作者:尚权律所 时间:2023-03-27
摘要
《个人信息保护法》的颁布实施将刑事诉讼统一纳入个人信息保护法律规范体系当中,需要认真研究刑事诉讼中如何适用《个人信息保护法》的相关规定。个人信息保护中的核心规则“告知-同意”规则在刑事诉讼中基本失效,同意规则无须适用,告知规则设置了宽泛的例外,刑事诉讼法律规范中应当明确例外的界限与适用情形。对于个人信息保存时限、委托处理个人信息的相关规则、自动化决策和敏感个人信息的处理,刑事诉讼中都应当进一步予以细化规定。个人信息权益在刑事诉讼中呈减损状态,但不应被彻底剥夺,应当着力强化刑事执法、司法机关的个人信息保护的合规义务,构建《个人信息保护法》适用于刑事司法领域的若干支撑配套制度,包括将规制场景由技术侦查扩展至更为广阔的信息收集实践,强化事先数据合规制度建设,增设检察机关作为刑事司法系统中投诉处理的负责机构等。
关键词:个人信息 个人信息保护法 刑事诉讼 告知-同意规则
2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议审议通过的《中华人民共和国个人信息保护法》系我国首部保护公民个人信息的专门法律,也被认为是我国个人信息保护领域的一部基本法律。在网络时代,个人信息保护面临重大挑战,根源在于公法制度缺位。个人信息作为一项人格权益,最初产生的目的之一就是防止政府机关不当处理个人信息。基于上述判断,《个人信息保护法》的一个重大创新之处正是在于对国家机关处理个人信息的规则进行了专门规定,设置了“国家机关处理个人信息的特别规定”专节。这里的“国家机关”主要是指履行政府行政管理职能的政府机关、部门,而承担部分刑事司法职能的公安机关以及其他刑事司法机关显然也属于本节规范的对象。
在法学界围绕《个人信息保护法》这部基本法律展开热议之时,刑事诉讼法学界的反应显得较为平静,有限的讨论局限于《个人信息保护法》的基本原则和基本制度与《刑事诉讼法》的关系、刑事诉讼保护个人信息的理念、方向等宏观问题,缺乏对《个人信息保护法》生效后这部基本法律从各个层面如何影响刑事诉讼进行的细致讨论。
一、刑事司法机关处理个人信息的统一纳入模式
根据《个人信息保护法》第73条规定,个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人,本条规定通过明确“个人信息处理者”的内涵,将国家机关包括刑事司法国家机关纳入该法的规范范围。同时,《个人信息保护法》第2章第3节“国家机关处理个人信息的特别规定”还为国家机关处理个人信息创设了5个条文的特殊规定,以应对国家机关适用《个人信息保护法》时面临的特有问题。不同于多数其他国家和地区所秉持的单独立法、例外处理的模式,我国《个人信息保护法》将刑事司法机关处理个人信息的行为借由“国家机关”这一概念与规范工具统一纳入个人信息保护法律的框架内,这种统一纳入处理的新模式与既有的刑事司法系个人信息保护的例外领域之传统观念形成强烈反差。
国家机关在履行法定职责的过程中生成、采集和保存了海量的个人信息,是最大的个人信息收集、处理、储存和利用者,将国家机关处理个人信息的活动纳入《个人信息保护法》的调整范围,规定国家机关处理个人信息应当和其他主体(主要是企业)适用相同的原则和基本规则,体现了法律的全面性和系统性。《个人信息保护法》第33条规定了“国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定”,该条前半句首先明确要求国家机关作为个人信息处理者适用《个人信息保护法》的全部规定,后半句规定明确了对于本节的特殊安排,从其特殊规定。通过这一条款,国家机关处理个人信息的活动首先被纳入《个人信息保护法》的完整规制框架之下,对于特有的处理行为与处理要求,法律也在本节予以了细化规定,本节无特殊规定的,国家机关处理个人信息时就应当适用《个人信息保护法》其他章节的相关规定。需要特别指出的是,就本文的研究主题而言,《个人信息保护法》并未对刑事司法机关包括公安机关处理公民个人信息的各类事项作出例外规定,特殊的制度安排也不过是本节第34条至第36条三个方面内容。从这个角度来看,政府行政机关与刑事司法专门机关在《个人信息保护法》中未作进一步区分,刑事司法方面的特殊处理规则也并未再进一步进行细分处理。这种统一纳入的模式极具特色,也会对刑事司法机关处理个人信息产生深远影响。当然,这种统一纳入模式的“统一”尺度大小还取决于对《个人信息保护法》第34条的解读,但毋庸置疑的是,由于第33条的规范内容范围远大于第34条,其对刑事司法过程中处理个人信息的影响注定是深远的。
