设为首页 | 加入收藏 | 联系我们

河北法学

精文推荐

当前位置: 期刊首页 >> 精文推荐 >> 正文



【名家论坛|魏光禧 刘想树】跨境数据取证中的公私合作——以《联合国打击网络犯罪公约》为视角
日期: 2024-07-10      信息来源:      点击数:

作者简介:魏光禧,男,湖北孝感人,法学博士,西南政法大学国际法学院海外利益保护研究中心研究员,研究方向:国家安全学、国际法;刘想树,男,湖北云梦人,西南政法大学国际法学院教授,博士生导师,重庆警察学院院长,研究方向:国际法。


摘要:作为数字时代自创生的新模式,跨境数据取证公私合作实践折射出复杂的国际法治新课题。从主要国家和地区的实践来看,公私合作是被证明行之有效的跨境数据取证方式,但缺少国际法基础。基于数据主权的相对性和发展性,网络空间的跨境数据取证并不必然与他国数据主权相冲突,关键在于为跨境数据取证行为提供正当性依据。根据系统论法学,跨境数据取证主体的判断标准核心仅在于对数据的占有和控制能力,那些多元化的没有固定类型的公私合作行为也应当被吸纳,而且需要融合公法救济与私法救济机制。中国等国家牵头发起的《联合国打击网络犯罪公约》谈判为构建跨境数据取证公私合作新规则提供了契机,其相关内容应当充分考虑新的国际法观念、国际法主体、国际法行为和国际法救济机制,引导各个国家和地区创新跨境数据取证公私合作机制,促进治理网络犯罪公私合作新秩序的建立。

关键词:联合国打击网络犯罪公约;跨境数据取证;公私合作;系统论法学;国际法


引言

在网络犯罪和其他涉及计算机系统电子数据犯罪愈演愈烈的当下,各国侦查机关在数据取证上面临一个共同的难题,即这些电子数据在全球范围内分散存储并快速流动,这与以地域管辖为传统边界的刑事侦查规则相冲突。易言之,各类电子数据存储在境外或者未知的管辖权区域并不断转移,构成一个无清晰疆界的虚拟空间;而在现实世界里,根据国家主权原则,各个民族国家形成不同主权区域,涉及执法管辖权的数据取证原则上仅限于主权国家境内行使。这是因为无论是从国际法还是国内法层面看,各个国家可以依据实体法对发生在他国境内的犯罪活动行使立法管辖权(prescriptive jurisdiction)抑或裁判管辖权(adjudicative jurisdiction),但是原则上不能依据程序法在他国境内行使执法管辖权(enforcement jurisdiction)。正因如此,跨境数据取证理所当然地应该在国际刑事司法协助框架内开展。不过,从实际情况看,冗长繁杂且效率低下的国际刑事司法协助机制愈发与追求高效、便捷的数据取证格格不入。而绕避国际刑事司法协助程序,以直接跨境提取数据”“远程搜查与扣押”“直接侵入等单方跨境远程方式收集数据的取证活动容易在个案中引发国际争端,存在重大的国际法风险。

在此背景下,各国开始探索跨境数据取证的公私合作途径。欧盟《布达佩斯网络犯罪公约》(Budapest Cybercrime Convention)是目前这一领域最重要的区域性国际条约,其规定在数据主体合法且自愿的同意下可以获取存储于境外的计算机数据。美国出台的《澄清域外合法使用数据法案》(Clarifying Lawful Overseas Use of Data Act,简称CLOUD 法案)授权美国执法部门直接向网络服务提供者调取境外电子数据。欧美国家通过与网络服务提供者合作获取境外电子数据,冲破了以地理疆域为标准的传统执法管辖权限制,一定程度上值得借鉴。但欧美国家利用数字经济和技术优势,对外扩展执法管辖权,对内却采取严格的管控措施限制本国数据出境,而且组建基于地缘政治立场的跨境数据取证 小圈子,将我国和广大发展中国家排除在规则体系之外,加剧了全球跨境数据取证格局的分裂。

习近平主席提出全球安全倡议,积极维护以联合国为核心的国际体系,推动构建人类命运共同体。当前,我国正在打造中国特色国际话语体系,加强涉外法治理论体系和规则体系建设,摆脱作为被动合规者和接受者的路径依赖。在中国等国家积极推动下,联合国大会于20215月通过了73 /187 74 /247 决议,正式启动《联合国打击网络犯罪公约》谈判。20223月,根据联合国大会决议成立的谈判组织机构特设政府间专家委员会(简称特委会)顺利召开第一次会议,公约的谈判进入实质内容讨论阶段。20226月,特委会召开第二次会议,谈判进入正式的案文磋商阶段,关于跨境数据取证公私合作的相关条款被写入案文草案中。20234月,特委会基本形成《联合国打击网络犯罪公约》的整体文本,在程序措施和执法章节规定了网络服务提供者参与协助跨境数据取证的措施。2024 2 月,特委会原计划举行闭幕会议,对公约草案案文进行最终修订并提交给联合国大会表决,但未能就公约案文草案达成一致,于是决定举行总结会议续会,以期尽快能够向联合国大会提交公约案文草案。

与跨境数据取证公私合作在立法和司法实务中的蓬勃发展相比,我国学界对该领域的研究还存在不足。大多数学者的关注聚焦于刑事诉讼法中跨境数据取证程序的调适,局限于国家中心主义视野,仅从数据主权冲突、跨境数据取证的攻与防、数据主体权利保障等角度,寻求应对数据的弱地域性与刑事执法管辖权的强地域性的矛盾之策。少数学者提出了跨境数据取证的公私合作,但仅将网络服务提供者等私主体作为数据取证的配合方,并没有赋予其主体地位,而且缺少对公私合作行为及救济机制的实质关注。更少有学者从国际法角度,跳出跨境数据取证攻与防的零和博弈困境,将全球犯罪治理作为一个运作封闭性的系统进行整体思考。鉴于此,本文首先结合域外规则和我国的实践探索,从系统论法学视角出发,对跨境数据取证公私合作的国际规则进行梳理和探讨,并基于此就正处于谈判阶段的《联合国打击网络犯罪公约》提出意见建议。


