时间:2024-08-31
王仲羊
(西南政法大学刑事侦查学院 重庆 401120)
数字化技术的演进引发了整体社会结构与生产关系的巨大变革,也重塑了侦查权的运行特征与底层范式,传统的调查型侦查权逐渐演变为监控型侦查权[1]66。随着全景监控技术、人脸识别技术、数据处理技术、信息传输技术深度嵌入侦查活动,监控型侦查权的权力半径不断延伸,社会治理能力空前强化。然而,相较于新兴科技对于侦查权的“技术赋能”,法律规范对于公民数字权利的“技术赋权”相对薄弱,导致技术治理主义呈现出非均衡发展的局面[2]。申言之,监控型侦查权以技术性、科技性作为权力运行的底层逻辑,但规范性因素明显不足,也忽略了制度建构中的权利话语。对此,解构监控型侦查权的权力特征,探索权力规制的可行路径,促进数字时代侦查权的法治化建设,成为审视侦查权时代发展的应有之义。
随着数据化技术与刑事侦查的深度结合,监控型侦查权的权力特征发生了巨大变化,在主体、对象、时间、空间、程度方面呈现出扩张趋势。
大数据时代的来临形塑了“国家—社会—个人”三方参与的权力互动模式,侦查机关作为法定的监控主体,通过概括性获取社会企业与其他行政机关占有的信息资源,实现了侦查权的社会化延伸。
第一,侦查机关通过警企合作的方式,调取第三方机构的数据资料。大数据时代,侦查机关在取证环节的角色发生变化,由之前的信息获取者转变为信息使用者。第三方平台基于业务管理的需求,留存了公民金融、出行、健康、通信等各方面的数字化信息,这些数量庞大、内容丰富的信息记录为侦查机关后续的数据挖掘、碰撞、比对工作提供了数据基础。相较于实时的通话监听与网络监控,调取第三方信息适用的程序门槛较低,并且无须进行内容的破译与解密,故而倍受侦查机关青睐。此外,侦查机关还通过签署合作框架协议等方式,与商业机构开展深入合作。例如,2017年华为公司与天源迪科公司助推泰州公安打造“一体六面”的新型警务模式[3]。2019年公安部牵头组建反诈预警平台,阿里巴巴、360金融、京东集团、度小满金融和小米金融成为首批加入平台的科技公司[4]。
第二,侦查机关通过共享信息的方式,不断推进与行政执法部门的合作。公安机关一直居于社会治安综合治理的龙头地位,具有信息共享的天然优势。并且,信息共享行为也得到了相关政策的支持。例如,《中共中央关于制定“十三五”规划的建议》等规范性文件将推动数据资源开放共享作为推进国家大数据战略的重要措施。目前,多地公安机关与其他行政机关之间签订了“数据共享安全保密协议”,搭建数据共享平台。例如,2011年北京市公安局与北京市海关、商务委、工商局、出入境检验检疫局共同签署了《北京市五部门行政资源整合机制框架协议书》,建立了信息共享机制与“绿色通道”机制等[5]。在打击知识产权领域的违法犯罪活动中,各地公安机关与其他行政机关之间也建立了联席会议机制,完善了定期通报制度,并搭建数据共享平台[6]。
在前信息化时代,监控对象紧紧围绕取证目的展开,具有明显的特定性。办案人员往往仅收集与犯罪活动直接相关的线索与证据,在对象上包括犯罪嫌疑人本人、同住人、同伙关系人的相关数据,在内容上包括刑事犯罪情报信息、公安管理信息与其他社会管理信息[7]。
然而,伴随计算机技术、数据处理技术的发展,侦查机关不再满足于对指定目标开展的特定性监控,而是呈现出监控对象的弥散化,发展出各种形式的大规模监控。监控活动不再基于目的性展开,而是呈现出随机性特征,致使监控活动产生了不可回避性。从行为人角度而言,监控活动不再仅止于与犯罪相关的行为人,而是将范围拓展至全民监控。“大数据技术主要通过不特定目标抓取、收集和处理不确定数量群体的信息,不再直接针对个体,而是在集合、群组与类型意义上统计其相关性。”[8]例如,美国全境每个月通过车牌扫描仪进行7000万次扫描活动,搜集了25亿条记录,包括日期、时间和GPS位置信息。这种自动扫描活动针对城市中每名公民进行,而不管他是不是犯罪嫌疑人[9]32。从事物角度而言,物联网通过与传感器的连接实现了“万物互联”,智能网络将能够收集到的所有信息均上传至云端与第三方平台,进一步强化了侦查机关监控活动的弥散性。例如,人们佩戴在身上的传感器,可以记录走路步数,计算进食的热量、心率、血压或者评估睡眠质量,这些数据均通过物联网进入了侦查机关的监控范围之中。
