鄭曦

內(nèi)容摘要：刑事司法中海量收集使用數(shù)據(jù)必然帶來數(shù)據(jù)安全保護(hù)的問題，現(xiàn)有法律對于此問題的規(guī)定存在不足，新出臺的數(shù)據(jù)安全法對于刑事司法中的數(shù)據(jù)安全保護(hù)之規(guī)定亦過于粗疏，加之司法信息化加劇了刑事司法中的數(shù)據(jù)安全風(fēng)險，有必要予以充分關(guān)注。刑事司法中應(yīng)當(dāng)以保障公民權(quán)利為數(shù)據(jù)安全保護(hù)的重要價值取向，確定國家承擔(dān)數(shù)據(jù)安全保護(hù)的主要義務(wù)，進(jìn)而對刑事訴訟全程進(jìn)行數(shù)據(jù)安全監(jiān)管。具體而言，應(yīng)當(dāng)通過建立數(shù)據(jù)分類和分級制度、尊重和發(fā)揮數(shù)據(jù)主體在數(shù)據(jù)安全保護(hù)中的作用、明確數(shù)據(jù)控制者和處理者的數(shù)據(jù)安全保護(hù)職責(zé)、將檢察機(jī)關(guān)設(shè)置為專門的數(shù)據(jù)監(jiān)管機(jī)構(gòu)并賦予其相應(yīng)職能，從而構(gòu)建起相對完整的刑事司法領(lǐng)域數(shù)據(jù)安全保護(hù)制度。

關(guān)鍵詞：數(shù)據(jù) 刑事司法 數(shù)據(jù)安全法 數(shù)據(jù)監(jiān)管 個人信息保護(hù) 科技與司法

中圖分類號：DF73文獻(xiàn)標(biāo)識碼：A文章編號：1674-4039-（2021）05-0080-92

現(xiàn)代社會在很大程度上依賴于數(shù)據(jù)而運行，以互聯(lián)網(wǎng)為平臺的“互聯(lián)互通”與大數(shù)據(jù)、人工智能等技術(shù)相結(jié)合，催生出以數(shù)十、甚至數(shù)百澤字節(jié)（ZB） 〔1 〕計的數(shù)據(jù)和以數(shù)十億計的網(wǎng)絡(luò)使用者，徹底改變了人類的生活方式。但是在帶來便利的同時，海量數(shù)據(jù)的廣泛收集和使用也引發(fā)了諸多社會問題：一方面，人們發(fā)現(xiàn)自己對其個人數(shù)據(jù)已經(jīng)失去控制能力，甚至受困于數(shù)字“圓形監(jiān)獄”之中;另一方面，對數(shù)據(jù)的不法使用給人們的隱私、財產(chǎn)甚至人身安全帶來了巨大的威脅，從而促使人們關(guān)注數(shù)據(jù)安全保護(hù)問題。面對數(shù)據(jù)安全保護(hù)的時代需求，2021年6月10日，第十三屆全國人大常委會第二十九次會議通過了《中華人民共和國數(shù)據(jù)安全法》（以下簡稱數(shù)據(jù)安全法），從國家立法的層面回應(yīng)這一問題。作為數(shù)據(jù)安全領(lǐng)域的專門性法律，該法一個突出的亮點在于其中一些條文涉及刑事司法領(lǐng)域，這與以往數(shù)據(jù)或信息相關(guān)法律法規(guī)回避刑事司法的思路有明顯區(qū)別，體現(xiàn)出立法者對刑事司法中數(shù)據(jù)安全保護(hù)問題的關(guān)切態(tài)度。但是數(shù)據(jù)安全法對于刑事司法中數(shù)據(jù)安全保護(hù)問題的規(guī)定較為粗疏，僅有的原則性要求遠(yuǎn)不能滿足實踐的需要，仍需進(jìn)一步深入研究并對相關(guān)制度加以完善。

一、刑事司法中數(shù)據(jù)安全保護(hù)的現(xiàn)實需要

科技的發(fā)展大大提升了刑事司法中收集使用數(shù)據(jù)的深度和廣度，但現(xiàn)有法律對于刑事司法中數(shù)據(jù)安全保護(hù)的規(guī)定尚有不足，而司法信息化建設(shè)進(jìn)一步加劇了刑事司法中數(shù)據(jù)安全方面的風(fēng)險，使得保護(hù)數(shù)據(jù)安全成為刑事司法的現(xiàn)實需要。

（一）刑事司法中海量收集使用數(shù)據(jù)

收集使用數(shù)據(jù)向來是刑事司法運作的基礎(chǔ)。刑事司法為解決被追訴人刑事責(zé)任問題，在事實認(rèn)定上必須依靠證據(jù)，故有“證據(jù)裁判主義”之原則。許多證據(jù)通過“以電子或者其他方式對信息的記錄” 〔2 〕之?dāng)?shù)據(jù)形式呈現(xiàn)，對這些證據(jù)的收集使用即是處理數(shù)據(jù)的過程。因此，從這個意義上看，對數(shù)據(jù)的收集使用是刑事司法的基本內(nèi)容和運用基礎(chǔ)，也是案件裁判的前提。

隨著科技的發(fā)展，刑事司法中收集使用數(shù)據(jù)的方式發(fā)生了巨大變化，特別是大數(shù)據(jù)偵查等手段的普遍運用 〔3 〕，使得以偵查機(jī)關(guān)為代表的刑事司法公權(quán)力機(jī)關(guān)收集使用數(shù)據(jù)的能力得到了極大提升。1968年，美國通過綜合犯罪控制與街道安全法，允許執(zhí)法機(jī)關(guān)以“監(jiān)聽與電子監(jiān)控”等方式收集數(shù)據(jù);1985年，英國通過通訊攔截法，允許警察截收公民個人的通信并從中收集數(shù)據(jù);1998年，德國修改刑事訴訟法，增加了大量新型技術(shù)偵查手段之規(guī)定，大幅提升警察收集數(shù)據(jù)的能力;《聯(lián)合國反腐敗公約》規(guī)定締約國應(yīng)“允許其主管機(jī)關(guān)在其領(lǐng)域內(nèi)酌情使用控制下交付和在其認(rèn)為適當(dāng)時使用諸如電子或者其他監(jiān)視形式和特工行動等其他特殊偵查手段” 〔4 〕收集數(shù)據(jù)，《聯(lián)合國打擊跨國有組織犯罪公約》第20條也有類似的規(guī)定。我國自1993年在國家安全法中規(guī)定了“技術(shù)偵察”后，2012年刑事訴訟法修改時設(shè)置專節(jié)將技術(shù)偵查制度徹底合法化，目前實踐中運用的電子同步設(shè)備、訪問控制設(shè)備、數(shù)據(jù)保存和恢復(fù)設(shè)備、圖影成像設(shè)備、加密解密系統(tǒng)、衛(wèi)星定位系統(tǒng)、網(wǎng)絡(luò)跟蹤設(shè)備、數(shù)據(jù)庫等技術(shù)，使得偵查機(jī)關(guān)獲取數(shù)據(jù)的方式多元、難度降低，甚至利用網(wǎng)絡(luò)搜查等方式，收集數(shù)據(jù)的過程可以遠(yuǎn)程、無接觸、隱秘進(jìn)行。

除了自行收集數(shù)據(jù)之外，偵查機(jī)關(guān)等刑事司法中的公權(quán)力機(jī)關(guān)還借由第三方獲取數(shù)據(jù)，這些第三方既包括社會管理部門，也包括商業(yè)機(jī)構(gòu)。社會管理部門所收集的數(shù)據(jù)在必要時可以被用于刑事司法已為各國法律所廣泛認(rèn)可。例如，美國的生物識別簽證制度就許可數(shù)據(jù)進(jìn)入國土安全部的US-VISIT系統(tǒng)而用于識別犯罪嫌疑人;歐洲2019年創(chuàng)設(shè)的通用身份資源庫（CIR）涵蓋了申根信息系統(tǒng)、Eurodac指紋系統(tǒng)、VIS簽證信息系統(tǒng)、歐洲第三國國民犯罪記錄系統(tǒng)（ECRIS-TCN）、EES出入境系統(tǒng)和歐洲旅行信息和授權(quán)系統(tǒng)（ETIAS），其所采取的生物識別數(shù)據(jù)亦允許執(zhí)法部門使用?！? 〕除了社會管理部門外，商業(yè)機(jī)構(gòu)收集的數(shù)據(jù)亦可能為刑事司法中的公權(quán)力機(jī)關(guān)所取得，從而被用于刑事訴訟中。美國2018年的卡朋特案中，警方即是從Verizon等移動通信運營商處調(diào)取犯罪嫌疑人的手機(jī)定位數(shù)據(jù)，并使用這些數(shù)據(jù)對其進(jìn)行控訴的?！? 〕在我國，刑事司法中的公權(quán)力機(jī)關(guān)從商業(yè)機(jī)構(gòu)獲取數(shù)據(jù)也已是常見的做法。例如支付寶在其《支付寶隱私權(quán)政策》中就明確說明，在出現(xiàn)與犯罪偵查、起訴、審判和執(zhí)行判決等直接相關(guān)的情形時，支付寶根據(jù)相關(guān)法律法規(guī)及國家標(biāo)準(zhǔn)共享、轉(zhuǎn)讓、公開披露用戶的個人信息無需征得用戶同意?！? 〕

