跨境电子数据取证的困境与出路*
2021-09-27王志刚
王志刚,张 雪
(重庆邮电大学 网络空间安全与信息法学院,重庆 400065)
一、引 言
2020年7月1日,公安部公布了近期打击跨境赌博犯罪十起典型案例,其中,广西百色与越南警方于2020年4月26日合作侦破的一起跨境网络赌博案(1)2020年1月,广西壮族自治区百色市公安局接到群众举报,有人利用“正视娱乐APP”组织参赌人员进行网络赌博活动,立即成立专案组开展侦查。经查,自2019年4月起,犯罪嫌疑人黄某等利用网络进行线上赌博,雇佣操作员在越南某地远程操作赌博平台,组织参赌人员通过微信、支付宝充值及银行卡转账等方式参赌,涉案资金流水高达3.5亿元。2020年4月26日,广西警方开展统一抓捕行动,并启动国际警务协作机制,抓获违法犯罪嫌疑人100余名,其中,越南警方协助抓获移交8人。展示了国际警务协作机制的重要性。该案件表明,近年来跨境网络犯罪呈现出增长的趋势,我国刑事侦查机关在打击跨境网络犯罪中需要收集存储于境外的电子数据,以此获得案件得以侦破的证据。例如,在跨境网络赌博案件中,由于跨境网络赌博犯罪具有涉赌人员、涉案地区分布广,赌博形态隐蔽性、流动性强,网络赌博技术提供者境外操纵等特性,因此,相关的电子数据将会在境外的服务器中储存,而境外储存的数据不在我国管辖范围内。为了获取境外网络赌博服务器中的电子证据,可以采取以下方式:一是通过传统的司法协助方式;二是直接利用包含技术侦查的远程勘验取证措施;三是直接通过掌握该赌博服务器的企业根据数据披露的形式获取电子证据。
然而,以上方式会给跨境电子数据取证带来困境:其一,境内外法律制度的分歧导致刑事司法协助的难度加大,如果赌博网站的服务器位于网络赌博合法化的国家,对其是否构成犯罪很难达成一致意见,国家司法协助一般很难完成。其二,单边跨境电子数据取证涉及侵犯国家主权。数据主权是网络主权的表现形式,而国家主权包括网络主权,即电子数据主权属于国家主权。利用网络远程勘验、网络在线提取、数据披露等直接的和具有强制性的单边刑事取证方式不利于各国对数据主权的保护,进而导致国家主权受到侵犯。其三,刑事侦查权的行使可能会使嫌疑人的权利得不到应有的保障,两者间的冲突或平衡是一个永恒的话题,因此,采取跨境电子数据取证的方式可能会对嫌疑人的权利造成更大的威胁[1]。由于单边跨境电子数据取证方式的直接性和强制性,还可能会引发权利人的隐私权、知情权等个人权利被侵害的风险。
二、跨境电子数据取证的实践状况
案例一(2)参见《今日说法》20200426跨境追踪:http://tv.cctv.com/2020/04/26/VIDE5vvVccqOfDxT8ZLRL8Nr200426.shtml。:2018年4月,重庆警方抓获犯罪嫌疑人161名,插口电脑60多台,手机300多部,冻结418张涉案银行卡,合计金额1 780余万元。2018年1月3日,重庆市武隆区公安局来了一个20多岁的年轻女孩张月(化名),她称遭到了电信诈骗。武隆公安局分析:这是一起由电信诈骗集团假借网上贷款实施诈骗的犯罪活动。随着侦查的深入进行,发现受害者众多。2018年3月7日,公安部批示该案为部督案件,随后成立了“2018·1·3专案组”。
2018年3月17日,在侦查人员实施抓捕的前一天,该团伙的主要犯罪嫌疑人黄龙(化名)带着大部分人越过边境,抵达了越南老街,继续对国内的民众实施诈骗。由于该案侦办的难度大、战线长、跨度大,出境抓捕难,所以,重庆警方立即向公安部请求支援。2018年4月19日,在公安部的统一协调下,我国和越南在边境处开展了联合执法,越南边检抓获了一名犯罪嫌疑人,并移交给我国边检。
