中国刑事诉讼法学研究会是团结全国刑事诉讼法学工作者和法律工作者的全国性法学学术团体,其前身是成立于1984年的中国法学会诉讼法学研究会(2006年,诉讼法学研究会分立为刑事诉讼法学研究会和民事诉讼法学研究会)。2013年12月,中国刑事诉讼法学研究会完成民政部社团法人登记手续,...
裴炜:刑事数字合规困境:类型化及成因探析


【作者简介】裴炜,北京航空航天大学法学院教授、博士生导师。

【文章来源】载《东方法学》2022年第2期。

一、引言

近年来,伴随着社会网络化、数字化程度不断加深,相关领域立法也在快速跟进。一方面,以网络安全法、数据安全法、个人信息保护法等为代表的数字法治体系逐步成型另一方面,传统部门法也在不断进行积极调整和适应数字法治的快速建设尽管在宏观层面有助于提升数字社会治理整体水平,但在微观运行层面却产生了一系列具体适用上的现实问题首先,数字法治理论统筹的缺失使得现有规则在多重价值均衡上存在缺陷;其次,早先各个部门法的立法探索在先后顺序与规制重点上存在差异,导致彼此之间存在规则冲突;最后,网络空间的弱地域性使得国内规则的效力普遍呈现出域外溢出的效应,进而导致国内法与外国法的规则冲突。

上述问题在网络信息业者身上体现得尤为明显网络空间治理的一大特征是多主体协同,其中网络信息业者已经成为参与治理活动、维护网络空间安全与秩序的重要主体但是现有规则体系在不断从多个维度强化其治理义务的同时,并未就其可能形成的价值和义务冲突予以足够关注这一问题随着企业数字合规要求的强化而进一步凸显,即法律在要求企业建立数字合规机制、开展数字合规工作的前提是合规的可能性,而上述冲突使得企业事实上陷入一种左右为难、进退维谷的合规困境。特别是在刑事司法领域,网络信息业者所承担的协助犯罪治理义务往往具有较强的刚性,其与数字法治体系下新设义务之间的冲突更加激烈。

观察当前关于刑事合规的相关研究,我们可以看到其重心主要在于实体法层面,即通过企业建立内部合规计划来事前化解其可能遭受的刑罚风险;刑事程序法在这一过程中承担的多是激励机制的工具性功能。但是,在数字合规的语境中,刑事程序法在与数字法治衔接不当的情况下,亦可能在反面形成企业三方面的数字合规困境:第一,国内法之间不同法律义务相冲突所引发的合规困境,集中体现在刑事诉讼协助义务优先性不明、企业内部审查机制免责效力缺失等方面;第二,域内法与域外法相冲突所引发的合规困境,集中体现在各国延伸网络空间刑事跨境数字侦查取证中的规则冲突;第三,刑事诉讼协助义务与商业利益相冲突所引发的合规困境,集中体现在协助执法义务与经济成本、网络与数据安全以及以算法模型为代表的商业秘密保护之间的矛盾。上述合规困境无法通过企业自身设置合规机制予以解决,而是依赖立法层面的协调,后者是建立企业数字合规法律体系的前提和基础。

本文正是由此出发,基于企业特别是网络信息业者在刑事诉讼中所承担的典型协助义务,观察这些义务与新型网络信息法律义务之间的数字合规冲突并进行类型化,分析其背后的成因,进而探索化解合规困境的立法思路。本文首先集中探讨刑事数字合规困境的概念,特别是将其与合规风险相区分;继而分别探讨三种类型的刑事数字合规困境并分析其成因;在结论部分提出三种合规困境化解的认知基础与破题思路。需要说明的是,本文采用数字合规而非数据合规的表述:一则在于困境牵涉的是数字法治的多项制度,并不局限于数据规则;二则在于企业所承担的刑事诉讼义务不仅指向数据,同时也指向数字技术的运用;三则在于困境不仅可能减损个人信息保护与数据安全等数据权益,还可能损及网络安全、算法安全、商业秘密、企业财产权等;四则在于化解合规困境不仅仅在于提升数据治理能力,更在于综合统筹数字法治的顶层设计与整体架构,进而实现数字正义。

二、刑事合规:风险与困境的界分

从我国当前的理论研究与司法实践来看,“合规”主要是指企业通过内部合规计划对国家法律法规、商业管理、公司内部规章制度以及国际组织条约等的遵守。而“合规”与“刑事”的联结主要体现在两个方面:一是在实体法层面针对的是企业涉嫌犯罪并遭受刑罚处罚的风险,这与企业一般违法并遭受行政处罚的法律风险相区别;二是在程序法层面利用具体刑事诉讼制度引导、激励企业建立和执行合规计划。上述两个方面实则并非同一维度的探讨。实体法层面的“刑事合规”秉持的是结果论,是从合规与否的结果或者效果的角度切入,而诸如企业替代责任等问题的探讨也主要从这一层面展开;但就企业合规计划具体所“合”之“规”而言,则主要针对的并非刑事实体法律规定而是其前置法律规定,更普遍的情形是通过遵守相关行政监管法律规定来避免刑事答责或减免刑罚。也正是在这个意义上,有学者提出“我国应倡导的是‘行政合规’,而不是‘刑事合规’”。与之相区别,程序法层面的“刑事合规”主要从工具论角度出发,一方面作为实体法工具,实现规避刑罚风险或减免刑罚的实际效果;另一方面作为合规工具,通过诸如暂缓起诉等具体制度设计来协助、监督企业尽快建立、修改或落实合规计划。

上述实体法与程序法不同维度的关注视角实际上造成了相关研究的一个视觉盲点,即忽略了刑事程序法本身也是企业一项重要的法律义务来源,违反相关义务亦可能引发多重法律责任。事实上,如果从所合之“规”的法律性质来界定合规制度,那么遵守刑事诉讼法律规定、承担刑事诉讼法律义务应当属于典型意义上的“刑事合规”。

