李小恺，张 晨

（中国政法大学，北京 100088）

一、问题的提出

在网络信息时代，数字技术在深刻影响人们日常生活的同时，也为刑事司法带来了客观难题：面对犯罪信息的分散存储、动态集散和“转瞬即逝”，习惯于事后启动和依赖传统技术手段的侦查机关对于侦破案件越来越力不从心。与之形成鲜明反差的是，居于信息化社会重要节点的网络服务提供者基于业务需要天然掌握了海量的信息资源，并且拥有专业的技术优势。因此，侦查机关对网络服务提供者的依赖程度逐渐提高，现有规则也相应地课予了网络服务提供者一系列概括式、实质化、无偿性的协助义务。

然而，网络服务提供者在现实社会和法律世界中不仅仅扮演了这一重角色。换言之，网络服务提供者基于不同的角色和定位，同时承担了多种可能互不兼容的义务，需要对相互冲突的义务加以平衡和调适。具体到刑事司法领域，这种义务冲突主要体现在以个人信息为对象的协助侦查义务和个人信息保护义务之间。如果网络服务提供者积极履行协助义务，将极大增益侦查工作的效率，但这也可能导致承载于个人信息上的公民权利或权益遭到不当减损；如果网络服务提供者为履行个人信息保护义务而消极配合，则会产生相反的效果。

为了调和前述两种义务之间的冲突，《个人信息保护法》确立了协助侦查义务的优位性，但这种形式化的确立依然无法为网络服务提供者提供明晰的判断和操作路径［1］。在形式上，不同法律之间尚未形成有效衔接，法律调整的失灵导致网络服务提供者陷入左右为难的局面。在实质上，网络服务提供者履行协助侦查义务的现实必要性并不意味着义务本身在法理上天然具有正当性和合理性。具体而言，个人信息权益冲击了刑事诉讼法的内在逻辑，但电子数据取证措施仍然沿用了刑事诉讼法传统的程序控制规范，导致部分强制性侦查措施处于“失范状态”。这些强制性侦查措施的发动本应经过严格的审批程序，然而现在侦查机关以较为宽松的程序即可要求网络服务提供者承担相应的协助义务，且网络服务提供者无法寻求明确的法律依据予以有效抗辩。

本文正是由此出发，在个人信息保护的语境下，探讨网络服务提供者的协助侦查义务与个人信息保护义务产生冲突的根源以及调和冲突的平衡点，以此明晰网络服务提供者协助侦查义务的合理边界。

二、义务冲突视角下第三方主体协助侦查之义务边界

现代社会的人民基于对民主和法治的观念认知具有了参与诉讼的热情和内在动机，这在我国的刑事诉讼活动中体现为依靠群众原则［2］。为了落实这一刑事诉讼基本原则，《刑事诉讼法》对公安司法机关作出了“吸收公民协助调查”的概括式要求，同时也确立了一系列第三方主体的协助侦查义务。①比如如实提供证据（第54 条第1 款）、作证（第62 条第1 款）、报案或者举报（第110 条第1 款）、保护犯罪现场（第129 条）、配合搜查、查封、扣押、技术侦查等侦查措施（第137 条、第144 条第1 款、第152 条第4 款）。换言之，与刑事追诉活动没有利害关系的第三方主体应当为侦查机关查明案情、收集证据提供必要的执法便利。然而，并非只有《刑事诉讼法》能够为第三方主体设置义务负担。不过在一般情况下，第三方主体违反协助侦查义务不会引致特定的法律后果，也即有关单位和个人承担上述协助义务的要求主要体现为一种宣誓和倡导意义，故而义务冲突的现象并不突出。②当然，这不意味着案外人拒不履行义务后不承担任何法律责任。一般情况下，案外人不履行协助义务而承担有关法律责任的情形主要有两种：一是案外人对于刑事追诉活动具有不可替代性，这主要指向了案外人的证人身份。根据《刑事诉讼法》第193 条第2 款的规定，证人没有正当理由拒绝出庭或者出庭后拒绝作证的，可能受到训诫或者拘留。二是有关案件涉及到特定犯罪类型，如案件涉及间谍犯罪、恐怖主义犯罪、极端主义犯罪时，案外人拒不配合的行为可能构成“拒绝提供间谍犯罪、恐怖主义犯罪、极端主义犯罪证据罪”。需要注意的是，证人的作证义务可能与律师保密义务等其他义务相冲突，但本文所主要研究的网络服务提供者无法提供证言，所以对此类义务冲突不予讨论。但是基于行业性质或者功能特征，《刑事诉讼法》为某些单位和个人设置了实质性的协助侦查义务，由此产生了法定义务之间出现实质冲突的可能［3］，进而引出了义务冲突视角下第三方主体履行义务的顺序问题。

（一）实践归纳：第三方主体协助侦查义务边界之初步划定

以金融机构所承担的协助侦查义务为例。一方面，金融机构违反协助侦查义务将面临较为严厉的处罚，这体现了义务的强制程度。如《银行业金融机构协助人民检察院公安机关国家安全机关查询冻结工作规定》第28 条规定，银行金融机构在协助公安司法机关查询、冻结工作中无正当理由拒绝协助配合、造成严重后果的，需要依法承担相应的行政责任和刑事责任。另一方面，就协助侦查过程中可能涉及的不同义务而言，现有规范明确了金融机构的义务履行顺序：由法律授权的侦查活动可以突破金融机构所负有的保护义务而要求金融机构提供协助。如《商业银行法》第29 条第2 款和第30 条分别就个人储蓄存款和单位存款规定了商业银行有权拒绝查询、冻结、扣划和相应的例外情形。具体而言，商业银行对存款人负有保护义务，不得非法查询、冻结、扣划个人储蓄存款或者单位存款，否则承担相应的法律责任。但在商业银行原则性承担保护义务之外，针对个人储蓄存款，该法确立了“法律另有规定”的例外情形，针对单位存款则区分了查询、冻结和划扣措施，分别确立了“法律、行政法规另有规定”和“法律另有规定”的例外情形。需要注意的是，虽然针对查询单位存款设立了“行政法规另有规定”的例外，但是在刑事诉讼领域，查询通常被视为强制性侦查措施，①依据《公安机关办理刑事案件程序规定》第238 条的规定，查询财产应当经县级以上公安机关负责人批准，此种审批等级同冻结等典型的强制性侦查措施的要求相同。但同时，《人民检察院刑事诉讼规则》第169 条、《公安机关办理刑事案件程序规定》第174 条第2 款、《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》第12 条等规定都将“查询”明确为“不限制被调查对象人身、财产权利的措施”。本文认为，后者规定的“查询”没有明确的对象指向，而存款、汇款等财产涉及公民个人、企业的财产权，此类以财产为对象的“查询”不能被纳入后者的宽泛规定中进而被解释为任意性侦查措施。应当同冻结一样适用法律保留原则，由“法律”创设规定。此时，《刑事诉讼法》第144 条确立的有关单位和个人配合查询、冻结的义务就可以成为商业银行豁免保护义务的依据。

