电子数据系列 | 刘禹隆：跨境数据取证基础之反思及完善——向外向性思路转型

来源：|发布时间：2023-02-26 10:33:20|浏览次数：1

刘禹隆 | 北京恒都（天津）律师事务所律师，英国利物浦大学法学硕士。

一、问题的提出

在网络信息革命下，互联网为网络赌博、电信诈骗等跨境犯罪提供了技术上的便利，然而执法机关受制于执法行为地域性的束缚，无法遵循单一的技术路径直接跨境取证执法调取数据，追诉打击犯罪。

为有效化解跨境数据取证的法律障碍，世界各国在国内法与国际法层面对取证的条件、范围、程序等内容进行了许多尝试。美国的《澄清合法使用境外数据法》、欧盟《提取和存留命令条例》、《布达佩斯网络犯罪公约》及其两份议定书是在跨境数据取证方面具有代表性的法律文件。

目前学界大致将国际上跨境数据取证制度划分为数据存储地模式与数据控制者两种模式。前者以数据存储物理介质所在地的地理位置确定管辖权；后者则以数据控制者的国籍、在该国的虚拟存在等路径作为管辖连接点对数据控制者施加影响力，强制其保存、提交数据。

这两种模式各有缺陷，数据存储地模式通常需要经刑事司法协助程序请求存储国予以执法协助，手续繁琐、效率低下且不确定性高；而数据控制者模式绕过存储国审批直接调取数据，被视为是外国执法权的域外行权，既侵犯存储国国家主权，也有威胁数据安全之嫌。

二、僵化坚守的国家主权

学界论述大多致力于批判数据控制者模式下单方取证可能导致的执法权外溢至他国境内，进而引发存储国“数据失控”，作为与存储国国家主权存在冲突的制度，数据控制者模式自始不具有正当性。

因此主张跨境数据取证应当立足于国家主权原则，在完全尊重存储国意愿的前提下，通过改良国际刑事司法协助程序以回应信息网络犯罪对于取证及时性、确定性的要求。

当前跨境取证制度研究日益呈现出僵化坚守国家主权的特征。前述思路暗藏这样一条基本逻辑：“遵守国家主权原则是国际法律制度具备合法性的必要条件，在跨境数据取证的语境下，只要跨境取证制度与国家主权原则相冲突，则该制度均应当视为非法且无效。”

然而通过考察发现，国家主权原则在国际法层面并不具有否定其他法律规范的优位性。在国际法领域中，仅有“为全体国际社会接受承认且不容许对其产生任何减损（derogation）”的强制性规范（Peremptory norm）才具有否定其他法律规范、条约合法性的性质。因此必须回答“减损国家主权的行为和意图是否一律为非法”的问题。

事实上，国家主权原则并未被完全纳入强制性规范的内容；与此相反，国家主权恰恰是强制性规范意图规制与限制的对象。强制性规范的存在实际上是多数国家对少数国家在国家行为与国家意志层面的强制。

“为全体国际社会接受承认”是认定某一原则成为强制性规范的必要条件，但是《维也纳条约法公约》对强制性规范关于“全体”的解释采用了少数服从多数的认定方式，少数国家无法以国家主权为由拒绝强制性规范的适用。同时，作为一般国际法适用例外的“一贯反对者”概念无法对抗强制性规范“不容减损”的强制力，强制性规范的适用不允许例外存在。

当问题回归到国家主权原则，尽管酌定法是国家间基于自由意志，在内政外交方面对自身主权的处分与让渡，但是当酌定法与强制性规范相悖时，该酌定法自始非法无效，换言之，强制性规范为国家主权划定了行权范围。在强制性规范项下，无论国家是否有意接受该规范的约束，均受到该规范的规制；酌定法的法律效力仅取决于该条约与强制性规范是否存在冲突关系。

