《联合国打击网络犯罪公约》:背景、内容与展望
1
裴炜:《联合国打击网络犯罪公约》(以下简称《公约》)的制定背景是什么?相较于此前的《布达佩斯网络犯罪公约》(以下简称《布达佩斯公约》)等国际层面已有的打击网络犯罪的公约,联合国公约具有哪些特点?在哪些方面能够提升我国打击网络犯罪的能力?
黄志雄:作为首个全球性网络空间专门立法,《公约》的酝酿和发起与当前网络空间国际规则博弈的大背景紧密相关。其中,东西方阵营对现有国际法的部分规则适用到网络空间之外、是否还需要制定新的专门性国际公约素来存在争议。但事实上,在打击网络犯罪领域,西方国家并非没有意识到制定新公约的现实需求,欧洲委员会早在2001年就推出了一个《布达佩斯公约》。也正是因为这一公约的存在,东西方围绕“网络空间要不要制定新公约”的博弈也就进一步演化为“要不要制定新的全球性公约”的问题。以中俄为代表的非西方国家并不否认《布达佩斯公约》的积极意义,但基于公约部分条文内容、公约代表性和开放性等方面难以克服的局限性,他们主张在联合国框架内制定全球性公约。与此同时,西方国家则意在推动《布达佩斯公约》成为打击网络犯罪领域的“全球性标准”。
在此背景下,2019年12月,中俄等金砖国家和广大发展中国家支持联合国大会通过了授权启动联合国框架下新公约谈判的第74/247号决议,取得了东西方博弈的阶段性胜利。2024年8月,历经两年多的艰难谈判,《公约》案文获得通过。《公约》的顺利出台不仅为打击网络犯罪提供了一份更具权威性和全球代表性的法律框架,也标志着中俄等非西方国家推动制定网络空间新公约的主张首次取得了成果,全球南方国家在全球规则的制定中的影响力也进一步提升。
《公约》的一个突出特点在于公约的广泛代表性。作为由联合国主持制定的普遍性国际公约,国际社会各国均能够以民主透明和多边参与的方式参与公约制定,表达自身的意见主张,最大程度反映和凝聚了全球各国打击网络犯罪的共识。相较而言,《布达佩斯公约》由欧洲委员会起草,仅有欧洲发达国家参与谈判,广大发展中国家并未参与公约谈判过程。此外,在价值取向方面,对东西方国家围绕主权和人权不同关切的兼顾也是《公约》的主线和突出特点之一。《公约》除了第5条专门设立“保护主权”条款外,第五章(国际合作)等相关条文亦对充分尊重和保障缔约国主权的要求有所关注。同时,对人权保护的价值考量也贯穿于公约文本,在总则部分,《公约》第6条等多个条文对打击网络犯罪领域的人权保护进行了确认,直接回应和关照了西方关于打击网络犯罪中对人权影响的担忧。
放眼《公约》的未来影响,公约对增强我国打击网络犯罪能力具有相当的积极作用。在国际合作方面,《公约》设定了打击网络犯罪有关国际合作义务,并对此赋予了较为宽泛的应用范围。在《公约》规定的网络犯罪之外,各国还有义务对可能被判处四年以上有期徒刑的“严重犯罪”开展电子证据方面的合作。此外,《公约》第4条规定,对于联合国其他公约和议定书确立的犯罪,在使用信息和通信技术系统实施时,亦视作本国法律所规定的刑事犯罪。《公约》第4条也发挥了畅通《公约》与联合国其他公约和议定书之间的联动的“桥梁”作用,进一步扩大了国际合作有关义务的适用范围。这对我国借助国际合作、进一步克服打击网络犯罪的司法管辖和技术障碍具有积极意义,能够更为有效地对有关犯罪行为进行追诉。同时,《公约》中对技术援助和信息交流方面的法律框架,亦对我国在打击网络犯罪领域的能力建设有所裨益。
冯俊伟:进入21世纪以来,随着信息网络技术的发展,网络犯罪和各类涉网络犯罪逐渐增多,对个人权利、社会秩序和国家利益等都产生了重要影响,具体言之:一是犯罪行为的时空发生重要变革。信息网络技术的发展和运用使得犯罪空间从物理空间发展到了数字空间,乃至融合为物理空间和数字空间的结合,犯罪行为有了更多时空资源。二是犯罪行为的形式发生重要变化。在传统的网络犯罪之外,实践中还出现了更多的与网络相关的犯罪,并且后一类犯罪在实践中所占的比例不断增大,深刻地改变了犯罪的传统结构和形式。三是犯罪行为涉及的证据形式发生重要变化。在传统犯罪中,物证、书证、证人证言等对于定罪量刑具有重要作用,但在网络犯罪和涉网络犯罪中,电子证据具有独特和重要的证明价值,如何及时、有效地取得电子数据、如何运用电子数据成为各国立法、司法备受关注的重要议题。四是犯罪行为的危害后果不断扩大。传统的计算机犯罪更多是针对计算机信息系统、电子信息设备等,而随着相关网络技术的应用,网络犯罪还与有组织犯罪、贩卖人口、贩卖毒品等严重犯罪相结合,产生了更大的社会危害。加之网络犯罪的匿名性、跨国性和变动性,使得仅通过各国国内法难以有效回应相关犯罪,亟须各国通过更紧密的国际合作来共同打击网络犯罪。这是《公约》制定的重要背景。
与之前已经存在的《阿拉伯国家联盟打击信息网络犯罪公约》以及更多是在欧洲范围内形成的共识——《布达佩斯公约》等打击网络犯罪公约和相关文件相比,首先,《公约》是联合国层面推动的打击网络犯罪的公约,形成国际性公约并凝聚新的共识是其最大的特色。其次,《公约》的制定背景与之前的公约相比也有所不同。如前所述,由于信息网络技术的发展变化,当前网络犯罪的时空条件、具体形式、危害后果等与21世纪初已完全不同,《公约》是立足当前、关注实践、适度前瞻的打击网络犯罪国际公约。最后,《公约》的重要关注也与《布达佩斯公约》等有所差异,虽然两个公约都对网络犯罪的实体、程序和证据问题作了关注,但《公约》更加关注电子数据取证问题,并将《布达佩斯公约》第二议定书中的电子取证公私合作直接纳入其中,具有重要的进步意义。
结合《公约》的磋商过程,公约的起草、拟定是我国积极参与网络犯罪国际规则制定、推动网络犯罪国际治理的重要体现。《公约》中关于电子取证措施的规定、电子取证国际合作的规定,以及网络犯罪管辖权、预防措施等的规定,都将有助于优化我国国内法的规定,提升我国公安司法机关打击网络犯罪的能力。
谢登科:信息网络犯罪有一个重要特点,即弱地域性(跨境性)。不同国家对信息网络犯罪界定、治理存在较大差异,违法犯罪分子就会利用此种特点来逃避侦查。比如,有些国家的法律没有将赌博规定为违法犯罪。网络赌博的违法犯罪分子就可能在这些国家架设服务器、开设网络赌场。由于这些国家不将赌博规定为违法犯罪,且网络空间是开放的,所以其他国家的国民就可能在这些赌博网站上从事赌博活动,由此可能导致家破人亡和一国财产的大量外流。此时,对在境外开设网络赌场的违法犯罪,在进行打击和治理时就面临很大的障碍。而随着信息网络技术在违法犯罪活动中的大量使用,网络犯罪的形态和类型也在迭代发展,早期的网络犯罪主要是“对象型网络犯罪”,比如,侵犯计算机信息系统、非法获取计算机信息系统数据等犯罪,它们主要是针对计算机信息系统或者网络信息系统,破坏其完整性和有效性。现在的网络犯罪主要是“工具型网络犯罪”,利用网络进行诈骗、赌博、散布淫秽视频、侵犯个人隐私或信息、发布侮辱性或者诽谤性言论等犯罪。
