数据主权
基于数据主权的国家刑事取证管辖模式
2020年10月07日 15:58    作者:梁坤    编辑:吴兰


摘要

关于电子数据的刑事取证管辖,在国家层面形成了数据存储地模式和数据控制者模式两大方案。传统的数据存储地模式以国家疆域为基础,因其适用困难、取证效率低下而已经有所松动。数据控制者模式则依托跨境云服务提供者,实现了对数据存储地模式的部分取代。刑事数据取证管辖模式的变革,从根本上讲,乃是各国立足于自身国家利益最大化而对数据资源实施掌控所致,而数据特例主义的提出也对适用于有形实物的传统管辖模式构成了冲击。我国应当正视国际上的变革趋势,在数据主权国家战略的基础上,着力探索刑事数据取证管辖模式的中国方案。具体而言,在坚持数据存储地模式的同时,有必要设定例外情形;在把握数据控制者模式之优势的同时,亦需针对他国采取该模式给我国带来的危害予以对等回应;在程序主义数据主权的框架下,加强与其他国家的平等协商与合作,构建适用于电子数据的刑事取证管辖互惠模式。


中文关键词

电子数据;数据主权;取证模式;刑事管辖


一、问题的提出


  无论是从国内法还是国际法的角度看,一国虽然可以依据国内刑事法律对发生在他国境内的犯罪享有立案管辖权和裁判管辖权,但是原则上并不能在程序上行使执法管辖权。[1]刑事执法管辖权,广义上指的是一国执法机关依照法定程序侦查、起诉和执行刑罚的权力;[2]狭义上则仅涉及刑事侦查管辖,特别是问题较为突出的刑事取证管辖。作为刑事执法管辖的下位概念,刑事取证管辖通常也不能在未经他国许可的情况下延伸至他国境内。然而,网络时代的到来导致以领土范围为标准的刑事管辖界限逐渐模糊,近年来各国在刑事侦查中收集电子数据时跨越国家疆界的情况屡见不鲜。这里首先介绍中美两国涉及此种情况的两起典型案例。

  在张某、焦某非法获取计算机信息系统数据、非法控制计算机信息系统案中,焦某归案后主动向公安机关提供了一台位于美国的主控服务器的IP地址、用户名和密码。武汉市公安局网络安全保卫支队出具的远程勘验检查工作记录载明,侦查人员对该主控服务器(IP地址为66.102.253.30)进行了远程登录,提取到主控程序“Client.exe”和“系统日志”。“主控列表”显示,该服务器共控制240个IP地址,其中包括我国境内的31个IP地址。[3]本案中对电子数据的取证反映了许多同类案件的类似做法,即侦查机关通过讯问等方式获得嫌疑人提供的账号和密码后登录服务器,进行跨境网络远程勘验。

  在美国,近年来一起涉及跨境电子邮件数据收集的案件的侦查程序,引发了巨大的法律争议。2013年12月,美国联邦调查局在查办一起贩毒案件的过程中,在取得法院签发的令状后,要求微软公司披露某邮件用户的信息。微软公司拒绝披露邮件内容数据,因为这些数据被存储在位于爱尔兰的数据中心;[4]微软公司主张联邦调查局应通过双边司法协助程序来收集这些数据。然而,联邦调查局坚持要求微软公司直接披露相应数据,并否认本案的侦查权出现了域外适用。[5]微软公司无奈之下提起诉讼,最后由检察机关上诉至联邦最高法院。2018年3月23日,《澄清合法使用境外数据法》(即“云法”)[6]生效。该法授权执法部门通过要求在美国境内有实体机构的服务提供者进行数据披露的方式收集境外数据。联邦调查局遂根据该法取得新的搜查令状,微软公司也对该法表示支持。4月17日,联邦最高法院终审裁决,由于本案争议的法律问题不复存在,故将案件予以驳回。[7]至此,“微软—爱尔兰案”尘埃落定。

  在上述张某、焦某案中,我国侦查机关通过网络远程勘验直接收集存储于境外的数据。从国家刑事取证管辖的角度而言,这种跨境电子数据取证方式显然不属于常规意义上的数据存储地模式。而在“云法”已经施行的背景下,美国执法部门今后必将充分依托该国在全球占据巨大市场优势的服务提供者间接收集境外数据,也即在刑事取证管辖模式上更多采取与数据存储地模式迥异的数据控制者模式。

