APP下载

网络空间中的司法管辖权冲突与解决方案

2021-05-04吴琦

西南政法大学学报 2021年1期

吴琦

摘 要:互联网技术的去领土化极大程度地撼动了国家的司法管辖权。互联网内容层与物理层的分离使网络空间中各国的司法辖域脱离了国家地理边界,变得模糊不清。数据的流动性、分散性以及其存储地与访问地、用户所在地之间的不相关性对领土主权的行使造成困扰,国家在刑事侦查与刑事诉讼中的数据跨境获取受阻。部分国家率先开启立法实践,却因法律的域外效力挑起国家间的管辖权冲突。面对“属地管辖”与“域外管辖”间的困境、网络服务提供者“国籍管辖”困难、国际礼让司法适用受阻的现状,传统理论在网络空间司法管辖权问题上亟须创新:明确国家对境内一切人的属地最高权;在此基础上,认可主权国家在实际联系原则限制下对别国网络服务提供者的域外管辖。

关键词:司法管辖权;网络空间主权;领土主权;域外管辖;电子证据跨境获取

中图分类号:DF972文献标志码:ADOI:10.3969/j.issn.1008-4355.2021.01.05 开放科学(资源服务)标识码(OSID):

引言

主权国家在网络空间治理中重要性的突显很大程度源于20世纪90年代的互联网商业化。至此,网络空间不再是独立于政府管制的自由空间。一方面,互联网打破地域屏障使原本被隔离保护的文化传统受到空前的威胁,①各民族国家有权自主决定其对外来文化的接受程度。另一方面,商业化的日益繁荣使传统社会中的各类主体纷纷入驻网络空间,越来越多的人栖身于网络社区之中,线上、线下行为的交织一体甚至让人混淆了虚拟与现实。同时,网络空间的行为对物理世界产生了溢出效果:网络数据的泄露与滥用、网络犯罪行为层出不穷以及互联网黑灰产业的野蛮生长等现象都严重危及国家安全与公共秩序。在这一背景下,政府力量与规制延伸至网络空间,适用于现实世界的规则开始同样作用于虚拟空间。参见[美]凯斯·桑斯坦:《网络共和国:网络社会中的民主问题》,黄维明译,上海人民出版社2003年版,第93页;Timothy S. Wu, Cyberspace Sovereignty?-The Internet and the International System, 10 Harvard Journal of Law & Technology 647, 647-666 (1997); Eric Talbot Jensen, Cyber Sovereignty: The Way Ahead, 50 Texas International Law Journal 275, 275-304 (2015).早期互聯网乌托邦主义者怀抱的“网络空间独立”[美]约翰·P·巴洛:《网络独立宣言》,李旭、李小武译,载高鸿钧主编:《清华法治论衡》(第四辑),清华大学出版社2004年版,第509页。理想终究幻灭,国家控制回归网络空间。

虽然主权国家掌握了网络空间的控制权,但互联网技术的去领土化空前地撼动着领土主权。从国际法角度看,首先,网络空间中各国的司法辖域脱离于领土边界,变得模糊不清。在网络环境中,不同国家对“国内事务”与“国际事务”的判定存在分歧,某国法律或司法裁判为全球网民遵守的情形时有发生。其次,数据的跨境流动导致部分国家管辖权扩张,引发“域外管辖”与“属地管辖”之间的冲突。电子数据作为互联网的荷载,其流动性、分散性以及存储地与访问地、用户所在地之间的不相关性等特质均对属地管辖造成困扰,电子证据的跨境获取受到巨大阻力,传统国际管辖规则面临挑战。可见,探究网络空间中各国司法辖域应如何划分、主权理论应如何创新适用于国际管辖,具有重大意义:对内是保障国家安全、公民个人权利,促进社会经济发展的基础;对外是维护国家权利、平等参与全球互联网相关事务、积极促成相关谈判与合作的前提。

一、网络空间中的司法管辖权冲突

国际法一直致力于解决国家间因法律制度差异而导致的利益冲突。网络技术对国家地域疆界的突破使网络空间成为法律冲突的第三发源地。网络空间自下而上分别由物理层、逻辑层和内容层构成,处于逻辑层的一系列互联网协议将代码传输于物理层与内容层之间,实现了网络的全球互联。正是网络“互联互通”的特性向传统国际管辖规则提出了难题:内容层与物理层的分离使网络空间中各国的司法辖域脱离了领土边界,极具不确定性;原本属地性最强的执行管辖权在网络空间的行使异常艰难,电子证据跨境获取的需求激增却又受制于严格的属地管辖与低效的司法协助程序。

(一)网络空间司法辖域边界不清

1. 以用户地理位置识别作为划分网络空间司法辖区的技术手段

2000年伊始,各国开始参与规制互联网事务之初,著名的“法国雅虎案”开创了辅以识别用户IP地址的技术,确保司法判决在网络空间的执行范围不超出现实中的国家司法辖域。该案因法国的网络用户能够在雅虎的拍卖网站上购买到纳粹纪念品而起。

参见La Ligue Contre le Racisme et LAntisemitisme (L.I.C.R.A.) and LUnion des Etudiants Juifs de France (U.E.J.F.) v. Yahoo Inc. and Yahoo France, Interim Court Order, the County Court of Paris, November 20, 2000, 14; Yahoo Inc. v. L.I.C.R.A. and U.E.J.F., 169 F. Supp. 2d 1181 (N.D. Cal. 2001).审理过程中,雅虎主张法官仅能在法国范围内行使审判权,法国法律不能规制服务器放置于美国、受言论自由保护的雅虎。

参见Jack Goldsmith & Tim Wu, Who Controls the Internet?: Illusions of a Borderless World, Oxford University Press, 2006, p.2.雅虎还辩称其无法阻止法国人访问其网站,亦无法在其网站中实现各国法律的本土化,下架纳粹纪念品将导致法国法律的全球遵守。

参见Jack Goldsmith & Tim Wu, Who Controls the Internet?: Illusions of a Borderless World, Oxford University Press, 2006, p.5.随着庭审过程中地理信息识别技术(简称IP识别技术)“浮出水面”,雅虎被证实能够有效筛选出至少90%位于法国境内的网络用户并对他们屏蔽相应的内容。

参见Jack Goldsmith & Tim Wu, Who Controls the Internet?: Illusions of a Borderless World, Oxford University Press, 2006, p.5.最终,巴黎大审法院判决,雅虎的行为违反了法国法律,责令雅虎尽最大努力拦截法国用户,同时告诫雅虎如期履行判决,否则将处以每天10万法郎罚款。

参见Yahoo Inc. v. L.I.C.R.A. and U.E.J.F., 169 F. Supp. 2d 1181 (N.D. Cal. 2001);Jack Goldsmith & Tim Wu, Who Controls the Internet?: Illusions of a Borderless World, Oxford University Press, 2006, p.5.

同年,在一起有关知识产权的国际纠纷中,美国法院也采取了地理位置识别作为划分网络空间司法辖区的技术手段。

参见Twentieth Century Fox Film Corporation, et al., v. iCraveTV, et al., 2000 WL 255989 (W.D. Pa. 2000).该案中,加拿大电视流媒体网站iCraveTV提供加拿大和美国传统电视台流媒体互联网广播,该行为得到加拿大法律允许却违反了美国法律。基于网站45%的访问量均来自美国境内IP地址的事实,iCraveTV通过要求用户首次访问网站时输入用户所在地区的电话区号来确认用户是否在加拿大境内,但国际网络用户仍可通过输入加拿大区号来访问其网站从而绕开该限制。参见Michael A. Geist, iCraveTV and the New Rules of Internet Broadcasting, 23 University of Arkansas at Little Rock Law Review 223, 223-242 (2000).賓夕法尼亚西区联邦地区法院认为,iCraveTV对美国境内用户的侵权行为负有责任,构成对权利人相关知识产权的侵犯,要求该公司采取IP识别技术屏蔽美国境内用户对该网站的访问。

尽管因种种因素该案以和解告终,但其仍反映出当时美国确定其司法辖域的方式。参见Twentieth Century Fox Film Corporation, et al., v. iCraveTV, et al., 2000 WL 255989 (W.D. Pa. 2000).

