主权原则对网络域外执法的规制

古俊峰 施涵佳

(1.汕头大学 法学院/生态治理与法治建设研究中心,广东 汕头515063;2.苏州大学 法学院,江苏 苏州 215031)

一、打击跨境网络犯罪对域外执法的客观需要

现代互联网技术在通过高速信息传递把世界紧密联系在一起的同时,也为犯罪分子实施网络跨境犯罪提供了便利。由于网络空间的弱地域性及数据分布与传输的全球化特点,网络犯罪展现出不同于传统犯罪的跨境特征。国家在打击这类跨境网络犯罪时,需要及时摧毁犯罪行为所依赖的网络设施,如僵尸网络控制中心、暗网等,以迅速制止犯罪行为。然而,这些执法行动往往需要跨境实施或者产生一定域外效果,如黑入境外非法数据系统或删除境外网络设备上的数据等。在这种情况下,如果沿用传统打击跨境犯罪的模式,即诉诸国家间双边或多边执法协助机制,在取得被请求国同意后再采取行动,那么打击网络犯罪的效率将大大降低。

国家主权意味着一国在其领土内排他性地行使政府职能[1][2],基于对国家主权的尊重,执法管辖权具有严格的属地性,未经对象国同意的域外执法行为通常为国际法所禁止[3]。不论是在物理空间还是在网络空间,国家执法行为都基于主权原则而受地域限制,但网络域外执法面临着更加严峻的挑战:其一,因国际执法协助机制效率太低,或因被请求国技术能力不足,导致受害国执法机构无法应对网络犯罪的瞬发性与强动态性[4];其二,执法人员往往因为犯罪分子采用特定通信技术而无从获取目标数据的地理位置,进而无法确定应向哪国提出协助执法的请求。这类通信技术的典型例子如Tor技术,其核心功能在于对服务提供商的真实网络地址进行隐藏,从而保证匿名服务不可被追源[5]。

面对上述传统机制的缺陷所带来的现实困境,部分国家如美国、英国、澳大利亚、荷兰开始诉诸一些新型域外执法路径,包括“执法机关直接域外执法”,以及“由第三方私主体协助的间接域外执法”[6]。中国在国内立法中亦规定了此类措施,如2016年《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《电子数据规定》)第9条明确了我国执法机关可通过采取网络远程勘验措施访问、提取储存于境外远程计算机信息系统上的电子数据。

此类新型措施经由国家立法具备国内法上的合法性,但其与主权原则相冲突,故在国际法上存在合法性问题。因此,有必要分析主权原则在网络空间的适用,寻求突破执法行为严格地域限制的合法路径,为我国执法机关必要的网络域外执法行为提供指引。

二、主权原则在网络空间的适用

(一) 由“去主权化”到“再主权化”的网络空间

从表面上看,“主权原则”与“网络空间”似乎是两个不兼容的概念——主权本质上与领土紧密结合,而网络空间作为一个虚拟空间具有去领土化的特点[7]。因此,20世纪90年代至21世纪初期,网络空间“去主权化”的观点曾盛行一时。其中,最著名的当属1996年的《网络空间独立宣言》,即由美国著名网络活动家约翰·P·巴洛通过该宣言以网络用户代言人的姿态对世界各国政府宣告网络空间不存在边界与主权[8]。美国国防部也将网络空间称为与公海及其上空、外层空间、南极洲相并列的“全球公域”[9]。然而时至今日,国家主权在网络空间的适用已得到了普遍承认[10],网络空间已然完成“再主权化”进程。这一共识的达成主要有两方面的原因。

第一,从行使主权的可行性层面来看,各国清楚意识到网络空间并非远离现实世界的独立空间,因为网络空间的物质基础和活动者都与现实世界有着紧密的重合与互动关系[11]67-68。国家通过对物理基础设施的控制以实现对网络活动的规制是完全可行的,因为穿梭在网络世界和现实世界的其实都是同一群人,网络空间内的活动是由他们使用网络基础设施进行的。而网络活动所涉及的虚拟信息、数据等亦存储于网络基础设施之中。

