李 濤

（南京森林警察學院 偵查學院，江蘇 南京 210023）

引 言

進入大數(shù)據(jù)時代，社會已經由傳統(tǒng)的單一物理空間轉變?yōu)槲锢砜臻g與網絡空間交叉融合、互動并行。尤其是隨著云計算和加密技術的發(fā)展應用，無論是傳統(tǒng)犯罪的網絡異化，還是新型網絡犯罪的興起，網絡空間下的執(zhí)法環(huán)境與執(zhí)法行為都變得日趨復雜。在此背景之下，為了進一步提高偵查效率，偵查活動的開展往往需要得到第三方力量尤其是網絡服務提供者①我國相關立法并未就網絡服務提供者內涵作出明確的界定，《中華人民共和國網絡安全法》將其定位于網絡運營者的下位概念，考慮到《刑法修正案（九）》“拒不履行信息網絡安全管理義務罪”的主體為網絡服務提供者，本文以此稱謂為準。的協(xié)助，其突出的表現(xiàn)就是網絡服務提供者承擔的個人信息披露義務。所謂個人信息披露義務，是指網絡服務提供者根據(jù)相關法律、法規(guī)要求依法向偵查機關提供特定個人信息的義務。因為網絡服務提供者向偵查機關進行個人信息披露的同時，也必須承擔用戶個人信息保護的義務，所以隨之而來的問題在于：其一，當個人信息披露義務與保護義務發(fā)生沖突時，個人信息披露義務有無邊界。其二，應基于何種原則來劃定個人信息披露義務與保護義務的邊界。其三，應如何來進一步規(guī)范偵查活動，以使網絡服務提供者既能充分履行個人信息披露義務，又能充分保障其商業(yè)利益與用戶的個人信息安全。有鑒于此，本文擬就上述問題展開討論。

一、網絡服務提供者個人信息保護與披露義務內涵與沖突表現(xiàn)

（一）網絡服務提供者個人信息保護與披露義務內涵

1.網絡服務提供者個人信息保護義務。從立法進程來看，我國個人信息立法呈現(xiàn)了由不同層次的分散立法和專門領域立法向統(tǒng)一立法的過程。就網絡服務提供者個人信息保護義務而言，相關規(guī)定主要集中在2012年全國人大常務委員會《關于加強網絡信息保護的決定》、2013年工業(yè)和信息化部《電信和互聯(lián)網用戶個人信息保護規(guī)定》、2016年全國人大常務委員會《網絡安全法》、2017年全國信息安全標準化技術委員會《信息安全技術 個人信息安全規(guī)范》①《信息安全技術 個人信息安全規(guī)范》由全國信息安全標準化技術委員會制定，2017年12月29日發(fā)布。2020年全國信息安全標準化技術委員會對《信息安全技術 個人信息安全規(guī)范》進行了修訂，并于2020年3月6日發(fā)布，2020年10月1日實施。等。上述規(guī)定明確網絡服務提供者對個人信息進行處理時應遵循合法、正當、必要的原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍。其中，對收集到的個人信息保密，不得向他人泄露、出售或者非法提供一直是網絡服務提供者個人信息保護義務的核心內容。如《關于加強網絡信息保護的決定》第三條、《電信和互聯(lián)網用戶個人信息保護規(guī)定》第十條、《網絡安全法》第四十二條均規(guī)定網絡服務提供者對于收集的公民個人信息必須嚴格保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供?！缎畔踩夹g個人信息安全規(guī)范》9.4條款又進一步規(guī)定個人信息原則上不予公開披露，需要公開披露時必須經法律授權或具備合理事由。2021年8月，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）頒布實施，標志著我國個人信息保護法統(tǒng)一立法的形成。該法明確個人信息受法律保護，任何組織和個人不得侵害自然人的個人權益，個人信息處理者處理信息時必須要確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，防止未經授權的訪問以及個人信息泄露或者被竊取、篡改、刪除，并要進行事前風險評估。為了加強超大型互聯(lián)網平臺個人信息保護的義務，該法還規(guī)定了外部機構獨立監(jiān)督，對嚴重違規(guī)停止提供服務及定期發(fā)布個人信息保護社會責任報告等條款。

