电子数据取证与个人信息权的冲突与消解

顾诗芸

（华东政法大学 刑事法学院，上海 200042）

一、问题的提出：“大数据时代”背景下的电子数据

普遍认为，1890年路易斯·布兰代斯和塞缪尔·沃伦在其合作的论文《论隐私权》中最先提出“隐私权”这一观点。该文章对于当时美国常见的偷拍、散布流言蜚语等侵犯他人隐私的行为作出批判，指出生活安宁遭侵扰、个人信息受窥探的当事人遭受了精神痛苦，理应获得法律的救济。自此，隐私权得到私法领域的重视。而伴随着信息技术的普及与科技的迅速发展，人工智能产品、大数据技术等成为人们生活、学习、工作不可或缺的工具，同时对网络数据的监控、挖掘、存储与处理分析能力逐渐成熟，使得隐私权这一概念已不再囿于“私域”之中，其涵盖范围、承载客体、控制主体产生了不同程度的扩张，有向“公域”延伸之趋势［1］。国家机关基于社会管理与公共服务之需要，海量收集并使用个人在网络上留下的数据痕迹，如用户间沟通交流产生的通信数据、发布在短视频平台上的多媒体数据、学习过程中写下的电子文档形成的文本数据等，在此过程中公权力不可避免地会入侵原本私密的个人空间，与个人自治领域发生摩擦。另一方面，人们逐渐意识到，私权的保障不应止步于隐私权，个人信息同样值得重视。

根据《民法典》第一零三四条第二款规定，个人信息是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。第三款对个人信息与隐私作出二阶层式划分：个人信息中的私密信息属于隐私权调整范畴；非私密信息则适用有关个人信息保护的规定。前者如通信内容、行踪轨迹、个人信仰等内容，后者如个人资料、家庭状况等内容。《个人信息保护法》第四条进一步将“匿名化处理后的信息”排除在外，对个人信息范围做出合理限制。对“个人信息的处理”，包括“收集、存储、使用、加工、传输、提供、公开”等，并在《个人信息保护法》二审稿的基础上新增了“删除”行为，不仅展现了立法对个人信息权的逐步完善，并且体现出立法者对该新兴权利之重视。

伴随着信息技术的蓬勃发展，全球数据爆炸式增长，为形容网络中庞杂数据之集合，“大数据”这一概念随之诞生。人们置身于大数据环境中分享信息，数据由此渗入人们的生活、学习、工作等方方面面，同时也对刑事司法产生深远影响——电子数据几乎渗透到每一起犯罪之中［2］，侦查人员青睐通过它来发现事实、侦破案件。与此同时，当下的电子数据具有体量大、模态多、生成快、价值大、密度低等特征［3］，由此发展出与传统证据种类有差异性的取证方法，如网络在线提取、网络远程勘验等。在取证过程中存在过度收集、违规加工、监管缺位之乱象，对个人信息构成巨大威胁，因此倒逼着包括司法机关在内的各行业数字化水平的提升与信息化建设的推进。

以侦查视角观之，大数据时代背景下的电子数据，一方面为司法工作人员带来诸多机遇，例如其通过深入挖掘、充分利用大数据可实现数据主体画像分析、模拟案件决策等目标，有助于提高社会治理能力；另一方面，电子数据的取证也给侦查机关带来许多挑战，在个人信息保护方面尤甚。首先，电子数据的虚拟性与多存储源特征使得存储不再局限于手机、电脑、相机等实体设备，还包括网络云盘等云同步存储空间。其次，大数据价值可观，但却具有数量大、密度低的特性［4］。为从庞杂无序的数据中筛选出有价值的犯罪线索，侦查人员受侦破案件目的之驱使，会利用一切手段尽可能多地收集数据。即使是非私密的个人信息，通过加工与阐释，也足以形成用户洞察报告。而当前用户数据的提取、固定、使用、保管等措施仍缺乏有效的监管，难以对个人权益提供充足的保护与救济。最后，由于大数据生成快速，则要求收集、处理数据等行为必须及时，避免因错过时效而丢失数据价值，因此当前数据监控体系有提前搭建、全面覆盖之趋势，却导致公民不为人知的个人空间显得更加局促。可见，大数据是把双刃剑，如何平衡电子数据取证与个人信息安全保障之间的冲突是侦查人员所面临的突出挑战。

