刑事司法中的數據安全保護問題研究
鄭曦 北京外國語大學法學院教授、博士生導師
刑事司法中海量收集使用數據必然帶來數據安全保護的問題,現有法律對于此問題的規定存在不足,新出臺的數據安全法對于刑事司法中的數據安全保護之規定亦過于粗疏,加之司法信息化加劇了刑事司法中的數據安全風險,有必要予以充分關注。刑事司法中應當以保障公民權利為數據安全保護的重要價值取向,確定國家承擔數據安全保護的主要義務,進而對刑事訴訟全程進行數據安全監管。具體而言,應當通過建立數據分類和分級制度、尊重和發揮數據主體在數據安全保護中的作用、明確數據控制者和處理者的數據安全保護職責、將檢察機關設置為專門的數據監管機構并賦予其相應職能,從而構建起相對完整的刑事司法領域數據安全保護制度。
關鍵詞:數據 刑事司法 數據安全法 數據監管 個人信息保護 科技與司法
現代社會在很大程度上依賴于數據而運行,以互聯網為平臺的“互聯互通”與大數據、人工智能等技術相結合,催生出以數十、甚至數百澤字節(ZB)計的數據和以數十億計的網絡使用者,徹底改變了人類的生活方式。但是在帶來便利的同時,海量數據的廣泛收集和使用也引發了諸多社會問題:一方面,人們發現自己對其個人數據已經失去控制能力,甚至受困于數字“圓形監獄”之中;另一方面,對數據的不法使用給人們的隱私、財產甚至人身安全帶來了巨大的威脅,從而促使人們關注數據安全保護問題。面對數據安全保護的時代需求,2021年6月10日,第十三屆全國人大常委會第二十九次會議通過了《中華人民共和國數據安全法》(以下簡稱數據安全法),從國家立法的層面回應這一問題。作為數據安全領域的專門性法律,該法一個突出的亮點在于其中一些條文涉及刑事司法領域,這與以往數據或信息相關法律法規回避刑事司法的思路有明顯區別,體現出立法者對刑事司法中數據安全保護問題的關切態度。但是數據安全法對于刑事司法中數據安全保護問題的規定較為粗疏,僅有的原則性要求遠不能滿足實踐的需要,仍需進一步深入研究并對相關制度加以完善。
科技的發展大大提升了刑事司法中收集使用數據的深度和廣度,但現有法律對于刑事司法中數據安全保護的規定尚有不足,而司法信息化建設進一步加劇了刑事司法中數據安全方面的風險,使得保護數據安全成為刑事司法的現實需要。
收集使用數據向來是刑事司法運作的基礎。刑事司法為解決被追訴人刑事責任問題,在事實認定上必須依靠證據,故有“證據裁判主義”之原則。許多證據通過“以電子或者其他方式對信息的記錄”之數據形式呈現,對這些證據的收集使用即是處理數據的過程。因此,從這個意義上看,對數據的收集使用是刑事司法的基本內容和運用基礎,也是案件裁判的前提。
隨著科技的發展,刑事司法中收集使用數據的方式發生了巨大變化,特別是大數據偵查等手段的普遍運用,使得以偵查機關為代表的刑事司法公權力機關收集使用數據的能力得到了極大提升。1968年,美國通過綜合犯罪控制與街道安全法,允許執法機關以“監聽與電子監控”等方式收集數據;1985年,英國通過通訊攔截法,允許警察截收公民個人的通信并從中收集數據;1998年,德國修改刑事訴訟法,增加了大量新型技術偵查手段之規定,大幅提升警察收集數據的能力;《聯合國反腐敗公約》規定締約國應“允許其主管機關在其領域內酌情使用控制下交付和在其認為適當時使用諸如電子或者其他監視形式和特工行動等其他特殊偵查手段”收集數據,《聯合國打擊跨國有組織犯罪公約》第20條也有類似的規定。我國自1993年在國家安全法中規定了“技術偵察”后,2012年刑事訴訟法修改時設置專節將技術偵查制度徹底合法化,目前實踐中運用的電子同步設備、訪問控制設備、數據保存和恢復設備、圖影成像設備、加密解密系統、衛星定位系統、網絡跟蹤設備、數據庫等技術,使得偵查機關獲取數據的方式多元、難度降低,甚至利用網絡搜查等方式,收集數據的過程可以遠程、無接觸、隱秘進行。
除了自行收集數據之外,偵查機關等刑事司法中的公權力機關還借由第三方獲取數據,這些第三方既包括社會管理部門,也包括商業機構。社會管理部門所收集的數據在必要時可以被用于刑事司法已為各國法律所廣泛認可。例如,美國的生物識別簽證制度就許可數據進入國土安全部的US-VISIT系統而用于識別犯罪嫌疑人;歐洲2019年創設的通用身份資源庫(CIR)涵蓋了申根信息系統、Eurodac指紋系統、VIS簽證信息系統、歐洲第三國國民犯罪記錄系統(ECRIS-TCN)、EES出入境系統和歐洲旅行信息和授權系統(ETIAS),其所采取的生物識別數據亦允許執法部門使用。除了社會管理部門外,商業機構收集的數據亦可能為刑事司法中的公權力機關所取得,從而被用于刑事訴訟中。美國2018年的卡朋特案中,警方即是從Verizon等移動通信運營商處調取犯罪嫌疑人的手機定位數據,并使用這些數據對其進行控訴的。在我國,刑事司法中的公權力機關從商業機構獲取數據也已是常見的做法。例如支付寶在其《支付寶隱私權政策》中就明確說明,在出現與犯罪偵查、起訴、審判和執行判決等直接相關的情形時,支付寶根據相關法律法規及國家標準共享、轉讓、公開披露用戶的個人信息無需征得用戶同意。
