作者:裴炜(北京航空航天大学法学院副教授,荷兰伊拉斯姆斯大学法学博士)
出处:《比较法研究》2021年第6期
一、引言
二、国际刑事管辖权:概念明晰与类别界分
三、管辖权改革失焦引发的制度探索和建构障碍
四、执法管辖权下跨境数据取证扩张的正当性及边界
五、新型跨境数据取证措施的实现路径
六、结论
摘要:网络犯罪的急剧增加、传统犯罪与网络信息技术的快速融合深刻转变了犯罪治理的运行场域,跨境数据取证已经成为打击犯罪的新常态,但其因受到执法管辖权的强地域限制而难以有效开展。此时惯性地扩张立法管辖权不仅无助于提升跨境取证效率,也可能模糊跨境数据取证制度建构的重点,甚至严重阻碍打击犯罪的实践运行。基于此,有必要清晰界分立法管辖权与执法管辖权,在后者的理论框架下探索传统刑事司法协助机制以外的跨境数据取证新路径。从执法管辖权的地域性出发,新路径需要建立在国内法与国际法双重正当性基础之上,依据比例原则进行分层分类分场景设计。在具体取证路径上,对于当前国内外普遍探索的直接跨境取证与藉由第三方协助的间接跨境取证两种措施而言,均需要以化解执法管辖权的地域性限制作为逻辑起点,针对直接取证引入善意原则,针对间接取证着力化解合规困境。
关键词:网络犯罪;跨境数据取证;执法管辖权;善意原则;合规困境
随着犯罪与网络信息技术的融合不断深化,绝大多数犯罪转变为触网犯罪,而电子数据证据亦成为打击涉网络信息技术犯罪的主要证据类型。由于网络空间的弱地域性特征,可以用于证明案件事实的电子数据也呈现出全球分散分布和高速传输的特征,进而使得跨境数据取证成为网络信息时代打击犯罪的新常态。刑事司法中传统用于支撑这种跨境获取电子数据证据的方式是国际刑事司法协助机制,但在实践中该机制往往运行不畅,例如目标电子数据的地理位置难以快速查明,被请求国缺少必要的电子取证措施,被请求国响应机制过于缓慢以至于导致数据损毁、灭失,甚至被请求国直接拒绝提供协助。更重要的是,随着表层网络(surface web)治理强度的不断提升,犯罪分子越来越多地向深网(deep web)甚至暗网(dark web)下潜以隐匿身份或隐藏行踪,在无法准确定位犯罪分子及其活动对应地理坐标的情况下,刑事司法协助机制基本上瘫痪。 由此,我们可以观察到网络空间侦查取证面临的一个主要矛盾,即快速获取境外电子数据以有效打击犯罪的现实需求与传统冗长、低效甚至失效的司法协助机制之间的矛盾。为有效应对这一矛盾,一些新的侦查措施开始出现,典型的有美国联邦调查局(FBI)的网络侦查技术(Network Investigative Techniques, NIT)、英国基于《2016年侦查权力法》的设备干预措施(Equipment Interference)等。我国2016年由最高人民法院、最高人民检察院、公安部颁布的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《电子数据规定》)中创设的网络远程勘验和在线提取措施,同样是侦查机关试图在网络空间直接获取数据的立法探索。尽管公安部在2019年制定《公安机关办理刑事案件电子数据取证规则》(以下简称《电子取证规则》)时将网络在线提取限定于公开数据和境内计算机信息系统,但网络远程勘验并不受此限制;相反地,远程勘验恰恰是判断目标数据是否位于境内的先行措施。此外,国际警察局长协会(International Association of Chiefs of Police, IACP)在其2015年发布的报告中也提出,“执法人员如果不通过侵入计算机信息系统的方式收集证据,那么将无法有效侦查违法活动并起诉犯罪”。 这些措施尽管能够绕过地域判定的障碍并大幅度提升侦查效率,但由于其潜在的跨境执法属性而与现有管辖权规则发生冲突,这也是当前此类措施面临的最主要争议之一。国内学界尽管已经关注到网络空间对于传统管辖权的挑战,但现有研究仍然主要关注的是立法管辖权层面,也正是在这个意义上,无论是对于普遍管辖权或长臂管辖权的探讨,还是基于这些探讨提出的扩张管辖权的建议,往往都是从实体法角度出发,难以真正有效辐射至程序法活动所依赖的执法管辖权领域内,更毋庸提及化解执法管辖的冲突问题;而在涉及到执法管辖权问题的研究中,其关注点又多集中于国内侦查管辖权的规制。即便有少数研究论及两类管辖权的区分,但鲜有据此提出化解刑事跨境执法管辖冲突的具体措施。结合之前提及的犯罪侦查现实困境,现有关于网络犯罪管辖权的研究实际上与之并不匹配,这也进一步导致后续的应对措施与实际需求之间相错位。 本文正是从这一错位问题出发,试图通过明晰涉外刑事司法中立法管辖权与执法管辖权的概念界分,为网络空间跨境侦查取证措施所面临的执法管辖权冲突探索化解路径。该探索主要包含四个部分。本文首先分析跨境刑事司法管辖权的概念,并明确跨境犯罪侦查所对应的管辖权类型。在此基础上,本文第二部分进一步探索管辖权理论混乱对实践中跨境数据取证的负面影响,尤为典型地表现在制度设计重点错配,跨境取证正当性缺失,跨境取证规制思路混乱三个方面。以回归执法管辖权理论体系为逻辑起点,本文第三和第四部分分别从跨境数据取证的基本原则和程序路径两个层面进行制度建构。2021年5月27日联合国已经正式成立特委会以起草新的涉网络信息技术犯罪公约,笔者希望能以本文之理论和制度探索为我国参与乃至主导新公约谈判建言献策。 在国际管辖权的规则体系中,主权是一个核心概念。一个国家享有主权意味着该国在其国土范围内享有最高且终局性的权力。同时,基于国家平等原则,主权概念也意味着一国负有不干预他国主权的义务,并由此确立同意原则在国际交往中的终极地位。 