文/夏建蘭

2018 至2019 年，英國西米德蘭茲郡警察局、倫敦大都會警察局和大曼徹斯特警察局等八個警察部門共同參與研發(fā)了一個利用人工智能和數(shù)據(jù)統(tǒng)計分析學技術(shù)來預(yù)判嚴重暴力犯罪的人工智能系統(tǒng)，名為“國家數(shù)據(jù)分析解決方案”（NDAS）。在投入大量研發(fā)資金后，該系統(tǒng)卻因為誤判率高、涉及數(shù)據(jù)保護等人權(quán)問題被叫停。作為犯罪預(yù)判和防范的一大利器，大數(shù)據(jù)分析在英國未來警務(wù)工作中的應(yīng)用仍將面臨各項挑戰(zhàn)，包括英國數(shù)據(jù)保護法律的監(jiān)督與制約。

保障執(zhí)法數(shù)據(jù)安全合法

英國政府在1984 年、1998 年和2018 年共頒布了三部《數(shù)據(jù)保護法案》（DPA1984、DPA1998 和DPA2018）?！?018年數(shù)據(jù)保護法案》新增多項內(nèi)容。其中新增的第三部分內(nèi)容是執(zhí)法數(shù)據(jù)處理，為刑事司法機構(gòu)設(shè)立了專門的數(shù)據(jù)保護框架。警察隊伍是個人數(shù)據(jù)的收集者、控制者、處理者、傳輸者和分享者，也是數(shù)據(jù)保護法約束的主要對象之一。除電話信息攔截和網(wǎng)絡(luò)連接記錄獲取等信息技術(shù)以外，英國警察開始嘗試在警務(wù)工作中開發(fā)運用人工智能技術(shù)、生物特征識別技術(shù)和大數(shù)據(jù)分析技術(shù)，產(chǎn)生了更多的數(shù)據(jù)處理和數(shù)據(jù)保護問題。英國警察被要求在“數(shù)據(jù)控制和處理中不超出執(zhí)法必要性”。面對英國獨立數(shù)據(jù)保護監(jiān)督機構(gòu)信息專員辦公室（ICO）的定期審計調(diào)查和越來越嚴格的數(shù)據(jù)保護工作需求，英國警方不但要制定適用于警方的數(shù)據(jù)保護政策，還要任命專門負責數(shù)據(jù)保護工作的數(shù)據(jù)保護官（DPO），設(shè)立信息權(quán)保護部門，所有警察和文職都要經(jīng)過專門數(shù)據(jù)保護培訓(xùn)。

根據(jù)英國《通用數(shù)據(jù)保護條例》（UK GDPR）第10 條規(guī)定，只有公務(wù)職權(quán)機構(gòu)，出于執(zhí)法目的，有權(quán)處理有關(guān)刑事定罪和罪行的個人數(shù)據(jù)。以執(zhí)法為目的是指出于預(yù)防發(fā)現(xiàn)犯罪、維護秩序、保護生命財產(chǎn)、抓獲犯罪分子歸案受審、執(zhí)行刑事訴訟搜查令和出庭作證等目的。但英國《2018 年數(shù)據(jù)保護法案》第10 條和附則1 第3 部分又加以規(guī)定，如符合特定情形之一，則其他部門和個人可處理該類數(shù)據(jù)。特定情形包括取得個人同意、保護個人重大利益、非牟利團體處理、公共領(lǐng)域個人數(shù)據(jù)、合法要求、司法行為、用于實施猥褻兒童罪賬戶管理、重大公共利益和保險條件延伸等。該補充法條為英國警察打擊犯罪破除了數(shù)據(jù)保護和隱私保護法律的一部分阻力，有利于警方開展工作。

根據(jù)《2018 年數(shù)據(jù)保護法案》規(guī)定，執(zhí)法數(shù)據(jù)包括姓名、地址等很多個人細節(jié)信息，以及受害人或目擊者提供的信息、監(jiān)控音視頻、銀行財務(wù)信息、情報、報案人、案件和事故細節(jié)、被指控或事實違法信息、警察和文職存取的執(zhí)法記錄等。除一般個人數(shù)據(jù)外，還包括敏感個人信息，如種族、民族、政治觀點、宗教或哲學信仰、工會會員身份、基因數(shù)據(jù)、生物特征識別數(shù)據(jù)、健康數(shù)據(jù)、性生活或性取向等。在敏感信息的收集、控制、處理、傳輸和分享方面，警方要遵循更嚴格的流程和規(guī)定。

