王仲羊

（西南政法大學(xué)智能司法研究院 重慶 401120；西南政法大學(xué)刑事偵查學(xué)院 重慶 401120）

1 引言

長期以來，偵查活動的強制性、職權(quán)性與個人信息保護的基本理念存在緊張關(guān)系，導(dǎo)致偵查中個人信息保護效果不彰。在數(shù)智化時代，加強刑事偵查中的個人信息保護，既是制衡國家機關(guān)肆意處理個人信息的法治選項，也為程序規(guī)范的自我完善提供了契機。然而，在規(guī)范層面，先前立法未能正視刑事偵查與民事私法、行政執(zhí)法的場景差異，導(dǎo)致偵查規(guī)范中缺乏個人信息保護的專門性規(guī)定，不利于形塑完整的個人信息保護法治體系。在理論層面，學(xué)界研究主要面臨兩大問題：在研究主題方面，學(xué)者往往將偵查中的個人信息保護作為附帶性命題，專門性研究相對不足。例如，學(xué)界在分析大數(shù)據(jù)偵查[1]、電子數(shù)據(jù)調(diào)取[2]、網(wǎng)絡(luò)在線提取[3]等具體問題時，或?qū)€人信息保護的制度缺位歸結(jié)為現(xiàn)象成因，或?qū)€人信息保護的程序建構(gòu)作為對策方案。但是，個人信息保護并非此類論題的主旨，如此會弱化偵查中個人信息保護的體系性建構(gòu)。在研究方法方面，在《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）出臺之前，偵查程序中個人信息保護的規(guī)范依據(jù)嚴重缺位，致使法教義學(xué)、法解釋學(xué)的研究路徑難以為繼。由于缺乏本土化的研究素材，既有研究或是局限于對偵查中個人信息保護問題的制度性描述[4]，或是訴諸比較研究的方法，以域外的立法設(shè)計或者權(quán)利理念為參照[5]，存在南橘北枳的隱憂。

《個人信息保護法》的出臺，為分析偵查中的個人信息保護問題提供了全新的時代語境與規(guī)范依據(jù)。在研究主題上，《個人信息保護法》有利于加強刑事偵查中個人信息保護的專門性與獨立性，促進兩大話語體系之間的交流與融合。在研究方法上，《個人信息保護法》能夠為本土化研究提供規(guī)范指引，開辟出偵查程序中個人信息保護的中國視角。有鑒于此，本文以《個人信息保護法》作為切入點，討論刑事偵查與個人信息保護的邏輯關(guān)系，增加數(shù)字時代刑事正當程序的理論供給。

2 偵查中個人信息保護的制度短板

在《個人信息保護法》通過之前，偵查活動與個人信息保護之間缺乏必要的理論交流與制度共振，致使刑事偵查中個人信息保護的獨立性、專門性、權(quán)利性明顯不足。

2.1 刑事偵查中個人信息保護的獨立性缺失

首先，刑事偵查中缺乏獨立的個人信息概念。偵查程序未將個人信息作為獨立的保護對象，而是通過保護陰私、個人隱私、國家秘密、商業(yè)秘密與電子數(shù)據(jù)等客體的方式附帶實現(xiàn)保護個人信息的效果。《中華人民共和國刑事訴訟法》（以下簡稱《刑事訴訟法》）規(guī)定涉及陰私的案件不公開審理，即通過不公開陰私的方式附帶保護個人信息。但是，“陰私”通常指負面信息，特別是與“性”有關(guān)的信息，保護范圍存在明顯的局限性[6]；1996年《刑事訴訟法》將陰私保護修改為隱私保護。然而，隱私側(cè)重秘密性與私人性，與側(cè)重識別性與相關(guān)性的個人信息的客體范圍并不一致；2012年《刑事訴訟法》將個人隱私與國家秘密、商業(yè)秘密并列，擴大了附帶保護個人信息的范圍。但是，國家秘密、商業(yè)秘密與個人信息的定義存在明顯出入；2016年《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》（以下簡稱《電子數(shù)據(jù)規(guī)定》）列舉了電子數(shù)據(jù)的四大種類。雖然電子數(shù)據(jù)與個人信息存在諸多重合之處，但個人信息還包括未形成電子形式、存在于紙質(zhì)媒介或者其他媒介中的信息。數(shù)據(jù)立法持續(xù)推進，偵查程序卻始終未能確立個人信息的獨立客體地位，而是將之包裹在其他對象之中，作為一種依附性存在。這既造成了保護范圍的局限性，也致使現(xiàn)行規(guī)制個人隱私、電子數(shù)據(jù)的制度難以直接套用于個人信息。