另一方面,《个人信息保护法》第34条规定了国家机关处理个人信息时应当遵循合法性原则与必要性原则这两大基础、核心的公法原则,该条规定“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度”。就合法性原则而言,法律对于国家机关处理公民个人信息的权限和程序的规范依据限定于法律和行政法规两类。同时,本条规定也可以被视为转授权条款,授权刑事执法、司法机关依据《刑事诉讼法》等法律、行政法规的相关规定处理公民个人信息。考虑到国家机关履行各自法定职责的特殊性,这一转授权条款准许不同的国家机关根据相关领域的法律法规规定的权限与程序处理公民个人信息,部分兼顾了国家机关权力行使的特殊要求,在处理权限与程序两个向度上放松了“统一纳入”的要求,形成了单独处理与统一纳入并存模式。就刑事执法、司法领域而言,执法、司法机关处理公民个人信息只能依据《刑事诉讼法》等法律以及行政法规的授权进行,且相应权限范围与处理程序也必须符合法律、行政法规的明文规定。在《刑事诉讼法》及相关法律、行政法规中已有相应处理权限和程序的规定时,本条规定事实上授权刑事执法、司法机关根据《刑事诉讼法》等法律法规的既有规定对个人信息进行处理,当现有法律、行政法规缺乏衔接性规定时,根据《个人信息保护法》的规定,刑事执法、司法机关不得处理个人信息,直至相应权限与程序被补足至满足该条合法性要求。值得注意的是,《个人信息保护法》第34条授权的内容仅限于处理权限与程序,不包括处理个人信息中的其他权限,个人在信息处理活动中的权利也应当根据《个人信息保护法》的规定受到保护。从这个角度看,《个人信息保护法》与《刑事诉讼法》等法律法规呈现出交叉适用状态。
二、“告知-同意”原则的基本失效
“告知-同意”原则为全球范围内的个人信息保护立法普遍适用,自发端以来便作为个人信息保护的基本原则,其内涵几乎一致,都反映了数据主体对个人数据享有自治、自决的权利。这一基本原则在公法领域的适用却存在诸多限制,由于国家机关是基于公共利益的目的处理公民个人信息,如果个人对相关信息具有同意权、决定权等权利,则将从根本上破坏公权力部门公共职能的行使。基于上述考虑,《个人信息保护法》第13条、第18条、第35条对告知和同意适用于国家机关的场景分别作出了限制性规定,限缩甚至免除了“告知-同意”原则的保护作用。其中第13条规定,“为履行法定职责或法定义务所必需,无须个人同意即可合法处理公民个人信息”,这是对同意原则的排除适用规定。第35条规定,“国家机关为履行法定职责处理个人信息,应当依照本法履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外”。第18条第1款规定,“个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以豁免告知义务”。上述两条规定,在肯定告知为原则的前提下,为国家机关豁免告知义务明确了两项例外:一是保密要求;二是妨碍国家机关履行法定职责。值得注意的是,上述例外情形并无时间限制,产生的法律效果是豁免而非延后告知,《个人信息保护法》对于上述两条告知义务的限制采用了最为严厉的除外规定或者说完全豁免规定。
对于刑事执法、司法机关而言,履行执法、司法的法定职责根据《个人信息保护法》第13条的规定无须经同意即可处理公民个人信息。同意并非刑事司法中处理公民个人信息的合法性基础,鉴于刑事司法行为的强制性,能否调取信息往往与信息主体的主观意愿无关,有关单位和个人还有如实提供的义务,因此“同意”之要求也无从谈起。
