個人信息權引入刑事訴訟的理論證成與體系化建構
簡要:摘 要: 個人信息權已成為大數據時代的一項基本權利�。我國刑事訴訟法忽視了對個人信息的保護���,難以應對新一代信息技術給正當法律程序和司法管理帶來的挑戰�,引入個人信息權具有緊迫性
摘 要: 個人信息權已成為大數據時代的一項基本權利���。我國刑事訴訟法忽視了對個人信息的保護���,難以應對新一代信息技術給正當法律程序和司法管理帶來的挑戰��,引入個人信息權具有緊迫性。個人信息權可以嵌入刑事訴訟權利體系�,法律層面也存在適用空間與規范基礎����。刑事訴訟中的個人信息保護,以平衡犯罪控制與權利保障為價值立場����。具體而言�����,應當賦予訴訟參與人相應的信息權利,對權力機關科以信息安全保護義務����,完善個人信息的保障措施和救濟路徑���,從而構建起相對完整的刑事訴訟個人信息保護制度體系��。
關鍵詞: 刑事訴訟; 個人信息權; 訴訟權利; 價值平衡; 體系化建構
黎曉露, 河北法學 發表時間:2021-10-19
引言
隨著網絡信息革命的不斷深入����,人類社會進入“數據驅動”時代�����。數據即資源,科技��、經濟�����、法律等領域的發展無不依賴于數據。在數據資源中,可以直接或間接識別個人身份的數據屬于個人信息�?���!? 〕個人信息與大數據�、云計算、人工智能等新技術的結合,帶來了社會治理模式與法治范式的信息化轉型�。但是��,個人信息若被不當收集和使用,將危及公民的隱私、財產和人身權益,甚至威脅國家安全和社會公共秩序,于是加強個人信息的法律保護成為大數據時代的重要命題。
面對如此重要的時代命題,2012 年全國人大常委會通過《關于加強網絡信息保護的決定》�,開啟了我國個人信息法律保護之路�����。2015 年《刑法修正案( 九) 》增設“侵犯公民個人信息罪”,將個人信息納入刑法保護范圍。2016 年《網絡安全法》第四章“網絡信息安全”針對個人信息的收集和使用行為作出原則性規定。2020 年《民法典》“人格權編”專章設置了“隱私權和個人信息保護”內容���,確認了公民對其個人信息具有一定程度的控制權。2021 年相繼出臺的《數據安全法》和《個人信息保護法》,從數據安全與個人信息保護的角度����,對個人信息處理過程中相關主體的權利義務配置作出細致規定〔2 〕��,同時廓清了個人信息保護的綜合治理面向。
但遺憾的是,個人信息保護立法工作在私法�、實體法領域皆取得重大進展的同時���, “唯獨在刑事司法執法領域�,對公民個人信息的干預被視為法律規制的例外�����。”〔3 〕刑事訴訟程序作為社會治理的重要機制��,公權力在該領域對個人信息干預的規模遠勝于其他領域,傳統的程序規制手段難以有效制約公權力。從“權利—權力”的互動關系來看���,對個人信息設置權利具有現實意義��。有鑒于此�����,本文試圖從犯罪控制與保障人權的理念出發,關注大數據與司法信息化對刑事司法產生的挑戰�,聚焦正當法律程序以及公民訴訟權利面臨的沖擊�����,從程序法視角系統���、全面研究個人信息權引入刑事訴訟的理論基礎與制度建構�。
一��、時代趨勢: 個人信息保護的權利化發展
( 一) 作為基本權利的個人信息權
為了保護個人信息安全�����,規制個人信息的處理行為,立法者創設“個人信息權”,賦予公民一定程度的信息控制能力���。個人信息權,是指“信息主體依法對其個人信息享有的支配、控制和排除他人妨害的權利���。”〔4 〕它實際上是一種集合性權利,包括信息主體享有的“知情、同意�、查閱�、復制�、更正、刪除等”〔5 〕諸多權利。由于個人信息權具有人格權屬性����,因而其最先在民商法領域獲得重視���。〔6 〕但是���,個人信息所包含的身份識別、活動軌跡�����、關系紐帶等內容不僅具有經濟價值����,也成為現代國家治理的重要依據。因此�����,在法律層面不能僅僅將個人信息視為私權客體����,而需要與憲法銜接,上升成為一項基本權利�����。