由此可以初步归纳出第三方主体的协助侦查义务边界：一是协助侦查义务属于其他法定义务的例外情形；二是协助侦查义务只有在获得“法律”明确授权的基础上才可以优先于其他法定义务得到履行。当然，上述分析只是初步讨论了规范层面划定的边界，而此种边界是否具有正当性还需要来自理论的考察和检验。

（二）理论检视：第三方主体协助侦查义务边界之确定标准

从第三方主体协助侦查义务的本质出发，上述边界也具有正当性。第三方主体受公权力机关委托而提供协助，因而其履行义务的“权力”主要源自公权力。特别是在履行具有较高强制性的协助义务时，协助过程并不体现自身意志。如果忽略了这一点，就有可能导致公权力的行使得以绕过相应的法律限制，进而规避了原本应当得到严密遵守的程序控制要求，最终消解了对公民基本权利的保护。也正是在这个意义上，有关规范明确，如果因违反有关规定适用侦查措施导致国家赔偿的，协助执行的第三方主体不承担赔偿责任。②《公安机关办理刑事案件适用查封、冻结措施有关规定》第52 条规定：“公安机关办理刑事案件适用查封、冻结措施，因违反有关规定导致国家赔偿的，应当承担相应的赔偿责任，并依照《国家赔偿法》的规定向有关责任人员追偿部分或者全部赔偿费用，协助执行的部门和单位不承担赔偿责任。”

公权力天然具有向外扩张的内在动力，一旦缺少有力和有效的手段来遏制这种扩张行为，公权力的扩张就会变得肆无忌惮［4］。因此，基本权利的典型功能就是防御功能，赋予公民可以对抗国家侵害的基础［5］。当然，对公民基本权利的保护是相对的。当公权力所保障的国家安全和公共利益在个案冲突中属于个人权益的优位阶利益时，公权力可以构成对公民基本权利的限制。但是这并不意味着公权力可以以此为由大肆干预公民的基本权利，由此就形成了保护公民基本权利和行使公权力之间的张力。根据基本权利干预理论，行使国家公权力必须通过三个阶段的审查（基本权→基本权干预→干预的正当性），始为“合宪、合法”之基本权干预［6］8。具体而言，首先需要审查行使国家公权力是否涉及公民基本权利。其次，需要审查行使国家公权力是否构成基本权之干预。最后，需要审查系争基本权干预有无正当化事由。在具体个案中，这可以进一步划分为两种情形：一是合法的公民基本权利干预。只有当某一项干预公民基本权利的侦查行为具备正当化事由，方可实现公权力对公民基本权利的限制。二是违法的公民基本权利干预。如果有关侦查行为未能通过审查，则公权力侵犯了公民基本权利。

上述“基本权利干预”理论正是我国刑事程序规范所吸收适用的区分侦查措施性质的理论标准：侦查措施据此被区分为不干预公民基本权利的任意性侦查措施和干预公民基本权利的强制性侦查措施［7］。针对强制性侦查措施，法治国家普遍采用了法律保留原则和比例原则加以控制，此即干预之正当化事由。同时，基于对侦查效率以及尊重受处分人权利的考虑，同意被视为与法律保留原则并行的机制［6］84。如果侦查机关取得了侦查相对方的同意，那么有关侦查措施的运用就免于严格的法律程序限制。因此，“同意”具有将强制性侦查措施转化为任意性侦查措施的功能。

概言之，刺破第三方主体协助侦查的面纱，义务履行的本质是国家公权力的行使，所以第三方主体协助侦查义务的边界可以进一步转化为：在刑事追诉活动中，基本权利为国家公权力行使划定的边界。在此基础上，结合前述分析，协助侦查义务的边界可以确立为：对于不干预公民基本权利的任意性侦查措施，其适用以取得侦查相对方的同意为前提，第三方主体不应仅凭侦查机关的要求而直接履行。对于合法限制公民基本权利的强制性侦查措施，第三方主体可以优先履行协助侦查义务，此时协助侦查义务可以突破第三方主体的其他法定义务。对于非法侵犯公民基本权利的强制性侦查措施，第三方主体理论上应当拒绝提供协助。

三、网络服务提供者协助侦查义务之冲突困境

在网络信息时代，网络服务提供者基于信息和技术优势成为侦查机关所必须依赖的力量。但不同于金融机构等第三方主体，鉴于复杂交织的权利保障要求和电子数据取证的特性，在立法规范模糊不足的情况下，网络服务提供者面临着更加棘手的义务履行要求。根据前述分析，合理设置第三方主体协助侦查义务的前提是侦查措施在立法和司法层面合宪、合法。但检视目前的法律规范，部分电子数据新型侦查取证措施不能通过基本权利干预审查，并且存在以任意性侦查措施“挂名”代替强制性侦查措施的现象。激烈的冲突加之粗疏的规范，导致网络服务提供者处于优先履行何种义务都将受到责难的局面，而协助调取电子数据正是其中的“重灾区”。下文将以调取电子数据措施为例，分析现有侦查取证措施的设置不合理之处，以及由此带来的网络服务提供者协助侦查义务冲突困境。

（一）问题起点：调取电子数据措施法律性质之错位

目前有关调取电子数据的规范主要规定于《数据安全法》以及《关于办理网络犯罪案件适用刑事诉讼程序若干问题的规定》《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》《公安机关办理刑事案件电子数据取证规则》等法律规范中。其中，《数据安全法》第35 条第一次从立法层面规定了调取电子数据及协助义务，但其只是概括性规定，且与现行规范在审批程序等方面产生矛盾；而其他法律规范几乎照搬了《公安执法细则》等文件中对于调取证据的规定。这种规范体系内的混乱直接暴露出调取电子数据的法律性质存在定位不明的问题。

