2024年8月9日,在历经三年的磋商谈判之后,由联合国大会设立的“打击网络犯罪公约特委会”在其总结会议的续会上完成定稿并通过了《联合国打击网络犯罪公约》草案文本。2024年12月24日,在第七十九届联合国大会上,全体联合国会员国以协商一致的方式正式通过了这一具有历史性意义的《联合国打击网络犯罪公约》(该文件全称为《联合国打击网络犯罪以及为打击利用信息通信技术系统实施的某些犯罪并共享严重犯罪电子证据而加强国际合作公约》,以下称《公约》)。
《联合国打击网络犯罪公约》是继《联合国反腐败公约》之后时隔二十年面世的又一部新型国际立法,也是迄今为止在网络和数字领域第一部由联合国主导制定的全球性国际公约。《公约》旨在“更高效、更有效地预防和打击网络犯罪”,作为历史上首部具备普遍性法律约束力的打击网络犯罪国际协定,它在全球范围内为强化惩治网络犯罪的国际合作提供了系统的法律框架。鉴于《联合国打击网络犯罪公约》是目前在网络和数字领域唯一的全球性“国际硬法”,其制颁出台可谓是全球数字治理与数字法治的重大里程牌。
回顾《公约》酝酿、磋商和通过的整个过程,中国是在联合国平台讨论网络犯罪问题的首倡者,是启动《公约》谈判的推动者,是整个《公约》谈判过程的坚定支持者和引领者。我国一贯倡导并支持在联合国框架下研究设计和谈判制定关于打击网络犯罪的全球性公约,并于2019年和其他国家共提关于启动《公约》谈判的联大第74/247号决议。自2022年以来,中国作为联合国“打击网络犯罪公约特委会”的副主席国,始终以网络空间命运共同体理念为引领,旗帜鲜明倡导加强打击网络犯罪国际合作,支持强化发展中国家能力建设,并在谈判中与各方开展建设性对话,增进认知和理解,引导各方展现灵活,为《公约》的最终达成发挥了关键作用。
(一)《联合国打击网络犯罪公约》制定的历史进程
历史地看,《公约》的出台进程和网络技术的应用普及、犯罪形态的嬗变迭代以及国际社会的立场演进有着密切的逻辑联系。随着网络信息技术的发展对犯罪治理带来日益广泛的深刻影响,早在2005年的第十一届联合国预防犯罪和刑事司法大会上,已有国家提议对于计算机犯罪问题制定一项普遍国际规定。由于各方未能形成一致意见,这一提议最终并未被采纳。但在此阶段,关于计算机犯罪的研究已在陆续、分散地展开。
直至2010年4月,第十二届联合国预防犯罪和刑事司法大会通过了《萨尔瓦多宣言》。该宣言建议,联合国预防犯罪和刑事司法委员会(CCPCJ)召集不限名额的政府间专家组并召开会议,以全面研究网络犯罪问题及其应对方案。同年12月,第六十五届联合国大会第65/230号决议要求CCPCJ根据《萨尔瓦多宣言》成立专家组并召开会议。2011年1月,第一届联合国网络犯罪政府专家组会议在奥地利维也纳召开。会议通过了《工作方法》和《议题范围》,并授权联合国毒品和犯罪问题办公室(UNODC)根据《工作方法》,在议定的议题范围内起草《网络犯罪问题综合研究报告》(以下称《研究报告》)。
但《研究报告》的起草过程并不顺利。2013年年初,UNODC完成了《研究报告》草案初稿共八章,分为联通性与网络犯罪、全球图景、立法与法律框架、刑事定罪、执法和侦查、电子证据与刑事司法、国际合作和预防等部分。但在接下来的两次专家组会议中(2013年2月的第二次专家组会议,以及经过长达四年的停滞后在2017年召开的第三次专家组会议),由于各方争议巨大,《研究报告》草案并未通过。
两次会议中的主要分歧在于是否有必要制定新的网络犯罪国际公约,并主要形成了以金砖国家等发展中国家为代表的倡导派和以欧美为主的《网络犯罪布达佩斯公约》缔约国为代表的反对派两大阵营。《研究报告》草案制定进展陷入了僵局。2017年5月,CCPCJ第二十六届通过第26/4号决议,要求专家组继续开展工作,并举行定期会议以按照结构化方式审查《研究报告》第三章至第八章(立法与法律框架、刑事定罪、执法和侦查、电子证据与刑事司法、国际合作和预防)涉及的每个主要问题。
2017年10月,俄罗斯向联合国大会提交了载有《联合国合作打击网络犯罪公约(草案)》的动议。2018年4月,第四次专家组会议通过了2018—2021年的工作计划,并着重讨论了立法与法律框架、刑事定罪两项议题。根据该计划,在2018—2021年,专家组将每年召开一次会议,分别就前述六项实质性问题进行讨论,最终在2021年第七次评估会议上出台工作建议提交CCPCJ进行审议。通过联合国网络犯罪政府间专家组会议,国际社会逐渐形成了就打击网络犯罪开展国际合作的诸多共识。《研究报告》等会议成果汇集了各方在打击网络犯罪方面的核心关切与分歧,为《公约》的起草与谈判工作奠定了基础并提供了文本参考。
在联合国网络犯罪政府间专家组会议进行期间,2019年11月我国与包括俄罗斯在内的九个国家共同发起了一项动议,旨在制定打击网络犯罪相关的国际公约。同年12月,联合国大会通过了第74/247号决议,成立了由代表所有区域组成的、不限名额的特设政府间专家委员会(即“打击网络犯罪公约特委会”,以下称“特设委员会”),负责《公约》的制定与谈判工作。
