侦查中的个人信息保护<br/>——以《个人信息保护法》为视角

侦查中的个人信息保护
——以《个人信息保护法》为视角

2023-09-13王仲羊

中国刑警学院学报 2023年3期

王仲羊

（西南政法大学智能司法研究院重庆 401120；西南政法大学刑事侦查学院重庆 401120）

1 引言

长期以来，侦查活动的强制性、职权性与个人信息保护的基本理念存在紧张关系，导致侦查中个人信息保护效果不彰。在数智化时代，加强刑事侦查中的个人信息保护，既是制衡国家机关肆意处理个人信息的法治选项，也为程序规范的自我完善提供了契机。然而，在规范层面，先前立法未能正视刑事侦查与民事私法、行政执法的场景差异，导致侦查规范中缺乏个人信息保护的专门性规定，不利于形塑完整的个人信息保护法治体系。在理论层面，学界研究主要面临两大问题：在研究主题方面，学者往往将侦查中的个人信息保护作为附带性命题，专门性研究相对不足。例如，学界在分析大数据侦查[1]、电子数据调取[2]、网络在线提取[3]等具体问题时，或将个人信息保护的制度缺位归结为现象成因，或将个人信息保护的程序建构作为对策方案。但是，个人信息保护并非此类论题的主旨，如此会弱化侦查中个人信息保护的体系性建构。在研究方法方面，在《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）出台之前，侦查程序中个人信息保护的规范依据严重缺位，致使法教义学、法解释学的研究路径难以为继。由于缺乏本土化的研究素材，既有研究或是局限于对侦查中个人信息保护问题的制度性描述[4]，或是诉诸比较研究的方法，以域外的立法设计或者权利理念为参照[5]，存在南橘北枳的隐忧。

《个人信息保护法》的出台，为分析侦查中的个人信息保护问题提供了全新的时代语境与规范依据。在研究主题上，《个人信息保护法》有利于加强刑事侦查中个人信息保护的专门性与独立性，促进两大话语体系之间的交流与融合。在研究方法上，《个人信息保护法》能够为本土化研究提供规范指引，开辟出侦查程序中个人信息保护的中国视角。有鉴于此，本文以《个人信息保护法》作为切入点，讨论刑事侦查与个人信息保护的逻辑关系，增加数字时代刑事正当程序的理论供给。

2 侦查中个人信息保护的制度短板

在《个人信息保护法》通过之前，侦查活动与个人信息保护之间缺乏必要的理论交流与制度共振，致使刑事侦查中个人信息保护的独立性、专门性、权利性明显不足。

2.1 刑事侦查中个人信息保护的独立性缺失

首先，刑事侦查中缺乏独立的个人信息概念。侦查程序未将个人信息作为独立的保护对象，而是通过保护阴私、个人隐私、国家秘密、商业秘密与电子数据等客体的方式附带实现保护个人信息的效果。《中华人民共和国刑事诉讼法》（以下简称《刑事诉讼法》）规定涉及阴私的案件不公开审理，即通过不公开阴私的方式附带保护个人信息。但是，“阴私”通常指负面信息，特别是与“性”有关的信息，保护范围存在明显的局限性[6]；1996年《刑事诉讼法》将阴私保护修改为隐私保护。然而，隐私侧重秘密性与私人性，与侧重识别性与相关性的个人信息的客体范围并不一致；2012年《刑事诉讼法》将个人隐私与国家秘密、商业秘密并列，扩大了附带保护个人信息的范围。但是，国家秘密、商业秘密与个人信息的定义存在明显出入；2016年《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（以下简称《电子数据规定》）列举了电子数据的四大种类。虽然电子数据与个人信息存在诸多重合之处，但个人信息还包括未形成电子形式、存在于纸质媒介或者其他媒介中的信息。数据立法持续推进，侦查程序却始终未能确立个人信息的独立客体地位，而是将之包裹在其他对象之中，作为一种依附性存在。这既造成了保护范围的局限性，也致使现行规制个人隐私、电子数据的制度难以直接套用于个人信息。

