汪沛文
(武汉大学边界与海洋研究院,湖北 武汉 430072)
《网络犯罪公约》(Convention on Cybercrime,以下简称《公约》)于2004年7月1日生效,迄今已有65个国家签署并实行该条约,我国非《公约》缔约国。《公约》虽被批评存在技术滞后、普适性不足①于志刚.“信息化跨国犯罪”时代与《网络犯罪公约》的中国取舍[J].法学论坛,2013(2):94.、忽略了不同国家发展状况的差异②周文.欧洲委员会控制网络犯罪公约与国际刑法的新发展[J].法学评论,2002(3):79.等缺陷,但其仍是网络犯罪领域最具代表性的国际刑事公约。近年来,随着网络通信技术的快速发展,相关犯罪亦随之增加,我国以《刑法修正案(九)》为代表的刑事立法予以积极回应,为相关网络犯罪的刑事处罚提供了明确的法律依据。但较于刑事实体规范的迅速反应,程序性规范的修正则略显迟缓。除具体网络犯罪的要件构成外,《公约》亦对程序性事项作出了规定,《公约》中关于网络服务提供者的司法协助义务的内容较为详尽。其中的得失对我国相关法律规范的修订以及可能主导或参与的其他网络犯罪国际条约而言,有着重要的参考意义。
《公约》第一条第三款将网络服务提供者分为两类,一是向网络用户提供通过计算机系统进行通信服务的任何公私实体,二是带此种通信服务或网络用户处理或存储计算机数据的任何其他实体。
根据网络服务的性质,广义的网络服务提供者类型有二:一是网络信息内容提供者,即直接以自身掌握的数据信息通过网络向用户提供服务,例如不提供上传存储服务的电子图书馆、数据库等;二是网络中介服务提供者,包括物理通信意义上的网络接入服务提供者及网络平台提供者。④陆旭.《网络服务提供者的刑事责任及展开——兼评《刑法修正案(九)》的相关规定[J].法治研究,2015(6):61.《公约》所界定的网络服务提供者仅指网络中介服务提供者,而网络信息内容提供者则作为一般主体,不对其刑事责任及刑事协助义务加以特殊规定。此种划分方式,有助于明确网络服务提供者的技术中立地位,并科以其能力范围内适当的司法协助义务。
《公约》第十六条规定了已存计算机数据的快速保全制度。该条第一款规定,各缔约国应通过立法等措施,使主管机关能对包含通信数据在内的指定计算机数据施以快速保全,其中易遭毁损丢失的计算机数据应予以重点考虑。根据该条第二款,此种数据保全义务的义务人为指定计算机数据的所有人或控制人。尽管计算机数据的财产权属性并不明晰①王镭.“拷问”数据财产权——以信息与数据的层面划分为视角[J].华中科技大学学报(社会科学版),2019(4):104.,网络服务提供者作为案涉计算机数据的直接经手人,对计算机数据拥有相当的控制能力,应当履行控制人所应承担的数据保全义务。但是,《公约》第十六条规定的数据保护义务的义务人为一般主体,在数据保护义务的承担上与用户个人等其他主体没有区别。
《公约》第十七条、第二十一条另就流量数据(trafficdata)予以特别规定。根据《公约》第一条第四款,流量数据指在一系列通信中,能表明通信来源、目的地、路径、时间、日期、规模、持续时间及基础服务类型的数据。区别于《公约》第十六条规定的能作为直接证据的普通计算机数据,流量数据容量较小且包含信息有限,通常不能作为直接证成犯罪事实的证明材料。但流量数据包含能描述犯罪行为发生地、发生时间等系列通信表征特性的关键信息,常能辅助侦查机关判断犯罪行为的性质及规模,并可作为线索为刑事侦查指明方向,或作为间接证据补充直接证据的证明力,进而形成完整的证据链条。相较于其他复杂的普通计算机数据,流量数据对刑事侦查的作用明了且精炼。