根据该决议,特设委员会应于2020年8月召开组织会议,以商定其后续工作的大纲和方式,并提交第七十五届联合国大会审议。但受到疫情影响,组织会议推迟至2021年5月10日至12日进行。在随后的联合国大会中,关于《打击为犯罪目的使用信息和通信技术行为》的第75/282号决议获得通过。该决议决定,自2022年1月起,特设委员会应至少召开六次为期十天的会议,并最终向第七十八届联合国大会提交《联合国打击网络犯罪公约(草案)》。
该公约的正式磋商谈判一共历经四个阶段,期间进行了六轮谈判会议、一轮总结会议以及五轮闭会期间磋商。
谈判第一阶段,特设委员会在2022年2月28日至3月11日于美国纽约举行了第一届谈判会议。各方通过第一次会议明确了磋商路线图和工作模式,其中载明了《公约》的目标、范围和结构框架。同时,会议批准了在谈判会议之间举行闭会期间磋商,以征求各利益攸关方对《公约(草案)》的意见。
谈判第二阶段,以《公约》主要内容为核心,并在第二、三次会议中完成了对《公约》主要内容的译读。2022年5月30日至6月10日,第二次谈判会议在维也纳举行。在第二次会议中,特设委员会就《公约》的刑事定罪、一般规定、程序措施和执法部分的草案文本征求了各方的意见。2022年8月29日至9月9日,第三次谈判会议在纽约召开。委员会围绕《公约》的国际合作、技术援助和预防措施等章节征求了意见。经过这两次会议,特设委员会完成了《公约》草案的一读工作,形成了完整的草案谈判文本。
谈判第三阶段,第四次和第五次谈判会议分别在2023年1月9日至20日以及4月11日至21日在维也纳举行。在两次会议期间,各方主要对在第二次和第三次谈判会议期间提出的各项案文建议进行了讨论,完成了《公约》的二读工作。2023年8月21日至9月1日,第六次谈判会议对会前形成的完整版《公约(草案)》进行了逐条讨论,完成了整体谈判工作。
谈判第四阶段,通过总结会议及其续会,各方最终就《公约》草案文本达成共识。2024年1月29日至2月9日,总结会议在纽约举行,各方在主要争议焦点问题方面仍存在很大的分歧和冲突。与此同时,共124名研究人员和网络安全组织向特设委员会发表了一份联合声明,呼吁与会代表修改《公约》草案文本中有缺陷的语言。由于各方分歧显著,难以达成共识,特设委员会暂停了总结会议,并决定另行召开续会。
同年7月31日至8月9日,总结会议续会在联合国总部纽约举行。在此期间,在维也纳举行了一系列仅限代表参与的闭门会议。经过艰难谈判与磋商,各方最终达成妥协方案,新的《公约》草案文本在总结会议续会中形成定稿并获得通过,并向联合国大会提交。
自2024年12月24日第七十九届联合国大会正式通过《联合国打击网络犯罪公约》文本后,公约的开放签署仪式将于2025年年中在越南首都河内举行,随后将返回联合国总部向各会员国开放签署直至2026年12月31日。《公约》将在第40份批准书、接受书、核准书或加入书交存之日后第90天起生效。
同时,特设委员会还将继续开展工作,以谈判制定补充议定书草案,并将在《公约》通过两年和三年后分别在维也纳和纽约举行为期十天的两届会议,以酌情处理其他刑事犯罪议题。特设委员会还将在公约通过一年后在维也纳举行一次不超过五天的会议,以完成公约谈判进程中设定的各项任务,并着手拟定《网络犯罪公约》第57条所述公约缔约国会议议事规则以及其他相关规则的案文草案,以备提交缔约国会议第一届会议审议。
(二)《联合国打击网络犯罪公约》博弈的焦点议题
《公约》文本的设计和拟定进程吸引了国际社会的踊跃参与,包括各类国际组织、主权国家、技术社群、市民社会、研究机构、非政府组织以及跨国公司等都积极献言献策,同时也产生了广泛的意见交流和激烈的观点碰撞。综观公约的磋商谈判历程,谈判各方基于自身的治理洞察立场和重点关切,围绕人权保障、刑事定罪、国际合作与服务提供者的预防性责任等诸多焦点议题展开了持续的博弈,反映出《公约》条文内容变动的背后所折射的各方不同的数字治理内在关切。
1.各方对于网络犯罪治理有着不同的价值立场
长期以来,各国在网络犯罪防治领域各自的体系建设和实践展开中形成了各具侧重的惯有路径和价值组合,进而在对待《公约》的文本内容时产生了立场的分歧,突出地表现在人权保护的议题上。
人权原则和主权原则是《公约》的两大基本原则,二者的关系互动贯穿了《公约》的整个谈判过程。中国和俄罗斯等国一贯坚持在《公约》文本中将“尊重主权平等和领土完整、不干涉内政”等基本原则列入一般规定,并且主张主权原则应当适用于网络空间。但以美国和欧盟成员国为代表的西方国家则基于其意识形态传统,更倾向于突出人权保护,甚至淡化国家主权的重要性,并认为部分刑事定罪与程序和执法措施存在侵犯隐私和言论自由的问题。这也是《公约》草案最终删除了诸如“煽动恐怖主义”“煽动仇恨言论”等与内容相关的犯罪类型的原因之一。