《布达佩斯公约》出台时间较早,其更多关注的是“对象型网络犯罪”,对“工具型网络犯罪”关注不够。但是,现在网络犯罪的数量、类型、结构等都发生了重大变化,此时就需要重点关注“工具型网络犯罪”。同时,《布达佩斯公约》毕竟是区域性的国际公约,其很多内容体现了区域性特点和状况,比如说在欧盟内部,国家与国家之间融合程度较高。而《公约》是全球性公约,需要考虑的问题更多,其内容设计就需要更多地考虑多样性和包容性。比如,《公约》非常重视国家主权平等和保护,注重对个人信息的保护,设置专门条款来保护个人信息,在电子数据跨境取证上通常要求通过国际刑事司法协助方式进行。对于境外电子数据取证,《布达佩斯公约》规定了对公开发布的境外数据、经数据主体同意的境外数据等的取证规则,侦查机关可以直接收集提取,而无须通过国际刑事司法协助方式收集。但是,在《公约》中则没有此种规定,这就体现了《公约》更加注重国家主权保障。另外,由于网络犯罪是信息网络技术的产物,打击和预防网络犯罪,在很大程度上取决于相关国家的科技水平、经济状况等因素。《布达佩斯公约》是以欧盟为主要适用范围的区域性公约,参与者多数是发达国家,其价值观念、经济状况等因素差距相对不大。而《公约》是全球性公约,在适用中就有可能面临国家发展不均衡的突出问题,比如东西方差异、南北差异等。《公约》在设计时已经考虑到国家发展不均衡的问题,设计了很多条款来帮助发展中国家提高打击网络犯罪的技术能力。
网络犯罪具有流动性、跨境性、组织性、产业化、链条化等特点,在这些特点下,就必然会产生打击和预防网络犯罪的国际合作问题。我国也是网络犯罪的受害国之一。很多网络犯罪,比如电信网络诈骗、网络赌博、网络传销、网络贩毒等,严重损害我国国民的财产权等合法权利。网络犯罪中存在大量的被害人,还导致我国财富大量外流。《公约》可以加强世界各国在预防、打击网络犯罪上的协助与合作,有利于在全球层面提高打击网络犯罪的能力、消除跨境打击网络犯罪的制度障碍,这自然对我国预防和打击网络犯罪具有积极意义。《公约》实施之后,其中相关制度和规则就需要转化为我国的国内立法,这就可以提高预防和打击网络犯罪制度的法治化、现代化,有利于促进我国网络法治建设。比如,在电子数据侦查取证措施方面,我国《刑事诉讼法》虽然已经将电子数据规定为法定证据种类之一,但缺乏对电子数据侦查取证措施的规定,有些司法解释、部门规章中虽然规定了电子数据的侦查取证措施,总体来看这些规范性文件的效力层级较低。《公约》规定了层次化、体系化的电子数据侦查取证措施:既有电子数据的取证措施,也有电子数据的保全措施;既有电子数据的境内取证措施,也有电子数据的境外取证措施。我国《刑事诉讼法》再修改中可以参考借鉴《公约》的相关内容,提升电子数据侦查取证措施的法治化、现代化水平。
李怀胜:总体而言,两个方面的因素推动了《公约》的制定。一方面,客观因素是信息化时代各国携手打击网络犯罪的现实需求。网络的无限延展性、超时空性等让各类犯罪纷纷将触角伸到网络空间,给传统的国家治理体系造成了严峻的挑战。这不仅体现在犯罪的认定尺度和标准方面,也体现在跨国性网络犯罪在管辖权、证据收集和刑事司法协助等的困境。当前传统跨国犯罪已经完成了犯罪的升级改造,表现为信息化跨国犯罪的形态,突破了传统跨国犯罪跨越一两个司法管辖区的区域性跨国犯罪的范畴,而成为真正意义的全球性犯罪。犯罪治理的上述挑战,都需要各国携起手来。
另一方面,代表第三世界国家利益的中俄等国的大力推动才是真正的推动因素。中俄等国一直坚持以联合国为平台建立全球性的打击网络犯罪机制,西方国家则坚持以《布达佩斯公约》为蓝本,将其开放签署进而升格为全球性公约。中俄等国认为,《布达佩斯公约》主要反映欧盟等西方国家的利益诉求,不具有广泛的代表性。而在联合国看来,2003年《联合国反腐败公约》制定以来,也希望能够有一部新的国际层面的打击网络犯罪的公约,来凸显自身在打击网络犯罪和在全球化治理体系中的卓越地位。2019年第74届联合国大会通过了“打击为犯罪目的使用信息通信技术行为”决议(74/247号决议),正式开启了谈判制定打击网络犯罪全球性公约的进程。在此背景下,经过世界各国的共同努力,《公约》终于制定完成。
与《布达佩斯公约》相比,《公约》具有以下特点:
一是广泛性。众多国家在《公约》制定过程中经历了一系列复杂的磋商甚至争吵,最终通过的案文也是各方妥协的结果,代表了各方利益的最大公约数,最为充分地反映了当前国际社会在打击网络犯罪问题上的基本立场。
二是权威性。这是2003年《联合国反腐败公约》制定以来再次在预防犯罪和刑事司法领域达成公约,为全球提供权威合作的契机。《公约》草案的顺利通过,强化了联合国在全球犯罪治理体系中的主导地位,而联合国层面赋予的权威性是其他任何区域性网络犯罪治理公约都无法企及的。《公约》规定加强向发展中国家提供技术援助和支持,这有助于广大发展中国家提升网络犯罪治理的能力,因而受到发展中国家的普遍欢迎。
三是深入性。《公约》的正文共有68个条文,涵盖范围非常广泛,包括《公约》的宗旨、适用范围、管辖权、刑事定罪、程序措施和执法等方面,基本涵盖了国际社会在协同打击网络犯罪中的各个方面。《公约》的一个重要亮点就是确立了网络主权原则,《公约》第5条规定:“1.缔约国应当以符合各国主权平等和领土完整以及不干涉别国内政原则的方式履行本公约为之规定的各项义务。2.本公约的任何规定概不得赋予缔约国在他国境内行使管辖权和履行该另一国国内法律所规定的专属于该国主管机关的职能的任何权利。”这是广大发展中国家在网络空间国际治理体系中的重大胜利。当然,《公约》第6条也重申了尊重人权原则。
可以预见,《公约》生效后会大大改善我国目前的跨国网络犯罪执法环境,同时也对我们的执法能力提出了更高的要求。《公约》的出台,并不是当然地提高我国的网络犯罪执法能力,但这种规范的传导和刺激效应无疑是有益的。
2
裴炜:《公约》特别强调推动打击网络犯罪中的公私合作,并在多个条文提到网络服务提供者的协助义务。这些义务在公约起草过程中曾引发诸多争议,应当从哪些方面促进公私合作的合理、有效开展?
