【摘要】在刑事诉讼中,侦查机关从社会管理部门或商业机构处调取公民个人数据已有现实基础、内外需求和规范基础,但此种行为可能带来现实的风险,例如导致侦查权力的进一步扩张、权力制约的弱化和对公民权利的干预。面对这些风险,应对此种行为进行规制,确立遵循比例原则、强化权力制约、重视权利保障的基本理念。在此基础上,需设置事前、事中、事后的权力监督制约机制,强化对公民诉讼权利和数据权利的保障,确立权力与权利发生冲突时的纠纷解决方案,以实现侦查机关调取公民个人数据行为的规制。
【中文关键字】侦查机关;个人数据;权力制约;权利保障
人类社会由出版传播时代进入了数字传播时代,随着信息传播方式的变革,人类的生活方式或主动或被动地被进行改造。在数字时代下,数据成为维系数字化生产生活方式的基本养料,各类数据,尤其是公民个人数据在不同场景下被收集使用,引发了关于个人隐私、公民自由等方面问题的普遍焦虑,亦已有大量论著就此展开讨论。[1]但更为值得关注的是,在刑事诉讼中,刑事诉讼公权力机关、特别是侦查机关以国家强制力为后盾,调取在日常生活场景下由不同主体收集的公民个人数据,令此种数据向刑事诉讼传输并被用于追诉目的。此种调取行为涉及侦查权这一刑事诉讼公权力的运用、与其他数据处理者的互动以及公民个人权利保护等诸多问题,兹事体大,因而有必要对此种调取行为的现实、依据、风险和规制方式等进行研究。
一、问题的提出:侦查机关调取公民个人数据的现实
公民个人数据被不同的数据处理者收集已是当代生活的常态,此种数据收集行为主要在商业场景和社会管理场景下出现。在商业场景下,商业机构尤其是互联网商业平台的运作往往需要以包括个人数据在内的各类数据为支撑,商业机构收集个人数据已是商业交易中的常态;在社会管理场景下,个人数据的收集及其后续处理亦是国家履行其社会管理职能的必要手段,对个人数据的收集常发生在交通运输、户籍管理、疫情防控等情形下。从现实的情况看,收集和使用公民个人数据已经是当下人类生活方式的重要组成部分,公民作为个体已然无力拒绝或逃离。而此种对公民个人数据的广泛收集,为刑事诉讼中侦查机关调取公民个人数据行为提供了前提。
侦查机关从社会管理部门或商业机构处调取公民个人数据,从某种意义上看是在数字时代下刑事诉讼方式适应现实需求的必然结果,受到内外动力的双重驱动。从外部情况看,犯罪的网络化、数字化是倒逼侦查机关采取调取公民个人数据等新型办案手段的动力。随着网络技术和数字技术的普及,传统型犯罪的数量逐步下降,依托网络实施的犯罪不但在技术层面实现“升级”,甚至走向“产业化”。在这些新型网络犯罪案件中,实施犯罪的过程需依靠数据的传输运用实现,于是证据也往往以数据的形式呈现。面对此种现实,如何取得这些以数据形式呈现的数据,就成为侦查机关能否查明案件事实、完成诉讼工作的核心问题。摆在侦查机关面前的选项有两个:一是自行收集数据;二是向社会管理机构或商业机构等调取他们已然收集好的包括公民个人数据在内的各类数据。从这个视角看,在数字时代下犯罪形态的网络化、数字化转型,是促使侦查机关选择以调取方式获取公民个人数据的外在推动力。
从内部情况看,在当下包括我国在内的许多国家都面临案件数量迅猛增长、办案机关人手不足的压力,侦查机关面对案件数量激增、工作负担过大的现实,促使其采取调取公民个人数据等更为高效、低成本的办案手段。根据公安部公布的数据,2018年全国公安机关开展“净网”专项行动以来,共依法侦破各类网络犯罪案件25.5万起,抓获犯罪嫌疑人38.5万名[2];2021年各类侦查机关报请检察机关审查并最终批准逮捕的犯罪嫌疑人即达到868445名之多。[3]面临如此巨大的案件压力,作为刑事诉讼多元价值体系中重要一环的效率价值愈发得到重视,在“公正优先”的前提下对效率的“兼顾”已成共识,核算诉讼行为的成本与收益、提高诉讼效率的优先性得到提升,甚至在某种程度上迫使刑事诉讼的其他价值向其作出妥协和让步。相较于侦查自行收集数据,向已然收集了公民个人数据的社会管理机构或商业机构进行调取,显然成本更低、效率更高,从而满足了侦查机关应对海量案件提升案件办理效率的内在诉求。