《公约》第十七条特别强调了网络服务提供者的流量数据快速保全义务。该条第一款规定,缔约国应通过立法等措施,确保流量数据快速保全的实现,无论是否有多个网络服务提供者参与通信传输,同时该条第二款规定,应确保网络服务提供者迅速向主管当局或主管当局指定人员披露流量数据,使得主管当局能够识别网络服务提供商及通信传输途径。在网络通信中,常有数个网络服务提供者参与信息传输,同时每个网络服务提供者均仅控制部分流量数据,且流量数据既可能是在信息通过该网络服务提供者的计算机系统时产生并留存,也可能是直接由其他网络服务提供者传送而来,此时需要综合各个网络服务提供者的流量数据才能发现指定通信的发起地与目的地。②皮勇.《网络犯罪公约》中的证据调查制度与我国相关刑事程序法比较[J].中国法学,2003(4):151.《公约》第十七条意在保全流量数据的完整性,同时避免部分网络服务提供者向其他同业者推卸流量数据快速保全义务。应当注意的是,根据《公约》第十七条第一款,该条规定的流量数据快速保全制度仍应在《公约》第十六条已存计算机数据的快速保全制度的框架下进行,《公约》第十七条是对第十六条的强调,并未另行科以网络服务提供者新的数据保全义务,网络服务提供者所应承担的数据保全义务并未因流量数据的特殊性而在《公约》第十七条下加重。
《公约》第二十条、第二十一条分别规定了网络服务提供者对流量数据和内容数据的数据实时收集义务。《公约》第二十条规定,缔约国应通过立法等措施,迫使网络服务提供者在其技术能力范围内自行或协助主管机关实时收集与指定通信相关的流量数据。《公约》第二十一条对内容数据收集的规定与第二十条大体相同,但其适用范围被限制在涉嫌严重违反缔约国国内法的刑事调查中。
就对刑事诉讼程序的意义而言,数据实时收集义务与数据保全义务有相似之处,二者均意在使司法机关掌握相关犯罪证据,继而使针对具体犯罪行为的司法指控得以成立,但《公约》规定的数据实时收集义务在负担上重于数据保全义务。首先,在义务主体上,数据保全义务的义务主体为一般主体,网络服务提供者所应尽的注意义务与其他掌握或控制相关计算机数据的主体所应尽的注意义务相比没有明显区别;数据实时收集义务具有针对性,其义务主体除主管机关外即为网络服务提供者,不包含其他私法主体。其次,在义务履行的行为方式上,数据保全义务多为不作为,义务人仅需避免新增、修改、删除相关数据即可充分履行数据保全义务,之后义务人依照主管机关要求提交数据的存储介质,其所负担的数据保全义务即告消除;数据实时收集义务的履行方式则为作为,网络服务提供者应当充分使用其掌握的硬件设备及软件技术积极主动地收集相关数据,完成流量数据与内容数据的实时收集义务。此外,《公约》第二十条第一款第二项、第二十一条第一款第二项虽规定流量数据与内容数据的收集均应当针对指定通信作出,但在数据收集实时性的要求下,网络服务提供者只有不加事先审查即对一定范围内的大量数据作无差别主动保存,才有可能做进一步筛查、分析,不加遗漏地完整收集刑事程序所需要的全部数据信息。数据实时收集义务的履行依赖于网络服务提供者的主观能动性,这同时对网络服务提供者的设备及技术提出了较高要求。有囿于此,《公约》第二十条第一款第二项规定,网络服务提供者的数据实时收集义务以其现有技术能力所能达到者为限,换而言之,网络服务提供者有权以技术能力不足为由拒绝履行数据实时收集义务。
网络服务提供者的用户信息披露义务规定于《公约》第十八条第一款第二项,缔约国应通过立法等措施,使主管机关有权命令网络服务提供者提交其用户的相关信息。根据同条第三款,用户信息指网络服务提供者掌握的能反映用户使用的通信服务类型、技术要求、服务时间、用户身份、邮政或地理地址、通信电话、账单付款信息以及在通信设备安装时根据服务协议获得的其他信息,但该信息属于通信数据和内容数据的除外。
