刑事偵查中的公民個人信息保護

胡錦濤，馬亞雄

中國人民公安大學 犯罪學學院，北京 100038

在探討公民個人信息保護這一話題之前，需要先對信息和個人信息的含義有一定認識。信息是指數據或資料經過處理后可以提供為人所用的內容，它能夠直接起到識別的功能，使事物的不確定性減少[1]。個人信息也應具有可識別性這一特征，它是明確個人信息內容和范疇的標準。此外，可識別性也是其他國家、地區定義個人信息的普遍做法。因此，本文認為，公民個人信息是指與公民個人有一定關聯且可以識別特定自然人的信息。

大數據時代的到來，信息的廣泛傳播和利用在為我們的工作和生活帶來方便的同時，也對公民個人信息保護賦予了更高的要求。互聯網不僅具有海量的存儲空間，還具有超強的記憶功能，大量的公民個人信息被儲存其中，給信息主體帶來了困擾。公安機關在刑事偵查工作中需要收集、存儲、利用公民個人信息，難免會與公民個人權利發生些許摩擦。信息社會的到來凸顯出公民個人信息之前所未展現的價值，也引發了關于公民個人信息保護的討論熱潮[2]。但是，當前民法、刑法、行政法領域的個人信息保護立法及相關研究都取得了相應進展，唯獨在刑事司法執法領域對公民個人信息權的干預始終被視為法律規制的例外，業已成為個人信息保護的短板[3]。相較于普通警察行政活動，具有司法權性質的偵查權在某些特殊情況下具有一定的強制性和秘密性，在收集、使用公民個人信息時一般也很難被信息權利人所知曉，因而在監督監管不嚴的情況下容易對公民個人信息、隱私權利造成侵犯。

一、刑事偵查中公民個人信息保護現狀

(一)刑事偵查中公民個人信息保護的立法現狀

1.積極保護與消極保護相結合

以法律法規中對公民個人信息保護的態度為標準，有積極保護和消極保護兩種。刑事偵查工作中的積極保護主要體現在法律規范對公民個人信息的收集、保存和利用等方面的要求上。在公民個人信息的收集方面，法律對于刑事偵查機關的信息采集行為作了較為細致的規定。其中有原則性的規定，如《中華人民共和國國家安全法》第五十二條規定，公安機關、國家安全機關、軍事機關依法搜集情報信息，明確了刑事偵查機關應當依法進行信息收集。除此之外，還有其他方面的具體規定。在公民個人信息的保存和使用方面，法律規定相當豐富，主要可以分為命令性規范和禁止性規范。

法律規范的消極保護是指對一定范圍內的公民個人信息依據規定予以公開或者在行為人應當提供而未提供某些信息導致一定后果由其自行承擔。《中華人民共和國刑事訴訟法》(以下簡稱《刑事訴訟法》)第一百三十八條第二款規定，在執行逮捕、拘留的時候，遇有緊急情況，不用搜查證也可以進行搜查；第八十二條規定，對于不講真實姓名、住址，身份不明的現行犯或者重大嫌疑分子，可以先行拘留。

2.概括性保護與具體性保護相結合

對于刑事偵查工作中公民個人信息的立法保護，既有概括性的對所有訴訟參與人的個人信息的保護，也有從微觀方面針對不同訴訟參與主體采取的單獨的保護。《刑事訴訟法》第二條規定了“國家尊重和保障人權，保護公民的人身權利、財產權利、民主權利和其他權利”，是憲法保障人權規定的更具體體現。這一法條概括性地對公民個人權利進行了保護，公民個人信息自然也在其保護之列。