  两案中跨境电子数据取证的具体程序、措施尽管存在显著区别,但两案均表明,刑事取证管辖已经借助网络空间便捷地跨越了传统意义上的国家疆界。刑事取证管辖乃是国家主权行使的典型体现,因此两案所反映出的根本问题是,国家到底能否在国际法和刑事程序法理的框架下对存储于境外的数据拥有主权和刑事取证管辖权?如果答案是肯定的,那么具体到本文的论题则需要进一步回答如下问题:针对网络空间中的数据(特别是存储于境外的数据)行使刑事取证管辖权时,一国应采取什么样的理论模式?本文立足于我国所主张的数据主权战略,在对数据存储地模式、数据控制者模式进行理论分析的基础上,着力探索刑事取证管辖模式的中国方案;希冀在国际法原则和规则的框架下,为我国刑事取证管辖模式的完善,提供有益参考。

  

二、基于国家疆域的数据存储地模式 


 (一)数据存储地模式概说

  所谓数据存储地模式,是以数据实际存储的物理位置来确定国家的刑事取证管辖范围。可以从四个方面来理解这一模式:其一,将数据视为与其他有形实物并无实质性差异的证据,在刑事取证管辖制度上不对数据作特殊安排;其二,将数据视为与存储介质密不可分的物品,刑事取证管辖的依据实际上就是存储介质的物理位置;其三,将虚拟空间附着于物理空间,相当于是将传统的适用于物理空间的地域管辖同等延伸至虚拟空间;其四,以传统意义上的属地原则来确定数据的刑事取证管辖边界,管辖效力范围实际上等同于国家在刑事实体法上的属地管辖。

  根据数据存储地模式,一国对位于其境内的电子介质中存储的数据拥有无可争议的刑事取证管辖权。如同A国侦查人员不能在未经许可的情况下进入B国国境进行侦查取证,其原则上也不能擅自“进入”位于B国境内的计算机系统收集电子数据。为避免电子数据取证行为越境,许多国家国内法的适用及国际公约对相关制度的安排都较为谨慎。例如,英国法官在签发远程搜查令状时,需要判断警方的侦查行为是否会跨越国境。如果违法从境外收集数据,法院在后续程序中可能会将该证据予以排除。[8]在美国,过去很长时间内的司法准则也是坚持数据存储地模式。如在2000年,联邦调查局在调查一起黑客案件的过程中,在未经俄罗斯官方许可的情况下,使用秘密获得的嫌疑人用户名和密码登录俄方境内的计算机系统,在线提取涉案数据。此案引发俄罗斯方面强烈的外交抗议。[9]美国法院认定,由于数据存储在俄罗斯,此案中的侦查行为属于跨境搜查。[10]在总结诸多经验和教训之后,美国司法部刑事处计算机犯罪与知识产权犯罪部在2009年发布的《刑事侦查中计算机搜查扣押与电子证据收集指引》中慎重提醒,调查人员在未经许可的情况下“进入位于他国的计算机系统”,可能触及“国家主权及礼让方面的复杂问题”。[11]美国的网络法专家也指出,跨境远程搜查等侦查行为会导致对他国主权的侵犯,可能面临严重的国际法后果甚至外交纷争。[12]

  作为网络犯罪领域目前影响最大的区域性国际法文件,2004年生效的《网络犯罪公约》(ConventiononCybercrime)中的许多条文,也遵循了数据存储地模式。例如,根据第18条第1款规定的“提供令”(ProductionOrder)制度,各缔约方的有权机关可以命令国内的个人(person)提交其持有或者控制的特定计算机数据,以及要求国内的服务提供者提供其持有或者在其控制范围内的用户数据。但无论是哪一种情况,提供令所涉及的目标数据都应“在发出提供令的缔约方国内”。[13]

  根据数据存储地模式,跨境电子数据取证原则上应遵循适用于普通实物的程序规则,即需要通过司法协助程序来执行。例如在“微软—爱尔兰案”中,爱尔兰政府的主张就明显反映出对这种模式的信奉以及对司法协助程序的坚持。其在2014年12月23日向美国法院递交的“法庭之友”意见书中,申明对涉案邮件内容数据的主权管辖,强调只有通过两国之间的双边刑事司法协助机制,才能由爱尔兰官方对相应数据进行调查。[14]

