五、结论

社会网络化的不断深入，使得网络信息业者成为各相关利益主体的“兵家必争之地”。在多方关系交错复杂的环境下，网络信息业者在作为商业主体的同时，已经被赋予了另外两重身份：在用户信息保护层面，其承担着公民基本权利延伸的角色；在社会治理层面，其承担着公权力延伸的角色。正是这三重身份的叠加，使得网络信息业者的协助执法义务可能与其他主体的合法权益相冲突，从而使得义务边界的划定不仅复杂，而且必要。

基于该三重身份，并从“权利—权力”互动和网络信息业者经营目的两个角度出发，本章对网络信息业者的协助执法义务的具体划定形成了七项结论，对应可以转化为网络信息业者协助执法义务边界划定的七项原则：

第一，基于《宪法》第40条，网络信息业者不应当在普遍意义上承担通信权类信息的收集存储、审查监控和报告披露的协助执法义务。

第二，网络信息业者所承担的协助执法义务必须受到其所承担的保护公民基本权利之义务的限制，前者对于后者的干预应当符合比例原则。

第三，网络信息业者所承担的协助执法义务的强度，应当与对用户信息的具体干预形式形成阶层式对应。

第四，网络信息业者协助执法带来的经济成本不应当实质性地减损其经营利润。

第五，经济成本的有效降低不仅需要通过企业间、企业与行业协会间的资源共享，还需要国家履行积极义务予以扶持。

第六，网络信息业者所承担的协助执法义务不应当在技术层面不可行，或者对提供服务所必需的技术的核心功能造成实质性损害。

第七，网络信息业者协助执法义务的设定需要充分考量和尊重通行的国际规则与惯例。

通过参考国际大型网络公司的实践经验，同时结合我国的实际情况，以上原则至少可以先行从以下四个方面入手加以落实。第一，从政务公开的角度，允许甚至鼓励网络信息业者定期发布报告，就其在特定时间内收到的针对用户信息的协助要求数量、类型、执行程度、后续处理等信息向其用户进行发布。第二，从推进网络空间法治的角度出发，允许甚至鼓励网络信息业者对现有协助义务法律法规进行梳理并公布，便于执法机关和社会从外部监督协助行为的程序合法性与合理性。第三，推动司法在监督规范执法权的过程中发挥更重要的作用，其中既包括强调行政诉讼对于协助义务范围审查的功能，也包括司法机关在审查批准特定调查取证行为时的监督作用。第四，基于同意的用户信息处理，在网络信息业者履行执法协助义务的语境下至少应当转化为告知义务，在法律法规不禁止的前提下，将该协助行为所涉及的信息类型告知信息被采集者。在特定情形下，例如国家安全或刑事司法领域，应当允许法律设置告知的例外条款，但在其他情形中，这种告知应当作为原则存在，该项义务的豁免应当以个案审查为基础，并且需要相应的执法部门提供理由。

---

[1] 澳大利亚相关立法采用的是“metadata”一词，用于描述区别于内容信息的各类信息。法律文件引自https：//www.legislation.gov.au/Details/C2017C00192。

[2] 18 U.S.C.Chapter 121 §2703（f）.

[3] 荷兰《电信法案》第13.2a条。

[4] 这九个成员国为英国、丹麦、捷克、西班牙、爱沙尼亚、爱尔兰、赛普鲁斯、拉脱维亚、马耳他。

[5] European Commission，Evaluation Report on the Data Retention Directive （Directive 2006/24/EC），last modified April 19，2011，p.6.

[6] 参见Thilo Weichert & Kirsten Bock，Data Retention in Europe and Germany，https：//www.datenschutzzentrum.de/vorratsdatenspeicherung/20110614-data-retention-in-europe-and-germany.pdf。

[7] European Commission，Evaluation Report on the Data Retention Directive （Directive 2006/24/EC），last modified April 19，2011，p.7.

[8] European Commission，Evaluation Report on the Data Retention Directive （Directive 2006/24/EC），last modified April 19，2011，p.5.

[9] ECJ Judgment in Joint Cases C-293/12 and C-594/12 Digital Rights Ireland and Seitlinger and Others，issued on 8 April 2014.

[10] European Commission，Statement on National Data Retention Laws，September 16，2015，http：//europa.eu/rapid/press-release_STATEMENT-15-5654_en.htm.

[11] 《网络安全法》第28条规定：“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助”。

[12] Council of Europe，Explanatory Report to the Convention on Cybercrime （ETS No.185），issued on November 8，2001 and validated on November 23，2001，para.146.

[13] Cyber Convention Committee （T-CY），Rules on Obtaining Subscriber Information，report adopted by the T-CY at its 12th Plenary （2-3 December 2014），p.15.

[14] Cyber Convention Committee （T-CY），Rules on Obtaining Subscriber Information，report adopted by the T-CY at its 12th Plenary （2-3 December 2014）.

[15] Cyber Convention Committee （T-CY），Rules on Obtaining Subscriber Information，report adopted by the T-CY at its 12th Plenary （2-3 December 2014）.