一、跨境数据取证公私合作的主要探索

在数字时代,网络犯罪的治理是各个国家普遍面临的挑战。由于网络犯罪的非接触性和跨地域性,以及电子数据的无形性、流动性和易破坏性,传统基于物理场域的跨境数据取证规范已经不能适应现实需要,各个国家纷纷对现有规范进行调适。当前,国际社会已经形成较为丰富的跨境数据取证公私合作的立法和司法实践经验。然而,由于各国政治立场、网络犯罪形势和数字科技水平不同,基于本国利益制定的跨境数据取证公私合作的规则存在不调甚至冲突的情形。我国也积极探索跨境数据取证公私合作,但国内法治与涉外法治统筹协调不够,跨境数据取证规则缺乏系统性的设计,还存在与国际法相冲突的风险。

(一)欧盟在跨境数据取证公私合作上的探索

在欧盟,从2004年生效的《布达佩斯网络犯罪公约》到2018年推出的《关于刑事案件中制定欧洲电子证据提交令与保存令条例的提案》(简称《电子证据条例》),都有一个共同的立法动向,那就是通过与网络服务提供者合作来实现跨境调取电子数据。《布达佩斯网络犯罪公约》第32条为跨境数据取证的公私合作提供了法律依据,一是可以直接提取公众已经公开的资料,二是获得拥有法定权限能够向取证方披露数据的人的合法且自愿的同意之后,提取或者接受存储在境外的数据。据统计,在欧盟范围内,多数成员国的执法部门是通过这个途径开展跨境数据取证的。另外,《布达佩斯网络犯罪公约》还创造性地设计了提供令Production order)制度。该公约第18条第1a项授权缔约国执法部门可以要求其境内的个人提供其所占有或者控制的存储在计算机系统或者介质中的数据,这将个人纳入了跨境数据取证合作主体范围。第18条第1b项则授权缔约国执法部门可以要求其境内网络服务提供者提供其所占有或者控制的非内容数据。可以说,《布达佩斯网络犯罪公约》开辟了跨境数据取证的新途径,然而其适用也面临较大的困境:一是拥有法定权限”“合法且自愿的同意的界定存在争议。《布达佩斯网络犯罪公约》的解释报告就承认,公约中的拥有法定权限”“合法且自愿的同意等表述需要结合个案场景进行具体分析,而且还难以避免一些成员国执法部门为了调取数据对网络服务提供者采取贿赂、威胁、欺骗等非法手段,这容易引发国际法甚至外交上的纷争。二是能够调取的境外电子数据范围有限。只能调取用户注册信息这样的非内容数据,而对于邮件、语音信息、文本信息等涉及隐私的内容数据还是只能通过国际刑事司法程序来收集。三是网络服务提供者的法律权利和义务缺乏明确的规定。一方面,对于网络服务提供者因披露数据违反所在国数据安全法律而遭受行政或者刑事处罚,公约并未给出较好的解决方案;另一方面,如果网络服务提供者拒不配合取证指令,也难以受到公约的规制。

鉴于此,欧盟不断优化机制,推进与网络服务提供者的自愿性合作。比如,成员国的执法部门和网络服务提供者都设置专门的联络机构、将成员国的请求形式标准化、建立在线平台等等。当然,欧盟更多的努力是推动网络服务提供者的强制性披露。2022 5 月,欧洲理事会通过《布达佩斯网络犯罪公约关于加强电子证据合作和披露的第二附加议定书》(简称《第二附加议定书》)并开启缔约国签署程序,强化执法部门与网络服务提供者及其他主体在跨境数据取证上的合作。《第二附加议定书》在第三章第二节增进与其他缔约国境内的网络服务提供者及实体机构的直接合作程序中规定,缔约国的执法部门在按规定提供相应详细信息和必要的真实性保障的情况下,可以发布具有一定安全等级的电子形式的数据披露指令,要求其他缔约国境内的网络服务提供者提供域名注册信息用户信息。如果网络服务提供者不予配合,签发数据披露指令的执法部门可以要求其说明理由,并寻求网络服务提供者所在国执法部门协商解决。需要指出的是,《第二附加议定书》对域名注册信息用户信息进行区别对待,针对用户信息的数据披露指令程序严格得多,比如缔约国在签署抑或交存批准、接纳、同意文书的时候,可以要求设置对用户信息数据披露指令的合法性审查程序、协商程序和数据披露例外,还可以对该数据类型的数据披露指令提出法律保留。另外,《第二附加议定书》在第三章第三节增进缔约国执法部门在披露计算机存储数据的国际合作程序中规定,缔约国执法部门可以请求另一缔约国的执法部门,由后者指令其境内的网络服务提供者披露用户信息通信数据,或者由被请求的执法部门直接快速披露网络服务提供者掌握的计算机存储数据

与此同时,欧盟内部又改革法律工具,强化网络服务提供者提交和保存电子数据的义务。2018 4 月,欧盟委员会推出《关于刑事案件中制定欧洲电子证据提交令与保存令条例的提案》,建立欧洲数据提交令European Production Order)和欧洲数据保存令European Preservation Order)这两项制度。欧洲数据提交令授权成员国的执法部门可以直接指令在欧盟境内开展相关业务的网络服务提供者提交电子数据,无论该电子数据是否存储在欧盟境内。欧洲数据提交令要求响应的时间期限是10天,甚至在紧急情况下可以要求6天内响应。而根据欧洲数据保存令,成员国的执法部门可以指令在欧盟境内开展相关业务的网络服务提供者对特定数据予以保存,以便后续可以通过国际刑事司法程序、欧洲数据提交令等获取相应电子数据。这两项制度的接受者不仅限于欧盟境内的网络服务提供者,只要与欧盟存在实质联系即可作为指令的对象,具体的判断标准是:是否在欧盟成员国境内建立了分支机构,或者有大量用户属于欧盟成员国公民,或者该网络服务提供者的活动目的针对一个或多个欧盟成员国等。如果网络服务提供者无正当理由拒不遵从欧洲数据提交令欧洲数据保存令,则可能会导致制裁或者强制执行,不过制裁和强制执行的实施主体和程序尚未明确。

