查看原文
其他

郑曦:刑事侦查中公民定位信息的收集使用与规制

The following article is from 学习与探索 Author 郑 曦

电子数据,人工智能,大数据,云计算,区块链,网络安全,信息权利;法医、物证、生化、DNA等鉴定科学;心理学、经济学、管理学、统计学、侦查学等对刑事程序的分析;公检法管理;辩护研究、辩护方法。
(感谢安尧题字)



郑曦 | 北京外国语大学法学院副教授、硕士生导师。
在《比较法研究》《政法论坛》等CSSCI期刊发表论文二十余篇;出版中英文独著、译著、合著六本;主持国家社会科学基金项目、教育部人文社会科学项目、北京市社会科学基金项目、中国法学会部级课题、中国博士后科学基金面上资助项目等课题七项。兼任《北外法学》执行副主编;入选北京市法学会“百名法学英才”、北京外国语大学“中青年卓越人才支持计划”等项目。
发表于《学习与探索》2020年第4期,感谢郑老师授权“司法兰亭会”发布有注释版。

侦查机关收集使用特定公民定位信息为刑事侦查所需。侦查机关可以通过主动实施侵入性行为或通过特定第三方获取此种定位信息,但是此类侦查行为可能对个人权利造成侵犯。
欲规制收集使用公民定位信息行为主要有两种路径,隐私权保护路径下可对此种侦查行为进行外部司法控制或内部监督,但此路径存在一些不足,可以通过数据权利保护路径予以补充。参考欧盟GDPR,根据“授权”和“限权”并举的理念,应要求收集使用相关数据时遵循目的限制性、最小必要性、权责一致性等原则。
协调隐私权和数据权利保护的思路,在规范我国刑事侦查中公民定位信息收集使用制度时,可以将事前的内部审批改为外部司法规制、在事中厘清权利和权责的内容、在事后提供相应的救济途径。
关键词:刑事侦查;定位信息;隐私权;数据权利
 

特定公民的行踪包含大量信息,通过对其的定位,可以得知其在特定时间所处的特定位置,从而将其与某一事件联系起来。刑事侦查中对公民定位信息的收集和使用已十分常见,一旦不慎可能对公民权利造成侵害,兹事体大。对于侦查机关收集使用公民定位信息的行为,必须从公民隐私权和数据权利保障两方面着手加以规制,以防止“无处不在的老大哥”式公权滥用,实现打击犯罪和保障人权的平衡。


