尚权推荐SHANGQUAN RECOMMENDATION

关键词：刑事侦查；个人信息权；规范分析；制度建构

一、问题的提出

随着互联网普及率与用户规模的大幅攀升，大数据、人工智能、物联网等新一代信息技术在日常生活中的全面渗透，数字时代的大门已被开启，“以信息换取便利”成为当下参与网络社会的重要准则，一个依赖甚至高度依附网络与数字产品的时代初现雏形。这种依附的直接代价是，个人信息作为日常行为的副产品，被公司企业、社会组织、政府机构持续不断地收集、存储、分析，人类自身面临着前所未有的透明化。数字时代，如何保护个人信息与隐私的安全，维护个人的主体价值成为社会热切关注的话题。

近年来，我国越来越意识到公民个人信息被泄露、滥用的严峻性，在个人信息保护立法方面持续发力，逐渐形成了独具中国特色的个人信息保护法律规范体系。不过，刑事诉讼程序中国家机关的个人信息处理活动却较少引起立法者重视；尤其在刑事侦查中，现有法秩序对个人信息保护的关照几近于无。一方面，立法者习惯于采用相对抽象的立法技术，将与侦查有关的个人信息处理活动交予其他法律法规进行规范；然而，法法衔接的不畅导致侦查领域成为个人信息保护法网下的遗漏之处。另一方面，出于维护国家安全和打击犯罪需要立法者往往对侦查机关处理个人信息予以单独关照，如《网络安全法》第 28条规定，网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。这无疑强化侦查机关在个人信息保护中的特殊地位，加剧个人信息保护在侦查场景的失语现象。

与个人信息保护在侦查场景的缄默相比，以个人信息使用为核心的信息化导侦、大数据侦查、智慧侦查建设正如火如荼，云计算、物联网、大数据等新一代信息技术嵌入侦查，并以前所未有的速度重构侦查活动。例如，在犯罪发生后，侦查人员为了查清犯罪事实，不仅可以通过网络监控、视频监控、通讯监控等多种手段深入挖掘犯罪相关信息，还可以通过公安信息数据库全面了解案件相关人员的基本信息、社会关系与行动轨迹，从而迅速排除或锁定犯罪嫌疑人。可以说，公民个人信息已深刻融入侦查的每一环节，成为侦查机关侦破案件的重要工具；而科技与侦查的紧密结合，又不断拓展着侦查机关处理个人信息的广度与深度。然而，伴随着打击犯罪精准化、智能化、高效化的提升公民对其个人信息的控制不断削弱，个人信息权受到侵蚀。

事实上，侦查机关处理个人信息，不仅关乎公民个人信息保护，还关乎刑事司法人权保障与现代侦查法治化建设。在侦查场景中，个人信息既是公民权利的重要内容，也是侦查机关打击犯罪之重要武器。规制侦查机关处理个人信息行为的本质，旨在实现数字时代打击犯罪与保障人权之平衡。但现实情况是由于技术赋能下侦查权的强化以及侦查机关一以贯之的强势地位，以“信息交换安全”逐渐异化为“牺牲信息换取安全”。面对数字时代惩罚犯罪与保障人权的失衡，如何构建一套刑事侦查领域个人信息保护制度，成为当前理论研究和司法实践需要解决的难题。有鉴于此，本文从犯罪控制与人权保障理念出发关注现代科技发展对刑事侦查的影响，聚焦个人信息权利面临的冲击，检视我国刑事侦查领域个人信息保护规范，从制度层面分析个人信息保护不力的因由提出刑事侦查领域个人信息利用与保护平衡的制度思路，以期能推动我国个人信息与安全在法治框架内实现公平交换。

二、刑事侦查领域个人信息保护的必要性分析

新兴技术与刑事侦查的紧密结合，虽然极大程度提高了案件侦破率和侦查效能，但同时也加深了侦查机关对公民个人信息权利的干预程度。在侦查场景中，保护个人信息具有必要性与紧迫性，一方面是为了防止侦查权被滥用，保障司法人权，另一方面是使数字时代侦查措施契合刑事正当程序要求，推动侦查程序的法治化建设。

（一）控制数字时代刑事侦查权的溢出

当侦查机关既往的办案经验与技术手段已难以应对犯罪在数字时代层出不穷的变化，拥抱人工智能、大数据等新一代信息技术，利用国家机关天然的“信息优势”对犯罪进行“信息反制”成为刑事侦查的必然选择。为了更加快速、精准的打击预防犯罪，促进信息红利向侦查红利的转化，侦查机关难耐扩权的冲动，不断攫取公民个人信息，常态化使用公民敏感信息，导致公民个人信息权利在侦查权力面前节节后退。

首先，以行政治理为目的建构的国家信息资源平台为侦查机关提供了充足的信息资源，人脸识别等生物识别技术帮助侦查人员轻松识别“感兴趣的人”的身份。如美国警察利用 Recognition 人脸识别软件对公共监控中的镜像连续扫描，并与存储 30万张公民人像的信息库进行比对，缩小侦查范围。同时，该软件还可以与人体穿戴摄像机相连，帮助警察在公共场所随时随地识别并获取公民个人身份。这种对公民基本个人信息的全方面收集，已呈现出大规模监控的趋势。“牺牲”公民个人信息权益维系社会秩序安全已成为全球通病。

其次，为解决信息收集使用中存在的技术壁垒，侦查机关通常会积极与第三方合作，调取公民信息，导致专属侦查权分散化扩张。根据苹果公司透明度报告显示，2019年上半年，美国调查机构在 1568个案件中（有司法令状要求苹果公司为其提供用户个人信息，涉及约 6000个账户，涉及电子邮件、通信记录、iCloud 资料等大量私密信息；这些信息将成为法庭认定公民犯罪的证据。在这一过程中，第三方公司成为“国家机关侦查手臂的延伸”，提高了侦查权对社会的控制力的同时，也让公民个人信息与隐私无处可藏。

