大数据侦查与个人信息保护的冲突和平衡
孙 骁
(华东政法大学,上海 200042)
摘 要: 大数据技术在侦查实务中得到越来越广泛的应用,形成大数据侦查这一新的概念。大数据侦查给犯罪治理提供便捷的同时,与个人信息的保护存在冲突。要明确个人信息的内涵和个人信息保护的现状,发现在大数据侦查的背景下,存在个人信息处于时刻被监控状态、事前侦查缺少法律规制、个人对个人信息的控制力减弱等问题。因此,在侦查原则方面,应遵循合法原则、合理使用原则、比例原则;在制度设计方面,建立个人信息分类保护与分阶段保护机制,并实行混合监督模式,从而平衡大数据侦查与个人信息保护的冲突。
关键词: 大数据侦查;个人信息保护;冲突与平衡
大数据技术是在2000 年以后,基于信息交换、信息储存和信息处理三方面能力的大幅增强而产生的[1]。随着科技的发展,犯罪行为也愈发呈现出智能化、新型化、虚拟化、隐蔽化的特点,科技提升了犯罪分子的作案能力和犯罪行为的危害程度。鉴于此,作为发现犯罪嫌疑人、收集证据、惩治危害社会安全的犯罪行为的刑事侦查工作,必须与时俱进,将善于锁定个体对象的大数据技术运用到侦查工作当中。
1.4.1项下操作对基质标准曲线进行处理,以各药物的浓度为横坐标,以各药物峰面积与内标峰面积的比值为纵坐标进行线性回归,计算回归方程;同时,用空白血清配制浓度为1.0 μg/L的各药物的定量下限样品。结果表明,各药物在线性范围内线性良好,各药物的线性范围和线性方程及相关系数见表2;各药物在定量下限1.0 μg/L处的响应良好(见图1),精密度小于15%(见表3)。
在杨宗祥的眼里,创业就是一条需要用汗水铺就的路。2010年,时年59岁的他“二次创业”成立金麦公司,筹建占地面积449亩的祥丰高浓度磷复肥生产基地,在工地一住就是两年,开会吃饭都在那里,有时太忙就在车里过夜。
[7][9] Michael D. Swaine, “China’s Assertive Behavior Part One: On ‘Core Interests’”, China Leadership Monitor, February 22, 2011, pp. 8-11, pp. 9-10.
实务中,各地警方已经建立了大数据警务工作的平台,例如湖北省的“智慧警务”和山东省的“大数据警务云计算”等,大数据技术在侦查活动得到越来越广泛的应用,发挥着重要的作用。但是由于法律滞后性的特征,导致侦查机关在运用大数据的时候,缺乏配套的法律体系和制度规范,为侦查权的隐性膨胀提供了空间,带来一系列法律问题,其中最突出的便是与公民个人信息① 欧盟立法文件称之为“个人数据”(personal date),美国立法文件表述为“个人信息”(personally identifiable information),我国使用“个人信息”这一表述。 保护的冲突。本文从对大数据侦查和个人信息保护现状的剖析出发,在现有的立法体系和司法实践中探求大数据侦查对个人信息保护构成的挑战。最后,探讨从原则确立和实务机制构建两方面应如何在打击犯罪的侦查活动中平衡好保障公民的基本权利,同时做到既有“安全”,又有“权利”。
一、大数据侦查的兴起与个人信息保护的现状
(一)大数据侦查的兴起
对于近些年公安等侦查机关将大数据技术运用到侦查活动当中,从而破获刑事案件的侦查模式的性质界定,存在着不同的声音。有学者将其称之为“基于大数据的犯罪侦查”,强调大数据在侦查中的支撑、基础作用和方法指引作用。[2]此外,还有“大数据时代侦查”、“大数据空间侦查”等多种名称。笔者在此赞同使用能够体现大数据技术在侦查工作领域综合应用这一特征的“大数据侦查”一词。大数据侦查,是指通过计算机技术对存储于网络和计算机系统中的海量数据进行收集、共享、清洗、比对和挖掘,从而发现犯罪线索,证据信息或者犯罪嫌疑人的侦查措施与方法。[3]这一定义,从技术手段、实施过程,目标价值方面对这一侦查模式的性质做了全面地概括,目前已得到广泛的认同。大数据侦查的内涵即利用海量数据形成的数据空间和各种算法技术,寻找与案件相关的线索情报,搭建起数据信息与案件事实的桥梁。
我国现有的刑事诉讼法,并未将大数据侦查规定为一种独立的侦查措施,2018 年10 月26 日的刑事诉讼法第三次修改,在“侦查”这一章节也没有增添更多的笔墨。这一立法滞后性与侦查工作越来越广泛应用大数据技术的现状产生冲突,大数据侦查处于“无法可依”的状态,缺少法律对科技发展带来的新型社会关系的及时应对。