因此国家主权原则并未被纳入强制性规范的范畴，我国学术论述中认为“跨境取证制度只要有悖于国家主权原则则应当无效”的观点并没有国际法法理以及司法判例的支持。

僵化坚守国家主权的缺陷并非仅限于法理证立层面。

第一，从欧盟《提取和存留命令条例》、美国《云法》的内容来看，强化跨境取证能力弱化执法地域性法律障碍是跨境数据取证发展的趋势。

第二，尽管上述两部法规为基于存储国国家利益的礼让分析保留了适用空间，但是实践效果不彰，我国国内的阻断法亦无法有效阻断境外跨境取证法律适用。

第三，对国家主权的过度坚持导致跨境取证制度的外向性构建受到束缚，导致跨境取证制度无法跟进办案实务的需要，仅能对远程勘验等取证措施进行扩张性适用，导致刑诉法规定的取证措施在实务操作与其正当性基础之间不适配。

三、跨境取证制度的外向性思路转型

为在维护国家主权与构建外向性跨境取证制度之间寻求平衡，有必要引入“原则——正当理由”（下称：正当化主义）的逻辑构造。正当化主义是指，承认尊重国家主权是构建跨境取证制度的基础与前提，未经存储国同意实施的跨境执法均为非法，但是存在正当且充分的理由的，可以排除其违法性，进而视为行为合法。正当化主义是对“原则——例外”（下称：例外主义）的改良。

例外主义是指：承认国家主权的重要地位，但是认为在例外情形下可以突破主权原则直接进行取证。例外主义的缺陷在于割裂了原则与例外事由之间的关系，将两者处于并列位置而无逻辑递进关系，这就导致陷入“或原则或例外”的选择之中而不能兼得。

同时，在例外主义的思路下，我国学界对外向性取证事由的研究往往局限于对个案或惯例的归纳总结，这样的研究思路无法从个案中抽取正当性路径并沿着这一路径进行扩张性制度构建。

正当理由总体上可以分为扩张性跨境取证事由与缓和性权利保障事由。前者是指在何种条件、范围内可以实施单方跨境取证；后者是指单方跨境取证措施应当在程序、基本权利等方面受到何种限制，从而尽可能降低取证措施的权利侵犯性至存储国可以容忍的范围之内。

当前紧急情形是在国际层面受到广泛认可的扩张性跨境取证事由，一些国际、国内法律法规已经承认在紧急情形下为了某些重大法益可以让渡部分权益，允许取证程序缩减、取证范围扩张。

《布达佩斯公约第二议定书》采纳了布达佩斯公约云证据工作组（T-CY Cloud Evidence Group）2016年报告中的建议，将紧急情形列为允许缔约国未经司法互助程序而向另一缔约国数据控制者直接取证的特别情形，同时将取证的数据扩大至全部“计算机数据”。

欧盟《刑事取证个人保护指令》第38条规定，为保护数据主体或其他个体的重大利益、防止针对公共安全迫在眉睫且严重的威胁，允许欧盟成员国在第三国不具备适当性传输协议、权利保障措施的情况下直接传输数据。

在缓和性权利保障事由方面，现有的法律框架主要通过存储国主权权利与数据主体个人权利的双重路径回应跨境取证行为的权利侵犯性问题。存储国主权权利体现在个案审查的异议权，有代表性的是美国以及欧盟在证据跨境上的礼让分析。而《布达佩斯公约第二议定书》第13、14条以及欧盟《刑事取证个人保护指令》36、37、41条对数据主体个人权利权属类别、救济程序等内容加以规定。

在明确扩张性跨境取证事由与缓和性权利保障事由后，可以对这两个事由背后的正当化路径进行扩展，并以此为契机对我国的跨境取证制度进行外向性构建。

第一，扩张紧急事由，在比例原则指引下将传统意义上局限于“对自然人、公共安全迫在眉睫且重大的威胁”逐步扩张至包含诸如“证据可能损毁灭失”、“自然人法人可能遭受不可挽回的财产损失、名誉损失”等，同时应当注意防范该事由扩张过度。

第二，在权利保障方面，应当保障存储国对跨境数据取证的知情权，同时立法设置诸如对错误数据的修正、取证信息不完整不准确、国家利益显著高于案涉权利等事由，允许存储国在我国国内法项下依托上述事由进行抗辩。

在数据主体权利层面，从刑事诉讼权利、个人信息权益、我国与存储国法律衔接三个方面进行权利保障。