Richard Schmid
文 / 北京航空航天大学法学院副教授 裴炜
从以上分析可以看出,网络服务提供者同时扮演着公权力扩张与公民基本权利延伸的双重角色,这两种角色并非必然一致,而角色冲突的根源在于“权力——权利”二元互动过程中的固有张力。从这个意义上讲,网络服务提供者协助执法义务边界在划定上与一般执法机关的权力边界划定具有一定的相似性,也正是基于此,比例原则能够类推适用于网络服务提供者,此时的协助执法义务边界首要的是一项立法任务。
但是,两种角色之间的冲突同样意味着实践中网络服务提供者不可能全然居中,甚至有可能同时偏离两种角色。在这一过程中起核心作用的是网络服务提供者自身的商业经营目的。因此,在网络服务提供者身上我们看到的并非单纯的“权力——权利”二元互动,而是更为复杂的“权力——权利——经营目的”三元互动。网络服务提供者的经营目的不仅独立于其所承担的协助执法与权利保障义务,还直接或间接决定着两种义务冲突时网络服务提供者的实际站位。[1]更重要的是,相对于协助执法与权利保障,网络服务提供者的经营目的构成其作为商业主体存在的基础,对于该目的的违反将可能直接损及网络服务提供者的存在价值。正是基于此,我们在前文中已经论证,网络服务提供者所承担的协助执法义务可以限制但不应实质性地损及其经营目的。具体而言,网络服务提供者的经营目的主要在以下四个层面可能限制其协助执法义务。
一、经济成本对协助义务的限制
第一层限制来自于协助执法成本。实现利润最大化的重要途径之一是降低成本。通过协助执法,一部分执法成本由执法机关转嫁给网络服务提供者,从而对其利润最大化形成负面影响。以谷歌为例,谷歌每年定期发布两次《谷歌透明度报告》(Google Transparency Report),公布其收到的用户信息披露请求数量,以及实际执行情况。[2]根据该报告,谷歌2017年上半年收到政府部门关于的用户信息披露请求数量高达83345份,而在报告伊始的2011年,这一数字仅为25342份。对于这些请求,谷歌并非不加区分地予以合作,2017年上半年其实际执行的请求数量仅为48941份,占到全部请求量的65%左右。即便在这四万多份中,谷歌也并非全部进行完整执行,而是要根据相关法律规定,对请求事项与待披露用户信息之间的相关性进行判断,从而确定每份请求的具体执行程度。
与之相类似的,苹果公司每年也会发布两次《透明度报告》,统计数据涉及执法部门针对设备(device)、账户(account)、金融标识(financial identifier)、紧急事项(emergency)等项目提出的协助要求。[3]表3就中国区的数据进行梳理:
很显然,运行这样一整套应对机制要耗费大量的人力、物力、财力,并且可以进一步推导出的是,保护公民基本权利的倾向越强,应对机制越复杂,从而耗费的成本越高。以上成本还不包括用户可能基于该协助执法行为提出诉讼所形成的成本。诸如谷歌这样的大型网络服务提供者尚有能力支持该机制大规模长时间运行,但网络经济发展并不平衡,对于经济与技术能力相对较弱的网络服务提供者,运行这样一套机制则相对困难。从这个角度讲,一刀切式地要求所有网络服务提供者在同等程度上承担协助执法义务既不合理也不现实。
针对网络经济发展不平衡的问题,我国立法也作出了一定的回应,其中以《网络安全法》尤为典型。例如第29条规定,“国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。”同时,《网络安全法》设置专章“网络安全支持与促进”,强调国家对网络安全技术推广、普及、创新的重要作用。这些规定通过国家层面的推动与行业内相互扶持,促进不同重量级的网络市场主体进行资源和技术共享,从而在整体上提升服务于国家利益或公共利益的能力。
据此,我们可以得出第四和第五项结论:一是网络服务提供者协助执法带来的经济成本不应当实质性地减损其经营利润;二是经济成本的有效降低不仅需要通过企业间、企业与行业协会间的资源共享,还需要国家履行积极义务予以扶持。
需要注意的是,以上论述并不否定协助执法可能带来的包括政策优惠等在内的经济效应。例如阿里与浙江省高级人民法院共享淘宝地址以促进文书送达,[4]反映出网络服务提供者的一种积极态度。这种配合的态度一方面可以为网络服务提供者营造相对友好的公权环境,另一方面公权良好运行也会改善和提升网络环境,从而回馈于商主体。欧洲理事会(Council of Europe)2008年发布的打击网络犯罪报告正是从后者的角度出发,阐明网络犯罪控制于公于私的多重利益,鼓励执法机关与网络服务提供者加强理解,进而形成对抗网络犯罪的合力。[5]
二、用户信任对协助义务的限制
如前所述,对于执法协助请求不加区分地予以协助或许可以在一定程度上降低协助成本,但从谷歌和苹果的例子可以看出,全面配合并不必然构成网络服务提供者的最优选。之所以出现这种情况,在于影响网络服务提供者利润最大化的一个重要因素在于其用户对于产品的认可度。