根据《公约》第十四条第二款及第十八条第二款,网络服务提供者的用户信息披露义务应当符合《公约》确立的刑事程序一般规则,其所披露的用户信息应当与《公约》确定的类型化网络犯罪、以使用计算机系统为犯罪手段的其他犯罪以及一般刑事犯罪的电子数据证据收集紧密相关。但是,区别于数据保全义务与数据实时收集义务,用户信息披露义务不强调其所掌握的用户信息与指定通信的关联性。相较于流量数据与内容数据的实时收集,网络服务提供者显然有能力也有必要收集并留存其与用户为达成网络服务合同而形成的各项用户信息。在涉嫌侵害用户隐私权的法律风险上,网络服务提供者对其已经掌握且浮于表面的用户信息的定向披露,显然较更深层次的流量数据及内容数据的实时收集更小。用户信息披露义务的完成使司法机关得以直接侦查特定用户,而网络服务提供者将有可能从紧张的刑事协助义务中得以解脱,这无疑是其愿意所见的。
网络服务提供者的保密义务散见于《公约》第二章各处。《公约》第十五条建立了网络犯罪刑事程序中的公民权利保护原则,缔约国应确保其国内法能对刑事程序中的人权及自由提供充分的保护措施,该条第三款另强调缔约国应当注意刑事程序对第三方权利、责任及合法利益的影响。第十五条虽未直接点明公民隐私权的法益价值及网络服务提供者的保密义务,根据该条概括指向的1950年《欧洲人权公约》、1966年《公民权利和政治权利国际公约》及其他国际人权文件,易因网络信息传播广泛性、快捷性受到侵害的隐私权显然应当包含在内。网络服务提供者在履行刑事协助义务时,难能完全避免对公民隐私权的侵害,但网络服务提供者应根据比例原则尽可能避免收集不必要的公民信息,并对其已经掌握的公民信息予以保密,将对公民隐私权的侵害降至最低。
此外,根据《公约》第十六条第三款、第二十条第三款、第二十一条第三款,缔约国应通过立法等措施责成网络服务提供者在履行数据保全义务、数据实时收集义务时对任何相关信息保密。此种保密义务不仅针对标的数据,亦包括相关刑事协助义务本身。数据保全及数据实时收集仅是刑事侦查程序的部分乃至起点,其泄密可能招致犯罪嫌疑人删除、改写相关数据,破坏相应证据并对抗刑事处罚,这不仅将对网络服务提供者刑事协助义务的履行带来困难,也会对后续刑事侦查产生不利影响。网络服务提供者的保密义务不仅仅是保护公民隐私权等人格权利的主义务,亦是确保其刑事协助义务得以正确履行的从属性义务。
《公约》仅采用概念描述的方式界定网络服务提供者。这种判断标准虽正确描述了网络服务提供者通过计算机系统向用户提供通信服务或为用户存储处理数据的主要特征,但仍显聱牙抽象。相较而言,《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(以下称《解释》)第一条采用列举方式,详细说明网络服务提供者的主要类型,将网络服务提供者具象化,更易辅助司法机关对各类网络服务提供者作出正确认定。
此外,《解释》第一条第二、三项特别列举了含信息发布、搜索引擎、即时通信、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店在内的信息网络应用服务提供者及涉及电子政务、通信、能源、交通、水利、金融、教育、医疗的网络公共服务提供者。此两类网络服务提供者虽可通过对《公约》第一条第三项作出扩张解释被置于《公约》框架内,但《公约》第一条第三项的规定准确描述了《解释》第一条第一项所称“网络接入、域名注册解析等信息网络接入、计算、存储、传输服务”提供者。不难推测,《公约》在创立之初,其制度设计着眼于《解释》第一条第一项的传统网络服务提供者,至于近年来出现并占据网络服务主导地位的信息网络应用服务提供者及网络公共服务提供者并不在《公约》制定者考量之内。此种考量的缺失,除有碍于新兴网络服务提供者的认定之外,也为《公约》在网络服务提供者应尽义务上的种种沉默埋下伏笔。
