作者:尚权律所 时间:2023-06-06
摘要
在数字时代,跨境电子数据审查遭遇困境。新技术运用拓展了“跨境”范畴,而既有规则并未就跨境因素识别提供明确指引,采纳单方获取的电子数据,可能引发司法主权方面的争议。非接触式取证常态化对电子数据鉴真提出技术挑战,而取证规则缺乏权利保障内核的现状,阻碍了将数据权利保障要求转化为证据能力判断标准,在跨境场合予以机械适用无法充分保障被追诉人权利,还会降低其他国家提供协助的意愿。更深层的制约因素是数据主权国际争议及权利保障国别差异,短期内难以达成根本性解决方案。当前,应以数据储存地作为识别跨境因素的标准,取证程序不符合国际刑事司法协助要求的跨境电子数据不能作为定案的根据,但具体适用需保持灵活性;持续完善技术性鉴真规则,并着力构建具有国际认可度的技术性标准;对通过司法协助渠道所获电子数据采用双重审查模式,以被追诉人自愿性保障为切入点,逐渐由侧重真实性走向证据性权利的全面保障。
关键词:电子数据 跨境 证据能力 司法主权 基本权利
跨境电子数据取证是未来犯罪治理的关键。刑事司法领域的跨境电子数据相关问题逐渐引起理论界的关注,但既有研究主要集中于取证制度方面,而关于国际与国内两类规则差异的弥合、违反取证规则对证据审查的影响,尚未有深入讨论。特别是,既有规则并未明确跨境因素识别的标准,导致单方获取的电子数据可以无障碍地被法庭所采纳。既有规则与复杂技术环境下的非接触式取证场景不匹配,并且,这些规则未能体现加强隐私权保障和个人信息保护的内核,违反取证程序通常被视为技术性违法,可予以补正或合理解释。鉴于此,本文将以刑事诉讼为中心,围绕司法主权与基本权利两个关键词,在总结归纳既有电子数据审查模式的基础上,着重探讨以下三个方面问题:将电子数据的取证规则与审查标准适用于跨境收集的场合,会遭遇何种困境?产生这一困境的原因是什么?应当如何予以解决?
一、以真实性为导向的电子数据审查模式
“两高一部”2016年发布的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《电子数据规定》)和2019年开始实施的《公安机关办理刑事案件电子数据取证规则》(以下简称《电子数据取证规则》),以及《最高人民法院关于适用〈中华人民共和国刑事诉讼法〉的解释》(以下简称《刑诉法解释》)的对应内容,共同构成了电子数据取证规则和审查标准的基本规范。在此框架下,当前刑事诉讼中的电子数据审查模式以真实性的外在保障机制为规制重点,呈现出两个方面特点。
(一)以原始储存介质为主要审查对象
既有取证规则强调优先扣押原始介质,只有在原始介质无法获取的情况下,才能进行网络远程提取。综合《电子数据规定》《电子数据取证规则》等,我们可以发现,这些规范着重保障电子数据的完整性,即未被增加、修改或删除。具体而言,有两种方式:一是构建证据保管链条,优先扣押封存原始介质,并通过笔录、见证人及录像等手段记录提取、保管与流转过程;二是识别显著特征,包括计算完整性校验值、对存有争议的电子数据进行鉴定等。在理论上,我们可以将之称为电子数据鉴真规则。实践中,是否符合鉴真要求,成为审查电子数据的重点。
根据《刑诉法解释》第114条,凡是真实性无法保证的电子数据,均不得作为定案的根据。《刑诉法解释》第110条列举了判断电子数据是否真实应着重审查的内容,最后一款的表述是“完整性是否可以保证”。值得注意的是,该条第1至4款的内容,与《电子数据规定》第5条列举的保护电子数据完整性的方法基本能够对应。可见,在规范起草者看来,完整性与真实性并无明确区分,只是前者更侧重于一种客观状态,后者属于一种法律评价。具体审查时,未经增加、修改或删除,是电子数据具备证据能力的前提条件。
与取证规则相对应,程序瑕疵能否得到补正或合理解释是审查的重点。例如,《刑诉法解释》第113条允许对“未以封存状态移送的”“笔录或者清单上没有调查人员或者侦查人员、电子数据持有人、提供人、见证人签名或者盖章的”“对电子数据的名称、类别、格式等注明不清的”等程序瑕疵进行补正或合理解释。然而,完整性校验值、数字签名、数字证书等技术性鉴真手段,均未被提及。以完整性校验值为例,其将MD5(信息摘要算法)、SHA(安全散列算法)等算法程序对哈希值的运算结果作为比对依据。然而,如不对算法运算的样本选取、资格资质、结果报告、数值解释等事项作出专门规定,不具备相应专门知识的司法人员,在审查相关电子数据时将无从参照。
