同意原則在刑事訴訟個人信息處理中的適用

一、問題的提出

數(shù)字化時代，海量個人信息的存儲與先進處理技術(shù)的應用為刑事偵查、起訴和審判提供了前所未有的便利，也帶來了嚴峻挑戰(zhàn)。在刑事訴訟中，個人信息的處理日益普遍復雜，從監(jiān)控錄像的提取分析到網(wǎng)絡(luò)數(shù)據(jù)的挖掘利用，再到基因信息、生物特征信息的比對鑒定，個人信息已成為刑事案件偵查與審理的重要內(nèi)容。然而，這種技術(shù)便利與個人信息保護之間的矛盾愈發(fā)凸顯，如何在保障公共安全的同時，實現(xiàn)對個人信息權(quán)益的合法合規(guī)處理，成為當下亟待解決的重要問題。

同意原則作為個人信息保護的基本原則，其重要性已得到國際社會的廣泛認可。從早期的美國“公平信息實踐原則”（FIPPS）到歐盟《一般數(shù)據(jù)保護條例》（GDPR），再到我國《個人信息保護法》，各國法律規(guī)范普遍將知情同意作為個人信息處理的基石，強調(diào)信息處理者在收集、使用和處理個人信息之前，應當取得信息主體的明確同意。但將同意原則直接套用至刑事訴訟領(lǐng)域，無疑會引發(fā)諸多挑戰(zhàn)和爭議。具體來說，其涉及兩組關(guān)系之間的張力與平衡。第一，個人信息權(quán)益的保護與有效打擊犯罪的目標。一方面，刑事訴訟中的個人信息處理須在保障信息主體個人信息權(quán)益的前提下展開；另一方面，刑事司法領(lǐng)域?qū)€人信息的收集使用也是實現(xiàn)有效打擊犯罪目標的當然選擇，不能過于強調(diào)個人信息保護而制約刑事訴訟中的個人信息處理。第二，個人信息處理的透明合意要求與刑事訴訟的秘密強制特性。在刑事訴訟中，同意原則強調(diào)對信息處理透明性、合意性的保障，信息主體有權(quán)知悉其個人信息被處理的事實與內(nèi)容并自主決定是否予以同意，而這顯然與刑事訴訟、特別是刑事偵查的秘密性、強制性存在一定矛盾。基于此，探討同意原則在刑事訴訟個人信息處理中的適用，并非簡單的“適用”或“不適用”的二元選擇，需要在保護個人信息權(quán)益與懲罰犯罪、保障公共安全之間尋求平衡點，以免顧此失彼。

2023年9月，全國人大常委會將“刑事訴訟法（修改）”列入第一類項目，這意味著《刑事訴訟法》將迎來第四次修改。借此契機，在《刑事訴訟法》修改中對同意原則在刑事訴訟個人信息處理中的適用作出回應、規(guī)范和引領(lǐng)，尤為必要。具體來說，需要回答以下幾個方面的問題：一是同意原則是否可能適用于刑事訴訟個人信息處理？二是刑事訴訟中有效同意的構(gòu)成要件包括哪些？三是刑事訴訟中同意撤回的情形，以及撤回同意后如何救濟？本文擬就此三方面問題展開論述。

二、同意原則在刑事訴訟個人信息處理中的適用可能

研究同意原則的適用，首先需探討其在刑事訴訟個人信息處理中的適用可能。在當前數(shù)字化時代，從人的主體性要求、個人信息保護專門法律的規(guī)范適用以及刑事訴訟中合意空間的逐步拓展這三個層面進行深入解析，能夠為同意原則在刑事訴訟個人信息處理中的適用提供全面理解。

（一）數(shù)字時代人的主體性要求

訴訟參與者應為具有主體資格的人，而非被動的客體。①刑事訴訟中，對人的主體地位的尊重就是對人的權(quán)利和尊嚴的尊重，這是現(xiàn)代法治的刑事訴訟區(qū)別于將人客體化、物化的封建專制的刑事訴訟的基本特征。②如何在刑事訴訟個人信息處理中充分保障人的主體地位，應成為本次《刑事訴訟法》修改的重要關(guān)注。作為個人信息保護領(lǐng)域的核心理念，同意原則強調(diào)信息主體對其個人信息處理的自主性。從主體性視角看，同意原則的適用是對刑事訴訟中當事人主體地位的程序性保障。

第一，同意原則的適用是對信息主體人格尊嚴的保障。人是目的而非工具，③人的主體性要求每個個體應享有基本的尊嚴。人的尊嚴被視為個人信息保護的最終價值依歸，一般人格權(quán)則構(gòu)成其具體權(quán)利基礎(chǔ)。④當前，全世界至少有九十多個法域?qū)⑷烁褡饑懒袨榛緳?quán)利。⑤以德國為例，《德國基本法：歷史與內(nèi)容》第1條第1款明確規(guī)定“尊重和保護人的尊嚴是所有國家權(quán)力的義務”⑥。1983年，德國“人口普查案”首次提出“信息自決權(quán)”，強調(diào)個人應有權(quán)自主決定其個人信息的收集、存儲和使用。個人對其信息的自主決定是其人格尊嚴不可分割的組成部分，這種“自由的自主決定”正是個人作為自由社會成員實現(xiàn)自身價值與功能的關(guān)鍵。①同意原則作為個人自主決定的體現(xiàn)，本質(zhì)上是對訴訟參與主體人格尊嚴的充分保障。