2.網絡服務提供者個人信息披露義務。一般認為，網絡服務提供者個人信息披露義務屬于通信協(xié)助執(zhí)法制度的范疇，是一種積極性作為義務。從國際立法經驗來看，早在1996年歐盟就通過《歐盟理事會通信合法攔截決議》賦予了電信運營商及網絡服務提供者在偵查活動中信息披露義務。2001年歐洲經濟委員會通過的《網絡犯罪公約》又詳細規(guī)定了網絡服務提供者在數(shù)據(jù)儲存、數(shù)據(jù)披露以及數(shù)據(jù)攔截方面的義務。美國則先后通過《1994年通信協(xié)助執(zhí)法》《愛國者法案》《關鍵基礎設施信息保護法》等法案明確電信運營商及網絡服務提供者在偵查活動中信息披露義務。對于網絡服務提供者而言，我國所規(guī)定的偵查活動中信息披露義務主要是指針對具體案件執(zhí)法活動中的信息披露義務。從法律框架來看，我國法律主要從以下幾個方面來界定網絡服務者信息披露義務。第一，基于刑事法律產生的義務。我國《刑事訴訟法》第五十四條第一款規(guī)定，在偵查活動中，有關單位和個人有如實提供證據(jù)的義務，從而在原則上確立了網絡服務提供者在偵查活動中承擔著信息披露的義務。2015年《刑法修正案（九）》增設了“拒不履行信息網絡安全管理義務罪”規(guī)定了網絡服務者違背安全管理義務的刑事法律責任。第二，基于行政法律法規(guī)產生的義務。《網絡安全法》第二十八條規(guī)定網絡服務提供者應當為偵查機關偵查犯罪的活動提供技術支持和協(xié)助?！痘ヂ?lián)網信息服務管理辦法》第十四條、《互聯(lián)網上網服務營業(yè)場所管理條例》第二十三條也規(guī)定了在執(zhí)法機關依法查詢時應當提交相關用戶個人信息。第三，信息披露義務的方式主要通過偵查機關以調取的方式來進行。最高人民法院、最高人民檢察院、公安部《關于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》（以下簡稱《電子數(shù)據(jù)規(guī)定》）第十三條、公安部《公安機關辦理刑事案件電子數(shù)據(jù)取證規(guī)則》（以下簡稱《電子數(shù)據(jù)取證規(guī)則》）第三條明確規(guī)定了調取電子數(shù)據(jù)的措施。

（二）網絡服務提供者個人信息保護與披露義務的沖突表現(xiàn)

通過分析我國網絡服務提供者個人信息保護與披露義務的立法脈絡，可以看到個人信息保護義務與披露義務“當前的立法思路是分而治之，即保護歸保護，協(xié)助歸協(xié)助?！盵1]49對于二者而言，立法均有加強的趨勢，但卻都忽視了兩種義務保護交叉地帶產生的張力進而導致潛在沖突的可能性。這種可能性主要體現(xiàn)在以下兩個方面：其一，基于啟動程序所帶來的二者之間沖突。如根據(jù)法律規(guī)定，協(xié)助偵查為網絡服務提供者個人信息保護義務的例外，但這種例外也應遵循個人信息保護正當性與必要性原則。偵查機關在獲取個人信息程序啟動之前，應當由權力機關對其獲取個人信息手段與目的之間的合比例性進行審查。其二，基于披露方式所帶來的二者之間沖突。根據(jù)現(xiàn)有規(guī)定，我國個人信息主要存在兩種分類方法：第一種是依據(jù)《民法典》將個人信息分為一般個人信息與私密信息，其重點在于強調保護自然人的私生活安寧；第二種是依據(jù)《個人信息法》將個人信息分為一般個人信息與敏感信息，其重點在于強調保護“一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息”①本內容來自于《個人信息保護法》第二十八條對于敏感個人信息的定義。于安全狀態(tài)。無論采用何種分類都反映了與一般個人信息相比，私密信息與敏感信息與公民基本權利聯(lián)系更為緊密。鑒于不同類型的個人信息對公民基本權利影響程度不同，不同類型的信息受保護的程度也應當不同，相關立法理應基于比例原則根據(jù)不同類型個人信息設定不同的披露條件和程序，以實現(xiàn)充分保護個人信息目的。

