林海文，劉宏松

（1.浙江警察學(xué)院，浙江 杭州 310053；2.上海交通大學(xué)，上海 200030）

隨著大數(shù)據(jù)時(shí)代的到來(lái)，互聯(lián)網(wǎng)服務(wù)數(shù)據(jù)的指數(shù)級(jí)增長(zhǎng)導(dǎo)致執(zhí)法當(dāng)局越來(lái)越多地依靠電子信息來(lái)調(diào)查和起訴犯罪，電子證據(jù)（E-evidence）應(yīng)用已成為犯罪調(diào)查的關(guān)鍵［1］。由于網(wǎng)絡(luò)空間的弱地域性特征，可以用于證明案件事實(shí)的電子數(shù)據(jù)呈現(xiàn)出全球分布和高速傳輸?shù)奶卣?，跨境電子取證已成為網(wǎng)絡(luò)信息時(shí)代打擊犯罪的新常態(tài)［2］。根據(jù)歐盟委員會(huì)調(diào)查，85%的犯罪案件需要電子證據(jù)，其中65%的數(shù)據(jù)來(lái)自私人（互聯(lián)網(wǎng)）服務(wù)提供商（private service provider）［3］。因此，犯罪的調(diào)查（不僅僅指網(wǎng)絡(luò)犯罪）通常要求獲得儲(chǔ)存在司法機(jī)關(guān)掌握范圍之外的數(shù)據(jù)和電子證據(jù)。然而，許多數(shù)據(jù)通常是由跨國(guó)公司或外國(guó)公司掌握。針對(duì)存儲(chǔ)于境外的數(shù)據(jù)，一國(guó)應(yīng)該采取怎樣的措施或方案獲取域外電子證據(jù)管轄權(quán)？

通常來(lái)講，為獲取位于境外的數(shù)據(jù)，執(zhí)法機(jī)構(gòu)（Law Enforcement Agency， 簡(jiǎn)稱LEA） 要么通過(guò)向數(shù)據(jù)所在的外國(guó)執(zhí)法當(dāng)局發(fā)出司法合作請(qǐng)求，間接獲取執(zhí)法相關(guān)數(shù)據(jù)；要么通過(guò)打通雙邊法律監(jiān)管機(jī)制，直接接觸控制該數(shù)據(jù)的服務(wù)提供商［4］。前者主要在雙邊或多邊法律互助條約（Mutual Legal Assistance Treaty，簡(jiǎn)稱MLAT）框架下獲取存儲(chǔ)在本國(guó)以外的數(shù)據(jù)，從數(shù)據(jù)獲取的角度來(lái)看是一種間接形式的合作，是刑事訴訟中用于引導(dǎo)跨國(guó)收集證據(jù)請(qǐng)求的“經(jīng)典”國(guó)際法工具；后者主要通過(guò)國(guó)家執(zhí)法部門與私人行為體（主要指企業(yè)）的直接合作，通常被稱為公私伙伴關(guān)系（Public-Private Partnership，簡(jiǎn)稱PPP）［5］，典型代表是美國(guó)云法案（Cloud Act）。歐洲調(diào)查令（EIO）是兩種模式的過(guò)渡機(jī)制，建立在司法判決相互承認(rèn)的原則基礎(chǔ)上，用于歐盟內(nèi)部執(zhí)行調(diào)查措施。

本文聚焦于歐盟警務(wù)執(zhí)法數(shù)據(jù)流動(dòng)的機(jī)制，分以下四部分對(duì)這一問(wèn)題進(jìn)行探討：第一部分對(duì)警務(wù)執(zhí)法數(shù)據(jù)跨境流動(dòng)進(jìn)行界定，第二部分梳理歐盟跨境警務(wù)執(zhí)法數(shù)據(jù)流動(dòng)的方案，第三部分總結(jié)歐盟警務(wù)執(zhí)法數(shù)據(jù)流動(dòng)與數(shù)據(jù)保護(hù)的內(nèi)部規(guī)范性協(xié)調(diào)，第四部分分析歐盟警務(wù)執(zhí)法數(shù)據(jù)“充分性保護(hù)”的評(píng)估機(jī)制及其實(shí)踐困境，最后總結(jié)反思。

一、警務(wù)執(zhí)法數(shù)據(jù)流動(dòng)的界定

由于規(guī)則相對(duì)分散，需要對(duì)基本概念進(jìn)一步明確。作為協(xié)調(diào)不同國(guó)家立場(chǎng)的國(guó)際組織，歐盟尚未對(duì)警務(wù)執(zhí)法數(shù)據(jù)流動(dòng)的基本概念給予官方界定。就此，歐洲數(shù)據(jù)保護(hù)專員（European Data Protection Supervisor，簡(jiǎn)稱EDPS）呼吁對(duì)數(shù)據(jù)跨境流動(dòng)進(jìn)行清晰界定［6］。為解決基本概念的界定問(wèn)題，約翰·弗雷爾（John Forrer）等從公私伙伴關(guān)系（PPP）的角度加以定義，認(rèn)為這是政府和私營(yíng)部門組織之間的協(xié)定，其中私營(yíng)組織參與傳統(tǒng)上由公共部門提供的公共商品或服務(wù)的決策與生產(chǎn)，并且私營(yíng)部門分擔(dān)這種生產(chǎn)的風(fēng)險(xiǎn)［7］?？鐕?guó)公私伙伴關(guān)系本質(zhì)上是國(guó)家之間的合作。關(guān)于警務(wù)執(zhí)法數(shù)據(jù)流動(dòng)，本文采用勞拉·德雷克斯勒（Laura Drechsler）的定義：“警務(wù)執(zhí)法數(shù)據(jù)跨國(guó)流動(dòng)是指第三方國(guó)家的執(zhí)法部門或者相關(guān)國(guó)際組織獲得位于歐盟的數(shù)據(jù)的過(guò)程?！保?］本文將從歐盟視角，結(jié)合LED（Law Enforcement Directive 的簡(jiǎn)稱）的有關(guān)規(guī)定，①LED 通常為《警務(wù)與執(zhí)法數(shù)據(jù)保護(hù)指令》， 參見(jiàn)： EU Directive 2016/680 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to The Processing of Personal Data by Competent Authorities for the Purposes of the Prevention， Investigation， Detection or Prosecution of Criminal Offences or the Execution of Criminal Penalties， and on the Free Movement of such Data， and Repealing Council Framework Decision 2008/977/JHA［DB/0L］.［2022-03-21］.https：//eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016L0680.為獲取歐盟的警務(wù)執(zhí)法數(shù)據(jù)的可行路徑提供理論解讀。

首先，關(guān)于數(shù)據(jù)的表現(xiàn)形式。本文認(rèn)為，在執(zhí)法領(lǐng)域所指的數(shù)據(jù)表現(xiàn)為“電子證據(jù)”。“電子證據(jù)”是電子形式的數(shù)據(jù)或計(jì)算機(jī)數(shù)據(jù)，即以二進(jìn)制形式存儲(chǔ)或傳輸?shù)氖聦?shí)、概念或信息［9］。如果證據(jù)數(shù)字化或者變成能夠被訪問(wèn)、查看或通過(guò)自動(dòng)手段處理的二進(jìn)制形式，就有可能成為電子證據(jù)。歐盟認(rèn)為，“電子證據(jù)”不僅包括“由服務(wù)提供商以電子形式存儲(chǔ)的證據(jù)，諸如存儲(chǔ)的訂閱者數(shù)據(jù)、訪問(wèn)數(shù)據(jù)、交易數(shù)據(jù)和內(nèi)容數(shù)據(jù)”，還包括“與電子通信服務(wù)、電信和其他互聯(lián)網(wǎng)或基于應(yīng)用程序的服務(wù)相關(guān)的活動(dòng)產(chǎn)生的電子存儲(chǔ)數(shù)據(jù)，諸如連接、流量、位置數(shù)據(jù)等內(nèi)容的用戶信息”［4］。

其次，關(guān)于數(shù)據(jù)的應(yīng)用主體。界定警務(wù)執(zhí)法數(shù)據(jù)傳輸?shù)年P(guān)鍵是明確提出數(shù)據(jù)傳輸要求的主體。歐盟對(duì)“主體”提出全新定義，LED 第3（7）條規(guī)定，“主管當(dāng)局（competent authority）”包括兩類行為者：公共部門和私人部門。第3（7）a 條規(guī)定，主管當(dāng)局是任何主管第1（1）條規(guī)定的執(zhí)法目的的公共機(jī)構(gòu)。根據(jù)TFEU 第87 條關(guān)于歐盟內(nèi)部警察合作的規(guī)定，這不僅指“傳統(tǒng)的”執(zhí)法機(jī)構(gòu)，如警察、法院、檢察院、海關(guān)和其他專門的執(zhí)法機(jī)構(gòu)，②參見(jiàn)： https：//eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A12012E%2FTXT.還包括邊境警衛(wèi)、金融情報(bào)單位和任何其他負(fù)有執(zhí)法任務(wù)的私人行為體［5］。LED 第3（7）b 條規(guī)定，主管機(jī)構(gòu)還可以是“受國(guó)家法律委托為第1（1）條規(guī)定的執(zhí)法目的而行使公共權(quán)力和公權(quán)力的任何其他機(jī)構(gòu)或?qū)嶓w”，包括公私伙伴關(guān)系中的私人當(dāng)事方，私人機(jī)構(gòu)從公共機(jī)構(gòu)手中接管傳統(tǒng)上被認(rèn)為屬于國(guó)家壟斷的執(zhí)法任務(wù)的情況。因此，LED 第3（7）b 條中提到的“其他機(jī)構(gòu)或?qū)嶓w”似乎著眼于未來(lái)，預(yù)計(jì)國(guó)家的執(zhí)法方式將沿著當(dāng)前的私有化和公私伙伴關(guān)系的趨勢(shì)變化，特別是警務(wù)私有化［10］。