2.以国家域名作为划分网络空间司法辖区的依据

对于网络环境下国家如何实现其领土范围内的管辖,近年来各国的司法实践不同于上述方式。2019年9月,欧盟法院对备受关注的谷歌诉法国国家信息与自由委员会(Commission Nationale de lInformatique et des Libertés,简称CNIL)的“被遗忘权案”2014年,欧盟法院通过“谷歌(西班牙)公司和谷歌公司诉西班牙资料保护局、西班牙公民冈萨雷斯”案正式确立了欧盟公民的“被遗忘权”,但对于该权利在网络空间中的行使范围,判决并未明确界定。作出最终裁判,不要求搜索引擎运营商在其所有域名的搜索结果中删除特定列表,但必须在欧盟成员国的域名下予以执行。

参见C507/17, Google LLC v. CNIL, 2019 EUR-Lex CELEX No. 62017CJ0507 (Sept. 24, 2019).审理该案的法国国务委员会(Conseil dtat)须在法国境内将判决付诸实践。诉讼期间,谷歌曾提出使用“地理拦截技术”阻止欧盟成员国的网络用户在欧盟境内访问被请求删除的链接,而CNIL坚持要求谷歌在全球范围内执行删除指令。对此,欧盟法院首先基于谷歌在法国境内的活动肯定了《数据保护指令》《通用数据保护条例》的适用。其次,考虑到互联网的全球属性以及各国在平衡被遗忘权与公众获取信息权利之间的不同做法,法院表示不能将欧盟立法强加于欧盟以外,但并未明确回应谷歌实施“地理拦截”的提议是否达到要求,只是呼吁“各国监管机构须合作以达成共识和对所有机构都具有约束力的统一决策”。

参见C507/17, Google LLC v. CNIL, 2019 EUR-Lex CELEX No. 62017CJ0507 (Sept. 24, 2019).

2017年,加拿大最高法院审理了一起关于搜索引擎链接删除的案件,同样以域名来确定司法管辖的范围。

参见Google Inc. v. Equustek Sols. Inc., 2017 SCC 34, [2017] 1 S.C.R. 824; Google LLC v. Equustek Solutions Inc., Case No. 5:17-cv-04207-EJD (November 2, 2017).该案源于加拿大网络设备生产公司Equustek Solutions(以下简称Equustek)与其前经销商Datalink Technologies Gateways(以下简称Datalink)之间的知识产权侵权诉讼。由于Datalink逃离司法辖区从未知地理位置在线开展业务持续侵权,Equustek要求谷歌在全球搜索引擎中删除有关出售Datalink产品的搜索链接,获得法院批准。

参见Google Inc. v. Equustek Sols. Inc., 2017 SCC 34, [2017] 1 S.C.R. 824.谷歌认为此举涉及言论自由问题且违反国际礼让,是司法管辖权的域外行使,进而提起上诉。加拿大最高法院以谷歌在不列颠哥伦比亚地区开展广告和搜索业务为由肯定了对谷歌的管辖权。因谷歌对Datalink的侵权行为起到协助作用,故法院要求谷歌在全球范围内执行禁令。对此法院解释道:“互联网没有边界,是全球性的自然栖息地,任何一项有效力的禁令都必然产生全球范围内的影响。”

参见Google Inc. v. Equustek Sols. Inc., 2017 SCC 34, [2017] 1 S.C.R. 824; Jack Goldsmith & Tim Wu, Who Controls the Internet? : Illusions of a Borderless World, Oxford University Press, 2006, p.2.随后,谷歌向北加利福尼亚美国地方法院提起诉讼,法院以谷歌属于美国《传播净化法案》所保护的“中立媒介”且执行加拿大法院要求的链接删除指令将危及全球互联网言论自由为依据,向谷歌颁布临时禁令以阻止该指令在美国的执行。

参见Google LLC v. Equustek Solutions Inc., Case No. 5:17-cv-04207-EJD (November 2, 2017).

从21世纪初的“法国雅虎案”到近来的“加拿大Equustek案”,国家司法管辖权在网络空间的扩张体现在两个方面:其一,对人管辖范围扩张。依据属地原则,国际民事案件通常以被告住所地为标志确定管辖权。上述案件中,法院均以网络公司在法院地开展业务活动、其特定行为在法院地产生效果为由主张管辖权。其二,以域名作为划分网络空间司法辖区的依据,导致法律域外效力明显扩张。主权国家经常通过国家域名的管理对网络信息内容实施规制。但除被拦截、禁止解析的特定域名外,身处一国境内的网络用户可以访问别国的网站以及通用域名下的网站。域名呈现出等级结构,其中,顶级域名关乎域名的最终解析与域名管理,又分为国家顶级域名和通用顶级域名。参见刘晗:《域名系统、网络主权与互联网治理——历史反思及其当代启示》,载《中外法学》2016年第2期,第525-523页;丁春燕:《互联网域名管理制度对网络言论的规制》,载《法学杂志》第2017年第1期,第123页。若仅在要求行使被遗忘权或删除链接的权利人所在国的国家域名下删除或断链特定内容,往往产生保护不足的后果,该国的网络用户变更搜索引擎版本后,仍可能检索到在该国域名下被禁止访问的信息。要求在搜索引擎的全球域名下删除、断链特定内容又会产生域外效果。可见,国家域名不宜作为划分国家间司法辖区的标准。法律具有地域性,其在网络空间表现为各国“内容审查”规则、言论自由限度的差异。基于主权平等原则,不应以全球互联网的“信息自由”对抗特定国家、地区的法律规定,也不应以特定国家、地区的法律规范规制世界范围内所有的网络用户。

(二)电子证据跨境获取的管辖权边界不明

个人数据关乎公民的个人隐私与财产权益,对海量个人数据的集合、分析等,不仅蕴藏着巨大的经济价值,还关乎国家安全、社会稳定。对数据流动的限制直接挑起跨境电子证据获取问题上的国家主权冲突。个人数据在存储上表现出分散性以及存储地与访问地、用户所在地之间的不相关性。一国国民、居民的相关数据通常并不留存在该国境内,而是处于跨境流動的状态或存储于“云空间”之中,由别国的网络服务提供者掌握,

参见Andrew Keane Woods, Litigating Data Sovereignty, 128 Yale Law Journal 328, 345 (2018).这使得严格遵守属地原则的刑事侦查、调查取证等诉讼程序变得愈发困难。关于侦查权的性质,历来有“行政权”与“司法权”之争。本文对此不作讨论,由于刑事诉讼程序中涉及司法权的行使,故在国际法层面的讨论中,本文统称为管辖权的行使。对此,部分国家已在司法实践中突破属地原则,扩张其管辖范围。由此引发网络空间管辖权边界界定以及国家间管辖权冲突协调等问题,尤其在“爱尔兰微软案”

参见United States v. Microsoft Corp., 138 S. Ct. 1186 (2018); United States v. Microsoft Corp., No. 17-2, 584 U.S. (2018). 发生后,世界范围内的探讨愈发广泛。

1.效果原则下管辖权扩张

在数据的跨境调取问题上,比利时法院以数据的访问地、接收地作为司法管辖权的判断依据,适用效果原则扩大了对人管辖的范围。2007年11月,为协助认定某公民实施的计算机诈骗犯罪行为,比利时相关部门要求雅虎公司向其公开该人的IP地址、电子邮箱地址以及其他相关信息,雅虎因拒绝提供而违反比利时《刑事诉讼法》关于“通信服务提供商提供必要信息数据”的规定,被处以高额罚金。

