付 灏

(中南民族大学 法学院,湖北 武汉 430000)

一、溯源:大数据侦查的起源与发展

“大数据”的概念最早是在1998年的一个国际会议中提出,美国著名计算公司SGI的首席科学家约翰·马西在报告中指出,由于数据体量的快速增长,未来必将出现数据难理解、难获取、难处理和难组织等四个难题,并将这四个难题统称为“Big Data”,即“大数据”。维克托·迈尔·舍恩伯格和肯尼斯·库克耶在2008年8月编写的《大数据时代》一书中提到,“大数据”是指对所有数据进行整体分析处理,而不是采用随机分析法,即抽样调查进行分析。2009年开始,“大数据”成为了互联网信息技术行业的热点话题,全球正式进入大数据时代。

大数据是随着社会发展而不断演变的概念,国内外各界对此看法也众说纷纭,不尽相同。最早应用大数据的麦肯锡公司(全球著名管理咨询公司)在2011年发布的一项研究报告《大数据:下一个具有创新力、竞争力和生产力的前沿领域》中对“大数据”一词进行了较为科学的定义:“‘大数据’是指其大小超出了典型数据库软件的采集、存储、管理和分析等能力的数据集”[1]。我国经过多年的观测与沉淀,终于在2014年正式将“大数据一词”写入政府工作报告。2015年9月,国务院印发的《促进大数据发展行动规划纲要》中进一步对大数据发展的进路进行了设计部署。工信部又于2016年12月印发了《大数据产业发展规划(2016-2020)》,对有关大数据的重点行业和领域的发展要点进行了规划,并提出了多项保障措施建议[2]。2020年4月,中共中央、国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》中,将“数据”与土地、劳动力、资本、技术并称为五种生产要素[3]。这标志着我国已经正式将数据确定为基础性资源。2021年11月,《“十四五”大数据产业发展规划》发布,提出了大数据发展的四大主要任务,促进大数据产业从规模增长向结构优化、质量提升转型[4]。可见,随着科技的进步,大数据在服务党和国家重大战略、促进经济社会高质量发展、建设人民满意的服务型政府等方面发挥着举足轻重的作用。

“大数据侦查”一词的发展,可追溯到公安部门的“侦查信息化”,即在侦查过程中,侦查人员利用信息技术和信息资源,使侦查过程智能化,从而提高侦查效率并达到侦查目的的一种侦查模式。在实务中多以“公安信息化”或“警务信息化”等名称进行表述。而随着时代和科技的进步,“大数据侦查”也是对“侦查信息化”的积极回应。大数据技术改变了人们原有的生活方式和工作方式,为社会运转提供了许多便捷,在刑事侦查领域中也起到了举足轻重的作用。大数据侦查是指警方从承载着海量信息的数据库中收集与查明案件事实相关联的信息并加以分析来发现犯罪行为的一种技术。大数据侦查为犯罪的侦破提供了先进的侦查技术,但同时也带来了公民个人隐私的泄露和滥用的风险。数据安全是数字经济健康发展的基础。正如党的二十大报告中指出,数字经济时代要“加强个人隐私保护”。由于大数据正在成为信息时代的核心战略资源,大数据技术与应用背后的数据安全风险亟需解决,数据泄露、数据滥用等安全事件需防患于未然。为了解决这一问题,有必要分析大数据侦查和公民个人隐私保护之间存在的冲突,找到一条调和二者关系的道路。

二、审视:“大数据侦查”对“公民个人隐私”的影响

随着人口流动加快,利用数据信息库实施的大数据侦查更有利于打击犯罪。但不容忽视的是,实施大数据侦查收集个人隐私不可避免会侵犯到公民的正当权利,数据信息库的日益完备和技术的日益成熟,势必会导致“侦查需要”对“公民个人隐私保护”的影响愈加凸显。

