大數據偵查中的個人信息保護紓困

陳月迷

（衢州市公安局 法制支隊，浙江 衢州 322000）

一、問題的提出

信息技術革命席卷全球，互聯網、大數據、信息技術將整個世界的底層邏輯重塑，社會結構和形態正在發生不可逆轉的改變。在刑事領域，信息技術滋養了新的犯罪形態，并衍生出數字犯罪、網絡犯罪等新型犯罪，而上述犯罪形態正以飛速發展的態勢登堂入室。2018—2022 年利用網絡實施犯罪被起訴人數達71.9 萬人，年均上升43.3%，其中2022 年幫助信息網絡犯罪活動罪被起訴人數躍居第三，可見利用新技術、新業態的犯罪已占據重要位置，倒逼偵查方式的迭代升級。[1]習近平總書記在2019 年全國公安工作會議上強調應將“大數據作為推動公安工作創新發展的大引擎”。[2]可見，大數據與傳統偵查工作的契合度日漸攀升。

大數據偵查，即偵查機關采取的以大數據技術為核心的偵查行為，以大數據反哺偵查，跨越與新型犯罪的“代差”已成為勢不可擋的發展態勢。[3]與智能化、隱蔽化、無接觸式的新型犯罪博弈對偵查機關汲取數據信息的能力提出了更高要求，使其不得不仰賴于大數據偵查，以突破傳統偵查模式信息獲取的藩籬，更好維護社會穩定和公民人身財產安全。大數據偵查雖然能高效全面地獲取數據信息，但是個人信息隱私危機亦隨之凸顯。利用物聯網、云計算等數字技術的大數據偵查建立全景式、全覆蓋、全時域的數據獲取網絡，正對個人私域進行全方位的滲透。遺憾的是，當數字技術為偵查進行“數字賦能”的同時，法律上“技術賦權”卻并未相應跟進，二者不對稱性放大了大數據技術對公民個人信息權的蠶食，大數據偵查背景下公民個人信息保護亟待解決。本文立足大數據偵查的必要性，分析大數據偵查背景下個人信息保護的適用困境，進而構建個人信息保護的頂層進路、監督進路和救濟進路，以期對大數據偵查中的個人信息保護有所裨益。

二、大數據偵查中個人信息保護的必要性

盡管大數據偵查在數據收集、挖掘、分析的過程中不可避免地會對個人信息造成威脅，但絕對禁止有因噎廢食之嫌，面對居高不下的網絡犯罪、新型犯罪，大數據偵查必不可少。然而，推動大數據偵查并不意味著默許其對個人信息的侵犯，兩者如何有效兼容是當前值得考量的時代命題。

（一）大數據時代個人信息價值膨脹

羅斯科?龐德認為法律體系建立的目的是保護不同的利益，換言之，個人信息值得保護的原因是其內蘊之利益。[4]個人信息自其誕生伊始，便是內置財產屬性的人格權，具有人格權和財產權的雙重價值。[5]

個人信息包含姓名、性別、年齡等標識自然人特征的內容，天然具有人格權的表征。特別是在大數據時代，通過個人信息的累積，可以溯回行動軌跡、復原生活環境、勾勒性格特征。質言之，在數字時代里，個人信息數據就是自然人的另一個“人格”，其彰顯之自由與尊嚴應得到保護。同時，個人信息又帶有強烈的財產屬性。盡管當前對于“個人信息財產化”的理論仍存爭議，但個人信息具有商業價值已得到廣泛承認。在大數據時代，個人信息的商業利用場景較為多元，以網絡購物為例，網購平臺通過收集個人購買記錄、瀏覽網頁內容等信息，為用戶精準推送商品，以達到刺激消費、提高銷量的目的。簡言之，大數據的利用使得個人信息的雙重屬性被進一步放大，在擁有更為龐大高效的數據收集和處理技術后，個人信息的價值正呈幾何式爆炸增長。