再次，關(guān)于數(shù)據(jù)的應(yīng)用范圍。歐盟對(duì)于基于預(yù)防、調(diào)查、偵查、起訴刑事犯罪行為以及執(zhí)行刑法等有關(guān)的請(qǐng)求向第三方（國(guó)家或國(guó)際組織）的數(shù)據(jù)傳輸積極認(rèn)可。③EU Directive（2016/680）， para4。參見(jiàn)：https：//eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016L0680.LED 第1（1）條規(guī)定，本指令就主管部門為預(yù)防、調(diào)查、偵查、起訴刑事罪行或執(zhí)行刑事處罰的目的而保護(hù)處理個(gè)人數(shù)據(jù)的規(guī)則，包括對(duì)公共安全威脅的防范和預(yù)防。然而，在實(shí)踐中，歐盟成員國(guó)對(duì)什么構(gòu)成刑事犯罪有不同的看法，一些成員國(guó)將這一概念理解為包括最終可能導(dǎo)致刑事指控的行政違法行為［11］。LED 前言第12 條（Recital 12）明確指出，指令的實(shí)質(zhì)范圍包括“警方在事先不知道某一事件是否屬于刑事犯罪的情況下進(jìn)行的活動(dòng)”。LED 前言第27 條（Recital 27）進(jìn)一步指出，“數(shù)據(jù)處理不必完全在預(yù)防、調(diào)查、偵查或起訴具體刑事犯罪的有限范圍內(nèi)進(jìn)行”，還包括為了“發(fā)展對(duì)犯罪活動(dòng)的理解和在所發(fā)現(xiàn)的不同刑事犯罪之間建立聯(lián)系”的處理。衡量一個(gè)真實(shí)或潛在的網(wǎng)絡(luò)安全事件的規(guī)模和威脅程度，原則上應(yīng)屬于LED 框架下的處理活動(dòng)；但是主管當(dāng)局在其他授權(quán)任務(wù)中為其他目的進(jìn)行的任何數(shù)據(jù)處理，包括為公共利益、科學(xué)或歷史研究或統(tǒng)計(jì)目的的存檔，則屬于GDPR 規(guī)制范疇。①Article 9（2） and Recital 12 of LED.

最后，關(guān)于數(shù)據(jù)傳輸主體“充分保護(hù)”的認(rèn)定。由于個(gè)人數(shù)據(jù)是個(gè)人隱私權(quán)和身份權(quán)的重要體現(xiàn)，受到《歐盟基本權(quán)利憲章》規(guī)制。2015 年，歐盟法院（Court of Jusitc of European Union， 簡(jiǎn)稱CJEU）判決的Schrems I 案中提出，“數(shù)據(jù)傳輸需求的第三方國(guó)家應(yīng)執(zhí)行具有同樣的基本數(shù)據(jù)權(quán)利保護(hù)標(biāo)準(zhǔn)的機(jī)制?！雹趨⒁?jiàn)：https：//eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX：62014CJ0362.在此背景下，歐盟委員會(huì)于2016 年提出了關(guān)于電子證據(jù)和信息獲取的新規(guī)則，以更快、更有效地保護(hù)并獲取電子證據(jù)，確保歐盟內(nèi)所有提供服務(wù)的供應(yīng)商遵守同樣的義務(wù)。該提案包括歐盟2016/679 條例（GDPR）③《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation），簡(jiǎn)稱GDPR。參見(jiàn)：https：//eur-lex.europa.eu/eli/reg/2016/679/oj.和歐盟2016/680 指令（LED），旨在為與服務(wù)提供商合作建立一個(gè)共同框架并提高法律的確定性和清晰度。獲得充分性認(rèn)定將使個(gè)人數(shù)據(jù)可以從歐盟流向第三國(guó)，無(wú)須任何進(jìn)一步的保護(hù)，否則會(huì)導(dǎo)致跨境數(shù)據(jù)傳輸?shù)碾y題。歐盟正是借此牢牢掌握了美歐之間數(shù)據(jù)流動(dòng)博弈的主動(dòng)權(quán)。④參見(jiàn)：李絲默. 中美歐博弈背景下的中歐跨境數(shù)據(jù)流動(dòng)合作［J］. 歐洲研究，2021（6）：1-24.

二、歐盟警務(wù)執(zhí)法數(shù)據(jù)流動(dòng)方案

關(guān)于電子數(shù)據(jù)跨境取證管轄，在國(guó)別層次形成了數(shù)據(jù)存儲(chǔ)地模式和數(shù)據(jù)控制者模式兩大方案。以數(shù)據(jù)存儲(chǔ)地模式為依托的跨境執(zhí)法數(shù)據(jù)傳輸采用“刑事司法互助”模式，以數(shù)據(jù)控制者模式為依托的跨境執(zhí)法數(shù)據(jù)傳輸采用“充分性認(rèn)定”的方式。其中，傳統(tǒng)的數(shù)據(jù)存儲(chǔ)地模式以國(guó)家疆域?yàn)榛A(chǔ)，因其適用困難、取證效率低下而有所松動(dòng)，數(shù)據(jù)控制者模式依托跨境云服務(wù)提供者，實(shí)現(xiàn)了對(duì)前一模式的部分取代［12］。為了提升警務(wù)執(zhí)法數(shù)據(jù)應(yīng)用的效用，歐盟正在由傳統(tǒng)的依賴“刑事司法互助”的間接數(shù)據(jù)傳輸模式向依賴“充分性認(rèn)定”的直接數(shù)據(jù)傳輸模式轉(zhuǎn)型，該轉(zhuǎn)型過(guò)程經(jīng)歷了數(shù)據(jù)保留機(jī)制的廢止、刑事司法互助機(jī)制作用的弱化、“相互承認(rèn)”機(jī)制的加強(qiáng)以及“充分性保護(hù)”認(rèn)定機(jī)制的啟動(dòng)等過(guò)程。總體來(lái)看，隨著數(shù)字社會(huì)的全面到來(lái)，私營(yíng)企業(yè)和公共執(zhí)法機(jī)構(gòu)直接合作的趨勢(shì)愈發(fā)強(qiáng)烈［13］，“相互承認(rèn)”機(jī)制與“充分保護(hù)”認(rèn)定機(jī)制將成為歐盟對(duì)外數(shù)據(jù)傳輸合作的主要模式。

（一）數(shù)據(jù)保留機(jī)制的廢止

九·一一事件后，歐盟執(zhí)法機(jī)構(gòu)開(kāi)始加強(qiáng)執(zhí)法數(shù)據(jù)方面的合作。2004 年西班牙恐怖襲擊發(fā)生后不久，歐盟的四個(gè)成員國(guó)（法國(guó)、愛(ài)爾蘭、瑞典和英國(guó)）共同起草并公布了《歐盟數(shù)據(jù)保留指令》（簡(jiǎn)稱《指令》）草案。⑤草案全稱：Draft Framework Decision on the retention of data processed and stored in connection with the provision of publicly available electronic communications services or data on public communications networks for the purpose of prevention，investigation， detection and prosecution of crime and criminal offence including terrorism， Council doc. 8958/04， Brussels， 28 April 2004［DB/OL］. Database eurocrim（2004-04-28）［2022-03-21］.https：//db.eurocrim.org/db/en/vorgang/81/.2006 年，歐盟正式頒布《指令》?！吨噶睢肥状我?guī)定了公共電子網(wǎng)絡(luò)與電信領(lǐng)域數(shù)據(jù)保留時(shí)間（由六個(gè)月到兩年不等）、數(shù)據(jù)保留的類型，并要求通信公司⑥通信公司或通信運(yùn)營(yíng)商是指經(jīng)監(jiān)管機(jī)構(gòu)授權(quán)運(yùn)行電信系統(tǒng)的公司。（電子通信服務(wù)Electronic Communications Services 或公共通信網(wǎng)絡(luò)Public Communications Networks 的提供者）保留屬于個(gè)人或法人實(shí)體的數(shù)據(jù)，包括：名單數(shù)據(jù)、流量數(shù)據(jù)⑦流量數(shù)據(jù)是指在電子通信網(wǎng)絡(luò)上為通信而傳輸?shù)娜魏螖?shù)據(jù)或進(jìn)行計(jì)費(fèi)而處理的任何數(shù)據(jù)。、位置數(shù)據(jù)⑧位置數(shù)據(jù)是指在電子通信網(wǎng)絡(luò)中或通過(guò)電子通信服務(wù)處理的，表明公開(kāi)電子通信用戶的終端設(shè)備地理位置的任何數(shù)據(jù)，包括IP 地址等信息。。該指令要求保留數(shù)據(jù)以供執(zhí)法機(jī)構(gòu)使用，目的是促進(jìn)刑事調(diào)查和反恐合作。但該指令對(duì)于數(shù)據(jù)持有及監(jiān)管的要求十分粗略，僅僅在數(shù)據(jù)的獲取、保護(hù)責(zé)任上有部分規(guī)定，因此后來(lái)飽受質(zhì)疑。⑨參見(jiàn)：Franziska Boehm and Mark D. Cole. Data Retention after the Judgement of the Court of Justice of the European Union.https：//www.zar.kit.edu/DATA/veroeffentlichungen/237_237_Boehm_Cole-Data_Retention_Study-June_2014_1a1c2f6_9906a8c.pdf.