其次，刑事侦查中缺乏独立的个人信息处理概念。办案人员对于个人信息采取的各种操作可以统称为个人信息处理行为。个人信息处理的概念要求相关法律关注个人信息处理的全过程，防范各类信息处理行为中的制度风险。然而，在我国侦查活动中，却存在“收集中心主义”的现象，即相关程序仅规制前端的个人信息收集行为，而忽略了后续的个人信息分析、存储等活动。例如，《刑事诉讼法》在侦查一章中通过明确的实施细则规制讯问、搜查、技术侦查等取证行为，却对数据比对、查询和挖掘等个人信息分析行为只字未提。再如，个人信息存储活动一直是收集活动的附带结果与后续状态，而并非独立的程序环节。只要前端的个人信息收集行为具备正当性，后续的存储行为也会随之具有合法性。尽管存储个人信息对于刑事司法机关的内部考核与外部办案具有重要意义，但却始终被视为技术安全的范畴，并未上升至权利保障的高度。“收集中心主义”的倾向致使诉讼活动的规范性由个人信息收集阶段自动延伸至个人信息分析、存储等环节，造成了规范评价的断层，不利于构建完整的个人信息处理概念。

最后，刑事侦查中缺乏独立的个人信息保护理念。在个体层面，个人信息保护制度重在保障公民对于个人信息的自主控制。“保障数据主体对个人数据的处理事务的自主、自治、自决，应是个人数据保护的应有之义。”[7]然而，个人信息自主控制并未成为刑事诉讼价值序列的组成部分，在刑事侦查中追求信息自决利益显得十分奢侈、并不必要。相反，在执法活动中强调个人信息的自主控制可能会不当削弱办案人员的执法能力，干扰正常的取证进程[8]。在整体层面，塑造个人信息有序共享的法治格局是个人信息保护制度的题中应有之意。随着侦查模式从传统侦查、信息化侦查跃迁至大数据侦查、智慧侦查，个人信息处理的程度不断加深。然而，个人信息保护的理念并未随之跟进，致使个人信息保护与处理之间的关系显著失衡。在刑事侦查中，个人信息保护理念并未与打击犯罪、保障人权的基本任务实现深度融合，办案人员甚至缺乏基本的保护个人信息的意识。

2.2 刑事侦查中个人信息保护的专门性缺失

一方面，个人信息保护立法并未将侦查活动作为专门的规制领域。纵观世界各国的立法状况，刑事诉讼领域的个人信息保护主要存在三种立法模式。第一种模式为概括性排除模式，即将刑事诉讼作为个人信息保护的例外，排除在立法范围之外。例如，GDPR第2条明确规定，本条例不适用于主管当局以预防、调查、侦查或起诉刑事犯罪，或者执行刑事处罚为目的的数据处理活动。印度2019年《一般数据隐私法》第36条（a）款也将刑事诉讼中的数据处理行为部分排除在规范之外；第二种模式为专门性规定模式，即在立法中以专门形式详细规定刑事诉讼中个人信息保护的相关条款。例如，欧盟《2016/680指令》对于GDPR的相关规则进行调整改造，为刑事司法中的个人信息保护提供规范依据。英国2018年《数据保护法》和法国2018年《个人数据保护法》为了贯彻欧盟《2016/680指令》的要求，也均对刑事诉讼领域的个人信息保护进行专章规定；第三种模式为概括性规定模式，即在立法中总体区分私人主体与国家机关处理个人信息的不同情形，并由后者笼统规定刑事司法中的个人信息保护问题。