其次，刑事偵查中缺乏獨立的個人信息處理概念。辦案人員對于個人信息采取的各種操作可以統(tǒng)稱為個人信息處理行為。個人信息處理的概念要求相關(guān)法律關(guān)注個人信息處理的全過程，防范各類信息處理行為中的制度風(fēng)險。然而，在我國偵查活動中，卻存在“收集中心主義”的現(xiàn)象，即相關(guān)程序僅規(guī)制前端的個人信息收集行為，而忽略了后續(xù)的個人信息分析、存儲等活動。例如，《刑事訴訟法》在偵查一章中通過明確的實施細則規(guī)制訊問、搜查、技術(shù)偵查等取證行為，卻對數(shù)據(jù)比對、查詢和挖掘等個人信息分析行為只字未提。再如，個人信息存儲活動一直是收集活動的附帶結(jié)果與后續(xù)狀態(tài)，而并非獨立的程序環(huán)節(jié)。只要前端的個人信息收集行為具備正當性，后續(xù)的存儲行為也會隨之具有合法性。盡管存儲個人信息對于刑事司法機關(guān)的內(nèi)部考核與外部辦案具有重要意義，但卻始終被視為技術(shù)安全的范疇，并未上升至權(quán)利保障的高度?！笆占行闹髁x”的傾向致使訴訟活動的規(guī)范性由個人信息收集階段自動延伸至個人信息分析、存儲等環(huán)節(jié)，造成了規(guī)范評價的斷層，不利于構(gòu)建完整的個人信息處理概念。

最后，刑事偵查中缺乏獨立的個人信息保護理念。在個體層面，個人信息保護制度重在保障公民對于個人信息的自主控制?！氨Ｕ蠑?shù)據(jù)主體對個人數(shù)據(jù)的處理事務(wù)的自主、自治、自決，應(yīng)是個人數(shù)據(jù)保護的應(yīng)有之義?！盵7]然而，個人信息自主控制并未成為刑事訴訟價值序列的組成部分，在刑事偵查中追求信息自決利益顯得十分奢侈、并不必要。相反，在執(zhí)法活動中強調(diào)個人信息的自主控制可能會不當削弱辦案人員的執(zhí)法能力，干擾正常的取證進程[8]。在整體層面，塑造個人信息有序共享的法治格局是個人信息保護制度的題中應(yīng)有之意。隨著偵查模式從傳統(tǒng)偵查、信息化偵查躍遷至大數(shù)據(jù)偵查、智慧偵查，個人信息處理的程度不斷加深。然而，個人信息保護的理念并未隨之跟進，致使個人信息保護與處理之間的關(guān)系顯著失衡。在刑事偵查中，個人信息保護理念并未與打擊犯罪、保障人權(quán)的基本任務(wù)實現(xiàn)深度融合，辦案人員甚至缺乏基本的保護個人信息的意識。

2.2 刑事偵查中個人信息保護的專門性缺失

一方面，個人信息保護立法并未將偵查活動作為專門的規(guī)制領(lǐng)域。縱觀世界各國的立法狀況，刑事訴訟領(lǐng)域的個人信息保護主要存在三種立法模式。第一種模式為概括性排除模式，即將刑事訴訟作為個人信息保護的例外，排除在立法范圍之外。例如，GDPR第2條明確規(guī)定，本條例不適用于主管當局以預(yù)防、調(diào)查、偵查或起訴刑事犯罪，或者執(zhí)行刑事處罰為目的的數(shù)據(jù)處理活動。印度2019年《一般數(shù)據(jù)隱私法》第36條（a）款也將刑事訴訟中的數(shù)據(jù)處理行為部分排除在規(guī)范之外；第二種模式為專門性規(guī)定模式，即在立法中以專門形式詳細規(guī)定刑事訴訟中個人信息保護的相關(guān)條款。例如，歐盟《2016/680指令》對于GDPR的相關(guān)規(guī)則進行調(diào)整改造，為刑事司法中的個人信息保護提供規(guī)范依據(jù)。英國2018年《數(shù)據(jù)保護法》和法國2018年《個人數(shù)據(jù)保護法》為了貫徹歐盟《2016/680指令》的要求，也均對刑事訴訟領(lǐng)域的個人信息保護進行專章規(guī)定；第三種模式為概括性規(guī)定模式，即在立法中總體區(qū)分私人主體與國家機關(guān)處理個人信息的不同情形，并由后者籠統(tǒng)規(guī)定刑事司法中的個人信息保護問題。

在《個人信息保護法》出臺之前，我國部分規(guī)范性文件采取概括性排除模式。例如，《信息安全技術(shù) 個人信息安全規(guī)范》第5.6條將“與刑事偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的”作為征求授權(quán)同意的例外?！痘ヂ?lián)網(wǎng)個人信息安全保護指南》第6.7條也存在類似規(guī)定。與此不同，學(xué)界關(guān)注到刑事偵查中個人信息保護的特殊性。例如，齊愛民在專家建議稿中采取概括性規(guī)定模式，規(guī)制了國家機關(guān)對個人信息的收集、處理和利用，并將刑事偵查作為個人信息比對的情形之一[9]。然而，無論是規(guī)范性文件，還是學(xué)界的立法建議，均未將刑事偵查中的個人信息處理行為作為獨立的規(guī)制對象，從而致使立法的專門性有所不足。個人信息保護的基本原則與具體規(guī)則難以輻射至刑事偵查領(lǐng)域，更沒有結(jié)合偵查活動的特殊場景進行調(diào)整改造。

