裴 炜
(北京航空航天大学 法学院,北京100191)
网络信息技术与犯罪活动的深度融合极大提升了打击犯罪的难度:一方面,网络空间的弱地域性特征促使犯罪活动全面全球化,这与刑事司法的强主权属性以及由此衍生的强地域管辖特征形成了直接冲突;另一方面,犯罪工具和技能藉由暗网等方式广泛传播,犯罪活动产业化、链条化特征明显,犯罪能力与犯罪打击能力之间明显失衡。在此背景下,越来越多国家或地区的刑事司法机关开始探索新的打击网络犯罪思路,其中最为典型的创新路径是强化公私合作,加强网络信息业者的协助执法义务。
传统刑事司法是以打击物理世界犯罪为逻辑起点进行制度建构的。基于该起点,传统刑事司法形成了其关于犯罪活动的特定假设,并发展出一整套与这些假设相适应的打击犯罪的程序性规则。在网络犯罪语境下,这些假设开始遭遇多方面挑战。
第一是犯罪地域性假设的挑战,即网络犯罪无论是在犯罪行为、结果、证据等方面均呈现出去地域性特征,原先用于处理跨境刑事司法协助的传统机制难以有效应对[1]。第二是犯罪后果假设的挑战,即犯罪活动藉由网络空间可能造成远超出传统犯罪的侵害范围和社会影响,这使得事后打击往往难以阻止或弥补损害。第三是犯罪模式假设的挑战,即网络犯罪在技术、工具、方法、人员等方面具有强烈的专业化、产业化发展趋势,使得网络犯罪不仅难以根除,同时也极大降低了刑事司法自身的威慑力。第四是刑事司法专业性假设的挑战,即传统刑事司法专门机关作为垄断犯罪治理活动的主体,其专业性优势在面对网络犯罪分子时大幅度削弱,刑事司法机关无论在技术工具,还是在数据能力方面均难以跟上犯罪的进化速度[2]。
公私合作在打击网络犯罪方面的广泛拓展,正是对传统犯罪治理假设面临挑战的积极回应。网络信息业者越来越多地参与到网络犯罪预防、追踪、打击的过程之中,一方面在具体个案中协助刑事司法机关获取相关数据或者提供技术支持,另一方面协助刑事司法机关进行网络信息能力建设。
之所以形成这样的新机制,在于网络信息业者具有以下五方面的优势。第一是技术、资源和业务优势,网络信息业者通过开展日常业务,更为了解特定行业的技术特点、用户类型、服务模式等,从而能够更为高效和准确地收集、分析和使用数据。第二是数据优势,网络信息业者通过日常经营积累了海量结构化和非结构化的数据,某些数据甚至只能通过网络信息业者才有可能获取,典型的例证是注册人信息、IP地址等可以用于识别犯罪嫌疑人身份的数据。第三是可识别性优势,相对于通过加密技术、暗网、数字货币等方式隐藏身份的犯罪分子,网络信息业者的身份、位置等信息更容易被刑事司法机关掌握。第四是地域优势,网络信息业者藉由业务开展往往能够形成跨国性的数据管理或控制能力,该能力可以有效弥补刑事司法机关因主权限制而面临的管辖权缺陷。第五是合规优势,网络信息业者所具有的市场敏感性也反映在其理解和顺应不同国家或地区的合规要求之上,往往能比一国执法机关更快地就合规冲突探索出化解方案。
基于打击网络犯罪的现实需求和以网络信息业者为代表的私主体的各项优势,公私合作已经越来越受到国际或区际层面立法及司法实践的关注。2019年12月,联合国大会通过第74/247号决议,围绕“为犯罪目的使用信息和通信技术”这一主题设立特设委员会并开展新公约起草工作[3]。此前,联合国围绕网络犯罪国际治理合作已经连续召开多次政府间专家组会议,其中讨论的重点议题之一即在于如何通过公私合作强化网络犯罪协作效率。从当前国际层面来看,主要形成了三种较为成形的公私合作机制:第一是网络犯罪《布达佩斯公约》(Convention on Cybercrime)体系下的合作机制;第二是欧盟地区区域内合作机制;第三是美国《云法案》(Clarifying Lawful Overseas Use of Data Act, CLOUD Act)体系及其相关双边协议机制。
网络犯罪《布达佩斯公约》原则上禁止执法机关针对境外数据直接执行跨国执法,但在公约第32条设置了两项例外:一是针对公开来源的公共数据;二是针对境外存储的数据,执法机关已经获得有公开权限的人员的合法和自愿的同意。同时公约要求成员国应当设置相应的机制以命令在其境内提供服务的网络服务提供者向执法机关提供用户注册信息。该机制自2014年专门成立云证据研究组(Cloud Evidence Group),以完善跨境云数据取证的相关规则。目前该研究组正在起草公约第二附加议定书,旨在进一步明确和落实向网络信息业者直接跨境调取数据的规定,授权执法机关直接向网络服务提供者调取境外存储的注册人信息,同时鼓励成员之间就紧急情况设置快速合作和信息披露渠道[4]。
