崔聰聰，李欲曉，韓松

（1.北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心，北京100876；2.中國網(wǎng)絡(luò)空間安全協(xié)會，北京100010）

《網(wǎng)絡(luò)安全法（草案二次審議稿）》第27條修改建議
——以網(wǎng)絡(luò)服務(wù)提供者協(xié)助解密義務(wù)為中心

崔聰聰1，李欲曉2，韓松1

（1.北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心，北京100876；2.中國網(wǎng)絡(luò)空間安全協(xié)會，北京100010）

網(wǎng)絡(luò)服務(wù)提供者協(xié)助解密義務(wù)，隱含著公權(quán)力（偵查權(quán)）與私權(quán)利（通信秘密權(quán)、隱私權(quán)）之間的沖突。用戶的非公開信息應(yīng)該在可控、可追溯基礎(chǔ)上，遵循必要性原則和比例原則，綜合考慮執(zhí)法成本，司法機(jī)關(guān)經(jīng)由法律確定網(wǎng)絡(luò)服務(wù)提供者履行協(xié)助解密義務(wù)獲取，進(jìn)而達(dá)到社會治理管控、公眾安寧生活與網(wǎng)絡(luò)服務(wù)提供者營業(yè)自由的綜合效益最大化目標(biāo)，避免落入公權(quán)力嚴(yán)重侵犯私權(quán)利的情形或者出現(xiàn)政府失效的無序狀態(tài)。

協(xié)助解密義務(wù)；必要性原則；比例原則；可控、可追溯；救濟(jì)措施

DOI 10.15302/J-SSCAE-2016.06.007

一、前言

網(wǎng)絡(luò)時代，犯罪日趨國際化、組織化、隱蔽化和高科技化。近年來，暴恐分子利用通信加密及存儲技術(shù)進(jìn)行傳播暴恐音視頻、接受境外指令、勾連策劃恐怖襲擊，從而嚴(yán)重威脅國家安全和社會公共安全。密碼技術(shù)的泛化利用客觀上給司法機(jī)關(guān)的刑事偵查活動造成障礙，加密技術(shù)使大量的危害國家安全和社會公共安全的案件無法及時被發(fā)現(xiàn)、制止和懲處。出于保障國家安全、維護(hù)社會秩序等諸多目的，偵查機(jī)關(guān)在偵辦刑事案件時，有時不得不要求網(wǎng)絡(luò)服務(wù)提供者協(xié)助獲取個人處于加密狀態(tài)的信息。法律有必要明確執(zhí)法協(xié)助的范圍及其程序，在保護(hù)用戶隱私以及國家安全之間尋找一個平衡點，否則執(zhí)法協(xié)助可能淪為某些機(jī)關(guān)或部門濫用權(quán)力、侵害公民人身權(quán)利的“通行證”。

二、協(xié)助解密背后的權(quán)利（力）沖突——以蘋果解密門為例

（一）蘋果解密門爭議焦點及結(jié)果

自密碼技術(shù)民用化以來，技術(shù)利用與執(zhí)法需求的博弈從來沒有停止過[1]。密碼技術(shù)使用的初衷是實現(xiàn)信息的秘密性，為公民的通信秘密權(quán)提供技術(shù)支撐，但違法行為人同樣可以利用密碼技術(shù)隱匿犯罪事實和證據(jù)，因此，密碼技術(shù)利用產(chǎn)生的執(zhí)法障礙是始終無法回避的問題。2016年2月16日，美國聯(lián)邦調(diào)查局針對加州圣伯納迪諾賽耶德·法魯克襲擊案中獲取的iPhone手機(jī)，經(jīng)由加州法院發(fā)出搜查令要求蘋果公司對涉案iPhone手機(jī)進(jìn)行協(xié)助調(diào)查。蘋果公司認(rèn)為美國聯(lián)邦調(diào)查局要求蘋果公司在iPhone構(gòu)建后門會破壞其自由以及威脅用戶信息安全，并以此為由拒絕協(xié)助調(diào)查。2月28日，紐約州地區(qū)法院受理蘋果公司的訴訟。法官James Orenstein認(rèn)為，美國政府對《全令法案》（All Writs Act）的解讀過于寬泛，是有違憲法精神的做法，且搜查令中法律引述不當(dāng)。3月7日，美國司法部要求該法官撤回前判決并命令蘋果公司協(xié)助解密。3月22日，美國聯(lián)邦調(diào)查局通過以色列Cellebrite公司將涉案iPhone手機(jī)破解。

