郑曦北京外国语大学法学院教授、博士生导师。
内容摘要:
关键词:数据刑事司法数据安全法数据监管个人信息保护科技与司法
一、刑事司法中数据安全保护的现实需要
科技的发展大大提升了刑事司法中收集使用数据的深度和广度,但现有法律对于刑事司法中数据安全保护的规定尚有不足,而司法信息化建设进一步加剧了刑事司法中数据安全方面的风险,使得保护数据安全成为刑事司法的现实需要。
(一)刑事司法中海量收集使用数据
收集使用数据向来是刑事司法运作的基础。刑事司法为解决被追诉人刑事责任问题,在事实认定上必须依靠证据,故有“证据裁判主义”之原则。许多证据通过“以电子或者其他方式对信息的记录”之数据形式呈现,对这些证据的收集使用即是处理数据的过程。因此,从这个意义上看,对数据的收集使用是刑事司法的基本内容和运用基础,也是案件裁判的前提。
随着科技的发展,刑事司法中收集使用数据的方式发生了巨大变化,特别是大数据侦查等手段的普遍运用,使得以侦查机关为代表的刑事司法公权力机关收集使用数据的能力得到了极大提升。1968年,美国通过综合犯罪控制与街道安全法,允许执法机关以“监听与电子监控”等方式收集数据;1985年,英国通过通讯拦截法,允许警察截收公民个人的通信并从中收集数据;1998年,德国修改刑事诉讼法,增加了大量新型技术侦查手段之规定,大幅提升警察收集数据的能力;《联合国反腐败公约》规定缔约国应“允许其主管机关在其领域内酌情使用控制下交付和在其认为适当时使用诸如电子或者其他监视形式和特工行动等其他特殊侦查手段”收集数据,《联合国打击跨国有组织犯罪公约》第20条也有类似的规定。我国自1993年在国家安全法中规定了“技术侦察”后,2012年刑事诉讼法修改时设置专节将技术侦查制度彻底合法化,目前实践中运用的电子同步设备、访问控制设备、数据保存和恢复设备、图影成像设备、加密解密系统、卫星定位系统、网络跟踪设备、数据库等技术,使得侦查机关获取数据的方式多元、难度降低,甚至利用网络搜查等方式,收集数据的过程可以远程、无接触、隐秘进行。
(二)现有法律对刑事司法中的数据安全保护问题规定不足
(三)司法信息化加剧了数据安全风险
现代社会科技的运用提升了生产效率、加快了生活节奏,在给人们带来财富和便利的同时也使得纠纷的数量大幅增加,巨大的案件量给刑事司法中的公权力机关造成了极大压力,迫使许多国家都不得不进行司法信息化的改革,从而提升案件办理的效率。根据欧洲司法效率委员会的报告,2016年40余个欧洲国家均有司法信息化的举措,包括运用ERP案件管理系统、OUTILGREF职位分配和管理系统、文件起草辅助工具等;在美国,联邦法院系统有“案件管理和电子案件档案系统(CM/ECF)”和“法院电子记录公共访问系统(PACER)”两大信息化系统,各州法院也有其各自的信息化系统;甚至印度、肯尼亚、尼日利亚等发展中国家也有其各自的司法信息化改革举措。在我国,司法信息化建设也是司法改革中的热点问题。以法院为例,我国的法院信息化改革在完成了信息化的基础建设后已经进入建设“智慧法院”的新阶段;相应地,检察院和公安机关也分别在进行“智慧检务”和“智慧警务”建设。
司法信息化是刑事司法中的公权力机关在面对新型科技运用之时代潮流和案件数量迅猛增长之现实困境的必然选择。然而,司法信息化举措在有效提升司法效率的同时,也是一把“双刃剑”,进而导致一系列的问题,其中加剧刑事司法中的数据安全风险即是诸多问题之一。具体而言,体现在以下两个方面。