（二）大數據時代偵查權擴張

以算法為基座，以數據庫、物聯網等技術為脈絡，大數據時代偵查權正在時間、空間、客體三個維度實現全面擴張。

1.偵查權的啟動時間向前端擴張。傳統偵查模式中偵查具有回溯性，即在犯罪事實發生后，偵查人員通過現場勘查、訊問犯罪嫌疑人等方式來進行時間回溯，從而探究既有事實的重現。然而在大數據時代，偵查權則從傳統的回溯型向預測型過渡，即利用算法在海量數據中進行數據挖掘，并進行分析研判，從中剖析犯罪規律，以期對尚未發生的犯罪進行預警，這反映出偵查權在時間上的隱性擴張。

2.偵查權的空間范圍向脫域化擴張。傳統偵查模式通常由于地理位置所限，僅在特定的空間范圍內進行，如偵查行為往往聚焦于犯罪行為發生地，具有明顯的地域化特征。但在大數據時代，數據流動的脫域性為偵查權的脫域性背書，而網絡犯罪，尤其是電信網絡詐騙犯罪帶有的濃厚脫域性特征亦加速推進偵查權的去地域化。職是之故，大數據時代下偵查權已突破傳統的地域限制，呈現出物理空間與網絡空間的雙重脫域性。

3.偵查對象向不特定人擴張。傳統偵查模式的“個案化”要求是控制偵查權擴張的閥門，偵查權的適用對象是特定的，僅對有犯罪嫌疑的特定對象及該對象的相關人員進行。[6]然而，物聯網以“萬物互聯”為核心，數據庫的獨特價值即是對不特定主體的海量信息進行收集儲存分析，故而大數據時代的偵查權背后的算法核心和技術支撐決定了其必然呈彌散化發展，由僅對特定主體進行的“閉合式”偵查轉向對不特定主體進行的“開放式”偵查。這也符合了預測型偵查的要求，通過主動對數據庫的不特定數據進行篩查分析，實現對犯罪的提前預測。

（三）大數據偵查侵犯個人信息的場景復雜

與傳統偵查受制于時域性與地域性不同，大數據偵查因其獨特的數字化、信息化技術呈現出全時段、脫域性的特征，其侵犯個人信息的場景也日趨復雜，主要表現在數據收集、數據挖掘和數據共享三個方面。

1.數據收集呈現全景式、全時段監控的特征。利用大數據進行數據分析和挖掘的前提是有充足的數據庫。在信息時代，每個自然人在網絡上瀏覽、發布信息都會留痕，這種數字留痕為數據庫的儲備提供了必要的技術基礎。為獲得全面準確的數據信息，公安機關除了向擁有數據信息的第三方調取以外，常見的模式還有構建警企合作平臺，如廈門市公安局與阿里巴巴共同研發了“錢盾”反詐 APP[7]，內江市公安局與中國電信四川公司合作，借助魔鏡慧眼平臺開展鐵路安全防控[8]等。這些第三方平臺收集的數據涵蓋金融、交通、通信等各個領域，偵查機關通過與第三方平臺合作，實際上搭建起全景式、全時段的數據監控網絡，在萬物互聯的信息時代，自然人的一切行為幾乎都被監控網絡實時收集、存儲，成為后續數據挖掘分析的來源，擴大了作為自然人的個體和“數字利維坦”之間的鴻溝。[9]