管辖权的行使本身即蕴含着对主权的主张,而国际法通过限制一国国家机关的管辖权来防止其侵犯他国主权。这种限制涉及到各种类型的国家权力,其又可以区分为两类:第一类是立法管辖权(prescriptive jurisdiction);第二类是执法管辖权(enforcement jurisdiction)。前者指向的是一国制定和发布法律规定的权力,后者则指向的是一国基于上述法律规定,通过法院裁判或行政机关要求相对人遵守法律并惩罚违法行为的权力,其又可以进一步划分为狭义的执法管辖权和司法管辖权。无论在何种类型之下,管辖权概念本身均具有强烈的地域属性。即便如此,国际法在对不同类型管辖权的地域容忍上存在较大差异,这就使得二者在地域限制上实则并非是重合关系。 就立法管辖权而言,其本质规制的是国家的抽象权力行为。放置在刑事法的语境下,其指向的是一国规定某些行为是犯罪并对其适用刑罚的权力。基于法院的专属定罪权,关于犯罪的规定直接引申出司法裁判的管辖权范围,因此刑事领域的立法管辖权与司法管辖权往往范围重合。原则上,在国际法允许的范围内,一国有绝对权力通过立法将自然人或单位的行为确认为犯罪并施加刑罚。目前国际上公认的立法管辖原则主要包括以下类型。第一是属地原则(territorial principle),即犯罪地法院具有管辖权,该原则是刑事立法管辖权的核心原则。第二是积极属人原则(nationality or active personality principle),即以犯罪人的国籍作为管辖权的连结点,该原则由于可能引发管辖权冲突,各国多将其限定于严重犯罪。第三是消极属人原则(passive personality principle),即以被害人的国籍作为管辖权的连结点,其相对于前两者的争议更大,因此适用范围更为有限。第四是保护或安全原则(protective or security principle),针对侵害或威胁本国安全或利益的行为设置管辖权,即便该行为发生在域外。此外,在承担国际公共义务的情况下,也允许一国设置普遍管辖权(universal jurisdiction)。 相对而言,执法管辖权规制的是国家的具体权力行为,该行为脱离抽象层面的规范制定进入到直接接触相对人或物的现实层面。与立法管辖权类似的是,对于在一国领土内实施的执法行为,该国享有管辖权并无争议。区别在于,国际法原则上并不允许一国执法机关超出本国领土实施执法行为。换言之,相对于立法管辖权,一国的执法管辖权受到严格的地域限制。这意味着即便一国有权将某种域外行为纳入到本国刑法体系的管辖范围,也并不意味着该国的执法机关有权跨越边界线直接对该行为开展调查取证和后续的司法活动。针对该原则,常设国际法院(Permanent Court of International Justice)在著名的“莲花号案”(Lotus Case)中有明确的表述:“国际法之于一国行为的最主要限制即在于……该国不能在他国领土上以任何形式执行本国权力。在这个意义上,管辖权确定是地域性的;非依国际条约或习惯所确定的许可性规则,一国无权在本国领土之外行使权力。” 基于执法管辖权的强地域性限制,原则上一国的跨境执法活动需要建立在相对国同意的基础之上,典型地体现为基于双边或多边协议建立起来的司法协助机制,非经同意的执法活动往往构成对他国主权的直接侵犯。这里需要特别注意的一点是,在广义执法管辖权的概念下,狭义执法管辖权与司法管辖权的正当性判断是相区别的;即便跨境执法活动不具有正当性基础或超出了合理范围,原则上并不影响一国后续司法管辖权的行使。 我国当前刑事法同样呈现出立法管辖权与执法管辖权的区分。一方面,从立法管辖权的角度,《中华人民共和国刑法》(以下简称《刑法》)明确规定了属地管辖、属人管辖、保护管辖和普遍管辖四种类型(第6条至第9条)。近些年来关于扩大刑事管辖权的学术研究大多是从这个角度出发,例如扩大属地管辖原则、建立实害联系原则和网址国来源原则等,其实质仍然是对于立法管辖权在网络空间的解释。这种解释并未超出传统立法管辖权的主要类型,同时也由于其针对的是抽象国家权力行为,因此在本国立法上予以实现并无实质性障碍。沿着这一思路,近些年我国关于网络犯罪相关规定的关注重点即在于扩大“犯罪地”的解释。 但是基于立法管辖权与执法管辖权的界分可以看出,这种地域管辖连结点的扩张并不能直接对应刑事执法机关执法权的国际扩张,后者仍然需要回归到执法管辖权的强地域限制之上。根据《中华人民共和国国际刑事司法协助法》(以下简称《国际刑事司法协助法》)的相关规定,原则上非经我国主管机关同意,外国机构、组织和个人不得在我国境内从事刑事诉讼活动(第4条第3款),这是对执法管辖权地域性最直接的主张。根据平等互惠原则,我国国家机关也不得绕过对方主管机关开展相关刑事诉讼执法活动。具体而言,这些活动包括但不限于“犯罪情报信息的交流与合作,调查取证,安排证人作证或者协助调查,查封、扣押、冻结涉案财物,没收、返还违法所得及其他涉案财物,送达刑事诉讼文书,引渡、缉捕和递解犯罪嫌疑人、被告人或者罪犯”等(公安部《公安机关办理刑事案件程序规定》第375条)。如果我国国家机关欲开展上述跨境执法活动,则需或者通过刑事司法协助方式,或者通过警务合作方式进行,但无论采用何种方式,均需基于我国参加或缔结的国际条约、双边或多边合作协议,或者按照互惠原则进行。 相对于立法管辖权的不断扩张,近些年来我国国际执法管辖权的相关规定基本上没有发生任何突破性变化。《中华人民共和国刑事诉讼法》(以下简称《刑事诉讼法》))仅以一个条文规定了刑事司法协助(第18条),而该条文自1996年《刑事诉讼法》修改增加以来,除条文序号外未进行任何修改或补充。