網絡空間中的司法管轄權沖突與解決方案
2021-05-04 16:13:57吳琦
西南政法大學學報 2021年1期
吳琦
摘 要:互聯網技術的去領土化極大程度地撼動了國家的司法管轄權。互聯網內容層與物理層的分離使網絡空間中各國的司法轄域脫離了國家地理邊界,變得模糊不清。數據的流動性、分散性以及其存儲地與訪問地、用戶所在地之間的不相關性對領土主權的行使造成困擾,國家在刑事偵查與刑事訴訟中的數據跨境獲取受阻。部分國家率先開啟立法實踐,卻因法律的域外效力挑起國家間的管轄權沖突。面對“屬地管轄”與“域外管轄”間的困境、網絡服務提供者“國籍管轄”困難、國際禮讓司法適用受阻的現狀,傳統理論在網絡空間司法管轄權問題上亟須創新:明確國家對境內一切人的屬地最高權;在此基礎上,認可主權國家在實際聯系原則限制下對別國網絡服務提供者的域外管轄。
關鍵詞:司法管轄權;網絡空間主權;領土主權;域外管轄;電子證據跨境獲取
中圖分類號:DF972文獻標志碼:ADOI:10.3969/j.issn.1008-4355.2021.01.05 開放科學(資源服務)標識碼(OSID):
引言
主權國家在網絡空間治理中重要性的突顯很大程度源于20世紀90年代的互聯網商業化。至此,網絡空間不再是獨立于政府管制的自由空間。一方面,互聯網打破地域屏障使原本被隔離保護的文化傳統受到空前的威脅,①各民族國家有權自主決定其對外來文化的接受程度。另一方面,商業化的日益繁榮使傳統社會中的各類主體紛紛入駐網絡空間,越來越多的人棲身于網絡社區之中,線上、線下行為的交織一體甚至讓人混淆了虛擬與現實。同時,網絡空間的行為對物理世界產生了溢出效果:網絡數據的泄露與濫用、網絡犯罪行為層出不窮以及互聯網黑灰產業的野蠻生長等現象都嚴重危及國家安全與公共秩序。在這一背景下,政府力量與規制延伸至網絡空間,適用于現實世界的規則開始同樣作用于虛擬空間。參見[美]凱斯·桑斯坦:《網絡共和國:網絡社會中的民主問題》,黃維明譯,上海人民出版社2003年版,第93頁;Timothy S. Wu, Cyberspace Sovereignty?-The Internet and the International System, 10 Harvard Journal of Law & Technology 647, 647-666 (1997); Eric Talbot Jensen, Cyber Sovereignty: The Way Ahead, 50 Texas International Law Journal 275, 275-304 (2015).早期互聯網烏托邦主義者懷抱的“網絡空間獨立”[美]約翰·P·巴洛:《網絡獨立宣言》,李旭、李小武譯,載高鴻鈞主編:《清華法治論衡》(第四輯),清華大學出版社2004年版,第509頁。理想終究幻滅,國家控制回歸網絡空間。
雖然主權國家掌握了網絡空間的控制權,但互聯網技術的去領土化空前地撼動著領土主權。從國際法角度看,首先,網絡空間中各國的司法轄域脫離于領土邊界,變得模糊不清。在網絡環境中,不同國家對“國內事務”與“國際事務”的判定存在分歧,某國法律或司法裁判為全球網民遵守的情形時有發生。其次,數據的跨境流動導致部分國家管轄權擴張,引發“域外管轄”與“屬地管轄”之間的沖突。電子數據作為互聯網的荷載,其流動性、分散性以及存儲地與訪問地、用戶所在地之間的不相關性等特質均對屬地管轄造成困擾,電子證據的跨境獲取受到巨大阻力,傳統國際管轄規則面臨挑戰。可見,探究網絡空間中各國司法轄域應如何劃分、主權理論應如何創新適用于國際管轄,具有重大意義:對內是保障國家安全、公民個人權利,促進社會經濟發展的基礎;對外是維護國家權利、平等參與全球互聯網相關事務、積極促成相關談判與合作的前提。
一、網絡空間中的司法管轄權沖突
國際法一直致力于解決國家間因法律制度差異而導致的利益沖突。網絡技術對國家地域疆界的突破使網絡空間成為法律沖突的第三發源地。網絡空間自下而上分別由物理層、邏輯層和內容層構成,處于邏輯層的一系列互聯網協議將代碼傳輸于物理層與內容層之間,實現了網絡的全球互聯。正是網絡“互聯互通”的特性向傳統國際管轄規則提出了難題:內容層與物理層的分離使網絡空間中各國的司法轄域脫離了領土邊界,極具不確定性;原本屬地性最強的執行管轄權在網絡空間的行使異常艱難,電子證據跨境獲取的需求激增卻又受制于嚴格的屬地管轄與低效的司法協助程序。
(一)網絡空間司法轄域邊界不清
1. 以用戶地理位置識別作為劃分網絡空間司法轄區的技術手段
2000年伊始,各國開始參與規制互聯網事務之初,著名的“法國雅虎案”開創了輔以識別用戶IP地址的技術,確保司法判決在網絡空間的執行范圍不超出現實中的國家司法轄域。該案因法國的網絡用戶能夠在雅虎的拍賣網站上購買到納粹紀念品而起。
參見La Ligue Contre le Racisme et LAntisemitisme (L.I.C.R.A.) and LUnion des Etudiants Juifs de France (U.E.J.F.) v. Yahoo Inc. and Yahoo France, Interim Court Order, the County Court of Paris, November 20, 2000, 14; Yahoo Inc. v. L.I.C.R.A. and U.E.J.F., 169 F. Supp. 2d 1181 (N.D. Cal. 2001).審理過程中,雅虎主張法官僅能在法國范圍內行使審判權,法國法律不能規制服務器放置于美國、受言論自由保護的雅虎。
參見Jack Goldsmith & Tim Wu, Who Controls the Internet?: Illusions of a Borderless World, Oxford University Press, 2006, p.2.雅虎還辯稱其無法阻止法國人訪問其網站,亦無法在其網站中實現各國法律的本土化,下架納粹紀念品將導致法國法律的全球遵守。
參見Jack Goldsmith & Tim Wu, Who Controls the Internet?: Illusions of a Borderless World, Oxford University Press, 2006, p.5.隨著庭審過程中地理信息識別技術(簡稱IP識別技術)“浮出水面”,雅虎被證實能夠有效篩選出至少90%位于法國境內的網絡用戶并對他們屏蔽相應的內容。
參見Jack Goldsmith & Tim Wu, Who Controls the Internet?: Illusions of a Borderless World, Oxford University Press, 2006, p.5.最終,巴黎大審法院判決,雅虎的行為違反了法國法律,責令雅虎盡最大努力攔截法國用戶,同時告誡雅虎如期履行判決,否則將處以每天10萬法郎罰款。
參見Yahoo Inc. v. L.I.C.R.A. and U.E.J.F., 169 F. Supp. 2d 1181 (N.D. Cal. 2001);Jack Goldsmith & Tim Wu, Who Controls the Internet?: Illusions of a Borderless World, Oxford University Press, 2006, p.5.
同年,在一起有關知識產權的國際糾紛中,美國法院也采取了地理位置識別作為劃分網絡空間司法轄區的技術手段。
參見Twentieth Century Fox Film Corporation, et al., v. iCraveTV, et al., 2000 WL 255989 (W.D. Pa. 2000).該案中,加拿大電視流媒體網站iCraveTV提供加拿大和美國傳統電視臺流媒體互聯網廣播,該行為得到加拿大法律允許卻違反了美國法律。基于網站45%的訪問量均來自美國境內IP地址的事實,iCraveTV通過要求用戶首次訪問網站時輸入用戶所在地區的電話區號來確認用戶是否在加拿大境內,但國際網絡用戶仍可通過輸入加拿大區號來訪問其網站從而繞開該限制。參見Michael A. Geist, iCraveTV and the New Rules of Internet Broadcasting, 23 University of Arkansas at Little Rock Law Review 223, 223-242 (2000).賓夕法尼亞西區聯邦地區法院認為,iCraveTV對美國境內用戶的侵權行為負有責任,構成對權利人相關知識產權的侵犯,要求該公司采取IP識別技術屏蔽美國境內用戶對該網站的訪問。
盡管因種種因素該案以和解告終,但其仍反映出當時美國確定其司法轄域的方式。參見Twentieth Century Fox Film Corporation, et al., v. iCraveTV, et al., 2000 WL 255989 (W.D. Pa. 2000).
