑事数据出境还会对公民权利造成重大影响。作为出境对象的刑事数据往往由大量敏感个人数据构成,常包含个人种族、身份、宗教信仰、政治理念、生物识别、行踪轨迹、金融账户等信息,一旦被非法处理可能对公民个人的人格尊严、财产安全甚至人身安全造成危害。除此之外,刑事数据出境直接指向打击犯罪之目标,其目的即在于对特定人进行刑事追诉,因此刑事数据出境对公民的个人权益影响甚大。
由于存在上述特殊性,针对刑事数据出境制度确立专门的规则实属必要。欧美、俄罗斯等对于刑事数据出境制度已有一些规定。如由欧盟主导、目前已有60多个国家加入的《网络犯罪公约》第32条、美国的《云法案》规定等。尽管欧盟GDPR第2条关于该条例不适用于刑事司法的规定使其第五章的数据出境规则无法直接适用于刑事数据,但专门适用于刑事司法的欧盟第2016/680号指令要求在对个人数据给予高水平保护的前提下为其出境提供便利,并在第五章中设定了具体规则。相较于欧美,俄罗斯对于刑事数据出境则态度保守,尽管其也有数据出境“白名单”制度,但2014年颁布的《关于信息、信息技术和信息保护法》修正案等相关法律从“数据主权”出发,在数据本地化制度的基础上对数据出境进行极为严格的监管,2019年颁布《主权互联网法》尝试建立区别于因特网的俄式互联网,包括刑事数据在内的数据本地化要求进一步提升,使得刑事数据出境受限重重。
尽管不同国家对刑事数据出境采取不同的态度,但对其需要设置规则加以规制的认识是一致的。我国法律法规中对于刑事数据出境规则也缺少规定,与数据安全保护相关的《网络安全法》《数据安全法》《个人信息保护法》以及相关法规、指南,均无针对刑事数据出境问题的规定,2018的《国际刑事司法协助法》对此问题亦未提及。面对刑事数据出境的现实需求及其特殊性,立法的空白和学术研究的不足使得实践中无据可依、做法混乱,因此有必要展开对刑事数据出境的研究并确立相关规则。
二、确立刑事数据出境规则需处理的关键问题
刑事数据出境事关重大,需要妥善处理好国家主权与司法协助、数据安全与数据自由流动、常态开放与个案请求这三组关系,从而解决确立刑事数据出境规则中的基础性关键问题,确保其基石稳固。
(一)国家主权为本
刑事数据出境涉及国家主权与国家间司法协助的需要,处理好这二者的关系是确立刑事数据出境规则的基础。针对维护国家主权和促进国家间司法协助的两种目的,可以假设存在一个坐标轴,在坐标轴的一端是基于绝对的维护国家主权的立场而禁止刑事数据出境,另一端则是基于极端的司法协助立场允许刑事数据不加限制地自由出境。显然在数据处理的真实世界中,任何一个国家都不会选择该坐标轴的任一端,而只能在两端之间有倾向性地平衡二者的关系。
处理国家主权与司法协助需要之间的关系,落实在刑事数据跨境流动层面上,实际应当做的是对刑事数据的“出”与“入”进行利益衡量。各国从自身打击犯罪的利益出发,面对与网络犯罪相关的数据常存储在其他国家的现实,天然地希望更便捷、快速、大量地从境外调取数据。例如2016年最高人民法院、最高人民检察院、公安部颁布的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第9条,明确规定对于原始存储介质位于境外或者远程计算机信息系统上的电子数据,可以通过网络在线提取。但问题在于刑事数据的“出”与“入”是一个硬币的两面,任何一个国家都不可能只“取”而不“予”,因此基于国家间刑事司法协作的需要,要想有效获得境外数据,不免也要对其他国家的执法司法机关调取存储在本国境内的刑事数据作出必要的许可。
在刑事数据出境问题上对国家主权与司法协助需要之间关系的处理,本质上是基于国家利益选择的结果。就我国而言,针对刑事数据出境问题,维护国家主权应是根本需求,在满足维护国家主权的基础上也可以兼顾国家间司法协助之必要。面对某些国家在数据领域的霸权行为,例如通过数据技术优势实施“棱镜门”等秘密监控项目以非法收集存储在其他国家的数据,我国从维护数据主权的目标出发,在《网络安全法》第37条、《数据安全法》第31条均对数据出境作出了较为严格的限制;但是另一方面,我国对于数据领域的国际交流合作又持有积极态度,愿意在保障国家主权和平等互惠的基础上促进数据的跨境流动。
