◆胡鸿福

数据安全视野下商业机构在刑事诉讼中的角色定位研究

◆胡鸿福

（中国人民公安大学法学院 北京 100038）

商业机构在刑事诉讼中可以扮演“特殊专家辅助人”“特殊证人”和监督者的角色。过时的协查机制限制了商业机构在刑事诉讼中的表现，直接导致协查效率低下、提供数据质量不高。刑事诉讼中商业机构的出路须以维护数据安全为基础，以电子数据调取程序规范构建为重心，坚持办案主体法定和比例原则，并形成衔接、保护、监督和制裁等具体的运行机制，才能使商业机构参与刑事诉讼趋于合理化、规范化。

刑事诉讼；商业机构；协查；数据安全

数据在社会治理中扮演的角色日益重要，刑事诉讼作为犯罪治理的重要环节也必须做出适应性的调整。大数据技术的发展打破了传统的司法模式，以海量数据作为支撑，刑事诉讼由此更加智能高效。其中，商业机构因掌握大量用户信息，在刑事诉讼中发挥重要作用。海量的数据为现代刑事诉讼的开展增添了动能，同时，数据安全和信息保护也成为现代刑事诉讼不可回避的问题。当前，数据获取、传输、应用等机制不完善，使得商业机构参与刑事诉讼会出现数据安全隐患。因此，商业机构应充分发挥其专业监督作用，确保数据安全。

1 商业机构在刑事诉讼中的角色定位预设

大数据背景下的刑事诉讼区别于传统刑事诉讼的显著特征是以数据为中心，所以，数据获取和数据分析能力成了评价办案效能的核心要素。商业机构中有具备采集和处理数据专业能力的企业（以下简称第一类商业机构），也有掌握大量用户信息的互联网企业（以下简称第二类商业机构），这恰好与刑事办案机关的需求相契合。如果这种契合能够得到充分利用的话，那么商业机构在刑事诉讼中至少有三种角色定位可以被合理期待：一是“特殊专家辅助人”，二是“特殊证人”，三是监督者。

1.1 刑事诉讼中的“特殊专家辅助人”——主要是第一类商业机构的角色

第一类商业机构以单位的名义参与刑事诉讼，不符合刑事诉讼法关于专家辅助人（只能是具有专业知识的个人）的定义，但商业机构为办案机关提供技术服务，实际上就是在运用专业知识参与刑事诉讼，故称之为“特殊专家辅助人”。第一类商业机构以专家辅助人的身份介入刑事诉讼，这意味着其将以商业交易的模式提供专业知识的服务，比如接受办案机关的委托，采集相关数据、提供数据分析报告、对数据进行可视化处理等等。实践中，刑事办案机关不仅采集具有强相关性的数据（即证据），更多是从关联数据寻找办案突破口。在关联数据的择取上，办案机关应当加强与专业的商业机构的交流合作，尤其是在经济犯罪和金融犯罪方面，无论是从数据的敏感度，还是从数据处理的能力而言，商业机构可能比办案机关更有实力和精力收集数据、发现异常和呈现结论。

第一类商业机构参与到刑事诉讼当中，意味着办案机关拥有了数据行家的支持。可以预见的是，以业务合作的方式推动办案机关对数据领域规律和方法的把握，使办案机关获得源源不断的技术补充，形成办案合力。

1.2 刑事诉讼中的“特殊证人”——主要是第二类商业机构的角色

在刑事诉讼中，第二类商业机构因为掌握后台数据而知悉一些案件的情况，所以它们在刑事诉讼中负有如实报告的义务，具体而言，商业机构具有履行协查的义务和主动报送线索数据的义务，前者表现为被动作证，后者表现为主动作证。商业机构充当证人的特殊之处在于它们不是个人，而是单位，这与我国刑事诉讼法的规定不相容，所以只能称之为“特殊证人”。

被动作证是指商业机构接受办案机关的协查请求，像证人作证一样按照指令提供相关数据。商业机构以知情第三人的身份提供数据，在诉讼中的发挥着证人作证的作用，这在实质上符合证人的定义，尽管作证过程是通过履行协查义务的方式来实现。