2.以國家域名作為劃分網絡空間司法轄區的依據
對于網絡環境下國家如何實現其領土范圍內的管轄,近年來各國的司法實踐不同于上述方式。2019年9月,歐盟法院對備受關注的谷歌訴法國國家信息與自由委員會(Commission Nationale de lInformatique et des Libertés,簡稱CNIL)的“被遺忘權案”2014年,歐盟法院通過“谷歌(西班牙)公司和谷歌公司訴西班牙資料保護局、西班牙公民岡薩雷斯”案正式確立了歐盟公民的“被遺忘權”,但對于該權利在網絡空間中的行使范圍,判決并未明確界定。作出最終裁判,不要求搜索引擎運營商在其所有域名的搜索結果中刪除特定列表,但必須在歐盟成員國的域名下予以執行。
參見C507/17, Google LLC v. CNIL, 2019 EUR-Lex CELEX No. 62017CJ0507 (Sept. 24, 2019).審理該案的法國國務委員會(Conseil dtat)須在法國境內將判決付諸實踐。訴訟期間,谷歌曾提出使用“地理攔截技術”阻止歐盟成員國的網絡用戶在歐盟境內訪問被請求刪除的鏈接,而CNIL堅持要求谷歌在全球范圍內執行刪除指令。對此,歐盟法院首先基于谷歌在法國境內的活動肯定了《數據保護指令》《通用數據保護條例》的適用。其次,考慮到互聯網的全球屬性以及各國在平衡被遺忘權與公眾獲取信息權利之間的不同做法,法院表示不能將歐盟立法強加于歐盟以外,但并未明確回應谷歌實施“地理攔截”的提議是否達到要求,只是呼吁“各國監管機構須合作以達成共識和對所有機構都具有約束力的統一決策”。
參見C507/17, Google LLC v. CNIL, 2019 EUR-Lex CELEX No. 62017CJ0507 (Sept. 24, 2019).
2017年,加拿大最高法院審理了一起關于搜索引擎鏈接刪除的案件,同樣以域名來確定司法管轄的范圍。
參見Google Inc. v. Equustek Sols. Inc., 2017 SCC 34, [2017] 1 S.C.R. 824; Google LLC v. Equustek Solutions Inc., Case No. 5:17-cv-04207-EJD (November 2, 2017).該案源于加拿大網絡設備生產公司Equustek Solutions(以下簡稱Equustek)與其前經銷商Datalink Technologies Gateways(以下簡稱Datalink)之間的知識產權侵權訴訟。由于Datalink逃離司法轄區從未知地理位置在線開展業務持續侵權,Equustek要求谷歌在全球搜索引擎中刪除有關出售Datalink產品的搜索鏈接,獲得法院批準。
參見Google Inc. v. Equustek Sols. Inc., 2017 SCC 34, [2017] 1 S.C.R. 824.谷歌認為此舉涉及言論自由問題且違反國際禮讓,是司法管轄權的域外行使,進而提起上訴。加拿大最高法院以谷歌在不列顛哥倫比亞地區開展廣告和搜索業務為由肯定了對谷歌的管轄權。因谷歌對Datalink的侵權行為起到協助作用,故法院要求谷歌在全球范圍內執行禁令。對此法院解釋道:“互聯網沒有邊界,是全球性的自然棲息地,任何一項有效力的禁令都必然產生全球范圍內的影響。”
參見Google Inc. v. Equustek Sols. Inc., 2017 SCC 34, [2017] 1 S.C.R. 824; Jack Goldsmith & Tim Wu, Who Controls the Internet? : Illusions of a Borderless World, Oxford University Press, 2006, p.2.隨后,谷歌向北加利福尼亞美國地方法院提起訴訟,法院以谷歌屬于美國《傳播凈化法案》所保護的“中立媒介”且執行加拿大法院要求的鏈接刪除指令將危及全球互聯網言論自由為依據,向谷歌頒布臨時禁令以阻止該指令在美國的執行。
參見Google LLC v. Equustek Solutions Inc., Case No. 5:17-cv-04207-EJD (November 2, 2017).
從21世紀初的“法國雅虎案”到近來的“加拿大Equustek案”,國家司法管轄權在網絡空間的擴張體現在兩個方面:其一,對人管轄范圍擴張。依據屬地原則,國際民事案件通常以被告住所地為標志確定管轄權。上述案件中,法院均以網絡公司在法院地開展業務活動、其特定行為在法院地產生效果為由主張管轄權。其二,以域名作為劃分網絡空間司法轄區的依據,導致法律域外效力明顯擴張。主權國家經常通過國家域名的管理對網絡信息內容實施規制。但除被攔截、禁止解析的特定域名外,身處一國境內的網絡用戶可以訪問別國的網站以及通用域名下的網站。域名呈現出等級結構,其中,頂級域名關乎域名的最終解析與域名管理,又分為國家頂級域名和通用頂級域名。參見劉晗:《域名系統、網絡主權與互聯網治理——歷史反思及其當代啟示》,載《中外法學》2016年第2期,第525-523頁;丁春燕:《互聯網域名管理制度對網絡言論的規制》,載《法學雜志》第2017年第1期,第123頁。若僅在要求行使被遺忘權或刪除鏈接的權利人所在國的國家域名下刪除或斷鏈特定內容,往往產生保護不足的后果,該國的網絡用戶變更搜索引擎版本后,仍可能檢索到在該國域名下被禁止訪問的信息。要求在搜索引擎的全球域名下刪除、斷鏈特定內容又會產生域外效果。可見,國家域名不宜作為劃分國家間司法轄區的標準。法律具有地域性,其在網絡空間表現為各國“內容審查”規則、言論自由限度的差異。基于主權平等原則,不應以全球互聯網的“信息自由”對抗特定國家、地區的法律規定,也不應以特定國家、地區的法律規范規制世界范圍內所有的網絡用戶。
(二)電子證據跨境獲取的管轄權邊界不明
個人數據關乎公民的個人隱私與財產權益,對海量個人數據的集合、分析等,不僅蘊藏著巨大的經濟價值,還關乎國家安全、社會穩定。對數據流動的限制直接挑起跨境電子證據獲取問題上的國家主權沖突。個人數據在存儲上表現出分散性以及存儲地與訪問地、用戶所在地之間的不相關性。一國國民、居民的相關數據通常并不留存在該國境內,而是處于跨境流動的狀態或存儲于“云空間”之中,由別國的網絡服務提供者掌握,
參見Andrew Keane Woods, Litigating Data Sovereignty, 128 Yale Law Journal 328, 345 (2018).這使得嚴格遵守屬地原則的刑事偵查、調查取證等訴訟程序變得愈發困難。關于偵查權的性質,歷來有“行政權”與“司法權”之爭。本文對此不作討論,由于刑事訴訟程序中涉及司法權的行使,故在國際法層面的討論中,本文統稱為管轄權的行使。對此,部分國家已在司法實踐中突破屬地原則,擴張其管轄范圍。由此引發網絡空間管轄權邊界界定以及國家間管轄權沖突協調等問題,尤其在“愛爾蘭微軟案”
參見United States v. Microsoft Corp., 138 S. Ct. 1186 (2018); United States v. Microsoft Corp., No. 17-2, 584 U.S. (2018). 發生后,世界范圍內的探討愈發廣泛。
1.效果原則下管轄權擴張
在數據的跨境調取問題上,比利時法院以數據的訪問地、接收地作為司法管轄權的判斷依據,適用效果原則擴大了對人管轄的范圍。2007年11月,為協助認定某公民實施的計算機詐騙犯罪行為,比利時相關部門要求雅虎公司向其公開該人的IP地址、電子郵箱地址以及其他相關信息,雅虎因拒絕提供而違反比利時《刑事訴訟法》關于“通信服務提供商提供必要信息數據”的規定,被處以高額罰金。
參見Antwerpen 20 November 2013, 2012/CO/1054 Yahoo! Inc.;Johan Vandendriessche,Case Translation: Belgium,11 Digital Evidence & Electronic Signature Law Review 137, 137-143 (2014).比利時最高法院駁回了雅虎的上訴。法院首先判定雅虎在相關法令所規范的電子通訊服務提供商之列,并進一步表示,作為“積極將其經營活動瞄準比利時消費者的經營者或提供者”,即使雅虎在比利時境內不存在實體機構,仍負有公開涉案數據的義務。
參見Cass. 18 Januari 2011, nr. P.10.1347.N;Johan Vandendriessche,Case Translation: Belgium,8 Digital Evidence & Electronic Signature Law Review 216, 216-218 (2011).法院進一步以數據的訪問地與接收地均在比利時境內為由,肯定了比利時對涉案數據的管轄權。
在此之后的另一起刑事案件中,比利時檢察官要求運營通信軟件的網絡公司Skype提供技術協助,以獲取兩名涉案比利時居民之間的通信數據。
參見Jennifer Daskal, Borders and Bits, 71 Vanderbilt Law Review 179, 193-194 (2018).Skype在抗辯中表示,其公司總部設立于盧森堡,比利時政府部門應當向盧森堡相關政府部門提出請求。
參見Jennifer Daskal, Borders and Bits, 71 Vanderbilt Law Review 179, 193-194 (2018).審理該案的法院則認為,即便如此,Skype積極在比利時從事商業活動并提供服務,因此相關法令對其適用。基于上述“雅虎案”的判例,該法院認為相關執法行為并未侵犯盧森堡的國家主權:“比利時執法人員未進入其他國家,且涉案數據在比利時接收,提供技術支持的行為發生于比利時境內,故執法行為并未發生在境外。”
參見Jennifer Daskal, Borders and Bits, 71 Vanderbilt Law Review 179, 193-194 (2018).
