刑事數據調取中網絡服務提供者的角色定位及關聯義務

●李延舜

一、問題的引出

大數據不僅改變了政務和民生，對刑事偵查也產生了巨大影響。人們發(fā)現，自己在網絡空間留存的各種記錄可能成為對自己不利的呈堂證供，而偵查機關正對這些記錄虎視眈眈。同時，網絡服務提供者面對偵查機關的數據調取請求也呈現出不同樣態(tài)，近年來的幾個國內外案例說明了這一點。國際方面，第一個是卡彭特案，〔1〕See Carpenter v. United States, 138 S. Ct. 2206; 585 U. S. （2018）.該案中，美國聯邦最高法院最終裁定警方必須事先獲得法院的搜查令才能追蹤公民的手機位置信息，而在此案之前，按照慣常理論——第三方當事人規(guī)則〔2〕參見李延舜：《個人信息保護中的第三方當事人規(guī)則之反思》，載《法商研究》2022年第4期，第76-89頁?！酵耆梢詮街睆碾娦欧丈淌种蝎@得該定位信息。第二個是韓國“N號房”事件。案發(fā)后，面對警方要求提供非法視頻上傳者個人信息的訴求，運營商Telegram一直未予配合。Telegram創(chuàng)始人Pavel面對記者詢問緣由時談到：“我認為個人隱私，以及我們保護個人隱私的權利要比我們所畏懼的事情更為重要，比如恐怖主義。”〔3〕蔣琳：《風暴眼中的Telegram：社交軟件該為打擊犯罪犧牲隱私嗎？》，載微信公眾號“隱私護衛(wèi)隊”，2020年4月11日。在他看來，這頂多算是“技術的黑暗面”。事實上，國外警方要求網絡服務提供者協助偵查的案例已有不少，尤為出名的是蘋果三次向FBI說“不”事件。國內方面，第一個是2017年深圳共享單車肇事逃逸案，深圳一名女性騎行ofo單車將一行人撞倒后逃竄，深圳交警數日后發(fā)布通報稱：“共享單車肇事，嫌疑人逃逸，企業(yè)拒不配合調查，交警將依法查辦”。不久，ofo發(fā)布聲明，稱“基于保障用戶信息安全，ofo對于內部資料查詢與審核有嚴格的程序規(guī)定，雖在過程中引發(fā)雙方溝通上的誤解，但ofo還是在事發(fā)當天將所需數據提供給相關單位。”〔4〕歐陽李寧：《共享單車肇事嫌疑人逃逸，企業(yè)不配合警方調查？ofo：誤解》，載澎湃新聞網，https://m.thepaper.cn/newsDetail_forward_1704814，2022年12月8日訪問。第二個是2018年滴滴順風車司機殺人案，該案案情簡單，爭議焦點在于平臺能否以保護用戶隱私為由，遲延或拒絕向偵查機關披露個人信息。滴滴公司事后發(fā)布聲明：“懇請與警方以及社會各界探討更高效可行的合作方案，共同打擊犯罪……如何在保護用戶隱私的同時，避免延誤破案的時機。”〔5〕《滴滴8月27日將下線順風車業(yè)務 兩高管被免職》，載百度網，https://baijiahao.baidu.com/s?id=1609831384371336913&w fr=spider&for=pc，2022年12月8日訪問。

上述案件各有意義，卡彭特案說明法院已經意識到警方徑直向網絡服務提供者調取個人數據的行為需要予以規(guī)范，“N號房”案則表明某些網絡服務提供者認為保護用戶隱私和數據權利比協助偵查更為重要，ofo案表明網絡服務提供者與偵查機關間的協查機制不健全，滴滴案則表明網絡服務提供者已經認識到協助執(zhí)法義務和保護用戶隱私及數據權利義務間的沖突，并渴望在對話的基礎上達成一種平衡保護方案。“記錄改變了一切”，“記錄”使得網絡服務提供者深刻地改變了刑事偵查模式，尤其是參與偵查主體結構，“形成了國家—社會—個人三方參與的新型偵查主體分布模式，社會力量而非偵查機關在偵查權行使過程中的作用愈發(fā)重要?！薄?〕程雷：《大數據偵查的法律控制》，載《中國社會科學》2018年第11期，第161頁。

然而，刑事偵查中向網絡服務提供者調取數據行為的常態(tài)化也帶來一系列問題。實踐層面上，如平臺在履行數據報送義務時，數據報送事項過多、范圍過寬、報送程序不健全、報送安全性保障滯后等多種因素的存在，導致平臺數據存在實踐困境?！?〕參見劉權：《論網絡平臺的數據報送義務》，載《當代法學》2019年第5期，第5-6頁。更常見的是，為防止數據遺漏或多次調取，網絡服務提供者往往會選擇擴大數據調取范圍，如“順亨汽貿公司走私普通貨物案”所反映的情況，網絡服務商向偵查機關披露了30個涉案郵箱中20萬封電子郵件，而這些郵件并不都和案件具有關聯性?！?〕參見謝登科：《論偵查機關電子數據調取權及其程序控制》，載《環(huán)球法律評論》2021年第1期，第60頁。規(guī)范層面上，主要體現在數據保護類法律與刑事訴訟類法律的脫節(jié)。換句話講，《個人信息保護法》《網絡安全法》及《數據安全法》中規(guī)定的數據處理規(guī)則能否適用于刑事偵查？舉例而言，數據偵查行為是否同樣遵循《個人信息保護法》規(guī)定的合法、正當、必要、誠信、公開、透明、質量等原則？偵查機關是否是該法第三節(jié)規(guī)定的“國家機關”？究其根源，在于當前數據治理架構主要是從個人主義視角出發(fā)，而忽略了其中的社會性問題?！?〕See Salome Viljoen, A Relational Theory of Data Governance, 131 The Yale Law Journal 573 （2021）.這種理解角度的差異使得我國的數據治理和數據保護立法不注重區(qū)分公私領域，如將《個人信息保護法》中的“權利束”理解為個人自主控制范式下的一組民事權利，〔10〕參見王錫鋅：《國家保護視野中的個人信息權利束》，載《中國社會科學》2021年第11期，第115頁。基本上忽略了刑事司法機關對個人信息調取的特殊性，并由此導致適用的模糊。歐盟這方面的法律實踐給我們很多啟示?！兑话銛祿Ｗo條例》（以下簡稱GDPR）第2條第2款d項將“有關主管部門為預防、調查、偵查、起訴刑事犯罪、執(zhí)行刑事處罰、防范及預防公共安全威脅而進行的個人數據處理”排除在適用范圍之外。歐洲議會和歐盟理事會在通過GDPR不久發(fā)布了《針對警察和刑事司法機關的數據保護指令》（以下簡稱（EU）2016/680），專門用以規(guī)范刑事司法領域的數據處理，其核心宗旨是：在預防、調查、偵查或起訴犯罪以及執(zhí)行刑事處罰時，仍應尊重并保障自然人的基本權利和自由。主要條款如第4條（數據處理的主要原則）、第6條（對數據主體進行分類）、第7條（區(qū)分基于事實的數據和基于評估的數據）、第10條（敏感個人數據的處理）、第25條（執(zhí)法機關記錄日志義務）以及第47條（監(jiān)管機構的權力）等都與GDPR有所不同。

