跨境电子取证的中国应对

陈 丽

全面依法治国要求统筹国内法治和涉外法治，跨境电子取证是涉外法治的重点工作领域。〔1〕中央全面依法治国委员会办公室：《坚持以习近平法治思想为指导 奋力开创全面依法治国新局面》，《求是》2021年第5期。当前跨境电子取证需求呈上升态势，欧盟委员会的报告指出，大约有85%的刑事调查需要电子数据，这些调查中又有2/3涉及向跨境服务提供者（位于另一司法辖区）取证。〔2〕See European Commission Staff Working Document，Impact Assessment Accompanying the Document Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters and Proposal for a Directive of the European Parliament and of the Council laying down Harmonized Rules on the Appointment of Legal Representatives for the Purpose of Gathering Evidence in Criminal Proceeding，2018，p.14.为应对跨境电子取证挑战，不少国家尝试提出了符合本国利益的规则方案。我国需要及时跟进研究，推动跨境电子取证的国内法律与国际规则相衔接，提出契合国际法治和中国实际、为国际社会普遍接受的建设性方案。

我国研究者们提出的跨境电子取证方案不一而足，但主要存在两大误区。一种误区是坚持司法协助路径，其主张在司法协助框架内实现跨境电子取证，典型表述如，“自行取证终究只是权宜之计，还是要回归到刑事司法协作的轨道上来”；
〔3〕辛素：《“一带一路”电子取证刑事司法协作问题研究》，《北京警察学院学报》2018年第6期。“司法协助调查取证方式具有优先性，非正式取证方式仅在例外情形下可适用”；
〔4〕参见冯俊伟：《跨境电子取证制度的发展与反思》，《法学杂志》2019年第6期。“在刑事司法协助框架下构建跨境电子数据取证制度是必不可少的”。〔5〕叶媛博：《我国跨境电子取证制度的现实考察与完善路径》，《河北法学》2019年第11期。司法协助的出发点是一国对网络空间没有主权，故需与他国合作，这实际上默示、主动放弃了网络空间主权。另一种误区是坚持数据存储地模式，其主张一国对位于本国疆域内的电子数据具有取证管辖权。典型表述如，“我国可依数据存储地模式，要求云服务提供者将云服务器建立在我国境内”；
〔6〕廖斌、刘敏娴：《数据主权冲突下的跨境电子数据取证研究》，《法学杂志》2021年第8期。“基于数据主权战略，原则上应当坚持数据存储地模式”。〔7〕梁坤：《基于数据主权的国家刑事取证管辖模式》，《法学研究》2019年第2期。数据存储地模式表面上强调主权，但由于网络空间无法清晰划定国家疆域、电子数据存储位置具有不确定性，因此该方案在落地实践时效果不佳。这两种方案的共同缺陷在于架空了网络空间主权。

本文旨在回答如何基于国家主权原则构建高效、便捷的跨境电子取证方案。关于此，新时期代表性国家立法的共性规律是迈向属人主义，网络服务提供者向执法机构披露数据的现状亦为属人主义奠定了基础。习近平指出：“国与国之间开展执法安全合作，既要遵守两国各自的法律规定，又要确保国际法平等统一适用，不能搞双重标准，更不能合则用、不合则弃。”〔8〕习近平：《坚持合作创新法治共赢 携手开展全球安全治理》，《人民日报》2017年9月27日。这是一种和合思维，即要异中求同、同中存异。我国强调国家主权原则的跨境电子取证方案可以兼容属人主义共性规律。具言之，我国可建构数据任意访问者模式，以办案机关签发令状、由诉讼参与人或其他主体直接收集电子数据；
还可基于国家主权调适数据控制者模式，允许办案机关向在中国注册或提供服务的网络服务提供者调取境外电子数据。

我国虽强调基于国家主权原则开展跨境电子取证活动，但现行立法却未能完整准确贯彻该理念。〔9〕2005年公安部《计算机犯罪现场勘验与电子证据检查规则》第3条，2010年《关于办理网络赌博犯罪案件适用法律若干问题的意见》第5条，2014年《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》第15条，2016年《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第9条，2019年《公安机关办理刑事案件电子数据取证规则》第23条等。2016年《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第9条第2款、第3款之规定可能导致执法人员在缺乏监督的情况下作出影响他国主权的决定，引发外事纠纷。有学者指出，我国当前的单边取证，尤其是包含技术侦查的跨境电子取证显然有违网络空间主权原则。〔10〕同前注［5］。为解决该问题，2019年《公安机关办理刑事案件电子数据取证规则》（以下简称《电子数据取证规则》）第23条规定：“对公开发布的电子数据、境内远程计算机信息系统上的电子数据，可以通过网络在线提取。”这是对原有跨境电子取证规则的微调，但尚未完全解决主权问题，也未达到与国际接轨的层次。〔11〕参见梁坤：《跨境远程电子取证制度之重塑》，《环球法律评论》2019年第2期。面对立法含混，我国学界批判有余、建构不足。学者们提出的跨境电子取证中国方案主要存在两大误区，一是固守司法协助路径，二是坚持数据存储地模式。

（一）对司法协助方案的反思性检讨

司法协助是传统的证据调取模式，在我国立法中备受推崇。《国际刑事司法协助法》专门在第四章规定了我国向外国请求调查取证及外国向我国请求调查取证的程序。《刑事诉讼法》第18条规定，根据我国缔结或者参加的国际条约，或者按照互惠原则，我国司法机关和外国司法机关可以相互请求刑事司法协助。《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》中规定，依照刑事司法协助等方式收集的境外证据材料，经查证属实，可以作为定案的依据。司法实践中，办案机关常常会采取司法协助路径收集境外电子数据。例如，在张某某等52人电信网络诈骗案中，肯尼亚在遣返犯罪嫌疑人前已经查获了涉案电子数据，然后将这些境外证据移交给了我国公安机关。〔12〕北京市第二中级人民法院刑事判决书，（2017）京02刑初53号。

