陈永生:计算机网络犯罪对刑事诉讼的挑战与制度应对(三)
2.“棱镜”项目存在的问题
(1) 司法审查形同虚设
美国政府在为“棱镜”项目辩护时,一再强调该项目的实施受到了法院的司法审查,奥巴马声称:“联邦法官自始至终都在监督整个项目。”〔25〕但从实际运作来看,对“棱镜”项目的司法审查几乎形同虚设。
首先,从立法来看,虽然授权实施“棱镜”项目的《国外情报监视法案》第702 条规定,总检察长和国家情报总监在授权监听时,应当从国外情报监视法院取得一份法院命令,但与此同时,该条又规定,如果他们能证明“关系到美国国家安全的重要情报可能丢失或者无法及时取得并且时间紧迫来不及申请法院命令”,他们也可以授权进行监听①。美国情报部门显然可以利用这一例外条款规避法院的审查。需要指出的是,虽然该条同时规定,网络服务提供商在接到总检察长或者国家情报总监的命令之后有三种选择: 第一,服从指令; 第二,拒绝指令; 第三,将争议诉诸国外情报监视法庭②,但从实践来看,多数网络服务提供商为了维系与政府的良好关系,都不会选择拒绝指令或者将争议诉诸法庭。就目前披露的情况来看,除推特等极个别公司之外,绝大多数公司都会选择顺从政府,有些情况下,这些公司甚至为了协助收集情报而修改它们的系统。〔26〕所有这些,使司法审查形同虚设。正如斯莱特( Slate) 杂志的贝弗里·盖奇( Beverly Gage) 所言: “最初创立的时候,这些机制是为了阻止类似胡佛那样的人滥用权力,但现在看来,它似乎沦为情报界膨胀野心的橡皮图章( rubberstamp) 。”〔27〕
其次,从国外情报监视法院法官的选任情况,该法院对监听申请的审查程序、审查内容和方式来看,其很难发挥司法对行政本应具有的监督作用。国外情报监视法院( Foreign Intelligence SurveillanceCourt) 成立于1978 年,最初是在美国参议院教会委员会( U.S.Senate’s Church Committee) 的建议下经由国会设立的。〔28〕34 自设立后,该法院的权力经过不断地发展和扩张,达到“几乎与最高法院平起平坐”的程度。〔29〕目前,该法院共有11 名法官。值得注意的是,这些法官都是由美国联邦最高法院首席大法官一人任命的,无需接受美国国会的确认或者监督。〔30〕不少学者对这种选任方式提出质疑,认为这使得首席大法官得以任命那些与自己持相同政见者,进而使国外情报监视法庭缺乏观点的多样性,很容易形成一边倒的偏见。〔31〕从审查程序上看,国外情报监视法院奉行不公开原则。其对监听申请的审查秘密进行,在作出裁决之前只听取政府部门的意见,并且该裁决不向社会公开,不接受社会公众的监督和制约,这很容易导致其做出不公正的裁决。正如美国学者伊丽莎白·戈登( Elizabeth Gotein) 所言: “如同所有那些关起门来秘密开会,并且只听取一方意见的组织一样,( 国外情报监视法院,引者注) 很容易受到控制并产生偏见。”〔31〕由于在法官选任和审查程序方面存在问题,国外情报监视法院的公正性受到广泛质疑: “由于所有法官都是由一个人任命的,几乎所有现任法官都属于同一个政治党派( 共和党) ,不听取任何反对意见,也感受不到来自同僚或者社会公众要求其修改裁决的压力,群体极化( group polarization) 几乎是肯定的。”〔32〕除在法官选任和审查程序方面存在问题之外,国外情报监视法院的审查内容和方式也存在严重问题。据《卫报》报道,当美国国家安全局向国外情报监视法院提出监听申请时,其无需告知法院究竟要监听谁的通话或者电子邮件,相反,其只需提供分析专家所使用的一般准则,最终的监听对象由该一般准则决定。国外情报监视法院只是签发一个简单的命令,授权适用该一般准则。在法院签发授权命令之后,对于国家安全局的分析专家究竟选择谁作为监听对象,不存在任何外部的司法审查机制。〔33〕这意味着国外情报监视法院对监听申请实施的是概括审查,并签发“概括令状”。而现代司法审查最基本的要求之一就是坚持审查的“特定性”,禁止签发“概括令状”。