我國刑事司法領域數據處理規(guī)則的模糊性使得網絡服務提供者經常陷入合規(guī)困境，如有學者指出面對協助執(zhí)法義務和用戶數據保護義務，“刑事合規(guī)面臨的現實且急迫的挑戰(zhàn)并不在于因違法違規(guī)行為觸發(fā)刑責的風險，而在于規(guī)則本身因缺位、錯位等使得企業(yè)面臨進退維谷的合規(guī)義務沖突?！薄?1〕裴煒：《刑事數字合規(guī)困境：類型化及成因探析》，載《東方法學》2022年第2期，第161頁?；ヂ摼W企業(yè)往往通過隱私政策在多種義務間作出安排，如《微信隱私保護指引》規(guī)定“履行法定義務或法定職責所必需”時，處理用戶個人信息無需事先征得信息主體的同意?！?2〕參見《微信隱私保護指引》，載微信官網，https://weixin.qq.com/cgi-bin/readtemplate?lang=zh_CN&t=weixin_agreement&s=privacy，2022年12月8日訪問。這種“同意的例外”表明了網絡服務提供者協助執(zhí)法義務的優(yōu)先性，公民的隱私及數據權利被平衡掉了。但問題在于，網絡服務提供者僅是用戶個人數據的持有者，而非基本權利擁有者。即使基于合法事由進行數據披露，也要考慮數據主體根據其與網絡服務提供者之間的關系而提出的“合理預期”，要充分考量個人數據的類型及對用戶的影響，“能否適用平衡條款在很大程度上取決于案件的具體情況。然而，隱私和數據保護的基本權利始終是平衡的一個因素，它們不可能被輕易地超越，而且應該占據較高的權重。”〔13〕［荷蘭］瑪農·奧斯特芬：《數據的邊界》，曹博譯，上海人民出版社2020年版，第150頁。面對刑事數據調取，網絡服務提供者應有更多的考量，扮演更重要的角色。

二、刑事數據調取中網絡服務提供者的角色定位及相關義務

作為刑事數據調取的“數據池”及數據保護義務的當然主體，網絡服務提供者理應成為刑事偵查的重要參與力量而非僅是配合者。而要實現此轉變，需探討網絡服務提供者在刑事偵查中所扮演的角色，并由此界定其義務。之所以遵循這個分析路徑，是因為不同的身份（或角色）跟特定的權利、義務、權力、責任相連，“身份體是人們賴以生存和發(fā)展的組織或群體……身份體作為利益配置單位，通過確定成員身份界定身份體內外關系，實現其內部身份關系的制度安排。”〔14〕馬俊駒、童列春：《身份制度的私法構造》，載《法學研究》2010年第2期，第59頁。在基本法律要素配置方面，依“身”定“份”是公平正義的體現，下將立足于“經營者”“公共服務提供者”和“網絡規(guī)則重要締造者”三重角色并展開其關聯義務之闡述。

（一）經營者——隱私及數據保護義務

網絡服務提供者的初始角色就是經營者，通過提供網絡服務以獲取利潤，即使是“免費”使用的App，經營者也能通過獲取用戶的海量個人信息并經“個性化推薦”賺取利潤。與“經營者”身份相對應，網絡服務提供者的主要義務是保障用戶的隱私及數據安全。具體而言，可以從以下三個方面予以分解：第一，法律條文中涉及網絡服務商“應當如何”“不得如何”的內容，都是“義務”。前者如《民法典》第1035條，規(guī)定了處理個人信息處理應當遵循的基本原則，就是典型的義務總綱；后者如《民法典》第1038條，規(guī)定了信息處理者不得泄露、篡改或向他人非法提供個人信息?！毒W絡安全法》《數據安全法》《個人信息保護法》等也都規(guī)定了網絡服務提供者的隱私及數據保護義務。這種義務，從個人信息處理的各個節(jié)點出發(fā)，大體上可以分為數據收集階段的義務（如充分告知并取得授權、必要性義務等）、數據存儲階段的義務（如安全保管、限期持有義務等）、數據處理階段的義務（如合目的性義務等）、數據轉移、披露或共享階段的義務（如限制共享、重新取得授權義務等）。此外，貫穿個人信息處理各階段的，還有數據安全義務、數據分級、分類保護義務、數據質量義務，以及尊重數據主體的各項數據權利等義務。第二，“從設計著手隱私”義務。今天的數字經濟已經告別了野蠻生長，開始強調秩序。今天的數字經濟已經從“追逐效率與利潤”轉向追求公平合理的制度設計。毫無疑問，消費者隱私及數據保護肯定是其中重要一環(huán)。歷史地看，隱私及數據保護正在經歷一個“先傷害、后彌補”的過程，未來的互聯網企業(yè)隱私及數據保護義務應從設計著手隱私，“把隱私主動地嵌入數據開發(fā)與挖掘技術、商業(yè)操作、網絡架構中，把隱私保護看作是數據資源利用的核心問題之一而不是依從性問題”?！?5〕李延舜：《大數據時代信息隱私的保護問題研究》，載《河南社會科學》2017年第4期，第69頁。第三，重要、敏感數據披露與共享時的“評估”及“告知”義務，這也是與協助執(zhí)法義務最為相關的一項?！秱€人信息保護法》第55條規(guī)定，個人信息處理者應當對“向其他個人信息處理者提供個人信息、公開個人信息”及“其他對個人權益有重大影響的個人信息處理活動”兩種情形事前進行風險評估。顯然，刑事偵查中的個人數據調取對當事人影響及風險不可謂不大，網絡服務提供者在協助執(zhí)法過程中應評估數據披露帶來的可能后果，并在重要或敏感數據披露后，在排除“保守國家秘密”“不利于后續(xù)偵查”等事由的前提下，向相關數據主體履行告知義務。

需要說明的是，上述三個層面的分解都是基于法律義務而非道德義務，即使是“從設計著手隱私”，也應放置在“數據合規(guī)”的背景下，將其定性為法律義務?！稊祿踩ā返?7條和第28條就鮮明地體現了這一點——數據處理前就應考慮隱私及數據權利問題。