参见Antwerpen 20 November 2013, 2012/CO/1054 Yahoo! Inc.;Johan Vandendriessche,Case Translation: Belgium,11 Digital Evidence & Electronic Signature Law Review 137, 137-143 (2014).比利时最高法院驳回了雅虎的上诉。法院首先判定雅虎在相关法令所规范的电子通讯服务提供商之列,并进一步表示,作为“积极将其经营活动瞄准比利时消费者的经营者或提供者”,即使雅虎在比利时境内不存在实体机构,仍负有公开涉案数据的义务。

参见Cass. 18 Januari 2011, nr. P.10.1347.N;Johan Vandendriessche,Case Translation: Belgium,8 Digital Evidence & Electronic Signature Law Review 216, 216-218 (2011).法院进一步以数据的访问地与接收地均在比利时境内为由,肯定了比利时对涉案数据的管辖权。

在此之后的另一起刑事案件中,比利时检察官要求运营通信软件的网络公司Skype提供技术协助,以获取两名涉案比利时居民之间的通信数据。

参见Jennifer Daskal, Borders and Bits, 71 Vanderbilt Law Review 179, 193-194 (2018).Skype在抗辩中表示,其公司总部设立于卢森堡,比利时政府部门应当向卢森堡相关政府部门提出请求。

参见Jennifer Daskal, Borders and Bits, 71 Vanderbilt Law Review 179, 193-194 (2018).审理该案的法院则认为,即便如此,Skype积极在比利时从事商业活动并提供服务,因此相关法令对其适用。基于上述“雅虎案”的判例,该法院认为相关执法行为并未侵犯卢森堡的国家主权:“比利时执法人员未进入其他国家,且涉案数据在比利时接收,提供技术支持的行为发生于比利时境内,故执法行为并未发生在境外。”

参见Jennifer Daskal, Borders and Bits, 71 Vanderbilt Law Review 179, 193-194 (2018).

2.属地原则下管辖权行使困难

2013年12月,美国司法部为调查一起毒品走私犯罪向纽约南区联邦地方法院请求签发搜查令,要求微软公司提供某用户的电子邮件内容和其他账户信息。微软则以存有该通讯信息的服务器存放于爱尔兰都柏林为由,拒绝执行该指令。美国司法部、地方治安官以及联邦地方法院一致认为,微软公司能够在华盛顿雷德蒙德访问涉案数据,执行搜查令并非权力的域外行使。

参见United States v. Microsoft Corp., 138 S. Ct. 1186 (2018); United States v. Microsoft Corp., No. 17-2, 584 U.S. (2018).微软公司不服提起上诉,联邦第二巡回上诉法院于2016年7月判决称,基于国际礼让原则,应在跨境刑事偵查中限制搜查令的域外适用。搜查位于美国境外的通信内容,须依据《司法协助条约》向数据所在地的外国政府请求司法协助。

参见Microsoft Corp. v. United States, 855 F.3d 53 (2d Cir. 2017) ;2017年6月,美国司法部将该案提交至联邦最高法院,联邦最高法院授予复审令并听取了双方的口头陈述,但最终该案因《澄清合法使用境外数据法案》(Clarifying Lawful Overseas Use of Data Act,以下简称CLOUD法案)的颁布而解决。

综上,相较美国联邦第二巡回上诉法院的判决,比利时的司法实践为服务提供者、被请求的数据均不在一国境内情形下行使管辖权提供了可能。此举有助于司法效率的提升,但极可能构成对其他国家领土主权的挑衅。属地原则下的数据跨境获取存在重重障碍,最为关键的,是其极大削弱了主管部门获取电子证据的能力从而严重影响司法效率。即使相关部门理由正当,调查对象在美国境内并且落入该国的管辖范围之内,该规则仍要求执法部门通过司法互助协议以外交请求手段获取相关网络数据。这一过程不仅耗时过长,而且忽略了数据获取的及时性特征。另外,若政府部门无法确定数据存储的具体位置,或其与数据存储地国家政府间不存在司法协助条约,是否意味着涉案电子证据将无法获得?

二、跨境电子证据获取中管辖权冲突的解决

跨境证据的调取通常有赖政府间的合作协议。但是,面对网络时代数量与复杂性剧增的司法协助请求以及时刻更新变化的网络数据,司法协助程序动辄耗时数月。部分国家开始寻求新的途径,以加快电子证据的获取并保障司法效率。诚如上文所述,严格遵守属地管辖原则面临着执法困难,刑事案件的侦破受到巨大阻碍。鉴于此,比利时法院适用效果原则以扩大对服务提供者管辖范围的做法,已被欧盟采纳并在新的立法框架中予以完善,美国则通过新的法案摒弃了“数据存储地”模式。

(一)多边主义下受实际联系原则限制的域外管辖

1. 区域内部:废除“数据本地化”要求,建立电子证据直接调取机制

在电子证据的跨境获取问题上,欧盟主要以成员国间关于刑事事项欧盟调查令(The European Investigative Order, 简称EIO指令)的第2014/41/EU号指令,以及非成员国间的司法协助协议为制度框架。又因EIO指令适用范围的有限性,欧盟试图建立关于刑事犯罪电子证据的直接调取机制,以解决联盟范围内更宽泛范围数据的及时、有效调取问题。此外,对于非个人数据的流动,欧盟还制定了《欧盟关于非个人数据自由流动框架条例》,以保障欧盟内部的自由流动为主,要求欧盟各成员国一定程度废除数据本地化要求,即消除非个人数据在储存和处理方面的地域限制,同时确保各成员国监管机关能够及时准确地获取数据。参见Regulation (EU) 2018/1807 of the European Parliament and of the Council of 14 November 2018 on a Framework for the Free Flow of Non-personal Data in the European Union.

EIO指令自2017年开始在成员国间实施,它允许某一成员国内的机构(签发机构)要求另一成员国内的机构(执行机构)采取具体刑事调查措施。

参见Directive 2014/41/EU of the European Parliament and of the Council of 3 April 2014 Regarding the European Investigation Order in Criminal Matters, Official Journal of the European Union (1 May 2014).该指令允许一国政府部门在向调查目标所在国发出通知的前提下,监听或截取位于该国的电子通信。

在可能的情形下,该通知应提前发出;但若事先不清楚调查目标的地理位置,则应在地理位置明确后立即发出通知。收到通知的一方可在96小时内提出异议。若无异议,该监听或拦截继续进行;若有异议,该侦查活动不得继续进行。但该指令未涉及电子数据的获取,因此,为加速刑事电子证据的跨境调取,欧盟2018年发布了《欧洲议会和欧洲理事会关于刑事犯罪电子证据的调取令和保全令的规定的提案》,以促使成员国有关当局可直接要求服务提供者披露相关数据。该提案阐明了成员国为特定犯罪调查或刑事诉讼程序的需要而跨境获取电子证据的程序规则和保障措施,即电子证据调取令与保全令制度。

电子证据调取令与保全令制度仅限于有关服务提供者拥有、控制的存储数据的请求,不涵盖实时拦截电信数据的规定,亦不涵盖预防犯罪或侵权等其他类型的诉讼。其中,电子证据保全令是向发出该指令的成员国的司法辖区以外的法定代表人发出,要求保存数据以方便之后调取数据的请求。参见Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters, European Commission, COM(2018) 225 final (17 April 2018).

该提案对指令的适用范围界定较为广泛。首先,提案列举了诸多种类适用该指令的服务提供者,包括电子通信服务提供商、社交网络、在线市场、云服务和其他托管服务提供商,以及互联网基础结构提供商(如IP地址和域名注册机构)等。其次,提案明确指出数据调取令的执行不以数据存储地为决定性连结因素,因为数据的存储通常不会导致存储地国家对其的控制。再次,出于对市场参与者之间公平竞争环境的维护,该提案适用于所有在歐盟提供服务的网络服务提供者,包括未在欧盟成立的服务提供者,即在欧盟内积极提供服务并从中获取收益的服务提供者亦受该法案约束。最后,提案对“提供服务”的解释进行了限制,要求不能仅以服务的可访问性为依据,服务应与欧盟领土发生实际联系。

参见Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters, European Commission, COM(2018) 225 final (17 April 2018).