遵照此种处理国家主权与司法协助需要之间关系的基本原则,刑事司法领域的数据出境问题一方面应当根据被称为中国版“封阻法令”(blocking statute)的《数据安全法》第36条、《个人信息保护法》第41条、《国际刑事司法协助法》第4条第3款之规定,禁止未经主管机关同意而向外国提供刑事数据,并在必要时参考商务部《阻断外国法律与措施不当域外适用办法》的思路禁止外国法律的适用和外国措施的遵守;另一方面可以按照平等互惠的原则、通过个案审查的方式开展刑事数据方面的国际刑事司法协助,促成必要合理的刑事数据出境。
(二)数据安全优先
禁止数据自由流动、构建“数据孤岛”,不但有违数字时代数据处理的规律,而且往往成本过高甚至难以实现。基于对数据自由流动的基本要求,许多法律文件都肯认数据自由流动的基本原则,即便在数据出境问题上,自由的数据跨境流动仍是其核心要旨之一。我国《数据安全法》第11条即明确表态:“国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。”但是,数据的自由流动特别是跨境自由流动也会带来安全风险,除了上文所述对国家主权和国家安全所带来的威胁之外,还会给商业安全以及公民的个人数据安全带来不利影响。例如2017年即有媒体爆料称一个名为CosmicDark的供应商在暗网售卖优酷的数据库,该数据库包括了100759591条优酷用户账户信息,这不但伤害了优酷公司的商誉,也损害了优酷个人用户的数据安全。如此看来,不但国家安全在数据出境的场景下可能受到影响,商业机构也可能因数据出境导致商业机密泄露而遭受商业利益方面的损失,而公民个人更可能因为数据出境过程中的非法获取、利用或篡改、破坏、泄露,遭受隐私、财产甚至人身安全的威胁。
刑事数据出境更为敏感复杂。刑事数据往往与国家安全关系紧密,且常包含个人敏感数据,无论出于他国追诉刑事犯罪之需要或其他目的出境,都可能带来数据安全方面的风险,此种风险既可能针对国家,也可能直接指向企业或公民个人,因此考虑刑事数据出境问题时应当以数据安全为先,兼顾数据自由流动的需求。
基于此种思路,具体应当考虑以下几方面问题:一是刑事数据出境对象国的情况,包括该对象国与本国是否存在刑事数据出境的平等互惠关系、其法治水平和对数据安全的保护程度等。美国《云法案》“适格外国政府”审查和俄罗斯的“白名单”制度均包含对上述因素的考虑。我国亦可依据这些因素作出平衡,即认为与我国有平等互惠关系、法治水平较高和数据安全保护能力较强的国家可以对出境刑事数据提供较好的安全保障时,刑事数据出境的自由性可相对较高。二是欲出境的刑事数据的类型。刑事数据也应当以数据分类分级为基础设置不同的出境规则,根据其与国家安全或个人数据安全的关系,轻其所轻、重其所重地作出安排(下文详述)。三是可能采取的安全保障措施。若对于欲出境的刑事数据已做安全性、保密性的处理,或针对出境过程或出境后的数据处理行为有充分之安全保障机制,则此种刑事数据出境的自由度也应有所提升。通过考虑上述因素,在刑事数据出境问题上平衡数据安全与数据自由流动关系后,可以实现保障数据安全、兼顾数据自由流动之效果。
(三)个案请求为主
除了处理好国家主权与司法协助、数据安全与数据自由流动这两组关系外,针对刑事数据出境,还需要妥善协调基于常态开放与个案办理目的这两种数据出境。实践中一些国家之间或某些国家针对特定类型的刑事案件构建起了常态性的刑事数据跨境流动开放机制。例如欧盟2016/680号指令第35条即试图在作出必要的限定之外尽可能促成欧盟成员国之间构建一种相对自由的刑事领域个人数据出境制度。再如《网络犯罪公约》第32条关于一方可未经另一方授权即可通过其境内的计算机系统访问或接收存储在另一缔约国的计算机数据的规定,实际上是针对网络犯罪这一特定犯罪类型确立了常态化的、开放数据边境的刑事数据出境机制。
除了常态化的刑事数据出境形态外,司法实践中更为常见的情况是基于个案的办理需要而通过司法协助途径完成刑事数据出境。例如我国已与美、英、法、澳等数十个国家签订了刑事司法协助双边条约或协定,其中均有协助调取证据之规定,如我国与巴西的《刑事司法协助条约》第10条第1款规定“被请求方应当根据本国法律并依请求,调取证据并移交给请求方”,所言协助调取之证据自然包括电子数据。根据这些双边条约或协定、以“请求-调取并移交”方式而实现的刑事数据出境显然是依据个案办理的具体需求而进行的。
