●李延舜

一、問題的引出

大數(shù)據(jù)不僅改變了政務(wù)和民生，對刑事偵查也產(chǎn)生了巨大影響。人們發(fā)現(xiàn)，自己在網(wǎng)絡(luò)空間留存的各種記錄可能成為對自己不利的呈堂證供，而偵查機(jī)關(guān)正對這些記錄虎視眈眈。同時，網(wǎng)絡(luò)服務(wù)提供者面對偵查機(jī)關(guān)的數(shù)據(jù)調(diào)取請求也呈現(xiàn)出不同樣態(tài)，近年來的幾個國內(nèi)外案例說明了這一點(diǎn)。國際方面，第一個是卡彭特案，〔1〕See Carpenter v. United States, 138 S. Ct. 2206; 585 U. S. （2018）.該案中，美國聯(lián)邦最高法院最終裁定警方必須事先獲得法院的搜查令才能追蹤公民的手機(jī)位置信息，而在此案之前，按照慣常理論——第三方當(dāng)事人規(guī)則〔2〕參見李延舜：《個人信息保護(hù)中的第三方當(dāng)事人規(guī)則之反思》，載《法商研究》2022年第4期，第76-89頁。——警方完全可以徑直從電信服務(wù)商手中獲得該定位信息。第二個是韓國“N號房”事件。案發(fā)后，面對警方要求提供非法視頻上傳者個人信息的訴求，運(yùn)營商Telegram一直未予配合。Telegram創(chuàng)始人Pavel面對記者詢問緣由時談到：“我認(rèn)為個人隱私，以及我們保護(hù)個人隱私的權(quán)利要比我們所畏懼的事情更為重要，比如恐怖主義?！薄?〕蔣琳：《風(fēng)暴眼中的Telegram：社交軟件該為打擊犯罪犧牲隱私嗎？》，載微信公眾號“隱私護(hù)衛(wèi)隊”，2020年4月11日。在他看來，這頂多算是“技術(shù)的黑暗面”。事實上，國外警方要求網(wǎng)絡(luò)服務(wù)提供者協(xié)助偵查的案例已有不少，尤為出名的是蘋果三次向FBI說“不”事件。國內(nèi)方面，第一個是2017年深圳共享單車肇事逃逸案，深圳一名女性騎行ofo單車將一行人撞倒后逃竄，深圳交警數(shù)日后發(fā)布通報稱：“共享單車肇事，嫌疑人逃逸，企業(yè)拒不配合調(diào)查，交警將依法查辦”。不久，ofo發(fā)布聲明，稱“基于保障用戶信息安全，ofo對于內(nèi)部資料查詢與審核有嚴(yán)格的程序規(guī)定，雖在過程中引發(fā)雙方溝通上的誤解，但ofo還是在事發(fā)當(dāng)天將所需數(shù)據(jù)提供給相關(guān)單位?！薄?〕歐陽李寧：《共享單車肇事嫌疑人逃逸，企業(yè)不配合警方調(diào)查？ofo：誤解》，載澎湃新聞網(wǎng)，https://m.thepaper.cn/newsDetail_forward_1704814，2022年12月8日訪問。第二個是2018年滴滴順風(fēng)車司機(jī)殺人案，該案案情簡單，爭議焦點(diǎn)在于平臺能否以保護(hù)用戶隱私為由，遲延或拒絕向偵查機(jī)關(guān)披露個人信息。滴滴公司事后發(fā)布聲明：“懇請與警方以及社會各界探討更高效可行的合作方案，共同打擊犯罪……如何在保護(hù)用戶隱私的同時，避免延誤破案的時機(jī)?！薄?〕《滴滴8月27日將下線順風(fēng)車業(yè)務(wù) 兩高管被免職》，載百度網(wǎng)，https://baijiahao.baidu.com/s?id=1609831384371336913&w fr=spider&for=pc，2022年12月8日訪問。

上述案件各有意義，卡彭特案說明法院已經(jīng)意識到警方徑直向網(wǎng)絡(luò)服務(wù)提供者調(diào)取個人數(shù)據(jù)的行為需要予以規(guī)范，“N號房”案則表明某些網(wǎng)絡(luò)服務(wù)提供者認(rèn)為保護(hù)用戶隱私和數(shù)據(jù)權(quán)利比協(xié)助偵查更為重要，ofo案表明網(wǎng)絡(luò)服務(wù)提供者與偵查機(jī)關(guān)間的協(xié)查機(jī)制不健全，滴滴案則表明網(wǎng)絡(luò)服務(wù)提供者已經(jīng)認(rèn)識到協(xié)助執(zhí)法義務(wù)和保護(hù)用戶隱私及數(shù)據(jù)權(quán)利義務(wù)間的沖突，并渴望在對話的基礎(chǔ)上達(dá)成一種平衡保護(hù)方案?！坝涗浉淖兞艘磺小保坝涗洝笔沟镁W(wǎng)絡(luò)服務(wù)提供者深刻地改變了刑事偵查模式，尤其是參與偵查主體結(jié)構(gòu)，“形成了國家—社會—個人三方參與的新型偵查主體分布模式，社會力量而非偵查機(jī)關(guān)在偵查權(quán)行使過程中的作用愈發(fā)重要。”〔6〕程雷：《大數(shù)據(jù)偵查的法律控制》，載《中國社會科學(xué)》2018年第11期，第161頁。

然而，刑事偵查中向網(wǎng)絡(luò)服務(wù)提供者調(diào)取數(shù)據(jù)行為的常態(tài)化也帶來一系列問題。實踐層面上，如平臺在履行數(shù)據(jù)報送義務(wù)時，數(shù)據(jù)報送事項過多、范圍過寬、報送程序不健全、報送安全性保障滯后等多種因素的存在，導(dǎo)致平臺數(shù)據(jù)存在實踐困境?！?〕參見劉權(quán)：《論網(wǎng)絡(luò)平臺的數(shù)據(jù)報送義務(wù)》，載《當(dāng)代法學(xué)》2019年第5期，第5-6頁。更常見的是，為防止數(shù)據(jù)遺漏或多次調(diào)取，網(wǎng)絡(luò)服務(wù)提供者往往會選擇擴(kuò)大數(shù)據(jù)調(diào)取范圍，如“順亨汽貿(mào)公司走私普通貨物案”所反映的情況，網(wǎng)絡(luò)服務(wù)商向偵查機(jī)關(guān)披露了30個涉案郵箱中20萬封電子郵件，而這些郵件并不都和案件具有關(guān)聯(lián)性?！?〕參見謝登科：《論偵查機(jī)關(guān)電子數(shù)據(jù)調(diào)取權(quán)及其程序控制》，載《環(huán)球法律評論》2021年第1期，第60頁。規(guī)范層面上，主要體現(xiàn)在數(shù)據(jù)保護(hù)類法律與刑事訴訟類法律的脫節(jié)。換句話講，《個人信息保護(hù)法》《網(wǎng)絡(luò)安全法》及《數(shù)據(jù)安全法》中規(guī)定的數(shù)據(jù)處理規(guī)則能否適用于刑事偵查？舉例而言，數(shù)據(jù)偵查行為是否同樣遵循《個人信息保護(hù)法》規(guī)定的合法、正當(dāng)、必要、誠信、公開、透明、質(zhì)量等原則？偵查機(jī)關(guān)是否是該法第三節(jié)規(guī)定的“國家機(jī)關(guān)”？究其根源，在于當(dāng)前數(shù)據(jù)治理架構(gòu)主要是從個人主義視角出發(fā)，而忽略了其中的社會性問題?！?〕See Salome Viljoen, A Relational Theory of Data Governance, 131 The Yale Law Journal 573 （2021）.這種理解角度的差異使得我國的數(shù)據(jù)治理和數(shù)據(jù)保護(hù)立法不注重區(qū)分公私領(lǐng)域，如將《個人信息保護(hù)法》中的“權(quán)利束”理解為個人自主控制范式下的一組民事權(quán)利，〔10〕參見王錫鋅：《國家保護(hù)視野中的個人信息權(quán)利束》，載《中國社會科學(xué)》2021年第11期，第115頁?；旧虾雎粤诵淌滤痉C(jī)關(guān)對個人信息調(diào)取的特殊性，并由此導(dǎo)致適用的模糊。歐盟這方面的法律實踐給我們很多啟示?！兑话銛?shù)據(jù)保護(hù)條例》（以下簡稱GDPR）第2條第2款d項將“有關(guān)主管部門為預(yù)防、調(diào)查、偵查、起訴刑事犯罪、執(zhí)行刑事處罰、防范及預(yù)防公共安全威脅而進(jìn)行的個人數(shù)據(jù)處理”排除在適用范圍之外。歐洲議會和歐盟理事會在通過GDPR不久發(fā)布了《針對警察和刑事司法機(jī)關(guān)的數(shù)據(jù)保護(hù)指令》（以下簡稱（EU）2016/680），專門用以規(guī)范刑事司法領(lǐng)域的數(shù)據(jù)處理，其核心宗旨是：在預(yù)防、調(diào)查、偵查或起訴犯罪以及執(zhí)行刑事處罰時，仍應(yīng)尊重并保障自然人的基本權(quán)利和自由。主要條款如第4條（數(shù)據(jù)處理的主要原則）、第6條（對數(shù)據(jù)主體進(jìn)行分類）、第7條（區(qū)分基于事實的數(shù)據(jù)和基于評估的數(shù)據(jù)）、第10條（敏感個人數(shù)據(jù)的處理）、第25條（執(zhí)法機(jī)關(guān)記錄日志義務(wù)）以及第47條（監(jiān)管機(jī)構(gòu)的權(quán)力）等都與GDPR有所不同。