二、电子数据取证对个人信息权带来的挑战

随着权利意识的兴起，电子数据的立法加快了步调。最高人民法院、最高人民检察院和公安部于2016 年颁布的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（以下简称《电子数据规定》），首次对电子数据收集提取、移送展示、真实性审查等问题作出规定。公安部于2019 年颁布的《公安机关办理刑事案件电子数据取证规则》（以下简称《电子数据取证规则》）则对电子数据检查和侦查实验、检验与鉴定等内容予以细化。2021 年施行的《个人信息保护法》则首次将国家机关处理个人信息的行为纳入监督范围，要求其应当依照法律、行政法规规定的权限和程序进行，不得超出履行法定职责所必需的范围和限度①《个人信息保护法》第三十四条规定：“国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。”。尤其在刑事诉讼中，侦查机关为治理犯罪对电子数据进行取证的侦查过程中，如何在合理限度内干预个人信息成为现阶段理论研究与实践探索亟待解决的难题。

（一）来自取证方式的挑战

《电子数据规定》是我国针对电子证据现行较为全面的规范，根据该规定第六条和第九条，收集、提取电子数据一般采取扣押原始存储介质、网络在线提取、网络远程勘验计算机信息系统、网络技术侦查的措施。但美中不足的是，对于电子数据的收集与提取似有仅将《刑事诉讼法》的侦查程序规定加以细化之嫌。

第一，现行主流取证方法不符合比例原则。

《电子数据规定》第八条规定电子数据能够扣押“原始存储介质的”，应当“扣押、封存原始存储介质”。《电子数据取证规则》第十条同样延续该规定，且二者皆规定仅当因客观情形不能或不宜扣押原始介质时，方可采取打印、拍照或者录像等方法固定相关证据并说明原因。实践中因此形成了以扣押原始存储介质为首要方法，其他方式为补充的取证模式。

规定的支持者认为，由于电子数据是由“0”“1”编码规则处理而成，因此在形成、存储、展示等环节都需借助技术设备与技术手段才能为我们所感知，由于电子数据的脆弱性、易变性，在此过程中都可能遭遇客观因素如断电、网络病毒攻击，或是人为因素恶意编辑、删减等影响证据资格，因此其对于设备、技术的依赖性较之于其他证据种类更大［5］［13］。此种收集原件方式的优势在于既可以防止对原始数据的破坏，也可以完整地记录在收集、存储、传输过程中形成的数据留痕，有助于裁判者鉴真，并应对辩方可能提出的质证。因此，《电子数据规定》规定在审查时首先需查看原始存储介质的扣押封存状况。

然而笔者认为以扣押作为取证的首要措施是非必要的，理由在于此种方式与比例原则的手段具有必要性且对权利干预程度最低的要求背道而驰。其一，扣押原始介质作为首选取证手段是不恰当的。电子数据要经过生成、固定、传输、展示等多个环节，一般存在多个存储介质，如何判断哪一个才是原始存储源也成为难题。随着当前云计算服务的普及，数据的存储并不仅仅局限于硬盘、手机、电脑等实体介质，可能分散地存储在本地存储设备或是虚拟服务器中，这使得扣押原始介质成为不切实际的要求，而不得不采取在线提取、远程勘验作为补充手段。其二，此举会不当扩张取证内容。因电子数据容量虽大但其密度低、隐蔽性高，侦查人员在收集时难以在第一时间区分介质内的数据是否均与案件相关，而扣押原始介质有助于侦查人员充分检索数据资源，因此种手段类似于勘验措施中的封锁犯罪现场，学者曾将这一现象描述为“虚拟场理论”——在虚拟场中，用于定案的电子数据与海量信息共同存在于硬盘、光盘、云盘等信息载体中，实践中侦查人员在获取诸如邮件内容、聊天记录、网页浏览记录等电子数据后，还会继续挖掘和提取与相关文件的形成痕迹相关联信息，与在物理空间进行现场勘验具有相似性［6］，只不过从物理空间发展为在信息空间内收集。因此，在侦查之初没有明确目标数据时，通过先固定存储源，再展开数据挖掘，并随时根据取证需要调整搜查范围，以求获取全面的电子数据。此时实际上会接触大量与案件不相关的介质占有人或其他相关主体的信息，有扩大搜集他人个人信息之虞。

