郑曦
内容摘要:刑事司法中海量收集使用数据必然带来数据安全保护的问题,现有法律对于此问题的规定存在不足,新出台的数据安全法对于刑事司法中的数据安全保护之规定亦过于粗疏,加之司法信息化加剧了刑事司法中的数据安全风险,有必要予以充分关注。刑事司法中应当以保障公民权利为数据安全保护的重要价值取向,确定国家承担数据安全保护的主要义务,进而对刑事诉讼全程进行数据安全监管。具体而言,应当通过建立数据分类和分级制度、尊重和发挥数据主体在数据安全保护中的作用、明确数据控制者和处理者的数据安全保护职责、将检察机关设置为专门的数据监管机构并赋予其相应职能,从而构建起相对完整的刑事司法领域数据安全保护制度。
关键词:数据 刑事司法 数据安全法 数据监管 个人信息保护 科技与司法
中图分类号:DF73文献标识码:A文章编号:1674-4039-(2021)05-0080-92
现代社会在很大程度上依赖于数据而运行,以互联网为平台的“互联互通”与大数据、人工智能等技术相结合,催生出以数十、甚至数百泽字节(ZB) 〔1 〕计的数据和以数十亿计的网络使用者,彻底改变了人类的生活方式。但是在带来便利的同时,海量数据的广泛收集和使用也引发了诸多社会问题:一方面,人们发现自己对其个人数据已经失去控制能力,甚至受困于数字“圆形监狱”之中;另一方面,对数据的不法使用给人们的隐私、财产甚至人身安全带来了巨大的威胁,从而促使人们关注数据安全保护问题。面对数据安全保护的时代需求,2021年6月10日,第十三届全国人大常委会第二十九次会议通过了《中华人民共和国数据安全法》(以下简称数据安全法),从国家立法的层面回应这一问题。作为数据安全领域的专门性法律,该法一个突出的亮点在于其中一些条文涉及刑事司法领域,这与以往数据或信息相关法律法规回避刑事司法的思路有明显区别,体现出立法者对刑事司法中数据安全保护问题的关切态度。但是数据安全法对于刑事司法中数据安全保护问题的规定较为粗疏,仅有的原则性要求远不能满足实践的需要,仍需进一步深入研究并对相关制度加以完善。
一、刑事司法中数据安全保护的现实需要
科技的发展大大提升了刑事司法中收集使用数据的深度和广度,但现有法律对于刑事司法中数据安全保护的规定尚有不足,而司法信息化建设进一步加剧了刑事司法中数据安全方面的风险,使得保护数据安全成为刑事司法的现实需要。
(一)刑事司法中海量收集使用数据
收集使用数据向来是刑事司法运作的基础。刑事司法为解决被追诉人刑事责任问题,在事实认定上必须依靠证据,故有“证据裁判主义”之原则。许多证据通过“以电子或者其他方式对信息的记录” 〔2 〕之数据形式呈现,对这些证据的收集使用即是处理数据的过程。因此,从这个意义上看,对数据的收集使用是刑事司法的基本内容和运用基础,也是案件裁判的前提。
随着科技的发展,刑事司法中收集使用数据的方式发生了巨大变化,特别是大数据侦查等手段的普遍运用 〔3 〕,使得以侦查机关为代表的刑事司法公权力机关收集使用数据的能力得到了极大提升。1968年,美国通过综合犯罪控制与街道安全法,允许执法机关以“監听与电子监控”等方式收集数据;1985年,英国通过通讯拦截法,允许警察截收公民个人的通信并从中收集数据;1998年,德国修改刑事诉讼法,增加了大量新型技术侦查手段之规定,大幅提升警察收集数据的能力;《联合国反腐败公约》规定缔约国应“允许其主管机关在其领域内酌情使用控制下交付和在其认为适当时使用诸如电子或者其他监视形式和特工行动等其他特殊侦查手段” 〔4 〕收集数据,《联合国打击跨国有组织犯罪公约》第20条也有类似的规定。我国自1993年在国家安全法中规定了“技术侦察”后,2012年刑事诉讼法修改时设置专节将技术侦查制度彻底合法化,目前实践中运用的电子同步设备、访问控制设备、数据保存和恢复设备、图影成像设备、加密解密系统、卫星定位系统、网络跟踪设备、数据库等技术,使得侦查机关获取数据的方式多元、难度降低,甚至利用网络搜查等方式,收集数据的过程可以远程、无接触、隐秘进行。
除了自行收集数据之外,侦查机关等刑事司法中的公权力机关还借由第三方获取数据,这些第三方既包括社会管理部门,也包括商业机构。社会管理部门所收集的数据在必要时可以被用于刑事司法已为各国法律所广泛认可。例如,美国的生物识别签证制度就许可数据进入国土安全部的US-VISIT系统而用于识别犯罪嫌疑人;欧洲2019年创设的通用身份资源库(CIR)涵盖了申根信息系统、Eurodac指纹系统、VIS签证信息系统、欧洲第三国国民犯罪记录系统(ECRIS-TCN)、EES出入境系统和欧洲旅行信息和授权系统(ETIAS),其所采取的生物识别数据亦允许执法部门使用。〔5 〕除了社会管理部门外,商业机构收集的数据亦可能为刑事司法中的公权力机关所取得,从而被用于刑事诉讼中。美国2018年的卡朋特案中,警方即是从Verizon等移动通信运营商处调取犯罪嫌疑人的手机定位数据,并使用这些数据对其进行控诉的。〔6 〕在我国,刑事司法中的公权力机关从商业机构获取数据也已是常见的做法。例如支付宝在其《支付宝隐私权政策》中就明确说明,在出现与犯罪侦查、起诉、审判和执行判决等直接相关的情形时,支付宝根据相关法律法规及国家标准共享、转让、公开披露用户的个人信息无需征得用户同意。〔7 〕