第二，同意原則的適用是對信息主體隱私權(quán)利的保護。隱私的價值主要源于其對人的自主性的促進與保護。②沒有隱私，人的自主權(quán)也就無從發(fā)揮作用。③隨著技術(shù)的進步及其負面效應的加劇，隱私保護愈加脆弱，個人信息保護逐漸從隱私保護中獨立出來，并形成個人信息保護與隱私保護的“二元”路徑。④相較于隱私保護的消極防御性，個人信息保護更為“主動進取”，二者之間有著緊密的聯(lián)系，⑤而同意原則與隱私保護同樣緊密相關(guān)，這可以從國外判例演進中窺見一斑。1977年，美國“華倫案”首次確認個人對敏感信息的控制權(quán)屬于憲法隱私權(quán)的核心。⑥雖然該案未涉及刑事訴訟，但其首次確立的“信息隱私權(quán)”⑦與同意原則具有內(nèi)在關(guān)聯(lián)。2018年美國“卡朋特案”將這一邏輯進一步延伸，認為手機定位信息具有高度隱私性，即使其由第三方手機通信運營商持有，長期定位信息仍受隱私保護，鑒于信息技術(shù)手段的介入，個人往往無法主動選擇不披露來保護隱私，傳統(tǒng)上的形式“自愿披露”已不再等同于真正的“自愿同意”。⑧可見，隱私保護的核心始終在于對個人信息自主權(quán)的保障，同意的取得是現(xiàn)代隱私權(quán)保護中最基本的要素。

第三，同意原則的適用是對控辯平等對抗的保障。在刑事訴訟中，控辯平等對抗是保障訴訟主體地位平等、權(quán)利對等的核心內(nèi)容。長期以來控方相較于辯方擁有一定優(yōu)勢，隨著數(shù)字技術(shù)廣泛應用，控辯雙方的信息不對稱問題愈發(fā)凸顯。保障控辯主體之間的平等，尤其是在個人信息處理中的主體平等，必要且急迫。面對掌握海量信息的國家機關(guān)，與案件有利害關(guān)系的信息主體有必要在知情同意的基礎(chǔ)上，“充分而富有意義地參與到裁判制作過程之中”⑨，這不僅涉及是否需經(jīng)信息主體同意才能使用某些特定證據(jù)，還包括如何保障其對證據(jù)使用的知情權(quán)和參與權(quán)，從而確保裁判結(jié)果的客觀公正。在刑事訴訟個人信息處理中，準確適用同意原則能夠有效防止“文件傾倒”“算法黑箱”“算法歧視”等對當事人主體地位的侵蝕，幫助主體充分參與到整個訴訟過程，最終有利于維護控辯主體之間的平等對抗。

（二）個人信息保護專門法律的規(guī)范適用

在刑事訴訟中，個人信息處理的合法性基礎(chǔ)通常以履行法定職責為核心，結(jié)合個人信息保護法有關(guān)規(guī)范，同意原則在規(guī)范層面存在一定的適用空間。典型代表如我國《個人信息保護法》第13條明確將“個人的同意”列為處理個人信息的合法性基礎(chǔ)；第33條通過引入“國家機關(guān)”這一概念，將刑事司法機關(guān)處理個人信息的行為納入本法調(diào)整范圍，形成了“統(tǒng)一納入”模式；⑩第34條就國家機關(guān)對個人信息的處理予以限制，結(jié)合第29條有關(guān)敏感個人信息處理規(guī)定，若國家機關(guān)的個人信息處理行為超出法定職責范圍，尤其是敏感個人信息，則仍需以個人同意作為合法性基礎(chǔ)。

反觀歐盟立法，2016年《一般數(shù)據(jù)保護條例》（GDPR）關(guān)于同意適用也有相應的規(guī)定，第6條明確將同意列為個人信息處理的合法性基礎(chǔ)之一。2020年歐洲數(shù)據(jù)保護委員會（EDPB）制定了《關(guān)于GDPR下“同意”的指南》（以下簡稱《指南》），其強調(diào)同意應是自愿、知情、特定明確且能夠撤回的。GDPR原則上否定國家機關(guān)以同意作為處理個人信息的主要依據(jù)，并強調(diào)公權(quán)力機關(guān)與個人存在“權(quán)力不平等關(guān)系”時同意通常難以符合自愿性要求，但其也承認存在同意適用的例外情形，如行政機關(guān)在提供非強制性服務（如市民自愿訂閱市政工程通知郵件）或保障公民選擇權(quán)（如房產(chǎn)主自主決定是否同意政府信息并庫），此時公權(quán)力機關(guān)仍可能基于有效同意處理個人信息。①由此可見，同意原則在公權(quán)領(lǐng)域的適用本質(zhì)上是利益平衡與場景化考量的結(jié)果。