关于大数据侦查的法律属性,最常见的观点是将大数据侦查归为技术侦查措施一类。技术侦查是指侦查机关针对某些类型的犯罪,在秘密的情况下所采取的具有一定科学性、技术性的侦查措施,[4]包括监控、侦听、监听、追踪、秘密拍照、录像等手段。大数据侦查与技术侦查两者之前存在着相似之处,但不能将技术侦查等同于大数据侦查。法律明确规定了技术侦查的适用范围即危害国家安全和恐怖活动犯罪的等几种重大犯罪类型,而大数据侦查可以适用于盗窃这样的多发性、危害相对较小的犯罪类型。实际上,侦查机关可以在所有犯罪案件当中适用大数据侦查,并未受到罪种范围、严重程度等条件的限制。此外,大数据侦查可用于事前的犯罪预警和事后的数据线索挖掘、分析,而技术侦查更多的是在犯罪行为实施过程中进行确认、记录。技术侦查措施的各类监控手段不仅应具有秘密性和技术性的特征,还应具有同步即时性的本质要求。[5]因此,不能将大数据侦查归为技术侦查措施这一类。此外,也不能将大数据侦查等同于搜查与调取等其他现有的法定侦查措施,笔者更倾向于还是讲大数据侦查作为一种独立的新型侦查行为进行法律规制。
数据主体不知道自己产生了哪些数据、有多少数据被收集、被哪些部门所收集以及数据的使用途径,进而会产生个人信息权“失控”的不安心理。[8]试想,如果每个人的一举一动数据化后被侦查机关掌握,那么每个人都能成为侦查机关视线当中的“犯罪嫌疑人”,个人自由和尊严将被严重践踏。欧盟国家对个人信息的保护目的,就是宪法意义上的“个人基本权利和自由”,它最终根源于对“人的尊严”的保护。[9]美国斯诺登事件的持续发展警示着我们必须进行对国家大规模信息监控的法律控制,否则公民权利与国家权力的二元冲突将无可避免的剧烈化。
(二)公民个人信息保护的现状
我国对个人信息的立法保护,开始于2012 年12月28 日全国人大常委会通过的《关于加强网络信息保护的决定》,此后一些相关法律法规和司法解释陆续出台,不同的文件对个人信息定义的表述不尽相同① 《最高人民法院和最高人民检察院发布的关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中,公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等;《网络安全法》中,个人信息是指以电子或其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 。无论是将个人信息怎样定义,关键在于是否能够根据该信息识别到某一具体的自然人,即可识别性。在美国,个人信息被称为“个人可识别信息”② Schwartz,Paul M.and Solove,Daniel J,Reconciling Personal Information in the United States and European Union,102 California Law Review,877(2014). 《消费者隐私权利法案(草案)》将个人信息定义为能够连接到特定个人或设备的信息[6]。简而言之,个人信息是能够用来识别某一特定个人的信息,多个信息的组合相当于数据空间中个人的身份证。企业根据个人信息识别用户的偏好实施精准营销;政府可以预测人们的行为趋势进行社会公共管理。当然,犯罪分子亦能够获取公民的个人信息,利用其实施互联网电信诈骗、窃取商业秘密和知识产权、敲诈勒索等犯罪行为。个人信息不仅关乎着公民平等自由,人格尊严等抽象基本权利,而且逐渐具备经济价值,关乎着个人的财产权。“在信息时代,个人信息具有潜在的商业价值,故而都应该受到财产权的保护”[7]所以,各地区都重视起对个人信息的保护,出台了许多相关法律文件。
在侦查实践中,存在两个问题。首先是侦查机关在调取嫌疑人存储在电子设备中的犯罪证据时,往往能够接触到案件以外的个人信息,这些涉及个人生活和工作的个人信息难免涉及个人隐私信息,对公民的个人隐私权造成威胁。特别是在部分侦查人员、协警辅警权利意识淡薄,私自查阅获取个人信息甚至出售个人信息以此牟利。其次是侦查机关获取网络数据平台的用户信息数据的程序缺少规范,侦查机关在调取数据的时候,是应当出示何种文书证明身份,各平台有各自的说明,但未形成统一的规定,加大了个人信息泄露给不法分子的风险。
个人信息保护问题得到重视是在20 世纪末,其中具有代表性的是欧盟和美国,立法模式分别为综合立法保护模式和分散立法加行业自律保护模式。欧盟在2016 年4 月份,出台了《统一数据保护条例》,并在2018 年5 月生效③ 全称为《联盟议会与联盟理事会关于涉及个人数据处理的个人保护以及此类数据自由流通的第2016/629/EU 号条例》。 。把欧盟各国分散的个人数据保护规则统一起来,提高了法律层级,将对欧盟各国的个人信息保护提供法律效力更高的依据。美国尚未制定统一的针对个人信息保护的法律,他们的原则和理念分布在《家庭教育和隐私法》、《电子信息通信隐私权法》、《儿童在线隐私保护法》等法律当中。此外,美国推崇行业自律规范来弥补立法漏洞,一些行业协会会对违反行业规范的成员实施剔除协会、取消资格的处罚。
