作者简介
程雷,河北廊坊人,中国人民大学刑事法律科学研究中心教授,博士生导师,法学博士。
本文转载自《现代法学》,2023年第1期。因篇幅所限,注释省略。
【摘要】《个人信息保护法》的颁布实施将刑事诉讼统一纳入个人信息保护法律规范体系当中,需要认真研究刑事诉讼中如何适用《个人信息保护法》的相关规定。个人信息保护中的核心规则“告知-同意”规则在刑事诉讼中基本失效,同意规则无须适用,告知规则设置了宽泛的例外,刑事诉讼法律规范中应当明确例外的界限与适用情形。对于个人信息保存时限、委托处理个人信息的相关规则、自动化决策和敏感个人信息的处理,刑事诉讼中都应当进一步予以细化规定。个人信息权益在刑事诉讼中呈减损状态,但不应被彻底剥夺,应当着力强化刑事执法、司法机关的个人信息保护的合规义务,构建《个人信息保护法》适用于刑事司法领域的若干支撑配套制度,包括将规制场景由技术侦查扩展至更为广阔的信息收集实践,强化事先数据合规制度建设,增设检察机关作为刑事司法系统中投诉处理的负责机构等。
【关键词】个人信息 个人信息保护法 刑事诉讼 告知-同意规则
2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议审议通过的《中华人民共和国个人信息保护法》系我国首部保护公民个人信息的专门法律,也被认为是我国个人信息保护领域的一部基本法律。在网络时代,个人信息保护面临重大挑战,根源在于公法制度缺位。个人信息作为一项人格权益,最初产生的目的之一就是防止政府机关不当处理个人信息。基于上述判断,《个人信息保护法》的一个重大创新之处正是在于对国家机关处理个人信息的规则进行了专门规定,设置了“国家机关处理个人信息的特别规定”专节。这里的“国家机关”主要是指履行政府行政管理职能的政府机关、部门,而承担部分刑事司法职能的公安机关以及其他刑事司法机关显然也属于本节规范的对象。在法学界围绕《个人信息保护法》这部基本法律展开热议之时,刑事诉讼法学界的反应显得较为平静,有限的讨论局限于《个人信息保护法》的基本原则和基本制度与《刑事诉讼法》的关系、刑事诉讼保护个人信息的理念、方向等宏观问题,缺乏对《个人信息保护法》生效后这部基本法律从各个层面如何影响刑事诉讼进行的细致讨论。根据《个人信息保护法》第73条规定,个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人,本条规定通过明确“个人信息处理者”的内涵,将国家机关包括刑事司法国家机关纳入该法的规范范围。同时,《个人信息保护法》第2章第3节“国家机关处理个人信息的特别规定”还为国家机关处理个人信息创设了5个条文的特殊规定,以应对国家机关适用《个人信息保护法》时面临的特有问题。不同于多数其他国家和地区所秉持的单独立法、例外处理的模式,我国《个人信息保护法》将刑事司法机关处理个人信息的行为借由“国家机关”这一概念与规范工具统一纳入个人信息保护法律的框架内,这种统一纳入处理的新模式与既有的刑事司法系个人信息保护的例外领域之传统观念形成强烈反差。国家机关在履行法定职责的过程中生成、采集和保存了海量的个人信息,是最大的个人信息收集、处理、储存和利用者,将国家机关处理个人信息的活动纳入《个人信息保护法》的调整范围,规定国家机关处理个人信息应当和其他主体(主要是企业)适用相同的原则和基本规则,体现了法律的全面性和系统性。《个人信息保护法》第33条规定了“国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定”,该条前半句首先明确要求国家机关作为个人信息处理者适用《个人信息保护法》的全部规定,后半句规定明确了对于本节的特殊安排,从其特殊规定。通过这一条款,国家机关处理个人信息的活动首先被纳入《个人信息保护法》的完整规制框架之下,对于特有的处理行为与处理要求,法律也在本节予以了细化规定,本节无特殊规定的,国家机关处理个人信息时就应当适用《个人信息保护法》其他章节的相关规定。