公安部为适应打击犯罪的现实需要,就国际犯罪侦查活动补充规定了国际警务协作机制。2019年制定的《国际刑事司法协助法》尽管也涉及到犯罪侦查取证活动,但仅针对的是刑事司法协助机制,并未就国际警务协作进行细化规定。同时,即便对于刑事司法协助,新法也主要承袭了既有做法,并未涉及到对于执法管辖权运行机制的改革问题。 可以看到,我国关于国际管辖权的制度建设呈现出立法管辖与执法管辖全然不同步的情况。这种情况与当前打击涉网络信息技术犯罪的现实需求和实践做法之间相错位。一方面,从有效预防和打击涉网络信息技术犯罪的角度来看,当前面临的主要障碍并不在于立法管辖权而在于执法管辖权,特别是在狭义的执法管辖权方面;另一方面,2016年《电子数据规定》与2019年《电子取证规则》中已经出现突破执法管辖权的尝试,但因为缺少必要的理论支撑,导致相关措施的正当性和稳定性均面临挑战。更重要的是,对于立法管辖权的偏重本身契合的是长期以来重实体轻程序的思维惯性,使得一些基于实体法的考量因素不恰当地套用于犯罪侦查取证活动,典型的例证如双重犯罪原则的适用范围问题。以下分别就上述三个方面进行具体分析。 在犯罪与网络信息技术结合的早期,“网络犯罪”作为具有特定指向的新型犯罪类型首先引起了刑事实体法的关注,其中就管辖权而言,其核心在于判定一国法院对于网络空间中实施的犯罪活动是否有权审判的问题,本质是立法管辖权及与之对应的司法管辖权的范畴。之所以产生该问题,主要原因并非在于出现了普遍意义上的管辖权缺位,而是传统管辖权连结点需要重新予以解释。正如有学者指出,似乎所有的案例都可能在传统刑事管辖权规则下寻求到解决的方式,真正存在问题的案例只是极少数。在各国普遍扩张本国刑事立法管辖权的背景下,“不仅导致了各国刑法空间效力的极度膨胀,也引发了各国间适用该原则的冲突”。因此,当前立法管辖权呈现的状况更多的并非是连结点不足,而是连结点过多情况下导致的管辖冲突问题。 随着网络信息技术与社会生活的深度融合,“网络犯罪”这一概念已经泛化,并且呈现出两个主要特征:第一是大多数国家已经完成狭义网络犯罪的入罪立法;第二是绝大多数的传统犯罪或多或少地因“触网”而转变为广义意义上的网络犯罪。在此背景下,典型或者核心意义上的网络犯罪的特殊性不断弱化。与此相对应,从打击网络犯罪的角度来看,实体法建构的急迫性也随之降低。此时继续强调立法管辖权的扩张非但难以有效地提升打击犯罪的实效,反而有可能将个别犯罪中面临的管辖冲突问题扩展至各类犯罪。 更重要的是,当前打击网络犯罪的核心障碍已经转移至程序法层面。2020年国际刑事警察组织(Interpol)在呈交给联合国网络犯罪政府间专家组会议的报告中指出,犯罪分子越来越多地利用执法管辖的地域限制,通过在全球范围内开展犯罪活动来躲避侦查。与此类似,2019年欧洲刑事警察组织(Europol)和欧洲司法合作组织(Eurojust)联合发布报告,系统总结了当前打击网络犯罪所面临的主要障碍,包括:数据丢失或灭失、位置缺失、国内法律框架障碍、国际合作障碍以及公私合作障碍。这些障碍的共性在于,其均指向的是程序性障碍,例如报告中涉及的“位置缺失”直接对应的是执法管辖不明以及由此引发的诉讼措施适用困境;而后续的国内法障碍、国际合作障碍以及公私合作障碍恰恰是在探索化解执法管辖不明问题时面临的程序性挑战。聚焦到我国,近些年来高发的电信网络诈骗案件、网络赌博案件等同样呈现出犯罪链条向境外转移的特征,公安部对此开展的“长城行动”即是对这一现象的精准回应。 综上可以看到,当前打击网络犯罪所面临的主要制度障碍并非在于一国是否有权打击的问题;该问题无论是通过解释传统立法管辖权还是扩张新的立法管辖连结点均可以得到解决。关键障碍在于,有权打击网络犯罪的国家的执法机关囿于地域边界对于执法管辖权的强限制性,缺少实际打击的能力和法律工具。 学理研究上对于执法管辖权的忽视导致其难以积极回应和支撑司法实践中的现实需求,由此衍生出新的刑事执法措施与传统执法管辖权理论和边界不相兼容的问题,尤为典型地体现在电子取证措施规则方面。如前所述,2016年《电子数据规定》已经关注到网络空间数据流动的跨地域性特征,因此在常规的数据提取措施之外,设置了网络在线提取以及配套的网络远程勘验,并允许在必要时采取技术侦查措施(第9条)。这些措施无疑是司法实践经验的重要总结,试图回避或突破执法管辖权的强地域限制。但由于缺乏必要的理论和法律支撑,这种回避做法往往面临正当性缺失的尴尬境地,甚至有可能引发国际层面的法律责任。 从正当性缺失的角度来看,网络在线提取和远程勘验与前文提及的美国网络侦查技术具有一定的相似性。就网络在线提取而言,其是作为常规取证措施难以适用之时的替代性措施。所谓常规性措施,即扣押原始存储介质之后对其中存储的数据收集提取,当存储介质位于我国境内时,该措施属于纯粹的本国执法行为。问题在于,在地理位置容易确定的存储介质不便或不能扣押之时,侦查措施就需要进入到地理边界模糊的网络空间,此时数据取证将可能直接面临两种情形:第一种是明确知晓存储介质位于境外;第二种是不知晓或难以确定数据的具体位置。对于这两种情形,《电子数据规定》第9条事实上均采取了允许侦查取证的态度。但由于其本质均是“使用技术手段的单边取证”,前者会直接与执法管辖的地域边界形成冲突,而后者则会产生违反执法管辖权边界的现实风险。对此,2019年公安部在制定《电子取证规则》时,将网络在线提取措施的适用范围进行了大幅度限缩,仅限于境内远程计算机信息系统中的电子数据或境外公开发布的电子数据(第23条)。这一修订一定程度上化解了《电子数据规定》与执法管辖权的冲突问题。 