常态开放式与个案请求式的刑事数据出境方式各有利弊。常态开放式的刑事数据出境,其最大的优点在于高效,如根据《网络犯罪公约》第32条任一缔约国对于存储在其他缔约国境内的可公开获得(开放源码)的数据可以调取、对于其他数据亦可在取得合法自愿同意后调取,此种刑事数据出境无须经由数据存储国授权即可完成。相较于常态开放,个案请求式的刑事数据出境方式显然效率较低,其间包含大量的文书工作、审批流程,一次刑事数据出境的请求可迟至数月甚至经年方可完成。但是个案请求式的刑事数据出境,其优势在于数据存储国对于刑事数据的出境有最终决定的权力,可以根据本国利益考虑是否允许刑事数据出境以及在何种程度上或以何种方式进行刑事数据出境。
由此可见,常态开放式与个案请求式的刑事数据出境方式,从本质上看二者最大的区别在于刑事数据出境的主动权由何方掌控这一点上。常态开放式的主动权主要在从他国境内取得数据的一方手中,而个案请求式的主动权则牢牢地由数据存储国所掌握。就我国而言,基于便利国际司法合作、打击跨国网络犯罪的需要,可以在平等互惠的原则下开展有限的常态开放式刑事数据出境方式的尝试与探索,提升刑事数据跨境流动以服务刑事诉讼活动的效率。但是,如上文所述针对刑事数据出境问题维护国家主权乃是首要需求,因此考虑保障数据主权和数据安全的现实需要,个案请求式的刑事数据出境方式由于主动权由我国所掌握,相应的风险较小,且已有大量刑事司法协助双边条约或协定之规定为基础,较易被接受,因此应成为我国刑事数据出境的主要方式。
三、确立刑事数据出境规则的基本要求
(一)以刑事数据分类分级为基础
根据数据的不同属性以及被非法处理可能导致之后果,可以对数据进行分类分级。数据分类与数据分级之间存在紧密关系,但亦有差别。数据分类是以数据的属性为标准的,这些属性包括内容、来源、特征、作用等,凡按照某一标准判断而具有相同属性的数据即可归为一类,例如根据数据所处之行业与领域,可以将数据划分为金融、交通、能源、医疗健康、电子政务等不同领域的数据。
而数据分级则是以后果为标准进行的,根据数据承载的法益大小以及被非法处理后可能导致的危害结果大小进行级别划分。数据分类分级是构建数据处理规则的必要前提,根据不同类型、不同级别的数据规定不同的处理规则、采取不同的安全保护措施,可以有效地避免平均用力而舍重取轻。具体而言,第一种最简单的分类方式即是根据数据所处的诉讼阶段以及由哪个机关所掌握,将刑事数据区分成侦查数据、检察数据和审判数据等,此种分类可以探究数据因其所处阶段的秘密性、封闭性差异而应采取的不同处理规则;第二种分类方式是根据取得数据的方式将刑事数据分为秘密取得的数据、通过公开途径取得的数据和经同意取得的数据,不同方式取得的数据在传输、共享、公开等方面有不同的限制;第三种分类方式是根据数据的内容将刑事数据分为身份数据和行为数据,其中行为数据对于认定案件事实和定罪量刑有重要的意义。就数据分级而言,参考《数据安全法》第21条的思路,刑事数据亦可分为国家核心数据、重要数据和一般数据三个级别:刑事数据中与国防、外交、社会经济核心秘密相关的,由于一旦被非法处理可能危及国家安全、国民经济命脉、重要民生、重大公共利益,因而属于国家核心数据;其他对国家安全、公共利益、个人合法权益有重要意义的数据则是重要数据,其中最为典型的即是生物识别数据、特定身份、金融账户等敏感个人数据;除国家核心数据与重要数据之外的刑事数据则被归入一般数据。尽管《网络数据安全管理条例(征求意见稿)》第73条规定执法司法数据属于重要数据,但如上文所述,刑事数据与执法司法数据概念之内涵不同,笔者认为刑事数据仍应做国家核心数据、重要数据、一般数据的三级划分。
刑事数据分类分级制度是其出境制度之基础,对于确立刑事数据出境规则有着重要的指导意义,具体体现在两个方面:其一,应根据刑事数据的分类对不同类型的刑事数据设定不同的出境限制。例如按照刑事数据的取得方式不同,对于通过公开途径取得的刑事数据,或已为新闻媒体所公开报道、或被追诉人自行公开的数据,出境的限制应较少,甚至可以如《网络犯罪公约》第32条之规定不加限制;但对于系秘密取得之数据,由于其自身内容尚未公开、是否与国家安全或社会公共利益等法益相关尚未可知,则需经历较为严格的安全审查;对于经作为数据主体的犯罪嫌疑人、被告人或被害人等同意而取得的刑事数据,在数据出境问题上还需再考虑数据主体的意愿,因为此前数据主体之同意仅指向数据收集行为而不涉及数据出境。其二,应根据刑事数据的分级对不同级别的刑事数据规定不同的出境规则。对于一般数据,因其承载法益及非法处理之后果相对较小,因而应有较高程度的自由流动性,通常应允许其出境;对于重要数据,因其重要性及被非法处理后的严重后果,则需进行严格的安全评估、并在有充分安全保障的前提下方可出境,例如对于敏感个人数据需考虑其出境后被使用之目的、方式、后果等因素,以防止对公民个人的合法利益造成不合理的损害;对于刑事数据中关系国家安全、国民经济命脉、重要民生、重大公共利益等的国家核心数据,从维护国家主权和保障数据安全的要求出发,一般不应允许其出境。