谢登科:现在我们已经进入信息网络社会和数字经济社会,很多活动是在网络空间进行的,很多行为是以网络化、数字化方式实施的。互联网企业、信息企业的技术开发和经营活动,大幅降低了我们使用网络实施各种行为的技术门槛,推进了信息网络的大众化、普及化,但也同时降低了信息网络犯罪的技术门槛。通过架构、代码、算法、程序……互联网企业成为网络空间和网络犯罪治理中不可或缺的重要主体。
《公约》中很多调查取证措施的实施或者执行,就和网络服务提供者密切相关。比如,数据快速存储、数据快速保全、数据调取、数据搜查扣押、数据实时收集、数据拦截等,都离不开网络服务提供者的参与和介入。当然,网络服务提供者在这些不同的侦查取证措施中承担的功能,并不完全相同。比如,在数据快速存储中,网络服务提供者实际承担着数据存储义务。此种存储义务,和其给消费者或者用户提供的数据存储服务,价值功能并不一样。对用户承担的数据存储义务,主要是为了更好地给用户提供相应服务,从而提升企业竞争力、用户量和企业价值。而在数据快速存储中,网络服务提供者存储数据的时候,主要是为了保全可能作为证据使用的数据,从而为将来侦查机关收集证据、查明事实奠定基础。此两种数据存储义务的价值功能不一样,有时可能产生冲突。网络服务提供者是市场经济主体,以追求企业利润最大化为主要目的。但是,网络服务提供者也承担着社会责任,其在发现行为人利用其网站、平台实施违法犯罪活动时,不能无动于衷。此时,网络服务提供者有义务配合公安司法机关打击、治理网络犯罪。在履行社会责任中,网络服务提供者就需要承担额外的成本。《公约》在设置网络服务提供者配合或者协助义务时也关注到此问题,既赋予了网络服务提供者在电子数据侦查取证中的诸多义务,比如数据存储义务、数据提供义务、技术协助义务等,也进行了适当平衡,通常仅要求网络服务提供者在力所能及的范围内提供协助,从而防止因履行协助或者配合义务而给企业造成巨额负担。
在公私协作中,需要厘清网络服务提供者职能和定位。在电子数据侦查取证中,取证主体或者执法主体仍然是国家专门机关,私人主体在实际执行过程中需要提供协助或者配合。比如数据快速存储,因为网络服务提供者是给用户提供服务的,在服务过程中,就占有或者控制了相关数据,具有存储数据的便利性和技术优势,所以就需要网络服务提供者来存储数据从而保全证据。又如数据提供令,网络服务提供者因给用户提供服务而占有或者控制了相关数据,其具有提供数据从而配合侦查的先天优势。有些侦查取证措施则需要网络服务提供者给予技术协助,比如数据截取、数据实时收集。这两种侦查取证措施在本质上都是技术性侦查措施,对公民基本权利具有很强的干预性,属于高度的强制性侦查措施,不能由网络服务提供者来直接执行,但需要其应用技术方法或者措施予以协助,由侦查机关来执行。因此,在公私协作中需要厘清侦查机关和网络服务提供者各自的角色定位。
需要注意的是,公私合作和国家与国家的司法协助不同。后者通常不具有强制性,请求国提出了司法协助的请求,被请求国不是必须执行,而是需要先进行审查,然后根据审查结果来决定是否执行。在很多情况下,被请求国也可以不执行,《公约》里面规定了很多此类情形,比如,提供协助可能会违反本国法律。这实际上也体现了国际刑事司法协助中的主权平等和主权保护。但在公私合作中,代表国家行使侦查权的公安机关与作为私人主体的网络服务提供者,双方处于不对等的法律关系之中。对于侦查机关的协助要求或者命令,作为私人主体的网络服务提供者必须履行,否则就可能产生相应法律后果。《公约》作为国际法,并没有规定此种法律后果。但是,在很多国家的国内法中规定了网络服务提供者拒不履行协助义务的法律后果。在平等法律关系中,网络服务提供者将其占有、控制的数据提供给他人,通常需要征得数据主体的“知情—同意”,因为这会干预数据主体的信息自决权,所以仅在取得数据主体同意授权的情况下,相关数据才可以提供给他人。但在电子数据侦查取证中,网络服务提供者不仅无须告知并取得同意,通常还需要承担保密义务。《公约》在相关电子数据侦查取证措施中就规定了网络服务提供者的保密义务,存储或者提供相关数据是其履行法定义务的要求,这就免除了“知情—同意”规则中的告知义务。简言之,网络服务提供者承担的相关保密义务,是为了更好地保障侦查机关查明事实、打击犯罪。在公私合作中,网络服务提供者也需要确立数据分类分级的理念和制度。不同数据承载了不同法益,侦查机关所能够采取的侦查取证措施不一样,网络服务提供者承担的协助义务也不相同。比如数据快速存储,网络服务提供者对订户数据、流量数据、内容数据都具有快速存储的义务。又如实时收集,其本质上是电子数据的技术性侦查措施,网络服务提供者需要提供相应技术帮助来收集流量数据。再如数据截取,也需要网络服务提供者提供技术帮助,但主要是用来收集内容数据。不同类型的数据对应的侦查取证措施不同,由此所产生的网络服务提供者协助义务也存在差异。
李怀胜:传统犯罪治理机制在网络犯罪面前力有未逮,迫切需要新的治理模式。其中,公私合作被视为有效的网络犯罪治理机制。概因在现代网络社会中,提供各类网络服务的网络平台聚集了海量的用户和数据资源,在信息提供、犯罪预防等方面确实有着国家无法比拟的优势。故国家需要平台有效赋能,共同参与对网络犯罪的治理。《公约》因而特别强调公私合作在推动打击网络犯罪中的重要作用,但各方在一些关键性问题上依然存在较大分歧。例如,在合作范围上,公私主体应当合作到何种程度。私营主体固然掌握着关键性数据,但其也面临隐私保护、用户契约等诸多责任的限制。《公约》强调需要明确的法律框架,以界定私营主体的角色和义务,避免网络服务提供者面对执法请求的合规性以及用户数据的保护而陷入两难境地。此外,有效的合作依赖于强有力的信息共享机制,如何平衡及时共享的需求与保护敏感数据和知识产权之间的关系也是《公约》制定中的争议性话题。对于国家机关可能存在的对私营主体的过度支配或者数据滥用现象,一些国家在《公约》起草过程中呼吁应当更加透明和建立问责机制。
