司法領域個人信息保護面臨的問題和對策

沈麗飛

（上海師范大學 期刊社，上海 200234）

一、問題的提出

數字時代，隨著互聯網技術與大數據、人工智能等技術的應用，數據信息進入大爆炸時代。在復雜的技術背后，存在共通的基礎，即對海量信息的收集使用，其中就包含對公民個人信息的收集使用。在此背景下，人們在享受信息高速傳播紅利的同時，也面臨信息失控的風險。對公民個人信息不加控制地無序收集和任意處理，不僅會威脅公民個體的隱私、財產和人身安全，也會給社會秩序甚至國家安全造成一定隱患。顯然，保護公民個人信息已成為數字時代一個不可回避的重要問題。與社會生活的其他任何領域一樣，司法領域也存在著信息失控的風險，迫切需要在司法領域加強個人信息保護的規范和力度。從世界范圍看，歐盟對于司法領域個人信息保護問題極為重視。2016 年歐盟頒布了《關于保護自然人針對主管當局為預防、調查、偵破或檢控刑事罪行或執行刑事刑罰而使用個人數據，和有關該收據的自由流動，以及撤銷理事會第2008/977/JHA號架構決定的2016/680 號指令》①Directive（EU）2016/680，at https：/eur－lex.europa.eu/legal－content/EN/TXT/PDF/？uri＝CELEX：32016L0680＆from＝EN（last visited on March 24，2021）.，專門對刑事司法領域的個人信息保護問題作出細致規定；2018 年歐盟又有《警察部門使用個人數據實務指南》②Practical Guide on the Use of Personal Data in the Police Sector，at https：/rm.coe.int/t－pd－201－01－practical－guide－on－the－useof－personal－data－in－the－police－/16807927d5.，對警察在刑事執法程序中的個人信息保護問題作出指引。美國則自卡茲案③Katz v.United States，389 U.S.347（1967）.以來，依隱私權保護的路徑，在萊利案④Riley v.California，134 S.Ct.2473（2014）.、卡朋特案⑤Carpenter v.United States，138 S.Ct.2206（2018）.等一系列判例中確立司法領域對公民個人信息的保護規則。

在我國，相較于其他領域對公民個人信息保護的重視與強調，司法領域似乎已成為個人信息保護的“洼地”。《刑事訴訟法》《民事訴訟法》《行政訴訟法》等司法領域的法律法規似乎對個人信息保護問題沒有給予應有的重視，《數據安全法》《個人信息保護法》等個人信息保護的專門法律也對司法領域缺乏回應與關照，導致司法領域的個人信息保護處在一個“模糊地帶”，甚至有觀點認為“在刑事司法執法領域，對公民個人信息的干預被視為法律規制的例外”[1]。

司法領域的個人信息保護是數字時代必須予以關注與重視的問題。在民事司法和行政司法領域，個人信息保護對于維護訴訟結構、強化當事人訴訟權利保障有突出意義。而在刑事司法領域，重視信息主體的權利，實現刑事司法程序與《個人信息保護法》的融合，面向數字時代司法制度的轉型，[2]亦已成為新時代刑事司法的重要課題。然而真正的難題在于，如何將個人信息保護的社會普遍性與司法的特殊性相結合、依照何種思路實現司法領域的有效個人信息保護、如何確定司法領域個人信息保護的主要內容，對于這些問題不能不予以認真研究。

二、司法領域個人信息保護的需求與現狀

司法的數字化轉型，尤其是智慧司法建設帶來了個人信息保護的需求，但是當前司法領域的相關規定遠遠不足以滿足此種需求，形成了應然與實然之間的鴻溝。

（一）智慧司法建設中的個人信息保護要求

為適應數字時代的新變化，司法機關大力推進智慧司法建設，無論智慧法院、智慧檢務抑或智慧警務建設，都依托于對海量數據和信息的處理，在此基礎上將智能化技術運用于訴訟的流程中。經過多年的努力，我國的智慧司法建設已經取得了顯著成果，走出了一條案件辦理和司法管理轉型升級的新型司法現代化道路[3]，大大提升了訴訟效率，也更好地保證了實體公正的實現。

