查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《比较法研究》
犯罪侦查中网络服务提供商的信息披露义务
【副标题】 以比例原则为指导
【英文标题】 Internet Service Provider’s Obligation of Disclosing Clients’Data during Criminal Investigation:From the Perspective of the Principle of Proportionality
【作者】 裴炜
【作者单位】 北京航空航天大学法学院{副教授,法学博士}
【分类】 刑事侦察学
【中文关键词】 犯罪侦查;比例原则;网络服务提供商;信息存留;信息披露
【英文关键词】 criminal investigation;principle of proportionality;ISPs;data retention;information disclosure
【期刊年份】 2016年【期号】 4
【页码】 92
【摘要】 互联网与云计算的发展使网络服务提供商掌握了大量客户个人信息,这些信息通常在网络犯罪侦查过程中成为证据或重大线索。要在保障个人隐私与促进网络犯罪侦查之间寻求平衡,立法在设置侦查过程中网络服务提供商信息披露义务时需要借助比例原则,对侦查手段的必要性、合目的性及对隐私权的侵害最小化进行审查。通过参考《网络犯罪公约》成员国近年来的立法与司法实践,可以看出比例原则的运用体现在实体和程序两个层面,实体上需要以隐私权受侵害程度为标准,对信息披露义务涉及的数据进行分类;程序上则需要以数据分类为基础,在数据存留和披露两个层面对个人权益设置相应的程序性保障。
【英文摘要】 The development of Internet and cloud computing enables Internet service providers (ISPs) to retain huge amount of clients’private information,which are of great importance as evidence or clues during criminal investigation. To balance the protection of privacy of individuals on the one hand and the facilitation of crime control during investigation on the other, the legislator needs to follow the principle of proportionality to construct the legal regime concerning the ISPs’duties. Under the guidance of this principle,the necessity and properness of the investigative measures shall be assessed and the damage to privacy is expected to be minimized. Through examining the legislative and judicial experience of the member States of the Convention of Cyber crime,one can observe two dimensions of the principle of proportionality. From the substantive dimension,information disclosed by ISPs should be categorized according to their tension with individual’s privacy. Based on this categorization, procedural rules on regulating investigative power,either during data retention or disclosure,should be constructed correspondingly,which is the procedural dimension.