我國刑事司法領(lǐng)域數(shù)據(jù)處理規(guī)則的模糊性使得網(wǎng)絡(luò)服務(wù)提供者經(jīng)常陷入合規(guī)困境，如有學(xué)者指出面對協(xié)助執(zhí)法義務(wù)和用戶數(shù)據(jù)保護(hù)義務(wù)，“刑事合規(guī)面臨的現(xiàn)實且急迫的挑戰(zhàn)并不在于因違法違規(guī)行為觸發(fā)刑責(zé)的風(fēng)險，而在于規(guī)則本身因缺位、錯位等使得企業(yè)面臨進(jìn)退維谷的合規(guī)義務(wù)沖突?！薄?1〕裴煒：《刑事數(shù)字合規(guī)困境：類型化及成因探析》，載《東方法學(xué)》2022年第2期，第161頁。互聯(lián)網(wǎng)企業(yè)往往通過隱私政策在多種義務(wù)間作出安排，如《微信隱私保護(hù)指引》規(guī)定“履行法定義務(wù)或法定職責(zé)所必需”時，處理用戶個人信息無需事先征得信息主體的同意?！?2〕參見《微信隱私保護(hù)指引》，載微信官網(wǎng)，https://weixin.qq.com/cgi-bin/readtemplate?lang=zh_CN&t=weixin_agreement&s=privacy，2022年12月8日訪問。這種“同意的例外”表明了網(wǎng)絡(luò)服務(wù)提供者協(xié)助執(zhí)法義務(wù)的優(yōu)先性，公民的隱私及數(shù)據(jù)權(quán)利被平衡掉了。但問題在于，網(wǎng)絡(luò)服務(wù)提供者僅是用戶個人數(shù)據(jù)的持有者，而非基本權(quán)利擁有者。即使基于合法事由進(jìn)行數(shù)據(jù)披露，也要考慮數(shù)據(jù)主體根據(jù)其與網(wǎng)絡(luò)服務(wù)提供者之間的關(guān)系而提出的“合理預(yù)期”，要充分考量個人數(shù)據(jù)的類型及對用戶的影響，“能否適用平衡條款在很大程度上取決于案件的具體情況。然而，隱私和數(shù)據(jù)保護(hù)的基本權(quán)利始終是平衡的一個因素，它們不可能被輕易地超越，而且應(yīng)該占據(jù)較高的權(quán)重?！薄?3〕［荷蘭］瑪農(nóng)·奧斯特芬：《數(shù)據(jù)的邊界》，曹博譯，上海人民出版社2020年版，第150頁。面對刑事數(shù)據(jù)調(diào)取，網(wǎng)絡(luò)服務(wù)提供者應(yīng)有更多的考量，扮演更重要的角色。

二、刑事數(shù)據(jù)調(diào)取中網(wǎng)絡(luò)服務(wù)提供者的角色定位及相關(guān)義務(wù)

作為刑事數(shù)據(jù)調(diào)取的“數(shù)據(jù)池”及數(shù)據(jù)保護(hù)義務(wù)的當(dāng)然主體，網(wǎng)絡(luò)服務(wù)提供者理應(yīng)成為刑事偵查的重要參與力量而非僅是配合者。而要實現(xiàn)此轉(zhuǎn)變，需探討網(wǎng)絡(luò)服務(wù)提供者在刑事偵查中所扮演的角色，并由此界定其義務(wù)。之所以遵循這個分析路徑，是因為不同的身份（或角色）跟特定的權(quán)利、義務(wù)、權(quán)力、責(zé)任相連，“身份體是人們賴以生存和發(fā)展的組織或群體……身份體作為利益配置單位，通過確定成員身份界定身份體內(nèi)外關(guān)系，實現(xiàn)其內(nèi)部身份關(guān)系的制度安排。”〔14〕馬俊駒、童列春：《身份制度的私法構(gòu)造》，載《法學(xué)研究》2010年第2期，第59頁。在基本法律要素配置方面，依“身”定“份”是公平正義的體現(xiàn)，下將立足于“經(jīng)營者”“公共服務(wù)提供者”和“網(wǎng)絡(luò)規(guī)則重要締造者”三重角色并展開其關(guān)聯(lián)義務(wù)之闡述。

（一）經(jīng)營者——隱私及數(shù)據(jù)保護(hù)義務(wù)

網(wǎng)絡(luò)服務(wù)提供者的初始角色就是經(jīng)營者，通過提供網(wǎng)絡(luò)服務(wù)以獲取利潤，即使是“免費(fèi)”使用的App，經(jīng)營者也能通過獲取用戶的海量個人信息并經(jīng)“個性化推薦”賺取利潤。與“經(jīng)營者”身份相對應(yīng)，網(wǎng)絡(luò)服務(wù)提供者的主要義務(wù)是保障用戶的隱私及數(shù)據(jù)安全。具體而言，可以從以下三個方面予以分解：第一，法律條文中涉及網(wǎng)絡(luò)服務(wù)商“應(yīng)當(dāng)如何”“不得如何”的內(nèi)容，都是“義務(wù)”。前者如《民法典》第1035條，規(guī)定了處理個人信息處理應(yīng)當(dāng)遵循的基本原則，就是典型的義務(wù)總綱；后者如《民法典》第1038條，規(guī)定了信息處理者不得泄露、篡改或向他人非法提供個人信息?！毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》等也都規(guī)定了網(wǎng)絡(luò)服務(wù)提供者的隱私及數(shù)據(jù)保護(hù)義務(wù)。這種義務(wù)，從個人信息處理的各個節(jié)點(diǎn)出發(fā)，大體上可以分為數(shù)據(jù)收集階段的義務(wù)（如充分告知并取得授權(quán)、必要性義務(wù)等）、數(shù)據(jù)存儲階段的義務(wù)（如安全保管、限期持有義務(wù)等）、數(shù)據(jù)處理階段的義務(wù)（如合目的性義務(wù)等）、數(shù)據(jù)轉(zhuǎn)移、披露或共享階段的義務(wù)（如限制共享、重新取得授權(quán)義務(wù)等）。此外，貫穿個人信息處理各階段的，還有數(shù)據(jù)安全義務(wù)、數(shù)據(jù)分級、分類保護(hù)義務(wù)、數(shù)據(jù)質(zhì)量義務(wù)，以及尊重數(shù)據(jù)主體的各項數(shù)據(jù)權(quán)利等義務(wù)。第二，“從設(shè)計著手隱私”義務(wù)。今天的數(shù)字經(jīng)濟(jì)已經(jīng)告別了野蠻生長，開始強(qiáng)調(diào)秩序。今天的數(shù)字經(jīng)濟(jì)已經(jīng)從“追逐效率與利潤”轉(zhuǎn)向追求公平合理的制度設(shè)計。毫無疑問，消費(fèi)者隱私及數(shù)據(jù)保護(hù)肯定是其中重要一環(huán)。歷史地看，隱私及數(shù)據(jù)保護(hù)正在經(jīng)歷一個“先傷害、后彌補(bǔ)”的過程，未來的互聯(lián)網(wǎng)企業(yè)隱私及數(shù)據(jù)保護(hù)義務(wù)應(yīng)從設(shè)計著手隱私，“把隱私主動地嵌入數(shù)據(jù)開發(fā)與挖掘技術(shù)、商業(yè)操作、網(wǎng)絡(luò)架構(gòu)中，把隱私保護(hù)看作是數(shù)據(jù)資源利用的核心問題之一而不是依從性問題”?！?5〕李延舜：《大數(shù)據(jù)時代信息隱私的保護(hù)問題研究》，載《河南社會科學(xué)》2017年第4期，第69頁。第三，重要、敏感數(shù)據(jù)披露與共享時的“評估”及“告知”義務(wù)，這也是與協(xié)助執(zhí)法義務(wù)最為相關(guān)的一項?！秱€人信息保護(hù)法》第55條規(guī)定，個人信息處理者應(yīng)當(dāng)對“向其他個人信息處理者提供個人信息、公開個人信息”及“其他對個人權(quán)益有重大影響的個人信息處理活動”兩種情形事前進(jìn)行風(fēng)險評估。顯然，刑事偵查中的個人數(shù)據(jù)調(diào)取對當(dāng)事人影響及風(fēng)險不可謂不大，網(wǎng)絡(luò)服務(wù)提供者在協(xié)助執(zhí)法過程中應(yīng)評估數(shù)據(jù)披露帶來的可能后果，并在重要或敏感數(shù)據(jù)披露后，在排除“保守國家秘密”“不利于后續(xù)偵查”等事由的前提下，向相關(guān)數(shù)據(jù)主體履行告知義務(wù)。

