跨境电子取证规则的实践问题及体系优化

李 涛

(南京森林警察学院侦查学院，江苏 南京 210023)

一、 引言

在大数据时代，数据跨境流动已经随着云计算等新技术的发展而呈现出高度自动化的发展态势。基于对数据跨境流动而带来的数据控制权失控的担忧，各国立足于国家利益最大化，对数据跨境流动进行了立法规制。这种立法规制在全球层面不仅给跨国企业经营合规带来了冲击，而且对刑事司法管辖制度带来了冲击，突出表现在各国跨境电子取证规则建构上。跨境电子取证，是指在侦查活动中，执法机构以跨境远程方式收集存储于境外的数据的行为。网络犯罪的虚拟性使得电子数据作为一种证据呈现出分散分布状态，并随着数据流动呈现出国际化特征，进而导致执法机构跨境取证行为成为普遍化现象。相对于传统刑事司法协助的繁琐与低效，跨境电子取证适应了跨境数据高速流通的状况，实现了电子取证高效、快捷的目的。但是，侦查权的属性决定了跨境电子取证既存在脱离刑事司法协助框架造成刑事取证管辖权冲突的可能性，也存在对公民个人合法权利侵犯之虞。囿于数据规范制度方面设计的不足，我国在跨境电子取证规则建构方面存在理念不清、选择性规范等情况，导致司法实务中一定程度上忽略了应有的权力控制和程序保障，所以，有必要在借鉴域外立法的基础上，对我国跨境电子取证规则进行检视，以有效规避执法风险。

二、比较法视野下跨境电子取证规则考察

近年来，随着跨境数据流动日益成为新型全球化的重要特征，世界各国对于数据跨境流动重大意义的认识日益加深。从全球治理的角度看，受地缘政治、国家安全、隐私保护等因素的影响，世界各国对于跨境数据流动主要围绕“数据主权”“数据隐私保护”“数据本地化存储”等重大议题进行了国内监管规则与国际规则的制订。跨境电子取证也遵循以上各主题的基本逻辑，并在此基础上演变成为自身规则。

(一) 跨境电子取证管辖权的基本模式

跨境电子取证在本质上属于第三方有法律根据的数据获取，是涉外刑事证据收集的一种形式。从国际立法来看，2001年欧洲委员会《网络犯罪公约》是目前唯一具有法律效力的专门解决与计算机相关的犯罪行为的多边文件，制订者认为跨境电子取证属于刑事犯罪域外取证，因此将其归于第6章“国际合作”中进行规定。基于域外刑事取证的这一特征，跨境电子取证必然涉及数据主权、刑事取证管辖权等基本议题，并在此逻辑上进行法理上的构建，以使执法行为具备合法性。

1.数据主权

一般认为，数据主权是网络空间主权的一个子集或投影。从本质上看，数据主权具有数据信息主体权益的属性，是在数据流通后形成的数据产生者在数据使用方面的权利，具有所有权和使用管辖权两个构成要素。其基本内涵主要包括：其一，对于本国数据，非该主权国家不得占有；其二，对于本国数据，主权国家有权自主管理和利用。数据主权意味着，未经许可第三方不得对主权国家传输、存储到云端或远距离服务器上的数据进行操纵。在大数据时代，数据是国家权力的重要基础。出于维护权威、合法性、主权的考量，受传统管理性惯性思维的影响，主权国家对其网络空间中的数据有天然的控制诉求。为了进一步争夺国力竞争的制高点，“主权国家必须充分维护和发掘自身在网络空间和信息空间的管辖力”[1]， 在数据主权范畴之内对数据的跨境流动进行管理与控制必然成为数据主权的重要内容。