就欧盟地区而言,目前正在起草的是《涉刑事电子证据提取和存留命令条例(草案)》(Regulation on European Production and Preservation Orders for Electronic Evidence in Criminal Matters)和配套指令[5]。该条例草案试图在已有的欧盟侦 查令(European Investigation Order, EIO)之上设立“欧盟提取命令”(European Production Order,EPO)和“欧盟存留命令”(European Preservation Order,EPO-PR),授权某一成员国的司法机关直接向另一成员国内的服务提供者或其合法代表调取数据,从而针对电子数据建立起更为高效的跨境取证机制。该调取机制并不以网络服务提供者的注册地在欧盟境内为限,因此该直接调取措施的效力可能直接辐射至欧盟以外的第三国。
美国《云法案》的诞生背景即在于“微软爱尔兰案”引发的跨境刑事执法管辖权冲突问题。依据该法,美国联邦执法机关可以基于司法或行政令状要求美国本国的技术公司提供其服务器中存储的涉案数据,只要该数据主体是美国公民、取得永久居住权的非美国公民、或者其他位于美国境内的人,而无论该数据是否存储在美国境内。2019年,英国成为第一个与美国正式签订《云法案》框架下双边行政协议的国家,同年欧盟[6]和澳大利亚[7]也正式开始与美国开展协议协商进程。需要注意的是,欧盟地区相关协议的起草还会受到双方已有协议特别是《刑事犯罪预防、侦查、调查和起诉中的个人信息保护协议》(EU-US Agreement on the Protection of Personal Information Relating to the Prevention, Investigation, Detection and Prosecution of Criminal Offences)的限制[8]。
上述三种路径的核心措施均在于授权一国刑事司法机关直接向他国网络信息业者调取数据,该模式反映出当前世界各国的普遍关切。但是不可否认的是,这种模式会面临较大的管辖权冲突,特别是在网络信息业者位于第三国的情况下,取证行为则因为取证对象涉外而变成涉外取证,管辖权冲突会尤为明显。对此,国际层面一个主要的应对思路是虚拟本国模式,有学者将其称为“虚拟存在”(Virtual Presence)[9]。该模式主要针对的是网络信息业者非本国机构的情形,核心是以行为界定主体之管辖。在该模式下,侦查机关通过网络信息业者在该国境内实施的业务行为而形成地域上的管辖连接点。根据欧盟《通用数据保护条例》的规定和相关解释,在欧盟境内“有效且真实开展活动”的判断标准包括但不限于设立地方网站、投放广告、支持当地货币、市场或用户调查等行为,其范围基本上涵盖了各种可能的商业活动[10]。
尽管新机制的探索可能提升打击网络犯罪跨境执法的效率,但是这些做法通常是建立在扩张刑事执法管辖权的基础之上,由此可能产生并计划一系列制度冲突,进而实质性地阻碍打击犯罪活动。
从上文分析可以看出,世界范围内针对跨境打击网络犯罪的路径探索集中关注于向网络信息业者取证;为了便于向位于境外的网络信息业者调取数据,进而衍生出虚拟本国模式。问题在于,该模式的实质是某一国或某一地区的执法管辖权的单方扩张。在各种机制分别进行单方扩张的情形下,主权冲突并未被化解,反而被进一步激化。更重要的是,上述关注网络信息业者的跨境取证模式探索均不考量数据的实际所在地;换言之,向网络信息业者取证实际上是以取证对象的管辖连接点取代了证据材料的管辖连接点,不可避免地会引发与数据所在国的主权冲突[11]。