需要說明的是，上述三個層面的分解都是基于法律義務(wù)而非道德義務(wù)，即使是“從設(shè)計著手隱私”，也應(yīng)放置在“數(shù)據(jù)合規(guī)”的背景下，將其定性為法律義務(wù)?！稊?shù)據(jù)安全法》第27條和第28條就鮮明地體現(xiàn)了這一點(diǎn)——數(shù)據(jù)處理前就應(yīng)考慮隱私及數(shù)據(jù)權(quán)利問題。

（二）公共服務(wù)提供者——協(xié)助執(zhí)法義務(wù)

通過考察相關(guān)法律文本，我們發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)提供者背負(fù)的法律義務(wù)大致包括協(xié)助執(zhí)法、數(shù)據(jù)留存、保護(hù)用戶信息、管控違法信息和違法活動四類?！?6〕參見皮勇：《論網(wǎng)絡(luò)服務(wù)提供者的管理義務(wù)及刑事責(zé)任》，載《法商研究》2017年第5期，第14-25頁。這四類涵蓋了對“私”和對“公”兩方面，尤其是對“公”，從社會治理角度講，“企業(yè)某種程度上轉(zhuǎn)化為監(jiān)管者的延伸，集中表現(xiàn)為政府監(jiān)管職責(zé)的下移；其所承擔(dān)的信息收集、存儲、審查、監(jiān)控、披露、報告義務(wù)直接服務(wù)于執(zhí)法活動?！薄?7〕裴煒：《針對用戶個人信息的網(wǎng)絡(luò)服務(wù)提供者協(xié)助執(zhí)法義務(wù)邊界》，載《網(wǎng)絡(luò)信息法學(xué)研究》2018年第1期，第33頁。張新寶教授也指出，“守門人”企業(yè)借助技術(shù)和管理優(yōu)勢在互聯(lián)網(wǎng)生態(tài)系統(tǒng)中具有強(qiáng)大控制力，在權(quán)力結(jié)構(gòu)上具有“公”的屬性。〔18〕參見張新寶：《互聯(lián)網(wǎng)生態(tài)“守門人”個人信息保護(hù)特別義務(wù)設(shè)置研究》，載《比較法研究》2021年第3期，第17頁。此即網(wǎng)絡(luò)服務(wù)提供者基于另一種身份而背負(fù)的義務(wù)——公共服務(wù)提供者及其協(xié)助執(zhí)法義務(wù)。一方面，新公共行政理論改變了以往的“單一決策”而與其他行動者共同決策，從以“政府為中心”轉(zhuǎn)向“以公眾為中心”，〔19〕參見竺乾威：《理解公共行政的新維度：政府與社會的互動》，載《中國行政管理》2020年第3期，第47頁。其路徑正是通過合作、協(xié)商、伙伴關(guān)系，共同實現(xiàn)對公共事務(wù)的治理；另一方面，網(wǎng)絡(luò)服務(wù)商具有資本、技術(shù)、數(shù)據(jù)、平臺等方面的優(yōu)勢，由其協(xié)助執(zhí)法具有便宜性。

具體而言，該義務(wù)可分解為如下三種：第一，信息收集及存儲義務(wù)。依發(fā)現(xiàn)嫌疑的主體不同，分為輔助和主動的信息收集及保存義務(wù)。前者指執(zhí)法機(jī)關(guān)發(fā)現(xiàn)特定嫌疑后，網(wǎng)絡(luò)服務(wù)提供者的輔助執(zhí)法義務(wù)。如《網(wǎng)絡(luò)安全法》第50條規(guī)定網(wǎng)絡(luò)運(yùn)營者在收到有關(guān)部門就違法信息停止傳輸?shù)拿詈螅４嫦嚓P(guān)記錄；后者指網(wǎng)絡(luò)服務(wù)商主動發(fā)現(xiàn)違法違規(guī)信息時，在向有關(guān)部門報告的同時，負(fù)有保存相關(guān)記錄的義務(wù)。如《互聯(lián)網(wǎng)群組信息服務(wù)管理規(guī)定》第11條規(guī)定，服務(wù)提供者除依法采取處置措施外，還要保存有關(guān)記錄，并向有關(guān)主管部門報告。此外，信息收集及存儲也有時限規(guī)定，如《互聯(lián)網(wǎng)直播服務(wù)管理規(guī)定》第16條、《互聯(lián)網(wǎng)群組信息服務(wù)管理規(guī)定》第13條也分別規(guī)定了六十日、不少于六個月的留存期限。第二，審查監(jiān)控義務(wù)。這可分為一般審查監(jiān)控義務(wù)和特殊審查監(jiān)控義務(wù)兩種，前者指網(wǎng)絡(luò)服務(wù)提供者在日常經(jīng)營中承擔(dān)的信息審查監(jiān)控義務(wù)，如《網(wǎng)絡(luò)安全法》第47條，當(dāng)出現(xiàn)監(jiān)控不力時，還可能引發(fā)《刑法》第286條的“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”；后者是針對個案，對已形成嫌疑的特定主體進(jìn)行的信息審查監(jiān)控。第三，信息披露與報告義務(wù)。此義務(wù)與前述兩種義務(wù)相連，同樣可分為“基于一般信息收集與審查監(jiān)控所產(chǎn)生的違法信息報告義務(wù)”和“個案執(zhí)法中的信息披露義務(wù)”。綜上，三種義務(wù)在“常態(tài)”與“特殊狀態(tài)”兩個語境下是一脈相承的，而特殊狀態(tài)時的數(shù)據(jù)收集、審查監(jiān)控及披露義務(wù)正是刑事數(shù)據(jù)調(diào)取中網(wǎng)絡(luò)服務(wù)提供者協(xié)助義務(wù)的典型樣態(tài)。

（三）網(wǎng)絡(luò)規(guī)則重要締造者——參與塑造自由與開放的數(shù)字生態(tài)義務(wù)

除經(jīng)營者、公共服務(wù)提供者外，網(wǎng)絡(luò)服務(wù)提供者還有一層重要的身份，即網(wǎng)絡(luò)規(guī)則重要締造者。換言之，數(shù)字時代的網(wǎng)絡(luò)服務(wù)提供者不是在反映而是在塑造某種社會規(guī)范，〔20〕See Jeあrey Rosen, The Deciders: The Future of Privacy and Free Speech in the Age of Facebook and Google, 80 Fordham Law Review 1535 （2012）.其工具便是“代碼”?！按a構(gòu)筑了網(wǎng)絡(luò)空間，空間使個人和群體能或不能。”〔21〕［美］勞倫斯·萊斯格：《代碼2.0：網(wǎng)絡(luò)空間中的法律》，李旭、沈偉偉譯，清華大學(xué)出版社2009年版，第98頁。那么，網(wǎng)絡(luò)服務(wù)提供者如何通過代碼規(guī)訓(xùn)互聯(lián)網(wǎng)的呢？主要分兩步：第一步，通過“缺省性規(guī)則”事先設(shè)定網(wǎng)絡(luò)空間的權(quán)利義務(wù)分配。缺省性規(guī)則的意義在于，其對于權(quán)利義務(wù)的初始分配將自動生效?！叭笔⌒砸?guī)則的內(nèi)容及其偏袒性問題是先契約的，即存在于當(dāng)事人通過談判達(dá)成契約去做出修改之前。”〔22〕［美］弗蘭克·H.伊斯特布魯克等：《公司法的邏輯》，黃輝編譯，法律出版社2016年版，第147頁。在民眾進(jìn)入網(wǎng)絡(luò)空間之前，初始權(quán)利義務(wù)的分配已經(jīng)設(shè)定完成。第二步，通過協(xié)議?！皡f(xié)議造就了管理數(shù)字生活的法律制度……服務(wù)條款、保密條款、授權(quán)協(xié)議和其他法律文件都是數(shù)字生活中的指導(dǎo)性工具……同時也是新法律制度的起點(diǎn)?！薄?3〕［美］拉里·唐斯：《顛覆定律：指數(shù)級增長時代的新規(guī)則》，劉睿譯，浙江人民出版社2014年版，第18頁。各類協(xié)議事實上承擔(dān)了數(shù)字生活中“法律”的地位，民眾進(jìn)入網(wǎng)絡(luò)空間之后，二次權(quán)利義務(wù)的分配以“協(xié)議”方式完成。就此而言，今天的互聯(lián)網(wǎng)和智能產(chǎn)品企業(yè)就像是一個世紀(jì)前的鐵路公司和電報電話公司，它們“創(chuàng)造和統(tǒng)治著我們的交流空間，并因此控制著我們的生活，這種控制程度遠(yuǎn)遠(yuǎn)超過其他任何私人群體。”〔24〕鄭戈：《算法的法律與法律的算法》，載《中國法律評論》2018年第2期，第84頁。

