<output id="5zixi"></output>
<output id="5zixi"><legend id="5zixi"></legend></output>
<p id="5zixi"><del id="5zixi"><div id="5zixi"></div></del></p>

<tr id="5zixi"><label id="5zixi"></label></tr>
<p id="5zixi"></p>
  • <tr id="5zixi"><label id="5zixi"></label></tr><td id="5zixi"><ruby id="5zixi"></ruby></td><acronym id="5zixi"><meter id="5zixi"></meter></acronym><object id="5zixi"><strong id="5zixi"><address id="5zixi"></address></strong></object>
    刑事數據出境規則研究
    2022/4/22 8:13:23  點擊率[707]  評論[0]
    【法寶引證碼】
      【學科類別】國際刑法學
      【出處】《法律科學》2022年第2期
      【寫作時間】2022年
      【中文摘要】基于國際刑事司法協助的需要,刑事數據出境不可避免,但目前我國的研究和立法對此問題都缺乏足夠的關注。事實上,刑事數據出境涉及主權、安全、權利保障等諸多重要法益,在處理國家主權與司法協助、數據安全與數據自由流動、常態開放與個案請求三組關系時,應堅持國家主權為本、數據安全優先、個案請求為主的要求。在此前提下,刑事數據出境應以刑事數據分類分級為基礎,堅守必要性原則與目的限制原則,兼顧平臺利益和公民的權利,并依此確立刑事數據出境的請求與接受、安全評估、安全保障和權利救濟等具體規則。
      【中文關鍵字】刑事數據;出境;國際刑事司法協助;國家主權;數據安全
      【全文】

        一、問題的提出:刑事數據出境的特殊性及規制需求
       
        數據具有自由流動的天然屬性,往往跨越實體之疆界而形成數據的跨境流動。數據的跨境流動包括數據入境和數據出境兩方面。從維護數據的國家安全、商業機密或個人隱私等角度考量,日本《個人信息保護法》、歐盟《通用數據保護條例》(GDPR)和《關于域外適用和數據跨境流動條款適用問題的指南》、美國《澄清境外數據的合法使用法案》(又稱《云法案》CLOUD Act)都對數據出境規則加以規定。我國《網絡安全法》《數據安全法》、國家網信辦《數據出境安全評估辦法(征求意見稿)》《網絡數據安全管理條例(征求意見稿)》、質檢總局《信息安全技術數據出境安全評估指南(征求意見稿)》對于數據出境也有相關規定,尤其是《個人信息保護法》第三章的6個條文對個人信息出境規則作出了較為細致的規定,從三個維度構建了個人信息出境規則的基本框架,足見國家對此問題的重視。與數字時代人類社會生活中的其他任何領域一樣,刑事犯罪在網絡空間留下證據,這些證據往往以電子數據的形式存在,于是針對網絡犯罪的追訴活動不得不超越國境,偵查機關或刑事司法中的其他公權力需要跨境調取這些主要以電子數據形式呈現的網絡犯罪證據,由此產生了刑事數據入境和出境的問題。
       
        刑事數據與刑事司法的運作密切相關,從刑事證明之行為意義看,刑事數據是推動刑事司法發展的動力。在司法實踐中,刑事數據十分常見,例如包含犯罪嫌疑人或被告人身份信息、定位信息的數據,被害人的生物識別數據、金融賬戶數據等等。需要注意的是,刑事數據不同于刑事執法數據或刑事司法數據,所謂刑事執法數據或刑事司法數據是指在刑事執法、司法活動中形成的數據,雖與刑事數據一樣都與刑事司法密切相關,但刑事執法、司法數據往往產生于刑事案件偵查完成之后的刑事訴訟活動中,故不具有與刑事案件的同步性,而且其內容主要是對刑事司法活動的記錄,亦不具有對案件事實本身的證明價值。
       
        由于刑事數據的自身特征,且因其身處刑事司法這樣一個相對封閉、秘密的空間,刑事數據出境具有相較于其他類型數據出境的顯著特征:第一,刑事數據出境帶有強烈的公權力色彩,相較于其他類型數據出境的場景下對平臺或公民意志的關注,刑事數據出境主要是國家公權力行使的結果,是國家意志的體現,平臺或公民個人在此過程中鮮有發言權或者其作用微乎其微;第二,刑事數據出境直接涉及國家主權和國家間司法協助問題,因此往往受一國主權觀念和國際政治關系等因素影響,刑事數據出境時必須極其審慎地考慮可能給國家主權帶來的影響;第三,刑事數據出境與國家安全利益關系較為密切,刑事數據直接影響刑事案件的處理,其中涉及敏感案件的刑事數據,例如涉及危害國家安全案件、恐怖活動案件等數據,直接關系一國的核心安全利益,事關重大;第四,刑事數據出境還會對公民權利造成重大影響。作為出境對象的刑事數據往往由大量敏感個人數據構成,常包含個人種族、身份、宗教信仰、政治理念、生物識別、行蹤軌跡、金融賬戶等信息,一旦被非法處理可能對公民個人的人格尊嚴、財產安全甚至人身安全造成危害。除此之外,刑事數據出境直接指向打擊犯罪之目標,其目的即在于對特定人進行刑事追訴,因此刑事數據出境對公民的個人權益影響甚大。
       
