皮 勇:新刑事诉讼法实施后我国网络犯罪相关刑事程序立法的新发展(二)
( 二) 电子数据证据的认证
电子数据证据的认证涉及的合法性和证明力两个问题, 目前我国刑事诉讼法没有规定电子数据的认证规定, 我国刑事诉讼法关于证据认定的一般规定是认定电子数据类证据的法律依据。近年来, 需要解决电子数据证据认定的刑事案件大量出现, 我国最高司法机关也开始在新颁布的司法解释中规定电子数据证据的认证规则, 如 “高法 ” 《关于办理死刑案件审查判断证据若干问题的规定》 第29 条和“高检” 《关于侦查机关侦查工作贯彻刑诉法若干问题的意见》 第5 条,二者规定了有关电子数据证据合法性的认定原则和操作程序, 要求审判人员从电子数据的来源、 获取的时间和过程、 是否存在存疑点、 不同证据之间是否具有一致性,以及收集证据的条件、 技术、 动机、 目的等方面审查电子数据证据的真实性, 以上规定是电子数据证据认定的重要法律依据。
目前在我国刑事诉讼法中, 没有判断电子数据证据证明力的规定, 由法官根据案件事实自由裁量电子数据的证明力, 不过, 其他部门法领域的电子数据证明力规则对刑事案件的法官也有一定影响。此外, 间接认定电子数据证明力的方法也值得采用, 因为电子数据证据不可能离开电子设备独立存在, 在相关电子设备存储、 传输、 处理的过程符合有关国际标准、 国家标准、 行业标准、 无证据证明电子设备中电子数据被修改或损坏的情况下, 应认为这些设备中的电子数据证据的证明力较高。我国制定和实施了不同行业不同层次的信息安全标准, 例如 《信息技术设备的安全标准(IEC 950)》(GB4943 -1995)、 《计算机信息系统安全保护等级划分准则 》 、《指挥自动化计算机网络安全要求》 、 《军用数据安全要求》 等,相关的电子设备是否符合以上安全标准, 可作为间接判断电子数据证据的证明力强弱的依据。
综上, 我国原刑事诉讼法中没有关于网络犯罪的侦查与电子数据证据认定的特别规定, 在司法实践中原刑事法关于证据的一般规定、 电子数据证据相关司法解释、 法规、 部门规章成为收集和认定电子数据证据的依据。我国新刑事诉讼法明确规定了电子数据证据以及相关的技术侦查措施, 已经有并将有更多的电子数据证据取证、 认证相关的司法解释, 我国打击网络犯罪的刑事程序立法正在逐渐走向完善。
二、 国内外打击网络犯罪刑事程序立法比较
由于网络犯罪具有跨国性, 任何国家难以独力遏制, 各国打击网络犯罪刑事立法的差异, 也使得网络犯罪获得了逃脱打击的法律空间, 唯有各国网络犯罪刑事立法实现一致化, 并且构筑广泛的国际刑事司法协助体系, 遏制跨国网络犯罪才有扎实的法律基础。我国网络犯罪相关刑事实体立法经过13 年的发展, 已经超过了国际上广泛认同的网络犯罪实体法立法标准, 并在多数方面已经达到了要求更高的欧洲理事会《关于网络犯罪的公约》(以下简称 《公约》)的立法水平。相比之下, 我国相关刑事程序立法发展缓慢, 有必要研究到我国相关立法在国际上的发展状况, 逐步完善我国相关立法并实现与国际立法接轨。
目前国际上最重要的、 直接规定网络犯罪刑事程序的国际公约是欧洲理事会《关于网络犯罪的公约》 ,该公约规定了调查电子数据证据的特别程序, 包括一般规定、 快速保护静态的计算机数据、 提供令、 搜查和扣押静态计算机数据和实时收集计算机数据五个部分, 共8 个条款。此外,2006 年3 月15 日欧洲议会和欧盟理事会通过了 “关于与可公共获取的电子通信服务或者公共通信网络的连接中产生或者处理的数据的保留并修改Directive 2002/58 欧盟指令” 的2006/24 欧盟指令, 规定了有关欧盟范围内公共电子通信服务中数据的保留措施。前文分析到, 我国刑事诉讼法对网络犯罪的特殊规定较少, 但司法实务中实际适用的相关规范已基本形成体系,从规范的实际功能角度,可以与 《公约》 以及欧洲社会相关立法进行比较(后者的规定很大程度影响了 《公约》 的制定和修改), 来了解我国网络犯罪刑事司法实际状况在国际上所处的层级。
( 一) 快速保护电子数据
