首页>>理论频道>>学术观点

刑事诉讼中的个人信息保护探讨——基于公民信息保护整体框架

时间:2021-08-20 09:41:00作者:新闻来源:人民检察

评论投稿打印转发复制链接||字号

  │裴 炜*

  *北京航空航天大学法学院副教授、博士生导师。

  近年来,我国不断强化个人信息保护的立法工作,逐步建立起法律法规、行业规范、技术标准为一体的多层次、综合性个人信息保护制度框架。但该框架并未从刑事诉讼角度予以足够的关注,刑事司法领域已经成为个人信息保护理论探讨和制度建构的短板。如何在遵循刑事司法内在价值和逻辑的基础上,将个人信息保护制度融入刑事诉讼程序规则,进而确保打击犯罪和保障人权在网络信息时代的动态平衡,是刑事诉讼法律制度亟待回应的问题。该问题的回答不应脱离刑事诉讼制度已有的公民信息保障整体机制,且需要明确个人信息在其中的定位,形成新旧制度间的合理衔接和有效融合。

  一、刑事诉讼中的公民信息保护框架

  刑事诉讼究其本质是一个收集信息、分析信息、根据信息还原案件事实,并在此基础上适用法律定罪量刑的过程。这些信息并非受到同等保护,其中法律主要关注的是隐私信息和通信信息。

  (一)针对隐私信息的程序设计

  隐私信息作为公民隐私权的下位概念,其保护依托于隐私权保护框架。民法典第一千零三十二条第二款将隐私定义为自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。该规定尤其强调了隐私的“私密性”属性,并进一步体现在两个要素之上:关涉私人生活安宁;不愿为他人知晓。刑事诉讼法针对隐私的重点保护主要体现在三个方面:

  一是在侦查取证过程中,对于可能侵犯公民隐私的侦查措施予以限制。以搜查为例,搜查对象的隐匿性是该侦查措施的核心特征之一,该特征反映出搜查措施对公民私人领域的强干预性,并匹配高于其他任意性侦查措施的强程序规制。二是根据强制措施进行分层。例如,相对于取保候审,执行机关可以在适用监视居住时对行为人采取电子监控、不定期检查等措施,这些监控措施可指向行为人的住所和行踪。在采取拘留和逮捕措施时,在看守所中针对行为人生活场所的监控则进一步强化。三是对隐私设置保密义务,例如,刑事诉讼法第五十四条第三款在一般意义上规定了公检法三机关对收集、调取证据过程中获知的个人隐私负有保密义务;第一百五十二条第二款专门就技术侦查措施进一步强调了侦查人员对个人隐私的保密义务。除侦查取证外,隐私信息保护同时也限制审判公开原则,涉及个人隐私的案件属于法定不公开审理的情形。

  (二)针对通信信息的程序设计

  宪法第四十条规定,公民的通信自由和通信秘密受法律保护,该条同时设置了犯罪侦查活动作为例外,并以此构成刑事诉讼法中相关侦查措施的实施依据。刑事诉讼中对公民通信权的干预集中于两个方面:一是为收集证据之目的进行的专门性通信监控,典型的如技术侦查;二是为保证诉讼顺利进行实施的一般性通信监控,例如,取保候审和监视居住措施中均包含对公民通信自由的限制,而当行为人被采取拘留或逮捕措施时,其通信自由和通信秘密将受到普遍性的限制。

  当前,刑事诉讼法主要从三个方面制约公权力干预公民通信权:一是嵌套于强制措施之中,对通信权干预强度进行层级划分,从而形成干预措施与具体涉案情形之间的比例关系,例如,通信禁止在取保候审中是酌定条件,但在监视居住中则是法定条件;二是区分通信的非内容信息和内容信息,针对内容信息的监控往往适用于更为严重的犯罪类型;三是保护辩护人与犯罪嫌疑人、被告人之间的通信,辩护律师在会见被羁押或监视居住的犯罪嫌疑人、被告人时,不受监听。

  二、公民信息保护中的个人信息定位

  刑事诉讼法对于隐私信息和通信信息的特别保护,反映出不同信息所承载公民权益的差异性。在判断是否需要保护以及如何保护个人信息之前,首先需要在现有信息保护框架内定位个人信息,特别是需要明确其与隐私信息和通信信息的关系。