【全文】法宝引证码CLI.A.1219461    
  一、问题的提出
  2016年年初,一则浙江省高级人民法院与阿里巴巴数据平台合作,联手打造“智慧法院”的消息引起了广泛关注。通过该项合作,法院可以掌握案件当事人的身份信息、联系信息、消费数据、金融数据等,以便于文书送达、资产冻结、划扣等。[1]该项措施的出台与最高人民法院提出的“加快建成人民法院信息化3.0版”相契合,[2]但是如此大规模的私人信息共享也引发了人们对于信息滥用或信息安全的担忧,而核心问题就在于:司法机关在哪些条件下、何种程度上可以要求网络服务提供商披露客户的私人信息。
  之所以会产生这样的疑虑,与当前互联网发展状况紧密相关。云计算技术的发展和广泛应用,使得传统的信息形成、存储、传播、交流等模式产生了巨变,其中一个突出特征是网络服务提供商在以上活动中扮演着中枢神经的角色。电子邮件、即时通讯、网盘资料上传下载、电商及网络银行的资金划转等网络服务中,每一条信息的变动必然要经过网络服务平台,从而使得当事人不再垄断对私人信息的控制。个人能够接受这样一种弱化的信息控制,允许信息交流双方以外的第三方的介入,是基于网络服务商对于所涉信息的保密义务,非在特定情形下经专门程序不得对外泄露。
  网络服务商的信息保密义务在我国相关立法中也有所体现。在宪法层面,《中华人民共和国宪法》43条明确规定公民的通信自由和通信秘密受法律保护。在部门法层面,《中华人民共和国刑法修正案九》再次加大公民个人信息保护的力度,修改了“侵犯公民个人信息罪”(第253条之一),并增加“拒不履行信息网络安全管理义务罪”(第286条之一)。根据2015年《中华人民共和国网络安全法(草案)》(下文简称《国家网络安全法(草案)》),网络经营者对其收集的公民个人信息“必须严格保密,不得泄露、篡改、毁损,不得出售或非法向他人提供”(第36条)。除此之外,还有其他相关政策或规定专门涉及网络中的个人信息保护,例如,2000年《互联网电子公告服务管理规定》12条规定“电子公告服务提供者应当对上网用户的个人信息保密,未经上网用户同意不得向他人泄露,但法律另有规定的除外”;2010年《网络商品交易及有关服务行为管理暂行办法》16条规定“网络商品经营者和网络服务经营者对收集的消费者信息,负有安全保管、合理使用、限期持有和妥善销毁义务”,第25条规定“提供网络交易平台服务的经营者应当采取必要措施保护涉及经营者商业秘密或者消费者个人信息的数据资料信息的安全。非经交易当事人同意,不得向任何第三方披露、转让、出租或者出售交易当事人名单、交易记录等涉及经营者商业秘密或者消费者个人信息的数据。但是法律、法规另有规定的除外”;2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》(下文简称《加强网络信息保护的决定》)3条明确规定“网络服务提供者……在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供”。从行业自治的角度,互联网协会自成立以来,通过发布行业自律规范(例如,2002年《中国互联网行业自律公约》、2004年《互联网公共电子邮件服务规范(施行)》、2007年《博客服务自律公约》、2011年《互联网终端软件服务行业自律公约》、2013年《互联网搜索引擎服务自律公约》等),逐步在各个网络服务领域建立起对用户个人信息安全与隐私权保护的基本要求。
  然而,在网络案件中,公民个人信息对于提高司法效率或形成完整证据链条具有重要意义,这一点在网络犯罪中尤为明显。在某些特殊情况下,出于寻求案件真相进而保护公共利益的需求,往往需要服务商向侦查人员披露客户身份或通讯内容的相关信息。就侦查取证而言,我国现行《刑事诉讼法》52条在原则上规定了司法机关享有向有关单位、个人手机调取证据的权力,并规定了相对人“如实提供证据”的义务。具体到网络犯罪领域,《国家网络安全法(草案)》第23条明确规定“为国家安全和侦查犯罪的需要,侦查机关依照法律规定,可以要求网络运营者提供必要的支持与协助”。在这种情况下,服务商一方面负有保护客户电子信息的义务,另一方面负有协助司法机关查明案件事实的义务,两种义务之间难以避免地存在着紧张关系。