第二，取证起始节点不断前移。

实践中办案人员为了确认是否符合立案——有犯罪事实且需要追究刑事责任——的条件，在刑事诉讼启动前便收集、提取电子数据，《电子数据规定》第六条对初查得到的电子数据予以认可，明确规定“可以作为证据使用”。这对于侦查机关防止证据线索灭失、积极发现案件事实、核实立案材料有着重要意义。但这种行为是否不当扩张侦查权，将干涉个人信息的起点提前存在争议。

依照《人民检察院刑事诉讼规则》第一百六十九条对初查行为的规定，初查时仅可采取“不限制被调查对象人身、财产权利”的任意侦查方式，将查封、扣押、冻结、技术侦查等可能干涉初查对象的住宅安宁权、通信自由和秘密权等措施排除在外。但是，电子数据中多种取证措施在初查阶段同样具有强制性侦查之色彩。在立案前办案机关若欲获取公民的通话记录、邮件往来、购买交易记录等电子数据，有相当部分数据需要通过网络在线提取、网络远程勘验等侦查措施，实际上是以侦查技术之名掩盖技术侦查之实。

与之类似的是由大数据技术驱动下的由追溯性的打击犯罪向预测性防控犯罪转化。警方为提前预判潜在犯罪人以及犯罪行为，强化对公民日常生活中数据行为的监控，通过收集姓名、性别等公开信息，以及通信内容、行踪轨迹等敏感信息，并加以数据分析，以实现有针对性的精准打击。无论是初查便收集、提取电子数据，或是预测性警务的推广，在预防和打击犯罪方面确实作出了卓越贡献，但也不应顾此失彼，扩张国家权力的同时却忽视了其对于个人信息权干预时点大大提前。

第三，取证过程中监督不力。

相较于获取数据信息的侦查机关，作为数据生产者的公民处于弱势地位，不具备对个人数据“作出有影响力决策”［7］的能力。为约束公权力，避免取证过程中的搜查、扣押、技术侦查等行为对公民的个人信息造成侵害，因此对全过程进行监督是必要的。然而，一方面《电子数据规定》与《电子数据取证规则》均沿用《刑事诉讼法》所规定的内部机关自行审批之监督模式，然而该模式下决定主体与实施主体混同，内部可能存在利益关系、人情网络、相似的思维方式［8］，而缺乏中立性。且其所要求的“经过严格的批准手续”表述粗疏，对于审批主体、审查内容、审批程序等仍缺乏细化规定。另一方面存在规避针对强制性侦查措施严格监督的操作空间。由于扣押措施属于强制性侦查行为，为审慎起见其需要审批，但在电子取证过程中，扣押措施依附于数据调取，反而降低了扣押门槛，退格为任意性侦查行为，不仅无需审批，而且在初查程序时也可使用，使得监督力度进一步削弱。

因此，为防止侦查人员在收集、提取电子数据过程中不当干预公民个人信息权，更为恰当的做法是由中立的监督机关分别从事前预防、事中控制、事后追责三方面入手，平衡双方能力上的差异。在取证前需对收集该电子数据所欲达成之目的以及适用手段进行正当性、合理性、必要性审查判断；在取证过程中监督取证主体是否遵循法律规定操作，对敏感数据通过加密平台进行传输，防止个人信息用于诉讼外目的或遭不法泄露；在取证事后若辩方申请排除非法证据，由法院审查侦查人员电子取证措施，对不当行为进行制裁，震慑侦查人员的同时对被侵权人提供救济。而目前我国对电子数据取证的准备程序、审批、使用、事后追责的监督程序的具体规范还有待进一步明确。