由此,我们可以看到跨境打击网络犯罪所面临的第一项挑战,即主权冲突问题。对此,在进一步探讨如何化解这种冲突之前,首先需要就三个事项建立基本共识。第一,尊重主权作为国际社会长期以来建立的秩序和交往的基本原则,不应当在网络社会被废弃。第二,尊重主权并不意味着排除各国探索适应网络空间特征的新合作渠道。事实上,尊重主权原则只有在国际交往中才具有其现实意义,也正是在这个意义上,我国提出的“网络主权”概念与“网络空间命运共同体”理念彼此兼容。第三,在网络犯罪国际治理的语境下,相关制度探索时其重点并非排斥他国管辖权,而是尽可能避免因跨境侦查对他国网络主权形成不当干预。
基于此,从主权概念的要素出发,在尊重一国主权基本原则之下,我们至少可以推演出两项底线性规则:一是从正面要求干预他国主权的行为应当具备国际法意义上的正当性基础;二是从反面禁止干预他国主权的行为违反他国法律[12]。
就正当性基础而言,针对跨境刑事执法活动一般通过有关国际条约、协议规定的联系途径、外交途径或者国际刑事警察组织相关机制开展,支撑这些机制或路径的是国际条约、国际习惯、各国普遍承认的一般法律原则等国际法渊源,背后体现的是以主权国家为主的国际社会行为体的意志协调。原则上,缺少正当性基础意味着不得进行跨境刑事执法活动。
就遵守他国法律而言,主要涉及一国对于本国网络信息业者自愿向境外机构提供执法协助的禁止,该规则在世界范围内具有一定的普遍性,并且根据欧盟相关报告,其成员国普遍存在类似的对数据控制者自愿配合的禁止[13]。《中华人民共和国国际刑事司法协助法》原则上禁止中国境内机构、组织和个人未经中国主管机关同意向国外提供证据材料和司法协助。违反这些禁止性规定往往意味着相关私主体可能承担国内法项下的法律责任。
从前述立法探索来看,上述两项规则得到普遍认可,但考虑到打击犯罪的特殊性,相关规定往往就犯罪的紧急威胁设置了例外,当公共安全或重大利益面临威胁的情况下,一方面允许侦查人员突破正面要求,另一方面豁免网络信息业者的自愿协助的法律责任。这种例外由于突破了上述两方面规则,相关规则多对其设置严格限制条件,主要体现为三方面:第一是要求这种威胁现实且急迫;第二是要求取证措施符合比例原则的要求;第三是要求取证国在合理的时间内尽快履行正常的跨境取证手续。
如前所述,网络信息业者等私主体协助跨境打击网络犯罪往往并非依其自愿,而是以明确的法律规定为依据,例如《中华人民共和国刑事诉讼法》第54条明确规定了刑事诉讼中有关单位和个人如实提供证据的义务,《中华人民共和国网络安全法》第28条规定了网络运营者为侦查犯罪活动提供技术支持和协助的义务,《中华人民共和国数据安全法》第35条规定了有关组织、个人配合侦查犯罪调取数据活动的义务等。问题在于,网络信息业者等私主体在承担一国国内法所规定的协助刑事执法义务的同时,有可能同时因其协助行为违反他国法律,从而形成跨境打击网络犯罪公私合作中的第二个问题,即合规困境问题。
首先,合规困境源于数据跨境规则,尤为典型地体现在跨境数据取证与网络信息业者等私主体所承担的数据本地化义务之间的冲突[14]。经济合作与发展组织(OECD)在其2019年的调查报告《贸易与跨境数据流动》(Trade and Cross-Border Data Flows)中,将数据跨境流动的管制强度由弱到强分为四个层级[15];同时根据其2020年的报告,近年来不同强度的数据本地化规则在世界范围内呈现出不断扩张的趋势[16]。我国网络安全法明确要求在境内存储“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据”,并就数据出境设置了相应的限制。
其次,个人信息保护规则同样可能引发合规困境,主要体现为向执法机关披露用户信息与网络信息业者等私主体所承担的用户信息保护义务之间的冲突。早在2008年,欧洲人权法院的K.U. v Finland一案就直接涉及侦查机关调取用户通信数据与网络平台保护用户个人信息之间的立法矛盾。国内的法律冲突可以通过修改本国法律加以解决,但当冲突范围扩展至国际层面时,这种合规困境则难以调和。对此,典型的例证是2019年我国三家银行因拒绝提供用户信息而面临美国罚款的案件。