一、侦查机关收集使用公民定位信息的现实和风险
在刑事侦查中,收集使用特定人员的定位信息,对于侦查机关查获犯罪嫌疑人、查明案件事实有极大帮助:首先,在侦查初期,此种定位信息能帮助侦查机关将特定人员与特定刑事案件进行关联,从而有助于侦查机关理清侦查思路、明确侦查方向;其次,定位信息可以用于证明犯罪嫌疑人一方提供的某些辩护证据之不实,例如不在场证明等;再者,定位信息可以与其他证据相印证,从而帮助侦查机关确定或排除特定人员的犯罪嫌疑,并用于后续程序中的起诉和审判。
侦查机关收集使用特定公民定位的需求随着科技的发展变得既可能且易于实现。一方面,侦查机关的技术侦查装备和水平提升使得其对特定公民实施追踪定位的技术难度大大降低,另一方面,普通人生活中所依赖的先进软硬件设施也为侦查机关收集使用此种定位信息提供了便利,例如现代人时刻不离手的手机及其上所安装的各种社交、导航等应用软件,都随时记录着使用者的定位信息。
在此种现实下,侦查机关欲收集使用特定公民的定位信息,在技术层面上并无实质性的障碍;而对于公民个人而言,在现代生活中,“事了拂衣去,深藏身与名”已然是不切实际的幻想。
具体而言,侦查机关收集特定公民的定位信息,主要有两大类途径。
第一类途径是侦查机关主动实施具有侵入性的侦查行为,在特定公民(犯罪嫌疑人)的人身、物品或交通工具上安装专门的定位设备,从而获取相应的定位信息。在二十世纪中后期,侦查机关常在犯罪嫌疑人特定财物或车辆上安装无线电发射装置(俗称Beeper)对其进行追踪定位,例如美国联邦最高法院在二十世纪八十年代审理的数个案件都涉及警察利用此种Beeper装置定位犯罪嫌疑人而引发的证据可采性争论。[①]这种Beeper装置的缺点在于其发射的无线电信号接收范围有限,警察往往需要驾车追踪此装置以持续接收信号。
随着技术水平的提高,进入二十一世纪后,侦查机关开始广泛使用全球定位系统(GPS)收集使用特定公民的定位信息,如在2012年的琼斯案中,警察就在犯罪嫌疑人的汽车上安装了GPS定位装置其进行追踪,从而得到其从事毒品犯罪的证据。[②]此种途径下的定位信息收集方式的特点在于,侦查机关需以隐秘且具有侵入性的方式对特定公民安装特定装置,信息收集过程不涉及第三方。
第二类途径是侦查机关通过特定第三方,如通讯公司、应用软件运营商等,获取特定公民主动发送给该第三方的定位信息。此种途径下之典型为侦查机关收集使用公民手机定位信息。由于手机等移动通讯设备必须持续接收移动通讯运营商设置的基站(无线电台)的信号方可工作,通过运用时间到达(TOA)、增强时间测量差(E-OTD)和辅助GPS(A-GPS)等定位方法,[1]18-19即可获得手机定位信息(cell-site locationinformation, CSLI)。
此种手机定位信息存储于移动通讯运营商处,侦查机关可以通过相应移动通讯运营商,收集使用特定公民的手机定位信息,例如2018年的卡朋特案即涉及此种手机定位信息收集合法性之讨论。[③]除此之外,特定公民在使用社交网络、打车或导航等软件时,也往往会同意应用软件运营商关于收集定位信息的合同条款,从而主动向其提供定位信息,侦查机关也可以通过其收集使用特定公民的定位信息。
尽管侦查机关收集使用特定公民的定位信息,对于案件顺利办理、预防和打击犯罪有着重要意义,是刑事侦查高科技化的必然结果,但其仍然存在着一定的风险,一旦操之不慎就可能导致危险后果。
其一,公民定位信息可能被滥用于刑事侦查之外的其他目的。一旦监督不足、制约失效,公民定位信息就可能被用于满足侦查人员个人的窥私欲或其他刑事侦查之外的目的。此种担忧并非杞人忧天,2015年9月湖南省岳阳市就曾发生过警察运用技术侦查手段定位追踪前女友并对其实施非法拘禁的案件,该案中岳阳市公安局经侦支队民警顾文对前女友进行手机定位追踪后强掳其上车并对其进行辱骂、殴打和猥亵,最终被法院判定构成非法拘禁罪。[2]
可见,倘若公民定位信息被滥用,可能给公民的人身安全和自由等重要权利带来巨大威胁,甚至成为某些机关或其工作人员谋求私利的工具;如若被用于政治权力斗争,则不仅可能侵害公民权利,更可能引起政治生活的混乱,后果不堪设想。[3]83
其二,收集使用公民定位信息可能侵犯该特定公民的隐私权。在现代社会中,人们的个人隐私常常受到威胁,无论是其在现实生活还是网络虚拟空间中的行为,都可能被记录和监控,甚至可能对公民的私人生活之安宁造成直接破坏,如2013年发生的“2000万开房数据泄露”事件即为典型。[4]而允许刑事侦查机关收集使用公民定位信息,无论以主动实施侵入性行为还是通过特定第三方获取公民主动发送的定位信息,均可能对该特定公民的隐私权造成冲击和侵犯。
正因为如此,有必要从隐私权保护的角度出发,对侦查机关收集公民定位信息的行为进行规范和制约。在上文提到的美国2012年琼斯案和2018年卡朋特案中,美国联邦最高法院都是从这个角度展开论证并作出裁判的。
其三,定位信息的使用可能与公民的数据权利发生冲突。随着隐私权在现代社会受到威胁的风险日渐增加、传统隐私权保护措施应对乏力,个人数据权利逐渐从隐私权中独立出来,发展出个人数据权利与隐私权的“二元制”模式。[5]11
所谓数据权利,是指主体以某种正当的、合法的理由要求或吁请承认主张者对数据的占有,或要求返还数据,或要求承认数据事实(行为)的法律效果。[6]65这类权利之核心在于强调数据主体(特别是作为数据主体的公民个人)对其数据的有效控制,在欧洲国家得到了充分重视,尤其体现在欧盟《一般数据保护条例(GDPR)》中。
而刑事侦查中侦查机关收集使用公民定位信息的行为往往是具有强制性的,显然将与以公民对其数据的有效控制为核心的数据权利发生冲突,于是亦需合理协调二者关系,以免权力与权利之间出现失衡。