信息之所以受到法律保護與重視，是因為其最大價值并不在于信息本身，而在于通過長期信息累積而形成的信息網(wǎng)絡(luò)。這些信息網(wǎng)絡(luò)正逐漸融入社會機理，并以開放擴散的方式迅速發(fā)展，替代了之前針對特定目標或?qū)ο笳归_的信息收集活動。②通過共享擴展信息網(wǎng)絡(luò)規(guī)模、增強不同信息數(shù)據(jù)間的關(guān)聯(lián)性，這些信息網(wǎng)絡(luò)能夠顯著提升信息分析效果，最終為信息時代發(fā)展提供動力。正如我國《個人信息保護法》第1條所規(guī)定，個人信息保護的價值目標在于保護個人信息的權(quán)益，促進個人信息的合理利用。而如何準確界定合理利用的范圍，構(gòu)成了個人信息，尤其是敏感個人信息保護的邊界。有學者認為，個人信息保護的認定標準是動態(tài)主觀的，而非靜態(tài)客觀的，特別是敏感個人信息，需要結(jié)合具體情境中的多元因素（如信息敏感性、處理目的、公共利益權(quán)重等）進行靈活判斷。③判斷個人信息處理行為是否具備合理性，主要是看其產(chǎn)生的影響是否為信息主體所接受，或者是否滿足信息主體的“合理預期”。此類影響信息主體的“合理預期”或影響信息處理的敏感性的變量，均屬于“場景”④。考慮到場景影響因素的多元性，國家機關(guān)對個人信息的處理是否合理，需根據(jù)多項因素進行程度性判斷，應當將個人信息擱置在所處的場景中進行具體評判，注意避免抽象預判的情形發(fā)生。對此，關(guān)于國家機關(guān)處理個人信息的合法性問題，也有理論提出該合法性基礎(chǔ)并非絕對排斥同意，而是允許“履行法定職責”與“同意”在特定場景下疊加適用。⑤總體來看，我國刑事訴訟中個人信息處理以履行法定職責為主要合法性基礎(chǔ)，但根據(jù)“統(tǒng)一納入”模式，《個人信息保護法》第33條及第13條的開放性表述為同意原則的適用保留了規(guī)范空間。

（三）刑事訴訟中合意空間的逐步拓展

在《刑事訴訟法》持續(xù)完善認罪認罰從寬制度、強化權(quán)利保障的背景下，刑事訴訟的合意空間逐步拓展。一方面，在協(xié)商性司法框架內(nèi)，通過認罪認罰程序控辯雙方自愿協(xié)商，并以具結(jié)書的形式達成合意；通過刑事和解程序，被追訴人與被害人平等協(xié)商，并形成書面協(xié)議，上述合意經(jīng)司法機關(guān)審查并確認后具有法律效力。另一方面，在任意偵查實踐中，若被偵查人自愿同意偵查機關(guān)處理其個人信息，則該處理行為因取得有效同意而具備合法性。隨著協(xié)商性司法與任意性偵查的不斷發(fā)展，合意在刑事訴訟中所發(fā)揮的作用日益凸顯，為同意原則的適用提供了實踐依據(jù)。

在傳統(tǒng)刑事訴訟中，刑事訴訟被視為國家公權(quán)力單向追訴犯罪的程序，其強調(diào)控辯雙方的對抗對質(zhì)而非對話協(xié)商。然而，隨著協(xié)商性司法的興起，控辯雙方可在證據(jù)使用、案件事實、犯罪指控、量刑建議以及程序適用等方面，①通過協(xié)商對話達成自愿真實的合意，其中也涵蓋對個人信息收集使用的合意。合意式刑事訴訟的核心在于，控辯雙方通過具結(jié)書等形式，就被追訴人認罪、量刑建議等事項達成一致，以平衡程序效率與實體公正。而這種合意機制與個人信息處理中的同意原則內(nèi)核正相契合，同意原則為被追訴人提供了自主決定其信息權(quán)益的機會，使被追訴人真正成為訴訟中的主體，而非國家機關(guān)追訴與審判的客體。因此，在刑事訴訟個人信息處理中同意原則的適用，本質(zhì)上即是對合意式刑事訴訟的踐行與延伸。2018年，我國《刑事訴訟法》第15條修訂正式確立了認罪認罰從寬制度，為同意原則在個人信息處理中的適用提供了實踐空間。公訴機關(guān)在具結(jié)書中需向被追訴人說明擬調(diào)取使用的信息種類、范圍以及使用目的，被追訴人應在充分知情的基礎(chǔ)上自愿簽署認罪認罰具結(jié)書，明確對其信息調(diào)取使用的同意內(nèi)容、范圍與方式，司法機關(guān)在審查階段對具結(jié)書的真實性、自愿性及合法性進行嚴格審查，防止因脅迫或誤導導致的虛假合意。此外，刑事和解程序亦體現(xiàn)協(xié)商性司法的合意理念，為同意原則拓展了適用空間。被追訴人與被害人圍繞損害賠償及刑責承擔等事項進行平等協(xié)商，并在書面協(xié)議中對信息交換范圍與責任承擔作出詳細約定，經(jīng)司法機關(guān)確認后合意內(nèi)容生效，從而為涉案個人信息的收集、存儲、使用等提供了有效依據(jù)。

任意偵查實踐進一步強化了同意原則在刑事訴訟中的適用可能。與強制偵查不同，任意偵查是以被偵查人自愿同意或承諾為前提進行的偵查，②如經(jīng)犯罪嫌疑人同意的訊問。相比強制偵查，任意偵查對被追訴人的重要法益侵害程度更低。在任意偵查中，偵查機關(guān)應首先向被偵查人詳細告知偵查目的、范圍、擬調(diào)取的個人信息類型、使用方式與保存期限，并告知被偵查人有權(quán)自主決定是否同意以及同意后的撤回權(quán)利。只有在當事人自愿同意后，偵查機關(guān)方可啟動對上述信息的收集與使用，否則應當依法中止或轉(zhuǎn)為強制偵查程序。日本《刑事訴訟法》第179條確立了“任意偵查原則”，將強制偵查嚴格限定于法律明文規(guī)定的例外情形，并強調(diào)強制偵查必須遵循令狀主義，而任意偵查則可通過相對人同意直接實施。③當犯罪嫌疑人自愿同意提供通信記錄或生物樣本等個人信息時，偵查機關(guān)可即時進行證據(jù)收集。在個人信息處理中，任意偵查將信息處理的合法性基礎(chǔ)歸于當事人自愿同意，為同意原則在刑事訴訟中的適用提供了可能。不過需要注意的是，在緊急情況下，為了保障國家安全與公共利益，公安司法機關(guān)仍可依法啟用強制措施。