然而基于信息處理的智慧司法建設，需要以個人信息的大量收集為基礎數據。在刑事訴訟中，不但公安機關等偵查機關為實現犯罪控制和社會治理的目的，通過大數據偵查手段的運用收集處理公民個人信息，檢法機關為完成辦案工作，亦需以個人信息為原料進行證據的審查判斷和事實的認定等工作。而在民事訴訟和行政訴訟中，個人信息同樣被法院用作推進訴訟之依據，成為支撐辦案工作的重要基礎。而公權力機關對個人信息的收集處理，往往是在作為信息主體的公民不知情甚至不同意的情況進行的，這固然與司法以國家強制力為后盾的基本特征相一致，但難免與個人信息處理的“知情－同意”一般原則相抵牾。

更值得關注的是，由于公權力機關本身缺乏建設智慧司法的技術條件和隊伍，無法獨立完成相應的技術性工作，于是邀請科技企業等第三方參與智能司法建設、開展“技術性外包”[4]就成為一種必然之常態。例如浙江省高級人民法院與阿里巴巴達成戰略合作協議，將浙江省高院積累的案件數據資源，結合公安、政務、電商、金融、社交、航運交通等周邊數據，形成智慧法院大數據生態圈，實現當事人協查信息共享、文書送達、電子商務糾紛網上化解、金融犯罪預測預防等“互聯網＋”時代背景下的創新型、智慧型司法應用。①參見張遙：《浙江省高院聯手阿里巴巴打造“智慧法院”》，環球網，https：//china.huanqiu.com/article/9CaKrnJRIG3.于是作為司法領域第三方的科技企業作為智慧司法建設的技術支持方，就有機會名正言順地對司法領域的個人信息進行收集、使用。在此情形下，一旦科技企業基于商業利益或其他原因對公民個人信息進行非法的收集使用，由于與之合作的公檢法機關缺乏必要的監管技術能力和人才，無法實現對科技企業的有效監管，則對公民個人信息的保障力度十分薄弱，嚴重威脅到個人信息的安全。

在此情景下，智慧司法建設過程中有可能引發公民個人信息安全的風險，則也隨之帶來了個人信息保護的客觀需求。在司法領域保護公民個人信息，既是保證智慧司法長效有序發展的必要前提，也符合司法為民、程序公正、人權保障等司法基礎性價值的要求。

（二）司法領域個人信息保護嚴重滯后

司法領域公權力機關收集處理公民個人信息，本質上是國家公權力之行使，由于我國訴訟模式上的職權主義特征，此種個人信息的收集處理亦體現出職權主義的主動和強制性特征。這種特征在民事訴訟、行政訴訟中有所體現，但更明顯地體現在最具威權主義性質的刑事訴訟中。

一方面在刑事訴訟中，公安機關為實現對犯罪的預先控制和提前治理，在刑事立案之前即對尚未在法律意義上成為犯罪嫌疑人的某些可疑人士進行監控。甚至因公安機關具有社會管理職能，基于社會管理職能針對一般民眾所收集的個人信息亦與刑事案件打通。這樣的做法與“風險防控”的社會治理理念和“犯罪預防”的刑事司法理念相一致，例如2015 年中共中央辦公廳、國務院辦公廳發布《關于加強社會治安防控體系建設的意見》中就強調通過“強化信息資源深度整合應用，充分運用現代信息技術，增強主動預防和打擊犯罪的能力”。①參見中共中央辦公廳、國務院辦公廳《關于加強社會治安防控體系建設的意見》第8 條。但此種針對個人信息的處理展現出公權力擴張的特征，可能給公民的個人信息安全帶來威脅，甚至可能違背無罪推定的刑事司法基本原則。[5]同時，此種犯罪的預先治理，常需運用各種類型的技術工具，而這些技術工具往往以打擊和控制犯罪為主要目標，帶有強烈的追訴傾向，通過運用這些工具處理公民個人信息，可能過度重視入罪信息、忽視出罪信息，從而強化公安司法人員的有罪推定傾向。[6]

