大數(shù)據(jù)背景下的秘密監(jiān)控與公民個人信息保護

程 雷

(中國人民大學(xué) 法學(xué)院，北京 100872)

一、問題的提出

傳統(tǒng)刑事司法過程中，為抗制犯罪，政府主要通過訊問、詢問、搜查、扣押等常規(guī)偵查手段獲取案件事實信息。伴隨著社會發(fā)展形態(tài)由工業(yè)社會向信息社會轉(zhuǎn)型，信息成為社會發(fā)展包括政府管理中最為寶貴與重要的資源，刑事司法執(zhí)法程序作為社會控制的重要機制，必然要順應(yīng)信息社會發(fā)展的浪潮，客觀上要求作為信息資源最大持有者的政府管理部門最大化的收集與利用個人信息。與此同時，人類社會逐步邁向文明與進步，刑事訴訟程序的逐步正當(dāng)化對傳統(tǒng)偵查行為也施加了越來越多的適用條件與限制。上述兩方面因素疊加，政府部門獲取信息的主要方式正在經(jīng)歷“由強制到監(jiān)控”的轉(zhuǎn)型，政府監(jiān)控特別是秘密監(jiān)控由于其強大的信息收集功能逐步成為刑事司法與執(zhí)法過程中偵查取證的主要工具。

秘密監(jiān)控系政府部門在公民不知情的情況下對公民的各類個人信息實施的截取、分析、使用行為。在刑事司法、情報信息、國家安全三大領(lǐng)域中針對公民個人信息的監(jiān)控自古有之，但伴隨著信息社會的深入發(fā)展，秘密監(jiān)控與信息社會之間存在相互融合、彼此促進的關(guān)系。秘密監(jiān)控已經(jīng)成為了獲取與利用公民個人信息最為廣泛、最為深刻的領(lǐng)域。特別是伴隨著大數(shù)據(jù)科技浪潮的興起，公民在社會生活的方方面面留存的海量數(shù)據(jù)日益成為秘密監(jiān)控的重要對象，許多公開獲取公民信息的媒介所儲存的大數(shù)據(jù)也被應(yīng)用到刑事司法、情報信息與國家安全領(lǐng)域，公民信息被干預(yù)的規(guī)模與概率呈現(xiàn)出幾何倍的增長。

從公民個人的角度觀之，上述刑事司法的轉(zhuǎn)型過程事實上也是“用隱私換安全”“用信息換安全”的過程，公民讓渡出部分個人信息由政府加以利用以獲得更為安全、穩(wěn)定的生活狀態(tài)以及更為正當(dāng)、更為文明的刑事司法程序，這一“交易”過程實屬信息社會發(fā)展之必然。然而，交易是有對價的，公民讓渡個人信息權(quán)的前置條件是推定刑事司法系統(tǒng)能夠正當(dāng)化利用公民個人信息，政府監(jiān)控應(yīng)當(dāng)受到正當(dāng)程序的法律規(guī)制。另一方面，當(dāng)我們回顧人類信息保護的發(fā)展歷史，必須警醒地認識到對公民信息自由與安全的最大威脅莫過于政府?；厥?0世紀(jì)的短暫歷史進程，信息濫用導(dǎo)致的沉重災(zāi)難無不與政府濫權(quán)有關(guān)：無論是二戰(zhàn)時期德國納粹政權(quán)通過人口普查獲取的信息對猶太人進行的系統(tǒng)、集中迫害，還是美國政府對美籍日裔集中移送至類似集中營的重新安置中心，再到20世紀(jì)六七十年代我國文化大革命浩劫當(dāng)中，基于檔案而制造了一系列冤假錯案。(1)參見姚岳絨：《憲法視野中的個人信息保護》，法律出版社2012年版，第5-6頁。進入21世紀(jì)以來，911事件后的全球反恐局勢及各國政府相應(yīng)地順應(yīng)信息社會的發(fā)展在情報收集與刑事執(zhí)法領(lǐng)域開展的大規(guī)模信息收集工作，已經(jīng)成為全球社會對信息安全與隱私保護的最大隱憂。美國斯諾登事件的持續(xù)發(fā)酵進一步加劇了全球?qū)τ诙鄠€國家開展大規(guī)模信息監(jiān)控的擔(dān)心。

從各國個人信息保護法的角度來看，侵權(quán)風(fēng)險最高的國家安全與刑事偵查領(lǐng)域中的個人信息保護多處于被遺忘的角落。在許多國家的個人信息保護法中，均將國家安全作為一項常見的適用例外加以排除，以保證執(zhí)法機關(guān)的活動不受外界的干預(yù)和影響，(2)多數(shù)國家的個人信息保護法中都將國家安全與刑事司法領(lǐng)域的個人信息保護排除在法律適用范圍之外，參見周漢華：《〈個人信息保護法〉(專家建議稿)立法研究報告》，法律出版社2006年版，第57頁。刑事執(zhí)法領(lǐng)域的個人信息保護也被多數(shù)國家部分或者全部排除在個人信息保護法之外。(3)這一狀況伴隨著2016年4月27日歐洲委員會與歐洲議會通過的關(guān)于刑事執(zhí)法司法中保護公民個人數(shù)據(jù)的專門指令而出現(xiàn)變化，在該指令中歐洲立法機關(guān)首次將刑事執(zhí)法司法中的個人數(shù)據(jù)保護問題納入規(guī)范視野，并開始嘗試將個人數(shù)據(jù)保護的基本原則與范式部分移植到刑事司法領(lǐng)域，由于該指令尚需兩年左右的時間才會內(nèi)化為歐盟各成員國的國內(nèi)法，關(guān)于實施效果與影響仍需進一步觀察，關(guān)于該指令詳見Directive(EU) 2016/680 of The European Parliament and Of The Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA.與民法領(lǐng)域的個人信息保護、個人信息保護法對政府行政行為的約束相比，基于國家安全、社會安全的例外事由遮蔽下的刑事司法、執(zhí)法領(lǐng)域中的個人信息保護已經(jīng)成為個人信息保護整體制度的短板所在。(4)就我國目前的法律保護狀況而言，2009年通過的《刑法修正案(七)》、2015年通過的《刑法修正案(九)》及最高人民法院、最高人民檢察院2017年5月9日發(fā)布的《關(guān)于辦理侵犯公民個人信息罪刑事案件適用法律若干問題的解釋》對刑法中侵犯公民個人信息行為進行了初步的規(guī)范；2017年3月通過的《民法總則》第111條也將個人信息保護納入到民事基本法律的保護視野范圍內(nèi)。總體上看，實體法上個人信息保護的相關(guān)規(guī)定已經(jīng)得到立法者的明文肯定，盡管在法律的解釋與適用中存在爭議與完善的空間，但相較于程序法上的規(guī)定與實踐而言，已屬領(lǐng)先。這一狀況在我國刑事訴訟法的法益保護體系中顯得尤為明顯，中國刑事訴訟仍處于重人身權(quán)、輕財產(chǎn)權(quán)、嚴重忽視隱私權(quán)保障的傳統(tǒng)刑事訴訟法時代，(5)比較典型的例證為刑事訴訟中非法證據(jù)排除規(guī)則保護的范圍，非法證據(jù)排除規(guī)則的制度安排集中體現(xiàn)了立法者對刑事訴訟法程序利益的保護重點，現(xiàn)行《刑事訴訟法》第56條規(guī)定的非法證據(jù)排除規(guī)則主要適用于刑訊逼供獲得的言詞證據(jù)，在例外的情形下適用于針對物與財產(chǎn)權(quán)的搜查、扣押等收集物證、書證的取證行為，而對于干預(yù)隱私權(quán)或個人信息權(quán)的技術(shù)偵查措施則根本就沒有列為證據(jù)排除的范圍。通過排除范圍的立法安排，我們可以清晰地看到刑事訴訟法對人身權(quán)、財產(chǎn)權(quán)與隱私權(quán)三類主要程序法益的重視程度是依次遞減的。此種狀況嚴重滯后于當(dāng)下飛速發(fā)展的信息社會演進趨勢。

刑事司法與執(zhí)法中的政府監(jiān)控依托最為強大的信息資源與信息技術(shù)，對公民個人信息的干預(yù)廣度、深度都遠遠超越公民個人、商業(yè)機構(gòu)、社會機構(gòu)，更為重要的是，政府對個人信息的使用本身就是“雙刃劍”，一旦濫用，為禍尤烈，對其信息使用的規(guī)制既關(guān)系到信息社會的健康發(fā)展，更與公民的人格尊嚴、個人自治等一系列基本權(quán)利息息相關(guān)，顯屬法律規(guī)制的重點領(lǐng)域，理應(yīng)加以認真研究與對待。

