专栏名称: 信息安全与通信保密杂志社

网络强国建设的思想库安全产业发展的情报站创新企业腾飞的动力源

跨境电子取证：谨慎的立法与冲动的司法——兼谈对数据主权的影响

信息安全与通信保密杂志社 · 公众号 · · 2020-07-18 12:08

正文

引用本文：徐伟,翁小平,王馨仝.跨境电子取证：谨慎的立法与冲动的司法——兼谈对数据主权的影响[J].信息安全与通信保密,2020(7):8-15.

如何高效地获取电子证据，是有力打击日益高发的跨境网络犯罪的关键所在。但是，网络时代下的数据流动和跨境存储，给侦查机关的打击行动造成巨大的困难。再加上各国在数据问题上的主权意识日益强烈，跨境电子取证又面临着侵犯他国数据主权的隐忧。从立法角度而言，我国对跨境电子取证持谨慎的态度，但是从司法实务的角度看，又存在着大量单边跨境电子取证的现实需求。因此，必须充分意识到国内外对于该问题的基本立场和现状，进而通过完善立法、构建司法协助的快速通道等多种方式，对这些矛盾进行调和、平衡。

关键词：电子证据；远程取证；数据主权；网络犯罪

内容目录：

0　引　言

1　电子证据是打击跨境网络犯罪的关键

2　我国跨境电子取证的规则变化与实务现状

2.1　我国跨境电子取证规则的变化

2.2　我国跨境电子取证的实务现状

3　单边跨境取证对网络数据主权的影响

4　域外跨境电子取证规则的变化与启示

5　我国立法与司法矛盾的调和路径

6　结　论

引　言

当下，跨境网络犯罪频发，已经成为全社会关注的重大热点议题。2020年4月8日，最高人民检察院（以下简称“最高检”）发布第十八批指导性案例（以下简称“第十八批案例”），三起案件均为网络犯罪案例（检例第67、68、69号）。这是最高检第二次发布网络犯罪指导性案例，与以往不同，这批案例的主题是电子取证的合法性和电子数据的客观性等问题。

一直以来，最高检指导性案例主要涉及新型案件、热点案件，用以指导解决常见多发或棘手问题。该批案例中张凯闵等52人电信网络诈骗案（检例第67号）（以下简称“67号案例”），不仅反映了网络犯罪的跨境趋势，也体现出跨境电子证据在查办此类案件中的关键作用。本文以跨境电子取证为视角，简要介绍、分析当前境内外的相关规定及变化趋势，并希望借此引起读者对数据主权问题的重视。

电子证据是打击跨境网络犯罪的关键

与传统犯罪不同，借助于现代网络技术，网络犯罪可以集团化、大范围、大跨度作案。以67号案例为例，涉案犯罪集团便是在印度尼西亚和肯尼亚对国内居民进行电信网络诈骗。

针对电信网络诈骗犯罪的跨境趋势（如表1所示），近三年来，公安部跨境组织了64次跨境打击行动，在东南亚、欧洲、非洲等30多个国家开展追捕行动，取缔了216个跨境电信网络诈骗窝点，抓获犯罪嫌疑人3159名。

可见，近年来，公安机关打击跨境网络犯罪的力度不可谓不大，但现实情况是，该类犯罪目前仍处于高发状态。跨境网络犯罪往往涉及大量的境外证据和庞杂的电子数据，公安机关的取证工作面临巨大的困难。因此，如何高效地取得这些电子证据，进而有力打击该类犯罪，是摆在侦查机关面前的一道难题。

跨境电子取证是打击网络犯罪的“最佳方式”，已经成为国际社会的共识。2019年的联合国网络犯罪政府间专家组第五次会议，与会专家达成基本共识，即跨境电子取证是未来治理网络犯罪的关键。

作为打击网络犯罪的关键，电子数据拥有传统证据所不具备的易保管、隐蔽性、可反复重现等特性。由此，打击跨境网络犯罪的核心问题十分明显：如何进行跨境电子取证以及如何保证电子数据的合法性、真实性、完整性。

仅合法性而言，67号案例中的电子数据先由境外国家司法机关获取存储介质，再通过司法协助或外交的方式将存储介质移交给我国司法机关，为保证合法性，该指导案例提出如“移交过程中应注意审查过程是否连续、手续是否齐全”等指导意见。虽然该案例指向的是从境外起获的存储介质中提取电子数据，而不是直接从位于境外的设备中提取数据，但由此也可窥见电子数据境外取证合法性问题的重要性以及我国司法机关对该类问题的重视程度。