对司法协助方案进行考察，可以发现其主要存在以下几个问题：首先，取证效率不高。“中国跨国取证主要通过司法协助和警务合作等渠道，但由于各国法律制度不同、协作效率不高等原因，往往程序繁琐，用时较长。”〔13〕《联合国网络犯罪政府间专家组第五次会议书面评论意见》，联合国毒品和犯罪问题办公室网https：//www.unodc.org/documents/Cybercrime/Chinese.pdf，最后访问日期：2021年11月11日。正因此，有学者指出，司法协助与追求快捷、高效的电子取证理念格格不入，脱离司法协助框架收集电子数据的需求愈发强烈。〔14〕同前注［11］。其次，适用范围有限。司法协助仅适用于与我国签订了多边或双边司法互助协议的国家，亦或依据平等互惠原则可展开跨境电子取证合作的国家。再者，无法满足取证需求。司法协助方案因循守旧，无法实现突破性变革。尽管有学者提出可以构建跨境电子取证简易程序，〔15〕王立梅：《论跨境电子证据司法协助简易程序的构建》，《法学杂志》2020年第3期。但随着跨境电子取证需求的井喷式增长，即使对原有司法协助程序进行简化也无法满足实践需求。最后，也是最重要的一点，司法协助方案看似是在尊重他国主权，实则默认、放弃了我国拥有网络空间主权。现代国际法普遍承认，国家领土是国家行使主权的空间。领土是指处于国家主权管辖支配下的地球特定部分，包括陆地、水域及陆地和水域的上空及地下层。领土主权是指国家对其领土内的人、物、事行使的最高的和排他的权力。〔16〕王丽华：《国际法学》，中国政法大学出版社2012年版，第162-163页。从“领土”和“领土主权”的传统定义来看，网络空间并未被纳入其中。但技术进步拓展了国家疆域，在各个空间延伸了主权管辖的“领土”。我国2016年《国家网络空间安全战略》明确将国家主权拓展延伸到网络空间，2017年生效的《网络安全法》明确规定要维护网络空间主权。但按照司法协助的逻辑，由于我国对网络空间没有主权或网络空间主权范围不明确，因此只能通过寻求他国的协助来获取电子数据，这实际上是默示、主动放弃了对网络空间主权的追求，进而架空了网络空间主权原则。

（二）数据存储地模式的厘清与辩驳

古典管辖理论认为，属地性是管辖权的首要根据。〔17〕［英］詹宁斯：《奥本海国际法》，王铁崖等译，中国大百科全书出版社1995年版，第328-329页。数据存储地模式即延循了属地管辖思路，其主张办案机关对本国疆域内存储的电子数据有取证管辖权。这就要求清晰划定一国在网络空间的疆域、明确电子数据的存储位置。但网络空间具有跨国界、无边界的特性，它剥离了人类活动、数据传输的“属地性”；
云计算、区块链、暗网等新兴技术挑战了电子数据位置的确定性，〔18〕J. Daskal，The Un-territoriality of Data，Yale Law Journal，Vol.125：2，p.329（2015）.这些均导致网络空间主权范围无法清晰界定，数据存储地模式落地实践效果不佳。

首先，云存储电子数据的位置难以识别。数据由本地存储转为云端存储是当今社会一大变革，云中存储的数据通常会被复制并保存在多个位置，这就导致多点（甚至多国）存储的指数级增长。〔19〕Ibid，p.368.因此，云计算对司法证据规则的一项关键挑战就在于“繁多性”，云中数据副本可能在不同的虚拟机和物理机上存储，有时甚至是在不同管辖区内。当云服务商需要回应执法机关的数据请求时，可能不得不从多个地点取回数据。〔20〕［英］克里斯托弗 · 米勒德：《云计算法律》，陈媛媛译，法律出版社2019年版，第418页。云计算中数据的分布式性质和远程存储使得确定电子数据位置十分困难。〔21〕Taylor M. et al.，Digital Evidence in Cloud Computing Systems. Computer Law & Security Review，Vol.26：3，p.304-308（2010）.此外，云空间的数据分区亦导致电子数据位置难以识别，“分区数据库的各个组件可被存放于多个位置，人们只有使用适当的应用程序才能理解‘关系数据库’。例如，医生可在其办公室调取病历，但病历的各组成部分——患者姓名、药物史等，可能分布存储于不同位置，若没有适当软件，相关信息就无法以可用方式组合起来。”〔22〕Daskal，The Un-territoriality，p.369.

其次，暗网中电子数据的位置未知且难以追踪。在明网中，人们日常访问的公开互联网域名均在特定国家注册，域名和IP地址受互联网名称与数字地址分配机构（ICANN）管理。因此，在传统刑事犯罪调查中，办案人员可利用域名对应到IP地址，通过网络服务提供者的配合定位涉案电子设备位置、确定犯罪分子身份信息。但暗网域名体系不受ICANN的管理，暗网的IP地址和数据传输通常是匿名的，人们难以解析传输内容。借用量子力学的宏观表达，构成网络行为对象的电子可以在不同地方同时出现，廉价的存储器、便捷的访问和全球性的覆盖使得主权国家难以掌控网络信息的流动。〔23〕黄志雄：《网络主权论——法理、政策与实践》，社会科学文献出版社2017年版，第111-113页。此外，暗网不存在可被国家监管的中心节点，暗网节点遍布全球，中间节点和目标节点的地理位置未知。再加之，暗网空间存在通信实体的高动态性（节点可随机加入或退出）、网络结构异构（节点列表定期更新）、通信关系弱关联性（随机而非固定选择下一跳节点）等资源要素隐匿问题。因此，暗网中电子数据的位置无法确定，这为根据属地主义明确执法管辖权和部署全球执法协作带来挑战。