  接下来的一个问题是,在网络案件调查审判过程中,如何平衡保护公民隐私权与发现案件事实真相、节约司法资源这几种价值。在微观层面上,这种平衡则涉及到向谁提供信息、提供哪些信息、如何提供信息、如何使用信息等诸多程序性细节。从宪法和法治的宏观角度出发,国家对于公民权利的任何限制措施都应当遵循比例原则,这一原则同样适用于服务商的信息披露义务。基于此,本文从网络犯罪这一公权力与私权利关系最为紧张的领域人手,以比较法为基本研究方法,主要通过借鉴《网络犯罪公约》成员国[3]相关立法与司法实践经验,为完善我国当前网络犯罪侦查中服务商信息披露义务相关法律制度抛砖引玉。
  二、刑事侦查中的比例原则
  在现代国家治理语境下,公权力与私权利的平衡是核心课题。在刑事司法领域,国家刑罚权的行使具有高度强制性,而所涉私权又往往是生命权、自由权等基本人权,因此保持前者的谦抑性以保障后者的实现就成为程序设计的基本出发点。比例原则正是在这一语境下发挥作用。衡量一项国家行为是否符合比例原则,不仅要检验手段与目的之间的匹配度,同时还要对该行为所针对的公民权利的性质进行分析。[4]在刑事司法领域,从侦查到起诉再到审判,犯罪嫌疑人在每个环节都有可能面临个人权利受限的情形,需要通过比例原则确认相关限制措施的必要性并为之划定界限,从而将基本权利所受侵害最小化。[5]
  这一原则包含两层含义。首先,该项措施必须具有适当性。进一步细分,该层含义又包含两项要求:第一项要求是目的的正当性,尽管存在争议,但判断目的正当性的一个重要指标是该目的是否为法律所许可;第二项要求是手段的合理性,即通过该项措施在逻辑上可以实现相关目的。其次,对公民权利的限制或侵犯必须具有必要性。换言之,如果存在其他不侵犯基本权利或侵犯性较小的替代性措施,则应使用替代性措施。例如,如果可以通过保释方式保全犯罪嫌疑人,逮捕则无必要。
  这里需要进一步探讨的问题是,高昂的司法运行成本能否成为必要性的构成要件。以集团犯罪为例,多项研究已经证明,相对于侦查人员自行搜集证据,使用污点证人的侦查成本更低。这种成本上的差异使得侦查人员与犯罪嫌疑人之间的协助协议(assistance agreement)在许多司法领域中得以应用。但是由于这种协议在某种程度上会侵犯犯罪嫌疑人不被强迫自证其罪的权利,同时考虑到虚假陈述的风险,各国一般将这种侦查手段列为最后使用的方式。[6]
  从这个角度讲,一项措施是否符合比例原则,是基于综合判断得出的结论,它不仅要对所涉权利的性质、该项措施的性质进行评价,还需要考量权利保护以外的其他价值,例如司法效率等。一般认为,所涉权利越根本,则其他考量因素的影响力就越弱。[7]
  那么,如何在具体措施与所涉权利之间建立起比例关系呢?Andrew von Hirsch和Andrew Ash-worth在讨论量刑中的比例原则时,将该原则划分为两种类型:基于层级的比例原则(ordinal propor-tionality)和基于性质的比例原则(cardinal proportionality)。前者是指对不同类型的犯罪依其严重程度划分等级,并依此确定相应刑罚之轻重;后者是指针对某一类型犯罪,刑罚之轻重应当与具体犯罪行为之轻重成比例。[8]
  我们可以借用这一理论来分析侦查程序中的比例原则。一方面,不同的权利类型之间存在着某种程度的层级差异,[9]例如生命权往往被认为高于隐私权,基于此,法律对于所涉措施的制约程度亦应更为严格,这可以称之为基于权利层级的比例原则。另一方面,就同一类型的权利而言,其受侵害程度亦可有所区别,而立法上应当有所区分,此为基于权利性质的比例原则。
  就第三方信息披露义务而言,由于其主要涉及的是隐私权问题,因此本文关注的重点是基于权利性质的比例原则。但是这里仍有必要对第一种类型稍加分析,即隐私权作为一个类权利,在整体上对于侦查措施的阻却程度问题。就我国当前立法规范来看,《刑事诉讼法》52条仅从原则上规定了有关单位和个人的证据提供义务,上文提及的相关规定亦只规定了服务商的协助义务。从这个角度讲,我国当前的刑事立法与政策尚未直接涉及到这一命题。
  从国际层面来看,司法实践中曾出现争议,其中比较典型的一个案例是2008年欧洲人权法院的K. U. v. Finland一案。[10]该案中,加害人在未告知年仅12岁的受害人的情况下,在某网站上虚构了该受害人的性交易广告。当时芬兰相关立法对服务商设定了保密条款,该条款虽在新法法案中予以修改,但案发时该法案尚未生效。据此,涉案服务商拒绝向侦查人员提供加害人的相关注册信息。受害人在穷尽本国救济手段后,将案件提交给欧洲人权法院。法院认为芬兰相关立法违反了《欧洲人权公约》第8条对私人和家庭生活、家庭和通讯权利的保护,并认为仅仅追究服务商的民事和刑事责任并不足以遏制相关犯罪行为并保护受害人。本案判决中指出,当前世界各国一般认为服务商基于隐私权保护所产生的保密义务不足以阻却侦查机关获取相关信息的要求。