2.屬地原則下管轄權行使困難
2013年12月,美國司法部為調查一起毒品走私犯罪向紐約南區聯邦地方法院請求簽發搜查令,要求微軟公司提供某用戶的電子郵件內容和其他賬戶信息。微軟則以存有該通訊信息的服務器存放于愛爾蘭都柏林為由,拒絕執行該指令。美國司法部、地方治安官以及聯邦地方法院一致認為,微軟公司能夠在華盛頓雷德蒙德訪問涉案數據,執行搜查令并非權力的域外行使。
參見United States v. Microsoft Corp., 138 S. Ct. 1186 (2018); United States v. Microsoft Corp., No. 17-2, 584 U.S. (2018).微軟公司不服提起上訴,聯邦第二巡回上訴法院于2016年7月判決稱,基于國際禮讓原則,應在跨境刑事偵查中限制搜查令的域外適用。搜查位于美國境外的通信內容,須依據《司法協助條約》向數據所在地的外國政府請求司法協助。
參見Microsoft Corp. v. United States, 855 F.3d 53 (2d Cir. 2017) ;2017年6月,美國司法部將該案提交至聯邦最高法院,聯邦最高法院授予復審令并聽取了雙方的口頭陳述,但最終該案因《澄清合法使用境外數據法案》(Clarifying Lawful Overseas Use of Data Act,以下簡稱CLOUD法案)的頒布而解決。
綜上,相較美國聯邦第二巡回上訴法院的判決,比利時的司法實踐為服務提供者、被請求的數據均不在一國境內情形下行使管轄權提供了可能。此舉有助于司法效率的提升,但極可能構成對其他國家領土主權的挑釁。屬地原則下的數據跨境獲取存在重重障礙,最為關鍵的,是其極大削弱了主管部門獲取電子證據的能力從而嚴重影響司法效率。即使相關部門理由正當,調查對象在美國境內并且落入該國的管轄范圍之內,該規則仍要求執法部門通過司法互助協議以外交請求手段獲取相關網絡數據。這一過程不僅耗時過長,而且忽略了數據獲取的及時性特征。另外,若政府部門無法確定數據存儲的具體位置,或其與數據存儲地國家政府間不存在司法協助條約,是否意味著涉案電子證據將無法獲得?
二、跨境電子證據獲取中管轄權沖突的解決
跨境證據的調取通常有賴政府間的合作協議。但是,面對網絡時代數量與復雜性劇增的司法協助請求以及時刻更新變化的網絡數據,司法協助程序動輒耗時數月。部分國家開始尋求新的途徑,以加快電子證據的獲取并保障司法效率。誠如上文所述,嚴格遵守屬地管轄原則面臨著執法困難,刑事案件的偵破受到巨大阻礙。鑒于此,比利時法院適用效果原則以擴大對服務提供者管轄范圍的做法,已被歐盟采納并在新的立法框架中予以完善,美國則通過新的法案摒棄了“數據存儲地”模式。
(一)多邊主義下受實際聯系原則限制的域外管轄
1. 區域內部:廢除“數據本地化”要求,建立電子證據直接調取機制
在電子證據的跨境獲取問題上,歐盟主要以成員國間關于刑事事項歐盟調查令(The European Investigative Order, 簡稱EIO指令)的第2014/41/EU號指令,以及非成員國間的司法協助協議為制度框架。又因EIO指令適用范圍的有限性,歐盟試圖建立關于刑事犯罪電子證據的直接調取機制,以解決聯盟范圍內更寬泛范圍數據的及時、有效調取問題。此外,對于非個人數據的流動,歐盟還制定了《歐盟關于非個人數據自由流動框架條例》,以保障歐盟內部的自由流動為主,要求歐盟各成員國一定程度廢除數據本地化要求,即消除非個人數據在儲存和處理方面的地域限制,同時確保各成員國監管機關能夠及時準確地獲取數據。參見Regulation (EU) 2018/1807 of the European Parliament and of the Council of 14 November 2018 on a Framework for the Free Flow of Non-personal Data in the European Union.
EIO指令自2017年開始在成員國間實施,它允許某一成員國內的機構(簽發機構)要求另一成員國內的機構(執行機構)采取具體刑事調查措施。
參見Directive 2014/41/EU of the European Parliament and of the Council of 3 April 2014 Regarding the European Investigation Order in Criminal Matters, Official Journal of the European Union (1 May 2014).該指令允許一國政府部門在向調查目標所在國發出通知的前提下,監聽或截取位于該國的電子通信。
在可能的情形下,該通知應提前發出;但若事先不清楚調查目標的地理位置,則應在地理位置明確后立即發出通知。收到通知的一方可在96小時內提出異議。若無異議,該監聽或攔截繼續進行;若有異議,該偵查活動不得繼續進行。但該指令未涉及電子數據的獲取,因此,為加速刑事電子證據的跨境調取,歐盟2018年發布了《歐洲議會和歐洲理事會關于刑事犯罪電子證據的調取令和保全令的規定的提案》,以促使成員國有關當局可直接要求服務提供者披露相關數據。該提案闡明了成員國為特定犯罪調查或刑事訴訟程序的需要而跨境獲取電子證據的程序規則和保障措施,即電子證據調取令與保全令制度。
電子證據調取令與保全令制度僅限于有關服務提供者擁有、控制的存儲數據的請求,不涵蓋實時攔截電信數據的規定,亦不涵蓋預防犯罪或侵權等其他類型的訴訟。其中,電子證據保全令是向發出該指令的成員國的司法轄區以外的法定代表人發出,要求保存數據以方便之后調取數據的請求。參見Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters, European Commission, COM(2018) 225 final (17 April 2018).
該提案對指令的適用范圍界定較為廣泛。首先,提案列舉了諸多種類適用該指令的服務提供者,包括電子通信服務提供商、社交網絡、在線市場、云服務和其他托管服務提供商,以及互聯網基礎結構提供商(如IP地址和域名注冊機構)等。其次,提案明確指出數據調取令的執行不以數據存儲地為決定性連結因素,因為數據的存儲通常不會導致存儲地國家對其的控制。再次,出于對市場參與者之間公平競爭環境的維護,該提案適用于所有在歐盟提供服務的網絡服務提供者,包括未在歐盟成立的服務提供者,即在歐盟內積極提供服務并從中獲取收益的服務提供者亦受該法案約束。最后,提案對“提供服務”的解釋進行了限制,要求不能僅以服務的可訪問性為依據,服務應與歐盟領土發生實際聯系。
參見Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters, European Commission, COM(2018) 225 final (17 April 2018).
