三、节点协同治理的四个维度
在进一步展开论述之前需要就三个前提性问题进行特别说明。首先,尽管节点治理的思路不欲事先将主导地位赋予任何一个或一些参与主体,但并不意味着各个节点在信息能力方面等同。具体到犯罪治理领域,至少从传统制度积累和惯性的角度出发,不可否认的是,刑事司法机关仍然处于一个相对强势的地位。其次,“节点治理”这一概念更多的是对新技术革命之下社会治理结构转型的客观描述,而非一种建立在价值判断基础上的应然性的规则建构。最后,就价值判断而言,在现有的刑事法律框架尚未发生根本性变革的情况下,犯罪治理的顶层价值取向仍然需要平衡犯罪控制与人权保障,这意味着以有效打击犯罪为导向的治理能力网状扩展需要建立在公民基本权利的保障底线之上。
(一)节点认知协同
犯罪治理效果的优化首先需要各犯罪治理参与节点在任务认知上进行协同,主要表现在三个层面:第一,有必要对于任务的总体目标形成相对一致的理解;第二,有必要识别出总体目标下的子目标并加以区分;第三,有必要对任务边界的认知加以协同。
首先,就总体目标的认知协同而言,各个节点需要对日常的碎片化数据可能应用于犯罪侦查、起诉和审判予以充分理解。一方面,随着大数据应用的不断深化,社会生活中产生的各类数据经过筛选、组合、分析之后均有可能形成与犯罪相关的重要信息,数据本身转化为犯罪治理的重要资源。上文论及的政府部门间大数据共建、网络信息业者数据存留、管理义务的一般化、社会治理众包平台的出现均反映出刑事司法内外程序借由信息产生的联动关系。另一方面,新技术以相对中立的方式同样服务于犯罪活动,使得犯罪形态、方式、后果呈现出高速进化的状态,但是不同节点的技术敏感性存在较大差异,特别是传统上承担犯罪治理职能的刑事司法机关,其对技术的反应速度往往低于商业主体。两者之间的反差形成了传统刑事侦查的能力困境。
在这一背景下,基于信息的分散占有和高速交互,各个节点需要就其在犯罪治理过程中的功能和角色进行两个维度的调整。第一,对于公安司法机关以外的主体而言,需要由传统刑事司法框架下的被动回应者,转变为犯罪风险防控意识下的主动治理者。第二,公安司法机关,特别是犯罪侦查机关需要转变传统的犯罪治理权力垄断和纵向层级化的思维惯性,并对既有的侦查模式和路径依赖进行必要的调整。
其次,在总体目标认知协同的基础上,需要进一步对犯罪“嫌疑”与“风险”加以区分。在传统刑事司法框架下,公安司法机关的工作围绕实际发生的犯罪案件展开,关注重点在于在犯罪构成要件的框架下形成证据链条,并在责任判定上以因果联系作为基础。为避免国家刑罚权的不当扩张,在法院判决生效之前,刑事诉讼程序的运行和强制措施的适用以客观的、直观的、现实的“嫌疑”为基础,在已经发生的犯罪与特定主体之间建立起联系,进而形成“嫌疑程度—诉讼阶段—强制性措施”之间在质和量上的双重比例关系。但是在风险治理的思维模式下,直观的、具体的行为在事件评价中的比重下降,相反地,基于大数据分析所形成的轨迹预判的比重上升,治理思路是在可能发生的犯罪与特定主体之间建立起联系,从而形成另外一条治理思路,即在“轨迹判定—风险程度—治理性措施”之间建立起新的质和量上的双重比例关系。
是否以已经发生的、确定的犯罪事实作为逻辑分析的起点,是犯罪“嫌疑”与犯罪“风险”最为核心的区别,也由此构成后续各类治理措施分级适用的依据和评价标准。在犯罪风险的语境下,以上比例关系的建立依托的是概率评价上的相关性判断向法律评价上的相关性判断转化,但在犯罪嫌疑的语境下,该比例关系则是从概率评价上的相关性向法律评价上的因果关系转化。单纯从逻辑学的角度分析,因果关系的成立条件要高于相关性,因此在后续的应对措施设计上,以干预公民基本权利的程度作为标尺,原则上基于相关性评价可以适用的措施强度应当低于基于因果关系评价所适用的措施强度。
