摘要：《個人信息保護法》的頒布實施將刑事訴訟統(tǒng)一納入個人信息保護法律規(guī)范體系當(dāng)中，需要認(rèn)真研究刑事訴訟中如何適用《個人信息保護法》的相關(guān)規(guī)定。個人信息保護中的核心規(guī)則“告知-同意”規(guī)則在刑事訴訟中基本失效，同意規(guī)則無須適用，告知規(guī)則設(shè)置了寬泛的例外，刑事訴訟法律規(guī)范中應(yīng)當(dāng)明確例外的界限與適用情形。對于個人信息保存時限、委托處理個人信息的相關(guān)規(guī)則、自動化決策和敏感個人信息的處理，刑事訴訟中都應(yīng)當(dāng)進一步予以細化規(guī)定。個人信息權(quán)益在刑事訴訟中呈減損狀態(tài)，但不應(yīng)被徹底剝奪，應(yīng)當(dāng)著力強化刑事執(zhí)法、司法機關(guān)的個人信息保護的合規(guī)義務(wù)，構(gòu)建《個人信息保護法》適用于刑事司法領(lǐng)域的若干支撐配套制度，包括將規(guī)制場景由技術(shù)偵查擴展至更為廣闊的信息收集實踐，強化事先數(shù)據(jù)合規(guī)制度建設(shè)，增設(shè)檢察機關(guān)作為刑事司法系統(tǒng)中投訴處理的負(fù)責(zé)機構(gòu)等。

關(guān)鍵詞：個人信息；個人信息保護法；刑事訴訟；告知-同意規(guī)則

中圖分類號：DF73文獻標(biāo)志碼：A

DOI：10.3969/j.issn.1001-2397.2023.01.07開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

2021年8月20日，第十三屆全國人民代表大會常務(wù)委員會第三十次會議審議通過的《中華人民共和國個人信息保護法》系我國首部保護公民個人信息的專門法律，也被認(rèn)為是我國個人信息保護領(lǐng)域的一部基本法律。①在網(wǎng)絡(luò)時代，個人信息保護面臨重大挑戰(zhàn)，根源在于公法制度缺位。②個人信息作為一項人格權(quán)益，最初產(chǎn)生的目的之一就是防止政府機關(guān)不當(dāng)處理個人信息。

參見王利明、丁曉東：《論〈個人信息保護法〉的亮點、特色與適用》，載《法學(xué)家》2021年第6期，第8頁?；谏鲜雠袛?，《個人信息保護法》的一個重大創(chuàng)新之處正是在于對國家機關(guān)處理個人信息的規(guī)則進行了專門規(guī)定，設(shè)置了“國家機關(guān)處理個人信息的特別規(guī)定”專節(jié)。

詳見《個人信息保護法》第2章第3節(jié)之規(guī)定。這里的“國家機關(guān)”主要是指履行政府行政管理職能的政府機關(guān)、部門，而承擔(dān)部分刑事司法職能的公安機關(guān)以及其他刑事司法機關(guān)顯然也屬于本節(jié)規(guī)范的對象。

在法學(xué)界圍繞《個人信息保護法》這部基本法律展開熱議之時，刑事訴訟法學(xué)界的反應(yīng)顯得較為平靜，有限的討論局限于《個人信息保護法》的基本原則和基本制度與《刑事訴訟法》的關(guān)系、刑事訴訟保護個人信息的理念、方向等宏觀問題參見裴煒：《個人信息保護法與刑事司法的分離與融合》，載《中國政法大學(xué)學(xué)報》2020年第5期，第149頁；鄭曦：《刑事訴訟個人信息保護論綱》，載《當(dāng)代法學(xué)》2021年第2期，第115頁；程雷：《刑事司法中的公民個人信息保護》，載《中國人民大學(xué)學(xué)報》2019年第1期，第104頁。，缺乏對《個人信息保護法》生效后這部基本法律從各個層面如何影響刑事訴訟進行的細致討論。

一、刑事司法機關(guān)處理個人信息的統(tǒng)一納入模式

根據(jù)《個人信息保護法》第73條規(guī)定，個人信息處理者是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人，本條規(guī)定通過明確“個人信息處理者”的內(nèi)涵，將國家機關(guān)包括刑事司法國家機關(guān)納入該法的規(guī)范范圍。同時，《個人信息保護法》第2章第3節(jié)“國家機關(guān)處理個人信息的特別規(guī)定”還為國家機關(guān)處理個人信息創(chuàng)設(shè)了5個條文的特殊規(guī)定，以應(yīng)對國家機關(guān)適用《個人信息保護法》時面臨的特有問題。不同于多數(shù)其他國家和地區(qū)所秉持的單獨立法、例外處理的模式，我國《個人信息保護法》將刑事司法機關(guān)處理個人信息的行為借由“國家機關(guān)”這一概念與規(guī)范工具統(tǒng)一納入個人信息保護法律的框架內(nèi)，這種統(tǒng)一納入處理的新模式與既有的刑事司法系個人信息保護的例外領(lǐng)域之傳統(tǒng)觀念形成強烈反差。

國家機關(guān)在履行法定職責(zé)的過程中生成、采集和保存了海量的個人信息，是最大的個人信息收集、處理、儲存和利用者，將國家機關(guān)處理個人信息的活動納入《個人信息保護法》的調(diào)整范圍，規(guī)定國家機關(guān)處理個人信息應(yīng)當(dāng)和其他主體（主要是企業(yè)）適用相同的原則和基本規(guī)則，體現(xiàn)了法律的全面性和系統(tǒng)性。

參見楊合慶主編：《中華人民共和國個人信息保護法釋義》，法律出版社2022年版，第93頁；張新寶主編：《〈中華人民共和國個人信息保護法〉釋義》，人民出版社2021年版，第265頁?！秱€人信息保護法》第33條規(guī)定了“國家機關(guān)處理個人信息的活動，適用本法；本節(jié)有特別規(guī)定的，適用本節(jié)規(guī)定”，該條前半句首先明確要求國家機關(guān)作為個人信息處理者適用《個人信息保護法》的全部規(guī)定，后半句規(guī)定明確了對于本節(jié)的特殊安排，從其特殊規(guī)定。通過這一條款，國家機關(guān)處理個人信息的活動首先被納入《個人信息保護法》的完整規(guī)制框架之下，對于特有的處理行為與處理要求，法律也在本節(jié)予以了細化規(guī)定，本節(jié)無特殊規(guī)定的，國家機關(guān)處理個人信息時就應(yīng)當(dāng)適用《個人信息保護法》其他章節(jié)的相關(guān)規(guī)定。需要特別指出的是，就本文的研究主題而言，《個人信息保護法》并未對刑事司法機關(guān)包括公安機關(guān)處理公民個人信息的各類事項作出例外規(guī)定，

特殊的制度安排也不過是本節(jié)第34條至第36條三個方面內(nèi)容。從這個角度來看，政府行政機關(guān)與刑事司法專門機關(guān)在《個人信息保護法》中未作進一步區(qū)分，刑事

司法方面的特殊處理規(guī)則也并未再進一步進行細分處理。這種統(tǒng)一納入的模式極具特色，也會對刑事司法機關(guān)處理個人信息產(chǎn)生深遠影響。當(dāng)然，這種統(tǒng)一納入模式的“統(tǒng)一”尺度大小還取決于對《個人信息保護法》第34條的解讀，但毋庸置疑的是，由于第33條的規(guī)范內(nèi)容范圍遠大于第34條，其對刑事司法過程中處理個人信息的影響注定是深遠的。