当前相关研究之所以并未关注刑事程序法作为合规对象这一视角,其在深层上反映出程序法长期以来的边缘地位,同时,也与传统刑事诉讼法律义务的四个主要特性相关。第一,刑事诉讼相关措施的高强制性使得义务主体不予遵守相应义务进而引发后续法律责任的情形相对较少,这一点在各类强制性侦查措施方面体现得尤为明显。第二,刑事诉讼法律义务的优先性使得其与其他法律义务发生冲突的情形也相对较少,典型体现在相关法律在进行权利保障时往往为刑事司法活动设置例外。第三,刑事诉讼程序的强主权属性使得其与域外法律规定的冲突相对较少,极少数需要协调的情形主要通过刑事司法协助机制予以解决,这也可以在一定程度上解释为什么刑事诉讼法只用一个条文规定该机制(第18条),并且该条文自1996年以来从未进行过任何修订。第四,刑事诉讼中的协助或配合义务多具有个案性,并且受到严格的正当程序和比例原则限制,其经济成本在规则设计中大多被忽略不计。

问题在于,在网络信息技术的冲击之下,上述特征已经开始发生变化。首先,一些传统刑事诉讼措施如特别侦查取证措施在与网络信息技术融合后,其强制性属性发生变化,如侦查机关向网络信息业者调取数据。其次,刑事诉讼义务对新建立的网络信息法律义务的优先性规定不明,这一点在个人信息保护领域尤为明显。再次,网络空间的弱地域性打破了传统刑事诉讼活动的本国壁垒,执法义务和协助执法义务的域外溢出效应日益明显,进而使得本国法与外国法的义务冲突激烈。最后,网络信息业者协助犯罪风险一般性防控和个案打击的义务不断强化和普遍化,使得其协助成本不仅加重并且多样化。

在此背景下,遵守和履行刑事诉讼法律义务可能导致企业违反其他法律规定或承受不当损失。换言之,区别于实体法视角,刑事程序法语境下“刑事合规”面临的现实且急迫的挑战并不在于因违法违规行为触发刑责的风险,而在于规则本身因缺位、错位等使得企业面临进退维谷的合规义务冲突,由此形成的合规困境可能产生多重消极后果,既可能妨碍刑事诉讼顺利进行,亦有可能损及数字治理中的其他价值。在不化解此类冲突的情况下强推执法层面的企业数字合规,不仅无助其建立有效的数字合规机制,反而可能使企业陷入生存困境,偏离合规制度建设的本意。从这个角度讲,在数字法治快速发展的当下,“刑事合规”这一概念不能仅从实体法的视角入手,将程序法单纯当作工具,更需要看到刑事诉讼规则本身作为企业合规内容的维度,在化解合规困境的基础上,再推进具体数字合规机制的建设。

三、数字合规困境之一:国内法律义务冲突

基于刑事诉讼法律义务所形成的数字合规困境首先源于国内法冲突,典型的例证是2018年的滴滴顺风车司机杀人案。本案中,被害人乘坐滴滴顺风车后被杀害,案情本身较为清晰,舆论争议焦点主要在于滴滴平台以保护平台用户隐私为由,在被害人亲友及警方要求提供涉事司机相关信息时延迟回应。本案中滴滴平台的处理方式暴露出其在应急处置机制方面的缺陷,同时也反映出两种法律义务之间的冲突:其一是企业的用户个人信息及隐私保护义务;其二是企业协助犯罪治理特别是刑事侦查的义务。诚然,遵守其中一种义务并不应当成为逃避另一义务的借口,但正如滴滴公司在之后声明中表达的诉求,两项义务的协同需要平台“与警方以及社会各界探讨更高效可行的合作方案……如何在保护用户隐私的同时,避免延误破案的时机”。

本案实际上涉及当前企业特别是网络信息业者普遍面临的两个义务协同问题:第一是刑事诉讼中的协助义务是否优先于用户个人信息保护等义务;第二是企业内部针对信息披露的审核机制能否以及在何种程度上可以作为后续法律责任豁免的依据。

刑事诉讼协助义务优先性

犯罪之于国家、社会与个人的权益侵犯的严重性往往使得打击犯罪相较于其他社会价值具有优先性,但是这种优先性并非自然获得,一则需要以明确的法律规定为依据,二则需要控制在比例原则的框架下,三则需要遵循正当程序的要求。例如针对公民的通信权,刑事司法权力机关并非天然地可以进行干预,而是以宪法第40条的明确授权为前提条件,同时在具体的干预措施上基于比例原则进行分层设计。

从立法之于刑事诉讼协助义务的优先性规定来看,早期一些域外案件体现出此种规定的模糊性,较为典型的案件是欧洲人权法院2008年的K.U.vFinland案,其争议焦点在于警方能否以打击网络儿童色情犯罪案件为目的,要求网络服务提供者披露发布涉案内容的用户身份信息。彼时芬兰相关法律规定禁止网络信息业者非经用户同意对外提供用户身份信息并且未就该个人信息保护义务设置刑事司法例外。基于此,芬兰国内法院支持了网络服务提供者不予配合警方信息调取活动的做法。欧洲人权法院并未认可这一主张,并特别提及“立法者负有积极的义务协调彼此冲突的权利保护需求”。与之类似,欧盟于2016年出台的通用数据保护条例(以下简称GDPR)在严格规制企业处理用户个人信息的同时,也极大地限制了其主动监测、发现和报告网络儿童色情的活动,进而减损网络儿童性犯罪活动的打击效果。考虑两者之间的冲突,2021年欧盟制定条例授权特定网络信息业者为打击网络儿童色情之目的,主动监测、评估和报告可疑信息或行为,同时规定企业关于此类用户个人信息处理的活动不适用GDPR相关规定。

