跨境数据取证中公私合作的具体路径.pdf

资源描述

1、中国人民公安大学学报（社会科学版）2024 年第1期 No.1 2024 Journal of Peoples Public Security University of China（So c i a l Sc i e n c e s Ed i t i o n）总第 2 2 7 期 Sum227跨境数据取证中公私合作的具体路径魏光禧1，刘想树1,2（1.西南政法大学，重庆天40 112 0；2.重庆警察学院，重庆40 1331）【摘要】跨境数据取证是刑事侦查、国际法领域的一个交又课题。在数字时代背景下，电子数据跨境取证的现实需求不断增加，而传统的国际刑事司法协助明显捉襟见肘，单边跨境远程取证又

2、容易引发国际法冲突，侦查机关和网络服务提供者等私主体合作进行跨境数据取证已成为刑事侦查新常态，但也因此带来一系列实践操作和规范层面的问题。解决这些难题，需要在国际法与国内法互动的基础上，推动跨境数据取证从单向取证转向合作取证，从二元范式转向多元治理，从强地域性转向弱地域性。具体而言，实施主体和公私合作行为的形式应该是多元化的，执法管辖权也可以突破电子数据的属地管辖，转换为针对数据控制者的属人管辖，而取证对象则需要从犯罪控制与数据安全相平衡的视角出发，通过数据分类分级规则来确定。【关键词】国际刑事司法协助；跨境取证；公私合作；电子数据【中图分类号】D918.2【文献标志码】A【文章编号】2 0

3、9 6-316 5（2 0 2 4）0 1-0 0 6 3-12据，一般是在多边或者双边框架下通过国际刑事一、问题的提出当前网络犯罪和其他涉及计算机系统电子证据的犯罪愈演愈烈，各国侦查机关在数据取证上面临一个同样的难题，即这些电子证据储存在境外、不断转移或处于未知的管辖权区域，而作为国家权力的侦查权原则上仅限于境内行使。因此，只有极少一部分网络犯罪被追诉，而受害者往往得不到公正的结果。如果需要收集境外的电子数司法协助程序开展。但在信息化时代，这种程序复杂、耗时过长的方式显然与追求高效、便捷的数据取证需求不相匹配。而脱离国际刑事司法协助框架以单方跨境远程方式收集数据的取证活动又与现行的国际法原则

4、脱节，存在潜在的国际法冲突。近年来，理论和实务界提出与网络信息服务提供者等私主体合作进行跨境取证，但多为“是否开展跨境数据取证公私合作”的讨论，较少涉及“如何开展跨境数据取证公私合作”的建议。【基金项目】重重庆市社会科学规划项目“成渝地区无人驾驶汽车产业发展与智能交通安全管理机制研究”（2 0 2 0 PV79）。【作者简介】魏光禧（19 8 5一），男，西南政法大学国际法学院海外利益保护研究中心研究员；刘想树（19 6 4一），男，西南政法大学国际法学院教授，博士研究生导师，中国国际私法学会副会长，重庆警察学院院长。相关研究成果集中于近四年，主要讨论跨境数据取证公私合作的正当性问题。例如：江

5、溯.论网络犯罪治理的公私合作模式J.政治与法律，2 0 2 0（8）：38-52；裴炜.向网络信息业者取证：跨境数据侦查新模式的源起、障碍与建构J。河北法学，2 0 2 1，39（4）：56-8 1；梁坤.欧盟跨境快捷电子取证制度的发展动向及其启示J.中国人民公安大学学报（社会科学版），2 0 19，35（1）：33-43；刘品新.跨境电子取证的欧盟方案及启示J.国家检察官学院学报，2 0 2 2，30（5）：3-23；李小恺，张晨.网络服务提供者协助侦查义务的边界研究一一以网络服务提供者协助侦查义务与个人信息保护义务的冲突为视角J.中国人民公安大学学报（社会科学版），2 0 2 3，39（4

6、）：7 0-8 2.63魏光禧刘想树：跨境数据取证中公私合作的具体路径对跨境数据取证中公私合作的路径转向认识不清，对具体路径把握不准，导致侦查机关在“老办法不管用、硬办法不能用”的情况下，出现“新办法不会用”的现象。（一）“老办法不管用”：国际刑事司法协助明显捉襟见肘传统的国际刑事司法协助制度根植于工业社会，跨境取证的对象主要是物证、书证、证人证言等传统类型证据。而在数字社会背景下，数据取代了动产、土地等成为核心社会资源，侦查机关对境外电子数据的需求呈几何式增长，刑事司法协助明显捉襟见肘。首先，国际刑事司法协助的“倒U型”结构存在缺陷。传统的国际刑事司法协助一般需经过“境内侦查机关、境内主管部

