电子数据,人工智能,量子计算,云计算,大数据,区块链,技术侦查,网络安全,个人信息权利;法医、物证、生化、DNA等鉴定科学;心理学、经济学、管理学、统计学、侦查学等对刑事程序的分析;公检法内部管理;证据法、程序法新进展;复杂新型案件、宪法案件。
(感谢张法官题字)
裴炜 | 北京航空航天大学法学院院长助理兼外事秘书,“卓越百人”副教授、博士生导师;荷兰伊拉斯姆斯大学法学博士,英国剑桥大学访问学者。北航科技与电子证据研究中心副主任、工业和信息化法治研究院主任助理;中国法学会网络与信息法学研究会理事、比较法学研究会理事,中国科技法学会理事,中国互联网电子数据研究院电子数据法律与政策专家组委员,工业与信息化部“工业与信息化法治战略与管理重点实验室”研究员;2018年、2019年联合国网络犯罪政府专家组会议中方专家组专家;2017年入选北京市“百名法学英才”。《中国政法大学学报》2020年第5期,第149-160页。《个人信息保护法》已列入全国人大常委会立法规划,作为该领域的统领性法律,其内容和结构需要关照到不同适用领域的实质差异。刑事司法因其打击犯罪之任务而具有高度强制性,其在个人信息保护方面与民商事领域或行政执法领域的规制逻辑起点和思路存在较大差异,集中表现为在知情同意原则、合目的性原则、特殊主体保护制度和信息出境审查制度等四个方面的例外适用。建立全面、综合、有效的个人信息保护制度,同时避免个人信息保护制度的不当设计阻碍刑事诉讼的顺利进行,其前提是充分认识到刑事司法制度的特殊性。在此基础上,一方面在一般个人信息保护制度上为其设置例外,另一方面在刑事诉讼制度内部建立起符合其特性和规律的个人信保护规则,从而形成个人信息保护制度与刑事司法制度的合理衔接。近年来,我国立法关于个人信息保护的制度建设不断强化,2015年《刑法修正案九》增设“侵犯公民个人信息罪”,开启国家层面对个人信息的综合刑法保护;2017年《网络安全法》第四章“网络信息安全”中包含大量个人信息保护的具体制度,建立起我国个人信息保护的基本法律框架;2019年《个人信息保护法》列入全国人大常委会立法议程;2020年完成编纂的《民法典》不仅在总则编第111条对个人信息保护设置原则性条款,同时也在人格权编专设“隐私和个人信息保护”专章,在确立个人信息保护的合法、正当、必要原则的同时,就个人信息各项权益保障进行了细化规定。法律层面的框架建构进一步推进了下位法的制定和行业规范的形成,同时两高也不断发布与侵犯公民个人信息犯罪相关的司法解释和典型案例,从司法实践角度配合公民个人信息保护制度的运行。在此背景下,我国似乎已经逐步建立起法律法规——行业规范——技术标准为一体的多层次、综合性个人信息保护制度框架。但是当近距离审视时会发现,这一框架并未予以刑事诉讼足够的关注。事实上,如果我们仔细审视近些年来国际上围绕个人信息保护的一些争议,可以发现刑事司法不仅不是边缘领域,还往往因为其特殊性需要单独的立法关注。例如刑事侦查中个人信息越来越多地成为重要的犯罪线索,侦查机关能够搜集到何种个人信息、在何种程度上以何种方式使用该信息,都已经对传统的刑事诉讼规则形成冲击;更毋庸提个人信息全球分布、存储、流动背景下所造成的跨境取证的频繁发生。同时,由于刑事司法往往作为社会治理中的独特领域而构成个人信息保护的例外,网络信息企业在刑事执法过程中所面临的不同法域之间的合规困境则更加明显。此外,在全球互联的背景下,不同法域对于刑事司法中个人信息保护的不同规定,也容易成为一国个人信息保护制度的漏洞,而这种漏洞反过来也有可能进一步阻碍一国刑事司法活动的顺利进行。从以上角度来看,个人信息保护与刑事司法之间的关系不仅不是互补相关,相反地,个人信息保护制度不可能缺少对刑事司法制度的特殊关注,而刑事司法活动的有效运行也离不开对个人信息保护制度框架的适应和调整。前者典型表现为欧盟在制定《一般数据保护条例》(GeneralData Protection Regulation, GDPR)的同时,专门就刑事司法领域个人数据的处理制定了单独的指令(下文简称《个人数据刑事司法指令》);后者则尤其明显地反映在美国《澄清域外合法使用数据法》(简称《云法》,CLOUDAct)对于《存储通信法》的修订之中。反观我国当前围绕个人信息保护已经形成的法律规定,以及相关学术探索,尚未就个人信息保护制度对于刑事司法可能形成的影响形成充分关注,更毋庸提对两套规则进行有序衔接和融合。以《网络安全法》为例,第28条要求网络运营者为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助,但无论是该法还是刑事诉讼相关法律规定,均未就如何协助进行明确规定,特别是对于其中可能涉及到的与本国和域外个人信息保护制度的冲突问题,法律规定上也未形成进一步的应对。类似的衔接缺失也可以在2020年7月公开征求意见的《数据安全法(草案)》第32条中观察到。在《民法典》已然建立起我国个人信息保护上层制度,并进而有可能深刻影响《个人信息保护法》框架和内容的背景下,要实现该部法律对个人信息保护形成相对完整和周延的保护网,就需要对包括刑事司法在内的各个应用场景予以关注,以形成各个领域之间的良性互动。本文正是由此出发,分析个人信息保护制度对于刑事司法运行的多维度影响,以期能够为个人信息保护制度的整体建构补充一个必要的视角,同时也为未来刑事诉讼制度的数字化改革进行一定的理论铺垫。由此出发,本文围绕个人信息保护中的四个核心要求展开:其一是知情同意要求;其二是合目的性要求;其三是特殊群体个人信息保护要求;其四是个人信息出境安全评估要求。当前个人信息保护制度多以尊重其信息自决权为基础,并由此延伸出个人信息保护领域的知情同意原则。例如《网络安全法》第41条明确要求网络运营者在收集处理个人信息时,需经被收集者同意。与之相类似地,《民法典》第1035条确立的处理个人信息的条件中,也将“征得自然人或其监护人同意”列为第一项条件,并在第1036条中对同意范围内的个人信息处理进行民事责任的豁免。
