数字正当程序:网络时代的刑事诉讼
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

四、经营目的对协助执法义务的限制

从以上分析可以看出,网络信息业者同时扮演着公权力扩张与公民基本权利延伸的双重角色,这两种角色并非必然一致,而角色冲突的根源在于“权力—权利”二元互动过程中的固有张力。从这个意义上讲,网络信息业者协助执法义务边界划定与一般执法机关的权力边界划定具有一定的相似性,也正是基于此,比例原则能够类推适用于网络信息业者,此时的协助执法义务边界首要的是一项立法任务。

但是,两种角色之间的冲突同样意味着实践中网络信息业者不可能全然居中,甚至有可能同时偏离两种角色。在这一过程中起核心作用的是网络信息业者自身的商业经营目的。因此,在网络信息业者身上我们看到的并非单纯的“权力—权利”二元互动,而是更为复杂的“权力—权利—经营目的”三元互动。网络信息业者的经营目的不仅独立于其所承担的协助执法与权利保障义务,还直接或间接决定着两种义务冲突时网络信息业者的实际站位。[52]更重要的是,相对于协助执法与权利保障,网络信息业者的经营目的构成其作为商业主体存在的基础,对于该目的的违反将可能直接损及网络信息业者的存在价值。正是基于此,我们在前文中已经论证,网络信息业者所承担的协助执法义务可以限制但不应实质性地损及其经营目的。具体而言,网络信息业者的经营目的主要在以下三个层面可能限制其协助执法义务。

(一)经济成本对协助义务的限制

第一层限制来自协助执法成本。实现利润最大化的重要途径之一是降低成本。通过协助执法,一部分执法成本由执法机关转嫁给网络信息业者,从而对其利润最大化形成负面影响。以谷歌为例,谷歌每年定期发布两次《谷歌透明度报告》(Google Transparency Report),公布其收到的用户信息披露请求数量,以及实际执行情况。[53]根据该报告,谷歌2019年下半年收到政府部门的关于用户信息披露的请求数量高达81785份,而在报告伊始的2009年,这一数量仅为12539份。对于这些请求,谷歌并非不加区分地予以合作,2019年上半年其实际执行的请求数量占到全部请求量的74%。即便在执行求情的情形下,谷歌也并非全部完整执行,而是要根据相关法律规定,对请求事项与待披露用户信息之间的相关性进行判断,从而确定每份请求的具体执行程度。

很显然,运行这样一整套应对机制要耗费大量的人力、物力、财力,并且可以进一步推导出的是,保护公民基本权利的倾向越强,应对机制越复杂,从而耗费的成本越高。以上成本还不包括用户可能基于该协助执法行为提出诉讼所形成的成本。诸如谷歌这样的大型网络信息业者尚有能力支持该机制大规模长时间运行,但网络经济发展并不平衡,对于经济与技术能力相对较弱的网络信息业者,运行这样一套机制则相对困难。从这个角度讲,一刀切式地要求所有网络信息业者在同等程度上承担协助执法义务既不合理也不现实。

针对网络经济发展不平衡的问题,我国立法也作出了一定的回应,其中以《网络安全法》尤为典型。例如该法第29条规定,“国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力”。同时,《网络安全法》设置“网络安全支持与促进”专章,强调国家对网络安全技术推广、普及、创新的重要作用。这些规定通过国家层面的推动与行业内相互扶持,促进不同重量级的网络市场主体进行资源和技术共享,从而在整体上提升服务于国家利益或公共利益的能力。

据此,我们可以得出第四项和第五项结论:网络信息业者协助执法带来的经济成本不应当实质性地减损其经营利润;经济成本的有效降低不仅需要通过企业间、企业与行业协会间的资源共享,还需要国家履行积极义务予以扶持。

