大数据背景下：刑事司法中的个人信息保护探析

许峰

关键词：个人信息;刑事诉讼;保护;大数据

中图分类号：D925.2文献标识码：A 文章编号：1009 — 2234（2022）05 — 0107 — 05

一、个人信息保护概论

（一）问题提出的背景

加拿大一位教育背景非常良好的医生开车去美国的途中在边境被警察发现其曾在六十年前服用过致幻类药物，在边境被扣留了四个小时期间被采集了指纹并签署了一份承认自己曾经服用过这类药物并且永遠不被允许进入美国境内的声明。德国的一个小城市酒吧，把每个顾客的消费记录及六十个摄像头的监控记录给警察局共享，当地警察可以通过互联网随意的去查看。即使是在我国社会，这样的现象也是存在的，例如售楼处通过加装视网膜摄像头运用数字识别技术开展的“渠道暗战。”这使得我们十分惶恐，是不是每个人的数据面容都在无时无刻地被记录，使我们现在生活在数字化的圆形监狱中。为了从数字化的圆形监狱中突围，我们不得不把个人信息保护问题摆在突出的位置加以解决。

在社会中存在有关个人信息保护的三种悖论，一是隐私悖论，隐私悖论是影响个人信息保护的重要因素，主要指的是很多公民在接受调查时表示在APP使用便利与个人隐私之间选择后者，但在实际行动中却经常牺牲自己的隐私来换取软件使用上的便利。用行为扭曲论来解释隐私悖论，人们之所以在具体场景中不去注重信息保护，为了一点蝇头小利就去让度自己的信息或隐私，是因为在具体的场景中采取的行动，个人没有足够的知识和能力去判断自己行为的性质和后果，总体上注重隐私，具体行动上却不注重。二是个人自主悖论，无论是我国的《个人信息保护法》还是欧盟的《通用数据保护条例》，保护机制中都有很重要的一部分就是对个人进行赋权，其中最主要的就是决定权，在逻辑上是让个人自主控制他的信息，民法学者都把它称作为重要的个人信息权的民法权能，表面上是给个人充分的自主权，但实际上这种决定权最后导致的结果在很大程度上是个人自主地选择被控制。这种悖论本来是要给个人一种自我控制的权利，但实际上这种自我控制的个人赋权最后不过是导致了一种个人被操纵的场景，在这种场景下，处理者相应的责任反而被消解掉了。三是国家保护的悖论，国家是最大的个人信息处理者，一方面国家承担信息保护义务，另一方面又要共享数据，将数据当作是生产要素来流动，这样国家本身又是一个最大的个人信息泄漏潜在的风险。

数据是主权竞争的筹码，国家作为个人信息的处理者最根本的体现就是在政府管理活动中，消解国家保护的悖论，怎样对国家机关信息处理的权力进行有效控制，是未来我国宪法和其他部门法所必须要面对的问题。

（二）我国个人信息保护的法律领域实践现状

在《个人信息保护法》出台之前，个人信息保护的行政执法实践是有迹可循的。2018年公安部网络安全保卫局在对互联网服务企业进行排查的基础上依据《网络安全法》等相关法律规范对向我国境内提供服务的119家互联网企业提出五项措施来加强个人信息的保护，2020年工信部开展了对APP违规处理个人信息数据的专项治理并推动规范收集、使用个人信息，加强互联网企业的行业自律从而落实个人信息保护。个保法除对网信部门职责作出明确规定外，对于其他部门职责规定并不明确，仅有一条涉嫌犯罪移交公安机关进行处理的明确性规定以及一条对其他部门职责的准用性规定。①

《民法典》不仅在总则编设置了关于个人信息保护的原则性条款，而且在人格权编设置了有关个人信息保护的专门规定，在合法、正当、必要原则的前提下，同时对个人信息保护的各项权益进行了细化的规定。“在《民法典》已然建立起我国个人信息保护上层制度，并进而有可能深刻影响《个人信息保护法》框架和内容的背景下，要实现该部法律对个人信息形成相对完整和周延的保护网，就需要对包括刑事司法在内的各个应用场景予以关注，以形成各个领域之间的良性互动。”②

目前，我国尚未就个人信息保护对刑事司法领域可能产生的影响进行关注。事实上如果我们仔细审视近些年来国家一些关于个人信息保护的争议，不难发现刑事诉讼领域不仅不是除了民商法领域、行政法领域之外的边缘化领域，反而应当是受到我们关注的重点立法领域。《个人信息保护法》立法时并没有对刑事诉讼作出例如GDPR的转引条款的例外规定。刑事司法领域对于个人信息保护的特殊性在一定程度上被忽视，那么一个被忽视的领域是否还能严格适用这部法律，如果要求司法机关对于个人信息使用处理方面的问题都必须依据法律，并且必须做到，那么刑诉法的渊源必将大量增加，整理适用这些法律渊源会导致工作量增加且繁杂。因此刑事诉讼应研究如何适用个保法，破解似乎能用似乎不能用的尴尬局面，进而在此基础上搭建起一套完整的个人信息保护的制度框架是值得深入研究和思考的。

