内容提要:在刑事诉讼中,个人信息权不符合以正当程序权为核心的刑事诉讼人权特征,其所涵盖的被遗忘权、数据访问权亦不具有独立的诉讼权利属性。个人信息的独立权利论缺乏正当性根据,不宜作为刑事诉讼中个人信息的保护模式。基于刑事诉讼利益衡量的特殊性和刑事诉讼人权的个体性与消极性,刑事诉讼中个人信息保护应针对的是集合性一般信息向私密性敏感信息的转化风险,具体表现为个人信息不受过度收集的权利。相应地,个人信息保护也应通过对信息性隐私权的概念解读进入刑事诉讼视野,即采取依附型保护模式。对此,应通过适度引入个人信息保护的基础原则和限制概括性取证来应对新兴权利诉求对刑事司法制度的冲击与挑战。
关键词:个人信息 基本权利 《个人信息保护法》 依附型保护
一、问题的提出
近年来,个人信息保护或许是最具争议性的法学研究议题与最具复杂性的司法实践难题。一方面,基于数据跨境流通的利益考量,世界各国均对个人信息的法律保护问题进行了深入的理论探讨与立法研究,数据立法的普遍化和域外适用扩张现象凸显,这也引发了国内学者对于个人信息保护的持续关注。另一方面,最初在私法领域诞生的个人信息保护问题逐渐开始向诸如刑法、行政法等公法领域扩张,个人信息保护大有成为“领域法学”的发展趋势。2021年11月1日起《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)开始实施,该法第1条明确规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”因此,如何根据个人信息保护的发展趋势,构建出一套保障数据权利、促进数据流通的法律制度框架,成为当前理论研究和司法实践迫切需要解决的难题。
“我国似乎已经初步建立起法律法规、行业规范、技术标准为一体的多层次、综合性个人信息保护制度框架”。但与民商法领域对个人信息的私法保护、行政法领域对政府行政行为的约束相比,“基于国家安全、社会安全等例外事由遮蔽下的刑事司法、执法领域的个人信息保护已经成为个人信息保护整体制度的短板”。虽然国家安全与个人权利存在利益性质和价值位阶上的差别,但刑事司法并非以保障国家安全为唯一的价值追求,安全与权利的矛盾冲突也绝非司法常态。若从追诉犯罪的公共利益与保障公民权利的矛盾冲突视角来看,刑事司法也不应是个人信息保护的制度禁区。我国个人信息保护的立法也并未排斥国家机关的个人信息处理行为。《个人信息保护法》第33条规定:“国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。”公安司法机关作为国家机关自然也应遵循《个人信息保护法》的基本原则和特殊规则。刑事诉讼应如何保护个人信息就是本文研究的重点问题。
尽管加强对个人信息的法律保护已经成为学界的共识,但对于刑事诉讼而言,仍然面临着什么是个人信息保护的权利基础以及应通过何种方式予以保护等基础理论争议。这不仅关乎个人信息在刑事诉讼中的性质定位问题,也决定了刑事诉讼应采取何种形式和在何种程度上保护个人信息。上述争议可以表现为以下四个问题:私法上区分个人信息与隐私的现实考量和理论意义是否可以直接适用于规范国家公权力的刑事司法领域?若在刑事诉讼中引入个人信息权,其是否应属于独立的诉讼人权或诉讼权利?个人信息能否作为隐私权的组成部分纳入“传统人权保障”的辐射范围?刑事诉讼应如何处理信息化时代背景下“新兴权利”的保护诉求?对这些问题的回答需要以刑事诉讼中个人信息保护的特殊性为前提,以个人信息保护的权属论为基础,以具体的制度设计为解决方案。
围绕上述问题,本文第二部分将总结个人信息保护的利益衡量要素以及刑事司法活动的特殊性,即刑事诉讼中个人信息保护的利益论。第三部分将总结目前学界提出的将个人信息作为刑事诉讼中独立权利的观点,并反思独立权利论存在的问题,即刑事诉讼中个人信息保护的权属论。第四部分将提出我国刑事诉讼应如何保护个人信息的解决方案,即刑事诉讼中个人信息保护的制度论。
二、刑事诉讼中个人信息保护的利益衡量
个人信息保护逐渐从私法领域向公法领域扩张,成为一个横跨公私法领域的研究问题。目前学者提出的综合保护或公私保护理念回答了个人信息在整体法律制度中应通过何种路径予以保护的问题,体现了个人信息的多元法益基础,也成为建立激励相容型个人信息保护法的理由所在。因此,个人信息保护背后必然面临着多种利益的博弈与衡量。然而,复杂的利益格局无法掩盖不同部门法中个人信息保护的特殊性,即应区分专门法中的个人信息保护和部门法中的个人信息保护,遵循“统一立法、分类保护”的思路。对于个人信息保护而言,无论是公法还是私法均是处理不同主体的利益诉求与利益冲突。因此,如何看待利益衡量问题对于探讨刑事诉讼中个人信息保护的特殊性具有重要意义。
(一)个人信息保护中的利益衡量问题
个人信息的含义根据讨论背景和语境的不同有所差异,这决定了在不同部门法领域中个人信息的利益衡量要素和判断标准也存在本质区别。在私法领域中,个人信息保护先后面临着如何区分隐私与个人信息以及个人信息是权利还是权益的两大争议。目前学界关于前者的认识基本达成一致,即个人信息与隐私权和而不同,“隐私权是信息能力平等的主体间的交往行为。个人信息保护为信息处理者对个人信息的处理行为”。后者的争论则仍在继续。若主张个人信息属于具体的人格权,那么个人信息权就属于自主控制型权利,也就具有了具体人格权的支配性和排他性。此时,个人信息保护的利益衡量问题就转化为信息主体享有的人格尊严和自由利益与其他自然人主体言论自由利益、法人或其他组织经济利益之间的协调问题,利益衡量的判断标准也应以保障、尊重民事权利为重点。若主张个人信息属于受法律保护的一般人格权利益,则否定了个人信息权的支配性与排他性。此时,私法领域的个人信息保护主要依靠的是侵权法救济。“换言之,只要个人信息的利用行为不侵害主体的合法利益,信息控制者的利用行为就具有了合法性。”
但无论是区分隐私保护与个人信息保护还是对个人信息法律性质的讨论,若仅限于民商法领域的话,个人信息保护与利用均属于平等民事主体之间的利益冲突问题,既无法针对具有持续性不平等信息收集能力的主体,也不涉及民事主体利益在面对国家安全、追诉犯罪以及社会管理等高位阶利益时的妥协与让步。国家机关也并未直接以利益主体的身份介入信息主体与义务主体之间的利益衡量之中,而是作为中立的第三方以立法规范或司法裁判指引的方式对上述利益冲突进行协调。
仅从私法领域来看,个人信息保护中对抗的是平等民事主体,通常是以停止侵害、排除妨碍、消除危险、赔偿损失等民事责任作为制裁救济手段。然而,个人信息蕴含的公共管理价值促使国家也成为个人信息的收集、使用主体。由此自然催生出公法介入个人信息保护的现实需求。在公法领域中,个人信息的意思自治性和主体平等性等个体价值被缩限,交互性、分享性等公共价值被放大,形成了“个人信息受保护权—国家保护义务”的理论分析框架。其中,个人信息受保护权的防御权功能对应着国家消极义务,即严格限定基于公共利益需要收集和使用个人信息的范围。个人信息受保护权的客观法功能对应着国家积极义务,即国家必须创造和维护有利于实现个人信息保护的制度环境。因此,在公法领域的利益衡量中,个人信息保护面对的是公共利益。此时,国家机关可能身兼个人信息的侵权方和个人信息保护的制度建设者两种身份,两种身份的协调则有赖于国家保护义务的落实。正因如此,我国宪法学者主张在基本权利层面上,“个人信息保护法律体系是以作为宪法基本权利的个人信息受保护权为概念基础”。
由此可见,虽然个人信息保护涉及国家、企业和个人三者的关系,但私法保护仅是平等民事主体的利益衡量问题,公法保护则可以协调个人信息受保护权和国家保护义务之间的利益冲突,从而与私法保护互为补充。根据行为性质以及法律调整关系的不同,两者讨论的利益衡量也存在衡量对象、衡量标准上的差异。对于刑事诉讼而言,如何在公法和程序法的双重定位下实现对个人信息的保护,显然与上述民商事领域讨论并无直接关系,基于社会管理目的产生的公共利益与基于追诉犯罪目的产生的公共利益也存在本质区别,有必要单独予以论述。
(二)刑事诉讼中个人信息保护的特殊性
刑事诉讼中个人信息保护的特殊性应为“合理限制性”而非“完全排除性”。一方面,刑事司法同样面对着平衡保护个人信息和利用个人信息的基本矛盾,即个人信息保护的利益衡量问题。另一方面,刑事司法对个人信息保护也具有特殊性,主要表现在利益衡量中利益形态和利益选择的特殊性。
在传统理论研究中,刑事诉讼中的利益往往被分为国家及社会利益、某一社会方面的总体利益和个别利益。“当不同利益发生冲突应予以权衡时,应以权衡的结果是否利于国家及社会的根本利益作为选择的标准。”然而,只有将不同性质的利益置于同一层次上才具备选择的基本前提,上述分类方式和权衡标准仅体现了刑事诉讼中不同利益之间的服从关系,而非利益选择。对此,有学者提出了国家和社会利益、犯罪嫌疑人和被告人利益以及被害人利益的划分方式,并指出立法者在进行利益选择时,并不总是完全保护一种利益而放弃另一种利益,而是将对立着的两种利益都进行适当的抑制,使得利益选择达到一种动态的均衡。
在个人信息保护的问题上,以往许多国家的个人信息保护法均将国家安全作为一项常见的适用例外加以排除,以保证执法机关的执法活动不受外界的干预和影响。但随着个人信息与公民生活的联系日益紧密,国家安全或追诉犯罪需要与个人信息保护的利益服从关系也并非绝对,如近年来各国刑事判决中频繁引用的马赛克理论(mosaic theory)认为:“个人信息如同马赛克拼图一般,乍看微不足道、琐碎的图案,拼聚一起呈现一个宽广、全面的图像。个人对于零碎的信息或许主观上并没有隐私权遭受侵害之感受,但大量信息累积仍会对个人隐私权产生严重危害。”在刑事司法中,个人信息与隐私之间的界限愈发模糊。与此同时,追诉犯罪背后的公共利益具有紧急性和重要性,这又使刑事诉讼中的个人信息保护应不同于民商法或行政法领域的个人信息保护。因此,刑事诉讼中个人信息保护的特殊性应从“完全排除”的例外性走向“合理限制”的层次性。
