沖突與調和:大數據偵查與公民個人隱私

付 灝

(中南民族大學 法學院,湖北 武漢 430000)

一、溯源:大數據偵查的起源與發展

“大數據”的概念最早是在1998年的一個國際會議中提出,美國著名計算公司SGI的首席科學家約翰·馬西在報告中指出,由于數據體量的快速增長,未來必將出現數據難理解、難獲取、難處理和難組織等四個難題,并將這四個難題統稱為“Big Data”,即“大數據”。維克托·邁爾·舍恩伯格和肯尼斯·庫克耶在2008年8月編寫的《大數據時代》一書中提到,“大數據”是指對所有數據進行整體分析處理,而不是采用隨機分析法,即抽樣調查進行分析。2009年開始,“大數據”成為了互聯網信息技術行業的熱點話題,全球正式進入大數據時代。

大數據是隨著社會發展而不斷演變的概念,國內外各界對此看法也眾說紛紜,不盡相同。最早應用大數據的麥肯錫公司(全球著名管理咨詢公司)在2011年發布的一項研究報告《大數據:下一個具有創新力、競爭力和生產力的前沿領域》中對“大數據”一詞進行了較為科學的定義:“‘大數據’是指其大小超出了典型數據庫軟件的采集、存儲、管理和分析等能力的數據集”[1]。我國經過多年的觀測與沉淀,終于在2014年正式將“大數據一詞”寫入政府工作報告。2015年9月,國務院印發的《促進大數據發展行動規劃綱要》中進一步對大數據發展的進路進行了設計部署。工信部又于2016年12月印發了《大數據產業發展規劃(2016-2020)》,對有關大數據的重點行業和領域的發展要點進行了規劃,并提出了多項保障措施建議[2]。2020年4月,中共中央、國務院發布的《關于構建更加完善的要素市場化配置體制機制的意見》中,將“數據”與土地、勞動力、資本、技術并稱為五種生產要素[3]。這標志著我國已經正式將數據確定為基礎性資源。2021年11月,《“十四五”大數據產業發展規劃》發布,提出了大數據發展的四大主要任務,促進大數據產業從規模增長向結構優化、質量提升轉型[4]。可見,隨著科技的進步,大數據在服務黨和國家重大戰略、促進經濟社會高質量發展、建設人民滿意的服務型政府等方面發揮著舉足輕重的作用。

“大數據偵查”一詞的發展,可追溯到公安部門的“偵查信息化”,即在偵查過程中,偵查人員利用信息技術和信息資源,使偵查過程智能化,從而提高偵查效率并達到偵查目的的一種偵查模式。在實務中多以“公安信息化”或“警務信息化”等名稱進行表述。而隨著時代和科技的進步,“大數據偵查”也是對“偵查信息化”的積極回應。大數據技術改變了人們原有的生活方式和工作方式,為社會運轉提供了許多便捷,在刑事偵查領域中也起到了舉足輕重的作用。大數據偵查是指警方從承載著海量信息的數據庫中收集與查明案件事實相關聯的信息并加以分析來發現犯罪行為的一種技術。大數據偵查為犯罪的偵破提供了先進的偵查技術,但同時也帶來了公民個人隱私的泄露和濫用的風險。數據安全是數字經濟健康發展的基礎。正如黨的二十大報告中指出,數字經濟時代要“加強個人隱私保護”。由于大數據正在成為信息時代的核心戰略資源,大數據技術與應用背后的數據安全風險亟需解決,數據泄露、數據濫用等安全事件需防患于未然。為了解決這一問題,有必要分析大數據偵查和公民個人隱私保護之間存在的沖突,找到一條調和二者關系的道路。

二、審視:“大數據偵查”對“公民個人隱私”的影響

隨著人口流動加快,利用數據信息庫實施的大數據偵查更有利于打擊犯罪。但不容忽視的是,實施大數據偵查收集個人隱私不可避免會侵犯到公民的正當權利,數據信息庫的日益完備和技術的日益成熟,勢必會導致“偵查需要”對“公民個人隱私保護”的影響愈加凸顯。