追本溯源，“调取电子数据”的上位概念是“调取”，因而应当首先明确调取证据的法律性质。现行法律规范将“调取证据材料”规定为“不限制人身、财产权利”的侦查措施，这意味着调取被视为任意性侦查措施。①《人民检察院刑事诉讼规则》第169 条、《公安机关办理刑事案件程序规定》第174 条第2 款、《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》第12 条等规定都将“调取证据材料”明确为“不限制被调查对象人身、财产权利的措施”。基于此，有学者指出，“调取”以被调取主体的“同意合作”为前提，其实质就是“同意扣押”［8］。因此，被调取主体可以拒绝配合，侦查机关继而可以依法选择适用扣押等强制性侦查措施。按照此种解读方式，向邮电机关调取邮件这种明显带有干预色彩的侦查措施不应被纳入“调取证据”的规制范畴，而应当归属于特定的“邮件扣押”这一强制性侦查措施。在这一意义上，应当在狭义层面将具备干预色彩属性的取证行为剥离出调取证据的内涵，同时将《刑事诉讼法》第54 条视为针对任意性侦查措施的概括性授权条款［9］。

但目前调取电子数据的实践方式显然已经超出了调取证据的“任意性”内涵。首先，网络服务提供者与用户之间的信息托管模式——“用户所有+网络服务提供者占有”——使得侦查机关可以绕开信息所有者而直接获取有关证据。然而，“同意”的发出主体应当是对有关证据享有权益的主体，而非持有有关证据的主体。事实上，在网络服务的应用场景下，信息主体之所以同意将有关信息提交给网络服务提供者，虽有“自愿”之名，实为不得已之举。用户授权有关信息是网络服务得以正常运行的逻辑前提，也因此是用户想要获取网络服务的必然行为。此外，根据个人信息保护所适用的“知情同意”原则，用户在提供信息时必须存在一个已知的目的，个人信息处理者必须经用户授权，按照用户已经明知、同意的目的和方式从事相关活动，这显然无法包容网络服务提供者直接向侦查机关提供有关数据的场景。综上，网络服务提供者和用户对于有关信息享有不同的权益，用户授权网络服务提供者处理信息并不意味着对有关个人信息权益的放弃；而网络服务提供者的权益来源为对信息的占有、与用户之间订立的合约。所以，网络服务提供者无法代替用户决定是否授权有关信息，这就使基于同意而获得的“任意性”大打折扣。

此外，调取电子数据的实际运行模式会使得其脱离“任意性”范畴而迈入“强制性”范畴。一方面，虽然侦查机关在出具《协助调取证据通知书》时应当注明“电子数据的相关信息”，以尽可能缩小调取证据的范围，防止因范围过大而损害侦查对象的权利。然而，电子数据的自身特性决定了侦查机关可能很难在事前确定目标电子数据在服务器等设备中的存储位置，甚至对网络服务提供者是否留存有关电子数据无从知晓，网络服务提供者只得进行勘探式寻找。甚至有的网络服务提供者会直接为侦查机关提供镜像和端口，允许侦查人员远程对其托管的、实际属于其客户的服务器进行勘验。上述做法虽然为调取之必要，但显然已经超出了“调取”所能涵盖的范畴，应当归属于“搜查”的范畴，而有关后者的要求在我国目前的电子数据取证规范中处于空白状态。另一方面，即使侦查机关可以提供相对明确的调取范围，网络服务提供者为了简省义务流程、避免重复性工作，也可能会自主扩大电子数据的调取范围。“网络服务商往往不会耗费大量精力，按照执法机关的要求只提供与案件有关的信息，而是简单地将大量复制的文件交予执法机关。”［10］在前述场景下，侦查机关最终收集的信息很可能超出原本的“调取证据”行为所应当覆盖的范围。如果调取范围超出了原有的同意范围，那么超出部分就因为未获得同意而不具有“任意性”。

概言之，调取电子数据极易异化产生“侵犯公民个人信息权益”的干预性，不能将其仅以任意性侦查措施统合规制。

（二）直接后果：冲突背景下协助侦查义务边界模糊

在廓清了调取电子数据的本质内涵后，结合前述分析得出的第三方主体协助侦查义务的边界，可以发现目前协助侦查义务和个人信息保护义务的冲突未得到妥善解决。

首先，由前文分析可知，调取电子数据中“同意”要素的消失和概括式的调取方式都赋予了实践中的调取电子数据行为以强制性色彩，进而与其“任意性侦查措施”的定性不相匹配。一方面，这种错位显示出在电子数据取证措施配置中，公权力行使与公民基本权利保护之间存在失衡。另一方面，这促成了实践中以调取电子数据之名行搜查电子数据之实的泛滥。因为实施调取电子数据只需符合较为宽松的程序条件，所以在明明应当以强制性侦查措施收集电子数据的情形下，“办案人员一般都降格采用了形式上不具备强制侦查属性的调取措施”［7］。由此，干预公民基本权利的侦查措施逃脱了相应的严格程序控制，进而架空了刑事诉讼法对基本权利的保障机制，变相压缩并且实质减损了个人信息保护的力度。

其次，立法为网络服务提供者设置了违反义务的相应罚则，并且没有设置任何例外情形，如《数据安全法》第48 条第1 款明确了拒不配合数据调取所对应的法律责任。①《数据安全法》第48 条第1 款规定：“违反本法第三十五条规定，拒不配合数据调取的，由有关主管部门责令改正，给予警告，并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”按照前文分析，运用强制性侦查措施不取决于侦查相对方的配合意愿，构成对抗其他法定义务的依据，所以针对合法适用的强制性侦查措施的协助义务可以突破第三方主体的其他法定义务。但是，披着任意性侦查措施外衣的调取电子数据无法成为网络服务提供者拒绝履行个人信息保护义务的依据。在未取得侦查相对方同意的情况下，网络服务提供者不应当为侦查机关调取通讯记录、金融信息等“加密信息”提供协助。但是，面对拒绝即处罚的规定，网络服务提供者不存在自主选择的空间，遑论对隐私与安全的平衡。虽然网络服务提供者的存在看似使得大量个人信息脱离用户掌控，用户面临着在互联网“裸奔”的窘境，并产生了对信息安全的担忧。但不可否认的是，网络服务提供者无论是基于商业竞争还是社会责任的目的，都致力于提升信息的安全系数，并且能够在个人和国家之间筑起一道屏障。然而，在这种超强制性义务的要求下，网络服务提供者为了避免受到非难，在隐私政策协议中事先注明“履行法定义务”的“免责声明”，积极配合侦查机关的调取需求［11］，以避免合规风险。于是，“公民的隐私及数据权利被平衡掉了”［12］。