7、门、境外主管部门、境外侦查机关”四个环节，呈现出“倒U型”的取证程序。这种结构极其复杂、缓慢和官僚化，严重影响了犯罪控制和侦查的效率，难以为跨境数据取证提供一个有效的方案。其次，国际刑事司法协助的强地域性与电子数据的弱地域性存在矛盾。传统国际刑事司法协助主要针对地域界限明晰的有形实物，而电子数据具有迅速流动性，可以频繁穿行于不同国家间的服务器，不容易受到地域的限制。作为取证对象的电子数据在哪个国家都无法确定，更论发出刑事司法协助请求书。再次，国际刑事司法协助的适用范围有限。传统的国际刑事司法协助须以国家间签订了双边协议或者共同加入国际公约为前提，否则请求方可以拒绝提供协助。最后，国际刑事司法

8、协助存在技术原因限制。物证、书证等传统类型证据的物理边界清晰，容易定位、控制并与其他无关材料分离。但电子数据与其物理载体无法有效限定和区分，甚至有些云平台上的电子数据的储存位置是在不同国家间随机分配的，这就导致管辖权的行使和侦查权的运行面临难以预测的困境。虽然有学者提出简化国际刑事司法协助程序、推动国际刑事司法协助的电子化发展、建立区际刑事司法协助、设置驻外联络官等好的建议，但是数字社会跨境数据取证制度是在实践推动下发展的，国际刑事司法协助的自我演进和学术研究的推动都是有限的。当各国立法者还在继续推进传统国际刑事司法协助制度的完善时，日益增长的电子数据取证需求已经推动跨境数据取证制度向新的方向

9、发展。（二）“硬办法不能用”：单边跨境远程取证容易引发国际法冲突在侦查实践中，通过国际刑事司法协助进行跨境数据取证无法满足需求的情况下，便会选择通过单边跨境远程取证对境外电子数据进行在线提取或跨境搜查。目前，我国没有关于跨境数据取证的专门立法，侦查机关往往按照境内远程电子取证的相关立法，通过网络在线提取、对远程计算机信息系统进行网络远程勘验、采取技术侦查措施进行网络远程勘验等方式实施跨境数据取有学者指出，国际刑事司法协助从启动到获得电子数据，平均需要10 个月甚至更长时间。参见：梁坤.数据主权与安全M.北京：清华大学出版社，2 0 2 3：136.相关建议参见：冯俊伟.跨境电子取证制度的发展与

10、反思J】.法学杂志，2 0 19，40（0 6）：2 5-36;唐彬彬.跨境电子数据取证规则的反思与重构J.法学家，2 0 2 0（4）：156-17 0+19 6；唐彬彬.我国区际刑事司法协助中境外证据的采纳：现状与完善J】，公安学研究，2 0 2 0，3（5）：54-6 7+12 4.网络在线提取就是指境内外互联网公开数据的提取。如“国某、罗某提供侵人、非法控制计算机信息系统的程序、工具罪”一案中，西宁市公安局网安民警通过在浏览器中输入国某等人宣传的境内网址转入购买网络攻击软件神盾DDOS的境外网址“youka.la”，最终查询到网站服务地址注册人为国某，从而证明了国某的犯罪行为。参见青海

11、省西宁市城西区人民法院刑事判决书（2 0 18）青0 10 4刑初41号。对远程计算机信息系统进行网络远程勘验是一般性的侦查方法，就是指将网络当作犯罪现场，在远程采用专业取证工具进入网络后进行数据提取的勘验活动。如“方某某等诈骗罪、非法获取公民个人信息罪”一案中，如东县公安局对境外VOS平台数据进行远程勘验，发现诈骗分子通过方某某提供的19 8 平台拨打诈骗电话的次数。参见江苏省如东县人民法院刑事判决书（2 0 16）苏0 6 2 3刑初36 8 号。采取技术侦查措施进行网络远程勘验是技术侦查措施在网络上适用，主要是对动态数据的监控和提取，主要包括网络监听等。如“滕某辉、滕某萍组织、领导传销活

12、动案”中常德市公安局网侦部门从滕某辉、滕某萍租用的境外服务器中提取到滕某萍在传销网站注册的三个会员号，以及各会员号发展的下线人员共147 2 9 人次，并出具“常德市公安局常公网检【2 0 15】第40 9 号电子数据检验分析报告”作为法庭证据。参见湖南省津市市人民法院刑事判决书（2 0 16）湘0 7 8 1刑初7 0 号。:64魏光禧刘想树：跨境数据取证中公私合作的具体路径证 2 。而从国际法的角度看，一国虽然可以依据国内刑事法律对发生在他国境内的犯罪享有立案管辖权和裁判管辖权，但是原则上并不能在境外行使执法管辖权3。易言之，未经主权国家同意，侦查机关单边跨境远程取证涉嫌构成对他国主权的侵