另一方面，《個人信息保護法》第34條規(guī)定了國家機關(guān)處理個人信息時應(yīng)當(dāng)遵循合法性原則與必要性原則這兩大基礎(chǔ)、核心的公法原則，該條規(guī)定“國家機關(guān)為履行法定職責(zé)處理個人信息，應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進行，不得超出履行法定職責(zé)所必需的范圍和限度”。就合法性原則而言，法律對于國家機關(guān)處理公民個人信息的權(quán)限和程序的規(guī)范依據(jù)限定于法律和行政法規(guī)兩類。同時，本條規(guī)定也可以被視為轉(zhuǎn)授權(quán)條款，授權(quán)刑事執(zhí)法、司法機關(guān)依據(jù)《刑事訴訟法》等法律、行政法規(guī)的相關(guān)規(guī)定處理公民個人信息?？紤]到國家機關(guān)履行各自法定職責(zé)的特殊性，這一轉(zhuǎn)授權(quán)條款準(zhǔn)許不同的國家機關(guān)根據(jù)相關(guān)領(lǐng)域的法律法規(guī)規(guī)定的權(quán)限與程序處理公民個人信息，部分兼顧了國家機關(guān)權(quán)力行使的特殊要求，在處理權(quán)限與程序兩個向度上放松了“統(tǒng)一納入”的要求，形成了單獨處理與統(tǒng)一納入并存模式。就刑事執(zhí)法、司法領(lǐng)域而言，執(zhí)法、司法機關(guān)處理公民個人信息只能依據(jù)《刑事訴訟法》等法律以及行政法規(guī)的授權(quán)進行，且相應(yīng)權(quán)限范圍與處理程序也必須符合法律、行政法規(guī)的明文規(guī)定。在《刑事訴訟法》及相關(guān)法律、行政法規(guī)中已有相應(yīng)處理權(quán)限和程序的規(guī)定時，本條規(guī)定事實上授權(quán)刑事執(zhí)法、司法機關(guān)根據(jù)《刑事訴訟法》等法律法規(guī)的既有規(guī)定對個人信息進行處理，當(dāng)現(xiàn)有法律、行政法規(guī)缺乏銜接性規(guī)定時，根據(jù)《個人信息保護法》的規(guī)定，刑事執(zhí)法、司法機關(guān)不得處理個人信息，直至相應(yīng)權(quán)限與程序被補足至滿足該條合法性要求。值得注意的是，《個人信息保護法》第34條授權(quán)的內(nèi)容僅限于處理權(quán)限與程序，不包括處理個人信息中的其他權(quán)限，個人在信息處理活動中的權(quán)利也應(yīng)當(dāng)根據(jù)《個人信息保護法》的規(guī)定受到保護。從這個角度看，《個人信息保護法》與《刑事訴訟法》等法律法規(guī)呈現(xiàn)出交叉適用狀態(tài)。

二、“告知-同意”原則的基本失效

“告知-同意”原則

理論界不少學(xué)者也將其稱之為“知情同意”原則，本文不作進一步區(qū)分，將兩種不同的用語視為表述上的差異。為全球范圍內(nèi)的個人信息保護立法普遍適用，自發(fā)端以來便作為個人信息保護的基本原則，其內(nèi)涵幾乎一致，都反映了數(shù)據(jù)主體對個人數(shù)據(jù)享有自治、自決的權(quán)利。

參見張新寶：《個人信息收集：告知同意原則適用的限制》，載《比較法研究》2019年第6期，第2頁。這一基本原則在公法領(lǐng)域的適用卻存在諸多限制，由于國家機關(guān)是基于公共利益的目的處理公民個人信息，如果個人對相關(guān)信息具有同意權(quán)、決定權(quán)等權(quán)利，則將從根本上破壞公權(quán)力部門公共職能的行使。

參見王利明、丁曉東：《論〈個人信息保護法〉的亮點、特色與適用》，載《法學(xué)家》2021年第6期，第8頁?；谏鲜隹紤]，《個人信息保護法》第13條、第18條、第35條對告知和同意適用于國家機關(guān)的場景分別作出了限制性規(guī)定，限縮甚至免除了“告知-同意”原則的保護作用。其中第13條規(guī)定，“為履行法定職責(zé)或法定義務(wù)所必需，無須個人同意即可合法處理公民個人信息”，這是對同意原則的排除適用規(guī)定。

本條還規(guī)定了其他四類同意例外之情形，其中第（四）項關(guān)于應(yīng)對突發(fā)公共衛(wèi)生事件或者緊急情況下保護生命健康和財產(chǎn)安全的情形、第（六）項處理已公開個人信息的情形、第（七）項法律、行政法規(guī)規(guī)定的其他情形，上述三種情形均有可能成為刑事執(zhí)法、司法機關(guān)在相對罕見特殊的場景中無須同意徑行處理個人信息的合法性根據(jù)。第35條規(guī)定，“國家機關(guān)為履行法定職責(zé)處理個人信息，應(yīng)當(dāng)依照本法履行告知義務(wù)；有本法第十八條第一款規(guī)定的情形，或者告知將妨礙國家機關(guān)履行法定職責(zé)的除外”。第18條第1款規(guī)定，“個人信息處理者處理個人信息，有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的，可以豁免告知義務(wù)”。上述兩條規(guī)定，在肯定告知為原則的前提下，為國家機關(guān)豁免告知義務(wù)明確了兩項例外：一是保密要求；二是妨礙國家機關(guān)履行法定職責(zé)。值得注意的是，上述例外情形并無時間限制，產(chǎn)生的法律效果是豁免而非延后告知，《個人信息保護法》對于上述兩條告知義務(wù)的限制采用了最為嚴(yán)厲的除外規(guī)定或者說完全豁免規(guī)定。

對于刑事執(zhí)法、司法機關(guān)而言，履行執(zhí)法、司法的法定職責(zé)根據(jù)《個人信息保護法》第13條的規(guī)定無須經(jīng)同意即可處理公民個人信息。

敏感個人信息的處理是否適用本條豁免之規(guī)定值得進一步研究，《個人信息保護法》第29條明文規(guī)定處理敏感個人信息應(yīng)當(dāng)取得個人的單獨同意，該條并未規(guī)定例外情形，有學(xué)者

認(rèn)為國家機關(guān)處理敏感信息也要取得個人的單獨同意，參見張新寶：《論個人權(quán)益的構(gòu)造》，載《中外法學(xué)》2021年第5期，第1164頁。同意并非刑事司法中處理公民個人信息的合法性基礎(chǔ)，鑒于刑事司法行為的強制性，能否調(diào)取信息往往與信息主體的主觀意愿無關(guān)，有關(guān)單位和個人還有如實提供的義務(wù)，因此“同意”之要求也無從談起。參見裴煒：《個人信息保護法與刑事司法的分離與融合》，載《中國政法大學(xué)學(xué)報》2020年第5期，第151頁。

對于“告知”問題，或者說知情原則在刑事司法中的適用，由于涉及執(zhí)法、司法機關(guān)的告知義務(wù)以及相對應(yīng)的個人信息主體的知情權(quán)、查閱復(fù)制權(quán)，法律適用的選擇與相關(guān)制度的銜接工作顯得比同意原則的處理要復(fù)雜一些，執(zhí)法、司法機關(guān)的告知義務(wù)與個人的信息權(quán)利并非如同意原則一樣被一攬子排除在個人信息法律保護體系之外?！秱€人信息保護法》第35條以原則加例外的方式規(guī)定了國家機關(guān)處理個人信息時的告知義務(wù)，例外情形有二：一是根據(jù)該條后半段規(guī)定，告知將妨礙國家機關(guān)履行法定職責(zé)的；二是根據(jù)第18條規(guī)定，其他法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的。