但是,规则上的限缩实际上未能直接化解执法管辖权边界对于网络空间数据取证的限制;在缺乏新的正当性机制的情况下,实践需求又催生出网络远程勘验措施的扩张。根据2016年《电子数据规定》,网络远程勘验是指“通过网络对远程计算机信息系统实施勘验,发现、提取与犯罪有关的电子数据,记录计算机信息系统状态,判断案件性质,分析犯罪过程,确定侦查方向和范围,为侦查破案、刑事诉讼提供线索和证据的侦查活动”(第29条)。可以看到,这里的“勘验”不仅包含勘察计算机信息系统情况,还包含直接的数据取证活动,其措施不仅限于查看,还包括安装新应用程序、使远程系统产生新电子数据、展示电子数据内容或状态等积极措施。 这种将场所勘察检验与证据材料收集配套使用的做法延续的是域内侦查中勘验措施的立法思路。传统针对场所的勘验措施之所以能够直接附带某些取证行为,一是因为物理场所的位置与其中包含的证据材料的位置高度一致,或者更确切的说法是,恰恰因为证据材料可能在特定场所分布,才使得该场所可以成为勘验措施的对象;二是因为能够附带取证的证据材料往往并不直接牵涉特定自然人的人身或财产权利,否则可能落入到其他侦查措施的适用范围中去。例如如果在勘验时需要提取属于某人的财物,则该财物提取不能直接附着于勘验,而是需要遵循查封、扣押的相关规定。 然而,当场所勘验的对象由物理场域转为网络空间这一虚拟场域时,上述勘验附带取证的理由就难以继续成立。一方面,在网络空间,远程计算机信息系统的运营位置并不能直接对应其中处理的数据的地理位置,更毋庸提前者本身就难以事前确定。另一方面,通过远程勘验收集、提取或监控的电子数据,并非“不牵涉特定自然人的人身或财产权利”;相反,在数字隐私权不断受到关注、个人信息立法保护强度不断提升的背景下,勘验附带取证的正当性进一步被削弱。 在此背景下,网络远程勘验措施不仅在形式上仍然可能突破执法管辖权的地域限制,同时在实质上可能干预他国网络安全、数据安全以及个人信息保护制度,进而使得执法人员即便以打击犯罪这一正当目的为由,仍然可能面临触发他国法律责任的现实风险。例如早在2002年俄罗斯就指控美国两名FBI探员为犯罪侦查目的远程侵入位于车里雅宾斯克的服务器并从中提取数据。尽管类似指控往往并非仅因法律原因作出,但至少执行本国法律这一事由并不能豁免他国法律责任。也正是在这个意义上,美国司法部在其指南中对执法人员的跨境提取数据行为进行了明确的法律风险提示,“即便如向境外证人打电话、发邮件或会见等看似无害的行为均有可能落入'违反他国主权的’范围中去。违反他国主权可能导致外交抗议、拒绝调取证据,甚至对美国执法人员或其协助者的逮捕”。 与此类似,我国刑法第8条规定的保护管辖权同样适用于不享有外交特权和豁免权的外国人,无论该外国人跨境入侵我国计算机信息系统或者获取数据的行为是否以执行他国法律为目的。换言之,即便外国侦查机关为犯罪侦查取证之目的侵入、控制或者破坏我国计算机信息系统,或者非法获取其中的数据的,仍然可能构成《刑法》第285条、第286条等规定的相关罪名。 偏重立法管辖权而忽视执法管辖权的倾向不仅与当前网络犯罪治理的重心和现实需求不符,同时还有可能模糊甚至误导执法管辖权的理论和实践的探索方向。这里试举两例。 第一例涉及到犯罪侦查中协助侦查的网络信息业者的国籍问题。有学者在探讨网络空间刑事侦查和数据跨境获取时提到,这些活动面临网络服务提供者的“国际管辖”困难,其原因在于“传统上,主权国家主要依据法人的国籍确定对其的管辖”。 这一观点的前半句具有一定的合理性,即网络服务提供者注册地与服务提供地确实可能发生分离,但后半句的原因则主要是从立法管辖权的角度出发,与执法管辖权的关系不大。根据《刑事诉讼法》第52条之规定,侦查机关向有关单位和个人收集证据或吸收其协助调查,并不以这些单位或本人是本国人为前提。换言之,只要调取证据的侦查行为发生在我国境内,我国侦查机关自然具有执法管辖权。基于相同的考量可以看到,《国际刑事司法协助法》第4条第3款在规定跨境提供证据材料或协助刑事司法活动时,同样只是以是否位于“中华人民共和国境内”为规制标准,而与这些“机构、组织和个人”的国籍无关。 正是基于此,我们更容易理解近些年一些国外相关立法和司法实践探索的思路,其核心在于对以网络信息业者为代表的取证对象是否位于本国境内进行解读,进而确保侦查取证行为仍然在本国境内实施。原则上,如果网络信息业者在本国注册,则一般认为其实质存在于本国境内,对其采取的取证措施当然也发生在本国境内,自然不违反执法管辖权的要求。美国在论证制定《云法》的必要性并设置相应的跨境取证程序时,也主要是以多数大型互联网企业均为美国注册企业为逻辑起点。 较为复杂的情形是,当网络信息业者的注册地不在本国境内时,如何解释外国企业的“本国出现”,并以此为本国执法活动提供正当性基础。对此,拥有较少境内注册的国际大型互联网企业的欧盟形成了“两步走”的思路。第一步是拓展“境内出现”(territorially present)的连结点,以网络信息业者在欧盟境内“有效且真实地开展活动”作为标准,包括但不限于设立地方网站,投放广告,支持当地货币、市场或用户调查等行为。第二步是要求开展上述活动的网络信息业者在欧盟境内设立或指定代表机构。通过上述两个步骤,事实上建立起了外国企业在本区域境内的“虚拟存在”(virtual presence),在此基础上针对该企业开展的侦查取证活动便不算超出本国或本区域的地理边界,因此仍然不违反执法管辖权的要求。 总结上述分析可以看出,针对向网络信息业者跨境取证的措施,其合法与否的判断标准并不在于网络信息业者的国籍,而仍然在于该侦查取证措施是否在本国境内实施。