吴俊杰｜合规流通视阈下的刑事电子数据取证——尊重第三方企业权益的协作

时间：2023-04-27

　　吴俊杰

　　华东政法大学刑事法学院硕士研究生

　　要目

　　一、第三方协助电子取证的方式转变

　　二、刑事电子取证中的数据合规：隐私保护与合规流通

　　三、尊重第三方权益电子取证的原因分析

　　四、第三方协作下的电子取证规则

　　结语

　　企业作为第三方在刑事电子取证中承担着协助义务，其来源应是基于企业数据合规目的下的权利。数据合规具有隐私保护和流通的双重含义，数据只有在流通的过程中才能实现价值。电子取证中的数据流通是公安司法部门与企业的协作，需尊重第三方企业的数据权益。为打击数据爬取，企业作为数据控制者需要享有数据权益；为实现数据安全法的衔接，企业数据权益的来源应当是数据主体的个人信息和隐私权以及企业作为数据控制者的权益；企业在民法上也具有财产权等权利诉求。应进行数据分类分级以确立比例原则；明确公安司法部门数据处理者的义务或创新数据信托取证方式来构建正当程序；确立第三方企业在刑事诉讼中的地位进行协助费用补偿。

　　随着网络化、数字化、智能化的飞速融合发展，人类逐渐步入信息社会时代和数字时代，司法工作也面临着数字化的变革。传统犯罪以网络为依托形成了新的犯罪模式，新兴的数据犯罪也不断涌现，导致电子数据一跃成为侦查过程中主要获取的证据材料。公安司法部门可以通过这些数据了解到身份信息和交互信息，从而给犯罪嫌疑人进行画像，以帮助案件进行侦破。但是这些数据并不是任人随意获取的无主物。信息社会时代，人们可以通过微信进行交流，通过支付宝进行交易，企业成为这些数据的实际控制者，大数据侦查的取证目标也自然转向了这些中立的第三方，企业也加入到了刑事侦查的过程中。

　　然而，数据犯罪的出现也证明数据成为信息社会时代的重要资源，是企业开拓市场以创造财富的重要工具，具有一定的商业价值，必须在法律的框架下进行流通。数据立法的“三驾马车”——网络安全法、数据安全法和个人信息保护法的出台以及企业合规的趋势，促使大量企业开展了数据合规。在数据合规的背景下，作为中立第三方的企业如何协助刑事侦查便是值得探究的问题。企业是否可以将自己掌控的数据交由公安司法部门用作侦查的工具？电子取证的过程中会不会对企业的数据权益带来影响？笔者认为，应当在明确数据合规内涵的基础上，赋予电子取证过程中第三方协助义务新的含义。

　　一、第三方协助电子取证的方式转变

　　义务协助模式下的电子取证

　　依靠群众是我国刑事诉讼法的基本原则，因此，当公安司法部门所需要的数据处在企业的控制之下，企业作为群众的一部分，其在电子取证的过程中理所应当提供帮助。在涉外案件中，各国之间多采用司法协助的方式进行刑事诉讼，跨境电子数据的获取也是以协助的方式呈现。

　　1.国内电子取证

　　由于实务中对电子数据“易失真、易修改”的认识，真实性成为公安司法部门所关注的重点。对于电子数据真实性的判断，实务中通常以获取的电子数据是否保持完整作为判断依据，因而电子取证的过程中更加重视电子数据的完整性，而没有考虑潜在的问题，这种方式被学者称为“一并提取”。在2019年《公安机关办理刑事案件电子数据取证规则》（以下简称《电子数据规定》）第41条中，电子数据持有者和网络服务提供者应当配合办案部门提供电子数据，并附上完整性的说明，对拒绝者办案部门予以注明。这种一并提取方式是一种手段大于目的的行为,很可能侵犯持有人、提供人及其他相关人的财产、隐私，甚至是相关主体的个体信息权、商业秘密以及正常经营权等权益。虽然《电子数据规定》第4条规定了对商业秘密和个人隐私的保护以及退还或销毁无关材料，但这些规定过于原则性，缺乏进一步的措施。此外，第33条中规定在在线提取和远程勘验中，应当使用电子数据持有人、网络服务提供者提供的用户名、密码进行远程访问，直接明确了数据控制者的数据提供义务，没有选择的空间。从中可以看出，为了防止电子数据在庭上成为瑕疵证据或非法证据，第三方企业在公安司法部门主导的电子取证过程中处于义务进行协助的从属地位，这种义务性质的协助在数据安全法第三十五条中被进一步认为是一种对公安司法部门的配合。一方面强调数据安全，一方面又在刑事侦查中缺少对数据权益保护的做法，电子取证过程中的第三方协助需要一个义务来源。

