大數據偵查中的信息隱私權保護

張 晶

（中國人民公安大學 法學院，北京 100038）

一、問題的提出

大數據時代，大數據技術的應用促進了社會生產方式的轉型，同時也給社會帶來了新的風險，犯罪場域從現實轉向虛擬，犯罪行為方式也隨之發生改變。除了傳統犯罪網絡化外，還衍生了如非法獲取公民個人信息、電信詐騙、網絡賭博等以數據為媒介的新型犯罪?！胺缸镄袨榉绞降拿恳淮捂幼?，都必將引致國家在偵查方式上針鋒相對的回應?！盵1]面對犯罪方式的轉型，傳統以物理空間為限，依靠人力和經驗查明案件事實的常規偵查方式，已經很難應對瞬息萬變的犯罪活動?；诖?，大數據偵查①在辦案中得到了廣泛應用。大數據算法為偵查活動開辟了新的領域，通過數據模型分析可以發現一些看似不相關，實則與案件有著直接聯系的隱蔽性線索和證據，甚至可以通過數據挖掘和總結犯罪行為的活動規律，預測未來可能發生的犯罪行為。

然而，大數據偵查在提高防范化解社會風險能力的同時也成了風險本身。在中國的刑事訴訟中，犯罪控制與信息隱私權②保護的二元關系一直存在著價值層面的矛盾。隨著大數據技術的發展，偵查手段也在不斷升級，犯罪控制與信息隱私權保護之間的緊張局面進一步加劇。國家賦予偵查機關打擊犯罪和維護社會穩定的重要職能，意味著相對人必然應當承受一般意義上的容忍義務。不過，相對人容忍義務的有限性與偵查權天然的擴張性是矛盾的兩個方面，如果偵查手段改革的步伐與權利法治保障的步調不能基本保持一致，當偵查權的行使邊界一旦超過合理限度，相對人的信息隱私權必然會受到不可逆轉的克減和侵犯。大數據偵查作為偵查范式之一，隸屬于偵查權的既定范疇，其行動邏輯也遵循著偵查權運行和發展的內在規律。在中國的司法語境下，大數據偵查作為新生事物占據了犯罪控制的優勢地位，在收集、分析和挖掘海量個人信息的過程中很可能會侵犯個人信息隱私權。

縱觀中國刑事偵查立法及司法實踐的演進脈絡，將偵查權對信息隱私權的干預限定在合理范圍之內，科學合理地搭建兩者之間的權力——權利架構一直是中國各界人士關注的重要議題。在立法領域，2021 年8 月20 日，十三屆全國人民代表大會常務委員會第三十次會議表決通過了《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》），首次在中國確立了一整套系統的個人信息保護法律制度，彌補了中國在個人信息保護領域的立法不足，為信息隱私權的保護提供了基礎性的制度保障[2]。當前，《個人信息保護法》采用全方位、覆蓋公私法域的立法模式，將利用信息數據打擊犯罪的大數據偵查活動也納入其規制范圍。這一立法模式有利于實現個人信息保護在各法律領域的全面兼顧，但卻忽視了對刑事司法應用場景的特殊關照。目前，《個人信息保護法》中與刑事司法相關的個人信息保護規則大多屬于框架式立法。在大數據偵查實踐中，新法對信息隱私權的保護程度仍有待進一步探討。在學術領域，有關刑事訴訟[3]、刑事偵查[4]、技術偵查[5]中的信息隱私權保護研究已取得了不少理論成果，但針對大數據偵查中信息隱私權危機與保護的研究卻相對較少，這些現有研究成果雖在一定程度上彌補了這一領域的研究空白，但或以國外判例[6]和憲法領域[7]為視角，缺乏對刑事訴訟領域本土化的研究，或對于大數據偵查與信息隱私權的關系缺少精細化的剖析。信息隱私權是發展“第四代人權”與“數字人權”的關鍵環節[8]，針對這一權利在大數據偵查中的保護路徑迫切需要開展深入研究。以此為背景，筆者擬聚焦中國本土問題，梳理大數據偵查與信息隱私權保護的基本理論，分析中國大數據偵查中存在的信息隱私危機，以期能尋找到可以完善信息隱私權保護的可行性路徑，為當前大數據偵查中客觀存在的信息隱私危機提供化解良方。

二、大數據偵查中信息隱私權保護的基本理論

1890 年，路易斯 · 布蘭代斯等提出“隱私權是個人的獨處權利”[9]。這一經典論述確立了隱私權屬于個人本位的權利，自此隱私權的議題在學理討論中不斷發展。美國聯邦最高法院將隱私權確立為憲法權利，認為隱私權是一種自我控制和自主決定的權利；德國聯邦法院則將隱私權認定為一種對抗不受限制的搜集、記錄、使用和傳播個人資料的人格權[10]?？梢?，美國和德國的司法判例也將隱私權定位于個人領域。另外，還有觀點認為，隱私權是一種限制他人接觸的權利，即個人有權決定他人在多大程度上了解自己的私人事務[11]130-149。這一觀點突出了隱私的排他性，強調了隱私主體掌控隱私命運的自主理性[12]。Prosser 在《論隱私》（Privacy）一文中將侵犯隱私行為概括為四類：一是擅用他人姓名和照片，二是公開披露他人私人事務，三是侵擾他人安寧，四是公開丑化他人個人形象[13]。這一行為分類將隱私權與人格權緊密關聯，突出了隱私的人格尊嚴特征[14]。由此可見，隱私的內涵并非一成不變，隨著社會的發展與語境的變化，隱私權的內涵和外延也在不斷改變。這些有關隱私權的內涵和外延的認識都與當時的社會制度和環境密不可分[15]。

大數據時代，一切事物都可以通過數據載體將信息記錄下來，犯罪手段和犯罪方式也會朝著數據化的方向轉變。在傳統偵查手段無力應對的情況下，大數據偵查應運而生。大數據偵查主要通過收集和整合公民日常生活中產生的海量數據，建立各類信息數據平臺來協助破案。數據技術與偵查手段的深度融合使得偵查行為對隱私的介入程度不斷加深，即便是匿名化和隱私無涉信息，只要數量足夠，便足以分析出個人的喜好、生活習慣等隱私信息。

大數據時代的生活空間正如Bentham 構筑的全景敞式建筑（也稱“圓形監獄”，panopticon）[16]，全體公民就像生活在環形建筑四周的居民，偵查機關是中間的瞭望塔，形形色色的信息數據平臺是瞭望塔中的一圈窗戶，偵查機關通過收集、搜索、查看和比對數據來了解環形建筑中所有人的一舉一動。在這一過程中，“權力應該是可見的，但又是無法確知的”[17]。所謂“可見的”，是指人們為了使自身生活便利，自愿讓渡部分個人信息給公安機關及其有關部門。例如：日常生活中，提供個人信息以辦理身份證、駕駛證、護照、簽證等；為了滿足個人的出行需求，出示個人身份證件購買車票、機票等。在收集和使用這些個人信息時，當事人是明知或默許的。所謂“無法確知的”，是指公民即使在信息收集時是明知的，但其對收集后的信息并無實際控制權?？紤]到辦案偵查中打擊犯罪的需要，以及公開收集、使用個人信息的事實和內容可能帶來的辦案風險[18]，偵查機關在運用個人信息辦案時一般會采取秘密的方式進行，因而公民也就不能確定于何時及因何事，其個人數據被偵查機關比對和挖掘了。進入信息社會以后，社會的控制形式發生了根本性改變，人們參與社會生活經常會在電子監控之下，社會不再通過“禁錮”運作，而是通過持續的控制和即時的信息傳播來運作，公民時刻都處于被控制之中[19]。這種“無法確知的”實時控制意味著，公民的個人信息空間正在被不斷壓縮，個人信息的自由控制與支配權也在逐漸弱化。公權力對公民個人隱私的侵權呈現出新的樣態，即侵犯了個人信息隱私權。