在《个人信息保护法》出台之前，我国部分规范性文件采取概括性排除模式。例如，《信息安全技术个人信息安全规范》第5.6条将“与刑事侦查、起诉、审判和判决执行等直接相关的”作为征求授权同意的例外。《互联网个人信息安全保护指南》第6.7条也存在类似规定。与此不同，学界关注到刑事侦查中个人信息保护的特殊性。例如，齐爱民在专家建议稿中采取概括性规定模式，规制了国家机关对个人信息的收集、处理和利用，并将刑事侦查作为个人信息比对的情形之一[9]。然而，无论是规范性文件，还是学界的立法建议，均未将刑事侦查中的个人信息处理行为作为独立的规制对象，从而致使立法的专门性有所不足。个人信息保护的基本原则与具体规则难以辐射至刑事侦查领域，更没有结合侦查活动的特殊场景进行调整改造。

另一方面，我国刑事诉讼法中缺乏个人信息保护的专门性规定。尽管个人信息穿插于线索、材料、证据、卷宗之中，个人信息处理活动也贯穿了刑事诉讼的全流程，但保护个人信息并非侦查程序的目的，而只是间接发挥的制度功能。例如，五种强制措施的层级化设置，确实在客观上发挥了防止概括性处理个人信息的附带性效果，但保护个人信息并非该程序的主观愿景。《刑事诉讼法》仅在第64条中唯一一次使用“个人信息”的措辞，但其目的在于保障相关人员的安全，而非加强个人信息保护。与专门的个人信息保护制度不同，侦查程序以平衡打击犯罪与保障人权作为制度预设，并不积极主动地保护公民对于个人信息的自主决定。专门性规定的缺位导致刑事侦查中未能建立个人信息保护的常态化机制。例如，《刑事诉讼法》第152条规定必须及时销毁技术侦查措施获取的与案件无关的材料。然而，该条款的规制对象仅限于技术侦查活动和与案件无关的材料，而并未规制其他存储个人信息的诉讼活动，以及与案件有关的证据材料。申言之，删除个人信息是例外情形下的特殊规定，而非常态化的运行机制。

2.3 刑事侦查中个人信息保护的权利性缺失

首先，侦查程序主要以保密义务条款与技术保真条款保护个人信息，弱化了个人信息的权利属性。例如，《刑事诉讼法》第54条规定：“对涉及国家秘密、商业秘密、个人隐私的证据，应当保密。”此外，第286条“应当对相关犯罪记录封存”也是保密义务的体现。然而，上述条款主要强调国家机关的个人信息保密义务，而非赋予当事人个人信息权利。如果办案人员怠于履行保密义务，信息主体难以获得自行开启权利救济的途径，致使权利保障的效果不当弱化。此外，以鉴真规则为代表的技术保真条款架空了个人信息保护的实质。《电子数据规定》与《公安机关办理刑事案件电子数据取证规则》（以下简称《电子数据取证规则》）均从实体正义的角度出发，在技术层面对电子证据的真实性、相关性、同一性进行了详尽的规则建构，却忽略了电子取证的程序保障与权利属性。

其次，刑事侦查中隐私与个人信息不当混淆，致使个人信息的权利供给不足。在侦查程序中，隐私保护条款成为间接保护个人信息的权利依据。例如，《刑事诉讼法》第152条规定：“侦查人员对采取技术侦查措施过程中知悉的国家秘密、商业秘密和个人隐私，应当保密。”在缺乏直接性个人信息保护规范的背景下，隐私保护条款在一定程度上确实达到了保护个人信息的效果。但是，即便隐私保护与个人信息保护存在交叉，但却仍然是两套不同的规则设计。因此，完全以隐私保护条款发挥保护个人信息的功能，不仅没有正确认识二者之间的逻辑关系，也不当阻碍了独立的个人信息权利的生成空间。

最后，侦查程序中的个人信息保护多由国家机关主导推进，公民积极行权的空间相对不足。例如，《刑事诉讼法》第152条规定，对技术侦查措施获取的与案件无关的材料“必须及时销毁”。然而，销毁程序由办案人员单方面执行，信息主体不仅无法监督销毁流程，也缺乏积极启动销毁程序的权利，甚至销毁的结果也无须向当事人告知，剥夺了当事人的知情权与删除权。