現行法律中更多規定了對公民個人信息的具體性保護。第一，針對犯罪嫌疑人的個人信息保護。《刑事訴訟法》第一百四十一條規定，在偵查活動中發現的可用以證明犯罪嫌疑人有罪或者無罪的各種財物、文件，應當查封、扣押；與案件無關的財物、文件，不得查封、扣押。第二，針對被害人個人信息的保護。《刑事訴訟法》第六十四條規定，對于被害人因在訴訟中作證，本人或者其近親屬的人身安全面臨危險的，公安機關應當采取不公開其真實姓名、住址和工作單位等個人信息或者其他措施予以保護。第三，針對證人、鑒定人等其他訴訟參與人個人信息的保護。《刑事訴訟法》第一百一十一條規定，報案人、控告人、舉報人如果不愿公開自己的姓名和報案、控告、舉報的行為，應當為他保守秘密。此外，《刑事訴訟法》第六十四條也有相關規定。

(二)刑事偵查中公民個人信息保護的實踐現狀

偵查立案之后，為順利偵破案件，偵查機關需要收集各類相關信息并對其妥善存儲、分析利用，這些信息中涉及到犯罪嫌疑人、被害人、證人、案外人的個人信息，因此，偵查機關收集、存儲、使用公民個人信息的每一階段，都必須重視對信息的保護。

1.刑事偵查中信息收集階段對個人信息的保護

(1)刑事偵查中信息收集階段對犯罪嫌疑人的個人信息保護

我國刑事偵查過程中，很多地方都體現出對犯罪嫌疑人個人信息的保護。如刑事偵查立案后，由偵查機關進行預審對已經掌握的證據材料進行核準，以避免侵犯公民權利的情況出現。

偵查機關在查封、扣押、凍結涉案物證、書證時，出于日后偵查的需要難免會查封、扣押過多的現場物證、書證，這其中必然包含個人敏感信息和與案件關聯不大的信息，此時，偵查人員就不應利用公權力過分調查嫌疑人的信息，而只需對與案情無關的個人信息妥善保管或者予以退還、刪除。大數據時代越來越多的信息以電子數據的形式存在，無論是普通的偵查措施中，還是技術偵查，都牽涉電子數據取證的問題。在網絡海量信息存儲的情況下，涉案信息數據往往只占其中極小比例，而偵查人員卻可能接觸到被追訴人生活、工作等方面的私人信息[4]。例如，手機通信記錄、微信聊天記錄的提取，監控錄像的利用以及地理位置的定位等，都與公民個人信息具有緊密的聯系。有時，警方為了盡快破獲案件，利用官方身份或者非官方身份在互聯網平臺發布案情并號召網友提供線索，但是無論是在警方發布案情方面還是網友踴躍提供線索方面都很難規制，容易對公民的個人隱私信息造成侵犯，失去刑事偵查打擊犯罪兼顧保障人權的根本目的。

(2)刑事偵查中信息收集階段對被害人的個人信息保護

被害人是遭受侵害的最直接主體，保護其合法權益不受侵害是刑事訴訟活動的根本目的之一。然而，刑事訴訟活動主要以維護國家利益為目標，往往忽視被害人在訴訟中的權利。在刑事訴訟活動中，被害人的權利主要掌握在偵查機關和檢察機關的手中，有時其自身的一些權益無法得到全面有效的保障。在訴訟中，被害人的地位更像是“特殊的證人”，其作為案件的直接受害者，對于案情的了解自然較他人更為詳細而真實。然而，在進行指控作證時，被害人個人的人身、財產等信息難免會進一步泄露或者曝光，不僅會對其人格尊嚴帶來傷害，還有可能因為信息的擴散遭到打擊報復。

(3)刑事偵查中信息收集階段對證人的個人信息保護

證人能夠提供與案件有關的線索，有助于還原案情的真相，特別是偵查階段，在偵查陷入僵局后，證人的看似不起眼的證據都可能會引導偵查方向轉向正確的道路，起到“柳暗花明又一村”的效果。刑事案件發生后，證人能夠提供部分案件的信息，不管其作為控方證人還是辯方證人，都需向偵查機關陳述其知悉的事實，而在這一過程中難免會面臨一定的危險，包括受害人一方和犯罪嫌疑人一方都有可能為了己方利益采取打擊報復的行為。實務中，偵查機關向證人收集證據時往往會采取電話通知等方式，以免給證人帶來心理壓力。此外，在偵查訊問中，通常會提前進行偵查策略的制定，探討哪些證言證詞可用哪些不可用，以免在與犯罪嫌疑人周旋中不慎泄露證人的相關信息，將證人置于危險境地。特別是在當前掃黑除惡斗爭大力開展時期，黑惡勢力盤根錯節，證人本來就有畏懼心理，一旦偵查機關對其個人信息保護不利，將有可能造成不良后果。