另一方面，我國刑事訴訟法中缺乏個人信息保護的專門性規(guī)定。盡管個人信息穿插于線索、材料、證據(jù)、卷宗之中，個人信息處理活動也貫穿了刑事訴訟的全流程，但保護個人信息并非偵查程序的目的，而只是間接發(fā)揮的制度功能。例如，五種強制措施的層級化設(shè)置，確實在客觀上發(fā)揮了防止概括性處理個人信息的附帶性效果，但保護個人信息并非該程序的主觀愿景?！缎淌略V訟法》僅在第64條中唯一一次使用“個人信息”的措辭，但其目的在于保障相關(guān)人員的安全，而非加強個人信息保護。與專門的個人信息保護制度不同，偵查程序以平衡打擊犯罪與保障人權(quán)作為制度預(yù)設(shè)，并不積極主動地保護公民對于個人信息的自主決定。專門性規(guī)定的缺位導(dǎo)致刑事偵查中未能建立個人信息保護的常態(tài)化機制。例如，《刑事訴訟法》第152條規(guī)定必須及時銷毀技術(shù)偵查措施獲取的與案件無關(guān)的材料。然而，該條款的規(guī)制對象僅限于技術(shù)偵查活動和與案件無關(guān)的材料，而并未規(guī)制其他存儲個人信息的訴訟活動，以及與案件有關(guān)的證據(jù)材料。申言之，刪除個人信息是例外情形下的特殊規(guī)定，而非常態(tài)化的運行機制。

2.3 刑事偵查中個人信息保護的權(quán)利性缺失

首先，偵查程序主要以保密義務(wù)條款與技術(shù)保真條款保護個人信息，弱化了個人信息的權(quán)利屬性。例如，《刑事訴訟法》第54條規(guī)定：“對涉及國家秘密、商業(yè)秘密、個人隱私的證據(jù)，應(yīng)當保密?！贝送?，第286條“應(yīng)當對相關(guān)犯罪記錄封存”也是保密義務(wù)的體現(xiàn)。然而，上述條款主要強調(diào)國家機關(guān)的個人信息保密義務(wù)，而非賦予當事人個人信息權(quán)利。如果辦案人員怠于履行保密義務(wù)，信息主體難以獲得自行開啟權(quán)利救濟的途徑，致使權(quán)利保障的效果不當弱化。此外，以鑒真規(guī)則為代表的技術(shù)保真條款架空了個人信息保護的實質(zhì)。《電子數(shù)據(jù)規(guī)定》與《公安機關(guān)辦理刑事案件電子數(shù)據(jù)取證規(guī)則》（以下簡稱《電子數(shù)據(jù)取證規(guī)則》）均從實體正義的角度出發(fā)，在技術(shù)層面對電子證據(jù)的真實性、相關(guān)性、同一性進行了詳盡的規(guī)則建構(gòu)，卻忽略了電子取證的程序保障與權(quán)利屬性。

其次，刑事偵查中隱私與個人信息不當混淆，致使個人信息的權(quán)利供給不足。在偵查程序中，隱私保護條款成為間接保護個人信息的權(quán)利依據(jù)。例如，《刑事訴訟法》第152條規(guī)定：“偵查人員對采取技術(shù)偵查措施過程中知悉的國家秘密、商業(yè)秘密和個人隱私，應(yīng)當保密?！痹谌狈χ苯有詡€人信息保護規(guī)范的背景下，隱私保護條款在一定程度上確實達到了保護個人信息的效果。但是，即便隱私保護與個人信息保護存在交叉，但卻仍然是兩套不同的規(guī)則設(shè)計。因此，完全以隱私保護條款發(fā)揮保護個人信息的功能，不僅沒有正確認識二者之間的邏輯關(guān)系，也不當阻礙了獨立的個人信息權(quán)利的生成空間。

最后，偵查程序中的個人信息保護多由國家機關(guān)主導(dǎo)推進，公民積極行權(quán)的空間相對不足。例如，《刑事訴訟法》第152條規(guī)定，對技術(shù)偵查措施獲取的與案件無關(guān)的材料“必須及時銷毀”。然而，銷毀程序由辦案人員單方面執(zhí)行，信息主體不僅無法監(jiān)督銷毀流程，也缺乏積極啟動銷毀程序的權(quán)利，甚至銷毀的結(jié)果也無須向當事人告知，剝奪了當事人的知情權(quán)與刪除權(quán)。

3 偵查與個人信息保護的交流融合

《個人信息保護法》的頒布搭建了刑事偵查與個人信息保護之間溝通融合的平臺，改變了偵查程序中個人信息保護獨立性不足、專門性不足、權(quán)利性不足的局面。

3.1 確立偵查程序中個人信息保護的獨立地位

首先，《個人信息保護法》確立了刑事偵查中獨立的個人信息概念?！秱€人信息保護法》第4條規(guī)定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！痹谛淌聜刹橹校R別性與相關(guān)性成為界定個人信息的雙重標準。其中，識別性是指個人信息與信息主體之間被直接識別或者間接識別的可能性[10]。以識別性作為個人信息的界定標準，采用了從信息到個人的路徑，即由信息本身的特殊性直接回溯到特定個人[11]。相關(guān)性強調(diào)凡是與個人相關(guān)的一切事項均為個人信息[12]。與識別性不同，相關(guān)性采用了從個人到信息的路徑，即已知既定個人，進而去知曉“關(guān)于”該人的其他信息。個人信息概念的確立，有利于改變偵查程序中以保護陰私、個人隱私、國家秘密、商業(yè)秘密、電子數(shù)據(jù)等客體的方式間接保護個人信息的做法。刑事偵查應(yīng)當將個人信息作為直接保護的對象，以識別性和相關(guān)性判斷個人信息的范圍，為后續(xù)個人信息保護的制度建構(gòu)掃清概念障礙。

