网络服务提供者侦查协助义务的范围界定

刘林呐　李小恺

摘 要：网络服务提供者在协助侦查时的具体措施和行为极易侵犯公民的隐私权、财产权等基本权利，导致其在对用户的个人信息保护义务与对司法机关的侦查协助义务之间存在一定的紧张关系。因此，应当明确界定侦查协助义务这种法定强制义务的范围，并通过比例原则等在个案中调和公民基本权利与国家执法权的冲突。

关键词：网络服务提供者 侦查协助 个人信息保护 网络犯罪

一、问题的提出

在打击网络犯罪案件的过程中，网络服务提供者的参与度在不断上升，与侦查机关的合作亦在不断密切。特别是对于电子网络犯罪案件，网络服务提供者的积极配合与及时协助，会对打击此类案件带来极大的促进作用。

然而，网络服务提供者在承担侦查协助义务的同时，还要依法承担对公民个人信息、隐私权、财产权等权利予以保护的法律义务，这就导致了网络服务提供者在协助侦查时，不可能也不应当是没有任何异议的“完全配合”。遗憾的是，目前我国立法中对此并没有作出明确的规定，实务界也大多只是按照自身办案需要对企业提出配合和协助要求，却很少顾及相关企业在响应这些“简单粗暴”的要求时，可能会因陷入多种法定义务的相互冲突而左右为难。

不仅如此，由于现有立法尚未针对侦查协助义务形成系统、明确的规定，实践中也常常出现网络服务提供者不配合警方要求的现象。如2018年发生的滴滴顺风车乐清女孩遇害案中，滴滴客服以安全专家会介入为由，多次拒绝警方获取信息的要求。滴滴公司的不配合行为阻碍了侦查进程的进一步推动，最终延误时间，酿成惨剧。然而在这一事件中，滴滴公司所谓的“不配合”实际上也并没有明显违反现有法律的规定，反而是警方提出的要求因缺少明确的法律依据而显得“理不直气不壮”。

在信息社会与互联网产业化的时代，通过刑法建立的网络风险规则与网络犯罪控制的重点已经指向网络服务提供者。[1]法律法规为网络服务提供者设定了广泛的侦查协助义务，并呈现出扩张的趋势，这些义务可能与公民及企业自身的合法权益发生冲突。然而，网络服务提供者所承担的侦查协助义务尚未与其承担的其他义务形成体系化结构，在其对用户的个人信息保护义务与对司法机关的侦查协助义务之间形成一定的紧张关系。在立法层面，两种义务均呈现出强化之势，但就义务交叉区域则避而不谈。[2]这种现象表现出我国目前在数据层面关于公权力与私权利冲突的立法缺位。因此，为了使侦查协助义务在实践中发挥其应有的作用，尽可能减少对公民合法权益的侵犯，将企业从法定义务冲突的两难局面中解脱出来，促进其依法配合、协助侦查，有必要对侦查协助义务的范围予以明确。

二、网络服务提供者侦查协助义务的法律依据

虽然我国对于企业和个人协助侦查和协助执法的义务也有所规定，但相关规定分散在不同的法律法规之中，且尚未形成比较清晰的框架体系：

首先，根据刑事诉讼法的相关规定，网络服务提供者作为一般单位，负有在不同阶段协助侦查的义务，具体表现为报案或者举报、作证以及对各种侦查措施的配合义务。刑事诉讼法第54条规定：“人民法院、人民检察院和公安机关有权向有关单位和个人收集、调取证据。有关单位和个人应当如实提供证据。”第110条规定：“任何单位和个人发现有犯罪事实或者犯罪嫌疑人，有权利也有义务向公安机关、人民检察院或者人民法院报案或者举报。”由于网络服务提供者了解与犯罪行为有关的情况，掌握与犯罪行为有关的证据和线索，因此在打击犯罪时，当然需要履行协助侦查的义务。

其次，网络服务提供者在协助侦查方面表现出的天然优势逐渐受到重视，相关法律法规也专门对此进行了强调和扩充。例如，《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》《公安机关办理刑事案件电子数据取证规则》《数据安全法》中，均强调了电子数据取证过程中网络服务提供者对调取证据的配合义务。《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第3条规定：“人民法院、人民检察院和公安机关有权依法向有关单位和个人收集、调取电子数据。有关单位和个人应当如实提供。”即将实施的《数据安全法》第35条规定：“公安機关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。”第48条规定：“违反本法第三十五条规定，拒不配合数据调取的，由有关主管部门责令改正，给予警告，并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”