侦查机关从社会管理部门或商业机构处调取公民个人数据的内外部需求得到了法律的支持。我国《刑事诉讼法》第54条第1款规定:“人民法院、人民检察院和公安机关有权向有关单位和个人收集、调取证据。有关单位和个人应当如实提供证据。”最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第3条规定:“人民法院、人民检察院和公安机关有权依法向有关单位和个人收集、调取电子数据。有关单位和个人应当如实提供。”公安部《公安机关办理刑事案件电子数据取证规则》第二章第六节对公安机关调取电子数据的程序作了较为细致的规定。除了刑事司法领域的相关规定外,2021年《数据安全法》第35条规定:“公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。”《数据安全法》的规定与刑事司法领域相关法律法规相结合,形成了我国侦查机关从社会管理部门或商业机构处调取包括公民个人数据在内的各类数据的规范基础。
尽管侦查机关调取公民个人数据已有现实基础、内外需求和规范基础,但仍有诸多问题值得思考。例如,此种调取公民个人数据的行为是否会导致权力失控、侵犯公民权利?有无规制此种行为的必要?如有此种必要,应当依据何种思路对此种行为进行规制?现有法律规定是否有进一步完善的空间?应当就侦查机关调取公民个人数据行为设置何种规制规则?研究和回答这些问题,对于确保侦查机关调取公民个人数据符合法治的要求,防止其成为专断之强权[4]具有重要意义。
二、侦查机关调取公民个人数据带来的风险
侦查机关从社会管理部门或商业机构处调取公民个人数据,与其他任何公权力的行使方式一样,可能带来一定的风险,主要体现在侦查权力的进一步扩张、权力制约的弱化、干预公民权利这三个方面。
(一)侦查权力的进一步扩张
作为政治学基本概念的权力本身即有在程序中前移以进行提前支配的天然倾向,在整个刑事司法中,侦查权力的扩张性最强。而允许侦查机关通过社会管理部门或商业机构调取公民个人数据,使得侦查权有进一步扩张的趋势。
一方面,侦查取证工作的实际启动时间再被提前。越是在刑事诉讼的早期,甚至在刑事诉讼之前能将案件事实查明、案件结论下准,则在后续程序中花费的时间、人力等成本就越低,诉讼的效率也就越高。于是案件的侦查阶段的重要性就被提升了,甚至针对犯罪的预防和控制在刑事立案之前即已启动,如我国法律即明确允许公安等侦查机关在立案之前于必要时进行调查核实,即以往所称之“初查”。[5]随着高新技术在刑事司法领域的运用,公安等侦查机关被赋予更强的力量,例如,运用犯罪预测工具、案件初查辅助工具和侦查辅助工具等人工智能技术收集证据,而这些通过高科技手段收集的证据背后的信息以及其可能推导出的追诉性结论可能通过公检法信息共享和互动平台向后续程序传递[6],从而提前对整个案件的结果作出实质性影响。而允许侦查机关从社会管理部门或商业机构处调取公民个人数据,则使得侦查取证工作的实际启动时间进一步提前,由于这些机构在日常工作或业务经营中收集的个人数据得由侦查机关调取,则这些社会管理部门或商业机构在某种意义上扮演着侦查机关“助手”的角色,此种收集数据行为在一定程度上也具有了侦查取证的意味,从而使得侦查取证工作的启动时间更加远远早于刑事立案程序。
另一方面,侦查取证的对象范围被扩大。立案之于刑事诉讼的意义之一即在于限定侦查的对象范围,使得侦查取证具有特定的针对性。然而如上文所述,侦查取证工作的实际启动时间因从社会管理部门或商业机构处调取公民个人数据而被一再提前,远远早于立案,使得立案的限定对象作用无法实现。在此种场景下社会管理部门或商业机构的收集个人数据行为实质上具有一定程序的侦查意味,而通过社会管理部门或商业机构收集公民个人数据和侦查机关向其调取公民个人数据这两个步骤,实际意义上的侦查取证工作可以针对不具有特定犯罪嫌疑或者此种嫌疑尚不足以达到立案标准的公民预先展开,于是侦查取证的对象范围就得以扩大。如此一来,在允许调取公民个人数据的情形下,侦查取证工作的实际启动时间再被提前,且侦查取证的对象范围被扩大,则侦查权力的进一步扩张即非杞人忧天。
(二)权力制约的弱化
如上文所述,允许侦查机关从社会管理部门或商业机构等处调取公民个人数据,使得侦查权力有进一步扩张之风险。面对此种情形,本应加强对侦查机关的制约限制,然而此种调取行为却令侦查机关有逃避权力监督制约机制的“空子”可钻。
在美国刑事诉讼史上,联邦警察曾运用“银盘理论”(Silver Platter Doctrine)[7]规避非法证据排除规则的适用。所谓“银盘理论”,是在20世纪初美国联邦最高法院通过“威克斯案”确立了非法证据排除规则的背景下[8],由于联邦制下联邦与州的二元体系,该规则只限制联邦执法官员而不限制州执法官员,于是联邦执法官员即假手于州执法官员,由州执法官员进行违法的搜查扣押,其取得的证据再转交给联邦执法官员,恰如服务员们用银盘托着账单或钱币,联邦执法官员双手干干净净,于是这些证据可以在联邦法院的案件审理中使用而不被排除。[9]