最后，区块链中电子数据具有多位置性、不稳定性。在国内外司法实践中，区块链记录用作证据已成为客观现实。根据2018年《最高人民法院关于互联网法院审理案件若干问题的规定》第11条，电子数据通过区块链技术验证，能够证明其真实性的，互联网法院应当确认。2021年《人民法院在线诉讼规则》第16条认可了通过区块链技术存储的电子数据的法律效力。国外亦不乏关于区块链证据的立法。〔24〕Act Relating to Recognizing the Validity of Distributed Ledger Technology，Substitute Senate Bill 5638，2019；
Blockchain Technology Act of Illinois，H.B.3575 2020.区块链最大的特征是去中心化，即区块链数据的验证、记账、存储、维护和传输等过程都是基于分布式网络架构，无需第三方机构或中心机构。并且区块链本身的数字基础设施几乎总是超越领土边界，交易各方可在几分钟之内完成跨越各大洲的支付行为。〔25〕See generally U.S. Department of Justice，Report of the Attorney General"s Cyber Digital Taskforce：Cryptocurrency Enforcement Framework，Oct. 2020.这就导致区块链中存储的数据具有多位置性。量子理论能为区块链去中心化特征提供底层支撑，量子世界最基本的原理是“不确定性”和“非定域性”，区块链所构筑的分布式世界遵循同样的原则。〔26〕参见赵胜等：《数字之美：区块链的下一个10年》，中国发展出版社2019年版，第1-2页。这就导致区块链中的数据存储位置具有不稳定性。

此外，数据存储地模式会导致一国基于维护自身利益的考量，积极加强对本国数据的管控，〔27〕参见梅宏：《数据治理之论》，中国人民大学出版社2020年版，第198页。影响跨境电子取证国际合作。有研究报告表明，包括中国在内的13个国家和地区通过立法对数据本地化做出了要求。〔28〕N. Cory，Cross-border Data Flows：Where are the Barriers，and What Do They Cost?，Information Technology and Innovation Foundation，2017.我国《征信业管理条例》第24条、《人口健康信息管理办法（试行）》第10条、《地图管理条例》第34条、《网络预约出租车经营服务管理暂行办法》第27条、《网络安全法》第37条等均对数据本地化存储作出了规定。本地化存储覆盖的数据范围包括个人数据和行业内重要数据，如医疗健康业、银行业、保险业、征信业、电子支付业等。当外国执法机构向中国调取上述数据时，就会受到我国数据本地化法律的限制。适当实施数据本地化政策有利于维护国家主权和安全，但若过于推崇该政策，则是对属地原则的恪守，可能引发法律冲突，制约跨境电子取证国际合作。例如，欧盟认为我国不符合开展数据跨境国际合作的要求，特别是“数据本地化”的政策难以与欧盟和美国主导的双边 /多边机制兼容。〔29〕同前注［27］，第108-109页。

综上可知，数据存储地模式下网络空间主权范围无法清晰界定，司法协助方案则默示、主动放弃了我国对网络空间主权的追求，这两种方案均架空了网络空间主权原则。

《周易 · 系辞上》说：“一阴一阳之谓道。”“万物负阴而抱阳，冲气以为和。”〔30〕《道德经 · 第四十二章》。这启发我们，跨境电子取证模式变革需要在对立统一中把握其客观发展规律。当前跨境电子取证变革的逻辑理路是实践逻辑与理论逻辑的辩证统一，主要表现为由属地主义迈向属人主义。这既揭示出新时期代表性国家跨境电子取证立法的共性规律，也反映出执法机构跨境电子取证的客观实践。

（一）新近各国立法揭示属人主义共性规律

凡根据人或事物的存在地或发生地行使管辖就是主张属地管辖，根据人的国籍行使管辖则是主张属人管辖。〔31〕倪征■：《国际法中的司法管辖问题》，世界知识出版社1985年版，第3页。属地管辖是国家行使管辖权最主要的原则，这是因为“国家领土内一切人和物都属于国家的属地最高权支配，因而每个国家对它们都有管辖权。”〔32〕［英］劳特派特：《奥本海国际法》（上卷 第一分册），王铁崖、陈体强译，商务印书馆1989年版，第244页。但在网络犯罪呈全球蔓延趋势的当今时代，基于属地主义确定国家对数据的取证管辖边界是执着于追求简单明确规则的过时思维。〔33〕See Extraterritorial Enforcement，Developing Norms for the Information Society Workshop White Paper，December 2018.“虚拟服务器”革新了数据存储地概念，多重加密技术致使暗网中涉案数据的实际物理存储位置难以追踪。数据混杂性也意味着，基于用户位置确定法律规则十分困难。〔34〕Daskal，The Un-territoriality，p.379.以属地原则为主的传统管辖理论在网络空间难以适应，人们开始寻找替代性的理论。有学者指出应以国籍作为网络空间管辖的基本原则，〔35〕D. C. Menthe，Jurisdiction in Cyberspace：A Theory of International Spaces，Michigan Telecommunications and Technology Law Review，Vol.69：4，p.93（1997）.这种以国籍为系属的管辖理论实质上沿循了属人主义进路。

在国际立法层面，早在2004年，欧洲委员会《网络犯罪公约》第32条b款就授权执法机构采取属人主义收集境外数据，前提是相应行为获得了拥有法定权限、通过计算机系统向取证方披露数据的个体合法且自愿的同意。《网络犯罪公约》目前已有63个缔约方（而且还在增加），其中超一半缔约方并非欧盟成员，〔36〕A/74/130 联合国大会：《打击为犯罪目的使用信息和通信技术行为 秘书长的报告》，联合国毒品和犯罪问题办公室网https：//www.unodc.org/documents/Cybercrime/SG_report/V1908181_C.pdf，最后访问日期：2021年11月12日。这就为缔约国在打击网络犯罪方面展开国际合作、达成广泛共识奠定了基础。2021年《网络犯罪公约》第二附加议定书（草案）第6条、第7条是关于执法机构与网络服务提供者“直接合作”的条款，该草案第6条允许某一缔约方当局向在另一缔约方境内提供域名服务的机构直接调取域名注册信息，草案第7条允许某一缔约方当局向另一缔约方境内的服务提供者直接调取用户信息。〔37〕Second Additional Protocol to the Convention on Cybercrime on Enhanced Cooperation and Disclosure of Electronic Evidence Draft Protocol Version 2，Art.6，Art.7.在这种跨境电子取证模式下，数据存储于何处、如何传输并不重要，关键在于执法机构是否能对有能力访问这些数据的人主张属人管辖权。