三、刑事訴訟中有效同意的構(gòu)成要件

在明確同意原則在刑事訴訟個人信息處理中的適用可能后，需進一步探討的問題就是有效同意的判斷標準，即何為有效同意。結(jié)合現(xiàn)有研究成果，可以從自愿性、知情性和特定明確性三個方面，對刑事訴訟中有效同意的構(gòu)成要件予以解析，從而在《刑事訴訟法》修改過程中準確理解信息主體同意的內(nèi)涵。

（一）自愿之同意

在刑事訴訟中，自愿性是有效同意的核心要件。但刑事司法中國家機關(guān)與個人之間的結(jié)構(gòu)性權(quán)力失衡，導致自愿性容易被侵蝕。根據(jù)《指南》，自愿性要求個人信息主體的同意“自由作出、不受脅迫且不受過度影響，具有真實選擇權(quán)與控制權(quán)”。出于強暴、脅迫、欺詐而作出的同意，不具有自愿性。①然而，在實踐中個人常因自身狀態(tài)、信息劣勢或外在壓力而被迫“自愿”同意，這意味著該“同意”可能因權(quán)力不對等而被扭曲。由于國家與個人之間的力量差距，這種“隱性脅迫”可能使個人信息主體的同意淪為形式化操作。作為信息控制者的公權(quán)力機關(guān)與個人信息主體之間存在“明顯不平衡的關(guān)系”時，為確保個人拒絕或撤回同意不會影響其獲得法定公共服務或招致不利對待，②自愿性審查機制的構(gòu)建尤為必要。

第一，程序獨立。公權(quán)力機關(guān)取得個人信息主體同意的程序應當獨立于信息處理程序本身，避免二者之間相互影響。為確保同意是基于主體自身真實意愿，而非受脅迫或受欺騙作出，可采用同步錄音錄像、第三方見證等方式對同意過程進行全程記錄。借鑒上述經(jīng)驗，我國《刑事訴訟法》可進一步就同意的取得程序予以規(guī)范，如同意的取得應在個人信息處理行為開始前實施；同意可以在律師或公證員的見證下取得，以獨立文書的形式完成；禁止承諾法外利益，國家機關(guān)違反自愿性要求所取得的同意不具備合法性與正當性等。第二，動態(tài)情境評估。與隱私的“情境脈絡(luò)完整性”理論相類似，個人信息主體“自愿性”的判斷也需要結(jié)合具體情境判斷。EDPB《指南》列舉了評估因素，包括同意的有效期限、未成年主體的脆弱性。《刑事訴訟法》可考慮增設(shè)“同意自愿性評估清單”，要求偵查機關(guān)記錄同意時的情境要素（如時間、地點、在場人員、告知內(nèi)容），并納入案卷以供后續(xù)司法審查。此外，在強制偵查轉(zhuǎn)為任意偵查的過程中，同意自愿性可能會被“技術(shù)性消解”。例如，偵查機關(guān)以信息主體同意調(diào)取通信信息作為對其適用非羈押強制措施的前提，這本質(zhì)上是將個人信息主體的同意異化為換取自由的籌碼。③參考EDPB《指南》對“捆綁同意”的禁止規(guī)則，建議明確禁止把同意國家機關(guān)對個人信息進行處理與強制措施適用、量刑協(xié)商等事項予以捆綁，旨在保障個人信息主體同意作出的自愿性。

（二）知情之同意

知情之同意要求個人信息主體在充分理解信息處理的目的、范圍及結(jié)果之后作出決定。EDPB《指南》強調(diào)，信息提供需符合“可理解性”與“可及性”標準，避免使用模糊或概括性表述。然而，在刑事訴訟中，偵查機關(guān)常以偵查保密為由壓縮告知義務，導致被追訴人處于嚴重的信息劣勢，使同意淪為形式。為平衡國家機關(guān)與個人之間的信息對稱性，國家機關(guān)應當履行規(guī)范的告知程序，事先詢問信息主體是否同意，并告知其有權(quán)拒絕，以及在信息處理過程中，一定情形下其有權(quán)撤回同意，以確定個人信息主體的真實意思表示，避免未來發(fā)生爭議。