  (二)数据存储地模式面临的困境

  1.适用困难

  首先,数据存储地模式适用于存储状态下的静态数据,而不适用于传输过程中的动态数据。就静态数据而言,由于存储介质的物理位置通常较为明确地位于某一司法管辖权区域内,故在确定刑事取证管辖时较易作出判断。然而,就跨境传输中的动态数据而言,在侦查开始前很难预测所要收集的数据会流向何处,这便导致无法采取数据存储地模式来确定刑事管辖归属。其次,数据存储地模式适用于位置确定的数据,而不适用于位置不确定的数据。在当今云计算的技术框架下,无论是通过服务提供者披露数据,还是由用户提供数据,数据的存储位置经常是不明确抑或无法确定的。[15]典型的情况是,使用云存储服务的绝大多数用户可能都不清楚其上传至“云”中的数据到底位于何处。又如,“深网”(deepweb)中的多数数据通常会有加密保护,“暗网”(darkweb)则无法通过常规方式访问及追踪。这些技术性的限制因素给数据存储地的确定带来了极大障碍,从而导致一国侦查机关不可能严格遵循数据存储地模式来行使刑事取证管辖权。

  2.效率低下

  随着跨境通讯及云计算技术的飞速发展,数据的跨境存储与流动已越发常态化。如果严格遵循数据存储地模式,数据的跨境收集原则上都要通过司法协助程序来实施。然而,这种程序耗时较长、冗繁复杂,近年来相关取证需求剧增更使得其效率低下的劣势越发凸显。由于美国在全球云数据市场占有绝对优势地位,该国当前收到的取证请求也最多。然而,一国地方侦查机关若要搜查谷歌公司存储于美国境内的邮件内容数据,按常规程序需首先将请求逐级上报该国中央主管机关,然后由后者将协助请求按美方要求的形式发送给美国司法部国际事务办公室。该办公室审查后将该协助请求交由检察官处理,然后再由后者向对数据有管辖权的法院申请搜查令状。之后,警务人员方可持令状要求谷歌公司提供相应数据。统计数据表明,整个协助程序通常需耗费10个月甚至更长时间。[16]这对于追求效率的电子数据取证而言,显然是难以承受的。

  (三)数据存储地模式的松动

  为缓解上述困境并有效提升跨境电子数据取证的效率,区域性国际公约及某些国家的国内法作了一些有针对性的制度安排,从而导致严格意义上的数据存储地模式出现了松动。

  1.在国际共识的基础上设定数据存储地模式的特殊例外

《网络犯罪公约》第32条、2010年《阿拉伯国家联盟打击信息技术犯罪公约》(ArabConventiononCombatingInformationTechnologyOffences)第40条,规定了两种无需告知数据存储地国的单边远程取证方式。由于后者几乎照搬前者的条文,这里仅对《网络犯罪公约》第32条进行阐释。该条a款规定,缔约国执法部门可以“提取公众能够获得的存储于计算机中的数据,不论该数据位于何处。”由于这类数据在执法地便可公开获得,故国际法专家认为这种情况属于行使域内管辖权。[17]该条b款则采属人主义,授权“通过一方境内的计算机系统提取、接收存储于另一方境内的计算机系统中的数据,前提是相应的行为获得了拥有法定权限而通过计算机系统向取证方披露数据的个体的合法且自愿的同意。”为避免法条适用过程中可能出现的理解偏差,网络犯罪公约委员会(T-CY)于2014年发布《跨境电子数据取证指引注释(第32条)》,强调第32条b款在性质上属于地域管辖原则的特殊例外。[18]而根据国际电信联盟的阐释,缔约国签署该公约实际上是放弃了部分主权,从而允许其他国家实施影响其领土完整性的调查。[19]

  2.在数据存储于境外但无法确认所在国的情况下直接适用国内侦查程序

  云计算技术有时会导致数据在境外的具体位置难以确定。2017年发生在美国的一起欺诈案件便遇到这种情况。法院裁定谷歌公司需向联邦调查局披露存储于境外的数据,原因是连该公司也无法确定涉案数据被技术性拆分后在境外的具体存储地,因此根本不可能根据数据存储地模式开展常规的刑事司法协助。[20]

  3.在数据存储位置不确定的情况下不排斥电子数据取证措施的跨境适用

  在某些案件中,在侦查取证开始之前,根本无法判断数据到底存储于国内还是国外,为此,一些国家并不绝对排斥对潜在的跨境远程侦查措施进行授权。例如,美国为解决“暗网”取证等情况下数据存储地不明的法律障碍,于2016年修订《联邦刑事程序规则》。其中第41条b款第6项授权执法部门可以在“因技术原因导致媒介或信息的储存地点被隐藏的情况下”,对管辖区外(含境外)的数据进行远程侦查。而在欧盟,截至2016年9月,比利时、葡萄牙、西班牙、法国的国内法也对这类取证活动进行了授权。[21]