本案中，由于犯罪嫌疑人已被警方擊斃，警方調(diào)查陷入僵局。與電信運營商向執(zhí)法機(jī)構(gòu)提供保存在其服務(wù)器內(nèi)的用戶短信行為相比，本案中網(wǎng)絡(luò)服務(wù)提供者的協(xié)助義務(wù)被放大到解密用戶的加密信息，并且主動突破用戶協(xié)議進(jìn)行解密，無疑會引發(fā)用戶對個人信息和隱私安全的擔(dān)憂。無論是美國聯(lián)邦調(diào)查局援引的《全令法案》，還是蘋果公司援引的《美國憲法》第二和第五修正案，事實上都是工業(yè)時代的法律。美國聯(lián)邦調(diào)查局要求網(wǎng)絡(luò)服務(wù)提供者的協(xié)助執(zhí)法義務(wù)擴(kuò)大到解密和提供用戶端文件，但是，對用戶端信息的取證不能簡單地類推適用現(xiàn)實的文件夾或者保險箱[2]。如果不對網(wǎng)絡(luò)服務(wù)提供者執(zhí)法協(xié)助義務(wù)進(jìn)行細(xì)化，而僅僅出于實用主義目的泛泛規(guī)定網(wǎng)絡(luò)服務(wù)提供者應(yīng)提供力所能及的技術(shù)支持，可能引發(fā)網(wǎng)絡(luò)服務(wù)提供者的權(quán)力泛化以及偵查權(quán)力“失控”。如果缺乏程序性保障措施，執(zhí)法機(jī)關(guān)和網(wǎng)絡(luò)服務(wù)提供者很容易因濫用權(quán)力而侵犯個人隱私和威脅個人信息安全。

（二）蘋果解密門背后隱含的權(quán)利（力）沖突

基于保障國家安全、反恐需要而進(jìn)行的刑事偵查，歷來是國家權(quán)力與個人權(quán)利碰撞最為激烈的領(lǐng)域[3]。依靠網(wǎng)絡(luò)服務(wù)提供者協(xié)助解密是國家懲罰犯罪、維護(hù)社會秩序的必要手段，是各國在個人自由與控制犯罪之間的抉擇。但不可否認(rèn)，協(xié)助解密造成了明顯的國家權(quán)力、企業(yè)營業(yè)自由和保護(hù)個人尊嚴(yán)、生活安寧等個體根本利益之間的緊張關(guān)系。表面上蘋果公司拒絕美國聯(lián)邦調(diào)查局解密要求的動機(jī)是維護(hù)其商業(yè)利益，而實質(zhì)是蘋果公司作為公權(quán)力與私權(quán)利之間沖突的“媒介”，在綜合考量各方利益及其影響的基礎(chǔ)上做出的價值判斷。作為一種預(yù)防和控制犯罪的有效手段，協(xié)助解密因其具有外溢效應(yīng)容易侵犯個體的權(quán)利而需加以警惕，但是找到一個平衡點并不容易，易言之，在執(zhí)法的正當(dāng)需求與企業(yè)營業(yè)自由、個人隱私保護(hù)之間找到適當(dāng)?shù)钠胶恻c變得越來越困難。