從比較法視野考察���,歐盟最先承認個人信息權的基本權利地位����。1995 年歐盟議會和歐洲理事會通過《個人數據保護指令》,將個人數據保護定位為個人數據處理中的權利保護���,明確指出: “保護自然人的基本權利和自由,特別是關于個人數據處理方面的隱私權�。”2018 年《通用數據保護條例》( General Data Protection Regulation���,簡稱 GDPR) 正式生效,歐盟以統一法律替代了僅對成員國生效的《個人數據保護指令》,GDPR 將數據主體權利單設一章�����,列舉了知情權����、訪問權、攜帶權、更正權��、刪除權等 8 種具體權項�。GDPR 對各國的個人信息立法產生重大影響,當前全球共有 40 多個國家將個人信息保護列為基本權利�����。〔7 〕我國憲法雖未明確肯認個人信息權����,但是根據《憲法》第 33 條“國家尊重和保障人權”以及第 38 條“公民的人格尊嚴不受侵犯”的規定����,憲法學界普遍認同將個人信息保護定位為基本權利����。〔8 〕
( 二) 域外刑事訴訟中的個人信息權
基于個人信息的公私屬性以及國際上對個人信息權憲法地位的肯定�,“個人信息權的規則制定必須跳出私法框架��,從憲法高度進行解釋,建立起適用于各個部門法的個人信息權保護體系�。”〔9 〕域外主要國家紛紛通過立法或判例發展出個人信息權�����。這種做法實際確認了個人信息在刑事訴訟中的權利身份��,也為個人信息權引入我國刑事訴訟法提供了比較法借鑒��。
歐盟對公民個人信息的刑事司法保護主要通過制定專門法案來實現。GDPR 雖然在全球范圍內具有重要影響����,但因為第 2 條明確表示 GDPR 不適用于刑事司法領域��,故 2016 年歐洲議會和歐盟理事會專門制定《以犯罪預防、調查、偵查���、起訴或刑罰執行為目的的個人數據保護指令》( Directive ( EU) 2016 /680,簡稱歐盟 2016 /680 指令) ,將個人信息保護的基本原則和制度范式移植到刑事司法領域。如歐盟 2016 /680 指令序言第 2 項指出“保護個人數據”是公民的基本權利���,第 18 條“刑事偵查和程序中的數據主體權利”規定數據主體在刑事訴訟中對享有數據知悉權、訪問權、更正權���、刪除權等權利,第 63 條規定成員國須將該指令納入本國法律當中。〔10〕
不同于歐盟的法案模式,主要國家更傾向于在刑事訴訟法框架內對個人信息加以確權保護����,并分別形成了隱私權模式和個人信息權模式����。美國將個人信息保護置于隱私權框架中�����。以 1967 年“卡茲案”為起點��,美國法在“合理的隱私期待”上發展出一系列有關隱私期待的識別標準,將界定“搜查”的重心放在對公民隱私利益的保護上���。〔11〕 2014 年“萊利案”確認私人手機中存儲的數據信息具有合理的隱私期待���,警察搜查嫌疑人的手機需要向法官申請搜查令��?��!?2〕在 2018 年“卡朋特案”中���,刑事司法中的個人信息保護有了新發展�,該案指明公民對手機的基站位置信息擁有合理隱私期待���,警察必須有合理依據并依此申請法院的搜查令之后方能獲取公民的手機定位信息�����?���!?3〕德國采取的是個人信息權模式��,將個人信息權與隱私權分離����,確認了個人信息權的獨立地位。德國聯邦憲法法院自 1983 年“人口普查法案”確定信息自決權以來�,不斷重申公民的個人信息有免受國家無節制地收集使用之權利����。2008 年德國聯邦憲法法院“秘密在線搜查案”����,從一般人格權發展出保障 IT 系統私密性和完整性的基本權利?�!?4〕德國刑事訴訟法也對刑事訴訟中收集使用個人信息作出專門規定��。比如,第 475 條規定律師可以代表當事人獲取本案信息����,第 477 條規定在特殊情形下收集使用個人信息需要征得信息主體的同意��。〔15〕
二��、問題透視: 個人信息權引入刑事訴訟的緊迫性
大數據偵查的興起極大提升了刑事訴訟中收集使用個人信息的能力���,司法信息化建設為辦案帶來便利的同時也衍生了信息失控失衡風險����,而現行法律對于刑事訴訟中的個人信息保護缺乏重視,引入個人信息權具有現實緊迫性���。
( 一) 偵查模式轉型引發全景式監控風險
大數據時代到來之前,犯罪治理并不倚重個人信息����,技術條件上也無法深度處理個人信息�����。隨著現代信息技術的發展,國家大數據戰略的實施〔16〕���,偵查機關收集使用個人信息的能力和權力皆得以增強。于是����,偵查領域延伸出“以數據空間為場景��、以數據為載體、以算法為工具����、以數據價值為目的的大數據偵查模式。”〔17〕大數據偵查的前提是收集海量信息,但是我國刑事訴訟法預設的偵查取證場景并非大數據時代�����,偵查行為對個人信息的干預難以受到程序規制��,從而遮蔽了對個人信息的保護�����。