2.刑事取证管辖模式

基于对数据主权理念的不同理解，以2001年《网络犯罪公约》为起点，到2016年欧洲议会《通用数据保护条例》，再到2018年美国《澄清域外合法使用数据法》，域外法治国家对于“跨境数据的刑事取证管辖权逐渐形成了数据存储地模式与数据控制者模式两种类型”[2]。在数据存储地模式下，除非基于国家间相互礼让机制或国际公约授权，跨境数据的刑事取证管辖权以数据的物理存储位置为界限，不允许一国超越界限开展单边电子跨境取证。目前，数据存储地模式仍然是国际跨境数据的刑事取证管辖权的基本模式，但近年来囿于动态证据条件下规则适用困难、取证效率较低等因素，数据存储地模式也开始发生松动。主要表现为:一是允许附条件的单边跨境取证。如《网络犯罪公约》第32条规定，即使“未经另一缔约方的授权”，也可以访问境外“供公共开放的储存计算机数据”，或在当事人同意的情况下访问或接收“位于其他签约方的储存计算机数据”(1)《网络犯罪公约》第32条规定，缔约方可以在未经另一缔约方的授权下：a访问供公共开放的储存计算机数据，无论数据的空间位置；或b通过在其领土内的计算机系统，访问或接收位于其他缔约方的储存计算机数据，如果该缔约方获得了合法的、自愿的授权，被允许通过计算机系统披露数据。。 二是允许存储地不明情况下的单边跨境取证。如美国《联邦刑事程序规则》第41条b款第6项授权法官在媒体或信息的储存地点被技术性隐藏的情况下，可以签发令状对管辖区外电子存储媒介进行远程搜查，扣押或复制电子数据。

在数据控制者模式之下，跨境数据的刑事取证管辖权不考虑数据存储地的位置，而是依托跨境云服务提供者的服务，通过寻求合作或发出指令，采用间接取证的方式回避常用的司法协助程序而获取数据。数据控制者模式先后在比利时、巴西、英国等国家的司法实践中予以探索，最终成形于2018年美国颁布的《澄清域外合法使用数据法》。根据该法案的规定，被调查对象在接到执法机构依法定程序签发的针对境外数据披露指令后，除非被调查对象不是美国公民也不在美国境内，或披露指令会使跨境云服务提供者处于违反国外禁止性法律规定的风险之中，跨境云服务提供者就必须进行披露。该法案还规定，基于互利原则，外国政府也可以通过跨境云服务提供者数据披露的方式获取存储于美国境内的数据，但是该法案从主体和内容上对外国政府执法机构跨境取证资格进行了限制。首先，该政府必须属于“适格外国政府”，如以是否签署了《网络犯罪公约》为评判标准之一；其次，该政府必须与美国签订有专门的行政性协议。如果不符合上述要求，则外国政府不能通过跨境云服务提供者数据披露方式获取美国境内数据，而只能通过传统刑事司法协助程序来获取。

从长远发展来看，正是大数据与云计算的发展导致了数据存储地模式适用的困难，进而促使数据控制者模式产生。但是数据控制者模式下的单边跨境电子取证易引起国际刑事取证管辖范围的重叠与冲突，因此该模式在现阶段并不具备普遍适用性，而只能部分取代数据存储地控制模式。尽管如此，基于云计算的数据跨境存储发展趋势及执法机构跨境电子快捷取证的现实需求，可以预见数据控制者模式会深刻影响国际刑事取证管辖的格局。

(二) 跨境电子取证中的数据隐私保护

1.民商法领域对数据隐私保护的规定

从比较法视野来看，对自然人隐私的保护是数据保护国际立法的主要目的之一。如早在1980年，世界经济合作组织(OECD)发布《隐私保护和个人数据跨境流通指南》时就明确指出，“个人数据的收集应受限制，获得数据的手段必须合法和公平，情形允许时应经数据主体知晓和同意。”[3]而在2013年修订时，该指南又新增了“保护隐私的法律”和“隐私执法机构”等相关内容。作为欧洲个人数据保护源流的《个人数据自动化处理中的个人保护公约》亦于1981年签订时明确提出，其定位于保护个人尊严，保护基本人权、基本自由。2016年欧洲议会颁布的《通用数据保护条例》是迄今为止对各国具有广泛影响力的数据立法文件，该条例第4条对个人数据从自然人属性角度加以定义，将个人数据界定为已被识别或可识别的与自然人有关的信息，强调对于个人数据的保护实质在于保护数据主体的人格。在此基础上，《通用数据保护条例》将个人敏感数据和可识别的个人一般数据都归入个人隐私范畴，并作为个人数据保护的首要权利。对于个人数据跨境流动而言，为了保护数据安全和数据隐私，《通用数据保护条例》通过设立“充分保护水平原则”限制个人数据向第三国或国际组织流动。其中，评估第三国保护是否充分主要考察以下几个方面：第一，第三国的个人数据保护法律是否体现了法治、尊重人权和基本自由，是否完备；第二，是否存在独立的数据监管机构并有效运作；第三，是否已经参加含有个人数据保护内容的国际条约或者作出相关承诺。针对第三国通过法律、法规和其他法律行为直接要求数据控制者或处理者传输或披露个人数据的任何决定，《通用数据保护条例》规定，承认或执行该决定的前提是基于已经签署的国际协议，如欧盟或其成员国与第三国之间的司法协助条约等。针对签订协议问题，2018年美国《澄清域外合法使用数据法》也规定，要重点审查外国政府是否对公民的隐私权和其他权利提供了强有力的保障。