13、犯，容易引发国际法冲突。实际上，我国立法对单边跨境远程取证也进行了封堵，比如2 0 19 年2 月发布的公安机关办理刑事案件电子数据取证规则将“远程计算机信息系统上的电子数据”的提取范围限制在境内，不允许在线提取境外信息系统上的电子数据。不过，这种对单边跨境远程取证的封堵虽然可以避免侵犯他国主权的风险，却没有有效回应侦查实践中对跨境数据取证的需求。堵不如疏，如果不在新办法上找出路，那么单边跨境远程取证将仍然在实践中被广泛运用。（三）“新办法不会用”：跨境数据取证中公私合作的具体路径不清晰一方面，国际刑事司法协助明显捉襟见肘、单边跨境远程取证容易引发国际法冲突；另一方面，电子数据已逐渐成为新的“

14、证据之王”，跨境数据取证的路径转向成为必然。如上所述，国际刑事司法协助和单边跨境远程取证的堵点就是电子数据的地域性，如果电子数据位于境外，侦查取证也就成为跨境执法，受到执法管辖权的限制。于是，越来越多的国家开始转变路径，从控制电子数据的网络信息提供者人手，建立执法管辖权的连接点。在此背景下，跨境数据取证的公私合作，即侦查机关与网络服务提供者等私主体合作，共同收集调取电子证据的取证模式应运而生。跨境数据取证的公私合作在实践中方兴未艾，但现有的学术研究积累还未及时跟上现实执法需求：一是对公私合作的路径与传统路径的区分不够清晰；二是没有在国际法与国内法互动的基础上，探讨公私合作的路径；三是没有结合我

15、国侦查实践，解决跨境数据取证中公私合作的实施主体、地域范围、数据分类分级、主要形式等具体操作性问题。具体路径上的不清晰，一定程度上导致跨境数据取证实践中出现一些乱象，也影响了跨境数据取证公私合作的正当性。基于此，需要探讨的重点不在于跨境数据取证公私合作是否具有正当性基础，而是何种路径的公私合作行为能够满足正当性要求。因此，本文要解决的问题是：明确跨境数据取证中公私合作的具体路径，以助于侦查部门更好使用新办法。二、跨境数据取证中公私合作的主要探索信息技术重塑了刑事侦查的外部生态和内部逻辑，网络犯罪的地域性逐渐弱化，跨云、跨地域分布的电子数据成为各类犯罪最常见的证据类型。电子数据的弱地域性与执法管

16、辖权的强地域性之间存在错位，基于物理场域系统构建的传统国际刑事司法协助及其改良方法都无法满足各国刑事侦查实践的需要。而网络服务提供者作为数据资源的主要占有者、控制者，已经越来越成为跨境数据取证的关键主体，国际、区域层面以及各个国家均纷纷探索跨境数据取证的公私合作。（一）欧盟地区区域内的公私合作机制欧盟在跨境数据取证上的探索由来已久，早在2 0 0 0 年就出台了欧洲刑事司法协助公约，提出了关于刑事司法协助的框架思路。最具代表性的是，欧洲理事会主导，与联合国、国际刑警组织、经济合作与发展组织、八国集团等国际组织及国家合作，在2 0 0 1年推出的布达佩斯网络犯罪公约（以下简称布达佩斯公约），其核

17、心内容就是构建高效的跨境数据取证机制。布达佩斯公约原则上不允许直接向境外的网络服务提供者收集调取电子证据，但第32 条设置了例外条款，对于已经公开发布的数据和相关权利主体自愿同意提供的数据，执法机关可以直接收集调取。近年来，欧洲国家网络犯罪治理中关于电子证据的需求不断增长，执法机关向境外网络服务提供者调取数据的需求与日俱增，据统计，约8 5%的刑事案件有收集电子证据的需要，其中约6 7%的案件需要向境外网络服务提供者调取证据。为了扩宽公私合作收集调取电子证据的通道，2022年4月，欧洲理事会授权成员国签署通过布布达佩斯网络犯罪公约第32 条规定：“缔约方有权在未经其他各方同意的情况下访问、获取

18、：（a）可获得公开储存的计算机数据而不论该数据位于何处；（b）若缔约方获得对数据信息拥有合法权力予以披露的主体的合法、自愿同意且该数据信息位于其他缔约方之领土，任何一方均有权通过计算机系统访问或获取该等储存数据。”65魏光禧刘想树：跨境数据取证中公私合作的具体路径达佩斯网络犯罪公约关于加强电子证据合作和披露的第二附加议定书（以下简称第二附加议定书），明确执法机关与境外网络服务提供者直接合作的条件和程序 4。根据第二附加议定书规定，每一缔约方应采取必要的立法和其他措施，授权其他缔约国家的执法机关为特定刑事调查或诉讼的目的，向其领土内的网络服务提供者直接调取电子证据,但范围仅限于域名注册信息（do

19、mainname registration information）和用户信息（subscriberinformation）。第二附加议定书还规定，当网络服务提供者不合作时，请求方可要求其说明理由，并与网络服务提供者所在国协商，以确定获取信息的可用措施。与此同时，欧盟内部在取证法律工具上的改革不断推陈出新。2 0 18 年4月，欧盟委员会推出了关于制定欧洲刑事电子证据提交令与保存令条例的提案和关于制定要求委任法律代表的统一规则之指令的提案，其核心内容就是推出欧洲提交保存令（European Production andPreservationOrders），授权成员国执法机关发布电子证据提交令

