網絡服務提供者偵查協助義務的范圍界定

劉林吶　李小愷

摘 要：網絡服務提供者在協助偵查時的具體措施和行為極易侵犯公民的隱私權、財產權等基本權利，導致其在對用戶的個人信息保護義務與對司法機關的偵查協助義務之間存在一定的緊張關系。因此，應當明確界定偵查協助義務這種法定強制義務的范圍，并通過比例原則等在個案中調和公民基本權利與國家執法權的沖突。

關鍵詞：網絡服務提供者 偵查協助 個人信息保護 網絡犯罪

一、問題的提出

在打擊網絡犯罪案件的過程中，網絡服務提供者的參與度在不斷上升，與偵查機關的合作亦在不斷密切。特別是對于電子網絡犯罪案件，網絡服務提供者的積極配合與及時協助，會對打擊此類案件帶來極大的促進作用。

然而，網絡服務提供者在承擔偵查協助義務的同時，還要依法承擔對公民個人信息、隱私權、財產權等權利予以保護的法律義務，這就導致了網絡服務提供者在協助偵查時，不可能也不應當是沒有任何異議的“完全配合”。遺憾的是，目前我國立法中對此并沒有作出明確的規定，實務界也大多只是按照自身辦案需要對企業提出配合和協助要求，卻很少顧及相關企業在響應這些“簡單粗暴”的要求時，可能會因陷入多種法定義務的相互沖突而左右為難。

不僅如此，由于現有立法尚未針對偵查協助義務形成系統、明確的規定，實踐中也常常出現網絡服務提供者不配合警方要求的現象。如2018年發生的滴滴順風車樂清女孩遇害案中，滴滴客服以安全專家會介入為由，多次拒絕警方獲取信息的要求。滴滴公司的不配合行為阻礙了偵查進程的進一步推動，最終延誤時間，釀成慘劇。然而在這一事件中，滴滴公司所謂的“不配合”實際上也并沒有明顯違反現有法律的規定，反而是警方提出的要求因缺少明確的法律依據而顯得“理不直氣不壯”。

在信息社會與互聯網產業化的時代，通過刑法建立的網絡風險規則與網絡犯罪控制的重點已經指向網絡服務提供者。[1]法律法規為網絡服務提供者設定了廣泛的偵查協助義務，并呈現出擴張的趨勢，這些義務可能與公民及企業自身的合法權益發生沖突。然而，網絡服務提供者所承擔的偵查協助義務尚未與其承擔的其他義務形成體系化結構，在其對用戶的個人信息保護義務與對司法機關的偵查協助義務之間形成一定的緊張關系。在立法層面，兩種義務均呈現出強化之勢，但就義務交叉區域則避而不談。[2]這種現象表現出我國目前在數據層面關于公權力與私權利沖突的立法缺位。因此，為了使偵查協助義務在實踐中發揮其應有的作用，盡可能減少對公民合法權益的侵犯，將企業從法定義務沖突的兩難局面中解脫出來，促進其依法配合、協助偵查，有必要對偵查協助義務的范圍予以明確。

二、網絡服務提供者偵查協助義務的法律依據

雖然我國對于企業和個人協助偵查和協助執法的義務也有所規定，但相關規定分散在不同的法律法規之中，且尚未形成比較清晰的框架體系：

首先，根據刑事訴訟法的相關規定，網絡服務提供者作為一般單位，負有在不同階段協助偵查的義務，具體表現為報案或者舉報、作證以及對各種偵查措施的配合義務。刑事訴訟法第54條規定：“人民法院、人民檢察院和公安機關有權向有關單位和個人收集、調取證據。有關單位和個人應當如實提供證據?！钡?10條規定：“任何單位和個人發現有犯罪事實或者犯罪嫌疑人，有權利也有義務向公安機關、人民檢察院或者人民法院報案或者舉報?！庇捎诰W絡服務提供者了解與犯罪行為有關的情況，掌握與犯罪行為有關的證據和線索，因此在打擊犯罪時，當然需要履行協助偵查的義務。

其次，網絡服務提供者在協助偵查方面表現出的天然優勢逐漸受到重視，相關法律法規也專門對此進行了強調和擴充。例如，《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》《公安機關辦理刑事案件電子數據取證規則》《數據安全法》中，均強調了電子數據取證過程中網絡服務提供者對調取證據的配合義務?！蛾P于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》第3條規定：“人民法院、人民檢察院和公安機關有權依法向有關單位和個人收集、調取電子數據。有關單位和個人應當如實提供?！奔磳嵤┑摹稊祿踩ā返?5條規定：“公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據，應當按照國家有關規定，經過嚴格的批準手續，依法進行，有關組織、個人應當予以配合?！钡?8條規定：“違反本法第三十五條規定，拒不配合數據調取的，由有關主管部門責令改正，給予警告，并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款?！?/p>

