司法领域个人信息保护面临的问题和对策

沈丽飞

（上海师范大学 期刊社，上海 200234）

一、问题的提出

数字时代，随着互联网技术与大数据、人工智能等技术的应用，数据信息进入大爆炸时代。在复杂的技术背后，存在共通的基础，即对海量信息的收集使用，其中就包含对公民个人信息的收集使用。在此背景下，人们在享受信息高速传播红利的同时，也面临信息失控的风险。对公民个人信息不加控制地无序收集和任意处理，不仅会威胁公民个体的隐私、财产和人身安全，也会给社会秩序甚至国家安全造成一定隐患。显然，保护公民个人信息已成为数字时代一个不可回避的重要问题。与社会生活的其他任何领域一样，司法领域也存在着信息失控的风险，迫切需要在司法领域加强个人信息保护的规范和力度。从世界范围看，欧盟对于司法领域个人信息保护问题极为重视。2016 年欧盟颁布了《关于保护自然人针对主管当局为预防、调查、侦破或检控刑事罪行或执行刑事刑罚而使用个人数据，和有关该收据的自由流动，以及撤销理事会第2008/977/JHA号架构决定的2016/680 号指令》①Directive（EU）2016/680，at https：/eur－lex.europa.eu/legal－content/EN/TXT/PDF/？uri＝CELEX：32016L0680＆from＝EN（last visited on March 24，2021）.，专门对刑事司法领域的个人信息保护问题作出细致规定；2018 年欧盟又有《警察部门使用个人数据实务指南》②Practical Guide on the Use of Personal Data in the Police Sector，at https：/rm.coe.int/t－pd－201－01－practical－guide－on－the－useof－personal－data－in－the－police－/16807927d5.，对警察在刑事执法程序中的个人信息保护问题作出指引。美国则自卡兹案③Katz v.United States，389 U.S.347（1967）.以来，依隐私权保护的路径，在莱利案④Riley v.California，134 S.Ct.2473（2014）.、卡朋特案⑤Carpenter v.United States，138 S.Ct.2206（2018）.等一系列判例中确立司法领域对公民个人信息的保护规则。

在我国，相较于其他领域对公民个人信息保护的重视与强调，司法领域似乎已成为个人信息保护的“洼地”。《刑事诉讼法》《民事诉讼法》《行政诉讼法》等司法领域的法律法规似乎对个人信息保护问题没有给予应有的重视，《数据安全法》《个人信息保护法》等个人信息保护的专门法律也对司法领域缺乏回应与关照，导致司法领域的个人信息保护处在一个“模糊地带”，甚至有观点认为“在刑事司法执法领域，对公民个人信息的干预被视为法律规制的例外”[1]。

司法领域的个人信息保护是数字时代必须予以关注与重视的问题。在民事司法和行政司法领域，个人信息保护对于维护诉讼结构、强化当事人诉讼权利保障有突出意义。而在刑事司法领域，重视信息主体的权利，实现刑事司法程序与《个人信息保护法》的融合，面向数字时代司法制度的转型，[2]亦已成为新时代刑事司法的重要课题。然而真正的难题在于，如何将个人信息保护的社会普遍性与司法的特殊性相结合、依照何种思路实现司法领域的有效个人信息保护、如何确定司法领域个人信息保护的主要内容，对于这些问题不能不予以认真研究。

二、司法领域个人信息保护的需求与现状

司法的数字化转型，尤其是智慧司法建设带来了个人信息保护的需求，但是当前司法领域的相关规定远远不足以满足此种需求，形成了应然与实然之间的鸿沟。

（一）智慧司法建设中的个人信息保护要求

为适应数字时代的新变化，司法机关大力推进智慧司法建设，无论智慧法院、智慧检务抑或智慧警务建设，都依托于对海量数据和信息的处理，在此基础上将智能化技术运用于诉讼的流程中。经过多年的努力，我国的智慧司法建设已经取得了显著成果，走出了一条案件办理和司法管理转型升级的新型司法现代化道路[3]，大大提升了诉讼效率，也更好地保证了实体公正的实现。

