一、网络信息业者的核心协助义务类型
网络信息业者在执法过程中承担多种类型的协助义务,具体到直接以用户个人信息为执法对象的情况而言,除去一般性的为执法提供必要的管理层面、技术层面的协助外,主要包括三种类型的协助执法义务:信息收集存储义务、信息审查监控义务、信息披露报告义务。以下就这三种义务分别进行分析。
(一)信息收集存储义务
一般而言,网络信息业者收集存储用户个人信息在遵循合法性、正当性、必要性的原则下,需同时满足以下三个条件:(1)明确收集、适用的目的、方式和范围;(2)经被收集者知情同意;(3)为服务经营所必需。在此范围内,网络信息业者的信息收集存储行为与协助执法并无直接关联,而是直接服务于其日常经营活动。如前所述,为协助执法之目的,网络信息业者所承担的信息收集与存储义务通常不受该三个条件的限制。此时,基于启动依据不同,可以将该义务区分为一般收集存储义务和特殊收集存储义务。
就信息的一般收集存储义务而言,典型的文件是2011年修订的《互联网信息服务管理办法》,其中第14条规定,互联网信息服务提供者应当记录提供的信息内容及其发布时间、互联网地址或者域名;互联网接入服务提供者应当记录上网用户的上网时间、用户账号、互联网地址或者域名、主叫电话号码等信息。此项信息收集存储义务的功能主要在于为日后执法过程中的信息获取提供便利,区别于网络信息业者基于日常经营活动所进行的信息收集存储,因此一般指向特定信息,并存在一定的期限限制。尽管绝大多数规范性法律文件对于一般收集存储义务进行了规定,但针对的服务主体、信息类型和存储期间不尽相同,如表2.1所示。
表2.1 部分规范性法律文件中网络信息业者信息一般收集存储义务
续表
由表2.1可以看出,信息的一般收集存储义务多指向服务信息和内容信息,注册信息则更多依据网络信息业者的日常经营活动进行存储。就信息的存储期间而言,大部分法律法规规定了60日的固定期间,非固定期间则一般设置了最低存储期间,例如《互联网群组信息服务管理规定》的“至少6个月”或者《互联网视听节目服务管理规定》的“至少60日”。就文件内的各个条文而言,一个普遍的现象是存储期间并未与信息类型进行匹配。
网络信息业者针对信息的特殊收集存储义务的启动基于个案,即执法机关针对特定违法犯罪嫌疑展开调查时,要求网络服务提供者就该案件之相关信息进行收集存储。我国当前相关法律规定大致包括两种类型。
第一种是由主管机关发现特定嫌疑后,网络信息业者针对该嫌疑所承担的信息收集和存储义务,例如2015年《反恐怖主义法》第19条第2款规定,特定主管部门发现含有恐怖主义、极端主义内容的信息,责令有关单位停止传输、删除相关信息,或者关闭相关网站、关停相关服务时,这些单位不仅应当立即执行,还负有保存相关记录、协助调查的义务。2016年《网络安全法》第50条同样规定,网络运营者在收到有关部门就违法信息停止传输的命令后,除采取消除该信息等处置措施,还要保存有关记录。2016年“两高一部”《电子数据规定》第12条明确规定了冻结电子数据过程中网络信息业者所应承担的协助义务。
第二种是网络信息业者自己发现违规信息之后,在向有关机关进行报告的同时,主动保存相关记录,例如2016年《网络安全法》第47条和刚刚出台的《互联网群组信息服务管理规定》第10条均属于这一类型。总体而言,这些禁止发布的信息主要涉及国家秩序、社会秩序和公民合法权益三个部分,但不同规定在划定禁止内容的范围时,表述上存在细微差异,如表2.2中的几份文件所示:
表2.2 部分规范性法律文件中关于禁止类信息的表述
续表
续表
从表2.2可以看出,不仅各个层级的规范性法律文件在具体表述上存在差异,同时众多文件采用了“法律法规和国家有关规定”的表述对禁止类信息进行概括性描述。尽管有些文件对于此类信息进行了进一步细化,但是在“破坏国家宗教政策”、“诱导未成年人违法犯罪”、“危害社会公德或者民族优秀文化传统”、“恐怖主义、极端主义”等表述上并不一致。
表2.2仅涉及网络信息业者收集存储特定信息义务的适用情形,但与信息的一般收集存储义务相同的是,特殊收集存储义务也需回答收集哪些信息和存储多久的问题。从目前已经出台的相关法律法规来看,该问题尚处于立法空白状态。例如《网络安全法》第47条在规定网络运营者承担的“保存有关记录”的义务时,并未明确“有关记录”的具体内容,后续条文亦未能进一步明确此类记录需要存储的具体期限,以及期限届满之后的处置措施。