对于“告知”问题,或者说知情原则在刑事司法中的适用,由于涉及执法、司法机关的告知义务以及相对应的个人信息主体的知情权、查阅复制权,法律适用的选择与相关制度的衔接工作显得比同意原则的处理要复杂一些,执法、司法机关的告知义务与个人的信息权利并非如同意原则一样被一揽子排除在个人信息法律保护体系之外。《个人信息保护法》第35条以原则加例外的方式规定了国家机关处理个人信息时的告知义务,例外情形有二:一是根据该条后半段规定,告知将妨碍国家机关履行法定职责的;二是根据第18条规定,其他法律、行政法规规定应当保密或者不需要告知的情形的。上述两条例外规定值得认真对待并进行明确解释,否则现有条文的笼统规定极有可能让例外的两种情形普遍化并最终在实践层面倒置为原则,这与《个人信息保护法》第35条文义表述上的原则加例外的规定初衷是相悖的。告知义务或者其对应的信息主体的知悉权系个人信息权利的起点,也是最为基础性的权利,信息本身具有的无形性决定了对其权利进行保护必须遵循透明、公平原则,没有告知个人就无从知悉其权利被干预的事实,也就无从行使后续一系列《个人信息保护法》赋予的其他权利。
回到刑事执法、司法的语境下审视《个人信息保护法》设置的两种例外情形,需要对“妨碍国家机关履行法定职责”与“法律、行政法规规定应当保密或者不需要告知的”两种情形进行更为细致的分析。因妨碍刑事执法、司法机关履行犯罪预防或追诉、审理以及刑罚执行等职责而豁免告知义务需要设置更为细致的条件,现行《刑事诉讼法》涉及权利义务告知的条款共15条,均未设置豁免义务条款,换言之,权利义务的告知是刑事执法、司法机关必须履行的无例外的法定职责。
《刑事诉讼法》中妨碍追诉职责的情形通常被表述为“有碍侦查”,《刑事诉讼法》本身未对“有碍侦查”作进一步细化规定,《公安机关办理刑事案件程序规定》将其解释为可能干扰取证,可能引发自残、自杀或者逃跑,可能引发同案犯逃避妨碍侦查这三种主要情形。《刑事诉讼法》及相关法律解释并未对上述几种“可能性”的根据与证明过程提出进一步要求,加之法律也并未设置外部审批程序,“有碍侦查”的各种可能性在法律适用过程中仍稍显宽泛与随意。为防止任意解释“有碍侦查”,应当参照《刑事诉讼法》规范中的既有解释规则与方案,对该术语作进一步的限缩解释,比如,要求有一定根据表明犯罪嫌疑人已经着手实施干扰取证的行为,或者曾经实施类似行为,或者有行为的意思表示,抑或有同案犯在逃,重要证据尚未收集到位的。
从履行职责的时间节点来看,刑事司法妨碍职责履行的主要程序阶段应当限定在立案与侦查两个诉讼阶段,其中以收集固定证据、控制犯罪嫌疑人为主要任务的侦查阶段是履行职责的关键阶段,也是刑事执法机关处理个人信息的主要场域。伴随着侦查程序的展开,刑事诉讼活动的证据事实逐步明晰,追诉职责的准备工作逐步就绪,告知义务的例外情形存在的价值与合理性逐步减弱直至消失,例外的设置与程序的进程应当呈现一种负相关关系,方能较好地体现比例原则的要求。在侦查程序内部,逮捕应当作为例外向原则转化的关键节点,实践中掌握的逮捕的证据条件与定罪相差无几,捕后侦查机关继续取证的概率很低,因此,以逮捕作为告知义务的原则与例外的界分点是比较符合司法实际情况的,能够为告知义务在侦查程序中的履行设定明显的时间限制,贯彻《个人信息保护法》第35条规定的以告知为原则的立法精神。
《个人信息保护法》第35条及第18条将法律、行政法规规定应当保密或者不需要告知的情形也明文规定为国家机关处理个人信息时告知义务的例外情形。在刑事诉讼场域中适用上述例外首先需要明确保密或者不需要告知的情形与范围。对于审判以及起诉程序而言,公开是原则,不公开是例外,告知之例外几乎没有适用之空间;对于侦查程序而言,尽管学说上有侦查保密原则,但在实定法上并无侦查保密原则的明文规定。《刑事诉讼法》中大致有三个条文体现了侦查保密原则的部分要求,比如,《刑事诉讼法》第54条规定“对涉及国家秘密、商业秘密、个人隐私的证据,应当保密”;第152条规定了技术侦查实施中相关信息的保密,即侦查人员对采取技术侦查措施过程中知悉的国家秘密、商业秘密和个人隐私,应当保密,有关单位和个人对采取技术侦查措施的有关情况应当保密;第286条规定对于被封存的未成年人犯罪记录依法进行查询时予以保密。
在《刑事诉讼法》未明确侦查保密原则的情形下,侦查保密的规范依据主要是根据《中华人民共和国保守国家秘密法》(以下简称《保密法》),《中华人民共和国人民警察法》(以下简称《人民警察法》)以及公安部的规范性文件。比如,《保密法》第9条规定国家秘密的范围,其中一项即为“维护国家安全活动和追查刑事犯罪中的秘密事项”。《人民警察法》第22条规定人民警察负有保守警务工作秘密的法定义务。