传统侦查时期,监控活动在时间维度上具有回溯性,主要依据过去的具体行为进行判断。不同于检察、审判等基于说服目的的事实论证活动,刑事侦查是一项基于查明目的的回溯性认识活动。侦查权的启动往往滞后于犯罪行为的实施,甚至是在犯罪结果发生之后才介入。并且,采取侦查手段与强制措施往往是以行为人过去存在的“嫌疑”为启动要件。例如,我国刑事诉讼法第81条将逮捕的嫌疑条件设置为“有证据证明有犯罪事实”,第136条将搜查的嫌疑条件设定为“可能隐藏罪犯或者犯罪证据”。这种嫌疑不能仅是侦查人员抽象的主观臆度,而是需要与现实的客观行为存在逻辑关联。然而,随着大数据治理技术与刑事侦查活动的深度融合,监控时间经历了由回溯性向风险性的转变。
第一,监控活动的启动标准由具体嫌疑转变为概括性风险,从而引发了治理模式由事后介入向事前防控的转变。在前信息化时代,囿于资源与人力的有限性,监控活动往往仅限于存在犯罪嫌疑的特定对象,没有嫌疑的个体在原则上不会引发侦查行为。然而,大数据技术引发了监控模式的变化,政府基于风险预防的考量可能将监控范围拓展至所有个体。申言之,面向过去的“嫌疑监控”转变为矫治未来的“风险监控”。并且,嫌疑的判断方式也由已经存在的行为基础转化为由事先的个人信息收集、分析形成的数据基础。最有代表性的事例就是各国广泛采取的预测型警务活动。例如,荷兰搜集所有入境者的个人信息,通过算法分析后划分个体的危险等级[10]122。
第二,监控活动的关注重点也由既成行为的现实性转变为风险发生的可能性。例如,美国前副总统切尼制定了“1%规定”,即哪怕发生恐怖袭击的可能性只有1%,也必须将其视为一定会发生的恐怖袭击进行处理。“这会造成逻辑混乱,那些原本需要权衡斟酌的可能性将会变成确定性,可能发生的事将变成事实。这就是全面控制的梦想:不仅控制现在,而且控制未来。”[10]122此外,监控活动对于权利的侵犯不仅包括现实性的干预,还包括使得公民权利陷入危险情境的或然性风险。“只要公权力的监控行为将公民的某种权利客体置于随时可被他人利用、损害、泄露的境地,就已经构成了对该权利的侵害。”[11]
前信息化时代,侦查活动主要是在特定物理空间内进行,具有明显的物理性特征。首先,传统侦查主要是以现场为中心,对手、足、工、枪、特等痕迹物证进行勘查、检验、分析、比对、鉴定的物质活动。犯罪现场既是侦查活动的起点,也是驱动取证活动推进的媒介。其次,案件在侦查人员头脑中反映的信息形象局限于物质实体。“不仅在于思维驱动方式是物质形态的痕迹物证,还在于人们头脑中加工和呈现信息的方式依然是物质形态的实物形象。”[12]最后,立法对于侦查行为的程序控制也以物理性为基础。例如,我国刑事诉讼法第136条将搜查行为的对象限制为“犯罪嫌疑人以及可能隐藏罪犯或者犯罪证据的人的身体、物品、住处和其他有关的地方”。然而,在大数据时代,侦查机关的监控活动逐渐摆脱了物理空间的束缚,呈现出脱域性特征。根据东尼·吉登斯的表述,“所谓脱域,我指的是社会关系从彼此互动的地域性关联中,从通过不确定的实践的无限穿越而被重构的关联中‘脱离出来’。”[13]监控行为的脱域性存在以下三重含义。
第一,网络虚拟空间成为物理现实空间的平行存在,二者的空间叠合化特征形成了虚实同构的景象。犯罪行为既有可能在物理世界中发生,也可能成为“一种穿越和席卷现实与虚拟多重空间的行为。”[1]69对此,不仅需要重视物理空间中有形的痕迹物证,更应关注在现实空间与虚拟空间之间往复穿梭的无体化的电子数据。