2. 国际层面:以尊重国家主权为前提倡导“直接披露用户信息”

在欧盟理事会的主导下,《网络犯罪公约》成员国于2014年成立了云证据工作组,专注于跨境电子证据获取困难的解决以及执法人员访问“云”数据的合理事由更新。

参见Cybercrime Convention Committee (T-CY), Transborder Access to Data Jurisdiction: Options for Further Action by the T-CY, AD-HOC SUBGROUP on Transborder Access and Jurisdiction Council of Europe, T-CY (2014)16 (3 December 2014), p.14.2019年11月,欧盟理事会发布了由网络犯罪公约委员会编写的公约第二项附加议定书草案,吸纳了云工作组研究成果中的部分内容,以便利成员国政府部门访问存储于他国境内或存在于未知、多个辖区的“云空间”中的数据,参见Cybercrime Convention Committee (T-CY), T-CY Guidance Note #10 Production Orders for Subscriber Information (Article 18 Budapest Convention), Council of Europe, T-CY (2015)16 (1 March 2017), p.3.新增“直接披露用户信息”以及“生效其他缔约方的指令以加快数据调取”条款。

依据“直接披露用户信息”条款,各缔约方应采取必要的立法及其他措施,授权执行机关因特定刑事调查或诉讼程序的需要向其他缔约方境内的服务提供者直接发出指令,要求该提供者披露由其拥有或控制的特定用户的相关信息。同时,缔约方可在签发或交存核准书、接受书时,对其境内的服务提供者接收的指令作出声明:“该指令必须由检察官或其他相关部门签发或受其监督,或由独立监督而签发。”该草案对数据披露指令作了程序性与实质性的具体规定。此外,依据该草案,被请求的缔约方可要求其境内的服务提供者在收到披露指令的同时向本国发出通知,以告知支持指令执行的相关信息以及与调查或诉讼有关的事实概要。同时,被请求的缔约方可要求服务提供者在确定履行披露指令之前征求本国当局的意见。若披露指令的执行可能会违反被请求方的刑事事项程序规定,或根据公约中的互助程序有正当理由拒绝的,则被请求方可制止披露指令的执行。

参见Cybercrime Convention Committee (T-CY), Preparation of a 2nd Additional Protocol to the Budapest Convention on Cybercrime, Council of Europe, T-CY (2018)23 (8 November 2019).

为了防止网络服务提供者任意拒绝电子证据披露指令的执行,草案提供了“生效其他缔约方的指令以加快数据调取”的途径。该条款要求各缔约方作为被请求方时,应通过立法或其他措施授权执行机关向其境内的服务提供者发布指令以迫使其向请求方提供特定信息数据。若数据披露指令被拒绝履行或延迟履行,被请求的缔约方应在切实可行的范围内尽快告知提出请求的缔约方拒绝或推迟执行的理由、依据的条款、执行的条件。

参见Cybercrime Convention Committee (T-CY), Preparation of a 2nd Additional Protocol to the Budapest Convention on Cybercrime, Council of Europe, T-CY (2018)23 (8 November 2019).

云工作组的指导说明对“直接对服务提供者提出的数据披露指令”的发布与执行进行了一定限制:仅限于特定刑事调查或诉讼程序的需要而适用;应遵守《欧洲理事会保护人权和基本自由公约》规定的相关原则(指令要求披露的证据必须与调查或起诉相关)等。“其他缔约国境内的网络服务提供者”不仅拥有或控制被要求披露的数据,还要在该缔约国境内真实存在。草案亦表示上述两项并非强制条款,缔约方均可声明保留。

参见Cybercrime Convention Committee (T-CY), Preparation of a 2nd Additional Protocol to the Budapest Convention on Cybercrime, Council of Europe, T-CY (2018)23 (8 November 2019).此外,依据《欧洲理事会保护人权和基本自由公约》第18条第1款,关于数据调取的执行管辖依旧以“数据存储地”为标准。这表明议定书草案鼓励的电子证据跨境调取仍以对领土主权的尊重为基础。

概言之,对于数据流动的规制,欧盟着重于联盟内部统一制度的构建与完善,致力于消除成员国之间的管制壁垒,促进非个人数据在区域内的自由流动。电子证据直接获取机制摒弃了“数据存储地”标准,通过受实际联系原则限制的域外管辖,扩大了对网络服务提供者的管辖范围。在国际层面,欧盟意识到缔约国之间法律制度的差异以及互信机制、公约执行机制的缺乏,其以《网络犯罪公约》谈判为基点,坚持多边主义下主权的相互尊重并积极推进与非欧盟成员国达成协作,提倡以“直接要求缔约方境内的服务提供者提供用户信息”为主,“生效其他缔约方的指令以加快数据调取”为保障措施,从而取代低效的司法协助程序。

(二)单边主义下“数据控制者”模式的长臂管辖

1. CLOUD法案确立“数据控制者”模式

美国CLOUD法案于2018年3月23日经总統签署后正式生效,前文论及的“爱尔兰微软案”也依据该法案得到了解决。CLOUD法案在跨境电子数据证据获取上采取的“数据控制者”模式突破了领土主权的边界,对《美国法典》第18卷“犯罪和刑事诉讼程序”部分尤其是《存储通信法案》(The Stored Communications Act,简称SCA法案)“爱尔兰微软案”中,联邦第二巡回上诉法院依据SCA法案作出判决。该法案未明确美国政府的搜查令是否能要求美国服务者提交存储在境外的数据。依据该法案第2702条、第2703条规定,除特殊情形外,禁止美国提供商向境外提供商提交存储于美国的通讯内容。任何外国执法部门只能通过双边司法协助协议请求美国当局基于美国标准下“可能正当的理由”获得授权。以及《电子通信隐私法案》(The Electronic Communications Privacy Act,简称ECPA法案)的相关规定作出修订,肯定了执法部门获取境外电子证据行为的合法性。同时,为了提升司法效率,该法案建立了国家间通过行政协议双边获取电子证据的机制以取代司法协助程序。

“数据控制者”模式明确了受美国管辖的数据控制者向美国政府以及适格外国政府的信息披露义务。一方面,依据该法案,“电子通信服务或远程计算服务的提供者应遵守本章规定的义务,储存、备份、披露所有有线或电子通讯内容以及其保管、控制或拥有的有关特定消费者或订阅用户的其他任何信息,无论这些数据位于美国境内或境外。”负有此种义务的服务提供者不仅包括在美国注册成立的公司,还包括与美国有实质联系而受美国管辖的外国公司。鉴于“数据控制者”模式极大扩张了管辖权范围,该程序的适用受到礼让分析等因素的限制。服务提供者可向法院提出修改或拒绝披露相关信息的请求:其一,消费者或订阅用户不是美国用户或不在美国居住;其二,披露请求有导致服务提供者违反适格外国政府“适格外国政府”的认定条件包括:国内法对数据收集活动中的公民自由和隐私提供了切实有效的实体法和程序法保护;政府具有有效监管获取电子数据的机制与能力;政府展现出对全球信息自由流动和维护互联网开放、分布以及互联本质的决心和承诺。相关法律的实质风险。法院会基于此两种情形以及对司法利益与案情进行礼让分析后作出更正或撤销信息披露指令的决定。另一方面,该法案允许适格外国政府在与美国政府签订行政协定后,直接向美国管辖的电子通信服务或远程计算服务的提供者发出数据披露指令,而无须再通过司法协助程序。缔约方政府欲通过美国服务提供者调取证据应遵循的要求,CLOUD法案有详细规定,主要包括数据披露过程中公民自由与隐私保护,防止数据不合理扩散的范围限定,最小化披露要求以及缔约双方在数据获取上的互惠要求。

