刑事诉讼中应加强个人信息保护

一、刑事诉讼中保护个人信息的需求

信息时代下，互联网、大数据、人工智能等新技术的广泛运用改变了信息的传播方式，在给人们的生活带来便利的同时也引发了个人信息失控的担忧，个人信息保护已成为信息时代的重要议题。在此背景下，许多国家或地区出台了关于保护个人信息的法律文件，最典型的即为欧盟《一般数据保护条例》（GDPR），我国也即将出台“个人信息保护法”，以回应此种时代需求。

在这样的时代背景下，刑事诉讼中自然也存在着保护个人信息的需求。信息时代下刑事诉讼中的公权力机关通过运用大数据等技术，大量收集个人信息，并在所收集的个人信息的基础上建立各种类型的数据库，对于预防和追诉犯罪有着重要意义。此外，由于刑事诉讼系以国家强制力为后盾的，因此其中的个人信息收集与使用，也明显地带有强制性特征，相较于其他领域内的个人信息收集和使用的行为，“对公民个人信息的干预广度、深度都远远超越公民个人、商业机构、社会机构”，其强度也大于民商事领域或者政府行政领域。此外，在智慧警务、智慧检务与智慧法院的浪潮下，各个公权力机关之间有“互联互通”的要求，个人信息在不同数据库之间的传输与流动，也会导致发生泄露和失控的风险。

但是相比于民商事或行政领域个人信息保护问题的广受关注，刑事诉讼中的个人信息保护问题尚未得到充分认识。一方面固然是因为刑事诉讼中有涉及生命、自由、财产的剥夺这类更为重要的问题，另一方面则是由于为了实现预防和打击犯罪的目标，个人信息保护的问题被淡化甚至回避。一些关于个人信息保护的专门性法律甚至直接将刑事司法排除于其适用范围之外，例如欧盟的GDPR就明确规定不适用于刑事司法。在此种刑事诉讼中对个人信息的使用日益被重视和强化、但对个人信息的保护却被忽视的现状下，刑事诉讼成为个人信息保护这个“木桶”上最短的一块“木板”，与信息时代下个人信息保护的社会整体需求形成强烈反差。

事实上，刑事诉讼中保护个人信息的需求是现实而迫切的。即便在刑事诉讼发生之前，警方就可能基于风险防控的要求预先地大量收集个人信息，这类个人信息必须被严格地限制使用的目的和方式。而在诉讼过程中，侦查机关可能通过网络搜查、大数据追踪、人脸识别等方式强制收集个人信息，并将收集的个人信息传递给起诉机关和审判机关，在其间作为信息主体的公民个人对于其个人信息的掌握已然失去，因此需要由法律明确规定此类信息的收集使用方式。甚至在诉讼结束后，被最终确定为无罪之人、被害人、证人、甚至已被定罪完成刑罚之人，都有回归正常生活的需求，于是又有行使被遗忘权要求封存甚至删除相关信息的需求。

更值得注意的是，在各个国家都在推进司法信息化建设的过程中，司法信息化所运用的相关技术可能存在漏洞、出现错误，有出现遇到网络黑客攻击、系统故障、人员操作失误的可能，一旦遭遇这些情形，则个人信息就有泄露的风险，可能给作为信息主体的公民的隐私、财产甚至人身安全带来进一步的风险。2019年英国曾发生过此类事件，司法信息化技术故障导致系统崩溃、审判和相关工作停滞、数据库损坏并出现数据丢失风险的重大事故，使得人们对于存储于司法信息化系统中的公民个人信息安全产生了担忧。在此种现实下，保障刑事诉讼中收集的个人信息之安全，成为刑事诉讼的重要需求。