再次，《网络安全法》《反恐怖主义法》则专门规定了网络服务提供者应当为侦查机关、国家安全机关提供必要的技术支持和协助的义务，并且后者列举了提供技术接口和解密等具体协助方式。《网络安全法》第28条规定：“网络运营者应当为侦查机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。”《反恐怖主义法》第18条规定：“电信业务经营者、互联网服务提供者应当为公安机关、国家安全机关依法进行防范、调查恐怖活动提供技术接口和解密等技术支持和协助。”

最后，在《网络安全法》《互联网信息服务管理办法》等法律和行政法规中，规定了网络服务提供者应当承担数据存留、数据审查和数据披露等义务，这些义务也成为侦查机关开展警情筛查、大数据侦查等活动的基础。这类义务要求网络服务提供者在日常的经营活动中对违法信息进行审查、监控并及时保存和报告;同时，在经营活动模式之外单独留存用户的部分信息以备有关机关查询。例如，《互联网信息服务管理办法》第14条规定：“从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者应当记录提供的信息内容及其发布时间、互联网地址或者域名等;互联网接入服务提供者应当记录上网用户的上网时间、用户账号、互联网地址或者域名、主叫电话号码等信息。互联网服务提供者和互联网接入服务提供者的记录备份应当保存60日，并在国家有关机关依法查询时，予以提供。”

除此之外，在一些警企合作和共建的项目中，网络服务提供者也需要根据合作和共建的要求履行一些义务，但是，这些义务并非法律所明确规定的。例如，在警企合作共建数据共享平台过程中，网络服务提供者不仅要共享自己掌握的用户数据和部分运营数据，还需要结合数据的内容、特点、格式，配合公安机关提供相应的数据存储、数据检索和数据分析技术，只有这样才能发挥出这些数据的功能。因此，这些非法定的义务，实质上也可以算作网络服务提供者履行的“非法定”的偵查协助义务，其依据不是法律，而是政策和协议。

三、网络服务提供者协助侦查时的义务冲突及正当性来源

为了更好地厘清网络服务提供者侦查协助义务的本质，有必要深入分析网络服务提供者所面临的“冲突”。

（一）保护公民基本权利与侦查协助的冲突

依据获取的方式不同，网络服务提供者协助获取的用户信息既可以源自于基于授权收集的信息，也可以源自于其通过技术破解等方式获取的存储于网络服务提供者之外的信息。

1.信息保存于网络服务提供者，所有者与持有者相分离。大数据时代，个人信息的所有者和数据控制者往往相分离，基于同意使用协议中的个人信息授权，网络服务提供者可以无障碍地使用用户的数据信息。[3]而用户之所以同意将个人信息授权给网络服务提供者，是因为网络服务提供者承诺将这些信息仅用于日常运营，并且对这些信息进行保护。此时，网络服务提供者虽然是数据的持有者，但并不是数据全部权利的所有者，仅具备了管理权和部分使用权。

2.信息保存于网络服务提供者之外，通常由信息主体所有并持有。此情形最好的例证就是个人手机、电脑等。现代社会，智能化设备尤其是手机几乎记录了一个人每天的所有行程。如果在第一种情形中，用户的数据所有权受到了限制，那么在这种情形下，用户的数据所有权是排他性的存在。也因此，网络服务提供者等其他人都负有对信息的保密义务。

综上，在网络服务提供者可获取的用户信息中，包括了“个人信息”与“个人隐私”这两个敏感的概念。个人信息与隐私具有天然的联系，甚或可以将个人信息理解为隐私并直接以隐私保护的法律制度来保护个人信息。[4]这在我国宪法以及相关部门法中都有相关规定和强化。这种保护义务的实质是公民基本权利的延伸，即只有经过用户同意授权，网络服务提供者才可以收集和存留相关信息，并且必须在用户已经明知、授权的指定范围内从事相关活动。