在侦查机关从社会管理部门或商业机构等处调取公民个人数据的场景下亦有出现类似于“银盘理论”式规避法律监督的风险。在“卡朋特案”中,美国联邦调查局警察在无令状的情况下从手机通信运营商处调取了犯罪嫌疑人的手机定位信息(CSLI)并将其作为控诉证据使用。控方、初审的密歇根东区联邦地方法院法官和复审的联邦第六巡回法院法官均认为:公民使用手机与信号基站的信息交互行为属于商业领域的数据收集行为、不受美国联邦宪法第四修正案的规制;而由于对于这些数据公民已无隐私期待,因此侦查机关再从手机通信运营商处调取相关数据的行为亦不受第四修正案的规制,因此不必取得法官令状。[10]相较于受第四修正案限制的侦查机关直接收集公民个人数据的行为,从手机通信运营商之类的商业机构处调取个人数据可以免受此种制约,侦查机关何乐而不为?
调取公民个人数据以规避法律制约的现象在我国司法实践中亦有体现。在我国,侦查机关直接收集公民个人数据需经过较为严格的审批流程,但从社会管理部门或商业机构等处调取公民个人数据则相应的限制性规定较少。如侦查阶段公安机关直接收集公民个人数据,常涉及技术侦查措施的运用,此时不但审批主体级别较高(报设区的市一级以上公安机关负责人批准),且有措施种类、适用对象和期限等方面的限制;但调取公民个人数据,只需经过办案部门负责人批准即可,相关的规定也较为宽松。[11]如此一来,调取公民个人数据的路径所对应的明显虚弱的权力制约机制刺激了侦查机关以调取而非直接收集的方式获取公民个人数据,从而带来了监督制约不力的风险。
(三)干预公民权利
从表面看,侦查机关调取公民个人数据,无非是在侦查机关与作为数据提供方的社会管理部门或商业机构之间发生关系,并不直接涉及公民个人。但事实上,由于调取本身即是一项具备干预性的强制处分措施,必然对作为数据主体的公民个人的权利产生影响。
以美国为例,1976年美国联邦最高法院在“米勒案”中判定公民自愿提供给银行的账户信息不受宪法第四修正案的保护。[12]在1979年的“史密斯案”中,联邦最高法院进一步将“米勒案”确立的规则扩张适用到电话拨号信息,判定公民对于其向电信服务公司发送的电话拨号信息不可主张第四修正案权利[13],由此确立起“第三方原则”。根据“第三方原则”,《美国法典》第18编第2703条规定政府方可以从电子通信服务或远端运算服务提供商处取得公民的电信通信信息。[14]尽管“第三方原则”饱受争议,批评者认为其可能导致政府方对公民隐私权和信息安全的肆意侵犯,但即便在2018年的“卡朋特案”中,联邦最高法院也只是将CSLI从“第三方原则”中单独摘离出来而纳入宪法第四修正案的规制范围[15],并未放弃“第三方原则”,更未否定允许刑事诉讼中政府方从第三方处调取相关数据或信息的判例或成文法规则。于是若依“第三方原则”,侦查机关调取公民个人数据,则该公民的第四修正案权利即难以得到主张和保障。
在我国,侦查机关从社会管理部门或商业机构等处调取公民个人数据,也同样可能对公民的权利造成干预,具体表现在以下几个方面:第一,使得公民向社会管理部门或商业机构提供个人数据时的“知情—同意”失去意义。数据法领域遵循“知情—同意”原则,要求社会管理部门或商业机构等向公民收集个人数据时需充分告知并取得数据主体同意。例如,我国《个人信息保护法》第13条规定:“符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;……”第14条规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。”然而数据主体的同意只是针对社会管理部门或商业机构收集数据的,在侦查机关具有强制性的数据调取行为面前,其同意与否并无意义。第二,限制公民在后续程序中针对被调取的数据行使阅卷权和质证权。作为被追诉人的公民在刑事诉讼中知悉控方证据并享有质证的权利,是保障其充分有效地进行辩护的基本前提。但当作为追诉证据的个人数据系由侦查机关通过调取的方式从社会管理部门或商业机构等处取得时,出现了两个数据提供的过程:一是数据主体向社会管理部门或商业机构提供数据的过程;二是社会管理部门或商业机构向侦查机关提供数据的过程。多个过程的手续繁琐性使得被追诉人对调取数据的数量、内容等往往难以充分掌握,使得其在后续程序中对相关数据的质证难以进行。第三,导致相关个人数据难以被排除。根据我国法律规定,若数据在收集、提取程序中存在无法补正或合理解释的重大瑕疵或真实性无法保证时,不得作为定案依据。[16]