2.數據挖掘將原本碎片化的信息拼湊出完整的“數據畫像”。大數據的優勢絕非僅僅依賴數據收集形成海量數據庫，而是通過數據挖掘技術，將原本碎片化、孤島式的信息進行整合聯系，從而生成隱含在碎片數據“亂流”之下的深層信息。如在美國Maynard 案中，法官提出了“馬賽克理論”（mosaic theory），馬賽克理論將數據收集看作整體，盡管單個的碎片化信息并未侵犯個人隱私，但通過數據挖掘技術整合碎片化信息，能夠進行“數字畫像”，最終還原自然人的生活全貌，這是對公民信息的侵犯且更為隱蔽。[10]在傳統的偵查中，偵查人員在公民住所進行搜查、詢問等都是公民“期待”之內的，然而數據挖掘利用不可見的數字技術，挖掘出更為底層隱秘的私人信息，這已經超出了公民的“合理期待”，造成對公民個人信息權的侵犯。如美國Jones 案中，法院認為偵查過程中持續 28 天的GPS 行車監控侵犯了公民的個人信息權。在Carpenter 案中，法院進一步闡釋，7 天的手機定位監控侵犯了個人對隱私的合理期待。簡言之，公民在日常生活中的公開行為會因為數據挖掘技術連點成線。挖掘公民日常行為之下的深層隱私極易誘發公民對個人信息保護的不安全感和失控感。

3.粗放式的數據共享加劇信息泄露風險。為提高偵查工作效率，打擊違法犯罪，打破“數據孤島”，提高數據共享水平已經成為大勢所趨。然而，當前粗放式的數據共享模式由于缺乏法律規制、共享機制不完善、數據安全技術不過關，無形中增加了個人信息泄露的風險。第一，公安機關內部的數據共享架構不完善。當前，“向數據要警力”已成為共識，各地均在努力實現由“汗水警務”向“智慧警務”的蛻變，推出一體化數據共享平臺。如目前新警翼智能信息系統通過輸入重點人口身份證即可查詢其行動軌跡、旅館入住情況等信息。[11]誠然，一體化數據共享平臺對打破數據壁壘、提高偵查能力實有裨益，但同時由于數據管理不夠嚴格，偵查人員通過平臺獲取個人信息的門檻較低，在“數字賦能”的同時帶來“技術侵權”的隱患。如某派出所民警利用他人數字證書查詢公安系統內公民個人信息 3670余條，并出售獲利。[12]第二，公安機關和其他政府部門的數據共享機制尚有罅漏。在大共享背景下，公安機關與其他政府部門展開合作的案例越來越多。特別基層為實現惠民便民目的，二者共同搭建數據共享平臺，實現數據融合。如某市將政府信息平臺與公安相結合，對水電、醫療、民政等58 類近億條數據進行共享。[13]但這種共享多是地方性協議，缺乏統一的監督管理，很難保證數據安全。第三，公安機關和企業的數據共享機制尚顯粗放。大數據背景下偵查機關與企業合作的重要性不言而喻，通過與互聯網龍頭企業構建數據共享合作機制，能快速推進公安機關偵查工作，對隱蔽性高、技術含量高的新型犯罪偵破有著特殊作用。然而，偵查機關與企業的數據共享尚無統一的法律規范引導，偵查機關與企業數據共享的范圍、審查機制、共享后的數據處理在實踐中也較為粗放，使得偵查權的“數據賦能”和實踐中個人信息的保護天平再一次傾斜。

三、大數據偵查中個人信息保護的適用困境

大數據時代加強個人信息保護、規范偵查程序之呼聲比較強烈，但在實踐中仍然存在法律規范缺位、監督及救濟機制不完善的問題。

（一）大數據偵查中個人信息保護法律規范缺位

個人信息保護是一個宏觀的、整體性的問題，亟需橫跨多個部門法的法律原則進行調整，但刑事偵查權因其具有的強制性和打擊犯罪的需要，在個人信息保護領域又需要設立不同的邏輯建構，予以特殊規制。[14]然而，縱觀當前法律體系，能夠適用于大數據偵查中的個人信息保護的法律條款較為陳舊，不甚明晰。