参见Clarifying Lawful Overseas Use of Data (CLOUD) Act, § 3, 18 U.S.C. § 2703 (2018).其中,“互惠要求”为美国就其管辖范围外的跨境电子证据获取提供了便利与保障。

尽管CLOUD法案一定程度上化解了“数据存储地”模式的困境,但其仍留有诸多问题有待澄清。譬如,美国的服务提供者应如何应对尚未与美国签订行政协议的外国政府的合法数据要求?服务提供者可否依据向其发出披露指令的有关部门的国家法律进行答复?抑或请求国须依据司法协助程序才得以申请美国的搜查令?若该国与美国之间不存在司法协助协议,又应如何处理?对于以上问题,该法案并未明确说明。

2. 英美数据跨境执法双边协议的达成

CLOUD法案生效后,美国基于该制度框架与英国达成了第一项合作协议。2019年10月,英美两国政府签署了一项以打击严重犯罪为目的的电子数据获取双边合作协议。

此协议于为期180日的美国国会审议期与英国国会的相关审查结束后生效。参见Department of Justice Office of Public Affairs,U.S. and UK Sign Landmark Cross-Border Data Access Agreement to Combat Criminals and Terrorists Online,October 3, 2019, https://www.gov.uk/government/publications/ukusa-agreement-on-access-to-electronic-data-for-the-purpose-of-countering-serious-crime-cs-usa-no62019.该协议以数据披露指令为主要内容,对指令适用的范围、指令签发与送达等程序、适用指令的限制以及协议的审查与实施问题进行了规定。事实上,美国与英国关于此项协议的谈判始于2015年。

参见Jennifer Daskal, Borders and Bits, 71 Vanderbilt Law Review 179, 202-203 (2018).彼时,美国法律禁止美国的科技公司直接向外国执法机构提供消费者或用户的相关数据。英美关于特定情形下减少部分限制并允许对方直接获取由本国网络服务提供者掌握的通信内容,是以两国相关禁止性法律的修改为前提的。

鉴于国内外均有及时、有效获取跨境电子证据的迫切需求,美国司法部于2016年至2017年两次向国会提出修法建议。

2016年向参议院提交的立法草案以及2017年向众议院提交的立法草案。参见Letter from Samuel R. Ramer, Assistant Attorney Gen., to Paul Ryan, Speaker of the U.S. House of Representatives (May 24, 2017);Letter from Peter J. Kadzik, Assistant Attorney Gen., to Joseph R. Biden, President of the U.S. Senate (July 15, 2015).司法部注意到部分国家已对美国网络公司实施行政处罚甚至逮捕其公司雇员,部分國家在无法获取电子证据的情况下颁布了“数据本地存储”的立法,其向国会提出,这只会恶化双方间的法律冲突,使全球网络服务越来越低效,进而损害美国的商业利益。数据存储于隐私保护标准较低的司法辖区,还会导致美国国民的隐私受到侵害,甚至最终美国政府被禁止访问其调查所需的数据等不良后果。面对网络服务的全球扩张趋势,美国必然需要获取位于境外的数据,而法律冲突只会徒增障碍。

参见Letter from Samuel R. Ramer, Assistant Attorney Gen., to Paul Ryan, Speaker of the U.S. House of Representatives (May 24, 2017);Letter from Peter J. Kadzik, Assistant Attorney Gen., to Joseph R. Biden, President of the U.S. Senate (July 15, 2015).最终,“爱尔兰微软案”为直接导火索促成了CLOUD法案的颁布生效。该法案的颁布过程与制度目的都表现出强烈的功利主义倾向。随着2019年2月英国《犯罪(跨境调取令)法案2019》的批准生效,

参见Crime (Overseas Production Orders Act) 2019, 该法案授权英国执法机构依据英国法令,直接获取与英国签订相关国际协议的国家或地区的境外数据。英美两国之间很快达成合意,以打击严重犯罪为目的的电子数据获取双边合作协议达成。

CLOUD法案考虑到互联网全球化背景下数据的流动性,以及云技术条件下数据存储地的不确定性,通过明确对网络服务提供者的管辖权突破领土疆界的限制,在电子证据获取问题上确立长臂管辖新标准。此举解决了“数据存储地”模式以及司法协助程序下的刑事案件办案效率低下问题,却极大扩张了美国管辖权的范围,极易引发美国与其他国家间的法律冲突。首先,该法案的对人管辖范围过于宽泛。依据“国籍管辖”确定对网络服务提供者主张管辖,对于占有技术绝对优势的美国实施长臂管辖权而言,可谓助其一臂之力。况且,该法案还明确了对与美国有实质联系的外国公司的管辖。其次,该法案体现了美国强烈的单边主义倾向。一方面,该法案的“礼让分析”仅流于形式,数据披露指令的适用、修改及撤销均由美国法院单边决定。另一方面,通过对“适格外国政府”的筛选,美国企图实现制度输出(需要访问美国服务提供者掌握的数据,相关国家必须遵守美国制定的规则),巩固其在全球网络经济中的强势地位。最后,实施“数据控制者”模式最大的问题仍在于其与“数据存储地”模式间的冲突。当国家间因电子证据的获取发生管辖权冲突并诉至法院时,法院的决断具有不确定性。

在电子证据跨境获取问题上,欧美立法实践的共同点有二:其一,司法协助范式逐渐失效,国家管辖权均表现出扩张态势。其二,不再以“数据存储地”为判断电子证据调取的管辖权依据。欧美均在相关立法文件中明确表达了对以数据存储地为管辖依据的不认可。对于他国公民或居民,仅出于数据或服务提供者在其境内而主张管辖权,其理由不够充分。立法活动本是国家之国内事务,但当其对别国主权利益造成威胁时,则其因超出合理限度而构成国际事务。可见,上述立法趋势确实对传统国家主权理论提出了挑战。

三、传统主权理论在网络空间司法管辖中的困境

(一)“属地管辖”与“域外管辖”间的困境

传统领土主权是指国家对其领土行使的最高和排他权力。

参见[英]劳特派特修订:《奥本海国际法》(上卷第一分册),王铁崖、陈体强译,商务印书馆1981年版,第126页。国际法中的领土是一个立体概念,包括一国的领陆、领海及其领空和底土。属地管辖是指国家对其领土范围内的一切人(享受豁免权者除外)、物和发生的事件有权行使管辖权。

参见[英]劳特派特修订:《奥本海国际法》(上卷第一分册),王铁崖、陈体强译,商务印书馆1981年版,第86-87页。长久以来,“主权乃属地最高权”一直被奉为圭臬。然而,国家对其境内的信息通信硬件设施享有管辖权,是否意味着国家必然对存储于其领土上的信息通信硬件设施、服务器中的数据享有管辖权?当一国境内的网络数据可能涉及他国公民隐私、信息甚至构成他国当局正在搜查的刑事证据时,数据的管辖权由谁享有?或者由谁优先享有?管辖权在网络空间物理层与内容层的行使完全重合吗?关于

诸如此类的问题,国际社会尚未形成共识。概言之,当前国家间发生在网络空间的大多数矛盾冲突,都是信任缺失背景下“属地管辖”与“域外管辖”间的困境。

电子证据跨境获取问题已淋漓尽致地展现出属地原则下管辖权行使的困境以及新立法实践中管辖权扩张的趋势。美国利用技术优势,通过明确对网络服务提供者的国籍管辖以直接获取由其掌握的存储于境外的电子证据,绕开国际司法协助程序,实现域外管辖的效果。此外,CLOUD法案体现出美国一贯的单边主义立场,未尊重其他国家在此问题上平等参与的权利。欧盟出于当前在全球互联网产业中的劣势地位,以及对网络数据缺乏控制力的现实,通过区域内部的立法提案,将对人管辖的范围扩大至与欧盟领土具有实际联系的所有服务提供者,以满足电子证据跨境获取的迫切需求。欧盟突破属地管辖,不再以数据存储地为管辖权的决定因素,实现了管辖权的有效行使。

