2020年4月8日，最高人民检察院（以下简称“最高检”）发布第十八批指导性案例（以下简称“第十八批案例”），三起案件均为网络犯罪案例（检例第67、68、69号）。这是最高检第二次发布网络犯罪指导性案例，与以往不同，这批案例的主题是电子取证的合法性和电子数据的客观性等问题。

　　一直以来，最高检指导性案例主要涉及新型案件、热点案件，用以指导解决常见多发或棘手问题。该批案例中张凯闵等52人电信网络诈骗案（检例第67号）（以下简称“67号案例”），反映了网络犯罪的跨境趋势，也体现出电子证据在查办此类案件中的关键作用。本文以跨境电子取证为视角，简要介绍、分析当前境内外的相关规定及变化趋势，并希望借此引起读者对数据主权问题的重视。

　　电子证据是打击跨境网络犯罪的关键

　　与传统犯罪不同，借助于现代网络技术，网络犯罪可以是集团化大范围、大跨度作案。以67号案例为例，涉案犯罪集团便是在印尼和肯尼亚对国内居民进行电信网络诈骗。

　　针对电信网络诈骗犯罪的跨境趋势，近三年来，公安部跨境组织了64次跨境打击行动，在东南亚、欧洲、非洲等30多个国家开展追捕行动，取缔了216个跨境电信网络诈骗窝点，抓获犯罪嫌疑人3159名。[1]

 

 

　　以上是对我国现有规范的梳理，那么在司法实践中，又是怎么操作的呢？跨境电子取证，是主要通过如67号案例的刑事司法协助程序进行还是侦查机关未经他国同意通过远程方式的单边取证居多？

　　笔者通过无讼网站进行了案例检索，结果分别如下：以“刑事案件—司法协助—境外—电子数据”为关键词，经筛选后有效案件仅为1件，[5]以“刑事案件—电子数据—法院观点：远程勘验—法院观点：境外”为关键词，经筛选后有效案件却有13件。可见，单边取证的方式似乎在实务中运用得更多。究其原因，司法协助方式虽然充分尊重了他国主权，符合我国提倡的数据主权原则，但在实践中却受请求国内部的层层申报、被请求国的审查、配合度、司法制度不同、流程不同等因素的影响，往往效率低下。而缺乏国际条约支持的单边取证虽可能引发国际礼让和主权尊重方面的争议，但却具有很强的效率优势。

　　司法实践中电子数据单边取证主要有以下几种方式：

　　第一种是浏览服务器连接的境外公开网页，通过截图、录相、拍照等方式固定网页数据作为电子证据，这是最常被采用的一类取证方式，常与其他跨境电子证据取证措施同时适用。取证过程通常由公安机关网安部门工作人员在线提取而后出具网络在线提取笔录作为法庭证据。

　　第二种是通过输入用户名和密码的方式进行远程勘验提取境外服务器数据。公安机关在前期侦查中获取嫌疑人管理涉案平台的账户和密码，而后由公安机关网安部门工作人员输入用户名和密码登录平台，获取境外服务器数据。

　　第三种是技术侦查，由专业人员采用技术手段获取境外服务器内存储的电子证据，而后形成电子证据检验报告或电子证据司法鉴定报告作为案件定罪量刑的证据。从裁判文书来看，这里的“专业人员”一般是公安机关网安或技侦人员，也可能是专业电子证据鉴定机关的技术人员。[6]

　　需要注意的是，第一种做法所取得的电子数据是符合最新规定《公安机关办理刑事案件电子数据取证规则》中网络远程勘验的对象范畴,即“公开发布的电子数据”。而第二种、第三种做法，由于现行最新规定没有对境外电子数据的远程勘验进行明确授权，建议辩护律师对案件中此类证据的合法性问题予以高度关注。

　　跨境单边电子取证对国家网络数据主权的影响

　　对比前述我国相关规定的变化，我们可以发现，在2018年的《国际刑事司法协助法》出台之前，我国的有关规定是允许直接从位于境外的存储介质中提取电子数据的。但是，在《国际刑事司法协助法》出台之后，公安部《公安机关办理刑事案件电子数据取证规则》中对于远程取证的对象则只限定于“公开发布的电子数据、境内远程计算机信息系统上的电子数据”，也就是说公安机关的取证规则中并没有明确授权公安机关可以对位于境外的远程计算机信息系统中的电子数据进行网络在线取证。

