李 涛
(南京森林警察学院 侦查学院,江苏 南京 210023)
进入大数据时代,社会已经由传统的单一物理空间转变为物理空间与网络空间交叉融合、互动并行。尤其是随着云计算和加密技术的发展应用,无论是传统犯罪的网络异化,还是新型网络犯罪的兴起,网络空间下的执法环境与执法行为都变得日趋复杂。在此背景之下,为了进一步提高侦查效率,侦查活动的开展往往需要得到第三方力量尤其是网络服务提供者①我国相关立法并未就网络服务提供者内涵作出明确的界定,《中华人民共和国网络安全法》将其定位于网络运营者的下位概念,考虑到《刑法修正案(九)》“拒不履行信息网络安全管理义务罪”的主体为网络服务提供者,本文以此称谓为准。的协助,其突出的表现就是网络服务提供者承担的个人信息披露义务。所谓个人信息披露义务,是指网络服务提供者根据相关法律、法规要求依法向侦查机关提供特定个人信息的义务。因为网络服务提供者向侦查机关进行个人信息披露的同时,也必须承担用户个人信息保护的义务,所以随之而来的问题在于:其一,当个人信息披露义务与保护义务发生冲突时,个人信息披露义务有无边界。其二,应基于何种原则来划定个人信息披露义务与保护义务的边界。其三,应如何来进一步规范侦查活动,以使网络服务提供者既能充分履行个人信息披露义务,又能充分保障其商业利益与用户的个人信息安全。有鉴于此,本文拟就上述问题展开讨论。
1.网络服务提供者个人信息保护义务。从立法进程来看,我国个人信息立法呈现了由不同层次的分散立法和专门领域立法向统一立法的过程。就网络服务提供者个人信息保护义务而言,相关规定主要集中在2012年全国人大常务委员会《关于加强网络信息保护的决定》、2013年工业和信息化部《电信和互联网用户个人信息保护规定》、2016年全国人大常务委员会《网络安全法》、2017年全国信息安全标准化技术委员会《信息安全技术 个人信息安全规范》①《信息安全技术 个人信息安全规范》由全国信息安全标准化技术委员会制定,2017年12月29日发布。2020年全国信息安全标准化技术委员会对《信息安全技术 个人信息安全规范》进行了修订,并于2020年3月6日发布,2020年10月1日实施。等。上述规定明确网络服务提供者对个人信息进行处理时应遵循合法、正当、必要的原则,公开个人信息处理规则,明示处理的目的、方式和范围。其中,对收集到的个人信息保密,不得向他人泄露、出售或者非法提供一直是网络服务提供者个人信息保护义务的核心内容。如《关于加强网络信息保护的决定》第三条、《电信和互联网用户个人信息保护规定》第十条、《网络安全法》第四十二条均规定网络服务提供者对于收集的公民个人信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。《信息安全技术个人信息安全规范》9.4条款又进一步规定个人信息原则上不予公开披露,需要公开披露时必须经法律授权或具备合理事由。2021年8月,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)颁布实施,标志着我国个人信息保护法统一立法的形成。该法明确个人信息受法律保护,任何组织和个人不得侵害自然人的个人权益,个人信息处理者处理信息时必须要确保个人信息处理活动符合法律、行政法规的规定,防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除,并要进行事前风险评估。为了加强超大型互联网平台个人信息保护的义务,该法还规定了外部机构独立监督,对严重违规停止提供服务及定期发布个人信息保护社会责任报告等条款。
2.网络服务提供者个人信息披露义务。一般认为,网络服务提供者个人信息披露义务属于通信协助执法制度的范畴,是一种积极性作为义务。从国际立法经验来看,早在1996年欧盟就通过《欧盟理事会通信合法拦截决议》赋予了电信运营商及网络服务提供者在侦查活动中信息披露义务。2001年欧洲经济委员会通过的《网络犯罪公约》又详细规定了网络服务提供者在数据储存、数据披露以及数据拦截方面的义务。美国则先后通过《1994年通信协助执法》《爱国者法案》《关键基础设施信息保护法》等法案明确电信运营商及网络服务提供者在侦查活动中信息披露义务。对于网络服务提供者而言,我国所规定的侦查活动中信息披露义务主要是指针对具体案件执法活动中的信息披露义务。