然而,在此问题上部分国家依旧坚持属地管辖原则。2017 年的一份研究报告显示,全球范围内已经有包括中国在内的13个国家和地区通过立法等方式对个人数据作出了本地化要求。

参见Nigel Cory, Cross-border Data Flows: Where Are the Barriers, and What Do They Cost?, Information Technology & Innovation Foundation (May 1, 2017), https://itif.org/publications/2017/05/01/cross-border-data-flows-where-are-barriers-and-what-do-they-cost.2014年后,受“棱镜门”事件影响,出于对国家安全的维护,俄罗斯率先启动修法程序,确立了严格的数据本地化存储规则。

参见何波:《俄罗斯跨境数据流动立法规则与执法实践》,载《大数据》2016年第6期,第131页。2016年颁布的《中会人民共和国网络安全法》(以下简称《网络安全法》)第37条也明确规定,关键信息基础设施的运营者应当

对个人信息和重要数据予以本地存储。因美国的网络服务提供者拒绝提供其掌握的有关犯罪调查对象的相关数据,巴西、印度也相继进行了数据本地存储立法。

参见Andrew Keane Woods, Litigating Data Sovereignty, 128 Yale Law Journal 328, 365 (2018).数据本地化立法是对属地原则的严格遵守,是防范数据流动引起安全风险的举措,是对他国网络服务提供者规制失败后的应对措施,具有充分的正当性。

应当指出,因数据存储所在而当然地产生属地管辖,并不能构成对别国国民或居民相关数据享有管辖权的充分理由。尽管数据本地化立法有其正当性,但与互联网的基础架构相违背,与网络数字技术的进步相矛盾,降低了互联网作为一个整体的运行效率,也極大增加了网络公司的商业成本。诚如美国司法部在修法建议中所说,提出“数据控制者”模式的本意是为了解决“数据存储地”模式下电子证据由美国网络公司掌握、存储于美国境内而造成其他国家获取相关数据困难的问题,以降低别国数据本地化立法趋势。

参见Letter from Samuel R. Ramer, Assistant Attorney Gen., to Paul Ryan, Speaker of the U.S. House of Representatives (May 24, 2017).CLOUD法案生效后,其展示出的单边主义以及长臂管辖趋势遭到诸多质疑与抨击,又有斯诺登事件的前车之鉴,出于安全防范的考量,“数据本地化”的立法趋势并不会消退。可见,在主权国家就此问题各执己见、互不相让,并建立起信任机制之前,这是一场零和博弈,双方的利益都无法实现。

(二)网络服务提供者的“国籍管辖”困难

传统上,主权国家主要依据法人的国籍确定对其的管辖。大多数国家依据法人登记地或住所地确定其国籍,尽管在住所地的确定上又存在不同的标准。

参见刘想树:《国际私法》,法律出版社2011年版,第108-111页。如今,网络公司在其所属国以外的国家开展经营活动并不需要在其境内登记或设立任何实体机构,这为主权国家要求其他国家的网络服务提供者承担法律责任增添了困境。公司登记地、管理中心或营业中心不在主张管辖的国家境内,成为公司拒绝遵守该国法律的借口。然而,网络服务提供者在全球网络空间治理中的地位不容小觑。大型网络科技络公司通常是数据的实际控制者,这一私主体在跨境争端的解决以及适用规则的确定、解释、执行方面发挥着举足轻重的作用,其管理、控制用户数据的能力使其可与一些国家的政府规制相抗衡。

受利益驱使,网络公司基于用户所在地、电缆光纤的地理位置、存储成本等因素选择数据存储的具体位置。

参见David Mytton, Cloud Location Matters-Latency, Privacy, Redundancy, Server Density Blog (Aug. 21, 2014), https://perma.cc/YLY4-AGD8.企业善于利用司法辖区间的规则差异避税,相同的逻辑在网络空间一以贯之,网络公司会在全球市场的运营中利用各国法律间的差异寻求获利机会,“合法”躲避政府监管。公司可以自由决定总部设在何处,财产存放于何处,雇佣哪国员工,以及其服务条款受制于哪国法律。

参见Andrew Keane Woods, Litigating Data Sovereignty, 128 Yale Law Journal 328, 354-355 (2018).例如,雅虎、谷歌等数据巨头在其全球范围内的服务器之间不停传输、转移数据,由此他们可以理直气壮地告知有关政府,因其公司设立在美国而不受其他国家管辖,或者所需数据存储于其他司法辖区而无法提供等。可见,数据的存储地多是服务提供者出于商业考虑后的选择,具有不可预测性,若依据数据存储地确定管辖权,只会增加法律的不确定性。其结果是少数国家以对服务提供者主张“国籍管辖”为工具行使长臂管辖权,而其余国家则无法对与其领土具有实际联系的法人主张管辖权。

(三)国际礼让原则的司法适用受阻

礼让学说是国际法的重要渊源与基石。美国联邦最高法院曾对国际礼让进行过经典阐述:“礼让既不是绝对的义务,也不仅仅是礼貌或善意。一国在其领土内允许别国的立法、执行以及司法行为时,既要适当考虑国际义务和便利,也要考虑本国法律保护下的本国公民及受其管辖的其他人的权利。”

参见Henry Hilton v. Gustave Bertin, 159 U.S. 113, 163-64 (1895).在没有国际条约、国际惯例以及冲突规范等可遵循的情况下,面对国家间可能发生的主权冲突,法院通常通过礼让分析衡量涉案国家的主权利益以解决冲突。在网络全球化导致国家间司法管辖权冲突频发的当下,法院对此越来越少地进行礼让分析。即使纠纷涉及别国主权利益,法院更多地被要求将其视为“国内事务”并依照本国法律作出裁判,法律的域外效力愈加明显。在电子证据跨境获取问题上,礼让原则的适用更是充满挑战。

首先,各主权国家对于“跨境电子证据获取”的基本界定存在分歧。不同国家常常依据不同连结因素获取电子证据或直接跨境获取电子证据,如甲国认为乙国的证据调取行为发生在其境内侵犯了其领土主权利益,而乙国则称该行为完全是“境内获取”,属国内事务,由此,甲乙两国均不认同对方声称的境内获取或跨境获取证据的方式。在彼此的主权利益尚无法清晰界定的情形下,法院如何进行礼让分析?

其次,出于对别国主权利益的考量,法院在司法判例中适用国际礼让原则以维护别国合理的主权利益,彰显对不同文化、风俗以及公共秩序的尊重。

参见Jack Goldsmith, Sovereign Difference and Sovereign Deference on the Internet, 128 Yale Journal Forum 818, 825 (2019).但在跨境数据获取的问题上,其无助于国家间互惠合作的达成。例如,斯诺登事件曝光了美国利用其技术优势秘密监视全球网络活动、窃取全球数据的恶行,各国出于自我保护的意识以及对数据资源的需求采取了数据本地化应对举措。当法院面对由“数据存储地”模式与“数据控制者”模式引发的证据调取冲突时,礼让分析无济于事,其所要求的维护、尊重别国主权利益,无法改变对立的立法模式,真正的冲突依旧被搁置。此外,各国法院之间没有交流机制,礼让分析也无益于促进他国法院在相同问题上同等适用礼让分析原则。

最后,国际合作的达成无法依赖法院的礼让分析,而是需要合作双方的相关政府部门通过平等谈判、磋商,对自身进行限制以求获取更大的互惠利益。协议的达成往往需要经历痛苦且漫长的历程,历经无数回合的“讨价还价”,最终也极可能无疾而终或难以维持合作。通常,真正导致国家采取行动的,是一国域外管辖权的行使以及别国法律对其产生的域外效力。

