大数据侦查中个人信息的法律保护
2022-03-13祝海洋陈伟莲
祝海洋,陈伟莲
(华侨大学,福建 泉州 362000;泉州市中级人民法院,福建 泉州 362000)
2015年身为人民警察的柴某向非法放贷组织“宇策公司”借款五万元,后因无力偿还,遂将公安机关配发的包含有大量公民信息的移动警务系统质押给该从事非法放贷的黑社会性质组织,并告知警务通的功能、账号、密码,当场演示、教授使用方法,至2019年,公安机关将该组织破获,经查,“宇策公司”利用柴某提供的警务系统实施违法犯罪活动,非法查询公民个人信息一万余条,其中包含犯罪人员信息、案件信息等敏感内容,致使大量公民信息泄露,造成恶劣社会影响。①柴升龙滥用职权案。参见天津市南开区人民法院(2020)津0104刑初427号刑事判决书。自从侦查机关利用大数据手段介入侦查活动以来,合理利用大数据信息给侦查活动的开展带来极大便利,但侦查人员滥用职权造成个人信息泄露、利用数据网络技术侵害个人信息安全的事件屡见不鲜。而由于缺乏规制侦查行为中收集使用个人信息行为的立法和监督体系,使社会和公民陷入对侦查机关利用大数据侦查是否会侵害个人信息安全的担忧。
一、大数据和个人信息在侦查中的应用
(一)大数据侦查的应用
大数据侦查尚未被纳入标准的法律概念,故而无法对其进行统一的释义。从实践角度来看,可从两个方面理解大数据侦查。一方面大数据侦查是利用大数据技术进行的侦查活动。侦查机关利用大数据库对案件线索进行收集整理,将有关案件数据利用大数据技术进行分析追踪,应用数字化技术对传统侦查方式进行革新,以适应当今数据化、网络化的信息时代;另一方面,大数据侦查是利用大数据思维开展的侦查活动。利用大数据思维进行侦查需明确大数据本身的内涵、特点、模式和机制。依托数据本身的庞杂性,可以充分分析行为人行为,使大数据的应用可以预测行为人的未来行动。公安机关可以利用大数据库中的数据进行预测性分析,达到预测犯罪、预防犯罪的目的。通过大数据思维分析数据信息,将打击的违法犯罪行为从已然扩展到未然,对于维护社会安定团结具有更重要的意义。依仗侦查人员丰富的办案经验和先进的科学信息技术进行的侦查活动,有利于提高侦办案件的效率、维护社会公平正义。由此可见,大数据侦查并非一种单纯的侦查方法,而是一个充实、复杂的体系。[1]大数据侦查是侦查机关在大数据时代背景和时代条件下对传统侦查模式的升级,是从违法犯罪行为的预防到已发生的违法犯罪行为的线索识别、证据搜集、嫌疑人固定所采取的一系列以大数据技术与思维为依托的侦查行动和侦查模式。
大数据侦查应用模式与实践类型存在多种划分方式,如个案分析模式和整体分析模式、衍生数据模式、回溯型侦查模式和预测型侦查模式等。[2]侦查机关利用大数据侦查在实践中的应用主要集中在对实施违法犯罪的人员个体进行信息化梳理、对有相似性的案件或连环案件进行细节上的数据对比、对共同犯罪或者团伙犯罪成员进行集中分析与追捕以及对未及实施的违法犯罪活动进行堵截或提醒潜在受害人警惕不良人员等几个方面。
根据“洛卡尔物质交换定律”,犯罪分子只要实施犯罪行为,必将与犯罪现场进行了直接或间接的物质交换,从而出于自觉或不自觉的因素留下痕迹,这也是侦查过程中常说的“犯罪必留痕”。一般的观点认为,广义的“痕迹”不仅包括物质痕迹还包括心理痕迹。[3]而在如今的社会环境和大数据发达的背景下,实施了违法犯罪活动的行为人不仅会在现场遗留物质痕迹和意识痕迹,还会留下“信息痕迹”,对犯罪分子进行画像时,除了传统和外貌形象、职业特点、心理特征等,还可通过嫌疑人留下的信息刻画出其数据轮廓,依托数据量巨大的数据库进行筛选,提升锁定目标嫌疑人的速度和准确性。