二、隐私权保护视角下刑事侦查中定位信息的合理使用
(一)公民定位信息的隐私权保护逻辑
隐私权观念起源于美国,自1890年《哈佛法律评论》上发表《针对隐私的权利(The Right to Privacy)》一文后,隐私权观念渐入人心,并在全世界得到广泛认可。[7]尽管隐私权的概念模糊、内容宽泛、边界不清,但其核心在于保障私生活安宁和不受打扰,有学者即将个人隐私与私人生活秘密或私生活秘密划上等号。[8]38
而判断公民的某一项活动或生活行为是否构成个人隐私,从而在受到侵犯之后得以获得法律甚至宪法层面的保护,美国联邦最高法院的哈兰大法官在卡茨案的协同意见中提出的“主客观双重判断法”可以作为标准,该判断法一是要求主观方面该公民“必须表现出某种实际(主观)的隐私期待”,二是需证明社会已经准备承认其所表现出的隐私期待具有正当性。[④]
根据上述要求,公民定位信息显然可以被视为个人隐私。在刑事侦查中侦查机关所获取的公民定位信息,无论是由该侦查机关主动出击、通过安装定位设备而获得的,还是公民主动向第三方发送、再由该第三方转交于侦查机关的,均满足主客观要件要求。
就主观方面而言,公民对于侦查机关安装定位设备收取其定位信息的事实往往毫不知情,而对于其主动发送给第三方(如移动通讯运营商)的定位信息可能被侦查机关获得的事实也既不知情也无事先同意,完全符合主观方面的要求。
就客观方面而言,社会大众对于公民针对定位信息的隐私期待亦予以承认,例如在智能手机上安装某一运用软件后,在首次运行时往往出现关于获取定位信息的授权请求弹框,若使用者拒绝授权则不得收集定位信息,这表明社会对公民针对其定位信息的隐私期待有普遍承认。
既然公民定位信息是个人隐私,则收集使用公民定位信息的行为即可能涉及对隐私权的侵犯,除非有合法的依据并遵守相关规则,否则不得实施。侦查机关收集公民定位信息的行为以强大的国家权力为后盾,往往在封闭、秘密的情况下实施,且通常不考虑当事人的意志而具有强制性,因此对公民隐私权的侵犯风险尤其巨大,必须予以有效制约。
对于此种侦查行为的制约有两种方式,一种是外部控制方式,主要通过司法机关的审查规制侦查机关的收集公民定位信息行为,另一种则是内部制约方式,主要由侦查机关通过内部的审批和监督规范此种侦查行为。
(二)对侦查机关收集使用公民定位信息的外部司法控制
采取外部司法控制方式规制侦查机关收集公民定位信息者,以美国为典型,其基本逻辑在于将侦查机关收集公民定位信息的行为纳入宪法第四修正案“搜查”的范畴,从而令法院对其进行事前的批准和事后的审查。
在2012年的琼斯案中,联邦最高法院针对侦查机关主动给犯罪嫌疑人安装定位装备的定位信息收集方式,认定此种安装行为已经构成“物理侵入”,即便根据传统的定义,也构成了第四修正案所指之搜查。尽管斯卡利亚大法官代表联邦最高法院撰写的判决意见系遵循传统搜查的“物理侵入”标准作出的,但阿里托大法官所撰写的协同意见则一针见血地指出了其中所涉及的隐私权保护问题,主张用卡茨案中哈兰大法官提出的“主客观双重判断法”作为标准,判断侦查机关安装定位设备、收集定位信息的行为构成搜查,应受司法权之规制。[⑤]
在2018年的卡朋特案中,针对侦查机关通过手机移动通讯运营商这类第三方获取公民定位信息的行为,认定并不适用无需司法审批的“第三方原则”,[⑥]因其涉及公民的隐私权这一宪法所保障之权利,而仍构成宪法第四修正案所指的搜查。
由于侦查机关无论以“主动出击”、安装定位装备还是从手机移动通讯运营商等第三方处获得公民定位信息,均构成宪法第四修正案所指之搜查,则根据该修正案,必须符合“合理性(reasonableness)”条款和令状条款的规定。
按照令状条款的要求,只有当法官根据“合理根据(probable cause)”签发令状后,侦查机关方可收集特定公民的定位信息,且实施相关行为时必须严格遵守令状的规定。
除了事前的令状审批之外,在案件审理中,法院还可以根据控辩双方所提出的动议,对侦查机关收集特定公民定位信息行为的合法性进行审查,如果认定取证行为违法,则可以排除由此得到的证据,上文所述的琼斯和卡朋特两案均涉及此问题。
