<track id="dw34f"><ruby id="dw34f"><menu id="dw34f"></menu></ruby></track>
  • <pre id="dw34f"><label id="dw34f"><xmp id="dw34f"></xmp></label></pre>
      1. <table id="dw34f"></table>

          <td id="dw34f"></td>

          1. 刑事訴訟個人信息保護論綱
            2021/3/23 8:53:58  點擊率[292]  評論[0]
            【法寶引證碼】
              【學科類別】刑事訴訟法
              【出處】《當代法學》2021年第2期
              【寫作時間】2021年
              【中文摘要】信息時代下刑事訴訟領域與其他領域一樣存在保護個人信息的需要,然而目前我國相關法律規定零散,且重視對公權力機關的授權,忽視對公民的賦權。為確立和完善刑事訴訟個人信息保護機制,應處理好刑事訴訟信息收集使用中的權利義務與權力責任、信息收集使用的公開透明要求與刑事訴訟封閉秘密特征、個人信息保護利益與預防打擊犯罪目標及公眾知情權這幾組關系。根據區分對待原則、目的限制與比例原則、準確性原則,應當對信息主體賦予前提性權利、程序性權利和反制性權利,對公權力機關(信息控制和處理者)科以告知義務、協助義務和信息安全保障責任,并通過確立信息收集使用行為的司法令狀和內部監管并立體系,設置獨立的信息監管機構,構建侵犯信息權利的懲戒和賠償機制等,提供保護個人信息的保障措施和救濟途徑,建立起我國的刑事訴訟個人信息保護機制。
              【中文關鍵字】刑事訴訟;個人信息保護;信息主體;公權力機關
              【全文】

                一、問題的提出
               
                人類跨越了口語傳播時代、文字與印刷傳播時代而進入了信息時代。[1]在這個新時代下,信息以前所未有的數量和速度傳播,給人們的生活帶來了便利。但與此同時,人們的一言一行,無論在現實生活還是在虛擬世界里,都被監控并以信息的形式被記錄、存儲、傳遞和使用;作為個體的人對于自己的信息無力掌握,被困在“數字化圓形監獄”[2]之中。為了從此種困境中突圍,人們越來越重視個人信息保護問題,許多國家或地區(特別是歐盟)出臺了大量關于保護個人信息的法律文件,最典型的即為歐盟《一般數據保護條例》(General Data Protection Regulation,以下簡稱“GDPR”)。
               
                刑事訴訟中同樣存在個人信息使用問題。在刑事訴訟這樣一場政府與被追訴人的“決斗”中,個人信息已成為信息時代下政府方追訴犯罪的最強大武器。政府方運用強大的技術能力,大量收集公民的個人信息,以此為基礎建立起各類數據庫,并在具體個案中將相關個人信息用于刑事追訴。由于刑事訴訟以國家強制力為后盾,刑事訴訟中個人信息的收集使用與其他訴訟行為相似,往往具有顯著的強制性特征,甚至通常是違背作為個體的信息主體的意志的,因而在此過程中,“對公民個人信息的干預廣度、深度都遠遠超越公民個人、商業機構、社會機構”[3],其強度也大于民商事領域或者政府行政領域。而各個數據庫之間根據“互聯互通”的共享要求而進行的數據流動,也必然導致個人數據泄露的風險和隱私保護問題。[4]
               
                然而,遷就于刑事訴訟預防和打擊犯罪的需求,刑事訴訟中的個人信息保護問題常常被刻意回避。一方面,各國都不斷地賦予政府方強大的收集使用個人信息之權力,例如將電子監控、手機定位、遠程電子數據提取、網絡搜查等技術偵查手段合法化;另一方面,個人信息保護的專門法律常對刑事訴訟采取“視而不見”的態度,往往將刑事司法排除于其適用范圍之外。[5]如此一來,刑事訴訟領域相較于民商事或政府行政領域,在個人信息保護問題上成為了“木桶短板”,與信息時代下個人信息保護的社會整體需求形成強烈反差。
               
                事實上,刑事訴訟中確有個人信息保護之需。在訴訟發生前,基于風險防控理念的預測警務需以海量收集公民個人信息為前提,[6]此類信息一旦被用于其他目的則后果不堪設想。在訴訟過程中,政府方實施秘密監控、網絡搜查等針對個人信息的強制取證行為,無論在對象、范圍還是在取證方式上都需要予以限制,否則可能超出刑事訴訟的目的限制。在訴訟完成后,刑事被害人、被確定為無罪之人、證人或其他訴訟參與人,都有與刑事案件“脫鉤”的心理需求,可能主張被遺忘權而請求刪除其與刑事案件發生關聯的相關個人信息;即便對于被定罪的罪犯,出于促進其回歸社會的目的,也有引入被遺忘權封存犯罪記錄的必要性。[7]
               
                此外,信息時代下各國都在推進司法信息化進程,大量的個人信息被公權力機關收集、存儲,并用于包括刑事訴訟在內的各種訴訟活動中。然而存儲于司法信息化系統中的個人信息,與存儲于普通網絡運營商處的個人信息一樣,存在遭遇攻擊、系統故障、人員操作失誤等可能性,面臨著個人信息泄露的風險,可能給信息主體的隱私、財產甚至人身安全造成重大的影響。這種擔心并非杞人憂天,2019年英國就發生了司法信息化技術故障致使系統崩潰、審判和相關工作停滯、數據庫損壞并出現數據丟失風險的重大事故,[8]讓人們對存儲于司法信息化系統中的公民個人信息安全產生了懷疑。在此種現實下,保障刑事訴訟中收集的個人信息之安全,成為刑事訴訟的重要需求。
               