（二）来自取证范围的挑战

在步入信息时代之前，取证方式主要是物理性的，人们可通过树立栅栏、紧闭房门来防止有形侵入。而在信息时代，尤其是“大数据时代”的来临，对数据权利主体造成了新的困扰，不仅对于远程勘验、在线提取电子数据、监控、窃听之类隐秘的电子入侵方式难以察觉，而且即使当事人有意维护个人隐私等数据信息，但因缺乏足够技术水平也无法采取相应的预防措施，面对侦查人员越权取证的行为却无能为力，难以确切知道个人数据是如何被收集和利用的。

现如今手机、平板电脑、计算机、云盘等信息存储源成为人们的私密空间，存储着通信记录、照片、音视频、浏览记录等内容，问题在于，存储的数据除了可作为证据使用的信息外，还包括大量与案件无涉的信息。以发送一条微信消息为例，调取数据时不仅能获得用户发布的实体内容，借助“去匿名化”等技术还可获取包括发布者微信账号的用户注册信息、登录日志、设备信息等用户端所有可见信息。

由于个人数据信息具有低密度性，取证的压力驱使着侦查人员通过“地毯式搜索”取得更多的信息，以便获取更多相关人的隐私利益和使用价值［9］。然而，证据作为“信息的载体”，不同的证据承载的信息量不同，与案件有关联的信息量更为不同［5］285。因此取证时需精准提炼出与可以认定案件具体事实的数据，如主体身份、客观行为等要素。换言之，这要求对取证范围必须严格限制，仅限于可能隐藏罪犯或者与犯罪相关证据的人身、物品、场所。若其中还含有特定材料，如本应保密的律师及客户信息、医疗记录等，还需要专门的调查许可。

该取证措施除了会影响被取证人的个人信息权，还有可能影响第三人的权利。以网络远程勘验为例，侦查人员进入特定计算机信息系统内以发现犯罪相关的痕迹与线索［10］，而被勘验的计算机系统等数据存储空间一般是多人共享的，除被取证人的数据外，还包括与犯罪嫌疑人和犯罪事实无关人员的信息。是以，侦查人员应避免扩张取证范围。

（三）来自数据控制者的挑战

仍以发送微信消息为例，形成的电子数据至少可通过发件人的电子设备、收件人的电子设备、微信服务商三方取得。因此，对数据具有控制权的不仅是用户本人即数据主体，还包含网络运营者、网络产品或者服务的提供者等数据控制者［11］。基于《刑事诉讼法》第五十四条规定，有关单位和个人有如实提供证据的义务。而对电子数据取证而言，电子数据的多途径来源为收集数据提供了便利。侦查人员可绕过取得数据主体同意的约束，通过数据控制者的协助直接取证，导致用户虽然是数据的生产者，但不拥有所有权。

这也容易引发争论，此时数据控制者是否侵犯个人自主决定其信息披露或使用的权利，即“个人信息自决权”是否处于不安定状态下。用户向数据控制者披露地理位置、兴趣偏好等数据并与之共享的前提是控制者对其负有安全保障义务，即不得泄露、篡改、毁损，或是非法向他人提供数据。然而依照《中华人民共和国网络安全法》第四十条至第四十五条详细规定，运营者应当对其收集的用户信息严格保密，但又在第二十八条规定，“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助”。可见，法律赋予网络运营者辅助国家执行司法任务的责任，而且接触该数据信息的门槛设置较低，只要基于“维护国家安全和侦查犯罪”目的，便可请求其协助解密并提供该数据。因此，协助司法机关的披露义务，与对收集得来的客户个人信息具有的保密义务，二者存在紧张关系。公安司法机关获取数据控制者收集的用户数据时，如何权衡个人信息保护与犯罪治理目的，减少对个人信息自决权的影响，则需要法律为办案机关设置一定限制，以避免侦查机关干预个人信息的手段增多、范围扩张。

三、以合理干预个人信息为前提的取证体系建构

法律授权侦查机关基于探寻案件真相、追诉犯罪、维护社会秩序的正当目的收集电子数据而介入公民个人信息领域，但这种介入是有限度的，应强化公民的防御手段来对抗公权力的不当干预。一方面，《刑事诉讼法》作为指导侦查措施的基础性法律，可通过对公安司法机关采集、存储、公开、管理、使用个人信息等步骤作出详细规定用以规范具体取证行为，并监督其严格落实责任；另一方面，应妥善保障数据主体包括知情权在内的多项救济权利，以平衡公共利益与个人信息权的矛盾。