再次，公民敏感信息普遍化收集与一般化存储。不同于一般个人信息DNA 信息能够直接指向信息主体，具有唯一识别性，属于公民的敏感信息，应当在比例原则的指引下谨慎收集使用。然而在司法实践中，为了提高侦查效率侦查机关采集 DNA 信息却呈现出常态化、普遍化、粗糙化特点，包括无论犯罪嫌疑大小广泛采集血样，疏于排查，直接采集某一区域所有公民血样。更有甚者，为了预防犯罪，我国某地公安机关将辖区内所有男性的 DNA 信息入库以备用。生物信息存储安全也未得到应有的重视。以世界上最大的身份数据库Aadhaar 为例，该数据库内存储有印度 12 亿公民的信息，包括指纹、瞳孔DNA 等敏感信息。然而由于自身系统的漏洞以及庞大的数据容量，超过1亿印度公民的敏感信息被泄露。

最后，数字时代侦查权的外溢不仅体现在侦查机关的权力扩张，还表现为侦查人员的权力滥用。正如卢梭在《社会契约论》中指出，任何国家警察身上都存在三种意志，“首先是个人固有的意志，它仅只倾向于个人的特殊利益；其次是全体行政官的共同意志；第三是人民的意志或主权的意志。”侦查人员受自利性驱使，利用职务之便收集他人个人信息的情况亦不空见。是故，面对侦查机关不当侦查措施及侦查人员利用职务之便严重侵扰公民个人信息时，国家有必要在制度层面加强对刑事侦查领域个人信息的保护，控制侦查权的外溢。

（二）实现数字时代刑事正当程序要求

刑事正当程序是一种权利保障机制，其核心在于确保科以公民刑事责任的程序本身必须公正。大数据、人工智能等新一代信息技术的广泛应用极大程度提高了刑事侦查效能，在打击网络犯罪方面发挥巨大作用；但同时，技术赋能下的侦查权扩张也动摇了刑事正当程序。数字时代的个人信息，一方面扮演着使侦查权得以实现和有效运行的补剂，另一方面又是由被追诉人的人格组成蕴含了自由、尊严等丰富人权价值。围绕个人信息开展的权力与权利的斗争不断升温。在国家政策、信息技术的支持下，侦查权如虎添翼，在角斗中呈现出压倒性优势。不加规制地收集公民个人信息，以侵犯公民合法权益换取侦查成果的做法显然与刑事侦查法治化进程相左。
 

正当程序作为“权利稳定器”和“权力抑制器”，要求将新时代技术赋能侦查措施纳入法治轨道，达到发现案件事实真相与保障公民合法权益的平衡。虽然刑事侦查的特殊性需要公民个人信息权益作出“让步”，但“如何让步”“让多少步”应当是在法治环境下作出，符合明确、公正、适当等程序要求而非由带有强烈追诉倾向的侦查机关自行决定。为避免侦查机关恣意收集使用公民个人信息，德国在《刑事诉讼法》中明确规定了电子搜寻追缉、电子数据比对等以公民个人信息为基础的侦查措施的适用条件、适用程序，并对信息传输、存储等提出要求。美国虽然没有明文规制侦查机关处理个人信息之行为，但以宪法信息隐私权为准线，通过联邦最高法院个案裁量的方式，为侦查机关收集使用公民个人信息划定界限，同时辅以具体程序要求。此外，美国还发展出合理隐私期待标准、马赛克理论、完美监控理论等观念，成为司法实践中平衡侦查权与公民权利，实现司法公平正义的重要理论工具。

三、我国刑事侦查领域个人信息保护规范的理性检视

我国刑事侦查领域个人信息相关规范主要围绕个人通信信息与个人隐私信息展开。在具体规则构建上，我国采取的是强调公权力机关自我规制的隐私权保护路径。但无论从力度、范围、方式上，公权力机关对个人信息的保护远远比不上其对个人信息的利用。究其原因，一是犯罪控制理念引领下，我国刑事诉讼规范重“用”而轻“护”；二是技术赋能下，侦查措施性质被错误界定以及不当放权；三是欠缺个人信息全流程保护机制和外部监管机制规范。

（一）刑事侦查领域个人信息保护的规范脉络

我国《刑事诉讼法》对个人信息保护主要沿循两条基本脉络展开，一是遵循《宪法》第40 条规定，将侦查机关收集使用犯罪嫌疑人及涉案人员通信信息的方式方法纳入法治框架，避免“公民通信自由和通信秘密”受不当干预；二是从保障刑事司法人权和诉讼安全角度出发，对刑事诉讼当事人及其他涉案人员的隐私信息予以保密。

1.个人通信信息的程序法保护
 

《宪法》第 40 条规定，我国公民享有通信自由和通信秘密的基本权利。其中，通信秘密是指通信主体之间交换信息的内容，包括邮件、电话、电报内容等。对于通信记录，如通信主体姓名、通信号码、通信起止时间与时长、通信地点、通信频次以及 IP 地址等是否属于通信秘密，学界目前尚存争议。主流观点认为，上述通信信息均属于通信秘密范畴。2004年全国人大常委会法工委关于“通话详单”是否属于通信秘密的答复为这一观点提供了法律支撑。通信信息与个人信息存在交集，与已识别或者可识别的自然人有关的通信信息均属于个人信息。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《民法典》在界定个人信息时亦将“通信通讯联系方式”“电话号码”“电子邮箱”等通信信息纳入列举范畴。但是，通信信息并非绝对不可被收集使用。考虑到国家安全保障与犯罪侦查活动需要，《宪法》专门为公安机关和检察机关收集使用公民通信信息设置了例外情形，由此构成了《刑事诉讼法》相关侦查措施干预基本权利的上位法依据。侦查机关干预公民通信自由和通信秘密主要集中于两个方面：一是为收集证据、查清案件事实而采取的通信监听措施，包括通信技术侦查与向通信公司调取通信记录。对于前者，《刑事诉讼法》从适用范围、批准程序、适用期限、信息保密与销毁等方面予以严格限制。对于后者，《公安机关办理刑事案件程序规定》明确规定了侦查机关的信息调取程序和保密义务。二是为保证诉讼顺利进行而对犯罪嫌疑人实施的通信监控例如，限制被取保候审、监视居住的犯罪嫌疑人的通信自由等。根据采取强制措施的不同，立法对犯罪嫌疑人通信秘密和通信自由的干预也有所不同。