第一，信息處理內(nèi)容告知。根據(jù)個人信息的敏感程度，事先分級告知處理細節(jié)，對于一般信息如身份信息，可簡要說明處理目的及法律依據(jù)；對于敏感信息如生物特征、健康記錄、具體行蹤軌跡，則需詳細告知信息類型、存儲期限、共享對象及安全風險。歐盟2016/680號指令第13條規(guī)定，公權(quán)力機關(guān)處理個人信息時需告知個人信息主體“控制者身份”“處理行為的法律基礎(chǔ)”“存儲期限”④等。參考該規(guī)定，可考慮明確待處理的個人信息告知范疇，增設(shè)“個人信息處理告知書”，要求國家機關(guān)逐項列明處理要素，并使用通俗語言解釋專業(yè)技術(shù)術(shù)語，從而確保個人信息主體清楚理解各術(shù)語的具體內(nèi)涵。第二，信息主體權(quán)益告知。除處理行為本身外，信息處理者應當在同意被作出前明確告知個人信息主體享有撤回同意、訪問數(shù)據(jù)及提出異議的權(quán)利，并告知個人信息主體如何行使其權(quán)利。個人信息權(quán)益的保障不僅限于信息處理的初始階段，為避免公權(quán)力機關(guān)的權(quán)力濫用還應貫穿于整個信息處理流程，個人信息主體通過查閱、復制實現(xiàn)對個人信息利用的監(jiān)督，一旦發(fā)現(xiàn)數(shù)據(jù)失真或非法操作，有權(quán)主張更正與刪除。第三，信息處理過程告知。知情強調(diào)信息處理需要在公開透明的狀態(tài)下進行，而公開是程序行使正當性的核心要求，①涉及國家秘密、商業(yè)秘密、個人隱私、未成年人的除外。②如此強調(diào)個人信息主體知情與公開透明，是因為其充當了對信息處理者行為的“陽光法則”。任何未經(jīng)充分告知、未獲得同意或超出同意范圍的個人信息處理行為都不具備正當性。③GDPR第12至14條就個人信息處理的透明度、個人信息的訪問內(nèi)容與方式等作出了詳細規(guī)定。④我國《個人信息保護法》第44、48條明確個人信息主體對其個人信息處理享有知情權(quán)并有權(quán)要求信息處理者對相應的處理規(guī)則進行解釋說明。

不過實踐中，在某些緊急情況下，知情同意可能面臨“偵查效率”與“權(quán)利保障”的價值沖突。例如，緊急情況下調(diào)取通信信息以解救被綁架人質(zhì)時，詳盡告知可能貽誤救援時機。對此，可允許在緊急情況下先行調(diào)取，但需要在規(guī)定時間內(nèi)補辦告知手續(xù)，并通過事后司法審查確認該緊急情形的真實性，以防止個人信息被無限收集或不當使用。

（三）特定明確之同意

特定明確之同意要求同意必須針對具體的個人信息或數(shù)據(jù)類型、處理目的及期限，且以清晰肯定的積極行為作出，具體包括在書面聲明中確認同意、填寫電子表格、發(fā)送電子郵件、上傳簽名掃描件或電子簽名等。在某些情況下若有嚴重的個人信息保護風險發(fā)生，此時信息主體對其個人信息的高度控制被認為是適當?shù)模瑢τ谠撔畔⒌奶幚韯t需要信息主體的明確同意。然而，實踐中卻常見“自愿配合偵查”的籠統(tǒng)聲明，或通過沉默推定同意調(diào)取信息。參考GDPR第9條關(guān)于特殊范疇的個人數(shù)據(jù)處理、第49條關(guān)于沒有充分保障措施的情況下向第三國或國際組織傳輸數(shù)據(jù)、第22條關(guān)于包括數(shù)據(jù)畫像在內(nèi)的自動化個人決策等規(guī)定，以及EDPB《指南》有關(guān)明確禁止“空白同意”之規(guī)定，即禁止通過概括性授權(quán)獲取對未知或?qū)挿禾幚砘顒拥脑S可，可以從以下三個方面進一步完善特定明確性規(guī)則。

第一，事項具體。同意必須指向特定個人信息或數(shù)據(jù)類型、處理目的及存儲期限。例如，同意提取手機信息或數(shù)據(jù)時，需明確是提取“2023年1月至3月的短信記錄”還是“手機內(nèi)全部應用程序數(shù)據(jù)”；同意使用人臉識別信息時，需限定于“本案身份核驗”而非“存入數(shù)據(jù)庫用于未來偵查”；存儲期限“至本案判決生效后一年”而非“長期保存”。明確規(guī)定同意文書需逐項列明處理事項，禁止概括性告知。第二，形式明示。同意需通過積極行為（如簽名、勾選選項、電子確認）作出，默示同意在刑事司法中不具備合法性。EDPB《指南》強調(diào)，沉默、預先勾選框或不作為均不構(gòu)成有效同意。例如，偵查人員詢問“是否同意查看手機”時，被追訴人未回應，不得據(jù)此推定同意。建議新增“同意形式條款”，如規(guī)定“同意應以書面、電子簽名或同步錄音錄像方式記錄，且需逐項確認處理事項”。第三，目的限制。要求基于同意獲取的個人信息或數(shù)據(jù)不得用于初始目的之外的用途，除非再次取得明確授權(quán)。歐盟2016/680號指令第4（1）（b）條對此也有嚴格的目的限制規(guī)范。例如，偵查機關(guān)為偵查詐騙犯罪所調(diào)取的通信記錄，未經(jīng)同意不得用于偵查與之相關(guān)的洗錢犯罪；為核實自首情節(jié)而調(diào)取的行蹤軌跡不得用于其他與犯罪無關(guān)的行為。我國刑事訴訟法可考慮增設(shè)“信息用途限定條款”，要求偵查機關(guān)在調(diào)取個人信息或數(shù)據(jù)時注明使用范圍，并對違規(guī)處理個人信息的行為預先設(shè)定程序性限制。