如果現(xiàn)實世界的首要主體是自然人，那網(wǎng)絡(luò)空間的首要主體就是網(wǎng)絡(luò)服務(wù)提供者。網(wǎng)絡(luò)服務(wù)提供者在“提供新的服務(wù)方式的同時，也確立了該服務(wù)方式下基本的信息交換規(guī)范和網(wǎng)絡(luò)社區(qū)的基本倫理?！薄?5〕鄒曉玫：《網(wǎng)絡(luò)服務(wù)提供者之角色構(gòu)造研究》，載《中南大學(xué)學(xué)報（社會科學(xué)版）》2017年第3期，第64頁。尤其是互聯(lián)網(wǎng)巨頭們傾力打造的數(shù)字平臺，更是匯集成一個個功能強(qiáng)大的生態(tài)系統(tǒng)。那么，迅速擴(kuò)張的互聯(lián)網(wǎng)巨頭們，負(fù)有何等相應(yīng)的義務(wù)呢？代碼既可以創(chuàng)造一個自由的世界，也可以創(chuàng)造一個沉重且充滿壓迫的世界。作為一種治理模式的代碼，它“不能簡化為法律，也不能簡化為市場……這種治理模式應(yīng)該認(rèn)可并允許以下情況：各種人造物品和架構(gòu)以種種方式對用戶進(jìn)行‘設(shè)定’，其中涉及的方式應(yīng)該受到檢查”?！?6〕Julie E. Cohen, Configuring the Networked Self: Law, Code, and the Play of Everyday Life, New Haven, CT: Yale University Press, 2012, p. 185.不同的（網(wǎng)絡(luò)空間）版本支持不同的夢想，對網(wǎng)絡(luò)服務(wù)提供者來說，參與塑造自由、開放的數(shù)字生態(tài)環(huán)境是其應(yīng)承擔(dān)的商業(yè)倫理和法律義務(wù)。

具體而言，提出兩個層面的要求：第一，遵循合法性，將現(xiàn)代法的價值當(dāng)作網(wǎng)絡(luò)服務(wù)提供者們數(shù)據(jù)處理活動的最高準(zhǔn)則?！稊?shù)據(jù)安全法》第8條規(guī)定，數(shù)據(jù)處理應(yīng)當(dāng)遵守法律、法規(guī)，尊重社會公德和倫理，遵守商業(yè)道德和職業(yè)道德，承擔(dān)社會責(zé)任。事實上，該條對網(wǎng)絡(luò)服務(wù)提供者提出了超越法律義務(wù)范圍的要求，目前雖沒有明確的條款或文件指明這些倫理內(nèi)涵有哪些，但不能否認(rèn)，互聯(lián)網(wǎng)的本性就是自由和開放，網(wǎng)絡(luò)服務(wù)提供者有義務(wù)將其作為行動綱領(lǐng)，而不得肆意違反。第二，保障個體民主參與網(wǎng)絡(luò)治理和網(wǎng)絡(luò)生態(tài)建設(shè)的權(quán)利。網(wǎng)絡(luò)服務(wù)提供者往往通過算法進(jìn)行社會治理，將個體視為算法治理的對象。英國有個發(fā)生于2013年的案例，41歲的殘疾人馬克·海明斯撥打了急救服務(wù)電話“999”，并立刻向接線員反映了他的病情。接線員先是問了一個問題：“還有其他癥狀嗎？”接下來詢問了更多問題：“你有腹瀉或嘔吐嗎？”“你的上腹部有沒有壓迫感或刺痛感？”“你先前有沒有診斷出其他病癥？”在病痛的煎熬中，海明斯無奈又痛苦地回答了所有問題，并第三次請求派救護(hù)車。通話結(jié)束前，接線員得出結(jié)論：“從你反饋的情況看，你不需要救護(hù)車?！眱商旌?，海明斯被發(fā)現(xiàn)且不久就去世了，死因是膽結(jié)石阻礙胰管引發(fā)的心臟病。原本只需要一個常規(guī)手術(shù)就可救治的病，卻因救助中心的算法分診系統(tǒng)而喪命。海明斯的遭遇點(diǎn)明了一個殘酷的現(xiàn)實，就是在算法世界中，“事態(tài)的發(fā)展方向，已經(jīng)為他設(shè)定好了。他不能拒絕與接線員交談，也不知道‘需要急救’和‘不需要急救’（這樣的算法分類）的存在。他只是在事先安排好的‘水體’中生活?！薄?7〕［美］約翰·切尼-利波爾德：《數(shù)據(jù)失控：算法時代的個體危機(jī)》，張昌宏譯，電子工業(yè)出版社2019年版，第222頁。這就是公民話語在數(shù)字生態(tài)建設(shè)過程中的參與缺失。

三、刑事數(shù)據(jù)調(diào)取中網(wǎng)絡(luò)服務(wù)提供者多重義務(wù)的對立性并存

網(wǎng)絡(luò)服務(wù)提供者“三位一體”的身份，決定了其在刑事偵查中必然產(chǎn)生各類義務(wù)的并存。歐洲刑警組織于2021年發(fā)布了SIRIUS項目第三次報告，報告指出，當(dāng)前歐洲各國向企業(yè)調(diào)取數(shù)據(jù)時，企業(yè)延遲或拒絕配合的理由主要有九種，既有實質(zhì)性原因如缺少法律依據(jù)或依據(jù)不準(zhǔn)確、調(diào)取請求中相對人錯誤、沒有相關(guān)數(shù)據(jù)，也有程序性原因如申請不符合企業(yè)程序、申請內(nèi)容過于寬泛、申請缺乏案件性質(zhì)的必要信息、缺少有效的身份驗證等。〔28〕See SIRIUS EU Digital Evidence Situation Report（3id Annual Report） 2021, 轉(zhuǎn)引自裴煒：《刑事數(shù)字合規(guī)困境：類型化及成因探析》，載《東方法學(xué)》2022年第2期，第164-165頁。這些理由典型地反映出刑事數(shù)據(jù)調(diào)取中附著于網(wǎng)絡(luò)服務(wù)提供者身上的多重義務(wù)以及在多重義務(wù)間的權(quán)衡。而之所以在網(wǎng)絡(luò)服務(wù)提供者身上聚集多重義務(wù)，根本原因在于個人信息承載了多種價值和追求。需要保障的權(quán)益類型如此多，需要履行的義務(wù)種類也隨之產(chǎn)生，并以一種對立性并存的方式體現(xiàn)出來。

（一）數(shù)據(jù)披露與數(shù)據(jù)保護(hù)

刑事數(shù)據(jù)調(diào)取中網(wǎng)絡(luò)服務(wù)提供者背負(fù)的典型對立性義務(wù)就是數(shù)據(jù)披露和數(shù)據(jù)保護(hù)，前者指向“公”，后者指向“私”，前者的典型行為是“向偵查機(jī)關(guān)披露個人信息”，后者的典型行為是“限制共享、保護(hù)隱私”。兩類義務(wù)的沖突性對立既有觀念層面的，又有具體義務(wù)履行層面的。

觀念層面上，數(shù)據(jù)披露與數(shù)據(jù)保護(hù)背后的考量是安全與隱私的對立。人們往往將隱私與安全置于天平的兩端，并認(rèn)為在打擊犯罪面前無隱私。確實，恐怖襲擊、綁架、兒童買賣與兒童色情犯罪、毒品交易等嚴(yán)重犯罪無時無刻不在觸動人們的神經(jīng)，立法者深知：“選民們對刑法理論知之甚少，但大致能夠明白自己樂意看到何種結(jié)果：即犯下選民們所畏懼之罪行的人，他們應(yīng)受到定罪和懲罰。因而人們可以合理地假設(shè)，立法者樂于制造這些結(jié)果，從而繼續(xù)獲得選民的推舉。”〔29〕William J. Stuntz, The Pathological Politics of Criminal Law, 100 Michigan Law Review 505, 529 （2001）.換言之，在刑事訴訟領(lǐng)域，立法者“并不在乎被追訴人的權(quán)利”，立法機(jī)關(guān)無法創(chuàng)造出能夠保護(hù)他人隱私的刑事訴訟規(guī)則，因為大多數(shù)選民是將自己視為潛在的犯罪受害者，而不是犯罪者?！霸S多人愿意接受在政府面前隱私越來越少的事實，因為對那些害怕的人而言，隱私是可有可無的奢侈品”?！?0〕李延舜：《公共視頻監(jiān)控中的公民隱私權(quán)保護(hù)研究》，載《法律科學(xué)》2019年第3期，第57頁。但我們也該清醒地認(rèn)識到，在案件偵破與隱私的利益衡量中，前者并不是壓倒性考量因素。2013年斯諾登事件后，《華政頓郵報》聯(lián)合美國皮尤研究中心進(jìn)行了一份調(diào)查，其中56%的調(diào)查者認(rèn)為為了應(yīng)對恐怖主義允許國家安全局追蹤美國人的通話記錄；〔31〕See Washington Post＆Pew Research, Majority Views NSA Phone Tracking as Acceptable Anti-terror Tactic, Washington Post,June 10, 2013.波士頓馬拉松爆炸案后，《時代周刊》聯(lián)合美國有線電視新聞網(wǎng)又發(fā)起一次民意調(diào)查，61%的美國人表示，與反恐相比，他們更擔(dān)憂政府借用反恐名義制定新的安全政策，49%的受訪者表示不愿意為了反恐而犧牲自由和隱私?！?2〕參見［美］ 特蕾莎·M·佩頓、西奧多·克萊普爾：《大數(shù)據(jù)時代的隱私》，鄭淑紅譯，上?？茖W(xué)技術(shù)出版社2017年版，第125頁。更值得重視的是，隱私是一種基礎(chǔ)性價值，隱私本身意味著一種安全。試想打著“公共安全”的名義犧牲不特定多數(shù)人的隱私，這是不是用“安全”換取“安全”？現(xiàn)代社會是風(fēng)險社會，“不確定性的喪失給人們帶來漂浮感和焦慮感，使得人們越來越期待未來的風(fēng)險能在當(dāng)下獲得解決……隨著人類掌握信息能力的提升，往往導(dǎo)致人們越來越傾向于將風(fēng)險當(dāng)作危險來加以處理……這導(dǎo)致了一種極為強(qiáng)烈的對未來進(jìn)行全面控制的妄念?！薄?3〕魯楠：《科技革命與法律演化的兩個面相》，載《當(dāng)代美國評論》2019年第1期，第75-76頁。