在世界范围内,没有明确的规定说不得使用未经信息主体授权同意的个人信息,尽管个人信息保护控制论是当今世界个人信息保护的理论支撑③ 无论是欧洲的个人数据保护理论还是美国的信息隐私理论,都认为个人有权控制其个人信息的使用实现对自身基本权利的保护。 。这是由于个人信息利用存在多元需求,信息主体对信息隐私有保护的需求,网络运营商等企业单位对个人信息有商业需求、政府管理部门对个人信息有公共管理的需求。个人隐私之外的个人信息的公共属性被得到越来越多人的认可④ 例如,高富平认为个人信息具有公共属性,关涉他人和社会利益,个人信息的使用不应当由个人决定,参见高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》,2018 年第3 期;普里西拉·里根也提出,除具有个人隐私价值外,个人信息同样具有公共价值(common value)、公开价值(public value)、集体 价值(collective value),Priscilla Regan,Legislative Privacy:Technology,Social Values,and Public Policy,University of North Carolina Press,1995:211. 。个人信息给了他人识别个体的依据,他人有识别某一个体的“权利”,尤其是在大数据时代,数据信息的产生成本低、速度快,规模大,个人无法对信息行使排他性权利,个人信息必须被赋予公共属性。总之,个人信息不再是个人专属的信息,而是具有公共属性和社会价值的信息,不能将个人对个人信息的控制权利升级为排他的支配权,否则以人为基本单位的社会将无法运转,我们自身的利益也无法得到保障,因为我们需要以各种信息为基础建立起来的公共产品服务来满足日常的工作生活。
二、大数据侦查与个人信息保护的冲突
大数据带来的不仅是数据规模的变革,更多的是引起了一股数据分析方法、数据思维模式的革命。大数据侦查亦是如此,新技术给侦查机关带来侦查技术革新的同时,也带来了侦查人员侦查思维的变革,相对于传统侦查模式有着无可比拟的优势和应用前景。但大数据侦查是国家公权力机关拿着大数据这把武器与公民基本权利与个人自由的一次直接对话,在大数据侦查广泛运用的今天,个人信息权益的维护更是面临着严峻的挑战。
(一)个人信息处于时刻被监控的状态下
工程项目实施后,用能单位与节能服务公司需要就工程实施带来的节能收益进行分享,而工程的后评价是分享收益的基础,尤为重要。
公民在社会生活中产生个人信息,被多方主体所掌握,大数据侦查要求各单位协作共享,打破数据信息交流的壁垒,并且在立法上已有相关规定,例如2016 年通过的《网络安全法》规定网络运营者对公安机关、国家安全机关开展技术侦查与其他信息监控工作提供技术支持与协助的义务② 详见《中华人民共和国网络安全法》第28 条。 。各政府部门之间的信息共享和其他信息掌握单位的信息提供义务大幅度提升了侦查机关的情报收集能力和取证能力,让权属不同部门的零碎分散的数据集中起来,运用算法技术对这些数据进行交叉碰撞发现犯罪线索。但由于在传统法律框架内,对于公权力机关搜集情报信息的行为少有规范,而近年来出台的法律文件又缺少细化规定,导致侦查机关在与其他信息掌握主体进行技术接口获取个人信息数据时,易产生大面积个人信息数据泄露的问题,若侦查部门获得全部数据,则会带来数据滥用和全面监控的效果。
为了降低成本,本设备选用普通碳钢型材。但猪厂环境湿热高温,酸碱腐蚀严重,钢管表面必须经过合适的处理才能有较长的使用周期。目前,常用的钢管表面刷漆处理方法,抗腐蚀能力差,设备使用周期太短;若用不锈钢型材,成本太高,另外如果不锈钢的纯度不够,仍然存在较严重的生锈现象。经分析试验,本设备采用Q235整体热镀锌工艺[5]:将需焊接的模块加工后,作为一个整体经过脱脂、酸洗、清洁处理,浸入480~520℃的锌液中,完成表面热镀锌。这种方法不仅使保证了钢管表面质量,也有效提高了焊缝的耐腐蚀性。由于采用了模块化设计,每一个模块间的联接均采用螺纹联接,不再破坏镀锌表层,从而使整个设备的抗锈蚀能力增强。
Frequent winds in evening during sowing, be careful of deep snow in autumn.