从我国当前相关立法来看,早先立法并未关注上述义务协调问题,例如网络安全法一方面规定了网络运营者协助侦查犯罪活动的义务(第28条);另一方面又设置了其诸多维护网络安全和用户个人信息的义务;同时两者分别对应不同的法律责任,但缺乏协调上述两种义务的规定。数据安全法也存在类似的情形,其在规定有关组织、个人配合公安机关为侦查犯罪之目的调取数据的义务(第35条)并设置相应罚则(第48条)的同时,并未明确其与该组织或个人所承担的其他维护数据安全的义务相冲突时的解决路径。这一两种义务平行的立法模式事实上造成了企业法律适用上的选择困境。相对而言,个人信息保护法有所进步,例如针对同意原则规定了“履行法定职责或法定义务”之例外(第13条);又如针对知情原则规定了法律或行政法规另有规定、紧急情况(第18条)、妨碍国家机关履行法定职责等例外情形(第35条)。

但是,确立形式上的刑事司法义务优先性只是第一步。如前所述,这种优先性并非毫无边界,也并非以泛化的“打击犯罪”目的即可取得合法性,而是需要针对具体的刑事司法措施进行合比例的规制,并体现为刑事诉讼法的明确规定。例如上文提及的个人信息保护法之于知情权例外规定,放置在刑事司法的语境下,不仅需要刑事诉讼法明确另行规定,同时需要建立起切实可行的“紧急情况”“妨碍履行职责”等的审查判断和运行机制,否则仍然可能在实质上不当干预公民的基本权利。

对此,美国近些年包括琼斯案、卡朋特案等在内的一系列涉及用户信息第三方调取的判例表达了一个清晰的立场,即隐私保护的“第三者条款”并非天然地适用于网络服务提供者;侦查机关向其调取用户数据仍然构成搜查并受美国宪法第四修正案的限制。欧盟的立法与司法实践表达出类似的态度。欧盟通过2006年的数据存留指令建立起该地区的数据存留规则法律框架,成员国为预防、调查、侦查和起诉严重犯罪之目的,可以通过国内法要求公共电子通信服务提供者将特定类型的非内容数据存留6至24个月,并向适格刑事司法机关提供。该指令从形式上调和了相关网络信息业者协助刑事司法机关义务与保护公民隐私和个人数据义务之间的关系,但由于未能在实质上形成两项义务之间的合比例的平衡,特别是考虑此类措施不区分具体数据类型、不区分存留期限、措施滥用缺乏有效制约机制等情形,欧盟法院在2014年的裁判中宣布该指令无效。但是该裁判并非否定数据存留在打击犯罪中的重要性;也正是基于此,欧盟地区数据存留走向了更为细化的制度设计阶段,此后欧盟法院又通过一系列案件逐步明确刑事司法过程中网络信息业者数据存留义务的具体范围和边界。

从我国当前的司法实践来看,主要问题并非缺乏形式上的刑事司法义务优先性的法律确认,而是具体机制和规则层面的义务协调问题。以网络安全法第28条的协助义务为例,尽管该条要求网络运营者为犯罪侦查活动提供技术支持和协助,但是一则未明确该技术支持或协助是否仅指向其自身运营的网络以及基于自身业务控制或处理的数据;二则未明确该协助仅限于个案还是可以常规化;三则未明确侦查机关要求协助所对应的具体程序,使得实践中专门进行犯罪风险数据分析和模型开发企业的协助活动处于法律的灰色地带,且极有可能侵犯其他网络信息业者的数据安全、网络安全和用户个人信息保护。

随着个人信息保护法建立起公私一体且具体的个人信息保护制度,这种数据义务间的规则张力进一步强化。以告知义务为例,在侦查机关向企业调取用户个人信息的场景中,调取方与被调取方均属于“信息处理者”;即便将协助执法的企业解释为“个人信息处理者委托处理个人信息”(第21条第1款),相关规定也并未免除其作为“信息处理者”所承担的各项义务。从这个角度讲,在调取过程中,无论是作为调取方的侦查机关还是配合侦查、提供用户个人信息的企业,除例外情形,原则上均应当承担向信息主体的告知义务。个人信息保护法针对国家机关处理者规定了义务豁免的两种情形:第一种是基于法律、行政法规规定应予保密或不需要告知(第18条第1款);第二种是妨碍履行法定职责(第35条)。鉴于刑事诉讼法本身没有类似的规定,同时目前尚不存在刑事诉讼相关行政法规,第一种情形难以适用于刑事诉讼措施。

后一种情形是在缺少法律、行政法规依据的情况下的补充机制,该机制尽管可以用于刑事诉讼,但是需要满足相应的条件。第一,该机制的适用需要以明确的刑事诉讼法律规定为依据,即刑事诉讼法本身需要授权有关机关以妨碍诉讼为由限制或免除告知义务。可以看到,在刑事诉讼中但凡要以妨碍诉讼为由干预公民的基本权利,均以明确的法律规定为前提,这在侦查中尤为明显,例如拘留之后通知义务的免除(第85条第2款)、特殊犯罪指定监视居住的适用(第75条第1款)、技术侦查中的保密(第154条)等。第二,在具有明确法律依据的前提下,该机制的适用是个案判断,而非概括性的义务豁免,特别是不能以笼统的“侦查秘密原则”限制或免除信息处理者的告知义务。第三,在满足前两个条件时,刑事诉讼法也并不必然一刀切式地或终局性地免除告知义务,而是往往在妨碍情形消失后恢复对相对人的权益保障,例如针对前述拘留后通知义务的免除,刑事诉讼法明确规定“有碍侦查的情形消失以后,应当立即通知被拘留人的家属”(第85条第2款),其立法旨趣实际上与个人信息保护法第18条第2款规定的紧急情况暂缓告知相类似。

