栾兴良

(中南财经政法大学, 湖北 武汉 430073)

随着大数据警务、智慧警务的发展，警察部门广泛收集与处理个人信息(1)在我国的法律语境中，“数据是以任何电子或者其他方式对信息的记录”。(参见《中华人民共和国数据安全法》第三条第一款。)在数据和信息的关系上，数据是载体，信息是内容，在此意义上，个人信息可以等同于个人数据。本文在阐述欧盟情况时，与其立法保持一致，使用个人数据的概念。阐述我国问题时，使用个人信息的概念，与民法典以及个人信息保护法保持一致。已成为警务活动的常态，有可能对个人权利和自由造成威胁。人的权利体现了人在数据风险面前的主体性地位，因此足可称为一系列权利和规制工具的基点[1]。 欧盟(欧委会)通过立法创设了“个人数据受保护权”这一新型权利，数据主体可依循数据流程行使相应权利，以增强对警察数据执法行为的透明度和控制力。我国个人信息保护法刚颁布实施不久，该法律文本中没有针对警察部门的个人信息处理活动的专门性规定，而有关国家机关处理个人信息的规定又较为笼统，因此，有必要从比较法视野出发，结合我国个人信息保护立法的规定，就警务领域的个人信息保护进行讨论。

一、警务领域个人信息保护的欧盟模式

欧盟数据保护立法以尊重私人生活权为起点，逐渐发展出独立于前者的个人数据保护权，而且后者逐渐取代前者成为数据保护立法保障的核心权利，在警务领域的个人数据保护方面亦是如此。

(一)以个人数据保护权为依托保护个人信息的欧盟模式

欧盟个人数据保护权的确立是一个复杂的演变过程，被描述为法律文献与国际、欧洲和国家法律体系之间对话的结果以及相互衍生的过程或一系列操作的产物[2]。 个人数据保护权脱胎于欧盟的尊重私人生活权，最终为《欧盟基本权利宪章》第8条所确认，成为与尊重私人生活权并列的自治性权利。个人数据保护权不是一项单项权利，而是由知情权、访问权、纠正权、删除权、救济权等权利组成的动态发展的权利簇。数据保护权与隐私权(或其他第一代基本权利)的性质不同，因为其主要目的不是防止政府干预，而是确保在处理个人数据时遵守某些法律规定。换言之，这项权利并不意味着政府(或任何其他方)通过放弃处理而不干预这项权利[3]。

从法律渊源来看，欧盟警务领域的个人数据保护法是由条约、指令、建议等不同法律文件以及判例法组成的动态发展的法律体系。其中准宪制性法律文件包括《欧洲人权公约》《欧盟条约》《欧盟基本权利宪章》《欧盟运行条约》等；警务领域个人数据保护的次级立法文件包括《108号公约》《关于管理警察部门个人数据使用的建议》《数据保护指令》《数据保护与电子隐私指令》《数据保留指令》《在警察与司法系统合作框架内对刑事事项所处理个人数据的保护》《关于在数据画像背景下自动处理个人数据方面的个人保护的建议》《警察与刑事司法数据保护指令》《欧洲乘客姓名记录指令》《警察部门使用个人数据的实用指南》《108号+公约》等。上述准宪制性文件和警务领域个人数据保护的次级立法存在某种特殊的历史承继关系，互相构成对方的解释语境和依据。在此意义上，即使对欧盟成员国不具有直接法律效力的指令、建议等，同样具有重要的法律意义。此外，欧洲人权法院和欧洲法院在个案审判中可对上述法律文件进行解释乃至审查，二者对《欧洲人权公约》《欧盟基本权利宪章》等准宪制性文件的解释与适用，对个人数据保护权的产生和保护发挥了不可替代的作用，因此，两大法院的判例法也是欧盟警务领域个人数据保护权的重要法律依据。