2.个人隐私信息的程序法保护
 

隐私是指自然人不愿受外界侵扰的私人领域，包括私密空间、私密活动与私密信息。隐私信息，即对私密空间、私密活动、私密部位等隐私事实的信息化表达，是处于事实层的隐私在信息层上的投射。虽然《刑事诉讼法》等法律规范并未明确当事人在刑事诉讼中享有隐私权，但这并不意味着《刑事诉讼法》不保护当事人的个人隐私。例如，在证据收集和调取，技术侦查措施的实施方面，立法明确要求侦查人员严格保守公民的个人隐私，并对侵犯公民私人领域强度更高的措施予以更严格的程序限制。在人身检查方面，立法赋予被害人拒绝侦查人员提取指纹、采集血液、尿液等生物信息的权利。在作证方面对危害国家犯罪等特定类型案件，为了避免证人、鉴定人、被害人因在侦查过程中作证，导致其本人与亲属面临安全危险，立法规定侦查机关有义务对其采取保护措施，其中包括隐匿其真实姓名、住址和工作单位等个人信息；在起诉意见书、讯问笔录等法律文书、证据材料中，可以使用化名等代替证人、鉴定人、被害人的个人信息。

（二）刑事侦查领域个人信息保护规范的基本特征

我国刑事侦查领域个人信息保护规范呈现出以下三方面特征：其一，在保护逻辑上，遵循“隐私权”进路下的个人信息保护，主要保护被害人、证人、鉴定人私生活领域且不愿被其泄露的隐私信息，而较少关注其他类型的个人信息；其二，在保护方式上，强调公权力的自我规制和积极保障；其三，在保护阶段上，侧重个人信息收集阶段的法律保护，而较少关注信息存储、运输等阶段中可能存在的信息失守问题。

1.保护逻辑：“隐私权”进路下的个人信息保护
 

无论是个人通信信息，还是个人隐私信息，《刑事诉讼法》对其保护方式多为“保密”，包括积极意义上的“应当保密”（第 54 条、第 152 条），“应当为他保守秘密”（第 111 条），以及消极意义上的“不公开真实姓名、住址和工作单位等个人信息”（第 64 条），“必须及时销毁无关材料”（第 152 条）等。由此可见，我国《刑事诉讼法》对个人信息的保护采取了“以禁止为原则，以干预为例外”的隐私权进路，所欲保护之核心在于个人信息中所蕴含的隐私利益。具体而言，在保护对象上，其只保护涉及自然人私生活领域且不愿被其泄露的可识别信息，并不关注其他大部分个人信息：在保护方式上，更强调公权力机关的程序恪守义务，个体很难积极主动行使权利防范侵害的发生；在保护程度上，体现为一种“全有或全无”的绝对式保护；在保护主体上，主要体现为对被害人、证人、鉴定人的隐私保护，较少涉及犯罪嫌疑人。

实践表明，现行《刑事诉讼法》中的“隐私权”保护进路既无法为公民个人信息提供周全的保护，也没有意识到个人信息的真正含义。事实上，不同于个人隐私信息对“保密”的严苛需求，个人信息并不排斥公权力的介入。相反，个人信息作为社会资源的重要组成，本身即蕴含着促进社会发展之重要价值。在刑事侦查领域，这一价值即体现犯罪预防和控制。是故，个人信息保护之应然逻辑为“以合理干预为原则，以限制为例外”，鼓励侦查机关合法合理有效利用个人信息，以保障社会的安全与秩序。

2.保护方式：强调公权力的自我规制与积极保障
 

纵观我国刑事侦查领域个人信息保护的具体方式，可以归纳为以下两类：一是授权侦查机关收集、使用公民个人信息，以及强调有关单位、个人的配合义务；二是要求侦查机关在刑事侦查过程中履行保密义务。上述两种方式都离不开侦查机关的自我控制，包括自我注意保护个人信息，自我规制收集数量与范围，以及自我防范个人信息外泄。有学者将这种保护概括为“国家义务型保护模式”。这种模式具有以下三个特点：其一，强调国家机关的保密义务却较少提起未履行义务导致秘密泄露后的责任承担。例如，在众多法律规范中仅《最高人民法院关于适用（中华人民共和国刑事诉讼法〉的解释》第 55 条规定了国家机关在查阅、摘抄、复制案卷材料时泄露个人隐私后应当承担的法律后果。其二，个人信息保护以安全价值为导向。如《刑事诉讼法》唯一提及“个人信息”处是在证人及其近亲属的特殊保护条款，旨在以隐匿个人信息的形式，避免其在侦查作证中“人身面临危险”。这种情境下的个人信息保护，更多体现了立法对诉讼参与人的人身安全与诉讼制度顺利进行的保障，而非强调信息主体能够自我控制或决定个人信息。其三，公民权利难以彰显。个人信息能否得到保护，主要还是依赖国家机关及其工作人员是否履行了隐私信息的保密义务与无关信息的销毁义务，作为信息主体的公民难以自动开启对其个人信息的隐私权保护。

