大数据侦查模式下公民个人信息保护研究*

江苏警官学院 刘冉，谢天，徐岩，吴蝶，倪灵

随着科学技术的不断发展,以数据警务为主题的新一轮警务改革已经大规模开展，大数据技术在警务工作中得到了广泛应用，这引起了侦查思维的迅速转变与侦查模式的巨大变革，并由此催生出了大数据侦查模式。但是，侦查机关在运用大数据侦查手段时总不可避免地存在侵犯公民个人信息权的情形，这一现状暴露了当前大数据侦查模式存在的弊端与缺陷。对此侦查机关应自觉提高防范意识，关注并解决数据警务发展与群众服务间存在的冲突问题，充分展现对公民个人信息权的保护。

一、个人信息保护现状分析

（一）个人信息泄露总体情况分析

目前公民个人信息权被侵犯的现象十分严重，公民个人信息被泄露、被滥用的案件层出不穷。据裁判文书网公布的数据来看，各地自2015年1月1日至2021年11月1日有关公民个人信息的刑事诉讼达14879起，行政公益诉讼也达到了240起。可见，当前公民个人信息全被侵犯的形势及其严峻，解决公民个人信息保护问题刻不容缓。

1.个人信息泄露的高发对象

目前个人信息泄露的案件高发，主要受害对象包括求职学生、网购达人、朋友圈爱好者等。事实上，按照中国网民6.5亿人计算，仅2015年一年平均每人就被泄露了8条个人信息。据调查，80%的消费者的个人信息或多或少已经被泄露过。拥有如此海量的资讯，公民个人信息泄露相关的灰色产业规模越来越大，已经成为公安机关重点打击的对象。

2.个人信息泄露的高发情形

个人信息泄露与日常生活习惯息息相关，各类单据、社交细节、网购平台、海投简历、打印资料以及个性化服务都存在有个人信息泄露的风险。可以说日常生活中的行为是否注意保密影响着个人信息被泄露的多少。这些方式归结起来就是个人在与社会组织进行提供信息、收取信息的过程中，不法分子对信息的非法获取、社会组织的管理漏洞、公民个人的防护失当等各方面原因导致了不法分子得到公民个人信息，并对其加以利用。利用的方式可能是用于其他犯罪或大数据算法的数据投喂。数据交互中信息最容易被不法分子得到，是个人参与社会活动过程中信息防护的薄弱环节，而个人信息对于不法分子的利用价值极高，可以通过多种利用方式来赚取不正当利益，在这些情况下侵犯个人信息案件不断高发。

（二）个人信息泄露具体案例分析

最高人民检察院2017年5月16日公布了六起侵犯公民个人信息犯罪典型案例，六个案例分别对侵犯公民个人信息的具体方式、泄漏原因等方面进行了讲述。

1.具体方式

过去几年典型的侵犯公民个人信息呈现出以下几种方式：利用职务便利售卖公民个人信息（国家工作人员）、利用职务侵犯公民个人信息（非国家工作人员）利用黑客技术窃取公民个人信息。

2.泄露原因

公民个人信息泄露的原因有三：一是犯罪分子的原因。犯罪分子想要获得高额非法收益，通过售卖窃取或持有公民个人信息来增加收入，违反了刑法第253条的规定，侵犯公民个人信息。二是被害人自身原因。相当一批信息的泄露与被害人自身的行为习惯有关，诸如随意丢弃快递单、随意海投简历等，都会导致其个人信息被无意泄漏，进而被不法分子所利用。三是企业商家原因。一些企业商家对自身网站、服务器的防护措施不到位，认为就算泄露了也不会影响交易量，因此，部分企业商家修漏洞复的态度并不积极，据“补天”平台2015年的统计，漏洞总体修复率仅8%。甚至部分企业会自行收集用户数据，且并无通知或关闭此功能的选项。

（三）个人信息保护法分析

2021年11月1日，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）正式施行，作为一部全面保护个人信息的专门性立法，个人信息保护法是公法与私法的结合，构建了以“告知-同意”为核心的处理个人信息的规则。该法的私法部分可以说是《民法典》的特别法，在民法典和借鉴外国经验的基础上，形成了适应我国当下国情的个人信息保护法规，具有重要的指导意义。

1.基本原则

根据《个人信息保护法》第5条，处理个人信息应当遵循合法、正当、必要和诚信原则。该原则是在OECD（Organization for Economic Co-operation and Development）于1980年通过的《隐私保护与个人数据跨国流通指南》中的八项原则的基础上形成和发展的。其中对个人信息的处理一词也做了特别注释：个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

