【国家机关有权依法调取数据】
公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
【释义】
本条规范的是特定国家机关基于国家安全或者犯罪侦查需要所开展的数据调取活动。
本条于《数据安全法(草案)》征求意见稿中设立,相关表述一直延续至最终版本。该条文由于直接关系到国家安全及犯罪侦查中的执法活动,因此需要结合《国家安全法》以及《刑事诉讼法》相关规定进行理解。
无论是基于《国家安全法》还是《刑事诉讼法》,公安机关、国家安全机关均有权向有关组织或个人收集信息或调取证据。例如,根据《国家安全法》,国家安全机关、公安机关、有关军事机关有权依法搜集涉及国家安全的情报信息(第52条),公民和组织应当如实提供所知悉的涉及危害国家安全活动的证据,为国家安全工作提供便利条件和协助,并向国家安全机关、公安机关和有关军事机关提供必要的支持和协助(第77条)。与之相似地,《刑事诉讼法》也明确授权公安机关向有关单位和个人收集、调取证据,有关单位和个人负有如实提供证据的义务(第54条);同时,国家安全机关、军队保卫部门、中国海警局和监狱也对各自职权范围内的刑事案件行使相同侦查权(第4条、第308条)。上述条文中规定的“情报信息”和“证据”当然包含数据。[59]此外,《网络安全法》也明确要求网络运营者为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助(第28条)。
因此,如果单纯从本条的条文表述来看,其一方面是对公安机关、国家安全机关已有职权的重申,另一方面是对有关单位或个人已有协助执法义务的重申。唯一与现有相关法律规定相区别的是,本条强调调取数据需要“经过严格的批准手续”,这也是理解这一条文的重点。
对于如何理解调取数据“经过严格批准手续”,存在两种不同观点。一种观点认为,该“严格批准手续”借用的是《刑事诉讼法》对于技术侦查的程序性表述(第150条),对应的是与技术侦查相同程度的审批程序。另一种观点则认为,该表述是对于调取行为合法性的强调,其对应的是公安机关、国家安全机关在各自职权范围内所应遵守的审查机制和批准手续。
对此,第一种观点在刑事诉讼现有法律制度和司法实践中存在较大局限性,具体表现在以下几个方面。
首先,将技术侦查程序的门槛套用于数据调取,与调取措施的法律定性不相符。调取作为电子数据取证的主要措施之一,现有规则一般将其定性为任意性侦查措施[60],其与干预公民权利较强的技术侦查措施之间存在性质差异。例如,根据公安部《公安机关办理刑事案件程序规定》,立案前的调查核实阶段,公安机关可以采取“询问、查询、勘验、鉴定和调取证据材料等不限制被调查对象人身、财产权利的措施”,并且明确“不得采取技术侦查措施”(第174条第2款)。当前司法实践中,向有关组织和个人调取数据不仅在刑事立案后使用,也已经成为侦查机关收集犯罪线索、判断案件是否达到立案标准的重要手段,其明显与技术侦查措施的定性不相符。
其次,将技术侦查程序门槛套用于数据调取,二者在适用范围上不相符。根据《刑事诉讼法》第150条第1款的规定,技术侦查措施仅限于“危害国家安全范围、恐怖活动犯罪、黑社会性质的组织犯罪、重大毒品犯罪或者其他严重危害社会的犯罪案件”。关于哪些案件属于“其他严重危害社会的犯罪案件”,《公安机关办理刑事案件程序规定》第263条第1款将其限定为:故意杀人、故意伤害致人重伤或者死亡、强奸、抢劫、绑架、放火、爆炸、投放危险物质等严重暴力犯罪案件;集团性、系列性、跨区域性重大犯罪案件;利用电信、计算机网络、寄递渠道等实施的重大犯罪案件,以及针对计算机网络实施的重大犯罪案件;其他依法可能判处七年以上有期徒刑的严重危害社会的犯罪案件。相较而言,数据调取不仅适用于上述严重犯罪案件,还适用于一般普通刑事案件,其与技术侦查在范围上明显不契合。(https://www.daowen.com)