                二、刑事訴訟個人信息保護立法的現狀與問題
               
                考慮到刑事訴訟中個人信息保護的現實需要,近些年來,一些國家和地區邁出了刑事訴訟個人信息保護立法的腳步。根據《歐洲人權公約》第8條保護“私生活和家庭生活受到尊重的權利”的精神,2016年歐洲議會和歐盟理事會頒布了《關于保護自然人針對主管當局為預防、調查、偵破或檢控刑事罪行或執行刑事刑罰而使用個人數據,和有關該數據的自由流動,以及撤銷理事會第2008/977/JHA號架構決定的2016/680號指令》(以下簡稱為“歐盟2016/680號指令”),較為系統地規定了刑事訴訟中的個人信息保護問題;2018年又頒布了《警察部門使用個人數據實務指南》,規定警察部門執法中的個人信息保護問題。美國則采用判例法的方式,通過2012年的“瓊斯案”[9]和2018年的“卡朋特案”[10],以憲法第四修正案對公民隱私權的保障為路徑,確立了政府對公民實施定位(包括GPS定位或手機定位)時的個人信息保護規則。
               
                我國并無針對刑事訴訟中個人信息保護問題的專門立法。《刑事訴訟法》中與個人信息保護直接相關的只有第54條關于涉及個人隱私的證據應當保密的規定,第64條關于公檢法不公開證人、鑒定人、被害人個人信息的規定,第152條關于技術偵查中獲悉的個人隱私應當保密的規定等。但值得注意的是,2016年最高人民法院、最高人民檢察院和公安部《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》(以下簡稱“2016兩院一部《電子數據規定》”)和2019年公安部《公安機關辦理刑事案件電子數據取證規則》(以下簡稱“2019公安部《電子數據取證規則》”)對于電子數據類證據收集使用程序的細致規定,體現了個人信息保護的理念。例如,兩個文件均規定,電子數據涉及個人隱私的應當保密,2019公安部《電子數據取證規則》第52條規定禁止進行可能泄露公民信息的電子數據偵查實驗。此外《國家情報法》《反恐怖主義法》及其他相關法律也有關于各自涉及刑事訴訟領域內個人信息保護的規定。[11]
               
                我國目前關于刑事訴訟個人信息保護的規定主要存在兩方面問題。第一,零散而不成體系。如前文所述,無論在《刑事訴訟法》還是其他法律法規中,涉及個人信息的規定只見于少數散落的條文中。相較于歐盟2016/680號指令的系統規定,我國的相關規定缺乏系統性,導致實踐中“九龍治水”、施行不暢。對此問題,可以考慮在未來《刑事訴訟法》修改時專章規定個人信息保護問題,或者在個人信息保護的專門法律中設置專章規定刑事司法中的個人信息保護問題。第二,對公權力機關的授權多于對公民的賦權。上述涉及刑事訴訟的法律中有大量授權公權力機關收集使用公民個人信息的規定,例如技術偵查制度、電子數據在線調取等,亦有公民或組織配合義務之規定,如《網絡安全法》第28條規定網絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助,但是缺少對刑事訴訟中公民個人信息權利的賦權性規定,難以實現權利對權力的制約。
               
                三、刑事訴訟個人信息保護需平衡的幾組關系
               
                (一)權利與義務、權力與責任
               
                權利與義務、權力與責任的對應是基本的法理,在刑事訴訟中討論個人信息保護問題,也無法回避這兩組關系。如上文所述,我國的相關法律在這一問題上較為強調公權力機關收集使用公民個人信息的權力和公民配合此種公權力行為的義務,對于公民個人的信息權利和公權力機關濫用權力的責任規定不足,因此強化這兩方面的規定是刑事訴訟中實現對個人信息保護之關鍵。
               
                一方面,應明確公民,特別是作為信息主體的公民,所享有的信息權利。歐盟相關法律對此規定最為明確:作為普遍適用于社會生活各個領域個人信息保護的綱領性法律,GDPR第三章專章規定了數據主體的權利,羅列了包括訪問權、更正權、擦除權(被遺忘權)、限制處理權、數據攜帶權、反對權在內的一系列權利,并規定了權利行使的相關限制;專門針對刑事司法的歐盟2016/680號指令也在正文第三章規定了數據獲得權、更正權、刪除權、救濟權等權利;甚至作為指引警察收集使用個人信息行為的《警察部門使用個人數據實務指南》也在第6條對信息主體的權利進行了詳細描述。通過對公民個人特別是信息主體的賦權,可以提高其對抗公權力機關收集使用個人信息權力的能力,是實現刑事訴訟中在個人信息問題上縮小控辯力量差距、防止“新的強權專斷與不平等現象”[12]、保障“與主體尊嚴相適應的平等權利”[13]的不二選擇。
               