3 侦查与个人信息保护的交流融合

《个人信息保护法》的颁布搭建了刑事侦查与个人信息保护之间沟通融合的平台，改变了侦查程序中个人信息保护独立性不足、专门性不足、权利性不足的局面。

3.1 确立侦查程序中个人信息保护的独立地位

首先，《个人信息保护法》确立了刑事侦查中独立的个人信息概念。《个人信息保护法》第4条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”在刑事侦查中，识别性与相关性成为界定个人信息的双重标准。其中，识别性是指个人信息与信息主体之间被直接识别或者间接识别的可能性[10]。以识别性作为个人信息的界定标准，采用了从信息到个人的路径，即由信息本身的特殊性直接回溯到特定个人[11]。相关性强调凡是与个人相关的一切事项均为个人信息[12]。与识别性不同，相关性采用了从个人到信息的路径，即已知既定个人，进而去知晓“关于”该人的其他信息。个人信息概念的确立，有利于改变侦查程序中以保护阴私、个人隐私、国家秘密、商业秘密、电子数据等客体的方式间接保护个人信息的做法。刑事侦查应当将个人信息作为直接保护的对象，以识别性和相关性判断个人信息的范围，为后续个人信息保护的制度建构扫清概念障碍。

其次，《个人信息保护法》确立了刑事侦查中独立的个人信息处理概念。《个人信息保护法》第4条规定：“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”个人信息处理的概念不仅关注了前端的个人信息收集行为，也规制了后续存储、使用等环节中的数据风险。实质上，分析、存储等作为个人信息处理的具体环节，其行为评价具有独立性，而无须依赖于收集行为。引入完整的个人信息处理概念有利于破除侦查程序中“收集中心主义”的弊端，规范各类处理个人信息的侦查活动。

最后，《个人信息保护法》确立了刑事侦查中独立的个人信息保护理念。《个人信息保护法》第1条规定：“为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法。”这种复合性立法目的与刑事侦查中打击犯罪、保障人权的基本任务存在共通之处。一方面，“保护个人信息权益”属于保障人权在数字时代的全新表现形式，《个人信息保护法》将保护个人信息权益作为首要的立法目的，体现出对于信息自决利益的规范关照，有利于推动刑事侦查中权利话语的纵深发展。另一方面，“规范个人信息处理活动，促进个人信息合理利用”反映出侦查机关在大数据时代利用个人信息以强化社会治理的制度需求，但应当注重个人信息使用的价值理性与工具理性。

3.2 规制侦查机关的个人信息处理行为

首先，《个人信息保护法》将侦查机关的个人信息处理活动作为规制对象。坐拥海量数据、推行全景监控、执掌数据权力的国家机关日渐成为侵犯公民个人信息的主要来源，需要相关规范予以规制。对此，《个人信息保护法》在第2章第3节专门设置了国家机关处理个人信息的特别规定。第33条规定：“国家机关处理个人信息的活动，适用本法。”此处的“国家机关”理应涵盖负责刑事侦查的国家机关。第34条规定：“国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。”此处的“法律、行政法规”应当包括刑事诉讼法及其规范性解释。《个人信息保护法》改变了之前法律概括性排除的立法模式，并未将侦查活动作为个人信息保护的例外，而是明确《个人信息保护法》能够约束侦查机关。并且，《个人信息保护法》的部分制度体现出对于侦查活动的特殊关照。例如，第35条规定：“国家机关为履行法定职责处理个人信息，应当依照本法规定履行告知义务；有本法第十八条第一款规定的情形，或者告知将妨碍国家机关履行法定职责的除外。”自此，《个人信息保护法》为个人信息保护嵌入刑事侦查提供了规范前提与具体对策，两大话语体系之间具备了交互与融合的平台基础。