（二）公共服務提供者——協助執(zhí)法義務

通過考察相關法律文本，我們發(fā)現網絡服務提供者背負的法律義務大致包括協助執(zhí)法、數據留存、保護用戶信息、管控違法信息和違法活動四類?！?6〕參見皮勇：《論網絡服務提供者的管理義務及刑事責任》，載《法商研究》2017年第5期，第14-25頁。這四類涵蓋了對“私”和對“公”兩方面，尤其是對“公”，從社會治理角度講，“企業(yè)某種程度上轉化為監(jiān)管者的延伸，集中表現為政府監(jiān)管職責的下移；其所承擔的信息收集、存儲、審查、監(jiān)控、披露、報告義務直接服務于執(zhí)法活動。”〔17〕裴煒：《針對用戶個人信息的網絡服務提供者協助執(zhí)法義務邊界》，載《網絡信息法學研究》2018年第1期，第33頁。張新寶教授也指出，“守門人”企業(yè)借助技術和管理優(yōu)勢在互聯網生態(tài)系統(tǒng)中具有強大控制力，在權力結構上具有“公”的屬性?！?8〕參見張新寶：《互聯網生態(tài)“守門人”個人信息保護特別義務設置研究》，載《比較法研究》2021年第3期，第17頁。此即網絡服務提供者基于另一種身份而背負的義務——公共服務提供者及其協助執(zhí)法義務。一方面，新公共行政理論改變了以往的“單一決策”而與其他行動者共同決策，從以“政府為中心”轉向“以公眾為中心”，〔19〕參見竺乾威：《理解公共行政的新維度：政府與社會的互動》，載《中國行政管理》2020年第3期，第47頁。其路徑正是通過合作、協商、伙伴關系，共同實現對公共事務的治理；另一方面，網絡服務商具有資本、技術、數據、平臺等方面的優(yōu)勢，由其協助執(zhí)法具有便宜性。

具體而言，該義務可分解為如下三種：第一，信息收集及存儲義務。依發(fā)現嫌疑的主體不同，分為輔助和主動的信息收集及保存義務。前者指執(zhí)法機關發(fā)現特定嫌疑后，網絡服務提供者的輔助執(zhí)法義務。如《網絡安全法》第50條規(guī)定網絡運營者在收到有關部門就違法信息停止傳輸的命令后，要保存相關記錄；后者指網絡服務商主動發(fā)現違法違規(guī)信息時，在向有關部門報告的同時，負有保存相關記錄的義務。如《互聯網群組信息服務管理規(guī)定》第11條規(guī)定，服務提供者除依法采取處置措施外，還要保存有關記錄，并向有關主管部門報告。此外，信息收集及存儲也有時限規(guī)定，如《互聯網直播服務管理規(guī)定》第16條、《互聯網群組信息服務管理規(guī)定》第13條也分別規(guī)定了六十日、不少于六個月的留存期限。第二，審查監(jiān)控義務。這可分為一般審查監(jiān)控義務和特殊審查監(jiān)控義務兩種，前者指網絡服務提供者在日常經營中承擔的信息審查監(jiān)控義務，如《網絡安全法》第47條，當出現監(jiān)控不力時，還可能引發(fā)《刑法》第286條的“拒不履行信息網絡安全管理義務罪”；后者是針對個案，對已形成嫌疑的特定主體進行的信息審查監(jiān)控。第三，信息披露與報告義務。此義務與前述兩種義務相連，同樣可分為“基于一般信息收集與審查監(jiān)控所產生的違法信息報告義務”和“個案執(zhí)法中的信息披露義務”。綜上，三種義務在“常態(tài)”與“特殊狀態(tài)”兩個語境下是一脈相承的，而特殊狀態(tài)時的數據收集、審查監(jiān)控及披露義務正是刑事數據調取中網絡服務提供者協助義務的典型樣態(tài)。

（三）網絡規(guī)則重要締造者——參與塑造自由與開放的數字生態(tài)義務

除經營者、公共服務提供者外，網絡服務提供者還有一層重要的身份，即網絡規(guī)則重要締造者。換言之，數字時代的網絡服務提供者不是在反映而是在塑造某種社會規(guī)范，〔20〕See Jeあrey Rosen, The Deciders: The Future of Privacy and Free Speech in the Age of Facebook and Google, 80 Fordham Law Review 1535 （2012）.其工具便是“代碼”。“代碼構筑了網絡空間，空間使個人和群體能或不能?！薄?1〕［美］勞倫斯·萊斯格：《代碼2.0：網絡空間中的法律》，李旭、沈偉偉譯，清華大學出版社2009年版，第98頁。那么，網絡服務提供者如何通過代碼規(guī)訓互聯網的呢？主要分兩步：第一步，通過“缺省性規(guī)則”事先設定網絡空間的權利義務分配。缺省性規(guī)則的意義在于，其對于權利義務的初始分配將自動生效?！叭笔⌒砸?guī)則的內容及其偏袒性問題是先契約的，即存在于當事人通過談判達成契約去做出修改之前。”〔22〕［美］弗蘭克·H.伊斯特布魯克等：《公司法的邏輯》，黃輝編譯，法律出版社2016年版，第147頁。在民眾進入網絡空間之前，初始權利義務的分配已經設定完成。第二步，通過協議?！皡f議造就了管理數字生活的法律制度……服務條款、保密條款、授權協議和其他法律文件都是數字生活中的指導性工具……同時也是新法律制度的起點?！薄?3〕［美］拉里·唐斯：《顛覆定律：指數級增長時代的新規(guī)則》，劉睿譯，浙江人民出版社2014年版，第18頁。各類協議事實上承擔了數字生活中“法律”的地位，民眾進入網絡空間之后，二次權利義務的分配以“協議”方式完成。就此而言，今天的互聯網和智能產品企業(yè)就像是一個世紀前的鐵路公司和電報電話公司，它們“創(chuàng)造和統(tǒng)治著我們的交流空間，并因此控制著我們的生活，這種控制程度遠遠超過其他任何私人群體?！薄?4〕鄭戈：《算法的法律與法律的算法》，載《中國法律評論》2018年第2期，第84頁。