就网络犯罪刑事实体问题,公约规定了包含非法访问、非法截获、数据干扰、系统干扰、设备滥用等直接攻击计算机数据及系统保密性、完整性及可用性的犯罪以及与利用计算机实施的伪造、诈骗、传播色情、侵害知识产权等犯罪,《公约》附加议定书另规定了利用计算机传播种族主义、排外主义的犯罪。与《中华人民共和国刑法》(以下简称《刑法》)相比,《公约》的规定已涵盖主要的网络犯罪类型,但对网络服务提供者的违法行为缺少应有评价。《刑法》第二百八十六条之规定的拒不履行信息网络安全管理义务罪在《公约》中没有相应规定,而该条对网络服务提供者在一定情形下致使违法信息大量传播、致使用户信息泄露造成严重后果及致使刑事案件证据灭失且情节严重等类型的违法行为直接科以刑事处罚,明确了网络服务提供者在严重违反含司法协助义务在内的法律规定时所应承担的刑事责任。网络服务提供者作为互联网络中具有技术优势的特殊主体,其违法行为有着更大的社会危害性。网络服务提供者已逐渐占据网络领域的中枢位置,《公约》却未能基于网络服务提供者特殊的技术地位对其刑事责任作出适当规定,未免显得迟钝。
《中华人民共和国网络安全法》(以下简称《网络安全法》)第四十七条规定了网络服务提供者的信息监管义务,该条规定网络服务提供者对用户的违禁信息应当立即停止传输,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。《网络安全法》规定的信息监管义务与《公约》规定的数据保全等义务最显著的区别在于,根据《网络安全法》,网络服务提供者有义务在尚未得到主管机关的协助通知时,即先行对相关违禁信息予以清除等处理,避免危害进一步扩大,其后保存相关记录并向主管部门报告;而《公约》项下的数项司法协助义务中网络服务提供者均处于被动地位,其数据保全等义务的成立均以主管机关指明特定数据为先决条件,至于网络服务提供者对可疑数据自行审查处理的权利及义务,《公约》没有予以明确规定。考虑到《公约》第十五条规定的公民权利保护原则,网络服务提供者不应自行审查处理可疑数据,否则有侵害公民隐私权之嫌。尽管《公约》第二十、二十一条规定的数据收集义务在一定程度上赋予了网络服务提供者主动收集数据的权利,但原则上其数据收集应当与主管机关所指定的通信信息相关联,否则不具有合法性。同时《公约》第二十一条第二项又以网络服务提供者的技术为限,进一步缩小了数据收集义务的范围,赋予了网络服务提供者拒绝履行数据收集义务的抗辩权。《网络安全法》第四十七条则规定“网络运营者应当加强对其用户发布的信息的管理”,使得网络服务提供者具有不可推卸的监管义务。要求网络服务提供者“被动协助”与“主动监管”相区别的立法路径,可见一斑。
网络犯罪常具有传播速度快、危害范围广、隐蔽性强等特点,这在宣扬恐怖主义等犯罪中更为明显。网络服务提供者作为犯罪信息传输的中心枢纽,其虽不存在传播犯罪信息的直接故意,但仅以“技术中立”为由拒绝履行相关审查义务并不妥当。《中华人民共和国反恐怖主义法》(以下简称《反恐怖主义法》)第十九条进一步强化了网络服务提供者的监管审查义务,要求网络服务提供者落实网络安全、信息内容监督制度和安全技术防范措施,防止含有恐怖主义、极端主义内容的信息传播。《公约》附加议定书显然意识到了网络领域中恐怖主义犯罪泛滥的问题,但其仅包含针对种族主义和排外主义犯罪作出事后刑事处罚的规定,缺少相应的事先预防及减损措施。《公约》中网络服务提供者监管义务的缺失问题,并未在其附加议定书中得到改变。