再次，协助侦查义务的粗疏规定无法与个人信息保护规则形成有效衔接。以个人信息保护义务中的告知义务为例，法律规范的空白直接导致了义务履行两难的局面，甚至产生了无论是否履行告知义务都必然承担责任的情形。具体而言，《个人信息保护法》规定了告知的豁免情形，包括“法律、行政法规规定应当保密或者不需要告知”“告知妨碍国家机关履行职责”“紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知”三种。然而，上述例外事由均涉及被调取对象的公民基本权利的减损，应当以法律的明确授权作为正当性基础，但《刑事诉讼法》以及有关行政法规鲜见有关规定［13］。对网络服务提供者而言，这意味着其豁免自身告知义务并无法律上的依据，但这恰是侦查机关为保守侦查秘密、保障刑事诉讼顺利进行而希望网络服务提供者所为之事。

四、网络服务提供者协助侦查义务之冲突根源

通过分析协助调取电子数据中的义务冲突现象，可以看出导致义务冲突无法得到实质解决的根源在于目前我国刑事诉讼领域对个人信息权益的回应较为滞后。这种滞后性直接体现在对侦查措施的界分失灵，进而影响了网络服务提供者协助侦查义务的边界划定。只有在实现“权力-权利”动态平衡的基础上构建侦查措施体系，才可以在根本上提供化解协助侦查义务与个人信息保护义务冲突的可能。

（一）个人信息权益在刑事诉讼中的导入路径

在网络信息时代，公民基本权利也发生转换与升级，侦查行为的对象在传统的人身权、财产权之外，也开始关注平等权、隐私权、人格尊严、精神自由等基本权利和自由［14］。这显然已经超出了我国现行法律规范所关注的“人身、财产权利”，①《人民检察院刑事诉讼规则》第169 条、《公安机关办理刑事案件程序规定》第174 条第2 款、《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》第12 条等都采取了“不限制被调查对象人身、财产权利的措施”的表述。而权利保障的不周延正是前述侦查取证行为不当扩张的根源所在。鉴于此，域外其他国家和地区相继通过立法或者判例的形式将公民的隐私权、个人信息权益纳入保护范围。基本权利的内涵变化是刑事诉讼内在逻辑受到冲击的起点，而明确基本权利的保障范围正是审查基本权利干预的前提。虽然私法领域已经就个人信息权益进行了较为充分的讨论，但其中成果难以直接转移至刑事诉讼领域，如何在刑事诉讼领域导入个人信息权益成为当务之急。

首先，隐私权与个人信息保护权益和而不同。隐私权构成刑事诉讼领域的基本权利在我国理论界已经基本达成共识。尽管《宪法》没有对隐私权予以明确，但是可以从人格尊严条款推导出其具有基本权利的属性，进而适用基本权利的保护模式。然而，“隐私权要解决的核心问题是私密性与公开性的关系，而个人信息权益要解决的核心问题是个人信息的保护与社会利用”［15］。两项权利的区别决定了隐私权难以覆盖个人信息权益的辐射范围，因此，必须在隐私权之外单独审视个人信息权益。

其次，通过考察域外国家和地区对于个人信息权益在刑事诉讼领域的导入路径，有学者提出了将隐私权与个人信息权益融合与层分的导入路径［16］。具体而言，个人信息权益侧重于对权利的“软性”规范与引导限制，对权力没有阻隔的效果，因而要求国家处理个人信息时遵守个人信息保护的底线制度即可［16］。与之相异，隐私权所具有的基本权利属性能够为公权力的行使划定边界范围。同时需要注意的是，个人信息和隐私之间存在着交叉和转化关系，个人信息经过汇聚转化有可能被还原为隐私，这一过程甚至可以实现对有关主体的人格画像，这种潜在的风险应当受到关注。因此，个人信息权益在刑事诉讼中的本质就是保障信息主体不受过度收集［17］。综上，刑事诉讼中个人信息保护应当兼采个人信息权益和隐私权，具体表现为保护信息主体不被过度收集，以及将个人信息所包含的隐私信息归入原有的刑事诉讼基本权利保障范围。

就“不被过度收集”而言，有必要作出进一步分析。考察域外国家和地区的立法及司法实践，主要是通过吸收和转化原本应用于“处理与国家安全保障相关信息”的马赛克理论（Mosaic Theory），为强化对新型侦查手段的法律规制提供正当化论证［18］。马赛克理论描述了这样一种现象：当看似无关、甚至没有意义的信息发生聚合时，有可能创造出一个具有揭示性的“马赛克”，进而描画出一个人生活的全貌［19］，产生干预公民基本权利的风险。所以，马赛克理论要求侦查机关的信息收集、分析行为应当被视为一个整体而非离散的步骤。因此，国内学者在引入有关理论时也认为要将侦查信息处理的全过程纳入法律规制范围，包括信息采集、信息存储、信息分析等阶段［20］。然而，上述做法的合理性有待进一步商榷。在马赛克理论应用于琼斯案时，就有学者指出马赛克理论并没有解决好适用它所需要面临的一系列问题，难以在实践中得到有效应用。①该学者提出了适用“马赛克”理论应当解决而尚未解决的四个主要问题，分别是标准问题（the Standard Question）、分组问题（the Grouping Question）、宪法合理性（Constitutional Reasonableness）、马赛克违反情形的救济措施（Remedies for Mosaic Violations）。See KERR O S.The Mosaic Theory of the Fourth Amendment［J］.Michigan Law Review，2012，111（3）:311-354.之后也有学者研究了下级法院判决中马赛克理论的应用情况，发现了马赛克理论所造成的混乱问题——几乎每个案件都需要一个全新的分析，这带来了极大的不确定性［19］。

