加强跨境电子数据协作与分层取证
□在电子数据取证中,往往以数据的公开与否作为是否可以在线提取的判断标准,但其可操作性不强,建议将其作为方法而非标准。事实上,肯定公开数据提取的合理性,实质上就是否定了用户合理的隐私期待或者信息保护需要。笔者认为,直接依据诉讼程序的特定意义对信息进行有针对性的分类更为合理。在侦查阶段,可从侦查行为的意义进行分类,并根据数据提取对用户隐私的影响进行分层,设置不同层级的取证程序。
随着网络技术的发展和运用,跨境犯罪和网络犯罪日益呈现深度融合的趋势,跨境网络犯罪不断增多。相较于传统证据,电子数据的跨境需求与日俱增,但各国在数据权、信息权上的不同认识以及司法程序方面的差异,对跨境电子取证的效率和价值产生了重大影响。为更好适应数字时代的要求,协调好保护数据主权、数据安全及个人信息权益与打击犯罪之间的关系,亟须对跨境电子取证的理念和路径进行深入探索。
跨境电子取证有待解决两个问题
跨境电子取证蕴含三个关键概念,即“跨境”“电子数据”和“取证”,它们分别涉及主权、私权和公权。“跨境”主要涉及司法管辖权,这是一国主权的象征;“电子数据”更多体现为对个人信息权益的保护,主要涉及私权;“取证”则是司法程序的一部分,属于公权的范围。笔者认为,当前,跨境电子取证中亟待解决两个方面的问题。
寻求技术与法律之间的平衡。一般而言,通过国际刑事司法协助程序进行电子取证,需要办案机关制作刑事司法协助请求书并附相关材料,经所属主管机关审核同意后,由对外联系机关向外国提出请求,刑事司法协助方式程序复杂且耗时较长。而且,传统刑事司法协助要求明确证据所在国。但在互联网时代,如“暗网”中的数据可能无法确定其物理存储位置,云计算技术的应用也令数据的具体位置难以确定。这些都使得基于国际法的传统国与国之间的司法协助方式难以适应时代需求。
因此,跨境电子取证中,亟待解决的问题是适应技术的发展,在尊重各国主权的基础上设计出有效的取证模式。这需要在尊重数据的弱地域性与刑事执法管辖权的强地域性之间寻求平衡。
寻求公权与私权之间的平衡。电子数据不仅是信息的载体,还具有证据的属性,这种双重属性使得电子数据在立法与司法实践中面临复杂的境地。一方面,数据保护,相关法律如数据安全法和个人信息保护法强调对数据的保护;另一方面,当电子数据被作为证据使用时,涉及公权力对相关信息的合理获取,可能导致对个人隐私的侵犯。那么,就要在数据保护和公权力干预之间保持平衡。
“数智”时代,若固守数据的“私权”属性,可能会阻碍智能产业的发展。当前,一些国家和地区在数据流动方面采取了更加包容和开放的态度。我国也正在逐步开放数据跨境流动。例如,2024年3月国家互联网信息办公室公布的《促进和规范数据跨境流动规定》第3条指出,在国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,如果不含个人信息或重要数据,则免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。这不仅有利于相关产业的发展,也为打击跨国犯罪提供了必要的数据支持。
在国际层面,《布达佩斯网络犯罪公约》(又称《布达佩斯公约》)、《联合国打击网络犯罪公约》等,均在数据流动的便利性上积极寻求合作,但同时也通过限制取证范围、取证方式以及保证救济方式等加强对个人隐私的保护。
跨境电子取证的“融合”化理念革新
在涉及主权问题的跨境取证方面,解决难题的一个关键点是管辖权,这决定着证据的取得是否具有合法性。一国立法机关一般根据属地原则确定管辖权,但互联网的虚拟边界使得实践需求与传统司法制度出现不协调。为解决这一问题,刑事司法领域的国际合作正以多种形式展开。例如,在欧盟范围内,欧洲逮捕令逐渐成为引渡的替代方式。欧盟法律通过确立共同的刑事诉讼基本权利和诉讼原则,逐渐认可对成员国收集证据的采纳义务,避免以成员国法的形式合法性为由拒绝跨境证据。
虽然各国刑事法具体内容不同,但在刑事犯罪的打击上却具有共同的责任。这一点在各国刑事司法合作中对“犯罪”概念的认识上就可以看出,各国在司法合作中并不会因某个行为在一国被规定为犯罪还是行政处罚的不确定性,就否定合作的可能。