案例二(3)参见《今日说法》20190108跨境追踪:http://tv.cctv.com/2019/01/08/VIDEtiZAtJ5RNcHewVJoy8o5190108.shtml。:2019年8月28日,重庆渝北警方一共押解了200多名犯罪嫌疑人返回重庆。该案是一起大型跨境网络诈骗案,涉案人数达200多人,受害人涉及全国几十个省市,人数达5 000人以上,涉案金额一亿多。这是重庆警方在柬埔寨警方的协助下侦破的一起大型跨境案件。2019年2月和3月,渝北警方连续接到两名女孩的报案,称自己疑似遭受了电信诈骗。随后,渝北警方成立了专案组,专案组通过追踪资金的流向,发现服务器设在境外,人员窝点盘踞在东南亚国家柬埔寨。
于是,渝北警方立即启动工作程序,与有关部门展开了充分的沟通协商,从市公安局到公安部再到柬埔寨大使馆,由大使馆警务联络官出面和柬埔寨警方对接。2019年5月,渝北警方的第一批侦查员赶到柬埔寨,在柬埔寨警方的配合下,首先摸清了这个团伙的窝点位置。但是,此时还不能对嫌疑人进行抓捕,因为柬埔寨属于西方的法律体系,柬方必须要渝北警方明确嫌疑人的身份信息,才会让渝北警方把犯罪嫌疑人带走。所以,前期渝北警方遇到很大的困难:怎样明确犯罪嫌疑人身份。在案件侦查阶段,渝北警方除了需要适应新的生活环境和工作环境,还需要适应柬埔寨的语言和法律体系,这也是非常困难的。
从上述两个案件可以看出:在实践中,这类案件的侦破难度非常大,虽然嫌疑人是中国国籍,但却在境外作案,而抓捕境外犯罪嫌疑人的方式主要为斡旋和协商,从而在两国之间达成刑事司法协助。国际刑事司法协助程序的一个特征是由国家主管当局进行调解,以确保跨境获取电子数据的请求符合被请求国的法律和程序要求,这很大程度上取决于相关国家的具体宪法传统和相关法律框架。在美国,法院在启动或处理已发出的司法协助请求方面不起任何作用,这属于行政部门的职权范围。司法部将来自国外的法律援助请求直接提交给指定的“中央机关”,继而将司法协助条约或与委托书有关的资料传送给适当的法院或政府实体。当联邦检察官代表外国在美国地区法院出庭请求协助或通知美国政府寻求外国的协助时,检察官将按照美国司法部国际事务办公室(OIA(4)OIA是美国的中央主管机关,也是事实上的职能中心,负责所有有关跨国调查和诉讼协助的请求。)的指示行事[2]。而在我国,根据《国际刑事司法协助法》第25条(5)《国际刑事司法协助法》第25条规定:“办案机关需要外国就下列事项协助调查取证的,应当制作刑事司法协助请求书并附相关材料,经所属主管机关审核同意后,由对外联系机关及时向外国提出请求。”的规定可以得知,要达成两国间的刑事司法协助需经历以下过程:从市局到公安部,再到境外国家的大使馆,然后由境外国家的大使馆出面与该国的警方进行沟通协商,达成最终的合作。境内外国家刑事司法协助的过程耗时长、经过的审批部门复杂、手续烦琐,在实践中操作比较费力。
对于跨境犯罪嫌疑人的抓捕,证据的获取也存在一定困难,原因如下:一是国内侦查人员对于境外的案件没有正当执法权,不能直接进行取证;二是与境外的国家达成司法协助的过程很艰难、涉及时间较长、程序较为复杂、手续烦琐;三是我国的法律体系与其他国家的法律体系存在一定的冲突,相关法律规定不一致,要达到境外国家相关法律的要求比较困难,这样,将会错失对境外犯罪嫌疑人的抓捕和获取证据的最佳时机。
三、跨境电子数据取证存在的主要问题
(一)境内外跨境电子数据取证的差异
1.我国关于跨境电子数据取证的规定