旨在推进网络公民基本权利保障的国际民间组织电子前沿基金会(Electronic Frontier Foundation, EFF)每年针对大型网络平台发布报告,从用户信息保护角度对其进行综合评价和排名。[6]该报告采用了六项评价标准:第一,是否就通信内容信息要求提供司法令状;第二,是否就预测性的位置信息要求提供司法令状;第三,是否发布【政府索取用户信息的】透明度报告;第四,是否发布针对执法部门的行为指引;第五,是否在政府索要数据时通知用户;第六,是否作为数字正当程序联盟(Digital Due Process Coalition, DDPC)[7]成员,在议会中呼吁用户隐私保护。
EFF的报告直接反映出用户对于网络服务提供者的要求和评价体系,从而从市场需求的角度,对网络服务提供者的服务供给形成限制。也正是基于该考量,在斯诺登事件之后,美国大型网络公司在面临重大用户信任危机的背景下,开始积极重构其与公权力的合作机制。上文提及数字正当程序联盟正是这一发展的典型例证。事实上,有学者指出,斯诺登事件最重要的影响,就在于它通过曝光对公民个人信息的大面积政府监控,使得政府与企业之间长期存在的合作关系面临新的挑战。[8]
如前所述,用户对于个人信息保障的需求会直接映射到网络服务提供者的服务供给中去。这种映射并非基于公民基本权利保障的价值考量,更多的是从市场自由竞争的角度出发,通过满足用户需求、提升用户体验来强化服务的竞争优势。换言之,改善特定网络服务的个人信息特别是隐私的保障水平有助于强化网络服务提供者的市场比较优势,从而在这个意义上服务于其作为商主体所追求的利润最大化目标。苹果公司中国区宣传口号“你的设备,只有你能访问”、“你的个人数据只属于你,而绝非其他人”是这一考量的典型例证。[9]
需要注意的是,这种对于个人信息的强化保障不仅仅是网络服务提供者价值选择的结果,很大程度上与技术本身的特性相关。以通信加密技术为例,网络通信服务提供者既可以采用托管加密模式(escrowed encryption),也可以采用端对端加密模式(end-to-end encryption),两者的核心区别在于是否存在通信双方以外的包括服务提供者在内的第三方掌握或备份通信密钥。一般认为,在其他条件相同的前提下,托管加密模式由于密钥的知情方更多,因此在保证信息加密完整性方面相对于端对端模式更弱,加密系统被侵入的风险相对更高。[10]2015年,面对政府再次兴起的要求网络通信服务提供加密系统后门的倾向,美国计算机安全领域的多位专家联合发布报告,认为这种向第三方提供通信信息入口的技术存在重大缺陷;通过引入此类入口,现有的通信秘密保护机制可能面临不可预测的破坏。[11]基于该考虑,网络服务提供者所存在减少密钥接触渠道的强烈动机。以阿里云为例,其所提供的加密服务的重要优势在于“云计算服务商只能管理设备硬件……密钥完全由客户管理,阿里云没有任何方法可以获取客户密钥。”[12]
在这一语境下,是否在技术层面为执法人员开设后门,已经不再单单是“隐私——安全”之间的较量,而是“安全——安全”之间的平衡。由此进一步延伸,如果政府为提升网络安全之目的要求网络服务提供者在技术层面对其加密服务设置一般性的例外措施,而添加该项例外本身将系统性、实质性地损及该网络服务在保护个人信息层面的安全性,那么网络服务提供者履行设置后门的义务无异于饮鸩止渴,本质上也构成对比例原则“手段目的匹配要求”的违反。据此,我们得出第六项结论:网络服务提供者所承担的协助执法义务不应当在技术层面不可行,或者会对提供服务所必须的技术的核心功能造成实质性损害。
三、市场全球化对协助义务的限制
网络经济区别于传统经济的一个重要特性在于其弱地域性。相对于传统企业在推进业务全球化过程中的积极主动地位,网络服务的全球化进程更多的是业务发展的必然结果。对于网络服务提供者而言,市场的全球化意味着其协助执法义务也同步全球化。国家执法行为具有强烈的主权属性,与之对应的是清晰的地域性特征。由此产生网络服务提供者经营业务弱地域性与协助执法义务强地域性之间的张力。
原则上,网络服务提供者应当遵守业务所在国的相关法律规定,但是网络经济的高度竞争以及用户在世界范围内的高速流动,使得网络服务提供者要实现全球范围内的竞争优势,就需要谨慎平衡不同区域协助执法的力度。仍以2016年苹果公司与FBI的争议为例,在接到联邦法官要求其配合FBI调查,协助解锁iPhone手机的命令之后,苹果公司首席执行官Tim Cook发表公开声明,强调如果提供协助将会形成一个“危险的先例”(dangerous precedent),日后苹果的协助执法将难以避免地扩展至全体用户的各类数据。[13]
在一定程度上,基于区域规则差异所形成的网络服务提供者在具体协助执法过程中的犹豫态度,可能会进一步折射到各国在世界范围内的主权与话语权之争。以Microsoft Corp. v. United States案为例。[14]2013年,为对一起贩毒案件进行调查,纽约市一名区法官根据1986年《存储通信法》(Stored Communications Act)签发令状,要求微软公司提供与一特定账号相关的全部信息和邮件。尽管账号信息存储在微软的美国服务器上,但相关邮件的存储服务器位于爱尔兰的都柏林。微软在履行了账户信息披露义务后,拒绝提供在爱尔兰服务器上存储的邮件。2014年,一名联邦治安法官再次要求微软提交相关邮件,微软向第二巡回区上诉法院提出上诉。2016年,上诉法院推翻了之前法院的裁判,并宣布令状无效。2017年6月,美国司法部将此案上诉至最高法院,判决预计将在2017-2018年间作出。