仅仅是宣誓意义和图景意义的号召对于解决问题并无实益。虽然信息技术对侦查权的运行方式以及对基本权利的干预方式产生较大影响，但数据分析的过程较为隐蔽且难以把握。一方面，对“数据分析行为”进行法律规制和审查不具有可操作性。有学者在提出创设数据分析程序的建议后，指出应当对数据收集行为和分析行为进行分别审查［21］。但是问题在于：首先，针对同样的数据，有的侦查人员可以获得一个窥探当事人隐私的窗口，但有的侦查人员并不会对此展开分析。针对这一点的反驳意见也许是这种可能的分析行为本身就意味着一种潜在的风险。但即便如此，问题还在于用以分析的数据范围是侦查人员根据具体情况进行裁量的，数据的数量、类型、相互关系都会对分析结果产生影响，因而难以事先明确划定何种规模的数据具备从中分析出隐私的可能。其次，即使试图在事前对数据分析行为施加审批程序，其实质的审查对象依然是侦查人员的收集信息行为。因此，连续审查——通过明确信息收集的范围和时间、限定信息收集的目的等要件来提前预防分析行为可能带来的风险——才是切实有效的选择［22］。另一方面，“通过信息聚合以揭示案件事实是刑事诉讼程序的本质属性”［23］279，“分析”本身就是侦查机关汇总线索、排除嫌疑、查明案件事实所必经的阶段。在这一意义上，“分析”是侦查机关的内部行为，很难对其实现有效监管。总之，本文认为较为合理的方式是将规制重点放在切实可见的收集行为上。对于在数据分析阶段获得的个人隐私等“马赛克”部分，侦查机关需要承担《刑事诉讼法》规定的对国家秘密、商业秘密和个人隐私的保密义务。

（二）信息托管模式下个人信息权益的保护标准

传统物理场域下，权利主体对于权利客体具有相对垄断的控制力，正是基于这一假设，刑事侦查活动的正当程序规则以针对犯罪嫌疑人、被告人基本权利的干预行为为重点规制对象之一［23］114。这种“控制力”体现为两个方面：第一，权利主体对于即将适用的侦查措施享有完全的知情权，并可以自主作出是否同意的意思表示。同时，两项判断标准——是否同意与是否干预基本权利——在适用时是连贯的。以搜查为例，根据《公安机关执法细则（第三版）》的有关规定，实施搜查的一般步骤为：侦查机关首先履行告知义务，其次可以要求有关单位和个人交出可以证明犯罪嫌疑人有罪或者无罪的证据，如果被搜查人或者其家属拒不配合，侦查人员可以强制搜查。第二，即使有关证据的占有者并非所有者，但考虑到所有者转移有关物品意味着一种“授权”，所以第三方的同意可以赋予搜查、扣押行为以任意性。

而信息托管模式对前述模式产生了新的冲击，这主要体现在权利主体的概括转移。在美国，依据“第三方原则”（Third Party Doctrine），公民自愿向第三方提供的信息不受宪法第四修正案的保护，因此政府通过第三方收集证据并不会侵犯公民的“合理隐私期待”。然而，现代社会人们越来越依赖于互联网进行通信和交易，这一原则意味着侦查机关可以以极低的成本收集大量在线数据，进而威胁着互联网中的个人信息与隐私安全［24］。考虑到普遍的数字监控所带来的隐私危害，“第三方原则”逐渐受到限制［25］。既然用户并没有放弃托管于网络服务提供者处的信息之上的权利，那么以其“不知情”而不存在个人意志的压制，进而将此类政府收集信息的行为归于任意性侦查措施的观点，显然是不合理的。但是在权利主体概括转移的情况下，如何在不影响侦查效率的同时优先获得真实有效的“同意”较为困难，这也是“同意”这一要件屡遭诟病的原因。但是，第三方原则并非全无生存空间［21］，应当结合个人信息权益与隐私权等基本权利的关联程度对侦查措施作出评价。

下面依然以调取电子数据为例展开分析。《个人信息保护法》将个人信息划分为一般个人信息和敏感个人信息，该法第28 条第1 款规定“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息”属于敏感个人信息，且关涉自然人的人格尊严，人身、财产安全。虽然隐私与个人信息存在交叉关系，敏感个人信息无法与隐私直接画等号，但是这可以提供一个相对清晰的初步分析框架。具体而言，针对敏感个人信息进行侦查取证时容易干预公民基本权利，此时应当区别情形适用不同的强制性侦查措施授权条款。例如，当侦查机关要求网络服务提供者协助调取所存储的电子邮件时，因为电子邮件上承载了通信秘密这一宪法性权利，因此这一调取证据措施无法适用调取电子数据的概括性授权条款，而应依据《刑事诉讼法》第143 条规定适用邮件扣押这一强制性侦查措施；当侦查机关要求网络服务提供者协助调取犯罪嫌疑人的财产信息时，其上承载的权利属于财产权，应当依据《刑事诉讼法》第144条规定适用查询这一强制性侦查措施。

需要注意的是，侦查取证的过程一旦有可能涉及敏感个人信息，也应当将有关侦查措施归为强制性侦查措施。例如，侦查机关没有掌握有关信息在服务器中的具体存储位置而对服务器进行“勘探式”搜索，这一过程实际上会涉及诸多与案件无关的信息，并产生干预隐私的可能。然而，我国现行电子数据取证规范中缺失了“电子数据搜查”这一侦查措施，而是由远程勘验变相负载了“搜查”的功能。但问题在于，按照目前通说关于勘验措施的理解，如果将“勘验”的原意投射到“远程勘验”的含义上，远程勘验不应当成为强制性侦查措施［26］。这就暴露出我国立法对于强制性侦查措施和任意性侦查措施的界分混乱。

对于上述涉及基本权利的个人信息，网络服务提供者通常会在提供网络服务的过程中配置加密手段而无权查看，进而也没有相应的处分权。但合法适用的强制性侦查措施可以突破对公民基本权利的保护屏障。考虑到有关电子数据的存储位置和操作难易程度，侦查机关可以要求网络服务提供者提供必要的协助。为此，日本创设了“附带记录命令的扣押”这一新的制度，即侦查人员可以命令电子记录的保管人和其他有权利用电子记录的人，让他们将必要的电子记录存储或印刷在记录介质上，并扣押该记录介质［27］144。这种附带记录命令的扣押是强制性侦查措施，需要由法官签发令状，并且一般情况下不是先予执行的［27］145。而根据有关任意性侦查措施的理论，如果侦查机关获得侦查相对方的同意，上述干预基本权利的侦查措施即可转化为任意性侦查措施。但通常情况下，为了保障破案顺利，防止有关线索材料遭到灭失，侦查机关一般不会单独通知当事人，这就不可避免地减损了侦查对象的知情权与同意权。此外，考虑到网络空间的“匿名性”特征，许多信息类似于“无主物”，并不能对应到具体的个人或者单位，此时处于“同意不能”的情形。对于如何在刑事司法中实现对知情权与同意权的保障将在下一部分集中讨论。