2.刑事法领域对数据隐私保护的规定

鉴于人权保护一体化发展趋势，民商法领域强调数据隐私保护的立法理念也在深刻影响着刑事法领域。早在2001年，《网络犯罪公约》在赋权执法机构开展电子证据调查的同时，也非常注意对个人隐私的保护。该公约第14条、第15条以“共同条款”对网络犯罪中电子证据收集的适用范围、条件和保障措施进行了规定，以期可以最大限度地保障公民的合法权益不受非法侵犯。在适用范围上，《网络犯罪公约》规定，收集流量数据与拦截内容数据等电子取证措施仅适用于特定案件的侦查与起诉阶段。其中，拦截内容数据只适用于各缔约国国内法认定的严重犯罪行为。考虑到各缔约国对于收集流量数据与拦截内容数据两种措施侵犯隐私行为的定义和程度存在差异，《网络犯罪公约》赋予了各国保留的权力，以自行确定是否将收集流量数据与拦截内容数据均限制于相同的犯罪范围。在保障措施方面，鉴于各缔约国具有不同的法律体系与文化，《网络犯罪公约》要求各缔约国设立共同标准或最低安全措施以保障人权和自由。这些标准主要是根据国际人权文件产生的权利保护标准。另外，《网络犯罪公约》明确规定电子证据收集时应遵循比例原则。

2016年，欧洲议会和欧盟理事会制定的《以犯罪预防、调查、侦查、起诉或刑罚执行为目的的个人数据保护指令》将《通用数据保护条例》所确立的个人数据保护的基本原则与制度移植到了刑事司法领域，明确规定个人数据受保护是公民的基本权利，数据主体在刑事诉讼中享有数据知悉权、访问权、更正权、删除权等权利。与欧盟法案模式不同，美国主要基于“合理隐私期待”理论将个人数据保护置于隐私权保护框架之中，通过设定有关隐私期待的识别标准，限制特定条件下电子数据搜查权限。一些司法案例体现了上述保护路径。

(三)跨境电子取证中网络服务提供商的义务规定

在云服务与云计算的背景下，电子数据呈碎片化分布存储于云端。当一国执法机构囿于属地管辖模式无法解决取证困难时，便会将目光投向地理位置相对明确的网络服务提供商，试图从属人管辖模式找到取证的入口。相关立法也多围绕网络服务提供商的义务内容展开，以解决本国执法管辖难题。其中，又以网络服务提供商强制数据存留和披露义务为典型代表。强制数据存留和披露，是指网络服务提供商依照法律所规定的义务，对某时间段内数据保存与归档以及向执法机构提供所控制数据。针对网络犯罪侦查的需求，各国纷纷构建了比例原则下以强制数据存留和披露为核心的法律保障体系。其主要呈现以下趋势：一是数据类型化。如一般将网络犯罪侦查所需信息分为注册人信息、交互信息和内容信息。根据隐私权合理期待程度规定三类信息的强制存留与披露的具体要求。其中，因当事人对内容信息“隐私权合理期待”程度较高，因此，对其提取限制度较高。二是适用范围限制化。如欧盟《数据保护指令》将强制数据存留与披露义务限定在严重犯罪范围内。三是存留时间期限化。各国立法通过设置最低存留期限等方式来保障侦查需要。四是实施有效程序监督，如多主体监督、全过程监督等。[4]

当前，随着跨境电子取证需求的增加，越来越多国家通过立法要求提供境内服务的境外网络服务提供商将境内服务数据存储本地化，以确保强制披露的适用，实现电子取证无需通过跨越边境的方式展开。如俄罗斯为了改变大量个人在线数据存储于外国服务器的情况，于2014年对《关于信息、信息技术和信息保护法》《个人数据保护法》作了修订，确立了数据本地存储的基本原则，规定“公民个人信息及相关信息和数据库需要在俄罗斯境内存储，对俄罗斯公民的个人数据的处理活动需要使用俄罗斯境内的数据库，即处理活动需要在俄境内进行”[5]。2019年美国出台的《2019国家安全和个人数据保护法》第3章第1条第5款明确规定：“企业不得将从美国公民或居民处收集的用户数据或可结合数据破译(如密钥等)所需的信息存储在美国(或与美国签订协议同意执法部门通过法定流程共享数据的国家)以外国家的服务器或者其他数据存储设备上。”[6]

