查看原文
其他

郑曦:论检察机关在刑事司法领域的个人信息保护职责

郑曦 中国政法大学学报 2023-01-13

点击上方“中国政法大学学报”关注我们

转载时烦请注明“转自中国政法大学学报公众号”字样


【作者】郑曦,北京外国语大学法学院教授、博士生导师。

【来源】《中国政法大学学报》2022年第1期【热点聚焦】个人信息保护专题。因篇幅限制,原文有删节,引用请参见原文。


【摘要】刑事司法领域有个人信息保护的需求,为此需要确定刑事司法中的个人信息保护专门机构,然而无论网信部门还是公安机关、国家安全机关,作为此种专门机构都存在一定障碍。由于检察机关的客观中立性,且其对刑事诉讼程序进行全程监督,作为刑事司法领域的个人信息保护专门机构具有可行性,尽管其面临技术方面的困难,但此种困难并不难解决。具体而言,作为刑事司法领域的个人信息保护专门机构,检察机关应有指导个人信息的分类分级、对个人信息处理行为进行监督、对信息处理系统进行安全巡查、接受个人信息安全事件报告和违法个人信息处理投诉举报等权责,以实现刑事司法领域个人信息保护之目的。

 

【关键词】检察机关 刑事司法 个人信息保护 个人信息处理者 专门机构


一、刑事司法领域确定个人信息保护专门机构的必要与困境


(一)刑事司法领域保护个人信息的现实需求


  在科技的驱动下,信息的传播方式发生了巨大的变化,互联网技术的“互联互通”功能与大数据技术的5V特征及人工智能技术的智能化性质相结合,以百泽字节(ZB)计的信息裹挟着人类迈入信息社会,使得信息如同石油、甚至如我们呼吸的空气一般决定着我们的生活。在这样一个生活空间加速虚拟化的时代,人们一方面享受着信息高速传播的便利,不但“不出门便知天下事”,甚至一部智能手机在手,“掌上自有乾坤”,另一方面却又对个人信息失控的风险充满忧虑。高速信息传播所带来的各种便利,是以信息的广泛收集为基础的,其中就包括海量的个人信息、甚至敏感个人信息,这些个人信息一旦被篡改、破坏、泄露或者非法获取、非法利用,可能给公民的隐私、财产甚至人身安全带来威胁。

  面对此种风险,许多国家或地区都通过专门法律对个人信息保护问题做出规定,例如欧盟有《关于保护自然人个人数据处理和关于此种数据自由运转、以及撤销第95/46/EC号指令的第2016/679号条例》即著名的《一般数据保护条例》(General Data Protection Regulation),美国有《儿童网络隐私保护法》(Children’s Online Privacy Protection Act)和《加州消费者隐私法》(California Consumer Privacy Act)等法律,日本有《个人信息保护法》(《個人情報の保護に関する法律》)。我国也十分重视个人信息保护立法,不但通过了专门的《个人信息保护法》,还有《网络安全法》《数据安全法》等相关法律规定。

  作为社会生活的一部分,刑事司法领域同样存在个人信息保护的需求。在刑事司法领域,个人信息的收集和使用成为诉讼的重要内容,控方通过网络搜查、大数据分析、人工智能处理等技术手段将个人信息用于追诉。在此过程中,不但可能出现非法收集个人信息的情形,刑事诉讼公权力机关的数据分享和传输也容易导致个人信息泄露的风险和相关的隐私保护问题。然而相较于其他领域,刑事司法领域中的个人信息保护问题未得到足够重视,这一方面是因为刑事司法中存在其他更令人瞩目的、涉及公民生命自由财产的重要问题,另一方面则是因为缺乏相关的学术研究、法律依据及实践经验。在这一问题上,欧盟走在前沿,其《关于保护自然人针对主管当局为预防、调查、侦破或检控刑事罪行或执行刑事刑罚而使用个人数据,和有关该收据的自由流动,以及撤销理事会第2008/977/JHA号架构决定的2016/680号指令》详细规定了刑事司法领域的个人信息保护相关问题,《警察部门使用个人数据实务指南》(Practical Guide on the Use of Personal Data in the Police Sector)对警察在刑事司法中的个人信息处理行为作出规定,除此之外欧洲人权法院也曾作出涉及刑事司法领域个人信息保护的相关裁判。相较而言,我国《刑事诉讼法》和刑事司法领域的相关法律法规对个人信息保护问题缺乏明确而系统的规定,仅有个别条文涉及隐私保护问题,2021年通过的《数据安全法》第6条和第35条对公安机关、国家安全机关在刑事司法中调取数据和承担数据安全监管职责作出原则性规定,同年的《个人信息保护法》第二章第三节专门规定“国家机关处理个人信息的特别规定”,其中许多内容可以适用于刑事司法领域。


