尚权推荐SHANGQUAN RECOMMENDATION

关键词： 司法鉴定；数据安全；风险防控

伴随人类社会快速进入信息化时代，自然人兼具物理人与信息人双重身份，这使承载信息内容的数据价值凸显。“数据作为一种新的生产要素，正在快速融入生产、交换、分配和消费各个环节。”[1]鉴于此，世界各国对数据安全的重视与日俱增，相关立法亦及时跟进，欧盟于2018年制定并实施《通用数据保护条例》（General Data Protection Regulation），这部法律迅速成为最具影响力的数据立法。日本于2022年出台《个人信息保护法修正案》，该法案对于个人和企业数据的权利和权限进行了详细规定。“数据安全是事关国家安全与经济社会发展的重大问题，国家应全面承担起保障数据安全职责。针对数据安全面临的严峻形势，各国在立法或执法实践中均赋予数据处理者数据安全保护责任，明确了数据处理者保护数据安全的法律义务。”[2]从已有域外数据安全立法内容来看，各国均对数据进行了全生命周期管理，即对数据的产生、收集、存储、传输、应用等环节进行法律保护。同时，各国亦强调立法对数据内容中涉及的个人隐私予以保护，防止个人信息泄漏、滥用，明确数据主体法律义务责任。

为应对当前的数字化时代，我国自2017年开始强化数据安全领域立法。“党的十九届四中全会明确将数据作为新的生产要素。与此同时，数据安全问题也成为全社会在数字化转型过程中必须面对的基础性问题。”[3]2017年施行的《网络安全法》对互联网安全伦理进行全面规制，而2021年施行的《数据安全法》则是继《网络安全法》之后又一部关于数据安全的单行法。《数据安全法》在规定数据权利的同时，还规定了数据主体的安全义务。2022年中共中央、国务院发布了《关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称《数据二十条》）。该文件要求探索有利于数据安全保护、有效利用、合理流通的产权制度和市场体系。2021年我国《个人信息保护法》正式实施，这是我国在个人数据安全领域的基本法，也是个人数据安全保护法律体系的基本框架，立法明确规定了个人信息内涵、外延和个人信息保护原则，以及敏感个人信息处理规则。

以上我国和域外数据安全立法表明个人信息和数据安全在信息化时代面临的潜在风险，在国家法律框架内规制数据主体收集、存储、使用个人信息已成为企业和机构应当承担的社会治理责任，遵法守规才能使企业和机构规避法律责任。“数据存在的唯一价值就在于利用，数据技术的目的就在于利用数据。在此基础上，数据安全的价值取向也必然不单纯是数据的安全，更重要的是数据开发利用和产业发展。”[4]司法鉴定机构在开展司法鉴定活动过程中，用于解决专门性问题的案件资料中包含了大量敏感数据，而这些数据和相关个人信息的安全就构成司法鉴定机构数据安全工作的法律义务。

当前，关于司法鉴定机构数据安全问题的研究尚属空白，但该问题已成为司法鉴定领域亟需解决的风险点。因此，本文将从四个方面讨论司法鉴定机构的数据安全问题。

数据安全本质上是司法鉴定机构针对鉴定活动中案件涉及的敏感数据进行相应的自我规制，也是司法鉴定机构规避法律风险的责任卸除机制。“所谓数据安全保护义务，是指有关组织或个人负有的采取必要措施，保护数据的安全，从而防止未经授权的访问以及数据的泄露、篡改、丢失，并在已经或可能发生数据泄露、篡改、丢失时采取相应补救措施的义务。”[5]这有利于保护个人信息和公共利益，提升司法鉴定机构的社会责任和数据伦理意识。