在欧洲数据保护立法的演变过程中，《里斯本条约》为分界线。在其生效之前，欧盟的“支柱结构”将其数据保护立法的领域限制在第一支柱下，如《数据保护指令》序言第13条所示，它不适用于“在不属于共同体法律范围的活动过程中”处理个人数据。第三支柱下的数据保护立法几乎没有进展，多表现为执法建议或零星的法律条款，呈现出碎片化的特征。在其生效之后，废除了原来的“支柱结构”，同时将《欧盟基本权利宪章》规定的个人数据保护权上升到基本权利范畴。在这一背景下，鉴于《欧盟基本权利宪章》，欧盟委员会在关于斯德哥尔摩计划和斯德哥尔摩行动计划的信函中强调需要制定“全面保护计划”，并“加强欧盟在所有欧盟政策(包括执法和预防犯罪)背景下保护个人数据的立场”[4]，这使警务领域个人数据保护立法成为可能。鉴于警务领域个人数据处理的特殊性质，欧盟对一般领域的个人数据处理和警务领域的个人数据处理进行了分别立法，即2016年颁布的《通用数据保护条例》和《警察与刑事司法数据保护指令》。概言之，欧盟特殊的发展历史与警务领域个人数据处理的特殊性是欧盟对警务领域进行单独立法的主要原因。

(二)对欧盟模式的评价

以个人数据保护权为依托保护个人信息的欧盟模式产生了广泛的示范效应。其重要贡献在于：第一，创设了个人数据保护权这一新型权利。欧洲是数据保护立法的开拓者，在国际立法和欧盟成员国宪法传统的综合影响下，欧盟立法创造性地提出个人数据保护权，使个人数据保护最终脱离隐私权的荫蔽，迈向更广阔的保护前景。尽管在一些立法中，立法者似乎在数据保护权与隐私权的概念之间表现得犹豫不决[5]，但数据保护权逐渐取代隐私权成为新型数据保护立法的核心保障目标。“数据保护权相较于隐私权，适用于更广泛的个人数据处理活动，并授予个人更广泛的与数据类别相关的权利，这种强化控制既有一种概念功能，旨在减少数据主体和数据控制者之间的信息不对称和权力不对称，又有一种通过赋予个人与数据控制者相关的主观权利来行使的制度功能”[6]。从分散立法到专门立法，从政策宣示、执法指引到约束性立法，欧盟立法逐渐建构了完善的警务领域个人数据保护权，开创了大数据时代个人信息保护的新范式。第二，建构了丰富的个人数据保护权的权利簇。随着警务数据治理环境的变迁，立法者赋予数据主体更丰富的权利，如知情权、访问权、纠正权、被遗忘权、反对权、要求解释的权利等，通过权利类型的扩张与权利内涵的“升级”，个人数据保护权因顺应了从警务计算机化，再到警务大数据化、智慧化的警务技术革命引发的权利保护危机。其中，尤以《108+公约》对个人数据保护权的“现代化”蜕变推动最大。第三，注重个人数据保护权与现代数据化警务需求的平衡。这种平衡突出表现为立法动态地增加权利限缩适用情形的同时，对权利限缩的限制更为严格。对个人数据保护权的限缩本质上是在保护公共安全利益与个人利益之间取得平衡，增加权利限缩的适用情形是为了满足警察部门打击新型网络犯罪，更新警务手段之需要，而对权利限缩的限制旨在满足警务需求的同时保障个人信息利益。正如29条工作组(2)29条工作组是根据第95/46/EC号指令第29条设立的。它是有关数据保护和隐私的独立欧洲咨询机构。95/46/EC号指令第30条和2002/58/EC号指令第15条规定了其任务。提醒的那样，只有在严格必要和相称的情况下才需要适用豁免，逐案处理，并且不应适用“一揽子”豁免[7]。第四，重视对个人保护权的救济。立法将救济权规定为个人数据保护权的权利之一，建立了由独立监管机构救济和司法救济组成的双重救济机制，有利于数据保护立法从理论设想向实践理性的转变。