当前,刑事司法中对数据的收集使用呈现出两方面的特征。其一,收集使用数据的时间前移。理论上刑事诉讼程序自立案之时启动,以取证方式进行的数据收集使用行为应自立案之后进行,但实践中犯罪治理活动常常提前启动,在刑事立案之前,侦查机关即可能运用犯罪预测工具、案件初查辅助工具等进行数据的收集使用。〔8 〕其二,不加区分地收集使用数据。数据应有一般数据与敏感数据之分,敏感数据涉及种族或民族背景、政治理念、宗教信仰、性取向等,“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇” 〔9 〕,但其在刑事诉讼中往往与个案的处理关系不大。然而,当前对于刑事司法中公权力机关收集使用数据的规定尚无关于一般数据与敏感数据的规定,对于收集敏感数据的限制严重不足。如此一来,对数据广泛、提前、不加区分地收集使用令刑事司法中的公权力机关成为数据的控制者和使用者,海量数据进入刑事司法领域使得刑事司法中的数据安全保护成为一个现实而迫切的问题。
(二)现有法律对刑事司法中的数据安全保护问题规定不足
传统上,数据或信息相关的法律法规往往对刑事司法中的数据安全保护问题采取回避之态度。欧盟无论在1995年的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》还是欧盟《通用数据保护条例》(以下简称GDPR)中,均未对刑事司法中的数据安全保护问题作出明确规定。例如,GDPR第2条第2款就规定:“本条例不适用于以下处理个人数据的情形……(d)有权机关为预防、侦查、调查或起诉刑事犯罪、或执行刑事处罚,包括防范和预防公共安全威胁之目的(而处理个人数据)。” 〔10 〕美国联邦和州关于数据或信息的立法,例如儿童网络隐私保护法(COPPA)、加州消费者隐私法、加州未成年人网络隐私法等,亦是或本身与刑事司法不直接相关,或鲜涉及刑事司法中数据安全保护问题。
我国也存在同样的问题,数据安全保护问题长期被置于宪法、民商法、行政法等范畴内进行讨论,刑事学者特别是刑事程序法学者对此鲜有关注,而数据和信息法专家学者们提出的数据或信息相关的法律专家建议稿中,也极少涉及刑事司法的数据安全保护问题。〔11 〕2012年全国人大常委会《关于加强网络信息保护的决定》和2017年的网络安全法虽然在宏观层面规定了网络环境下的数据安全保护问题,但并未对刑事司法领域的此种问题予以直接规定。
此次通过的数据安全法第6条规定:“公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。”在第4章“数据安全保护义务”第35条规定:“公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。”相较于以往的法律,数据安全法较为直接地规定了公安机关、国家安全机关在履职范围内的数据安全监管职责和数据安全保护义务,但是该法对此问题的规定仍显粗疏,仅有的两个条文只是作出了原则性规定,缺乏细化的规则,使得实践中实施的难度增大。在刑事司法领域虽然也有一些规范性文件涉及数据安全保护问题,例如刑事诉讼法第152条对技术侦查措施规定了原则性的实施要求,2016年最高人民法院、最高人民检察院和公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》和2019年公安部《公安机关办理刑事案件电子数据取证规则》中有涉及数据安全的条文,但从整体看,相关的规定零散而不成体系,无法满足海量数据收集使用背景下的刑事司法领域数据安全保护的实践需求。
(三)司法信息化加剧了数据安全风险
现代社会科技的运用提升了生产效率、加快了生活节奏,在给人们带来财富和便利的同时也使得纠纷的数量大幅增加,巨大的案件量给刑事司法中的公权力机关造成了极大压力,迫使许多国家都不得不进行司法信息化的改革,从而提升案件办理的效率。根据欧洲司法效率委员会的报告,2016年40余个欧洲国家均有司法信息化的举措,包括运用ERP案件管理系统、OUTILGREF职位分配和管理系统、文件起草辅助工具等; 〔12 〕在美国,联邦法院系统有“案件管理和电子案件档案系统(CM/ECF)”和“法院电子记录公共访问系统(PACER)”两大信息化系统,各州法院也有其各自的信息化系统;甚至印度、肯尼亚、尼日利亚等发展中国家也有其各自的司法信息化改革举措。在我国,司法信息化建设也是司法改革中的热点问题。以法院为例,我国的法院信息化改革在完成了信息化的基础建设后已经进入建设“智慧法院”的新阶段;相应地,检察院和公安机关也分别在进行“智慧检务”和“智慧警务”建设。
司法信息化是刑事司法中的公权力机关在面对新型科技运用之时代潮流和案件数量迅猛增长之现实困境的必然选择。然而,司法信息化举措在有效提升司法效率的同时,也是一把“双刃剑”,进而导致一系列的问题, 〔13 〕其中加剧刑事司法中的数据安全风险即是诸多问题之一。具体而言,体现在以下两个方面。
其一,司法数据库的“互联互通”与“共建共享”增加了数据失控的风险。我国的司法信息化建设在很多方面处于世界领先水平,在公检法三机关各自初步完成其信息化基础设施建设后,下一步的工作重点即在于促进三机关数据库的“互联互通”与“共建共享”。例如上海、贵州等地已经试点研发构建跨部门大数据办案平台,通过此平台实现司法数据的共享,从而统一证据使用和裁判的尺度。〔14 〕此種“互联互通”与“共建共享”中,司法数据在三机关之间分享,固然能够提升司法数据的运用效果,提高办案水平。然而一旦操之不慎,会带来数据安全保护方面的风险。首先,在此种联通与共享的过程中,有权提供、接触相关司法数据的机关和人员增加,倘若没有足够的数据安全控制措施,如对数据作匿名化处理、添加密级标识、设置加密授权触发机制等,则数据泄露的风险可能随着司法数据共享的便利性提升而增加。其次,由于不同机关的数据库往往是由不同的技术人员按照不同的技术方案建构的,秉承不同技术标准的数据库在“互联互通”与“共建共享”的过程中可能出现端口不匹配、协议不统一等兼容性方面的问题,这种技术方面的障碍也增加了司法信息化系统因遭遇攻击或自身出现故障导致数据失控之风险。最后,不同机关对于司法数据的使用可能遵循不同的保密规定,例如公检法对于同一案件在不同阶段的数据密级量定标准不一致。此种不一致未必不符合司法运行的规律,如在侦查阶段的保密性要求高于审查起诉和审判阶段正是阅卷权自审查起诉阶段方可行使的原因,但此种不一致却可能一方面阻碍三机关的“互联互通”与“共建共享”,另一方面则在实现共享后带来数据安全管理方面的隐忧。