　　2.跨境电子取证

　　跨境取证的法律渊源虽然来自各国之间的条约，是基于国家之间的合作，但是跨境取证的主要目的则是惩罚犯罪，是为了解决跨境犯罪的问题。在这一共同目的的指导下，即使是合作性质的协助也具有了一定的强制性。跨境电子取证作为传统跨境取证模式下的衍生产物，忽视了公私合作的新型取证方式，并未考虑到跨境电子取证不再只限制在“国家—国家”两造之间，而需要考虑到个人、企业等主体的利益。同时，数据主权原则的确立也为电子取证带来了巨大的挑战，面对犯罪嫌疑人设置在境外的服务器，电子取证主体在获取这些存储在境外的数据时应尽谨慎义务，不仅要遵守国内法律，还要遵守数据所在地国的法律，尊重其数据主权。我国在网络安全法、数据安全法和《数据出境安全评估办法》中均有关键信息基础设施的运营者要将获取的个人信息和重要数据存储在国内的规定，正在逐步构建数据主权。企业作为第三方，面对他国的司法协助要求，是否可以以数据主权为由进行拒绝？如果继续坚持义务性的强制协助，势必会让企业陷入两难的境地，从而影响企业自身的权益。

　　数据合规目的下的电子取证

　　正是看到了义务协助模式下的电子取证与第三方企业的数据权益保护存在冲突，许多学者从个人信息和隐私权保护的角度出发，将权利保护作为协助义务的来源，尝试以数据合规作为目的来规制电子取证。在信息社会时代，数据主体与数据处理者分离，其个人信息并不由自己所控制。为保护个人信息，数据主体被赋予知情权，其有权了解收集其数据的个人或单位是如何使用自己的数据的，防止数据被滥用。根据个人信息保护法，合规包括数据收集、存储、使用、加工、传输、提供、公开和删除等数据处理的全链条、全过程的合规。企业不仅应当建立“告知-同意”的知情权保护方式，落实告知原则，还需要防止个人信息的泄露，一旦数据被爬取，企业应当采取必要的措施进行弥补。这些义务使企业在面对公安司法部门电子取证的协助要求时必然产生了犹豫。为解决这一合规困境，有些企业在告知中明确说明，当出现与刑事犯罪有关的情形时，用户应同意企业按照国家的法律法规规定，将用户的个人信息提供给公安司法部门，或者企业为协助进行刑事诉讼，个人信息的披露不再征得用户的同意。

　　而传统的隐私权保护方面，信息网络时代的隐私权已经不再局限在身体、住所这些物理空间，人们可以将日记撰写在博客上，为浏览自己朋友圈或空间的其他人或部分人设置权限，这表明虚拟世界中的隐私权已然确立。技术公司从经济因素出发，打出技术中立的口号以抵制政府的监管，只要拒绝协助的义务成本较低，他们就更倾向于满足客户的隐私需求，并将其作为自己的企业竞争力。例如，苹果公司将用户的隐私保护作为自己产品的理念，为手机开发了许多保护隐私的功能。从技术层面出发，技术公司开发了数字加密技术对隐私权进行保护，通过公钥和私钥加以双重保险。它们认为，政府采取“电子入侵”的方式侵犯个人隐私要比政府侵犯公民的（纸质）通信隐私对隐私的打击更为严重。这种做法一方面是彰显自身的技术实力，一方面是科技创新者自由放任主义世界观的体现。但这种做法在“滴滴案”中成为舆论的争议焦点，滴滴平台以保护平台用户隐私为由，在被害人亲友及警方要求提供涉事司机相关信息时延迟回应，从数据合规的角度出发，刑事诉讼中企业的协助义务与对用户个人信息和隐私权的保护义务冲突之下，是否存在优先级。

　　二、刑事电子取证中的数据合规：隐私保护与合规流通

　　虽然将权利保护作为第三方协助公安司法部门进行电子取证的义务来源，可学者们却仅仅将目光停留在个人信息和隐私权的保护，将其作为企业进行数据合规的唯一原因。但笔者认为数据合规的内涵并不只是对数据主体的权利进行保护，其具有隐私保护和合规流通的双重含义。

