一、刑事訴訟中保護個人信息的需求

信息時代下，互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等新技術(shù)的廣泛運用改變了信息的傳播方式，在給人們的生活帶來便利的同時也引發(fā)了個人信息失控的擔憂，個人信息保護已成為信息時代的重要議題。在此背景下，許多國家或地區(qū)出臺了關(guān)于保護個人信息的法律文件，最典型的即為歐盟《一般數(shù)據(jù)保護條例》（GDPR），我國也即將出臺“個人信息保護法”，以回應(yīng)此種時代需求。

在這樣的時代背景下，刑事訴訟中自然也存在著保護個人信息的需求。信息時代下刑事訴訟中的公權(quán)力機關(guān)通過運用大數(shù)據(jù)等技術(shù)，大量收集個人信息，并在所收集的個人信息的基礎(chǔ)上建立各種類型的數(shù)據(jù)庫，對于預(yù)防和追訴犯罪有著重要意義。此外，由于刑事訴訟系以國家強制力為后盾的，因此其中的個人信息收集與使用，也明顯地帶有強制性特征，相較于其他領(lǐng)域內(nèi)的個人信息收集和使用的行為，“對公民個人信息的干預(yù)廣度、深度都遠遠超越公民個人、商業(yè)機構(gòu)、社會機構(gòu)”，其強度也大于民商事領(lǐng)域或者政府行政領(lǐng)域。此外，在智慧警務(wù)、智慧檢務(wù)與智慧法院的浪潮下，各個公權(quán)力機關(guān)之間有“互聯(lián)互通”的要求，個人信息在不同數(shù)據(jù)庫之間的傳輸與流動，也會導(dǎo)致發(fā)生泄露和失控的風險。

但是相比于民商事或行政領(lǐng)域個人信息保護問題的廣受關(guān)注，刑事訴訟中的個人信息保護問題尚未得到充分認識。一方面固然是因為刑事訴訟中有涉及生命、自由、財產(chǎn)的剝奪這類更為重要的問題，另一方面則是由于為了實現(xiàn)預(yù)防和打擊犯罪的目標，個人信息保護的問題被淡化甚至回避。一些關(guān)于個人信息保護的專門性法律甚至直接將刑事司法排除于其適用范圍之外，例如歐盟的GDPR就明確規(guī)定不適用于刑事司法。在此種刑事訴訟中對個人信息的使用日益被重視和強化、但對個人信息的保護卻被忽視的現(xiàn)狀下，刑事訴訟成為個人信息保護這個“木桶”上最短的一塊“木板”，與信息時代下個人信息保護的社會整體需求形成強烈反差。

事實上，刑事訴訟中保護個人信息的需求是現(xiàn)實而迫切的。即便在刑事訴訟發(fā)生之前，警方就可能基于風險防控的要求預(yù)先地大量收集個人信息，這類個人信息必須被嚴格地限制使用的目的和方式。而在訴訟過程中，偵查機關(guān)可能通過網(wǎng)絡(luò)搜查、大數(shù)據(jù)追蹤、人臉識別等方式強制收集個人信息，并將收集的個人信息傳遞給起訴機關(guān)和審判機關(guān)，在其間作為信息主體的公民個人對于其個人信息的掌握已然失去，因此需要由法律明確規(guī)定此類信息的收集使用方式。甚至在訴訟結(jié)束后，被最終確定為無罪之人、被害人、證人、甚至已被定罪完成刑罰之人，都有回歸正常生活的需求，于是又有行使被遺忘權(quán)要求封存甚至刪除相關(guān)信息的需求。

