梁坤:基于數據主權的國家刑事取證管轄模式

選擇字號:   本文共閱讀 102 次 更新時間:2019-05-31 12:42:15

進入專題: 電子數據   數據主權   取證模式   刑事管轄  

梁坤  

   【摘要】 關于電子數據的刑事取證管轄,在國家層面形成了數據存儲地模式和數據控制者模式兩大方案。傳統的數據存儲地模式以國家疆域為基礎,因其適用困難、取證效率低下而已經有所松動。數據控制者模式則依托跨境云服務提供者,實現了對數據存儲地模式的部分取代。刑事數據取證管轄模式的變革,從根本上講,乃是各國立足于自身國家利益最大化而對數據資源實施掌控所致,而數據特例主義的提出也對適用于有形實物的傳統管轄模式構成了沖擊。我國應當正視國際上的變革趨勢,在數據主權國家戰略的基礎上,著力探索刑事數據取證管轄模式的中國方案。具體而言,在堅持數據存儲地模式的同時,有必要設定例外情形;在把握數據控制者模式之優勢的同時,亦需針對他國采取該模式給我國帶來的危害予以對等回應;在程序主義數據主權的框架下,加強與其他國家的平等協商與合作,構建適用于電子數據的刑事取證管轄互惠模式。

   【中文關鍵詞】 電子數據;數據主權;取證模式;刑事管轄

  

   一、問題的提出

  

   無論是從國內法還是國際法的角度看,一國雖然可以依據國內刑事法律對發生在他國境內的犯罪享有立案管轄權和裁判管轄權,但是原則上并不能在程序上行使執法管轄權。[1]刑事執法管轄權,廣義上指的是一國執法機關依照法定程序偵查、起訴和執行刑罰的權力;[2]狹義上則僅涉及刑事偵查管轄,特別是問題較為突出的刑事取證管轄。作為刑事執法管轄的下位概念,刑事取證管轄通常也不能在未經他國許可的情況下延伸至他國境內。然而,網絡時代的到來導致以領土范圍為標準的刑事管轄界限逐漸模糊,近年來各國在刑事偵查中收集電子數據時跨越國家疆界的情況屢見不鮮。這里首先介紹中美兩國涉及此種情況的兩起典型案例。

   在張某、焦某非法獲取計算機信息系統數據、非法控制計算機信息系統案中,焦某歸案后主動向公安機關提供了一臺位于美國的主控服務器的IP地址、用戶名和密碼。武漢市公安局網絡安全保衛支隊出具的遠程勘驗檢查工作記錄載明,偵查人員對該主控服務器(IP地址為66.102.253.30)進行了遠程登錄,提取到主控程序“Client.exe”和“系統日志”?!爸骺亓斜懟畢允?,該服務器共控制240個IP地址,其中包括我國境內的31個IP地址。[3]本案中對電子數據的取證反映了許多同類案件的類似做法,即偵查機關通過訊問等方式獲得嫌疑人提供的賬號和密碼后登錄服務器,進行跨境網絡遠程勘驗。

   在美國,近年來一起涉及跨境電子郵件數據收集的案件的偵查程序,引發了巨大的法律爭議。2013年12月,美國聯邦調查局在查辦一起販毒案件的過程中,在取得法院簽發的令狀后,要求微軟公司披露某郵件用戶的信息。微軟公司拒絕披露郵件內容數據,因為這些數據被存儲在位于愛爾蘭的數據中心;[4]微軟公司主張聯邦調查局應通過雙邊司法協助程序來收集這些數據。然而,聯邦調查局堅持要求微軟公司直接披露相應數據,并否認本案的偵查權出現了域外適用。[5]微軟公司無奈之下提起訴訟,最后由檢察機關上訴至聯邦最高法院。2018年3月23日,《澄清合法使用境外數據法》(即“云法”)[6]生效。該法授權執法部門通過要求在美國境內有實體機構的服務提供者進行數據披露的方式收集境外數據。聯邦調查局遂根據該法取得新的搜查令狀,微軟公司也對該法表示支持。4月17日,聯邦最高法院終審裁決,由于本案爭議的法律問題不復存在,故將案件予以駁回。[7]至此,“微軟—愛爾蘭案”塵埃落定。

   在上述張某、焦某案中,我國偵查機關通過網絡遠程勘驗直接收集存儲于境外的數據。從國家刑事取證管轄的角度而言,這種跨境電子數據取證方式顯然不屬于常規意義上的數據存儲地模式。而在“云法”已經施行的背景下,美國執法部門今后必將充分依托該國在全球占據巨大市場優勢的服務提供者間接收集境外數據,也即在刑事取證管轄模式上更多采取與數據存儲地模式迥異的數據控制者模式。

