未来犯罪治理的关键：跨境数据取证

文 | 北京航空航天大学 裴炜

2019年的联合国网络犯罪政府间专家组第五次会议，集中探讨电子数据证据取证和国际刑事司法协助等打击网络犯罪的程序法议题。参会各国普遍认识到，未来要有效应对网络犯罪乃至传统犯罪，跨境数据取证将成为关键，国际社会亟需在与之相关的重要事项上协调各国立法和司法实践。

跨国犯罪取证主要通过国际刑事司法协助进行

全球互联的背景下，网络信息技术与犯罪高度融合，无论是网络犯罪还是传统犯罪往往呈现出跨国性、匿名性、智能化的特征，跨国数据取证成为一国刑事司法运行的常态，对传统的刑事司法协助机制提出严峻挑战。联合国网络犯罪政府间专家组撰写的《网络犯罪问题综合研究报告（草案）》明确将跨境电子数据取证和刑事司法协助列为网络犯罪治理的重要课题，这也是2019年联合国网络犯罪政府间专家组第五次会议的主要议题之一。

总体看，本次会议，各国就跨境数据取证在宏观层面形成了以下四点共识：首先，刑事司法协助机制仍然是目前世界各国主要的跨境取证方式；其次，该机制运行效率低下，难以有效应对网络环境下电子数据证据的全球高速流动；再次，网络服务提供者、网络运营者等因其掌握、控制或占有大量数据，已经成为重要的、甚至关键的执法参与者；最后，国际社会有必要积极探索统一或示范性规范，并探索新型取证模式，一方面协调各国的跨境数据取证活动，另一方面提升网络犯罪国际治理的总体能力。

尽管各国形成以上共识，但是，就微观层面的具体改革策略而言，各国则分歧较大，争议焦点集中在是否允许以刑事司法协助机制以外的方式获取位于境外的电子数据证据，特别是是否允许向网络服务提供者等掌握或控制数据的第三方直接调取证据，期间牵涉到的数据主权、数据安全、个人信息保护、企业责任等多个事项也成为制度改革的重点和难点。

国际社会呈现支持多元化跨境数据取证方式的立法倾向

2018年，长期争执不下的微软爱尔兰案以美国出台《澄清域外数据合法使用法案》（Clarify Lawful Overseas Use of Data，CLOUD）暂告一段落。与此同时，欧盟也起草了“跨境刑事数据取证条例建议稿”，以期为成员国之间以及成员国和非成员国之间刑事领域跨境数据取证搭建起法律规制的框架。此外，网络犯罪《布达佩斯公约》委员会目前正在起草第二议定书，旨在深入分析和有效应对社会整体网络信息化所带来的在虚拟空间特别是云空间的取证问题。以上探索均呈现出支持多元化跨境数据取证方式的立法倾向。

数据取证之所以成为当前世界各国和地区立法与司法实践的探索重点，原因在于网络信息革命背景下，数据的全球化存储和流动意味着可以作为刑事案件证据的电子数据的全球化分布，这种情况不仅仅限于网络犯罪，而是已经蔓延到传统犯罪类型。欧盟委员会（European Commission）在其2018年的报告《常见问题：欧盟电子证据取证新规》（Frequently asked questions: New EU rules on obtain electronic evidence）中指出，在当今社会，至少85%的犯罪侦查针对的是电子数据证据，而几乎一半以上的犯罪侦查涉及跨境数据的收集提取。

在此背景下，跨境数据取证将成为未来刑事犯罪侦查的常态，而现代刑事侦查的数据僵局已然形成。一方面，国家主权为一国刑罚权的行使范围划定了严格的地域界限，原则上非经其他主权国家同意，一国不能在另一国领土上实施刑事侦查行为。另一方面，传统的国际司法协助难以有效应对刑事数字侦查中的数据高流动性、高分散性及弱地域性等特征。同时，各国网络与个人信息保护方面的立法高速革新也为跨境执法造成国家利益、公共利益和人权保障方面的法律规定高度不确定性。

我国基于双边条约或协定的刑事跨境取证流程与挑战

根据我国《刑事诉讼法》第十八条的规定，我国司法机关和外国司法机关可以基于国际条约或互惠原则，相互请求刑事司法协助。根据外交部《我国对外缔结司法协助及引渡条约情况》的数据，截至2018年9月，我国已经对外缔结44项刑事司法协助条约、19项民刑事司法协助条约和7项打击“三股势力”（指恐怖主义、分裂主义和极端主义）协定，缔约双方在调查取证方面的协助均属于以上条约或协定的重要组成部分。经过多年酝酿，2018年，我国正式出台《国际刑事司法协助法》，为包括跨境取证在内的国际刑事司法协助事项提供了法律基础和基本规范框架。

结合《国际刑事司法协助法》和相关实践，我国公安司法机关基于双边条约或协定的刑事跨境取证一般遵循以下流程。首先，由具体承办案件的地方司法机关制作请求书和相关材料，经省级司法机关审核通过之后，呈交给对应的主管机关。主管机关在收到相关请求之后，经其审核签署，将该请求提交给条约或协定约定的对外联系机关，并由对方的联系机关将申请书和相关材料转交给被请求国对应的中央机关。之后，被请求国中央机关需要依照该国程序进行审查和做出相应决定，在决定配合的情况下，根据其本国法律规定交付执法机关进行取证，取得的证据仍须按照原路径返回，经由双方主管机关对接之后，才能移送至我国公安司法机关。整个流程从取证伊始到最终获得证据，并无明确的期限，持续时间可能长达数月甚至数年。