3.保护阶段：侧重个人信息收集行为的法律规范
 

《个人信息保护法》第4条第2款列举了8种个人信息的处理行为，包括收集、存储、使用、加工、传输、提供、公开、删除。在刑事侦查领域，侦查机关处理个人信息亦会涉及这些行为。目前我国《刑事诉讼法》主要规范了侦查机关的个人信息收集行为，对其他行为较少关注。以生物信息为例，《刑事诉讼法》规定了收集条件和程序，并明确赋予了侦查人员在犯罪嫌疑人拒绝情形下的强制提取权力；《公安机关办理刑事案件程序规定》对侦查人员强制提取予以程序限制，要求经办案部门负责人批准后方可进行。由此可见，法律一方面赋予了侦查机关几乎无限的、不受任何监管的个人生物信息采集权利，另一方面却没有对采集后生物信息如何处理进行规定。公安机关如何存储生物信息个案检测中的生物信息是否会永久存储于公安信息系统，供未来侦查使用；如果公民被排除犯罪嫌疑，该生物信息是否会被删除等问题都尚待立法予以明确。

（三）刑事侦查领域个人信息保护不力的系统分析

我国刑事侦查领域个人信息使用与保护存在一定程度上的失衡，主要原因有三，一是刑事诉讼立法与司法实践在犯罪控制理念引领下，重视个人信息使用，而忽略了对个人信息的保护；二是传统刑事诉讼法难以应对科技的进步与发展，技术赋能下的侦查措施存在性质界定问题与不当放权问题；三是个人信息保护意识的缺位，导致我国没有设置刑事侦查领域个人信息全流程保护机制和外部监管机制。

1.犯罪控制理念指引下的重“用”轻“护”
 

埃米尔·迪尔凯姆曾言：“犯罪对于人类社会而言，就如同人体的疾病，是一种合乎规律并难以避免的客观存在和常态现象。”不过，国家打击犯罪亦不能以侵害公民权益为代价。如何衡量二者的关系成为现代国家关心的焦点在刑事侦查领域，个人信息兼具双重角色，其一面是侦查机关查清案件事实的重要线索与武器，在预防和控制犯罪中发挥巨大作用，一面是公民个人信息权益的客体，是刑事司法人权的新成分。是选择最大化程度利用个人信息，还是选择保护公民个人信息，背后蕴含了刑事诉讼立法的价值倾向。

审视我国刑事诉讼法治，在内容层面，对侦查机关处理个人信息的授权远大于对公民保护个人信息的赋权；在程序层面，关于侦查机关处理个人信息的程序多属于犯罪控制模式，强调侦查效率，主张尽量扩大与容忍侦查权，以发挥个人信息的“武器”作用。譬如在监听监控类技术侦查措施方面，尽管法律对其予以限定，但仍然存在整体适用条件模糊、“根据侦查需要”不明确、审批程序过于笼统、救济规定不明等问题。相较于一般侦查措施，技术侦查措施更有利于侦查机关收集公民私生活领域内的信息，而宽松的立法无疑“鼓励”侦查机关扩大使用技术侦查措施，通过秘密手段收集更多个人信息。在计算机取证方面，《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第8条允许侦查机关“一体收集”电子数据，即在收集电子数据的同时，封存扣押其原始存储介质。问题在于，原始存储介质中的电子数据所承载的个人信息量巨大，不仅包括侦查机关所需要的涉案信息，还包括与案件无关的其他个人信息——特别是笔记本电脑、平板电脑、智能手机等私人电子设备，存储有信息主体大量的敏感信息。在“一体收集”之下，无论是侦查人员在客观层面难以对混杂并存的信息予以区分，还是为了获得更全面翔实的电子数据主动扩大收集范围，都有侵害公民非涉案信息上承载的个人信息权益之虞此外，侦查机关在线提取、远程勘验等电子数据侦查措施均被规定为任意性侦查措施，以便于侦查机关绕开强制措施的程序性限制，更高效、便宜地获取信息。

帕克教授在描述犯罪控制模式时指出，“执法活动如果不能将犯罪行为置于严密的控制之下，会被视为将导致公共秩序的崩溃，从而丧失人类自由的一个重要条件。”受这种理念影响，为了保障信息社会秩序的稳定，发挥个人信息的侦查优势，我国在国家政策层面提出了信息化侦查、大数据侦查、智慧侦查等侦查战略，着手构建各类信息数据库，不断推动科技与侦查的紧密结合创新侦查措施，以获取更多数量、更广范围、更深层次的个人信息。正是由于刑事诉讼立法及国家政策对个人信息利用的倚重，致使个人信息保护在刑事侦查领域受到一定程度的忽视，出现“用”与“护”严重失衡的情形。

2.技术赋能下侦查措施的性质界定问题与不当放权
 

信息技术的高速发展，既提升了人们生活的便捷程度，也增强了国家控制犯罪的能力。然而，建立于传统农业、工业社会的刑事司法制度却面临来自信息社会方方面面的挑战。由于立法具有滞后性，目前我国《刑事诉讼法》对侦查措施的认定与规制尚停留在传统时代，未能有效回应技术赋能下侦查权的隐秘扩张，致使公民个人信息权益受到损害。具体而言，主要体现为以下两个方面。

（1）个人信息收集行为的性质界定问题。
 

侦查措施是一个动态发展的多元体系，理论上可以将其分为任意性侦查措施和强制性侦查措施。前者是指以相对人同意或承诺为前提进行的侦查行为，后者则不受相对人意思表示约束可以强制实施。由于强制性侦查措施对公民的侵害性大，立法通常会对其适用条件、审批程序、监督等多方面予以严格规定；而任意性侦查措施由于侵害性轻微，立法未对其进行特别规定，如何实施可由办案人员自行决定。我国是以具备有形的强制力来界定侦查措施性质的重要标准。然而，这一标准却难以对技术赋能下的新型侦查措施予以规制。