主动作证主要表现为商业机构主动将一些可疑数据报送给办案机关。尽管在立案之前报送数据的行为会使商业机构的身份与报案者、举报者或者控告者的重合，但这不影响其作为知情证人的主体角色的成立。主动作证并非空穴来风，事实上，有些地方的办案机关已经有初步的实践探索，商业机构参与刑事诉讼的方式正在朝向多元发展，数据融合和共享正在发生，自动报送可疑数据也是应有之义。

1.3 刑事诉讼中的监督者——商业机构维护数据安全的角色

商业机关的参与为刑事诉讼活动开辟了新的通路，形成了“办案机关——商业机构——被追诉人（用户）”三角关系格局。办案机关通过收集后台数据，减少了与被追诉人的正面对抗，但不可否认这种做法也是存在一定的风险的，比如办案人员篡改数据、收集数据不完整、收集不相关数据等等，如果商业机关不能有效监督办案机关调取数据的行为，那么将使数据安全产生隐患。再者，刑事诉讼本身容易对公民基本权利造成侵害，而大数据背景下刑事诉讼的侵害性具有更强的隐蔽性，比如强行访问某个相关人员私密的数据空间，这对他们的侵害可能并不亚于对于其现实住所的搜查，诸如此类的行为若不受到监督，必定会滋生公民对个人信息安全的忧虑情绪。所以，商业机构有条件也有义务在协助办案机关的同时，监督相关办案行为是否依法进行，保障用户的个人信息权益。

2 商业机构在刑事诉讼中维护数据安全角色的缺失及成因

大数据体量巨大，类型繁多，半结构化、非结构化数据等大量涌现且成为主流，其复杂性使得数据安全所面临的威胁和挑战随着数据规模非线性增长[1]。商业机构提供数据服务、履行协查义务和维护数据安全有时会出现价值冲突，实践中，商业机构在刑事诉讼中缺少话语权，难以对刑事诉讼活动形成有效监督，所以其维护数据安全角色表现不佳，致使数据安全存在隐患。大数据的潜在价值，使相关的安全问题正日益凸显[2]。究其原因，协查请求模糊、数据单向流动和协查规范缺失限制了商业机构的监督作用。

2.1 协查请求模糊

模糊的协查请求增加了商业机构履行监督职责的难度。为保证收集数据的全面性，办案机关向商业机构调取数据时往往提出尽量模糊的协查请求。办案机关请求调取的数据从因果性向相关性扩散，与之对应的是商业机构协查难度的提升和协查任务的增重，同时，商业机构对办案过程合法性的监督也变得困难，数据安全难以得到保证。因为信息是经过加工且具有意义的数据，具有可为人类理性认识和理解的意义[3]，而相同的一组数据，经过不同的排列组合、筛选、补正等加工程序形成的信息能够产生不同的证明作用，商业机构完成了模糊的协查请求之后就会失去对数据安全的控制。一方面，模糊的协查请求使商业机构难以明确具体被调查的对象，甚至不清楚某一具体的办案行为的真实目的，更无从判断办案行为是否合法；另一方面，模糊的协查请求也使被调查者对相关调查行为毫不知情，无法向商业机构和办案机关提出异议。

2.2 数据单向流动

在履行协查义务过程中，相关数据从商业机构流向办案机关之后，对其真实用途商业机构无从得知，更谈不上得到办案机关的任何反馈，这存在极大的数据安全隐患。如果数据被不当利用，可能会侵害商业机构的商业秘密，甚至将来成为指控它们自身违法犯罪的证据。此外，商业机构履行协查义务还面临着侵犯用户信息自决权的风险。首先，大数据背景下用户信息自决权极易受到侵犯，因为数据的无形性增加了侵权行为的隐蔽性，比如，商业机构提取用户即时通信的内容就可能构成对用户通信秘密的侵犯；其次，侵犯用户的信息自决权可能会造成严重的后果，不仅会使用户的合理信赖被破坏，还有可能使无辜的用户卷入刑事诉讼当中。商业机构侵犯用户信息自决权风险的上述特征决定了商业机构的协查行为容错度很低，而数据的单向流动意味着商业机构履行协查义务时面临更大侵权风险。