                另一方面,應當對公權力機關科以個人信息保護方面更嚴格的責任。權責應當相統一,在授予公權力機關在刑事訴訟中收集使用公民個人信息的權利同時,也應明確規定其應當承擔的保障個人信息安全之責任。然而我國的相關法律法規在這個問題上顯然規定不夠,無論《刑事訴訟法》、2016兩院一部《電子數據規定》、2019公安部《電子數據取證規則》,還是《國家情報法》《反恐怖主義法》,都只有關于相關國家機關及其工作人員“應當保密”或者“不得泄露”個人信息的原則性、宣示性規定,缺乏細化的制度規范。在此問題上,歐盟的規定同樣值得我們借鑒:2016/680號指令正文第四章規定了控制者和處理者的相關責任,包括保密責任、記錄責任、風險評估責任、數據安全保障責任等等。為公權力機關規定明確而具體的責任,有助于確保其不至于過度濫用權力,從而降低刑事訴訟中個人信息失控的風險。
               
                (二)個人信息收集使用的公開透明要求與刑事訴訟封閉秘密特征
               
                明確了公民的信息權利和公權力機關的責任之后,就應以公開透明的方式收集使用個人信息,令信息主體知悉其個人信息被收集使用的事實,以保障上述權利的行使及責任的履行。只有當個人信息被公開透明地收集使用,信息主體才能夠獲知其個人信息被收集使用的事實,才有行使相關信息權利之可能,也才能令公權力機關依法履行信息保護之職責。從某種意義上看,公開透明是個人信息保護的前提性原則,因此歐盟GDPR第5條在關于個人信息處理原則羅列中,提出的第一項原則即為“合法、公正、透明”。然而刑事訴訟卻具有一定的封閉性和秘密性,尤其在偵查程序中,這方面的特性表現得十分突出。這種封閉性和秘密性具有一定合理性,但是卻與個人信息收集使用的公開透明要求發生矛盾,刑事訴訟公權力機關,特別是偵查機關,欲向被追訴人公開收集使用其個人信息之事實和內容時,就不得不考慮可能帶來的風險,需謹慎為之。
               
                有鑒于此,在刑事訴訟中強調對個人信息的保護,必須平衡個人信息收集使用的公開透明要求與刑事訴訟自身的封閉秘密特征的關系,以免顧此失彼。第一,在原則性要求上,刑事訴訟中應限縮公開透明之要求,向封閉秘密的刑事訴訟既有特征適當妥協,以滿足刑事偵查和追訴的要求。基于此種認識,相較于GDPR將透明性列為首要原則之規定,針對刑事司法的歐盟2016/680號指令雖在序言第26項要求針對自然人的個人數據使用程序應當合法、公正和透明,但在正文第4條原則性規定中保留了“合法、公正”原則、刪去了“透明”要求。第二,在公開收集使用個人信息事實的時間方面,可以適當延遲至偵查工作基本完成或偵查階段結束后,從而保障刑事偵查這一具有最強烈封閉秘密特性階段的工作順利完成。我國關于辯方閱卷權的規定即采用此種方式,《刑事訴訟法》第40條將閱卷的時間規定為“自人民檢察院對案件審查起訴之日起”。第三,在公開收集使用個人信息事實的內容方面,在涉及某當事人的個人信息與其他當事人的個人信息交織的情形下,例如在共同犯罪案件中同案嫌疑人信息交織時,收集使用該信息的公權力機關有權根據具體情況決定向該特定當事人公開信息的內容和范圍。
               
                (三)個人信息保護利益與預防打擊犯罪目標及公眾知情權
               
                預防和打擊犯罪,是刑事訴訟的核心目標之一,然而在刑事訴訟中強調對個人信息的保護,難免對預防打擊犯罪這一傳統價值產生一定沖擊。另外刑事訴訟中若肯認個人信息保護的利益,也可能影響公眾知情權的行使,在一定程度上對公共安全的價值造成影響。
               
                個人信息保護利益與預防打擊犯罪目標的沖突可能體現在刑事訴訟的事前、事中和事后。其一,信息時代下犯罪預測、危險性評估等犯罪控制活動已然前移至刑事訴訟立案之前,在此過程中個人信息的大量采集、相關數據庫的普遍構建和使用,為刑事訴訟啟動之后的順利進行、特別是為針對犯罪有效追訴打下了基礎,但也增加了個人信息失控的風險,尤其是公權力機關濫用公民個人信息的風險。其二,在刑事訴訟過程中,強調對公民個人信息的保護,例如倘若嚴格遵循傳統個人信息保護法律的公開透明原則,要求公權力機關依照“告知—同意”的方式收集使用個人信息,則將給證據的取得、轉移、分享、使用等造成巨大挑戰,從而增加控訴犯罪和定罪的難度。其三,基于保護其個人信息的需求,相關公民可能要求在刑事訴訟完成后對案件相關信息例如犯罪記錄等進行封存甚至刪除,如此一來難免削弱國家對特定人員特別是被定罪的罪犯的后續跟蹤、管控的能力。
               
                個人信息保護利益與公眾知情權的沖突則主要體現在刑事訴訟的事中和事后。在刑事訴訟過程中或訴訟完成后,社會公眾有了解案件情況的權利,例如可以通過新聞報道了解案情、通過法院信息公開網站查詢相關裁判文書等。然而基于個人信息保護的需要,新聞報道可能被限制、犯罪記錄可能被封存或刪除,使得公眾針對特定案件的知情權無從實現,甚至在一定程度上帶來公共安全的隱憂。此種沖突及其帶來的問題在性犯罪類案件中表現得尤其明顯:若向公眾公開被定罪的性侵罪犯信息,則該罪犯將因一次犯罪而永遠貼上性侵犯的標簽,個人信息永遠失控;若禁止性侵罪犯信息公開,則公眾對此不知情可能導致發生同類犯罪的風險,例如美國著名的“梅根案”“杰西卡案”皆是如此。[14]
               