2.刑事偵查信息存儲中對公民個人信息的保護

為有效打擊犯罪，進入21世紀以來，公安機關一直在創建信息資源庫，對公民個人信息進行收集存儲，以輔助犯罪預測和案件偵破。如轟動一時的甘肅白銀殺人案件，在社會上引發極大恐慌，受制于當時的技術條件落后，直到2016年公安機關通過案發時采集留存的嫌疑人生物檢材進行比對，才最終發現潛藏多年的罪犯。由此可見，妥善保管偵查工作中采集的個人信息不僅是公民個人信息權利保障的要求，同時也有利于案件的偵破。偵查機關出于偵查破案的需要會采集大量的信息線索，為保障其安全和后續的分析利用，需要將其存儲在特定的媒介并保障其安全。在信息的存儲管理中，不能隨意使用，應當在個人信息采集的目的范圍內予以使用。個人信息的存在形式多種多樣，采集的方法也各有不同，其信息存儲媒介也不相同。例如，磁介質、光介質等存儲形式既安全又可以保障信息的完整。然而，關于信息的存儲并沒有統一的規定，不同級別的公安機關采取不同的存儲方式，有時會忽視了個人信息的性質差別，不利于個人信息的存儲和后續交流使用。

3.刑事偵查信息使用中對公民個人信息的保護

偵查機關對公民個人信息的使用包括調取、查詢、分析、信息公開、數據共享等方面，公民個人信息的使用是一把雙刃劍，合理使用有利于案件的偵破，不當使用則可能造成嚴重后果。然而，當前我國偵查機關對于合法收集到的個人信息的科學管理和使用意識仍有待提升，且相關機構并沒有針對這些重要信息建立內部預防和規制機制。實踐中也存在個別人員在對收集到的公民個人信息查詢、分析、共享等方式上表現得十分隨意，并沒有履行相應的“告知—同意”義務，特別是在通過大數據技術分析個人信息以及與其他機關、組織之間信息共享等對個人信息權利干預較大的情況下。因此，一定要杜絕通過數字證書違規查詢他人個人信息并使用于非法渠道，嚴重侵犯公民的個人信息權利、造成惡劣影響的問題出現。

二、刑事偵查中公民個人信息保護存在的問題

(一)現行法律方面的問題

一方面，隨著個人信息價值的凸顯，對于公民個人信息的保護越來越重要[5]。另一方面，刑事訴訟中，對于公民個人信息的保護仍有待提高。

1.法律形式上缺乏系統性規范

在之前的現狀分析中，可以發現無論是在《刑事訴訟法》還是其他法律中，涉及公民個人信息的規定只見于散落的條文中，對于公民個人信息的保護缺乏系統性，導致實踐中問題較多。如《刑事訴訟法》第二百七十九條規定公安機關可以對未成年嫌疑人的成長經歷、犯罪原因等情況進行調查，但是對于偵查機關如何調查未成年的相關信息卻沒有明確規定，這不利于未成年人個人信息的切實有效保護。還有第一百三十二條規定，偵查機關可以提取嫌疑人指紋信息，采集血液、尿液等生物樣本，但是對于如何儲存、轉移、刪除這些敏感個人信息則沒有具體規定，在實踐中極易侵犯個人權利。