有限的打击网络犯罪公私合作机制可以从以下几方面着手:首先,建立明确的法律框架,以确保双方的权责清晰。私营主体的网络犯罪治理义务并非来自其掌握着海量的用户数据和资源,这只是其履行网络犯罪防范和治理义务的先决条件。最重要的原因是,许多网络犯罪实际附着于私营主体的业务模式,是其业务模式的不良延伸,私营主体在安全防范等方面的缺失也是网络犯罪高发的重要原因。但这并非私营主体承担无限网络犯罪治理责任的理由。毕竟作为一个以营利为目的的商业化组织,私营主体的社会责任限度应当与其商业价值、商业目标形成有效的平衡。况且,让私营主体承担过度的网络犯罪治理责任,可能会造成用户的畏惧感,这反而不利于网络生态的长远发展。因此,公私合作机制的私营主体的义务限度,应当由法律事先清晰地规定。其次,信息共享机制应符合所在国的隐私制度和数据保护条款,防止对用户权利的不当侵害。再次,提供培训和技术支持,提升网络服务提供者的安全意识和应对能力。最后,鼓励多方参与,推动政府、企业与民间组织的联合行动,共同应对网络威胁。
冯俊伟:《公约》中通过多个条文对网络犯罪中的公私合作作了规定,主要是针对电子数据取证。这也成为《公约》强化打击网络犯罪国际合作的重要方面。2018年3月美国颁布了《云法》,将“控制者标准”从物证、书证等传统取证领域扩展到电子数据取证领域,随后欧盟发布了电子数据取证草案,对电子数据取证的公私合作作了规定;2021年11月《布达佩斯公约》第二议定书也主要是围绕跨境电子数据取证的公私合作展开。应当说,《公约》推动打击网络犯罪中的公私合作,反映了近年来跨境电子数据取证领域的最新动向和发展趋势。需要注意的是,网络犯罪中的公私合作使得服务提供商参与到刑事司法过程中,改变了传统国际合作中的“请求方—被请求方”的合作形式,以下三个方面需要进一步关注。
一是要注重网络服务提供商的权利保障,在法律义务和权利保障方面进行适当平衡。在欧盟关于电子数据取证的立法文件中也特别提及,在打击网络犯罪公私合作中应当重视对服务提供商商业自由的保障。在国内法上,对于服务提供商面临的法律冲突,应当制定一定的法律规则。例如,营业地国要求服务提供商提交其控制的存储在另一国家的数据,但数据存储国法律禁止数据出境。
二是对于犯罪嫌疑人、被告人和其他人员的权利保障。在打击网络犯罪中的公私合作中,对犯罪嫌疑人、被告人的程序参与、程序权利、程序救济等都需要作出明确规定。在这一过程中,犯罪嫌疑人、被告人仍具有诉讼主体地位,应当享有实体上和程序上的权利保障,防止损害犯罪嫌疑人、被告人的合法权益。
三是打击网络犯罪中公私合作的具体程序。《公约》中不仅规定了各缔约国采取必要的立法措施和其他措施,授权本国主管机关下令取得电子数据,还规定了缔约国均应考虑《公约》所规定的权力和程序对第三方权利、责任和合法利益的影响,要保障人权和公正审判。在国内法上,不仅应当关注对网络犯罪的回应与打击,还应当重视公私合作调查取证中的权利保障。国内法上应当对电子数据调取程序等作进一步规定,包括启动的条件、适用的程序、网络服务提供商的法律权利和义务,以及被追诉人的权利和义务、程序救济途径等。
黄志雄:《公约》在国际规则层面对打击网络犯罪中的公私合作进行了确认,而要将公私合作凝聚为打击网络犯罪的合力,仍需要在以下方面采取措施促进《公约》有关规则的细化和落实。
首先,在《公约》对有关协作义务进行规制的情况下,应对有关公私协助义务的具体内容进行细化。当前,《公约》对公私合作的开展在宏观层面进行了把握,而公私协作的具体执行还需要国内立法对有关义务进行衔接和细化。以《公约》规定的网络服务提供者的协查义务为例,虽然我国《网络安全法》第28条亦对协助义务进行了确认,但并未对协助义务所对应的具体程序作出规定。又如,《公约》第28条规定了“搜查和扣押存储的电子数据”的公私合作,但究竟何种信息是主管机关需要了解的“必要信息”等问题也有待进一步厘清。整体而言,《公约》案文更多是为“公私合作”提供一种框架性规定,而将公私合作开展的具体方式留待各国在实践中进行探索和发展。因此,我国国内法应积极回应在打击网络犯罪方面开展公私合作的现实需求,对有关合作提供更为细致的、具有可操作性的制度指引。相关有益制度经验的积累,亦能推动未来《公约》的进一步调整与发展。
其次,确保公私合作的有效开展,需要健全对私主体权益的救济体系。在“程序措施和执法”部分,《公约》第24条第3款指出,“各缔约国均应考虑本章所规定的权力和程序对第三方权利、责任和合法利益的影响”。在开展公私合作的过程中,对网络服务提供者保护的限度的把握也是不可回避的问题。网络服务提供者可能需要积极回应别国的合作需求,但也需要遵守本国诸如在数据保护和处理方面的义务,而不同的法律义务之间可能存在冲突。此外,开展公私合作,亦可能对网络服务提供者自身的诸如数据安全等合法利益构成挑战。为推动公私合作的有效开展,国内法可以对权利义务的冲突进行调整,例如,规定对私主体造成不合比例的负担以及威胁特定权益等事项作为拒绝开展合作的正当理由等,并推动《公约》在未来的发展中对公私合作的救济体系进行细化,为公私合作的开展提供更有可预测性的制度安排。
最后,在实践方面,可以通过网络服务提供者相互沟通交流、与政府进行公私交流、与专家等多利益攸关方进行访谈的方式,对实践中的主要障碍进行梳理,并对先进经验进行总结推广,从而对公私合作进行更为灵活、有效的安排和调整。例如,联合国毒品和犯罪问题办公室发布了《网络犯罪领域的公私合作:美洲、非洲和亚洲的最佳做法、挑战和机遇》,以专家访谈和调查的形式对各地区公私合作的最佳实践和经验教训进行总结和探索。此外,该报告还重点介绍了当前已建立的打击网络犯罪伙伴关系的例子,并对公共和私营部门未来可能开展合作的领域进行了展望。
3
裴炜:《公约》制定过程中,定罪范围从最开始的草案到最终文本出现了大幅度的限缩,当前的定罪规定有哪些特点和问题?成员国约定在《公约》谈成两年后启动关于增加定罪的附加议定书谈判,该附加议定书应当对当前的定罪部分作哪些调整?