當(dāng)前，刑事司法中對數(shù)據(jù)的收集使用呈現(xiàn)出兩方面的特征。其一，收集使用數(shù)據(jù)的時間前移。理論上刑事訴訟程序自立案之時啟動，以取證方式進(jìn)行的數(shù)據(jù)收集使用行為應(yīng)自立案之后進(jìn)行，但實踐中犯罪治理活動常常提前啟動，在刑事立案之前，偵查機(jī)關(guān)即可能運用犯罪預(yù)測工具、案件初查輔助工具等進(jìn)行數(shù)據(jù)的收集使用?！? 〕其二，不加區(qū)分地收集使用數(shù)據(jù)。數(shù)據(jù)應(yīng)有一般數(shù)據(jù)與敏感數(shù)據(jù)之分，敏感數(shù)據(jù)涉及種族或民族背景、政治理念、宗教信仰、性取向等，“一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇” 〔9 〕，但其在刑事訴訟中往往與個案的處理關(guān)系不大。然而，當(dāng)前對于刑事司法中公權(quán)力機(jī)關(guān)收集使用數(shù)據(jù)的規(guī)定尚無關(guān)于一般數(shù)據(jù)與敏感數(shù)據(jù)的規(guī)定，對于收集敏感數(shù)據(jù)的限制嚴(yán)重不足。如此一來，對數(shù)據(jù)廣泛、提前、不加區(qū)分地收集使用令刑事司法中的公權(quán)力機(jī)關(guān)成為數(shù)據(jù)的控制者和使用者，海量數(shù)據(jù)進(jìn)入刑事司法領(lǐng)域使得刑事司法中的數(shù)據(jù)安全保護(hù)成為一個現(xiàn)實而迫切的問題。

（二）現(xiàn)有法律對刑事司法中的數(shù)據(jù)安全保護(hù)問題規(guī)定不足

傳統(tǒng)上，數(shù)據(jù)或信息相關(guān)的法律法規(guī)往往對刑事司法中的數(shù)據(jù)安全保護(hù)問題采取回避之態(tài)度。歐盟無論在1995年的《關(guān)于涉及個人數(shù)據(jù)處理的個人保護(hù)以及此類數(shù)據(jù)自由流動的指令》還是歐盟《通用數(shù)據(jù)保護(hù)條例》（以下簡稱GDPR）中，均未對刑事司法中的數(shù)據(jù)安全保護(hù)問題作出明確規(guī)定。例如，GDPR第2條第2款就規(guī)定：“本條例不適用于以下處理個人數(shù)據(jù)的情形……（d）有權(quán)機(jī)關(guān)為預(yù)防、偵查、調(diào)查或起訴刑事犯罪、或執(zhí)行刑事處罰，包括防范和預(yù)防公共安全威脅之目的（而處理個人數(shù)據(jù)）?！?〔10 〕美國聯(lián)邦和州關(guān)于數(shù)據(jù)或信息的立法，例如兒童網(wǎng)絡(luò)隱私保護(hù)法（COPPA）、加州消費者隱私法、加州未成年人網(wǎng)絡(luò)隱私法等，亦是或本身與刑事司法不直接相關(guān)，或鮮涉及刑事司法中數(shù)據(jù)安全保護(hù)問題。

我國也存在同樣的問題，數(shù)據(jù)安全保護(hù)問題長期被置于憲法、民商法、行政法等范疇內(nèi)進(jìn)行討論，刑事學(xué)者特別是刑事程序法學(xué)者對此鮮有關(guān)注，而數(shù)據(jù)和信息法專家學(xué)者們提出的數(shù)據(jù)或信息相關(guān)的法律專家建議稿中，也極少涉及刑事司法的數(shù)據(jù)安全保護(hù)問題。〔11 〕2012年全國人大常委會《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》和2017年的網(wǎng)絡(luò)安全法雖然在宏觀層面規(guī)定了網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)安全保護(hù)問題，但并未對刑事司法領(lǐng)域的此種問題予以直接規(guī)定。

此次通過的數(shù)據(jù)安全法第6條規(guī)定：“公安機(jī)關(guān)、國家安全機(jī)關(guān)等依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)承擔(dān)數(shù)據(jù)安全監(jiān)管職責(zé)?！痹诘?章“數(shù)據(jù)安全保護(hù)義務(wù)”第35條規(guī)定：“公安機(jī)關(guān)、國家安全機(jī)關(guān)因依法維護(hù)國家安全或者偵查犯罪的需要調(diào)取數(shù)據(jù)，應(yīng)當(dāng)按照國家有關(guān)規(guī)定，經(jīng)過嚴(yán)格的批準(zhǔn)手續(xù)，依法進(jìn)行，有關(guān)組織、個人應(yīng)當(dāng)予以配合?！毕噍^于以往的法律，數(shù)據(jù)安全法較為直接地規(guī)定了公安機(jī)關(guān)、國家安全機(jī)關(guān)在履職范圍內(nèi)的數(shù)據(jù)安全監(jiān)管職責(zé)和數(shù)據(jù)安全保護(hù)義務(wù)，但是該法對此問題的規(guī)定仍顯粗疏，僅有的兩個條文只是作出了原則性規(guī)定，缺乏細(xì)化的規(guī)則，使得實踐中實施的難度增大。在刑事司法領(lǐng)域雖然也有一些規(guī)范性文件涉及數(shù)據(jù)安全保護(hù)問題，例如刑事訴訟法第152條對技術(shù)偵查措施規(guī)定了原則性的實施要求，2016年最高人民法院、最高人民檢察院和公安部《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》和2019年公安部《公安機(jī)關(guān)辦理刑事案件電子數(shù)據(jù)取證規(guī)則》中有涉及數(shù)據(jù)安全的條文，但從整體看，相關(guān)的規(guī)定零散而不成體系，無法滿足海量數(shù)據(jù)收集使用背景下的刑事司法領(lǐng)域數(shù)據(jù)安全保護(hù)的實踐需求。

（三）司法信息化加劇了數(shù)據(jù)安全風(fēng)險

現(xiàn)代社會科技的運用提升了生產(chǎn)效率、加快了生活節(jié)奏，在給人們帶來財富和便利的同時也使得糾紛的數(shù)量大幅增加，巨大的案件量給刑事司法中的公權(quán)力機(jī)關(guān)造成了極大壓力，迫使許多國家都不得不進(jìn)行司法信息化的改革，從而提升案件辦理的效率。根據(jù)歐洲司法效率委員會的報告，2016年40余個歐洲國家均有司法信息化的舉措，包括運用ERP案件管理系統(tǒng)、OUTILGREF職位分配和管理系統(tǒng)、文件起草輔助工具等; 〔12 〕在美國，聯(lián)邦法院系統(tǒng)有“案件管理和電子案件檔案系統(tǒng)（CM/ECF）”和“法院電子記錄公共訪問系統(tǒng)（PACER）”兩大信息化系統(tǒng)，各州法院也有其各自的信息化系統(tǒng);甚至印度、肯尼亞、尼日利亞等發(fā)展中國家也有其各自的司法信息化改革舉措。在我國，司法信息化建設(shè)也是司法改革中的熱點問題。以法院為例，我國的法院信息化改革在完成了信息化的基礎(chǔ)建設(shè)后已經(jīng)進(jìn)入建設(shè)“智慧法院”的新階段;相應(yīng)地，檢察院和公安機(jī)關(guān)也分別在進(jìn)行“智慧檢務(wù)”和“智慧警務(wù)”建設(shè)。

司法信息化是刑事司法中的公權(quán)力機(jī)關(guān)在面對新型科技運用之時代潮流和案件數(shù)量迅猛增長之現(xiàn)實困境的必然選擇。然而，司法信息化舉措在有效提升司法效率的同時，也是一把“雙刃劍”，進(jìn)而導(dǎo)致一系列的問題， 〔13 〕其中加劇刑事司法中的數(shù)據(jù)安全風(fēng)險即是諸多問題之一。具體而言，體現(xiàn)在以下兩個方面。

其一，司法數(shù)據(jù)庫的“互聯(lián)互通”與“共建共享”增加了數(shù)據(jù)失控的風(fēng)險。我國的司法信息化建設(shè)在很多方面處于世界領(lǐng)先水平，在公檢法三機(jī)關(guān)各自初步完成其信息化基礎(chǔ)設(shè)施建設(shè)后，下一步的工作重點即在于促進(jìn)三機(jī)關(guān)數(shù)據(jù)庫的“互聯(lián)互通”與“共建共享”。例如上海、貴州等地已經(jīng)試點研發(fā)構(gòu)建跨部門大數(shù)據(jù)辦案平臺，通過此平臺實現(xiàn)司法數(shù)據(jù)的共享，從而統(tǒng)一證據(jù)使用和裁判的尺度?！?4 〕此種“互聯(lián)互通”與“共建共享”中，司法數(shù)據(jù)在三機(jī)關(guān)之間分享，固然能夠提升司法數(shù)據(jù)的運用效果，提高辦案水平。然而一旦操之不慎，會帶來數(shù)據(jù)安全保護(hù)方面的風(fēng)險。首先，在此種聯(lián)通與共享的過程中，有權(quán)提供、接觸相關(guān)司法數(shù)據(jù)的機(jī)關(guān)和人員增加，倘若沒有足夠的數(shù)據(jù)安全控制措施，如對數(shù)據(jù)作匿名化處理、添加密級標(biāo)識、設(shè)置加密授權(quán)觸發(fā)機(jī)制等，則數(shù)據(jù)泄露的風(fēng)險可能隨著司法數(shù)據(jù)共享的便利性提升而增加。其次，由于不同機(jī)關(guān)的數(shù)據(jù)庫往往是由不同的技術(shù)人員按照不同的技術(shù)方案建構(gòu)的，秉承不同技術(shù)標(biāo)準(zhǔn)的數(shù)據(jù)庫在“互聯(lián)互通”與“共建共享”的過程中可能出現(xiàn)端口不匹配、協(xié)議不統(tǒng)一等兼容性方面的問題，這種技術(shù)方面的障礙也增加了司法信息化系統(tǒng)因遭遇攻擊或自身出現(xiàn)故障導(dǎo)致數(shù)據(jù)失控之風(fēng)險。最后，不同機(jī)關(guān)對于司法數(shù)據(jù)的使用可能遵循不同的保密規(guī)定，例如公檢法對于同一案件在不同階段的數(shù)據(jù)密級量定標(biāo)準(zhǔn)不一致。此種不一致未必不符合司法運行的規(guī)律，如在偵查階段的保密性要求高于審查起訴和審判階段正是閱卷權(quán)自審查起訴階段方可行使的原因，但此種不一致卻可能一方面阻礙三機(jī)關(guān)的“互聯(lián)互通”與“共建共享”，另一方面則在實現(xiàn)共享后帶來數(shù)據(jù)安全管理方面的隱憂。