二、刑事司法领域个人信息保护的困境

刑事司法领域个人信息保护的困境主要来源于两个方面，一是依据不明：1.信息权利的产生依据不明，个人信息保护实际上是肇始于刑事司法领域，强调的私人自治、信息自决，但是私人自治与信息自决其实并不是传统的刑事诉讼所追求的价值，这种价值上的冲突是有待解决的一个前置性问题。2.信息权利的内涵属性不明，现在学界存在很多术语，诸如信息隐私权、个人信息权、信息自决权、个人数据受保护权，刑事诉讼中要引入哪种权利概念，这种权利又应该具有那种内涵，“个人信息权益到底是什么性质的权益？具体而言，此处要讨论的关键问题是：自然人的个人信息权益，究竟是按照民事权益逻辑所理解的那样，属于自然人（主体）针对个人信息（客体）所享有的人格权（益），还是一种不同于传统民事权利（益）的新型权利（益）之集合？”③是基本权利还是非基本权利，都是具有探讨空间的。3.司法之中建立的处理个人信息的合法性基础、运行原则和具体权能转化入刑事诉讼中的标准是不明晰的。

二是个人信息权利保护的规范供给不足：1.保密义务条款，《刑事诉讼法》第54条规定了对涉及个人隐私的证据，应当保密。第188条规定了不公开审理的义务，除此之外还有犯罪记录封存等义务。这些义务都可以概述为保密义务，实际上是通过国家机关作为或者不作为义务的方式来间接保护个人信息而不是对信息主体进行赋权。2.技术保真条款，两高一部发布的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》大量的在技术标准层面规定了保护电子数据完整性的方法，侧重的是保护真实性、完整性（储存介质的原始封存状态、电子数据的完整性、数字签名、数字证书等真实性、完整性验证方法），而不是程序的合法性和权利的保护。④

由于现行《刑事诉讼法》所预设的侦查情境并非以大数据时代为背景，因此并没有将大数据收集、共享、挖掘行为单列为一项侦查措施。若将大数据侦查纳入现有的侦查措施规范体系中，也存在与证据调取、网络远程勘验、电子数据检查、技术侦查等刑诉法及其配套规定中明确规定的侦查措施存在交叉关系。《个人信息保护法》的定位是个人信息保护领域的统领性法律，但在制度设计和相关探讨方面对刑事侦查领域的变通性规定，离系统、全面、细致的法律规范还存在较大差距。

三、数字技术与刑事司法

大数据时代的到来与数字技术的高速发展在行政领域对于数字化法治政府建设具有重要的推动作用。数字技术之于刑事司法，我们仍然把它定位于技术辅助手段，诸如类案推送制度、AI法官的建设仍然处在弱人工智能阶段，我们并没有形成一套高效的数字技术与诉讼制度相互通的机制。但是刑事诉讼究其本质是一个收集信息、分析信息、根据信息还原案件事实，并在此基础上适用法律定罪量刑的过程，在此意义上，刑事诉讼是与大数据及数字技术息息相关的。

（一）数字技术与刑事侦查活动的融合

刑事侦查权力的分布格局由传统单向的“公权力机关—个体”的侦查结构转变为公权力机关、个体、社会多元融入与互动的侦查结构。①

刑事侦查对个人信息权利干预程度逐步加深。侦查机关调取个人数据主要是通过警企合作方式，分为两种模式，一是浅层合作：侦查人员通过对案情的分析研判直接向提供服务互联网企业调取犯罪嫌疑人使用服务过程中的数据;二是深层合作：主要体现为侦查机关与互联网企业签署战略合作框架协议。2017年8月，公安部与百度、阿里、腾讯、阿里巴巴等三家公司合作，成立了公安部互联网大数据战训中心。以阿里巴巴为例，侦查机关通过调取淘宝交易数据、支付宝数据、菜鸟寄递数据、注册信息、通联数据、搜索数据、收藏数据、MAC地址、同设备登录人员账号数据、关系人数据、轨迹数据、位置数据等极大地提高了预警和打击犯罪的效能。②同时也增加了公民被全景式监控的风险。