個人信息隱私權是指以數據等形式收集、存儲和分享個人信息時，信息主體本人因此產生的對隱私的期待。但是，隱私利益本質上具有功利性和相對性，隨著不同性質的社會群體和社會公共利益的改變而發生變化，通常國家安全遭受侵犯時，隱私利益需要讓位于國家利益和公共利益[20]。賦予偵查機關偵查權也正是基于維護公共利益的需要。然而，“一切有權力的人都容易濫用權力，這是萬古不變的一條經驗，直到遇有界限的地方才會停止”[21]。信息隱私權能夠成為大數據偵查的權力邊界，大數據偵查中，非經法律授權和法定程序不得隨意侵犯公民個人信息隱私。因此，大數據偵查中個人信息隱私權保護的關鍵在于實現偵查權與信息隱私權之間的利益平衡。既不能過分強調對信息隱私權的保護，導致偵查活動不能正常進行，也不能過分強調公共利益，放縱偵查權，甚至以維護國家利益和公共利益的名義對信息隱私權空間進行無限壓縮。

從本土化視角來看，中國大數據偵查與信息隱私權之間尚未達到動態平衡的狀態，大數據偵查總體而言處于強勢地位。因此，有必要全面審視大數據偵查中存在的信息隱私權危機，以大數據偵查的外在法律評價和內在運行規律作為劃分標準，從內外兩個層面，全面剖析因大數據偵查外部法律制度的結構性缺陷所帶來的外源性信息隱私權危機，以及其自身行動邏輯和運行規律中存在的內生性信息隱私權危機。

三、大數據偵查中的外源性信息隱私權危機

所謂外源性信息隱私權危機，是指因大數據偵查外部法律制度的結構性缺陷所帶來的信息隱私權保護困境。外源性信息隱私權危機的治理源頭主要指向大數據偵查的法律定位模糊和偵查控權的“內卷化”特征。

（一）大數據偵查法律定位模糊

大數據偵查是司法實踐中探索性的新型偵查形態，法律中尚未有明確的定位。大數據偵查與已有偵查樣態（特別是技術偵查）在權力配置方面存在層級分配不明、邊界模糊等問題。技術偵查的本質是監控。2012 年頒布的《公安機關辦理刑事案件程序規定》第255 條概括性地規定了技術偵查可以采取的偵查手段，包括記錄監控、行蹤監控、通信監控、場所監控等。但這一立法模式中，技術偵查與大數據偵查難以區分。一般認為，常用的大數據偵查手段包括數據搜索、數據碰撞、數據挖掘、數據畫像、犯罪網絡關系分析等[22]。這些大數據偵查手段與技術偵查手段存在交叉，而交叉之處是完全納入技術偵查之中并受《中華人民共和國刑事訴訟法》（以下簡稱《刑事訴訟法》）中有關技術偵查規定的規制，還是由一般偵查部門適用一般偵查程序，現行法律尚未明確。法律定位的模糊性導致大數據偵查邊界不明，大數據偵查與技術偵查容易混淆，信息隱私權保障也因此岌岌可危。

鑒于大數據偵查與技術偵查存在交叉之處，加上“大數據偵查”并非法律術語，筆者的實證研究將以技術偵查的刑事裁判文書為分析起點和主要分析樣本，以偵查手段類型的不同作為區分，通過技術偵查判決書的樣本，來研究技術偵查與大數據偵查的邊界和適用問題③。

1.大數據偵查法律定位存在的亂象

（1）現象一：同一偵查手段因內部申請部門不同適用不同審批程序

以“技術偵查”為關鍵詞檢索到的裁判文書中，在偵查手段分布方面，采取監聽手段（非大數據偵查手段）的案件共111 件，在總體案件中的占比為48.05%；采取與數據相關偵查手段的案件共120 件，在總體案件中的占比為51.95%，其中，利用手機基站或GPS 定位系統進行數據碰撞的案件為96 件，進行數據搜索的案件為15 件，進行數據挖掘的案件為9 件?？梢?，大數據偵查手段被技術偵查廣泛應用，大數據偵查與技術偵查存在交叉之處。

具體來說，以“基站信息”這一與數據相關的偵查措施手段為例：在黑龍江省哈爾濱市呼蘭區法院審理的王某某故意傷害罪案（2018 黑0111 刑初144 號）中，公訴機關提供的基站信息記錄是由刑偵部門調取，刑偵部門稱調取該信息沒有使用技術偵查手段，那么調取信息由辦案單位負責人同意即可；而在福建省朱某某詐騙罪案（2018 閩0424 刑初111 號）中，基站信息由技術偵查部門調取，則需要辦理技術偵查審批手續，即采取這一措施需要經過公安機關負責人批準。這意味著，偵查實踐中雖同樣是調取“基站信息”，但由不同偵查部門來調取則適用不同偵查程序。

（2）現象二：技術偵查吸納大數據偵查手段導致其應用超出法定的罪名范圍

以“技術偵查”為關鍵詞檢索到的裁判文書中，案件類型分布十分復雜，可以將技術偵查劃分為傳統技術偵查手段和與數據相關偵查手段。傳統技術偵查手段的應用主要為采取監聽措施，且絕大部分案件類型為毒品犯罪④，共108 件，占比為97.30%；其他案件共3 件⑤，占比為2.70%。與數據相關偵查手段的案件類型繁多，主要包括毒品犯罪案件20 件，占比為16.67%；盜竊、詐騙和搶劫等侵財類案件57件，占比為47.50%；故意殺人、故意傷害、強奸、綁架等暴力犯罪20 件，占比為16.67%；職務犯罪2 件，占比為1.66%；其他危害社會管理秩序的案件21 件，占比為17.50%。根據《刑事訴訟法》第150 條，技術偵查的案件范圍包括危害國家安全犯罪、恐怖活動犯罪、黑社會性質的組織犯罪、重大毒品犯罪或者其他嚴重危害社會的犯罪案件。從統計結果可以看出，采用傳統技術偵查手段的案件基本符合法律規定的技術偵查案件類型范圍，但在技術偵查程序之下，采用與數據相關偵查手段的案件罪名種類繁多，幾乎覆蓋《中華人民共和國刑法》（以下簡稱《刑法》）分則的各個章節，已經遠遠超出了法律規定的技術偵查適用的罪名范圍。

（3）現象三：技術偵查吸納大數據偵查后突破了重罪謙抑性的原則

所謂重罪謙抑性，是指偵查機關采取的偵查手段應當與犯罪行為的嚴重程度相稱。技術偵查作為對公民信息隱私權干預較深的偵查手段，應當僅適用于嚴重危害社會的刑事犯罪行為。刑事訴訟法在規定技術偵查適用的罪行時遵循了重罪謙抑性的原則，規定技術偵查適用于危害國家安全罪、恐怖活動犯罪、黑社會性質的組織犯罪和重大毒品犯罪四類嚴重刑事犯罪。為了彌補“列舉式”立法方式可能不周延的缺陷，該條文還設定了兜底條款，即也可以適用于“其他嚴重危害社會的犯罪案件”。因此，即使司法實踐中出現法定案件類型以外的案件需要適用技術偵查，也可以援引兜底條款的規定。這種針對不周延性的規定并不意味著技術偵查可以適用于所有犯罪案件，對于“其他嚴重危害社會的犯罪案件”，不應進行過分的擴張性解釋。即便將技術偵查適用于其他犯罪案件，該案的性質應當與條文明確列舉的案件類型在犯罪性質的嚴重程度、社會危害程度等方面具有相當性。