2.公權力的授權多于公民賦權

在現行法律規范中，有大量條文對公安機關收集和使用公民個人信息行為進行了授權，如《刑事訴訟法》中規定，人民法院、人民檢察院和公安機關有權向有關單位和個人收集、調取證據。此外，有關法律中還規定了組織和公民個人的協助、配合義務，如《中華人民共和國反恐怖主義法》中規定“有關單位和個人應當如實提供”，《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)中規定了網絡運營者對公安機關偵查犯罪提供支持和協助的義務。但是，關于公民個人信息權利的賦權性規定卻很少見，《網絡安全法》中雖然規定了個人信息的刪除權，但是針對的是網絡運營者的行為，對公權力機關的不當行為沒有具體規定。公民個人信息權利沒有得到足夠的重視，目前在刑事訴訟這一封閉性較強的階段，較難實現公民權利對公權力的制約。

(二)公安機關內部存在的不足

1.偵查人員認識不到位

由于傳統思想的影響，長期以來，公安機關較少關注偵查工作中公民個人信息保護問題。部分公安民警出于盡快破案或者對嫌疑人的敵視，有時隨意地收集、使用公民個人信息，特別是進入大數據時代后，個人信息的采集更加方便、快捷，部分警務人員對于大數據偵查沒有形成正確的認識，對個人信息的收集、使用沒有限制，忽視了公民的個人信息權利。相較于普通的警務活動，刑事偵查活動的強制性和秘密性更加明顯，偵查人員所能獲得的權限也更大，因而一旦對個人信息安全的重要性沒有足夠的認識，將帶來一定的不良后果。

2.內部缺少制約和規制

這個日子是適合滑翔的，天清氣朗，萬里無云。隨著族長一聲哨響，數十只碩大的滑翔翼，在經過一段距離的助跑推動后，從高高的山巔沖騰而出。一瞬間，天空都被這些絢麗繽紛的翅膀所遮蓋。

從目前我國有關警察權的內部監督的結構來看，存在著法制部門監督、督察部門監督、信訪部門監督等多部門共同監督。雖然在公安機關內部的閉環系統有所體現，如派出所值班負責人及法制部門在閉環系統內，審核民警上傳的各類案件數據資料，一定程度上約束了警務人員的程序性行為，但對公民在網絡等虛擬形式中的信息收集、挖掘、碰撞、分析等行為是無法涉足的。

3.信息保護技術存在缺陷

當前，公安系統內網雖然和互聯網是隔離開的，但是由于移動存儲設備的不當使用，有時會造成內網與互聯網的間接連接，增加了公安信息系統被入侵的風險。此外，大數據往往采取分布式的方式存儲，其存儲路徑視圖較為清晰，導致信息保護較為簡單，給個人信息的存儲帶來安全風險[6]。當前，公安刑偵信息管理系統的組織管理、安全維護等方面亟須改進和完善。公安機關的數據存儲系統面對大數據時代的挑戰，還有待進一步完善和加強。

(三)外部監督監管存在的問題

1.缺少專門信息保護機構

首先，缺少統一的信息監管機構容易導致監管漏洞，使得部分偵查人員逃避監督檢查成為可能。其次，偵查中的收集、利用個人信息行為涉及一些技術操作，特別是大數據時代秘密性、技術性更強，因而對實施監督管理的人在業務素質能力上有更高要求，沒有統一的監管機構進行有針對性的操作，將很難達到有效的監督效果。最后，沒有外部專門機構的監督，偵查機關內部的監管存在不透明性，內部人員、部門之間可能互相通氣，疏于監督管理，最終導致侵犯公民個人信息的行為出現。

2.檢察監督制約功能弱化

檢察機關作為國家監督機關，在公安機關刑事偵查活動中發揮著監督作用。但是在監督方式上主要靠審查案卷資料來發現公安機關偵查人員是否存在不符合法定程序的行為，而偵查人員侵犯公民個人信息的行為形式多樣，導致很難通過簡單的資料審查進行監督。此外，當前刑事偵查工作中對于電子數據的提取和證據轉化工作基本在偵查機關內部完成，實施電子數據取證與數據鑒定的通常為偵查機關內部的同一批人馬。檢察機關的監督往往不能涉及，因此，在操作中容易侵犯公民個人信息。