侦查人员尚需要依赖技术人员的协助方能远程提取电子数据,司法人员对相关技术标准则更加不熟悉。在原始介质同一性没有得到充分确认或是无法获取原始介质的情况下,公安司法人员需要借助技术手段证明电子数据的完整性。例如,在著名的“快播案”中,认定快播公司构成传播淫秽物品牟利罪的一个重要前提是,经有关部门鉴定属于淫秽视频的两万余个文件,的确来自被扣押的四台服务器,而这四台服务器确实由快播公司直接经营、管理和使用。基于在案服务器特征记录不明确,硬盘数量、容量标注前后不一致等瑕疵,辩方提出了上述文件来源不明的质证意见,认为涉案两万余个视频不得作为证据使用。作为回应,控方委托专业机构鉴定证明,所涉电子数据不存在删减、破坏和修改,以技术佐证弥补了取证程序瑕疵。实际上,取证规则中所列举的二人取证、制作笔录、同步录像等措施,同样可以适用于搜查、扣押等传统侦查手段,缺乏针对性。委托专业机构对侦查机关所获电子数据进行司法鉴定,可以成为一种可靠的鉴真方式,却不符合司法效率之要求。可以预见,如果在所有涉及电子数据审查的场合,都要求公安司法机关参照“快播案”那样进行委托鉴定,将大幅提高司法成本。
(二)取证程序技术化以及瑕疵可补救
目前,除关于使用技术侦查(调查)措施应参照《刑事诉讼法》审批外,其他取证规则均以保证电子数据完整性为目标,不直接涉及个人权利保障,特别是隐私权和个人信息保护。
有学者将主要的电子数据取证规则归入技术性操作规范的范畴,并认为违反相关取证程序属于技术性违法,而不是侵权性违法,故所收集电子数据属于瑕疵证据,可以补正或合理解释。上述观点,基本反映了司法解释及实践裁判的立场,即违反取证规则获取电子数据,只有在真实性无法得到保证时,才会被排除。实证研究表明,对电子数据的合法性审查也主要是围绕真实性保障机制展开,辩方对电子数据合法性的质疑往往比较宽泛。实践中发生的少数排除违反法定程序所获电子数据的案例,归根结底还是因为公安机关无法说明相关数据的真实来源。
唯一的例外可能是使用技术侦查(调查)措施的场合。根据《刑诉法解释》第112条之规定,对收集、调取电子数据是否合法,应当着重审查五项内容,仅有第四项侧重权利保障,其余均是关于保障电子数据完整性的程序要求。该项的具体规定是:“采用技术调查、侦查措施收集、提取电子数据的,是否依法经过严格的批准手续。”《电子数据取证规则》第33条第2款规定:“采用技术侦查措施收集电子数据的,应当严格依照有关规定办理批准手续。收集的电子数据在诉讼中作为证据使用时,应当依照刑事诉讼法第一百五十四条规定执行。”也就是说,采用技术侦查措施收集电子数据,如果不准备用作刑事证据,则不必按照刑事诉讼法中关于技术侦查的规定办理审批手续。从另外一个角度看,此类电子数据若要作为刑事证据使用,必须根据刑事诉讼法办理严格的审批手续。
总之,既有电子数据取证规则未充分体现对隐私权和个人信息的保护,阻碍了将权利保障要求转化为证据能力判断的标准。因此,人民法院无法对电子数据收集过程的正当性进行全面司法审查。
二、跨境电子数据审查困境的表现
既有规则并未就跨境因素识别提供明确指引,与跨境非接触式的取证场景以及数据权利保障的国际准则不相匹配,使得跨境电子数据审查遭遇困境。
(一)采纳单方获取电子数据可能引发司法主权争议
受制于司法主权,跨境取证通常需要通过司法协助渠道进行。然而,借助于网络空间,一国可以在另一国不知情的情况下,便捷地“跨越”国境获取储存在该国的电子数据。由此,大量跨境电子数据取证绕开了传统司法协助渠道,单方取证成为常态。
根据《国际刑事司法协助法》第4条,非经主管机关同意,外国机构、组织和个人不得在中国境内进行刑事诉讼活动,中国境内机构、组织和个人不得向外国提供证据材料。《个人信息保护法》第41条、《数据安全法》第36条亦有类似规定。参照国际礼让的一般原则,中国公安司法机关在境外调查取证,也应当优先通过刑事司法协助渠道进行,征得他国主管机关同意。绕开司法协助渠道,通过单方取证获取跨境电子数据,将会引发国际礼让方面的纠纷。如果对证据审查标准把握过于宽松,放任侦查机关单方获取跨境电子数据并将之作为刑事证据,将会给中国政府在国际对话中倡导数据主权构建带来障碍。法院在个案中就跨境电子数据证据能力所作裁决具有示范效应,从而成为该领域国际合作与对话的组成部分。相关司法裁判,很有可能被外国政府或组织用于驳斥我方立场。因此,电子数据审查的一个关键在于,单方获取电子数据是否构成“跨境”,如果构成,又是否符合该领域国际刑事司法协助的要求。然而,既有规则并未就此给出明确指引。
