《網絡犯罪公約》下網絡服務提供者的司法協助義務

汪沛文

（武漢大學邊界與海洋研究院，湖北 武漢 430072）

一、問題的提出

《網絡犯罪公約》（Convention on Cybercrime，以下簡稱《公約》）于2004年7月1日生效，迄今已有65個國家簽署并實行該條約，我國非《公約》締約國。《公約》雖被批評存在技術滯后、普適性不足①于志剛.“信息化跨國犯罪”時代與《網絡犯罪公約》的中國取舍［J］.法學論壇，2013（2）：94.、忽略了不同國家發展狀況的差異②周文.歐洲委員會控制網絡犯罪公約與國際刑法的新發展［J］.法學評論，2002（3）：79.等缺陷，但其仍是網絡犯罪領域最具代表性的國際刑事公約。近年來，隨著網絡通信技術的快速發展，相關犯罪亦隨之增加，我國以《刑法修正案（九）》為代表的刑事立法予以積極回應，為相關網絡犯罪的刑事處罰提供了明確的法律依據。但較于刑事實體規范的迅速反應，程序性規范的修正則略顯遲緩。除具體網絡犯罪的要件構成外，《公約》亦對程序性事項作出了規定，《公約》中關于網絡服務提供者的司法協助義務的內容較為詳盡。其中的得失對我國相關法律規范的修訂以及可能主導或參與的其他網絡犯罪國際條約而言，有著重要的參考意義。

二、《公約》中網絡服務提供者的司法協助義務的規定

（一）網絡服務提供者③ 《公約》中“serviceprovider”直譯應為“服務提供者”。《中華人民共和國刑法》《中華人民共和國民法典》等我國現行法律將網絡法律關系中的服務提供主體稱為“網絡服務提供者”，就該主體向網絡用戶提供相關網絡服務的法律地位而言，二者沒有區別。的認定

《公約》第一條第三款將網絡服務提供者分為兩類，一是向網絡用戶提供通過計算機系統進行通信服務的任何公私實體，二是帶此種通信服務或網絡用戶處理或存儲計算機數據的任何其他實體。

根據網絡服務的性質，廣義的網絡服務提供者類型有二：一是網絡信息內容提供者，即直接以自身掌握的數據信息通過網絡向用戶提供服務，例如不提供上傳存儲服務的電子圖書館、數據庫等；二是網絡中介服務提供者，包括物理通信意義上的網絡接入服務提供者及網絡平臺提供者。④陸旭.《網絡服務提供者的刑事責任及展開——兼評《刑法修正案（九）》的相關規定［J］.法治研究，2015（6）：61.《公約》所界定的網絡服務提供者僅指網絡中介服務提供者，而網絡信息內容提供者則作為一般主體，不對其刑事責任及刑事協助義務加以特殊規定。此種劃分方式，有助于明確網絡服務提供者的技術中立地位，并科以其能力范圍內適當的司法協助義務。

（二）數據保全義務

《公約》第十六條規定了已存計算機數據的快速保全制度。該條第一款規定，各締約國應通過立法等措施，使主管機關能對包含通信數據在內的指定計算機數據施以快速保全，其中易遭毀損丟失的計算機數據應予以重點考慮。根據該條第二款，此種數據保全義務的義務人為指定計算機數據的所有人或控制人。盡管計算機數據的財產權屬性并不明晰①王鐳.“拷問”數據財產權——以信息與數據的層面劃分為視角［J］.華中科技大學學報（社會科學版），2019（4）：104.，網絡服務提供者作為案涉計算機數據的直接經手人，對計算機數據擁有相當的控制能力，應當履行控制人所應承擔的數據保全義務。但是，《公約》第十六條規定的數據保護義務的義務人為一般主體，在數據保護義務的承擔上與用戶個人等其他主體沒有區別。

《公約》第十七條、第二十一條另就流量數據（trafficdata）予以特別規定。根據《公約》第一條第四款，流量數據指在一系列通信中，能表明通信來源、目的地、路徑、時間、日期、規模、持續時間及基礎服務類型的數據。區別于《公約》第十六條規定的能作為直接證據的普通計算機數據，流量數據容量較小且包含信息有限，通常不能作為直接證成犯罪事實的證明材料。但流量數據包含能描述犯罪行為發生地、發生時間等系列通信表征特性的關鍵信息，常能輔助偵查機關判斷犯罪行為的性質及規模，并可作為線索為刑事偵查指明方向，或作為間接證據補充直接證據的證明力，進而形成完整的證據鏈條。相較于其他復雜的普通計算機數據，流量數據對刑事偵查的作用明了且精煉。