2. 國際層面:以尊重國家主權為前提倡導“直接披露用戶信息”
在歐盟理事會的主導下,《網絡犯罪公約》成員國于2014年成立了云證據工作組,專注于跨境電子證據獲取困難的解決以及執法人員訪問“云”數據的合理事由更新。
參見Cybercrime Convention Committee (T-CY), Transborder Access to Data Jurisdiction: Options for Further Action by the T-CY, AD-HOC SUBGROUP on Transborder Access and Jurisdiction Council of Europe, T-CY (2014)16 (3 December 2014), p.14.2019年11月,歐盟理事會發布了由網絡犯罪公約委員會編寫的公約第二項附加議定書草案,吸納了云工作組研究成果中的部分內容,以便利成員國政府部門訪問存儲于他國境內或存在于未知、多個轄區的“云空間”中的數據,參見Cybercrime Convention Committee (T-CY), T-CY Guidance Note #10 Production Orders for Subscriber Information (Article 18 Budapest Convention), Council of Europe, T-CY (2015)16 (1 March 2017), p.3.新增“直接披露用戶信息”以及“生效其他締約方的指令以加快數據調取”條款。
依據“直接披露用戶信息”條款,各締約方應采取必要的立法及其他措施,授權執行機關因特定刑事調查或訴訟程序的需要向其他締約方境內的服務提供者直接發出指令,要求該提供者披露由其擁有或控制的特定用戶的相關信息。同時,締約方可在簽發或交存核準書、接受書時,對其境內的服務提供者接收的指令作出聲明:“該指令必須由檢察官或其他相關部門簽發或受其監督,或由獨立監督而簽發。”該草案對數據披露指令作了程序性與實質性的具體規定。此外,依據該草案,被請求的締約方可要求其境內的服務提供者在收到披露指令的同時向本國發出通知,以告知支持指令執行的相關信息以及與調查或訴訟有關的事實概要。同時,被請求的締約方可要求服務提供者在確定履行披露指令之前征求本國當局的意見。若披露指令的執行可能會違反被請求方的刑事事項程序規定,或根據公約中的互助程序有正當理由拒絕的,則被請求方可制止披露指令的執行。
參見Cybercrime Convention Committee (T-CY), Preparation of a 2nd Additional Protocol to the Budapest Convention on Cybercrime, Council of Europe, T-CY (2018)23 (8 November 2019).
為了防止網絡服務提供者任意拒絕電子證據披露指令的執行,草案提供了“生效其他締約方的指令以加快數據調取”的途徑。該條款要求各締約方作為被請求方時,應通過立法或其他措施授權執行機關向其境內的服務提供者發布指令以迫使其向請求方提供特定信息數據。若數據披露指令被拒絕履行或延遲履行,被請求的締約方應在切實可行的范圍內盡快告知提出請求的締約方拒絕或推遲執行的理由、依據的條款、執行的條件。
參見Cybercrime Convention Committee (T-CY), Preparation of a 2nd Additional Protocol to the Budapest Convention on Cybercrime, Council of Europe, T-CY (2018)23 (8 November 2019).
云工作組的指導說明對“直接對服務提供者提出的數據披露指令”的發布與執行進行了一定限制:僅限于特定刑事調查或訴訟程序的需要而適用;應遵守《歐洲理事會保護人權和基本自由公約》規定的相關原則(指令要求披露的證據必須與調查或起訴相關)等。“其他締約國境內的網絡服務提供者”不僅擁有或控制被要求披露的數據,還要在該締約國境內真實存在。草案亦表示上述兩項并非強制條款,締約方均可聲明保留。
參見Cybercrime Convention Committee (T-CY), Preparation of a 2nd Additional Protocol to the Budapest Convention on Cybercrime, Council of Europe, T-CY (2018)23 (8 November 2019).此外,依據《歐洲理事會保護人權和基本自由公約》第18條第1款,關于數據調取的執行管轄依舊以“數據存儲地”為標準。這表明議定書草案鼓勵的電子證據跨境調取仍以對領土主權的尊重為基礎。
概言之,對于數據流動的規制,歐盟著重于聯盟內部統一制度的構建與完善,致力于消除成員國之間的管制壁壘,促進非個人數據在區域內的自由流動。電子證據直接獲取機制摒棄了“數據存儲地”標準,通過受實際聯系原則限制的域外管轄,擴大了對網絡服務提供者的管轄范圍。在國際層面,歐盟意識到締約國之間法律制度的差異以及互信機制、公約執行機制的缺乏,其以《網絡犯罪公約》談判為基點,堅持多邊主義下主權的相互尊重并積極推進與非歐盟成員國達成協作,提倡以“直接要求締約方境內的服務提供者提供用戶信息”為主,“生效其他締約方的指令以加快數據調取”為保障措施,從而取代低效的司法協助程序。
(二)單邊主義下“數據控制者”模式的長臂管轄
1. CLOUD法案確立“數據控制者”模式
美國CLOUD法案于2018年3月23日經總統簽署后正式生效,前文論及的“愛爾蘭微軟案”也依據該法案得到了解決。CLOUD法案在跨境電子數據證據獲取上采取的“數據控制者”模式突破了領土主權的邊界,對《美國法典》第18卷“犯罪和刑事訴訟程序”部分尤其是《存儲通信法案》(The Stored Communications Act,簡稱SCA法案)“愛爾蘭微軟案”中,聯邦第二巡回上訴法院依據SCA法案作出判決。該法案未明確美國政府的搜查令是否能要求美國服務者提交存儲在境外的數據。依據該法案第2702條、第2703條規定,除特殊情形外,禁止美國提供商向境外提供商提交存儲于美國的通訊內容。任何外國執法部門只能通過雙邊司法協助協議請求美國當局基于美國標準下“可能正當的理由”獲得授權。以及《電子通信隱私法案》(The Electronic Communications Privacy Act,簡稱ECPA法案)的相關規定作出修訂,肯定了執法部門獲取境外電子證據行為的合法性。同時,為了提升司法效率,該法案建立了國家間通過行政協議雙邊獲取電子證據的機制以取代司法協助程序。
“數據控制者”模式明確了受美國管轄的數據控制者向美國政府以及適格外國政府的信息披露義務。一方面,依據該法案,“電子通信服務或遠程計算服務的提供者應遵守本章規定的義務,儲存、備份、披露所有有線或電子通訊內容以及其保管、控制或擁有的有關特定消費者或訂閱用戶的其他任何信息,無論這些數據位于美國境內或境外。”負有此種義務的服務提供者不僅包括在美國注冊成立的公司,還包括與美國有實質聯系而受美國管轄的外國公司。鑒于“數據控制者”模式極大擴張了管轄權范圍,該程序的適用受到禮讓分析等因素的限制。服務提供者可向法院提出修改或拒絕披露相關信息的請求:其一,消費者或訂閱用戶不是美國用戶或不在美國居住;其二,披露請求有導致服務提供者違反適格外國政府“適格外國政府”的認定條件包括:國內法對數據收集活動中的公民自由和隱私提供了切實有效的實體法和程序法保護;政府具有有效監管獲取電子數據的機制與能力;政府展現出對全球信息自由流動和維護互聯網開放、分布以及互聯本質的決心和承諾。相關法律的實質風險。法院會基于此兩種情形以及對司法利益與案情進行禮讓分析后作出更正或撤銷信息披露指令的決定。另一方面,該法案允許適格外國政府在與美國政府簽訂行政協定后,直接向美國管轄的電子通信服務或遠程計算服務的提供者發出數據披露指令,而無須再通過司法協助程序。締約方政府欲通過美國服務提供者調取證據應遵循的要求,CLOUD法案有詳細規定,主要包括數據披露過程中公民自由與隱私保護,防止數據不合理擴散的范圍限定,最小化披露要求以及締約雙方在數據獲取上的互惠要求。