这里需要注意的是,原则上网络信息业者在收集和使用个人信息时应当明确收集使用规则,并征得被收集者同意。但协助执法义务是否构成该告知和同意获取义务之例外,法律法规同样没有进行明确规定。以《全国人大常委会关于加强网络信息保护的决定》(以下简称《网络信息保护决定》)为例,全国人大常委会出台该文件体现出对公民个人电子信息的高度保护意识,但第5条所规定的“保存有关记录”如果涉及此类信息,是否还应当遵守第2条规定之收集使用的基本原则,该决定本身无法提供一个明确的答案。
就域外立法和司法实践情况来看,信息存留义务主要涉及三个问题。首先是数据类型,各国立法目前主要涉及非内容信息(包括注册人信息和交互信息),并且就内容信息进行区别对待。例如,《布达佩斯网络犯罪公约》(Budapest Cybercrime Convention,以下简称《布达佩斯公约》)第21条就内容信息的监控设置了更高的门槛;澳大利亚2017年修订的《电子通信(监听和接入)法》[Telecommunications (Interception and Access) Act 1979,TIA]第172条明确将内容信息排除在拦截和访问的适用范围之外。[1]英国2014年的《数据保存与侦查权法案》(Data Retention and Investigatory Powers Act)也采用了类似限制。对于非内容信息,一些立法进行了进一步细分,例如澳大利亚2015年TIA修正案第187a条第4项将网页浏览记录排除在强制存留范围之外。
其次是存留期限,各国立法主要包括三种类型。第一种是设立固定期限,例如美国当前刑事诉讼程序一般规则规定了90天的存留时间;[2]澳大利亚《电子通信(监听和接入)法》规定了2年的固定存留期限;在荷兰交通数据和位置数据的保存时间是固定的12个月,[3]这与英国在2014年之前采用的期限相同。第二种是设立最高保存期限,例如《布达佩斯公约》规定了至多90天的存留期限。在英国,2014年《数据保存与侦查权法案》规定交流数据存留期限为最多12个月。第三种类型是设立最低存留期限,上文提及的各项美国相关提案采用的就是这种模式,只不过期限从2009年的“至少2年”缩短为2011年的“至少1年”。
这里需要指出的是,根据欧盟委员会在九个成员国中进行的调查,[4]在2008被存储并披露的数据中,67%的数据存储时间少于三个月,另有19%为三个月至六个月之间,只有2%的数据在被使用时存储时间超过了一年。[5]该数据表明,九成以上的有用数据是存储不足一年的数据,而大部分按照《布达佩斯公约》规定的存储期限存储的数据将处于闲置状态。长期存留虽然有助于打击犯罪,但对于服务商而言则会产生额外的成本,如何平衡两者,不同国家采取了不同方式。例如,出于平衡制度执行的成本与打击犯罪所获得社会效益的考量,芬兰和英国的相关立法均规定强制数据存留义务不适用于小型网络服务提供商。[6]加拿大虽未确立强制数据存留义务,但是就交互信息的截存而言,《侦查与预防电子交流犯罪法案》(Investigating and Preventing Criminal Electronic Communications Act)已经涉及对网络信息业者的经济补偿问题。
最后是适用的犯罪类型。根据欧洲委员会2011年的调查,在目前引入网络信息业者强制数据存留立法的欧盟成员国中,主要有两种情形,一种是采用类似“严重犯罪”的限制;另一种则是不加区分地将该义务运用于各类犯罪。前者为大多数成员国所接受,后者则适用于法国、比利时、丹麦、意大利、拉脱维亚、波兰、斯洛文尼亚、斯洛伐克等。[7]在美国,尽管2011年《互联网儿童色情法案》的制定目的是打击网络儿童色情犯罪,但其规定的服务商数据存留义务可以适用于任何类型的犯罪。