《保密法》第11条在第9条的一般性列举规定之外还进一步授权国家保密行政管理部门分别会同公安、安全等中央有关国家机关规定国家秘密及其密级的范围,如此一来,公安工作中国家秘密的具体范围由国家保密局与公安部具体厘定。2019年,公安部、国家保密局印发的《公安工作国家秘密范围的规定》(以下简称《细化规定》)采用封闭式列举的方式详细列明了公安工作中国家秘密的范围与具体保密事项目录,其中与刑事执法、司法有关的事项范围主要是指泄露后会使重大刑事案件遭受损害的事项,从具体保密事项上看,包括侦办中的重大刑事案件的侦查方案、案情与秘密手段获取的材料与证据。当然,《保密法》及《细化规定》并未明确何为“特别重大刑事案件”或“重大刑事案件”,仅从案由的角度涵盖了重大的危害国家安全案件、黑社会性质的有组织犯罪案件、经济犯罪案件和毒品犯罪案件等。这种界定方式明确了时间范围限定于侦办过程中,同时明确了案件范围上应遵循重罪原则,并一揽子地将秘密侦查的相关情况纳入国家秘密范围内。
在《保密法》规定的国家秘密之外,公安机关以“警务工作秘密”为规范工具,对执法、司法中的工作保密进行了细化管理。2019年公安部发布的《公安机关警务工作秘密范围的规定》列举了30种警务工作秘密,其中与刑事执法、司法相关的事项主要包括打击违法犯罪活动的具体工作与行动方案;正在侦查的刑事案件的详细案情、具体工作方案及进展,将对犯罪嫌疑人采取刑事强制措施的情况;公安机关采集并管理的专门用于支持打击防范违法犯罪活动的有关数据。警务工作秘密这一规范工具的提出及适用将大部分刑事执法、司法工作纳入保密的范围,在法律之外极大地扩展了公安机关警务工作的保密范围。但从《个人信息保护法》的适用角度观之,警务工作秘密的上述规定不符合《个人信息保护法》对保密例外设置的法律位阶之基本要求,《个人信息保护法》第18条规定可以因保密需要豁免告知义务的根据只能是法律、行政法规。这种法律保留的范围限制令刑事执法、司法机关在目前的法律体系内只能依照《刑事诉讼法》或《保密法》明确规定的保密事项范围豁免告知义务,公安部及公安机关内部规范性文件列明的警务工作秘密等相关规定因无法满足《个人信息保护法》第18条之规定,从而无法援引成为告知例外的合法根据。
《个人信息保护法》告知义务之例外事由有二:一是履行法定职责的需要,《刑事诉讼法》规定的“有碍侦查”的情形是该类正当化事由的对应参照物,告知处理个人信息的情况以不妨碍诉讼顺利进行为限,主要是妨碍证据取得与逃避追诉两项具体风险,且风险的判断需要合理的依据或者说相应的证据材料。伴随着追诉进程的延伸风险逐步消减,尤其在批准逮捕之后,履行法定职责的事由原则上不再成立正当化事由。二是保密需要,根据《保密法》及其细化规定的精神,保密的案件与事项范围首先应当体现重罪原则,不应泛化;其次应体现时间阶段性的要求,只能限于在办案件的侦查过程中;最后保密的事项主要集中于侦查工作方案等过程信息,而并非侦查结果。为衔接《个人信息保护法》的上述要求,《刑事诉讼法》及相关法律解释应当明确“有碍侦查”的具体情形及判断标准、证明标准以规范履行职责之例外事由的适用,通过明确重罪原则的适用范围对国家秘密事项的边界加以明确。
三、个人信息特殊处理规则在刑事诉讼中的适用
除了“告知-同意”这一核心规则之外,《个人信息保护法》在第2章“个人信息处理规则”第19条至第27条还规定了其他几项重要的个人信息处理规则,其中在刑事诉讼语境中值得重点讨论的问题有四个:第19条规定的个人信息保存时限,第21条规定的委托处理个人信息的相关规则,第24条规定的自动化决策问题以及第29条规定的敏感个人信息处理的特殊规则,这些处理规则如何在刑事执法、司法领域加以落实,需要分别阐释。
(一) 保存时限不明确
《个人信息保护法》第19条规定,“除法律、行政法规另有规定外,个人信息的保存时限应当为实现处理目的所必要的最短处理时间”。最大化地限缩个人信息储存时间符合信息最小化原则的要求,也是对公民个人信息权益干预最小化的基本要求。然而,我国现行法律与执法、司法机关的相关法律解释和规范性文件对此原则几乎没有回应。《刑事诉讼法》第152条规定对采取技术侦查获取的与案件无关的材料,必须及时销毁。本条规定仅涵盖采用技术侦查搜集的各类信息包括个人信息,并未涵盖大量其他侦查措施获取的个人信息;同时,“及时”二字在一定程度上体现了保存时间最短化的要求,但何谓“与案件无关”、如何“销毁”,由于缺乏细化规定与操作流程,实践中本条规定很难执行。与《个人信息保护法》的规定相反,司法实践中刑事执法、司法信息的保存有长期化的要求。公安机关内部以治安管理、交通管理、出入境管理信息系统为代表的数据库建设的各类规范与管理规定中从未对储存时间设定具体的期限,相反,还在不断扩容以追求存储时间与存储数量的最大化。在公安机关以及检、法两院的数据库中储存着海量的公民个人信息,除了少量罪犯的个人信息之外,更多的个人信息主体是证人、被害人或者是偶然抑或被动触及刑事司法系统的守法公民。这些海量公民个人信息永久或者长期保存,伴随着数据量的逐渐升级,数据质量缺陷、安全风险、存储成本等势必都会逐步增大,这与《个人信息保护法》要求的储存时间最短化的规定明显抵牾,刑事诉讼法律法规应当对此及时进行调整、补足。