首先,刑事诉讼对个人信息的保护主体应区分犯罪嫌疑人、被告人和其他诉讼参与人。从权力关系来看,虽然犯罪嫌疑人、被告人与其他诉讼参与人均有配合刑事司法机关的义务,但两者义务的表现形式并不相同。犯罪嫌疑人、被告人的配合义务在于刑事司法机关可以基于正当目的对其享有的基本权利进行限制,此时犯罪嫌疑人、被告人与刑事司法机关呈现出“权利克减”关系。“其他诉讼参与人与刑事司法机关或表现为一种委托代理关系,即国家追诉犯罪的一切权力来自公民与政府之间的契约或委托”;或者表现为公民对国家的协助义务和可豁免权利,如刑事诉讼中的证人作证义务和作证豁免权。因此,当其他诉讼参与人的个人信息利益与公共利益产生冲突,如被害人应如实向公安司法机关陈述案件事实、接受公安司法机关对其进行的人身检查以及审判公开、出庭作证对证人、被害人个人信息的披露以及随之而来的“二次伤害”风险等时,刑事司法机关超越“配合目的”收集、公布其他诉讼参与人个人信息的行为不符合“必要性”要求。
其次,刑事诉讼中犯罪嫌疑人、被告人的个人信息保护存在基本权利和公共利益两种属性。在刑事诉讼的利益衡量中,公共利益与基本权利成为利益衡量的典型对象。因此,刑事诉讼中犯罪嫌疑人、被告人的个人信息保护是指当刑事司法机关基于追诉犯罪的目的收集个人信息时,其行为的正当性取决于公共利益和基本权利衡量后的结果是否适当和行为的实施过程是否正当,即结果的适当性和过程的正当性。具体而言,刑事诉讼中犯罪嫌疑人、被告人享有的权利分为由宪法规定的权利和基于防御追诉权的权利。前者与公共利益属于异质利益衡量,无法从单纯从结果上得出利益衡量是否妥当的结论,刑事司法机关对于消极性权利应履行消极性义务。后者在于维护国家承诺的法治秩序与正当程序,有着为履行社会任务和实现公共价值而存在的必要。该权利与公共利益属于同质利益衡量,基于追诉犯罪目而衍生出的公共利益对其具有优位性,刑事司法机关对于积极性权利应提供必要的程序保障。
最后,刑事诉讼中个人信息保护的利益衡量调整的是基于追诉犯罪目的的国家公权力与刑事诉讼当事人个人利益之间的矛盾冲突。因此,一方面,侦查人员基于预防犯罪目的或社会管理目的收集个人信息的行为,如设立大规模的公共视频监控、警务系统对个人信息的登记、储存等警务信息管理和预测警务行为均不属于刑事诉讼的调整范围而应归为警察行政法。对于上述个人信息,刑事司法机关主要是通过“调取”来进行二次收集、使用。因此,规制的重点在于“二次收集、使用”的调取行为,而非基于行政管理目的的收集、储存行为。另一方面,刑事司法机关因信息管理系统存在漏洞造成大量个人信息不当泄露的行为也不属于刑事诉讼中个人信息的保护问题,而是刑事司法机关作为个人信息保护的行政机关所应承担的行政责任问题。
可以看出,随着个人信息保护进入公法领域,平等民事主体之间的利益衡量规则无法直接适用于政府行政执法行为。由此,私法上个人信息权的内涵被缩限为“个人信息受保护权”,国家机关一方面身负不得侵犯的消极义务,此时个人信息受保护权的主观面向往往会与宪法上的隐私权、通信秘密权产生竞合;另一方面负有构建有利于个人信息保护环境的积极义务。然而,上述区分在刑事诉讼领域进一步被缩限。第一,刑事诉讼是依照法定程序,解决嫌疑人、被告人刑事责任问题的活动,刑事诉讼中基本权利所构建的客观法秩序也仅体现在刑事程序内,因此,刑事诉讼既无法规范商业性组织的“准数据权力”,也无法限制履行公共职能主体的“公共数据权力”。目前学界讨论的公共监控、人脸识别的风险问题更多属于警察行政领域,而非刑事侦查。第二,即使是在刑事诉讼程序内,犯罪嫌疑人、被告人享有的个人信息利益也仅表现为单纯的敏感信息和由非敏感性信息集合形成的间接敏感信息。
三、刑事诉讼中个人信息保护的独立权利论及反思
刑事诉讼中个人信息保护的特殊性仅能得出“刑事司法对个人信息保护应从完全排除走向合理限制”这一理念。但在上述论述过程中,笔者并未区分使用个人信息和隐私这两个概念,而是将个人信息作为两者的代称论述刑事诉讼保护个人信息(隐私)的特殊性。为深入论证刑事诉讼应如何保护个人信息,还需要对刑事诉讼中个人信息权究竟应归属于何种权利进行考察。
(一)刑事诉讼中个人信息保护的独立权利论
如何将个人信息保护的理念落实到具体刑事诉讼制度之中有赖于明确个人信息的权属,即在个人信息上设定的权利属于何种权利以及归属于谁的问题。在这一问题上,个人信息保护的独立权利论尤为值得关注。
目前刑诉学界论证个人信息权的独立性主要分为以下三种观点:第一,由于隐私权存在保护对象的局限性、保护方式的消极性以及保护边界的模糊性三种弊端,需要确立个人信息权的基本权利属性对隐私权保障的弊端进行补足。该观点认为,个人信息权利之所以具有独立性是因为隐私权保护存在无法避免的漏洞。第二,应将个人信息权归属于《宪法》中未列举的基本权利,这既是域外国家的普遍做法,也可以从我国《宪法》中人格尊严、通讯秘密与自由以及不受非法搜查权利推导出来。因此,个人信息权属于刑事诉讼中的独立人权。第三,刑事诉讼中个人信息权与刑事诉讼权利在权利结构上具有高度近似性,个人信息权完全具有刑事诉讼权利概念属性,个人信息权属于承载公民其他人格利益的第三层级诉讼权利。该观点主要从权利结构和权利特征方面将个人信息权归为诉讼权利。
在信息化时代,公民对个人信息保护具有强烈的权利需求是一个不证自明的问题。然而,在刑事诉讼中,权利需求是否必然会转化为新兴权利则有待进一步论证。在法理层面上,新兴权利的成立并不能直接由权利需求推导而出,否则必然会引发权利泛化的消极影响。一项新兴权利之所能够得到证成,需要从权利的内在理由和外在理论分别进行论述。并且,“人权概念是在社会发展过程中形成的对人在经济、文化、政治活动中的本质进行抽象化的产物”。刑事诉讼理论无法单独证成个人信息权的人权属性。因此,从理论上证成个人信息权属于独立权利至少需要处理以下两个问题:第一,个人信息权是独立的基本权利还是独立的诉讼权利?第二,个人信息权与隐私权是否存在根本区别?本文认为前两种观点对个人信息权属于基本权利的论证并不充分,而将个人信息权视为第三层次诉讼权利的观点既无法抵御公权力对个人信息权的不当干预,也无法证成诸如被遗忘权、数据访问权的独立性。
(二)权利性质:个人信息权不具有独立的刑事诉讼人权属性
从民商法领域来看,个人信息权具有以知情同意为基础的积极权能,如知情权、同意性、访问权、可携带权和利用收益权和以删除权为代表的消极权能,如更正权、限制权、反对权以及被遗忘权。这些附属权利使个人信息权成为与隐私权不同的综合性权利。然而,上述私法权利的合理性并不能直接成为刑事诉讼人权的正当性依据。
“人权是一种应然的理念,也是一种制度性的事实,还是一种现实的社会关系本身。”若想主张个人信息权属于刑事诉讼中的人权,应先论证其在宪法上的基本权利地位。对此,有法理学者认为信息存在方式、权利发展的数据信息生态和信息时代的社会解组共同促使数字人权成为第四代人权。但该观点同时也面临着数字人权不符合“人的尊严”标准和“最低限度基础性”标准的质疑。数字人权的概念成立与否尚处于争论的焦点,难以将其直接作为论述依据证明个人信息权的刑事诉讼人权属性。即使从比较法的经验观察,认为欧洲国家将个人信息权确立为刑事诉讼人权的观点也有待商榷。欧洲国家虽然将个人信息保护上升至基本权利或人权保护的层面上,但根据欧洲委员会《个人数据自动化处理中的个人保护公约》的规定,个人信息并非是全面的、绝对的支配权,而是“控制并处理该数据的权利”,即个人信息的受保护权(the right to protection of personal data)。对此,高富平教授强调:“在研究和借鉴欧洲个人数据保护制度时,必须尊重一个基本事实,即个人信息保护权必须受到其他基本权利的限制,必须在其他基本权利获取充分保障的框架中才能得以行使。个人数据保护权本质上体现为一组宽泛的原则和详细的行为规范。”这与刑事诉讼中人权的概念存在根本区别。
实际上,宪法的基本权利和刑事诉讼人权并非是完全一致的概念。虽然刑事诉讼的人权来源于宪法基本权利的规定,但在人权保障对象、具体范围与基本权利仍存在区别。第一,刑事诉讼中的人权具体应属于消极人权而非积极人权。在刑事诉讼中,人权保障之所以能够与控制犯罪成为相同位阶的价值追求,原因就在于人权的最低限度性和普遍性。上述两个特性决定了人权在任何国家、任何案件类型以及任何刑事诉讼阶段均具有相同含义和地位,这样方可有效发挥其抵御国家公权力的消极作用。因此,以知情同意为基础的个人信息积极权能无法被刑事诉讼人权的消极性容纳。第二,人权是犯罪嫌疑人、被告人享有的权利,特指正当程序权。宪法人权一般存在实体性权利、程序性权利和复合性权利三种形式。在刑事诉讼中,人权的实体性权利应表述为不受国家机关任意侵犯的生命、自由、财产以及隐私的权利,即正当程序权利。因此,已被定罪或被错误定罪的公民并不属于刑事诉讼中的犯罪嫌疑人、被告人,其对刑事司法机关主张的被遗忘权和更正权即使具有消极性也不属于刑事诉讼中的人权。若从刑事诉讼人权的概念来检视个人信息权,只有犯罪嫌疑人、被告人的消极权能才属于刑事诉讼人权的保障范畴,但在消极人权上个人信息权与隐私权又难以完全分离,这就导致个人信息权即使存在部分刑事诉讼人权属性,也不具备独立于隐私权的地位。
(三)权利位阶:个人信息权不应作为独立的诉讼权利