《公約》第十七條特別強調了網絡服務提供者的流量數據快速保全義務。該條第一款規定，締約國應通過立法等措施，確保流量數據快速保全的實現，無論是否有多個網絡服務提供者參與通信傳輸，同時該條第二款規定，應確保網絡服務提供者迅速向主管當局或主管當局指定人員披露流量數據，使得主管當局能夠識別網絡服務提供商及通信傳輸途徑。在網絡通信中，常有數個網絡服務提供者參與信息傳輸，同時每個網絡服務提供者均僅控制部分流量數據，且流量數據既可能是在信息通過該網絡服務提供者的計算機系統時產生并留存，也可能是直接由其他網絡服務提供者傳送而來，此時需要綜合各個網絡服務提供者的流量數據才能發現指定通信的發起地與目的地。②皮勇.《網絡犯罪公約》中的證據調查制度與我國相關刑事程序法比較［J］.中國法學，2003（4）：151.《公約》第十七條意在保全流量數據的完整性，同時避免部分網絡服務提供者向其他同業者推卸流量數據快速保全義務。應當注意的是，根據《公約》第十七條第一款，該條規定的流量數據快速保全制度仍應在《公約》第十六條已存計算機數據的快速保全制度的框架下進行，《公約》第十七條是對第十六條的強調，并未另行科以網絡服務提供者新的數據保全義務，網絡服務提供者所應承擔的數據保全義務并未因流量數據的特殊性而在《公約》第十七條下加重。

（三）數據實時收集義務

《公約》第二十條、第二十一條分別規定了網絡服務提供者對流量數據和內容數據的數據實時收集義務。《公約》第二十條規定，締約國應通過立法等措施，迫使網絡服務提供者在其技術能力范圍內自行或協助主管機關實時收集與指定通信相關的流量數據。《公約》第二十一條對內容數據收集的規定與第二十條大體相同，但其適用范圍被限制在涉嫌嚴重違反締約國國內法的刑事調查中。

就對刑事訴訟程序的意義而言，數據實時收集義務與數據保全義務有相似之處，二者均意在使司法機關掌握相關犯罪證據，繼而使針對具體犯罪行為的司法指控得以成立，但《公約》規定的數據實時收集義務在負擔上重于數據保全義務。首先，在義務主體上，數據保全義務的義務主體為一般主體，網絡服務提供者所應盡的注意義務與其他掌握或控制相關計算機數據的主體所應盡的注意義務相比沒有明顯區別；數據實時收集義務具有針對性，其義務主體除主管機關外即為網絡服務提供者，不包含其他私法主體。其次，在義務履行的行為方式上，數據保全義務多為不作為，義務人僅需避免新增、修改、刪除相關數據即可充分履行數據保全義務，之后義務人依照主管機關要求提交數據的存儲介質，其所負擔的數據保全義務即告消除；數據實時收集義務的履行方式則為作為，網絡服務提供者應當充分使用其掌握的硬件設備及軟件技術積極主動地收集相關數據，完成流量數據與內容數據的實時收集義務。此外，《公約》第二十條第一款第二項、第二十一條第一款第二項雖規定流量數據與內容數據的收集均應當針對指定通信作出，但在數據收集實時性的要求下，網絡服務提供者只有不加事先審查即對一定范圍內的大量數據作無差別主動保存，才有可能做進一步篩查、分析，不加遺漏地完整收集刑事程序所需要的全部數據信息。數據實時收集義務的履行依賴于網絡服務提供者的主觀能動性，這同時對網絡服務提供者的設備及技術提出了較高要求。有囿于此，《公約》第二十條第一款第二項規定，網絡服務提供者的數據實時收集義務以其現有技術能力所能達到者為限，換而言之，網絡服務提供者有權以技術能力不足為由拒絕履行數據實時收集義務。