利用个人信息定位追踪犯罪嫌疑人是当下侦查机关常用的侦查手段。GPS 定位、手机基站定位、网络地址定位均为侦查机关获取犯罪嫌疑人的行踪轨迹信息提供技术支持。通过这些信息，侦查机关不仅能知晓犯罪嫌疑人的出行规律与重要停留，还能完成对其私人生活轮廓的重构。更重要的是，侦查机关无须获得相关人员的同意，即能够以和平、无形的方式实施这些手段，包括但不限于秘密安装 GPS 定位器，向汽车租赁公司、通信公司调取信息，向网警部门调取网络地址定位。基于此，纵使这些侦查措施在侵入力度上堪比搜查扣押等强制性侦查措施，发挥着与监控类技术侦查措施相同的功能，立法也鲜有将其界定为强制侦查措施。实践表明，对于 GPS定位监控，侦查机关大都按照一般性侦查措施的要求实施，法院也未将其所收集到的证据予以排除：对于通信记录调取，绝大部分侦查机关也将其视作任意性侦查措施。由此可见，由于立法未能及时应对侦查措施的迭新，只能放任侦查机关“走小道”，致使侦查权无限扩大，公民的个人尊严、自由、隐私权与个人信息权益受到严重威胁。

（2）个人信息收集的不当放权。
 

个人信息收集的不当放权主要体现在以下两个方面：第一，获取门槛过低侦查人员较易获得公民的个人信息。以信息查询为例，根据《公安机关信息共享规定》，所有警员均可以登录使用公安信息服务平台，查询“人员、案事件物品、地址（场所）、组织的名称、编码等具有标识性、基准性特征的信息”以及在相关的情况下查询人员活动轨迹、物品流动痕迹等信息。易言之，依托公安大数据平台和各类信息共享渠道，侦查人员可以“一键”查询该平台上的所有信息，信息获取的便捷性直线上升。事实上，这里所称的“信息查询”实际上就是“证据调取”措施。信息技术的发展，节省了侦查机关为获取第三方信息制作调取通知书的流程，让原本限制就不多的措施变得更为容易操作。虽然公安机关对信息检索设置了密钥权限，但这种限制多为纪律约束，且监督效果较差，公民个人信息依然存在被不当调取，乃至任意调取之风险。

第二，立法的阙如导致侦查机关收集信息容易过度。以 DNA 信息为例，该信息具备两个特征，一是唯一性，通过 DNA 信息能够准确指向某一特定主体：二是家族性，通过 Y-STRs DNA数据库搜索，比对被检测男性 Y 染色体 STRs特征，能够确定或排除被检测者所有父系亲属的犯罪嫌疑。对于这一高度敏感的个人信息，立法非但没有对信息收集的范围予以规定，还明确犯罪嫌疑人“规定进入办案区后，一律先进行人身检查和信息采集”，无论其是否确有犯罪。多地甚至明文规定这些 DNA 信息将为以后侦查机关在其他案件中提供信息支撑。在犯罪控制理念的引导下，DNA 信息还呈现出撒网式检验或普检态势，很多并无犯罪嫌疑的公民也多被要求提供 DNA 信息。例如，为侦破“山东某学院一起宿舍失窃案”，侦查机关采集了校内五千余名男性学生的 DNA 信息；为侦破“武汉女学生遇害案”，侦查机关也采集了周围高校千余名男性师生的DNA 信息。

（四）个人信息全流程保护机制与外部监管机制的缺位

在信息化和大数据广泛运用侦查实践的今天，收集个人信息仅为侦查机关信息处理过程的一环。为了查明犯罪事实，侦查机关还会通过数据挖掘、碰撞等方式进一步分析、整合、研判信息；与其他部门信息相互流转，共同打击犯罪；将结构化信息上传至公安大数据平台，为后续侦查提供信息资源。然而受到职权主义影响，目前我国刑事诉讼立法对个人信息的规范集中于侦查机关收集阶段，对侦查机关掌握信息后如何使用、存储等并不关心。个人信息保护并不是阶段性工作，而应贯穿整个刑事侦查过程。只有对侦查机关处理个人信息的不同行为予以明确，才能够防止公民为打击犯罪、维护社会秩序让渡给国家的个人信息不被不当干预。

外部监管机制的缺位也是我国刑事侦查领域个人信息保护不力的重要原因一方面，虽然《刑事诉讼法》反复强调侦查机关的个人信息保密义务，但均未涉及如果侦查机关没有履行义务应当承担何种责任、当事人如何救济等。另一方面，我国对于侦查机关收集个人信息的授权和监督以内部控制为主。内部控制固然有直接、简单、便捷等诸多好处，但由于内部成员在思维方式、行动偏好等方面具有同一性，同时受到利益关系、人情世故等影响，监督效果不可避免容易打折扣。此外，相较于域外司法审查环节，我国法院对侦查机关侦查取证措施的监督较为狭窄，主要集中于证据的合法性审查，尤其是取证方式是否合法、取证流程是否规范、取证手续是否齐全，并不涉及对侦查机关取证行为选择的评价，因而也难起到监督侦查机关收集个人信息的作用。

四、我国刑事侦查领域个人信息保护规范的体系建构

鉴于信息化侦查、大数据侦查、智慧侦查的发展已成必然且势不可挡，应当及时消弭个人信息作为国家预防、打击犯罪重要“武器”之角色与个人信息作为公民法定个人信息权客体之角色间的抵牾，在控制犯罪与个人信息保护之间实现平衡。为此，建议以《个人信息保护法》的实施为契机与参照，从基本权利保障角度出发，积极落实国家的个人信息保护义务，构建符合刑事诉讼内在价值与规律的个人信息保护规则，避免侦查权以隐秘的方式侵犯公民个人信息自决，实现数字时代惩罚犯罪与保障人权的并重。