英國《通用數(shù)據(jù)保護條例》和《2018 年數(shù)據(jù)保護法案》明確規(guī)定了“執(zhí)法數(shù)據(jù)處理六大原則”，包括數(shù)據(jù)處理合法且公平、數(shù)據(jù)處理目的具體明確正當、數(shù)據(jù)準確相關(guān)且不超量、數(shù)據(jù)修正更新及時、數(shù)據(jù)保留不超期限和數(shù)據(jù)安全有保障等。在警方的數(shù)據(jù)控制和處理中，媒體曝光最多的是數(shù)據(jù)儲存權(quán)限、刪除及時性和數(shù)據(jù)泄露問題。

（1）數(shù)據(jù)存儲權(quán)限問題

警方數(shù)據(jù)庫和IT 系統(tǒng)須定期審核，由專門管理人員利用專門軟件刪除無權(quán)持有的數(shù)據(jù)。在《2018 年數(shù)據(jù)保護法案》的第三部分“執(zhí)法處理六大原則”中，第一原則是“為了任何執(zhí)法目的的處理數(shù)據(jù)必須合法且公平”，第二原則是“個人數(shù)據(jù)必須具體、明確、正當?shù)厥占?，第三原則是“處理的個人數(shù)據(jù)必須準確、相關(guān)且不超過與預(yù)期處理目的相關(guān)的量”。此外，對于特殊敏感數(shù)據(jù)，一旦數(shù)據(jù)主體撤銷“同意”處理其特殊類別數(shù)據(jù)的意見，其個人數(shù)據(jù)應(yīng)在其撤銷同意后立即銷毀。警方數(shù)據(jù)庫中的個人數(shù)據(jù)是否合法持有、是否正當收集、是否與某執(zhí)法目的相關(guān)和是否超量等是數(shù)據(jù)保護團體關(guān)注的主要問題。

案例一：

2012 年，倫敦大都會警察局遭起訴，兩名英國公民要求警方刪除其數(shù)據(jù)庫儲存的兩人的面部照片，并勝訴。法院要求英國所有警察局“在數(shù)月內(nèi)”修改有關(guān)使用面部照片的規(guī)定。2015 年2 月，英格蘭和威爾士警方在面相辨認數(shù)據(jù)庫輸入1800 萬張警方拍攝的涉及很多無辜民眾面部的照片，且被指這一舉措并未通知生物信息專員和內(nèi)政部。此后，倫敦警方暫停面部照片輸機的做法。

倫敦警方暫停面部照片輸機使用

在《通用數(shù)據(jù)保護條例》和《數(shù)據(jù)保護法案》數(shù)據(jù)保護制度下，警方的執(zhí)法數(shù)據(jù)收集和控制受到更多監(jiān)督。

（2）數(shù)據(jù)處理保留期限問題

英國警察和文職須確保處理的個人數(shù)據(jù)準確，并及時更新。根據(jù)《2018 年數(shù)據(jù)保護法案》執(zhí)法數(shù)據(jù)處理第四原則規(guī)定，“出于任何執(zhí)法目的處理的個人數(shù)據(jù)必須準確，并且在必要時更新至最近日期；以及考慮到其處理的執(zhí)法目的，必須采取全部合理步驟來確保不準確的個人數(shù)據(jù)被毫不延遲地刪除或糾正”。執(zhí)法數(shù)據(jù)處理第五原則規(guī)定“出于任何執(zhí)法目的處理的數(shù)據(jù)必須只能被保留不超過其基于該目的進行處理之必要的期限”。除存檔和科研等需要以外，對于一般執(zhí)法數(shù)據(jù)，英國警方須根據(jù)其官網(wǎng)公布的“記錄保留標準操作流程”，在規(guī)定特定場景下個人數(shù)據(jù)可保留的時限前刪除無權(quán)持有的數(shù)據(jù)記錄。

案例二：

據(jù)2021 年1 月20 日媒體通報，因為人為編碼錯誤，刪除電腦無權(quán)持有的記錄的軟件失靈，英國國家警務(wù)計算機系統(tǒng)內(nèi)約40.3 萬份記錄以及其他數(shù)據(jù)庫的2.6 萬份DNA 記錄和3 萬份指紋記錄被錯誤刪除，包括已被定罪人員、被通緝?nèi)藛T、失蹤人口、失蹤車輛以及贓物數(shù)據(jù)等。