如果現實世界的首要主體是自然人，那網絡空間的首要主體就是網絡服務提供者。網絡服務提供者在“提供新的服務方式的同時，也確立了該服務方式下基本的信息交換規(guī)范和網絡社區(qū)的基本倫理?！薄?5〕鄒曉玫：《網絡服務提供者之角色構造研究》，載《中南大學學報（社會科學版）》2017年第3期，第64頁。尤其是互聯網巨頭們傾力打造的數字平臺，更是匯集成一個個功能強大的生態(tài)系統(tǒng)。那么，迅速擴張的互聯網巨頭們，負有何等相應的義務呢？代碼既可以創(chuàng)造一個自由的世界，也可以創(chuàng)造一個沉重且充滿壓迫的世界。作為一種治理模式的代碼，它“不能簡化為法律，也不能簡化為市場……這種治理模式應該認可并允許以下情況：各種人造物品和架構以種種方式對用戶進行‘設定’，其中涉及的方式應該受到檢查”?！?6〕Julie E. Cohen, Configuring the Networked Self: Law, Code, and the Play of Everyday Life, New Haven, CT: Yale University Press, 2012, p. 185.不同的（網絡空間）版本支持不同的夢想，對網絡服務提供者來說，參與塑造自由、開放的數字生態(tài)環(huán)境是其應承擔的商業(yè)倫理和法律義務。

具體而言，提出兩個層面的要求：第一，遵循合法性，將現代法的價值當作網絡服務提供者們數據處理活動的最高準則?！稊祿踩ā返?條規(guī)定，數據處理應當遵守法律、法規(guī)，尊重社會公德和倫理，遵守商業(yè)道德和職業(yè)道德，承擔社會責任。事實上，該條對網絡服務提供者提出了超越法律義務范圍的要求，目前雖沒有明確的條款或文件指明這些倫理內涵有哪些，但不能否認，互聯網的本性就是自由和開放，網絡服務提供者有義務將其作為行動綱領，而不得肆意違反。第二，保障個體民主參與網絡治理和網絡生態(tài)建設的權利。網絡服務提供者往往通過算法進行社會治理，將個體視為算法治理的對象。英國有個發(fā)生于2013年的案例，41歲的殘疾人馬克·海明斯撥打了急救服務電話“999”，并立刻向接線員反映了他的病情。接線員先是問了一個問題：“還有其他癥狀嗎？”接下來詢問了更多問題：“你有腹瀉或嘔吐嗎？”“你的上腹部有沒有壓迫感或刺痛感？”“你先前有沒有診斷出其他病癥？”在病痛的煎熬中，海明斯無奈又痛苦地回答了所有問題，并第三次請求派救護車。通話結束前，接線員得出結論：“從你反饋的情況看，你不需要救護車?！眱商旌螅Ｃ魉贡话l(fā)現且不久就去世了，死因是膽結石阻礙胰管引發(fā)的心臟病。原本只需要一個常規(guī)手術就可救治的病，卻因救助中心的算法分診系統(tǒng)而喪命。海明斯的遭遇點明了一個殘酷的現實，就是在算法世界中，“事態(tài)的發(fā)展方向，已經為他設定好了。他不能拒絕與接線員交談，也不知道‘需要急救’和‘不需要急救’（這樣的算法分類）的存在。他只是在事先安排好的‘水體’中生活?！薄?7〕［美］約翰·切尼-利波爾德：《數據失控：算法時代的個體危機》，張昌宏譯，電子工業(yè)出版社2019年版，第222頁。這就是公民話語在數字生態(tài)建設過程中的參與缺失。

三、刑事數據調取中網絡服務提供者多重義務的對立性并存

網絡服務提供者“三位一體”的身份，決定了其在刑事偵查中必然產生各類義務的并存。歐洲刑警組織于2021年發(fā)布了SIRIUS項目第三次報告，報告指出，當前歐洲各國向企業(yè)調取數據時，企業(yè)延遲或拒絕配合的理由主要有九種，既有實質性原因如缺少法律依據或依據不準確、調取請求中相對人錯誤、沒有相關數據，也有程序性原因如申請不符合企業(yè)程序、申請內容過于寬泛、申請缺乏案件性質的必要信息、缺少有效的身份驗證等?！?8〕See SIRIUS EU Digital Evidence Situation Report（3id Annual Report） 2021, 轉引自裴煒：《刑事數字合規(guī)困境：類型化及成因探析》，載《東方法學》2022年第2期，第164-165頁。這些理由典型地反映出刑事數據調取中附著于網絡服務提供者身上的多重義務以及在多重義務間的權衡。而之所以在網絡服務提供者身上聚集多重義務，根本原因在于個人信息承載了多種價值和追求。需要保障的權益類型如此多，需要履行的義務種類也隨之產生，并以一種對立性并存的方式體現出來。

（一）數據披露與數據保護

刑事數據調取中網絡服務提供者背負的典型對立性義務就是數據披露和數據保護，前者指向“公”，后者指向“私”，前者的典型行為是“向偵查機關披露個人信息”，后者的典型行為是“限制共享、保護隱私”。兩類義務的沖突性對立既有觀念層面的，又有具體義務履行層面的。

觀念層面上，數據披露與數據保護背后的考量是安全與隱私的對立。人們往往將隱私與安全置于天平的兩端，并認為在打擊犯罪面前無隱私。確實，恐怖襲擊、綁架、兒童買賣與兒童色情犯罪、毒品交易等嚴重犯罪無時無刻不在觸動人們的神經，立法者深知：“選民們對刑法理論知之甚少，但大致能夠明白自己樂意看到何種結果：即犯下選民們所畏懼之罪行的人，他們應受到定罪和懲罰。因而人們可以合理地假設，立法者樂于制造這些結果，從而繼續(xù)獲得選民的推舉。”〔29〕William J. Stuntz, The Pathological Politics of Criminal Law, 100 Michigan Law Review 505, 529 （2001）.換言之，在刑事訴訟領域，立法者“并不在乎被追訴人的權利”，立法機關無法創(chuàng)造出能夠保護他人隱私的刑事訴訟規(guī)則，因為大多數選民是將自己視為潛在的犯罪受害者，而不是犯罪者。“許多人愿意接受在政府面前隱私越來越少的事實，因為對那些害怕的人而言，隱私是可有可無的奢侈品”?！?0〕李延舜：《公共視頻監(jiān)控中的公民隱私權保護研究》，載《法律科學》2019年第3期，第57頁。但我們也該清醒地認識到，在案件偵破與隱私的利益衡量中，前者并不是壓倒性考量因素。2013年斯諾登事件后，《華政頓郵報》聯合美國皮尤研究中心進行了一份調查，其中56%的調查者認為為了應對恐怖主義允許國家安全局追蹤美國人的通話記錄；〔31〕See Washington Post＆Pew Research, Majority Views NSA Phone Tracking as Acceptable Anti-terror Tactic, Washington Post,June 10, 2013.波士頓馬拉松爆炸案后，《時代周刊》聯合美國有線電視新聞網又發(fā)起一次民意調查，61%的美國人表示，與反恐相比，他們更擔憂政府借用反恐名義制定新的安全政策，49%的受訪者表示不愿意為了反恐而犧牲自由和隱私?！?2〕參見［美］ 特蕾莎·M·佩頓、西奧多·克萊普爾：《大數據時代的隱私》，鄭淑紅譯，上海科學技術出版社2017年版，第125頁。更值得重視的是，隱私是一種基礎性價值，隱私本身意味著一種安全。試想打著“公共安全”的名義犧牲不特定多數人的隱私，這是不是用“安全”換取“安全”？現代社會是風險社會，“不確定性的喪失給人們帶來漂浮感和焦慮感，使得人們越來越期待未來的風險能在當下獲得解決……隨著人類掌握信息能力的提升，往往導致人們越來越傾向于將風險當作危險來加以處理……這導致了一種極為強烈的對未來進行全面控制的妄念。”〔33〕魯楠：《科技革命與法律演化的兩個面相》，載《當代美國評論》2019年第1期，第75-76頁。