二、刑事诉讼中个人信息保护的现状与问题

尽管信息时代下个人信息保护的需求愈发强烈，刑事诉讼中也有此种需求，我国并无针对刑事诉讼中个人信息保护问题的专门立法，涉及个人信息保护的相关法律也不适用于刑事诉讼。《刑事诉讼法》中与个人信息保护问题有一定关系的条文数量极为有限，仅有第54条、第64条、第152条等几个条文，包括涉及个人隐私证据的保密、不公开证人等个人信息、技术侦查中知悉的个人隐私保密等几个问题，其保护的范围和力度均有限。但是值得注意的是2016年最高人民法院、最高人民检察院和公安部颁布了《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》、2019年公安部颁布了《公安机关办理刑事案件电子数据取证规则》，这两个文件在对电子数据取证和审查问题上有许多体现个人信息保护理念的规定。除此之外，《国家情报法》、《反恐怖主义法》及其他相關法律也有关于各自涉及刑事诉讼领域内个人信息保护的规定。

从总体上看，目前我国对于刑事诉讼中个人信息保护问题仍然重视不足，现有的规定也主要存在两方面的问题。第一方面的问题是缺乏完整的规范体系。如上文所述，关于刑事诉讼中个人信息保护的规定散见于《刑事诉讼法》和其他相关法律法规中，且规定的方式不成系统，这样极容易导致实践中的忽视和适用困难。针对这一问题，有两种解决方案，一种是日后在关于个人信息保护的专门法律中专章规定刑事诉讼中保护个人信息的问题，另一种则是在未来时机成熟的情况下修改《刑事诉讼法》时设置关于个人信息保护的专章规定。第二方面的问题在于相关的规定较为重视对公权力机关的权力授予，而对作为信息主体的公民的赋权和对公权力机关的权力制约规定不足。例如《刑事诉讼法》中规定的技术侦查，其涉及个人信息的收集和使用，但相关的制约性规定仍然过于粗疏;再如《网络安全法》第28条规定网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助，但是缺少对刑事诉讼中公民个人信息权利的赋权性规定，难以实现权利对权力的制约。

三、刑事诉讼中加强个人信息保护的路径

针对上述问题，应当从赋予公民个人信息权利、明确公权力机关义务与责任两个方面，加强刑事诉讼中的个人信息保护。

（一）赋予公民个人信息权利

在刑事诉讼中，当事人和其他诉讼参与人都可能成为信息主体，按照个人信息保护的一般原理，这些信息主体应当享有前置性权利、程序性权利和救济性权利这三类权利。

其一，所谓前置性权利是指信息主体对于其个人信息被收集使用应知悉的权利。由于对个人信息被收集使用的知悉构成了行使其他权利的前提，因此此项知悉之前置性权利十分必要。参考个人信息保护的“知情-同意”原则，刑事诉讼中尽管因其强制性特征对该项权利应有所限缩，但毕竟仍有此项权利的适用空间。为保证刑事诉讼的顺利进行，关于其个人信息被收集使用之告知可以延迟至封闭性最强的侦查程序结束之后进行，当然如果此种告知不至造成侦查之阻碍，亦可提前之侦查阶段中秘密性最强的侦查工作基本完成之时进行。

其二，程序性权利主要是在诉讼过程中查阅访问相关数据的权利。在数字化的背景下，对数据的查询访问对于作为信息主体的刑事诉讼参与人、特别是被追诉人而言具有重大意义，甚至关系到其是否能够有效进行辩护，唯有充分保障此种权利，才能对公权力机关所掌握的信息和证据有充分了解，辩护才能有的放矢。目前根据我国《刑事诉讼法》的规定，辩方享有阅卷权，但是此种阅卷权的权利主体是辩护人，而非作为信息主体的被追诉人本人，而且此种阅卷权的对象是案卷材料，包括诉讼文书和证据材料，范围较窄，难以适应司法信息化带来的刑事诉讼个人信息收集使用方式的变化，故而应考虑对其进行改造，实现阅卷权向数据访问权的进阶。