其次，《個人信息保護法》確立了刑事偵查中獨立的個人信息處理概念?！秱€人信息保護法》第4條規(guī)定：“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。”個人信息處理的概念不僅關(guān)注了前端的個人信息收集行為，也規(guī)制了后續(xù)存儲、使用等環(huán)節(jié)中的數(shù)據(jù)風(fēng)險。實質(zhì)上，分析、存儲等作為個人信息處理的具體環(huán)節(jié)，其行為評價具有獨立性，而無須依賴于收集行為。引入完整的個人信息處理概念有利于破除偵查程序中“收集中心主義”的弊端，規(guī)范各類處理個人信息的偵查活動。

最后，《個人信息保護法》確立了刑事偵查中獨立的個人信息保護理念?！秱€人信息保護法》第1條規(guī)定：“為了保護個人信息權(quán)益，規(guī)范個人信息處理活動，促進個人信息合理利用，根據(jù)憲法，制定本法?！边@種復(fù)合性立法目的與刑事偵查中打擊犯罪、保障人權(quán)的基本任務(wù)存在共通之處。一方面，“保護個人信息權(quán)益”屬于保障人權(quán)在數(shù)字時代的全新表現(xiàn)形式，《個人信息保護法》將保護個人信息權(quán)益作為首要的立法目的，體現(xiàn)出對于信息自決利益的規(guī)范關(guān)照，有利于推動刑事偵查中權(quán)利話語的縱深發(fā)展。另一方面，“規(guī)范個人信息處理活動，促進個人信息合理利用”反映出偵查機關(guān)在大數(shù)據(jù)時代利用個人信息以強化社會治理的制度需求，但應(yīng)當注重個人信息使用的價值理性與工具理性。

3.2 規(guī)制偵查機關(guān)的個人信息處理行為

首先，《個人信息保護法》將偵查機關(guān)的個人信息處理活動作為規(guī)制對象。坐擁海量數(shù)據(jù)、推行全景監(jiān)控、執(zhí)掌數(shù)據(jù)權(quán)力的國家機關(guān)日漸成為侵犯公民個人信息的主要來源，需要相關(guān)規(guī)范予以規(guī)制。對此，《個人信息保護法》在第2章第3節(jié)專門設(shè)置了國家機關(guān)處理個人信息的特別規(guī)定。第33條規(guī)定：“國家機關(guān)處理個人信息的活動，適用本法?！贝颂幍摹皣覚C關(guān)”理應(yīng)涵蓋負責(zé)刑事偵查的國家機關(guān)。第34條規(guī)定：“國家機關(guān)為履行法定職責(zé)處理個人信息，應(yīng)當依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進行，不得超出履行法定職責(zé)所必需的范圍和限度?！贝颂幍摹胺?、行政法規(guī)”應(yīng)當包括刑事訴訟法及其規(guī)范性解釋?！秱€人信息保護法》改變了之前法律概括性排除的立法模式，并未將偵查活動作為個人信息保護的例外，而是明確《個人信息保護法》能夠約束偵查機關(guān)。并且，《個人信息保護法》的部分制度體現(xiàn)出對于偵查活動的特殊關(guān)照。例如，第35條規(guī)定：“國家機關(guān)為履行法定職責(zé)處理個人信息，應(yīng)當依照本法規(guī)定履行告知義務(wù)；有本法第十八條第一款規(guī)定的情形，或者告知將妨礙國家機關(guān)履行法定職責(zé)的除外。”自此，《個人信息保護法》為個人信息保護嵌入刑事偵查提供了規(guī)范前提與具體對策，兩大話語體系之間具備了交互與融合的平臺基礎(chǔ)。

其次，《個人信息保護法》規(guī)定了偵查機關(guān)處理個人信息的合法性基礎(chǔ)。個人信息處理的合法性基礎(chǔ)是指“處理關(guān)于個人的信息所依據(jù)的正當?shù)姆衫碛伞盵13]。長期以來，知情同意一直被認為是處理個人信息的合法性基礎(chǔ)。然而，知情同意與偵查秘密原則產(chǎn)生矛盾，難以直接套用于刑事偵查領(lǐng)域。對此，除了知情同意，《個人信息保護法》第13條還規(guī)定了其他六種個人信息處理的合法性基礎(chǔ)。其中，第3款“為履行法定職責(zé)或者法定義務(wù)所必需”應(yīng)當成為偵查機關(guān)處理個人信息的法定基礎(chǔ)，這一點也得到了域外立法的印證。例如，歐盟《2016/680指令》第8條就設(shè)置了“必要性”這一項合法性基礎(chǔ)，以彰顯刑事司法活動的特殊性。歐盟《警察部門使用個人數(shù)據(jù)實用指南》第2條也突出了為警用目的處理個人數(shù)據(jù)的必要性與合比例性。此外，第1款“取得個人的同意”應(yīng)當作為偵查機關(guān)處理個人信息的意定基礎(chǔ)。第4款、第6款、第7款的相關(guān)規(guī)定可以作為合法性基礎(chǔ)的必要補充。確立個人信息處理的合法性基礎(chǔ)，一方面能夠解決偵查機關(guān)部分個人信息處理行為于法無據(jù)的局面，有利于健全偵查程序中的概括性授權(quán)機制。另一方面，合法性基礎(chǔ)也劃定了偵查機關(guān)處理個人信息的界線與比例。