具體義務履行層面的對立性并存表現更多，這里以“加密”為例。加密是保障在線隱私及安全的重要因素，也是網絡服務提供者履行“設計和默認的數據保護”義務的體現，該義務不僅體現于一般性的數據保護法，也適用于專門性的刑事司法，（EU） 2016/680第20條即規(guī)定了該義務。但在是否為國家安全機關開放應用程序權限或給加密系統(tǒng)開后門的激烈爭議中，網絡服務提供者往往陷入選擇的兩難。2022年9月16日，聯合國發(fā)布了名為《數字時代的隱私權》的報告，報告中指出：“聯合國大會和人權理事會在一些決議中強調了加密技術在保障人權方面的重要性，呼吁各國不要干涉加密技術……但各國政府時常會限制加密的使用”?！?4〕唐雨晰：《聯合國〈數字時代的隱私權〉》，載微信公眾號“網絡法理論與實務前沿”，2022年11月1日。通常情況下，網絡服務提供者既可以采用托管加密，也可采用端對端加密，兩者的區(qū)別在于是否存在通信雙方以外的包括服務提供者在內的第三方擁有通信密鑰。一般來說，托管加密因擁有更多的知情方，其加密系統(tǒng)被入侵的風險更高。但若服務商統(tǒng)一采用端對端加密，那不可避免會阻礙刑事數據的調取及案件的偵破。除加密技術外，網絡服務提供者還常通過限制用戶數據留存期限來提升用戶的隱私和數據水平，如釘釘“密聊”、支付寶“悄悄話”等采用“閱后即焚”模式，這也給刑事數據調取帶來“提供不能”的可能。

（二）輔助監(jiān)控與信任維持

協助執(zhí)法義務是一項框架性義務，既指向個案偵破中的數據披露，也指向常態(tài)下與預測警務相關聯的輔助監(jiān)控。網絡服務提供者輔助監(jiān)控義務凸顯了當前國家在數字治理中的兩個傾向：一是“儲存一切”而非“有需要時再去獲取”，二是政府與互聯網企業(yè)的協作共治。在“國家管平臺，平臺管用戶”的數據治理模式下，〔35〕參見單勇：《數字看門人與超大平臺的犯罪治理》，載《法律科學》2022年第2期，第88頁。公權力機關對特定主體的監(jiān)控，離不開網絡服務提供者的協助。尤其是預測警務的出現，這一新型數據治理方式因缺乏必要的法律規(guī)制，使得以下觀察至為重要：“公共和私人數據正在走向混合……數據的豐富也使得個人和非個人數據之間的區(qū)別變得毫無意義……更重要的是，不同類型（個人）數據與授予它們的保護水平之間的法律差異正在被掏空”?！?6〕Broeders, et al., Big Data and Security Policies: Towards a Framework for Regulating the Phases of Analytics and Use of Big Data, 33 Computer Law & Security Review 309, 321（2017）.Douglas法官嚴肅地向社會發(fā)出警告：“社會越來越容忍政府利用公民的體己獲得公民的私人信息：我們生活在一個危險的社會中，政府隨時可能侵入公民秘密的私生活領域?！薄?7〕Soborn v. United States, 385 U. S. at 343 （Douglas, J., Dissenting）.

而一旦企業(yè)數據庫向政府開放，民眾可能對兩者都失去信任。信任在數字治理和數字經濟中占據重要地位。就前者而言，如德國1983年進行的人口普查，公眾的抗拒心是如此之強，以至于這項普查四年之后才真正展開。接下來的一次人口普查則生生推遲到了2011年，還充滿了虛假的注冊信息?！?8〕參見［德］阿希姆·瓦姆巴赫、漢斯·克里斯蒂安·穆勒：《不安的變革：數字時代的市場競爭與大眾福利》，鐘佳睿等譯，社會科學文獻出版社2020年版，第91頁。就后者而言，信任缺失對數字經濟帶來致命打擊。原本，用戶基于“相信企業(yè)會保護且不會濫用”才將個人信息提供給網絡服務提供者，這種“數字信任”蘊含著用戶對數字產品與網絡服務提供者利用個人數據是使其受益而非致損的基本信念?！?9〕See Dennis D. Hirsch, Privacy, Public Goods, and the Tragedy of the Trust Commons: A Response to Professors Fairfield and Engel, 65 Duke Law Online 83 （2016）.這種信任也是部分學者在數據隱私保護領域引入“信義義務”的根基之一?！?0〕參見吳偉光：《平臺組織內網絡企業(yè)對個人信息保護的信義義務》，載《中國法學》2021年第6期，第45-60頁；解正山：《數據驅動時代的數據隱私保護——從個人控制到數據控制者信義義務》，載《法商研究》2020年第2期，第71-84頁。信義義務是作為強勢一方的網絡服務提供者對那些因為接受信任邀請而處于不利地位的用戶產生的關照、保密和忠誠義務，越是平臺型網絡服務提供者，對用戶的控制度越高，對信義義務的要求度越高。〔41〕See Jack M. Balkin, The Fiduciary Model of Privacy, 134 Harvard Law Review Forum 11, 33 （2020）.而信任維持義務之證成除“信義義務”理據外，還可從《個人信息保護法》中的“誠信原則”及數據治理的“法律與倫理”并舉（如《數據安全法》第8條）推出。就此而言，信任維持義務的具體指向是在“法律”和“協議”的范圍內收集、使用用戶數據，不能超出用戶提供個人數據時的合理預期。商業(yè)實踐中，保護消費者隱私、贏得客戶信任成為眾多互聯網企業(yè)塑造品牌形象的良機。2006年，美國司法部以傳票形式要求谷歌披露用戶近兩個月的搜索記錄，遭到谷歌拒絕。谷歌富有創(chuàng)造力地提出，“失去用戶信息的潛在風險”對谷歌而言是一種“負擔”?！?2〕See Gonzales v. Google, Inc. 234 F. R. D. 674, 683 （N. D. Cal. 2006）.蘋果公司也曾因拒絕政府請求披露用戶信息而廣受贊譽。2015年12月，美國加州圣貝納迪諾發(fā)生嚴重恐怖襲擊，FBI查獲了犯罪嫌疑人賽義德·法魯克的蘋果手機，蘋果總裁蒂姆·庫克不僅拒絕給手機解鎖，還發(fā)布公開信稱FBI的要求“破壞了我們的政府旨在保護的那種權利和自由”?！?3〕Tim Cook, A Message to Our Customers, APPLE （Feb. 16, 2016）, 轉引自鄭戈：《算法的法律與法律的算法》，載《中國法律評論》2018年第2期，第84頁。