20、、保存令，直接要求境内外网络服务提供者提交、保全电子证据。提交保存令的接受者不仅限于在欧盟范围内的网络服务提供者，只要与欧盟成员国存在“实质联系”即可纳人管辖范围。具体的判断标准包括，在成员国中建立了分支机构、大量用户存在于成员国中、活动目的针对一个或多个成员国等。如果网络服务提供者无法定事由且拒不遵从提交保存令，可能会导致制裁或者强制执行，不过实施制裁和强制执行的主体以及具体程序尚未明确【5。（二）美国CLOUD法案及相关双边协议中的公私合作机制美国在数据取证上注重公私合作，早在19 8 6 年通过的存储通信法案（StoredCommunicationsAct，SC A）中，就授权美国执法机

21、构可以要求个人或企业披露私人电子通信数据。但该法案仅仅规定了获取境内数据的方式方法，并未对境外数据取证给出明确标准。该项立法缺失导致的分歧在“微软诉美国政府”案中表现得尤为突出。2 0 13年12 月，美国FBI获得搜查令，要求微软公司提供一起毒品案件中所涉用户的电子邮件内容和账户信息。微软公司拒绝提供，并提出废除搜查令的动议，理由是该用户的电子邮件内容数据存储在爱尔兰。该案的主要分歧在于，美国FBI坚持“数据控制者标准”，即基于对数据控制者的管辖权，而获得对该数据控制者所控制的数据的管辖权，因此对于微软公司所控制的境外数据具有管辖权。而微软公司则主张“数据存储地标准”，认为仅数据储存地所在国

22、对该数据具有管辖权，美国FBI的搜查令的效力仅限于美国境内，不能及于储存在爱尔兰的数据。直到2 0 18 年3月，澄清域外合法使用数据法案（Clarifying Lawful Overseas Use of Data Act,即CLOUD法案）生效，明确支持了“数据控制者标准”，该案的争议问题才得到解决。美国CLOUD法案规定，受美国法管辖的网络服务提供者，对于其拥有（possession）、监管（c u s t o d y）或控制（control）的通信、记录或者其他信息，无论其是否储存在美国境内，均须按照存储通信法案的规定进行保存、备份、披露。同时规定，受美国法管辖的网络服务提供者不仅包括

23、在美国成立的企业、在美国境内运营的外国企业，还包括在美国境外运营但与美国存在足够联系的外国企业。这实际上将美国的跨境数据取证权覆盖到了全球绝大多数有影响的跨国互联网公司。为了缓和美国与数据储存地所在国的数据主权冲突，避免网络服务提供者在数据储存地所在国陷人违法的困境，CLOUD法案为网络服务提供者设置了抗辩条款，即网络服务提供者如果能够证明跨境取证的目标对象不是“美国人”且不在美国居住，而且履行披露义务将使其面临违反“适格外国政府”法律的实质性风险，那么可以向法院提出抗辩，请求撤销或变更执法要求。但实际上，由于美国自己设置的“适格外国政府”标准将绝大多数国家排除在外，且抗辩的最终裁量由美国法院

24、单方作出，美国在跨境数据取证上是实施霸权主义。0（三）联合国打击网络犯罪公约案文草案中的公私合作条款2011年9 月，中国、俄罗斯、塔吉克斯坦等根据美国CLOUD法案规定，一方面实行长臂管辖，要求凡是与美国存在联系的外国企业提供存储在海外的数据甚至在该外国企业本国的数据，另一方面又排斥外国执法部门对美国企业提出的数据要求。:66 魏光禧刘想树：跨境数据取证中公私合作的具体路径国家向联合国提交了信息安全国际行为准则（草案），积极倡导在联合国框架下制定一部全球性的网络犯罪公约。2 0 13年2 月，联合国毒品和犯罪问题办公室发布网络犯罪综合研究报告（草案），深人论证了联合国开展网络犯罪立法的必要性

25、。2 0 17 年10 月，俄罗斯提交了联合国合作打击网络犯罪公约（草案）。2 0 19 年12 月，联合国大会通过7 4/2 47 号决议，决定设立特设政府间专家委员会（AdHoc Committee），正式开始起草网络犯罪全球性公约6 。2 0 2 3年8 月，特委会基本形成联合国打击网络犯罪公约的整体文本，在“程序措施和执法”章节强调了第三方参与协助跨境数据取证的措施，同时也在“国际合作”章节中强调跨境数据取证的合作 7 。联合国打击网络犯罪公约为建立跨境数据取证公私合作新规则提供了契机，引导各个国家和地区创新跨境数据取证公私合作机制，促进治理网络犯罪公私合作新秩序的建立。联合国打击网络