互联网的无国界性,促使跨境网络赌博和电信诈骗等网络犯罪兴起,然而,打击线下赌博诈骗犯罪的传统手段已不能适应跨境网络犯罪。我国从2010年开始,在相关法律中能找到对境外电子数据获取的相关规定。详细法律规定见表1。
表1 我国跨境电子数据取证的法律规定
从表1分析可知,首先,2016年前颁布的两部法律对提取境外电子数据仅规定了取证过程,没有规定取证方式;其次,2016年和2018年颁布的两部法律,均对境外电子数据取证的程序进行了严格的规定,其中,2016年颁布的法律还规定了境外电子数据技术侦查的取证方式,即网络在线提取与网络远程勘验;最后,2019年颁布的法律规定采取网络在线提取方式获取电子数据有条件限制,对于境外的电子数据是否适用没有进行明确授权。从我国相关的法律法规可以得知,我国在跨境电子数据取证方面的规定持谨慎态度,取证的条件和程序的审核越来越严格。
2.境外关于跨境电子数据取证的规定
《网络犯罪公约》承认电子数据存储介质的属地管辖原则,规定了两种属地管辖例外的情形:一是不论电子数据位于何处,取证国可以在线提取公开资料。许多域外国家倾向于选择较为严格的数据本地化存储政策,详细法律规定见表2。二是采取数据控制者模式,只要征得数据控制者同意,便可直接对电子数据进行提取。部分境外国家建立了一种直接的“私人——公共跨境合作”模式,在这种模式下,服务提供商可以接收、评估和直接响应外国执法命令提供电子数据,即数据控制者模式。详细法律规定见表3。
表2 境外国家采取数据本地化存储政策的规定
表3 境外国家采取数据控制者模式的规定
为了更好地维护公共安全,促进全球数据的跨境自由流动,授权司法机构或执法机构调取国内外私营主体的境内外数据,美国确立了数据获取的“长臂管辖”原则。2018年,美国制定的《澄清合法使用境外数据法》(以下简称《云法案》)规定了电子数据取证的新规则,将以“数据控制者”理论来扩大管辖范围,反映出美国对电子数据取证将采用“长臂管辖”原则,“数据存储地”模式的属地管辖原则不再是跨境数据取证的单一标准。《云法案》的出台,对各国现有的跨境电子数据取证制度体系带来了挑战,不仅造成与采取“数据存储地模式”国家的数据管辖权冲突,而且美国“长臂管辖”原则的扩大适用,也加深了单边主义的取证方式,可能挑衅他国国家主权。
根据目前公开披露的《欧盟电子证据条例(草案)》(以下简称《条例》)第3条第1款规定:本条例适用于在欧盟境内提供服务的服务提供者[3]。该条规定与美国的“长臂管辖”原则并无本质上的差异,这意味着只要我国的互联网公司面向欧盟境内的某个国家提供服务,则该国就可根据欧盟的该项规定要求我国提供电子数据。《比利时刑事诉讼法》第88条之三第1款允许调查法官在某些条件下(如有必要在调查中查明真相),只有在搜查令范围内实行的取证措施不恰当或有证据表明数据会丢失的情况下,执法部门才能将搜索范围扩大到计算机系统或系统的一部分,即使该计算机系统的位置位于搜查令范围以外的其他地方。《新西兰搜索和监视法》允许通过授权书授权的“远程访问搜索”的方式来访问数据[4]。即比利时和新西兰的相关法律允许单边跨境电子数据取证。以上均呈现出多元化跨境电子数据取证方式的立法倾向。