在刑事司法领域,由于打击犯罪、保证诉讼程序顺利进行的需要,一些侦查取证活动需要在秘密的情况下进行。当这些活动涉及到个人信息时,不仅事前不会告知信息主体,在刑事诉讼终结之后也不一定告知,并且为不妨碍侦查之目的,也会要求控制或占有个人信息的第三方不予告知,由此与“知情”这一制度要求相冲突。同时,鉴于刑事司法行为的强制性,能否调取信息往往与信息主体的主观意愿无关;不仅无关,有关单位和个人还有如实提供的义务,因此“同意”之要求也无从谈起。基于以上分析可以看出,个人信息保护的知情同意要求难以直接套用在刑事司法领域。当前《个人信息保护法》的立法大有覆盖公私领域之势,这就不得不涉及到为刑事司法量体裁衣的问题。然而,观察我国目前已经出台的个人信息保护方面的规范性法律文件,可以发现尚未有任何规定涉及到该事项。以《网络安全法》为例,根据该法第22条第3款、第41条、第42条之规定,网络运营者收集、使用和向他人提供个人信息时均需要获得被收集者的同意,但并未明确“为犯罪侦查、起诉、审判”之目的进行的收集、使用、提供是否构成该规定之例外。与之相类似地,2018年《电子商务法》、2013年《消费者权益保护法》以及以工信部、网信办为主的政府部门发布的一系列互联网及信息管理部门规章中,均未对个人信息的“知情同意”设置刑事司法例外。相对而言,《民法典》第1035条对于“同意”原则设置了“法律、行政法规另有规定”的但书,相对而言则具有一定的进步性,但需要刑事诉讼法自身的明确规定予以衔接。需要看到的是,在一些低位阶的标准或指南中,刑事司法被认定为“知情同意”的例外情形,比较典型的是两份文件:其一是2019年公安部网络安全保卫局、北京网络行业协会、公安部第三研究所联合制定的《互联网个人信息安全保护指南》,在第6.7条“公开披露”中,该《指南》明确将“与犯罪侦查、起诉、审判和判决执行等直接相关的情形”排除出“知情同意”的适用范围;其二是2020年《信息安全技术——个人信息安全规范》(GB/T35273-2020),在第5.4条所列举的“征得授权同意的例外”中明确包含了“与犯罪侦查、起诉、审判和判决执行等直接相关的”情形。在目前学者提出的各个版本的专家建议稿中,这一立法惯性虽然存在但有所缓和。例如张新宝、葛鑫起草的版本中,对于信息业者向信息主体设置了“损害公共利益”和“严重影响政务部门行使职权”两个相关的免于告知情形,并在后续条文中着重提及了“技术侦查措施”“情报信息搜集”两种主要情形,但是这些种情形能够涵盖刑事司法中可能出现的各种获取个人信息的情形,以及“严重影响行使职权”的证明与侦查秘密这一原则的适用逻辑冲突,这些问题难以通过建议稿条文予以明确解读。齐爱民起草的《个人信息保护法》专家建议稿中,在第27条中针对第26条的“政策披露”就“有关犯罪、刑事侦查”设置了例外;同时在第25条中允许因“侦查机关进行刑事侦查所必要”而进行“个人信息比对”。这些条文反映出学者对于刑事司法特殊性的关注,但是难以有效嵌入到现有刑事诉讼法律规定中去,例如“政策披露”无法解决“非经知情同意获取信息”的正当性问题,而“个人信息比对”也并非仅仅发生于刑事侦查阶段。从域外的立法与司法实践来看,刑事司法机关为打击犯罪之目的对个人信息的获取和使用,往往明确地被认定为个人信息保护制度的例外,这种例外同时表现在“同意”和“知情”两个方面。首先,信息主体的同意往往不构成执法的正当性基础。例如欧盟的《个人数据刑事司法指令》专门强调了刑事司法的特殊性,表示“欧盟2016/679号条例所规定的数据主体的同意,并不构成刑事司法有权机关处理个人数据的法律依据”;巴西2018年《一般数据隐私法》概括性地排除了该法在犯罪侦查和起诉方面的适用;澳大利亚昆士兰省2009年《信息隐私法》(InformationPrivacy Act 2009)针对信息控制者的信息收集、披露、使用等行为,均在信息主体的同意之外,设置了“预防、调查、侦查、起诉或惩罚刑事犯罪”的例外;新西兰2018年《隐私法(草案)》(PrivacyBill 2018)也作出了类似的例外规定;而马来西亚2010年《个人数据保护法》则将政府对于个人数据的使用一并排除在外,其中也包括刑事司法权力机关。其次,就知情而言,其原则上受到犯罪侦查特别是秘密侦查原则的限制,因此在知情的范围上往往有所限制。例如欧盟《个人数据刑事司法指令》指出在确保正当程序保障的前提下,应当尊重和保留成员国为确保刑事诉讼顺利进行之目的,通过立法限制、推迟或排除向数据主体披露信息的权力。英国《数据保护法》也允许数据控制者为防止妨碍刑事诉讼的顺利进行以及国家或公共安全等目的,限制向数据主体披露数据处理信息。台湾地区“个人资料保护条例”第8条则明确规定当告知行为可能妨害公共利益或公务机关执行法定职务时,告知义务免除。有鉴于此,我们可以得出个人信息保护与刑事司法制度衔接与调和的第一项要求:“知情同意”原则应当为刑事司法行为设置例外。这种例外一方面源自对个人信息充分保护的需求,另一方面也源自刑事司法有效运行的需求。通过设置例外,可以为进一步规范刑事司法权力机关行为提供基础,同时也是化解网络信息企业等第三方合规困境的前提。此外,“知情同意”的豁免并不意味着个人信息的获取和处理更加容易。