對(duì)于《指令》的爭(zhēng)議，主要集中于《指令》應(yīng)當(dāng)以歐盟為第一支柱還是第三支柱為立法依據(jù)。①關(guān)于歐盟三大支柱的具體內(nèi)容，參見(jiàn)：Three Pillars of the European Union， http：//self.gutenberg.org/articles/Three_pillars_of_the_European_Union.《指令》的出臺(tái)使移動(dòng)電話運(yùn)營(yíng)商的數(shù)據(jù)保留規(guī)范化，因此，可以認(rèn)為該指令涉及經(jīng)濟(jì)政策，符合以第一支柱為支撐的條件。同時(shí)，該指令的出臺(tái)是為了擴(kuò)大執(zhí)法機(jī)構(gòu)的數(shù)據(jù)權(quán)限，主要目的是刑事領(lǐng)域的合作，因此也符合以第三支柱為法律支撐的條件。然而，第一支柱和第三支柱政策的出臺(tái)要求不同，第一支柱的政策必須由歐盟委員會(huì)提出，需要獲得大多數(shù)同意才可通過(guò)；而第三支柱的政策則由歐盟某一具體國(guó)家提出，需要所有國(guó)家同意才可通過(guò)?！吨噶睢吠ㄟ^(guò)后不久，愛(ài)爾蘭和斯洛伐克向歐盟法院提起訴訟，②愛(ài)爾蘭和斯洛伐克的具體起訴狀和歐洲法院的判決，參見(jiàn)：Judgment of the Court（Grand Chamber）， Ireland v Parliament and Council， C-301/06，10 February 2009， http：//curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130 d5ef438a96eaae4a758e64c4539c3fa658.e34KaxiLc3eQc40LaxqMbN4OahmTe0?text=&docid=72843&pageIndex=0&doclang=en&mod e=lst&dir=&occ=first&part=1&cid=615870.質(zhì)疑《指令》的法律依據(jù)。例如，愛(ài)爾蘭認(rèn)為該指令應(yīng)當(dāng)以第三支柱為立法依據(jù)，因?yàn)椤吨噶睢返哪康氖蔷瘎?wù)執(zhí)法合作?！吨噶睢返谝粭l中提到要“確保電子信息服務(wù)商有義務(wù)保留客戶數(shù)據(jù)的規(guī)定，確保有關(guān)信息可供調(diào)查、偵查和起訴嚴(yán)重的犯罪行為?！雹劬唧w內(nèi)容參見(jiàn)：EU Data Retention Act Article 1.因此，愛(ài)爾蘭認(rèn)為該指令的主要目的并非保證電子信息服務(wù)商的單一市場(chǎng)運(yùn)作，最主要的目的是賦權(quán)執(zhí)法機(jī)構(gòu)獲取已保留的電子數(shù)據(jù)。

歐盟法院認(rèn)為，《指令》不僅規(guī)范了執(zhí)法合作的數(shù)據(jù)保留行為，還規(guī)范了執(zhí)法需求以外其他的行為，④具體內(nèi)容參見(jiàn)： CJEU Case C-301/06 Ireland v. Parliament and Council，para 83， https：//curia.europa.eu/juris/liste.jsf?n um=C-301/06.認(rèn)定了《指令》以第一支柱為立法依據(jù)的合理性，駁回了愛(ài)爾蘭和斯洛伐克的起訴。歐盟法院的裁定依據(jù)以下推斷：假如歐洲法院裁定不應(yīng)當(dāng)以第一支柱為法律依據(jù)，那么指令將會(huì)以第三支柱為法律依據(jù)通過(guò)；若是以第三支柱為立法依據(jù)，歐洲議會(huì)及其監(jiān)督機(jī)構(gòu)歐洲數(shù)據(jù)保護(hù)專員（EDPS）將無(wú)法參與到《指令》的立法過(guò)程。在歐洲法院看來(lái)，立法過(guò)程中歐洲議會(huì)的缺失可能會(huì)讓用戶的權(quán)益保護(hù)受到影響。

總體來(lái)看，由于《指令》涉及了大量無(wú)關(guān)嫌疑人的數(shù)據(jù)，因此《指令》一直受人詬病。一些歐盟成員國(guó)法院紛紛裁決國(guó)內(nèi)化后的《指令》違反本國(guó)憲法。2014 年的4 月8 日，歐盟法院作出了一個(gè)里程碑的裁判，認(rèn)為《指令》違反了《歐盟基本權(quán)利憲章》第7 條和第8 條內(nèi)容，整部《指令》被宣布無(wú)效。

（二）通過(guò)“刑事司法互助”機(jī)制間接獲取

“刑事司法互助”制代表了經(jīng)典的基于條約的機(jī)制，允許外國(guó)執(zhí)法機(jī)構(gòu)在尊重刑事司法管轄權(quán)和國(guó)家主權(quán)的基礎(chǔ)上，為進(jìn)行中的刑事調(diào)查和訴訟提供合作和協(xié)助。傳統(tǒng)上，刑事司法互助是跨境收集刑事證據(jù)的最主要渠道，是一種“請(qǐng)求模式”（request model）。根據(jù)MLAT 程序，國(guó)家司法機(jī)構(gòu)可以通過(guò)提交一份司法申請(qǐng)向另一主管（外國(guó)）國(guó)家當(dāng)局請(qǐng)求法律援助，由接受國(guó)司法審查機(jī)構(gòu)核實(shí)，然后決定是否實(shí)施或協(xié)助履行該請(qǐng)求。［4］MLAT 實(shí)施依據(jù)既可以在國(guó)際協(xié)議（如《歐洲理事會(huì)關(guān)于網(wǎng)絡(luò)犯罪的公約》）中找到，也可以在歐盟成員國(guó)或歐盟與美國(guó)等第三國(guó)簽署的雙邊協(xié)議中找到。例如，歐盟與美國(guó)當(dāng)局提出的電子數(shù)據(jù)要求，仍須受雙方于2003 年簽署的《法律互助協(xié)定》規(guī)限。⑤European Union and United States of America. Agreement on Mutual Legal Assistance between the European Union and the United States of America， OJ L181//41. EUR-Lex. https：//eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex：22003A0719（02）.

2000 年5 月29 日，歐盟理事會(huì)依據(jù)《歐洲聯(lián)盟條約》第34 條制定了《歐盟成員國(guó)間刑事司法協(xié)助公約》（2001 年又進(jìn)一步簽訂《附加議定書》），這是歐盟層面的第一個(gè)司法協(xié)助文書。⑥就刑事司法協(xié)助而言，還簽有《歐洲刑事司法協(xié)助公約》，并于后續(xù)簽署了《歐洲刑事司法協(xié)助公約附加議定書》。這些屬于國(guó)家間協(xié)議，而歐盟層面的公約具有超國(guó)家性質(zhì)。參見(jiàn)：肖軍. 歐盟領(lǐng)域內(nèi)追逃追贓的經(jīng)驗(yàn)與啟示：以歐洲偵查令為切入點(diǎn)［J］. 中國(guó)人民公安大學(xué)（社會(huì)科學(xué)版），2016（3）：62-74.《歐盟刑事互助公約》提供了一個(gè)以傳統(tǒng)的刑事司法援助辦法為基礎(chǔ)的框架［3］。與以往的國(guó)際MLAT 協(xié)議不同，歐盟MLAT 公約包含了對(duì)電信攔截的明確規(guī)定。①Artical 17 to 22 of EU MLA Convention.但歐盟委員會(huì)也同時(shí)認(rèn)識(shí)到，這種機(jī)制表現(xiàn)出許多問(wèn)題：

首先，國(guó)際刑事司法協(xié)助制度“極其復(fù)雜、耗時(shí)”，這很大程度上阻礙了犯罪的有效控制和偵查。②Progress Report Following the Conclusions of the Council of the European Union on Improving Criminal Justice in Cyberspace， 15072/1/16 REV 1， Brussels， 7 December 2016， pp： 4-5， https：//data.consilium.europa.eu/doc/document/ST-15072-2016-REV-1/en/pdf.就國(guó)際刑事司法協(xié)助而言，在實(shí)踐中往往發(fā)現(xiàn)，目標(biāo)電子數(shù)據(jù)的地理位置難以快速查明，被請(qǐng)求國(guó)缺少必要的電子取證措施，被請(qǐng)求響應(yīng)機(jī)制過(guò)于緩慢以至于容易導(dǎo)致數(shù)據(jù)的損毀、滅失，甚至被請(qǐng)求國(guó)可能直接拒絕提供協(xié)助［14］。即使按照國(guó)際司法協(xié)助的流程順利開(kāi)展，一般也需要10個(gè)月左右的時(shí)間才能完成，到司法協(xié)助請(qǐng)求最終被具體執(zhí)行時(shí)，相應(yīng)的數(shù)據(jù)極有可能早已遭到更改或者破壞［15］。

其次，隨著表層網(wǎng)絡(luò)（surface web）治理強(qiáng)度的不斷上升，犯罪分子越來(lái)越多地向深網(wǎng)（deep web）甚至暗網(wǎng)（dark web）下潛，以隱匿身份或隱藏行蹤，在無(wú)法準(zhǔn)確定位犯罪分子及其活動(dòng)對(duì)應(yīng)地理坐標(biāo)的情況下，刑事司法協(xié)助機(jī)制基本上癱瘓［16］。國(guó)際刑事司法協(xié)助制度的強(qiáng)地域性與網(wǎng)絡(luò)空間的弱地域性相矛盾，促成了傳統(tǒng)的跨境數(shù)據(jù)傳輸?shù)摹懊堋保焊咝Й@取電子證據(jù)以有效打擊犯罪的現(xiàn)實(shí)需求與漫長(zhǎng)、低效的刑事司法協(xié)助機(jī)制之間的矛盾。