  (二)刑事司法领域确立个人信息保护专门机构的必要性及当下困境


  确立专门的个人信息保护机构,对于规制个人信息控制者和处理者的行为、实现个人信息保护之目的具有重大意义。此种意义主要体现在两个方面:一是个人信息保护相关工作具有一定的专业性,许多问题需由具有专业知识的工作人员进行处理;二是专门的个人信息保护机构有利于排除干扰,独立公正地履行职责。基于此种考虑,欧盟《一般数据保护条例》在第六章专章规定了独立监管机构的独立地位、职权任务与权力等内容,日本《个人信息保护法》第四章第四节规定个人信息保护委员会是个人信息保护的专门监管机构,这些规定对个人信息保护提供了组织上的保障。

  我国《网络安全法》第8条规定:“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。”《数据安全法》第6条第3款规定:“公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。”《个人信息保护法》第60条则规定:“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。前两款规定的部门统称为履行个人信息保护职责的部门。”参照上述三个条文的规定,刑事司法领域中的个人信息保护专门机构似乎应被确定为网信部门和公安机关、国家安全机关,然而无论是网信部门还是公安机关、国家安全机关,在刑事司法领域作为专门的个人信息保护机构,都存在一些问题或困难。

  以网信部门作为刑事司法领域的个人信息保护专门机构,主要存在以下两方面难题:第一,网信部门工作人员不具备刑事司法的专门知识。刑事司法的运作有其独特性和专业性,参与其中的专门机关工作人员和一些诉讼参与人都经过专业的培训,例如法官、检察官、律师需通过法律职业资格考试,公安等侦查机关的办案人员也需经历专门训练,而网信部门工作人员并不具备此种专业知识,由其承担刑事司法领域的个人信息保护工作,难免因专业鸿沟的存在而导致困难。第二,网信部门在刑事诉讼中缺乏足够的参与度。刑事诉讼具有一定的排外性,为防止外来干扰、保证案件公正处理,需拒绝除《宪法》《刑事诉讼法》等法律规定的专门机关之外的其他机关在刑事诉讼中行使权力。尤其在侦查阶段,出于保守侦查秘密、便利查明案件事实和抓获犯罪嫌疑人等目的,相关侦查工作具有高度的封闭性和秘密性特征,通常不允许其他机关的参与。而网信部门并无参与刑事诉讼的合法依据,无法在刑事诉讼过程中开展工作,更谈不上对刑事诉讼进行全程、及时的个人信息保护监管。因此,由网信部门作为刑事司法领域的个人信息保护专门机构,存在职司上的障碍,不具有可操作性。

  以公安机关、国家安全机关作为刑事司法领域的个人信息保护专门机构,同样存在两个方面的问题:第一,公安机关、国家安全机关缺乏作为个人信息保护专门机构所需的独立性。刑事司法领域中最主要的个人信息处理者和控制者是侦查机关。侦查机关出于追诉犯罪的需要,海量收集和使用个人信息,且由于侦查程序具有上述天然的封闭性和秘密性特征,侦查阶段容易出现滥用个人信息的情形,因此侦查机关应是刑事司法领域个人信息保护的最主要监管对象。而公安机关和国家安全机关在刑事司法领域恰好是主要的法定侦查机关,令其作为刑事司法领域的个人信息保护专门机构,难以摆脱自我监督固有的困境,例如监督者与被监督者之间具有相似的追诉观念和思维方式、一致的利益以及纠缠的人情关系网,其效果值得怀疑,恐怕难以有效实现个人信息保护的目的。第二,以公安机关、国家安全机关作为个人信息保护专门机构,容易导致个人信息处理监管行为与诉讼行为的混淆。公安机关、国家安全机关在刑事司法领域处理数据的行为,绝大部分体现于讯问、询问、搜查、扣押、查询、冻结等诉讼行为之中,而同时要求其进行个人信息保护相关的监管,可能使二者发生混淆,影响个人信息保护的效果。