  在立法层面上对服务商施加信息披露义务,其本质是对刑事侦查手段的扩展和延伸。目前在我国刑事司法领域,具体程序设计仍显苍白。从以上比例原则的相关论述出发,要想在公民隐私权与司法机关侦查权之间寻求符合程序正义要求的平衡点,需要从实体和程序两个层面进行考量。在实体层面,需要对服务商信息披露义务所指向的对象的性质进行分析。从程序的角度来看,服务商披露信息可能存在两种状态,一种是服务商对其已经控制的静态数据进行披露,另一种则是通过固定或追踪动态数据从而进行披露。对于动态信息披露可能分为两个阶段,第一是数据的存留阶段,第二是信息披露阶段。第一阶段又可细分为三种类型:基于营业或提供服务需要进行的存留、基于自愿协议进行的存留,以及基于法律规定或指令的强制存留。前两种类型由于其任意性与短期性的特征,往往难以满足案件侦破等特定需要,而强制存留正是基于此产生,在特定情况下成为服务商信息披露义务的附加义务。鉴于此,下文分别从实体层面和程序层面的两个阶段这三个角度,结合国际现有制度体系,来分析比例原则下的服务商信息披露义务。
  三、信息的类型化
  要想划定服务商的义务范围,首先需要明确网络犯罪侦查通常需要其提供哪些信息。网络犯罪公约委员会(Cybercrime Convention Committee) 2015年5月的调查报告对成员国相关立法进行了调查,网络犯罪侦查过程中所需信息可以概括为三种类型:注册人信息(subscriber information)、交互信息(traffic data)以及内容信息(content data)。[11]
  所谓“注册人信息”,一般是指单位或个人在获取网络服务时向服务商提交的,或者在使用服务过程中显示的与个人身份相关的信息。《网络犯罪公约》第18条第三款将注册人信息划分为以下三种类型:(1)服务类型、技术条款以及服务期限;(2)根据服务协议获取的注册人身份、邮寄地址或居住地址、电话或其他号码、账单或支付信息;(3)其他根据服务协议获取的有关服务设备的信息。如下表所示,不同国家或地区针对这一类型信息的规定有所区别:
  各国网络犯罪侦查所需注册人信息类型

┌─────┬─────┬──┬────┬─────┬────┬──┬────┐
  │国家/地区│姓名/身份│地址│电话号码│账单/支付│服务协议│电邮│交互设备│
  ├─────┼─────┼──┼────┼─────┼────┼──┼────┤
  │澳大利亚 │√    │√ │√   │     │√   │  │    │
  ├─────┼─────┼──┼────┼─────┼────┼──┼────┤
  │法国   │√    │√ │√   │√    │√   │√ │    │
  ├─────┼─────┼──┼────┼─────┼────┼──┼────┤
  │德国   │√    │  │√   │     │√   │  │    │
  ├─────┼─────┼──┼────┼─────┼────┼──┼────┤
  │挪威   │     │  │√   │     │√   │√ │    │
  ├─────┼─────┼──┼────┼─────┼────┼──┼────┤
  │葡萄牙  │√    │√ │√   │√    │√   │  │√   │
  ├─────┼─────┼──┼────┼─────┼────┼──┼────┤
  │西班牙  │√    │√ │    │√    │√   │  │√   │
  ├─────┼─────┼──┼────┼─────┼────┼──┼────┤
  │美国   │√    │√ │√   │√    │    │√ │√   │
  ├─────┼─────┼──┼────┼─────┼────┼──┼────┤
  │芬兰   │     │√ │    │     │√   │  │√   │
  ├─────┼─────┼──┼────┼─────┼────┼──┼────┤