(二)美国在跨境数据取证公私合作上的探索

美国在数据取证中一直比较注重公私合作,早在1986 年出台的《存储通信法案》(Stored Communications Act)就授权美国执法部门,在取得法院的令状后,可以要求网络服务提供者披露用户或者信息订阅者的内容数据和非内容数据。然而,该法案并没有指明披露范围是否包括存储在境外的数据。这项立法缺失导致的分歧在微软爱尔兰案中表现得尤为突出,该诉讼历经4年半,一直打到美国最高法院。实际上,美国一直在进行相关立法的探索。20167月,美国司法部拟定了《允许为打击包括恐怖主义在内的严重犯罪而安全和保密地交换电子数据的立法》,尝试通过签署协议避开双方执法部门的国际刑事司法协助程序,直接向境外网络服务提供者取证。20177月,美国议会准备制定《国际通信隐私法》,允许执法部门在外国政府预先收到通知且没有提出反对意见的情况下,通过法院的令状强制要求跨境网络服务提供者披露相应的境外数据。不过,这几次探索都未得到实质推进,直到20183月,美国正式出台《澄清域外合法使用数据法案》(CLOUD 法案),通过网络服务提供者收集储存在境外的电子数据才得到普遍的认可。

根据CLOUD 法案,美国执法部门可以向受美国法管辖的网络服务提供者发出数据披露指令,后者除了例外情况,必须披露其占有(possession)、监管(custody)或控制(control)的电子数据,而不论该电子数据是否存储在美国境内。需要注意的是,受美国法管辖的网络服务提供者不仅包括在美国注册的公司、总部在美国的公司、美国人拥有的公司,还包括在美国境内运营的外国公司,甚至还可能包括在美国境外运营但向其境内提供业务或者服务的外国公司。美国是否对某个公司拥有属人管辖权,取决于在个案中对该公司与美国存在联系的属性、量和质的综合考查。考查的因素包括网络服务平台的功能和运营模式、针对美国客户的促销、通过网络服务平台进行的业务招揽、美国客户实际情况等。如果网络服务提供者拒绝执行跨境数据取证的指令,则根据美国法典可能构成藐视法律罪。虽然为了缓和与数据存储地国家的数据主权冲突,CLOUD 法案设置了例外条款,即网络服务提供者如果能够证明用户或者信息订阅者并非美国人且未在美国居住,或者所要求的数据披露会导致网络服务提供者面临违反适格外国政府法律的实质性风险,则可以在14小时内向法院提出申请撤销或更改指令的动议。但实际上美国法院会根据案件的整体情形作出裁决,具体考虑的因素较为灵活,大概率会倾向支持美国政府的管辖权利益而否决动议。

当然,CLOUD 法案也规定适格外国政府的执法部门可以通过网络服务提供者获取美国境内的数据。但美国的这种所谓的互惠并不是绝对的,不仅对外国政府的范围进行了限制,只有所谓的适格外国政府才能享有这样的法律权利,而且对数据披露指令也设置了严格的限制性条件。适格外国政府必须是《布达佩斯网络犯罪公约》的缔约国,且其国内法须与CLOUD 法案第一、二章的要求相符合。外国政府还必须接受美国定期检查,跨境数据取证的对象也限于包括恐怖主义在内的严重犯罪的数据,不得侵犯美国言论自由,不得进行大批量数据调取。显而易见,结合《布达佩斯网络犯罪公约》缔约国要求和上述诸多条件,包括中国在内的绝大多数国家都被排除在这个范围之外,实际上也就是组建了一个包括欧盟成员国、日本、澳大利亚等少数国家的跨境数据取证小圈子。而且,通过文本的对比研究可以发现,外国政府获取美国境内数据的条件要比美国政府获取其他国家境内数据的条件苛刻得多,这也体现了美国一贯奉行的双重标准

(三)其他地区或国家在跨境数据取证公私合作上的探索

伴随着全球犯罪活动的整体数字化、网络化转型,针对涉案电子数据的跨境取证需求愈发强烈,以威斯特伐利亚体系为基础的管辖权体系难以应对全球犯罪治理的需要,其他地区和国家也都在跨境数据取证公私合作上积极探索。由于《布达佩斯网络犯罪公约》在民主性、代表性和有效性方面的不足,阿拉伯国家除了突尼斯之外都没有加入该公约,但并没有将其作为反面进行抵制或者逃避,而是在对其进行扩展和修改的基础上制定新的公约。201012月,阿拉伯联盟成员国签署了《关于打击信息技术犯罪的阿拉伯公约》(Arab Convention on Combating Information Technology Offenses,简称《阿拉伯公约》),旨在促进阿拉伯国家在打击危害联盟安全和国家安全、利益的信息技术犯罪上的合作。该公约第28条授权执法部门可以指令网络服务提供者执行用户追踪信息的快速收集任务。同时,第22条还明确了网络服务提供者参与合作取证的义务和保密要求。除了阿拉伯国家联盟框架下的《阿拉伯公约》外,海湾阿拉伯国家还通过伊斯兰合作组织计算机应急响应小组(Organisation of the Islamic CooperationComputer Emergency Response Teams)、国际电联阿拉伯区域网络安全中心(ITU Arab Regional Cyber Security Center)等组织搭建跨境数据取证的公私合作平台。在非洲,20146月通过的《非洲联盟网络安全和个人数据保护公约》(African Union Convention on Cyber Security and Personal Data Protection,简称《马拉博公约》)也确立了跨境数据取证公私合作的原则和程序。《马拉博公约》第26条专门规定,各缔约国均应发展公私伙伴关系,将其作为促使工业界、民间社会和学术界参与促进和加强网络安全的模式。《马拉博公约》第31条要求,缔约国应采取必要的立法措施,确保在需要提供信息时,调查法官能够要求网络服务提供者,在其技术能力范围内,利用其境内或缔约国境内的现有技术设施收集和记录计算机数据。可以看到,无论是《阿拉伯公约》,还是《马拉博公约》,都缺乏执行和保障机制,且没有落实到成员国国内法中,因此实际执行效果有限。除此之外,巴西、俄罗斯、牙买加、印度等国家也通过国内法授权执法部门与网络服务提供者合作调取境外数据,但对本国刑事数据的出境设置了严格的管制措施。总之,各国需要在国际法层面形成一致立场,才能破解跨境数据取证公私合作中不平衡的困境。

