1、 -45-第 38 卷第 1 期 江苏警官学院学报 Vol.38 No.1 2023 年 1 月 JOURNAL OF JIANGSU POLICE INSTITUTE Jan.2023 法学研究 企业跨境数据流通中的合规问题 以跨境数据取证为视角 杨宗辉 张思晗 摘要:随着社会整体数字化转型的加速,电子数据已成为重要的证据来源。然而,由于受到主权、管辖权以及取证程序等因素的困扰,侦查机关的跨境数据取证工作面临较大压力。由此,一些掌握了海量数据的企业便成为侦查机关打击国际犯罪、完成跨境数据取证工作的首选协助目标。不过,这些企业在履行协助义务的同时,也将面临法律义务冲突、个人信息保护义务冲突等合
2、规困境。为此,既需要从国际层面构建二元化的数据跨境协作体系,也需要积极建立企业跨境数据合规的常态化机制,关注企业履行协助义务的可行性和合比例性问题,从而有效化解企业在协助侦查机关跨境数据取证活动中所遇到的合规困境。关键词:合规困境;公私合作;个人信息保护;企业合规;跨境数据取证 中图分类号:D925.2 文献标识码:A 文章编号:1672-1020(2023)01-0045-09 在信息网络时代,数据安全已经上升到了关系到国家整体安全的地位,数据已经被各国视作一种战略性资源。随着社会整体数字化转型浪潮推动数据在国际层面流转,数据的跨境传输也成为常态。在刑事司法领域,信息技术的革新与犯罪活动的深
3、度结合,不仅衍生出新型网络犯罪,更造就了传统犯罪活动普遍触网的现状:一方面,网络犯罪迫于各国的刑事打击,逐步转变为依赖暗网等方式进行活动,国际化犯罪形成了较为稳固的黑灰色产业链,国际社会打击犯罪的能力与犯罪集团的活动能力之间明显失衡;另一方面,网络空间弱地域性的特征使得网络犯罪全球化态势日益显著,和以强地域性为核心的传统刑事司法管辖制度之间的冲突也越发明显。一、问题的提出 目前,大多数国家和国际组织已开始探索打击国际犯罪的新型合作路径。其中,向掌握海量结构化和非结构化数据的互联网跨国公司请求数据调取协助是最为典型的创新路径,也有学者称之为跨境数据取证的公私合作。网络空间治理的基本特征就是主体多
4、元化,而掌握数据的企业及信息服务从 作者简介:杨宗辉,中南财经政法大学刑事司法学院侦查学教授,博士生导师;张思晗,中南财经政法大学刑事司法学院硕士研究生。裴炜:跨境打击网络犯罪中的公私合作,信息安全与通信保密2021 年第 7 期。-46-者已经成为十分重要的参与主体。侦查机关同第三方数据控制者的协作正是对当前打击跨境网络犯罪所面临的困境所做出的积极回应。形成这种合作模式的内在动力来自以下两个方面:(一)侦查机关在跨境取证中面临的阻碍首先,伴随着社会的整体数字化转型,网络空间的全球互联和数据的跨境流转使得网络犯罪呈现分散化的态势。犯罪分子的活动空间不再限定于一个国家或地区,而是依托网络和数据非
5、竞争性的特征,跨越了传统意义上的物理空间,开始在多个国家、地区实施犯罪行为、转移犯罪财产以及销毁犯罪证据。网络犯罪方式的出现使司法机关的跨境侦查、跨境提取数据等执法活动成为常态,但基于传统的以地域为核心的刑事司法管辖制度,跨境执法活动极易造成对他国主权的侵害。同时,不同于传统证据的实物性特征,电子证据因其载体和属性天然地具有脆弱性特征,侦查机关对于电子证据的提取存在着紧迫性和及时性的要求。然而,传统的打击国际犯罪司法协助体系因其冗长、繁杂的程序性弊端,无法满足上述电子证据提取时所需要的条件,由此,传统管辖权之间的冲突在一定层面上削弱了侦查机关的域外侦查能力。其次,在传统司法协作体系失灵的同时,
6、针对网络犯罪的新型跨境合作体系开始出现,但尚未普及,且仅在部分国家之间产生效力。比如,欧盟在 2018 年颁布了通用数据保护条例(General DataProtection Regulation,以下简称 GDPR),但因其较为严苛和复杂的认定标准,目前全球获得 GDPR 认可能够进行数据互通的国家仅有 11 个。美国为了巩固自己的数据霸权地位,也于 2018 年颁布了澄清境外数据合法使用法(以下简称 CLOUD 法案)。该法案不仅是美国政府为了应对当今世界各国广泛遵循的数据国家主义的产物,也以立法的方式赋予了美国政府对国内企业数据跨境流转的“长臂管辖”权。此外,该法案还授予美国政府与其认定