  │日本   │√    │√ │√   │     │√   │  │√   │
  └─────┴─────┴──┴────┴─────┴────┴──┴────┘

  说明:数据来源于网络犯罪公约委员会2014年调查报告《Rules on Obtaining Subscriber Information》。[12]
  第二类信息是“交互信息”,它是指“基于计算机系统进行交流产生的,任何用以表明该交流的起始位置、路径、时间、日期、体量、时长或类型的数据”,[13]其功能主要在于识别计算机系统的实际位置,并由此确定相应用户身份。根据欧盟2006年出台的《数据存留指令》第5条,交互信息主要包括六种类型:(1)交互信息的来源方;(2)交互信息的接收方;(3)交互活动的日期、时间及时长;(4)交互活动的类型;(5)交互工具;(6)移动交互工具所在地。[14]
  第三类信息是“内容信息”。根据《网络犯罪公约解释报告》(Explanatory Report of the BudapestConvention)第209条之说明,“内容信息”是指某项沟通交流行为所传递的实质内容。[15]然而就什么是“实质内容”而言,仍存在争议。以电子邮件为例,其主题属于内容信息还是交互信息,在性质上并不明确,而其对邮件内容的揭示程度可能不亚于邮件的主体部分。
  内容信息可以被划分为两种类型。一种是已经储存于服务商设备中的信息(存储内容信息),这类信息通常有确定的保存期限,服务商有义务定期予以清理。另一种是未来可能发生的交流信息(监听内容信息),对于此类信息的采集,则需要侦查人员依照法定程序对信息进行监听或截留。再进一步细分,监听内容信息又可以划分为两大类,一类是针对专门对象或事项的监听(specific intercep-tion ),另一类是没有专门对象或事项的监听(non-specific interception,或者又称bulk interception)
  这里需要就两个问题作进一步的说明。首先,就分类方法而言,“三分法”是网络犯罪委员会基于多国立法与司法实践得出的概括性的分类方法,并非唯一或标准化的分类方法。例如英国相关立法主要采用的是两分法,依据信息涉及交流背景或内容区分为交流信息(communication data)[或非内容信息(non-content data)]与内容信息(content data),前者大致涵盖三分法中的“注册人信息”和“交互信息”。[16]澳大利亚和法国等也采类似模式。[17]其次是特殊数据的分类问题。这里主要涉及到IP地址,并进一步包含两个问题,其一是IP地址是否属于个人信息,其次是如果属于,则应归入哪一类信息。就第一个问题而言,根据1981年《互联网协议DARPA互联网程序协议规范》(Internet Protocol-DARPA Internet Program Protocol Specification),[18]IP地址的功能在于“披露姓名、发现地址以及揭示路径”。[19]基于此,各国立法一般将IP地址视为个人信息加以保护。[20]对于第二个问题,核心在于IP地址属于注册人信息还是交互信息。区分标准在于确定获取该IP地址的目的,即用于确定特定人员身份还是获取与信息交流背景、方式、时间等附属信息。
  结合两分法和三分法的信息类型,以及内容信息的两种情形,服务商披露信息对隐私权的影响如下图所示:
  之所以对网络犯罪侦查所需信息进行如上分类,是因为披露不同类型的信息,对隐私权的侵犯程度有所不同,进而基于比例原则,立法对相应侦查措施的限制程度亦应有所区别。无论采用三分法还是两分法,都建立在一个假设之上,即相对于内容信息,非内容信息或由当事人主动提供(注册人信息),或处于半公开状态(交互信息),因此一般人对于此类信息的“隐私权合理期待”较低。相反地,一般认为内容信息直接触及私人通信自由与通信秘密的核心。对这一假设体现得较为充分的是美国的“第三方条款”( third-party doctrine),即在当事人明知的情况下将信息透露给第三方时,宪法第四修正案针对搜查和扣押设置的限制不再适用。基于此,美国相关立法形成了上文提及的针对内容信息

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
本篇【法宝引证码CLI.A.1219461      关注法宝动态:  

法宝联想
【共引文献】
【相似文献】
【作者其他文献】
【引用法规】