天天看點

尚權推薦|賈紫涵:刑事偵查領域個人資訊保護規範檢視與體系建構

摘要

數字時代,新興技術與刑事偵查緊密結合,在提高了案件偵破率和偵查效能的同時,也進一步加深偵查機關對公民個人資訊權利的幹預程度。加強刑事偵查領域個人資訊保護,既有利于防止偵查權被濫用、保障司法人權,也與刑事正當程式要求契合。檢視大陸刑事偵查領域個人資訊保護規範,主要圍繞個人通信資訊與個人隐私資訊展開,遵循隐私權保護邏輯,強調公權力機關的自我規制與積極保障,側重規制個人資訊的收集階段。為推動大陸實作個人資訊有效使用與合法保護之平衡、控制犯罪與保障人權之并重,有必要強化個人資訊權作為公民基本權利的法律地位,明确偵查機關處理個人資訊的基本原則,從具體權利内容、程式保障機制、配套制度建設三方面共築刑事偵查領域個人資訊保護制度。

關鍵詞:刑事偵查;個人資訊權;規範分析;制度建構

一、問題的提出

随着網際網路普及率與使用者規模的大幅攀升,大資料、人工智能、物聯網等新一代資訊技術在日常生活中的全面滲透,數字時代的大門已被開啟,“以資訊換取便利”成為當下參與網絡社會的重要準則,一個依賴甚至高度依附網絡與數字産品的時代初現雛形。這種依附的直接代價是,個人資訊作為日常行為的副産品,被公司企業、社會組織、政府機構持續不斷地收集、存儲、分析,人類自身面臨着前所未有的透明化。數字時代,如何保護個人資訊與隐私的安全,維護個人的主體價值成為社會熱切關注的話題。

近年來,大陸越來越意識到公民個人資訊被洩露、濫用的嚴峻性,在個人資訊保護立法方面持續發力,逐漸形成了獨具中國特色的個人資訊保護法律規範體系。不過,刑事訴訟程式中國家機關的個人資訊處理活動卻較少引起立法者重視;尤其在刑事偵查中,現有法秩序對個人資訊保護的關照幾近于無。一方面,立法者習慣于采用相對抽象的立法技術,将與偵查有關的個人資訊處理活動交予其他法律法規進行規範;然而,法法銜接的不暢導緻偵查領域成為個人資訊保護法網下的遺漏之處。另一方面,出于維護國家安全和打擊犯罪需要立法者往往對偵查機關處理個人資訊予以單獨關照,如《網絡安全法》第 28條規定,網絡營運者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支援和協助。這無疑強化偵查機關在個人資訊保護中的特殊地位,加劇個人資訊保護在偵查場景的失語現象。

與個人資訊保護在偵查場景的緘默相比,以個人資訊使用為核心的資訊化導偵、大資料偵查、智慧偵查建設正如火如荼,雲計算、物聯網、大資料等新一代資訊技術嵌入偵查,并以前所未有的速度重構偵查活動。例如,在犯罪發生後,偵查人員為了查清犯罪事實,不僅可以通過網絡監控、視訊監控、通訊監控等多種手段深入挖掘犯罪相關資訊,還可以通過公安資訊資料庫全面了解案件相關人員的基本資訊、社會關系與行動軌迹,進而迅速排除或鎖定犯罪嫌疑人。可以說,公民個人資訊已深刻融入偵查的每一環節,成為偵查機關偵破案件的重要工具;而科技與偵查的緊密結合,又不斷拓展着偵查機關處理個人資訊的廣度與深度。然而,伴随着打擊犯罪精準化、智能化、高效化的提升公民對其個人資訊的控制不斷削弱,個人資訊權受到侵蝕。事實上,偵查機關處理個人資訊,不僅關乎公民個人資訊保護,還關乎刑事司法人權保障與現代偵查法治化建設。在偵查場景中,個人資訊既是公民權利的重要内容,也是偵查機關打擊犯罪之重要武器。規制偵查機關處理個人資訊行為的本質,旨在實作數字時代打擊犯罪與保障人權之平衡。但現實情況是由于技術賦能下偵查權的強化以及偵查機關一以貫之的強勢地位,以“資訊交換安全”逐漸異化為“犧牲資訊換取安全”。面對數字時代懲罰犯罪與保障人權的失衡,如何建構一套刑事偵查領域個人資訊保護制度,成為目前理論研究和司法實踐需要解決的難題。有鑒于此,本文從犯罪控制與人權保障理念出發關注現代科技發展對刑事偵查的影響,聚焦個人資訊權利面臨的沖擊,檢視大陸刑事偵查領域個人資訊保護規範,從制度層面分析個人資訊保護不力的因由提出刑事偵查領域個人資訊利用與保護平衡的制度思路,以期能推動大陸個人資訊與安全在法治架構内實作公平交換。

二、刑事偵查領域個人資訊保護的必要性分析

新興技術與刑事偵查的緊密結合,雖然極大程度提高了案件偵破率和偵查效能,但同時也加深了偵查機關對公民個人資訊權利的幹預程度。在偵查場景中,保護個人資訊具有必要性與緊迫性,一方面是為了防止偵查權被濫用,保障司法人權,另一方面是使數字時代偵查措施契合刑事正當程式要求,推動偵查程式的法治化建設。

(一)控制數字時代刑事偵查權的溢出

當偵查機關既往的辦案經驗與技術手段已難以應對犯罪在數字時代層出不窮的變化,擁抱人工智能、大資料等新一代資訊技術,利用國家機關天然的“資訊優勢”對犯罪進行“資訊反制”成為刑事偵查的必然選擇。為了更加快速、精準的打擊預防犯罪,促進資訊紅利向偵查紅利的轉化,偵查機關難耐擴權的沖動,不斷攫取公民個人資訊,常态化使用公民敏感資訊,導緻公民個人資訊權利在偵查權力面前節節後退。

首先,以行政治理為目的建構的國家資訊資源平台為偵查機關提供了充足的資訊資源,人臉識别等生物識别技術幫助偵查人員輕松識别“感興趣的人”的身份。如美國警察利用 Recognition 人臉識别軟體對公共監控中的鏡像連續掃描,并與存儲 30萬張公民人像的資訊庫進行比對,縮小偵查範圍。同時,該軟體還可以與人體穿戴錄影機相連,幫助警察在公共場所随時随地識别并擷取公民個人身份。這種對公民基本個人資訊的全方面收集,已呈現出大規模監控的趨勢。“犧牲”公民個人資訊權益維系社會秩序安全已成為全球通病。其次,為解決資訊收集使用中存在的技術壁壘,偵查機關通常會積極與第三方合作,調取公民資訊,導緻專屬偵查權分散化擴張。根據蘋果公司透明度報告顯示,2019年上半年,美國調查機構在 1568個案件中(有司法令狀要求蘋果公司為其提供使用者個人資訊,涉及約 6000個賬戶,涉及電子郵件、通信記錄、iCloud 資料等大量私密資訊;這些資訊将成為法庭認定公民犯罪的證據。在這一過程中,第三方公司成為“國家機關偵查手臂的延伸”,提高了偵查權對社會的控制力的同時,也讓公民個人資訊與隐私無處可藏。