第二,从行使主权的现实需求层面来看,面对网络空间“去主权化”带来的网络安全问题,国家不可能以旁观者的角色听之任之[11]66。网络空间作为“全球公域”而不受国家政府规制与管理的观念注定沦为乌托邦式的幻想。

(二) 主权原则的性质:创设权利义务的独立国际法规范

在主权原则可适用于网络空间的共识基础上,国际法学界目前对于主权原则适用的争议在于如何确定其性质。围绕主权原则能否创设具体权利义务,形成了两派观点,即“主权原则非规范说”与“主权原则规范说”。

1. 主权原则非规范说。持“主权原则非规范说”的学者将主权原则理解为建立于一系列国际法规则——禁止使用武力、不干涉内政——之上的抽象原则。在此理解下,主权原则更偏向于政治性概念——其能指导国家间互动[12],但本身并不创设独立于上述规则之外的权利义务。这意味着国家网络行动可能构成对禁止使用武力与不干涉内政等由主权原则具体化而来的国际法规则的违反,但是并不构成对主权原则这一抽象原则本身的违反[13]。因此,大部分可归因于国家的低烈度跨境网络行为,由于尚不构成使用武力、干涉内政等明显违反国际法规则的行为,进而很难受到现行国际法的规制。

批判者敏锐地指出“主权原则非规范说”本身存在逻辑问题。该说认为主权原则并不禁止任何的国家网络行动,但又主张任何网络行动都应将主权原则作为一个考虑因素[14]。事实上,“主权原则是否保护国家不受他国特定网络活动侵扰”这一问题的答案只能为“是”或“否”,而“主权原则规范说”所给出的介于“是”与“否”之间的回答并不自洽[7]。

同时,支持这一学说的国家仅局限于英美等网络发达国家。以美国为例,从美国国防部在1999年和2012年的表态来看,当时其所持的是主权原则规范说[15],然而到了2017年,其态度便转为了支持主权原则非规范说[16]。这一转变背后的目的,在于尽可能地削减其网络活动所受的国际法限制,由此实现自身技术优势最大化。美国众多网络行动皆通过国防部进行。对网络空间主权原则的边界界定越清晰,则意味着国防部要对其网络行动施加的限制越多,其网络行动被指责违反主权原则的可能性也越大。对它而言,与其承认主权原则的规范性质后与各国进一步明晰主权原则在网络空间适用的争议地带,不如直接从性质上否认其创设权利与义务的可能,由此将其网络行动受制于范围最小化的国际法义务之下[7]。由此可见,网络发达国家倾向于通过否定主权原则的规范性质而追求自身在网络空间内更大的活动范围,而这一追求超越了他们对自身可能遭受他国低烈度网络行动侵扰的关切。

2. 主权原则规范说。持“主权原则规范说”的学者则将主权原则理解为自身创设权利与义务的国际法规范。这一规范独立于禁止使用武力、不干涉内政等得到普遍承认的具体规则,且其所禁止的网络行动范围是对这两项规则的扩展。这意味着,若网络行动尚未达到使用武力、干涉内政的强度时,仍可能构成对标准更低的主权原则的违反[7]。

这一学说最强有力的支持来自于国际法院的司法实践。国际法院在“科孚海峡”案[1]、“尼加拉瓜军事与准军事行动”案[17],以及“尼加拉瓜在边境区域的特定活动”案[18]中,分别认定英国、美国、尼加拉瓜的行为构成对他国主权的侵犯。这些判决将主权原则作为《国际法院规约》第38条第1款下独立的国际习惯法规范。在“尼加拉瓜军事与准军事行动”一案中,国际法院将主权原则与禁止使用武力与不干涉内政原则作为三个并列的法律依据,认定美国行为的违法性,并指出主权原则与这两项规则在法律效果上有所重叠——构成使用武力与干涉内政的行为必然同时构成对主权原则的违反,而不构成使用武力与干涉内政的行为仍有可能构成对主权原则的违反[17]。这些案件虽然均发生于物理空间而非网络空间,但其所揭示的主权原则的独立规范地位同样适用于网络空间。