前文分析的我国网络服务提供者保留和提供计算机数据的规定, 与《公约》 第16 条(“快速保护静态计算机数据”)、 第17 条(“快速保护和部分披露往来数据” 以及前述2006/24 欧盟指令规定的保留特定的通信数据的规定相似, 都可以用于保存可能作为犯罪证据的电子数据;都要求网络服务提供者自行保存其计算机、 网络系统中的信息, 而后按照一定程序提交给有权机关;都要求网络服务提供者保存通信相关的往来数据, 我国的规定与 《公约》 的规定还要求保留内容信息;都要求保存信息相当长时间。它们之间的差别是:
(1)对象不同。我国的规定仅针对各类网络服务提供单位, 不包括个人 。《公约》 的规定涵盖了单位和个人, 针对个人计算机系统和网络设备中的电子数据证据也可适用《公约》 第16 条、 第17 条所要求的侦查措施。前述欧盟指令规定的保留数据措施的适用范围也为单位和个人。
(2)内容不同。我国的规定是一种互联网管理规定, 要求网络服务过程中产生的所有往来数据和内容数据都必须被记录、 保存, 大量数据可能与侦查机关调查的刑事案件无关, 为了适应网络服务发展, 网络服务据, 或者指令他人对其控制下的特定计算机数据予以保护, 后者与我国的规定相似, 但是 , 《公约》 规定的措施仅适用于计算机系统中已经存在的、 与特定案件相关的数据, 不要求单位或者个人专门记录、 保留计算机中的数据, 更没有要求它们为此进行技术升级。不过 , 《公约》 要求保护的数据范围更宽, 不限于往来数据和内容数据, 与网络犯罪案件相关的各类电子数据, 如非法侵入计算机系统后留下的电子“痕迹” 等, 都是受保护的对象。前述欧盟指令要求进行电子数据的保留, 这一点上与我国的规定相同, 但范围限于“限于成员国管辖范围内的公共电子通信服务或公共通信网络的提供者在其提供通信服务过程中所产生或者处理的数据” , “披露通信内容的数据不可以被保留”。相比之下, 我国的规定要求保留的电子数据范围狭窄, 保护方式单一, 而网络服务提供者的负担更重, 网络信息服务提供商不仅要保留海量的内容信息, 还要承担内容审查的义务, 增加了其经营成本, 甚至使其因不堪重负而停止部分网络信息服务业务, 同时, 也严重威胁着广大网络用户的生活隐私和通信自由, 存在国家监控互联网活动的隐忧。
(3)数据保留的时间不同。我国的规定要求保存电子数据的时间一般为60 天 。《公约》 规定, 每次司法命令要求的数据保护周期最多为90 天, 但是, 如果有必要, 有权机关可以多次命令, 数据保护时间重新计算。前述欧盟指令要求保留的时间为6 个月到2 年。相比之下, 我国的规定不灵活, 不能适应案件调查的需要, 如果侦查机关发现电子数据证据时已临近保护期满, 法律上不能要求有关单位继续保护数据, 可能因此丢失重要的犯罪证据。
(4)完善程度不同。保密是影响保护电子数据成败的关键, 如果在数据保护阶段惊动了犯罪嫌疑人, 可能导致数据被破坏进而影响后续的侦查 。《公约》 的规定要求参与数据保护的人保守秘密,而我国的规定则没有涉及相关人的保密义务。
(5)保护人权的力度不同。涉及个人数据的电子数据关系个人隐私, 对这些数据采取保护或保存措施,必然影响个人隐私权, 因此, 必须平衡打击犯罪和保护人权两方面的利益, 给电子数据的保护或保存措施以必要的限制。我国的规定只规定了网络服务提供商的数据保留义务, 没有保护个人数据秘密权、 公民隐私权、 通信自由和通信秘密等权利的配套规定,使得以上措施一边倒地偏向了维护社会安全, 这种失衡的状况给公民合法权利造成威胁。另外, 不限制网络服务提供者对个人数据的记录、保存,网络服务提供者可能以履行保存信息义务为借口, 出于商业或者其他目的故意收集网络用户的个人数据。而后二者虽然是为适应打击网络犯罪需要发展起来的新刑事调查措施, 但强调保护个人隐私和通信自由等基本权利, 基本实现了打击网络犯罪与保护人权的平衡。而《公约》 的规定要求数据保护措施在实施时必须遵守《公约》 第14条、 第15 条规定,符合相称性原则。