        由于存在上述特殊性,針對刑事數據出境制度確立專門的規則實屬必要。歐美、俄羅斯等對于刑事數據出境制度已有一些規定。如由歐盟主導、目前已有60多個國家加入的《網絡犯罪公約》第32條、美國的《云法案》規定等。盡管歐盟GDPR第2條關于該條例不適用于刑事司法的規定使其第五章的數據出境規則無法直接適用于刑事數據,但專門適用于刑事司法的歐盟第2016/680號指令要求在對個人數據給予高水平保護的前提下為其出境提供便利,并在第五章中設定了具體規則。相較于歐美,俄羅斯對于刑事數據出境則態度保守,盡管其也有數據出境“白名單”制度,但2014年頒布的《關于信息、信息技術和信息保護法》修正案等相關法律從“數據主權”出發,在數據本地化制度的基礎上對數據出境進行極為嚴格的監管,2019年頒布《主權互聯網法》嘗試建立區別于因特網的俄式互聯網,包括刑事數據在內的數據本地化要求進一步提升,使得刑事數據出境受限重重。
       
        盡管不同國家對刑事數據出境采取不同的態度,但對其需要設置規則加以規制的認識是一致的。我國法律法規中對于刑事數據出境規則也缺少規定,與數據安全保護相關的《網絡安全法》《數據安全法》《個人信息保護法》以及相關法規、指南,均無針對刑事數據出境問題的規定,2018的《國際刑事司法協助法》對此問題亦未提及。面對刑事數據出境的現實需求及其特殊性,立法的空白和學術研究的不足使得實踐中無據可依、做法混亂,因此有必要展開對刑事數據出境的研究并確立相關規則。
       
        二、確立刑事數據出境規則需處理的關鍵問題
       
        刑事數據出境事關重大,需要妥善處理好國家主權與司法協助、數據安全與數據自由流動、常態開放與個案請求這三組關系,從而解決確立刑事數據出境規則中的基礎性關鍵問題,確保其基石穩固。
       
        (一)國家主權為本
       
        刑事數據出境涉及國家主權與國家間司法協助的需要,處理好這二者的關系是確立刑事數據出境規則的基礎。針對維護國家主權和促進國家間司法協助的兩種目的,可以假設存在一個坐標軸,在坐標軸的一端是基于絕對的維護國家主權的立場而禁止刑事數據出境,另一端則是基于極端的司法協助立場允許刑事數據不加限制地自由出境。顯然在數據處理的真實世界中,任何一個國家都不會選擇該坐標軸的任一端,而只能在兩端之間有傾向性地平衡二者的關系。
       
        處理國家主權與司法協助需要之間的關系,落實在刑事數據跨境流動層面上,實際應當做的是對刑事數據的“出”與“入”進行利益衡量。各國從自身打擊犯罪的利益出發,面對與網絡犯罪相關的數據常存儲在其他國家的現實,天然地希望更便捷、快速、大量地從境外調取數據。例如2016年最高人民法院、最高人民檢察院、公安部頒布的《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》第9條,明確規定對于原始存儲介質位于境外或者遠程計算機信息系統上的電子數據,可以通過網絡在線提取。但問題在于刑事數據的“出”與“入”是一個硬幣的兩面,任何一個國家都不可能只“取”而不“予”,因此基于國家間刑事司法協作的需要,要想有效獲得境外數據,不免也要對其他國家的執法司法機關調取存儲在本國境內的刑事數據作出必要的許可。
       
        在刑事數據出境問題上對國家主權與司法協助需要之間關系的處理,本質上是基于國家利益選擇的結果。就我國而言,針對刑事數據出境問題,維護國家主權應是根本需求,在滿足維護國家主權的基礎上也可以兼顧國家間司法協助之必要。面對某些國家在數據領域的霸權行為,例如通過數據技術優勢實施“棱鏡門”等秘密監控項目以非法收集存儲在其他國家的數據,我國從維護數據主權的目標出發,在《網絡安全法》第37條、《數據安全法》第31條均對數據出境作出了較為嚴格的限制;但是另一方面,我國對于數據領域的國際交流合作又持有積極態度,愿意在保障國家主權和平等互惠的基礎上促進數據的跨境流動。
       
        遵照此種處理國家主權與司法協助需要之間關系的基本原則,刑事司法領域的數據出境問題一方面應當根據被稱為中國版“封阻法令”(blocking statute)的《數據安全法》第36條、《個人信息保護法》第41條、《國際刑事司法協助法》第4條第3款之規定,禁止未經主管機關同意而向外國提供刑事數據,并在必要時參考商務部《阻斷外國法律與措施不當域外適用辦法》的思路禁止外國法律的適用和外國措施的遵守;另一方面可以按照平等互惠的原則、通過個案審查的方式開展刑事數據方面的國際刑事司法協助,促成必要合理的刑事數據出境。
       
        (二)數據安全優先
       
        禁止數據自由流動、構建“數據孤島”,不但有違數字時代數據處理的規律,而且往往成本過高甚至難以實現。基于對數據自由流動的基本要求,許多法律文件都肯認數據自由流動的基本原則,即便在數據出境問題上,自由的數據跨境流動仍是其核心要旨之一。我國《數據安全法》第11條即明確表態:“國家積極開展數據安全治理、數據開發利用等領域的國際交流與合作,參與數據安全相關國際規則和標準的制定,促進數據跨境安全、自由流動。”但是,數據的自由流動特別是跨境自由流動也會帶來安全風險,除了上文所述對國家主權和國家安全所帶來的威脅之外,還會給商業安全以及公民的個人數據安全帶來不利影響。例如2017年即有媒體爆料稱一個名為CosmicDark的供應商在暗網售賣優酷的數據庫,該數據庫包括了100759591條優酷用戶賬戶信息,這不但傷害了優酷公司的商譽,也損害了優酷個人用戶的數據安全。如此看來,不但國家安全在數據出境的場景下可能受到影響,商業機構也可能因數據出境導致商業機密泄露而遭受商業利益方面的損失,而公民個人更可能因為數據出境過程中的非法獲取、利用或篡改、破壞、泄露,遭受隱私、財產甚至人身安全的威脅。
       