二、检察机关作为刑事司法领域个人信息保护专门机构的合理性与可行性


     (一)检察机关的客观中立性
  大陆法系传统下,检察机关被要求具有客观中立性。从历史上看,欧陆创设检察官制度的目的即在于确立诉讼上的权力分立原则、以受严格法律训练及法律拘束之公正客观官署控制警察活动的合法性、守护法律并保障民权。而随着人权保障意识的增强,检察机关除了作为刑事诉讼的起诉机关之外,更承担着保障诉讼中包括被告人在内的公民的合法权利之职责,需不偏不倚地追寻案件事实真相、保证法律的实施。而在英美法系,检察机关的客观中立性亦得到肯定。尽管存在控辩交易等不顾事实而处理案件之权力,但检察官仍因其承担公共职能而被要求不得不计代价地追求胜诉、而应协助实现法律的公正,正如美国联邦最高法院在伯格案的判决中所指出的,“美国检察官并不只代表争议的一方,而是代表国家而有公正行使职权之义务;其在刑事起诉中的利益不在于胜诉,而在于实现公正”。为大陆法系和英美法系共同接受的检察机关客观中立义务也被联合国文件所强调,例如,1990年通过的《关于检察官作用的准则》第12条要求“检察官应始终一贯迅速而公平地依法行事,尊重和保护人的尊严,维护人权从而有助于确保法定诉讼程序和刑事司法系统的职能顺利地运行”。  我国法律对于检察机关的客观中立性虽无直接明文规定,但在其条文中已有所体现。《刑事诉讼法》第52条规定检察人员“必须依照法定程序,收集能够证实犯罪嫌疑人、被告人有罪或者无罪、犯罪情节轻重的各种证据”。《人民检察院组织法》第6 条规定“人民检察院坚持司法公正,以事实为根据,以法律为准绳,遵守法定程序,尊重和保障人权”。《检察官法》第5条规定“检察官履行职责,应当以事实为根据,以法律为准绳,秉持客观公正的立场。检察官办理刑事案件,应当严格坚持罪刑法定原则,尊重和保障人权,既要追诉犯罪,也要保障无罪的人不受刑事追究”。这些规定对我国检察机关的客观中立性提出了要求。检察机关的客观中立性为其在刑事司法领域承担个人信息保护的相应职责打下了基础。相较于公安机关、国家安全机关,此种客观中立性能够使得检察机关在刑事司法中的个人信息保护问题上处于一种更为超然的位置,从而有效地避免公安机关等侦查机关单一追诉倾向带来的个人信息保护监督工作失效的风险。从这个意义上看,检察机关的客观中立性使得其在作为刑事司法领域个人信息保护专门机构方面,具备了公安机关、国家安全机关所无法比拟的优势。
  (二)检察机关对刑事诉讼的全程监督
  检察机关是国家的法律监督机关,这一观念源自列宁。列宁在阐述检察权概念时,就将这一概念做了宽泛的表述,“不仅包括对刑事犯罪行为和民事违法行为的监督,而且包括对行政机关违法行为的监督,亦即监督国家机关和公职人员是否遵守法律”。这一观念大大拓展了检察权的内涵,将其由公诉权改造为一系列广泛权力的集合。我国法律受到前苏联法律的影响,继受了列宁关于检察机关是国家法律监督机关的观念。《宪法》第134条规定“中华人民共和国人民检察院是国家的法律监督机关”,《人民检察院组织法》第2条也有同样的规定。这些规定明确地将检察机关定位为国家法律监督机关。  在刑事司法领域,《刑事诉讼法》第8条规定“人民检察院依法对刑事诉讼实行法律监督”。据此,检察机关的国家法律监督机关地位体现在其对整个刑事诉讼程序进行全程的监督上。在立案阶段,检察机关有权对侦查机关的立案工作进行监督;在侦查阶段,检察机关不但对特定案件享有自侦权,还可以通过审查批捕、接受控告等方式进行侦查监督;在起诉阶段,检察机关是法定的公诉机关;在审判和执行等阶段,检察机关同样行使监督权。检察机关对刑事诉讼程序参与时间之长、涉及阶段之广,无论公安机关或国家安全机关,还是法院,均无法比拟。倘若问及哪个机关最了解刑事案件进展全过程,此者非检察机关莫属。  与公安机关或国家安全机关相比,检察机关对刑事诉讼进行全程监督,其作为刑事司法领域个人信息保护专门机构具有显著优势:第一,检察机关对刑事司法领域的个人信息保护问题具有全景视角。