尽管尊重和保护人权原则得到了绝大多数国家的支持,但不同国家对于人权、主权以及网络犯罪打击之间的关系理解仍存在较大偏差。欧美等国家主张进一步细化《公约》第6条的尊重人权原则,并要求对人权保障条款展开逐一列举,以强化对人权的保障。然而,对犯罪嫌疑人和被告人的人权的过度保护必然导致《公约》执行实效的削弱,因此中国等国家一再强调《公约》应正确平衡人权保护与打击犯罪的关系而不可偏颇,必须始终牢记《公约》制定的目的在于预防和打击网络犯罪,并且有必要避免个别国家利用人权问题干涉他国主权的行为。
2.各方对于网络犯罪治理有着不同的制度需求
共处数字时代,但各国的政治体制、法律体系、文化传统、经济样态以及技术水平等都处于不同的发展阶段,实际面对的各种网络犯罪的外化表现、类型特征以及演进变化存在明显的代际区别,因而在《公约》的规范设计方面有着相异的制度期待和规则诉求,尤其反映在刑事定罪的范围以及国际合作的适用等方面。
一方面,针对《公约》应当引入的刑事定罪范围,各方争议主要集中在两点:其一,对于定罪范围以及立法原则,各方主要形成了“宽定罪”与“窄定罪”两种立场。中国、俄罗斯等国家主张“宽定罪”模式,认为《公约》所规定的定罪范围应当尽可能全面地涵盖利用网络实施的犯罪,包括恐怖主义犯罪、侵害个人信息犯罪以及电信网络诈骗等。但在《公约》磋商进程中,由于种种原因,包括各方难以就相关概念达成一致,或者出于对相关概念极易被滥用的担忧,上述列举的诸多利用网络实施的犯罪样态没有被纳入《公约》的文本。
而以欧美国家为代表的《网络犯罪布达佩斯公约》各缔约国则支持“窄定罪”模式,其理由在于过分宽泛的网络犯罪范畴存在不适当地干预人权,以及扭曲长期存在的刑事司法理念的风险。为此,其中部分国家主张应当仅涵盖“纯粹网络犯罪”,也即定罪范围应当限定为针对计算机系统实施的犯罪;另一部分国家则认为必须谨慎采纳扩大定罪范围的主张。
其二,围绕着《公约》与网络技术演进的互动匹配问题,各方也形成了两种不同的思路立场:我国及俄罗斯等国家认为,《公约》的定罪范围应根据实践需求以及技术变革及时修订,适时扩大规制范围、扩充犯罪类型,特别是近年来人工智能、区块链和元宇宙等新技术发展对网络犯罪的实施形式和手段等造成了深刻影响,但《公约》本身并未回应此类新技术所带来的新问题,其法律框架需要后续通过补充议定书等形式予以丰富和拓展。
而部分《网络犯罪布达佩斯公约》缔约国则坚持“技术中立”的原则,主张不应偏袒或歧视任何特定技术,而是给予其相同的规则对待。这些国家同时主张《公约》的法律框架应当尽可能涵盖各种技术,并具备技术发展的包容性,不宜频繁对其文本进行修订,以保持法律框架的相对稳定。
另一方面,针对《公约》应当界定的国际合作的涵盖场景,各方争议主要指向在《公约》规定的各种具体犯罪类型以外能否适用各项国际合作机制的问题。欧美等国家主张应当仅限于在《公约》规定的具体罪行范围内展开国际合作,而对于网络犯罪涉案资产返还的问题,由于各国国内法制度差异显著,难以就此问题达成一致。对此,我国主张司法协助不应当局限于《公约》明文规定的具体网络犯罪类型,而是需要就此开展包括资产返还等措施在内的各项国际合作。在我国的坚持下,《公约》的最终文本表述拓展了部分国际合作机制,特别是对于其他严重犯罪(可以判处四年及以上监禁刑的犯罪类型)亦可开展电子证据司法协助。
3.各方对于网络犯罪治理有着不同的生态考量
网络犯罪的具体表现样态与网络技术的应用以及网络产业的发展有着密切的互动关系,而防治网络犯罪的制度设计也将会对网络技术的研发创新和网络产业的运行模式带来显著的反向影响。不难理解,因为各国有着不同的技术和产业生态基础,所以在推动《公约》文本编纂的过程中会全面考量相关规则可能带来的实践影响并做出相关取舍,这特别体现在具体罪名规定的选择以及是否设定服务提供者预防性责任等方面。
一方面,关于《公约》应当引入的具体罪名的设置,《公约》文本的刑事定罪部分在条文拟定过程中进行了大量删改,其最终定稿与最初草案文本相比,删除了大量网络化传统犯罪的罪名,仅保留了11项实体罪名。其中,最后进行的三次案文的修改主要聚焦于儿童色情材料相关罪行的构成要件的设定。
直至最后的总结会议,各国对《公约》第14条关于网络儿童色情犯罪仍存有较大分歧。日本主张儿童色情材料的认定应当限定于涉及真人的情形,而不包括漫画等虚拟形象;而欧洲国家则主张可以对儿童自制色情的情形作出法律保留,排除对儿童自制色情材料的定罪处遇。但我国以及阿拉伯国家始终反对这一保留,并认为这一保留违背了联合国《儿童权利公约》中的儿童权利最大化原则,阿拉伯国家甚至主张《公约》应当同时将网络成人犯罪纳入具体罪行的规定中。由于各方对于本条是否保留的意见分歧严重,最终经投票决定,《公约》纳入了第14条第4款规定的例外情形。
另一方面,关于是否就服务提供者专设预防性义务和责任的问题,各方意见分歧尤其反映了各自对网络产业生态的认知洞察和治理导向。我国与东南亚国家等认为,网络服务商是网络犯罪预防中的关键主体,应当通过《公约》明确规定其预防义务,包括网络日志留存、网络安全等级保护等要求,以及拒绝履行该等义务的相关法律责任。而诸多经济发达国家则持反对态度,尤其拥有众多头部网络科技公司的美国,强烈反对直接针对服务提供者设定相关义务,而是主张可以通过鼓励公私合作等方式发挥私营部门在网络犯罪预防环节的重要作用,并且不能给企业造成不必要的和不合比例的合规负担。
