颜飞

□当前，有必要结合刑事诉讼的特点，以个人信息分类分级为指引，对现有个人信息处理活动进行必要的合理化改造，构建刑事程序中个人信息处理的基本规范。

□为避免个人信息过度收集所导致的“全景监控”，应贯彻比例原则的要求，区分个人信息的类别，对信息收集的时空范围进行限定，并谨慎设置时间延展、范围扩大等审批权限和适用条件。

在大数据时代，公民参与社会生产生活的重要条件之一，是提供个人信息。在电子商务领域，公民成为社会成员的过程，实际上就是“用信息换服务”的过程。在这一过程中，有关行政机关通过“证据调取”“在线提取”等方式从通信运营者、网络运营商、大型互联网平台等第三方主体获取大量的个人信息，借助对数据的挖掘、清洗和比对，极大地提高了工作效率。长期以来，基于执法行为的特殊性，对以打击犯罪为目的的收集、使用公民个人信息的侦查行为采取的法律规制有限，为了更好保护公民个人信息，2021年11月1日将实施的个人信息保护法第二章第三节专门规定了“国家机关处理个人信息的特别规定”，其中第33条规定“国家机关处理个人信息的活动，适用本法；本节有特别规定的，适用本节规定。”由此可见，刑事程序中个人信息的处理活动也应遵循个人信息保护法的基本规定。根据该法第34条规定：“国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。”而刑事诉讼法及相关司法解释中仅有个别条文涉及个人信息如何处理问题，缺少关于个人信息处理的权限、程序等基本规范。有鉴于此，笔者认为，当前，有必要结合刑事诉讼的特点，以个人信息分类分级为指引，对现有个人信息处理活动进行必要的合理化改造，构建刑事程序中个人信息处理的基本规范。

个人信息处理应以惩治犯罪所必需为其根本目的

根据个人信息保护法规定，个人信息处理应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。具体到刑事程序中，个人信息处理活动只能限于惩治犯罪所必需这一目的，方才具有合法性与正当性。现有涉及个人信息处理的相关法律普遍对刑事司法活动进行宽泛授权，同时还科以第三方主体普遍的配合协作义务，加之有关机关获取个人信息手段和方式的多样性，这就决定了必然有海量的个人信息进入刑事程序。如果同时利用大数据技术，对海量个人信息再进行深度挖掘和整合，势必潜藏着干预公民基本权利的法律风险。个人信息的处理与公民财产权、隐私权、通信自由权等基本权利有着极为紧密的关系，在社会活动日益数字化的当下及未来，可以预见个人信息权益将逐渐成为刑事程序中应当尊重和保障的基本人权之一，因此，个人信息的处理必须严格限定于惩治犯罪所必需这一目的。

在刑事程序处理个人信息的应用场景中，除直接针对已经发生的刑事案件收集、使用个人信息外，还有基于犯罪预防的目的而进行个人信息处理的情形。在此场景下，由于对象、行为、信息类型等具有的不特定性，对个人信息的收集范围更加广泛。鉴于其可能存在的风险，从域外法治国家的经验来看，不少国家会在于此场景下获得的个人信息与作为刑事案件证据使用的个人信息之间设置一定的“隔离”。比如《德国联邦刑事警察机关法》规定，对网络在线搜查的授权仅及于预防犯罪的活动，在线搜查的结果仅能在负责侦查犯罪的机关依据《德国刑事诉讼法》有权调取时才能移交给侦查机关。因为《德国刑事诉讼法》并未规定对计算机的在线搜查，故直接将基于犯罪预防实行的在线搜查的结果转化为刑事诉讼证据的做法是被禁止的。目前我国刑事诉讼法中还未有相关规定，故可考虑在此应用场景中使用相应的加密、去标识化等安全技术措施，以降低可能的风险。

个人信息的收集应保持合理限度

根据个人信息保护法第6条第2款规定，收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。具体到刑事程序中，虽然惩治犯罪这一目的具有正当性，但为实现这一目的而采取的处理个人信息的手段和方法也应保持合理的限度，换言之，个人信息处理活动必须按照比例原则的要求进行合理配置。

首先，应根据个人信息处理活动对公民基本权利的干预程度设定审批的权限、划定适用的案件范围。比如，根据德国《联邦数据保护法》的规定，检察官和警察如果要使用其他公共机关的数据库进行比对时，必须基于侦查十分严重的毒品或武器犯罪、保护国家安全领域的犯罪、危害公共安全犯罪等重罪，且实施比对这一措施是必需的，使用其他措施效率明显更低时，法官或紧急情况下检察官可以命令保管特定数据的人员或机构将数据移送至执法部门。与之类似，《德国刑事诉讼法》在授权执法机关调取公民通讯信息权限的同时，依据权利干预程度设定了层级化权限，并以比例原则和最后手段原则加以约束，规定只限于采取其他方式不能查清案情或者确定犯罪嫌疑人所在地时才能调取通讯信息，并且调取的通讯信息要与案件的重大性成适当比例。