其二，司法信息化的技術(shù)性工作外包增加了數(shù)據(jù)泄露的可能性。由于法律界對數(shù)據(jù)統(tǒng)計與分析技術(shù)陌生、對大數(shù)據(jù)算法幾乎完全外行、對人工智能缺乏客觀認(rèn)識等原因 〔15 〕，公檢法機(jī)關(guān)顯然無法依靠自身力量完成司法信息化所需的技術(shù)性工作，于是將此項工作外包給相應(yīng)的科技企業(yè)就成為必然的選擇?？萍计髽I(yè)在進(jìn)行司法信息化的技術(shù)性工作時，必然需要獲得大量司法數(shù)據(jù)以作為司法信息化的原料性基礎(chǔ)，在此過程中可能因為司法數(shù)據(jù)交接中的疏忽或技術(shù)人員個人品質(zhì)等方面的原因而發(fā)生數(shù)據(jù)泄露;甚至在司法信息化的技術(shù)性工作完成之后，科技企業(yè)也可能基于其逐利之本能，以安裝“木馬”、預(yù)設(shè)“后門”等方式通過其參與建設(shè)的司法信息化系統(tǒng)主動竊取司法數(shù)據(jù)，對此不可不予以嚴(yán)防。

二、刑事司法中數(shù)據(jù)安全保護(hù)的基本思路

既然刑事司法中存在上述數(shù)據(jù)安全保護(hù)的現(xiàn)實需要，則有必要厘清保護(hù)刑事司法數(shù)據(jù)安全的思路，為具體的制度完善提供基礎(chǔ)。

（一）源自權(quán)利保障的數(shù)據(jù)安全保護(hù)

數(shù)據(jù)安全保護(hù)的目的往往是雙重的：一方面在于保護(hù)國家利益，特別是主權(quán)、安全等利益;另一方面則在于保護(hù)公民的合法利益，恰如我國數(shù)據(jù)安全法第1條規(guī)定：“為了……保護(hù)個人、組織的合法權(quán)益，維護(hù)國家主權(quán)、安全和發(fā)展利益，制定本法?！睘檫_(dá)成保護(hù)數(shù)據(jù)安全以保障公民合法利益之目的，最為直接的方式即是賦予公民、特別是作為數(shù)據(jù)主體的公民相應(yīng)的數(shù)據(jù)權(quán)利，通過公民數(shù)據(jù)權(quán)利的行使限制數(shù)據(jù)控制者和處理者的行為、促進(jìn)數(shù)據(jù)安全保護(hù)的實現(xiàn)。從某種意義上看，保護(hù)公民的數(shù)據(jù)權(quán)利，也是憲法“國家尊重和保障人權(quán)”理念的體現(xiàn)。例如，歐盟即是根據(jù)《歐盟基本權(quán)利憲章》第8條第1款之規(guī)定而將公民的數(shù)據(jù)權(quán)利視為基本權(quán)利的?！?6 〕

基于通過數(shù)據(jù)權(quán)利保障實現(xiàn)數(shù)據(jù)安全保護(hù)的邏輯，GDPR規(guī)定數(shù)據(jù)主體享有數(shù)據(jù)訪問權(quán)、更正權(quán)、刪除權(quán)（被遺忘權(quán)）、限制處理權(quán)、反對權(quán)等一系列數(shù)據(jù)權(quán)利，通過數(shù)據(jù)權(quán)利的行使限制數(shù)據(jù)處理行為，進(jìn)而確保數(shù)據(jù)安全。通過賦予公民數(shù)據(jù)權(quán)利保障數(shù)據(jù)安全的思路在刑事司法領(lǐng)域同樣適用，2016年歐盟《通用數(shù)據(jù)保護(hù)條例》 〔17 〕亦規(guī)定了數(shù)據(jù)主體的一系列數(shù)據(jù)權(quán)利，從而限制數(shù)據(jù)控制者和處理者并保障數(shù)據(jù)安全。〔18 〕

刑事司法中，對于數(shù)據(jù)安全保護(hù)意義最為直接和重大的公民數(shù)據(jù)權(quán)利當(dāng)屬數(shù)據(jù)訪問權(quán)和被遺忘權(quán)。數(shù)據(jù)訪問權(quán)是指數(shù)據(jù)主體可以從數(shù)據(jù)控制者處確認(rèn)其個人數(shù)據(jù)是否被正確處理，并在此種情形下可以訪問個人數(shù)據(jù)及獲得相關(guān)信息的權(quán)利。〔19 〕數(shù)據(jù)訪問權(quán)是通過權(quán)利行使以實現(xiàn)數(shù)據(jù)安全保護(hù)這一邏輯下的前提性權(quán)利，尤其是從數(shù)據(jù)控制者處確認(rèn)其個人數(shù)據(jù)是否被正確處理的內(nèi)容，與“知情—同意”的數(shù)據(jù)保護(hù)核心原則密切相關(guān)，是數(shù)據(jù)主體行使其他數(shù)據(jù)權(quán)利的基礎(chǔ)。在刑事訴訟中，數(shù)據(jù)主體特別是被追訴人一方運用數(shù)據(jù)訪問權(quán)，一則可以突破原有閱卷權(quán)在閱卷對象方面的訴訟文書和證據(jù)材料兩類案卷材料之限制;二則可以促使進(jìn)案卷二元主義之改革，對于限制作為數(shù)據(jù)控制者和處理者的刑事司法中的公權(quán)力機(jī)關(guān)的數(shù)據(jù)處理行為、防止數(shù)據(jù)濫用，具有顯著積極的作用。而被遺忘權(quán)是指數(shù)據(jù)主體在其個人數(shù)據(jù)不再有合法使用之需時，要求將其刪除或停止使用的權(quán)利，相較于數(shù)據(jù)訪問權(quán)作為通過權(quán)利行使以實現(xiàn)數(shù)據(jù)安全保護(hù)的一項前提性權(quán)利，被遺忘權(quán)具有明顯的兜底性特征。被遺忘權(quán)通過數(shù)據(jù)主體要求數(shù)據(jù)控制者和處理者對其個人數(shù)據(jù)進(jìn)行刪除或封存，實現(xiàn)了個人數(shù)據(jù)的不為人所知目的。尤其在刑事司法中，作為數(shù)據(jù)主體的被害人、被追訴人、證人等訴訟參與人通過行使被遺忘權(quán)（如封存或刪除涉案數(shù)據(jù)、犯罪和監(jiān)禁記錄等）對包括刑事司法公權(quán)力機(jī)關(guān)在內(nèi)的數(shù)據(jù)控制者和處理者構(gòu)成數(shù)據(jù)控制和使用方面的限制，從而大大降低甚至徹底消除了數(shù)據(jù)泄露和非法使用等數(shù)據(jù)安全風(fēng)險。因此，數(shù)據(jù)訪問權(quán)和被遺忘權(quán)一頭一尾，與更正權(quán)、限制處理權(quán)、反對權(quán)等其他數(shù)據(jù)權(quán)利形成了完整的體系，使得數(shù)據(jù)主體能夠通過權(quán)利行使有效制約刑事司法中公權(quán)力機(jī)關(guān)的數(shù)據(jù)處理，從而實現(xiàn)數(shù)據(jù)安全保護(hù)之目標(biāo)。