首先，在刑事領域，《中華人民共和國刑法》（以下簡稱《刑法》）規定的侵犯公民個人信息罪的入罪行為方式僅限于出售或非法提供，涵蓋范圍顯然大大滯后于實際需要。在大數據背景下，偵查行為侵犯公民個人信息的節點前移，若僅僅規制出售和非法提供個人信息的行為，則更為普遍的數據收集、數據挖掘行為反而跳脫規制之外，恐陷入掛一漏萬之泥淖，未能從根本上約束大數據偵查的擴張。另外《中華人民共和國刑事訴訟法》（以下簡稱《刑事訴訟法》）有關偵查行為中個人信息保護的條款有“陳舊”“模糊”之局限，殊未盡善。一方面，法律條款的內容陳舊，并未將大數據背景預設在內。其條款用語均為“保密”，如第54 條規定涉及個人隱私的證據應當予以保密，第152 條規定在采取技術偵查措施過程中知悉的個人隱私應予保密。顯見與《刑法》一致均是在“出口”處進行設卡，要求偵查人員不得將個人信息予以泄露，但對信息收集、處理、分析的上游行為則并未有規制。另一方面，規定較為模糊，并未有明晰的程序規范予以規制。如第52 條僅概括性規定偵查人員必須按照法定程序收集證據，但對具體的大數據偵查的法定程序無論是在《刑事訴訟法》或是相關法律文件中都未有明確規定。概而言之，目前《刑法》和《刑事訴訟法》的制度設計滯后于大數據發展進程，其立法目的主要在于規制非法出售、提供個人信息的行為，而對當前數據收集、挖掘的行為則未有規制，亟需填補。

其次，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）的規定難以完全適用于大數據偵查中的個人信息保護?！秱€人信息保護法》在第三節專設國家機關處理個人信息的規定，顯示了其法律效力意欲涵蓋公私主體的立法愿景。然而，由于偵查行為的特殊性，《個人信息保護法》的規定實際上存在兩方面問題。一方面，該法僅于第34 條規定了國家機關處理個人信息需滿足必要性和合法性原則，較為籠統模糊，缺乏可操作性。[15]另一方面，第35 條規定的告知義務難以適用于大數據偵查中的個人信息保護?！秱€人信息保護法》采用了全球通用的“告知－同意”原則，但在第13 條、第18 條、第35 條為公權力的行使預留了豁口。國家機關原則上在處理個人信息時需遵循“告知－同意”原則，但（1）若為履行法定職責或者法定義務所必需可不經同意；（2）為履行法定職責或者有法律、行政法規規定應當保密或者不需要告知的情形的，可以不予告知。對大數據偵查而言，偵查機關只要是在履行法定職責，就可以突破《個人信息保護法》規定的“告知－同意”原則，相當于為偵查行為松綁。另外，“告知－同意”原則實質上也與偵查行為相悖。在傳統偵查中，為確保偵查順利，在涉及個人信息時通常會要求保密。大數據偵查并未改變傳統偵查這一特性，由于大數據偵查涉及的信息體量龐大、覆蓋面積極廣、數據流繁雜，要實現“告知－同意”在技術上和成本上更加困難。

（二）大數據偵查的監督機制過于粗放

“有權力的人往往使用權力一直到遇有界限的地方才休止。要防止濫用權力，就必須以權力約束權力?！盵16]職是之故，偵查權的行使需形成完備的監督機制，從而實現個人信息保護。然而，目前我國對于大數據偵查的監督較為有限，難以發揮應然效果。

從內部監督來看，對大數據偵查的內部監督主要依托于《公安機關辦理刑事案件程序規定》第十節有關技術偵查的規定，由技偵部門制作呈請采取技術偵查措施報告書，報設區的市一級以上公安機關負責人批準。暫不論大數據偵查與技術偵查實有不同，若依照技術偵查的程序規定，決定進行偵查的所有流程均在公安機關內部流轉，呈現出“監督的封閉性”，其實際監督效力難以保證。