立法機關(guān)工作機構(gòu)在釋義書中認(rèn)為“不需要告知的情形”包括：一是國家機關(guān)為履行法定職責(zé)處理個人信息，告知將妨礙國家機關(guān)履行職責(zé)的；二是按照本法規(guī)定在合理的范圍內(nèi)處理已公開的個人信息，通常也不需要告知；三是法律、行政法規(guī)規(guī)定不需要告知的其他情形，參見楊合慶主編：《中華人民共和國個人信息保護法釋義》，法律出版社2022年版，第66頁。上述兩條例外規(guī)定值得認(rèn)真對待并進行明確解釋，否則現(xiàn)有條文的籠統(tǒng)規(guī)定極有可能讓例外的兩種情形普遍化并最終在實踐層面倒置為原則，這與《個人信息保護法》第35條文義表述上的原則加例外的規(guī)定初衷是相悖的。告知義務(wù)或者其對應(yīng)的信息主體的知悉權(quán)系個人信息權(quán)利的起點，也是最為基礎(chǔ)性的權(quán)利，信息本身具有的無形性決定了對其權(quán)利進行保護必須遵循透明、公平原則，沒有告知個人就無從知悉其權(quán)利被干預(yù)的事實，也就無從行使后續(xù)一系列《個人信息保護法》賦予的其他權(quán)利。

回到刑事執(zhí)法、司法的語境下審視《個人信息保護法》設(shè)置的兩種例外情形，需要對“妨礙國家機關(guān)履行法定職責(zé)”與“法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的”兩種情形進行更為細致的分析。因妨礙刑事執(zhí)法、司法機關(guān)履行犯罪預(yù)防或追訴、審理以及刑罰執(zhí)行等職責(zé)而豁免告知義務(wù)需要設(shè)置更為細致的條件，現(xiàn)行《刑事訴訟法》涉及權(quán)利義務(wù)告知的條款共15條

詳見《刑事訴訟法》第34條、第36條、第42條、第46條、第97條、第120條、第125條、第148條、第162條、第173條、第180條、第190條、第194條、第217條、第295條。，均未設(shè)置豁免義務(wù)條款，換言之，權(quán)利義務(wù)的告知是刑事執(zhí)法、司法機關(guān)必須履行的無例外的法定職責(zé)。

《刑事訴訟法》中妨礙追訴職責(zé)的情形通常被表述為“有礙偵查”

提及“有礙偵查”的條款為第75條與第85條兩個條款，分別規(guī)定了指定居所監(jiān)視居住的適用情形與拘留延遲通知家屬的情形。，《刑事訴訟法》本身未對“有礙偵查”作進一步細化規(guī)定，《公安機關(guān)辦理刑事案件程序規(guī)定》將其解釋為可能干擾取證，可能引發(fā)自殘、自殺或者逃跑，可能引發(fā)同案犯逃避妨礙偵查這三種主要情形。

詳見《公安機關(guān)辦理刑事案件程序規(guī)定》第52條、第111條與第127條?！缎淌略V訟法》及相關(guān)法律解釋并未對上述幾種“可能性”的根據(jù)與證明過程提出進一步要求，加之法律也并未設(shè)置外部審批程序，“有礙偵查”的各種可能性在法律適用過程中仍稍顯寬泛與隨意。為防止任意解釋“有礙偵查”，應(yīng)當(dāng)參照《刑事訴訟法》規(guī)范中的既有解釋規(guī)則與方案，對該術(shù)語作進一步的限縮解釋，比如，要求有一定根據(jù)表明犯罪嫌疑人已經(jīng)著手實施干擾取證的行為，或者曾經(jīng)實施類似行為，或者有行為的意思表示，抑或有同案犯在逃，重要證據(jù)尚未收集到位的。

詳見《人民檢察院刑事訴訟規(guī)則》第131條、第133條對“社會危險性”條件的細化解釋。

從履行職責(zé)的時間節(jié)點來看，刑事司法妨礙職責(zé)履行的主要程序階段應(yīng)當(dāng)限定在立案與偵查兩個訴訟階段，其中以收集固定證據(jù)、控制犯罪嫌疑人為主要任務(wù)的偵查階段是履行職責(zé)的關(guān)鍵階段，也是刑事執(zhí)法機關(guān)處理個人信息的主要場域

。伴隨著偵查程序的展開，刑事訴訟活動的證據(jù)事實逐步明晰，追訴職責(zé)的準(zhǔn)備工作逐步就緒，告知義務(wù)的例外情形存在的價值與合理性逐步減弱直至消失，例外的設(shè)置與程序的進程應(yīng)當(dāng)呈現(xiàn)一種負(fù)相關(guān)關(guān)系，方能較好地體現(xiàn)比例原則的要求。在偵查程序內(nèi)部，逮捕應(yīng)當(dāng)作為例外向原則轉(zhuǎn)化的關(guān)鍵節(jié)點，實踐中掌握的逮捕的證據(jù)條件與定罪相差無幾，捕后偵查機關(guān)繼續(xù)取證的概率很低，因此，以逮捕作為告知義務(wù)的原則與例外的界分點是比較符合司法實際情況的，能夠為告知義務(wù)在偵查程序中的履行設(shè)定明顯的時間限制，貫徹《個人信息保護法》第35條規(guī)定的以告知為原則的立法精神。

《個人信息保護法》第35條及第18條將法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形也明文規(guī)定為國家機關(guān)處理個人信息時告知義務(wù)的例外情形。在刑事訴訟場域中適用上述例外首先需要明確保密或者不需要告知的情形與范圍。對于審判以及起訴程序而言，公開是原則，不公開是例外

詳見《刑事訴訟法》第11條、第118條規(guī)定的公開審判原則。，告知之例外幾乎沒有適用之空間；對于偵查程序而言，盡管學(xué)說上有偵查保密原則

參見程雷等：《偵查保密原則初步研究》，載《山東警察學(xué)院學(xué)報》2006年第4期，第93頁。，但在實定法上并無偵查保密原則的明文規(guī)定。

在公安部細化《刑事訴訟法》的部門解釋與執(zhí)法內(nèi)部指引中，也沒有偵查保密原則的相關(guān)規(guī)定，比如《公安機關(guān)辦理刑事案件程序規(guī)定》中未規(guī)定偵查保密原則，僅在其第195條規(guī)定：公安機關(guān)偵查犯罪，涉及國家秘密、商業(yè)秘密、個人隱私的，應(yīng)當(dāng)保密。這實際上是沿襲了《刑事訴訟法》的已有規(guī)定；《公安機關(guān)執(zhí)法細則》（第三版）不僅沒有規(guī)定偵查保密，還反向規(guī)定了“執(zhí)法公開”一章（第6-01條）?！缎淌略V訟法》中大致有三個條文體現(xiàn)了偵查保密原則的部分要求，比如，《刑事訴訟法》第54條規(guī)定“對涉及國家秘密、商業(yè)秘密、個人隱私的證據(jù)，應(yīng)當(dāng)保密”；第152條規(guī)定了技術(shù)偵查實施中相關(guān)信息的保密，即偵查人員對采取技術(shù)偵查措施過程中知悉的國家秘密、商業(yè)秘密和個人隱私，應(yīng)當(dāng)保密，有關(guān)單位和個人對采取技術(shù)偵查措施的有關(guān)情況應(yīng)當(dāng)保密；第286條規(guī)定對于被封存的未成年人犯罪記錄依法進行查詢時予以保密。