(一)大數據偵查活動中對個人隱私的立法保護缺位

隨著網絡技術的普及,我國越來越重視個人隱私保護問題,在立法層面不斷加強和完善對個人隱私的保護。我國于2021年出臺的《個人隱私保護法》和《數據安全法》就旨在從法律層面建立起對個人隱私保護法律規范體系。通觀我國現有法律,可以發現涉及個人隱私保護,多于私法和實體法領域中得以規制,而偵查機關在刑事訴訟程序中收集和分析個人隱私的行為卻較少納入規制范圍[5]。

通讀我國《刑事訴訟法》規定的傳統偵查措施可以發現,其規定的搜查、調取、技術偵查與利用大數據手段的偵查措施具有極為緊密的關聯性。因此,由于大數據偵查手段適用法律規制的缺位,對個人隱私的保護難以得到實現,個人隱私的保護面臨著巨大挑戰。《刑事訴訟法》第139條規定了對犯罪嫌疑人身體、物品、住處和其他相關地方的搜查方式,并且搜查時需有被搜查人或者其他人在現場作證。但是大數據偵查的對象是信息,信息主體有時無法得知其個人隱私已經被搜查[6],這與刑訴法中的規定以及立法目的出入較大。

再者,在2012年《刑事訴訟法》中新增的技術偵查與大數據偵查相關性最高,但其僅僅高度概括地規定了五條內容。其體現在偵查技術偵查措施的適用范圍僅在對國、恐、黑、毒類案件或者其他嚴重危害社會的犯罪案件適用,但此規定無法規制大數據偵查,立法上也沒有對大數據偵查的適用范圍加以限制。可見,在此種立法現狀下,大數據偵查可能會存在侵犯公民個人隱私的風險。故有必要對大數據偵查的適用進行規制,以求緩解其與公民個人隱私保障之間的矛盾。

(二)大數據偵查模式對個人隱私的侵犯更為隱秘

相較于“人—案”“案—人”“人—人”“案—案”的傳統偵查模式,大數據偵查更偏向于“人—數據—案”“案—數據—人”和“人—數據—人”“案—數據—案”的偵查模式。這意味著偵查機關在適用大數據偵查時,并不完全直接與現實的案件和人發生聯系,而是以承載著個人隱私的紐帶,連接起犯罪嫌疑人和案件的關系[7]。在傳統偵查活動中,公安機關為查明案件事實,需要提犯罪嫌疑人到場進行審訊,直接與犯罪嫌疑人進行交流,有“口供中心主義”的傾向。但偵查機關在大數據偵查活動中,將不再一味地追求“口供至上”,收集的數據可以更客觀地還原案件真相。一方面,大數據偵查打破了傳統偵查重口供的不良導向;另一方面,大數據偵查模式對于個人隱私的侵犯也更為隱秘。

在偵查活動過程中,偵查機關如追求偵查效率,利用大數據的快捷性和隱蔽性,對公民的個人信息進行收集和深入分析,得出的結果可能會嚴重觸及偵查對象的隱私,造成的后果可能會更為嚴重,而偵查對象無法知曉其個人隱私已被收集,即使知道,也苦于收集不到證據,無法尋求救濟。

(三)信息共享加劇個人隱私泄露風險

公安機關近些年來不斷建設與其他機關和部門的信息共享體系,2011年由北京市公安局、市商務委、市工商局、北京海關、北京出入境檢驗檢疫局共同簽署的《北京市五部門行政資源整合機制框架協議書》中就提到要建立聯席會議和信息共享機制[8]。公安部又在2016年發布《關于大力推進基礎信息化建設的意見》《公安機關信息共享規定》、建設完善警務信息綜合應用平臺指導意見等一系列文件要求整合數據,實現信息共享[9]。不可否認的是,信息共享機制為偵查機關提供了豐富的數據資源,更有助于查明案件真相,但也加大了侵犯公民個人隱私泄露的風險。其一,信息共享方式并無法律明文規定,大多依靠框架協議實現,規范性較弱,缺少合法性審查以及外部監督。并且在大數據平臺的支撐下,公安機關只需人機交互即可完成信息提取和查詢,即便是通過安裝金盾系統進行監控信息查詢的權限,但也只是一種紀律約束,缺乏事前控制。其二,個人隱私在偵查活動中并不完全在公權力機關進行流轉與共享,也有私權利主體在掌握著公民的個人隱私。公權力主體在調取公民個人隱私時擁有嚴格的保密系統以及審批機制,但監督管理體系較為寬松的私權利主體作為第三方取證主體介入刑事訴訟,勢必會加劇個人隱私泄露的風險[10]。