同时,对网络空间中主权原则性质问题有过表态的国家,绝大部分支持主权原则规范说,例如德国、日本、新加坡、新西兰等。此外,由“网络合作防御卓越中心”发起完成的《关于可适用于网络战的塔林手册 2.0 版》(以下简称《塔林手册 2.0 版》),其规则4亦支持主权原则规范说。

网络空间主权原则是否具有规范地位的论辩揭示了国家目前面临的一个困境:一方面,如果国家通过承认主权原则的规范性质而为自身建立起一道“规范防火墙”,他们同时也会对自身在网络空间的行动自由施加对等的限制;另一方面,若否认主权原则的规范性质而将低烈度网络行动完全置于各国自由裁量之下,国家的网络空间又不可避免地面临他国低烈度网络行动所带来的风险[19]。在“行动自由”与“网络安全”之间,网络发达国家由于具有更强的网络技术能力与风险抵御能力,倾向于选择“行动自由”所指向的主权原则非规范说;而网络发展中国家则倾向于选择“网络安全”所指向的主权原则规范说。本文认为主权原则规范说更具合理性,后文论述采主权原则规范说。

三、 主权原则对网络执法行为的地域限制

网络执法行为是指效果直接产生于网络空间的针对计算机数据的执法行为。本文探讨的网络执法行为仅限于网络犯罪背景下针对刑事事项的执法行为,包括具有独立价值的强制行为,以及具有辅助性价值的调查、取证等行为。在主权原则规范说的立场下,一国行使政府执法职能应严格限于该国领土范围内,而对于网络执法行为而言,则需要厘清如何在网络空间中界定领土边界。

(一)主权原则对执法行为的地域限制

常设仲裁法院在1928年的“帕尔马斯岛”仲裁案中认定,主权意味着独立,其核心内涵是国家有权在其领土上排他性地行使国家职能[2]。国际法院在2015年的“哥斯达黎加在圣胡安河沿岸筑路”案中,同样将域外行使政府职能作为认定构成违反主权原则的标准之一[20]。在网络空间领域,2017年2月出版的《塔林手册 2.0 版》规则4也表明,若一国在他国领土内行使政府职能,将构成对该国主权的侵犯,除非该国取得了领土国的同意或其行为得到了国际法下其他规则的授权[21]22-23。因此,在他国境内行使政府职能构成对该国主权的侵犯。

从行为的性质来看,国家的执法行为必然属于“行使政府职能”。《塔林手册2.0版》规则4所举出的“行使政府职能”亦包括执法行为[21]22-23。同时,常设国际法院在“荷花号”案中虽未明确提及主权原则,但也指出一国不得在他国领土内执法[3]。根据该案体现的法理,执法行为地的认定不仅包括“行为起始地”,亦包含“行为结果发生地”。

(二) 网络执法行为的地域认定

鉴于主权原则适用于网络空间,网络执法行为也应限定在执法国域内。因此,网络空间中域内与域外的判断,即“边界”的认定,对于网络执法行为的合法性至关重要。

如果网络执法人员物理上位于本国境外,其行为必然属于域外行为,这时对于域外执法的认定不存在争议。网络执法行为区别于物理世界执法行为的特殊性,需要聚焦到“执法人员物理上位于本国域内,但行为的影响却体现于他国域内数据上”。此情形下,执法人员的行为看似全部发生于网络空间内,却不能依据“网络空间虚拟而不存在边界”而否认此类行为具有跨境属性。

从表面上看,不同于物理空间,网络空间虚拟而不存在边界。但事实上,网络空间是根植于现实世界的,在界定网络行为发生地时,所涉及的并非是“网络空间的边界”,而是“物理空间的边界”。这是因为,所有的网络行为都是通过使用物理的网络基础设施进行的,而通过锁定网络行为所访问网络基础设施在物理空间的位置,我们便能将网络行为定位至特定国家的领土上[21]13-14。换言之,执法人员位于本国境内时,判断其网络执法行为是否发生于域外,关键在于判断被访问的数据所存储于的网络基础设施的地理位置[21]68。