其次，《个人信息保护法》规定了侦查机关处理个人信息的合法性基础。个人信息处理的合法性基础是指“处理关于个人的信息所依据的正当的法律理由”[13]。长期以来，知情同意一直被认为是处理个人信息的合法性基础。然而，知情同意与侦查秘密原则产生矛盾，难以直接套用于刑事侦查领域。对此，除了知情同意，《个人信息保护法》第13条还规定了其他六种个人信息处理的合法性基础。其中，第3款“为履行法定职责或者法定义务所必需”应当成为侦查机关处理个人信息的法定基础，这一点也得到了域外立法的印证。例如，欧盟《2016/680指令》第8条就设置了“必要性”这一项合法性基础，以彰显刑事司法活动的特殊性。欧盟《警察部门使用个人数据实用指南》第2条也突出了为警用目的处理个人数据的必要性与合比例性。此外，第1款“取得个人的同意”应当作为侦查机关处理个人信息的意定基础。第4款、第6款、第7款的相关规定可以作为合法性基础的必要补充。确立个人信息处理的合法性基础，一方面能够解决侦查机关部分个人信息处理行为于法无据的局面，有利于健全侦查程序中的概括性授权机制。另一方面，合法性基础也划定了侦查机关处理个人信息的界线与比例。

最后，《个人信息保护法》规定了侦查机关的个人信息保护义务。国家应当承担的保护义务既是个人信息保护的宪法基础，也是个人信息权力保护的表现形式[14]。对此，《个人信息保护法》规定了告知义务、安全保障义务、指定个人信息保护负责人义务、个人信息保护影响评估义务、个人信息泄露通知义务等。这些义务一体适用于私营部门与国家机关，因此，侦查机关应当承担起个人信息保护的国家义务。一方面，侦查机关应当意识到自己属于侵犯个人信息的风险源，履行不予犯禁的消极义务。另一方面，侦查机关应当积极发挥国家机关在个人信息保护中的角色优势，提供相应的立法保障、组织保障与技术支撑。

3.3 建构刑事侦查中的个人信息权利

首先，《个人信息保护法》保障个人信息权益，赋予个人信息基本权利的定位。基于妨碍数据共享、阻滞数据流通的担忧，立法者并未选择“个人信息权”的措辞，而是在第1条中使用了“个人信息权益”的术语。但是，个人信息究竟属于权利还是权益，应当结合立法规范的生成语境。《个人信息保护法》第1条前半句阐述了立法目的，后半段则在第三次修改时增加了“根据宪法，制定本法”的规定，实现了与宪法条文的实质联结。对此，全国人大常委会法工委在说明中援引《中华人民共和国宪法》（以下简称《宪法》）国家尊重和保障人权（第33条）、公民的人格尊严不受侵犯（第38条）、公民的通信自由和通信秘密受法律保护（第40条）三个条款，作为保护个人信息的宪法依据[15]。《宪法》第33条属于概括性权利条款，能够为个人信息权利等未列举的基本权利提供安身之所[16]。其中，“尊重”侧重个人信息权利的防御功能，要求国家承担不侵犯私人生活的消极义务，而“保障”则关注个人信息权利的客观方面功能，要求国家积极作为以保护个人信息[17]，宪法第38条体现了对于个人信息等一般人格权（自我决定权）的具体保护[18]。此外，《宪法》第40条的通信自由与秘密条款体现出对于通信信息的特殊保护。刑事诉讼被称作宪法的“测振仪”[19]，“宪法所确立的基本原则和基本权利又为刑事诉讼法的发展和完善提供了最终的法律基础。”[20]既然宪法业已通过与《个人信息保护法》的联结，确立了个人信息基本权利的定位，则势必会对既有的诉讼规范产生指引作用。侦查程序应当确立个人信息的权利地位，赋予当事人积极的个人信息权利，实现刑事诉讼权利体系的革新与拓展。