                解決刑事訴訟中個人信息保護與預防打擊犯罪目標及公眾知情權的沖突,應當通過分析不同價值背后所承載的利益、并通過權衡不同利益的重要性明確不同價值的位階關系,從而確定優先順序。例如犯罪控制事關公民的生命、自由等核心利益,屬于刑事訴訟的基礎性、核心價值,個人信息保護雖重要,但畢竟與人的生命健康關系較遠、與社會全體成員的關系度也較弱,[15]因此預防打擊犯罪原則上應當相對于個人信息保護具有優先性。
               
                四、刑事訴訟個人信息保護的基本原則
               
                (一)區分對待原則
               
                刑事訴訟涉及之人及其個人信息的種類繁多,若不對其進行區分,欲“一勺燴”地進行個人信息保護,則此種制度不但在理論上容易混淆模糊,而且在實踐中也難以運用。因此,刑事訴訟中的個人信息保護制度必須針對不同的主體和信息確立區分對待原則。
               
                第一,區分不同類型的信息主體。不同類型的訴訟參與人,在刑事訴訟中居于不同的地位、享有或承擔不同的訴訟權利和義務。就個人信息保護一事而言,區分不同類型的信息主體,是因為各類信息主體對個人信息保護有不同的需求,也與刑事訴訟區分不同類型訴訟參與人的邏輯一脈相承。正因如此,歐盟2016/680號指令第6條將信息主體區分為四類:1.有可靠根據相信其已經實施犯罪或是即將實施犯罪之人,2.已被定罪之人,3.被害人或根據特定事實被認為可能是犯罪被害人之人,4.其他人,例如證人、提供信息之人等。針對不同類型的信息主體,基于其不同需求以及與刑事訴訟關系的緊密程度差異,應當適用不同的個人信息保護規則。
               
                第二,區分一般信息和敏感信息。根據我國的國家標準GB/T 35273-2017《信息安全技術個人信息安全規范》第3.2項的定義,敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息,包括“身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內容、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下(含)兒童的個人信息等”[16]。區分一般信息和具有高度敏感性、私密性的敏感信息,方能根據信息的不同屬性制定不同的保護規則。例如歐盟GDPR第9條直接規定原則上禁止收集使用敏感信息。刑事訴訟領域內的一般信息和敏感信息的區分應與民商事或其他領域有所區別,刑事訴訟中的敏感信息應限于涉及種族或民族背景、政治理念、宗教信仰、性取向等的信息,這些信息通常與特定個案的處理關系不大,而對于防止該信息主體受到歧視性或其他不公平對待的意義重大,因此除非有法定的事由,不得在刑事訴訟中收集使用。
               
                第三,區分事實信息和個人評價信息。事實信息是基于事實的、對某一事項的描述,例如個人定位信息、個人生物識別信息等,具有客觀性;而個人評價信息往往與當下之具體刑事訴訟無直接的關聯性而帶來主觀評判色彩。刑事訴訟中的個人評價信息主要涉及以往品行信息、性生活方式或性名聲等信息,若不當使用可能引起對辦案人員的誤導。可以參照品格證據規則對此類信息進行必要的使用限制,主要用于彈劾被告人或證人可信性以及對被定罪罪犯的量刑,而非針對被告人的定罪。
               
                (二)目的限制與比例原則
               
                刑事訴訟中針對個人信息保護的目的限制原則,是指對個人信息的收集使用必須遵循刑事訴訟偵查、起訴和審判的目的,相關個人信息不得被用于刑事訴訟之外的其他目的,例如滿足個人窺私欲、用于政治斗爭等。目的限制原則包括信息收集的合目的性和信息使用的合目的性兩方面要求。[17]以刑事訴訟目的限制個人信息收集使用的方式,這一原則對于有效保護個人信息具有核心意義。歐盟2016/680號指令序言第29項即要求“個人數據應在本指令限定的目的范圍內被特定化、明確、合法地收集,且不得被用于預防、偵查、發現、起訴犯罪或執行刑罰的目的之外的其他不當目的”。我國對于與個人信息收集使用密切相關的技術偵查制度也有目的限制的要求,《刑事訴訟法》第152條第3款規定:“采取技術偵查措施獲取的材料,只能用于對犯罪的偵查、起訴和審判,不得用于其他用途。”
               
                目的限制原則實際要求收集使用的信息與案件具有關聯性;從證據的視角看,要求被作為證據收集使用的個人信息應當與案件具有實質聯系且具有證明性。具體而言,目的限制原則對于個人信息的收集使用有以下三方面要求:第一,收集個人信息應當基于刑事訴訟的目的,特別是在證據法意義上,取證時必須根據案件需要收集相關個人信息,防止取證行為的恣意性。第二,使用個人信息應當符合刑事訴訟目的,包括相關個人信息的存儲、傳遞、共享等,都應以刑事偵查、追訴、審判為目標,否則不得進行。第三,刑事訴訟目的不存在后應及時停止使用并封存或刪除相關個人信息,例如針對涉及個人信息的技術偵查制度,我國《刑事訴訟法》第152條第2款規定:“對采取技術偵查措施獲取的與案件無關的材料,必須及時銷毀”。
               