再次,将技术侦查程序门槛套用于数据调取,其与电子数据及时取证需求不相符。根据《公安机关办理刑事案件程序规定》,技术侦查的“严格批准手续”体现为其需经设区的市一级以上公安机关负责人批准并由其实施(第264条、第265条)。电子数据本身具有易灭失的特性,如果不区分调取情形一概要求适用技术侦查的“严格批准手续”,将严重妨碍电子数据的及时收集、提取,进而妨碍犯罪侦查活动的顺利进行。在网络犯罪已然成为主流犯罪之一、电子数据成为新的“证据之王”的大背景下,这种程序设置明显与打击犯罪的现实需求不相符,更不用提基于国家安全考量的情报信息收集情境。
最后,将技术侦查程序门槛套用于数据调取,其与技侦措施类型不相符。技术侦查措施之所以受到严格的程序性限制,在于其对于公民权利的干预程度非常高。这种高强度干预主要表现在三个方面。第一,技术侦查措施主要是指动态监控措施,如记录监控、行踪监控、通信监控、场所监控等[61],是针对未来动态生成的证据材料的持续收集,这与针对已经形成并固定下来的静态证据材料的收集具有本质区别,前者更难以事前判断和限定其范围和强度。第二,技术侦查措施的适用对象不仅包括犯罪嫌疑人、被告人,还包括与犯罪活动直接关联的人员[62],牵涉的公民范围远超于一般侦查取证措施。第三,相对于一次性取证措施,技术侦查措施实施时间较长,每次签发批准均可持续三个月,之后可以多次延长,每次延长三个月[63],这种强度也比一般性的侦查措施更高。而数据调取针对的是已经处于存储状态的过往静态数据[64],由办案部门负责人批准并开具《调取证据通知书》即可[65],其无论是在措施类型还是对公民权利的干预强度上均与技术侦查不相符。
基于上述考量,本条规定的“严格的批准手续”不宜机械地等同于《刑事诉讼法》项下技术侦查措施中的程序性要求;第二种理解更具有合理性和可行性。《数据安全法》之所以强调数据调取中的“严格批准手续”,其理解应当回归到本法的立法目的中去。全国人大法工委在对《数据安全法(草案)》进行说明时特别提到,“起草工作……坚持包容审慎原则,鼓励和促进数据依法合理有效利用……重点是确立数据安全保护管理各项基本制度”。[66] 该原则也体现在本法第1条之中,即“规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益”,核心在于维护数据这种国家性基础战略资源的整体安全。[67]
以《数据安全法》基本立法目的为出发点,可以从以下三个层面理解本条的定位和功能。
第一,强调数据调取中的数据安全保障义务。公安机关和国家安全机关在向有关组织和个人调取数据时,不可避免地发生数据的传输和处理。由于国家安全和犯罪侦查活动往往涉及个人信息或其他重要数据,这种数据调取中的安全保障就尤为重要,无论是调取数据的国家机关还是协助数据调取的组织和个人,都有义务在这一过程中保障数据的安全,避免因调取活动而产生数据泄露、损毁、灭失以及进而损及国家安全、社会安全或公民权利的情况发生。从这个角度理解,本条项下有关组织和个人的义务不仅包括协助国家安全机关和侦查机关执法,还包括在协助过程中履行数据安全管理义务。
第二,强调数据调取应当有正当性基础和明确边界。国家安全机关和侦查机关在调取数据时不仅应当进行形式审查,还应当进行实质审查,依据比例原则的基本要求,从适当性、必要性和均衡性三个阶层对调取措施予以审查,一方面限定数据调取范围,另一方面区分不同类型的个人信息以匹配相应的调取程序限制。
第三,强调国家安全和犯罪侦查措施与数字经济发展相兼容。数字经济发展离不开良好的营商环境,而国家安全和刑事司法环境同样是营商环境。当前调取措施主要针对的网络信息业者也是数字经济发展的主力军。调取措施一方面应当考虑网络信息业者的协助能力,避免其因协助执法承担过重或不当负担;另一方面应当考虑协助执法义务与网络信息业者所承担的其他法律义务的兼容关系,避免因法律义务冲突而造成其合规困境。
【关联规定】
《中华人民共和国国家安全法》第42~43条、第52条、第77条,《中华人民共和国网络安全法》第28条、第30条、第41条、第45条、第73条,《中华人民共和国刑事诉讼法》第54条,《中华人民共和国监察法》第25条,《中华人民共和国电子商务法》第25条
(撰稿人:裴炜、周子琪)