实践中,侦查机关单方获取电子数据主要包括四种形式:第一,自行获取公开数据。《电子数据取证规则》第23条规定,对于公开发布电子数据,无论是境内还是境外,都可以通过网络在线提取。第二,经数据权利人授权登录后获取。即侦查人员根据犯罪嫌疑人提供的账号和密码登录服务器,进行网络在线提取,获得储存在境外服务器中的电子数据。《电子数据取证规则》第33条第1款对此作了规定。第三,在公开网络,或是经权利人授权登录后,进行实时监控并复制数据,与其他对象进行交流并获取数据等。例如,在“暗网”发布购买毒品或非法转移资金等需求,对潜在犯罪分子展开诱惑侦查。第四,运用技术手段,对非公开网络系统进行破解并获取数据。根据《电子数据取证规则》第33条第2款,采取技术侦查措施收集电子数据的,应当依照有关规定办理批准手续。
上述情形中,采用第一种方式获取的电子数据,即使未征得他国主管机关同意,也不影响其证据能力。可以认为,这一跨境取证方式并未对他国司法主权造成实质干预。欧洲委员会《网络犯罪公约》第32条a款即规定,获取公开电子数据,无须经数据所在国同意。第四种方式则很有可能被视为黑客攻击,引发国际纠纷。对此,《电子数据取证规则》的立场是模糊的。第23条强调对“境内远程计算机信息系统上的电子数据”可以在线提取,似乎排除了境外电子数据。但是,第33条关于采用技术侦查措施的规定,又没有明确将境外电子数据排除在外。从国际礼让角度来看,否认由第四种方式获取电子数据之证据能力,应无争议。
需要重点讨论的是另外两种方式。《网络犯罪公约》第32条b款可以作为基点,该款授权执法机构使用己方境内的计算机系统提取、接收存储于另一方境内的计算机系统中的数据,前提是相关行为获得了拥有访问该计算机系统的主体的同意,并且相关主体是合法而自愿的。实践中,通过被抓获犯罪嫌疑人的供述获取其账号、密码,登录计算机系统并提取电子数据,已成为一种非常普遍的办案模式。根据网络犯罪委员会的解释,适用该条款的前提是,各缔约国能够给予个人权利以足够保障。换言之,电子数据所在国有义务审查取证国立法及司法是否满足相关国际人权标准。关于“计算机系统中的数据”是否包括将要生成以及经取证主体操作后才生成的内容,尚无定论。因此,通过第三种方式获取的电子数据能否作为刑事证据使用,仍然存有争议。
通过单方取证获取电子数据,有赖于犯罪嫌疑人自愿配合,以及侦查技术的运用。单方取证能够获取的电子数据范围是相对有限的。必要时,侦查机关还需要向第三方调取,主要是互联网服务公司。根据《网络安全法》第28条,网络运营者有义务为侦查犯罪提供技术支持和协助,《电子数据取证规则》第41条对调取数据程序作了更为明确的规定。实证研究表明,国内互联网公司会在互联网电子证据收集过程中起到积极的配合作用,但是国际互联网公司往往不愿意配合。一些中国互联网企业已经开始在海外部署数据中心,如果侦查机关未经过司法协助渠道,依据《调取证据通知书》获取了中国企业控制的、储存在境外的电子数据,这一行为是否构成跨境取证,能否将所获数据用作刑事证据,并无法律明确规定。
我国并非前述《网络犯罪公约》缔约国,正在积极推动《联合国打击网络犯罪公约》的制定。经权利人授权而获取的储存在境外的电子数据,以及由实际控制者提供的储存在境外的电子数据,是否需要经过正式司法协助渠道尚存争议,使这部分电子数据的审查难题更加突出。若适用既有电子数据的审查标准,只要能够确认其真实性,即可将之采纳为刑事证据。这一模式的确可以提高办案效率,有利于打击跨境犯罪活动。但是,若从更加宏观的层面加以审视,采纳单方跨境获取的电子数据,如果不符合国际刑事司法协助的要求,很有可能被视为对他国司法主权的损害,从而引发国际纠纷,阻碍刑事司法领域国际合作的深化。实际上,单方跨境取证即足以引发争议。例如,2000年,美国联邦调查局在个案中以远程方式搜查位于俄罗斯境内的计算机系统,便引发俄罗斯方面强烈的外交抗议。
(二)既有规则体系不能满足证据能力双重审查要求
在国际刑事司法协助中,根据“场所支配行为”这一传统国际法原则,被请求国取证时原则上应当按照本国法律进行。因此,大多数国家并不会对他国依据司法协助请求开展的取证活动的合法性进行审查。随着人权保障观念深入人心,不审查原则亦发生了变化。瑞士等国逐渐接纳双重审查标准,同时依本国法和被请求国法对域外证据合法性进行审查,以充分保障被追诉人权利。此类实践造成了证据能力审查的准据法适用冲突,动摇了“场所支配行为”的原则。目前的一个发展趋势是,对于通过司法协助渠道获取域外证据的证据能力,需接受证据所在国和法院所在国法律的双重审查。