综上,网络执法行为受主权原则规制,意味着国家不得在他国领土上利用网络设施执法,亦不得在本国领土上未经授权访问存储于他国网络基础设施内的数据。

四、 现实需求与法律困境:网络新型域外执法措施

网络空间与物理空间在执法行为地域限制上具有一致性,但网络空间与物理世界又存在诸多不同之处,由此引发出网络执法的现实需求与传统法律规制方法之间的冲突。

(一) 现实需求:网络新型域外执法措施的必要性

具体而言,传统跨境执法协助机制在网络空间的无效化可具象为两类情形:第一类是“数据位置不明”的情形。由于云计算服务的拓展[22]以及犯罪分子所使用的Tor等匿名技术,执法人员无法锁定数据存储地,更无从确定请求司法协助的对象,往往要等到采取技术手段侵入了目标服务器后才能得知[23]。第二类是无匿名技术被采用但需要立即采取措施打击网络犯罪的情形。无特殊技术被使用时,虽然国家可以确定请求司法协助的对象,但如果其所应对的网络犯罪威胁非常紧迫,司法协助往往由于协助效率低下而无法满足及时遏制犯罪的需求。美国情报通信技术审查小组2013年报告指出,虽然美国司法部的互助条约程序为他国寻求存储于美国境内的电子通信与其他数据提供了法律渠道,但其程序十分繁琐,从寻求协助的请求发出到处理完毕平均需要10个月[24]。

国家一边面临着打击网络犯罪的实践需求,另一边又面临着前述传统执法协作机制无效化的困境。为了保护本国安全,执法机关往往不得不突破主权原则的地域限制,在条约协助的框架之外采取突破主权原则的新型网络域外执法措施——单边直接域外执法或经由第三方私主体协助进行间接域外执法。

在国家实践层面,美国联邦调查局(FBI)采取的网络调查技术(NIT)措施即为“执法机关直接域外执法”的典型代表。2015年,FBI知悉一个位于美国境内的IP地址正在通过Tor技术运行儿童色情网站。治安法官随即发布搜查令准许FBI识别网站访问者。随后的13日内,FBI采用了NIT技术侵入了1000多台访问该网站的计算机。由于NIT技术的使用并未设置地域限制,任何访问该网站的用户的计算机,不论其地理位置,都会遭受侵入,由此,丹麦、希腊、智利等国家境内的计算机都受到了这一行为的影响。

(二)法律困境:新型网络域外执法措施对主权原则的突破

新型网络挑战域外执法措施往往在国内法下具有合法性。例如,前述FBI在2015年对儿童色情网站的打击时,最初被谴责超越了国内搜查令的授权范围[22]。但2016年12月,美国《联邦刑事诉讼规则》第41条修正案正式生效,该条b款第6项规定若犯罪分子采取了技术手段隐藏目标数据的地理位置,治安法官则有权发布远程搜查令允许搜查储存于域外的数据[25]。这无疑成为了FBI之后采取NIT技术而不受国内法授权困扰的配套规则。域外执法行为若要符合主权原则的要求,必须取得领土国的同意或其他国际法规则的授权。但无论是“执法机关直接域外执法”还是“由第三方私主体协助而进行间接域外执法”,本质上都是在没有取得国家同意的情况下进行的单方行为。故其合法性的关键在于是否得到了国际法下其他规则的授权。然而,对于这两类新型网络域外执法措施,目前国际法下尚未形成普遍认可的授权性规则。

1.条约。目前尚无普遍性条约授权国家采取新型网络域外执法措施,而区际层面的典型授权条约主要是欧洲的《布达佩斯公约》。该公约第32条授权缔约国在两种情形下可不经同意而单方访问存储于另一缔约国境内的数据:(1)访问的数据本身可公开获得;(2)对于数据的访问是通过其境内的计算机系统,且获得“有合法权利通过该计算机系统向该缔约国披露数据的人”的合法、自愿的同意。第二种情形是“由第三方私主体协助而进行间接域外执法”新型措施的典型代表。