(四)大數據偵查對個人隱私的過度采集

2016年頒布的《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》中規定了五種措施[1],但是并沒有詳細規定對這五種措施啟動的條件和對收集范圍的限制。這意味著偵查機關可以為了偵查活動的順利進行而任意對個人隱私進行收集和查看,這很有可能會導致偵查機關濫用職權,超越查明案件真相所需限度收集公民個人隱私。

不僅如此,在2014年由公安部頒布的《規范使用執法場所辦案區“四個一律”》中規定犯罪嫌疑人被帶至公安機關后,直接帶入辦案區進行人身檢查和信息采集。據此規定,辦案人員在實踐中,無需考慮案件性質和情節嚴重,只要將犯罪嫌疑人帶回辦案區,便可以進行強制采樣。這種做法無疑會侵犯犯罪嫌疑人的正當權利,增大警民之間的矛盾。

此外,偵查機關在偵查過程中,為追求案件真相得以最大程度的還原,往往會充分收集偵查對象的個人隱私以作證據使用,有可能會導致偵查對象的個人隱私被過度采集。譬如在2013年引起社會廣泛討論的“武漢女大學生遇害案”[11],偵查機關為了快速抓捕犯罪嫌疑人,以廣泛撒網的形式對案發地周圍高校數千名男性師生進行了DNA信息收集和比對,并且對所收集信息的去向和處理結果也未公開。這不僅會引發公民對自身信息泄露的擔憂,還會引起公民對偵查機關辦案能力的質疑。

對個人隱私的過度收集不僅僅體現在取證犯罪的過度擴張,也體現在取證內容范圍的過度擴張。在大數據時代,個人隱私所包含的內容也在不斷擴大,除姓名年齡,家庭住址等傳統信息外,還包括個人行蹤、個性喜好、交易記錄等信息。在便捷的網絡技術下,偵查機關可以在公民不知情的情況下對其個人隱私進行收集和利用,誘發侵犯公民個人隱私的風險。

三、反思:大數據偵查適用的應有限度

在刑事司法程序中,偵查活動一方面要追求查明案件事實的效率,另一方面也不允許肆意侵犯公民的權利。為此,大數據偵查的適用限度應以比例原則為根本指導,堅持程序合法原則,最大限度實現大數據偵查與個人隱私保護問題的良性融合,破解二者長期存在的制度沖突。這不僅是現代偵查制度的基本理念,也是實現人權保障的必然要求。

(一)以比例原則為指導

比例原則的本質在于避免國家權力對個人權利的侵犯,使國家權力的行使控制在一定范圍與限度之內[12]。大數據偵查存在著高效查明案件事實、及時打擊犯罪與面臨侵犯公民個人隱私的可能。因此,在進行大數據偵查時,需受到比例原則的拘束。比例原則的內容又可具體分為適當性原則、必要性原則和狹義比例原則三個子原則。

適當性原則強調行為手段要與行為目的匹配,即“目的導向”。傳統偵查目的在于,收集證據,查明犯罪事實和犯罪情節,并決定對犯罪嫌疑人是否起訴[13],大數據偵查的目的亦是如此。適當性原則要求大數據偵查只能適用于對刑事案件。公安機關作為承擔行政執法和刑事偵查雙重職能的部門,在獲取個人隱私前應明確獲取目的,不得隨意擴大其使用范圍,將在刑事偵查中獲取的個人隱私應用于行政執法。