(二)委托处理个人信息的规则欠缺
《个人信息保护法》第21条专门就委托第三方处理个人信息作出了规范,个人信息处理者委托处理个人信息时,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务,并对受托人的个人信息处理活动进行监督,委托合同终止或撤销时受托人应当返还个人信息或者予以删除,不得保留。本条规定对于刑事执法、司法过程中大量公民个人信息由执法、司法机关委托给第三方公司、社会机构进行处理这一发展趋势具有极强的针对性与规范价值。伴随着数据量的激增,数据处理朝着专业化、集约化方向发展,刑事执法、司法机关愈发难以自行处理收集或者共享到的海量公民个人信息,通过外包合同委托第三方处理是不得不作出的选择。宏观层面上,这涉及司法权的社会化问题;微观层面上,《个人信息保护法》第21条确立的委托处理规则无疑具有直接的规范作用。此外,与之相衔接的《中华人民共和国数据安全法》第40条也对国家机关委托处理个人信息提出了明确要求,即国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、适用、泄露或者向他人提供政务数据。刑事诉讼法律规范应当在援引上述规范的基础上作出相应的细化规定,以回应信息处理社会化这一司法实践发展趋势。
(三)自动化决策缺乏规制
《个人信息保护法》第24条旨在规制“大数据杀熟”行为,即一些企业利用数据与算法优势,通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等对消费者进行误导与欺诈。该条规定整体上看是针对商业推送与推销行为,能否适用于刑事司法场景值得进一步讨论。从《个人信息保护法》文本自身来看,第24条第一款前半句话确立的自动化决策的基本原则为“保证决策的透明度和结果公平、公正”,其与后半句话规范交易条件的语义重点可以适当分离,从更为宽广的视角加以理解。按照这种解释,决策透明与结果公平公正的基本原则就可以适用于刑事司法领域,特别是考虑到近年来世界范围内刑事司法信息系统中开始广泛使用自动化决策系统并引发了基于种族、地域、性别等视角的系统性歧视与算法黑箱弊端,引入该条前半段规定具有现实意义。
如果上述解释逻辑能够成立的话,《个人信息保护法》第24条第3款亦应当同时加以适用并对刑事司法中的自动决策产生进一步规范效果,该款规定“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”。该款规定至少有两个方面的规范效力:首先,要求刑事司法领域中的各类自动化决策只要作为对公民个人权益产生重大影响之决定的根据或参考,均应当按照个人信息处理者的要求公开相应的算法及过程并作出明确的说明和解释;其次,禁止仅凭借自动化决策的结果作出相应的决策,换言之,应当保留参考其他因素与人为干预的可能性。
(四)敏感个人信息的特殊处理规则缺乏足够关注
《个人信息保护法》在第2章第2节设专节规定了敏感个人信息的处理规则,对包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息设置了更为严格的处理条件与程序。刑事执法、司法领域相较于行政法、民商法领域的各类信息处理场景会更加频繁、更为全面地处理敏感个人信息,以满足刑事执法、司法手段的高强度干预功能需求,因此,刑事执法、司法机关理应遵循《个人信息保护法》第28条确立的主要规则,即只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。需要进一步讨论的是,《个人信息保护法》第29条至第31条规定的针对敏感个人信息的加强版“告知-同意”规则是否适用于刑事诉讼过程之中。从文义观之,《个人信息保护法》上述条款并未豁免国家机关的“告知-同意”义务,笔者认为此处的解释方案应当遵循体系解释的要求,既然《个人信息保护法》在国家机关的特殊处理规则中豁免了国家机关依照法定情形在履行法定职责中的“告知-同意”义务,该豁免既针对本章第1节的普通公民个人信息的处理,也针对第2节规定的特殊类型的敏感个人信息的处理,按照特别规则优先于一般规则的原理,应当适用《个人信息保护法》第2章第3节关于国家机关豁免“告知-同意”义务的相关例外规定。