參見Clarifying Lawful Overseas Use of Data (CLOUD) Act, § 3, 18 U.S.C. § 2703 (2018).其中,“互惠要求”為美國就其管轄范圍外的跨境電子證據獲取提供了便利與保障。
盡管CLOUD法案一定程度上化解了“數據存儲地”模式的困境,但其仍留有諸多問題有待澄清。譬如,美國的服務提供者應如何應對尚未與美國簽訂行政協議的外國政府的合法數據要求?服務提供者可否依據向其發出披露指令的有關部門的國家法律進行答復?抑或請求國須依據司法協助程序才得以申請美國的搜查令?若該國與美國之間不存在司法協助協議,又應如何處理?對于以上問題,該法案并未明確說明。
2. 英美數據跨境執法雙邊協議的達成
CLOUD法案生效后,美國基于該制度框架與英國達成了第一項合作協議。2019年10月,英美兩國政府簽署了一項以打擊嚴重犯罪為目的的電子數據獲取雙邊合作協議。
此協議于為期180日的美國國會審議期與英國國會的相關審查結束后生效。參見Department of Justice Office of Public Affairs,U.S. and UK Sign Landmark Cross-Border Data Access Agreement to Combat Criminals and Terrorists Online,October 3, 2019, https://www.gov.uk/government/publications/ukusa-agreement-on-access-to-electronic-data-for-the-purpose-of-countering-serious-crime-cs-usa-no62019.該協議以數據披露指令為主要內容,對指令適用的范圍、指令簽發與送達等程序、適用指令的限制以及協議的審查與實施問題進行了規定。事實上,美國與英國關于此項協議的談判始于2015年。
參見Jennifer Daskal, Borders and Bits, 71 Vanderbilt Law Review 179, 202-203 (2018).彼時,美國法律禁止美國的科技公司直接向外國執法機構提供消費者或用戶的相關數據。英美關于特定情形下減少部分限制并允許對方直接獲取由本國網絡服務提供者掌握的通信內容,是以兩國相關禁止性法律的修改為前提的。
鑒于國內外均有及時、有效獲取跨境電子證據的迫切需求,美國司法部于2016年至2017年兩次向國會提出修法建議。
2016年向參議院提交的立法草案以及2017年向眾議院提交的立法草案。參見Letter from Samuel R. Ramer, Assistant Attorney Gen., to Paul Ryan, Speaker of the U.S. House of Representatives (May 24, 2017);Letter from Peter J. Kadzik, Assistant Attorney Gen., to Joseph R. Biden, President of the U.S. Senate (July 15, 2015).司法部注意到部分國家已對美國網絡公司實施行政處罰甚至逮捕其公司雇員,部分國家在無法獲取電子證據的情況下頒布了“數據本地存儲”的立法,其向國會提出,這只會惡化雙方間的法律沖突,使全球網絡服務越來越低效,進而損害美國的商業利益。數據存儲于隱私保護標準較低的司法轄區,還會導致美國國民的隱私受到侵害,甚至最終美國政府被禁止訪問其調查所需的數據等不良后果。面對網絡服務的全球擴張趨勢,美國必然需要獲取位于境外的數據,而法律沖突只會徒增障礙。
參見Letter from Samuel R. Ramer, Assistant Attorney Gen., to Paul Ryan, Speaker of the U.S. House of Representatives (May 24, 2017);Letter from Peter J. Kadzik, Assistant Attorney Gen., to Joseph R. Biden, President of the U.S. Senate (July 15, 2015).最終,“愛爾蘭微軟案”為直接導火索促成了CLOUD法案的頒布生效。該法案的頒布過程與制度目的都表現出強烈的功利主義傾向。隨著2019年2月英國《犯罪(跨境調取令)法案2019》的批準生效,
參見Crime (Overseas Production Orders Act) 2019, 該法案授權英國執法機構依據英國法令,直接獲取與英國簽訂相關國際協議的國家或地區的境外數據。英美兩國之間很快達成合意,以打擊嚴重犯罪為目的的電子數據獲取雙邊合作協議達成。
CLOUD法案考慮到互聯網全球化背景下數據的流動性,以及云技術條件下數據存儲地的不確定性,通過明確對網絡服務提供者的管轄權突破領土疆界的限制,在電子證據獲取問題上確立長臂管轄新標準。此舉解決了“數據存儲地”模式以及司法協助程序下的刑事案件辦案效率低下問題,卻極大擴張了美國管轄權的范圍,極易引發美國與其他國家間的法律沖突。首先,該法案的對人管轄范圍過于寬泛。依據“國籍管轄”確定對網絡服務提供者主張管轄,對于占有技術絕對優勢的美國實施長臂管轄權而言,可謂助其一臂之力。況且,該法案還明確了對與美國有實質聯系的外國公司的管轄。其次,該法案體現了美國強烈的單邊主義傾向。一方面,該法案的“禮讓分析”僅流于形式,數據披露指令的適用、修改及撤銷均由美國法院單邊決定。另一方面,通過對“適格外國政府”的篩選,美國企圖實現制度輸出(需要訪問美國服務提供者掌握的數據,相關國家必須遵守美國制定的規則),鞏固其在全球網絡經濟中的強勢地位。最后,實施“數據控制者”模式最大的問題仍在于其與“數據存儲地”模式間的沖突。當國家間因電子證據的獲取發生管轄權沖突并訴至法院時,法院的決斷具有不確定性。
在電子證據跨境獲取問題上,歐美立法實踐的共同點有二:其一,司法協助范式逐漸失效,國家管轄權均表現出擴張態勢。其二,不再以“數據存儲地”為判斷電子證據調取的管轄權依據。歐美均在相關立法文件中明確表達了對以數據存儲地為管轄依據的不認可。對于他國公民或居民,僅出于數據或服務提供者在其境內而主張管轄權,其理由不夠充分。立法活動本是國家之國內事務,但當其對別國主權利益造成威脅時,則其因超出合理限度而構成國際事務。可見,上述立法趨勢確實對傳統國家主權理論提出了挑戰。
三、傳統主權理論在網絡空間司法管轄中的困境
(一)“屬地管轄”與“域外管轄”間的困境
傳統領土主權是指國家對其領土行使的最高和排他權力。
參見[英]勞特派特修訂:《奧本海國際法》(上卷第一分冊),王鐵崖、陳體強譯,商務印書館1981年版,第126頁。國際法中的領土是一個立體概念,包括一國的領陸、領海及其領空和底土。屬地管轄是指國家對其領土范圍內的一切人(享受豁免權者除外)、物和發生的事件有權行使管轄權。