在《刑事訴訟法》未明確偵查保密原則的情形下，偵查保密的規(guī)范依據(jù)主要是根據(jù)《中華人民共和國保守國家秘密法》（以下簡稱《保密法》），《中華人民共和國人民警察法》（以下簡稱《人民警察法》）以及公安部的規(guī)范性文件。比如，《保密法》第9條規(guī)定國家秘密的范圍，其中一項即為“維護國家安全活動和追查刑事犯罪中的秘密事項”?！度嗣窬旆ā返?2條規(guī)定人民警察負(fù)有保守警務(wù)工作秘密的法定義務(wù)。

《保密法》第11條在第9條的一般性列舉規(guī)定之外還進一步授權(quán)國家保密行政管理部門分別會同公安、安全等中央有關(guān)國家機關(guān)規(guī)定國家秘密及其密級的范圍，如此一來，公安工作中國家秘密的具體范圍由國家保密局與公安部具體厘定。2019年，公安部、國家保密局印發(fā)的《公安工作國家秘密范圍的規(guī)定》（以下簡稱《細化規(guī)定》）采用封閉式列舉的方式詳細列明了公安工作中國家秘密的范圍與具體保密事項目錄，其中與刑事執(zhí)法、司法有關(guān)的事項范圍主要是指泄露后會使重大刑事案件遭受損害的事項，從具體保密事項上看，包括偵辦中的重大刑事案件的偵查方案、案情與秘密手段獲取的材料與證據(jù)。當(dāng)然，《保密法》及《細化規(guī)定》并未明確何為“特別重大刑事案件”或“重大刑事案件”，僅從案由的角度涵蓋了重大的危害國家安全案件、黑社會性質(zhì)的有組織犯罪案件、經(jīng)濟犯罪案件和毒品犯罪案件等。這種界定方式明確了時間范圍限定于偵辦過程中，同時明確了案件范圍上應(yīng)遵循重罪原則，并一攬子地將秘密偵查的相關(guān)情況納入國家秘密范圍內(nèi)。

在《保密法》規(guī)定的國家秘密之外，公安機關(guān)以“警務(wù)工作秘密”為規(guī)范工具，對執(zhí)法、司法中的工作保密進行了細化管理。2019年公安部發(fā)布的《公安機關(guān)警務(wù)工作秘密范圍的規(guī)定》列舉了30種警務(wù)工作秘密，其中與刑事執(zhí)法、司法相關(guān)的事項主要包括打擊違法犯罪活動的具體工作與行動方案；正在偵查的刑事案件的詳細案情、具體工作方案及進展，將對犯罪嫌疑人采取刑事強制措施的情況；公安機關(guān)采集并管理的專門用于支持打擊防范違法犯罪活動的有關(guān)數(shù)據(jù)。警務(wù)工作秘密這一規(guī)范工具的提出及適用將大部分刑事執(zhí)法、司法工作納入保密的范圍，在法律之外極大地擴展了公安機關(guān)警務(wù)工作的保密范圍。但從《個人信息保護法》的適用角度觀之，警務(wù)工作秘密的上述規(guī)定不符合《個人信息保護法》對保密例外設(shè)置的法律位階之基本要求，《個人信息保護法》第18條規(guī)定可以因保密需要豁免告知義務(wù)的根據(jù)只能是法律、行政法規(guī)。這種法律保留的范圍限制令刑事執(zhí)法、司法機關(guān)在目前的法律體系內(nèi)只能依照《刑事訴訟法》或《保密法》明確規(guī)定的保密事項范圍豁免告知義務(wù)，公安部及公安機關(guān)內(nèi)部規(guī)范性文件列明的警務(wù)工作秘密等相關(guān)規(guī)定因無法滿足《個人信息保護法》第18條之規(guī)定，從而無法援引成為告知例外的合法根據(jù)。

《個人信息保護法》告知義務(wù)之例外事由有二：一是履行法定職責(zé)的需要，《刑事訴訟法》規(guī)定的“有礙偵查”的情形是該類正當(dāng)化事由的對應(yīng)參照物，告知處理個人信息的情況以不妨礙訴訟順利進行為限，主要是妨礙證據(jù)取得與逃避追訴兩項具體風(fēng)險，且風(fēng)險的判斷需要合理的依據(jù)或者說相應(yīng)的證據(jù)材料。伴隨著追訴進程的延伸風(fēng)險逐步消減，尤其在批準(zhǔn)逮捕之后，履行法定職責(zé)的事由原則上不再成立正當(dāng)化事由。二是保密需要，根據(jù)《保密法》及其細化規(guī)定的精神，保密的案件與事項范圍首先應(yīng)當(dāng)體現(xiàn)重罪原則，不應(yīng)泛化；其次應(yīng)體現(xiàn)時間階段性的要求，只能限于在辦案件的偵查過程中；最后保密的事項主要集中于偵查工作方案等過程信息，而并非偵查結(jié)果。為銜接《個人信息保護法》的上述要求，《刑事訴訟法》及相關(guān)法律解釋應(yīng)當(dāng)明確“有礙偵查”的具體情形及判斷標(biāo)準(zhǔn)、證明標(biāo)準(zhǔn)以規(guī)范履行職責(zé)之例外事由的適用，通過明確重罪原則的適用范圍對國家秘密事項的邊界加以明確。

三、個人信息特殊處理規(guī)則在刑事訴訟中的適用

除了“告知-同意”這一核心規(guī)則之外，《個人信息保護法》在第2章“個人信息處理規(guī)則”第19條至第27條還規(guī)定了其他幾項重要的個人信息處理規(guī)則，其中在刑事訴訟語境中值得重點討論的問題有四個：第19條規(guī)定的個人信息保存時限，第21條規(guī)定的委托處理個人信息的相關(guān)規(guī)則，第24條規(guī)定的自動化決策問題以及第29條規(guī)定的敏感個人信息處理的特殊規(guī)則，這些處理規(guī)則如何在刑事執(zhí)法、司法領(lǐng)域加以落實，需要分別闡釋。

（一）保存時限不明確

《個人信息保護法》第19條規(guī)定，“除法律、行政法規(guī)另有規(guī)定外，個人信息的保存時限應(yīng)當(dāng)為實現(xiàn)處理目的所必要的最短處理時間”。最大化地限縮個人信息儲存時間符合信息最小化原則的要求，也是對公民個人信息權(quán)益干預(yù)最小化的基本要求。然而，我國現(xiàn)行法律與執(zhí)法、司法機關(guān)的相關(guān)法律解釋和規(guī)范性文件對此原則幾乎沒有回應(yīng)。《刑事訴訟法》第152條規(guī)定對采取技術(shù)偵查獲取的與案件無關(guān)的材料，必須及時銷毀。本條規(guī)定僅涵蓋采用技術(shù)偵查搜集的各類信息包括個人信息，并未涵蓋大量其他偵查措施獲取的個人信息；同時，“及時”二字在一定程度上體現(xiàn)了保存時間最短化的要求，但何謂“與案件無關(guān)”、如何“銷毀”，由于缺乏細化規(guī)定與操作流程，實踐中本條規(guī)定很難執(zhí)行。與《個人信息保護法》的規(guī)定相反，司法實踐中刑事執(zhí)法、司法信息的保存有長期化的要求。公安機關(guān)內(nèi)部以治安管理、交通管理、出入境管理信息系統(tǒng)為代表的數(shù)據(jù)庫建設(shè)的各類規(guī)范與管理規(guī)定中從未對儲存時間設(shè)定具體的期限