从我国的《国际刑事司法协助法》第4条第3款(6)《中华人民共和国国际刑事司法协助法》第4条第3款规定:“非经中华人民共和国主管机关同意,外国机构、组织和个人不得在中华人民共和国境内进行本法规定的刑事诉讼活动,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。”的规定可以得知,本条款在客观上与外国直接要求我国互联网公司提供或披露数据的规定进行了“对抗”,即我国互联网公司回应外国此类请求具有正当性。2021年6月10日通过的《中华人民共和国数据安全法》第36条(7)《中华人民共和国数据安全法》第36条规定:“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”的规定实际上是将这种“对抗”进行了扩大,起到了一种“阻断”的作用,目的是更好地维护我国的国家主权。换言之,如果赌博网站的服务器位于网络赌博合法化的国家,对其是否构成犯罪很难达成一致的意见,国家司法协助一般也很难达成。
(二)单边跨境电子数据取证方式的增强
习近平总书记在第三届世界互联网大会上强调:“网络主权是国家主权在网络上的表现与延伸。”2015年颁布的《国家安全法》第25条(8)《中华人民共和国国家安全法》第25条规定:“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。”首次将“国家网络空间主权”纳入法律的规定范围之内,2016年颁布的《网络安全法》第1条(9)《中华人民共和国网络安全法》第1条规定:“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。”表明网络空间主权与国家安全处于同等地位。由此可见,我国对网络空间主权秉持坚决维护的态度。电子数据是网络空间的表现形式,有学者根据网络空间的技术特征,将网络主权分为“网络物理层主权”“网络逻辑层主权”和“网络数据主权”[5]。齐爱民教授认为,在跨境电子数据取证问题上,网络空间中只有数据存在,故网络主权与数据主权具有一致性[6]。换言之,数据主权体现为能够不受干预地自主独立控制、占有和处分本国数据,具有排他性。
目前,我国对单边跨境电子数据取证主要有三种方式:一是网络在线提取(10)《关于办理刑事案件收集提取和审查判断电子证据若干问题的规定》第9条第2款规定:“对于原始存储介质位于境外或者远程计算机信息系统上的电子数据,可以通过网络在线提取。”。提取的一般是境外公开的数据。二是网络远程勘验(11)《关于办理刑事案件收集提取和审查判断电子证据若干问题的规定》第9条第3款规定:“为进一步查明有关情况,必要时,可以对远程计算机信息系统进行网络远程勘验。进行网络远程勘验,需要采取技术侦查措施的,应当依法经过严格的批准手续。”。刘品新教授认为,远程勘验,就是将整个因特网或局域网当成一个完整的犯罪现场,由执法人员通过网络对远程计算机信息系统实施勘验,发现、提取与犯罪有关的电子证据[7]。实践中,通常采用输入用户名和密码直接登录境外的网站进行电子数据取证,以及采用勘验设备或专门软件提取境外服务器中存储的数据[8]。三是网络监听。《计算机犯罪现场勘验与电子证据检查规则》第25条(12)《计算机犯罪现场勘验与电子证据检查规则》第25条规定:“通过网络监听获取特定主机通信内容以提取电子证据时,应当遵循与远程勘验相同的规定。”的规定表明可以对跨境电子数据进行实时获取。《网络犯罪公约》《云法案》以及《条例》等中的相关法律条款均对单边跨境电子数据的取证方式进行了规定,只要经过境外数据控制者(主要是指互联网企业)的同意,取证国可以直接获取境外电子数据。从上述规则的发展变化来看,我国互联网企业存储的电子数据很可能会面临境外单边取证规则的风险。
综上,各国对单边跨境电子数据取证进行了授权,即执行网络远程勘验等侦查措施具有正当性。但是,一国对于存储于该国境内的电子数据拥有主权,如果取证国略过国际司法协助的方式,依据其国内法对单边跨境取证的相关规定,直接对境外的电子数据进行提取,很可能被他国视为一种敌对行为,还可能引发外交风险。
