2021-06-02 16:17:52 來源:中國周刊
作者程雷:河北廊坊人,法學博士,中國人民大學法學院教授、博士生導師,研究方向為刑事訴訟法學。本文來源:《法學論壇》。
信息社會的到來突顯出保障個人信息權的必要性,民法、刑法、行政法領域的個人信息保護立法及相關研究都取得了相應進展,唯獨在刑事司法執法領域,對公民個人信息權的干預始終被視為法律規制的例外,業已成為個人信息保護的短板所在。秘密監控是刑事司法領域干預公民個人信息權的主要表現形式,大數據背景下秘密監控手段的發展突顯出傳統隱私權保護理論的缺陷。就公民個人信息保護的視角觀之,無論是犯罪偵查中的技術偵查措施還是犯罪預防與情報信息領域內的信息收集行為都存在明顯的規范漏洞。國際社會的經驗表明,保護公民個人信息權,既要運用合法性原則與比例原則這兩項傳統規范工具,也應當適度引入個人信息保護的法律原則與機制。就個人信息保護的具體舉措而言,應建立混合監督體系,積極應對第三方數據、元數據等規制難題,健全政府部門數據庫共享過程中的信息保護機制,厘定個人信息使用中的隱私保護范圍。
一、問題的提出
傳統刑事司法過程中,為抗制犯罪,政府主要通過訊問、詢問、搜查、扣押等常規偵查手段獲取案件事實信息。伴隨著社會發展形態由工業社會向信息社會轉型,信息成為社會發展包括政府管理中最為寶貴與重要的資源,刑事司法執法程序作為社會控制的重要機制,必然要順應信息社會發展的浪潮,客觀上要求作為信息資源最大持有者的政府管理部門最大化的收集與利用個人信息。與此同時,人類社會逐步邁向文明與進步,刑事訴訟程序的逐步正當化對傳統偵查行為也施加了越來越多的適用條件與限制。上述兩方面因素疊加,政府部門獲取信息的主要方式正在經歷“由強制到監控”的轉型,政府監控特別是秘密監控由于其強大的信息收集功能逐步成為刑事司法與執法過程中偵查取證的主要工具。
秘密監控系政府部門在公民不知情的情況下對公民的各類個人信息實施的截取、分析、使用行為。在刑事司法、情報信息、國家安全三大領域中針對公民個人信息的監控自古有之,但伴隨著信息社會的深入發展,秘密監控與信息社會之間存在相互融合、彼此促進的關系。秘密監控已經成為了獲取與利用公民個人信息最為廣泛、最為深刻的領域。特別是伴隨著大數據科技浪潮的興起,公民在社會生活的方方面面留存的海量數據日益成為秘密監控的重要對象,許多公開獲取公民信息的媒介所儲存的大數據也被應用到刑事司法、情報信息與國家安全領域,公民信息被干預的規模與概率呈現出幾何倍的增長。
從公民個人的角度觀之,上述刑事司法的轉型過程事實上也是“用隱私換安全”“用信息換安全”的過程,公民讓渡出部分個人信息由政府加以利用以獲得更為安全、穩定的生活狀態以及更為正當、更為文明的刑事司法程序,這一“交易”過程實屬信息社會發展之必然。然而,交易是有對價的,公民讓渡個人信息權的前置條件是推定刑事司法系統能夠正當化利用公民個人信息,政府監控應當受到正當程序的法律規制。另一方面,當我們回顧人類信息保護的發展歷史,必須警醒地認識到對公民信息自由與安全的最大威脅莫過于政府。回首20世紀的短暫歷史進程,信息濫用導致的沉重災難無不與政府濫權有關:無論是二戰時期德國納粹政權通過人口普查獲取的信息對猶太人進行的系統、集中迫害,還是美國政府對美籍日裔集中移送至類似集中營的重新安置中心,再到20世紀六七十年代我國文化大革命浩劫當中,基于檔案而制造了一系列冤假錯案。進入21世紀以來,911事件后的全球反恐局勢及各國政府相應地順應信息社會的發展在情報收集與刑事執法領域開展的大規模信息收集工作,已經成為全球社會對信息安全與隱私保護的最大隱憂。美國斯諾登事件的持續發酵進一步加劇了全球對于多個國家開展大規模信息監控的擔心。
從各國個人信息保護法的角度來看,侵權風險最高的國家安全與刑事偵查領域中的個人信息保護多處于被遺忘的角落。在許多國家的個人信息保護法中,均將國家安全作為一項常見的適用例外加以排除,以保證執法機關的活動不受外界的干預和影響,刑事執法領域的個人信息保護也被多數國家部分或者全部排除在個人信息保護法之外。與民法領域的個人信息保護、個人信息保護法對政府行政行為的約束相比,基于國家安全、社會安全的例外事由遮蔽下的刑事司法、執法領域中的個人信息保護已經成為個人信息保護整體制度的短板所在。這一狀況在我國刑事訴訟法的法益保護體系中顯得尤為明顯,中國刑事訴訟仍處于重人身權、輕財產權、嚴重忽視隱私權保障的傳統刑事訴訟法時代,此種狀況嚴重滯后于當下飛速發展的信息社會演進趨勢。
刑事司法與執法中的政府監控依托最為強大的信息資源與信息技術,對公民個人信息的干預廣度、深度都遠遠超越公民個人、商業機構、社會機構,更為重要的是,政府對個人信息的使用本身就是“雙刃劍”,一旦濫用,為禍尤烈,對其信息使用的規制既關系到信息社會的健康發展,更與公民的人格尊嚴、個人自治等一系列基本權利息息相關,顯屬法律規制的重點領域,理應加以認真研究與對待。