典型的例證可參見《公安機關(guān)執(zhí)法細則》（第三版）的規(guī)定以及《公安機關(guān)指紋信息工作規(guī)定》（公通字〔2007〕71號）。，相反，還在不斷擴容以追求存儲時間與存儲數(shù)量的最大化。在公安機關(guān)以及檢、法兩院的數(shù)據(jù)庫中儲存著海量的公民個人信息，除了少量罪犯的個人信息之外，更多的個人信息主體是證人、被害人或者是偶然抑或被動觸及刑事司法系統(tǒng)的守法公民。這些海量公民個人信息永久或者長期保存，伴隨著數(shù)據(jù)量的逐漸升級，數(shù)據(jù)質(zhì)量缺陷、安全風(fēng)險、存儲成本等勢必都會逐步增大，這與《個人信息保護法》要求的儲存時間最短化的規(guī)定明顯抵牾，刑事訴訟法律法規(guī)應(yīng)當(dāng)對此及時進行調(diào)整、補足。

（二）委托處理個人信息的規(guī)則欠缺

《個人信息保護法》第21條專門就委托第三方處理個人信息作出了規(guī)范，個人信息處理者委托處理個人信息時，應(yīng)當(dāng)與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權(quán)利和義務(wù)，并對受托人的個人信息處理活動進行監(jiān)督，委托合同終止或撤銷時受托人應(yīng)當(dāng)返還個人信息或者予以刪除，不得保留。本條規(guī)定對于刑事執(zhí)法、司法過程中大量公民個人信息由執(zhí)法、司法機關(guān)委托給第三方公司、社會機構(gòu)進行處理這一發(fā)展趨勢具有極強的針對性與規(guī)范價值。伴隨著數(shù)據(jù)量的激增，數(shù)據(jù)處理朝著專業(yè)化、集約化方向發(fā)展，刑事執(zhí)法、司法機關(guān)愈發(fā)難以自行處理收集或者共享到的海量公民個人信息，通過外包合同委托第三方處理是不得不作出的選擇。宏觀層面上，這涉及司法權(quán)的社會化問題；微觀層面上，《個人信息保護法》第21條確立的委托處理規(guī)則無疑具有直接的規(guī)范作用。此外，與之相銜接的《中華人民共和國數(shù)據(jù)安全法》第40條也對國家機關(guān)委托處理個人信息提出了明確要求，即國家機關(guān)委托他人建設(shè)、維護電子政務(wù)系統(tǒng)，存儲、加工政務(wù)數(shù)據(jù)，應(yīng)當(dāng)經(jīng)過嚴(yán)格的批準(zhǔn)程序，并應(yīng)當(dāng)監(jiān)督受托方履行相應(yīng)的數(shù)據(jù)安全保護義務(wù)。受托方應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)安全保護義務(wù)，不得擅自留存、適用、泄露或者向他人提供政務(wù)數(shù)據(jù)。刑事訴訟法律規(guī)范應(yīng)當(dāng)在援引上述規(guī)范的基礎(chǔ)上作出相應(yīng)的細化規(guī)定，以回應(yīng)信息處理社會化這一司法實踐發(fā)展趨勢。

（三）自動化決策缺乏規(guī)制

《個人信息保護法》第24條旨在規(guī)制“大數(shù)據(jù)殺熟”行為，即一些企業(yè)利用數(shù)據(jù)與算法優(yōu)勢，通過掌握消費者的經(jīng)濟狀況、消費習(xí)慣、對價格的敏感程度等對消費者進行誤導(dǎo)與欺詐。該條規(guī)定整體上看是針對商業(yè)推送與推銷行為，能否適用于刑事司法場景值得進一步討論。從《個人信息保護法》文本自身來看，第24條第一款前半句話確立的自動化決策的基本原則為“保證決策的透明度和結(jié)果公平、公正”，其與后半句話規(guī)范交易條件的語義重點可以適當(dāng)分離，從更為寬廣的視角加以理解。按照這種解釋，決策透明與結(jié)果公平公正的基本原則就可以適用于刑事司法領(lǐng)域，特別是考慮到近年來世界范圍內(nèi)刑事司法信息系統(tǒng)中開始廣泛使用自動化決策系統(tǒng)并引發(fā)了基于種族、地域、性別等視角的系統(tǒng)性歧視與算法黑箱弊端，引入該條前半段規(guī)定具有現(xiàn)實意義。

參見江溯：《自動化決策、刑事司法與算法決策》，載《東方法學(xué)》2020年第3期，第76頁。

如果上述解釋邏輯能夠成立的話，《個人信息保護法》第24條第3款亦應(yīng)當(dāng)同時加以適用并對刑事司法中的自動決策產(chǎn)生進一步規(guī)范效果，該款規(guī)定“通過自動化決策方式作出對個人權(quán)益有重大影響的決定，個人有權(quán)要求個人信息處理者予以說明，并有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定”。該款規(guī)定至少有兩個方面的規(guī)范效力：首先，要求刑事司法領(lǐng)域中的各類自動化決策只要作為對公民個人權(quán)益產(chǎn)生重大影響之決定的根據(jù)或參考，均應(yīng)當(dāng)按照個人信息處理者的要求公開相應(yīng)的算法及過程并作出明確的說明和解釋；其次，禁止僅憑借自動化決策的結(jié)果作出相應(yīng)的決策，換言之，應(yīng)當(dāng)保留參考其他因素與人為干預(yù)的可能性。

（四）敏感個人信息的特殊處理規(guī)則缺乏足夠關(guān)注

《個人信息保護法》在第2章第2節(jié)設(shè)專節(jié)規(guī)定了敏感個人信息的處理規(guī)則，對包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息設(shè)置了更為嚴(yán)格的處理條件與程序。刑事執(zhí)法、司法領(lǐng)域相較于行政法、民商法領(lǐng)域的各類信息處理場景會更加頻繁、更為全面地處理敏感個人信息，以滿足刑事執(zhí)法、司法手段的高強度干預(yù)功能需求，因此，刑事執(zhí)法、司法機關(guān)理應(yīng)遵循《個人信息保護法》第28條確立的主要規(guī)則，即只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護措施的情形下，個人信息處理者方可處理敏感個人信息。需要進一步討論的是，《個人信息保護法》第29條至第31條規(guī)定的針對敏感個人信息的加強版“告知-同意”規(guī)則是否適用于刑事訴訟過程之中。從文義觀之，《個人信息保護法》上述條款并未豁免國家機關(guān)的“告知-同意”義務(wù)

參見張新寶：《論個人信息權(quán)益的構(gòu)造》，載《中外法學(xué)》2021年第5期，第1164頁。，筆者認(rèn)為此處的解釋方案應(yīng)當(dāng)遵循體系解釋的要求，既然《個人信息保護法》在國家機關(guān)的特殊處理規(guī)則中豁免了國家機關(guān)依照法定情形在履行法定職責(zé)中的“告知-同意”義務(wù)，該豁免既針對本章第1節(jié)的普通公民個人信息的處理，也針對第2節(jié)規(guī)定的特殊類型的敏感個人信息的處理，按照特別規(guī)則優(yōu)先于一般規(guī)則的原理，應(yīng)當(dāng)適用《個人信息保護法》第2章第3節(jié)關(guān)于國家機關(guān)豁免“告知-同意”義務(wù)的相關(guān)例外規(guī)定。

四、個人信息處理活動中的個人權(quán)利與刑事執(zhí)法、司法機關(guān)的義務(wù)

《個人信息保護法》創(chuàng)設(shè)了一系列全新的權(quán)利種類，也對執(zhí)法、司法機關(guān)保護個人信息規(guī)定

了全新的法定義務(wù)，這一面向恰恰是《個人信息保護法》在刑事訴訟中適用時最具挑戰(zhàn)性，也是最具價值之處，值得深入探討。

（一）個人信息權(quán)利在刑事司法中的減損狀態(tài)