最后，《個人信息保護法》規(guī)定了偵查機關(guān)的個人信息保護義務(wù)。國家應(yīng)當承擔(dān)的保護義務(wù)既是個人信息保護的憲法基礎(chǔ)，也是個人信息權(quán)力保護的表現(xiàn)形式[14]。對此，《個人信息保護法》規(guī)定了告知義務(wù)、安全保障義務(wù)、指定個人信息保護負責(zé)人義務(wù)、個人信息保護影響評估義務(wù)、個人信息泄露通知義務(wù)等。這些義務(wù)一體適用于私營部門與國家機關(guān)，因此，偵查機關(guān)應(yīng)當承擔(dān)起個人信息保護的國家義務(wù)。一方面，偵查機關(guān)應(yīng)當意識到自己屬于侵犯個人信息的風(fēng)險源，履行不予犯禁的消極義務(wù)。另一方面，偵查機關(guān)應(yīng)當積極發(fā)揮國家機關(guān)在個人信息保護中的角色優(yōu)勢，提供相應(yīng)的立法保障、組織保障與技術(shù)支撐。

3.3 建構(gòu)刑事偵查中的個人信息權(quán)利

首先，《個人信息保護法》保障個人信息權(quán)益，賦予個人信息基本權(quán)利的定位?；诜恋K數(shù)據(jù)共享、阻滯數(shù)據(jù)流通的擔(dān)憂，立法者并未選擇“個人信息權(quán)”的措辭，而是在第1條中使用了“個人信息權(quán)益”的術(shù)語。但是，個人信息究竟屬于權(quán)利還是權(quán)益，應(yīng)當結(jié)合立法規(guī)范的生成語境?！秱€人信息保護法》第1條前半句闡述了立法目的，后半段則在第三次修改時增加了“根據(jù)憲法，制定本法”的規(guī)定，實現(xiàn)了與憲法條文的實質(zhì)聯(lián)結(jié)。對此，全國人大常委會法工委在說明中援引《中華人民共和國憲法》（以下簡稱《憲法》）國家尊重和保障人權(quán)（第33條）、公民的人格尊嚴不受侵犯（第38條）、公民的通信自由和通信秘密受法律保護（第40條）三個條款，作為保護個人信息的憲法依據(jù)[15]?！稇椃ā返?3條屬于概括性權(quán)利條款，能夠為個人信息權(quán)利等未列舉的基本權(quán)利提供安身之所[16]。其中，“尊重”側(cè)重個人信息權(quán)利的防御功能，要求國家承擔(dān)不侵犯私人生活的消極義務(wù)，而“保障”則關(guān)注個人信息權(quán)利的客觀方面功能，要求國家積極作為以保護個人信息[17]，憲法第38條體現(xiàn)了對于個人信息等一般人格權(quán)（自我決定權(quán)）的具體保護[18]。此外，《憲法》第40條的通信自由與秘密條款體現(xiàn)出對于通信信息的特殊保護。刑事訴訟被稱作憲法的“測振儀”[19]，“憲法所確立的基本原則和基本權(quán)利又為刑事訴訟法的發(fā)展和完善提供了最終的法律基礎(chǔ)。”[20]既然憲法業(yè)已通過與《個人信息保護法》的聯(lián)結(jié)，確立了個人信息基本權(quán)利的定位，則勢必會對既有的訴訟規(guī)范產(chǎn)生指引作用。偵查程序應(yīng)當確立個人信息的權(quán)利地位，賦予當事人積極的個人信息權(quán)利，實現(xiàn)刑事訴訟權(quán)利體系的革新與拓展。

其次，《個人信息保護法》確立了獨立于隱私權(quán)的個人信息權(quán)益?！秱€人信息保護法》通篇沒有使用任何“隱私”這一規(guī)范用語，明確體現(xiàn)出區(qū)分隱私與個人信息保護的立法態(tài)度，以個人信息權(quán)益作為權(quán)利基礎(chǔ)。在刑事偵查中，個人信息保護與隱私權(quán)存在諸多差異。其一，權(quán)利客體不同。隱私權(quán)在劃定保護客體時需要遵循“隱”與“私”的邏輯內(nèi)核，前者強調(diào)不為他人所知的秘密性，后者指代與公共領(lǐng)域、事務(wù)、信息相脫離的私人性[21]。相比之下，個人信息保護以識別性與相關(guān)性作為界定客體范圍的標準，不僅涵蓋隱私信息，也包括一般信息。其二，權(quán)利內(nèi)容不同。在刑事偵查中，隱私以保密作為主要的權(quán)利內(nèi)容，只要辦案人員首次刺探了隱私信息，其中的隱私利益立即不復(fù)存在，后續(xù)也不會再度生成。個人信息保護并不強調(diào)保守秘密，而是以規(guī)制全流程的個人信息處理行為作為權(quán)利內(nèi)容[22]。其三，行權(quán)方式不同。隱私權(quán)屬于防御性權(quán)利，行權(quán)方式較為消極。相反，個人信息保護強調(diào)個體對于個人信息的積極支配與自主控制。因此，應(yīng)當改變偵查程序以保護隱私的方式間接保護個人信息的傳統(tǒng)，確立獨立的個人信息權(quán)利。