(三)取证中权利人相关权利的限制
许多国家依据国内法直接施行单边跨境取证,使得单边跨境电子数据取证方式得以强化,令刑事侦查权得以扩大,这不利于犯罪嫌疑人权利的保障。而刑事侦查权与犯罪嫌疑人权利保障的冲突及平衡是整个刑事诉讼程序运行中的重要问题。
1.跨境远程取证可能侵犯权利人的隐私权、知情权等相关权利
跨境远程取证所采取的技术侦查措施可能会对隐私权、知情权等相关权利造成侵犯。首先,采取该项措施时,侦查人员往往采用秘密侦查的方式进行,利用讯问获取的账号密码等信息直接登录境外服务器获取证据,并未告知权利人,也未经其同意。根据我国《刑事诉讼法》第130条(13)《刑事诉讼法》第130条规定:“侦查人员执行勘验、检查,必须持有人民检察院或者公安机关的证明文件。”的规定,在进行远程勘验等侦查措施时,只需要侦查人员持有相关证明文件,对于权利人是否同意并未规定。取证国单方面直接获取电子数据,会使权利人的知情权受到侵犯。其次,各国对隐私的定义存在差异,在对他国存储的电子数据进行提取时,是否要按照他国的国内法对隐私内容的规定进行提取,这些均没有在相关法律规定中有所体现。最后,开展技术侦查措施表现出秘密性,是否有独立的监督机制来保障该技术侦查的实施,在法条中并未明确。技术侦查措施往往具有强制性,由于缺乏相互制约,容易造成侦查权的扩大和滥用。
2.强制跨境数据披露制度会增大权利受到侵犯的可能
欧盟成员国当前在面向服务提供者进行跨境数据披露时,网络服务提供者的配合乃是出于自愿,形式上不具有强制性。《条例》第9条第1项(14)《欧盟电子证据条例(草案)》第9条第1项规定:“接收者应当在收到EPOC之日起10日内将被请求数据直接传送给签发机构或者执行机构,除非签发机构表明提前披露数据的原因。”规定了欧盟成员国的服务提供者具有提供电子数据的法定义务,赋予了数据披露制度的强制属性,无论该数据位于境内还是境外,服务提供者都必须履行数据披露的义务,否则将会受到该《条例》第13条(15)《欧盟电子证据条例(草案)》第13条规定:“在不影响本国法关于刑事制裁规定的情况下,会员国应当制定适用于违反本条例第9、10和11条义务的罚金规则,并采取一切必要措施确保其实施。罚金规则应当具有有效性、比例性和劝诫性。成员国应当立即通知这些规则和措施的制定机关以及影响其实施的后续修正案制定机关。”的惩罚,即罚金规则。换言之,服务提供者提供电子数据具有实质强制性。该《条例》第15条至16条规定,当第三国认为履行欧洲数据生成令的义务会与第三国保护公民基本权利以及国家利益的禁止数据披露的国内法规定产生冲突时,可以拒绝履行,作出拒绝履行的决定时,必须满足拒绝履行的条件,但该条件过于严苛。该《条例》第16条第5项(16)《欧盟电子证据条例(草案)》第16条第5项规定:“如果主管法院认为不存在第1段和第4段所指的相关义务冲突,则应当维持命令。如果主管法院确认第三国法律在适用于具体案件时具有禁止相关数据披露的规定,应当根据下列因素决定是否维持或者撤回命令:(a)受到第三国相关法律保护的利益,比如防止数据披露。(b)该刑事案件与任一司法管辖区之间的关联程度,该关联度可通过数据主体和受害者的地理位置、国籍、住所以及犯罪发生地来判断。(c)服务提供者与相关第三国之间的关联程度。在此情况下,数据存储位置本身不足以构成实质性连接。(d)调查国在获取有关证据时所获利益,可综合考虑犯罪的严重性和迅速获取证据的重要性。(e)接收者或服务提供者履行欧洲数据生成令可能产生的后果,包括可能面临的制裁。”规定了是否维持与撤回数据披露的命令是由主管法院根据《条例》所列举的五种情形来判断,即《条例》不仅赋予了欧盟成员国内部强制数据的披露义务,也对除成员国以外的第三国具有强制履行数据披露的立法倾向。此外,由于跨境数据披露的范围已经扩展到内容数据,内容数据所涵盖的范围极广,包括任何以数字格式形式存储的数据,比如,除用户数据、访问数据、交易数据之外的文本、语音、视频、图像和声音等。侦查人员对电子数据的获取具有完全性,一旦该侦查措施被非法适用或不当适用,将会造成较之以往更大的消极影响:国家主权被侵犯以及权利人相关权利受到侵害。