本文的主要目的是探求在信息社會背景下“用信息換安全”的此種發(fā)展態(tài)勢中，如何實現(xiàn)“公平交易”，即如何通過制度設(shè)計確保公民合理讓渡出個人信息權(quán)后能夠?qū)崿F(xiàn)刑事司法執(zhí)法程序的高效與正當(dāng)。在這一過程中刑事程序法中的規(guī)制工具是本文探討的主要問題，規(guī)制政府監(jiān)控對公民信息的收集、使用過程與保障公民個人信息權(quán)無疑屬于一個硬幣的兩面。筆者將首先梳理當(dāng)下我國刑事司法與執(zhí)法中秘密監(jiān)控與個人信息保護的相關(guān)規(guī)范與制度安排，旨在揭示目前該領(lǐng)域內(nèi)個人信息保護的失衡狀態(tài)；接下來，筆者將從比較法的視角整理國際范圍內(nèi)代表性的規(guī)范進路，集中介紹與分析聯(lián)合國、歐盟以及德國、美國等代表性國家與地區(qū)的主要作法與利弊得失。最后在完善建議與結(jié)論部分，筆者提出堅持刑事司法傳統(tǒng)規(guī)范工具與適度引入個人信息保護法律制度的雙重路徑，作為“用信息換安全”這一交易的基本規(guī)范，其中刑事司法傳統(tǒng)法律規(guī)范工具主要是指合法性原則與比例原則，同時個人信息保護法律制度的基本原則與重要權(quán)能在刑事司法領(lǐng)域可以有限適用，而不能完全作為例外一攬子排除適用。

二、我國刑事司法執(zhí)法中的秘密監(jiān)控與個人信息保護狀況

秘密監(jiān)控(covert surveillance)是指使用技術(shù)手段秘密獲取公民信息的各種措施。(6)參見陳衛(wèi)東：《理性審視技術(shù)偵查立法》，載《法制日報》2011年9月21日。政府使用秘密監(jiān)控措施收集公民信息依干預(yù)目的的不同大致分為情報信息與追訴犯罪兩大方向，情報信息主要服務(wù)于國家安全事務(wù)和犯罪的預(yù)防，犯罪追訴則包括對犯罪的偵查、起訴與審判。秘密監(jiān)控主要是學(xué)理概念，我國的法律體系中使用“技術(shù)偵查”或“技術(shù)偵察”這兩個近似但又略有區(qū)別的法律術(shù)語指代秘密監(jiān)控。(7)我國法律體系中的相關(guān)規(guī)范及術(shù)語使用方式，依法律通過的時序可分別參見1995年《人民警察法》第16條所規(guī)定的“技術(shù)偵察措施”；2012年《刑事訴訟法》第二次修正時新增加的偵查章第八節(jié)“技術(shù)偵查措施”一節(jié)的規(guī)定；2014年《反間諜法》第12條規(guī)定的“技術(shù)偵察措施”；2015年《反恐怖主義法》第45條規(guī)定的“技術(shù)偵察措施”。“技術(shù)偵查”是指刑事訴訟法中的一種偵查措施，《刑事訴訟法》第150條規(guī)定只能在刑事案件立案后采取，《刑事訴訟法》第152條規(guī)定技術(shù)偵查只能用于對犯罪的偵查、起訴和審判；反間諜法與反恐法中的“技術(shù)偵察”是在刑事案件立案前的調(diào)查階段采用，主要目的是搜集情報信息與犯罪的預(yù)防控制。(8)參見全國人大法工委刑法室：《中華人民共和國反間諜法解讀》，中國法制出版社2015年版，第66-67頁；全國人大法工委刑法室：《中華人民共和國反恐怖主義法解讀》，中國法制出版社2016年版，第182-183頁。在上述兩部立法釋義書中，立法機關(guān)的工作機構(gòu)進一步說明“技術(shù)偵察”是廣義的概念，既包括立案前調(diào)查階段的技術(shù)偵察措施，也包括立案后的“技術(shù)偵查措施”，筆者認為立法者區(qū)別情報信息與犯罪偵查兩項事務(wù)中的技術(shù)偵查措施是符合執(zhí)法、司法實踐的正確舉措，但通過兩個術(shù)語的甄別技術(shù)仍有進一步完善的空間，很顯然“技術(shù)偵察”一詞在同一法條中廣義與狹義的兩種語義并存，有自相矛盾之嫌。依照法律體系的這種區(qū)分方式，筆者分別對犯罪追訴和情報信息收集兩個領(lǐng)域中技術(shù)偵查措施與個人信息權(quán)保護的關(guān)系進行闡釋。

2012年《刑事訴訟法》第二次修正時通過新增“技術(shù)偵查措施”一節(jié)，使用四個條文將長期處于法外之地的技術(shù)偵查措施納入到法律軌道，開啟了技術(shù)偵查法治化的重大歷史進程。由于立法之時受制于技術(shù)偵查措施本身的敏感性、保護公民隱私的需要以及防范反偵查的要求，刑事訴訟法對于技術(shù)偵查措施的規(guī)范密度較低，使用的法律術(shù)語過于寬泛，這對保護公民信息權(quán)帶來了不少挑戰(zhàn)。

在我國的法律體系中較長一段時間內(nèi)對于公權(quán)力機關(guān)搜集情報信息與維護國家安全事務(wù)中的秘密監(jiān)控，幾無法律規(guī)范。中共十八大以來，中央提出的總體國家安全觀戰(zhàn)略，情報信息與國家安全領(lǐng)域的法治化程度開始受到了越來越多的關(guān)注。在落實總體國家安全觀的相應(yīng)法律體系中，情報信息與國家安全事務(wù)中的秘密監(jiān)控也初步具備了一定的法律依據(jù)。

首先，2015年7月1日公布的《國家安全法》第52條規(guī)定，公安機關(guān)、國家安全機關(guān)、軍事機關(guān)依法搜集情報信息；第53條規(guī)定，充分運用各種現(xiàn)代科學(xué)技術(shù)手段，加強對情報信息的鑒別、篩選、綜合和研判分析。作為總體國家安全觀的基本法律，《國家安全法》列明了情報搜集的機關(guān)，并對情報收集工作設(shè)定了合法性原則，即“依法”搜集，此處的“依法”應(yīng)當(dāng)主要是指立法機關(guān)2017年6月27日通過的《國家情報法》。(9)僅二讀就迅速通過的《國家情報法》，囿于條文過少且內(nèi)容過于宏觀，并未詳細規(guī)定情報信息的收集方法，僅在第22條第2款概括性授權(quán)國家情報工作機構(gòu)應(yīng)當(dāng)運用科學(xué)技術(shù)手段，提高對情報信息的鑒別、篩選、綜合和研判分析水平。

其次，2015年12月17日全國人大常委會通過的《反恐怖主義法》(以下簡稱“反恐法”)第45條規(guī)定，公安機關(guān)、國家安全機關(guān)、軍事機關(guān)在其職責(zé)范圍內(nèi)，因反恐怖主義情報信息工作的需要，根據(jù)國家有關(guān)規(guī)定，經(jīng)過嚴格的批準(zhǔn)手續(xù)，可以采取技術(shù)偵察措施。依照前款規(guī)定獲取的材料，只能用于反恐怖主義應(yīng)對處置和對恐怖活動犯罪、極端主義犯罪的偵查、起訴和審判，不得用于其他用途。本條規(guī)定首次在我國的法律體系中明確了情報信息工作中技術(shù)偵查措施的應(yīng)用，并明確限定了在情報信息工作中搜集的各類信息的特定用途，有助于公民信息的保護。當(dāng)然本條規(guī)定只能視為概括性授權(quán)，因為對于情報信息收集過程中的秘密監(jiān)控所應(yīng)當(dāng)遵循的一系列程序規(guī)范、適用對象及范圍、救濟與監(jiān)督機制等，僅靠一條規(guī)定難以細化，而“根據(jù)國家有關(guān)規(guī)定”到底是哪些國家規(guī)定值得進一步追問。立法機關(guān)認為，這里的“國家有關(guān)規(guī)定”是指憲法、刑事訴訟法、本法和其他法律、行政法規(guī)以及有關(guān)國家規(guī)定，這一列舉并未清楚地劃定“有關(guān)規(guī)定”的范圍，屬于不完整列舉，(10)相比較而言，《刑法》第96條對“國家規(guī)定”的界定是封閉式的、確定無疑的，僅指全國人民代表大會及其常務(wù)委員會制定的法律和決定，國務(wù)院制定的行政法規(guī)、規(guī)定的行政措施、發(fā)布的決定和命令。顯然長期以來技術(shù)偵查部門所遵照的各種不對外公開的各種政策文件、內(nèi)部規(guī)范性文件似乎也屬于“有關(guān)規(guī)定”。同時《反恐法》第18條還明確規(guī)定了電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)服務(wù)提供者應(yīng)當(dāng)為公安機關(guān)、國家安全機關(guān)依法進行防范、調(diào)查恐怖活動提供技術(shù)接口和解密等技術(shù)支持和協(xié)助；第20-21條規(guī)定了交通運輸服務(wù)提供者、物流運營單位在查驗客戶真實身份、實行實名制以及物品信息登記制度方面承擔(dān)的法律義務(wù)。這些規(guī)定進一步為大數(shù)據(jù)背景下的記錄監(jiān)控提供了支撐條件。但值得關(guān)注的是，各類運營商、服務(wù)提供者的義務(wù)適用范圍是全部客戶，而非僅僅限于有恐怖活動嫌疑的人員，換句話說，基于反恐法，公安機關(guān)與國家安全機關(guān)對于數(shù)據(jù)記錄的收集是針對全社會范圍的大規(guī)模監(jiān)控，這種缺乏適用范圍與適用條件的監(jiān)控措施是否符合法治的要求值得進一步研究。