相反地,恰恰因为无法保障信息主体对个人信息的管控,反而需要刑事诉讼制度对个人信息的干预进行更为审慎和明确的规制。同时需要注意的是,知情同意的刑事司法例外不意味着不告知,而是需要在刑事诉讼制度内部形成不妨碍诉讼顺利进行的“告知——延后告知——不告知”的阶层化制度设计。在明确刑事司法运行需要独立的个人信息保护规定的基础上,再来分析这种保护应当包含的内容,由此便涉及到合目的性原则对个人信息干预行为范围、方式和强度的限制,具体主要表现为两个方面的内容:其一是信息收集的合目的性;其二是信息使用的合目的性。首先是信息收集的合目的性。仍然以《网络安全法》为例,第41条第2款明确规定网络运营者不得收集与其提供的服务无关的个人信息,并未就协助刑事执法等事项设置但书。与之类似的还有2013年《消费者权益保护法》,以及包括2019年《儿童个人信息网络保护规定》《互联网个人信息安全保护指南》、2017年《互联网跟帖评论服务管理规定》、2016年《移动智能终端应用软件预置和分发管理暂行规定》《网络预约出租汽车经营服务管理暂行办法》《移动互联网应用程序信息服务管理规定》等在内的一系列规范互联网行业的部门规章。2020年《民法典》第1035条同样要求处理个人信息需要“明示处理信息的目的、方式和范围”,但知情同意原则相区别的是,合目的性要求并未设置“法律、行政法规另有规定”的但书。收集信息的合目的性要求同样体现在各个版本的专家建议稿中,例如张新宝、葛鑫的建议稿中强调政务部门应当在特定目的范围内收集为实现该目的所需要的必要信息;齐爱民的版本在针对国家机关收集个人信息的部分,则以“职权范围”取代了“目的性”,同时列举了“国家安全、公共安全、社会公共利益”等超范围收集的许可情形。原则上,刑事司法权力机关收集个人信息,也应当遵守合目的性要求,即所收集的个人信息应当与特定案件的侦查、起诉、审判、执行等活动直接相关。在此基础上,在两项制度的衔接过程中,主要面临两方面的问题:其一是刑事司法权力机关自行超范围收集个人信息的合法性问题;其二是刑事司法权力机关使用技术侦查措施,要求网络信息业者收集并提供相关用户信息的合法性。应对以上两方面的合法性问题,其核心均在于明确不同情形下可以收集的个人信息的类型和范围。《刑事诉讼法》本身并没有专门规定针对信息收集的具体侦查取证措施,唯一可能相关的是针对动态数据进行监控和调取的技术侦查,但相关司法解释未能就信息的合理范围进行划定。《电子数据规定》和《电子数据规则》尽管规定了较为详细的取证措施,但没有具体条文涉及到收集数据的范围限定。规则上的缺失直接反映为司法实践中的混乱,典型的例证是实践中出现的一系列电信公司以《宪法》第40条为由拒绝法院调取数据而遭到行政处罚的案例,对此学者的观点也莫衷一是。参考域外的相关规定,对于涉及到刑事司法领域的个人信息保护法律规定,往往强调收集目的的明确性。例如欧盟《个人数据刑事司法指令》明确在开篇表示,个人信息的收集应当建立在具体、明确、合法的目的之上;就执法机关要求数据控制者提供个人数据的情形而言,《个人数据刑事司法指令》特别强调这种要求应当是书面形式的、合理的、个案的,并且执法机关不能以直接接入外部个人信息数据库的方式获取数据。在美国,微软爱尔兰案所形成的激烈争议也起源于美国《存储通信法》对于内容数据和非内容数据设置了不同的取证令状规则。英国2018年制定的《数据保护法》(DataProtection Act)提出刑事司法权力机关的数据收集或基于数据主体的同意,或基于执行特定任务的必要性,并就“必要性”的含义进行了详细规定;同时,该法也要求数据收集的目的必须具体、明确、合法,执法机关不应当超目的收集数据。在美国,近年一系列判例涉及到人身搜查过程中对手机的无证附带搜查,其核心争议同样在于基于一份令状进行的搜查行为能否超越该令状所限定的目的和范围,将搜查范围延伸到虚拟空间中的数据。从已有判决来看,美国最高法院对这种扩展性的搜查持否定态度。其次是个人信息使用的合目的性。放置在刑事司法的语境下,主要涉及到四种特殊场景:其一是网络信息业者以经营为目的收集和处理的个人信息,能否为刑事司法之目的使用;其二是行政机关为一般执法活动收集和处理的个人信息,能否为刑事司法之目的使用;其三是为特定犯罪收集和处理的个人信息,能否为打击其他犯罪、一般性犯罪预防或行政执法之目的使用;其四是在本案中收集和处理的个人信息,能否为他案之刑事诉讼程序使用。从我国已经制定的个人信息保护方面的法律规定来看,以上四种情形无疑均属于超出初始目的的使用。问题在于,这四种情形已然成为当前刑事司法运行过程中的常态。第一种情形与前文探讨的信息收集合目的性相关,只不过是从信息业者的角度来评价使用的边界。如前所述,为打击犯罪之目的,《刑事诉讼法》明确赋予公安司法机关取证的权力,从性质上讲网络信息业者对于个人信息的此类“他用”应当允许。第二种情形牵涉到刑事司法目的之下的政府各部门间执法数据整合利用。2012年修订《刑事诉讼法》时明确了行政执法收集的材料可以在刑事诉讼中使用,解决了刑事司法目的外的信息就打击犯罪目的的“他用”的合法性问题。但是两个场景中具体证据规则的差异仍然可能一方面减损证据的证明力,另一方面也可能减损取证过程中对被指控人的程序性保障。此外,一些相关立法中的表述不清,也可能阻碍实践中此类个人信息的他用,例如《网络安全法》第30条将网信部门等在履行网络安全保护职责中获取的信息的使用严格限于“维护网络安全的需要”,不仅该范围所指向的具体犯罪模糊,同时也排除了明显与网络安全无关的传统犯罪侦查起诉审判中相关信息的使用。