(四)我国在跨境数据取证公私合作上的探索

目前,我国已经充分关注到电信网络诈骗犯罪、跨境赌博犯罪等犯罪的数字化、全球化特征,并认识到传统国际刑事司法协助制度的局限性,于是积极探索跨境数据取证的公私合作。我国2016 9月发布的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》和20192月发布的《公安机关办理刑事案件电子数据取证规则》,初步构建了包括网络在线提取”“对远程计算机信息系统进行网络远程勘验”“采取技术侦查进行网络远程勘验等三个侦查手段的数据取证体系。虽然关于侦查机关权限和提取电子数据地域范围的规范在不断调整,但均没有否定与网络服务提供者进行合作的取证方式。20229月,全国人大常委会通过《反电信网络诈骗法》,明确要求电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者等私主体,在信息交流、调查取证、侦查抓捕、追赃挽损等方面与执法部门合作,共同打击遏制跨境电信网络诈骗活动。20228月,最高人民法院、最高人民检察院、公安部联合印发《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》,其中第14条授权公安机关向网络服务提供者调取电子数据。在该规定中,合作主体没有排除境外网络服务提供者,取证范围也没有仅限于境内的电子数据。202010月,最高人民法院、最高人民检察院、公安部联合印发《关于办理跨境赌博犯罪案件若干问题的意见》,参照刑事诉讼法解释对境外证据的收集、提取程序作了规定,即对于境外的包括电子数据在内的所有证据材料,无论来自公主体抑或私主体,只要能够证明案件事实且符合刑事诉讼法及相关规定,经有关部门查证属实便可以作为定案的根据。

实际上,在侦查实务中,我国侦查机关通过与网络服务提供者合作进行跨境数据取证的案例屡见不鲜。有学者对跨境数据取证案例进行分析后发现,近50%的案件存在侦查机关与境外网络服务提供者合作的情况,主要是通过输入犯罪嫌疑人提供的账号和密码进入位于境外的网站服务器并提取电子数据。由于现阶段我国具有电子数据取证能力的警力存在不足,面对日益增长的网络犯罪显得有些应接不暇,于是配侦公司应运而生。有一些配侦公司专门从事远洋捕捞,调取境外电子数据。虽然我国《刑事诉讼法》第128条授权侦查人员与有专门知识的人合作进行勘验、检查,但配侦公司是否可以视为有专门知识的人,是否可以从事勘验、检查之外的侦查活动,都还存在疑问。总之,我国跨境数据取证公私合作是由侦查机关实践需要驱动发展的,没有在国内法上进行系统性设计,也缺乏国际法的依据,需要在统筹国内法治和涉外法治的基础上给予立法回应。


二、跨境数据取证公私合作与国际法的变革

跨境数据取证中的公私合作,作为数字时代自创生的新模式,在取证的理念、主体、行为等方面发生了根本性转变,意味着国家垄断取证时代的结束,预示着国际社会合作承担犯罪治理任务新时代的来临。通过梳理可以发现,公私合作是被证明行之有效的跨境数据取证方式,但如果缺少国际法的基础,容易引发数据输出国与输入国之间的冲突。根据国际法原则,除了属地管辖之外,还有属人管辖、保护管辖、普遍管辖等,这意味着主权国家可以依据本国实体法对发生在其他国家境内的犯罪行使立法管辖权,但是原则上不能依据本国程序法在其他国家境内行使执法管辖权。易言之,可以将发生在其他国家境内的犯罪活动纳入本国刑法体系的管辖范围,但若非依据国际公约和双边司法协助条约,不能跨越地域边界线直接到其他国家境内开展调查取证活动。由此可以看出,执法管辖权比立法管辖权的地域性更强,因此跨境数据取证公私合作的主要突破点就是执法管辖权的地域限制,这需要在国际法层面达成一致立场。

另外,在跨境数据取证的公私合作中,全球犯罪治理跳出了以国家为中心的科层制框架,取而代之的是执法部门、网络服务提供者、被追诉人、被害人、公众等相互交织的网状治理结构。在这个去中心化、去地域化的网状治理结构中,公主体和私主体均构成网络中的节点,相互耦合并共同作用于全球犯罪治理。根据节点治理理论,网状治理结构中各个节点治理犯罪的权力与义务并非由科层制的地位决定,而是取决于其治理能力,包括信息资源的占有能力和控制能力。在数字时代,执法部门进行跨境数据取证不仅成本高而且效率低,网络服务提供者具有平台和技术优势,既不可避免也不可推卸地肩负着对犯罪数据进行保存、监控、报告的责任和义务。而且,从民法角度讲,执法部门、被害人、公众均为网络服务提供者的用户,参与犯罪治理、维护网络安全秩序,也是网络服务提供者应当履行的社会责任。当然,在跨境数据取证公私合作中,执法部门与私主体之间既存在着合作关系,又存在着相互监督的关系。无论是执法部门过度采集境外数据侵犯其他国家公民权益的行为,还是私主体利用公权力追逐私人利益的权力寻租行为,均需要国际法上的救济机制来规制。

总之,跨境数据取证公私合作是自创生的一种新型的国际法行为,各个国家在国内法范畴内自说自话难以跳出零和博弈的怪圈,需要在国际法层面达成一致立场,并在此基础上明确合作行为的主体资格、行为范式和救济机制。但现有理论研究仍存在盲点,突出表现在未能深入剖析跨境数据取证公私合作中涉及到的复杂关系,没有将全球犯罪治理作为一个运作封闭性的系统进行整体思考,在法理上难以自洽。德国学者尼可拉斯·卢曼、贡塔·托依布纳等构建的系统论法学阐释了承担稳定规范性预期功能,兼具运作封闭性认知开放性,与社会共生演化的自创生法律系统,为剖析跨境数据取证提供了新视角。下面,根据系统论法学理论,尝试分析跨境数据取证公私合作的关系,探讨国际法层面执法管辖权、主体资格、行为范式和救济机制的变革。

