個人信息刑事調取的適用限度與法律規制
2024-01-01 00:00:00錢程
中國海商法研究 2024年2期
摘要:數字時代,偵查機關依托數字信息技術增強數據收集處理能力,提升案件偵破效能。但是,偵查機關泛用刑事調取措施向網絡信息企業調取公民個人信息,存在損害公民隱私權、個人信息權且過度干預企業合法經營的風險。在偵查機關適用信息調取措施的過程中,應當遵循限度理念,即以程序法定原則與比例原則歸正偵查機關信息調取的必要限度,以公民個人信息權利與網絡信息企業合法權益為信息刑事調取劃定適用邊界。強化偵查機關個人信息調取措施的法律規制具體從以下方面進行:其一,完善個人信息刑事調取的程序規范機制,按照任意性偵查措施與強制性偵查措施兩種屬性分別進行法律授權與程序規制,對現有刑事訴訟規范內容予以“信息化”調適,強化對偵查權的法律控制。其二,構建刑事訴訟中公民個人信息保護機制,保障信息主體通過行使信息知情權、信息訪問權、信息更正刪除權等權利直接、積極地進行個人信息保護。其三,優化企業配合刑事執法的權益保護機制,細化企業協助刑事執法義務,建立企業義務豁免機制,調和執法協助義務與數據合規義務的沖突;賦予作為第三方信息控制者的企業必要的權利,使企業能夠以積極方式維護自身的合法權益。
關鍵詞:刑事調取;個人信息權;隱私權;強制性措施;法律規制
中圖分類號:D925.2" 文獻標志碼:A"文章編號:2096-028X(2024)02-0091-12
一、問題的提出
數字時代,海量的公民個人信息處于公共職能機構以及網絡信息企業等第三方控制之下,調取信息數據已成為偵查機關重要的取證方式。從個人信息處理角度分析,個人信息刑事調取的過程存在“偵查機關—個人信息控制者一個人信息主體”的三方結構,偵查機關繞過公民個人信息主體,對作為刑事訴訟第三方的信息控制者采取調取措施以實現信息收集。偵查機關調取的個人信息呈現體量龐大、類型眾多的特點,既包括一般信息,也存在隱私信息。在大數據技術助力下,偵查機關進行信息挖掘、整合,能夠對信息主體形成更全面、具體的數字人格認知與社會活動軌跡再現,以尋找案件線索與證據。實踐中偵查機關通過信息調取措施廣泛獲取實時視頻信息、電子通訊信息以及行動軌跡信息,顯著提升案件偵破能力與辦案效率。如2020年包頭警方通過調取基站數據和公路卡口視頻信息偵破大型詐騙犯罪,共搗毀犯罪團伙8個,抓獲團伙成員15名,核查串并案件48起,涉案價值259萬余元。參見《每天呼出6萬個詐騙電話!8個犯罪團伙被搗毀》,載澎湃網2021年1月24日,https://m.thepaper.cn/baijiahao_10923628。
但是,偵查機關在獲享信息調取措施提升辦案效能紅利的同時,也誘發信息調取措施不當適用侵犯信息主體權利和信息處理者權益的隱患。中國刑事訴訟法律規范整體上生成于傳統的、物理性質的社會環境,而非數字化、信息化環境,現行程序法內容對數字技術帶來的沖擊尚未進行有效的制度反應。參見錢程:《刑事訴訟中個人信息保護研究》,中國政法大學2023年博士學位論文,第119頁。目前中國的刑事訴訟法律規范中,信息調取措施內容呈現授權色彩,整體規范密度較低,未對偵查機關信息調取權進行嚴格的程序控制。《最高人民法院、最高人民檢察院、公安部關于辦理信息網絡犯罪案件適用刑事訴訟程序若干問題的意見》(簡稱《辦理信息網絡犯罪案件刑事程序意見》)明確將公安機關向網絡服務提供者調取電子數據的行為作為信息網絡犯罪案件的取證手段予以規定,并對公安機關在刑事偵查中調取個人信息的措施進行初步程序規范,但對于偵查措施法律屬性的界定仍不明晰,對偵查機關信息調取權的程序控制仍顯不足。在規則便利與技術便利的助推下,偵查機關以調取之名廣泛獲取第三方尤其是互聯網企業控制的公民信息,參見裴煒:《論個人信息的刑事調取——以網絡信息業者協助刑事偵查為視角》,載《法律科學(西北政法大學學報)》2021年第3期,第82-83頁。存在偵查機關濫用信息調取權、不當限制公民個人信息權和網絡信息企業權益的隱患。一方面,制度層面調取措施發動條件較低,無明確的程序限制,偵查機關基于執法便利傾向于以此方式獲取第三方控制的信息數據,且為全面獲取信息,偵查機關往往以“整體打包”方式調取信息,致使大量與案件無關的公民個人信息被調取。如“順亨汽貿公司走私普通貨物案”中,偵查機關向網絡服務商調取30個涉案郵箱中的20萬封電子郵件,但這些郵件并非均與案件具有關聯性。偵查機關的“打包式”調取導致信息實際調取范圍遠超案件偵查所需的應調取范圍,電子郵件所承載的公民通信自由和通信秘密權、隱私權等基本權利被不當干預。參見謝登科:《論偵查機關電子數據調取權及其程序控制——以〈數據安全法(草案)〉》第32條為視角》,載《環球法律評論》2021年第1期,第60頁。另外,實踐中存在偵查機關以調取之名長時間、持續性獲取公民實時位置信息的做法,此行為屬于以持續性、秘密性、實時性方式獲取相對人的信息,對公民隱私領域存在干預的可能性,行為屬性當屬技術偵查措施。偵查機關以刑事調取為名行技術偵查之實,得以規避技術偵查措施嚴格的適用條件與審批程序。其后,所獲取的信息材料也無需按照技術偵查措施的相關要求進行刪除銷毀。信息調取措施在制度層面的模糊處遇使得偵查機關以不合比例的方式干預公民個人信息權與隱私權,但信息主體對此不知情,權利保障問題因權利被隱秘干預的事實而淡化。參見張建偉:《司法的科技應用:兩個維度的觀察與分析》,載《浙江工商大學學報》2021年第5期,第49頁。另一方面,偵查機關大量且持續增加的信息調取行為會加重第三方信息控制者履行配合偵查義務的成本,且企業并不因履行配合偵查義務而被免除數據合規義務,依然要承擔未經信息主體同意披露個人信息的責任,以及用戶信任喪失造成的經濟利益損失。網絡信息企業處于配合偵查義務與履行數據合規義務的矛盾中,往往對配合調取持模糊甚至消極態度,“滴滴順風車司機殺人案”中滴滴公司未及時提供信息以及“美國圣貝納迪諾槍擊案”中蘋果公司拒絕提供槍擊案襲擊者手機的破解技術即是典型例證。
基于此,有必要對刑事訴訟中偵查機關調取公民個人信息的相關問題予以解決:刑事程序中公安機關針對企業調取信息的行為屬性為何,其適用的邊界性何在?如何有效規制偵查機關信息調取行為以平衡打擊犯罪、維護社會安全與保護個人信息、維護企業權益之間的關系?筆者對個人信息刑事調取行為的法律屬性進行分析,并從偵查機關權力運行、公民個人信息權利保護、網絡信息類企業權益保護三個維度討論此措施適用的必要限度,在此基礎上探索個人信息刑事調取的法律規制路徑。
二、個人信息刑事調取的法律屬性之辨
偵查機關調取數據行為在刑事訴訟法中的屬性尚不明確,存在任意性偵查措施、強制性偵查措施,以及依目標信息數據的類型及其承載公民權益判斷調取屬性等多種觀點論爭。個人信息刑事調取的法律屬性直接影響權力配置、適用程序方面的制度設置,應先行解決個人信息刑事調取措施屬性這一基礎問題。
(一)制度層面個人信息調取的法律屬性不明