美国2018年发布的《澄清合法使用境外数据法》（简称《云法案》）规定，受一国管辖的公司可以被要求输出公司控制的数据，无论数据何时存放于何处。〔38〕U.S. Department of Justice，Promoting Public Safety，Privacy，and the Rule of Law Around the World：The Purpose and Impact of the CLOUD Act，White Paper，April 2019，p.3.《云法案》明确采用数据控制者模式，允许美国政府要求在其国内注册的网络服务提供者提交其存储于他国境内的用户信息。这表明美国通过属人管辖思路的延伸，对美国企业境外运营数据实施管辖。〔39〕同前注［27］，第117页。

2018年4月17日，欧盟提出《欧洲议会和欧洲理事会关于刑事犯罪电子数据的调取令和保全令的规定的提案》（以下简称《电子证据条例》），其中规定无论数据位置存储于何处〔40〕See E-evidence Regulation，Article 1 .，成员国调查当局可命令在欧盟内提供电子通信和其他信息服务的服务提供者提交或保存电子数据。〔41〕See E-evidence Regulation，Article 2（3）.这其实也反映出属人主义的管辖思路。虽然目前该条例因为隐私争议尚未获得绝对支持，〔42〕参见王融等：《2018年数据治理年度报告》，载李林、支振锋主编：《中国网络法治发展报告（2019）》，社会科学文献出版社2019年版，第286页。但一旦投票通过，其可能产生等同或甚于《云法案》的长臂效果。

美欧的做法可归结为数据控制者模式，即通过寻求跨境云服务提供者的合作或对其发出指令的方式，获取其控制的数据。〔43〕同前注［7］。这种基于属人主义的跨境电子取证模式虽反映出欧美等国立法的共性规律，〔44〕参见岳鑫、张良福：《大数据管辖视域下的数据疆域理论体系完善和发展》，《兰州财经大学学报》2021年第1期。但也存在不容忽视的问题。我国在构建跨境电子取证的中国方案时既应借鉴属人主义规律，也应警惕数据控制者模式的弊端。〔45〕数据控制者模式会弱化主权国家对其境内电子数据的现实掌控。同前注［6］。

第一，数据控制者模式可能会导致主权重叠、管辖权冲突。例如，为满足用户需求和降低成本，网络服务提供者经常将其提供的服务部分外包，因此不同国家同时管控同一条数据的情形时有发生。〔46〕大数据战略重点实验室：《块数据5.0 数据社会学的理论与方法》，中信出版社2019年版，第290-292页。又如，在当前欧盟法律框架下，受欧盟管辖的服务提供者不得直接回应美国政府提出的数据请求。一些欧洲服务提供者表示，来自外国政府的数据请求通常被忽略或不被执行。〔47〕S. Carrera et al.，Cross-border Data Access in Criminal Proceedings and the Future of Digital Justice，Report of CEPS and QMUL Task Force，2020，p.28.2019年9月25日，欧盟和美国正式开始谈判，旨在缔结一项“跨大西洋电子数据跨境获取协议”，以开展刑事司法合作。促使这次谈判的重要理由之一是避免欧盟和美国的法律冲突。针对“跨大西洋电子数据跨境获取协议”的范围和架构，欧盟与美国尚存分歧。〔48〕T. Christakis & F. Terpan，EU-US Negotiations on Law Enforcement Access to Data：Divergences，Challenges and EU Law Procedures and Options，International Data Privacy Law，Vol.11：2，p.86（2020）.

第二，数据控制者模式可能导致将国家责任转嫁给私人实体。根据一种批判性意见，执法人员向网络服务提供者调取电子数据是将传统国家能力“外包”，国家出于经济和效率的考量将自身在刑事问题上的责任转移给私人公司，将相关成本外部化给私人实体，这实际上是一种霸权主义的政治立场。〔49〕S. Vazquez Maymir，Anchoring the Need to Revise Cross-border Access to E-evidence. Internet Policy Review，Vol.9：3，p.15（2020）.

第三，数据控制者模式面临着网络服务提供者协助取证困难问题。大多数网络服务提供者并未设立专门机构来响应执法机构提出的取证请求，因为这对公司开展业务而言并非必需。并且，由于云是以付费使用的形式向用户提供各种服务的分布式计算系统，〔50〕过敏意：《云计算原理与实践》，机械工业出版社2017年版，第5页。云服务提供者与用户会通过服务级别协议约定服务内容〔51〕服务级别协议（SLA）是指提供服务的企业与用户之间就服务的品质、水准、性能等方面所达成的双方共同认可的协议或契约。，包括调查取证等。这种按需付费的特性使得云服务提供者必须按服务级别协议履行义务。若服务级别协议允许第三方访问用户数据，或允许服务提供者向第三方披露可能影响、损害用户声誉的信息，支付费用的云服务购买者可能会拒绝签署这样的协议。〔52〕Vijay Prakash et al.，Cloud and Edge Computing-Based Computer Forensics：Challenges and Open Problems，Electronics，Vol.10：11，p.36（2021）.