（三）權力遵從與權利制衡

現實生活中，鮮有網絡服務提供者能抗拒基于刑事偵查需求而進行的協助執(zhí)法義務，直觀原因就在于刑事偵查行為的“權力屬性”。2013年，雅虎首席執(zhí)行官瑪麗莎·梅耶爾在解釋為什么雅虎沒有保護其用戶隱私時稱，“如果你不遵守，這是叛國罪。”〔44〕Alex Dickinson, Yahoo CEO Feared Jail Over NSA Scandal, New York Post, September 12, 2013.可見，“權力屬性”比“義務設定”更容易讓網絡服務提供者配合，“權力”因素也比“權利”事宜更受到網絡服務提供者的重視，因為違抗權力的后果是顯而易見的。但必須指出，這種基于“利害得失”的行為傾向雖合乎“常情”卻不符合“法理”。面對刑事數據調取行為的擴張趨勢，網絡服務提供者是不加考慮地配合，還是審慎地決定每一次披露，這個選擇不僅關系到刑事司法中的隱私及數據保護，也關系著如何“將權力關進制度的籠子里”。換言之，網絡服務提供者在刑事數據調取中既應遵從權力，又應保障權利，并力圖用權利制衡權力。

這里的權利既包括網絡服務提供者自身的經營權利，也包括刑事偵查中的公民實體性權利（以隱私權和數據權利為典型）和程序性權利（以知情權為典型）。在數據法領域，相關法律規(guī)定了數據主體的各項權利，但“權利訴求的擴張并未同步強化權利主體實現該訴求的能力，相反，信息革命使得這種能力無論在識別侵害風險方面，還是在有效救濟方面，均不斷弱化。”〔45〕裴煒：《個人信息大數據與刑事正當程序的沖突及其調和》，載《法學研究》2018年第2期，第47頁。當然，這是世界范圍內個人信息保護的難題，著名學者施瓦茨早有清醒認識：“數據挖掘與數據比對等大數據技術是對已經留存于社會各領域的海量數據進行后續(xù)深度應用的過程，只規(guī)范收集不規(guī)范使用的第四修正案及搜查法規(guī)范，導致在美國數據挖掘式的偵查行為基本上不受規(guī)范?！薄?6〕Paul M. Schwartz, Regulating Governmental Data Mining in the United States and Germany: Constitutional Courts, the State,and New Technology, 53 William and Mary Law Review 354 （2011）.相比個人，網絡服務提供者的技術優(yōu)勢和社會資源更強，更容易在數據偵查中保障權利和制衡權力，比如它們可以通過技術設計、完善協助執(zhí)法機制、程序性義務履行或輿論政策等來實現這一目標。

除對網絡服務提供者抱有期待之外，也應正視網絡服務提供者自身的權力及義務之違犯。平臺型的企業(yè)權力在當代社會中有新的形式和特點，“它們不靠權利，而靠技術；不靠法律，而靠正?；?；不靠懲罰，而靠控制?！薄?7〕［法］米歇爾·褔柯：《褔柯集》，杜小真選編，上海遠東出版社2004年版，第343頁。再者，掌控信息者擁有權力，因為信息是個人認知、判斷和行為的前提，一方主體可以通過占有信息并控制另一方主體獲取信息的渠道和程度，構成信息性權力的來源?！?8〕See B. H. Raven, Power and Social Influence, in Ivan Dale Steiner＆Martin Fishbein （eds.）, Current Studies in Social Psychology, NY: Holt, Rinehart and Winston, 1965, p.127-145.因此，在刑事數據調取中，網絡服務提供者既不應盲目披露，又不應強強聯合，而應清醒認知自己的多重義務，并在個案中審慎地作出決定。總之，在權力與權利的碰撞中，突出的一個表現就是“不平等”，這正是導致網絡服務提供者三種義務中，協助執(zhí)法義務是最容易被接受和執(zhí)行，而一旦出現網絡服務提供者拒絕向偵查機關披露用戶數據事件都會引起廣泛關注的原因。

四、網絡服務提供者多重義務間的優(yōu)先性及有限性

我國當前立法并未關注網絡服務提供者在協助執(zhí)法事宜中的義務協調問題，原因在于我國“一體調整”的立法模式，“立法者注意到了對國家機關處理個人信息的活動進行法律控制的必要性，但對國家機關處理個人信息的行為如何進行法律控制，仍是一個未完成的命題。”〔49〕王錫鋅：《行政機關處理個人信息活動的合法性分析框架》，載《比較法研究》2022年第3期，第94頁。個人信息的行政處理如此，個人信息的司法處理同樣如此，這也是歐盟在制定GDPR不久隨即出臺（EU）2016/680指令的原因。相關規(guī)則的缺位必然使得網絡服務提供者面臨多重義務沖突，繼而需要考慮多重義務間的優(yōu)先性和有限性問題。

（一）多重義務履行的優(yōu)先性探討

對這個問題的探討從2008年歐洲人權法院審理的K. U. v. Finland案〔50〕See K. U. v. Finland, no. 2872/02, ECHR 2 December 2008.說起。該案中，嫌疑人在網站上虛構了一名未成年女孩（年僅12歲）的性交易廣告。偵查人員要求服務商提供嫌疑人的注冊信息，服務商以芬蘭相關立法中存在“保密條款”為由拒絕提供。受害人在窮盡本國救濟無果后，訴至歐洲人權法院。法院認為，本案中服務商基于隱私權保護所產生的保密義務不足以阻卻偵查機關獲取相關信息的訴求。顯然，本案中隱私保護義務與協助執(zhí)法義務之間，后者勝出。該案件的最終處理結果是芬蘭修改了相關法律，2021年歐盟制定條例授權特定網絡信息業(yè)者為打擊網絡兒童色情之目的，主動監(jiān)測、評估和報告可疑信息或行為，同時規(guī)定企業(yè)關于此類用戶個人信息處理的活動不適用GDPR相關規(guī)定?！?1〕See Regulation（EU） 2021/1232 of the European Parliament and of Tthe Council, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021R1232, last visited on October 15, 2022.