        刑事數據出境更為敏感復雜。刑事數據往往與國家安全關系緊密,且常包含個人敏感數據,無論出于他國追訴刑事犯罪之需要或其他目的出境,都可能帶來數據安全方面的風險,此種風險既可能針對國家,也可能直接指向企業或公民個人,因此考慮刑事數據出境問題時應當以數據安全為先,兼顧數據自由流動的需求。
       
        基于此種思路,具體應當考慮以下幾方面問題:一是刑事數據出境對象國的情況,包括該對象國與本國是否存在刑事數據出境的平等互惠關系、其法治水平和對數據安全的保護程度等。美國《云法案》“適格外國政府”審查和俄羅斯的“白名單”制度均包含對上述因素的考慮。我國亦可依據這些因素作出平衡,即認為與我國有平等互惠關系、法治水平較高和數據安全保護能力較強的國家可以對出境刑事數據提供較好的安全保障時,刑事數據出境的自由性可相對較高。二是欲出境的刑事數據的類型。刑事數據也應當以數據分類分級為基礎設置不同的出境規則,根據其與國家安全或個人數據安全的關系,輕其所輕、重其所重地作出安排(下文詳述)。三是可能采取的安全保障措施。若對于欲出境的刑事數據已做安全性、保密性的處理,或針對出境過程或出境后的數據處理行為有充分之安全保障機制,則此種刑事數據出境的自由度也應有所提升。通過考慮上述因素,在刑事數據出境問題上平衡數據安全與數據自由流動關系后,可以實現保障數據安全、兼顧數據自由流動之效果。
       
        (三)個案請求為主
       
        除了處理好國家主權與司法協助、數據安全與數據自由流動這兩組關系外,針對刑事數據出境,還需要妥善協調基于常態開放與個案辦理目的這兩種數據出境。實踐中一些國家之間或某些國家針對特定類型的刑事案件構建起了常態性的刑事數據跨境流動開放機制。例如歐盟2016/680號指令第35條即試圖在作出必要的限定之外盡可能促成歐盟成員國之間構建一種相對自由的刑事領域個人數據出境制度。再如《網絡犯罪公約》第32條關于一方可未經另一方授權即可通過其境內的計算機系統訪問或接收存儲在另一締約國的計算機數據的規定,實際上是針對網絡犯罪這一特定犯罪類型確立了常態化的、開放數據邊境的刑事數據出境機制。
       
        除了常態化的刑事數據出境形態外,司法實踐中更為常見的情況是基于個案的辦理需要而通過司法協助途徑完成刑事數據出境。例如我國已與美、英、法、澳等數十個國家簽訂了刑事司法協助雙邊條約或協定,其中均有協助調取證據之規定,如我國與巴西的《刑事司法協助條約》第10條第1款規定“被請求方應當根據本國法律并依請求,調取證據并移交給請求方”,所言協助調取之證據自然包括電子數據。根據這些雙邊條約或協定、以“請求-調取并移交”方式而實現的刑事數據出境顯然是依據個案辦理的具體需求而進行的。
       
        常態開放式與個案請求式的刑事數據出境方式各有利弊。常態開放式的刑事數據出境,其最大的優點在于高效,如根據《網絡犯罪公約》第32條任一締約國對于存儲在其他締約國境內的可公開獲得(開放源碼)的數據可以調取、對于其他數據亦可在取得合法自愿同意后調取,此種刑事數據出境無須經由數據存儲國授權即可完成。相較于常態開放,個案請求式的刑事數據出境方式顯然效率較低,其間包含大量的文書工作、審批流程,一次刑事數據出境的請求可遲至數月甚至經年方可完成。但是個案請求式的刑事數據出境,其優勢在于數據存儲國對于刑事數據的出境有最終決定的權力,可以根據本國利益考慮是否允許刑事數據出境以及在何種程度上或以何種方式進行刑事數據出境。
       
        由此可見,常態開放式與個案請求式的刑事數據出境方式,從本質上看二者最大的區別在于刑事數據出境的主動權由何方掌控這一點上。常態開放式的主動權主要在從他國境內取得數據的一方手中,而個案請求式的主動權則牢牢地由數據存儲國所掌握。就我國而言,基于便利國際司法合作、打擊跨國網絡犯罪的需要,可以在平等互惠的原則下開展有限的常態開放式刑事數據出境方式的嘗試與探索,提升刑事數據跨境流動以服務刑事訴訟活動的效率。但是,如上文所述針對刑事數據出境問題維護國家主權乃是首要需求,因此考慮保障數據主權和數據安全的現實需要,個案請求式的刑事數據出境方式由于主動權由我國所掌握,相應的風險較小,且已有大量刑事司法協助雙邊條約或協定之規定為基礎,較易被接受,因此應成為我國刑事數據出境的主要方式。
       
        三、確立刑事數據出境規則的基本要求
       
        (一)以刑事數據分類分級為基礎
       
        根據數據的不同屬性以及被非法處理可能導致之后果,可以對數據進行分類分級。數據分類與數據分級之間存在緊密關系,但亦有差別。數據分類是以數據的屬性為標準的,這些屬性包括內容、來源、特征、作用等,凡按照某一標準判斷而具有相同屬性的數據即可歸為一類,例如根據數據所處之行業與領域,可以將數據劃分為金融、交通、能源、醫療健康、電子政務等不同領域的數據。
       
