钟明曦，陈淑珍

人类已迈入现实和虚拟并存的二元社会生活模式，虚拟社会的出现导致新的社会问题，在犯罪领域的表现尤其明显。以电信网络诈骗案件为例，2008年以来，其发案率不断攀升，已主导全国刑事案件总体走势。2020年以来，受新冠疫情影响，在线办公、居家上课、网络购物等成为重要的生活方式，诈骗分子趁机扩大用户接触面，更新升级诈骗手法、套路，该犯罪呈高发态势。①详见《新形势下电信网络诈骗犯罪治理研究报告（2020）》，中国信息通信研究院安全研究所2020年12月发布。为控制电信网络诈骗犯罪，公安机关做了大量的努力，却很难抑制其愈演愈烈之势，该罪破案率低是当前公安工作的现状，传统警务运作模式和信息化水平只能实现传统犯罪的治理，发生于虚拟空间的网络犯罪具有无界、远程、非接触、大规模协作的特点，显著区别于传统犯罪，一般的侦查手段不敷应用。如何维护虚拟社会的秩序成为摆在公安机关面前的一个考验。近几年，公安机关已经利用大数据这一无形的资产为犯罪侦查方式和手段的革新寻找新的路径并不断推广运用，大数据侦查已成为不可或缺的侦查方法。但是大数据侦查技术的深度应用也开始引发质疑。社会学家阿尔温·托夫勒和海蒂·托夫勒指出：“第三次浪潮不仅仅是个技术和经济学的问题，它涉及到道德、文化、观念以及体制和政治结构，它意味着人类事务的一场真正的变革，”②[美]阿尔温·托夫勒、海蒂·托夫勒著：《创造一个新的文明：第三次浪潮的政治》，陈峰译，上海三联出版社1996年版，前言第5～6页。应当在法律层面深入思考科技应用的正当性和规范性问题。本文旨在分析大数据侦查的法律困境并提出立法上的应对之策。

一、大数据侦查之法律困境

大数据侦查是双刃剑，它使公安机关的侦查方法和效果得到质的变化，同时也对公民权益造成了潜在的威胁，意味着公民个人信息利益和隐私权的让渡与牺牲，当前立法及实践尚未很好平衡“权力与权利”的冲突，由此引发了一系列具体的法律问题，大数据侦查主要面临以下法律困境。

（一）数据收集之法律困境——越权收集

1.大数据侦查之数据来源

大数据侦查的基础是公安大数据。历经金盾工程以及2016年以来的公安大数据建设，各省已逐步形成较为科学的公安大数据资源体系。以J省为例，公安机关根据“全省统一建库”的原则，统筹建设了全省一体化的公安数据云中心。数据云中心汇聚的数据包括：第一，公安业务数据。即公安机关在开展日常业务工作中形成的，涉及执法办案、旅馆住宿、交通管理等各类公安基础数据。近几年，公安机关优化基础设施，开发智能采集设备，规范源头信息的采集，提高了数据信息质量。第二，政府、企业动态数据，包括社保、卫生、教育、水电气等政府信息数据以及互联网企业数据。J省公安机关通过稳步开展与其他部门、机构、企业的信息资源共享，规范化、常态化社会数据采集类目和更新方式，不断丰富社会资源种类和数据的鲜活度；第三，互联网信息数据。例如在线发布的租赁及二手交易等各类实名信息，微博等社交媒体信息，虚拟身份信息等互联网数据。上述基础数据是技术系统的底层，可以为公安各业务系统服务，并可以实现全省范围内信息资源的共享。公安机关对上述数据按照不同标准进行分类存储，同时促进各类结构化、半结构化、非结构化数据之间的有效关联，以实现现实人和物的基本信息、社会关系、活动轨迹与互联网虚拟身份数据、虚拟轨迹的关联融合。通过不断整合，公安机关建立了一个集合海量数据，并且实现了数据之间关联的公安大数据系统。

2.公安机关数据收集权限的立法梳理及评析

公安机关整合的上述数据大量涉及公民个人信息，根据《民法典》第1035条规定，处理①根据《个人信息保护法》第4条第2款的规定，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。个人信息要“征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外”。作为公权力机关，公安机关主要通过法律授权的方式收集数据。