在我國，《民法典》和相關數據保護類法律都有“基于國家安全、重大社會公共利益等”個人信息保護義務的例外條款，這些例外條款所要保護的價值構成了信息保護義務的限制因素。換句話說，“例外”成為義務沖突時的首要選擇——網絡服務提供者的協助執(zhí)法義務與數據保護義務并非平行關系，而是存在優(yōu)先性。這很容易理解，GDPR第6條規(guī)定了六種合法性基礎，GDPR第9條第1款規(guī)定了禁止處理特殊類型個人數據，第2款就規(guī)定了例外情形。形式上看例舉了數據處理的正當理由，實質上卻是法律要保護的多種法益以及優(yōu)先順序——所要保護的法益越重要，該行為背后的義務越是具有優(yōu)先性。由此，義務履行之優(yōu)先順序轉換成了利益衡量問題。

法律規(guī)定的“例外條款”之本質就是為了保護國家利益或社會公共利益而暫時對企業(yè)或個人利益進行限制，也因此，對網絡服務提供者而言，如果協助執(zhí)法義務有助于實現國家安全或社會安全，那該義務自然優(yōu)先于隱私及數據保護義務。這也符合大多數人的日常判斷——安全勝于隱私，因為只要觸及刑事犯罪，就與“安全”脫不開干系。事實上，人們很少將“安全”與“隱私”放在同一個天平的兩端，總是下意識地“用隱私換取安全”。但是，這是一種“一刀切”式的權衡。一方面，“不安全的代價是真實且觸目驚心的，失去隱私的代價則是抽象而模糊的。并且只有在某人面對泄密后果時，這個代價才會變得具體明確。這就是為什么當我們擁有隱私的時候，會低估它的價值，而當我們失去時，才認識到它的真正價值?！薄?2〕［美］布魯斯·施奈爾：《數據與監(jiān)控——信息安全的隱形之戰(zhàn)》，李先奇、黎秋玲譯，金城出版社2018年版，第235頁。另一方面，在刑事偵查中探討公共利益，不能僅指向案件受害者利益，也不單指向案件的順利偵破和打擊犯罪，更非迅速抓到壞人后、消除恐懼的公眾安全感，而是要糅合各種利益于一身，并在此過程中提煉公共利益。從這方面講，公共利益的認定需要“可能被犧牲或限制的一方利益主體”的積極參與和對話，否則，其“公共性”會受到質疑。

所以，一切并非想象的那么簡單。首先，國家利益、公共利益和個人利益都是“不確定性概念”，存在大量的模糊地帶，需要在個案中發(fā)現、論證和闡釋。再加上時機處于刑事偵查階段，任何一種義務的履行對國家、社會、經營者或個人都可能產生重大影響。第29條工作組（歐洲數據保護委員會前身）曾出具一份“為預防、調查、偵查或起訴刑事犯罪或執(zhí)行刑事處罰目的”而進行數據處理的意見，認為“對本憲章承認的權利和自由的任何限制都必須由法律明文規(guī)定，并尊重其本質。在遵守相稱性原則的前提下，可以并僅在必要且真正符合普遍利益的目標時進行限制……對私人生活的干擾、對個人數據的干預應僅限于必要且與可預見的普遍利益目標相稱，即預防、調查、偵查或起訴刑事犯罪或執(zhí)行犯罪處罰……這些例外或限制條款應作狹義解釋，尤其是事關公民的基本權利。處理個人數據應有充分的保障，并保證完全的問責制和透明。”〔53〕第29條工作組：《關于主管當局為預防、調查、偵查或起訴刑事犯罪或執(zhí)行刑事處罰以及以自由流動的目的處理個人數據的第03/2015意見》，載歐盟委員會官網，https://ec.europa.eu/newsroom/article29/items/itemType/1308，2022年12月8日訪問。可見，盡管歐盟也認可數據控制者或處理者有協助執(zhí)法的義務，但該義務之履行并非沒有條件，當該義務之履行不符合“相稱性”、對“公共利益”做任意擴大性解釋或者“問責制缺失”時，數據控制者有正當理由拒絕履行義務。（EU）2016/680指令更是在29條工作組意見的基礎上，將刑事司法領域的個人信息處理規(guī)則進行了細化，尤其是第三章“數據主體權利”、第四章“控制者和處理者義務”和第六章“獨立監(jiān)管機構”，權力與權利明確，義務與責任清晰，當執(zhí)法機關做出違背該指令的數據處理行為時，網絡服務提供者有充足的理由拒絕披露，或者轉向獨立的監(jiān)管機構尋求有效救濟。其次，從行動來看，網絡服務提供者多種義務間的優(yōu)先性考量應納入“數據保護影響評估”中來，并在評估中作出判斷。無論GDPR（第35條）還是我國《個人信息保護法》（第55條）都規(guī)定了數據處理者該義務，（EU）2016/680指令第27條亦規(guī)定了該義務——如果某種類型的處理，特別是使用新技術，并考慮到處理的性質、范圍、背景和目的，可能會對自然人的權利和自由造成高風險，數據控制者和處理者應進行數據保護影響評估，同時應考慮為應對這些風險而設想的保障措施、安全措施以及其他確保保護個人數據和證明遵守本指令的機制?；跈嗔U張的天性，寄希望于偵查機關自縛手腳、保守謙抑是不可能的，唯有網絡服務提供者（尤其是守門人企業(yè)）積極參與到刑事數據調取中來，設置協助機制的審查門檻，對數據調取的法律依據、案件性質、當事人適格、法律程序、數據類型、數據影響、權利告知等作出判斷，更好地履行其法律義務。

（二）多重義務履行的有限性界定

對網絡服務提供者而言，義務的履行有先后，義務的履行也有限度。以加密為例，2020年初，蘋果公司第三次拒絕在其加密服務中為刑事執(zhí)法機關開設后門，一方面是這種后門設置需要調整iOS系統(tǒng)進而影響所有用戶，另一方面是后門一旦存在，將不可避免地為犯罪分子所利用?！?4〕See Daniel Howley, Apple’s Tim Cook Defends Decision to Fight DOJ on iPhone “Backdoor”, Yahoo Finance, February 27,2020.聯合國《數字時代的隱私權》報告也就此發(fā)表意見：第一，對加密的管制有可能損害人權，試圖限制加密的政府通常無法證明它們所施加的限制對于滿足特定的合法利益是必要的，因為有各種其他手段和方法為執(zhí)法或其他合法目的提供所需信息；第二，大多數加密限制對隱私權和相關權利的影響不符合比例原則，因為此舉不僅影響目標個人，還會影響到廣大民眾；第三，加密工具中的強制“后門”所產生的責任遠遠大于其被認定為犯罪嫌疑人或安全威脅的特定用戶的用處?！?5〕參見唐雨晰：《聯合國〈數字時代的隱私權〉》，載微信公眾號“網絡法理論與實務前沿”，2022年11月1日。可見，盡管各方對加密及管制的立場和看法有所不同，但有一點是確定的，即網絡服務提供者應在多重義務間進行平衡，義務的履行要適度，不可輕易犧牲任何一方正當權益。