　　数据合规的双重含义

　　1.隐私保护下的静态合规

　　传统对侦查取证的规制是从隐私权保护的角度出发进行构建的。民法典中专门从人格权出发对公民隐私权进行保护。在信息社会时代，个人信息中最私密的部分以数据的形式呈现，变成了具有隐私权属性的隐私数据，对隐私权的保护观念也就进入到对电子取证的规制中。由于隐私权是极其主观的权利，每个人所认为的隐私范围各有不同，导致警察在个人信息的调取中很难把握客观的标准。因此，第三方原则认为当公民将信息自愿提供给第三方时，其丧失了对隐私权的合理期待，信息的属性已从私密转为公开。可正如学者所质疑的那样，在大数据时代，即使个人将电子数据信息上传于第三方数据平台，并不意味着必然灭失合理隐私期待权，对于个人用户而言，在同意条款中选择同意是使用第三方平台数据服务的“必要之恶”，如果不表示同意可能无法使用网络信息服务，这种个人为了与他人建立关系所必须放弃选择的结果，很难称为个人真正自主所为的决定。因此，告知原则不能完全排除第三方企业的数据合规义务，只能在数据不涉及用户个人隐私的情况下协助公安司法部门电子取证，企业依然必须保护用户的个人隐私数据。

　　但是这种只注重隐私保护的数据合规忽略了数据自身的价值，数据不仅是公民个人信息和隐私的载体，在信息社会时代，数据还可以在流通的过程中为企业带来商业价值。过度的隐私保护会阻碍数据的流通，这样的数据合规只是一种的静态数据合规，只有当数据进行流通，才会形成动态的数据合规。

　　2.合规流通下的动态合规

　　在信息社会时代，数据之所以被视为资源,原因就在于其分析价值,单个数据可以直接描述对象的某个或某类特征,但海量数据相互联系,就能够抽象出数据对象背后的普遍特征,并通过其透析客观世界或分析对象的规律、特征,预测未来，这种方式被称作为大数据分析。对同一个数据的利用，在不同的人手里、不同的场景中，其价值都是不一样的，因而要实现数据的价值，就必须让其流通。数据在一次又一次流通的过程中，不断实现潜在的价值。正是因为只有流通才能实现数据的价值，数据控制者一方面希望数据流通为自己带来价值，又担心自己掌握的数据被他人用来实现价值而贬损了自己所应享有的价值，或者可能损害数据主体的权益，而陷入困局。同时，并不掌握数据的主体为了获得数据实现自己的利益，采用数据爬取等非法手段来获得数据控制者的数据。所以所谓的动态数据合规就是对数据的流通加以合规管理，既要鼓励数据的流通，又要对非法获取数据的行为进行阻止。可以说，静态的数据合规关注数据背后的来源，动态的数据合规则注重数据流通这一过程，这便是数据合规的双重含义。

　　公安司法部门向第三方企业的电子取证行为毫无疑问是在进行数据的流通。这些数据在企业手中可能只具有商业价值，但在公安司法部门手里却成为破案的利器。权利保护下的数据合规只考虑到了数据合规当中企业保护个人信息和隐私权的义务，却忽略了一点，如果数据不进行流通，又为何需要合规呢？正是数据在流通的过程中才会出现对数据主体个人信息和隐私权的侵犯，因而需要法律予以规制。因此，所谓数据合规，其重点应当是数据的合规流通，而数据的合规流通就不应当只注重数据主体的权益，而忽视作为数据控制者的第三方企业的权益。在权属不清晰的情况下，数据是否进行流通全凭数据控制者的意愿，如果数据控制者更愿意独享数据的利益，数据的需求者就难以获得足够的数据供给，数据流通存在较高的交易成本，从而阻碍了数据流通，减损了数据的价值。因此，数据合规需要明确并保护数据控制者的权利，才能让数据控制者放心将自己掌控的数据进行流通。

　　从第三方协助到第三方协作

　　于是，在作为第三方的企业协助公安司法部门进行电子取证的过程中，就需要考虑到数据控制者的权益，这就让电子取证过程中的单方面义务协助转变为一种公私协作的模式。义务协助模式下的电子取证将协助的义务强加给第三方，其主要作用是为了规避对数据主体权益的直接侵犯，将责任转嫁给企业，由企业去承担对用户隐私和个人信息进行保护的义务。第三方原则只看到了从企业获取电子数据的方便，不用承担责任，却忽视了作为第三方的企业是否愿意协助。虽然静态的数据合规目的在一定程度上进行弥补，但也只是通过第三方企业来保护数据主体的权益，没有考虑到第三方企业的全部权益。数据控制者为了实现数据的商业价值也是希望数据能够进行流通，公安司法部门获得数据也更方便开展侦查工作。因而，在希望数据流通的目的之下，第三方企业对公安司法部门的协助其内涵已然转变为一种协作。