（二）数字技术与审判活动的融合

大数据时代，法院审判能力现代化即“案件审判体系与能力的现代化：利用大数据与人工智能技术，开发文书自动生成、类案推荐、量刑辅助等应用，为法官办案提供全面辅助。”③国家“十三五”信息化发展规划明确提出了智慧法院建设，这意味着智慧法院的发展已被列入国家整体战略规划当中。毋庸置疑，信息化技术推动法院建设数字化、智能化在传统意义上提高了司法效率、降低了司法成本，但同时也对传统司法范式带来了冲击，给个人信息的保护带来了挑战。因此智慧法院场景下对个人信息要进行合规处理：

1.对于个人信息收集规则，人民法院在法律授权范围内为履行法定职责必须收集个人信息应以告知信息主体为原则，以不告知为例外;2.个人信息提供规则，为推进智慧法院建设，法院向企业提供个人信息，既要实现个人信息的公共价值，又要保障个人信息不被非法使用。3.个人信息共享规则，通过数据的重要程度和属性进行分类，在分类的基础上根据不同级别的数据采取分类保护，并在分类分级的基础上建立司法大数据的风险评估和监管制度与信息的保密审查与安全防范制度。由此在推进审判活动信息化建设和智能技术应用的同时确保个人信息安全。

四、刑事诉讼中个人信息保护的完善思路

（一）建立有效的监督体系

“刑事司法体系中有关公民个人信息保护的现有制度安排，其最大的缺陷莫过于外部监督机制的缺失与内部监督的乏力，无论是刑事诉讼法的规定，还是近些年国家立法机关就国家安全领域通过的数部新法，都普遍存在这一问题。”④

在刑事诉讼中，相关技术侦查措施的适用模式是侦查机关的内部审批，检察机关和司法机关无法对其进行有效监督。检察机关是法律监督机关虽然有权对侦查机关的技术侦查措施进行监督，但由于缺乏具体的监督实施机制，在实践中难以对侦查机关的技术侦查措施进行监督。鉴于我国的具体国情，从长远发展来看，我国需要一个专门机构对刑事诉讼中涉及的个人信息保护问题进行处理和监督，全国人大常委会可以设置独立的个人信息保护专门机构对司法机关的收集、使用、共享个人信息的行为进行监督。此外，对司法机关之间的数据库共享机制也应当进行有效监督，诚然，司法机关之间通过数据共享有效地提高了工作效率，但同时也容易使公民的个人信息受到不合理的使用。因此，司法机关通过共享数据库获取公民个人信息后，应严格执行保密制度。同时，在获取信息的内容上，应当对公民的敏感信息进行不同程度的分类分级授权，根据个人信息的分类分级确定信息密级，建立信息泄露追责机制，严禁司法机关工作人员以及司法辅助人员将个人信息外传。在司法机关使用公民个人信息的全过程中，要做好充分的监督和记录，确保公民个人信息应用的规范性和合理性。在内部监督的基础上还应加强外部监督，做到内外部双管齐下，有效保障公民的个人信息安全。

（二）规范刑事司法程序保障个人信息安全

刑事诉讼中个人信息保护问题一方面是源于司法需要对信息主体的数据过度手机后造成信息泄露，另一方面就是司法工作人员和相关诉讼参与人在案件结束以后对相关的案件中涉及的个人信息没有尽到保密义务。面对在诉讼中出现的个人信息保护问题，司法机关应严格遵守诉讼程序，明确个人信息的分级调取程序，远程搜查程序，分析程序以及监控程序。

司法机关收集使用个人信息不是任意为之的，要符合程序正当原則、程序法定原则，同时还要符合比例原则，在保护国家利益的同时还要注重保护个人信息。①规范刑事司法程序，还应当提高司法机关工作人员对公民个人信息的保护意识，构建侵犯公民个人信息的追责、惩戒、赔偿机制，对司法工作人员的行为进行有效规制。严厉追究渎职、滥用职权、不当使用或泄露个人信息的行为，要将对个人信息的保护贯彻到侦查、起诉、审判的全过程，从而保障公民个人信息安全。

（三）确立刑事诉讼中的被遗忘权

大数据的传播在刑事司法领域具有双刃性。在刑事立法层面，能够使其更加科学，推进科学立法，通过对掌握的大量数据进行分析可以使立法者构建出更清晰明智的法律制度。在刑事法律的实施层面，对某一特定地区特定物品的输入输出数量通过网购及快递平台进行监控可以使某类犯罪的预测及预防成为可能，从而在预备阶段防止犯罪行为发生。在司法效率方面，通过信息的大量、及时共享能够为不同机关彼此之间的合作提供便利，显著提高工作过程的效率和结果的准确性。