   兩案中跨境電子數據取證的具體程序、措施盡管存在顯著區別,但兩案均表明,刑事取證管轄已經借助網絡空間便捷地跨越了傳統意義上的國家疆界。刑事取證管轄乃是國家主權行使的典型體現,因此兩案所反映出的根本問題是,國家到底能否在國際法和刑事程序法理的框架下對存儲于境外的數據擁有主權和刑事取證管轄權?如果答案是肯定的,那么具體到本文的論題則需要進一步回答如下問題:針對網絡空間中的數據(特別是存儲于境外的數據)行使刑事取證管轄權時,一國應采取什么樣的理論模式?本文立足于我國所主張的數據主權戰略,在對數據存儲地模式、數據控制者模式進行理論分析的基礎上,著力探索刑事取證管轄模式的中國方案;希冀在國際法原則和規則的框架下,為我國刑事取證管轄模式的完善,提供有益參考。

  

   二、基于國家疆域的數據存儲地模式

  

   (一)數據存儲地模式概說

   所謂數據存儲地模式,是以數據實際存儲的物理位置來確定國家的刑事取證管轄范圍??梢源鈾母齜矯胬蠢斫庹庖荒J劍浩湟?,將數據視為與其他有形實物并無實質性差異的證據,在刑事取證管轄制度上不對數據作特殊安排;其二,將數據視為與存儲介質密不可分的物品,刑事取證管轄的依據實際上就是存儲介質的物理位置;其三,將虛擬空間附著于物理空間,相當于是將傳統的適用于物理空間的地域管轄同等延伸至虛擬空間;其四,以傳統意義上的屬地原則來確定數據的刑事取證管轄邊界,管轄效力范圍實際上等同于國家在刑事實體法上的屬地管轄。

   根據數據存儲地模式,一國對位于其境內的電子介質中存儲的數據擁有無可爭議的刑事取證管轄權。如同A國偵查人員不能在未經許可的情況下進入B國國境進行偵查取證,其原則上也不能擅自“進入”位于B國境內的計算機系統收集電子數據。為避免電子數據取證行為越境,許多國家國內法的適用及國際公約對相關制度的安排都較為謹慎。例如,英國法官在簽發遠程搜查令狀時,需要判斷警方的偵查行為是否會跨越國境。如果違法從境外收集數據,法院在后續程序中可能會將該證據予以排除。[8]在美國,過去很長時間內的司法準則也是堅持數據存儲地模式。如在2000年,聯邦調查局在調查一起黑客案件的過程中,在未經俄羅斯官方許可的情況下,使用秘密獲得的嫌疑人用戶名和密碼登錄俄方境內的計算機系統,在線提取涉案數據。此案引發俄羅斯方面強烈的外交抗議。[9]美國法院認定,由于數據存儲在俄羅斯,此案中的偵查行為屬于跨境搜查。[10]在總結諸多經驗和教訓之后,美國司法部刑事處計算機犯罪與知識產權犯罪部在2009年發布的《刑事偵查中計算機搜查扣押與電子證據收集指引》中慎重提醒,調查人員在未經許可的情況下“進入位于他國的計算機系統”,可能觸及“國家主權及禮讓方面的復雜問題”。[11]美國的網絡法專家也指出,跨境遠程搜查等偵查行為會導致對他國主權的侵犯,可能面臨嚴重的國際法后果甚至外交紛爭。[12]

   作為網絡犯罪領域目前影響最大的區域性國際法文件,2004年生效的《網絡犯罪公約》(Convention on Cybercrime)中的許多條文,也遵循了數據存儲地模式。例如,根據第18條第1款規定的“提供令”(Production Order)制度,各締約方的有權機關可以命令國內的個人(person)提交其持有或者控制的特定計算機數據,以及要求國內的服務提供者提供其持有或者在其控制范圍內的用戶數據。但無論是哪一種情況,提供令所涉及的目標數據都應“在發出提供令的締約方國內”。[13]

   根據數據存儲地模式,跨境電子數據取證原則上應遵循適用于普通實物的程序規則,即需要通過司法協助程序來執行。例如在“微軟—愛爾蘭案”中,愛爾蘭政府的主張就明顯反映出對這種模式的信奉以及對司法協助程序的堅持。其在2014年12月23日向美國法院遞交的“法庭之友”意見書中,申明對涉案郵件內容數據的主權管轄,強調只有通過兩國之間的雙邊刑事司法協助機制,才能由愛爾蘭官方對相應數據進行調查。[14]