  (一)个人信息与隐私信息

  隐私信息保护建立在两个前提之上:一是存在隐匿的可能性;二是存在公领域与私领域的大致界分。若所隐之事无关个人,或者个人之事无需隐匿,均不构成隐私。相对而言,个人信息并非以“隐”为前提。2020年全国人大常委会《中华人民共和国个人信息保护法(草案)》(以下简称《草案》)在延续网络安全法、民法典“识别说”的同时,融入了“相关说”。根据其定义,个人信息不仅指向具有识别功能的信息,同时还指向识别自然人之后与该自然人有关的信息,其涵盖范围要广于网络安全法和民法典的定义。

  1.个人私密信息

  由以上规定可以看出,个人信息与隐私信息之间存在交叉地带,重合部分是“有关私生活秘密”的信息,即民法典第一千零三十四条第三款所规定的个人私密信息。需要注意的是,个人信息与隐私信息尽管均承载的是信息主体对信息的自主决定权和控制权,但隐私信息保护的前提是隐匿性,是对私领域的控制和对外部干预的自动排斥。个人信息并不天然承载这种公私界分。相反,个人信息本身是各种社会关系建构的基础,其保护的前提在于使用,因此在以《草案》为代表的个人信息保护法律制度中,知情同意、最少收集、合目的性等原则的确立和具体制度的建构均是围绕“合理使用”这一逻辑起点展开。鉴于此,隐私信息和个人信息在对公权力的排斥性上存在根本差异:针对隐私信息的干预思路是禁止为原则,干预为例外;而针对个人信息的干预思路则是许可干预为原则,限制干预为例外。进一步讲,判断公权力对公民信息的干预是“侵犯”还是“限制”,隐私信息的审查重点在于干预行为是否属于法律明确许可的情形,而个人信息则在于干预行为是否必要且合比例。基于此,公权力之于隐私信息的干预门槛实际上高于个人信息,因此对于二者交叉地带的个人私密信息,在适用法律保护框架时,应遵循隐私信息保护的路径。

  2.敏感个人信息

  敏感个人信息一般被定义为一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。《草案》中规定的敏感个人信息包括但不限于“种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息”。如前所述,个人信息保护的关注点并非信息是否为他人知晓,而是是否为他人正当、合理地收集和使用,该逻辑起点同样应适用于作为其子概念的“敏感个人信息”。“敏感信息”之所以敏感,在于其在收集、处理时需更加谨慎,避免泄露之后可能引发社会负面评价或损害个人重要权益。敏感个人信息的特殊性在于更为强调其收集、处理过程中的信息安全。这构成了敏感个人信息与隐私信息的实质区别。

  3.公开后的隐私信息

  当信息主体主动、自愿对外披露隐私信息时,则丧失了“不愿为他人知晓”这一私密属性,此时便不再适用关于隐私信息保护的相关规定,对此类信息的收集、处理行为原则上不构成对隐私权的侵犯。相反,如果这种披露非经信息主体主动自愿进行,则隐私权保护仍然可能延续。从刑事诉讼法的规定来看,公检法三机关对于已收集的隐私信息仍然承担保密义务,其本身反映出的是非自愿披露隐私信息时隐私权保护的延续性。

  当信息主体主动、自愿公开披露隐私信息时,该信息尽管不再受隐私权保护,但仍有可能进入个人信息的保护范围。例如,根据《草案》第二十八条的规定,个人信息公开之后,对于有明确公开用途的,处理者仍应确保信息处理符合该用途,超出用途的处理需经信息主体同意;公开的用途不明的,处理者原则上仍然应当保持合理、谨慎的处理方式,特别是对个人有重大影响时,应当告知信息主体并取得同意。

  (二)个人信息与通信信息

  通信的核心在于信息在不同特定主体之间的点对点交流;在信息交流涉及多人参与的情形下,该信息交流是否属于法律保护的通信行为,则往往取决于参与主体是否为特定多数人。因此对于通信而言,“可识别的主体”是其有效运行的必备条件,进而不可避免地会涉及个人信息。

  通信信息可分为内容信息和非内容信息,前者是信息主体自由表达意愿的集中体现,也是通信权保护的主要客体;后者主要指通信主体、对象、行为、过程、方式等辅助通信活动开展的信息。刑事诉讼中实质上对以上两类信息存在划分,当干预对象涉及内容信息时,无论是侦查措施还是强制措施,在实施门槛上均会有所提升;非内容信息是否仍然属于通信秘密,受宪法第四十条的保护,存在争议。但这并不意味着非内容信息不受法律保护。事实上,相对于内容信息,通信中的特定主体识别首先和主要通过非内容信息实现,因此非内容信息在关系到已识别或可识别的个人时,会落入个人信息的保护范围。