(一)传统国际法观念的变革

不同于以往的管辖权冲突说,系统论法学主张法律系统统一说,能够更好地解释跨境数据取证公私合作的法理依据和运行原理。根据系统论法学,法律系统兼具规范封闭性认知开放性,两者统一于程序形式如果……那么……”规范封闭性意味着各国法律是自主的”“封闭的,而认知开放性则意味着各国法律都是不自足的,只要满足对方法律中关于如果……”的条件,就可以间接适用对方法律中如果……那么……”的具体规定。易言之,国家之间以打击犯罪为共同目标的法律沟通,将法律系统的认知开放性拓展至国际社会,一定程度上消解跨境数据取证中执法管辖权的冲突。执法管辖权是主权的重要内容,而主权是一个国家在其领土范围内完全的、排他的权力。具体体现到数据领域就是数据主权,包括国家对本国数据的最高管辖权、独立自主权和对外合作权。也就是说,国家有权在特定地域范围内排除外部干预,当取证行为延伸至其他国家境内时,必须进行法律沟通。这种法律沟通可以建立在国际规则上,也可以根据国际礼让原则来实现。比如,一般的跨境数据取证都需要通过国际公约、双边刑事司法条约规定的外交途径,或者通过国际刑警组织、国际警务合作机制来开展。而跨境数据取证的公私合作回避了传统的强地域性执法管辖,将数据的地域性转换为数据控制者——网络服务提供者的地域性。易言之,跨境数据取证从对数据的属地管辖,转换为对网络服务提供者的属人管辖,网络服务提供者成为法律沟通的连接点。执法部门不再为数据的地理疆域所限制,只要满足对方法律中关于如果……”的条件,即属人管辖条件,就可以间接适用对方法律中如果……那么……”的具体规定,通过网络服务提供者对境外数据取证。

由此可以看出,在数字社会背景下,传统国际法观念迎来深刻变革。德国学者哈贝马斯在关于全球化的论述中提出,随着全球在经济和数字上相互联系,法律和政治也以松散的国际社会的形式相互联系,在此过程中世界社会逐步出现。作为核心倡导者,尼可拉斯·卢曼在《社会学启蒙》中重新以系统论阐释世界社会的内涵,提出世界是所有社会事件的综合,现代社会都是从自身结构和内部动力出发放眼世界的,通过沟通连接为整体世界社会。尼可拉斯·卢曼认为,世界是系统环境的统一,他用系统环境之间的区别代替传统的主体客体之间的区别。世界社会代表系统环境差异的统一,每一个系统/社会差异都建构自己的世界。以民族国家作为分析国际法起点的观念已经过时,现代社会是一个具有演化性的世界社会,国际法观念要朝着超越地区、国家限制的方向发展。具体到跨境数据取证领域,数据输出国与数据输入国并非对立的零和博弈关系,公私合作与洞见丰富的世界社会理念在国际法层面具有一致性。

世界社会视域下,尊重数据主权是跨境数据取证的前提,但这并不排斥在此基础上开展与数据控制者的合作。传统国际法观念适用于有形物,能够明确其地域,因此有清晰的疆域边界。而跨境数据取证的对象是无形的数据,需要创新数据主权的观念。实际上,数据只有流动才能实现其价值,数据主权只有放置在国际合作的语境中才有其现实意义。世界社会应当尊重每一个国家的数据主权,并让其平等地参与到跨境数据取证公私合作规则的构建中来,共同促进全球犯罪治理。

(二)传统国际法主体论的变革

自创生功能契合全球犯罪治理的开放体系,从空间结构和时间结构构建的尼古拉斯·卢曼的系统论法学对全球犯罪治理体系中的国际行为体多元化、民族国家解构等现象可以作出富有解释力的分析。系统论法学批判了新康德主义的规范与事实二元结构,提出系统性社会体制的生态维度,强调全球法律系统的自主性主体与环境的沟通过程。随着国际社会功能的不断延伸,功能冲突反而促进公主体和私主体形成新的共存模式。国际法上的公主体与私主体互惠关系跨越国界延伸,呈现出更多交互形态,而围绕民族国家建立的国际社会架构逐渐式微。无论根据公法意义还是私法意义上的法律叙事,任何子系统均自成主体,形成多中心的系统扩展和复合多元结构。公主体和私主体都是尼古拉斯·卢曼所指的全球法律系统的自主性主体,呈现出复合自主动态系统的多中心矩阵结构,以多元维度和互动方式共同构建国际规范体系,涉及复杂的公私合作、交叉共识、主体赋权等问题。

传统国际法主张国际事务由民族国家垄断,私主体无法染指超越个人事务范畴的国际事务。而跨境数据取证公私合作主要依赖的不是主权国家的执法部门,而是控制着数据的网络服务提供者等私主体。传统国际法为在主权国家授权下与其他国家开展跨境数据取证合作的公主体行为提供了法律依据,但无法解释大量未经主权国家同意却事实上合作开展跨境数据取证的私主体行为。国际法主体的扩张,是传统国家中心主义国际法观向现代人本主义国际法观转变的重要体现。这种转变不是弱化主权,而是丰富主权的内涵,是将主权置于全球治理体系中更加理性和有效的地位,同时也更加关注私主体的权益。人工智能、大数据等新兴技术不断重塑全球犯罪治理体系的结构,科层制治理逐渐让位于网络化的节点治理。网络服务提供者、社会组织、公众等私主体的信息资源和对新技术的敏感度均优于执法部门,不可避免地成为全球犯罪治理的重要主体。跨境数据取证的单方模式受限于国家——被追诉人二元范式抑或国家——被追诉人——被害人三元范式,过度依赖国家执法部门,不仅效率较低而且缺乏对社会的治理和修复功能。在数字化和全球化时代,需要突破这种封闭的刑事司法结构,从二元范式向多元治理范式转变,将网络服务提供者、社会组织、公众等私主体纳入刑事司法体系,通过认知、技术、资源和制度的交互式协同,共同实现最优化全球犯罪治理。