《個人信息保護法》第4章專章規(guī)定了“個人在個人信息處理活動中的權(quán)利”，賦予個人信息主體一系列基于個人信息的權(quán)益，包括知情權(quán)、決定權(quán)、查閱權(quán)、復(fù)制權(quán)、數(shù)據(jù)攜帶權(quán)以及請求更正補充、刪除的權(quán)利等。

參見《個人信息保護法》第44條至第50條的具體規(guī)定。《個人信息保護法》創(chuàng)制的個人信息權(quán)益保護體系門類齊全，涵蓋了個人信息保護的全部生命周期，但置于國家機關(guān)特別是刑事執(zhí)法、司法機關(guān)處理公民個人信息的場域來看，多數(shù)權(quán)利類型都需要與其他價值相權(quán)衡，從而呈現(xiàn)出減損樣態(tài)。在《個人信息保護法》第4章7個賦權(quán)條文中，除第46條與第48條兩個條文沒有為國家機關(guān)設(shè)置例外規(guī)定，其余條文悉數(shù)都規(guī)定了不同類型的除外情形，在國家機關(guān)處理公民個人信息過程中，個人行使相應(yīng)信息權(quán)利存在極大的不確定性，權(quán)利受到限制乃至剝奪成為常態(tài)。比如，第44條與第45條規(guī)定的知情權(quán)、決定權(quán)、查閱權(quán)、復(fù)制權(quán)都附隨著“法律、行政法規(guī)另有規(guī)定的除外”，“有本法第十八條第一款、第三十五條規(guī)定的情形除外”這樣的除外表述。這些除外規(guī)定與前文所探討的“告知-同意”規(guī)則的例外一脈相承，權(quán)利的減損狀態(tài)與效果也呈現(xiàn)出一致性。進一步區(qū)分上述第44條與第45條例外情形之差異，第45條明確了參照告知義務(wù)的豁免規(guī)定，相應(yīng)的規(guī)則在刑事訴訟領(lǐng)域是大致清晰的，但第44條的除外規(guī)定要求“法律、行政法規(guī)另有規(guī)定”，刑事訴訟法律規(guī)范通常直接賦權(quán)刑事執(zhí)法、司法機關(guān)為追訴犯罪或司法審判的需要處理公民個人信息，當(dāng)事人及相關(guān)人員對信息的決定權(quán)被剝奪，即當(dāng)事人無權(quán)限制或者拒絕刑事執(zhí)法、司法機關(guān)的處理，而對于知情權(quán)，除了存在國家機關(guān)告知義務(wù)豁免的例外情形，《刑事訴訟法》并未作出明確規(guī)定對此加以限制或剝奪。因此，筆者認(rèn)為，盡管知情權(quán)與決定權(quán)規(guī)定在《個人信息保護法》同一個條文當(dāng)中，具體到刑事司法領(lǐng)域，其適用情形仍需根據(jù)刑事訴訟法律規(guī)范的具體規(guī)定予以差異化對待，不能籠統(tǒng)地認(rèn)為兩項權(quán)利完全處于被剝奪或者限制狀態(tài)。

再比如，第45條第3款規(guī)定的可攜權(quán)、第50條第2款規(guī)定的訴訟救濟權(quán)，上述兩款規(guī)定的信息權(quán)益盡管文本自身并未規(guī)定相應(yīng)的例外，但從文義解讀的角度來看，顯然無法適用于刑事執(zhí)法、司法領(lǐng)域?？蓴y權(quán)的適用對象根據(jù)《個人信息保護法》第45條的規(guī)定僅適用于網(wǎng)信領(lǐng)域的攜號轉(zhuǎn)網(wǎng)等典型場景，刑事司法行為的不可訴性決定了

在現(xiàn)有司法體制下公民個人無法因個人信息權(quán)益受到干預(yù)而向人民法院提起訴訟，只能根據(jù)《個人信息保護法》第50條第1款規(guī)定通過權(quán)利投訴處理機制獲得部分救濟。

《個人信息保護法》第46條至第47條規(guī)定的更正、補充、刪除權(quán)盡管從文本上并未有相關(guān)例外表述，但從法律適用的具體實踐來看，上述信息權(quán)益也必然受到相應(yīng)的限制。更正、補充、刪除權(quán)利的行使前提系知情權(quán)、查閱權(quán)，當(dāng)這些前置性權(quán)利受到剝奪或者嚴(yán)重限制時，要求更正、補充、刪除的權(quán)利缺乏權(quán)利行使的基礎(chǔ)。對于刪除權(quán)，《個人信息保護法》第47條第2款規(guī)定，“法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術(shù)上難以實現(xiàn)的”，個人信息處理者可以不予刪除，而僅僅應(yīng)當(dāng)停止除儲存和采取必要的安全保護措施之外的處理。該款規(guī)定映射至刑事司法程序中，基于前文對訴訟卷宗及信息的保存期限之分析，加之目前偵查實踐中并無周到的信息保存、識別及銷毀能力等相關(guān)制度安排，刪除權(quán)的行使基本上會落腳至該條第2款規(guī)定的此種例外情形下，即無法刪除但限制刑事執(zhí)法、司法機關(guān)的進一步處理與使用。

（二）刑事執(zhí)法、司法機關(guān)的四項合規(guī)義務(wù)

憲法學(xué)界認(rèn)為，個人信息保護的憲法基礎(chǔ)是國家所負(fù)有的保護義務(wù)，個人信息國家保護義務(wù)對應(yīng)著“個人信息受保護權(quán)”這一基本權(quán)利，“個人信息受保護權(quán)”通過強調(diào)國家保護義務(wù)及其落實更有利于個人信息保護的目標(biāo)實現(xiàn)，因為面對數(shù)據(jù)平臺和國家機關(guān)所擁有的“數(shù)據(jù)權(quán)力”，通過私法路徑和方式，很難為個人信息提供充分、全面和有效的保護。

參見王錫鋅：《個人信息國家保護義務(wù)及展開》，載《中國法學(xué)》2021年第1期，第146頁。《個人信息保護法》在規(guī)定“個人在個人信息處理活動中的權(quán)利”章后，用更多的條文著墨于“個人信息處理者的義務(wù)”，專章規(guī)定了包括國家機關(guān)在內(nèi)的個人信息處理者的義務(wù)。不同于權(quán)利章在刑事司法領(lǐng)域所呈現(xiàn)的普遍減損狀態(tài)，國家機關(guān)處理個人信息的義務(wù)除個別條款無法適用之外

比如《個人信息保護法》第58條僅適用于提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶量巨大、義務(wù)類型復(fù)雜的個人信息處理者，顯然該條的適用對象無法包括刑事執(zhí)法、司法機關(guān)。，義務(wù)狀態(tài)的實施具有普遍性，從這個意義上講，義務(wù)章的規(guī)定為刑事執(zhí)法、司法機關(guān)處理公民個人信息設(shè)置了更多、更細的規(guī)范要求。

《個人信息保護法》規(guī)定的個人信息處理者的義務(wù)概括起來主要有四項：首先，第51條規(guī)定的個人信息安全制度，通過落實該條規(guī)定的具體義務(wù)，即內(nèi)部合規(guī)建設(shè)，分類管理，采取加密、去標(biāo)識化等安全技術(shù)措施，操作權(quán)限的制度安排及實施，安全事件應(yīng)急預(yù)案等制度確保個人信息處理中的安全性，防止未經(jīng)授權(quán)的訪問及個人信息的泄露、篡改、丟失。其次，第52條要求建立個人信息保護制度，即個人信息處理者應(yīng)當(dāng)指定個人信息保護負(fù)責(zé)人，負(fù)責(zé)對個人信息處理活動以及采取的保護措施等進行監(jiān)督。再次，