26、犯罪公约案文草案第四章“程序措施和执法”第2 7 条“提交令”规定，“各缔约国均应采取必要的立法措施和其他措施，授权本国主管机关下令：（a）本国领域内的某人提交其所拥有或控制的存储在计算机系统信息和通信技术装置或【计算机数据【数字信息存储介质中的指定【计算机数据数字信息；以及（b）在本缔约国领域内提供服务的服务提供者提交其所拥有或控制的与此类服务有关的订户信息。”公约案文草案建立了侦查机关跨境取证的机制，并特别强调了私主体参与协助取证的措施，但私主体的地位主要是证人，责任是配合侦查，并没有赋予其独立的侦查取证的主体资格。（四）我国跨境数据取证中公私合作的规则与实践我国跨境数据取证主要还是利用传

27、统的国际刑事司法协助制度来实现。2 0 16 年12 月发布的关于办理电信网络诈骗等刑事案件适用法律若干问题的意见认可了与国际刑警组织、境外司法机关合作获取电子证据的效力。2 0 18 年10 月通过的国际刑事司法协助法明确了“侦查机关一主管部门一外交部门一外国相关部门”的跨境数据取证司法协助制度。2 0 2 1年1月发布的人民检察院办理网络犯罪案件规定着重对检察机关跨境数据取证进行了规范，在很多情况下都需要经过国际刑事司法协助条约或者外交途径办理网络犯罪跨境数据取证。近年来，我国国内法授权侦查机关通过远程登录或者技侦手段进入境外计算机系统进行单方取证。2 0 16 年9 月发布的关于办理刑事

28、案件收集提取和审查判断电子数据若干问题的规定授权侦查机关三种跨境数据取证方式：通过网络在线提取、对远程计算机信息系统进行网络远程勘验、采取技术侦查措施进行网络远程勘验。2 0 19年2 月发布的公安机关办理刑事案件电子数据取证规则的单方取证范围明显缩小，仅规定“对公开发布的电子数据、境内远程计算机信息系统上的电子数据，可以通过网络在线提取”，而对于境外远程计算机信息系统上的电子数据则未授权侦查机关进行网络在线提取。在实务中，侦查机关与境外网络服务提供者广泛开展合作，完成跨境数据取证。2 0 2 2 年8 月，最高人民法院、最高人民检察院、公安部发布的关于办理信息网络犯罪案件适用刑事诉讼程序若干

29、问题的意见第14条专门规定了“公安机关向网络服务提供者调取电子数据”的程序和要求，“跨地域调取电子数据的，可以通过公安机关信息化系统传输相关数据电文。网络服务提供者向公安机关提供电子数据的，可以采用数据电文形式。”虽然该规定没有明确与侦查机关合作的网络服务提供者仅限境内的，还是包括境外的，但在侦查实务中，针对电信网络诈骗、网络非法集资、网络赌博等主要证据被置于境外服务器的案件，侦查机关与第三方互联网平台合作收集证据的案例屡见不鲜。三、跨境数据取证中公私合作的路径转型从国际法和各国立法及司法的实践来看，公私合作是被证明行之有效的跨境数据取证模式。在我国公安机关的侦查实践中，跨境网络远程勘验应用最

30、为广泛：一是通过讯问等手段获取账号、密码后登录境外网站或服务器提取数据；二是采用勘验设备或专门软件提取境外服务器中存储的数据。据统计，在收集的跨境电子取证案例中，近50%的案件是侦查人员与境外网络服务提供者合作，通过输入用户名、密码进人网站提取境外服务器中存储的电子数据。参见：叶媛博。论多元化跨境电子取证制度的构建J。中国人民公安大学学报（社会科学版），2 0 2 0，36（4）：48-58.67魏光禧刘想树：跨境数据取证中公私合作的具体路径但它的具体路径还不够明晰，需要进一步厘清其在取证模式、犯罪治理和执法管辖等方面的路径转型。（一）取证模式：单向取证转向合作取证受国际法原则和数据主权的限定

31、，侦查部门的单方远程勘查行为仅限于境内。如果远程收集储存于其他国家境内的数据，则没有理由绕开刑事司法协助机制而单独开展。而且，远程收集数据证据极易导致个人权益的侵犯，因此这类取证行为受到严格的侦查权控制。在实践中，我国采取了赋予侦查部门远程勘验、技术侦查等单向取证路径来收集境外电子证据，这种制度安排与国际法和一些国家的国内立法存在明显的差异，而且与我国主张的数据主权立场矛盾，需要反思该路径的适用限度。一方面，单方取证的适用范围有限，需要公私合作取证来予以拓展。19 9 9 年10 月，八大工业国家高峰会在莫斯科发布八国集团打击跨国有组织犯罪部长会议公报，授权成员国收集境外公众可以获得的公开数据