為了進一步確認司法實踐中適用“其他嚴重危害社會的犯罪案件”這一條款時是否保持了應有的重罪謙抑性，筆者對技術偵查適用的“其他犯罪案件”被追訴人的量刑種類和期限進行了實證分析⑥。上文提到的傳統技術偵查手段主要應用于毒品犯罪案件，屬于技術偵查的法定偵查案件范圍，不再繼續考察刑期。筆者將考察重點聚焦于在技術偵查中采取與數據相關偵查手段的案件。在檢索到的采取與數據相關偵查手段的120 個案件中，排除毒品犯罪、貪污賄賂犯罪、黑社會性質組織犯罪等技術偵查法定類型案件23 件，采取技術偵查的“其他犯罪案件”共97 件，具體如表1 所示。

表1 “其他犯罪案件”量刑種類與刑期的案件分布情況

由表1 可知，輕罪案件已經超過半數，顯然不符合技術偵查應保持的重罪謙抑性，司法實踐中技術偵查適用于輕罪的比例較大。

2.亂象背后的信息隱私權危機

產生大數據偵查適用亂象的深層原因是大數據偵查定位模糊，以及片面追求偵查權行使的便利性。由于大數據偵查沒有限定歸入某一偵查部門，任一偵查部門為了方便偵查辦案都可以取得數據。大數據偵查的出現擾亂了現有偵查強制性措施的階層體系和定位，與采用嚴格程序的技術偵查難以區分，結合偵查權本身控制要件的先天性不足，易產生信息隱私權危機。大數據偵查在司法實踐中的定位模糊可能導致三種極端情形。

（1）偵查機關“降格處理”以不屬于技術偵查措施為由，規避技術偵查實施的嚴格程序

在司法實踐中，技術偵查與大數據偵查層次體系混淆、技術偵查案件范圍不當擴張、適用案件輕刑化等都會打破技術偵查相對穩定的“法律生態系統”，為技術偵查逃避嚴格程序規制提供“正當理由”。對于本應由技術偵查的嚴格程序進行規制的案件，可能以該案屬于大數據偵查案件為由逃避審查。所以，對公民信息隱私權干預較大的技術偵查失去嚴格程序的限制[23]156-164，其偵查恣意性必然暴露，從而不受阻礙地侵犯公民的隱私權。

（2）放任大數據偵查權力無限制擴張

目前，立法層面尚未建立對大數據偵查進行程序性規制的法律制度，法律規制的缺失容易導致權力的擴張。大數據偵查依賴數據分析，對公民信息隱私權的干預程度不亞于技術偵查中的監聽和監控。特別是大數據偵查中的數據挖掘，其優點在于能夠對海量看似不相關的信息進行多次比對和分析，并發現數據背后隱藏的深層關聯關系。以常用的微博、微信、推特等社交平臺為例，許多人會在平臺發布零散的個人喜好、位置定位、照片等相關信息，人們發布相關個人信息屬于用戶的主動選擇，默認是用戶愿意主動公開的信息，不涉及隱私；而在大數據偵查語境下，這些看似平淡無奇的信息通過整合、挖掘和分析就可能變成隱私，人們很難想象公開個人定位可能會對自己的隱私乃至國家安全構成巨大威脅。美國雷神（Raytheon）公司開發了名為RIOT的快速信息疊加技術軟件，可以在全球范圍內的各個社交媒體網站篩選跟蹤某個感興趣的人，通過視覺蜘蛛網顯示相關人員與他人的互動，挖掘隱藏照片的地理編碼中的GPS 信息和其他更多信息，RIOT軟件可以將海量的零散數據整合后轉化為有用的信息，為美國所謂的國家安全需求服務[24]?；诖?，如果大數據偵查僅依照普通偵查程序進行審查，會使偵查權失去理性克制。此外，數據挖掘的決策過程不公開透明，這一過程通常被稱為“黑箱”，人們只看到數據的輸入和輸出結果，對其運算過程也一無所知[25]。這不僅侵犯公民的知情權，也會使公民的個人信息在其毫不知情的情況下受到侵犯且無從救濟。在當前數據質量瑕疵幾乎無法避免和決策過程一無所知的情況下，一旦在偵查過程中有人利用存在質量瑕疵的全數據樣本進行分析和比對，就可能導致致命性錯誤結果的出現，違背正當程序原則。

（3）偵查機關“升格處理”將大數據偵查納入技術偵查措施范疇會限制其作用的發揮

從實證分析可以發現，大部分大數據偵查手段適用于輕罪案件，特別是盜竊案，這主要基于實用主義和便利主義。這些案件大部分是陌生人之間的偶發性犯罪，被害人不了解犯罪嫌疑人的個人情況，甚至無法對其進行指認，犯罪發生后犯罪嫌疑人逃匿，被害人無法找到。使用大數據偵查的主要目的是發現并鎖定犯罪嫌疑人。如果將大數據偵查納入技術偵查范疇，大數據偵查在偶發性案件中的作用將受到限制，會突破技術偵查的現有規定，又有違法之嫌疑。

（二）偵查控權的“內卷化”

如果說大數據偵查的法律定位模糊是大數據偵查視域下信息隱私權保護難題的外在表現，那么長期科層式控制所形成的固化觀念——偵查控權理念的“內卷化”[26]，則是加劇大數據偵查信息隱私權危機的根源所在?！皟染砘备拍钭钤缬扇祟悓W家蓋爾茨提出，意在描述農業生產長期以來未曾發展，勞動生產率并未提高，只是不斷重復簡單再生產的一種社會停滯狀態?！皟染砘钡暮诵囊x是指國家——社會關系形態發展到一定階段，形成某種形式后停滯不前，有量變卻沒有質變。所謂偵查控權理念的“內卷化”，實質上是偵查舊有控權和理念的復制與精細化[27]。即指長期以來，在中國刑事訴訟體系司法制度邏輯和實踐經驗邏輯的塑造下，偵查已經形成了以“內部自律+外部（形式化）他律”為外觀形態的宏觀穩定格局，即便當前司法體制改革對偵查權不斷進行微觀調整，也并未演化成新的樣態。大數據和云計算等科學技術對偵查手段的加持，為偵查體系增添了新生元素。然而，運用“內卷化”的偵查控權理念去規制新生事物，無疑是將舊有控制模式復制在新型偵查方式之中，使大數據偵查被通約為已有偵查結構的復制品。在大數據偵查發展之初便打上了傳統偵查控制模式的烙印，將給大數據偵查中的信息隱私權保護帶來負面影響。