（四）用戶信息披露義務

網絡服務提供者的用戶信息披露義務規定于《公約》第十八條第一款第二項，締約國應通過立法等措施，使主管機關有權命令網絡服務提供者提交其用戶的相關信息。根據同條第三款，用戶信息指網絡服務提供者掌握的能反映用戶使用的通信服務類型、技術要求、服務時間、用戶身份、郵政或地理地址、通信電話、賬單付款信息以及在通信設備安裝時根據服務協議獲得的其他信息，但該信息屬于通信數據和內容數據的除外。

根據《公約》第十四條第二款及第十八條第二款，網絡服務提供者的用戶信息披露義務應當符合《公約》確立的刑事程序一般規則，其所披露的用戶信息應當與《公約》確定的類型化網絡犯罪、以使用計算機系統為犯罪手段的其他犯罪以及一般刑事犯罪的電子數據證據收集緊密相關。但是，區別于數據保全義務與數據實時收集義務，用戶信息披露義務不強調其所掌握的用戶信息與指定通信的關聯性。相較于流量數據與內容數據的實時收集，網絡服務提供者顯然有能力也有必要收集并留存其與用戶為達成網絡服務合同而形成的各項用戶信息。在涉嫌侵害用戶隱私權的法律風險上，網絡服務提供者對其已經掌握且浮于表面的用戶信息的定向披露，顯然較更深層次的流量數據及內容數據的實時收集更小。用戶信息披露義務的完成使司法機關得以直接偵查特定用戶，而網絡服務提供者將有可能從緊張的刑事協助義務中得以解脫，這無疑是其愿意所見的。

（五）保密義務

網絡服務提供者的保密義務散見于《公約》第二章各處。《公約》第十五條建立了網絡犯罪刑事程序中的公民權利保護原則，締約國應確保其國內法能對刑事程序中的人權及自由提供充分的保護措施，該條第三款另強調締約國應當注意刑事程序對第三方權利、責任及合法利益的影響。第十五條雖未直接點明公民隱私權的法益價值及網絡服務提供者的保密義務，根據該條概括指向的1950年《歐洲人權公約》、1966年《公民權利和政治權利國際公約》及其他國際人權文件，易因網絡信息傳播廣泛性、快捷性受到侵害的隱私權顯然應當包含在內。網絡服務提供者在履行刑事協助義務時，難能完全避免對公民隱私權的侵害，但網絡服務提供者應根據比例原則盡可能避免收集不必要的公民信息，并對其已經掌握的公民信息予以保密，將對公民隱私權的侵害降至最低。

此外，根據《公約》第十六條第三款、第二十條第三款、第二十一條第三款，締約國應通過立法等措施責成網絡服務提供者在履行數據保全義務、數據實時收集義務時對任何相關信息保密。此種保密義務不僅針對標的數據，亦包括相關刑事協助義務本身。數據保全及數據實時收集僅是刑事偵查程序的部分乃至起點，其泄密可能招致犯罪嫌疑人刪除、改寫相關數據，破壞相應證據并對抗刑事處罰，這不僅將對網絡服務提供者刑事協助義務的履行帶來困難，也會對后續刑事偵查產生不利影響。網絡服務提供者的保密義務不僅僅是保護公民隱私權等人格權利的主義務，亦是確保其刑事協助義務得以正確履行的從屬性義務。

三、《公約》下網絡服務提供者的司法協助義務的特點

（一）網絡服務提供者的判斷標準較為抽象

《公約》僅采用概念描述的方式界定網絡服務提供者。這種判斷標準雖正確描述了網絡服務提供者通過計算機系統向用戶提供通信服務或為用戶存儲處理數據的主要特征，但仍顯聱牙抽象。相較而言，《最高人民法院、最高人民檢察院關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》（以下稱《解釋》）第一條采用列舉方式，詳細說明網絡服務提供者的主要類型，將網絡服務提供者具象化，更易輔助司法機關對各類網絡服務提供者作出正確認定。

此外，《解釋》第一條第二、三項特別列舉了含信息發布、搜索引擎、即時通信、網絡支付、網絡預約、網絡購物、網絡游戲、網絡直播、網站建設、安全防護、廣告推廣、應用商店在內的信息網絡應用服務提供者及涉及電子政務、通信、能源、交通、水利、金融、教育、醫療的網絡公共服務提供者。此兩類網絡服務提供者雖可通過對《公約》第一條第三項作出擴張解釋被置于《公約》框架內，但《公約》第一條第三項的規定準確描述了《解釋》第一條第一項所稱“網絡接入、域名注冊解析等信息網絡接入、計算、存儲、傳輸服務”提供者。不難推測，《公約》在創立之初，其制度設計著眼于《解釋》第一條第一項的傳統網絡服務提供者，至于近年來出現并占據網絡服務主導地位的信息網絡應用服務提供者及網絡公共服務提供者并不在《公約》制定者考量之內。此種考量的缺失，除有礙于新興網絡服務提供者的認定之外，也為《公約》在網絡服務提供者應盡義務上的種種沉默埋下伏筆。