从法律框架来看,我国法律主要从以下几个方面来界定网络服务者信息披露义务。第一,基于刑事法律产生的义务。我国《刑事诉讼法》第五十四条第一款规定,在侦查活动中,有关单位和个人有如实提供证据的义务,从而在原则上确立了网络服务提供者在侦查活动中承担着信息披露的义务。2015年《刑法修正案(九)》增设了“拒不履行信息网络安全管理义务罪”规定了网络服务者违背安全管理义务的刑事法律责任。第二,基于行政法律法规产生的义务。《网络安全法》第二十八条规定网络服务提供者应当为侦查机关侦查犯罪的活动提供技术支持和协助。《互联网信息服务管理办法》第十四条、《互联网上网服务营业场所管理条例》第二十三条也规定了在执法机关依法查询时应当提交相关用户个人信息。第三,信息披露义务的方式主要通过侦查机关以调取的方式来进行。最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《电子数据规定》)第十三条、公安部《公安机关办理刑事案件电子数据取证规则》(以下简称《电子数据取证规则》)第三条明确规定了调取电子数据的措施。
通过分析我国网络服务提供者个人信息保护与披露义务的立法脉络,可以看到个人信息保护义务与披露义务“当前的立法思路是分而治之,即保护归保护,协助归协助。”[1]49对于二者而言,立法均有加强的趋势,但却都忽视了两种义务保护交叉地带产生的张力进而导致潜在冲突的可能性。这种可能性主要体现在以下两个方面:其一,基于启动程序所带来的二者之间冲突。如根据法律规定,协助侦查为网络服务提供者个人信息保护义务的例外,但这种例外也应遵循个人信息保护正当性与必要性原则。侦查机关在获取个人信息程序启动之前,应当由权力机关对其获取个人信息手段与目的之间的合比例性进行审查。其二,基于披露方式所带来的二者之间冲突。根据现有规定,我国个人信息主要存在两种分类方法:第一种是依据《民法典》将个人信息分为一般个人信息与私密信息,其重点在于强调保护自然人的私生活安宁;第二种是依据《个人信息法》将个人信息分为一般个人信息与敏感信息,其重点在于强调保护“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”①本内容来自于《个人信息保护法》第二十八条对于敏感个人信息的定义。于安全状态。无论采用何种分类都反映了与一般个人信息相比,私密信息与敏感信息与公民基本权利联系更为紧密。鉴于不同类型的个人信息对公民基本权利影响程度不同,不同类型的信息受保护的程度也应当不同,相关立法理应基于比例原则根据不同类型个人信息设定不同的披露条件和程序,以实现充分保护个人信息目的。
网络服务提供者个人信息保护义务与披露义务冲突的形成和网络服务提供者工作性质及所承担的社会责任紧密相联。大数据、人工智能、区块链等网络技术增强了社会信息的共享性与社会的流动性,进而促进了信息权力的聚集,其掌握者与实施者主要以网络服务提供者、个人用户为代表。这种信息权力支援了传统社会治理架构与信息源,“大大降低了区分中心与边缘、上级与下级的意义,从而导致网络治理的分权化”[2],极大冲击了传统社会治理的集权主义与行为主义逻辑,增加了传统社会治理的困难。在当前社会治理中,一方面,基于个人信息繁杂失序的现状及其与个人隐私的天然联系,个人信息权其实已经成为公民的基本权利,加强个人信息保护是社会治理的必然需求。就本质而言,网络服务提供者所承担的个人信息保护义务属于公民基本权利的延伸。另一方面,由于网络服务提供者的经营活动在“很大程度上围绕着信息的收集、筛选、整理、认证展开”[1]51,承担着信息共享组织者的功能,为了充分利用此优势,社会治理主体便将部分权力行使方式转渡给网络服务提供者,进而使网络服务提供者成为国家权力的延伸。基于侦查目的,网络服务者所承担的个人信息披露业务,其实仍然是国家权力对公民基本权利的干预。因此,网络服务提供者个人信息保护与披露义务的冲突在本质上是政府执法权力与个人隐私权利的博弈。当国家权力与公民基本权利发生二元对立时,必然要求法治原则介入调和,并为二者的博弈划出边界。