然而大数据在推动制度正向发展的同时，也给刑事司法带来了挑战。个人信息在大数据时代快速而广泛的传播使得公民个人一旦牵涉到刑事诉讼，无论是被定罪的罪犯、还是被宣告无罪的犯罪嫌疑人、被追诉人抑或是被害人，刑事案件的记忆就会终身对其产生影响，对于被害人以及被宣告无罪的犯罪嫌疑人、被追诉人一直与刑事案件联系在一起是不利于在公民个人心中实现公平正义的，即使是对已经被定罪判刑的罪犯，如果刑事司法一直有记忆，犯罪记录就像是刺青一样刻在人身上，犯罪行为的阴影终身伴随其生活，不利于刑罚矫正功能的实现。在这种情况下，刑事司法领域确立被遗忘权是符合人权保障理念也符合刑事诉讼当中各方参与人实现合法需求的并且是十分必要的。

确立被遗忘权首先要明确义务主体，即自然人、法人、国家机关，在刑事司法领域主要是公检法司法机关等。内容在于权利主体要求删除或不再使用其个人数据，而刑事司法领域这些数据大都被国家机关所占有，在各个机关之间被共享。其次要明确司法机关的义务，包括积极义务和消极义务。

积极义务包括封存和删除。封存是指对于刑事诉讼所涉及的个人信息在法定条件下严格限制或禁止使用，例如我国刑诉法规定的未成年人犯罪记录封存制度。封存是信息主体要求义务机关行使义务的原始样态，权利主体的个人数据仍然处在义务机关的掌控之下，不会导致义务机关对所掌握数据的彻底丧失，其要求较为宽松，因此容易被司法机关所接受。删除是指在法定条件下义务主体必须删除与刑事诉讼相关的记录。例如，法国《刑事诉讼法》第770条规定，在法定期限届满后，即使少年犯已成年，少年法院应当根据犯罪人自己或者检察机关的申请，从犯罪记录中撤销与前款判决有关的登记记录。删除意味着司法机关对个人信息数据的彻底丧失，具有不可恢复性。②因此相比较与封存来说，删除对于个人数据的保护力度大了很多，也正因为如此，很多国家对删除的规定都抱着一种审慎的态度。消极义务是指义务主体实际上不需要主动地做出某种行为就能够满足权利主体行使被遗忘权。具体包括不主动获取，不储存，不传递。要求在符合相关条件下司法机关（不与其他机关共享）、新闻媒体（不转发报道、刊登）、社会公众（不转发相关图文报道）不主动获取，不储存，不传递刑事诉讼相关主体个人数据。

大数据时代使得刑事司法领域产生了被遗忘权的适用空间，尽管我国和世界上很多国家都还抱着一种审慎的态度，没有在刑事诉讼中确立被遗忘权制度，但其确立以及理性发展已经成为满足信息主体保护个人信息的必然趋势。

结语

信息一直存在于公民的日常生产、生活、交往的过程中。就其本质而言，刑事诉讼就是一个收集信息、分析信息、根据信息还原案件事实，并在此基础上适用法律定罪量刑的过程。公民个人让渡出自己的信息后，需要建立健全一系列严密、具体的制度设计从而使司法机关在法律授权范围内安全、合理地使用个人信息。建立有效的监督机制，规范涉及收集、使用、提供个人信息的司法程序，确立被遗忘权，从实体和程序上两方面加强刑事司法领域对个人信息的保护，是应对大数据时代对公民全景式监控风险挑战进而从“数字化的圆形监狱”突围的必要举措。在未来我们仍需紧跟大数据时代的发展继续探索，旨在使得刑事司法领域对个人信息的保护更加充分、具体。

〔参 考 文 献〕

[1]裴炜.个人信息保护法与刑事司法的分离与融合[J].中国政法大学学报，2020（05）.

[2]王锡锌.个人信息权益的三层构造及保护机制[J].现代法学，2021（05）.

[3]王锡锌，彭錞.个人信息保护法律体系的宪法基础[J].清华法学，2021（03）.

[4]刘玫，陈雨楠.从冲突到融入：刑事侦查中公民个人信息保护的规则构建[J].法治研究，2021（05）.

[5]刘艳红.大数据时代审判体系和审判能力现代化的理论基础与实践展开[J].安徽大学学报，2019（03）.

[6]程雷.刑事司法中的公民个人信息保护[J].中国人民大学学报，2019（01）.

[7]程雷.大数据侦查的法律控制[J].中国社会科学，2018（11）.

[8]宋奕宁.论刑事诉讼中的个人信息保护[D].山西大学，2020.

[9]杨立新，韩煦.被遗忘权的中国本土化及法律适用[J].法学论坛，2015（02）.

[10]王仲羊.刑事訴讼中的个人信息保护—以科技定位侦查为视角[J].理论月刊，2020（12）.

[11]郑曦.“被遗忘”的权利：刑事司法视野下被遗忘权的适用[J].学习与探索，2016（04）.

[12]郑曦.大数据时代的刑事领域被遗忘权[J].求是学刊，2017（11）.

〔责任编辑：侯庆海〕