從外部監督來看，則可從三個維度討論。其一，檢察機關作為法定的監督機關，其行使監督權毋庸置疑。然而，大數據偵查具有有別于傳統偵查的“技術”特性，其涵蓋大量涉及底層算法等帶有技術壁壘的內容，對監督權的行使也設立了相應的技術門檻。[17]但實踐中檢察機關工作人員多為法律專業背景，對前沿信息處理技術較為陌生，難以回應技術要求，這也為監督帶來現實阻力。其二，法院對偵查的司法監督在域外國家早已有之，如美國“司法令狀主義”即要求在技術偵查前需要得到治安法官之同意。[18]我國法院對偵查過程中涉及個人信息處理的監督并未采取“司法令狀主義”，而是適用非法證據排除規則。根據《刑事訴訟法》第56 條，大數據偵查中所收集處理的個人信息若不符合法定程序，并非一概排除，可以進行補正和合理解釋。因此，在大數據偵查視域下，非法證據排除規則通常難以適用。其三，若拋開法院、檢察院而設立第三方獨立監督機構，則更為困難。由于偵查活動本身具有高度保密性，引入第三方監督機構會打破偵查行為的保密外殼，妨礙偵查人員法定職責的履行，不具有現實可行性。

（三）大數據偵查背景下個人信息受損救濟機制匱乏

“無救濟則無權利”的法諺揭示了若無完善的救濟機制，就算法律明文規定了權利條款，該權利也不過是一紙空文。然而，當前我國有關大數據偵查導致個人信息受損的救濟機制仍有留白，實踐中公民個人尋求救濟尚存困難。

首先，尋求救濟的前提是知曉個人權利受損。正如《中華人民共和國民法典》中有關侵權條款規定訴訟時效的起算時間自知道或者應當知道權利被侵害之日起計算，反映出救濟權之行使以知情權為前提，若不知情，則救濟無從談起。然而，上文業已提及，出于偵查活動保密性的特殊需要，“告知－同意”原則在大數據偵查中的異化適用導致公民在偵查活動中的知情權很難得到保障。通常數據的收集、挖掘、處理都在當事人并不知情的情況下進行，且由于大數據的特殊性，其往往牽涉的對象范圍廣，適用“告知－同意”原則的成本極高。因而在大數據偵查背景下，公民個人信息受損就因初始喪失知情權而難以得到救濟。

其次，目前大數據偵查中個人信息受損的救濟途徑可以從訴訟救濟路徑與非訴訟救濟路徑兩個方面來討論。

1.從訴訟救濟路徑上看，由于大數據偵查對公民個人信息的侵犯發生于公民個人和偵查機關之間，不屬于民法的管轄范疇，因而主要討論刑事訴訟、行政訴訟和國家賠償三條路徑。對于刑事訴訟而言，《刑法》涉及大數據偵查的條款主要是侵犯公民個人信息罪，但侵犯公民個人信息罪入罪的行為要件是出售或非法提供個人信息，對于大數據偵查中廣泛使用的數據收集和數據挖掘則并未有規定，因此實踐中很難援引侵犯公民個人信息罪作為公民個人信息受損尋求救濟的法律依據。對于行政訴訟而言，《中華人民共和國行政訴訟法》（以下簡稱《行政訴訟法》）第二章有關受案范圍的規定并未明確公安機關的刑事偵查行為是否受《行政訴訟法》的管轄，但《最高人民法院關于執行〈中華人民共和國行政訴訟法〉若干問題的解釋》第1 條明確規定：“‘公安、國家安全等機關依照刑事訴訟法的明確授權實施的行為’不屬于人民法院行政訴訟的受案范圍?！备鶕罡呷嗣穹ㄔ旱慕忉?，實踐中公民無法以公安機關的大數據偵查行為侵犯個人信息為由提起行政訴訟。對于國家賠償而言，《中華人民共和國國家賠償法》（以下簡稱《國家賠償法》）第三章專章規定了刑事賠償，第17、18 條明確規定行使偵查權過程中侵犯公民人身、財產權的，受害人有權獲得賠償。個人信息權盡管兼具人格權和財產權的雙重屬性，但根據文義解釋，第17 條所指的人身權主要為人身自由權、生命健康權，而第18 條所指的財產權則指的是被違法查封、扣押、凍結的財物及因再審改判無罪，而已經被執行的財產。換言之，個人信息權并非《國家賠償法》第三章所囊括的人身權或財產權，難以依據《國家賠償法》得到救濟。另外，個人信息被偵查機關獲取、解讀的法益侵犯是否能與《國家賠償法》規定的剝奪人身自由、生命健康受損等相提并論亦有待商榷。職是之故，訴訟救濟之路徑已為梗阻，實際上公民難以通過訴訟路徑而獲得救濟，只能尋求非訴訟救濟路徑。