2.3 缺少中立的协查规范

中立规范的缺失使商业机构履行协查义务充满了不确定性，数据安全无法得到保证。法律法规的欠缺一方面鼓励多种形式的实践探索，但另一方面也容易引起调取环节的混乱。实践中，相关部门和企业的“立法”活动都各行其是，例如，2016年最高人民法院、最高人民检察院和公安部联合制定了《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》，2019年公安部发布了《公安机关办理刑事案件电子数据取证规则》等文件，各商业机构都有各自的公司章程、工作规定，这些规范共同的特点是法律位阶较低，因而适用主体有限。然而，上位指引规范的缺失，致使协查任务的具体内容只能通过个案协商的方式的确定，这不但不符合诉讼经济的要求，更不利于办案的及时有效性。最重要的是，上位规范的空缺还会使商业机构的监督缺乏基准，更难实现维护数据安全的目标。

上述因素在不同程度上阻碍着商业机构在刑事诉讼中发挥监督作用，使数据安全充满隐患，因此，克服上述因素的制约，为商业机构在刑事诉讼中谋划出路是时下的关键课题。

3 重塑商业机构在刑事诉讼中维护数据安全的角色

为提高商业机构在刑事诉讼中的协查实效，维护数据安全，结合实践问题与现实条件，本文认为，刑事诉讼中的商业机构必须重塑维护数据安全的角色，以电子数据调取程序规范构建为重心，坚持办案主体法定和比例原则，并形成具体的运行机制。

3.1 关于维护数据安全的原则性建议

（1）坚持办案主体法定

宪法和法律明确规定了刑事案件的办案主体的范围，旨在防范不当的刑事诉讼行为对公民基本权利造成侵害。商业机构在刑事诉讼中因为具有多重身份而承担多种职能，在参与刑事诉讼过程中（尤其是扮演专家辅助人和主动作证的环节中）很容易逾越界限，使外界产生商业机构即办案主体的错觉。所以，有必要在此重申宪法和法律关于办案主体的规定，防范实践中出现角色分工错位，即商业机构无论在何种程度上参与刑事诉讼活动，都不可能成为办案主体。此外，能够参与刑事诉讼的商业机构也应当有所限定，只有在管理规范、技术水平、监管措施等方面都具备充分的数据安全保障能力的商业机构，符合数据安全使用要求的[4]，才允许作为“专家辅助人”或“特殊证人”进入刑事诉讼。

（2）比例原则再提倡

为使刑事诉讼可能带来的负面影响降到最低，确保数据安全，有必要提倡比例原则，从目的和手段的关系角度把握商业机构参与刑事诉讼的尺度。因此，本文建议将数据体量、数据敏感度、数据稳定性、案件性质和诉讼阶段作为参数，构建商业机构与办案机关不同深度和梯度的合作体系。涉及的数据体量越大，需要经过的审查程序越严格；数据的敏感度（个人信息的私密度、商业秘密的密级等）越高，需要设置更多的数据安全排查和技术处理程序；数据越不稳定（自动删除、人为窜改、销毁等），越要优先安排协查；诉讼阶段不同，相应的协查范围、数据库开放程度、数据挖掘的深度要有所区别。

3.2 关于建立维护数据安全具体机制的建议

（1）衔接机制

业务衔接机制。为使商业机构参与刑事诉讼活动步入正轨，解决模糊性协查请求等障碍，应该建立稳定的工作衔接机制：第一，协商建立异常报警机制，打通商业机构自动报送可疑数据的渠道；第二，建立协查请求类型化机制，由办案部门汇编指导案例、数据查询指南等手册；第三，建立多方合作机制，通过第一类商业机构（即专业的大数据公司）提供的数据相关的服务，畅通办案机关和商业机构数据需求和数据供给。