然而在侦查机关调取公民个人数据的场景下,由于存在前述的两个过程,排除数据的条件仅适用于第二个阶段而无法限制第一个阶段,因此欲排除相关个人数据的困难也即增大。公民既无法运用数据法上的反对权阻止相关个人数据的处理,也很难提出证据排除的主张而排除相关个人数据。
三、规制侦查机关调取公民个人数据行为的基本思路
在美国“卡朋特案”中,联邦最高法院直截了当地将警方从手机通信运营商处调取手机定位信息(CSLI)的行为认定为第四修正案所指之搜查,其逻辑是:第四修正案保护公民的合理隐私期待,而警方调取CSLI的行为涉及公民的两项隐私期待,即公民对其位置和行动的隐私期待,以及对其自愿提交给手机通信运营商的信息的隐私期待,因此属于第四修正案所指的搜查。[17]可见,联邦最高法院仍是沿着“卡茨案”中哈兰大法官的“隐私权主客观双重判断”的路径[18],将调取CSLI的行为纳入第四修正案的规制范围。但在我国,由于法律对“搜查”一词作狭义的理解,其对象限于“人的身体、物品、住处和其他有关的地方”[19],刑事诉讼中侦查机关从社会管理部门或商业机构等处调取公民个人数据的行为显然不属于搜查。但是我国规定了技术侦查这一类单独的侦查措施,从社会管理部门或商业机构等处调取公民个人数据的行为应当被视为技术侦查,其理由在于,相较于侦查机关直接运用技术手段收集公民个人数据的行为,调取此种数据无非借助了社会管理部门或商业机构这一桥梁,与直接收集并无本质区别。因此,基于此种行为干预公民权利,甚至干预宪法性权利而需单独授权之考虑[20],可将侦查机关从社会管理部门或商业机构等处调取公民个人数据的行为视为技术侦查。而依照规制技术侦查的相关法律规定,亦可提出规制侦查机关调取公民个人数据行为的基本思路。
其一,侦查机关调取公民个人数据应当符合比例原则的要求。比例原则是公法上的“帝王”原则,在刑事司法领域规制公权力的运用中亦有适用空间,其下辖的目的正当性、适当性原则、必要性原则与均衡性原则等子原则[21]可以作为指导侦查机关从社会管理部门或商业机构处调取公民个人数据的一般准则。根据比例原则,侦查机关调取公民个人数据的行为首先需基于合法正当的犯罪侦查目的,而不可出于其他如公权私用等目的。首先,此种调取行为应与其欲实现的犯罪侦查目的具有关联性,即要求调取行为能够实质性地有利于侦查目的的实现。其次,若有多种足以实现犯罪侦查目的之手段,只有当此种调取行为相较于其他方式所造成的影响或损害最小时方可采用。最后,需对调取行为所需的成本和取得的收益作必要的衡量,以寻求行为的收益与成本之间的适当平衡点。
其二,应强化针对侦查机关调取公民个人数据行为的监督制约机制。如上文所述,侦查机关从社会管理部门或商业机构处调取公民个人数据可能带来侦查权力扩张和权力制约弱化的风险,面对此种风险,应有针对性地强化相关的权力监督制约机制,以防止此种权利的滥用。具体而言,可以从事前、事中、事后三个阶段展开监督与制约,所谓事前监督制约,即指侦查机关从社会管理部门或商业机构处调取公民个人数据前应有严格的审批程序;事中监督制约是指在调取公民个人数据的过程中应有相应的记录、监督等措施;事后监督制约则指调取之后应对调取行为以及取得的公民个人数据进行审查,有此三阶段的监督制约以确保侦查机关调取公民个人数据行为的合法性,从而使得此种调取行为符合法治的要求。
其三,应当重视对作为数据主体的公民个人相关权利的保护。针对侦查机关调取公民个人数据的行为,强调对公民权利的保障,至少有三个方面的理由。首先,契合以权利制约权力的理念。为实现对公权力的限制,在传统分权理论之外,随着权利意识的兴起,以权利制约权力已成现实并受到重视。[22]在侦查机关调取公民个人数据的场景下,保障公民权利的充分行使,亦有制约侦查机关调取权力的意义。其次,顺应数字时代强调数据权利保护的时代潮流。为消解大数据等新技术带来的个人数据失控威胁,赋予并保障公民的数据权利已成为这个时代的重要法律议题。针对侦查机关调取公民个人数据的行为,数据主体通过行使数据权利,能对其个人数据进行必要的控制,防止作为数据处理者的侦查机关以及社会管理部门或商业机构等对数据的非法使用。再次,符合司法公正和司法为民的根本目标。程序公正是司法公正的重要组成部分,保障公民的诉讼权利,是程序公正的基本要求,也符合司法为民的制度目标,有助于“让人民群众在司法案件中感受到公平正义”。