我国跨境电子取证的规则变化与实务现状

2.1　我国跨境电子取证规则的变化

2005 年，公安部发布了我国首个有关跨境电子取证的程序规定《计算机犯罪现场勘验与电子证据检查规则》，该文件首次对远程勘验进行了详细规定，虽未明确指出可以适用于远程勘验的具体情况，但可以说对表2中一系列文件的制定奠定了基础。

2.2　我国跨境电子取证的实务现状

以上是对我国跨境电子取证现有规范的梳理，从立法上看，我国持谨慎的立场，相关的程序和条件越来越严格，直到2018年《中华人民共和国国际刑事司法协助法》（以下简称《刑事司法协助法》）颁布，办案机关需要外国协助调查取证的，要求应当通过刑事司法协助程序跨境调取电子数据。那么，司法实践中，是否都严格按照规定操作呢？

笔者通过数据库平台——元典智库进行了案例检索，结果如下：以“境外—电子数据—司法协助”为关键词，查找到相关案例8件，以“境外—电子数据—远程勘验”为关键词，查找到相关案例178件，其中2019年为71件。可见，《刑事司法协助法》颁布后，应当以谨慎的司法协助方式获取境外电子数据的规定并未得到严格的执行，实务中还是存在大量通过单边远程勘验进行取证的做法。也就是说，在这方面，我国的法律规定和实务中的主要做法是存在一定矛盾的。

究其原因，司法协助方式虽然充分尊重了他国主权，符合我国提倡的数据主权原则，但在实践中却受请求国内部的层层申报、被请求国的审查、配合度、司法制度不同、流程不同等因素的影响，往往效率低下。而缺乏国际条约支持的单边取证虽可能引发国际礼让和主权尊重方面的争议，但却有很强的效率优势。

我国司法实践中电子数据单边取证主要有以下几种方式：

一是公开数据的获取，在公开网络上通过拍照、同步录音录像、截取页面等方式固定网页上的电子数据，这是最便捷也是合法性最有保障的一类取证方式。该种模式的取证过程通常由侦查机关工作人员直接在线提取后出具相应的提取笔录，而后作为证据使用。

二是通过已实际掌握的账户和密码，远程登录相应的境外服务器等数据平台，勘验提取电子数据。一般情况下，此种情况都是由公安机关在侦查中获取相应平台的账户信息，而后由专门工作人员输入用户名和密码登录平台获取数据。此种方式也要符合全程录音录像等取证合法性的要求。

三是由专业人员通过技术侦查手段直接获取境外服务器内存储的电子证据。随后由专门的鉴定机构形成电子证据检验报告或电子证据司法鉴定报告作为证据使用。从裁判文书来看，这里的“专业人员”一般是公安机关网安或技侦人员，也可能是专业电子证据鉴定机构的技术人员。

需要注意的是，第一种做法所取得的电子数据是符合最新规定《公安机关办理刑事案件电子数据取证规则》中网络远程勘验的对象范畴,即“公开发布的电子数据”。而第二种、第三种做法，由于现行最新规定并没有对境外电子数据的远程勘验进行明确授权，建议辩护律师对案件中此类证据的合法性问题予以高度关注。虽然侦查机关跨境单边取证的冲动依旧存在，但通过最高检首次发布的跨境网络犯罪指导案例，我们可以认为，最高司法机关亦在做积极引导，在实务层面上肯定并鼓励对境外电子数据的取证采用司法协助方式进行。

单边跨境取证对网络数据主权的影响

随着数据跨地域流转已经成为常态，出于对个人数据权益的保护以及国家安全的考虑，很多国家都对数据流转进行了不同程度的限制，由此产生了一国对本国境内网络数据的排他性支配权利，这就是国家的数据主权问题。

数据主权是网络主权的必然延伸，从国内现行《国家安全法》《网络安全法》和《网络安全审查办法》的规定来看，我国在立法层面上对网络空间主权持认可的观点。因此，对于数据主权，我们也必然持认可的基本立场。2020年6月1日生效的《网络安全审查办法》进一步明确了电子数据主权的重要性，该办法第一条规定：“为了确保关键信息基础设施供应链安全，维护国家安全，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，制定本办法。”可见，关键信息基础设施中的数据与国家安全息息相关，出于维护国家安全的考虑，数据主权是必须要声明和主张的。

数据主权问题与跨境取证密不可分。加强对涉外电子数据的主权管控，可以解决一部分跨境取证难的问题。2017年《网络安全法》出台后，根据第37条“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”的规定，苹果公司在贵州设立了数据中心。