3.法院事前審批程序虛置

(四)相對人權利保障和救濟方面的問題

一方面，侵犯個人信息責任追究缺位。從對個人信息保護的現有法律可以發現，其對于偵查機關收集、調取公民個人信息等行為作出了程序規定，但對于公安機關卻未規定嚴格的責任制度。此外，公安機關收集、利用個人信息的職權與保護責任不匹配，責任分配不能具體到個人，導致個別人員信息保護意識弱化。對于偵查工作中偵查人員有意或無意侵犯公民個人信息的行為，不僅在《刑事訴訟法》中并沒有明確相應的懲罰措施，即沒有規定法律后果；在實際公安工作中也沒有對侵犯個人信息行為的制裁措施進行細化規定，導致偵查中侵犯個人信息現象頻出。如實踐中發現個別偵查人員利用偵查案件的便利私自查詢無關人員個人信息后，各單位往往大事化小，僅由領導對其進行批評，既沒有處分也沒有相應的法律處罰，放縱了行為人。

另一方面，公民個人信息權利缺少保障和救濟。雖然刑事偵查活動出于偵查犯罪和國家安全的需要具有一定的秘密性和強制性，但是也應當遵守個人信息保護法律領域的底線規則，尊重公民個人信息的基本權利，如知悉權、更正權、刪除權等。此外，從刑事偵查實踐來看，公民的個人信息查詢更正權、刪除權也很難得到保障，法律中沒有明確地規定相應的權利和義務，實踐中往往會以偵查秘密為由拒絕相對人的正當權利請求。此外，相對人申訴和救濟渠道單一，公民在個人信息受到侵犯后，缺少有效的申訴救濟渠道。對于刑事偵查機關的違法行為，法律中規定了公民可以提起訴訟，但是對侵權行為的受理僅停留在人身權和財產權上，對于公民其他合法權利并沒有作出相關規定。

三、刑事偵查中公民個人信息保護的可行性建議

(一)完善刑事訴訟領域公民個人信息保護法律體系

1.明確刑事偵查中公民個人信息保護原則

當前我國刑事偵查領域的公民個人信息保護通常被排除在個人信息保護體系之外，相較于民事、行政領域的信息保護，刑事偵查領域已經成為公民個人信息保護體系的短板。

第一，明確信息收集比例原則。刑事偵查中針對公民個人信息保護的比例原則，是指在刑事偵查中收集、使用公民個人信息行為應與要達成的偵查目的相適應，不得過度收集、違法使用公民個人信息。偵查工作中收集、使用個人信息應當限于偵破案件的目的。此外，確實需要干涉個人信息權利時，應當盡量選擇對公民權利侵犯最小的方式。

第二，落實信息收集使用準確性原則。準確性原則應確保個人信息的準確性，只有輸入的信息正確，得出的結果才能是正確的。刑事偵查工作本就對公民的權利干涉較大，一旦發生錯誤對于個人權利的侵犯是不可逆的，其危害也是不言而喻的。特別是當前大數據時代，偵查機關收集、存儲、傳遞、共享、使用個人信息幾乎都是以數據的形式操作，然而如果數據收集不全面、輸入不準確，再精致的算力算法也得不出理想的結果，相反瑕疵可能會被無限放大，結果只會愈行愈遠[7]。

第三，明確信息收集利用知情同意原則。基于個人對其信息所享有的自決權，各國的立法中幾乎都將知情同意作為信息采集時應當遵循的基本原則。雖然知情同意原則多用于民事領域，但是知情同意原則對于刑事偵查領域的公民個人信息收集也有一定的啟示意義。針對敏感個人信息應當嚴格貫徹知情同意原則，以保護個人信息主體的權利。有時出于偵查的需要，采集個人信息可能不能在權利人的同意下進行，也應在緊急狀態解除后或者特殊事由消失后及時告知信息權利人，并保障其相應的權利。而對于一般個人信息應相對淡化知情同意原則，實行較為寬泛的同意標準，以實現偵查效率和保障人權的平衡。