对于以一般个人信息为对象的侦查措施，此处就涉及了第三方原则的有限适用。一般个人信息通常包括用户数据、交互数据等非内容数据，也包括用户公开的内容数据中可以被识别为个人信息的信息。这些信息通常情况下不涉及公民基本权利，用户向第三方提供或者公开的行为本身就是自决权的行使过程，网络服务提供者据此而享有一定的处分权。此时，侦查机关请求网络服务提供者调取有关信息适用调取的概括授权条款即可。但问题在于，某些信息只得由网络服务提供者协助提供，同时电子数据具有易失性，一旦错过了收集时机可能就无法再次获取。而我国的调取证据并非完全“自由”适用的侦查措施，相反拥有一套完整的审批和执行程序。因此，调取证据的启动本身就需要具备一定的要件，足以实现对不干涉公民基本权利的信息的保护。美国《存储通信法案》基于涉及隐私利益的重要性而为数据信息提供了不同程度的保护，通过不同类型的令状以强制企业披露数据［28］。换言之，对于非内容数据，如果执法机构提供了适格的令状或者获得用户同意，企业应当提供数据而不得随意拒绝。因此，应当为网络服务提供者设置配合调取数据的法定义务。这种内在的强制性仍然从属于任意性侦查措施的内涵，但必须符合相关性的要求以避免超过限度。

五、网络服务提供者协助侦查义务之边界重构

在分析了第三方主体协助侦查义务的边界确定标准，并以此省察现行规范和实践中的义务冲突现象后，如何重构网络服务提供者协助侦查义务的边界成了一个不可回避、亟须解决的问题。依托于前述的分析框架，下面将从实体界定、程序控制两个方面调控网络服务提供者协助侦查义务的边界。

（一）实体界定：重塑侦查措施，匹配协助义务

同样以个人信息作为对象，网络服务提供者的协助侦查义务与个人信息保护义务产生冲突在所难免。刺穿第三方主体协助侦查义务的面纱，这种冲突的本质是国家公权力与公民基本权利之间的冲突。而二者之间存在着位阶排序，这就为化解冲突提供了方案。具体而言，可以从以下两方面予以完善：

1.从权利保障角度出发：重塑电子数据侦查措施

区分任意性侦查措施和强制性侦查措施的关键不在于强制力的行使；所有的侦查措施都必然带有强制性，都需要依法行使［29］。只是就任意性侦查措施而言，因为其不干预公民基本权利，依据侦查程序自由形成原则，所以适用任意性侦查措施无须遵循严格的程序控制，根据诸如《刑事诉讼法》第54 条等概括性授权条款，按照一般的流程规范予以实施即可。但是针对强制性侦查措施，必须以法律保留原则、法官保留原则和比例原则加以约束。以上原则既是约束国家公权力干预公民基本权利的行为的基础原则，也是判断国家干预行为是否合法的重要依据。事实上，个人信息领域所遵循的原则也与前述原则实质契合。如欧盟2016 年通过了《一般数据保护条例》（2016/679），其中第23 条规定，欧盟法律或某成员国法律可以通过立法手段限制某些责任范围和权利范围，这种限制应当尊重基本权利与自由的核心要素，同时属于实现特定目的所必要和成比例的措施。

形式性的判断标准来自法律保留原则和司法令状制度。“依照现代法治国的法律保留原则，国家机关干预人民受宪法保障的基本权利，必须事先取得明确的法律授权基础，始得为之。”［30］此处的法律必须是全国人民代表大会及其常务委员会制定的法律，其他法律规范只能在此授权范围内作出规定。之所以要将干预公民基本权利的强制性侦查纳入法治轨道，其原因在于如此方能实现对公权力的严密约束和控制，否则单纯依靠侦查人员的自由裁量，极易导致权力的膨胀。但我国现行电子数据取证规范主要集中于司法解释和部门规章，一方面，这种“另辟蹊径”在《刑事诉讼法》中并无依据，进而导致其创设的电子数据取证措施面临不合法、不合宪的风险；另一方面，部分干预隐私等公民基本权利的强制性侦查措施在我国目前的规范体系中被定性为任意性侦查措施。总之，基于法律保留原则的要求，干预公民基本权利的强制性侦查措施必须由狭义“法律”予以授权，同时还要在法律中规定具体的启动条件、适用程序等。这不仅可以实现对公权力运行的有力约束，还可以为侦查相对方、网络服务提供者等提供监督和抗辩的明确依据。我国应当在信息权益分类的基础上，重新编排电子数据取证措施体系，清晰界定每一项措施的实质内涵和与其他措施之间的关系。同时，将电子数据取证措施整合至《刑事诉讼法》中加以规范，解决目前电子数据取证措施无法与传统刑事诉讼规范兼容的问题，比如网络远程勘验的定位混乱、搜查的缺位问题。而在立法尚未跟进的当下，也不能对这种实际干预公民基本权利的侦查措施放任自流，侦查机关、检察机关都应当以克制的态度适用实质干预公民基本权利的侦查措施。

此外，现代各国通过司法令状对严重干预公民宪法性基本权利的强制性侦查措施进行控制。司法令状制度又称法官保留制度，要求强制性侦查措施得到地位超然的中立机关的审查。司法令状在事实上证立了具体个案中强制性侦查措施的合法性与正当性，而关于司法令状的其他要求参见后文关于执法文书的审查要点。需要注意的是，我国对于强制性侦查措施的控制主要是依靠行政审批，以审查机关的行政级别与侦查措施的法律性质相对应。而《数据安全法》中对于调取电子数据的审批要求是“经过严格的程序”，如果寻求法律的体系性解释，《刑事诉讼法》中唯一适用这一审批要求的是“技术侦查”措施。这显然与调取电子数据本身的含义不相符，该条文更多体现为一种宣誓意义。

