我国若基于程序主义数据主权构建刑事取证管辖的互惠模式，可以以“云法”规定的双向机制为参考，但绝不能照搬其实质不平等的所谓“互惠”机制，而应当与其他国家通过双边或多边平台在彼此平等、尊重的基础上实现真正意义上的互惠。当然，这就意味着我国有必要在坚持数据存储地模式并切实维护数据主权与安全的基础上，正视各国刑事取证管辖存在一定程度交织的现状，从而适度放开对内数据主权的绝对管控。为了在数据安全保障与数据适度对外共享、开放之间达成平衡，可以考虑保留适用严格的数据存储地模式以行使“关键数据主权”的权利。例如，网络安全法第37条强制要求关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据应当在我国境内存储。这就是通过数据的本地化存储，对特定数据进行特殊保护。即使在程序主义数据主权的框架下可以开放或让渡部分数据主权，但对于这类需要特别保护的数据，在刑事取证管辖方面，也应原则上适用数据存储地模式，坚持通过刑事司法协助程序来解决相关问题。当然，对于这类关键数据的范围，还需要我国相关法律法规作进一步的明确。

*西南政法大学刑事侦查学院（国家安全学院）副教授。

本文系2018年教育部人文社会科学研究青年基金项目“网络空间主权视域下的跨境电子取证制度研究”（19YJC820033）的阶段性成果。

[1]See Anthony J.Colangelo, What is Extraterritorial Jurisdiction,99 Cornell Law Review 1311(2014).

[2]参见张兰图、刘竹君：《国家刑事管辖权法定论》，《当代法学》2006年第5期，第107页。

[3]参见湖北省武汉市中级人民法院（2016）鄂01刑终176号刑事裁定书。

[4]外文文献常用“Microsoft-Ireland Case”简称此案，下文为论述方便使用“微软—爱尔兰案”的简称。

[5]Microsoft Corp.v.United States,829 F.3d 222(2d Cir.2016).

[6]该法英文全称为“Clarifying Lawful Overseas Use of Data Act”，因其主要涉及跨境云数据取证从而简称为“CLOUD Act”，下文为论述方便使用“云法”的简称。

[7]United States v.Microsoft Corp., No.17-2,584 U.S._(2018).

[8]See Ulrich Sieber, Nicolas von zur Mühlen (eds.), Access to Telecommunication Data in Criminal Justice, Duncker & Humblot,2016, p.730.

[9]See Russell G.Smith, Peter Grabosky ＆ Gregor Urbas, Cyber Criminals on Trial, Cambridge University Press,2004,p.58.

[10]United States v.Gorshkov, NO.CR00-550C,2001 WL 1024026(W.D.Wash.May 23,2001).

[11]See CCIPS, Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations, p.58, available at http://www.justice.gov/criminal/cybercrime/docs/ssmanual2009.pdf, visited on Nov.1,2018.

[12]See Jack L.Goldsmith, The Internet and the Legitimacy of Remote Cross-Border Searches,2001 University of Chicago Legal Forum 103(2001).

[13]参见皮勇：《〈网络犯罪公约〉中的证据调查制度与我国相关刑事程序法比较》，《中国法学》2003年第4期，第152页。

[14]Brief for Ireland as Amicus Curiae Supporting Appellant at 4,7, In re Warrant to Search a Certain E-mail Account Controlled & Maintained by Microsoft Corp., No.14-2985-CV (2d Cir.Dec.23,2014).

[15]See Christopher Millard (ed.), Cloud Computing Law, Oxford University Press,2013, p.288.

[16]See Richard A.Clarke, et al., Liberty and Security in a Changing World: Report and Recommendations of the President’s Review Group on Intelligence and Communications Technologies (2013), p.227, available at https://obamawhitehouse.archives.gov/sites/default/files/docs/2013-12-12_rg_final_report.pdf, visited on Nov.9,2018.

[17]参见[美]迈克尔·施密特总主编：《网络行动国际法塔林手册2.0版》，黄志雄等译，社会科学文献出版社2017年版，第107页。

[18]See Cybercrime Convention Committee, T-CY Guidance Note #3: Transborder Access to Data (Article 32), p.3, available at https://rm.coe.int/16802e726a, visited on Oct.26,2018.

[19]参见国际电信联盟电信发展部门：《了解网络犯罪：现象、挑战及法律对策》，第282页，https://www.itu.int/en/ITU-D/Cybersecurity/Pages/Publications.aspx，2018年3月18日最后访问。

[20]In re Search Warrant No.16-960-M-01 to Google; In re Search Warrant No.16-1061-M to Google,232 F.Supp.3d 708.

[21]See European Commission, Commission Staff Working Document Impact Assessment (SWD (2018)118 final), p.33,available at https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=SWD%3A2018%3A118%3AFIN, visited on Oct.29,2018.