從宏觀的犯罪治理看,隨著犯罪行為愈發隱形化、科技化��,恐怖犯罪活動在國際上的猖獗���,它們對國家安全造成的嚴重后果令各國特別重視犯罪預防��,犯罪治理模式呈現出風險治理的特征����。這一轉型改變了傳統刑事追訴的方法及相應規范��,特別是因為大數據分析中通常不單純從個案出發����,而是從大數據中挖掘與案情相關的個案信息,使追訴動機從“犯罪嫌疑”逐漸轉向“風險預防”?���!?8〕當前�����,公安部主導的“金盾工程” “天網工程”“雪亮工程”等大數據平臺為深度收集個人信息提供了有力的技術支撐����。此外,近年來偵查機關不斷加強從第三方獲得數據信息,從商業機構獲取個人信息成為通常做法��。例如《支付寶隱私政策》第 13 條指出�,與犯罪偵查、起訴、審判和判決執行等直接相關的個人信息收集使用的行為��,無需征得信息主體的同意�。〔19〕在此背景下,“偵查權的社會化陷入偵查權、數據控制權和個人隱私權之間的利益拉鋸之中”〔20〕,犯罪風險預防與信息社會之間形成交互融合圖景����,極易引發全景式監控風險�。
從具體的偵查行為看����,偵查機關收集使用個人信息的行為傾向加劇了上述風險。一是過度地收集使用����。刑事訴訟以“證據裁判主義”為原則��,事實判斷依賴于證據,“將形形色色的大數據材料用作證據以證明案情�,是當下司法實踐無法回避的一道題目”〔21〕��,這便容易激發偵查機關對收集使用個人信息的熱情。實踐中����,犯罪嫌疑人只要到案��,偵查人員即可強制采樣,無須區分是否為偵查措施。例如���,2014 年公安部《規范使用執法場所辦案區“四個一律”》就規定: “進入辦案區后,一律先進行人身檢查和信息采集。”所有生物樣本保存在公安數據庫,偵查人員都可以查詢到生物樣本,公民的隱私信息難以得到有效保護。此外���,偵查機關可以通過網絡搜查��、大數據追蹤�����、人臉識別等技術手段強制收集個人信息,作為信息主體的個人事實上對其自身信息失去了控制�����。二是不加區分地收集使用�。個人信息有敏感信息和一般信息的區分,敏感信息包括“身份生物識別��、宗教信仰�、特定身份、金融賬戶�、行蹤信息����、不滿十四周歲未成年人等個人信息”〔22〕��,敏感信息一旦泄露或被不當利用���,容易導致個人名譽����、身心健康和財產權益受到損害�。但是對于刑事訴訟中收集使用個人信息的行為,目前尚無一般信息與敏感信息的區分�。如此一來��,對個人信息不加區分地收集使用,使權力機關成為最大的信息控制者�,保護公民在刑事訴訟中的個人信息安全成為迫切需求���。
( 二) 司法信息化衍生信息失控失衡風險
司法信息化建設是關乎司法公平正義的重要任務�����。自 2016 年中央辦公廳、國務院辦公廳印發《國家信息化發展戰略綱要》以來��,打造“智慧法院”��、實現“科技強檢”成為社會主義法治建設的主要內容�。大數據人工智能作為現代科技最熱門的兩大領域����,二者融合作用于司法實踐成為司法信息化建設的重要動力,主要表現在三個方面: 一是司法信息共享化; 二是案件材料電子化; 三是法律決策智能化�����。司法信息化猶如一把雙刃劍���,在為司法辦案帶來便利的同時也衍生了信息失控失衡風險�。
首先,司法信息共享化要求收集大量數據��,天然地存在侵犯公民隱私的風險����。一方面,與存儲在網絡運營商的個人信息一樣��,司法信息化系統也存在網絡入侵���、技術故障或管理員操作失誤的可能�,因此保護個人信息安全,對訴訟參與人特別是被追訴人�����、被害人和證人而言十分重要�����。另一方面,司法數據庫不是封閉個體,而是與政府數據庫或其他第三方數據庫共享���,共同作為司法服務的數據支撐。比如,2014 年上海率先建立的“刑事案件智能輔助辦案系統”、2017 年貴州政法委牽頭搭建的“政法大數據共享應用平臺”,都屬于聯通公檢法司各機關的信息共享平臺。信息共享意味著辦案機關可以在信息主體未知情的情形下不受約束地使用個人信息����,由此極易導致隱私侵犯問題和信息泄露風險����。對此�����,許多國家確立了數據刪除權以保護特殊主體的個人信息�����,比如未成年犯罪案件中的未成年被告人信息、性犯罪案件中的被害人信息等。