四、刑事訴訟中同意的撤回及救濟

基于對刑事訴訟中同意原則的適用可能和有效同意的構(gòu)成要件的解析，依據(jù)合意式司法理念，個人信息主體同意撤回權(quán)的行使，是保障其個人信息權(quán)益最直接有效的方法。同意被撤回后，公權(quán)力機關(guān)負有一定的被遺忘權(quán)國家保護義務，通過構(gòu)建“司法-行政-平臺”協(xié)同機制，為同意原則的適用提供實質(zhì)保障。

（一）刑事訴訟中同意的可撤回性

同意原則的一個重要特點是“可撤回性”。在刑事訴訟中，既然是合意之同意，從原理上看撤回亦應被允許，即訴訟參與人應當有權(quán)隨時撤回自己對個人信息使用的同意。特別是數(shù)字時代下，信息處理的透明性和可追溯性大大增強，訴訟參與人可以實時了解其信息的使用情況，并根據(jù)實際需要隨時調(diào)整或撤回同意。允許撤回同意也是合意式司法理念的必然延伸。作為程序合意的重要組成部分，個人信息處理同意本質(zhì)上屬于被追訴人對程序權(quán)利的有限處分，其效力應當具備可逆性。

GDPR與EDPB《指南》均強調(diào)，撤回權(quán)應“與同意同樣容易行使”。EDPB在《指南》中明確指出，撤回權(quán)是個人信息主體對其個人信息實現(xiàn)自主控制的核心體現(xiàn)，撤回的便利性不得低于同意的作出。這一原則在刑事司法中具有特殊意義。當被追訴人因信息不對稱或權(quán)力壓迫作出非自愿同意時，撤回權(quán)的行使則成為糾正程序瑕疵的關(guān)鍵。GDPR第7條明確規(guī)定，個人信息主體有權(quán)隨時撤回同意，且撤回不影響撤回前處理的合法性。考慮到刑事訴訟中個人信息保護的需求，我國現(xiàn)行《刑事訴訟法》中亦有必要明確個人信息主體同意撤回權(quán)，不過基于對刑事司法制度特殊性的考量，建議進一步明確允許被追訴人撤回同意的情形。

（二）允許撤回同意的情形

撤回同意的合法性應建立在比例原則的基礎(chǔ)上，包括適當性、必要性和狹義比例原則。①結(jié)合刑事司法案件的特殊性，通過分析目的、手段和結(jié)果的比例關(guān)系，確定在何種情形下可以允許撤回同意。

1. 訴訟目的無法實現(xiàn)或已達成

適當性原則（即目的限制原則）要求公權(quán)力行為所采取的手段必須有助于實現(xiàn)法定目的，且手段與目的之間存在合理關(guān)聯(lián)。刑事訴訟中公權(quán)力機關(guān)收集使用個人信息時，需確保該行為能夠?qū)崿F(xiàn)案件調(diào)查的目標，若訴訟目的無法實現(xiàn)或與訴訟目的無關(guān)，或者目的已達成，則該處理行為違反此項原則，信息主體有權(quán)要求撤回同意。

以個人同意調(diào)取通信信息以自證不在場為例，當調(diào)取的個人信息或數(shù)據(jù)已充分排除其作案嫌疑時，訴訟目的已無法實現(xiàn)，繼續(xù)處理行為將超出原先同意范圍，對個人信息權(quán)益造成侵犯，此時同意撤回是避免公權(quán)力過度干預的必要手段。同樣，當案件經(jīng)審判程序終結(jié)，訴訟目的業(yè)已達成，此時公權(quán)力機關(guān)對個人信息的持續(xù)控制與使用喪失正當性基礎(chǔ)，個人信息主體亦有權(quán)要求撤回同意。另外，當公權(quán)力機關(guān)在初步偵查階段調(diào)取一般通信信息時，若案件性質(zhì)未發(fā)生變化，但其隨后利用算法分析個人行蹤軌跡、生物特征等高度敏感信息，則此類處理行為明顯超出了信息主體的合理預期，對個人信息主體的隱私構(gòu)成了實質(zhì)性威脅，這與《個人信息保護法》第6條關(guān)于“與處理目的直接相關(guān)”的要求相違背。此時，基于個人信息權(quán)益保護的需要，信息主體同樣有權(quán)主張撤回同意。參考歐盟2016/680號指令有關(guān)目的限制原則的規(guī)定，我國《刑事訴訟法》有必要建立定期審查機制，考慮將訴訟目的消滅作為撤回同意的法定觸發(fā)條件，明確司法機關(guān)在案件終結(jié)、證據(jù)固化或替代證明方式出現(xiàn)等情形下對個人信息的刪除等義務。

2. 利益權(quán)衡下的必要性喪失

必要性原則（即最小侵害原則）要求在多種可行手段中，選擇對公民權(quán)益侵害最小的方式。偵查機關(guān)在偵查階段若有多種手段可選，須優(yōu)先采用對相對人權(quán)益影響最輕微的一種，其強調(diào)“勿以大炮打小鳥”，避免過度干預個人信息權(quán)益。在刑事訴訟中，個人信息處理的必要性根植于公共利益與個人權(quán)益的動態(tài)平衡。當司法機關(guān)持續(xù)處理個人信息所維護的公共利益已顯著弱化，甚至低于主體的個人信息權(quán)益保護需求時，應當承認個人信息權(quán)益與公共利益之間的權(quán)重發(fā)生根本性變化，此時個人信息處理的行為必要性喪失，個人信息主體有權(quán)撤回同意。