四、规制侦查机关调取公民个人数据行为的规则展开
针对侦查机关从社会管理部门或商业机构处调取公民个人数据可能带来的前述风险,根据上述理念,可以从设置必要的权力监督制约机制、强化对公民权利的保障、确立权力与权利发生冲突时的纠纷解决方案等方面设计具体制度,以实现此种行为的规制。
(一)事前、事中、事后的权力监督制约
既然侦查机关调取公民个人数据可能带来侦查权力扩张、监督制约弱化的风险,为规制此种权力、确保其遵循比例原则的要求而实施,如前所述需针对此种行为设置事前、事中、事后的全方位监督制约机制,具体如下。
其一,事前审批制度。我国《刑事诉讼法》第150条要求“根据侦查犯罪的需要,经过严格的批准手续”方可采取技术侦查措施,第152条又规定“采取技术侦查措施,必须严格按照批准的措施种类、适用对象和期限执行”。据此公安部《公安机关办理刑事案件程序》规定技术侦查需经设区的市一级以上公安机关负责人批准,并规定了审批的相关流程。然而针对调取行为,《公安机关办理刑事案件程序》第62条规定仅需经办案部门负责人批准,使得调取公民个人数据的审批位阶远远低于技术侦查。这种情况的出现是因为对调取的性质存在理解的偏差,公安机关将调取视为一种独立的侦查取证措施,并认为其强制性较搜查、扣押等侦查手段更低。例如,公安部法制局认为:“调取证据和扣押还可以转化,如果证据持有人拒不配合调取的,可以进行搜查、扣押。”[23]如此一来,既然相关法律规定搜查需经县级以上公安机关负责人批准、扣押需经办案部门负责人批准[24],则在公安机关看来强制性更低的调取自然可以由办案部门负责人批准了。但事实上,调取本身不足以构成一项独立的侦查措施[25],而调取公民个人数据又如上文所述涉及对公民权利的重大干预,其借助了社会管理部门或商业机构这一桥梁并不导致与直接收集数据形成本质区别,故而从性质上看应纳入技术侦查的范畴,故适用技术侦查的事前审批规定。此外《数据安全法》第35条针对公安机关、国家安全机关调取数据要求“经过严格的批准手续”,此种“严格的批准手续”的表述与《刑事诉讼法》第150条关于技术侦查的批准要求完全一致。[26]据此,侦查机关从社会管理部门或商业机构等处调取公民个人数据,应当按照《刑事诉讼法》第150条和《数据安全法》第35条“严格的批准手续”的要求,经设区的市一级以上公安机关负责人批准方可实施。
其二,事中监管制度。《公安机关办理刑事案件电子数据取证规则》第二章第六节关于调取电子数据的程序规定主要集中在第41条上,具体包括三方面的内容:一是公安机关对电子数据持有人、网络服务提供者或者有关部门等被调取方的通知;二是必要时采用录音或者录像等方式固定证据内容及取证过程;三是公安机关对因客观条件限制无法保护电子数据完整性的被调取单位、个人的电子数据完整性协助保护义务。在这三方面的规定中,录音录像制度尤其值得关注,盖因此种方法不但对确认被调取数据的完整性有益,亦能促使侦查人员依法行事,这一点在录音录像方法在讯问程序的运用中已然得到证明。从实践的情况看,录音录像的成本很低、难度不大,因此可以考虑在侦查机关从社会管理部门或商业机构处调取公民个人数据的场景下的普遍运用,唯值得注意的是,此种录音录像应全程进行,防止拼凑、剪辑导致对违法行为的背书。除用录音录像的方式对侦查机关调取公民个人数据进行事中监管之外,还应重视在此过程中的数据安全保障,防止公民个人数据被篡改、破坏、泄露或者被非法获取、非法利用给侦查利益、公民利益以及被调取方的利益带来损害。具体而言,可以通过建立专用数据调取传输途径、确定专门责任主体、设置密级授权触发机制、进行必要的数据匿名化处理、开展数据安全巡查等方式确保被调取数据的安全。