最后，2016年11月7日全國人大常委會通過的《網(wǎng)絡(luò)安全法》：一方面規(guī)定了網(wǎng)絡(luò)運營者不低于6個月的留存用戶網(wǎng)絡(luò)日志的義務(wù)以及對公安機關(guān)、國家安全機關(guān)開展技術(shù)偵查與其他信息監(jiān)控工作提供技術(shù)支持與協(xié)助的義務(wù)。(11)詳見《網(wǎng)絡(luò)安全法》第21條、第28條的規(guī)定。另一方面，該法進一步增強了網(wǎng)絡(luò)空間公民個人信息的保護，比如明確界定了“個人信息”的概念與范圍，個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等；規(guī)定網(wǎng)絡(luò)運營者收集、使用個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，事先告知收集信息的目的并經(jīng)被收集者同意等。(12)詳見《網(wǎng)絡(luò)安全法》第41條、第76條的規(guī)定。

值得進一步研究的問題是，網(wǎng)絡(luò)運營者對公安機關(guān)、國家安全機關(guān)在維護國家安全和偵查犯罪時提供技術(shù)支持與協(xié)助的內(nèi)容，比如《反恐法》第18條將“技術(shù)支持與協(xié)助”的內(nèi)容界定為提供技術(shù)接口和解密等技術(shù)支持和協(xié)助。當(dāng)然兩部法律中都未窮盡所有的技術(shù)支持措施，而且對于技術(shù)接口問題的授權(quán)也過于寬泛，如果技術(shù)接口意味著執(zhí)法部門可以獲得全部網(wǎng)絡(luò)運營商的數(shù)據(jù)，此種監(jiān)控行為基于必要性與比例原則的視角觀之，顯屬過度監(jiān)控。

三、國際社會的主要發(fā)展趨勢

面對日新月異的信息技術(shù)發(fā)展給個人信息與隱私權(quán)保護帶來的挑戰(zhàn)，國際社會仍然堅持運用既有的法律工具與權(quán)利保障工具對該問題予以回應(yīng)。這方面的主要國際性法律文件是聯(lián)合國《世界人權(quán)宣言》及《聯(lián)合國公民權(quán)利與政治權(quán)利國際公約》中關(guān)于隱私權(quán)的保護條款?！妒澜缛藱?quán)宣言》第12條規(guī)定：“任何人的私生活、家庭、住宅和通信不得任意干涉，他的榮譽和名譽不得加以攻擊。人人有權(quán)享有法律保護，以免受這種干涉或攻擊”。自《世界人權(quán)宣言》對隱私權(quán)的保護作出正式確認后，一系列的國際公約、地區(qū)性公約與準(zhǔn)則基本上都沿著《世界人權(quán)宣言》指明的道路，遵循相同的規(guī)范框架，推進隱私權(quán)與個人信息權(quán)利的保護工作。1950年通過的《歐洲人權(quán)公約》第8條、聯(lián)合國1966年通過的《公民權(quán)利與政治權(quán)利國際公約》第17條都作出了相似甚至相同的規(guī)定。

根據(jù)上述國際公約與準(zhǔn)則的規(guī)定，公民的隱私權(quán)不受任意、非法干預(yù)，聯(lián)合國大會及聯(lián)合國人權(quán)事務(wù)委員會將政府干預(yù)公民隱私權(quán)的正當(dāng)性原則歸納為合法性原則與必要性原則兩項主要內(nèi)容：首先，政府對公民隱私權(quán)進行干預(yù)應(yīng)當(dāng)依據(jù)法律的授權(quán)方可進行，且作為依據(jù)的法律應(yīng)當(dāng)是公開、清晰、具體的法律規(guī)范；其次，干預(yù)隱私權(quán)必須遵循必要性原則與比例原則，即干預(yù)措施對于實現(xiàn)干預(yù)目的而言是必要的，干預(yù)的目的具有正當(dāng)性，同時干預(yù)隱私權(quán)的行為與追求的結(jié)果之間應(yīng)成比例，奉行最小侵犯原則。(13)參見The right to privacy in the digital age, Report of The Office of the United Nations High Commissioner for Human Rights, 30 June 2014, Para23 and Para 28.

合法性原則與法律保留原則相近似，要求限制公民隱私權(quán)不僅要有法律依據(jù)，且更為重要的是該原則對依據(jù)的法律的質(zhì)量提出了明確的要求，即法律必須是良法。(14)參見American Civil Liberties Union, Submission of Amnesty International USA and the American Civil Liberties Union to Public Hearing on Section 702 of the FISA Amendments Act, March 19, 2014, p9, http://www.ohchr.org/Documents/Issues/Privacy/ACLU3.pdf,最后訪問時間2017年4月11日。良法的基本要求是法律依據(jù)必須向公眾公開，規(guī)定的各項執(zhí)法干預(yù)措施應(yīng)當(dāng)準(zhǔn)確、具體、清晰明確的加以界定，(15)參見American Civil Liberties Union, Submission of Amnesty International USA and the American Civil Liberties Union to Public Hearing on Section 702 of the FISA Amendments Act, March 19, 2014, p7, http://www.ohchr.org/Documents/Issues/Privacy/ACLU3.pdf,最后訪問時間2017年4月11日。唯有此，社會公眾對于法律的實施才能具有清楚、穩(wěn)定的預(yù)期。圍繞著《公民權(quán)利與政治權(quán)利國際公約》第17條的適用，全球范圍內(nèi)隱私權(quán)保護與干預(yù)的立法、司法實踐大體都按照上述路徑展開。(16)就《歐洲人權(quán)公約》與歐洲人權(quán)法院的司法實踐情況而言，中國臺灣地區(qū)學(xué)者林鈺雄教授將其歸納為法律保留、正當(dāng)目的與比例原則三個方面，與聯(lián)合國人權(quán)公約的思路基本一致，參見林鈺雄：《刑事程序與國際人權(quán)》(二)，元照出版公司2012年版，第246-251頁。

基于上述路徑與規(guī)范工具，聯(lián)合國人權(quán)理事會認為，部分政府進行的大規(guī)模監(jiān)控，即使是為了維護國家安全或者反恐的正當(dāng)目的，但從比例原則的角度來看，也屬對公民隱私權(quán)恣意、過度的干預(yù)，這種類似于在干草堆里找針的操作模式明顯違反了比例原則。(17)參見The right to privacy in the digital age, Report of The Office of the United Nations High Commissioner for Human Rights, 30 June 2014, Para25.同時人權(quán)理事會在報告中也提醒各成員國，在政府內(nèi)設(shè)部門的不同數(shù)據(jù)庫間進行數(shù)據(jù)共享，也可能違反了合目的性的基本原則。(18)參見The right to privacy in the digital age, Report of The Office of the United Nations High Commissioner for Human Rights, 30 June 2014, Para27.法律對每個數(shù)據(jù)庫收集公民信息的授權(quán)是特定目的的授權(quán)，一個部門收集的數(shù)據(jù)庫如果開放給其他部門共享，其他部門利用公民信息的目的極易超越原有的特定授權(quán)目的，進而構(gòu)成違法干預(yù)。

為回應(yīng)信息社會快速發(fā)展的背景下國際社會對個人信息保護方面的憂慮，聯(lián)合國人權(quán)理事會在2014年提交聯(lián)合國大會的專題報告中概括了新世紀(jì)以來全球面臨的隱私安全挑戰(zhàn)：公開與秘密的監(jiān)控作法與事例正在不斷激增，政府開展大規(guī)模監(jiān)控(mass surveillance)已經(jīng)成為危險的常態(tài)性、習(xí)慣性做法，而不再僅僅是作為例外手段。(19)參見The right to privacy in the digital age, Report of The Office of the United Nations High Commissioner for Human Rights, 30 June 2014, P3.http://www.ohchr.org/EN/HRBodies/HRC/RegularSessions/Session27/Documents/A.HRC.27.37_en.pdf,最后訪問時間2017年4月6日。由于數(shù)字化時代對隱私權(quán)的干預(yù)方式主要是通過收集電子通訊的形式要素，再通過大數(shù)據(jù)的挖掘、分析技術(shù)深描出個人的完整信息，在傳統(tǒng)觀點下，這些通訊形式方面的信息與通訊內(nèi)容不同，不是隱私權(quán)保障的對象。聯(lián)合國人權(quán)事務(wù)委員會報告呼吁各成員國與時俱進地摒棄上述傳統(tǒng)思維，在新信息技術(shù)背景下樹立全新的信息保護理念，即區(qū)分通訊形式與內(nèi)容從保護隱私權(quán)的角度來看是不具有說服力的，信息的合成，通常稱之為元數(shù)據(jù)(metadata)，能夠顯示個人行為、社會關(guān)系、私人嗜好、身份等方方面面的信息，甚至比通訊內(nèi)容更能全面地揭示一個人。(20)同⑦。