该规定在一定程度上可以解决我国公安机关向美国苹果公司申请调取电子数据的困难。美国苹果公司公布的数据显示，2013年中旬至2017年中旬，该公司接收到了176份我国政府申请调取国内用户电子数据的要求，但却从未应要求提供数据，而同时期内，却应美国政府8475份调证要求，给出了其中2366份。当国内苹果公司用户的数据存储于国内服务器上之后，将从根本上改变这种尴尬的局面。

但与此同时，加强对电子数据的主权管控，也可能会加大跨境取证的难度。这是一把双刃剑，原因在于既要严格管控我国的电子数据，也需要同等尊重他国享有主权的电子数据。

这种规范和尊重在我国的立法中有所体现。在2018年《刑事司法协助法》出台之前，我国的有关规定允许直接从位于境外的存储介质中提取电子数据。但是，在《刑事司法协助法》出台之后，公安部《公安机关办理刑事案件电子数据取证规则》中对于远程取证的对象则只限定于“公开发布的电子数据、境内远程计算机信息系统上的电子数据”，即公安机关的取证规则中并没有明确授权公安机关可以对位于境外的远程计算机信息系统中的电子数据进行跨境电子取证。

在国际上，从一方面看，跨境电子取证也会受到数据主权的影响。如英国法官在签发远程搜查令状时，需要判断警方的侦查行为是否会跨越国境。如果违法从境外收集数据，法院在后续程序中可能会将该证据予以排除。2009年美国在《刑事侦查中计算机搜查扣押与电子证据收集指引》中提醒，未经许可进入他国计算机系统可能触及国家主权问题。2014 年“微软—爱尔兰案”中，爱尔兰政府向美国法院申明对涉案数据的主权管辖，强调只有通过两国之间的双边刑事司法协助机制，才能由爱尔兰官方对相应数据进行调查。

从另一方面来看，若一国对位于其境内存储介质中的数据拥有主权，另一国若仅凭国内规定就直接对该国计算机系统进行远程调查取证，很有可能被认定为侵犯该国的数据主权，进而可能导致外交风险。2000年，美国联邦调查局在调查一起黑客案件的过程中，在未经俄罗斯官方许可的情况下，使用秘密获得的嫌疑人用户名和密码登录俄方境内的计算机系统，在线提取涉案数据，此案引发俄罗斯方面强烈的外交抗议。

由此可见，在缺乏条约和法律的情况下，跨境单方获取非公开电子数据的行为，可能因涉嫌侵犯他国主权而存在一定的国际政治风险，而所获取的证据也面临着合法性问题的考验。

域外跨境电子取证规则的变化与启示

随着互联网技术的迭代发展，特别是云计算技术的成熟，传统的数据主权以存储介质所属地的管辖已经发生松动，其刑事管辖界限客观上已经变得较为模糊，域外近期诸多案例及现行立法也都反映出这种变化趋势。

2001年11月，欧盟成员国以及美国等30个国家共同签署了第一部针对网络犯罪行为的国际公约《网络犯罪公约》，其内容主要包括两个方面：一方面，各缔约国认同电子数据存储介质所属地管辖。另一方面，公约规定了两种突破属地管辖的例外模式，一是取证国可以在线提取公开资料，不论数据位于何处，二是只要数据控制者同意，不需要经过电子数据存储介质所在国的同意，即数据控制者模式。

2013年，美国办案机构在调查案件时要求微软提供相关邮件信息，但该信息存储在爱尔兰都柏林的服务器上，办案机构的要求遭到拒绝，理由是爱尔兰政府认为其对该数据具有主权。这便是前文提及的跨境电子取证史上有名的“微软—爱尔兰案”。

2018年3月，美国针对此案发布了《澄清合法使用境外数据法》（简称CLOUD Act），其主要内容包括美国政府可以要求境内云服务提供者提供位于境外服务器上的数据，即依据数据控制者模式确立了所谓的长臂管辖原则。

2018年4月，受《澄清合法使用境外数据法》影响，欧盟委员会宣布，计划建立“欧洲数据提交令”和“欧洲数据保存令”重要制度。根据欧洲数据提交令，成员国可直接强制欧盟境内的服务提供者提供电子数据，而不论相应数据到底是否存储于欧盟境内。根据欧洲数据保存令，成员国可强制要求欧盟境内的服务提供者对特定数据予以保存。