最后，《個人信息保護法》確立了“個人在個人信息處理活動中的權(quán)利”。《個人信息保護法》確立了知情權(quán)（第44條）、決定權(quán)（第44條）、查閱復(fù)制權(quán)（第45條）、更正補充權(quán)（第46條）、刪除權(quán)（第47條）等具體的個人信息權(quán)利。此外，《個人信息保護法》第24條規(guī)定了信息主體對于算法自動化決策可以提出異議、要求解釋，也帶有明顯的權(quán)利色彩。具體到偵查活動，上述具體的信息權(quán)利為實現(xiàn)個人信息自主控制的實體利益提供了程序助力，屬于保障當事人參與個人信息處理活動的手段與工具。通過賦予信息主體一系列程序性請求權(quán)，能夠保證公民在個人信息處理過程中的程序“在場”，搭建起與偵查機關(guān)理性交涉的平臺，提升數(shù)據(jù)處理的公正性與準確性。

4 個人信息保護制度在偵查中的調(diào)整改造

《個人信息保護法》作為個人信息保護的“領(lǐng)域法”，采用“一體調(diào)整”[23]的立法模式，同時規(guī)制私人主體與國家機關(guān)的個人信息處理活動。因此，雖然該法在宏觀理念與規(guī)范依據(jù)上能夠與刑事偵查交互融通，但具體的程序設(shè)計仍然需要結(jié)合偵查程序的場景特點。對此，應(yīng)當調(diào)適與改良個人信息保護的基本原則、信息類型、權(quán)利行使與監(jiān)管體制，以契合刑事程序法治的要求。

4.1 個人信息保護原則的調(diào)整改造

《個人信息保護法》確立了個人信息保護的多項原則。其中，目的限制原則、信息最小化原則與刑事偵查的制度運行存在緊張關(guān)系，應(yīng)當進行調(diào)整改造。

《個人信息保護法》第6條規(guī)定：“處理個人信息應(yīng)當具有明確、合理的目的，并應(yīng)當與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式?！边@體現(xiàn)出目的限制原則的主要內(nèi)容，要求收集個人信息應(yīng)當具有特定、清晰和正當?shù)哪康?，并且后續(xù)的處理不得與初始目的相違背[24]。然而，在刑事偵查中，存在刑事目的、一般執(zhí)法目的與非執(zhí)法目的的場景交叉，由外而內(nèi)或者由內(nèi)而外的兼容使用行為時常會突破目的限制原則的理論邊界。一方面，基于非執(zhí)法目的或者一般執(zhí)法目的收集的個人信息經(jīng)常被用于后續(xù)的刑事偵查活動。例如，公安機關(guān)不斷加強政企合作及警政合作，概括性地獲取行政執(zhí)法信息與商業(yè)信息，違背了目的限制原則的要求。另一方面，刑事司法領(lǐng)域收集的個人信息也會在基于其他刑事目的、一般執(zhí)法目的或者非執(zhí)法目的的數(shù)據(jù)處理活動中派上用場，主要表現(xiàn)為刑事數(shù)據(jù)廣泛用于未來的犯罪預(yù)測與社會綜合治理活動。對此，既要設(shè)置目的限制原則的例外，在一定程度上允許合理的兼容使用行為。同時，也需要加強對于調(diào)取第三方商業(yè)數(shù)據(jù)的監(jiān)管，規(guī)范警政機關(guān)之間的數(shù)據(jù)共享活動，僅允許對于商業(yè)信息與執(zhí)法信息的個別查詢，明確禁止掠奪傳輸、批量拷貝等行為。

《個人信息保護法》第6條規(guī)定：“收集個人信息，應(yīng)當限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息?！痹摋l款表達出信息最小化原則的內(nèi)涵，即個人信息的處理不得超過特定目的的必需期限，并在目的達成后及時刪除[25]。然而，隨著存儲成本的降低及數(shù)據(jù)處理能力的加強，大數(shù)據(jù)偵查等取證行為以數(shù)據(jù)最大化為追求，背離了信息最小化原則的本質(zhì)。對此，應(yīng)當調(diào)整信息最小化原則，建立“立即刪除—延后刪除—不刪除”的層級體系。其一，應(yīng)當立即刪除與案件無關(guān)的材料，這一點在我國《刑事訴訟法》第152條、《電子數(shù)據(jù)取證規(guī)則》第4條中均有體現(xiàn)。此外，應(yīng)當在技術(shù)偵查材料的刪除程序中引入檢察官在場制度，以監(jiān)督無關(guān)材料的銷毀流程[26]。其二，應(yīng)當根據(jù)訴訟主體的不同，對于罪犯、被告人、犯罪嫌疑人、經(jīng)法定程序宣告無罪之人、被害人與證人等其他訴訟參與人設(shè)置不同的個人信息留存的最長時限。一旦達到最長時限，主管當局應(yīng)當立即采取刪除或者匿名化、假名化等數(shù)據(jù)處理措施，避免個人信息的無限期留存。其三，對于已經(jīng)建立的重大案件、在逃人員、未名尸體等全國人口信息庫，可以繼續(xù)留用。但應(yīng)將利用手段嚴格限制為查詢、比對等基本措施，如果要進行數(shù)據(jù)畫像或者數(shù)據(jù)挖掘，則需要獲得特定授權(quán)。