當前,刑事司法中對數據的收集使用呈現出兩方面的特征。其一,收集使用數據的時間前移。理論上刑事訴訟程序自立案之時啟動,以取證方式進行的數據收集使用行為應自立案之后進行,但實踐中犯罪治理活動常常提前啟動,在刑事立案之前,偵查機關即可能運用犯罪預測工具、案件初查輔助工具等進行數據的收集使用。其二,不加區分地收集使用數據。數據應有一般數據與敏感數據之分,敏感數據涉及種族或民族背景、政治理念、宗教信仰、性取向等,“一旦泄露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇”,但其在刑事訴訟中往往與個案的處理關系不大。然而,當前對于刑事司法中公權力機關收集使用數據的規定尚無關于一般數據與敏感數據的規定,對于收集敏感數據的限制嚴重不足。如此一來,對數據廣泛、提前、不加區分地收集使用令刑事司法中的公權力機關成為數據的控制者和使用者,海量數據進入刑事司法領域使得刑事司法中的數據安全保護成為一個現實而迫切的問題。
傳統上,數據或信息相關的法律法規往往對刑事司法中的數據安全保護問題采取回避之態度。歐盟無論在1995年的《關于涉及個人數據處理的個人保護以及此類數據自由流動的指令》還是歐盟《通用數據保護條例》(以下簡稱GDPR)中,均未對刑事司法中的數據安全保護問題作出明確規定。例如,GDPR第2條第2款就規定:“本條例不適用于以下處理個人數據的情形……(d)有權機關為預防、偵查、調查或起訴刑事犯罪、或執行刑事處罰,包括防范和預防公共安全威脅之目的(而處理個人數據)。”美國聯邦和州關于數據或信息的立法,例如兒童網絡隱私保護法(COPPA)、加州消費者隱私法、加州未成年人網絡隱私法等,亦是或本身與刑事司法不直接相關,或鮮涉及刑事司法中數據安全保護問題。
我國也存在同樣的問題,數據安全保護問題長期被置于憲法、民商法、行政法等范疇內進行討論,刑事學者特別是刑事程序法學者對此鮮有關注,而數據和信息法專家學者們提出的數據或信息相關的法律專家建議稿中,也極少涉及刑事司法的數據安全保護問題。2012年全國人大常委會《關于加強網絡信息保護的決定》和2017年的網絡安全法雖然在宏觀層面規定了網絡環境下的數據安全保護問題,但并未對刑事司法領域的此種問題予以直接規定。
此次通過的數據安全法第6條規定:“公安機關、國家安全機關等依照本法和有關法律、行政法規的規定,在各自職責范圍內承擔數據安全監管職責。”在第4章“數據安全保護義務”第35條規定:“公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據,應當按照國家有關規定,經過嚴格的批準手續,依法進行,有關組織、個人應當予以配合。”相較于以往的法律,數據安全法較為直接地規定了公安機關、國家安全機關在履職范圍內的數據安全監管職責和數據安全保護義務,但是該法對此問題的規定仍顯粗疏,僅有的兩個條文只是作出了原則性規定,缺乏細化的規則,使得實踐中實施的難度增大。在刑事司法領域雖然也有一些規范性文件涉及數據安全保護問題,例如刑事訴訟法第152條對技術偵查措施規定了原則性的實施要求,2016年最高人民法院、最高人民檢察院和公安部《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》和2019年公安部《公安機關辦理刑事案件電子數據取證規則》中有涉及數據安全的條文,但從整體看,相關的規定零散而不成體系,無法滿足海量數據收集使用背景下的刑事司法領域數據安全保護的實踐需求。
現代社會科技的運用提升了生產效率、加快了生活節奏,在給人們帶來財富和便利的同時也使得糾紛的數量大幅增加,巨大的案件量給刑事司法中的公權力機關造成了極大壓力,迫使許多國家都不得不進行司法信息化的改革,從而提升案件辦理的效率。根據歐洲司法效率委員會的報告,2016年40余個歐洲國家均有司法信息化的舉措,包括運用ERP案件管理系統、OUTILGREF職位分配和管理系統、文件起草輔助工具等;在美國,聯邦法院系統有“案件管理和電子案件檔案系統(CM/ECF)”和“法院電子記錄公共訪問系統(PACER)”兩大信息化系統,各州法院也有其各自的信息化系統;甚至印度、肯尼亞、尼日利亞等發展中國家也有其各自的司法信息化改革舉措。在我國,司法信息化建設也是司法改革中的熱點問題。以法院為例,我國的法院信息化改革在完成了信息化的基礎建設后已經進入建設“智慧法院”的新階段;相應地,檢察院和公安機關也分別在進行“智慧檢務”和“智慧警務”建設。
司法信息化是刑事司法中的公權力機關在面對新型科技運用之時代潮流和案件數量迅猛增長之現實困境的必然選擇。然而,司法信息化舉措在有效提升司法效率的同時,也是一把“雙刃劍”,進而導致一系列的問題,其中加劇刑事司法中的數據安全風險即是諸多問題之一。具體而言,體現在以下兩個方面。