        而數據分級則是以后果為標準進行的,根據數據承載的法益大小以及被非法處理后可能導致的危害結果大小進行級別劃分。數據分類分級是構建數據處理規則的必要前提,根據不同類型、不同級別的數據規定不同的處理規則、采取不同的安全保護措施,可以有效地避免平均用力而舍重取輕。具體而言,第一種最簡單的分類方式即是根據數據所處的訴訟階段以及由哪個機關所掌握,將刑事數據區分成偵查數據、檢察數據和審判數據等,此種分類可以探究數據因其所處階段的秘密性、封閉性差異而應采取的不同處理規則;第二種分類方式是根據取得數據的方式將刑事數據分為秘密取得的數據、通過公開途徑取得的數據和經同意取得的數據,不同方式取得的數據在傳輸、共享、公開等方面有不同的限制;第三種分類方式是根據數據的內容將刑事數據分為身份數據和行為數據,其中行為數據對于認定案件事實和定罪量刑有重要的意義。就數據分級而言,參考《數據安全法》第21條的思路,刑事數據亦可分為國家核心數據、重要數據和一般數據三個級別:刑事數據中與國防、外交、社會經濟核心秘密相關的,由于一旦被非法處理可能危及國家安全、國民經濟命脈、重要民生、重大公共利益,因而屬于國家核心數據;其他對國家安全、公共利益、個人合法權益有重要意義的數據則是重要數據,其中最為典型的即是生物識別數據、特定身份、金融賬戶等敏感個人數據;除國家核心數據與重要數據之外的刑事數據則被歸入一般數據。盡管《網絡數據安全管理條例(征求意見稿)》第73條規定執法司法數據屬于重要數據,但如上文所述,刑事數據與執法司法數據概念之內涵不同,筆者認為刑事數據仍應做國家核心數據、重要數據、一般數據的三級劃分。
       
        刑事數據分類分級制度是其出境制度之基礎,對于確立刑事數據出境規則有著重要的指導意義,具體體現在兩個方面:其一,應根據刑事數據的分類對不同類型的刑事數據設定不同的出境限制。例如按照刑事數據的取得方式不同,對于通過公開途徑取得的刑事數據,或已為新聞媒體所公開報道、或被追訴人自行公開的數據,出境的限制應較少,甚至可以如《網絡犯罪公約》第32條之規定不加限制;但對于系秘密取得之數據,由于其自身內容尚未公開、是否與國家安全或社會公共利益等法益相關尚未可知,則需經歷較為嚴格的安全審查;對于經作為數據主體的犯罪嫌疑人、被告人或被害人等同意而取得的刑事數據,在數據出境問題上還需再考慮數據主體的意愿,因為此前數據主體之同意僅指向數據收集行為而不涉及數據出境。其二,應根據刑事數據的分級對不同級別的刑事數據規定不同的出境規則。對于一般數據,因其承載法益及非法處理之后果相對較小,因而應有較高程度的自由流動性,通常應允許其出境;對于重要數據,因其重要性及被非法處理后的嚴重后果,則需進行嚴格的安全評估、并在有充分安全保障的前提下方可出境,例如對于敏感個人數據需考慮其出境后被使用之目的、方式、后果等因素,以防止對公民個人的合法利益造成不合理的損害;對于刑事數據中關系國家安全、國民經濟命脈、重要民生、重大公共利益等的國家核心數據,從維護國家主權和保障數據安全的要求出發,一般不應允許其出境。
       
        (二)堅守必要性原則與目的限制原則
       
        必要性原則的要旨在于,當公權力有多種行使方式之選擇均得以實現其目的時,應選擇對公民權利侵害最小的方式,因此又被稱為最小侵害原則。早至1980年經濟合作與發展組織《關于保護隱私和個人數據跨境流通的指南》中提出的“數據質量原則”即包含必要性原則的內容,歐盟自1995年的《個人數據保護指令》至2016年的GDPR中均有“相關”“必要”等原則性要求。我國《數據安全法》《個人信息保護法》中也包含必要性的要求,例如《個人信息保護法》第5條明確規定“處理個人信息應當遵循合法、正當、必要和誠信原則”。刑事數據處理同樣有必要性之原則要求,歐盟2016/680號指令第4條第1款要求“相關且不過度”,我國《刑事訴訟法》在涉及個人數據收集的偵查一章中多次用“必要”一詞對偵查行為加以限制,2016年《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》及2019年《公安機關辦理刑事案件電子數據取證規則》中也有必要性的規定。就刑事數據出境問題而言,必要性原則提出了三方面的要求:第一,刑事數據出境需經過必要性之評估。國家網信辦2021年《數據出境安全評估辦法(征求意見稿)》第8條將必要性評估作為數據安全評估之重點內容,刑事數據出境同樣如此,經過評估確有必要出境應成為刑事數據出境的必要條件。第二,出境的刑事數據應遵循最小化的要求。既然必要性原則要求盡可能減小對公民權利的影響,則在刑事數據出境的問題上,應以滿足出境目的為限度,盡量避免不必要或過度之刑事數據出境。第三,若出境之必要性消失,應及時停止刑事數據出境。例如,在實踐中存在一國向數據存儲國提出刑事數據出境的請求后又因種種原因放棄對該案的刑事追訴,或該國在此種刑事數據出境之前就完成了刑事訴訟程序之情形,在出現此等刑事數據出境目的不復存在之情形時,應及時停止刑事數據的出境。
       