三、我國的立法和司法實踐

（一）立法

協(xié)助執(zhí)法是網(wǎng)絡(luò)服務(wù)提供者履行保障網(wǎng)絡(luò)空間安全義務(wù)的重要內(nèi)容。網(wǎng)絡(luò)服務(wù)提供者作為網(wǎng)絡(luò)活動最重要的參與者，更應(yīng)該在數(shù)字化執(zhí)法取證越發(fā)困難的網(wǎng)絡(luò)環(huán)境中積極履行協(xié)助執(zhí)法義務(wù)。這一義務(wù)要求網(wǎng)絡(luò)服務(wù)提供者為執(zhí)法機(jī)構(gòu)提供必要的執(zhí)法便利和技術(shù)支持，通常包括通信監(jiān)控、檢查攔截和協(xié)助解密等，同時網(wǎng)絡(luò)服務(wù)提供者還應(yīng)當(dāng)對協(xié)助執(zhí)法過程中所獲取的信息進(jìn)行保密[4]。

《國家安全法》第七十七條要求公民和組織應(yīng)當(dāng)履行維護(hù)國家安全的義務(wù)，向國家安全機(jī)關(guān)、公安機(jī)關(guān)和有關(guān)軍事機(jī)關(guān)提供必要的支持和協(xié)助?！斗纯址ā返谑藯l要求電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)服務(wù)提供者應(yīng)當(dāng)為公安機(jī)關(guān)、國家安全機(jī)關(guān)依法進(jìn)行防范、調(diào)查恐怖活動提供技術(shù)接口和解密等技術(shù)支持和協(xié)助。但是，對于其他刑事案件能否要求網(wǎng)絡(luò)服務(wù)提供者協(xié)助解密，尚未有相關(guān)法律明確確定?！毒W(wǎng)絡(luò)安全法（草案二次審議稿）》第27條規(guī)定網(wǎng)絡(luò)運營者應(yīng)當(dāng)為公安機(jī)關(guān)、國家安全機(jī)關(guān)依法維護(hù)國家安全和偵查犯罪的活動提供技術(shù)支持和協(xié)助。協(xié)助解密作為技術(shù)支持和協(xié)助的重要組成部分無法可依，甚至對技術(shù)支持和協(xié)助的范圍與程序保障乃至公民權(quán)利的救濟(jì)措施，《網(wǎng)絡(luò)安全法（草案二次審議稿）》都未明確規(guī)定。

（二）司法實踐

與美國令狀主義語境的偵查行為管控相比較，我國的立法使得公權(quán)力的界限變得模糊，因而需要過多地依靠司法機(jī)關(guān)的自我約束。在向網(wǎng)絡(luò)服務(wù)提供者要求執(zhí)法協(xié)助的啟動點上，司法機(jī)關(guān)有啟動過于頻繁、啟動閾值過低的問題。司法機(jī)關(guān)在偵查過程中要求運營商提供犯罪嫌疑人的通話記錄、短信記錄是十分常見的偵查行為[5]。在舊的明文發(fā)送情況下按照“一目了然”的偵查原則[6]，可以責(zé)令網(wǎng)絡(luò)服務(wù)提供者從服務(wù)器中直接提供與案情相關(guān)的信息。如今，多數(shù)通訊工具或互聯(lián)網(wǎng)應(yīng)用已采取密文的發(fā)送形式，倘若要求網(wǎng)絡(luò)服務(wù)提供者提供信息，勢必要求其強(qiáng)行解密用戶信息。

四、《網(wǎng)絡(luò)安全法（草案二次審議稿）》第27條修改建議

國家在追訴犯罪中要求網(wǎng)絡(luò)服務(wù)提供者協(xié)助解密會侵犯、限制個人隱私權(quán)，個人需予以一定程度的容忍，但這并不意味著國家權(quán)力在技術(shù)偵查中可以不受限制或者制約。對于直接關(guān)系到人權(quán)的特殊偵查措施，國際通行的做法是通過法律控制來防止權(quán)力的無限擴(kuò)張與濫用[7]。為實現(xiàn)上述目標(biāo)，《網(wǎng)絡(luò)安全法（草案二次審議稿）》第27條應(yīng)明確協(xié)助解密措施的適用案件種類、適用前提和適用對象。