以个人数据保护权为切入点，欧洲立法试图弥合公共安全利益与个人利益在数据处理方面的冲突，但作为新的制度设计，“理想能否照进现实”才是问题的关键。第一，警务领域数据保护立法对个人数据的限定，决定了其适用的实质范围不足以为个人提供全面的保护。警务领域的大数据处理非常复杂，尽管其相较于其他一般领域的数据处理更依赖个人数据，但也存在不处理个人数据却对特定群体中的个人产生影响的情形，比如使用脱敏数据的预测警务可能导致种族歧视或社区歧视，进而影响到个人的权益。从个人数据保护权角度而言，该权利类型尚不能制衡所有的警务数据处理行为，难以为个人提供全面的利益保护。第二，警务领域的数据保护立法是在“数据控制者——数据主体”的维度调整警察部门与个人的关系，但二者亦是执法维度中执法主体与相对人的关系，两个法律维度如何统一于同一个执法过程就成为一个必须回答的问题。换言之，个人数据保护权是以数据流程为演进路径的权利类型，如何将之与执法维度的个人权利有机统合于现有的执法程序？对此问题，尽管欧盟《警察与刑事司法数据保护指令》第18条(3)如果个人数据包含在刑事调查和诉讼过程中处理的司法判决或记录或案件档案中，成员国可规定根据成员国法律行使第13、14和16条所述权利。作出了回应，但不难看出，欧盟立法者将个人数据保护权与执法程序如何衔接的难题踢给了成员国的立法者。如果进一步追问这个问题的话，归根到底还是权利性质的问题，即警务领域的个人数据保护权到底是什么性质的权利，是实体权利还是程序权利，是绝对权还是相对权，欧盟立法者乃至欧洲人权法院和欧盟法院均未给予明晰的回答。第三，法律对个人数据保护权限缩的限制规则能否在警务领域发挥“安全阀”的作用仍存在不确定性。诚如立法者在法律文本中所声明的那样，“在预防和制止刑事犯罪和维护公共秩序方面，需要在所涉及的利益之间取得平衡，即个人利益与其隐私权和社会利益之间的平衡。毫不奇怪，在警察部门很难实现这种平衡”(4)欧洲理事会部长委员会向成员国提出的对警察部门个人数据的使用进行管理第R(87)15号建议(Recommendation No. R(87) 15 of the Committee of Ministers to member states regulating the use of personal data in the police sector )序言第16条。。一方面，法律文本规定了广泛的可适用权利限缩规则的情形。以欧盟《警察与刑事司法数据保护指令》为例，该指令为每项权利的限缩规定了几近一致的豁免情形，几乎涵盖了警务活动主要目的、领域和样态。这些模糊概括的法律语言给予警察部门广泛的自由裁量权，考虑到警务执法中数据处理工具的高效性特点，这些豁免规定事实上会将数据主体带入高风险境地。另一方面，对权利限缩的限制规则缺乏刚性约束力，所谓必要和适当性属于原则性要求，警察部门享有较大的裁量和解释空间，而“逐案审查”的方式虽能照顾个案的特殊性，但亦属柔性条款，能否实现个案正义仍需观察。第四，考虑到成员国在预防和打击犯罪方面的特殊利益，欧盟有关警务领域个人数据保护权的立法多属于没有法律约束力的建议、指引，或者需要转换为国内法的指令。如作为警务领域个人数据保护专门立法的《警察与刑事司法数据保护指令》就属于需要转换为国内法才能适用的法律文件。“由于规定过于原则和模糊，其实际价值将取决于其在成员国法律中的转换情况以及宪法法院和普通法院执法欧盟统一数据保护立法的意愿。”[8]之前颁布的欧盟《数据保留指令》在成员国转换后引发的适用混乱的先例可以印证以上担忧不无道理。同时，具有国际约束力的协议又缺乏针对性和操作性，如《108号公约》虽然适用于警务领域的个人数据保护，但显然缺乏针对性。在此意义上，欧盟立法在描绘个人数据保护美好愿景的同时，也为警察与司法领域的个人数据保护权的实现投下了不确定的阴影。

二、我国警务领域个人信息保护的立法现状及反思

我国刚颁布实施的个人信息保护法基本采用了欧盟模式，但在核心概念、立法结构、具体制度方面有所不同，而且该法没有针对警务领域个人信息受保护权的特殊规定。此外，宪法、反恐怖主义法、网络安全法、数据安全法等立法的相关规定也是警务领域个人信息权保护的宪制性或重要法律依据。

(一)现行立法考察

1. 宪法

宪法为个人信息权的确立和保护提供立法基础和立法依据，具体包括直接的权利依据和间接的立法基础两个方面，对警务领域的个人信息权而言，宪法的作用亦是如此。在第一个方面，我国现行宪法没有直接规定个人信息权，也没有直接规定与个人信息权保护范围相近的隐私权，但一般来说，《宪法》第三十九条、第四十条中规定的“住宅不受侵犯”和“通信自由和通信秘密受法律的保护”，以及第三十三条、第三十八条中规定的“国家尊重和保障人权”和“公民的人格尊严不受侵犯”，都可视作个人信息权和隐私权在宪法意义上的体现[9]。故以上条款可作为个人信息权立法的依据。在第二个方面，公法意义上的个人信息权具有重要的工具性价值，代表了一种法律结构——旨在允许个人要求其数据得到公平和合法的处理。在此意义上，宪法赋予的公民权利和自由代表了需要“保护的价值”，而个人数据保护权则代表了“保护的结构”，前者是后者的目的和归宿。