独立权利论从个人信息权的权利内容和权利性质上论述其属于刑事诉讼人权的观点缺乏合理性。对此,有学者通过降低个人信息权的权利位阶来论证其独立性。具体表现为,首先,将个人信息权解释为程序性、可放弃的诉讼权利,以此避免个人信息权与人权概念的矛盾冲突。其次,根据利益位阶分析法,将个人信息权归类到关系诉讼参与人除生命、自由、健康之外的其他人格利益的第三层级权利。个人信息权一方面需要为第一层级的生命、自由、健康权让步,在与公共利益的衡量中也处于劣势;另一方面,其主体也从犯罪嫌疑人、被告人扩展至全部的诉讼参与人。最后,个人信息权作为独立诉讼权利的必要性在于其涵盖的具体权利已具备规范基础,如数据访问权与阅卷权、被遗忘权与犯罪记录封存等。但笔者认为,个人信息权难以通过低位阶的诉讼权利进入刑事诉讼法。
第一,数据访问权与阅卷权、被遗忘权与犯罪记录封存并不存在对应关系。就数据访问权而言,欧盟《一般数据保护条例》第15条规定:“数据主体应当且有权从数据控制者处得知,其个人数据是否正在被处理,如果正在被处理的话,数据主体有权访问个人数据并获知相关信息,如处理的目的、个人数据类型、储存期限、数据主体所拥有的相关权利等。”可以看出,数据访问权是数据主体对其个人信息所拥有的权利,具体表现为“对个人信息相关活动的知情权”。然而,根据《刑事诉讼法》第40条规定,辩护律师查阅、摘抄、复制的是全部案卷材料,其中既包括犯罪嫌疑人、被告人的供述,也包括侦查人员收集的控方证据。从个人信息的概念属性来看,控方证据显然难以被归入数据访问权的对象之中。因此,数据访问权与阅卷权的关系,并非主张者提出的“数据访问权在适用范围和适用对象上大于阅卷权”。若从电子阅卷或网上阅卷的行为方式来看,数据访问仅表现为电子化、在线化的阅卷行为,而不具有独立的权利属性。从《个人信息保护法》的规定来看,数据访问仅停留在“防止未经授权的访问行为”,而非确立个人信息持有人的访问权利。
第二,就被遗忘权而言,被遗忘权的创新之处在于给予已经被公开的信息撤退回隐私域的可能。从权利性质来看,被遗忘权并非是一种价值取向,而是通过引入“被遗忘”的利益诉求来达到利益衡量和冲突解决的功能。在刑事诉讼中,被遗忘权的主体被分为已被定罪之人、被害人、无辜者以及证人和其他诉讼参与人,客体则是新闻媒体和刑事司法机关。然而,上述主体的利益诉求均难以证成刑事诉讼中被遗忘权的正当性。对于被害人、证人和其他诉讼参与人而言,其享有的并非是针对已公开信息的被遗忘权而是在公开信息时的知情同意或申请不公开的权利。对于无辜者而言,无辜者申请删除的是错误定罪信息,而非经同意公开的信息,并不属于被遗忘权的利益衡量对象。已被定罪之人要求新闻媒体删除相关信息虽然属于被遗忘权,但新闻媒体并非刑事司法机关,该权利自然不属于刑事诉讼中的被遗忘权。已被定罪之人而言,其向刑事司法机关申请删除相关定罪信息时,面对的是信息主体回归社会的期待利益与基于社会管理的公共利益。此时,刑事司法机关保存或公开其犯罪记录并非是基于追诉犯罪的目的,而是基于公共知情权、预防犯罪等社会管理目的。因此,被遗忘权也不具有独立的刑事诉讼权利属性。
更为重要的是,第三层级的权利位阶无法彰显信息主体的利益诉求。在利益衡量的过程中,个人信息权的低位阶性往往使其被公共利益过度限制。但正如上文所述,在刑事诉讼中,只有个人信息保护具有公共利益属性时,才存在同质利益的衡量问题。当个人信息作为权利予以保护时,其所承载的个人利益与追诉犯罪的国家、社会利益属于同一位阶上的两种异质利益,利益衡量的正当性在于程序是否正当而非衡量结果是否适当。
四、刑事诉讼中个人信息保护的依附性制度构建
对于兼具私人利益价值和公共流通价值的个人信息而言,公法在构建平衡商业价值和私人利益的个人信息有序流通秩序、确立以个人信息受保护权和国家保护义务为框架的权力保护模式等问题上具有不可替代的地位。刑事诉讼作为具有公法属性的部门法和保障实体法准确实施、维护程序正义的程序法,是否也应主动适应个人信息保护综合化、基础化的这种理论趋势自然成为值得探讨的理论问题。公安、司法机关可以通过追诉侵犯公民个人信息的相关犯罪来达到救济被害人、威慑潜在犯罪行为以保护个人信息的目的。但与此同时,刑事追诉也存在收集、分析以及披露个人信息的实践需求。此时,公安司法机关与个人信息主体便处于公权力与个人信息利益的对立两方,以追诉犯罪为己任的国家机关自然就有转化为侵犯个人信息利益主体的风险。并且需要注意的是,当公安司法机关超越配合义务的合理范围时,被害人、证人以及其他诉讼参与人的身份已经发生实质转变,成为刑事诉讼程序中公权力的干预对象,与犯罪嫌疑人、被告人具有同等重要的保护地位。个人信息的利益论说明刑事诉讼有保护个人信息的必要性,但相较于民商事领域和行政执法领域而言,个人信息保护应受到追诉犯罪的利益限制。个人信息的权属论则说明,在刑事诉讼中个人信息权不具备刑事诉讼人权的属性,诉诸低位阶诉讼权利的做法也无法证成其作为诉讼权利的独立性。由此而来的问题是,刑事诉讼如何应对个人信息保护带来的挑战。
(一)刑事诉讼中个人信息权的核心
在刑事诉讼中,个人信息权保护的应是信息主体不被过度收集的权利。个人信息一般被分为敏感信息和一般信息,其中敏感信息通常被认为是构成个人隐私的信息,而一般信息则是指不构成隐私的信息。因此,仅从信息内容上看,个人信息的概念外延大于隐私信息。对于刑事诉讼而言,隐私权作为宪法的基本权利通常被转化为“不受任意搜查、扣押”的刑事诉讼人权,进而将通讯监听等实时监控行为纳入正当程序原则的规范领域。由此看来,隐私信息本就属于刑事诉讼中隐私权的保障范围,并不存在新的理念冲击。
但随着数据收集、分析技术的更新迭代,一般信息和敏感信息的界限也愈发模糊,刑事司法机关通过大量收集相同种类或不同种类的一般信息,往往可以得到涉及犯罪嫌疑人、被告人隐私的敏感信息,此时个人信息权的重要性就凸显出来。如何去规范这种针对非隐私信息的长期性、广泛性的收集成为传统隐私权难以应对的难题。与此同时,刑事司法机关通过算法对不同种类的个人信息进行自动分析的做法,也有混淆行政执法和刑事侦查界限的风险。因此,本文认为个人信息权在刑事诉讼中的本质在于保障信息主体不受过度收集权利。
域外国家是也在此基础上对个人信息进行保护。如2018年美国联邦最高法院在Carpenter案的判决中就指出,手机的历史基站信息与银行账户、手机号码等常规第三方商业信息不同,具有隐蔽性、连续性、回溯性等特性。对此,联邦宪法第四修正案的保护范畴也应扩大到手机定位信息上。侦查人员在没有搜查证的情况收集手机基站信息的做法违宪。在本案中,侦查人员从第三方机构调取了犯罪嫌疑人12,898个手机基站信息。从传统侦查理论来看,第三方机构的信息属于商业信息,根据第三方准则应属于隐私合理期待权的例外。但Carpenter案的多数意见认为,手机基站定位信息记录提供了一个窥视他人生活的便捷窗口,五年的数据保留期也给予了警察接触此前未知信息的机会。因此,侦查人员过度调取个人信息的做法使其获得的未知信息超出“商业信息”范畴,也就不适用第三方例外的准则。
侦查人员自行收集个人信息的行为不应超过必要的限度。如2017年日本最高裁判所在GPS侦查案的判决中指出:“GPS 侦查的实施必然会伴随着对个人活动持续、全面地掌握,可能会对隐私权造成侵害。此外,将可能造成上述侵害的设备秘密安装在私人物品上的做法,不同于侦查人员在公共道路上肉眼观察或拍照摄影等方法,应属于运用公权力入侵私人领域的侦查行为。”对此,日本学界认为虽然公共区域内的活动通常属于刑事诉讼中隐私权保障的例外,但侦查人员持续、全面地收集位置信息,从而依托于信息分析映射出“人物像”时,就有入侵公民私人领域的侵权风险。具体应从强制侦查立法主义出发,通过立法限定侦查人员对位置信息的收集时间和范围。
与“不受过度收集”相比,不受分析权利并非是刑事诉讼中个人信息保护的核心。原因在于,刑事诉讼中的个人信息保护针对的是可能存在的信息滥用和隐私干预风险。在传统侦查活动中,侦查人员通过现场勘查、调查访问以及摸底排查等任意侦查行为收集的案件信息,经过案情分析同样有知悉隐私信息的可能性,信息技术的发展仅是提高了分析行为的可能性,并没有改变该行为的性质。为了防范这种以“任意侦查”之名行“强制侦查”之实的做法,刑事诉讼法应规制的是前端的过度收集行为,而非分析行为。
综上所述,在刑事诉讼中,个人信息权主要表现为不受过度收集的权利。刑事司法机关对于“一般信息”的广泛收集可能使相关结论具有隐私信息的属性,从而冲击了以传统隐私权为基础构建的刑事诉讼规则,这也是刑事诉讼保护个人信息的本质所在。
(二)个人信息权的依附型入法路径
现代社会对“过度收集”行为的警惕是为了防范大规模收集个人信息行为背后可能带来的隐私权干预风险。个人信息权对刑事诉讼的冲击在于将“隐私权的实际侵害性”转化为“隐私权的干预风险性”。然而,从权利内容来看,不受过度收集针对的是“一般信息”,与传统隐私权保护的敏感信息并不相同。那么对于这种新兴权利应如何予以保护则涉及刑事诉讼中新兴权利的入法路径问题。
在权利时代,新兴权利的出现是公民权利意识彰显的具体表现。一项新兴权利的出现代表着权利主张由少数人的诉求变为多数人的共识,从而具备了法律保护的社会基础。新兴权利的入法路径则反映出法律对待公民权利诉求的态度。在法治实践中,根据新兴权利是否可以直接而快速地入法,可以将入法路径分为两类:一是激进式入法路径,即新兴权利被直接写入法律条文;二是渐进式入法路径,即新兴权利通过自然演进的方式,平和而缓慢地进入法治体系。对于刑事诉讼而言,激进式入法路径通常针对的是程序性权利,如简易程序选择权、阅卷权以及上诉权等。原因在于,上述程序性权利多属于积极性权利,直接引入刑事诉讼法的权利成本较低,国家机关对此负担的积极义务和消极义务均可保持在一个平衡的状态。以简易程序选择权为例,被告人和辩护律师申请简易程序,法院进行形式审查即可。在简易程序的适用上,被告人选择适用简易程序和反悔均存在适用范围、条件和程序的限制。因此,对于程序性权利这种积极性权利通过立法赋予权利地位的同时,对其进行合理限制即可实现“权利保障”和“防止权利滥用”的双重目的。