  如果仅从信息内容来看,通信信息与个人信息、隐私信息可能存在交叉关系。但通信权与后两者所保护的信息状态存在差异。通信权主要保护处于传输状态中的动态信息,所防范的是传输中的不当干预。正基于此,刑事诉讼法在限制干预通信权时,主要针对的是监听、监控或通信拦截等行为。相对而言,个人信息权与隐私权所保护的是处于静态的信息,即当信息处于传输主体控制之下而非传输过程中时,对该信息的干预应当适用个人信息或隐私信息的保护规定。

  (三)信息类型间的动态转换

  刑事诉讼中,一起案件往往涉及到身份信息、地址信息、财产信息、通信信息、行踪轨迹信息等多种公民信息;同时随着侦查活动的不断深入,线索信息通过交叉碰撞可能进一步指向其他信息,进而需要进行多次调取,以形成侦查取证的信息链条。在这一过程中,非个人信息可能通过汇集、整合转化为个人信息,进而转化为隐私信息。在不同信息对应不同公权力干预门槛的规则框架下,如果以聚合后的信息所适用的保护规则来规制单个信息的获取,则有可能导致信息获取的门槛普遍过高,从而阻碍正常的刑事司法活动开展;反之,如果采用聚合前的信息所适用的规则进行规制,则又有可能减损隐私信息等高位阶信息的保护力度,规避刑事司法关于公权力干预高位阶信息的相关限制规则。

  信息的动态转换主要涉及到信息收集行为的叠加和大数据的运用。就信息收集行为叠加而言,现有规制的挑战在于多个取证行为所获取的个人信息可能最终聚合为隐私信息。此种情形下,除非能够从外部判断这些取证行为是为了规避隐私保护规则,否则即便结果上确实形成了隐私信息,取证行为规制上仍然应当适用个人信息保护规则,毕竟通过信息聚合以揭示案件事实是刑事诉讼程序的本质属性。但这并不意味着司法机关因此可以免除对隐私信息的后续保密义务。就大数据分析而言,问题的核心在于这种大规模数据收集行为存在干预隐私的风险,而究竟是否确实会从大量个人信息中挖掘出隐私信息,则难以在事前判断。从基本权利保护的角度来看,其保护范围的界定已经不仅仅局限于实际损害,同时还不断扩展至对基本权利行使的威胁。基于此,当一项侦查措施收集的信息规模达到一定程度时,其本身即构成对公民隐私的现实威胁,进而应当适用隐私信息保护的相关规定。

  三、个人信息保护在刑事诉讼中的嵌入

  通过上文分析,个人信息与隐私信息、通信信息三者间的关系可以总结如下:第一,个人信息与隐私信息是交叉关系,交叉部分即个人私密信息,适用隐私信息保护规则。第二,个人信息与敏感个人信息是包含关系,二者的核心区别在于后者的信息安全保障程度更高。第三,通信信息中的非内容信息包含交互信息和通信终端信息,前者属于通信信息的保护范围,但保护强度低于内容信息;后者典型地属于个人信息,适用个人信息保护规则。第四,通信信息中的内容信息与个人信息、隐私信息的区别在于信息状态,动态传输中的信息适用通信信息保护规则,静态信息且在主体控制下时,适用个人信息或隐私信息保护规则。第五,低权益位阶的信息经汇聚转化为高权益位阶信息时,原则上适用低权益位阶信息的保护规则,除非经过综合考量干预对象、手段、目的等因素后,能够将系列干预措施视为整体针对高权益位阶信息的措施时,则可以适用高权益位阶信息的保护规则。在以上认知基础上,我们进一步探讨刑事诉讼中个人信息保护的基本逻辑、框架和规则。

  (全文详见《人民检察》2021年第14期或请关注人民检察微信公众号)

[责任编辑:马志为]
关于我们 联系我们 广告服务
Copyright © 2021 JCRB.com Inc. All Rights Reserved. 正义网版权所有 未经授权 严禁转载
京ICP备13018232号-3 国家广电总局信息网络传播视听节目许可证:0110425号
互联网新闻信息服务许可证 京公网安备 11010702000076号 增值电信业务经营许可证B2-20203552
企业法人营业执照 广播电视节目制作经营许可证 网络出版服务许可证
网站违法和不良信息举报电话:010-8642 2930