在跨境电子证据的审查中,由于各国对电子数据的治理和监管规定有较大不同,办案人员取回的证据可能面临合法性质疑。抛开不同法系证据规则的具体差异,跨境传输电子数据不仅是为了提供证据,而且是为了在庭审中保障证据的可靠性和可采性。对于所提取的电子数据而言,其价值在于证明案件事实,因此,笔者认为要结合跨境电子证据的特点,发挥其最终对案件事实的证明价值。具体来说,在证据合法性问题上,应避免以传统证据审查的形式问题为由否定跨境电子证据的合法性。当然,这并不意味着对跨境电子证据不进行合法性审查。笔者建议以“实质合法性”为跨境电子证据的审查标准,有利于弥合中外证据规则中的权利话语差异。
此外,立足实体程序一体化的考量,一方面,在证据获取上应兼顾对权利的保护,另一方面,在获取信息类型上也应注意与实体犯罪的严重性成比例,换句话说,任何在跨境电子证据审查标准上的缓和,都需要与其打击此类严重犯罪的政策需求成比例。例如,《网络犯罪公约》等在电子数据传递的类型上明确了非内容数据的传递立场,而对“内容数据”进行了限制和保留,同时要求数据跨境传输建立在保障基本权利的基础上,为此还设计了对权利保护的一致性与相似性审查;在电子数据跨境的合作上大都限定为涉及预防、侦查、调查或起诉严重犯罪的需要,而不能用于民事、行政或者商业查询。
跨境电子数据的协作与分层取证路径
在网络时代,基于地缘政治立场的“小圈子”跨境取证方式已难以满足犯罪治理的需求。为了满足电子取证的便捷性和及时性要求,需要创新全球性的刑事司法合作方式。从双边条约到区域性公约再到国际性公约的发展路径应当成为趋势。具体而言,可探索以下两条路径。
依托网络服务提供商的“公私”合作取证。全球网络犯罪治理中,信息源成为关键。与传统的点对点通信信息不同,网络背景下的数据控制权在于网络服务提供商。当前,网络服务提供商已从单纯的信息通道连接者转变为信息社会的治理者。我国个人信息保护法第58条专门规定了提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的责任,要求他们制定平台规则,明确平台内产品或服务提供者处理个人信息的规范和保护个人信息的义务,对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者采取处置措施并接受社会监督。此外,针对电信网络诈骗、算法推荐等领域,我国制定的反电信网络诈骗法和《互联网信息服务算法推荐管理规定》等均要求平台在履行协助执法的事后义务的同时,还要履行监测预警、身份核验、风险评估、算法备案等事前事中义务。
面对网络服务提供商在网络社会中的信息控制能力,传统的刑事司法合作模式,即公权与公权的对接,在国际范围内一定程度上正在转变为公权与私权的对接,这种方式更为高效和便捷。无论是区域性国际公约中的相关条款,还是《联合国打击网络犯罪公约》第27条b项,跨境调取数据的程序设计实质上都反映了公私合作模式的运用。
与刑事诉讼需要相匹配的分层取证。当前,各国在数据治理方面普遍采取分级分类的策略。在跨境电子取证领域,数据分类尤其重要,一般包括用户数据、流量数据、内容数据等类型。内容数据一般涉及沟通交流中传递的信息实质内容,通常具有较高的侵入性。因此,在多数协议中,对内容数据和流量数据的提取都设有太多限制。在跨境取证的数据分类中,应考虑跨境电子取证受数据流动规则的制约,但取证过程不能完全遵循一般的数据流动规则。
取证是侦查行为的一部分。在电子数据取证中,往往以数据的公开与否作为是否可以在线提取的判断标准,但实践中“公开”的概念并不明确。笔者认为,以公开与否作为标准具有一定合理性,但其可操作性不强,建议将其作为方法而非标准。事实上,肯定公开数据提取的合理性,实质上就是否定了用户合理的隐私期待或者信息保护需要。直接依据诉讼程序的特定意义对信息进行有针对性的分类更为合理。在侦查阶段,可从侦查行为的意义进行分类,并根据数据提取对用户隐私的影响进行分层,设置不同层级的取证程序。
但是,在考虑用户隐私期待的同时,也要考虑刑事诉讼的特殊需要,例如,在生物识别数据上,个人信息保护法和数据安全法大都将其作为特殊保护的数据类型,但在刑事诉讼中,对于犯罪嫌疑人指纹、图像等的收集都是必需的,相对来说保护层级的强烈性有所削弱。
当然,数据的分层保护虽以用户隐私保护为基础,但也应坚持维护国家利益。数据安全法第2条规定,在境外开展的数据处理活动不得损害我国国家安全、公共利益或者公民、组织合法权益。
(作者为北京理工大学法学院副教授)