其次�,案件材料電子化產生的大量數據形成“數據鴻溝”���,加劇了控辯信息獲取能力失衡問題�。如今公安司法機關已基本實現案卷材料電子化��,卻也造成起訴或審理案件時所使用的數據劇增�����,例如證據審查�、類案推送、量刑輔助等人工智能系統操作需要海量數據才能作出預測或判斷����。但事實上許多數據由內部系統管理�����,辯方沒有訪問權限�,無法全面掌握案件信息����。即使向辯方開放數據庫,作為個體的辯方���,極易迷失在海量數據中而無法挖掘或分析出對辯護具有實際價值的有效信息。為了保障辯方能夠對案件信息和證據有充分的了解,有必要引入數據訪問權���,即辯方可以從信息控制者處獲取案件信息的權利。〔23〕
最后����,法律決策智能化潛藏的“算法黑箱”�,使個人信息權導入刑事訴訟更顯緊迫��。大數據決策之所以被比喻為“算法黑箱”�,是因為大數據決策過程不透明�,人們只能看到數據的輸入與輸出結果,而對運算過程一無所知,正當程序和實體公正的價值都可能被損害���。2016 年美國威斯康辛州終審的“盧米斯案”正是“算法黑箱”在刑事訴訟中的經典案例。該案被告人質疑初審法院在量刑環節中應用 COMPAS( 社會危險性評估算法) 〔24〕的客觀公正性�,認為 COMPAS 潛藏的算法風險侵犯了被告人正當程序的憲法權利�?�!?5〕盡管威斯康辛州最高法院駁回了他的上訴理由�,但是算法不公開有違程序公正的聲音不絕于耳�,賦予辯方數據訪問權�����、對數據處理者施加算法解釋義務��,已獲得司法機關的重視。
( 三) 刑事訴訟中個人信息保護的立法不足
大數據時代下個人信息保護的需求迫切�����,而我國并沒針對刑事訴訟中個人信息保護的專門立法����。盡管《數據安全法》和《個人信息保護法》在宏觀層面規定了網絡環境下個人信息保護問題,但是并未對刑事訴訟中的這一問題作出直接規定�����?��!稊祿踩ā返?6 條規定“公安機關承擔數據安全監管職責”; 第 35 條規定“公安機關因偵查犯罪的需要調取數據�����,應當經過嚴格的審批手續��,依法進行,相關組織����、個人應當配合���。” 《個人信息保護法》第 34 條規定“國家機關為履行法定職責處理個人信息���,應當依照法律規定的權限、程序進行,不得超出履行法定職責所必需的范圍和限度。”這兩部法律雖然規定了公安機關在職權范圍內具有數據安全監管和個人信息保護義務,但僅有的條文只是作出原則性規定����,缺少細化規則���,難以運用于司法實踐����。
在刑事司法領域雖然有一些法律或規范性文件涉及個人信息問題,但規定較為零散且保護力度有限��。例如���,《刑事訴訟法》第 48 條規定律師對委托人個人信息的保密義務; 第 64 條規定公檢法機關對證人�、被害人個人信息的保密義務; 第 151 條規定技術偵查需獲得審批才能實施。不過����,上述規定對個人信息保護的范圍與力度均有限���。 2016 年“兩高一部”《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》�,對電子數據的收集提取程序作出特別規定����。但在該規定中,一方面強制偵查與任意偵查未被明確區分����,另一方面賦予偵查機關收集提取電子數據的權力卻未予以合理制約�,這些立法疏漏都可能增加實際操作中的隨意性��,導致個人信息被恣意干預的風險增加��?��!?6〕2019 年公安部《關于公安機關辦理刑事案件電子數據取證規則》并未解決上述問題����,該規則側重于數據信息的真實性保障,仍舊忽視了對被調查者個人信息的保護。2021 年《人民法院在線訴訟規則》聚焦于構建與智能化相契合的訴訟服務模式��,也忽視了個人信息的程序性保障�����。以上問題亟需得到立法或釋法的回應�。
三��、理論基礎: 個人信息權引入刑事訴訟的正當性
大數據時代�����,保護個人信息已成為社會共識,沒有人會否認保護個人信息的重要意義。但個人信息兼具公共屬性與個人屬性�,對其采取權利化保護模式����,不得不面對一些障礙與挑戰���。其中����,最關鍵的問題是個人信息權能夠融入刑事訴訟法律體系。只有論證并且解決這一問題�����,才能在根本上支撐本文觀點����。
( 一) 刑事訴訟中的個人信息權具有訴訟權利特征
“從現行法律來看��,個人信息權在我國仍是一項新興權利�,而非法定權利���。”〔27〕我國民法界對個人信息屬于權利抑或利益一直存在爭議����,即使在支持權利觀點的群體中也有“財產權說”和“人格權說”的分歧,直到《民法典》頒布才確定個人信息的人格權地位���。然而,在刑事訴訟中確立個人信息權���,因涉及與訴訟權利體系的融合����,問題更加復雜����。以色列學者海雷爾認為,如果一項權利訴求能夠與既有基本權利的屬性特征相契合��,那么這項訴求可以納入基本權利的范疇�����?����!?8〕權屬問題是個人信息的核心���,需進行專門論證��。