其次，《个人信息保护法》确立了独立于隐私权的个人信息权益。《个人信息保护法》通篇没有使用任何“隐私”这一规范用语，明确体现出区分隐私与个人信息保护的立法态度，以个人信息权益作为权利基础。在刑事侦查中，个人信息保护与隐私权存在诸多差异。其一，权利客体不同。隐私权在划定保护客体时需要遵循“隐”与“私”的逻辑内核，前者强调不为他人所知的秘密性，后者指代与公共领域、事务、信息相脱离的私人性[21]。相比之下，个人信息保护以识别性与相关性作为界定客体范围的标准，不仅涵盖隐私信息，也包括一般信息。其二，权利内容不同。在刑事侦查中，隐私以保密作为主要的权利内容，只要办案人员首次刺探了隐私信息，其中的隐私利益立即不复存在，后续也不会再度生成。个人信息保护并不强调保守秘密，而是以规制全流程的个人信息处理行为作为权利内容[22]。其三，行权方式不同。隐私权属于防御性权利，行权方式较为消极。相反，个人信息保护强调个体对于个人信息的积极支配与自主控制。因此，应当改变侦查程序以保护隐私的方式间接保护个人信息的传统，确立独立的个人信息权利。

最后，《个人信息保护法》确立了“个人在个人信息处理活动中的权利”。《个人信息保护法》确立了知情权（第44条）、决定权（第44条）、查阅复制权（第45条）、更正补充权（第46条）、删除权（第47条）等具体的个人信息权利。此外，《个人信息保护法》第24条规定了信息主体对于算法自动化决策可以提出异议、要求解释，也带有明显的权利色彩。具体到侦查活动，上述具体的信息权利为实现个人信息自主控制的实体利益提供了程序助力，属于保障当事人参与个人信息处理活动的手段与工具。通过赋予信息主体一系列程序性请求权，能够保证公民在个人信息处理过程中的程序“在场”，搭建起与侦查机关理性交涉的平台，提升数据处理的公正性与准确性。

4 个人信息保护制度在侦查中的调整改造

《个人信息保护法》作为个人信息保护的“领域法”，采用“一体调整”[23]的立法模式，同时规制私人主体与国家机关的个人信息处理活动。因此，虽然该法在宏观理念与规范依据上能够与刑事侦查交互融通，但具体的程序设计仍然需要结合侦查程序的场景特点。对此，应当调适与改良个人信息保护的基本原则、信息类型、权利行使与监管体制，以契合刑事程序法治的要求。

4.1 个人信息保护原则的调整改造

《个人信息保护法》确立了个人信息保护的多项原则。其中，目的限制原则、信息最小化原则与刑事侦查的制度运行存在紧张关系，应当进行调整改造。

《个人信息保护法》第6条规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。”这体现出目的限制原则的主要内容，要求收集个人信息应当具有特定、清晰和正当的目的，并且后续的处理不得与初始目的相违背[24]。然而，在刑事侦查中，存在刑事目的、一般执法目的与非执法目的的场景交叉，由外而内或者由内而外的兼容使用行为时常会突破目的限制原则的理论边界。一方面，基于非执法目的或者一般执法目的收集的个人信息经常被用于后续的刑事侦查活动。例如，公安机关不断加强政企合作及警政合作，概括性地获取行政执法信息与商业信息，违背了目的限制原则的要求。另一方面，刑事司法领域收集的个人信息也会在基于其他刑事目的、一般执法目的或者非执法目的的数据处理活动中派上用场，主要表现为刑事数据广泛用于未来的犯罪预测与社会综合治理活动。对此，既要设置目的限制原则的例外，在一定程度上允许合理的兼容使用行为。同时，也需要加强对于调取第三方商业数据的监管，规范警政机关之间的数据共享活动，仅允许对于商业信息与执法信息的个别查询，明确禁止掠夺传输、批量拷贝等行为。