                從實質上看,目的限制原則即是比例原則下轄三原則之一的適當性原則,要求公權力行為需以法律規定的目的為指向,且有利于該目標的實現。事實上,比例原則的其他兩個下位原則也同樣適用于刑事訴訟中的個人信息保護制度。其一,必要性原則或最小侵害原則要求,公權力以對公民權利最小侵害之方式行事,在有若干種行為方式之選擇時,刑事訴訟中公權力機關收集使用公民個人信息時,也應當盡量選擇侵害最小的那種方式進行。其二,根據狹義比例原則,需在公權力行為方式與其欲達到的目的之間進行衡量而實現合理的比例關系,在刑事訴訟中收集使用公民個人信息也應如此,避免權與責、權利與義務之間的失衡。可見,以比例原則特別是目的限制原則對刑事訴訟中個人信息收集使用行為進行規制,有助于實現公權力行使與權利保障之間的協調,從而避免“大炮打鳥”情形的出現,因此應當為制度設計者所充分重視。
               
                (三)準確性原則
               
                準確性原則要求刑事訴訟中有關公權力機關對個人信息的收集使用應保證此種信息的準確性,即在收集、存儲、傳遞、共享、使用的每一個步驟都要采取必要措施保證信息的準確。這一原則看似理所當然,但在實際運用中并不容易:刑事訴訟由于具有上文所述的封閉性、秘密性特征,個人信息收集使用的公開透明性被適當限縮,特別在偵查階段信息的收集使用往往是偵查機關單方性的行為,即便存在個人信息有誤的情形也很難被發現。一旦個人信息發生錯誤,在司法信息化的背景下,隨著大數據、人工智能等技術的運用,瑕疵可能被無限放大。[18]因此,為實現個人信息收集使用的準確性,有必要保障信息主體的知情權(但如上文所述,為保障偵查這一高度秘密性的程序順利完成,對信息主體的告知可以適當延遲至偵查工作基本完成或偵查階段結束后),進而通過信息主體的參與,及時更新、更正、刪除不準確的個人信息。
               
                首先,對于已過時的信息應及時更新。刑事案件的處理,特別是疑難重大案件的訴訟過程,需要經歷較長時間,在此期間,一些信息難免過時,倘若發現此種情形,應當及時更新,以免過時信息對案件的處理造成誤導。
               
                其次,對于仍有使用價值的不準確信息應及時更正。對不準確信息的更正固然可以來自于辦案機關自行發現錯誤后的糾錯行為,但更重要的是來自于信息主體發現信息有誤后向辦案機關提出的糾錯申請。歐盟GDPR第16條規定信息主體享有更正權,可以要求信息控制者及時更正其不準確的個人信息,也可以通過提供補充聲明等方式主動補充不完整的個人信息;歐盟2016/680號指令第16條也規定了信息主體有更正和補充不準確或不完整信息的權利。賦予信息主體要求更正不準確信息的權利,是因信息主體對其個人信息的準確性最為了解,也是保障其作為訴訟參與人的參與權的題中之義,但該權利的實現有賴于對其個人信息被收集使用知情這一前提。
               
                再次,對于已無使用必要的不準確信息應及時刪除。有必要更正的不準確信息限于與案件處理有關、符合刑事訴訟目的、仍有使用價值者,但對于不符合上述條件的信息,則應及時刪除。 GDPR第17條規定數據主體在“數據使用不再必須、數據主體撤回同意、數據主體反對使用該數據、數據被非法使用、法律明確規定需刪除數據、兒童特殊保護”六類情形下可以要求刪除相關數據,在刑事訴訟中,不再必須、非法使用、法律明確規定、特殊保護等情形可以成為刪除已無使用必要的不準確信息的充分必要條件。
               
                五、我國刑事訴訟個人信息保護的制度構建
               
                (一)信息主體的權利
               
                如上文所述,我國當前關于刑事訴訟個人信息保護的相關法律存在兩方面問題,一是零散而不成體系,二是對公權力機關的授權多于對公民的賦權。對于第一個問題,可以考慮在《刑事訴訟法》修改時以專章規定個人信息保護問題,或者在個人信息保護專門法律中專章規定刑事訴訟中相關問題。對于第二個問題,則需要從加強對作為信息主體的公民的賦權和對公權力機關科以更嚴格責任兩方面著手加以解決。
               
                刑事訴訟中信息主體主要應當享有三類權利:前提性權利、程序性權利和反制性權利。首先,前提性權利主要是信息主體知悉其個人信息被收集使用的權利。“知情同意”是個人信息保護領域的基本原則,對加強個人自決或程序意義上的授權具有正當性,[19]我國《網絡安全法》第41條即明確規定網絡運營者收集使用個人信息應當明示并經信息主體同意,體現出法律保障公民信息自決的基本態度。在刑事訴訟領域,盡管個人的信息自決因刑事訴訟的國家強制性特征而受到限制,但“知情同意”仍有意義和適用空間。如上文所述,可以適當延遲告知的時間,在秘密性最強的偵查工作基本完成或偵查階段結束后告知信息主體其個人信息被收集使用的事實;而信息主體知悉這一事實后,方有可能決定同意或反對此種收集使用其個人信息的行為,并根據法律規定主張和行使其他信息權利。因此,信息主體的知悉權在刑事訴訟中仍然必要且重要,成為其他權利實現的前提。
               