参见Jack Goldsmith, Sovereign Difference and Sovereign Deference on the Internet, 128 Yale Journal Forum 818, 823-824 (2019).“愛尔兰微软案”中,联邦第二巡回上诉法院的礼让分析未能得出美国政府满意的答案便是例证。境外获取电子证据通过立法被固定下来,国家间的合作有待政府部门依据该法案下的行政协议框架进一步谈判。

四、网络空间司法管辖权理论的重构

在国际实践中,管辖权是主权国家的基本权利之一,指一般法律权限的特定方面,通常推定其属地性。然而,属地管辖理论在实践中已发生了变化,且相关法律仍然相当不确定,正在根据以下两条原则不断发展:第一,尽管属地原则仍是国际法的最佳基石,但不能为某些当代的管辖权冲突提供现成解决方法;第二,力求管辖权事项与管辖权属地基础、合理利益之间本质和真实的联系原则得到遵循。

参见[英]伊恩·布朗利:《国际公法原理》,曾令良、余敏友等译,法律出版社2007年版,第266页。根据《国络行动国际法塔林手册2.0版》对网络空间中国家主权的界定,除对境内从事网络活动的人可行使管辖权无争议外,对于其他几类管辖权的具体范围,包括对境内网络设施、从事网络活动的人员,以及在境内产生或完成,或者在境内造成实质影响的网络活动行使管辖权。参见[美]迈克尔·施密特主编:《网络行动国际法塔林手册2.0版》,黄志雄等译,社会科学文献出版社2017年版,第95页。国际范围内存在不同认识。例如,对于境内网络设施的属地管辖而言,有学者提出只有当网络基础设施在网络活动中发挥实质作用,扮演重要角色,该基础设施所在国才能行使管辖权。

参见[美]迈克尔·施密特主编:《网络行动国际法塔林手册2.0版》,黄志雄等译,社会科学文献出版社2017年版,第95页。为了应对网络空间中各国司法管辖权的矛盾和争端,司法管辖权理论亟须重述与创新。

(一)明确领土主权适用于网络空间的有限性

明确属地管辖在网络空间司法管辖权行使中的有限性极为重要。诚如本文第二部分所述,应借助IP地址识别技术以网络用户的身份认证作为划分网络空间司法辖域的依据,“地域疆界”将统一物理世界与虚拟空间。将用户IP地址识别作为虚拟与现实的连接端口,保障各国公民与居民对该国法律的遵守,进而“领土”的法律规范意义在网络空间得以真正实现,重塑网络空间的司法辖域边界。需要指出,适用于网络空间的“属地管辖”将受到一定限制。“对其领土之上一切人的管辖”之要义不变,有限性体现在国家对其领土之上一切“物”的领土主权一定程度的让渡。具言之,用户的网络行为与网络服务提供商服务器所在地的不相关性,用户个人数据的存储地与数据访问地、用户所在地的不相关性等,都使“被管辖的事物”与“领土”之间缺乏联系。领土主权的行使缺乏正当性,政府适用其法律亦缺乏基础架构支撑,若执意为之,将大大提高制度成本并极易损害别国主权利益。考虑到各国出于自身利益在网络空间适用本地法律的诉求不尽相同,基于个人用户的身份进行司法辖区的区分,有利于各国政府规制其境内公民与居民的权利,亦实现了各国在网络空间的平等治理。同时,国家在网络空间对其领土之上一切人的管辖必将涉及相关境外数据的规制,需要各国间的合作与妥协,即同等地让渡部分对其境内“物”的属地管辖权,以国家对境内从事网络活动的人的属地管辖优先为基础,构建新的网络空间司法管辖制度。

(二)认可实际联系原则限制下域外管辖权的行使

国家对其境内一切从事网络活动的人行使领土主权,必将涉及相关网络服务提供者的管辖问题。一国境内网络用户的相关数据大都掌握在各网络公司,且通常是别国的互联网巨头手中,进而产生了国家之间对网络服务提供者管辖权的争夺。本文第三部分已论述了当前网络公司面临的国籍管辖困难,這为国家政府要求跨境调取其境内网络用户的相关数据制造了阻力。在电子证据跨境获取问题上,网络公司对用户数据的事实控制使各国有关部门迫切需要其协助。

对此,应肯定国家可在实际联系原则限制下对网络服务提供者行使域外管辖权。域外管辖并非意味着纵容主权的任意扩张,而是依据管辖理论中的效果原则,允许主权国家在一定限度内必要地在其境外行使管辖权。具言之,国家可对网络服务提供者实施域外管辖的前提,是网络公司“提供服务”的行为与主张管辖的国家领土间存在实质联系。认定存在此种实质联系的考量因素包括:服务提供者在其境内设有机构;服务提供者在该国存在大量用户或存在一项或多项针对该国的活动等。例如,欧盟在此问题上要求判断一国境内的网络用户是否能够使用该网络服务提供者的服务,仅服务的可访问性(也可能源于服务提供商或中介网站或电子邮件地址和其他联系方式的可访问性)不足以认定为“提供服务”。

参见Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters, European Commission, COM(2018) 225 final (17 April 2018).

在认可了特定情形下域外管辖权之行使后,主权国家必将面对网络服务提供者的双重主权管辖问题。科技的发展使网络服务常常同时跨越两个及以上的司法辖域,依据传统的国籍管辖规则以及“提供服务”的行为,服务提供者将受到两个甚至多个国家的规制,进而产生了平行的双重主权管辖。相互重叠的主权之间是平等的,不存在最高主权原则,而迄今为止的国际法框架中并未出现创建国际性宪法之契机。

参见[美]劳伦斯·莱斯格:《代码2.0:网络空间中的法律》(修订版),李旭、沈伟伟译,清华大学出版社2018年版,第331-333页。对此,双重主权之间谁更优先?若产生主权冲突又应如何解决?

向一国境内的网络用户提供商品或服务的网络公司,因缺乏实体存在而免于遵守该国法律、不受该国管辖,不仅侵犯了该国的主权利益,为该国境内的网络公司制造了不公平的竞争环境,而且会刺激主权国家制定法律规章要求设立实体存在为向其境内提供网络服务的前提。此外,国籍问题关系到公司时往往体现出功能性归因规则,被视为一种功能性的标志。

参见[英]伊恩·布朗利:《国际公法原理》,曾令良、余敏友等译,法律出版社2007年版,第371-372页。因此,对于网络服务提供者管辖权之确定,应结合特定事项,依据实际联系原则确定管辖权的归属或优先。在网络空间的国际管辖中,明确了国家对境内一切人享有属地最高权之后,对于网络服务提供者管辖权的确定,符合实际联系原则的“域外管辖”必然优先于国籍管辖。这一制度是可行的,因为其符合互联网的基础架构,政府实现规制的成本很低。如同莱斯格所说:“各国强烈需要一个多国法律的世界,同时我们也需要压低规制成本。”

参见[美]劳伦斯·莱斯格:《代码2.0:网络空间中的法律》(修订版),李旭、沈伟伟译,清华大学出版社2018年版,第331-333页。倘若在特殊情形下仍发生了主权冲突,则应通过利益衡量对相互冲突的主权利益进行平衡。

五、解决网络空间司法管辖权冲突的方案

(一)明确“网络空间主权”的边界

我国《网络安全法》第1条明确了我国“网络空间主权”之主张。我国的主流观点认为,网络空间主权是国家主权在网络空间中的自然延伸和表现,是国家主权的重要组成部分。

参见若英:《什么是网络主权?》,载《红旗文稿》2014年第13期,第39页;支振锋:《网络主权指引国际治理新格局》,载《人民日报》2016年1月5日,第5版;李鸿渊:《论网络主权与新的国家安全观》,载《行政与法》2008年第8期,第115-117页。在个人数据跨境流动的规制方面,我国当前以“关键信息设施运营者数据本地化”为基础,有关个人数据的安全管理、出境安全评估等事项的立法尚未出台,