黄志雄:《公约》定罪范围的设定是谈判过程中各方博弈的关键场域,对定罪范围的不同把握也直接影响着《公约》的适用空间。根据各国对刑事定罪范围的态度,可以把各谈判国划分为主张拓宽《公约》定罪范围的“开放派国家”和主张收窄《公约》定罪范围的“限制派国家”。其中,以中俄为代表的发展中国家主张对定罪范围进行拓宽。根据联大74/247号决议,《公约》的定位是一项关于打击为犯罪目的使用信息和通信技术行为的“全面国际公约”,这也就要求《公约》需要尽可能对网络犯罪进行全面规定。根据中俄等国的主张,《公约》罪名设置不仅需要对《布达佩斯公约》项下的非法入侵、非法拦截、数据干扰、系统干扰等以网络为犯罪对象的犯罪进行规制,还需要应对当前传统型犯罪网络化的趋势,对“网络赋能型”犯罪进行规制。相反,西方国家更多倾向于限缩《公约》定罪的范围,沿袭《布达佩斯公约》的定罪模式,将《公约》定罪的范围限定于针对计算机系统和数据的纯粹网络犯罪,并仅在极其严苛的条件下将“网络赋能型”犯罪纳入《公约》予以规制,例如,对儿童性虐待和儿童性剥削等问题进行涵盖。
当前通过《公约》的罪行规制范围较为有限,较先前公布的《公约》草案在定罪范围方面也存在明显的回缩。当前《公约》共对11项罪行进行了规定,与2022年在第四次谈判会议后所公布的草案进行对比,诸如非法使用电子支付工具、煽动颠覆活动或者武装活动、与极端主义有关的犯罪、与恐怖主义有关的犯罪、鼓励或胁迫他人自杀、妨害司法等罪名均被删去。《公约》对定罪范围的把握整体沿袭了《布达佩斯公约》的做法。在《公约》规制的11项罪名中,有8项是在《布达佩斯公约》的基础上调整得出。有观点认为,《公约》更像是《布达佩斯公约》的全球化。在沿袭《布达佩斯公约》的有关规定之外,《公约》新增了“为对儿童实施性犯罪而进行教唆或诱骗”“未经同意传播私密图像”和“洗钱行为”等网络犯罪行为的有关规定,但整体上对新兴的“网络赋能型”犯罪关注仍然较为有限,规则的前瞻性存在欠缺。《公约》将具有争议的罪名留待未来的附加议定书进行调整和补充,这为《公约》的调整范围保留了一定灵活性。
至于《公约》未来的附加议定书在定罪范围方面的完善方向,应对打击“恐怖主义”“极端主义”等国际社会共同需求进行积极回应。2022年公布的草案文本中“与恐怖主义有关的犯罪”“与分销麻醉药品和精神药物有关的犯罪”等行为有所涉及,但这部分内容在最终通过的文本中并未被纳入罪行的规制范围,而仅在《公约》序言部分对这一现实需求进行关涉。未来应将有关行为明确列为“网络犯罪”,从而依托《公约》创设的国际司法合作机制对有关行为进行规制和打击。
此外,《公约》附加议定书在罪行设置方面还需要更多对个人权益保护进行回应。较先前公布的草案,《公约》对“侵犯个人信息”“非法使用支付工具”等罪名均进行了删除。中国一贯推动的“网络敲诈”“帮助信息网络犯罪活动罪(滥用网络服务)”等内容也并未被《公约》所涵盖。但着眼于当前网络治理的现实情况,《公约》未来的议定书应将涉及个人权益保护的有关罪名进行规定。与此同时,对于“非法使用电子支付工具”“帮助信息网络犯罪活动罪”等罪名,我国也应当积极思考如何将既有经验转化为国际法律规范,在议定书有关规则的谈判中发挥引领作用。
冯俊伟:《公约》制定过程中,关于网络犯罪的实体规定出现了较大变化,主要是刑事定罪范围的限缩。之前草案中的侵犯个人信息、与身份有关的犯罪、侵犯著作权、与极端主义有关的犯罪、与恐怖主义有关的犯罪等并未纳入其中。
从定罪范围的规定来看,需要注意的是:一是《公约》最终文本针对网络犯罪采取了一个狭义规定,主要是危害信息和通信技术系统、数据方面的犯罪,与信息和通信技术系统有关的部分犯罪,儿童性保护方面的相关犯罪和洗钱犯罪等。二是由于网络犯罪的范围与各国法律规定、社会传统等有紧密关联,加之网络犯罪也在随着信息通信技术的发展而不断变化,《公约》最终文本的规定体现了各国对网络犯罪的当前共识,但这并不代表对网络犯罪的未来共识。三是《公约》最终文本采取了谨慎的立场,是多方交流、多方博弈的结果。磋商过程中对网络犯罪的不同理解,其背后涉及的是理念差异,而理念差异的背后反映出不同国家对网络行为规制路径的差异。网络犯罪不应仅仅被认为是某一类犯罪,而是对整个犯罪活动都产生了重要影响,较为有限的刑事定罪一定程度上会影响到后续的国际合作。在共同打击网络犯罪、推动国际网络法治发展的目标下,更宜通过真诚、互信的磋商,进一步扩大刑事定罪范围。成员国约定在《公约》谈成两年后启动关于增加定罪的附加议定书谈判,磋商的过程也将成为形成新的共识的过程,对于《公约》内容的完善和实施等都具有重要意义。
谢登科:《公约》在制定过程中,既需要关注各方利益的博弈,也需要考虑网络犯罪的发展态势。现有版本《公约》中罪名的体系,具有“以对象型网络犯罪为主,工具型网络犯罪为辅”的特点,工具型网络犯罪仅有几个条款,对象型网络犯罪的条款则要更多。这个罪名体系背后有《布达佩斯公约》的影子,很多罪名直接参考或者借鉴了《布达佩斯公约》的相关条款。但是,《布达佩斯公约》制定的时候,计算机、网络等才兴起不久,彼时的网络犯罪多数是对象型网络犯罪。现在,网络犯罪的数量和结构已经发生重大变化,工具型网络犯罪占据绝大多数且呈大幅蔓延和急剧扩张之势,比如网络诈骗、网络敲诈勒索、网络淫秽视频、网络传销、网络赌博等。在网络犯罪数量和结构发生重大变化的情况下,《公约》以及将来可能会产生相关网络犯罪罪名的议定书,在谈判和制定过程中,需要注意到此种发展趋势,将工具型网络犯罪作为网络犯罪治理的重点内容,而不能仅仅关注对象型网络犯罪。
李怀胜:目前《公约》的犯罪条款是参与制定《公约》的各国相互妥协的结果,可以说是《公约》制定东西方的最大争议点,不出意外也成为改动幅度最大的条款。按照中俄等国的最初设想,《公约》应规定两类犯罪:一是狭义的计算机犯罪;二是传统犯罪的网络化,即以计算机和网络为犯罪工具与犯罪空间的犯罪。中俄等国认为,传统犯罪的网络化是当前网络空间治理的主要挑战,理应纳入《公约》的规制范围。但是,西方国家认为,不必扩大《公约》规制的范围,《公约》只针对狭义的计算机犯罪规制即可。最终通过的案文实际上偏向西方国家的立场,这当然也是为了保证能够顺利实现《公约》缔结的妥协之举。另外一个原因是,狭义的计算机犯罪是技术化的犯罪,各国对其规制的立场相对一致,而传统犯罪的网络化就和本国的文化传统、价值观念乃至意识形态高度绑定,在很多罪名的设定上各国几乎难以达成统一,如关于网络恐怖主义犯罪的界定。就以本该具有高度共识性的打击儿童色情条款(《公约》第16条)为例,有的国家认为要对儿童色情犯罪的行为方式进行拓展,制作、销售、持有、访问儿童色情的行为都要定罪处罚。有的国家则要求将儿童色情限定为真人,即排除动漫色情构成犯罪的可能。还有的国家认为只要儿童自愿分享和拍摄图片,就可以认为不是犯罪,但这种观点又招致其他一些国家的激烈反对。
为了解决《公约》目前罪名规定较少的局面,《公约》第4条规定,“缔约国在执行其已成为缔约国的其他适用的联合国公约和议定书时,应当确保根据此等公约和议定书确立的刑事犯罪,在使用信息和通信技术系统实施时,亦视作本国法律所规定的刑事犯罪。”这就为《公约》和本国法律的协调搭建了桥梁。当然,更重要的是,两年后开始的增加定罪的附加议定书谈判,为《公约》罪名的扩大提供了契机,但可以预见过程未必顺利。
4
裴炜:《公约》针对电子数据的收集提取设置了一系列程序措施,这些程序措施与我国的刑事诉讼措施衔接时存在哪些障碍?应当如何协调二者的关系以促进打击网络犯罪特别是侦查取证中的国际合作?