[16] Sarah Eskens et al，Ten Standards for Oversight and Transparency of National Intelligence Services，http：//www.ivir.nl/publicaties/download/1591.

[17] Cyber Convention Committee （T-CY），Rules on Obtaining Subscriber Information，report adopted by the T-CY at its 12th Plenary （2-3 December 2014）.

[18] Cyber Convention Committee （T-CY），Rules on Obtaining Subscriber Information，report adopted by the T-CY at its 12th Plenary （2-3 December 2014）.

[19] Henrik Kaspersen，“Procedural Powers，Safeguards and Conditions in the Netherlands”，in COE，Report On Conditions And Safeguards Under The Budapest Convention On Cybercrime，March 29，2012，pp.16&31，https：//rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent？documentId=0900001680303194.

[20] OECD，The Economic and Social Role of Internet Intermediaries，http：//www.oecd.org/internet/ieconomy/44949023.pdf.

[21] 就企业社会责任的概念及类型化的讨论，参见蒋建湘：《企业社会责任的法律化》，载《中国法学》2010年第5期，第123-132页。

[22] 参见 OECD's Gurria Welcomes Call for “Social Compact for Digital Privacy and Security” as Critical First Step for Trust and Economic Prosperity，http：//www.oecd.org/newsroom/oecds-gurria-welcomes-call-for-social-compact-for-digital-privacy-and-security-as-critical-first-step-for-trust-and-economic-prosperity.htm。

[23] 该定义取自联合国安理会2004年发布的《冲突中和冲突后社会的法治和过渡司法：秘书长的报告》。引自联合国网站，http：//www.un.org/en/ga/search/view_doc.asp？symbol=S/2004/616&referer=/english/&Lang=C。

[24] 关于“法律之治”与“良法善治”的关系，参见张文显：《法治与国家治理现代化》，载《中国法学》2014年第4期，第5-27页。

[25] 杨登杰：《执中行权的宪法比例原则》，载《中外法学》2015年第2期，第371页。

[26] 参见 Aharon Barak，Proportionality：Constitutionality Rights and Their Limitations，translated from the Hebrew by Doron Kalir，Camrbidge University Press，2012，pp.250-278。

[27] 杨登杰：《执中行权的宪法比例原则》，载《中外法学》2015年第2期，第372页。

[28] Alan Z.Rozenshtein，“Surveillance Intermediaries”，70 Stanford Law Review 70 （2018）：99，p.102.

[29] 参见“The FBI and Apple are Facing Off over an iPhone Again.What's Going on？”，The Guardian （January 15，2020），https：//www.theguardian.com/us-news/2020/jan/14/fbi-apple-faceoff-iphone-florida-shooting。

[30] 参见Alan Z.Rozenshtein，“Surveillance Intermediaries”，Stanford Law Review 70 （2018）：99，pp.122-144。

[31] 例如在苹果与FBI的争斗中，民调显示支持和反对苹果公司行为的民众基本上持平。参见“CBS News poll：Americans Split on Unlocking San Bernardino Shooter's iPhone”，CBS News （Mar.18，2016），https：//www.cbsnews.com/news/cbs-news-poll-americans-split-on-unlocking-san-bernardino-shooters-iphone/。

[32] 《民法典》第111条规定：“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”

[33] 法工办复字〔2004〕3号。

[34] 舟山市太平洋科技发展有限公司与舟山市普陀区财政局财政管理行政处罚上诉案，浙江省舟山市中级人民法院（2012）浙舟行终字第14号行政判决书。

[35] 参见裴炜：《犯罪侦查中网络服务提供商的信息披露义务——以比例原则为指导》，载《比较法研究》2016年第4期，第95-97页。

[36] 参见Alan Z.Rozenshtein，“Surveillance Intermediaries”，Stanford Law Review 70 （2018）：99。

[37] 对于一般信息和敏感信息的区分同样体现在英国2017年新出台的《一般数据保护规定法案》（General Data Protection Regulation）中。

[38] Directive （EU） 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention，investigation，detection or prosecution of criminal offences or the execution of criminal penalties，and on the free movement of such data，and repealing Council Framework Decision 2008/77/JHA.

[39] 关于镶嵌论的基本原理和在司法中的运用，参见裴炜：《比例原则视域下电子侦查取证程序性规则构建》，载《环球法律评论》2017年第1期，第80-95页。

[40] 参见 CJEU Judgments in Case C-623/17，Privacy International，and in Joined Cases C-511/18，La Quadrature du Net and Others，C-512/18，French Data Network and Others。

[41] United States v.Graham，864 F.Supp.2d 384 （D.Md.2012）.