当然，除了数据主体明确的同意之外，也存在同意的推定原则。这部分包括了部分政府平台的基础信息及开放的第三方网络平台的发布信息，其发布平台的开放性使得相对人理应知悉其信息会被不特定第三方所知悉或收集，其继续发布或提交的行为应视为对相关信息的隐私权放弃，而推知其符合“自愿”与“同意”的主观标准。[5]而除此之外，其他没有经过同意授权的使用行为就属于对个人信息保护义务的例外突破，必须寻找其他的正当性来源基础。

（二）网络服务提供者侦查协助义务的正当性来源

网络服务提供者对公民的基本权利保护是日常性的，因此协助执法义务对于保护义务的突破属于一种例外情形。比如阿里巴巴在隐私政策中声明对于部分情形存在授权同意的例外，如与犯罪侦查、起诉、审判和判决执行等有关的个人信息。[6]这种突破要么在用户声明放弃其权利的情况下进行，要么在有相关法律依据的情况下进行。由此可见，网络服务提供者只是义务的履行者，在信息与主体分离时拥有对数据的有限权利，在二者未分离时对信息负有完全保护义务。

法律层面上具体的义务冲突仅仅是表象，根源上是能给予法律义务的基础理由之间的冲突。[7]所以，协助执法义务能否优先履行是冲突义务背后保护的利益之间的博弈结果。协助执法义务是为了协助侦查机关打击犯罪，其背后对应的是国家安全和公众利益，侦查过程中涉及的公民个人权利通常包括了隐私权，而相对于个人隐私，国家安全与公共秩序在立法价值序列中总是处于更高的位阶。值得注意的是，隐私权从来就不是一项绝对的、排他性的权利。[8]例如，我国宪法第40条在规定公民通信自由和通信秘密受法律保护的同时，也明确了因国家安全和追查刑事犯罪需要的例外。[9]因此，基于追诉犯罪和保障国家安全、公共利益的目的，侦查机关有权获取公民个人信息、隐私信息，对此要求网络服务提供者予以协助也是正当的，只是其对该措施的适用条件、可用手段以及审批和实施程序等都应有法律明确规定，并且具体的实施必须严格遵循这些规定。

四、明确界定网络服务提供者侦查协助义务范围的路径

由于侦查协助义务是对保护公民基本权利的例外突破，因此其具体范围必须受到严格限制，这种限制体现在两个方面：一方面，侦查协助义务的范围必须清晰明确，因为侦查协助义务同时也构成了保护义务的边界，例外规定的模糊会使得这一限制无所适从;另一方面，侦查协助义务不得过度侵犯公民的基本权利，即义务范围不得任意扩张，必须尽可能减少对基本权利的侵犯。

（一）法律应明确规定网络服务提供者的侦查协助义务

网络服务提供者的侦查协助义务是执法权的延伸，那么从法治原则的角度出发，这种延伸应当由法律明确规定。公民基本权利构成对国家权力的天然制约，当两者出现对立时，法治原则介入并进行调和，要求对于公开发布、平等实施和独立裁断并符合国际人权规范和标准的法律，国家权力机关应遵守并对其负责。[10]网络服务提供者的侦查协助义务必须依据法律的明确规定，而前文所述的警企合作建立数据共享平台，因其针对了不特定多数人的信息，以及缺乏明确的法律规定，所以暂时不能成为侦查协助义务。

（二）网络服务提供者履行侦查协助义务具有强制性

当侦查协助义务有具体的法律来源时，对网络服务提供者的义务履行就具有强制性。换言之，该义务是网络服务提供者对其掌握的用户信息的保密义务的例外，所以网络服务提供者不能以可能侵犯到第三人隐私或者商业利益为由，拒绝履行此义务。

但是，义务的强制性并不意味着网络服务提供者对侦查机关的所有要求都应无条件配合，而是只能在执法权延伸的应然范围内予以协助。当侦查机关的要求超出范围时，网络服务提供者有权拒绝协助。如果此时触发了其对保护公民个人信息、隐私等法定义务，那么就必须确保公民基本权利不受包括侦查机关在内的任何主体的侵犯。