值得注意的是，在刑事司法中，數(shù)據(jù)權(quán)利應(yīng)當(dāng)被視為訴訟參與人的訴訟權(quán)利。刑事訴訟權(quán)利的核心內(nèi)容在于訴訟參與人實施了某種訴訟行為或請求他人作出或不作出某種訴訟行為，而在刑事司法的場域下，作為數(shù)據(jù)主體的訴訟參與人所享有的數(shù)據(jù)權(quán)利與訴訟權(quán)利具有特征上的高度契合性。首先，在刑事訴訟中數(shù)據(jù)權(quán)利與其他訴訟權(quán)利一樣，也是通過訴訟行為實現(xiàn)的，例如上文所述刑事司法中的被遺忘權(quán)，其行使方式是請求數(shù)據(jù)控制者和處理者作出刪除數(shù)據(jù)等訴訟行為。其次，刑事司法場域下的數(shù)據(jù)權(quán)利具有程序性特征，其行使方式無論是自決性地作出某種訴訟行為或請求性地要求他人作出某種訴訟行為，其直接結(jié)果無非導(dǎo)致訴訟權(quán)利義務(wù)關(guān)系的產(chǎn)生、發(fā)展和變化，對于刑事案件具體處理的定罪量刑等實體問題的關(guān)系相對間接，因此具有程序性特征。最后，數(shù)據(jù)權(quán)利與其他訴訟權(quán)利一樣具有可放棄性，既然“權(quán)利就是人的自由意志的外在形式” 〔20 〕，那么刑事訴訟中訴訟參與人是否放棄權(quán)利的可選擇性即是其主體性和尊重其自由意志的必然要求。同樣地，刑事司法中的數(shù)據(jù)主體是否放棄對其個人信息的支配、處分和排除妨害完全取決于其意志和自由選擇。既然數(shù)據(jù)權(quán)利是作為數(shù)據(jù)主體的訴訟參與人的訴訟權(quán)利，則在刑事司法中運用此種權(quán)利，以訴訟權(quán)利制約公權(quán)力、確保數(shù)據(jù)安全即是名正言順之事。

（二）基于國家義務(wù)的數(shù)據(jù)安全保護(hù)

數(shù)據(jù)安全保護(hù)究竟是誰的義務(wù)是數(shù)據(jù)法中的重要問題。由于數(shù)據(jù)安全保護(hù)義務(wù)的前提在于存在持續(xù)不平等的數(shù)據(jù)關(guān)系 〔21 〕，所以應(yīng)首先卸去公民在日常生活中進(jìn)行個人數(shù)據(jù)處理的此種義務(wù)。而在持續(xù)不平等的數(shù)據(jù)關(guān)系中，“無論是從處理數(shù)據(jù)的數(shù)量、規(guī)模來看，還是從對整個數(shù)據(jù)經(jīng)濟(jì)產(chǎn)業(yè)的影響力來看，平臺無疑是最為重要的主體” 〔22 〕，且在數(shù)據(jù)資產(chǎn)化的背景下，平臺基于經(jīng)濟(jì)利益目的有能力承擔(dān)數(shù)據(jù)安全保護(hù)的成本， 〔23 〕因此平臺往往被視為承擔(dān)數(shù)據(jù)安全保護(hù)的關(guān)鍵義務(wù)主體。例如2006年的《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》即對“網(wǎng)絡(luò)服務(wù)提供者”科以相關(guān)義務(wù)，2017年的網(wǎng)絡(luò)安全法要求“網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者”承擔(dān)安全維護(hù)、信息保護(hù)等義務(wù)，學(xué)者們對數(shù)據(jù)安全問題的研究也往往圍繞著平臺的合規(guī)義務(wù)而展開?！?4 〕

然而除了平臺之外，國家亦是數(shù)據(jù)安全保護(hù)的重要義務(wù)主體。如上文所述，數(shù)據(jù)安全保護(hù)以保障公民合法利益為目的，這一點可以在憲法層面尋得依據(jù)，則國家根據(jù)憲法要求負(fù)有對公民人格尊嚴(yán)和隱私、安寧進(jìn)行保護(hù)的義務(wù)，并在數(shù)據(jù)時代下擴(kuò)展到至對數(shù)據(jù)安全的保護(hù)。〔25 〕甚至從某種意義上看，國家是數(shù)據(jù)安全保護(hù)的終極義務(wù)主體，因為當(dāng)平臺或其他義務(wù)主體拒絕或未能有效履行其數(shù)據(jù)安全保護(hù)義務(wù)時，最終將由國家采取措施并加以處理。而在刑事司法場域下，國家承擔(dān)數(shù)據(jù)安全保護(hù)的主要義務(wù)，其原因是顯而易見的：刑事司法中公檢法等機(jī)關(guān)正是以國家的名義、以國家公權(quán)力行使的方式進(jìn)行收集、存儲、使用、傳輸?shù)葦?shù)據(jù)處理行為的，國家成為了持續(xù)不平等數(shù)據(jù)關(guān)系中具有強(qiáng)大優(yōu)勢的一方，自然應(yīng)當(dāng)承擔(dān)相應(yīng)的數(shù)據(jù)安全保護(hù)義務(wù)。在刑事司法中，將國家作為數(shù)據(jù)安全保護(hù)的最重要義務(wù)主體，至少有以下三方面的意義：一是宣示意義，既能體現(xiàn)國家對數(shù)據(jù)安全保護(hù)的重視程度，也能表明公權(quán)力在數(shù)據(jù)安全保護(hù)問題上依法行使、遵守規(guī)則的態(tài)度，符合刑事司法權(quán)力制約原則的要求。二是指引意義，通過明確國家的數(shù)據(jù)安全保護(hù)義務(wù)主體身份，可以指引公權(quán)力機(jī)關(guān)及其工作人員依法進(jìn)行數(shù)據(jù)處理行為，履行在數(shù)據(jù)安全保護(hù)方面的義務(wù)。三是震懾意義，對國家的義務(wù)要求能夠震懾刑事司法中的公檢法機(jī)關(guān)及其工作人員對數(shù)據(jù)的非法處理行為，促使其依照相關(guān)的法律法規(guī)行事。

在刑事司法中，國家需承擔(dān)兩個層面的義務(wù)。第一個層面的義務(wù)是積極義務(wù)，即國家需以積極之行為完成其數(shù)據(jù)安全保護(hù)義務(wù)，具體而言至少應(yīng)包括以下三方面內(nèi)容。其一，規(guī)則之確立。規(guī)則的確立是規(guī)制刑事司法中的公權(quán)力機(jī)關(guān)處理數(shù)據(jù)行為的前提，國家通過確立數(shù)據(jù)安全保護(hù)的相關(guān)規(guī)則，能夠明確國家承擔(dān)義務(wù)的具體內(nèi)容，設(shè)定作為數(shù)據(jù)主體的公民與數(shù)據(jù)處理者之間的權(quán)利義務(wù)關(guān)系，對數(shù)據(jù)主體合理賦權(quán)、對數(shù)據(jù)處理者適當(dāng)限權(quán)，從而劃定國家在刑事司法數(shù)據(jù)安全保護(hù)領(lǐng)域承擔(dān)義務(wù)的制度框架。其二，職責(zé)之明確。國家應(yīng)根據(jù)刑事司法中不同機(jī)關(guān)在數(shù)據(jù)處理方面的不同角色而明確其各自在數(shù)據(jù)安全保護(hù)方面的職責(zé)，例如應(yīng)當(dāng)對于偵查機(jī)關(guān)等主要的數(shù)據(jù)收集者規(guī)定在調(diào)取數(shù)據(jù)時“按照國家有關(guān)規(guī)定，經(jīng)過嚴(yán)格的批準(zhǔn)手續(xù)，依法進(jìn)行” 〔26 〕的具體職責(zé)，對于法院、檢察院等數(shù)據(jù)的存儲、傳輸、使用者規(guī)定數(shù)據(jù)安全管理、監(jiān)測預(yù)警、應(yīng)急處理等方面的職責(zé)，除此之外還應(yīng)當(dāng)設(shè)立刑事司法中專門、獨立的數(shù)據(jù)安全監(jiān)管機(jī)構(gòu)并確定其職責(zé)。其三，救濟(jì)方式之提供。國家向公民提供數(shù)據(jù)安全方面的救濟(jì)途徑，也是其積極義務(wù)的內(nèi)容之一。在刑事司法領(lǐng)域，由于數(shù)據(jù)處理行為作為訴訟行為而不具有可訴性，則根據(jù)我國現(xiàn)行刑事訴訟法之規(guī)定，公民可以申訴控告之路徑獲得救濟(jì)。除此之外，一旦國家設(shè)立專門的刑事司法數(shù)據(jù)安全監(jiān)管機(jī)構(gòu)，則亦應(yīng)當(dāng)允許公民向該特定監(jiān)管機(jī)構(gòu)尋求救濟(jì)。

國家所承擔(dān)的第二個層面的義務(wù)是消極義務(wù)。在刑事司法領(lǐng)域，公權(quán)力機(jī)關(guān)是數(shù)據(jù)安全重要的，甚至是最主要的“侵害風(fēng)險源” 〔27 〕，因此確定公權(quán)力機(jī)關(guān)的消極義務(wù)，防止其非法處理數(shù)據(jù)具有重大的意義。具體而言，刑事司法中國家公權(quán)力機(jī)關(guān)在數(shù)據(jù)安全保護(hù)方面的消極義務(wù)主要有以下幾點。第一，不越權(quán)收集數(shù)據(jù)。刑事司法中，在沒有法定權(quán)限、未經(jīng)法定程序批準(zhǔn)、且數(shù)據(jù)主體拒絕提供數(shù)據(jù)的情況下，公權(quán)力機(jī)關(guān)不得進(jìn)行數(shù)據(jù)的收集，更不得強(qiáng)迫數(shù)據(jù)主體提供數(shù)據(jù)。第二，不違法存儲數(shù)據(jù)。一方面是在法律不允許進(jìn)行數(shù)據(jù)存儲的情況下，或數(shù)據(jù)主體依法拒絕收集使用其個人數(shù)據(jù)、或數(shù)據(jù)主體雖同意收集使用但對數(shù)據(jù)的存儲作出限制時，公權(quán)力機(jī)關(guān)不應(yīng)對相關(guān)數(shù)據(jù)進(jìn)行存儲或尊重數(shù)據(jù)主體提出的存儲要求;另一方面是根據(jù)數(shù)據(jù)主體行使其被遺忘權(quán)要求刪除或封存數(shù)據(jù)時，公權(quán)力機(jī)關(guān)應(yīng)依法加以審查并在符合條件時對數(shù)據(jù)進(jìn)行刪除或封存。第三，不違規(guī)傳遞數(shù)據(jù)。在法律禁止數(shù)據(jù)傳遞或?qū)?shù)據(jù)傳遞加以限制，或者數(shù)據(jù)主體合法地拒絕收集使用其個人數(shù)據(jù)或雖同意收集使用但對數(shù)據(jù)的傳遞作出限制時，公權(quán)力機(jī)關(guān)應(yīng)當(dāng)不傳遞相關(guān)數(shù)據(jù)或?qū)ψ裾障拗七M(jìn)行數(shù)據(jù)傳遞。