由此形成第三个层面的认知协同,即对于任务边界的认知协同。犯罪治理存在多元的价值取向,彼此之间并非全然一致,其中最为重要的一对价值是打击犯罪与保障人权,两者之间的平衡需要依托比例原则加以实现。以犯罪嫌疑与犯罪风险二分为分析框架,对于公民基本权利的干预程度应当做相应的界分。基于犯罪风险判断中的相关性评价与犯罪嫌疑中的因果性评价之间的确定性差异,以犯罪风险防控为目的采取强制性措施时,其对公民基本权利的干预程度应当低于犯罪嫌疑中可采取的干预措施的强度。
相对于传统强制性措施体系中以是否限制公民人身自由作为主要界分标准的做法,在信息革命语境下,更为重要的是对个人信息的类型化和阶层化。在大数据技术广泛应用之前,对于个人信息的类型化主要以“敏感性”为划分标准,由此大致形成了内容信息与非内容信息的二分,与之相对应地,对于非内容信息的干预门槛往往低于对于内容信息的干预门槛。但是在大数据语境下,任何数据碎片在拼组之后都有可能形成具有高度识别性的个人“敏感”信息,这也是大数据画像技术的基本逻辑。因此,在以公民个人信息相关权利为依据限制犯罪治理活动边界时,依托于大数据分析的过程性特征,这种类型化需要在原有权利体系基础上,纳入新的界分维度,以动态的信息生命周期阶段为划分依据,基于信息处于生成、收集、存储、传输、分析、应用等线性时间轴上的不同阶段,根据目标信息所处的生命周期阶段的早晚,由低到高匹配相应的干预措施强度。
(二)节点技术协同
在犯罪治理过程中,不同参与节点基于性质差异,在处理犯罪相关信息时所遵循的逻辑范式和应用的具体技术也相应地存在差异,这种差异尤其明显地体现在信息生命周期管理过程中的阶段差异:不同阶段采用不同的信息处理标准,将直接影响信息在后期运用过程中的效能。
正是在这个意义上,不同阶段信息管理技术规范协同被提上议程。例如,前文论及的欧盟法院和证据信息数据交换框架,其研究目的即在于协调和统一不同司法机关之间,以及欧盟不同国家之间的数据交换规则,从而促进司法目的下信息有效、及时和高质量地交互。美国联邦贸易委员会(Federal Trade Commission,FTC)、经济合作与发展组织(Organization for Economic Cooperation and Development,OECD)、欧洲委员会(Council of Europe)等组织逐步发展和完善的公平信息实践原则(fair information practices principles),同样将信息的完整性与安全性作为基本原则之一。
为有效提升各节点交互过程中的信息质量,无论在国际层面还是国内层面都逐渐发展出体系化的数据取证与审查认定规范。国际层面,国际标准化组织(International Organization for Standardization,ISO)与国际电工技术委员会(International Electronical Commission,IEC)联合制定并持续更新“ISO 27k”系列标准,旨在规范和统一电子数据的实践操作和司法鉴定程序。国内层面,我国也围绕电子数据证据和司法鉴定制定了一系列标准。[45]
这些标准在司法领域的运用建立在“技术中立”的假设之上,但是其在具体运用过程中仍然面临三方面的挑战。首先,即便存在以上标准,也并不意味着不同主体在接触到与犯罪相关的信息时能够采取相应的符合技术要求的措施,特别是对于最先接触到相关数据的主体而言,其并非必然具备相应的知识和技能,从而有可能在无意间对相关数据造成损害。其次,在以大数据分析、人工智能等技术为基础的自动决策系统引入犯罪风险防控的语境下,所谓的“技术中立”和价值无涉并非天然成立,这一方面涉及对大数据分析背后“决定论”思维的反思和质疑,另一方面涉及对算法中立的质疑,[46]两相结合之下容易诱发“数据专断”的风险,[47]美国2016年威斯康星州的卢米斯案(State v.Loomis)[48]和后续美国独立新闻机构ProPublica针对该案中采用的COMPAS算法歧视的考察[49]即是典型例证。最后,技术的运用离不开相应的人力、物力、财力等资源的支持,后者在不同节点间的配置失衡将直接限制各个节点实际的技术能力,进而形成信息生命周期不同阶段的管理质量差异。