然而基于信息处理的智慧司法建设，需要以个人信息的大量收集为基础数据。在刑事诉讼中，不但公安机关等侦查机关为实现犯罪控制和社会治理的目的，通过大数据侦查手段的运用收集处理公民个人信息，检法机关为完成办案工作，亦需以个人信息为原料进行证据的审查判断和事实的认定等工作。而在民事诉讼和行政诉讼中，个人信息同样被法院用作推进诉讼之依据，成为支撑办案工作的重要基础。而公权力机关对个人信息的收集处理，往往是在作为信息主体的公民不知情甚至不同意的情况进行的，这固然与司法以国家强制力为后盾的基本特征相一致，但难免与个人信息处理的“知情－同意”一般原则相抵牾。

更值得关注的是，由于公权力机关本身缺乏建设智慧司法的技术条件和队伍，无法独立完成相应的技术性工作，于是邀请科技企业等第三方参与智能司法建设、开展“技术性外包”[4]就成为一种必然之常态。例如浙江省高级人民法院与阿里巴巴达成战略合作协议，将浙江省高院积累的案件数据资源，结合公安、政务、电商、金融、社交、航运交通等周边数据，形成智慧法院大数据生态圈，实现当事人协查信息共享、文书送达、电子商务纠纷网上化解、金融犯罪预测预防等“互联网＋”时代背景下的创新型、智慧型司法应用。①参见张遥：《浙江省高院联手阿里巴巴打造“智慧法院”》，环球网，https：//china.huanqiu.com/article/9CaKrnJRIG3.于是作为司法领域第三方的科技企业作为智慧司法建设的技术支持方，就有机会名正言顺地对司法领域的个人信息进行收集、使用。在此情形下，一旦科技企业基于商业利益或其他原因对公民个人信息进行非法的收集使用，由于与之合作的公检法机关缺乏必要的监管技术能力和人才，无法实现对科技企业的有效监管，则对公民个人信息的保障力度十分薄弱，严重威胁到个人信息的安全。

在此情景下，智慧司法建设过程中有可能引发公民个人信息安全的风险，则也随之带来了个人信息保护的客观需求。在司法领域保护公民个人信息，既是保证智慧司法长效有序发展的必要前提，也符合司法为民、程序公正、人权保障等司法基础性价值的要求。

（二）司法领域个人信息保护严重滞后

司法领域公权力机关收集处理公民个人信息，本质上是国家公权力之行使，由于我国诉讼模式上的职权主义特征，此种个人信息的收集处理亦体现出职权主义的主动和强制性特征。这种特征在民事诉讼、行政诉讼中有所体现，但更明显地体现在最具威权主义性质的刑事诉讼中。

一方面在刑事诉讼中，公安机关为实现对犯罪的预先控制和提前治理，在刑事立案之前即对尚未在法律意义上成为犯罪嫌疑人的某些可疑人士进行监控。甚至因公安机关具有社会管理职能，基于社会管理职能针对一般民众所收集的个人信息亦与刑事案件打通。这样的做法与“风险防控”的社会治理理念和“犯罪预防”的刑事司法理念相一致，例如2015 年中共中央办公厅、国务院办公厅发布《关于加强社会治安防控体系建设的意见》中就强调通过“强化信息资源深度整合应用，充分运用现代信息技术，增强主动预防和打击犯罪的能力”。①参见中共中央办公厅、国务院办公厅《关于加强社会治安防控体系建设的意见》第8 条。但此种针对个人信息的处理展现出公权力扩张的特征，可能给公民的个人信息安全带来威胁，甚至可能违背无罪推定的刑事司法基本原则。[5]同时，此种犯罪的预先治理，常需运用各种类型的技术工具，而这些技术工具往往以打击和控制犯罪为主要目标，带有强烈的追诉倾向，通过运用这些工具处理公民个人信息，可能过度重视入罪信息、忽视出罪信息，从而强化公安司法人员的有罪推定倾向。[6]