在刑事程序規范層面,現有司法解釋和部門規章對偵查機關調取數據信息的法律屬性界定存在些許矛盾,導致信息調取措施法律處遇不明,程序控制方式模糊。《中華人民共和國刑事訴訟法》(簡稱《刑事訴訟法》)第54條對公安機關向有關單位和個人收集、調取證據進行概括性授權,電子數據隸屬法定證據種類,此授權條款應當包括信息數據類證據形式。但是,《刑事訴訟法》未具體闡述調取的適用程序,難以判斷調取措施的法律屬性為強制性偵查措施抑或任意性偵查措施。《人民檢察院刑事訴訟規則》(2019年)第169條、《公安機關辦理刑事案件程序規定》(2020年修正)第174條、《辦理信息網絡犯罪案件刑事程序意見》第12條將調取作為不限制被調查對象人身、財產權利的措施進行列舉,可見,這三個規范將刑事調取界定為任意性偵查措施。但是,《公安機關辦理刑事案件電子數據取證規則》第41條、《中華人民共和國數據安全法》(簡稱《數據安全法》)第35條均規定調取數據應當經過審批手續。《數據安全法》所要求的“經過嚴格的批準手續”這一審批要件與技術偵查措施的審批程序措辭一致,且“經過嚴格的批準手續”這一表述在《刑事訴訟法》中僅用于技術偵查措施,故而引發調取措施是否與技術偵查措施屬性同為強制性偵查措施的疑問。參見王仲羊:《調取電子數據的三重維度與優化路徑》,載《北京航空航天大學學報(社會科學版)》2023年第1期,第66-68頁。鑒于《數據安全法》未對數據調取措施的審批主體、適用程序進行更具體的設置,難以判斷數據調取措施與技術偵查措施的具體適用程序是否相同。刑事調取措施在制度層面的屬性尚不明確,偵查機關往往將其作為任意性偵查措施適用。相較于強制性偵查措施,信息調取措施具有明顯的執法便利,即發動的法律門檻低,程序要件寬松,但調取的信息類型多樣、信息量級龐大,調取方式簡單、操作不繁瑣。為規避強制性偵查措施嚴格的程序適用要件,實踐中存在偵查機關以信息調取措施代替技術偵查措施的做法,即偵查機關向第三方信息控制者調取信息主體實時性、動態性信息,而不適用以“實時監控”為代表的技術偵查措施,以規避技術偵查措施嚴格的適用條件和審批程序。參見吳桐:《科技定位偵查的制度挑戰與法律規制——以日本GPS偵查案為例的研究》,載《中國刑事法雜志》2020年第6期,第83頁。
(二)個人信息刑事調取措施的法律屬性界定
在界定個人信息調取措施法律屬性之前,需要明確此措施具有以下特點。第一,在個人信息處理流程中,偵查機關調取個人信息的行為屬于信息收集行為,而非偵查機關應用大數據技術進行信息查詢等信息分析行為。第二,偵查機關調取個人信息為間接信息收集方式,適用于作為個人信息控制者、個人信息處理者的刑事訴訟中的第三方,而非適用于個人信息主體本身。偵查機關調取的范圍限于處于第三方控制下的靜態、已經生成的信息,持續性、實時性的動態信息收集屬于技術偵查措施,而非信息調取措施。第三,個人信息調取措施與查封、扣押措施不同。在多數信息調取的場景中,第三方均需履行配合偵查的法定義務,應提供信息并予以必要的技術支持。若第三方拒絕配合,偵查機關一般通過查封、扣押措施控制數據載體,進而實現信息的強制獲取。此情形并不需要對信息調取措施法律屬性進行界定,查封、扣押本身均屬于強制性偵查措施。此處所討論的法律屬性存疑的個人信息刑事調取措施為第三方同意調取并予以配合情況下,偵查機關的個人信息收集行為是否為強制偵查措施。
偵查措施屬性界分不以行使直接強制的有形力作為標準,而是以侵害被處分者基本權利作為標準,參見[日]田口守一:《刑事訴訟法》(第7版),張凌、于秀峰譯,法律出版社2019年版,第54-55頁。一旦對人民基本權的行使產生部分或全部的影響,便屬基本權之干預,參見林鈺雄:《干預保留與門檻理論——司法警察(官)一般調查權限之理論檢討》,載《政大法學評論》2007年第96期,第199頁。此偵查措施即為強制性偵查措施。中國未形成德國基本權利干預的三步式判斷標準,偵查措施屬性判斷相對困難,個人信息調取措施以隱私權、個人信息權作為干預對象,其法律屬性判斷更加復雜。在判斷調取信息類型的基礎上,還需結合信息關聯性、信息量級及信息主體是否放棄權利等因素進行綜合判斷。參見何軍:《數據偵查行為的法律性質及規制路徑研究》,載《中國人民公安大學學報(社會科學版)》2021年第1期,第78頁。個人信息刑事調取措施屬性判斷需要進行以下兩重因素分析。
1.判斷偵查機關調取信息的類型和量級
根據偵查機關調取的個人信息類型進行判斷,以隱私性作為界分標準,將調取信息分為一般信息與隱私信息。隱私權是公民基本權利,應保護公民的私人領域免受公權力機關無端干涉。隱私的本質即蘊含對公共領域和私人領域的界分,在有效界定公私領域的基礎上,將公權力行使限定在私人領域之外,以隱私權抵御公權力的無端侵入。基于隱私權權利主體“不欲為他人知曉”的內在訴求,當偵查權侵入個人隱私時,必然帶有強制性,以此得以解釋緣何偵查機關對公民私人空間進行的搜查被視為強制性偵查措施,而對公共空間進行的勘驗被視為任意性偵查措施。參見裴煒:《論個人信息的刑事調取——以網絡信息業者協助刑事偵查為視角》,載《法律科學(西北政法大學學報)》2021年第3期,第90-91頁。故而,當偵查機關調取的信息類型為公民一般信息時,信息調取措施為任意性偵查措施;當偵查機關調取的信息類型為公民隱私信息時,此措施因干預公民基本權利,當屬強制性偵查措施。對于隱私信息的判斷,從對泄露該信息是否會給信息主體帶來權利損害、社會大多數人對某類信息的敏感度等因素綜合判斷信息的隱私程度。參見胡文濤:《我國個人敏感信息界定之構想》,載《中國法學》2018年第5期,第235頁。有實證研究將中國公民敏感隱私信息列為“通話記錄、私人信件、私人生活空間、私人照片和錄像、性取向和性生活、醫療記錄、財務信息、身份證號碼等12項內容”。參見吳標兵、許和隆、張宇:《中國公眾隱私敏感度實證研究》,載《南京郵電大學學報(社會科學版)》2015年第3期,第82-90頁。除了已列舉的典型的隱私信息,還存在大量公民個人信息游走于一般信息與隱私信息之間,無法單項、直接地判斷其信息類型,難以判斷偵查機關對此類信息的收集處理是否會干預公民隱私權與個人信息權。對于此類信息,往往需要結合信息處理者所處理的信息量級以及各種信息之間的關系綜合判斷。
美國對偵查機關運用GPS和視頻監控設備收集公民位置信息、行動軌跡信息,運用手機通聯信息記錄調取公民通訊信息等措施均以是否侵害公民隱私合理期待的標準進行分析,United States v. Jones,565 U.S. 400(2012).結合偵查措施干預公民個人信息的隱私程度與信息數量兩個因素綜合判斷是否將干預行為納入美國《憲法第四修正案》的保護范疇。Paul Ohm,The Many Revolutions of Carpenter,Harvard Journal of Law amp; Technology,Vol.32:357,p.362-363(2019).如果偵查機關干預的信息數量和信息含量是大量的、顯著的,則措施侵害性較強,一般認為此種措施侵犯隱私合理期待,將此措施界定為搜查行為。Renée McDonald Hutchins,Tied up in Knotts?GPS Technology and the Fourth Amendment,UCLA Law Review,Vol.55:409,p.409-466(2007).欲啟動搜查程序需要事先申請令狀,治安法官審查警察所提供的證據材料,認為符合“可能理由”標準方能頒發搜查令。若偵查機關收集的信息不具有隱私合理期待,則信息收集行為不以搜查程序進行規制,程序啟動要求較低,即具備合理懷疑,法院即可頒發法院令。參見田芳:《技術偵查中個人信息保護的法理研究》,法律出版社2021年版,第246-248頁。可見,美國通過公民個人信息的隱私程度與偵查機關收集的信息數量兩個因素判斷相應信息收集行為是否應納入美國《憲法第四修正案》的保護范疇。此判斷的依據為馬賽克理論,即單個數據點是單一的瓦片,從其自身角度看似乎并無意義,但當與其他數據點結合時,會呈現一個寬廣、全面的圖像,就像許多瓷磚組合在一起創建的馬賽克圖案。Robert Fairbanks,Masterpiece or Mess:The Mosaic Theory of the Fourth Amendment Post-Carpenter,Berkeley Journal of Criminal Law,Vol.26:1,p.73-75(2021).