如何具體判斷國家機關(guān)信息處理行為的必要性，既要審查刑事訴訟中個人信息處理行為的目的正當性，也要評估國家機關(guān)信息處理手段的強度、范圍以及敏感度是否與案件推進的實際需求相匹配。首先，個人信息處理應當遵循最小侵害原則，即在可能的情況下，優(yōu)先采用對個人隱私影響較小的方式。例如，若信息主體同意使用非侵入性手段（如查閱公開數(shù)據(jù)）進行信息處理，而偵查機關(guān)卻采用深度數(shù)據(jù)挖掘、行為追蹤、面部識別等高新技術(shù)手段，則可能造成隱私權(quán)的過度干預，甚至引發(fā)信息濫用風險。其次，可引入“動態(tài)利益衡量機制”，由法院或獨立監(jiān)管機構(gòu)結(jié)合具體案情對個人信息處理的必要性進行階段性審查，重點評估是否存在侵害性更小的替代方案，即在滿足訴訟需求的前提下，是否有其他手段能夠更溫和地實現(xiàn)相同目的；信息處理范圍是否超出合理限度，信息收集和使用應僅限于案件相關(guān)部分，防止“大數(shù)據(jù)式偵查”導致無關(guān)個人信息被過度處理；對敏感個人信息的處理是否真正必要，尤其是涉及生物識別信息、財務信息、通信記錄等高敏感性信息時，應特別慎重，確保其信息處理對案件推進具有不可替代的作用。最后，結(jié)合我國《刑事訴訟法》第56條關(guān)于非法證據(jù)排除規(guī)則的規(guī)定，對于未經(jīng)實質(zhì)必要性審查且未獲得持續(xù)有效同意的個人信息處理行為，其所獲取的證據(jù)應被排除證據(jù)效力，防止因程序問題而侵犯個人信息權(quán)益。

3. 顯失公平的繼續(xù)處理

狹義比例原則（即均衡性原則）要求手段帶來的利益與造成的損害之間需保持均衡，確保目的的重要性應高于手段對權(quán)益的限制。在限制個人信息權(quán)益時，需充分權(quán)衡公共利益與個人權(quán)益的損失，若手段的成本遠超過目的收益，顯失公平的繼續(xù)處理行為則違背這一原則。一方面，若事后查明同意系受脅迫或欺詐作出，致使被追訴人在信息不完整或非自愿狀態(tài)下作出同意授權(quán)，這種同意因違背自由意志和知情權(quán)而喪失合法性基礎(chǔ)。此時，個人信息主體當然有權(quán)撤回同意，偵查機關(guān)應主動停止繼續(xù)處理，并刪除已獲取的個人信息或數(shù)據(jù)。另一方面，即使初始同意合法，若后續(xù)個人信息處理超出原定同意范圍，如將調(diào)取的通信信息用于關(guān)聯(lián)案件偵查或共享給行政機關(guān)，這種濫用行為顯然侵蝕了同意的邊界致使個人信息處理行為失去正當性，個人信息主體有權(quán)撤回同意并要求處理機關(guān)對其相關(guān)個人信息予以刪除、封存或匿名化處理。公權(quán)力機關(guān)不得在個人信息主體撤回同意后，擅自援引其他法律依據(jù)繼續(xù)處理個人信息，否則容易導致同意撤回被變相架空。可見，顯失公平的繼續(xù)處理行為既可能源于程序失范，也可能源于實體權(quán)利與義務之間的比例失衡。

盡管我國《刑事訴訟法》尚未就“同意撤回機制”作出明確規(guī)定，不過我國《個人信息保護法》第15條、第47條已初步確立同意撤回權(quán)以及撤回后個人信息處理者的刪除義務，2021年《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》第22條亦對“撤回不影響既往合法性但需立即停止繼續(xù)處理”的規(guī)則予以明確。上述具體規(guī)范均為我國刑事訴訟法修改中關(guān)于“同意撤回機制的構(gòu)建”提供了寶貴的參考，不過這些規(guī)范仍存在一定局限，還需要進一步細化完善。例如，明確撤回同意的具體條件及限制，以防止個人信息主體惡意撤回同意，影響正常司法程序的進行。

（三）撤回同意后的救濟途徑

在撤回同意后，個人信息主體應通過即時救濟恢復其原有的權(quán)利狀態(tài)，具體包括兩種途徑：一是向處理個人信息的公權(quán)力機關(guān)尋求程序性救濟；二是請求行政或司法救濟，并由第三方平臺提供協(xié)助。

1. 被遺忘權(quán)的救濟

被遺忘權(quán)是指個人在其個人信息或數(shù)據(jù)不再具有合法處理必要性時，要求刪除或不再使用這些信息或數(shù)據(jù)的權(quán)利。被遺忘權(quán)的救濟是個人信息自主權(quán)在刑事司法領(lǐng)域的重要延伸。具體來說，刑事訴訟被遺忘權(quán)之行使，主要包括刪除、封存和匿名化處理三種行為，因此同意被撤回后，刑事訴訟被遺忘權(quán)所對應之內(nèi)容主要是刪除、封存和匿名化處理刑事訴訟中同意所涵蓋的個人信息。