2.細化刑事偵查中個人信息保護規則

(1)明確刑事偵查中個人信息采集的授權

當前，《刑事訴訟法》中雖然對偵查機關的取證行為進行了授權，但是對偵查機關采集個人信息的授權不夠明確、細致，成為偵查實戰中個人信息采集工作受到掣肘或出現濫用職權侵犯人權現象的原因之一。因此，應對偵查機關個人信息采集工作進一步細化授權，根據信息主體的不同以及信息客體的不同分別進行明確授權。偵查階段中相關人員的敏感個人信息，除法律明確授權的情況外都不能隨意采集、使用，即使對于符合條件的信息采集、使用，也要區分人員類型。犯罪嫌疑人人身危險性較大時，對其敏感信息的采集使用范圍可以適當擴大。對于一般個人信息，偵查機關出于維護公共利益的需要或是工作目的的需要，可以通過合法合規的程序進行收集、使用。

(2)規范刑事偵查中個人信息采集的程序

正當程序原則要求偵查機關收集使用公民個人信息時遵守法定程序。因而，應當對偵查機關收集個人信息的程序作出細致的規定，指導公安機關的個人信息采集工作，以程序來規制行為，達到個人信息采集規范化的目的。首先，偵查工作中收集個人信息應當有兩名以上偵查人員同時參與完成，不允許出現一名民警和一名輔警進行偵查取證的現象。偵查工作中應當區分案件當事人與案件相關人，當事人與案件的關系較為密切，在采集相關信息時出于保密的需要，可以不予提前告知，但是事后在情形解除后應及時告知。但是出于案情需要擴大信息收集范圍時，就需要獲取對方的授權，在采集信息前告知對方信息采集者姓名、所屬單位、信息類型、采集途徑、方式、用途以及信息主體享有的權利等。

(二)完善公安機關內部公民個人信息保護體系

1.構建刑事偵查公民個人信息分類分級保護機制

通過分析個人信息的敏感性、可識別性、不可控性等屬性，對個人信息進行分類、分級，并根據相應級別提出有針對性的安全保護措施，以全面地保護偵查工作中的個人信息。針對不同的等級應采取不同的保護力度，包括一般保護、基本保護、重點保護，并對其分別采取相應的安全技術保護手段。一般保護等級的個人信息不涉及個人隱私，很難通過單一的信息識別個人，并且由于其本身處于相對開放的狀態導致其不可控性程度較低。對于基本保護級別的個人信息，有的信息牽涉到個人隱私，有的可以識別到個人，有的共享交換頻繁，一旦泄露對個人的影響較大，因此對于此類信息，偵查機關在非緊急情況下應當履行相應的告知義務，并且不能隨意向外界公開此類信息。收集此類個人信息之后應由可信的安全管理中心統一管理，在分析、共享、交換此類個人信息前需向信息安全管理中心提出請求。重點保護級別的個人信息具有個人獨有的生物特征，一旦泄露會對信息主體的權利造成嚴重影響，因此需要嚴格加以保護。一般情況下，偵查機關應貫徹知情同意原則，注意案件辦理中此類個人信息的保密工作。在對個人信息采集、挖掘、分析、共享等階段要嚴格遵循相應的程序，并通過信息操作溯源技術對偵查人員的行為進行監督和規制。

2.明確偵查機關處理公民個人信息的義務和責任

在偵查工作中，涉及個人信息的主要有偵查機關的收集、存儲、使用信息三個方面。在收集個人信息之前，偵查機關應當評估信息收集的風險性和必要性，如收集個人信息是否可能給相對人的人身、財產以及人格尊嚴帶來損害。在收集個人信息過程中，偵查機關應履行相應的告知義務，在取證范圍內采集個人信息。此外在收集與案件有關的信息時，應注意保密，避免信息泄露給信息權利人帶來不便。對個人信息收集之后，并不是一勞永逸的，偵查機關應當對信息進行評估，對不準確的信息及時更新或更正，與案件無關的個人信息要及時刪除。