三、我国跨境电子取证的现行规定及实践问题

与域外法治国家一样，我国跨境电子取证规则也是随着数据全球化存储、数据流动态势及网络犯罪治理的发展而逐渐形成的，但囿于现行立法基础与背景的限制，我国跨境电子取证规则在应对犯罪整体网络化趋势及由此引起的跨境数据取证频繁化需求方面逐渐表现出在立法理念、内容及运行上的一些不足。

(一)我国跨境电子取证的现行规定

1.跨境电子取证的原则

作为涉外刑事证据收集的一种形式，跨境电子取证必须遵守涉外刑事证据收集的基本精神与原则要求。我国涉外刑事证据收集相关立法精神早期主要体现在《中华人民共和国刑事诉讼法》《最高人民法院关于适用<中华人民共和国刑事诉讼法>的解释》(以下简称《最高法解释》)所规定的特殊程序中，如需要遵守国际条约原则、互惠平等原则等。2018年《中华人民共和国国际刑事司法协助法》(以下简称《刑事司法协助法》)第4条、第25条、第28条对国内外执法机构跨境调查取证原则作了较为明确的规定。根据此原则，境内执法机构需要获取境外电子数据或境外执法机构需要获取我国境内电子数据，必须通过刑事司法协助进行。

2.跨境电子取证的规定

从内容上看，我国跨境电子证据取证规则主要体现在最高人民法院、最高人民检察院、公安部三部门联合发布或单独发布的相关规定中，如2014年《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》(以下简称《网络犯罪意见》)、2016年《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《电子数据规定》)以及2019年《公安机关办理刑事案件电子数据取证规则》(以下简称《公安取证规则》)。其核心内容主要包括：一是明确对于境外数据可以进行收集。《电子数据规定》第9条规定，可以通过网络在线提取原始介质存储于境外或远程计算机信息系统上的电子数据。考虑到对他国数据主权的尊重，《公安取证规则》第23条对于网络在线提取的数据进一步限制为“境内数据和境外公开发布的电子数据”。二是提取方式主要包括在线提取、远程勘验及技术侦查措施。《电子数据规定》第9条规定，可以通过网络在线提取境外电子数据，在必要的情况下，也可以通过网络远程勘验及技术侦查措施提取境外电子数据，以进一步查明其他情况。(2)《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第9条规定：“对于原始存储介质位于境外或者远程计算机信息系统上的电子数据，可以通过网络在线提取。为进一步查明有关情况，必要时，可以对远程计算机信息系统进行网络远程勘验。进行网络远程勘验，需要采取技术侦查措施的，应当依法经过严格的批准手续。”三是分类实施监督。因在线提取境外公开发布的电子数据对当事人权益的侵害较小，未设置具体的监督措施；对于远程勘验，要求有符合条件的人作为见证人；对于技术侦查措施，要求严格依照有关规定办理批准手续。

(二)我国跨境电子取证的实践问题

1.取证措施适用条件有待进一步明晰

从取证对象看，《电子数据规定》对跨境电子取证对象并没有明确界定。《公安取证规则》则对跨境电子取证对象进行了限制，规定对于境外公开发布的数据才可以采取在线提取的方式，而对于境外非公开发布的电子数据如何获取并没有明确规定。在此背景之下，以上规则在理解与适用中会产生以下疑问，即按照现有规定，对于境外非公开数据是否一律不得提取。有学者通过对《电子数据规定》第9条的分析，认为三者之间属于“逐步缩限”关系，即“最上位的概念是在线提取，远程勘验则是在线提取的特殊手段，网络技术侦查又是远程勘验的特殊手段”[7]。 如果依据此理解，结合《公安取证规则》第23条的精神，对于境外非公开数据，我国执法机构需要通过合法授权进行跨境电子取证，否则按照程序法定原则及刑事证据规则，收集到的证据应该不具备可采性。但通过对《公安取证规则》第33条的分析又会发现，该规则将在线提取、远程勘验、技术侦查措施又归为并列关系，而非“逐步缩限”关系。(3)《公安机关办理刑事案件电子数据取证规则》第33条规定：“网络在线提取或者网络远程勘验时，应当使用电子数据持有人、网络服务提供者提供的用户名、密码等远程计算机信息系统访问权限。采用技术侦查措施收集电子数据的，应当严格依照有关规定办理批准手续。”另外，从《公安取证规则》制订者的本意来考察，其认为对于境外非公开发布的电子数据，“一是需要通过国际条约或者合作机制、刑事司法协助、国际警务合作渠道调取证据；二是需要通过勘验境内访问、下载过该信息的终端间接获取该电子数据；三是需要通过技术侦查措施获取有关电子数据；四是需转化为其他类型的证据。”[8]从以上表述可以看出，规则制订者对于境外非公开电子数据获取并没有排除采取技术侦查措施。如果根据第二种理解，对于境外非公开电子数据，执法机构可以通过技术侦查措施予以提取，并具备证据能力。