2012年“United States v. Jones案”中,美國聯邦巡回上訴法院即運用馬賽克理論闡釋偵查機關GPS追蹤行為緣何構成搜查行為,其提出,偵查機關連續28天運用GPS追蹤器監控犯罪嫌疑人行動軌跡,通過持續性地獲取特定主體位置信息、行動軌跡可以完整描繪個人活動,揭露其個人隱私。美國聯邦最高法院認為,偵查機關的長期秘密監控侵犯了公民對隱私的合理期待,構成美國《憲法第四修正案》意義上的搜查。
United States v. Jones,132 S.Ct.955(2012).在信息技術時代,國家公權力機關收集信息如同設置馬賽克圖案一般,成千上萬看似平常無害的信息經過分析、設置、整合后,可以呈現前所未見的整體面貌。Halkin v. Helms,598 F.2d 1(D.C.Cir.1978).公民個人對于單一的、零碎的信息或許主觀上并沒有遭受侵害之感受,但大量的信息累積、聚合能夠拼湊出公民的隱私信息,參見王正嘉:《使用GPS定位之隱私秘密無故侵害》,載《月旦法學教室》2020年第199期,第26頁。公權力機關廣泛的信息收集與深度處理存在隨時侵入并干預公民隱私領域的風險。Osborn v. United States,385 U.S. at 343(Douglas,J.,Dissenting.)
鑒于偵查機關調取個人信息的量級、信息之間的關系會影響對調取措施屬性的判斷,在對信息調取措施屬性進行分析時,應當將這兩種重要影響因素納入考量范疇,即結合調取公民信息類型、調取信息的量級、信息之間的關系三重因素綜合判斷信息調取措施的法律屬性。當偵查機關調取的信息為公民隱私信息時,調取措施為強制性偵查措施,當偵查機關調取的信息為公民一般信息時,調取措施為任意性偵查措施;當偵查機關調取的信息難以直接判斷為隱私信息,但所涉信息種類眾多、信息量級較大、信息間關聯性強,通過信息挖掘、整合能夠拼湊出隱私信息時,信息調取措施當屬強制性偵查措施。
2.判斷信息主體是否同意采取調取措施
根據調取信息類型、調取信息量級等因素并不能絕對性地得出個人信息調取措施的法律屬性,如果信息主體同意調取,則存在屬性轉變的可能,即如果信息主體同意偵查機關從第三方調取其個人信息,即便調取的信息為隱私信息或調取的信息類型、量級足以整合成隱私信息,此信息調取措施仍為任意性偵查措施。
在刑事偵查理論中,強制性偵查措施與任意性偵查措施以偵查機關干預行為是否未經偵查措施相對人同意即是否實質上侵害或者威脅相對人基本權利為區分標準,強制性偵查措施需具備未經相對人同意并實質干預其基本權利兩個要素。權利人放棄權利會對偵查措施屬性產生影響,即強制性偵查措施因權利人放棄權利而不具有強制干預性,轉化為任意性偵查措施。但是這種權利放棄必須是偵查措施相對人在熟知權利的內容和放棄的后果的情形下作出,而非不知情下的默示棄權。參見宋英輝等:《刑事訴訟原理》(第3版),北京大學出版社2014年版,第188-191頁。
這一點在搜查制度中可以得到佐證,若相對人同意偵查機關進行搜查,則偵查措施為任意性偵查措施,無需搜查證即可進行;若無相對人同意,偵查機關經批準或依職權進行搜查,則屬于適用強制性偵查措施。參見孫長永:《偵查程序與人權——比較法考察》,中國方正出版社2000年版,第93頁。但是,作為第三方的信息控制者無權代表信息主體放棄其個人信息所承載的基本權利,信息主體與信息控制者達成的信息處理合意僅限于授權信息控制者處理其個人信息,而非信息主體放棄信息自決權,允許信息控制者代行此權利。故而,偵查機關適用信息調取措施時,第三方信息控制者同意并配合調取并不意味著調取措施為任意性偵查措施,但是若獲得信息主體同意,調取措施即為任意性偵查措施。
三、個人信息刑事調取適用的三重限度
偵查機關適用個人信息刑事調取措施需遵循“限度思維”。參見李延舜:《個人信息刑事調取行為的法律規制》,載歐陽本褀主編:《東南法學》第6輯,東南大學出版社2022年,第118頁。具體而言,存在三重限度,其一為權力之限,即以程序法定原則與比例原則對偵查權的運行進行限制;其二為權利之限,即以公民權利為偵查機關信息調取行為設定限度,不得過度干預公民隱私權與個人信息權;其三為權益之限,即以網絡信息企業權益為偵查機關信息調取行為設定限度,不得對企業科以過重的配合義務。
(一)個人信息刑事調取適用的權力之限
偵查機關適用個人信息刑事調取措施的第一重限度為權力之限,即偵查機關權力行使應當遵循程序法定原則與比例原則,偵查權應當在必要限度內以合法、合比例的方式運行。
1.偵查機關適用個人信息刑事調取措施應當遵守程序法定原則
刑事程序法定原則要求刑事訴訟中公權力干預公民個人基本權利必須具有合法的授權,干預行為應符合法律明定的程序要件,程序行為的后果具有明確性與必然性。參見陳衛東、程雷:《刑事程序合法性原則論綱》,載《法律科學(西北政法學院學報)》2004年第1期,第91頁。 依據前文對個人信息刑事調取措施的屬性分析,信息調取措施兼具任意性偵查措施與強制性偵查措施的屬性,當調取對象為隱私信息且信息主體未棄權時,偵查機關進行信息調取為強制性調取;當第三方信息控制者拒絕配合調取,偵查機關通過查封、扣押信息載體方式實現信息獲取時,也屬強制性偵查措施。強制性偵查措施只有在符合法律規定的實體要件和程序要件的前提下才可以適用,目前刑事訴訟法缺乏對個人信息刑事調取措施的明確授權與程序規范,強制性信息調取措施缺乏明確的制度依據。適度限制偵查機關的信息調取權,應當以刑事程序法定原則為歸正依據,以刑事訴訟法對偵查機關適用個人信息調取措施進行明確授權和程序規范,具體規定信息調取措施的程序適用范圍、程序啟動要件、程序審批主體和執行主體、程序監督與救濟措施等多方面內容。參見卞建林、錢程:《大數據偵查的適用限度與程序規制》,載《貴州社會科學》2022年第3期,第82頁。
2.偵查機關適用個人信息刑事調取措施應當遵守比例原則