                其次,信息主體在訴訟過程中查閱訪問相關數據的權利是其在個人信息保護方面最主要的程序性權利。 GDPR第15條即明確規定了數據訪問權,其內涵在于信息主體可以從信息控制者處確認其個人信息是否被使用的事實、并由此查詢訪問相關數據,專門用于刑事司法的歐盟2016/680號指令第14、15條也有相關規定。查閱訪問數據的權利對于信息主體、特別是被追訴人而言“生死攸關”,只有當辯方有權查詢訪問相關個人數據時,方能對公權力機關所掌握的信息和證據有充分了解,辯護才能有的放矢。我國《刑事訴訟法》第40條雖規定了辯方的閱卷權,準許辯護人查閱、摘抄、復制案卷材料,但此種閱卷權無論在適用范圍、對象、實際效果方面都與數據訪問權存在差距,例如只適用于“案卷材料”即訴訟文書和證據材料,難以適應司法信息化帶來的刑事訴訟個人信息收集使用方式的變化,故而應考慮對其進行改造,實現閱卷權向數據訪問權的進階。
               
                再次,還應賦予信息主體更正權、被遺忘權、限制處理權等反制性權利,用于實現對公權力機關收集使用個人信息權力的制約。當信息主體發現公權力機關所掌握的信息存在不準確或不完整的情形時,有權要求其更正該信息、或有權對不完整的信息進行補充,從而行使更正權;當個人信息不再有被合法使用之需、或先前的使用是基于信息主體的同意而此時同意被撤回,則信息主體有權要求個人信息的控制者刪除此類信息,從而行使其被遺忘權;當信息主體對被收集使用的個人信息的準確性提出質疑、而該信息的準確性尚在查證過程中,或者該個人信息需被保全而作為證據使用時,信息主體有權要求只有在其同意時公權力機關才能使用該信息,從而行使其限制處理權。上述三項權利無論在GDPR第三章第三節中還是專門適用于刑事司法的歐盟2016/680號指令第16條中都有規定,被用于反制作為個人信息控制者的公權力機關收集使用個人信息的權力,實現權利對權力的制約。我國在構建刑事訴訟個人信息保護制度時也可以參考引入這三項權利,尤其是更正權和被遺忘權,從而在公民信息權利和公權力機關特別是偵訴機關收集使用信息權力之間實現平衡,促進控辯平等對抗在刑事訴訟個人信息領域的實現。
               
                (二)公權力機關(信息控制和處理者)的義務與責任
               
                在刑事訴訟中,包括偵查、起訴、審判機關在內的公權力機關出于刑事訴訟的目的行使收集使用個人信息的權力,是主要的個人信息控制者和處理者,應當履行對應的義務和責任。具體而言包括兩個方面,一是相對于信息主體的信息權利而承擔的對應義務,主要包括告知義務和協助義務,二是基于控制和處理信息權力而承擔的信息安全保障責任。
               
                對應于信息主體權利的義務中的第一類告知義務,與信息主體的前提性權利知悉權相對應,要求公權力機關告知信息主體其個人信息被收集使用。具體而言有三方面要求:1.在告知時間方面,由于刑事訴訟固有的秘密性和封閉性特征,如上文所述,此種告知可以延遲至秘密性最強的偵查工作基本完成或偵查階段結束后,但根據案件情況,應允許和鼓勵公權力機關盡早告知;2.在告知的內容方面,作為信息的控制者和處理者,公權力機關除告知信息主體其個人信息被收集使用的概況性事實之外,還應告知收集使用個人信息的法律依據、被收集使用的個人信息的具體內容、收集使用個人信息的目的和法律意義(例如可能被用作針對該信息主體的控訴證據等)、以及告知信息主體因此享有的相關權利和救濟途徑;3.在告知的方式方面,此種告知應以書面文件(包括電子文件)等可留痕方式進行,以便后續程序中查證。第二類協助義務是公權力機關為信息主體行使權利提供便利的義務,例如針對數據訪問權而為信息主體獲取相關數據提供數據庫訪問權限、提供數據副本,針對更正權而根據信息主體的要求修正不準確信息、補充不完整信息,針對被遺忘權而依法刪除已無合法使用必要或已被撤回使用許可的信息,針對限制處理權而將其處理使用相關信息的行為置于信息主體的“監控”之下[20]等等。
               