再次,公民敏感資訊普遍化收集與一般化存儲。不同于一般個人資訊DNA 資訊能夠直接指向資訊主體,具有唯一識别性,屬于公民的敏感資訊,應當在比例原則的指引下謹慎收集使用。然而在司法實踐中,為了提高偵查效率偵查機關采集 DNA 資訊卻呈現出常态化、普遍化、粗糙化特點,包括無論犯罪嫌疑大小廣泛采集血樣,疏于排查,直接采集某一區域所有公民血樣。更有甚者,為了預防犯罪,大陸某地公安機關将轄區内所有男性的 DNA 資訊入庫以備用。生物資訊存儲安全也未得到應有的重視。以世界上最大的身份資料庫Aadhaar 為例,該資料庫記憶體儲有印度 12 億公民的資訊,包括指紋、瞳孔DNA 等敏感資訊。然而由于自身系統的漏洞以及龐大的資料容量,超過1億印度公民的敏感資訊被洩露。

最後,數字時代偵查權的外溢不僅展現在偵查機關的權力擴張,還表現為偵查人員的權力濫用。正如盧梭在《社會契約論》中指出,任何國家警察身上都存在三種意志,“首先是個人固有的意志,它僅隻傾向于個人的特殊利益;其次是全體行政官的共同意志;第三是人民的意志或主權的意志。”偵查人員受自利性驅使,利用職務之便收集他人個人資訊的情況亦不空見。是故,面對偵查機關不當偵查措施及偵查人員利用職務之便嚴重侵擾公民個人資訊時,國家有必要在制度層面加強對刑事偵查領域個人資訊的保護,控制偵查權的外溢。

(二)實作數字時代刑事正當程式要求

刑事正當程式是一種權利保障機制,其核心在于確定科以公民刑事責任的程式本身必須公正。大資料、人工智能等新一代資訊技術的廣泛應用極大程度提高了刑事偵查效能,在打擊網絡犯罪方面發揮巨大作用;但同時,技術賦能下的偵查權擴張也動搖了刑事正當程式。數字時代的個人資訊,一方面扮演着使偵查權得以實作和有效運作的補劑,另一方面又是由被追訴人的人格組成蘊含了自由、尊嚴等豐富人權價值。圍繞個人資訊開展的權力與權利的鬥争不斷升溫。在國家政策、資訊技術的支援下,偵查權如虎添翼,在角鬥中呈現出壓倒性優勢。不加規制地收集公民個人資訊,以侵犯公民合法權益換取偵查成果的做法顯然與刑事偵查法治化程序相左。

正當程式作為“權利穩定器”和“權力抑制器”,要求将新時代技術賦能偵查措施納入法治軌道,達到發現案件事實真相與保障公民合法權益的平衡。雖然刑事偵查的特殊性需要公民個人資訊權益作出“讓步”,但“如何讓步”“讓多少步”應當是在法治環境下作出,符合明确、公正、适當等程式要求而非由帶有強烈追訴傾向的偵查機關自行決定。為避免偵查機關恣意收集使用公民個人資訊,德國在《刑事訴訟法》中明确規定了電子搜尋追緝、電子資料比對等以公民個人資訊為基礎的偵查措施的适用條件、适用程式,并對資訊傳輸、存儲等提出要求。美國雖然沒有明文規制偵查機關處理個人資訊之行為,但以憲法資訊隐私權為準線,通過聯邦最高法院個案裁量的方式,為偵查機關收集使用公民個人資訊劃定界限,同時輔以具體程式要求。此外,美國還發展出合理隐私期待标準、馬賽克理論、完美監控理論等觀念,成為司法實踐中平衡偵查權與公民權利,實作司法公平正義的重要理論工具。

三、大陸刑事偵查領域個人資訊保護規範的理性檢視

建構輕罪制度,從本質上說,就是在立法上進行犯罪化處理,通過擴大刑法的調整範圍,把一些原本不屬于刑法調整的、輕微的危害社會行為也納入刑法,以刑法手段來規範行為。輕罪制度的建構、刑法打擊面的擴大必然會對社會産生巨大的影響。我們認為,建構輕罪制度對社會實踐有以下三個方面的意義。

(一)建構輕罪制度能彌合大陸制裁體系的結構性斷層

黨的十八屆三中全會通過的《中共中央關于全面深化改革若幹重大問題的決定》廢除了勞動教養制度。在勞動教養制度沒有被廢除之前,大陸對違法犯罪行為的治理主要是“三級制裁體系”:刑事處罰處于最高層,以相關刑事法律為支撐、懲罰具有嚴重社會危害性的犯罪行為,治安處罰處于最底層,以《治安管理處罰法》為依托處罰一般的行政違法行為,而處于中間環節、銜接刑事處罰與治安處罰的是大陸特有的強制性教育措施(包括勞動教養制度、收容教養制度、強制隔離戒毒、收容教育制度等),主要處罰輕微的犯罪行為和嚴重的行政違法行為。從懲處的嚴厲程度來看,刑罰最為嚴厲,勞動教養次之,治安處罰最輕。雖然說從邏輯上看,“三級制裁體系”邏輯嚴密、銜接順暢,但是在司法實踐中,勞動教養制度卻暴露出種種弊端,是以最終被廢除。勞動教養制度被廢除打破了對違法犯罪行為的“三級制裁體系”,制裁體系發生了斷層,為了防止治理手段的缺位,就需要及時填補制度的空白。建構輕罪制度,将原本由勞動教養制度規範的行為根據行為性質和社會危害性大小分别處理,一部分納入治安處罰中,另一部分納入刑法處罰中,能夠有效地彌合治安處罰與刑事處罰之間的斷層,同時也可以讓行政權與司法權互不僭越、各司其職,形成規範、有序、穩定的違法犯罪行為制裁體系。

(二)建構輕罪制度是提高社會治理水準的有益嘗試

黨的二十大報告提出:“國家安全是民族複興的根基,社會穩定是國家強盛的前提”,并提出要“提高公共安全治理水準”“完善社會治理體系”“提升社會治理法治化水準”。全面推進社會主義現代化建設的曆史背景和時代任務,對中國的法治建設也提出了更高的要求,需要我們的法律能夠适應時代發展,以法治的現代化推進國家治理水準的現代化。

建立輕罪制度的意義不僅僅是建立一項法律制度,更旨在以此傳達出的理念來引導群衆、治理社會。著名的“破窗理論”指出:“我們用一扇破窗的圖像,解釋若無人确實地維護,鄰裡社群将可能堕入失序,甚至犯罪的境地。當一間工廠或一個辦公室的窗戶壞了,路過的人可能是以認定這裡無人維護或負責管理。一段時間過後,就會有人開始丢石頭、打破更多窗戶。很快地,所有的窗戶都被破壞,而此時路人會認為,不隻這一棟建築無人看管,它所在的這條街也是法外之地,隻有不良少年、罪犯,或不知天高地厚的人,才敢在不受保護的區域遊蕩。是以,愈來愈多善良的公民抛棄這個地方,讓給那些他們以為潛伏在暗處的惡徒。小失序演變成愈來愈大的混亂,甚至犯罪。”根據“破窗理論”,維護社會秩序穩定需要從小處抓起,否則這些輕微的犯罪就如同“破窗”,随着時間推移,這些輕罪将逐漸蔓延、泛濫,最後失序,産生嚴重的犯罪後果。建構輕罪制度,對于一些類似“破窗”的輕罪進行入罪處理,恰恰能夠提前警示社會,提高群衆的認識,發揮到一般預防的作用,對提高社會治理水準發揮積極作用。對此,近代刑法學家貝卡利亞也強調要重視對于輕微犯罪的治理:“如果人們并不孤注一擲地去犯嚴重罪行,那麼,公開懲罰嚴重犯罪的刑罰,将被大部分人看作是與己無關的和不可能對自己發生的;相反,公開懲罰那些容易打動人心的較輕犯罪的刑罰,則具有這樣一種作用:它在阻止人們進行較輕犯罪的同時,使他們不可能進行重大的犯罪。”