2.保护主体

《个人信息保护法》进一步扩大了其保护范围，其第4条对个人信息的内涵进行了定义：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。诸如IP地址、消费记录、快递信息等在过去是不一定能够确定一个人的身份信息的，但是在如今，这些信息便可直接确定人的身份，因此《个人信息保护法》无疑是扩大了个人信息保护的范围，以最大限度地对公民个人信息提供保护。

3.保护措施

对于个人信息的保护措施，《个人信息法》通过赋予权利、规定义务这两种方式来实现。（1）赋予权利。在《个人信息保护法》第四章，规定了公民对个人信息享有的知情权、决定权、查询权、复制权、更正权等权利。并且法条通过细化的方式，规定了享有权利的各种条件和不享有权利的具体情况。以删除权为例，《个人信息保护法》第四十七条规定了有下列情形之一的个人信息处理者应当主动删除个人信息：处理目的已实现、无法实现或者为实现处理目的不再必要；个人信息处理者停止提供产品或者服务，或者保存期限已届满；个人撤回同意；个人信息处理者违反法律、行政法规或者违反约定处理个人信息；法律、行政法规规定的其他情形。个人信息处理者未删除的，公民个人有权请求删除。（2）规定义务：在《个人信息保护法》第五章即第五十一条至第五十九条中，规定了个人信息处理者对所处理信息的义务，包括信息处理者的安全保障义务、个人信息保护人制度等。法条同样明确并细化了个人信息处理者的义务，并为之规定了具体情形。以个人信息保护影响评估制度为例，根据《个人信息保护法》第五十五条的规定，有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：处理敏感个人信息；利用个人信息进行自动化决策；委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息等。

二、大数据侦查模式分析

（一）大数据侦查主体框架

近年来大数据侦查模式已经逐渐体系化制度化，各部门分工合作协同配合。从对信息的处理上看，大数据侦查模式可以分为获取信息、筛选信息、研判信息、输出信息四个方面的信息处理方式。从功能上看，大数据侦查模式可以分为指挥部门、情报部门、研判部门、执行部门四个部门。通过分工，大数据侦查模式可以做到对犯罪信息的充分利用，通过运用大数据侦查技术来发现线索、固定证据以及研判位置。

（二）大数据侦查运用技术

1.数据捕捉技术

数据捕捉技术包括了以下几个方面：行程轨迹、银行流水、人脸识别。行程轨迹，是通过公安机关与铁路部门合作的平台，对于违法犯罪的嫌疑人，民警可以在经过分析研判之后对嫌疑人的行程轨迹进行查询、调取。而银行流水调取的关键是公安机关与各大银行之间合作搭建的平台。通过这个平台，公安机关的办案民警可以在通过审查后方便快捷地对案件嫌疑人的银行账户进行查看，调取账户流水以便进一步的分析侦办案件。

2.数据清洗技术

在实际状况中，正常的数据集群中的数据不一定是明朗清晰的，而是复杂的、难以辨析的。面对如此错综复杂的数据，侦查机关必须要通过建模制作数据筛选清洗机制，以此来进行条件的选择。譬如在银行流水的大数据分析中，需要设置诸如金额、时间等条件的选项，将可能存在的日常生活开支等排出在外，防止其影响下一步的分析研判，并且减小分析量，降低设备的运行负担。

3.数据分析技术

在大数据侦查模式中，仅仅通过数据技术计算得到结果是不够的，因为海量的数据会让观看者迷失在数字的海洋，因此数据可视化技术应运而生。数据可视化主要是将各种数据信息通过图形化的方式展现，向侦查人员元直观清晰地传达所含有效信息。事实上，选择可视化方式的真正目的是为了能够简明扼要、清晰明了地传达数据筛选与计算所得的结果。目前国内外都已经研发了很多功能强大的数据分析清洗以及可视化软件，国外有“i2”，国内也有“火眼金睛”“中科金审”等可视化软件。目前公安机关，尤其是经侦部门需要对大量的银行账户流水进行清洗与统计，对数据可视化的要求较高，因此在开发自己的数据可视化平台的同时同样在使用这些软件。

（三）大数据侦查所具有的优势

1.侦查思维革新

目前我国公安机关正处在由“被动反应警务模式”向“主动发现警务模式”转变的阶段。在这一阶段，侦查机关将更加积极主动地去查找线索和获取证据，通过对关联物自身数据的获取和分析来全景式地对现象进行观察，运用“数理运算”还原案件，以此修正侦查人员的偏见或直觉，使理性“预测未来”成为可能。

2.侦查技术革新

在实战运用中大数据侦查能够以数据空间为场景、以数据为载体，通过海量数据的集合，全方位地收集案件信息和侦查情报。利用账单分析、话单分析、位置图像等技术对案件的关系网络进行图谱的呈现，从而实现案件侦查以及案件研判的智能化。