李怀胜:在当前犯罪泛网化的背景下,跨境网络犯罪司空见惯,电子数据收集和提取是刑事司法机关日常面对的任务,《公约》强调加强司法协助和执法协作,并对网络犯罪取证和跨境取证中可能遇到的障碍提出一些专门性举措,为跨境犯罪取证构建了国际合作规范。但是,这些规定存在与中国的刑事诉讼措施以及司法理念不一致的地方。例如,《公约》第27条“提交令”规定,“各缔约国均应采取必要的立法措施和其他措施,授权本国主管机关下令:(a)位于本国境内的某人提交其所拥有或控制的存储在信息和通信技术系统或电子数据存储介质中的指定电子数据;以及(b)在本缔约国境内提供服务的服务提供商提交其所拥有或控制的与此类服务有关的订户信息。”也就是说,我国网络服务提供者存储的数据,有可能在我国主管机关并不知晓的情况下,直接被其他国家主管机关调取。当然,这种权力是相互的,我们国家的主管机关也有权力通过该条款直接向其他国家的网络服务提供者调取相应的数据。此外,调取的信息类型有具体的要求,仅限“订户信息”,也就是注册信息。但是,根据我国《国际刑事司法协助法》及其他相关法律,对于司法机关通过刑事司法协助途径获取的境外证据,法院需要审查侦查调查机关是否按照法定程序请求国际刑事司法协助。对当事人、辩护人、诉讼代理人提供的境外证据,法院需要审查该证据材料是否经过所在国公证机关证明,由所在国中央外交主管机关或者其授权机关认证,并经中国驻该国使领馆认证,或者履行我国与该所在国订立的有关条约中规定的证明手续。简言之,我们对域外取证采取了较为严格的司法主权立场。那么,这就可能存在三方面的问题:一是对于域外司法主体直接向我国网络服务提供者取证,我国的司法机关是否允许;二是我国司法机关直接向域外网络服务提供者取证,是否需要主动通知对方司法机关;三是如果域外网络服务提供者拒绝我方请求应如何应对。此外,《公约》第35条规定,“在国际合作事项上,当两国共认犯罪被视作一项要求时,无论被请求缔约国的法律是否将所涉犯罪列为与请求缔约国相同的犯罪类别,或是否使用相同的术语指称该等犯罪,只要寻求协助的犯罪行为根据双方缔约国的法律均属刑事犯罪,则该要求即应视为已得到满足。”这也被视为双重犯罪原则的突破。
黄志雄:首先,我国《刑事诉讼法》需要对《公约》数据分类的有关安排作出调整和完善。《公约》将电子数据细分为“注册人数据”“流量数据”“内容数据”三类,并按照此分类标准为数据的保全、调取等具体措施作出了不同安排。虽然我国国内法对电子数据分类也进行了规定,但难以与《公约》的数据分类体系进行对接,导致《公约》项下有关义务难以在国内法规则的指引下开展,进而可能带来风险与后果。例如,对于特定的调取数据请求,规则层面的不清晰可能导致出现调取措施和权利保障失衡的问题,亦会对网络服务提供者等私主体带来合规风险。具体而言,虽然我国《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《电子数据规定》)第1条第2款与最高人民检察院发布的《人民检察院办理网络犯罪案件规定》第27条均对电子数据进行了分类,但有关分类标准主要围绕证据形式展开,目的在于对司法实践中电子数据的范围进行准确把握,而非出于类型化侦查取证措施的目的、从证据的实质内容对证据类型进行把握。因此,《公约》对电子数据的收集和提取,仍有待国内法在数据分类方面进行调整和细化,同时也需要对不同类型证据设置的措施与《公约》所规范措施之间的对应关系进行思考。
其次,应梳理国内法中规定的电子数据收集措施与《公约》相关规定的关系,并进行相应补充和细化。《公约》对电子数据设置了快速保全、调取、搜查、扣押、实时收集等一系列义务,但有关义务与国内法规定的相应措施仍然存在出入。以《公约》规定的“快速保全”义务为例,《公约》并未对该义务设置具体的适用条件,而仅强调“特别是在有理由认为该电子数据极易丢失或被修改的情况下”可以对电子数据进行保全。此外,《公约》对电子数据的保全设置了最长90天的时限,同时对数据保管人或其他负责保全数据的人员附加了保密义务。而在我国国内法中对有关数据的保全被称为“冻结”,并对适用情形进行了更为具体的规定。此外,与《公约》不同的是,我国国内法对电子数据的冻结设置了长达6个月的时限,并允许续冻,同时并未对上述保密义务进行规定。由此可见,国内法与《公约》对有关措施的规定存在差异,需要对国内法进行调整以匹配和适应《公约》的相关要求。
最后,国内法需要对《公约》设置的跨境数据取证及程序进行积极回应。当前国内法对《公约》设置的跨境数据取证及程序关注度显著不足,打击网络犯罪方面的司法协作尚未在国内立法层面得到充分确认。例如,《国际刑事司法协助法》就并未对打击网络犯罪的司法协助专门进行规定。为推动《公约》有关司法协助机制发挥应有效力,需要在国内法层面对打击网络犯罪的司法协助进行确认,并制定相关规则对有关义务提供更具操作性的指引。
冯俊伟:《公约》第四章“程序措施和执法”和第五章“国际合作”中针对电子数据取证的程序措施作了规定。在第四章中,第23条规定,缔约国均应采取必要的立法措施和其他措施,确立本章所规定的权力和程序,以便进行具体的刑事侦查或诉讼;上述权力和程序适用于根据本公约确立的刑事犯罪、使用信息和通信技术系统实施的其他刑事犯罪和收集任何刑事犯罪的电子形式证据。第25条至第30条对快速保全存储的电子数据、快速保全和部分披露流量数据、提交令、搜查和扣押存储的电子数据、实时收集流量数据、拦截内容数据等作了规定。第五章规定了国际合作的一般原则、快速保全存储的电子数据方面的国际合作、快速披露所保全的流量数据方面的国际合作、访问存储的电子数据方面的司法协助、实时收集流量数据方面的司法协助、拦截内容数据方面的司法协助和执法合作等。
结合我国《刑事诉讼法》、司法解释和规范性文件的规定,就上述程序措施与我国的刑事诉讼措施衔接时存在的障碍和如何协调而言,在电子数据取证国内措施方面:其一,我国相关规范性文件中规定的冻结、现场提取、在线提取、远程勘验等措施与《公约》中规定的程序措施并不一致,需要进一步调整。其二,《公约》中对于“搜查和扣押存储的电子数据”的规定,有助于对电子搜查的准确理解,即明确电子数据本身可以作为搜查的客体。我国相关法律文件中的电子数据远程勘验、现场提取、在线提取等措施,应当从实质角度理解,整合到“搜查”措施的框架下。其三,《公约》对于用户信息、流量数据、内容数据等作了区分,体现了数据分类分级保护的理念,如第30条规定拦截内容数据应当在严重犯罪中适用,而第26条对于披露流量数据则无类似限制。在我国司法解释和规范性文件中,并未对用户信息、流量数据、内容数据等作出区分,也未规定差异化的保护要求,需要进一步调整。其四,《公约》要求在电子取证中应当注重保护人权,纳入“相称性原则”,对电子取证措施的适用理由、适用范围、适用期限、司法审查、获得救济等作出规定。对照我国《刑事诉讼法》、司法解释和规范性文件对电子取证措施的规定,在上述方面还有较大不足,需要进一步完善。其五,《公约》针对电子数据易变性、脆弱性等特点,对于快速取证措施作了规定。从我国相关立法来看,也应当重视一般取证措施与快速取证措施的区别,完善电子数据保全措施的规定。