（三）經(jīng)由全程監(jiān)管的數(shù)據(jù)安全保護(hù)

在數(shù)據(jù)安全或信息安全問題上，刑事司法傳統(tǒng)的規(guī)制方式是沿著隱私權(quán)保護(hù)的路徑展開的。在1967年的卡茨案中，哈蘭大法官在協(xié)同意見中提出，判斷政府方的行為是否構(gòu)成憲法第四修正案所指稱之“搜查”，應(yīng)當(dāng)運用隱私期待的“主客觀雙重判斷標(biāo)準(zhǔn)”進(jìn)行審查，即考慮兩個方面的問題：一是主觀方面該公民“必須表現(xiàn)出某種實際（主觀）的隱私期待”;二是客觀方面社會已經(jīng)準(zhǔn)備承認(rèn)其所表現(xiàn)出的隱私期待具有正當(dāng)性。〔28 〕自此，隱私權(quán)保護(hù)的思路得到了美國聯(lián)邦最高法院后續(xù)判例的認(rèn)可，并影響了加拿大 〔29 〕、南非 〔30 〕、以色列 〔31 〕等許多國家。我國在此問題上基本也遵循隱私權(quán)保護(hù)的思路，例如刑事訴訟法第152條規(guī)定偵查人員對技術(shù)偵查實施過程中知悉的個人隱私有保密義務(wù)。2016年“兩高一部”《電子數(shù)據(jù)規(guī)定》和2019年公安部《電子數(shù)據(jù)取證規(guī)則》要求對遠(yuǎn)程在線提取電子數(shù)據(jù)進(jìn)行內(nèi)部審批，“以有效防范相關(guān)偵查活動對隱私權(quán)、通信自由等權(quán)利的侵犯” 〔32 〕。

隱私權(quán)保護(hù)的路徑雖然易于理解和把握，但也存在一些天然的缺陷，保護(hù)方式的事后性即是其中之一。由于隱私權(quán)是一種消極、被動、防御性的權(quán)利，對其的保護(hù)只能在其受到侵害之后方可進(jìn)行。發(fā)生民事糾紛時，“在該權(quán)利遭受侵害之前，個人無法積極主動地行使權(quán)利，而只能在遭受侵害的情況下請求他人排除妨害、賠償損失等” 〔33 〕，在刑事司法的場域下亦是如此，對其的救濟(jì)存在事后性特征，缺乏事前和事中的監(jiān)管。對于刑事司法而言，僅靠事后性的隱私權(quán)保護(hù)路徑，顯然無法實現(xiàn)數(shù)據(jù)安全保護(hù)的目標(biāo)，因此有必要從隱私權(quán)的事后救濟(jì)思路轉(zhuǎn)向更為積極能動的全程監(jiān)管方式。

對于刑事司法數(shù)據(jù)安全保護(hù)的全程監(jiān)管應(yīng)從事前、事中、事后三個階段著手。第一，事前應(yīng)有以嚴(yán)格審批規(guī)則為基礎(chǔ)的監(jiān)管制度。在處理數(shù)據(jù)之前，特別是收集數(shù)據(jù)之前，應(yīng)當(dāng)遵守法律關(guān)于審批的相關(guān)規(guī)定。例如在美國，刑事司法中的收集數(shù)據(jù)行為在大多數(shù)情況下可以被納入憲法第四修正案搜查扣押規(guī)則的范疇，因此應(yīng)當(dāng)遵循“合理根據(jù)”要求和令狀主義原則的制約。在我國，盡管主要按照內(nèi)部性的自我審查方式進(jìn)行審批，但刑事訴訟法及相關(guān)規(guī)范性文件關(guān)于技術(shù)偵查的嚴(yán)格審批規(guī)定仍可作為參考。第二，事中應(yīng)有數(shù)據(jù)處理行為的實時監(jiān)管制度。例如在公安機(jī)關(guān)處理數(shù)據(jù)的過程中，可以根據(jù)2019年公安部《電子數(shù)據(jù)取證規(guī)則》第二章第四節(jié)的規(guī)定進(jìn)行全程同步記錄，由公安機(jī)關(guān)的法制部門對于數(shù)據(jù)處理的合法性和安全性等進(jìn)行實時的監(jiān)管，及時制止和懲治非法處理數(shù)據(jù)的行為。此種實時監(jiān)管制度在技術(shù)層面上并不存在過大的困難，可以通過同步錄音錄像、數(shù)據(jù)庫登錄記錄留痕等方式解決。第三，事后應(yīng)有以專門監(jiān)管機(jī)構(gòu)主導(dǎo)的獨立監(jiān)管機(jī)制。歐盟GDPR、2016/680號指令等均要求設(shè)置專門的數(shù)據(jù)安全監(jiān)管機(jī)構(gòu)，我國數(shù)據(jù)安全法第6條亦分別規(guī)定不同行業(yè)中各個機(jī)關(guān)的數(shù)據(jù)安全監(jiān)管職責(zé)，其中將刑事司法相關(guān)的數(shù)據(jù)安全監(jiān)管職責(zé)授予公安機(jī)關(guān)和國家安全機(jī)關(guān)。關(guān)于公安機(jī)關(guān)和國家安全機(jī)關(guān)作為刑事司法中的數(shù)據(jù)安全監(jiān)管機(jī)構(gòu)是否適宜，下文將詳述。但無論如何，在刑事司法中的數(shù)據(jù)處理行為往往是訴訟行為而不具有可訴性的情況下，此種專門的數(shù)據(jù)安全監(jiān)管機(jī)構(gòu)進(jìn)行的監(jiān)管應(yīng)當(dāng)成為事后監(jiān)管的核心。

三、刑事司法中數(shù)據(jù)安全保護(hù)的制度完善

根據(jù)上文所述的刑事司法中數(shù)據(jù)安全保護(hù)的基本理念，可以具體從數(shù)據(jù)本身的分類分級、數(shù)據(jù)主體的角色與作用、數(shù)據(jù)控制者的安全保護(hù)職責(zé)和數(shù)據(jù)監(jiān)管機(jī)構(gòu)的設(shè)置與職能四個方面進(jìn)行制度完善。

（一）數(shù)據(jù)的分類與分級

數(shù)據(jù)安全法第21條提出要建立數(shù)據(jù)分類分級保護(hù)制度，要求制定重要數(shù)據(jù)目錄，對數(shù)據(jù)實行分類分級保護(hù);第27條規(guī)定數(shù)據(jù)安全保護(hù)工作在“網(wǎng)絡(luò)安全等級保護(hù)制度”的基礎(chǔ)上展開，從而與網(wǎng)絡(luò)安全法第21條關(guān)于網(wǎng)絡(luò)安全等級保護(hù)制度的規(guī)定實現(xiàn)了銜接。這些規(guī)定切中要害，對于數(shù)據(jù)的分類分級保護(hù)，能夠幫助人們準(zhǔn)確識別不同類別數(shù)據(jù)所承載的法益以及各自的安全保護(hù)需求，是數(shù)據(jù)安全保護(hù)的有效手段。外國亦有對數(shù)據(jù)分類分級的規(guī)定，例如美國將涉及國家安全的政府?dāng)?shù)據(jù)劃分為秘密、機(jī)密和最高機(jī)密， 〔34 〕將非涉密的受控數(shù)據(jù)按照行業(yè)分為20大類，在每一類下設(shè)子類別并予以詳細(xì)定義和區(qū)分。〔35 〕

我國網(wǎng)絡(luò)安全法第31條規(guī)定：“國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實行重點保護(hù)。”數(shù)據(jù)安全法第6條關(guān)于不同部門按照行業(yè)、領(lǐng)域承擔(dān)數(shù)據(jù)安全監(jiān)管職責(zé)的規(guī)定以及第21條第3款關(guān)于按照行業(yè)、領(lǐng)域確定重要數(shù)據(jù)具體目錄的規(guī)定可以看出，數(shù)據(jù)安全法亦是根據(jù)行業(yè)、領(lǐng)域的特征提出數(shù)據(jù)分類要求的。