二、網絡服務提供者個人信息保護與披露義務沖突調和的應然向度

（一）沖突的本質：國家權力與公民基本權利的博弈

網絡服務提供者個人信息保護義務與披露義務沖突的形成和網絡服務提供者工作性質及所承擔的社會責任緊密相聯(lián)。大數(shù)據(jù)、人工智能、區(qū)塊鏈等網絡技術增強了社會信息的共享性與社會的流動性，進而促進了信息權力的聚集，其掌握者與實施者主要以網絡服務提供者、個人用戶為代表。這種信息權力支援了傳統(tǒng)社會治理架構與信息源，“大大降低了區(qū)分中心與邊緣、上級與下級的意義，從而導致網絡治理的分權化”[2]，極大沖擊了傳統(tǒng)社會治理的集權主義與行為主義邏輯，增加了傳統(tǒng)社會治理的困難。在當前社會治理中，一方面，基于個人信息繁雜失序的現(xiàn)狀及其與個人隱私的天然聯(lián)系，個人信息權其實已經成為公民的基本權利，加強個人信息保護是社會治理的必然需求。就本質而言，網絡服務提供者所承擔的個人信息保護義務屬于公民基本權利的延伸。另一方面，由于網絡服務提供者的經營活動在“很大程度上圍繞著信息的收集、篩選、整理、認證展開”[1]51，承擔著信息共享組織者的功能，為了充分利用此優(yōu)勢，社會治理主體便將部分權力行使方式轉渡給網絡服務提供者，進而使網絡服務提供者成為國家權力的延伸?；趥刹槟康?，網絡服務者所承擔的個人信息披露業(yè)務，其實仍然是國家權力對公民基本權利的干預。因此，網絡服務提供者個人信息保護與披露義務的沖突在本質上是政府執(zhí)法權力與個人隱私權利的博弈。當國家權力與公民基本權利發(fā)生二元對立時，必然要求法治原則介入調和，并為二者的博弈劃出邊界。

（二）沖突的邊界：基于比例原則的設定

作為一項公法原則，比例原則的功能主要在于為國家權力行使提供一種規(guī)范標準，也是國家權力反向制約公民權利的基礎和邊界。在比例原則之下，又可以引申出四項基本原則即“目的正當原則、適當性原則、必要性原則與權衡性原則?！盵3]下文將以上述四個原則為基礎，圍繞網絡服務提供者個人信息保護與披露義務之間的沖突邊界進行論述。第一，目的正當是判斷一項公權力是否符合比例原則的門檻，主要包含實質與形式兩個方面的正當性，即目的是否符合當前社會的一般價值觀，并得到法律認可。網絡服務者個人信息披露義務以查明案件事實，維護國家安全和社會公共利益為目的，進而對個人信息保護義務進行限制本身具有正當性。但如果某項手段不以刑事案件偵查為服務對象，或在不確定存在犯罪行為狀態(tài)下實施，則個人信息披露義務的正當性就需重新考慮。第二，在正當目的的基礎上，適當性原則要求實現(xiàn)目的與手段相匹配，即該手段的使用能夠合理地實現(xiàn)法律目的。對于行為主體而言，目的與手段是否匹配主要基于事實經驗和邏輯判斷，但關鍵在于能夠以外部可見的方式自證其手段與目的之間的關聯(lián)性。以網絡服務者個人信息披露義務而言，其履行程序應視情通過事前令狀或事后審查予以衡量適當性。第三，即便手段與目的是相配，仍然不能認為其符合比例原則，還要進一步對手段干預公民基本權利的程度進行比較，即要符合必要性原則。必要性原則是指在達到目的多種手段中選擇最低限度的手段。必要性原則前提條件主要有兩個：其一，達到目的的手段在兩個以上，如果只有一種則不適用此原則；其二，多種手段中要選擇對公民基本權利干預度最低的選項?；诖嗽瓌t，網絡服務提供者個人信息披露方式的強度應與個人信息保護的層級形成階層式對應，如私密信息、敏感信息披露的門檻應高于一般個人信息。第四，權衡性原則要求在兩種法益發(fā)生沖突時如何根據(jù)案件情況確立有條件的優(yōu)先關系。解決這種原則性競爭沖突的標準在于將其置于具體案件情況之下進行重要性或優(yōu)先性地位判斷。以網絡服務者個人信息保護與披露義務沖突而言，在判斷過程中要考量以下幾個要素：其一，國家安全、刑事司法事項因其維護社會公共利益而構成公民基本權利保護之例外；其二，對于國家權力的行使必須有相應的限制條件與限制強度要求，以形成被干預權利的層級化對應。