（一）作为基本权利的个人信息权
 

个人信息权是否为宪法所确立的一项基本权利？这关乎个人信息权的保护范围与保护力度。如果此问题被证成，个人信息权的保护范围应当延伸至各部门法领域，包括刑事诉讼法。这必然会对侦查机关收集使用公民个人信息产生直接规制。反之，个人信息保护的论域则将主要停留在私法领域，难以对国家机关行为产生约束力。本文认为，个人信息权应属于宪法确立的公民基本权利：国家保护个人信息权之义务需涵摄至刑事侦查领域。理由如下。

首先，个人信息权具有宪法保护的必要性。一方面，个人信息不仅影响公民个体的自我认知与社会评价，还与人身、财产、隐私、自由等重要价值深度联结。保护个人信息，事实上是对蕴含在个人信息中所有价值的“一揽子”保护。倘若保护不力，可能会引起广泛的基本权利波动。另一方面，随着国家数字化的推进，国家机关已成为个人信息最大的控制者与处理者。普通权利保护难以抵御公权力对个人信息的不当利用。在信息技术的加持下，国家机关能够轻易获得公民任何信息，给私人生活自由与安宁带来隐忧。为了防御国家对公民个人信息的不当收集与滥用，为公民人格尊严和自由发展留下必要空间有必要从宪法层面为个人信息提供保护。

其次，个人信息权具备基本权利的性质和功能。所谓基本权，是公民最为基本、最为重要的权利，是人生而为人的本源性权利。德国宪法学理论认为，基本权利具备“主观权利”与“客观法”的双重属性。前者是指基本权利具有要求国家停止侵害的主观防御功能；后者是指国家需要承担相应的保护义务，包括制度保障，组织保障和程序保障等，以维护公民基本权利。审视个人信息权，一方面，《个人信息保护法》第二章第三节要求国家机关承担不得超出法律规定的处理个人信息的消极义务，体现了基本权利的“主观权利”面向；另一方面，《个人信息保护法》围绕基本原则、信息主体权利、信息处理者与控制者义务等内容构建起个人信息保护法律体系，并同《民法典》《刑法》等多部法律一起初步建立起侵害个人信息的救济机制，体现了国家积极履行个人信息保护义务，承担起“客观法”之保障功能。

最后，将个人信息权作为基本权利于法有据。《个人信息保护法》第1条明确“根据宪法，制定本法”，即证明对公民个人信息权的保护来源于《宪法》。虽然《宪法》没有特别列明个人信息权，但是可以从既有法条中推演出这一权利。宪法和法律委员会在《中华人民共和国个人信息保护法（草案）》审议结果的报告中将个人信息保护关联至三个基本条款，分别是“国家尊重和保障人权”“公民的人格尊严不受侵犯”，以及“公民的通信自由和通信秘密受到法律保护”。其中，人权条款将人权视为个人信息权的宪法基础，难以为实践提供具体指引；通信自由与通信秘密条款保护范围有限，仅限于个人通信活动所形成的通信信息；人格尊严条款可以覆盖所有个人信息，为个人信息权提供宪法基础。

（二）刑事侦查领域个人信息保护的基本原则

2021 年我国《个人信息保护法》正式颁布，在第二章第三节中明确提出“国家机关处理个人信息的活动，适用本法；本节有特别规定的，适用本节规定。”侦查机关作为国家机关自然也不例外。但是，刑事侦查领域个人信息保护具有特殊性。一方面，个人信息保护与刑事侦查在原则上存在抵牾，如个人信息保护以公开透明原则、“知情—同意”原则为核心，要求信息处理遵循目的限制原则，而刑事侦查强调“谋成于密败于泄”，需要侦查人员根据不同情势随机应变，及时调整侦查策略和信息处理目的。另一方面，虽然刑事侦查与个人信息保护存在冲突，但二者不完全处于对立面，如二者均强调个人信息收集使用应当于法有据，符合比例原则以及特殊主体保护原则。刑事侦查的特殊性要求个人信息保护制度在融入侦查场景时应当“量体裁衣”。

1.禁止滥用：目的限制原则
 

根据《个人信息保护法》第6条规定，处理个人信息应当遵循目的限制原则。在侦查场景中，目的限制原则旨在限制侦查机关恣意收集使用公民个人信息，避免侦查权滥用。具体而言，该原则对侦查机关收集使用个人信息之目的提出三方面要求：首先，侦查机关收集使用个人信息之目的必须明确、合理。其中，“明确”包含两层含义，一是目的之提出具有特定性，即围绕个案具体侦查行为展开，而非“预防和打击犯罪”之泛泛目的；二是目的之表述必须清晰、准确，能够阐明侦查机关收集使用信息具有合法性、正当性以及充分的必要性。“合理”则对侦查机关收集使用个人信息的范围与程度提出要求，以对个人权益影响最小化为原则，不得过度收集使用个人信息。其次，侦查机关使用个人信息的目的与收集该个人信息的目的应基本保持一致。从个人信息保护角度出发，目的限制原则通过提供客观的法律尺度，帮助信息处理者预知信息处理活动中存在的风险并做好防范工作；而保持信息处理活动目的的一致性有利于将信息后续处理活动所产生的风险限制在初始目的范围内。然而在侦查场景中，要求收集使用个人信息目的保持绝对一致并不现实。侦查本身即具有不确定性，任何信息的出现都可能导致侦查方向与侦查策略的转向，进而导致信息使用目的、方式的变化。因此，为平衡个人信息保护与控制犯罪，应当允许侦查机关对已收集个人信息的使用予以适度调整；但该适度调整仅限于同一案件之中，且以查明案件事实、收集证据、查获犯罪嫌疑人为根本追求。换言之，侦查人员不得将为侦破本案所收集信息直接用于他案，更不得基于侦破本案以外的其他目的对所收集信息进行不必要的挖掘与分析。最后，当侦查机关在使用个人信息时发现新线索，需要扩大信息收集范围，或者收集信息与使用信息在目的上存在显著差别，应当依照法定程序重新提出申请。