需要特别指出的是,就本文的研究主题而言,《个人信息保护法》并未对刑事司法机关包括公安机关处理公民个人信息的各类事项作出例外规定,特殊的制度安排也不过是本节第34条至第36条三个方面内容。从这个角度来看,政府行政机关与刑事司法专门机关在《个人信息保护法》中未作进一步区分,刑事司法方面的特殊处理规则也并未再进一步进行细分处理。这种统一纳入的模式极具特色,也会对刑事司法机关处理个人信息产生深远影响。当然,这种统一纳入模式的“统一”尺度大小还取决于对《个人信息保护法》第34条的解读,但毋庸置疑的是,由于第33条的规范内容范围远大于第34条,其对刑事司法过程中处理个人信息的影响注定是深远的。另一方面,《个人信息保护法》第34条规定了国家机关处理个人信息时应当遵循合法性原则与必要性原则这两大基础、核心的公法原则,该条规定“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度”。就合法性原则而言,法律对于国家机关处理公民个人信息的权限和程序的规范依据限定于法律和行政法规两类。同时,本条规定也可以被视为转授权条款,授权刑事执法、司法机关依据《刑事诉讼法》等法律、行政法规的相关规定处理公民个人信息。考虑到国家机关履行各自法定职责的特殊性,这一转授权条款准许不同的国家机关根据相关领域的法律法规规定的权限与程序处理公民个人信息,部分兼顾了国家机关权力行使的特殊要求,在处理权限与程序两个向度上放松了“统一纳入”的要求,形成了单独处理与统一纳入并存模式。就刑事执法、司法领域而言,执法、司法机关处理公民个人信息只能依据《刑事诉讼法》等法律以及行政法规的授权进行,且相应权限范围与处理程序也必须符合法律、行政法规的明文规定。在《刑事诉讼法》及相关法律、行政法规中已有相应处理权限和程序的规定时,本条规定事实上授权刑事执法、司法机关根据《刑事诉讼法》等法律法规的既有规定对个人信息进行处理,当现有法律、行政法规缺乏衔接性规定时,根据《个人信息保护法》的规定,刑事执法、司法机关不得处理个人信息,直至相应权限与程序被补足至满足该条合法性要求。值得注意的是,《个人信息保护法》第34条授权的内容仅限于处理权限与程序,不包括处理个人信息中的其他权限,个人在信息处理活动中的权利也应当根据《个人信息保护法》的规定受到保护。从这个角度看,《个人信息保护法》与《刑事诉讼法》等法律法规呈现出交叉适用状态。“告知-同意”原则为全球范围内的个人信息保护立法普遍适用,自发端以来便作为个人信息保护的基本原则,其内涵几乎一致,都反映了数据主体对个人数据享有自治、自决的权利。这一基本原则在公法领域的适用却存在诸多限制,由于国家机关是基于公共利益的目的处理公民个人信息,如果个人对相关信息具有同意权、决定权等权利,则将从根本上破坏公权力部门公共职能的行使。基于上述考虑,《个人信息保护法》第13条、第18条、第35条对告知和同意适用于国家机关的场景分别作出了限制性规定,限缩甚至免除了“告知-同意”原则的保护作用。其中第13条规定,“为履行法定职责或法定义务所必需,无须个人同意即可合法处理公民个人信息”,这是对同意原则的排除适用规定。第35条规定,“国家机关为履行法定职责处理个人信息,应当依照本法履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外”。第18条第1款规定,“个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以豁免告知义务”。上述两条规定,在肯定告知为原则的前提下,为国家机关豁免告知义务明确了两项例外:一是保密要求;二是妨碍国家机关履行法定职责。值得注意的是,上述例外情形并无时间限制,产生的法律效果是豁免而非延后告知,《个人信息保护法》对于上述两条告知义务的限制采用了最为严厉的除外规定或者说完全豁免规定。