一是權利結構方面的論證�����。美國法學家霍菲爾德關于權利的法律分析,被公認為是一種權威學說�?;舴茽柕抡J為�����,權利是一種施于他人一定義務的利益����,也是與他人義務相關的一種權利�����,即我有權要求他人作出或不作出某種行為����?��!?9〕據此��,刑事訴訟權利是指刑事訴訟參與人享有的采取某種訴訟行為或者請求他人作出或不作出某種訴訟行為的權利����。從內涵上分析�,刑事訴訟權利結構是: 權利主體�����,即訴訟參與人; 權利客體�����,即訴訟行為指向的對象或利益; 權利內容,訴訟參與人自行實施或請求他人作出或不作出某種訴訟行為。從外延上看,契合以上結構的權利即為刑事訴訟權利��,比如被追訴人享有的申請回避權����、辯護權、上訴權、最后陳述權,以及被害人享有的參與庭審權����、委托訴訟代理權�、請求抗訴權��、申訴權�����,皆屬于刑事訴訟權利���。如前文所述���,個人信息權是個人對其自身信息享有的一定程度的控制和排除他人妨害的權利��。刑事訴訟中的個人信息權,同樣可以從主體�、客體、內容三方面解讀: ( 1) 權利主體既是信息主體,又是訴訟參與人; ( 2) 權利客體是在刑事訴訟中被收集使用的個人信息; ( 3) 權利內容是自行實施或者請求包括信息控制者作出或不作出某種訴訟行為�,比如訴訟參與人提供或同意使用其個人信息�,或是請求訪問�����、更正�����、補充、刪除其個人信息等。〔30〕可見,在刑事訴訟中�,個人信息權與訴訟權利的結構樣態契合���,將個人信息權納入刑事訴訟權利體系符合法理邏輯�。
二是權利特征方面的論證�。首先,訴訟權利表現為權利人自行實施或者請求他人作出或不作出某種訴訟行為�����,比如被告人享有自行辯護權���、申請非法證據排除權; 被害人享有申請檢察院抗訴的權利; 證人發現自己的證言筆錄有錯誤或遺漏����,有權要求更正或補充等等,這些均是行使訴訟權利的表現。刑事訴訟中的個人信息權同樣需要訴訟參與人通過訴訟行為來行使,如“被遺忘權就屬于一種程序性請求權����,而非實體性權利���,請求未果時可尋求訴訟救濟��。”〔31〕其次���,刑事訴訟權利與個人信息權都具有一定的自決性�。在刑事訴訟中,被告人有權按照自己的意愿作出認罪答辯����、進行自我辯護�����、提起上訴等。個人信息權的核心是信息主體對自身信息的控制���,刑事訴訟中的個人信息權也具有自決性,比如證人提供或同意使用個人信息的權利一般是通過自決性的舉證行為行使的��。最后����,刑事訴訟權利與和個人信息權均具有對應的義務與救濟途徑。比如��,被告人獲得法律幫助的權利對應司法機關提供法律援助的義務��,當事人申請回避的權利對應辦案人員的回避義務等; 刑事訴訟中的數據刪除權���,對應的是公安司法機關承擔的信息刪除或封存義務�。在權利救濟方面�����,辯護人和訴訟代理人有權對辦案人員阻礙其依法行使訴訟權利的行為提起申訴或控告�,而這一救濟途徑同樣適用于刑事司法中的個人信息保護。綜上���,刑事訴訟中的個人信息權具有訴訟權利之特征����,將之視為一種訴訟權利并無不妥。
( 二) 現行法律存在引入個人信息權的規范基礎
如前文所述���,歐盟以及主要國家通過立法或判例將個人信息權作為刑事訴訟權利引入刑事司法領域,為我國提供了比較法借鑒����。國內法也存在相關規范基礎����,《憲法》第 38 條能夠成為個人信息權的憲法依據��,《刑事訴訟法》《數據安全法》《個人信息保護法》等法律中也有與個人信息保護直接相關的規定�����。
一是憲法具有解釋與發展個人信息權的空間。“在新興權利的保護進程中����,一種重要的進路是依據憲法關于基本權利的規定通過對憲法相關基本權利的解釋����,將該權利體現的利益納入基本權利體系���。”〔32〕對我國憲法權利進行法律解釋�,能夠為在刑事訴訟法中確立個人信息權提供上位法依據。根據客觀目的解釋論����,可以對《憲法》第38 條“公民的人格尊嚴不受侵犯��。禁止用任何方法對公民進行侮辱�、誹謗和誣告陷害”進行雙重規范意義上的解讀: 前半部分“公民的人格尊嚴不受侵犯”,是人格利益的概括性條款; 后半部分“禁止用任何方法對公民進行侮辱、誹謗和誣告陷害”�,是對人格權的具體列舉���。經過解讀發現�����,第 38 條是可以作擴張解釋的憲法條款,應當囊括憲法尚未明文規定的公民在生命���、健康、姓名�、隱私���、名譽等方面的自決權�����。〔33〕綜上可見,我國憲法具有解釋和發展公法維度上個人信息權的空間,能夠為刑事訴訟法確立個人信息權提供上位法依據�。