(二)事前侦查缺少法律规制
由于立法上还未明确规定“大数据侦查”,所以对于这一表述,更多的是学界来进行解释。大数据侦查的范围比较广阔,既包含以预防为目的的事前侦查① 此处的“侦查”不同于传统意义上的侦查,其含义更类似于“预测警务”(predictive policing),为了行文方便在此使用“事前侦查”一词。 ,也包含以打击为目的的事后侦查。传统的回溯性犯罪侦查模式的逻辑在于重建过去,但时空、人员的流动以及不可逆等因素严重制约了侦查的效率和质量,[10]难以适应新型智能化犯罪的犯罪率上升和扫黑除恶等的社会治安需求。但在大数据侦查模式当中,侦查机关能够对其掌握的数据信息进行收集、共享、清洗、比对和挖掘,筛选出隐蔽的犯罪线索,分析特定时空的犯罪规律,做好犯罪行为的预警预防工作,先发制人,这是大数据侦查在现如今犯罪形势严峻的环境下的优势所在。例如,北京怀柔区公安分局“犯罪数据分析和趋势预测系统”上线后,多次做出正确预警,辅助民警提前布控,提前破获多起案件。大数据主动发现犯罪线索的原理在于,通过对海量案件数据进行大规模样本训练,挖掘类案规律并建立相应的预警规则,那些触动预警机制的异常数据背后,往往隐藏着犯罪线索。[8]但这种事前侦查导致侦查机关介入犯罪治理的启动点前移,混淆了社会治安与刑事侦查两大警察职能,给公民的基本权利带来威胁,尤其体现在对个人信息的侵犯。
事前侦查环节缺少正式法律文件的规定,存在侦查权规制的真空。在我国,刑事侦查的启动以立案为标准,立案的要求又是“认为有犯罪事实需要追究刑事责任”② 详见《刑事诉讼法》第110、113 条。 ,这些规定限制了侦查权的随意开启。事前侦查的任务是预测,包括预测犯罪嫌疑人、被害人、犯罪行为等,要做到这些,必须依赖对公民个人信息数据的分析和匹配。但法律依据的缺失,导致事前侦查的启动条件、时间和程序方法都是由侦查机关内部来确定,甚至有些地区没有内部规定,全凭侦查人员自主决定。这种缺乏法律规制的权力如果被滥用,将会给公民个人信息乃至国家安全利益造成严重威胁。
(三)个人对个人信息的控制力减弱
我国早在2003 年曾有过制定统一的个人信息保护法的计划,拟定了《个人信息保护法》草案,但最后由于各种原因被搁置。之后也有学者建议版本的个人信息保护法出现④ 参见周汉华:《<中华人民共和国个人信息保护法>(专家建议稿)及立法研究报告》。 ,但没有在立法上得到真正实现。随着近几年公民个人信息的泄露和非法使用给国家安全和社会公共利益带来了严重的危害,法律滞后性的特点与个人信息保护的紧迫要求冲突明显。对于是否应当参与统一立法模式,学界也存在着诸多争议① 例如,范为认为,立法追求严谨与内容明确的特点并不能适应大数据技术之下个人信息利用的变动性,参见范为:《数据时代个人信息保护的路径重构》,载《环球法律评论》2016 年第5 期;王秀哲认为,放弃制定大而全的个人信息保护专门法律的做法,重点制定适应大数据时代要求的特别保护法,参见王秀哲:《大数据时代个人信息法律保护制度之重构》,载《法学论坛》2018 年第6 期。 。实践中,目前我国采取的是分散立法的模式,规制个人信息的内容散见于全国人大常委会《关于加强网络信息保护的决定》、《侵权责任法》、《消费者权益保护法》、《网络安全法》、工信部《信息安全技术公共及商用服务信息系统个人信息保护指南》等,此外刑法和民法总则以及若干司法解释、部门规章都有触及。涉及面虽广但缺乏整体性、专门性立法。
我国是世界上为数不多的将这个人信息保护控制论的思想纳入正式立法的国家⑤ 例如,《消费者权益保护法》第29 条规定,经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方法和范围,并经消费者同意;《网络安全法》第41 条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方法和范围,并经被收集者同意。 。表面上,个人对个人信息的控制有了法律依据,实际上,在大数据侦查广泛使用的今天,这种知情同意和个人控制原则的确处于尴尬的境地。