(一)大数据侦查活动中对个人隐私的立法保护缺位

随着网络技术的普及,我国越来越重视个人隐私保护问题,在立法层面不断加强和完善对个人隐私的保护。我国于2021年出台的《个人隐私保护法》和《数据安全法》就旨在从法律层面建立起对个人隐私保护法律规范体系。通观我国现有法律,可以发现涉及个人隐私保护,多于私法和实体法领域中得以规制,而侦查机关在刑事诉讼程序中收集和分析个人隐私的行为却较少纳入规制范围[5]。

通读我国《刑事诉讼法》规定的传统侦查措施可以发现,其规定的搜查、调取、技术侦查与利用大数据手段的侦查措施具有极为紧密的关联性。因此,由于大数据侦查手段适用法律规制的缺位,对个人隐私的保护难以得到实现,个人隐私的保护面临着巨大挑战。《刑事诉讼法》第139条规定了对犯罪嫌疑人身体、物品、住处和其他相关地方的搜查方式,并且搜查时需有被搜查人或者其他人在现场作证。但是大数据侦查的对象是信息,信息主体有时无法得知其个人隐私已经被搜查[6],这与刑诉法中的规定以及立法目的出入较大。

再者,在2012年《刑事诉讼法》中新增的技术侦查与大数据侦查相关性最高,但其仅仅高度概括地规定了五条内容。其体现在侦查技术侦查措施的适用范围仅在对国、恐、黑、毒类案件或者其他严重危害社会的犯罪案件适用,但此规定无法规制大数据侦查,立法上也没有对大数据侦查的适用范围加以限制。可见,在此种立法现状下,大数据侦查可能会存在侵犯公民个人隐私的风险。故有必要对大数据侦查的适用进行规制,以求缓解其与公民个人隐私保障之间的矛盾。

(二)大数据侦查模式对个人隐私的侵犯更为隐秘

相较于“人—案”“案—人”“人—人”“案—案”的传统侦查模式,大数据侦查更偏向于“人—数据—案”“案—数据—人”和“人—数据—人”“案—数据—案”的侦查模式。这意味着侦查机关在适用大数据侦查时,并不完全直接与现实的案件和人发生联系,而是以承载着个人隐私的纽带,连接起犯罪嫌疑人和案件的关系[7]。在传统侦查活动中,公安机关为查明案件事实,需要提犯罪嫌疑人到场进行审讯,直接与犯罪嫌疑人进行交流,有“口供中心主义”的倾向。但侦查机关在大数据侦查活动中,将不再一味地追求“口供至上”,收集的数据可以更客观地还原案件真相。一方面,大数据侦查打破了传统侦查重口供的不良导向;另一方面,大数据侦查模式对于个人隐私的侵犯也更为隐秘。

在侦查活动过程中,侦查机关如追求侦查效率,利用大数据的快捷性和隐蔽性,对公民的个人信息进行收集和深入分析,得出的结果可能会严重触及侦查对象的隐私,造成的后果可能会更为严重,而侦查对象无法知晓其个人隐私已被收集,即使知道,也苦于收集不到证据,无法寻求救济。

(三)信息共享加剧个人隐私泄露风险

公安机关近些年来不断建设与其他机关和部门的信息共享体系,2011年由北京市公安局、市商务委、市工商局、北京海关、北京出入境检验检疫局共同签署的《北京市五部门行政资源整合机制框架协议书》中就提到要建立联席会议和信息共享机制[8]。公安部又在2016年发布《关于大力推进基础信息化建设的意见》《公安机关信息共享规定》、建设完善警务信息综合应用平台指导意见等一系列文件要求整合数据,实现信息共享[9]。不可否认的是,信息共享机制为侦查机关提供了丰富的数据资源,更有助于查明案件真相,但也加大了侵犯公民个人隐私泄露的风险。其一,信息共享方式并无法律明文规定,大多依靠框架协议实现,规范性较弱,缺少合法性审查以及外部监督。并且在大数据平台的支撑下,公安机关只需人机交互即可完成信息提取和查询,即便是通过安装金盾系统进行监控信息查询的权限,但也只是一种纪律约束,缺乏事前控制。其二,个人隐私在侦查活动中并不完全在公权力机关进行流转与共享,也有私权利主体在掌握着公民的个人隐私。公权力主体在调取公民个人隐私时拥有严格的保密系统以及审批机制,但监督管理体系较为宽松的私权利主体作为第三方取证主体介入刑事诉讼,势必会加剧个人隐私泄露的风险[10]。

