跨境数据取证的现实需求与数据先行冻结的证据保全功能之间相契合,这为探索网络信息时代跨境数据取证新制度提供了思路。如前所述,一些国家或地区已经提出了跨境取证领域数据先行冻结的制度方案,其中以网络犯罪《布达佩斯公约》、欧盟《刑事电子证据条例(草案)》、美国《云法》为代表。以下笔者基于我国当前《刑事诉讼法》的冻结措施规定,通过借鉴上述国际社会当前主要立法探索,就构建我国跨境取证数据先行冻结制度提出程序方案。
(一)数据先行冻结的法律基础
跨境数据取证中的数据先行冻结措施在法律依据上较之国内侦查取证措施更为复杂,其不仅涉及到本国法律规定,还牵涉到国际条约或规范。最高人民检察院在2020年发布的第67号指导性案例中特别强调,对境外实施犯罪的证据应着重审查合法性,一是审查我国《刑事诉讼法》的相关规定,二是审查有关条约、司法互助协定、两岸司法互助协议等国际法律规定。与之类似地,跨境取证中的数据先行冻结措施能否合法、有效运行,同样首先取决于国内法与国际法的双重认可和授权。
从国内法依据来看,跨境数据取证本质是一种侦查取证措施,是一国刑事司法权力在国际层面的延伸,其前提是存在两个层面的国内法授权:其一是程序法对该具体侦查措施的确认,即针对相同犯罪存在国内对应的侦查措施;其二是从管辖权角度对该措施的域外适用和效力进行授权。前者例如网络犯罪《布达佩斯公约》在第16条和第17条首先要求成员国国内立法应规定数据的快速保全制度,其构成第29条刑事司法协助中数据保全的国内法基础。类似地,欧盟《刑事电子证据条例(草案)》规定的电子证据保全令仅适用于申请国针对相同犯罪存在类似国内法措施的情形。后者典型的例证是美国《云法》,试图通过该立法解决《存储通信法》中向第三方调取数据的管辖权限制。
观察我国当前刑事诉讼相关法律规定可以看到上述两个层面均存在缺陷。就侦查权而言,数据先行冻结仅出现于司法解释和行政法规之中,而《刑事诉讼法》中规定的财产冻结措施难以直接拓展至数据之上。德国、日本、英国等国家的刑事诉讼法多将此类数据保全归属于扣押措施,但从我国电子数据取证规则体系来看,我国的扣押措施仅能及于数据载体而不能延伸至数据本身。考虑到《电子数据规定》和《电子取证规则》已然使用了“冻结”这一概念,同时数据与无形资产一样具有形态上和规制上的相似性,未来立法可以考虑沿用该概念,在冻结措施的体系下,就证据保全冻结分支设立数据的先行冻结措施。
就侦查措施的管辖权而言,《国际刑事司法协助法》的立法目的之一即在于对刑事诉讼行为的域外效力进行确认,但其关注的主要是传统刑事诉讼领域,与电子数据取证相关的国内法探索并未体现其中,特别是其第4条第3款严格制约了应急性证据保全措施的空间。基于此,如果未来引入数据先行冻结制度,那么《国际刑事司法协助法》一则需要对该措施的域外效力予以明确确认,二则需要细化证据保全目的下跨境冻结措施的适用条件和程序。
从国际法依据来看,鉴于跨境数据取证本身的涉外性质,其对应的具体侦查措施的顺利运行不仅依赖于国内法的授权,还在于双边、多边国际条约等提供的国际合作和协助基础。2021年联合国“拟定一项关于打击为犯罪目的使用信息和通信技术行为的全面国际公约”特委会第三次会议发布了《公约(草案)》前三章内容,其中特别规定了数据的快速存留制度(expedited preservation),目的即在于及时保全目标数据。中国作为《公约》的积极推动国,有必要在现阶段建立起相应的对接机制,保障未来跨境取证国际合作的顺利进行。
(二)数据先行冻结的参与主体