（二）缺少針對網絡服務提供者的刑事處罰

就網絡犯罪刑事實體問題，公約規定了包含非法訪問、非法截獲、數據干擾、系統干擾、設備濫用等直接攻擊計算機數據及系統保密性、完整性及可用性的犯罪以及與利用計算機實施的偽造、詐騙、傳播色情、侵害知識產權等犯罪，《公約》附加議定書另規定了利用計算機傳播種族主義、排外主義的犯罪。與《中華人民共和國刑法》（以下簡稱《刑法》）相比，《公約》的規定已涵蓋主要的網絡犯罪類型，但對網絡服務提供者的違法行為缺少應有評價。《刑法》第二百八十六條之規定的拒不履行信息網絡安全管理義務罪在《公約》中沒有相應規定，而該條對網絡服務提供者在一定情形下致使違法信息大量傳播、致使用戶信息泄露造成嚴重后果及致使刑事案件證據滅失且情節嚴重等類型的違法行為直接科以刑事處罰，明確了網絡服務提供者在嚴重違反含司法協助義務在內的法律規定時所應承擔的刑事責任。網絡服務提供者作為互聯網絡中具有技術優勢的特殊主體，其違法行為有著更大的社會危害性。網絡服務提供者已逐漸占據網絡領域的中樞位置，《公約》卻未能基于網絡服務提供者特殊的技術地位對其刑事責任作出適當規定，未免顯得遲鈍。

（三）網絡服務提供者主動監管義務

《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）第四十七條規定了網絡服務提供者的信息監管義務，該條規定網絡服務提供者對用戶的違禁信息應當立即停止傳輸，采取消除等處置措施，防止信息擴散，保存有關記錄，并向有關主管部門報告。《網絡安全法》規定的信息監管義務與《公約》規定的數據保全等義務最顯著的區別在于，根據《網絡安全法》，網絡服務提供者有義務在尚未得到主管機關的協助通知時，即先行對相關違禁信息予以清除等處理，避免危害進一步擴大，其后保存相關記錄并向主管部門報告；而《公約》項下的數項司法協助義務中網絡服務提供者均處于被動地位，其數據保全等義務的成立均以主管機關指明特定數據為先決條件，至于網絡服務提供者對可疑數據自行審查處理的權利及義務，《公約》沒有予以明確規定。考慮到《公約》第十五條規定的公民權利保護原則，網絡服務提供者不應自行審查處理可疑數據，否則有侵害公民隱私權之嫌。盡管《公約》第二十、二十一條規定的數據收集義務在一定程度上賦予了網絡服務提供者主動收集數據的權利，但原則上其數據收集應當與主管機關所指定的通信信息相關聯，否則不具有合法性。同時《公約》第二十一條第二項又以網絡服務提供者的技術為限，進一步縮小了數據收集義務的范圍，賦予了網絡服務提供者拒絕履行數據收集義務的抗辯權。《網絡安全法》第四十七條則規定“網絡運營者應當加強對其用戶發布的信息的管理”，使得網絡服務提供者具有不可推卸的監管義務。要求網絡服務提供者“被動協助”與“主動監管”相區別的立法路徑，可見一斑。

網絡犯罪常具有傳播速度快、危害范圍廣、隱蔽性強等特點，這在宣揚恐怖主義等犯罪中更為明顯。網絡服務提供者作為犯罪信息傳輸的中心樞紐，其雖不存在傳播犯罪信息的直接故意，但僅以“技術中立”為由拒絕履行相關審查義務并不妥當。《中華人民共和國反恐怖主義法》（以下簡稱《反恐怖主義法》）第十九條進一步強化了網絡服務提供者的監管審查義務，要求網絡服務提供者落實網絡安全、信息內容監督制度和安全技術防范措施，防止含有恐怖主義、極端主義內容的信息傳播。《公約》附加議定書顯然意識到了網絡領域中恐怖主義犯罪泛濫的問題，但其僅包含針對種族主義和排外主義犯罪作出事后刑事處罰的規定，缺少相應的事先預防及減損措施。《公約》中網絡服務提供者監管義務的缺失問題，并未在其附加議定書中得到改變。