第三种情形则涉及到刑事诉讼收集信息的外流。由于刑事司法活动的高强制性,在该场域下获取的信息无论在广度和深度上均超过其他执法部门,因而这种数据由内向外流动的“他用”是个人信息保护需要高度关注的场景。对此,《刑事诉讼法》目前尚无明确规定,但在一些相关法律中有所涉及。例如《反恐怖主义法》第45条中对于公安机关、国家安全机关、军事机关通过技术侦察措施获取的材料,明确限定其只能用于“反恐主义应对处置和对恐怖活动犯罪、极端主义犯罪的侦查、起诉和审判”。第四种情形主要涉及到刑事司法内部个人信息在本案与他案之间的流转。原则上,刑事案件本身限定了个人信息收集的目的和范围,因此当案件发生变化时,原先收集和处理个人信息的正当性基础随即消灭,如果严格遵守一般领域个人信息保护的合目的原则,则个人信息从本案向他案的流动则构成对该原则的违反,更毋庸提服务于未来犯罪的防控。但是在刑事司法领域,这种他用对于犯罪治理而言不仅常规而且必要,并且大数据技术使其重要性有增无减。观察目前各份《个人信息保护法》学者建议稿,已经涉及到个人信息的合理他用问题。例如在张新宝、葛鑫的版本中,针对信息业者配合执法过程中的个人信息他用设置了执法例外,同时要求通过制定政务信息共享目录的方式打通不同执法部门之间的个人信息流动。与之类似地,在齐爱民的版本中,同样建议采用书面协议的方式来规制侦查机关与其他国家机关或非国家机关信息处理主体之间的个人信息比对行为。但是,以上两个版本的共通缺陷在于,未能区分刑事司法领域个人信息他用的不同场景,同时对于个人信息从刑事司法领域向一般社会治理领域的流动和“他用”没有予以特别关注。从域外个人信息保护相关立法来看,个人信息在刑事司法语境下的他用同样是关注重点,并且着重规制执法机关之间的个人信息流动。如前所述,个人信息在刑事司法内外的流动包含两个流向:其一是从刑事司法外部向内部流动,其二是从刑事司法内部向外部流动。就由外向内的个人信息他用而言,出于打击犯罪的需要,立法上往往允许,例如在澳大利亚昆士兰《信息隐私法》中,执法部门之间的信息流动原则上应当有明确的法律授权,但是允许为预防和打击犯罪等刑事司法目的的基于裁量的数据他用。台湾地区“个人资料保护法”针对公务机关收集的个人资料,规定了基于地区安全、公共利益、公民重大权益等目的的他用例外。就由内向外的个人信息他用而言,通过刑事诉讼措施收集的个人信息往往具有高度敏感性,其干预广度和深度多强于其他领域,因此各国立法与司法实践多严格限制此类数据他用。这又可以进一步分为两种情形:其一是供其他执法部门的他用;其二是供执法系统以外主体的他用。就后者而言,立法往往采用更为严格的限制,例如欧盟《个人数据刑事司法指令》在此种情形下要求适用GDPR的相关规定。但就执法部门之间的信息他用,则存在不同做法,例如欧盟《个人数据刑事司法指令》允许在合法、必要、合比例的基础上进行此类他用;类似地,英国《数据保护法》允许执法机关之间基于明确法律授权的数据他用,前提是这种他用是实现其他执法目的所必须且正当的。与之相反的是,在2019年美国与英国签署的云法协议中,为确保数据获取的最小化原则,该协议特别要求为刑事司法之目的获取的数据不应他用。欧洲人权法院在2016年Karabeyoğlu诉土耳其案[vi]中认为,在刑事侦查中针对犯罪嫌疑人采用电子监听措施没有问题,但将该监听获取的个人信息用于刑事司法以外的纪律处分,则违反了《欧洲人权公约》第八条所保护的隐私权。新西兰《隐私法案》(PrivacyBill)专门在附表3中列举了各类政府部门之间获批的信息分享协议,其中详细列举了不同协议之下可以分享的具体个人信息类型。从以上分析可以看出,以合目的性限制个人信息的收集与处理,私领域和公领域尽管均强调正当目的对于个人信息干预行为的限制,并在特定情形下允许个人信息的他用,但两者仍然在设定超目的收集和适用个人信息的范围和方式存在差异。在私领域,这种超目的的个人信息干预主要依赖于经营活动和信息主体的“知情同意”予以正当化,这与公领域特别是刑事司法领域的运行机制存在三点重要差异:其一,个人信息在公领域的超目的收集和处理通常基于“必要性”原则加以评价,而刑事司法活动往往天然构成“必要”之情形;其二,超目的收集和适用个人信息的 “必要性”仍然需要在个案中进行进一步解读和判断;其三,个人信息的他用在由刑事司法内部向外部流动时需要更为严格的限制。以上三者相结合,事实上构成了个人信息保护合目的性在刑事司法领域的独特规则体系。有鉴于此,我们可以得出个人信息保护与刑事司法制度衔接与调和的第二项要求:一方面需要将预防和打击犯罪等刑事司法目的作为其他组织、机构或个人收集、处理个人信息合目的性要求的例外,另一方面则同时需要建立刑事司法内部干预个人信息合目的性的评价规则、标准和机制,尤其是针对以预防和打击犯罪为目的的大规模监控行为,需要法律进一步明确其具体适用的范围、场景、条件和规制机制。前者主要是基于打击犯罪的需求,后者则主要出于人权保障的考虑;前者需要在个人信息保护法律体系中有所体现,而后者主要依赖于刑事诉讼法律制度的内部建构和规则调整。这种建构需要同时关注上文提及的三个个人信息他用场景,在排序上根据“刑事他案他用——执法机关他用——非执法机关他用”的阶层,逐级提升他用门槛和审查、限制的严格程度。从信息主体的自身特征出发,个人信息保护制度往往要求区分一般主体和特殊主体,对于其中的敏感或特别脆弱群体予以特殊保护,其中比较典型的是对于未成年人予以特别关注。在我国,《网络安全法》第13条特别关注涉及未成年人健康成长的网络产品和服务,2019年国家网信办更是专门制定了《儿童个人信息网络保护规定》,以保护未满十四周岁的未成年人的个人信息安全。