更值得注意的是，在各個國家都在推進司法信息化建設(shè)的過程中，司法信息化所運用的相關(guān)技術(shù)可能存在漏洞、出現(xiàn)錯誤，有出現(xiàn)遇到網(wǎng)絡(luò)黑客攻擊、系統(tǒng)故障、人員操作失誤的可能，一旦遭遇這些情形，則個人信息就有泄露的風險，可能給作為信息主體的公民的隱私、財產(chǎn)甚至人身安全帶來進一步的風險。2019年英國曾發(fā)生過此類事件，司法信息化技術(shù)故障導(dǎo)致系統(tǒng)崩潰、審判和相關(guān)工作停滯、數(shù)據(jù)庫損壞并出現(xiàn)數(shù)據(jù)丟失風險的重大事故，使得人們對于存儲于司法信息化系統(tǒng)中的公民個人信息安全產(chǎn)生了擔憂。在此種現(xiàn)實下，保障刑事訴訟中收集的個人信息之安全，成為刑事訴訟的重要需求。

二、刑事訴訟中個人信息保護的現(xiàn)狀與問題

盡管信息時代下個人信息保護的需求愈發(fā)強烈，刑事訴訟中也有此種需求，我國并無針對刑事訴訟中個人信息保護問題的專門立法，涉及個人信息保護的相關(guān)法律也不適用于刑事訴訟。《刑事訴訟法》中與個人信息保護問題有一定關(guān)系的條文數(shù)量極為有限，僅有第54條、第64條、第152條等幾個條文，包括涉及個人隱私證據(jù)的保密、不公開證人等個人信息、技術(shù)偵查中知悉的個人隱私保密等幾個問題，其保護的范圍和力度均有限。但是值得注意的是2016年最高人民法院、最高人民檢察院和公安部頒布了《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》、2019年公安部頒布了《公安機關(guān)辦理刑事案件電子數(shù)據(jù)取證規(guī)則》，這兩個文件在對電子數(shù)據(jù)取證和審查問題上有許多體現(xiàn)個人信息保護理念的規(guī)定。除此之外，《國家情報法》、《反恐怖主義法》及其他相關(guān)法律也有關(guān)于各自涉及刑事訴訟領(lǐng)域內(nèi)個人信息保護的規(guī)定。

從總體上看，目前我國對于刑事訴訟中個人信息保護問題仍然重視不足，現(xiàn)有的規(guī)定也主要存在兩方面的問題。第一方面的問題是缺乏完整的規(guī)范體系。如上文所述，關(guān)于刑事訴訟中個人信息保護的規(guī)定散見于《刑事訴訟法》和其他相關(guān)法律法規(guī)中，且規(guī)定的方式不成系統(tǒng)，這樣極容易導(dǎo)致實踐中的忽視和適用困難。針對這一問題，有兩種解決方案，一種是日后在關(guān)于個人信息保護的專門法律中專章規(guī)定刑事訴訟中保護個人信息的問題，另一種則是在未來時機成熟的情況下修改《刑事訴訟法》時設(shè)置關(guān)于個人信息保護的專章規(guī)定。第二方面的問題在于相關(guān)的規(guī)定較為重視對公權(quán)力機關(guān)的權(quán)力授予，而對作為信息主體的公民的賦權(quán)和對公權(quán)力機關(guān)的權(quán)力制約規(guī)定不足。例如《刑事訴訟法》中規(guī)定的技術(shù)偵查，其涉及個人信息的收集和使用，但相關(guān)的制約性規(guī)定仍然過于粗疏;再如《網(wǎng)絡(luò)安全法》第28條規(guī)定網(wǎng)絡(luò)運營者應(yīng)當為公安機關(guān)、國家安全機關(guān)依法維護國家安全和偵查犯罪的活動提供技術(shù)支持和協(xié)助，但是缺少對刑事訴訟中公民個人信息權(quán)利的賦權(quán)性規(guī)定，難以實現(xiàn)權(quán)利對權(quán)力的制約。

三、刑事訴訟中加強個人信息保護的路徑

針對上述問題，應(yīng)當從賦予公民個人信息權(quán)利、明確公權(quán)力機關(guān)義務(wù)與責任兩個方面，加強刑事訴訟中的個人信息保護。