(一)《联合国打击网络犯罪公约》的整体制度框架
《公约》的文本内容以体系性和全面性为突出特征。除序言和附件以外,公约正文部分共9章68条,其中刑事定罪、程序措施和执法以及国际合作是其最核心的部分。
第一章“总则”对《公约》的宗旨、术语使用、适用范围以及基本原则等基本问题进行了规定。
第二章“刑事定罪”部分涵盖了《公约》重点关注的具体网络犯罪类型,包括非法访问、非法拦截等依赖网络的犯罪,以及如盗窃或欺诈、儿童色情、洗钱等因网络技术滥用而显著增长的传统犯罪,并明确了法人责任,解决了不同犯罪形态以及共同犯罪中不同身份主体的刑事定罪问题,并规定了起诉、审判和制裁的具体规则。
第三章“管辖权”在尊重主权的前提下,确立了以属地原则为主、属人原则和保护原则并存的管辖规则,划定了各缔约国可以监管的法律领域。
第四章“程序措施和执法”以及第五章“国际合作”共同构筑了为打击网络犯罪进行跨境执法、取证的制度体系,包括规定了各项保护和获取电子数据的程序措施以及追缴犯罪所得、建立犯罪记录、证人和受害人保护等执法措施,同时规定了缔约国进行刑事调查时应采取的保障措施以保障基本人权。
此外,第五章“国际合作”建立了合作的双重全球框架,其涵盖关于网络犯罪的国际合作以及其他严重犯罪的证据合作两个方面,具体规定了网络犯罪防治合作的实现措施,包括引渡、被判刑人员的移管和诉讼、联合调查和执法合作,并明确了可同时适用于网络犯罪以及其他严重犯罪的电子证据交换规则,助益各方能够在跨境调查、起诉、资产追回和司法程序中相互协助。
第六章“预防措施”与第七章“技术援助和信息交流”则旨在全方位加强预防和打击网络犯罪的能力建设。特别地,第六章规定了协调所有利益相关方包括政府、私营部门、学术界、民间社会组织和公众整体的预防措施,同时强调了对弱势群体的保护。第七章为缔约国之间的技术援助、能力建设和信息交流制定了广泛的措施,特别关注了发展中国家的需求,包括预防、检测、调查和起诉的基本方法和技术,并鼓励各利益相关方之间开展合作。
此外,为推动《公约》的有效运行并加强缔约国之间的合作,第八章“实施机制”的重点是专门设立了公约缔约国会议,并规定了缔约国会议的职能与运行方式。
整体而言,《公约》为在全球范围内预防和打击网络犯罪提供了综合应对措施,优化了传统的刑事调查机制,并通过加强国际合作以应对技术和生态变迁带来的各项全球挑战。与《网络犯罪布达佩斯公约》等其他网络犯罪治理规则框架相比,《联合国打击网络犯罪公约》具有更高的全球代表性、制度包容性和适用普遍性。
《公约》意图建立具有普遍适用效力的全球性网络犯罪治理体系,并且在制定过程中充分关注到了发展中国家与发达国家不同的利益关切和制度需求,能够更好地发挥制度协同效能,进而将网络犯罪的预防惩处机制落到实处:一方面,《公约》旨在实现更敏捷、更协调、更高效的全流程响应机制,以处置信息和通信技术滥用引发的日益蔓延的网络威胁;另一方面,鉴于仅仅在犯罪发生后才作出应对并非治本的治理策略,《公约》同时追求全面构筑网络犯罪的防范机制,培育和营造更加安全、更加可靠的网络数字生态,持续缓解潜在风险并对信息和通信技术伴生的损害后果展开有效管控。
(二)《联合国打击网络犯罪公约》的重点规则设计
总体来看,《公约》在制度逻辑层面呈现“一二三四”的架构特征:“一”是指一个目标中心,即公约指向提高防范和打击网络犯罪的国际合作水平和协同效能。“二”是指两个制度层次,即公约涵盖实体层面的刑事定罪要求和程序层面的举措机制要求。“三”是指公约重点关注的三大制度版块,即狭义网络犯罪,其他严重犯罪,国际合作事宜。“四”是指四大规则重心,即基本原则、刑事定罪、证据运用与能力建设。
第一,《公约》确立了维护主权与尊重人权两大基本原则。在主权保障方面,尽管《公约》第5条并未直接使用“网络主权”的表述,但结合第五章“国际合作”相关条文来看,公约充分尊重和保障各缔约国的主权利益,并认可主权原则在网络空间中的延伸,由此也成为首部将“网络主权”理念转化为具有法律约束力的明文规定的国际协定。《公约》要求在跨境执法过程中应当尊重国家主权,并允许缔约国根据国内法确定主权范围,同时限制了各国对订阅用户信息的主权管辖,在此意义上区分了网络主权与跨境执法的界限。
在人权保护方面,《公约》充分尊重人权和基本自由,要求缔约国在执行《公约》时必须遵守国际法规定的各项法律义务,包括保障与言论自由、良心自由、意见自由、宗教或信仰自由等有关的各类权利行使。此外,《公约》重视个人信息保护,专设第36条要求缔约国按照本国法律保护个人数据,并强调未经提供方同意,接收方不得向第三方转移提供其个人数据。
第二,《公约》建立了全面、立体的网络犯罪定罪体系。