另一方面，個人信息的大量高速處理實際地限制甚至排斥了包括當事人及其律師在內的訴訟參與人的有效參與。參與權的“核心思想是，那些權益可能會受到刑事裁判或訴訟結局直接影響的主體應當有充分的機會富有意義地參與刑事裁判的制作過程，并對裁判結果的形成發揮其有效的影響和作用”[7]，但是在信息處理成為訴訟重要方式的現實下，當事人及其律師并不具有充分有效參與的能力。在民事訴訟和行政訴訟中，這種能力上的欠缺使得當事人的質證能力大打折扣。而在刑事訴訟中，此種能力欠缺使得控辯平等的訴訟基本原理再受沖擊[8]：由于對信息處理的能力欠缺，即便司法機關遵循法律規定許可辯護人通過閱卷權的行使而獲取訴訟文書和證據材料，但事實上司法機關所使用的信息往往并不體現在此種紙質的卷宗之中，于是此種閱卷權也就難以實現其保障辯方有效參與的目標。

由上可見，司法領域的個人信息保護處于一種遲滯的態勢，遠遠不能與司法領域的公權力機關在個人信息處理能力上的突飛猛進以及在個人信息處理數量上的驚人發展相匹配，從而使得司法領域的信息化發展呈現出有利于公權力機關而不利于公民個體的跛腳狀態。

三、司法領域個人信息保護的思路

司法領域的個人信息保護制度，既要考慮公民個人信息利益的一般需求，也要考慮司法作為國家權力的特殊性，在二者之間應有必要的平衡。參考司法領域的法律法規和個人信息保護的專門法律，可以提出司法領域個人信息保護的國家和公共利益優先、拆解知情與同意、區分不同類型訴訟參與人這三方面思路。

（一）國家和公共利益優先

司法與個人信息保護的相似之處在于，二者均有多種價值。例如司法領域既要重視對實體真實的發現，也要保障程序正義，更要保護公民的基本權利，而個人信息保護亦包含多種利益訴求。[9]既然不存在一元的價值追求，則“貫穿政治理論長期歷史和憲法發展歷程的最難以裁決的案件是存在兩種相互沖突的價值的案件，每一價值都應當得到應有的尊重，但它們卻相遇在此消彼長的競爭當中。”②William H.Rehnquist，Is an Expanded Right of Privacy Consistent with Fair and Effective Law Enforcement，23 University of Kansas Law Review 1，2（1974）.此種價值競爭和沖突所帶來的一個顯而易見的問題已然呈現在我們面前，即當個人信息保護與司法領域的其他價值發生沖突時應當如何處理？基于對司法特殊性的考慮，司法領域個人信息保護應當遵循國家和公共利益優先的思路，理由如下。

其一，國家和公共利益優先是由司法的“公”屬性所決定的。司法是保障社會公平正義的最后一道防線，司法權是國家權力，關系國家和公共利益，因此無論《刑事訴訟法》《民事訴訟法》還是《行政訴訟法》，都有保障公正、維護國家利益和社會秩序之目的。③參見《中華人民共和國刑事訴訟法》第1 條、《中華人民共和國民事訴訟法》第2 條、《中華人民共和國行政訴訟法》第1 條。尤其刑事司法追求“打擊犯罪、保障人權、維護社會安全”的價值，向來以國家和公共利益作為首要追求，體現出公法的典型特征。盡管個人信息保護的邏輯乃是從個人權利保障的路徑展開的，其基本立足點在于通過對個人信息的保護，實現保障公民人身、財產、隱私和人格尊嚴等相關法益[10]，但當個人信息保護的邏輯進入司法領域的場域后，仍需服從司法優先保障國家和公共利益的大邏輯，否則就會對司法制度的基礎理念產生沖擊。而在實踐的層面看，個人信息保護本身在許多情形下就關系國家利益和公共利益，除了公民之外，國家和公眾亦是個人信息保護的利益主體，因此司法領域強調個人信息保護中的國家利益與公共利益優先，從實然的角度看亦可以得以實現。