作为一项公法原则,比例原则的功能主要在于为国家权力行使提供一种规范标准,也是国家权力反向制约公民权利的基础和边界。在比例原则之下,又可以引申出四项基本原则即“目的正当原则、适当性原则、必要性原则与权衡性原则。”[3]下文将以上述四个原则为基础,围绕网络服务提供者个人信息保护与披露义务之间的冲突边界进行论述。第一,目的正当是判断一项公权力是否符合比例原则的门槛,主要包含实质与形式两个方面的正当性,即目的是否符合当前社会的一般价值观,并得到法律认可。网络服务者个人信息披露义务以查明案件事实,维护国家安全和社会公共利益为目的,进而对个人信息保护义务进行限制本身具有正当性。但如果某项手段不以刑事案件侦查为服务对象,或在不确定存在犯罪行为状态下实施,则个人信息披露义务的正当性就需重新考虑。第二,在正当目的的基础上,适当性原则要求实现目的与手段相匹配,即该手段的使用能够合理地实现法律目的。对于行为主体而言,目的与手段是否匹配主要基于事实经验和逻辑判断,但关键在于能够以外部可见的方式自证其手段与目的之间的关联性。以网络服务者个人信息披露义务而言,其履行程序应视情通过事前令状或事后审查予以衡量适当性。第三,即便手段与目的是相配,仍然不能认为其符合比例原则,还要进一步对手段干预公民基本权利的程度进行比较,即要符合必要性原则。必要性原则是指在达到目的多种手段中选择最低限度的手段。必要性原则前提条件主要有两个:其一,达到目的的手段在两个以上,如果只有一种则不适用此原则;其二,多种手段中要选择对公民基本权利干预度最低的选项。基于此原则,网络服务提供者个人信息披露方式的强度应与个人信息保护的层级形成阶层式对应,如私密信息、敏感信息披露的门槛应高于一般个人信息。第四,权衡性原则要求在两种法益发生冲突时如何根据案件情况确立有条件的优先关系。解决这种原则性竞争冲突的标准在于将其置于具体案件情况之下进行重要性或优先性地位判断。以网络服务者个人信息保护与披露义务冲突而言,在判断过程中要考量以下几个要素:其一,国家安全、刑事司法事项因其维护社会公共利益而构成公民基本权利保护之例外;其二,对于国家权力的行使必须有相应的限制条件与限制强度要求,以形成被干预权利的层级化对应。
如上文所述,网络服务提供者个人信息保护与披露义务冲突本质属于国家权力与公民基本权利的冲突,因此二者冲突解决的底层逻辑属于法制机制综合作用的过程,重点应在于立法层面。当前,我国虽然已经初步构建了由法律法规、行业规范、技术标准为一体的综合性、多层次个人信息的保护框架。但正如有学者指出,我国个人信息保护立法存在的重要问题在于:“规定过于原则,往往只是一个概念或者一个具体要求,通常是禁止性要求,缺乏系统的整体性设计。”[4]以《网络安全法》第二十八条为例,该法规定了网络服务提供者为侦查“提供技术支持和协助”的义务,但如何进行协助却没有具体规定。同样的问题也存在《数据安全法》第三十五条中,该条规定公安机关因侦查犯罪需要调取数据,应当“经过严格的批准手续,依法进行,有关组织、个人应当予以配合”,但是严格的批准手续主要包含什么则未提及。在刑事程序法中,对于上述问题也未作出详细的规定,甚至有学者认为:“唯独在刑事司法执法领域,对公民个人信息的干预始终被视为法律规制的例外。”[5]如《刑事诉讼法》也仅在五十四条第一款、第一百五十二条第四款对网络服务者侦查协助进行了原则性规定,要求在公安机关调取证据或采取技术侦查措施时,网络服务提供者应当配合。上述立法现状说明,当前个人信息保护法与刑事程序法并未形成良好互动和有效衔接。要解决个人信息保护与披露之间的冲突,必然要做好个人信息保护与刑事司法的有效衔接。基于比例原则,个人信息保护与刑事司法衔接主要从以下几个方面进行:其一,在《个人信息保护法》《数据安全法》《网络安全法》等法律修订时,首先应明确规定基于维护国家安全和社会公共利益,网络服务提供者在配合侦查时具有个人信息保护义务豁免的例外,以明示个人信息披露义务的正当性与合法性。其次,要以《个人信息保护法》中确定的分类标准为依据,建立涉侦查的个人信息披露分类告知制度,以加强个人信息用户知情同意权、数据访问权等程序性权利的保障。其二,在《刑事诉讼法》《电子数据规定》《电子数据取证规则》等法律、规章修订时,应通过制定专章以对接个人信息保护法,最为重要的是以“赋权性规定”实现个人信息用户对公权力的制约。主要内容包括:一是要构建基于个人信息类型分类干预的机制,按照比例原则限制不同情形下网络服务提供者个人信息披露义务范围与内容。二是要规范网络服务提供者个人信息披露义务方式,建立侦查机关调取、技术侦查等刑事程序的审批、监督、救济机制。三是要明确规定侦查机关作为个人信息处理和使用主体,对于网络服务者披露的个人信息具有信息安全保障责任。