1.1  法医类司法鉴定

根据2020年司法部发布的《法医类司法鉴定执业分类规定》（司规〔2020〕3号），法医类司法鉴定是指在诉讼活动中，由法医学各专业鉴定人运用科学技术或者专门性知识解决诉讼中专门性问题的活动。根据该规定，法医类司法鉴定可以分为法医病理鉴定、法医临床鉴定、法医精神病鉴定、法医物证鉴定、法医毒物鉴定。法医病理鉴定包括死亡原因、方式、时间判断，损伤时间推断，致伤物推断，致伤机制分析，还包括医疗损害鉴定等问题。其中，关于死亡问题的司法鉴定需要尸体解剖，提取病理学检验所需检材，在此过程中，通常首先进行尸体表面检查，在解剖和检查过程中，为留存相关证据，会拍照或录像固定检验过程。法医临床鉴定是关于人体损伤程度、残疾程度、性侵犯、诈伤、诈病、造作伤、骨龄等方面的鉴定。在进行法医临床鉴定过程中，需要被鉴定人或办案机关提供案件材料和病历资料，而这些司法鉴定的材料和资料包含了被鉴定人和办案机关的大量敏感个人信息，在收集、存储、使用过程中司法鉴定机构具有注意义务，防止滥用和泄漏。法医精神病鉴定事关被鉴定人刑事责任能力和民事行为能力的认定，同时也可对被鉴定人的精神状态、精神损伤、精神伤残进行鉴定和评估。精神状态判定历来是法医精神病鉴定的难点和焦点，不仅鉴定过程、结果认定应当慎之又慎，而且关于被鉴定人开展法医精神病鉴定的个人信息亦应严格封存，防止泄漏。法医物证鉴定主要用于个体识别和亲子关系认定，无论是案件中涉及的个体识别和亲子关系认定，还是普通公民私人委托开展司法鉴定，其结果都关系到个体的刑事、民事责任，甚至关系到家庭关系的稳定。因此，相关案件信息处理应当严格符合法律规定。法医毒物鉴定是对毒物、毒品进行定性和定量分析，由于此类司法鉴定涉及的鉴定内容关乎社会管理秩序和稳定，因而相关案件信息的收集、存储、应用应严格限定，防止泄漏。

1.2  物证类司法鉴定

2020年司法部发布的《物证类司法鉴定执业分类规定》（司规〔2020〕5号）规定了物证类司法鉴定由文书物证、痕迹物证、微量物证等组成，应用相应科学技术原理解决专门性问题。一般地，文书鉴定涉及笔迹鉴定、印章印文鉴定、印刷文件鉴定以及文件形成时间、材料、方式等专门性问题的解决，而此类问题均涉及债权、物权纠纷，或者涉嫌刑事犯罪行为。而案件文书鉴定资料数据涉及的个人或单位敏感信息，应予以妥善保存，防止泄漏，最终的鉴定意见不仅为债权、物权纠纷解决提供证据，也为是否构成刑事犯罪提供依据。在数据安全的总体要求下，针对文书鉴定的规定涵盖了鉴定机构保障鉴定资料数据安全的工作流程和具体举措，其中敏感个人信息存储最为重要，比如被鉴定文书中的债权、物权信息，印章单位信息等敏感、核心数据安全存储。物证类司法鉴定中的痕迹鉴定、微量物证鉴定也是如此，在对案件中涉及的手印、足迹、工具、枪弹、爆炸、火灾等痕迹鉴定过程中，鉴定材料的收集、使用、存储均应防止数据暴露、损坏。上述敏感信息一旦泄露，由于数据本身的可复制性和互联网的传播特点，给个人和单位将会带来不可估量的损害。因此，司法鉴定机构在开展物证类司法鉴定活动中，对于案件资料的数据安全风险应当及时识别。

1.3  声像资料司法鉴定

2020年司法部发布的《声像资料司法鉴定执业分类规定》（司规〔2020〕5号）规定了声像资料司法鉴定范围，主要包括录音鉴定、图像鉴定、电子数据鉴定三大项目。与法医类鉴定、物证类鉴定有所不同，声像资料鉴定涉及到的专门性问题更为特殊，是对相应信息载体中储存的数据真实性、同一性等问题开展鉴定活动。录音鉴定包括了录音处理、录音真实性鉴定、录音同一性鉴定、录音内容分析、录音作品相似性鉴定等问题。在鉴定活动中，检材处理前的原始数据存储，处理录音检材过程全生命周期数据管理是司法鉴定机构数据安全的重要义务。图像鉴定是对图像检材的真实性、同一性、相似性等问题进行检验和分析，同样必须妥善保管图像原始数据，在此基础上开展鉴定活动。“现阶段我国开展的电子数据司法鉴定科目并不统一，但大体上都包括数据搜索、数据挖掘、数据恢复等主要内容。”[6]电子数据作为我国“三大诉讼法”规定的法定证据种类之一，对于案件事实认定作用独特。电子数据鉴定主要是司法鉴定人运用信息科学技术和专门知识对电子数据的存在性、真实性、功能性、相似性等专门性问题进行检验分析。其中，最重要的问题就是电子数据的鉴真问题，亦即电子数据的提取、固定、恢复、修改过程中的存储介质和电子设备关联性分析。作为司法鉴定机构，声像资料鉴定应当承担的数据安全义务更多，因为这些数据信息在流转过程中出现疏漏可能会导致数据灭失，案件事实无法得到证明。