大數據偵查是在非接觸類犯罪案件數量激增和偵查效率亟待提高的背景下產生的，提高破案效率必然是大數據偵查的應用價值之一。然而，由于當前中國偵查權體系的犯罪控制理念優位，加上偵查的封閉性和大數據偵查過程的秘密性，使得大數據偵查呈現重犯罪控制、輕人權保障的發展傾向。在大數據偵查場域，偵查行為的決定權和執行權不受或很少受外力的約束[28]，依然延續傳統的偵查和審查模式，采用偏向行政審批的內部審查方式。更有甚者，由于大數據偵查法律定位模糊，公安機關內部對大數據偵查的審查方式并不一致，主要遵循兩種不同的審查程序：一是將大數據偵查納入技術偵查之下，適用技術偵查程序審查，《刑事訴訟法》第150 條第1 款規定，采用技術偵查應經過嚴格的審批手續。所謂“嚴格的審批手續”主要是指提高審查級別，即根據2012 年修訂的《公安機關辦理刑事案件程序規定》第256 條的規定，按照采取技術偵查措施的程序進行審批，報設區的市一級以上公安機關負責人批準。二是將大數據偵查作為普通偵查程序適用一般的審批手續，即根據《公安機關辦理刑事案件電子數據取證規則》（以下簡稱《電子數據取證規則》）第41 條規定：“公安機關向有關單位和個人調取電子數據，應當經辦案部門負責人批準?！笨梢?，兩種審查方式在審查機關級別、審查程序嚴格程度等方面均存在差異，進而導致同一種偵查手段和同一類案件，因調取證據機關不同，則審查嚴格程度不同。采用大數據偵查手段關涉公民信息隱私權的保護，每個個案背后都是各個訴訟主體之間復雜的權力（權利）博弈，“同案不同程序”勢必直接導致被追訴人權利保障的差異與不均衡，使得部分被追訴人的權利保障“被動降級”。

另外，根據《個人信息保護法》第5 章“個人信息處理者的義務”中的相關規定，當前立法已經開始關注信息處理過程中有關信息隱私權利向度的實質內容，不再是流于形式的程序性審查。據此，偵查機關在開展大數據偵查活動時，應當根據案件的性質、嚴重程度、信息的種類、對當事人權益的影響等來確定對個人信息的操作權限。針對敏感信息，評估信息處理的合法性、正當性和必要性，對個人權益的影響及安全風險，處理措施的相當性等。這一系列舉措是個人信息保護立法的重大進步。但遺憾的是，上述內容在審查程序方面，依然采用內部操作流程的方式進行，沒有超越公安機關內部自我審批和自我授權的內部科層式控制體系，缺乏有效的外部他律機制。

四、大數據偵查中的內生性信息隱私權危機

所謂內生性信息隱私權危機，是指內嵌于大數據偵查自身行動邏輯和運行規律中，無法自我消解的隱私難題。即偵查機關為發現犯罪線索、證據信息或犯罪嫌疑人，運用計算機技術對存儲于網絡與計算機系統中的海量數據進行收集、共享、清洗、比對和挖掘而產生的信息隱私權危機[29]156-180。內生性信息隱私權危機主要產生于個人信息數據處理的“開放性”和偵查要素外延的“擴張性”。

（一）個人信息數據處理的“開放性”

顧名思義，大數據偵查根植于“大數據”。大數據是以全樣本、容量大、內容豐富、存取速度快等為主要特征的數據集合體[11]130。數據信息處理是大數據偵查分析的起點和基礎，數據處理權也是偵查權的延伸?！秱€人信息保護法》頒布之前，執法實踐中普遍存在個人信息數據過度收集和濫用的現象；《個人信息保護法》的出臺能夠在一定程度上遏制這一現象的繼續擴張。但客觀而言，縱觀《個人信息保護法》中的相關法律規定，個人信息數據處理在大數據偵查領域仍然存在較大的開放空間，尚未建立起嚴密和周延的信息隱私權保護網。

1.“知情——同意”框架的例外

當前，《個人信息保護法》在立法架構方面借鑒了歐盟在《一般數據保護條例》（General Data Protection Regulation，GDPR）中確立的“知情——同意”框架（notice and consent framework）。要求信息處理者在收集用戶個人信息之前，告知用戶信息的處理狀況，用戶需要明確作出同意的意思表示，來作為對個人信息收集及利用的合法授權[30]。然而，這一要求與偵查活動的秘密封閉性相沖突。為了實現打擊犯罪和確保刑事司法活動有效運行的雙重目的，部分偵查活動需要秘密進行，對相關人員的個人信息進行收集、存儲和利用時，不僅不會事前告知，訴訟活動終結也不一定告知，“知情——同意”也就無從談起。

《個人信息保護法》考慮到可能存在的特殊情形，立法時設立了“知情——同意”條款的例外。在“同意”方面，根據第13 條第（3）項和第（7）項的規定，為履行法定職責或者法定義務所必需，法律和行政法規規定的其他情形均屬于信息處理的法定情形，這兩種情形不需要取得個人的同意。在“知情”方面，《個人信息保護法》同樣設定了例外。第18 條規定，處理一般個人信息時，有法律、行政法規規定應當保密、不需要告知的情形，信息處理者可以不向個人告知。第30 條規定，處理個人敏感信息時，依本法規定可以不向個人告知的除外。然而，按照上述規定，當前《個人信息保護法》沒有明示刑事司法屬于“知情——同意”的例外。因此，若要明確大數據偵查中處理個人信息的活動是否屬于例外情形，還需對涉及的法律法規中的特別規定進行進一步考察。

筆者通過對中國已經出臺的有關個人信息保護、刑事訴訟等內容的法律法規進行梳理發現，在保密工作方面，根據《刑事訴訟法》第54 條第3 款規定，偵查機關在處理個人信息等相關證據時，涉及國家秘密、商業秘密和個人隱私，應當保密。類似內容在2016 年最高人民法院、最高人民檢察院和公安部出臺的《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》（以下簡稱《電子數據規定》）第4 條、2019 年《電子數據取證規則》第4 條、2020 年《公安機關辦理刑事案件程序規定》第195 條中均有規定⑦。在不予告知或無需同意方面，《電子數據規定》第3 條、《電子數據取證規則》第41 條均明確規定，公安機關向有關單位和個人收集、調取電子數據，對方應當如實提供?！吨腥A人民共和國數據安全法》第35 條規定，公安機關因偵查犯罪需要調取數據，應按規定履行嚴格審批程序，有關組織和個人應當予以配合。言外之意，公安機關在偵查活動中調取數據或信息，只需依法履行相關審批手續即可，即使信息存儲在第三方數據庫，相對方亦有如實提供的義務，個人信息或數據能否調取不以當事人的主觀意愿為轉移，也無須告知或征得其同意[31]146-160。類似規定在2022 年《中華人民共和國反電信網絡詐騙法》第26 條第1 款也有出現⑧。綜上所述，《個人信息保護法》基本將大數據偵查中處理個人信息的情況排除在“知情——同意”框架之外。這一立法模式固然兼顧了偵查情境中存在的處理個人信息的特殊性，但也可能帶來相應問題，即司法實踐中偵查機關在處理個人信息時，一律以偵查秘密或履行法定職責為由，不予告知。囿于偵查活動的封閉性，個人信息數據可能在當事人不知情的情況下被比對和分析，甚至另作他用。