第一，刑事司法中的數據保護義務有限。盡管一再強調刑事數據調取中的數據主體權利，但不容置疑的是，這種強調更多的是一種防御性權利，體現在偵查機關和網絡服務提供者身上就是一種消極保護義務。亦即，刑事偵查領域中的數據主體權利克減是案件偵破、打擊犯罪的必然現象，“保護受刑事調查或參與刑事調查的人的基本權利并沒有錯，但暗示（通過引入數據主體權利）他們可以控制并同意或反對處理其數據的建議是不合適的”?！?6〕Mark Leiser＆Bart Custers, The Law Enforcement Directive: Conceptual Challenges of EU Directive 2016/680, 5 European Data Protection Law Review 367,378 （2019）.此外，在“隱私與安全”的背景下討論刑事數據調取，采用更嚴格的規(guī)則和更有效的方式處理用于執(zhí)法目的的個人數據，才有可能實現更高的隱私和數據保護標準?！?7〕See Sajfert Juraj＆Quintel Teresa, Data Protection Directive （EU） 2016/680 for Police and Criminal Justice Authorities（December 1, 2017）, Available at SSRN, https://ssrn.com/abstract=3285873, last visited on October 10, 2022.

第二，網絡服務提供者的協助執(zhí)法和數據披露義務也有邊界。Holmes談到，刑事司法義務并非毫無邊界，也并非以泛化的“打擊犯罪”目的即可取得合法性，而是需要針對具體的刑事司法舉措進行合比例的規(guī)制，并體現為刑訴法的明確規(guī)定?！?8〕See Allison M. Holmes, Citizen Led Policing in the Digital Realm: Paedophile Hunters and Article 8 in the Case of Sutherland v Her Majesty’s Advocate, 85 The Modern Law Review 219, 231 （2022）.這種限度可以從以下幾個方面展開：首先，目的限制和法律依據方面，偵查機關在調取數據時，必須在《調取證據通知書》上載明案件大致情形、所調取數據與案件偵破之間的關系以及數據調取行為的法律依據，而網絡服務提供者需對上述要素進行形式上的審查，網絡服務提供者不能接受模糊的表述，如“打擊犯罪”“保護公共利益”“打擊恐怖主義”等，要有明確的指向。其次，所調取數據的類型、主體、事項需在《調取證據通知書》上闡明，這既是刑事數據調取合比例原則的要求，也是網絡服務提供者履行協助執(zhí)法義務的適當標準。數據類型方面，《數據安全法》第21條規(guī)定的數據分級、分類保護應有所體現；調取數據主體方面，嫌疑人、罪犯、被害人、證人等應有不同程度的數據披露范圍；調取數據反映的事項方面，應與案件事實有高度關聯性。最后，勇于拒絕偵查機關不合乎程序規(guī)范的數據調取請求。《數據安全法》第35條規(guī)定公安機關、國家安全機關調取數據需經“嚴格的批準手續(xù)”。2022年8月30日，最高法、最高檢、公安部聯合發(fā)布《關于辦理信息網絡犯罪案件適用刑事訴訟程序若干問題的意見》，第14條也規(guī)定了個人信息刑事調取行為的程序性規(guī)范，偵查機關應依規(guī)范而行。

第三，參與塑造網絡空間數字生態(tài)義務應有底線與堅守。還是以韓國“N號房”事件為例，英國前首相特蕾莎·梅曾公開批評Telegram等小型平臺可能會迅速被罪犯和恐怖分子占據。面對質疑，Telegram團隊稱：“近年來，像Facebook和谷歌這樣的大型互聯網公司已經成功劫持了隱私的話語權。他們的營銷人員讓公眾相信，保護隱私最重要的是讓帖子對特定對象不可見這類表面工具，從而讓公眾不去深究私人數據被交給營銷人員和其他第三方的潛在問題。” Telegram強調，它的隱私理念中最重要的兩點分別是保護私人談話不被第三方（政府、雇主）窺探，以及保護個人數據不受第三方（如營銷人員、廣告商等）侵害?！?9〕參見蔣琳：《風暴眼中的Telegram：社交軟件該為打擊犯罪犧牲隱私嗎？》，載微信公眾號“隱私護衛(wèi)隊”，2020年4月11日。Telegram團隊對隱私的重視、對隱私規(guī)則的理解非常深刻，但也要認識到，隱私權從來就不是一項絕對性權利。刑事司法中，網絡服務提供者片面地強調一種義務而完全忽視另一種義務都不可取。《數據安全法》第28條規(guī)定，開展數據處理活動以及研究開發(fā)數據新技術，應當有利于促進經濟社會發(fā)展，增進人民福祉，符合社會公德和倫理。該條既是網絡服務提供者數據保護義務的體現，也是其參與塑造網絡空間數字生態(tài)的底線。這些數字生態(tài)主要涉及數據生命周期設計、加密系統(tǒng)是否應當為公權力機關開后門、數據控制主體對數據主體個人數據處理的限度、公私合作與公私獨立的尺度、定期發(fā)布透明度報告等問題。

綜上，網絡服務提供者多重義務履行的優(yōu)先性和有限性探討都旨在規(guī)范刑事數據調取行為，核心目標是保障用戶的正當權益及規(guī)制大數據偵查權，若“政府對于來自第三方的私人信息的處置被劃到保護范圍之外，其結果是，當政府搜查或起獲由第三方持有的私人信息時，政府的行為既不需要具備合理性，也不需要任何司法授權?！薄?0〕Fred H. Cate, Government Data Mining: The Need For a Legal Framework, 43 Harvard Civil Rights-Civil Liberties Law Review 485（2008）.刑事數據調取中，網絡服務提供者僅是個人信息的控制主體，不能替代用戶（權利主體）決定是否放棄個人信息上所承載的基本權利。相關法律和實踐將調取數據視為一種任意性偵查措施，無疑會對數據主體的隱私及數據權利等帶來巨大危害。對網絡服務提供者而言，協助執(zhí)法僅是其履行法律義務的一個方面，作為網絡空間規(guī)則的重要結構者和海量個人信息的持有者，不能對與其身份相關聯的其他義務視而不見。