2.专门立法

个人信息保护法在调整范围上既包括横向的非国家机关的个人信息处理活动，也涵盖纵向的国家机关处理个人信息的活动。推论可知，该法也适用于警务部门。根据个人信息保护法第四章之规定，个人在个人信息处理活动中享有知情权、决定权、限制或拒绝他人对其个人信息进行处理的权利、查阅复制权、携带权、更正补充权、删除权、要求解释说明权、救济权等。由于个人信息保护法调整的对象范围较广，而且整体侧重于对非国家机关处理个人信息活动的规范，关于国家机关部分的特别规定仅有五条，无法对警务领域个人信息权的保护形成明确引导。首先，个人信息保护法下个人享有哪些具体权利？第四章所规定之权利是否全部适用于警务领域？比如个人可否在警务活动中拒绝仅通过自互动决策方式作出的决定。其次，能否根据警务活动需要，对个人信息受保护权的具体权利进行限制？目前的法律文本只提及了对知情权的限制，那其他权利能否限制呢？最后，对个人信息受保护权的限缩应当遵循何种规则？

3.单行法有关规定(5)除反恐法、网络安全法外，数据安全法、国家安全法等单行法也涉及个人信息的收集和处理，但这些立法几乎没有规定个人信息权，这里不展开分析。

(1)反恐怖主义法

反恐怖主义法总体上属于一部侦查授权法，未规定个人信息受保护权及相关权利。《反恐怖主义法》全文中与个人信息保护相关的有两个条款——第六条和第七十六条。第六条规定反恐工作应当尊重和保护人权，维护公民和组织的合法权益。第七十六条规定被告人、证人或反恐工作人员本人或近亲属面临危险的，享有不公开个人信息的申请权。反恐工作关系国家安全、公共安全，是压倒性的利益诉求，因此，恐怖分子及相关人员的个人信息权益没有得到立法的直接确认，而呈现为公安部门的保护义务，如《反恐怖主义法》第四十五条第二款规定所获反恐材料不得用于其他用途。《反恐怖主义法》第四十八条规定有关部门对个人隐私负有保密义务。

(2)网络安全法

《网络安全法》第四章网络信息安全部分规定了信息主体的同意权、知情权、删除权和更正权。尽管该章只规范网络运营者和个人用户之间的法律关系，但考虑到警务部门经常因办案需要从网络运营者调取个人信息或获得技术协助，信息主体可以通过行使同意权等权利间接地对警务活动进行制约。因此，网络安全法规定的个人信息受保护权不仅有利于其与网络运营者的力量平衡，对防止个人信息在警务活动中的滥用或错用也有事前预防的效果。其不足之处在于，一方面，权利指向的业务主体和领域有较大局限性，无法延伸至警务执法阶段；另一方面，个人信息受保护权的权利内容受到限缩。例如该法规定的知情权仅指个人信息泄露后，个人有权要求网络经营者告知信息泄露的情况。而一般信息保护领域的知情权则涵盖了个人有权知晓个人信息处理者是否收集、处理了个人信息等更为广泛的内容。

(二)个人信息保护立法的评价与反思

在宪法层面，亟须确立个人信息受保护权。在大数据时代，个人信息受保护权已成为个人基本权利的新面向，个人信息不仅具有重要的商业价值，也是开展警务活动的重要资源。由于个人信息的使用效应可能会与公民的其他权利产生连锁反应，“因而个人信息的保护就不能仅仅局限于安全管理思维，而需要与宪法进行对接，成为新的宪法权利组成部分”[10]。 纵然现行宪法的相关条款可以为警务领域个人信息保护提供立法基础和立法依据，《个人信息保护法》第一条将宪法作为立法依据即是明证。欧盟经验也表明，在《欧盟基本权利宪章》确立个人数据受保护权之前，在《欧洲人权公约》第8条尊重私人生活权条款之下也可给予个人数据以充分保护。但宪法对个人信息权规定的阙如仍会导致一系列的理论与实践问题。以欧盟为例，没有规定个人数据受保护权的《欧洲人权公约》第8条一直是保护个人数据的主要法律依据，这导致隐私权和个人数据保护权界限的模糊和司法适用的混乱。“法院在这一问题上的判例法可以被描述为一个混乱的迷宫，由于充满曲折和不可预测的推理，最终目的地仍然被隐藏。”[11]就我国而言，在大数据警务时代，缺少宪法对个人信息保护基本权利的肯定和认可，会严重削弱宪法对个人信息保护法律体系的统帅和引领作用，造成部门法、执法手段之间关系的混乱，弱化个人信息的宪法保护。因此，无论从健全公民基本权利体系来看，还是发挥宪法对警务权力的制约功能来看，现行宪法都应做出调整。