然而,不受过度收集这种消极性权利难以通过直接立法的方式进入刑事诉讼法。原因在于,消极性权利具有刑事诉讼人权属性,应是犯罪嫌疑人、被告人在刑事诉讼中享有的最低限度保障。对于这类权利,刑事司法机关不仅需要负担消极义务,即不得任意侵犯的义务;还需要履行积极义务,即通过刑事诉讼程序为其权利侵害提供救济。从可行性上看,权利入法的成本极高。而从传统规范基础来看,信息隐私权是围绕着空间、事物、主体三个维度展开的个人本位权利。信息性隐私权在空间上保护的是个人独处的安宁权,在事物上保护的是对于私人而言具有亲密性、敏感性的事物,在主体上保护的是信息主体的控制权。个人信息不受过度收集权利可以归为信息隐私权的主体维度,从而具有隐私权的人权地位。因此,消极性权利可以采取渐进式入法路径,以嫁接的方式将其解释为刑事诉讼中的信息隐私权。
(三)刑事诉讼中个人信息保护的制度构建
刑事诉讼中个人信息保护应以“不受过度收集权利”为规范对象,以信息性隐私权为保障对象,从而将公权力对一般信息的过度收集行为纳入刑事诉讼法的规制对象之中。在此基础上,刑事诉讼应适度引入个人信息保护法的基本原则,严格限制概括性取证行为带来的取证对象泛化问题。
1.贯彻落实《个人信息保护法》的基本原则
第一,知情同意原则的区分适用。《个人信息保护法》第14条规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。”知情同意是个人信息收集、储存、使用、加工、公开等活动的前提条件之一。对于刑事诉讼而言,侦查秘密原则和履行法定职责或法定义务往往使刑事司法成为知情同意原则的适用例外。但本文认为,应针对不同主体区分知情与同意原则的适用条件。第一步,应对知情同意原则进行区分。在刑事诉讼中,知情权是犯罪嫌疑人、被告人基础性权利,公安司法机关的告知义务原则上只能延后并不能免除,除非涉及国家秘密和危及国家安全。同意则具有授权或权利放弃意义,主要是为了协助公安司法机关处理个人信息而存在的。第二步,在个人信息的收集、储存、使用环节,犯罪嫌疑人、被告人的知情同意根据侦查机关实施行为的性质而有所差异。当侦查人员通过强制侦查收集个人信息时,由于该类侦查行为对公民权利的干预程度较高,应尽可能通过告知的方式来获取犯罪嫌疑人、被告人的同意,从而使强制侦查转化为经同意型侦查。只有当告知可能严重影响侦查效率或违反侦查秘密原则时,方可事后告知。在个人信息的公开环节,犯罪嫌疑人、被告人应知悉司法公开的内容,但是否获取其自愿同意对于司法公开不具有决定性影响。其他诉讼参与人对是否司法公开以及司法公开的内容均有知情同意的权利。
第二,合目的性原则的严格审查。在刑事诉讼中,合目的性原则不仅是比例原则的基本要求,也是衔接刑事诉讼程序内外个人信息保护的指导思想。《个人信息保护法》第6条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”在刑事诉讼中,个人信息的处理目的主要分为基于国家安全的预防犯罪目的、追诉犯罪目的和司法公开目的,三者与个人信息的合目的原则呈现出逐渐紧密的关系。首先,基于国家安全的预防犯罪目的,刑事司法机关可以基于预防目的事前收集、比对和使用个人信息。此时个人信息与处理目的的关联度应当采取较为宽泛的解读方式,但收集的个人信息仅供预防国家安全犯罪使用,不得他用。其次,基于追诉犯罪目的,刑事司法机关可以通过正当程序收集个人信息。此时个人信息具有特定性,即犯罪嫌疑人的个人信息。因此,刑事司法机关不得基于预防犯罪目的收集不特定人员的个人信息,应遵循“最小范围”的条件限制。最后,当刑事司法基于司法公开目的进行个人信息处理时,“由于司法公开的本质是在有限时空条件下针对特定主体的公开,既不得影响法官独立、公正行使审判权,也不得过分暴露当事人的隐私及个人信息”。因此,刑事司法机关基于司法公开目的披露个人信息时,应尽可能保护刑事诉讼当事人的个人信息。在判断是否与处理目的“有关”时,应采取较为严格的判断标准。
2.刑事诉讼应重点限制概括性收集行为
在刑事诉讼中,个人信息保护更多表现为针对风险的前置性保护,如防范侦查人员通过任意侦查大量收集一般信息从而获得隐私信息。因此,刑事诉讼对于个人信息保护的重点在于收集、使用。在理想状态下,应既限制侦查人员概括性收集个人信息,又限制侦查人员的利用个人信息进行分析。然而,现实情况是,公安司法机关的数据分析、处理行为均属于内部活动,表现为案情分析、会议研讨、自由心证等。这种对已有证据或情报的分析过程就如同“算法”一样必然是不公开的。事实上,即使是域外国家也并未将案件分析过程作为个人信息保护的重点。对于刑事诉讼而言,个人信息保护的重点在于如何限制概括性收集行为,而非分析行为。具体表现为:第一,在侦查过程中,过度收集个人信息在拓展侦查取证范围的同时,也可能会催生出侵犯公民隐私权和财产权的新型风险,“尤其体现在电子数据搜查、扣押中概括式取证方式对侦查对象特定性原则的冲击。”对此,应尽可能地限制侦查人员收集个人信息的概括性,具体可通过保障犯罪嫌疑人的知情权和明确侦查取证的相关性来予以完善。当侦查人员通过任意侦查收集个人信息时,由于此类侦查措施的干预程度较低,在收集时无须经过数据主体的同意。但鉴于对一般信息“不受过度收集权利”的保护,侦查人员仍须事后告知犯罪嫌疑人。对于被害人和其他诉讼参与人而言,刑事司法机关收集、储存以及使用其个人信息均须在知情同意的基础上。当侦查人员收集个人信息时,原则上可识别性个人信息必须与案件事实具有清晰的相关性,侦查人员不得基于预测犯罪目的或因侦查取证的技术能力不足而概括性收集个人信息。第二,在刑事审判过程中,“我国刑事远程审判的实践探索历时十余载,已初步实现了对于诉讼形态的外部改造——以网络信息化技术拓展了法庭的运作空间”。由线下到线上、线下相结合的审判方式改革必然会使审判机关扩大对个人信息的收集广度和深度,对此也应予以限制。具体而言,在远程审判的身份认证上,应以确认诉讼主体身份真实为限,不得过度收集诉讼主体诸如指纹、人脸识别等生物信息。在证据审查上,应依照《刑事诉讼法》规定的证据种类进行审查,避免与案件无关或具有品格倾向的证据借由电子数据进入法庭审判之中。在审判过程中,审判机关收集和公开的个人信息也应仅限于身份审查、证据材料、法律文书中涉及的个人信息。
(吴桐,北京大学法学院诉讼法专业博士研究生。)
Abstract:In criminal procedure,the right to personal information does not conform to the human rights characteristics of criminal procedure centered on due process right,in which the right to be forgotten and the right to access data possess no attributes of independent litigation right.The theory of the independent right to personal information lacks a legitimate basis and should not be used as the protection model of personal information in criminal proceedings.Given the particularity of interest measurement and the individuality and negativity of human rights in criminal procedure,the protection of personal information in the criminal procedure should be aimed at the risk of transformation from collective general information to private sensitive information.Specifically,it is the right of personal information not to be excessively collected.Accordingly,the personal information protection should be included in the scope of criminal procedure by the conceptual interpretation of the informational privacy,i.e.,the dependency protection model.In this regard,the criminal proceeding should appropriately introduce the basic principles of personal information protection and the limited general forensic to deal with the impact and challenge of emerging right claim on the criminal justice system.
