三、“权利—权力”关系形成的协助义务边界
就“权利—权力”关系对网络信息业者的协助执法义务的限制而言,有必要分两个步骤进行分析:其一是对网络信息业者三项义务所涉及的公民基本权利加以识别;其二是以比例原则的四项要求为框架,进行义务边界的划定。
(一)公民相关基本权利识别
如前所述,网络信息业者的三项执法协助义务基本上围绕着用户个人信息展开,无论该信息是注册信息、服务信息抑或内容信息。《宪法》第二章集中规定了公民的基本权利,其中与用户信息相关的主要包括第33条概括式规定的“人权”、第35条规定的“言论自由”和第40条规定的“通信自由和通信秘密”。在《宪法》构建的基本权利框架下,部门法也通过具体规定进一步落实基本权利的保障,例如《民法典》第110条规定的“隐私权”和第111条规定的“个人信息”;《刑法》自1979年以来一直设置专章保护公民的人身财产权利,特别是《刑法修正案(九)》增加的侵犯公民个人信息犯罪,进一步确认个人信息作为公民受法律保护权益的属性。
在以上公民基本权利中,宪法与法律层面明确作出权利干预限制的是通信自由和通信秘密,只能“因国家安全或者追查刑事犯罪的需要”并且“由公安机关或者检察机关依照法律规定的程序”进行检查。法律层面,《民法典》在确认隐私权与个人信息相关权利时,未就干预行为的目的加以区分,仅在个人信息项下不完全列举了非法干预此项权利的形式。[32]
以上权利在规范性文件的效力级别、效力范围、干预方式、干预强度等方面均存在差异,这些差异将进一步影响比例原则四项要求的具体衡量和适用。因此,除识别网络信息业者协助执法义务可能涉及的权利类型以外,仍有必要从权利性质、范围、内容等角度进行纵向层级上的划分。
第一,从权利依据的规范性文件效力层级角度出发,有必要对《宪法》第40条规定的“通信自由和通信秘密”做进一步分析。2004年全国人大常委会法制工作委员会在《关于如何理解宪法第四十条、民事诉讼法第六十五条、电信条例第六十六条问题的交换意见》(以下简称《交换意见》)[33]中,就该项权利进行了原则性说明。首先,《交换意见》肯认公民通信自由和通信秘密不仅是公民的基本权利,并且强调“该项权利的限制仅限于宪法明文规定的特定情形”;其次,就所涉的特定案件情形而言,《交换意见》认为,移动用户通话详单反映了“通话对象、通话时间、通话规律等大量个人隐私和秘密,是通信内容的重要组成部分,应属于宪法保护的通信秘密范畴”;最后,《交换意见》明确法院取证需符合宪法规定,不得侵犯公民的基本权利。
《交换意见》重申了《宪法》第40条的上位效力,但其在一般适用过程中仍需进一步明确何为“通信自由和通信秘密”。《交换意见》反映出的逻辑是通信秘密包括但不限于通信内容,而通信内容不仅包括信息内容本身,还包括与通信行为相关的附带信息,例如通信对象、时间、规律等。《宪法》第40条并未进一步明确“通信”的含义,但从相关司法裁判来看,凡是起到信息传递与交流功能的行为,都应当属于通信行为。例如2012年浙江省舟山市中级人民法院审理的一件行政诉讼案件中,[34]争议焦点之一是电脑QQ聊天记录属于宪法规定的公民通信权利还是民法意义上的隐私权,两者之核心区别就在于对于该权利的干预是否仅限于“国家安全或追查刑事犯罪”之目的。对此,舟山市中院认为,“腾讯QQ……主要功能就是对外联络和交流,在本质上与信件、电报等传统的通信方式一样均属于公民通信自由和通信秘密的范畴”。与之相类似地,承担有信息传输交流功能的电子邮件、即时通信等网络服务同样应当被划入《宪法》第40条的保护范围。
第二,权力干预的信息类型不同,对于基本权利的干预程度亦会有所差异,例如2015年《布达佩斯公约》委员会在其报告中明确区分注册人信息(subscriber information)、交互信息(traffic data)和内容信息(content data),包括英国、澳大利亚、法国等国家则采用了内容信息与非内容信息的二分模式。[35]该区分是基于一个前提假设作出:相对于非内容信息,内容信息会更加直接、完整地反映出包括隐私在内的个人敏感信息,从而对相关公民基本权利形成的干预更为严重。以美国为例,如果仅收集用户的基本注册信息,则仅需要大陪审团签发的传票即可;如果要收集与邮箱账号相关的IP地址信息,则需要为刑事侦查之目的,以具体且确定的事实为基础;如果要对邮件内容进行搜查,则必须以法院签发的刑事案件搜查证为依据。[36]因此即便当前各级规范性法律文件未对通信权以外的其他权利就公权力干预上设置特殊限制,我们仍有必要深入到权利内部,对干预程度进行阶层划分。