其二，國家和公共利益優先符合價值位階衡量理論，能保證司法領域個人信息保護的長效施行。如上文所言，無論司法還是個人信息保護，都存在多元價值的沖突競爭，需要予以協調平衡。而此種協調平衡應依照價值位階衡量的理論展開，對于不同價值的位階，民法學者提出五方面的考量因素：一是與基本法律價值相聯系的有關個人的生命、健康的聯系程度，二是與人格尊嚴的聯系程度，三是與社會全體成員的關系度，四是與經濟秩序的關聯度，五是法律是否明確列舉。[11]按照這一標準，個人信息保護相較于司法領域常涉及的人的生命、健康、自由，以及對國家司法公正和社會全體成員的正義價值而言，自然應處于相對下位的地位，在二者發生沖突時，應強調以國家和公共利益優先。從功利的角度看，以國家和公共利益優先，也有助于個人信息保護的話題在司法領域不受其他價值的擠壓和排斥，從而實現司法領域個人信息保護的長效施行。

當然，這種利益衡量的原則并非一成不變，而是根據司法的具體實踐實現動態平衡。換言之，公共利益優先原則不是絕對的，不能以公共利益的借口剝奪公民的個人信息權益。當二者發生沖突孰先孰后的保護順序不能明確時，可以根據一般理性人的客觀判斷標準予以平衡。[12]

（二）拆解知情與同意

“知情－同意”是個人信息處理的一般原則，甚至有人稱其為個人信息處理的“帝王條款”①陳峰，王利榮：《個人信息“知情同意權”的功能檢視與完善進路》，載《廣西社會科學》2021 年第8 期，第106 頁。，因此各國關于個人信息保護的相關法律法規，如歐盟《通用數據保護條例（GDPR）》、美國《加州消費者隱私法》、我國《個人信息保護法》等，均對“知情－同意”原則作出規定。

然而需要注意的是，“知情－同意”原則包含兩部分內容：一是“知情”，即信息主體應知曉對其個人信息的處理事實和方式，據此信息處理者應當在處理信息之前即向信息主體做相關事項的告知，例如處理者的情況、處理的目的、處理的方式、可能的影響等。二是“同意”，即信息處理者需取得信息主體的同意后方可進行信息的處理，而信息主體既可以同意對其個人信息的處理，也可以拒絕對其個人信息的處理。但在司法領域，訴訟的進行以國家強制力為后盾，尤其是刑事訴訟，常常不顧當事人的意愿進行訴訟行為。因此在司法領域，倘若將“知情－同意”混為一談，在實踐中難以實現，因此對“知情－同意”的兩方面內容有做拆解的必要。

“知情”之保障在司法領域應以不影響訴訟之順暢推進為前提。以刑事司法為例，刑事訴訟尤其是偵查階段，如果對犯罪嫌疑人進行事前的信息處理告知，則可能令犯罪嫌疑人得知其被刑事追訴的事實以及偵查機關的偵查方向，就產生犯罪嫌疑人對抗偵查、妨礙訴訟的風險，與打擊犯罪的訴訟目標發生沖突。因此各國法律常對司法領域的信息主體“知情”不做強制要求，例如上文提及的歐盟“2016/680 號指令”規定信息主體的同意與否不構成相關司法機關處理個人信息的正當性依據。但是不做強制要求并不意味著沒有保障信息主體“知情”的可能性，特別是對被害人、辯護人、證人、鑒定人等訴訟參與人的事前告知，通常不會對案件的訴訟進程造成阻礙，因此一般應予以保障；倘若對犯罪嫌疑人進行事前告知，已然排除阻礙訴訟的風險，例如其已被羈押，則亦可視案件辦理情況決定是否告知。