  数据存储地模式本身存在缺陷,给刑事取证管辖造成了很多障碍,近年来也确实出现了松动。然而,这一模式并未崩塌,它仍然是国际上电子数据刑事取证管辖的基本模式。这主要有三个方面的原因:

  首先,在数据的境外存储位置明确的情况下,刑事司法协助仍是常规程序。因此,除非存在国际公约的特别授权和国家间的礼让机制,一国单边开展跨境电子数据取证就与其他实物证据的跨境收集无异,原则上都不为国际法所允许。

  其次,侵犯性较弱的远程取证措施更受青睐,以尽可能降低对数据所在地国家主权的潜在侵犯程度。除了美国对可能跨境开展的侦查行为规定了远程“搜查”这样的强制性措施,上述国际公约和其他国家的国内法所授权的措施,其侵犯性明显较弱。例如,《网络犯罪公约》授权的依据属人主义收集境外数据,需建立在相关主体自愿的基础上。从侦查法理上讲,这具有不限制相对人基本权利的“任意侦查”的特征。比利时2000年修订刑事诉讼法增加了第88条之三(Art.88ter),规定可能跨境开展的电子数据取证方式仅限于“复制”。此外,从欧盟委员会于2018年4月发布的规范成员国单边跨境远程取证的立法计划来看,也强调取证方式只能限于“复制”而不能进行“实时监控”。[22]

  最后,在远程取证过程中确认数据存储地之后,对相关国家的告知受到重视。相应制度在比利时刑事诉讼法、荷兰2019年1月1日起施行的计算机犯罪法(三)相关条款的配套机制中均有所反映。例如,荷兰官方认为,一旦确认远程搜查跨越国境,原则上需停止侦查,并且需要基于国际礼让及时告知相应国家。[23]此外,欧盟于2017年在其发布的非正式文件《跨境收集电子证据的改进:来自专家的意见及具体的建议》中也特别指出,对于单边跨境电子数据取证,未来的立法应专门规定诸如应告知可能受影响的国家在内的缓解措施。[24]


  三、依托跨境云服务提供者的数据控制者模式


  (一)数据控制者模式概说

  所谓数据控制者模式,是指在云计算的技术框架下,通过寻求跨境云服务提供者的合作或对其发出指令的方式,获取其控制的数据。关于这一模式,可以从三个方面进行把握:其一,数据控制者模式不仅将云数据与其他有形实物相区分,而且将云数据所在的虚拟空间与有形实物所在的物理空间相区隔,在云数据的刑事取证管辖方面完全不考虑数据存储的位置,从而回避适用常规的司法协助程序。其二,数据控制者模式依托跨境云服务提供者,属于对存储在境外的数据的间接取证方式。其三,数据控制者模式下的数据范围只涉及跨境云服务提供者控制的数据,即其拥有(possession)、保管(custody)或掌控(control)的数据。

  近年来,通过数据控制者模式获取位于境外的数据,在国际上已经出现两种情况:一是通过在本地无实体机构的外国服务提供者获取境外数据。例如在比利时的一起案件中,当局要求美国雅虎公司披露境外数据,遭到后者拒绝(下文简称“比利时—雅虎案”)。比利时最高法院于2015年判决指出,雅虎公司虽然在比利时并无分支机构,但其存在实质性的向比利时用户提供网络服务的行为,“事实上是位于”比利时的服务提供者,因而需遵守比利时刑事程序中的数据披露义务。[25]二是通过在本地有实体机构的外国服务提供者获取境外数据。例如,2015年巴西一家法院指令微软公司在该国的分支机构披露其存储于美国境内的涉案数据(下文简称“巴西—微软案”),微软公司未予执行,其负责人员随后受到巴西当局的刑事起诉。[26]此外,根据英国2016年《调查权法》(InvestigatoryPowersAct)第3部分“获取通讯数据的授权”第85条“跨境适用”之规定,执法部门可以向其境内运营的电讯服务提供者发布指令,以获取其存储于境外的数据。

  不过,比利时、巴西、英国的立法或实践更多只是对数据控制者模式作了初步探索。这一模式的系统提出主要是受了“微软—爱尔兰案”的影响,并最终在“云法”于2018年出台后正式成形。[27]“云法”开宗明义指出,其立法目的就是授权美国执法部门在云计算技术的背景下通过服务提供者获取境外数据。该法标志着美国在云数据的刑事取证管辖方面,从数据存储地模式转向了数据控制者模式。