在实际侦办案件中,有些案件呈现出相似或相同的犯罪行为模式,通过犯罪数据的横、纵向对比,可以从中抽象出此类犯罪的犯罪模型,此时加入个案中嫌疑人的特殊数据与画像,可以使嫌疑人范围逐渐缩小,使违法犯罪人员个体逐渐清晰,有助于公安机关迅速采取措施。而在团伙犯罪中,由于犯罪团伙成员之间存在数据的共通性,通过数据分析锁定其中一个嫌疑人后可以顺藤摸瓜,排查相关人员,在案件侦办中做到查无遗漏。
建立在相关关系分析基础上的预测是大数据的核心。[4]对于多发、频发的案件,通过大数据提取犯罪行为模式,有助于侦查机关对未来犯罪的预防及预警。一方面,监测到预备实施违法犯罪行为的行为人触发犯罪行为模式中某一环节时,侦查机关就可以对其犯罪证据进行截留,必要时可以直接采取相关行动,使“既遂”变“未遂”,使侦查从“被动型”转变为“进取型”,在及时教化嫌疑人的同时维护被害人生命财产安全;另一方面,侦查机关可以向潜在的被害人发出预警,提高被害人防范意识,谨防不法分子侵害,如最近被普及的反诈骗APP就是通过向潜在受害人预警潜在的信息网络诈骗活动,以期达到维护公民财产安全的目的。
(二)个人信息在大数据侦查中的应用
侦查机关通过多种数据库的建设和应用,将公民个人信息和案件侦办联系起来,为侦查工作助力。这些数据库包括侦查机关自建的大数据库,如“金盾”工程、天网工程、雪亮工程与智慧警务的建设等;[5]也包括除侦查机关以外的其他政府部门共享的数据平台,如人口普查结果等;还包括可以被侦查机关调取的非政府部门的机构大数据库,如电信运营商掌握的个人通讯数据、电子商务公司掌握的客户购物物流信息、各类商业监控探头甚至包括公民个人安装的监控设备,都可以在必要条件下成为可以被侦查机关使用的数据资源。
在公安机关开展的天网行动中,侦查人员可以通过被广泛安装并使用的监控设备对犯罪嫌疑人进行追踪和定位,在实践中通过嫌疑人在监控系统中留下的影像资料可以较为准确的把握其形象特征。随着监控设备的升级,监控探头可以捕捉的嫌疑人影像越来越清晰,为后续追捕工作提供便利。公安机关还可以通过天网系统向其他辖区办案人员提供案件信息共享,多辖区协同办案,提升办案效率。监控系统的普及为办案与侦查提供了极大便利,天网工程收效显著,有关机关进一步推出“雪亮工程”,使电子监控设备和手段向广大的农村地区延伸,维护城乡居民安全。通过天网工程和雪亮工程的双线配合,利用监控系统还原案发经过、识别犯罪嫌疑人行动信息、追踪犯罪嫌疑人行踪以及预防预警犯罪的技术日渐完善,可为进一步发展大数据应用打下良好基础。
侦查机关进行案件调查摸排工作时,往往需要充分而全面的掌握案件相关人员信息。以刑事案件为例,侦查人员需要充分调查受害者身份信息、生活轨迹、行动信息等,在深入调查被害人相关信息过程中,可首先通过户籍系统对受害者家庭成员与家庭背景进行初步了解,把握基本情况,再通过由人口普查形成的个人信息平台补充完善被害者基本信息。当需进一步了解和提取其遇害前联系人时,可借助电信运营商和社交软件运营商留存的电子数据进行提取分析,建立与被害人相关的关系网,从中进一步摸排和确定犯罪嫌疑人。对于已经确定的嫌疑人进行追捕时,也可将他在犯罪现场遗留的行为痕迹进行数字化处理,通过大数据分析对比,得出犯罪分子的个人信息和特征,实现较为精准的定位,提升追逃送审效率。
二、侦查机关在个人信息应用中存在的问题
个人信息和大数据手段在侦查机关办案过程中起到了十分突出的作用,侦查机关也逐渐意识到信息化、数据化带来的便利,开始追求数据库的进一步扩张,想要尽可能多而广泛的收集各类个人信息,为今后工作的开展和预防犯罪打下坚实的“信息基础”。但在收集新信息和利用已有数据库信息资源的过程中,侦查机关也容易忽视个人数据的安全问题,致使大数据侦查行为存在着危害个人信息安全的潜在风险。
(一)个人信息收集范围过度扩张
在侦查过程中,侦查机关运用大数据系统进行信息检索一般要求广泛、全面、细致的收集相关人员个人信息,以防遗漏重要线索或证据。但这个过程不免将与案件没有实际联系或即使有实际联系但并非违法犯罪人员的人牵扯其中,对这类人群的信息收集不应过度,但这个“度”具体在哪里,需要侦查机关和侦办案件的侦查人员在实际案件中根据具体情况,做出具体分析与决策。