　　同时，也必须注意到一点，数据流通与隐私保护之间是存在一定矛盾的。数据的流通必然存在隐私的潜在暴露，从而侵犯用户的隐私权。因此，数据合规必须维持隐私保护与数据流通之间的平衡。有关对企业的数据权益保护是否会影响个人信息保护的问题，有的学者认为个人信息保护并非企业数据确权的障碍，对企业进行数据赋权，并不会阻挡个人信息和隐私权的人格权属性，企业只是对这些信息进行利用，个人依然可以要求侵犯其权益的人承担民事责任。恰恰只有赋予企业数据权益，才能真正厘清数据控制者和数据主体之间的权利义务，进而在数据流通的过程中让数据的使用者或者处理者明确界限，知道自己的哪些行为会侵犯数据主体的个人信息和隐私权，哪些行为会侵犯到数据控制者企业的数据权益。因此从鼓励数据流通的角度出发，立法和司法都必须重视企业的数据权益。第三方企业与公安司法部门协作，是在尊重第三方企业作为数据控制者的权益的基础上开展的电子取证，其目的不是仅仅实现静态的数据合规保护用户的个人信息和隐私，还要实现数据的动态合规。企业的协助义务是来源于数据流通能够实现数据价值，这种价值的实现是充分尊重企业自身数据权益的基础上实现的，激活了企业的主观能动性，企业协助公安司法部门进行电子取证是企业作为数据控制者所享有的权利的体现，其不再是被动地进行协助。

　　三、尊重第三方权益电子取证的原因分析

　　第三方协作电子取证模式成立的基础，是公安司法部门充分尊重第三方企业作为数据控制者的权益。那么，公安司法部门为何需要尊重第三方企业的权益，分析其中的原因是探究电子取证中第三方协助的内涵应当由义务性协助转为协作的前提。笔者认为，应当从刑法、数据安全法、民法中找寻答案。

　　刑法打击数据犯罪的需要

　　首先，第三方企业为何享有数据权益？笔者认为这可以是基于刑法打击数据犯罪的需要。近年来，利用互联网实施的犯罪数量增多，仅2022年上半年检察机关就已经以帮助信息网络犯罪活动罪起诉了6.4万人，这些人为信息网络犯罪人员提供互联网接入、服务器托管等帮助行为，从这一数量可以推断出实施信息网络犯罪的人员也不在少数。这些人有的使用互联网进行诈骗等传统犯罪，有的则进行数据类犯罪，例如通过互联网进行数据爬取。数据爬取本身是指未经数据控制者的同意非法获取数据控制者掌握的数据的行为，在刑法上可能构成非法获取计算机信息系统数据罪或者侵犯公民个人信息罪。2022年，上海普陀检察院对一起涉嫌“数据爬取”犯罪的企业进行了数据合规，作出合规不起诉，该案中，涉案企业盗取了订单信息等数据，造成被害公司存储的具有巨大商业价值的海量商户信息被非法获取，同时造成被害公司流量成本增加，直接经济损失人民币4万余元。其不仅有侵犯公民个人信息的行为，还涉嫌非法获取计算机信息系统数据罪，但是公诉机关只以涉嫌非法获取计算机信息系统数据罪审查起诉。在2018年《检察机关办理侵犯公民个人信息案件指引》中规定，对于违反国家有关规定，采用技术手段非法侵入合法存储公民个人信息的单位数据库窃取公民个人信息的行为，也符合非法获取计算机信息系统数据罪的客观特征，同时触犯侵犯公民个人信息罪和非法获取计算机信息系统数据罪的，应择一重罪论处。从中可以看出，非法获取计算机信息系统数据罪并不只是侵犯公民个人信息罪的下位罪名，而是一个独立的罪名，它的重点在数据。事实上我们应当在刑法上对数据和信息进行区分。刑法中的数据应采狭义概念并与信息犯罪相区分，从而将数据犯罪限定在记录信息，但刑法未对信息内容作特别保护的范围之内，不仅个人信息应当保护，以数据形式存在的其他信息也需要得到保护，非法获取的行为也应当受到惩罚。因此，如果作为数据控制者的企业不享有数据权益。为何还要对数据爬取行为进行刑法上的规制，刑法又在对哪种法益进行保护。如果不对数据控制者的数据权益进行保护，数据爬取行为只会越来越多，因为有些信息并不涉及个人信息和隐私，数据爬取行为不会直接侵犯到数据主体，而是对数据控制者企业带来了商业利益的损失，造成了丧失竞争力和市场的情况。