        而目的限制原則要求公權力的行使方式需以其目的為指向,即行為方式的選擇需符合行為目的完成之需要。目的限制原則對數據處理提出了兩個階段的要求:一是在數據收集階段,要求在收集數據之前即已有特定合法之目的;二是在數據的后續使用階段,要求對數據的使用應受到收集目的之限制,即對該數據的處理不得違背最初的目的。我國《個人信息保護法》第6條規定“處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關”。刑事司法領域針對數據處理的目的限制原則是指對數據的收集使用不得用于刑事訴訟之外的其他目的,而只能用于《刑事訴訟法》第152條第3款所言之“對犯罪的偵查、起訴和審判”。就刑事數據出境問題而言,一方面,目的限制原則要求刑事數據出境有合法之目的支撐,即一國向數據存儲國提出刑事數據出境請求時即應告知此種出境之目的,例如我國與巴西的《刑事司法協助條約》第4條第2款規定:“請求應當包括以下內容:……(三)對于請求提供的協助、協助的目的以及與案件相關性的說明……”我國與其他國家簽訂的雙邊司法協助協定或條約中亦有類似規定。另一方面,根據目的限制原則,從數據存儲國出境的刑事數據通常需經過該國同意后方可用于有別于提出請求時所說明的其他目的,如我國與澳大利亞的《刑事司法協助條約》第8條第3款規定:“未經被請求方事先同意,請求方不得將根據本條約所獲得的資料或者證據用于請求所述之外的目的。”
       
        (三)兼顧平臺利益和公民權利
       
        盡管無論常態開放式的刑事數據出境還是我國主要采取的個案請求式刑事數據出境,其本質皆在于國與國之間的博弈,主要涉及各國之間公權力的互動關系。然而出境的刑事數據中相當一部分是個人數據,對其的相關處理必然影響公民個人利益,直接關系該公民的生命、自由、財產等核心法益。既然與公民利益攸關,在刑事數據出境的問題上關注國家利益的同時,也不能不重視對公民的權利保障,以實現國家與公民數據權利的互動。數據產業平臺亦在刑事數據出境中扮演重要角色,刑事司法中的公權力機關調取欲出境之刑事數據,不免通過平臺完成,例如曠日持久的美國訴微軟案即是一例,因而其中的平臺利益亦需納入考慮范疇。
       
        刑事數據出境因其“公”的屬性,針對公民權利的保護需基于有限的特殊場景,具體而言主要包括三方面內容:第一,在必要情形下適度保障作為數據主體的公民在刑事數據出境問題上的知情與決定的權利。“告知-同意”原則體現了對數據主體自由意志之尊重,在刑事數據出境中仍有適用空間。對此需要注意:一是知情與決定權利的行使需以不妨礙刑事案件的辦理為前提,例如在符合法定證據開示條件時,方可告知并取得同意;二是對于不同主體的知情與決定權的保障力度不同,例如被害人的相應權利宜受較多保護,但犯罪嫌疑人、被告人的此種權利即需嚴格限制,通常應限于該數據系以任意偵查方式取得之情形。第二,在符合前述知情條件的前提下,應允許公民就出境的刑事數據出境行使更正和反對的權利。更正權在刑事司法中的適用障礙較小,涉及刑事數據出境時數據主體可以就出境之個人數據中的不準確或不完整的的情形提出更正或補充的請求;反對權在其中的適用難度較大,通常需根據證據排除的規定主張此種權利。在刑事數據出境制度中,當數據主體發現此種刑事數據系以非法手段取得,例如其取得方式屬于我國《刑事訴訟法》第56條所規定的“不符合法定程序”“可能嚴重影響司法公正”且不能“補正”或“作出合理解釋”的情形,則可以提出反對該數據出境的主張。第三,當刑事數據出境的目的不復存在或已然完成時,應許可公民主張刪除或封存相關數據。刑事數據出境的目的不復存在的情形例如因已有確鑿證據證明被追訴人無罪或不應承擔刑事責任而放棄對其的刑事追訴;刑事數據出境的目的已然完成的情形例如刑事定罪已經完成且執行完畢或無罪判決已經作出,可以根據案件情形許可對相關數據的刪除或封存。
       
        在刑事數據出境的場景下對平臺利益的兼顧亦受限制。在美國訴微軟案中,微軟依據數據存儲地標準主張數據存儲國對數據擁有管轄權,其背后乃是基于商業利益之考慮,而美國政府依數據控制者標準主張對美國公司所掌控的數據的管轄權,是對國家主權的擴張理解,這一案件充分體現了在刑事數據跨境流動中的國家主權與平臺商業利益的沖突。面對此種沖突,需明確以下幾點以實現刑事數據出境中對平臺利益的適當兼顧:第一,在刑事數據出境的場景下,對平臺利益的保障以不損害國家主權、數據安全等利益為前提。在保障上述利益的前提下,在調取平臺數據、實施刑事數據出境的過程中亦應按照必要性、目的限制等原則避免公權力的過度運用損害平臺利益。第二,為刑事數據出境而從平臺調取數據應嚴格遵循法定程序。在西方國家,從平臺調取數據需申請法官簽發令狀。而在我國,雖無令狀制度,但從平臺調取數據仍有嚴格的內部審批規定。參考《刑事訴訟法》對技術偵查的要求,應“經過嚴格的批準手續”,經國際刑事司法協助的執行機關辦案部門提出申請、制作《呈請調取數據報告書》,由設區的市一級以上執行機關負責人批準后,開具《調取數據通知書》,注明需要調取的刑事數據的相關信息,通知平臺提供。第三,應為平臺就刑事數據出境問題提供必要的救濟途徑,對此下文詳述。
       
        四、我國刑事數據出境的具體規則構想
       
        我國在刑事數據出境問題上應當從維護國家主權和保障數據安全的視角出發,以個案請求式為刑事數據出境的主要方式。在此前提下根據刑事數據分類分級的要求,遵循必要性原則與目的限制原則,并兼顧公民的數據權利,可以提出確立我國刑事數據出境規則的具體構想。
       