本文的主要目的是探求在信息社會背景下“用信息換安全”的此種發展態勢中,如何實現“公平交易”,即如何通過制度設計確保公民合理讓渡出個人信息權后能夠實現刑事司法執法程序的高效與正當。在這一過程中刑事程序法中的規制工具是本文探討的主要問題,規制政府監控對公民信息的收集、使用過程與保障公民個人信息權無疑屬于一個硬幣的兩面。筆者將首先梳理當下我國刑事司法與執法中秘密監控與個人信息保護的相關規范與制度安排,旨在揭示目前該領域內個人信息保護的失衡狀態;接下來,筆者將從比較法的視角整理國際范圍內代表性的規范進路,集中介紹與分析聯合國、歐盟以及德國、美國等代表性國家與地區的主要作法與利弊得失。最后在完善建議與結論部分,筆者提出堅持刑事司法傳統規范工具與適度引入個人信息保護法律制度的雙重路徑,作為“用信息換安全”這一交易的基本規范,其中刑事司法傳統法律規范工具主要是指合法性原則與比例原則,同時個人信息保護法律制度的基本原則與重要權能在刑事司法領域可以有限適用,而不能完全作為例外一攬子排除適用。
二、我國刑事司法執法中的秘密監控與個人信息保護狀況
秘密監控(covert surveillance)是指使用技術手段秘密獲取公民信息的各種措施。政府使用秘密監控措施收集公民信息依干預目的的不同大致分為情報信息與追訴犯罪兩大方向,情報信息主要服務于國家安全事務和犯罪的預防,犯罪追訴則包括對犯罪的偵查、起訴與審判。秘密監控主要是學理概念,我國的法律體系中使用“技術偵查”或“技術偵察”這兩個近似但又略有區別的法律術語指代秘密監控。“技術偵查”是指刑事訴訟法中的一種偵查措施,《刑事訴訟法》第150條規定只能在刑事案件立案后采取,《刑事訴訟法》第152條規定技術偵查只能用于對犯罪的偵查、起訴和審判;反間諜法與反恐法中的“技術偵察”是在刑事案件立案前的調查階段采用,主要目的是搜集情報信息與犯罪的預防控制。依照法律體系的這種區分方式,筆者分別對犯罪追訴和情報信息收集兩個領域中技術偵查措施與個人信息權保護的關系進行闡釋。
2012年《刑事訴訟法》第二次修正時通過新增“技術偵查措施”一節,使用四個條文將長期處于法外之地的技術偵查措施納入到法律軌道,開啟了技術偵查法治化的重大歷史進程。由于立法之時受制于技術偵查措施本身的敏感性、保護公民隱私的需要以及防范反偵查的要求,刑事訴訟法對于技術偵查措施的規范密度較低,使用的法律術語過于寬泛,這對保護公民信息權帶來了不少挑戰。
在我國的法律體系中較長一段時間內對于公權力機關搜集情報信息與維護國家安全事務中的秘密監控,幾無法律規范。中共十八大以來,中央提出的總體國家安全觀戰略,情報信息與國家安全領域的法治化程度開始受到了越來越多的關注。在落實總體國家安全觀的相應法律體系中,情報信息與國家安全事務中的秘密監控也初步具備了一定的法律依據。
首先,2015年7月1日公布的《國家安全法》第52條規定,公安機關、國家安全機關、軍事機關依法搜集情報信息;第53條規定,充分運用各種現代科學技術手段,加強對情報信息的鑒別、篩選、綜合和研判分析。作為總體國家安全觀的基本法律,《國家安全法》列明了情報搜集的機關,并對情報收集工作設定了合法性原則,即“依法”搜集,此處的“依法”應當主要是指立法機關2017年6月27日通過的《國家情報法》。
其次,2015年12月17日全國人大常委會通過的《反恐怖主義法》(以下簡稱“反恐法”)第45條規定,公安機關、國家安全機關、軍事機關在其職責范圍內,因反恐怖主義情報信息工作的需要,根據國家有關規定,經過嚴格的批準手續,可以采取技術偵察措施。依照前款規定獲取的材料,只能用于反恐怖主義應對處置和對恐怖活動犯罪、極端主義犯罪的偵查、起訴和審判,不得用于其他用途。本條規定首次在我國的法律體系中明確了情報信息工作中技術偵查措施的應用,并明確限定了在情報信息工作中搜集的各類信息的特定用途,有助于公民信息的保護。當然本條規定只能視為概括性授權,因為對于情報信息收集過程中的秘密監控所應當遵循的一系列程序規范、適用對象及范圍、救濟與監督機制等,僅靠一條規定難以細化,而“根據國家有關規定”到底是哪些國家規定值得進一步追問。立法機關認為,這里的“國家有關規定”是指憲法、刑事訴訟法、本法和其他法律、行政法規以及有關國家規定,這一列舉并未清楚地劃定“有關規定”的范圍,屬于不完整列舉,顯然長期以來技術偵查部門所遵照的各種不對外公開的各種政策文件、內部規范性文件似乎也屬于“有關規定”。同時《反恐法》第18條還明確規定了電信業務經營者、互聯網服務提供者應當為公安機關、國家安全機關依法進行防范、調查恐怖活動提供技術接口和解密等技術支持和協助;第20-21條規定了交通運輸服務提供者、物流運營單位在查驗客戶真實身份、實行實名制以及物品信息登記制度方面承擔的法律義務。這些規定進一步為大數據背景下的記錄監控提供了支撐條件。但值得關注的是,各類運營商、服務提供者的義務適用范圍是全部客戶,而非僅僅限于有恐怖活動嫌疑的人員,換句話說,基于反恐法,公安機關與國家安全機關對于數據記錄的收集是針對全社會范圍的大規模監控,這種缺乏適用范圍與適用條件的監控措施是否符合法治的要求值得進一步研究。