从当前各国的立法现状和趋势来看,存在两个特征。首先,随着《布达佩斯公约》和欧盟一系列相关规定的出台,设立网络信息业者强制数据存留义务是一个普遍的趋势。其次,尽管存在这样一种趋势,立法争议和相关阻力仍然很大。如前所述,美国2009年的两项立法议案均遭否定。2011年欧盟就其成员国对《数据保留指令》的实施情况进行了调查,其中德国、捷克和罗马尼亚的宪法法院都宣布转化该指令的国内法无效。[8] 2014年欧洲法院在其判决中否决了2006年《欧盟数据保留指令》,其核心理由是,尽管要求网络信息业者保留数据以备司法机关提取是出于打击严重犯罪的需要,但是这项指令未能对不同数据类型加以区分并设置相应的程序性保障,因此“逾越了比例原则设定的界限”。[9]鉴于此,2015年9月欧洲委员会发布通告,明确声称“既不反对也不支持一国引入数据存留立法”。[10]
(二)信息审查监控义务
原则上,网络信息业者对于用户信息不承担主动监控职责。例如《最高人民法院关于审理侵害信息网络传播权民事纠纷案件适用法律若干问题的规定》第8条第2款规定:“网络服务提供者未对网络用户侵害信息网络传播权的行为主动进行审查的,人民法院不应据此认定其具有过错。”但是,通过对当前已经出台的法律法规进行审查,我们可以看到该规定属于例外情形。绝大多数规范性文件中对于网络信息业者规定了信息内容审查监控义务。具体而言,这种义务可以进一步划分为一般审查监控义务和特殊审查监控义务。
一般审查监控义务是指网络信息业者在日常经营活动中所承担的常规化的信息审查监控义务。目前已经出台的规范性法律文件通常就一般性审查监控义务、可以采取的措施、法律责任等事项进行了规定。以《网络安全法》为例,第47条明确要求网络运营者加强对用户发布信息的管理。发现违法信息之后,网络运营者应当采取的处理措施包括停止传输、消除信息、保存记录和向有关主管部门报告。网络运营者未能履行该项职责的,将引发包括责令改正、警告、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销业务许可证或营业执照、罚款等行政处罚措施。通过“义务—措施—责任”的三阶构建,网络信息业者就用户信息的一般审查监控义务已经体系化。
由于监控目的是过滤违反法律法规和国家规定的信息,因此审查监控主要针对的是内容信息而非注册信息或服务信息。例如《反恐怖主义法》第19条第1款规定了互联网服务提供者的“信息内容监督制度”;《移动互联网应用程序信息服务管理规定》明确指出APP提供者应当建立健全“信息内容审核管理机制”。进一步分析,将内容信息的审查监控纳入到“管理义务”项下,意味着监控不力并“致使违法信息大量传播”时,将有可能引发《刑法》第286条之一的拒不履行信息网络安全管理义务罪。
特殊审查监控义务指向的是个案监控,即针对已经形成违法违规嫌疑的特定主体,为进一步收集线索或证据所进行的信息审查监控。此时网络信息业者承担的是辅助司法行政的职能。此类义务在刑事司法领域较为典型,《刑事诉讼法》中设置了一般性规定,例如第52条规定在必要时可以吸收与案件有关或了解案情的公民协助调查;第54条规定公检法有权向有关单位和个人收集、调取证据,有关单位和个人应当如实提供证据;第152条第4款规定有关单位和个人应当配合公安机关进行技术侦查,并对有关情况予以保密;等等。《网络安全法》第28条的规定与之异曲同工,[11]《反恐怖主义法》尽管列举了“提供技术接口”与“解密”两项具体的协助方式,但其后的“等”字意味着网络信息业者的义务不止于此。《电子数据规定》同样未就动态信息的网络信息业者的监控义务进行规定,毋庸提及对不同类型的配合义务加以区分。
以上文件的共性在于,仅笼统规定了特定案件处理过程中网络信息业者所承担的“协助”、“配合”义务,并未进一步明确配合的具体形式。从不履行义务可能引发的法律责任来看,部分法律法规并未就违反此类配合义务作出明确规定,例如《网络安全法》第六章“法律责任”没有与前文第28条之规定相配套的责任规定;另外一些规范性法律文件则作出了笼统规定,例如2016年《工商总局关于进一步做好查处网络传销工作的通知》第3条第4款规定网络信息业者有义务向各级工商、市场监管部门开展调查取证、处理违法信息提供必要的协助配合,对不履行相关义务的,依法追究其责任。
从《刑法》第286条之一项下的具体情形来看,如果网络信息业者不履行义务的行为导致刑事案件证据灭失,情节严重时同样可以构成拒不履行信息网络安全管理义务罪。结合《刑事诉讼法》第54条第2款之规定,“刑事案件证据”并不仅限于刑事诉讼过程中收集到的证据,还有可能扩展至行政执法和查办案件过程。证据之灭失可以对应多项协助不力之行为,例如未能按照法律规定对特定信息进行日常收集存储,但该灭失同样可能是因为网络信息业者在具体案件查办过程中未能协助监控特定信息。当前法律规定的模糊导致在此方面网络信息业者的义务范围并不明确。