第三,单纯就信息所涉及的内容而言,不同国家往往基于其社会历史文化形成对一般信息和敏感类信息的划分,后者往往与“隐私”联系在一起,例如1998年《英国数据保护法》(Data Protection Act 1998)长期将种族背景、政治观点、宗教信仰、健康、性健康和犯罪记录等信息列为敏感信息,并对这些信息进行更为严格的保护。[37]与之类似地,《欧盟个人数据刑事司法指令》第10条将种族、政治观点、宗教或哲学信仰、商业组织身份、生物信息、健康信息、性信息等列为特殊类型的个人信息,并严格限制此类信息可以处理的情境。[38]
第四,权力干预的信息范围不同,同样会对公民的基本权利构成不同程度的侵犯。基于镶嵌论(mosaic theory)的相关理论,[39]针对公民信息搜集的范围越广,在其中发现或拼组出公民个人信息、隐私或通信信息的可能性越大,从而对公民基本权利侵犯的程度越高。正是在这个意义上,各国对于公民信息不加区别的收集(bulk interception)通常采用更高的限制。例如美国在2015年出台的《美国自由法》(Uniting and Strengthening America by Fulfilling Rights and Ensuring Effective Discipline Over Monitoring Act of 2015,USA Freedom Act)第201条明确要求监听设备依附于具体的特定物品,而不能在广阔地域上开展。类似地,2020年,欧洲法院通过判例明确表示,为一般性打击犯罪和国家安全的目的,要求电信服务提供者不加区分地收集和传输交互数据和位置数据,这种国内法违反欧盟法。[40]
第五,公权力收集、使用信息的方式不同,也会影响对公民基本权利的干预程度。典型的例子是对信息的动态收集(real-time collection),由于无法事前确定可能采集到的信息类型和内容,在一定程度上相当于不加区分的信息采集,因此相对于静态的信息搜集,动态信息采集的限制更严格。美国最高法院本尼特(Bennett)大法官在2012年的格雷勒姆案(United States v.Graham)中[41]就回溯性(retroactive)的静态信息搜集与预期性(prospective)的动态信息搜集进行了区分,并以此作为宪法第四修正案是否适用的判断标准之一。
据此,就网络信息业者协助执法义务可能干预的公民基本权利,我们可以从以上五个向度对涉及的用户信息进行区分,并由此建构起比例原则适用的基本框架,接下来我们将进一步进入框架内,从四项要求逐步划定网络信息业者的协助执法义务边界。
(二)基于比例原则的协助义务边界
比例原则三项要求的适用前提是目的正当性。如前所述,在两个向度划分的信息类型中,除通信权类信息外,公权力对于其他类型信息的干预在这一层面存在法律依据即可。就通信权类信息而言,目的正当不仅意味着该目的为法律规定所认可,还意味着该目的的特定性,即“国家安全或追查刑事犯罪”。就国家安全而言,《国家安全法》第2条将其定义为“国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力”;而“追查刑事犯罪”则以《刑法》明文规定之犯罪行为为对象,以《刑事诉讼法》规定之权力为界限。