其一,《公约》规定了广泛的适用范围,并间接拓宽了定罪范围。《公约》第3条第1款明确了本公约所规定的犯罪的预防、侦查和起诉的适用范围,同时第4条将《公约》与其他联合国公约诸如《打击跨国有组织犯罪公约》以及《反腐败公约》等联结起来,要求缔约国将利用信息和通信技术实施的这些《公约》规定的犯罪也纳入国内法规制,间接地扩大了定罪范围。
其二,《公约》第7条至第17条规定了11项利用信息和通信技术系统实施的刑事实体罪名,这些罪名整体可以分为两类:
《公约》第7条至第11条规定的罪名属于“网络依赖型犯罪”,即必须基于信息和通信技术实施的犯罪,具体包括非法访问、非法拦截、干扰电子数据、干扰信息通信技术系统以及滥用设备。前四项罪名指的是在没有相关权限的情形下,故意实施的访问信息通信技术系统、拦截电子数据、干扰电子数据以及干扰信息通信技术系统的行为。
为进一步从源头上杜绝此类犯罪行为的发生,《公约》从上游犯罪工具入手,把为实施前述行为而获取、制作、销售、采购以供使用、进口、分销或以其他方式提供相关设备(包括程序)以及访问凭证等类似数据,以及意图实施前述行为而持有相关设备和访问凭证等类似数据的行为,都界定为“滥用设备”,但为进行授权测试或保护信息通信技术系统等合法目的的情形除外。
《公约》第12条至第17条规定的罪名属于“网络促进型犯罪”,也即其发生的规模、速度和范围因信息和通信技术滥用而显著增加的传统犯罪类型,具体包括与信息通信技术相关的伪造和盗窃或欺诈,利用信息通信技术实施的涉及儿童色情材料的犯罪、为对儿童实施性犯罪而进行教唆或诱骗、未经同意传播私密图像以及对犯罪所得洗钱等共计六项罪名。其中,“伪造”指的是输入、更改、删除或抑制电子数据,从而造成不真实的数据被作为真实数据使用,属于一种行为犯。同时,对于伪造的构成要件,《公约》规定缔约国可自行规定行为人是否具备欺诈意图。第13条“盗窃或欺诈”拓宽了技术使用范围,纳入了带有欺诈目的干扰系统运行的其他方式的欺骗行为,而且要求存在欺诈意图并造成财产损失,属于一种结果犯。
此外,《公约》还就刑事定罪的一般性制度作出了明确规定,包括引入有关法人责任的单独条款,并对网络犯罪的共同犯罪问题以及各种特殊形态(包括犯罪未遂、犯罪预备等)的刑事责任作出了专门规定。
第三,《公约》第四章和第五章的各项规定旨在加强国际合作,促进电子证据共享,建立了应用广泛、符合比例原则的程序和执法措施,创立了以国际刑事司法协助制度为主、综合高效的跨国合作新机制,系统构筑了尊重主权、创新高效的证据制度。
其一,公约第四章针对三种不同类型的电子数据规定了六项取证措施,将电子数据分为订阅用户信息、流量数据和内容数据,并针对不同数据类型设置了快速保全和披露、提交令、搜查和扣押、实时收集和拦截等取证措施,各项取证措施所适用的数据类型如下表所示:
其二,《公约》明确规定了不同取证措施的适用范围。从地域范围来看,六项取证措施中的实时收集、拦截以及搜查、扣押仅限于在一国境内适用。通过此类措施收集证据将主要通过传统国际司法协助的方式展开,而不能直接跨境采取措施,由此贯彻了《公约》尊重主权的基本原则。由于《公约》并未明文规定快速保全以及针对服务提供商的提交令所涉及的电子数据的存储位置问题,这也意味着一国主管机关可以直接向境外适用快速保全,并且可以直接向为本国境内提供服务的服务提供商要求提交其所控制的、存储于境外的涉及订阅用户信息类型的数据。
从犯罪类型来看,《公约》的相关规定区分了“犯罪”与可能判处4年以上有期徒刑的“严重犯罪”,并明确对内容数据的拦截仅限于“严重犯罪”类型,体现了《公约》基于人权保护的相称性原则。此外,由于实时收集流量数据和拦截内容数据两种取证措施对隐私和个人数据安全带来的风险更高,可能与部分缔约国现行国内法规定相冲突,《公约》在期望缔约国采取其他必要措施以扩大适用范围的同时允许其作出相关保留。
其三,《公约》第五章详细规定了针对网络犯罪开展国际合作的各项机制,特别是就电子证据的收集、获取、保全和共享问题,规定了广泛的国际合作措施。具体而言,国际合作的开展以司法协助为主要基础,详尽规定了司法协助的一般性原则和程序要求(《公约》第40条),同时新建了7天24小时全天候网络的即时合作机制,大幅提升了国际合作效率,弥补了司法协助机制可能存在的各种不足。此外,《公约》扩充了就电子证据开展国际合作的范围,将可能判处4年以上有期徒刑的其他严重犯罪纳入了电子证据合作范围,使得在快速保全、披露、访问、实时收集和拦截等方面开展的司法协助、全天候网络等国际合作的适用不局限于公约所规定的具体网络犯罪罪名,并对电子数据相关国际合作作出专业化要求(《公约》第42条至第46条)。
第四,在能力建设方面,《公约》全方位加强了各方有关网络犯罪预防和打击的能力建设,旨在减少和管控网络犯罪带来的风险和威胁,并缩小数字鸿沟以提高全球预防和打击网络犯罪能力。
具体而言,《公约》规定了广泛且全面的预防措施,为刑事司法机关、服务提供者、多利益相关方以及公众设计了包括公私合作、能力建设、宣传教育等在内的不同维度的预防措施,并且规定了服务提供者的预防责任。《公约》特别强调了对弱势群体的针对性保护,包括消除性别暴力、保护儿童免受性虐待或性剥削侵害以及加强对受害者的援助支持。同时,为确保预防措施的有效性,《公约》规定了法律框架评估、匿名报告机制等保障措施,并推动加强各缔约国之间开展协助采取预防措施,共同构建全球性的网络犯罪预防网络。