检察机关对刑事诉讼的全程参与使得其比其他任何机关都更了解刑事诉讼和具体案件办理的全貌,因而其往往能够具有全景视角,能从更大更广的图景看待刑事司法领域的个人信息保护问题,因此,由其作为该领域的个人信息保护专门机构,行使制定重要信息目录、确立信息分类分级制度等职能时更能协调各方利益和刑事诉讼各项价值。第二,检察机关能对刑事司法领域的个人信息保护问题进行全程关注。由于检察机关全程参与刑事诉讼并对其进行监督,对于刑事司法领域中的个人信息保护争议等能够持续加以关注,对其来龙去脉具有更准确的了解,有助于其作为个人信息保护专门机关作出相应处理。此外,检察机关的全程监督权使其更适宜开展对个人信息处理进行同步监督、对系统安全进行常态巡查等工作,使其更具有作为个人信息保护专门机关的优势。第三,检察机关能就刑事司法领域的个人信息保护问题进行实时处理。正因为检察机关全程参与刑事诉讼并对其进行监督,对于刑事司法领域出现的个人信息保护问题更能够进行实时处理。例如,当出现个人信息泄露等安全事件,或信息主体提出对其个人信息进行收集使用之异议时,检察机关因其在各个程序中的法定参与和监督权,可以迅速采取措施进行处理,以尽量减少损失或尽快解决纠纷。
  (三)检察机关作为个人信息保护专门机构的技术困难与解决路径
  检察机关具有客观中立性,能对刑事诉讼进行全程监督,因此,是作为刑事司法领域个人信息保护专门机构的最佳选择,然而其作为此种专门机构,也将面临一定的困难,其中最主要的困难是缺乏相应的技术能力。由于检察机关工作人员主要是法律专业出身,而法律人与技术之间存在天然的隔离,对数据统计与分析技术陌生,对大数据算法几乎完全外行,对人工智能缺乏客观认识,所以其在开展个人信息保护工作时难免遭遇技术方面的阻碍,可能影响刑事司法领域个人信息保护的效果。尽管存在此种技术方面的困难,但这一困难并不难解决。具体而言,通过以下三方面途径,此种技术困难即可迎刃而解。  第一,检察机关适当调整机构设置和人员结构。通过扩充编制或以其他方式,检察机关可以招录计算机、网络技术、自动化、人工智能等与个人信息保护相关专业的工作人员,并可为此类工作人员设置专门的技术支持部门,或将技术类工作人员与法律专业人员合理搭配,解决检察机关自身技术能力不足的困境。有的检察院已有一些技术力量,散落分布于信息中心、装备部门、后勤保障部门,亦可加以适当整合,集中力量于其信息中心,专门解决刑事司法领域个人信息保护的相关技术问题。  第二,在必要时向网信部门等专业机构寻求协助。《个人信息保护法》第60条规定“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作”,《数据安全法》第6条也规定国家网信部门“负责统筹协调网络数据安全和相关监管工作”。作为个人信息保护和数据安全相关工作的统筹协调部门,网信部门应当在作为刑事司法领域个人信息保护专门机构的检察机关遭遇技术困难时提供协调、协助。另外,网信部门也拥有大量具有专业技术知识的工作人员,具备解决个人信息保护相关技术问题的专业能力,能够向检察机关提供相应协助。通过调整机构设置与人员结构,并在必要时寻求网信部门等专业机构的协助,检察机关在刑事司法领域遭遇的与个人信息保护相关的大部分技术难题能够得到较好的解决。  第三,将部分技术类工作外包给科技企业。个人信息保护涉及的技术问题较为复杂,即便采取上述的两方面途径,仍可能无法完全解决,于是可以在必要时将部分技术类工作外包给相关专业的科技企业。这种技术工作外包的做法在司法信息化建设的进程中并不鲜见,中央对于将技术类的司法辅助事务外包也持支持态度,例如,原中央政法委书记孟建柱曾提出“通过司法辅助事务外包等方式,降低司法成本,提高办案效率”,最高人民法院院长周强也曾多次提出探索“辅助业务社会化外包”的做法。因此,检察机关作为刑事司法领域的个人信息保护专门机构,在遇到专业技术问题时,如有必要可以将部分技术类工作外包给有资质有能力的科技企业,从而减轻其工作负担,也更好地实现保护个人信息之目的。