由于国外情报监视法庭存在上述诸多问题,其在司法实践中很难发挥司法审查本应具有的监督作用,导致司法审查形同虚设。据统计,自1979 年至2012年,国外情报监视法院共收到33949 份监听申请,然而,其只拒绝了11 份申请,拒绝的比例为0.03%,几乎可以忽略不计。〔34〕
(2) 严重违反比例原则
美国政府声称,“棱镜”等监听项目主要是为了打击恐怖犯罪。从实际情况来看,这些项目在打击恐怖犯罪方面确实起到了一定的作用。2013 年6 月18日,美国国家安全局局长基思·亚历山大将军( GeneralKeith Alexander) 在众议院情报委员会召开的公开听证会上声称,从2001 年到2003 年,通讯监听帮助他们阻止了超过50 起世界范围内的恐怖袭击案件( 其中至少有10 起预计在美国实施) ,在这些案件中,“棱镜”项目做出了90%以上的贡献。〔35〕
然而,为了阻止这50 起可能发生的恐怖袭击案件,美国政府却以牺牲全世界民众的隐私权为代价。根据“棱镜”项目披露者斯诺登提供的幻灯片,由于电子网络通讯倾向于选择最经济的路线,而非物理上最近的路线,而大部分因特网基础设施都在美国,因而大部分电子网络通讯都流经美国,这就使得美国情报分析人员能够在电子数据流入或者流出美国时得以窃听其内容。〔36〕而在对这些通讯进行窃听时,美国政府的权力很少受到约束。斯诺登指出,相关规定对大量的数据收集活动( 包括针对美国公民的数据收集活动) 所能起到的限制作用微乎其微,因为相关限制“建立在政策的基础上,而非技术的基础上,政策随时都会变”,而且相关限制还有无数个自我授权的例外。不仅如此,正如前文所述,针对“棱镜”的“审查( audit) 是草率的、不完整的,并且很容易被虚假的理由愚弄”。〔15〕更有甚者,美国国家安全局的政策鼓励员工在面临是否应当监听的不确定情形时将疑点利益( benefit of the doubt) 归于自己。〔37〕正由于窃听行为很少受到约束,因而美国的情报人员甚至对他国的“大学、医院和私营企业”等民用基础设施网络进行监听。〔15〕这使得世界各国人民的隐私权受到严重侵犯。
虽然美国政府声称,利用“棱镜”项目收集的数据对防止恐怖袭击发挥了作用,但事实上,与该项目对世界各国人民隐私权造成的严重侵犯相比,其在打击恐怖犯罪方面所取得的成就几乎不值一提。美国参议院情报委员会的代表,参议员尤德尔( Udall) 和怀登( Wyden) 在一份联合声明中写道: “亚历山大将军( 美国国家安全局局长) 昨天的证言暗示国家安全局的电话记录收集项目协助挫败了数十个恐怖袭击行动,但是他所提及的( 恐怖袭击) 的情节显然被证明是通过其他方式收集得来的。”因而他们没有发现任何证据表明国家安全局的项目提供了“绝无仅有的有价值的情报”。〔38〕美国民众也对这一项目极为失望,美国《每日野兽》( The Daily Beast) 杂志写道:“‘棱镜’项目并没有阻止他( Tamerlan Tsarnaev,2013年4 月15 日在美国波士顿实施爆炸的恐怖分子———引者注) 实施波士顿爆炸”,“问题不仅在于国家安全局通过牺牲我们的隐私收集到了什么,也在于他显然不能以牺牲我们的安全为代价进行监控”。〔39〕基于上述原因,不少美国民众也质疑该项目对公民隐私权造成的侵害大于其在打击恐怖犯罪方面实现的利益。〔40〕