2.從非訴訟救濟路徑上看，主要指的是申訴權?！缎淌略V訟法》第117 條規定，當事人有權就偵查活動中違規查封、扣押、凍結財物向公安機關提出申訴或者控告。個人信息由于其特殊性，是否能歸為“財物”仍有爭議，大數據偵查中涉及的數據收集和挖掘與條款中規定的“查封、扣押、凍結”亦不同，因而實踐中難以適用此條款來進行申訴。

四、大數據偵查中個人信息保護規則設計

為彌合“數據賦能”和“技術賦權”之間的鴻溝，最大限度實現大數據偵查中個人信息的保護，提高公民的個人信息安全感和可控感，可以通過頂層賦權、監督賦權、救濟賦權三條路徑來構建個人信息保護規則框架。

（一）頂層賦權：完善大數據偵查下的個人信息保護法律規范

1.明確大數據偵查的法律屬性

大數據偵查作為大數據時代的產物，其法律屬性并未得到闡明?；诖?，首先應當明晰大數據偵查的法律屬性。大數據偵查以數據算法為依托，通過數據收集、數據挖掘、數據分析實現偵查目的。與大數據偵查較為相近的是技術偵查，但二者仍存在較大差距。從適用時間而言，大數據偵查的特點之一即是適用的“超前性”，其犯罪預測的功能決定了其開展的時間節點早于立案，而技術偵查則要求在立案之后方能進行。從適用范圍而言，《刑事訴訟法》就技術偵查適用的范圍進行了嚴格劃定，僅能對危害國家安全等幾類特定罪名適用，《公安機關辦理刑事案件程序規定》也明確規定了技術偵查的適用罪名，主要是適用于重大犯罪，而大數據偵查應用范圍更廣。從適用對象而言，技術偵查只能對特定對象適用，而大數據偵查的適用對象則具有散逸性，可以對不特定的多數人適用。另外，技術偵查和大數據偵查的技術手段也較為不同，技術偵查更偏向于靜態的監控，而大數據偵查則更為全面，囊括了數據收集、挖掘和處理，較技術偵查更具有主動性和動態性。[19]因此，大數據偵查應當作為新型偵查措施予以單獨規制。

偵查措施根據對公民權利干預程度可以分為任意性措施和強制性措施。任意性措施是在取得公民同意的前提下進行，而強制性措施則不以當事人的意思為轉移，是對公民權利的強制處分。對于大數據偵查而言，由于“告知－同意”原則的部分豁免，在數據收集、挖掘、分析的過程中，公民信息自決權無法得到保證，個人信息權受到侵犯。因此，大數據偵查是強制性措施的一種，出于程序法定原則，應在《刑事訴訟法》中對大數據偵查的程序進行詳細規定，同時在《刑法》中將利用大數據技術的行為納入框架，將仍滯留在小數據時代的法律規范進行迭代升級，將大數據偵查并入法治軌道。