其一,司法數據庫的“互聯互通”與“共建共享”增加了數據失控的風險。我國的司法信息化建設在很多方面處于世界領先水平,在公檢法三機關各自初步完成其信息化基礎設施建設后,下一步的工作重點即在于促進三機關數據庫的“互聯互通”與“共建共享”。例如上海、貴州等地已經試點研發構建跨部門大數據辦案平臺,通過此平臺實現司法數據的共享,從而統一證據使用和裁判的尺度。此種“互聯互通”與“共建共享”中,司法數據在三機關之間分享,固然能夠提升司法數據的運用效果,提高辦案水平。然而一旦操之不慎,會帶來數據安全保護方面的風險。首先,在此種聯通與共享的過程中,有權提供、接觸相關司法數據的機關和人員增加,倘若沒有足夠的數據安全控制措施,如對數據作匿名化處理、添加密級標識、設置加密授權觸發機制等,則數據泄露的風險可能隨著司法數據共享的便利性提升而增加。其次,由于不同機關的數據庫往往是由不同的技術人員按照不同的技術方案建構的,秉承不同技術標準的數據庫在“互聯互通”與“共建共享”的過程中可能出現端口不匹配、協議不統一等兼容性方面的問題,這種技術方面的障礙也增加了司法信息化系統因遭遇攻擊或自身出現故障導致數據失控之風險。最后,不同機關對于司法數據的使用可能遵循不同的保密規定,例如公檢法對于同一案件在不同階段的數據密級量定標準不一致。此種不一致未必不符合司法運行的規律,如在偵查階段的保密性要求高于審查起訴和審判階段正是閱卷權自審查起訴階段方可行使的原因,但此種不一致卻可能一方面阻礙三機關的“互聯互通”與“共建共享”,另一方面則在實現共享后帶來數據安全管理方面的隱憂。
其二,司法信息化的技術性工作外包增加了數據泄露的可能性。由于法律界對數據統計與分析技術陌生、對大數據算法幾乎完全外行、對人工智能缺乏客觀認識等原因,公檢法機關顯然無法依靠自身力量完成司法信息化所需的技術性工作,于是將此項工作外包給相應的科技企業就成為必然的選擇。科技企業在進行司法信息化的技術性工作時,必然需要獲得大量司法數據以作為司法信息化的原料性基礎,在此過程中可能因為司法數據交接中的疏忽或技術人員個人品質等方面的原因而發生數據泄露;甚至在司法信息化的技術性工作完成之后,科技企業也可能基于其逐利之本能,以安裝“木馬”、預設“后門”等方式通過其參與建設的司法信息化系統主動竊取司法數據,對此不可不予以嚴防。
既然刑事司法中存在上述數據安全保護的現實需要,則有必要厘清保護刑事司法數據安全的思路,為具體的制度完善提供基礎。
數據安全保護的目的往往是雙重的:一方面在于保護國家利益,特別是主權、安全等利益;另一方面則在于保護公民的合法利益,恰如我國數據安全法第1條規定:“為了……保護個人、組織的合法權益,維護國家主權、安全和發展利益,制定本法。”為達成保護數據安全以保障公民合法利益之目的,最為直接的方式即是賦予公民、特別是作為數據主體的公民相應的數據權利,通過公民數據權利的行使限制數據控制者和處理者的行為、促進數據安全保護的實現。從某種意義上看,保護公民的數據權利,也是憲法“國家尊重和保障人權”理念的體現。例如,歐盟即是根據《歐盟基本權利憲章》第8條第1款之規定而將公民的數據權利視為基本權利的。
基于通過數據權利保障實現數據安全保護的邏輯,GDPR規定數據主體享有數據訪問權、更正權、刪除權(被遺忘權)、限制處理權、反對權等一系列數據權利,通過數據權利的行使限制數據處理行為,進而確保數據安全。通過賦予公民數據權利保障數據安全的思路在刑事司法領域同樣適用,2016年歐盟《通用數據保護條例》亦規定了數據主體的一系列數據權利,從而限制數據控制者和處理者并保障數據安全。
刑事司法中,對于數據安全保護意義最為直接和重大的公民數據權利當屬數據訪問權和被遺忘權。數據訪問權是指數據主體可以從數據控制者處確認其個人數據是否被正確處理,并在此種情形下可以訪問個人數據及獲得相關信息的權利。數據訪問權是通過權利行使以實現數據安全保護這一邏輯下的前提性權利,尤其是從數據控制者處確認其個人數據是否被正確處理的內容,與“知情—同意”的數據保護核心原則密切相關,是數據主體行使其他數據權利的基礎。在刑事訴訟中,數據主體特別是被追訴人一方運用數據訪問權,一則可以突破原有閱卷權在閱卷對象方面的訴訟文書和證據材料兩類案卷材料之限制;二則可以促使進案卷二元主義之改革,對于限制作為數據控制者和處理者的刑事司法中的公權力機關的數據處理行為、防止數據濫用,具有顯著積極的作用。而被遺忘權是指數據主體在其個人數據不再有合法使用之需時,要求將其刪除或停止使用的權利,相較于數據訪問權作為通過權利行使以實現數據安全保護的一項前提性權利,被遺忘權具有明顯的兜底性特征。被遺忘權通過數據主體要求數據控制者和處理者對其個人數據進行刪除或封存,實現了個人數據的不為人所知目的。尤其在刑事司法中,作為數據主體的被害人、被追訴人、證人等訴訟參與人通過行使被遺忘權(如封存或刪除涉案數據、犯罪和監禁記錄等)對包括刑事司法公權力機關在內的數據控制者和處理者構成數據控制和使用方面的限制,從而大大降低甚至徹底消除了數據泄露和非法使用等數據安全風險。因此,數據訪問權和被遺忘權一頭一尾,與更正權、限制處理權、反對權等其他數據權利形成了完整的體系,使得數據主體能夠通過權利行使有效制約刑事司法中公權力機關的數據處理,從而實現數據安全保護之目標。