当前刑事诉讼法规定尚无法满足上述三个条件。首先,刑事诉讼法中没有相关条文涉及调取个人信息中限制或免除告知义务的明确授权;其次,在缺少立法授权的情况下,刑事诉讼法中自然也不会形成判断有碍诉讼情形的适用范围和机制;最后,即便上述两个条件都满足,也并不意味着有关机关完全免除了告知义务,相反地,按照刑事诉讼法类似规定的一般逻辑,在妨碍因素消失后,有关机关仍然需要履行告知义务。

进一步讲,由于上述两种豁免告知义务的事由均无法适用于刑事诉讼活动,那么意味着有关机关无权要求承担协助处理个人信息义务的企业不予告知或延迟告知。在法律规定不明且侦查机关申请调取内容未作限制时,企业无疑面临着现实的合规困境:不告知信息主体可能违反个人信息保护法进而引发相应的民事和行政法律责任;告知信息主体可能造成关键证据灭失等妨碍刑事诉讼顺利进行的危害后果。

企业内部审查机制的免责效力

企业内部审查机制的免责效力是义务协同问题的延伸。在承担多重义务的情况下,企业需要通过内部机制予以平衡,而这种平衡又必然伴随着企业针对具体案件的自行审查判断。

以调取数据为例,从当前世界范围内头部互联网企业的实践做法可以看到,大多企业会对侦查机关提出一系列具体要求,主要体现在以下三个方面。第一是通过特定平台或联系方式获取信息,其中一种主要方式是设立专门的数据调取在线申请平台,微软、谷歌、推特、爱彼迎、脸书均采用了这一方式;除此以外还有电子邮箱、热线电话、纸质信函等方式。无论是何种方式,其均伴随一定的身份确认机制。第二是要求侦查机关提供特定的信息,例如调取请求所依据的法律规定、目标数据的数据主体信息、目标数据类型、调取事由和目的等。第三是要求请求具备特定的格式,例如要求申请函需要有官方签章,或者使用格式化的申请模板。总结世界大型互联网企业的通行做法可以看出,对侦查机关调取数据的请求设置条件并进行审查是普遍现象。根据欧洲刑警组织2021年发布的SIRIUS项目第三次报告,当前欧洲各国向企业调取数据的一大障碍即在于响应时间过长,而企业延迟或拒绝配合的理由主要有以下九种:(1)缺少法律依据或依据不正确;(2)调取请求中的相对人错误;(3)申请不符合企业要求的程序;(4)申请内容过于宽泛;(5)没有相关数据;(6)申请缺少关于案件性质的必要信息;(7)地域管辖限制;(8)申请缺少有效的身份验证;(9)申请缺少足够信息以确认“紧急情况”。

上述理由典型地反映出企业需要在多重义务之间进行衡量,尽可能避免因协助执法而不当减损用户相关信息权益。这也意味着,当企业因遵循合理的内部审查机制而造成协助延迟甚至拒绝协助时,原则上应当能够产生法律责任豁免的效果。诚然,责任豁免的重点在于如何判断“合理”,这也是滴滴案中舆论争议的焦点。

需要明确的是,这种协助数据调取义务通常并不指向国家机关以外的主体,其例外需要有相应的法律规定,比较典型的是个人信息保护法针对个人信息的提供设置了信息主体同意以外的合法性基础(第13条),允许网络信息业者在“紧急情况下为保护自然人的生命健康和财产安全”时处理个人信息。但是即便在紧急情况下,如果涉及企业对外提供信息,那么接收对象原则上仍然应当是特定国家机关而非个人。这意味着一方面企业必须设置相应机制以判断调取者是否为国家机关,除非双方已经建立起相对稳定、安全、集中的联络和数据传输路径;另一方面,企业原则上对个人提出的他人信息调取请求并不承担响应义务。 

四、数字合规困境之二:国际法律义务冲突

如果说国内法义务冲突造成的合规困境尽管棘手,但仍然可以通过完善国内法予以化解,那么更具有挑战性的合规困境源自国际层面的法律义务冲突。当前犯罪治理面临的普遍现象是刑事案件证据的数字化、云端化以及全球化,刑事诉讼特别是侦查取证的跨境需求越来越普遍,在各国或地区强化其国际执法管辖权的背景下,企业面临的国际层面法律义务冲突亦同步升级,尤为典型地体现在一国刑事诉讼特别是侦查取证措施与另一国相关网络信息法律义务之间的冲突。

对此,典型的案例是2019年中国三家银行被罚案。该案中,美国法院基于犯罪侦查需求,要求三家在美国设立分支机构的中资银行提供指定客户的账户资金材料,三家银行以该协助违反中国法律中规定的银行保密义务为由拒绝合作,并提出美国可以通过司法协助途径获取相关材料。美国法院认定该行为构成藐视法庭罪,进而对三家银行施加高达每日五万美元的罚金。其他国家也面临类似的情况,例如在2015年,微软员工为遵守美国禁止合作的规定,拒绝遵守巴西执法机关的数据披露要求,进而被巴西政府逮捕。可以看到的是,网络信息技术导致的网络空间弱地域性与刑事管辖强地域性的冲突,一方面催生了各国扩张刑事立法、司法与执法管辖权的现实需求,另一方面又不断强化数字国家主义在世界范围内的广泛推行,而这种需求和意愿进一步导致企业、组织或者个人越来越多地处于多国法律适用的交叉乃至冲突的范围之中。

总体而言,当前企业在国际层面面临的刑事数字合规义务困境主要集中于犯罪侦查领域,具体体现在三个方面:第一,侦查取证活动与企业跨境自愿协助之间的规则冲突;第二,侦查取证活动与企业用户个人信息保护之间的规则冲突;第三,侦查取证活动与企业跨境数据流动之间的规则冲突。以下分别从这三个方面予以分析。