2.厘清大數據偵查的基本原則

實現大數據偵查與公民信息權的合理平衡，離不開基本原則的指引。當前，大數據偵查應當遵循比例原則、分類原則以及修正后的“告知－同意”原則。

首先，引入比例原則。濫觴于德國，比例原則作為公法中的“帝王條款”，是對“權利限制的限制”，旨在平衡公法中作為國家機器的公權力和個人之間的權力差距，以達到限制裁量權的任意行使，保護人權的目的。[20]比例原則是偵查程序中的一項基本原則，在大數據偵查中引入比例原則，為過度擴張的偵查權系上“安全帶”，確保偵查人員保持謙抑的權力行使模式，最大程度減少對公民的權利侵害。[21]具言之，在進行大數據偵查時，偵查人員需滿足比例原則的三個子原則。第一，適當性原則，即權利限制必須符合目的。這是對大數據偵查啟動的限制，要求偵查人員在開啟大數據偵查這個“閥門”之前，必須有打擊犯罪的具體或者概括的目的，即偵查人員必須是出于具體個案的需要，或是犯罪預測而開展大數據偵查。第二，必要性原則，又稱最小必要原則，即對公民的權利限制最小化，要求偵查人員將數據收集的對象、時間范圍、空間范圍、種類限縮到最小。第三，均衡性原則，即采取的偵查手段需要與偵查目的相均衡，實現“手段－目的”的耦合，要求偵查人員衡平數據收集、挖掘、處理的深度廣度和所要達成的目的，盡可能避免二者的錯位失衡。

其次，引入分類原則。我國《個人信息保護法》第28 條通過“概括+列舉”的方式對個人信息以敏感性與否作出分類，其以個人信息泄露或非法使用造成的損害為標準，列舉了包括生物識別在內的六種信息及不滿十四周歲未成年人的信息為敏感信息，并以“等”作為兜底。前文提到《個人信息保護法》的適用涵蓋了國家機關的行為，由是觀之，偵查機關在偵查活動中對個人信息的保護可以依據該法第28 條的規定，將個人信息分為敏感個人信息和一般個人信息，并依據分類規定不同等級的程序規范。

最后，引入修正的“告知－同意”原則，為大數據偵查的合理性背書。上文提及“告知－同意”原則無法完全適用于大數據偵查領域，但其內蘊的保護公民知情權和同意權的價值不容忽視。職是之故，需要對“告知－同意”原則進行“本土化”修正。第一，采取“提前告知－同意模式”，即將“告知－同意”的時間提前至數據收集時。這主要是針對偵查機關自身進行數據收集時，如公安機關在進行人口管理時收集必要的個人信息過程中就告知公民收集到的信息會用于日后打擊犯罪的目的。第二，采取“遲延告知－同意模式”，即當妨礙偵查的場景結束后，偵查機關應將數據收集、挖掘、處理的內容告知公民，盡可能保障公民的知情權。第三，采取“分類告知－同意模式”，對個人敏感信息，需要采取負面清單式的“告知－同意”規則，不能完全豁免。除非是出于偵查的必要，履行“告知－同意”義務會妨礙偵查行為正常進行的，對個人敏感信息的收集處理需要遵循“告知－同意”原則。

（二）監督賦權：構建大數據偵查的混合監督機制

任何沒有監督的權力都會導致濫用，建立健全監督機制是限制公權力行使的必要方式。

1.細化內部全過程監督機制

公安機關內部對技術偵查已經形成較為規范的審批機制，大數據偵查可以參考技術偵查審批模式，融合大數據的特殊背景，構建針對大數據偵查的內部監督機制。在事前監督階段，由偵查部門負責人提交書面數據收集調取申請書，并由審核人員針對收集信息的范圍、用途、時間等作詳細審查，依照內部審批程序逐層報批，最后經單位負責人批準同意后方可執行。另外，為滿足大數據偵查的“技術閾值”，除一般審批人員外，還需配備具備數字技術專業背景的技術人員輔助，從而對偵查過程中使用的大數據技術進行詳細分析評價，得出綜合判斷結論。在事中監督階段，應對偵查過程中的數據收集、挖掘、處理進行全過程錄音錄像，并建檔留痕，以便及時審查。由技術審批人員全程跟蹤，并對違法違規的行為進行監督處理。在事后監督階段，對案件卷宗進行審查，確保偵查過程合法合規。