在数据快速流动的今天，电子证据本身的脆弱性及传统刑事司法协助的缓慢性会直接影响取证的质量，进而影响刑事诉讼最终的效果。从执法实践看，既然《公安取证规则》等规定具有模糊性，则执法机构可能会倾向于选取有助于提高执法效率的途径，如对某些不公开的境外电子数据通过技术侦查措施获取。

2.网络服务提供商的协助刑事执法义务有待进一步明确

明确界定网络服务提供商数据强制存留与披露义务是国际通信协助刑事执法的重要内容与立法趋势。2016年《中华人民共和国网络安全法》(以下简称《网络安全法》)第21条、第28条、第37条首次以法律的形式对我国境内网络服务提供商数据强制存留与披露义务进行了规定。其内容主要包括：一是在境内运营中收集和产生的个人信息和重要数据，应当被存储在境内；二是存储时间不得少于6个月；三是为执法机构侦查犯罪活动提供技术支持和协助。2021年《数据安全法》第31条以及2021年《中华人民共和国个人信息法》(以下简称《个人信息法》)第40条对上述规则部分内容进行了重申。与域外相关立法相比，上述立法仅对网络服务提供商数据存留义务作了简单规定，对数据披露义务以“提供技术支持和帮助”笼统代替。立法的粗疏将带来执法实践问题，如在跨境电子取证中，境内网络服务提供商是否可以提供境外数据，境外网络服务提供商是否可以提供境内数据都是亟待解答的问题。因此，有必要进一步明晰网络服务商数据存留与披露义务。

3.数据隐私权利保障有待进一步加强

从国际立法看，第三国对公民个人信息及数据隐私保护的水准是跨境数据流通考量的重要因素，这必然要求第三国所采取的程序与措施要在最大程度上符合公民对个人隐私的期待，进而保障公民的合法权利。我国跨境电子取证规则对于相关权利保障的不足，主要表现在对于在线提取、远程勘验及技术侦查措施在性质上未能进行必要区分，导致强制处分被掩盖于任意性侦查措施之中。比如，《电子数据规定》第6条明确对初查中适用网络在线提取进行了授权，并赋予通过网络在线提取的电子数据证据资格。根据上文所述，《电子数据规定》所提到的远程勘验又可以理解为在线提取的下位概念，在执法实践中，执法机构往往在初查阶段便采取远程勘验措施，而这些措施往往是在权利人不知情的情况下进行的。另外，执法机构在实施过程中可能会对所谓的“现场”进行广义扩展，对那些其实已经远离“现场”的电子数据，通过相当宽松的“勘验”程序进行收集和提取。相对于在实体空间经同意的搜查手段获得证据而言，有关法律规范的制订者并未充分考量特定网络空间现场及存储的电子数据是否符合相关权利人合理隐私的期待，而是直接适用勘验方式收集。从权利干预角度来看，此类侦查措施程序需要受到《刑事诉讼法》的法律控制，防止对公民通信秘密、通信自由等权利产生侵犯。