其二,司法信息化的技术性工作外包增加了数据泄露的可能性。由于法律界对数据统计与分析技术陌生、对大数据算法几乎完全外行、对人工智能缺乏客观认识等原因 〔15 〕,公检法机关显然无法依靠自身力量完成司法信息化所需的技术性工作,于是将此项工作外包给相应的科技企业就成为必然的选择。科技企业在进行司法信息化的技术性工作时,必然需要获得大量司法数据以作为司法信息化的原料性基础,在此过程中可能因为司法数据交接中的疏忽或技术人员个人品质等方面的原因而发生数据泄露;甚至在司法信息化的技术性工作完成之后,科技企业也可能基于其逐利之本能,以安装“木马”、预设“后门”等方式通过其参与建设的司法信息化系统主动窃取司法数据,对此不可不予以严防。
二、刑事司法中数据安全保护的基本思路
既然刑事司法中存在上述数据安全保护的现实需要,则有必要厘清保护刑事司法数据安全的思路,为具体的制度完善提供基础。
(一)源自权利保障的数据安全保护
数据安全保护的目的往往是双重的:一方面在于保护国家利益,特別是主权、安全等利益;另一方面则在于保护公民的合法利益,恰如我国数据安全法第1条规定:“为了……保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。”为达成保护数据安全以保障公民合法利益之目的,最为直接的方式即是赋予公民、特别是作为数据主体的公民相应的数据权利,通过公民数据权利的行使限制数据控制者和处理者的行为、促进数据安全保护的实现。从某种意义上看,保护公民的数据权利,也是宪法“国家尊重和保障人权”理念的体现。例如,欧盟即是根据《欧盟基本权利宪章》第8条第1款之规定而将公民的数据权利视为基本权利的。〔16 〕
基于通过数据权利保障实现数据安全保护的逻辑,GDPR规定数据主体享有数据访问权、更正权、删除权(被遗忘权)、限制处理权、反对权等一系列数据权利,通过数据权利的行使限制数据处理行为,进而确保数据安全。通过赋予公民数据权利保障数据安全的思路在刑事司法领域同样适用,2016年欧盟《通用数据保护条例》 〔17 〕亦规定了数据主体的一系列数据权利,从而限制数据控制者和处理者并保障数据安全。〔18 〕
刑事司法中,对于数据安全保护意义最为直接和重大的公民数据权利当属数据访问权和被遗忘权。数据访问权是指数据主体可以从数据控制者处确认其个人数据是否被正确处理,并在此种情形下可以访问个人数据及获得相关信息的权利。〔19 〕数据访问权是通过权利行使以实现数据安全保护这一逻辑下的前提性权利,尤其是从数据控制者处确认其个人数据是否被正确处理的内容,与“知情—同意”的数据保护核心原则密切相关,是数据主体行使其他数据权利的基础。在刑事诉讼中,数据主体特别是被追诉人一方运用数据访问权,一则可以突破原有阅卷权在阅卷对象方面的诉讼文书和证据材料两类案卷材料之限制;二则可以促使进案卷二元主义之改革,对于限制作为数据控制者和处理者的刑事司法中的公权力机关的数据处理行为、防止数据滥用,具有显著积极的作用。而被遗忘权是指数据主体在其个人数据不再有合法使用之需时,要求将其删除或停止使用的权利,相较于数据访问权作为通过权利行使以实现数据安全保护的一项前提性权利,被遗忘权具有明显的兜底性特征。被遗忘权通过数据主体要求数据控制者和处理者对其个人数据进行删除或封存,实现了个人数据的不为人所知目的。尤其在刑事司法中,作为数据主体的被害人、被追诉人、证人等诉讼参与人通过行使被遗忘权(如封存或删除涉案数据、犯罪和监禁记录等)对包括刑事司法公权力机关在内的数据控制者和处理者构成数据控制和使用方面的限制,从而大大降低甚至彻底消除了数据泄露和非法使用等数据安全风险。因此,数据访问权和被遗忘权一头一尾,与更正权、限制处理权、反对权等其他数据权利形成了完整的体系,使得数据主体能够通过权利行使有效制约刑事司法中公权力机关的数据处理,从而实现数据安全保护之目标。
值得注意的是,在刑事司法中,数据权利应当被视为诉讼参与人的诉讼权利。刑事诉讼权利的核心内容在于诉讼参与人实施了某种诉讼行为或请求他人作出或不作出某种诉讼行为,而在刑事司法的场域下,作为数据主体的诉讼参与人所享有的数据权利与诉讼权利具有特征上的高度契合性。首先,在刑事诉讼中数据权利与其他诉讼权利一样,也是通过诉讼行为实现的,例如上文所述刑事司法中的被遗忘权,其行使方式是请求数据控制者和处理者作出删除数据等诉讼行为。其次,刑事司法场域下的数据权利具有程序性特征,其行使方式无论是自决性地作出某种诉讼行为或请求性地要求他人作出某种诉讼行为,其直接结果无非导致诉讼权利义务关系的产生、发展和变化,对于刑事案件具体处理的定罪量刑等实体问题的关系相对间接,因此具有程序性特征。最后,数据权利与其他诉讼权利一样具有可放弃性,既然“权利就是人的自由意志的外在形式” 〔20 〕,那么刑事诉讼中诉讼参与人是否放弃权利的可选择性即是其主体性和尊重其自由意志的必然要求。同样地,刑事司法中的数据主体是否放弃对其个人信息的支配、处分和排除妨害完全取决于其意志和自由选择。既然数据权利是作为数据主体的诉讼参与人的诉讼权利,则在刑事司法中运用此种权利,以诉讼权利制约公权力、确保数据安全即是名正言顺之事。