其次，应根据信息主体在诉讼中的身份差异采取不同的处理方式，对犯罪嫌疑人的个人信息可以基于侦查关联犯罪或类案的需要适当扩大范围，但对于被害人或者证人个人信息的处理则必须更加谨慎。如《欧盟个人信息刑事司法指令》就提出应当对被指控人、被害人或其他诉讼参与人、处理相关数据的人以及共犯等主体进行区分，并采取不同的信息分类。

再次，针对犯罪嫌疑人收集其个人信息的活动应注意保持必要的约束，即便是与犯罪有一定关联的个人信息的处理也应注意范围和程度的限制，如果确有必要大范围收集犯罪嫌疑人的个人信息，则应遵循更为严格的审批程序。长期以来，受“第三人理论”和“公共暴露理论”的影响，美国联邦最高法院认为，一旦公民将银行记录、电话号码等个人信息自愿披露给第三方（比如通讯运营商），即不再对该信息具有隐私的合理期待。在2018年的卡朋特案中，美国联邦最高法院认为，执法机关从通讯运营商处调取犯罪嫌疑人卡朋特127天的手机位置信息已经构成了搜查，必须通过法官签发令状方能实施。因为127天的手机位置信息足以提供个人全面性的位置记录，不仅能揭露特定的行程活动，更能提供窥探个人私生活的窗口，对个人形成近乎完美的监控。通过该案，美国联邦最高法院提出，执法机关即便是调取公开的个人信息，如果汇集的个人信息达到“深刻的揭示性”“深度、广度和全面性”以及“被收集的不可避免和自动性”的程度时，就必须向法官申请签发搜查令，而不再适用《存储通讯法》所规定的调查令。笔者认为，为避免过度收集个人信息所导致的“全景监控”，应贯彻比例原则的要求，区分个人信息的类别，对信息收集的时空范围进行限定，并谨慎设置时间延展、范围扩大等审批权限和适用条件。

敏感个人信息处理应当建立专门规则

个人信息保护法在第二章第二节专门规定了“敏感个人信息的处理规则”。敏感个人信息，是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。基于敏感个人信息的特殊性，个人信息保护法设置了严格的处理规则，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。在稍早前通过的数据安全法中也明确提出，国家建立数据分类分级保护制度，各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

由于敏感个人信息对维护自然人的人身财产安全与人格尊严极为重要，因此，在刑事程序中引入个人信息的分类分级保护并建立敏感个人信息处理的专门规则，意义重大。目前，最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》以及公安部《公安机关办理刑事案件电子数据取证规则》等规定中，对以电子数据为载体的个人信息的收集提取、移送展示、审查判断等已有基本的规范，但这些规范主要侧重于保障数据的真实性与完整性，尚未体现和贯彻个人信息保护的理念，尤其是并未根据个人信息的敏感程度制定不同的程序规则。而当前刑事司法实践中，有的办案机关对个人信息的类别不加区分，常态化地以出具《调取证据通知书》的方式从第三方主体收集敏感个人信息，比如手机位置信息、人脸识别数据等。由于侦查实践中普遍将“证据调取”视为一种侦查措施，因此有关其审批权限、适用条件、适用对象、案件范围、适用期限等规定极少。以调取行踪轨迹信息为例，在审批权限上，调取行踪轨迹信息（比如手机位置信息）仅需经办案部门负责人批准（《公安机关办理刑事案件电子数据取证规则》第41条）；在适用条件上，调取行踪轨迹信息在立案前亦可启动（《公安机关办理刑事案件程序规定》），至于适用案件的范围、必要性等均无限制。当数字技术深度嵌入犯罪治理时，证据调取的适用边界被极大拓宽，这将对敏感个人信息的保护带来重大的挑战。笔者认为，当前可借鉴域外法治国家有关刑事程序中处理行踪轨迹等敏感个人信息的相对完备的规范内容，充分考虑我国刑事司法的特点，探索建立刑事程序中个人信息分类分级保护制度。在案件适用范围、程序启动要件、审批主体与权限、告知义务、赋予信息主体知情权与更正权等权利以及信息的保管与销毁等各个方面作出明确规定；对于涉及敏感个人信息的“调取”“现场提取”“在线提取”等侦查措施，应建立严格的审批程序和操作规范；对已收集的敏感个人信息的存储、使用乃至销毁应建立相关的规章制度，尽可能降低敏感个人信息处理的法律风险。

（作者分别为西南政法大学法学院副院长、硕士研究生）