在专门立法层面，我国刚颁布实施的个人信息保护法采用了2019年德国数据保护法修法前的立法结构——公私二元结构，即将国家机关和非国家机关的处理个人信息的活动规定在同一部立法中分别规定。该结构对调整对象的划分十分清晰，但两类主体在个人信息保护标准和限制个人信息受保护权的规则方面的区隔并不明显，这影响了分类的意义和立法行文。整体来看，个人信息保护法对国家机关部分的规定侧重对行政机关的规范，除个别条款外，几乎没有针对警务活动处理个人信息特殊性的规定，这一倾向反映在个人信息受保护权的规定上，突出表现为立法对国家机关对个人权利进行限制方面的高度谦抑，以至于忽略了个人信息受保护权可能对现代警务活动的干扰。从警务领域个人信息保护的需求来看，个人信息保护法的公私二元结构是造成不能有效引导和规范警务部门处理个人信息活动，对个人信息保护精度不足的根本原因，因为立法的普适性往往是以牺牲特殊性为代价的。与欧盟层面的次级立法相比，我国个人信息保护法同样存在实质调整范围难以适应大数据警务复杂性的问题；存在立法维度与执法维度的冲突与协调问题，由于文本中缺少衔接条款，这一问题甚至更为严重。此外，如前所述，在现行立法下，警务领域个人信息受保护权的范围不明确，能否限制不明确，最为关键的是没有对权利限制的限制规则。

在单行立法层面，虽然一些条款零星地规定了数据主体的权利，但权利内容十分有限，不足以制衡相应领域的警务活动。如反恐法、网络安全法等。还有一些立法没有规定个人信息的受保护权，如数据安全法、国家安全法等。总体来看，单行法对个人信息的保护水平有待提高。

三、完善警务领域个人信息保护立法的具体路径

针对警务领域个人信息处理的特殊性质，应根据立法时机、立法条件以及其他可替代方案对当前的法律体系进行审慎权衡，以增强警务领域个人信息保护法律体系的整体功能为导向，处理好宪法、专门立法以及单行法之间的关系。

(一)完善宪法有关个人信息保护的规定

承前所述，宪法对个人信息的间接保护已不能适应大数据时代公民权利的发展。无论从出于加强警务领域个人信息保护的目的，还是为了保证个人信息保护法律体系的圆满自洽，宪法都不应缺位。以欧盟为例，在《欧盟基本权利宪章》将个人数据受保护权纳入到公民基本权利之前，尽管存在《数据保护指令》等次级立法，但对个人数据保护的一项主要目的是促进欧盟自由市场的形成，具体而言，是要促进个人数据的全面自由流动。在个人数据受保护权经《里斯本条约》上升为基本权利后，欧盟个人数据保护立法才得以覆盖自由、安全和司法领域。因此，有观点认为，个人数据受保护的创设是为了规范警察和安全领域的数据保护[12]。同时该权利还可以赋予其与现有权利平等的地位以保护隐私、资助、透明和不歧视的价值[13]1—7。 由此可见，由宪制性文件规定个人信息保护的重要性。此外，欧盟人权法院对《欧洲人权公约》第8条的灵活性解释有效弥补了前宪章时代个人信息保护立法不足的问题。相较之下，我国短期内很难依靠宪法解释、宪法判例或违宪审查来规制警务部门处理个人信息的活动，在此意义上，完善宪法文本对个人信息保护的规定就成为必由之路。