偵查權的行使應當受到比例原則的限制,即在立法劃定限度內合理、必要、妥當地運行,如此才能保證不過度干預公民權利,達到程序正確性要求。德國刑事司法實踐中形成了較為成熟的比例原則審查經驗,即法院主要結合案件中犯罪行為的嚴重程度、偵查措施的發動條件、偵查措施對公民權利的干預程度等多種因素進行綜合判斷,衡量偵查措施的適用是否符合比例原則。參見艾明:《新型監控偵查措施法律規制研究》,法律出版社2013年版,第89頁。以1990年“Nordrhein-Westfalen邦電子搜索追緝案”為例,德國聯邦憲法法院按照比例原則要求進行實質審查,認為警察機關運用電子搜尋追緝措施不具備“現時危險”,即損害事件并未發生或已經開始,也并無幾乎確切之幾率即將發生。參見“Nordrhein-Westfalen邦警察法上之電子搜索追緝是否侵犯信息自決基本權”裁定,載《德國聯邦憲法法院裁判選輯(十三)》,中國臺灣地區司法機構印行2011年版,第233頁。在缺乏具體危險的現實條件下,適用電子搜尋追緝措施對于公民基本權的干預程度與所欲達到的目的之間未形成合理、必要、適度的均衡關系,一定程度上干預措施的適用所造成的“受限制之利益”超過“受保證之利益”,不符合比例原則。參見黃清德:《科技定位追蹤監視與基本人權保障》,元照出版公司2011年版,第277-278頁。
偵查機關適用個人信息調取措施應當遵守比例原則,具體包括以下三項要求。其一,偵查機關的個人信息調取行為應當符合適當性原則要求,即調取行為與調取目的之間的關系是適宜的、妥當的、可欲的。偵查機關信息調取行為涉及的個人信息范圍不應超出干預行為欲實現的目的,即禁止不限范圍、不限時限地收集、處理公民個人信息。應當限定偵查機關調取公民個人信息只能應用于刑事案件的犯罪偵查,不得用于一般行政執法活動與常態化維穩等用途。當偵查機關信息調取措施目的已經成就或喪失時,應當立即終止調取行為,并應采取信息封存、信息刪除等措施防止此前的信息調取措施持續性干預信息主體的權利。參見裴煒:《刑事訴訟中的個人信息保護探討——基于公民信息保護整體框架》,載《人民檢察》2021年第14期,第10頁。其二,偵查機關的個人信息調取行為應當符合必要性原則要求,即在可達目的的多種干預手段中,個人信息調取措施應當是對相對人權利損害最小、干預強度最低的手段。參見劉權:《論必要性原則的客觀化》,載《中國法學》2016年第5期,第178頁。若可通過調取非隱私信息或調取措施可以告知信息主體并獲得其同意,則偵查機關應當盡可能采取干預程度低的任意性調取措施,而非強制性調取措施。必要性原則與個人信息保護原則中的目的限制原則一致,即偵查機關調取個人信息應基于刑事訴訟目的,并將調取行為的影響范圍、影響程度盡可能限于可以實現處理目的的最小范圍、最低程度,不得過度處理信息。參見卞建林、錢程:《刑事訴訟法與個人信息保護法的銜接》,載《國家檢察官學院學報》2023年第6期,第150頁。其三,偵查機關的個人信息調取行為應當符合均衡性原則要求,即偵查機關信息調取措施所干預的公民基本權利與干預行為所保護的權益形成狹義比例關系,調取措施雖是達成目的所必要的,但是不可給予公民超過調取目的之價值的侵害。參見姜昕:《比例原則釋義學結構構建及反思》,載《法律科學(西北政法大學學報)》2008年第5期,第47-48頁。
(二)個人信息刑事調取適用的權利之限
偵查機關適用個人信息調取措施的第二重限度為權利之限,即以公民隱私權與個人信息權為偵查機關的個人信息調取行為設定限度,規范個人信息調取措施的適用,防止其不當適用損害公民合法權利。
偵查機關適用個人信息調取措施存在不當干預公民權利的風險,表現為兩個方面:其一,偵查機關過度調取公民個人信息存在全景式監控風險。目前偵查機關廣泛適用信息調取措施,以秘密的、持續的、便利的、廉價的方式控制大量公民個人信息,通過對信息主體基本身份信息、生物識別信息、主要社會關系、就學就醫信息、消費記錄信息、高頻行動軌跡等信息的分析處理能夠輕易地、完整地描繪公民的數字人格,以無形方式侵入其隱私領域,對公民進行全景式監控。Susan Freiwald amp; Stephen W. Smith,The Carpenter Chronicle:A Near Perfect Surveillance,Harvard Law Review,Vol.132:205,p.209-221(2018).“而且,相比私人對個人信息的非法侵擾,來自國家的不當干預更令人難以察覺,也更難予以抵御。”趙宏:《從信息公開到信息保護:公法上信息權保護研究的風向流轉與核心問題》,載《比較法研究》2017年第2期,第35頁。公民個體與偵查機關的個人信息處理能力相差懸殊,信息主體往往并不知曉偵查機關實施了信息調取行為,導致信息主體很難判斷風險是否發生、何時發生、緣何發生,更無從談及主動抵御這種風險的發生。在泛監控環境中,公民對個人信息自主權、隱私安全缺乏控制力,信息主體個人自治、生活安寧、公正對待以及信息安全四項法益均受到威脅。其二,偵查機關不當調取公民個人信息存在埋藏刑事司法錯誤、侵害公民實體權利的風險。刑事司法容錯率低,如若偵查機關調取的個人信息存在不準確、不完整問題,或者后續個人信息處理行為中存在技術性偏差問題,均可能引發公安司法機關就案件事實、證據作出錯誤判斷。目前刑事程序中個人信息權缺位,如果偵查機關向第三方調取的信息存在錯誤或瑕疵,信息主體對調取行為及后續信息分析行為不知情,難以通過更正權進行信息修正、補充,則錯誤信息會進入后續刑事程序,可能影響最終裁判結果。刑事程序中因信息質量瑕疵導致無辜公民被錯誤抓捕的事例在執法實踐中屢次出現,如佛山市公安局某派出所將李某身份信息錯誤登記,使其有了“吸毒前科”,警方未及時更正信息,導致李某在半年內被誤抓5次。參見《男子因派出所身份登記錯誤半年被誤抓5次》,載法邦網2011年12月14日,https://www.fabao365.com/news/875956.html。2007年至2010年媒體陸續曝光22起因個人信息錄入錯誤而引起的網上通緝誤認事件,參見王彥學:《論網上通緝誤認》,載《中國人民公安大學學報(社會科學版)》2010年第6期,第91頁。均是個人信息處理不當造成刑事訴訟程序適用錯誤的佐證。此問題在國外刑事司法實踐中也曾出現,根據英國《每日電訊報》報道,英國犯罪記錄管理局因工作失誤將1 570名無辜公民錯誤登記為罪犯,其中大量公民因錯誤的犯罪記錄難以正常求職。Christopher Hope amp; Whitehall,Criminal Records Bureau Errors Lead to Hundreds Being Branded Criminals,The Telegraph(2 August 2009),https://www.telegraph.co.uk/news/uknews/law-and-order/5962174/Criminal-Records-Bureau-errors-lead-to-hundreds-being-branded-criminals.html.