[22]参见前引[21]，欧盟委员会报告，第71页。

[23]See Anna-Maria Osula, Mark Zoetekouw, The Notification Requirement in Transborder Remote Search and Seizure: Domestic and International Law Perspectives,11:1 Masaryk University Journal of Law and Technology 117(2017).

[24]See Improving Cross-border Access to Electronic Evidence: Findings from the Expert Process and Suggested Way, available at https://ec.europa.eu/home-affairs/sites/homeaffairs/files/docs/pages/20170522_non-paper_electronic_evidence_en.pdf, visited on Sep.15,2018.

[25]Belgium Supreme Court, September 4th,2012, A.R.P.11.1906.N/2.

[26]See Brad Smith, In the Cloud We Trust, http://news.microsoft.com/stories/inthecloudwetrust, visited on Jun.11,2018.

[27]参见洪延青：《美国快速通过CLOUD法案，明确数据主权战略》，《中国信息安全》2018年第4期，第35页；许可：《数据主权视野中的CLOUD法案》，《中国信息安全》2018年第4期，第42页。

[28]参见梁坤：《美国〈澄清合法使用境外数据法〉背景阐释》，《国家检察官学院学报》2018年第5期，第159页以下。

[29]据美国思科公司2015年11月的预测，到2019年将有55%的居民区网络用户会使用云存储服务，高达86%的工作数据将存储于云中。See Cisco, Cisco Global Cloud Index 2014－2019, available at https://www.cisco.com/c/dam/m/en_us/service-provider/ciscoknowledgenetwork/files/547_11_10-15-DocumentsCisco_GCI_Deck_2014-2019_for_CKN__10NOV2015_.pdf, visited on Nov.1,2018.

[30]欧盟委员会于2018年4月17日宣布，计划建立“欧洲数据提交令”（European Production Order）制度：成员国的执法或司法当局可直接指令欧盟境内的服务提供者提供电子数据，不论相应数据是否存储于欧盟境内。2018年8月14日，加拿大警察局长协会、法律修正案及电子犯罪委员会发布决议，敦促加拿大政府根据美国“云法”的规定与美国政府签订数据共享协议，以应对云计算时代网络犯罪证据跨境收集所面临的挑战。

[31]国家安全法第25条规定：“加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。”网络安全法第1条指出，该法的立法目的之一是“维护网络空间主权和国家安全”。

[32]国家互联网信息办公室2016年发布的《国家网络空间安全战略》明确指出，“国家主权拓展延伸到网络空间，网络空间主权成为国家主权的重要组成部分。”

[33]参见前引[17]，施密特总主编书，第58页。

[34]参见黄志雄：《网络空间国际规则制定的新趋向——基于〈塔林手册2.0版〉的考察》，《厦门大学学报（社会科学版）》2018年第1期，第5页。

[35]参见张新宝、许可：《网络空间主权的治理模式及其制度构建》，《中国社会科学》2016年第8期，第147页。

[36]See National Cyber Strategy of the United States of America, p.25, https://www.whitehouse.gov/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf, visited on Nov.15,2018.

[37]See Nigel Cory, Cross-border Data Flows: Where Are the Barriers, and What Do They Cost?, available at https://itif.org/publications/2017/05/01/cross-border-data-flows-where-are-barriers-and-what-do-they-cost, visited on Oct.28,2018.

[38]参见吴沈括：《数据跨境流动与数据主权研究》，《新疆师范大学学报（哲学社会科学版）》2016年第5期，第114页。

[39]前引[36]，《美国国家网络战略》报告，第15页。

[40]参见何波：《数据是否也有主权——从微软案说起》，《中国电信业》2018年第8期，第57页。

[41]See Security Union, Commission Facilitates Access to Electronic Evidence, available at http://europa.eu/rapid/press-release_IP-18-3343_en.htm, visited on Oct.22,2018.

[42]See Jennifer Daskal, The Un-Territoriality of Data,125 Yale Law Journal 366-378(2015).

[43]See Jack L.Goldsmith, Against Cyberanarchy,65 The University of Chicago Law Review 1199(1998).

[44]See Andrew Keane Woods, Against Data Exceptionalism,68 Stanford Law Review 758(2016).

[45]See Dan Jerker B.Svantesson, Against ‘Against Data Exceptionalism’,10:2 Masaryk University Journal of Law and Technology 204(2016).

[46]参见2019年2月1日起施行的《公安机关办理刑事案件电子数据取证规则》第27条。

[47]《计算机犯罪现场勘验与电子证据检查规则》第25条规定了网络监听。这种技术侦查手段可以用于对跨境传输过程中的数据及境外目标系统运行过程中的数据进行实时收集。

[48]参见高峰、田学群：《五方面细化规范“远程取证”工作》，《检察日报》2013年12月15日第3版。

[49]例如，在侦查一起开设赌场案的过程中，公安机关冻结了487个涉嫌赌博的境外网站账户。参见雷强、张发平：《境外注册境内狂拉下线，在线赌博网站涉赌9.8亿》，《市场星报》2015年10月9日第5版。