(三)传统国际法行为的变革

国际法的本质是具有法律属性的国际行为准则,也是国际制度法治化的产物。自从17世纪产生现代国际法以来,国际法律体系的运行就体现着深刻的国家本位。作为国际法发展基础的威斯特伐利亚体系以民族国家为基本单元,以民族国家之间的主权平等为核心,形成约束国家行为体行为的国际规则体系。其中一个重要的体现就是,国际法以国家行为体行为作为其发挥作用的主要方式。这彰显了国家在国际法中的主体地位,保证了国家行为体行为的主导性,但忽视了跨国企业、社会组织、公众等非国家行为主体参与国际事务、维护自身权益的诉求,一定程度上构成国际社会发展的障碍。

随着全球化的深入发展,非国家化的问题日益突出,民族国家之间难以达成一致的集体行动,非国家行为体成为新型的全球治理主体,因而威斯特伐利亚体系逐渐式微,这是国际社会系统本身选择性的客观结果。贡塔·托依布纳指出,随着国际社会分化发展,任何自治的子系统,如科学、经济、法律系统,都可能在沟通中对个人造成结构性侵权,而这些行为不属于国家行为体行为,因而难以得到国际法的规制并实现权益的救济。系统论法学借此开拓出观察和分析国际法行为的新视角,将全球治理的行为主体从国家转变为覆盖各社会阶层的新权威,不同主体在复杂体系中以共识为基础构建效能更加突出的治理机制。全球治理体系依然维持民族国家的主导地位,但突破了国家中心主义,形成了公主体与私主体共同治理的多元中心治理空间。尽管国家本位是现代国际法的现实境况,但要积极面对数字时代的挑战,从公主体与私主体的合作入手,改造全球治理的制度体系。

尼可拉斯·卢曼认为,社会系统总是处在复杂环境之中,因此法律系统必须做好足够多的替代准备以应对不断变化的外界环境。根据卢曼的系统/环境理论,系统是自我指涉,系统之外的都是环境,也就是异己指涉。换言之,需要根据合法/非法二值代码,借助法律沟通消除双重偶联性难题,实现跨境数据取证系统的自创生。传统的国际刑事司法协助是典型的国家间行为,属于国际公法行为。跨境数据取证的公私合作,无论是行为主体、方式还是内容,均与一般国际公法行为不同,需要重新界定其性质并明确其地位。网络服务提供者代为勘验、勘查以及提取电子数据,需要遵循何种程序,是否有拒绝或者选择行为方式的自由,都需要纳入国际法的规制范围。传统的国际法行为注重型式化构建,创造了稳定的、制度化的型式。而跨境数据取证的公私合作绝大部分是自律行为或者合意行为,更多关注行为方式的商谈反思

(四)传统国际法救济论的变革

系统论法学认为,在结构层次上,法律系统主要包括代码、纲要、程序三种结构。任何外部环境信息只有经过合法/非法二值代码处理后才能转化为法律系统内部的信息,只有通过如果……那么……”的条件纲要才能实现对外部环境的有限认知开放,而程序则发挥着正当化司法判决的作用。法律系统在程序进行时处于不确定状态,诉讼各方以竞争的方式参与进来,只有在程序终结时才作出被视为正当结果的判决,因此司法程序被认为是法律系统的核心。然而从系统论法学视角观察,跨境数据取证系统的司法程序存在缺失,规范性预期功能还十分孱弱。跨境数据取证公私合作的本质是将侦查任务下移给网络服务提供者,这不仅涉及国家与国家之间的利益冲突、国家与网络服务提供者之间的利益冲突,还涉及网络服务提供者与用户之间的利益冲突。调适这些利益冲突,需要完善救济机制和强制执行力保障,而这些都是目前国际法所欠缺的。从功能上讲,法律系统只有发挥稳定规范性预期的独特功能,即面临预期失落时采取不学习的反事实性态度而坚持规范上的预期,才能从全社会系统中独立出来,并在功能和结构层面开展既封闭又开放的自创生运行。而在跨境数据取证中如果缺少救济机制,出现弹性过大、刚性不足的现象,使国际社会对该法律系统的运行失去信任,则会导致该法律系统运作封闭不足且认知开放弥散而最终失灵。

系统论法学认为,法律体系只有内部具有与社会环境相匹配的复杂性,才能够化简不断增长的社会环境复杂性,否则无法有效解决社会中的复杂问题。在数字化时代,社会变迁的方向是复杂性增长,而如果法律系统的演化方向是确定的,即不增加内部复杂性,则法律系统与其他社会系统难以通过结构耦合机制形成共振关系,会因此失去均衡并被环境压力所击溃。从复杂性化简能力的维度来检视国际法的救济机制,可以观察到现有机制在应对公私合作行为时显得过于简单。就国际法上的权利救济的渠道而言,是国家责任还是私人责任,是公法救济路径还是私法救济路径,两者泾渭分明,且难以共存。然而跨境数据取证中的合作实质上属于治理型公私合作,是国际法主体基于合作治理理念对跨国犯罪进行治理而形成的数据取证合作关系、合作模式及合作体制。对此,全球治理机制中的司法审查应该鼓励公私合作,并保护网络服务提供者及用户的权利,制约这种安排可能产生的各种侵权风险。秉承全球治理的精神,跨境数据取证中的公私合作不仅促进犯罪治理主体的多元化、权力的合作性、行为性质的复合性,而且要求改变公法救济与私法救济分立的局面,实现国家责任与私人责任的融合。