　　因而，非法获取计算机信息系统数据罪的存在反向证明了数据控制者享有数据权益。虽然在民法上，对于企业享有的数据权益究竟为何物还存在争议，有的学者认为是知识产权，有的学者认为是财产权，还有的学者认为企业只是具有数据的使用权，但在刑法上，只要存在着严重的侵犯公民、国家和社会利益的行为，且具有社会危害性，被侵害的就是刑法所要保护的法益，刑法保护的法益并不完全等同于民法中的权利。既然作为数据控制者的企业享有数据权益，刑法保护企业的这一权益，那么公安司法部门在向企业调取电子数据的时候就应当对企业的数据权益进行尊重，防止不当的获取行为侵犯到数据控制者的权益。

　　数据安全法上的衔接必然

　　其次，企业数据权益的来源是什么？笔者认为，企业的数据权益有两个来源，其一是来自数据主体的权利，其二是企业作为数据控制者所享有的权益。关于数据主体的权利，我国主要在个人信息保护法中正向列举，规定了知情权、纠正权等权利，在数据安全法和网络安全法中反向注明，要求政府监管部门、网络运营者、有关单位和个人对数据主体的权利进行保护。但在国外，数据主体除了基于个人信息和隐私权享有数据权利外，还具有许多其他权利。例如，在欧盟的一般数据保护条例中，数据主体还享有拒绝权。在第三章第四节第21条中，数据主体可以拒绝数据控制者利用自己的个人数据进行数据画像，除非数据控制者能够提出令人信服的正当理由以证明数据处理优先于数据主体的利益、权利和自由。在大数据侦查的过程中，利用大数据来给犯罪嫌疑人进行画像，进而锁定犯罪嫌疑人是一种高效的破案方法，也是一种技术侦查措施。虽然为找到犯罪嫌疑人进行刑事侦查是一个可以限制公民权利的正当理由，但不当的侦查措施还是会侵犯到公民的基本权利。而公安司法部门在侦查的过程中并不是数据控制者，第三方企业才是真正的数据控制者，公安司法部门在电子取证的过程中是一个数据处理者的地位。我国虽然并没有区分数据控制者和数据处理者，但一般数据保护条例中加以了区分，并对分析电子取证过程中各主体的权利义务有所裨益。一般数据保护条例第四章第一节第28条中规定，数据处理者应当在控制者的书面授权范围内，遵守法律法规处理数据，一般不应当随意引入其他处理者，需承担保密义务。这些规定都是为了防止个人信息和隐私被不当外泄。可在公安司法部门使用第三方企业的电子数据进行侦查的过程中，并不是基于数据控制者的授权，一旦出现数据滥用的情形，企业作为数据控制者依然要承担责任。因此，从数据主体的权利出发，公安司法部门应当尊重第三方企业的数据权益，防止其不当承担风险和责任。企业是因为数据主体的权利而享有部分的数据权益。

　　而企业作为数据控制者所享有的权益则是因为数据流通。上文已经提到，只有数据进行流通，才能实现数据的价值，我们需要进行数据合规，既保护数据主体的权利，又鼓励数据进行流通。数据安全法第7条明确规定，“国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。”而要想保证数据的合规流通，就必须明确企业的合法权益，否则其没有动力让数据进行流通。电子取证是一种数据的流通形式，不明确企业的数据权益，必然导致企业不愿提供数据，使其成为义务而非权利。这些权益虽然在数据安全法上尚处于原则性规定，但也和刑法一样，表明企业所控制的数据应当受到法律的保障。而这到底上一种怎样的权益，则应当从民法的层面加以论述。

　　总之，从数据主体的权利出发和数据控制者享有的权益出发，企业都拥有数据权益。企业对公安司法部门的协助不应当是一种义务而应当是基于自身权益的一种权利。尊重第三方企业的数据权益是为了更好与数据安全相关领域的立法进行衔接。

　　民法上的权利诉求

　　第三方企业享有哪些数据权益？笔者认为，这些权益主要来自民法。隐私、通信自由、言论自由等都是在电子取证的过程中数据主体所享有的基本权利。但在电子取证的过程中不仅限于对上述基本权利存在侵犯的可能。国家应保护公民的私有财产。数据财产虽然不具有实物财产的物质性、有形性等特征，但其本身也具有使用价值和交易价值，其所蕴含的使用价值与交易价值决定了其可以成为财产权客体，这些数据财产在刑事诉讼的过程中就是电子数据。公安司法部门为获取电子数据，就需要采用冻结等强制措施。想要冻结第三方企业控制下的犯罪嫌疑人的虚拟财产，就会涉及侵犯财产权的问题。同时，冻结的行为也会对企业造成一定的影响。在数据已然成为重要资产的情况下，数据冻结措施不可避免地会限制数据主体、控制者或占有者对相关数据的利用，特别是在网络信息产业中，这种限制甚至会干预企业的正常经营活动，进而造成运营困难或损失，可能影响到企业的财产权。