2.健全外部監督機制

除公安機關內部監督外，健全外部監督機制亦必不可少。一方面，作為行使監督權的檢察院應當對大數據偵查進行監督。在偵查階段，檢察院可以對偵查行為是否符合比例原則、偵查過程是否符合程序正義等內容進行監督，并就違法違規行為出具告知書，督促偵查機關予以糾正。在審查起訴階段，檢察院可以就案件卷宗對偵查過程的書面材料予以審查，特別是對涉及個人敏感信息的部分進行重點監督。針對檢察院“技術屬性”欠缺的問題，可以抽調與大數據較為密切的經偵科人員通過檢企合作等模式，學習專業技術能力，提高技術水平。另一方面，加大法院在外部監督中的作用。在事前監督方面，可以針對個人敏感信息實行特殊的“司法令狀主義”，逐步建立司法審查機制。由于一般個人信息的敏感程度較低，如手機號碼、瀏覽網頁內容等，公民對該信息的保密期望度低，采取較為簡單的內部審批模式能更好地平衡偵查需要與個人信息保護。但對于個人敏感信息，單純的內部審批模式不足以實現“手段－目的”的衡平，此時由中立的法院來行使事前審批權較為合適。在事后監督方面，法院應當對經大數據偵查取得的證據適用非法證據排除規則，確保取證的程序合法合規。

（三）救濟賦權：拓寬大數據偵查侵犯個人信息的救濟途徑

缺乏救濟的權利是虛假的權利，唯有通過救濟賦權，完善個人信息侵權的救濟途徑，個人信息方能不僅僅是信息，而能被冠之以“權”。

首先，鋪陳完善的司法救濟途徑。第一，在《刑法》第253 條侵犯公民個人信息罪中增加大數據偵查的內容，將大數據偵查過程中不合理進行數據收集、數據挖掘和數據分析的行為納入《刑法》規制體系，從而賦予當事人通過刑事訴訟獲得救濟的權利。第二，在《刑事訴訟法》中專列大數據偵查，與技術偵查作出區分，對大數據偵查的主體要求、程序要求等進行規定，以期綱舉目張，后續通過行政法規等對此進行進一步細化完善，借此規范偵查人員行為，并為當事人尋求救濟提供法律依據。第三，在《國家賠償法》中加入侵犯公民個人信息權的賠償規定，打破傳統的“人身－財產”二元賠償模式，引入個人信息賠償權，從而搭建起個人信息侵權的司法救濟三角結構。

其次，構建合理的非司法救濟途徑，主要是賦予當事人申訴權。對偵查過程中侵犯公民個人信息的行為，公民有權向上一級公安機關提出申訴，或向同級的檢察機關申請法律監督。公安機關內部可以設置單獨的大數據偵查申訴審核小組，由法制和網安各抽調成員組成，且之前參與審批的人員不得參與審核，實行回避。檢察院在收到法律監督申請后，應及時作出回應，根據實際情況采取措施。

最后，完善集團訴訟制度。由于大數據偵查脫域性、全時空等特征，其一旦造成侵害，侵害也具有相應特點，單個當事人逐一提出訴訟顯然不符合訴訟經濟效益和訴訟便宜效益，因而對于大數據偵查對“大規模群體造成微型侵害”的行為[22]，可以完善集團訴訟機制，實現公平和效率的統一。

五、結語

大數據濫觴于二十世紀八十年代，預告了大數據時代的分娩。以云計算、物聯網等為基架的大數據偵查是大數據時代偵查工作與時俱進、發展創新的產物，在打擊網絡犯罪、高科技犯罪等領域建功卓著。然而，當前日新月異的大數據偵查“數字賦能”的同時，個人信息的“技術賦權”卻落后一步，為解決當前“權力－權利”不對稱的困境，解救個人信息權于“數字囚籠”，可以通過完善個人信息保護法律法規、構建混合監督模式、建構個人信息侵權的雙重救濟途徑三個方面，架起立體防御工事，廓清大數據偵查的法律屬性及程序規范，消弭大數據技術不斷發展與個人信息權利保護之間的矛盾，讓大數據偵查在規范的軌道上運行。通過多角度、多維度的全面建設，個人信息的“技術賦權”終將實現與“數字賦能”的耦合。