梳理当前涉及公安机关收集公民个人信息的相关立法，可以分为二种情形，一是对公安业务数据收集的授权，如：《刑事诉讼法》第132条规定：为了确定被害人、犯罪嫌疑人的某些特征、伤害情况或者生理状态，可以对人身进行检查，可以提取指纹信息，采集血液、尿液等生物样本。《居民身份证法》第3条规定：公民申请领取、换领、补领居民身份证，应当登记指纹信息。②有学者认为该授权有违“合目的性原则”和“比例原则”，详见姚岳绒：《身份证取得时强制性采集指纹行为的宪法分析》，载《法学》2012年第5期，第31～41页。《个人信息保护法》第26条授权公安机关为维护公共安全，可以依法在公共场所安装图像采集、个人身份识别设备。应当认为此类授权是广泛的，凡是公安业务中涉及到登记事项的，均可视为是对公民个人信息收集的授权。二是对企业数据等非公安业务数据收集的授权，如《网络安全法》第28条规定：网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。《反恐怖主义法》第18条规定：电信业务经营者、互联网服务提供者应当为公安机关、国家安全机关依法进行防范、调查恐怖活动提供技术接口和解密等技术支持和协助。

上述立法存在的主要问题是授权不够明确，语焉不详。例如，《网络安全法》第28条并未明确授权公安机关取得淘宝、腾讯等网络运营商的数据，因此一些互联网服务企业对公安机关提供数据的要求持谨慎态度。《个人信息保护法》未特别规定数据企业与公权力机关的权利义务关系，其第23条关于“个人信息处理者向其他个人信息处理者提供个人信息，应当向个人告知并取得个人的单独同意”的规定显然与公安大数据运用格格不入，公民对于与自己相关的数据，比如人脸信息、银行帐户、淘宝用户信息，甚至超市app的日常买菜信息等，被运用于刑事侦查中，多数情况下并不知情，更谈不上“同意”。立法对公安机关收集以及存储个人信息数据授权不足容易引发“侵权”质疑。

（二）大数据运用法律困境——大数据侦查无法可依

1.大数据侦查及立法情况

经多年探索和实践，侦查机关已经形成大数据侦查理念和侦查模式，大数据侦查逐渐成为常规的侦查手段。梳理大数据侦查的相关立法，目前只有《公安机关执法细则（第三版）》第二十九章“犯罪信息收集和网上侦查措施”，其中第29-02条规定可以利用有关信息数据库“查询、检索、比对”有关数据。《公安机关执法细则（第三版）》是公安机关内部指引规范，主要根据基层执法实际需要，以指导实战、保障执法安全、满足执法便利为制定原则。虽然只有内部规定，但大数据侦查效率高、风险低、成本低，侦查机关基于实用主义的立场，仍然大力加强其建设和运用，实务中，是否使用大数据侦查手段主要取决于两个方面的因素：一是案件条件，即该案件类型适用大数据侦查手段是否更为有效；二是侦查机关的条件，即侦查人员是否掌握大数据侦查技术及使用大数据平台的权限。侦查机关对于大数据侦查的立法并不热衷，无立法规制，可以更灵活高效地决定大数据侦查的适用。

2.大数据侦查授权不足之弊端

大数据侦查立法授权不足对理论和实务造成了比较大的困扰，主要表现在两个方面：第一，大数据侦查的隐性应用，加深了对公民权的侵害。由于大数据侦查法律属性不明，大数据分析结果只能做为办案线索，侦查机关没有将其作为诉讼证据放在卷宗里。但在个案中，有时让检察官调阅大数据分析报告，以使检察机关相信指控事实的可靠性，增强其做出起诉决定的信心，或者利用大数据证据影响审判人员的心证。在大数据证据不提交法庭的情况下，辩方对大数据侦查手段合法与否、大数据证据是否真实有效进行质询的机会被剥夺，损害了辩方的知悉权和辩护权，可以说，大数据侦查的“隐性运用”加剧了“权力与权利”的冲突；第二，缺乏立法授权导致大数据侦查不能完全发挥效用。大数据侦查只是“内部侦查手段”，大数据侦查手段获得的材料仅用做指导案件侦查的线索而非指控犯罪的证据，在一些案件中已经成为阻碍成功追诉的重要原因。

（三）救济之法律困境——权利受侵害救济不足

大数据侦查干预的是公民的个人信息利益、隐私权等人格权，权利本身的无形性、抽象性令干预权利的侦查行为更难识别与感知进而导致权利的救济困难。①程雷：《大数据侦查的法律规制》，载《中国社会科学》2018年第11期，第156～207页。大数据侦查中的侵权可以分为二种情况：