同时,鉴于网络犯罪的跨国性以及犯罪发生时间和地点的随机性,为保护弱势地区免受利用,《公约》就缔约国之间的技术援助、能力建设和信息交流机制做出了系统的举措要求,并着重关注到发展中国家的需求。技术援助所覆盖的范围包括预防、监测、侦查和起诉《公约》所涵盖的犯罪,具体可以包括处理电子证据、法证分析、执法设备使用等技术方面,也包括司法互助请求、监控犯罪收益以及受害人和证人保护等,同时鼓励各利益相关方之间积极开展多样合作。
此外,《公约》鼓励各方就国内犯罪趋势、环境以及相关统计数据等事项向国际进行信息共享,并就典型案例、监控政策有效性、法律和技术发展的最新情况等开展交流,以促进有关网络犯罪预防和打击的共同标准和方法的制定。
(一)《联合国打击网络犯罪公约》的国际回响
就《公约》的国际反响而言,作为联合国大会以“协商一致”的方式通过的公约文本,目前对于《公约》在形式上不存在明确拒绝签署的国家反对意见,而且相当数量的发展中国家展现了支持《公约》签署的积极态度,包括但不限于越南、巴西、牙买加等东盟、拉美和非洲国家。但需要高度关注以美国和欧盟国家为主的西方国家就《公约》在微观规则和具体机制层面提出的各种反对和关切主张,这有可能在实际上造成《公约》签署进程的整体迟滞以及《公约》各项具体制度实施中的进一步变形。
毋庸置疑,《公约》在网络犯罪国际治理领域取得了里程碑式的成就,弥补了长期以来相关全球规则的缺失,提高了国际层面预防和打击网络犯罪的力度和水准。例如欧盟认为,《公约》将“为具有全球影响力的刑事司法实践树立新的标准,比如为全球打击儿童性虐待和性剥削提供重大附加值,有助于消除犯罪分子的任何‘避风港’”。虽然《公约》面临来自各方的意见关切,但不可否认国际社会普遍期待引入一项针对网络犯罪治理的专门框架,例如,谷歌长期以来一直呼吁建立一个国际数字证据框架,原则上支持制定一个平衡的网络犯罪治理框架,在不侵犯人权的同时确保框架能够有效应对网络犯罪、保护网络安全。
此外,《公约》对于提升各国打击网络犯罪方面的能力建设具有积极意义,思科公司肯定了《公约》在能力建设实操层面的重要价值,认为其机制设计融汇培训和教育计划,能够增强各国执法机构对网络犯罪的调查和追诉能力,而且这是以往各类网络犯罪国际治理议程所不具备的。
值得注意的是,虽然美国与欧盟均就该《公约》文本的整体表示予以认同,但同时也保留了各种关切意见。美国主张《网络犯罪布达佩斯公约》仍是美国在计算机犯罪和电子证据有关的国际合作领域的黄金标准,对于《公约》文本及其签署则持有立场的保留,其反对任何缔约方滥用《公约》的制度机制侵犯人权和基本自由,包括言论、良心、政治见解、宗教或信仰等自由,并强调了多利益相关方的广泛参与。
美国呼吁未来的公约缔约国在其国内法中采取必要措施以确保《公约》的实际施行不会与人权义务相抵触,包括拒绝可能侵犯人权的司法协助请求。同时,美国表明将继续参与《公约》的后续各项进程,包括缔约国议事规则的谈判和补充议定书的磋商等,开展合作确保《公约》中的人权和非歧视保障措施的实施和保障,监督《公约》运行实施中可能的滥用和侵权情况。
相较而言,欧盟就《公约》的态度更为缓和,尽管其对《公约》中的各项程序机制措施仍有担忧,但没有强烈意愿为此刻意阻遏《公约》进一步的签署工作。欧盟同样强调,《公约》的实施必须严格遵守有关人权保障的各项措施要求,确保其适用尊重国际人权和基本自由,反对任何滥用《公约》的情形,欧盟将持续对此保持高度关注并会拒绝任何违背这一原则的制度解释。
此外,国际层面的科技行业对《公约》能否保障研究行为和网络安全防范活动的合法性等问题存在一定的担忧。例如,微软公司方面认为《公约》可能影响合法网络安全工作的开展,包括“利用技术识别漏洞、模拟网络攻击和测试系统防御的道德黑客”等情形,由于部分刑事定罪未明确区分犯罪意图多样情形,存在无法保障渗透测试等活动的合法性的风险。而谷歌方面对此表示其十分重视网络犯罪的威胁态势,并主张协调在跨国刑事调查中不同国家之间的管辖与法律冲突。同时谷歌也担忧《公约》在施行过程中可能会导致将合法的研究行为和以安全防范为目的的测试行为犯罪化,并强调《公约》应重视基本人权与言论自由的保障措施,以此为基础打造一个透明、法治、有效的网络犯罪国际规则框架。
(二)《联合国打击网络犯罪公约》的中国因应
应当看到,《公约》的制定出台是最大限度地凝聚国际社会广泛共识的历史性成果,其构建的系统且全面的网络犯罪防治司法体系以及国际合作机制,对于遏制日益蔓延的跨境网络犯罪具有重要的制度示范意义。《公约》引入的主权国家协同支持和多方主体参与共治的建设性方案,也将在提升网络犯罪全球打击能力和完善网络犯罪全球治理生态等方面发挥重要的实践指引作用。在推进《公约》的签署批准和生效施行的过程中,尤其需要多举措加大《公约》内容推广宣介的力度,包括持续提升发展中国家对《公约》的认知度和接受度。