其三,事后审查制度。刑事诉讼侦诉审不同程序接续进行的目的即在于期待后续程序对先前程序中的诉讼行为和证据进行审查,以避免刑事诉讼一旦启动就沿着追诉的道路“一条道走到黑”的程序惯性。[27]对侦查机关调取公民个人数据亦需有事后的审查制度,具体包括三个方面内容的审查。一是对调取公民个人数据行为本身的审查。根据比例原则的要求,应审查此种调取行为是否具有合法正当目的、是否必要、是否依法以最小侵害之方式进行等等。倘若调取行为本身违法,以非法方式取得的数据不应作为定案依据,而可以非法证据排除的方式加以排除。二是对被调取的公民个人数据的审查。参考《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》和《公安机关办理刑事案件电子数据取证规则》的规定,应重点审查侦查机关所调取的公民个人数据是否存在非以封存状态移送、缺少签名签章或完整性校验值、相关信息注明不清等瑕疵,以及是否存在被篡改、伪造、增加、删除、修改等而影响数据真实性的情形,对于瑕疵数据可允许补正或合理解释,对于不满足真实性要求的数据则应予以排除。三是对调取后的数据处理情况的审查。这方面的审查内容包括调取后的数据处理是否符合侦查目的、是否存在数据不当处理的情形、是否发生数据安全事件等。如出现相应情况则应由审查机关责令作为数据调取后的数据处理者的侦查机关及时纠正或补救,如禁止数据传输、对数据进行封存或删除、对系统软硬件采取安全处理措施、对相关责任人员追究责任、对作为数据主体的公民提供必要的安全保护等。
(二)公民诉讼权利和数据权利的保护
如上文所述,侦查机关从社会管理部门或商业机构处调取公民个人数据,对公民权利造成实质的强制性干预,故有保护公民权利之必要。具体包括对刑事诉讼相关法律所规定的诉讼权利的保护和对数据法规定的数据权利的保护。
《刑事诉讼法》及相关法律规定作为诉讼参与人的公民在刑事诉讼中享有一系列诉讼权利,如律师辩护权、程序参与权、调查取证权、最后陈述权、上诉权、申诉控告权、人身安全保障权等,但其中与调取行为关系最为密切的当属阅卷权和质证权。其一,我国《刑事诉讼法》规定辩护人有阅卷的权利[28],但问题在于,此种阅卷权以案卷材料即诉讼文书和证据材料为对象而范围过于狭窄,不足以应对数字时代的刑事诉讼变革要求。面对侦查机关从社会管理部门或商业机构处调取的数据,辩方仅依阅卷权的行使,在相关数据未必入卷的现实下,难以实现证据开示的效果。面对此种困难,可以考虑赋予辩方数据访问权,即数据主体得从数据控制者处确认相关数据是否正被处理,以及在此种情形下可以访问该数据及获得相关信息的权利。[29]由于数据访问权的对象范围较为宽泛,且运用方式更为灵活,可以充分地弥补阅卷权的不足,由此形成数据访问权和阅卷权并存的模式,以有效应对侦查机关调取公民个人数据等数字时代新生的侦查方式的挑战。其二,质证权是被追诉人的核心权利,是指其在法庭上质疑、反驳控方证据的权利。侦查机关从社会管理部门或商业机构处调取公民个人数据,其目的即在于追诉犯罪,这些数据极有可能最终在庭审中呈堂作为控方证据使用。面对这些数据,欲使辩方得以进行充分有效的质证,除需如上文所述以数据访问权和阅卷权并存的方式保障其知悉之前提外,尚需解决辩方质证能力不足的现实问题。侦查机关调取并最终成为控方证据的数据,可能不但数量巨大且需要专业解读,但无论被追诉人还是辩护人,通常都不具备解析相关数据的能力,需要额外寻求帮助。我国《刑事诉讼法》已经规定了专家辅助人制度,最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第21条更明确规定,“控辩双方向法庭提交的电子数据需要展示的,……必要时,可以聘请具有专门知识的人进行操作,并就相关技术问题作出说明”,从而将专家辅助人的职权拓展至数据处理上。参考这些规定,可以考虑允许辩方聘请专家辅助人,在针对侦查机关调取的个人数据进行质证时为辩方提供专业的帮助,以提升质证的效果。
除了《刑事诉讼法》等刑事司法领域的相关法律所规定的诉讼权利之外,数字时代还催生出数据权利的概念。例如,欧盟《通用数据保护条例(GDPR)》明确规定数据主体享有一系列数据权利,而我国《个人信息保护法》第四章也专章规定个人在个人信息处理活动中的权利。[30]这些数据权利中知情同意权、更正权、反对权、被遗忘权等与侦查机关调取公民个人数据的行为关系较为密切,需予以强化保护。例如,侦查机关实施调取行为,在不影响侦查利益的情形下可以对调取的事实向公民进行告知,公民对调取行为可以提出反对、对存在错误或不完整的个人数据可以申请更正或补充、对已无合法处理需要的个人数据可以申请删除,等等。通过赋予和保障公民的数据权利,倒逼促进侦查机关调取公民个人数据行为的依法实施。
(三)权力与权利发生冲突时的纠纷解决方案