司法实践中存在仅以满足前者即认定干预行为正当的情形,例如2014年四川省蔡某华与龚某能、王某刚、郝某财提供劳务者受害责任纠纷一案[42]中,一审法院依职权调取了再审申请人的通话记录,被申请人主张该行为是法律赋予的权力,因此不构成对公民通信自由和通信秘密的侵犯。四川省高级人民法院最终认可了这一主张。但是该主张的问题在于,仅因法院之取证权由《民事诉讼法》授权,遂认定未侵犯公民通信权利,实则忽视了《宪法》第40条对于干预目的和干预主体的双重限制。《民事诉讼法》作为下位法,其授权不得与上位法相抵触,因此法院以解决民事纠纷为目的调取公民通话记录应当属于对公民通信权的不当干预。[43]事实上,这也恰恰是《交换意见》反映出的信息,即法院之取证行为不得与宪法相违背。与之相类似地,即便是由公安机关进行调查取证的治安管理案件,同样不符合《宪法》第40条限定的目的。[44]
这里需要额外讨论的一点是,如何看待刑事正式立案之前的信息收集行为。原则上,案件是否正式进入刑事诉讼程序,以立案为标准,而立案则以发现犯罪事实或犯罪嫌疑人为前提。犯罪事实或犯罪嫌疑人的发现线索来源多样,特别是存在在行政执法过程中发现犯罪事实之情形。此时尽管行政机关收集的证据材料可以在后续的刑事诉讼程序中作为刑事案件证据使用,但其行为性质并不因此回溯性地被确认为“追查刑事犯罪”,因此也不能当然认为由于收集的信息未来可能用于证明刑事犯罪,从而在行政执法过程中对公民通信信息加以干预。
由此我们可以得出第一项结论,即就通信权类信息而言,网络信息业者不应当在普遍意义上承担此类信息的收集存储、审查监控和报告披露的协助执法义务。在具体案件的执法活动中,网络信息业者的协助义务也仅限于为国家安全或追查刑事犯罪之目的。就其他类型的信息而言,尽管其正当目的不仅限于此,但“正当性”之要求仍然成立,而该要求成立的前提在于事前对执法目的清晰具体的表述,以及事后对该目的正当性的可审查性。
从目前国内实践来看,司法层面的信息调取一般有司法行政机关公函为依据,其中会列明具体案件信息、法律依据、待查事项以及所需调取的证据。但是在行政执法层面,相应的程序性规则则相对确实。为规范互联网内容信息执法程序,2017年国家网信办制定了《互联网信息内容管理行政执法程序规定》,并在第四章专门就调查取证程序加以规定,遗憾的是该规定并未就调查取证行为所需的令状加以规定,从而导致具体案件中执法目的不明,进而阻碍比例原则后续要求的评价。
在此基础上,我们进一步对比例原则的其他三项要求进行分析。其中,适当性要求同样需要以目的之可识别性为前提。从这个角度讲,要在细化的规则层面对网络信息业者的协助执法义务进行限缩,首先需要在法律法规层面引入明确的令状规则,用以明确具体执法行为的目的。同时,考虑到网络信息业者在与国家权力机关互动过程中所处的相对弱势地位,应当从制度层面设置相应的措施,以保障网络信息业者在衡量所需履行的协助义务与执法目的之间的匹配性。
在此基础上,比例原则第三项要求强调的是手段的必要性,即在可以同等实现正当目的的前提下,采用对公民基本权利干预程度最低的手段。这里需要结合前文关于基本权利干预成本转移的探讨,对这一问题进行进一步分析。如前所述,网络信息业者之所以成为执法过程的重要参与者,在于用户不可避免地将各类信息交由其管理、使用,这种信息“信托”使得执法者可以绕过用户从网络信息业者那里获取相关信息,而法律法规就公民个人信息设定的保护措施在此种情形下似乎难以继续适用。
针对这一问题的应对大致可以分为两种类型:一类将问题核心转化为用户“同意”是否构成弃权行为;另一类则转化为执法行为是否构成“同意”的例外。前者的典型例证是美国隐私权保护中,构成合理隐私期待例外的“第三人条款”。根据该条款,当权利主体自愿将信息提交给第三方主体时,其不再对该信息享有合理隐私期待,进而意味着美国宪法第四修正案对于该项权利的保障不再适用。[45]这一规则在网络时代受到了严重挑战,关键在于用户为获得网络服务而不得不向网络信息业者提供信息,该行为能否适用“第三人条款”。可以看到的是,从2012年的琼斯案(United States v.Jones)[46]再到2018年的卡朋特案(Carpenter v.United States)[47],“第三人条款”对于网络信息业者的适用在逐步弱化。从本质上而言,信息使用目的的转化使得用户原先为获取相应服务而作出的信息收集和使用授权难以当然地扩展至执法行为。