（二）网络服务提供者披露数据为属人主义奠基

在基于属人主义的跨境电子取证模式中，电子数据的存储位置不再重要。相反，控制或有权访问电子数据的主体是谁，一国能否基于属人管辖权要求其提交数据，其是否愿意配合调查取证变得至关重要。本文采取实证分析法，选取了微软〔53〕微软公司数据资料来源：Law Enforcement Requests Report，https：//www.microsoft.com/en-us/corporateresponsibility/law-enforcement-requests-report，Last Accessed on Nov. 5，2021.、脸书〔54〕脸书公司数据资料来源：Facebook Transparency Center，Government Requests for User Data，https：//transparency.fb.com/data/government-data-requests/，Last Accessed on Nov. 5，2021.、谷歌〔55〕谷歌公司数据资料来源：Global Requests for User Information，Google Transparency Report，https：//transparencyreport.google.com/user-data/overview，Last Accessed on Nov. 5，2021.、推特〔56〕推特公司数据资料来源：Information Requests，Twitter Transparency Center，https：//transparency.twitter.com/en/reports/information-requests.html#2020-jul-dec，Last Accessed on Nov. 5，2021.、苹果〔57〕本文仅统计分析了《苹果公司透明度报告》中关于“设备信息调取请求”的相关数据，由于缺乏2020年下半年苹果公司的透明度报告，故下文表格中未予分析。苹果公司数据资料来源：Government and Private Party Requests，Apple Transparency Report，https：//www.apple.com/legal/transparency/report-pdf.html，Last Accessed on Nov. 5，2021.这五大网络服务提供者，根据其公开发布的2013-2020年透明度报告，分析执法机构向其调取数据的情况。

根据图1可知，总体而言，执法机构对网络服务提供者提出的数据披露请求自2013-2020年持续增长。2020年脸书共收到364605项请求，比2013年增加了近六倍；
2020年谷歌共收到217424项请求，比2013年增加了三倍多；
2020年推特共收到27218项请求，比2013年增加了近十倍；
苹果自2013—2020年收到的数据披露请求数量呈缓慢增长趋势；
2020年微软共收到48891项请求，与2013年的72279项请求相比，下降了32.26%。这表明，除了微软，其他网络服务提供者收到的数据披露请求均呈上升趋势。微软在2013年时是五大服务提供者中收到数据披露请求最多的公司，但2016年后谷歌和脸书收到的请求数量开始赶超微软，并呈指数增长趋势。脸书在2015年成为五大服务提供者中收到数据披露请求最多的公司，至今仍处于遥遥领先的地位。

结合图1和图2可知，执法机构向微软、脸书、谷歌、推特公司提出的请求数与所涉及的账户/用户数呈正相关关系，执法机构向苹果公司提出的请求数与所涉及的账户/用户数呈非线性关系。具言之，脸书、谷歌、推特公司自2013-2020年收到的执法机构数据披露请求持续增长，请求所涉及的账户/用户数也随之增长；
微软公司自2013-2020年收到的执法机构数据披露请求缓慢下降，请求所涉及的账户/用户数也随之下降；
苹果公司自2013-2020年收到的执法机构数据披露请求虽然平稳增长，但请求所涉及的账户/用户数却波动起伏，并于2014年下半年达到了峰值661482。〔58〕Report on Government Information Requests，July 1-December 31，2014，https：//www.apple.com/legal/transparency/pdf/requests-2014-H2-en.pdf，Last Accessed on Oct. 29，2021.

图1 执法机构向五大服务提供者提出的数据披露请求（2013—2020）

图2 执法机构向五大服务提供者提出的数据披露请求涉及的账户/用户数（2013—2020）

结合图3和表1可知，五大网络服务提供者向执法机构披露数据的比率普遍能达到60%以上，但具体比率则因公司而异。自2013—2020年脸书、谷歌、苹果向执法机构披露数据的比率整体呈上升趋势，微软、推特向执法机构披露数据的比率整体呈下降趋势。在五大网络服务提供者中，苹果向执法机构披露数据比率的平均数、中位数都是最高，2017年后该公司披露数据的比率能达到80%；
推特向执法机构披露数据比率的平均数、中位数都是最低，2020下半年该公司披露数据的比率仅有30%。这表明，网络服务提供者对于执法机构的数据披露请求并非均持配合态度。司法实践中，在网络服务提供者拒绝数据披露请求时，执法机构可能会通过威胁、恐吓、秘密监视等方式获取电子数据，但这些措施可能侵犯用户隐私，致使公司在网上开展业务的成本提高。〔59〕Andrew Keane Woods，Against Data Exceptionalism，Stanford Law Review，Vol.68，p.751（2016）.例如，在谷歌被控不当收集用户数据后，韩国执法机构突袭了谷歌在首尔的办公室，查获了涉案电子数据。〔60〕Song Jung-a，South Korean Police Raid Google Offices，FIN. TIMES，https：//www.ft.com/content/b8d7bb26-a46c-11df-abf7-00144feabdc0，Last Accessed on Nov. 3，2021.

表1 五大服务提供者向执法机构披露数据比率的平均数、中位数（2013-2020）

图3 五大服务提供者向执法机构披露数据的比率（2013-2020）

对执法机构向网络服务提供者调取数据现象兴盛的缘由进行探析，可以发现原因主要有二，一则当今时代网络服务提供者掌握了海量电子数据。《2021年数字经济报告》显示，苹果、微软、亚马逊、谷歌、脸书、腾讯及阿里巴巴是最大的数字平台。这些公司掌握的海量数据均可能成为涉案电子数据。例如，在一起破坏计算机信息系统案中，公安机关提供了阿里云后台服务器操作日志电子数据。〔61〕江苏省无锡市新吴区人民法院刑事判决书，（2020）苏0214刑初769号。在一起诈骗案中，法院通过比对公安机关调取的相关银行流水及阿里云邮箱邮件，证实了诈骗数额。〔62〕山东省泰安市高新技术产业开发区人民法院刑事判决书，（2020）鲁0991刑初20号。在一起非法获取计算机信息系统数据、非法控制计算机信息系统案中，指控证据包括犯罪嫌疑人谷歌邮箱内含有公民个人信息的邮件及内容的截图等。〔63〕辽宁省大连市中级人民法院刑事判决书，（2018）辽02刑终266号。在一起非法吸收公众存款案中，公安机关调取了阿里云平台后台数据等电子数据。〔64〕浙江省杭州市滨江区人民法院刑事判决书，（2020）浙0108刑初147号。二则网络服务提供者有时可以决定数据传输路径或存储位置，因此当执法机构不便基于数据存储地模式获取电子数据时，寻求网络服务提供者的帮助成为了最佳替代方案。目前数据存储位置不再依托于传统司法管辖权，而是取决于网络服务提供者对业务架构的选择。〔65〕P. De Hert et al.，Legal Arguments Used in Courts Regarding Territoriality and Cross-border Production Orders：From Yahoo Belgium to Microsoft Ireland，New Journal of European Criminal Law，Vol.9：3，p.326-352（2018）.虽然用户可以通过签订协议与网络服务提供者约定数据存储位置，但大多