最后，請(qǐng)求事項(xiàng)很可能因政治因素不符合國(guó)際法上的“雙重犯罪原則”（principle of double criminality）而被請(qǐng)求國(guó)所拒絕［15］。國(guó)際法原則上，一國(guó)的執(zhí)法管轄權(quán)受到嚴(yán)格的地域限制［2］。因此，即便一國(guó)有權(quán)將某種域外行為納入本國(guó)刑法體系的管轄范圍，也并不意味著該國(guó)的執(zhí)法機(jī)關(guān)有權(quán)跨越邊界線直接對(duì)該行為開(kāi)展調(diào)查取證和后續(xù)的司法活動(dòng)［16］?；趫?zhí)法管轄權(quán)的強(qiáng)地域性限制，原則上一國(guó)的跨境執(zhí)法活動(dòng)需要建立在相對(duì)國(guó)承認(rèn)或同意的基礎(chǔ)上。原先基于物理場(chǎng)域系統(tǒng)構(gòu)建的針對(duì)傳統(tǒng)犯罪的刑事訴訟制度難以及時(shí)有效地應(yīng)對(duì)如此大規(guī)模的犯罪轉(zhuǎn)型，犯罪形勢(shì)與犯罪治理之間錯(cuò)位日益明顯［17］。

根據(jù)MLAT 一般程序要求，申請(qǐng)執(zhí)法數(shù)據(jù)將面臨冗長(zhǎng)的司法審查程序，導(dǎo)致案件偵查缺乏效率［4］。繞過(guò)MLAT，執(zhí)法機(jī)構(gòu)與國(guó)外服務(wù)提供商之間的非正式合作逐漸成為獲取非內(nèi)容數(shù)據(jù)的重要渠道。③Vanessa Franssen， The European Commission’s E-Evidence Proposal：Towards an EU-wide obligation for Service Providers to cooperate with Law Enforcement? European Law Blog， 12 October 2018， http：//europeanlawblog.eu/2018/10/12/the-european-commissions-e-evidence-proposal-toward-an-eu-wide-obligation-forservice-providers-to-cooperate-with-lawenforcement/.

（三）“相互承認(rèn)”機(jī)制下的有限獲取

為使跨境數(shù)據(jù)調(diào)查更快、更有效，歐盟通過(guò)刑事司法領(lǐng)域跨國(guó)公私合作——?dú)W洲調(diào)查指令（European Investigation Order，簡(jiǎn)稱EIO）推動(dòng)歐盟成員國(guó)及域外國(guó)家在相互承認(rèn)（mutual recognition）的基礎(chǔ)上收集、處理和傳輸數(shù)據(jù)與電子證據(jù)。④這一相較新的歐盟文書取代了適用于歐盟成員國(guó)間的雙邊或多邊協(xié)議，對(duì)歐盟的外部成員合作仍然適用原有的雙邊或多邊協(xié)議。Directive 2014/41/EU of the European Parliament and of the Council of 3 April 2014 regarding the European Investigation Order， https：//eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX：32014L0041&from=FR.

相互承認(rèn)機(jī)制最早應(yīng)用于刑事訴訟或執(zhí)行判決的請(qǐng)求者的構(gòu)想，其制度代表是關(guān)于歐洲逮捕令的框架決定，至今已經(jīng)運(yùn)作近20 年［3］。歐洲逮捕令是一項(xiàng)司法決定，它是由某一成員國(guó)頒發(fā)（簽發(fā)）的關(guān)于逮捕和移交在另一成員國(guó)的被請(qǐng)求人的決定，目的是為了起訴或執(zhí)行監(jiān)禁和羈押［19］。2008 年，歐盟理事會(huì)第2008/978/JHA20 號(hào)框架決定設(shè)立歐洲證據(jù)令（European Evidence Warrant，簡(jiǎn)稱EEW），目的是獲取用于刑事訴訟的物品、文件和數(shù)據(jù)，以進(jìn)一步加強(qiáng)在收集證據(jù)領(lǐng)域的互助。它補(bǔ)充了2003 年《關(guān)于在歐盟執(zhí)行凍結(jié)財(cái)產(chǎn)和證據(jù)命令的框架決定》。⑤Council Framework Decision 2003/577/JHA of 22 July 2003 on the Execution in the European Union of Orders Freezing Property or Evidence. https：//eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32003F0577.該決定是第一個(gè)在獲取證據(jù)領(lǐng)域?qū)嵤┫嗷コ姓J(rèn)原則的文書。但是歐洲證據(jù)令（EEW）適用范圍有限，歐盟理事會(huì)第2008/978/JHA20 號(hào)框架決定僅僅適用于歐盟成員國(guó)之間。①EU Directive（2016/680），para4，https：//eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016L0680.

隨著2009 年《里斯本條約》的生效，歐盟電子證據(jù)傳輸從法律互助機(jī)制逐步走向資格互認(rèn)機(jī)制?！独锼贡緱l約》生效后，歐盟制定了一整套涵蓋數(shù)據(jù)保護(hù)、刑事司法、警察執(zhí)法合作和網(wǎng)絡(luò)犯罪的歐盟法律［20］。其中，《里斯本條約》第67（3）條和第82 條具體規(guī)定了相互承認(rèn)原則。相互承認(rèn)原則建立在成員國(guó)之間的相互信任的基礎(chǔ)上，即一個(gè)成員國(guó)的司法裁決應(yīng)在另一個(gè)成員國(guó)得到承認(rèn)。因此，根據(jù)新規(guī)，一項(xiàng)請(qǐng)求的合法性、必要性和相稱性由提出請(qǐng)求的成員國(guó)的司法機(jī)構(gòu)加以核實(shí)，而無(wú)須在接受國(guó)通過(guò)額外的承認(rèn)程序。相互承認(rèn)要求各國(guó)法律協(xié)調(diào)一致，這意味著在一個(gè)成員國(guó)的刑事犯罪也必須在其他成員國(guó)構(gòu)成刑事犯罪。在相互承認(rèn)機(jī)制下，發(fā)出國(guó)的請(qǐng)求在接收國(guó)或執(zhí)行國(guó)的管轄范圍內(nèi)具有“準(zhǔn)法律效力”（quasi-automatic legal effect）［21］。

2014 年，EIO 進(jìn)一步推動(dòng)相互承認(rèn)機(jī)制的發(fā)展與完善。該指令為所有類型的證據(jù)提供單一標(biāo)準(zhǔn)的指令，允許一個(gè)成員國(guó)的執(zhí)法機(jī)構(gòu)請(qǐng)求另一個(gè)成員國(guó)執(zhí)法當(dāng)局執(zhí)行調(diào)查措施，其中，包括電子證據(jù)的生成和保存。EIO 也是基于相互承認(rèn)的原則，旨在促進(jìn)成員國(guó)之間刑事案件證據(jù)的收集和傳輸。②Directive 2014/41/EU of the European Parliament and of the Council of 3 April 2014 Regarding the European Investigation Order in Criminal Matters， https：//eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX：32014L0041&from=FR.同時(shí)，EIO 是一項(xiàng)司法決定，由一個(gè)成員國(guó)發(fā)出或確認(rèn)在另一個(gè)成員國(guó)執(zhí)行一項(xiàng)或幾項(xiàng)具體調(diào)查措施以獲取電子證據(jù)。③Article 1（1） of the EIO Directive.EIO 擴(kuò)大了EEW的適用范圍，涵蓋了從凍結(jié)證據(jù)到轉(zhuǎn)移現(xiàn)有證據(jù)的整個(gè)過(guò)程，其主要目標(biāo)是減少收集證據(jù)的碎片化程度，并建立一個(gè)更連貫的工具，適用于其他類型的證據(jù)。④Lorena Bachmaier Winter， European Investigation Order for Obtaining Evidence in the Criminal Proceedings. Study of the Proposal for a European Directive， in： Zeitschrift für Internationale Strafrechtsdogmatik， No. 9/2010， p. 581. https：//zis-online.com/dat/artikel/2010_9_490.pdf.a此外，它還規(guī)定了答復(fù)請(qǐng)求的最后期限，限制了拒絕請(qǐng)求的理由，并且為克服語(yǔ)言障礙引入了提交請(qǐng)求的標(biāo)準(zhǔn)格式。⑤European Commission Press Release， As of Today the European Investigation Order will Help Authorities to Fight Crime and Terrorism. http：//europa.eu/rapid/press-release_IP-17-1388_en.htm.

EIO 標(biāo)志著歐洲立法者在獲取證據(jù)方面從MLAT 原則進(jìn)一步走向相互承認(rèn)。相比“一事一申請(qǐng)”的MLAT 制度，相互承認(rèn)機(jī)制大大節(jié)約了警務(wù)執(zhí)法數(shù)據(jù)跨境獲取的成本，提高了傳輸?shù)男剩瑥亩欣诖驌舴缸锏恼w效能。但是當(dāng)面對(duì)存儲(chǔ)于歐盟之外的第三方的數(shù)據(jù)需求（尤其是歐盟公民的數(shù)據(jù)主要由總部設(shè)在美國(guó)的服務(wù)提供商和數(shù)字平臺(tái)處理）時(shí)，EIO 制度存在適用的局限。⑥它的存儲(chǔ)和位置通常取決于業(yè)務(wù)架構(gòu)選擇，而不是傳統(tǒng)的調(diào)查權(quán)限。這些挑戰(zhàn)主要來(lái)自電子數(shù)據(jù)信息的“波動(dòng)性”，因此，執(zhí)法機(jī)構(gòu)對(duì)另一個(gè)國(guó)家管轄下的數(shù)據(jù)的訪問(wèn)因請(qǐng)求的跨國(guó)和跨管轄性質(zhì)而延遲。⑦European Commission， ‘Impact Assessment accompanying the document Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters and Proposal for a Directive of the European Parliament and of the Council Laying Down Harmonised Rules on the Appointment of Legal Representatives for the Purpose of Gathering Evidence in Criminal Proceedings， SWD/2018/118 final-2018/0108 （COD）， p.20.https：//eur-lex.europa.eu/legal-content/EN/TXT/?uri=SWD%3A2018%3A118%3AFIN.

