三、数据存储地模式的松动
在数据存储地模式面临上述困境的情况下,呼吁对这种模式进行有效改造的声音近年来不绝于耳。甚至早在1999年举办的“第二届犯罪情报分析国际会议”(Second International Conference for Criminal Intelligence Analysts)上,英国内政部前国务大臣Paul Boaten就曾发表名为“未来执法的挑战”(Tomorrow’s Challenges for Law Enforcement)的演讲。其主张,“关于数据的管辖权不应仅仅取决于实际存储的位置。如果数据的所有者能够从境外远程获取,那么应当认为该所有者所在地的执法部门便对该数据拥有管辖权。”(21)根据该观点,如果A国的一家公司在B国设立了分支机构,如果该分支机构能够有效地远程获取位于A国总部的计算机数据的话,则B国执法部门对该数据的跨境远程取证行为就不应被视为侵犯A国主权。
为了缓解上述危机并有效提升跨境电子数据取证的效率,区域性国际公约及一些国家的国内法作出了一些有针对性的制度安排,从而导致严格意义上的数据存储地模式实际上已经松动。
(一)数据存储地模式松动的具体表现
1.在国际共识的基础上设定数据存储地模式的特殊例外
2001年的《布达佩斯公约》(Budapest Convention on Cybercrime)(22)第32条和2010年的《阿拉伯国家联盟打击信息技术犯罪公约》(Arab Convention on Combating Information Technology Offences)第40条规定了两种无需告知数据存储地国家的单边远程取证方式。由于后者几乎照搬了前者的条文,因此这里仅对《布达佩斯公约》第32条进行阐释。该条a款规定,缔约国执法部门可以“提取公众能够获得的存储于计算机中的数据,而不论该数据位于何处。”由于这类数据可以在执法地便可以公开获得,国际法专家们认为这种情况属于域内管辖权的行使;(23) b款则采“属人主义”,授权“通过一方境内的计算机系统提取、接收存储于另一方境内的计算机系统中的数据,前提是相应的行为获得了拥有法定权限而通过计算机系统向取证方披露数据的个体(person)的合法且自愿的同意。”
为了避免法条适用过程中可能产生的理解偏差,《布达佩斯公约》委员会(T-CY)于2014年发布《跨境电子数据取证指引注释(第32条)》,强调b款在性质上属于地域管辖原则的特殊例外。(24)根据国际电信联盟(ITU)编纂的电子出版物的阐释,就缔约国而言,通过批准签署《布达佩斯公约》,实际上是放弃了部分主权,从而允许其他国家实施影响其领土完整的调查。(25)
2.在数据存储于境外但无法确认所在国家的情况下直接适用国内侦查程序
正如前文所言,云计算技术的运用有时会导致数据在境外的具体位置难以确定。原因在于,“传统刑事司法协助制度所具有的强烈的地域性与数字侦查本身的弱地域性之间存在冲突,请求国难以在作出请求之前就及时确知案件所需数据的所在地。以云计算为例,其核心在于‘以灵活性和去地域性为属性,基于用户需求对计算资源进行快速和无缝式分配’。云计算的高效能恰恰得益于计算资源与地域属性相脱离,其中又以碎片化的存储、多资源的集合、网络化的接入为典型特征。这种技术使一国的刑事司法权力机关在察觉犯罪之后,难以快速判断相关数据所在地以及适用的法律,更不用说基于该判断向相关国家提出刑事司法协助请求。”(26)