　　从民法的角度来看，企业具有财产权、知识产权、商业秘密、使用权等数据权益。笔者认为，虽然无法界定数据权益是何种民事权益，但数据权益本身需要确权是没有异议的。数据并不是永恒地表现为一种权利，而是在不同的情况下、不同的案由下变换为对应的权利。例如在涉及不正当竞争的纠纷中，其可以作为商业秘密的形式存在；在所有权纠纷中，其可以是个人数据所有权而应归为财产权；在以数据库的形式呈现时，其更可以是一种知识产权。有时候，我们太过执着于将一个新生事物纳入现有的框架中，而忽视了其特性。数据的特性就是只有流通才能显现它的价值。传统的确权方式是一种静态的权利认定方式，而没有考虑到可以反向由权利的运行状态来确权。企业数据在利益形态上表现为对现实数据的有限自我控制，基于此，企业数据的保护应当以维护数据的控制为基础，即要保护作为数据控制者的企业的权利。在第三方企业协助公安司法部门进行电子取证的过程中，如果数据涉及商业秘密，就应当用涉及商业秘密的法条加以规制；如果数据涉及财产所有权，则应当以侵权法、物权法、侵犯财产类犯罪的法条进行追责；如果数据涉及知识产权则应当属于知识产权法、侵犯知识产权类犯罪的法条的范围。使用这些部门法并不是因为数据属于这些权利，而是因为要保护企业对数据的控制权。

　　综上，基于民法上的权利诉求，公安司法部门在电子取证的过程中需要尊重第三方企业的数据权益，以防止公权力对公民基本权利和民事权利的侵犯。

　　四、第三方协作下的电子取证规则

　　通过上文的分析，第三方企业对公安司法部门的协助是一种基于数据合规流通下的公私协作模式，必须重视企业作为数据控制者的数据权益，协助的义务来源是企业作为数据控制者所享有的权利，而不是仅仅只是义务地配合。根据这一理念，可以从确立第三方协作电子取证的比例原则、构建第三方协助电子取证的正当程序和探讨第三方在刑事电子取证中的地位这三个角度来完善第三方协作下的电子取证规则。

　　确立第三方协作电子取证的比例原则

　　比例原则作为行政法学中的重要原则，是要求行政主体在行政执法的过程中需要兼顾行政相对人权益的保护和行政执法目的的实现，以影响公民权利最小的方式来实现目的。这一原则对刑事司法也具有一定的借鉴意义，在侦查的过程中，也应当尽量控制对诉讼参与人权利的限制和对犯罪嫌疑人权利的剥夺。笔者认为，在第三方协作电子取证的过程中，比例原则的实现需要对企业控制的数据进行分类和分级。对不同类和不同级的数据进行调取对公民权利的影响程度不同。

　　1.数据分类

　　网络安全法第21条中首次提到了为了网络运行的安全可以采用数据分类的措施。网络作为数据进行流通的重要媒介，数据的安全流通就是对数据流通进行合规化的处理，保障数据主体和数据控制者的权利。可见在第三方协作电子取证的过程中，数据分类可以是确立比例原则的重要手段。

　　在《电子数据规定》中，公安部将数据分为了与案件无关的数据和与案件有关的数据，无关的数据要及时退还和销毁。这种基于一并提取的分类方式，只是基于侦查的便利，而不是从数据合规流通的角度出发的分类。对于第三方企业协作提供的数据应当区分为与个人信息和隐私权相关的数据以及企业经营获取的商业数据两类。对于前者，公安司法部门在利于自己掌握的数据进行大数据侦查的过程中都应当采用技术侦查所使用的严格审批程序，在对第三方企业调取电子数据的过程中也应当履行严格的审批程序，提供书面的令状，其严格程度不应低于技术侦查的标准，以避免不当对个人信息和隐私权侵犯后导致企业承担静态数据合规的责任。而对于后者，并不需要非常严格的审批手续，在书面令状的前提下，双方可以在通过协商的方式进行协作，以体现对企业数据权益的尊重。