(二)坚守必要性原则与目的限制原则
必要性原则的要旨在于,当公权力有多种行使方式之选择均得以实现其目的时,应选择对公民权利侵害最小的方式,因此又被称为最小侵害原则。早至1980年经济合作与发展组织《关于保护隐私和个人数据跨境流通的指南》中提出的“数据质量原则”即包含必要性原则的内容,欧盟自1995年的《个人数据保护指令》至2016年的GDPR中均有“相关”“必要”等原则性要求。我国《数据安全法》《个人信息保护法》中也包含必要性的要求,例如《个人信息保护法》第5条明确规定“处理个人信息应当遵循合法、正当、必要和诚信原则”。刑事数据处理同样有必要性之原则要求,欧盟2016/680号指令第4条第1款要求“相关且不过度”,我国《刑事诉讼法》在涉及个人数据收集的侦查一章中多次用“必要”一词对侦查行为加以限制,2016年《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》及2019年《公安机关办理刑事案件电子数据取证规则》中也有必要性的规定。就刑事数据出境问题而言,必要性原则提出了三方面的要求:第一,刑事数据出境需经过必要性之评估。国家网信办2021年《数据出境安全评估办法(征求意见稿)》第8条将必要性评估作为数据安全评估之重点内容,刑事数据出境同样如此,经过评估确有必要出境应成为刑事数据出境的必要条件。第二,出境的刑事数据应遵循最小化的要求。既然必要性原则要求尽可能减小对公民权利的影响,则在刑事数据出境的问题上,应以满足出境目的为限度,尽量避免不必要或过度之刑事数据出境。第三,若出境之必要性消失,应及时停止刑事数据出境。例如,在实践中存在一国向数据存储国提出刑事数据出境的请求后又因种种原因放弃对该案的刑事追诉,或该国在此种刑事数据出境之前就完成了刑事诉讼程序之情形,在出现此等刑事数据出境目的不复存在之情形时,应及时停止刑事数据的出境。
而目的限制原则要求公权力的行使方式需以其目的为指向,即行为方式的选择需符合行为目的完成之需要。目的限制原则对数据处理提出了两个阶段的要求:一是在数据收集阶段,要求在收集数据之前即已有特定合法之目的;二是在数据的后续使用阶段,要求对数据的使用应受到收集目的之限制,即对该数据的处理不得违背最初的目的。我国《个人信息保护法》第6条规定“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关”。刑事司法领域针对数据处理的目的限制原则是指对数据的收集使用不得用于刑事诉讼之外的其他目的,而只能用于《刑事诉讼法》第152条第3款所言之“对犯罪的侦查、起诉和审判”。就刑事数据出境问题而言,一方面,目的限制原则要求刑事数据出境有合法之目的支撑,即一国向数据存储国提出刑事数据出境请求时即应告知此种出境之目的,例如我国与巴西的《刑事司法协助条约》第4条第2款规定:“请求应当包括以下内容:……(三)对于请求提供的协助、协助的目的以及与案件相关性的说明……”我国与其他国家签订的双边司法协助协定或条约中亦有类似规定。另一方面,根据目的限制原则,从数据存储国出境的刑事数据通常需经过该国同意后方可用于有别于提出请求时所说明的其他目的,如我国与澳大利亚的《刑事司法协助条约》第8条第3款规定:“未经被请求方事先同意,请求方不得将根据本条约所获得的资料或者证据用于请求所述之外的目的。”
(三)兼顾平台利益和公民权利
尽管无论常态开放式的刑事数据出境还是我国主要采取的个案请求式刑事数据出境,其本质皆在于国与国之间的博弈,主要涉及各国之间公权力的互动关系。然而出境的刑事数据中相当一部分是个人数据,对其的相关处理必然影响公民个人利益,直接关系该公民的生命、自由、财产等核心法益。既然与公民利益攸关,在刑事数据出境的问题上关注国家利益的同时,也不能不重视对公民的权利保障,以实现国家与公民数据权利的互动。数据产业平台亦在刑事数据出境中扮演重要角色,刑事司法中的公权力机关调取欲出境之刑事数据,不免通过平台完成,例如旷日持久的美国诉微软案即是一例,因而其中的平台利益亦需纳入考虑范畴。