而且,現有的一些資料已經顯示,輕罪入刑能夠發揮有效的社會治理效果。例如,公安部釋出的有關統計資料就充分證明了,醉駕入刑對酒駕、醉駕的治理取得了實際效果。截至2012年4月30日,全國公安機關查處酒後駕駛數量同比下降41.4%,醉駕同比下降44.5%;酒駕發生交通事故2011年共3555起、死亡1220人,比上一年分别下降18.8%和37.7%。醉駕入刑兩年取得了十分顯著的效果:一是酒駕得到明顯遏制。全國公安機關兩年查處酒駕87.1萬起,其中醉駕12.2萬起,同比分别下降39.3%和42.7%,酒駕、醉駕總量都是大幅下降。二是酒駕所緻交通事故明顯下降,2012年5月至2013年4月因酒駕導緻的交通事故同比下降12.4%,其中醉駕的交通事故案件數、死亡數、受傷數,同比分别下降35.2%、21.1%、34.7%。三是自覺守法意識明顯增強,“開車不喝酒、喝酒不開車”的觀念已經深入人心,抵制酒駕的良好社會風氣形成。“醉駕入刑”3年多,年均遞增機動車1500萬輛、駕駛人2000萬人、道路裡程12萬公裡,但酒駕、醉駕發生交通事故案件數、死亡數不升反降,與醉駕入刑前相比,資料同比分别下降25%和39.3%。

可以看到,無論是從犯罪學理論進行的學理論證,還是根據司法實踐所積累的實務經驗,都表明建構輕罪制度,能夠發揮法律在社會治理中的作用,能夠防微杜漸,規範人們的行為,幫助人們抵制不良的風氣,逐漸在整個社會形成良好的法治氛圍。

(三)建構輕罪制度是司法實踐中保障人權的重要手段

目前,在大陸的司法實踐中,輕罪案件的訴訟過程中存在着種種不合理的情況。其一,輕罪案件處理期限的相對延長。根據實務工作者的回報,在司法實踐中,刑訴法雖然對于輕罪案件規定了刑事簡易程式,但是簡易程式隻适用于審判階段,在偵查階段和審查階段的期限沒有特殊規定。現實中,對于輕罪案件的偵查和審查起訴期限是由辦案人員在法定期限内自由掌握的。實踐中,面對案多人少的情況,再加上輕罪案件社會影響力較小,辦案人員的關注度亦不高,辦案人員往往首先把精力放在重罪案件的處理上,反而導緻了輕罪案件處理時間延長。其二,對輕罪案件審前逮捕羁押期限過長。在大陸,公訴案件需要經過審查起訴環節,無論罪刑輕重、案情繁簡,都需要經過較長的審查期限,在這個過程中,涉案的犯罪嫌疑人都有被拘留或逮捕的可能。盡管目前積極倡導“少捕慎訴慎押”的刑事司法政策,但是實踐中對于輕罪案件适用審前逮捕羁押措施的現象仍然存在,較長的審前羁押逮捕期限可能導緻罪行本就較輕的犯罪嫌疑人在審判後面臨已經羁押了很久,甚至是“超期羁押”的情況。是以,從程式價值和訴訟效益的角度來說,為了消除大陸在輕罪案件訴訟過程中出現的種種不合理狀态,充分保障輕罪案件的當事人的合法權益,也應當逐漸建構出一套完善的輕罪制度,對于現實中輕罪案件處理期限拖長等問題進行規範,盡量減少當事人的訴訟成本,提高輕罪案件的辦案效率。

盡管建構輕罪制度有着各個方面的積極意義,但是還是需要注意一點,建構輕罪制度,提高大陸刑法的犯罪化程度,也需要适度,需要理性分析和選擇哪些行為适合納入輕罪犯罪圈,不能過于拓展刑事犯罪網。如果輕罪犯罪圈過度膨脹,給社會大衆形成一種處處皆為犯罪、但隻會被輕微處罰的感受,那麼刑法在群衆心目中的權威性必将大打折扣,我們以輕罪入刑來規範群衆行為的初衷也将成為“無根之木、無源之水”,無法實作。

三、大陸刑事偵查領域個人資訊保護規範的理性檢視

大陸刑事偵查領域個人資訊相關規範主要圍繞個人通信資訊與個人隐私資訊展開。在具體規則建構上,大陸采取的是強調公權力機關自我規制的隐私權保護路徑。但無論從力度、範圍、方式上,公權力機關對個人資訊的保護遠遠比不上其對個人資訊的利用。究其原因,一是犯罪控制理念引領下,大陸刑事訴訟規範重“用”而輕“護”;二是技術賦能下,偵查措施性質被錯誤界定以及不當放權;三是欠缺個人資訊全流程保護機制和外部監管機制規範。

(一)刑事偵查領域個人資訊保護的規範脈絡

大陸《刑事訴訟法》對個人資訊保護主要沿循兩條基本脈絡展開,一是遵循《憲法》第40 條規定,将偵查機關收集使用犯罪嫌疑人及涉案人員通信資訊的方式方法納入法治架構,避免“公民通信自由和通信秘密”受不當幹預;二是從保障刑事司法人權和訴訟安全角度出發,對刑事訴訟當事人及其他涉案人員的隐私資訊予以保密。

1.個人通信資訊的程式法保護

《憲法》第 40 條規定,大陸公民享有通信自由和通信秘密的基本權利。其中,通信秘密是指通信主體之間交換資訊的内容,包括郵件、電話、電報内容等。對于通信記錄,如通信主體姓名、通信号碼、通信起止時間與時長、通信地點、通信頻次以及 IP 位址等是否屬于通信秘密,學界目前尚存争議。主流觀點認為,上述通信資訊均屬于通信秘密範疇。2004年全國人大常委會法工委關于“通話詳單”是否屬于通信秘密的答複為這一觀點提供了法律支撐。通信資訊與個人資訊存在交集,與已識别或者可識别的自然人有關的通信資訊均屬于個人資訊。《關于辦理侵犯公民個人資訊刑事案件适用法律若幹問題的解釋》《民法典》在界定個人資訊時亦将“通信通訊聯系方式”“電話号碼”“電子郵箱”等通信資訊納入列舉範疇。但是,通信資訊并非絕對不可被收集使用。考慮到國家安全保障與犯罪偵查活動需要,《憲法》專門為公安機關和檢察機關收集使用公民通信資訊設定了例外情形,由此構成了《刑事訴訟法》相關偵查措施幹預基本權利的上位法依據。偵查機關幹預公民通信自由和通信秘密主要集中于兩個方面:一是為收集證據、查清案件事實而采取的通信監聽措施,包括通信技術偵查與向通信公司調取通信記錄。對于前者,《刑事訴訟法》從适用範圍、準許程式、适用期限、資訊保密與銷毀等方面予以嚴格限制。對于後者,《公安機關辦理刑事案件程式規定》明确規定了偵查機關的資訊調取程式和保密義務。二是為保證訴訟順利進行而對犯罪嫌疑人實施的通信監控例如,限制被取保候審、監視居住的犯罪嫌疑人的通信自由等。根據采取強制措施的不同,立法對犯罪嫌疑人通信秘密和通信自由的幹預也有所不同。