2019年5月21日至6月13日,我国国家互联网信息办公室在不足一个月内相继发布《网络安全审查办法(征求意见稿)》《数据安全管理办法(征求意见稿)》《儿童个人信息网络保护规定(征求意见稿)》和《个人信息出境安全评估办法(征求意见稿)》。诸多基础概念有待界定。数据本地化立法固然具有正当性,但其与网络架构、全球数字经济的发展趋势不符。信息技术与经济社会的交汇融合引发了数据迅猛增长,2020年4月9日发布的《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》,已将数据和土地、劳动力、资本、技术等传统生产要素并列,明确提出要加快培育数据要素市场,

参见《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》,新华社2020年4月9日,http://www.gov.cn/zhengce/2020-04/09/content_5500622.htm.数据已成为国家基础性战略资源。在全球数字经济浪潮之下,海量数据流通、分享本身会带来网络红利。随着我国网络科技公司全球化发展的快速进步,鼓励数据自由流动有利于我国企业的发展也符合我國的利益。华尔街证券分析师玛丽米克发布的《2019年互联网趋势》报告显示,据全球各大互联网公司的估值衡量,全球前30名互联网科技公司排名中,有7家来自中国。

参见Mary Meeker, Internet Trends 2019, https:∥www.bondcap.com/report/itr19/#view/1, 2020年10月20日访问。广泛施行数据本地化政策不利于营造良好的营商环境,易错过数字经济发展的新浪潮,使我国在全球化时代变成一座数据孤岛,缺乏经济、文化等国际交流。对此,我国应接受主权理论在网络空间国际管辖问题上的创新,赋予“网络空间主权”以新边界:明确在网络国际管辖中对境内一切人的属地最高权,并在此基础上承认其他主权国家可在实际联系原则限制下对我国的网络服务提供者行使“域外管辖”;相应地,我国可基于此对别国网络服务提供者同等地主张“域外管辖”,以此为基石构建新的管辖规则,进而完善网络空间的全球治理。

(二)有关跨境电子证据获取的立法建议

在本文重点探讨的刑事调查以及刑事诉讼中电子证据跨境获取问题上,我国呈现出政府主张、立法理念与司法实践不符的现状。2018年10月26日通过的《中华人民共和国国际刑事司法协助法》(以下简称《国际刑事司法协助法》)严格依据属地原则界定执法管辖的范围,明确抵制外国司法执法机构向我国行使长臂管辖权。

参见《国际刑事协助法》第4条,该条的适用有待执法机构在具体执法过程中作出进一步阐释。一方面,全球化时代,我国在刑事案件侦查、诉讼过程中所需的相关电子证据存储于境外的情形在所难免,而一些国家在无法通过我国境内的服务提供者获取其所需的电子证据时,极可能对我国采取对等举措。另一方面,美国CLOUD法案的实施可能会与我国《国际刑事司法协助法》之规定产生正面冲突。试想,当美国相关政府部门要求在美国运营的我国网络服务提供者披露相关电子数据时,我国的服务提供者将受到中美相冲突的法律规制,并可能因为无法向美国披露数据而遭到处罚。对在中国运营的美国网络公司而言,一方面,中国的数据本地化要求会增加其运营成本;另一方面,当美国相关当局因刑事诉讼所需要求其提供的电子证据存储于中国境内时,无论该服务提供者如何作为都可能遭到对方国家处罚。这无疑是将网络服务提供者置于两难境地。面对双重主权的困境,单纯放弃“数据控制者”模式对我国并无益处,即使在不改变现有法律规定的前提下,我国至少应对等保留通过数据控制者获取境外电子证据的权利,同时允许其他国家合理的电子证据披露要求,这是依据国际法中的对等原则采取的被动应对措施。

参见梁坤:《基于数据主权的国家刑事取证模式》,载《法学研究》2019年第2期,第207页。

然而,我国关于刑事电子证据调取的规范与实务又存在对属地原则的背离。根据《最高人民法院、最高人民检察院、公安部关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》(公通字[2014]10号)第15条的规定,对于原始存储介质位于境外而无法获取介质的,可以提取电子数据。2016年,《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(法发[2016]22号)第9条再次明确规定:“对于原始存储介质位于境外或者远程计算机信息系统上的电子数据,可以通过网络在线提取。为进一步查明有关情况,必要时,可以对远程计算机信息系统进行网络远程勘验。”可见,我国司法实践中同样表现出域外管辖的倾向。刑事案件司法管辖权之行使是国家主权的直接体现,我国现行电子证据跨境获取模式缺乏国家战略层面的统领设计,存在内部矛盾。

鉴于此,建议我国在依据属地管辖、国籍管辖、保护管辖或普遍管辖明确对特定刑事案件享有司法管辖权的前提下,基于网络空间主权,可直接要求我国相关网络服务提供者以及与我国发生实际联系的外国网络服务提供者储存、备份、披露由其保管、控制、拥有的有关被告、犯罪嫌疑人的相关个人数据,包括存储于境外的电子数据。在特殊情形下,如果服务提供者认为执行电子证据的调取指令可能侵犯别国主权利益,可向我国主管部门请求撤销有关数据的调取指令,该部门经利益衡量后最终作出决定。需要考量的他国主权利益包括该国政府禁止调取相关电子证据的利益,服务提供者因提供相关证据的行为受到法律处罚的可能性、程度与性质等。与此同时,上述规则同等适用于其他国家出于对其公民与居民的属地管辖向我国网络服务提供者发出的电子证据调取请求。在此框架下,进一步限制电子证据的范围、跨境调取电子证据的方式,细化具体的程序性以及实质性规则。在国际层面,我国应积极参与跨境数据流动的国际协商,寻求多边主义下合作的达成。在多边合作共识达成之前,我国应努力促成双边合作协议,逐步建立起互信机制,进而提升我国在数据流动、数据治理等国际规则制定中的话语权。

结论

技术的发展推动着法律制度的革新。互联网使国与国之间的联系愈发紧密,主权已失去其被幻想出来的至高性和独立性。网络对国家间地理屏障与隔离的突破造成了领土主权的局限性,各国欲在网络空间中实现法律的本土化,需要彼此间相互配合与妥协。对于网络空间的国际管辖,应明确国家对境内一切人的属地最高权,而最为关键的是指出领土主权的有限性,即主权国家应让渡在其境内但与其领土不具实际联系的“物”的属地管辖。国家可在实际联系原则限制下对网络服务提供者行使域外管辖权,且此种特殊管辖优先于一般管辖。在网络空间司法管辖权冲突问题上,主权理论的意义在于保障国家在国际交往过程中平等参与、平等谈判,目的在于促进国际共识与合作的达成,最终实现网络空间的全球协同治理。

Jurisdiction Conflicts and Resolutions in Cyberspace

WU Qi

(Law School of Tsinghua University, Beijing 100084, China)

Abstract:

The deterritorialization of internet technology has greatly challenged the jurisdiction of sovereign states. The separation of the internet content layer and the physical layer makes the jurisdiction in the cyberspace not equivalent to the national geographic boundary, and become increasingly unclear. The mobility, divisibility and location independence of data create obstacles to the exercise of territorial sovereignty. And accessing cross-border electronic evidence is hindered in criminal investigations and criminal proceedings. Some pioneers started legislative practices, but they caused sovereignty conflicts with other countries due to extraterritorial effects of the law. Facing the dilemma between “territorial jurisdiction” and “long-arm jurisdiction”, the difficulty in exercising “nationality jurisdiction” against internet service providers, and the obstruction of international comity, the traditional theory urgently needs innovation in the international jurisdiction of cyberspace. Territorial sovereignty in cyberspace refers to the highest territorial jurisdiction of the state over all people within its boundary. On this basis, the sovereignty of a country is recognized.It can exercise “extraterritorial jurisdiction” over network companies in other countries within the limits of a substantial connection.

Key Words: jurisdiction; cyber sovereignty; territorial sovereignty; extraterritorial jurisdiction; to access cross-border electronic evidence

本文責任编辑:邵 海