（一）適用案件種類

通信秘密權(quán)、隱私權(quán)以及個人信息控制權(quán)均為形成或?qū)崿F(xiàn)個人人格所不可欠缺的?；诒Ｗo(hù)公民基本權(quán)利的要求，協(xié)助解密措施適用的案件范圍僅限于重大犯罪案件，包括危害國家安全犯罪、恐怖活動犯罪、黑社會性質(zhì)的組織犯罪、重大毒品犯罪案件，重大的貪污、賄賂犯罪案件以及利用職權(quán)實施的嚴(yán)重侵犯公民人身權(quán)利的重大犯罪案件，追捕被通緝或者批準(zhǔn)、決定逮捕的在逃的犯罪嫌疑人、被告人的案件，可能判處10年以上有期徒刑、無期徒刑和死刑的其他嚴(yán)重危害社會的犯罪案件?！爸刈铩狈从吵霰缓?quán)益的重大性，針對上述犯罪要求網(wǎng)絡(luò)服務(wù)提供者協(xié)助解密，足以抵消因侵害公民隱私權(quán)、通信秘密權(quán)以及企業(yè)營業(yè)自由而帶來的負(fù)面影響。賄賂犯罪往往具有隱秘性，偵查機(jī)關(guān)采用一般偵查措施常常收效甚微，如果不尋求網(wǎng)絡(luò)服務(wù)提供者協(xié)助解密，實在難以發(fā)現(xiàn)犯罪、調(diào)查取證并對違法行為人進(jìn)行定罪處罰。

（二）適用前提

協(xié)助解密必須在采取一般偵查措施或方式不能或難以查明案情、獲取證據(jù)、查獲犯罪嫌疑人的情況下才可以進(jìn)行；或者即使有其他方式，但需耗費大量的人力、物力和時間，并可能對個人權(quán)利及公共利益造成更大的損害，此即“兩害相權(quán)取其輕”。必要性原則的另一要義是只有司法機(jī)關(guān)對個人的行為是否可能造成嚴(yán)重的社會危害結(jié)果有了高于合理懷疑的程度，也就是說有實體的證據(jù)指向其具有相當(dāng)程度的社會危害可能，才能要求網(wǎng)絡(luò)服務(wù)提供者協(xié)助解密，此時個人的隱私權(quán)和通信秘密權(quán)應(yīng)讓位于偵查權(quán)，經(jīng)過授權(quán)的網(wǎng)絡(luò)服務(wù)提供者協(xié)助解密也因此具備實質(zhì)合法性。

（三）適用對象

在協(xié)助解密過程中，公權(quán)力機(jī)關(guān)想要獲取的信息主要有以下兩類：行為人的身份信息；犯罪嫌疑人通信的內(nèi)容。如果將適用對象限制為犯罪嫌疑人本人，勢必導(dǎo)致部分案件由于缺乏犯罪嫌疑人的身份信息而無法要求網(wǎng)絡(luò)服務(wù)提供者協(xié)助解密。但如果適用對象沒有限制，偵查機(jī)關(guān)會產(chǎn)生過于充分的“動力”向網(wǎng)絡(luò)服務(wù)提供者索取信息，意圖通過海量的信息來篩選出目標(biāo)證據(jù)。在統(tǒng)籌考慮偵查效率與人權(quán)保障之間關(guān)系的基礎(chǔ)上，我們認(rèn)為協(xié)助解密的對象應(yīng)當(dāng)是明確且受限的，是與特定的通信線路、電子設(shè)備等直接相關(guān)的擬制人，不需要適用對象的身份完全明了。此外，作為一種補(bǔ)充偵查的手段，只能在確有必要的情況下，對與被指控人存在密切關(guān)聯(lián)的其他人員實施。