從具體國家的做法來看，德國作為歐陸法系的重要代表性國家，其刑事執(zhí)法系統(tǒng)對于公民信息的保護，既承繼了聯(lián)合國國際公約以及歐洲人權(quán)公約所設(shè)定的審核標(biāo)準(zhǔn)，(21)德國法中基于法律保留原則與必要性原則、比例原則對于秘密監(jiān)控措施的審查、控制情況，可參見艾明：《新型監(jiān)控偵查措施法律規(guī)制研究》，法律出版社2013年版，第83-93頁。也基于自身法律傳統(tǒng)與基本法的規(guī)定，發(fā)展出來了以個人信息自決權(quán)為核心的規(guī)范體系。(22)關(guān)于德國與美國在隱私權(quán)觀念上的差異及歷史成因的分析可參見James Q. Whitman, The Two Western Cultures of Privacy: Dignity Versus Liberty, 113 Yale L.J.1151(2004)；關(guān)于德國選擇個人信息自決權(quán)而非隱私權(quán)作為規(guī)范工具的成因分析，可參見Paul M. Schwartz, REGULATING GOVERNMENTAL DATA MINING IN THE UNITED STATES AND GERMANY: CONSTITUTIONAL COURTS, THE STATE, AND NEW TECHNOLOGY, William and Mary Law Review, 354, November 2011.整體上看，對于各類信息監(jiān)控手段，德國均通過持續(xù)性更新刑事訴訟法典的規(guī)定將其及時地納入到法律規(guī)制框架內(nèi)，同時德國聯(lián)邦憲法法院基于德國基本法上對于個人信息自決權(quán)與通訊自由權(quán)的保障條款不斷地對刑事執(zhí)法與犯罪預(yù)防中的各類新型監(jiān)控手段作出逐案審視，這也引導(dǎo)著德國刑事訴訟法典逐漸前行。德國的立法機關(guān)與憲法法院面對日新月異的新監(jiān)控技術(shù)，始終堅持嫻熟地運用合法性原則與比例原則，基于個人信息自決權(quán)的法律價值，設(shè)定政府監(jiān)控干預(yù)公民個人信息的具體邊界。

與德國的做法與價值立場不同，美國的立法與司法更傾向于鼓勵信息技術(shù)產(chǎn)業(yè)的發(fā)展，在保護公民個人信息與規(guī)制政府監(jiān)控問題上，主要依賴傳統(tǒng)的隱私權(quán)這一概念工具。隱私權(quán)更偏向消極性的防御權(quán)，與積極性的公民個人信息權(quán)相比，對公民個人信息的保護力度顯得更為有限。美國聯(lián)邦最高法院通過1976年的Miller案和1979年的Smith案分別確立了標(biāo)桿性判決，(23)參見Miller v. United States, 425 US 435(1976); Smith v. Maryland, 442 US 735 (1979).聯(lián)邦最高法院認為對于公民自愿交給第三方機構(gòu)保存的記錄信息，公民個人不存在對隱私的合理期待，不受聯(lián)邦憲法第四修正案的保護。面對日新月異的科技發(fā)展態(tài)勢，自愿交與第三人理論愈發(fā)顯示出局限性。2012年美國聯(lián)邦最高法院在United States v. Jones 一案中，開始對第三人理論進行反思，大法官索尼婭在該案的協(xié)同意見中指出，過去的傳統(tǒng)定律認為，對于公民個人自愿公開給第三方的信息，本人并無隱私的合理期待，這一認識有必要進行反思了，因為這一思維方式已經(jīng)嚴重?zé)o法適應(yīng)電子化時代的發(fā)展，在這個時代里當(dāng)我們完成許多普通日常的工作時，我們需要公開大量的信息給第三方，我并不認為基于特定使用目的而自愿公開的這些信息不應(yīng)當(dāng)?shù)玫降谒男拚傅谋Ｗo。(24)參見United States v. Jones, 132 S. Ct.at 957 (2012)(Sotomayor, J., concurring).

國際社會面對政府監(jiān)控對公民個人信息保護的挑戰(zhàn)既形成了不少經(jīng)驗，也走過相應(yīng)的彎路，總體來看，信息社會的發(fā)展要求對公民個人信息既要積極合理利用，更要充分、審慎保護。實現(xiàn)政府監(jiān)控與個人信息保護之間的平衡：從宏觀層面看，個人信息的合理利用對于一國發(fā)展大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等現(xiàn)代信息技術(shù)產(chǎn)業(yè)至關(guān)重要，同時也應(yīng)當(dāng)考量過度、無序收集公民個人信息最終會導(dǎo)致公民主體資格的喪失，公民成為信息社會的客體，嚴重抑制開放、創(chuàng)新的社會發(fā)展動能；從微觀層面上看，保護公民權(quán)利的傳統(tǒng)法律原則——合法性原則與比例原則仍然可以發(fā)揮應(yīng)有的規(guī)制作用，同時在傳統(tǒng)上的隱私權(quán)基礎(chǔ)上，個人信息權(quán)作為一種新型權(quán)利，也日益成為應(yīng)對現(xiàn)代信息社會發(fā)展的重要法律規(guī)范工具。

四、個人信息權(quán)的保護與秘密監(jiān)控的規(guī)制思路

信息社會最為寶貴的資源就是個人信息，這是信息社會的本質(zhì)所在。信息不僅僅成為了經(jīng)濟社會發(fā)展的核心驅(qū)動力，也日益成為公民個人維持其獨立人格、行使各項公民基本權(quán)利與自由的必要條件。從這個角度來看，規(guī)范政府監(jiān)控行為應(yīng)當(dāng)以個人信息權(quán)保護為基本著眼點，審視我國政府監(jiān)控在個人信息保護方面的不足，更新保護理念與機制。

(一)傳統(tǒng)規(guī)范工具的嚴格適用

長久以來各國規(guī)范秘密監(jiān)控手段的傳統(tǒng)法律規(guī)范工具無外乎為合法性原則與必要性原則這兩大約束公權(quán)干預(yù)私權(quán)的基本原則，這也是聯(lián)合國《公民權(quán)利與政治權(quán)利國際公約》保護公民隱私權(quán)的基本路徑，體現(xiàn)了國際社會在這一領(lǐng)域中的基本經(jīng)驗。

從合法性原則審視我國現(xiàn)有的秘密監(jiān)控立法，盡管隨著2012年《刑事訴訟法》的修改以及2014年以來陸續(xù)頒布的《國家安全法》《反間諜法》《反恐法》《網(wǎng)絡(luò)安全法》，政府監(jiān)控的規(guī)范性程度實現(xiàn)了長足的進步，無法可依的局面得到了部分改善。然而，合法性原則不僅僅是簡單的要求有法可依，更要追求良法之治。在該原則對法律質(zhì)量上所要求的公開性、明確性、清晰性、可接近性等方面，我國現(xiàn)有的法律規(guī)范仍然存在較大的不足。比如，刑事訴訟法中規(guī)定的技術(shù)偵查措施一節(jié)對于措施的具體類型與干預(yù)內(nèi)容、具體的批準(zhǔn)程序、適用對象等規(guī)定過于模糊；在刑事訴訟法之外，對于刑事偵查中適用技術(shù)偵查措施還存在著大量的中央文件、公安部內(nèi)部規(guī)范性文件，這些規(guī)范性依據(jù)仍然受神秘主義傳統(tǒng)思維的影響，處于保密狀態(tài)，社會公眾無從知悉，與法治社會的基本要求存在明顯抵牾。再比如，對于立案前的技術(shù)偵查措施與其他信息監(jiān)控措施，在情報信息與國家安全領(lǐng)域的法律規(guī)范更加稀疏，《國家安全法》《反間諜法》《反恐法》《網(wǎng)絡(luò)安全法》《國家情報法》中都僅有一到兩個概括性授權(quán)條款，法律規(guī)定的明確性、清晰性程度遠不如刑事訴訟法關(guān)于技術(shù)偵查措施的授權(quán)。比如《國家安全法》第52條規(guī)定的“依法”和《反恐法》第45條規(guī)定的“根據(jù)國家有關(guān)規(guī)定”都是法律過于寬泛的例證。情報信息與國家安全領(lǐng)域規(guī)范秘密監(jiān)控的多數(shù)規(guī)范都未達到法律保留原則的要求，仍然是以內(nèi)部的、不公開的文件規(guī)定作為執(zhí)法依據(jù)，法治進程更加滯后。游離于法治軌道之外的情報信息與國家安全事務(wù)中的秘密監(jiān)控對公民信息權(quán)的干預(yù)更易違背法治的要求，容易造成大規(guī)模、無節(jié)制的濫用?？傮w上看，我國在秘密監(jiān)控的立法完善方面還有較長的路要走，圍繞著法律規(guī)范的公開、清晰、具體與明確的基本要求，應(yīng)當(dāng)完善刑事訴訟法技術(shù)偵查措施一節(jié)的相關(guān)規(guī)定，將各類處于保密狀態(tài)的政策與內(nèi)部規(guī)定寫入法律，進一步提升技術(shù)偵查措施的合法性程度；同時還應(yīng)當(dāng)進一步織密情報信息與國家安全領(lǐng)域中的秘密監(jiān)控規(guī)范，細化《國家安全法》《反間諜法》《反恐法》《網(wǎng)絡(luò)安全法》《國家情報法》中的既有規(guī)定，明確以搜集情報信息和維護國家安全目的的各類秘密監(jiān)控手段的內(nèi)容、對象、程序等規(guī)定。