另一方面，个人信息的大量高速处理实际地限制甚至排斥了包括当事人及其律师在内的诉讼参与人的有效参与。参与权的“核心思想是，那些权益可能会受到刑事裁判或诉讼结局直接影响的主体应当有充分的机会富有意义地参与刑事裁判的制作过程，并对裁判结果的形成发挥其有效的影响和作用”[7]，但是在信息处理成为诉讼重要方式的现实下，当事人及其律师并不具有充分有效参与的能力。在民事诉讼和行政诉讼中，这种能力上的欠缺使得当事人的质证能力大打折扣。而在刑事诉讼中，此种能力欠缺使得控辩平等的诉讼基本原理再受冲击[8]：由于对信息处理的能力欠缺，即便司法机关遵循法律规定许可辩护人通过阅卷权的行使而获取诉讼文书和证据材料，但事实上司法机关所使用的信息往往并不体现在此种纸质的卷宗之中，于是此种阅卷权也就难以实现其保障辩方有效参与的目标。

由上可见，司法领域的个人信息保护处于一种迟滞的态势，远远不能与司法领域的公权力机关在个人信息处理能力上的突飞猛进以及在个人信息处理数量上的惊人发展相匹配，从而使得司法领域的信息化发展呈现出有利于公权力机关而不利于公民个体的跛脚状态。

三、司法领域个人信息保护的思路

司法领域的个人信息保护制度，既要考虑公民个人信息利益的一般需求，也要考虑司法作为国家权力的特殊性，在二者之间应有必要的平衡。参考司法领域的法律法规和个人信息保护的专门法律，可以提出司法领域个人信息保护的国家和公共利益优先、拆解知情与同意、区分不同类型诉讼参与人这三方面思路。

（一）国家和公共利益优先

司法与个人信息保护的相似之处在于，二者均有多种价值。例如司法领域既要重视对实体真实的发现，也要保障程序正义，更要保护公民的基本权利，而个人信息保护亦包含多种利益诉求。[9]既然不存在一元的价值追求，则“贯穿政治理论长期历史和宪法发展历程的最难以裁决的案件是存在两种相互冲突的价值的案件，每一价值都应当得到应有的尊重，但它们却相遇在此消彼长的竞争当中。”②William H.Rehnquist，Is an Expanded Right of Privacy Consistent with Fair and Effective Law Enforcement，23 University of Kansas Law Review 1，2（1974）.此种价值竞争和冲突所带来的一个显而易见的问题已然呈现在我们面前，即当个人信息保护与司法领域的其他价值发生冲突时应当如何处理？基于对司法特殊性的考虑，司法领域个人信息保护应当遵循国家和公共利益优先的思路，理由如下。

其一，国家和公共利益优先是由司法的“公”属性所决定的。司法是保障社会公平正义的最后一道防线，司法权是国家权力，关系国家和公共利益，因此无论《刑事诉讼法》《民事诉讼法》还是《行政诉讼法》，都有保障公正、维护国家利益和社会秩序之目的。③参见《中华人民共和国刑事诉讼法》第1 条、《中华人民共和国民事诉讼法》第2 条、《中华人民共和国行政诉讼法》第1 条。尤其刑事司法追求“打击犯罪、保障人权、维护社会安全”的价值，向来以国家和公共利益作为首要追求，体现出公法的典型特征。尽管个人信息保护的逻辑乃是从个人权利保障的路径展开的，其基本立足点在于通过对个人信息的保护，实现保障公民人身、财产、隐私和人格尊严等相关法益[10]，但当个人信息保护的逻辑进入司法领域的场域后，仍需服从司法优先保障国家和公共利益的大逻辑，否则就会对司法制度的基础理念产生冲击。而在实践的层面看，个人信息保护本身在许多情形下就关系国家利益和公共利益，除了公民之外，国家和公众亦是个人信息保护的利益主体，因此司法领域强调个人信息保护中的国家利益与公共利益优先，从实然的角度看亦可以得以实现。