远程获取的储存在境外的电子数据,应属于“来自境外的证据材料”,根据《刑诉法解释》第77条,只有符合《刑事诉讼法》规定,才可以作为证据使用。可见,对跨境电子数据的证据能力应当根据我国法律予以审查,如何理解“符合《刑事诉讼法》规定”成为关键。从形式上看,既有规则已经非常接近双重审查模式,只是更加突出法院所在国法律的优先适用地位。法院在个案中就跨境电子数据证据能力所作裁决,在国际刑事司法合作中具有示范效应,表明我国在权利保障方面的立场。跨境电子数据的证据能力审查,无法回避取证活动是否符合数据所在国法律的问题。因此,具体运用时,既要着力实现取证规则设置的目的,保障电子数据的真实性,也要弥合中外规则差异,实质审查电子数据取证活动的合法性,通过个案司法处理化解可能遭遇的国际纠纷。
然而,将既有电子数据的取证规则与审查标准适用于跨境收集的场合,尚不能满足证据能力双重审查的要求,具体表现在以下两个方面。
其一,既有电子数据取证规则及审查标准,未充分回应复杂取证环境所致技术挑战,使跨境电子数据真实性审查面临困境。若服务器位于境外,侦查机关通常难以获取原始存储介质。综合考虑办案便利与效率,凡是跨境电子数据取证的,网络远程提取必然成为常态。相较于从原始介质中提取数据,网络远程提取技术难度更高,保障所获电子数据真实性的技术要求相应提高。
张凯闵等人电信网络诈骗案反映了原始介质保管链与技术手段两种鉴真方式的重叠与冲突。该案中,侦查机关从境外提取到电子数据的原始介质。为了确保电子数据的完整性与真实性,检察机关不仅依据肯尼亚警方出具的《调查报告》、我国驻该国大使馆出具的《情况说明》及公安机关出具的扣押决定书、扣押清单等,提出了相关证据来源合法,移交过程真实、连贯、合法的审查意见,还要求重新进行电子数据无污损鉴定。可见,在一些场合,公安司法机关对单独的技术性手段的鉴真(无污损鉴定)并不“放心”,若离开原始介质,他们不敢直接认定跨境取得电子数据的证据能力。
其二,证据能力审查侧重完整性与真实性,权利保障内核相对缺失,予以机械适用无法充分保障被追诉人权利以体现程序公正。欧美国家在刑事司法中普遍重视对个人隐私权的保障,将大部分电子数据取证行为纳入搜查范畴,采用司法令状进行规制。电子数据的超大体量、存储源多且分散等特征,与司法令状明确性要求存在冲突。在欧洲和美国,数据搜查的授权与实际取得的电子数据之间的不匹配,是当前法庭上此类数据无法被作为控方证据采信的常见原因。与之不同,在我国,隐私权和个人信息保护的重要意义,虽已经得到社会各界普遍认同,但尚未能在刑事司法领域得到充分落实。
如果我国通过司法协助渠道从欧美国家获取电子数据,上述权利保障差异,将会造成一种两难困境。仅采纳符合被请求国法律程序(充分尊重被追诉人隐私权)的电子数据,会让社会公众产生一种错误印象,即欧美国家对隐私权的保护,可以为跨国网络犯罪提供庇护。另外,在国际刑事司法合作中,权利保障具有特殊意义——很多国家将正当程序、人权保障作为开展刑事司法合作特别是引渡的前提条件。因此,如果完全忽视取证行为地法律中关于数据权利保障的内容,又可能会损害我国的国际形象,降低相关国家继续提供刑事司法合作的意愿。实际上,在其他类型证据司法应用的场合,我们已经遇到了因权利保障不充分而阻碍司法合作的实例。例如,在程××案中,加拿大法院认为,仅根据中方提供的同案犯一审、二审判决书(程××没有机会行使对质权),不足以认定程××在中国实施了“严重的非政治犯罪”,故判决程××胜诉,导致其不能被遣返。
三、跨境电子数据审查困境的成因
受制于司法主权与权利保障的复杂因素,司法机关对跨境电子数据进行审查以决定是否采纳,应当更为审慎。为应对跨境电子数据审查的困境,需对其成因展开更为深入的分析。
(一)数字时代跨境刑事取证转型尚未完成
采纳单方获取电子数据可能引发的司法主权争议,源于传统跨境取证制度与数字时代发展趋势的不相适应。其中,最直接的原因是,电子数据的跨境取证管辖权存在两种截然相反的模式,而中国在此方面的实践做法与官方立场又存在局部的不协调之处。