三、以《联合国打击网络犯罪公约》为契机实现公私合作的制度嵌入

跨境数据取证中的公私合作这种自创生的新模式,无论是对国际法理念还是具体制度均构成了巨大的挑战,而《联合国打击网络犯罪公约》的制定为这种变革和回应性立法带来了契机。中国和俄罗斯是《联合国打击网络犯罪公约》的主要发起者和推动者。早在20119月,中国、俄罗斯等上合组织成员就向第六十六届联合国大会提交了《信息安全国际行为准则(草案)》,积极推动信息和网络空间国际规则的制定,倡导在联合国框架下制定一部内容更趋全面平衡的网络犯罪公约。201111月开始,联合国预防犯罪和刑事司法委员会成立专家组对包括跨境数据取证公私合作在内的诸多议题进行深入系统论证。2013 2月,联合国毒品和犯罪问题办公室发布《网络犯罪问题综合研究报告(草案)》,提出在全球网络犯罪治理中,网络服务提供者的配合和支持至关重要,因此未来制定网络犯罪公约要强化与网络服务提供者的合作。201710月,俄罗斯向第72届联合国大会提交了《合作打击信息犯罪公约(草案)》,其中在第二章第二节执法部分就包括了跨境数据取证的程序规定。201912月,第74届联合国大会通过247号决议,成立一个代表所有区域的不限成员名额的特委会,正式启动谈判制定《联合国打击网络犯罪公约》,这是自互联网诞生以来联合国首次主持网络问题国际公约谈判。之后,众多国际组织和国家纷纷提出案文草案或者意见建议。20224月,在特委会第二次会议召开前,中国、俄罗斯、白俄罗斯、尼加拉瓜等国家联合提交了系统的《联合国打击网络犯罪公约》案文建议稿,基本认可了之前俄罗斯案文草案中关于跨境数据取证的规定。此外,美国、巴西、哥伦比亚、马来西亚、牙买加等国家也提交了系统的案文建议稿,均包括跨境数据取证公私合作的内容。重视和支持与网络服务提供者的合作,已经成为《联合国打击网络犯罪公约》制定历程中的关键词,这也成为了全球网络犯罪治理的初步共识,网络服务提供者掌握、控制着大量数据,已经成为关键的执法参与者,国际社会有必要统一规范,探索跨境数据取证公私合作新模式,协调各国跨境数据取证活动,提升全球网络犯罪治理整体能力20234月,特委会第五次会议前,基本形成了《联合国打击网络犯罪公约》案文草案的整体文本,在程序措施和执法章节中包含了私主体参与跨境数据取证的措施,同时也在国际合作章节中强调跨境数据取证的公私合作。2024 2 月,特委会原计划举行闭幕会议,原计划对公约草案案文进行最终修订并提交给联合国大会表决,但未能就公约草案案文达成一致,于是决定举行总结会议续会,以期尽快能够向联合国大会提交公约草案。

《联合国打击网络犯罪公约》为构建跨境数据取证公私合作新规则提供了契机,其相关内容应当充分考虑新的国际法观念、国际法主体、国际法行为和国际法救济机制,引导各个国家和地区创新跨境数据取证公私合作机制,促进治理网络犯罪公私合作新秩序的建立。我国在20209月发布的《全球数据安全倡议》、20213月发布的《中阿数据安全合作倡议》以及20226月发布的《中国+中亚五国数据安全合作倡议》中,均强调国家主权、司法管辖权和对数据的安全管理权,对绕开国际刑事司法程序而直接跨境数据取证持谨慎态度。因此,我国提交的《联合国打击网络犯罪公约》草案案文也秉持了相同的立场。不过,在推动缔结公约的谈判过程中,我国对于跨境数据取证公私合作的态度作出了调整。20222月,我国与俄罗斯发布联合声明,重申支持并推动在联合国框架下谈判制定打击网络犯罪公约。从20224月中俄等国家提交的草案案文看,其中明确写入了针对用户数据提交令条款,可以说我国的基本立场没有变化,仍然优先倾向于国际刑事司法协助程序和国际执法合作,但也支持跨境数据取证的公私合作。实际上,如前所论证,基于数据主权的相对性和发展性,网络空间的跨境数据取证并不必然与他国数据主权相冲突,全盘否定或者笼统接受跨境数据取证公私合作均不可取,关键在于合理设置国际法观念、国际法主体、国际法行为和国际法救济机制。因此,在《联合国打击网络犯罪公约》中规定跨境数据取证公私合作已经成为普遍共识的情况下,应当主动提出中国方案。

(一)公私合作理念的嵌入

虽然20242月特委会总结会议讨论的《联合国打击网络犯罪公约》案文草案序言9款已经规定,铭记预防和打击网络犯罪是所有国家的责任,各国在这一领域的努力要取得成效,必须在相关国际和区域组织以及非政府组织、民间社会组织、学术机构和私营部门的支持和参与下相互合作,但还需要进一步明确提出公私合作的理念及其适用范围。同时,鉴于在公约谈判过程中大多数国家基于网络和信息技术的特殊性,支持为打击网络犯罪确定符合全球治理理念的执法管辖权规则,因此可以为跨境数据取证公私合作设置指导性规则。当然,由于各个缔约国对数据主权有不同的理解和主张,而且各国国内法关于刑事数据出境的审查和管制制度存在较大差异,这就需要既提出跨境数据取证公私合作的一般原则,又尽可能尊重不同缔约国的个性化要求。简言之,在赋予跨境数据取证公私合作强制适用效力的同时,也应当给予缔约国一定的程序选择权。一方面,可以设置跨境数据取证公私合作的例外条款,授权缔约国对跨境数据取证公私合作的数据类型、适用案件范围等作出限定;另一方面,可以为缔约国提供法律保留权利,更大程度地尊重缔约国适用跨境数据取证公私合作有关条款的自主选择权。

(二)跨境数据取证主体的发展

《联合国打击网络犯罪公约》案文草案第四章程序措施和执法27提交令规定,各缔约国均应采取必要的立法措施和其他措施,授权本国主管机关下令:(a)本国领域内的某人提交其所拥有或控制的存储在信息和通信技术系统或电子数据存储介质中的指定电子数据;以及(b)在本缔约国领域内提供服务的服务提供者提交其所拥有或控制的与此类服务有关的订户信息。提交令条款基本沿袭了《布达佩斯网络犯罪公约》第18条的规定,然而后者经《第二附加议定书》修正,又增加了其他实体机构。实际上,《联合国打击网络犯罪公约》没有必要自我设限,非政府组织、社会组织、学术机构、企业、社会公众等主体,只要掌握或者控制着数据资源,具有履行全球网络犯罪治理的国际法责任和义务,就可以成为跨境数据取证的主体。在数字时代,国际社会围绕跨境数据流动形成网状结构,全球网络犯罪治理与一般社会治理的边界趋于模糊,基于构建人类命运共同体的需求,跨境数据取证从科层式治理模式转向网络化的节点治理模式,跨境数据取证主体的判断标准核心仅在于对数据的占有和控制能力。另外,《联合国打击网络犯罪公约》也不应当囿于传统国际刑事司法协助体系,必须尊重跨境数据取证公私合作中私主体的法律地位,明确其权利与义务。