根據(jù)按照行業(yè)、領(lǐng)域進(jìn)行數(shù)據(jù)分類之要求，刑事司法中的數(shù)據(jù)應(yīng)當(dāng)自成一類，這一點可以從數(shù)據(jù)安全法第6條第3款關(guān)于公安機(jī)關(guān)、國家安全機(jī)關(guān)在各自職責(zé)范圍內(nèi)承擔(dān)數(shù)據(jù)安全監(jiān)管職責(zé)的規(guī)定中得到佐證。但是，針對刑事司法中的數(shù)據(jù)仍然應(yīng)當(dāng)進(jìn)行細(xì)化的分類和分級，具體而言，可以按照不同標(biāo)準(zhǔn)作出以下區(qū)分：

第一，按照數(shù)據(jù)所處訴訟階段不同，可以分為偵查數(shù)據(jù)、審查起訴數(shù)據(jù)和審判數(shù)據(jù)。這三者區(qū)分的意義在于，偵查與審查起訴、審判階段的程序封閉性、秘密性要求不同，處于此三階段的數(shù)據(jù)的開放性亦不相同，需采取的數(shù)據(jù)安全保護(hù)措施也不同。偵查階段出于防止犯罪嫌疑人逃匿和證據(jù)被污染或破壞等需要，天然具有高度的封閉性和秘密性，則在此階段數(shù)據(jù)通常不向包括辯方在內(nèi)的訴訟參與人開放。審查起訴階段相較于偵查階段不再有高度的封閉性要求，因為我國刑事訴訟法第40條所規(guī)定的閱卷權(quán)行使時間為“自人民檢察院對案件審查起訴之日起”，倘若引入被追訴人之?dāng)?shù)據(jù)訪問權(quán)，亦可考慮允許審查起訴階段的數(shù)據(jù)成為數(shù)據(jù)訪問權(quán)的對象;而審判階段由于審判公開原則的要求，其數(shù)據(jù)具有進(jìn)一步的開放性特征。顯然，根據(jù)三階段數(shù)據(jù)開放性的差別，對于偵查數(shù)據(jù)應(yīng)當(dāng)采取最為嚴(yán)格的安全保護(hù)措施。

第二，按照數(shù)據(jù)對數(shù)據(jù)主體的影響程度，可以將刑事司法中的數(shù)據(jù)分為一般數(shù)據(jù)和敏感數(shù)據(jù)。如上文所述，敏感數(shù)據(jù)一旦泄露、非法提供或濫用，可能給數(shù)據(jù)主體的名譽、身心健康、甚至人身安全帶來嚴(yán)重威脅，需與一般數(shù)據(jù)加以區(qū)分。對于敏感數(shù)據(jù)應(yīng)采取較之一般數(shù)據(jù)更為嚴(yán)格的安全保護(hù)措施，防止敏感數(shù)據(jù)被篡改、破壞、泄露或非法獲取、非法利用，給數(shù)據(jù)主體帶來嚴(yán)重危害。在刑事司法領(lǐng)域，敏感數(shù)據(jù)通常包括涉及種族或民族背景、政治理念、宗教信仰、性取向等數(shù)據(jù)，這些數(shù)據(jù)通常與特定個案的公正處理關(guān)系不大，但往往與人的基本尊嚴(yán)或隱私等直接相關(guān)，對于防止該數(shù)據(jù)主體受到歧視性或其他不公平對待的意義重大。對于這些敏感數(shù)據(jù)，應(yīng)當(dāng)原則上禁止收集，即便在符合法律規(guī)定的情形下收集之后，也應(yīng)當(dāng)采取極端嚴(yán)格的保密措施，并在訴訟目的達(dá)成后由公檢法機(jī)關(guān)依職權(quán)或依數(shù)據(jù)主體的被遺忘權(quán)主張而盡快刪除或者封存。

第三，按照基于國家安全利益對數(shù)據(jù)保密程度的要求，可以將刑事司法中的數(shù)據(jù)分為涉密數(shù)據(jù)和非涉密數(shù)據(jù)。刑事司法中的涉密數(shù)據(jù)因其內(nèi)容與國家安全利益密切相關(guān)，一旦公開可能帶來重大國家安全風(fēng)險，對于此類數(shù)據(jù)應(yīng)當(dāng)按照保守國家秘密法和《保守國家秘密法實施條例》等法律法規(guī)的要求嚴(yán)格保密。此外，根據(jù)保守國家秘密法密級劃分的規(guī)定，刑事司法中的涉密數(shù)據(jù)亦應(yīng)當(dāng)再作絕密、機(jī)密、秘密三級劃分，對于不同級別的涉密數(shù)據(jù)采取不同程度的保密措施。但是，應(yīng)當(dāng)注意的是，刑事司法中涉密數(shù)據(jù)和非涉密數(shù)據(jù)的劃分不得恣意而為，尤其“不得將依法應(yīng)當(dāng)公開的事項確定為國家秘密” 〔36 〕，惡意限制或損害訴訟參與人包括相關(guān)數(shù)據(jù)權(quán)利在內(nèi)的訴訟權(quán)利。

（二）數(shù)據(jù)主體的角色與作用

盡管如上文所述，國家在刑事司法領(lǐng)域承擔(dān)著數(shù)據(jù)安全保護(hù)方面的主要義務(wù)，但數(shù)據(jù)安全保護(hù)以保護(hù)公民權(quán)利為其價值目標(biāo)之一，則應(yīng)當(dāng)允許作為數(shù)據(jù)主體的公民在數(shù)據(jù)安全保護(hù)制度中扮演重要角色并發(fā)揮作用。在刑事司法中的數(shù)據(jù)處理和安全保護(hù)領(lǐng)域，數(shù)據(jù)主體主要擔(dān)當(dāng)以下幾方面的角色、并體現(xiàn)相應(yīng)的作用。

第一，數(shù)據(jù)主體是數(shù)據(jù)的來源。數(shù)據(jù)主體是能夠通過數(shù)據(jù)被識別或與數(shù)據(jù)具有關(guān)聯(lián)性之自然人 〔37 〕，數(shù)據(jù)將他們的言論、行為記錄下來，并在刑事司法中被收集和使用，從而成為刑事司法追訴犯罪、辦理案件的原料。既然是數(shù)據(jù)的來源，應(yīng)當(dāng)承認(rèn)數(shù)據(jù)主體對數(shù)據(jù)在一定程度上的掌控，特別是在收集數(shù)據(jù)之前，在符合數(shù)據(jù)安全保護(hù)要求的情況下，應(yīng)當(dāng)對數(shù)據(jù)主體進(jìn)行必要的告知并獲得其同意后方可收集數(shù)據(jù)，即應(yīng)遵循“告知—同意”原則。但是在刑事司法的場域下，“告知—同意”原則的適用有一定限制。一是“告知—同意”原則限于依照任意偵查主義而收集數(shù)據(jù)之場景，基于刑事司法特別是收集數(shù)據(jù)的主要階段即偵查中的秘密性特征，并非在任何情況下均需完成“告知—同意”。二是對于強(qiáng)制偵查而取得數(shù)據(jù)之事實的告知，可以如上文所述適當(dāng)延遲至偵查工作基本完成或偵查階段結(jié)束后，從而與我國刑事訴訟法第40條關(guān)于閱卷權(quán)行使時間的規(guī)定保持協(xié)調(diào)。

第二，數(shù)據(jù)主體是數(shù)據(jù)安全保護(hù)的參與者?；谄鋽?shù)據(jù)來源的身份并根據(jù)作為數(shù)據(jù)主體的訴訟參與人特別是當(dāng)事人在刑事訴訟中享有的參與權(quán)，數(shù)據(jù)主體在刑事司法中亦成為數(shù)據(jù)安全保護(hù)的參與者。如上文所述，在刑事司法領(lǐng)域數(shù)據(jù)主體享有一系列的數(shù)據(jù)權(quán)利，通過行使數(shù)據(jù)訪問權(quán)、更正權(quán)、限制處理權(quán)、反對權(quán)、被遺忘權(quán)等權(quán)利，數(shù)據(jù)主體對刑事司法領(lǐng)域的數(shù)據(jù)處理行為實現(xiàn)了形式和實質(zhì)兩個層面的參與，從而對數(shù)據(jù)安全保護(hù)的相關(guān)行為和制度產(chǎn)生一定影響。因此，無論是從保障數(shù)據(jù)主體相關(guān)數(shù)據(jù)權(quán)利的角度，還是從刑事訴訟保障當(dāng)事人主體地位和訴訟參與人參與權(quán)的角度，都應(yīng)當(dāng)尊重并引導(dǎo)數(shù)據(jù)主體發(fā)揮對數(shù)據(jù)安全保護(hù)的參與作用，刑事司法中的公權(quán)力機(jī)關(guān)亦應(yīng)當(dāng)為數(shù)據(jù)主體的此種參與提供必要的條件和便利，例如提供適當(dāng)?shù)脑L問權(quán)限和軟硬件支持、配備負(fù)責(zé)相關(guān)工作的專門工作人員、為專家輔助人的工作提供協(xié)助等。

第三，數(shù)據(jù)主體是數(shù)據(jù)安全保護(hù)中的公權(quán)力監(jiān)督者和制約者。既然數(shù)據(jù)主體在數(shù)據(jù)處理和數(shù)據(jù)安全保護(hù)中都是重要的參與者，則此種參與必然對公權(quán)力形成一定的監(jiān)督和制約。例如上文所述的有限“告知—同意”原則在一定程度上可以對數(shù)據(jù)的非法獲取形成限制，其與限制處理權(quán)等權(quán)利相結(jié)合能保證公權(quán)力機(jī)關(guān)對數(shù)據(jù)基于訴訟目的之使用，從而防止數(shù)據(jù)的非法利用。從本質(zhì)上看，數(shù)據(jù)主體在數(shù)據(jù)安全保護(hù)中所扮演的公權(quán)力監(jiān)督者和制約者的角色，是公民權(quán)利對國家權(quán)力的監(jiān)督和制約的體現(xiàn)，具有憲法層面的意義，應(yīng)當(dāng)予以充分尊重和保障。