1.4  环境损害司法鉴定

2019年司法部、生态环境部发布的《环境损害司法鉴定执业分类规定》（司发通〔2019〕56号）将环境损害司法鉴定分为七大类事项，旨在采取监测、检测、现场勘察、实验模拟等方法解决环境污染、生态破坏诉讼中的专门性问题。这些专门性问题包括污染物性质鉴定、环境损害性质、因果关系、环境污染治理成本、生态环境修复方案等。通常情况下，生态环境数据信息的采集、存储、运用主体为生态环境行政管理部门，这些数据信息类型复杂、专业性强、数据数量庞大、分布广泛，因而对数据信息全生命周期管理提出了更高要求。司法鉴定机构接受鉴定委托后通常需要进一步调取相关资料才能开展鉴定工作，这是因为环境损害司法鉴定的特殊性在于案件所属区域的自然环境、社会环境基本数据，如气候资料、土地使用情况、水体基本样态等均在政府行政部门，还有涉案企业的污染物产生、排放、查处情况以及环境生态持续性检测报告等数据大多也为不公开数据资料，这就需要案件委托部门协助调取。对于环境损害司法鉴定中固定证据形成的电子数据和视听资料更应该保证其数据安全，防止篡改，保证数据真实无误。“电子数据鉴真也已成为网络信息时代重要的证据问题。科学技术是把‘双刃剑’，既可以用它来修改、伪造电子数据从而提高鉴真成本和难度，也可以用它来创新电子数据鉴真方法。”[7]而调取获得的这些为鉴定服务的证据数据信息，司法鉴定机构具有数据安全保管义务，防止数据遗失、损毁、泄漏等事件发生。

从司法鉴定机构与被鉴定人的关系来看，相对于被鉴定人，司法鉴定人开展司法鉴定活动存在对个人信息侵权风险，而司法鉴定机构收集、使用、存储的数据是个人信息的主要载体。“数字时代的法律必然伴随数据技术的不断冲击而形成新一轮的突破和创新。”[8]因此，司法鉴定机构通过建立相应机制保护被鉴定人个人信息及其数据权，这是司法鉴定机构的法定义务。

2.1  司法鉴定机构数据安全的必要性

2.1.1 司法鉴定立法与数据安全立法的衔接

2016年司法部发布的《司法鉴定程序通则》并无明确关于数据安全的规定，仅在第二十二条第一款规定了“司法鉴定机构应当建立鉴定材料管理制度，严格监控鉴定材料的接收、保管、使用、退还。”从该条规定的内容来看，亦无明确关于数据方面的管理要求，广义的鉴定材料应该包括数据资料。该条款规定了司法鉴定机构的法律责任，要求司法鉴定机构和司法鉴定人在鉴定过程中应当严格依照技术规范保管和使用鉴定材料，因严重不负责任造成鉴定材料损毁、遗失的，应当依法承担责任。《个人信息保护法》第二十八条第一款规定：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。”而“四大类”司法鉴定的工作项目类别与上述敏感信息界定密切相关，司法鉴定机构管理、使用这些敏感信息须严格遵守法律规定。另外，《个人信息保护法》第五十一条规定：“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，防止未经授权的访问以及个人信息泄露、篡改、丢失。”其中，相应的措施包括制定内部管理制度和操作规程、对个人信息实行分类管理等。《数据安全法》第二十七条明确规定了开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，履行数据安全保护义务。上述法律规定表明司法鉴定机构处理司法鉴定活动中的数据应当遵守法律规定，防止数据侵权行为发生。《司法鉴定程序通则》虽然规定了鉴定材料的保管义务，但是与《个人信息保护法》《数据安全法》关于个人信息和数据安全的法定要求尚存差距。“《司法鉴定法》对新技术在司法鉴定中引入和应用所出现的新问题，应当制定一个具有前瞻性、科学性、合法性的研究和规范。”[9]这就需要鉴定立法设定司法鉴定机构数据安全义务，以衔接我国的数据立法。