前述欧盟指令要求其成员国“采取措施确保根据本指令保留的数据只商必须不断提高其技术能力以记录、保留增加的电子数据。《公约》规定的是“数据保护”,而不是“数据保存”,只要求对现有的计算机数据进行保护, 侦查机关或者自己提取或采取相似方式保护特定的计算机数提供给特定案件中的有权国家机关, 并遵守国家的法律。为了获许进入保留的数据所遵从的程序和满足的条件所应满足的必要性和适当性要求, 并遵守欧盟法相关规定或者公共的国际法, 特别是欧洲人权法院解释的欧盟人权公约。 ”此外, 还专门针对保留的数据 规定了数据安全和数据保护条款, 并对违法侵犯保留的数据的行为规定了处罚措施。
( 二) 电子数据证据的扣押
公安部 《公安机关办理刑事案件程序规定 》 、“高检 ” 《人民检察院刑事诉讼规则》 、“高法” 《关于办理网络赌博犯罪案件适用法律若干问题的意见》 等部门规章和司法解释中规定了扣押、 提取电子邮件、EDI 数据和网络赌博犯罪案件中的电子数据的措施, 类似于《公约》 的第19 条的规定(“扣押静态的计算机数据”):
《公约》 的规定授权侦查机关可以采取四种方式扣押计算机数据, 包括对计算机系统或者其一部分或者一个计算机数据存储媒体实施扣押或者使用相似的安全措施;制作或者提取计算机数据的复制件;采取措施保持计算机数据的完整性;采取措施使计算机数据不可被访问或者将其从可访问的计算机系统中移走。我国的规定要求邮电或网络服务单位将信件提交给侦查机关扣押, 在网络赌博犯罪案件的侦查中侦查机关也可以自己提取相关的电子数据, 但未对提取的方式进行具体规定。
二者不同之处有:(1)扣押对象不同 。《公约》 的规定适用于所有证明案件事实的计算机数据, 我国的规定仅适用于电子邮件和EDI 数据电文和网络赌博犯罪案件中的电子数据;(2)扣押方式不同。我国的规定允许邮电或网络服务机构代为扣押、 检交目标信件, 不利于保护证据的完整性、真实性,在信件的代为扣押和检交过程中, 电子数据可能被修改、 删除;(3)配套措施不同。侦查机关在扣押电子数据中经常会遇到技术困难,《公约》 规定侦查机关可以指令任何知道计算机系统功能或其保护措施的人, 提供合理、 必要的信息,以保障搜查扣押措施的顺利进行, 我国的规定缺乏此方面的内容, 不利于侦查机关的实际操作。
另外, 搜查和扣押是紧密联系的侦查活动, 扣押证据的前提是发现证据, 而网络犯罪案件中发现电子数据证据经常会遇到困难, 有必要在规定扣押措施的同时规定特别的搜查电子数据证据的措施。《公约》 将搜查和扣押计算机数据的措施规定在一起, 更具合理性, 而我国的规定中缺少这方面的内容。
( 三) 实时收集计算机数据和提供令措施
新刑事诉讼法规定了包括电子监控在内的技术侦查措施, 虽然在具体规定和配套措施上与国外仍有差距, 但我国现行的规定与与《公约》 规定的实时收集计算机数据程序规定基本一致, 前述欧盟指令未涉及这一方面的措施。
( 四) 电子数据证据的提交
《公约》 规定了提供令措施,授权国家有权机关命令网络服务商和个人在其控制范围内提交其所有的或者控制的特定计算机数据, 包括储存在计算机系统和其他数据存储媒体中的数据。我国《刑事诉讼法》、《国家安全法 》、《人民警察法》 等法律都规定,在人民法院、人民检察院、公安机关收集、 调取证据时,有关单位和个人应当如实提供证据, 这些规定能涵盖 《公约》的提供令措施。
综上,从规范的功能角度进行比较,我国的前述法律法规和司法解释与《公约》 和前述欧盟指令的相关规定具有相似性,尤其是在电子数据证据的提交、实时收集计算机数据证据、扣押电子数据证据等方面基本上达到一致, 只在电子数据证据的快速保护方面还有较大的差别。但是,目前我国的规定多为行政法规、规章、司法解释, 内容零散、配套措施缺乏、不成体系,法律效力弱, 操作性不强,特别是明显存在重打击犯罪而轻保护公民合法权利的缺陷, 不利于保护公民的合法权益、 防止国家权力的滥用, 需要继续完善相关程序立法。
三、 我国打击网络犯罪的刑事程序立法的发展方向
( 一) 网络犯罪相关刑事程序国际立法的发展趋势