（三）數(shù)據(jù)控制者的安全保護(hù)職責(zé)

刑事司法中，公檢法等公權(quán)力機(jī)關(guān)是主要的數(shù)據(jù)控制者，應(yīng)當(dāng)對其科以數(shù)據(jù)安全保護(hù)職責(zé)，從而履行國家義務(wù)。數(shù)據(jù)控制者安全保護(hù)職責(zé)的確定和行使，是刑事司法數(shù)據(jù)安全保護(hù)制度的核心內(nèi)容，具體而言，其主要應(yīng)有以下三個方面的職責(zé)：

第一，數(shù)據(jù)處理前的數(shù)據(jù)安全審查和評估。數(shù)據(jù)安全審查和評估應(yīng)由數(shù)據(jù)控制者和處理者在進(jìn)行數(shù)據(jù)處理行為前參照上文所述的數(shù)據(jù)分類分級制度進(jìn)行，通過考慮和審查數(shù)據(jù)的性質(zhì)和數(shù)據(jù)處理的方式、內(nèi)容、范圍、目的等，評估此種數(shù)據(jù)處理行為可能給數(shù)據(jù)主體帶來的權(quán)利影響和對數(shù)據(jù)安全保護(hù)造成的風(fēng)險。此種數(shù)據(jù)安全審查和評估對于保護(hù)數(shù)據(jù)安全具有事前預(yù)防之功效，許多國家和地區(qū)的數(shù)據(jù)立法中均規(guī)定數(shù)據(jù)控制者和處理者的此項職責(zé)，例如GDPR第35條第1款即規(guī)定數(shù)據(jù)控制者應(yīng)在數(shù)據(jù)處理之前評估計劃的處理工作對個人數(shù)據(jù)保護(hù)的影響。在刑事司法領(lǐng)域，以公權(quán)力機(jī)關(guān)為主的數(shù)據(jù)控制者和處理者同樣需要履行此項職責(zé)，在對相關(guān)數(shù)據(jù)進(jìn)行收集、存儲、使用、加工、傳輸、提供、公開等處理時，需要審查數(shù)據(jù)的性質(zhì)和內(nèi)容，并評估相應(yīng)處理可能給數(shù)據(jù)主體帶來的影響，特別是給犯罪嫌疑人、被告人和被害人等當(dāng)事人可能帶來的影響。例如在進(jìn)行數(shù)據(jù)存儲和傳輸?shù)忍幚硇袨闀r，公權(quán)力機(jī)關(guān)應(yīng)當(dāng)評估其間可能存在的篡改、破壞和泄露風(fēng)險，從而運用刑事證據(jù)鑒真等規(guī)則預(yù)防作出防范。當(dāng)刑事司法中作為數(shù)據(jù)控制者和處理者的公權(quán)力機(jī)關(guān)在進(jìn)行數(shù)據(jù)安全審查和評估中遇到困難時，亦可咨詢刑事司法中的專門數(shù)據(jù)監(jiān)管機(jī)構(gòu)或網(wǎng)信部門等數(shù)據(jù)安全保護(hù)的專業(yè)機(jī)構(gòu)，從而盡可能地預(yù)先降低數(shù)據(jù)處理帶來的數(shù)據(jù)安全風(fēng)險。

第二，數(shù)據(jù)處理過程中的數(shù)據(jù)安全監(jiān)測和預(yù)警。如上文所述，刑事司法中數(shù)據(jù)安全保護(hù)應(yīng)有全程監(jiān)管，則公檢法等公權(quán)力機(jī)關(guān)作為數(shù)據(jù)控制者和處理者，應(yīng)在數(shù)據(jù)處理過程中承擔(dān)數(shù)據(jù)安全監(jiān)測和預(yù)警之職責(zé)。具體包括：一是在數(shù)據(jù)處理過程中按照數(shù)據(jù)分類分級制度和數(shù)據(jù)安全審查和評估結(jié)果，對特殊數(shù)據(jù)進(jìn)行加密或匿名化處理。例如，涉及受保護(hù)證人個人信息的數(shù)據(jù)、有必要收集的敏感數(shù)據(jù)等，從而降低此種數(shù)據(jù)一旦泄露帶來的危害。二是針對數(shù)據(jù)訪問和處理權(quán)限設(shè)置限制性的安全保護(hù)措施。例如，設(shè)計必要之?dāng)?shù)據(jù)訪問和處理的預(yù)先授權(quán)、處理留痕和加密授權(quán)觸發(fā)等機(jī)制，以確保進(jìn)行數(shù)據(jù)處理之人在獲得合法的授權(quán)后方可處理數(shù)據(jù)并受到必要的監(jiān)督，防止數(shù)據(jù)的非法使用。例如湖南岳陽曾發(fā)生過一個警察運用刑事司法中的個人定位數(shù)據(jù)追蹤前女友并對其實施非法拘禁的案件?！?8 〕倘若對數(shù)據(jù)庫的訪問權(quán)限作必要的限制，此種案件發(fā)生的幾率將大大降低。三是對數(shù)據(jù)處理的各個階段規(guī)定嚴(yán)格的流程規(guī)范，并對關(guān)鍵節(jié)點進(jìn)行日志記錄，對于重要的數(shù)據(jù)處理行為，可以參考2019年公安部《電子數(shù)據(jù)取證規(guī)則》第25條針對網(wǎng)絡(luò)在線提取電子數(shù)據(jù)的規(guī)定，以錄像、拍照、截獲計算機(jī)屏幕內(nèi)容等方式記錄數(shù)據(jù)處理的相關(guān)信息。四是對數(shù)據(jù)庫等數(shù)據(jù)存儲系統(tǒng)進(jìn)行定期與不定期相結(jié)合的安全測試，防范和發(fā)現(xiàn)系統(tǒng)安全漏洞，并作出相應(yīng)地預(yù)警和補救。

第三，數(shù)據(jù)安全事故發(fā)生后的報告和應(yīng)急處置。一旦發(fā)生數(shù)據(jù)安全事故，盡快進(jìn)行報告并采取相應(yīng)的應(yīng)急處置，是盡可能降低事故帶來的不利后果的必要手段。幾乎所有與數(shù)據(jù)安全保護(hù)相關(guān)的法律法規(guī)都有此種報告和應(yīng)急處置的要求，例如GDPR第33條和34條分別要求數(shù)據(jù)控制者和處理者在發(fā)生個人數(shù)據(jù)泄露的情況下向監(jiān)管機(jī)構(gòu)報告和向數(shù)據(jù)主體傳達(dá)。我國數(shù)據(jù)安全法第29條規(guī)定：“……發(fā)生數(shù)據(jù)安全事件時，應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告?！痹谛淌滤痉I(lǐng)域，一旦發(fā)生數(shù)據(jù)被破壞、泄露等安全事故時，作為數(shù)據(jù)控制者和處理者的公權(quán)力機(jī)關(guān)也應(yīng)當(dāng)履行報告和應(yīng)急處置兩方面職責(zé)：一方面是報告。一旦數(shù)據(jù)安全事故發(fā)生，相關(guān)機(jī)關(guān)應(yīng)在第一時間按照規(guī)定向刑事司法領(lǐng)域的專門數(shù)據(jù)安全監(jiān)管機(jī)構(gòu)報告;除此之外，在必要時也應(yīng)向作為數(shù)據(jù)主體的公民進(jìn)行通報，特別是在此種數(shù)據(jù)安全事故可能給數(shù)據(jù)主體如證人、被害人等帶來人身安全等重大威脅時，此種通報就具有極為重要的意義了。另一方面是應(yīng)急處置。公權(quán)力機(jī)關(guān)在刑事司法數(shù)據(jù)發(fā)生安全事故時，應(yīng)立即采取關(guān)閉系統(tǒng)訪問權(quán)限、暫緩數(shù)據(jù)處理行為、維修或更換硬件設(shè)備、進(jìn)行病毒查殺或故障處理、進(jìn)行數(shù)據(jù)隔離等應(yīng)急措施，盡可能降低損失、減小不利后果。

（四）數(shù)據(jù)監(jiān)管機(jī)構(gòu)的設(shè)置與職能

設(shè)置獨立、專門的數(shù)據(jù)監(jiān)管機(jī)構(gòu)，能夠有效監(jiān)管數(shù)據(jù)處理行為，對于數(shù)據(jù)安全保護(hù)具有重大意義。歐盟GDPR在第6章以專章的形式規(guī)定獨立監(jiān)管機(jī)構(gòu)的獨立地位、權(quán)限、任務(wù)和權(quán)力等，2016/680號指令中對于獨立監(jiān)管機(jī)構(gòu)亦有專章規(guī)定。日本個人信息保護(hù)法第4章第4節(jié)規(guī)定個人信息保護(hù)委員會作為專門的個人信息保護(hù)監(jiān)管機(jī)構(gòu)，負(fù)責(zé)個人信息安全保護(hù)之監(jiān)管?！?9 〕我國網(wǎng)絡(luò)安全法第8條規(guī)定“國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作”，數(shù)據(jù)安全法第6條第3款亦有“國家網(wǎng)信部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全和相關(guān)監(jiān)管工作”之規(guī)定，結(jié)合兩部法律其他條文的規(guī)定可知，網(wǎng)信部門是我國法律所規(guī)定的數(shù)據(jù)安全監(jiān)管機(jī)構(gòu)。