四、我国跨境电子取证规则的优化

有学者指出，我国跨境电子取证规则面临“国家主权、权利保障和高效、便捷程序”[9]方面的问题。跨境电子取证规则优化必然要对上述问题进行回应并提出解决方案。

(一)优化理念：数据主权视野下的原则坚持与互惠礼让

1.通过积极参与国际公约谈判阐释我国原则立场

因为《网络犯罪公约》在政治、法律、技术上固有的缺陷，其封闭性特征决定了该公约很难在全球层面成为各国均认可的全球标准。长期以来，如何在联合国框架内通过多边参与，以民主、透明的方式制定一项打击网络犯罪的全球性法律文书一直是国际立法的难题。在中国、俄罗斯、南非等国家的持续努力下，第75届联合国大会于2021年5月27日通过关于启动《联合国打击网络犯罪公约》谈判的决议，确定将于2022年1月正式启动公约谈判，这标志着全球层面的网络犯罪治理迈出了实质性一步。该公约若经制定将在网络犯罪定罪、管辖权、国际合作及其他事项等方面发挥作用，共同构成打击跨国网络犯罪的国际规则。对于我国而言，积极参与该公约的谈判对我国网络犯罪治理具有重要意义，尤其是“在电子证据跨国取证问题上，我国执法机关也面临刑事司法协助程序耗时较长、国际合作不畅等难题。联合国公约将在这方面寻求突破，为我国执法机关提供更便捷的法律武器及国际合作工具，强化对跨国网络犯罪的打击”[10]。在公约谈判过程中，我国应阐明数据主权的基本立场，通过提供网络犯罪治理的中国智慧与经验，引导国际规则制定符合我国自身利益与诉求。

2.通过建立数据存储地模式的特殊例外进行礼让合作

虽然数据主权原则是我国在世界互联网治理体系中所坚持的重要原则，但是“数据主权国家行使数据主权并不意味着对数据主权的完全控制”[11]，“如果一个国家在获取域外电子证据上，只是期望他国提供协助而自己不愿意给予他国协助，或者只是期望依托先进的技术手段或国内法许可的方式进行自行取证，就不可能有效地化解风险”[12]。行使数据主权并不意味着对数据的完全控制，而是要在坚持数据主权的原则之下，充分考虑数据的流动性和跨境性，通过完善立法和缔结国际条约，厘清数据主权范围，为数据跨境存储、流动、保护及使用提供坚实的法理支撑，阐明我国在国际网络空间问题上的基本主张。在数据存储地模式下，对于非公开的数据要求在国际条约、国际礼让以及其他国际法律许可的框架下收集。为了解决司法实践中的问题，我国可以通过建立数据存储地模式特殊例外来进行调整，即与他国进行协商，在彼此认同数据存储地模式的基础上，通过签订刑事取证管辖互惠条约，彼此礼让一部分对内数据权力，有条件地容许对方收集己方境内的数据。由于国际公约谈判及签署过程的持久性，在现阶段，我国应注意利用现有刑事司法协助平台，加强和美国、俄罗斯、欧盟等网络技术发达国家和地区的磋商，争取对一些跨境电子取证规则达成共识，通过构建广泛而又快捷的直联通道、协助平台，建立执法合作协调中心，深化跨境电子取证协助机制等方式，进一步简化协助程序，丰富协助方式，确保跨国取证协助请求能够得到快速响应。

(二)优化核心：高效取证视野下的义务明晰与措施厘清

1.明晰网络服务商数据强制存留与披露义务，提高跨境电子取证的针对性

对于境内网络服务提供商是否可以提供境外数据，我国可以借鉴域外有关立法的做法，要求境内网络服务商依法保存、备份、披露通信内容、记录或其他信息。只要上述信息为网络服务提供商所拥有、监管或控制，无论是否存储在中国境内，执法机关都可以在法定情形下随时调取，以实现我国执法机关在实质数据控制者模式下的跨境电子数据收集。对于境外网络服务提供商是否可以提供境内数据，虽然《网络安全法》第37条就境外网络服务提供商对于在中国境内运营中收集和产生的个人信息和重要数据必须在境内存储进行了规定，但却未明确规定境外网络服务提供商向中国执法机关披露存储于中国境内运营数据的义务。因此，应通过完善相关法律，要求在中国运营的境外网络服务提供商依法提供境内数据，其拒绝披露时可以予以行政或司法处罚。

2.厘清措施性质，明确适用范围，提高跨境电子取证的规范性

我国现行的跨境电子取证措施实施的主要障碍在于相关规定与实务适用存在一定程度的不协调。针对以上问题，应根据强制侦查与任意侦查之要义，厘清在线提取、远程勘验、技术侦查措施的性质，明确其适用范围，提高跨境自行取证的规范运作，以避免潜在的国际法风险。