最后,2016年11月7日全國人大常委會通過的《網絡安全法》:一方面規定了網絡運營者不低于6個月的留存用戶網絡日志的義務以及對公安機關、國家安全機關開展技術偵查與其他信息監控工作提供技術支持與協助的義務。另一方面,該法進一步增強了網絡空間公民個人信息的保護,比如明確界定了“個人信息”的概念與范圍,個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等;規定網絡運營者收集、使用個人信息應當遵循合法、正當、必要的原則,事先告知收集信息的目的并經被收集者同意等。
值得進一步研究的問題是,網絡運營者對公安機關、國家安全機關在維護國家安全和偵查犯罪時提供技術支持與協助的內容,比如《反恐法》第18條將“技術支持與協助”的內容界定為提供技術接口和解密等技術支持和協助。當然兩部法律中都未窮盡所有的技術支持措施,而且對于技術接口問題的授權也過于寬泛,如果技術接口意味著執法部門可以獲得全部網絡運營商的數據,此種監控行為基于必要性與比例原則的視角觀之,顯屬過度監控。
三、 國際社會的主要發展趨勢
面對日新月異的信息技術發展給個人信息與隱私權保護帶來的挑戰,國際社會仍然堅持運用既有的法律工具與權利保障工具對該問題予以回應。這方面的主要國際性法律文件是聯合國《世界人權宣言》及《聯合國公民權利與政治權利國際公約》中關于隱私權的保護條款。《世界人權宣言》第12條規定:“任何人的私生活、家庭、住宅和通信不得任意干涉,他的榮譽和名譽不得加以攻擊。人人有權享有法律保護,以免受這種干涉或攻擊”。自《世界人權宣言》對隱私權的保護作出正式確認后,一系列的國際公約、地區性公約與準則基本上都沿著《世界人權宣言》指明的道路,遵循相同的規范框架,推進隱私權與個人信息權利的保護工作。1950年通過的《歐洲人權公約》第8條、聯合國1966年通過的《公民權利與政治權利國際公約》第17條都作出了相似甚至相同的規定。
根據上述國際公約與準則的規定,公民的隱私權不受任意、非法干預,聯合國大會及聯合國人權事務委員會將政府干預公民隱私權的正當性原則歸納為合法性原則與必要性原則兩項主要內容:首先,政府對公民隱私權進行干預應當依據法律的授權方可進行,且作為依據的法律應當是公開、清晰、具體的法律規范;其次,干預隱私權必須遵循必要性原則與比例原則,即干預措施對于實現干預目的而言是必要的,干預的目的具有正當性,同時干預隱私權的行為與追求的結果之間應成比例,奉行最小侵犯原則。
合法性原則與法律保留原則相近似,要求限制公民隱私權不僅要有法律依據,且更為重要的是該原則對依據的法律的質量提出了明確的要求,即法律必須是良法。良法的基本要求是法律依據必須向公眾公開,規定的各項執法干預措施應當準確、具體、清晰明確的加以界定,唯有此,社會公眾對于法律的實施才能具有清楚、穩定的預期。圍繞著《公民權利與政治權利國際公約》第17條的適用,全球范圍內隱私權保護與干預的立法、司法實踐大體都按照上述路徑展開。
基于上述路徑與規范工具,聯合國人權理事會認為,部分政府進行的大規模監控,即使是為了維護國家安全或者反恐的正當目的,但從比例原則的角度來看,也屬對公民隱私權恣意、過度的干預,這種類似于在干草堆里找針的操作模式明顯違反了比例原則。同時人權理事會在報告中也提醒各成員國,在政府內設部門的不同數據庫間進行數據共享,也可能違反了合目的性的基本原則。法律對每個數據庫收集公民信息的授權是特定目的的授權,一個部門收集的數據庫如果開放給其他部門共享,其他部門利用公民信息的目的極易超越原有的特定授權目的,進而構成違法干預。
為回應信息社會快速發展的背景下國際社會對個人信息保護方面的憂慮,聯合國人權理事會在2014年提交聯合國大會的專題報告中概括了新世紀以來全球面臨的隱私安全挑戰:公開與秘密的監控作法與事例正在不斷激增,政府開展大規模監控(mass surveillance)已經成為危險的常態性、習慣性做法,而不再僅僅是作為例外手段。由于數字化時代對隱私權的干預方式主要是通過收集電子通訊的形式要素,再通過大數據的挖掘、分析技術深描出個人的完整信息,在傳統觀點下,這些通訊形式方面的信息與通訊內容不同,不是隱私權保障的對象。聯合國人權事務委員會報告呼吁各成員國與時俱進地摒棄上述傳統思維,在新信息技術背景下樹立全新的信息保護理念,即區分通訊形式與內容從保護隱私權的角度來看是不具有說服力的,信息的合成,通常稱之為元數據(metadata),能夠顯示個人行為、社會關系、私人嗜好、身份等方方面面的信息,甚至比通訊內容更能全面地揭示一個人。
從具體國家的做法來看,德國作為歐陸法系的重要代表性國家,其刑事執法系統對于公民信息的保護,既承繼了聯合國國際公約以及歐洲人權公約所設定的審核標準,也基于自身法律傳統與基本法的規定,發展出來了以個人信息自決權為核心的規范體系。整體上看,對于各類信息監控手段,德國均通過持續性更新刑事訴訟法典的規定將其及時地納入到法律規制框架內,同時德國聯邦憲法法院基于德國基本法上對于個人信息自決權與通訊自由權的保障條款不斷地對刑事執法與犯罪預防中的各類新型監控手段作出逐案審視,這也引導著德國刑事訴訟法典逐漸前行。德國的立法機關與憲法法院面對日新月異的新監控技術,始終堅持嫻熟地運用合法性原則與比例原則,基于個人信息自決權的法律價值,設定政府監控干預公民個人信息的具體邊界。