在过去,微软在挑战美国政府的协助要求中屡战屡败。此次案件之所以会在上诉期间出现重大转折,一个重要的影响因素是包括爱尔兰政府在内的众多机构和组织出具了法庭之友意见书(amicus brief)以支持微软,[15]爱尔兰政府更是强调其绝不接受他国司法程序对于本国主权的减损,相关邮件的提供应当在国家间司法协助的基本框架下进行。[16]这一表态一方面在国家主权层面有助于爱尔兰保障本国数据主权和安全,另一方面也意味着在国际对话层面,国家在设定网络服务提供者所承担的跨境数据协助执法义务时,需要考虑该义务可能对本国执法产生的反弹作用。基于此,我们可以得出第七项结论:从全球化的角度来看,宽泛设定网络服务提供者的协助执法义务在实践中并不必然能够充分实现,也并不必然有助于本国在国际网络安全与数据安全攻防战中获益。在这个意义上,网络服务提供者协助执法义务的设定需要充分考量和尊重通行的国际规则与惯例。
四、结论
社会网络化的不断深入,使得网络服务提供者成为各相关利益主体的“兵家必争之地”。在多方关系交错复杂的环境下,网络服务提供者在作为商业主体的同时,已经被赋予了另外两重身份:在用户信息保护层面,其承担着公民基本权利延伸的角色;在社会治理层面,其承担着公权力延伸的角色。正是这三重身份的叠加,使得网络服务提供者的协助执法义务可能与其他主体的合法权益相冲突,从而使得义务边界的划定不仅复杂,而且必要。
基于该三重身份,本系列从“权利——权力”互动和网络服务提供者经营目的两个角度出发,对网络服务提供者的协助执法义务的具体划定形成了七项结论,对应可以转化为网络服务提供者协助执法义务边界划定的七项原则:
第一, 基于《宪法》第40条,网络服务提供者不应当在普遍意义上承担通信权类信息的收集存储、审查监控和报告披露的协助执法义务。
第二, 网络服务提供者所承担的协助执法义务必须受到其所承担的保护公民基本权利之义务的限制,前者对于后者的干预应当符合比例原则。
第三, 网络服务提供者所承担的协助执法义务的强度,应当与对用户信息的具体干预形式形成阶层式对应。
第四, 网络服务提供者协助执法带来的经济成本不应当实质性地减损其经营利润。
第五, 经济成本的有效降低不仅需要通过企业间、企业与行业协会间的资源共享,还需要国家履行积极义务予以扶持。
第六, 网络服务提供者所承担的协助执法义务不应当在技术层面不可行,或者会对提供服务所必须的技术的核心功能造成实质性损害。
第七, 网络服务提供者协助执法义务的设定需要充分考量和尊重通行的国际规则与惯例。
通过参考国际大型网络公司的实践经验,同时结合我国的实际情况,以上原则至少可以先行从以下四个方面入手加以落实。
首先,从政务公开的角度,允许甚至鼓励网络服务提供者定期发布报告,就其在特定时间内收到的针对用户信息的协助要求数量、类型、执行程度、后续处理等信息向其用户进行发布。
其次,从推进网络空间法治的角度出发,允许甚至鼓励网络服务提供者对现有协助义务法律法规进行梳理并公布,便于执法机关和社会从外部监督协助行为的程序合法性与合理性。
第三,推动司法在监督规范执法权的过程中发挥更重要的作用,其中既包括强调行政诉讼对于协助义务范围审查的功能,也包括司法机关在审查批准特定调查取证行为时的监督作用。
第四,基于同意的用户信息处理,在网络服务提供者履行执法协助义务的语境下至少应当转化为告知义务,在法律法规不禁止的前提下,将该协助行为所涉及的信息类型告知信息被采集者。在特定情形下,例如国家安全或犯罪侦查时,应当允许法律设置告知的例外条款,但在其他情形中,这种告知应当作为原则存在,该项义务的豁免应当以个案审查为基础,并且需要相应的执法部门提供理由。
参考资料
[1] See Alan Z. Rozenshtein, “Surveillance Intermediaries”, 70 Stanford Law Review (forthcoming 2018) available at https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2935321. Accessed October 16, 2017.
[2] See “Google Transparency Report”, available at https://transparencyreport.google.com/user-data/overview. Accessed October 27, 2017.
[3] 数据来源参见苹果中国区官网《透明度报告历史记录》,引自https://www.apple.com/cn/privacy/transparency-reports/。访问日期2017年10月31日。
[4] 参见“法律文书无法送达?浙高院与阿里合作,直接寄送淘宝收货地址”,2015年12月9日发布,引自http://ytzyfy.sdcourt.gov.cn/ytzyfy/402518/402565/1248443/index.html。访问日期2017年10月30日。