域外个人信息保护制度同样有类似规定,例如2013年香港修订《个人资料(隐私)保护条例》时强化和细化了为维护未成年人等弱势社群的利益而采取的保护措施;欧盟《一般数据保护条例》明确认为,儿童的个人数据需要特殊保护;印度正在起草中的《个人数据保护法案(草案)》第五章专门针对儿童个人数据保护设置相应规定;法律之所以如此规定,原因在于未成年人自我保护能力和自我控制能力相对较弱,同时又容易受到互联网信息的不当影响。毫无疑问的是,这种对于脆弱主体的特殊保护同样适用于刑事司法领域。问题在于,在刑事诉讼过程中,对于何者为脆弱主体、何者需要特殊保护,其划分标准与一般民商事场景和行政执法场景又有所不同。从目前我国涉及个人信息保护的相关规定来看,尽管各种规范性法律文件没有排除其在刑事司法领域的适用,但其均未触及这种分类,而刑事诉讼法因为缺乏对于个人信息保护的集体关注,因此也并涉及这一问题。现有专家建议稿也多采用传统分类,例如张新宝、葛鑫的版本中只是在第22条对于未成年人予以特殊保护。反观域外立法和司法实践,则可以观察到这种区分。例如欧盟《个人数据刑事司法指令说明》第31条明确区分犯罪嫌疑人、罪犯、被害人和其他诉讼参与人、信息处理人、共同被告人或共犯等;英国《数据保护法》第38条第3款同样要求区分犯罪嫌疑人、罪犯、被害人、证人等其他诉讼参与人;新西兰《隐私法案(草案)》在附表五中针对不同主体特别是被害人,列举了相关个人信息的披露情形、对象和范围。之所以会形成这样的区分,一方面,在刑事司法领域,对于犯罪嫌疑人、被告人、罪犯的个人信息的需求最为强烈,但为查明案件之目的,甚至为了预防犯罪,刑事司法权力机关会同时需要收集其他诉讼参与人的个人信息,其中最为脆弱又最容易受到不当程序侵害的当属被害人。另一方面,即便对于被指控人而言,其处于不同的诉讼阶段,身份亦有所不同,基于无罪推定原则,刑事诉讼法所给予的保障措施和保护强度亦有所区别,尤其需要区分尚未定罪的被指控人、经法定程序认定为无罪的人以及已经依法定罪的罪犯。从刑事司法的基本规律出发,我们可以观察到两类主要需要区别于犯罪人进行特殊对待的主体:一类是经过法定程序未被定罪的被指控人;另一类是被害人和其他诉讼参与人。首先,就经过法定程序未被定罪的被指控人,他们尽管曾被确认为犯罪嫌疑人或被告人,但其身份终究区别于被最终定罪的犯罪人。在被指控人被确认为无罪或撤销指控之后,在刑事诉讼运行过程中收集的这些主体的个人信息,一方面不再服务于具体犯罪的侦查、起诉、审判、执行等诉讼活动,另一方面也无从谈及基于过往犯罪行为形成犯罪风险预判、人身危险性或社会危险性衡量等未来面向的评判。基于此,针对这些被指控人而言,刑事司法权力机关对其个人信息的收集与处理已经失去了“必要性”这一正当性基础,因此应当及时停止任何形式的对其个人信息的干预行为。当然,以上分析完全可以放置在刑事司法内部干预个人信息的合目的性要求的框架下进行分析。之所以需要对此类被指控人进行特殊关注,主要涉及以下三方面考量:第一,大数据背景下,犯罪数据库的集成在犯罪治理领域越来越重要,而这种集成行为本身已经足以构成对个人信息的干预。第二,刑事司法领域基于打击犯罪的概括性认知,往往存在信息收集和处理向案外溢出的实践倾向和规则便利。第三,相对于其他领域的个人信息干预行为,刑事司法领域基于个人信息的收集和处理所引发的后续处置措施多具有高度的强制性。以上三重考量结合在一起,使得对为被定罪的被指控人进行特殊关注不仅合理并且必要。对此,欧洲地区的立法和司法实践最为典型,例如欧盟《个人数据刑事司法指令》在进行个人信息主体分类时,明确要求成员国区分犯罪人和被指控人。欧洲人权法院的相关判决同样呈现出类似区分,例如在2008年S和Marper诉英国案中,法院认为英国在申请人被判无罪之后仍然保存其指纹、细胞样本和DNA,信息存留行为与刑事司法目的不成比例,违反了《欧洲人权公约》第八条所保护的隐私权。与之形成对比的是2009年的B.B.诉法国案、Gardel诉法国和M.B.诉法国案。这些案件中,申请人在因强奸未成年人被定罪后,其个人信息自动被存入法国国家性犯罪罪犯档案系统,欧洲人权法院认为此时的个人信息收集存储是合理且正当的。其次,就被害人和其他诉讼参与人而言,其本身并非犯罪预防和打击的直接对象;相反地,对这些主体的个人信息进行处理往往是从协助查明案情、推进刑事诉讼顺利进行的角度出发。因此在收集和处理被害人和其他诉讼参与人个人信息的过程中,相关措施的强制性程度应当原则上低于被指控人,反过来说即“知情同意”原则的适用性应该更高。这种区分在刑事诉讼程序中一直存在,例如根据我国《刑事诉讼法》第132条的规定,强制人身检查只能适用于犯罪嫌疑人。事实上,相对于其他诉讼参与人,为避免刑事诉讼程序不当造成对被害人的“二次伤害”,法律往往对于被害人采取更为严格的保护程序,例如根据《刑事诉讼法》第43条的规定,辩护律师如果向证人取证,只需要获得证人许可即可;但如果针对被害人取证,则还需要经人民检察院或人民法院的许可。这种针对被害人和其他诉讼参与人的区别对待同样应当反映在个人信息保护制度中。在欧盟《个人数据刑事司法指令》第6条不仅要求将以上人员同犯罪人和犯罪嫌疑人区分开来,还特别要求将被害人和其他诉讼参与人进行区分。印度《个人数据保护法案(草案)》第43条明确规定了为预防和打击犯罪之目的而豁免前述章节中关于个人信息保护的各项要求,但又特别强调如果数据主体是被害人、证人或其他相关人员,则这种豁免仅应当在存在妨碍打击犯罪目的的切实危险时才适用。