综上,目前针对单边跨境电子数据取证的立法动向具有强制性,侦查机关在采取单边跨境电子数据取证前,应该经过严格的程序进行授权。由于各国对于该项侦查措施的法律规定存在差异,导致侦查措施的行使具有刚性,不利于人权的保障以及尊重他国的国家主权。
四、跨境电子数据取证的制度设计思路
(一)加强境内外的刑事司法协助
跨境电子数据的获取需要刑事司法协助的规制,如何在各国的不同立法中寻求国际司法协助的平衡以加强境内外的刑事司法协助,是互联网时代电子数据取证的关键所在。世界各国在治理跨国网络犯罪的问题上需达成一致意见,在作出双边或多边国际司法协助的决定之前,要在打击犯罪与本国利益之间进行权衡,是否进行权利让渡,应当达成国际共识。刘品新教授指出,如果一个国家在获取域外电子证据上,只是期望他国提供协助而自己不愿意给予他国协助,或者只是期望依托先进的技术手段或国内法许可的方式进行自行取证,就不可能有效地化解风险(17)2017年9月11日至9月14日,在北京召开的国际检察官联合会第二十二届年会暨会员代表大会上,电子证据保存项目作为会议专题,刘品新教授作了相关的专题报告。(参见:https://www.sohu.com/a/195607844_99923255)。有学者认为,在刑事司法领域实现电子数据的有效流动,根据双边或多边条约签订电子数据取证条约至少应该考虑两个问题:一是签约国国内是否有相对完善的数据隐私、安全规制及跨境电子数据取证法律依据(18)包括是否有隐私法、个人信息保护法及数据安全的法律规定,能够以此为依据对跨境数据流动进行限制;是否有相对明确的电子数据取证规则、执法机构获取电子证据的途径和程序,以保障数据的真实性和合法性;是否有相关立法授权适格政府可就跨境获取数据签订双边执法协议的机制等。,二是国家间在跨境电子数据取证过程中能否实现电子数据取证规则的有效衔接[9]。因此,不同国家应当共同商定关于跨境电子数据取证的国际协作范围、程序、规则等内容。
从我国的《国际刑事司法协助法》来看,我国公安司法机关基于双边条约或协定的刑事跨境取证的程序比较复杂、耗时过长,大大降低了收集与犯罪相关的电子证据的效率,不利于刑事侦查活动的顺利开展,影响对跨境网络犯罪的打击速度。可以从以下三个方面加强境内外的刑事司法协助。其一,简化国际司法协助的程序。上文提到,我国与越南、柬埔寨警方展开了国际警务合作,以此来打击跨境网络赌博犯罪和电信诈骗犯罪。面对境外电子数据取证时,可以基于双边条约派出取证国的取证人员进行取证,提高取证效率。我国公安机关派遣相关人员到境外现场协助或远程视频协助以此来固定、提取电子证据,并允许被请求国执法人员在场见证,全程录音录像[10]。其二,搭建跨境电子数据取证的共享平台。2019年9月28日,“中柬执法合作协调办公室”在金边正式成立[11],双方执法部门将各选派数名工作人员和警务专家联合办公,深化电子数据取证的共享机制,共同打击网络赌博、电信诈骗、涉黑涉恶等犯罪。其三,提倡互惠原则。基于互惠原则,两国之间没有签订相关双边、多边国际刑事司法协助时,被取证国在个案中可以同意为取证国提供协助,与此同时,取证国也要作出相应的承诺。从我国《国际刑事司法协助法》第13条第2款(19)《国际刑事司法协助法》第13条第2款规定:“在没有刑事司法协助条约的情况下,请求国应当作出互惠的承诺。”的规定也可看出,我国提倡在跨境电子数据取证时适用互惠原则。
