《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》对接了数据安全法的相关要求,将全流程数据安全管理制度引入刑事数据调取流程,对跨地域调取电子数据的规范,兼顾了异地调取电子数据的便利性和安全性,必将在信息网络犯罪案件办理程序中发挥重要作用。
检察机关、法院可以通过核验电子签名、数字水印、电子数据完整性校验值及调证法律文书编号是否与证明文件相一致等方式,对电子数据进行审查判断。这实际上是在电子数据审查阶段再次强调以技术核验的方式保证刑事司法中运用的数据电文的安全性。
2022年8月30日,最高人民法院、最高人民检察院、公安部联合发布《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》(下称《意见》),其中第14条、第17条对公安机关向网络服务提供者调取电子数据及检察机关、法院对电子数据的审查判断作出了最新规定,首次在规范层面规定了电文形式的数据调取、传输和接收,对接了数据安全法的相关要求。
刑事数据调取与全流程数据安全管理制度的衔接
近年来,适应信息网络犯罪案件办理新要求,侦查机关跨地域调取数据的需求逐年增长,传统的派员赴异地调取数据的办案模式已经难以适应刑事侦查实践的需要。为此,公安机关统一搭建了适用于电子数据异地调证的信息化系统,极大地便利了电子数据调取工作的开展,降低了侦查成本,同时也提升了侦查效率。但是,司法实践发现,经上述系统调取后以电文形式呈现的数据并未得到有关部门普遍认可,这便出现了某些地区认可这种形式的电子数据,而其他地区对此不予认同的落差现象。之所以出现这种情况,主要原因在于,对异地调证信息化系统的规范化运行缺乏统一认识,从而容易对以此方式调取的电子数据的真实性、完整性产生疑问。
这种对数据真实性、完整性的担忧,实质上就是指向数据生成、固定、传输和接收等一整套流程的疑虑。因此,《意见》对跨地域调取电子数据的规范,实际上就是对经异地调证信息化系统所获取的电子数据的安全性的保障。这种规范思路精准衔接数据安全法第27条规定,本质上满足了其对全流程数据安全管理制度的要求。
具体到跨地域调取电子数据的全流程数据安全管理制度而言,《意见》从三个方面进行了规范:
其一,网络服务提供者向公安机关提供电文形式的电子数据,应当保证电子数据的完整性。《意见》明确要求相关电文载明调证法律文书编号、单位电子公章、完整性校验值等保护电子数据完整性方法的说明等信息,从而保证了数据生成阶段的安全性。
其二,跨地域调取的电子数据,通过公安机关信息化系统传输。该系统已经经过多年运行,在实践中得以持续完善,确保了跨地域传输的数据电文的安全性。
其三,检察机关、法院可以通过核验电子签名、数字水印、电子数据完整性校验值及调证法律文书编号是否与证明文件相一致等方式,对电子数据进行审查判断。这实际上是在电子数据审查阶段再次强调以技术核验的方式保证刑事司法中运用的数据电文的安全性。
笔者认为,将全流程数据安全管理制度引入刑事数据调取流程,是《意见》的一大亮点。《意见》对跨地域调取电子数据的规范,兼顾了异地调取电子数据的便利性和安全性,必将在信息网络犯罪案件办理程序中发挥重要作用。
刑事数据调取与数据分类分级保护的融合
除了全流程数据安全管理制度外,数据安全法还规定了其他一系列数据安全制度,其中便包括与刑事司法密切相关的数据分类分级保护制度。具体而言,数据安全法依据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用而对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将其划分为国家核心数据、重要数据和一般数据。
不过,数据安全法并未就三类数据的具体范围进行明确划定。该法第21条第2款规定,各地区、各部门应当按照数据分类分级保护制度,确定本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。《意见》就此作出了规定,公安司法机关立足刑事司法的实际情况,对数据进行分类分级保护,考虑到刑事司法实践中涉及国家核心数据的情况相对有限,因此此项工作的重心将落脚于对重要数据的保护。
在信息网络犯罪案件办理实践中,就公安机关向网络服务提供者调取的电子数据而言,目前实际上已经存在规范层面的分类。例如,《人民检察院办理网络犯罪案件规定》第27条就将电子数据的形式划分为网络平台发布的信息、网络通讯信息、用户身份信息、用户行为信息、行为工具信息、系统运行信息和附属信息。然而,虽然网络服务提供者掌握的电子数据已经存在形式意义上的分类,但规范层面却并未基于数据保护的重要性而对相应数据进行分级处理,这便导致刑事数据的调取尚无法在完全意义上落实数据安全法所规定的数据分类分级保护制度。对此,国内已有不少学者主张参考其他国家的做法,将“用户数据”“通信数据”和“内容数据”作为面向网络服务提供者开展数据调取的分类依据,并就“内容数据”进行重点保护。
刑事数据调取与数据安全执法协助及保护义务的兼容
数据安全法第35条规定了刑事数据调取的执法协助义务,即“公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合”。从规范体系的角度而言,上述条款位列数据安全法第四章“数据安全保护义务”的内容当中。之所以这样安排,原因在于,作为提供数据的主体即有关组织和个人,不仅应当协助公安机关和国家安全机关的执法活动,同时也应当在此过程中履行数据安全保护义务。
对此,《意见》明确要求网络服务提供者向公安机关提供电文形式的电子数据,应当保证电子数据的完整性,这便是后者承担数据安全管理职责、履行数据安全保护义务的具体表现。因此,上述第35条后半段可以定位于有关组织和个人的“数据安全执法协助及保护义务”。既然是法律义务,网络服务提供者在信息网络犯罪办案程序中协助公安机关调取数据时,就可能承担相应的法律责任。为此,根据数据安全法第48条规定,如果网络服务提供者拒不配合数据调取的,公安机关就有权责令改正、给予警告,或对网络服务提供者、直接负责的主管人员和其他直接责任人员施以罚款。然而,数据安全法规定的这些法律责任尚未在刑事办案程序规范中得到明确的体现。以包括《意见》在内的刑事程序法律及司法解释来看,还未触及数据调取法律责任的对接。在刑事数据调取程序中兼容数据安全执法协助及保护义务的首要问题,就是对上述处罚形式进行定性。对此,笔者认为,这些处罚都应当定性为行政处罚。
其一,除了数据安全法第48条外,公安机关还可以依据数据安全法第四章即“数据安全保护义务”部分的诸多条款开展行政处罚。换言之,该法规定了指向网络服务提供者不履行职责与义务的体系化的行政处罚,后者拒不配合数据调取的处罚形式属于其中的组成部分。
其二,从数据安全法第48条规定的处罚类型来看,责令改正、给予警告、罚款本身都属于行政处罚法规定的行政处罚方式。
综上,在信息网络犯罪案件侦查程序中,对于网络服务提供者拒不履行数据安全执法协助及保护义务,公安机关需要给予行政处罚的,应当依据行政处罚法规定作出相应处罚,并为行政相对人提供相应的救济程序。
当然,对于这种侦查程序中的行政处罚,网络服务提供者或网络用户如何适用行政处罚法的规定提出陈述或申辩,甚至提起行政复议或行政诉讼等救济,还有待在信息网络犯罪案件办案程序中予以明确。如果可以获得行政复议或行政诉讼救济,这实际上是在刑事司法程序中构架了一种指向权利救济的独特的行政性中间程序,其法理和程序都有待理论界深入加以研究。