《公约》多处体现了倾向于网络用户权益保护的价值取向。除网络服务提供者应当履行保密义务,不得侵犯网络用户含隐私权在内的合法权益外,《公约》另对网络服务提供者的刑事协助义务作出系列限制性规定。在用户信息披露义务中,网络服务提供者仅需以其实际掌握的用户信息为限,向主管机关披露用户信息,《公约》并未要求网络服务提供者对用户信息在提交时作真实性审查,亦未要求网络服务提供者补充收集额外的身份信息。与之相区别的是,《网络安全法》第二十四条及《反恐怖主义法》第二十一条均明确要求网络服务提供者履行实名验证义务,网络服务提供者不得对身份不明或拒绝实名验证的用户提供服务。在数据实时收集义务中,《公约》规定内容数据的收集应当被限制在较严重的刑事犯罪调查中,换而言之,在仅涉嫌轻微违法的刑事犯罪调查中不应使用内容数据收集。《网络安全法》等我国法律中没有此种限制性规定。
网络用户的合法权益理应得到保护,但其保护是否应当通过对网络服务提供者的监管权限作出限制得到实现,则不无疑问。法律赋予网络服务提供者监管权并科以其司法协助义务,本意即是惩治网络犯罪,维护网络空间正常秩序,保护公民合法权益。过分限制网络服务提供者的监管权限,既浪费了网络服务提供者掌握的技术优势,提高了刑事犯罪调查难度,继而加重了网络监管成本,同时也为网络服务提供者逃避司法协助义务提供了借口,不利于相关信息安全技术的进一步发展,最终亦将有损于多数用户的正常权益。至于其中衍生的公民个人信息及隐私权的保护问题,应当通过他项法律得以实现。
公权力希望网络服务提供者承担的社会责任与后者自身所追求的技术中立地位,构成了网络服务提供者的司法协助义务在范围确定中的主要冲突。1998年美国《千禧年数字版权法》规定的确保网络服务提供者中立地位的“避风港规则”,已在私法领域为多国立法者采纳①姚志伟.技术性审查:网络服务提供者公法审查义务困境之破解[J].法商研究,2019(1):31.,这亦被《中华人民共和国侵权责任法》第三十六条、《中华人民共和国民法典》第一千一百九十五条、第一千一百九十六条所确立。私法中的技术中立原则同样深刻影响了网络服务提供者应当承担的公法义务,面对网络服务提供者提出的增加经营成本、影响其运营及发展、侵犯用户隐私权、削弱与客户间的信任关系等批评,《公约》对网络服务提供者的司法协助义务作出了妥协。②皮勇.论网络服务提供者的管理义务及刑事责任[J].法商研究,2017(5):15.技术能力限制内的有限责任、被动的司法协助义务的产生方式及隐私法益引申而来的抗辩事由,为网络服务提供者推脱监管义务提供了便利。
网络服务业的正常经营应当受到保护。作为信息十字路口的守门人,网络服务提供者因其掌握的技术设备及便利条件,理应是最为合适的监管者,而安全稳定的网络空间,又令网络服务提供者直接获益。《公约》对网络服务提供者在司法协助义务上的宽容,无助于预防、打击网络犯罪,有损于网络服务业繁荣发展,这也是学界对《公约》部分质疑之音的由来③于志刚.缔结和参加网络犯罪国际公约的中国立场[J].政法论坛,2015(5):91.。我国坚持在联合国框架下参与制定网络空间国际规则④外交部《第72届联合国大会中方立场文件》,2017年8月29日,第5条;外交部《第73届联合国大会中方立场文件》,2018年8月28日,第5条.,《公约》在网络服务提供者的司法协助义务上的得失,应当置于考量范围之内。