（一）进一步完善电子数据取证规则

近年来非法证据排除规则已得到充分贯彻，为确保电子数据能进入法庭裁判者视野并被采纳，则技术上需采取专业措施保证电子取证的准确性，也需在符合《刑事诉讼法》的前提下对电子数据取证作出特别规定。申言之，取证规范需既满足技术要求也满足法律规制，最大限度地保障个人隐私权等基本权利。

第一，申领令状之要求。

电子数据的在线提取、网络勘查行为较之其他取证措施，强制力度更大，也更易侵犯公民包括个人信息安全在内的各项权利，因此有必要将这两种取证措施参照搜查、技术侦查等强制性侦查措施之要求进行规范。要求有权机关事先对侦查行为进行严格审查，审慎地使用于确有需要的案件，侦查人员经批准后持搜查证调取电子数据。签发搜查证使得监督避免被动与滞后，既可有效约束侦查权，也防止不当干预个人信息权，具体措施包括以下三方面内容：

首先，签发搜查证的权力主体应为检察机关。由于我国尚未采取由法院监督审前程序的司法审查模式，因此当前不宜将侦查监督职责移交给法院，而检察机关作为法定的监督机关，由其作为签发主体能避免侦查人员因肩负搜查与批准的双重职责而滥用权力，并限缩其裁量空间。其次，签发时应明确规定取证的对象、时限范围。由于电子数据具有体量大、碎片化等特点，侦查人员为收集与案件有关的电子数据不得不数次取证、多渠道取证，因此需严格限制收集范围，对该措施的使用时间也应进行控制，不得频繁申请延期导致侦查时间过长，以免取证中不当扩张对个人信息内容的过度搜集。再次，搜查时向被取证人出示搜查证也是合法搜查所必需的形式要件。提示数据主体搜查程序已启动，便于其关注自身权利是否有受侵害之虞。当然，也非所有情形下均需出示搜查证，在本人明示同意搜查或是不具有合理的隐私期待等情况下，侦查人员无需出示搜查证。除此之外，当出现例外的无证搜查情形时，可分为以下两种情况：一是法律规定的在执行拘留、逮捕时遇有紧急情况，可在无证时进行搜查，但搜查人员应在二十四小时内报告并及时补办相关手续；二是并不存在紧急情况但搜查人员却进行违法取证时，应当认为违反程序法规定，需要对该证据补正，严重违法的应当予以排除，通过程序性制裁以实现对个人权利的保障。

第二，取证时点之限制。

基于预防和精准打击犯罪之目的，在预测性警务和初查程序中收集个人数据已成常态，证据效力也得到法律确认。在此背景下，为使侦查权对个人信息的干预降至最小，对于取证措施还需进一步予以控制。具体而言，根据数据敏感程度不同，以阶梯式结构构筑取证启动标准。

对于属于个人信息中的私密信息，应明确以立案之时作为接触数据门槛，办案人员在此之后方可干预，并应严格履行相应的侦查手续。对于敏感程度较低的非私密信息，初查阶段允许收集，只要相关信息与正在进行的犯罪调查相关即可，但应当遵守《人民检察院刑事诉讼规则》第一百六十九条之规定①《人民检察院刑事诉讼规则》第一百六十九条规定：“进行调查核实，可以采取询问、查询、勘验、检查、鉴定、调取证据材料等不限制被调查对象人身、财产权利的措施。不得对被调查对象采取强制措施，不得查封、扣押、冻结被调查对象的财产，不得采取技术侦查措施。”，不得限制初查对象的人身、财产权利。若确有需要行使该规则许可之外的取证方式，则应当立即启动立案程序。对于属于个人信息中的私密信息，不仅要以立案之后作为接触数据门槛，而且侦查人员应有合理理由认为该信息对于侦破案件具有重要性，以客观基础加上主观判断，对公民干预较强烈的取证措施提高启动标准，也体现了比例原则的精神。