二者之所以出现混淆,本质是将立法管辖权的连结点与执法管辖权的连结点进行了混淆。这种混淆可能导致在探索执法管辖权实现机制时错误地将重心放置在网络信息业者国籍解释或豁免方面。 以立法管辖权理论建构执法管辖权制度所形成的第二例典型执法障碍体现在双重犯罪原则的适用上。我国国际刑事司法协助法尽管没有明确提到双重犯罪原则,但是将“请求针对的行为不构成犯罪”列为我国可以拒绝向外国提供协助的事由之一(第14条),并且该拒绝并不区分协助的具体内容。基于对等原则,外国同样可以基于相同理由拒绝我国提出的协助请求。 根据《国际刑事司法协助法》第2条的规定,可以拒绝协助的内容包括“刑事案件调查、侦查、起诉、审判和执行等活动中”提供“送达文书,调查取证,安排证人作证或者协助调查,查封、扣押、冻结涉案财物,没收、返还违法所得及其他涉案财物,移管被判刑人以及其他协助”。问题在于,调查取证这一刑事执法活动明显与定罪量刑的司法活动以及后续的裁判执行存在性质差异,后者直接牵涉到对犯罪嫌疑人、被告人重大人身、财产等权利的剥夺或限制。也正是在这个意义上,双重犯罪原则形成并主要应用于引渡程序,例如根据我国引渡法,我国准予起诉引渡或执行引渡的前提条件之一是该行为“依照中华人民共和国法律和请求国法律均构成犯罪”(第7条),这一点也体现在《国际刑事司法协助法》关于移管被判刑人的规定之中(第56条)。 相对而言,调查取证活动一则不直接导致刑罚等终局性的权利减损,二则服务于查明事实,并不必然不利或有利于被指控人,三则是以本国根据立法管辖权有权进行司法管辖为前提。在此基础上,调查取证活动无论从侵犯他国主权角度还是从减损被指控人权利角度,其强度均远远弱于引渡。正是基于这一考量,《国际刑事司法协助法》第14条采用的是“可以”而非“应当”的表述,并且其仅构成拒绝提供协助的事由。但是,需要看到的是,这一表述仍然主要是从刑事实体法的角度出发,例如在《〈中华人民共和国国际刑事司法协助法〉释义》中作为例证的《中华人民共和国和美利坚合众国政府关于刑事司法协助的协定》,其对于双重犯罪原则的豁免主要是以“某一特定犯罪或特定领域的犯罪”作为分类标准,而非与特定类型的刑事司法活动衔接。 从国际层面来看,双重犯罪原则在跨境取证程序中的要求在不断弱化,典型例证如网络犯罪《布达佩斯公约》要求不应当将双重犯罪原则设定为跨境数据存留措施的前置条件。由于该措施并不局限于《布达佩斯公约》规定的犯罪类型,因此其实际上是以刑事司法行为而非目标犯罪作为判断是否适用双重犯罪原则的标准。欧洲逮捕令(European Arrest Warrant)制度针对32类可能判处3年以上监禁刑犯罪中的跨境逮捕活动取消了双重犯罪要求。相较于取证,逮捕措施对相对人的强制性无疑更高,从这个角度看欧洲逮捕令的做法实际上更为激进。类似地,有报告指出,在美国与其他国家签署的协议中,相较于引渡协议,司法协助协议往往并不包含双重犯罪要求,而更多地是从协助事项的类型上加以区分和限制。考虑到中国当前网络信息技术的发展状况,我国网络犯罪活动无论在样态上还是在演变速度上均超过世界多数国家和地区,在此背景下强调犯罪侦查中的双重犯罪原则,很有可能反向制约我国打击网络犯罪的能力和实际效果。 尊重主权是开展国际刑事司法活动的基本原则,但正如笔者曾经论述的那样,在全球化的大背景下,主权这一概念只有放置在参与国际交往和国际社会治理的语境中才有意义。强调尊重主权原则并非阻碍各国开展犯罪治理国际合作,而是要求这种合作应当具有管辖权上的正当性基础,并在符合比例原则的范围内开展。从前文的论述可以看到,相较于立法管辖权,跨境数据侦查所依托的执法管辖权受到的地域限制更强,因此对于跨境数据取证中的障碍化解应当聚焦于地域限制。在进一步探讨具体的化解路径之前,有必要先行明确基于执法管辖权的跨境数据取证扩张的正当性基础以及主权原则下的制度边界。 从执法管辖权的强地域限制出发,在具体的措施设计上无论是采用传统的刑事司法协助机制,还是创新变通式的取证途径,正当性原则意味着一方面这些措施应当具有国内法的明确授权,另一方面应当建立在相对国同意的基础上。前者要求该措施必须具有国内法意义上的合法性,并且其应当是实质合法性而非形式合法性。后者则要求跨境侦查取证措施的实施原则上不应当是一种单边行为,而是通常需要以国际公约、条约、双边或多边协议或机制为基础。 从我国当前相关法律的规定来看,国内法层面的跨境取证措施的合法性主要具有两个缺陷。第一是在形式合法性层面上,《刑事诉讼法》本身以及《国际刑事司法协助法》并未对跨境数据取证设置国际司法协助以外的路径,各解释类规范性文件创制的新措施实际上突破了《刑事诉讼法》的规定,但其效力层级过低,这种突破本身的正当性存疑。第二是在实质合法性层面上,一些创新措施尽管沿用了《刑事诉讼法》中的侦查措施表述,但其内涵与外延已经远远超出原有立法限定的范围,甚至对措施本身的性质进行了较大程度的改造,前文已然论及的远程勘验即为典型例证。这种改造的一个共性在于,套用《刑事诉讼法》中任意性侦查措施之名,行强制性侦查措施之实,这就可以解释为什么在2016年《电子数据规定》和2019年《电子取证规则》中远程勘验这种任意性措施可以嵌套强制性最高的技术侦查,但这也导致措施性质与措施规制强度之间的错配,进而使得该措施的实质合法性存疑。国内立法的上述特征尽管可以更为快速、便捷地提升数据侦查效率,但是正如2021年《最高人民检察院工作报告》特别提到要“规范境外取证”,在跨境取证的语境中,形式合法性与实质合法性上的双重缺陷将不可避免地妨碍相对国的协助意愿以及取证的实际效果。 