對此，《個人信息保護法》第51 條設立了相應的防范措施，用于防止未經授權的訪問以及個人信息泄露、篡改及丟失。其中，對個人信息實行分類管理和采取加密等安全技術措施屬于信息管理的新方式，具體如何操作還有待司法實踐進行進一步完善，但是在內部操作流程和個人信息處理權限方面已有制度實踐。目前，公安機關對公安民警處理公民個人信息的監督，主要采用數字證書權限分級和查詢記錄留痕的限權性監督方式，通過事后瀏覽查詢痕跡確定民警是否存在違規行為。2017 年《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第3 條規定，向特定人提供公民個人信息的，應當認定為《刑法》第253 條之一規定的“提供公民個人信息”。這一規定也成了公安民警任意查詢公民個人信息的一把“達摩克利斯之劍”，然而，目前實踐中，運用這一規定辦理的民警非法查詢個人信息的案件主要指向民警幫朋友或熟人查詢或查詢信息獲利等行為?，F有制度并不能有效規制民警為個人利益或私人事務查詢相關人員信息，也不能防止民警通過取得權限更高的數字證書獲取相關信息。因此，這一防范措施不足以應對大數據偵查對信息隱私的干預，信息隱私權岌岌可危，難以獲得實質性保護。所以，在刑事司法領域，立法機關還需繼續探討，將刑事偵查活動排除在“知情——同意”框架之外后，如何保護個人信息隱私權的問題。

2.個人信息收集、使用的范圍不明確

目前，《個人信息保護法》已明確，處理個人信息應當遵循合目的性原則和收集最小化原則。據此，公安機關在收集和使用個人信息時，應當具備明確和正當的目的，且不得超出履行偵查辦案等法定職責所必需的范圍與限度。但是，這一規定屬于原則性條款，內容相對寬泛，對于在執法辦案過程中具體應當如何操作尚缺乏細致的規范。個人信息收集和使用的范圍不明確，公權力在運行過程中仍然存在侵犯個人信息隱私權的風險。

在信息收集方面，以違法犯罪嫌疑人在執法辦案場所中的信息采集為例。2021 年8 月20 日通過的《個人信息保護法》對此沒有詳細規定。援引2014 年公安部出臺的《規范使用執法場所辦案區“四個一律”》（以下簡稱《“四個一律”》），違法犯罪嫌疑人進入辦案區，一律進行人身檢查和信息采集。對于信息采集的范圍，根據案件類型的不同，法律作出了不同的規定。針對刑事案件，《刑事訴訟法》第132 條規定，犯罪嫌疑人或被害人信息采集的范圍主要是人體生物信息，包括指紋信息、血液、尿液等。對于公安機關辦理的行政案件，根據《公安機關辦理行政案件程序規定》第83 條，對違法嫌疑人，可以提取或采集肖像、指紋等人體生物識別信息；對涉嫌酒后駕駛機動車、吸毒、從事恐怖活動等違法行為的，可以提取或采集血液、尿液、毛發、脫落細胞等生物樣本。無論哪類案件，進行生物信息采集都是出于執法辦案的需要。雖然法律對不同類型嫌疑人的信息采集范圍作出了區分，但是相對比較寬泛，且留有余地。司法實踐中，公安機關基于數據收集和辦案效率提升的考量，在采集生物信息時對違法犯罪嫌疑人采取無差別對待。只要違法犯罪嫌疑人進入執法辦案區內，一律進行強制采樣[23]156-164。此外，信息采集范圍的不確定性也導致采集范圍存在擴張趨勢，全國多地執法辦案中心引進手機等電子設備信息采集系統，有的地方公安機關援引公安部《“四個一律”》的規定，對于進入執法辦案區的違法犯罪嫌疑人手機在沒有采取扣押措施的情況下進行采集，有的雖然對手機等設備采取了扣押措施，但是在收集手機內與違法犯罪有關的信息時，同樣采取無差別對待原則，對手機內的全部信息一律收集匯總，造成了對個人信息的過度收集。

在信息使用方面，《個人信息保護法》沒有對公安機關可以使用的數據范圍予以限制，給偵查辦案活動預留了較大空間。目前，刑事司法運行過程中，公安機關基于偵查辦案需要使用的個人信息主要包括三類：一是網絡信息業者日常經營活動收集的信息；二是行政機關在一般社會管理活動中收集的信息；三是公安機關內部收集的數據，用于部門之間互相流通[31]154。特別是在第一類和第二類情形中，外部信息數據平臺的搭建及運用為偵查破案提供了諸多便利，同時也模糊了傳統偵查的啟動要件，即“犯罪行為發生”。公安機關甚至可以省去向相關單位出示《調取證據通知書》這一前提性環節，通過技術手段打通平臺之間的壁壘共享數據。在數據平臺上查詢任何公民的個人信息，使得任何公民可能在毫不知情的情況下，成為查詢和分析的對象?！罢块T獲取社交平臺數據就好比進入他人專屬物理空間內，儲存在平臺中的私密文件和封閉社交平臺的聊天記錄應當獲得和房屋一樣的保護?！盵32]即使為了公共利益的需要獲取該信息，也應符合正當程序要求，設定嚴格的審批流程。如歐盟《個人數據刑事司法指令》⑨明確要求，執法機關要求數據控制者提供個人數據，應當是基于個案、以書面方式進行，不能以直接接入外部數據庫的方式獲取數據。

（二）偵查要素外延的“擴張性”

偵查要素是由多個獨立的子要素建構聯結而成，包括偵查主體要素、客體要素、中介要素和目的要素四個組成部分[33]。隨著大數據偵查的出現，相較于傳統偵查，偵查主體要素和中介要素出現了邊界擴張的傾向。

1.偵查主體要素擴張

偵查主體要素是偵查活動的發動者，主要指偵查機關和偵查人員。隨著科技的發展，犯罪手段不斷升級，網絡犯罪案件層出不窮，單單依靠偵查人員的個人能力和偵查機關的自身技術已經應對不暇，常態化偵查治理手段逐漸失靈。多地公安機關積極探索“互聯網+公安”的新型智慧警務模式，這一模式主要表現為以新一代信息技術為支撐，以公安信息化為核心，通過互聯化、物聯化和智能化的方式，促進公安系統各個功能模塊集成和協調運作[34]。建設新型智慧警務模式時，各地公安機關通常選擇與技術型、平臺型網絡運營者開展警企合作。例如：2015 年，深圳市公安局與騰訊公司就“互聯網+警務”等方面簽署戰略合作框架協議[35]；2018 年，重慶市公安局與紫光、華為、科大訊飛等企業簽署戰略合作協議[36]。

綜上可知，公安機關在選擇偵查模式方面不再固守傳統的一元公力警務模式，而是采用公私合作的多元化新型警務模式。其他公私單位參與辦案也不再僅僅是配合公安機關就某一單個事項調取證據這一種方式，而是可以參與偵查的全過程。2017 年出臺的《中華人民共和國網絡安全法》明確了公私合作的警務模式，即網絡運營者應當協助偵查并提供技術支持⑩。然而，該法僅對此作出原則性規定，如何界定關于協助偵查時網絡運營者的法律定位、參與方式和參與程度等則語焉不詳。根據司法實踐經驗，公安機關與網絡運營者的合作模式樣態主要包括兩種：一是網絡運營者派員常駐公安機關，確保隨時開展大數據偵查辦案輔助；二是就某一個案的偵查活動開展深度合作。

多元化公私合作警務模式的產生基于公共部門和網絡運營者共同治理網絡犯罪的外在需求與內在動力[37]。但是，犯罪偵查不同于一般意義上的認識活動，屬于探索性認識活動，這種認識活動蘊含著主動性、擴張性和不穩定性等特征，“一旦缺少必要的約束，偵查權的運行便可能為了達到破案之目的而脫離法治的軌道，肆意擴張”[38]。網絡運營者的工作人員大多是技術人員，并非國家工作人員，沒有接受過正規法律專業素質和保密意識的培訓。如果網絡運營者及其工作人員將偵查過程中犯罪嫌疑人、被害人或其親友的信息泄漏或另作他用，這將對相對人的隱私權等造成不可恢復的損害。公私合作警務模式雖然實現了對常規偵查手段失靈的有效補位，但是也給當事人帶來了權利危機。因此，偵查主體要素的擴張過程，不僅要關注網絡犯罪治理的現實需要，更要強調公安部門與網絡運營者在相互合作過程中的關系重塑[39]。從權利保護的視角對其他參與主體的參與活動進行全面審視，從立法上根本解決其他主體參與偵查活動無授權、授權不明或監督不足等問題。