具體義務(wù)履行層面的對立性并存表現(xiàn)更多，這里以“加密”為例。加密是保障在線隱私及安全的重要因素，也是網(wǎng)絡(luò)服務(wù)提供者履行“設(shè)計和默認(rèn)的數(shù)據(jù)保護(hù)”義務(wù)的體現(xiàn)，該義務(wù)不僅體現(xiàn)于一般性的數(shù)據(jù)保護(hù)法，也適用于專門性的刑事司法，（EU） 2016/680第20條即規(guī)定了該義務(wù)。但在是否為國家安全機(jī)關(guān)開放應(yīng)用程序權(quán)限或給加密系統(tǒng)開后門的激烈爭議中，網(wǎng)絡(luò)服務(wù)提供者往往陷入選擇的兩難。2022年9月16日，聯(lián)合國發(fā)布了名為《數(shù)字時代的隱私權(quán)》的報告，報告中指出：“聯(lián)合國大會和人權(quán)理事會在一些決議中強(qiáng)調(diào)了加密技術(shù)在保障人權(quán)方面的重要性，呼吁各國不要干涉加密技術(shù)……但各國政府時常會限制加密的使用”?！?4〕唐雨晰：《聯(lián)合國〈數(shù)字時代的隱私權(quán)〉》，載微信公眾號“網(wǎng)絡(luò)法理論與實務(wù)前沿”，2022年11月1日。通常情況下，網(wǎng)絡(luò)服務(wù)提供者既可以采用托管加密，也可采用端對端加密，兩者的區(qū)別在于是否存在通信雙方以外的包括服務(wù)提供者在內(nèi)的第三方擁有通信密鑰。一般來說，托管加密因擁有更多的知情方，其加密系統(tǒng)被入侵的風(fēng)險更高。但若服務(wù)商統(tǒng)一采用端對端加密，那不可避免會阻礙刑事數(shù)據(jù)的調(diào)取及案件的偵破。除加密技術(shù)外，網(wǎng)絡(luò)服務(wù)提供者還常通過限制用戶數(shù)據(jù)留存期限來提升用戶的隱私和數(shù)據(jù)水平，如釘釘“密聊”、支付寶“悄悄話”等采用“閱后即焚”模式，這也給刑事數(shù)據(jù)調(diào)取帶來“提供不能”的可能。

（二）輔助監(jiān)控與信任維持

協(xié)助執(zhí)法義務(wù)是一項框架性義務(wù)，既指向個案偵破中的數(shù)據(jù)披露，也指向常態(tài)下與預(yù)測警務(wù)相關(guān)聯(lián)的輔助監(jiān)控。網(wǎng)絡(luò)服務(wù)提供者輔助監(jiān)控義務(wù)凸顯了當(dāng)前國家在數(shù)字治理中的兩個傾向：一是“儲存一切”而非“有需要時再去獲取”，二是政府與互聯(lián)網(wǎng)企業(yè)的協(xié)作共治。在“國家管平臺，平臺管用戶”的數(shù)據(jù)治理模式下，〔35〕參見單勇：《數(shù)字看門人與超大平臺的犯罪治理》，載《法律科學(xué)》2022年第2期，第88頁。公權(quán)力機(jī)關(guān)對特定主體的監(jiān)控，離不開網(wǎng)絡(luò)服務(wù)提供者的協(xié)助。尤其是預(yù)測警務(wù)的出現(xiàn)，這一新型數(shù)據(jù)治理方式因缺乏必要的法律規(guī)制，使得以下觀察至為重要：“公共和私人數(shù)據(jù)正在走向混合……數(shù)據(jù)的豐富也使得個人和非個人數(shù)據(jù)之間的區(qū)別變得毫無意義……更重要的是，不同類型（個人）數(shù)據(jù)與授予它們的保護(hù)水平之間的法律差異正在被掏空”?！?6〕Broeders, et al., Big Data and Security Policies: Towards a Framework for Regulating the Phases of Analytics and Use of Big Data, 33 Computer Law & Security Review 309, 321（2017）.Douglas法官嚴(yán)肅地向社會發(fā)出警告：“社會越來越容忍政府利用公民的體己獲得公民的私人信息：我們生活在一個危險的社會中，政府隨時可能侵入公民秘密的私生活領(lǐng)域。”〔37〕Soborn v. United States, 385 U. S. at 343 （Douglas, J., Dissenting）.

而一旦企業(yè)數(shù)據(jù)庫向政府開放，民眾可能對兩者都失去信任。信任在數(shù)字治理和數(shù)字經(jīng)濟(jì)中占據(jù)重要地位。就前者而言，如德國1983年進(jìn)行的人口普查，公眾的抗拒心是如此之強(qiáng)，以至于這項普查四年之后才真正展開。接下來的一次人口普查則生生推遲到了2011年，還充滿了虛假的注冊信息?！?8〕參見［德］阿希姆·瓦姆巴赫、漢斯·克里斯蒂安·穆勒：《不安的變革：數(shù)字時代的市場競爭與大眾福利》，鐘佳睿等譯，社會科學(xué)文獻(xiàn)出版社2020年版，第91頁。就后者而言，信任缺失對數(shù)字經(jīng)濟(jì)帶來致命打擊。原本，用戶基于“相信企業(yè)會保護(hù)且不會濫用”才將個人信息提供給網(wǎng)絡(luò)服務(wù)提供者，這種“數(shù)字信任”蘊(yùn)含著用戶對數(shù)字產(chǎn)品與網(wǎng)絡(luò)服務(wù)提供者利用個人數(shù)據(jù)是使其受益而非致?lián)p的基本信念?！?9〕See Dennis D. Hirsch, Privacy, Public Goods, and the Tragedy of the Trust Commons: A Response to Professors Fairfield and Engel, 65 Duke Law Online 83 （2016）.這種信任也是部分學(xué)者在數(shù)據(jù)隱私保護(hù)領(lǐng)域引入“信義義務(wù)”的根基之一?！?0〕參見吳偉光：《平臺組織內(nèi)網(wǎng)絡(luò)企業(yè)對個人信息保護(hù)的信義義務(wù)》，載《中國法學(xué)》2021年第6期，第45-60頁；解正山：《數(shù)據(jù)驅(qū)動時代的數(shù)據(jù)隱私保護(hù)——從個人控制到數(shù)據(jù)控制者信義義務(wù)》，載《法商研究》2020年第2期，第71-84頁。信義義務(wù)是作為強(qiáng)勢一方的網(wǎng)絡(luò)服務(wù)提供者對那些因為接受信任邀請而處于不利地位的用戶產(chǎn)生的關(guān)照、保密和忠誠義務(wù)，越是平臺型網(wǎng)絡(luò)服務(wù)提供者，對用戶的控制度越高，對信義義務(wù)的要求度越高。〔41〕See Jack M. Balkin, The Fiduciary Model of Privacy, 134 Harvard Law Review Forum 11, 33 （2020）.而信任維持義務(wù)之證成除“信義義務(wù)”理據(jù)外，還可從《個人信息保護(hù)法》中的“誠信原則”及數(shù)據(jù)治理的“法律與倫理”并舉（如《數(shù)據(jù)安全法》第8條）推出。就此而言，信任維持義務(wù)的具體指向是在“法律”和“協(xié)議”的范圍內(nèi)收集、使用用戶數(shù)據(jù)，不能超出用戶提供個人數(shù)據(jù)時的合理預(yù)期。商業(yè)實踐中，保護(hù)消費(fèi)者隱私、贏得客戶信任成為眾多互聯(lián)網(wǎng)企業(yè)塑造品牌形象的良機(jī)。2006年，美國司法部以傳票形式要求谷歌披露用戶近兩個月的搜索記錄，遭到谷歌拒絕。谷歌富有創(chuàng)造力地提出，“失去用戶信息的潛在風(fēng)險”對谷歌而言是一種“負(fù)擔(dān)”?！?2〕See Gonzales v. Google, Inc. 234 F. R. D. 674, 683 （N. D. Cal. 2006）.蘋果公司也曾因拒絕政府請求披露用戶信息而廣受贊譽(yù)。2015年12月，美國加州圣貝納迪諾發(fā)生嚴(yán)重恐怖襲擊，F(xiàn)BI查獲了犯罪嫌疑人賽義德·法魯克的蘋果手機(jī)，蘋果總裁蒂姆·庫克不僅拒絕給手機(jī)解鎖，還發(fā)布公開信稱FBI的要求“破壞了我們的政府旨在保護(hù)的那種權(quán)利和自由”。〔43〕Tim Cook, A Message to Our Customers, APPLE （Feb. 16, 2016）, 轉(zhuǎn)引自鄭戈：《算法的法律與法律的算法》，載《中國法律評論》2018年第2期，第84頁。