  (二)数据控制者模式与数据存储地模式的关系

  其一,数据存储地模式面临的困境,客观上为数据控制者模式的问世提供了可能性。如果数据存储地模式运行良好,各国自然无需探索新模式。在数据存储地模式面临困境且出现松动的情况下,跨境电子数据取证的实际需求并未减少。特别是对于那些对境外云数据有较大掌控需求的国家而言,在数据存储地模式现有的特殊例外情形之外构建新模式,从而更大程度地化解数据存储地模式所面临的困境,便成为契合时代变迁背景的选择。以美国为例,在传统的刑事司法协助机制与跨境远程提取电子数据的单边方案均存在明显缺陷的背景下,通过服务提供者获取境外云数据成为其近年来重要的战略选项。从2016年开始,美国便一直试图通过立法推进相关工作,[28]而“云法”的出台也确实有助于化解数据存储地模式所面临的困境。

  其二,数据控制者模式的适用限制意味着其只是部分取代数据存储地模式。数据控制者模式完全不考虑国家疆界的限制,因此从性质上讲其并不属于数据存储地模式的特殊例外。当然,数据控制者模式与数据存储地模式不是截然对立的,不能简单地认为前者完全取代了后者。上文已经说明,数据控制者模式依托跨境云服务提供者,瞄准的只是服务提供者控制的境外数据。由此观之,数据控制者模式的适用并不具有普适性,实际上它只是部分取代了数据存储地模式。这就意味着,对于网络空间中与这类服务提供者无关的数据,数据存储地模式仍然是刑事取证管辖的基本方案。

  其三,两种模式会在一定时期内以相互博弈的方式共同存在。如同下文将要着重分析的,各国对于境内及境外数据资源存在差异极大的利益诉求。就单个国家而言,其很可能基于数据安全等核心国家利益而采取数据存储地模式以保护境内数据,但同时又可能通过数据控制者模式力图长臂掌控境外数据。而从国际层面看,数据掌控能力较弱的国家可能会单一性地坚守数据存储地模式,一些数据强国则会倾向于同时采取两种模式。换言之,在数据控制者模式部分取代数据存储地模式之后,两种模式的共存会成为一定时期内的必然现象,相互之间的博弈也将成为常态。这是各国刑事取证管辖制度面临的全新课题。

  (三)数据控制者模式在全球层面对刑事取证管辖制度的影响

  一方面,数据控制者模式导致国家间刑事取证管辖范围出现重叠并诱发国际法冲突。根据数据存储地模式,对数据的刑事取证管辖受限于国家疆域,因此,除非出现上文提到的数据存储地模式的特殊例外,否则不可能发生国家间的刑事管辖权冲突。然而,在数据控制者模式部分取代数据存储地模式之后,主张前一模式的国家会将刑事取证管辖范围延伸至主张后一模式的国家境内,这会导致取证管辖范围的重叠,从而诱发国际法冲突。

  另一方面,数据控制者模式将深刻改变国际上刑事取证管辖的实际运行结构。虽然数据控制者模式只是部分取代数据存储地模式,但可以预计的是,前者在国际范围内很可能会逐渐压缩后者的适用空间。这主要有两方面的原因:其一,数据控制者模式瞄准了全球云数据市场的蓬勃发展趋势,有着广阔的应用前景。如今,无论是个人还是公司都越来越多地将数据上传至“云”中,[29]而不再过多地进行本地存储。正如“微软—爱尔兰案”那样,一份电子邮件所涉及的内容数据和非内容数据存储于不同国家的情况,将越来越多地出现。应当认识到,数据控制者模式相较数据存储地模式确有其优势,它有助于破解数据跨境分散存储从而难以通过常规法律程序快捷获取的难题。其二,数据控制者模式因美国的技术优势和全球影响力,在刑事取证管辖方面将逐渐显现其重要性。以谷歌、苹果、脸书和亚马逊为代表的美国IT巨头在全球云数据市场占据统治性份额,其控制的海量境外云数据,随着“云法”的出台都将潜在地被纳入美国的刑事取证管辖范围。而从近期来看,以欧盟、加拿大为代表的美国传统“朋友圈”已经准备效仿“云法”的做法或接受该法授权的双边互惠机制,[30]从而将数据控制者模式在全球范围内的实际影响越发放大。  

(见下页)

  

[1] [2] [3] 下一页

联系我们
  • 电话: 010-82339017 邮箱: beihangkexie@163.com 地址: 北京市海淀区学院路37号 邮编: 100191