三、我国的现状、存在的问题与制度改革
近年,随着计算机网络的全面普及,计算机网络犯罪在我国呈愈演愈烈之势。据公安部网络安全保卫局公布的统计数据,近年全国公安机关受理的黑客攻击破坏类案件数量每年增长均超过80%①。
为有效打击计算机网络犯罪,我国立法、执法和司法机关做出了巨大努力。早在1994 年,我国就颁布了《计算机信息系统安全保护条例》。此后,又于1996 年颁布了《计算机信息网络国际联网管理暂行规定》,于1997 年颁布了《计算机信息网络国际联网安全保护管理办法》,于2000 年颁布了《互联网信息服务管理办法》等多个规范性文件。不仅如此,自1983 年起,我国还成立了专门的计算机网络管理和监察机构,负责维护网络安全。2012 年,第十一届全国人民代表大会第五次会议对1996 年《刑事诉讼法》进行修正,在第二章“侦查”中增加一节( 第八节) ,对技术侦查措施做出了专门规定。这意味着我国首次在立法上明确授权侦查机关可以采用技术侦查手段,这对于打击计算机网络犯罪这种高度依赖科技手段的犯罪具有重要意义。此后,最高人民检察院修正了《人民检察院刑事诉讼规则》( 以下简称《规则》) ,公安部修正了《公安机关办理刑事案件程序规定》( 以下简称《规定》) 。其中,检察院《规则》第九章第十节、《规定》第八章第十节均对技术侦查措施做出了专门规定。
应当肯定,以上立法和规范性文件在授权侦查机关采用技术性侦查措施的同时,对保护公民权利也有所关注。如根据《刑事诉讼法》第148 条、第149 条和第150 条的规定,技术侦查措施只能用于侦查法定范围的严重犯罪,并且,“采取技术侦查措施获取的材料,只能用于对犯罪的侦查、起诉和审判,不得用于其他用途”,采取技术侦查措施必须“经过严格的批准手续”。然而,不得不承认,由于我国以往实践中很少采用技术侦查手段,并且打击计算机网络犯罪的时间非常短,积累的经验不足,因而在打击计算机网络犯罪的制度建构方面存在不少问题。
(一) 计算机网络安全监察部门的职责界定不合理,不利于充分发挥该机构的功能
目前,对网络安全监察部门刑事侦查权限作出规定的主要是公安部的内部规定。公安部曾于1998 年颁布了《公安部刑事案件管辖分工规定》( 以下简称《分工规定》) ,根据该《分工规定》,所有涉及计算机网络方面的犯罪,均由刑事侦查部门侦查,网络安全监察部门不负责任何计算机网络犯罪的侦查工作。2000 年7 月,公安部下发《关于计算机犯罪案件管辖分工问题的通知》( 以下简称《通知》) 。根据该《通知》,“公安部决定将《刑法》规定的非法侵入计算机信息系统案( 第285 条) 和破坏计算机信息系统案( 第286 条) 交由公共信息网络安全监察局管辖”。2012 年2 月20 日,公安部发布《刑事案件管辖分工补充规定( 二) 》( 以下简称《补充规定( 二) 》) 。根据《补充规定( 二) 》,《刑法修正案( 七) 》增加的非法获取计算机信息系统数据、非法控制计算机信息系统案《刑法》第285 条第2 款) 和提供侵入、非法控制计算机信息系统程序、工具案( 《刑法》第285 条第3款) 由公共信息网络安全监察局管辖。应当说,公安部的《通知》和《补充规定( 二) 》具有非常重要的意义,因为其赋予网络安全监察部门一定的刑事案件侦查权,一方面,有利于提升打击计算机网络犯罪的侦查机构的技术能力和专业化程度,另一方面,也有利于避免网络安全监察部门沦为一个单纯的行政管理机构。然而,上述规定也存在严重不足,不利于充分发挥网络安全监察部门的功能。