基于必要性原則與比例原則的視角，無論是刑事訴訟法關(guān)于刑事司法中秘密監(jiān)控的應(yīng)用，還是其他關(guān)聯(lián)法律中關(guān)于情報信息與國家安全事務(wù)中的各類信息監(jiān)控手段，都存在著一定的完善空間。從刑事訴訟法的角度看，比較突出的問題包括：四大類技術(shù)偵查措施內(nèi)部并未根據(jù)干預(yù)隱私權(quán)或公民個人信息權(quán)的嚴重程度進行分層規(guī)制，籠而統(tǒng)之適用相同的審批程序，有違比例原則；技術(shù)偵查措施的適用并未明確遵循最后手段原則，而是根據(jù)偵查犯罪的需要，凡是符合重罪案件范圍的對象均可直接啟用；在適用對象方面，如何將技術(shù)偵查措施限定在與犯罪活動直接相關(guān)的人范圍內(nèi)，需要進一步細化的規(guī)則。在記錄監(jiān)控與數(shù)據(jù)庫查詢、比對、分析的適用過程中，目的合理性與正當(dāng)性存疑，大海撈針式的海量數(shù)據(jù)處理過程中卷入大量的無辜公民的個人信息，即使能夠最終鎖定犯罪嫌疑人，此種執(zhí)法方式的目的合理性存疑、執(zhí)法目的與達成目的的手段、最終侵權(quán)結(jié)果之間嚴重不合比例，直接違反比例原則的要求。

同樣對于反恐法、反間諜法中在立案前的情報信息收集過程中適用技術(shù)偵查措施，也應(yīng)當(dāng)謹守比例原則的要求，禁止開展撒網(wǎng)式的大規(guī)模監(jiān)控，在啟動條件方面應(yīng)當(dāng)具備一定的嫌疑根據(jù)；《網(wǎng)絡(luò)安全法》與《反恐法》附加給網(wǎng)絡(luò)運營者為公安機關(guān)、國家安全機關(guān)提供技術(shù)接口與協(xié)助的義務(wù)，根據(jù)比例原則的要求，應(yīng)當(dāng)是逐案提供該技術(shù)協(xié)助，如果將所有的網(wǎng)絡(luò)存儲數(shù)據(jù)全部交由公安機關(guān)、國家安全機關(guān)則意味著執(zhí)法機關(guān)對網(wǎng)絡(luò)空間及其存儲的信息實施了大規(guī)模監(jiān)控，即使能夠發(fā)現(xiàn)零星的犯罪線索或情報，其大規(guī)模干預(yù)公民權(quán)利的手段與最終結(jié)果之間也顯失平衡，違反了比例原則。

從完善立法、執(zhí)法的角度來看，立法規(guī)定應(yīng)當(dāng)進一步精細化，目的正當(dāng)?shù)氖侄我膊豢蔁o所不用其極。必要性原則與比例原則首先要求干預(yù)公民個人信息權(quán)的執(zhí)法、司法行為應(yīng)當(dāng)具備一定的嫌疑條件或者具備一定的可能性實現(xiàn)相應(yīng)的執(zhí)法目的，干預(yù)規(guī)模與范圍應(yīng)當(dāng)限制在嫌疑人群范圍內(nèi)，截取與使用的公民信息應(yīng)當(dāng)具有范圍限制而非擴展至通訊、交通、金融消費等各類數(shù)據(jù)庫的全部。在各類干預(yù)手段的體系內(nèi)，應(yīng)當(dāng)根據(jù)干預(yù)公民信息的強度不同，根據(jù)個人信息受保護的重要性上的差異，設(shè)計分級干預(yù)程序，體現(xiàn)手段與干預(yù)對象之間成比例的基本要求。

(二)適度引入個人信息保護的法律原則與機制

以維護國家安全、公共安全與懲治犯罪為目的的利用公民個人信息的政府行為歷來是各國公民個人信息保護法適用例外，也是國際社會公認的干預(yù)公民個人信息權(quán)的正當(dāng)化事由。但進入本世紀(jì)以來，特別是為應(yīng)對全球恐怖主義、極端主義引發(fā)的嚴重挑戰(zhàn)，不少國家的安全機關(guān)、偵查機關(guān)在國家安全、反恐偵查過程中大規(guī)模收集公民信息，引發(fā)了世界各國國民與國際社會的普遍擔(dān)憂。個人信息權(quán)的保護呼聲與力度逐步加強，對于國家安全與刑事司法領(lǐng)域中的個人信息保護的傳統(tǒng)例外也在重新進行審視。最佳的例證則是2016年4月27日歐洲議會與歐洲委員會在通過旨在全面保護公民個人信息權(quán)的《通用數(shù)據(jù)保護條例》(General Data Protection Regulation)的同時，(25)參見Regulation(EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC.專門通過了《以犯罪預(yù)防、調(diào)查、偵查、起訴或者刑罰執(zhí)行為目的的自然人個人數(shù)據(jù)保護指令》，(26)參見Directive(EU) 2016/680 of The European Parliament and of The Council of April 2016 on the purposes of the prevention, investigation, detection or prosecution of criminal offences or the Execution of Criminal Penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA.從而將個人數(shù)據(jù)保護的法律原則與機制部分引入到刑事司法領(lǐng)域。

總體上看，參酌上述歐盟個人數(shù)據(jù)保護指令的經(jīng)驗，如下重要的個人信息保護的法律原則與機制在刑事司法、執(zhí)法中應(yīng)當(dāng)?shù)玫阶鹬嘏c貫徹：(1)個人信息收集與處理的目的應(yīng)當(dāng)是合法且特定的，只能為具體而特定的執(zhí)法或司法目的收集與使用公民個人信息，不得超越收集個人信息時的合法目的使用相關(guān)個人信息；(2)信息主體具有法定的信息權(quán)利，包括知悉權(quán)與更正權(quán)，即被告知信息被司法機關(guān)收集的目的及用途，有權(quán)查詢、修改、更正不準(zhǔn)確、不客觀或過時的數(shù)據(jù)信息。當(dāng)然基于刑事司法順利進行的合理理由，司法機關(guān)可以推遲告知，但推遲告知信息主體的例外應(yīng)當(dāng)是明確而具體的事由；(3)刑事司法機關(guān)對信息的處理過程應(yīng)當(dāng)體現(xiàn)安全性，包括建立監(jiān)控日志并做到操作留痕，同時應(yīng)當(dāng)確保收集到的信息與數(shù)據(jù)的質(zhì)量。(4)對于公民信息應(yīng)當(dāng)實行分級管理，對于個人家庭生活、健康狀況、宗教信仰等敏感信息，即使是在刑事司法與執(zhí)法活動中也應(yīng)當(dāng)重點保護。(5)對個人信息的處理應(yīng)當(dāng)設(shè)置相應(yīng)的監(jiān)督與救濟程序，包括獨立監(jiān)督機構(gòu)、定期報告機制與行政、司法等救濟渠道。