以外部司法控制方式规制侦查机关收集公民定位信息,其优点在于权力分立下来自外部的权力制约不必受到本部门利益、思维方式和人情关系的羁绊,从而保障此种制约的客观性和有效性。
正是基于此种原因,西方许多国家都有类似的外部司法控制规定,如德国《刑事诉讼法》第100条j规定,只有“由检察官提起申请,由法院做出命令”后,方可取得相关数据;[9]42-43意大利《刑事诉讼法》第254条-2规定,只有司法机关有权决定在信息、电信或电讯服务商处扣押由服务商持有的数据材料,包括送达的或者定位的数据材料;[10]1664俄罗斯《刑事诉讼法》第29条规定:“只有法院,其中包括在审前诉讼程序运行阶段,有权下达下述判决:……(12)获取用户与(或者)用户设备间连接信息的。”[10]389
然而以外部司法控制方式规制侦查机关收集公民定位信息亦有弊端,容易因不同机关的利益争夺、观念差异等原因导致审批效率低下、错失侦查良机、放纵有罪之人等后果,因此一些国家亦允许由侦查机关对其收集公民定位信息的行为进行内部的监督制约。
(三)对侦查机关收集使用公民定位信息的内部制约
采取侦查机关内部制约方式规制刑事侦查中收集公民定位信息行为者,以我国为典型。
我国将侦查机关主动实施的收集公民定位信息行为纳入技术侦查的范畴,例如2013年公安部《公安机关办理刑事案件程序规定》第255条即明确规定:“技术侦查措施是指由设区的市一级以上公安机关负责技术侦查的部门实施的记录监控、行踪监控、通信监控、场所监控等措施。”其中“行踪监控”即主要针对公民的定位信息。
按照这一定义,侦查机关主动采取的、特别是以安装定位设备实施的收集公民定位信息行为,显然属于技术侦查。而根据《刑事诉讼法》第150条的规定,侦查机关经过“严格的批准手续”,可以采取技术侦查手段,包括收集犯罪嫌疑人及其他相关人员的定位信息。
具体而言,根据公安部《公安机关办理刑事案件程序规定》第256-258条,公安机关欲实施收集定位信息行为,需制作呈请采取技术侦查措施报告书,报设区的市一级以上公安机关负责人批准并制作采取技术侦查措施决定书后方可执行;除批准程序之外,收集公民定位信息行为实施过程中的延期、变更、解除等,也采取内部监督的方式进行。
而对于侦查机关向手机移动通讯运营商等第三方收集公民定位信息的行为,则由于相关定位信息常以电子化形态出现,符合2016年最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称“2016两院一部《电子数据规定》”)第1条“案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据”这一电子数据的定义,可以适用2019年公安部《公安机关办理刑事案件电子数据取证规则》(以下简称“2019公安部《电子数据取证规则》”)第41条的规定:“经办案部门负责人批准,开具《调取证据通知书》,注明需要调取电子数据的相关信息,通知电子数据持有人、网络服务提供者或者有关部门执行。”
由上可见,无论针对侦查机关主动实施的安装定位设备等被收集定位信息行为,还是针对侦查机关向手机移动通讯运营商等第三方收集公民定位信息的行为,我国法律均规定由侦查机关内部进行事前审批和实施过程中的监督制约。然而以“技术侦查”或是“调取电子数据”为名的两类收集使用公民定位信息行为的内部规制方式仍是都以隐私权保护为重要考虑因素的。
例如全国人大常委会法工委相关负责人在2012年“技术侦查”写入《刑事诉讼法》时就宣称“通过法律手段对侦查机关使用技术侦查措施进行约束和限制,……对保护公民通信自由、个人隐私等合法权益,都具有重要的现实意义,体现了法治的进步”[11]38,2016两院一部《电子数据规定》的主要起草人也称严格的内部审批“以有效防范相关侦查活动对隐私权、通信自由等权利的侵犯”[12]32
相较于西方的由司法机关实施的外部控制,我国针对刑事侦查中收集公民定位信息行为的侦查机关内部审批方式同样以隐私权保护为逻辑基础,尽管在监督力度和效果方面受到一些批评和质疑,但其在实现打击犯罪和提高诉讼效率方面具有一定优势。