(四)大数据侦查对个人隐私的过度采集

2016年颁布的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》中规定了五种措施[1],但是并没有详细规定对这五种措施启动的条件和对收集范围的限制。这意味着侦查机关可以为了侦查活动的顺利进行而任意对个人隐私进行收集和查看,这很有可能会导致侦查机关滥用职权,超越查明案件真相所需限度收集公民个人隐私。

不仅如此,在2014年由公安部颁布的《规范使用执法场所办案区“四个一律”》中规定犯罪嫌疑人被带至公安机关后,直接带入办案区进行人身检查和信息采集。据此规定,办案人员在实践中,无需考虑案件性质和情节严重,只要将犯罪嫌疑人带回办案区,便可以进行强制采样。这种做法无疑会侵犯犯罪嫌疑人的正当权利,增大警民之间的矛盾。

此外,侦查机关在侦查过程中,为追求案件真相得以最大程度的还原,往往会充分收集侦查对象的个人隐私以作证据使用,有可能会导致侦查对象的个人隐私被过度采集。譬如在2013年引起社会广泛讨论的“武汉女大学生遇害案”[11],侦查机关为了快速抓捕犯罪嫌疑人,以广泛撒网的形式对案发地周围高校数千名男性师生进行了DNA信息收集和比对,并且对所收集信息的去向和处理结果也未公开。这不仅会引发公民对自身信息泄露的担忧,还会引起公民对侦查机关办案能力的质疑。

对个人隐私的过度收集不仅仅体现在取证犯罪的过度扩张,也体现在取证内容范围的过度扩张。在大数据时代,个人隐私所包含的内容也在不断扩大,除姓名年龄,家庭住址等传统信息外,还包括个人行踪、个性喜好、交易记录等信息。在便捷的网络技术下,侦查机关可以在公民不知情的情况下对其个人隐私进行收集和利用,诱发侵犯公民个人隐私的风险。

三、反思:大数据侦查适用的应有限度

在刑事司法程序中,侦查活动一方面要追求查明案件事实的效率,另一方面也不允许肆意侵犯公民的权利。为此,大数据侦查的适用限度应以比例原则为根本指导,坚持程序合法原则,最大限度实现大数据侦查与个人隐私保护问题的良性融合,破解二者长期存在的制度冲突。这不仅是现代侦查制度的基本理念,也是实现人权保障的必然要求。

(一)以比例原则为指导

比例原则的本质在于避免国家权力对个人权利的侵犯,使国家权力的行使控制在一定范围与限度之内[12]。大数据侦查存在着高效查明案件事实、及时打击犯罪与面临侵犯公民个人隐私的可能。因此,在进行大数据侦查时,需受到比例原则的拘束。比例原则的内容又可具体分为适当性原则、必要性原则和狭义比例原则三个子原则。

适当性原则强调行为手段要与行为目的匹配,即“目的导向”。传统侦查目的在于,收集证据,查明犯罪事实和犯罪情节,并决定对犯罪嫌疑人是否起诉[13],大数据侦查的目的亦是如此。适当性原则要求大数据侦查只能适用于对刑事案件。公安机关作为承担行政执法和刑事侦查双重职能的部门,在获取个人隐私前应明确获取目的,不得随意扩大其使用范围,将在刑事侦查中获取的个人隐私应用于行政执法。