随着跨境打击网络犯罪的现实需求不断提升,上述两方面冲突所引发的合规困境愈发凸显,而这种困境的化解一方面需要建立在国际共识和共同规则的基础上,另一方面需要各国在该基础上调整国内法,对合理履行协助执法义务时可能面临的国内法律责任予以豁免。2019年12月,联合国通过74/247号决议,正式启动了联合国框架下网络犯罪治理国际公约的起草进程。可以预见的是,调和成员国之间的公私合作法律冲突问题将成为该公约起草的重要关切。
通过观察当前世界范围内主要国家或地区的制度探索,我们可以总结出跨境打击网络犯罪中公私合作的两方面特征。一方面,在网络空间和数据分布弱地域性的影响下,公私合作是未来打击网络犯罪不可避免的重要方式,并且这种方式会随着社会网络信息化程度的提升而不断强化。另一方面,公私协同打击网络犯罪的制度设计较为复杂,特别是在涉及跨境执法与司法的背景下,该制度设计需要同时平衡国家主权、国家安全、公民权益保障等多重利益,进而使得相关国际规则的谈判难度较大,其起草和谈判进程普遍进展缓慢。
在此背景下,我们需要回归中国本土立法与司法实践,基于我国当前预防和打击网络犯罪的现实需求并在已有刑事司法法律框架下,探索跨境打击网络犯罪公私合作的制度建设思路。
首先,公私合作机制的建构需要化解内部法律冲突。之所以强调这一点,在于当前国内相关立法仍然处于相对分割的状态,以至于各个部门法或领域法之间的协同程度较低。具体而言,主要体现在以下两个方面。第一是《中华人民共和国国际刑事司法协助法》与《中华人民共和国刑事诉讼法》的协调问题,其核心在于国际刑事司法协助法需要关注到当前跨境打击网络犯罪的现实需要,探索传统刑事司法协助以外的跨境执法路径。第二是网络和数据立法与刑事诉讼法的协调,特别是我国刚刚生效的《中华人民共和国数据安全法》和正在起草中的《中华人民共和国个人信息保护法》,需要关注到刑事司法领域关于数据出境和个人信息处理的特殊需求,在比例原则的框架下避免不适当地阻碍跨境刑事侦查取证与相关司法活动。这种内部法律冲突的化解需要通过两个步骤完成:第一个步骤是将刑事诉讼规则与网络空间一般治理规则适当分离,在正当性基础、数据及数据主体分类、数据跨境流动一般规则等方面为刑事诉讼活动设置例外;第二个步骤是从“国家权力—公民权利”的二元互动视角出发,建构刑事诉讼法律体系内部的网络及数据相关规则[17]。
其次,公私合作机制的建构需要形成内外一致的立场,其核心在于尊重网络主权与构建网络空间命运共同体的协调。已经有学者指出,我国当前电子数据取证规则存在着与尊重网络主权原则相矛盾的地方,集中体现在我国收集提取境外电子证据的执法管辖权扩张[18]。这种矛盾不仅会妨碍我国国内法律制度的协同,还会削弱中国参与国际规则制定时的说服力和影响力。事实上,通过观察联合国网络犯罪政府间专家组的历次会议可以看到,国内法的立场矛盾往往成为其他国家质疑我国整体立场的目标。为促进中国有效地参与甚至主导联合国框架下新公约的起草和谈判工作,未来公私合作制度设计需要回归到国际或区际协议的基础上去,为这种取证模式提供必要的正当性基础。
再次,公私合作机制的建构需要适应网络信息产业生态,其核心在于化解网络信息业者等私主体可能因协助打击犯罪而面临的合规困境。需要看到的是,当前合规困境的成因主要体现在两个层面:其一是不同国家或地区在网络空间治理政策、立法导向和重点的差异,其二是具体的合作机制上存在与传统刑事诉讼程序以及国际刑事司法协助机制不兼容之处。据此,化解网络信息业者的合规困境,其重点亦在于两个层面:第一是需要推动国际层面不同国家或地区的基本共识的形成,进而促进国际新规则的建设;第二是需要创新公私合作机制,特别是需要建立起符合比例原则的层级化合作体系。
网络信息技术深刻转变了犯罪和犯罪治理模式,公私合作成为新时期犯罪治理的必然选择。世界主要国家和地区的立法探索已然反映出这一趋势,而新的国际规则也正在酝酿之中。2021年5月27日,第75届联合国大会正式通过关于《联合国打击网络犯罪公约》谈判安排的决议,新公约起草和谈判工作跨出实质性的一步。这一进展为建立网络犯罪治理国际合作新规则提供了契机,其相关内容应当充分考虑打击犯罪过程中公私合作的总体趋势和必要性,引导不同国家和地区创新国际间、区际间公私合作机制。作为网络大国,我国应当积极参与到新公约的制定过程之中,发出中国声音、提出中国方案,促进网络空间命运共同体下打击网络犯罪公私协作新秩序的建立。