跨境数字侦查与企业自愿协助

网络犯罪的弱地域性使得侦查机关跨越国(边)境收集提取境外数据越来越普遍,而这种收集提取措施的主要实施路径之一是向控制或占有该数据的企业进行调取。从侦查机关的角度来看,是否允许该机关直接调取境外数据属于一国国内法规定范围;但作为相对人的企业能否协助调取境外数据,则通常需要通过国际、多边或双边协议等授权,典型的例证是网络犯罪《〈布达佩斯公约〉第二附加议定书》和美国云法案的配套协议。

从当前国际实践情况来看,上述机制适用的范围较为有限,跨境数据直接调取更多地依赖于企业的自愿配合。问题在于,企业对境外执法机关的自愿协助面临合法性方面的挑战,这背后体现的是以地域性为核心的国家主权体系对于网络空间的适应困难。特别是在一国明令禁止本国企业自愿协助境外执法机关的情况下,该企业直接面临着一方强制协助取证与另一方禁止提供数据的窘境。这也是我国当前在跨境数据直接调取问题上面临的情形。我国国际刑事司法协助法明确禁止境内机构、组织和个人未经主管机关许可向外国提供证据材料(第4条第3款),基本上阻断了企业自愿协助境外执法机关的路径。欧洲刑警组织在SIRIUS项目2021年的报告中特别就成员国相关立法进行了调研,结果表明16.7%的成员国明令禁止线上服务提供者主动配合外国执法机关,同时仅有4.2%的成员国明令允许。在大多数没有明确规定的成员国中(79.2%),45.9%的成员国表示原则上允许此类自愿协作。

对企业自愿协助境外刑事司法活动特别是侦查取证的禁止,一定程度上削弱了网络犯罪治理的效能。欧盟在制定2021年打击儿童网络色情条例时明确指出,“对个人尊严、身体及精神健全相关基本权利被严重侵犯的被害人而言,网络服务提供者的自愿监测、评估和报告行为具有重要的识别和保护功能”。之所以需要强调企业的自愿协助,重要原因在于一国执法措施即便有国内法授权,但其效力受限于地理边界而无法延伸至境外。在网络犯罪产业化并且其链条向境外扩散的背景下,企业特别是网络信息业者主动、自愿协助是网络犯罪国际协同治理的关键环节之一。

基于该背景,我们可以看到当前国际层面向网络信息业者跨境调取数据的制度发展呈现出两种方向相反甚至彼此冲突的趋势:一方面强化本国刑事司法机关境外执法的能力,典型的方式是创新境外企业在境内的属地联结点,并在此基础上实质性地扩展执法管辖权;另一方面强化数据分割与控制,特别是通过数据主权、数据本地化等对数据流动设置地域边界。这种宏观层面的立法趋势冲突直接引发的是微观层面企业在具体案件中的合规困境。从前文提及的中国三家银行案可以看出,单纯以国内外法律规定冲突为由已经难以有效阻却后续法律责任的追究。

跨境数字侦查与个人信息保护

网络信息革命引发的公民权利保障方面的重要发展之一是个人信息保护制度在全球范围内的广泛建立,围绕着个人信息不仅形成了诸如被遗忘权、可携带权等新型权益,同时个人信息受法律保护还在整体位阶上被广泛提升至基本权利的高度。我国在2021年出台的个人信息保护法特别提到“根据宪法,制定本法”,体现出其区别于网络安全法、数据安全法等主要数字立法的重视程度。在个人信息保护的整体架构中,企业特别是网络信息业者作为用户信息处理者无疑是主要的规制对象,这使得个人信息保护的诸多义务直接指向网络信息业者,并且相关保护义务的强度也在不断提升。

如前所述,即便在国内或区域内通行的法律框架下,上述个人信息保护义务与协助刑事司法活动之间也存在着紧张关系,这也是欧盟在制定GDPR时专门针对刑事司法中的个人信息保护制定单独的2016/680号指令的原因之一;在跨境数字侦查的语境下,这种紧张关系进一步凸显。

首先,不同国家或地区的个人信息保护制度在适用范围、分类标准、义务主体等多方面存在差异,这些差异直接导致即便在相同的概念名称之下,具体协助义务的范围和适用条件亦可能存在差异。例如,网络犯罪布达佩斯公约委员会在起草第二附加议定书时面临的一个重要争议即在于,IP地址是否属于该公约中的“注册人信息”。

其次,即便在相同的个人信息保护规定之下,不同国家或地区的刑事诉讼制度也存在较大差异。例如,针对个人电子设备内部数据进行收集提取,一些国家或地区将其归入搜查措施并要求提供司法机关出具的令状,另一些国家或地区则允许侦查机关自行决定。事实上,当前跨境数据侦查取证的主要障碍来自刑事程序法而非实体法。欧洲刑警组织SIRIUS项目第三次报告也指出,拒绝或延迟提供数据的重要原因之一是法律依据缺失或错误,而错误的主要情形是执法机关仅提供刑事实体法的法律依据,而没有提供侦查机关调取数据所依据的刑事程序法。

最后,即便忽略刑事诉讼制度上的差异,不同国家或地区在刑事司法与个人信息保护的制度衔接上亦存在诸多区别之处,例如是否及如何贯彻最少收集原则、是否以及以何种方式对知情原则进行限缩、是否对不同诉讼主体的个人信息处理加以区分、是否允许为预防或打击犯罪之目的大规模数据收集或监控、是否对个人信息存留设置期限等。