盡管MLAT 機(jī)制功能弱化，但相互承認(rèn)機(jī)制并非完全替代法律互助機(jī)制［22］，法律互助原則與相互承認(rèn)原則仍相輔相成。值得注意的是，這些措施的效率和基本權(quán)利的保護(hù)都取決于相關(guān)國(guó)家和行為者之間的相互信任［23］。這不僅涉及對(duì)數(shù)據(jù)質(zhì)量本身和合法性等方面的相互信任，還涉及對(duì)數(shù)據(jù)和隱私保護(hù)等方面的信任［24］。電子通信的擴(kuò)散和越來(lái)越多的應(yīng)用推動(dòng)執(zhí)法機(jī)構(gòu)在司法協(xié)助的合作渠道之外獲得屬于歐盟管轄的私人公司控制的數(shù)據(jù)［20］。

（四）通過(guò)“充分性保護(hù)”向網(wǎng)絡(luò)信息者直接調(diào)取

網(wǎng)絡(luò)空間的弱地域性與刑事執(zhí)法管轄權(quán)的強(qiáng)地域性之間形成鮮明反差，而程序煩冗且漫長(zhǎng)，強(qiáng)地域性的傳統(tǒng)國(guó)際刑事司法協(xié)助機(jī)制已經(jīng)難以有效滿足司法實(shí)踐的要求［18］。目前，對(duì)MLAT 和EIO 模型的批評(píng)集中于將跨國(guó)界數(shù)據(jù)請(qǐng)求交由外國(guó)司法審查而導(dǎo)致案件辦理延誤［25］。人們多次呼吁消除網(wǎng)絡(luò)空間中的“刑事調(diào)查障礙”，特別是關(guān)于獲取服務(wù)提供商持有的電子信息的司法合作規(guī)則的障礙［26］。什么樣的機(jī)制能夠更好地滿足當(dāng)下執(zhí)法機(jī)構(gòu)對(duì)數(shù)字證據(jù)的需求？在傳統(tǒng)國(guó)際刑事司法協(xié)助難以及時(shí)有效滿足取證需求的背景下，向網(wǎng)絡(luò)信息業(yè)者直接調(diào)取數(shù)據(jù)成為代表性改革模式［18］。在執(zhí)法人員可以直接從持有電子信息的服務(wù)提供商那里獲得電子信息的情況下，犯罪的起訴可能會(huì)大幅提高，而且無(wú)須首先獲得持有數(shù)據(jù)的公司所在國(guó)家司法當(dāng)局的授權(quán)。在此情況下，直接向網(wǎng)絡(luò)服務(wù)業(yè)跨境取證的模式應(yīng)運(yùn)而生。

網(wǎng)絡(luò)服務(wù)者，主要是數(shù)據(jù)占有者或者控制者，基于所掌握的技術(shù)和資源優(yōu)勢(shì)，越來(lái)越多地成為執(zhí)法機(jī)關(guān)調(diào)取證據(jù)的對(duì)象。歐盟委員會(huì)于2016 年提出了關(guān)于電子證據(jù)和信息獲取的新規(guī)則，以更快、更有效地保護(hù)并獲取電子證據(jù)，確保歐盟內(nèi)所有提供服務(wù)的提供商遵守同樣的義務(wù)。該提案包括歐盟2016/679 條例（GDPR）和歐盟2016/680 指令（LED），服務(wù)提供商對(duì)一般個(gè)人數(shù)據(jù)的處理歸屬于GDPR的規(guī)制范圍，而執(zhí)法機(jī)構(gòu)（LEA）為預(yù)防、調(diào)查、偵查和起訴犯罪的目的進(jìn)行的個(gè)人數(shù)據(jù)處理則受LED 規(guī)則的規(guī)制。2018 年5 月6 日，理事會(huì)關(guān)于保護(hù)在警察和刑事司法合作框架內(nèi)處理的個(gè)人數(shù)據(jù)的2008/977/JHA 框架決定被2016/680 指令（LED）取代。與前者不同，第2016/680 指令既涵蓋了成員國(guó)內(nèi)部數(shù)據(jù)流動(dòng)，又涵蓋了與第三方（國(guó)家或國(guó)際組織）之間的數(shù)據(jù)交流。因此，就范圍而言，LED 比之前的歐盟規(guī)范有所拓展。為擴(kuò)大歐盟成員國(guó)打擊犯罪的效率，提升數(shù)據(jù)保護(hù)水平，在歐盟“相互承認(rèn)”的制度的基礎(chǔ)上發(fā)展為“充分性決定”（adequacy decision），①Article 36 of LED.并不斷改進(jìn)和完善。

LED 確定了允許將個(gè)人數(shù)據(jù)轉(zhuǎn)移到第三國(guó)或國(guó)際組織的條件。這種轉(zhuǎn)移的理由之一是歐盟委員會(huì)決定有關(guān)的第三國(guó)或國(guó)際組織擁有“適當(dāng)水平的保護(hù)”制度。例如，根據(jù)LED 第36 條，如果第三國(guó)或國(guó)際組織內(nèi)的一個(gè)或多個(gè)特定部門確保有足夠的保護(hù)水平，則可以向第三國(guó)或國(guó)際組織傳輸數(shù)據(jù)。另外，如歐盟委員會(huì)已決定確保上述適當(dāng)程度的保護(hù)，則可將個(gè)人資料轉(zhuǎn)移至該第三國(guó)或地區(qū)執(zhí)法部門或國(guó)際組織，而無(wú)須取得任何具體授權(quán)。根據(jù)CJEU 的規(guī)定，第三國(guó)的保護(hù)水平必須與歐盟保證的水平基本相等，在這方面，第三國(guó)須有監(jiān)督與問(wèn)責(zé)的手段，盡管某種程度的保護(hù)的目的可能不同于歐盟內(nèi)部的保護(hù)，但這些手段必須在實(shí)踐中證明是有效的。因此，充分性標(biāo)準(zhǔn)并不要求逐條反映歐盟立法，而是要確立該立法的本質(zhì)，即核心要求。

歐盟委員會(huì)于2018 年又起草了《刑事調(diào)查證據(jù)提取和存留命令條例》，其核心措施是在特定條件下由被請(qǐng)求國(guó)的適格機(jī)關(guān)直接向相關(guān)信息或網(wǎng)絡(luò)服務(wù)提供者或其在歐盟境內(nèi)的代理人發(fā)出針對(duì)特定數(shù)據(jù)的“歐洲提取令”（European Production Order）或“歐洲留存令”（European Preservation Order）。根據(jù)該《條例》，只要網(wǎng)絡(luò)服務(wù)提供者在歐盟境內(nèi)提供服務(wù)，成員國(guó)相關(guān)機(jī)關(guān)可以直接向其發(fā)出電子證據(jù)提取和留存指令。該背景下，在尋求服務(wù)提供者有效的資源合作的基礎(chǔ)上，通過(guò)提取令、留存令制度而轉(zhuǎn)向跨境數(shù)據(jù)的強(qiáng)制披露［26］，克服了服務(wù)提供商與執(zhí)法部門數(shù)據(jù)交流的低效困境，促進(jìn)了基于電子數(shù)據(jù)的調(diào)查和起訴，為跨境犯罪調(diào)查提供了更加有利條件。

三、歐盟警務(wù)執(zhí)法數(shù)據(jù)流動(dòng)與數(shù)據(jù)保護(hù)規(guī)范的融合

在規(guī)則建構(gòu)層面，GDPR 確立了跨境數(shù)據(jù)流動(dòng)的歐盟立法范式，數(shù)據(jù)跨境流動(dòng)融入歐盟個(gè)人數(shù)據(jù)保護(hù)的標(biāo)準(zhǔn)規(guī)范體系。②例如，數(shù)據(jù)傳輸?shù)囊话阍瓌t（GDPR 第44 條）是針對(duì)出境數(shù)據(jù)的永久最低保護(hù)標(biāo)準(zhǔn)；充分性決定（GDPR 第45 條）是針對(duì)特定國(guó)家“整體適用”歐盟個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的法律方案；標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款（GDPR 第46 條）是針對(duì)特定商事主體“個(gè)別適用”歐盟個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的法律工具。參見(jiàn)：金晶. 個(gè)人數(shù)據(jù)跨境傳輸?shù)臍W盟標(biāo)準(zhǔn)——規(guī)則建構(gòu)、司法推動(dòng)與范式擴(kuò)張［J］. 歐洲研究， 2021（4）：89-109.目前，歐盟的數(shù)據(jù)保護(hù)法律框架已發(fā)展到承認(rèn)兩種不同的數(shù)據(jù)保護(hù)制度適用于公私伙伴關(guān)系中的信息共享：一種是通用性數(shù)據(jù)保護(hù)制度（GDPR），一種是執(zhí)法當(dāng)局為執(zhí)法目的進(jìn)行的數(shù)據(jù)處理制度（LED）。在數(shù)據(jù)保護(hù)改革過(guò)程中，前者繼承了《數(shù)據(jù)保護(hù)指令》（95/46/EC）規(guī)范，后者繼承了《框架決定》（2008/977/JHA）規(guī)范。①European Commission， Explanatory Memorandum to the Proposal for a Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention， investigation， detection or prosecution of criminal offences or the execution of criminal penalties， and the free movement of such data， COM /2012/010 final -2012/0010 （COD）， para 3.4.1. https：//eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX：52012PC0010&from=ES.通過(guò)普通法與特別法相結(jié)合的方式，歐盟實(shí)現(xiàn)了數(shù)據(jù)保護(hù)規(guī)范的整體適用與個(gè)別適用相融合。歐盟修正了原有數(shù)據(jù)保護(hù)法律框架中對(duì)私營(yíng)部門向執(zhí)法當(dāng)局傳輸數(shù)據(jù)規(guī)制空白的缺點(diǎn)，實(shí)現(xiàn)了對(duì)刑事執(zhí)法數(shù)據(jù)處理的全面監(jiān)管［27］。