与欧盟相似，我国个人信息保护的次级立法走在宪制性法律之前，我国《民法典》在第四编(人格权编)第六章规定了隐私权与个人信息保护，科学定位了个人信息与人格权、隐私权的关系。当前主张将民事权利中个人信息权作为个人信息保护法律体系的权利基础的主流观点，正是民法典相关规定理论影响的彰显。但这种立论难以解释警务领域及其他公法领域的个人信息保护的权利基础，因此，宪法不适宜使用个人信息权的概念，建议借鉴欧盟模式，使用个人信息受保护权这一表达方式。

未来时机成熟时，建议以宪法修正案的形式修改宪法人格权条款，在《宪法》第三十八条中增设第二款，即“国家保护个人隐私和信息。除法律特别规定，禁止任何组织和个人以任何理由侵犯公民隐私，收集和利用个人信息”。之所以在人格权条款之下增设隐私权和信息权，一方面是因为隐私权、信息权是人格权的下位概念，而信息权又是独立于隐私权的新型权利，在人格权下规定此两种权利恰当地处理了三个概念的关系。另一方面，《宪法》第三十九条、第四十条隐含了隐私权和信息权保护的价值，在第三十八条宣示此两种权利，使法条间的衔接更为自然、流畅，并与后两条形成一个相对完整的隐私与信息权的保护体系[14]。

(二)健全个人信息保护专门立法的执行规则

健全个人信息保护专门立法的执行规则是综合权衡立法条件、立法时机和立法成本等因素后作出的理性建议，当然这不妨碍对其他备选方案的讨论，因为随着个人信息保护法治进程的推进，这些备选方案可能代表了未来修法的方向。所以这里的论述兼顾了警务领域个人信息保护专门立法当前与未来发展的需要。

对警务领域个人信息保护而言，欧盟的分别立法模式是最为理想的方案，即采用不同立法对一般领域和警务领域中的个人信息处理进行分别规范。分别立法对个人信息保护的共性问题的规制需求下降，有利于更精细地调整不同法律主体间的利益平衡关系，同时有利于减少不同目标与价值的冲突，以及降低化解冲突的难度。在分别立法模式下，一般领域的个人信息保护由现行个人信息保护法调整和规范，可保持现行文本对国家机构与非国家机构分类的立法结构不变，只需增加对警务领域个人信息保护适用的排除条款。警务领域的个人信息保护则另行立法。新的警务领域个人信息保护专门立法应根据警务活动的特殊性，对立法目的、个人信息保护原则、个人信息受保护权的种类和内容、程序保障、行政与司法救济等方面进行精细化立法。甚至可以对调整对象进行再分类，如按照治安管理与刑事侦查的划分对个人信息进行场景化、差异化保护。总之，新立法与原来的个人信息保护法可形成与欧盟《通用数据保护条例》和《警察与刑事司法数据保护指令》类似的互补关系。分别立法实质上反映了不同领域对个人信息差异性保护的客观需求。正如欧盟文件所指出的，由于这些领域的特殊性质，保护个人数据及其在警察合作中的自由流动的具体规则可能是必要的(6)2007年12月13日通过《里斯本条约》的政府间会议最后文件所附《欧盟关于欧洲联盟基本权利宪章的第21号宣言》。。此外，由于调整对象和适用领域的相对集中，分别立法的难度相对较低。

对警务领域个人信息保护的次优方案是在统一立法的前提下，将现行个人信息保护法的二元结构由国家机构和非国家机构调整为一般领域和警务领域。该方案的实质合理性在于第二个二分法比第一个二分法更能体现不同领域中个人信息的差异化保护需求。具体来说，一般领域与警务领域的个人信息保护差异要明显高于国家机构和非国家机构个人信息保护的差异。欧盟经验可以印证这一点。在《里斯本条约》后，欧盟立法者本有机会按照其之前准备阶段所畅想的那样，对所有领域(含警务领域)的个人数据进行相同保护水平的统一立法，后来放弃这种思路，绝不是对过往立法传统的简单延续，警务领域个人信息保护的特殊需求才是决定因素。该方案的不足在于，两个领域对个人信息的差异性保护需求会限缩总则的调整范围，削弱总则的统领作用，同时会造成分则中对应部分的结构膨胀。从2019年修改后德国数据保护法来看，规范一般事务和警察事务的两章都形成了相对独立完整的立法框架，出现了“法中法”的现象，立法者为落实欧盟立法被迫采取了介于法律编撰和法律汇编之间的立法技术。此种立法结构可以较好地实现对不同领域个人信息权的精细立法，降低协调不同立法价值、立法目标间冲突的难度，但也存在立法条文不简约，立法结构体系差、立法成本较高等问题。