2.個人隐私資訊的程式法保護

隐私是指自然人不願受外界侵擾的私人領域,包括私密空間、私密活動與私密資訊。隐私資訊,即對私密空間、私密活動、私密部位等隐私事實的資訊化表達,是處于事實層的隐私在資訊層上的投射。雖然《刑事訴訟法》等法律規範并未明确當事人在刑事訴訟中享有隐私權,但這并不意味着《刑事訴訟法》不保護當事人的個人隐私。例如,在證據收集和調取,技術偵查措施的實施方面,立法明确要求偵查人員嚴格保守公民的個人隐私,并對侵犯公民私人領域強度更高的措施予以更嚴格的程式限制。在人身檢查方面,立法賦予被害人拒絕偵查人員提取指紋、采集血液、尿液等生物資訊的權利。在作證方面對危害國家犯罪等特定類型案件,為了避免證人、鑒定人、被害人因在偵查過程中作證,導緻其本人與親屬面臨安全危險,立法規定偵查機關有義務對其采取保護措施,其中包括隐匿其真實姓名、住址和工作機關等個人資訊;在起訴意見書、訊問筆錄等法律文書、證據材料中,可以使用化名等代替證人、鑒定人、被害人的個人資訊。

(二)刑事偵查領域個人資訊保護規範的基本特征

大陸刑事偵查領域個人資訊保護規範呈現出以下三方面特征:其一,在保護邏輯上,遵循“隐私權”進路下的個人資訊保護,主要保護被害人、證人、鑒定人私生活領域且不願被其洩露的隐私資訊,而較少關注其他類型的個人資訊;其二,在保護方式上,強調公權力的自我規制和積極保障;其三,在保護階段上,側重個人資訊收集階段的法律保護,而較少關注資訊存儲、運輸等階段中可能存在的資訊失守問題。

1.保護邏輯:“隐私權”進路下的個人資訊保護

無論是個人通信資訊,還是個人隐私資訊,《刑事訴訟法》對其保護方式多為“保密”,包括積極意義上的“應當保密”(第 54 條、第 152 條),“應當為他保守秘密”(第 111 條),以及消極意義上的“不公開真實姓名、住址和工作機關等個人資訊”(第 64 條),“必須及時銷毀無關材料”(第 152 條)等。由此可見,大陸《刑事訴訟法》對個人資訊的保護采取了“以禁止為原則,以幹預為例外”的隐私權進路,所欲保護之核心在于個人資訊中所蘊含的隐私利益。具體而言,在保護對象上,其隻保護涉及自然人私生活領域且不願被其洩露的可識别資訊,并不關注其他大部分個人資訊:在保護方式上,更強調公權力機關的程式恪守義務,個體很難積極主動行使權利防範侵害的發生;在保護程度上,展現為一種“全有或全無”的絕對式保護;在保護主體上,主要展現為對被害人、證人、鑒定人的隐私保護,較少涉及犯罪嫌疑人。

實踐表明,現行《刑事訴訟法》中的“隐私權”保護進路既無法為公民個人資訊提供周全的保護,也沒有意識到個人資訊的真正含義。事實上,不同于個人隐私資訊對“保密”的嚴苛需求,個人資訊并不排斥公權力的介入。相反,個人資訊作為社會資源的重要組成,本身即蘊含着促進社會發展之重要價值。在刑事偵查領域,這一價值即展現犯罪預防和控制。是故,個人資訊保護之應然邏輯為“以合理幹預為原則,以限制為例外”,鼓勵偵查機關合法合理有效利用個人資訊,以保障社會的安全與秩序。

2.保護方式:強調公權力的自我規制與積極保障

縱觀大陸刑事偵查領域個人資訊保護的具體方式,可以歸納為以下兩類:一是授權偵查機關收集、使用公民個人資訊,以及強調有關機關、個人的配合義務;二是要求偵查機關在刑事偵查過程中履行保密義務。上述兩種方式都離不開偵查機關的自我控制,包括自我注意保護個人資訊,自我規制收集數量與範圍,以及自我防範個人資訊外洩。有學者将這種保護概括為“國家義務型保護模式”。這種模式具有以下三個特點:其一,強調國家機關的保密義務卻較少提起未履行義務導緻秘密洩露後的責任承擔。例如,在衆多法律規範中僅《最高人民法院關于适用(中華人民共和國刑事訴訟法〉的解釋》第 55 條規定了國家機關在查閱、摘抄、複制案卷材料時洩露個人隐私後應當承擔的法律後果。其二,個人資訊保護以安全價值為導向。如《刑事訴訟法》唯一提及“個人資訊”處是在證人及其近親屬的特殊保護條款,旨在以隐匿個人資訊的形式,避免其在偵查作證中“人身面臨危險”。這種情境下的個人資訊保護,更多展現了立法對訴訟參與人的人身安全與訴訟制度順利進行的保障,而非強調資訊主體能夠自我控制或決定個人資訊。其三,公民權利難以彰顯。個人資訊能否得到保護,主要還是依賴國家機關及其從業人員是否履行了隐私資訊的保密義務與無關資訊的銷毀義務,作為資訊主體的公民難以自動開啟對其個人資訊的隐私權保護。

3.保護階段:側重個人資訊收集行為的法律規範

《個人資訊保護法》第4條第2款列舉了8種個人資訊的處理行為,包括收集、存儲、使用、加工、傳輸、提供、公開、删除。在刑事偵查領域,偵查機關處理個人資訊亦會涉及這些行為。目前大陸《刑事訴訟法》主要規範了偵查機關的個人資訊收集行為,對其他行為較少關注。以生物資訊為例,《刑事訴訟法》規定了收集條件和程式,并明确賦予了偵查人員在犯罪嫌疑人拒絕情形下的強制提取權力;《公安機關辦理刑事案件程式規定》對偵查人員強制提取予以程式限制,要求經辦案部門負責人準許後方可進行。由此可見,法律一方面賦予了偵查機關幾乎無限的、不受任何監管的個人生物資訊采集權利,另一方面卻沒有對采集後生物資訊如何處理進行規定。公安機關如何存儲生物資訊個案檢測中的生物資訊是否會永久存儲于公安資訊系統,供未來偵查使用;如果公民被排除犯罪嫌疑,該生物資訊是否會被删除等問題都尚待立法予以明确。

(三)刑事偵查領域個人資訊保護不力的系統分析

大陸刑事偵查領域個人資訊使用與保護存在一定程度上的失衡,主要原因有三,一是刑事訴訟立法與司法實踐在犯罪控制理念引領下,重視個人資訊使用,而忽略了對個人資訊的保護;二是傳統刑事訴訟法難以應對科技的進步與發展,技術賦能下的偵查措施存在性質界定問題與不當放權問題;三是個人資訊保護意識的缺位,導緻大陸沒有設定刑事偵查領域個人資訊全流程保護機制和外部監管機制。