必要性原則,即最小侵害原則,是指國家機關應當在可以達到目的的前提下,選擇一個對公民權利侵害最小的手段。必要性原則要求在偵查機關從事偵查活動時,在面對多種均可實現偵查目的的偵查行為時,應當選取侵犯公民個人隱私最小的一種。故偵查機關在選擇偵查措施時,應根據必要性原則所追求的偵查行為合理性,根據實際情況,謹慎適用大數據偵查手段。

均衡性原則,也稱“狹義比例原則”,要求偵查機關在選擇適用偵查措施時,該偵查措施給公民權利造成的損害應當與其偵查目的相均衡。大數據偵查的性質決定了其對個人隱私侵入的深入和廣泛,相較于與大數據偵查較為相似的偵查措施——技術偵查,因侵犯公民權利程度較深,其適用范圍和程序均受到嚴格限制。但大數據偵查的適用卻未受到此類限制,這并不符合均衡性原則的要求。應以均衡性原則引導大數據偵查的適用,明確大數據偵查適用范圍,且通過大數據偵查所獲得的個人隱私,其內容不能超過偵查機關為查明案件事實的實際所需。

(二)堅持公平信息實踐原則

1973年美國政府在醫療、教育與福利部門成立的“關于個人數據自動系統的建議小組”,其發布的一篇報告中首次提到了“公平信息實踐原則(fair information practice principles)”一詞, 后由經濟合作與發展組織在《隱私保護和個人數據跨境流動指南》中予以修訂,并得以廣泛傳播[14]。公平信息實踐系列原則的基本內容為:第一,所有記錄個人信息的記錄系統必須是公開的;第二,個人必須有途徑了解自己的信息記錄和使用情況;第三,在未經本人同意的情況下,個人隱私被使用或提供給其他人,必須向被侵害方提供救濟途徑;第四,必須給予個人糾正其信息的權利;第五,任何組織在創建、使用或傳播個人數據時,必須確保數據本身和來源的可靠性和真實性,并且必須采取合理有效的措施,防止數據被濫用[15]。

大數據偵查手段突破了原有偵查權的運行方式,常以侵入當事人私人領域的方式進行,侵犯公民基本權利的可能性日益增大[16]。為充分維護公民個人隱私的保障,應堅持公平信息實踐原則對偵查機關的數據收集使用、存儲傳輸等行為進行引導和規制。

(三)遵循非法證據排除規則

《刑事訴訟法》中規定了非法證據排除規則,即應當對經非法定程序收集,且嚴重影響司法公正的物證、書證予以補正或者作出合理解釋;不能補正或者作出合理解釋的,應當排除。2017年由最高人民法院、最高人民檢察院、公安部、國家安全部、司法部聯合制定的《關于辦理刑事案件嚴格排除非法證據若干問題的規定》中也有相同規定。可見,我國對在偵查活動中使用非法手段秉持著“零容忍”的態度。

判斷利用大數據偵查手段所獲取的個人隱私是否屬于非法證據,應充分考慮該信息的收集是否超越或濫用職權,或超越查明案件事實的需要。如果答案是肯定的,那么須認定該證據為非法證據予以排除。偵查機關利用大數據取得的證據沒有其他客觀性證據與之相印證,也須予以排除。在一起殺人案中,已經收集了足夠可以證明犯罪嫌疑人購買兇器、與作案流程的相關搜索記錄等信息,偵查機關為了保障偵查活動的充分性,仍然對其或其家人、親友等無關信息進行收集和分析,這部分證據應當視為非法證據。

四、規制:大數據偵查中個人隱私保護機制的構建進路

(一)將大數據偵查納入《刑事訴訟法》中予以規制

大數據偵查作為一種新型偵查手段,其運行方式并不同于我國刑訴法中規定的各類傳統偵查手段,因此,從立法層面規制大數據偵查,是實現個人隱私保護規范路徑得以構建的前提。對大數據偵查的規制,應當在《刑事訴訟法》“偵查”一章中予以確認,可以在“技術偵查”后補充一部分“大數據偵查”的有關規定。具體來說,應從大數據偵查的啟動條件、適用對象和適用程序三部分內容對大數據偵查行為予以規定:

第一是大數據偵查的啟動條件應具備初步證據證明被收集對象有犯罪嫌疑,若無初步證據證明或者是被合理懷疑的案件,不應適用撒網式的大數據偵查。為查明案件真相,確有收集犯罪嫌疑人隱私必要,才可啟動大數據偵查。并且要建立嚴格的審批程序,即啟動大數據偵查行為前,為保證其合理性和正當性,應向偵查機關的上一級機關審批備案。其二,偵查機關在適用大數據偵查時要具有合理明確的偵查目的,充分保護公民的個人隱私。適用對象應當限于與犯罪活動相關的人、犯罪嫌疑人或被告人,不能隨意擴大個人隱私收集范圍。最后,應明確對個人隱私信息適用大數據偵查的條件,必須是嚴重危害國家利益、社會公共利益或個人利益的犯罪案件,才能對其個人隱私信息適用大數據偵查。

(二)建立混合式監督體系

大數據偵查行為容易導致偵查權的濫用,大數據偵查活動的開展是在封閉狀態下進行的,很可能會導致大數據偵查行為侵犯公民的個人隱私,故有必要建立對大數據偵查行為的監督體系,進一步規范大數據偵查行為,保證偵查機關查明案件事實的同時保護公民的個人隱私,實現大數據偵查和個人隱私保護二者的有效融合。在監督模式上,可以采用“內部+外部”混合式監督模式。

內部監督主要包括實施大數據偵查行為前的審批和實施過程中的監督兩個部分。為防止偵查機關在適用大數據偵查手段時過度收集公民個人隱私或隨意擴大收集范圍,應在實施大數據偵查行為前對其進行嚴格審核。并且在實施大數據行為過程中,該偵查機關也應受上級偵查機關或其同級法治部門全程監督,對其違反程序的行為進行及時糾正或制止。目前我國對偵查措施的審批采取的是內部程序,外部監督的缺失會存在權力濫用的可能。外部監督主要來自偵查機關以外的法律監督部門,主要包括負責程序審查的審判機關和負責法律監督的檢察機關。審查內容應包括適用主體、適用案件范圍、處理結果等。經由監督審查部門審查后,確實認為存在違規或違法情形,應及時通知偵查機關予以糾正。

(三)偵查對象的權利保障

在偵查機關實施大數據偵查行為過程中違反法定程序導致偵查對象的個人隱私造成侵害,法律應充分賦予其尋求救濟的權利,在保護個人隱私的基礎上,對濫用大數據偵查進行制衡。

第一,保障偵查對象的知情權。當偵查機關適用大數據偵查行為前,應及時告知偵查對象。但考慮到偵查活動的秘密性,過分強調權利保障會不利于查明案件事實、打擊犯罪,對于告知后可能會導致偵查對象出現妨礙偵查、銷毀證據等行為的案件,可以在實施大數據偵查行為結束后予以告知,同時告知其享有的權利,為其權利救濟提供保障。第二,保障偵查對象的更正、刪除權。根據大數據偵查所收集的信息及分析結果并非完全準確,主要是受制于無法確保數據本身的真實性和偵查機關在數據處理的技術水平,致使所收集的個人隱私存在瑕疵或者錯誤,導致降低分析結果的可靠性[17]。故而應充分保障偵查對象對信息的更正、刪除權利,當偵查對象發現偵查機關所收集到的信息存在瑕疵甚至是錯誤,應給予其要求偵查機關進行修改或予以刪除的權利。第三,保障偵查對象的申請賠償權。當偵查對象發現自己的個人隱私遭到偵查機關的侵害時,應賦予偵查對象尋求救濟的權利。受到侵害的偵查對象可以向實施侵害行為的偵查機關進行復議,復議不成功的可向該偵查機關的上級偵查機關進行復核或申請檢察機關進行法律監督。然后根據其嚴重程度追究其行政或刑事責任并賠償其損失。