2.1.2 司法鉴定数据安全行政监管缺位

《个人信息保护法》第六十条第一款规定由国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作，由国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。“数据安全监管是一项复杂而重要的工作。只有加强数据安全意识，积极应对挑战，采取科学有效的安全措施，才能实现数据安全的合法运营。”[10]在实际工作中，国家和各方均应按照法律规定全方位开展互联网安全、数据安全相关的检查和执法行动，对存在的问题和风险及时查处和提醒，督促企业和机构完善数据合规整改。从实际执法效果来看，网信部门、公安机关、市场监管和行业主管部门对于数据安全监管有一定职责重叠，不同监管部门职责内容有所偏重，不完全一致。对于司法鉴定机构而言，涉及到数据安全问题，除上述部门外，司法行政机关应该是法定和主要监管主体，这是由司法行政机关的法定职责决定的，但是，目前的《司法鉴定程序通则》并无明确规定司法行政机关对于司法鉴定机构数据安全的监管职责。明确司法行政机关作为司法鉴定机构数据监管主体主要是有利于数据安全，这是因为：一是现有数据安全立法内容大多为原则性和倡导性规定，缺乏有针对性和可操作的细则，尤其是如何建立司法鉴定机构的数据安全制度体系，如何履行数据安全义务需尽快研究制定。二是司法鉴定活动具有较强专业性，司法行政机关主管相关业务已近二十年，对于司法鉴定行业存在的问题和风险点可以精准识别，因而可以有针对性地设定司法鉴定机构数据安全义务。

2.2  司法鉴定机构数据安全的正当性

2.2.1 与中国式现代化数字时代理念契合

中国式现代化需要数字经济作为重要抓手，这就要求数据元素在社会发展中为中国式现代化提供新能量。“如果我们把党的十八大以来中国共产党领导的数字社会治理实践，置于整个国家治理现代化的历史脉络之中，就会发现新时代我国的数字社会演进及其治理历程包含着国家对数字社会风险的积极回应，国家与社会治理效率化的治理技术演进逻辑，以及数字社会治理对于中国特色的全过程人民民主的新发展。”[11]以大数据、云计算、区块链、元宇宙为代表的科技革新，助力政府管理、社会治理、法治形态形成新的数字化场景，科技革命已经对中国社会运行产生了整体性和穿透性影响。“中国式现代化是经济、政治、文化、社会、生态文明等建设全面发展的现代化，其中‘数字中国建设’是全面推进现代化的重要组成部分。”[12]近年来，国家密集出台的《网络安全法》《数据安全法》《个人信息保护法》《数据二十条》等法律法规对数据安全和个人信息进行保护。同时，在《民法典》中规定人格权，明确对数据、虚拟财产、个人信息的法律保护，《刑法修正案（九）》中也增加非法利用信息网络罪、侵犯公民个人信息罪等数字领域罪名，加强对公民数据权利保护。对于公民数据权利中的敏感信息、个体识别信息，由法律明确规定信息权利主体严格保护、预防和惩戒侵犯公民数据权利的不法行为，其目的也是与中国式现代化进程中的数字时代理念相匹配。司法鉴定机构承担了诉讼案件中专门性问题的解决职责，司法鉴定活动涉及大量个人信息和数据，理应及时融入中国式现代化的时代要求中，积极衔接和回应数字时代数据安全立法，保护司法鉴定涉及的个人信息和数据，构建司法鉴定机构数据安全安全制度体系。司法行政机关也应向司法鉴定机构积极宣传数据安全法律法规，助推司法鉴定机构履行注意义务。

2.2.2 保护被鉴定人数据权利

司法鉴定案件中通常包含了与案件密切相关的信息内容，其数据内容较为丰富、敏感，包括了被鉴定人的个人基本情况、涉案情形、行为性质等隐私信息，因而对于此类数据信息，司法鉴定机构在收集、存储、使用中更应该具有注意义务，确保数据安全与被鉴定人正当权益。“从数据权益保护的长远性、全面性、包容性等角度看，将其定位为兼具民事权利与基本权利属性的复合型权利更具合理性。其不仅需要通过民法、知识产权法等私法保障，同时应是宪法中的国家义务保障的对象。”[13]因此，司法鉴定机构数据安全制度建设应充分考量数据权利特点，司法鉴定数据信息敏感性和隐私性使其产生排他性。数据权利是数字化时代产生的新兴权利，虽然学界对数据权利的基本内涵和外延并未达成一致，但是在数据权利保护方面意见是统一的，只是在保护方式、权利边界上有争议。司法鉴定机构数据安全是防止数据违规承担法律风险的预防机制，其主要目的在于降低司法鉴定机构数据违规所产生的侵权成本。司法鉴定数据安全本质上可视为司法鉴定机构数据合法利用的自我约束机制，这不仅可以保障司法鉴定机构收集、存储、使用的数据安全有效，还使被鉴定人的法定数据权利得到保护，从而增进司法鉴定机构职业操守和法治意识。司法鉴定机构数据安全义务是基于司法鉴定活动产生的，因而由多个环节构成，创建有关机制保护各环节被鉴定人个人信息和数据权益成为司法鉴定机构的法定义务。