四、个人信息处理活动中的个人权利与刑事执法、司法机关的义务
《个人信息保护法》创设了一系列全新的权利种类,也对执法、司法机关保护个人信息规定了全新的法定义务,这一面向恰恰是《个人信息保护法》在刑事诉讼中适用时最具挑战性,也是最具价值之处,值得深入探讨。
(一) 个人信息权利在刑事司法中的减损状态
《个人信息保护法》第4章专章规定了“个人在个人信息处理活动中的权利”,赋予个人信息主体一系列基于个人信息的权益,包括知情权、决定权、查阅权、复制权、数据携带权以及请求更正补充、删除的权利等。《个人信息保护法》创制的个人信息权益保护体系门类齐全,涵盖了个人信息保护的全部生命周期,但置于国家机关特别是刑事执法、司法机关处理公民个人信息的场域来看,多数权利类型都需要与其他价值相权衡,从而呈现出减损样态。在《个人信息保护法》第4章7个赋权条文中,除第46条与第48条两个条文没有为国家机关设置例外规定,其余条文悉数都规定了不同类型的除外情形,在国家机关处理公民个人信息过程中,个人行使相应信息权利存在极大的不确定性,权利受到限制乃至剥夺成为常态。比如,第44条与第45条规定的知情权、决定权、查阅权、复制权都附随着“法律、行政法规另有规定的除外”,“有本法第十八条第一款、第三十五条规定的情形除外”这样的除外表述。这些除外规定与前文所探讨的“告知-同意”规则的例外一脉相承,权利的减损状态与效果也呈现出一致性。进一步区分上述第44条与第45条例外情形之差异,第45条明确了参照告知义务的豁免规定,相应的规则在刑事诉讼领域是大致清晰的,但第44条的除外规定要求“法律、行政法规另有规定”,刑事诉讼法律规范通常直接赋权刑事执法、司法机关为追诉犯罪或司法审判的需要处理公民个人信息,当事人及相关人员对信息的决定权被剥夺,即当事人无权限制或者拒绝刑事执法、司法机关的处理,而对于知情权,除了存在国家机关告知义务豁免的例外情形,《刑事诉讼法》并未作出明确规定对此加以限制或剥夺。因此,笔者认为,尽管知情权与决定权规定在《个人信息保护法》同一个条文当中,具体到刑事司法领域,其适用情形仍需根据刑事诉讼法律规范的具体规定予以差异化对待,不能笼统地认为两项权利完全处于被剥夺或者限制状态。
再比如,第45条第3款规定的可携权、第50条第2款规定的诉讼救济权,上述两款规定的信息权益尽管文本自身并未规定相应的例外,但从文义解读的角度来看,显然无法适用于刑事执法、司法领域。可携权的适用对象根据《个人信息保护法》第45条的规定仅适用于网信领域的携号转网等典型场景,刑事司法行为的不可诉性决定了在现有司法体制下公民个人无法因个人信息权益受到干预而向人民法院提起诉讼,只能根据《个人信息保护法》第50条第1款规定通过权利投诉处理机制获得部分救济。
《个人信息保护法》第46条至第47条规定的更正、补充、删除权尽管从文本上并未有相关例外表述,但从法律适用的具体实践来看,上述信息权益也必然受到相应的限制。更正、补充、删除权利的行使前提系知情权、查阅权,当这些前置性权利受到剥夺或者严重限制时,要求更正、补充、删除的权利缺乏权利行使的基础。对于删除权,《个人信息保护法》第47条第2款规定,“法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的”,个人信息处理者可以不予删除,而仅仅应当停止除储存和采取必要的安全保护措施之外的处理。该款规定映射至刑事司法程序中,基于前文对诉讼卷宗及信息的保存期限之分析,加之目前侦查实践中并无周到的信息保存、识别及销毁能力等相关制度安排,删除权的行使基本上会落脚至该条第2款规定的此种例外情形下,即无法删除但限制刑事执法、司法机关的进一步处理与使用。
(二) 刑事执法、司法机关的四项合规义务