2018年3月,美国颁布《澄清合法使用境外数据法》,授权执法机构在特定案件中通过服务或远程计算服务的提供者获取储存在境外的电子数据。有学者将之概括为刑事取证管辖的“数据控制者模式”,与“数据储存地模式”相对应。同年5月,欧盟出台了《通用数据保护条例》,几乎是针锋相对地作出了回应,选择坚持“数据储存地模式”。根据该条例第48条,外国执法机构要求数据控制者或处理者对个人数据进行转移或披露,仍应当基于提出请求的第三国与欧盟或其成员国之间订立的法律互助协议等国际条约。就发展趋势来看,“数据控制者模式”与“数据储存地模式”,何者将会成为未来主流,暂无定论。有趣的是,欧盟虽在数据离境问题上坚持“数据储存地模式”,但在从境外获取电子数据方面却持相反立场。
我国的现行制度基本上可以归入“数据储存地模式”。根据《网络安全法》第37条规定,关键信息基础设施运营者在我国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。如果外国执法机构向运营者调取其储存在中国的电子数据,不仅需要完成司法协助手续,还应同时依据关于数据出境安全评估的系列规范接受审查。这一制度设计,会使部分国际互联网公司遭遇来自美国《澄清合法使用境外数据法》等国际法律义务冲突。我国政府虽可以通过行政处罚等手段,迫使国际互联网公司优先遵守“数据储存地模式”,阻断外国执法机构直接获取储存在我国境内的电子数据。但是,这也可能导致其他国家采取对等措施,不利于我国执法机构从国际服务商获取电子数据。虽然未来发展方向尚不明朗,但可以预见的是,数据主权领域的合作与斗争,将会持续发酵。
应当注意到,单方获取跨境电子数据的部分实践做法,与我国所坚持的“数据储存地模式”相互冲突。特别是,尽管侦查实践中普遍适用,但在外交对话中,我国政府历来对“经权利人授权获取数据”持反对态度,认为这实际构成了域外取证,涉及司法主权和管辖权。相较于从境外获取电子数据,向境外提供数据所受法律规制明显更加严格。相关法律规制的基调是尽可能加强对境内数据的管辖、扩张对境外数据的调取范围。有学者指出,可以从构建网络犯罪公约、优化司法协助制度、创设行政协议机制等路径,实现数字时代跨境取证制度的转型。这一整体思路科学合理,可供借鉴。但是,完成转型尚需时间,这一过程中既包含国际合作,又不可避免遭遇涉外法治斗争。由此,如何在个案审查中采用合理的阶段性方案,从而与国家的政策立场保持一致,成为当务之急。
(二)储存介质为中心的规制模式排斥共通标准
保障电子数据的真实性,是各国刑事司法的共同追求,只是具体方式有所差异。如前文所述,当前电子数据审查以程序符合性为重点,而既有取证规则侧重保障电子数据的完整性,提取原始介质成为优先考虑。以储存介质为中心的规制模式,阻碍了关于电子数据真实性保障的共通技术标准的形成,使电子数据审查在跨境获取的场合遭遇难题。
从理论上来看,用于证明案件事实的是电子数据之内容,而不是原始储存介质。但是,《电子数据规定》等规范却强调,应优先对原始储存介质进行查封和扣押,呈现出重形式而轻内容的特征。有学者将查封、扣押原始储存介质的做法总结为电子数据的“一体收集”模式,他认为,这一模式符合最佳证据精神,与现阶段取证主体缺乏专业知识的状况相适应,也有利于避免因筛选不当而造成的数据破坏。正是这种实践逻辑,让原始介质成为电子数据真实性保障的规制重点。
然而,对动辄以TB为单位的原始数据,司法机关如何进行审查本身就是问题。从长远来看,查封、扣押原始储存介质,难以成为确保电子数据完整性的手段,因而也不应被作为电子数据真实性审查的重点。如前文所述,在跨境场合,非接触式取证成为常态,技术性鉴真手段的重要性更加凸显,但现有规则体系与此实践需求不相匹配。实际上,随着技术的不断进步,受制于“一体收集”模式的电子数据真实性审查机制,还将遭遇更多挑战:一是区块链存证技术摆脱了传统物理介质束缚,查封、扣押对象发生了质变;二是基于海量数据的分析报告,而不是数据本身,承载着越来越重要的证明价值,运用大数据手段证明案件成为一种客观需要。
科学的可重复性决定了,基于正确原理与适当方法对同一事物进行反复检验或测量,可以得到相同结果。对电子数据真实性的保障,应该可以通过技术手段实现。以储存介质为中心的规制模式,其根本缺憾在于排斥了共通的技术标准。由此,在例外地提取到原始介质的场合,提取程序的国别差异成为另一项审查重点,消耗了有限的司法资源,技术性鉴真的独立价值并未受到足够重视。在此方面,前文提及的张凯闵案即是一个例证。而在更多场合,离开共通的、可理解的技术标准,跨境取得电子数据的真实性审查就成为现实难题。一旦离开有效的电子数据真实性保障机制,被追诉人获得公正审判的权利也难以充分实现。