司法鉴定机构正常开展司法鉴定活动，既需要被鉴定人涉案相关数据信息用于解决专门性问题，同时也需要保证数据安全。“在个人信息保护方面，经过多年的学术争论与制度实践，我国制定了以《个人信息保护法》为核心的一系列法律法规。”[14]这就要求司法鉴定机构按照已有数据安全立法规定建立数据安全机制，从而有效规避违法风险。

3.1  数据利用目的明确

已有数据安全立法均明文规定个人信息收集与处理，都规定须首先确立收集数据的目的，这既是保障数据安全的具体要求，亦是数据安全的制度安排。“《个人信息保护法》规定了目的限制原则，处理个人信息应当控制在收集个人信息之初始目的直接相关的范围内，在没有合法基础的情形下，擅自改变目的，则违背目的限制原则。”[15]目的限制原则明确表示公民个人信息相关数据在收集、处理前，应先行确定数据化目标，这种前置性规定就是为后续数据的存储、利用预定可见范围。近年来，我国司法行政机关对于司法鉴定机构合法运营出台多项部门规章和规范性文件，但是在数据安全方面，衔接已有数据安全立法、执法尚有差距。因此，司法鉴定机构受理案件后，对于案件中的数据信息收集、利用应符合已有数据安全立法要求，司法鉴定机构应在数据权利规定范围内利用数据信息，而数据权利应以已有数据安全立法为基准。首先是国家基本法的相关规定，《民法典》第一千零三十五条规定了处理个人信息的原则和条件，要求处理个人信息应当遵循合法、正当、必要原则，不得过度处理。《个人信息保护法》第五条也有与《民法典》类似的规定，但是增加了诚信原则。国家关于数据安全单行法《数据安全法》《网络安全法》对数据利用要求目的正当，这也为数据安全审查设定了实质性标准。司法鉴定机构数据安全要求的数据利用目的明确应以上述法律为依据，并在约定范围内利用。

3.2  数据收集最低限度

为精准服务司法鉴定案件，解决案件中的专门性问题，司法鉴定机构需要合法获取案件信息，其中就包括大量被鉴定人个人信息，其中部分信息属于敏感信息范围。“数据处理应有明确、合理的目的，应与该目的具有直接联系，主要是为了促进或实现该目的；数据收集范围应限于对个人信息权益影响的最小数量。”[16]司法鉴定机构和司法鉴定人通过科学技术原理分析研判案件信息资料得出鉴定意见，这其中也是一个利用案件数据信息的过程，因此，司法鉴定活动应加强个人信息保护，在案件鉴定过程中，司法鉴定机构和司法鉴定人对于案件相关信息资料的收集应保持最低限度，最低限度意指案件资料收集能够满足司法鉴定活动中解决专门性问题的程度，不能过度收集个人信息。“合法和合理是主体收集用户数据信息必要性的两个条件，大数据时代下数据信息收集法律规制需注重合法合理性，对主体收集用户数据信息的对象范畴予以限定。”[17]数据安全立法对于司法鉴定机构数据收集最低限度的要求以应用场景和利用目的为导向，由于法律规定一般为原则性倡导，实际落实仍然需要司法鉴定机构自律实现。数据收集最低限度的要求贯穿于司法鉴定活动全过程，案件受理、开展司法鉴定活动、完成司法鉴定活动三大阶段均应严格遵循，要求司法鉴定数据安全体系具备可行性、完整性、特定性，尽管现行数据安全立法关于司法鉴定机构数据收集的义务性规定较为原则，但司法鉴定机构应以司法鉴定活动具体应用场景为参照，规范相关数据安全措施，这也要求司法鉴定机构管理者具备数据安全意识，培育司法鉴定人切实遵守数据安全法律法规的自觉意识。