跨境取证中的数据先行冻结主要涉及到申请人与被申请人两方。就申请人而言,数据先行冻结作为一项侦查取证措施,主要指向的是侦查机关。根据当前《刑事诉讼法》及相关法律规定,电子数据冻结由县级以上公安机关负责人或者检察长批准,该规定应当同样延伸至数据的先行冻结。问题在于,在涉及跨境取证的领域,是否仅由侦查机关自行启动即可。对此,数据先行冻结的目的在于防止电子数据证据在取证过程中灭失或损毁,如果其启动需要经过类似于刑事司法协助机制这样的层层审批,则难以达到快速保全的目的;但如果过分简化,则又有可能因为与其他国家侦查门槛不相匹配而形成实际执行中的障碍。
从世界范围内已有探索来看,既存在要求司法机关监督和审批的做法,亦有国家像我国当前立法这样,将数据冻结的决定权完全交于侦查机关。就前者而言,一方面要求执行者与审批者相分离,例如网络犯罪《布达佩斯公约》要求有司法机关或其他独立主体的监督;另一方面考虑到该措施的弱主权干预性,该审批又较于直接取证门槛较低,例如根据欧盟《刑事电子证据条例(草案)》,针对内容信息的调取必须经法官批准,但此类数据的先行保全可由法官或检察官批准。我国当前《国际刑事司法协助法》设置了较高的程序要求,与电子数据冻结规则之间的差异较大,从提升先行冻结措施效率但同时尊重他国主权的角度出发,并考虑到未来与其他国家或区域立法的衔接,一方面可以考虑提升侦查机关内部的审批级别,例如提升至市一级,另一方面宜在当前决定主体之外增加同级检察机关的审批。
另一个与取证主体相关的问题是,其能否日后将收集的数据转移给其他国家。原则上,数据冻结的申请主体与未来数据取证的主体应当相同,即冻结措施是服务于该侦查机关后续的侦查取证活动。除非后续取证需要第三国协助或涉及第三国利益,否则原则上不应当允许数据先行冻结措施服务于第三国的取证活动。这一方面符合数据先行冻结的功能定位,另一方面也避免第三国绕开国际协议或公约条件获取他国数据。对此,美国和英国于2019年依据《云法》签订的跨境数据取证协议原则上禁止非经数据提供国同意向第三国转移数据。
就冻结措施的被申请人而言,先行冻结措施的目的在于对存在损毁、灭失风险的数据进行快速保全,因此该措施应当直接指向控制或占有目标数据的主体,这是先行冻结措施与直接取证措施特别是传统刑事司法协助机制之间的重要区别。基于此,包括欧盟《刑事电子证据条例(草案)》和美国《云法》为代表的跨境数据取证探索均将重心放置在网络信息业者之上,以其为主要的跨境数据取证相对人。我国当前法律规定的表述与网络犯罪《布达佩斯公约》更为类似,例如《电子数据规定》将冻结措施相对人规定为“电子数据持有人、网络服务提供者或者有关部门”(第12条)。
需要进一步考察的是,在跨境数据取证领域,数据先行冻结是否可以指向任何数据占有者或控制者,而无需要求最低限度的管辖权联系。基于尊重国家主权和国际礼让原则的考量,在向他国网络信息业者调取数据时,国际社会往往要求存在某种地域管辖上的联系。例如欧盟《刑事电子证据条例(草案)》针对的是在欧盟境内有法定代表机构或其他实体机构的网络信息业者;美国《云法》将跨境数据取证对象限定于本国或本国境内有代表机构的通讯服务提供者;即便是被认为采用了“全覆盖”模式(just-about-anything-is-covered)的比利时,在其代表性的雅虎案中仍然试图描绘出一定程度的地域联系,即将其取证对象定义为“任何积极向比利时用户开展经济活动的网络运营者或服务提供者”。考虑到我国《国际刑事司法协助法》较为严格的管辖权限制,未来数据先行冻结措施的相对人应在保证高效取证的同时,与我国具有最低限度的联系,即或者为我国机构,或者在我国境内设立代表机构或其他实体机构,或者向我国境内或公民提供网络信息服务。