   (二)數據存儲地模式面臨的困境

   1.適用困難

   首先,數據存儲地模式適用于存儲狀態下的靜態數據,而不適用于傳輸過程中的動態數據。就靜態數據而言,由于存儲介質的物理位置通常較為明確地位于某一司法管轄權區域內,故在確定刑事取證管轄時較易作出判斷。然而,就跨境傳輸中的動態數據而言,在偵查開始前很難預測所要收集的數據會流向何處,這便導致無法采取數據存儲地模式來確定刑事管轄歸屬。其次,數據存儲地模式適用于位置確定的數據,而不適用于位置不確定的數據。在當今云計算的技術框架下,無論是通過服務提供者披露數據,還是由用戶提供數據,數據的存儲位置經常是不明確抑或無法確定的。[15]典型的情況是,使用云存儲服務的絕大多數用戶可能都不清楚其上傳至“云”中的數據到底位于何處。又如,“深網”(deep web)中的多數數據通?;嵊屑用鼙;?,“暗網”(dark web)則無法通過常規方式訪問及追蹤。這些技術性的限制因素給數據存儲地的確定帶來了極大障礙,從而導致一國偵查機關不可能嚴格遵循數據存儲地模式來行使刑事取證管轄權。

   2.效率低下

   隨著跨境通訊及云計算技術的飛速發展,數據的跨境存儲與流動已越發常態化。如果嚴格遵循數據存儲地模式,數據的跨境收集原則上都要通過司法協助程序來實施。然而,這種程序耗時較長、冗繁復雜,近年來相關取證需求劇增更使得其效率低下的劣勢越發凸顯。由于美國在全球云數據市場占有絕對優勢地位,該國當前收到的取證請求也最多。然而,一國地方偵查機關若要搜查谷歌公司存儲于美國境內的郵件內容數據,按常規程序需首先將請求逐級上報該國中央主管機關,然后由后者將協助請求按美方要求的形式發送給美國司法部國際事務辦公室。該辦公室審查后將該協助請求交由檢察官處理,然后再由后者向對數據有管轄權的法院申請搜查令狀。之后,警務人員方可持令狀要求谷歌公司提供相應數據。統計數據表明,整個協助程序通常需耗費10個月甚至更長時間。[16]這對于追求效率的電子數據取證而言,顯然是難以承受的。

   (三)數據存儲地模式的松動

   為緩解上述困境并有效提升跨境電子數據取證的效率,區域性國際公約及某些國家的國內法作了一些有針對性的制度安排,從而導致嚴格意義上的數據存儲地模式出現了松動。

   1.在國際共識的基礎上設定數據存儲地模式的特殊例外

《網絡犯罪公約》第32條、2010年《阿拉伯國家聯盟打擊信息技術犯罪公約》(Arab Convention on Combating Information Technology Offences)第40條,規定了兩種無需告知數據存儲地國的單邊遠程取證方式。由于后者幾乎照搬前者的條文,這里僅對《網絡犯罪公約》第32條進行闡釋。該條a款規定,締約國執法部門可以“提取公眾能夠獲得的存儲于計算機中的數據,不論該數據位于何處?!庇捎謖飫嗍菰謚捶ǖ乇憧曬竦?,故國際法專家認為這種情況屬于行使域內管轄權。[17]該條b款則采屬人主義,授權“通過一方境內的計算機系統提取、接收存儲于另一方境內的計算機系統中的數據,前提是相應的行為獲得了擁有法定權限而通過計算機系統向取證方披露數據的個體的合法且自愿的同意?!蔽苊夥ㄌ跏視霉討鋅贍艸魷值睦斫餛?,網絡犯罪公約委員會(T-CY)于2014年發布《跨境電子數據取證指引注釋(第32條)》,強調第32條b款在性質上屬于地域管轄原則的特殊例外。[18]而根據國際電信聯盟的闡釋,(點擊此處閱讀下一頁)

    進入專題: 電子數據   數據主權   取證模式   刑事管轄  

本文責編:陳冬冬
發信站:愛思想(//www.lrcyqx.com.cn),欄目:天益學術 > 法學 > 刑法學
本文鏈接://www.lrcyqx.com.cn/data/116543.html

0 推薦

在方框中輸入電子郵件地址,多個郵件之間用半角逗號(,)分隔。

愛思想(www.lrcyqx.com.cn)網站為公益純學術網站,旨在推動學術繁榮、塑造社會精神。
凡本網首發及經作者授權但非首發的所有作品,版權歸作者本人所有。網絡轉載請注明作者、出處并保持完整,紙媒轉載請經本網或作者本人書面授權。
凡本網注明“來源:XXX(非愛思想網)”的作品,均轉載自其它媒體,轉載目的在于分享信息、助推思想傳播,并不代表本網贊同其觀點和對其真實性負責。若作者或版權人不愿被使用,請來函指出,本網即予改正。
Powered by www.lrcyqx.com.cn Copyright © 2019 by www.lrcyqx.com.cn All Rights Reserved 愛思想 京ICP備12007865號 京公網安備11010602120014號.
易康網