刑事数据出境因其“公”的属性,针对公民权利的保护需基于有限的特殊场景,具体而言主要包括三方面内容:第一,在必要情形下适度保障作为数据主体的公民在刑事数据出境问题上的知情与决定的权利。“告知-同意”原则体现了对数据主体自由意志之尊重,在刑事数据出境中仍有适用空间。对此需要注意:一是知情与决定权利的行使需以不妨碍刑事案件的办理为前提,例如在符合法定证据开示条件时,方可告知并取得同意;二是对于不同主体的知情与决定权的保障力度不同,例如被害人的相应权利宜受较多保护,但犯罪嫌疑人、被告人的此种权利即需严格限制,通常应限于该数据系以任意侦查方式取得之情形。第二,在符合前述知情条件的前提下,应允许公民就出境的刑事数据出境行使更正和反对的权利。更正权在刑事司法中的适用障碍较小,涉及刑事数据出境时数据主体可以就出境之个人数据中的不准确或不完整的的情形提出更正或补充的请求;反对权在其中的适用难度较大,通常需根据证据排除的规定主张此种权利。在刑事数据出境制度中,当数据主体发现此种刑事数据系以非法手段取得,例如其取得方式属于我国《刑事诉讼法》第56条所规定的“不符合法定程序”“可能严重影响司法公正”且不能“补正”或“作出合理解释”的情形,则可以提出反对该数据出境的主张。第三,当刑事数据出境的目的不复存在或已然完成时,应许可公民主张删除或封存相关数据。刑事数据出境的目的不复存在的情形例如因已有确凿证据证明被追诉人无罪或不应承担刑事责任而放弃对其的刑事追诉;刑事数据出境的目的已然完成的情形例如刑事定罪已经完成且执行完毕或无罪判决已经作出,可以根据案件情形许可对相关数据的删除或封存。
在刑事数据出境的场景下对平台利益的兼顾亦受限制。在美国诉微软案中,微软依据数据存储地标准主张数据存储国对数据拥有管辖权,其背后乃是基于商业利益之考虑,而美国政府依数据控制者标准主张对美国公司所掌控的数据的管辖权,是对国家主权的扩张理解,这一案件充分体现了在刑事数据跨境流动中的国家主权与平台商业利益的冲突。面对此种冲突,需明确以下几点以实现刑事数据出境中对平台利益的适当兼顾:第一,在刑事数据出境的场景下,对平台利益的保障以不损害国家主权、数据安全等利益为前提。在保障上述利益的前提下,在调取平台数据、实施刑事数据出境的过程中亦应按照必要性、目的限制等原则避免公权力的过度运用损害平台利益。第二,为刑事数据出境而从平台调取数据应严格遵循法定程序。在西方国家,从平台调取数据需申请法官签发令状。而在我国,虽无令状制度,但从平台调取数据仍有严格的内部审批规定。参考《刑事诉讼法》对技术侦查的要求,应“经过严格的批准手续”,经国际刑事司法协助的执行机关办案部门提出申请、制作《呈请调取数据报告书》,由设区的市一级以上执行机关负责人批准后,开具《调取数据通知书》,注明需要调取的刑事数据的相关信息,通知平台提供。第三,应为平台就刑事数据出境问题提供必要的救济途径,对此下文详述。
四、我国刑事数据出境的具体规则构想
我国在刑事数据出境问题上应当从维护国家主权和保障数据安全的视角出发,以个案请求式为刑事数据出境的主要方式。在此前提下根据刑事数据分类分级的要求,遵循必要性原则与目的限制原则,并兼顾公民的数据权利,可以提出确立我国刑事数据出境规则的具体构想。
(一)刑事数据出境的请求与接受
由于我国应以个案请求式的刑事数据出境方式为主,因而当外国向我国提出刑事数据出境的请求时,可以参考我国《国际刑事司法协助法》所规定的关于向我国请求刑事司法协助的一般规则。但《国际刑事司法协助法》仅在第四章“调查取证”第28条规定外国向我国请求调查取证时将“获取并提取……电子数据……”作为其内容,缺少细化规定。事实上,根据上文所述的特点、关键问题和基本要求,我国在确立刑事数据出境规则时需要明确以下两点。
第一,根据个案具体情况,对于刑事数据出境的请求可以拒绝、延迟或附条件予以协助。对于外国提出的刑事数据出境请求可予以拒绝的情形,可以根据《国际刑事司法协助法》第14条关于拒绝提供刑事司法协助的规定,包括根据我国法律不属于犯罪、已受我国刑事处罚、政治或军事犯罪、基于不公平原因或缺乏实质性联系,等等。但在一些情形下,亦可以接受请求但推迟刑事数据出境,例如当被请求的刑事数据正在国内的刑事诉讼程序中被使用,而其出境将影响国内刑事诉讼程序的进行,则可以待国内刑事诉讼程序结束后再完成该刑事数据的出境。还有一些情形,可以在接受请求后就刑事数据出境附加条件,例如当出境的刑事数据属于重要数据或基于例外而允许出境的国家核心数据,可以要求请求国提供额外的保密或不得损害我国利益的承诺。