Keywords:Personal Information;Basic Rights;Personal Information Protection Law;Dependency Protection
(责任编辑 杜 磊)
关键词:个人信息 基本权利 《个人信息保护法》 依附型保护
一、问题的提出
近年来,个人信息保护或许是最具争议性的法学研究议题与最具复杂性的司法实践难题。一方面,基于数据跨境流通的利益考量,世界各国均对个人信息的法律保护问题进行了深入的理论探讨与立法研究,数据立法的普遍化和域外适用扩张现象凸显,这也引发了国内学者对于个人信息保护的持续关注。另一方面,最初在私法领域诞生的个人信息保护问题逐渐开始向诸如刑法、行政法等公法领域扩张,个人信息保护大有成为“领域法学”的发展趋势。2021年11月1日起《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)开始实施,该法第1条明确规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”因此,如何根据个人信息保护的发展趋势,构建出一套保障数据权利、促进数据流通的法律制度框架,成为当前理论研究和司法实践迫切需要解决的难题。
“我国似乎已经初步建立起法律法规、行业规范、技术标准为一体的多层次、综合性个人信息保护制度框架”。但与民商法领域对个人信息的私法保护、行政法领域对政府行政行为的约束相比,“基于国家安全、社会安全等例外事由遮蔽下的刑事司法、执法领域的个人信息保护已经成为个人信息保护整体制度的短板”。虽然国家安全与个人权利存在利益性质和价值位阶上的差别,但刑事司法并非以保障国家安全为唯一的价值追求,安全与权利的矛盾冲突也绝非司法常态。若从追诉犯罪的公共利益与保障公民权利的矛盾冲突视角来看,刑事司法也不应是个人信息保护的制度禁区。我国个人信息保护的立法也并未排斥国家机关的个人信息处理行为。《个人信息保护法》第33条规定:“国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。”公安司法机关作为国家机关自然也应遵循《个人信息保护法》的基本原则和特殊规则。刑事诉讼应如何保护个人信息就是本文研究的重点问题。
尽管加强对个人信息的法律保护已经成为学界的共识,但对于刑事诉讼而言,仍然面临着什么是个人信息保护的权利基础以及应通过何种方式予以保护等基础理论争议。这不仅关乎个人信息在刑事诉讼中的性质定位问题,也决定了刑事诉讼应采取何种形式和在何种程度上保护个人信息。上述争议可以表现为以下四个问题:私法上区分个人信息与隐私的现实考量和理论意义是否可以直接适用于规范国家公权力的刑事司法领域?若在刑事诉讼中引入个人信息权,其是否应属于独立的诉讼人权或诉讼权利?个人信息能否作为隐私权的组成部分纳入“传统人权保障”的辐射范围?刑事诉讼应如何处理信息化时代背景下“新兴权利”的保护诉求?对这些问题的回答需要以刑事诉讼中个人信息保护的特殊性为前提,以个人信息保护的权属论为基础,以具体的制度设计为解决方案。
围绕上述问题,本文第二部分将总结个人信息保护的利益衡量要素以及刑事司法活动的特殊性,即刑事诉讼中个人信息保护的利益论。第三部分将总结目前学界提出的将个人信息作为刑事诉讼中独立权利的观点,并反思独立权利论存在的问题,即刑事诉讼中个人信息保护的权属论。第四部分将提出我国刑事诉讼应如何保护个人信息的解决方案,即刑事诉讼中个人信息保护的制度论。
二、刑事诉讼中个人信息保护的利益衡量
个人信息保护逐渐从私法领域向公法领域扩张,成为一个横跨公私法领域的研究问题。目前学者提出的综合保护或公私保护理念回答了个人信息在整体法律制度中应通过何种路径予以保护的问题,体现了个人信息的多元法益基础,也成为建立激励相容型个人信息保护法的理由所在。因此,个人信息保护背后必然面临着多种利益的博弈与衡量。然而,复杂的利益格局无法掩盖不同部门法中个人信息保护的特殊性,即应区分专门法中的个人信息保护和部门法中的个人信息保护,遵循“统一立法、分类保护”的思路。对于个人信息保护而言,无论是公法还是私法均是处理不同主体的利益诉求与利益冲突。因此,如何看待利益衡量问题对于探讨刑事诉讼中个人信息保护的特殊性具有重要意义。
(一)个人信息保护中的利益衡量问题
个人信息的含义根据讨论背景和语境的不同有所差异,这决定了在不同部门法领域中个人信息的利益衡量要素和判断标准也存在本质区别。在私法领域中,个人信息保护先后面临着如何区分隐私与个人信息以及个人信息是权利还是权益的两大争议。目前学界关于前者的认识基本达成一致,即个人信息与隐私权和而不同,“隐私权是信息能力平等的主体间的交往行为。个人信息保护为信息处理者对个人信息的处理行为”。后者的争论则仍在继续。若主张个人信息属于具体的人格权,那么个人信息权就属于自主控制型权利,也就具有了具体人格权的支配性和排他性。此时,个人信息保护的利益衡量问题就转化为信息主体享有的人格尊严和自由利益与其他自然人主体言论自由利益、法人或其他组织经济利益之间的协调问题,利益衡量的判断标准也应以保障、尊重民事权利为重点。若主张个人信息属于受法律保护的一般人格权利益,则否定了个人信息权的支配性与排他性。此时,私法领域的个人信息保护主要依靠的是侵权法救济。“换言之,只要个人信息的利用行为不侵害主体的合法利益,信息控制者的利用行为就具有了合法性。”
但无论是区分隐私保护与个人信息保护还是对个人信息法律性质的讨论,若仅限于民商法领域的话,个人信息保护与利用均属于平等民事主体之间的利益冲突问题,既无法针对具有持续性不平等信息收集能力的主体,也不涉及民事主体利益在面对国家安全、追诉犯罪以及社会管理等高位阶利益时的妥协与让步。国家机关也并未直接以利益主体的身份介入信息主体与义务主体之间的利益衡量之中,而是作为中立的第三方以立法规范或司法裁判指引的方式对上述利益冲突进行协调。
仅从私法领域来看,个人信息保护中对抗的是平等民事主体,通常是以停止侵害、排除妨碍、消除危险、赔偿损失等民事责任作为制裁救济手段。然而,个人信息蕴含的公共管理价值促使国家也成为个人信息的收集、使用主体。由此自然催生出公法介入个人信息保护的现实需求。在公法领域中,个人信息的意思自治性和主体平等性等个体价值被缩限,交互性、分享性等公共价值被放大,形成了“个人信息受保护权—国家保护义务”的理论分析框架。其中,个人信息受保护权的防御权功能对应着国家消极义务,即严格限定基于公共利益需要收集和使用个人信息的范围。个人信息受保护权的客观法功能对应着国家积极义务,即国家必须创造和维护有利于实现个人信息保护的制度环境。因此,在公法领域的利益衡量中,个人信息保护面对的是公共利益。此时,国家机关可能身兼个人信息的侵权方和个人信息保护的制度建设者两种身份,两种身份的协调则有赖于国家保护义务的落实。正因如此,我国宪法学者主张在基本权利层面上,“个人信息保护法律体系是以作为宪法基本权利的个人信息受保护权为概念基础”。
由此可见,虽然个人信息保护涉及国家、企业和个人三者的关系,但私法保护仅是平等民事主体的利益衡量问题,公法保护则可以协调个人信息受保护权和国家保护义务之间的利益冲突,从而与私法保护互为补充。根据行为性质以及法律调整关系的不同,两者讨论的利益衡量也存在衡量对象、衡量标准上的差异。对于刑事诉讼而言,如何在公法和程序法的双重定位下实现对个人信息的保护,显然与上述民商事领域讨论并无直接关系,基于社会管理目的产生的公共利益与基于追诉犯罪目的产生的公共利益也存在本质区别,有必要单独予以论述。
(二)刑事诉讼中个人信息保护的特殊性
刑事诉讼中个人信息保护的特殊性应为“合理限制性”而非“完全排除性”。一方面,刑事司法同样面对着平衡保护个人信息和利用个人信息的基本矛盾,即个人信息保护的利益衡量问题。另一方面,刑事司法对个人信息保护也具有特殊性,主要表现在利益衡量中利益形态和利益选择的特殊性。
在传统理论研究中,刑事诉讼中的利益往往被分为国家及社会利益、某一社会方面的总体利益和个别利益。“当不同利益发生冲突应予以权衡时,应以权衡的结果是否利于国家及社会的根本利益作为选择的标准。”然而,只有将不同性质的利益置于同一层次上才具备选择的基本前提,上述分类方式和权衡标准仅体现了刑事诉讼中不同利益之间的服从关系,而非利益选择。对此,有学者提出了国家和社会利益、犯罪嫌疑人和被告人利益以及被害人利益的划分方式,并指出立法者在进行利益选择时,并不总是完全保护一种利益而放弃另一种利益,而是将对立着的两种利益都进行适当的抑制,使得利益选择达到一种动态的均衡。
在个人信息保护的问题上,以往许多国家的个人信息保护法均将国家安全作为一项常见的适用例外加以排除,以保证执法机关的执法活动不受外界的干预和影响。但随着个人信息与公民生活的联系日益紧密,国家安全或追诉犯罪需要与个人信息保护的利益服从关系也并非绝对,如近年来各国刑事判决中频繁引用的马赛克理论(mosaic theory)认为:“个人信息如同马赛克拼图一般,乍看微不足道、琐碎的图案,拼聚一起呈现一个宽广、全面的图像。个人对于零碎的信息或许主观上并没有隐私权遭受侵害之感受,但大量信息累积仍会对个人隐私权产生严重危害。”在刑事司法中,个人信息与隐私之间的界限愈发模糊。与此同时,追诉犯罪背后的公共利益具有紧急性和重要性,这又使刑事诉讼中的个人信息保护应不同于民商法或行政法领域的个人信息保护。因此,刑事诉讼中个人信息保护的特殊性应从“完全排除”的例外性走向“合理限制”的层次性。