(二)基于国家义务的数据安全保护
数据安全保护究竟是谁的义务是数据法中的重要问题。由于数据安全保护义务的前提在于存在持续不平等的数据关系 〔21 〕,所以应首先卸去公民在日常生活中进行个人数据处理的此种义务。而在持续不平等的数据关系中,“无论是从处理数据的数量、规模来看,还是从对整个数据经济产业的影响力来看,平台无疑是最为重要的主体” 〔22 〕,且在数据资产化的背景下,平台基于经济利益目的有能力承担数据安全保护的成本, 〔23 〕因此平台往往被视为承担数据安全保护的关键义务主体。例如2006年的《信息网络传播权保护条例》即对“网络服务提供者”科以相关义务,2017年的网络安全法要求“网络产品、服务的提供者”承担安全维护、信息保护等义务,学者们对数据安全问题的研究也往往围绕着平台的合规义务而展开。〔24 〕
然而除了平台之外,国家亦是数据安全保护的重要义务主体。如上文所述,数据安全保护以保障公民合法利益为目的,这一点可以在宪法层面寻得依据,则国家根据宪法要求负有对公民人格尊严和隐私、安宁进行保护的义务,并在数据时代下扩展到至对数据安全的保护。〔25 〕甚至从某种意义上看,国家是数据安全保护的终极义务主体,因为当平台或其他义务主体拒绝或未能有效履行其数据安全保护义务时,最终将由国家采取措施并加以处理。而在刑事司法场域下,国家承担数据安全保护的主要义务,其原因是显而易见的:刑事司法中公检法等机关正是以国家的名义、以国家公权力行使的方式进行收集、存储、使用、传输等数据处理行为的,国家成为了持续不平等数据关系中具有强大优势的一方,自然应当承担相应的数据安全保护义务。在刑事司法中,将国家作为数据安全保护的最重要义务主体,至少有以下三方面的意义:一是宣示意义,既能体现国家对数据安全保护的重视程度,也能表明公权力在数据安全保护问题上依法行使、遵守规则的态度,符合刑事司法权力制约原则的要求。二是指引意义,通过明确国家的数据安全保护义务主体身份,可以指引公权力机关及其工作人员依法进行数据处理行为,履行在数据安全保护方面的义务。三是震慑意义,对国家的义务要求能够震慑刑事司法中的公检法机关及其工作人员对数据的非法处理行为,促使其依照相关的法律法规行事。
在刑事司法中,国家需承担两个层面的义务。第一个层面的义务是积极义务,即国家需以积极之行为完成其数据安全保护义务,具体而言至少应包括以下三方面内容。其一,规则之确立。规则的确立是规制刑事司法中的公权力机关处理数据行为的前提,国家通过确立数据安全保护的相关规则,能够明确国家承担义务的具体内容,设定作为数据主体的公民与数据处理者之间的权利义务关系,对数据主体合理赋权、对数据处理者适当限权,从而划定国家在刑事司法数据安全保护领域承担义务的制度框架。其二,职责之明确。国家应根据刑事司法中不同机关在数据处理方面的不同角色而明确其各自在数据安全保护方面的职责,例如应当对于侦查机关等主要的数据收集者规定在调取数据时“按照国家有关规定,经过严格的批准手续,依法进行” 〔26 〕的具体职责,对于法院、检察院等数据的存储、传输、使用者规定数据安全管理、监测预警、应急处理等方面的职责,除此之外还应当设立刑事司法中专门、独立的数据安全监管机构并确定其职责。其三,救济方式之提供。国家向公民提供数据安全方面的救济途径,也是其积极义务的内容之一。在刑事司法领域,由于数据处理行为作为诉讼行为而不具有可诉性,则根据我国现行刑事诉讼法之规定,公民可以申诉控告之路径获得救济。除此之外,一旦国家设立专门的刑事司法数据安全监管机构,则亦应当允许公民向该特定监管机构寻求救济。
国家所承担的第二个层面的义务是消极义务。在刑事司法领域,公权力机关是数据安全重要的,甚至是最主要的“侵害风险源” 〔27 〕,因此确定公权力机关的消极义务,防止其非法处理数据具有重大的意义。具体而言,刑事司法中国家公权力机关在数据安全保护方面的消极义务主要有以下几点。第一,不越权收集数据。刑事司法中,在没有法定权限、未经法定程序批准、且数据主体拒绝提供数据的情况下,公权力机关不得进行数据的收集,更不得强迫数据主体提供数据。第二,不违法存储数据。一方面是在法律不允许进行数据存储的情况下,或数据主体依法拒绝收集使用其个人数据、或数据主体虽同意收集使用但对数据的存储作出限制时,公权力机关不应对相关数据进行存储或尊重数据主体提出的存储要求;另一方面是根据数据主体行使其被遗忘权要求删除或封存数据时,公权力机关应依法加以审查并在符合条件时对数据进行删除或封存。第三,不违规传递数据。在法律禁止数据传递或对数据传递加以限制,或者数据主体合法地拒绝收集使用其个人数据或虽同意收集使用但对数据的传递作出限制时,公权力机关应当不传递相关数据或对遵照限制进行数据传递。
(三)经由全程监管的数据安全保护