上述法律原則與機制基本上屬于個人信息保護法領(lǐng)域的底線規(guī)則，是尊重與保護公民個人信息權(quán)的基本要求。在刑事司法系統(tǒng)中，即使個人信息保護的法律制度不得不考慮刑事司法的特殊利益與價值追求，從而可以對個人信息保護法律原則的相關(guān)要求部分打折，但底線規(guī)則與基本要求應(yīng)當(dāng)予以適用。如果承認這一法律政策的基本立場，檢視我國目前秘密監(jiān)控對公民個人信息的干預(yù)程序與制度，足以發(fā)現(xiàn)不少亟待完善之處。首先，信息主體的知情權(quán)保護基本處于空白狀態(tài)，包括《刑事訴訟法》規(guī)定的技術(shù)偵查措施實施后也未規(guī)定告知犯罪嫌疑人的相關(guān)程序，再加上技偵材料在司法實踐中基本上不會用作證據(jù)的現(xiàn)實狀況，秘密監(jiān)控的對象基本上無從知悉信息被監(jiān)控、使用的事實，信息主體地位名存實亡。因此應(yīng)當(dāng)增加信息主體對于秘密監(jiān)控的知悉權(quán)保護條款，要求執(zhí)法機關(guān)、司法機關(guān)承擔(dān)信息監(jiān)控后的告知義務(wù)，當(dāng)然根據(jù)國際慣例，這種告知義務(wù)的履行可以根據(jù)偵查進程的需要在例外情形下推遲告知義務(wù)的履行時間。在知悉權(quán)保障之后，與之相關(guān)的權(quán)利就是信息主體的查詢、更正個人信息的權(quán)利也應(yīng)當(dāng)予以一并保障。其次，執(zhí)法、司法機關(guān)對于信息的處理過程應(yīng)當(dāng)履行安全義務(wù)，建立操作日志與操作留痕機制，通過技術(shù)性回溯手段防止監(jiān)控行為的濫用。最后，應(yīng)當(dāng)建立個人信息權(quán)遭受非法干預(yù)時的救濟渠道與監(jiān)督途徑，關(guān)于監(jiān)督途徑筆者在接下來的部分詳細闡釋，關(guān)于救濟渠道建設(shè)，既應(yīng)當(dāng)包括各類投訴處理機制，也應(yīng)當(dāng)包括司法救濟途徑，對于違法干預(yù)公民個人信息權(quán)的執(zhí)法行為，信息主體應(yīng)有權(quán)獲得國家賠償。

(三)建構(gòu)混合監(jiān)督體系

我國秘密監(jiān)控措施現(xiàn)有制度安排中最大的缺陷莫過于外部監(jiān)督機制的空白與內(nèi)部監(jiān)督的乏力，無論是《刑事訴訟法》的規(guī)定還是晚近國家立法機關(guān)就國家安全領(lǐng)域通過的數(shù)部新法中都普遍存在這一問題。在刑事訴訟中采取技術(shù)偵查措施實行公安機關(guān)內(nèi)部審批，(27)如前文所述，對于黨員干部等特殊對象，在刑事訴訟法規(guī)定的審批程序之前存在黨委審批的前置程序，黨委審批的前置程序是否屬于外部監(jiān)督機制值得進一步研究?；旧蠜]有任何外部監(jiān)督機制，無論是檢察機關(guān)還是審判機關(guān)都無法進行直接或者間接的監(jiān)督。檢察機關(guān)雖然是法律監(jiān)督機關(guān)，有權(quán)對偵查活動進行監(jiān)督，但這種概括性的授權(quán)缺乏具體的執(zhí)行機制，偵查實踐中檢察機關(guān)的偵查監(jiān)督部門對于技術(shù)偵查措施的適用根本無法監(jiān)督。作為審判機關(guān)的法院按照刑事訴訟法的規(guī)定可以通過對技術(shù)偵查證據(jù)的審核或者非法證據(jù)排除規(guī)則對技術(shù)偵查措施進行間接的監(jiān)督，然而由于絕大多數(shù)案件中技術(shù)偵查措施獲得的材料都不會作為證據(jù)使用，通過證據(jù)運用過程進行間接監(jiān)督的路徑基本上也是無效的。在情報信息領(lǐng)域與國家安全領(lǐng)域，根據(jù)晚近通過的幾部法律規(guī)定，外部監(jiān)督體系更是完全闕如，因為在上述領(lǐng)域，相應(yīng)的情報信息根本不會進入訴訟流程，也就無法受到后續(xù)司法機關(guān)的審核與監(jiān)督。

外來監(jiān)督機制通常表現(xiàn)為通過法官令狀的審批機制實現(xiàn)的司法審查與議會設(shè)置專門機構(gòu)對秘密監(jiān)控機關(guān)的監(jiān)督，前者為事先監(jiān)督，后者是事后監(jiān)督機制。內(nèi)部監(jiān)督機制主要是行政審批，但需要在行政機關(guān)內(nèi)部根據(jù)干預(yù)手段的嚴重程度實行分級審批機制。迄今為止的世界各國經(jīng)驗與教訓(xùn)表明，沒有哪一種模式是完美無缺的，沒有放之四海而皆準(zhǔn)的有效監(jiān)督機制。司法審查機制也不是包治百病的靈丹妙藥，多個國家的司法實踐已經(jīng)表明法官令狀已經(jīng)淪為橡皮圖章。(28)參見The right to privacy in the digital age, Report of The Office of the United Nations High Commissioner for Human Rights, 30 June 2014, Para38.既然任何一種監(jiān)督模式都無法單獨發(fā)揮應(yīng)有的效果，建立混合監(jiān)督模式，多角度綜合運用行政監(jiān)督、司法監(jiān)督與立法機關(guān)的監(jiān)督就成為了世界各國當(dāng)前相對穩(wěn)妥的選擇。

就我國目前的國情來看，建立混合監(jiān)督模式可以分步驟循序漸進的推進，首先，在事后監(jiān)督機制上，可以結(jié)合個人信息保護法領(lǐng)域的立法發(fā)展情況，授權(quán)個人信息的專門保護機構(gòu)對秘密監(jiān)控措施的適用情況進行事后監(jiān)督，另一種方案也可以考慮在全國人大常委會設(shè)置專門委員會，通過年度報告、專項工作督查等形式開展事后監(jiān)督。其次，應(yīng)當(dāng)著重推進《刑事訴訟法》第154條關(guān)于技偵證據(jù)使用的規(guī)定在司法實踐中得到嚴格的執(zhí)行與適用，通過證據(jù)審核發(fā)揮法官司法審查的應(yīng)有作用。最后，在事前監(jiān)督方面，也可以分兩步走，在憲法修改或者作出憲法解釋前，由于實行法官令狀制度存在一定的憲法障礙，對于刑事司法中的秘密監(jiān)控，可比照逮捕程序由檢察機關(guān)行使秘密監(jiān)控的審批權(quán)，而對于情報信息領(lǐng)域內(nèi)的秘密監(jiān)控受制于現(xiàn)有的司法架構(gòu)，則很難實行外部審批，只能依賴于更為嚴格、縝密的內(nèi)部審批機制。從長遠角度來看，伴隨著對各類強制性措施司法審查機制的陸續(xù)建立，由更為中立的法官統(tǒng)一對情報信息領(lǐng)域與刑事司法領(lǐng)域行使事先審批權(quán)顯然是更為合理的選擇，當(dāng)然這需要司法體制改革方面的配套推進，比如，建立專門的情報信息法官職位與審前法官序列。

(四)積極應(yīng)對第三方數(shù)據(jù)、元數(shù)據(jù)等新型規(guī)制難題

伴隨著信息社會的深化發(fā)展，特別是大數(shù)據(jù)時代的來臨，刑事司法機構(gòu)獲取信息的方式也在伴隨著信息技術(shù)的發(fā)展悄然發(fā)生變化。相較于小數(shù)據(jù)時代，偵查機關(guān)自行獲取信息的做法正逐步地改變?yōu)閺纳鐣谌綑C構(gòu)獲取信息，由過去重點是信息的內(nèi)容到現(xiàn)在的更為關(guān)注信息的形式，即關(guān)于信息的信息，也被稱之為元數(shù)據(jù)(metadata)。刑事司法機關(guān)從信息收集者轉(zhuǎn)為信息使用者，從收集信息內(nèi)容改為收集信息形式，這些偵查行為的改變直接導(dǎo)致了傳統(tǒng)規(guī)范工具的失效。

如前所述，美國法上的“第三方自愿交出”理論導(dǎo)致聯(lián)邦憲法第四修正案所確立的隱私權(quán)保障規(guī)范頻頻失效，公民利用各種信息服務(wù)機構(gòu)參與正常的現(xiàn)代社會生活之后，就被法律視為向社會第三方自愿交出信息從而對信息本身并無隱私的合理期待，政府部門的后續(xù)利用信息行為也就不再受隱私權(quán)條款的規(guī)制。元數(shù)據(jù)信息經(jīng)由大數(shù)據(jù)技術(shù)的挖掘之后，也引發(fā)了傳統(tǒng)刑事司法體系的規(guī)制難題。傳統(tǒng)刑事司法規(guī)則更為關(guān)注信息的內(nèi)容，將信息的形式置于次要位置，并認為這符合了比例原則的基本要求。然而大數(shù)據(jù)挖掘技術(shù)的出現(xiàn)，顛覆了傳統(tǒng)認識，因為通過對信息的形式要素進行深度挖掘并將其與各類信息形式比對，將會產(chǎn)生更為全面的數(shù)字人形象，其對公民私生活的還原程度遠遠超過信息內(nèi)容的碎片化揭示。如此一來，固守傳統(tǒng)法律規(guī)則中對信息內(nèi)容與信息形式的二分法將勢必導(dǎo)致規(guī)范結(jié)果的嚴重失衡。