一是对犯罪嫌疑人采取了大数据侦查措施，最后撤销案件、不起诉或者宣告无罪，即没有追究其刑事责任。公安大数据的收集其实已构成一种广泛监控，大数据侦查措施的采取极可能构成对隐私权的干预，以“防控区域城乡覆盖、防控时空无缝对接、防范技术融合应用”的“天网工程”为例，其重点监控点全部采用高清红外摄像头，即使在夜间也能清晰捕捉人的面部特征和活动轨迹，①《2000万摄像头看着你的天网工程 侵犯隐私了吗》，http://jingji.cctv.com/2017/09/29/ARTIXxhQXa7uHyQjP4SL2X8G170929.shtml；下载日期：2021年6月10日。一个人只要离开家门，进入公共领域，警方就可以追踪其活动轨迹，这无疑对公民的隐私权构成很大的威胁。但对于这样的“侵权”，被采取大数据侦查措施的相对人甚至不自知。

二是大数据侦查的信息泄露，导致人格权损害。近年来，公安机关不断完善内部管理机制，按照促进应用发展与实现安全防护有机协同的目标，从物理安全、网络安全、应用安全等层面，强化大数据安全防护体系建设。例如加强防火墙、防病毒、入侵检测系统等安全管理设施和平台建设，实现数据访问操作日志的记录、审计，以及网络数据调取传输的实时监测、自动预警等。但数据安全问题仍不同程度存在，民警泄露个人信息的案件时常见诸报端，以“高速摸胸门”事件为例，该事件令人担扰一个由电子眼所催生的“监控社会”正在形成，公共权力对社会生活控制得越来越深入、严密。②详见，https://news.qq.com/a/20110908/001191.htm，下载日期：2021年6月19日。

上述侵权情形中，对第二种侵权情形，相关人员要承担政务处分、民事赔偿责任③《民法典》第1039条规定的“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供。”甚至刑事责任，但两种侵权情形下受害人均难以获得国家赔偿救济。大数据侦查通常应认定为职务行为，由此造成的损害应由国家承担赔偿责任，而现行《国家赔偿法》规定只有公权力机关造成公民生命权、健康权、人身自由权、财产权等传统利益损害的，才能要求损害赔偿，而对个人信息利益、隐私权的损害尚未纳入国家赔偿范围，因此在现行国家赔偿制度下，大数据侦查侵害个人信息利益及隐私权的，公民难以获得充分的赔偿救济。

二、规范大数据侦查的理论路径

虽然大数据侦查面临一系列法律困境，但其发生与发展顺应历史潮流，是形势所需，大势所趋，是打击新型网络犯罪的必要手段，其需要获得理论解释并且在该理论指导下构建符合我国国情的大数据侦查法律规制体系。

（一）公共利益豁免——大数据侦查的正当性证成

西方国家较早关注到政府大数据应用面临的“权力与权利”的冲突，并基于本国国情提出不同的规范进路，主要有两种学说：以美国为代表的“信息性隐私权理论”和以德国为代表的“信息自决权理论”。

美国在1972年Whalen v.Roe一案中承认宪法上的隐私权包括政府数据库中信息的收集、储存和散发。④[美]阿丽塔·L.艾伦、理查德·C.托克音顿著：《美国隐私法》，冯建妹等编译，中国民主法制出版社2019年版，第37页。1974年的《隐私法》是其第一个规范政府行政部门在收集和散播私人信息活动中如何保护个人隐私的综合性联邦立法。在1967年Katz v.United States案中隐私保护的标准被确定为“对隐私的合理期待”，该案法官认为，政府使用电子技术收听并录制原告说话的行为，侵犯了原告在使用电话亭时所合理期待的隐私，因而要受宪法第四修正案关于“搜查和扣押”的法律约束。⑤同上，第59、226页。在1976年United States v.Miller案和1979年Smith v.Maryland案中，进一步确立了如下原则：如果信息是个人主动报露的，且接受方同意与他人（包括政府）共享信息，在法律上就没有对其隐私进行保护的预期，个人信息不能受到宪法的保护，即数据的二次使用一般不被法律所禁止，只有存在特殊的法律规定或合同约定时才受到限制。因此，美国信息性隐私权保护的焦点是政府未经个人同意而获取信息的搜查行为，而信息一旦被合法获取，在法律和据以获得信息的合同约定中没有禁止性规定时，即使未经本人同意，信息的二次使用一般也被认为是合法的，①[美]阿丽塔·L.艾伦、理查德·C.托克音顿著：《美国隐私法》，冯建妹等编译，中国民主法制出版社2019年版，第209～210页。所以，美国数据挖掘式的政府大数据应用行为基本不受约束，其虽然主张尊重个人隐私、提倡数据保护，但并未因此牺牲信息技术所带来的利益，这种利益包括信息产业的蓬勃发展，也包括政府利用大数据进行社会控制的利益。美国的信息隐私权在世界范围内产生了深远的影响，众多国家的个人信息立法亦直接采取了“隐私”的称谓，在学术研究中，信息性隐私权理论亦被各国学者广泛使用。②韩旭至：《个人信息与个人隐私的区分》，载《网络法律评论》2016年第2期，第88～111页。

