在刑事侦查中,公安机关从作为网络服务提供者的企业处调取电子数据已成为广泛使用的侦查措施。为保证调取活动的顺利开展,我国《刑事诉讼法》第54条、《数据安全法》第35条等均规定网络服务提供者应履行调取协助义务。然而,在回应执法机关调取请求时,企业需要向办案人员披露客户个人信息,不利于履行保护个人信息的合规义务。对此,相关法律法规并未设置相应的协调机制,致使两种义务之间发生冲突。例如,在滴滴司机钟某杀人案中,滴滴平台以保护隐私为由拒绝了警方的调取请求,贻误了案件的侦破时机。该案反映出企业在面对调取协助义务与个人信息保护合规义务时的抉择困境,因此,如何调和两项义务之间的关系成为企业合规深入开展的关键。
调取协助义务旨在配合公权机关的执法诉求,承载着侦查行为的强制性与义务履行的无条件性。个人信息保护合规义务则源于企业与公民间的契约关系,其对外表现为忠实履约的合同义务,对内表现为公司行为的合规控制。然而在缺乏协调机制的情况下,公安机关在调取过程中处于相对强势的地位,导致企业合规义务履行困难。
实践中,公安机关的强势地位主要体现为以下三点。第一,调取措施具有明显的强制性。一方面,调取不一定必须经过企业的同意,即便企业表达出拒绝配合的意愿,侦查机关仅需将相关事项进行注明即可。另一方面,《数据安全法》第35条明确了公安、国安机关为维护国家安全或侦查犯罪而需要调取数据时,有关组织、个人负有配合义务;该法第48条进一步规定,违反本法第35条拒不配合的将会受到警告、罚款等惩罚。企业基于规避惩罚的目的或担心破坏政企之间的合作关系,往往对侦查机关的调取需要予取予求,不利于合规义务的履行。第二,概括性调取行为多有发生。一方面,调取不区分信息类型,不仅可调取姓名、电话号码、通讯地址等一般个人信息,也能够调取隐私信息或敏感信息。另一方面,调取不区分信息主体,虽然其主要对象是犯罪嫌疑人,但也不排除调取被害人或其他无关第三人之信息。概括性调取行为导致企业难以设置差异化的响应机制,致使对于特殊信息类型或特殊主体的强化保护无法实现,并且与个人信息保护中目的限制原则、最小化处理原则不符,加剧了企业合规义务的履行困境。第三,经济成本多由企业承担。对于企业调取协助过程中产生的经济成本,当前并无国家补助的法律规定。《刑事诉讼法》对于经济补助义务的规定仅适用于证人作证,无法适用于履行协助义务的企业,这无疑损害了企业的经济利益。
与公安机关的强势地位相对,企业的弱势地位主要体现为以下两个方面。一方面,企业依法履行调取协助义务并不会减少或免除其合规义务。以告知义务为例,目前法律规范中关于告知的例外规定仅适用于国家机关,却没有将企业作为免责主体;而《个人信息保护法》第18条“告知例外与延迟告知”的规定,在缺乏相应解释的情况下,亦难以成为企业免责的合法事由。另一方面,企业内部审查机制的作用难以发挥。企业内部通常会制定相应的合规审查机制,对于侦查机关的调取行为进行实质性与程序性审查。在理论上,如果调取缺乏必要的行为要件,则企业可以恪守个人信息保护的立场,延迟或者拒绝调取。但是实践中,即使有的侦查机关违背了调取的审批主体、令状要求、记录形式、录音录像等规范要求,企业并不具备与其对抗的能力。此时企业的审查机制并未发挥实质作用,若仅以进行过内部审查为由要求免责,其诉求恐怕不能成立。换言之,即便企业内部建立了相应的审查机制,也无法对两项义务冲突的问题做出有效回应。
为应对企业合规义务履行的困境,企业可尝试构建层级化响应机制,这一机制的建立需要先厘清调取行为的法律性质,其性质应当根据调取方式以及对基本权利的侵犯程度而定。以下情形中,调取行为应属于任意侦查:一是在调取方式上,调取行为得到了第三方机构的同意与协助,而无需强制实施;二是在调取的信息类型上,仅涉及一般个人信息,不会严重侵犯隐私权。以下情形中,调取行为应属于强制侦查:一是侦查机关无法取得第三方机构的同意与配合,只得强行调取个人信息;二是调取对象属于隐私信息或敏感个人信息,干涉了公民的基本权利。
在区分调取法律性质的前提下,企业应当审查调取的不同情形,建立层级化的响应机制。首先,面对任意调取时可采取一般机制。如果侦查机关的调取行为符合程序要件,且调取对象仅限于一般个人信息,企业应当履行执法协助义务,配合侦查机关的调取工作。但此时仍要严控调取范围,不能违规披露隐私信息或敏感个人信息。其次,面对强制调取时应采取严格机制。如果侦查机关的调取行为超出协助义务的范畴,或者调取隐私信息与敏感个人信息,则企业应适用更高级别的配合响应机制,着重审查调取行为是否符合强制侦查的主体、条件、程序等规定。最后,对于不同的调取对象设置差异化机制。如果调取的目标对象是犯罪嫌疑人,则应坚持调取协助义务优先的原则,企业应当遵循延迟告知的规定,在有碍侦查的情形消失之后告知犯罪嫌疑人相关事实。如果调取的目标对象是被害人、证人或其他诉讼参与人,企业原则上应贯彻《个人信息保护法》关于知情同意的规定,事前将相关事项告知上述主体。
此外,企业还应建立内部审查机制。其一,企业应当审查调取主体的身份有效性。企业应区分基于职权目的的调取与以职权调取为名实施的私人调取,拒绝私人名义的调取请求。其二,企业应当审查调取的程序要件。着重审查调取是否符合审批主体要求、令状形式要求、拒绝签字注明要求与必要时的录音录像要求。其三,企业应当审查调取对象与调取范围的特定性。调取应当具有明确的调取对象与调取范围,调取行为具有个案性而非概括性。其四,企业应当审查调取个人信息的种类。企业在履行调取协助义务的过程中,应当着重审查调取的个人信息种类,判断是否存在隐私信息或敏感个人信息。其五,企业应当审查是否存在紧急情况。在紧急情况下,企业可以限制性地履行个人信息保护的合规义务,但是需要严格审查紧急情况的发生事由。
对于司法机关而言,一方面,明确企业内部审查的对抗效力。司法机关应及时制定相应的司法解释,明确规定企业的内部审查机制具备对抗不合理调取的法律效力,从而为企业履行个人信息保护义务提供保障。另一方面,探索建立个人信息保护合规义务的豁免机制。《个人信息保护法》第13条规定了处理个人信息的合法性基础,为企业在配合调取过程中的个人信息处理行为提供了正当性依据,可以成为企业合规义务的豁免事由。例如,调取协助义务属于法定义务,符合第13条第3款“为履行法定职责或者法定义务所必需”中“法定义务”的定义。因此,只要同时符合“所必需”的要求,企业即满足了合规的相关规定,产生豁免个人信息保护合规义务的效果。并且,司法机关应当对《个人信息保护法》第18条中“有法律、行政法规规定应当保密”“不需要告知”“紧急情况”三种例外告知或延迟告知情形进行解释说明,从而免除或减少企业的告知义务。
(作者系西南政法大学刑事侦查学院讲师)