第一，在线提取的性质界定及适用。与域外电子取证规则相比，在线提取实际上与《网络犯罪公约》第32条a款相似，是指“通过网络公共空间对网页、网上视频、网盘文件上的电子数据进行提取，可以理解为从网上下载文件”[13]。在线提取因对当事人的合法权利并无干预或干预度较小，对境外数据也无直接威胁而为国际社会普遍接受，基于任意侦查的精神，执法机构可以直接实施。

第二，远程勘验的性质及适用。远程勘验是指，“通过网络对远程计算机信息系统实施勘验，发现、提取与犯罪有关的电子数据，记录计算机信息系统状态。”[14]远程勘验进一步又可以分为经同意的远程勘验和非经同意的远程勘验。其中，经同意的远程勘验类似《网络犯罪公约》第32条b款规定的情形，对当事人的合法权利并无干预或干预度较小，基于任意侦查精神，执法机构也可以直接适用。但需要指出的是，经同意的远程勘验，必须保证当事人是出于自由意志选择的自愿提供，否则执法机构即使搜查出隐蔽性较强的证据也有可能在法庭上得不到认可。对于非经同意的远程勘验，执法机构往往通过一定的技术手段侵入目标后方能提取数据。此类措施在性质上属于典型的强制处分措施，实为远程搜查。一般情况下，此类措施往往在秘密状态下进行，并对所指向的网络空间及特定的存储设备的数据进行一并提取，从而对当事人的知情权、通信自由、通信秘密等权利造成较大的威胁，因此需要纳入到搜查程序的基本框架内，通过令状制度等对其适用范围、时间进行明确规范。从国际立法经验来看，域外对此类措施跨境运用较为警惕，为此在未来规则构建中要予以必要限制。

第三，技术侦查措施的性质及适用。《电子数据规定》制订者认为，“侦查人员未经授权，采取侵入或者控制他人计算机信息系统的手段，对他人的记录、行踪、通信等进行监控的，应当认定为技术侦查措施。”[15]在域外规则中，技术侦查措施一般是指通过网络入侵技术或监听技术，破解防火墙并侵入系统，搜索、监听或拦截网上传输的数据包。鉴于技术侦查措施在本质上属于实时监控类措施，会对公民的隐私权、知情权造成侵害，《网络犯罪公约》第32条a款、b款均将跨境电子取证对象限定于“存储”状态的数据，而将跨境实时监控措施排除在外，我国也应该对此予以严格规制。有学者指出，原则上不应采用技术侦查措施跨境收集电子证据，如果需要采用技术侦查措施跨境收集电子数据必须考虑“管辖权、不侵害境外数据安全及低外交风险”[16]等问题。但是，从国际立法经验看，技术侦查措施也可以在以下两种情况下进行：一是因技术加密无法确认数据存储地；二是如果确认他国对我国采取了技术侦查措施，作为反制措施，我国也可以对该国采取技术侦查措施。

3.修订相关规则的模糊性表述，提高跨境电子取证的有效性

从实践执法需求来看，《公安取证规则》第23条之规定，虽然回应了关于单方授权跨境电子取证的问题，但是随之而来的问题是怎样满足我国跨境电子取证执法需求激增的现实需求。有关数据显示，面向我国境内网民的90%以上的诈骗网站、钓鱼网站、赌博网站的服务器位于我国境外。[17]如果对境外非公开数据一味坚持不得提取的做法，则在不能满足跨境电子取证实践需求的情况下，可能会催生非正式的方式来获取境外电子数据。基于上文对在线提取、远程勘验及技术侦查措施三者之间的关系及性质的分析，借鉴域外立法经验，我国可以对《电子数据规定》《公安取证规则》进行修订，以任意侦查及强制侦查原则为构建核心，消除相关规则中的冲突及模糊性表述，明确对执法机构的授权，其内容主要包括继续单列在线提取措施，明确经同意的远程勘验，限制非经同意的远程勘验及技术侦查措施等，以提高跨境电子取证的效率。

(三)优化基础：权利保障视野下的源头立法与过程监管

强化权利保障是跨境电子取证合法化、规范化的基础，也是国际社会普遍的认识。如上文所述，美国《澄清域外合法使用数据法》、欧盟《通用数据保护条例》对于个人数据保护的重视，在一定程度上反映了域外国家对因他国隐私权保护程度较低可能泄露、转移个人数据的共同关注。因此，加强对数据隐私权利保障的源头立法以及对跨境电子取证过程的监管与审查，既是保障参与者权利的基础，也是规则能否有效运行的现实需要。

