调取电子数据的三重维度与优化路径

2023-04-06 09:18王仲羊
关键词:服务提供者个人信息义务

王仲羊

(西南政法大学 刑事侦查学院,重庆 401120)

从网络服务提供者处调取电子数据已经成为侦查机关主流的取证方式之一。对此,《中华人民共和国刑事诉讼法》(以下简称《刑事诉讼法》)、《中华人民共和国网络安全法》(以下简称《网络安全法》)、《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》(以下简称《网络犯罪意见》)、《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《电子数据规定》)、《公安机关办理刑事案件电子数据取证规则》(以下简称《电子数据取证规则》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)均对调取进行了规制。2022年8月30日,最高人民法院、最高人民检察院、公安部(以下简称“两高一部”)发布的《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》(以下简称“2022年《意见》”),也进一步完善了调取电子数据的相关程序。在调取过程中,公安机关的侦查权、第三方机构的数据控制权以及公民的个人信息权和隐私权交织缠斗,形成了三方博弈的局面。为此,笔者拟以国家机关的权力规范、公民的权利保障以及网络服务提供者的协助义务作为解读调取电子数据的三重维度,并探索优化的路径。

一、调取电子数据的权力规范

对于调取电子数据,相关规范起初的重点在于授权而非限权。无论是《刑事诉讼法》第54条的概括授权条款,还是《网络犯罪意见》第10条的独立授权条款,均是赋予办案人员调取证据材料的权力,而非对调取行为进行程序限制。之后,《电子数据规定》第13条规定:“调取电子数据,应当制作调取证据通知书,注明需要调取电子数据的相关信息,通知电子数据持有人、网络服务提供者或者有关部门执行。 ”此条款规范了调取的书面形式,并要求办案人员注明相关信息,在一定程度上发挥了遏止概括性调取的作用。在此基础之上,《电子数据取证规则》第41条又增加了“应当经办案部门负责人批准”的规定,明确了调取的审批主体。然而,《数据安全法》第35条却将审批要件设定为“经过严格的批准手续”,致使调取的审查标准提升至刑事诉讼中技术侦查的水平,也由此引发了规范冲突。

2022年《意见》总体上延续了《电子数据规定》与《电子数据取证规则》中重视电子数据客观性与真实性的立法思路,通过载明调证法律文书编号、单位电子公章、完整性校验值、电子签名、数字水印等技术性方法来保证电子数据的完整性。并且,核验电子签名、数字水印、电子数据完整性校验值及调证法律文书编号是否与证明文件相一致等,也成为人民检察院和人民法院审查判断电子数据的重点。在电子数据完整性存疑时,公安机关还需要承担说明义务与补充收集相关证据的义务。

2022年《意见》在完整性审查之外,还保留了合法性审查的解释空间。例如,2022年《意见》第17条规定,人民检察院和人民法院对于电子数据的审查判断义务。虽然从该条款的内容表述上来看,审查判断的重点在于电子数据的完整性,但是也可以从中推论出对电子数据合法性的审查判断,即调取的审批主体、书面形式与注明信息等程序是否规范。此外,2022年《意见》第17条第2款中“对调取的电子数据有疑问的”,应当解释为对于电子数据的完整性有疑问或者对于电子数据的合法性有疑问,公安机关随之产生的说明义务既包括对电子数据完整性的说明,也包括对电子数据调取合法性的说明。通过对2022年《意见》第17条的合理解释,相关规范建立了公安机关调取规范性的程序倒逼机制,也优化了人民检察院和人民法院对于调取的司法控制。

然而,调取电子数据的权力规范中程序性要素仍然不足,还需要从以下三个方面进行完善:

第一,厘清调取与技术侦查之间的关系。调取主要针对的是业已存储、面向过去的电子数据,而技术侦查主要针对的是即时发生、面向未来的电子数据,二者的取证方式存在明显不同。因此,应当将《数据安全法》第35条中“经过严格的审批手续”理解为立法者为了加强调取程序控制的制度宣示,而非真正将调取的审批门槛提升至技术侦查的高度。

第二,落实信息分类制度。以隐私信息与非隐私信息的二分法作为刑事诉讼中信息分类的基础能够节约立法成本,延续刑事诉讼中重点保护隐私信息的传统。此外,也可以借鉴《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)中敏感信息与一般信息的分类方法,但需要结合刑事司法活动的特殊性来进行适应性调整。

第三,应当区分任意调取与强制调取。如果调取对象为一般信息或者公开信息,调取行为得到网络服务提供者的配合,则属于任意调取;如果调取对象为隐私信息或者敏感信息,超出网络服务提供者协助义务的范畴,则属于强制调取。