与此同时,在《公约》磋商谈判的过程中呈现的各方关切与意见保留,既反映出各国在网络犯罪治理领域多样的价值立场、制度需求和生态基础,也预示着公约的后续落地将会是一个更为复杂的国际博弈过程。
事实上,尽管在诸多持“宽定罪”立场的国家的努力下,《公约》所覆盖的网络犯罪范围已有显著拓宽,但在网络犯罪随着技术应用的创新变化不断“推陈出新”“升级迭代”的发展态势下,《公约》无疑将会面对相对高频的规则更新需求。对此,需要特别重视《公约》正式通过两年之后还将启动的补充议定书的谈判工作,抓住进一步提高《公约》适用性和吸引力的制度优化窗口。这一切都意味着,我国深度研判公约的体系性影响并着手国内制度的调整适配和产业生态的合规治理具有高度的战略意义。
1.国内法律制度的调整适配
《公约》的条文内容有着宽广的制度半径,与各缔约国现行的国内法律制度会产生广泛的互动与碰撞。相应地,我国在推进《公约》的签署和批准等进程中,需要同步研究和系统构想各项相关法律制度和举措机制的调整适配,特别是在刑事定罪以及证据相关规则等重点领域。
第一,在刑事定罪方面,《公约》在其第二章详细规定了具体罪行、法人责任、犯罪特殊形态以及起诉、审判和惩处等事项。我国现行的刑事法规范能够对应并涵盖公约该章节中的大部分规定,但是也还存在若干制度性调适的必要,特别是在前述“网络依赖型犯罪”的相关术语使用、儿童色情材料和私密图像罪行、洗钱罪行以及滥用装置罪行等问题上。
一是基础概念范畴的调整匹配。《公约》着眼网络信息技术的发展情势,运用“信息和通信技术系统”的概念表达作为各项制度设计的基础范畴,而我国刑法因为历史原因在相关术语表述中还存在明显的计算机犯罪的时代印痕,例如“计算机系统”“计算机信息系统”等表述常见于相关条文中,与《公约》所采用的基础概念构成了事实上的子集关系。对此,可以通过立法修改语词表述或者司法解释作出扩张解释的方式,实现二者实质上的等同。
此外,《公约》文本中涉及的“财产”概念的外延较为宽广,明确包括虚拟资产,而我国刑法对于财产的概念界定相对更窄,尚未明文赋予虚拟资产法律地位,需要推动立法修订,顺应数字经济演进趋势,适当扩大财产的刑事保护范围。
二是具体犯罪对象的区分细化。《公约》基于各国丰富多样的制度传统和治理实践,针对与儿童色情材料和私密图像相关的犯罪类型就两种情形作出了明确区分,而我国刑事法律尚未在规范层面就儿童色情材料和私密图像这两种犯罪对象给予别差处遇,就此,可以通过引入司法解释明确不同的刑事罚则,在贯彻罪刑相适应原则的同时,也更好地实现了规范对接。
三是犯罪构成要件的改革调适。针对洗钱犯罪行为,《公约》明确要求把其专章规定的各类网络犯罪都纳入洗钱罪的上游犯罪之列,而当下我国刑法中的洗钱罪涵盖的上游犯罪范围相对有限,对此应当通过立法修订完成犯罪构成要件的扩张。
另外,《公约》规定的滥用设备罪行也是我国现行刑法尚无法完全对应的,因为我国的提供侵入、非法控制计算机信息系统程序、工具罪是把犯罪目的限定于为了实施“侵入、非法控制计算机系统”行为,而《公约》的规定则包括提供以及以实施犯罪为目的的持有行为在内,并且该等提供或持有行为是为了将相关设备用于实施《公约》第7条至第10条所列明的各种犯罪行为,就此,需要通过修改立法实现犯罪构成要件的重构,完成我国刑事规范的空白填补。
第二,在证据获取和运用相关规则方面,我国已建立起以《刑事诉讼法》和《国际刑事司法协助法》为基础,以最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(法发〔2016〕22号)和《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》(法发〔2022〕23号)以及公安部《公安机关办理刑事案件电子数据取证规则》等为主干的关于防范和打击网络犯罪的电子证据规则体系,但需要注意到《公约》的制度设计与我国现行的法律规范存在较大差异,尤其表现在提交令、程序措施的适用对象和管辖范围、全天候合作网络以及数据类型划分等诸多方面。为此,我国需要进一步完善相关措施。
一是进一步改进和完善有关电子数据取证措施的现行规则体系,引入和扩充关于公私合作跨境取证的适用范围和实现方式的专门规则要求。同时,就国际司法实务中广受关注的跨境冻结、网络在线提取、网络远程勘验、远程技术侦查以及向有关单位或个人调取等取证类型,规定细化操作规则并明确各项责任情形,包括是否可以适用于境外以及在境外的具体适用方式等。
二是加强在取证方面的国际合作机制建设,持续扩大我国有关电子数据取证的制度规则和实践举措的国际认知度和接受度。在开展证据国际合作时,强调遵循《公约》关于尊重主权与保护人权的基本原则,平等互惠地开展国际司法协助合作。同时鉴于《公约》新建了7天24小时全天候网络的快速响应机制,并要求各国建立专门的联络点以提供即时协助,需要尽快确定负责该合作模式的主管机关以及相关职责,建构各执法司法机关之间的协调机制。