“同意”之保障在司法領域，特別是刑事司法領域尤其困難。國家機關在司法領域行使公權力，不以當事人同意為前提，而其處理個人信息恰如上文所言，亦是此種公權力行使的方式之一。但是需要注意的是，這并不意味著司法領域沒有“同意”的適用空間。即便在偵查這一秘密性、封閉性程度最高的階段，亦有強制偵查主義與任意偵查主義之分[13]，在任意偵查的場景下，偵查行為以相對人的同意為前提，則對其個人信息的處理也在此范圍之內，因此當符合任意偵查條件時，信息處理行為應取得信息主體的同意。

（三）區分不同訴訟參與人

由于不同訴訟參與人在司法領域的不同地位和作用，對其個人信息的保護應有不同的規則。歐盟“2016/680 號指令”第31 條區分了犯罪嫌疑人、罪犯、被害人、共同被告人等不同訴訟參與人的個人信息權利保護規則，英國《數據保護法》第38 條也做了類似規定。

之所以針對不同的訴訟參與人有所區別，其主要原因在于不同訴訟參與人在刑事案件中扮演的角色以及產生的作用不同。例如在刑事訴訟中，基于偵破案件的現實需要，包括偵查在內的訴訟期間內，對犯罪嫌疑人、被告人收集信息明顯占案件的絕大多數，且犯罪嫌疑人、被告人本身是追訴的對象。與之相對的是，證人、鑒定人這一類訴訟參與人本身是為了配合公權力機關處理案件，協助查明案件情況，且不是打擊犯罪的對象，因此對于這一類訴訟參與人的個人信息保護要求應當高于犯罪嫌疑人、被告人。除此之外，司法領域應當對未成年人、性犯罪的被害人等群體給予特殊關注，這類脆弱主體一直都是司法領域的重點關照對象，例如我國《刑事訴訟法》專章規定了未成年人特別訴訟程序，體現了對未成年人的特殊保護。有鑒于此，個人信息權在司法領域的運用也應當繼承此種特殊人群特殊保護的基本理念，對脆弱主體予以特別的保護，以實現實質的公平與平等。

四、司法領域個人信息保護的路徑

根據上述司法領域個人信息保護的基本思路，可以從賦予公民個人信息權利和強調國家公權力機關義務兩個層面提出司法領域個人信息保護的具體路徑。

（一）公民個人信息權利之明確

在司法領域個人信息保護的現實需求下，需有對公民具體個人信息權利的明確，以滿足不同場景下的保護需求。具體而言，有以下幾項權利尤其應予以重視。

第一，數據訪問權。數據訪問權是指數據主體可以從數據控制者處確認其個人數據是否正被處理，并在此種情形下可以訪問個人數據及獲得相關信息的權利。[14]傳統上，司法領域特別是刑事司法領域當事人對案卷材料的知悉是通過閱卷權而實現的，然而在數字時代下隨著信息處理成為訴訟的重要方式，傳統的閱卷已無法滿足此種知悉需求，由此產生了數據訪問權與其相互補充的必要性。通過數據訪問權的行使，當事人能夠知曉其哪些個人信息被處理以及信息處理的目的，從而有針對性地準備相應的訴訟工作。在此過程中，當事人也能夠發現公權力機關在處理個人信息過程中是否存在違法情況，從而及時尋求救濟并對公權力形成必要之監督。從這個意義上看，賦予當事人數據訪問權，不但在保護公民個人信息方面具有重要意義，對于保障司法公正和人權保障目標的實現亦有裨益。

第二，更正權和反對權。更正權是指信息主體有權請求信息處理主體對不正確、不全面的個人信息進行改正與補充的權利。[15]在司法領域信息處理者所處理的個人信息存在錯誤的情況并不鮮見，英國就曾發生過將無辜者錯誤登記為罪犯的事件，我國也曾發生過使用當事人錯誤個人信息以致“張冠李戴”的案例。因此有必要賦予公民更正權，對錯誤信息進行修改、對遺漏信息進行補充、對過時信息進行更新。而反對權是指當信息處理者的信息處理行為違法時，信息主體反對其處理的權利。在司法領域，若公權力機關的信息處理行為違法，應當許可公民反對其處理，其中一個典型的路徑即是刑事訴訟中當事人可以申請非法證據排除而避免相關信息成為定案依據。