筆者認為，第三方理論與元數(shù)據(jù)兩個新型法律難題的產(chǎn)生，均與我們看待類似信息來源過程的視角有關(guān)，如果從政府獲取信息的渠道與方式來看，區(qū)分直接收集與利用第三方社會機構(gòu)獲得的信息、區(qū)分信息的內(nèi)容與信息的形式，似乎具有一定的合理性。而當(dāng)我們將觀察信息流動過程的視角轉(zhuǎn)為個人信息權(quán)保護的話，分析的結(jié)論會大有不同。以第三方理論為例，當(dāng)個人基于參與信息社會生活的需要將信息交由社會第三方保管與使用時，其授權(quán)使用的目的總是特定的，政府基于刑事司法的目的利用第三方保管的個人信息時已經(jīng)超出了公民個人最初授權(quán)目的，屬于目的變更，應(yīng)當(dāng)遵循相應(yīng)的法律規(guī)則。也就是說，偵查機關(guān)在利用第三方機構(gòu)保管的信息時也應(yīng)當(dāng)具備合法的目的、基于一定的懷疑作為干預(yù)基礎(chǔ)，同時應(yīng)當(dāng)遵循比例原則的要求。元數(shù)據(jù)的問題從干預(yù)公民個人信息權(quán)的角度觀之也會得出類似的結(jié)論，信息的內(nèi)容固然能夠深刻揭示出公民的某一思想或行為，經(jīng)由大數(shù)據(jù)加工后的元數(shù)據(jù)經(jīng)常能還原出更為全面的人性與生活方式，從保障公民個人尊嚴、自治的角度來看，二者不應(yīng)存在輕重之分，從法律規(guī)制的角度也不應(yīng)區(qū)分信息內(nèi)容與大數(shù)據(jù)對元數(shù)據(jù)的加工行為。這就要求在貫徹比例原則的過程中，應(yīng)當(dāng)令二者遵循相同的權(quán)力規(guī)制程序。

從完善具體法律適用規(guī)則的角度來看，現(xiàn)行法律、司法解釋等法律規(guī)范當(dāng)中關(guān)于偵查機關(guān)從第三方社會機構(gòu)獲取數(shù)據(jù)與使用元數(shù)據(jù)的信息使用行為均缺乏足夠明細、具體的規(guī)范依據(jù)。比如《公安機關(guān)辦理刑事案件程序規(guī)定》第255條在細化解釋刑事訴訟法關(guān)于技術(shù)偵查措施時明確規(guī)定，記錄監(jiān)控屬于技術(shù)偵查措施的一個子類，從名稱看記錄監(jiān)控似乎可以涵蓋偵查機關(guān)利用社會第三方數(shù)據(jù)庫的行為，但實際上，這種界定方式與技術(shù)偵查措施應(yīng)當(dāng)具備的同步即時性本質(zhì)直接沖突。對公民留存于社會機構(gòu)的海量數(shù)據(jù)進行事后挖掘的行為與對公民行為過程中同步開展的秘密監(jiān)控存在本質(zhì)上的差異。此外，《刑事訴訟法》第54條第1款規(guī)定的證據(jù)調(diào)取行為，由于其行為的對象為證據(jù)材料，且僅限于與案件相關(guān)材料的少量信息或特定物品的調(diào)取，該條款也無法作為對于海量數(shù)據(jù)調(diào)取與分析的規(guī)范依據(jù)。由此看來，立法者應(yīng)當(dāng)為上述兩類新型信息獲取方式另設(shè)全新的規(guī)則程序。

如前文所述，《反恐法》與《網(wǎng)絡(luò)安全法》分別要求電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)服務(wù)提供者為公安機關(guān)、國家安全機關(guān)依法進行技術(shù)偵查和其他信息監(jiān)控工作提供技術(shù)支持與協(xié)助。(29)參見《反恐法》第18條與《網(wǎng)絡(luò)安全法》第21、28條的規(guī)定。根據(jù)上述兩部法律的規(guī)定，網(wǎng)絡(luò)運營者需要留存用戶網(wǎng)絡(luò)日志不少于6個月。這些規(guī)定為偵查機關(guān)利用社會機構(gòu)的數(shù)據(jù)以及元數(shù)據(jù)規(guī)定了寬泛的授權(quán)，但對于社會機構(gòu)特別是電信、網(wǎng)絡(luò)服務(wù)提供者如何支持與協(xié)助執(zhí)法、司法沒有明確的規(guī)定，相應(yīng)的，社會機構(gòu)留存的個人信息及元數(shù)據(jù)在何種情形下以何種方式交由偵查機關(guān)使用，也缺乏明晰的規(guī)則。

由此可見，對于第三方數(shù)據(jù)與元數(shù)據(jù)的利用，規(guī)則的完善既要完善刑事訴訟法的相關(guān)規(guī)定，也要對網(wǎng)絡(luò)安全法等規(guī)范電信、網(wǎng)絡(luò)服務(wù)提供商等社會機構(gòu)的相關(guān)法律進行修改完善。電信、網(wǎng)絡(luò)服務(wù)提供商等社會機構(gòu)負有協(xié)助執(zhí)法的社會責(zé)任與法定義務(wù)，但責(zé)任與義務(wù)的邊界應(yīng)當(dāng)清晰，特別是應(yīng)當(dāng)明確信息與數(shù)據(jù)的使用權(quán)與管理方仍屬第三方機構(gòu)，政府部門只能使用、共享，但不能占有。偵查機關(guān)只有基于個案的調(diào)查或情報信息的收集方可依法要求第三方提供特定范圍內(nèi)的信息與數(shù)據(jù)，禁止政府部門壟斷式的占有、使用全部社會第三方數(shù)據(jù)庫資源。從刑事訴訟法的完善角度來看，對于偵查機關(guān)利用第三方社會機構(gòu)的數(shù)據(jù)以及元數(shù)據(jù)的行為應(yīng)當(dāng)創(chuàng)設(shè)獨立的一類偵查行為，鑒于該行為對于公民信息隱私權(quán)的強干預(yù)屬性與法律既有規(guī)定中的技術(shù)偵查措施相當(dāng)，筆者建議對其規(guī)范強度、具體規(guī)范的設(shè)計可以參照技術(shù)偵查措施的相關(guān)規(guī)定，進行相對嚴格與明晰的規(guī)范。

(五)健全政府部門數(shù)據(jù)庫共享中的個人信息保護機制

如前文所述，近年來公安機關(guān)在刑事司法執(zhí)法過程中已經(jīng)開始普遍使用其他政府部門的數(shù)據(jù)庫，通過數(shù)據(jù)比對的方式挖掘情報信息與偵查線索。2015年國務(wù)院發(fā)布的《促進大數(shù)據(jù)發(fā)展行動綱要》中也提出要大力推動政府部門數(shù)據(jù)共享，形成政府?dāng)?shù)據(jù)統(tǒng)一共享交換平臺。政府管理中形成的各領(lǐng)域數(shù)據(jù)庫日益成為犯罪治理與治安防控工作的重要支撐力量，大數(shù)據(jù)碰撞產(chǎn)生的新知識、新線索極大地提升了刑事司法的效率與質(zhì)量。然而，由于缺乏對于政府部門間數(shù)據(jù)共享的基本規(guī)則，政府部門間的數(shù)據(jù)共享常常受制于部門利益、地方利益的掣肘裹足不前，同時個人信息保護范圍的法律依據(jù)欠缺也導(dǎo)致不少政府部門對于信息共享的范圍與方式、程度存在憂慮，也影響到個人信息在刑事司法中的有效利用。

政府各部門在履行政府管理職責(zé)過程中收集公民個人信息的行為，應(yīng)當(dāng)統(tǒng)一視為服務(wù)政府公共管理的總目標(biāo)，刑事司法執(zhí)法部門使用其他政府部門收集的公民個人信息，盡管信息使用的具體目的與最初的信息收集目的略有不同，但仍然限定在公共管理的范疇內(nèi)。因此，政府部門間數(shù)據(jù)庫共享與政府部門利用社會機構(gòu)、企業(yè)等第三方信息管理者兩類行為之間存在本質(zhì)差異，法律規(guī)范評價上應(yīng)有所區(qū)分。具體而言，刑事司法執(zhí)法機構(gòu)共享其他政府部門管理的個人信息時，首先，應(yīng)當(dāng)履行內(nèi)部審批手續(xù)，基于一定的證據(jù)條件證明存在共享公民個人信息的必要性，共享的方式應(yīng)當(dāng)是以個別信息或批量信息的查詢?yōu)橹?，原則上禁止偵查機關(guān)拷貝其他政府部門的數(shù)據(jù)庫資源，以防止漫無目的的大規(guī)模監(jiān)控出現(xiàn)。最后，偵查機關(guān)對共享獲得的公民個人信息履行保密義務(wù)，確保數(shù)據(jù)安全，偵查機關(guān)內(nèi)部應(yīng)當(dāng)根據(jù)共享信息的敏感等級程度分級授權(quán)，同時偵查機關(guān)內(nèi)部與共享數(shù)據(jù)的政府部門間都應(yīng)當(dāng)建立全程留痕的回溯性技術(shù)監(jiān)督程序，監(jiān)督個人信息的規(guī)范利用。