2017年发生在美国的一起欺诈案件的调查便是云计算技术阻碍常规管辖,使得正常侦查难以施展的典型反映。该案裁决结果与“微软爱尔兰案”的案情有类似之处,因而得到了广泛的关注。联邦第二巡回法院于2月3日在裁决中指出,连谷歌公司也无法确定涉案数据被技术性地拆分后在境外的具体存储地,因此联邦调查局根本就不可能按照数据存储地模式而开展常规的刑事司法协助。据此,谷歌公司必须按照令状的要求,向当局全部转交储存在境外服务器上的该公司客户邮件数据。
法官Thomas Rueter在裁决书中指出:“对隐私的侵犯仅仅发生在美国境内。当联邦调查局根据令状在宾夕法尼亚州对要求谷歌披露的数据的复制件进行检验时,此职权行为仅仅发生在美国境内。据此,即使其他的行为(数据的电子传输)发生在境外,该案也是符合《储存数据记录法》的规定的。”裁决书进一步论证道,当网络服务提供者被要求从境外“取回”(retrive)数据时,这种发生在境外的对信息的复制以及将信息发回美国的行为并不构成《宪法第四修正案》中所规范的(境外)“搜查”和“扣押”。具体而言,谷歌在未经用户知晓的情况下将位于境外的服务器中的数据转移至谷歌在加利福尼亚的数据中心,并不属于调查机关的“扣押”行为。虽然储存在境外的数据确实存在隐私被侵犯的风险,但这样做并不会对账户持有者的利益产生明显侵害。即使可能发生潜在的隐私侵权方面的问题,那也是在美国境内对谷歌公司披露的数据进行搜查的时候才会发生,而并不是发生在境外。(27)
3.在数据存储位置不确定的情况下不排斥电子数据取证措施的跨境适用
有些案件的电子数据取证在开始之前,调查人员根本无法判断数据可能存储于何处。例如,在对“暗网”进行调查的时候,由于并不清楚数据实际所在的地点,因此可以说,一国侦查机关在这种状态下开展远程搜查,即使事实上出现跨境开展的情况,调查人员一般而言也并不是明知的。某些国家的法院在对这类搜查行为签发令状时,一般也并不存在明确授权调查人员跨境搜查的意图。但是问题在于,签发令状时间在前,实际执行搜查时间在后。于是,即使开展远程搜查的时候,假定搜查地点就在境内,但是搜查暗网毕竟极有可能跨越国境,从而导致一国侦查机关实际上扩大了应有的管辖范围,进而产生侵犯他国主权的结果。从这个意义上讲,对服务器实际处于境外的暗网的搜查,与只在一国境内且只在一定司法管辖区内有效的司法令状的要求构成了内在冲突,从而导致根据司法令状开展的实际调查活动很有可能在不经意间引发国际争端。
例如,美国有专家就认为,允许法官签发地点不明确的远程搜查令状,结果便是在联邦调查局的发展历史中最大限度地扩大了跨境执法的管辖权力。在此背景下,为了解决“暗网”取证等情况下无法明确数据实际存储地的问题,2016年12月1日修正施行的美国《联邦刑事程序规则》(Federal Rules of Criminal Procedure)“41(b)(6)”条款规定:“在因技术原因而导致媒介或信息的储存地点被隐藏的情况下,对可能已发生的犯罪存在关联的所有地方有管辖权的法官,均有权针对管辖区内或管辖区外签发令状以开展对电子储存媒介的远程搜查,并且授权扣押或复制电子存储信息。”换言之,新的规则授权执法部门在“因技术原因而导致媒介或信息的储存地点被隐藏的情况下”可以对管辖区外甚至存储于境外的数据施以远程侦查措施。(28)
此外,另外一些国家的国内法也对可能跨境适用的远程侦查措施进行了并不绝对排斥的授权。例如,比利时于2000年颁布《计算机犯罪法》(Computer Crime Act),据此在《刑事诉讼法》中通过第88条之三(Art. 88ter),在全球范围内率先对跨越国境的远程搜查进行了规定。具体而言,警方可以在侦查法官授权后搜查计算机系统,而且这种搜查行为在符合法定情形时还可以延伸到与令状所注明的系统相连接的境外系统当中。而在欧盟,截至2016年9月,比利时、葡萄牙、西班牙、法国的国内法也对这类取证活动进行了授权。(29)此外,荷兰于2019年1月1日施行《计算机犯罪法(三)》(Computercriminaliteit III),在“ARTIKEL II G”部分赋予了侦查机关开展技术侵入(binnendringt)并通过植入监控软件进行远程搜查的权力,在数据存储位置不确定等情况下也并不绝对排斥潜在的跨境侦查活动的开展。