2.偵查中介要素擴張

偵查中介要素是偵查主體查明案件事實所采用的偵查方式的集合。根據《刑事訴訟法》第2 編第2 章偵查之規定，偵查方式主要包括訊問、詢問、勘驗、檢查、搜查、查封、扣押、鑒定、技術偵查等。這些方式都以案件已經發生為邏輯起點，開展回溯性偵查。然而，技術的發展帶來了偵查邏輯起點的改變，當前偵查權力已經超越了傳統回溯性偵查的功能邊界，進入犯罪預測的領域。

犯罪預測主要針對未來可能發生的犯罪活動，依照相關性法則，通過建立數據模型的方式進行預測。目前，域內外司法實踐中都有開發和使用犯罪預測的應用軟件，如 COMPSTAT 和PredPol 等。犯罪預測涵蓋整體犯罪趨勢預測和個案發展方向預測兩方面。相比較而言，對公民信息隱私權影響較為深刻的是個案預測。個案預測突破了刑事訴訟法中偵查的既定內涵，將偵查外延從已經發生的犯罪行為擴展至可能正在發生或尚未發生的犯罪行為。雖有利于及時監控或阻止違法犯罪活動的發生，但這一行為突破了刑事訴訟法規定的偵查發動條件——有犯罪行為發生，不僅導致偵查權的過早介入，也侵犯了公法意義上的信息隱私權。公法意義上的信息隱私權不同于私法中的信息隱私權，具有相對性，受他人利益和公共利益的雙重限制[40]。

個案預測基于犯罪行為發生的可能性，犯罪行為尚未發生，公共利益或他人利益不存在任何損益，相對人讓渡個人信息隱私權的前提條件并不存在。即使具有損害公共利益的可能性，也并不意味著所有的個人信息隱私利益都要讓位于公共利益，只有損害的公共利益重大到一定程度時，才能在一個相對范圍內使公民個人信息隱私利益作出讓步。因此，如果犯罪預測不增設任何適用范圍等附加條件，適用于所有人，必將會造成全民大數據監控，公民的信息隱私也會被一覽無余。此外，囿于犯罪預測技術的有限性、基礎信息可靠性等因素，并非每次預測都可以達到百分之百的準確，預測結果具有高度或然性。因此犯罪預測作用僅適用于特定監管等領域，不宜擴大范圍應用于所有偵查活動，如中國證監會通過建立監管大數據平臺，輔助監管人員及時發現市場主體涉嫌內幕交易和市場操作等違規違法行為，公安機關加強對暗網中的數據違法交易活動進行監管[41]。

五、中國大數據偵查中信息隱私權保護進路之構想

大數據偵查對信息隱私權的干預遠遠超過傳統偵查，若要使大數據偵查步入犯罪控制與隱私保障動態平衡的正軌，去“內卷化”是當前亟須反思的重要問題。明確將大數據偵查定位為一種新的偵查形式，洞悉公民權利干預才是偵查權的本質特征，規范偵查權不應僅從權力行使的外觀或形式角度展開，還應當將規制偵查權的基本視角從規范密度和規范工具的出發點回歸到權利干預強度[29]156-180，從而實現審查程序的訴訟化改造，借鑒域外之經驗，構建中國本土化的信息隱私權評價標準和授權標準，完善監督機制。

（一）確立大數據偵查的法律定位和規制程序

1.明確法律定位，建立遞進式實質審查標準

《刑事訴訟法》應當將大數據偵查作為一種新型偵查措施，明確大數據偵查是區別于普通偵查和技術偵查的新型偵查措施，鑒于技術偵查與大數據偵查措施交錯融合的關系，可以將二者合稱為數據偵查或信息偵查。由于這種偵查方式已經突破了傳統偵查中“犯罪行為發生”的程序啟動條件，偵查審查程序也可以更加靈活，變“節點性審查”為“過程性審查”，遵循比例原則的要求，建立遞進式的實質審查標準。即根據不同的信息、不同的對象和不同的偵查行為確立不同的審查程序、證明標準和令狀。借鑒域外的立法經驗，實施搜查和扣押必須先申請搜查令和扣押令，而且警察必須對此提供“相當理由”（probable cause），即“警察將要搜查的地方或場所極有可能藏有犯罪證據、警察將要逮捕的嫌疑人的確已實施了犯罪、將要扣押的物品極有可能就是犯罪證據”[42]。而調取其他信息則只需要法院令即可，其證明標準也降低為“合理懷疑”（reasonable suspicion）。如果將這兩個證明標準進行數據量化，“相當理由”標準需要達到50%的可能性，而“合理懷疑”標準則只需要達到20%～30%的可能性[43]。因此，在中國刑事訴訟程序中，可以將數據偵查（或稱信息偵查）與普通偵查措施進行區分，針對運用數據技術進行偵查的案件，設立比普通偵查措施更嚴格的審批標準和證明標準，簽發區別于普通偵查措施的令狀，并根據案件的不同嚴重程度，確定不同的偵查措施、偵查范圍和偵查期限。此外，還應設立緊急情況下的例外情形，如果偵查人員不立即獲取該數據或者不立即展開大數據偵查可能造成證據滅失的，應當允許在沒有獲取令狀的情況下進行緊急搜查，事后提供辦案經過的情況說明，補充申請相關令狀。

2.實現規制程序的訴訟化改造

建立程序性信息隱私權保護的重點在于啟動大數據偵查的訴訟化改造，建立具有控辯審三方的審查構造，即引入中立的裁判主體對大數據偵查的啟動和運用進行審查，賦予被侵害人救濟權。

目前，中國偵查的啟動，包括技術偵查啟動和個人信息的安全審查，依然采用辦案機關內部行政審批的方式，若要建立專門的偵查法官或預審法官司法審查制度，需要從整體層面對訴訟結構進行調整，因而短期內很難實現。從檢察機關的角度來看，《刑事訴訟法》第8 條規定，人民檢察院依法行使法律監督職能，特別是檢察機關職務犯罪自偵職能轉變后，可以在保持中立的前提下更好地發揮法律監督職能。2020 年1 月17—18 日召開的中央政法工作會議中，郭聲琨在發言中指出：“積極推進在市、縣公安機關執法辦案管理中心派駐檢察機制改革，著力構建一站式、全要素和即時性的執法監督管理新模式?！盵44]派駐公安機關檢察機制旨在優化檢警協作和強化偵查監督，發揮檢察官對審前程序的主導作用。目前，派駐檢察室的主要職能是從批捕和起訴的角度對偵查方向和證據標準提出合理化建議，進而引導偵查。這種偵查監督模式主要從案件實體層面展開，且缺乏剛性，如果建議不被公安機關采納，檢察機關就沒有權力采取進一步的有力舉措[45]。因此，筆者認為，為了更好地引導偵查和規范證據提取與使用，可以適當將派駐檢察室的偵查監督職能作進一步延伸，在程序層面賦予其部分偵查事項的審查或審批職能。例如，偵查機關在采取大數據偵查等深刻影響公民基本權利的偵查措施時，同級檢察機關的派駐檢察官可以審查的方式進行偵查監督。即辦案機關采取大數據偵查措施時，應當經過檢察機關的批準，對辦案機關提出的大數據偵查請求不僅進行真實性、完整性和合法性審查，還要圍繞被追訴人的權利保護進行全面性審查，對于偵查主體擴張和行為擴張的情形應當進行重點審查。

