完善司法规则 强化权益保障
促进刑事诉讼个人信息保护
党的二十大报告指出“加强个人信息保护”,这为个人信息保护制度完善提供了政策支持。随着个人信息保护法、数据安全法等法律的实施,个人信息保护由私法、实体法领域逐渐向公法、程序法领域延伸,保护个人信息成为刑事诉讼程序改革的时代命题。在刑事诉讼中,检察机关作为法律监督机关,肩负客观中立义务,监督刑事诉讼全流程,具备保护个人信息的实践经验。笔者认为,对于刑事诉讼中的个人信息保护,检察机关可以在规则制定、权益保障等方面发挥积极作用。
推动制定刑事诉讼个人信息保护司法规则。个人信息保护法属于个人信息保护领域的专门性法律,但其并未以刑事司法活动作为主要的应用场景。尽管该法第二章第三节阐述了国家机关处理个人信息的特别规定,但司法机关与其他国家机关的性质、职能都存在明显不同。因此,在刑事诉讼活动中,有必要对个人信息保护法的相关概念、原则、规则进行引入、调整与改造,助推个人信息保护法与刑事诉讼规范的对接与融合。在时机成熟时,应推动制定刑事诉讼中个人信息保护规则等司法解释,为个人信息保护提供刑事程序法的衔接路径。
其一,引入个人信息概念。传统刑事诉讼规范并非直接以个人信息作为保护对象,而是通过保护个人隐私、国家秘密、商业秘密与电子数据等客体,间接发挥保护个人信息的功能。个人信息保护法第4条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”刑事诉讼中应当引入个人信息概念,建立以“识别性”与“相关性”判断个人信息的标准,这有利于拓展个人信息的保护范围,实现刑事诉讼中个人信息的直接保护。
其二,引入、改造个人信息保护原则。个人信息保护法第5条至第9条规定了个人信息保护的相关原则。其中,合法、正当、必要原则,信息质量原则,信息安全原则都可以直接适用刑事诉讼活动。而目的限制、信息最小化、公开透明等原则则需要进行必要调整。例如,在贯彻目的限制原则的同时,也需要考虑刑事诉讼中存在部分个人信息兼容使用的行为。
其三,制定个人信息分类规则。刑事诉讼法重点保护隐私信息,与个人信息保护法中“敏感个人信息/一般个人信息”的分类方法并不完全一致。“隐私/非隐私”的分类方法侧重信息的私密性,而“敏感个人信息/一般个人信息”的分类方法侧重信息处理的安全与风险,二者并不冲突。对此,刑事诉讼中在强化保护隐私信息的同时,应及时引入“敏感个人信息/一般个人信息”的分类规则。同时,还可以借鉴个人信息保护法第28条规定的敏感个人信息的内涵,并根据刑事诉讼的特点进行改造。
其四,拓展刑事诉讼中个人信息保护义务的内容。个人信息保护法第五章设立了多项个人信息处理者的义务。其中,个人信息保护合规义务、个人信息保护影响评估义务、个人信息记录义务等在刑事诉讼中均存在引入的制度空间,可作为刑事诉讼中个人信息保护国家义务的重要内容。
刑事诉讼中的个人信息权益保障。主要体现在以下三个方面:
首先,个人信息权益属于刑事诉讼中的基本权利之一,应得到司法机关的保护。个人信息保护法第1条以“保护个人信息权益”作为主要的立法目标,并在第三次修改时,增加了“根据宪法,制定本法”的规定,赋予了个人信息权益基本权利的宪法地位。在刑事诉讼中,个人信息权益属于一种新型利益,与传统的人身、财产、隐私等利益不完全一致。个人信息权益具有保障公民个人信息自决的实体利益,也是信息主体程序参与的重要途径。因此,可通过合理解释刑事诉讼法中的权利条款,拓展人权保障的制度景深。
其次,界定各项具体的信息权利在刑事诉讼中的适用要件。个人信息保护法第四章赋予信息主体知情权、决定权、查阅复制权、更正权、删除权等“个人在个人信息处理活动中的权利”。这些具体的信息权利应当成为刑事诉讼中当事人开展救济的制度工具,但需要根据刑事司法的特点进行调整与改造。例如,在保障知情权的同时需要兼顾侦查秘密原则的要求,准确解释个人信息保护法第18条与第35条中“有法律、行政法规规定应当保密”“不需要告知”“紧急情况”等规定,合理界定知情权的限度与范围。
再次,完善信息主体权利救济途径。如果司法人员存在怠于履行相应义务的情况,当事人会面临无法直接行使个人信息权益的困境。对此,应当为信息主体提供权利救济的渠道。例如,如果有关机关错误记录个人信息,办案人员又怠于履行更正义务,致使无辜公民被错误拘留、逮捕的,应为当事人提供更正个人信息的途径。
监督刑事诉讼中国家机关的个人信息处理行为。个人信息保护法第60条规定由国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。然而,网信部门的工作职能与机构定位,使之难以深度介入刑事诉讼活动。因此,笔者认为,检察机关作为法律监督机关,比较适合监督刑事诉讼中司法机关的个人信息处理行为。
一方面,可实现对个人信息处理全流程的监督。个人信息保护法第4条规定:“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”检察业务覆盖刑事诉讼活动的全流程,深度嵌入立案、侦查、起诉、审判、执行等各环节,契合个人信息“全生命周期”的理念,为实现个人信息处理全流程监督提供了制度保障。因此,引入个人信息处理的概念,可以将法律监督的效能覆盖至个人信息处理活动的全流程。
另一方面,可将侦查机关的个人信息处理活动作为监督重点。近年来,大数据技术与人工智能技术深度赋能刑事侦查活动,侦查机关广泛采用数据碰撞、数据挖掘、数据画像等新型侦查措施处理个人信息。对此,可综合运用程序监督与数据监督双重手段,监督侦查机关的个人信息处理行为。在程序监督方面,激活非法证据排除等传统诉讼程序的功能。例如,应当适时将电子数据纳入非法证据排除的范围,以规制调取、网络远程勘验、技术侦查等个人信息处理行为。此外,在数据监督方面,建立事前、事中、事后的数据监督体系。
(作者分别为四川省都江堰市人民检察院党组书记、检察长,西南政法大学刑事侦查学院讲师)