（一）賦予公民個人信息權(quán)利

在刑事訴訟中，當事人和其他訴訟參與人都可能成為信息主體，按照個人信息保護的一般原理，這些信息主體應(yīng)當享有前置性權(quán)利、程序性權(quán)利和救濟性權(quán)利這三類權(quán)利。

其一，所謂前置性權(quán)利是指信息主體對于其個人信息被收集使用應(yīng)知悉的權(quán)利。由于對個人信息被收集使用的知悉構(gòu)成了行使其他權(quán)利的前提，因此此項知悉之前置性權(quán)利十分必要。參考個人信息保護的“知情-同意”原則，刑事訴訟中盡管因其強制性特征對該項權(quán)利應(yīng)有所限縮，但畢竟仍有此項權(quán)利的適用空間。為保證刑事訴訟的順利進行，關(guān)于其個人信息被收集使用之告知可以延遲至封閉性最強的偵查程序結(jié)束之后進行，當然如果此種告知不至造成偵查之阻礙，亦可提前之偵查階段中秘密性最強的偵查工作基本完成之時進行。

其二，程序性權(quán)利主要是在訴訟過程中查閱訪問相關(guān)數(shù)據(jù)的權(quán)利。在數(shù)字化的背景下，對數(shù)據(jù)的查詢訪問對于作為信息主體的刑事訴訟參與人、特別是被追訴人而言具有重大意義，甚至關(guān)系到其是否能夠有效進行辯護，唯有充分保障此種權(quán)利，才能對公權(quán)力機關(guān)所掌握的信息和證據(jù)有充分了解，辯護才能有的放矢。目前根據(jù)我國《刑事訴訟法》的規(guī)定，辯方享有閱卷權(quán)，但是此種閱卷權(quán)的權(quán)利主體是辯護人，而非作為信息主體的被追訴人本人，而且此種閱卷權(quán)的對象是案卷材料，包括訴訟文書和證據(jù)材料，范圍較窄，難以適應(yīng)司法信息化帶來的刑事訴訟個人信息收集使用方式的變化，故而應(yīng)考慮對其進行改造，實現(xiàn)閱卷權(quán)向數(shù)據(jù)訪問權(quán)的進階。

其三，救濟性權(quán)利主要包括更正權(quán)、被遺忘權(quán)、限制處理權(quán)等。更正權(quán)是信息主體在發(fā)現(xiàn)公安司法機關(guān)所收集使用的個人信息存在遺漏、錯誤等情形時要求其進行補充、更正的權(quán)利;被遺忘權(quán)是信息主體在其個人信息不再有合法使用之需時、或經(jīng)由同意后撤回同意時要求刪除相關(guān)信息的權(quán)利;限制處理權(quán)是信息主體對被收集使用的個人信息的準確性提出質(zhì)疑、而該信息的準確性尚在查證過程中，或者該個人信息需被保全而作為證據(jù)使用時，信息主體有權(quán)要求只有在其同意時公權(quán)力機關(guān)才能使用該信息的權(quán)利。在刑事訴訟中賦予信息主體這些救濟性權(quán)利，可以保證公權(quán)力機關(guān)對個人信息的準確、有效及合目的之使用。

（二）明確公權(quán)力機關(guān)的義務(wù)與責任

有權(quán)力則有義務(wù)。刑事訴訟中的偵查、起訴、審判機關(guān)等機關(guān)基于刑事訴訟的目的收集使用個人信息，也應(yīng)當履行相應(yīng)的義務(wù)，倘若未依法履行義務(wù)，則需承擔相應(yīng)的責任。作為刑事訴訟中個人信息的控制者和處理者，這些公權(quán)力機關(guān)所承擔的義務(wù)主要有兩類，包括告知義務(wù)和協(xié)助義務(wù)，其責任主要包括因使用信息而承擔的信息安全保障責任。