(三)跨境数据取证行为的多元化

《联合国打击网络犯罪公约》案文草案对跨境数据取证行为的设计较为简陋,但从各国司法自创生的实践看,跨境数据取证公私合作的行为型式多元,而且常常呈现动态变化的态势,并在动态变化过程中不断基于相关利益的平衡进行调整。传统的国际法行为注重型式化构建,创造了稳定的、制度化的型式。跨境数据取证的公私合作绝大部分是自律行为或者合意行为,更多关注行为方式的商谈反思。因此,这些多元化的、没有固定型式的非类型化公私合作行为应当被《联合国打击网络犯罪公约》吸纳。比如,执法部门与网络服务提供者签订的公私合作协议、公私合作搭建的网络信息同享平台、网络服务提供者实施的线上风控和接收用户投诉、信息披露与报告等。

而且,《联合国打击网络犯罪公约》案文草案应当采取更加精细化的制度设计,在数据分类分级的基础上,设置不同类别和层级的跨境数据取证行为程序模式。但从《联合国打击网络犯罪公约》现有的第27条表述看,跨境数据取证公私合作仅能适用于订户信息,而将第一章总则中的流量数据内容数据排除在外,且只有对跨境数据取证进行分类处理的规定,缺乏数据分级的制度安排。因此,可以在《联合国打击网络犯罪公约》已有数据分类的基础上,将数据进一步划分为国家核心数据”“重要数据”“一般数据三个级别。从数据分类和分级两个维度进行比较,针对订户信息”“流量数据”“内容数据一般数据”“重要数据”“国家核心数据,设置由弱逐类逐级趋强的数据出境保护机制,同时也设置由弱逐类逐级趋严的跨境数据取证行为程序模式。于是,可以授权缔约国基于数据主权和数据安全的考虑,针对不同类别和层级的数据,提出不同跨境数据取证公私合作行为型式的主张,这也有利于《联合国打击网络犯罪公约》在最大程度上取得缔约国的共识。

(四)跨境数据取证救济论的补充

《联合国打击网络犯罪公约》案文草案很重视对主权、人权、个人数据和隐私权的保护,在序言12款,第一章总则4条、第5条,第五章国际合作36条,均作了宣誓式的规定,但缺少具有强制执行力的关于跨境数据取证权利保障的救济机制。跨境数据取证公私合作行为的本质是将侦查取证的公权力转移给网络服务提供者等私主体,这不仅可能引起国家与国家之间的利益冲突,还涉及国家与网络服务提供者、网络服务提供者与用户之间的权利纠纷。调适这些利益冲突与权利纠纷,需要建立融合公法救济和私法救济的机制。因此,可以在《联合国打击网络犯罪公约》第六章后设置救济机制专章。在跨境数据取证公私合作中,取证主体多元、公私行为性质交错,难以满足传统国际法救济机制的条件要求,需要协同公法和私法救济机制。特别是对于多元化的、没有固定型式的非类型化公私合作行为,可以赋予当事方自主选择公法救济机制抑或私法救济机制的权利。即便在对公私合作行为总体上施行公法救济时,也应该考虑私权的保护和向私法救济机制的可转换性。而且,司法救济体系之外的私人调解、自我协商、网络信息平台申诉等自我救济路径,也可以成为跨境数据取证公私合作救济机制的一部分。与此同时,还可以与《经济、社会及文化权利国际公约》等国际规则相衔接,设置集体及个人权利申诉机制。


结语

2024 2 月,特委会原计划举行闭幕会议,对公约草案案文进行最终修订并提交给联合国大会表决,但未能就公约草案案文达成一致,于是决定举行总结会议续会,以期能够尽快向联合国大会提交公约草案。虽然跨境数据取证公私合作条款已经写入《联合国打击网络犯罪公约》案文草案,但最终案文的条款内容如何设置,是否能够在联合国大会获得表决通过,均存在较大变数。习近平主席提出全球安全倡议,强调共同、综合、合作、可持续的安全观。中国作为《联合国打击网络犯罪公约》的主要发起者和推动者,应当积极参与公约制定,发出中国声音,贡献中国智慧,提出中国方案,促进跨境数据取证公私合作新秩序的建立。

不同于以往学界着眼于以国家为中心,从数据主权冲突、跨境数据取证的攻与防、国内刑事司法制度调适等角度,应对数据的弱地域性与刑事执法管辖权的强地域性之间的矛盾,跨境数据取证公私合作新规则的建构,秉承公私合作的理念,以公私合作化解数据主权冲突,在发展中维护安全,实现法律原则、治理模式、价值理性上的变革。数据只有流动才能实现其价值,数据主权只有放置在国际合作的语境中才有其现实意义。从全球治理视角看,网络服务提供者等私主体也能成为跨境数据取证的主体,那些多元化的没有固定类型的公私合作行为应当被《联合国打击网络犯罪公约》吸纳,而且需要改变公法救济与私法救济分立的局面,实现公法私法救济机制的协同融合。基于数据主权的相对性和发展性,跨境数据取证并不必然与他国数据主权相冲突,关键在于在以联合国为核心的国际体系和以国际法为基础的国际秩序下,坚决维护各国正当权益,推动全球犯罪治理向着更加公正合理的方向发展。


因篇幅限制,已省略注释及参考文献。原文详见《河北法学》2024年第8期。



地址:河北省石家庄市友谊北大街569号

Copyright© 2004-2005 All Rights Reserved 冀ICP备11009298号