1.犯罪控制理念指引下的重“用”輕“護”

埃米爾·迪爾凱姆曾言:“犯罪對于人類社會而言,就如同人體的疾病,是一種合乎規律并難以避免的客觀存在和常态現象。”不過,國家打擊犯罪亦不能以侵害公民權益為代價。如何衡量二者的關系成為現代國家關心的焦點在刑事偵查領域,個人資訊兼具雙重角色,其一面是偵查機關查清案件事實的重要線索與武器,在預防和控制犯罪中發揮巨大作用,一面是公民個人資訊權益的客體,是刑事司法人權的新成分。是選擇最大化程度利用個人資訊,還是選擇保護公民個人資訊,背後蘊含了刑事訴訟立法的價值傾向。

審視大陸刑事訴訟法治,在内容層面,對偵查機關處理個人資訊的授權遠大于對公民保護個人資訊的賦權;在程式層面,關于偵查機關處理個人資訊的程式多屬于犯罪控制模式,強調偵查效率,主張盡量擴大與容忍偵查權,以發揮個人資訊的“武器”作用。譬如在監聽監控類技術偵查措施方面,盡管法律對其予以限定,但仍然存在整體适用條件模糊、“根據偵查需要”不明确、審批程式過于籠統、救濟規定不明等問題。相較于一般偵查措施,技術偵查措施更有利于偵查機關收集公民私生活領域内的資訊,而寬松的立法無疑“鼓勵”偵查機關擴大使用技術偵查措施,通過秘密手段收集更多個人資訊。在計算機驗證方面,《關于辦理刑事案件收集提取和審查判斷電子資料若幹問題的規定》第8條允許偵查機關“一體收集”電子資料,即在收集電子資料的同時,封存扣押其原始存儲媒體。問題在于,原始存儲媒體中的電子資料所承載的個人資訊量巨大,不僅包括偵查機關所需要的涉案資訊,還包括與案件無關的其他個人資訊——特别是筆記本電腦、平闆電腦、智能手機等私人電子裝置,存儲有資訊主體大量的敏感資訊。在“一體收集”之下,無論是偵查人員在客觀層面難以對混雜并存的資訊予以區分,還是為了獲得更全面翔實的電子資料主動擴大收集範圍,都有侵害公民非涉案資訊上承載的個人資訊權益之虞此外,偵查機關線上提取、遠端勘驗等電子資料偵查措施均被規定為任意性偵查措施,以便于偵查機關繞開強制措施的程式性限制,更高效、便宜地擷取資訊。

帕克教授在描述犯罪控制模式時指出,“執法活動如果不能将犯罪行為置于嚴密的控制之下,會被視為将導緻公共秩序的崩潰,進而喪失人類自由的一個重要條件。”受這種理念影響,為了保障資訊社會秩序的穩定,發揮個人資訊的偵查優勢,大陸在國家政策層面提出了資訊化偵查、大資料偵查、智慧偵查等偵查戰略,着手建構各類資訊資料庫,不斷推動科技與偵查的緊密結合創新偵查措施,以擷取更多數量、更廣範圍、更深層次的個人資訊。正是由于刑事訴訟立法及國家政策對個人資訊利用的倚重,緻使個人資訊保護在刑事偵查領域受到一定程度的忽視,出現“用”與“護”嚴重失衡的情形。

2.技術賦能下偵查措施的性質界定問題與不當放權

資訊技術的高速發展,既提升了人們生活的便捷程度,也增強了國家控制犯罪的能力。然而,建立于傳統農業、工業社會的刑事司法制度卻面臨來自資訊社會方方面面的挑戰。由于立法具有滞後性,目前大陸《刑事訴訟法》對偵查措施的認定與規制尚停留在傳統時代,未能有效回應技術賦能下偵查權的隐秘擴張,緻使公民個人資訊權益受到損害。具體而言,主要展現為以下兩個方面。

(1)個人資訊收集行為的性質界定問題。

偵查措施是一個動态發展的多元體系,理論上可以将其分為任意性偵查措施和強制性偵查措施。前者是指以相對人同意或承諾為前提進行的偵查行為,後者則不受相對人意思表示限制可以強制實施。由于強制性偵查措施對公民的侵害性大,立法通常會對其适用條件、審批程式、監督等多方面予以嚴格規定;而任意性偵查措施由于侵害性輕微,立法未對其進行特别規定,如何實施可由辦案人員自行決定。大陸是以具備有形的強制力來界定偵查措施性質的重要标準。然而,這一标準卻難以對技術賦能下的新型偵查措施予以規制。

利用個人資訊定位追蹤犯罪嫌疑人是當下偵查機關常用的偵查手段。GPS 定位、手機基站定位、網絡位址定位均為偵查機關擷取犯罪嫌疑人的行蹤軌迹資訊提供技術支援。通過這些資訊,偵查機關不僅能知曉犯罪嫌疑人的出行規律與重要停留,還能完成對其私人生活輪廓的重構。更重要的是,偵查機關無須獲得相關人員的同意,即能夠以和平、無形的方式實施這些手段,包括但不限于秘密安裝 GPS 定位器,向汽車租賃公司、通信公司調取資訊,向網警部門調取網絡位址定位。基于此,縱使這些偵查措施在侵入力度上堪比搜查扣押等強制性偵查措施,發揮着與監控類技術偵查措施相同的功能,立法也鮮有将其界定為強制偵查措施。實踐表明,對于 GPS定位監控,偵查機關大都按照一般性偵查措施的要求實施,法院也未将其所收集到的證據予以排除:對于通信記錄調取,絕大部分偵查機關也将其視作任意性偵查措施。由此可見,由于立法未能及時應對偵查措施的疊新,隻能放任偵查機關“走小道”,緻使偵查權無限擴大,公民的個人尊嚴、自由、隐私權與個人資訊權益受到嚴重威脅。

(2)個人資訊收集的不當放權。

個人資訊收集的不當放權主要展現在以下兩個方面:第一,擷取門檻過低偵查人員較易獲得公民的個人資訊。以資訊查詢為例,根據《公安機關資訊共享規定》,所有警員均可以登入使用公安資訊服務平台,查詢“人員、案事件物品、位址(場所)、組織的名稱、編碼等具有辨別性、基準性特征的資訊”以及在相關的情況下查詢人員活動軌迹、物品流動痕迹等資訊。易言之,依托公安大資料平台和各類資訊共享管道,偵查人員可以“一鍵”查詢該平台上的所有資訊,資訊擷取的便捷性直線上升。事實上,這裡所稱的“資訊查詢”實際上就是“證據調取”措施。資訊技術的發展,節省了偵查機關為擷取第三方資訊制作調取通知書的流程,讓原本限制就不多的措施變得更為容易操作。雖然公安機關對資訊檢索設定了密鑰權限,但這種限制多為紀律限制,且監督效果較差,公民個人資訊依然存在被不當調取,乃至任意調取之風險。