就技术专业性挑战而言,一个可以切入的应对思路是区分专业取证与首次接触电子数据这两个时点,并通过制定和普及清晰、简明的首次接触者行为指南,一方面确保实质取证过程的科学性与专业性,另一方面尽可能降低专业人员不在场所时取证活动所面临的证据保全风险。目前这一做法已经在国际上获得广泛应用,例如美国国土安全部(Department of Homeland Security,DHS)制定的《电子证据扣押最佳方案:首次接触者口袋书》[50]、欧盟2016年7月生效的《网络与信息系统安全指令》要求成员国建立计算机安全突发事件回应小组(computer security incident response teams,CSIRTs)、[51]英国网络安全中心(National Cyber Security Centre,NCSC)等部门联合发布的《突发接触管理十个步骤》[52]等文件,均对数据首次接触或偶然接触的情形建立单独的行为规范。
就数据专断挑战而言,其核心在于效率与公正的平衡,应对关键在于以下两个层面。第一个层面是算法的可见性,即在必要的情形下,特别是当需要采用限制公民基本权利的措施的情形下,并在综合考量算法公开可能引起的安全性问题的基础上,对于算法进行必要且适度的公开和说明。需要注意的是,在商业主体为刑事司法机关提供技术支持,甚至为其设计相应的信息技术应用程序的情况下,这种公开可能触及相关知识产权,并有可能受制于技术开发方与应用方之间的合同约定,此时有必要在区分风险和嫌疑的基础上,划分公开层级,特别是区分建议公开和强制公开情形。
第二个层面是数据分析的可救济性,主要涉及三个方面的事项。首先是救济程序,即针对个案中基于算法的自动决策系统设置相对独立的申诉和审查机制,采用多个算法对原计算结果从公平性、有责性和透明性三个角度进行评估,并在必要时弱化其作为定案依据的能力。其次是救济方式,即针对算法得出的结果,除针对算法本身进行审查外,原则上应当以人工审查作为必要的救济方式。最后是常规化审查机制,即针对犯罪治理权力机关采用的与定罪量刑和犯罪风险预测相关的自动决策系统,由相对独立的第三方机构或组织进行定期评估和矫正,从而实现对算法歧视的动态监控,典型的例证是2017年12月美国纽约市通过一项议案,建立特别小组对本市政府机构使用算法协助司法程序的做法进行专门审查。[53]
就技术能力失衡方面的挑战而言,主要体现在三个层面:一是政府部门间的技术能力失衡,特别是刑事司法机关与行政机关之间的技术能力失衡;二是不同体量的商业主体间的技术能力失衡;三是以上两者与社会公众在技术能力方面的失衡。第一个层面的失衡可以通过机构间的技术共享和定期培训进行矫正。第二个层面的失衡由于会涉及技术专利等商业主体的核心竞争力,因此一方面基于必要性和所针对的犯罪类型,在合理范围内鼓励犯罪治理技术共享;另一方面国家需要承担起积极义务以协助中小型网络信息业者进行技术能力建设。第三个层面的失衡有可能引发对公民个人信息的不当侵入,或者实质性损及公民在刑事诉讼程序中享有的无罪推定、控辩平等权利。对此在制度设计时需要区分两种情形:针对非对抗情形,网络经营主体、国家机关等强势主体在技术协同方面的关键在于以前文论及的信息周期阶段划定技术应用的方式和程度;针对对抗情形,则需要在对抗规则上向公民一方倾斜,例如在必要时对举证责任进行倒置。
(三)节点资源协同