大数据侦查的应用还包括预防“未然”犯罪,进行犯罪预警,这就需要掌握并分析大量并非实际违法犯罪行为的数据信息,因为不能精确的预知哪些人做的哪些事与犯罪行为有关,所以只能采取“广撒网”的数据收集模式,这样一来便有可能侵犯普通公民的隐私权,甚至有滥用职权之嫌。
(二)缺乏共享信息规制
侦查机关在进行以大数据为依托的侦查活动中,往往通过自建的大数据系统进行数据分析,但有时需要借助其他国家机关或非政府第三方机构的大数据系统进行进一步研判。在此过程中,虽然侦查机关与其他大数据库拥有主体之间存在保密协议,但并没有保密落实机制,这就导致被调查过的、并非真正违法犯罪人员的相关个人信息处于泄露风险之中。
一方面,在与其他国家机关进行信息调取中往往忽视对公民个人隐私权的保护,不乏存在任意性和检索不规范等问题,且这种信息上的互通发生于国家机关与国家机关之间,缺乏信息调取过程的外部监督;另一方面,在侦查机关向社会机构收集信息时并不能确保相关人员遵守保密规定,同样也缺乏对被调查信息的后续使用、销毁等程序的规范化的指引,而如若被调取的信息被任意处置,则无法确保信息主人的隐私安全和数据安全。
(三)个人信息数据存储保护不当
侦查机关既是数据信息的收集者、分析者、使用者,又因其作为国家负责维护社会稳定、维护公民合法权益的机关,对维护个人信息安全负有不可推卸的责任,所以也应是个人信息的保护者。但在利用个人信息进行侦查的行动中,侦查机关本身存在数据信息保管保存不当的弊端,致使个人信息处于泄露的风险之中。第一,侦查机关内部人员在进行公民信息查询时限制较少,查询信息的随意性强,甚至可以非因案情需要任意查询、倒卖公民个人信息。在中国裁判文书网上进行检索,警察涉及侵犯公民个人信息罪、非法提供个人信息罪、与个人信息有牵扯的受贿罪、渎职罪等共200余起,给公安机关造成恶劣影响的同时也给社会带来了极大恐慌。①检索对象为中国裁判文书网(wenshu.court.gov.cn),访问与检索时间为2022年9月18日。检索范围为“刑事案件”“判决书”,关键词设置“个人信息”“警察”“国家机关工作人员”,共找到刑事一审案件判决书250份。第二,黑客的存在一直是威胁大数据系统和大数据库安全的一大劲敌,侦查系统建设的数据库并不足以抵御这种外来风险,黑客对侦查数据库进行攻击的事件屡见不鲜。如2017年比特币勒索病毒(Wanna Cry)入侵公安内网并大规模传播,不仅直接使公安信息系统瘫痪长达半月,还摧毁了数据库中收集的大量个人数据信息,造成极为严重的后果,公安部门付出了惨痛代价。
三、大数据侦查个人信息保护不当的成因分析
侦查机关在利用大数据侦查技术和思维的过程中存在不足,而造成这些不足的原因包括相关立法层面的不完善、侦查工作外部监督机制的缺失和数据储存技术手段的相对落后、负责案件侦办工作人员数据防范意识较低等原因,其中立法缺憾和监管不力需重点关注。
(一)相关立法不完善
我国在2021年颁布并实施了《中华人民共和国个人信息保护法》,对个人信息安全进行专门保护,该法与刑法、民法等领域也多有衔接,但鲜有法律规范涉及和适用于侦查工作,加之没有专门的立法规制侦查过程中对大数据和个人信息的利用,因而出现很大的法律漏洞。这一缺憾导致侦查行为对个人信息保护范围呈现出不明确性和碎片化的特点,致使个人信息保护法律规范层面难以体系化,并进一步引发侦查实践中法律适用方面的难题,严重干扰了公民个人信息正当权利。
(二)专门信息监督机构缺失