在电子数据取证国际合作方面,需要关注的是:一是如果国内法上关于快速保全存储的电子数据、快速披露所保全的流量数据、访问存储的电子数据、实时收集流量数据、拦截内容数据的规定不符合《公约》要求,必然会影响后续国际合作的顺利展开。这些规定不仅包括执法权限的授权条款,还包含对被追诉人或第三人权利保障的规定。二是电子数据取证国际合作涉及权利保障,因此应当关注对于网络服务提供商、犯罪嫌疑人、被告人、其他诉讼参与人和第三人的权利保障。三是《公约》第47条规定了执法合作,与其他条文中的司法协助作了区分。执法合作一般仅用于交流案件线索、案件信息、证据线索,而非直接用于取证的目的,这与司法协助调查取证有明显不同。这一点在我国相关立法上也应予以注意。
谢登科:首先,《公约》在电子数据侦查取证措施的制度设计中,比国内相关立法考虑的因素要更多。在《刑事诉讼法》的国内立法中,主要考虑惩罚犯罪和保障人权两个价值目的,围绕这两个法律价值展开刑事诉讼的制度设计。《公约》作为国际法,它除了要考虑惩罚犯罪和保障人权之外,还要考虑保障国家主权。保障国家主权是《公约》中一项重要的基本原则,它体现在很多条款之中。
其次,《公约》对电子数据侦查取证措施的制度设计体现了数据分类分级的理念。我国《刑事诉讼法》虽然规定了电子数据,但没有体现数据分类分级理念。相关司法解释、部门规章等规范性文件虽然对电子数据进行分类,但是数据分类并没有服务于电子数据侦查取证措施,即没有针对不同类型电子数据设置不同的侦查取证措施。这些规范性文件虽然规定了电子数据载体扣押、网络远程勘验、网络在线提取等不同的侦查取证措施,但并没有围绕数据类型设置差异化的程序保障措施。《公约》在电子数据侦查取证的制度设计中,区分了“注册人数据”“流量数据”“内容数据”等不同类型的信息数据,设置了不同的侦查取证措施,给予了差异化、层次化的程序保护,从而实现了有效取证和权利保障之间的平衡。我国制定了《个人信息保护法》《数据安全法》等法律法规,其中就建立了数据分类分级制度。对数据进行分类分级,是因为不同数据背后承载着不同法益,由此对其保护程度和保护措施存在差异。电子数据侦查取证,可能会对公民权利产生干预或者侵犯。不同数据承载的利益不同,电子数据侦查取证对其干预或者侵犯也存在差异,由此导致了对其程序控制机制不同。
再次,《公约》中电子数据侦查取证制度的体系性较强,体现了公法中的比例原则。《公约》电子数据侦查取证措施呈现了对权利由“弱干预性”到“强干预性”的排列特点。比如数据快速存储,因为这是证据保全型侦查措施,只涉及保全数据,没有干预用户对数据的正常使用,其对权利的干预相对较弱,它就排列在前面,是《公约》中规定的第一项电子数据侦查取证措施。数据调取,主要是针对订户数据,权利干预性相对较弱,也是排在前面的。然后是数据搜查扣押,最后是数据实时收集和数据截取。数据实时收集和数据截取是电子数据的技术性侦查措施,属于高强度的强制性侦查措施,对公民基本权利干预程度很高,它们排列顺序就相对靠后。此种排列顺序本身就体现了比例原则的基本要求,使得电子数据侦查取证措施制度的体系性较强。我国的《电子数据规定》《公安机关办理刑事案件电子数据取证规则》(以下简称《电子数据取证规则》)在电子数据侦查取证措施的法律排列顺序和适用顺位上,主要呈现“一体收集”“单独提取”“转化收集”的顺序,此种顺位背后体现的法律价值是有效取证而不是比例原则,比较注重保障收集电子数据的真实性、完整性,对权利保障相对关注不足。若按照比例原则和人权保障的基本要求,就需要对电子数据侦查取证措施的排列顺序予以适当调整。
最后,《公约》中的电子数据侦查取证措施比较全面。我国《电子数据规定》《电子数据取证规则》中规定的电子数据侦查取证措施,虽然也比较多,但总体来看,尚未涵盖电子数据的完整生命周期,有些侦查取证措施没有规定。比如电子数据快速存储,此种侦查取证措施在网络犯罪案件的早期侦查阶段实际上有很大需求,但是我国的《电子数据规定》《电子数据取证规则》并没有予以规定。在《电子数据规定》《电子数据取证规则》中规定了电子数据冻结,虽然它也是一种保全型侦查取证措施,但其主要针对已经生成或者存在的电子数据,而不是指向正在生成或者将来可能生成的数据,其秘密性相对较弱,一旦数据冻结,就可能会让相关权利主体知晓,犯罪嫌疑人可能会有针对性地采取相应反侦查措施。另外,数据冻结对公民基本权利的干预性比较强,而数据快速存储的权利干预性相对较弱。《刑事诉讼法》再修改中,我们需要借鉴《公约》来制定电子数据快速存储制度。此外,关于电子数据的实时收集和数据截取,《电子数据取证规则》中规定了电子数据的技术性侦查措施。但是,电子数据技术性侦查不宜由效力层级较低的司法解释、部门规章予以创设和规定,应当由《刑事诉讼法》予以规定,需要遵循严格的法律保留主义。
5
裴炜:《公约》强调“保护个人隐私不受任意或非法干涉的权利,以及保护个人数据的重要性”,如何在具体的刑事案件追诉过程中保障上述相关权益?如何加强对儿童等特殊群体的保护?
黄志雄:《公约》对刑事追诉过程中的个人隐私和个人数据保护进行了强调,而这一目标的实现,仍需要国内法在以下方面进行规制和细化。首先,应对公安司法机关在追诉犯罪过程中的信息处理行为进行授权。例如,可以在《刑事诉讼法》中明确对公安司法机关进行信息处理的授权。同时,需要在前面提及的《公约》数据分类模式的基础上,对敏感程度、隐私程度不同的数据授权设置差异化的规定,对具体的证据类型划定信息处理权力的范围,并确保国内法授权不突破《公约》设置的有关授权的范围。其次,需要对数据处理的对象进行严格限制,仅对具体刑事案件追诉有关的信息进行收集处理,避免对他人隐私的过度干预。《公约》第24条第1款指出,各缔约国在执行有关程序措施和执法活动时,应引入“相称性原则”。我国国内法应纳入这一原则,指引有关机关在法律明确授权下,围绕打击刑事案件追诉的目的对有关信息进行收集处理,并将信息处理范围限制在处理可实现有关目的的范围之内。再次,应适当引入告知义务和权利救济渠道。除涉及国家秘密和危及国家安全等特殊情况,应告知被调查人有关信息的使用目的、范围、保存期限等内容,并为被调查人提供权利救济渠道。最后,需要明确个人数据保留与删除政策。应设立严格的数据保留和删除政策,在刑事追诉过程后,及时销毁或删除不再需要的数据,降低对个人隐私的影响。