其二，国家和公共利益优先符合价值位阶衡量理论，能保证司法领域个人信息保护的长效施行。如上文所言，无论司法还是个人信息保护，都存在多元价值的冲突竞争，需要予以协调平衡。而此种协调平衡应依照价值位阶衡量的理论展开，对于不同价值的位阶，民法学者提出五方面的考量因素：一是与基本法律价值相联系的有关个人的生命、健康的联系程度，二是与人格尊严的联系程度，三是与社会全体成员的关系度，四是与经济秩序的关联度，五是法律是否明确列举。[11]按照这一标准，个人信息保护相较于司法领域常涉及的人的生命、健康、自由，以及对国家司法公正和社会全体成员的正义价值而言，自然应处于相对下位的地位，在二者发生冲突时，应强调以国家和公共利益优先。从功利的角度看，以国家和公共利益优先，也有助于个人信息保护的话题在司法领域不受其他价值的挤压和排斥，从而实现司法领域个人信息保护的长效施行。

当然，这种利益衡量的原则并非一成不变，而是根据司法的具体实践实现动态平衡。换言之，公共利益优先原则不是绝对的，不能以公共利益的借口剥夺公民的个人信息权益。当二者发生冲突孰先孰后的保护顺序不能明确时，可以根据一般理性人的客观判断标准予以平衡。[12]

（二）拆解知情与同意

“知情－同意”是个人信息处理的一般原则，甚至有人称其为个人信息处理的“帝王条款”①陈峰，王利荣：《个人信息“知情同意权”的功能检视与完善进路》，载《广西社会科学》2021 年第8 期，第106 页。，因此各国关于个人信息保护的相关法律法规，如欧盟《通用数据保护条例（GDPR）》、美国《加州消费者隐私法》、我国《个人信息保护法》等，均对“知情－同意”原则作出规定。

然而需要注意的是，“知情－同意”原则包含两部分内容：一是“知情”，即信息主体应知晓对其个人信息的处理事实和方式，据此信息处理者应当在处理信息之前即向信息主体做相关事项的告知，例如处理者的情况、处理的目的、处理的方式、可能的影响等。二是“同意”，即信息处理者需取得信息主体的同意后方可进行信息的处理，而信息主体既可以同意对其个人信息的处理，也可以拒绝对其个人信息的处理。但在司法领域，诉讼的进行以国家强制力为后盾，尤其是刑事诉讼，常常不顾当事人的意愿进行诉讼行为。因此在司法领域，倘若将“知情－同意”混为一谈，在实践中难以实现，因此对“知情－同意”的两方面内容有做拆解的必要。

“知情”之保障在司法领域应以不影响诉讼之顺畅推进为前提。以刑事司法为例，刑事诉讼尤其是侦查阶段，如果对犯罪嫌疑人进行事前的信息处理告知，则可能令犯罪嫌疑人得知其被刑事追诉的事实以及侦查机关的侦查方向，就产生犯罪嫌疑人对抗侦查、妨碍诉讼的风险，与打击犯罪的诉讼目标发生冲突。因此各国法律常对司法领域的信息主体“知情”不做强制要求，例如上文提及的欧盟“2016/680 号指令”规定信息主体的同意与否不构成相关司法机关处理个人信息的正当性依据。但是不做强制要求并不意味着没有保障信息主体“知情”的可能性，特别是对被害人、辩护人、证人、鉴定人等诉讼参与人的事前告知，通常不会对案件的诉讼进程造成阻碍，因此一般应予以保障；倘若对犯罪嫌疑人进行事前告知，已然排除阻碍诉讼的风险，例如其已被羁押，则亦可视案件办理情况决定是否告知。