        (一)刑事數據出境的請求與接受
       
        由于我國應以個案請求式的刑事數據出境方式為主,因而當外國向我國提出刑事數據出境的請求時,可以參考我國《國際刑事司法協助法》所規定的關于向我國請求刑事司法協助的一般規則。但《國際刑事司法協助法》僅在第四章“調查取證”第28條規定外國向我國請求調查取證時將“獲取并提取……電子數據……”作為其內容,缺少細化規定。事實上,根據上文所述的特點、關鍵問題和基本要求,我國在確立刑事數據出境規則時需要明確以下兩點。
       
        第一,根據個案具體情況,對于刑事數據出境的請求可以拒絕、延遲或附條件予以協助。對于外國提出的刑事數據出境請求可予以拒絕的情形,可以根據《國際刑事司法協助法》第14條關于拒絕提供刑事司法協助的規定,包括根據我國法律不屬于犯罪、已受我國刑事處罰、政治或軍事犯罪、基于不公平原因或缺乏實質性聯系,等等。但在一些情形下,亦可以接受請求但推遲刑事數據出境,例如當被請求的刑事數據正在國內的刑事訴訟程序中被使用,而其出境將影響國內刑事訴訟程序的進行,則可以待國內刑事訴訟程序結束后再完成該刑事數據的出境。還有一些情形,可以在接受請求后就刑事數據出境附加條件,例如當出境的刑事數據屬于重要數據或基于例外而允許出境的國家核心數據,可以要求請求國提供額外的保密或不得損害我國利益的承諾。
       
        第二,必要時可以將刑事數據出境的請求告知作為數據主體的公民個人并取得其同意。如上文所述,在刑事數據出境的場景下亦有貫徹“告知-同意”之要求而保障數據主體的知情權和決定權的必要,尤其在數據主體是刑事被害人時,此種告知更顯必要。但是此種“告知-同意”需要注意幾個問題。首先,對刑事數據出境請求向數據主體告知應限于特定情形,即此刑事數據本身系經同意而取得,數據主體的同意提供了該刑事數據處理的合法性前提,則在對此類數據依請求而出境時方有再告知并取得同意之必要。其次,對刑事數據出境的告知應避免對其請求目的的損害。此種請求的目的一般源自請求國辦理刑事案件的需要,其中相當部分涉及保密性極強的案件,如恐怖主義犯罪、跨國有組織犯罪等,在此種情況下向數據主體的告知可能與請求之目的發生沖突,因此告知應在符合請求國與我國法律規定之證據開示的條件下方可進行。再次,對刑事數據出境的告知應征詢請求國意見,請求國若不同意將刑事數據出境告知數據主體,可以選擇向我國作出保障數據主體相關個人數據安全的保證,也可以選擇撤回刑事數據出境之請求。
       
        (二)刑事數據出境的安全評估
       
        在數據出境中維護國家安全和保障數據安全的最有效手段之一就是進行數據出境的安全評估,《網絡安全法》《數據安全法》《個人信息保護法》等數據安全領域的基礎性法律和《網絡數據安全管理條例(征求意見稿)》均將安全評估作為數據出境的前置條件之一,國家網信辦2021年《數據出境安全評估辦法(征求意見稿)》也專門針對這一問題進行規定。在刑事數據出境的場景下,進行安全評估同樣是極其關鍵的環節,但刑事數據出境的安全評估基于其自身特點,有幾方面問題需要專門規定。
       
        第一,刑事數據出境均應經過安全評估。
       
        上述法律法規基本遵循將安全評估作為數據出境前置條件之一并明確必須經過安全評估的特殊情形的思路,對安全評估的適用情形加以規定。在確定必須經過安全評估的特殊情形時,相關法律主要考慮兩個方面的問題。一是出境數據的重要性,例如是否包含重要數據、是否是關鍵信息基礎設施運用者收集的數據等。二是數據處理者所處理數據的數量,例如《網絡數據安全管理條例(征求意見稿)》第37條和《數據出境安全評估辦法(征求意見稿)》第4條都將處理一百萬人以上個人信息的數據處理者納入數據出境安全評估的范圍。但是《個人信息保護法》第36條規定國家機關處理的個人信息確需向境外提供的應當進行安全評估。參考這些規定,筆者認為刑事數據出境均需進行安全評估。第一種情形是出境的刑事數據中包含國家核心數據和重要數據,例如涉及國家安全的刑事數據、敏感個人數據等,由于其涉及利益的重大性,必須經過安全評估方可出境。第二種情形是出境的刑事數據屬于一般數據時,刑事數據出境問題上的數據處理者主要是國家專門機關,其因工作需要處理的數據極易累計至較高的數量標準,再參考《個人信息保護法》第36條,宜規定即便屬于一般數據,也需經過安全評估方可出境。
       
        第二,刑事數據出境安全評估的主體。
       
        前述法律法規中所規定的數據出境安全評估主體主要是國家網信部門,國家網信部門不但是《網絡安全法》第37條規定的安全評估辦法制定者,也是《個人信息保護法》第40條和《網絡數據安全管理條例(征求意見稿)》第35條所指的安全評估活動的組織者。然而,刑事數據出境若僅僅由國家網信部門負責主導或組織進行安全評估,可能存在一些阻礙,因為網信部門不具備刑事司法的相關專業知識,也對刑事司法缺少足夠的參與,由其負責主導或組織刑事數據出境安全評估并不合理。面對此種情形,一個具有可操作性的思路是回歸2017年《個人信息和重要數據出境安全評估辦法(征求意見稿)》第5條的規定方式,由網信部門“指導行業主管或監管部門組織開展數據出境安全評估”。而《國際刑事司法協助法》關于國際刑事司法協助的主管機關已有明確規定,根據其第4條和第6條,國家監察委員會、最高人民法院、最高人民檢察院、公安部、國家安全部等部門是國際刑事司法協助的主管機關,有同意境內機構、組織和個人向外國提供證據材料和司法協助以及“審查處理對外聯系機關轉遞的外國提出的刑事司法協助請求”的權力。這些部門在網信部門的指導下在各自的職責范圍內進行刑事數據出境安全評估,既跨越了刑事司法專業知識方面的鴻溝,又契合其審查處理外國刑事司法協助請求的權責要求,同時網信部門又能提供數據出境安全評估方面的專業支持,是較為符合司法實踐現實和既有法律規定的相對合理選擇。
       