（一）整體適用

GDPR 是規(guī)范數(shù)據(jù)主體（即數(shù)據(jù)被收集和處理的個(gè)人）和數(shù)據(jù)控制者（即收集和處理這些個(gè)人數(shù)據(jù)的公司和政府）權(quán)利和義務(wù)的關(guān)鍵法律來(lái)源［28］。歐盟立法者認(rèn)為，一旦超出GDPR 的適用范圍，就存在數(shù)據(jù)接收國(guó)（第三國(guó)）無(wú)限制使用個(gè)人數(shù)據(jù)的風(fēng)險(xiǎn)，因此，GDPR 對(duì)數(shù)據(jù)跨境傳輸采取了“原則禁止+例外允許”的基本模式［29］。這種雙重制度的出現(xiàn)是由于執(zhí)法部門在預(yù)防和調(diào)查犯罪方面的特殊需要。例如，在某些情況下，通知嫌疑人收集數(shù)據(jù)會(huì)損害刑事調(diào)查的利益。②Recital 10 of the LED.當(dāng)警察和刑事司法當(dāng)局處理個(gè)人數(shù)據(jù)時(shí)，對(duì)他們的保護(hù)由另一個(gè)來(lái)源的法律所規(guī)范，即LED，③Directive （EU） 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention， investigation，detection or prosecution of criminal offences or the execution of criminal penalties， and on the free movement of such data，and repealing Council Framework Decision 2008/977/JHA， pp. 89-131， https：//eur-lex.europa.eu/legalcontent/EN/TXT/HTML/?uri=CELEX：32016L0680&from=EN， accessed on 28.08.2020.其目的是通過(guò)促進(jìn)歐盟成員國(guó)與域外國(guó)家的警察和刑事司法當(dāng)局之間更有效地交流來(lái)改善歐盟在打擊恐怖主義和跨境犯罪領(lǐng)域的合作。④Protecting Personal Data When Being Used by Police and Criminal Justice Authorities （from 2018）， https：//eurlex.europa.eu/legal-content/EN/TXT/HTML/?uri=LEGISSUM：310401_3&from=EN， accessed on 28.08.2020.GDPR 和LED 確立了歐盟個(gè)人數(shù)據(jù)處理的基本原則和最低標(biāo)準(zhǔn)，目的是確保對(duì)個(gè)人權(quán)利，特別是隱私權(quán)的尊重。

如前所述，LED 適用于主管當(dāng)局為預(yù)防、調(diào)查、發(fā)現(xiàn)或起訴刑事犯罪或執(zhí)行刑事處罰的目的而處理個(gè)人數(shù)據(jù)，包括防范和預(yù)防公共安全威脅。但凡主管當(dāng)局處理個(gè)人資料的目的并非為該指示的目的，例如雇用、人員培訓(xùn)、存檔及警察指示第9（2）條所列的目的，⑤Article 1（1） of the LED.即使這些任務(wù)是由法律賦予的，要適用GDPR。同樣，如果主管當(dāng)局以外的機(jī)構(gòu)或?qū)嶓w最初為其他目的收集個(gè)人數(shù)據(jù)，并為調(diào)查、偵查或起訴刑事犯罪的目的進(jìn)一步處理這些數(shù)據(jù)，即使是根據(jù)法律義務(wù)，這種處理也將受到GDPR的約束。

但是，LED 與GDPR 有所不同。歐盟頒布的GDPR 是一項(xiàng)規(guī)章（regulation），適用于個(gè)人數(shù)據(jù)處理的一般規(guī)則，LED 是一項(xiàng)指令，規(guī)定適用于個(gè)人數(shù)據(jù)處理執(zhí)法目的的具體規(guī)則，統(tǒng)一數(shù)據(jù)保護(hù)規(guī)則并不適用于所有的歐盟法律領(lǐng)域［30］。事實(shí)上，在實(shí)現(xiàn)國(guó)家間協(xié)調(diào)方面，規(guī)章比指令更有效。因?yàn)橹噶罴s束力的選擇權(quán)留給成員國(guó)，特別是當(dāng)指令僅規(guī)定了最低限度的協(xié)調(diào)時(shí)，協(xié)調(diào)的程度就較小。而在指令的范圍內(nèi)，協(xié)調(diào)取決于成員國(guó)之間的一致解釋和應(yīng)用。就隱私權(quán)利保護(hù)而言，GDPR 著重解決雇主代表的企業(yè)利益與個(gè)人的隱私權(quán)利；而LED 著重解決國(guó)家機(jī)關(guān)代表的公共安全利益與個(gè)人隱私保護(hù)。就人的尊嚴(yán)標(biāo)準(zhǔn)而言，GDPR 以人的尊嚴(yán)為標(biāo)準(zhǔn)，對(duì)為了“更高的”利益而侵犯隱私的行為做出了可接受和不可接受的區(qū)分，而LED 中沒(méi)有任何條款明確提到人的尊嚴(yán)權(quán)。在解決沖突方面，GDPR 強(qiáng)調(diào)“犧牲”雇主的利益，而在LED 所規(guī)范的情況下，國(guó)家機(jī)構(gòu)代表的公共利益具有優(yōu)先性。

（二）個(gè)別適用

雖然GDPR 規(guī)定了一般的數(shù)據(jù)保護(hù)規(guī)則，但LED 作為特別法運(yùn)作，承認(rèn)執(zhí)法活動(dòng)的特殊性質(zhì)，是歐盟立法者考慮警務(wù)與刑事執(zhí)法中數(shù)據(jù)保護(hù)的特殊規(guī)定，專門為執(zhí)法部門在數(shù)字時(shí)代處理個(gè)人數(shù)據(jù)而設(shè)計(jì)［31］。

一般來(lái)說(shuō)，屬于GDPR 范圍內(nèi)的事項(xiàng)受到了更多的實(shí)質(zhì)性限制，而在LED 范圍內(nèi)的處理受到的實(shí)質(zhì)性限制較少，但也有更嚴(yán)格的合規(guī)性的要求。例如，與GDPR 第6 條規(guī)定的允許控制者有選擇最合適的合法處理的六個(gè)一般理由相比，LED只有一個(gè)合法處理的理由，這就是“主管當(dāng)局為執(zhí)法目的執(zhí)行任務(wù)”的必要性，而該要求是基于國(guó)家或歐盟的法律（LED 第8（1）條）。此外，指令規(guī)定了“處理的目標(biāo)、要處理的個(gè)人數(shù)據(jù)和處理的目的”（LED 第8（2）條），根據(jù)該指令，執(zhí)法當(dāng)局在數(shù)據(jù)方面擁有的“權(quán)力”更大，也更具侵入性。

GDPR 第9 條明確禁止處理“敏感”數(shù)據(jù)，除非列出一個(gè)或多個(gè)適用例外的情況，而LED 第10條沒(méi)有使用禁止性語(yǔ)言。相反，它只是說(shuō)處理特殊類別的個(gè)人數(shù)據(jù)應(yīng)該是“絕對(duì)必要的，要對(duì)數(shù)據(jù)主體的權(quán)利和自由采取適當(dāng)?shù)谋Ｕ洗胧?，并依靠其中的一個(gè)法律理由。根據(jù)GDPR 第13 條，必須提供關(guān)于自動(dòng)決策的存在或?yàn)椴煌康倪M(jìn)一步處理的意圖，以及跨境數(shù)據(jù)轉(zhuǎn)移的可能性的信息，但根據(jù)LED 則不需要。與GDPR 第13 條相比，LED 第13（1）和（2）條規(guī)定的數(shù)據(jù)主體的信息權(quán)利是有限的：關(guān)于數(shù)據(jù)接收者和國(guó)際數(shù)據(jù)轉(zhuǎn)移的信息只能在“特定情況”下提供；關(guān)于存在自動(dòng)決策或?yàn)椴煌康倪M(jìn)一步處理的信息，在GDPR 第13 條下必須提供，而在LED 下則沒(méi)有。根據(jù)LED 第13 條第3 款，國(guó)家法律可以進(jìn)一步限制信息權(quán)，其中包括避免妨礙官方或法律查詢、調(diào)查或程序；保護(hù)公共或國(guó)家安全以及他人的權(quán)利和自由。上述內(nèi)容表明，確定信息共享的具體范圍對(duì)數(shù)據(jù)主體的權(quán)利、信息共享伙伴的（限制）權(quán)力以及信息共享的合法性具有重大影響。有兩個(gè)因素是界定指令的實(shí)質(zhì)范圍和確定兩個(gè)數(shù)據(jù)保護(hù)文書中哪一個(gè)適用的關(guān)鍵：處理個(gè)人數(shù)據(jù)的行為者必須是警察指令第3（7）條意義上的“主管當(dāng)局”以及處理必須是為了第1（1）條規(guī)定的“執(zhí)法”目的而進(jìn)行的。

事實(shí)證明，LED 和GDPR 之間的劃界焦點(diǎn)在于隱私權(quán)的保護(hù)程度，盡管隱私權(quán)受到國(guó)家和國(guó)際法律框架的規(guī)范，但隱私權(quán)的保護(hù)仍不斷面臨新的挑戰(zhàn)［32］。作為國(guó)際和國(guó)家承認(rèn)的基本人權(quán)，隱私和人的尊嚴(yán)密切相關(guān)，由于現(xiàn)代技術(shù)的發(fā)展，特別是在其與保護(hù)安全和預(yù)防犯罪的公共利益相沖突的情況下，兩者都受到了嚴(yán)重威脅。一個(gè)詳細(xì)而全面的立法框架不僅規(guī)定了個(gè)人數(shù)據(jù)保護(hù)的基本標(biāo)準(zhǔn)，而且還規(guī)定了監(jiān)測(cè)機(jī)制和對(duì)其違反行為的有效制裁，這是有效保護(hù)隱私權(quán)和人類尊嚴(yán)的一個(gè)關(guān)鍵前提條件。然而，實(shí)際的保護(hù)并不僅僅取決于立法框架，還取決于數(shù)據(jù)保護(hù)的評(píng)估監(jiān)督機(jī)構(gòu)應(yīng)用這些條款的方式［30］。