“同意”之保障在司法领域，特别是刑事司法领域尤其困难。国家机关在司法领域行使公权力，不以当事人同意为前提，而其处理个人信息恰如上文所言，亦是此种公权力行使的方式之一。但是需要注意的是，这并不意味着司法领域没有“同意”的适用空间。即便在侦查这一秘密性、封闭性程度最高的阶段，亦有强制侦查主义与任意侦查主义之分[13]，在任意侦查的场景下，侦查行为以相对人的同意为前提，则对其个人信息的处理也在此范围之内，因此当符合任意侦查条件时，信息处理行为应取得信息主体的同意。

（三）区分不同诉讼参与人

由于不同诉讼参与人在司法领域的不同地位和作用，对其个人信息的保护应有不同的规则。欧盟“2016/680 号指令”第31 条区分了犯罪嫌疑人、罪犯、被害人、共同被告人等不同诉讼参与人的个人信息权利保护规则，英国《数据保护法》第38 条也做了类似规定。

之所以针对不同的诉讼参与人有所区别，其主要原因在于不同诉讼参与人在刑事案件中扮演的角色以及产生的作用不同。例如在刑事诉讼中，基于侦破案件的现实需要，包括侦查在内的诉讼期间内，对犯罪嫌疑人、被告人收集信息明显占案件的绝大多数，且犯罪嫌疑人、被告人本身是追诉的对象。与之相对的是，证人、鉴定人这一类诉讼参与人本身是为了配合公权力机关处理案件，协助查明案件情况，且不是打击犯罪的对象，因此对于这一类诉讼参与人的个人信息保护要求应当高于犯罪嫌疑人、被告人。除此之外，司法领域应当对未成年人、性犯罪的被害人等群体给予特殊关注，这类脆弱主体一直都是司法领域的重点关照对象，例如我国《刑事诉讼法》专章规定了未成年人特别诉讼程序，体现了对未成年人的特殊保护。有鉴于此，个人信息权在司法领域的运用也应当继承此种特殊人群特殊保护的基本理念，对脆弱主体予以特别的保护，以实现实质的公平与平等。

四、司法领域个人信息保护的路径

根据上述司法领域个人信息保护的基本思路，可以从赋予公民个人信息权利和强调国家公权力机关义务两个层面提出司法领域个人信息保护的具体路径。

（一）公民个人信息权利之明确

在司法领域个人信息保护的现实需求下，需有对公民具体个人信息权利的明确，以满足不同场景下的保护需求。具体而言，有以下几项权利尤其应予以重视。

第一，数据访问权。数据访问权是指数据主体可以从数据控制者处确认其个人数据是否正被处理，并在此种情形下可以访问个人数据及获得相关信息的权利。[14]传统上，司法领域特别是刑事司法领域当事人对案卷材料的知悉是通过阅卷权而实现的，然而在数字时代下随着信息处理成为诉讼的重要方式，传统的阅卷已无法满足此种知悉需求，由此产生了数据访问权与其相互补充的必要性。通过数据访问权的行使，当事人能够知晓其哪些个人信息被处理以及信息处理的目的，从而有针对性地准备相应的诉讼工作。在此过程中，当事人也能够发现公权力机关在处理个人信息过程中是否存在违法情况，从而及时寻求救济并对公权力形成必要之监督。从这个意义上看，赋予当事人数据访问权，不但在保护公民个人信息方面具有重要意义，对于保障司法公正和人权保障目标的实现亦有裨益。

第二，更正权和反对权。更正权是指信息主体有权请求信息处理主体对不正确、不全面的个人信息进行改正与补充的权利。[15]在司法领域信息处理者所处理的个人信息存在错误的情况并不鲜见，英国就曾发生过将无辜者错误登记为罪犯的事件，我国也曾发生过使用当事人错误个人信息以致“张冠李戴”的案例。因此有必要赋予公民更正权，对错误信息进行修改、对遗漏信息进行补充、对过时信息进行更新。而反对权是指当信息处理者的信息处理行为违法时，信息主体反对其处理的权利。在司法领域，若公权力机关的信息处理行为违法，应当许可公民反对其处理，其中一个典型的路径即是刑事诉讼中当事人可以申请非法证据排除而避免相关信息成为定案依据。