（三）權(quán)力遵從與權(quán)利制衡

現(xiàn)實生活中，鮮有網(wǎng)絡(luò)服務(wù)提供者能抗拒基于刑事偵查需求而進(jìn)行的協(xié)助執(zhí)法義務(wù)，直觀原因就在于刑事偵查行為的“權(quán)力屬性”。2013年，雅虎首席執(zhí)行官瑪麗莎·梅耶爾在解釋為什么雅虎沒有保護(hù)其用戶隱私時稱，“如果你不遵守，這是叛國罪。”〔44〕Alex Dickinson, Yahoo CEO Feared Jail Over NSA Scandal, New York Post, September 12, 2013.可見，“權(quán)力屬性”比“義務(wù)設(shè)定”更容易讓網(wǎng)絡(luò)服務(wù)提供者配合，“權(quán)力”因素也比“權(quán)利”事宜更受到網(wǎng)絡(luò)服務(wù)提供者的重視，因為違抗權(quán)力的后果是顯而易見的。但必須指出，這種基于“利害得失”的行為傾向雖合乎“常情”卻不符合“法理”。面對刑事數(shù)據(jù)調(diào)取行為的擴(kuò)張趨勢，網(wǎng)絡(luò)服務(wù)提供者是不加考慮地配合，還是審慎地決定每一次披露，這個選擇不僅關(guān)系到刑事司法中的隱私及數(shù)據(jù)保護(hù)，也關(guān)系著如何“將權(quán)力關(guān)進(jìn)制度的籠子里”。換言之，網(wǎng)絡(luò)服務(wù)提供者在刑事數(shù)據(jù)調(diào)取中既應(yīng)遵從權(quán)力，又應(yīng)保障權(quán)利，并力圖用權(quán)利制衡權(quán)力。

這里的權(quán)利既包括網(wǎng)絡(luò)服務(wù)提供者自身的經(jīng)營權(quán)利，也包括刑事偵查中的公民實體性權(quán)利（以隱私權(quán)和數(shù)據(jù)權(quán)利為典型）和程序性權(quán)利（以知情權(quán)為典型）。在數(shù)據(jù)法領(lǐng)域，相關(guān)法律規(guī)定了數(shù)據(jù)主體的各項權(quán)利，但“權(quán)利訴求的擴(kuò)張并未同步強(qiáng)化權(quán)利主體實現(xiàn)該訴求的能力，相反，信息革命使得這種能力無論在識別侵害風(fēng)險方面，還是在有效救濟(jì)方面，均不斷弱化?！薄?5〕裴煒：《個人信息大數(shù)據(jù)與刑事正當(dāng)程序的沖突及其調(diào)和》，載《法學(xué)研究》2018年第2期，第47頁。當(dāng)然，這是世界范圍內(nèi)個人信息保護(hù)的難題，著名學(xué)者施瓦茨早有清醒認(rèn)識：“數(shù)據(jù)挖掘與數(shù)據(jù)比對等大數(shù)據(jù)技術(shù)是對已經(jīng)留存于社會各領(lǐng)域的海量數(shù)據(jù)進(jìn)行后續(xù)深度應(yīng)用的過程，只規(guī)范收集不規(guī)范使用的第四修正案及搜查法規(guī)范，導(dǎo)致在美國數(shù)據(jù)挖掘式的偵查行為基本上不受規(guī)范?！薄?6〕Paul M. Schwartz, Regulating Governmental Data Mining in the United States and Germany: Constitutional Courts, the State,and New Technology, 53 William and Mary Law Review 354 （2011）.相比個人，網(wǎng)絡(luò)服務(wù)提供者的技術(shù)優(yōu)勢和社會資源更強(qiáng)，更容易在數(shù)據(jù)偵查中保障權(quán)利和制衡權(quán)力，比如它們可以通過技術(shù)設(shè)計、完善協(xié)助執(zhí)法機(jī)制、程序性義務(wù)履行或輿論政策等來實現(xiàn)這一目標(biāo)。

除對網(wǎng)絡(luò)服務(wù)提供者抱有期待之外，也應(yīng)正視網(wǎng)絡(luò)服務(wù)提供者自身的權(quán)力及義務(wù)之違犯。平臺型的企業(yè)權(quán)力在當(dāng)代社會中有新的形式和特點(diǎn)，“它們不靠權(quán)利，而靠技術(shù)；不靠法律，而靠正?；?；不靠懲罰，而靠控制?！薄?7〕［法］米歇爾·褔柯：《褔柯集》，杜小真選編，上海遠(yuǎn)東出版社2004年版，第343頁。再者，掌控信息者擁有權(quán)力，因為信息是個人認(rèn)知、判斷和行為的前提，一方主體可以通過占有信息并控制另一方主體獲取信息的渠道和程度，構(gòu)成信息性權(quán)力的來源?！?8〕See B. H. Raven, Power and Social Influence, in Ivan Dale Steiner＆Martin Fishbein （eds.）, Current Studies in Social Psychology, NY: Holt, Rinehart and Winston, 1965, p.127-145.因此，在刑事數(shù)據(jù)調(diào)取中，網(wǎng)絡(luò)服務(wù)提供者既不應(yīng)盲目披露，又不應(yīng)強(qiáng)強(qiáng)聯(lián)合，而應(yīng)清醒認(rèn)知自己的多重義務(wù)，并在個案中審慎地作出決定?？傊跈?quán)力與權(quán)利的碰撞中，突出的一個表現(xiàn)就是“不平等”，這正是導(dǎo)致網(wǎng)絡(luò)服務(wù)提供者三種義務(wù)中，協(xié)助執(zhí)法義務(wù)是最容易被接受和執(zhí)行，而一旦出現(xiàn)網(wǎng)絡(luò)服務(wù)提供者拒絕向偵查機(jī)關(guān)披露用戶數(shù)據(jù)事件都會引起廣泛關(guān)注的原因。

四、網(wǎng)絡(luò)服務(wù)提供者多重義務(wù)間的優(yōu)先性及有限性

我國當(dāng)前立法并未關(guān)注網(wǎng)絡(luò)服務(wù)提供者在協(xié)助執(zhí)法事宜中的義務(wù)協(xié)調(diào)問題，原因在于我國“一體調(diào)整”的立法模式，“立法者注意到了對國家機(jī)關(guān)處理個人信息的活動進(jìn)行法律控制的必要性，但對國家機(jī)關(guān)處理個人信息的行為如何進(jìn)行法律控制，仍是一個未完成的命題。”〔49〕王錫鋅：《行政機(jī)關(guān)處理個人信息活動的合法性分析框架》，載《比較法研究》2022年第3期，第94頁。個人信息的行政處理如此，個人信息的司法處理同樣如此，這也是歐盟在制定GDPR不久隨即出臺（EU）2016/680指令的原因。相關(guān)規(guī)則的缺位必然使得網(wǎng)絡(luò)服務(wù)提供者面臨多重義務(wù)沖突，繼而需要考慮多重義務(wù)間的優(yōu)先性和有限性問題。

（一）多重義務(wù)履行的優(yōu)先性探討

對這個問題的探討從2008年歐洲人權(quán)法院審理的K. U. v. Finland案〔50〕See K. U. v. Finland, no. 2872/02, ECHR 2 December 2008.說起。該案中，嫌疑人在網(wǎng)站上虛構(gòu)了一名未成年女孩（年僅12歲）的性交易廣告。偵查人員要求服務(wù)商提供嫌疑人的注冊信息，服務(wù)商以芬蘭相關(guān)立法中存在“保密條款”為由拒絕提供。受害人在窮盡本國救濟(jì)無果后，訴至歐洲人權(quán)法院。法院認(rèn)為，本案中服務(wù)商基于隱私權(quán)保護(hù)所產(chǎn)生的保密義務(wù)不足以阻卻偵查機(jī)關(guān)獲取相關(guān)信息的訴求。顯然，本案中隱私保護(hù)義務(wù)與協(xié)助執(zhí)法義務(wù)之間，后者勝出。該案件的最終處理結(jié)果是芬蘭修改了相關(guān)法律，2021年歐盟制定條例授權(quán)特定網(wǎng)絡(luò)信息業(yè)者為打擊網(wǎng)絡(luò)兒童色情之目的，主動監(jiān)測、評估和報告可疑信息或行為，同時規(guī)定企業(yè)關(guān)于此類用戶個人信息處理的活動不適用GDPR相關(guān)規(guī)定。〔51〕See Regulation（EU） 2021/1232 of the European Parliament and of Tthe Council, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021R1232, last visited on October 15, 2022.