首先,刑事诉讼对个人信息的保护主体应区分犯罪嫌疑人、被告人和其他诉讼参与人。从权力关系来看,虽然犯罪嫌疑人、被告人与其他诉讼参与人均有配合刑事司法机关的义务,但两者义务的表现形式并不相同。犯罪嫌疑人、被告人的配合义务在于刑事司法机关可以基于正当目的对其享有的基本权利进行限制,此时犯罪嫌疑人、被告人与刑事司法机关呈现出“权利克减”关系。“其他诉讼参与人与刑事司法机关或表现为一种委托代理关系,即国家追诉犯罪的一切权力来自公民与政府之间的契约或委托”;或者表现为公民对国家的协助义务和可豁免权利,如刑事诉讼中的证人作证义务和作证豁免权。因此,当其他诉讼参与人的个人信息利益与公共利益产生冲突,如被害人应如实向公安司法机关陈述案件事实、接受公安司法机关对其进行的人身检查以及审判公开、出庭作证对证人、被害人个人信息的披露以及随之而来的“二次伤害”风险等时,刑事司法机关超越“配合目的”收集、公布其他诉讼参与人个人信息的行为不符合“必要性”要求。
其次,刑事诉讼中犯罪嫌疑人、被告人的个人信息保护存在基本权利和公共利益两种属性。在刑事诉讼的利益衡量中,公共利益与基本权利成为利益衡量的典型对象。因此,刑事诉讼中犯罪嫌疑人、被告人的个人信息保护是指当刑事司法机关基于追诉犯罪的目的收集个人信息时,其行为的正当性取决于公共利益和基本权利衡量后的结果是否适当和行为的实施过程是否正当,即结果的适当性和过程的正当性。具体而言,刑事诉讼中犯罪嫌疑人、被告人享有的权利分为由宪法规定的权利和基于防御追诉权的权利。前者与公共利益属于异质利益衡量,无法从单纯从结果上得出利益衡量是否妥当的结论,刑事司法机关对于消极性权利应履行消极性义务。后者在于维护国家承诺的法治秩序与正当程序,有着为履行社会任务和实现公共价值而存在的必要。该权利与公共利益属于同质利益衡量,基于追诉犯罪目而衍生出的公共利益对其具有优位性,刑事司法机关对于积极性权利应提供必要的程序保障。
最后,刑事诉讼中个人信息保护的利益衡量调整的是基于追诉犯罪目的的国家公权力与刑事诉讼当事人个人利益之间的矛盾冲突。因此,一方面,侦查人员基于预防犯罪目的或社会管理目的收集个人信息的行为,如设立大规模的公共视频监控、警务系统对个人信息的登记、储存等警务信息管理和预测警务行为均不属于刑事诉讼的调整范围而应归为警察行政法。对于上述个人信息,刑事司法机关主要是通过“调取”来进行二次收集、使用。因此,规制的重点在于“二次收集、使用”的调取行为,而非基于行政管理目的的收集、储存行为。另一方面,刑事司法机关因信息管理系统存在漏洞造成大量个人信息不当泄露的行为也不属于刑事诉讼中个人信息的保护问题,而是刑事司法机关作为个人信息保护的行政机关所应承担的行政责任问题。
可以看出,随着个人信息保护进入公法领域,平等民事主体之间的利益衡量规则无法直接适用于政府行政执法行为。由此,私法上个人信息权的内涵被缩限为“个人信息受保护权”,国家机关一方面身负不得侵犯的消极义务,此时个人信息受保护权的主观面向往往会与宪法上的隐私权、通信秘密权产生竞合;另一方面负有构建有利于个人信息保护环境的积极义务。然而,上述区分在刑事诉讼领域进一步被缩限。第一,刑事诉讼是依照法定程序,解决嫌疑人、被告人刑事责任问题的活动,刑事诉讼中基本权利所构建的客观法秩序也仅体现在刑事程序内,因此,刑事诉讼既无法规范商业性组织的“准数据权力”,也无法限制履行公共职能主体的“公共数据权力”。目前学界讨论的公共监控、人脸识别的风险问题更多属于警察行政领域,而非刑事侦查。第二,即使是在刑事诉讼程序内,犯罪嫌疑人、被告人享有的个人信息利益也仅表现为单纯的敏感信息和由非敏感性信息集合形成的间接敏感信息。
三、刑事诉讼中个人信息保护的独立权利论及反思
刑事诉讼中个人信息保护的特殊性仅能得出“刑事司法对个人信息保护应从完全排除走向合理限制”这一理念。但在上述论述过程中,笔者并未区分使用个人信息和隐私这两个概念,而是将个人信息作为两者的代称论述刑事诉讼保护个人信息(隐私)的特殊性。为深入论证刑事诉讼应如何保护个人信息,还需要对刑事诉讼中个人信息权究竟应归属于何种权利进行考察。
(一)刑事诉讼中个人信息保护的独立权利论
如何将个人信息保护的理念落实到具体刑事诉讼制度之中有赖于明确个人信息的权属,即在个人信息上设定的权利属于何种权利以及归属于谁的问题。在这一问题上,个人信息保护的独立权利论尤为值得关注。
目前刑诉学界论证个人信息权的独立性主要分为以下三种观点:第一,由于隐私权存在保护对象的局限性、保护方式的消极性以及保护边界的模糊性三种弊端,需要确立个人信息权的基本权利属性对隐私权保障的弊端进行补足。该观点认为,个人信息权利之所以具有独立性是因为隐私权保护存在无法避免的漏洞。第二,应将个人信息权归属于《宪法》中未列举的基本权利,这既是域外国家的普遍做法,也可以从我国《宪法》中人格尊严、通讯秘密与自由以及不受非法搜查权利推导出来。因此,个人信息权属于刑事诉讼中的独立人权。第三,刑事诉讼中个人信息权与刑事诉讼权利在权利结构上具有高度近似性,个人信息权完全具有刑事诉讼权利概念属性,个人信息权属于承载公民其他人格利益的第三层级诉讼权利。该观点主要从权利结构和权利特征方面将个人信息权归为诉讼权利。
在信息化时代,公民对个人信息保护具有强烈的权利需求是一个不证自明的问题。然而,在刑事诉讼中,权利需求是否必然会转化为新兴权利则有待进一步论证。在法理层面上,新兴权利的成立并不能直接由权利需求推导而出,否则必然会引发权利泛化的消极影响。一项新兴权利之所能够得到证成,需要从权利的内在理由和外在理论分别进行论述。并且,“人权概念是在社会发展过程中形成的对人在经济、文化、政治活动中的本质进行抽象化的产物”。刑事诉讼理论无法单独证成个人信息权的人权属性。因此,从理论上证成个人信息权属于独立权利至少需要处理以下两个问题:第一,个人信息权是独立的基本权利还是独立的诉讼权利?第二,个人信息权与隐私权是否存在根本区别?本文认为前两种观点对个人信息权属于基本权利的论证并不充分,而将个人信息权视为第三层次诉讼权利的观点既无法抵御公权力对个人信息权的不当干预,也无法证成诸如被遗忘权、数据访问权的独立性。
(二)权利性质:个人信息权不具有独立的刑事诉讼人权属性
从民商法领域来看,个人信息权具有以知情同意为基础的积极权能,如知情权、同意性、访问权、可携带权和利用收益权和以删除权为代表的消极权能,如更正权、限制权、反对权以及被遗忘权。这些附属权利使个人信息权成为与隐私权不同的综合性权利。然而,上述私法权利的合理性并不能直接成为刑事诉讼人权的正当性依据。
“人权是一种应然的理念,也是一种制度性的事实,还是一种现实的社会关系本身。”若想主张个人信息权属于刑事诉讼中的人权,应先论证其在宪法上的基本权利地位。对此,有法理学者认为信息存在方式、权利发展的数据信息生态和信息时代的社会解组共同促使数字人权成为第四代人权。但该观点同时也面临着数字人权不符合“人的尊严”标准和“最低限度基础性”标准的质疑。数字人权的概念成立与否尚处于争论的焦点,难以将其直接作为论述依据证明个人信息权的刑事诉讼人权属性。即使从比较法的经验观察,认为欧洲国家将个人信息权确立为刑事诉讼人权的观点也有待商榷。欧洲国家虽然将个人信息保护上升至基本权利或人权保护的层面上,但根据欧洲委员会《个人数据自动化处理中的个人保护公约》的规定,个人信息并非是全面的、绝对的支配权,而是“控制并处理该数据的权利”,即个人信息的受保护权(the right to protection of personal data)。对此,高富平教授强调:“在研究和借鉴欧洲个人数据保护制度时,必须尊重一个基本事实,即个人信息保护权必须受到其他基本权利的限制,必须在其他基本权利获取充分保障的框架中才能得以行使。个人数据保护权本质上体现为一组宽泛的原则和详细的行为规范。”这与刑事诉讼中人权的概念存在根本区别。
实际上,宪法的基本权利和刑事诉讼人权并非是完全一致的概念。虽然刑事诉讼的人权来源于宪法基本权利的规定,但在人权保障对象、具体范围与基本权利仍存在区别。第一,刑事诉讼中的人权具体应属于消极人权而非积极人权。在刑事诉讼中,人权保障之所以能够与控制犯罪成为相同位阶的价值追求,原因就在于人权的最低限度性和普遍性。上述两个特性决定了人权在任何国家、任何案件类型以及任何刑事诉讼阶段均具有相同含义和地位,这样方可有效发挥其抵御国家公权力的消极作用。因此,以知情同意为基础的个人信息积极权能无法被刑事诉讼人权的消极性容纳。第二,人权是犯罪嫌疑人、被告人享有的权利,特指正当程序权。宪法人权一般存在实体性权利、程序性权利和复合性权利三种形式。在刑事诉讼中,人权的实体性权利应表述为不受国家机关任意侵犯的生命、自由、财产以及隐私的权利,即正当程序权利。因此,已被定罪或被错误定罪的公民并不属于刑事诉讼中的犯罪嫌疑人、被告人,其对刑事司法机关主张的被遗忘权和更正权即使具有消极性也不属于刑事诉讼中的人权。若从刑事诉讼人权的概念来检视个人信息权,只有犯罪嫌疑人、被告人的消极权能才属于刑事诉讼人权的保障范畴,但在消极人权上个人信息权与隐私权又难以完全分离,这就导致个人信息权即使存在部分刑事诉讼人权属性,也不具备独立于隐私权的地位。
(三)权利位阶:个人信息权不应作为独立的诉讼权利
独立权利论从个人信息权的权利内容和权利性质上论述其属于刑事诉讼人权的观点缺乏合理性。对此,有学者通过降低个人信息权的权利位阶来论证其独立性。具体表现为,首先,将个人信息权解释为程序性、可放弃的诉讼权利,以此避免个人信息权与人权概念的矛盾冲突。其次,根据利益位阶分析法,将个人信息权归类到关系诉讼参与人除生命、自由、健康之外的其他人格利益的第三层级权利。个人信息权一方面需要为第一层级的生命、自由、健康权让步,在与公共利益的衡量中也处于劣势;另一方面,其主体也从犯罪嫌疑人、被告人扩展至全部的诉讼参与人。最后,个人信息权作为独立诉讼权利的必要性在于其涵盖的具体权利已具备规范基础,如数据访问权与阅卷权、被遗忘权与犯罪记录封存等。但笔者认为,个人信息权难以通过低位阶的诉讼权利进入刑事诉讼法。