2.合理使用：比例原则
 

不同于隐私权的禁止逻辑，个人信息权强调使用逻辑，以允许合理使用为原则，限制使用为例外。保护个人信息的核心在于促进个人信息的有效、依法利用，避免个人信息被不当、非法使用。个人信息使用逻辑对侦查提出两方面要求，一是鼓励侦查机关依法积极使用公民个人信息，查明案件事实、缉捕犯罪嫌疑人，实现犯罪控制之公共利益；二是禁止侦查机关随意收集使用公民个人信息，个人信息处理行为必须在必要限度之内。比例原则为如何把握“必要限度”提供了理论工具。在侦查场景中，比例原则要求侦查机关干预个人信息权之手段与其所欲实现之正当目的之间形成合理的、成比例的关系。一般认为比例性原则包括三个子原则，分别是适当性原则、必要性原则和均衡性原则根据适当性原则，侦查机关不得加以区分地大规模收集个人信息，也不得在目的已经达成、不复存在或者失去正当性基础的情况下继续收集或使用个人信息根据必要性原则，侦查机关启动强制性措施必须非常慎重，非必要不得启动均衡性原则，又称为狭义的比例性原则，是指强制性侦查措施对公民个人信息权益造成的损害应与其保护的公共利益成正比。例如，相较于涉嫌轻罪的犯罪嫌疑人，对于涉嫌重罪的犯罪嫌疑人可以采取个人信息权益干预程度更高的侦查措施。

3.区别保护：区分对待原则
 

刑事侦查涉及之人及其个人信息的种类众多，如均予以相同程度的保护要么可能导致个人信息被滥用、侵害公民个人信息权，要么可能导致过度限制侦查机关，影响犯罪打击效率。有鉴于此，应当加强对个人信息的区别保护。

第一，区分不同类型的信息主体。在侦查场景中，对不同类型的信息主体提供保护，既是因为各类信息主体对个人信息保护有不同需求，也是为与刑事诉讼区分不同类型诉讼参与人的逻辑一脉相承。对被害人和其他诉讼参与人的个人信息干预强度一般应当低于犯罪嫌疑人、被告人。

第二，区分一般信息、敏感信息和隐私信息。《个人信息保护法》根据信息的敏感度，即造成侵害或危害后果上的容易性，将个人信息区分为“一般信息”与“敏感信息”。相较于一般信息，个人敏感信息与个人人身、财产安全及名誉存在显著关联，一旦泄露或者非法使用，会给当事人身心、名誉招致严重后果。因此，《个人信息保护法》对处理敏感信息设置了更为严苛的处理规范。这种分类保护的方式可以在侦查场景中沿用。例如，侦查机关仅能够在立案后的侦查阶段处理公民敏感信息：对侦查机关收集、比对、挖掘敏感信息的相关措施，应当设置更高的行为的启动条件等。此外，根据信息是否存在隐匿性需求，还可以分为隐私信息与个人信息。隐私信息是隐私权的保护范畴，关涉个人私生活的安宁；个人信息是个人信息权的保护范畴，关乎人格尊严。《民法典》分别就隐私信息和个人信息设置了不同的保护规则。从内容上看，隐私信息与敏感信息存在交集，如生物信息、通信信息等既属于隐私信息，也属于敏感信息：但二者也并非完全重合，如公民的个人癖好属于隐私信息，但并非敏感信息；公民的行踪轨迹属于敏感信息，但不属于隐私信息。在侦查场景中应当对一般信息、敏感信息、隐私信息提供不同程度的保护。前两者遵循个人信息权“合理使用”逻辑；后者则遵循隐私权“限制使用”逻辑。如果某一信息兼具隐私信息与敏感信息的双重属性，应当优先将其纳入隐私权保护框架予以更严格的保护。

（三）刑事侦查领域个人信息保护的制度构建

刑事侦查领域个人信息保护的制度构建，可以从以下三个方面着手：一是引入具体权利内容，并根据侦查场景对权利内容予以调试：二是建立程序保障机制，包括事前审批机制、事中监督机制和事后救济机制；三是完善配套制度建设，包括加强信息安全管理机制建设、规范侦查机关信息调取机制、建立侦查阶段信息存留机制。

1.引入具体权利内容
 

诚如前文所述，我国目前刑事侦查领域个人信息规范呈现出“授权多于赋权”特征，并未为公民积极维护其个人信息权提供渠道。为了将个人信息保护理念融入侦查场景，实现《个人信息保护法》与《刑事诉讼法》的衔接，应当赋予信息主体知情权、信息访问权、更正权与删除权等权利。需要注意的是出于维护国家安全、社会公共利益的需要，在引入个人信息具体权利时需要对权利内容预先予以调试。

第一，知情权。知情权是个人信息保护制度的基础。但现有刑事诉讼法规定的告知制度仍存在完善的空间。对此，有学者提出构建“告知—延迟告知—不告知”层级化告知制度，也有学者提出“概括告知—特定告知—事后告知—不告知”的知情权保障体系。本文认为，在侦查场景中，应当建立以告知为原则，不告知为例外的个人信息保护制度；告知以不阻碍侦查为前提。如果在信息处理前或过程中告知信息主体会影响侦查活动，那么可以在具体信息处理工作结束后，乃至刑事诉讼结束后告知信息主体：如果信息来源为卧底或证人，出于保护其他人人身安全等目的，可以不予告知。同时，告知内容应当与《个人信息保护法》第 17 条规定相一致，即包括信息处理者名称、姓名、联系方式、个人信息的处理目的、处理方式、保存期限、个人行使权利的方式和程序等。