大数据侦查中,侦查机关不必与信息主体取得联系便能够获取大数据。大数据的生产在每天都在发生,个人不可能掌握其全部的个人信息,这些信息由多元第三方主体掌握。为了侦查工作的顺利开展,侦查不便于在事前将向其他第三方主体调取个人信息的行为告知信息主体,且个人信息的收集与分析处理工作大多是计算机进行的,这种调取与收集便往往是在信息主体不知情的情况下进行的,比如向网络运营商请求互联网数据搜索、向手机通讯服务商请求通信数据搜索、向公安治安部门请求视频监控数据搜索等。在个人信息秘密收集与多方流转的生态系统中,用户在很多情况下对其信息的收集并不知情,难以对第一方收集者行使权利,更遑论向缺乏直接联系的第三方机构行使控制权。[11]大数据侦查的这个特征,阻断了信息主体与个人信息的接触,信息主体几乎丧失了对信息的修改、删减、补正的权利,无从谈起个人对个人信息的控制。此外,侦查的效率要求也无法做到每用一次个人信息前就要向信息主体征得同意。个人的知情权和控制权被架空,对自身信息的控制力减弱。
定义2:假设一个总体含有N个个体,从中逐个不放回地抽取n个个体作为样本(n≤N),如果每次抽取时总体内的各个个体被抽到的机会都相等,就把这种抽样方法叫做简单随机抽样,这样抽取的样本,叫做简单随机样本.
三、大数据侦查背景下个人信息保护的路径
2.合理使用原则。基于在大数据侦查模式中,个人的知情权和控制权被架空,对自身信息的控制力减弱,我们有必要引入合理使用原则。合理使用原则是指在法律明确规定的合理的限度以内,可不经个人同意,按照法律规定对个人信息进行利用,但不应对个人信息、隐私造成侵犯,不应以影响数据安全的方式加之利用。[12]该原则源于著作权法,将此引入对个人信息保护的规制中来,有利于弥补知情同意原则和个人控制原则发挥作用不力的尴尬局面,也有利于减少请求同意等程序步骤,提高侦查效率。侦查机关应遵循合理使用原则,例如只有在保障数据主体的重大利益或重大社会公共利益才可以进行数据加工,加工过程中不得侵犯数据主体更重要的基本权利等② 参考欧盟《统一数据保护条例》第6 条的部分内容。 。
(一)大数据侦查背景下个人信息保护的基本原则
1.合法原则。遵守法制是运用个人信息进行大数据侦查工作的最基本要求,是指必须在法律、法规和相关政策规定的范围内进行,包括侦查活动要符合刑事诉讼法和侦查机关内部的规章制度,对个人信息的使用要遵循相关个人信息保护的法律法规,严禁扩大适用范围,侵犯公民的民主权利和个人自由。但大数据侦查的法律定位模糊,个人信息保护的立法分散不统一,我们面临着无法可依的困境。
在大数据侦查的侦查技术方面,侦查机关通过对海量数据化信息的掌控从而易于获取案件情报和线索,为后续打击犯罪的侦查活动打好了基础。在互联网、大数据、物联网等信息通信技术迅速发展应用的现代社会,很多行为都能被“数据化”,小到公民个人的身份、医疗、就业、入学、出行、通讯等记录,大到人口户籍、实时监控、国民基因等公共信息都能够被数据化,每个社会主体都是一堆数据。这些数据,有的是由侦查机关内部的数据库、数据平台掌握的,有的是其他政府部门、网络运营商和企事业单位掌握。在数据化、信息化、网络化的社会当中,“数据”成为个人社会生活的主要信息载体,每个人的个性特征都能通过数据来刻画。这为侦查机关提供了丰富海量情报信息的同时,也带来了大规模监控和全面监控的效果,使每个人都处于不安定的被监控状态。