三、检察机关作为刑事司法领域个人信息保护专门机构的权责


     (一)指导个人信息的分类分级


  欲对个人信息进行充分保护,其中一项有效的途径就是预先对个人信息进行分类分级,并针对不同类型的个人信息制定不同的保护规则、采取互有区别的保护措施。我国关于信息或数据分类分级制度的相关规定,可以追溯至1994年的《计算机信息系统安全保护条例》。《网络安全法》《数据安全法》等法律均有此方面的规定。《个人信息保护法》第51条在设定个人信息处理者的义务时亦规定其“应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:……(二)对个人信息实行分类管理……”

  刑事司法领域亦有对个人信息进行分类分级而进行不同方式的保护之必要。检察机关作为刑事司法领域个人信息保护专门机构,在此问题上主要有两方面的权责。

  一方面,检察机关应制定重要信息目录。《数据安全法》第21条第3款规定:“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”参考这一规定,作为个人信息保护的专门机关,检察机关应当制定刑事司法领域的重要个人信息目录。重要个人信息应根据其重要程度以及其一旦遭到篡改、破坏、泄露或者非法获取、非法利用对作为信息主体的公民个人所造成的危害程度加以确定,主要是指敏感个人信息。根据《个人信息保护法》第28条的规定,敏感个人信息是指“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”。事实上,刑事司法领域的敏感个人信息还应包括涉及种族或民族背景、政治理念、性取向、性生活方式等信息,这些信息与案件的具体办理往往关系不大,但一旦被非法处理,对公民的合法权利的影响巨大,因此,应当被列入重要个人信息目录。

  另一方面,检察机关应当确定不同类型个人信息保护的一般规则。对于被列入重要个人信息目录的敏感个人信息,应当规定如非基于案件处理之必需并经过严格审批程序,不得收集使用,且在不妨碍侦查或其他案件办理工作的情况下尽量按照“告知—同意”原则取得作为信息主体之公民个人的同意。再如,刑事司法领域的个人信息可以按照取得方式的不同分为通过公开渠道取得的信息和秘密取得的信息。秘密取得的信息往往是通过搜查、查询、技术侦查等侦查措施获得的,应当遵循相应侦查措施的审批和行为规范,而通过公开渠道取得的信息则相应的限制要少得多。此外,刑事司法中的个人信息还可按照其内容划分为身份信息和行为信息,身份信息包括姓名、住址、身份证号、社保ID、生物识别信息等,一旦泄露或被篡改,则有身份暴露或身份盗用之风险,可能给公民的隐私、财产甚至人身安全带来威胁,应当加强保护。针对上述不同类型个人信息的特点,检察机关作为刑事司法领域个人信息保护专门机构,应当确定相应的基本规则,以便刑事司法中的其他个人信息处理者遵照实施。