第二,传统办案中的现场意识和地点观念逐渐淡化,引发了空间的经验重构。在物理空间中,犯罪行为的发生地与痕迹提取的取证地往往重合,“地点”与“空间”这两个概念经常被视作同一存在。但是随着网络技术的发展,肇始于物理空间的地点概念逐渐模糊化,不再提供空间的标识功能。电子数据可能充斥于整个数字空间,也有可能固定于数据层的某一节点或者相邻的数据节点。电子数据的空间形态无法与传统的地点概念进行唯一对应,反而取决于具体的数据结构[14]。
第三,在网络空间中,公共领域与私人领域之间相互渗透,加剧了边界区分的难度。一方面,全天候、持续而全面的数字监控与电子追踪技术,使得从公共场所的碎片行为中同样可以解析出私密内容,造成了公共场所私人化的倾向;另一方面,由于信息主体的自我让渡与公开访问权限,致使原本属于自主控制的私人空间在一定程度上公共化。
除了部分秘密进行的侦查活动之外,传统侦查行为的侵权程度具有显见性特征。其一,侦查活动的持续时间往往可控且短促,有限的人力、财力难以负担历时弥久的办案行为。并且侦查活动多以物理空间为场景,取证范围受到有形边界的天然限制。因此,侦查活动的起止时间、行为对象与权利干预均呈现出有形性、有限性的特点;其二,侦查相对方往往知悉侦查行为的开展。例如,在搜查过程中,相对人会查阅侦查人员的搜查令状,并目击搜查开展的整个流程,能够及时知悉自己权利被侵犯的事实;其三,在传统执法过程中可能存在歧视行为,但是歧视往往源自办案人员的主观偏见与个人好恶,具有随机性与个别性。
然而,大数据时代监控行为的侵权程度由显见性向建构性转变。“所谓建构性,是指侵害行为不会对他人造成当下明显的损害,但却会使他人将来因此受到损害或增加受到损害的可能性,进而导致社会力量的失衡,产生或加重损害结果。”[15]监控程度的建构性体现在以下三个方面。
第一,监控侵权的无形性。监控活动不仅限于获取姓名、职业等档案信息,而是通过全景式的传感设备,非接触性地采集公民的人脸、虹膜、基因、步态等生物识别信息,“人通常不知道其个人信息不断地被收集和处理,他们实际上正在失去对个人领域的控制。”[16]此外,数据挖掘进一步放大了监控侵权的建构性。数据挖掘中使用的个人信息可能业已经过信息主体的知情同意,但是在处理过程中可能发现隐藏的数据关系与数据模式,具有运行过程与输出结果的不确定性。这导致公民的个人身份可能会被再度识别或者产生隐私泄露的风险。并且,基于挖掘结果做出的自动化决策也会对个体造成无法察觉的严重后果。例如,某人被侦查机关错误标记为具有潜在社会危险性的嫌疑对象,并被列入“禁飞”名单。而这种无形的标记具有潜伏性与延时性,难以在日常生活中所发现,只有当个体真正搭载飞机或者办理相关业务时才能显露出来。由于公民根本没有意识到自己的权利已经被侵犯,导致被侵权之后的情感色彩不断弱化。即便能够意识到个人信息被非法处理,也难以证明这种监控行为对于自己造成了实质性的侵害,致使部分公民产生了隐私漠然心理。
第二,监控后果的耐受性。监控型侦查权不是一种高度聚焦的权威性权力,而是一种分散性、不以强力示人的弥散性权力。弥散性权力不容易被察觉感知,并且通常以心理强制的方法作用于个体,在潜移默化中达到规训人们思想的目的[17]。一方面,数据监控会导致人们对于自我行为的审查与抑制。监控国家之所以能够实现对人类的有效规训,不在于其能够实际掌握公民的一言一行,而在于营造一种监控氛围,使得受监控者认为自己的言行时刻都在“国家之眼”的凝视之下,从而抑制个人自主发展的多样性,以及探索、发展和改变的欲望。“如果我知道自己受到监视,我可能会……限制自己的活动,以免发生任何令人尴尬或其他有害的事情。”[18]另一方面,监控技术的迭代更新还会改变人们对于隐私与权利的立场与看法。当科技发展使得政府可以轻而易举地获取原本在现实条件下无法或者难以取得的信息时,大众可能会接受这一现实,并认为政府利用科技设备处理个人信息的做法是合理的[19]。由于人们无法抵御便捷生活带来的巨大诱惑,更不想回归到与世隔绝的生活状态,故而很多人秉持一种与时俱进的平等交换理念,认为贡献数据与隐私是正常生活的必要对价。这种心照不宣的默契交换培育出人们超乎以往的侵权耐受心理。正如社会学家加里·马克思所言:“这种形式的控制象征着,操控比强制更好,计算机芯片比监狱的高墙更好,远程的、不可见的过滤器比手铐和管制更好。”[10]124