德国联邦宪法法院在1983年的“人口普查法案”中，对于国家基于公益目的而广泛搜集、储存和利用个人资料的正当性问题作出宣示，提出“信息自决权”概念，认为“信息自决权”是要保护个人在现代资料处理的条件下，避免其个人资料遭到不受限制的调查、储存、利用和传递；每个公民都必须能够由自己来决定关于他的资料如何公开和利用。此种权利包含在《基本法》第2条第1款和第1条第1款③德国《基本法》第1条第1款规定：人之尊严不可侵犯，尊重及保护此项尊严为所有国家机关之义务。第2条第1款规定：在不侵害他人权利及不违反宪政秩序或道德规范下，人人有自由发展其人格之权利。之中，属于一般人格权范畴，是公民的宪法性权利，其功能主要用以对抗国家的不当干预。同时联邦宪法法院也申明“信息自决权并非毫无限制地受到保护。个人对于其信息并没有一个绝对且不受限制的支配权。”“在重大公共利益下，原则上个人必须忍受对其信息自决权之限制。”这个限制除了必须在其条件和范围上具备一个合宪且满足法治国之规范明确性要求的法律基础之外，立法者对此还必须注意到比例原则。④陈戈、柳建龙主编：《德国联邦宪法法院典型判例研究：基本权利篇》，法律出版社2015年版，第44～121页。“信息自决权”概念提出后，成为《德国联邦数据保护法》的宪法基础，该法首先规范和限制政府搜集和使用数据，其第二部分规定“公共机构对数据的处理”，第三部分才是“私法主体和参与竞争的公法企业对数据的处理”，而且公权力主体和私法主体在信息处理方面适用的规则也不尽相同，对公共机构的信息处理行为施加了比私法主体更为严格的管制。后来《德国联邦数据保护法》历经多次修订，不断丰富其个人信息自决权的内涵。在信息自决权理论指导下，应当认为政府大数据应用是对公民信息自决权与人格尊严的干预，要遵循干预基本权利的要求，设置严格而详尽的法定程序。德国的信息自决权理论产生较广泛的影响，目前全球已有近30个国家、地区和国际组织制定了个人信息保护方面的法律。

在我国，大数据技术的深度应用使个人信息保护立法成为一项迫切的任务，在吸收借鉴了其他国家、地区经验的基础上，在短短数年时间内，我国个人信息保护的理论和立法均取得较迅速的发展。从我国“隐私权“和“个人信息利益”的立法发展历史以及《民法典》《网络安全法》以及2021年8月20日通过的《个人信息保护法》的相关规定看，我国对公民个人信息的保护主要继受与发展了德国的“信息自决权”理论，即将“知情同意原则”作为个人信息保护的首要机制，同时契合大数据时代的需求，将“公共利益或合法利益豁免”作为“知情同意”的例外。