第54條要求個人信息處理者應(yīng)當(dāng)建立定期合規(guī)審計，對其處理個人信息遵守法律、行政法規(guī)的情況進行審計。最后，第55條至第56條要求個人信息處理者還應(yīng)當(dāng)建立個人信息保護影響評估制度，在進行敏感個人信息處理、自動化決策、委托處理個人信息、向境外提供個人信息等對個人權(quán)益有重大影響的個人信息處理活動前，應(yīng)當(dāng)進行個人信息保護影響評估并加以記錄?！秱€人信息保護法》明確列明了評估的內(nèi)容，包括個人信息處理目的；處理方式是否合法、正當(dāng)、必要；對個人權(quán)益的影響及安全風(fēng)險；所采取的保護措施是否合法、有效并與風(fēng)險相適應(yīng)。

上述四項信息保護制度或者說安全處理義務(wù)體現(xiàn)了全球范圍內(nèi)個人信息治理過程中追求公平信息實踐的最新成果，即對信息控制者施加了更多的風(fēng)險防范與治理義務(wù)。

參見丁曉東：《個人信息保護原理與實踐》，法律出版社2021年版，第44頁。作為《個人信息保護法》的制度起源是公平信息實踐，該理論提出后對美國、歐盟與國際組織的個人信息保護或者信息隱私法產(chǎn)生了深遠的影響，這些國家和地區(qū)的法律或者明確接受公平信息實踐，或者在其他法律中體現(xiàn)公平信息實踐的各項原則。

參見丁曉東：《個人信息保護原理與實踐》，法律出版社2021年版，第31頁、第35頁。不同版本的公平信息實踐相同之處在于對個體進行信息賦權(quán)和對個人信息的控制者（信息收集者和處理者）施加責(zé)任，不同之處在于對信息主體的賦權(quán)程度不同，對信息控制者施加的責(zé)任不同。參見丁曉東：《個人信息保護原理與實踐》，法律出版社2021年版，第42頁。在大數(shù)據(jù)時代到來后，數(shù)據(jù)本身的流通需求是信息社會的本質(zhì)要求，公平信息實踐中“公平”愈發(fā)體現(xiàn)為前端的預(yù)防損害與風(fēng)險，而非后端的數(shù)據(jù)治理與追責(zé)。《個人信息保護法》第51條作為本章的一般性條款鮮明地體現(xiàn)了“基于風(fēng)險的進路”的治理方式，這種進路擯棄了“一刀切”的個人信息保護，轉(zhuǎn)而采取動態(tài)的、多層次的、可擴展的保護制度。

參見張新寶主編：《〈中華人民共和國個人信息保護法〉釋義》，人民出版社2021年版，第410-411頁。

風(fēng)險預(yù)防的理念及其指引下建構(gòu)的個人信息處理者義務(wù)歸納了各國信息處理實踐中行之有效的各類專業(yè)制度，要求個人信息處理者更多地通過事先合規(guī)建設(shè)、事中風(fēng)險評估及防范來實現(xiàn)個人信息權(quán)益的實質(zhì)保護。這些信息數(shù)據(jù)領(lǐng)域的專業(yè)制度對于傳統(tǒng)刑事執(zhí)法、司法領(lǐng)域而言顯得較為陌生，不僅法律制度上從未涉及，司法實踐中也缺乏相應(yīng)探索。在這種背景下，刑事執(zhí)法、司法機關(guān)適用《個人信息保護法》履行個人信息處理者的義務(wù)勢必會面臨制度新建、行為重建的復(fù)雜過程。

從司法現(xiàn)狀來看，比照《個人信息保護法》的義務(wù)規(guī)定，刑事執(zhí)法、司法領(lǐng)域內(nèi)個人信息保護合規(guī)制度與風(fēng)險防范機制存在明顯差距：一方面，缺乏專門針對個人信息保護方面的內(nèi)部管理制度與操作規(guī)程，已有的信息管理制度設(shè)置初衷是案件保密、偵查需要或者信息安全，因此盡管存在著一定的內(nèi)部管理制度和操作規(guī)程，也設(shè)置了案件管理系統(tǒng)中的操作權(quán)限，有相應(yīng)的加密要求，基于數(shù)據(jù)安全、網(wǎng)絡(luò)安全的要求，對于個人信息定期進行安全教育與培訓(xùn)、安全事件應(yīng)急預(yù)案等要求有所涉及

《網(wǎng)絡(luò)安全法》第21條、《數(shù)據(jù)安全法》第27條對于刑事執(zhí)法、司法機關(guān)等國家機關(guān)維護信息數(shù)據(jù)安全附加了類似于《個人信息保護法》第51條的相關(guān)義務(wù)，此外，《公安機關(guān)公民個人信息安全管理規(guī)定》以及《信息安全技術(shù)個人信息安全規(guī)范》第10條等國家標(biāo)準(zhǔn)，公安部網(wǎng)絡(luò)安全保衛(wèi)局、北京網(wǎng)絡(luò)行業(yè)協(xié)會、公安部第三研究所聯(lián)合發(fā)布的《互聯(lián)網(wǎng)個人信息安全保護指南》等行業(yè)準(zhǔn)則也從個人信息安全的角度作出了更具可操作性的制度安排。，但側(cè)重于個人信息保護面向的制度建設(shè)則非常匱乏，典型例證為對于個人信息分類管理、去標(biāo)識化等風(fēng)險防范機制在刑事執(zhí)法、司法領(lǐng)域罕有涉及。比如，關(guān)于個人信息分類管理問題，法律規(guī)范層面僅在《公安機關(guān)辦理刑事案件程序規(guī)定》第264條通過規(guī)定技術(shù)偵查措施的種類間接涉及信息的分類，將監(jiān)控到的個人信息分為記錄類、行蹤類、通信類和場所類共四種。此種劃分的依據(jù)主要是基于傳統(tǒng)偵查行為干預(yù)權(quán)利的載體與對象，伴隨著信息社會的到來，傳統(tǒng)的分類方式已經(jīng)很難適應(yīng)個人信息的種類多元、存儲形式多樣、載體多門類等新變化。學(xué)界最近的觀點將刑事司法中的數(shù)據(jù)分類為政府?dāng)?shù)據(jù)與個人數(shù)據(jù)，其中政府?dāng)?shù)據(jù)又可細分為公安數(shù)據(jù)、檢察數(shù)據(jù)、審判數(shù)據(jù)和其他數(shù)據(jù)，而根據(jù)獲取數(shù)據(jù)的方式不同，政府?dāng)?shù)據(jù)也可細分為秘密取得的數(shù)據(jù)、公開取得的數(shù)據(jù)和經(jīng)同意取得的數(shù)據(jù)；個人數(shù)據(jù)可以細分為身份數(shù)據(jù)和行為數(shù)據(jù)。

就去標(biāo)識化這一安全措施來看，偵查程序與審判程序這兩大程序階段上的處理策略存在顯著差異：對于偵查程序而言，識別特定個人系主要偵查目標(biāo)與任務(wù)，所有個人信息力圖精準(zhǔn)識別到特定個人，去標(biāo)識化的要求很難踐行；對于審判程序而言，人民法院在推行司法公開的過程中已經(jīng)開始采取去標(biāo)識化的相關(guān)機制防范個人信息安全風(fēng)險，例如，根據(jù)《最高人民法院關(guān)于人民法院在互聯(lián)網(wǎng)公布裁判文書的規(guī)定》（法釋〔2016〕19號）第8條、第10條、第11條的規(guī)定，人民法院公布裁判文書時對于被告人之外的其他訴訟參與人、未成年人應(yīng)當(dāng)隱名處理，不作隱名處理的，對于自然人的家庭住址、通信方式、身份證、銀行賬號等個人信息應(yīng)當(dāng)予以刪除，僅保留姓名、出生日期、性別和所屬縣、區(qū)。通過這種去標(biāo)識化的處理方式，可以有效平衡司法公開與保障公民個人信息安全的不同法律價值。