宪法学界认为,个人信息保护的宪法基础是国家所负有的保护义务,个人信息国家保护义务对应着“个人信息受保护权”这一基本权利,“个人信息受保护权”通过强调国家保护义务及其落实更有利于个人信息保护的目标实现,因为面对数据平台和国家机关所拥有的“数据权力”,通过私法路径和方式,很难为个人信息提供充分、全面和有效的保护。《个人信息保护法》在规定“个人在个人信息处理活动中的权利”章后,用更多的条文着墨于“个人信息处理者的义务”,专章规定了包括国家机关在内的个人信息处理者的义务。不同于权利章在刑事司法领域所呈现的普遍减损状态,国家机关处理个人信息的义务除个别条款无法适用之外,义务状态的实施具有普遍性,从这个意义上讲,义务章的规定为刑事执法、司法机关处理公民个人信息设置了更多、更细的规范要求。
《个人信息保护法》规定的个人信息处理者的义务概括起来主要有四项:首先,第51条规定的个人信息安全制度,通过落实该条规定的具体义务,即内部合规建设,分类管理,采取加密、去标识化等安全技术措施,操作权限的制度安排及实施,安全事件应急预案等制度确保个人信息处理中的安全性,防止未经授权的访问及个人信息的泄露、篡改、丢失。其次,第52条要求建立个人信息保护制度,即个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。再次,第54条要求个人信息处理者应当建立定期合规审计,对其处理个人信息遵守法律、行政法规的情况进行审计。最后,第55条至第56条要求个人信息处理者还应当建立个人信息保护影响评估制度,在进行敏感个人信息处理、自动化决策、委托处理个人信息、向境外提供个人信息等对个人权益有重大影响的个人信息处理活动前,应当进行个人信息保护影响评估并加以记录。《个人信息保护法》明确列明了评估的内容,包括个人信息处理目的;处理方式是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险相适应。
上述四项信息保护制度或者说安全处理义务体现了全球范围内个人信息治理过程中追求公平信息实践的最新成果,即对信息控制者施加了更多的风险防范与治理义务。作为《个人信息保护法》的制度起源是公平信息实践,该理论提出后对美国、欧盟与国际组织的个人信息保护或者信息隐私法产生了深远的影响,这些国家和地区的法律或者明确接受公平信息实践,或者在其他法律中体现公平信息实践的各项原则。不同版本的公平信息实践相同之处在于对个体进行信息赋权和对个人信息的控制者(信息收集者和处理者)施加责任,不同之处在于对信息主体的赋权程度不同,对信息控制者施加的责任不同。在大数据时代到来后,数据本身的流通需求是信息社会的本质要求,公平信息实践中“公平”愈发体现为前端的预防损害与风险,而非后端的数据治理与追责。《个人信息保护法》第51条作为本章的一般性条款鲜明地体现了“基于风险的进路”的治理方式,这种进路摈弃了“一刀切”的个人信息保护,转而采取动态的、多层次的、可扩展的保护制度。
风险预防的理念及其指引下建构的个人信息处理者义务归纳了各国信息处理实践中行之有效的各类专业制度,要求个人信息处理者更多地通过事先合规建设、事中风险评估及防范来实现个人信息权益的实质保护。这些信息数据领域的专业制度对于传统刑事执法、司法领域而言显得较为陌生,不仅法律制度上从未涉及,司法实践中也缺乏相应探索。在这种背景下,刑事执法、司法机关适用《个人信息保护法》履行个人信息处理者的义务势必会面临制度新建、行为重建的复杂过程。
从司法现状来看,比照《个人信息保护法》的义务规定,刑事执法、司法领域内个人信息保护合规制度与风险防范机制存在明显差距:一方面,缺乏专门针对个人信息保护方面的内部管理制度与操作规程,已有的信息管理制度设置初衷是案件保密、侦查需要或者信息安全,因此尽管存在着一定的内部管理制度和操作规程,也设置了案件管理系统中的操作权限,有相应的加密要求,基于数据安全、网络安全的要求,对于个人信息定期进行安全教育与培训、安全事件应急预案等要求有所涉及,但侧重于个人信息保护面向的制度建设则非常匮乏,典型例证为对于个人信息分类管理、去标识化等风险防范机制在刑事执法、司法领域罕有涉及。比如,关于个人信息分类管理问题,法律规范层面仅在《公安机关办理刑事案件程序规定》第264条通过规定技术侦查措施的种类间接涉及信息的分类,将监控到的个人信息分为记录类、行踪类、通信类和场所类共四种。此种划分的依据主要是基于传统侦查行为干预权利的载体与对象,伴随着信息社会的到来,传统的分类方式已经很难适应个人信息的种类多元、存储形式多样、载体多门类等新变化。学界最近的观点将刑事司法中的数据分类为政府数据与个人数据,其中政府数据又可细分为公安数据、检察数据、审判数据和其他数据,而根据获取数据的方式不同,政府数据也可细分为秘密取得的数据、公开取得的数据和经同意取得的数据;个人数据可以细分为身份数据和行为数据。