第三，被遗忘权。被遗忘权是信息主体在其个人信息不再有被合法处理之需时要求对信息进行删除或封存的权利。[16]从某种意义上看，被遗忘权是个人信息保护的关键环节，因为它能保证其个人信息不再为人所知，在司法领域此种效果同样存在。在被称为“被遗忘权第一案”的冈萨雷斯诉谷歌案中，欧盟法院就是基于令当事人与先前案件彻底脱钩的目的而肯认被遗忘权的。①Google Spain SL，Google Inc.v Agencia Espa？ola de Protección de Datos，Mario Costeja González，C－131/12，EU：C：2014：317.司法领域赋予当事人被遗忘权，能够限制诉讼对公民生活的持续不利影响，尤其在刑事司法领域，防止公民一旦与刑事案件产生某种关联即终身受其伤害，对于帮助公民回归正常生活、发挥诉讼定分止争的作用、修复被犯罪损害的社会关系、维护社会稳定秩序有重要的意义。因此，当案件的诉讼已然完成，相应的社会影响亦已不复存在，应当许可作为信息主体的公民主张其被遗忘权，要求司法领域的公权力机关将相关的个人信息予以封存或者删除。

（二）国家公权力机关义务之强调

在司法领域，国家公权力机关是最主要的个人信息处理者，其所承担的个人信息保护义务也随之具有国家义务的性质。在司法这样一个国家权力强盛的领域，强调公权力机关义务之履行，是实现个人信息保护的根本保障。具体而言，司法领域的公权力机关应承担两个层面的义务。

第一个层面的义务是积极义务。积极义务的履行有赖于公权力机关的积极行为，在司法领域，公权力机关的积极义务应当主要包括三个方面的内容。一是必要的告知。即如上文所述的，当对个人信息处理情况的告知不会对诉讼的进程造成阻碍时，公权力机关应当及时向信息主体告知。二是充分的安全保障。司法领域的公权力机关在处理个人信息时，应当提供必要的安全保障措施，例如制定相应的个人信息处理规范、确定专门的信息处理人员、建立信息处理的监督和制约机制、提供信息安全保障的相关软硬件设备、设计信息安全事件的应急处理方案等。通过这些安全保障措施的实施，公权力机关方能保障司法领域的个人信息安全。三是主动封存或者删除。如上文所述，赋予公民被遗忘权即令其在个人信息无合法处理之需时可要求信息处理者封存或删除。而在司法领域，作为信息处理者的公权力机关亦有在相关个人信息无合法处理必要时予以主动封存或删除的义务，以实现对公民个人信息的能动保护。

第二个层面的义务是消极义务。消极义务的履行主要依赖于公权力机关对权力行使的克制与制约，即不以违法的方式处理公民个人信息。在司法领域，此种消极义务也主要包括三个方面的内容。一是不违法收集公民个人信息。此项义务乃是全部消极义务之始，也是司法领域公民个人信息保护之关键。尤其在刑事司法领域，公权力机关基于其追诉之倾向，天然具有尽可能收集信息的本能，在此种情况下，监督其不违法进行此种收集个人信息的活动，成为数字时代诉讼行为合法性的关键保障。二是不违法存储公民个人信息。公民个人信息的存储应以保证诉讼顺利进行之目的而为，故而基于目的限制原则的要求应有时限规定，此外对于存储的方式等亦需予以限制。强调公权力机关不违法存储个人信息，有利于保障司法领域的信息处理被限定在必要的边界之内。三是不违法传输公民个人信息。如上文所述，智慧司法的建设中，科技企业等第三方机构的参与已是常态，公权力机关与这些第三方机构之间的信息传输亦十分普遍。在此种情形下，应对传输予以限制，禁止公权力机关将公民个人信息以违法之目的或方式向第三方传输，防止个人信息向司法领域之外无序扩散。