3.多角度規制偵查工作中個人信息處理行為

公安機關對于偵查工作中處理個人信息行為的監督可以從事前、事中、事后三個階段分別予以規制。首先，在偵查人員在收集個人信息之前應當經過上級公安機關的審查批準，以確保個人信息采集的客觀性、合法性和關聯性。其次，偵查取證過程中應當至少有兩名偵查人員在場并互相監督取證行為，發現違法或不規范現象及時上報。最后，公安機關法制部門應充分發揮其監督職能，依據法律規定對案件的卷宗進行審核，審查公民個人信息有無受到不當侵犯。

4.運用技術手段加強公民個人信息安全保護

第一，加強對系統安全漏洞修補以及及時更新系統殺毒軟件。在科技高速發展的環境下，公安機關必須對刑偵信息管理系統存在的安全漏洞和相關內網的病毒傳播足夠重視，積極與國內相關軟件公司開展合作，及時更新病毒庫和提供系統漏洞補丁下載，降低公安信息被侵犯的可能性。第二，安全技術防護措施升級。研發數據匿名保護技術、數據水印技術、數據溯源技術等關鍵技術可有效提高保護能力[8]。例如，在查詢平臺背景設置查詢人身份信息的水印，以有效規制查詢人對查詢內容的復制傳播。第三，技術處理個人信息去識別化。個人隱私信息一旦泄露，對公民的人格、尊嚴、名譽乃至身心健康造成的傷害是不可逆的。如果通過對部分涉案信息進行技術處理降低其可識別性，阻斷他人對個人信息的識別路徑，就能實現對個人信息的有效利用，還能降低偵查人員對個人隱私信息的侵犯可能性，實現雙贏的目的。

(三)建立混合監督體系

1.加強檢察機關的監督力度

當前，我國對于此類偵查取證行為并未形成有效的外部監督。德國電子數據取證制度和美國令狀原則都明確了偵查機關的電子數據取證行為需經過司法機關的審核批準。因此，檢察機關應當加強對偵查取證行為的監督和審查。一方面，檢察機關應加強對偵查取證前以及取證過程中的干預，對于技術偵查措施的實施以及對信息權利人干涉性較強的電子數據取證行為，落實檢察機關的外部審批，實行更為嚴格、縝密的審批機制。另一方面，收集個人信息之后，檢察機關應主動對偵查機關采集個人信息的范圍、方式進行事后評估，

2.設置獨立的信息監管機構

為實現對偵查機關收集、使用個人信息行為的監管，保障公民個人信息權利，有必要設立獨立的信息監管機構[9]。歐盟2016/680號指令中提出成員國應針對刑事司法設置獨立的信息監管機構。我國可以建立刑事訴訟領域的獨立信息監管機構。我國負責網絡信息安全監督管理責任的部門主要是國家網信部門，但是其業務范圍與刑事訴訟相去甚遠，難以對刑事訴訟中的個人信息保護問題有效把握。因此，需要建立一個專門的、獨立的刑事訴訟信息監管機構或部門，由其負責偵查機關處理信息行為的監督監測、提供相應的業務指導以及處理個人信息侵權行為的投訴等工作。

3.落實信息收集司法令狀原則

對于技術偵查、電子數據取證等對公民個人權利侵犯可能性較大的偵查行為的實施，僅通過公安機關內部規制是不能達到想要的效果的。從其他國家的經驗來看，提取電子數據的前置性手續一般是司法審查與令狀主義[10]。在2014年雷利訴加利福尼亞案中，美國聯邦最高法院明確了警察必須獲得令狀才能夠提取查閱被逮捕者手機中的電子數據這一原則。因此，我國應明確偵查機關在搜查、扣押特定信息數據之前需要申請司法令狀，并由人民法院在具體的令狀中注明搜查、扣押的事由和范圍，并盡可能詳細地對偵查行為予以指導[11]。