《个人信息保护法》第6条规定：“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”该条款表达出信息最小化原则的内涵，即个人信息的处理不得超过特定目的的必需期限，并在目的达成后及时删除[25]。然而，随着存储成本的降低及数据处理能力的加强，大数据侦查等取证行为以数据最大化为追求，背离了信息最小化原则的本质。对此，应当调整信息最小化原则，建立“立即删除—延后删除—不删除”的层级体系。其一，应当立即删除与案件无关的材料，这一点在我国《刑事诉讼法》第152条、《电子数据取证规则》第4条中均有体现。此外，应当在技术侦查材料的删除程序中引入检察官在场制度，以监督无关材料的销毁流程[26]。其二，应当根据诉讼主体的不同，对于罪犯、被告人、犯罪嫌疑人、经法定程序宣告无罪之人、被害人与证人等其他诉讼参与人设置不同的个人信息留存的最长时限。一旦达到最长时限，主管当局应当立即采取删除或者匿名化、假名化等数据处理措施，避免个人信息的无限期留存。其三，对于已经建立的重大案件、在逃人员、未名尸体等全国人口信息库，可以继续留用。但应将利用手段严格限制为查询、比对等基本措施，如果要进行数据画像或者数据挖掘，则需要获得特定授权。

4.2 个人信息类型的调整改造

刑事诉讼中个人信息的保护客体主要是隐私信息，并对处理隐私信息设置了更高的程序门槛。例如，收集隐私信息的搜查、技术侦查往往被界定为强制侦查措施，办案人员对于获取的个人隐私应履行保密义务。隐私信息既是隐私权的具体表现形式，也是个人信息保护的核心内容。因此，以“隐私信息—非隐私信息”作为刑事侦查中个人信息的分类方法，可以节省立法成本，也延续了重点保护隐私信息的程序传统。

《个人信息保护法》采取了“一般个人信息—敏感个人信息”的分类方法，将“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息”列为敏感个人信息。敏感个人信息是指“一旦泄露或滥用，极易危及人身、财产安全或导致人格尊严受到损害、歧视性待遇的个人信息。”[27]由此可知，敏感个人信息的侧重点主要在于泄露后产生的安全风险，与隐私信息对于秘密性与私人性的关注存在一定差异。实质上，敏感个人信息与隐私信息之间既存在范围交叉的部分，也具有各自独立的部分。例如，医疗健康信息既是敏感个人信息，也是隐私信息。然而，人脸信息虽然属于敏感个人信息，但却具有明显的公开性，不符合隐私信息的定义。此外，《个人信息保护法》第32条规定：“法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的，从其规定。”这为刑事诉讼中调整敏感个人信息的具体类型提供了规范空间。因此，在侦查程序中，可以援引“一般个人信息—敏感个人信息”的分类方式，但无须局限于《个人信息保护法》中列举的敏感个人信息的具体类型，而应当结合侦查活动的特点进行调整改造。例如，不满十四周岁未成年人的个人信息未必全部属于侦查程序中的敏感个人信息。

此外，侦查程序应当加强对于一般个人信息的保护。刑事诉讼法虽然将真实姓名、住址等信息作为身份确认机制，但对于保护一般个人信息的必要性缺乏总体认识。从正面来看，一般个人信息属于挖掘隐私信息与敏感个人信息的窗口与基础，“由于存在数据处理和联系的可能，因此，无论数据使用条件如何，都不存在毫无意义的个人信息。”[28]从反面来看，如果默认与纵容执法机关概括性地处理一般个人信息，则势必违背比例原则等正当程序的基本理论。保护一般个人信息并非保护其中的权利因素，而是预防一般个人信息中蕴藏的潜在风险。这种数据风险需要侦查机关建立常态化机制与预防性机制，加强对于一般个人信息的保护，但在保护强度上可以比照隐私信息、敏感个人信息适度降低。

4.3 个人信息权利的调整改造

个人信息权利的积极性、广泛性与侦查活动的强制性、职权性存在天然冲突，故而需要进行适度限缩。对此，欧盟《2016/680指令》建立了个人信息权利行使的“两级方法”，在此方面为我国提供了经验借鉴。