“知情同意机制”是传统个人信息保护制度的核心，构成了“信息自决权”的首要机制。我国《民法典》第1035条、《网络安全法》第41条以及《个人信息保护法》第13条-17条均规定了处理个人信息要遵循“知情同意原则”，并规定了“告知—同意”的具体规则。按照“知情同意原则”的要求，除非法律、行政法规另有规定，政府机关同其他大数据企业一样，收集个人信息应当取得信息主体的同意，而且同意是“个人在充分知情的前提下自愿、明确作出”。《个人信息保护法》第35条则进一步明确规定：国家机关为履行法定职责处理个人信息，应当依照本法规定履行告知义务。但是“知情同意原则”难以适应大数据时代的发展，“明确收集目的”的同意标准①《个人信息保护法》第17条第1款第二项。使数据收集主体不能够通过列举广泛的收集目的来获取数据主体同意，政府的信息处理更是面临这一难题。大数据时代注重数据价值的二次利用和流转，数据控制者不可能为了二次利用而追踪回原数据主体并寻求他们的同意。所以，在复杂的数据收集处理情形下，“同意”不是最为合适的处理数据的合法依据，②谢琳：《大数据时代人个信息使用合法利益豁免》，载《政法论坛》2019年第1期，第74～84页。“知情同意机制”需要其他机制作为补充。因此，我国《民法典》第1036条规定，处理个人信息，有下列情形之一的，行为人不承担民事责任：（1）在该自然人或者其监护人同意的范围内合理实施的行为；（2）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；（3）为维护公共利益或者该自然人合法权益，合理实施的其他行为。其中第二项可视为数据主体“同意”，第三项则是同意之外处理个人信息的免责事由。由此可见，我国《民法典》对于个人信息处理确立了“公共利益或合法利益豁免机制”。《个人信息保护法》第13条则进一步细化了“公共利益或合法利益豁免”的具体情形。③根据《个人信息保护法》第13条的规定，处理个人信息不需取得个人同意的情形有：（1）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（2）为履行法定职责或者法定义务所必需；（3）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（4）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（5）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（6）法律、行政法规规定的其他情形。大数据侦查是“为实现公共利益”而开展的大数据运用行为，应当适用“公共利益豁免机制”，即为了“履行法定职责或法定义务”，实现维护社会秩序之公共利益，可以未经个人同意而处理个人信息，个人相应地须承担侦查机关对其“信息自决权”进行限制的义务。

（二）“公共利益豁免机制”应当遵循“法律保留原则”“合目的性原则”“比例原则”

虽然《民法典》等法律规范确立了“公共利益豁免机制”，但是因“公共利益”处理个人信息免责的范围有多大？根据《民法典》第1036条第三项的规定，即便是为了公共利益，也必须以“合理”的方式实施个人信息处理才可以免责，那么何谓“合理”又是一个需要考量的法律问题。《民法典》第1035条规定：处理个人信息，应当遵循“合法、正当、必要”原则，不得过度处理。从行政权行使的基本原则来看，公安机关基于公共利益，未经数据主体同意处理个人信息数据，应当遵循“法律保留原则”“合目的性原则”和“比例原则”，只有符合上述原则，国家公权力对个人信息利益的干预才具有正当性。

第一，法律保留原则。法律保留原则要求公权力行为必须有法律的依据，只有在法律有明确规定的情况下才能作出积极的行为，否则就构成违法。例如，《个人信息安全规范》（国家标准GB/T 35273-2020）5.6（d）规定：为刑事侦查、起诉、审判和判决执行的需要而收集、使用个人信息不必征得个人信息主体的授权同意。但是《个人信息安全规范》仅是国家推荐标准，无法律效力，它显然无法授权侦查机关开展大数据侦查工作。公安机关履行职责过程中处理的信息很多是涉及公民隐私权的敏感数据，更应当明确“只有法律有明文规定”才能处理。

第二，合目的性原则。合目的性原则包括“目的明确”和“受目的拘束两个方面”。首先，在立法授权公权力机关搜集公民个人信息的情况下，必须明确规定搜集、使用公民信息之目的；其次，信息的后续使用要与原先的收集目的一致，不允许在法定目的之外使用信息。《个人信息保护法》第6条、第28条对此有明确规定。但是“合目的性原则”是传统个人信息保护的基本原则，由于受到原先收集目的的限制，限制了数据的流转和二次使用，显然无法适应大数据的二次利用模式。因此，大数据时代对“合目的性原则”之内涵应予以发展，不必要求后续使用目的必须与原先目的具有关联性，但应尊重用户的合理预期①谢琳：《大数据时代人个信息使用合法利益豁免》，载《政法论坛》2019年第1期，第74～84页。。当然，何谓“合理预期”应置于具体的使用场景中进行考量，例如，将公民按照《出境入境管理法》要求提交的“人脸数据信息”用于刑事案件的侦查，一般认为不会超出数据主体的“合理预期”；但是若将自来水公司的居民用水数据应用于刑事侦查则可以认为不符合“预期”，这种数据应用就应当明确告知数据主体或者通过立法授权侦查机关收集及使用。

