6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》,自9月1日起施行。该法第35条规定:“公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。”
由于当前的刑事程序并未要求“经过严格的批准手续”方可调取数据,因此该条文的内容对于保障各数据平台的数据安全、保护用户隐私或个人信息权益均具有重要的意义。在数据安全法即将施行的背景下,需要立足刑事程序的实际情况加强研究,以便上述条文能够得到有效落实。
着力规范面向第三方平台的数据调取措施
数据即刑事程序中收集、运用的电子数据。作为实物证据的一种,数据除了可以采取调取措施收集以外,还可以通过勘验、检查、搜查等措施获取。此外,如果是网络空间中的电子数据,还可以通过网络远程提取、远程勘验、远程技术侦查等措施收集。需要注意的是,数据安全法只对调取电子数据的问题进行了规定,而未涉及通过其他侦查措施收集的电子数据。这就说明,尽管采取其他措施收集电子数据在侦查实践中十分常见,但是并不是数据安全法所关注的问题。
从侦查机关调取电子数据的实务工作来看,由于通常面向的就是包括网络服务提供者在内的开展数据活动的第三方平台。也就是说,数据安全法第35条实际上指向的就是向这类主体调取数据的问题。换言之,在刑事程序中落实数据安全法第35条,需要着力规范的就是向这类第三方平台的数据调取程序。因此,“经过严格的批准手续”收集电子数据,无需在刑事程序中对其他各类收集措施进行泛化要求。
在对侦查机关“经过严格的批准手续”调取数据进行规范后,还需要解决的是第三方平台的配合义务问题。毕竟,调取作为一项侦查措施,从当前的刑事程序规范及实务来看,严格意义上讲并不具有强制执行力。实践中,第三方平台以各种理由拒绝、拖延或非完整提供数据的情况并不鲜见。
需要注意的是,在2020年6月28日举行的第十三届全国人民代表大会常务委员会第二十次会议上,全国人大常委会法制工作委员会副主任刘俊臣对《数据安全法(草案)》进行了说明。其中提到:“保障数据安全,关键是要落实开展数据活动的组织、个人的主体责任。”为此,草案对公安机关和国家安全机关因依法履行职责需要调取数据时,有关组织和个人的相关义务作了规定。
因此,从立法背景来看,侦查机关“经过严格的批准手续”对电子数据的调取以及第三方平台的配合义务,都属于数据安全法第35条内容的重要组成部分,均需要成为未来规范相应侦查程序的组成部分。为此,针对第三方平台未配合调取特定数据的情况,有必要明确规定相应的惩罚,以免影响数据安全法第35条的有效适用。
区别于技术侦查、调查的批准手续规范数据调取活动
由于数据安全法第35条规定调取数据需要“经过严格的批准手续”,这很容易让人联系到技术侦查、调查措施的批准手续。这是因为,根据刑事诉讼法第150条和监察法第28条,公安机关、人民检察院和监察机关在特定案件中,根据侦查或调查特定案件的需要,可以采取技术侦查、调查措施,只是需要“经过严格的批准手续”。
为此,一种观点认为,数据安全法规定的调取数据的审批要件,已经完全等同于刑事诉讼法、监察法关于技术侦查、调查的审批要件。据此,调取数据就可以定性为一种同技术侦查类似的侦查措施。对于这种观点,笔者并不认同。将调取数据与具有实时监控特性的技术侦查相提并论,无论从侦查法理还是实务工作来看,都会令人感到十分困惑。
实际上,从侦查或调查措施运用的程序要求来看,“经过严格的批准手续”并非技术侦查、调查措施所独有。以监察机关适用的15项调查措施为例,全国人大常委会副委员长李建国同志曾于2018年3月13日,在监察法表决之前对该法草案进行了说明。其中便特别提到:“监察机关需要采取技术调查、通缉、限制出境措施的,经过严格的批准手续,按照规定交有关机关执行。”由此可见,除了技术调查措施外,监察机关适用的通缉、限制出境措施也需要“经过严格的批准手续”。
因此,将“经过严格的批准手续”适用的侦查或调查措施等同于技术侦查,理解上并不准确。笔者倾向于认为,“经过严格的批准手续”属于需要严格规范适用的特定侦查或调查措施的原则性审批要求。在此基础上,还需要再根据具体措施的运用特点,在规范方面进行细化。否则,如果缺乏配套的细化规定,调取数据需要“经过严格的批准手续”作为一项原则性的审批要求,就极其容易在侦查程序中被虚置。
为此,关于调取数据的审批,不能仅仅因为需要“经过严格的批准手续”,就简单照搬技术侦查、调查措施适用的案件类型、期限等程序要求。相应地,规范刑事程序中的调取数据活动,需要结合电子数据的特点,按照“经过严格的批准手续”的原则性审批要求,在参考技术侦查、调查程序要件的基础上细化调取数据的程序规定。
根据数据分级分类保护思路塑造数据调取程序
在当前的侦查实践中,面向第三方平台调取电子数据已经十分常态化。侦查机关未来在调取数据时“经过严格的批准手续”,需要进行精细化的程序法设计,以免对现有侦查程序造成过大的冲击。实际上,在制度层面对所有类型的数据均要求“经过严格的批准手续”,也并不必要。
对此,数据安全法中所要求的数据分级分类保护,应当成为完善刑事程序中调取数据制度的指导思路。该法第21条第1款规定,国家对数据实行分类分级保护,加强对重要数据的保护。对于特定的国家核心数据,实行更加严格的管理制度。不过,由于“重要数据”所涉及的地区、部门差异极大,数据安全法不可能进行详尽规定。为此,第21条第3款指出,“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”
据此,在刑事程序中落实数据安全法第35条的规定,有必要由刑事侦查及司法机关根据刑事司法的实际情况,对需要保护的“重要数据”的范围进行划定,并根据重要程度对数据进行精细的分级分类保护。
实际上,一些重要的办案文件已经对电子数据的类型进行了划分。例如,《人民检察院办理网络犯罪案件规定》第27条便把电子数据分成了7种类型,具体包括网络平台发布的信息、网络通讯信息、用户身份信息、用户行为信息、行为工具信息、系统运行信息、文件附属信息。不过,这样划分的目的主要是便于办案人员理解和把握电子数据,而并未体现出数据分级分类保护的思路。
为此,未来在刑事程序中落实数据安全法第35条的规定,可以参考《人民检察院办理网络犯罪案件规定》第27条的规定,在此基础上对刑事司法中需要重点保护的重要数据的范围进行划定。
具体而言,在刑事程序中区分重要数据和非重要数据,主要是考虑各类数据是否承载法律所保护的基本权利,例如财产权、隐私权、通信自由与通信秘密权等等。如果可能侵犯这类基本权利,则侦查机关面向第三方平台调取数据时,便需要在适用的案件范围、程序阶段、数据类型等方面“经过严格的批准”。
例如,《人民检察院办理网络犯罪案件规定》第27条中规定的网络通讯信息中的内容信息、用户生物识别信息,便应当属于刑事程序中需要特别保护的重要数据,在侦查取证时需要“经过严格的批准手续”,从而对数据安全进行有效保护。当然,对于刑事程序中“重要数据”的详细范围以及分级分类保护的具体办法,还需要进一步的研究加以明确。
(作者为西南政法大学刑事侦查学院教授)