新西兰《隐私法案(草案)》第52条在规定拒绝向信息主体披露个人信息时,特别指出其中的一种情形是该披露可能造成犯罪被害人的信息泄露。基于以上分析,我们可以得出个人信息保护与刑事司法制度衔接的第三项要求:在遵循商业领域和一般社会治理场景下个人信息保护基本思路的前提下,刑事司法领域需要依照自身规律,对犯罪人、未被定罪的被指控人、被害人和其他诉讼参与人分别设置不同的个人信息获取和处理规则。一方面,未被定罪的被指控人的个人信息的收集和处理无论在范围和时长上均不应当超出个案;另一方面,针对被害人和其他诉讼参与人的个人信息,规则设计上应当尽可能遵循“知情同意”原则和个案的合目的性原则以降低其强制性,并在措施上尽可能贴近一般社会治理的要求。鉴于互联网的本质特性,信息超越地理边界进行高速流动已经成为现实,因此在设计个人信息保护制度时不可避免地会牵涉到信息出境问题。从制度整体而言,个人信息保护又仅仅构成数据跨境问题中的一个组成部分,牵涉到网络主权、国家安全、数据安全等多项利益。因此,尽管信息跨境是促进网络经济的现实需求,但信息跨境制度设计往往具有高度的复杂性。在此背景下,各国多针对个人信息的出境设置了一系列审查机制,特别是对关乎国计民生的领域,这种审查机制更为严格。就我国法律制度来看,《网络安全法》第33条针对关键信息基础设施运营者向境外提供个人信息的情况设置了安全评估要求。2019年国家互联网信息办公室起草的《个人信息出境安全评估办法(征求意见稿)》对这一要求进行了进一步扩张和细化,一方面明确禁止特定情形下的个人信息出境;另一方面搭建起个人信息安全评估出境的一般性流程。根据该文件,个人信息出境首先需要进行出境安全评估申报并提供相应材料,省级网信部门进行形式审之后,正常情况下在15日内完成安全评估,特殊情况下该期限可以延长。类似的考量同样延伸到当前正在起草的《数据安全法》之中。根据2020年7月份公开征求意见的《数据安全法(草案)》第33条之规定,境外执法机构要求调取中国境内存储数据的,有关组织需经主管机关批准后方可提供。该规定是对2019年《国际刑事司法协助法》第4条第3款的禁止性规定的反面表述,但二者均未明确司法协助中的“主管机关批准”与数据出境中的安全评估之间的关系。目前公开的《个人信息保护法》专家建议稿也多涉及到这一部分内容,例如在张新宝、葛鑫的版本中,专门设置专节规定向境外提供个人信息相关事项;齐爱民的版本也在第24条要求个人信息跨境传输需符合我国法律规定的“最低保护标准”。从域外立法与司法实践来看,典型的例证便是当年号称“史上最严”的欧盟《一般数据保护条例》,其中对于向欧盟以外国家提供个人信息设置了严格的审查程序和罚则。在刑事司法领域,伴随个人信息的全球流动而出现的是取证行为的跨地域性。毫无疑问,这个领域同样涉及到个人信息出境安全问题。问题在于,在刑事司法的语境下,信息安全并非是唯一甚至首要的考量因素,及时、高效、准确打击犯罪在个人信息出境方面占据了主导地位。如果说在民商事领域个人信息出境的安全审查主要涉及到的是公共利益与私主体利益之间的冲突,那么在刑事司法领域,这种冲突表现为不同类型公共利益之间的冲突,后者难以套用前者套逻辑进行价值排序。事实上,近些年来国内外的一系列司法实践反映出,程序繁冗的传统司法协助取证模式已然无法满足高效打击网络犯罪乃至普通犯罪的现实需求,从境外获取本国案件的关键数据证据已经不再是例外,而是网络革命下刑事司法所面临的普遍情况。在此背景下,整体提升境外数据取证的效率,成为国内外刑事跨境取证规则共同探讨的重要议题之一。就国内而言,2016年“两高一部”《电子数据规定》)首次对该问题作出回应,其第9条第2款允许侦查机关“对于原始存储介质位于境外或者远程计算机信息系统上的电子数据”通过网络在线提取;2019年公安部《电子数据规则》第23条尽管有所限缩,但仍然通过勘验保留了一定程度的直接跨境数据取证的可能性。在域外同样能够观察到类似的探索,例如以欧盟《涉刑事电子证据生成和存留命令条例(草案)》(简称《电子证据条例(草案)》)和美国《云法》为代表的取证令模式、以美国FBI的“网络调查技术”(NIT)和2016年修订的《联邦刑事诉讼规则》第41条为代表的远程直接取证模式、以美国与英国正在商讨的双边协议为代表的刑事司法协助简化模式、以网络犯罪《布达佩斯公约》委员会正在起草的第二议定书为代表的多边执法合作模式等。此外,联合国毒品与犯罪办公室也通过连续召开网络犯罪专家组会议,探索刑事跨境数据取证的国际社会新规则。在刑事司法领域努力通过制度创新探索高效跨境取证方式,从而在网络信息生态下实现打击犯罪这一基本价值的背景下,对个人信息出境不加区别地采用相同且繁琐的安全审查机制,两者在程序加减上呈现出鲜明的反差。尽管从国内刑事执法视角来看,更重要的是个人信息的入境而非出境,但因为牵涉到国际层面的网络主权问题,对等和互惠原则仍然是基本原则。换言之,本国法律制度中对个人信息出境设置的障碍会折射在他国政策与法律制度之中,进而可能反噬本国的跨境取证活动。观察我国当前法律制度,刑事司法领域的特殊性尚未得到应有重视,这一方面源自个人信息保护相关制度设计仍然主要遵从的民商经济领域的思路,另一方面也源自刑事诉讼法律自身在立法层面上对网络信息革命的反应迟滞。例如《个人信息出境安全评估办法(征求意见稿)》第2条设置了“国家另有规定”的适用例外,但与之相关的《国际刑事司法协助法》仅原则上强调协助不得损害我国主权、安全和社会公共利益,何为“损害我国安全”,法律并未进一步明确。两相结合,似乎可以推断出进行个人信息出境安全审查是维护我国安全不可或缺的必经程序。