二、调取电子数据的权利保障

《网络犯罪意见》第10条建立了初查阶段强制侦查的排他性措施,即调取不能限制初查对象的人身、财产权利,属于任意侦查措施。《电子数据取证规则》第41条规定:“必要时,应当采用录音或者录像等方式固定证据内容及取证过程。 ”此条不仅保证了调取内容的完整性,也规范了取证过程,强化了调取中的权利话语。然而,2022年《意见》偏重对调取的权力规范,并没有在权利保障维度作进一步推进,故而需要优化相关设计,切实保障诉讼主体的以知情权为代表的个人信息权。

调取活动明显干预了公民的个人信息权与隐私权,但在现行规范中,并未明确规定公安机关应当在调取过程中履行告知义务。相反,《电子数据规定》第13条规定,调取只需要“通知电子数据持有人、网络服务提供者或者有关部门执行”,无须告知信息主体。并且,调取也不满足刑事诉讼中“有碍侦查”与“无法通知”的情形。在《个人信息保护法》业已通过的时代背景下,国家机关在调取过程中告知义务的缺失不利于刑事诉讼与个人信息保护的协调互动。因此,应当建立国家机关的调取告知义务,在调取行为发生之前或者发生之后,告知犯罪嫌疑人、被害人等调取的行为或者内容,保障诉讼主体的知情权,便利其开展后续的程序救济。

基于执法需求,在必要时可以对告知进行限制,但是限制情形应当具有法律依据。《个人信息保护法》第18条规定了“有法律、行政法规规定应当保密”“不需要告知”“紧急情况”三种告知例外情况。第35条将“告知将妨碍国家机关履行法定职责”作为履行告知义务的例外。对此,应当对具体情形进行实质性解读,以防止告知例外情形的泛化。例如,紧急情况应当满足情况的紧迫性、事件的临时性与法益的重要性三大要件。在“告知将妨碍国家机关履行法定职责”中应当对“妨碍”作严格解释,即“告知将使法定职责之目的落空,比如公安机关告知犯罪嫌疑人其所掌握的犯罪信息,而不能只是给国家机关履职增加一些手续或成本”[1]。此外,除知情权外,决定权、更正权、删除权等个人信息权也可以在一定程度上被引入调取程序。

三、调取电子数据的协助义务

第三方机构在调取中的协助义务呈现出从概括到具体的演进规律,并且存在义务不断加重的趋势。《网络安全法》第28条概括性规定了网络运营者应当提供技术支持和协助;《电子数据规定》第3条与《刑事诉讼法》第54条保持一致,规定有关单位和个人负有如实提供的义务;《电子数据取证规则》第41条科以被调取单位和个人应当保护电子数据完整性方法的说明义务;后果最严重的协助义务体现在《数据安全法》第48条,对于拒不配合数据调取的企业,有关部门可以责令改正、给予警告甚至进行大额罚款。

2022年《意见》增设了两项调取协助义务:一是网络服务提供者负有保证电子数据完整性的义务。对此,2022年《意见》指出了数字电文形式与电子证明文件中保证电子数据完整性的具体方法。二是网络服务提供者负有说明义务。2022年《意见》第17条规定:“对调取的电子数据有疑问的,由公安机关、提供电子数据的网络服务提供者作出说明。 ”

在履行调取协助义务的过程中,企业需要将掌握的客户信息向执法机构披露,这不利于履行保护个人信息的合规义务。例如,在浙江乐清滴滴顺风车司机杀人案中,警方要求提供涉事司机的相关信息,滴滴平台却以保护用户隐私为由延迟回应。然而,对于企业保护个人信息的合规义务与调取协助义务之间的矛盾,2022年《意见》持回避态度。因此,应当建立相关机制,以缓解两种义务之间的冲突。

一方面,应当正确理解适用《个人信息保护法》的相关规定。该法第13条规定的7种处理个人信息的合法性基础能够成为企业免除合规义务的规范支撑。例如,第13条第4款规定的“紧急情况下为保护自然人的生命健康和财产安全所必需”,可以为企业在紧急情况下优先配合调取工作提供正当性证成。另一方面,需要建立企业内部审查机制,审查调取主体、调取程序、调取个人信息类型等因素,在义务冲突时为企业提供责任豁免机制。

猜你喜欢
服务提供者个人信息义务
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
幸福的人,有一项独特的义务
网络服务提供者的侵权责任研究
警惕个人信息泄露
论网络服务提供者刑事责任的归责模式一一以拒不履行网络安全管理义务罪为切入点
三十载义务普法情
跟踪导练(一)(4)
论网络服务提供者的侵权责任
“良知”的义务