在此,首先需要将大数据侦查列为《刑事诉讼法》“侦查”这一章节内的一项单独侦查措施,规定适用范围、程序要求、审批规范等内容。在正式法律尚未出台前,侦查机关必须遵守现有的规范。譬如《公安机关执法细则》虽然只是公安部的内部规范,但体现了侦查机关认识到了运用大数据技术的侦查工作不同于传统侦查措施① 《公安机关执法细则(第三版)》第29-02 条规定:进行下列侦查活动时,应当利用有关信息数据库查询、检索、比对有关数据:(1)核查犯罪嫌疑人身份的;(2)核查犯罪嫌疑人前科信息的;(3)查找无名尸体、失踪人员的;(4)查找犯罪、犯罪嫌疑人线索的;(5)查找被盗抢 的机动车、枪支、违禁品以及其他物品的;(6)分析案情和犯罪规律,串并案件,确定下步侦查方向的。 ,侦查机关应当严格遵守此类规定。其次,需要完善个人信息保护的立法工作。基于个人信息保护法律法规零散化分散化、刑事法律保护和民事法律侵权救济的被动性的现实不足,参考域外各国各地区都进行了个人信息数据保护的完整立法,有必要根据我国信息经济社会发展的实际,紧跟时代脚步,出台一部《个人信息保护法》,让对大数据侦查的规制有法可依。考虑引入行业自律、技术标准等制度,配合个人信息保护立法,在保护个人基本权利和自由的同时,促进个人信息的开放性,发挥个人信息再大数据时代对社会的巨大价值。
大数据侦查与个人信息保护并非是绝对相对立的对立关系,为了在进行大数据侦查维护社会治安,打击违法犯罪的同时,减少公民个人信息被破坏的风险,实现充分保障人权的目标,必须明确大数据侦查应遵循的原则,构建分类分阶段的个人信息保护机制,设置混合的监督与救济程序。
3.比例原则。比例原则是源于行政法的基本原则,运用在此,可以理解为侦查机关实施大数据侦查活动应兼顾目标的实现和适当性手段的选择、保障公共利益和信息主体人权益的均衡,如为实现侦查目标可能对相对人权益造成某种不利影响是,应将这种不利影响限制在可能小的范围和限度内,保持二者处于适度的比例。具体来看,首先是合目的性,是指侦查机关展开大数据侦查所采取的具体措施必须符合法律目的。大数据侦查的目的就是为了迅速精确地打击犯罪,维护公共利益,假若是侦查人员为了其他目的利用职权打开信息数据库,那就不符合比例原则;其次是适当性,侦查机关所选择的手段和具体措施应当为法律所必需,结果与手段和措施之间存在着正当性。只有确定采用大数据侦查有助于达到侦查目的,才能实施。最后是损害最小性,是指侦查机关在可以采用多种措施实现某一侦查目的的情况下,应当采用对当事人权益损害最小的措施。如果使用对个人信息等基本权利损害较小的讯问、询问、鉴定、勘验检查等传统侦查措施足够完成任务,就不必启动大数据侦查。
(二)建立个人信息分类、分阶段保护机制
我们所说的个人信息,易与个人隐私相混淆,甚至有人将其等同。两者的外延确实存在交叉,个人隐私包含在个人信息内,各地区立法中也称之为“个人敏感信息”① 例如欧盟《统一数据保护条例》、《法国数据处理、数据文档和个人自由法》、《德国联邦数据法》,台湾地区“个人资料保护法”等。 ,且不同的法系对此的认定也存在争议,例如《美国隐私法》 将个人信息保护纳入隐私的范畴,立法中认为个人信息保护与隐私保护是同等概念。但在大陆法系中,两者并非浑然一体的概念,在我国立法当中,两者在性质等方面存在着区别。区分两者的内涵十分重要,关系到大数据侦查中对公民个人信息保护的对象范围和程度,关系到对个人信息分类保护的框架建构。
与个人隐私相对应的隐私权强调公民的精神权利,在我国,“个人敏感信息”是指一旦遭到泄露或修改会对标识的个人信息主体造成不良影响的个人信息② 详见2013 年《信息安全技术公共及商用服务信息系统个人信息保护指南》。 。这种不良影响,主要体现在个人精神痛苦上面,诸如家庭私生活安宁和通信自由被破坏、违法犯罪经历或健康检查资料带来的就业歧视等,这些会使得敏感信息主体感到自卑、羞愧、焦虑。虽然有时候也常常伴随着间接的精神损失,但不存在直接的财产损失。[13]而与个人信息相对应的个人信息权关系着财产权,与精神人格的相关性较为弱化。然而,隐私在泄露之前,公民无法行使针对隐私信息的积极行为,只有当个人隐私被窃取泄露后,个体才能够行使防御性的排除妨害、赔偿损失的请求权,且主要以精神损害赔偿为主。个人信息的公共属性并非意味着完全排除个体对其的支配权,个体可以增添、更改、删除其个人信息,或者以充分理由要求要求行为人停止使用,体现了主动性的特点,可以兼具财产赔偿和精神损害赔偿两种救济方式。