就中国而言,虽然中国加入的区域性组织为了打击恐怖主义、分裂主义和极端主义等国际犯罪行为(包括跨境网络犯罪)通过了不少共识性文件,如上海合作组织通过的2009年《上海合作组织成员国保障国际信息安全政府间合作协定》与2020年《关于打击利用互联网等渠道传播恐怖主义、分裂主义和极端主义思想的声明》,但这些文件本质上仅是打击网络犯罪的宏观倡议,并未规定具体的行为规范,无法为国家网络域外执法措施提供国际法下的合法性依据[6]。同时,国家亦未缔结授权新型域外执法措施的双边条约。中国现已缔结的关于具体执法协作措施的双边条约,或局限于传统的以同意为基础的协助机制,或本身未明确具体可采措施转而适用缔约双方共同参加的其他国际条约或机制,因此也无法成为新型网络域外执法措施的法律依据。

2. 国际习惯法。根据前述跨境网络犯罪的特殊性,国家采取新型域外执法措施的需求主要存在于匿名技术与紧急威胁两类情形。目前对这两种情形下的单边性网络域外执法行为,都缺乏足够的国家实践和法律确信支持其形成国际习惯法。

国家共识的缺乏可从《布达佩斯公约》网络犯罪委员会制定补充议定书的失败中窥见一斑。自《布达佩斯公约》制定以来,网络犯罪委员会一直饱受缔约国单方访问域外数据执法行为的困扰。2011年11月,委员会专门设立了一个临时的附属专家组——域外访问与管辖小组,意在进一步规制访问域外数据行为以及跨境调查措施的使用,其中一个方案便是通过制定补充议定书对第32条原本十分局限的授权情形进行一定的拓展[26]。2013年4月,域外访问与管辖小组通过了议定书的第一份草案,其中包含了5条对第32条授权情形进行拓展的提案。提案三针对的便是“数据位置不明”以及“紧急威胁”情形。具体而言,该提案主张可对第32条增加新项,允许缔约国在两类情形下进行单方访问域外数据的执法行为:第一类是“紧急威胁情形”,即执法行为是为了阻止紧急危险,防止物理损害、嫌犯逃逸、证据损毁等后果的发生;第二类是“善意情形”,即执法人员无法确定目标数据是否存储于域外或究竟存储于哪国,或意外地错误获取了他国域内的数据[26]。然而,因缔约国间争议很大,无法达成共识,该议定书草案最终并未获通过[27]。同时,亦有非缔约国(如俄罗斯)基于主权与人权的关切而公开表示对此议定书草案的反对[28]。

虽然美国、英国、荷兰、澳大利亚等国家的实践支持“数据位置不明”情形下的域外数据访问行为,但此类国家实践仍十分有限。而且,鉴于前述的“网络发达国家”与“网络发展中国家”及其他网络不发达国家之间的博弈,在单方网络域外执法的合法性问题上各国难以形成法律确信上的共识。“网络发达国家”倾向于拓展单方域外执法行为的可能性以增加网络行动自由,而其他国家则倾向于严格限制单方域外执法行为以维护本国网络安全。

五、 新型网络域外执法措施合法性的填补路径:善意原则

网络主权是现实世界国家主权“嫁接”到虚拟网络空间的产物。这决定了网络主权一方面是传统国家主权的延伸,另一方面又必然需要适应网络空间的独特属性加以发展[11]8。

从应然层面来看,考虑到网络空间与现实空间的差异,主权原则下国家执法行为的严格地域限制不应不加调整地套用到网络空间——若无视前述执法困境而要求网络空间中无一例外地恪守地域限制,必然以牺牲国家网络安全为代价,并造成境外犯罪分子利用其作为屏障规避执法打击的不良后果。为了在打击犯罪与尊重主权之间实现平衡,就有必要探索特定情形下突破主权原则严格地域限制的法律路径。