第三，数据控制者协助义务之规范。

在当前大数据时代，用户在网上留下的蛛丝马迹均被数据控制者存储下来，造成个人数据更容易被收集、加工、传播、侵犯，因此个人隐私不可单纯地被视为秘密，而是处于秘密与公开之间的中间状态［12］。针对《电子数据规定》第十三条规定①《电子数据规定》第十三条规定：“调取电子数据，应当制作调取证据通知书，注明需要调取电子数据的相关信息，通知电子数据权利主体、网络服务提供者或者有关部门执行。”，争议较大的便是取证时是否还需征求原数据主体本人的同意，即有人认为当事人使用网络公司所提供服务的前提是必须先同意平台的“隐私保护合约”，那么就表明自愿将个人信息提供给该网络公司，因此对第三方留存的相关信息是缺乏合理的隐私期待，侦查机关在请求该第三方协助调取电子数据时则无需征求本人同意。但该观点没有意识到，用户本人面对运营商时是处于弱势地位，从而不得不概括性同意平台的隐私政策，否则就无法享受其提供的任何服务。若探求用户本人真实意思，其仍希望该信息是隐秘的，并要求数据控制者承担安全保障义务。因此侦查人员对网络公司平日里搜集的个人信息数据，若要进行收集、调取，法律仍应当设置明确的数据接触门槛，在由第三方提供个人数据情形下，尤其强调数据主体对个人信息的自我处分权，切不可一味由数据控制者单方作出公布与否的决定。在协助侦查前应综合考虑原信息的公开程度、该信息的隐秘性以及个人对该信息的隐私期待程度、公布后对当事人和其他人员造成的影响等，仔细斟酌侦查人员请求协助的理由是否正当以及调取数据的范围是否合理。对于个人敏感信息的处置应设置更为严苛的同意要件［13］，要求数据控制者在披露前通知数据主体，并取得其明示许可。

（二）更深入加强个人信息权利保障

存储着个人隐私的数据得到公法的保护则是理所应当的。在网络数据法律领域，对个人信息的保护主要体现于《网络安全法》《数据安全法》《个人信息保护法》这三大法律。除了通过规范电子数据的取证方式以防止权力滥用、弱化对个人信息权的侵扰程度之外，公安司法机关首先应明确取证时遵循的普遍性原则，以事先预防不正当介入公民信息领域。为进一步落实对个人信息权受侵犯时的救济措施，可通过确保公民知情权、畅通中立机关的监督通道，杜绝权利保障流于形式、浮于表面。

第一，侦查机关在收集、调取电子数据时应当严格遵守以下纲领性原则：其一，遵循“无损取证原则”［14］。即电子取证过程中最首要的是保证该证据是完整的、真实的，否则不得作为决策依据。因此可在有执法条件的侦查机关中率先展开试点工作，通过录音、录像等形式，完整记录并存档包括接触、提取、存储、处理在内的取证全流程，一旦产生数据是否经编辑、篡改、破坏等争议，取证人员可有理有据地回应质疑。其二，必要性原则。即侦查活动并非不允许介入个人信息领域，但应止步于隐私界限，所收集之电子数据只能服务于法律授权的、特定之目的，不得用作该用途之外。其三，专业性原则。办案人员进行数据收集时使用的技术手段应当审慎适度，将对个人信息权的侵扰降至个人可容忍的程度。《电子数据规定》第七条和第二十四条均规定电子数据取证时应当符合“相关技术标准”［15］，以满足证据所要求的合法性要件。若是通过现场提取或是网络远程勘查提取电子数据，根据《电子数据规定》第十五条规定②《电子数据规定》第十五条第一款规定：“收集、提取电子数据，应当根据刑事诉讼法的规定，由符合条件的人员担任见证人。由于客观原因无法由符合条件的人员担任见证人的，应当在笔录中注明情况，并对相关活动进行录像。”，还需见证人见证，这同样要求见证人熟知相关技术规范，以确保电子数据的合法性。然而除了掌握一般的执法知识外，我国尚未明确要求普通侦查人员或是见证人精通挖掘、恢复、采集、存储、分析电子数据的技术标准和专业知识，也未统一为其提供相关培训。因此，为严格落实专业化的取证规范，应加强侦查人员在技术方面的培训，或是由侦查人员在专业技术人员的协助下取证。其四，及时性原则。由于数据具有时效性，因此侦查人员不得延迟采取收集保全电子数据的措施，以避免影响其准确性。其五，全面性原则。相较于传统证据，辩方欠缺获取电子数据的能力，因此格外依赖控方在取证时调取能证实犯罪嫌疑人有罪、无罪、罪轻、罪重的所有相关电子证据。在确定取证原则后，侦查机关还需根据实践经验将之细化，将电子取证程序划分为准备、收集保全、检验分析、提交四个阶段［16］，为取证人员提供一套明确、标准的操作手册。