再次，《網絡安全法》《反恐怖主義法》則專門規定了網絡服務提供者應當為偵查機關、國家安全機關提供必要的技術支持和協助的義務，并且后者列舉了提供技術接口和解密等具體協助方式?！毒W絡安全法》第28條規定：“網絡運營者應當為偵查機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助?！薄斗纯植乐髁x法》第18條規定：“電信業務經營者、互聯網服務提供者應當為公安機關、國家安全機關依法進行防范、調查恐怖活動提供技術接口和解密等技術支持和協助?！?/p>

最后，在《網絡安全法》《互聯網信息服務管理辦法》等法律和行政法規中，規定了網絡服務提供者應當承擔數據存留、數據審查和數據披露等義務，這些義務也成為偵查機關開展警情篩查、大數據偵查等活動的基礎。這類義務要求網絡服務提供者在日常的經營活動中對違法信息進行審查、監控并及時保存和報告;同時，在經營活動模式之外單獨留存用戶的部分信息以備有關機關查詢。例如，《互聯網信息服務管理辦法》第14條規定：“從事新聞、出版以及電子公告等服務項目的互聯網信息服務提供者應當記錄提供的信息內容及其發布時間、互聯網地址或者域名等;互聯網接入服務提供者應當記錄上網用戶的上網時間、用戶賬號、互聯網地址或者域名、主叫電話號碼等信息?；ヂ摼W服務提供者和互聯網接入服務提供者的記錄備份應當保存60日，并在國家有關機關依法查詢時，予以提供?！?/p>

除此之外，在一些警企合作和共建的項目中，網絡服務提供者也需要根據合作和共建的要求履行一些義務，但是，這些義務并非法律所明確規定的。例如，在警企合作共建數據共享平臺過程中，網絡服務提供者不僅要共享自己掌握的用戶數據和部分運營數據，還需要結合數據的內容、特點、格式，配合公安機關提供相應的數據存儲、數據檢索和數據分析技術，只有這樣才能發揮出這些數據的功能。因此，這些非法定的義務，實質上也可以算作網絡服務提供者履行的“非法定”的偵查協助義務，其依據不是法律，而是政策和協議。

三、網絡服務提供者協助偵查時的義務沖突及正當性來源

為了更好地厘清網絡服務提供者偵查協助義務的本質，有必要深入分析網絡服務提供者所面臨的“沖突”。

（一）保護公民基本權利與偵查協助的沖突

依據獲取的方式不同，網絡服務提供者協助獲取的用戶信息既可以源自于基于授權收集的信息，也可以源自于其通過技術破解等方式獲取的存儲于網絡服務提供者之外的信息。

1.信息保存于網絡服務提供者，所有者與持有者相分離。大數據時代，個人信息的所有者和數據控制者往往相分離，基于同意使用協議中的個人信息授權，網絡服務提供者可以無障礙地使用用戶的數據信息。[3]而用戶之所以同意將個人信息授權給網絡服務提供者，是因為網絡服務提供者承諾將這些信息僅用于日常運營，并且對這些信息進行保護。此時，網絡服務提供者雖然是數據的持有者，但并不是數據全部權利的所有者，僅具備了管理權和部分使用權。

2.信息保存于網絡服務提供者之外，通常由信息主體所有并持有。此情形最好的例證就是個人手機、電腦等?，F代社會，智能化設備尤其是手機幾乎記錄了一個人每天的所有行程。如果在第一種情形中，用戶的數據所有權受到了限制，那么在這種情形下，用戶的數據所有權是排他性的存在。也因此，網絡服務提供者等其他人都負有對信息的保密義務。

綜上，在網絡服務提供者可獲取的用戶信息中，包括了“個人信息”與“個人隱私”這兩個敏感的概念。個人信息與隱私具有天然的聯系，甚或可以將個人信息理解為隱私并直接以隱私保護的法律制度來保護個人信息。[4]這在我國憲法以及相關部門法中都有相關規定和強化。這種保護義務的實質是公民基本權利的延伸，即只有經過用戶同意授權，網絡服務提供者才可以收集和存留相關信息，并且必須在用戶已經明知、授權的指定范圍內從事相關活動。