在跨境取证作为本国犯罪治理例外情况之时，这种程序上的复杂和由此产生的运行成本尚可容忍，但是，在电子数据全面介入犯罪和犯罪治理活动的当下，跨境数据取证成为犯罪侦查活动的常态，传统程序设计的复杂性将不可避免地会严重危及正常的犯罪侦查取证活动，由此形成了一系列传统刑事司法协助制度的现实困难。

首先，传统刑事司法协助制度效率“极其复杂、缓慢和官僚化”。根据伊恩·沃尔登（Ian Walden）的《云中数据：长臂执法者》（Accessing data in the cloud: the long arm of the law enforcement agent）和乔治·伊（George Yee）的《云计算、计算机通信和网络中的隐私和安全》（Privacy and Security for Clouding Computing, Computer Communications and Networks）的论述，在数据高速流动的今天，这种迟缓难以有效应对涉犯罪数据的全球高速流动，极大阻碍了犯罪的有效控制和侦查。

其次，传统刑事司法协助制度所具有强烈的地域性与数字侦查本身的弱地域性之间存在冲突，请求国难以在作出请求之前就及时确知案件所需数据的所在地。以云计算为例，其核心在于“以灵活性和去地域性为属性，基于用户需求对计算资源进行快速和无缝式分配”。云计算的高效能恰恰得益于计算资源与地域属性相脱离，其中又以碎片化的存储、多资源的集合、网络化的接入为典型特征。这种技术使一国的刑事司法权力机关在察觉犯罪之后，难以快速判断相关数据所在地以及适用的法律，更不用说基于该判断向相关国家提出刑事司法协助请求。

再次，传统刑事司法协助制度以被请求国确有能力和权力获取该证据为前提。在数据取证的语境下，数据的物质载体无法有效限定和区分其中的数据类型、体量和相关性，执法机关面临着数据存储与数据控制相分离的现实状况，被请求国即便是数据载体的所在地，也并不意味着其具有获取载体所有数据的能力和权力。在保护个人数据的价值导向下，这种分离有可能被进一步强化。例如，根据欧盟《通用数据保护条例》第4条第（5）项在将数据的加密处理作为提升个人数据保护的重要举措的同时，特别强调了这种处理应当将个人数据和加密数据分别存放或控制。

最后，传统刑事司法协助制度主要应对的是国家主权障碍，但是，在数字侦查语境下，利益关系复杂化，数据本身牵涉国家关键基础资源的争夺，例如，数据安全、网络安全、个人信息保护、网络产业发展等。在传统域外刑事取证过程中，由于目标证据材料的相对明确并显著区别于非涉案财物，国家主权以及国家或公共利益的判断或评价相对容易。但是，在网络信息社会中，占有数据本身即可形成利益，大数据分析等技术进一步使这种占有与数据类型脱钩。从这个意义上讲，传统管辖权是划界之后的消极防守，现在则转化为各国的全面进攻，使以往偶然发生的管辖权冲突变得频繁和主动。

建立分层次、结构化的跨境数据取证制度框架

面对以上挑战，我国《国际刑事司法协助法》虽然为国内刑事司法权力机关开展司法协助活动提供了法律依据，遗憾的是，未能就传统协助模式做出改造，亦未就新的取证模式进行立法探索，并且特别在第四条中强调非经我国主管机关同意，外国机构、组织和个人不得在我国境内进行特定刑事诉讼活动，同时，我国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。2019年公安部制定的《公安机关办理刑事案件电子数据取证规则》（以下简称《电子数据规则》），对于2016年“两高一部”颁布的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（以下简称《电子数据规定》）中的网络在线取证规则进行了修改。根据《电子数据规定》第九条，对于原始存储介质位于境外或远程计算机信息系统上的电子数据，侦查机关可以通过网络在线提取的方式取证。《电子数据规则》第二十三条对该条进行了修改，将网络在线提取境外数据的范围限缩至“对外公开发布的电子数据”。

以上国内立法探索均表现出改革现有刑事司法协助机制相对犹豫的态度。如果说2016年《电子数据规定》步子迈得较大，那么，2019年《电子数据规则》又呈现出过分收缩的态势。然而，随着信息革命的继续深化，可以预见的是，未来刑事侦查领域网络主权、网络安全与公民个人信息保护之间的冲突将日益激烈，作为处理刑事司法例外情况的国际刑事司法协助将反转为犯罪治理的常规方式，20世纪以地理位置为核心的刑事域外执法规范思路亟待转变。这种转变以不同法域之间的数据资源控制与攻防为核心，以网络与信息市场主体介入为显著特征，需要在有效应对信息革命背景下犯罪与证据全球化的同时，与数字经济全球市场的供需状况及本国所处的具体市场位置相适应。

基于此，笔者认为，可以从两个方向出发，探索跨境数据取证的新模式，并改革传统刑事司法协助机制，以形成分层次、结构化的跨境数据取证制度框架。第一个方向是，针对恐怖主义等危及国家安全、社会公共安全的重大、紧急情况，探索向网络服务提供者等数据占有者或控制者的直接取证模式。该模式一方面延续2016年《电子数据规定》规制思路，另一方面也是应对当前数据全球高速流动和碎片存储现状、及时获取和保全关键犯罪证据的有益探索。第二个方向是，针对目前仍然适用于跨境取证一般情形的传统国际司法协助机制，进行结构优化和流程简化，通过将数据证据保全与提供这两个阶段相分离，并对前者采用相对格式化的快速响应机制，以避免国际取证申请协助过程中因程序性问题造成取证延迟。

（本文刊登于《中国信息安全》杂志2019年第5期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。