(二)规范单边跨境电子数据取证方式
为了避免各国的国家主权受到侵犯,双边、多边国际刑事司法协助制度会对跨境电子数据取证进行严格的限制,导致跨境取证的难度加大。单边跨境电子数据取证方式的出现,降低了跨境取证的难度,该方式能够绕过国际刑事司法协助的繁琐程序,提高取证效率。但基于尊重和维护国家主权的原则,必须对单边跨境电子数据取证进行严格限制。
适用单边跨境电子数据取证的案件范围主要有电信诈骗、网络赌博、危害国家安全、实行恐怖主义等针对国际社会均强力打击的网络犯罪。上述网络犯罪所采取的单边跨境电子数据的取证方式包括以下几种:其一,网络在线提取的直接性。此处的网络在线提取是基于境外网站上公开发布的数据,可以通过浏览网页的形式进行,且不会给境外国家的数据安全以及国家主权造成威胁。换言之,采用网络在线提取方式进行取证不会侵犯数据主权者的隐私,说明侦查机关通过网络在线提取网络平台发布的信息不具有强制性[12]。其二,网络远程勘验的严格性。采取网络远程勘验获取电子数据的过程具有隐蔽性和强制性,可能会被视作敌对行为。因此,此项措施必须是在采用网络在线提取的取证方式后,仍不能获取相关犯罪数据,且必须是针对重大跨境网络犯罪案件才能适用。与此同时,侦查人员可通过合法途径获得受害人或证人的同意,登陆账户远程提取境外服务器中的用户数据[13],也可根据比例原则,将要提取的电子数据的类型、采取的侦查措施划分等级,设置层层递进的审批程序,缓和侦查措施强制性带来的冲突。其三,采取“通知”的方式进行取证。在国际法中,虽然可以考虑将礼让作为各国通知的理由,但是,将跨境侦查措施通知另一个国家的行为当作是特定义务是毫无根据的。然而,这并不意味着跨境侦查措施在默认情况下是合法的。相反,无论是在搜查之前还是之后,单方面通知都不会影响对跨境侦查措施合法性的评估[14]。但是,一旦向被取证国发出通知,这样的行为有利于国家之间的外交关系。其四,严格审查单边跨境电子数据的请求。欧盟对于发布和执行电子数据境外获取请求的司法审查较为严格。首先,需要独立司法当局的参与,以核实检察机关是否要求跨境数据由公司以合法方式披露,这是电子数据在法庭上作为证据被接受的先决条件。其次,还需要对外国当局提出的请求进行司法评估,以确定后者在域外行使刑事管辖权时仍受欧盟主要和次要法律的约束,尊重为刑事司法目的收集和处理数据的国家的宪法和刑法。最后,在公开寻求刑事调查的数据之前需进行独立司法监督,这不仅提高了法律的确定性,而且避免了在跨国执法行动中涉及受不同宪法和刑法传统管辖的多个法域(例如,对抗性或审问式)时通常出现的法律冲突[15]。因此,可以借鉴欧盟严格独立的司法审查模式,对单边跨境电子数据取证进行限制。
(三)保障权利人的相关权利
1.强化权利保障是简化程序的基础
为了提高跨境电子数据取证的效率,需要简化双边、多边国际刑事司法协助程序,但在简化上述程序时,需对权利人相关权利的保障予以强化,而各国对权利人相关权利的保障有着不同的规定。其一,美国《云法案》要求,与其他国家签订获取电子数据行政协定时,将考虑外国政府是否对公民的隐私权和其他权利提供了强有力的实体性和程序性的保障,并审查外国政府在网络犯罪和电子数据取证方面的立法情况等[16]。这一规定加强了跨境电子数据取证中的权利保障。