在数据安全或信息安全问题上,刑事司法传统的规制方式是沿着隐私权保护的路径展开的。在1967年的卡茨案中,哈兰大法官在协同意见中提出,判断政府方的行为是否构成宪法第四修正案所指称之“搜查”,应当运用隐私期待的“主客观双重判断标准”進行审查,即考虑两个方面的问题:一是主观方面该公民“必须表现出某种实际(主观)的隐私期待”;二是客观方面社会已经准备承认其所表现出的隐私期待具有正当性。〔28 〕自此,隐私权保护的思路得到了美国联邦最高法院后续判例的认可,并影响了加拿大 〔29 〕、南非 〔30 〕、以色列 〔31 〕等许多国家。我国在此问题上基本也遵循隐私权保护的思路,例如刑事诉讼法第152条规定侦查人员对技术侦查实施过程中知悉的个人隐私有保密义务。2016年“两高一部”《电子数据规定》和2019年公安部《电子数据取证规则》要求对远程在线提取电子数据进行内部审批,“以有效防范相关侦查活动对隐私权、通信自由等权利的侵犯” 〔32 〕。
隐私权保护的路径虽然易于理解和把握,但也存在一些天然的缺陷,保护方式的事后性即是其中之一。由于隐私权是一种消极、被动、防御性的权利,对其的保护只能在其受到侵害之后方可进行。发生民事纠纷时,“在该权利遭受侵害之前,个人无法积极主动地行使权利,而只能在遭受侵害的情况下请求他人排除妨害、赔偿损失等” 〔33 〕,在刑事司法的场域下亦是如此,对其的救济存在事后性特征,缺乏事前和事中的监管。对于刑事司法而言,仅靠事后性的隐私权保护路径,显然无法实现数据安全保护的目标,因此有必要从隐私权的事后救济思路转向更为积极能动的全程监管方式。
对于刑事司法数据安全保护的全程监管应从事前、事中、事后三个阶段着手。第一,事前应有以严格审批规则为基础的监管制度。在处理数据之前,特别是收集数据之前,应当遵守法律关于审批的相关规定。例如在美国,刑事司法中的收集数据行为在大多数情况下可以被纳入宪法第四修正案搜查扣押规则的范畴,因此应当遵循“合理根据”要求和令状主义原则的制约。在我国,尽管主要按照内部性的自我审查方式进行审批,但刑事诉讼法及相关规范性文件关于技术侦查的严格审批规定仍可作为参考。第二,事中应有数据处理行为的实时监管制度。例如在公安机关处理数据的过程中,可以根据2019年公安部《电子数据取证规则》第二章第四节的规定进行全程同步记录,由公安机关的法制部门对于数据处理的合法性和安全性等进行实时的监管,及时制止和惩治非法处理数据的行为。此种实时监管制度在技术层面上并不存在过大的困难,可以通过同步录音录像、数据库登录记录留痕等方式解决。第三,事后应有以专门监管机构主导的独立监管机制。欧盟GDPR、2016/680号指令等均要求设置专门的数据安全监管机构,我国数据安全法第6条亦分别规定不同行业中各个机关的数据安全监管职责,其中将刑事司法相关的数据安全监管职责授予公安机关和国家安全机关。关于公安机关和国家安全机关作为刑事司法中的数据安全监管机构是否适宜,下文将详述。但无论如何,在刑事司法中的数据处理行为往往是诉讼行为而不具有可诉性的情况下,此种专门的数据安全监管机构进行的监管应当成为事后监管的核心。
三、刑事司法中数据安全保护的制度完善
根据上文所述的刑事司法中数据安全保护的基本理念,可以具体从数据本身的分类分级、数据主体的角色与作用、数据控制者的安全保护职责和数据监管机构的设置与职能四个方面进行制度完善。
(一)数据的分类与分级
数据安全法第21条提出要建立数据分类分级保护制度,要求制定重要数据目录,对数据实行分类分级保护;第27条规定数据安全保护工作在“网络安全等级保护制度”的基础上展开,从而与网络安全法第21条关于网络安全等级保护制度的规定实现了衔接。这些规定切中要害,对于数据的分类分级保护,能够帮助人们准确识别不同类别数据所承载的法益以及各自的安全保护需求,是数据安全保护的有效手段。外国亦有对数据分类分级的规定,例如美国将涉及国家安全的政府数据划分为秘密、机密和最高机密, 〔34 〕将非涉密的受控数据按照行业分为20大类,在每一类下设子类别并予以详细定义和区分。〔35 〕
我国网络安全法第31条规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”数据安全法第6条关于不同部门按照行业、领域承担数据安全监管职责的规定以及第21条第3款关于按照行业、领域确定重要数据具体目录的规定可以看出,数据安全法亦是根据行业、领域的特征提出数据分类要求的。
根据按照行业、领域进行数据分类之要求,刑事司法中的数据应当自成一类,这一点可以从数据安全法第6条第3款关于公安机关、国家安全机关在各自职责范围内承担数据安全监管职责的规定中得到佐证。但是,针对刑事司法中的数据仍然应当进行细化的分类和分级,具体而言,可以按照不同标准作出以下区分:
第一,按照数据所处诉讼阶段不同,可以分为侦查数据、审查起诉数据和审判数据。这三者区分的意义在于,侦查与审查起诉、审判阶段的程序封闭性、秘密性要求不同,处于此三阶段的数据的开放性亦不相同,需采取的数据安全保护措施也不同。侦查阶段出于防止犯罪嫌疑人逃匿和证据被污染或破坏等需要,天然具有高度的封闭性和秘密性,则在此阶段数据通常不向包括辩方在内的诉讼参与人开放。审查起诉阶段相较于侦查阶段不再有高度的封闭性要求,因为我国刑事诉讼法第40条所规定的阅卷权行使时间为“自人民检察院对案件审查起诉之日起”,倘若引入被追诉人之数据访问权,亦可考虑允许审查起诉阶段的数据成为数据访问权的对象;而审判阶段由于审判公开原则的要求,其数据具有进一步的开放性特征。显然,根据三阶段数据开放性的差别,对于侦查数据应当采取最为严格的安全保护措施。