这种思路也体现在专家建议稿之中,例如张新宝、葛鑫在其《专家建议稿》的第61条中提出,信息业者在境外设立的机构收到境外执法机关、司法机关调取境内收集和产生的个人信息时,采用有关部门审批前置。反观域外立法与司法实践,其探索大致可以归纳为以下三种主要类型。第一种类型是就特定犯罪中特定类型的个人信息出境设置区域内跨境流动规则,例如欧盟2016年制定的《预防、调查、侦查和起诉恐怖主义犯罪和严重犯罪中适用乘客姓名记录指令》(简称《PNR指令》),在欧盟成员国之间形成乘客姓名记录信息的共享机制,从而简化此类信息跨境取证的程序。第二种类型是区分信息收集和信息传递,在需要进行审查的情形中,通过前者先行及时固定数据,以待审查通过后向境外提供。对此,典型的例证是欧盟的《电子证据条例(草案)》。第三种类型是通过双边协议,对符合条件的协议对象设置跨境数据取证的“绿色通道”,2019年美国和英国基于《云法》签订的协议即属于这一类型。需要注意的是,以上域外的简化跨境数据流动、方便跨境数据取证的探索并非单纯降低数据出境门槛。相反地,正是基于个人信息保护以及数据安全等方面的考量,这些新兴制度往往设置了更为严格的条件,例如不得违反信息出境国和入境国各自的个人信息保护制度,以个案审查适用为原则,严格禁止个人信息他用或反向流动等。这些限制性条件的设置无疑需要刑事司法内部加以重视和建构,才有可能与个人信息一般出境规则相互协同以形成有机整体。基于以上分析,我们可以得出个人信息保护制度与刑事司法制度衔接的第四项要求:个人信息跨境流动的审查机制需要考虑到刑事侦查高效取证的现实需求,在平衡与调和不同公共利益的前提下,个人信息出境审查不应当不当妨碍刑事侦查取证,并且应当对刑事诉讼领域的制度创新形成必要支持。具体而言,笔者提出以下三方面建议:第一,个案中的个人信息的出境,其安全审查应当分层分类,而非一概审查前置;第二,为刑事诉讼之目的进行的个人出境,应当区分收集环节和提供环节,针对前者的程序应当尽可能简化以固定证据;第三,应当明确禁止为规避本国正当程序要求、通过个人信息出境后反向入境的做法。毫无疑问,个人信息保护制度是一个跨越多个部门法的综合立法领域。在这一领域,一方面会形成一些共通的原则、制度、规则,但另一方面,不同场景下的个人信息保护制度需要结合该场景部门法的基本规律进行设置,从而在填补规则漏洞的同时,避免不同规则间的排异反应。刑事司法制度的高度强制性使其不仅区别于民商事领域,也与一般行政执法领域存在较大差异,这种差异并非仅仅体现于个别规则之上,而是反映在制度建构的逻辑起点之上。建立刑事司法领域的个人信息保护制度,需要的不仅仅是一般个人信息保护制度的概括性例外条款,也不仅仅是刑事诉讼法内部的自顾自的规则设计。刑事司法领域的个人信息保护需要首先明确因何例外、进而明确如何例外。这是两个领域顺畅衔接的前提,其也进一步意味着,要实现个人信息保护制度与刑事司法制度的有效衔接,需要两个领域的充分对话和深度交流:个人信息保护法的立法进程不能没有刑事诉讼法学的全面参与,而刑事诉讼法学也需要将部分注意力从传统议题中进行适当移转,关注到外部生态整体变化之下刑事司法的议题更新。有鉴于此,笔者提出个人信息保护制度与刑事司法制度融合的四方面要求:首先,以必要性而非“知情同意”作为刑事司法权力机关干预公民个人信息的正当性基础,并以其为逻辑起点,在比例原则的框架下构建相关规则;其次,在个人信息干预行为存在不同领域的合目的性冲突时,一方面刑事司法具有优先性,从而豁免其他领域的合目的性限制,另一方面刑事司法内部仍然需建立起自身的合目的性审查和规范机制;再次,基于刑事司法特性和自身的比例原则要求,应当区分犯罪人、未被定罪的被指控人、被害人和其他诉讼参与人等信息主体,并划分不同的干预强度等级和救济制度;最后,有必要在个人信息出境审查方面为刑事司法行为特别是数据侦查取证活动设置绿色通道,同时区分信息收集和信息传输阶段,以平衡高效取证和信息安全的双重需求。[1]这些规范性文件和行业、技术规范包括但不限于:2020年《信息安全技术-个人信息安全规范》、2019年《儿童个人信息网络保护规定》、2019年《互联网个人信息安全保护指南》、2019年《个人信息出境安全评估办法(征求意见稿)》、2014年《互联网企业个人信息保护测评标准》、2013年《电信和互联网用户个人信息保护规定》等。
[2] Directive (EU) 2016/680of the European Parliament and of the Council, “On the protection of naturalpersons with regard to the processing of personal data by competent authoritiesfor the purposes of the prevention, investigation, detection or prosecution ofcriminal offences or the execution of criminal penalties, and on the freemovement of such data, and repealing Council Framework decision 2008/977/JHA.”,issued on 27 April 2016. Available at https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016L0680. Accessed November 11,2019.