在我國，《民法典》和相關(guān)數(shù)據(jù)保護(hù)類法律都有“基于國家安全、重大社會公共利益等”個人信息保護(hù)義務(wù)的例外條款，這些例外條款所要保護(hù)的價值構(gòu)成了信息保護(hù)義務(wù)的限制因素。換句話說，“例外”成為義務(wù)沖突時的首要選擇——網(wǎng)絡(luò)服務(wù)提供者的協(xié)助執(zhí)法義務(wù)與數(shù)據(jù)保護(hù)義務(wù)并非平行關(guān)系，而是存在優(yōu)先性。這很容易理解，GDPR第6條規(guī)定了六種合法性基礎(chǔ)，GDPR第9條第1款規(guī)定了禁止處理特殊類型個人數(shù)據(jù)，第2款就規(guī)定了例外情形。形式上看例舉了數(shù)據(jù)處理的正當(dāng)理由，實質(zhì)上卻是法律要保護(hù)的多種法益以及優(yōu)先順序——所要保護(hù)的法益越重要，該行為背后的義務(wù)越是具有優(yōu)先性。由此，義務(wù)履行之優(yōu)先順序轉(zhuǎn)換成了利益衡量問題。

法律規(guī)定的“例外條款”之本質(zhì)就是為了保護(hù)國家利益或社會公共利益而暫時對企業(yè)或個人利益進(jìn)行限制，也因此，對網(wǎng)絡(luò)服務(wù)提供者而言，如果協(xié)助執(zhí)法義務(wù)有助于實現(xiàn)國家安全或社會安全，那該義務(wù)自然優(yōu)先于隱私及數(shù)據(jù)保護(hù)義務(wù)。這也符合大多數(shù)人的日常判斷——安全勝于隱私，因為只要觸及刑事犯罪，就與“安全”脫不開干系。事實上，人們很少將“安全”與“隱私”放在同一個天平的兩端，總是下意識地“用隱私換取安全”。但是，這是一種“一刀切”式的權(quán)衡。一方面，“不安全的代價是真實且觸目驚心的，失去隱私的代價則是抽象而模糊的。并且只有在某人面對泄密后果時，這個代價才會變得具體明確。這就是為什么當(dāng)我們擁有隱私的時候，會低估它的價值，而當(dāng)我們失去時，才認(rèn)識到它的真正價值。”〔52〕［美］布魯斯·施奈爾：《數(shù)據(jù)與監(jiān)控——信息安全的隱形之戰(zhàn)》，李先奇、黎秋玲譯，金城出版社2018年版，第235頁。另一方面，在刑事偵查中探討公共利益，不能僅指向案件受害者利益，也不單指向案件的順利偵破和打擊犯罪，更非迅速抓到壞人后、消除恐懼的公眾安全感，而是要糅合各種利益于一身，并在此過程中提煉公共利益。從這方面講，公共利益的認(rèn)定需要“可能被犧牲或限制的一方利益主體”的積極參與和對話，否則，其“公共性”會受到質(zhì)疑。

所以，一切并非想象的那么簡單。首先，國家利益、公共利益和個人利益都是“不確定性概念”，存在大量的模糊地帶，需要在個案中發(fā)現(xiàn)、論證和闡釋。再加上時機(jī)處于刑事偵查階段，任何一種義務(wù)的履行對國家、社會、經(jīng)營者或個人都可能產(chǎn)生重大影響。第29條工作組（歐洲數(shù)據(jù)保護(hù)委員會前身）曾出具一份“為預(yù)防、調(diào)查、偵查或起訴刑事犯罪或執(zhí)行刑事處罰目的”而進(jìn)行數(shù)據(jù)處理的意見，認(rèn)為“對本憲章承認(rèn)的權(quán)利和自由的任何限制都必須由法律明文規(guī)定，并尊重其本質(zhì)。在遵守相稱性原則的前提下，可以并僅在必要且真正符合普遍利益的目標(biāo)時進(jìn)行限制……對私人生活的干擾、對個人數(shù)據(jù)的干預(yù)應(yīng)僅限于必要且與可預(yù)見的普遍利益目標(biāo)相稱，即預(yù)防、調(diào)查、偵查或起訴刑事犯罪或執(zhí)行犯罪處罰……這些例外或限制條款應(yīng)作狹義解釋，尤其是事關(guān)公民的基本權(quán)利。處理個人數(shù)據(jù)應(yīng)有充分的保障，并保證完全的問責(zé)制和透明。”〔53〕第29條工作組：《關(guān)于主管當(dāng)局為預(yù)防、調(diào)查、偵查或起訴刑事犯罪或執(zhí)行刑事處罰以及以自由流動的目的處理個人數(shù)據(jù)的第03/2015意見》，載歐盟委員會官網(wǎng)，https://ec.europa.eu/newsroom/article29/items/itemType/1308，2022年12月8日訪問。可見，盡管歐盟也認(rèn)可數(shù)據(jù)控制者或處理者有協(xié)助執(zhí)法的義務(wù)，但該義務(wù)之履行并非沒有條件，當(dāng)該義務(wù)之履行不符合“相稱性”、對“公共利益”做任意擴(kuò)大性解釋或者“問責(zé)制缺失”時，數(shù)據(jù)控制者有正當(dāng)理由拒絕履行義務(wù)。（EU）2016/680指令更是在29條工作組意見的基礎(chǔ)上，將刑事司法領(lǐng)域的個人信息處理規(guī)則進(jìn)行了細(xì)化，尤其是第三章“數(shù)據(jù)主體權(quán)利”、第四章“控制者和處理者義務(wù)”和第六章“獨(dú)立監(jiān)管機(jī)構(gòu)”，權(quán)力與權(quán)利明確，義務(wù)與責(zé)任清晰，當(dāng)執(zhí)法機(jī)關(guān)做出違背該指令的數(shù)據(jù)處理行為時，網(wǎng)絡(luò)服務(wù)提供者有充足的理由拒絕披露，或者轉(zhuǎn)向獨(dú)立的監(jiān)管機(jī)構(gòu)尋求有效救濟(jì)。其次，從行動來看，網(wǎng)絡(luò)服務(wù)提供者多種義務(wù)間的優(yōu)先性考量應(yīng)納入“數(shù)據(jù)保護(hù)影響評估”中來，并在評估中作出判斷。無論GDPR（第35條）還是我國《個人信息保護(hù)法》（第55條）都規(guī)定了數(shù)據(jù)處理者該義務(wù)，（EU）2016/680指令第27條亦規(guī)定了該義務(wù)——如果某種類型的處理，特別是使用新技術(shù)，并考慮到處理的性質(zhì)、范圍、背景和目的，可能會對自然人的權(quán)利和自由造成高風(fēng)險，數(shù)據(jù)控制者和處理者應(yīng)進(jìn)行數(shù)據(jù)保護(hù)影響評估，同時應(yīng)考慮為應(yīng)對這些風(fēng)險而設(shè)想的保障措施、安全措施以及其他確保保護(hù)個人數(shù)據(jù)和證明遵守本指令的機(jī)制。基于權(quán)力擴(kuò)張的天性，寄希望于偵查機(jī)關(guān)自縛手腳、保守謙抑是不可能的，唯有網(wǎng)絡(luò)服務(wù)提供者（尤其是守門人企業(yè)）積極參與到刑事數(shù)據(jù)調(diào)取中來，設(shè)置協(xié)助機(jī)制的審查門檻，對數(shù)據(jù)調(diào)取的法律依據(jù)、案件性質(zhì)、當(dāng)事人適格、法律程序、數(shù)據(jù)類型、數(shù)據(jù)影響、權(quán)利告知等作出判斷，更好地履行其法律義務(wù)。

（二）多重義務(wù)履行的有限性界定

對網(wǎng)絡(luò)服務(wù)提供者而言，義務(wù)的履行有先后，義務(wù)的履行也有限度。以加密為例，2020年初，蘋果公司第三次拒絕在其加密服務(wù)中為刑事執(zhí)法機(jī)關(guān)開設(shè)后門，一方面是這種后門設(shè)置需要調(diào)整iOS系統(tǒng)進(jìn)而影響所有用戶，另一方面是后門一旦存在，將不可避免地為犯罪分子所利用。〔54〕See Daniel Howley, Apple’s Tim Cook Defends Decision to Fight DOJ on iPhone “Backdoor”, Yahoo Finance, February 27,2020.聯(lián)合國《數(shù)字時代的隱私權(quán)》報告也就此發(fā)表意見：第一，對加密的管制有可能損害人權(quán)，試圖限制加密的政府通常無法證明它們所施加的限制對于滿足特定的合法利益是必要的，因為有各種其他手段和方法為執(zhí)法或其他合法目的提供所需信息；第二，大多數(shù)加密限制對隱私權(quán)和相關(guān)權(quán)利的影響不符合比例原則，因為此舉不僅影響目標(biāo)個人，還會影響到廣大民眾；第三，加密工具中的強(qiáng)制“后門”所產(chǎn)生的責(zé)任遠(yuǎn)遠(yuǎn)大于其被認(rèn)定為犯罪嫌疑人或安全威脅的特定用戶的用處?！?5〕參見唐雨晰：《聯(lián)合國〈數(shù)字時代的隱私權(quán)〉》，載微信公眾號“網(wǎng)絡(luò)法理論與實務(wù)前沿”，2022年11月1日?？梢姡M管各方對加密及管制的立場和看法有所不同，但有一點(diǎn)是確定的，即網(wǎng)絡(luò)服務(wù)提供者應(yīng)在多重義務(wù)間進(jìn)行平衡，義務(wù)的履行要適度，不可輕易犧牲任何一方正當(dāng)權(quán)益。