就第二种转化而言,关键在于设置这种例外的本质是公权力赋权行为,从法治原则的角度出发,这种赋权应当有法律上的明确规定。例如,根据美国相关法律规定,政府部门可以通过出具行政令状或《联邦刑事诉讼规则》规定的令状,要求远程计算服务提供者披露电信或电子通信的内容信息,但政府对该服务的注册者或用户的告知义务仅在后一种情形中可以豁免。[48]就非内容信息而言,则条件相对放宽,政府部门主要可以在五种情形下要求远程计算服务提供者提供此类信息:(1)根据《联邦刑事诉讼规则》获取有权法院的特定令状;(2)在特定情形下获取法院命令;(3)获取注册者或用户的同意;(4)针对电话销售诈骗,就用户或注册者的姓名、住址、工作地址向服务提供者出具正式的书面信息提取函;(5)要求提供的信息限于姓名、住址、通信时长、距离、支付方式、电话号码或服务号码等信息。[49]与之相类似地,2016年《欧盟通用数据保护条例》(General Data Protection Regulation)明确归纳出合法处理数据的六种情形,其中除数据被收集者同意外,其他几项都必须建立在为特定目标所必需的基础上。[50]
基于以上分析,我们可以得出第二项结论,即网络信息业者所承担的保护和尊重用户个人信息的义务,其本身应当被视为公民基本权利的延伸。基于执法之目的对该义务设定例外,本质上仍然是对公民基本权利的干预。在此基础上,将执法对象从具体公民个体替换为网络信息业者,并不能够实现降低基本权利干预程度的目标。但并不意味着这种替换不能提高执法收益。
由此,接下来的一个问题是,执法行为作为网络信息业者所承担的用户个人信息保护义务之例外情形时,所依赖的正当化基础是什么。回答这个问题涉及对执法行为所欲保护之利益与公民基本权利保护之利益之间的衡量,由此我们进入到比例原则最后一项要求即均衡性要求的考察。根据该要求,“国家所干预的基本权利愈重要,对基本权利的干预愈强、造成的损失愈大,由此得以实现的其他法益就应该愈重要,对这些法益的实现的促进作用就应该愈大”[51]。就协助执法而言,该项要求的核心问题在于,网络信息业者所承担的保障用户信息的义务在何种情形下基于何种理由依何种条件可以被豁免。
从前文就公民基本权利的分析可以看出,信息收集或使用的方式、对象、程度、范围、目的不同,对于公民基本权利的干预程度亦会有所差异,这种差异恰恰构成了狭义比例原则要求适用的核心。由此我们可以得出第三项结论,即网络信息业者所承担的协助执法义务的强度,应当与用户信息的具体干预形式形成阶层式对应。具体而言,该结论由以下五个推论构成:第一,针对内容信息的协助义务门槛应当高于非内容信息;第二,动态信息监控审查的协助义务门槛应当高于静态信息的收集存储义务;第三,涉及个人隐私等敏感类信息的协助义务门槛应当高于其他个人信息;第四,针对用户的不加区分的信息搜集的协助义务门槛应当高于特定类型信息搜集;第五,针对预测性信息收集的协助义务门槛应当高于回溯性信息收集。
在此基础上,我们仍然有必要就“门槛”的构成要素进行进一步探讨。通过考察国内外相关立法与司法实践,我们可以归纳出以下几个关键要素。第一,从干预行为所欲实现的法益类型而言,一般区分为公共利益与个人利益,前者可以进一步划分为包括犯罪治理、国家安全等在内的重大公共利益与一般性社会治理公共利益,后者可以区分为信息被收集者利益与第三方主体利益。基于该区分,一方面,刑事司法或国家安全多构成公民基本权利保护之例外,或者立法对其设置相对较低的限制;另一方面,为第三方利益所进行的执法活动往往难以直接对抗信息被收集者的合法权益。
“门槛”的第二个和第三个构成要素分别是限制条件的数量和强度。第二,就限制条件数量而言,主要涉及不同来源的限制条件是否叠加的问题,对此可以划分为两类:一类是来自私主体的限制条件,例如前文论及的被收集者同意;另一类是来自公权力主体的限制条件,例如对于令状的要求。第三,就限制的强度而言,一定程度上可以转化为干预条件实现的难易程度。以前文提及的美国关于远程计算服务内容信息提取的规定,由法院依照《联邦刑事诉讼规则》签发的令状,其获取程序的严格程度高于行政令状,因此如果以前者作为收集使用公民个人信息的条件,其实现难度明显高于后者。通过将限制条件的数量与强度进行不同方式的组合,从而形成与被干预权利的层级化对应。