        第三,刑事數據出境安全評估的內容。
       
        《數據出境安全評估辦法(征求意見稿)》對于數據出境安全評估之內容作了詳細的列舉性規定,這些規定可以為刑事數據出境安全評估所參考。但基于刑事數據的特殊性,應著重評估以下三方面內容:首先,刑事數據出境是否符合國家利益。就此具體需要審查兩個層面的問題:一是刑事數據出境本身是否符合國家利益,例如是否侵犯我國的國家主權、是否系履行國際刑事司法協助雙邊條約或協定的要求、是否有利于刑事數據跨境流動的長期合作需要等等;二是刑事數據出境后一旦被非法處理,例如篡改、破壞、泄露或非法利用等,是否會給我國的國家安全、公共安全等利益造成損害、可能造成何種程度的損害。其次,刑事數據出境的目的及其必要性。刑事數據出境需堅守必要性原則與目的限制原則,在進行安全評估時亦應考慮這兩方面問題:基于必要性原則的要求,需評估此種數據出境是否必須以及是否是多種選擇中侵害最小的選擇;基于目的限制原則的要求,需評估刑事數據出境措施是否符合國際刑事司法協助請求中所指明的目的以及有無被超越此種目的而使用的可能。再次,刑事數據出境的保障措施。如評估刑事數據出境過程中的安全保障措施是否充分、有效,尤其需考慮對象國的數據安全保障能力。
       
        (三)刑事數據出境的安全保障
       
        保障刑事數據出境安全,要求采取必要的措施防止數據被泄露、損毀、篡改、濫用等風險,進而確保數據安全。在刑事數據出境的兩個階段均有安全保障之需,具體而言,一是在國內進行的刑事數據出境準備階段,二是刑事數據出境之后的階段。在國內進行的刑事數據出境準備階段可能涉及多個部門的分工配合,包括《國際刑事司法協助法》所規定的對外聯系機關如司法部,主管機關如國家監察委員會、最高人民法院、最高人民檢察院、公安部、國家安全部等,以及辦案機關。刑事數據需經過在各個部門之間傳輸的過程,可能經歷在不同數據處理系統間的傳遞,由此產生了被泄露、濫用等風險。針對此種風險,應當設置此階段的安全保障規則。其一,應對相關刑事數據設置處理權限。通過運用預先授權、系統加密、非法訪問警報、處理留痕等機制,僅允許經過數據安全培訓并獲得預先授權的工作人員對此類刑事數據進行訪問或處理,以確保數據處理者在專業能力和合規合法兩個方面上的資質可靠。其二,應對部分欲出境的刑事數據進行加密或匿名化處理。欲出境的刑事數據中,可能涉及國家秘密或個人隱私的,例如包含國防外交信息的數據、被采取保護措施的證人個人數據、性侵案被害人的個人數據等,通過加密或對個人數據中具有可識別性的符號進行加工而實現無法識別特定自然人的匿名化處理,可以有效防止泄露的可能并降低泄露后可能導致后果的嚴重程度。其三,對相關刑事數據的傳輸過程進行記錄和監督。參考2019年《公安機關辦理刑事案件電子數據取證規則》第41條調取電子數據,必要時應當采用錄音或者錄像等方式固定證據內容及取證過程的規定,可以要求刑事數據出境準備階段各個部門進行數據傳遞時以錄像、拍照、截獲計算機屏幕內容等方式記錄相應過程,以利于監督數據傳遞行為的安全性、合法性。
       
        在刑事數據出境之后,安全保障的重點則轉向對外國處理出境刑事數據行為的持續追蹤和必要監督。《國際刑事司法協助法》第19條第2款規定:“對于中華人民共和國提供刑事司法協助的案件,主管機關可以通過對外聯系機關要求外國通報訴訟結果。”這一條文為刑事司法協助工作完成之后的持續追蹤和必要監督提供了規范基礎。事實上,除了通報訴訟結果之外,我國亦可要求外國通報出境刑事數據的處理使用情況。通過此種通報,我國可以了解外國對出境刑事數據的處理情況,尤其是該國對相關數據采取的安全保障措施是否足以防止數據被泄露、篡改、濫用等以及是否實際發生此種情況,并向該國提出針對出境刑事數據的安全保障方面的建議或要求。除此之外,《國際刑事司法協助法》第18條還規定外國請求將通過刑事司法協助取得的證據材料用于請求針對的案件以外的其他目的的,應由主管機關作出是否同意的決定。據此,主管機關還可以在作出是否同意將出境刑事數據用于其他目的決定時審查是否符合數據安全保障的規范,并提出相應的建議或要求。
       
        (四)刑事數據出境的平臺利益和公民權利救濟
       
        “無救濟則無權利。”一旦平臺利益或公民權利受到侵害,需要為其提供必要的救濟途徑,在刑事數據出境的場景下也是如此。數據法領域常見的救濟方式是“投訴-指令”模式,即數據主體或利益相關方主張其權利遭到數據控制者或數據處理者拒絕或其權利行使過程中遭遇阻礙時,有權向特定機構提出投訴,由該特定機構作出相應決定并指令數據控制者或數據處理者執行。歐盟GDPR第58條第2款將此種撥亂反正的權力稱為矯正性權力,交由各個監管機構行使;日本《個人信息保護法》第42條規定個人信息保護委員會有權糾正對個人權利的侵害;我國《個人信息保護法》第65條也規定:“任何組織、個人有權對違法個人信息處理活動向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理,并將處理結果告知投訴、舉報人。”
       