　　在这一分类下，还可以进行细化分为诉讼参与人的数据和犯罪嫌疑人的数据。对于证人和被害人的数据要采用权利限制最小化的方式进行处理。证人和被害人只是辅助公安司法部门对案件进行侦查，在刑事诉讼过程中应当是协作人员，而不是义务性质地协助。因而对于他们的数据，公安司法部门在向第三方调取时必须额外书面告知，不能因为企业已经履行了告知义务而默认刑事犯罪领域的个人信息获取享有豁免权。在使用后必须及时销毁或返还，并提供书面文件。而对于犯罪嫌疑人的数据，因为侦查具有秘密性，一旦告知将打草惊蛇，影响案件的准确快速侦破，公安司法部门虽无需提前告知数据主体，但应当告知数据控制者。在已经准确快速定位犯罪嫌疑人后，应及时销毁或返还无关的数据。

　　2.数据分级

　　在网络安全法数据分类的基础上，数据安全法、个人信息保护法和《数据出境安全评估办法》又提出了数据分级的数据保护措施。数据安全法中将数据的级别区分为重要数据和一般数据。对于重要数据其使用应当有严格的程序，并在出境时和个人信息一样于《数据出境安全评估办法》中重点提及，事关一国的数据主权。重要数据是一旦被非法使用将对国家利益、公共利益以及公民的合法权益造成重大影响的数据，这些数据一旦泄露或被破坏，不但影响案件办理，也将对相关科技企业的商业利益造成损害。因此，在向企业调取重要数据的时候应当采用严格的保密措施，对于重要数据的泄露或破坏，应当采用和对个人信息的泄露或非法获取一样的反制措施，让涉案人员承担民事和刑事责任。而对于一般数据，其保密程度则可以适当下降。重要数据和一般数据的区分并不是泾渭分明的，一些一般数据完全可能在刑事诉讼的过程中转变为重要数据，对此必须灵活进行分级，防止过度的保密措施妨碍数据的流通使用。这种分级制度也为跨境电子取证提供了标准，涉及一国数据主权的数据自然是重要数据，必须严格依法依规进行申报，在国家主管部门的同意之下对境外公安司法部门进行提供。若只是一般数据，则无需经过本国的严格程序，依照条约进行司法协助即可。

　　构建第三方协作电子取证的正当程序

　　正当程序是刑事诉讼法中的重要原则，要求公权力机关在对任何人施加不利行为的情况下，履行告知，听取陈述等义务。虽然上文已经谈到，在向第三方调取电子数据的过程中应当按照不同的分类履行不同的告知程序，但其主要是从刑事诉讼法的角度进行的理解。笔者认为是否可以尝试从数据安全立法的模式出发，赋予第三方协作电子取证中正当程序以新的内涵，主要从公安司法部门作为数据处理者的义务或创新数据信托取证方式入手。

　　1.作为数据处理者的义务

　　前文提到，公安司法部门在电子取证的过程中是处于数据处理者的地位。根据一般数据保护条例的规定，数据处理者应当在数据控制者的授权下进行数据处理，不得超越权限，不得随意将数据再交给他人进行处理。这些规定都是对数据处理者的义务性要求，是基于对数据控制者以及其背后数据主体的权利的尊重与保护。目前我国的数据安全领域立法没有进行如此细化的规定，在涉及电子取证的法律法规中也没有对协助方式进行细化。刑事司法承担着打击犯罪，保护人民的重要职责，因而在我国没有明确规定的情况下，无法完全照搬数据安全领域的他国法律规定，应当因地制宜地进行域外经验借鉴和部门法之间的衔接。笔者认为，若是在电子取证的过程中也要求第三方企业进行授权，不仅会影响刑事侦查的效率，也是混淆了刑事侦查中企业的地位。虽然在信息社会，企业掌控着大量数据，公安司法部门也需要企业予以协助，实现公私协作的取证方式，所以公安司法部门应当尊重企业的数据权益。但刑事诉讼依然是公安司法部门的任务，企业只是作为第三方进行参与，没有决定整个取证程序的权力，因而不应该因为其是数据的实际控制者而具有决定是否授权给公安司法部门使用的权利。况且，这种主导性的授权也并不利于数据的流通，企业为了保护用户的隐私，不会愿意主动将自己掌握的数据被用于抓捕自己的客户。一旦如此，不仅电子取证过程受到阻碍，企业也可能涉嫌妨害司法。因此，在电子取证的过程中赋予企业进行授权的权利不仅会影响刑事侦查，还会对企业造成不必要的负担。