與德國的做法與價值立場不同,美國的立法與司法更傾向于鼓勵信息技術產業的發展,在保護公民個人信息與規制政府監控問題上,主要依賴傳統的隱私權這一概念工具。隱私權更偏向消極性的防御權,與積極性的公民個人信息權相比,對公民個人信息的保護力度顯得更為有限。美國聯邦最高法院通過1976年的Miller案和1979年的Smith案分別確立了標桿性判決,聯邦最高法院認為對于公民自愿交給第三方機構保存的記錄信息,公民個人不存在對隱私的合理期待,不受聯邦憲法第四修正案的保護。面對日新月異的科技發展態勢,自愿交與第三人理論愈發顯示出局限性。2012年美國聯邦最高法院在United States v. Jones一案中,開始對第三人理論進行反思,大法官索尼婭在該案的協同意見中指出,過去的傳統定律認為,對于公民個人自愿公開給第三方的信息,本人并無隱私的合理期待,這一認識有必要進行反思了,因為這一思維方式已經嚴重無法適應電子化時代的發展,在這個時代里當我們完成許多普通日常的工作時,我們需要公開大量的信息給第三方,我并不認為基于特定使用目的而自愿公開的這些信息不應當得到第四修正案的保護。
國際社會面對政府監控對公民個人信息保護的挑戰既形成了不少經驗,也走過相應的彎路,總體來看,信息社會的發展要求對公民個人信息既要積極合理利用,更要充分、審慎保護。實現政府監控與個人信息保護之間的平衡:從宏觀層面看,個人信息的合理利用對于一國發展大數據、人工智能、物聯網等現代信息技術產業至關重要,同時也應當考量過度、無序收集公民個人信息最終會導致公民主體資格的喪失,公民成為信息社會的客體,嚴重抑制開放、創新的社會發展動能;從微觀層面上看,保護公民權利的傳統法律原則——合法性原則與比例原則仍然可以發揮應有的規制作用,同時在傳統上的隱私權基礎上,個人信息權作為一種新型權利,也日益成為應對現代信息社會發展的重要法律規范工具。
四、個人信息權的保護與秘密監控的規制思路
信息社會最為寶貴的資源就是個人信息,這是信息社會的本質所在。信息不僅僅成為了經濟社會發展的核心驅動力,也日益成為公民個人維持其獨立人格、行使各項公民基本權利與自由的必要條件。從這個角度來看,規范政府監控行為應當以個人信息權保護為基本著眼點,審視我國政府監控在個人信息保護方面的不足,更新保護理念與機制。
(一)傳統規范工具的嚴格適用
長久以來各國規范秘密監控手段的傳統法律規范工具無外乎為合法性原則與必要性原則這兩大約束公權干預私權的基本原則,這也是聯合國《公民權利與政治權利國際公約》保護公民隱私權的基本路徑,體現了國際社會在這一領域中的基本經驗。
從合法性原則審視我國現有的秘密監控立法,盡管隨著2012年《刑事訴訟法》的修改以及2014年以來陸續頒布的《國家安全法》《反間諜法》《反恐法》《網絡安全法》,政府監控的規范性程度實現了長足的進步,無法可依的局面得到了部分改善。然而,合法性原則不僅僅是簡單的要求有法可依,更要追求良法之治。在該原則對法律質量上所要求的公開性、明確性、清晰性、可接近性等方面,我國現有的法律規范仍然存在較大的不足。比如,刑事訴訟法中規定的技術偵查措施一節對于措施的具體類型與干預內容、具體的批準程序、適用對象等規定過于模糊;在刑事訴訟法之外,對于刑事偵查中適用技術偵查措施還存在著大量的中央文件、公安部內部規范性文件,這些規范性依據仍然受神秘主義傳統思維的影響,處于保密狀態,社會公眾無從知悉,與法治社會的基本要求存在明顯抵牾。再比如,對于立案前的技術偵查措施與其他信息監控措施,在情報信息與國家安全領域的法律規范更加稀疏,《國家安全法》《反間諜法》《反恐法》《網絡安全法》《國家情報法》中都僅有一到兩個概括性授權條款,法律規定的明確性、清晰性程度遠不如刑事訴訟法關于技術偵查措施的授權。比如《國家安全法》第52條規定的“依法”和《反恐法》第45條規定的“根據國家有關規定”都是法律過于寬泛的例證。情報信息與國家安全領域規范秘密監控的多數規范都未達到法律保留原則的要求,仍然是以內部的、不公開的文件規定作為執法依據,法治進程更加滯后。游離于法治軌道之外的情報信息與國家安全事務中的秘密監控對公民信息權的干預更易違背法治的要求,容易造成大規模、無節制的濫用。總體上看,我國在秘密監控的立法完善方面還有較長的路要走,圍繞著法律規范的公開、清晰、具體與明確的基本要求,應當完善刑事訴訟法技術偵查措施一節的相關規定,將各類處于保密狀態的政策與內部規定寫入法律,進一步提升技術偵查措施的合法性程度;同時還應當進一步織密情報信息與國家安全領域中的秘密監控規范,細化《國家安全法》《反間諜法》《反恐法》《網絡安全法》《國家情報法》中的既有規定,明確以搜集情報信息和維護國家安全目的的各類秘密監控手段的內容、對象、程序等規定。