个人隐私信息是个人属性更强的个人信息,是个人不愿意公布在外的个人信息,一旦泄露将会给个人带来更严重的后果,会对个人精神带来痛苦,且只存在消极救济方式;一般个人信息具有公共属性,社会上包括信息主体、政府、信息从业者、公众对其有多元的需求。基于此,应当避免对个人信息进行“一刀切”的保护模式,重新平衡用户和数据从业者以及其他信息利益相关者之间复杂的利益关系。[14]对于个人隐私信息,侦查机关内部设置严格的审批和启用条件,充分贯彻比例原则,只有在其他侦查措施和使用一般个人信息大数据侦查仍无效时才能使用隐私信息;赋予其他信息掌握者审查信息类别的义务,不得随意将个人隐私信息提供给侦查机关,杜绝侦查机关的大规模复制;赋予侦查机关区别的保密义务、侵权责任和赔偿机制;强化公民对于自身隐私信息的知情权和控制权,若侦查机关认为告知可能有碍侦查或属于重大复杂案件,可以推迟告知。
大数据侦查既包含以预防为目的的事前侦查,也包含以打击为目的的事后侦查,事前侦查带来的是侦查机关介入犯罪治理活动的时间点前移,缺少正式法律规制,引发了与无罪推定原则的剧烈冲突。在未来立法与实践中,应强调对大数据侦查的阶段进行明确划分,结合对个人信息的分类,设置侦查机关的权力义务。在事前侦查阶段,禁止侦查机关调取公民的隐私信息,在事后侦查中才可以按照规定有限使用。
改革开放四十年后我国迎来经济建设的新时期,装备制造业民营高新技术企业的竞争力度在与日俱增,企业只有确保内部的财务管理呈现出一种逐渐完善的态势,整个企业的核心竞争力才能胜过其他同类型的企业。但是事与愿违,如今我国不少民营高新技术企业的财务管理工作依旧有较大进步空间,企业只有花费更多的时间精力来完善这些细节问题,社会效益与经济效益同时提高的目标才会更近。
(三)实行混合监督模式
大数据侦查和个人信息保护两个立法都相对不完善的领域碰撞在一起,必须对其实施有力全面的监督。从时间层面,有事前监督和事后监督两种观点,笔者认为应该以事后监督为主,兼顾事前监督,这是侦查这一刑事司法活动的特殊性所决定的。对于事后监督,可以考虑通过出台检察机关具体的执行机制发挥检察机关法律监督职能,审查侦查机关搜集、分析、处理公民个人信息用于犯罪侦查的实体上和程序上的合法性;可以强化法官的司法审查功能,但由于运用大数据侦查获取的材料大多不直接作为证据送往法庭审查,所以法官在此应当重点审查侦查程序,配合检察机关进行法律监督。
从空间层面,有内部监督和外部监督两种方式。侦查机关内部要完善启动审批程序和责任追究制度,下级侦查机关要启用大数据侦查对涉及公民个人信息的数据系统进行操作前,要向上级侦查机关说明理由,经批准后方可使用;每次使用,须制作备案,把对个人信息的应用具体过程详细记录,案件侦办完毕后提交给检察官和法官接受法律监督和司法审查;落实严格的责任追究制度,根据权责一致原则,侦查权的隐性扩张须对应侦查人员承担更大的责任,侦查人员不履行法定职责或违法、不合理地行使职权,均要承担相应的法律责任,同时对于侦查机关的主要负责人和直接负责人也要追究其个人责任,把压力传导下去,倒逼侦查机关规范开展大数据侦查工作。外部监督包括前面所述的检察官法官审查的司法监督,还可以考虑设置专门的个人信息保护监管机构,独立于侦查机关等司法、行政机关之外,依职权或依申请对公民个人信息的使用情况实行监督,接收公民对信息删除、更正或补充的救济申请,督促掌握个人信息的单位按照救济申请的要求及时变更。设立这样的专门机构短期来存在种种困难,暂时可以借鉴欧盟的巨额罚款制度,对违反个人信息保护法律规定的机构处以巨额的罚款,提高数据采集处理机构的违法成本,形成威慑力。[15]
综上,可以将事前、事后监督与内部、外部监督结合起来,弥补不同监督方式的不足,形成混合监督的模式,不失为一种稳妥的选择。