3.3  数据利用范围合理

在数字化时代，公民个人信息基于各种用途被采集、存储、利用已成为生活常态，而且每个自然人兼具物理人与信息人双重身份，因而，必须一定程度参与数据安全过程管理。但是，开展具体数据处理活动需要预先确立使用目的，而且使用目的须特定、正当、合法，这就决定了数据利用须在合理范围内。“个人数据利益内容丰富且形式多元。数据主体对其个人数据享有人格利益,包括自由选择、隐私独立和尊严平等。”[18]基于此，数据利用在合理范围这一要求决定了司法鉴定机构在采集案件信息资料开始司法鉴定活动时，使用、存储、传输数据信息必须在事先规定范围，这个使用规范是特定的，不得随意改变用途。司法鉴定机构要想使数据利用在合理范围内，防范技术缺陷不可或缺，数据安全与执业规范存在差异，这种差异性集中反映在数据安全立法规定内容与司法鉴定机构制度构建均需技术落实。司法鉴定机构数据安全才能实现数据利用在合理范围，而司法鉴定案件数据信息链保护措施的优化与缺陷补足就成为技术保障关键。防止数据泄露是数据安全保护中的重中之重，司法鉴定机构应对数据存储设备设定访问或使用权限，杜绝内部越权访问引致高风险操作行为产生。为此，司法鉴定机构存储的数据信息还应及时备份，防止关键和敏感数据灭失。同时，在技术允许条件下，确保数据存储设备具有数据恢复能力，以保证数据利用。

3.4  数据利用诚信义务

诚信原则源自私法领域，用于规范平等主体民事法律关系的成立与解除，但随着公、私法交融，诚信原则也在逐渐影响其他部门立法。“诚信原则的基本原则属性在我国已得到较充分的体现，《民法典》有二十五个条文明示规定了诚信原则或善意问题。”[19]我国《民法典》第七条规定了民事主体从事民事活动，应当遵循诚信原则，第一千零三十六条还规定了个人信息处理者应保障权利人合法利益，上述法律也明确规定了因不当收集、违法使用、违规处理个人信息造成不法后果的个人信息处理者的民事责任、行政责任以及刑事责任，以维护个人信息数据安全，保护相应数据权利。“作为对个人信息之上多元主体、多元利益的因应，个人信息保护与利用的平衡已成为各国念兹在兹的制度关切。”[20]司法鉴定机构受理委托鉴定案件中包含大量个人信息数据，这些数据资料为案件中专门性问题解决提供依托，同时，司法鉴定机构也应当履行相关数据利用的诚信义务，否则存在引发相应法律责任风险。首先，因不当使用、传输、采集案件数据信息引发民事侵权之诉的，这是司法鉴定机构因违反诚信义务，存在行为不当或过错而承担的诉讼责任。其次，前文提及目前数据安全执法多元主体，对于司法鉴定机构未尽职履行数据安全义务引发监管主体行政处罚风险，网信、工信、市场监管、公安等部门均可查处违规行为。最后，严重的违反诚信义务造成后果严重的，可能引发刑事追责，这主要是我国《刑法》第二百五十三条规定的侵犯公民个人信息罪。“处理者是诚信原则的首要适用对象。”[20]因此，司法鉴定机构应当对案件数据信息安全问题负责。

3.5  数据利用安全保障

《个人信息保护法》第十条规定：“任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息，不得从事危害国家安全、公共利益的个人信息处理活动。”这就要求司法鉴定机构应当建立健全数据信息安全制度，防止相关数据信息不当使用，触犯法律禁止性规定。在司法鉴定活动中，司法鉴定机构对于案件数据信息安全保护措施必须前置且去除隐患，与司法鉴定相关的数据信息可以分解为敏感信息和一般信息，根据数据不同类型可以采取有针对性的保护措施，包括各类数据信息的录入管理、存储管理、利用管理、传输管理等数据使用环节的保护。“敏感个人信息具有很强的致损性，与个人的人格尊严、人身权、财产权等基本权利紧密联系，若泄露或非法使用，则很容易导致对上述基本权利的侵害。”[16]总体来看，司法鉴定机构的数据安全风险表现为如下几个方面：一是数据安全风险的主观性。通常情况下，司法鉴定机构被动受理案件开展司法鉴定活动对所需案件材料内容具有主观性，因而对数据资料安全保护措施就基于主观认知而采用。这种主观性的客观存在是数据采用的现实基础。二是司法鉴定数据安全风险的多元性，这种数据风险前文已经述及，在“四大类”司法鉴定类别中均可产生。三是司法鉴定数据风险的不确定性。司法鉴定活动由多个环节构成，每一个环节数据安全注意义务缺失均可引发数据安全风险，这就要求司法鉴定机构数据安全应全链条保护。