需要注意的是,以上论述并不否定协助执法可能带来的包括政策优惠等在内的经济效应。例如阿里巴巴集团与浙江省高级人民法院共享淘宝地址以促进文书送达,[54]反映出网络信息业者的一种积极态度。一方面这种配合的态度可以为网络信息业者营造相对友好的公权环境,另一方面公权良好运行也会改善和提升网络环境,从而回馈于商业主体。欧洲委员会(Council of Europe)2008年发布的《打击网络犯罪报告》正是从后者的角度出发,阐明网络犯罪控制于公于私的多重利益,鼓励执法机关与网络信息业者加强理解,进而形成对抗网络犯罪的合力。[55]

(二)用户信任对协助义务的限制

如前所述,对于执法协助请求不加区分地予以协助或许可以在一定程度上降低协助成本,但从谷歌的例子可以看出,全面配合并不必然构成网络信息业者的最优选。之所以出现这种情况,是因为影响网络信息业者利润最大化的一个重要因素在于其用户对于产品的认可度。

旨在推进网络公民基本权利保障的国际民间组织电子前沿基金会(Electronic Frontier Foundation,EFF)每年针对大型网络平台发布报告,从用户信息保护角度对其进行综合评价和排名。[56]该报告采用了六项评价标准:第一,是否就通信内容信息要求提供司法令状;第二,是否就预测性的位置信息要求提供司法令状;第三,是否发布政府索取用户信息的透明度报告;第四,是否发布针对执法部门的行为指引;第五,是否在政府索要数据时通知用户;第六,是否作为数字正当程序联盟(Digital Due Process Coalition,DDPC)[57]成员在议会中呼吁用户隐私保护。

EFF的报告直接反映出用户对于网络信息业者的要求和评价体系,从而从市场需求的角度,对网络信息业者的服务供给形成限制。也正是基于该考量,在斯诺登事件之后,美国大型网络公司在面临重大用户信任危机的背景下,开始积极重构其与公权力的合作机制。上文提及数字正当程序联盟正是这一发展的典型例证。事实上,有学者指出,斯诺登事件最重要的影响,就在于它通过曝光对公民个人信息的大面积政府监控,使得政府与企业之间长期存在的合作关系面临新的挑战。[58]

如前所述,用户对于个人信息保障的需求会直接映射到网络信息业者的服务供给中去。这种映射并非基于公民基本权利保障的价值考量,更多的是从市场自由竞争的角度出发,通过满足用户需求、提升用户体验来强化服务的竞争优势。换言之,改善特定网络服务的个人信息特别是隐私的保障水平有助于强化网络信息业者的市场比较优势,从而在这个意义上服务于其作为商业主体所追求的利润最大化目标。苹果公司中国区宣传口号“你的设备,只有你能访问”、“你的个人数据只属于你,而绝非其他人”是这一考量的典型例证。[59]

需要注意的是,这种对于个人信息的强化保障不仅仅是网络信息业者价值选择的结果,很大程度上与技术本身的特性相关。以通信加密技术为例,网络通信服务提供者既可以采用托管加密模式(escrowed encryption),也可以采用端对端加密模式(end-to-end encryption),两者的核心区别在于是否存在通信双方以外的包括服务提供者在内的第三方掌握或备份通信密钥。一般认为,在其他条件相同的前提下,托管加密模式由于密钥的知情方更多,因此在保证信息加密完整性方面相对于端对端模式更弱,加密系统被侵入的风险相对更高。[60]2015年,面对政府再次兴起的要求网络通信服务提供者加密系统后门的倾向,美国计算机安全领域的多位专家联合发布报告,认为这种向第三方提供通信信息入口的技术存在重大缺陷;通过引入此类入口,现有的通信秘密保护机制可能面临不可预测的破坏。[61]基于该考虑,网络信息业者存在减少密钥接触渠道的强烈动机。以阿里云为例,其所提供的加密服务的重要优势在于“云计算服务商只能管理设备硬件……密钥完全由客户管理,阿里云没有任何方法可以获取客户密钥”[62]