第一，刑事司法中的數(shù)據(jù)保護(hù)義務(wù)有限。盡管一再強(qiáng)調(diào)刑事數(shù)據(jù)調(diào)取中的數(shù)據(jù)主體權(quán)利，但不容置疑的是，這種強(qiáng)調(diào)更多的是一種防御性權(quán)利，體現(xiàn)在偵查機(jī)關(guān)和網(wǎng)絡(luò)服務(wù)提供者身上就是一種消極保護(hù)義務(wù)。亦即，刑事偵查領(lǐng)域中的數(shù)據(jù)主體權(quán)利克減是案件偵破、打擊犯罪的必然現(xiàn)象，“保護(hù)受刑事調(diào)查或參與刑事調(diào)查的人的基本權(quán)利并沒有錯，但暗示（通過引入數(shù)據(jù)主體權(quán)利）他們可以控制并同意或反對處理其數(shù)據(jù)的建議是不合適的”。〔56〕Mark Leiser＆Bart Custers, The Law Enforcement Directive: Conceptual Challenges of EU Directive 2016/680, 5 European Data Protection Law Review 367,378 （2019）.此外，在“隱私與安全”的背景下討論刑事數(shù)據(jù)調(diào)取，采用更嚴(yán)格的規(guī)則和更有效的方式處理用于執(zhí)法目的的個人數(shù)據(jù)，才有可能實現(xiàn)更高的隱私和數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)?！?7〕See Sajfert Juraj＆Quintel Teresa, Data Protection Directive （EU） 2016/680 for Police and Criminal Justice Authorities（December 1, 2017）, Available at SSRN, https://ssrn.com/abstract=3285873, last visited on October 10, 2022.

第二，網(wǎng)絡(luò)服務(wù)提供者的協(xié)助執(zhí)法和數(shù)據(jù)披露義務(wù)也有邊界。Holmes談到，刑事司法義務(wù)并非毫無邊界，也并非以泛化的“打擊犯罪”目的即可取得合法性，而是需要針對具體的刑事司法舉措進(jìn)行合比例的規(guī)制，并體現(xiàn)為刑訴法的明確規(guī)定。〔58〕See Allison M. Holmes, Citizen Led Policing in the Digital Realm: Paedophile Hunters and Article 8 in the Case of Sutherland v Her Majesty’s Advocate, 85 The Modern Law Review 219, 231 （2022）.這種限度可以從以下幾個方面展開：首先，目的限制和法律依據(jù)方面，偵查機(jī)關(guān)在調(diào)取數(shù)據(jù)時，必須在《調(diào)取證據(jù)通知書》上載明案件大致情形、所調(diào)取數(shù)據(jù)與案件偵破之間的關(guān)系以及數(shù)據(jù)調(diào)取行為的法律依據(jù)，而網(wǎng)絡(luò)服務(wù)提供者需對上述要素進(jìn)行形式上的審查，網(wǎng)絡(luò)服務(wù)提供者不能接受模糊的表述，如“打擊犯罪”“保護(hù)公共利益”“打擊恐怖主義”等，要有明確的指向。其次，所調(diào)取數(shù)據(jù)的類型、主體、事項需在《調(diào)取證據(jù)通知書》上闡明，這既是刑事數(shù)據(jù)調(diào)取合比例原則的要求，也是網(wǎng)絡(luò)服務(wù)提供者履行協(xié)助執(zhí)法義務(wù)的適當(dāng)標(biāo)準(zhǔn)。數(shù)據(jù)類型方面，《數(shù)據(jù)安全法》第21條規(guī)定的數(shù)據(jù)分級、分類保護(hù)應(yīng)有所體現(xiàn)；調(diào)取數(shù)據(jù)主體方面，嫌疑人、罪犯、被害人、證人等應(yīng)有不同程度的數(shù)據(jù)披露范圍；調(diào)取數(shù)據(jù)反映的事項方面，應(yīng)與案件事實有高度關(guān)聯(lián)性。最后，勇于拒絕偵查機(jī)關(guān)不合乎程序規(guī)范的數(shù)據(jù)調(diào)取請求?！稊?shù)據(jù)安全法》第35條規(guī)定公安機(jī)關(guān)、國家安全機(jī)關(guān)調(diào)取數(shù)據(jù)需經(jīng)“嚴(yán)格的批準(zhǔn)手續(xù)”。2022年8月30日，最高法、最高檢、公安部聯(lián)合發(fā)布《關(guān)于辦理信息網(wǎng)絡(luò)犯罪案件適用刑事訴訟程序若干問題的意見》，第14條也規(guī)定了個人信息刑事調(diào)取行為的程序性規(guī)范，偵查機(jī)關(guān)應(yīng)依規(guī)范而行。

第三，參與塑造網(wǎng)絡(luò)空間數(shù)字生態(tài)義務(wù)應(yīng)有底線與堅守。還是以韓國“N號房”事件為例，英國前首相特蕾莎·梅曾公開批評Telegram等小型平臺可能會迅速被罪犯和恐怖分子占據(jù)。面對質(zhì)疑，Telegram團(tuán)隊稱：“近年來，像Facebook和谷歌這樣的大型互聯(lián)網(wǎng)公司已經(jīng)成功劫持了隱私的話語權(quán)。他們的營銷人員讓公眾相信，保護(hù)隱私最重要的是讓帖子對特定對象不可見這類表面工具，從而讓公眾不去深究私人數(shù)據(jù)被交給營銷人員和其他第三方的潛在問題?！?Telegram強(qiáng)調(diào)，它的隱私理念中最重要的兩點(diǎn)分別是保護(hù)私人談話不被第三方（政府、雇主）窺探，以及保護(hù)個人數(shù)據(jù)不受第三方（如營銷人員、廣告商等）侵害?！?9〕參見蔣琳：《風(fēng)暴眼中的Telegram：社交軟件該為打擊犯罪犧牲隱私嗎？》，載微信公眾號“隱私護(hù)衛(wèi)隊”，2020年4月11日。Telegram團(tuán)隊對隱私的重視、對隱私規(guī)則的理解非常深刻，但也要認(rèn)識到，隱私權(quán)從來就不是一項絕對性權(quán)利。刑事司法中，網(wǎng)絡(luò)服務(wù)提供者片面地強(qiáng)調(diào)一種義務(wù)而完全忽視另一種義務(wù)都不可取?！稊?shù)據(jù)安全法》第28條規(guī)定，開展數(shù)據(jù)處理活動以及研究開發(fā)數(shù)據(jù)新技術(shù)，應(yīng)當(dāng)有利于促進(jìn)經(jīng)濟(jì)社會發(fā)展，增進(jìn)人民福祉，符合社會公德和倫理。該條既是網(wǎng)絡(luò)服務(wù)提供者數(shù)據(jù)保護(hù)義務(wù)的體現(xiàn)，也是其參與塑造網(wǎng)絡(luò)空間數(shù)字生態(tài)的底線。這些數(shù)字生態(tài)主要涉及數(shù)據(jù)生命周期設(shè)計、加密系統(tǒng)是否應(yīng)當(dāng)為公權(quán)力機(jī)關(guān)開后門、數(shù)據(jù)控制主體對數(shù)據(jù)主體個人數(shù)據(jù)處理的限度、公私合作與公私獨(dú)立的尺度、定期發(fā)布透明度報告等問題。

綜上，網(wǎng)絡(luò)服務(wù)提供者多重義務(wù)履行的優(yōu)先性和有限性探討都旨在規(guī)范刑事數(shù)據(jù)調(diào)取行為，核心目標(biāo)是保障用戶的正當(dāng)權(quán)益及規(guī)制大數(shù)據(jù)偵查權(quán)，若“政府對于來自第三方的私人信息的處置被劃到保護(hù)范圍之外，其結(jié)果是，當(dāng)政府搜查或起獲由第三方持有的私人信息時，政府的行為既不需要具備合理性，也不需要任何司法授權(quán)?！薄?0〕Fred H. Cate, Government Data Mining: The Need For a Legal Framework, 43 Harvard Civil Rights-Civil Liberties Law Review 485（2008）.刑事數(shù)據(jù)調(diào)取中，網(wǎng)絡(luò)服務(wù)提供者僅是個人信息的控制主體，不能替代用戶（權(quán)利主體）決定是否放棄個人信息上所承載的基本權(quán)利。相關(guān)法律和實踐將調(diào)取數(shù)據(jù)視為一種任意性偵查措施，無疑會對數(shù)據(jù)主體的隱私及數(shù)據(jù)權(quán)利等帶來巨大危害。對網(wǎng)絡(luò)服務(wù)提供者而言，協(xié)助執(zhí)法僅是其履行法律義務(wù)的一個方面，作為網(wǎng)絡(luò)空間規(guī)則的重要結(jié)構(gòu)者和海量個人信息的持有者，不能對與其身份相關(guān)聯(lián)的其他義務(wù)視而不見。