第二,立法的阙如導緻偵查機關收集資訊容易過度。以 DNA 資訊為例,該資訊具備兩個特征,一是唯一性,通過 DNA 資訊能夠準确指向某一特定主體:二是家族性,通過 Y-STRs DNA資料庫搜尋,比對被檢測男性 Y 染色體 STRs特征,能夠确定或排除被檢測者所有父系親屬的犯罪嫌疑。對于這一高度敏感的個人資訊,立法非但沒有對資訊收集的範圍予以規定,還明确犯罪嫌疑人“規定進入辦案區後,一律先進行人身檢查和資訊采集”,無論其是否确有犯罪。多地甚至明文規定這些 DNA 資訊将為以後偵查機關在其他案件中提供資訊支撐。在犯罪控制理念的引導下,DNA 資訊還呈現出撒網式檢驗或普檢态勢,很多并無犯罪嫌疑的公民也多被要求提供 DNA 資訊。例如,為偵破“山東某學院一起宿舍失竊案”,偵查機關采集了校内五千餘名男性學生的 DNA 資訊;為偵破“武漢女學生遇害案”,偵查機關也采集了周圍高校千餘名男性師生的DNA 資訊。

(四)個人資訊全流程保護機制與外部監管機制的缺位

在資訊化和大資料廣泛運用偵查實踐的今天,收集個人資訊僅為偵查機關資訊處理過程的一環。為了查明犯罪事實,偵查機關還會通過資料挖掘、碰撞等方式進一步分析、整合、研判資訊;與其他部門資訊互相流轉,共同打擊犯罪;将結構化資訊上傳至公安大資料平台,為後續偵查提供資訊資源。然而受到職權主義影響,目前大陸刑事訴訟立法對個人資訊的規範集中于偵查機關收集階段,對偵查機關掌握資訊後如何使用、存儲等并不關心。個人資訊保護并不是階段性工作,而應貫穿整個刑事偵查過程。隻有對偵查機關處理個人資訊的不同行為予以明确,才能夠防止公民為打擊犯罪、維護社會秩序讓渡給國家的個人資訊不被不當幹預。

外部監管機制的缺位也是大陸刑事偵查領域個人資訊保護不力的重要原因一方面,雖然《刑事訴訟法》反複強調偵查機關的個人資訊保密義務,但均未涉及如果偵查機關沒有履行義務應當承擔何種責任、當事人如何救濟等。另一方面,大陸對于偵查機關收集個人資訊的授權和監督以内部控制為主。内部控制固然有直接、簡單、便捷等諸多好處,但由于内部成員在思維方式、行動偏好等方面具有同一性,同時受到利益關系、人情世故等影響,監督效果不可避免容易打折扣。此外,相較于域外司法審查環節,大陸法院對偵查機關偵查驗證措施的監督較為狹窄,主要集中于證據的合法性審查,尤其是驗證方式是否合法、驗證流程是否規範、驗證手續是否齊全,并不涉及對偵查機關驗證行為選擇的評價,因而也難起到監督偵查機關收集個人資訊的作用。

四、大陸刑事偵查領域個人資訊保護規範的體系建構

鑒于資訊化偵查、大資料偵查、智慧偵查的發展已成必然且勢不可擋,應當及時消弭個人資訊作為國家預防、打擊犯罪重要“武器”之角色與個人資訊作為公民法定個人資訊權客體之角色間的抵牾,在控制犯罪與個人資訊保護之間實作平衡。為此,建議以《個人資訊保護法》的實施為契機與參照,從基本權利保障角度出發,積極落實國家的個人資訊保護義務,建構符合刑事訴訟内在價值與規律的個人資訊保護規則,避免偵查權以隐秘的方式侵犯公民個人資訊自決,實作數字時代懲罰犯罪與保障人權的并重。

(一)作為基本權利的個人資訊權

個人資訊權是否為憲法所确立的一項基本權利?這關乎個人資訊權的保護範圍與保護力度。如果此問題被證成,個人資訊權的保護範圍應當延伸至各部門法領域,包括刑事訴訟法。這必然會對偵查機關收集使用公民個人資訊産生直接規制。反之,個人資訊保護的論域則将主要停留在私法領域,難以對國家機關行為産生限制力。本文認為,個人資訊權應屬于憲法确立的公民基本權利:國家保護個人資訊權之義務需涵攝至刑事偵查領域。理由如下。

首先,個人資訊權具有憲法保護的必要性。一方面,個人資訊不僅影響公民個體的自我認知與社會評價,還與人身、财産、隐私、自由等重要價值深度聯結。保護個人資訊,事實上是對蘊含在個人資訊中所有價值的“一攬子”保護。倘若保護不力,可能會引起廣泛的基本權利波動。另一方面,随着國家數字化的推進,國家機關已成為個人資訊最大的控制者與處理者。普通權利保護難以抵禦公權力對個人資訊的不當利用。在資訊技術的加持下,國家機關能夠輕易獲得公民任何資訊,給私人生活自由與安甯帶來隐憂。為了防禦國家對公民個人資訊的不當收集與濫用,為公民人格尊嚴和自由發展留下必要空間有必要從憲法層面為個人資訊提供保護。

其次,個人資訊權具備基本權利的性質和功能。所謂基本權,是公民最為基本、最為重要的權利,是人生而為人的本源性權利。德國憲法學理論認為,基本權利具備“主觀權利”與“客觀法”的雙重屬性。前者是指基本權利具有要求國家停止侵害的主觀防禦功能;後者是指國家需要承擔相應的保護義務,包括制度保障,組織保障和程式保障等,以維護公民基本權利。審視個人資訊權,一方面,《個人資訊保護法》第二章第三節要求國家機關承擔不得超出法律規定的處理個人資訊的消極義務,展現了基本權利的“主觀權利”面向;另一方面,《個人資訊保護法》圍繞基本原則、資訊主體權利、資訊處理者與控制者義務等内容建構起個人資訊保護法律體系,并同《民法典》《刑法》等多部法律一起初步建立起侵害個人資訊的救濟機制,展現了國家積極履行個人資訊保護義務,承擔起“客觀法”之保障功能。最後,将個人資訊權作為基本權利于法有據。《個人資訊保護法》第1條明确“根據憲法,制定本法”,即證明對公民個人資訊權的保護來源于《憲法》。雖然《憲法》沒有特别列明個人資訊權,但是可以從既有法條中推演出這一權利。憲法和法律委員會在《中華人民共和國個人資訊保護法(草案)》審議結果的報告中将個人資訊保護關聯至三個基本條款,分别是“國家尊重和保障人權”“公民的人格尊嚴不受侵犯”,以及“公民的通信自由和通信秘密受到法律保護”。其中,人權條款将人權視為個人資訊權的憲法基礎,難以為實踐提供具體指引;通信自由與通信秘密條款保護範圍有限,僅限于個人通信活動所形成的通信資訊;人格尊嚴條款可以覆寫所有個人資訊,為個人資訊權提供憲法基礎。

(二)刑事偵查領域個人資訊保護的基本原則

2021 年大陸《個人資訊保護法》正式頒布,在第二章第三節中明确提出“國家機關處理個人資訊的活動,适用本法;本節有特别規定的,适用本節規定。”偵查機關作為國家機關自然也不例外。但是,刑事偵查領域個人資訊保護具有特殊性。一方面,個人資訊保護與刑事偵查在原則上存在抵牾,如個人資訊保護以公開透明原則、“知情—同意”原則為核心,要求資訊處理遵循目的限制原則,而刑事偵查強調“謀成于密敗于洩”,需要偵查人員根據不同情勢随機應變,及時調整偵查政策和資訊處理目的。另一方面,雖然刑事偵查與個人資訊保護存在沖突,但二者不完全處于對立面,如二者均強調個人資訊收集使用應當于法有據,符合比例原則以及特殊主體保護原則。刑事偵查的特殊性要求個人資訊保護制度在融入偵查場景時應當“量體裁衣”。