三、数据权利保护:规制侦查机关收集使用公民定位信息之补充
(一)隐私权保护方式之不足
以隐私权保护为基础对刑事侦查中侦查机关收集使用公民定位信息的行为进行规制,无论采取西式的外部司法控制模式还是我国的内部监督模式,其好处在于可以充分利用现有的制度,如美国联邦宪法第四修正案、我国技术侦查相关规定等,而无需重新创设规则。
但隐私权保护的路径也存在一些缺陷,其中最重要的一点在于其忽视了作为侦查对象的该特定公民即权利主体的积极作用,而将对该公民的权利保障完全系于公权力之手。
由于隐私权的核心在于保障私生活安宁和不受打扰,可以判定隐私权“是一种消极的、防御性的权利,在该权利遭受侵害之前,个人无法积极主动地行使权利,而只能在遭受侵害的情况下请求他人排除妨害、赔偿损失等”[13]66
就侦查机关收集使用公民定位信息一事而言,依照隐私权保护的逻辑,作为权利人的特定公民,其隐私权能否在侦查机关实施收集使用其定位信息过程中得到合理合法的保护,全然仰仗于司法机关的外部控制或侦查机关的内部监督,而其本人在该侦查行为实施之前或实施过程中无法提出主张和要求救济。于是在该公民主张权利之前,存在一段时间其对个人隐私“失控”状态,直至其知悉隐私权已然受到侵害。
除了忽视权利人对自身权利的掌控之外,以传统的隐私权保护路径规制侦查机关收集使用公民定位信息,还存在另一问题,即重“取证”轻“使用”。无论外部司法控制模式还是内部监督模式,其基本视角主要集中于取证过程中,对于取得定位信息之后的证据适用限制或规定作用有限,例如美国联邦最高法院多次在判决中指出,第四修正案及其排除规则是用于规制警察取证行为的,而对取得证据之用的证据使用则不在第四修正案的考虑范围之内。
面对上述权利保护和权力制约之缺陷,我们可以考虑是否有其他方式可以对传统的隐私权保护方式加以补充,使得侦查机关收集使用公民定位信息这一侦查行为的运行更为合理。如上文所述,现代社会下个人数据权利已逐渐从隐私权中独立出来而形成数据权利与隐私权的“二元制”模式,可以考虑以个人数据保护的方式对隐私权保护方式进行补充,从而实现对侦查机关收集使用公民定位信息的合理规制。
(二)数据权利保护方式的理念:以GDPR为参考
2018年生效的欧盟《一般数据保护条例(GDPR)》为个人数据权利保护提供了一个范本。尽管根据其第2条第2款的规定,该条例并不能直接适用于刑事司法,[⑦]但其基本理念和制度规范可以为刑事司法所参考,并被用于对隐私权视角下的公民定位信息使用之规制提供补充。
相较于以往的相关规定,GDPR对个人数据权利的规定更为完整、细致,根据其第5条之规定,个人数据的使用必须遵循合法性、公平性、透明性、目的限制、数据最小化、精确性、存储限制、完整性与保密性、权责一致等诸多原则。
为实现上述原则,GDPR秉持“赋权”和“控权”两方面基本理念。一方面GDPR赋予数据主体更多更大的权利,肯认其对个人数据的必要掌控,例如强调数据主体同意的重要性、允许其反对个人数据的使用或要求删除相关个人数据,试图尽力降低数据主体对其个人数据的“失控”风险;另一方面GDPR对数据的控制者和处理者科以更为严格的责任,并规定了极为严厉的罚则,如2019年法国数据保护监管机构CNIL即根据相关法则对谷歌开出5700万美元的罚单,[14]91迫使数据控制者和处理者不得不履行相关的个人数据保护义务。
具体而言,GDPR第三、四章规定数据主体针对其个人数据享有的一系列成体系的权利,如数据访问权、更正权、删除权(被遗忘权)、限制处理权、可携带权、反对权等等,以及数据控制者和处理者的义务和责任,如数据处理活动记录义务、数据保护影响评估义务、事先协商义务、数据泄露报告与通知义务、安全保障责任等等。
GDPR的规定,对于刑事侦查中侦查机关收集使用公民定位信息这一问题而言,最大的借鉴意义正在于上述两方面基本理念上:规制侦查机关依法合理收集使用公民定位信息,也可以“赋权”和“限权”两方面思路展开。
一方面,刑事侦查中侦查机关收集使用公民定位信息的行为可以通过赋予作为数据主体的公民个人更多的权利予以制约,允许公民个人对其定位信息有必要的掌控、处分的权利,特别是承认其在诉讼的适当阶段享有知情、访问、更正、反对等权利,从而实现个人权利对公权力的制约。另一方面,可以通过对侦查机关及后续程序中使用相关数据的机关科以明确严格的数据保护义务,加强对此类数据收集使用的内部外监督等方式,合理限制公权力以防止其滥用。
(三)数据权利保护方式的基本要求
基于以上“赋权”和“限权”的理念,可以提出关于刑事侦查中公民个人定位信息收集使用的三项原则性要求。
第一,数据收集使用的目的限制性。所谓目的限制性,要求数据的取得、存储、分享、运用等遵循合法目的。就侦查机关收集使用公民定位信息一事而言,相关信息的收集使用必须以刑事诉讼之目的为限,不得被用于满足该机关或办案人员其他利益或目的;倘若此种目的已不复存在,则有关机关应及时停止对承载公民定位信息的相关数据的收集使用。
相应的,如果作为数据主体的公民发现对其定位信息相关数据的收集使用超出刑事诉讼之目的、或者此时已不存在满足刑事诉讼目的之可能或必要,则有权提出对收集使用相关数据的反对,并寻求救济,例如提出异议或控告、要求行使被遗忘权删除相关数据等等。
第二,数据收集使用过程的最小必要性。GDPR规定的“数据最小必要原则”要求“个人数据处理应充分考虑处理目的与处理活动之间的相关性,在满足充分性基础上以数据最小化处理及利用为原则,数据处理不得超过处理目的之必要限度”[15]25。这一原则与公法领域的比例原则要求一致,只要能够实现法律所规定的目的,在有若干种权力行使方式的选择下,公权力在行使时就应当采取对公民权利侵害最小的方式进行。[16]174
针对刑事侦查中收集使用公民定位信息问题而言也是如此,侦查机关在实施此种行为时,特别是实施具有侵入性的收集定位信息行为时,应当尽量避免对公民掌控个人数据的权利造成过度和不当的侵害,努力以最小侵害方式完成侦查目的,实现行为方式与行为目的之间的比例平衡。
第三,数据收集使用者的权责一致性。数据收集使用者在行使权力的过程中也应当履行相应的义务,否则即可能被追究责任,此即为权责一致性的要求,对于收集使用公民定位信息的公权力机关也应如此。一方面应当明确其应当承担的义务,另一方面应当规定其违反这些义务所应负的责任,如纪律处分、行政处分、证据排除、败诉风险等等,从而不至于使得上述义务规定落空。