　　为什么会出现这样的变化？其中很重要的一个原因，就是牵涉到电子数据的主权问题。

　　早期有学者认为网络空间主权是国家主权在网络空间的自然延伸。随着研究的深入，有学者将网络主权分为“网络物理层主权”“网络逻辑层主权”和“网络数据主权”。[7]

　　按照这一理论，数据主权是网络主权的组成部分。从国内现行《国家安全法》《网络安全法》和即将生效的《网络安全审查办法》的规定来看，我国在立法层面上赞同网络空间主权的观点。

　　依据长久以来的国际法原则，属地原则是一国主权的重要体现，电子数据的存储介质若在一国领域之内，出于尊重国家主权的目的，他国应当通过司法协助获取电子数据。

　　与此相呼应，境外部分国家的规定也认为，一国对位于其境内介质中存储的数据拥有无可争议的刑事取证管辖权。[8]如英国法官在签发远程搜查令状时，需要判断警方的侦查行为是否会跨越国境。如果违法从境外收集数据，法院在后续程序中可能会将该证据予以排除。[9]2009年美国在《刑事侦查中计算机搜查扣押与电子证据收集指引》提醒，未经许可进入他国计算机系统可能触及国家主权问题。[10]2014年“微软——爱尔兰案”中，爱尔兰政府向美国法院申明对涉案数据的主权管辖，强调只有通过两国之间的双边刑事司法协助机制，才能由爱尔兰官方对相应数据进行调查。[11]

　　因此，若一国对位于其境内存储介质中的数据拥有主权，另一国若仅凭国内规定就直接对该国计算机系统进行远程调查取证，很有可能被认定为侵犯该国的数据主权，进而可能导致外交风险。2000年，美国联邦调查局在调查一起黑客案件的过程中，在未经俄罗斯官方许可的情况下，使用秘密获得的嫌疑人用户名和密码登录俄方境内的计算机系统，在线提取涉案数据。此案引发俄罗斯方面强烈的外交抗议。[12]在本国立法没有明确授权允许跨境单方电子取证的情况下，所获得的证据更是会面临着合法性问题的考验。

　　基于上述数据存储地模式确立的数据主权原则，我国的《网络安全法》第37条从立法上明确规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”。

　　2020年6月1日即将生效的《网络安全审查办法》进一步明确了电子数据主权的重要性，该办法第一条规定：“为了确保关键信息基础设施供应链安全，维护国家安全，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，制定本办法。”可见，关键信息基础设施中的数据与国家安全息息相关，出于维护国家安全的考虑，数据主权是必须要声明和主张的。

　　但难以否认的是，我国司法实务中存在的单边取证行为可能是对数据存储地模式的一种突破，反应了数据管控确实难以完全限制于一国疆土之内的实际状况和尴尬之处，由此国际上关于境外跨境电子取证的政策也处在不断变化之中。

　　境外跨境电子取证规则的变化趋势

　　随着互联网技术的迭代发展，特别是云计算技术的成熟，传统的数据主权以存储介质所属地的管辖已经发生松动，其刑事管辖界限客观上已经变得较为模糊，境外近期诸多案例及现行立法也都反映出这种变化趋势。

　　2001年11月，欧盟成员国以及美国等30个国家共同签署了第一部针对网络犯罪行为的国际公约《网络犯罪公约》，其内容主要包括两个方面，一方面，各缔约国认同电子数据存储介质所属地管辖，另一方面，公约规定了两种突破属地管辖的例外模式，一是取证国可以在线提取公开资料，不论数据位于何处，二是只要数据控制者同意，不需要经过电子数据存储介质所在国的同意，即数据控制者模式。

　　2013年，美国办案机构在调查案件时要求微软提供相关邮件信息，但该信息存储在爱尔兰都柏林的服务器上，办案机构的要求遭到拒绝，理由是爱尔兰政府认为其对该数据具有主权。这便是前文提及的跨境电子取证史上有名的“微软——爱尔兰案”。

　　2018年3月，美国针对此案发布了《澄清合法使用境外数据法》（简称CLOUD Act），其主要内容包括美国政府可以要求境内云服务提供者提供位于境外服务器上的数据，即依据数据控制者模式确立了所谓的长臂管辖原则。