二是現行法律存在引入個人信息權的規范基礎�。首先�,《刑事訴訟法》第 54 條規定“涉及個人隱私的證據應當保密”; 第 64 條規定公安司法機關應當對證人、鑒定人和被害人采取“不公開真實姓名、住址和工作單位等個人信息”的保護措施; 第 152 條規定: “公安機關采取技術偵查措施過程中知悉的國家秘密����、商業秘密和個人隱私���,應當保密; 對采取技術偵查措施獲取的與案件無關的材料�,必須及時銷毀����。”其次,在落實總體國家安全觀的法律體系中,《國家安全法》《國家情報法》《網絡安全法》《數據安全法》等涉及刑事訴訟的法律規范中,也初步具備了規范基礎�����。例如����,《國家安全法》第 52 條明確列舉了情報搜集的機關,并對情報搜集工作確定了合法性原則; 《國家情報法》第 19 條規定國家情報機構不得泄露個人信息�,若未能履職�����,將依法給予違法違紀處分; 《網絡安全法》在“網絡信息安全”和“法律責任”兩章中都設置了個人信息保護規則; 《數據安全法》第 19 條規定“國家保護個人、組織與數據有關的權益”; 《公安機關辦理刑事案件電子數據取證規則》第 4 條規定: “公安機關電子數據取證涉及個人隱私的,應當保密; 對于獲取的材料與案件無關的����,應當及時退還或者銷毀��。”以上規定都可以成為個人信息在刑事訴訟中確權的規范基礎。最后,《個人信息保護法》第四章 “個人在個人信息處理活動中的權利”��,規定了知情權���、數據訪問權����、數據刪除權、數據更正權等具體權項��,為刑事訴訟中確立個人信息權提供了清晰的權利框架��。
四����、制度進路: 個人信息權引入刑事訴訟的體系化建構
刑事司法具有維護國家與社會公共利益的特殊使命��,將個人信息權引入其中必須遵循刑事訴訟制度的一般原理����。具體而言��,應當創新刑事訴訟立法方法論,立足于平衡權利保障與犯罪控制的價值立場���,既要實現與《數據安全法》《個人信息保護法》等相關法律的制度銜接,也應重視與刑事訴訟規律相符合的規則調整���。
( 一) 基本原則: 權利保障與犯罪控制的價值平衡
以維護公共利益為目的處理個人信息的公權力,歷來被國際社會公認為是國家干預公民個人信息權的正當理由��。這表明個人信息權并非絕對權利���,個人信息權在刑事訴訟中行使時需要兼顧信息安全與該信息承載的司法功能�。價值平衡的核心在于充分認同個人信息權及其內含的信息所具有的犯罪治理價值,對此可以借助以下三項原則來實現價值平衡���。
1. 公共利益優先原則。刑事訴訟以“保障國家和社會公共安全����,維護社會主義社會秩序”為基本目的�����,優先維護公共利益是其首要價值。如前所述�,在大數據時代����,運用大數據技術可以有效開展犯罪治理活動�,特別是面對恐怖犯罪、跨國有組織犯罪����、黑社會性質組織犯罪等嚴重威脅國家安全的犯罪,海量數據的收集、存儲�����、分析��、使用是有效取證����、打擊犯罪的必要條件。據此�����,有必要將打擊犯罪����、維護公共利益的“必要性”,確定為權力機關對個人信息權合法干預的情形之一���,信息主體此時對該干預行為具有容忍義務。
2. 比例原則����。比例原則是個人信息保護的基本原則���,《個人信息保護法》第 6 條規定: “處理個人信息應當具有明確�、合理的目的��,并應當與處理目的直接相關����,采取對個人權益影響最小的方式�。”刑事訴訟中個人信息保護的比例原則,是指個人信息的收集使用必須遵守刑事訴訟目的,被收集的個人信息不被用于刑事訴訟以外的目的,并且應當采用對個人信息權干預程度最小的手段。具體而言有三點要求: 一是證據法意義上的要求���,針對個人信息的調查取證活動�,都必須以偵查、起訴、審判為目的; 二是辦案機關收集使用個人信息時應當以最小傷害的手段行事; 三是建立干預個人信息權合比例性的評價標準和規則��,特別是大規模監控適用的范圍�、條件和規則。〔34〕