当现行国际条约和国际习惯法缺位时,国际社会可诉诸一般法律原则解决争议问题[29]37-38。“善意原则”作为一项公认的一般法律原则,可以成为新型域外执法措施的合法性基础。国际法院在“核试验”案[30]、“边境及跨境军事行动”案[31],以及“喀麦隆与尼日利亚间的陆地和海域边界”案[32]中均指出,善意原则是规制法律义务创设和实施的基本原则之一,该原则支持着国家对国际法义务的解释[33]。善意原则确立了国家权利与义务相互依存的关系,权利的行使要在缔约方之间保持公平与衡平[34]。因此,若严格遵守主权原则划定的地域限制将导致国家间难以就权利义务达至衡平状态,则可依据善意原则对该义务的履行创设个案的例外。

在“数据位置不明”情形下,执法人员非故意地对域外数据进行了访问时,若严格要求遵守主权原则,就会打破国家保护本国网络安全与尊重他国领土主权的平衡,故可通过诉诸善意原则建构个案例外。当然,这一原则的适用是需要格外谨慎并受到严格限制的。执法国在该原则授权下实施可能的网络域外执法措施时,应充分考虑其所针对的犯罪行为的严重程度、执法行为对领土国所造成的具体影响、可采取的替代性措施等。例如,该执法行为仅造成了恶意脚本或数据的删除而未影响其他任何数据,即为善意;但如果影响了其他关键数据甚至造成领土国网络基础设施的功能性损坏与物理性损伤,则不符合善意原则的要求。同时,善意原则要求国家在采取单边域外执法措施之前已经穷尽了可行手段对技术障碍进行破解,或穷尽了可替代的非域外技术措施,但仍无法实现执法目标。总之,执法行为对领土国所造成的不良影响越微小、执法机关越审慎善意,权利义务的天平就将越倾向于打击犯罪的一方。

六、 中国网络域外执法措施立法的完善路径

面对日益增多的境外黑客攻击事件、跨境电信诈骗案件,中国现行立法允许执法机关在侦查活动中采取网络新型域外执法措施,但在具体规定上未考虑网络域外执法行为对他国主权的影响。中国应在立法规范层面实现对网络域外执法行为限制的明确化,指引执法人员在实践中有效避免其执法行为与主权原则的冲突,为合法、高效地打击跨境网络犯罪提供法治保障。

(一)网络域外执法措施立法现状

2016年,由最高人民法院、公安部、最高人民检察院联合发布的《电子数据规定》第9条第3款与第29条规定:执法机关在进行网络在线提取时,若认为对进一步查明有关情况有必要,可以对远程计算机信息系统进行“网络远程勘验”,具体表现为电子数据发现、提取等侦查活动。2019年,公安部发布《公安机关办理刑事案件电子数据取证规则》(以下简称《电子取证规则》),其第27条再次明确了公安机关可基于网络在线提取过程中进一步查明特定情形的需求而采取“网络远程勘验措施”。如果作为勘验对象的远程计算机位于他国境内,那么此种情况下的“网络远程勘验措施”就属于网络域外执法行为。

然而,前述部门规范性文件与司法解释性文件没有将可能发生域外效力的“网络远程勘验措施”与完全位于境内的“网络远程勘验措施”进行区分,似乎未能意识到前者可能会与国家主权原则相冲突,因此在相关规范中也未能看到处理这种冲突的任何尝试。具体而言,《电子数据规定》第9条仅规定:网络远程勘验中需要采取技术侦查措施的,应当依法经过严格的批准手续。《电子取证规则》第33条规定:网络远程勘验时,应当使用电子数据持有人、网络服务提供者提供的等远程计算机信息系统访问权限;而若涉及技术侦查措施的采取时,应办理批准手续。由此可得,网络远程勘验中又区分了“已获取远程计算机信息系统访问权限”的情形与“并未获取权限而需采取特殊技术侦查措施”的情形。前者属于前述新型域外执法措施的“由第三方私主体协助的间接域外执法”,而后者属于“执法机关直接域外执法”。对于前者,立法未有任何限制;而对于后者,也只有批准程序这一限制,且批准具体如何进行、采取何种标准亦并不明确。