(三)数据先行冻结的程序要素
从具体的先行冻结程序而言,主要涉及到三方面的核心事项:第一是先行冻结的条件;第二是先行冻结的期限;第三是先行冻结的申请内容。
首先,就跨境取证数据先行冻结的条件而言,从其证据保全属性出发,核心在于审查三方面事项:其一是是否为具体犯罪案件侦查取证之目的;其二是目标数据是否存在损毁、灭失之现实且紧急的风险;其三是是否计划实施后续的侦查取证措施。其中,为侦查取证之目的是跨境数据先行冻结的正当性基础,这一方面意味着依该措施所冻结的数据不应用于其他执法事项,如欧盟《刑事电子证据条例(草案)》明确排除犯罪预防目的,美国《云法》则进一步将适用范围限于严重犯罪;另一方面,限定于具体犯罪侦查也意味着需对冻结数据划定必要范围,被冻结之数据需要能够用于证明案件事实,而制度设计的关键在于禁止不加区分的大规模数据冻结。
需要进一步探讨的问题是,国际刑事司法协助中的“双重犯罪原则”是否适用于数据先行冻结。联合国2013年发布的《网络犯罪综合研究报告(草案)》中指出,当前各国对于网络犯罪的定义、犯罪构成要件的评价、具体罪名的设定、入罪门槛等方面均存在较大差异,使得“双重犯罪”本身难以准确评判。以双重犯罪原则为跨境取证的条件,无疑会加重数字侦查的负担,降低取证效能。对此,欧盟与日本在2010年签订的《刑事司法协助协议》中就不再将双重犯罪列为拒绝协助的正当事由;类似地,网络犯罪《布达佩斯公约》也明确表示司法协助中的数据保全申请原则上不需要满足双重犯罪要求(第29条);欧洲逮捕令(European Arrest Warrant)制度针对32类可能判处3年以上监禁刑犯罪中的跨境逮捕活动取消了双重犯罪要求。而我国《国际刑事司法协助法》第14条则对所有协助情形均概括适用双重犯罪原则,其规定方式显得过于宽泛。考虑到数据先行冻结本身的弱主权干预性,笔者认为,对于跨境数据取证特别是先行冻结措施而言,仅需要求取证针对的是在请求国或地区构成犯罪的行为即可。
数据先行冻结程序的第二项要素是冻结期限。先行冻结措施的证据保全功能意味着需要尽可能提升冻结效率,缩短冻结的程序响应时间。由此出发,相对于其他侦查取证措施,先行冻结措施至少需考量两方面的期限设计。第一是响应期限,即相对于其他跨境取证措施,数据先行冻结应尽可能缩短被申请人的响应时间,在申请满足形式要件的情况下立即予以执行。对此,欧盟《刑事电子证据条例(草案)》中由于同时涉及了取证令和保全令,对比较为明显。其中就取证令而言,《条例(草案)》设置了10日的响应时间,而保全令则要求接到申请后立即执行。
我国当前《刑事诉讼法》和《国际刑事司法协助法》均没有此类规定,一个重要原因在于其涉外取证的制度设计思路仍然限定于传统刑事司法协助机制,从尊重他国主权的角度而言不宜设置期限。但是考虑到跨境数据取证逐渐成为犯罪侦查常见场景的发展趋势,未来程序性规则不可避免地需要向进一步规范化、明确化的方向改进。