這起人為編碼錯誤導(dǎo)致的誤刪事件以及刪除記錄軟件的使用，一方面反映了英國警方具有較高的數(shù)據(jù)保護意識，數(shù)據(jù)隱私保護和定期刪除無權(quán)持有的數(shù)據(jù)記錄已經(jīng)成為日常工作慣例；另一方面，也體現(xiàn)了警方IT 系統(tǒng)和數(shù)據(jù)安全方面的脆弱性。

（3）數(shù)據(jù)處理安全保障

根據(jù)《2018 年數(shù)據(jù)保護法案》的執(zhí)法數(shù)據(jù)第六原則規(guī)定，執(zhí)法機構(gòu)“應(yīng)當采取適當?shù)慕M織和技術(shù)措施，確保以適當?shù)陌踩绞教幚沓鲇谌魏螆?zhí)法目的而處理的個人數(shù)據(jù)”。在技術(shù)措施方面，根據(jù)內(nèi)閣辦公室和內(nèi)政部規(guī)定的信息安全標準，英國警方應(yīng)采取包括加密、防火墻、殺毒軟件、IT 健康檢查、網(wǎng)絡(luò)弱點評估和滲透測試過程、用戶認證、不同身份訪問權(quán)限及密碼訪問、技術(shù)保證、技術(shù)審核和端點管理，尤其是在郵件與網(wǎng)絡(luò)安全、信息安全事件報告、信息安全分享、移動數(shù)據(jù)與遙控、記錄保存期限、數(shù)據(jù)安全銷毀處理、記錄存儲和審計等各方面按照規(guī)定辦理。在組織措施方面，所有警察和文職須在任職前經(jīng)過審查，訪問警方數(shù)據(jù)系統(tǒng)前須經(jīng)過信息保障和反腐部門專門培訓(xùn)，并就數(shù)據(jù)系統(tǒng)使用和數(shù)據(jù)保護經(jīng)過專門培訓(xùn)。警方數(shù)據(jù)系統(tǒng)所在場所僅限特定權(quán)限人群進入。但百密仍有一疏，英國警方在2019 年6月至2021 年6 月的兩年間共發(fā)生12 起數(shù)據(jù)泄露事件，英格蘭和威爾士地區(qū)的警察數(shù)據(jù)平均每周受到8 次破壞。數(shù)據(jù)泄露問題牽連甚廣，是警方和數(shù)據(jù)保護團體最關(guān)注和頭疼的問題。

案例三：

據(jù)2021 年12 月報道，達科爾公司（Dacoll）網(wǎng)絡(luò)系統(tǒng)遭到網(wǎng)絡(luò)釣魚攻擊。該公司為英國 90% 的警隊提供“關(guān)鍵”網(wǎng)絡(luò)服務(wù)，警方數(shù)據(jù)系統(tǒng)被克拉普勒索軟件團伙（Clop）侵入訪問，機密數(shù)據(jù)在暗網(wǎng)中被泄露，包含1300萬人的個人信息和記錄，如從國家自動車牌識別（ANPR）系統(tǒng)中竊取的駕駛者圖像、鏡頭以及犯有交通違法行為的駕駛員面部特寫圖像。

開展數(shù)據(jù)保護案件犯罪調(diào)查

英國信息專員辦公室，是負責英國信息公開、信息自由和數(shù)據(jù)隱私權(quán)保障的一家獨立執(zhí)法監(jiān)管機構(gòu)。信息專員辦公室日常工作包括負責收繳數(shù)據(jù)費，登記組織機構(gòu)數(shù)據(jù)保護信息，審計組織機構(gòu)數(shù)據(jù)保護工作，受理數(shù)據(jù)保護申訴，處理數(shù)據(jù)保護咨詢，推動數(shù)據(jù)保護國際合作，資助數(shù)據(jù)保護科研、論壇和創(chuàng)新項目，以及推動兒童數(shù)據(jù)保護新立法。但在數(shù)據(jù)保護案件尤其是數(shù)據(jù)泄露案件，以及由數(shù)據(jù)泄露衍生的詐騙、兒童數(shù)據(jù)違法和網(wǎng)絡(luò)安全犯罪案件等刑事犯罪調(diào)查和犯罪預(yù)防工作中，英國警方責任重大，并積極開展與各國警方的國際合作。