(三)中外被追诉人权利保障差异暂时难以消弭
如上文所述,在国际刑事司法合作中,对域外证据的证据能力进行双重审查正在成为一种发展趋势。从理论上分析,这一模式具有两项积极意义。第一,其能够给予刑事被追诉人以更充分的权利保障,避免以跨境事由对其差别对待,进而架空正当程序。在证据性权利国际化背景下,双重审查的必要性得到进一步加强,因为被追诉人在穷尽国内救济后,还可以向国际人权机构提出申诉,而在申诉案件审理中,证据采纳被视为程序公正的重要组成部分,需接受国际人权标准的检验。第二,对域外证据进行审查,是主权国家向世界传播程序公正理念,参与证据性权利对话的重要方式。历史经验表明,随着一国经济政治文化影响力的提升,其具体法律制度也将成为他国的借鉴对象,产生世界性影响。当前,关于获取电子数据的程序与个人权利保障间的平衡关系,中西方话语体系存在重大差异,直接导致了跨境电子数据审查的困境。
在欧美国家,侦查机关取证程序充分保障和尊重个人隐私权,已经成为所获电子数据具有证据能力的前提条件。与之相比较,我国在电子数据取证领域对隐私权与个人信息的保护是相对缺位的。应当承认,我国隐私权和个人信息保护体系不断完善,保护力度不断增强,《民法典》《个人信息保护法》增设相关内容,以及有关部门加强对数据保护领域的执法,均是实例。然而,这一基本共识尚未对刑事司法产生实质影响,既有取证规则缺乏对隐私权和个人信息保护的关切,取证所涉权利干预是否正当,并没有被纳入电子数据证据能力审查的范围。《电子数据取证规则》本质上属于授权规范,而不是限权规范。在不涉及采用技术侦查措施时,既有规范对电子数据收集的程序规制,在严格程度方面低于搜查。《个人信息保护法》第13条第3款规定,为履行法定职责或法定义务,可以不经个人同意处理个人信息,同样没有体现对隐私权的关切。
参照主要国家通行做法,我国既有规则中相对粗疏的内部行政审批程序,至少在隐私权和个人信息保护方面,难以实现打击犯罪和保障人权的有效平衡。但是,简单参照域外经验,尝试通过以隐私权为基础的司法令状模式,实现对电子数据取证在内的刑事侦查措施的法律规制,并不具有现实性。一个直接的例子是,尽管《宪法》第39条明确规定,公民的住宅不受侵犯,但历次《刑事诉讼法》修正均未改变搜查证内部审批签发程序。司法机关对搜查证所载内容之明确性,也无严格要求。
在极力追求真相的价值导向下,“如果你是清白的,便没有什么可以隐瞒的”当然会成为刑事侦查的真实写照。这就不难理解,为什么《刑事诉讼法》要求犯罪嫌疑人对侦查人员的提问要如实回答,但对于与案件无关的,却可以拒绝回答。后一部分,也可以视为对个人隐私的一种保护方式。根据《电子数据取证规则》第4条,公安机关电子数据取证涉及个人隐私的,应当保密;对于获取的材料与案件无关的,应当及时退还或者销毁。可见,在中国刑事司法中,隐私权当然受到尊重与保障,但通常不能阻碍对案件事实的查明。在此观念下,只要侦查人员严守保密义务,及时退还或销毁相关材料,电子数据取证行为就不会被视为对隐私权的侵犯。至少在可以预见的时间内,关于电子数据取证的权利保障话语差异难以弥合,对电子数据的双重审查必然面临准据法适用的困难。
四、跨境电子数据审查困境的应对方案
在数据主权争夺白热化、国际人权对话分歧明显的背景下,司法个案中的跨境电子数据审查,将在宏观层面具有更加重要的意义。为了回应当前跨境电子数据审查的困境,需要对相关规则和标准的适用进行调整。
(一)灵活把握数据储存地标准
电子数据产生、储存和处理方面的特性,给跨境因素识别带来了难题。数据主权之争,则让问题变得更加复杂。关于通过计算机网络远程提取、向国际网络服务商调取电子数据是否构成跨境取证,各国间存在不同理解。缓慢而复杂的传统司法协助渠道不能满足犯罪侦查对取证手段迅速、高效、灵活的要求,使侦查机关青睐单方取证。
目前看来,我国在互联网领域的控制力和影响力尚不及欧美,在取证管辖权方面坚持较强司法主权立场以及与之相匹配的“数据储存地模式”,更有利于维护国家整体安全利益。相应地,电子数据取证中的跨境因素认定,也应当适用数据储存地标准。按此标准,通过以下方式单方获取的电子数据不得作为定案的根据:在公开网络,或是经权利人授权登录后,隐匿身份与身在境外的对象进行交流并获取数据;运用技术手段,对非公开网络系统进行破解并获取的数据。前者跨境诱惑侦查,容易引发质疑,后者则会被视为黑客攻击。此外,未经司法协助渠道,从网络服务商处调取的储存在境外的电子数据,也不得作为定案的根据。