四、歐盟警務(wù)執(zhí)法數(shù)據(jù)“充分性保護(hù)”的評(píng)估及其實(shí)踐困境

通過(guò)結(jié)合數(shù)據(jù)主體的權(quán)利和處理數(shù)據(jù)者的義務(wù)，由獨(dú)立機(jī)構(gòu)對(duì)此類處理和監(jiān)督行使控制，可以實(shí)現(xiàn)充分性。然而，數(shù)據(jù)保護(hù)規(guī)則只有在可執(zhí)行和在實(shí)踐中遵守時(shí)才有效。因此，不僅需要考慮適用于轉(zhuǎn)移到第三國(guó)或國(guó)際組織的個(gè)人數(shù)據(jù)規(guī)則的內(nèi)容，而且還要考慮確保這些規(guī)則的有效性的現(xiàn)有制度。根據(jù)歐盟的數(shù)據(jù)保護(hù)機(jī)制，個(gè)人數(shù)據(jù)不會(huì)被自由地傳送到其境外。相反，歐盟為這些目的引入了一個(gè)特殊的“過(guò)濾器”，即充分性保護(hù)機(jī)制。作為一般規(guī)則，只有當(dāng)接收方保證“充分”的保護(hù)水平時(shí)，歐盟成員國(guó)才允許將個(gè)人信息傳輸?shù)降谌龂?guó)。根據(jù)歐盟法院的規(guī)定，第三國(guó)的保護(hù)水平必須與歐盟的保護(hù)水平基本相當(dāng)。為了達(dá)到這種保護(hù)水平的目的，第三國(guó)所訴諸的手段和方式，可能與歐洲聯(lián)盟內(nèi)所采用的有所不同，但“這些手段必須反應(yīng)歐盟數(shù)據(jù)保護(hù)的本質(zhì)要求，并在實(shí)踐中證明是有效的”。①參見(jiàn)：https：//eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX：62014CJ0362.第三國(guó)應(yīng)提供保證，確保基本相當(dāng)于歐洲聯(lián)盟內(nèi)所確保的適當(dāng)保護(hù)水平，特別是在數(shù)據(jù)由一個(gè)或幾個(gè)具體部門共同處理的情況下，更應(yīng)當(dāng)如此。②Recital 67 of the LED.如果歐盟委員會(huì)已決定評(píng)估第三國(guó)具有確保提供足夠的保護(hù)機(jī)制，可將個(gè)人資料轉(zhuǎn)移至該第三國(guó)執(zhí)法機(jī)構(gòu)或國(guó)際組織，而無(wú)須取得任何特別授權(quán)。歐盟委員會(huì)作出充分認(rèn)定的目的是正式確認(rèn)對(duì)第三國(guó)或國(guó)際組織的數(shù)據(jù)保護(hù)水平基本上等同于歐盟的數(shù)據(jù)保護(hù)水平。

（一）評(píng)估機(jī)制

評(píng)估是實(shí)現(xiàn)數(shù)據(jù)保護(hù)機(jī)制中的一個(gè)重要組成部分。①參見(jiàn)：https：//www.europeansources.info/record/judgment-in-case-c-362-14-maximillian-schrems-v-data-protectioncommissioner/.高效的評(píng)估執(zhí)行機(jī)制對(duì)數(shù)據(jù)保護(hù)規(guī)則的有效性至關(guān)重要。②Recommendations 01/2021 on the adequacy referential under the Law Enforcement Directive， https：//edpb.europa.eu/sites/default/files/files/file1/recommendations012021onart.36led.pdf_en.pdf.1995 年，歐盟第95/46 號(hào)指令初次引入數(shù)據(jù)保護(hù)局（Data Protection Agency，簡(jiǎn)稱DPA），成為歐盟執(zhí)法和跨境數(shù)據(jù)傳輸?shù)闹饕O(jiān)督機(jī)制。在歐盟第95/46 號(hào)指令之后，歐盟第2016/680 號(hào)指令（LED）第41（3）條規(guī)定，成員國(guó)有義務(wù)建立獨(dú)立監(jiān)督機(jī)構(gòu)（Independent Supervisory Authority，簡(jiǎn)稱ISA），以促進(jìn)該指令在歐盟范圍內(nèi)的一致應(yīng)用。

就評(píng)估的具體標(biāo)準(zhǔn)和要求而言，LED 第36（2）條確定了歐盟委員會(huì)在評(píng)估第三國(guó)或國(guó)際組織保護(hù)水平的充分性時(shí)應(yīng)考慮的要素。具體而言，委員會(huì)應(yīng)考慮法治、對(duì)人權(quán)和基本自由的尊重、有關(guān)立法以及此類立法的實(shí)施情況，為其個(gè)人數(shù)據(jù)被轉(zhuǎn)移的數(shù)據(jù)主體提供有效和可強(qiáng)制執(zhí)行的行政和司法補(bǔ)救等方面的內(nèi)容。為評(píng)估LED 第36（2）a 條是否滿足，EDPB 認(rèn)為，評(píng)估LED 在監(jiān)測(cè)領(lǐng)域的充分性時(shí)，必須考慮這些建議中列出的保證，并考慮監(jiān)測(cè)領(lǐng)域的具體情況。關(guān)于LED 第36（2）b 條的要求，第三國(guó)不僅應(yīng)確保有效的獨(dú)立數(shù)據(jù)保護(hù)監(jiān)督，還應(yīng)與成員國(guó)的數(shù)據(jù)保護(hù)當(dāng)局建立合作機(jī)制。③Recital 67 of the LED.LED 第36（3）條規(guī)定至少每四年必須進(jìn)行一次定期審查。LED 第36（4）條規(guī)定，歐盟委員會(huì)有責(zé)任持續(xù)監(jiān)督可能影響充分性決定功能的發(fā)展。值得注意的是，根據(jù)LED 第36（5）條，當(dāng)?shù)谌龂?guó)或國(guó)際組織不再確保適當(dāng)水平的保護(hù)時(shí)，歐盟委員會(huì)有權(quán)廢除、修改或暫?，F(xiàn)有的充分性保護(hù)決定。

此外，LED 第45（1）條規(guī)定，每個(gè)成員國(guó)的數(shù)據(jù)監(jiān)督機(jī)構(gòu)應(yīng)有權(quán)在其成員國(guó)的領(lǐng)土上執(zhí)行根據(jù)該指令分配給它的任務(wù)，并行使賦予它的權(quán)力。同時(shí)，第45（2）條規(guī)定，成員國(guó)應(yīng)規(guī)定每個(gè)監(jiān)督機(jī)構(gòu)在以其司法身份行事時(shí)，無(wú)權(quán)監(jiān)督法院的處理業(yè)務(wù)。

為履行其根據(jù)LED 第51（1）條向歐盟委員會(huì)提供意見(jiàn)的任務(wù)，歐洲數(shù)據(jù)保護(hù)委員會(huì)（European Data Protection Board，簡(jiǎn)稱EDPB）應(yīng)收集所有有關(guān)文件，包括有關(guān)函件和歐盟委員會(huì)作出的調(diào)查結(jié)果。無(wú)論如何，歐盟委員會(huì)提供的資料應(yīng)詳盡無(wú)遺，并使EDPB 有能力評(píng)估第三國(guó)執(zhí)法機(jī)構(gòu)或國(guó)際組織的資料保護(hù)水平。EDPB 將在適當(dāng)?shù)臅r(shí)候就歐盟委員會(huì)的調(diào)查結(jié)果提供意見(jiàn)，識(shí)別適當(dāng)框架中的不足之處（如果有的話），并在必要時(shí)提供可能的建議。

（二）實(shí)踐困境

在實(shí)踐中，執(zhí)法行為者可以要求甚至命令服務(wù)提供商披露存儲(chǔ)在國(guó)外的數(shù)據(jù)。然而，風(fēng)險(xiǎn)在于，執(zhí)行這樣一項(xiàng)請(qǐng)求或命令可能違反有關(guān)國(guó)家適用的（國(guó)家或超國(guó)家）法律。在微軟愛(ài)爾蘭案的長(zhǎng)期糾紛中，直接（即非司法調(diào)解）請(qǐng)求訪問(wèn)服務(wù)提供商持有的電子信息所帶來(lái)的司法、法律和實(shí)踐挑戰(zhàn)得到了體現(xiàn)。④參見(jiàn)：https：//harvardlawreview.org/2015/01/in-re-warrant-to-search-a-certain-email-account-controlled-maintainedby-microsoft-corp/.警務(wù)執(zhí)法數(shù)據(jù)流動(dòng)與數(shù)據(jù)保護(hù)形成沖突，包括了數(shù)據(jù)主權(quán)管轄沖突、訴訟規(guī)則沖突、數(shù)據(jù)控制者合規(guī)沖突等。