与此同时，侦查过程中多维度和跨领域的信息收集，在一定程度上推动了数据管理制度和数据共享制度的改革，打破了行业、地域、部门、级别之间的数据壁垒，提升了侦査协作能力，进而促进目前普遍推行的跨区域社会治安防控一体化建设。

三、大数据侦查现有缺陷（个人信息保护方面）

根据《个人信息保护法》规定，数据掌控主体采集、留存关涉公民个人秘密数据的行为要由法律进行授权或经数据所属者同意。这一法案的出台势必会在一定程度上降低公民个人信息权利被侵犯的风险。但是，目前我国公民信息权利（大数据侦查所关涉的部分）一般是被解释为隐私权，这样的话数据技术复杂的机理依旧难以应对，有可能与公民个人信息权利保护产生矛盾。

（1）目前我国在数据警务方面对于公民权利的解释不能提高到对第三方数据共享的限制。我们将大数据所收集和共享的，与隐私权相关的民事权利直接理解为隐私权，那么这些共享行为根据现在的数据保护标准便是合法的。由于第三方对于公民个人信息的采集经过了公民个人的同意，且默认为对以后的共享行为同样许可，所以第三方对侦查机关作出的公民信息披露符合隐私权保护的精神。（2）不同数据之间的特殊属性存在显著差异，对公民个人隐私权的认定存在一定难度。如公民的身份信息、通讯数据等信息，明显属于个人隐私权的范畴，认定不存在困难。但是对于譬如网络浏览痕迹、购买物品信息等数据，则难以将其直接认定为隐私权，也很难以隐私权的名义对其进行有效保护。（3）目前运行的大数据侦查模式缺少监督机制。在实践过程中，大数据侦查系统在运行中往往缺乏审查与纠错问责机制，大量的人才、资源都用来进行犯罪模式分析、犯罪嫌疑人账户分析、犯罪组织架构分析等。因此在大数据侦查模式运行的过程中难以对有关人员直接定位追踪。

四、个人信息保护的建议

（一）制度建设

为了防止大数据侦查模式对公民个人信息的不当利用，在大数据侦查模式系统内应当建立监督制度。对于大数据侦查运营监督纠错机制的设立，短时间内的运营情况的良好不代表这套系统在运行寿命的整段过程中都不会出现问题。大数据侦查模式系统必须进行不断地检测。我们需要对大数据侦查系统建立运行前、运行中、运行后三个阶段的检测评估机制。（1）运行前的检测机制。目前警务部门基本上都运用“个别试点+全面实行”的试点方法，即先在小范围内对新型大数据侦查机制进行模拟尝试，若效果良好则将其全面推广。因为是在小范围内进行的实际试点，即便有差错疏漏也可以将影响控制在有限范围内，所以称其为运行前的数据警务检测机制。（2）运行中的检测机制。在新的大数据侦查机制广泛推广之后，应当设立专门人员在数据警务机制运行过程中对其进行检测与评估。尤其是对运行过程中所涉及到的个人信息、涉密信息、技术风险、法律风险等方面进行详细地检查与总结，并根据公众的反映对大数据侦查机制不断地进行调整与完善。

与此同时，应当赋予公众事后救济的权利，应当根据《中华人民共和国行政复议法》的精神允许行政相对人对数据警务机制所作出的决定提出质疑。

（二）配套措施

除了要关注大数据侦查模式的总体设计思路，我们还要有配套措施来加强对它的监督，主要包括主管部门、数据筛查和法律控制三个方面的内容。

1.主管部门

为了推进大数据侦查模式安全平稳运营，侦查机关应当设立专门的大数据侦查监督部门，履行实时监督与事后纠错职能。应当以地市级公安机关为单位完成监督部门的搭建，具备对大数据侦查进行事前审批、事中监督、事后纠错三大职能。对于符合公民个人信息保护原则且确有需要的申请，应当同意。对于已经侦查终结的案件，监督部门也需要根据该案主办的公安机关进行总结和审查案件中大数据技术的使用情况，对于违反《个人信息保护法》的有关单位或个人进行处理和惩罚。

2.数据筛查

对于大数据侦查模式的技术系统本身而言，要在设计之时建立好数据自动筛查机制，默认与案件无关的个人隐私权利信息不得进入大数据侦查机制流程。通过数据筛查机制不仅可以保护无关人员的个人信息，同样可以将部分无用的数据进行排查，减轻分析研判设备的负荷。

五、结语

大数据侦查模式在各地的公安机关实践中方兴未艾，是目前公安机关打击犯罪，服务人民的一项利器。我们不能因其与公民个人信息保护可能存在的冲突问题就弃之不用，也同样不能放任问题的发生，忽视对公民个人信息的保护。通过对冲突问题的解决，争取早日建成运行高效、程序透明、切实有效的大数据侦查模式，为打击犯罪、服务民生增添更强劲的动力！