　　2018年4月，受《澄清合法使用境外数据法》影响，欧盟委员会宣布，计划建立“欧洲数据提交令”和“欧洲数据保存令”重要制度。根据欧洲数据提交令，成员国可直接强制欧盟境内的服务提供者提供电子数据，而不论相应数据到底是否存储于欧盟境内。根据欧洲数据保存令，成员国可强制要求欧盟境内的服务提供者对特定数据予以保存。[13]

　　透过以上规则的发展变化，我们可以看到，欧美国家已经在利用自身互联网的发展优势，试图突破传统的数据属地管辖，通过强制网络服务提供者披露数据的方式单边获取他国境内数据。由此可以预见，我国国内产生的电子数据很可能也将面临欧美国家单边长臂获取的风险。对此，我国高度重视这个问题，并采取了必要的应对措施。我国拒绝参加《网络犯罪公约》，理由之一就是“该公约32条b款所规定了直接跨境取证措施，这与国家司法主权之间的关系值得探讨。”[14]美国的《澄清合法使用境外数据法》颁布之后，对该法案所规定的长臂管辖权，我国也持反对立场，同年即在我国《国际刑事司法协助法》中规定：非经同意，外国机构、组织和个人不得向外国提供证据材料。但是，在跨境刑事电子数据取证方面，一方面有关司法机关要高度注意，尽量通过国际刑事司法协助的方式进行取证，扩大适用最高检67号案例所采用的双边司法协助，大力推动加入类似于《网络犯罪公约》类型的多边司法协助机制，以减少单边跨境取证的适用，避免不必要的外交争端，另一方面我们也要完善国内立法，对此类证据的合法性问题做出明确的解释。

　　结语

　　最高检67号案例的内容向我们展示了通过传统司法协助的方式直接获取境外电子数据的存储介质，但传统的司法协助有可能无法“一网打尽”所有的跨境网络犯罪。例如，“暗网”中的数据，可能无法确定数据的实际物理存储位置；云计算技术也会导致数据的具体位置难以确定。现阶段打击跨境网络犯罪与尊重一国数据主权确实存在矛盾，但这种矛盾显然不是不可调和的，这是网络技术发展的必然。笔者有信心，随着网络与人类生活的进一步融合，未来国际上将会对跨境电子取证与数据主权如何调和的问题形成统一的共识。

　　注释及引用

　　[1]参见打击治理电信网络新型违法犯罪[EB.OL]（2019-02-01）[2019-03-15]

　　[2]丁晨.电信网络诈骗案件侦查中的跨境合作问题研究.中国人民公安大学硕士学位论文

　　[3]公安部.使用电子数据是打击网络犯罪“最佳方式”.法制日报,2015-11-25.

　　[4]裴炜.未来犯罪治理的关键：跨境数据取证.网络空间战略论坛

　　[5]参见珠海市香洲区人民法院（2017）粤0402刑初887号刑事判决书。

　　[6]叶媛博，《我国跨境电子取证制度的现实考察与完善路径》，载《河北法学》，2019年第11期。

　　[7]许可.数据主权视野中的CLOUD法案[J].中国信息安全，2018,(4).

　　[8]参见梁坤.基于数据主权的国家刑事取证管辖模式.法学研究，2019,(2).

　　[9]See Ulrich Sieber,Nicolas von zur Mihlen(eds.),Access to Telecommunication Data in Criminal Justice,Duncker&Humblot,2016,p.730.

　　[10]See CCIPS,Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations,p.58,availa-

　　ble at http://www.justice.gov/criminal/cybercrime/docs/ssmanual2009.pdf,visited on Nov.1,2018.

　　[11]Brief for Ireland as Amicus Curiae Supporting Appellant at 4,7,In re Warrant to Search a Certain E-mail Account Con-trolled&Maintained by Microsoft Corp.,No.14-2985-CV(2d Cir.Dec.23,2014).

　　[12]Russell G.Smith,Peter Grabosky&Gregor Urbas,Cyber Criminals on Trial,Cambridge University Press,2004,p.58.

　　[13]参见梁坤.欧盟跨境快捷电子取证制度的发展动向及其启示.中国人民公安大学学报（社会科学版）.2019，（1）。

　　[14]《中国代表团出席“联合国网络犯罪问题政府间专家组”》。