案例四：

2020 年初，英國國家打擊犯罪局（NCA）會同美國聯(lián)邦調(diào)查局（FBI）、荷蘭國家警察部隊（NNPC）、德國聯(lián)邦刑事警察局（BKA）和北愛爾蘭警察局（PSNI）聯(lián)合查封了泄露數(shù)據(jù)售賣網(wǎng)站域名。該在線服務(wù)網(wǎng)站因提供有償訪問非法獲取的個人信息的搜索引擎，以及客戶數(shù)據(jù)泄露通知服務(wù)，被各國警方聯(lián)合執(zhí)法。據(jù)稱，該數(shù)據(jù)售賣網(wǎng)站持有10000 多個數(shù)據(jù)泄露事件中非法獲取的120 億條個人信息，涉及姓名、電子郵件地址、用戶名、電話號碼和賬戶密碼等信息。英國國家打擊犯罪局逮捕了利用被盜證件從事違法活動的21 名嫌疑人，并查獲了價值41000 英鎊的比特幣。嫌疑人年齡18 至38 歲，其中9 人因濫用計算機行為被拘，9 人因詐騙被拘，3 人同時涉及濫用計算機行為和詐騙。上述嫌疑人中有人還購買了其他網(wǎng)絡(luò)犯罪工具，如遠程控制木馬和加密工具，其中3 人還持有兒童淫穢照片。負責網(wǎng)絡(luò)犯罪防范的警察同時還調(diào)查了英國、威爾士和北愛爾蘭的69 名年齡16 至40 歲的潛在違法活動嫌疑人，對他們提出了警告。

保障數(shù)據(jù)主體隱私權(quán)和警方政務(wù)信息公開透明

按照英國《通用數(shù)據(jù)保護條例》和《數(shù)據(jù)保護法案》規(guī)定，每個數(shù)據(jù)主體都享有數(shù)據(jù)保護法授予的各項數(shù)據(jù)保護隱私權(quán)。除特殊豁免情形和執(zhí)法情形外，數(shù)據(jù)主體享有數(shù)據(jù)處理者所掌握的個人數(shù)據(jù)的各項權(quán)力：獲取權(quán)，可向警方提出“數(shù)據(jù)主體數(shù)據(jù)獲取申請”；修正權(quán)，可指明警方個人數(shù)據(jù)不準確之處，并加以修改；擦除權(quán)，可要求警方銷毀其持有的非執(zhí)法目的或超出執(zhí)法需求或逾期的任何個人數(shù)據(jù)；限制或反對處理權(quán)，在特定情形下，可提出限制性要求。例如，限制個人數(shù)據(jù)的訪問者或分享者。執(zhí)法數(shù)據(jù)處理的數(shù)據(jù)主體包括受害人、目擊者、違法人員、嫌疑人、顧問和其他專家、警察與文職等。因此，英國警察作為一個自然人，也是一個數(shù)據(jù)主體。此外，根據(jù)英國《信息自由法案》（FOIA）和《環(huán)境信息法規(guī)》（EIR）要求，所有公共部門包括警方還應(yīng)制定信息發(fā)布計劃，并定期發(fā)布可公開的數(shù)據(jù)信息，保障英國公民的信息自由權(quán)利。

在保障數(shù)據(jù)主體權(quán)力方面，警方信息權(quán)管理部門和數(shù)據(jù)保護官的一項日常工作之一是處理數(shù)據(jù)主體數(shù)據(jù)獲取申請（SARs），即由數(shù)據(jù)主體向處理其個人數(shù)據(jù)的警方提出的數(shù)據(jù)獲取申請，可要求警方提供一份個人數(shù)據(jù)拷貝及其他附加信息。數(shù)據(jù)主體提出申請時須填報全名、出生日期、地址、能證明出生日期和現(xiàn)住址的正式證件的掃描件、照片或復(fù)印件、申請查閱具體信息的詳細描述等。警方須及時回復(fù)數(shù)據(jù)主體提出的數(shù)據(jù)獲取申請。英國信息專員辦公室會定期審查統(tǒng)計警方回復(fù)及時性，并將其作為考察警方數(shù)據(jù)保護工作的一項重要指標。

巡邏中的警察

因為防范、調(diào)查和起訴刑事犯罪行為，執(zhí)行刑事處罰，處理公共安全威脅防范等執(zhí)法目的產(chǎn)生和處理的很多數(shù)據(jù)不適用于公開，《信息自由法案》和《環(huán)境信息法規(guī)》要求的政務(wù)數(shù)據(jù)公開透明原則不適用于這類執(zhí)法數(shù)據(jù)處理。但除不宜公開的信息外，警方仍須公布其他可公開信息。此外，根據(jù)《信息自由法案》和《環(huán)境信息法規(guī)》規(guī)定，公共部門包括警方應(yīng)為公眾提供信息訪問權(quán)限，保障信息自由。對于公眾的信息訪問申請，除特殊豁免案例外，警方應(yīng)在20 個工作日內(nèi)予以回復(fù)。