在互联网时代, 网络犯罪成为世界各国的共同挑战, 只有形成打击网络犯罪的国际司法合作体系, 才可能实现对网络犯罪的有效遏制, 打击共同的网络犯罪为各国相关立法包括刑事程序立法实现趋同发展奠定了事实基础。在欧洲理事会、 欧盟理事会、 联合国等国际组织的推动下, 已经有部分国家的网络犯罪立法开始走向一致化, 部分地区主要是欧洲理事会成员国之间反网络犯罪的司法合作机制在逐渐形成。
目前 《公约》 是各国反网络犯罪立法走向一致化的最高标准, 但是, 实际上完全达到《公约》 立法要求的国家不多, 特别在刑事程序法领域, 即使是在 《公约》 对其已生效的缔约国如德国等, 都未完全实现《公约》 相关规定向国内法的移植, 至于按照 《公约》 要求建立打击网络犯罪的跨国司法协作程序则更是难以在短期内实现。因此, 在世界范围内(即使在欧洲共同体范围内)实现打击网络犯罪的刑事立法一致化也不可能很快实现 。
《公约》 是一个开放性的国际公约, 欧洲以外的国家如美国、 日本、 加拿大、 南非已成为该公约的签署国,在实现世界各国打击网络犯罪刑事立法一致化的进程中, 欧洲理事会过去、 现在和将来都是源动力和重要的领导力量。不过, 由于欧洲理事会是一个地区性国际组织, 对欧洲理事会国家以外的国家影响力有限。加之,《公约》 只反映了其起草国国内的网络犯罪发展状况, 其他国家加入 《公约》 的条件和程序繁琐, 以致目前《公约》 实际上仅对部分欧洲国家且, 而且主要是在欧洲理事会国家和与欧洲国家建立了盟国关系的美国生效, 而欧洲区域以外的、 未与欧洲国家建立盟国关系的国家包括我国、 俄罗斯等互联网大国都不是其公约的缔约国。这说明, 欧洲理事会难以独力担当推动网络犯罪刑事立法一致化进程的领导力量, 未来需要与世界范围的国际组织如联合国一起,共同来推进这一影响深远的刑事立法的一致化和司法协作工程。
未来世界反网络犯罪的刑事程序立法标准究竟会是更高,还是在多方协商妥协下,先采取较低标准,然后再逐步过渡到较高立法标准? 我认为,后者的可能性更大,同时即使是走后者路径,世界各国立法一致化的进程也势必非常漫长,尤其是在涉及国家主权的刑事程序法的国家层面的立法标准和国际合作机制方面,在哪些领域、 以什么标准、与哪些国家进行刑事司法合作等,都会是国际司法合作的参与国必然会慎重考虑的问题。但是,从大的发展趋势上看,特别是未来网络犯罪高技术性会进一步增强、 跨国性特征更加突出、社会危害性更加严重,国际社会通过立法的一致化和建立司法合作机制来共同打击网络犯罪的方向是确定的。
( 二) 我国网络犯罪相关刑事程序立法的发展方向
处于同一网络世界里的我国面临相同的网络犯罪的挑战, 在近20 年时间里, 我国网络犯罪立法随着网络社会的发展和网络犯罪的变化在不断修改, 相关刑事实体立法已经基本完善, 相关刑事程序立法的基本框架已经形成。但是, 在网络犯罪的国际司法合作方面, 我国没有与外国缔结关于打击网络犯罪的司法合作协议或者参加相关国际条约, 我国司法机关在处理跨国网络犯罪案件时经常会陷入困境。由于美国和欧洲国家禁止向我国出口保护互联网安全的核心技术和设备, 使得我国的互联网系统更为脆弱和容易受到跨国网络犯罪的攻击与控制, 在这种物质技术条件下, 我国继续游离于打击网络犯罪的国际司法合作体系之外, 法律控制上的 “压力差” 会吸引了跨国网络犯罪向我国“迁徙” , 会严重损害我国社会的安全, 并使我国境内的计算机系统沦为跨国网络犯罪攻击其他国家网络的“跳板” 。为了有效遏制网络犯罪对我国和国际社会的危害, 反网络犯罪的司法合作体系中不应该缺少我国这样一个互联网大国, 我国应与联合国、 欧洲理事会等国际组织积极进行网络犯罪立法的交流和合作, 积极参与制定一个以联合国成员国为缔约国范围的、 反映各国特别是互联网大国国内网络犯罪实际状况的反网络犯罪国际公约, 以维护我国国家利益、 融入国际司法合作体系共同遏制网络犯罪。
在目前情况下我国应根据打击本国网络犯罪的需要, 借鉴国外立法的成功经验,迅速推进我国相关刑事程序立法的发展完善。基于前文的分析和比较, 我国网络犯罪相关刑事程序立法应从以下几个方面进行完善:
(1)在刑事诉讼法中增设电子数据证据快速保护的刑事侦查措施。前文谈到,我国仅在互联网管理相关行政法规中规定了网络服务提供者协助保留电子数据的制度,存在法律效力弱、执行效率不高、对网络服务提供者和公众的消极影响严重等缺陷。国外的司法实践证明,快速保护电子数据证据在网络犯罪的侦查中具有关键作用,我国刑事诉讼法规定快速保护电子数据证据措施十分必要。
(2)完善我国电子数据搜查扣押措施的立法。搜查、 扣押电子数据并作为证据使用在我国刑事司法中十分常见, 但是, 我国刑事诉讼法却没有规定搜查、 扣押电子数据的特别措施, 而是通过司法解释和准司法解释的方式来指导司法机关取证和认证。电子数据具有不同于其他种类证据的特性, 搜查、 扣押电子数据证据需要特别措施和配套措施, 并需要通过法律的形式来规定, 只有这样才能确保有效取证和保护公民合法权利。在具体制度的设计上 , 《公约》 的规定有重要的参考价值。
(3)完善我国电子监控措施的立法, 充分保护公民的合法权利。我国新刑事诉讼法规定了包括电子监控在内的技术侦查措施, 但具体内容不够具体细致和全面, 没有明确规定该侦查措施的批准程序, 内容上偏重于侦查措施的适用程序, 而较少规定被适用对象的救济措施, 这些内容的缺失可能导致侦查机关合法地滥用该技术措施,侵犯广大公众的合法权益。作为一种具有严重强制性的侦查措施, 必须有相应的利益平衡机制来制约其适用, 否则, 它可能成为国家监控社会、 肆意侵犯公民通信自由的手段, 从而偏离了刑事程序立法保护人民、 打击犯罪的基本目标。我国电子监控措施的具体内容的设计可以借鉴美国、 德国、 日本等国家相关立法的成功经验。
(4)考虑增设秘密远程进入计算机系统等特别侦查措施。网络犯罪是一种隐蔽性、 技术性很强的犯罪,采取传统侦查措施发现和侦破的难度很大, 应根据网络犯罪的特点及时增设新的特殊侦查措施。采用黑客技术, 秘密远程进入联网的目标计算机系统是一种高效、 重要的取证手段, 虽然目前它还没有被国际法律文件所规定, 国际上已经有学者建议将其设置为特别侦查措施。我国应根据信息技术和网络犯罪的发展变化, 及时更新侦查网络犯罪的特别措施, 在保障公民合法权利的前提下为司法机关提供更有效的侦查措施。
(5)制定电子数据类证据认证规则。由于电子数据具有与传统证据不同的技术特性,它容易被伪造、 修改而不易被辨伪, 许多国家如美国、 南非、 新加坡等针对电子数据制定了特别的认证规则。我国刑事诉讼法没有规定证据认定规则, 更没有规定电子数据的证据认定规则, 但是, 电子数据的认证的确要比传统证据复杂, 需要制定的专门的电子数据类证据的认证规则, 为日益增加的涉及电子数据的案件的证据采信提供法律依据。
参考文献:
[27]参见蒋坡主编:《国际信息政策法律比较》 , 法律出版社2001 年版, 第298 -300 页。
[28]详细论证请参见皮勇:《关于中国网络犯罪刑事立法的研究报告》 , 载 《刑法论丛》 2011 年第3 卷(总第27 卷), 第198-257 页。
[29]该公约已经于2004 年7 月1 日生效, 是目前最重要的反网络犯罪的国际公约。具体内容请见皮勇:《 〈网路犯罪公约〉 中的犯罪模型与中国大陆网路犯罪立法比较》 , 载 《月旦法学杂志》2002 年第11 期。
[30]Vgl.Ulrich Sieber,Strafrechtsvergleichung im Wandel,Strafrecht und Kriminologie unter einem Dach,Kollquium zum 90.Geburtstag von Professor Dr.Dr.h.c.mult.Hans -Heinrich Jescheck,S.78 -130.
[31]参见皮勇:《< 网络犯罪公约 > 中的证据调查制度与中国相关刑事程序法比较》 , 载 《中国法学》2003 年第4 期。
[32]See Explanatory Report of Convention on Cybercrime,Paragraph 150,153.