透过以上规则的发展变化可以看出，欧美国家已经在利用自身互联网的发展优势，试图突破传统的数据属地管辖，通过强制网络服务提供者披露数据的方式单边获取他国境内数据。由此可以预见，我国国内产生的电子数据很可能也将面临欧美国家单边长臂获取的风险。

对此，我国高度重视，并采取了必要的应对措施。我国拒绝参加《网络犯罪公约》，理由之一就是“该公约32条b款规定了直接跨境取证措施，这与国家司法主权之间的关系值得探讨”。美国的《澄清合法使用境外数据法》颁布之后，对该法案所规定的长臂管辖权，我国也持反对立场，同年即在我国《刑事司法协助法》中规定：非经同意，我国机构、组织和个人不得向外国提供证据材料。

由此，在跨境刑事电子数据取证方面，司法机关要高度重视合法性问题，尽量通过国际刑事司法协助的方式进行取证，扩大适用最高检67号案例所采用的双边司法协助模式，避免不必要的外交争端；同时，我们也要进一步完善国内立法，既要从宏观层面完善数据管辖的相关制度，也要在宏观制度的基础上专门针对司法实务中此类证据的合法性问题做出明确解释，而不应采取回避或者模糊的态度。

我国立法与司法矛盾的调和路径

根据前文所述，在跨境数据流转方面，一方面各个国家坚持和固守各自的数据主权；另一个方面各国又都秉持实用主义和自我利益最大化的原则，通过各种方式保留长臂管辖的渠道。进而，在跨境电子取证方面也存在这样的矛盾，一方面国家立法上对单方跨境取证持约束或管控的立场；另一方面司法机关出于高效打击犯罪的需要，又希望能够快速、便捷地进行取证。

而且，从技术上看，虽然最高检67号案例展示了通过传统司法协助的方式直接获取境外电子数据的存储介质进而保障合法性的路径，但不可否认的是，传统的司法协助有可能无法“一网打尽”所有的跨境网络犯罪。例如，“暗网”中的数据，可能无法确定数据的实际物理存储位置；云计算技术也会导致数据的具体位置难以确定；各国侦查机关技术力量的不同导致无法获得完整数据等。

在跨境电子取证问题上，应该如何解决谨慎的立法态度和冲动的实务需求之间的矛盾和张力呢？笔者认为要解决这个问题，可以从以下五个方面进行思考：

第一，从数据管辖的立法上看，应进一步明确我国对跨境网络犯罪的管辖权以及对涉犯罪数据的管控权。

第二，从数据生产的环节上看，应尽可能地要求相应服务商将服务器等数据平台架设在我国境内。

第三，从数据流转的环节上看，应对与我国有关的云服务商设定权利义务，针对某些特定类型的案件，可以通过法定程序要求他们提供涉及犯罪的电子数据。比如，对于前文所述，侦查机关掌握账户、密码的跨境取证，就可以通过此种方式，要求相关的云服务商配合调取特定数据，以避免对他国数据主权的侵犯。

第四，从司法便利的角度来说，可以考虑构建一套专门针对电子数据取证的国际刑事司法协助流程，通过签订双边或者多边条约，以区域合作的方式，平等互惠地搭建起跨境电子取证的快速通道。

第五，为了尽量保证所获得数据的合法性，侦查机关在跨境电子取证过程中，特别是对于需要进行技术侦查的，既要严格网络远程勘验、搜查的流程管理并全程留痕，同时还可以考虑引入第三方力量（专业公司、检察机关等），对整个取证过程进行监督和见证。

结　论

总而言之，现阶段打击跨境网络犯罪（正视网络数据的跨境流动）与尊重一国数据主权之间确实存在矛盾，但这种矛盾显然不是不可调和的，我们可以通过多种方式使这两者在某一尺度上达到平衡状态，这既是打击犯罪的需要，也是网络技术发展的必然。笔者有信心，随着网络与人类生活的进一步融合，未来国际上将会对跨境电子取证与数据主权如何调和的问题形成基本的共识。

作者简介 >>>

徐　伟（1989—），男，硕士，律师，主要研究方向为互联网犯罪辩护研究；

翁小平（1984—），男，博士，律师，主要研究方向为互联网犯罪辩护研究；

王馨仝（1985—），女，硕士，律师，主要研究方向为涉外刑事辩护研究。

选自《信息安全与通信保密》2020年第七期（为便于排版，已省去原文参考文献）

网络强国建设的思想库

安全产业发展的情报站

创新企业腾飞的动力源

投稿网址：http://www.txjszz.com

合作热线：010-88203306