7、的适格国家签署数据互通协议的权利,但其单方面的霸权条款使得欧盟和其他发达国家无法接受。由此,全球性的涉网络犯罪司法协助体系至今尚未建立,无法为各国司法机关的跨境取证活动提供国际层面的程序正当性保障。当然,这也意味着各国司法机关所调取的域外证据能否当然地转化为国内证据问题,在短期内无法获得立法层面的回应。(二)数据服务企业的自身优势尽管作为私权利的一方,企业往往是被动地参与到预防和打击犯罪的司法程序中的,但由于其拥有侦查机关所不具备的多重优势,因而成为跨境数据取证活动首选的请求对象。随着社会数字化程度的不断提高,信息网络犯罪分子在一次次打击下,也在寻求更为隐蔽的犯罪途径,并逐渐呈现出高度组织化、
8、链条化和产业化的发展趋势。在这一背景下,加之以电子证据为主要形式的犯罪证据的跨国性分布,刑事侦查机关的取证活动时常陷入举步维艰的状态。因此,请求掌控大量数据资源的企业参与司法协助便成为首要选项。这些企业凭借自身优势,可以帮助司法机关针对信息网络犯罪采取更好的应对之策。其作用主要体现在三个方面:一是犯罪前的风险预测功能;二是在犯罪过程中或事后调取和提供涉案电子证据的功能;三是帮助公安机关提升工作效能。1.犯罪前的风险预测企业作为以营利为目的的经济组织,主要目的就在于获取更大的效益。在大数据时代,只有始终走在技术发展的前沿,掌握高端、全新的科学技术才能使企业立于不败之地。因此,网络通信类企业所掌握
9、的大数据技术远非侦查机关可比,两者可以建立紧密的合作关系,利用大数据的整合功能实现对网络犯罪预防功能。比如,利用公安机关提供的可靠数据进行建模,从而借助大数据技术的高效、准确分析,实现对犯罪风险的预测。2.犯罪过程中或事后的数据调取和提供企业作为互联网经济的主要力量,其在日常的业务运营中能够掌握海量的结构化和非结构化的数据,可以弥补侦查机关跨境调取数据的资源短板,特别是有些数据只有作为资源控制者的企业才有能裴炜:论刑事诉讼中网络信息业者的数据提供义务,上海政法学院学报2022 年第 6 期。-47-力进行收集和储存,如注册用户所属的 IP 地址等。3.帮助公安机关提升工作效能数据企业作为网络信
10、息高端技术的推动者和掌握者,可以利用其技术优势在日常工作中协助公安机关提升网络信息的运用能力。例如,北京奇虎科技公司利用其技术优势同公安机关合作开发了“360手机卫士反诈中心”,不仅可以通过预警功能直接将犯罪线索提供给公安机关,还可以帮助公安机关直接联系到潜在受害人,从而实现了预防、打击诈骗犯罪的双重功能。截至 2021 年 8 月,“360 手机卫士”已经累计向全国公安机关推送反诈预警数据 1697 万条。二、企业跨境数据流通中的合规困境“合规”一词起初用于医学领域,指患者应当遵从医嘱。在法学学科中,此概念最早是由英美法系国家引入到银行业管理中,主要规制的对象是银行业内部员工,以确保其在工作
11、中保持守法状态。目前,作为一个新的学术概念,“合规”的内涵已不再单纯地局限于企业在经营活动中必须遵守相关准则和国内法。在社会整体数字化转型的背景下,随着全球化的加速发展和跨国公司的大量出现,“合规”一词所涵盖的范围也进一步扩展,其可能涉及公司业务所能触及到的相关国家或者国际组织的法律和规则。企业合规困境的出现与“规”的变化直接相关,其并不是企业在经营中单纯地遵守各种市场准则,更是要符合法律给企业所设定的相关要求。随着各国经济、科技、文化等方面的联系越来越紧密,大型跨国公司的业务范围遍及全球,企业的合规问题便可能在以下两个方面出现:一是跨国企业在其他国家开展经营活动时必须遵守当地法律,完善企业内