适用数据储存地标准来界定跨境因素,并严格遵守国际刑事司法协助的一般要求,会将一部分具有较强证明力的电子数据排除在定案根据之外,给犯罪侦查工作造成困难。实际上,从国际视角来看,单方跨境取证的法律规制处于不断变化之中。在复杂的国际环境中,自束手脚并非最佳方案。因此,具体把握需要采取相对灵活的方式。
一方面,这并不意味着对刑事调查的管辖权应采用同样严格的数据储存地标准。风险防控理念促使犯罪治理活动启动时间点前移,大数据技术使之成为可能,其主要分析对象是电子数据。域外经验表明,执法机构收集海量数据,为潜在刑事诉讼提供情报基础的同时,却不一定将这些电子数据提交法庭作为证据,由此可以绕开相对的司法令状申请程序。为有效打击犯罪,保护国家和人民利益,应当对侦查机关收集电子数据权力的扩张保持适度容忍,允许其在存在理解分歧的边缘地带采取行动。由此获取的电子数据,我们可以称之为刑事情报。即使不能作为定案的根据被法院所采纳,但仍然可以在审前阶段作为线索使用。
另一方面,对储存在境外的电子数据,可以通过适当的方式转化,从而在刑事诉讼作为证据使用。当前,如果将储存在境外的、经权利人授权获取的数据一律排除在定案根据之外,将给侦查实践造成难以克服的困难。因此,一个相对合理的方案是,对此类电子数据,以“储存地不明”作为通过司法协助渠道获取的理由,从而在默认可以将其作为定案根据的同时,避免由司法机关在个案中对“经权利人授权获取数据”的取证管辖权问题提出明确裁判意见。当然,如果数据储存地国家通过外交渠道提出明确反对意见的,那么审理法院原则上应该与官方立场保持一致,不采纳经过权利人授权但未经过司法协助渠道获取的储存在境外的电子数据。此外,也可以通过公开网络或数据权利主体的授权,对其他渠道获取的电子数据进行核实和重新收集,以独立来源证成对此类证据的合法使用。再如,还可以要求服务商向公安司法机关出具情况说明,就其控制的电子数据相关问题作出答复,从而将电子数据从境外“携带”到境内,以企业内部调查取证化解刑事调查管辖权冲突。
(二)持续完善技术性鉴真规则
实践中,运用现代信息技术协助司法人员对电子数据的真实性进行审查,已经成为一种发展趋势。中国在此领域的探索,一定程度上走在了世界前列。有学者进一步提出并论证了技术性鉴真的概念。不同于传统观点,技术性鉴真方法在内在机理、运行程序、证明责任等方面与传统鉴真方法存在差异,需构建相对独立的技术性鉴真规则。对此,笔者基本认同。因为只有将技术性手段作为一种独立鉴真方法,才能凸显其技术性要素,并完善配套机制与规则,以应对复杂数据环境的挑战。就跨境电子数据而言,针对既有规则与远程取证常态化不匹配所导致的证据审查困境,完善技术性鉴真规则具有直接的现实意义。具体推进,需要着重解决两个问题。
一是要在证据收集阶段化解侦查权限与专门知识融入的冲突。技术性鉴真手段,可能涉及侦查人员所不具备的专业知识。因此,《电子数据取证规则》第6条规定,可以指派或者聘请专业技术人员在侦查人员主持下进行收集、提取电子数据。不过,根据既有规范,专业技术人员参与取证时,仍然应当由两名以上侦查人员进行。这样安排,并不符合司法效率的要求。未来,可引入特聘侦查员制度,从而建立专业技术人员参与犯罪侦查的常态化机制,允许一名侦查人员和一名专业技术人员收集、提取电子数据。在完善人民警察招录体制的基础上,还可以吸纳更多专业技术人员直接进入警察队伍,提升侦查机关电子数据调查能力,并逐步健全电子数据领域的执法资格、执法标准体系。
二是要围绕推定及其反驳,加强证据性辩护权利保障。随着技术性鉴真规则的完善,是否具有技术资格、是否符合技术标准,将成为电子数据审查的重点。由具有技术资格的人员根据相应技术标准收集、提取的电子数据,被推定为具有完整性,因而具有真实性。通过规则进一步明确技术性鉴真的“真实性推定”,将突出电子数据审查的重点——技术标准符合性。具体表述,可以采取“列举+兜底”的模式,以保持技术标准的开放性,应对取证技术的迅速发展。尽管这一推定是可以反驳的,但信息技术的专业知识壁垒,给辩护带来了实际难题。因此,需要突出证据性辩护权利的保障。一方面,考虑到算法取证的广泛应用,需要将算法的应用情况纳入卷宗材料的范围,以供辩方查阅核对;另一方面,即使电子数据未经司法鉴定,也应允许辩方聘请具有专门知识的人,对收集、提取过程进行质证。