第二,必要时可以将刑事数据出境的请求告知作为数据主体的公民个人并取得其同意。如上文所述,在刑事数据出境的场景下亦有贯彻“告知-同意”之要求而保障数据主体的知情权和决定权的必要,尤其在数据主体是刑事被害人时,此种告知更显必要。但是此种“告知-同意”需要注意几个问题。首先,对刑事数据出境请求向数据主体告知应限于特定情形,即此刑事数据本身系经同意而取得,数据主体的同意提供了该刑事数据处理的合法性前提,则在对此类数据依请求而出境时方有再告知并取得同意之必要。其次,对刑事数据出境的告知应避免对其请求目的的损害。此种请求的目的一般源自请求国办理刑事案件的需要,其中相当部分涉及保密性极强的案件,如恐怖主义犯罪、跨国有组织犯罪等,在此种情况下向数据主体的告知可能与请求之目的发生冲突,因此告知应在符合请求国与我国法律规定之证据开示的条件下方可进行。再次,对刑事数据出境的告知应征询请求国意见,请求国若不同意将刑事数据出境告知数据主体,可以选择向我国作出保障数据主体相关个人数据安全的保证,也可以选择撤回刑事数据出境之请求。
(二)刑事数据出境的安全评估
在数据出境中维护国家安全和保障数据安全的最有效手段之一就是进行数据出境的安全评估,《网络安全法》《数据安全法》《个人信息保护法》等数据安全领域的基础性法律和《网络数据安全管理条例(征求意见稿)》均将安全评估作为数据出境的前置条件之一,国家网信办2021年《数据出境安全评估办法(征求意见稿)》也专门针对这一问题进行规定。在刑事数据出境的场景下,进行安全评估同样是极其关键的环节,但刑事数据出境的安全评估基于其自身特点,有几方面问题需要专门规定。
第一,刑事数据出境均应经过安全评估。
上述法律法规基本遵循将安全评估作为数据出境前置条件之一并明确必须经过安全评估的特殊情形的思路,对安全评估的适用情形加以规定。在确定必须经过安全评估的特殊情形时,相关法律主要考虑两个方面的问题。一是出境数据的重要性,例如是否包含重要数据、是否是关键信息基础设施运用者收集的数据等。二是数据处理者所处理数据的数量,例如《网络数据安全管理条例(征求意见稿)》第37条和《数据出境安全评估办法(征求意见稿)》第4条都将处理一百万人以上个人信息的数据处理者纳入数据出境安全评估的范围。但是《个人信息保护法》第36条规定国家机关处理的个人信息确需向境外提供的应当进行安全评估。参考这些规定,笔者认为刑事数据出境均需进行安全评估。第一种情形是出境的刑事数据中包含国家核心数据和重要数据,例如涉及国家安全的刑事数据、敏感个人数据等,由于其涉及利益的重大性,必须经过安全评估方可出境。第二种情形是出境的刑事数据属于一般数据时,刑事数据出境问题上的数据处理者主要是国家专门机关,其因工作需要处理的数据极易累计至较高的数量标准,再参考《个人信息保护法》第36条,宜规定即便属于一般数据,也需经过安全评估方可出境。
第二,刑事数据出境安全评估的主体。
前述法律法规中所规定的数据出境安全评估主体主要是国家网信部门,国家网信部门不但是《网络安全法》第37条规定的安全评估办法制定者,也是《个人信息保护法》第40条和《网络数据安全管理条例(征求意见稿)》第35条所指的安全评估活动的组织者。然而,刑事数据出境若仅仅由国家网信部门负责主导或组织进行安全评估,可能存在一些阻碍,因为网信部门不具备刑事司法的相关专业知识,也对刑事司法缺少足够的参与,由其负责主导或组织刑事数据出境安全评估并不合理。面对此种情形,一个具有可操作性的思路是回归2017年《个人信息和重要数据出境安全评估办法(征求意见稿)》第5条的规定方式,由网信部门“指导行业主管或监管部门组织开展数据出境安全评估”。而《国际刑事司法协助法》关于国际刑事司法协助的主管机关已有明确规定,根据其第4条和第6条,国家监察委员会、最高人民法院、最高人民检察院、公安部、国家安全部等部门是国际刑事司法协助的主管机关,有同意境内机构、组织和个人向外国提供证据材料和司法协助以及“审查处理对外联系机关转递的外国提出的刑事司法协助请求”的权力。这些部门在网信部门的指导下在各自的职责范围内进行刑事数据出境安全评估,既跨越了刑事司法专业知识方面的鸿沟,又契合其审查处理外国刑事司法协助请求的权责要求,同时网信部门又能提供数据出境安全评估方面的专业支持,是较为符合司法实践现实和既有法律规定的相对合理选择。
第三,刑事数据出境安全评估的内容。