四、协调隐私权和数据权利保护下我国刑事侦查中公民定位信息的收集使用
(一)事前由内部审批走向外部规制
如上文所述,基于隐私权保护的逻辑,对于侦查机关取证行为,包括刑事侦查中收集使用公民定位的行为,既有外部司法控制又有本部门内部规制的立法例,对于二者孰优孰劣向来争论不休、莫衷一是。然而由于隐私权本身是一种消极的防御性权利,非待至已然被侵犯之后无法主张,于是在本部门内部审批和司法外部规制这两种情形下,均系将避免隐私权受到不当侵害的期望维系于公权力。
二者权衡,由司法机关对侦查机关进行外部规制,特别是在侦查机关实施收集使用公民定位信息的侦查行为之前由司法机关进行审查批准,由于两类机关在权力属性、价值追求、部门利益、思维方式上的差异,相比于本部门内部审批,此种外部规制沦为有名无实的“橡皮图章”的可能性较小、实现避免隐私权受到非法侵害的期望的可能性较大。面对此种现实,针对侦查机关收集使用公民定位信息这类往往具有强制性的侦查行为,将审批权力交于司法,不失为一种契合“以审判为中心”的选择。[17]14
就我国而言,欲由法院对侦查机关收集使用公民定位信息进行事前审批并不现实,而将此项权力交于检察院则更为“相对合理”。
首先,法院既无力也不愿行使此种事前审批的权力。目前各级法院普遍存在案多人少、工作量过大的情况,将侦查行为的事前审批权交于法院,法院恐怕无力承担;另外我国法院相对于侦查机关既不具有权力位阶上的优越性、也没有力量对比上的强势地位,让其行使此种事前审批权未免强人所难。
其次,检察院具有“法律监督机关”、广义下“司法机关”的属性,[⑧]由其行使此种事前审批权“名正言顺”。作为宪法第134条规定的“法律监督机关”,检察院对包括刑事侦查在内的刑事诉讼活动进行监督是法律的明确规定,将对侦查机关收集使用公民定位信息进行事前审批交于检察院于法有据;而作为广义下的“司法机关”,将此种权力交给检察院,也算是实现了司法规制。
第三,司法改革的现实使得检察院有行使此种事前审批权的动力。监察体制改革和刑诉法修改后,由于侦查权被大幅缩减,检察院承受了质疑和压力。为重塑检察院法律监督机关的权威,将包括收集使用公民定位信息等强制侦查行为的事前审批权交于检察院,恰好符合检察院加强侦查监督的工作重心变化。[⑨]鉴于上述三点,在对侦查机关收集使用公民定位信息确定外部司法规制时,可以将事前的审批权交于检察院。
(二)事中的权利和权责厘清
根据隐私权的消极防御属性,结合数据权利的“主动进取”性,可以罗列出作为数据主体的公民个人,特别是犯罪嫌疑人、被告人等被追诉人,在侦查机关收集使用其个人定位信息过程中所享有的权利。这些权利主要包括:
第一,知情权,在诉讼的适当阶段(例如侦查终结后)该公民个人应有权获知其定位信息被收集使用的事实和使用此类定位信息的目的。
第二,数据访问权,作为辩方的公民,应可以通过行使其法定的阅卷权,查阅、访问其被收集使用的承载个人定位信息的相关数据,以为其他权利的行使提供基础。
第三,数据可携带权,数据主体可以要求从公安司法机关处以“结构化的、普遍使用的机器可读的形式”[⑩]获得由其控制使用的承载个人定位信息的相关数据,以利辩护。
第四,更正权,数据主体在对相关定位信息的准确性存在异议时,有权要求收集使用该信息的机关核实、查证并更正。
第五,限制处理权,在定位信息准确性的核实期间内、或数据使用的目的已不复存在时、或有关机关欲超出刑事诉讼目的而使用相关数据时,必须取得数据主体的同意,否则不可使用相关数据。
第六,反对权,当有关机关在未经同意的情况下超出诉讼目的而使用承载个人定位信息的数据、或以其他方式造成了对其隐私权的明显侵犯,该公民有权反对使用相关数据。