从长远来看,跨境获取电子数据相关问题的解决,有赖于超越传统司法协助框架的新型协作机制的建立。届时,技术性鉴真规则将发挥更加重要的功能——以科学的、通用的技术性标准化解具体取证规则差异所造成的证据审查难题。实际上,根据《刑诉法解释》第77条,对于从境外获取的证据,法院需要判断,有所区别的境外取证程序,是否在实质层面符合我国法律规定。这无疑是一项复杂的工作。但是,如果存在共通的技术性标准可供借鉴,此类难题便可迎刃而解。例如,在前文提到的张凯闵等人的电信网络诈骗案中,无论肯尼亚警方关于搜查、扣押的程序规则与我国存在何种差异,只要所获电子数据能够通过技术性鉴真,便可以将之作为定案根据。这样一来,便为司法机关省去了没有操作性标准可供参考的程序差异对比审查工作。因此,完善技术性鉴真规则的目标,还应包括适时提出由我国主导的、能够在国际范围内取得普遍认可的技术性标准体系,从而为电子数据领域新型协作机制的构建提供技术性支撑,贡献中国智慧。
(三)健全证据能力的双重审查
跨境电子数据审查涉及证据排除规则的域外效力。实践中,已有被告人依据我国《刑事诉讼法》对境外形成的供述提出非法证据排除申请的个案。但是,权利话语差异将给双重审查带来困难。作为回应,首先是要继续坚持既有司法解释所确立的法院所在国准据法模式,以我国法律规范作为权利保障要求,避免因跨境因素出现权利保障不平衡。根据《刑诉法解释》第77条,权利保障的依据仍然应该是我国法律。考虑到中外权利话语差异暂时难以弥合,直接援引域外关于电子数据取证中的权利保障要求,作为本国证据能力审查的规范依据,并不具有现实基础。相关权利保障争议,主要应该在取证环节予以化解。即使是在我国派员参与调查取证的场合,具体取证活动原则上也要遵循当地取证程序规则,由当地执法人员配合方能完成。只要当地执法机构愿意根据我方要求予以配合,便可以理解为其允许变通执行权利保障方面的法律规范。
具体到电子数据取证领域,正如上文所指出的,中国与欧美国家对刑事司法中个人隐私和数据保护的理解存在重大差异。在国内层面,这直接表现为取证规则技术化;在跨境层面,这使得此类权利保障要求无法成为证据能力双重审查的依据。有学者指出:“由于我国非法证据排除规则缺乏与宪法权利保障的直接关联,因此,通过基本权利保障方式解决我国非法证据排除规则域外效力问题并不能实现。”但是,这不足以成为固守不审查原则的理由。对通过司法协助渠道获取的电子数据,首先应当以真实性为审查重点,以技术性鉴真规则进行双重审查。因为无论何种法律传统,都会将准确的事实基础作为公正审判的前提。而中国正在发展完善的技术性鉴真规则,作为真实性保障的技术措施,在世界范围内处于领先地位,且具有共通互认的属性。
在刑事司法领域,查明真相与保障权利并不是截然区分的。正是在此意义上,有学者提出,可以用“证据性权利”这一概念整合传统的诉讼权利,弥补既有理论较少关注权利保障对司法事实认定准确性以及最终裁判可接受性影响的缺憾。这一思路,可以为证据能力双重审查的进一步完善提供指导。以被追诉人在司法证明过程中的参与权为中心,对取证活动的合法性进行拓展解读,是从实质上弥合中外权利话语差异的一条可行路径。由此,对跨境电子数据证据能力的审查,也需要重视被追诉人自愿同意的因素。如果被追诉人在自愿性得到充分保障的条件下,同意以主动提供电子数据的方式参与司法证明、配合公安司法机关调查,那么关于个人权利保护不充分的质疑,便不复存在。这一路径,有利于在中外权利保障话语差异中寻找到最大公约数,从而减少数据权利保障领域的国别差异给国际刑事司法合作造成的障碍。
结语
跨境电子数据审查困境及其衍生问题的解决,从根本上有赖于技术标准完善、双边与多边司法协作深化以及正当程序理念的培植。尤其是,充分回应跨境电子数据审查所遭遇难题,离不开两项重要条件的实现:一是持续推动《联合国打击网络犯罪公约》的制定与实施,优化双边和多边电子数据取证领域的合作协议,为数据主权之争找到合理的解决方案;二是在适度借鉴域外制度的基础上,加强刑事司法领域隐私权和数据权利的保障,完善非法证据排除规则对域外电子数据的适用,并通过国际人权对话消除外界的制度误解,为权利话语差异弥合找到常态沟通机制。在此意义上,上述建议只能说是一种阶段性应对思路,反映了多重因素制约下的妥协之策。总而言之,刑事司法中的跨境电子数据相关问题具有重要意义,且处在变化与发展之中,需要持续关注和研究。
来源:《地方立法研究》2023年第3期
作者:陈苏豪,南京审计大学法学院讲师