其二,《条例》第1条第2项(20)《欧盟电子证据条例(草案)》第1条第2项规定:“本条例不具有修改尊重TEU第6条所载基本权利和法律原则的义务的效力,包括当事人在刑事诉讼程序中的辩护权以及执法或司法机关在这方面的现存义务。”规定了尊重当事人在刑事诉讼程序中的辩护权以及执法或司法机关在这方面的现存义务。该《条例》第17条第1项(21)《欧盟电子证据条例(草案)》第17条第1项规定:“被获取数据的犯罪嫌疑人和被告人有权在签发欧洲数据生成令的刑事诉讼程序中采取有效的补救措施来避免执行,这不影响欧盟第(EU)2016/680号令和欧盟第(EU)2016/679号条例中补救措施的适用。”规定了被获取数据的犯罪嫌疑人和被告人获得法律救济的权利。其三,适用比例原则保障权益。单边跨境电子数据取证的不同取证方式应当根据比例原则进行司法审查,可以采取事前的告知、事中的协商以及事后的补救方式与被取证国进行沟通,避免对他国国家主权的侵犯,从而最大程度保障权利人的合法权益。
2.增强跨境数据流动,完善数据披露制度
美国的《云法案》以及欧盟的《条例》均规定向其境内提供网络服务的服务提供者具有强制数据披露义务。欧盟委员会正在考虑建立一个通用的欧盟法律框架,以界定数据提供商和服务提供商的类型。由于服务提供商将受到跨境生产订单或要求的制约,因此,这些数据提供商和服务提供商将在欧盟内部,甚至是通过欧盟内的强制法律代表向第三国提交。该立法还可能涵盖通过扣押设备直接访问数据,而无需通过服务提供商[17]。我国的《网络安全法》与《数据安全法》对强制数据披露制度进行了回应,网络服务提供者不能直接向境外提供数据,必须依照法律规定的审核同意程序,这不免会限制跨境数据的流动。在互联网时代,电子数据全球化已成为一种趋势。2019年1月,日本在达沃斯会议上提出了“可信数据自由流动”的概念,并在6月底发布了G20《大阪数字经济宣言》(22)该宣言签订者包括中国、美国、日本和欧盟等24个国家和地区。,该宣言表明将在尊重国内和国际法律框架的基础上,建立信任和促进数据的自由流动[18]。各国应该在保证数据自由流动的情形下,完善数据披露制度。境内外数据跨境流动制度存在差异,美国在全球数据自由流动基础上对跨境电子数据取证适用“长臂管辖”原则,欧盟则重视对数据主体的权利保障[19],中国、越南、俄罗斯等国则趋向于选择数据本地化存储政策,减少数据向境外传输,这就赋予了网络服务提供平台更为严格的法律义务。网络服务提供平台还要确立允许取证国获取电子数据的类型,例如,将数据分为内容数据、用户数据、访问数据、交易数据等,对不同数据类别设立对应的数据披露条件和程序。在向境外国家提供相关数据时,要遵守我国对数据跨境传输的规定,在充分维护我国国家主权的基础上,实现数据的跨境传输。
五、结 语
当前,跨境电子数据取证的首要选择是基于双边、多边国际刑事司法协助制度,这需要在尊重和维护他国国家主权的情形下进行,在国际上也获得广泛的认可。单边跨境电子数据取证的方式可以作为国际司法协助的补充,但是,单边跨境取证措施的强制性和秘密性可能会造成刑事侦查权的扩大,从而与国家主权的维护形成冲突,这就必须在二者间寻求平衡。跨境电子数据取证监督机制的完善也势在必行,以防止在适用强制性侦查措施时将将侦查权进行扩大化,这将不利于跨境电子数据的取证。互联网企业是主要的网络服务提供者,掌握着大量的用户数据,而取证国向网络服务提供者获取相关数据已经成为常态,在进行数据披露制度时,要遵循该互联网企业数据提取类型以及提取条件的规定。不同国家有关数据披露制度的规定不一,因此,要加强与互联网企业的协商,在尊重和维护双方数据主权、国家主权的情形下实现合作共赢。