第三，比例原则。任何公权力要进入私领域，都需要通过比例原则进行“正当性证成”。要在公法中合理保护个人信息利益，当然需要运用到比例原则以实现“数据保护与流转”之平衡，并以其为依据判断信息数据的使用是否合理合规。例如《个人信息保护法》第6条的规定，处理个人信息应当采取对个人权益影响最小的方式；收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息；第19条规定，个人信息的保存期限应当为实现处理目的所必要的最短时间；第34条的规定，国家机关处理个人信息，不得超出履行法定职责所必需的范围和限度。

三、“公共利益豁免机制”指导下的大数据侦查立法应对

（一）数据收集之立法完善

根据法律保留原则，公安机关主要以法律授权的方式获得收集数据的权力。《民法典》第1035条规定，处理个人信息要“征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外”。《个人信息保护法》第34条规定：国家机关处理个人信息，应当依照法律、行政法规规定的权限、程序进行。据此，对于公民个人信息的收集、存储等处理，法律、行政法规可作出授权规定。

建议将《个人信息安全规范》5.6（d）项的规定②参见中华人民共和国国家标准（GB/T 35273-2020）《信息安全技术 个人信息安全规范》5.6征得授权同意的例外：以下情形中，个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意：（a）与个人信息控制者履行法律法规规定的义务相关的；（b）与国家安全、国防安全直接相关的；（c）与公共安全、公共卫生、重大公共利益直接相关的；（d）与刑事侦查、起诉、审判和判决执行等直接相关的；……（k）个人信息控制者为学术研究机构，出于公共利益开展统计或学术研究所必要，且其对外提供学术研究或描述的结果时，对结果中所包含的个人信息进行去标识化处理的。上升到法律层面，在《个人信息保护法》或《刑事诉讼法》中对侦查机关的数据收集进行概括授权，明确规定：为刑事侦查的需要收集、使用个人信息不必征得个人信息主体的同意；在具体内容上，尤其对于互联网企业等外部数据的收集，立法应予明确授权。《德国联邦数据保护法》“第三部分私法主体和参与竞争的公法企业对数据的处理”第28条规定：“在下列情形下，也可允许为其他目的传输或使用个人数据：（1）有利于保护第三方的合法利益，（2）有利于避免危及国家和公共安全的威胁和追诉犯罪；”第28条（5）进一步规定：“接受传输数据的第三方应按数据传输之目的处理或使用数据，对于公共机构，只有符合法律有明确规定或是为了追诉犯罪或行政违法或是为了避免对公共利益的重大危害或为了对重大公共利益的保护，才允许其因其他目的处理或使用数据。”上述立法可以作为参考。

（二）大数据侦查相关立法问题

积极推动大数据侦查立法，授权并规制正在迅猛发展的大数据侦查，既是保障公民权的需要，也有利于实现公安工作的科技转化和运用。大数据侦查的立法也有利于减少适用强制措施、技术侦查等对公民权益的侵害更为深刻的侦查手段。当前，羁押性强制措施的适用条件越来越严格，“非法证据排除规则”日益严密，技术侦查等秘密侦查手段一直以来处于严控之下，侦查机关控制和惩罚犯罪的手段一定程度上受到削弱，“捆上警察的左手，就要同时放开警察的右手”①陈卫东：《理性审视技术侦查立法》，载《法制日报》2011年9月21日，第009版。，大数据侦查的合法化可以替代传统侦查手段，以平衡惩罚犯罪和保障人权之双重任务。

首先，大数据技术在刑事侦查中的应用，不同于现行《刑事诉讼法》规定的任何一种侦查行为，应当在《刑事诉讼法》“侦查”一章将“大数据侦查”增补为一种新的侦查行为。②笔者团队论述过这一问题，详见钟明曦、王锡章，黄云峰：《大数据侦查的实践问题及对策研究》，载《福建警察学院学报》2018年第12期，第1～12页。公安部在《公安机关执法细则（第三版）》第29-02条中亦将“查询、检索、比对数据”单列为一项侦查措施。