三是围绕电子数据及其类型划分优化我国电子证据运用相关规则,依循《公约》关于数据保护的立法旨趣,研判在《刑事诉讼法》和《国际刑事司法协助法》等法规中增设专门的数据保护和相应保障措施条款的必要性。此外,还需要统筹解决《公约》与我国不同的电子数据分类方式的衔接问题,由于不同的数据分类方式可能导致在跨境取证场景中开展公私合作以及服务提供者履行相关义务时的重大障碍,因此需要融合考量公约的数据理念和制度逻辑,及时通过司法解释等方式扩充我国在刑事司法领域的电子数据分类方式,并就此明确各自所涉及的主体关系、运用规则和法律责任。
2.数字产业生态的合规治理
可以预见,随着《公约》未来的落地施行,各国相关的新法新规也将进一步制颁出台,这必然会持续改变国内外有关网络犯罪预防和打击的立法格局、司法模式乃至执法环境,进而反向影响网络空间国际治理的发展走向以及全球数字产业生态的格局面相。
与此相关,需要看到我国数字企业在全球化发展和跨国运营的进程中面对着诸多挑战:其一,越来越多的国家正在推动制定网络犯罪防治相关的法律法规,各国有关网络犯罪案件的定性查处和司法程序等日趋严密化、精细化,并且各类预防措施尤其是服务提供者的预防责任日渐占据更加突出的权重,数字企业全面的合规治理需求日益迫切。其二,在业务流程和实操机制层面,目前各国对于服务提供者在根据司法机关指令冻结财务账号、提供技术援助承担预防责任以及配合调查取证等环节的合规义务和程序规定尚不完善,而且往往国家之间机制差异很大,突出地表现在数字企业跨境提供证据场景中的操作流程、证据格式以及责任边界等问题,导致大量数字企业在合规治理过程中面临的法律风险高企不下。
由此意味着,一方面,我国相关数字企业尤其是网络与电信互联网企业,需要及早做好准备,以可行性、敏捷性和协同性为指引,系统优化自身的合规治理生态,以应对和履行《公约》引入的关于服务提供者的各项义务与责任。另一方面,鉴于《公约》的制度设计实质上具有为企业的合规管理提供业务实践解决方案的功能价值,我国数字企业还应当习惯于研究和运用《公约》的各项制度机制,结合自身所处的产业地位和生态角色,为各项业务的可持续发展提供保障条件。
第一,主动跟进研判《公约》及其相关议程的后续实施进展。密切关注国内外为落实衔接《公约》而对各自的刑事实体法、刑事程序法,特别是关于向私营部门取证以及企业调证责任的专门规则进行的立改废工作。持续跟进《公约》补充议定书的制定进程,其重在适时拓展《公约》的定罪范围以及更新对新型网络犯罪的治理机制,强化对服务提供者的义务责任要求,并进一步优化公私合作机制的实现方式。及时全面地研究《公约》的后续施行对行业发展前景、经济模式创新和外部营商环境所带来的多重宏观变化,以及对企业的数据流转运用、业务运行方式以及法律责任水平的各种微观影响,有助于我国数字企业更好地设计和革新相关的合规治理方案。
第二,积极参与国家机关在防治和打击网络犯罪领域的执法司法工作。《公约》就服务提供者规定了一系列的用户保密、协助配合以及预防义务,并鼓励公私之间、私营实体之间的跨国合作与信息交流。数字企业在网络犯罪防治领域具有显著的技术、信息和实践优势,需要定期对所在国家以及国际网络犯罪的发展态势进行评估,分析潜在风险,针对性制定预防措施,与其他私营实体就相关政策法律、技术发展以及电子证据运用等事项的前沿信息和治理实践建立必要的共享机制,并及时总结和转化经验得失,包括以合法适当的方式向国内外国家机关提供相关培训与业务交流,持续丰富网络犯罪防治公私合作的实现方式。
这也有利于数字企业更好地运用《公约》所赋予的制度机制资源,提升企业全球化运营中的法治保障水平。例如,《公约》规定的主权原则谕示着各国程序规则措施的建构必须尊重他国主权,通过主动设计和提供操作流程的解决方案,在满足各个国家战略关切和职能机关实操需求的同时,可以助益企业自身在跨国开展业务时,妥善应对来自不同国家的执法司法要求并降低双重合规难度。此外,数字企业可借助《公约》搭建的信息交流与技术援助国际网络,及时获取网络威胁情报,积累应急响应和处置经验,增强其在面对网络犯罪时的感知和处置能力。
第三,借鉴《公约》的数据理念持续优化企业数据治理体系。数据,尤其是电子数据的流转运用,对于网络犯罪的发现、调查和追诉惩处具有基础性意义。基于这一国际共识,《公约》用较大篇幅对于电子数据和电子证据的获取、提供及使用作出专门规定。《公约》的这些专项规定技术背景新、场景针对性强,其所蕴含的数据理念无疑会影响并改变数字企业的数据治理进路。作为突出的示例,立足企业的数据分类分级治理视角,可以看到《公约》的特别之处在于重点关注订阅用户信息、流量数据和内容数据这三类数据,并据此设计了快速保全、部分披露、搜查和扣押以及实时收集等不同的取证措施。这些数据流动方式在操作实现的过程中,必然需要我国数字企业的数据治理体系能够为自身提供完整、清晰的数据资产检索图谱以及敏捷、高效的数据识别调取能力,并且要能够同时满足不同国家关于数据跨境流动的合规要求。中