期限设计的第二个方面关涉到冻结的具体时长。尽管数据先行冻结措施具有一系列制度优势,但终归会或多或少干预到他国主权及个人信息保护等公民权益,同时冻结本身也会加重被申请人的数据保全成本,因此先行冻结应当具有明确的期限,在保障后续取证活动和保护其他相关权益之间进行平衡。对此,目前主要存在两种期间设置方式,一种是设置统一的冻结期间和延长机制,例如网络犯罪《布达佩斯公约》要求国内法设置最多90日的保全期限;另一种是以侦查机关启动后续取证措施为界,将冻结期间划分为两阶段,前一阶段有明确时长,功能在于督促侦查机关尽快启动后续取证措施,后一阶段则无明确限制,由侦查机关依取证需求加以确定。欧盟刑事电子证据条例(草案)》即采用后一种模式,将前一阶段限定为不超过60日。
相较而言,后一种方式在程序设计上更为复杂,涉及两阶段的衔接,以及由此产生的侦查机关就后续取证措施与数据控制者持续沟通的义务。我国《电子取证规则》将单次冻结期限规定为6个月,并且可多次延长。从证据保全的角度看,这种统一规定有助于减少程序障碍,并降低数据因取证程序延误而损毁的风险。但这也意味着侦查机关解除冻结的义务强化。结合数据先行冻结的性质和功能,侦查机关应在以下三种情形解除冻结:第一是目标数据已收集完毕;第二是目标数据损毁、灭失风险已消失;第三是即便采取冻结措施,亦无法避免目标数据损毁、灭失。
数据先行冻结的第三项程序要素涉及到申请的内容,即侦查机关在需要进行跨境数据取证的情况下,应当向被申请人提供哪些信息。根据《电子数据规定》,电子数据的冻结需要侦查人员出具《协助冻结电子数据通知书》,一般包含下列内容:(一)程序法依据;(二)侦查相对人信息;(三)目标电子数据相关信息;(四)冻结范围;(五)冻结具体期限。原则上,国内电子数据冻结规定作为跨境数据先行冻结的适用前提,相关文书内容也应当适用于后者。但是,跨境取证中申请人与被申请人之间存在较大的信息不对称,从提高取证效率的角度考量,并避免对他国主权或公民权益造成不当侵犯,就需要申请人在申请过程中提供更多的信息。
从数据先行冻结的保全功能出发,并通过参考网络犯罪《布达佩斯公约》和欧盟《刑事电子证据条例(草案)》等文件,申请令状应至少补充下列事项:第一是申请人国内实体法依据,主要用于判断该冻结措施是否为特定犯罪侦查之目的;第二是国际法依据,即该冻结令状所依据的国际协议或公约,以此降低可能发生的主权冲突;第三是目标数据用于证明的案件事实,即体现出该措施之必要性;第四是申请人计划或已采取的后续取证措施,如已启动国际刑事司法协助程序;第五是申请人身份、联系方式和验证方式,旨在确认该冻结令系由有权机关作出。
(四)数据先行冻结的权益保障
作为一项侦查取证措施,跨境数据先行冻结不可避免地具有一定的强制性,可能干预到相对人或第三方主体的合法权益。因此,数据先行冻结措施的完整性需要建立对应的权益保障机制,其中主要关注以下两类主体:其一是协助数据先行冻结的网络信息业者;其二是个人信息主体。
对于网络信息业者而言,其权益可能因数据先行冻结而面临两方面的减损:一方面是由于法律规定差异而形成的合规冲突;另一方面是基于冻结执行而形成的成本。
就合规冲突而言,其权益保障机制的核心在于为网络信息业者提供必要的申诉途径。在数据所在地与网络信息业者所在地相同的情形下,这一冲突基于国际协议或公约的存在较为容易化解;主要的冲突存在于二者分离的场景下,网络信息业者执行该冻结令可能导致违反数据所在国的相关法律规定。此时,应允许网络信息业者在特定期限内就该事项向申请人提出申诉,该期限应尽可能短以避免目标数据损毁、灭失。同时,在针对网络信息业者不予配合采取惩罚措施时,有必要将其遵守他国法律及违反该国法律可能面临的法律责任纳入考量因素之中。同时,在出现数据与数据控制者所在地相分离的情形时,申请人亦应及时将该取证措施通知第三国有关机关。