（四）強調網絡用戶利益的保護

《公約》多處體現了傾向于網絡用戶權益保護的價值取向。除網絡服務提供者應當履行保密義務，不得侵犯網絡用戶含隱私權在內的合法權益外，《公約》另對網絡服務提供者的刑事協助義務作出系列限制性規定。在用戶信息披露義務中，網絡服務提供者僅需以其實際掌握的用戶信息為限，向主管機關披露用戶信息，《公約》并未要求網絡服務提供者對用戶信息在提交時作真實性審查，亦未要求網絡服務提供者補充收集額外的身份信息。與之相區別的是，《網絡安全法》第二十四條及《反恐怖主義法》第二十一條均明確要求網絡服務提供者履行實名驗證義務，網絡服務提供者不得對身份不明或拒絕實名驗證的用戶提供服務。在數據實時收集義務中，《公約》規定內容數據的收集應當被限制在較嚴重的刑事犯罪調查中，換而言之，在僅涉嫌輕微違法的刑事犯罪調查中不應使用內容數據收集。《網絡安全法》等我國法律中沒有此種限制性規定。

網絡用戶的合法權益理應得到保護，但其保護是否應當通過對網絡服務提供者的監管權限作出限制得到實現，則不無疑問。法律賦予網絡服務提供者監管權并科以其司法協助義務，本意即是懲治網絡犯罪，維護網絡空間正常秩序，保護公民合法權益。過分限制網絡服務提供者的監管權限，既浪費了網絡服務提供者掌握的技術優勢，提高了刑事犯罪調查難度，繼而加重了網絡監管成本，同時也為網絡服務提供者逃避司法協助義務提供了借口，不利于相關信息安全技術的進一步發展，最終亦將有損于多數用戶的正常權益。至于其中衍生的公民個人信息及隱私權的保護問題，應當通過他項法律得以實現。

四、結論

公權力希望網絡服務提供者承擔的社會責任與后者自身所追求的技術中立地位，構成了網絡服務提供者的司法協助義務在范圍確定中的主要沖突。1998年美國《千禧年數字版權法》規定的確保網絡服務提供者中立地位的“避風港規則”，已在私法領域為多國立法者采納①姚志偉.技術性審查：網絡服務提供者公法審查義務困境之破解［J］.法商研究，2019（1）：31.，這亦被《中華人民共和國侵權責任法》第三十六條、《中華人民共和國民法典》第一千一百九十五條、第一千一百九十六條所確立。私法中的技術中立原則同樣深刻影響了網絡服務提供者應當承擔的公法義務，面對網絡服務提供者提出的增加經營成本、影響其運營及發展、侵犯用戶隱私權、削弱與客戶間的信任關系等批評，《公約》對網絡服務提供者的司法協助義務作出了妥協。②皮勇.論網絡服務提供者的管理義務及刑事責任［J］.法商研究，2017（5）：15.技術能力限制內的有限責任、被動的司法協助義務的產生方式及隱私法益引申而來的抗辯事由，為網絡服務提供者推脫監管義務提供了便利。

網絡服務業的正常經營應當受到保護。作為信息十字路口的守門人，網絡服務提供者因其掌握的技術設備及便利條件，理應是最為合適的監管者，而安全穩定的網絡空間，又令網絡服務提供者直接獲益。《公約》對網絡服務提供者在司法協助義務上的寬容，無助于預防、打擊網絡犯罪，有損于網絡服務業繁榮發展，這也是學界對《公約》部分質疑之音的由來③于志剛.締結和參加網絡犯罪國際公約的中國立場［J］.政法論壇，2015（5）：91.。我國堅持在聯合國框架下參與制定網絡空間國際規則④外交部《第72屆聯合國大會中方立場文件》，2017年8月29日，第5條；外交部《第73屆聯合國大會中方立場文件》，2018年8月28日，第5條.，《公約》在網絡服務提供者的司法協助義務上的得失，應當置于考量范圍之內。