32、，而对于境外计算机系统内的数据，则需要有法定权限的主体合法而且自愿地同意。网络犯罪公约也作出了大同小异的规定，缔约国也陆续将该原则转化为国内法予以遵循。单方远程收集证据属于秘密侦查的一种表现形式，一般都需要采取技术手段才能进人目标系统提取数据，多数国家都采取了严格的限制。而相应主体同意的提取或者接受数据行为，其潜在的侵权风险较低，因此得到广泛认可。另一方面，单方取证的法律基础缺失，需要公私合力取证来补充。在外国法框架下开展与网络服务提供者的合作，是跨境数据取证的有效方式。即使数据储存地国家的法律禁止外国执法部门单方收集其境内的数据，但只要授权或者不禁止网络服务提供者向外国侦查部门披露有关数据，

33、公私合作均有适用的空间。比如，美国对于外国执法部门单方获取储存于美国境内的数据设置了严苟的条件，一般必须经过刑事司法协助程序，并经相应辖区的法官审查。但对于用户名称、通讯时长、网络地址等非内容数据，网络服务提供者可以根据自愿原则直接向外国执法部门提供。即使是针对内容数据，在涉及生命或者健康利益时，网络服务提供者也可以基于善意且有理由相信的情况下，向外国执法部门披露。而且，外国执法部门在获得平台用户的同意后，可以要求网络服务提供者披露该用户的相关内容数据。因此，欧盟执法部门近年来广泛与美国的网络服务提供者开展合作，在自愿且不违反美国法的情况下，获取储存于美国境内的数据【8】（二）犯罪治理：二元范

34、式转向多元治理推进国家治理体系和治理能力现代化是我国全面深化改革的总目标，而犯罪治理是国家治理的重要领域，数字领域的犯罪治理又是其中最关键的一环。现有的单方取证模式立足于“国家一被追诉人”之间的二元关系，过度依赖国家专门机关从上而下的犯罪打击管控，最终目的只是惩罚犯罪，而缺乏社会治理的功能。换言之，在单方取证模式中，化解社会矛盾、修复社会关系等犯罪治理功能均没有得到体现。虽然已有学者注意到了“国家一被追诉人”二元范式的缺陷，提出将被害人加人其中，构建“国家一被追诉人一被害人”的三元范式 9，但该范式的最终目的是解决被追诉人与被害人之间的民事纠纷，并不涉及犯罪治理的本质目的，仅仅是刑事司法的有益

35、补充，仍然具有局限性。在信息时代，需要突破这种封闭的刑事司法，将刑事诉讼外的互联网企业、社会组织、公众等主体，作为原始数据来源者或者数据处理者，纳人犯罪治理活动中。简言之，犯罪治理需要从二元范式向多元治理转变，扩展国家司法机关与企业、社会组织、公众等多元治理主体的合作，通过认知、技术、资源和制度的交互协同，共同实现对犯罪的最优治理10】与传统“国家一被追诉人”二元范式相比，企业、社会组织、公众等不是侦查机关办案的辅助，而是具有法定诉讼主体身份和法定诉讼程序参与权利的犯罪治理主体。这种多元犯罪治理范式不仅参与主体多元，而且主体之间的关系是交互式的。其一，国家司法机关与被追诉人、被害人之间存在交互

36、关系。国家司法机关在刑事诉讼中的垄断地位虽然已经动摇，但是仍然需要其主导刑事诉讼的进行。从犯罪治理的角度看，国家刑事公开数据主要是指公众可以订阅或者通过注册可以获得的资料，而未向公众开放的网络内容或者服务，则一般不属于单方远程收集证据的授权范围。68魏光禧刘想树：跨境数据取证中公私合作的具体路径司法机关为被追诉人、被害人等提供交流对话的平台和机会，解决双方或者多方的矛盾冲突。其二，社会力量与被追诉人、被害人之间存在交互关系。在信息时代背景下，犯罪治理跳出了以国家司法机关为中心的纵向等级关系框架，取而代之的是社会力量与被追诉人、被害人相互交织的网状治理结构。在这一机构中，各个主体均构成网络中的节

37、点，共同服务于犯罪的治理，呈现出去中心化、去地域化的特征。根据节点治理理论【1，各个节点承担的犯罪治理责任和义务取决于其信息能力，包括信息的占有能力和控制能力。申言之，信息能力的不同导致不同节点对于特定犯罪的影响力的差异，而作为关键节点的网络服务提供者具有治理犯罪的重要责任。一方面，网络服务提供者介人了犯罪大数据的集成。犯罪的数据转瞬即逝，刑事司法机关作为取证者不仅成本高而且效率低，而网络服务提供者则不可推卸地具有对犯罪数据的保存、监控和报告义务。另一方面，由于社会分工和技术优势，刑事司法机关、被追诉人、被害人的身份均是网络服务提供者的用户，犯罪治理也是网络服务提供者的应有服务产品。其三，国家