《数据出境安全评估办法(征求意见稿)》对于数据出境安全评估之内容作了详细的列举性规定,这些规定可以为刑事数据出境安全评估所参考。但基于刑事数据的特殊性,应着重评估以下三方面内容:首先,刑事数据出境是否符合国家利益。就此具体需要审查两个层面的问题:一是刑事数据出境本身是否符合国家利益,例如是否侵犯我国的国家主权、是否系履行国际刑事司法协助双边条约或协定的要求、是否有利于刑事数据跨境流动的长期合作需要等等;二是刑事数据出境后一旦被非法处理,例如篡改、破坏、泄露或非法利用等,是否会给我国的国家安全、公共安全等利益造成损害、可能造成何种程度的损害。其次,刑事数据出境的目的及其必要性。刑事数据出境需坚守必要性原则与目的限制原则,在进行安全评估时亦应考虑这两方面问题:基于必要性原则的要求,需评估此种数据出境是否必须以及是否是多种选择中侵害最小的选择;基于目的限制原则的要求,需评估刑事数据出境措施是否符合国际刑事司法协助请求中所指明的目的以及有无被超越此种目的而使用的可能。再次,刑事数据出境的保障措施。如评估刑事数据出境过程中的安全保障措施是否充分、有效,尤其需考虑对象国的数据安全保障能力。
(三)刑事数据出境的安全保障
保障刑事数据出境安全,要求采取必要的措施防止数据被泄露、损毁、篡改、滥用等风险,进而确保数据安全。在刑事数据出境的两个阶段均有安全保障之需,具体而言,一是在国内进行的刑事数据出境准备阶段,二是刑事数据出境之后的阶段。在国内进行的刑事数据出境准备阶段可能涉及多个部门的分工配合,包括《国际刑事司法协助法》所规定的对外联系机关如司法部,主管机关如国家监察委员会、最高人民法院、最高人民检察院、公安部、国家安全部等,以及办案机关。刑事数据需经过在各个部门之间传输的过程,可能经历在不同数据处理系统间的传递,由此产生了被泄露、滥用等风险。针对此种风险,应当设置此阶段的安全保障规则。其一,应对相关刑事数据设置处理权限。通过运用预先授权、系统加密、非法访问警报、处理留痕等机制,仅允许经过数据安全培训并获得预先授权的工作人员对此类刑事数据进行访问或处理,以确保数据处理者在专业能力和合规合法两个方面上的资质可靠。其二,应对部分欲出境的刑事数据进行加密或匿名化处理。欲出境的刑事数据中,可能涉及国家秘密或个人隐私的,例如包含国防外交信息的数据、被采取保护措施的证人个人数据、性侵案被害人的个人数据等,通过加密或对个人数据中具有可识别性的符号进行加工而实现无法识别特定自然人的匿名化处理,可以有效防止泄露的可能并降低泄露后可能导致后果的严重程度。其三,对相关刑事数据的传输过程进行记录和监督。参考2019年《公安机关办理刑事案件电子数据取证规则》第41条调取电子数据,必要时应当采用录音或者录像等方式固定证据内容及取证过程的规定,可以要求刑事数据出境准备阶段各个部门进行数据传递时以录像、拍照、截获计算机屏幕内容等方式记录相应过程,以利于监督数据传递行为的安全性、合法性。
在刑事数据出境之后,安全保障的重点则转向对外国处理出境刑事数据行为的持续追踪和必要监督。《国际刑事司法协助法》第19条第2款规定:“对于中华人民共和国提供刑事司法协助的案件,主管机关可以通过对外联系机关要求外国通报诉讼结果。”这一条文为刑事司法协助工作完成之后的持续追踪和必要监督提供了规范基础。事实上,除了通报诉讼结果之外,我国亦可要求外国通报出境刑事数据的处理使用情况。通过此种通报,我国可以了解外国对出境刑事数据的处理情况,尤其是该国对相关数据采取的安全保障措施是否足以防止数据被泄露、篡改、滥用等以及是否实际发生此种情况,并向该国提出针对出境刑事数据的安全保障方面的建议或要求。除此之外,《国际刑事司法协助法》第18条还规定外国请求将通过刑事司法协助取得的证据材料用于请求针对的案件以外的其他目的的,应由主管机关作出是否同意的决定。据此,主管机关还可以在作出是否同意将出境刑事数据用于其他目的决定时审查是否符合数据安全保障的规范,并提出相应的建议或要求。
(四)刑事数据出境的平台利益和公民权利救济
“无救济则无权利。”一旦平台利益或公民权利受到侵害,需要为其提供必要的救济途径,在刑事数据出境的场景下也是如此。数据法领域常见的救济方式是“投诉-指令”模式,即数据主体或利益相关方主张其权利遭到数据控制者或数据处理者拒绝或其权利行使过程中遭遇阻碍时,有权向特定机构提出投诉,由该特定机构作出相应决定并指令数据控制者或数据处理者执行。欧盟GDPR第58条第2款将此种拨乱反正的权力称为矫正性权力,交由各个监管机构行使;日本《个人信息保护法》第42条规定个人信息保护委员会有权纠正对个人权利的侵害;我国《个人信息保护法》第65条也规定:“任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。”