三、網絡服務提供者個人信息保護與披露義務沖突調和的實踐途徑

（一）加強個人信息保護與刑事司法的有效銜接

如上文所述，網絡服務提供者個人信息保護與披露義務沖突本質屬于國家權力與公民基本權利的沖突，因此二者沖突解決的底層邏輯屬于法制機制綜合作用的過程，重點應在于立法層面。當前，我國雖然已經初步構建了由法律法規(guī)、行業(yè)規(guī)范、技術標準為一體的綜合性、多層次個人信息的保護框架。但正如有學者指出，我國個人信息保護立法存在的重要問題在于：“規(guī)定過于原則，往往只是一個概念或者一個具體要求，通常是禁止性要求，缺乏系統(tǒng)的整體性設計?！盵4]以《網絡安全法》第二十八條為例，該法規(guī)定了網絡服務提供者為偵查“提供技術支持和協(xié)助”的義務，但如何進行協(xié)助卻沒有具體規(guī)定。同樣的問題也存在《數(shù)據(jù)安全法》第三十五條中，該條規(guī)定公安機關因偵查犯罪需要調取數(shù)據(jù)，應當“經過嚴格的批準手續(xù)，依法進行，有關組織、個人應當予以配合”，但是嚴格的批準手續(xù)主要包含什么則未提及。在刑事程序法中，對于上述問題也未作出詳細的規(guī)定，甚至有學者認為：“唯獨在刑事司法執(zhí)法領域，對公民個人信息的干預始終被視為法律規(guī)制的例外?！盵5]如《刑事訴訟法》也僅在五十四條第一款、第一百五十二條第四款對網絡服務者偵查協(xié)助進行了原則性規(guī)定，要求在公安機關調取證據(jù)或采取技術偵查措施時，網絡服務提供者應當配合。上述立法現(xiàn)狀說明，當前個人信息保護法與刑事程序法并未形成良好互動和有效銜接。要解決個人信息保護與披露之間的沖突，必然要做好個人信息保護與刑事司法的有效銜接?；诒壤瓌t，個人信息保護與刑事司法銜接主要從以下幾個方面進行：其一，在《個人信息保護法》《數(shù)據(jù)安全法》《網絡安全法》等法律修訂時，首先應明確規(guī)定基于維護國家安全和社會公共利益，網絡服務提供者在配合偵查時具有個人信息保護義務豁免的例外，以明示個人信息披露義務的正當性與合法性。其次，要以《個人信息保護法》中確定的分類標準為依據(jù)，建立涉?zhèn)刹榈膫€人信息披露分類告知制度，以加強個人信息用戶知情同意權、數(shù)據(jù)訪問權等程序性權利的保障。其二，在《刑事訴訟法》《電子數(shù)據(jù)規(guī)定》《電子數(shù)據(jù)取證規(guī)則》等法律、規(guī)章修訂時，應通過制定專章以對接個人信息保護法，最為重要的是以“賦權性規(guī)定”實現(xiàn)個人信息用戶對公權力的制約。主要內容包括：一是要構建基于個人信息類型分類干預的機制，按照比例原則限制不同情形下網絡服務提供者個人信息披露義務范圍與內容。二是要規(guī)范網絡服務提供者個人信息披露義務方式，建立偵查機關調取、技術偵查等刑事程序的審批、監(jiān)督、救濟機制。三是要明確規(guī)定偵查機關作為個人信息處理和使用主體，對于網絡服務者披露的個人信息具有信息安全保障責任。

（二）構建基于個人信息分類的權利干預機制

從域外法治國家立法經驗來看，根據(jù)個人信息類型構建權利干預機制是應對國家權力對于個人信息權有可能造成侵犯的重要措施之一。一般認為，偵查活動中需要的個人信息可以分為元數(shù)據(jù)與內容數(shù)據(jù)兩種。所謂元數(shù)據(jù)是指在網絡傳輸和通信傳輸中產生的傳輸數(shù)據(jù)和定位數(shù)據(jù)等非通信內容數(shù)據(jù)，主要包括個人信息用戶的身份、通信日期、持續(xù)時間、頻率、使用設備或服務時的位置、IP地址、網絡連接日期和時長等。[6]137所謂內容數(shù)據(jù)，是指某項溝通交流行為所產生的具體內容，主要包括已經存儲內容數(shù)據(jù)與未來監(jiān)聽內容數(shù)據(jù)，前者是指網絡服務提供者依照法律規(guī)定的留存期限在其設備內對個人信息活動產生的數(shù)據(jù)進行留存，后者則是指網絡服務提供者依據(jù)法律程序配合偵查機關進行監(jiān)聽或攔截的數(shù)據(jù)。根據(jù)上述元數(shù)據(jù)與內容數(shù)據(jù)對于隱私的干預程度，域外法治國家對于元數(shù)據(jù)與內容數(shù)據(jù)多采用了不同的保護標準。對于元數(shù)據(jù)而言，立法對于偵查機關獲取此類數(shù)據(jù)采用了較為寬松的監(jiān)督機制。以英國《2016年調查權力法》為例，該法第61條第7款列舉了九項獲取元數(shù)據(jù)的合法理由[7]，其審批手續(xù)也控制在執(zhí)法機關內部，不受司法機關審查。對于內容數(shù)據(jù)而言，立法一般較為嚴謹，偵查機關獲取此類數(shù)據(jù)需要提供詳細的事實信息，以證明獲取此類數(shù)據(jù)的必要性和合比例性。同時，大多數(shù)國家立法都采取了“令狀主義”，以限制權力機關肆意啟動監(jiān)聽等技術偵查措施導致對公民隱私權的侵害。就我國立法而言，我國并沒有對偵查活動中網絡服務者披露的個人信息進行分類，更沒有建立起根據(jù)不同類型信息進行分類處置的程序，有必要借鑒上文所提及的立法經驗在偵查活動中區(qū)分元數(shù)據(jù)與內容數(shù)據(jù)，并在此基礎上規(guī)定相應的適用情形。具體內容包括：第一，在未來有關個人信息法律法規(guī)修訂時要將元數(shù)據(jù)、內容數(shù)據(jù)的概念、范圍、類型以及披露程序予以明確規(guī)定；第二，要基于個人信息類型，修訂現(xiàn)有偵查取證程序，尤其是對內容信息提供充分的程序性保障，從而建立符合比例原則的權利干預規(guī)范。