1.禁止濫用:目的限制原則

根據《個人資訊保護法》第6條規定,處理個人資訊應當遵循目的限制原則。在偵查場景中,目的限制原則旨在限制偵查機關恣意收集使用公民個人資訊,避免偵查權濫用。具體而言,該原則對偵查機關收集使用個人資訊之目的提出三方面要求:首先,偵查機關收集使用個人資訊之目的必須明确、合理。其中,“明确”包含兩層含義,一是目的之提出具有特定性,即圍繞個案具體偵查行為展開,而非“預防和打擊犯罪”之泛泛目的;二是目的之表述必須清晰、準确,能夠闡明偵查機關收集使用資訊具有合法性、正當性以及充分的必要性。“合理”則對偵查機關收集使用個人資訊的範圍與程度提出要求,以對個人權益影響最小化為原則,不得過度收集使用個人資訊。其次,偵查機關使用個人資訊的目的與收集該個人資訊的目的應基本保持一緻。從個人資訊保護角度出發,目的限制原則通過提供客觀的法律尺度,幫助資訊處理者預知資訊處理活動中存在的風險并做好防範工作;而保持資訊處理活動目的的一緻性有利于将資訊後續處理活動所産生的風險限制在初始目的範圍内。然而在偵查場景中,要求收集使用個人資訊目的保持絕對一緻并不現實。偵查本身即具有不确定性,任何資訊的出現都可能導緻偵查方向與偵查政策的轉向,進而導緻資訊使用目的、方式的變化。是以,為平衡個人資訊保護與控制犯罪,應當允許偵查機關對已收集個人資訊的使用予以适度調整;但該适度調整僅限于同一案件之中,且以查明案件事實、收集證據、查獲犯罪嫌疑人為根本追求。換言之,偵查人員不得将為偵破本案所收集資訊直接用于他案,更不得基于偵破本案以外的其他目的對所收集資訊進行不必要的挖掘與分析。最後,當偵查機關在使用個人資訊時發現新線索,需要擴大資訊收集範圍,或者收集資訊與使用資訊在目的上存在顯著差别,應當依照法定程式重新提出申請。

2.合理使用:比例原則

不同于隐私權的禁止邏輯,個人資訊權強調使用邏輯,以允許合理使用為原則,限制使用為例外。保護個人資訊的核心在于促進個人資訊的有效、依法利用,避免個人資訊被不當、非法使用。個人資訊使用邏輯對偵查提出兩方面要求,一是鼓勵偵查機關依法積極使用公民個人資訊,查明案件事實、緝捕犯罪嫌疑人,實作犯罪控制之公共利益;二是禁止偵查機關随意收集使用公民個人資訊,個人資訊處理行為必須在必要限度之内。比例原則為如何把握“必要限度”提供了理論工具。在偵查場景中,比例原則要求偵查機關幹預個人資訊權之手段與其所欲實作之正當目的之間形成合理的、成比例的關系。一般認為比例性原則包括三個子原則,分别是适當性原則、必要性原則和均衡性原則根據适當性原則,偵查機關不得加以區分地大規模收集個人資訊,也不得在目的已經達成、不複存在或者失去正當性基礎的情況下繼續收集或使用個人資訊根據必要性原則,偵查機關啟動強制性措施必須非常慎重,非必要不得啟動均衡性原則,又稱為狹義的比例性原則,是指強制性偵查措施對公民個人資訊權益造成的損害應與其保護的公共利益成正比。例如,相較于涉嫌輕罪的犯罪嫌疑人,對于涉嫌重罪的犯罪嫌疑人可以采取個人資訊權益幹預程度更高的偵查措施。

3.差別保護:區分對待原則

刑事偵查涉及之人及其個人資訊的種類衆多,如均予以相同程度的保護要麼可能導緻個人資訊被濫用、侵害公民個人資訊權,要麼可能導緻過度限制偵查機關,影響犯罪打擊效率。有鑒于此,應當加強對個人資訊的差別保護。第一,區分不同類型的資訊主體。在偵查場景中,對不同類型的資訊主體提供保護,既是因為各類資訊主體對個人資訊保護有不同需求,也是為與刑事訴訟區分不同類型訴訟參與人的邏輯一脈相承。對被害人和其他訴訟參與人的個人資訊幹預強度一般應當低于犯罪嫌疑人、被告人。第二,區分一般資訊、敏感資訊和隐私資訊。《個人資訊保護法》根據資訊的敏感度,即造成侵害或危害後果上的容易性,将個人資訊區分為“一般資訊”與“敏感資訊”。相較于一般資訊,個人敏感資訊與個人人身、财産安全及名譽存在顯著關聯,一旦洩露或者非法使用,會給當事人身心、名譽招緻嚴重後果。是以,《個人資訊保護法》對處理敏感資訊設定了更為嚴苛的處理規範。這種分類保護的方式可以在偵查場景中沿用。例如,偵查機關僅能夠在立案後的偵查階段處理公民敏感資訊:對偵查機關收集、比對、挖掘敏感資訊的相關措施,應當設定更高的行為的啟動條件等。此外,根據資訊是否存在隐匿性需求,還可以分為隐私資訊與個人資訊。隐私資訊是隐私權的保護範疇,關涉個人私生活的安甯;個人資訊是個人資訊權的保護範疇,關乎人格尊嚴。《民法典》分别就隐私資訊和個人資訊設定了不同的保護規則。從内容上看,隐私資訊與敏感資訊存在交集,如生物資訊、通信資訊等既屬于隐私資訊,也屬于敏感資訊:但二者也并非完全重合,如公民的個人癖好屬于隐私資訊,但并非敏感資訊;公民的行蹤軌迹屬于敏感資訊,但不屬于隐私資訊。在偵查場景中應當對一般資訊、敏感資訊、隐私資訊提供不同程度的保護。前兩者遵循個人資訊權“合理使用”邏輯;後者則遵循隐私權“限制使用”邏輯。如果某一資訊兼具隐私資訊與敏感資訊的雙重屬性,應當優先将其納入隐私權保護架構予以更嚴格的保護。

(三)刑事偵查領域個人資訊保護的制度建構

刑事偵查領域個人資訊保護的制度建構,可以從以下三個方面着手:一是引入具體權利内容,并根據偵查場景對權利内容予以調試:二是建立程式保障機制,包括事前審批機制、事中監督機制和事後救濟機制;三是完善配套制度建設,包括加強資訊安全管理機制建設、規範偵查機關資訊調取機制、建立偵查階段資訊存留機制。

1.引入具體權利内容

誠如前文所述,大陸目前刑事偵查領域個人資訊規範呈現出“授權多于賦權”特征,并未為公民積極維護其個人資訊權提供管道。為了将個人資訊保護理念融入偵查場景,實作《個人資訊保護法》與《刑事訴訟法》的銜接,應當賦予資訊主體知情權、資訊通路權、更正權與删除權等權利。需要注意的是出于維護國家安全、社會公共利益的需要,在引入個人資訊具體權利時需要對權利内容預先予以調試。