上述国际层面的制度差异造成了企业在平衡用户个人信息保护与协助执法两项义务中的诸多挑战;两者失衡不仅可能降低企业在全球范围内个人信息保护的整体能力和水平,同时可能因不当干预公民基本权利而减损目标数据的证据能力,最终形成双输的局面。更重要的是,在缺乏必要的国际条约,多边、双边协议等法律依据和机制的情况下,企业无论是否协助一国刑事司法机关获取境外用户个人信息,均有可能引发后续不同类型的法律责任。正是由于国际层面数字治理规则的复杂性,一些大型国际互联网企业在面对跨境数据侦查取证时多设置高于国内协助机制的审查门槛,例如WhatsApp在其面向执法机关的说明信息中特别提及,针对国际层面提出的数据请求,WhatsApp除遵守自身服务条款和可适用的法律依据外,还会进一步审查相关请求是否“与国际公认的人权保障、正当程序和法治要求相一致”。

跨境数字侦查与数据出境

企业在国际层面面临的第三类合规困境主要源自数据出境规则的限制。尽管网络空间是弱地域性的,但网络空间的规则体系却是强地域性的,上文提及的数字国家主义即是典型例证。特别是将以地域性为核心属性的主权概念适用于网络空间中的数据流动时,不可避免地会形成一系列制度和机制调和上的挑战:一方面可能通过数据本地化等要求直接阻碍向境外执法机关提供涉犯罪数据;另一方面即便允许数据出境,亦可能通过出境前的安全审查等机制极大延后出境流程,进一步损及打击犯罪的效率。经济合作与发展组织在其2020年的报告中指出,近年来在全球范围内,数据本地化以及限制数据跨境流动的措施有不断扩张的趋势,而一国推动数据本地化立法的重要动因之一即在于协助执法机关和国家安全机关获取数据,减少网络犯罪并服务于犯罪侦查。

我国于2017年通过网络安全法初步建立起特定类型数据境内存储的制度框架以来,不断细化数据跨境流动的规则,并集中体现在2021年制定的数据安全法之中。但是,该法中的诸多规则与当前刑事司法跨境数据取证的现实需求存在紧张关系,可能直接引发承担数据安全保障义务的企业的数字合规困境。

首先,数据出境限制与高效协助执法义务之间存在矛盾。这一点直接体现在数据出境的安全审查义务之中。第一,网络安全法要求关键信息基础设施运营者在因业务需要向境外提供中国境内收集和产生的个人信息和重要数据时,需要对该数据出境进行安全评估(第37条);数据安全法第31条在延续网络安全法有关关键信息基础设施运营者的规定的同时,进一步将重要数据的出境安全审查义务扩展至其他数据处理者。但是,该规定并未明确规定运营者因协助侦查取证需要向境外提供个人信息和重要数据时是否需要进行安全评估,进而导致数据安全法第31条所适用的数据出境事由范围不明。第二,在数据出境安全评估的主体方面,在主管机关批准向外国司法或执法机构提供数据的情况下,协助执法的网络信息业者是否仍然需要开展独立的数据出境安全评估,当前规定同样语焉不详。第三,在数据出境安全评估的流程方面,通过参考2017年发布的《信息安全技术:数据出境安全评估指南(征求意见稿)》可以看到,该流程除包含网络信息业者的自评估以外,还可能需要征得国家网信部门、行业主管部门同意,这一流程本身相对复杂和繁冗,从而产生与传统刑事司法协助机制类似的阻碍高效跨境数据取证的弊端。

其次,一国网络信息业者以遵守本国数据安全保障规定为由,拒绝协助执行他国刑事司法机关取证命令时,该事由往往难以成为有效的外国法上免责事由。这意味着当我国网络信息业者以数据安全法第36条之规定为由拒绝向外国侦查机关提供数据时,仍然可能因拒不合作而引发外国法律责任;而外国网络信息业者同样可能面临类似的风险,例如,根据我国数据安全法第35条的规定,有关组织或个人有义务配合公安机关侦查犯罪的调取数据活动,该义务主体并不限于我国组织或个人,而拒不配合数据调取可能进一步引发该法第48条项下的行政处罚。

可以看到,与个人信息保护类似地,数据出境安全保障义务与协助跨境数字侦查取证义务之间的冲突如果无法有效调和,不仅可能直接减损犯罪治理效果,例如国际金融协会在其2020年的报告中指出“数据本地化可能严重削弱洗钱犯罪的预防和打击”,同时上述义务冲突还有可能将企业置于两难境地。如果说在个人信息保护义务方面企业还有更多裁量的空间,那么数据跨境流动相关义务往往因其与国家主权、安全等方面的紧密联系而具有更强的强制性,与跨境取证之间的冲突也愈发激烈,特别是在涉及可能危及个人重大人身、财产权益的紧急情况下,缺乏必要的跨境数据义务协调机制将不可避免地扩大犯罪损害结果。事实上,考虑到刑事诉讼程序中数据出境情形的独特特征,其并不适宜与商业数据等采用同套数据安全与出入境规则体系。

五、数字合规困境之三:义务履行成本失衡

上述两方面刑事数字合规困境的成因,主要是从企业作为数字法治义务主体的角度出发,而第三类困境则回归企业的商业主体身份,考察其协助刑事数字执法与司法过程中承担的超出合理范围的经济成本。这一层面合规困境考察的重心是合规成本的合理性与正当性,主要涉及三个事项:第一是协助执法的费用及报销或补偿;第二是技术支持过程中的网络与数据安全保障;第三是关键生产资源或资料的保护。

(一)刑事协助费用的补偿

案外人协助刑事司法权力机关开展诉讼活动,究其本质而言是其为打击犯罪这一公共事务所承担的在一般纳税负担以外的额外负担。这通常构成国家补偿义务的正当性基础。企业在为刑事司法机关提供数据或技术协助时,无论是建立起常规性的协助机制以及时接收、审查和响应诉讼要求,还是在个案中配合具体诉讼措施,均会引发响应的协助成本。例如,面对公安机关的数据冻结措施,网络信息业者需要采取符合特定技术和法律要求的措施以防止电子数据增加、删除或修改,其协助成本包括但不限于存储数据所需占用的数据存储资源、保障数据与网络安全相关措施的额外成本以及冻结数据本身可能对其正常经营服务业务的影响。