基于必要性原則與比例原則的視角,無論是刑事訴訟法關于刑事司法中秘密監控的應用,還是其他關聯法律中關于情報信息與國家安全事務中的各類信息監控手段,都存在著一定的完善空間。從刑事訴訟法的角度看,比較突出的問題包括:四大類技術偵查措施內部并未根據干預隱私權或公民個人信息權的嚴重程度進行分層規制,籠而統之適用相同的審批程序,有違比例原則;技術偵查措施的適用并未明確遵循最后手段原則,而是根據偵查犯罪的需要,凡是符合重罪案件范圍的對象均可直接啟用;在適用對象方面,如何將技術偵查措施限定在與犯罪活動直接相關的人范圍內,需要進一步細化的規則。在記錄監控與數據庫查詢、比對、分析的適用過程中,目的合理性與正當性存疑,大海撈針式的海量數據處理過程中卷入大量的無辜公民的個人信息,即使能夠最終鎖定犯罪嫌疑人,此種執法方式的目的合理性存疑、執法目的與達成目的的手段、最終侵權結果之間嚴重不合比例,直接違反比例原則的要求。
同樣對于反恐法、反間諜法中在立案前的情報信息收集過程中適用技術偵查措施,也應當謹守比例原則的要求,禁止開展撒網式的大規模監控,在啟動條件方面應當具備一定的嫌疑根據;《網絡安全法》與《反恐法》附加給網絡運營者為公安機關、國家安全機關提供技術接口與協助的義務,根據比例原則的要求,應當是逐案提供該技術協助,如果將所有的網絡存儲數據全部交由公安機關、國家安全機關則意味著執法機關對網絡空間及其存儲的信息實施了大規模監控,即使能夠發現零星的犯罪線索或情報,其大規模干預公民權利的手段與最終結果之間也顯失平衡,違反了比例原則。
從完善立法、執法的角度來看,立法規定應當進一步精細化,目的正當的手段也不可無所不用其極。必要性原則與比例原則首先要求干預公民個人信息權的執法、司法行為應當具備一定的嫌疑條件或者具備一定的可能性實現相應的執法目的,干預規模與范圍應當限制在嫌疑人群范圍內,截取與使用的公民信息應當具有范圍限制而非擴展至通訊、交通、金融消費等各類數據庫的全部。在各類干預手段的體系內,應當根據干預公民信息的強度不同,根據個人信息受保護的重要性上的差異,設計分級干預程序,體現手段與干預對象之間成比例的基本要求。
(二)適度引入個人信息保護的法律原則與機制
以維護國家安全、公共安全與懲治犯罪為目的的利用公民個人信息的政府行為歷來是各國公民個人信息保護法適用例外,也是國際社會公認的干預公民個人信息權的正當化事由。但進入本世紀以來,特別是為應對全球恐怖主義、極端主義引發的嚴重挑戰,不少國家的安全機關、偵查機關在國家安全、反恐偵查過程中大規模收集公民信息,引發了世界各國國民與國際社會的普遍擔憂。個人信息權的保護呼聲與力度逐步加強,對于國家安全與刑事司法領域中的個人信息保護的傳統例外也在重新進行審視。最佳的例證則是2016年4月27日歐洲議會與歐洲委員會在通過旨在全面保護公民個人信息權的《通用數據保護條例》(General Data Protection Regulation)的同時,專門通過了《以犯罪預防、調查、偵查、起訴或者刑罰執行為目的的自然人個人數據保護指令》,從而將個人數據保護的法律原則與機制部分引入到刑事司法領域。
總體上看,參酌上述歐盟個人數據保護指令的經驗,如下重要的個人信息保護的法律原則與機制在刑事司法、執法中應當得到尊重與貫徹:(1)個人信息收集與處理的目的應當是合法且特定的,只能為具體而特定的執法或司法目的收集與使用公民個人信息,不得超越收集個人信息時的合法目的使用相關個人信息;(2)信息主體具有法定的信息權利,包括知悉權與更正權,即被告知信息被司法機關收集的目的及用途,有權查詢、修改、更正不準確、不客觀或過時的數據信息。當然基于刑事司法順利進行的合理理由,司法機關可以推遲告知,但推遲告知信息主體的例外應當是明確而具體的事由;(3)刑事司法機關對信息的處理過程應當體現安全性,包括建立監控日志并做到操作留痕,同時應當確保收集到的信息與數據的質量。(4)對于公民信息應當實行分級管理,對于個人家庭生活、健康狀況、宗教信仰等敏感信息,即使是在刑事司法與執法活動中也應當重點保護。(5)對個人信息的處理應當設置相應的監督與救濟程序,包括獨立監督機構、定期報告機制與行政、司法等救濟渠道。
上述法律原則與機制基本上屬于個人信息保護法領域的底線規則,是尊重與保護公民個人信息權的基本要求。在刑事司法系統中,即使個人信息保護的法律制度不得不考慮刑事司法的特殊利益與價值追求,從而可以對個人信息保護法律原則的相關要求部分打折,但底線規則與基本要求應當予以適用。如果承認這一法律政策的基本立場,檢視我國目前秘密監控對公民個人信息的干預程序與制度,足以發現不少亟待完善之處。首先,信息主體的知情權保護基本處于空白狀態,包括《刑事訴訟法》規定的技術偵查措施實施后也未規定告知犯罪嫌疑人的相關程序,再加上技偵材料在司法實踐中基本上不會用作證據的現實狀況,秘密監控的對象基本上無從知悉信息被監控、使用的事實,信息主體地位名存實亡。因此應當增加信息主體對于秘密監控的知悉權保護條款,要求執法機關、司法機關承擔信息監控后的告知義務,當然根據國際慣例,這種告知義務的履行可以根據偵查進程的需要在例外情形下推遲告知義務的履行時間。在知悉權保障之后,與之相關的權利就是信息主體的查詢、更正個人信息的權利也應當予以一并保障。其次,執法、司法機關對于信息的處理過程應當履行安全義務,建立操作日志與操作留痕機制,通過技術性回溯手段防止監控行為的濫用。最后,應當建立個人信息權遭受非法干預時的救濟渠道與監督途徑,關于監督途徑筆者在接下來的部分詳細闡釋,關于救濟渠道建設,既應當包括各類投訴處理機制,也應當包括司法救濟途徑,對于違法干預公民個人信息權的執法行為,信息主體應有權獲得國家賠償。