(六)厘定個人信息使用中的隱私保護范圍

盡管理論界與實務(wù)界對于個人信息權(quán)與隱私權(quán)之間的界分與相互關(guān)系存在諸多爭議，(30)參見王利明：《論個人信息權(quán)的法律保護——以個人信息權(quán)和隱私權(quán)的界分為中心》，載《現(xiàn)代法學(xué)》2013年第4期；楊芳：《個人信息自決權(quán)理論及其檢討》，載《比較法研究》2015年第6期。兩項權(quán)利涵蓋范圍也存在交叉與重合，但從刑事訴訟法的視角觀之，政府對個人信息的使用目的主要是社會管理而非商業(yè)目的，個人信息使用與保護的焦點完全應(yīng)當(dāng)歸結(jié)到個人隱私權(quán)的保護上，即之所以要設(shè)定政府部門使用個人信息的邊界，主要出發(fā)點是保護公民的個人隱私及其承載的公民的人格尊嚴、個人自治、家庭私生活安寧、通信自由等一系列基本權(quán)利。厘清個人隱私信息的范疇并施以特殊保護，能夠有效實現(xiàn)個人信息使用與保護的均衡狀態(tài)。

基于隱私范圍劃定個人信息的保護與利用程度的作法在國際社會個人信息保護法律制度以及國內(nèi)其他法律規(guī)范中已經(jīng)十分常見，(31)參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學(xué)》2015年第3期；高秦偉：《個人信息概念之反思和重塑——立法與實踐的理論起點》，載《〈法學(xué)研究〉2017秋季論壇個人信息使用與保護的法律機制學(xué)術(shù)研討會論文集》(2017年10月)，第328頁。對刑事訴訟法中規(guī)范個人信息使用的過程中厘定隱私范圍具有較強的借鑒意義。從國際范圍內(nèi)來看，2016年歐盟《通用數(shù)據(jù)保護條例》第9條規(guī)定的敏感個人數(shù)據(jù)的范圍包括能夠揭示個人的種族、政治觀點、宗教和哲學(xué)信仰、商業(yè)團體資格以及能夠識別特定自然人的基因數(shù)據(jù)和生物數(shù)據(jù)、涉及自然人健康或性生活、性取向的個人數(shù)據(jù)。(32)General Data Protection Regulation, Article 9.日本《個人情報信息法》第2條第3項規(guī)定了“要注意的個人信息”，包括由于本人的人種、信條、社會身份、病歷、犯罪經(jīng)歷、犯罪被害事實等其他可以對本人產(chǎn)生不當(dāng)?shù)牟顒e、偏見以及其他不利益的在處理上需要特別注意的個人信息。(33)參見鄭超：《“公民個人信息”刑法保護的法益論判斷》，載《〈法學(xué)研究〉2017秋季論壇個人信息使用與保護的法律機制學(xué)術(shù)研討會論文集》(2017年10月)，第641頁。我國臺灣地區(qū)《個人資料保護法》規(guī)定的“個人敏感隱私信息”包括有關(guān)醫(yī)療、基因、性生活、健康檢查及犯罪前科之個人資料。(34)參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學(xué)》2015年第3期；高秦偉：《個人信息概念之反思和重塑——立法與實踐的理論起點》，載《〈法學(xué)研究〉2017秋季論壇個人信息使用與保護的法律機制學(xué)術(shù)研討會論文集》(2017年10月)，第51頁。從國內(nèi)法的角度來看，區(qū)分個人敏感隱私信息也有探索性嘗試，2013年我國開始實施的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》第3.7條明確提出了“個人敏感信息”的概念，將其界定為一旦遭到泄漏或修改，會對標(biāo)識的個人信息主體造成不良影響的個人信息，各行業(yè)個人敏感信息的具體內(nèi)容根據(jù)接受服務(wù)的個人信息主體意愿和各自業(yè)務(wù)特點確定，例如個人敏感信息可以包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等。2017年5月兩高發(fā)布的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第5條，基于侵犯個人信息嚴重程度的差異間接劃定了個人敏感信息的范圍，將行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息以及住宿信息、通信記錄、健康生理信息、交易信息等歸為個人敏感信息。

從信息使用與保護的宏觀視角觀之，通過“個人敏感隱私信息”的概念實現(xiàn)對個人信息的類型區(qū)分，有助于實現(xiàn)個人、信息業(yè)者和國家三方利益主體在利用個人信息資源上的“三方平衡”。(35)參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學(xué)》2015年第3期；高秦偉：《個人信息概念之反思和重塑——立法與實踐的理論起點》，載《〈法學(xué)研究〉2017秋季論壇個人信息使用與保護的法律機制學(xué)術(shù)研討會論文集》(2017年10月)，第53頁。從刑事訴訟中個人信息使用正當(dāng)化的微觀視角觀之，通過厘定“個人敏感隱私信息”的范圍，有助于具象化地實現(xiàn)有效利用個人信息以實現(xiàn)安全價值與妥善保護公民隱私權(quán)這一基本權(quán)利之間的平衡。刑事司法中敏感隱私信息的范圍劃定，應(yīng)當(dāng)充分考慮到刑事司法目的的正當(dāng)性，結(jié)合以往司法實踐中信息濫用的危害實例，“個人敏感信息”的范圍應(yīng)當(dāng)限于較窄的范圍，這一點與一般性社會管理工作中個人信息保護工作的要求略有不同，與刑法所保護的公民人身權(quán)、財產(chǎn)權(quán)的法益目標(biāo)也存在一定的差異。因此，筆者建議刑事司法中需要特別予以保護的個人敏感信息至少包括醫(yī)療與健康信息、基因與生物識別信息、性生活與性取向、行蹤軌跡信息、住宅與家庭生活、未成年人的犯罪前科。這幾類信息一旦濫用將對公民個人的人格尊嚴、自由發(fā)展帶來極為不利、不良的影響，也極易成為公權(quán)力機關(guān)及個人“公器私用”的工具，將其列為個人隱私的核心區(qū)域也符合隱私權(quán)保障私生活安寧的最初語義與價值射程。

在刑事訴訟中區(qū)分個人敏感隱私信息與一般個人信息，主要目的在于貫徹比例原則的精神，對于偵查機關(guān)干預(yù)個人敏感信息的行為設(shè)置更為嚴格的啟動條件與審批程序，比如在啟動條件上應(yīng)當(dāng)踐行最后手段原則，即只有在常規(guī)偵查手段和收集一般個人信息之后方可例外干預(yù)公民個人敏感信息，偵查機關(guān)申請干預(yù)個人敏感信息時應(yīng)當(dāng)對上述啟動條件加以證明。再比如，干預(yù)公民敏感隱私信息的審批程序應(yīng)當(dāng)適用最為嚴格的法律程序，在當(dāng)前的法律規(guī)范內(nèi)應(yīng)比照技術(shù)偵查措施的審批程序進行，未來隨著法治化程度的提升，應(yīng)當(dāng)率先實行司法審查式的外部審批程序。

結(jié)語

在本文行將結(jié)束之時，我們?nèi)杂斜匾厮菪缘貙徱曄卤疚拈_頭提出的“用信息換安全”這一命題。信息社會的本質(zhì)要素就是信息，信息的流動與共享是社會發(fā)展的主要驅(qū)動力，在這種社會發(fā)展形態(tài)中作為社會控制機制之一的刑事司法系統(tǒng)必然需要發(fā)展各類秘密監(jiān)控手段與能力，公民個人通過讓渡一部分信息權(quán)享受了信息社會帶來的便利與發(fā)展成果，包括更為安全甚至是“天下無賊”的純凈和諧的社會環(huán)境。從這個意義上講，“用信息換安全”是信息社會的內(nèi)在要求與必然結(jié)果。一方面，“用信息換安全”的價值權(quán)衡過程與其他交易過程一樣，本身就是存在風(fēng)險的，任何交易都應(yīng)當(dāng)適度衡量與平衡。在安全的價值追求之外，人類的發(fā)展還需要人格尊嚴、個人自治等更高層次的價值追求，個人信息權(quán)的保障在信息社會中就是人格尊嚴、個人自治等價值得以實現(xiàn)的基本前提。另一方面，公民讓渡出個人信息后，需要一系列健全、嚴密的制度設(shè)計方能保障政府合法、合理的使用個人信息，信息濫用的嚴重后果古今中外的歷史教訓(xùn)比比皆是。如何真正實現(xiàn)“用信息換安全”，除了本文提出的刑事司法既有規(guī)范工具與個人信息保護機制的適度引入兩個路徑之外，我們?nèi)匀恍枰o隨信息技術(shù)的迅猛浪潮持續(xù)探索，并不斷回應(yīng)技術(shù)創(chuàng)新所引發(fā)的規(guī)制難題。