从国际层面的正当性基础来看,我国当前并未加入专门针对网络犯罪的《布达佩斯公约》,同时在区际层面也尚未形成我国所属地区的区域性公约、协定(指令)类规范或示范法。尽管中国参加的某些区域性组织形成了一些共识性文件,但这些文件更多地停留在宏观倡议层面,不具有直接的法律效力,亦难以转化为具有实操性的跨境取证机制。从我国与其他国家签署的双边协议来看,除刑事司法协助协议之外,我国还通过公安机关与他国警察机关之间的警务协作来推动跨境侦查取证活动。具体而言,现有执法协作双边协议对于协作机制的规定主要包括三种类型。第一种是在刑事司法协助机制框架下对具体合作程序予以明确,例如列明双方执法合作主管机关,请求范围、形式和内容,延迟或拒绝执行事由等;第二种是设置转引性条款,将具体侦查协助机制指向双方共同参加的相关国际条约或机制;第三种是原则性支持执法合作,但具体方式需要进一步协商和落实。 通过观察国际层面的规范性文件可以看出,目前我国参加或缔结的相关公约或协议仍然主要是以刑事司法协助的方式实现跨境取证,尽管国内法试图作出单边性质的突破,但这种突破在国际层面缺乏相应的正当性基础。2019年12月27日,联合国大会通过第74/247号决议,决定针对为犯罪目的使用信息和通信技术的行为开展新的国际公约的起草工作。2021年5月26日,负责公约起草工作的特委会成立,正式启动联合国框架下网络犯罪治理国际公约的起草进程,宣告网络犯罪国际治理框架建设的新阶段的到来。如前所述,当前世界主要国家和地区的网络犯罪治理立法均呈现出将重心由实体规范转向程序规范的趋势,公约也应当对此作出回应,为未来跨境取证适应网络信息技术提供必要的国际法层面的法律依据。 在跨境数据取证行为获得正当性基础的前提下,在具体跨境数据取证措施改革或创新的过程中,需要明确的一点是,尊重主权并非意味着只有侵犯或者不侵犯这两个选项,而是在这两个端点之间存在着一个渐变式的谱系。基于相类似的认知,一些学者也提出了“网络主权的分层法律形态”,并强调“主权具备内与外的双重维度……在当代国际社会中,相比于主权的内部维度,主权的外部维度越来越受到重视,其中又以相互依赖的主权凸显为主要特征”。事实上,国际刑事司法协助机制本身恰恰说明了可以依靠条件设置和程序设计来突破执法管辖权的地域边界,同时也意味着在这个谱系中可以通过条件的增减与变动来寻求尊重主权与打击犯罪之间的合比例的平衡。结合上文关于管辖权分类的探讨,这种平衡至少应当包含如下五项考量因素。 第一个考量因素是所涉刑事司法措施的性质。相对于立法管辖权,执法管辖权项下的各类执法措施受到更为严格的地域限制,但这种限制应当分级分层,从而与各类执法措施相适应。如前所述,相对于直接减损公民基本权利、可能引发对其不利法律后果的引渡和司法裁判行为,以查明案件事实为导向的侦查取证措施相对中立,对公民权利以及其所承载的国家主权的干预性较弱。在这个意义上,针对跨境侦查取证措施的额外附加条件应当区别于其他司法协助活动,例如原则上取消双重犯罪原则在取证中的适用。 第二个考量因素是所涉犯罪的本国属性。这一点在传统犯罪触网的情境下尤为重要,即一个案件从属地、属人等立法管辖的基本连结点来看,完全应当由本国管辖,唯一涉外的因素只是证据,或者说仅在执法管辖层面涉外。这是2018年微软爱尔兰案的典型场景,同时也是我国近些年来高发的电信网络诈骗案件以及其背后网络黑灰产业链的重要特征,而执法管辖权的地域限制已然成为这类案件侦破的瓶颈。可以看到的是,网络信息技术已经不可避免地嵌入到各类犯罪之中,境外存储纯本国犯罪的关键数据证据将成为新常态。对于此类犯罪如果仍然要采用严格的执法管辖地域性标准,无疑将极大降低一国打击犯罪的能力;这种地域性限制非但无助于提升本国主权和安全,反而成为犯罪分子逃避一国侦查活动的工具。从这个角度讲,针对纯本国犯罪,仅因涉案数据位于境外需要跨境取证的,应当在取证程序上适当降低门槛。 第三个考量因素是所涉犯罪的严重程度。其主要考察两方面内容:一是在请求国的犯罪体系内部,目标犯罪行为所处的位阶;二是该行为在被请求国犯罪体系中的评价和位阶。就前者而言,基本的评价规则是目标犯罪越严重、社会危害性越大,则跨境取证的正当性基础越充分,其门槛可以相应降低。就后者而言,尽管双重犯罪不应当成为能否提供数据跨境取证协助的门槛,但对于在被请求国同样构成犯罪的行为,特别是国际层面共同关切的犯罪行为,在国际刑事司法协助的互惠原则的框架下,对其进行及时有效的打击,无疑对相对国来说也有犯罪控制层面的利益,因此在协助的程序设计上可以考虑适当从简。 第四个考量因素是目标数据的相关性,即评价目标数据与刑事案件之间的关系。该因素主要涉及两个层面的问题:其一是目标数据与案件本身的关联性;其二是目标数据与相对国的关联性。就前者而言,如果目标数据是案件的重要或关键证据,特别是在该数据面临灭失或转移等紧急情况下,应当允许对跨境取证程序予以简化或设置紧急程序。就后者而言,其考量重点在于相对国对目标数据占有、控制或获取的相对排他性,以及在不具有排他性的情况下,获取该数据的便宜性。如果除相对国以外不存在其他获取该数据的路径,或者采用其他路径的取证成本畸高,则应当适当允许简化跨境数据取证程序。需要说明的是,取证成本畸高既包括数据分散存储和高速流动造成的数据地难以确定,以及确定之后涉及多数相对国的情形;同时也涉及由于数据加密等技术设置对取证活动造成的实质性障碍。 第五个考量因素是取证行为所涉公民权利的性质。核心在于确保跨境数据取证过程不因门槛的降低或程序的简化而对公民基本权利造成不当减损,背后体现的是刑事司法需同时兼顾犯罪控制和人权保障双重价值的基本理念。