其一，刪除。在撤回同意后，對于不再具有保存必要的個人信息或數(shù)據(jù)，例如案件審結(jié)后的生物樣本、無關(guān)的電子通信記錄等，公安司法機關(guān)應當立即采取技術(shù)措施予以刪除。根據(jù)歐盟2016/680號指令第5條，成員國應當規(guī)定適當?shù)臅r間限制，以便在保存?zhèn)€人數(shù)據(jù)時進行定期審查，確保及時刪除不必要的信息。參考這一制度經(jīng)驗，我國可以規(guī)定撤回同意后個人信息或數(shù)據(jù)的最長保留期限，如撤回同意后信息數(shù)據(jù)最長保留30日以供申訴核查，逾期將被自動刪除等；建立個人信息清理機制，由司法機關(guān)定期檢查存儲的個人信息或數(shù)據(jù)是否符合法律規(guī)定的保留條件，如不符合者應及時予以清理。其二，封存。同意被撤回后，對于仍具潛在司法價值的個人信息或數(shù)據(jù)，司法機關(guān)應采取技術(shù)隔離措施，限制負責信息處理的公權(quán)力機關(guān)對上述信息數(shù)據(jù)的持續(xù)訪問與使用。對于可能被用于上訴審理或司法研究的證據(jù)信息或數(shù)據(jù)，可以采用加密存儲的方式進行處理，并明確非經(jīng)法院令狀不得解封。對此，我國可以明確同意被撤回后相關(guān)個人信息或數(shù)據(jù)應予以加密存儲，且非經(jīng)法院令狀不得解封；設(shè)立專門的大數(shù)據(jù)管理制度，明確個人信息或數(shù)據(jù)的訪問權(quán)限與使用范圍，旨在降低信息數(shù)據(jù)被濫用、泄露的風險。其三，匿名化處理。同意一旦撤回，用于司法統(tǒng)計、研究或公共利益目的的非敏感信息或數(shù)據(jù)，可以通過技術(shù)手段去除直接標識信息，例如刪除個人身份信息或?qū)?shù)據(jù)加密，以防止其直接關(guān)聯(lián)到特定個人。日本《個人信息保護法》第43條要求，匿名化處理必須達到“無法識別特定個人”且“無法通過技術(shù)手段恢復個人信息”的標準。我國公安司法機關(guān)可在借鑒其經(jīng)驗的基礎(chǔ)上，制定符合本國實際的技術(shù)標準，既保障匿名化數(shù)據(jù)滿足刑事訴訟的處理需求，又能充分保護個人信息權(quán)益。

2. 其他救濟程序

第一，行政救濟。個人信息主體有權(quán)向國家有關(guān)部門或行政監(jiān)管機構(gòu)提出救濟請求，申請其依法介入調(diào)查。結(jié)合我國《個人數(shù)據(jù)保護法》第60條、第65條以及GDPR有關(guān)監(jiān)督機關(guān)的權(quán)限規(guī)定，行政機關(guān)作為監(jiān)督者，既能夠受理信息主體的投訴、舉報并開展調(diào)查，又可依托動態(tài)更新的監(jiān)管體系，有效預防個人信息權(quán)益受損。以2022年通過的《浙江省公共數(shù)據(jù)條例》為例，該條例第47條明確規(guī)定，公共管理和服務機構(gòu)未按規(guī)定“校核、封存、撤回公共數(shù)據(jù)”的，應當限期整改；違規(guī)保留撤回數(shù)據(jù)的，相關(guān)責任主體將依法受到通報批評。上述做法亦可為刑事司法中撤回同意后的救濟規(guī)則提供有益借鑒，即通過確立懲戒性規(guī)定，健全行政救濟機制，以實現(xiàn)對個人信息權(quán)益的及時、有效保護。第二，司法審查。在行政救濟未能有效救濟權(quán)利時，個人信息主體可依法向人民法院提起司法審查。人民法院在審查過程中，應當依據(jù)《刑事訴訟法》第56條關(guān)于證據(jù)合法性的審查規(guī)則，結(jié)合信息處理的目的、手段及其對個人信息權(quán)益的影響等因素，綜合判斷信息處理行為的合法性。若認定信息處理機關(guān)未履行法定刪除義務，構(gòu)成程序違法的，應依法裁定排除相應證據(jù)，以保障個人信息主體的程序性權(quán)利。第三，平臺協(xié)作。可以借鑒歐盟“谷歌訴岡薩雷斯案”的裁判規(guī)則，①構(gòu)建“司法-行政-平臺”三方協(xié)作機制，司法機關(guān)作出刪除裁定后，可向網(wǎng)信主管部門發(fā)出協(xié)助執(zhí)行通知，行政機關(guān)依通知督促平臺履行刪除義務，網(wǎng)絡(luò)平臺則應建立快速響應機制，原則上在24小時內(nèi)完成相關(guān)信息的下架處理。

結(jié)語

黨的二十大報告強調(diào)“加強個人信息保護”，《刑事訴訟法》的第四次修改為回應數(shù)字時代的司法需求提供了重要契機。刑事訴訟承載著懲治犯罪與保障人權(quán)的雙重使命，面對犯罪治理與個人信息權(quán)益保障的雙重挑戰(zhàn)，需要準確把握好國家權(quán)力與個人信息權(quán)益之間的關(guān)系。在刑事訴訟個人信息處理中，同意原則的適用是平衡國家追訴權(quán)與個人信息自決權(quán)的必要制度設(shè)計。展望未來，隨著我國《刑事訴訟法》的修改完善，特別是《刑事訴訟法》與《個人信息保護法》《數(shù)據(jù)安全法》的規(guī)范競合，對算法透明以及被遺忘權(quán)救濟等問題還需要進一步深化研究，從而充分發(fā)揮刑事訴訟法對社會公平正義的保障作用。