特別是在偵查目的層面，大數據偵查應當嚴格遵循當前《個人信息保護法》確立的目的正當性原則。大數據偵查只能用于案件的偵查、起訴和審判，不能用于其他私人目的等[46]。由于偵查目的正當性這一要件事實的司法證明難度較大，可以運用替代司法證明的方法，即推定規則，設立一系列客觀的基礎事實。只要能夠證明基礎事實成立，就可以推出正當目的這一要件事實，這樣不僅可以降低證明難度，還有利于進行司法實踐操作。審查大數據偵查目的的正當性，可以通過審查以下基礎事實來實現：一是大數據偵查過程是否違反憲法、法律或其他規范性文件；二是偵查的數據范圍是否與案件有實質性聯系，是否存在擴大偵查范圍、收集不相關數據的情形；三是大數據偵查是否具有必要性，如果采取其他措施可以實現偵查目的，就不應該采取大數據偵查措施[47]。是否與犯罪的社會危害性程度和嚴重性程度相匹配，對于違反事前審查令狀規則和侵犯公民信息隱私的大數據偵查活動應當進行程序性制裁，并將其收集的侵犯信息隱私的證據予以排除，以否認其證據能力和證明力。

3.確立對其他偵查參與主體的分級授權和過程性監督制度

當前，在案多人少矛盾日益突出的現實背景之下，警務改革順應時代潮流，發展公私合作的智慧警務模式，將部分警務活動交由更加專業的網絡運營者執行是一種積極有益的嘗試?；谥腔劬瘎栈顒?，特別是大數據偵查對于公民信息隱私的深刻干預，公安機關在積極參與的同時，也要完成職責與角色的轉變，從原來的執行者轉變為決策者和監督者，并建立對其他偵查參與主體的分級授權和過程性監督制度。

包括網絡運營者在內的私主體參與偵查活動，政府予以規制主要基于“國家擔保責任”?！皣业膿Ｘ熑我馕吨环N官與民的合作。國家通過大致的條件設定以及相關結構性的要求而影響私人，促使與公共福祉有關的目標能夠得到落實，但國家并不親自實施?！盵48]因此，公安機關在刑事案件中引入其他偵查參與主體時，可以設立分級授權制度，根據案件的性質決定是否引入其他私主體，根據案件中涉及信息隱私的程度對其他私主體的參與程度進行不同級別的授權，私主體只能在公安機關的授權范圍內參與案件的相關偵查活動。未經授權擅自對案件相關線索和信息進行深入挖掘，造成嚴重后果的，應當承擔相應的責任。

此外，公安機關應當對私主體采取過程性監督。所謂過程性監督，是指針對私主體參與偵查活動采取的事前、事中和事后的監督方式。一是在選擇合作的網絡運營者時，應把好準入關口。審查相關企業的資質和與相關偵查活動的契合程度等，審查企業派出人員的個人情況，如有無違法犯罪記錄、直系親屬或旁系三代血親有無服刑情況、有無相關技能的執業資格等。二是在辦案過程中隨時進行監督。網絡犯罪案件往往與公民信息隱私權密切相關，公安機關在辦案過程中應當隨時審查企業派出人員是否存在違法違規行為，對容易出現問題的重點環節進行嚴格和高頻監督。三是賦予當事人獲得救濟的權利。在辦案過程中，因派出人員操作不當造成的權利損害，辦案機關應當承擔賠償責任，當事人可以通過國家賠償等渠道尋求救濟，對派出人員的相關違法行為進行另案處理。

（二）建立實質性信息隱私權保護衡量標準

當前，基于大數據偵查帶來的可觀破案效益，現行法律沒有對偵查權向個人信息隱私權的侵蝕給予過多限制。為了更好地實現權利保障，針對大數據偵查設立程序性法律條款時也要轉變立法理念，關注實質性權利保障。對“知情——同意”框架不能“一刀切”地予以排除，可以根據個案情形采取“告知——延后告知——不告知”的制度方案[31]153。此外，還應結合《個人信息保護法》中有關個人信息保護影響評估的相關規定，確立大數據偵查措施的審查重點，如該措施是否具有采取的必要性，手段與案件嚴重程度是否相匹配，采取措施的過程中是否侵犯相對人的信息隱私權利，等等。

在程序性立法改變的基礎之上，信息隱私權的邊界隨著社會和科技的進步不斷發生變化，信息隱私涉及的利益范圍也在不斷擴大，應進一步建立具有靈活性的實質性信息隱私權保護衡量標準。美國從Katz v.United States 案?開始確立“隱私合理期待”標準，該標準主要包括主觀和客觀兩個要件，在主觀方面主要探尋被警察實施搜查和扣押行為的公民對被搜查、扣押的物品、空間、信息等是否具有主觀的隱私期待。如果當事人具有主觀隱私期待，則要在客觀方面判斷社會公眾是否認為這一隱私期待具有合理性[49]。為了進一步劃分隱私邊界，美國聯邦最高法院在Katz v.United States 案中提出公共暴露理論，該理論認為“如果個人明知自己會暴露于公眾，即使在自己家或辦公室中，也不受《美國聯邦憲法第四修正案》的保護”。之后，美國聯邦最高法院在Miller v.United States 案?中提出了第三方理論。所謂第三方理論，是指如果公民將自己的隱私自愿泄露給第三方，則對自愿泄漏的隱私信息來說，公民不再有合理的隱私期待，公民的信息隱私也不能受到《美國聯邦憲法第四修正案》的保護[50]。隨著數據時代的發展，第三方理論也受到了質疑，在2018 年Carpenter v.United States 案?中，美國聯邦最高法院提出了第三方理論的例外，即手機信息不是普通的分享型信息，手機信號基站會記錄一個人的所有與手機相關的活動，即使相對人明知也無法避免，偵查機關通過手機定位信息可以實現對相對人的全方位監控，因此，相對人對手機定位信息具有信息隱私合理期待。隨著數據時代的發展，“隱私合理期待”標準仍在不斷產生新的爭議。在美國，99%的汽車都配備事件數據記錄器（EDR），通常安裝在駕駛座的地墊下面，用于測量車速、剎車、加速度、角動量等信息。車輛日常行駛記錄一般不會永久存儲，當車輛發生事故時，記錄器會在事故發生前的5 秒開始永久保存數據。執法機關可以根據這些數據記錄重現事故發生過程。然而，關于記錄器數據的下載是否受《美國聯邦憲法第四修正案》的制約，美國各州法院之間也存在爭議。根據不同的認定標準：有的法院認為，根據第三方當事人原則，在公共場合開車，任何人都可以觀察到車輛的行駛狀況、剎車和速度，記錄器只是記錄下當事人明知暴露給公眾的信息，當事人對此沒有合理的信息隱私期待；有的法院則認為，記錄器記錄的數據沒有向公眾公開，且提取數據需要進入到汽車內部，應當受《美國聯邦憲法第四修正案》保護[51]。通過美國“隱私合理期待”標準的發展路徑可以看出，“隱私合理期待”標準隨著新事物的產生一直被不斷修正。目前，在判斷與科技相關的偵查手段是否侵犯公民信息隱私權時，中國尚未建立相關衡量標準，盡管中國與美國的制度背景截然不同，但是美國的部分做法仍然值得參考。因此，在建立中國本土化實質信息隱私權衡量標準時，可以在借鑒與批判的基礎之上進行有益嘗試。