第二，信息访问权。信息访问权是信息主体在个人信息保护方面最主要的程序性权利，其内涵是从信息控制者或处理者得知其个人信息被使用的情况。在侦查场景，信息访问权是对数字时代辩护权的完善。质言之，虽然我国《刑事诉讼法》第40 条赋予了辩护方阅卷权，但阅卷之内容只限于诉讼文书和证据材料，较少涉及侦查机关收集使用个人信息的方式。而信息访问权以个人信息为对象，更有利于帮助信息主体知晓自己权利被干预的情况，以及公诉方所出示证据的来龙去脉。

第三，信息更正权与删除权。当信息主体发现侦查机关所掌握的其个人信息乃是不完整、不准确甚或存在错误时，有权主动向侦查机关提出更正需求有关部门应当及时核实查证，对不完整的信息予以补充，对过时的信息予以更新，对错误的信息予以修改，并将更正结果告知信息主体。此外，当信息收集使用之价值已经实现且存留期限届满后，有必要赋予信息主体删除其个人信息的权利，以避免侦查机关在无正当理由的情况下反复利用。目前，《刑事诉讼法》仅要求侦查机关及时销毁通过技术侦查措施所获取的与案件无关材料的规定，有必要将范围进一步拓宽至与案件有关的信息（尤其是个人敏感信息）。

2.建立程序保障机制
 

侦查程序具有两项社会功能，一是权力制约，二是权力正当化。数字时代由于侦查权往往带有扩张性与攻击性，侦查机关处理个人信息的行为往往伴随着对公民个人信息权的侵犯。是故，为实现犯罪控制与个人信息保护之价值平衡，有必要设置科学、合理的程序规范侦查机关收集使用个人信息，一方面将恣意的侦查权通过程序予以限制，另一方面也能为侦查机关处理个人信息提供正当化基础。具体而言，程序的设置可简略分为以下三个部分。

第一，事前审批机制。在侦查机关收集使用个人信息前，应当根据行为阶段、行为类型、信息的类型与数量设置不同层级的审批程序，包括适用案件范围、审批机关、审批层级、审批手续、期限等。侦查机关处理个人信息的行为对公民个人信息权益的侵害愈大，适用该行为所面临的审批程序自然也就更为严格。如从信息的类型与数量来看，个人信息的敏感程度越高、数量越大，程序设置越严格；从行为类型来看，相较于单纯个人信息收集行为，侦查机关对个人信息进行多维整合、数据画像的审批程序更严格。

第二，事中监督机制。检察机关作为《宪法》第 154 条明确规定的法律监督机关，有权也有义务对侦查机关处理个人信息的行为予以监督。考虑到个人信息的数字化特征，为避免数据被修改或删除，侦查机关应当对个人信息处理全程予以完整记录，并保留操作日志，在侦查终结后随案卷材料一并移送检察机关。

第三，事后救济机制。对因侦查机关处理个人信息而导致隐私权、个人信息权等受到不当侵害的公民，赋予其救济的权利，包括向公安机关投诉和向检察院控告。如果侦查机关收集使用公民个人信息不符合法定程序、可能严重影响司法公正的，且不能补正或作出合理解释的，则可申请适用非法证据排除规则，消解该证据的证据能力。

3.完善配套制度建设
 

加强刑事侦查领域个人信息保护，不仅需要增加制度供给，还需要完善制度配套。具体而言，可以从以下三方面着手：

第一，加强信息安全管理机制建设。公安信息化系统的全面建成，一方面给侦查工作提供了便利，但同时也产生了个人信息安全风险。司法实践中也存在个人信息在案件侦办阶段被意外泄露的事件。因此，有必要加强对个人信息的安全管理，包括建立一支专业的安全管理队伍、定期升级防火墙与入侵检测技术、在每一个服务器与计算机中建立防毒系统、提高侦查人员信息安全意识等，以尽最大可能防御黑客侵入公安信息平台，窃取、篡改或删除公民个人信息，或者内部人员因操作不规范导致信息外泄

第二，规范侦查机关信息调取机制。鉴于向第三方机构调取信息已成为数字时代侦查机关获取公民个人信息的重要途径，为了确保公民因参与社会生活而让渡的个人信息不被侦查机关无理收集或滥用，有必要规范信息共享平台建设，明确侦查机关与第三方机构之间的信息调取机制。具体内容包括：首先，统一侦查机关申请调取的方式，完善信息对接渠道；其次，根据敏感度将个人信息予以分类，明确侦查机关可以任意调取，或者必须依令状调取的信息范围；最后，建立信息先行调取机制和绿色通道，保证侦查机关在紧急情况下能够及时调取相关信息，避免因渠道不通畅而导致犯罪后果扩大，损及社会公共利益。

第三，建立侦查阶段信息存留机制。信息存留制度的核心在于确立信息存留时间。根据信息删除权要求，对于已办结案件中的个人信息，侦查机关应当在信息存留期限届满后及时销毁。目前，我国《网络安全法》仅从信息安全保护角度出发，规定了网络运营者留存义务，即应当至少留存载有“采取监测记录网络运行状态、网络安全时间的技术措施”的网络日志6个月，并不涉及国家机关信息存留问题。从域外立法来看，关于信息存留期限的规定有两种模式：一类是不分信息类型，对信息存留时间予以统一设置，例如，澳大利亚《电信（拦截和访问）修正（数据存留）法案》规定了2年的固定存留期限；《荷兰电信法案》要求固定留存交通信息和位置信息 12个月。另一类是根据信息类型设置了不同的信息存留时间，例如，德国成年人信息存留时间为 10年、青少年5年、儿童2年。本文认为，可以参照第二类立法模式，根据信息类型，在综合考量信息敏感程度、信息存留成本等因素后，合理设置信息留存期限，避免侦查机关超越目的滥用个人信息，保障公民个人信息权。

来源：中外刑事法学研究

作者：贾紫涵，中国人民大学诉讼法学专业博士研究生