[5] See Council of Europe, “Cooperation between law enforcement and internet service providers against cybercrime: towards common guidelines”, issued June 25, 2008, available athttps://rm.coe.int/16802f69a6. Accessed October 30, 2017.
[6] See EFF, “Who has your back? Government data requests 2016”, available at October 29, 2017. https://www.eff.org/who-has-your-back-2016#download. Accessed October 29, 2017.
[7] Digital Due Process Coalition是由隐私权律师、大型网络公司和智库共同组成的、旨在推动美国议会修改《电子通信隐私法》(Electronic Communications Privacy Act, ECPA)、实现数字环境中的程序正义,从而保护用户隐私保护的民间联合体。
[8] See Bruce Schneier, Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World, W.W.Norton & Company, 2015, at 207.
[9] 参见苹果中国区官网“隐私”板块,引自https://www.apple.com/cn/privacy/。访问日期2017年10月31日。
[10] 2016年苹果公司针对一名联邦法官要求其配合FBI调查,协助解锁iPhone手机的命令作出回应,技术层面的担忧是其拒绝合作的重要理由之一。参见Apple, “A message to our customers”, issued February 16, 2016, available at https://www.apple.com/customer-letter/. Accessed October 31, 2017.
[11] See Harold Abelson et al, “Keys under Doormats: Mandating Insecurity by Requiring Government Access to All Data and Communications”, issued on July 7, 2015, available at https://mitpress.mit.edu/blog/keys-under-doormats-security-report. Accessed October 30, 2017.
[12] 参见阿里云官网“加密服务”板块,引自https://www.aliyun.com/product/hsm?spm=5176.7920199.765261.105.SbaXDA。访问日期2017年10月31日。
[13] See Tim Cook, “A message to our customers”, issued February 16, 2016, available at https://www.apple.com/customer-letter/. Accessed October 31, 2017.
[14] Microsoft Corp. v. United States, in the Matter of a Warrant to Search a Certain E-Mail Account Controlled and Maintained by Microsoft Corportation.
[15] See “Microsoft Reply Brief for Appellant”, available at http://mscorpmedia.azureedge.net/mscorpmedia/2015/04/Microsoft-Reply-Brief.pdf. Accessed October 31, 2017.
[16] See Vlad Dudau, “Ireland files brief in support of Microsoft against the US government”, issued December 24, 2014, available at https://www.neowin.net/news/ireland-files-brief-in-support-of-microsoft-against-the-us-government. Accessed October 31, 2017.
感谢作者的授权,本文仅作学习交流之用
声明:本文来自大数据和人工智能法律研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。