第一，引入比例原則。判斷一項偵查措施是否侵犯信息隱私權時，可以引入比例原則，按照比例原則的位階順序進行全階適用。一是判定偵查機關采用大數據偵查的目的，此處所說的“目的”應當是明確、具體和特定的具有正當性的目的，而非泛泛所指；二是審查偵查機關采取的大數據偵查手段是否有助于目的的實現，是否是在窮盡所有手段之后的最優選擇以及對公民信息隱私權侵害是否最小，采取這一手段帶來的公共利益與對公民信息隱私權利的傷害是否成比例。按照這一順序逐一展開研判，中間任何一個環節出現問題，則可能存在侵犯信息隱私的風險。

第二，對數據信息作出區分。網絡犯罪公約委員會（Cybercrime Convention Committee）在2015 年5 月的調查報告中將數據信息概括為三類：注冊人信息（subscriber information）、交互信息（traffic data）和內容信息（content data）?。注冊人信息包括姓名、地址、電話號碼、賬單、服務協議、電子郵件等。交互信息包括信息來源方、接收方，交互活動日期、時長及時間，交互類型、工具以及工具所在地[52]。內容信息則是雙方溝通交流的實質內容。實質上，注冊人信息和交互信息是信息的信息，也有學者稱之為元數據[53]。一般情況下，對于當事人自愿交付的信息可以參照第三方理論，認定不再具有合理信息隱私期待。隨著信息時代的深入發展，這一標準也要區分不同情形：第一種情形，對于公民自愿交出的注冊人信息和交互信息等元數據信息，由于經過大數據分析挖掘可能帶來信息隱私危機，因此，不能一概而論認為其不具有信息隱私期待，應當具體問題具體分析。例如，在上文提及的Carpenter v.United States案中，美國聯邦最高法院認為，鑒于基站位置信息的特殊性，個人隱私掌握在第三方手里并不意味著能夠自動阻卻《美國聯邦憲法第四修正案》對公民的保護，公民對全程的個人行蹤具有合理的隱私期待。127 天的位置信息，結合其他信息足以描述個人的特定活動，還會涉及個人的家庭、政治、專業、宗教、性別等相關隱私信息。收集的地理位置信息不是有限的，而是詳細的，不符合第三方原則的提前知情和自愿公開性。因此，公民對手機基站信息享有信息隱私期待，只有在合理懷疑并申請搜查令的情況下才能獲取。第二種情形，對于公民自愿交給偵查機關的內容信息，一般認定為不具有信息隱私期待，偵查機關可以運用該信息開展相關偵查活動；但是對于公民授權給第三方機構或者第三方數據庫使用的信息，授權時一般基于特定目的，偵查機關為了破案等刑事司法需要調取、使用該數據違背了當事人授權時的意思表示，超出了個人的最初授權，偵查機關如果直接使用該數據可能會對相對人的權利造成侵犯。對此，對于當事人交付給第三方的數據，立法機關可以通過增設程序性授權，使偵查機關基于破案需要時可以在授權的基礎上調取使用該數據，進而實現偵查破案與信息隱私保護的雙贏。

六、結語

大數據技術的發展給大數據偵查的應用帶來了新的機遇，大數據偵查成為數據時代破解偵查治理難題的必要手段，是現階段順應偵查發展規律的必然選擇，符合當今時代發展的演進邏輯和基本趨勢。然而，大數據偵查的自生規律具有恣意性和擴張性，已經突破了傳統刑事偵查法律體系，導致部分法律規制功能暫時性失靈。當前，刑事司法領域的信息隱私權保護規則尚未完全建立，極易造成大數據偵查失控并且演變成另外一種風險，給公民信息隱私帶來較大危機。因此，大數據偵查中信息隱私權危機的化解路徑應當回歸“權利”本身，無論是制度建立還是實踐運行，都既要合理規制偵查權，又要關注當事人的合法權利，建立實質性的隱私權保護衡量標準，進而在大數據時代實現偵查權與信息隱私權之間動態平衡的良性互動，實現數據法治的美好愿景。

注釋：

①王燃在《大數據偵查》一書中首次提出“大數據偵查”這一概念。參見：參考文獻[22]，第12頁。

②“隱私權”概念源自美國法，隨著互聯網信息時代的到來，其概念內涵在司法判例和學理討論中不斷得到豐富和發展，由最初的個人獨處權利發展為以自治性隱私權、物理性隱私權和信息隱私權為核心的新型隱私權體系。其中，信息隱私權是美國法在隱私權立法背景下對個人信息權利的一種統合表達。當前，中國法雖然借鑒了美國法中有關“隱私”的概念，但是對個人信息沒有直接采用“信息隱私”的統合說法，而是將個人信息與隱私作了區分。因此，筆者在中國法背景下使用“信息隱私權”概念，其內涵與美國法上有所不同，特指同時構成隱私的個人信息，有關新型隱私權體系的內容借鑒了相關學者的研究。參見：項焱和陳曦的《大數據時代美國信息隱私權客體之革新——以憲法判例為考察對象》，載于《河北法學》，2019 年第11 期，第49—61頁。

③研究樣本來源于在無訟案例網（www.itslaw.com）上以“技術偵查”為關鍵詞進行檢索所得，提取了2019 年度相關一審刑事裁判文書252 份。經逐一篩查，排除21 份與“技術偵查”不相關的判決書（主要為公安機關辯稱沒有采取技術偵查措施和沒有說明采取何種偵查手段的案件），共獲得與“技術偵查”相關的一審刑事判決書231 份。

④此處毒品犯罪案件包括走私、販賣、運輸、制造毒品罪，容留他人吸毒罪和非法持有毒品罪。

⑤包括貪污罪、協助組織賣淫罪和尋釁滋事罪。

⑥此處共同犯罪案件只統計每個案件的最高刑期。

⑦2016 年《電子數據規定》第4 條規定：“電子數據涉及國家秘密、商業秘密、個人隱私的，應當保密?！?019 年《電子數據取證規則》第4 條規定：“公安機關電子數據取證涉及國家秘密、警務工作秘密、商業秘密、個人隱私的，應當保密；對于獲取的材料與案件無關的，應當及時退還或者銷毀?！?020 年《公安機關辦理刑事案件程序規定》第195 條規定：“公安機關偵查犯罪，涉及國家秘密、商業秘密、個人隱私的，應當保密?！?/p>

⑧2022 年《中華人民共和國反電信網絡詐騙法》第26 條第1 款規定：“公安機關辦理電信網絡詐騙案件依法調取證據的，互聯網服務提供者應當及時提供技術支持和協助?！?/p>

⑨Directive（EU）2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA。

⑩《中華人民共和國網絡安全法》第28 條規定：“網絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助?！?/p>

?參見：Katz v.United States, 389 U.S.347（1967）。

?參見：Miller v.United States, 425 U.S.435（1976）。

?參見：Carpenter v.U.S.138 S.Ct.2206（2018）。

?參見：Cybercrime Convention Committee（T-CY），Criminal Justice Access to Data in the Cloud: Challenges，at 7-9，Issued 26 May 2015。