而对于侦查机关和在后续程序中使用公民定位信息的其他机关而言,对应其权利,需承担以下几个方面的主要义务和责任。
第一,收集使用过程记录义务。记录收集使用定位信息的过程,方可能审查其行为的合法性。我国法律对于电子数据收集使用过程的记录义务已有明确规定,例如2016两院一部《电子数据规定》第14条规定收集、提取电子数据应当制作笔录,有条件时还应录像,2019公安部《电子数据取证规则》也有类似的规定,那么对于承载公民定位信息的数据的收集使用也不例外,应进行全程记录。
第二,严守刑事诉讼目的义务。根据《刑事诉讼法》第152条第3款的规定,采取技术侦查手段获得的公民定位信息,只能用于对犯罪的侦查、起诉、审判,不得用于其他目的。
第三,隐私权和数据安全保障义务。在收集和使用公民定位信息时,尤其在不同机关和部门共享此类信息而发生数据流转时,侦查机关和有关机关应采取必要手段,例如对数据作匿名化处理、添加密级标识、设置加密授权触发机制等,保障公民的隐私权和数据安全。
第四,数据泄露及时处置和追责义务。当侦查机关和有关机关发现承载公民定位信息的相关数据发生泄露时,应当及时采取包括但不限于以下之措施加以处置,例如尽快告知数据主体并提示风险、向数据监管机构汇报、切断数据泄露路径、运用技术手段降低泄露导致的损失等。此外,发生数据泄露事故后,侦查机关和有关机关应当按照法律或内部纪律规定,对相关责任人进行及时有效的追责。
(三)事后的隐私权和数据权利救济
因侦查机关收集使用其定位信息而导致其隐私权和数据权利受到不当侵害的公民,可以通过运用投诉、控告等权利而寻求救济。
首先,根据《公安机关信访工作规定》第18条,针对“本级公安机关及其派出机构和民警的职务行为”,公民可以“提出建议、意见或者投诉请求”,各级公安机关应当“依照有关法律、法规的规定管辖和处理”。
其次,根据《刑事诉讼法》第57条规定:“人民检察院接到报案、控告、举报或者发现侦查人员以非法方法收集证据的,应当进行调查核实。对于确有以非法方法收集证据情形的,应当提出纠正意见;构成犯罪的,依法追究刑事责任。”刑事侦查中违法收集公民定位信息而侵害公民隐私权和数据权利,极可能构成“以非法方法收集证据”,当事人有权向检察机关提出控告,要求纠正或追究相关人员的责任。
第三,倘若对于公民定位信息的非法收集满足违反法定程序、可能严重影响司法公正、不能补正或者作出合理解释的几方面条件,则可以申请排除相关证据,令此种定位信息不被用作定案依据。
除了控告权和非法证据排除制度外,公民针对侵犯其隐私权和数据权利而收集使用的定位信息,还可以主张被遗忘权而寻求救济。所谓被遗忘权,是指公民在其个人信息不再有合法之需时要求将其删除或不再使用的权利,这一权利已被GDPR所肯认,并在民商法领域得到广泛适用。[18]61而在刑事诉讼领域,这一权利尚属新生,但已有制度基础如封存犯罪记录制度和适用空间。[19]98-99
倘若作为数据主体的公民发现侦查机关收集使用其定位信息的行为没有合法依据、或者此种合法目的已不复存在,例如刑事诉讼程序已经完结而相关信息已不再有合法之需,则可以申请侦查机关或其他使用此种定位信息的机关删除或封存承担定位信息的相关数据。而作为义务主体的侦查机关或其他机关,可以认可数据主体的被遗忘权请求和删除或封存定位信息相关数据,也可以拒绝此种请求后由数据主体向法院申请而由法院审查删除或封存相关数据的合理性和合法性。[20]52
当然,此种被遗忘权的行使需要平衡个人隐私、数据权利与公众知情权、打击犯罪目标等诸多价值,应当审慎地在有限的情形下适用,不可过于冒进,以致顾此失彼、损害刑事司法根本价值目标的实现。