以公民權利為偵查機關的個人信息調取行為設定限度的理由在于偵查機關適用信息調取措施會對信息主體個人信息權、隱私權形成限制,信息主體雖同意信息控制者按照合意處理其個人信息,但并未放棄個人信息所承載的基本權利。個人信息承載著自主、隱私等多重價值,信息主體認識到其同意信息處于第三方控制下存在風險,并不代表著信息主體必須承擔風險,抑或是全然放棄其他的權利保障。Richard A. Epstein,Privacy and the Third Hand:Lessons from the Common Law of Reasonable Expectations,Berkeley Technology Law Journal,Vol.24:1199,p.1204(2014).事實上,信息主體與個人信息之間的聯結在信息流動過程中并未被斬斷,公民對刑事訴訟中第三方控制的信息依然保有合理的隱私期待。參見林海偉:《平臺控制下個人信息數據的權利配置:對第三方原則的雙重反思》,載《治理研究》2023年第3期,第143頁。偵查機關在向第三方調取公民個人信息的過程中,不能無視公民作為信息主體享有的權利,無限度干預其隱私權與個人信息權。以公民隱私權與個人信息權為偵查機關的個人信息調取行為設定限度,能夠運用個人信息權全面、積極保護個人信息的優勢,發揮《中華人民共和國個人信息保護法》中個人信息保護規則對偵查機關信息調取行為的規范作用,強化對偵查機關適用個人信息調取措施引發權利侵害的防范作用。“權利之限”作用的發揮通過“權利肯認—權利行使”路徑來實現,即在憲法層面對公民個人信息權利予以肯認,以個人信息基本權利樹立國家公權力信息處理者與公民信息主體之間的關系屏障,通過限制公安司法機關不當收集和使用個人信息,避免國家公權力大范圍、高強度地介入私人生活和私人領域,防止國家在處理個人信息過程中侵害公民人格尊嚴與自由發展。相較于隱私權有限保護的特點,個人信息權對公民個人信息進行的是全面保護,信息主體能夠以積極方式行使權利,防范偵查機關個人信息調取措施引發的侵害風險。信息主體通過對偵查機關從第三方調取的個人信息提出查詢、異議、修改、刪除,有助于保證偵查機關收集、使用個人信息的準確性。公民作為信息主體能夠以積極方式對偵查機關調取其個人信息行為的合法性、合理性提出質疑,有助于規范偵查機關的信息調取行為,制約偵查權不當擴張。
(三)個人信息刑事調取適用的權益之限
偵查機關適用個人信息調取措施的第三重限度為權益之限。實踐中大量信息控制者為網絡信息企業,偵查機關適用信息調取措施對第三方信息控制者權益會形成限制。企業的經營權為偵查機關的信息調取措施又劃定了一道邊界,要求偵查機關合法且適當地適用信息調取措施,不得無視信息控制者的合法權益,過度限制甚至侵害了企業權益。
實踐中,偵查機關適用信息調取措施對網絡信息企業經營權形成的干預集中體現在以下三個方面。
其一,偵查機關數量眾多且持續增加的信息調取行為導致信息控制者履行配合義務的成本升高,企業經營負擔加重。以美國蘋果公司為例,2013年至2022年蘋果公司收到的世界范圍內調取設備信息、賬戶信息的請求在持續攀升,以設備信息為例:2013年上半年世界范圍內執法機關向蘋果公司提出調取設備信息請求(含美國)共計12 442件,蘋果公司提供9 249件,占比74%;2022年上半年世界范圍內執法機關向蘋果公司提出調取設備信息請求(含美國)共計29 022件,蘋果公司提供22 228件,占比77%。Transparency Report,Apple,https://www.apple.com/legal/transparency.執法機關提出請求數增加約133.26%,蘋果公司提供數增加約140.33%,對于持續、高速攀升的信息提供請求,網絡信息企業配合執法義務的成本也隨之升高,產生了不小的經營壓力。
其二,刑事執法權的強制性與法定義務履行的無條件性使得企業除配合偵查機關調取外幾乎別無選擇,但是,企業無條件、大規模交付用戶個人信息易引發用戶信任危機,造成用戶流失。作為信息主體的用戶,在授權網絡信息企業控制并使用其個人信息時,往往并未預判其信息可能用于刑事偵查,也并不希望其個人信息進入刑事程序,這種不被期待的信息處理行為可能損害用戶對企業的信任。用戶因擔心個人信息泄露,可能認為企業在配合偵查機關信息調取過程中未有效履行事前提醒義務、信息交付審查義務,從而拒絕企業繼續提供信息技術服務,不再向企業交付個人信息。信息網絡企業依托用戶交付信息獲取經濟利益,若因用戶信任危機造成用戶流失,企業將難以維持并擴充用戶規模,這將直接影響企業經濟利益。2006年,美國司法部向谷歌發送傳票,要求谷歌披露其用戶近兩個月的網絡搜索記錄,用以證明過濾軟件無法有效限制兒童訪問網絡色情內容,但遭到谷歌拒絕,谷歌認為司法部調取用戶搜索記錄的要求可能會損害公眾對谷歌的信任,并暴露其商業秘密,Yuki Noguchi,Judge Says Google Must Hand Over Search Records,The Washington Post(15 March 2006),https://www.washingtonpost.com/archive/business/2006/03/15/judge-says-google-must-hand-over-search-records-span-classbankheadfirm-ordered-to-comply-with-narrower-subpoenaspan/3 9bad66e-784b-4b69-a73f-85dc15507dda.失去用戶信息的潛在風險對谷歌而言是一種負擔。Gonzales v. Google,Inc.234 F.R.D. 674,683(N.D.Cal.2006).