                基于控制和處理信息權力的信息安全保障責任主要包括四項:保密責任、記錄責任、風險評估責任、信息泄露后的通知和告知責任。第一,盡管刑事訴訟中公權力機關收集使用個人信息相對于信息主體而言仍應遵循透明性這一個人信息保護基本原理而履行告知義務,但其收集使用的信息、尤其是敏感個人信息應當對其他人嚴格保密,以防被用于刑事訴訟之外的其他目的。為保障此種保密責任的實現,公權力機關應采取必要的措施保證信息處理的安全,例如傳輸和存儲個人信息時采用加密等措施、對大量接觸個人信息的人員進行背景審查、設置使用特殊數據的授權觸發機制、對特定數據進行“匿名化”處理等。第二,對于收集使用個人信息的過程應當予以全程記錄,例如歐盟2016/680號指令第25條要求以日志形式記錄個人信息處理的過程,其目的即在于以便日后審查。我國也應有此種全程記錄之規定,特別對公安機關收集個人信息的行為,應全程記錄,并根據此種記錄由公安機關法制部門及時審查此種行為的合法性。第三,公權力收集使用公民個人信息時,應當評估此種收集使用行為可能帶來的風險,特別是可能給該公民的隱私、財產、人身權利帶來的風險,從而按照目的限制與比例原則的要求進行價值衡量。 GDPR第35條規定了信息控制者和處理者的此項責任,歐盟2016/680號指令第27條也有類似規定,我國在構建刑事訴訟個人信息保護制度時亦可對公權力機關科以此項責任,以避免給公民權利造成過大的傷害。第四,在已經發生個人信息泄露事故時,作為信息控制者和處理者應當及時通知和報告,一是向主管部門報告,其目的在于盡快采取補救措施減輕事故后果;二是向信息主體報告,以便其了解因此可能帶來的人身傷害、財產損失等方面的風險,及時做好準備或尋求保護。對于信息泄露后的通知和告知責任,我國《網絡安全法》第42條針對網絡運營者已有規定,[21]在刑事訴訟中也應加以明確。
               
                (三)提供保護個人信息的保障措施和救濟途徑
               
                為確保刑事訴訟中的個人信息安全,需提供必要的保障措施和救濟途徑,主要有確立信息收集使用行為的司法令狀和內部監管并立體系、設置獨立的信息監管機構、構建侵犯信息權利的懲戒和賠償機制等三方面內容。
               
                第一,確立信息收集行為的司法令狀和內部監管并立體系。對于收集個人信息的行為,應有事前之監管。可以按照收集信息行為的性質,作出司法令狀與內部監管方式的區分。其中針對特定犯罪嫌疑人、以刑事偵查為目的的信息收集行為,符合隱私期待“主客觀雙重判斷標準”[22],實際上構成對該特定犯罪嫌疑人的搜查,應當根據令狀主義之原理,由獨立的司法官員簽發。例如美國聯邦最高法院在2018年的“卡朋特案”中認為,即便通過第三方獲取公民的手機定位信息,仍構成憲法第四修正案所指的搜查,需要遵循令狀原則。[23]除此之外,刑事訴訟中針對其他訴訟參與人的信息收集行為或者針對不特定對象的信息收集行為,可以通過內部監管的方式,由收集信息的機構內部監管部門或機構,如公安法制部門,進行監督。但我國目前的實際情況是針對信息收集行為,只有內部監管而無司法令狀制度。例如2019公安部《電子數據取證規則》第41條規定,需要調取電子數據時,辦案部門負責人批準,開具《調取證據通知書》。從法治國權力監督制約的要求看,僅靠內部監管顯然不夠,將刑事訴訟中針對特定犯罪嫌疑人的信息收集行為的事前批準權交于司法,既契合“以審判為中心”的要求,[24]又可以構建出司法令狀和內部監管并立的符合實際需要的制度。而從具體制度設置方面,司法令狀主義要求可以在現實中先妥協,由享有偵查監督權的人民檢察院簽發“準令狀”,隨著司法改革的進程逐步完善,最終由人民法院行使此種權力。
               
                第二,設置獨立的信息監管機構。為實現對公權力機關收集使用個人信息行為的監管、保障公民的信息權利,也為解決上文所述發生個人信息泄露事故向哪一“主管部門”報告的問題,有必要設立獨立的信息安全監管機構。歐盟2016/680號指令第6章已經要求成員國針對刑事司法設置獨立的信息監管機構,而對于我國而言,盡管確定獨立的信息監管機構具有必要性,但由哪一機構承擔此種獨立監管權仍有疑異。《網絡安全法》第45條規定的“依法負有網絡安全監督管理職責的部門”主要是國家網信部門,但網信部門業務范圍畢竟與刑事訴訟關系較遠,對于刑事訴訟中個人信息收集使用的特點難以把握。從相對合理主義的理念出發,目前較為適當的選擇是將刑事訴訟中信息監管的權責交由檢察機關。盡管這可能引發獨立性不足的疑慮,但從檢察機關“國家法律監督機關”的定位看,其“客觀官署”[25]的性質是為立法者所認可的。加之監察體制改革后其加強法律監督職能的需要,將此種信息監管的權責交給檢察機關行使,其履職的動力較大、也有足夠的人力資源行使此項權責。但從長遠來看,仍需要最終建立一個專門的、獨立的刑事訴訟信息監管機構或部門,由其負責刑事訴訟中的信息安全監測監督、處理投訴、提供指導等工作。
               
                第三,構建侵犯信息權利的懲戒和賠償機制。根據《公安機關信訪工作規定》第18條的規定,公民可以針對公安機關民警的職務行為,提出建議、意見或者投訴請求;根據《刑事訴訟法》第57條的規定,對于非法取證行為,檢察機關應當提出糾正意見,構成犯罪的依法追究刑事責任。在上述規定的基礎上,可以構建刑事訴訟侵犯信息權利的懲戒和賠償機制。首先,對一般的侵犯公民個人信息權利的行為,相關機關可以根據公民的投訴進行調查核實,查證屬實的,應對實施該侵權行為的辦案人員進行內部懲戒,包括紀律懲罰、行政處罰等。其次,對辦案人員嚴重侵犯公民個人信息權利、構成刑事犯罪的,應當移送有關刑事偵查機關追究刑事責任。再次,對在刑事訴訟中因侵犯公民個人信息導致其人身、財產權利受到損失的,應當由實施侵權行為的辦案機關承擔賠償責任,可以考慮將此種賠償納入國家賠償,列為刑事賠償的一種情形。最后,對已侵犯公民信息權利方式獲得的證據,應當允許相關訴訟參與人,特別是被告人,在后續程序中提出排除非法證據的動議,由法院審查取證行為的合法性,并對確屬非法取得的證據予以排除,從而對辦案機關特別是偵查機關以信息收集方式進行的取證行為進行規制和震懾。