(三)信息披露报告义务
信息收集存储义务和审查监控义务通常与信息披露报告义务紧密联系在一起。在符合特定条件的情形下,网络信息业者负有依法向有权执法机关提供原本应当予以保密的特定信息的义务。此时,“特定情形”成为网络信息业者信息保密义务的例外。从相关法律法规来看,网络信息业者的保密义务主要指向其为日常业务之需要收集的用户个人信息。原则上此类信息不得向他人泄露、出售或非法提供,例如《网络安全法》第42条第1款明确规定网络运营者不得泄露用户个人信息,并且未经信息被收集者之同意不得向其他人提供个人信息。
与信息收集存储义务和审查监控义务相对应,网络信息业者所承担的信息披露义务同样可以区分为两种类型:其一是基于一般信息收集存储和审查监控行为形成的披露义务,主要体现为违法信息报告义务;其二是具体案件执法活动中的信息披露义务。
首先,就违法信息报告义务而言,其通常指向法律、法规禁止或违反国家规定的信息。例如《网络信息保护决定》第5条规定了网络信息业者发现违法信息应当立即向有关主管部门报告。与之类似的规定还包括《网络安全法》第47条,这里进一步涉及两个问题:一是哪些信息属于“违法信息”,二是向主管部门报告哪些类型的信息。
针对前一个问题,表2.2所列之违法违规信息通常被纳入报告义务之中,例如《互联网信息服务管理办法》第16条明确将网络信息服务提供者的报告义务指向第15条所列的九种情形。如前所述,不同规范性法律文件中对于“违法信息”的列举方式和内容不尽相同;即便针对具体的信息类型,其法律表述亦边界不清,例如如何界定“民族优秀文化传统”。
就后一个问题即报告内容问题而言,绝大多数法律法规同样尚未明确规定,仅少数文件有所涉及,例如《信息网络传播权保护条例》第13条规定,著作权行政管理部门为了查处侵犯信息网络传播权的行为,可以要求网络信息业者提供涉嫌侵权的服务对象的姓名(名称)、联系方式、网络地址等资料。此外,根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,网络信息业者在以涉嫌侵权的信息系统网络用户发布为由抗辩时,法院可以责令其提供能够确定涉嫌侵权的网络用户的姓名(名称)、联系方式、网络地址等信息。这一规定在某种程度上也可以解读为要求网络信息业者在具体案件的司法裁判过程中对法院进行协助。
综上,绝大多数规范性法律文件在规定网络信息业者的报告义务时,并不区分注册信息、服务信息和内容信息。仍以《网络安全法》第47条为例,网络运营者在发现违法违规信息后,不仅应当存储“有关记录”,还应该向有关部门报告。显然,报告的“内容”可以涵盖“有关记录”,而何为“有关记录”,条文则语焉不详。
其次,就个案中的信息披露义务而言,主要是基于刑事程序法的相关规定。我国关于此类信息协助义务的规定集中体现在《刑事诉讼法》所规定的调取措施之上。《刑事诉讼法》第54条第1款原则性地规定了单位和个人在公检法调取证据过程中如实提供证据的义务。同时第52条也授权公检法吸收了解案情的公民协助调查。2016年“两高一部”《电子数据规定》第13条单独规定了调取电子数据措施;2019年公安部《电子取证规则》更将其明确列为收集、提取电子数据的五种措施之一。
在我国现有法律框架下,网络信息业者的协助调取义务具有以下三个特征。第一,该义务与证据原始来源的合法性或正当性无关,即无论该单位或个人是以何种方式获得该证据,均不影响其配合调取的法律义务。第二,与证人作证不同,配合调取义务是无偿履行,对于履行义务中所产生的费用,法律并未规定相应的补偿机制。第三,作为任意性措施,调取措施的实施门槛较低,仅需办案部门负责人批准开具《调取证据通知书》即可。这些特征同样存在于向网络信息业者调取个人信息的场景之中,例如《网络安全法》第28条也规定了网络运营者为侦查犯罪活动提供技术支持和协助的义务,并在第69条规定了违反该协助义务可能引发行政处罚。