然而在刑事司法領(lǐng)域，網(wǎng)信部門作為專門的數(shù)據(jù)監(jiān)管機(jī)構(gòu)存在一定的障礙。一方面來自刑事司法自身的專業(yè)性和特殊性：刑事司法中的數(shù)據(jù)安全監(jiān)管與其他領(lǐng)域存在一些區(qū)別，對該領(lǐng)域的數(shù)據(jù)安全監(jiān)管往往需要刑事司法的專業(yè)知識，而這是網(wǎng)信部門工作人員不具備的。此外，刑事司法領(lǐng)域特別是偵查階段存在上文所述的封閉性和秘密性特征，數(shù)據(jù)處理的過程通常排斥外部機(jī)構(gòu)的介入，網(wǎng)信部門很難對其進(jìn)行全程、實時的監(jiān)管。另一方面在于在多數(shù)情況下刑事司法領(lǐng)域的數(shù)據(jù)處理本質(zhì)上是證據(jù)運用的過程，此種數(shù)據(jù)處理行為即是公安司法機(jī)關(guān)的訴訟行為，倘若將數(shù)據(jù)安全保護(hù)監(jiān)管的職責(zé)交由網(wǎng)信部門，會導(dǎo)致對數(shù)據(jù)處理行為的監(jiān)管與對訴訟行為的監(jiān)督進(jìn)行分割，不但邏輯上難以成立，從實踐操作的層面來看也不具有可行性。

面對上述障礙，相對合理的選擇是將檢察機(jī)關(guān)確立為刑事司法領(lǐng)域的專門數(shù)據(jù)監(jiān)管機(jī)構(gòu)。首先，檢察機(jī)關(guān)在大陸法系的傳統(tǒng)下被視為“客觀官署” 〔40 〕，由其行使數(shù)據(jù)監(jiān)管職權(quán)，在獨立性和中立性方面符合我國法律的要求。其次，相較于數(shù)據(jù)安全法第6條令公安機(jī)關(guān)、國家安全機(jī)關(guān)承擔(dān)數(shù)據(jù)安全監(jiān)管職責(zé)的設(shè)計，檢察機(jī)關(guān)是憲法規(guī)定的“國家法律監(jiān)督機(jī)關(guān)”，本就在刑事訴訟中履行自立案至執(zhí)行的全程監(jiān)督之職責(zé)，對于包括數(shù)據(jù)處理行為在內(nèi)的訴訟行為進(jìn)行監(jiān)督名正言順。再次，檢察機(jī)關(guān)的工作人員均是經(jīng)過培訓(xùn)、考試等選拔的法律專業(yè)人士，對于刑事司法的監(jiān)督本就是其職權(quán)之一，不存在專業(yè)性方面的問題。最后，檢察機(jī)關(guān)作為刑事訴訟監(jiān)督機(jī)關(guān)，介入刑事訴訟的各個階段均不存在障礙，即便是最為封閉秘密的偵查階段，檢察機(jī)關(guān)亦可提前介入或引導(dǎo)偵查，從而避免了進(jìn)行全程數(shù)據(jù)安全監(jiān)管的程序方面的阻礙。當(dāng)然，將檢察機(jī)關(guān)確立為刑事司法領(lǐng)域的專門數(shù)據(jù)監(jiān)管機(jī)構(gòu)的同時，應(yīng)當(dāng)規(guī)定其在必要時尋求網(wǎng)信部門的協(xié)助和向其提出咨詢，從而實現(xiàn)數(shù)據(jù)監(jiān)管方面的技術(shù)交流。

檢察機(jī)關(guān)作為刑事司法領(lǐng)域的專門數(shù)據(jù)監(jiān)管機(jī)構(gòu)，在數(shù)據(jù)安全保護(hù)方面應(yīng)有以下職能：第一，根據(jù)數(shù)據(jù)分類分級制度，統(tǒng)籌確定刑事司法中的重要數(shù)據(jù)目錄。檢察機(jī)關(guān)作為專門數(shù)據(jù)監(jiān)管機(jī)構(gòu)，通過協(xié)調(diào)制定重要數(shù)據(jù)目錄，對于刑事司法中其他機(jī)關(guān)及本機(jī)關(guān)的數(shù)據(jù)處理行為提供指引。第二，對數(shù)據(jù)控制者和處理者的重要數(shù)據(jù)處理行為進(jìn)行同步監(jiān)督。對于一些事關(guān)重大，特別是涉及國家重大利益或公民重要權(quán)利的數(shù)據(jù)處理行為，在必要時檢察機(jī)關(guān)應(yīng)有權(quán)進(jìn)行同步監(jiān)督，當(dāng)前我國刑事司法中已有的檢察機(jī)關(guān)提前介入等制度可以作為同步監(jiān)督機(jī)制設(shè)置之參考。第三，對刑事司法中的數(shù)據(jù)處理系統(tǒng)進(jìn)行安全巡查。此種安全巡查可以以定期或不定期的方式進(jìn)行，一旦發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險時，應(yīng)當(dāng)立即采取補救措施或通知相關(guān)機(jī)構(gòu)采取補救措施。第四，接受數(shù)據(jù)安全事故報告并作出處理。檢察機(jī)關(guān)履行刑事訴訟中的數(shù)據(jù)監(jiān)督職能，應(yīng)是接受數(shù)據(jù)安全事故報告的機(jī)構(gòu)。在收到報告后，檢察機(jī)關(guān)應(yīng)就不同類型的數(shù)據(jù)安全事故作出不同的處理決定，交由相應(yīng)的機(jī)關(guān)或部門執(zhí)行。第五，受理數(shù)據(jù)主體有關(guān)數(shù)據(jù)安全方面的異議或申訴。數(shù)據(jù)主體和刑事司法中的公權(quán)力機(jī)關(guān)可能就數(shù)據(jù)安全問題產(chǎn)生爭議。例如，數(shù)據(jù)主體可能因其被遺忘權(quán)主張要求刪除數(shù)據(jù)，而公權(quán)力機(jī)關(guān)拒絕此種申請。在此種情況下，作為數(shù)據(jù)監(jiān)督機(jī)關(guān)的檢察機(jī)關(guān)應(yīng)當(dāng)有權(quán)接受相關(guān)異議或申訴，并根據(jù)具體情況作出決定。通過上述職能的行使，檢察機(jī)關(guān)能夠在刑事司法數(shù)據(jù)安全保護(hù)方面發(fā)揮重要的監(jiān)督者和裁決者的作用。

結(jié)語

科技與刑事司法的互動關(guān)系是一個由來已久的話題，在這個問題上，需要就科技的前沿性與刑事司法的穩(wěn)定性要求進(jìn)行平衡，科技的發(fā)展以試驗和錯誤為成本，但此種成本卻往往為刑事司法所無法容忍。因此，刑事司法對于科技的運用雖不能固步自封、但也需要小心謹(jǐn)慎，否則就會對“如同桅桿頂尖，對船身最輕微的運動也會作出強(qiáng)烈的擺動”的刑事訴訟 〔41 〕產(chǎn)生重大的影響。而在科技發(fā)展的推動下，數(shù)據(jù)的運用已經(jīng)深入我們生活的方方面面，作為人類生活方式的重要內(nèi)容，刑事司法亦概莫能外。刑事司法中的各種數(shù)據(jù)處理行為對于推動刑事訴訟的進(jìn)程、查明案件事實、作出公正裁判具有技術(shù)層面的助推作用，但是其也不可避免地帶來改變訴訟模式、影響訴訟參與人權(quán)利等影響，尤其是其可能造成的數(shù)據(jù)安全隱患值得我們關(guān)注。從根本上看，數(shù)據(jù)安全在刑事司法的場域下事關(guān)生命、自由、財產(chǎn)等最重要的利益和價值，對刑事司法數(shù)據(jù)的安全保護(hù)是刑事訴訟公正和人權(quán)保障等核心價值的要求，不能不予以萬分重視，從而實現(xiàn)數(shù)據(jù)運用于刑事司法、服務(wù)人民群眾、保障“維護(hù)社會公平正義的最后一道防線” 〔42 〕的目標(biāo)。

Abstract： The massive collection and use of data in criminal justice will inevitably bring about the problem of data security protection. Existing laws have insufficient provisions on this issue. The newly promulgated Data Security Law is also too rough in terms of data security protection in criminal justice. In addition， judicial informatization has exacerbated data security risks in criminal justice. It is necessary to pay full attention. Criminal justice should take the protection of citizens' rights as an important value orientation for data security protection， determine the state's main obligations for data security protection， and then conduct data security supervision over the entire process of criminal procedure. Specifically， it is necessary to establish a data classification and grading system， respect and exert data subjects' influence in data security protection， clarify the data security protection responsibilities of data controllers and processors， set the Procuratorate as a special data supervision agency and give it corresponding functions， so to build a relatively complete data security protection system in the criminal justice.

Key words： data; criminal justice; data security protection law; data supervision; personal information protection; technology and justice