2018年10月26日,十三届全国大人常委会第六次会议表决通过了《国际刑事司法协助法》,该法自公布之日起施行。该法的制定为我国政府今后缔结刑事司法协助条约,以及在此基础上履行义务和行使权利提供了国内法基础,填补了刑事司法协助国际合作的法律空白。
其中,就刑事调查取证方面,该法律第四条第三款规定,“非经中华人民共和国主管机关同意,外国机构、组织和个人不得在中华人民共和国境内进行本法规定的刑事诉讼活动,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。”
对比该法律在2017年12月29日公布的一审草案,其中第四条第三款的前身——当时草案中的第三条第三款规定,“除依本法提出请求并获得批准外,任何外国组织和个人不得在中华人民共和国领域内从事本法规定的刑事诉讼活动。”
两者相较,现行法律增加了关于禁止境内组织或个人向外国提供证据材料的规定。这一修订并非凭空出台,而是事出有因。
无风不起浪
2018年3月23日,也就是在我国《国际刑事司法协助法》的一审与二审草案其间,美国总统签署生效了一部名为“CLOUD Act”的法案。该法案于2018年2月6日提出,在一个半月时间内即从草案转变为正式的法律。与美国法案通常要经历的会场辩论、委员会报告等冗长程序相比,该法案的立法流程不可谓不快。
CLOUD Act全称《澄清合法使用境外数据法》(“Clarifying Lawful Overseas Use of Data Act”),是在微软案的背景下匆忙出台。在该案中,美国执法人员根据纽约一家法院签发的搜查令要求微软公司披露其某一邮件用户的信息,然而微软公司以相关数据并未存储在美国的服务器中,而是存储在位于爱尔兰都柏林的云服务器之中为由拒绝提供。就所涉数据是否受地域限制,以及是否处于美国的地域管辖范围内这一法律问题,该案一直诉至美最高法院。事实上,除微软案外,美国的多个巡回法院均遇到过类似问题,且前后作出了不一致的判决。
CLOUD Act的出台,使得这一法律问题省却了争讼的麻烦。该法授权美国执法部门在特定案件中要求电子通讯服务提供者提供处于其控制之下的电子数据,而不论该电子数据存储于美国境内或境外。美国的这一做法以“数据控制者模式”取代“数据存储地模式”,突破了传统跨境取证模式。
数据博弈 v. 刑事主权
从传统观点而言,国家的刑事管辖历来以主权范围内的地域为基础,与此相关的证据获取也应当在尊重国家主权的基础上开展。然而近年来电子证据的出现挑战了这一传统观点。一方面,对电子证据的获取并不需要越过传统意义上的地理边界,这使得是否侵犯“国家主权”以及“数据主权”的概念都模棱两可。另一方面,传统的跨境调查取证方式在取证效率上已捉襟见肘。
由于这一矛盾的存在,应运而生了两种应对的模式。其一被称为“数据存储地模式(data localization)”,即国家通过法律强制规定对数据进行本地存储,并坚持按照传统的刑事司法协助方式跨境收集电子数据。如爱尔兰政府在微软案中,作为法庭之友向美国法院递交了意见书,申明了其对数据的主权管辖,且只有通过美国与爱尔兰之间的双边刑事司法协助机制才能调取相关数据。
另一种模式被称为“数据控制者模式”,即以美国的CLOUD Act为代表。美国历来主张网络空间无主权,且以微软为代表的美国互联网巨头纷纷将数据中心设置在海外,使得美国政府的取证颇受掣肘。受美国影响,欧盟委员会于2018年4月17日发布立法计划,拟在年内建立相关制度,使得成员国的执法机构有权要求境内的电子通讯服务提供者提交特定境外数据。由此可见,利用“长臂管辖”弱化主权国家对其境内数据的现实掌控将成为欧美地区发展的趋势。
我国的“平等互惠原则”