第三,监控歧视的系统性。依托数据与算法的社会歧视带有系统性、规模性、普遍性与稳定性。并且,这种歧视现象还带有代际强化的特点。例如,在预测型警务中,某个地区被大数据系统确定为“犯罪热点地区”,故而需要加派更多警力进行巡逻治理。然而,警力投入的增加又会继续纳入算法模型,成为下一轮确定“犯罪热点地区”的参考依据,致使某个地域持续不断地成为犯罪高危地区。
监控型侦查权的扩张趋势与既有规范之间产生了紧张关系。一方面,监控型侦查权的扩张动摇了无罪推定、强制侦查法定主义等基本法律原则,冲击了刑事诉讼的规范体系;另一方面,规范修订滞后于技术演进,致使部分新兴技术成为法律规制的真空地带。
对于调取第三方信息的行为,各国政府或是明确规定调取的合法性,或是科以网络运营商、电信运营商数据留存义务。例如,《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《电子数据规定》)确立了调取的法定地位,《公安机关办理刑事案件电子数据取证规则》(以下简称《电子数据取证规则》)细化了调取的程序要件。并且,《中华人民共和国网络安全法》(以下简称《网络安全法》)第21条要求网络运营者留存不少于6个月的网络日志。这些均为监控主体由法定化向社会化的转变提供了规范基础。然而,无论是调取还是警企深度合作,实际上均延伸了侦查机关的权力半径,致使规模巨大的网络服务者成为政府间接获取公民个人信息的“监控中介”[20]。上述规范虽然满足了调取的形式合法性,但却存在违背比例原则的风险,未能满足规范的实质合法性要求。调取可能违背信息主体与网络服务者的双重自愿性,存在概括性取证的风险,并且与技术侦查之间界限不明,不仅排除了公民对于个人信息的控制与自决,也迫使第三方机构无法履行保密义务与合规义务。
侦查机关与其他行政单位的信息共享行为往往由地方性政策协议保障实施,但是这种框架协议不仅法律效力模糊,而且缺乏有力的监督制约。在司法实践中,侦查机关普遍存在对于行政机关信息资源的概括性获取与掠夺式开发。并且,公安机关内部不同部门之间也通过开放数据库权限的方式开展信息共享活动[21]。但对于信息查询、比对的权限分工、职责认定等事项,不仅没有统一的规范性文件进行说明,而且事前审批也完全由公安机关内部把控,缺少有效的外部监督。此外,大数据平台的建立还进一步模糊了调取与共享之间的行为界限。在前信息时代通常需要持证调取的信息,现今均已经成为大数据平台的组成部分,办案人员的信息查询、比对成为一种无须令状审批的变相调取行为[22]。
现行法律多以特定性监控为规制对象,例如,我国刑事诉讼法第152条规定,“采取技术侦查措施,必须严格按照批准的措施种类、适用对象和期限执行。”然而,在面对公共场所视频监控、元数据监控、网络信息监控等大规模监控时,现有法律依据面临规范失灵的局面。之所以难以界定大规模监控的法律定位,一方面是由于大规模监控与特定性监控之间的界限并非泾渭分明。例如,欧盟法院在Opinion 1/15案①参见:Case Opinion 1/15,ECLI:EU:C:2017:592,Judgment of 26 July 2017。中判定,基于预防与打击犯罪的执法目的,可以留存由欧盟飞往加拿大的旅客飞行记录、姓名等个人数据,并认为这仅是特定性监控而非大规模监控;另一方面是由于大规模监控兼具预防犯罪的行政职能与打击犯罪的司法职能,在“行政—司法”高度混同的情况下,区分特定性监控与大规模监控的难度被进一步提升。