就冻结执行成本而言,为确保目标数据能够用于后续诉讼程序并最终作为证据证明案件材料,网络信息业者需要采取符合特定技术和法律要求的措施以防止电子数据增加、删除或修改,但由此会产生相应的执行成本,既表现为存储数据所需占用的数据存储资源,同时也表现为数据安全、网络安全措施的额外成本,此外还涉及到冻结数据本身可能对其正常经营服务业务的影响。世界主要网络服务提供者每年收到大量执法机关调取数据的请求,并且需要对各份请求进行个案判断以确定配合方式和执行程度,这种接受、评估、处理、回应本身就会形成企业负担。对于中小型网络信息业者而言,这种协助执法所造成的成本将更为沉重。
对此,一个普遍的处理方式是对冻结执行成本设置必要的经济补偿机制。早在2012年,国际商会(International Chamber of Commerce)针对传统司法协助协议机制提出的十条改革建议中就涉及到“明确规定费用分配和报销程序”;欧盟《刑事电子证据条例(草案)》也专门规定了网络信息业者可申请费用报销。同时,针对中小型网络信息业者而言,也有必要对其设置较低的协助执法义务,例如网络犯罪《〈布达佩斯公约〉第二附加议定书(草案)》对外征求意见时,欧洲网络服务提供者协会、奥地利网络服务者协会等组织均提出应当对中小型网络服务提供者设置协助义务的例外或予以限缩。
从我国《刑事诉讼法》相关规定来看,报销或补贴制度的适用范围极其有限,主要针对的是证人因履行作证义务而产生的费用(第65条)。《公安机关办理刑事案件程序规定》就刑事司法协助或警务合作中的费用进行了原则性规定(第383条),从广义上理解,应当涵盖刑事司法协助或警务合作的各种措施类型,因此如果设置数据先行冻结,网络信息业者因协助冻结而产生的费用,原则上也应当可以以该条文为基础申请报销或补偿。
第二类可能受到数据先行冻结措施影响的主体是作为数据主体的公民,特别是在涉及个人信息的情况下,其冻结会直接干预到信息主体的相关权益。从个人信息保护的角度而言,冻结措施可能直接与信息主体的信息自决权形成冲突,主要体现为对其知情权和删除、变更权的限制。
就信息主体的知情权而言,保障侦查活动顺利进行的保密原则本身即可以在先行冻结执行期间正当限制知情权,我国《个人信息保护法》第18条第1款之目的即在于为此类限制提供法律依据。同时考虑到先行冻结的保全功能,如果要求对信息主体进行事前告知,则有可能降低程序效率进而损及保全目的。例如欧盟《刑事电子证据条例(草案)》概括性地免除了数据保全令中的告知义务。问题在于,在先行冻结终结之后,是否应对信息主体进行事后告知。基于冻结措施本身的弱权利干预性,同时考虑到后续取证措施可能附随的告知义务,对于数据先行冻结措施而言实无事后告知信息主体之必要。
除知情权外,数据先行冻结也有可能干预到信息主体的删除、变更权。冻结的核心即在于避免目标数据被删除、变更,这不仅涉及到避免网络信息业者自身或第三方主体删除、变更该数据,同时也意味着阻却信息主体正当行使其信息权利。在有明确法律依据且符合比例原则的前提下,这种对数据删除、变更权的限制有其正当性。关键在于这种限制应当以何种方式进行。一种方式是在信息主体行使相关权利时直接向该主体显示其没有相关权限,另一种则是允许信息主体行使其权利,但同时保存和冻结数据备份。前者的弊端在于可能暴露侦查活动从而形成妨碍侦查顺利进行的风险;后者的弊端在于加重网络信息业者等数据控制者的协助执法负担,同时在数据备份过程中也可能产生损毁、篡改之风险。因此对于少量数据可以采取后一种做法,但大容量数据的冻结则不可避免地需要借助前一种方式。