与美国主张“单一国家对网络空间无主权”相悖,我国一直是“网络空间主权原则”的坚定支持者。在2016年国家互联网信息办公室发布的《国家网络空间安全战略》中明确了“国家主权扩展延伸到网络空间,网络空间主权成为国家主权的重要组成部门。”2017年6月1日施行的《网络安全法》则从法律层面对网络空间主权进行了原则的规定。网络主权空间原则在刑事司法中应体现为对存储于中国境内的数据的实际控制和保护,并原则上排斥他国通过任何方式而未经同意的远程提取。与此同时,《网络安全法》中的第三十七条“关键信息基础设施的运营者的数据本地化存储”的条款为网络空间主权提供了制度保证。
此次出台的《国际刑事司法协助法》更坚定了我国的这一态度。其中,该法第四条规定我国按照“平等互惠原则”开展国际刑事司法协助,但国际刑事司法协助不得损害我国的主权。依照第五条,我国与外国之间的刑事司法协助应通过刑事司法协助条约或外交途径展开。
截至2017年底为止,我国与33个国家签订了双边的刑事司法协助条约,其他同时涉及民商事与刑事司法协助的协议国家不超过20个。这意味着,我国需要通过司法部的对外联系机关,甚至外交部的参与,再由主管机关(国家监察委员会、最高人民法院、最高人民检察院、公安部、或国家安全部)实际开展,才能获取国际刑事司法协助,程序复杂,难谓真正“互惠”。
美国的“国际礼让分析(Comity Analysis)”
如果说以我国为代表的传统刑事司法协助程序复杂且冗长,然而,美国的CLOUD Act是否真的与“网络空间无主权”这一主张相符,其实值得商榷。
基于互惠考虑,CLOUDAct除规定美国政府有权获取海外数据外,也对“适格外国政府”获取存储于美国境内的电子数据加以规定。然而,如何成为一个“适格外国政府”,该法案对此进行了繁复的规定。从形式上来看,“适格外国政府”必定要与美国签订相关的行政性协议。具体来说,最主要的标准是该外国政府是否为《网络犯罪公约》缔约方,或其国内法是否与公约的第一、二章的要求一致。除此以外,还对该外国政府在人权、法治方面的标准加以评估。与规定允许数据获取的寥寥数语相比,对“适格外国政府”的限制篇幅冗长。
此外,“适格外国政府”对于服务提供者申请豁免向美国政府披露海外数据这一程序也有重要意义。从CLOUD Act的异议程序来看,服务提供者申请异议的理由须同时满足(1)信息所涉的用户并非美国人,也不居住在美国;且(2)所要求的信息披露会导致服务提供者触犯某一“适格外国政府”的法律。这意味着,服务提供者如果以违反某一国家的法律为由拒绝向美提供信息,而这一国家却不属于“适格外国政府”,这一理由可能并不会被美国政府或法院所接受。
由此来看,由于我国尚未符合“适格外国政府”的要求,此次的《国际刑事司法协助法》并不一定对美CLOUD Act“长臂管辖”我国的电子数据形成一次有效格挡。实践中服务提供者如何解决“非适格外国政府”的法律冲突问题,仍然有待观察。同样值得期待的是,世界范围内有哪些政府可以符合美国对“适格外国政府”的要求,以及其所提倡的互惠理念及“网络空间无主权”在多大程度上可以获得真正实现。
结论
在当前捍卫与争夺“数据主权”的国际背景下,刑事电子证据的跨境获取仅仅是其一个侧面,但已淋漓尽致地体现了个中利害与玄机。目前,以我国为典型的坚持传统刑事司法协助的方式,和美国CLOUD Act为代表的“数据控制者模式”,似乎都并未很好地反映或适应电子数据证据的新兴特征。“网络空间无主权”之理想境地尚未达成,对数据主权的抢夺仍呈龙争虎斗之势,是非难论,留待评说。(本文作者为Goodall/Taiga)
声明:本文来自个人信息与数据保护实务评论,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