具體而言，外國(guó)執(zhí)法當(dāng)局單方面獲取私人公司持有的個(gè)人數(shù)據(jù)，在超出現(xiàn)有的跨國(guó)司法合作法律渠道的情況下，造成了一些困境和法律不確定性。2019 年歐洲刑警組織（Europol）和歐檢署（Eurojust）在聯(lián)合報(bào)告中總結(jié)了當(dāng)前打擊網(wǎng)絡(luò)犯罪的主要障礙，包括：數(shù)據(jù)的丟失或滅失、位置缺失、國(guó)內(nèi)法律框架障礙、國(guó)際合作障礙以及公私合作障礙［33］。2020 年，國(guó)際刑警組織報(bào)告指出，犯罪分子利用執(zhí)法管轄的地域限制，通過(guò)在全球范圍內(nèi)開(kāi)展犯罪活動(dòng)來(lái)躲避偵查，導(dǎo)致在未經(jīng)調(diào)解的第三國(guó)訪問(wèn)數(shù)據(jù)和基于國(guó)家領(lǐng)土的管轄權(quán)概念之間存在固有的緊張關(guān)系［34］。在刑事司法制度中，管轄權(quán)的概念要求建立民事訴訟制度來(lái)處理法律沖突，第三國(guó)非法訪問(wèn)數(shù)據(jù)繞過(guò)現(xiàn)有的法律約束渠道，會(huì)導(dǎo)致法律不安全和不信任。在直接合作模式下，LEA 直接聯(lián)系服務(wù)提供商，而不受請(qǐng)求國(guó)當(dāng)局的任何干預(yù)。然而，正如2016 年歐盟委員會(huì)關(guān)于改善網(wǎng)絡(luò)空間刑事司法的問(wèn)卷調(diào)查所指出的那樣，直接請(qǐng)求的有效履行仍不確定：一方面由于其法律框架不明確；另一方面，由于難以確保國(guó)內(nèi)生產(chǎn)指令的域外執(zhí)行。目前，歐盟內(nèi)部對(duì)于直接合作的合法性沒(méi)有共同立場(chǎng)，出現(xiàn)這種情況有兩個(gè)主要原因：第一，成員國(guó)對(duì)國(guó)內(nèi)和國(guó)外服務(wù)提供商的監(jiān)管存在差異；第二，對(duì)于正在處理的服務(wù)提供商來(lái)說(shuō)，沒(méi)有關(guān)于直接向另一個(gè)國(guó)家的服務(wù)提供商發(fā)出的請(qǐng)求是自愿的還是強(qiáng)制性的規(guī)則［4］。

五、總結(jié)與反思

為解決支離破碎的數(shù)據(jù)傳輸監(jiān)管框架，歐盟的數(shù)據(jù)立法保護(hù)呈現(xiàn)出統(tǒng)一標(biāo)準(zhǔn)和范式擴(kuò)張的趨勢(shì)［31］。2012 年的《在互聯(lián)世界中保護(hù)隱私：面向21 世紀(jì)的歐盟數(shù)據(jù)保護(hù)框架》表明，個(gè)人數(shù)據(jù)傳輸時(shí)，無(wú)論控制者地理位置或者其數(shù)據(jù)處理設(shè)備是否位于歐盟，應(yīng)適用歐盟的標(biāo)準(zhǔn)和規(guī)則，創(chuàng)建高水平的歐洲數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)［35］。2017 年，《全球化世界中個(gè)人數(shù)據(jù)的交換和保護(hù)》提出，GDPR 提供多種數(shù)據(jù)傳輸機(jī)制，將國(guó)際數(shù)據(jù)流動(dòng)和個(gè)人保護(hù)最高水準(zhǔn)相結(jié)合，推廣歐盟高水平的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。 以馮德萊恩（Ursula Gertrud von der Leyen）為主席的新一屆歐盟委員會(huì)在發(fā)展歐盟數(shù)據(jù)法律標(biāo)準(zhǔn)上更為積極［32］。2020 年，歐盟委員會(huì)在《人工智能白皮書》 《歐洲數(shù)據(jù)戰(zhàn)略》 以及《塑造歐洲的數(shù)字未來(lái)》 中均提出，推廣歐洲方法，制定全球標(biāo)準(zhǔn)。歐盟個(gè)人數(shù)據(jù)保護(hù)的基本價(jià)值隨著“充分性決定”工具的應(yīng)用融入日本、韓國(guó)的數(shù)據(jù)立法改革，東亞乃至全球多國(guó)的數(shù)據(jù)立法進(jìn)程都奉GDPR 為圭臬。

面對(duì)越發(fā)頻繁的跨國(guó)網(wǎng)絡(luò)犯罪，數(shù)據(jù)的獲取和應(yīng)用已成為遏制網(wǎng)絡(luò)犯罪上升的關(guān)鍵，歐盟基于充分性認(rèn)定的警務(wù)執(zhí)法數(shù)據(jù)跨境傳輸機(jī)制，為我國(guó)對(duì)外警務(wù)執(zhí)法數(shù)據(jù)跨境傳輸?shù)恼勁刑峁┝四Ｊ絽⒖?。我?guó)應(yīng)當(dāng)在數(shù)據(jù)主權(quán)國(guó)家戰(zhàn)略的基礎(chǔ)上，著力探索刑事跨境數(shù)據(jù)取證管轄模式的中國(guó)方案。具體而言，在堅(jiān)持?jǐn)?shù)據(jù)存儲(chǔ)地模式的同時(shí)，有必要設(shè)定例外情形; 在把握數(shù)據(jù)控制者模式之優(yōu)勢(shì)的同時(shí)，亦需針對(duì)他國(guó)采取該模式給我國(guó)帶來(lái)的危害予以對(duì)等回應(yīng)；在程序主義數(shù)據(jù)主權(quán)的框架下，加強(qiáng)與其他國(guó)家的平等協(xié)商與合作，構(gòu)建適用于電子數(shù)據(jù)的刑事取證管轄互惠模式［12］。

為了在常規(guī)數(shù)據(jù)提取措施之外設(shè)置配套的網(wǎng)絡(luò)在線提取和遠(yuǎn)程勘驗(yàn)，我國(guó)于2016 年制定了《電子數(shù)據(jù)規(guī)定》，試圖通過(guò)制定“網(wǎng)絡(luò)在線提取與遠(yuǎn)程勘驗(yàn)”措施，回避執(zhí)法管轄權(quán)的強(qiáng)地域限制，但沒(méi)有解決正當(dāng)性缺失的問(wèn)題［2］。在此背景下，2019 年公安部制定了《公安機(jī)關(guān)辦理刑事案件電子數(shù)據(jù)取證規(guī)則》，將網(wǎng)絡(luò)在線提取措施的適用范圍進(jìn)行了大幅度限縮，即僅限于境內(nèi)遠(yuǎn)程計(jì)算機(jī)信息系統(tǒng)中的電子數(shù)據(jù)和境外公開(kāi)發(fā)布的電子證據(jù)［36］。這在一定程度上化解了執(zhí)法管轄沖突的問(wèn)題［37］。但是網(wǎng)絡(luò)遠(yuǎn)程勘驗(yàn)措施仍然可能突破執(zhí)法管轄權(quán)的地域限制，可能出現(xiàn)干預(yù)網(wǎng)絡(luò)安全、數(shù)據(jù)安全以及個(gè)人信息保護(hù)制度等情況，有觸發(fā)他國(guó)法律責(zé)任的風(fēng)險(xiǎn)［2］。

近年來(lái)，我國(guó)高發(fā)的電信網(wǎng)絡(luò)詐騙案件、網(wǎng)絡(luò)賭博案件等表現(xiàn)出犯罪鏈條向境外轉(zhuǎn)移的特征［38］，上述困境也成為困擾我國(guó)公安機(jī)關(guān)打擊涉外新型犯罪的瓶頸。從執(zhí)法管轄權(quán)的強(qiáng)地域限制出發(fā)，在具體的措施設(shè)計(jì)上無(wú)論是采用傳統(tǒng)的刑事司法協(xié)助機(jī)制，還是創(chuàng)新變通式的取證途徑，正當(dāng)性原則意味著一方面這些措施應(yīng)當(dāng)具有國(guó)內(nèi)法的明確授權(quán)，另一方面應(yīng)當(dāng)建立在相對(duì)國(guó)同意的基礎(chǔ)上［2］。后者則要求跨境偵查取證措施的實(shí)施原則上不應(yīng)當(dāng)是一種單邊行為，而是通常需要以國(guó)際公約、條約、雙邊或多邊協(xié)議或機(jī)制為基礎(chǔ)。2021 年，我國(guó)《最高人民檢察院工作報(bào)告》已提出要“規(guī)范境外取證”，努力避免出現(xiàn)妨礙相對(duì)國(guó)的協(xié)助意愿以及影響取證實(shí)際效果的情況出現(xiàn)。

相較于立法管轄權(quán)的不斷擴(kuò)張，近些年來(lái)我國(guó)國(guó)際執(zhí)法管轄權(quán)的相關(guān)規(guī)定沒(méi)有多少突破性變化。公安部為適應(yīng)打擊犯罪的現(xiàn)實(shí)需要，就國(guó)際犯罪偵查活動(dòng)補(bǔ)充規(guī)定了國(guó)際警務(wù)協(xié)作機(jī)制，但許多國(guó)際警務(wù)合作機(jī)制還有待于進(jìn)行細(xì)化規(guī)定［2］。對(duì)未來(lái)網(wǎng)絡(luò)犯罪的治理，首先要解決的是如何有效利用多節(jié)點(diǎn)治理資源和能力，優(yōu)化犯罪治理效果，而網(wǎng)絡(luò)犯罪多節(jié)點(diǎn)的協(xié)同共治，關(guān)鍵在于程序性規(guī)則的有效銜接［39］。這一方面需要在犯罪治理的不同階段，基于信息生命周期管理的一般理論，建立信息管理和審查的統(tǒng)一或示范性規(guī)范；另一方面，需要在一定程度上打破傳統(tǒng)的公私界分，探索犯罪治理的公共資源和私人資源之間的有效融合。