第一,知情權。知情權是個人資訊保護制度的基礎。但現有刑事訴訟法規定的告知制度仍存在完善的空間。對此,有學者提出建構“告知—延遲告知—不告知”層級化告知制度,也有學者提出“概括告知—特定告知—事後告知—不告知”的知情權保障體系。本文認為,在偵查場景中,應當建立以告知為原則,不告知為例外的個人資訊保護制度;告知以不阻礙偵查為前提。如果在資訊處理前或過程中告知資訊主體會影響偵查活動,那麼可以在具體資訊處理工作結束後,乃至刑事訴訟結束後告知資訊主體:如果資訊來源為卧底或證人,出于保護其他人人身安全等目的,可以不予告知。同時,告知内容應當與《個人資訊保護法》第 17 條規定相一緻,即包括資訊處理者名稱、姓名、聯系方式、個人資訊的處理目的、處理方式、儲存期限、個人行使權利的方式和程式等。

第二,資訊通路權。資訊通路權是資訊主體在個人資訊保護方面最主要的程式性權利,其内涵是從資訊控制者或處理者得知其個人資訊被使用的情況。在偵查場景,資訊通路權是對數字時代辯護權的完善。質言之,雖然大陸《刑事訴訟法》第40 條賦予了辯護方閱卷權,但閱卷之内容隻限于訴訟文書和證據材料,較少涉及偵查機關收集使用個人資訊的方式。而資訊通路權以個人資訊為對象,更有利于幫助資訊主體知曉自己權利被幹預的情況,以及公訴方所出示證據的來龍去脈。

第三,資訊更正權與删除權。當資訊主體發現偵查機關所掌握的其個人資訊乃是不完整、不準确甚或存在錯誤時,有權主動向偵查機關提出更正需求有關部門應當及時核實查證,對不完整的資訊予以補充,對過時的資訊予以更新,對錯誤的資訊予以修改,并将更正結果告知資訊主體。此外,當資訊收集使用之價值已經實作且存留期限屆滿後,有必要賦予資訊主體删除其個人資訊的權利,以避免偵查機關在無正當理由的情況下反複利用。目前,《刑事訴訟法》僅要求偵查機關及時銷毀通過技術偵查措施所擷取的與案件無關材料的規定,有必要将範圍進一步拓寬至與案件有關的資訊(尤其是個人敏感資訊)。

2.建立程式保障機制

偵查程式具有兩項社會功能,一是權力制約,二是權力正當化。數字時代由于偵查權往往帶有擴張性與攻擊性,偵查機關處理個人資訊的行為往往伴随着對公民個人資訊權的侵犯。是故,為實作犯罪控制與個人資訊保護之價值平衡,有必要設定科學、合理的程式規範偵查機關收集使用個人資訊,一方面将恣意的偵查權通過程式予以限制,另一方面也能為偵查機關處理個人資訊提供正當化基礎。具體而言,程式的設定可簡略分為以下三個部分。第一,事前審批機制。在偵查機關收集使用個人資訊前,應當根據行為階段、行為類型、資訊的類型與數量設定不同層級的審批程式,包括适用案件範圍、審批機關、審批層級、審批手續、期限等。偵查機關處理個人資訊的行為對公民個人資訊權益的侵害愈大,适用該行為所面臨的審批程式自然也就更為嚴格。如從資訊的類型與數量來看,個人資訊的敏感程度越高、數量越大,程式設定越嚴格;從行為類型來看,相較于單純個人資訊收集行為,偵查機關對個人資訊進行多元整合、資料畫像的審批程式更嚴格。第二,事中監督機制。檢察機關作為《憲法》第 154 條明确規定的法律監督機關,有權也有義務對偵查機關處理個人資訊的行為予以監督。考慮到個人資訊的數字化特征,為避免資料被修改或删除,偵查機關應當對個人資訊處理全程予以完整記錄,并保留記錄檔,在偵查終結後随案卷材料一并移送檢察機關。

第三,事後救濟機制。對因偵查機關處理個人資訊而導緻隐私權、個人資訊權等受到不當侵害的公民,賦予其救濟的權利,包括向公安機關投訴和向檢察院控告。如果偵查機關收集使用公民個人資訊不符合法定程式、可能嚴重影響司法公正的,且不能補正或作出合了解釋的,則可申請适用非法證據排除規則,消解該證據的證據能力。

3.完善配套制度建設

加強刑事偵查領域個人資訊保護,不僅需要增加制度供給,還需要完善制度配套。具體而言,可以從以下三方面着手:

第一,加強資訊安全管理機制建設。公安資訊化系統的全面建成,一方面給偵查工作提供了便利,但同時也産生了個人資訊安全風險。司法實踐中也存在個人資訊在案件偵辦階段被意外洩露的事件。是以,有必要加強對個人資訊的安全管理,包括建立一支專業的安全管理隊伍、定期更新防火牆與入侵檢測技術、在每一個伺服器與計算機中建立防毒系統、提高偵查人員資訊安全意識等,以盡最大可能防禦黑客侵入公安資訊平台,竊取、篡改或删除公民個人資訊,或者内部人員因操作不規範導緻資訊外洩

第二,規範偵查機關資訊調取機制。鑒于向第三方機構調取資訊已成為數字時代偵查機關擷取公民個人資訊的重要途徑,為了確定公民因參與社會生活而讓渡的個人資訊不被偵查機關無理收集或濫用,有必要規範資訊共享平台建設,明确偵查機關與第三方機構之間的資訊調取機制。具體内容包括:首先,統一偵查機關申請調取的方式,完善資訊對接管道;其次,根據敏感度将個人資訊予以分類,明确偵查機關可以任意調取,或者必須依令狀調取的資訊範圍;最後,建立資訊先行調取機制和綠色通道,保證偵查機關在緊急情況下能夠及時調取相關資訊,避免因管道不通暢而導緻犯罪後果擴大,損及社會公共利益。

第三,建立偵查階段資訊存留機制。資訊存留制度的核心在于确立資訊存留時間。根據資訊删除權要求,對于已辦結案件中的個人資訊,偵查機關應當在資訊存留期限屆滿後及時銷毀。目前,大陸《網絡安全法》僅從資訊安全保護角度出發,規定了網絡營運者留存義務,即應當至少留存載有“采取監測記錄網絡運作狀态、網絡安全時間的技術措施”的網絡日志6個月,并不涉及國家機關資訊存留問題。從域外立法來看,關于資訊存留期限的規定有兩種模式:一類是不分資訊類型,對資訊存留時間予以統一設定,例如,澳洲《電信(攔截和通路)修正(資料存留)法案》規定了2年的固定存留期限;《荷蘭電信法案》要求固定留存交通資訊和位置資訊 12個月。另一類是根據資訊類型設定了不同的資訊存留時間,例如,德國成年人資訊存留時間為 10年、青少年5年、兒童2年。本文認為,可以參照第二類立法模式,根據資訊類型,在綜合考量資訊敏感程度、資訊存留成本等因素後,合理設定資訊留存期限,避免偵查機關超越目的濫用個人資訊,保障公民個人資訊權。

來源:中外刑事法學研究

作者:賈紫涵,中國人民大學訴訟法學專業博士研究所學生

繼續閱讀