　　但这也不表示没有其他的方法来防止公安私法部门对企业提供的数据进行滥用。公安司法部门在向企业移交调取电子数据的令状时，不仅应当进行告知，还应当明确使用的目的、如何处理、有哪些机关处理、违反上述规定后企业的救济途径，并提供一定期限的异议机会。如果企业对数据处理有异议，应当对异议进行处理，对处理结果不服的，应当允许企业复议，寻求法律监督机关的帮助，提起相应诉讼。

　　2.创新数据信托取证方式

　　数据信托制度作为英国信托制度在数据安全领域立法上的发展，笔者认为或许是一种解决企业数据合规困境的方式。数据信托机构是作为数据主体和数据控制者之间的中介，对数据主体负有信义义务，通过对数据处理活动进行监督，有效平衡了数据的保护和利用之间的关系。在数据控制者和数据处理者之间同样需要一个中立的第三方来解决因为信任问题而造成的数据流通和隐私保护之间的冲突。虽然在电子取证的过程中，企业和公安司法部门都有着希望数据进行流通的目的，可数据一旦被一并提取，企业无法了解自己控制的数据是如何使用，是否被滥用。除了通过明确公安司法部门作为数据处理者的义务这一方式，是否可以有另一种减少猜疑的方法？在未来，对于企业自身具有商业价值但又不涉及个人信息和隐私权保护的数据，能否提交给一个中立机关进行存储，公安司法部门需要电子数据调取时，直接去找中立的数据信托机构，数据信托机构对公安司法部门的数据处理进行监督并定期向企业汇报。

　　第三方在刑事电子取证中的地位探讨

　　虽然笔者提出公安司法部门在电子取证的过程中是数据处理者，第三方企业是数据控制者，但这一定位是基于数据安全法，而电子取证毕竟是刑事诉讼程序中的一部分，应当赋予企业这个第三方在刑事诉讼法中的地位。前文已经分析，在电子取证的过程中即使企业再掌握数据，也不应该是电子取证中的主导者，只是协助者。公安司法部门在尊重第三方企业数据权益的过程中，不应当只是按照比例原则履行正当程序，还应当考虑到企业的经济成本，有些企业就是因为经济原因而不愿意进行司法协助。案外人协助刑事司法权力机关开展诉讼活动，究其本质而言是其为打击犯罪这一公共事务所承担的在一般纳税负担以外的额外负担，对于中小型网络信息业者而言，这种协助执法所造成的成本非常沉重，应当对其进行刑事协助费用的补偿。这也是企业基于自身权利与公安司法部门进行协作所应当获得的。但这一措施的确立必须解决第三方在刑事电子取证中的地位问题。目前我国只有对证人进行费用补偿的制度，而企业提供数据的行为不能被认为是证人，只能算是提供线索的人，对此也没有相关的悬赏制度，刑事诉讼法也没有将提供线索的人列为诉讼参与人。因此，在如今公私协作的侦查趋势下，应当重视提供线索的单位和个人在刑事诉讼中的权利，赋予他们地位参与刑事诉讼。

　　结语

　　商业社会和信息社会时代的到来，企业不可避免地成为大量数据的控制者。为了打击犯罪，保护人民，公安司法部门需要作为第三方的企业进行协助。这种协助不应当只是一种义务性地配合，应当充分尊重第三方的数据权益进行协作。企业之所以进行数据合规不仅因为其需要对数据主体的个人信息和隐私权进行保护，还需要让数据进行流通，实现数据的价值。在数据价值实现的过程中，需要法律法规加以规定，保证数据的合规流通。而这种合规流通的方式将传统的第三方义务性协助转变为协作，企业需要数据流通来让自己掌握的数据价值最大化。基于这一数据权益，协助义务的来源是权利而不是单纯的义务。

　　在尊重第三方权益进行电子取证的原因上，企业首先因为刑法打击数据犯罪的需要而必须享有数据权益，不对数据控制者的权利予以保护，数据爬取等非法获取数据的行为将层出不穷。其次，企业享有的数据权益的来源主要来自数据主体的个人信息和隐私权这两类人格权以及企业作为数据控制者的权利，以此来与数据安全领域的立法进行衔接。最后，企业在民法上具有权利诉求，享有财产权、知识产权、使用权等权利，需要对此进行保护。

　　在上述理念的基础上，应当将数据分类为与个人信息和隐私权相关的数据以及企业经营获取的商业数据这两类数据，并区分重要数据和一般数据两级来确立第三方协作电子取证中的比例原则；明确公安司法部门数据处理者的义务或创新数据信托取证方式来构建第三方协作电子取证的正当程序；赋予第三方企业在刑事诉讼中的地位来对其进行费用补偿。以此来对第三方协作电子取证规则进行完善。