实质性的判断标准来自比例原则。比例原则包括了适合性原则、必要性原则、相称性原则三项子原则。三项原则层层递进，只有在审查通过前一项原则后才会审查下一项原则。适合性原则是指国家机关采取的每一手段都必须用于实现法定的执法目标。据此，应当建立完善的司法令状制度来保障适合性原则的实现，也即通过有权主体的审查批准来实现对手段和目的之间的勾连关系的识别与确认。必要性原则是指在多项手段之间必须采用对公民基本权利损害最小的手段。这项原则最直接的表示就是以任意性侦查为原则，以强制性侦查为例外。只有在其他方式无法合理实现目的时，才能适用对公民基本权利干预程度更高的方式。考虑到网络服务提供者的协助虽然避免了对公民基本权利的直接干预，但并不会消除干预的可能，因此应当将第三方主体协助侦查定位为直接对侦查对象采取侦查措施的补充选择，而非首要选择。相称性原则是指干预基本权利所增进的利益应当与其所造成的损害成比例。尽管国家安全与公共秩序通常构成限制个人权利的正当理由，但这并不是一贯铁律。只有个案中行使公权力所保障的利益确实优先于个人信息所承载的利益时，侦查机关才可以要求网络服务提供者提供协助。

2.网络服务提供者协助侦查义务的性质：附条件的强制性义务

《刑事诉讼法》所设定的第三方主体协助侦查义务一般不具有强制性，这主要是考虑到第三方主体既没有收集、保全证据的能力，也并非直接牵涉入特定案件中。但是，鉴于在网络信息时代，信息和技术已经构成了侦查破案的实质门槛，因而要求网络服务提供者提供协助、积极配合有其合理性和现实意义，且基本权利干预理论赋予了网络服务提供者承担协助义务的正当性。因此，有学者认为，网络服务提供者的信息披露义务应当是附条件的强制性义务［31］。本文赞同这一观点，并就“附条件”和“强制性”作出进一步解读。

附条件。网络服务提供者多重身份的复杂性决定了不可能导出何种义务必然处于优位的铁律，因而需要为其设定相应例外，以维系权力与权利的动态平衡。此处的“条件”指的是存在拒绝履行的正当理由。一方面，应当参考网络服务提供者在实践中所遇到的实际阻碍设置一般例外。如苹果公司在其官网中注明“如果请求缺乏有效的法律依据，或者我们认定请求不明确、不恰当或过于宽泛，我们会质疑或拒绝该请求。”［32］欧洲刑警组织与欧洲刑事司法合作署（Eurojust）2021年发布的SIRIUS 项目第三次报告也注明了当前世界大型互联网企业拒绝或延迟向有关机关提供数据的九种理由。①1.法律依据缺失或者不正确；2.调取请求中的相对人错误；3.申请不符合企业要求的程序；4.申请内容过于宽泛；5.没有相关数据；6.申请缺少关于案件性质的必要信息；7.地域管辖限制；8.申请缺少有效的身份验证；9.申请缺少足够信息以确认“紧急情况”。See SIRIUS EU Digital Evidence Situation Report （3rd Annual Report）［R/OL］.（2021-12-03）［2023-06-15］.https://www.europol.europa.eu/cms/sites/default/files/documents/SIRIUS_DESR_12_2021.pdf.总结而言，正当理由可以归纳为“实体不能”和“程序不能”两类情形。其中，“实体不能”主要指网络服务提供者不可能提供有关信息的情形，比如网络服务提供者本身并不存储有关信息，进而无法提供侦查机关请求调取的证据，此时网络服务提供者应当注明原因将申请退回侦查机关。“程序不能”主要指网络服务提供者审查执法文书后，认为执法文书上载明的情形不符合程序要求。网络服务提供者应当要求提交申请的侦查机关进行补正，如果无法补正，也应当注明原因并将执法文书退回侦查机关。在前述情形中，网络服务提供者未得到有效授权，所以不得提供协助与配合。但如果是网络服务提供者就侦查机关提供的执法文书内容产生异议，则不得停止办理协助事项，可以后续通过书面形式与侦查机关进行协商。另一方面，还应当关注到网络服务提供者作为商业主体而追求的经营目的对其协助侦查义务的限制。如果网络服务提供者基于自身规模和技术能力，确实难以履行相应义务或者履行将产生较大成本以至于有损其经营目的的，可以拒绝履行。

强制性。此处的强制性体现为两方面：一是是否履行义务的强制性；二是如何履行义务的强制性。就前者而言，网络服务提供者应当依据相应的执法文书承担对应的协助侦查义务，无正当理由不得随意迟延履行或者拒绝履行。对于符合条件的协助申请，网络服务提供者应当提供相应协助；对于不符合要求的申请，网络服务提供者应当要求补正或者退回。就后者而言，网络服务提供者必须按照执法文书上列明的要求提供协助，不得随意扩大调取证据的范围或者通过设置后门等方式为侦查机关取证提供便利。

（二）程序控制：审慎审查文书，完善告知程序

1.建立内部合规审查机制

网络服务提供者依法履行协助侦查义务必须以执法文书为依据。当然，一些规模较大的网络服务提供者会制作自己的格式化模版以应对来自全世界不同国家和地区的执法请求，但是这种模板和流程是为了畅通协作机制而构建的，并不能取代执法文书所具备的“授权”功能，即执法文书需要经过有权机关审批。此外，考虑到不同性质的侦查措施所适用的程序有宽严区分，网络服务提供者应当首先审查并确认侦查机关所要求配合的侦查措施的法律性质，进而按照对应标准进行下一步审核。这种内部合规审查机制本身就是履行个人信息保护义务的要求，也体现了网络服务提供者对于公权力的阻隔作用。为了保障审查执法文书的质量和效率，网络服务提供者在有条件的情况下应当构建专门的法律团队，并且可以就异议与侦查机关沟通协调；同时，网络服务提供者与执法机构可以定期开展培训合作，以共筑认识，畅通协助渠道，减少龃龉。

具体而言，网络服务提供者应当对下列事项进行审查：

第一，侦查人员的身份信息。侦查人员应当出示工作证件以表明身份，网络服务提供者应当对侦查人员的身份进行核实并登记。根据侦查权专属原则，只有侦查机关才有权进行强制性侦查措施，如果非侦查机关的单位或者个人要求网络服务提供者进行具备基本权利干预属性的数据提供行为，网络服务提供者当然应予拒绝，否则要因违反个人信息保护义务而承担法律责任。