其三,企業向偵查機關交付用戶個人信息,存在數據合規困境。信息主體與網絡信息企業達成處理其個人信息的合意,企業負有保護權利人個人信息不被第三方任意處理的義務,此義務對內表現為公司行為的合規控制。參見王仲羊:《電子數據調取中企業合規義務的困境與應對》,載《中國社會科學報》2023年7月25日,第7版。目前法律法規并未將配合刑事偵查作為企業數據合規義務的免除事由,也未為企業履行兩種義務設置協調機制,致使兩種義務之間發生沖突。當企業優先履行配合偵查義務時,則陷入數據合規困境,用戶因個人信息未得到保護主張企業承擔相應責任,用戶信心的喪失將直接造成企業經濟利益受損。若企業優先保護用戶個人信息,則違反法定配合偵查義務,且存在影響偵查、延誤破案的嚴重后果。2018年“滴滴順風車司機殺人案”即是典型例證,滴滴公司就該案發布的聲明體現了企業在履行配合偵查義務中面臨的數據合規困境:“就這次沉痛教訓,我們懇請與警方以及社會各界探討更高效可行的合作方案,共同打擊犯罪,更好地保護用戶的人身財產安全。我們也希望能聽到社會各界的建議和經驗,如何在保護用戶隱私的同時,避免延誤破案的時機。”《滴滴8月27日起在全國范圍內下線順風車業務》,載《潯陽晚報》2018年8月27日,第A14版。域外也出現過相似案件,在2008年的“K.U. v. Finland案”中,芬蘭國內法院與歐洲人權法院對于偵查機關能否以打擊網絡兒童色情犯罪案件為目的,強制網絡信息業者披露用戶身份信息存在不同觀點。芬蘭國內法院鑒于當時芬蘭國內法禁止信息處理者未經信息主體同意向第三方披露個人信息,支持網絡信息業者以保護用戶隱私信息為由,拒絕偵查機關調取信息的要求。K.U. v. Finland,ECtHR,application no. 2872/02.但是歐洲人權法院認為,網絡用戶的隱私權利并不是絕對的,此類保障有時必須服從于其他合法要求,例如防止騷亂或犯罪以及保護公民權利和自由,Adam Bodnar amp; Dorota Pudzianowska,Violation of the Right to Respect for Private and Family Life in the Case of K.U. v FINLAND,Human Rights House Foundation(3 December 2008),https://humanrightshouse.org/articles/violation-of-the-right-to-respect-for-private-and-family-life-in-the-case-of-k-u-v-finland.并提出“立法者負有積極的義務協調彼此沖突的權利保護需求”。Laurens Lavrysen,Protection by the Law:The Positive Obligation to Develop a Legal Framework to Adequately Protect ECHR Rights,in Yves Haeck amp; Eva Brems eds.,Human Rights and Civil Liberties in the 21st Century,Springer Netherlands,2014,p.69.從網絡信息業者角度分析,“立法者負有積極的義務”也包括在立法層面以明確規定解決網絡信息業者在保護用戶個人信息義務與配合刑事偵查義務方面的履行沖突,使網絡信息企業從數據合規困境中解脫。
網絡信息企業在參與塑造自由開放的數字生態環境、促進數字經濟增長中扮演著重要角色,其合法權益不容忽視。對網絡信息企業而言,義務的履行有先后,義務的履行也有限度。參見李延舜:《刑事數據調取中網絡服務提供者的角色定位及關聯義務》,載《法學》2023年第1期,第161頁。刑事訴訟中相關單位與個人負有配合偵查以及提供信息材料的義務,此義務的價值在于控制并懲罰犯罪,維護國家和社會的安全利益,此義務的履行具有優位性,但并非無履行邊界。沒有絕對的用戶個人信息保護,也沒有絕對的不受限制的公權力。刑事訴訟中第三方在履行法定配合偵查義務過程中,其自身合法權益也應當得到保護。在“信息主體—信息控制者—偵查機關”這一復合關系結構中,偵查機關對網絡信息企業采取刑事調取措施,此措施干預企業合法權益,因此應以符合比例原則的方式進行,以最低程度干預信息控制者權益,且不得對網絡信息企業科以過重的配合義務,以免影響企業正常經營。
四、個人信息刑事調取的法律規制路徑
強化偵查機關個人信息調取措施的法律規制可從以下三方面進行,即完善個人信息刑事調取的程序規范機制,構建刑事訴訟中公民個人信息保護機制以及優化企業配合刑事執法的權益保護機制。
(一)完善個人信息刑事調取的程序規范機制
完善個人信息刑事調取的程序規范機制的總體思路為對現有刑事訴訟規范相關規定進行“信息化”調適,為個人信息刑事調取措施提供明確的法律授權,并按照任意性偵查措施與強制性偵查措施兩種屬性分別進行程序規范設計,在制度層面落實程序法定原則與比例原則,強化對偵查機關信息調取措施的法律規制。
其一,明確個人信息任意性調取措施的授權依據與程序規范。《刑事訴訟法》第54條第1款的規定屬于概括性授權,能夠為偵查機關采取任意性調取措施提供法律依據,但有必要進行規則細化,明確授權范圍以及具體的程序適用規范。在“偵查機關—信息控制者—信息主體”的關系結構中,信息主體同意將信息交予信息控制者并非當然地意味著其放棄數據信息權利,但是調取措施的間接性使得信息主體對自身信息的控制力降低,且信息控制者一般會注明個人信息可能會為第三方所知悉的格式條款,信息主體在一定程度上存在對自身信息被信息控制者再度處理的預見性。當偵查機關信息調取的對象為公民一般信息,或信息主體同意偵查機關從信息控制者處調取其個人信息時,信息調取措施屬于任意性偵查措施。《刑事訴訟法》第54條能夠為偵查機關采取任意性調取措施提供授權依據,但是有必要明確規定:除非信息主體同意,否則調取信息范圍限于一般信息,不得以概括性方式調取隱私信息。任意性調取措施的啟動由偵查人員自行決定,以關聯性作為信息調取范圍的判斷標準,制作調取通知書,注明需要調取的信息范圍,將告知書送達信息控制者。啟動任意性調取措施的判斷標準較低,單純要求偵查機關說明其所采取的干預措施有助于厘清犯罪事實的理由,達到關聯性標準即可。當警察以特定人為對象而對其個人信息權、隱私權采取較為輕微的干預措施時,至少應達到關聯性標準,說明所欲取得的個人信息或多或少有助于證明或否定犯罪事實,參見黃政龍:《美國行動電話定位追蹤法規范研究》,載《警大法學論集》2010年第18期,第206-207頁。這往往用于鎖定或排除犯罪嫌疑人。
其二,構建個人信息強制性調取措施的授權依據與程序規范。《刑事訴訟法》第54條將刑事調取措施概括性界定為任意性偵查措施,當調取信息量級低、內容為一般信息的對象時,偵查機關調取措施的合法性基礎尚可成立。參見劉文琦:《沖突與彌合:個人信息刑事調取的數字轉型與法律因應》,載中國知網2024年3月6日,http://kns.cnki.net/kcms/detail/62.1015.C.20240304.1346.002.html。當調取對象為高量級、隱私信息,且主體未棄權時,隸屬強制性偵查措施的信息調取行為則缺乏正當性依據。根據刑事程序法定原則,偵查機關干預公民基本權利必須具有合法授權、干預行為應符合法律規定的程序要件,且《人民檢察院刑事訴訟規則》《公安機關辦理刑事案件程序規定》《公安機關辦理刑事案件電子數據取證規則》等規范對于信息調取措施適用的差異規定也需要《刑事訴訟法》統一解決。故而,刑事訴訟法層面應明確信息調取措施為獨立的偵查措施,對偵查機關啟動強制性調取措施進行具體授權以及明確的程序設置。第一,明確隸屬強制性偵查措施的個人信息調取行為需符合兩個要件:其一,調取信息類型為隱私信息,即偵查機關調取的信息屬于公民隱私信息,或調取信息的數量、關聯程度達到足以拼湊出隱私信息的程度;其二,權利主體并未棄權,即信息主體并未同意第三方信息處理者將其控制的信息交付偵查機關,或信息主體對于偵查機關調取其個人信息并無知情可能。第二,明確偵查機關啟動強制性調取措施的程序規定,以解決目前強制性調取措施發動門檻過低、在實踐中被濫用的問題。具體而言,欲發動強制性信息調取措施,偵查機關應提出適用信息調取措施的書面申請,寫明法律依據、被調取的第三方基本信息、所欲調取的信息類型與信息范圍,并闡明特定事實連同依據該事實所作出的合理推論使其相信犯罪活動正在進行,以及其所欲獲取的信息材料與特定事實之間存在合理推論關系。第三,確立檢察機關對強制性調取措施的審批權,并保留偵查機關對強制性調取措施的緊急決定權。一方面,由檢察機關對偵查機關啟動強制性調取措施的申請進行審查,認為達到合理懷疑標準即可批準程序啟動申請。鑒于法院審查這一理想化的司法令狀的方式與中國當前強制性偵查措施權力分配的現實存在較大差異,目前考慮由檢察機關對偵查機關發動強制調取措施進行審批,旨在發揮檢察權制約偵查權的功能,防止偵查權運行缺乏程序控制、偵查機關恣意啟動強制調取措施,造成對相對人權利的侵害。參見貝金欣、謝澍:《司法機關調取互聯網企業數據之利益衡量與類型化路徑》,載《國家檢察官學院學報》2020年第6期,第137-138頁。另一方面,為防止錯過案件最佳偵破時間,在規定檢察機關審批權的同時,保留偵查機關的相對決定權,即在緊急且必要的情況下,偵查機關有權自行決定向第三方強制調取信息數據。