[50]参见冯姣：《互联网电子证据的收集》，《国家检察官学院学报》2018年第5期，第37页。

[51]参见《中国代表团出席“联合国网络犯罪问题政府间专家组”》，http://www.fmprc.gov.cn/ce/cgvienna/chn/drugandcrime/crime/t1018227.htm，2018年3月15日最后访问。

[52]参见全国人民代表大会宪法和法律委员会：《关于〈中华人民共和国国际刑事司法协助法（草案）〉审议结果的报告》，http://www.npc.gov.cn/npc/xinwen/2018-10/26/content_2064519.htm，2018年10月31日最后访问。

[53]参与制定“塔林手册2.0版”的专家一致认为，“未经一国的同意，另一国的执法机关不可侵入该国境内的服务器以获取证据。”参见前引[17]，施密特总主编书，第106页。

[54]See Black’s Law Dictionary (9th ed.)，Thomson West,2009, p.1610.

[55]参见齐爱民、盘佳：《数据权、数据主权的确立与大数据保护的基本原则》，《苏州大学学报(哲学社会科学版)》2015年第1期，第67页；孙南翔、张晓君：《论数据主权——基于虚拟空间博弈与合作的考察》，《太平洋学报》2015年第2期，第65页；孙伟、朱启超：《正确区分网络主权与数据主权》，《中国社会科学报》2016年7月5日第5版。

[56]参见冯伟、梅越：《大数据时代，数据主权主沉浮》，《通信安全与保密》2015年第6期，第49页；沈国麟：《大数据时代的数据主权和国家数据战略》，《南京社会科学》2014年第6期，第115页。

[57]例如，有学者认为，“数据主权也意味着数据即使被传输到云端或远距离服务器上，仍然应受其主体控制，而不会被第三方所操纵”（蔡翠红：《云时代数据主权概念及其运用前景》，《现代国际关系》2013年第12期，第59页）。也有学者认为，“一国公民在境外形成的数据也属于该国管辖的范围”（杜雁芸：《大数据时代国家数据主权问题研究》，《国际观察》2016年第3期，第6页）。

[58]胡云腾主编：《网络犯罪刑事诉讼程序意见暨相关司法解释理解与适用》，人民法院出版社2014年版，第55页；喻海松：《〈关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见〉的理解与适用》，《人民司法（应用）》2014年第17期，第21页。

[59]参见前引[57]，蔡翠红文；前引[57]，杜雁芸文。

[60]参见胡健生、黄志雄：《打击网络犯罪国际法机制的困境与前景——以欧洲委员会〈网络犯罪公约〉为视角》，《国际法研究》2016年第6期，第27页。

[61]该条规定：“对公开发布的电子数据……可以通过网络在线提取。”

[62]万春等：《〈关于办理刑事案件收集提取和审查判断电子数据若干问题的规定〉理解与适用》，《人民检察》2017年第1期，第53页。

[63]参见前引[18]，网络犯罪公约委员会报告，第4页。

[64]参见前引[17]，施密特总主编书，第107页。

[65]例如，在我国网警办理的“暗网”取证第一案中，警方根据美国方面提供的一个虚拟身份，在境外隐秘网络中采取“蹲守”“勘验”等措施进行取证。参见刘子珩等：《境外隐秘网络第一案背后的暗黑世界》，《新京报》2016年11月25日第13版。

[66]See Peter Swire ＆ Justin D.Hemmings, Mutual Legal Assistance in an Era of Globalized Communications: The Analogy to the Visa Waiver Program,71 Nyu Annual Survey Of American Law 702(2017).

[67]“欧洲调查令”制度于2017年5月22日起施行。收到请求的成员国，最多有30天时间来决定是否接受该请求。如果接受该请求，具体的取证执行期限只有90天。

[68]参见前引[21]，欧盟委员会报告，第46页。

[69]外国政府的此类取证请求必须经过司法协助程序，并由美国相应辖区的法官进行审查，以满足美国宪法第四修正案所规定的启动搜查、扣押措施的“合理根据”标准。18 U.S.C.§2703(a).

[70]18 U.S.C.§2703(c)(2).

[71]18 U.S.C.§2702(b)(8).

[72]18 U.S.C.§2703(c)(1)(C).

[73]参见前引[28]，梁坤文，第155页。

[74]参见前引[27]，洪延青文，第35页。

[75]See Adeno Addis, The Thin State in Thick Globalism: Sovereignty in the Information Age,37 Vanderbilt Journal of Transnational Law 1(2004).

[76]参见刘连泰：《信息技术与主权概念》，《中外法学》2015年第2期，第517页。

[77]参见《中国代表团出席联合国网络犯罪问题专家组首次会议并做发言》，http://www.fmprc.gov.cn/web/wjbxw_673019/t812063.shtml，2018年3月15日最后访问。

[78]参见于志刚：《缔结和参加网络犯罪公约的中国立场》，《政法论坛》2015年第5期，第98页。

[79]参见前引[66]，Swire等文，第732页。