(三)建構混合監督體系
我國秘密監控措施現有制度安排中最大的缺陷莫過于外部監督機制的空白與內部監督的乏力,無論是《刑事訴訟法》的規定還是晚近國家立法機關就國家安全領域通過的數部新法中都普遍存在這一問題。在刑事訴訟中采取技術偵查措施實行公安機關內部審批,基本上沒有任何外部監督機制,無論是檢察機關還是審判機關都無法進行直接或者間接的監督。檢察機關雖然是法律監督機關,有權對偵查活動進行監督,但這種概括性的授權缺乏具體的執行機制,偵查實踐中檢察機關的偵查監督部門對于技術偵查措施的適用根本無法監督。作為審判機關的法院按照刑事訴訟法的規定可以通過對技術偵查證據的審核或者非法證據排除規則對技術偵查措施進行間接的監督,然而由于絕大多數案件中技術偵查措施獲得的材料都不會作為證據使用,通過證據運用過程進行間接監督的路徑基本上也是無效的。在情報信息領域與國家安全領域,根據晚近通過的幾部法律規定,外部監督體系更是完全闕如,因為在上述領域,相應的情報信息根本不會進入訴訟流程,也就無法受到后續司法機關的審核與監督。
外來監督機制通常表現為通過法官令狀的審批機制實現的司法審查與議會設置專門機構對秘密監控機關的監督,前者為事先監督,后者是事后監督機制。內部監督機制主要是行政審批,但需要在行政機關內部根據干預手段的嚴重程度實行分級審批機制。迄今為止的世界各國經驗與教訓表明,沒有哪一種模式是完美無缺的,沒有放之四海而皆準的有效監督機制。司法審查機制也不是包治百病的靈丹妙藥,多個國家的司法實踐已經表明法官令狀已經淪為橡皮圖章。既然任何一種監督模式都無法單獨發揮應有的效果,建立混合監督模式,多角度綜合運用行政監督、司法監督與立法機關的監督就成為了世界各國當前相對穩妥的選擇。
就我國目前的國情來看,建立混合監督模式可以分步驟循序漸進的推進,首先,在事后監督機制上,可以結合個人信息保護法領域的立法發展情況,授權個人信息的專門保護機構對秘密監控措施的適用情況進行事后監督,另一種方案也可以考慮在全國人大常委會設置專門委員會,通過年度報告、專項工作督查等形式開展事后監督。其次,應當著重推進《刑事訴訟法》第154條關于技偵證據使用的規定在司法實踐中得到嚴格的執行與適用,通過證據審核發揮法官司法審查的應有作用。最后,在事前監督方面,也可以分兩步走,在憲法修改或者作出憲法解釋前,由于實行法官令狀制度存在一定的憲法障礙,對于刑事司法中的秘密監控,可比照逮捕程序由檢察機關行使秘密監控的審批權,而對于情報信息領域內的秘密監控受制于現有的司法架構,則很難實行外部審批,只能依賴于更為嚴格、縝密的內部審批機制。從長遠角度來看,伴隨著對各類強制性措施司法審查機制的陸續建立,由更為中立的法官統一對情報信息領域與刑事司法領域行使事先審批權顯然是更為合理的選擇,當然這需要司法體制改革方面的配套推進,比如,建立專門的情報信息法官職位與審前法官序列。
(四)積極應對第三方數據、元數據等新型規制難題
伴隨著信息社會的深化發展,特別是大數據時代的來臨,刑事司法機構獲取信息的方式也在伴隨著信息技術的發展悄然發生變化。相較于小數據時代,偵查機關自行獲取信息的做法正逐步地改變為從社會第三方機構獲取信息,由過去重點是信息的內容到現在的更為關注信息的形式,即關于信息的信息,也被稱之為元數據(metadata)。刑事司法機關從信息收集者轉為信息使用者,從收集信息內容改為收集信息形式,這些偵查行為的改變直接導致了傳統規范工具的失效。
如前所述,美國法上的“第三方自愿交出”理論導致聯邦憲法第四修正案所確立的隱私權保障規范頻頻失效,公民利用各種信息服務機構參與正常的現代社會生活之后,就被法律視為向社會第三方自愿交出信息從而對信息本身并無隱私的合理期待,政府部門的后續利用信息行為也就不再受隱私權條款的規制。元數據信息經由大數據技術的挖掘之后,也引發了傳統刑事司法體系的規制難題。傳統刑事司法規則更為關注信息的內容,將信息的形式置于次要位置,并認為這符合了比例原則的基本要求。然而大數據挖掘技術的出現,顛覆了傳統認識,因為通過對信息的形式要素進行深度挖掘并將其與各類信息形式比對,將會產生更為全面的數字人形象,其對公民私生活的還原程度遠遠超過信息內容的碎片化揭示。如此一來,固守傳統法律規則中對信息內容與信息形式的二分法將勢必導致規范結果的嚴重失衡。
筆者認為,第三方理論與元數據兩個新型法律難題的產生,均與我們看待類似信息來源過程的視角有關,如果從政府獲取信息的渠道與方式來看,區分直接收集與利用第三方社會機構獲得的信息、區分信息的內容與信息的形式,似乎具有一定的合理性。而當我們將觀察信息流動過程的視角轉為個人信息權保護的話,分析的結論會大有不同。以第三方理論為例,當個人基于參與信息社會生活的需要將信息交由社會第三方保管與使用時,其授權使用的目的總是特定的,政府基于刑事司法的目的利用第三方保管的個人信息時已經超出了公民個人最初授權目的,屬于目的變更,應當遵循相應的法律規則。也就是說,偵查機關在利用第三方機構保管的信息時也應當具備合法的目的、基于一定的懷疑作為干預基礎,同時應當遵循比例原則的要求。元數據的問題從干預公民個人信息權的角度觀之也會得出類似的結論,信息的內容固然能夠深刻揭示出公民的某一思想或行為,經由大數據加工后的元數據經常能還原出更為全面的人性與生活方式,從保障公民個人尊嚴、自治的角度來看,二者不應存在輕重之分,從法律規制的角度也不應區分信息內容與大數據對元數據的加工行為。這就要求在貫徹比例原則的過程中,應當令二者遵循相同的權力規制程序。