（三）修訂網絡服務提供者個人信息披露方式

修訂網絡服務提供者個人信息披露的方式，亦即依據(jù)比例原則對偵查機關獲取個人信息的方式進行規(guī)范調整。第一，設置個人信息披露啟動條件。網絡服務者個人信息披露義務屬于偵查活動中的被動配合義務，其啟動必須由偵查機關提出個案偵查的需求才能啟動。為了充分保護個人信息，網絡服務提供者所披露個人信息類型應與刑事案件的性質相適應，尤其是涉及到內容信息應將披露范圍限定于危害國家安全或其他嚴重犯罪案件。第二，建立個人信息披露審批要求。不同類型數(shù)據(jù)性質不同，其披露要求亦不同。對于元數(shù)據(jù)，因其對公民隱私權利的弱干預性，可沿襲傳統(tǒng)習慣，繼續(xù)采取任意性偵查措施，由偵查機關經內部批準通過調取的方式獲取。對于內容數(shù)據(jù)，因其對公民隱私干預程度最高，尤其可能涉及到實時監(jiān)聽，其獲取方式理應歸入強制性偵查措施，所以必須引入司法令狀主義加以限制。根據(jù)我國立法經驗，此司法令狀可以由檢察機關審核批準。

（四）增補網絡服務提供者個人信息披露后的保障措施

作為個人信息的實際控制者與處理者，偵查機關理應承擔對從網絡服務者處獲取個人信息的安全保障責任。根據(jù)《個人信息保護法》相關規(guī)定，這種個人信息安全保障責任主要包括個人信息保密責任、個人信息保護影響評估責任、個人信息泄露后通知責任等。[8]為了落實以上責任，應通過立法明確以下措施：第一，應加強偵查活動中個人信息處理各環(huán)節(jié)安全規(guī)定，如基于個案獲取的個人信息是否能夠與其他偵查機關共享，如果能夠共享在個人信息存儲、傳輸時應如何予以保密。第二，當偵查活動目的已經實現(xiàn)、無法實現(xiàn)或為實現(xiàn)處理目的不再必要時，對于個人信息應依法予以刪除。第三，當個人信息泄露后，偵查機關應向主管部門報告，并通知個人信息用戶，以盡量避免因個人信息泄露對公民人身、財產權利帶來的潛在風險。第四，應對個人信息處理全過程予以記錄，并由偵查機關內部監(jiān)管機構如法制部門定期進行合法性審查。

結 語

在偵查活動中，網絡服務提供者個人信息保護與披露義務的沖突折射了網絡空間中國家權力與公民基本權利的博弈。網絡服務提供者作為執(zhí)法權力的延伸，其個人信息披露義務固然有“第三方原則”[9]等理論支持，但正如洛克所認為國家權力既是個人權利的保護神，又是最危險的侵害者[10]，如果放任對執(zhí)法效率的追求，必然會削弱其承擔的個人信息保護義務，從而導致公民合法權益的受損。因此，解決二者沖突的關鍵在于遵循比例原則，通過加強法律銜接，構建干預機制，修訂披露方式，增補保障措施等手段達到網絡服務者偵查協(xié)助義務正當性證成目的，以最終實現(xiàn)打擊犯罪與保障公民權利之平衡。