[42] 蔡某华与龚某能等提供劳务者受害责任纠纷申请案，四川省高级人民法院（2014）川民申字第1171号民事裁定书。

[43] 但正如学者分析大量现实案例总结的那样，将通话记录这种非内容信息定义为通信秘密，并未在实践中阻断法院非刑事的司法调证；相反地，电信公司即便以法工委2004年答复为依据拒绝提供证据，也难以避免被行政罚款的后果。参见杜强强：《法院调取通话记录不属于宪法上的通信检查》，载《法学》2019年第12期，第77-79页。也有学者认为，这里的争议点不在于非内容的通信信息是否属于通信秘密，而在于法院调证行为是否属于《宪法》第40条规定的“检查”。参见王锴：《调取查阅通话（讯）记录中的基本权利保护》，载《政治与法律》2020年第8期，第113-114页。

[44] 典型案例参见浙江省宁波市宁海县人民法院（2015）甬宁行初字第46号行政判决书。本案中，被告宁海县公安局在调查治安管理案件中，监控原告手机微信，从而获取了案件的关键证据。

[45] 合理隐私期待（reasonable expectation of privacy）检验标准是美国联邦最高法院在1967年的卡茨案［Katz v.United States，389 U.S.347 （1967）］中建立起来的。在随后1979年的史密斯诉马里兰州案［Smith v.Maryland，442 U.S.735 （1979）］中，最高法院认为用户通过将个人信息提供给电话公司，从而不再对该信息享有合理隐私期待。

[46] United States v.Jones，132 S.Ct.945 （2012）.

[47] Carpenter v.United States 585 U.S._ （2018）.

[48] 18 U.S.Code § 2703 （b）.

[49] 18 U.S.Code § 2703 （c）.

[50] 这六种情形包括：（1）数据被搜集者就一个或多个具体目的作出同意处理其个人数据的表示；（2）在被收集者作为合同当事人的情形下，为实施合同所必需，或者是被收集者签订合同前所必需的步骤；（3）为数据控制者履行其所承担法定义务所必需；（4）为保护被收集者或其他自然人重大利益所必需；（5）为实现公共利益或数据控制者履行公共职务所必需；（6）为实现数据控制者或其他第三方合法利益之目的所必需，但该利益与数据被收集者特别是儿童的基本权利和自由相冲突时除外。

[51] 参见杨登杰：《执中行权的宪法比例原则》，载《中外法学》2015年第2期，第372页。

[52] 参见 Alan Z.Rozenshtein，“Surveillance Intermediaries”，Stanford Law Review 70 （2018）：99。

[53] 参见 Google Transparency Report，https：//transparencyreport.google.com/user-data/overview。

[54] 参见《法律文书无法送达？浙高院与阿里合作，直接寄送淘宝收货地址》，载招远市人民法院官网2015年12月9日，http：//ytzyfy.sdcourt.gov.cn/ytzyfy/402518/402565/1248443/index.html。

[55] 参见 Council of Europe，“Cooperation between Law Enforcement and Internet Service Providers against Cybercrime：towards Common Guidelines”，https：//rm.coe.int/16802f69a6。

[56] 参见 EFF，Who Has Your Back？ Government Data Requests 2016，https：//www.eff.org/who-has-your-back-2016#download。

[57] 数字正当程序联盟是由隐私权律师、大型网络公司和智库共同组成的、旨在推动美国议会修改《电子通信隐私法》（Electronic Communications Privacy Act，ECPA）、实现数字环境中的程序正义，从而保护用户隐私保护的民间联合体。

[58] 参见 Bruce Schneier，Data and Goliath：The Hidden Battles to Collect Your Data and Control Your World，W.W.Norton & Company，2015，p.207。

[59] 参见苹果中国区官网“隐私”板块，https：//www.apple.com/cn/privacy/。

[60] 2016年苹果公司针对一名联邦法官要求其配合FBI调查，协助解锁iPhone手机的命令作出回应，技术层面的担忧是其拒绝合作的重要理由之一。参见“A message to Our Customers”，Apple （Feb.16，2016），https：//www.apple.com/customer-letter/。

[61] 参见Harold Abelson et al.，“Keys under Doormats：Mandating Insecurity by Requiring Government Access to All Data and Communications”，MIT Press （July 7，2015），https：//mitpress.mit.edu/blog/keys-under-doormats-security-report。

[62] 参见阿里云官网“加密服务”板块，https：//www.aliyun.com/product/hsm？spm=5176.7920199.765261.105.SbaXDA。

[63] 参见Tim Cook，“A Message to Our Customers”，Apple （Feb.16，2016），https：//www.apple.com/customer-letter/。

[64] Microsoft Corp.v.United States，in the Matter of a Warrant to Search a Certain E-Mail Account Controlled and Maintained by Microsoft Corportation.

[65] 参见 “Microsoft Reply Brief for Appellant”，http：//mscorpmedia.azureedge.net/mscorpmedia/2015/04/Microsoft-Reply-Brief.pdf。

[66] 参见 Vlad Dudau，“Ireland Files Brief in Support of Microsoft against the US Government”，Neowin （Dec.24，2014），https：//www.neowin.net/news/ireland-files-brief-in-support-of-microsoft-against-the-us-government。