第二,按照数据对数据主体的影响程度,可以将刑事司法中的数据分为一般数据和敏感数据。如上文所述,敏感数据一旦泄露、非法提供或滥用,可能给数据主体的名誉、身心健康、甚至人身安全带来严重威胁,需与一般数据加以区分。对于敏感数据应采取较之一般数据更为严格的安全保护措施,防止敏感数据被篡改、破坏、泄露或非法获取、非法利用,给数据主体带来严重危害。在刑事司法领域,敏感数据通常包括涉及种族或民族背景、政治理念、宗教信仰、性取向等数据,这些数据通常与特定个案的公正处理关系不大,但往往与人的基本尊严或隐私等直接相关,对于防止该数据主体受到歧视性或其他不公平对待的意义重大。对于这些敏感数据,应当原则上禁止收集,即便在符合法律规定的情形下收集之后,也应当采取极端严格的保密措施,并在诉讼目的达成后由公检法机关依职权或依数据主体的被遗忘权主张而尽快删除或者封存。
第三,按照基于国家安全利益对数据保密程度的要求,可以将刑事司法中的数据分为涉密数据和非涉密数据。刑事司法中的涉密数据因其内容与国家安全利益密切相关,一旦公开可能带来重大国家安全风险,对于此类数据应当按照保守国家秘密法和《保守国家秘密法实施条例》等法律法规的要求严格保密。此外,根据保守国家秘密法密级划分的规定,刑事司法中的涉密数据亦应当再作绝密、机密、秘密三级划分,对于不同级别的涉密数据采取不同程度的保密措施。但是,应当注意的是,刑事司法中涉密数据和非涉密数据的划分不得恣意而为,尤其“不得将依法应当公开的事项确定为国家秘密” 〔36 〕,恶意限制或损害诉讼参与人包括相关数据权利在内的诉讼权利。
(二)数据主体的角色与作用
尽管如上文所述,国家在刑事司法领域承担着数据安全保护方面的主要义务,但数据安全保护以保护公民权利为其价值目标之一,则应当允许作为数据主体的公民在数据安全保护制度中扮演重要角色并发挥作用。在刑事司法中的数据处理和安全保护领域,数据主体主要担当以下几方面的角色、并体现相应的作用。
第一,数据主体是数据的来源。数据主体是能够通过数据被识别或与数据具有关联性之自然人 〔37 〕,数据将他们的言论、行为记录下来,并在刑事司法中被收集和使用,从而成为刑事司法追诉犯罪、办理案件的原料。既然是数据的来源,应当承认数据主体对数据在一定程度上的掌控,特别是在收集数据之前,在符合数据安全保护要求的情况下,应当对数据主体进行必要的告知并获得其同意后方可收集数据,即应遵循“告知—同意”原则。但是在刑事司法的场域下,“告知—同意”原则的适用有一定限制。一是“告知—同意”原则限于依照任意侦查主义而收集数据之场景,基于刑事司法特别是收集数据的主要阶段即侦查中的秘密性特征,并非在任何情况下均需完成“告知—同意”。二是对于强制侦查而取得数据之事实的告知,可以如上文所述适当延迟至侦查工作基本完成或侦查阶段结束后,从而与我国刑事诉讼法第40条关于阅卷权行使时间的规定保持协调。
第二,数据主体是数据安全保护的参与者。基于其数据来源的身份并根据作为数据主体的诉讼参与人特别是当事人在刑事诉讼中享有的参与权,数据主体在刑事司法中亦成為数据安全保护的参与者。如上文所述,在刑事司法领域数据主体享有一系列的数据权利,通过行使数据访问权、更正权、限制处理权、反对权、被遗忘权等权利,数据主体对刑事司法领域的数据处理行为实现了形式和实质两个层面的参与,从而对数据安全保护的相关行为和制度产生一定影响。因此,无论是从保障数据主体相关数据权利的角度,还是从刑事诉讼保障当事人主体地位和诉讼参与人参与权的角度,都应当尊重并引导数据主体发挥对数据安全保护的参与作用,刑事司法中的公权力机关亦应当为数据主体的此种参与提供必要的条件和便利,例如提供适当的访问权限和软硬件支持、配备负责相关工作的专门工作人员、为专家辅助人的工作提供协助等。
第三,数据主体是数据安全保护中的公权力监督者和制约者。既然数据主体在数据处理和数据安全保护中都是重要的参与者,则此种参与必然对公权力形成一定的监督和制约。例如上文所述的有限“告知—同意”原则在一定程度上可以对数据的非法获取形成限制,其与限制处理权等权利相结合能保证公权力机关对数据基于诉讼目的之使用,从而防止数据的非法利用。从本质上看,数据主体在数据安全保护中所扮演的公权力监督者和制约者的角色,是公民权利对国家权力的监督和制约的体现,具有宪法层面的意义,应当予以充分尊重和保障。
(三)数据控制者的安全保护职责
刑事司法中,公检法等公权力机关是主要的数据控制者,应当对其科以数据安全保护职责,从而履行国家义务。数据控制者安全保护职责的确定和行使,是刑事司法数据安全保护制度的核心内容,具体而言,其主要应有以下三个方面的职责:
第一,数据处理前的数据安全审查和评估。数据安全审查和评估应由数据控制者和处理者在进行数据处理行为前参照上文所述的数据分类分级制度进行,通过考虑和审查数据的性质和数据处理的方式、内容、范围、目的等,评估此种数据处理行为可能给数据主体带来的权利影响和对数据安全保护造成的风险。此种数据安全审查和评估对于保护数据安全具有事前预防之功效,许多国家和地区的数据立法中均规定数据控制者和处理者的此项职责,例如GDPR第35条第1款即规定数据控制者应在数据处理之前评估计划的处理工作对个人数据保护的影响。在刑事司法领域,以公权力机关为主的数据控制者和处理者同样需要履行此项职责,在对相关数据进行收集、存储、使用、加工、传输、提供、公开等处理时,需要审查数据的性质和内容,并评估相应处理可能给数据主体带来的影响,特别是给犯罪嫌疑人、被告人和被害人等当事人可能带来的影响。例如在进行数据存储和传输等处理行为时,公权力机关应当评估其间可能存在的篡改、破坏和泄露风险,从而运用刑事证据鉴真等规则预防作出防范。当刑事司法中作为数据控制者和处理者的公权力机关在进行数据安全审查和评估中遇到困难时,亦可咨询刑事司法中的专门数据监管机构或网信部门等数据安全保护的专业机构,从而尽可能地预先降低数据处理带来的数据安全风险。