參見[英]勞特派特修訂:《奧本海國際法》(上卷第一分冊),王鐵崖、陳體強譯,商務印書館1981年版,第86-87頁。長久以來,“主權乃屬地最高權”一直被奉為圭臬。然而,國家對其境內的信息通信硬件設施享有管轄權,是否意味著國家必然對存儲于其領土上的信息通信硬件設施、服務器中的數據享有管轄權?當一國境內的網絡數據可能涉及他國公民隱私、信息甚至構成他國當局正在搜查的刑事證據時,數據的管轄權由誰享有?或者由誰優先享有?管轄權在網絡空間物理層與內容層的行使完全重合嗎?關于
諸如此類的問題,國際社會尚未形成共識。概言之,當前國家間發生在網絡空間的大多數矛盾沖突,都是信任缺失背景下“屬地管轄”與“域外管轄”間的困境。
電子證據跨境獲取問題已淋漓盡致地展現出屬地原則下管轄權行使的困境以及新立法實踐中管轄權擴張的趨勢。美國利用技術優勢,通過明確對網絡服務提供者的國籍管轄以直接獲取由其掌握的存儲于境外的電子證據,繞開國際司法協助程序,實現域外管轄的效果。此外,CLOUD法案體現出美國一貫的單邊主義立場,未尊重其他國家在此問題上平等參與的權利。歐盟出于當前在全球互聯網產業中的劣勢地位,以及對網絡數據缺乏控制力的現實,通過區域內部的立法提案,將對人管轄的范圍擴大至與歐盟領土具有實際聯系的所有服務提供者,以滿足電子證據跨境獲取的迫切需求。歐盟突破屬地管轄,不再以數據存儲地為管轄權的決定因素,實現了管轄權的有效行使。
然而,在此問題上部分國家依舊堅持屬地管轄原則。2017 年的一份研究報告顯示,全球范圍內已經有包括中國在內的13個國家和地區通過立法等方式對個人數據作出了本地化要求。
參見Nigel Cory, Cross-border Data Flows: Where Are the Barriers, and What Do They Cost?, Information Technology & Innovation Foundation (May 1, 2017), https://itif.org/publications/2017/05/01/cross-border-data-flows-where-are-barriers-and-what-do-they-cost.2014年后,受“棱鏡門”事件影響,出于對國家安全的維護,俄羅斯率先啟動修法程序,確立了嚴格的數據本地化存儲規則。
參見何波:《俄羅斯跨境數據流動立法規則與執法實踐》,載《大數據》2016年第6期,第131頁。2016年頒布的《中會人民共和國網絡安全法》(以下簡稱《網絡安全法》)第37條也明確規定,關鍵信息基礎設施的運營者應當
對個人信息和重要數據予以本地存儲。因美國的網絡服務提供者拒絕提供其掌握的有關犯罪調查對象的相關數據,巴西、印度也相繼進行了數據本地存儲立法。
參見Andrew Keane Woods, Litigating Data Sovereignty, 128 Yale Law Journal 328, 365 (2018).數據本地化立法是對屬地原則的嚴格遵守,是防范數據流動引起安全風險的舉措,是對他國網絡服務提供者規制失敗后的應對措施,具有充分的正當性。
應當指出,因數據存儲所在而當然地產生屬地管轄,并不能構成對別國國民或居民相關數據享有管轄權的充分理由。盡管數據本地化立法有其正當性,但與互聯網的基礎架構相違背,與網絡數字技術的進步相矛盾,降低了互聯網作為一個整體的運行效率,也極大增加了網絡公司的商業成本。誠如美國司法部在修法建議中所說,提出“數據控制者”模式的本意是為了解決“數據存儲地”模式下電子證據由美國網絡公司掌握、存儲于美國境內而造成其他國家獲取相關數據困難的問題,以降低別國數據本地化立法趨勢。
參見Letter from Samuel R. Ramer, Assistant Attorney Gen., to Paul Ryan, Speaker of the U.S. House of Representatives (May 24, 2017).CLOUD法案生效后,其展示出的單邊主義以及長臂管轄趨勢遭到諸多質疑與抨擊,又有斯諾登事件的前車之鑒,出于安全防范的考量,“數據本地化”的立法趨勢并不會消退。可見,在主權國家就此問題各執己見、互不相讓,并建立起信任機制之前,這是一場零和博弈,雙方的利益都無法實現。
(二)網絡服務提供者的“國籍管轄”困難
傳統上,主權國家主要依據法人的國籍確定對其的管轄。大多數國家依據法人登記地或住所地確定其國籍,盡管在住所地的確定上又存在不同的標準。
參見劉想樹:《國際私法》,法律出版社2011年版,第108-111頁。如今,網絡公司在其所屬國以外的國家開展經營活動并不需要在其境內登記或設立任何實體機構,這為主權國家要求其他國家的網絡服務提供者承擔法律責任增添了困境。公司登記地、管理中心或營業中心不在主張管轄的國家境內,成為公司拒絕遵守該國法律的借口。然而,網絡服務提供者在全球網絡空間治理中的地位不容小覷。大型網絡科技絡公司通常是數據的實際控制者,這一私主體在跨境爭端的解決以及適用規則的確定、解釋、執行方面發揮著舉足輕重的作用,其管理、控制用戶數據的能力使其可與一些國家的政府規制相抗衡。
受利益驅使,網絡公司基于用戶所在地、電纜光纖的地理位置、存儲成本等因素選擇數據存儲的具體位置。
參見David Mytton, Cloud Location Matters-Latency, Privacy, Redundancy, Server Density Blog (Aug. 21, 2014), https://perma.cc/YLY4-AGD8.企業善于利用司法轄區間的規則差異避稅,相同的邏輯在網絡空間一以貫之,網絡公司會在全球市場的運營中利用各國法律間的差異尋求獲利機會,“合法”躲避政府監管。公司可以自由決定總部設在何處,財產存放于何處,雇傭哪國員工,以及其服務條款受制于哪國法律。
參見Andrew Keane Woods, Litigating Data Sovereignty, 128 Yale Law Journal 328, 354-355 (2018).例如,雅虎、谷歌等數據巨頭在其全球范圍內的服務器之間不停傳輸、轉移數據,由此他們可以理直氣壯地告知有關政府,因其公司設立在美國而不受其他國家管轄,或者所需數據存儲于其他司法轄區而無法提供等。可見,數據的存儲地多是服務提供者出于商業考慮后的選擇,具有不可預測性,若依據數據存儲地確定管轄權,只會增加法律的不確定性。其結果是少數國家以對服務提供者主張“國籍管轄”為工具行使長臂管轄權,而其余國家則無法對與其領土具有實際聯系的法人主張管轄權。
(三)國際禮讓原則的司法適用受阻
禮讓學說是國際法的重要淵源與基石。美國聯邦最高法院曾對國際禮讓進行過經典闡述:“禮讓既不是絕對的義務,也不僅僅是禮貌或善意。一國在其領土內允許別國的立法、執行以及司法行為時,既要適當考慮國際義務和便利,也要考慮本國法律保護下的本國公民及受其管轄的其他人的權利。”
參見Henry Hilton v. Gustave Bertin, 159 U.S. 113, 163-64 (1895).在沒有國際條約、國際慣例以及沖突規范等可遵循的情況下,面對國家間可能發生的主權沖突,法院通常通過禮讓分析衡量涉案國家的主權利益以解決沖突。在網絡全球化導致國家間司法管轄權沖突頻發的當下,法院對此越來越少地進行禮讓分析。即使糾紛涉及別國主權利益,法院更多地被要求將其視為“國內事務”并依照本國法律作出裁判,法律的域外效力愈加明顯。在電子證據跨境獲取問題上,禮讓原則的適用更是充滿挑戰。
首先,各主權國家對于“跨境電子證據獲取”的基本界定存在分歧。不同國家常常依據不同連結因素獲取電子證據或直接跨境獲取電子證據,如甲國認為乙國的證據調取行為發生在其境內侵犯了其領土主權利益,而乙國則稱該行為完全是“境內獲取”,屬國內事務,由此,甲乙兩國均不認同對方聲稱的境內獲取或跨境獲取證據的方式。在彼此的主權利益尚無法清晰界定的情形下,法院如何進行禮讓分析?