        如上文所述,刑事數據出境有兼顧平臺利益和公民權利的必要,一旦前述權利遭遇侵害,亦可參照“投訴-指令”模式確立權利救濟機制。然而,針對刑事數據出境場景的特點,基于“投訴-指令”模式而構建的權利救濟規則仍有需進一步明確之處。
       
        第一,刑事司法領域作為“投訴-指令”模式基礎的現有法律規定。
       
        刑事司法領域已有一些關于“投訴-指令”的規定,集中體現在訴訟參與人對于公安、司法機關侵犯其訴訟權利行為的申訴、控告權的規定上。例如《刑事訴訟法》第49條規定辯護人、訴訟代理人認為公檢法機關阻礙其依法行使訴訟權利的,有權向同級或者上一級人民檢察院申訴或者控告;第117條規定當事人和辯護人、訴訟代理人、利害關系人對于司法機關及其工作人員的部分訴訟違法行為有權提出申訴或控告,不服處理結果的可以向檢察院申訴。這些規定表明通過申訴、控告實現權利救濟,已為刑事司法所慣用,因而針對刑事數據出境問題采取“投訴-指令”的權利救濟模式亦順理成章。更值得注意的是,這些條文將接受申訴、控告并糾正公安、司法機關侵犯平臺利益和公民權利行為的權力交給檢察機關,從而不免引發刑事數據出境審查權力應由哪一機關行使的思考。
       
        第二,接受投訴和作出指令的部門。
       
        根據《網絡安全法》第8條、《數據安全法》第6條和《個人信息保護法》第60條的規定,國家網信部門是最主要的“履行個人信息保護職責的部門”,除此之外公安機關、國家安全機關在刑事司法領域內亦有數據安全監管和公民權利保護的職權。然而如上文所述,網信部門對刑事司法參與不足、缺少相關專業知識,由其針對刑事數據相關平臺利益和公民權利保護問題接受投訴和作出指令存在困難;而公安機關、國家安全機關作為偵查機關具有強烈的追訴傾向,且自身即是刑事數據出境活動最主要的參與者,獨立性不足,也不適宜作為接受投訴和作出指令的部門。相較而言,我國的檢察機關繼承了大陸法系檢察客觀中立的傳統,且是唯一全程參與刑事訴訟各個階段的機關,由其作為針對刑事數據出境活動接受投訴和作出指令的部門,符合《憲法》第134條規定之國家法律監督機關的權責定位,是當下的最佳選擇。至于檢察機關在數據監管方面專業知識的不足,可以通過適當調整機構設置和人員結構、向網信部門等專業機構尋求協助、將部分技術類工作外包給科技企業等方式予以補齊。
       
        第三,刑事數據出境前和出境后不同階段的“投訴-指令”的程序規則。
       
        在刑事數據出境之前,參考《刑事訴訟法》第117條的規定,作為數據主體的公民或涉及其利益的平臺在尋求救濟時可以向國際刑事司法協助的辦案機關的同級人民檢察院提出投訴,倘若此時該辦案機關是檢察機關的,則可以向上一級人民檢察院提出投訴。接受投訴的檢察院應審查此種投訴并向對應的辦案機關作出權利保障方面的指令,由該辦案機關執行。而在刑事數據出境之后,由于針對涉及刑事數據出境的國際刑事司法協助的辦案工作已經完成,平臺或公民尋求權利救濟時宜向最高人民檢察院提出申訴,由最高人民檢察院作出指令并交由所涉之主管機關辦理,從而在最大程度上實現對平臺利益和公民權利的保障。
       
        五、結語
       
        從某種意義上看,數字時代的基石乃是數據的自由流動而非數據本身,于是在互聯網、大數據等技術的加持下,數據的流動形成了澎湃的時代浪潮。為應對新時代犯罪的特點,跨越國境界限而調取刑事數據成為必需,各國都欲獲得存儲在他國的刑事數據,也同時要面對他國獲取存儲于本國之刑事數據的需求,有所取必有所予,因此刑事數據出境不可避免。然而由于刑事數據出境不但涉及數據安全、公民權利等法益,而且與國家主權密切相關,故不得不以極其審慎的態度對待之。從保護國家主權、數據安全和公民權利的立場出發,宜在國際刑事司法協助的框架下以個案請求的方式實現刑事數據出境,綜合考慮刑事數據的分類分級特征、出境的必要性與目的、可能帶來的風險的諸多因素而決定是否允許特定刑事數據出境,并按照刑事數據出境的請求與接受、安全評估、安全保障和權利救濟等程序性規則予以實現,從而避免刑事數據出境的不確定性、降低其安全風險,實現刑事數據出境的“程序正當”。

      【作者簡介】
      鄭曦,北京外國語大學法學院教授、博士生導師。

      本網站文章僅代表作者個人觀點,不代表本網站的觀點與看法。
      轉載請注明出自北大法律信息網
    0
    北大法律信息網
    www.chinalawinfo.com
    法律動態
    網站簡介
    合作意向
    網站地圖
    隱私政策
    版權聲明
    北大法寶
    www.pkulaw.cn
    法寶動態
    法寶優勢
    經典客戶
    免費試用
    產品服務
    專業定制
    購買指南
    郵件訂閱
    法律會刊
    北大英華
    www.pkulaw.com
    英華簡介
    主要業務
    產品列表
    英華網站
    聯系我們
    用戶反饋
    返回頂部
    二維碼
    不要添了,我高潮了视频