规范衔接机制。中立性规范是大数据参与刑事诉讼的制度保障，而规范的中立性既是维护各方利益的底线要求，也是保证协查的重要根据，所以，商业机构和办案机关应该抛弃行政化的立法思路，共同致力于上位规范的制定，并充分吸纳用户的意见。

（2）保护机制

数据安全排查的机制。为了充分维护用户信息权益和保护商业机构自身的商业秘密，加强脱敏技术的运用尤为必要，剔除无关数据，在调取过程中对数据进行过滤。商业机构须恪守隐私政策上的允诺，满足用户的信赖，对于用户信息的收集和利用，可以借鉴域外的隐私合理期待理论，从主观意愿与客观所处之境遇进行判定。

处理无关数据的机制。信息处理者与信息主体强弱悬殊，处于实质不对等状态，致使个人信息权难以发挥应有的保护功能[5]。所以，商业机构和办案机关应当在事后及时主动处理无关的信息，将数据还原，并及时告知用户，这不仅是对用户信息自决权最基本的尊重，也是保护诉讼参与人权利的必然要求。

反馈机制。办案机关使用数据后要给商业机构反馈，对于可能涉及侵权的行为和风险要及时通告，当然，反馈的时机可以已根据办案的需要进行调整。

（3）监督机制

节点公开。以公开为原则的案件办理程序更具有司法公信力，公开不仅增强了程序的正当性，也使得监督办案成为可能，更扩展了共享的效应。公开的方式要结合技术运用，比如区块链技术，使每一个节点都公之于众，这样也能保障数据相关人的知情权。当然，因案件特殊，不宜公开或及时公开的，允许一些案件的节点不公开、部分公开或滞后公开。

记录留痕。为防范刑事诉讼过程中商业机构工作人员或办案人员违规操作的风险，构建记录留痕程序，将每一次协查调取过程记录在日志上，取证合法性证明和责任倒查所用。

反向评价。商业机构善于运用评价，也很注重对评价的分析。赋予商业机构对相关办案机关和办案人员的执法规范情况作出评价的权利，能够对办案过程的合法性形成有效的监督。

用户异议。商业机构和办案机关应当为用户开通异议通道，使对刑事诉讼活动合法性有异议的用户能够得到及时的回复或救济，对于明显的事实错误，应当立即处理，对于法律争议和有分歧的事实问题，也要限期解决。

（4）制裁机制

责任追究。建立制裁机制是形成监督闭路的基本要求，对刑事诉讼活动的监督也不例外。制定制裁违法办案行为的规则，使越权调取数据和不当利用数据的办案人员受到工作处分、刑事处罚等责任追究。

数据排除。严格执行非法证据规则，倒逼办案机关合法收集数据。办案机关违反法定程序收集、使用数据，如果构成对用户信息自决权的侵犯，则排除相关数据，否则，可以不排除。

限制权限。商业机构参与刑事诉讼，如果违反规定和要求，其主管部门有权对其信誉等级和运营资质做不利调整；办案机关如果出现违法操作的情况，其上级机关有权限制其自主办案的权限，商业机构也可暂停或终止相关的合作。

[1]齐爱民.论大数据时代数据安全法律综合保护的完善——以《网络安全法》为视角[J].东北师大学报（哲学社会科学版），2017（04）：108-114.

[2]韩伟.安全与自由的平衡——数据安全立法宗旨探析[J].科技与法律，2019（06）：41-48+67.

[3]裴炜.个人信息大数据与刑事正当程序的冲突及其调和[J].法学研究，2018，40（02）：42-61.

[4]林丽敏.大数据背景下我国个人数据安全保障体系的构建[J].海峡法学，2019，21（04）：38-44.

[5]王怀勇，常宇豪.个人信息保护的理念嬗变与制度变革[J].法制与社会发展，2020，26（06）：140-159.

中国人民公安大学2020年度拔尖创新人才培养项目（2020ssky001）