监控时间由回溯性向风险性的扩张冲击了刑事诉讼规范,具体表现在以下三个方面。
第一,动摇无罪推定的地位。一旦信息被用作潜在风险的判断工具,而非具体嫌疑的查证手段,将会导致国家机关过早地介入犯罪治理活动,进而动摇了无罪推定的司法理念。“我们的观念从‘有罪’直接过渡到更为主观的‘危险性’。”[23]一旦在犯罪行为发生前就搜索潜在罪犯,那么毫无例外地,所有公民都是可疑的。“每位公民都将被视作不可信赖和不值得信赖的人。如果我们为了验证猜测而持续地搜集关于大众的数据,他们可能会做出错误的事情,从而促使人们认为作为公民的我们是不可信任的。”[10]123-124
第二,立案程序的虚置。预测型警务、大数据侦查将犯罪治理的时点前移,侦查人员在立案之前就已经收集、分析数据信息,从而得出关于特定对象刑事责任的预测型结论。然而,这种结论能否达到我国“有犯罪事实需要追究刑事责任”的立案标准,不无疑问。申言之,将发现异常数据作为侦办案件的起始点,违反了刑事诉讼法中侦查启动的相关规定。
第三,公安机关一般性社会治理活动与刑事侦查产生了性质混淆。预测型警务与大数据侦查均跨越了立案前后的两个阶段。其中,针对具体嫌疑发动的侦查手段与强制措施应当属于刑事侦查活动。但随着特定嫌疑向概括性风险的转化,具体嫌疑行为与侦查活动的相关性不断减弱,此时执法行为的属性更接近于预防犯罪的行政治理活动。然而,犯罪预防与刑事侦查连续进行,前端环节的风险评估被用作后续阶段的线索依据,之后的侦办结果又成为新一轮风险预测的构成要素。在“行政—司法”二元混合的公安体制之下,兼具行政执法与刑事侦查双重性质的监控活动的法律地位难以界定。
监控空间的脱域性面临以下两方面的规范困境。
第一,物理世界中以事前令状进行的“入口控制”方法规制乏力。在传统侦查中,通过事前令状对于取证活动进行时长、对象和重复性的“入口控制”[24],能够以现实的物理存在为侦查活动设限,避免信息的无限期处理与概括性获取。然而,在虚拟时空中,通过限制储存介质的范围以防止概括性获取信息的制度努力难以为继。作为“侦查场所”的储存介质与其中包含的电子数据之间缺乏必要的相关性。申言之,虚拟空间的入口大小与可能获取的电子数据的内容与体量之间并无逻辑关联。例如,一个狭小的U盘可能存储数以亿计的电子数据。
第二,“地点”与“空间”的概念分离引发了云端储存与跨境传输中的规范困境。由于现实空间与虚拟空间往来交互,导致电子数据呈现出分散化存储的特征,即电子数据既可以存储于本地,也可能储存于其他的移动设备之中,甚至储存于网络云端服务器。在云储存模式下,数据发布者与数据储存介质的管理运营者之间发生了主体分离。此时,监控云端数据是否存在正当性依据,不无疑问。并且,对于云端数据展开侦查还会妨碍其他无关用户的个人隐私与正常使用。此外,云端储存可能衍生出数据的跨境传输与取证问题。由于数据服务商可能是境外机构,对其采取强制措施可能会面临数据主权问题。
现行刑事诉讼规范更注重保护人身、财产等有形客体,却忽略了监控行为的隐私侵权后果。“在信息化程度高度发达的今天,国家公权力与公民个人权利之间的冲突最频繁的表现已经不是公权力对公民自由、财产等传统权利的侵犯,而是公权力对公民隐私权的侵犯。”[25]在传统侦查时期与信息化侦查时期,囿于监控行为的技术性局限,相关规范对于个人隐私的保护相对较为充分。例如,2012年我国刑事诉讼法在规定技术侦查法定地位的同时,也科以办案人员在技术侦查中的隐私保密义务与删除义务。然而,随着大数据技术深度嵌入刑事侦查,侦查机关的数据处理能力空前提升,但相关规范对于隐私与个人信息的保护却并未对应跟进,致使传统的隐私保护体系难以成为捍卫公民个人信息利益的法律屏障。并且,《网络安全法》《中华人民共和国数据安全法》等营造出安全至上的宏大权力话语,不当遮蔽了隐私保护与个人信息保护中的人权价值,致使“以隐私换安全”成为风险社会中必要的利益交换形式。“当安全与隐私的权衡被视为生与死的选择时,所有理性的辩论将被终结。”[9]235对此,刑事诉讼法律规范并未发挥出人权法的制度功能,难以应对无形监控造成的理念演变与规训后果。