4.2 個人信息類型的調(diào)整改造

刑事訴訟中個人信息的保護客體主要是隱私信息，并對處理隱私信息設(shè)置了更高的程序門檻。例如，收集隱私信息的搜查、技術(shù)偵查往往被界定為強制偵查措施，辦案人員對于獲取的個人隱私應(yīng)履行保密義務(wù)。隱私信息既是隱私權(quán)的具體表現(xiàn)形式，也是個人信息保護的核心內(nèi)容。因此，以“隱私信息—非隱私信息”作為刑事偵查中個人信息的分類方法，可以節(jié)省立法成本，也延續(xù)了重點保護隱私信息的程序傳統(tǒng)。

《個人信息保護法》采取了“一般個人信息—敏感個人信息”的分類方法，將“生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息”列為敏感個人信息。敏感個人信息是指“一旦泄露或濫用，極易危及人身、財產(chǎn)安全或?qū)е氯烁褡饑朗艿綋p害、歧視性待遇的個人信息。”[27]由此可知，敏感個人信息的側(cè)重點主要在于泄露后產(chǎn)生的安全風(fēng)險，與隱私信息對于秘密性與私人性的關(guān)注存在一定差異。實質(zhì)上，敏感個人信息與隱私信息之間既存在范圍交叉的部分，也具有各自獨立的部分。例如，醫(yī)療健康信息既是敏感個人信息，也是隱私信息。然而，人臉信息雖然屬于敏感個人信息，但卻具有明顯的公開性，不符合隱私信息的定義。此外，《個人信息保護法》第32條規(guī)定：“法律、行政法規(guī)對處理敏感個人信息規(guī)定應(yīng)當取得相關(guān)行政許可或者作出其他限制的，從其規(guī)定?！边@為刑事訴訟中調(diào)整敏感個人信息的具體類型提供了規(guī)范空間。因此，在偵查程序中，可以援引“一般個人信息—敏感個人信息”的分類方式，但無須局限于《個人信息保護法》中列舉的敏感個人信息的具體類型，而應(yīng)當結(jié)合偵查活動的特點進行調(diào)整改造。例如，不滿十四周歲未成年人的個人信息未必全部屬于偵查程序中的敏感個人信息。

此外，偵查程序應(yīng)當加強對于一般個人信息的保護。刑事訴訟法雖然將真實姓名、住址等信息作為身份確認機制，但對于保護一般個人信息的必要性缺乏總體認識。從正面來看，一般個人信息屬于挖掘隱私信息與敏感個人信息的窗口與基礎(chǔ)，“由于存在數(shù)據(jù)處理和聯(lián)系的可能，因此，無論數(shù)據(jù)使用條件如何，都不存在毫無意義的個人信息?！盵28]從反面來看，如果默認與縱容執(zhí)法機關(guān)概括性地處理一般個人信息，則勢必違背比例原則等正當程序的基本理論。保護一般個人信息并非保護其中的權(quán)利因素，而是預(yù)防一般個人信息中蘊藏的潛在風(fēng)險。這種數(shù)據(jù)風(fēng)險需要偵查機關(guān)建立常態(tài)化機制與預(yù)防性機制，加強對于一般個人信息的保護，但在保護強度上可以比照隱私信息、敏感個人信息適度降低。

4.3 個人信息權(quán)利的調(diào)整改造

個人信息權(quán)利的積極性、廣泛性與偵查活動的強制性、職權(quán)性存在天然沖突，故而需要進行適度限縮。對此，歐盟《2016/680指令》建立了個人信息權(quán)利行使的“兩級方法”，在此方面為我國提供了經(jīng)驗借鑒。

歐盟區(qū)分個人信息權(quán)利的直接行使與間接行使。直接行使分為三種情況[29]：其一，主管當局允許信息主體自由、完全地行使權(quán)利；其二，在立法允許的情況下，經(jīng)主管當局決定，可以限制上述權(quán)利，但是限制應(yīng)當符合必要性，并且通過比例原則的測試。例如，為保護舉報人的人身安全，主管當局可以拒絕提供相關(guān)個人數(shù)據(jù)的來源。此時，應(yīng)當以書面形式將拒絕或者限制訪問的情況及原因通知數(shù)據(jù)主體，不得過分延遲；其三，在特定情況下，僅僅透露警察部門保存?zhèn)€人數(shù)據(jù)的事實本身也會影響偵查活動的順利開展。對此，歐盟《2016/680指令》第15條第3款規(guī)定主管當局可以不向數(shù)據(jù)主體提供任何形式的信息，而是對于其詢問提供中立的答復(fù)——“我們無法確認您的數(shù)據(jù)處理情況?！痹谏鲜龅诙N和第三種情形下，信息主體的相關(guān)權(quán)利均受到了一定限制[30]。