在侦查机关调取公民个人数据的问题上,难免会出现权力行使和权利保障之间的冲突,当发生此种情形时就需要有冲突解决方案。具体需要回答两个问题:一是由谁来解决此种冲突;二是以何种途径解决此种冲突。
针对侦查机关调取公民个人数据而导致的侦查机关与公民之间的纠纷,宜交由检察机关处理,理由如下:第一,检察机关是法定的国家法律监督机关。我国《宪法》第134条规定,“中华人民共和国人民检察院是国家的法律监督机关”,《刑事诉讼法》第8条规定,“人民检察院依法对刑事诉讼实行法律监督”。作为法定的国家法律监督机关,由检察机关在行使法律监督权的过程中针对侦查机关调取公民个人数据而导致的纠纷进行处理,名正言顺且符合检察机关的法律定位。第二,在刑事诉讼中,审前阶段主要由检察机关进行侦查行为合法性的审查。检察机关不但在审查批捕、审查起诉等阶段对侦查行为进行合法性审查,还可以通过提前介入等方式对侦查行为提出意见建议。甚至在某种意义上,审前程序在一定程度上形成了检察机关居中、侦查机关和辩方两造的三角结构。在此种现实下,侦查机关调取公民个人数据导致的纠纷交由检察机关处理,亦不超出侦查行为合法性审查的权限范围。第三,检察机关是刑事司法领域最适宜的数据安全监管机构。为保障数据安全和公民数据权利,数据法领域的相关法律均要求设置独立的数据安全监管机构。[31]但无论网信部门还是公安机关、国家安全机关作为刑事司法领域的数据安全监管机构都存在重大障碍,而由负有中立客观义务且全程参与刑事诉讼的检察机关负此职责最为适宜。[32]若以检察机关为刑事司法领域的数据安全监管机构,由其解决侦查机关调取公民个人数据而导致的纠纷恰在其职权之内。
在确定由检察机关解决侦查机关调取公民个人数据而导致的纠纷之后,紧接着的问题是如何设计纠纷解决制度。数据法领域最常见的纠纷解决方式是“投诉—指令”模式,即由数据安全监管机构接受数据主体针对数据处理者的投诉,并作出决定指令数据处理者执行,例如GDPR第58条第2款规定:“各个监管机构均具有以下的矫正性权力:……(g)根据本条例第16、17和18条的规定作出更正、删除或限制处理个人数据之指令,并将上述行动告知根据第17条第2款和第19条的规定向其披露个人数据的接收者;……”[33]我国《个人信息保护法》第65条也规定:“任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。”而我国《刑事诉讼法》“申诉控告”之规定向权利主体提供针对公安机关在刑事诉讼中侵犯其诉讼权利的救济途径,权利主体有权向该机关或人民检察院提出申诉或控告。例如《刑事诉讼法》第117条规定:“当事人和辩护人、诉讼代理人、利害关系人对于司法机关及其工作人员有下列行为之一的,有权向该机关申诉或者控告:……受理申诉或者控告的机关应当及时处理。对处理不服的,可以向同级人民检察院申诉;人民检察院直接受理的案件,可以向上一级人民检察院申诉。人民检察院对申诉应当及时进行审查,情况属实的,通知有关机关予以纠正。”结合数据法的“投诉—指令”模式和刑事诉讼法的“申诉控告”模式,我们可以清晰地得出结论,即解决侦查机关调取公民个人数据相关纠纷的方式应是,由作为数据主体的公民向检察机关提出解决此种纠纷的请求,由检察机关进行审查后根据具体情况作出驳回请求或纠正侦查机关违法行为等不同决定。
郑曦,北京外国语大学教授,博士生导师。
【注释】
[1]早在1890年,塞缪尔·沃伦(Samuel D. Warren)和路易斯·布兰代斯(Louis D. Brandeis)发表于《哈佛法律评论》的论文《论隐私权》(The Right to Privacy)就首次提出了隐私权这一概念,并引起了广泛的关注。See Samuel Warren & Louis Brandeis,“The Right to Privacy”,4 Harv. L. Rev.193(1890)。
[2]参见高莹:《数读平安中国背后的公安非凡十年》,《人民公安报》2022年7月26日。
[3]参见张军:《最高人民检察院工作报告——2022年3月8日在第十三届全国人民代表大会第五次会议上》,https://www.spp.gov.cn/ tt/202203/t20220315_549263.shtml,2022年11月11日访问。
[4]参见齐延平:《论人工智能时代法律场景的变迁》,《法律科学(西北政法大学学报)》2018年第4期。