  (二)对个人信息处理行为进行监督


  个人信息保护专门机构对个人信息处理者的信息处理行为进行监督,是其职权的必要内容。欧盟《一般数据保护条例》第55条规定监管机构有权对公共机构或私营机构的信息处理行为进行监管,我国《个人信息保护法》第60条也规定履行个人信息保护职责的部门负责个人信息保护和监督管理工作。据此,作为刑事司法领域个人信息保护专门机构的检察机关亦有权对刑事司法领域中的信息处理行为进行监督。参考《个人信息保护法》第63条的规定,检察机关在刑事司法领域对个人信息处理行为进行及时监督,可以采取询问个人信息处理的相关当事人、调查信息处理活动有关情况、查阅复制有关材料、实施现场检查或调查、检查相关设备或物品并依法进行查封扣押等措施。通过上述措施发现相关个人信息处理行为违法,则应要求予以纠正并作出进一步的处理;倘若在具体案件的办理过程中发现此种违法行为,倘若满足《刑事诉讼法》规定的不批捕、不起诉等的条件,应当作出相应的决定。

  检察机关在刑事司法领域对个人信息处理行为的监督主要有两方面特点:一是全方位。由于《刑事诉讼法》规定检察机关是刑事诉讼领域的法律监督机关,对刑事诉讼程序进行全程监督,因此,在刑事司法领域,检察监督无禁区,这使得检察机关对其中的个人信息处理行为的监督也具有全方位特征。这一点与欧盟《一般数据保护条例》的规定存在明显区别。《一般数据保护条例》第55条第3款规定“对于法院在司法活动中进行的处理行为,监管机构无权进行监管”,而我国检察机关在刑事诉讼中,对立案、侦查、起诉、审判、执行以及五个特别程序均有监督之职权,因此对其间的个人信息处理行为亦可进行全方位的监督。二是及时同步。由于检察机关对刑事诉讼的全程参与,其对刑事司法公权力机关的信息处理行为的监督更具有及时性,甚至能够同步进行。即便在最具有封闭、秘密性的侦查阶段,检察机关也可以通过提前介入侦查、审查批捕等途径进行迅速的监督,从而避免违法处理个人信息行为的发生及其不利后果的扩大。


  (三)对信息处理系统进行安全巡查


  刑事司法领域本就有各种类型的信息处理系统,司法信息化建设的浪潮更使得这些信息处理系统数量大幅增加、技术快速升级。例如,美国国土安全部有US-VISIT系统,收集公民的各类生物识别信息如指纹或人脸识别信息;欧盟有通用身份资源库(CIR),涵盖公民的生活识别信息、签证信息、犯罪记录信息等,便于执法机构使用其中的信息用于追诉犯罪。在我国,侦查机关、检察机关和审判机关均有各自的信息处理系统,例如各类数据库、信息传输系统、办案辅助系统等。此外,司法信息化建设下的“互联互通”要求促使各个办案机关加快构建跨部门信息共享平台,实现信息的互通与分享。无论是信息处理系统的构建还是信息的互联互通,固然能够提升信息的使用效率,提高案件办理的准确性,但是也带来了信息安全方面的风险,例如,信息处理系统可能遭遇攻击或因故障而导致出现信息泄露,信息互联互通系统可能因为各个机关各自系统端口不匹配或传输节点存在漏洞而导致信息失控,因此有必要加强对相关信息处理系统的安全保障工作,防止个人信息被非法处理,对国家和个人利益造成威胁。