数用户并未这么做。当海量电子数据由这些网络服务提供者持有或控制时，执法机关就会向他们寻求披露数据。〔66〕Daskal，The Un-territoriality，p.377.这就为基于属人主义的跨境电子取证模式之勃兴提供了客观基础。

根据互联网治理的“主权差异”观，互联网在不同地方应根据当地规范、习俗和规则进行差异化运作。〔67〕A K. Woods，Litigating Data Sovereignty，Yale Law Journal，Vol.128：2，p.359（2018）.在承认差异的基础上扩大共识、寻求各国做法“最大公约数”，应当是完善跨境电子取证中国方案的智慧。因此，我国需在坚持国家主权原则的基础上革新跨境电子取证的属人主义模式，具体路径有二，一是建构数据任意访问者模式，二是基于国家主权调适数据控制者模式。

（一）建构数据任意访问者模式

跨境电子取证的数据任意访问者模式是指以办案机关签发令状、由诉讼参与人或其他主体直接收集电子数据。从取证主体来看，当事人、律师等私权利主体是直接取证主体，侦查人员、执法人员等公权力主体是间接取证主体。从取证手段来看分“两步走”，第一步是国家通过立法赋予当事人、律师等私权利主体取证资格，明确其应遵循的取证原则、取证程序、取证权利义务，私权利主体依法进行跨境电子取证活动，访问获取数据在法律性质上并非技术性访问或强制性访问；
第二步是司法机关、执法机关等公权力机关向私权利主体签发令状，调取其已经获得的电子数据，即办案机关的权力仅及于数据任意访问者。

数据任意访问者模式的法理基础可追溯至权力—权利关系。首先，权力与权利互为表里。在以客体标准区分权利与权力的语境下，权利与权力存在结构上的嵌套关系，即权力中有权利，权利上有权力。在这一结构中，权力以权利为客体，权利以自然物为客体，因此权力即二阶权利。〔68〕刘杨：《基本法律概念的构建与诠释——以权利与权力的关系为重心》，《中国社会科学》2018年第9期。其次，权力与权利可以相互转化。权力转化为权利，即通过权力来确认、保护权利，使权利得以实现和不受侵犯。〔69〕郭道晖：《试论权利与权力的对立统一》，《法学研究》1990年第4期。权利可以转化为权力，如财产所有权本是一种权利，经济学家却把资本称为“支配他人劳动的权力”。〔70〕《马克思恩格斯全集》（第4卷），人民出版社1958年版，第330页。数据任意访问者模式的逻辑起点是公民权利本位〔71〕夏志强：《国家治理现代化的逻辑转换》，《中国社会科学》2020年第5期。，逻辑中介是我国公民对其在境外形成的数据拥有数据主权，〔72〕蔡翠红：《云时代数据主权概念及其运用前景》，《现代国际关系》2013年第12期。逻辑终点是将国家主权意志输入到私权利主体身上。

国家根据公民身份对数据任意访问者设置权利义务规则是属人管辖权的体现。〔73〕李虎：《领土权的概念：基于霍菲尔德权利理论的分析》，《同济大学学报》（社会科学版）2021年第2期。并且数据任意访问者模式能够平衡刑事执法利益和对外关系利益，反映出对他国主权的尊重。《塔林手册》2.0版明确只有国家能构成对他国主权的侵犯，非国家行为体行为不能构成侵犯主权，除非这些行为可归责于国家。〔74〕Michael Schmitt ed.，Tallinn Manual 2.0 on the International Law Applicable to Cyber Operatopns（2nd editon），Cambridge University Press，2017，p.13-16.按照此标准，只有国家能构成侵犯他国主权的行为主体，而私权利主体跨境电子取证并不会侵犯他国主权。因此，数据任意访问者模式从本质上看并非长臂管辖权，但却起到了大致相当的取证效果。当然，数据任意访问者在调取境外电子数据时，应遵循诉讼法基本原则和规则。为更好地构建数据任意访问者模式，我国可以作出以下几点证据制度调整：

第一，进行文书改造，将现有的勘验笔录、远程勘验笔录、网络在线提取笔录改造为二合一笔录。为规范办案程序，保障电子数据的合法性，《电子数据取证规则》第26条规定，网络在线提取电子数据应在笔录中注明的事项；
《电子数据取证规则》第31条规定，远程勘验结束后应制作《远程勘验笔录》；
《人民检察院办理网络犯罪案件规定》第32条规定，判断电子数据的合法性，应注重审查相关勘验笔录、搜查笔录、提取笔录等取证记录是否完备。传统意义上，《网络在线提取笔录》《远程勘验笔录》《勘验笔录》等都由办案人员制作，因为正是他们完成了电子数据取证过程。根据数据任意访问者模式，跨境电子取证程序需要两份文书：一是当事人、律师等数据任意访问者自行收集提取境外电子数据形成的笔录；
二是司法机关向已经获取境外电子数据的数据任意访问者出具证据调取通知书。因此，原来办案人员跨境电子取证中使用的《网络在线提取笔录》《远程勘验笔录》《勘验笔录》等，应调整为数据任意访问者取证笔录和办案人员证据调取笔录二合一的笔录。