其二,司法信息化的技术性工作外包增加了数据泄露的可能性。由于法律界对数据统计与分析技术陌生、对大数据算法几乎完全外行、对人工智能缺乏客观认识等原因,公检法机关显然无法依靠自身力量完成司法信息化所需的技术性工作,于是将此项工作外包给相应的科技企业就成为必然的选择。科技企业在进行司法信息化的技术性工作时,必然需要获得大量司法数据以作为司法信息化的原料性基础,在此过程中可能因为司法数据交接中的疏忽或技术人员个人品质等方面的原因而发生数据泄露;甚至在司法信息化的技术性工作完成之后,科技企业也可能基于其逐利之本能,以安装“木马”、预设“后门”等方式通过其参与建设的司法信息化系统主动窃取司法数据,对此不可不予以严防。
二、刑事司法中数据安全保护的基本思路
既然刑事司法中存在上述数据安全保护的现实需要,则有必要厘清保护刑事司法数据安全的思路,为具体的制度完善提供基础。
(一)源自权利保障的数据安全保护
数据安全保护的目的往往是双重的:一方面在于保护国家利益,特别是主权、安全等利益;另一方面则在于保护公民的合法利益,恰如我国数据安全法第1条规定:“为了……保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。”为达成保护数据安全以保障公民合法利益之目的,最为直接的方式即是赋予公民、特别是作为数据主体的公民相应的数据权利,通过公民数据权利的行使限制数据控制者和处理者的行为、促进数据安全保护的实现。从某种意义上看,保护公民的数据权利,也是宪法“国家尊重和保障人权”理念的体现。例如,欧盟即是根据《欧盟基本权利宪章》第8条第1款之规定而将公民的数据权利视为基本权利的。
基于通过数据权利保障实现数据安全保护的逻辑,GDPR规定数据主体享有数据访问权、更正权、删除权(被遗忘权)、限制处理权、反对权等一系列数据权利,通过数据权利的行使限制数据处理行为,进而确保数据安全。通过赋予公民数据权利保障数据安全的思路在刑事司法领域同样适用,2016年欧盟《通用数据保护条例》亦规定了数据主体的一系列数据权利,从而限制数据控制者和处理者并保障数据安全。
(二)基于国家义务的数据安全保护
(三)经由全程监管的数据安全保护
隐私权保护的路径虽然易于理解和把握,但也存在一些天然的缺陷,保护方式的事后性即是其中之一。由于隐私权是一种消极、被动、防御性的权利,对其的保护只能在其受到侵害之后方可进行。发生民事纠纷时,“在该权利遭受侵害之前,个人无法积极主动地行使权利,而只能在遭受侵害的情况下请求他人排除妨害、赔偿损失等”,在刑事司法的场域下亦是如此,对其的救济存在事后性特征,缺乏事前和事中的监管。对于刑事司法而言,仅靠事后性的隐私权保护路径,显然无法实现数据安全保护的目标,因此有必要从隐私权的事后救济思路转向更为积极能动的全程监管方式。
三、刑事司法中数据安全保护的制度完善
根据上文所述的刑事司法中数据安全保护的基本理念,可以具体从数据本身的分类分级、数据主体的角色与作用、数据控制者的安全保护职责和数据监管机构的设置与职能四个方面进行制度完善。
(一)数据的分类与分级
数据安全法第21条提出要建立数据分类分级保护制度,要求制定重要数据目录,对数据实行分类分级保护;第27条规定数据安全保护工作在“网络安全等级保护制度”的基础上展开,从而与网络安全法第21条关于网络安全等级保护制度的规定实现了衔接。这些规定切中要害,对于数据的分类分级保护,能够帮助人们准确识别不同类别数据所承载的法益以及各自的安全保护需求,是数据安全保护的有效手段。外国亦有对数据分类分级的规定,例如美国将涉及国家安全的政府数据划分为秘密、机密和最高机密,将非涉密的受控数据按照行业分为20大类,在每一类下设子类别并予以详细定义和区分。