就去标识化这一安全措施来看,侦查程序与审判程序这两大程序阶段上的处理策略存在显著差异:对于侦查程序而言,识别特定个人系主要侦查目标与任务,所有个人信息力图精准识别到特定个人,去标识化的要求很难践行;对于审判程序而言,人民法院在推行司法公开的过程中已经开始采取去标识化的相关机制防范个人信息安全风险,例如,根据《最高人民法院关于人民法院在互联网公布裁判文书的规定》(法释〔2016〕19号)第8条、第10条、第11条的规定,人民法院公布裁判文书时对于被告人之外的其他诉讼参与人、未成年人应当隐名处理,不作隐名处理的,对于自然人的家庭住址、通信方式、身份证、银行账号等个人信息应当予以删除,仅保留姓名、出生日期、性别和所属县、区。通过这种去标识化的处理方式,可以有效平衡司法公开与保障公民个人信息安全的不同法律价值。
从动态安全与风险预防的视角观之,《个人信息保护法》要求的专门负责人制度、定期合规审计、事先影响评估以及事后补救措施等相应制度在刑事执法、司法系统中基本处于空白状态,主要原因在于长期以来基于追诉犯罪的定势思维,执法、司法机关存在明显的重信息使用、轻信息保护的倾向,对于保护个人信息的各类预防机制更是难以置于制度设计的核心环节予以考虑。《个人信息保护法》这些刚性预防机制的设立对于刑事执法、司法机关处理个人信息提出了明确的努力方向,包括指定各执法、司法机关内部的个人信息保护负责人,定期进行自我内部合规审计,建立事前影响评估机制,确立事后补救机制等。事实上,先于《个人信息保护法》生效实施的《网络安全法》已经在其第21条、第42条、第53条等条文中确立了安全面向的类似风险防范机制,刑事执法、司法机关在落实《网络安全法》的过程中也初步确立了相应的工作机制,《个人信息保护法》只是从个人信息保护的特定视角提出了更为细致的制度建设要求,刑事执法、司法机关可以在网络安全工作机制的基础上附加个人信息保护的风险防范机制即可满足《个人信息保护法》的相关要求。
五、结语
由于《个人信息保护法》中对刑事执法、司法机关处理公民个人信息仅作出了原则性、宏观性规定,在刑事司法领域落实《个人信息保护法》的法律精神,需要在《刑事诉讼法》及其配套解释中健全一系列支撑配套措施,简而言之,这一工作至少应当包括如下几项内容。
其一,摆脱个人信息保护仅限于技术侦查的窠臼,在更为全面的场景中细致规范刑事执法、司法机关处理个人信息的各类活动。将数据或者个人信息的处理行为单独进行规制,重点在于根据《个人信息保护法》的要求,一方面进行合法性授权,另一方面重点规制适用程序。相关新增立法或者修法应当体现法律的明确性要求,特别应避免目前立法中抽象概括条款过多的弊端。在授权范围上,既要关注收集、调取信息,也要关注通过共享数据库的方式间接收集公民个人信息的处理行为。在适用程序上,应当设置立案后的时间节点要求和“初步犯罪嫌疑”的事实启动条件,在审批程序上比照搜查扣押等普通侦查手段展开即可。其二,基于公平信息实践的规制原则,在信息权益保护与信息处理者义务之间侧重于后者合规义务的附加,即主要通过设置信息处理者风险预防义务与责任,健全相应的事先安全义务、事中动态管理责任、事后及时补救机制保护公民个人信息权益。其三,应当建立有效的监管与救济机制,公安部作为国务院组成部门在刑事执法职责内负责个人信息保护与监管工作,人民检察院、人民法院由于缺乏《个人信息保护法》之明确授权,刑事司法中的个人信息保护监管只能委托网信部门统筹与实施,这显然是立法者对司法领域个人信息保护考虑不周的另一例证。法定的权利救济机制完全应当在刑事执法、司法领域中予以贯彻落实,投诉处理机制可以参照《刑事诉讼法》第49条、第117条所规定的权利投诉处理模式进行,检察机关的公益诉讼权充分行使,符合其法律监督者的机关定位,进一步发展可以成为刑事执法、司法系统中的信息保护主责机关,统筹本领域内个人信息保护与监管职责。
来源:《现代法学》,2023年第1期
作者:程雷,中国人民大学刑事法律科学研究中心教授、博士生导师、法学博士