其三,有效銜接信息調取措施與查封、扣押措施的關系。若第三方信息控制者拒絕配合信息調取措施,偵查機關欲繼續取證則需轉為使用查封、扣押方式控制信息載體,進而實現信息的強制獲取。制度層面需為調取措施與查封、扣押措施提供銜接路徑,即在《刑事訴訟法》中增設“有關單位或個人拒絕配合偵查機關調取或不如實提供相關信息,依據查封與扣押的相關規定進行處理”,進而以《刑事訴訟法》第136條至第145條的查封、扣押規范作為強制獲取信息的合法依據,但是有必要完善
具體程序。具體而言,偵查機關應提出查封、扣押信息載體的書面申請,寫明法律依據、適用對象、所欲調取的信息類型與信息范圍,并闡明所欲獲取的信息材料與特定事實之間存在合理推論關系。同時,改變目前由辦案部門負責人內部審批的方式,以外部審查代替內部審查,由檢察機關對查封、扣押措施的啟動進行審查批準,認為達到合理懷疑標準時可批準程序申請。
(二)建立刑事訴訟中個人信息權利保護機制
目前中國刑事訴訟制度層面的個人信息權缺乏獨立的話語體系,公民缺乏直接的、積極的方式實現個人信息保護,難以抵御刑事程序中公權力機關對其個人信息權利的不當干預。刑事訴訟領域應當明確建立個人信息權利保護機制,為公民個人信息保護提供直接的制度支持。具體而言,在制度層面對個人信息權予以肯認,以隱私權與個人信息權共同作為個人信息保護基礎,建立“隱私權—個人信息權”復合型權利保護模式。“隱私權—個人信息權”保護模式在現有隱私權制度建設基礎上,引入個人信息權,以隱秘性、私密性作為標準對公民個人信息保護程度進行界分,對隱私信息予以高強度保護,對一般信息予以次高強度保護。個人信息權具體內容包括信息主體享有信息知情權、信息決定權、信息訪問權、信息更正權、信息刪除權以及解釋說明權,信息主體通過直接、主動地行使以上權利能夠在信息處理前、處理中、處理后進行信息全程性保護,彌補隱私權消極防御的不足。
個人信息權項下的子權利在不同信息處理場景下的適用程度不同,基于刑事司法具有較高程度的封閉性與強制性,信息主體權利的行使必然受到一定程度的限制。在偵查機關個人信息調取措施適用過程中,應當保障信息主體的信息知情權、訪問權、更正權、刪除權以及解釋說明權。其一,信息知情權是行使其他權利的基礎,為保障信息主體知情權的實現,制度層面應明確規定:偵查機關負有信息處理的告知義務,此義務可由第三方信息控制者協助或代為履行。在不妨礙刑事訴訟順利進行的前提下,應盡可能地保障信息主體的知情權,使其知曉調取行為。如果存在及時告知有礙偵查的法定情形,偵查機關與信息控制者可以采取延遲告知、事后告知的方式。一般情況下,應告知信息主體偵查機關調取的法律依據和信息內容,如果存在不應告知調取內容的法定事由,則僅告知信息主體存在偵查機關調取信息的行為。參見裴煒:《論個人信息的刑事調取——以網絡信息業者協助刑事偵查為視角》,載《法律科學(西北政法大學學報)》2021年第3期,第93頁。其二,信息主體在知曉偵查機關調取其個人信息后,如果對調取信息的完整性、準確性存疑,可申請進行信息訪問;經訪問核查,調取信息確實存在錯誤或遺漏的,信息主體有權要求修正、補充信息,保證進入刑事程序的信息客觀、準確。其三,若偵查機關所調取的個人信息在刑事程序中已無正當目的需要對其進行處理,信息主體可以主動行使刪除權,請求不再留存其個人信息,避免被偵查機關在缺乏正當目的的情況下進行后續信息處理。
(三)優化企業配合刑事執法的權益保護機制
在偵查機關適用信息調取措施的過程中,網絡信息服務者的配合執法義務體現為提供其收集存儲的信息以及必要的技術協助。作為刑事訴訟中的第三人,其協助執法義務是有限度、有邊界的,制度層面不應對其科以過重的執法義務,尤其對于企業型第三人,不得過度擠壓其作為經營主體享有的合法權益。優化企業配合刑事執法的權益保護機制應從以下兩方面展開。
一方面,制度層面細化企業的配合刑事執法義務,調和執法協助義務與數據合規義務的沖突。其一,明確企業履行配合刑事執法義務的優位性,但對配合程度設定必要的限制。相較于企業數據合規義務,企業配合刑事執法義務具有履行的優位性,此優位性需以明確的法律規定為依據,以正當程序和比例原則為保障,避免對企業科以過重的義務。參見裴煒:《刑事數字合規困境:類型化及成因探析》,載《東方法學》2022年第2期,第162頁。應對配合刑事執法義務設定必要限制,即不能與企業合法經營目的存在本質沖突,如果對企業經營目的、經營活動產生實質性損害,則屬于要求其過度履行協助義務,企業有權拒絕配合。其二,建立企業協助偵查的豁免機制,支持企業拒絕偵查機關不符合程序規范的協助要求。以網絡信息企業豁免協助信息調取為例,企業通過內部審查機制對信息調取主體、信息調取類型與范圍等內容進行形式審查,如果存在調取主體不適格、調取內容不明確、被調取的信息主體不存在相關信息、調取程序不符合法定條件、調取措施缺乏法律依據等問題,則企業有權拒絕配合調取或延遲配合調取。參見劉甜甜、李卓毅:《向網絡服務提供者調取電子數據的性質重釋與程序完善》,載《河北法學》2024年第3期,第199-200頁。其三,設置刑事偵查中信息控制者告知義務免責機制與告知義務豁免機制,紓解網絡信息企業的數據合規困境。網絡信息企業作為信息控制者,負有保護其用戶個人信息的義務,未經信息主體同意向偵查機關披露信息可能引發數據合規責任,需要在刑事訴訟制度或信息數據保護制度層面設置履行告知義務免責機制與告知義務豁免機制為信息數據企業適度解綁。告知義務免責機制是指,除存在法定保密事由、緊急情形等不適宜告知因素外,允許作為信息控制者的網絡信息企業依法告知信息主體關于偵查機關信息調取的基本情況,網絡信息企業不因告知行為承擔干擾偵查的法律責任。告知義務免責適用應屬于常態化情形,而當存在法定保密事由、緊急情形或告知可能妨礙偵查等特殊情形時,啟動告知義務豁免機制,免除網絡信息企業告知用戶其個人信息被調取的責任。參見唐云陽:《網絡服務提供者“雙重義務”的內在沖突及協調路徑》,載《西安交通大學學報(社會科學版)》2023年第4期,第167頁。
另一方面,在制度層面賦予作為第三方信息控制者的企業必要的權利,使企業能夠以積極方式維護合法權益。其一,抗辯權。在公安司法機關對信息控制者啟動刑事調取等信息干預措施時,信息控制者享有抗辯權,即有權就公安司法機關干預措施發動的法律依據與事實依據、信息調取范圍等提出抗辯。其二,申訴權。在公安司法機關向信息控制者調取其控制的信息過程中,如公安司法機關違反法律規定調取信息、查封與扣押信息載體,信息控制者有權提出申訴或控告。對于此申訴控告,受理機關應當及時處理。對于處理結果不服的,信息控制者可以向同級檢察院或上一級檢察院申訴。檢察機關經過審查核實,認為公安司法機關調取數據行為確實違反法律規定的,通知有關機關及時糾正違法行為。其三,求償權。《刑事訴訟法》對證人履行作證義務產生的費用設置補助,但是沒有關注同為刑事訴訟中第三人的網絡信息企業在履行法定義務中承擔的經濟成本。網絡信息企業在配合公安司法機關獲取信息數據的過程中,提供人員、設備、技術等方面的支持均會產生經濟成本,尤其對于小型、微型企業,這種負擔相對更重。在刑事訴訟制度層面應當賦予信息控制者求償權,對其在配合公安司法機關進行信息調取等活動中付出的經濟成本予以補償,以減輕企業履行配合偵查義務的壓力,提高配合的積極性。
五、結語
數字時代,偵查機關廣泛應用個人信息調取措施提升辦案效能,但在獲享刑事執法便利與效率紅利的同時,也存在過度限制公民個人信息權利、網絡信息企業合法經營權的風險。為保障數字時代法治中的實質公正性與程序正確性,參見李忠操:《數字法治的法理解析:形式、實質與程序》,載《中國海商法研究》2023年第4期,第52頁。強化刑事程序法治建設,應當在刑事訴訟制度層面對偵查機關的信息調取措施進行
必要的法律授權和有效的程序控權,設定偵查機關信息調取權力的合理運行限度,設置符合刑事程序法定原則、比例原則的程序規范。筆者對數字偵查場域強化偵查機關個人信息調取權的程序控制、構建公民個人信息權的獨立話語體系、完善網絡信息企業配合偵查義務機制進行初步探討,從權力運行、權利保護、權益保護三個維度劃定個人信息調取措施的適用限度,對刑事調取措施規范進行“信息化”調適,強化數字時代偵查權的法律控制,平衡數字時代懲罰、追訴犯罪與保障公民權利、企業權益之間的關系。《十四屆全國人大常委會立法規劃》將《刑事訴訟法》再次納入,這是《刑事訴訟法》的第四次修改,也是數字信息技術和刑事訴訟程序深度融合背景下的《刑事訴訟法》修改。期待此次修法對數字時代偵查措施轉型以及信息數字類權利保護予以關注,直面數字時代對刑事訴訟的挑戰,有效規制數字偵查措施,強化公民個人信息權利保護與企業信息數據權益保護。
The Applicable Limitation and Legal Regulation of Criminal Retrieval to Personal Information
QIAN Cheng
(Law School,Dalian Maritime University,Dalian 116026,China)