数字化时代，国家对于网络安全和数据法律法规立法体系正在深化和补足，相关法院判决和企业数据违规案例均表明数据安全正在成为各行业守法经营重点。“数据合规也是一种数据违规事后处理的创新机制，旨在降低数据违规活动造成的损失成本。”[21]司法鉴定机构应顺应时代发展，重视并构建司法鉴定活动中的数据安全体系，按照数据安全立法的法律规定和运用指引，平衡被鉴定人涉案信息利用与保护其数据权利的关系。

4.1  完善司法鉴定机构数据安全立法

国家层面虽然已经有《网络安全法》《数据安全法》《个人信息保护法》《民法典》等相关法律规范数据安全，但专门性的数据规制单行法规尚未制定，这使相关机构和单位不仅面临多元执法主体监督，还欠缺可操作性的行动指引。当前，司法鉴定机构开展司法鉴定活动的程序依据仅有《司法鉴定程序通则》，国家层面正在推动制定《司法鉴定法》。近期，可以考虑以司法行政机关会同其他国家机关联合下发规范性文件，专门就司法鉴定数据安全作出规定。中期，可以考虑修改《司法鉴定程序通则》，专章规定司法鉴定机构数据安全安全应遵循的规则。远期，可以考虑在制定《司法鉴定法》中专章规定司法鉴定机构数据安全具体程序性要求，吸收并细化已有企业和单位数据安全和典型案例的有益经验。近期、中期、远期法律法规制定，均应在内容方面体现如下要求：一是重视《民法典》人格权规定，尤其体现《民法典》对于个人信息的原则性要求，这就是处理个人信息应保护人的尊严，应将《民法典》保护法益体现在司法鉴定机构数据安全构建中。二是主要依据保护个人信息基本法《个人信息保护法》的适用规则，因为《个人信息保护法》对于个人信息和数据保护规定更具操作性，强调对于公民私权规制，尤其是个人信息的分类、分级保护问题能够得到妥善处理。三是发挥《数据安全法》的宏观指引作用。《数据安全法》应成为司法鉴定机构数据安全制度构建的基础导向，尤其涉及案件中的敏感数据处理应以《数据安全法》为依据。因此，司法鉴定机构数据安全不仅能够充分保护被鉴定人数据权益，而且能够为司法鉴定机构持续健康发展奠定基础。

4.2  补齐司法鉴定机构数据安全行政监管

强化司法鉴定机构数据安全行政监管十分必要，亦是培育司法鉴定机构保护被鉴定人数据权利法律意识的关键举措。“合规监管的监管范式具有独特性，是由企业自我规制（self-regulation）与外部监管机构实施的元规制（meta-regulation）构成的二阶治理结构。”[22]司法行政机构对司法鉴定机构数据安全应当全流程监管，覆盖相关数据全生命周期，包括司法鉴定活动中数据采集、存储、利用、传输的安全保障。首先，司法鉴定机构涉案数据信息收集。在案件受理过程中，涉及到被鉴定人个人信息资料收集一定应坚持合法与诚信原则，个人信息以及涉案物证、书证资料应符合本次司法鉴定活动的目的、方式。其次，司法鉴定机构存储案件数据信息安全有效。司法鉴定机构应当强化自身数据安全技术设备配套，以适应法律对数据安全的相应要求。一方面，司法鉴定机构应建立内部数据安全管理制度，所有涉案数据信息均应有加密访问权限，防止内部工作人员越权访问数据库；另一方面，通过访问记录查询机制确定数据使用责任主体。再次，司法鉴定机构数据安全利用的技术保障。司法鉴定机构使用案件数据信息过程中应通过技术保障和系统升级加强数据安全，这通常可以利用数据加密和访问权限加密来实现保护隐私和防止数据泄露、篡改。复次，司法鉴定机构数据安全风险识别。“通过事先开展敏感个人信息数据安全影响评估，发现敏感个人信息数据安全风险，依评估结果采取切实有效的保护敏感个人信息数据的措施，可以最大限度地降低平台企业数据违规风险。”[23]司法鉴定机构应在日常鉴定活动中积极主动开展数据安全自我评估，自我评估的目的是发现本机构在司法鉴定流程中数据安全风险节点，包括司法鉴定机构和司法鉴定人两个层面的数据安全薄弱环节，从而采取相应机制予以防范。最后，司法鉴定机构全流程保障数据安全应是一个动态过程，这就要求内部管理数据安全的灵活性、及时性。