12、部合规管理制度建设,从而预防企业内部出现违法犯罪活动。这是企业在其他国家开展业务前必须完成的前置程序。二是企业对司法机关跨境取证活动协助请求的处理。司法机关作为公权力部门,其所下达的司法协助请求往往具有较强的刚性。随着数据国家主义的兴起,各国对于数据的重视程度不断增加,但在数据的调取、流出和流入等具体问题的认识和规定上却呈现出较大的差异。作为某些数据的控制者,相关跨国企业既要受到本国法律的约束,也要遵守他国法律对于数据管控的要求,即跨国企业可能需要同时承担多项法律义务,若响应一国司法机关调取存储于别国或者涉及他国主体的数据请求时,则有可能陷入违反别国法律的困境。这种互相交叉、冲突的法律适用情形
13、,往往使企业在合规要求方面陷入进退两难的境地。(一)合规困境之一:企业承担的国际义务的冲突随着全球网络的互联互通,数据的国际流动变得更加便捷,由此带来的各种问题也不断显现。数据频繁泄露、数据安全隐患层出不穷的现状使得各国对数据监控管理的力度日益提高,许多国家将数据安全、网络安全上升到国家安全的层面。目前,国际社会对于数据流通的态度主要分为两种,分别是以美国为代表的数据自由流通主义和以欧盟为代表的数据国家主义,由此反映出对数据流通问题所持的截然不同的观点。美国的数据自由流通主义由来已久,指的是数据的跨境流通不存在任何法律和现实的障碍。受惠于数据自由流通所带来的巨大利益,美国一直在国际上力推数据自
14、由流通主义。事实上,美国在互联网建设和数据流转方面一直占据着主导地位。为了巩固其数据霸权,美国一直积极以国内立法、国际性条约、多边双边协议等方式推行数据自由主义。在数据跨境取证方面,美国奉行内外有别的双重标准:一方面,严格限制他国对本国数据的调取;另一方面,通过单边立法等方式加强美国政府的跨境取证能力,冲击他国的数据保护防线。2018 年美国颁布 CLOUD 法案,赋予美国政府域外调取相关数证券市场红周刊:为反诈搭把手!360 联合北京警方打造“手机卫士反诈中心”,https:/ 年 10 月 16 日。李本灿:刑事合规制度的法理根基,东方法学2020 年第 5 期。-48-据的权利,并确定了
15、以数据控制者为中心的划分标准。藉此法案,美国可以随意提取由本国数据控制者所掌握的各类数据,哪怕数据内容涉及他国或是数据的物理储存器并不在美国境内。基于当前国际大型、知名的数据处理企业大部分为美国企业的现实,该法案实际上赋予了美国政府自由调取数据的无限权利。此外,CLOUD 法案还赋予美国政府寻找“适格政府”的权利。通过审查、认定“适格政府”,美国可以和其签署数据互通的双边协议,从而实现更为便捷和自由的数据取证。但即便如此,美国对适格主体的索求也并未放松,继续要求适格主体在必要情况下提供非本国公民的数据,以及在实现数据互通后仍需接受美方的监管。欧盟从 20 世纪 80 年代就开始探索对数据流通进
16、行限制性立法。欧洲理事会在 1981 年颁布的 个人数据自动化处理的个体保护公约(Convention for the Protection of Individuals with Regard toAutomatic Processing of Personal Data,以下简称108 号公约)是全球首部区域性的跨境数据流通法规,其对欧盟成员国均具有法律约束力。公约明确规定,在其效力范围内,成员国之间不得额外限制或者变相限制数据的自由流通。为了抗衡美国的数据自由主义,欧盟在 2018 年出台了 GDPR,这也被称为人工智能时代的人权宣言。通过该条例,欧盟向世界传达了其所秉持的数据国家主义立场。不过,欧盟在数据管控方面也实行了内外有别的双重标准,如规定“数据控制者不得将数据向未经认证的第三方或者国际组织转移,且不得将数据从该第三国或国际组织转移至其他未经认证的第三国或国际组织”。对于加入条约的非欧盟国家,欧盟设定了较为严苛的审查方式且明确表示需要进行周期性审查。虽然 GDPR 关于数据流转的规定保护了欧盟成员国的数据安全,但严格的数据流通限制也导致数据处理企业灵活性和生产力的下降。因