第二,数据处理过程中的数据安全监测和预警。如上文所述,刑事司法中数据安全保护应有全程监管,则公检法等公权力机关作为数据控制者和处理者,应在数据处理过程中承担数据安全监测和预警之职责。具体包括:一是在数据处理过程中按照数据分类分级制度和数据安全审查和评估结果,对特殊数据进行加密或匿名化处理。例如,涉及受保护证人个人信息的数据、有必要收集的敏感数据等,从而降低此种数据一旦泄露带来的危害。二是针对数据访问和处理权限设置限制性的安全保护措施。例如,设计必要之数据访问和处理的预先授权、处理留痕和加密授权触发等机制,以确保进行数据处理之人在获得合法的授权后方可处理数据并受到必要的监督,防止数据的非法使用。例如湖南岳阳曾发生过一个警察运用刑事司法中的个人定位数据追踪前女友并对其实施非法拘禁的案件。〔38 〕倘若对数据库的访问权限作必要的限制,此种案件发生的几率将大大降低。三是对数据处理的各个阶段规定严格的流程规范,并对关键节点进行日志记录,对于重要的数据处理行为,可以参考2019年公安部《电子数据取证规则》第25条针对网络在线提取电子数据的规定,以录像、拍照、截获计算机屏幕内容等方式记录数据处理的相关信息。四是对数据库等数据存储系统进行定期与不定期相结合的安全测试,防范和发现系统安全漏洞,并作出相应地预警和补救。
第三,数据安全事故发生后的报告和应急处置。一旦发生数据安全事故,尽快进行报告并采取相应的应急处置,是尽可能降低事故带来的不利后果的必要手段。几乎所有与数据安全保护相关的法律法规都有此种报告和应急处置的要求,例如GDPR第33条和34条分别要求数据控制者和处理者在发生个人数据泄露的情况下向监管机构报告和向数据主体传达。我国数据安全法第29条规定:“……发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。”在刑事司法領域,一旦发生数据被破坏、泄露等安全事故时,作为数据控制者和处理者的公权力机关也应当履行报告和应急处置两方面职责:一方面是报告。一旦数据安全事故发生,相关机关应在第一时间按照规定向刑事司法领域的专门数据安全监管机构报告;除此之外,在必要时也应向作为数据主体的公民进行通报,特别是在此种数据安全事故可能给数据主体如证人、被害人等带来人身安全等重大威胁时,此种通报就具有极为重要的意义了。另一方面是应急处置。公权力机关在刑事司法数据发生安全事故时,应立即采取关闭系统访问权限、暂缓数据处理行为、维修或更换硬件设备、进行病毒查杀或故障处理、进行数据隔离等应急措施,尽可能降低损失、减小不利后果。
(四)数据监管机构的设置与职能
设置独立、专门的数据监管机构,能够有效监管数据处理行为,对于数据安全保护具有重大意义。欧盟GDPR在第6章以专章的形式规定独立监管机构的独立地位、权限、任务和权力等,2016/680号指令中对于独立监管机构亦有专章规定。日本个人信息保护法第4章第4节规定个人信息保护委员会作为专门的个人信息保护监管机构,负责个人信息安全保护之监管。〔39 〕我国网络安全法第8条规定“国家网信部门负责统筹协调网络安全工作和相关监督管理工作”,数据安全法第6条第3款亦有“国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作”之规定,结合两部法律其他条文的规定可知,网信部门是我国法律所规定的数据安全监管机构。
然而在刑事司法领域,网信部门作为专门的数据监管机构存在一定的障碍。一方面来自刑事司法自身的专业性和特殊性:刑事司法中的数据安全监管与其他领域存在一些区别,对该领域的数据安全监管往往需要刑事司法的专业知识,而这是网信部门工作人员不具备的。此外,刑事司法领域特别是侦查阶段存在上文所述的封闭性和秘密性特征,数据处理的过程通常排斥外部机构的介入,网信部门很难对其进行全程、实时的监管。另一方面在于在多数情况下刑事司法领域的数据处理本质上是证据运用的过程,此种数据处理行为即是公安司法机关的诉讼行为,倘若将数据安全保护监管的职责交由网信部门,会导致对数据处理行为的监管与对诉讼行为的监督进行分割,不但逻辑上难以成立,从实践操作的层面来看也不具有可行性。
面对上述障碍,相对合理的选择是将检察机关确立为刑事司法领域的专门数据监管机构。首先,检察机关在大陆法系的传统下被视为“客观官署” 〔40 〕,由其行使数据监管职权,在独立性和中立性方面符合我国法律的要求。其次,相较于数据安全法第6条令公安机关、国家安全机关承担数据安全监管职责的设计,检察机关是宪法规定的“国家法律监督机关”,本就在刑事诉讼中履行自立案至执行的全程监督之职责,对于包括数据处理行为在内的诉讼行为进行监督名正言顺。再次,检察机关的工作人员均是经过培训、考试等选拔的法律专业人士,对于刑事司法的监督本就是其职权之一,不存在专业性方面的问题。最后,检察机关作为刑事诉讼监督机关,介入刑事诉讼的各个阶段均不存在障碍,即便是最为封闭秘密的侦查阶段,检察机关亦可提前介入或引导侦查,从而避免了进行全程数据安全监管的程序方面的阻碍。当然,将检察机关确立为刑事司法领域的专门数据监管机构的同时,应当规定其在必要时寻求网信部门的协助和向其提出咨询,从而实现数据监管方面的技术交流。