而对于追诉犯罪过程中对儿童群体的特殊保护,首先,需要对“儿童”的定义进行厘清。《公约》与《儿童权利公约》保持一致,对儿童的年龄界定均采用了18岁的标准。这一标准与我国国内法中的“未成年人”相对应。对于刑事追诉的儿童保护义务,《公约》第21条第7款专门指出,在“起诉、审判和制裁”过程中,“缔约国应当确保根据本国法律采取适当的措施,依照《儿童权利公约》及其适用《议定书》以及其他适用的国际或区域文书所规定的义务,保护被控犯有根据本公约确立的罪行的儿童。”我国《刑事诉讼法》在特别程序中也设立了未成年人刑事案件诉讼程序专章,对刑事司法中的未成年人的特殊保护提供了较为全面的规则指引。其次,具体到网络犯罪的追诉领域,需要重点关注有关规则如何适用的问题。例如,对于《公约》项下符合条件的情形,可以适用《刑事诉讼法》规定的未成年人犯罪附条件不起诉制度。同时,在办理有关未成年人网络犯罪案件中,也应坚持未成年人犯罪记录封存制度,减轻前科对有犯罪记录的未成年人所带来的负面影响,帮助其更好地回归社会。最后,根据《公约》第34条第5款的规定,在受害人保护方面也需要专门对儿童的“特殊情况和需要”进行考虑。例如,在办理儿童性虐待或儿童性剥削等问题时,应对有关姓名、住所、照片、图像等未成年人身份信息进行匿名化处理,并做好有关证据的保密工作,避免对未成年人造成二次伤害。
冯俊伟:在《公约》磋商过程中,权利保障问题是一个备受关注的重要方面,一定程度上也影响了相关条款的起草与拟定。一些国家提出的对刑事定罪进行较为有限的规定,背后也包含着对权利保障的忧虑。《公约》序言中写道,“确保尊重各项适用国际文书和区域文书所载明的人权和基本自由”。“承认保护个人隐私不受任意或非法干涉的权利,以及保护个人数据的重要性。”《公约》还在多个条文中进一步关注权利保障的问题。例如,第6条规定尊重人权;第21条规定被追诉人“享有既符合本国法律又与适用于本国的国际义务相一致的一切权利和保障,包括得到公平审判的权利和辩护权”;第24条要求各缔约国本国法上的程序条件和保障措施应当保护人权。
具体到隐私和个人数据保护方面,《公约》第2条中规定电子数据“系指对事实、信息或概念的任何表述”,个人数据“系指与已确定或可确定身份的自然人有关的任何信息”。网络犯罪中电子数据与信息、证据等交织在一起,很多个人数据以电子形式存在,也有很多个人数据是重要的案件信息或证据信息,这就使得在打击网络犯罪中要充分保障隐私和个人数据。根据个人信息保护合法性、合目的性和最小化侵害等原则的要求,通过非法手段或对各类数据不加区分地批量收集,或混淆执法目的与司法目的等方式收集运用电子数据,都会对隐私和个人数据保护产生巨大危害。在国际合作中,还涉及电子数据的跨国转移以及再转移到第三国或某一国际组织等问题,这一过程中也需要重视对隐私和个人信息的保护。这一过程中,不仅涉及个人数据转移的保护标准问题,还涉及不同国家在隐私和个人信息保护水平方面的“差异”。正是在上述背景下,《公约》第36条对个人数据保护作了进一步规定:一方面,要求“缔约国依照本国关于保护个人数据的适用法律不能提供个人数据的,不应要求该缔约国按照本公约转移个人数据”,防止出现依照本国法不能获取相关个人数据,但可以通过公约规定获得个人数据的情形,有助于隐私和个人数据保护;另一方面,第36条还规定,“对于根据本公约转移的个人数据,缔约国应当确保所收到的个人数据在缔约国各自的法律框架内得到有效而适当的保障”,再次对个人数据保障作了强调。结合上述规定,我国刑事司法中的个人数据保护制度需要进一步完善。
在儿童等特殊群体的保护方面,根据《公约》规定:一是需要完善刑法的规定,将《公约》中规定的涉及网上儿童性虐待或儿童性剥削材料、为对儿童实施性犯罪而进行教唆或诱骗等行为纳入刑法之中,落实《公约》义务。二是在对隐私和个人数据保护方面,结合《个人信息保护法》等的规定,对儿童等特殊群体给予特别关注和保护。《公约》第53条预防措施中规定,“采取因地制宜的具体努力,保证儿童安全上网,包括为此开展关于网上儿童性虐待或儿童性剥削问题的教育、培训和公众宣传,以及修订旨在预防此类问题的本国法律框架和增进此方面的国际合作,并努力确保快速删除儿童性虐待和性剥削材料。”《公约》第34条也规定,帮助和保护受害人时应当考虑儿童的特殊情况和需要。缔约国应当采取多项立法、司法举措,积极落实上述条文的要求。
谢登科:《公约》将保障人权作为重要原则之一,其中就包括保护未成年人等特殊群体的基本人权。该原则体现在其具体制度设计中,比如对个人信息、隐私权等基本权利的保护。从实体层面来看,《公约》规定了涉及网上儿童性虐待或儿童性剥削材料的犯罪、未经同意传播私密图像的犯罪等罪名,来保护未成年人等特殊群体的权利。从程序层面来看,电子数据侦查取证过程中,也需要严格法定程序来保障未成年人等特殊群体的基本权利。《公约》还专门规定了对网络犯罪案件中被害人的权利保障,既包括被害人在实体层面的获取赔偿和救济权,也包括程序层面的安全保障权、参与权、意见表达权,同时规定了非政府组织和其他民间社会团体对被害人提供帮助使其身心得到康复的制度,并在侦查取证措施中规定了采取阻断、屏蔽等措施的职责和义务,从而防止未成年人等特殊群体在网络犯罪中遭受损失的扩大化。
李怀胜:保障个人隐私和个人数据是西方国家在《公约》制定中的重要关切点,尤其是欧盟国家非常重视《公约》规定与欧盟《通用数据保护条例》(GDPR)的契合。当然,个人隐私和数据保护是各个国家共同遵循的一般性通则,因此《公约》在序言中对此作了强调。《公约》的正文中,第五章第36条“保护个人数据”对此也作了专门性的规定。例如,要求缔约国在根据《公约》转移个人数据时,应当遵守本国法律以及适用的国际法所规定的任何转移方义务。对于根据《公约》转移的个人数据,缔约国应当确保所收到的个人数据在缔约国各自的法律框架内得到有效而适当的保障。《公约》的规定着眼于个人数据的跨境流动,但对各国各自的刑事诉讼流程依然具有较大的参考意义。
在刑事诉讼中,个人隐私和个人数据泄露的风险主要包括以下几个方面:诉讼过程中,涉及的证据、调查报告及其他相关文件可能被不当披露,导致个人信息被泄露;媒体对案件的报道可能会公开案件的细节,甚至涉及个人身份信息,影响当事人的隐私;诉讼中涉及的电子数据(如电子邮件、聊天记录等)如果未采取妥善保护措施,可能被黑客攻击或泄露。但我们更要关注另一个层面的隐私和数据保护:国家机关的个人数据保护义务。在我国,刑事诉讼流程中的个人隐私和个人数据保护受《民法典》尤其是《个人信息保护法》的约束,尽管在国家追诉犯罪的目的面前,个人信息权益可能受到一定限制,但应有的知情权依然要受到尊重。《个人信息保护法》的出台意味着刑事诉讼全流程也应纳入《个人信息保护法》的法律框架中。例如,《个人信息保护法》第5条至第9条分别规定了个人信息处理的合法、正当、必要和诚信原则,明确、合理目的原则,公开、透明原则等,这些原则对刑事诉讼中的个人信息保护具有直接的约束力。例如,专门机关即使基于诉讼目的收集个人信息,也必须依照法律规定或者授权,并且收集信息应以惩治犯罪所必需为目的,不得将收集的个人信息用于法外用途。这其实也是比例原则的具体适用。此外,考虑到儿童是刑事诉讼中的一类特殊群体,对其采取更高水平的个人信息保护是必要的。2024年最高人民法院发布《关于全面加强未成年人司法保护及犯罪防治工作的意见》,对深化未成年人隐私保护提出了明确的要求,例如“发布案例、制作法治宣传资料等均应当对相关信息进行必要的技术处理”等。《公约》的出台,也是检视我国刑事诉讼中个人信息保护的重要外部参照。
(为方便阅读,省却注释,全文参见《数字法治》2024年第5期)