[5]参见公安部《公安机关办理刑事案件程序规定》第174条。
[6]参见郑曦:《人工智能技术在司法裁判中的运用及规制》,《中外法学》2020年第3期。
[7]J. A. C. Grant,“The Tarnished Silver Platter: Federalism and Admissibility of Illegally Seized Evidence”,8 UCLA L. Rev.1(1961)。
[8]Weeks v. United States,232 U.S.383(1914)。
[9]Joshua Dressler, Alan C. Michaels, Ric Simmons, Understanding Criminal Procedure Volume 1: Investigation (7th ed.), Carolina Academic Press,2017, pp.101-102.
[10]See Carpenter v. United States,138 S. Ct.2206(2018)。
[11]参见公安部《公安机关办理刑事案件程序规定》第62条、第265条、第266条、第267条。
[12]See United States v. Miller,425 U.S.435(1976)。
[13]See Smith v. Maryland,442 U.S.735(1979)。
[14]See 18 U. S. C.§2703.
[15]See Carpenter v. United States,138 S. Ct.2206(2018)。
[16]参见最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第27条、第28条。
[17]See supra note [1].
[18]See Katz v. United States,389 U.S.347(1967)。
[19]《中华人民共和国刑事诉讼法》第136条。
[20]参见艾明:《调取证据应该成为一项独立的侦查取证措施吗?——调取证据措施正当性批判》,《证据科学》2016年第2期。
[21]传统理论认为比例原则包含适当性原则、必要性原则与均衡性原则三项内容,但有学说和判例将目的正当性原则纳入比例原则之中,参见刘权:《目的正当性与比例原则的重构》,《中国法学》2014年第4期。
[22]参见蔡宝刚:《权利制约权力何以可能的法理解答》,《求是学刊》2019年第5期。
[23]公安部法制局编:《公安机关执法细则释义》,中国人民公安大学出版社2009年版,第183页。
[24]参见公安部《公安机关办理刑事案件程序》第222条、第228条。
[25]参见艾明:《调取证据应该成为一项独立的侦查取证措施吗?——调取证据措施正当性批判》,《证据科学》2016年第2期。
[26]参见谢登科:《论侦查机关电子数据调取权及其程序控制——以〈数据安全法(草案)〉第32条为视角》,《环球法律评论》2021年第1期。
[27]参见郑曦:《刑事诉讼中程序惯性的反思与规制》,《中国法学》2021年第3期。
[28]我国《刑事诉讼法》第40条规定:“辩护律师自人民检察院对案件审查起诉之日起,可以查阅、摘抄、复制本案的案卷材料。其他辩护人经人民法院、人民检察院许可,也可以查阅、摘抄、复制上述材料。”
[29]See General Data Protection Regulation (GDPR), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from =EN,accessed by Aug.11,2022.
[30]尽管数据与信息的概念存在差别,但在本文语境下可暂不作严格区分。参见梅夏英:《信息和数据概念区分的法律意义》,《比较法研究》2020年第6期。
[31]参见《网络安全法》第8条、《数据安全法》第6条、《个人信息保护法》第60条。
[32]参见郑曦:《论检察机关在刑事司法领域的个人信息保护职责》,《中国政法大学学报》2022年第1期。
[33]See General Data Protection Regulation (GDPR), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN, accessed by Aug.11,2022.