世界主要网络服务提供者每年收到大量执法机关调取数据的请求,并且需要对各份请求进行个案判断以确定配合方式和执行程度,这种接受、评估、处理、回应本身就会形成企业负担。对于中小型网络信息业者而言,这种协助执法所造成的成本将更为沉重。欧洲刑警组织在2021年SIRIUS项目第三次报告中也指出,尽管费用报销体系对于数据提供的影响尚不明显,但随着数据调取的普遍化,该体系在未来可能深度影响调取措施。

鉴于协助负担可能不断强化的整体趋势,许多世界大型互联网企业在其协助执法说明中明确提及费用报销,例如,脸书明确提出可能要求执法机关报销回应信息请求所产生的费用,并且当请求较为特殊和复杂时,有可能收取额外费用;WhatsApp表明其可能对每一次数据调取请求要求执法机关报销相关费用,并且像脸书一样,可能就特殊或任务繁重的请求加收费用,但是表示可能在涉及危害儿童、自身客户以及紧急情况时免除相关费用等。与之相对应地,世界许多国家或地区规定或提倡对协助执法的企业予以必要的费用补偿或报销,例如国际商会在2012年针对传统司法协助协议机制提出的十条改革建议中就涉及“明确规定费用分配和报销程序”;欧盟《刑事电子证据收集和保全令条例(草案)》专门规定了网络信息业者可申请费用报销;美国联邦法律也规定政府部门在向个人或组织获取通信内容记录或其他特定信息时,应当支付合理的信息搜索、收集、分析等费用。

从我国刑事诉讼法相关规定来看,报销或补贴制度的适用范围极其有限,主要针对的是证人因履行作证义务而产生的费用(第65条)。企业作为协助数据调取的主体,其诉讼身份难以直接归入证人范畴,因此在适用第65条规定时存在困难。在司法实践中,逐渐衍生出一类以服务国家机关数据收集、分析为主营业务的网络信息业者,两者之间通过合同方式确立权利义务并支付相关服务费用,并非典型意义上的刑事诉讼法律关系,其合法性依据需要相关立法进一步予以明确。

(二)网络信息安全的保障

网络安全法中特别提及网络运营者为公安机关侦查犯罪活动提供技术支持的义务(第28条),这也是除数据调取以外另一项可能加重企业协助负担的义务类型,其核心在于协助义务与企业通过加密等方式保障网络与数据安全之间的冲突。一方面,以加密技术为代表的安全保障机制在网络信息产业中广泛应用并且不断强化;另一方面,该技术不可避免地阻碍刑事案件的侦查取证活动,两者之间的紧张关系日益凸显。

除加密技术外,网络信息业者也广泛通过限制用户数据的存留期来提升数据的安全性和保障用户的隐私及个人信息,例如钉钉“密聊”、支付宝“悄悄话”等通信应用直接采用阅后即焚模式,苹果手机等则为用户提供了连续错误输入密码后的数据清除功能。同时,一些国家或地区的相关立法严格限制网络信息业者的数据存留目的与期限,上文论及的被欧洲法院宣布无效的数据存留指令即是典型例证,而GDPR生效后的一个附带后果是欧洲公民无法登陆美国的一些新闻网站。在实践中,面对超出其常规数据存留机制的刑事数据调取需求,网络信息业者常见的一种处理方式是直接表明目标数据不存在。例如,即时通信服务提供者WhatsApp采用的是用户端对用户端的通信加密模式,其对外表示无法直接获取和对外提供相关内容数据。类似地,2013年至2021年间,在微软公司收到的所有数据调取请求中,“未找到相关数据”的比例一直徘徊在15%到18%之间,2019年上半年这一数字更是高达26.76%,2021年回落至17.71%。

这些关于数据获取功能的设置或调整不可避免地与刑事诉讼中证据保全等需求相矛盾。即便不考虑前述两个层面上法律义务冲突可能导致的合规困境,单从技术层面而言,企业为协助刑事司法活动之目的存留原本应当被清除或处理的数据,本身就需要在其常规的数据留存及处理机制之外设置例外路径,不仅可能提升其履行刑事诉讼义务的成本,同时也可能对原有机制的技术完整性有所减损。

(三)关键生产资料的保护

如果说前两项成本层面的义务冲突还存在一定程度的调和空间,那么在一些案件中企业可能面临关键生产资料或资源受损甚至危及正常经营的困境。对此,较为典型的两种情形是电子证据载体的扣押封存与商业秘密公开。

针对电子证据载体的扣押封存,当前我国电子证据的取证措施和保全措施往往伴随着载体的同步扣押或封存,这在2016年“两高一部”制定的电子数据规定和2019年公安部的电子取证规则中体现得尤为明显。对于部分特别是中小型互联网企业而言,作为其主营业务关键资源的服务器一旦被扣押或封存,将可能直接导致其业务中断。

针对商业秘密的公开,其主要涉及的是企业在通过算法模型协助刑事司法机关开展犯罪风险或社会危害性预测、线索分析、大数据证据收集提取等活动。一方面,在数字语境下,上述活动越来越多地需要借助企业的数据资源和技术支持,其所牵涉的原始数据和算法尽管对于生成有效的犯罪线索或证据材料、支撑刑事司法机关决策至关重要,但无论是从证据的审查判断还是从辩护权的有效性角度来看,都有公开相关算法以便于外部审查和质证的必要性;另一方面,上述算法可能构成相关企业的商业秘密而需要保密,从而与上述公开需求形成冲突。在国际方面已经出现了一些相关案例,提供技术支撑的企业以涉及商业秘密为由拒绝向辩方进行算法开示。