根据《中华人民共和国个人信息保护法》的规定,对个人信息负有保护责任的部门为国家网信部门,而对于严重侵犯个人信息的行为应当由公安部门进行调查,这种情况下所针对的侵害个人信息的主体是除国家机关以外的社会第三方机构或个人。①具体规定见《中华人民共和国个人信息保护法》第60条、第64条。对于国家机关,尤其是肩负侦查职能的公安机关来说,虽然可以通过内部监管的方式,如由公安法制部门进行监督,[6]但对于公安机关本身来说,缺少专门机构进行外部监督和制约,在个人信息收集使用过程中没有忌惮。另外,缺乏个人信息保护的专门监督机构还会造成被公安机关侵犯合法权益的公民投诉无门的窘境,没有专门机构真正关心被侵犯个人信息的公民权益,这与该法的立法本意是背道而驰的。
(三)监督职责缺位
按照我国司法机关职权设置,检察院、监察委、法院对侦查活动的开展都负有监督或审查义务,应对侦查行为进行监督审查。但在实践中,大数据侦查因外部监督缺位,处于几乎封闭的状态,学界称为“制度上的封闭性”。[7]
侦查权是公安机关最核心的职权,采取何种侦查手段、何种侦查策略,公安机关比任何其他国家机关都更有把握,监督机关对侦查思路和手段也并不熟悉,贸然插手或叫停侦查工作可能导致重要案件线索丢失,给案件侦破工作造成阻碍。实践中检察院和法院对侦查机关的监督往往通过对案卷材料的审查进行,侦查机关利用大数据对公民造成的信息权利的侵害具有较强的隐蔽性,很难在案卷中呈现,当然,侦查机关也不会主动在案卷中呈现自己工作的不足,这就使监督更加困难。
此外,根据法律规定,检察院也享有一定的侦查权,但若单纯由检察院对侦查工作进行监督,则有“既当运动员,又当裁判员”之嫌。监察委是对行使公权力的公职人员进行监察,但重点是调查公职人员中的坏腐分子,而非调查侦查手段本身的侵权性。法院有司法审查权,但法院对案件审查和判决的基础是卷宗,非法证据的排除往往集中在物证和言词证据上,很难从案卷中找到大数据侦查对个人信息侵害的蛛丝马迹,暴力取证也很难被扩大解释为利用大数据手段采集所致。
(四)侦查人员执法能力有待提高
数据是流动的也是变化的,个人信息在数据化后也呈现出一定的流变性特点。在大数据使用中,静态的数据保护方式已难以适应当前对数据利用、处理和保护的需求,这种技术短板严重影响到侦查人员的执法能力。囿于传统的侦查模式和思维,一些侦查人员对涉案人员个人信息的保护不够重视,认为只要是为了搜集线索、侦破案件,就可以做出信息安全的牺牲。此外,按照目前的信息管理办法,侦查人员可以不分级别接触到个人信息数据库,其中不乏信息素养较低的警务人员将个人信息向外泄露,侦查人员利用内部系统侵害个人信息安全的行为无疑是对数据信息安全的一大威胁。
四、大数据侦查个人信息保护的完善
防范大数据可能造成的个人信息安全威胁,构建完善的个人信息应用体系势在必行。侦查机关应从基本原则出发,完善对个人信息保护的相关法律法规,建立内外部监督机制,规范数据的储存和使用。
(一)坚持合理使用原则
《中华人民共和国个人信息保护法》规定,使用个人信息需经过本人授权或许可,理应在侦查机关采集、调取、使用个人信息的过程中获得本人同意。由于侦查行为的特殊性,普遍认为公民已经提前同意并许可侦查机关对自己的个人信息进行搜集分析,但这种收集应有一定限度且不能给信息所有者产生不利或伤害,应谨防信息泄露、隐私曝光。
侦查机关在进行大数据建库和调取使用过程中应遵循适度的原则,不应无限制的收集个人信息,也不应无限制、随意地对已收集的数据进行分析。要紧密围绕案件本身进行数据采集,在结案后妥善处理已用信息,使信息的收集和处理符合且限于侦查犯罪和预防犯罪的需要。在侦查和打击犯罪的过程中,应选择对公民影响最小、损害最轻的方式进行,平衡好办案和个人信息权保护的需要。
(二)完善法律规范体系
目前,大数据应用模式使初期侦查权规制出现法律真空,[8]可以考虑将现有规则转化应用其中。大数据侦查与我国《刑事诉讼法》规定的搜查、勘验检查、技术侦查和调取证据四种强制性侦查措施有所联系。[9]可以灵活适用、变通适用作为对大数据侦查的规制法,如在调取存储于第三方数据库中的数据时,应当符合调取证据的相关规范;再如在确定的物理范围中进行数据检索时,可以变通适用搜查的相关规则与程序。