38、司法机关与社会力量之间存在交互关系。在跨境数据取证中，国家司法机关与社会力量之间既存在着合作关系，又存在着相互监督的关系。就合作关系而言，网络服务提供者需要监控、储存平台上的数据，并将涉及犯罪的数据证据提供给国家司法机关。就相互监督关系而言，网络服务提供者如果认为国家司法机关对案件的处理不当，有权提出意见建议，对于国家司法机关过度采集数据侵犯用户权益的，有权不予支持。（三）执法管辖：强地域性转向弱地域性无论是从国际法还是国内法的角度看，一个国家可以依据实体法对发生在他国境内的犯罪行使立法管辖权（prescriptive jurisdiction），包括属地管辖、属人管辖、保护管辖和普遍管辖等；

39、但是原则上不能依据本国程序法在其他国家境内行使执法管辖权（enforcement jurisdiction）。申言之，一个国家有权将他国境内的犯罪纳入本国刑法体系的管辖范围，但非依国际条约或者习惯确定的云计算技术背景下，云数据呈现的是离散式跨境储存，即分别储存于不同的国家服务器上，云数据储存地与数据权利人所在地相分离，实际上真正能够控制数据的还是网络服务提供者。许可性规则，不能跨越地域边界线直接对该犯罪开展调查取证及相关司法活动【12】。相较于立法管辖权，执法管辖权的地域限制性更强，因此跨境数据取证公私合力的主要突破就在地域限制。对于在本国注册的网络服务提供者，与其合作开展的跨境数据取证措施当

40、然发生在本国境内，自然不违反执法管辖权的规定。而当网络服务提供者注册地不在本国境内时，只要其在本国境内设立或者指定了代表机构，或者在本国境内开展了真实且有效的商业活动，包括设立网站、投放广告、开展市场调查等，都可以作为在本国境内的存在。在此基础上开展的跨境数据取证合作也不违反执法管辖权的要求。简言之，跨境数据取证已经借助公私合作的形式跨越了传统意义上的强地域性限制。如前所述，布达佩斯公约第32 条授权成员国执法机关在获得拥有法定权限的个体合法且自愿的同意情况下，提取、接受储存于另一方成员国境内的数据，这就体现了弱地域性。实际上，我国关于办理刑事案件收集提取和审查判断电子数据若干问题的规定第9

41、条规定的网络远程勘验也体现了弱地域性。传统强地域性的执法管辖主要针对的是有形实物，而弱地域性的执法管辖更加适用于数据取证，特别是云计算数据背景下，寻求跨境云服务提供者的合作【13。相较于有形实物，数据具有迅速流动性，可以频繁穿行于不同国家间的服务器，不容易受到地域的限制。网络服务提供者不仅可以将云数据与有形实物相分离，而且可以将云数据所在的虚拟空间与有形实物所处的物理空间相分离，因此跨境数据取证的公私合作可以回避传统的强地域性执法管辖。四、跨境数据取证中公私合作的具体路径如前所述，我国正积极参与联合国打击网络犯罪公约的谈判，同时也不断推进国内刑事程序法的完善。为此，十分有必要明确跨境数据取证中

42、公私合作的具体路径。化解跨境数据取证中的诸多问题，依赖于侦查机关与网络服务提供者的合作，其核心在于明确公私合作的实施主体、地域范围、数据对象和主要形式。69魏光禧刘想树：跨境数据取证中公私合作的具体路径（一）跨境数据取证中公私合作的实施主体跨境数据取证中公私合作的实施主体主要是包括公安机关在内的侦查机关和以网络服务提供者为代表的私主体。从我国公安机关的侦查实践看，私主体参与侦查已经变得越来越必不可少，然而，目前私主体还不属于我国刑事诉讼制度所认可的法定侦查主体，其参与侦查取证的合法性还存在疑问。因此，在联合国打击网络犯罪公约的谈判中，我国应当主张，各成员国须制定或者完善国内法，明确网络服务提供

43、者等私主体在跨境数据取证中的权力和义务，包括留存日志信息、保存数据、固定证据、参与执法行动等。同时，也需要修改刑事诉讼法和相关法规，完善关于跨境数据取证的执行主体的规定。一是重塑跨境数据取证主体的判断标准。无论是公主体，还是私主体，只要具有履行跨境网络犯罪治理的资源和能力，就可以作为跨境数据取证主体。在信息化时代，社会关系围绕信息流动形成网状结构，犯罪治理与一般社会治理的边界日益模糊【14，跨境数据取证从阶层化的国家治理模式转向网络化的节点治理模式，跨境数据取证主体的判断标准核心在于对数据的控制能力。二是明确私主体在跨境数据取证中的角色定位。应尊重私主体在网络犯罪治理上的规制权和在跨境数据取证

44、中的主体地位，让私主体分享侦查权力，承担侦查义务，并在此基础上重新定义侦查机关的多元角色：主持人、支持者、担保者、监督者等。网络服务提供者作为数据的“守门人”，借助技术、数据、平台等方面的优势，在网络生态系统中具有强大控制力，履行着公共责任，在权力结构上具有“公”的属性【15。无论是履行针对网络犯罪的平台监管义务，还是向侦查机关提供数据分析服务，抑或成立犯罪治理联盟，在实践中网络服务提供者已经成为网络犯罪治理公共责任的重要主体。三是建立融合公法和私法的跨境数据取证权利救济制度。跨境数据取证公私合作的本质是将侦查任务下移给境外的网络服务提供者，这不仅我国目前的侦查程序仅授权“有关单位和个人”协助