一方面，作為個人信息控制者和處理者的公權(quán)力機關(guān)應(yīng)當承擔告知義務(wù)和協(xié)助義務(wù)。告知義務(wù)與作為信息主體的訴訟參與人所享有的前置性的知悉權(quán)相對應(yīng)，具體有三項要求：其一，在告知時間方面，由于刑事訴訟固有的秘密性和封閉性特征，如上文所述，此種告知可以延遲至秘密性最強的偵查工作基本完成或偵查階段結(jié)束后，但根據(jù)案件情況，應(yīng)允許和鼓勵公權(quán)力機關(guān)盡早告知;其二，在告知的內(nèi)容方面，作為信息的控制者和處理者，公權(quán)力機關(guān)除告知信息主體其個人信息被收集使用的概況性事實之外，還應(yīng)告知收集使用個人信息的法律依據(jù)、被收集使用的個人信息的具體內(nèi)容、收集使用個人信息的目的和法律意義（例如可能被用作針對該信息主體的控訴證據(jù)等）、以及告知信息主體因此享有的相關(guān)權(quán)利和救濟途徑;其三，在告知的方式方面，此種告知應(yīng)以書面文件（包括電子文件）等可留痕方式進行，以便后續(xù)程序中查證。此外，公權(quán)力機關(guān)對應(yīng)于信息主體的程序性權(quán)利還有協(xié)助之義務(wù)。針對作為信息主體程序性權(quán)利的數(shù)據(jù)訪問權(quán)，公權(quán)力機關(guān)應(yīng)當應(yīng)請求而向其提供數(shù)據(jù)庫訪問權(quán)限、數(shù)據(jù)副本等，針對更正權(quán)而根據(jù)信息主體的要求修正不準確信息、補充不完整信息，針對被遺忘權(quán)而依法刪除已無合法使用必要或已被撤回使用許可的信息，針對限制處理權(quán)在信息存疑或信息被保全的情形下處理使用個人信息預(yù)先取得信息主體的同意。

另一方面，刑事訴訟中的公權(quán)力機關(guān)基于其控制和處理信息權(quán)力應(yīng)當履行的信息安全保障責任主要包括四方面：保密責任、記錄責任、風險評估責任、信息泄露后的通知和告知責任。其一，盡管刑事訴訟中公權(quán)力機關(guān)收集使用個人信息相對于信息主體而言仍應(yīng)遵循透明性這一個人信息保護基本原理而履行告知義務(wù)，但其收集使用的信息、尤其是敏感個人信息應(yīng)當對其他人嚴格保密，以防被用于刑事訴訟之外的其他目的。為保障此種保密責任的實現(xiàn)，公權(quán)力機關(guān)應(yīng)采取必要的措施保證信息處理的安全，例如傳輸和存儲個人信息時采用加密等措施、對大量接觸個人信息的人員進行背景審查、設(shè)置使用特殊數(shù)據(jù)的授權(quán)觸發(fā)機制、對特定數(shù)據(jù)進行“匿名化”處理等。其二，對于收集使用個人信息的過程應(yīng)當予以全程記錄，特別對公安機關(guān)收集個人信息的行為，應(yīng)全程記錄，并根據(jù)此種記錄由公安機關(guān)法制部門及時審查此種行為的合法性。其三，公權(quán)力收集使用公民個人信息時，應(yīng)當評估此種收集使用行為可能帶來的風險，特別是可能給該公民的隱私、財產(chǎn)、人身權(quán)利帶來的風險，從而按照目的限制與比例原則的要求進行價值衡量。其四，在已經(jīng)發(fā)生個人信息泄露事故時，作為信息控制者和處理者應(yīng)當及時通知和報告，一是向主管部門報告，其目的在于盡快采取補救措施減輕事故后果;二是向信息主體報告，以便其了解因此可能帶來的人身傷害、財產(chǎn)損失等方面的風險，及時做好準備或?qū)で蟊Ｗo。對于信息泄露后的通知和告知責任，我國《網(wǎng)絡(luò)安全法》第42條已有規(guī)定，在刑事訴訟中也應(yīng)加以明確。

（鄭曦，北京外國語大學(xué)法學(xué)院教授/責編 劉玉霞）