犯罪治理之所以需要多节点协同,关键因素在于各个节点在治理资源上的互补关系。在信息革命的语境下,信息资源是核心,同时也是各节点参与犯罪治理最需要加以整合的资源,但除此之外,不同节点依其性质所掌握的其他类型的治理资源存在差异,这些资源可以在一定程度上影响信息资源配置与整合的具体方式、路径、效能。例如,刑事司法权力机关所掌握的国家权力资源,可以有效起到协调甚至强制各个节点行为的作用;同时基于其长期以来从事犯罪治理所积累的经验和建构起的内部规范,以及由此形成的强烈的共同体认知,也使得刑事司法权力机关可以高效判断犯罪风险或事件并及时采取相应的措施,这些资源构成其相对于其他节点的治理优势。
如前所述,随着信息在社会治理层面的角色和功能转型,刑事司法权力机关所掌握的以上传统的治理资源的权重开始有所下降,信息资源一方面在微观上呈现出碎片化分布的特点,另一方面在宏观上则呈现出类型化的集聚特征。这种集聚特征可以从三个维度加以描述:第一是信息的相关性;第二是信息的及时性;第三是信息的可靠性。
首先,在犯罪治理的语境下,信息的相关性针对的是犯罪风险或嫌疑。在这个意义上,不同治理节点基于其性质差异,所占有的信息资源存在相关性上的差异。法律框架下的犯罪是一个人为建构和相对封闭的概念;对于犯罪的认知以及相应的定罪量刑活动,刑事司法有其自身的逻辑和运行模式。基于此,刑事司法权力机关不仅仅是犯罪数据的收集者,更是犯罪数据的主要生成者,[54]刑事司法的自身运行过程和结果构成犯罪大数据原始数据的核心来源之一,并且其所占有的数据具有较高的结构化特征。其他国家机关基于政务大数据共建共享,在形成本机关相关信息资源的同时,也在一定程度上可以接触到刑事司法内部犯罪数据,其信息资源的相关性仅次于刑事司法权力机关。商业主体对于犯罪治理相关信息的占有取决于其所承担的法定治理义务,对于可能危害国家安全、公共秩序等的信息具有一定的敏感性,[55]但这些信息往往融汇于一般性的业务信息之中,与犯罪治理的相关性又次之。社会公众并不承担信息的收集、分析、处理职能,其所掌握的与犯罪治理相关的信息具有偶发性和私人属性,在各个节点中与犯罪风险或嫌疑的直接关联性最弱。
其次,信息的及时性考察的是信息资源的动态更新速度。四类犯罪治理节点在其所占有的信息资源的及时性方面的排序与相关性相反。其中,社会公众的信息资源基于参与主体在空间、时间和背景上的高度分散性,其动态性最强。网络信息业者等商业主体在其业务范围内与社会生活基本保持同步,虚拟场域与物理场域高度融合,由此确保其占有的信息资源能够保持高度动态运行。相反地,国家机关与社会生活之间基于治理关系保持一定的距离,其对于犯罪治理相关信息的占有更多基于监控或管理行为,使得国家机关在收集与犯罪治理相关的信息方面较为滞后,而传统刑事司法体系对于犯罪的被动回应进一步凸显出此种滞后性。
最后,信息资源的可靠性在四类节点之间同样存在差异,但这些差异更多的是类型不同而非程度不同。基于专业性与信息措施强制力方面的差异,一般认为刑事司法权力机关所掌握的犯罪治理信息具有较高的可信度,但由于传统刑事司法体系的相对封闭性,使得基于数据分析形成的犯罪认知在该体系内呈现出自强化的趋势,何种群体更容易被定罪,何种行为或身份更可疑,何种成长或生活背景更容易引发再犯,哪些犯罪值得立案以启动刑事诉讼程序,等等,这些在刑事诉讼运行过程中逐渐形成的既有观念乃至偏见会直接作用于司法机关的判断和决定,进而影响后续数据的迭代积累。就其他三类参与节点而言,除直接在具体案件中提供证据材料或线索,其更多服务于犯罪风险监控,因此在判定相关数据时本身就存在偏差。网络信息业者等商业主体虽然具有一定的技术优势,但其并不天然承担判断评价其所掌握的数据的真实性的义务,在符合法律规则底线的前提下,其对数据可靠性的注意义务往往由其业务类型和商业利益限定。就社会公众而言,其所占有的信息资源则呈现出高度的非结构化特征,数据噪声较多,可靠性程度相对更低。