如上文所述,刑事数据出境有兼顾平台利益和公民权利的必要,一旦前述权利遭遇侵害,亦可参照“投诉-指令”模式确立权利救济机制。然而,针对刑事数据出境场景的特点,基于“投诉-指令”模式而构建的权利救济规则仍有需进一步明确之处。
第一,刑事司法领域作为“投诉-指令”模式基础的现有法律规定。
刑事司法领域已有一些关于“投诉-指令”的规定,集中体现在诉讼参与人对于公安、司法机关侵犯其诉讼权利行为的申诉、控告权的规定上。例如《刑事诉讼法》第49条规定辩护人、诉讼代理人认为公检法机关阻碍其依法行使诉讼权利的,有权向同级或者上一级人民检察院申诉或者控告;第117条规定当事人和辩护人、诉讼代理人、利害关系人对于司法机关及其工作人员的部分诉讼违法行为有权提出申诉或控告,不服处理结果的可以向检察院申诉。这些规定表明通过申诉、控告实现权利救济,已为刑事司法所惯用,因而针对刑事数据出境问题采取“投诉-指令”的权利救济模式亦顺理成章。更值得注意的是,这些条文将接受申诉、控告并纠正公安、司法机关侵犯平台利益和公民权利行为的权力交给检察机关,从而不免引发刑事数据出境审查权力应由哪一机关行使的思考。
第二,接受投诉和作出指令的部门。
根据《网络安全法》第8条、《数据安全法》第6条和《个人信息保护法》第60条的规定,国家网信部门是最主要的“履行个人信息保护职责的部门”,除此之外公安机关、国家安全机关在刑事司法领域内亦有数据安全监管和公民权利保护的职权。然而如上文所述,网信部门对刑事司法参与不足、缺少相关专业知识,由其针对刑事数据相关平台利益和公民权利保护问题接受投诉和作出指令存在困难;而公安机关、国家安全机关作为侦查机关具有强烈的追诉倾向,且自身即是刑事数据出境活动最主要的参与者,独立性不足,也不适宜作为接受投诉和作出指令的部门。相较而言,我国的检察机关继承了大陆法系检察客观中立的传统,且是唯一全程参与刑事诉讼各个阶段的机关,由其作为针对刑事数据出境活动接受投诉和作出指令的部门,符合《宪法》第134条规定之国家法律监督机关的权责定位,是当下的最佳选择。至于检察机关在数据监管方面专业知识的不足,可以通过适当调整机构设置和人员结构、向网信部门等专业机构寻求协助、将部分技术类工作外包给科技企业等方式予以补齐。
第三,刑事数据出境前和出境后不同阶段的“投诉-指令”的程序规则。
在刑事数据出境之前,参考《刑事诉讼法》第117条的规定,作为数据主体的公民或涉及其利益的平台在寻求救济时可以向国际刑事司法协助的办案机关的同级人民检察院提出投诉,倘若此时该办案机关是检察机关的,则可以向上一级人民检察院提出投诉。接受投诉的检察院应审查此种投诉并向对应的办案机关作出权利保障方面的指令,由该办案机关执行。而在刑事数据出境之后,由于针对涉及刑事数据出境的国际刑事司法协助的办案工作已经完成,平台或公民寻求权利救济时宜向最高人民检察院提出申诉,由最高人民检察院作出指令并交由所涉之主管机关办理,从而在最大程度上实现对平台利益和公民权利的保障。
五、结语
从某种意义上看,数字时代的基石乃是数据的自由流动而非数据本身,于是在互联网、大数据等技术的加持下,数据的流动形成了澎湃的时代浪潮。为应对新时代犯罪的特点,跨越国境界限而调取刑事数据成为必需,各国都欲获得存储在他国的刑事数据,也同时要面对他国获取存储于本国之刑事数据的需求,有所取必有所予,因此刑事数据出境不可避免。然而由于刑事数据出境不但涉及数据安全、公民权利等法益,而且与国家主权密切相关,故不得不以极其审慎的态度对待之。从保护国家主权、数据安全和公民权利的立场出发,宜在国际刑事司法协助的框架下以个案请求的方式实现刑事数据出境,综合考虑刑事数据的分类分级特征、出境的必要性与目的、可能带来的风险的诸多因素而决定是否允许特定刑事数据出境,并按照刑事数据出境的请求与接受、安全评估、安全保障和权利救济等程序性规则予以实现,从而避免刑事数据出境的不确定性、降低其安全风险,实现刑事数据出境的“程序正当”。
来源:《法律科学》2022年第2期
作者:郑曦,北京外国语大学法学院教授、博士生导师
THE END
更多内容欢迎关注
尚权刑辩