3. 區分保護原則�。刑事訴訟涉及不同的訴訟參與人與不同的個人信息�����,若不加區分地提供保護,可能導致信息獲取的門檻過高,阻礙刑事訴訟的順利進行�����。故應當予以區分保護: ( 1) 區分不同的權利主體���。根據刑事訴訟規律���,訴訟參與人對個人信息保護的需求也存在差別����。比如,對于經歷訴訟程序但未被定罪的被追訴人��,其身份有別于被定罪的犯罪人���,當被追訴人被認定無罪或解除嫌疑之后����,辦案機關使用其個人信息已經失去“必要性”理由,不得再干預其個人信息權; 又如���,被害人�����、證人����、鑒定人等訴訟參與人在刑事訴訟中的地位與作用各不相同���,需要回應他們對個人信息保護的不同需求����?�!?5〕( 2) 區分一般信息和敏感信息。通過區分一般信息和敏感信息劃定個人信息保護與利用的范圍是國際通例�����,有助于實現個人�、信息業者和國家三方利益平衡?����!?6〕具體到刑事訴訟中�����,區分一般信息和敏感信息能夠具象化地實現控制犯罪與保障人權的平衡�。辦案機關需要根據《個人信息保護法》對敏感信息作出界定并實施特別保護�����,這一點主要表現為對敏感信息的干預行為設置更加嚴格的啟動條件與審批程序。比如�,在啟動條件上設置最后手段原則�����,只有在一般信息無法達到訴訟目的之情形下,方可收集敏感信息; 在審批程序上��,遵循比例原則�����,對權力機關處理敏感信息的行為采取更加嚴格的審查方式���。
( 二) 具體構造: 權利內容上的立法細化
“在我國強職權主義訴訟模式下����,法律賦予公安司法機關收集使用個人信息的強大權力���,以至于‘權利—權力’關系呈現出一種跛腳的狀態�。”〔37〕從“權利—權力”的互動關系來看,應當賦予公民個人信息權利�。但值得注意的是��,出于維護國家安全、社會公共利益的需要��,引入個人信息權時需要為刑事司法“量體裁衣”�����,這就意味著應對個人信息權作必要限制����。
1. 信息主體的權利��。刑事訴訟中的信息主體至少應享有三類權利: ( 1) 知情權。個人信息保護制度以尊重其知情權為基礎,《個人信息保護法》第 7 條規定: “處理個人信息應當遵循公開、透明原則���,公開個人信息處理規則,明示處理的目的、方式和范圍����。”不過�����,刑事訴訟具有一定的封閉秘密性,這一特點在偵查程序中表現得尤為明顯,故知情權需要受到合理限制。對此�����,有學者提出構建“告知—延遲告知—不告知”層級化制度〔38〕�,如偵查機關向信息主體告知的時間可延遲至偵查工作結束,以協調知情權與刑事訴訟封閉秘密性的沖突。( 2) 數據訪問權�。數據訪問權既是辯方知悉控方證據來源進而準備辯護的前提���,也是防范數據失真����,避免引發司法錯誤的保障。有必要對辯護人的閱卷權進行信息化升級��,幫助辯方了解司法信息化工作情況����,實現從閱卷權向數據訪問權的進階。( 3) 數據更正�����、刪除��、限制處理權。這三項權利旨在制約公權力收集使用個人信息的行為。當信息主體發現辦案機關掌握自己的信息不正確、不完整時���,可以要求辦案機關予以核實并進行更正、補充; 當信息主體發現使用其個人信息之特定目的已消失或期限屆滿時,可以要求辦案機關刪除或者不公開相關信息; 當個人信息的正確性�、完整性處于不確定狀態�,或者該個人信息需要作為證據保全時����,可以要求辦案機關在獲得其同意的前提下才能使用該信息。
2. 信息處理者的義務�。公安司法機關出于刑事訴訟的目的收集使用個人信息�����,具有信息處理者的身份,應當承擔相應的義務��。具體表現在兩個方面: 一是與信息主體權利對應的義務���,主要包括告知義務和配合義務����。告知義務與信息主體的知情權對應,告知的內容包括收集使用個人信息的目的、法律依據以及相關救濟途徑。配合義務是指“信息處理者應配合信息主體行使權利”。〔39〕比如,針對數據訪問權���,提供訪問權限和數據副本; 針對更正權,更正不準確的信息、補充不完整的信息; 針對被遺忘權�,刪除或封存不再具有訴訟使用目的的信息���。二是數據安全保護義務����。依據《數據安全法》第四章“數據安全保護義務”第 37 條規定�����,公安司法機關應當“建立健全流程數據安全管理制度,采取相應的技術措施或其他必要措施保障個人信息安全����。”主要包括: 對個人信息( 特別是敏感信息) 嚴格保密�����,并采取必要的技術措施保證信息處理的安全〔40〕; 對個人信息的處理過程進行全程記錄,建立操作日志與操作留痕機制; 在收集使用個人信息時�,按照合目的性和比例性的要求����,評估該行為對公民隱私��、財產和人身安全帶來的風險; 當發生信息泄露事故時�����,及時向主管部門報告并通知信息主體,盡快采取補救措施減輕事故后果�����。