侦查机关在侦查中需要其他国家机关协助的,应严格审批。对于需要在国家机关内部进行跨级、跨单位的数据共享,应提供相关证明,即使涉及重大机密不便透露案件细节,也应由上级侦查机关做出相关说明或批准,才允许调取与案件侦查有关的数据和信息。信息调取和使用完毕后应对其进行妥善处理,以降低信息泄露风险。对于需要向非政府部门的社会第三方数据储存机构调取的数据信息,应在调取时出示相关证件,在数据共享完成后主动监督机构妥善储存或销毁相关数据,确保信息流转收尾工作安全。
(三)加强对侦查机关的监督
国家网信部门是对信息实施安全监管的机关,但其监管方式离监督侦查机关在大数据侦查中使用个人信息的要求尚存在较大的差距。从实践情况和长远规划看,大数据技术的应用日趋多元和广泛,应建立专门的大数据信息使用监管机构,集中负责对数据采集行为的指导、数据处理使用的监督和个人信息侵权的救济等工作。
专门的监管机构应出台相应的指导意见,明确可收集的个人信息的范围与程度,制定数据和个人信息的分级保护目录,规范和划分保护优先级,在必要时协助侦查机关厘清个案数据信息保护的优先顺位。在数据处理和使用过程中,监管机构应对侦查机关使用数据的行为进行现场跟进,对信息使用中执法记录仪监控情况进行查阅,监督侦查机关信息使用行为。同时,对违规使用数据的行为进行及时制止与补救,最大程度降低对个人信息安全造成的损害。当公民个人信息权受到损害时,可以向监管机构进行投诉、举报,监管机构有权对投诉举报进行审查,并及时与被投诉人员进行沟通,对其中存在的侵犯个人信息权的行为进行纠错,对相关责任人员进行处罚。
对侦查机关进行法律监督是检察机关的职责。检察机关在职权范围内,可对其侦查行为中涉及的个人信息安全进行检查监督。一方面,在实体法上介入监督,督促其在合法合规轨道上开展信息侦查;另一方面,加强程序监督,侦查机关在进行大数据侦查的前、中、后期均应设置统一规范的程序,并按照程序要求开展工作,检察机关可以重点审查程序的合法性,保障程序正义。侦查人员在侦查过程中可能出现滥用职权,违法违规操作大数据系统造成个人信息泄露的情况。监察委应对该类人员进行监察监督,可通过对可能触及个人信息核心安全的重点人员进行预防性监督,防患于未然。在实践中,法院很难实际接触到侦查机关办案细节和具体过程,法院的监督偏重于事后监督,主要依赖于被侵权人的主动提出。在案件审判过程中,法院应督促侦查机关谨慎、合法使用权力。在大数据背景下,侦查机关获取公民个人信息有一定的强制性,而电子证据因其不易造假,逐渐成为“证据之王”,电子证据的获取往往不通过暴力途径获取,应将证据获取行为是否合法的标准做出扩展适用,即只要证据获取过程违反法律法规相关规定就应当作为非法证据进行排除,从而在司法活动的最后一公里为个人信息的安全保驾护航。
(四)规范数据的储存和使用
在侦查中需要进行个人信息采集分析时,应采取分阶段监督的方式确保数据信息安全。第一阶段为数据采集前,这一阶段是对大数据库的充实阶段,如需进行新的数据采集需要经过有权机关的审批应允,在被许可的范围内开展采集工作;第二阶段为采集过程中,数据采集过程需在至少两名侦查人员在场时启动,同时应使用执法记录仪记录下信息采集全过程;第三阶段为数据采集后的存储阶段,这一阶段可以采用先进的信息技术对数据库进行加持,将黑客挡在库外;第四阶段为数据信息的分析使用阶段,这一阶段应采取符合案件需要的分析路径,对已有的数据进行梳理整合,在发现线索的同时谨防“内鬼”利用数据库的数据满足自己的私用;最后一阶段为数据使用后的监督阶段,侦查机关本身可以进行自我监督,对于侦查过程中违法使用数据信息的情况可以展开自我摸排,主动消除不良影响,还公民一个安心。