從完善具體法律適用規則的角度來看,現行法律、司法解釋等法律規范當中關于偵查機關從第三方社會機構獲取數據與使用元數據的信息使用行為均缺乏足夠明細、具體的規范依據。比如《公安機關辦理刑事案件程序規定》第255條在細化解釋刑事訴訟法關于技術偵查措施時明確規定,記錄監控屬于技術偵查措施的一個子類,從名稱看記錄監控似乎可以涵蓋偵查機關利用社會第三方數據庫的行為,但實際上,這種界定方式與技術偵查措施應當具備的同步即時性本質直接沖突。對公民留存于社會機構的海量數據進行事后挖掘的行為與對公民行為過程中同步開展的秘密監控存在本質上的差異。此外,《刑事訴訟法》第54條第1款規定的證據調取行為,由于其行為的對象為證據材料,且僅限于與案件相關材料的少量信息或特定物品的調取,該條款也無法作為對于海量數據調取與分析的規范依據。由此看來,立法者應當為上述兩類新型信息獲取方式另設全新的規則程序。
如前文所述,《反恐法》與《網絡安全法》分別要求電信業務經營者、互聯網服務提供者為公安機關、國家安全機關依法進行技術偵查和其他信息監控工作提供技術支持與協助。根據上述兩部法律的規定,網絡運營者需要留存用戶網絡日志不少于6個月。這些規定為偵查機關利用社會機構的數據以及元數據規定了寬泛的授權,但對于社會機構特別是電信、網絡服務提供者如何支持與協助執法、司法沒有明確的規定,相應的,社會機構留存的個人信息及元數據在何種情形下以何種方式交由偵查機關使用,也缺乏明晰的規則。
由此可見,對于第三方數據與元數據的利用,規則的完善既要完善刑事訴訟法的相關規定,也要對網絡安全法等規范電信、網絡服務提供商等社會機構的相關法律進行修改完善。電信、網絡服務提供商等社會機構負有協助執法的社會責任與法定義務,但責任與義務的邊界應當清晰,特別是應當明確信息與數據的使用權與管理方仍屬第三方機構,政府部門只能使用、共享,但不能占有。偵查機關只有基于個案的調查或情報信息的收集方可依法要求第三方提供特定范圍內的信息與數據,禁止政府部門壟斷式的占有、使用全部社會第三方數據庫資源。從刑事訴訟法的完善角度來看,對于偵查機關利用第三方社會機構的數據以及元數據的行為應當創設獨立的一類偵查行為,鑒于該行為對于公民信息隱私權的強干預屬性與法律既有規定中的技術偵查措施相當,筆者建議對其規范強度、具體規范的設計可以參照技術偵查措施的相關規定,進行相對嚴格與明晰的規范。
(五)健全政府部門數據庫共享中的個人信息保護機制
如前文所述,近年來公安機關在刑事司法執法過程中已經開始普遍使用其他政府部門的數據庫,通過數據比對的方式挖掘情報信息與偵查線索。2015年國務院發布的《促進大數據發展行動綱要》中也提出要大力推動政府部門數據共享,形成政府數據統一共享交換平臺。政府管理中形成的各領域數據庫日益成為犯罪治理與治安防控工作的重要支撐力量,大數據碰撞產生的新知識、新線索極大地提升了刑事司法的效率與質量。然而,由于缺乏對于政府部門間數據共享的基本規則,政府部門間的數據共享常常受制于部門利益、地方利益的掣肘裹足不前,同時個人信息保護范圍的法律依據欠缺也導致不少政府部門對于信息共享的范圍與方式、程度存在憂慮,也影響到個人信息在刑事司法中的有效利用。
政府各部門在履行政府管理職責過程中收集公民個人信息的行為,應當統一視為服務政府公共管理的總目標,刑事司法執法部門使用其他政府部門收集的公民個人信息,盡管信息使用的具體目的與最初的信息收集目的略有不同,但仍然限定在公共管理的范疇內。因此,政府部門間數據庫共享與政府部門利用社會機構、企業等第三方信息管理者兩類行為之間存在本質差異,法律規范評價上應有所區分。具體而言,刑事司法執法機構共享其他政府部門管理的個人信息時,首先,應當履行內部審批手續,基于一定的證據條件證明存在共享公民個人信息的必要性,共享的方式應當是以個別信息或批量信息的查詢為主,原則上禁止偵查機關拷貝其他政府部門的數據庫資源,以防止漫無目的的大規模監控出現。最后,偵查機關對共享獲得的公民個人信息履行保密義務,確保數據安全,偵查機關內部應當根據共享信息的敏感等級程度分級授權,同時偵查機關內部與共享數據的政府部門間都應當建立全程留痕的回溯性技術監督程序,監督個人信息的規范利用。
(六)厘定個人信息使用中的隱私保護范圍
盡管理論界與實務界對于個人信息權與隱私權之間的界分與相互關系存在諸多爭議,兩項權利涵蓋范圍也存在交叉與重合,但從刑事訴訟法的視角觀之,政府對個人信息的使用目的主要是社會管理而非商業目的,個人信息使用與保護的焦點完全應當歸結到個人隱私權的保護上,即之所以要設定政府部門使用個人信息的邊界,主要出發點是保護公民的個人隱私及其承載的公民的人格尊嚴、個人自治、家庭私生活安寧、通信自由等一系列基本權利。厘清個人隱私信息的范疇并施以特殊保護,能夠有效實現個人信息使用與保護的均衡狀態。