( 三) 權利保障: 監督與救濟路徑的多元構建
“無救濟則無權利”�����。為了有效保護公民在刑事訴訟中的個人信息權��,需要構建對應的監督與救濟途徑�,主要包括構建多元化監督機制����、信息監管部門和權利救濟路徑三個方面����。
1. 建立多元化監督機制。針對個人信息的收集處理行為�����,可以按照干預程度的強弱����,作內部自控與司法審查的區分。比如����,針對特定犯罪嫌疑人����、以偵查為目的的信息收集行為����,可以根據其干預程度的強弱分為強制偵查和任意偵查,分別采取內部自控和司法審查方式�。我國涉及個人信息的偵查措施( 包括技術偵查) 以內部自控為主�����,而從現代權力監督制約理念看,這種內部自控方式存在部門利益上的局限性����,當審查工作面對部門利益的壓力時��,很難發揮實質作用。這便為構建司法審查機制提供了制度契機���。比如����,美國將符合隱私期待“主客觀雙重判斷標準”的電子數據取證行為認定為 “搜查”,只有由司法官簽發司法令狀才能實施�?���!?1〕因此����,在對個人信息的收集處理行為進行類型化區分的基礎上,綜合運用內部審批、司法審查來推動程序正當化更為合理�。
2. 設立專門的信息監管部門����。為了實現對權力機關處理個人信息的監督��,國家在必要時可以成立專門的信息監管部門��。如 GDPR 設立歐盟個人數據保護委員會為最高監督機構,并要求成員國成立數據保護監督機構。德國《聯邦個人資料保護法》規定了“個人資料保護監察人”制度��,監察人既負責受理公民對權力機關收集處理其個人資料侵犯其權利的申訴�,還可以向其提出改正建議。此類制度在我國也有規范基礎?����!秱€人信息保護法》第 60 條規定: “國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作��。”但是�,國家網信部門監管的范圍覆蓋整個社會�,難以把握刑事司法的特殊性?����;跈z察機關法律監督者的憲法地位����,可以考慮在檢察機關成立信息監管部門,專門負責刑事司法活動中的信息安全監督工作����,同時履行司法審查職責�。
3. 構建權利救濟路徑�。《個人信息保護法》第 61 條規定公民有權向履行個人信息保護職責的部門投訴、舉報; 《刑事訴訟法》第 56 條、57 條規定了針對非法取證行為的制裁措施����。在以上規定的基礎上�����,可以從三個方面構建刑事訴訟中的個人信息權利救濟路徑: 首先,對侵犯公民個人信息權情節輕微的職務行為,有關機構可以根據公民的投訴展開調查���,核實后對責任人員進行紀律懲戒或行政處罰; 若情節嚴重構成犯罪,則移送司法部門追究刑事責任��。其次�����,侵犯公民個人信息權的行為滿足《刑事訴訟法》第 56 條“不符合法定程序”“可能嚴重影響司法公正”“不能補正或者作出合理解釋”情形之一的�,允許權利主體申請排除非法證據�,由檢察機關審查取證行為的合法性,若情節嚴重�����,應當予以排除�。最后,對在刑事訴訟中因收集使用個人信息導致公民人身權�����、財產權受到損害的情形���,實施侵權行為的辦案主體應當承擔賠償責任�。
結語
在大數據時代��,賦予公民以個人信息權�����,在根本意義上體現了對人格尊嚴的尊重。當前國際上普遍將個人信息保護定位為基本權利�����,并通過立法或判例發展出相關訴訟權利以防止公權力對個人信息的不當干預�。我國民法、刑法�、行政法領域的個人信息立法工作及學術研究都取得了顯著成果��,具有領域統攝地位的《個人信息保護法》也已經頒布,唯獨刑事司法領域的個人信息立法一直處于缺位狀態����。隨著犯罪治理與現代信息技術的結合日益緊密�����,刑事訴訟空間特別是偵查空間從物理場域跨入數字場域,對正當法律程序形成巨大沖擊����,引入個人信息權為訴訟參與人提供司法保護實屬必要���。刑事訴訟中的個人信息權與訴訟權利在結構特征上契合,并且有規范依據證明其作為訴訟權利的正當性。不同場景下的個人信息保護制度需要依據場景特征設置�����。在刑事訴訟中引入個人信息權,應當以平衡犯罪控制和權利保障為價值立場����,將該權利與刑事司法制度深度融合����,體系化建構符合刑事訴訟規律的個人信息保護原則與制度�����。