观察域外立法和司法实践,司法机关使用的数据并不限于根据强制存留义务所保存的信息,也可能仅仅是网络信息业者在开展业务或提供服务过程中所保存的信息。但无论针对的是何种类型,都要在侦查犯罪案件与保护个人隐私之间寻求平衡。《〈布达佩斯公约〉说明报告》[12]明确强调了比例原则在达至平衡中的关键作用,而这在许多国家立法中已有所体现。例如2000年《英国调查权规则法案》(Regulation of Investigatory Powers Act 2000)第22条第1款中明确要求对于交流信息的获取需具备必要性,同时该条第5款进一步要求在授权获取信息之前,相关权力机关应当对手段与目的之间的合比例性进行审查。
要满足比例原则的要求,就要在程序上作出相应限制。《布达佩斯公约》虽然没有规定具体措施,但特别提及了三类限制公权力、保障公民基本权利的方式,即充分地行使公权力的依据、对范围及期限等披露范围的限制,以及司法或其他适格机构的审查。以下分别从这三个方面来审视各国的立法。
首先是公权力行使的依据。根据布达佩斯公约委员会2014年在30个成员国中进行的调查,披露注册人信息的基本要求至少怀疑某人实施了某项犯罪行为。[13]鉴于披露注册人信息对于隐私权的影响最低,对于交互信息和内容信息的披露条件更高。例如《美国存储通讯法案》要求披露交互信息时以具体事实(specific and articulable facts)为依据,而对于内容信息则更进一步要求有合理根据(probable cause)。有些国家更进一步确立了谦抑性原则,例如捷克相关立法规定只有当所需信息无法从其他途径获得,或者获取过于困难时,才能要求服务商进行披露;[14]在荷兰,这项原则适用于包括服务商信息披露在内的任何强制措施。
其次是信息披露的范围。从类型上看,《布达佩斯公约》再次体现出针对三种不同类型数据的区别对待。对于注册人信息的披露,公约没有设定具体限制(第18条)。就交互信息和内容信息而言,无论是针对服务商已经存储的还是实时收集的数据,都需要针对某一具体的交流过程(第20条、第21条)。绝大多数公约成员国在要求服务商披露数据时都规定了相应的令状程序,而这些令状中一般要求包含信息披露所针对的特定案件、事项或相对人。[15]
最后是权力机关要求信息披露的程序。在这个方面,《布达佩斯公约》提出最核心的一点是程序监督。对此,荷兰阿姆斯特丹大学信息法律研究所(Institute for Information Law of the University of Amsterdam)通过观察《布达佩斯公约》各成员国立法,总结欧洲人权法院和欧洲法院的相关判决,于2015年提出了十项标准,即完全监督(包括多主体监督,事前、事中及事后监督,以及基于合法性和有效性审查签发的令状)、全程监督(包括信息采集、存储、筛选、分析等)、独立监督、监督先于措施进行、监督者有权宣布措施非法并要求救济、纳入对抗制因素、有充分资源保证有效监督、分层的透明性、监督主体及市民社会有接触监督信息的渠道、被要求披露信息的主体可以公开权力机关的指令。[16]
从当前各公约成员国的刑事司法立法与实践来看,警察、检察官和法官均有可能要求网络信息业者披露用户个人信息,但是针对不同类型的信息,程序设计亦有所区分。例如同样是针对注册人信息,奥地利、丹麦与斯洛文尼亚均对静态IP地址和动态IP地址进行了区分,前者基于警察的要求,而后者则需基于检察官(奥地利)或法官(丹麦和斯洛文尼亚)的指令。[17]交互信息的披露门槛则相对更高,例如在奥地利针对此类信息的披露需要由检察官提出;在芬兰,注册人信息和交互信息的披露申请权分属于警察和法官;而在日本,这种区别主要体现在是否需要法院指令。[18]相对于注册人信息和交互信息,内容信息的获取程序通常更为严格,例如在荷兰对于内容信息的监听必须由检察官向侦查法官申请,并由后者签发书面令状,令状内容必须包括具体罪名、尽可能具体的犯罪嫌疑人描述、对犯罪严重程度的审查、可能获取的注册人信息,以及令状有效期间。[19] 在美国,要求服务商披露注册人信息只需出具传票(subpoena)并事先通知,披露交互信息则需要至少有法院的命令(order)或者披露信息相对人的同意。内容信息的披露区分两种情形,对于存储时间少于180天的信息,必须有法官出具的含有具体和详细阐述的事实的搜查令(search warrant);而存储时间超过180天的信息则可以通过附提前通知的传票、法院命令或搜查令要求披露。