商业秘密公开与否的矛盾在我国刑事诉讼实践中尚不明显,并非因为企业提供算法与数据协助不涉及商业秘密;事实上,2019年新修订的反不正当竞争法将“商业秘密”的范围从“技术信息、经营信息”扩大到“技术信息、经营信息等商业信息”,同时实践中已经有相关案例将数据信息及算法认定为商业秘密并加以保护。更深层次的原因在于,当前犯罪治理活动在越来越广泛应用第三方算法的同时,刑事诉讼制度尚未形成必要的数字化转型,包括辩护权在内的诉讼程序仍然遵循的是物理场域的规制逻辑,一定程度上形成了相关领域的制度缺位或错位。随着刑事司法体系智慧化、数字化转型的不断深入,上述问题必然逐步凸显出来。

代结语:困境的出路?

当我们识别出上述企业面临的刑事数字合规困境类型及其成因时,事实上也已经寻找到了化解困境的大致方向。综合全文分析可以看出,具体的困境化解措施需要建立在三个基本认知的基础之上。

首先,所谓刑事合规不能仅关注实体法层面,还要关注程序法层面;对于程序法的关注不能仅限于工具论的视角,相反地,从合规概念的内涵出发,更需要关注的是刑事诉讼制度对企业设置的义务本身。在社会整体数字化转型的时代背景之下,新的数字法律关系快速涌现,国内外法律制度因为网络空间的弱地域性而空前交织,一系列长期以来被视为理所当然的刑事程序法律义务无论在其正当性上抑或在必要性或合比例性上均受到冲击,直接表现为义务主体面临的多种义务冲突,进而形成数字合规的现实困境。刑事诉讼法对于这种困境的忽视不仅可能将相关企业逼入普遍性违法的境地,并且最终可能导致企业刑事数字合规机制陷入Lauren B. Edelman所称的“符号结构驱动”路径之中,通过采用符号、流程、程序、政策等方式使合规标准取代法律程序,进而使得法律原先设定的实质目标无法达成。这恰恰是刑事诉讼制度需要避免的。可以预见的是,企业在犯罪治理中承担的数字协助义务会不断强化,而要真正发挥其预防和打击犯罪的功能,需要避免其因承担刑事司法义务而陷入两难境地。

其次,数字合规困境的形成不仅源于刑事诉讼制度自身的应对迟滞,同时也源自新型数字法律制度建设中的视野偏差。正如Salome Viljoen在其研究中观察的那样,当前数据治理架构主要是从个人主义视角出发,而忽略了其中的社会性问题。这种视野上的偏差在刑事司法领域体现得尤为明显,我国网络信息领域的最新立法在不着重区分公私领域的同时,又基本上忽略了犯罪治理的特殊性,两者存在着多重衔接不畅之处。更重要的是,在个人信息保护等新型权益的法律地位不断抬升的背景下,上述衔接不畅已经开始明显地侵蚀犯罪治理中的公私合作机制,许多数字侦查措施尽管为打击犯罪所必需,但因缺乏与新型数字权益兼容的法律框架而处于灰色地带,不仅无助于刑事司法相关法律规定的数字化转型,同时也可能在实质上减损新型数字权益本身,进而整体性地减损刑事诉讼的数字正义。

最后,刑事数字合规困境反映出了网络信息时代国内法的域外溢出效应的不断强化。在地域边界消失的网络空间,我们很难再说某一行为仅适用某个具体国家或地区的法律;同时一国自身的数字立法也难以将其效力仅及于本国境内,更毋庸提在国际间普遍出现的利用网络空间扩展本国立法与执法管辖权的趋势。在此背景下,网络空间的犯罪治理无法忽略其他法域的相关法律制度,国际对话与协作的需求空前高涨。一方面,单向性协助刑事司法义务的设置或强化可能直接与其他国家或地区的法律规定相冲突,增加犯罪治理的制度障碍;另一方面,国际规则特别是权利保障机制的不平衡以及诉讼程序的衔接不畅既可能造就犯罪分子逃避刑事追诉的避风港,同时也可能形成规避公民权利保障机制的正当程序洼地。此外,网络信息产业自身天然的全球拓展属性意味着国际规则的冲突会不可避免地阻碍本国企业的国际业务拓展和竞争力的提升。

基于上述三方面的基本认知,我们进一步审视当前企业面临的三重刑事数字合规困境,其化解需要至少从以下三个方面予以突破:

第一,加强数字法治建设与刑事司法的对话和衔接。之所以强调对话,在于两者间制度衔接的双向性,即不仅强调刑事诉讼制度的数字化转型,同时也需要强调数字法治建设对刑事诉讼价值与目标的适应。在具体的衔接机制尚未成熟之时,至少可以在相关网络信息立法中对刑事司法活动设置必要的例外,缓解义务叠加下企业的合规挑战。

第二,加强网络空间国际治理规则的对接和合作机制的探索。单方刑事诉讼措施的域外适用需要考虑到该措施对于本国网络信息业者可能造成的负面影响,一方面继续积极推进当前联合国正在开展的新网络犯罪公约的起草和谈判工作,尽可能为跨境开展犯罪治理活动寻找国际法依据;另一方面通过借助国际多边、双边等机制,形成国际间或区际间跨境刑事数字侦查取证的通道。

第三,关注网络信息业者履行法律义务的可行性与合比例性。单位、组织、个人尽管有协助刑事诉讼活动的法律义务,但是这种协助并非没有边界、不计成本。相关义务的设置,一是不应当实质性地损及网络信息业者的正常运营活动;二是需要对超出合理边界的协助义务设置必要的补偿机制;三是需要考虑特殊侦查取证措施与网络和数据安全的协同。