綜上，《網(wǎng)絡(luò)安全法（草案二次審議稿）》第27條應(yīng)該修改為“網(wǎng)絡(luò)運營者應(yīng)當(dāng)為國家安全機(jī)關(guān)、公安機(jī)關(guān)和檢察機(jī)關(guān)依法維護(hù)國家安全和偵查重大犯罪的活動提供必要的技術(shù)支持和協(xié)助?！?/p>

五、安全保障與救濟(jì)措施

從立法定位來看，《網(wǎng)絡(luò)安全法》應(yīng)為網(wǎng)絡(luò)空間安全的基本法，不可能對協(xié)助解密規(guī)定得事無巨細(xì)。協(xié)助解密過程中的安全保障與救濟(jì)措施可在《網(wǎng)絡(luò)安全法》的實施細(xì)則中予以規(guī)定。

（一）安全保障措施

協(xié)助解密不僅涉及當(dāng)事人的隱私，也可能涉及企業(yè)的商業(yè)秘密甚至國家秘密。因此，偵查人員和網(wǎng)絡(luò)服務(wù)提供者對協(xié)助解密過程中獲悉的國家秘密、商業(yè)秘密和個人隱私要嚴(yán)格保密，不得泄露、出售或者非法向他人提供，并及時銷毀與案件無關(guān)的材料。為避免影響案件的調(diào)查與偵破，網(wǎng)絡(luò)服務(wù)提供者原則上應(yīng)對協(xié)助解密的行為進(jìn)行保密，未經(jīng)執(zhí)法機(jī)關(guān)允許在案件偵查期間不得告知用戶。

（二）救濟(jì)措施

1.對網(wǎng)絡(luò)服務(wù)提供者的救濟(jì)

盡管網(wǎng)絡(luò)服務(wù)提供者負(fù)有協(xié)助解密的法定義務(wù)，但是其對于執(zhí)法機(jī)關(guān)做出的違法要求，有權(quán)向該執(zhí)法機(jī)關(guān)或其上級機(jī)關(guān)提出申訴，以保障企業(yè)自身的權(quán)益。此外，網(wǎng)絡(luò)服務(wù)提供者在協(xié)助解密的過程中產(chǎn)生的費用，有權(quán)要求執(zhí)法機(jī)關(guān)給予補(bǔ)償。但是，該費用支出必須是合理的，且與協(xié)助解密活動直接相關(guān)。

2.對當(dāng)事人的救濟(jì)

對當(dāng)事人的救濟(jì)主要是保障當(dāng)事人的知情權(quán)、異議權(quán)和損害賠償請求權(quán)。首先，在協(xié)助解密行為結(jié)束后，執(zhí)法機(jī)關(guān)應(yīng)當(dāng)將協(xié)助解密的有關(guān)情況通知當(dāng)事人，以便于其核對情況是否屬實并提出異議、申請排除非法證據(jù)等；其次，當(dāng)事人認(rèn)為協(xié)助解密行為違法或者采用的手段違反必要性原則或比例原則，可以向執(zhí)法機(jī)關(guān)依法申請復(fù)議；再次，違法實施協(xié)助解密給當(dāng)事人合法權(quán)利造成損害的，當(dāng)事人可以申請國家賠償。

六、結(jié)語

網(wǎng)絡(luò)服務(wù)提供者協(xié)助解密，始終面臨著為了保障國家安全、維護(hù)社會公共利益而不得不適用的“現(xiàn)實必要性”和對公民隱私權(quán)、企業(yè)營業(yè)自由構(gòu)成威脅的“現(xiàn)實危險性”兩難選擇。在執(zhí)法機(jī)構(gòu)沒有解密能力的情況下，責(zé)令網(wǎng)絡(luò)服務(wù)提供者協(xié)助解密是成本相對低的途徑。為最大限度的減少其產(chǎn)生的外溢效應(yīng)，立法有必要明確其適用案件種類、適用對象、適用原則以及安全保障措施，賦予當(dāng)事人知情權(quán)、申訴權(quán)和申請國家賠償?shù)臋?quán)利，從實體和程序兩個方面嚴(yán)格限制其適用，使公民對國家行為有“可預(yù)測性”，從而保證刑事偵查活動在犯罪控制與人權(quán)保障之間實現(xiàn)動態(tài)平衡。