我国个人信息保护法刚颁布实施不久，上述理想方案和次优方案在短期内缺少立法时机。在警务立法方面，作为秩序与安全的守护者，警察部门无疑是最能影响博弈结果的一方。目前，个人信息在警务活动中发挥着不可替代的作用，考虑到复杂严峻的社会治安形势，以行政逻辑为主导的数据化警务有其现实合理性和必要性，但“现实正确”也进一步增强了公安机关参与博弈的话语权，客观上增加了制定警务领域个人信息保护专门立法的阻力。此外，相关理论准备尚不充分，即使该领域的先行者欧盟，其专门立法的实施效果也有待理论评估和实践检验。综上，对警务领域个人信息保护的最次却最可行的方案是在不同层面细化现行个人信息保护法在警务领域的适用规则。诚如欧盟《警察与刑事司法数据保护指令》第20条规定的那样，适当的技术和组织措施对个人信息保护必不可少。具体来讲，第一，建立健全警务部门个人信息保护的技术规范和管理制度。充分发挥警务部门行政立法的快速反应性、灵活性特征，将个人信息保护法的原则、精神和具体制度转化为管理细则。一方面，对已有的《公安机关执法办案信息系统使用管理规定》《公安信息网安全管理规定(试行)》《公安信息化数据质量管理规范》《公安部关于建立健全公安机关执法全程记录机制的意见》等规范性文件进行必要的修订。另一方面，对于个人信息保护法无法涵盖的数据处理，可结合具体的应用场景，及时制定管理性文件来弥补制度漏洞，提高对信息处理领域个人权利和自由保护的覆盖面。第二，完善警务部门个人信息保护的执法细则。根据个人信息保护法之规定，从警务执法实践出发，完善《公安机关办理行政案件程序规定》《公安机关办理刑事案件程序规定》《公安机关执法细则》等关键性的规范性文件，力求消弭立法维度不同产生的冲突。同时应在个人信息保护法的基础上，进一步明确对个人信息受保护权限缩规则的限制，在操作规则上弥补上位法漏洞。第三，在刑事侦查领域，可按现行做法，由最高人民法院、最高人民检察院、公安部等部门根据个人信息保护法联合出台相关意见，对侦查执法过程中个人信息的收集和处理，个人信息受保护权的行使和限制进行系统性规定。

(三)强化单行法对处理个人信息活动的控制

个人信息受保护权的创设有效地提升了既定的个人信息保护原则对信息处理主体的义务。在哈贝马斯的意义上说，这为权利人的主张增加了一些规范性力量[13]1—7。 但个人信息权利簇中的权利多数属于请求权，其实现程度更多取决于法律对信息处理主体义务的设定以及信息处理主体对义务的履行情况，欧盟《警察与刑事司法数据保护指令》、德国《数据保护法》第三部分、德国《刑事诉讼法》有关数据保护与使用的规定都是从信息处理者义务的角度来阐述个人信息的保护。“当目标是为个人信息提供更好的保护时，关注信息处理者的透明度和明确的信息处理限制可能比对个人几乎不可执行的同意和控制的概念更合适。”[15]换言之，即使立法中未提及个人信息主体的权利，但只要对警务主体处理个人信息活动施以严格控制，本质上就是在保护个人信息。

沿上述思路，未来修法中，个人信息保护相关单行法可以不明确规定个人信息权益，但应根据立法领域和适用场景，进一步完善对警务部门个人信息处理活动的控制。具体而言，第一，将个人信息处理原则有机地融入相关立法，通过法律原则引导警务部门处理个人信息的活动。在此方面，《欧洲乘客姓名记录指令》作了极好的示范，我国《反恐怖主义法》第四十五条、第四十八条也部分体现了这一思路，其他单行立法可以借鉴。第二，在平衡公共安全利益和个人利益的前提下，适当细化警务部门保护个人信息的义务，增加个人信息处理过程的透明度和可控性。从欧盟个人数据保护立法的发展情况来看，未来我国可能出现更多与个人信息处理相关的单行法，新法应尽量避免给警务部门设定概括性义务。第三，完善警务部门个人信息处理活动的程序性控制。具体而言，根据权力运行逻辑，严格审批程序。根据信息处理的技术逻辑，健全告知程序、更正或删除程序、救济程序等。