  面对此种风险,作为刑事司法领域个人信息保护专门机构,检察机关应当针对信息处理系统进行安全巡查,消除相关隐患。具体而言,首先,检察机关的此种安全巡查可以灵活方式进行。例如,可以以日常例行巡查、重点常规巡查与重大专项巡查相结合的方式,采取定期巡查与突击巡查并用的方法,对相关信息处理系统的硬件设施、系统状态、使用权限、日志记录、病毒防御工具、系统补丁、安全报告、应急预案等进行巡查,尽早发现或排除信息处理的漏洞。其次,检察机关进行此种安全巡查,在必要时可以借助外力。如上文所述,检察机关作为刑事司法领域个人信息保护专门机构可能存在技术方面的困难,在必要时可以寻求网信部门等专业机构的协助或将部分技术性工作外包给专门的科技企业。信息处理系统的安全巡查工作具有高度的专业性和技术性,检察机关进行此项工作时可能遭遇技术困难,在自身技术能力不足时,可以按照上述方式向网信部门等专业机构或科技企业寻求外力支持。但需要注意的是,检察机关始终应保持对此项工作的主导地位,例如科技企业获授权进行安全巡查后应及时向检察机关报告相关巡查结果。再次,检察机关通过安全巡查工作发现问题后,应当迅速采取措施加以处理。依据《个人信息保护法》第64条规定,履行个人信息保护职责的部门在履行职责中发现信息处理活动存在风险的,可以对个人信息处理者的主要负责人进行约谈,或要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。参考此条规定,作为刑事司法领域个人信息保护专门机构的检察机关在安全巡查中发现信息处理者的信息处理系统存在漏洞或风险的,可以采取约谈、要求其委托专业机构进行补救等方式及时加以处理。


  (四)接受个人信息安全事件报告和违法个人信息处理投诉举报


  接受个人信息安全事件报告,是个人信息保护专门机构的重要权责之一。依据欧盟《一般数据保护条例》第33条规定,在发生个人数据泄露的情形下,数据控制者应在知道发生此种事故之时起72小时内向数据监管机构报告,如果未能在72小时内报告的,应就迟延报告的原因作出说明。我国《个人信息保护法》第57条规定:“发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人……”在刑事司法领域,一旦个人信息处理者如公安机关、国家安全机关等发现个人信息安全事件,例如出现个人信息泄露、篡改、丢失,应立即向作为刑事司法领域个人信息保护专门机构的检察机关报告。检察机关应根据情况采取不同的处置措施:第一,当个人信息处理者采取的补救措施不足以应付个人信息安全事件时,检察机关可以向该个人信息处理者提供技术方面的协助,或者责令其委托专业机构采取补救措施,以及时控制该个人信息安全事件的发展,减小其所造成的损失。第二,若该个人信息安全事件可能给公民个人的合法权利特别是人身安全造成危害,且个人信息处理者所采取的补救措施尚不足以避免此种危害,检察机关应当责令个人信息处理者立即通知相关公民个人,或自行通知该公民个人,并在必要时对该公民采取相应的安全保护措施。第三,在发生个人信息安全事件后,检察机关有权约谈个人信息处理者的主要负责人,重新审查个人信息处理者的个人信息安全事件应急预案,要求其委托专业机构对其个人信息处理活动进行审查,从而督促其进行整改和补正以消除隐患。

  接受违法个人信息处理投诉举报,是个人信息保护专门机构的另一项重要权责。我国《个人信息保护法》第65条规定:“任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。”检察机关作为刑事司法领域个人信息保护专门机构,也有接受违法个人信息处理投诉举报的权力和职责。更为重要的是,在此种投诉举报之后,检察机关应及时进行审查并对违法个人信息处理行为进行纠正。欧盟《一般数据保护条例》将此种纠正违法行为的权力称为“矫正性权力”,其第58条第2款规定专门监管机构可以通过发布警示、发布惩戒、责令告知、发布禁令、撤销认证、罚款、暂停数据流动等方式实施此种权力;日本《个人信息保护法》第42条亦规定,作为个人信息保护专门机构的个人信息保护委员会有权劝告个人信息处理者中止相关违法行为及为纠正其他违法行为而采取必要的措施,或在其认为对个人的重大权利或利益的侵害已经迫近时命令个人信息处理者采取被劝告的措施。刑事司法领域的检察机关在接受违法个人信息处理投诉举报后,亦应有此种矫正性权力,要求相关个人信息处理者停止违法处理个人信息的行为,并向受其违法行为影响的公民个人提供相应的救济,或在符合法律规定的情况下给予违法的个人信息处理者必要的处罚。


END


中国政法大学学报

长按二维码关注我们



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存