第一,数据访问权与阅卷权、被遗忘权与犯罪记录封存并不存在对应关系。就数据访问权而言,欧盟《一般数据保护条例》第15条规定:“数据主体应当且有权从数据控制者处得知,其个人数据是否正在被处理,如果正在被处理的话,数据主体有权访问个人数据并获知相关信息,如处理的目的、个人数据类型、储存期限、数据主体所拥有的相关权利等。”可以看出,数据访问权是数据主体对其个人信息所拥有的权利,具体表现为“对个人信息相关活动的知情权”。然而,根据《刑事诉讼法》第40条规定,辩护律师查阅、摘抄、复制的是全部案卷材料,其中既包括犯罪嫌疑人、被告人的供述,也包括侦查人员收集的控方证据。从个人信息的概念属性来看,控方证据显然难以被归入数据访问权的对象之中。因此,数据访问权与阅卷权的关系,并非主张者提出的“数据访问权在适用范围和适用对象上大于阅卷权”。若从电子阅卷或网上阅卷的行为方式来看,数据访问仅表现为电子化、在线化的阅卷行为,而不具有独立的权利属性。从《个人信息保护法》的规定来看,数据访问仅停留在“防止未经授权的访问行为”,而非确立个人信息持有人的访问权利。
第二,就被遗忘权而言,被遗忘权的创新之处在于给予已经被公开的信息撤退回隐私域的可能。从权利性质来看,被遗忘权并非是一种价值取向,而是通过引入“被遗忘”的利益诉求来达到利益衡量和冲突解决的功能。在刑事诉讼中,被遗忘权的主体被分为已被定罪之人、被害人、无辜者以及证人和其他诉讼参与人,客体则是新闻媒体和刑事司法机关。然而,上述主体的利益诉求均难以证成刑事诉讼中被遗忘权的正当性。对于被害人、证人和其他诉讼参与人而言,其享有的并非是针对已公开信息的被遗忘权而是在公开信息时的知情同意或申请不公开的权利。对于无辜者而言,无辜者申请删除的是错误定罪信息,而非经同意公开的信息,并不属于被遗忘权的利益衡量对象。已被定罪之人要求新闻媒体删除相关信息虽然属于被遗忘权,但新闻媒体并非刑事司法机关,该权利自然不属于刑事诉讼中的被遗忘权。已被定罪之人而言,其向刑事司法机关申请删除相关定罪信息时,面对的是信息主体回归社会的期待利益与基于社会管理的公共利益。此时,刑事司法机关保存或公开其犯罪记录并非是基于追诉犯罪的目的,而是基于公共知情权、预防犯罪等社会管理目的。因此,被遗忘权也不具有独立的刑事诉讼权利属性。
更为重要的是,第三层级的权利位阶无法彰显信息主体的利益诉求。在利益衡量的过程中,个人信息权的低位阶性往往使其被公共利益过度限制。但正如上文所述,在刑事诉讼中,只有个人信息保护具有公共利益属性时,才存在同质利益的衡量问题。当个人信息作为权利予以保护时,其所承载的个人利益与追诉犯罪的国家、社会利益属于同一位阶上的两种异质利益,利益衡量的正当性在于程序是否正当而非衡量结果是否适当。
四、刑事诉讼中个人信息保护的依附性制度构建
对于兼具私人利益价值和公共流通价值的个人信息而言,公法在构建平衡商业价值和私人利益的个人信息有序流通秩序、确立以个人信息受保护权和国家保护义务为框架的权力保护模式等问题上具有不可替代的地位。刑事诉讼作为具有公法属性的部门法和保障实体法准确实施、维护程序正义的程序法,是否也应主动适应个人信息保护综合化、基础化的这种理论趋势自然成为值得探讨的理论问题。公安、司法机关可以通过追诉侵犯公民个人信息的相关犯罪来达到救济被害人、威慑潜在犯罪行为以保护个人信息的目的。但与此同时,刑事追诉也存在收集、分析以及披露个人信息的实践需求。此时,公安司法机关与个人信息主体便处于公权力与个人信息利益的对立两方,以追诉犯罪为己任的国家机关自然就有转化为侵犯个人信息利益主体的风险。并且需要注意的是,当公安司法机关超越配合义务的合理范围时,被害人、证人以及其他诉讼参与人的身份已经发生实质转变,成为刑事诉讼程序中公权力的干预对象,与犯罪嫌疑人、被告人具有同等重要的保护地位。个人信息的利益论说明刑事诉讼有保护个人信息的必要性,但相较于民商事领域和行政执法领域而言,个人信息保护应受到追诉犯罪的利益限制。个人信息的权属论则说明,在刑事诉讼中个人信息权不具备刑事诉讼人权的属性,诉诸低位阶诉讼权利的做法也无法证成其作为诉讼权利的独立性。由此而来的问题是,刑事诉讼如何应对个人信息保护带来的挑战。
(一)刑事诉讼中个人信息权的核心
在刑事诉讼中,个人信息权保护的应是信息主体不被过度收集的权利。个人信息一般被分为敏感信息和一般信息,其中敏感信息通常被认为是构成个人隐私的信息,而一般信息则是指不构成隐私的信息。因此,仅从信息内容上看,个人信息的概念外延大于隐私信息。对于刑事诉讼而言,隐私权作为宪法的基本权利通常被转化为“不受任意搜查、扣押”的刑事诉讼人权,进而将通讯监听等实时监控行为纳入正当程序原则的规范领域。由此看来,隐私信息本就属于刑事诉讼中隐私权的保障范围,并不存在新的理念冲击。
但随着数据收集、分析技术的更新迭代,一般信息和敏感信息的界限也愈发模糊,刑事司法机关通过大量收集相同种类或不同种类的一般信息,往往可以得到涉及犯罪嫌疑人、被告人隐私的敏感信息,此时个人信息权的重要性就凸显出来。如何去规范这种针对非隐私信息的长期性、广泛性的收集成为传统隐私权难以应对的难题。与此同时,刑事司法机关通过算法对不同种类的个人信息进行自动分析的做法,也有混淆行政执法和刑事侦查界限的风险。因此,本文认为个人信息权在刑事诉讼中的本质在于保障信息主体不受过度收集权利。
域外国家是也在此基础上对个人信息进行保护。如2018年美国联邦最高法院在Carpenter案的判决中就指出,手机的历史基站信息与银行账户、手机号码等常规第三方商业信息不同,具有隐蔽性、连续性、回溯性等特性。对此,联邦宪法第四修正案的保护范畴也应扩大到手机定位信息上。侦查人员在没有搜查证的情况收集手机基站信息的做法违宪。在本案中,侦查人员从第三方机构调取了犯罪嫌疑人12,898个手机基站信息。从传统侦查理论来看,第三方机构的信息属于商业信息,根据第三方准则应属于隐私合理期待权的例外。但Carpenter案的多数意见认为,手机基站定位信息记录提供了一个窥视他人生活的便捷窗口,五年的数据保留期也给予了警察接触此前未知信息的机会。因此,侦查人员过度调取个人信息的做法使其获得的未知信息超出“商业信息”范畴,也就不适用第三方例外的准则。
侦查人员自行收集个人信息的行为不应超过必要的限度。如2017年日本最高裁判所在GPS侦查案的判决中指出:“GPS 侦查的实施必然会伴随着对个人活动持续、全面地掌握,可能会对隐私权造成侵害。此外,将可能造成上述侵害的设备秘密安装在私人物品上的做法,不同于侦查人员在公共道路上肉眼观察或拍照摄影等方法,应属于运用公权力入侵私人领域的侦查行为。”对此,日本学界认为虽然公共区域内的活动通常属于刑事诉讼中隐私权保障的例外,但侦查人员持续、全面地收集位置信息,从而依托于信息分析映射出“人物像”时,就有入侵公民私人领域的侵权风险。具体应从强制侦查立法主义出发,通过立法限定侦查人员对位置信息的收集时间和范围。
与“不受过度收集”相比,不受分析权利并非是刑事诉讼中个人信息保护的核心。原因在于,刑事诉讼中的个人信息保护针对的是可能存在的信息滥用和隐私干预风险。在传统侦查活动中,侦查人员通过现场勘查、调查访问以及摸底排查等任意侦查行为收集的案件信息,经过案情分析同样有知悉隐私信息的可能性,信息技术的发展仅是提高了分析行为的可能性,并没有改变该行为的性质。为了防范这种以“任意侦查”之名行“强制侦查”之实的做法,刑事诉讼法应规制的是前端的过度收集行为,而非分析行为。
综上所述,在刑事诉讼中,个人信息权主要表现为不受过度收集的权利。刑事司法机关对于“一般信息”的广泛收集可能使相关结论具有隐私信息的属性,从而冲击了以传统隐私权为基础构建的刑事诉讼规则,这也是刑事诉讼保护个人信息的本质所在。
(二)个人信息权的依附型入法路径
现代社会对“过度收集”行为的警惕是为了防范大规模收集个人信息行为背后可能带来的隐私权干预风险。个人信息权对刑事诉讼的冲击在于将“隐私权的实际侵害性”转化为“隐私权的干预风险性”。然而,从权利内容来看,不受过度收集针对的是“一般信息”,与传统隐私权保护的敏感信息并不相同。那么对于这种新兴权利应如何予以保护则涉及刑事诉讼中新兴权利的入法路径问题。
在权利时代,新兴权利的出现是公民权利意识彰显的具体表现。一项新兴权利的出现代表着权利主张由少数人的诉求变为多数人的共识,从而具备了法律保护的社会基础。新兴权利的入法路径则反映出法律对待公民权利诉求的态度。在法治实践中,根据新兴权利是否可以直接而快速地入法,可以将入法路径分为两类:一是激进式入法路径,即新兴权利被直接写入法律条文;二是渐进式入法路径,即新兴权利通过自然演进的方式,平和而缓慢地进入法治体系。对于刑事诉讼而言,激进式入法路径通常针对的是程序性权利,如简易程序选择权、阅卷权以及上诉权等。原因在于,上述程序性权利多属于积极性权利,直接引入刑事诉讼法的权利成本较低,国家机关对此负担的积极义务和消极义务均可保持在一个平衡的状态。以简易程序选择权为例,被告人和辩护律师申请简易程序,法院进行形式审查即可。在简易程序的适用上,被告人选择适用简易程序和反悔均存在适用范围、条件和程序的限制。因此,对于程序性权利这种积极性权利通过立法赋予权利地位的同时,对其进行合理限制即可实现“权利保障”和“防止权利滥用”的双重目的。