注释:
[①] United States v. Knotts, 460 U.S. 276 (1983). UnitedStates v. Karo, 468 U.S. 705 (1984).
[②] United States v. Jones, 565U. S.400(2012).
[③] Carpenterv. United States, 138 S. Ct. 2206 (2018).
[④] Katzv.United States, 389U.S.347 (1967).
[⑤] United States v. Jones, 565U. S.400(2012).
[⑥]“第三方原则”指公民自愿发送给第三方的信息不受宪法第四修正案保护,参见United States v. Miller, 425 U. S. 435 (1976), Smithv. Maryland, 442 U.S. 735 (1979).
[⑦] GDPR第2条第2款规定:“本条例不适用于以下个人数据处理情形:……(d)主管当局以预防、调查、侦查或起诉刑事犯罪,或执行刑事处罚为目的(包括保障并预防公共安全受到威胁)。”参见欧盟法律法规数据库,http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN(2019-3-21)。
[⑧]关于检察机关是否属于司法机关的问题存在争论。按照司法即为审判的狭义理解,司法机关仅为法院,而不包括检察院;但按照司法即为诉讼的广义理解,参考我国相关法律的描述,可以将检察机关视为广义之司法机关。参见陈光中、崔洁:《司法、司法机关的中国式解读》,《中国法学》2008年第2期,第83-84页。
[⑨]参见张军:《最高人民检察院工作报告——2019年3月12日在第十三届全国人民代表大会第二次会议上》,中华人民共和国最高人民检察院网站,http://www.spp.gov.cn/spp/tt/201903/t20190312_411422.shtml(2019-3-21)。
[⑩]参见GDPR第20条。
参考文献:
[1] 朗亚东、吴娟:《GSM手机定位技术研究》,《邮电设计技术》2004年第7期。
[2] 薛应军:《“最大问题是要解决好对人民负责”:改革须解决警力滥用、监督不到位、专业性不够问题》,《民主与法制时报》2015年11月29日。
[3] 郑曦:《监察委员会技术侦查权研究》,《学习与探索》2018年第1期。
[4] 刘武俊:《海量开房数据泄露 折射信息保护立法短板》,《中国商报》2014年2月21日。
[5] 李永军:《论〈民法总则〉中个人隐私与信息的“二元制”保护及请求权基础》,《浙江工商大学学报》2017年第3期。
[6] 李爱君:《数据权利属性与法律特征》,《东方法学》2018年第3期。
[7] SamuelWarren, Louis Brandeis, “The Right toPrivacy”, Harvard Law Review, vol. 4,no. 5, 1890.
[8] 张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,《中国法学》2015年第3期。
[9] 《德国刑事诉讼法典》,岳礼玲、林静译,北京:中国检察出版社2016年版。
[10] 《世界各国刑事诉讼法 欧洲卷·上》,《世界各国刑事诉讼法》编辑委员会编译,北京:中国检察出版社2016年版。
[11] 黄太云:《刑事诉讼法修改释义》,《人民检察》2012年第8期。
[12] 周加海、喻海松:《〈关于办理刑事案件收集提取和审查判断电子数据若干问题的规定〉的理解与适用》,《人民司法(应用)》2017年第28期。
[13] 王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,《现代法学》2013年第4期。
[14] 叶纯青:《GDPR开出实施后的最大罚单》,《金融科技时代》2019年第2期。
[15] 京东法律研究院:《欧盟数据宪章——〈一般数据保护条例〉GDPR评述及实务指引》,北京:法律出版社2018年版。
[16] 郑曦:《警察暂时性人身限制权研究》,北京:人民法院出版社2018年版。
[17] 龙宗智:《寻求有效取证和保证权利的平衡——评“两高一部”电子数据证据规定》,《法学》2016年第11期。
[18] 郑曦:《“被遗忘”的权利:刑事司法视野下被遗忘权的适用》,《学习与探索》2016年第4期。
[19] 郑曦:《大数据时代的刑事领域被遗忘权》,《求是学刊》2017年第6期。
[20] 郑曦:《个人信息保护视角下的刑事被遗忘权对应义务研究》,《浙江工商大学学报》2019年第1期。


以下点击可读:

郑曦:人工智能在司法裁判中的运用与规制

郑曦:性侵未成年人案件中的刑事被遗忘权(兰亭会六周年)

郑曦:刑事司法视野下被遗忘权的适用

郑曦:个人信息保护视角下的刑事被遗忘权对应义务研究

李奋飞、朱梦妮:大数据时代的智慧辩护

郭旨龙:移动设备电子搜查的制度挑战与程序规制 ——以英美法为比较对象

郭旨龙 | 从公民身份到信息身份:隐私功能的理论重述与制度安排

裴炜:向网络信息业者取证——跨境电子数据侦查新模式的源起、障碍与建构

南开“大创”项目:人工智能合成音视频的方法及对法律、证据法的冲击(附技术专家点评)


编辑 | 南开大学法学院研究生  宋佳伟

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存