              【作者簡介】
              鄭曦,北京外國語大學法學院教授。
              【注釋】
              [1]參見左衛民:《信息化與我國司法——基于四川省各級人民法院審判管理創新的解讀》,載《清華法學》2011年第4期,第141頁。
              [2]張恩典:《大數據時代的被遺忘權之爭》,載《學習與探索》2016年第4期,第68頁。
              [3]程雷:《刑事司法中的公民個人信息保護》,載《中國人民大學學報》2019年第1期,第105頁。
              [4]參見戴龍:《論數字貿易背景下的個人隱私權保護》,載《當代法學》2020年第1期,第149頁。
              [5]例如GDPR第2條第2款規定:“本條例不適用于以下個人數據處理情形:(d)主管當局以預防、調查、偵查或起訴刑事犯罪,或執行刑事處罰為目的(包括保障并預防公共安全受到威脅)。”其他國家的個人信息保護法也常有類似規定,參見周漢華:《中華人民共和國個人信息保護法(專家建議稿)及立法研究報告》,法律出版社2006年版,第57-58頁。
              [6]參見裴煒:《個人信息大數據與刑事正當程序的沖突及其調和》,載《法學研究》2018年第2期,第49-50頁。
              [7]參見鄭曦:《“被遺忘”的權利:刑事司法視野下被遺忘權的適用》,載《學習與探索》2016年第4期,第63-64頁。
              [8]Owen Bowcott, Justice Ministry Knew Court IT Systems were ‘ Obsolete’, Papers Reveal, The Guardian (Jan. 28,2019), ht-tps://www.theguardian.com/law/2019/jan/28/justice-ministry-knew-court-it-systems-were-obsolete-papers-reveal.
              [9]See United States v. Jones, 565 U. S. 400(2012).
              [10]See Carpenter v. United States, 138 S. Ct. 2206(2018).
              [11]例如《國家情報法》第19條規定,國家情報工作機構及其工作人員不得泄露國家秘密、商業秘密和個人信息;《反恐怖主義法》第53條規定,應當對反恐怖主義工作過程中知悉的涉密材料信息和公民個人信息予以保密,泄露、丟失涉密材料信息以及公民個人信息的,依法追究相關責任。
              [12]齊延平:《論人工智能時代法律場景的變遷》,載《法律科學》2018年第4期,第42頁。
              [13]莫紀宏:《論數據時代虛擬事實的法律效力》,載《暨南學報(哲學社會科學版)》2020年第7期,第91頁。
              [14]因此種兩難選擇,各個國家或地區針對性侵罪犯信息公開問題采取了不同的做法,美國、韓國采取主動公開方式,英國和我國香港地區采取依申請公開方式,日本則有判例禁止公開性犯罪者信息。
              [15]參見鄭曦:《論刑事被遺忘權的邊界——以性侵未成年人案件為例》,載《江漢論壇》2018年第9期,第119頁。
              [16]中華人民共和國國家質量監督檢驗檢疫總局、中國國家標準化管理委員會《信息安全技術個人信息安全規范》, GB/T 35273-2017。
              [17]參見裴煒:《個人信息保護法與刑事司法的分離與融合》,載《中國政法大學學報》2020年第5期,第153頁。
              [18]參見金昌偉:《人工智能分案機制探析》,載《中國政法大學學報》2020年第2期,第179-180頁。
              [19]參見姚佳:《知情同意原則抑或信賴授權原則——兼論數字時代的信用重建》,載《暨南學報(哲學社會科學版)》2020年第2期,第48頁。
              [20]參見京東法律研究院:《歐盟數據憲章——〈一般數據保護條例〉 GDPR評述及實務指引》,法律出版社2018年版,第78頁。
              [21]《網絡安全法》第42條規定:“網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。”
              [22]Katz v. United States, 389 U. S. 347(1967)(Harlan, J. , concurring).
              [23]Carpenter v. United States, supra note [10], p. 2210-2211.
              [24]參見龍宗智:《尋求有效取證和保證權利的平衡——評“兩高一部”電子數據證據規定》,載《法學》2016年第11期,第14頁。
              [25]轉引自林鈺雄:《檢察官論》,法律出版社2008年版,第25頁。

              本網站文章僅代表作者個人觀點,不代表本網站的觀點與看法。
              轉載請注明出自北大法律信息網
            0
            北大法律信息網
            www.chinalawinfo.com
            法律動態
            網站簡介
            合作意向
            網站地圖
            隱私政策
            版權聲明
            北大法寶
            www.pkulaw.cn
            法寶動態
            法寶優勢
            經典客戶
            免費試用
            產品服務
            專業定制
            購買指南
            郵件訂閱
            法律會刊
            北大英華
            www.pkulaw.com
            英華簡介
            主要業務
            產品列表
            英華網站
            聯系我們
            用戶反饋
            返回頂部
            二維碼
            不要添了,我高潮了视频