第二，合理降低民事诉讼、行政诉讼中证据合法性审查标准。在民事诉讼、行政诉讼当中，若当事人因取证权能不足无法调取境外电子数据，办案机关就会不予立案。为解决该问题，不少当事人选择了“翻墙”获取境外电子数据，但此类证据面临合法性问题。《民事诉讼法司法解释》第106条规定：“对以严重侵害他人合法权益、违反法律禁止性规定或者严重违背公序良俗的方法形成或者获取的证据，不得作为认定案件事实的根据。”“翻墙”获取的境外电子数据是否应作为非法证据被排除备受争议。广州互联网法院在一起著作权侵权案件中，综合分析了非法证据排除规则在三大诉讼中的价值取向、证据在民事案件中的作用，指出民事诉讼对证据合法性的认定不宜过分严苛，当事人通过VPN方式获取境外网页、邮件等电子数据，在取证手段上虽存在瑕疵，但并不违背《计算机信息网络国际联网管理暂行规定》第6条之立法目的，最终结合其他证据采信了该“翻墙”获得的电子数据。〔75〕参见广州互联网法院民事判决书，（2020）粤0192民初27926号。在民事诉讼、行政诉讼中合理降低证据合法性审查标准有利于数据任意访问者模式的推广运用。

第三，对公开发布的电子数据进行扩张解释。信息天然具有非竞争性特征，一旦某项信息被置于公开可访问状态，理论上其价值就可被社会公众共享。在2017年“hiQ Labs，Inc.v.LinkedIn Corporation案”中，法官认为，除非拥有知识产权等法定权利，否则私人主体不应享有单方面限制其他私人主体获取公开信息的权利。如果赋予私人主体此种权利，将可能引发宪法问题，不仅有损言论自由的环境，还将对互联网上信息的自由流动造成阻碍，从而在整体上损害社会公共利益。〔76〕参见赵军：《欧盟与美国的数据财产保护模式评析》，载李林、支振锋主编：《中国网络法治发展报告（2019）》，社会科学文献出版社2019年版，第381-383页。《网络犯罪公约》第32条规定了缔约国可以跨境访问公开可用的电子数据。《电子数据取证规则》第23条将网络在线提取的范围限缩至境外公开发布的电子数据。学界共识是，一国访问获取可公开获得的电子数据行使的是域内管辖权，而非域外管辖权。因此，执法机关获取此类数据不会侵犯他国主权。〔77〕［美］迈克尔 · 施密特：《网络行动国际法塔林手册2.0版》，黄志雄等译，社会科学文献出版社2017年版，第107页。举重以明轻，作为普通人的数据任意访问者获取此类数据就更不会侵犯他国主权了。对于电子数据公开发布的情形、时间等，取证主体可以结合表2综合判断。

表2 公开发布的电子数据

“数据任意访问者模式”是基于扎实的理论、实践、制度基础，得出的学术判断。首先，从理论基础来看，该模式以属人主义为理论支撑，是属人主义理论在跨境电子取证中的具体应用。其次，从实践基础来看，我国现有的远程勘验抽象出来后就是“数据任意访问者模式”。国外实践中亦存在这种做法，斯诺登事件就已经揭露出此现象，只是未对此进行法律上的抽象讨论。暗网取证等的涌现，反映出哪个地方访问数据，就可在哪个地方取证。最后，从制度基础来看，我国《网络安全法》和《数据安全法》均确立了数据主权原则，该原则落地的具体路径之一就是“数据控制者模式”。

（二）基于国家主权调适数据控制者模式

我国学界普遍主张建立数据控制者模式，只是学者们提出的具体构建方案有所差异。〔78〕赵菁：《跨境电子数据取证中的冲突与对策》，《政法学刊》2020年第1期；
裴炜：《未来犯罪治理的关键：跨境数据取证》，《中国信息安全》2019年第5期。《民事诉讼法》第67条第1款规定：“人民法院有权向有关单位和个人调查取证，有关单位和个人不得拒绝。”在构建跨境电子取证的中国方案时，我国可对承担协助取证义务的“有关单位和个人”进行文义解释，即执法机关、司法机关可以向在中国注册或提供服务的网络服务提供者调取境外电子数据。从本质上看，这是将注册地标准和实质提供服务标准作为确定属人管辖的连接点。

中国在调适向网络服务提供者调取电子数据的模式时，需贯彻尊重国家主权原则，积极寻求国际合作的共识。在世界范围内，跨境电子取证制度愈来愈受到地缘政治、隐私保护、数据政策等的影响。欧盟内部通过欧洲调查令允许参与成员国根据相互承认刑事事项司法裁决原则，发布和执行跨境数据收集指令，〔79〕Carrera et al.，Cross-border，p.12.这从欧洲调查令指令第13条可以看出。〔80〕EIO Directive，Art. 13（4）.欧洲调查令建立在参与成员国（欧盟27国，爱尔兰和丹麦除外〔81〕根据《里斯本条约》，爱尔兰和丹麦可以根据具体情况选择加入（或退出）刑事司法领域的任何后里斯本立法提案。）相互信任的基础上，取代了以往通过司法协助路径获取电子数据的做法。〔82〕M. Stefan，JUD-IT Handbook，CEPS Papers in Liberty and Security No. 2020-03. March 2020，p.9.日本与欧盟签订了《欧盟日本数据共享协议》，新加坡积极对接亚太经合组织跨境隐私规则和欧盟机制，美国通过《云法案》实现长臂管辖目的。《网络犯罪公约》《阿拉伯打击信息技术犯罪公约》对跨境电子取证的国际合作进行了专门规定。〔83〕Convention on Cybercrime，Art.32（b）.See also Arab Convention on Information Technology Offences，Art.40（2）.但上述协议、公约中国均未参与其中。“一带一路”倡议是“新全球化时代”中国方案的具象化。因此，我国可以“一带一路”建设为契机，寻求跨境电子取证的国际合作共识。具体而言，我国可秉持对等和互惠原则，〔84〕互惠规则对于经常需要管理法律冲突的国家来说是有利的。同前注［60］，p.778.在“一带一路”成员国之间提倡构建新网络犯罪公约，藉此推广向网络服务提供者调取电子数据的取证模式。在配套设施建设上，我国可以与“一带一路”沿线国建立电子数据认证与交换平台，用于以安全、可信、可接受的方式收集和交换电子数据。