值得注意的是,在刑事司法中,數據權利應當被視為訴訟參與人的訴訟權利。刑事訴訟權利的核心內容在于訴訟參與人實施了某種訴訟行為或請求他人作出或不作出某種訴訟行為,而在刑事司法的場域下,作為數據主體的訴訟參與人所享有的數據權利與訴訟權利具有特征上的高度契合性。首先,在刑事訴訟中數據權利與其他訴訟權利一樣,也是通過訴訟行為實現的,例如上文所述刑事司法中的被遺忘權,其行使方式是請求數據控制者和處理者作出刪除數據等訴訟行為。其次,刑事司法場域下的數據權利具有程序性特征,其行使方式無論是自決性地作出某種訴訟行為或請求性地要求他人作出某種訴訟行為,其直接結果無非導致訴訟權利義務關系的產生、發展和變化,對于刑事案件具體處理的定罪量刑等實體問題的關系相對間接,因此具有程序性特征。最后,數據權利與其他訴訟權利一樣具有可放棄性,既然“權利就是人的自由意志的外在形式”,那么刑事訴訟中訴訟參與人是否放棄權利的可選擇性即是其主體性和尊重其自由意志的必然要求。同樣地,刑事司法中的數據主體是否放棄對其個人信息的支配、處分和排除妨害完全取決于其意志和自由選擇。既然數據權利是作為數據主體的訴訟參與人的訴訟權利,則在刑事司法中運用此種權利,以訴訟權利制約公權力、確保數據安全即是名正言順之事。
數據安全保護究竟是誰的義務是數據法中的重要問題。由于數據安全保護義務的前提在于存在持續不平等的數據關系,所以應首先卸去公民在日常生活中進行個人數據處理的此種義務。而在持續不平等的數據關系中,“無論是從處理數據的數量、規模來看,還是從對整個數據經濟產業的影響力來看,平臺無疑是最為重要的主體”,且在數據資產化的背景下,平臺基于經濟利益目的有能力承擔數據安全保護的成本,因此平臺往往被視為承擔數據安全保護的關鍵義務主體。例如2006年的《信息網絡傳播權保護條例》即對“網絡服務提供者”科以相關義務,2017年的網絡安全法要求“網絡產品、服務的提供者”承擔安全維護、信息保護等義務,學者們對數據安全問題的研究也往往圍繞著平臺的合規義務而展開。
然而除了平臺之外,國家亦是數據安全保護的重要義務主體。如上文所述,數據安全保護以保障公民合法利益為目的,這一點可以在憲法層面尋得依據,則國家根據憲法要求負有對公民人格尊嚴和隱私、安寧進行保護的義務,并在數據時代下擴展到至對數據安全的保護。甚至從某種意義上看,國家是數據安全保護的終極義務主體,因為當平臺或其他義務主體拒絕或未能有效履行其數據安全保護義務時,最終將由國家采取措施并加以處理。而在刑事司法場域下,國家承擔數據安全保護的主要義務,其原因是顯而易見的:刑事司法中公檢法等機關正是以國家的名義、以國家公權力行使的方式進行收集、存儲、使用、傳輸等數據處理行為的,國家成為了持續不平等數據關系中具有強大優勢的一方,自然應當承擔相應的數據安全保護義務。在刑事司法中,將國家作為數據安全保護的最重要義務主體,至少有以下三方面的意義:一是宣示意義,既能體現國家對數據安全保護的重視程度,也能表明公權力在數據安全保護問題上依法行使、遵守規則的態度,符合刑事司法權力制約原則的要求。二是指引意義,通過明確國家的數據安全保護義務主體身份,可以指引公權力機關及其工作人員依法進行數據處理行為,履行在數據安全保護方面的義務。三是震懾意義,對國家的義務要求能夠震懾刑事司法中的公檢法機關及其工作人員對數據的非法處理行為,促使其依照相關的法律法規行事。
在刑事司法中,國家需承擔兩個層面的義務。第一個層面的義務是積極義務,即國家需以積極之行為完成其數據安全保護義務,具體而言至少應包括以下三方面內容。其一,規則之確立。規則的確立是規制刑事司法中的公權力機關處理數據行為的前提,國家通過確立數據安全保護的相關規則,能夠明確國家承擔義務的具體內容,設定作為數據主體的公民與數據處理者之間的權利義務關系,對數據主體合理賦權、對數據處理者適當限權,從而劃定國家在刑事司法數據安全保護領域承擔義務的制度框架。其二,職責之明確。國家應根據刑事司法中不同機關在數據處理方面的不同角色而明確其各自在數據安全保護方面的職責,例如應當對于偵查機關等主要的數據收集者規定在調取數據時“按照國家有關規定,經過嚴格的批準手續,依法進行”的具體職責,對于法院、檢察院等數據的存儲、傳輸、使用者規定數據安全管理、監測預警、應急處理等方面的職責,除此之外還應當設立刑事司法中專門、獨立的數據安全監管機構并確定其職責。其三,救濟方式之提供。國家向公民提供數據安全方面的救濟途徑,也是其積極義務的內容之一。在刑事司法領域,由于數據處理行為作為訴訟行為而不具有可訴性,則根據我國現行刑事訴訟法之規定,公民可以申訴控告之路徑獲得救濟。除此之外,一旦國家設立專門的刑事司法數據安全監管機構,則亦應當允許公民向該特定監管機構尋求救濟。