四、结语
“当我们回顾人类信息保护的发展历史时,必须警醒地认识到对公民信息自由与安全的最大威胁莫过于政府。”[16]除了从法律和制度规范上平衡侦查机关应用大数据侦查与个人信息保护之间的关系,还要求提高思想意识。对于相对侦查机关处于弱势地位的公民来说,要提高自己的信息安全意识。一方面,要从根源上保护个人信息的安全,在网络平台享受服务之前要认真阅读隐私声明,保障自己知晓个人信息的用途等知情权等;另一方面,要敢于对侦查机关的侵权行为申请事后救济。同时,侦查人员也要提高认识水平,要认识到不合法地侵犯公民个人信息权益会对公民的财产造成损失,会对人身安全、民主权利和个人自由造成侵犯。侦查机关要加强队伍建设,提高队伍应用大数据技术的专业能力,防止不规范的操作造成个人信息数据的过失泄露。信息时代和大数据时代已经来临,我们仍然需要紧跟时代浪潮,积极探索并回应科学技术创新所引发的新型法律问题。
参考文献:
[1]Martin.Hilbert,“Big Data for Development:A Review of Promises and Challenges”34,(1)Development of Policy Review.2016:135-147.
[2]王彬.论基于大数据的犯罪侦查[J].犯罪研究,2017,(2):2-9.
[3]程雷.大数据侦查的法律控制[J].中国社会科学,2018,(11):156-180,206-207.
[4]张慧明.技术侦查相关概念辨析[J].中国刑警学院学报,2012,(4):20-23.
[5]程雷.检察机关技术侦查权相关问题研究[J].中国刑事法杂志,2012,(10):56-31.
[6]F.T.C.“Protecting Consumer Privacy in an Era of Rapid Change:A Proposed Framework for Businesses and Policymak-ers-Preliminary FTC Staff Report“[EB/OL][2010-12-10](2018-04-18).http://www.Ftc.gov/os/2010/12/101201privacyreport.pdf.2018-04-18.
[7]刘德良.个人信息的财产权保护[J].法学研究,2007,(3):80-91.
[8]王燃.大数据时代侦查模式的变革及其法律问题研究[J].法制与社会发展,2018,(5):110-129.
[9]张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015,(3):38-59.
[10]何军.大数据与侦查模式变革研究[J].中国人民公安大学学报(社会科学版),2015,(1):72-80.
[11]范为.大数据时代个人信息定义的再审视[J].信息安全与通信保密,2016,(10):70-80.
[12]江波、张亚男.大数据语境下的个人信息合理使用原则[J].交大法学,2018,(3):108-121.
[13]张新宝.我国隐私权保护法律制度的发展[J].国家检察官学院学报,2010,(2):11-16.
[14]袁泉.个人信息分类保护制度的理论基础[J].上海政法学院学报,2018,(3):29-37.
[15]张新宝.从隐私到个人信息:利益再制度安排[J].中国法学,2015,(3):38-59.
[16]程雷.刑事司法中的公民个人信息保护[J].中国人民大学学报,2019,(1):104-113.
中图分类号: D631.2
文献标志码: A
文章编号: 2095-2031(2019)05-0038-05
收稿日期: 2019-06-08
作者简介: 孙骁(1998-),男,安徽宣城人,华东政法大学刑事司法学院2016 级本科生,从事侦查学和边防管理相关研究。
责任编辑:黄晓玲