首先,根据《通知》和《补充规定( 二) 》,网络安全监察部门有权侦查的只有四种将计算机作为犯罪对象的案件。然而,计算机网络犯罪实际上包括两类,一类是将计算机网络作为犯罪对象的案件,另一类是将计算机网络作为犯罪工具的案件,其中后者往往占据计算机网络犯罪的绝大多数。公安部《通知》和《补充规定(二) 》把所有将计算机网络作为犯罪工具的犯罪排除在网络安全监察部门的侦查权限之外,不利于打击和防范此类犯罪。事实上,很多将计算机网络作为犯罪工具的犯罪,例如网上传播淫秽物品、网络赌博、网络诈骗以及利用计算机实施的金融诈骗和盗窃等犯罪,由于借助了计算机网络这一工具,犯罪的预备、实施以及犯罪结果的发生可能都在网络上完成,犯罪证据也多以网络电子数据为主要形态,因而侦查取证需要借助大量计算机网络技术,网络安全监察部门在侦查此类案件方面更具有专业优势。不仅如此,网络安全监察部门由于同时负责网络安全监控,最有可能第一时间发现上述案件的犯罪线索,由其负责侦查此类案件,有利于争取侦查工作的主动权。也正是基于这一原因,如前文所述,西方国家设立的打击计算机网络犯罪的专门侦查机构不仅负责侦查将计算机网络作为犯罪对象的案件,同时也负责侦查将计算机网络作为犯罪工具的案件。
其次,我国目前尚无相关法律法规明确规定网络安全监察部门对其他刑事侦查部门承担配合的义务,这无论对于打击刑事犯罪,还是对于网络安全监察部门自身业务能力的提高都非常不利。以电子数据的收集为例,随着信息技术向各个领域、各个行业的渗透,刑事证据越来越多地以电子数据的形态呈现,也正是基于这一原因,我国2012 年修正的《刑事诉讼法》明确将电子数据规定为法定的证据种类。然而,电子数据的收集,特别是网络犯罪案件中电子数据的收集与一般证据有所不同,其对收集证据的主体提出了两个方面的要求: 首先,收集证据的主体应当具备计算机网络方面的专业知识和技能,能够确保收集的电子数据的证明力; 其次,收集证据的主体应当熟悉调查取证的法律程序,以确保收集的电子数据的证据能力。由于我国目前尚无法律法规明确规定网络安全监察部门有义务协助其他刑事侦查部门调查取证,因而实践中收集电子数据的工作主要由刑事侦查部门完成。对于那些取证难度较大的电子数据,刑事侦查部门可能有两种选择: 一种选择是自行调查取证,但由于缺乏相应的专业知识和技能,可能没有能力收集有些电子数据,或者因收集的方法不当导致证据发生变化,甚至毁损、灭失,影响其证明力。另一选择是聘请社会上的专业技术人员进行收集,但是由于这些人员不熟悉刑事诉讼的调查取证规则,可能影响电子数据的证据能力。〔41〕这两种情况对打击计算机网络犯罪都非常不利。不仅如此,由于网络安全监察部门不负责协助其他刑事侦查部门调查取证,同时由其负责侦查的计算机网络犯罪案件数量非常少,因而该部门的主要业务实际上集中于行政管理。而长期从事简单的网络安全行政管理工作将导致网络安全监察部门的专业素养和刑事侦查能力不断退化,难以跟上计算机网络犯罪日新月异的变化形势,这与设置该部门的初衷是相悖的。
因此,我国未来应进一步优化计算机网络安全监察部门的职责。首先,应当扩大网络安全监察部门的刑事案件管辖范围,明确规定,对于那些将计算机网络用作犯罪工具的犯罪,如果犯罪的预备、实施和犯罪结果的发生主要在计算机网络上完成,可以由网络安全监察部门负责侦查。其次,应当明确规定网络安全监察部门对其他侦查部门有配合的义务,如果其他部门在侦查过程中遇到与计算机网络技术有关的专业性问题,网络安全监察部门有协助和配合的职责。
(本文转自中国知网http://www.cnki.net/)