然而,不受过度收集这种消极性权利难以通过直接立法的方式进入刑事诉讼法。原因在于,消极性权利具有刑事诉讼人权属性,应是犯罪嫌疑人、被告人在刑事诉讼中享有的最低限度保障。对于这类权利,刑事司法机关不仅需要负担消极义务,即不得任意侵犯的义务;还需要履行积极义务,即通过刑事诉讼程序为其权利侵害提供救济。从可行性上看,权利入法的成本极高。而从传统规范基础来看,信息隐私权是围绕着空间、事物、主体三个维度展开的个人本位权利。信息性隐私权在空间上保护的是个人独处的安宁权,在事物上保护的是对于私人而言具有亲密性、敏感性的事物,在主体上保护的是信息主体的控制权。个人信息不受过度收集权利可以归为信息隐私权的主体维度,从而具有隐私权的人权地位。因此,消极性权利可以采取渐进式入法路径,以嫁接的方式将其解释为刑事诉讼中的信息隐私权。
(三)刑事诉讼中个人信息保护的制度构建
刑事诉讼中个人信息保护应以“不受过度收集权利”为规范对象,以信息性隐私权为保障对象,从而将公权力对一般信息的过度收集行为纳入刑事诉讼法的规制对象之中。在此基础上,刑事诉讼应适度引入个人信息保护法的基本原则,严格限制概括性取证行为带来的取证对象泛化问题。
1.贯彻落实《个人信息保护法》的基本原则
第一,知情同意原则的区分适用。《个人信息保护法》第14条规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。”知情同意是个人信息收集、储存、使用、加工、公开等活动的前提条件之一。对于刑事诉讼而言,侦查秘密原则和履行法定职责或法定义务往往使刑事司法成为知情同意原则的适用例外。但本文认为,应针对不同主体区分知情与同意原则的适用条件。第一步,应对知情同意原则进行区分。在刑事诉讼中,知情权是犯罪嫌疑人、被告人基础性权利,公安司法机关的告知义务原则上只能延后并不能免除,除非涉及国家秘密和危及国家安全。同意则具有授权或权利放弃意义,主要是为了协助公安司法机关处理个人信息而存在的。第二步,在个人信息的收集、储存、使用环节,犯罪嫌疑人、被告人的知情同意根据侦查机关实施行为的性质而有所差异。当侦查人员通过强制侦查收集个人信息时,由于该类侦查行为对公民权利的干预程度较高,应尽可能通过告知的方式来获取犯罪嫌疑人、被告人的同意,从而使强制侦查转化为经同意型侦查。只有当告知可能严重影响侦查效率或违反侦查秘密原则时,方可事后告知。在个人信息的公开环节,犯罪嫌疑人、被告人应知悉司法公开的内容,但是否获取其自愿同意对于司法公开不具有决定性影响。其他诉讼参与人对是否司法公开以及司法公开的内容均有知情同意的权利。
第二,合目的性原则的严格审查。在刑事诉讼中,合目的性原则不仅是比例原则的基本要求,也是衔接刑事诉讼程序内外个人信息保护的指导思想。《个人信息保护法》第6条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”在刑事诉讼中,个人信息的处理目的主要分为基于国家安全的预防犯罪目的、追诉犯罪目的和司法公开目的,三者与个人信息的合目的原则呈现出逐渐紧密的关系。首先,基于国家安全的预防犯罪目的,刑事司法机关可以基于预防目的事前收集、比对和使用个人信息。此时个人信息与处理目的的关联度应当采取较为宽泛的解读方式,但收集的个人信息仅供预防国家安全犯罪使用,不得他用。其次,基于追诉犯罪目的,刑事司法机关可以通过正当程序收集个人信息。此时个人信息具有特定性,即犯罪嫌疑人的个人信息。因此,刑事司法机关不得基于预防犯罪目的收集不特定人员的个人信息,应遵循“最小范围”的条件限制。最后,当刑事司法基于司法公开目的进行个人信息处理时,“由于司法公开的本质是在有限时空条件下针对特定主体的公开,既不得影响法官独立、公正行使审判权,也不得过分暴露当事人的隐私及个人信息”。因此,刑事司法机关基于司法公开目的披露个人信息时,应尽可能保护刑事诉讼当事人的个人信息。在判断是否与处理目的“有关”时,应采取较为严格的判断标准。
2.刑事诉讼应重点限制概括性收集行为
在刑事诉讼中,个人信息保护更多表现为针对风险的前置性保护,如防范侦查人员通过任意侦查大量收集一般信息从而获得隐私信息。因此,刑事诉讼对于个人信息保护的重点在于收集、使用。在理想状态下,应既限制侦查人员概括性收集个人信息,又限制侦查人员的利用个人信息进行分析。然而,现实情况是,公安司法机关的数据分析、处理行为均属于内部活动,表现为案情分析、会议研讨、自由心证等。这种对已有证据或情报的分析过程就如同“算法”一样必然是不公开的。事实上,即使是域外国家也并未将案件分析过程作为个人信息保护的重点。对于刑事诉讼而言,个人信息保护的重点在于如何限制概括性收集行为,而非分析行为。具体表现为:第一,在侦查过程中,过度收集个人信息在拓展侦查取证范围的同时,也可能会催生出侵犯公民隐私权和财产权的新型风险,“尤其体现在电子数据搜查、扣押中概括式取证方式对侦查对象特定性原则的冲击。”对此,应尽可能地限制侦查人员收集个人信息的概括性,具体可通过保障犯罪嫌疑人的知情权和明确侦查取证的相关性来予以完善。当侦查人员通过任意侦查收集个人信息时,由于此类侦查措施的干预程度较低,在收集时无须经过数据主体的同意。但鉴于对一般信息“不受过度收集权利”的保护,侦查人员仍须事后告知犯罪嫌疑人。对于被害人和其他诉讼参与人而言,刑事司法机关收集、储存以及使用其个人信息均须在知情同意的基础上。当侦查人员收集个人信息时,原则上可识别性个人信息必须与案件事实具有清晰的相关性,侦查人员不得基于预测犯罪目的或因侦查取证的技术能力不足而概括性收集个人信息。第二,在刑事审判过程中,“我国刑事远程审判的实践探索历时十余载,已初步实现了对于诉讼形态的外部改造——以网络信息化技术拓展了法庭的运作空间”。由线下到线上、线下相结合的审判方式改革必然会使审判机关扩大对个人信息的收集广度和深度,对此也应予以限制。具体而言,在远程审判的身份认证上,应以确认诉讼主体身份真实为限,不得过度收集诉讼主体诸如指纹、人脸识别等生物信息。在证据审查上,应依照《刑事诉讼法》规定的证据种类进行审查,避免与案件无关或具有品格倾向的证据借由电子数据进入法庭审判之中。在审判过程中,审判机关收集和公开的个人信息也应仅限于身份审查、证据材料、法律文书中涉及的个人信息。
(吴桐,北京大学法学院诉讼法专业博士研究生。)
Abstract:In criminal procedure,the right to personal information does not conform to the human rights characteristics of criminal procedure centered on due process right,in which the right to be forgotten and the right to access data possess no attributes of independent litigation right.The theory of the independent right to personal information lacks a legitimate basis and should not be used as the protection model of personal information in criminal proceedings.Given the particularity of interest measurement and the individuality and negativity of human rights in criminal procedure,the protection of personal information in the criminal procedure should be aimed at the risk of transformation from collective general information to private sensitive information.Specifically,it is the right of personal information not to be excessively collected.Accordingly,the personal information protection should be included in the scope of criminal procedure by the conceptual interpretation of the informational privacy,i.e.,the dependency protection model.In this regard,the criminal proceeding should appropriately introduce the basic principles of personal information protection and the limited general forensic to deal with the impact and challenge of emerging right claim on the criminal justice system.
Keywords:Personal Information;Basic Rights;Personal Information Protection Law;Dependency Protection
(责任编辑 杜 磊)
.jpg)
京公网安备 11010102003980号