第三，被遺忘權。被遺忘權是信息主體在其個人信息不再有被合法處理之需時要求對信息進行刪除或封存的權利。[16]從某種意義上看，被遺忘權是個人信息保護的關鍵環節，因為它能保證其個人信息不再為人所知，在司法領域此種效果同樣存在。在被稱為“被遺忘權第一案”的岡薩雷斯訴谷歌案中，歐盟法院就是基于令當事人與先前案件徹底脫鉤的目的而肯認被遺忘權的。①Google Spain SL，Google Inc.v Agencia Espa？ola de Protección de Datos，Mario Costeja González，C－131/12，EU：C：2014：317.司法領域賦予當事人被遺忘權，能夠限制訴訟對公民生活的持續不利影響，尤其在刑事司法領域，防止公民一旦與刑事案件產生某種關聯即終身受其傷害，對于幫助公民回歸正常生活、發揮訴訟定分止爭的作用、修復被犯罪損害的社會關系、維護社會穩定秩序有重要的意義。因此，當案件的訴訟已然完成，相應的社會影響亦已不復存在，應當許可作為信息主體的公民主張其被遺忘權，要求司法領域的公權力機關將相關的個人信息予以封存或者刪除。

（二）國家公權力機關義務之強調

在司法領域，國家公權力機關是最主要的個人信息處理者，其所承擔的個人信息保護義務也隨之具有國家義務的性質。在司法這樣一個國家權力強盛的領域，強調公權力機關義務之履行，是實現個人信息保護的根本保障。具體而言，司法領域的公權力機關應承擔兩個層面的義務。

第一個層面的義務是積極義務。積極義務的履行有賴于公權力機關的積極行為，在司法領域，公權力機關的積極義務應當主要包括三個方面的內容。一是必要的告知。即如上文所述的，當對個人信息處理情況的告知不會對訴訟的進程造成阻礙時，公權力機關應當及時向信息主體告知。二是充分的安全保障。司法領域的公權力機關在處理個人信息時，應當提供必要的安全保障措施，例如制定相應的個人信息處理規范、確定專門的信息處理人員、建立信息處理的監督和制約機制、提供信息安全保障的相關軟硬件設備、設計信息安全事件的應急處理方案等。通過這些安全保障措施的實施，公權力機關方能保障司法領域的個人信息安全。三是主動封存或者刪除。如上文所述，賦予公民被遺忘權即令其在個人信息無合法處理之需時可要求信息處理者封存或刪除。而在司法領域，作為信息處理者的公權力機關亦有在相關個人信息無合法處理必要時予以主動封存或刪除的義務，以實現對公民個人信息的能動保護。

第二個層面的義務是消極義務。消極義務的履行主要依賴于公權力機關對權力行使的克制與制約，即不以違法的方式處理公民個人信息。在司法領域，此種消極義務也主要包括三個方面的內容。一是不違法收集公民個人信息。此項義務乃是全部消極義務之始，也是司法領域公民個人信息保護之關鍵。尤其在刑事司法領域，公權力機關基于其追訴之傾向，天然具有盡可能收集信息的本能，在此種情況下，監督其不違法進行此種收集個人信息的活動，成為數字時代訴訟行為合法性的關鍵保障。二是不違法存儲公民個人信息。公民個人信息的存儲應以保證訴訟順利進行之目的而為，故而基于目的限制原則的要求應有時限規定，此外對于存儲的方式等亦需予以限制。強調公權力機關不違法存儲個人信息，有利于保障司法領域的信息處理被限定在必要的邊界之內。三是不違法傳輸公民個人信息。如上文所述，智慧司法的建設中，科技企業等第三方機構的參與已是常態，公權力機關與這些第三方機構之間的信息傳輸亦十分普遍。在此種情形下，應對傳輸予以限制，禁止公權力機關將公民個人信息以違法之目的或方式向第三方傳輸，防止個人信息向司法領域之外無序擴散。