我国网络安全法第31条规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”数据安全法第6条关于不同部门按照行业、领域承担数据安全监管职责的规定以及第21条第3款关于按照行业、领域确定重要数据具体目录的规定可以看出,数据安全法亦是根据行业、领域的特征提出数据分类要求的。
根据按照行业、领域进行数据分类之要求,刑事司法中的数据应当自成一类,这一点可以从数据安全法第6条第3款关于公安机关、国家安全机关在各自职责范围内承担数据安全监管职责的规定中得到佐证。但是,针对刑事司法中的数据仍然应当进行细化的分类和分级,具体而言,可以按照不同标准作出以下区分:
01
02
03
(二)数据主体的角色与作用
尽管如上文所述,国家在刑事司法领域承担着数据安全保护方面的主要义务,但数据安全保护以保护公民权利为其价值目标之一,则应当允许作为数据主体的公民在数据安全保护制度中扮演重要角色并发挥作用。在刑事司法中的数据处理和安全保护领域,数据主体主要担当以下几方面的角色、并体现相应的作用。
第三,数据主体是数据安全保护中的公权力监督者和制约者。既然数据主体在数据处理和数据安全保护中都是重要的参与者,则此种参与必然对公权力形成一定的监督和制约。例如上文所述的有限“告知—同意”原则在一定程度上可以对数据的非法获取形成限制,其与限制处理权等权利相结合能保证公权力机关对数据基于诉讼目的之使用,从而防止数据的非法利用。从本质上看,数据主体在数据安全保护中所扮演的公权力监督者和制约者的角色,是公民权利对国家权力的监督和制约的体现,具有宪法层面的意义,应当予以充分尊重和保障。
(三)数据控制者的安全保护职责
刑事司法中,公检法等公权力机关是主要的数据控制者,应当对其科以数据安全保护职责,从而履行国家义务。数据控制者安全保护职责的确定和行使,是刑事司法数据安全保护制度的核心内容,具体而言,其主要应有以下三个方面的职责:
(四)数据监管机构的设置与职能
然而在刑事司法领域,网信部门作为专门的数据监管机构存在一定的障碍。一方面来自刑事司法自身的专业性和特殊性:刑事司法中的数据安全监管与其他领域存在一些区别,对该领域的数据安全监管往往需要刑事司法的专业知识,而这是网信部门工作人员不具备的。此外,刑事司法领域特别是侦查阶段存在上文所述的封闭性和秘密性特征,数据处理的过程通常排斥外部机构的介入,网信部门很难对其进行全程、实时的监管。另一方面在于在多数情况下刑事司法领域的数据处理本质上是证据运用的过程,此种数据处理行为即是公安司法机关的诉讼行为,倘若将数据安全保护监管的职责交由网信部门,会导致对数据处理行为的监管与对诉讼行为的监督进行分割,不但逻辑上难以成立,从实践操作的层面来看也不具有可行性。
面对上述障碍,相对合理的选择是将检察机关确立为刑事司法领域的专门数据监管机构。首先,检察机关在大陆法系的传统下被视为“客观官署”,由其行使数据监管职权,在独立性和中立性方面符合我国法律的要求。其次,相较于数据安全法第6条令公安机关、国家安全机关承担数据安全监管职责的设计,检察机关是宪法规定的“国家法律监督机关”,本就在刑事诉讼中履行自立案至执行的全程监督之职责,对于包括数据处理行为在内的诉讼行为进行监督名正言顺。再次,检察机关的工作人员均是经过培训、考试等选拔的法律专业人士,对于刑事司法的监督本就是其职权之一,不存在专业性方面的问题。最后,检察机关作为刑事诉讼监督机关,介入刑事诉讼的各个阶段均不存在障碍,即便是最为封闭秘密的侦查阶段,检察机关亦可提前介入或引导侦查,从而避免了进行全程数据安全监管的程序方面的阻碍。当然,将检察机关确立为刑事司法领域的专门数据监管机构的同时,应当规定其在必要时寻求网信部门的协助和向其提出咨询,从而实现数据监管方面的技术交流。