從動態(tài)安全與風(fēng)險預(yù)防的視角觀之，《個人信息保護法》要求的專門負(fù)責(zé)人制度、定期合規(guī)審計、事先影響評估以及事后補救措施等相應(yīng)制度在刑事執(zhí)法、司法系統(tǒng)中基本處于空白狀態(tài)，主要原因在于長期以來基于追訴犯罪的定勢思維，執(zhí)法、司法機關(guān)存在明顯的重信息使用、輕信息保護的傾向，對于保護個人信息的各類預(yù)防機制更是難以置于制度設(shè)計的核心環(huán)節(jié)予以考慮?！秱€人信息保護法》這些剛性預(yù)防機制的設(shè)立對于刑事執(zhí)法、司法機關(guān)處理個人信息提出了明確的努力方向，包括指定各執(zhí)法、司法機關(guān)內(nèi)部的個人信息保護負(fù)責(zé)人，定期進行自我內(nèi)部合規(guī)審計，建立事前影響評估機制，確立事后補救機制等。事實上，先于《個人信息保護法》生效實施的《網(wǎng)絡(luò)安全法》已經(jīng)在其第21條、第42條、第53條等條文中確立了安全面向的類似風(fēng)險防范機制，刑事執(zhí)法、司法機關(guān)在落實《網(wǎng)絡(luò)安全法》的過程中也初步確立了相應(yīng)的工作機制，《個人信息保護法》只是從個人信息保護的特定視角提出了更為細致的制度建設(shè)要求，刑事執(zhí)法、司法機關(guān)可以在網(wǎng)絡(luò)安全工作機制的基礎(chǔ)上附加個人信息保護的風(fēng)險防范機制即可滿足《個人信息保護法》的相關(guān)要求。

五、結(jié)語

由于《個人信息保護法》中對刑事執(zhí)法、司法機關(guān)處理公民個人信息僅作出了原則性、宏觀性規(guī)定，在刑事司法領(lǐng)域落實《個人信息保護法》的法律精神，需要在《刑事訴訟法》及其配套解釋中健全一系列支撐配套措施，簡而言之，

這一工作至少應(yīng)當(dāng)包括如下幾項內(nèi)容。

其一，擺脫個人信息保護僅限于技術(shù)偵查的窠臼，在更為全面的場景中細致規(guī)范刑事執(zhí)法、司法機關(guān)處理個人信息的各類活動。

將數(shù)據(jù)或者個人信息的處理行為單獨進行規(guī)制，重點在于根據(jù)《個人信息保護法》的要求，一方面進行合法性授權(quán)，另一方面重點規(guī)制適用程序。相關(guān)新增立法或者修法應(yīng)當(dāng)體現(xiàn)法律的明確性要求，特別應(yīng)避免目前立法中抽象概括條款過多的弊端。

《中華人民共和國數(shù)據(jù)安全法》第35條、《中華人民共和國網(wǎng)絡(luò)安全法》第28條、《中華人民共和國反恐怖主義法》第45條、《中華人民共和國國家安全法》第53條、《中華人民共和國反間諜法》第12條等法律在授權(quán)公安機關(guān)收集信息時都是采用一個寬泛、簡單的條文進行概括授權(quán)，不符合立法明確性的基本要求。在授權(quán)范圍上，既要關(guān)注收集、調(diào)取信息，也要關(guān)注通過共享數(shù)據(jù)庫的方式間接收集公民個人信息的處理行為。在適用程序上，應(yīng)當(dāng)設(shè)置立案后的時間節(jié)點要求和“初步犯罪嫌疑”的事實啟動條件，在審批程序上比照搜查扣押等普通偵查手段展開即可。

其二，基于公平信息實踐的規(guī)制原則，在信息權(quán)益保護與信息處理者義務(wù)之間側(cè)重于后者合規(guī)義務(wù)的附加，即主要通過設(shè)置信息處理者風(fēng)險預(yù)防義務(wù)與責(zé)任，健全相應(yīng)的事先安全義務(wù)、事中動態(tài)管理責(zé)任、事后及時補救機制保護公民個人信息權(quán)益。

其三，應(yīng)當(dāng)建立有效的監(jiān)管與救濟機制，公安部作為國務(wù)院組成部門在刑事執(zhí)法職責(zé)內(nèi)負(fù)責(zé)個人信息保護與監(jiān)管工作，人民檢察院、人民法院由于缺乏《個人信息保護法》之明確授權(quán)，刑事司法中的個人信息保護監(jiān)管只能委托網(wǎng)信部門統(tǒng)籌與實施，這顯然是立法者對司法領(lǐng)域個人信息保護考慮不周的另一例證。法定的權(quán)利救濟機制完全應(yīng)當(dāng)在刑事執(zhí)法、司法領(lǐng)域中予以貫徹落實，投訴處理機制可以參照《刑事訴訟法》第49條、第117條所規(guī)定的權(quán)利投訴處理模式進行，檢察機關(guān)的公益訴訟權(quán)充分行使，符合其法律監(jiān)督者的機關(guān)定位，進一步發(fā)展可以成為刑事執(zhí)法、司法系統(tǒng)中的信息保護主責(zé)機關(guān)，統(tǒng)籌本領(lǐng)域內(nèi)個人信息保護與監(jiān)管職責(zé)。

Studies on Relevant Issues Concerning the Application of Personal Information Protection Law in Criminal Proceeding

CHENG Lei

（The Research Center for Criminal Justice of Remin University of China， Beijing 100872， China）

Abstract：

The promulgation and implementation of the Personal Information Protection Law will integrate criminal proceedings into the legal and standard system of personal information protection， and it is necessary to carefully study how to apply the relevant provisions of the Personal Information Protection Law in criminal proceedings. The core rule in personal information protectionthe rule of “notificationconsent”is basically invalid in criminal proceedings. The consent rule does not need to be applicable. The notification rule sets broad exceptions， and the boundaries and application of exceptions should be clear in the law norms of criminal procedure law. In addition， the time limit for personal information preservation， relevant rules for entrusting personal information processing， automatic decisions and sensitive personal information processing， which should be further detailed in criminal proceedings. The rights and interests of personal information are derogated but cannot be deprived in criminal proceedings， so efforts should be made to strengthen the protection obligations of criminal law enforcement and judicial organs and establish several supporting systems of the Personal Information Protection Law applicable to the field of criminal justice： the scope of regulation should include covert surveillance as well as other evidence collection practice; strengthening data compliance programs and design prosecutors as information protection officer.

Key words： ?personal information; Personal Information Protection Law; criminal proceeding; notificationconsent rule

本文責(zé)任編輯：周玉芹

文章編號：1001-2397（2023）01-0090-13

收稿日期：2022-11-06

基金項目：國家社科基金重大項目“健全支持民營經(jīng)濟發(fā)展的刑事法治研究”（20ZD198）

作者簡介：程雷（1978），男，河北廊坊人，中國人民大學(xué)刑事法律科學(xué)研究中心教授，博士生導(dǎo)師，法學(xué)博士。

①參見龍衛(wèi)球：《〈個人信息保護法〉的基本法定位與保護功能》，載《現(xiàn)代法學(xué)》2021年第5期，第85頁。

②參見周漢華：《平行還是交叉 個人信息保護與隱私權(quán)的關(guān)系》，載《中外法學(xué)》2021年第5期，第1177頁。