检察机关作为刑事司法领域的专门数据监管机构,在数据安全保护方面应有以下职能:第一,根据数据分类分级制度,统筹确定刑事司法中的重要数据目录。检察机关作为专门数据监管机构,通过协调制定重要数据目录,对于刑事司法中其他机关及本机关的数据处理行为提供指引。第二,对数据控制者和处理者的重要数据处理行为进行同步监督。对于一些事关重大,特别是涉及国家重大利益或公民重要权利的数据处理行为,在必要时检察机关应有权进行同步监督,当前我国刑事司法中已有的检察机关提前介入等制度可以作为同步监督机制设置之参考。第三,对刑事司法中的数据处理系統进行安全巡查。此种安全巡查可以以定期或不定期的方式进行,一旦发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施或通知相关机构采取补救措施。第四,接受数据安全事故报告并作出处理。检察机关履行刑事诉讼中的数据监督职能,应是接受数据安全事故报告的机构。在收到报告后,检察机关应就不同类型的数据安全事故作出不同的处理决定,交由相应的机关或部门执行。第五,受理数据主体有关数据安全方面的异议或申诉。数据主体和刑事司法中的公权力机关可能就数据安全问题产生争议。例如,数据主体可能因其被遗忘权主张要求删除数据,而公权力机关拒绝此种申请。在此种情况下,作为数据监督机关的检察机关应当有权接受相关异议或申诉,并根据具体情况作出决定。通过上述职能的行使,检察机关能够在刑事司法数据安全保护方面发挥重要的监督者和裁决者的作用。
结语
科技与刑事司法的互动关系是一个由来已久的话题,在这个问题上,需要就科技的前沿性与刑事司法的稳定性要求进行平衡,科技的发展以试验和错误为成本,但此种成本却往往为刑事司法所无法容忍。因此,刑事司法对于科技的运用虽不能固步自封、但也需要小心谨慎,否则就会对“如同桅杆顶尖,对船身最轻微的运动也会作出强烈的摆动”的刑事诉讼 〔41 〕产生重大的影响。而在科技发展的推动下,数据的运用已经深入我们生活的方方面面,作为人类生活方式的重要内容,刑事司法亦概莫能外。刑事司法中的各种数据处理行为对于推动刑事诉讼的进程、查明案件事实、作出公正裁判具有技术层面的助推作用,但是其也不可避免地带来改变诉讼模式、影响诉讼参与人权利等影响,尤其是其可能造成的数据安全隐患值得我们关注。从根本上看,数据安全在刑事司法的场域下事关生命、自由、财产等最重要的利益和价值,对刑事司法数据的安全保护是刑事诉讼公正和人权保障等核心价值的要求,不能不予以万分重视,从而实现数据运用于刑事司法、服务人民群众、保障“维护社会公平正义的最后一道防线” 〔42 〕的目标。
Abstract: The massive collection and use of data in criminal justice will inevitably bring about the problem of data security protection. Existing laws have insufficient provisions on this issue. The newly promulgated Data Security Law is also too rough in terms of data security protection in criminal justice. In addition, judicial informatization has exacerbated data security risks in criminal justice. It is necessary to pay full attention. Criminal justice should take the protection of citizens' rights as an important value orientation for data security protection, determine the state's main obligations for data security protection, and then conduct data security supervision over the entire process of criminal procedure. Specifically, it is necessary to establish a data classification and grading system, respect and exert data subjects' influence in data security protection, clarify the data security protection responsibilities of data controllers and processors, set the Procuratorate as a special data supervision agency and give it corresponding functions, so to build a relatively complete data security protection system in the criminal justice.
Key words: data; criminal justice; data security protection law; data supervision; personal information protection; technology and justice