1.推动相关法律的修订，强化个人数据隐私权利的源头保护

与域外相关立法相比，我国《网络安全法》《数据安全法》《个人信息保护法》未能在网络服务提供商的数据强制存留与披露义务中充分体现对个人数据隐私权利全过程保护的理念，从而一定程度上造成了权利保障在源头立法上的一些问题，需要对上述法律进行进一步修订，以形成体系化的权利保障规则，进而消弭与跨境电子取证对象有关的国家或个人的担忧。其内容主要应包括：首先，应对个人数据按照注册人信息、交互信息和内容信息进行分类，进而通过对各类信息评估来确定对隐私权的影响程度。其次，应建立数据披露与犯罪程度相适应的限定规则，以保障敏感隐私信息只能在特定案件中予以披露，而不能未加区分地要求网络服务提供商担负所有数据的披露义务。最后，应对数据披露启动程序作严格规定，并在事前、事中、事后进行有效监督。

2.加强监管与审查，强化取证过程中的权利保障机制

一是应建立检察机关介入审查机制。和其他侦查措施不同，跨境电子取证措施适用时具有一定的国际法风险，为了实现事前对跨境取证的风险评估，有必要将非经同意的远程勘验及技术侦查措施审批权限的启动提升审批层级，或将其由公安机关内部掌握划归到检察机关进行，从而促使执法机关能够更谨慎地开展跨境电子取证。二是应建立第三方取证技术人员资格审查机制。鉴于跨境电子取证有可能对被调查对象的隐私权、财产权等合法权利产生损害，若对取证主体不进行限定则有可能导致取证过程中权利侵害情形的发生。另外，电子数据本身的脆弱性及跨境网络环境的复杂性，要求取证主体必须具有较强的专业技术知识，否则会导致电子数据被毁坏。我国跨境电子取证规则主要从取证权限的合法性和技术资质的合法性两个方面对取证主体进行规范。基于上述要求，理想状态中的取证主体是具有相应专业知识的侦查人员。但在司法实践中，跨境电子取证的一些技术性工作往往会被委托给相关软件开发单位或者运营单位的工作人员，由其协助收集电子数据。这样就会出现以下情况，即侦查人员负有取证义务但不具备专业技术，具有专业技术的取证人员却不具备侦查人员身份，上述情况均会损害取证主体的合法性。《公安取证规则》第6条规定，侦查人员进行电子取证时，可以在必要的时候指派或者聘请专业技术人员进行协助。但对何谓专业技术人员，现行法律和司法解释并未作出明确规定。因为跨境电子取证具有国际法风险，从规范电子数据的收集、审查与认定来看，有必要对第三方取证专业技术人员予以适当限定。如从职称、学历、专业背景和职业经历等方面对专业技术人员是否具有电子数据收集的专业知识进行资格审查。三是应建立权利保障与证据可采性关联机制，以加强事后监督和救济。在公正审判已经成为各国司法裁判正当性基础的情况下，依照正当程序及审判公正原则，合法诉讼权利保障是跨境电子取证所获取的电子数据具备证据可采性的基础。在跨境电子取证中，如果相关主体隐私权等合法权利被执法机构跨境电子取证行为侵害，则取证结果就有不具有法律可采性的风险。因此，建立权利保障与证据可采性关联机制是加强跨境电子取证监管的重要考量因素。

五、结语

数据渴望自由流动的基因决定了网络犯罪跨境的天然性，网络犯罪跨境的天然性又引发了执法机构跨境电子取证的频繁性。跨境电子取证弥补了传统刑事司法协助机制在跨境取证效率上的不足，但也带来了诸如刑事取证管辖权冲突等制度与程序层面的问题。当前，虽然在全球范围内主要国家对于跨境电子取证规则尚未形成统一共识，但在数据主权、权利保障、高效取证等方面的追求具有一定的一致性，这也是我国跨境电子取证规则优化的出发点与落脚点。对于我国现行跨境电子取证规则而言，只有在坚持数据主权理念下进行合作，并厘清取证措施性质及适用条件，加大权利的体系化保障力度，才能进一步提高跨境电子取证的合法性、规范性与有效性，进而实现数据主权保障与便利执法之间的平衡。