必要性原则,即最小侵害原则,是指国家机关应当在可以达到目的的前提下,选择一个对公民权利侵害最小的手段。必要性原则要求在侦查机关从事侦查活动时,在面对多种均可实现侦查目的的侦查行为时,应当选取侵犯公民个人隐私最小的一种。故侦查机关在选择侦查措施时,应根据必要性原则所追求的侦查行为合理性,根据实际情况,谨慎适用大数据侦查手段。

均衡性原则,也称“狭义比例原则”,要求侦查机关在选择适用侦查措施时,该侦查措施给公民权利造成的损害应当与其侦查目的相均衡。大数据侦查的性质决定了其对个人隐私侵入的深入和广泛,相较于与大数据侦查较为相似的侦查措施——技术侦查,因侵犯公民权利程度较深,其适用范围和程序均受到严格限制。但大数据侦查的适用却未受到此类限制,这并不符合均衡性原则的要求。应以均衡性原则引导大数据侦查的适用,明确大数据侦查适用范围,且通过大数据侦查所获得的个人隐私,其内容不能超过侦查机关为查明案件事实的实际所需。

(二)坚持公平信息实践原则

1973年美国政府在医疗、教育与福利部门成立的“关于个人数据自动系统的建议小组”,其发布的一篇报告中首次提到了“公平信息实践原则(fair information practice principles)”一词, 后由经济合作与发展组织在《隐私保护和个人数据跨境流动指南》中予以修订,并得以广泛传播[14]。公平信息实践系列原则的基本内容为:第一,所有记录个人信息的记录系统必须是公开的;第二,个人必须有途径了解自己的信息记录和使用情况;第三,在未经本人同意的情况下,个人隐私被使用或提供给其他人,必须向被侵害方提供救济途径;第四,必须给予个人纠正其信息的权利;第五,任何组织在创建、使用或传播个人数据时,必须确保数据本身和来源的可靠性和真实性,并且必须采取合理有效的措施,防止数据被滥用[15]。

大数据侦查手段突破了原有侦查权的运行方式,常以侵入当事人私人领域的方式进行,侵犯公民基本权利的可能性日益增大[16]。为充分维护公民个人隐私的保障,应坚持公平信息实践原则对侦查机关的数据收集使用、存储传输等行为进行引导和规制。

(三)遵循非法证据排除规则

《刑事诉讼法》中规定了非法证据排除规则,即应当对经非法定程序收集,且严重影响司法公正的物证、书证予以补正或者作出合理解释;不能补正或者作出合理解释的,应当排除。2017年由最高人民法院、最高人民检察院、公安部、国家安全部、司法部联合制定的《关于办理刑事案件严格排除非法证据若干问题的规定》中也有相同规定。可见,我国对在侦查活动中使用非法手段秉持着“零容忍”的态度。

判断利用大数据侦查手段所获取的个人隐私是否属于非法证据,应充分考虑该信息的收集是否超越或滥用职权,或超越查明案件事实的需要。如果答案是肯定的,那么须认定该证据为非法证据予以排除。侦查机关利用大数据取得的证据没有其他客观性证据与之相印证,也须予以排除。在一起杀人案中,已经收集了足够可以证明犯罪嫌疑人购买凶器、与作案流程的相关搜索记录等信息,侦查机关为了保障侦查活动的充分性,仍然对其或其家人、亲友等无关信息进行收集和分析,这部分证据应当视为非法证据。

四、规制:大数据侦查中个人隐私保护机制的构建进路

(一)将大数据侦查纳入《刑事诉讼法》中予以规制

大数据侦查作为一种新型侦查手段,其运行方式并不同于我国刑诉法中规定的各类传统侦查手段,因此,从立法层面规制大数据侦查,是实现个人隐私保护规范路径得以构建的前提。对大数据侦查的规制,应当在《刑事诉讼法》“侦查”一章中予以确认,可以在“技术侦查”后补充一部分“大数据侦查”的有关规定。具体来说,应从大数据侦查的启动条件、适用对象和适用程序三部分内容对大数据侦查行为予以规定:

第一是大数据侦查的启动条件应具备初步证据证明被收集对象有犯罪嫌疑,若无初步证据证明或者是被合理怀疑的案件,不应适用撒网式的大数据侦查。为查明案件真相,确有收集犯罪嫌疑人隐私必要,才可启动大数据侦查。并且要建立严格的审批程序,即启动大数据侦查行为前,为保证其合理性和正当性,应向侦查机关的上一级机关审批备案。其二,侦查机关在适用大数据侦查时要具有合理明确的侦查目的,充分保护公民的个人隐私。适用对象应当限于与犯罪活动相关的人、犯罪嫌疑人或被告人,不能随意扩大个人隐私收集范围。最后,应明确对个人隐私信息适用大数据侦查的条件,必须是严重危害国家利益、社会公共利益或个人利益的犯罪案件,才能对其个人隐私信息适用大数据侦查。

(二)建立混合式监督体系

大数据侦查行为容易导致侦查权的滥用,大数据侦查活动的开展是在封闭状态下进行的,很可能会导致大数据侦查行为侵犯公民的个人隐私,故有必要建立对大数据侦查行为的监督体系,进一步规范大数据侦查行为,保证侦查机关查明案件事实的同时保护公民的个人隐私,实现大数据侦查和个人隐私保护二者的有效融合。在监督模式上,可以采用“内部+外部”混合式监督模式。

内部监督主要包括实施大数据侦查行为前的审批和实施过程中的监督两个部分。为防止侦查机关在适用大数据侦查手段时过度收集公民个人隐私或随意扩大收集范围,应在实施大数据侦查行为前对其进行严格审核。并且在实施大数据行为过程中,该侦查机关也应受上级侦查机关或其同级法治部门全程监督,对其违反程序的行为进行及时纠正或制止。目前我国对侦查措施的审批采取的是内部程序,外部监督的缺失会存在权力滥用的可能。外部监督主要来自侦查机关以外的法律监督部门,主要包括负责程序审查的审判机关和负责法律监督的检察机关。审查内容应包括适用主体、适用案件范围、处理结果等。经由监督审查部门审查后,确实认为存在违规或违法情形,应及时通知侦查机关予以纠正。

(三)侦查对象的权利保障

在侦查机关实施大数据侦查行为过程中违反法定程序导致侦查对象的个人隐私造成侵害,法律应充分赋予其寻求救济的权利,在保护个人隐私的基础上,对滥用大数据侦查进行制衡。

第一,保障侦查对象的知情权。当侦查机关适用大数据侦查行为前,应及时告知侦查对象。但考虑到侦查活动的秘密性,过分强调权利保障会不利于查明案件事实、打击犯罪,对于告知后可能会导致侦查对象出现妨碍侦查、销毁证据等行为的案件,可以在实施大数据侦查行为结束后予以告知,同时告知其享有的权利,为其权利救济提供保障。第二,保障侦查对象的更正、删除权。根据大数据侦查所收集的信息及分析结果并非完全准确,主要是受制于无法确保数据本身的真实性和侦查机关在数据处理的技术水平,致使所收集的个人隐私存在瑕疵或者错误,导致降低分析结果的可靠性[17]。故而应充分保障侦查对象对信息的更正、删除权利,当侦查对象发现侦查机关所收集到的信息存在瑕疵甚至是错误,应给予其要求侦查机关进行修改或予以删除的权利。第三,保障侦查对象的申请赔偿权。当侦查对象发现自己的个人隐私遭到侦查机关的侵害时,应赋予侦查对象寻求救济的权利。受到侵害的侦查对象可以向实施侵害行为的侦查机关进行复议,复议不成功的可向该侦查机关的上级侦查机关进行复核或申请检察机关进行法律监督。然后根据其严重程度追究其行政或刑事责任并赔偿其损失。