(二)数据存储地模式并未完全崩塌
不可否认,数据存储地模式本身存在着上文指出的种种缺陷,给刑事取证管辖带来了一系列的障碍,近年来也确实出现了松动。然而,这一刑事取证管辖模式并未崩塌,仍然是国际上刑事取证管辖制度运行的重要方案。这主要有3个方面的原因。
其一,在数据于境外的存储位置明确的情况下,刑事司法协助仍是常规程序。除非国际公约的特别授权和国家间礼让机制的存在,一国单边开展的跨境电子数据取证与其他实物证据的跨境收集并无实质差异,原则上都不为国际法所允许。以上述“俄罗斯黑客案”为例,美国联邦调查局所采取的单边跨境远程搜查即使从目前来看,在国际法上也没有适用的空间,仍然受到数据存储地模式的严格限制。
其二,侵犯性较弱的远程取证措施更受青睐,以尽可能降低对数据所在地国家之主权的潜在侵犯程度。除了美国和荷兰对可能跨境开展的侦查行为规定了远程“搜查”和“技术侵入”这样的强制性措施而外,上述国际公约和其他国家的国内法所授权的措施的侵犯性明显较小。例如,《布达佩斯公约》第32条b款授权通过“属人主义”收集境外数据,需建立在相关主体“自愿”的基础上,从侦查法理上讲,一定程度上具有不限制相对人基本权利的“任意侦查”的特征。比利时于2000年修订的《刑事诉讼法》第88条之三(Art. 88ter)规定的可能跨境开展的电子数据取证方式则只限于“复制”。正如第四章的分析还将指出的那样,从欧盟委员会于2018年4月发布的规范成员国单边跨境远程取证的立法计划来看,也强调取证方式只能限于“复制”而不能进行“实时监控”。(30)
此外,我国澳门特区于2019年12月22日生效的《打击电脑犯罪法》规定了“不涉单方跨国取证”的境外云端数据的取证方式,以此授权执法部门提取储存于澳门以外的电脑数据资料副本作为刑事诉讼程序的证据。此次修法参考了葡萄牙、新加坡及中国内地的相关规定,采取争议不大的方式,亦即在法官批示的情况下,且在澳门地区合法扣押设备间接引申出去,例如利用相关设备登入过的云端资料进行下载。(31)据此,澳门特区执法部门通过云端技术在线取证,需要满足两个严格的前提条件:一是司法官命令;二是已在澳门扣押电脑设备。由此,澳门特区的做法并无合法入侵、远端取证这些争议较大的行为,保安司司长黄少泽特别强调澳门“百分百不会违反国际公约”。(32)
其三,在远程取证过程中确认数据存储地后,对相关国家的告知受到重视。相应的制度在比利时《刑事诉讼法》、荷兰《计算机犯罪法(三)》上述条款的相关配套机制中均有反映。例如,荷兰官方认为,一旦确认远程搜查跨越国境,原则上需停止侦查,并且需要基于国际礼仪及时告知相应国家。(33)此外,欧盟方面于2017年在其发布的非正式文件《跨境收集电子证据的改进:来自专家的意见及具体的建议》中也特别指出,对于单边跨境电子数据取证,未来的立法应当专门规定诸如应告知可能受影响的国家在内的缓解措施。(34)
由此可见,对于绕开常规刑事司法协助程序的跨境电子数据取证,国际上要么是通过区域性公约设置了特殊通道,要么是由一些国家通过国内法进行了谨慎的授权,从而导致数据存储地模式的确出现了松动。然而,无论是现有的国际公约还是国内法条款,均对单边跨境电子数据取证设置了诸多严格的限制。这充分说明,数据存储地模式的根基并未动摇,仍然是国际上刑事取证管辖制度运行的基础准则。