國家所承擔的第二個層面的義務是消極義務。在刑事司法領域,公權力機關是數據安全重要的,甚至是最主要的“侵害風險源”,因此確定公權力機關的消極義務,防止其非法處理數據具有重大的意義。具體而言,刑事司法中國家公權力機關在數據安全保護方面的消極義務主要有以下幾點。第一,不越權收集數據。刑事司法中,在沒有法定權限、未經法定程序批準、且數據主體拒絕提供數據的情況下,公權力機關不得進行數據的收集,更不得強迫數據主體提供數據。第二,不違法存儲數據。一方面是在法律不允許進行數據存儲的情況下,或數據主體依法拒絕收集使用其個人數據、或數據主體雖同意收集使用但對數據的存儲作出限制時,公權力機關不應對相關數據進行存儲或尊重數據主體提出的存儲要求;另一方面是根據數據主體行使其被遺忘權要求刪除或封存數據時,公權力機關應依法加以審查并在符合條件時對數據進行刪除或封存。第三,不違規傳遞數據。在法律禁止數據傳遞或對數據傳遞加以限制,或者數據主體合法地拒絕收集使用其個人數據或雖同意收集使用但對數據的傳遞作出限制時,公權力機關應當不傳遞相關數據或對遵照限制進行數據傳遞。
在數據安全或信息安全問題上,刑事司法傳統的規制方式是沿著隱私權保護的路徑展開的。在1967年的卡茨案中,哈蘭大法官在協同意見中提出,判斷政府方的行為是否構成憲法第四修正案所指稱之“搜查”,應當運用隱私期待的“主客觀雙重判斷標準”進行審查,即考慮兩個方面的問題:一是主觀方面該公民“必須表現出某種實際(主觀)的隱私期待”;二是客觀方面社會已經準備承認其所表現出的隱私期待具有正當性。自此,隱私權保護的思路得到了美國聯邦最高法院后續判例的認可,并影響了加拿大、南非、以色列等許多國家。我國在此問題上基本也遵循隱私權保護的思路,例如刑事訴訟法第152條規定偵查人員對技術偵查實施過程中知悉的個人隱私有保密義務。2016年“兩高一部”《電子數據規定》和2019年公安部《電子數據取證規則》要求對遠程在線提取電子數據進行內部審批,“以有效防范相關偵查活動對隱私權、通信自由等權利的侵犯”。
隱私權保護的路徑雖然易于理解和把握,但也存在一些天然的缺陷,保護方式的事后性即是其中之一。由于隱私權是一種消極、被動、防御性的權利,對其的保護只能在其受到侵害之后方可進行。發生民事糾紛時,“在該權利遭受侵害之前,個人無法積極主動地行使權利,而只能在遭受侵害的情況下請求他人排除妨害、賠償損失等”,在刑事司法的場域下亦是如此,對其的救濟存在事后性特征,缺乏事前和事中的監管。對于刑事司法而言,僅靠事后性的隱私權保護路徑,顯然無法實現數據安全保護的目標,因此有必要從隱私權的事后救濟思路轉向更為積極能動的全程監管方式。
對于刑事司法數據安全保護的全程監管應從事前、事中、事后三個階段著手。第一,事前應有以嚴格審批規則為基礎的監管制度。在處理數據之前,特別是收集數據之前,應當遵守法律關于審批的相關規定。例如在美國,刑事司法中的收集數據行為在大多數情況下可以被納入憲法第四修正案搜查扣押規則的范疇,因此應當遵循“合理根據”要求和令狀主義原則的制約。在我國,盡管主要按照內部性的自我審查方式進行審批,但刑事訴訟法及相關規范性文件關于技術偵查的嚴格審批規定仍可作為參考。第二,事中應有數據處理行為的實時監管制度。例如在公安機關處理數據的過程中,可以根據2019年公安部《電子數據取證規則》第二章第四節的規定進行全程同步記錄,由公安機關的法制部門對于數據處理的合法性和安全性等進行實時的監管,及時制止和懲治非法處理數據的行為。此種實時監管制度在技術層面上并不存在過大的困難,可以通過同步錄音錄像、數據庫登錄記錄留痕等方式解決。第三,事后應有以專門監管機構主導的獨立監管機制。歐盟GDPR、2016/680號指令等均要求設置專門的數據安全監管機構,我國數據安全法第6條亦分別規定不同行業中各個機關的數據安全監管職責,其中將刑事司法相關的數據安全監管職責授予公安機關和國家安全機關。關于公安機關和國家安全機關作為刑事司法中的數據安全監管機構是否適宜,下文將詳述。但無論如何,在刑事司法中的數據處理行為往往是訴訟行為而不具有可訴性的情況下,此種專門的數據安全監管機構進行的監管應當成為事后監管的核心。
根據上文所述的刑事司法中數據安全保護的基本理念,可以具體從數據本身的分類分級、數據主體的角色與作用、數據控制者的安全保護職責和數據監管機構的設置與職能四個方面進行制度完善。
(一)數據的分類與分級
數據安全法第21條提出要建立數據分類分級保護制度,要求制定重要數據目錄,對數據實行分類分級保護;第27條規定數據安全保護工作在“網絡安全等級保護制度”的基礎上展開,從而與網絡安全法第21條關于網絡安全等級保護制度的規定實現了銜接。這些規定切中要害,對于數據的分類分級保護,能夠幫助人們準確識別不同類別數據所承載的法益以及各自的安全保護需求,是數據安全保護的有效手段。外國亦有對數據分類分級的規定,例如美國將涉及國家安全的政府數據劃分為秘密、機密和最高機密,將非涉密的受控數據按照行業分為20大類,在每一類下設子類別并予以詳細定義和區分。