Abstract:In the digital age, investigative agencies rely on digital information technology to enhance data collection and processing capabilities and improve case detection efficiency. However, while investigative agencies enjoy the benefits of information retrieval measures to improve case handling efficiency, they also induce the hidden dangers of improper application of information retrieval measures to infringe on the rights of information subjects and the rights of information processors. At present, in criminal procedure legal norms, the content of information retrieval measures presents an authorization color, the overall normative density is low, and there is no strict procedural control over the investigative agencies’ rights to retrivel information. Driven by convenient rules and technologies, investigative agencies obtain a wide range of citizen information controlled by third parties, especially Internet companies, in the name of retrieval, which hides the risks of investigative agencies abusing their rights to obtain information and improperly restricting citizens’ personal information rights and the rights and interests of Internet information companies. In the process of investigative agencies applying information retrieval measures, they should follow the concept of limits. Specifically, there are three limits. The first is to clarify the operating limits of investigative power, that is, to restrict the operation of investigative power based on the principles of statutory procedures and proportionality, and to restore the necessary limits of information retrieval by investigative agencies. The second is to play the restrictive role of citizens’ rights, that is, to set limits on the information retrieval behavior of investigative agencies based on citizens’ rights, and not to excessively interfere with citizens’ privacy rights and personal information rights. The third is to play the restrictive role of the legitimate rights and interests of information processors, that is, to set limits on the information retrieval behavior of investigative agencies based on the rights and interests of network information companies, and not to impose excessive cooperation obligations on companies. Strengthening the legal regulation of the investigative agencies’ personal information retrieval measures is carried out in the following aspects: First, improve the procedural normative mechanism for criminal retrieval to personal information, and carry out legal authorization and procedural regulation according to the two attributes of arbitrary investigative measures and mandatory investigative measures, and make “informatization” adjustments to the existing criminal procedure norms to strengthen the legal control of the investigative power. Second, establish a mechanism for protecting citizens’ personal information in criminal proceedings, recognize the basic right of personal information at the institutional level, and use privacy rights and personal information rights as the basis for personal information protection. That is, on the basis of the existing privacy system, introduce personal information rights to ensure that information subjects can directly and actively protect their personal information by exercising the right to know information, the right to access information, the right to correct and delete information, and other rights, as well as make up for the shortcomings of the passive defense of privacy rights. Third, optimize the right protection mechanism for enterprises to cooperate with criminal law enforcement, refine the obligations of enterprises to assist in criminal law enforcement, establish an exemption mechanism for enterprises, and reconcile the conflict between the obligation to assist in law enforcement and the obligation to comply with data regulations; grant enterprises as third-party information controllers the necessary rights so that they can safeguard their legitimate rights and interests in an active manner.
Key words:criminal retrieval; personal information rights; privacy rights; mandatory measures; legal regulation
基金項目:2024年度中央高校基本科研業務費專項資金資助項目“個人信息刑事調取的適用限度與法律規制”(3132024317)
作者簡介:錢程,女,法學博士,大連海事大學法學院講師。