欧盟区分个人信息权利的直接行使与间接行使。直接行使分为三种情况[29]：其一，主管当局允许信息主体自由、完全地行使权利；其二，在立法允许的情况下，经主管当局决定，可以限制上述权利，但是限制应当符合必要性，并且通过比例原则的测试。例如，为保护举报人的人身安全，主管当局可以拒绝提供相关个人数据的来源。此时，应当以书面形式将拒绝或者限制访问的情况及原因通知数据主体，不得过分延迟；其三，在特定情况下，仅仅透露警察部门保存个人数据的事实本身也会影响侦查活动的顺利开展。对此，欧盟《2016/680指令》第15条第3款规定主管当局可以不向数据主体提供任何形式的信息，而是对于其询问提供中立的答复——“我们无法确认您的数据处理情况。”在上述第二种和第三种情形下，信息主体的相关权利均受到了一定限制[30]。

欧盟《2016/680指令》第17条规定了个人信息权利的间接行使方式：“在第13条第3款，第15条第3款和第16条第4款所述的情况下，成员国应当采取措施，规定数据主体也可以通过独立的数据监管机构行使权利。”主管机关需要明确告知数据主体可以通过独立的数据监管机构间接行使权利。此时，独立的监管机构应当核查主管当局的数据处理行为，以便回复数据主体的请求，独立的监管机构还应告知数据主体有权向法院申请司法救济。

我国可以借鉴欧盟的经验，具体方案可分为对于全部权利的整体限制与对于个别权利的特定限制。一方面，可以仿效欧盟建立直接行使与间接行使相结合的权利运作模式，从整体上限制个人信息权利。在正常情况下，司法机关应当保证信息主体各项具体权利的合法运用与直接行使。但是，如果权利的行使可能危害国家安全、公共安全、被害人、证人等的人身安全，可能存在有碍侦查的情形，国家机关可以完全或者部分限制信息主体的具体权利，并解释限制的原因。此时，信息主体可以通过独立的监管机构间接行使权利。当信息主体向监管机构求助时，后者应当进行必要的审核，判断公安司法机关的个人信息处理活动是否合法。监管机构应当将审核结果告知信息主体，并协助其行使权利。值得注意的是，对于权利直接行使的限制需要符合合法、必要原则，以免权利限制成为常态，权利行使反而成为例外[31]。另一方面，对于个别权利的特定限制需要结合不同权利的运作情况。例如，可以采取事后告知与不告知的方式限制当事人的知情权。此外，可以通过划定案件范围的方式限制删除权。例如，性侵未成年人案件的罪犯不得申请行使删除权。

4.4 个人信息监管机制的调整改造

《个人信息保护法》并未采取建构独立的个人信息监管机构的方案，而是在第60条规定由国家网信部门负责统筹协调个人信息保护工作和相关的监督管理工作。但本文认为，国家网信部门无法肩负起制衡侦查机关个人信息处理权力的重任。从部门独立性角度而言，国家网信部门并未摆脱与政府部门的隶属关系，无法在人、财、物上保证中立性；从部门职能角度而言，《个人信息保护法》第61条与第62条分别规定了部门职责与具体工作内容，但是从中很难推断出国家网信部门能够对于侦查机关的个人信息处理行为形成监督；从部门权力地位角度而言，国家网信部门并未取得超越公安、司法机关的优势地位，即便确实存在监督活动，也可能仅停留于形式层面。因此，应当结合侦查程序的运行场景，对于监管机制进行调整改造，为个人信息保护提供组织保障。一方面，应当充分发挥公安预审部门的内部监督作用，将个人信息保护纳入考核管理指标。另一方面，应当将检察机关打造成刑事诉讼中个人信息保护的监管机构。针对侦查机关违法处理个人信息的行为，检察机关应当责令改正，并对直接负责的主管人员和其他直接责任人员依法给予处分。

5 结语

《个人信息保护法》的出台为刑事侦查中保护个人信息提供了规范支撑与时代语境，回应了在侦查程序中应当保护个人信息这一前置性命题。然而，《个人信息保护法》并非专门以侦查活动作为应用场景，对于在侦查程序中如何保护个人信息这一问题，仍然存在力有未逮之处。对此，应当适时出台相关规范性解释，细化侦查程序中的个人信息保护事项，为《个人信息保护法》的落实提供部门法的衔接路径，实现侦查程序中个人信息的场景化保护。