我國網絡安全法第31條規定:“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。”數據安全法第6條關于不同部門按照行業、領域承擔數據安全監管職責的規定以及第21條第3款關于按照行業、領域確定重要數據具體目錄的規定可以看出,數據安全法亦是根據行業、領域的特征提出數據分類要求的。
根據按照行業、領域進行數據分類之要求,刑事司法中的數據應當自成一類,這一點可以從數據安全法第6條第3款關于公安機關、國家安全機關在各自職責范圍內承擔數據安全監管職責的規定中得到佐證。但是,針對刑事司法中的數據仍然應當進行細化的分類和分級,具體而言,可以按照不同標準作出以下區分:
第一,按照數據所處訴訟階段不同,可以分為偵查數據、審查起訴數據和審判數據。這三者區分的意義在于,偵查與審查起訴、審判階段的程序封閉性、秘密性要求不同,處于此三階段的數據的開放性亦不相同,需采取的數據安全保護措施也不同。偵查階段出于防止犯罪嫌疑人逃匿和證據被污染或破壞等需要,天然具有高度的封閉性和秘密性,則在此階段數據通常不向包括辯方在內的訴訟參與人開放。審查起訴階段相較于偵查階段不再有高度的封閉性要求,因為我國刑事訴訟法第40條所規定的閱卷權行使時間為“自人民檢察院對案件審查起訴之日起”,倘若引入被追訴人之數據訪問權,亦可考慮允許審查起訴階段的數據成為數據訪問權的對象;而審判階段由于審判公開原則的要求,其數據具有進一步的開放性特征。顯然,根據三階段數據開放性的差別,對于偵查數據應當采取最為嚴格的安全保護措施。
第二,按照數據對數據主體的影響程度,可以將刑事司法中的數據分為一般數據和敏感數據。如上文所述,敏感數據一旦泄露、非法提供或濫用,可能給數據主體的名譽、身心健康、甚至人身安全帶來嚴重威脅,需與一般數據加以區分。對于敏感數據應采取較之一般數據更為嚴格的安全保護措施,防止敏感數據被篡改、破壞、泄露或非法獲取、非法利用,給數據主體帶來嚴重危害。在刑事司法領域,敏感數據通常包括涉及種族或民族背景、政治理念、宗教信仰、性取向等數據,這些數據通常與特定個案的公正處理關系不大,但往往與人的基本尊嚴或隱私等直接相關,對于防止該數據主體受到歧視性或其他不公平對待的意義重大。對于這些敏感數據,應當原則上禁止收集,即便在符合法律規定的情形下收集之后,也應當采取極端嚴格的保密措施,并在訴訟目的達成后由公檢法機關依職權或依數據主體的被遺忘權主張而盡快刪除或者封存。
第三,按照基于國家安全利益對數據保密程度的要求,可以將刑事司法中的數據分為涉密數據和非涉密數據。刑事司法中的涉密數據因其內容與國家安全利益密切相關,一旦公開可能帶來重大國家安全風險,對于此類數據應當按照保守國家秘密法和《保守國家秘密法實施條例》等法律法規的要求嚴格保密。此外,根據保守國家秘密法密級劃分的規定,刑事司法中的涉密數據亦應當再作絕密、機密、秘密三級劃分,對于不同級別的涉密數據采取不同程度的保密措施。但是,應當注意的是,刑事司法中涉密數據和非涉密數據的劃分不得恣意而為,尤其“不得將依法應當公開的事項確定為國家秘密”,惡意限制或損害訴訟參與人包括相關數據權利在內的訴訟權利。
(二)數據主體的角色與作用
盡管如上文所述,國家在刑事司法領域承擔著數據安全保護方面的主要義務,但數據安全保護以保護公民權利為其價值目標之一,則應當允許作為數據主體的公民在數據安全保護制度中扮演重要角色并發揮作用。在刑事司法中的數據處理和安全保護領域,數據主體主要擔當以下幾方面的角色、并體現相應的作用。
第一,數據主體是數據的來源。數據主體是能夠通過數據被識別或與數據具有關聯性之自然人,數據將他們的言論、行為記錄下來,并在刑事司法中被收集和使用,從而成為刑事司法追訴犯罪、辦理案件的原料。既然是數據的來源,應當承認數據主體對數據在一定程度上的掌控,特別是在收集數據之前,在符合數據安全保護要求的情況下,應當對數據主體進行必要的告知并獲得其同意后方可收集數據,即應遵循“告知—同意”原則。但是在刑事司法的場域下,“告知—同意”原則的適用有一定限制。一是“告知—同意”原則限于依照任意偵查主義而收集數據之場景,基于刑事司法特別是收集數據的主要階段即偵查中的秘密性特征,并非在任何情況下均需完成“告知—同意”。二是對于強制偵查而取得數據之事實的告知,可以如上文所述適當延遲至偵查工作基本完成或偵查階段結束后,從而與我國刑事訴訟法第40條關于閱卷權行使時間的規定保持協調。
第二,數據主體是數據安全保護的參與者。基于其數據來源的身份并根據作為數據主體的訴訟參與人特別是當事人在刑事訴訟中享有的參與權,數據主體在刑事司法中亦成為數據安全保護的參與者。如上文所述,在刑事司法領域數據主體享有一系列的數據權利,通過行使數據訪問權、更正權、限制處理權、反對權、被遺忘權等權利,數據主體對刑事司法領域的數據處理行為實現了形式和實質兩個層面的參與,從而對數據安全保護的相關行為和制度產生一定影響。因此,無論是從保障數據主體相關數據權利的角度,還是從刑事訴訟保障當事人主體地位和訴訟參與人參與權的角度,都應當尊重并引導數據主體發揮對數據安全保護的參與作用,刑事司法中的公權力機關亦應當為數據主體的此種參與提供必要的條件和便利,例如提供適當的訪問權限和軟硬件支持、配備負責相關工作的專門工作人員、為專家輔助人的工作提供協助等。