(四)明確懲戒措施和權利救濟機制

偵查工作中，一方面，應構建偵查人員侵犯個人信息的多層級懲戒機制以規制其行為；另一方面，應明確公民享有的信息權利以及權利受到侵犯后的救濟途徑[12]。

1.構建侵犯公民個人信息的懲戒機制

法律的威懾力在于違反法律后承擔相應責任的必然性。偵查機關作為公權力機關，同樣也需要受到法律的規制。在偵查機關內部由法制部門根據公民個人的申訴或者主動審查，對偵查人員取證過程中是否侵犯公民刑事個人信息權利進行初步裁定，如果不服可以尋求其他救濟途徑。分配舉證責任時應考慮到刑事偵查工作的秘密性以及公民相對的弱勢地位，由刑事偵查機關就其偵查權行使中的客觀性、合法性予以說明。如果偵查人員利用職務之便侵犯公民個人信息造成后果較輕、尚未構成犯罪的，可以在單位內部對責任人員進行警告、記過、降職等處分，同時追究領導人員監管不嚴的責任；情節嚴重、造成不良社會影響的，應當追究其刑事責任。

2.明確個人信息權人享有的權利

刑事偵查機關作為打擊犯罪、維護國家和社會安全的國家機關，自然擁有其特權，但是并不代表刑事偵查工作，可以對公民權利隨意侵犯。因而，重申公民在刑事偵查中的個人信息權利對于規制當前偵查權的日益擴張具有重要意義。刑事偵查中個人享有信息查閱訪問的權利對于個人權利的保護非常重要。歐盟2016/680號指令中就規定了刑事司法中信息主體的查閱訪問權，查閱訪問數據的權利對于信息主體，特別是被追訴人意義重大。此外，還應保障信息主體的更正權、刪除權等信息權利，以實現對偵查機關信息處理行為的制約[13]。當個人信息不再被偵查工作需要或者個人撤回之前對偵查機關收集信息的同意，信息主體請求偵查機關刪除其個人信息時，正常情況下應當同意。

3.增加個人信息權利的救濟途徑

首先，保障當事人申請行政復議的權利。偵查人員在對個人信息收集、挖掘、分析和比對處理過程中，若存在程序不當或使用不當的情況，相對人有權申請復議，若情況屬實則撤銷下級機關的決定，同時其材料中獲得的內容不得作為線索或證據使用，視情況予以刪除或銷毀。其次，完善侵犯個人信息案件中的代表人訴訟。此類案件中，受侵犯人較多且所受損失較少，導致維權成本較高。這時，應完善個人信息侵權案件中代表人訴訟制度，規范訴訟的程序和方式，由受害人推選出代表人提起訴訟，以提升訴訟效率減少成本，從而提升其維權的積極性。再次，拓寬公民申訴救濟渠道。可以設立專職監督民警擔任收集管理個人信息的數據檢查官，賦予其受理因數據偏差造成公民隱私權等權益受到侵犯的投訴的職責，接到投訴后立刻查明情況，并為投訴人提供申訴救濟的法律指導。

四、結語

隨著信息時代的到來，公民個人信息的價值愈發重要，一方面，個人信息的安全保護切實關系到個人的基本權利和尊嚴，另一方面，還可能影響到國家和社會的利益。刑事偵查實踐中，由于法律和個人的原因，導致公民個人信息遭受侵犯的情況較為突出，極大地影響了公安機關的形象，破壞了和諧的警民關系。因此，探討這類現象發生的原因，從完善法律、加強監督、落實責任、強化技術保護、完善救濟措施等方面嚴格規范刑事偵查機關的信息行為，對于保護公民個人信息具有重要意義。