基于隱私范圍劃定個人信息的保護與利用程度的作法在國際社會個人信息保護法律制度以及國內其他法律規范中已經十分常見,對刑事訴訟法中規范個人信息使用的過程中厘定隱私范圍具有較強的借鑒意義。從國際范圍內來看,2016年歐盟《通用數據保護條例》第9條規定的敏感個人數據的范圍包括能夠揭示個人的種族、政治觀點、宗教和哲學信仰、商業團體資格以及能夠識別特定自然人的基因數據和生物數據、涉及自然人健康或性生活、性取向的個人數據。日本《個人情報信息法》第2條第3項規定了“要注意的個人信息”,包括由于本人的人種、信條、社會身份、病歷、犯罪經歷、犯罪被害事實等其他可以對本人產生不當的差別、偏見以及其他不利益的在處理上需要特別注意的個人信息。我國臺灣地區《個人資料保護法》規定的“個人敏感隱私信息”包括有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料。從國內法的角度來看,區分個人敏感隱私信息也有探索性嘗試,2013年我國開始實施的《信息安全技術公共及商用服務信息系統個人信息保護指南》第3.7條明確提出了“個人敏感信息”的概念,將其界定為一旦遭到泄漏或修改,會對標識的個人信息主體造成不良影響的個人信息,各行業個人敏感信息的具體內容根據接受服務的個人信息主體意愿和各自業務特點確定,例如個人敏感信息可以包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等。2017年5月兩高發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第5條,基于侵犯個人信息嚴重程度的差異間接劃定了個人敏感信息的范圍,將行蹤軌跡信息、通信內容、征信信息、財產信息以及住宿信息、通信記錄、健康生理信息、交易信息等歸為個人敏感信息。
從信息使用與保護的宏觀視角觀之,通過“個人敏感隱私信息”的概念實現對個人信息的類型區分,有助于實現個人、信息業者和國家三方利益主體在利用個人信息資源上的“三方平衡”。從刑事訴訟中個人信息使用正當化的微觀視角觀之,通過厘定“個人敏感隱私信息”的范圍,有助于具象化地實現有效利用個人信息以實現安全價值與妥善保護公民隱私權這一基本權利之間的平衡。刑事司法中敏感隱私信息的范圍劃定,應當充分考慮到刑事司法目的的正當性,結合以往司法實踐中信息濫用的危害實例,“個人敏感信息”的范圍應當限于較窄的范圍,這一點與一般性社會管理工作中個人信息保護工作的要求略有不同,與刑法所保護的公民人身權、財產權的法益目標也存在一定的差異。因此,筆者建議刑事司法中需要特別予以保護的個人敏感信息至少包括醫療與健康信息、基因與生物識別信息、性生活與性取向、行蹤軌跡信息、住宅與家庭生活、未成年人的犯罪前科。這幾類信息一旦濫用將對公民個人的人格尊嚴、自由發展帶來極為不利、不良的影響,也極易成為公權力機關及個人“公器私用”的工具,將其列為個人隱私的核心區域也符合隱私權保障私生活安寧的最初語義與價值射程。
在刑事訴訟中區分個人敏感隱私信息與一般個人信息,主要目的在于貫徹比例原則的精神,對于偵查機關干預個人敏感信息的行為設置更為嚴格的啟動條件與審批程序,比如在啟動條件上應當踐行最后手段原則,即只有在常規偵查手段和收集一般個人信息之后方可例外干預公民個人敏感信息,偵查機關申請干預個人敏感信息時應當對上述啟動條件加以證明。再比如,干預公民敏感隱私信息的審批程序應當適用最為嚴格的法律程序,在當前的法律規范內應比照技術偵查措施的審批程序進行,未來隨著法治化程度的提升,應當率先實行司法審查式的外部審批程序。
結語
在本文行將結束之時,我們仍有必要回溯性地審視下本文開頭提出的“用信息換安全”這一命題。信息社會的本質要素就是信息,信息的流動與共享是社會發展的主要驅動力,在這種社會發展形態中作為社會控制機制之一的刑事司法系統必然需要發展各類秘密監控手段與能力,公民個人通過讓渡一部分信息權享受了信息社會帶來的便利與發展成果,包括更為安全甚至是“天下無賊”的純凈和諧的社會環境。從這個意義上講,“用信息換安全”是信息社會的內在要求與必然結果。一方面,“用信息換安全”的價值權衡過程與其他交易過程一樣,本身就是存在風險的,任何交易都應當適度衡量與平衡。在安全的價值追求之外,人類的發展還需要人格尊嚴、個人自治等更高層次的價值追求,個人信息權的保障在信息社會中就是人格尊嚴、個人自治等價值得以實現的基本前提。另一方面,公民讓渡出個人信息后,需要一系列健全、嚴密的制度設計方能保障政府合法、合理的使用個人信息,信息濫用的嚴重后果古今中外的歷史教訓比比皆是。如何真正實現“用信息換安全”,除了本文提出的刑事司法既有規范工具與個人信息保護機制的適度引入兩個路徑之外,我們仍然需要緊隨信息技術的迅猛浪潮持續探索,并不斷回應技術創新所引發的規制難題。
《數字法治》專題由華東政法大學數字法治研究院供稿。專題統籌:秦前松
編輯:海洋