[33]See Directive 2006/24/EC of European Parliament and of the Council of 15 March 2006 on the retention of data generated orprocessed in connection with the provision of publicly available electronic communications services or of public communications net-works and amending Directive 2002/58/EC,Article3.
[34]See Directive 2006/24/EC of European Parliament and of the Council of 15 March 2006 on the retention of data generated orprocessed in connection with the provision of publicly available electronic communications services or of public communications net-works and amending Directive 2002/58/EC,Article 5.
[35]See Convention on Cybercrime of Council of Europe of 23.11.2001 (ETS No.185),Article 16.
[36]See Directive 2006/24/EC of European Parliament and of the Council of 15 March 2006 on the retention of data generated orprocessed in connection with the provision of publicly available electronic communications services or of public communications net-works and amending Directive 2002/58/EC,Article 6.
[37]See Convention on Cybercrime of Council of Europe of 23.11.2001 (ETS No.185),Article 16.
[38]《公安机关办理刑事案件程序规定》 第52 条规定 “对于获取犯罪证据的技术侦查措施, 应当保守秘密。 ” 但网络服务提供者依照行政法规保存信息不属于技术侦查措施。
[39]仅有 《互联网电子公告服务管理规定》 第 12 条的规定, 即 “电子公告服务提供者应当对上网用户的个人信息保密, 未经上网用户同意不得向他人泄露, 但法律另有规定的除外。 ”
[40]通过对个人数据的汇集、 分析, 可以发现当事人的各种生活习性, 如购物倾向、 爱好、 癖好等, 这些结论成为商家发展客户的重要依据, 但却可能骚扰当事人的正常生活。
[41]See Directive 2006/24/EC of European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications net-works and amending Directive 2002/58/EC,Article4.
[42]See Convention on Cybercrime of Council of Europe of 23.11.2001 (ETS No.185),Article 19.
[43]See Convention on Cybercrime of Council of Europe of 23.11.2001 (ETS No.185),Article 18.