4.3  培育司法鉴定机构数据安全意识

培育司法鉴定机构数据安全意识是司法鉴定机构开展数据安全的前提和基础。根据国家法律规定的数据安全监管主体，监管机关应定期开展相关法律规定宣讲和典型案例分析，使司法鉴定机构负责人对于数据安全风险有清醒认识，以此内化为数据安全的积极动力。“健全的数据合规日常管理机制虽然可以有效防控数据违规风险，但并不能完全消除企业违规数据风险。”[21]司法鉴定机构负责人对于数据安全法律规定的学习应从国家立法、行政法规、规章以及国家数据安全政策规定切入，同时，法律规定学习仅为行为规范要求，如何实现这些具体要求还应以实际技术应用为前提。司法鉴定机构应强化数据加密与隐私保护技术、数据访问权限设置、数据安全风险识别与认知，其目的是提升司法鉴定机构负责人、鉴定人、工作人员数据安全意识，强化对数据安全合规法律责任的重要性认识，增强对数据泄漏侵犯个人信息数据的民事、行政、刑事权利风险敏感性。强化司法鉴定机构数据安全意识当然是最重要措施，但是也仅为行动指引，为防止出现数据安全风险，司法鉴定机构负责人和司法鉴定人及司法鉴定机构工作人员养成规范有序数据安全习惯，将数据安全义务融通日常鉴定活动才能规避风险发生。

4.4  提升司法鉴定机构数据安全能力

国家层面关于数据安全立法规定和行政监管机关执法行为都是行为倡导和行为惩戒，而数据安全仍然需要司法鉴定机构持续地提升数据安全自律和相应能力配套。近年来，司法行政机关加强司法鉴定活动监管，司法鉴定机构和司法鉴定人遵法安全开展鉴定活动，形成了各具特色的司法鉴定职业共同体，司法行政机关的严管为司法鉴定机构良性发展提供了优质的社会环境，使守法执业成为司法鉴定机构的精神追求和导向。“一般而言，数据泄露和丢失的常见风险场景有数据存储的物理介质或逻辑映像失窃、内部管理员舞弊泄露数据、应用端的数据泄露等等，企业应当采取必要的技术措施保障数据安全，为保护数据不泄露，需要采取数据加密措施；为保护数据不丢失，需要采取分类存储措施。”[24]所以，司法鉴定机构数据安全能力建设，首先要求鉴定机构负责人率先遵守数据安全法律规定，严格落实司法鉴定涉案数据利用符合法律规定，监督并引导司法鉴定机构工作人员和司法鉴定人合规使用涉案数据的自觉性。其次，技术升级不可或缺。技术加持司法鉴定机构数据安全能力应从强化数据风险查验技术、规范数据收集和存储技术、加密数据安全权限技术等方面展开，尤其是涉案敏感数据分类梳理和有效防护。同时，司法行政机关也应对司法鉴定机构数据安全事务定期督查，及时发现、评估鉴定活动中存在或可能发生的风险点，及时提醒并给出可操作性建议。

司法鉴定机构在数字化时代应主动对接国家数据安全立法，紧紧围绕《数据安全法》《网络安全法》《个人信息保护法》等法律法规的具体规定，在主管司法行政机关指导下，积极履行数据安全义务。司法鉴定机构开展鉴定活动中应努力协调司法鉴定活动、个人数据权利保护的相互关系，防止侵权行为发生。司法鉴定机构在司法行政机关指导下建立数据安全制度，树立数据安全风险意识，努力规避数据违规问题产生，创建有利于形成司法鉴定机构和司法鉴定人数据安全治理的法治秩序。本文虽然提出了司法鉴定机构开展司法鉴定活动中的数据安全风险，并依据已有数据安全立法提出应对策略，但是“四大类”司法鉴定中的数据信息安全问题相对复杂，这需要在以后立法规制中以类型化思路认真甄别，进而辅以相应制度进行规范。