第二，执法文书必须符合法律规定，网络服务提供者应当审查执法文书——特别是针对强制性侦查措施的执法文书——是否包含明确的法律依据和合法的审批依据两项要素。就法律依据而言，强制性侦查措施要符合法律保留原则，由狭义的法律对其适用条件和适用程序等内容进行严格和明确的规定。特别需要注意的是，依据我国的有关规定，强制性侦查措施只得在立案之后进行，因而对于在立案之前请求协助强制性侦查的，网络服务提供者应当拒绝配合。就审批依据而言，我国虽然没有建立严格意义的司法审查制度，但是实施侦查措施仍需经过审批，并且审批机关对应的行政级别应当与侦查措施的法律性质相对应。如果协助侦查义务对应任意性侦查措施，执法文书需经办案部门负责人批准。如果协助侦查义务对应强制性侦查措施，执法文书由县级以上侦查机关负责人审批。如果协助侦查义务对应技术侦查措施，执法文书应当经过严格的审批手续，由设区的市一级侦查机关负责人批准。如果执法文书不具备法律依据或者审批依据，网络服务提供者依据不具备合法效力的执法文书而提供协助将不能豁免其个人信息保护义务。

第三，执法文书必须符合明确性的要求。在传统的侦查过程中，侦查对象必须与案件事实有某种关联，即侦查对象受到明确的范围限制。在网络空间，各种与案件有关或者无关的信息交织在一起，更需要对信息的范围进行限制，否则会因为范围过大而侵犯犯罪嫌疑人或者第三人的合法权益。以调取电子数据为例，《协助调取通知书》中应当注明可以明确电子数据范围的相关信息，以尽可能减少对公民基本权利的干预。如果侦查机关要求进行概括式收集证据，比如要求调取某一账号下的所有相关电子数据、要求对不特定的人群展开调查取证，或者采取一劳永逸的办法要求网络服务提供者提供某一型号手机的解锁程序，那么此时取证行为就呈现出干预色彩，而不能仅仅以任意性侦查措施的程序要求加以规范。

2.以“知情同意”的限制适用缓解义务冲突

在私法领域，“知情同意”原则是信息处理法律行为的拟制起点，同时也是数据处理行为的合法性要件［33］，构筑了个人信息保护中的核心。但在刑事诉讼领域，《个人信息保护法》为其设置了诸多例外事由，使得知情同意原则的适用大大受到限制。首先，侦查权的强制属性直接削弱了“同意”原则的适用空间，《个人信息保护法》第13 条直接规定了“为履行法定职责所必需”的例外情形。但是考虑到任意侦查原则，除特殊情形外，侦查机关仍应当以取得侦查相对方的同意为优先选择，这也是贯彻比例原则之必要性原则的要求。需要注意的是，虽然为侦查之必要，犯罪嫌疑人、被告人以外的主体也应当在一定限度内负担对于侦查措施的容忍义务。但考虑到此类主体并非刑罚权的对象，其容忍限度相较于犯罪嫌疑人、被告人更低。因此，收集被害人、证人等主体的信息应当以适用知情同意原则为原则，即调取此类主体的隐私信息原则上应当以获取其同意为必要。

在协助侦查的语境下，网络服务提供者无须额外负担征求用户同意的义务。一方面，协助强制性侦查措施属于“为履行法定义务所必需”。协助任意性侦查措施，除了符合“为履行法定义务所必需”外，也可以根据“第三方原则”推定为得到用户的默示同意。另一方面，网络服务提供者作为协助方，并非实施侦查措施的真正主体，即获取侦查相对方的同意是侦查机关的职责。在传统侦查过程中，“如果侦查相对方自愿同意或承诺接受侦查，则必须有明确的意思表示以表达其真实的行为动机，同时此种意思表示或者以书面形式予以确认，或者有证人、录音、录像等予以证明。”［34］这对于网络服务提供者而言无疑是巨大的负担。

无须征得当事人的同意并非意味侦查机关或者网络服务提供者无须承担任何告知义务。如果信息主体不了解有关侦查措施的实施情况，那么自然无法就自身权益受损而提出主张，这直接清除了后续进行程序救济的可能。也正是在这个意义上，《刑事诉讼法》通过施加侦查机关以告知义务以尽可能保障当事人的知情权。当然，刑事侦查具有秘密性的特点，将侦查措施的实施情况完全公开将直接降低侦查效率，因而《个人信息保护法》也明确了“法律、行政法规规定应当保密或者不需要告知”的例外，为《刑事诉讼法》留下了可以操作的空间。而目前的法律规定只明确了侦查机关和第三方主体就技术侦查这一项侦查措施的保密义务，①《刑事诉讼法》第152 条第4 款规定：“公安机关依法采取技术侦查措施，有关单位和个人应当配合，并对有关情况予以保密。”换言之，只有有关侦查措施的强度达到了技术侦查措施的水平时，网络服务提供者才可以免除自身的告知义务。但仅此一条规定显然无法适应复杂多变的侦查实践，立法应当予以完善，补充“紧急情况”等例外。此外，目前尚无针对告知程序的规定，应当围绕告知方式、告知范围等构建妥善的告知程序。

结 语

在网络犯罪高频高发的趋势下，法律法规为网络服务提供者设定了广泛的协助侦查义务。这不仅是信息化侦查下执法权扩张的自然产物，更是网络服务提供者参与网络治理、保障网络安全的责任体现。但是，“仅仅出于实用主义目的泛泛规定网络服务提供者应提供力所能及的技术支持，可能引发网络服务提供者的权力泛化以及侦查权力‘失控’。”［35］在这一意义上，网络服务提供者在国家与个人之间竖起了一道屏障，其如何履行义务直接关系到公权力与公民基本权利之间的互动模式。因此，有必要对协助侦查义务的范围予以明确，以保障协助侦查机制在实践中发挥应有的作用，并且尽可能减少对合法权益的不当干预。

然而，无论是直接将协助侦查义务凌驾于个人信息保护义务之上，还是认为不得让渡任何个人信息权益，都无法实质性解决问题。究其根源，网络服务提供者的义务履行困境在于现行电子数据取证规范的不合理——其本身就没有实现安全与隐私的平衡，又何谈让网络服务提供者妥善进行义务履行选择。“目的冲突的解决之道，在于谋求调和而非片面牺牲，亦即，解决冲突并不必然意味牺牲其一而成就其他，而是在尽可能的范围之内，谋求并存的方案，并且，在迫不得已时，仅容许最小限度牺牲。”［36］因此，刑事诉讼法必须导入个人信息权益，以强制侦查法定主义、比例原则等原则为主导，在整个刑事诉讼阶段——特别是侦查阶段——贯彻实现对个人信息的保护。在此基础上，一方面，以侦查机关为代表的国家公权机关应当关照网络服务提供者所负担的不同义务，为其义务履行选择、义务履行规范提供可循路径；另一方面，网络服务提供者也应当积极主动发挥在网络空间领域的主导作用，共筑信息安全的网络空间。