[3]《数据安全法(草案)》第32条规定,“公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。”具体何种程序属于“严格的批准手续”,尚无法从《刑事诉讼法》和相关司法解释中找到答案。
[4]关于个人信息保护制度的自决权基础的探讨,参见Mark Burdon, Digital Data Collection and Information Privacy Law,Cambridge University Press, 2020, at 104-113。
[5]例如“两高一部”《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(下文简称《电子数据规定》)第3条明确规定:“人民法院、人民检察院和公安机关有权依法向有关单位和个人收集、调取电子数据。有关单位和个人应当如实提供。”与之类似地,在2019年公安部制定的《公安机关办理刑事案件电子数据取证规则》(下文简称《电子数据规则》)中,公安机关调取有权向有关单位调取电子数据,但并不要求告知数据主体。
[6]英文译本引自https://www.pnm.adv.br/wp-content/uploads/2018/08/Brazilian-General-Data-Protection-Law.pdf,最后访问日期2019年11月12日。
[7]引自https://www.legislation.qld.gov.au/view/whole/html/inforce/current/act-2009-014,最后访问日期2019年11月12日。
[8]引自http://www.legislation.govt.nz/bill/government/2018/0034/latest/LMS23223.html,最后访问日期2019年11月12日。
[9]引自http://www.pdp.gov.my/images/LAWS_OF_MALAYSIA_PDPA.pdf,最后访问日期2019年11月12日。
[10]齐爱民:《中华人民共和国个人信息保护法学者建议稿》,载《河北法学》2019年第1期,第39页。
[11]参见《又见移动公司拒绝取证被处罚,深度分析法院是否有权调取通话清单》, https://www.sohu.com/a/199726458_809024,最后访问日期2019年11月14日。
[12]相关判例介绍及评论参见陈永生:《刑事诉讼中搜查手机的法律规制——以美国赖利案为例的研究》,载《现代法学》2018年第6期,第135-154页。
[13]参见裴炜:《刑事立案前后电子取证规则衔接问题研究》,载《当代法学》2019年第2期,第115-126页。
[14]需要注意的是,2018年《国家情报法》第15条在规定“技术侦察”时并未设置此类例外。
[15] ECtHR, Karabeyoğlu v.Turkey, application no. 30083/10.
[16]关于刑事司法内部个人信息保护制度和大规模监控规制的探讨,参见程雷:《刑事司法中的公民个人信息保护》,载《中国人民大学学报》2019年第1期,第104-113页。
[17]《个人资料(隐私)保护条例》原文参见https://www.elegislation.gov.hk/hk/cap486!en-zh-Hant-HK.pdf?FROMCAPINDEX=Y,最后访问日期2019年12月2日。
[18]《个人数据保护法案(草案)》英文版参见https://meity.gov.in/writereaddata/files/Personal_Data_Protection_Bill,2018.pdf,最后访问日期2019年12月3日。
[19]这一点不仅在国际层面形成共同认知,也体现在《网络安全法》等一系列法律法规和司法解释之中。
[20] ECtHR, S. and Marper v.The United Kingdom, application nos. 30562/04 and 30566/04.
[21]与之类似的案件还有2013年M.K.诉法国案(M.K.v. France, application no. 19522/09)、2014年Brunet诉法国案(Brunetv. France, application no. 21010/10)。
[22] ECtHR, B.B. v. France,application no. 5335/06.
[23] ECtHR, Gardel v. Franceand M.B. v. France, application no. 22115/06.
[24]与之类似的案件还有2009年W.诉荷兰案(W.V. the Netherlands, application no. 20689/08)、2013年Peruzzo和Martens诉德国案(Peruzzoand Martens v. Germany)。
[25]在《征求意见稿》中,需要进行出境前安全评估的个人信息扩展至各类网络运营者在境内运营中收集的信息,而不仅限于关键信息基础设施运营者。
[26]裴炜:《未来犯罪治理的关键:跨境数据取证》,载《中国信息安全》2019年第5期,第35-37页。
[27] Directive (EU) 2016/681on the use of passenger name record (PNR) data for the prevention, detection,investigation and prosecution of terrorist offences and serious crimes.Available at https://eur-lex.europa.eu/eli/dir/2016/681/oj. Accessed December 7,2019.
以下点击可读:
完整版 | 江溯:帮助信息网络犯罪活动罪的解释方向
裴炜 | 刑事数字辩护:以有效辩护为视角
裴炜:论刑事电子取证中的载体扣押
郑曦:刑事司法视野下被遗忘权的适用
郑曦:个人信息保护视角下的刑事被遗忘权对应义务研究
郑曦:大数据时代的刑事领域被遗忘权
内含二个电子证据有效辩护案件 | 阚吉峰:组织、领导传销活动罪辩护的思路与要点
侯爱文:电子数据鉴定和司法会计鉴定质证攻略
朱桐辉、王玉晴:电子数据取证的正当程序规制——《公安电子数据取证规则》评析
前沿精华分享 | 周跃:量子计算、区块链、智慧司法与存证前沿
顾广义 | 法官、律师双视野下的有效质证
多图学术报道 | 智慧司法与诉讼程序、证据制度完善——天津诉讼法年会
吴宏耀、吴国章、刘祚良、巩志芳、侯爱文、刘栋、胡佼松、王玉晴:民法典时代名誉权的刑事公诉保护——杭州“出轨快递员案”大研讨
编辑 | 南开大学法学院研究生 杜彦昭