當然，除了數據主體明確的同意之外，也存在同意的推定原則。這部分包括了部分政府平臺的基礎信息及開放的第三方網絡平臺的發布信息，其發布平臺的開放性使得相對人理應知悉其信息會被不特定第三方所知悉或收集，其繼續發布或提交的行為應視為對相關信息的隱私權放棄，而推知其符合“自愿”與“同意”的主觀標準。[5]而除此之外，其他沒有經過同意授權的使用行為就屬于對個人信息保護義務的例外突破，必須尋找其他的正當性來源基礎。

（二）網絡服務提供者偵查協助義務的正當性來源

網絡服務提供者對公民的基本權利保護是日常性的，因此協助執法義務對于保護義務的突破屬于一種例外情形。比如阿里巴巴在隱私政策中聲明對于部分情形存在授權同意的例外，如與犯罪偵查、起訴、審判和判決執行等有關的個人信息。[6]這種突破要么在用戶聲明放棄其權利的情況下進行，要么在有相關法律依據的情況下進行。由此可見，網絡服務提供者只是義務的履行者，在信息與主體分離時擁有對數據的有限權利，在二者未分離時對信息負有完全保護義務。

法律層面上具體的義務沖突僅僅是表象，根源上是能給予法律義務的基礎理由之間的沖突。[7]所以，協助執法義務能否優先履行是沖突義務背后保護的利益之間的博弈結果。協助執法義務是為了協助偵查機關打擊犯罪，其背后對應的是國家安全和公眾利益，偵查過程中涉及的公民個人權利通常包括了隱私權，而相對于個人隱私，國家安全與公共秩序在立法價值序列中總是處于更高的位階。值得注意的是，隱私權從來就不是一項絕對的、排他性的權利。[8]例如，我國憲法第40條在規定公民通信自由和通信秘密受法律保護的同時，也明確了因國家安全和追查刑事犯罪需要的例外。[9]因此，基于追訴犯罪和保障國家安全、公共利益的目的，偵查機關有權獲取公民個人信息、隱私信息，對此要求網絡服務提供者予以協助也是正當的，只是其對該措施的適用條件、可用手段以及審批和實施程序等都應有法律明確規定，并且具體的實施必須嚴格遵循這些規定。

四、明確界定網絡服務提供者偵查協助義務范圍的路徑

由于偵查協助義務是對保護公民基本權利的例外突破，因此其具體范圍必須受到嚴格限制，這種限制體現在兩個方面：一方面，偵查協助義務的范圍必須清晰明確，因為偵查協助義務同時也構成了保護義務的邊界，例外規定的模糊會使得這一限制無所適從;另一方面，偵查協助義務不得過度侵犯公民的基本權利，即義務范圍不得任意擴張，必須盡可能減少對基本權利的侵犯。

（一）法律應明確規定網絡服務提供者的偵查協助義務

網絡服務提供者的偵查協助義務是執法權的延伸，那么從法治原則的角度出發，這種延伸應當由法律明確規定。公民基本權利構成對國家權力的天然制約，當兩者出現對立時，法治原則介入并進行調和，要求對于公開發布、平等實施和獨立裁斷并符合國際人權規范和標準的法律，國家權力機關應遵守并對其負責。[10]網絡服務提供者的偵查協助義務必須依據法律的明確規定，而前文所述的警企合作建立數據共享平臺，因其針對了不特定多數人的信息，以及缺乏明確的法律規定，所以暫時不能成為偵查協助義務。

（二）網絡服務提供者履行偵查協助義務具有強制性

當偵查協助義務有具體的法律來源時，對網絡服務提供者的義務履行就具有強制性。換言之，該義務是網絡服務提供者對其掌握的用戶信息的保密義務的例外，所以網絡服務提供者不能以可能侵犯到第三人隱私或者商業利益為由，拒絕履行此義務。

但是，義務的強制性并不意味著網絡服務提供者對偵查機關的所有要求都應無條件配合，而是只能在執法權延伸的應然范圍內予以協助。當偵查機關的要求超出范圍時，網絡服務提供者有權拒絕協助。如果此時觸發了其對保護公民個人信息、隱私等法定義務，那么就必須確保公民基本權利不受包括偵查機關在內的任何主體的侵犯。