45、、配合侦查。比如，刑事诉讼法第54条规定，人民法院、人民检察院和公安机关有权向有关单位和个人收集、调取证据。有关单位和个人应当如实提供证据。公安机关办理刑事案件程序规定第6 0 条规定，必须保证一切与案件有关或者了解案情的公民，有客观地充分地提供证据的条件，除特殊情况外，可以吸收他们协助调查；第2 7 0 条规定，公安机关依法采取技术侦查措施，有关单位和个人应当配合，并对有关情况予以保密。:70涉及国家与国家之间的利益冲突、国家与网络服务提供者之间的利益冲突，还涉及网络服务提供者与用户之间的利益冲突。调适这些利益冲突，需要建立融合公法和私法的救济机制。跨境数据取证的公私合作行为难以按照预设的条

46、件进行救济，可以根据其功能进行分殊救济，即当行为的公权力功能很强时，按照公法行为进行规制；当行为的公权力很弱时，则按照平等主体间的民事行为进行救济。对于未型式化的公私合作行为，可以赋予当事方选择救济渠道的权利，促进公法救济和私法救济的合作，实现两个救济体系的衔接。与此同时，司法救济体系之外的自我协商、自我调解、网络平台申诉等自我救济路径，也应成为跨境数据取证中公私合作救济体系大厦的重要组成部分。（二）跨境数据取证中公私合作的地域范围我国关于跨境数据取证的管辖规则存在明显的矛盾：即一方面希望突破数据属地管辖权来扩大本国跨境数据取证的地域范围。2 0 16 年9 月发布的关于办理刑事案件收集提取和

47、审查判断电子数据若干问题的规定第9 条规定，“对于原始存储介质位于境外或者远程计算机信息系统上的电子数据，可以通过网络在线提取。为进一步查明有关情况，必要时，可以对远程计算机信息系统进行网络远程勘验。进行网络远程勘验，需要采取技术侦查措施的，应当依法经过严格的批准手续。”据此，我国侦查机关对于境外的公开数据和非公开数据均可以进行单方取证。虽然2 0 19 年2月发布的公安机关办理刑事案件电子数据取证规则对网络在线提取的地域范围进行了限缩，未授权侦查机关对于境外远程计算机信息系统上的电子数据进行网络在线提取，但是关于“对远程计算机信息系统进行网络远程勘验、采取技术侦查措施进行网络远程勘验”的地域

48、范围则语焉不详。而另一方面，我国又根据数据管辖权来限制其他国家跨境数据取证的地域范围。我国国际刑事司法协助法第4条规定，非经中华人民共和国主管机关同意，外国机构、组织和个人不得在中华人民共和国境内魏光禧刘想树：跨境数据取证中公私合作的具体路径进行本法规定的刑事诉讼活动。这样的立法矛盾，容易引发其他国家的质疑，甚至可能导致国际法上的主权争端。因此，构建立场一致的跨境数据取证管辖法律框架非常必要。与前所述，联合国打击网络犯罪公约案文草案也强调单方取证只能在缔约国境内适用，从而限制了单方取证的地域范围。实际上，从各国立法和司法实践来看，数据属地管辖原则已得到普遍认可，因此协调立法冲突的突破口就需要在

49、尊重数据属地管辖权的前提下，在对数据控制者的属人管辖权上寻求立法的正当性。而跨境数据取证的公私合作回避了传统的强地域性执法管辖，也就是将数据的地域性转移为数据控制者的地域性。易言之，对境外数据的取证从对数据的属地管辖，转换为针对数据控制者的属人管辖。其一，明确在属地管辖原则之外，在一定条件下，我国对境外数据的控制者具有执法管辖权。跨境数据取证的执法管辖权的传统方式是属地管辖，即以数据存储的位置来确定取证管辖范围。跨境数据取证的公私合作突破了这一传统原则，变换为以数据控制者的地域性来确定管辖权。这种属人管辖模式不考虑数据的国家疆域，依托的是数据控制者，瞄准的是数据控制者控制的境外数据【16 其二

50、，当数据控制者的属人原则与数据的属地原则发生冲突时，需要通过国际法来协调。数据控制者的属人原则与数据的属地原则导致国家间在取证管辖范围上的重叠，即主张属人原则的国家会将数据取证执法管辖权延伸至他国境内，而主张属地原则的国家则会排他性地对抗这种跨境数据取证，这容易引发国际法冲突。就此而言，跨境数据取证的公私合作与数据主权的国际争议紧密相连。其中最为典型的就是禁止本国公民与外国执法机关在跨境数据取证上合作。比如，美我国数据安全法第36 条规定，中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人

展开阅读全文