(二)网络域外执法措施立法的完善

国家在立法中应当完善对可能产生域外影响的网络执法措施的规制,即对使用相关措施的情境与过程设定限制,通过立法的谦抑实现对主权原则的尊重与维护。

1. 区分网络域内与域外执法措施。严格限制域外执法措施的前提是充分认识到域外执法情形的存在,将域内执法措施与域外执法措施区分开来。如前所述,区分二者的关键在于被访问的目标数据所存储的网络基础设施的地理位置是位于境内还是境外[23]68。如此区分域内与域外执法措施后,对于前者即可适用一般的国内侦查规定,而对于后者则需要增设限制以保障对他国主权的尊重。

因此,针对我国《电子数据规定》与《电子取证规则》所规定的“网络远程勘验措施”,立法完善的第一步应是将“目标数据位于境外的网络远程勘验措施”提取出来进行单独规定。

2. 采取域外执法措施前,需判断采取措施的紧急性与目标数据的明确位置。当目标数据具有位于域外的可能性而可能需要诉诸“目标数据位于境外的网络远程勘验措施”时,立法应明确执法人员须立刻判断的两个关键因素:第一,采取相应措施的紧急性;第二,目标数据的位置明确性。

若不具有数据灭失、转移等紧急性,且目标数据明确位于域外,执法人员不可诉诸域外执法措施,因为传统执法协助机制在此情形仍可正常运作。我国已与近60个国家签订了刑事司法协助条约。以2016年《中华人民共和国政府和马来西亚政府关于刑事司法协助的条约》为例,其明确规定中国执法人员可通过中国司法部向马来西亚的总检察长或总检察长指定的人员提出证据的获取等协助请求,马来西亚根据本国法律执行协助请求。而对于尚未与中国签订相关协助条约的国家,执法人员应该根据主权原则的要求履行通知、协商等程序性义务。若存在数据可能立刻灭失或被转移的紧急情况,或目标数据由于Tor等技术的使用而无法判断是否确实位于域外,则传统执法协助机制出现无效化问题,执法人员方可诉诸域外执法措施。同时,立法还应要求执法人员穷尽可用手段,对“数据变动危险”与“数据位置不明”进行技术性破解之后,方可诉诸网络域外执法措施。

3.采取域外执法措施时,需遵守比例原则。明确执法人员可采取“目标数据位于境外的网络远程勘验措施”的有限情形后,对其具体使用过程亦应规定合比例性要求以保障其不偏离“善意”的轨道。这一合比例的平衡应当涵盖对以下两个因素的考量。

第一个因素是执法行为所应对的网络犯罪的严重程度。这一因素应考虑网络犯罪在中国国内的犯罪体系中的位阶及其具体影响,即其对相关法益的威胁、侵害的严重性。越是具有高度侵害性的网络犯罪,越能为执法国的执法行为提供正当性。

第二个因素是采取此措施对目标数据存储国的影响。为应对重大网络犯罪而紧急进行的网络域外执法,必须将对数据存储国可能产生的影响严格限制在变动相关数据层面。此要求意味着:第一,所采“网络远程勘验措施”造成的影响应仅限于对目标数据的变动,而不应造成目标数据所存系统的功能性损坏或任何物理损害;第二,所影响的目标数据必须严格限定于打击所涉网络犯罪所必须的数据,如控制僵尸网络的恶意脚本等,而不可涉及对非必要数据的收集或变动。

通过上述完善措施,一方面可以增强国家网络执法机关采取域外执法措施的合法性,另一方面也可为中国反对他国未经许可、不加限制地对中国领域内的网络设施或数据进行跨境执法提供法律依据,从而实现维护国家主权与有效打击跨境网络犯罪之间的平衡。