第三,數據主體是數據安全保護中的公權力監督者和制約者。既然數據主體在數據處理和數據安全保護中都是重要的參與者,則此種參與必然對公權力形成一定的監督和制約。例如上文所述的有限“告知—同意”原則在一定程度上可以對數據的非法獲取形成限制,其與限制處理權等權利相結合能保證公權力機關對數據基于訴訟目的之使用,從而防止數據的非法利用。從本質上看,數據主體在數據安全保護中所扮演的公權力監督者和制約者的角色,是公民權利對國家權力的監督和制約的體現,具有憲法層面的意義,應當予以充分尊重和保障。
(三)數據控制者的安全保護職責
刑事司法中,公檢法等公權力機關是主要的數據控制者,應當對其科以數據安全保護職責,從而履行國家義務。數據控制者安全保護職責的確定和行使,是刑事司法數據安全保護制度的核心內容,具體而言,其主要應有以下三個方面的職責:
第一,數據處理前的數據安全審查和評估。數據安全審查和評估應由數據控制者和處理者在進行數據處理行為前參照上文所述的數據分類分級制度進行,通過考慮和審查數據的性質和數據處理的方式、內容、范圍、目的等,評估此種數據處理行為可能給數據主體帶來的權利影響和對數據安全保護造成的風險。此種數據安全審查和評估對于保護數據安全具有事前預防之功效,許多國家和地區的數據立法中均規定數據控制者和處理者的此項職責,例如GDPR第35條第1款即規定數據控制者應在數據處理之前評估計劃的處理工作對個人數據保護的影響。在刑事司法領域,以公權力機關為主的數據控制者和處理者同樣需要履行此項職責,在對相關數據進行收集、存儲、使用、加工、傳輸、提供、公開等處理時,需要審查數據的性質和內容,并評估相應處理可能給數據主體帶來的影響,特別是給犯罪嫌疑人、被告人和被害人等當事人可能帶來的影響。例如在進行數據存儲和傳輸等處理行為時,公權力機關應當評估其間可能存在的篡改、破壞和泄露風險,從而運用刑事證據鑒真等規則預防作出防范。當刑事司法中作為數據控制者和處理者的公權力機關在進行數據安全審查和評估中遇到困難時,亦可咨詢刑事司法中的專門數據監管機構或網信部門等數據安全保護的專業機構,從而盡可能地預先降低數據處理帶來的數據安全風險。
第二,數據處理過程中的數據安全監測和預警。如上文所述,刑事司法中數據安全保護應有全程監管,則公檢法等公權力機關作為數據控制者和處理者,應在數據處理過程中承擔數據安全監測和預警之職責。具體包括:一是在數據處理過程中按照數據分類分級制度和數據安全審查和評估結果,對特殊數據進行加密或匿名化處理。例如,涉及受保護證人個人信息的數據、有必要收集的敏感數據等,從而降低此種數據一旦泄露帶來的危害。二是針對數據訪問和處理權限設置限制性的安全保護措施。例如,設計必要之數據訪問和處理的預先授權、處理留痕和加密授權觸發等機制,以確保進行數據處理之人在獲得合法的授權后方可處理數據并受到必要的監督,防止數據的非法使用。例如湖南岳陽曾發生過一個警察運用刑事司法中的個人定位數據追蹤前女友并對其實施非法拘禁的案件。倘若對數據庫的訪問權限作必要的限制,此種案件發生的幾率將大大降低。三是對數據處理的各個階段規定嚴格的流程規范,并對關鍵節點進行日志記錄,對于重要的數據處理行為,可以參考2019年公安部《電子數據取證規則》第25條針對網絡在線提取電子數據的規定,以錄像、拍照、截獲計算機屏幕內容等方式記錄數據處理的相關信息。四是對數據庫等數據存儲系統進行定期與不定期相結合的安全測試,防范和發現系統安全漏洞,并作出相應地預警和補救。
第三,數據安全事故發生后的報告和應急處置。一旦發生數據安全事故,盡快進行報告并采取相應的應急處置,是盡可能降低事故帶來的不利后果的必要手段。幾乎所有與數據安全保護相關的法律法規都有此種報告和應急處置的要求,例如GDPR第33條和34條分別要求數據控制者和處理者在發生個人數據泄露的情況下向監管機構報告和向數據主體傳達。我國數據安全法第29條規定:“……發生數據安全事件時,應當立即采取處置措施,按照規定及時告知用戶并向有關主管部門報告。”在刑事司法領域,一旦發生數據被破壞、泄露等安全事故時,作為數據控制者和處理者的公權力機關也應當履行報告和應急處置兩方面職責:一方面是報告。一旦數據安全事故發生,相關機關應在第一時間按照規定向刑事司法領域的專門數據安全監管機構報告;除此之外,在必要時也應向作為數據主體的公民進行通報,特別是在此種數據安全事故可能給數據主體如證人、被害人等帶來人身安全等重大威脅時,此種通報就具有極為重要的意義了。另一方面是應急處置。公權力機關在刑事司法數據發生安全事故時,應立即采取關閉系統訪問權限、暫緩數據處理行為、維修或更換硬件設備、進行病毒查殺或故障處理、進行數據隔離等應急措施,盡可能降低損失、減小不利后果。
(四)數據監管機構的設置與職能