盡管在及時處理數(shù)據(jù)主體數(shù)據(jù)獲取申請和信息訪問方面存在很多困難，如資金不足、人力不足、招聘信息保護員工困難、信息系統(tǒng)陳舊低效、信息保護在警隊中不受重視、各部門提供信息不配合和信息公開申請激增等，近年來英國警方仍取得了一定的進步。據(jù)英國信息專員辦公室公布的數(shù)據(jù)，2019 年9 月到2020 年8 月，向英國警方提出的數(shù)據(jù)主體訪問申請和信息訪問申請從69%增加到了80%。19 支警隊在數(shù)據(jù)訪問申請回復(fù)及時性方面達到了90%，18 支回復(fù)信息訪問申請及時性達到了90%。逾期未處理的申請從7393 件下降到3750 件，下降了49%。

《調(diào)查權(quán)力法案》賦予的監(jiān)控權(quán)力與制約

泄露數(shù)據(jù)售賣網(wǎng)站（WeLeakInfo.com）域名被封

2016 年11 月29 日，英國《調(diào)查權(quán)力法案》（IPA）在上議院通過，并于12 月30 日正式生效。該法案是英國執(zhí)法機構(gòu)和情報機構(gòu)開展合法監(jiān)控的法律依據(jù)，賦予了警察部門等執(zhí)法機構(gòu)新的監(jiān)視權(quán)力，也是打擊控制非法監(jiān)控、非法攔截信息、非法設(shè)備干預(yù)和非法獲取通訊信息等違法行為的執(zhí)法依據(jù)。在該法律框架下，警方可從通信服務(wù)供應(yīng)商處收集通話記錄，要求互聯(lián)網(wǎng)供應(yīng)商提供每個設(shè)備連接的網(wǎng)址記錄并保存一年，收集使用大數(shù)據(jù)，干預(yù)設(shè)備和攔截信息（如在嫌疑人的手機和電腦中植入黑客軟件加以監(jiān)視等）。盡管該法案致力于全力打擊非法監(jiān)控行為，并對政府部門的數(shù)據(jù)工作安全保障提出了更高的標準，隱私權(quán)團體卻為公眾的數(shù)據(jù)隱私權(quán)深感擔憂。例如，近年來英國警方嘗試使用人臉識別技術(shù)打擊防范犯罪，該技術(shù)被認為是繼DNA 分析后的執(zhí)法新飛躍，卻被隱私權(quán)團體抨擊浪費資金，侵犯隱私。

案例五：

從2016 年開始，倫敦大都會警察局利用臉部電腦數(shù)據(jù)庫與監(jiān)控錄像監(jiān)控人群和識別嫌疑人。2019 年，警方邀請埃塞克斯大學對該人臉識別技術(shù)系統(tǒng)進行評估，結(jié)果發(fā)現(xiàn)該面部識別技術(shù)將一個普通人識別成通緝犯的錯誤概率高達81%。但據(jù)警方數(shù)據(jù)，經(jīng)過結(jié)合其他技術(shù)手段，其正確率達到99.9%。大都會警察局技術(shù)人員表示人臉識別的技術(shù)更新需要大量資金投入。但英國內(nèi)政部對大都會警察局的技術(shù)革新嘗試表示支持，認為在數(shù)據(jù)保護法律框架內(nèi)利用這項技術(shù)打擊犯罪未來可期。

在英國數(shù)據(jù)保護領(lǐng)域，英國警察扮演了多個角色，同時受到英國信息自由和數(shù)據(jù)保護法律的保護和約束。作為自然人，警察個人享有英國《通用數(shù)據(jù)保護條例》和《數(shù)據(jù)保護法案》保障的數(shù)據(jù)主體權(quán)力。作為數(shù)據(jù)控制者和處理者，警察隊伍肩負著《通用數(shù)據(jù)保護條例》和《數(shù)據(jù)保護法案》規(guī)定的各項數(shù)據(jù)安全防護職責。作為國家公共部門，《信息自由法案》和《環(huán)境信息法規(guī)》要求警方在政務(wù)服務(wù)方面做到信息公開透明。作為執(zhí)法部門，警方在涉及數(shù)據(jù)保護的刑事案件中，要開展調(diào)查取證等一系列工作。而新的《調(diào)查權(quán)力法案》既賦予了英國警方利用監(jiān)控調(diào)查取證的權(quán)力，也為打擊非法監(jiān)控制定了法律依據(jù)。在多個角色的扮演中，信息技術(shù)時代給英國警方帶來了機遇，也帶來了更多的挑戰(zhàn)。