歐盟《2016/680指令》第17條規(guī)定了個人信息權(quán)利的間接行使方式：“在第13條第3款，第15條第3款和第16條第4款所述的情況下，成員國應(yīng)當采取措施，規(guī)定數(shù)據(jù)主體也可以通過獨立的數(shù)據(jù)監(jiān)管機構(gòu)行使權(quán)利?！敝鞴軝C關(guān)需要明確告知數(shù)據(jù)主體可以通過獨立的數(shù)據(jù)監(jiān)管機構(gòu)間接行使權(quán)利。此時，獨立的監(jiān)管機構(gòu)應(yīng)當核查主管當局的數(shù)據(jù)處理行為，以便回復(fù)數(shù)據(jù)主體的請求，獨立的監(jiān)管機構(gòu)還應(yīng)告知數(shù)據(jù)主體有權(quán)向法院申請司法救濟。

我國可以借鑒歐盟的經(jīng)驗，具體方案可分為對于全部權(quán)利的整體限制與對于個別權(quán)利的特定限制。一方面，可以仿效歐盟建立直接行使與間接行使相結(jié)合的權(quán)利運作模式，從整體上限制個人信息權(quán)利。在正常情況下，司法機關(guān)應(yīng)當保證信息主體各項具體權(quán)利的合法運用與直接行使。但是，如果權(quán)利的行使可能危害國家安全、公共安全、被害人、證人等的人身安全，可能存在有礙偵查的情形，國家機關(guān)可以完全或者部分限制信息主體的具體權(quán)利，并解釋限制的原因。此時，信息主體可以通過獨立的監(jiān)管機構(gòu)間接行使權(quán)利。當信息主體向監(jiān)管機構(gòu)求助時，后者應(yīng)當進行必要的審核，判斷公安司法機關(guān)的個人信息處理活動是否合法。監(jiān)管機構(gòu)應(yīng)當將審核結(jié)果告知信息主體，并協(xié)助其行使權(quán)利。值得注意的是，對于權(quán)利直接行使的限制需要符合合法、必要原則，以免權(quán)利限制成為常態(tài)，權(quán)利行使反而成為例外[31]。另一方面，對于個別權(quán)利的特定限制需要結(jié)合不同權(quán)利的運作情況。例如，可以采取事后告知與不告知的方式限制當事人的知情權(quán)。此外，可以通過劃定案件范圍的方式限制刪除權(quán)。例如，性侵未成年人案件的罪犯不得申請行使刪除權(quán)。

4.4 個人信息監(jiān)管機制的調(diào)整改造

《個人信息保護法》并未采取建構(gòu)獨立的個人信息監(jiān)管機構(gòu)的方案，而是在第60條規(guī)定由國家網(wǎng)信部門負責(zé)統(tǒng)籌協(xié)調(diào)個人信息保護工作和相關(guān)的監(jiān)督管理工作。但本文認為，國家網(wǎng)信部門無法肩負起制衡偵查機關(guān)個人信息處理權(quán)力的重任。從部門獨立性角度而言，國家網(wǎng)信部門并未擺脫與政府部門的隸屬關(guān)系，無法在人、財、物上保證中立性；從部門職能角度而言，《個人信息保護法》第61條與第62條分別規(guī)定了部門職責(zé)與具體工作內(nèi)容，但是從中很難推斷出國家網(wǎng)信部門能夠?qū)τ趥刹闄C關(guān)的個人信息處理行為形成監(jiān)督；從部門權(quán)力地位角度而言，國家網(wǎng)信部門并未取得超越公安、司法機關(guān)的優(yōu)勢地位，即便確實存在監(jiān)督活動，也可能僅停留于形式層面。因此，應(yīng)當結(jié)合偵查程序的運行場景，對于監(jiān)管機制進行調(diào)整改造，為個人信息保護提供組織保障。一方面，應(yīng)當充分發(fā)揮公安預(yù)審部門的內(nèi)部監(jiān)督作用，將個人信息保護納入考核管理指標。另一方面，應(yīng)當將檢察機關(guān)打造成刑事訴訟中個人信息保護的監(jiān)管機構(gòu)。針對偵查機關(guān)違法處理個人信息的行為，檢察機關(guān)應(yīng)當責(zé)令改正，并對直接負責(zé)的主管人員和其他直接責(zé)任人員依法給予處分。

5 結(jié)語

《個人信息保護法》的出臺為刑事偵查中保護個人信息提供了規(guī)范支撐與時代語境，回應(yīng)了在偵查程序中應(yīng)當保護個人信息這一前置性命題。然而，《個人信息保護法》并非專門以偵查活動作為應(yīng)用場景，對于在偵查程序中如何保護個人信息這一問題，仍然存在力有未逮之處。對此，應(yīng)當適時出臺相關(guān)規(guī)范性解釋，細化偵查程序中的個人信息保護事項，為《個人信息保護法》的落實提供部門法的銜接路徑，實現(xiàn)偵查程序中個人信息的場景化保護。