其次,出于對別國主權利益的考量,法院在司法判例中適用國際禮讓原則以維護別國合理的主權利益,彰顯對不同文化、風俗以及公共秩序的尊重。
參見Jack Goldsmith, Sovereign Difference and Sovereign Deference on the Internet, 128 Yale Journal Forum 818, 825 (2019).但在跨境數據獲取的問題上,其無助于國家間互惠合作的達成。例如,斯諾登事件曝光了美國利用其技術優勢秘密監視全球網絡活動、竊取全球數據的惡行,各國出于自我保護的意識以及對數據資源的需求采取了數據本地化應對舉措。當法院面對由“數據存儲地”模式與“數據控制者”模式引發的證據調取沖突時,禮讓分析無濟于事,其所要求的維護、尊重別國主權利益,無法改變對立的立法模式,真正的沖突依舊被擱置。此外,各國法院之間沒有交流機制,禮讓分析也無益于促進他國法院在相同問題上同等適用禮讓分析原則。
最后,國際合作的達成無法依賴法院的禮讓分析,而是需要合作雙方的相關政府部門通過平等談判、磋商,對自身進行限制以求獲取更大的互惠利益。協議的達成往往需要經歷痛苦且漫長的歷程,歷經無數回合的“討價還價”,最終也極可能無疾而終或難以維持合作。通常,真正導致國家采取行動的,是一國域外管轄權的行使以及別國法律對其產生的域外效力。
參見Jack Goldsmith, Sovereign Difference and Sovereign Deference on the Internet, 128 Yale Journal Forum 818, 823-824 (2019).“愛爾蘭微軟案”中,聯邦第二巡回上訴法院的禮讓分析未能得出美國政府滿意的答案便是例證。境外獲取電子證據通過立法被固定下來,國家間的合作有待政府部門依據該法案下的行政協議框架進一步談判。
四、網絡空間司法管轄權理論的重構
在國際實踐中,管轄權是主權國家的基本權利之一,指一般法律權限的特定方面,通常推定其屬地性。然而,屬地管轄理論在實踐中已發生了變化,且相關法律仍然相當不確定,正在根據以下兩條原則不斷發展:第一,盡管屬地原則仍是國際法的最佳基石,但不能為某些當代的管轄權沖突提供現成解決方法;第二,力求管轄權事項與管轄權屬地基礎、合理利益之間本質和真實的聯系原則得到遵循。
參見[英]伊恩·布朗利:《國際公法原理》,曾令良、余敏友等譯,法律出版社2007年版,第266頁。根據《國絡行動國際法塔林手冊2.0版》對網絡空間中國家主權的界定,除對境內從事網絡活動的人可行使管轄權無爭議外,對于其他幾類管轄權的具體范圍,包括對境內網絡設施、從事網絡活動的人員,以及在境內產生或完成,或者在境內造成實質影響的網絡活動行使管轄權。參見[美]邁克爾·施密特主編:《網絡行動國際法塔林手冊2.0版》,黃志雄等譯,社會科學文獻出版社2017年版,第95頁。國際范圍內存在不同認識。例如,對于境內網絡設施的屬地管轄而言,有學者提出只有當網絡基礎設施在網絡活動中發揮實質作用,扮演重要角色,該基礎設施所在國才能行使管轄權。
參見[美]邁克爾·施密特主編:《網絡行動國際法塔林手冊2.0版》,黃志雄等譯,社會科學文獻出版社2017年版,第95頁。為了應對網絡空間中各國司法管轄權的矛盾和爭端,司法管轄權理論亟須重述與創新。
(一)明確領土主權適用于網絡空間的有限性
明確屬地管轄在網絡空間司法管轄權行使中的有限性極為重要。誠如本文第二部分所述,應借助IP地址識別技術以網絡用戶的身份認證作為劃分網絡空間司法轄域的依據,“地域疆界”將統一物理世界與虛擬空間。將用戶IP地址識別作為虛擬與現實的連接端口,保障各國公民與居民對該國法律的遵守,進而“領土”的法律規范意義在網絡空間得以真正實現,重塑網絡空間的司法轄域邊界。需要指出,適用于網絡空間的“屬地管轄”將受到一定限制。“對其領土之上一切人的管轄”之要義不變,有限性體現在國家對其領土之上一切“物”的領土主權一定程度的讓渡。具言之,用戶的網絡行為與網絡服務提供商服務器所在地的不相關性,用戶個人數據的存儲地與數據訪問地、用戶所在地的不相關性等,都使“被管轄的事物”與“領土”之間缺乏聯系。領土主權的行使缺乏正當性,政府適用其法律亦缺乏基礎架構支撐,若執意為之,將大大提高制度成本并極易損害別國主權利益。考慮到各國出于自身利益在網絡空間適用本地法律的訴求不盡相同,基于個人用戶的身份進行司法轄區的區分,有利于各國政府規制其境內公民與居民的權利,亦實現了各國在網絡空間的平等治理。同時,國家在網絡空間對其領土之上一切人的管轄必將涉及相關境外數據的規制,需要各國間的合作與妥協,即同等地讓渡部分對其境內“物”的屬地管轄權,以國家對境內從事網絡活動的人的屬地管轄優先為基礎,構建新的網絡空間司法管轄制度。
(二)認可實際聯系原則限制下域外管轄權的行使
國家對其境內一切從事網絡活動的人行使領土主權,必將涉及相關網絡服務提供者的管轄問題。一國境內網絡用戶的相關數據大都掌握在各網絡公司,且通常是別國的互聯網巨頭手中,進而產生了國家之間對網絡服務提供者管轄權的爭奪。本文第三部分已論述了當前網絡公司面臨的國籍管轄困難,這為國家政府要求跨境調取其境內網絡用戶的相關數據制造了阻力。在電子證據跨境獲取問題上,網絡公司對用戶數據的事實控制使各國有關部門迫切需要其協助。
對此,應肯定國家可在實際聯系原則限制下對網絡服務提供者行使域外管轄權。域外管轄并非意味著縱容主權的任意擴張,而是依據管轄理論中的效果原則,允許主權國家在一定限度內必要地在其境外行使管轄權。具言之,國家可對網絡服務提供者實施域外管轄的前提,是網絡公司“提供服務”的行為與主張管轄的國家領土間存在實質聯系。認定存在此種實質聯系的考量因素包括:服務提供者在其境內設有機構;服務提供者在該國存在大量用戶或存在一項或多項針對該國的活動等。例如,歐盟在此問題上要求判斷一國境內的網絡用戶是否能夠使用該網絡服務提供者的服務,僅服務的可訪問性(也可能源于服務提供商或中介網站或電子郵件地址和其他聯系方式的可訪問性)不足以認定為“提供服務”。
參見Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters, European Commission, COM(2018) 225 final (17 April 2018).
在認可了特定情形下域外管轄權之行使后,主權國家必將面對網絡服務提供者的雙重主權管轄問題。科技的發展使網絡服務常常同時跨越兩個及以上的司法轄域,依據傳統的國籍管轄規則以及“提供服務”的行為,服務提供者將受到兩個甚至多個國家的規制,進而產生了平行的雙重主權管轄。相互重疊的主權之間是平等的,不存在最高主權原則,而迄今為止的國際法框架中并未出現創建國際性憲法之契機。
參見[美]勞倫斯·萊斯格:《代碼2.0:網絡空間中的法律》(修訂版),李旭、沈偉偉譯,清華大學出版社2018年版,第331-333頁。對此,雙重主權之間誰更優先?若產生主權沖突又應如何解決?
向一國境內的網絡用戶提供商品或服務的網絡公司,因缺乏實體存在而免于遵守該國法律、不受該國管轄,不僅侵犯了該國的主權利益,為該國境內的網絡公司制造了不公平的競爭環境,而且會刺激主權國家制定法律規章要求設立實體存在為向其境內提供網絡服務的前提。此外,國籍問題關系到公司時往往體現出功能性歸因規則,被視為一種功能性的標志。
參見[英]伊恩·布朗利:《國際公法原理》,曾令良、余敏友等譯,法律出版社2007年版,第371-372頁。因此,對于網絡服務提供者管轄權之確定,應結合特定事項,依據實際聯系原則確定管轄權的歸屬或優先。在網絡空間的國際管轄中,明確了國家對境內一切人享有屬地最高權之后,對于網絡服務提供者管轄權的確定,符合實際聯系原則的“域外管轄”必然優先于國籍管轄。這一制度是可行的,因為其符合互聯網的基礎架構,政府實現規制的成本很低。如同萊斯格所說:“各國強烈需要一個多國法律的世界,同時我們也需要壓低規制成本。”
參見[美]勞倫斯·萊斯格:《代碼2.0:網絡空間中的法律》(修訂版),李旭、沈偉偉譯,清華大學出版社2018年版,第331-333頁。倘若在特殊情形下仍發生了主權沖突,則應通過利益衡量對相互沖突的主權利益進行平衡。
五、解決網絡空間司法管轄權沖突的方案
(一)明確“網絡空間主權”的邊界
我國《網絡安全法》第1條明確了我國“網絡空間主權”之主張。我國的主流觀點認為,網絡空間主權是國家主權在網絡空間中的自然延伸和表現,是國家主權的重要組成部分。
參見若英:《什么是網絡主權?》,載《紅旗文稿》2014年第13期,第39頁;支振鋒:《網絡主權指引國際治理新格局》,載《人民日報》2016年1月5日,第5版;李鴻淵:《論網絡主權與新的國家安全觀》,載《行政與法》2008年第8期,第115-117頁。在個人數據跨境流動的規制方面,我國當前以“關鍵信息設施運營者數據本地化”為基礎,有關個人數據的安全管理、出境安全評估等事項的立法尚未出臺,
2019年5月21日至6月13日,我國國家互聯網信息辦公室在不足一個月內相繼發布《網絡安全審查辦法(征求意見稿)》《數據安全管理辦法(征求意見稿)》《兒童個人信息網絡保護規定(征求意見稿)》和《個人信息出境安全評估辦法(征求意見稿)》。諸多基礎概念有待界定。數據本地化立法固然具有正當性,但其與網絡架構、全球數字經濟的發展趨勢不符。信息技術與經濟社會的交匯融合引發了數據迅猛增長,2020年4月9日發布的《中共中央 國務院關于構建更加完善的要素市場化配置體制機制的意見》,已將數據和土地、勞動力、資本、技術等傳統生產要素并列,明確提出要加快培育數據要素市場,