从域外法治国家立法经验来看,根据个人信息类型构建权利干预机制是应对国家权力对于个人信息权有可能造成侵犯的重要措施之一。一般认为,侦查活动中需要的个人信息可以分为元数据与内容数据两种。所谓元数据是指在网络传输和通信传输中产生的传输数据和定位数据等非通信内容数据,主要包括个人信息用户的身份、通信日期、持续时间、频率、使用设备或服务时的位置、IP地址、网络连接日期和时长等。[6]137所谓内容数据,是指某项沟通交流行为所产生的具体内容,主要包括已经存储内容数据与未来监听内容数据,前者是指网络服务提供者依照法律规定的留存期限在其设备内对个人信息活动产生的数据进行留存,后者则是指网络服务提供者依据法律程序配合侦查机关进行监听或拦截的数据。根据上述元数据与内容数据对于隐私的干预程度,域外法治国家对于元数据与内容数据多采用了不同的保护标准。对于元数据而言,立法对于侦查机关获取此类数据采用了较为宽松的监督机制。以英国《2016年调查权力法》为例,该法第61条第7款列举了九项获取元数据的合法理由[7],其审批手续也控制在执法机关内部,不受司法机关审查。对于内容数据而言,立法一般较为严谨,侦查机关获取此类数据需要提供详细的事实信息,以证明获取此类数据的必要性和合比例性。同时,大多数国家立法都采取了“令状主义”,以限制权力机关肆意启动监听等技术侦查措施导致对公民隐私权的侵害。就我国立法而言,我国并没有对侦查活动中网络服务者披露的个人信息进行分类,更没有建立起根据不同类型信息进行分类处置的程序,有必要借鉴上文所提及的立法经验在侦查活动中区分元数据与内容数据,并在此基础上规定相应的适用情形。具体内容包括:第一,在未来有关个人信息法律法规修订时要将元数据、内容数据的概念、范围、类型以及披露程序予以明确规定;第二,要基于个人信息类型,修订现有侦查取证程序,尤其是对内容信息提供充分的程序性保障,从而建立符合比例原则的权利干预规范。
修订网络服务提供者个人信息披露的方式,亦即依据比例原则对侦查机关获取个人信息的方式进行规范调整。第一,设置个人信息披露启动条件。网络服务者个人信息披露义务属于侦查活动中的被动配合义务,其启动必须由侦查机关提出个案侦查的需求才能启动。为了充分保护个人信息,网络服务提供者所披露个人信息类型应与刑事案件的性质相适应,尤其是涉及到内容信息应将披露范围限定于危害国家安全或其他严重犯罪案件。第二,建立个人信息披露审批要求。不同类型数据性质不同,其披露要求亦不同。对于元数据,因其对公民隐私权利的弱干预性,可沿袭传统习惯,继续采取任意性侦查措施,由侦查机关经内部批准通过调取的方式获取。对于内容数据,因其对公民隐私干预程度最高,尤其可能涉及到实时监听,其获取方式理应归入强制性侦查措施,所以必须引入司法令状主义加以限制。根据我国立法经验,此司法令状可以由检察机关审核批准。
作为个人信息的实际控制者与处理者,侦查机关理应承担对从网络服务者处获取个人信息的安全保障责任。根据《个人信息保护法》相关规定,这种个人信息安全保障责任主要包括个人信息保密责任、个人信息保护影响评估责任、个人信息泄露后通知责任等。[8]为了落实以上责任,应通过立法明确以下措施:第一,应加强侦查活动中个人信息处理各环节安全规定,如基于个案获取的个人信息是否能够与其他侦查机关共享,如果能够共享在个人信息存储、传输时应如何予以保密。第二,当侦查活动目的已经实现、无法实现或为实现处理目的不再必要时,对于个人信息应依法予以删除。第三,当个人信息泄露后,侦查机关应向主管部门报告,并通知个人信息用户,以尽量避免因个人信息泄露对公民人身、财产权利带来的潜在风险。第四,应对个人信息处理全过程予以记录,并由侦查机关内部监管机构如法制部门定期进行合法性审查。
在侦查活动中,网络服务提供者个人信息保护与披露义务的冲突折射了网络空间中国家权力与公民基本权利的博弈。网络服务提供者作为执法权力的延伸,其个人信息披露义务固然有“第三方原则”[9]等理论支持,但正如洛克所认为国家权力既是个人权利的保护神,又是最危险的侵害者[10],如果放任对执法效率的追求,必然会削弱其承担的个人信息保护义务,从而导致公民合法权益的受损。因此,解决二者冲突的关键在于遵循比例原则,通过加强法律衔接,构建干预机制,修订披露方式,增补保障措施等手段达到网络服务者侦查协助义务正当性证成目的,以最终实现打击犯罪与保障公民权利之平衡。