具体而言,该考量因素体现为三个方面的类型化。首先,以数据主体的身份为视角,当涉案数据的数据主体是请求国本国公民或居民时,应当允许适当简化协助流程。其次,从数据性质入手,区分内容数据和非内容数据,以及敏感个人信息和一般个人信息,当涉案数据为一般个人信息或者非内容数据时,可以考虑采用相对简化的跨境取证流程;而当涉案数据属于敏感个人信息或者内容数据时,则取证活动应当遵守更高的程序性要求。再次,针对侦查措施本身,区分静态取证和动态取证。前者是对已经存储或固定的静态数据进行收集提取,后者则涉及对仍处于流转、变动过程中的数据采取监听、监控等技术侦查措施,其是对公民基本权利的更严重的干预。据此,对于静态数据取证,特别是超过相对国法律规定的存储最低期限的静态数据的收集提取,可以适当降低跨境取证的门槛并简化流程。 执法管辖权的强地域限制是当前预防和打击网络犯罪国际合作中最为主要的障碍之一。从前文论述可以看出,以立法管辖权为核心的探讨不仅无法回应现实需求,还有可能导致跨境数据取证中规则设计的缺位或错位。跨境数据取证作为犯罪侦查的组成部分,其制度设计需要在尊重国家主权的前提下提升侦查效率,而这些都需要建立在对症下药的基础之上,从执法管辖权出发构建跨境数据取证的具体路径。无论从当前我国还是世界其他主要国家或地区的相关立法探索来看,在传统的国际刑事司法协助机制之外,跨境数据取证主要试图在两个方面进行程序性突破:其一是侦查人员直接跨境取证;其二是经由网络信息业者的间接取证。这种突破除需要获得上文论及的正当性基础并在比例原则的界限内进行建构之外,还需要寻找到与强地域性执法管辖权相兼容的具体依据和路径。 执法管辖权的强地域性意味着一国侦查机关不能自行跨越地域边界,在他国主权辖区内开展侦查取证活动,否则将直接构成对他国主权的侵犯。但在地域边界不甚清晰的网络空间,无论基于目标数据地域模糊性抑或犯罪追查的紧迫性,在具体案件中侦查人员有时不可避免地会跨境直接开展数据取证活动。如前所述,我国2016年《电子数据规定》中的网络在线提取和远程勘验措施是典型的例证,即便前者在2019年的《电子取证规则》中进行了地域限缩,后者仍然呈现出强烈的跨境取证特征。此时的关键问题在于,这种对于执法管辖权地域限制的直接突破是基于何种理由而具有正当性的,以及在该正当性基础上这种直接取证措施的边界。 这就涉及到善意原则(bona fides)在跨境取证中的引入。《联合国宪章》(Charter of the United Nations)第2条明确规定,“各会员国应一秉善意,履行其依本宪章所担负之义务,以保证全体会员国由加入本组织而发生之权益”。作为一项传统的国际法原则,善意原则强调的是国际关系的双方应当诚实和公正地交往,真实地表达其行为的动机和目的,并且在对双方协议进行解释时避免不当获利。正如国际法院(International Court of Justice, ICJ)在“核试验案”(Nuclear Tests Case)中表述的那样,“善意原则是规制法律义务创设和实施的基本原则之一。信任(trust)与信用(confidence)内嵌于国际合作之中,这在多领域合作愈发重要的年代尤为关键。'条约必须遵守’这一规则本身即以善意为基石,而国际义务的约束力亦然”。从这个角度讲,善意原则一方面支撑国际法义务的现实效力,另一方面也支撑着对该义务的具体解释。 在跨境数据取证的语境下,善意原则往往适用于数据位置不明的情况下侦查人员在追踪数据过程中非故意地造成跨境取证的事实中。如前所述,网络空间的犯罪活动由表层网向下深潜是世界范围内的普遍趋势,犯罪分子利用Tor等技术层层隐藏地理位置已经成为新常态。在此背景下,侦查机关在实施数据取证措施前就查明目标数据地理位置的难度和成本均大幅度提升,并且数据地理位置的发现本身就可能需要采取一系列前置的侦查措施,而在这一过程中刑事司法协助机制因相对国不明根本无法启动。网络犯罪《布达佩斯公约》云证据工作组(Cloud Evidence Group)在起草新的跨境取证规则时就对这一情况表达了担忧,即“国际规则的缺失导致各国分别启用单边措施,这种情况对国际关系和个人权利均造成威胁。对此需要建立起合法跨境获取数据的国际普遍适用的规则”。可以看到的是,无论是前文提及的美国NIT措施和与之配套的《联邦刑事诉讼规则》第41条的远程搜查令(remote search warrant),还是《〈布达佩斯公约〉第二附加议定书》,均是对于地理位置不明的目标数据扩大侦查人员数据取证的能力。 就我国当前的数据取证规则而言,2019年《电子取证规则》将网络在线提取措施限缩在公开数据和境内存储的数据。问题在于,判断数据是否存储于我国境内,进而判断能否对其采用网络在线提取措施,本身就需要先行查明,而这恰恰是网络远程勘验措施所应当发挥的功能,即查明目标数据及数据所处网络空间的特征。在这一查明过程中,由于目标数据位置不明,远程勘验措施本身不应当被视为违反执法管辖权的地域限制,善意原则可以作为采用该措施的正当性依据。但是,这也意味着侦查人员应当承担两方面的义务:第一是尽职尽责查明目标数据位置,远程勘验措施不应当实质性地代替网络在线提取;第二是地理位置查明后及时转变侦查取证措施,并在数据位于境外时按照刑事司法协助机制的相关要求启动相应的数据调取申请程序。 相对于直接跨境取证措施与执法管辖权的激烈冲突而言,另一种相对缓和的方式是间接取证,即向占有或控制目标数据的网络信息业者等单位或个人调取该数据。如前所述,能否向第三方调取数据与该第三方的国籍其实并无直接关系;之所以会关注国籍,在于对单位而言,国籍直接对应着注册地或住所地,进而对应着执法管辖权的地域性要求。