設置獨立、專門的數據監管機構,能夠有效監管數據處理行為,對于數據安全保護具有重大意義。歐盟GDPR在第6章以專章的形式規定獨立監管機構的獨立地位、權限、任務和權力等,2016/680號指令中對于獨立監管機構亦有專章規定。日本個人信息保護法第4章第4節規定個人信息保護委員會作為專門的個人信息保護監管機構,負責個人信息安全保護之監管。我國網絡安全法第8條規定“國家網信部門負責統籌協調網絡安全工作和相關監督管理工作”,數據安全法第6條第3款亦有“國家網信部門依照本法和有關法律、行政法規的規定,負責統籌協調網絡數據安全和相關監管工作”之規定,結合兩部法律其他條文的規定可知,網信部門是我國法律所規定的數據安全監管機構。
然而在刑事司法領域,網信部門作為專門的數據監管機構存在一定的障礙。一方面來自刑事司法自身的專業性和特殊性:刑事司法中的數據安全監管與其他領域存在一些區別,對該領域的數據安全監管往往需要刑事司法的專業知識,而這是網信部門工作人員不具備的。此外,刑事司法領域特別是偵查階段存在上文所述的封閉性和秘密性特征,數據處理的過程通常排斥外部機構的介入,網信部門很難對其進行全程、實時的監管。另一方面在于在多數情況下刑事司法領域的數據處理本質上是證據運用的過程,此種數據處理行為即是公安司法機關的訴訟行為,倘若將數據安全保護監管的職責交由網信部門,會導致對數據處理行為的監管與對訴訟行為的監督進行分割,不但邏輯上難以成立,從實踐操作的層面來看也不具有可行性。
面對上述障礙,相對合理的選擇是將檢察機關確立為刑事司法領域的專門數據監管機構。首先,檢察機關在大陸法系的傳統下被視為“客觀官署”,由其行使數據監管職權,在獨立性和中立性方面符合我國法律的要求。其次,相較于數據安全法第6條令公安機關、國家安全機關承擔數據安全監管職責的設計,檢察機關是憲法規定的“國家法律監督機關”,本就在刑事訴訟中履行自立案至執行的全程監督之職責,對于包括數據處理行為在內的訴訟行為進行監督名正言順。再次,檢察機關的工作人員均是經過培訓、考試等選拔的法律專業人士,對于刑事司法的監督本就是其職權之一,不存在專業性方面的問題。最后,檢察機關作為刑事訴訟監督機關,介入刑事訴訟的各個階段均不存在障礙,即便是最為封閉秘密的偵查階段,檢察機關亦可提前介入或引導偵查,從而避免了進行全程數據安全監管的程序方面的阻礙。當然,將檢察機關確立為刑事司法領域的專門數據監管機構的同時,應當規定其在必要時尋求網信部門的協助和向其提出咨詢,從而實現數據監管方面的技術交流。
檢察機關作為刑事司法領域的專門數據監管機構,在數據安全保護方面應有以下職能:第一,根據數據分類分級制度,統籌確定刑事司法中的重要數據目錄。檢察機關作為專門數據監管機構,通過協調制定重要數據目錄,對于刑事司法中其他機關及本機關的數據處理行為提供指引。第二,對數據控制者和處理者的重要數據處理行為進行同步監督。對于一些事關重大,特別是涉及國家重大利益或公民重要權利的數據處理行為,在必要時檢察機關應有權進行同步監督,當前我國刑事司法中已有的檢察機關提前介入等制度可以作為同步監督機制設置之參考。第三,對刑事司法中的數據處理系統進行安全巡查。此種安全巡查可以以定期或不定期的方式進行,一旦發現數據安全缺陷、漏洞等風險時,應當立即采取補救措施或通知相關機構采取補救措施。第四,接受數據安全事故報告并作出處理。檢察機關履行刑事訴訟中的數據監督職能,應是接受數據安全事故報告的機構。在收到報告后,檢察機關應就不同類型的數據安全事故作出不同的處理決定,交由相應的機關或部門執行。第五,受理數據主體有關數據安全方面的異議或申訴。數據主體和刑事司法中的公權力機關可能就數據安全問題產生爭議。例如,數據主體可能因其被遺忘權主張要求刪除數據,而公權力機關拒絕此種申請。在此種情況下,作為數據監督機關的檢察機關應當有權接受相關異議或申訴,并根據具體情況作出決定。通過上述職能的行使,檢察機關能夠在刑事司法數據安全保護方面發揮重要的監督者和裁決者的作用。
科技與刑事司法的互動關系是一個由來已久的話題,在這個問題上,需要就科技的前沿性與刑事司法的穩定性要求進行平衡,科技的發展以試驗和錯誤為成本,但此種成本卻往往為刑事司法所無法容忍。因此,刑事司法對于科技的運用雖不能固步自封、但也需要小心謹慎,否則就會對“如同桅桿頂尖,對船身最輕微的運動也會作出強烈的擺動”的刑事訴訟產生重大的影響。而在科技發展的推動下,數據的運用已經深入我們生活的方方面面,作為人類生活方式的重要內容,刑事司法亦概莫能外。刑事司法中的各種數據處理行為對于推動刑事訴訟的進程、查明案件事實、作出公正裁判具有技術層面的助推作用,但是其也不可避免地帶來改變訴訟模式、影響訴訟參與人權利等影響,尤其是其可能造成的數據安全隱患值得我們關注。從根本上看,數據安全在刑事司法的場域下事關生命、自由、財產等最重要的利益和價值,對刑事司法數據的安全保護是刑事訴訟公正和人權保障等核心價值的要求,不能不予以萬分重視,從而實現數據運用于刑事司法、服務人民群眾、保障“維護社會公平正義的最后一道防線”的目標。
(注:本文經作者授權發布)