针对数据控制者模式存在的主权重叠、管辖权冲突问题，我国可借鉴他国立法模式，建立数据分类管理制度。例如，《英美执行协议》涉及调取的数据类型包括内容数据、流量数据、元数据、用户信息；
《网络犯罪公约》第二附加议定书（草案）仅适用于调取用户数据，特别排除了流量数据、内容数据；
欧盟《电子证据条例》适用于内容数据（仅存储）、非内容数据（用户、访问、业务）。〔85〕S. Parsheera & Jha Prateek，Cross-Border Data Access for Law Enforcement：What Are India’s Strategic Options?，Carnegie India，Nov. 2020，p.18.调取的数据类型不同，需要履行的法律程序就会不同。根据微软公司的透明度报告，在全球范围内，有61.41% 的执法请求涉及非内容数据〔86〕例如电子邮件地址、姓名、州、国家/地区、邮政编码、注册时的 IP 地址、IP 连接历史记录、Xbox 玩家代号，以及信用卡或其他帐单信息。，只有4.6%的执法请求要求提供内容数据〔87〕例如存储在OneDrive 或其他云中的电子邮件、照片或文档的内容服务。，因为获取内容数据需要履行的法律程序更为复杂。〔88〕Microsoft Sees 25 Percent Rise in US Law Enforcement Requests，https：//www.zdnet.com/article/microsoft-sees-25-percent-rise-in-us-law-enforcement-requests/，Last Accessed on Nov. 3，2021.建立数据分类管理制度更为重要的原因在于，有时一国执法机关调取境外电子数据并不会导致法律冲突。通过明确一国在监管特定数据方面的利益，以及该国监管特定数据之目的，法院可在发生冲突时轻松判断哪国利益占上风。例如，假设美国通过了一项旨在促进在线创业的法律，该法规定了网络安全标准和数据完整性标准。现英国执法机构在调查犯罪时需访问毒品走私者的电子邮件帐户，该账户由受美国法律管辖的网络服务提供者管理。表面上看因管辖权重叠而发生了法律冲突，但实际并非如此，因为将数据交给英国执法机构，不会影响美国促进在线创业的目标。〔89〕Woods，Against Data，p.775-776.

针对数据控制者模式存在的网络服务提供者协助取证困难问题，我国可建立单一联络点（SPoC）机制，为执法机构和网络服务提供者提供协助。目前尚无SPoC的统一定义，但其通常可分为两种类型，即用于集中请求的SpoC和用于知识共享和支持的SpoC。用于集中请求的SPoC是指定人员、单位或机构，它们集中审查政府机构的请求并将其提交给网络服务提供者。这些SPoC负责处理请求和接收响应，充当有关国家和外国网络服务提供者调取电子数据事项接触的联络点。

用于知识共享和支持的SpoC不一定参与政府机构请求的准备或提交，也不集中信息流。相反，它们充当了一个咨询中心，既向网络服务提供者提供咨询，也向执法机构提供咨询；
它们还负责更新网络服务提供者的最新联系方式及相关数据披露请求流程信息，以供调查人员参考。单一联络点机制因其优势而广受欢迎。针对2020年《SIRIUS欧盟电子数据状况报告》而接受采访的所有公司都欢迎SPoC方法。目前，德国、芬兰、比利时、西班牙、荷兰纷纷建立了SpoC机制。〔90〕Europol，SIRIUS EU Digital Evidence Situation Report，2nd Annual Report 2020，Dec. 13，2020，https：//www.europol.europa.eu/publications-documents/sirius-eu-digital-evidence-situation-report-2ndannual-report，Last Accessed on Nov. 3，2021，p.51.

“治国无其法则乱，守法而不变则衰。”我国既有的跨境电子取证方案存在误区，固守司法协助路径和数据存储地模式实际上架空了网络空间主权，与我国强调国家主权的理念不相符合。在此背景下，唯有革故鼎新，才能促使我国跨境电子取证方案与时代同频、与国际接轨。跨境电子取证全球治理现状和新型治理模式前景，给了我们反思既有取证方案、构建新理论模式的契机。世界范围内一些代表性国家或国际组织在跨境电子取证制度建设上的共性规律是由属地主义迈向属人主义。对微软、脸书、谷歌、推特、苹果2013-2020年向执法机构披露数据情况的实证分析亦发现，网络服务提供者配合执法机构取证呈上升态势，这为基于属人主义的跨境电子取证模式之勃兴奠定了基础。

各国交往需要共同性，两个完全不相容的实体是无法交往的。〔91〕参见［加拿大］安德鲁 · 芬伯格：《在理性与经验之间 论技术与现代性》，高海青译，金城出版社2015年版，第127页。我国在国际交往中需要积极寻求各国做法“最大公约数”，更有策略地讲好跨境电子取证的中国方案。由属地主义迈向属人主义反映出新时期代表性国家跨境电子取证的共性规律，我国强调国家主权原则的跨境电子取证方案能够兼容该规律。基于此理，本文选取了不同以往的分析视角和学术进路，提出了基于属人主义的跨境电子取证中国方案之创新路径。具言之，我国可以建构数据任意访问者模式，还可以基于国家主权调适数据控制者模式。在理论上，这一巧妙的创新可以超越原有跨境电子取证方案的局限性，实现不同风格的真正综合，为推动国际法规则制定和法治文明进步贡献中国智慧和中国方案。