这里主要针对的是目标数据位于境外的情形,如果该数据原本就位于本国境内,则本国侦查机关当然地对其享有执法管辖权。 比较复杂的情形是,当目标数据与其控制者或占有者分属不同国家时的执法管辖权问题。在物理场域中,证据材料地理位置往往与其控制者或占有者的地理位置高度重合;或者说当二者的地理位置分离时,一方面其控制者或占有者即丧失控制能力或占有,另一方面侦查机关可以独立地对证据材料进行收集提取。网络空间这一虚拟场域转变了这种地域重合以及其上建立起的占有权或控制权,即在证据材料与相关主体地理位置分离的情况下,后者仍然能完整地保持对前者的控制或占有,进而使得侦查机关难以绕开该主体单独对该数据取证。甚至在更多情况下,向数据占有者或控制者调取是侦查机关获取目标数据的唯一方式。 在这种情况下,侦查机关面临执法管辖权的新挑战。理论上,目标数据如果位于本国境内,那么无论其占有者或控制者位于何处,侦查机关自然有权对其进行收集提取;而如果目标数据占有者或控制者位于本国境内,那么无论数据位于何处,侦查机关同样有权向该数据占有者或控制者进行调取。但在实践中,上述两种情形均会引发不同国家或地区的执法管辖权冲突,并集中体现为该数据控制者或占有者的合规困境之上。 就本国数据为外国主体控制或占有的情形而言,一则该主体所在国法往往禁止其自愿主动协助外国执法机关开展刑事侦查活动,二则外国侦查机关囿于执法管辖权限制,亦无法对位于该国境外的主体直接采取强制性措施,此时针对本国存储数据的执法管辖权相当于被架空。就外国数据为本国主体控制或占有的情形而言,尽管侦查机关根据本国法可以要求该主体协助侦查取证,并且后者也往往承担相应的国内法义务,违反该义务可能引发国内法层面的法律责任。问题在于,由于真正有用的数据位于境外,本国与外国的执法管辖权在该目标数据上出现重叠。此时如果单方地以国内法强制本国主体提供数据,实际是将执法管辖权冲突引发的法律风险转嫁给该主体。从国际法的对等和互惠原则出发,上述两个方面实际是一体两面。 分析我国当前相关立法,可以观察到两个方面的特征。一方面,我国法律原则上禁止本国境内单位或个人对境外执法活动的自愿协助。这一点主要体现在《国际刑事司法协助法》第4条第3款,相关协助活动至少需要经我国主管机关同意。这意味着如果境外侦查机关向我国境内单位或个人调取数据,这些主体不能自主决定予以协助。需要注意的是,该条文并未区分目标数据所在地;如果对该条文进行文义解释的话,意味着这种自愿协助禁止可以扩展至境外存储的数据之上。另一方面,我国法律对有关单位和个人设置了协助执法的义务,并配置了相应的法律责任。例如我国网络安全法第28条规定网络运营者有义务为公安机关侦查犯罪活动提供技术支持和协助,违反该义务可能引发高达50万元的行政罚款(第69条);如果因违反该义务导致刑事案件证据灭失的,情节严重时可能构成《刑法》第286条之一的“拒不履行网络安全管理义务罪”。在缺少相关规定和判例的情况下,遵守他国法律并不构成上述协助义务的豁免事由。 从上述两个特征可以看出,我国当前立法对于犯罪侦查中数据跨境调取的基本态度是,对于我国单位或个人协助外国执法机关较为保守,而对于外国单位或个人协助本国执法机关则相对激进。在此背景下,结合国际法的对等原则,意味着其他国家也可能对我国单位或个人采取类似的限制或措施,不仅可能损及我国侦查机关跨境数据调取的效率,还有可能进一步加剧国家间执法管辖权的冲突,同时还会加重我国网络信息业者的海外法律风险,事实上将不利于网络犯罪治理的国际合作与协同。 对此,我们仍然需要回归到国际共识的基础上,推动相关国际规则的建构。在这一过程中尤其需要关注网络信息业者等协助执法主体的合规困境化解问题,典型地体现在以下三个方面。第一是明确我国侦查机关对相关主体行使执法管辖权的连结点,除在我国境内注册的单位以外,还应当扩展至在我国境内或面向我国市场提供服务的主体。考虑到后者可能承载多个国家的管辖权,应当对后者协助我国侦查机关的义务进行适当缩减,例如可以考虑仅针对非敏感个人信息或非内容数据。第二是针对世界各国普遍关注的重点犯罪类型,在具备条约、协议等正当性基础并结合比例性考量因素的前提下,建立主管机关审批或同意的快速通道,便于境内单位或个人协助境外侦查机关侦破犯罪,以及外国单位或个人向我国侦查机关提供对等协助。第三是需要在特定情形中就我国境内单位或个人协助他国侦查机关打击犯罪行为设置必要的法律责任豁免条款,或者允许该情形下主管机关对有关单位或个人的自愿协助进行事后追认,典型的情形是犯罪活动可能危及国家或公共安全,或者可能危及公民重大人身权利的案件。 网络信息技术已经深刻转变了犯罪治理活动运行的场域。传统管辖权探讨中之所以鲜有涉及执法管辖权,原因在于在物理世界,大多数侦查取证活动发生在一国境内,通常不会触发执法管辖权的问题。即便涉及到跨境取证,国际刑事司法协助机制也足以应对少量案件。这一切在网络空间中均被打破,即便是纯本国案件,其关键证据也可能在境外存储或传输,并且犯罪活动与证据分布相分离的情况正在快速蔓延至传统犯罪,成为当前及未来犯罪治理的新常态。在这一背景下,执法管辖权对犯罪治理的限制开始逐步脱离立法管辖权的话语体系,其重要性前所未有地凸显出来。需要看到的是,现实的困境和需求已经明显地超出了已有的理论和制度储备,惯性式地以扩张立法管辖权来应对跨境数据取证面临的挑战,要么是无的放矢,要么是削足适履。对此,笔者希望通过本文的探讨分析,能够抛砖引玉,引起对执法管辖权的更多关注,以助力网络犯罪治理国际合作法律规则和机制的建设。