由此可以看出,在犯罪治理信息资源的占有方面,不同治理节点呈现出各自的优势和劣势,这也成为节点资源协同模式选择的重要参照点。节点资源协同治理至少需要从两个角度加以考量。
第一个角度涉及优势资源配置,需要在区分犯罪风险和犯罪嫌疑的基础上,将不同节点的信息资源优势与信息生命周期的不同阶段予以匹配。一方面,在针对性和现实性较弱的犯罪风险防控领域,需要尽可能利用信息资源及时性强的犯罪治理节点,随着治理对象的不断具体化和明确化,对于信息资源可靠性和相关性的要求需要同步提升。另一方面,在整个犯罪治理信息生命周期中,早期的数据收集、整合阶段同样需要强调及时性,但对于相关性的要求相对较弱,而可靠性判断则需要在后期阶段中予以逐渐强化或审查确认。
第二个角度涉及信息流向。所谓协同治理并不意味着信息资源在各个节点间的全方位无障碍流转。基于不同治理节点的价值取向差异,在认知协同划定的治理边界内,犯罪治理信息资源的节点间流转存在两项主要限制。首先,在信息生命周期早期收集的数据并非全部适用于后期的犯罪治理活动,特别是基于犯罪风险考量收集的大量相对人的背景数据,并非全然与特定犯罪嫌疑的判定相关。从保障公民个人信息等权利的角度出发,需要对具体犯罪嫌疑的数据收集、分析、处理、应用划定较为明确的范围,为犯罪风险防控而收集的该范围以外的其他数据,除非确有必要,原则上不应当向国家机关流转。其次,犯罪嫌疑或犯罪记录作为公民的隐私信息,应当予以充分保障,原则上针对具体犯罪嫌疑适用或生成的信息,不应当逆向流转至刑事司法权力机关以外的治理节点。
(四)节点制度协同
无论是技术还是资源的协同治理,最终都需要通过相应的制度安排予以实现,这些安排既涉及体制层面不同治理节点之间相互关系及权属划分的体系、方法、形式,也涉及机制层面治理节点的组织或部分之间相互作用的构造、过程和方式。以上两个方面的制度安排在前三个部分的探讨过程中已有所涉及,这里我们集中关注节点制度协同治理中的一个关键问题,即在法律制度建构层面新技术伦理向犯罪治理规则的转化问题。
如前所述,犯罪治理活动需要在人权保障的底线之上运行,信息革命映射于社会治理时并非在宏观层面否定这一命题,而是需要进入中微观领域,探讨如何修订具体规则以适应新技术的介入,在维系人权保障底线的前提下,提升犯罪控制的效能。对于该命题,在社会治理的语境下,表现为对新技术伦理的探讨;具体到犯罪治理领域,则需要进一步与刑事司法的基本价值进行嫁接和转化。
近些年,随着大数据、人工智能、自动决策系统等新型信息技术的发展,关于新技术伦理的探讨逐渐引起社会的广泛关注。国际层面,2017年,联合国教科文组织(UNESCO)与世界科学知识与技术伦理委员会(COMEST)发布机器人伦理报告,呼吁全社会关注该领域并参与探讨。[56]电气电子工程师协会(Institute of Electrical and Electronics Engineers,IEEE)自2016年起系统性针对自动决策和人工智能的伦理建构发起全球性倡议,其所形成的《系统设计期间解决伦理问题的模型过程》(Model Process for Addressing Ethical Concerns During System Design)的系列标准(即“P7000”系列标准),就系统透明度、隐私保护、算法偏见、福利度量等多个伦理事项展开探索。[57]国际计算机协会(Association for Computing Machinery,ACM)自1992年起针对相关领域和行业出台并不断更新行为道德准则,在2018年的准则草案中将一般准则体系概括为七条:(1)促进社会和人类福祉,并将所有人类确认为计算系统的利益相关者;(2)避免伤害;(3)诚实可信;(4)公平不歧视;(5)尊重创造新观点、新发明、新制造和新产品;(6)尊重隐私;(7)尊重保密性。[58]2019年,经济合作与发展组织(OECD)正式采纳首个由各成员国政府签署的人工智能原则,该原则之后被G20采纳。[59]与国际潮流相一致,2018年在国家标准化管理委员会指导下,中国电子技术标准化研究院发布《人工智能标准化白皮书(2018版)》,专门补充伦理问题探讨,提出“人类利益原则”和“责任原则”两大原则。[60]