（三）以比例原則限制偵查協助義務范圍

由上可知，偵查協助義務的本質是執法權的延伸。在這一層面上，網絡服務提供者偵查協助義務的邊界限制與偵查機關的權力邊界具有一致性，即網絡服務提供者的偵查協助義務需要在國家權力的行使邊界內履行，此時可以類推適用比例原則進行限制。比例原則最初起源于德國，被認為是現代公法領域中的“帝王條款”，是現代法治國家劃分國家權力與公民個人權利界限的一項基本原則。[11]具體而言，包括適合性原則、必要性原則、相稱性原則三項子原則。

1.適合性原則是指國家機關所采取的每一手段都必須用于實現法定的職能目標。[12]這項原則要求這種目標必須是可以識別的，并且可以準確界定。具體到偵查協助義務，宏觀上，應當以維護國家安全與公眾利益為前提，為了追查犯罪而履行相應義務;微觀上，要根據具體的個案對義務的目標予以明晰。

因此，在個案中，不僅偵查機關的要求必須符合法律規定并且做到明確、具體，網絡服務提供者在“代為”履行時也必須嚴格按照要求和規定進行。對于偵查機關而言，首先必須明確信息和技術的基本種類與范圍;其次，所有要求必須予以明示、符合正當程序規定。就類型而言，如果偵查協助義務源自于任意偵查措施的配合義務，那么其履行就需要得到用戶的放棄聲明;如果偵查協助義務源自于強制偵查措施，則必須有明確的執法文書;如果針對需要網絡服務提供者主動履行的義務，則需要預先通過法律規定其存留的數據類型、存留期限以及用途，防止網絡服務提供者以此為由隨意收集信息。

2.必要性原則是指如果為實現某一職能目標，存在兩種以上的手段，那么必須采用對公民個人權利損害最小的手段。[13]因為偵查協助義務作為執法權的延伸必然會在一定程度上侵犯個人權利，盡管網絡服務提供者的協助可以極大地提升偵查效率，但必須加以限制，防止濫用。所以，必須審查不同偵查措施可能侵犯公民基本權利的大小。例如訊問犯罪嫌疑人獲取的密碼屬于相關用戶自愿放棄其對個人信息的保護，而網絡服務提供者提供技術協助與支持則是對個人信息保護的例外，并且不能完全排除因為技術漏洞對其他持有相同手機的用戶的影響。因此，偵查機關必須證明已經訊問犯罪嫌疑人而無法獲得相應密碼，才能要求網絡服務提供者履行技術協助義務。

在偵查實踐中，必須以任意偵查措施為原則，以強制偵查措施為例外，堅持任意性偵查措施優先適用于強制性偵查措施，對公民基本權利侵犯小的強制性偵查措施優先適用于對公民基本權利侵犯大的強制性偵查措施的審查標準。偵查協助義務是公權力的延伸，而基本權利多數時候難以對抗國家機器的運行，所以必須盡可能地限縮偵查協助義務的范圍。只有在其他方式無法合理地實現目的時，才能適用對公民的基本權利侵犯程度更高的方式。

3.相稱性原則是指只能采用對公民個人權利損害較小的手段來保護較大的國家、社會公共利益;不得采用對公民個人權利損害較大的手段來保護較小的利益。[14]這一原則要求損害的公民基本權利應該與維護的國家、社會公共利益的重要性相對等。上文已提到，從偵查協助義務中識別出了個人信息與個人隱私。區分不同的個人信息以劃定保護和利用程度的不同，在個人信息法律保護中并不陌生。[15]因此，偵查協助義務也需要針對不同等級的基本權利，設置階梯式的對應方式。因為偵查協助義務貫穿整個刑事訴訟階段始終，裴煒教授提出，可以在不同的偵查階段匹配不同的偵查協助義務。即將偵查階段劃分為立案偵查階段、初查階段以及預測警務階段，并且對敏感類信息的干預僅限于立案偵查階段;初查階段以不干預個人敏感信息為原則，并以經特殊程序許可的有限干預為例外;預測警務階段則嚴格禁止對個人敏感信息的干預。[16]此外，不同的犯罪類型對應了不同的法益，因此在確定偵查協助義務的履行方式時，有必要區分不同的案件類型和偵查措施。比如，技術偵查措施是最有可能侵犯隱私的偵查方式，根據《刑事訴訟法》第150條[17]之規定，只能適用于嚴重危害社會的犯罪案件，并且經過嚴格的程序審查，網絡服務提供者履行配合技術偵查的義務時，也應當在此范圍內進行。