（三）以比例原则限制侦查协助义务范围

由上可知，侦查协助义务的本质是执法权的延伸。在这一层面上，网络服务提供者侦查协助义务的边界限制与侦查机关的权力边界具有一致性，即网络服务提供者的侦查协助义务需要在国家权力的行使边界内履行，此时可以类推适用比例原则进行限制。比例原则最初起源于德国，被认为是现代公法领域中的“帝王条款”，是现代法治国家划分国家权力与公民个人权利界限的一项基本原则。[11]具体而言，包括适合性原则、必要性原则、相称性原则三项子原则。

1.适合性原则是指国家机关所采取的每一手段都必须用于实现法定的职能目标。[12]这项原则要求这种目标必须是可以识别的，并且可以准确界定。具体到侦查协助义务，宏观上，应当以维护国家安全与公众利益为前提，为了追查犯罪而履行相应义务;微观上，要根据具体的个案对义务的目标予以明晰。

因此，在个案中，不仅侦查机关的要求必须符合法律规定并且做到明确、具体，网络服务提供者在“代为”履行时也必须严格按照要求和规定进行。对于侦查机关而言，首先必须明确信息和技术的基本种类与范围;其次，所有要求必须予以明示、符合正当程序规定。就类型而言，如果侦查协助义务源自于任意侦查措施的配合义务，那么其履行就需要得到用户的放弃声明;如果侦查协助义务源自于强制侦查措施，则必须有明确的执法文书;如果针对需要网络服务提供者主动履行的义务，则需要预先通过法律规定其存留的数据类型、存留期限以及用途，防止网络服务提供者以此为由随意收集信息。

2.必要性原则是指如果为实现某一职能目标，存在两种以上的手段，那么必须采用对公民个人权利损害最小的手段。[13]因为侦查协助义务作为执法权的延伸必然会在一定程度上侵犯个人权利，尽管网络服务提供者的协助可以极大地提升侦查效率，但必须加以限制，防止滥用。所以，必须审查不同侦查措施可能侵犯公民基本权利的大小。例如讯问犯罪嫌疑人获取的密码属于相关用户自愿放弃其对个人信息的保护，而网络服务提供者提供技术协助与支持则是对个人信息保护的例外，并且不能完全排除因为技术漏洞对其他持有相同手机的用户的影响。因此，侦查机关必须证明已经讯问犯罪嫌疑人而无法获得相应密码，才能要求网络服务提供者履行技术协助义务。

在侦查实践中，必须以任意侦查措施为原则，以强制侦查措施为例外，坚持任意性侦查措施优先适用于强制性侦查措施，对公民基本权利侵犯小的强制性侦查措施优先适用于对公民基本权利侵犯大的强制性侦查措施的审查标准。侦查协助义务是公权力的延伸，而基本权利多数时候难以对抗国家机器的运行，所以必须尽可能地限缩侦查协助义务的范围。只有在其他方式无法合理地实现目的时，才能适用对公民的基本权利侵犯程度更高的方式。

3.相称性原则是指只能采用对公民个人权利损害较小的手段来保护较大的国家、社会公共利益;不得采用对公民个人权利损害较大的手段来保护较小的利益。[14]这一原则要求损害的公民基本权利应该与维护的国家、社会公共利益的重要性相对等。上文已提到，从侦查协助义务中识别出了个人信息与个人隐私。区分不同的个人信息以划定保护和利用程度的不同，在个人信息法律保护中并不陌生。[15]因此，侦查协助义务也需要针对不同等级的基本权利，设置阶梯式的对应方式。因为侦查协助义务贯穿整個刑事诉讼阶段始终，裴炜教授提出，可以在不同的侦查阶段匹配不同的侦查协助义务。即将侦查阶段划分为立案侦查阶段、初查阶段以及预测警务阶段，并且对敏感类信息的干预仅限于立案侦查阶段;初查阶段以不干预个人敏感信息为原则，并以经特殊程序许可的有限干预为例外;预测警务阶段则严格禁止对个人敏感信息的干预。[16]此外，不同的犯罪类型对应了不同的法益，因此在确定侦查协助义务的履行方式时，有必要区分不同的案件类型和侦查措施。比如，技术侦查措施是最有可能侵犯隐私的侦查方式，根据《刑事诉讼法》第150条[17]之规定，只能适用于严重危害社会的犯罪案件，并且经过严格的程序审查，网络服务提供者履行配合技术侦查的义务时，也应当在此范围内进行。