其三，救济性权利主要包括更正权、被遗忘权、限制处理权等。更正权是信息主体在发现公安司法机关所收集使用的个人信息存在遗漏、错误等情形时要求其进行补充、更正的权利;被遗忘权是信息主体在其个人信息不再有合法使用之需时、或经由同意后撤回同意时要求删除相关信息的权利;限制处理权是信息主体对被收集使用的个人信息的准确性提出质疑、而该信息的准确性尚在查证过程中，或者该个人信息需被保全而作为证据使用时，信息主体有权要求只有在其同意时公权力机关才能使用该信息的权利。在刑事诉讼中赋予信息主体这些救济性权利，可以保证公权力机关对个人信息的准确、有效及合目的之使用。

（二）明确公权力机关的义务与责任

有权力则有义务。刑事诉讼中的侦查、起诉、审判机关等机关基于刑事诉讼的目的收集使用个人信息，也应当履行相应的义务，倘若未依法履行义务，则需承担相应的责任。作为刑事诉讼中个人信息的控制者和处理者，这些公权力机关所承担的义务主要有两类，包括告知义务和协助义务，其责任主要包括因使用信息而承担的信息安全保障责任。

一方面，作为个人信息控制者和处理者的公权力机关应当承担告知义务和协助义务。告知义务与作为信息主体的诉讼参与人所享有的前置性的知悉权相对应，具体有三项要求：其一，在告知时间方面，由于刑事诉讼固有的秘密性和封闭性特征，如上文所述，此种告知可以延迟至秘密性最强的侦查工作基本完成或侦查阶段结束后，但根据案件情况，应允许和鼓励公权力机关尽早告知;其二，在告知的内容方面，作为信息的控制者和处理者，公权力机关除告知信息主体其个人信息被收集使用的概况性事实之外，还应告知收集使用个人信息的法律依据、被收集使用的个人信息的具体内容、收集使用个人信息的目的和法律意义（例如可能被用作针对该信息主体的控诉证据等）、以及告知信息主体因此享有的相关权利和救济途径;其三，在告知的方式方面，此种告知应以书面文件（包括电子文件）等可留痕方式进行，以便后续程序中查证。此外，公权力机关对应于信息主体的程序性权利还有协助之义务。针对作为信息主体程序性权利的数据访问权，公权力机关应当应请求而向其提供数据库访问权限、数据副本等，针对更正权而根据信息主体的要求修正不准确信息、补充不完整信息，针对被遗忘权而依法删除已无合法使用必要或已被撤回使用许可的信息，针对限制处理权在信息存疑或信息被保全的情形下處理使用个人信息预先取得信息主体的同意。

另一方面，刑事诉讼中的公权力机关基于其控制和处理信息权力应当履行的信息安全保障责任主要包括四方面：保密责任、记录责任、风险评估责任、信息泄露后的通知和告知责任。其一，尽管刑事诉讼中公权力机关收集使用个人信息相对于信息主体而言仍应遵循透明性这一个人信息保护基本原理而履行告知义务，但其收集使用的信息、尤其是敏感个人信息应当对其他人严格保密，以防被用于刑事诉讼之外的其他目的。为保障此种保密责任的实现，公权力机关应采取必要的措施保证信息处理的安全，例如传输和存储个人信息时采用加密等措施、对大量接触个人信息的人员进行背景审查、设置使用特殊数据的授权触发机制、对特定数据进行“匿名化”处理等。其二，对于收集使用个人信息的过程应当予以全程记录，特别对公安机关收集个人信息的行为，应全程记录，并根据此种记录由公安机关法制部门及时审查此种行为的合法性。其三，公权力收集使用公民个人信息时，应当评估此种收集使用行为可能带来的风险，特别是可能给该公民的隐私、财产、人身权利带来的风险，从而按照目的限制与比例原则的要求进行价值衡量。其四，在已经发生个人信息泄露事故时，作为信息控制者和处理者应当及时通知和报告，一是向主管部门报告，其目的在于尽快采取补救措施减轻事故后果;二是向信息主体报告，以便其了解因此可能带来的人身伤害、财产损失等方面的风险，及时做好准备或寻求保护。对于信息泄露后的通知和告知责任，我国《网络安全法》第42条已有规定，在刑事诉讼中也应加以明确。

（郑曦，北京外国语大学法学院教授/责编 刘玉霞）