在这一语境下,是否在技术层面为执法人员开设后门,已经不再单单是“隐私—安全”之间的较量,而是“安全—安全”之间的平衡。由此进一步延伸,如果政府为提升网络安全之目的要求网络信息业者在技术层面对其加密服务设置一般性的例外措施,而添加该项例外本身将系统性、实质性地损及该网络服务在保护个人信息层面的安全性,那么网络信息业者履行设置后门的义务无异于饮鸩止渴,本质上也构成对比例原则适当性要求的违反。据此,我们得出第六项结论:网络信息业者所承担的协助执法义务不应当在技术层面不可行,或者对提供服务所必需的技术的核心功能造成实质性损害。

(三)市场全球化对协助义务的限制

网络经济区别于传统经济的一个重要特性在于其弱地域性。相对于传统企业在推进业务全球化过程中的积极主动地位,网络服务的全球化进程更多的是业务发展的必然结果。对于网络信息业者而言,市场的全球化意味着其协助执法义务也同步全球化。国家执法行为具有强烈的主权属性,与之对应的是清晰的地域性特征。由此产生网络信息业者经营业务弱地域性与协助执法义务强地域性之间的张力。

原则上,网络信息业者应当遵守业务所在国的相关法律规定,但是网络经济的高度竞争以及用户在世界范围内的高速流动,使得网络信息业者要实现全球范围内的竞争优势,就需要谨慎平衡不同区域协助执法的力度。仍以2016年苹果公司与美国联邦调查局(FBI)的争议为例,在接到联邦法官要求其配合FBI调查,协助解锁iPhone手机的命令之后,苹果公司首席执行官蒂姆·库克(Tim Cook)发表公开声明,强调如果提供协助将会形成一个“危险的先例”(dangerous precedent),日后苹果的协助执法将难以避免地扩展至全体用户的各类数据。[63]

在一定程度上,基于区域规则差异所形成的网络信息业者在具体协助执法过程中的犹豫态度,可能会进一步折射出各国在世界范围内的主权与话语权之争。这一争议在微软爱尔兰案中尤为明显。[64]2013年,为对一起贩毒案件进行调查,纽约市一名区法官根据1986年《存储通信法》(Stored Communications Act)签发令状,要求微软公司提供与一特定账号相关的全部信息和邮件。尽管账号信息存储在微软的美国服务器上,但相关邮件的存储服务器位于爱尔兰的都柏林。微软在履行了账户信息披露义务后,拒绝提供在爱尔兰服务器上存储的邮件。2014年,一名联邦治安法官再次要求微软提交相关邮件,微软向第二巡回区上诉法院提出上诉。2016年,上诉法院推翻了之前法院的裁判,并宣布令状无效。2017年6月,美国司法部将此案上诉至最高法院。最终该案件以美国制定《澄清域外合法使用数据法》(Clarifying Lawful Overseas Use of Data Act,CLOUD Act,下文简称《云法》)得以形式上解决。

在过去,微软在挑战美国政府的协助要求中屡战屡败。此次案件之所以会在上诉期间出现重大转折,一个重要的影响因素是包括爱尔兰政府在内的众多机构和组织出具了法庭之友意见书(amicus brief)以支持微软,[65]爱尔兰政府更是强调其绝不接受他国司法程序对于本国主权的减损,相关邮件的提供应当在国家间司法协助的基本框架下进行。[66]这一表态一方面在国家主权层面有助于爱尔兰保障本国数据主权和安全,另一方面也意味着在国际对话层面,国家在设定网络信息业者所承担的跨境数据协助执法义务时,需要考虑该义务可能对本国执法产生的反弹作用。基于此,我们可以得出第七项结论:从全球化的角度来看,宽泛设定网络信息业者的协助执法义务在实践中并不必然能够充分实现,也并不必然有助于本国在国际网络安全与数据安全攻防战中获益。在这个意义上,网络信息业者协助执法义务的设定需要充分考量和尊重通行的国际规则与惯例。