以上新型技术伦理的探讨一方面折射出技术发展与社会规范之间的高度互动,另一方面也体现出网状社会之下对于伦理共同体的渴求,以及多节点参与技术伦理建构的必要性和可能性。在总结当前国际层面和国内层面关于新技术伦理的探讨的基础上,结合刑事司法犯罪控制与人权保障的核心价值理念,笔者提出信息革命下犯罪治理节点制度协同的四项原则:人权保障原则、信息公平原则、比例原则、责任原则。需要说明的是,这些原则在传统刑事司法语境下已然提出,此处探讨的目的在于分析信息革命语境下这些原则的新内涵。
第一是人权保障原则,该原则需要从两个角度对其内涵加以发展。一方面,从权利内容来看,有必要在传统体系的基础上,将关注重点适当向个人信息相关权益倾斜,在多节点治理的语境下,将刑事司法权力机关以外的节点对于个人信息的干预纳入人权保障的统一体系之下,将人权保障制度的覆盖范围与信息生命周期相匹配,特别是需要将犯罪风险防控中的信息收集、存储等位于信息生命周期管理早期阶段的行为放置在该范围之内。正是在这个意义上,无罪推定等原本适用于刑事诉讼程序正式启动之后的基本原则和规则,需要在必要时向刑事诉讼外阶段进行扩张适用。另一方面,从权利实现方式来看,基于“无救济无权利”的理念,在数据和算法成为犯罪治理决策的重要甚至核心依据的发展趋势下,有必要将人工决策纳入权利救济体系中去。
第二是信息公平原则,具体表现为两项要求。第一项要求是信息质量要求,既包含基础数据的质量要求,也包含数据运算和分析方法的质量要求。在犯罪治理活动中,以上要求构成犯罪控制有效实现的关键,核心在于确保信息准确、完整和中立。第二项要求是信息能力要求,该要求主要是放置在治理者与治理对象的互动关系下进行探讨,是传统刑事司法控辩平等原则的升级演化。具体而言,该要求包含两个层面:一是信息接触能力公平要求,二是信息分析能力公平要求。在多节点协同治理的框架下,信息能力公平需要衍生出治理者向治理对象的必要的说明义务和接受中立第三方审查的义务。
第三是比例原则。信息革命下的犯罪治理并不会偏离比例原则的基本逻辑,即从目的正当性、手段适当性、必要性、均衡性(狭义比例原则)四个方面搭建公权力限制公民基本权利的边界,但在其内涵上需要进行以下三个维度上的拓展:其一是在犯罪治理阶段维度上,区分一般风险防控和具体犯罪侦破,将限制人身自由或涉及敏感信息的治理措施限定于后一阶段;其二是在信息生命周期管理维度上,区分周期的不同阶段,并将治理措施的强制程度由弱到强与信息生命周期阶段前后进行匹配;其三是在信息安全维度上,就治理对象可直接接触的数据的范围而言,需要与治理所涉犯罪的社会危害性相匹配。
第四是责任原则。法律责任的建构是法律制度完整性的必然要求,信息革命引发犯罪治理决策过程中人与机器的共同参与,但并不意味着法律责任也应当在两者之间共同承担。一方面,算法本身不能成为自动决策系统错误的责任承担者,责任必须归属于特定主体;另一方面,原则上算法不能直接单独构成特定主体的免责事由。基于以上两方面的考量,责任原则可以推演出以下四项要求:首先是透明性要求,即在保护国家秘密、商业秘密和个人信息的基础上,确保自动决策过程和原理的外部可审查性;其次是标准化要求,即在事前建立相对统一的数据处理行为准则,用以进行后期的责任评价;再次是动态化要求,即对于自动决策所依赖的算法需要建立常规化的审查和升级制度,避免出现算法层面的轨迹依赖;最后是中立性要求,即有必要设立相对独立于治理节点的第三方,就责任性质及归属作出中立评价。