[1]馬民虎, 果園, 馬寧.自解密義務(wù)的法律困惑及其本土適用[J].蘇州大學(xué)學(xué)報(哲學(xué)社會科學(xué)版), 2016(1): 89-94. Ma M H, Guo Y, Ma N. Legal issues regarding the self-decryption obligationand its application in China[J]. Journal of Soochow University (Philosophy & Social Science Edition), 2016(1): 89-94.

[2]Jeffrey K. Missing the Metaphor: Compulsory decryption and the fifth amendment[J]. The Boston University Public Interest Law Journal, 2015, 24(53): 54-75.

[3]謝登科.論技術(shù)偵查中的隱私權(quán)保護(hù)[J].法學(xué)論壇, 2016(3): 32-40. Xie D K. On the protection of privacy rights in technical investigation[J]. Legal Forum, 2016(3): 32-40.

[4]霍永庫, 馮瀟灑.社會角色理論的網(wǎng)絡(luò)運營者安全保障義務(wù)分析[J].西安交通大學(xué)學(xué)報, 2016, 36(1): 62-68. Huo Y K, Feng X S.The analysis of network operators’ safety guarantee obligation based on the theory of the social role[J]. Journal of Xi’an Jiaotong University, 2016, 36(1): 62-68.

[5]唐忠民.公民通信自由和通信秘密保護(hù)的兩個問題[J].法學(xué)，2007(12): 14-17. Tang Z M. Two issues of the freedom of correspondence andprotection of correspondence secrets [J]. Law Science, 2007 (12):14-17.

[6]高榮林.美國電子數(shù)據(jù)取證之無證搜查與證據(jù)排除規(guī)則[J].上海政法學(xué)院學(xué)報，2015,30(5): 72-81. Gao R L. Unlicensed search and evidence exclusion rule of electronic data evidence in the USA [J]. Journal of Shanghai University of Political Science & Law, 2015, 30(5):72-81.

[7]胡銘.英法德荷意技術(shù)偵查的程序性控制[J].環(huán)球法律評論, 2013, 35(4): 6-18. Hu M. Technical detection by procedure regulation in United Kingdom, France, Germany, the Netherlands and Italy[J]. Global Law Review, 2013, 35(4): 6-18.

The Obligation of Decryption Assistance by Internet Service Providers: Suggestions on the Amendment of Article 27 of the Network Security Law Draft (Second Draft)

Cui Congcong1, Li Yuxiao2, Han Song1
(1. Institute of Internet Governance and Law, Beijing University of Posts and Telecommunications, Beijing 100876, China; 2. CyberSecarity Association of China, Beijing 100010, China)

The obligation of decryption assistance by Internet service providers reflects the conflict between public power (the power of investigation) and the right of privacy (the right of communication privacy, private rights). Internet service providers should gather data under encryption by users on the basis of the principles of controllability and traceability, proportionality, and necessity. Providers should consider choosing their path prudently, supervised by strict procedure. Thus, the overall utility of social governance control, the tranquility of private life, and the business interests of Internet service providers can be maximized. Severe violations of private rights and disorderly situations due to governmental failure can be avoided if these suggestions are carried out.

obligation of decryption assistance; principle of necessity; principle of proportionality; principle of controllability and traceability; remedy measures

D922.1

A

2016-10-12；

2016-10-18

崔聰聰，北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心，副主任，副教授，主要研究領(lǐng)域為網(wǎng)絡(luò)法；E-mail: cuicongcong@bupt.edu.cn

中國工程院重大咨詢項目“網(wǎng)絡(luò)空間安全戰(zhàn)略研究”(2015-ZD-10)

本刊網(wǎng)址：www.enginsci.cn