參見《中共中央 國務院關于構建更加完善的要素市場化配置體制機制的意見》,新華社2020年4月9日,http://www.gov.cn/zhengce/2020-04/09/content_5500622.htm.數據已成為國家基礎性戰略資源。在全球數字經濟浪潮之下,海量數據流通、分享本身會帶來網絡紅利。隨著我國網絡科技公司全球化發展的快速進步,鼓勵數據自由流動有利于我國企業的發展也符合我國的利益。華爾街證券分析師瑪麗米克發布的《2019年互聯網趨勢》報告顯示,據全球各大互聯網公司的估值衡量,全球前30名互聯網科技公司排名中,有7家來自中國。
參見Mary Meeker, Internet Trends 2019, https:∥www.bondcap.com/report/itr19/#view/1, 2020年10月20日訪問。廣泛施行數據本地化政策不利于營造良好的營商環境,易錯過數字經濟發展的新浪潮,使我國在全球化時代變成一座數據孤島,缺乏經濟、文化等國際交流。對此,我國應接受主權理論在網絡空間國際管轄問題上的創新,賦予“網絡空間主權”以新邊界:明確在網絡國際管轄中對境內一切人的屬地最高權,并在此基礎上承認其他主權國家可在實際聯系原則限制下對我國的網絡服務提供者行使“域外管轄”;相應地,我國可基于此對別國網絡服務提供者同等地主張“域外管轄”,以此為基石構建新的管轄規則,進而完善網絡空間的全球治理。
(二)有關跨境電子證據獲取的立法建議
在本文重點探討的刑事調查以及刑事訴訟中電子證據跨境獲取問題上,我國呈現出政府主張、立法理念與司法實踐不符的現狀。2018年10月26日通過的《中華人民共和國國際刑事司法協助法》(以下簡稱《國際刑事司法協助法》)嚴格依據屬地原則界定執法管轄的范圍,明確抵制外國司法執法機構向我國行使長臂管轄權。
參見《國際刑事協助法》第4條,該條的適用有待執法機構在具體執法過程中作出進一步闡釋。一方面,全球化時代,我國在刑事案件偵查、訴訟過程中所需的相關電子證據存儲于境外的情形在所難免,而一些國家在無法通過我國境內的服務提供者獲取其所需的電子證據時,極可能對我國采取對等舉措。另一方面,美國CLOUD法案的實施可能會與我國《國際刑事司法協助法》之規定產生正面沖突。試想,當美國相關政府部門要求在美國運營的我國網絡服務提供者披露相關電子數據時,我國的服務提供者將受到中美相沖突的法律規制,并可能因為無法向美國披露數據而遭到處罰。對在中國運營的美國網絡公司而言,一方面,中國的數據本地化要求會增加其運營成本;另一方面,當美國相關當局因刑事訴訟所需要求其提供的電子證據存儲于中國境內時,無論該服務提供者如何作為都可能遭到對方國家處罰。這無疑是將網絡服務提供者置于兩難境地。面對雙重主權的困境,單純放棄“數據控制者”模式對我國并無益處,即使在不改變現有法律規定的前提下,我國至少應對等保留通過數據控制者獲取境外電子證據的權利,同時允許其他國家合理的電子證據披露要求,這是依據國際法中的對等原則采取的被動應對措施。
參見梁坤:《基于數據主權的國家刑事取證模式》,載《法學研究》2019年第2期,第207頁。
然而,我國關于刑事電子證據調取的規范與實務又存在對屬地原則的背離。根據《最高人民法院、最高人民檢察院、公安部關于辦理網絡犯罪案件適用刑事訴訟程序若干問題的意見》(公通字[2014]10號)第15條的規定,對于原始存儲介質位于境外而無法獲取介質的,可以提取電子數據。2016年,《最高人民法院、最高人民檢察院、公安部關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》(法發[2016]22號)第9條再次明確規定:“對于原始存儲介質位于境外或者遠程計算機信息系統上的電子數據,可以通過網絡在線提取。為進一步查明有關情況,必要時,可以對遠程計算機信息系統進行網絡遠程勘驗。”可見,我國司法實踐中同樣表現出域外管轄的傾向。刑事案件司法管轄權之行使是國家主權的直接體現,我國現行電子證據跨境獲取模式缺乏國家戰略層面的統領設計,存在內部矛盾。
鑒于此,建議我國在依據屬地管轄、國籍管轄、保護管轄或普遍管轄明確對特定刑事案件享有司法管轄權的前提下,基于網絡空間主權,可直接要求我國相關網絡服務提供者以及與我國發生實際聯系的外國網絡服務提供者儲存、備份、披露由其保管、控制、擁有的有關被告、犯罪嫌疑人的相關個人數據,包括存儲于境外的電子數據。在特殊情形下,如果服務提供者認為執行電子證據的調取指令可能侵犯別國主權利益,可向我國主管部門請求撤銷有關數據的調取指令,該部門經利益衡量后最終作出決定。需要考量的他國主權利益包括該國政府禁止調取相關電子證據的利益,服務提供者因提供相關證據的行為受到法律處罰的可能性、程度與性質等。與此同時,上述規則同等適用于其他國家出于對其公民與居民的屬地管轄向我國網絡服務提供者發出的電子證據調取請求。在此框架下,進一步限制電子證據的范圍、跨境調取電子證據的方式,細化具體的程序性以及實質性規則。在國際層面,我國應積極參與跨境數據流動的國際協商,尋求多邊主義下合作的達成。在多邊合作共識達成之前,我國應努力促成雙邊合作協議,逐步建立起互信機制,進而提升我國在數據流動、數據治理等國際規則制定中的話語權。
結論
技術的發展推動著法律制度的革新。互聯網使國與國之間的聯系愈發緊密,主權已失去其被幻想出來的至高性和獨立性。網絡對國家間地理屏障與隔離的突破造成了領土主權的局限性,各國欲在網絡空間中實現法律的本土化,需要彼此間相互配合與妥協。對于網絡空間的國際管轄,應明確國家對境內一切人的屬地最高權,而最為關鍵的是指出領土主權的有限性,即主權國家應讓渡在其境內但與其領土不具實際聯系的“物”的屬地管轄。國家可在實際聯系原則限制下對網絡服務提供者行使域外管轄權,且此種特殊管轄優先于一般管轄。在網絡空間司法管轄權沖突問題上,主權理論的意義在于保障國家在國際交往過程中平等參與、平等談判,目的在于促進國際共識與合作的達成,最終實現網絡空間的全球協同治理。
Jurisdiction Conflicts and Resolutions in Cyberspace
WU Qi
(Law School of Tsinghua University, Beijing 100084, China)
Abstract:
The deterritorialization of internet technology has greatly challenged the jurisdiction of sovereign states. The separation of the internet content layer and the physical layer makes the jurisdiction in the cyberspace not equivalent to the national geographic boundary, and become increasingly unclear. The mobility, divisibility and location independence of data create obstacles to the exercise of territorial sovereignty. And accessing cross-border electronic evidence is hindered in criminal investigations and criminal proceedings. Some pioneers started legislative practices, but they caused sovereignty conflicts with other countries due to extraterritorial effects of the law. Facing the dilemma between “territorial jurisdiction” and “long-arm jurisdiction”, the difficulty in exercising “nationality jurisdiction” against internet service providers, and the obstruction of international comity, the traditional theory urgently needs innovation in the international jurisdiction of cyberspace. Territorial sovereignty in cyberspace refers to the highest territorial jurisdiction of the state over all people within its boundary. On this basis, the sovereignty of a country is recognized.It can exercise “extraterritorial jurisdiction” over network companies in other countries within the limits of a substantial connection.
Key Words: jurisdiction; cyber sovereignty; territorial sovereignty; extraterritorial jurisdiction; to access cross-border electronic evidence
本文責任編輯:邵 海