其次，遵循比例原则，规定不同大数据侦查手段的适用条件与程序等内容，程序上涉及事前审批、事中控制以及事后监督等环节。大数据技术的应用可以分为大数据搜索法、大数据碰撞法、网络关系分析法、大数据画像法等，各种大数据技术的运用对公民权干预的深度、广度存在明显的差异，在立法过程中应相应地采取不同的规范尺度。不具有强制性以及对公民权益的损害程度较小的大数据应用行为，可以不受法律保留原则的约束，即虽然法律没有授权性规定，仍属合法。反之，有些大数据应用行为，如大数据画像、网络关系分析等，深刻影响公民权益且具有强制性，应当成为法律规制的重点。对此，德国的立法例值得借鉴，《德国刑事诉讼法典》第98条a、b规定了计算机排查侦缉（使用刑事追诉机关外的其他部门之处保存的数据进行比对挖掘），第98条c规定了数据比对（使用刑事司法部门管理的数据库进行比对）。其对计算机排查侦缉规定了严格的适用条件和程序：在案件范围上遵循重罪原则，只有存在足够的事实依据表明发生了法定的重大犯罪行为，才能进行计算机排查侦缉；在数据范围上遵循最少够用原则，数据保存机关只能向追诉机关传输对比所需数据；在审批程序上，遵循法官令状原则，只能由法官命令，迟延就有危险时亦允许由检察官命令；在事后措施上，遵循权利救济原则和接受监督原则，要求对比完毕后应当不延迟地归还数据或者不迟延地删除数据，排查侦缉结束后应当通知负责监督各机关遵守数据保护规定情况的机关。相对而言，《德国刑事诉讼法》对数据比对的规范要少得多，其第98条c规定：为查明犯罪行为，或者为刑事程序目的而侦查被侦缉人员的所在地，允许将来自某刑事程序的涉及个人的数据与为追诉、执行刑罚或防御危险而保存的其他数据，使用机器设备对比。③宗玉琨译注：《德国刑事诉讼法典》，知识产权出版社2013年版，第53～55页。由于这种大数据侦查行为比对的数据库仅限于刑事司法部门的数据库，所以在程序上没有严格的要求。

再次，明确大数据侦查行为法律属性的同时，立法应赋予大数据分析结果以诉讼证据地位。随着大数据技术的成熟以及大数据分析结果在侦查中发挥日益重要的查明作用，应将其规定为新的证据种类。①钟明曦：《论刑事诉讼大数据证据的效力》，载《铁道警察学院学报》2018年第6期，第83～87页。当然，实务部门有人认为大数据侦查作为一种新的侦查手段应当尽量不暴露，取得的证据尽量不使用，以保证侦查手段的有效性。笔者同意这样的观点。与技侦手段取得的证据一样，大数据证据应当作为诉讼的最后手段，遵循“能不使用则不使用的原则”，在案的其他证据足以证明案件事实的情况下，在诉讼证明中尽量减少大数据证据的使用，大数据分析结果在案件材料中可以表现为“破案经过”“抓获经过”或者请法官庭外质证，以平衡诉讼需求和侦查秘密之间的关系。

（三）推动国家赔偿立法完善

应当充分认识到在大数据时代，个人信息利益、隐私权的重要意义，一个社会如果不能保障公民的隐私权、个人信息利益等人格权利，将破坏个人自治、私生活安宁等弥足珍贵的公民权利，如果公民担扰他人（尤其是国家）知悉自己的秘密而产生“寒蝉效应”，从此谨小慎微、谨言慎行，这个社会将失去活力和创造力，因此，严重损害公民隐私权、个人信息利益的行为造成严重后果的，应当纳入国家赔偿的范围，确保因大数据侦查导致个人信息利益、隐私权受到侵害的公民能够得到合法救济。

结语

国家“十三五”规划提出的“国家大数据战略”旨在全面推进我国大数据发展和应用，加快建设数据强国；2019年中国共产党第十九届中央委员会第四次全体会议通过的《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》进一步提出，要“建立健全运用互联网、大数据、人工智能等技术手段进行行政管理的制度规则，推进数字政府建设。”应当认识到“智慧城市”“数字治理”不仅仅是科技层面建设，也应当是制度层面的建设。公安大数据侦查面临的法律困境也是政府大数据运用的一个缩影。2021年8月20日《个人信息保护法》经第十三届全国人大常委员三审通过，其审议过程凸显各方利益平衡之难。《个人信息保护法》第二章第三节规定了“国家机关处理个人信息的特别规定”，从章节铺排及具体内容来看，其未将政府对大数据应用的规制作为立法的重点，不能有效规范和指导公权力对数据的处理。因此，如何授权并规制政府大数据运用，使我们既享受信息社会的福利，又能科学平衡公权力与公民权的冲突，还有许多亟待探讨的问题，期待未来学界有更全面、更有开拓性的研究。