第二，全过程监督电子数据的取证程序。除了签发搜查证可进行及时的事前监督外，还需在取证过程中进行事中控制，确保收集方式遵循法律及技术规范。监督内容包括通过勘验、搜查、技术侦查措施，取得的电子数据是否具有侦查人员、当事人、见证人三方在场，数据是否附有笔录、清单等证明其来源，以确保收集程序具有合法性。在侦查后仍需监督电子数据在收集及后续过程中是否采取保密措施并及时销毁与案件无关材料。若数据泄露，应及时报告主管机关和数据权利主体，并采取补救措施降低财产损失、人身伤害的风险。

目前立法者对电子数据的取证行为，如扣押、保全、鉴定等行为更为重视、规制较多，但对于可采性方面规定较少。在监督取证过程所发现的违法行为同样可能施以程序性制裁。对于违法取证或是超出取证范围收集到的侵犯公民个人信息权的电子数据，视其违法程度轻重作出经补正后采用或直接排除的决定。若能进行合理解释或是重新补正收集程序，则可保留其证据资格，但若严重侵犯公民个人信息权利、影响司法公正，则该证据应当予以排除。

第三，确保数据主体的知情权与申诉控告权利。侦查机关收集、提取电子数据的措施往往是封闭的，而传统的侦查方式仍具备一定的开放性。如查封、扣押中要求见证人参加，这在一定程度上防止了滥用侦查权。而一旦侦查措施是秘密的，控辩双方所掌握的信息具有不对称性，此种失衡不利于保障数据主体权利。虽然法律规定了较为完备的救济制度，但倘若数据主体无法得知具体执行情况，也就无法确定本人权利是否遭受侵犯，更无法启动救济程序。而且应当认识到，即使法律规制再严谨，在执行时也难免出现纰漏，而将权力的运行暴露在外部监督下也能有效预防违法侦查行为的发生，因此保障数据主体的知情权与申诉控告权利则成为必要。为确保取证过程的合法性，侦查机关有必要在收集、使用数据以及后续保管过程中向数据主体履行通知义务。与此同时，若给公民造成如声誉、荣誉等方面损害，当事人、利害关系人应有权向该机关提出申诉或控告。经审查确有侵害结果存在，则应责令所属权力机关及时消弭负面影响、恢复名誉、赔礼道歉。若办案人员故意为之，则还应承担赔偿责任，并给予纪律惩戒。

四、结语

伴随着信息技术的蓬勃发展，网络中记载着个人从摇篮到坟墓的全部信息［17］，该数据资源成为刑事案件中重要的证据来源。一方面，根据实践经验，通过深入挖掘、合理使用个人数据对有效打击犯罪、维护秩序之价值凸显；另一方面，由于电子数据取证措施具有技术新颖性、隐秘性等特征，在封闭式的侦查过程中难以避免地会对公民的基本权利造成侵扰。如何将电子数据取证对个人信息权的干预程度降至最低，是当前司法人员面临的新挑战，也是数字社会提出的时代课题。因此，须从当代法治社会的要求出发，将包括支配权、收益权、被遗忘权、采集权、知情权等权益在内的“数据权”视作公民下一个应有且必需的权力［18］，充分发挥个人信息数据价值的同时，限制侦查权的技术化延伸。对电子数据的固定、获取、分析、披露等步骤进行详细的法律规制并加以落实，保障公民的个人信息及其承载的人格尊严、通信自由等基本权利不受公权力非法干预与侵扰，科学运用信息技术、人工智能等科技创新成果，为司法工作赋能。