此外,现有刑事诉讼规范也无力规制算法自动化决策对于公民权利产生的负面影响。在算法自动化决策之前,被决策者处于信息客体地位,不仅没有程序启动的知情权,更不享有是否适用算法决策的决定权。在算法作出决策之后,办案人员根据决策结果作出可能干预基本权利的侦查措施。对此,侦查对象无法质疑侦查措施采取的算法逻辑与数据基础,也无法拒绝仅基于自动化算法实施的侦查行为,更无法要求侦查人员对于具体决策的算法模型与运作原理进行合理解释。
监控型侦查权的扩张趋势冲击了既有的规范体系。对此,应当回归程序法治的理念,通过优化刑事侦查程序予以纾解。具而言之,应当改造完善调取、网络搜查与技术侦查三种程序,分别规制监控型侦查权中间接取证、直接取证与实时监控三种行为方式。
对于调取程序的性质界定,理论界存在“任意说”、“强制说”与“折中说”三种观点。本文认为,即便调取以间接获取信息作为主要的行为方式,属于侵权程度相对较弱的侦查措施,但仍然在一定程度上存在干预基本权利的风险。因此,应当根据调取方式与调取信息的类型将之分为任意调取与强制调取,为监控型侦查权的社会化延伸提供合法依据。
任意调取主要存在以下两种情形:一方面,在调取方式上,侦查机关的调取行为得到了第三方机构的同意与协助。我国刑事诉讼法第54条规定对于调取行为,“有关组织、个人应当予以配合”。因此,只要公安机关履行必要的调取手续,符合调取范围,能够顺利获得第三方机构的同意与协助,调取行为就仅构成任意侦查;另一方面,在调取的信息类型上,如果调取仅涉及元数据等一般信息,则属于任意侦查行为。在大数据时代,公民常常会选择性放弃个人信息中的利益,作为交换生活便利的筹码。并且,各商家在信息收集的格式条款中几乎均会注明个人信息可能会为第三方所知悉。因此,在调取过程中,如果仅涉及一般信息,在不借助后续大规模数据分析技术的情况下,确实也难以窥探公民私人生活的全貌,不会严重侵犯隐私权。综上,当调取对象为一般信息且得到信息持有者协助时,属于任意侦查行为。我国刑事诉讼法第54条、《电子数据规定》第3条、《电子数据取证规则》第41条均可为之提供规范依据。
然而,在以下两种情况下,任意调取会发生向强制调取的转化:一是在调取方式上,如果侦查机关存在概括性取证的风险,即未明确限定调取范围,而是对于第三方机构留存的数据进行概括式拷贝,则超出了协助义务的范畴。此时,第三方机构应当遵守对于用户的保密义务、忠诚义务与合规义务,拒绝侦查机关不合理的调取请求。如果侦查机关在合意性基础不复存在的情况下,强行调取第三方信息,则属于强制侦查。对此,《公安机关执法细则》(第三版)20-01条规定:“持有人拒绝交出应当扣押的财物、文件的,可以强行扣押。”在司法实践中,调取证据通常作为扣押的先行措施,二者存在程序承继、由弱到强的渐变关系。即证据持有人拒不配合调取证据的,可以采取扣押措施[26]。二是在调取的信息类型上,如果调取对象为隐私信息,则侵犯了公民在第三方信息中的隐私合理期待,应当列入强制侦查的范畴。调取行为的侵权效果不依赖于后续的数据分析行为,单是调取隐私信息本身就足以构成对于隐私权的严重干预。此时,不应当继续援引任意调取条款,而应将规范转变为“提出命令式扣押”,以刑事诉讼法第141条至145条的扣押规范为依据。
长期以来,《电子数据规定》《电子数据取证规则》规定的网络在线提取、网络远程勘验试图以任意性淡化电子取证的强制性,却不当挤压了网络远程搜查的生成空间,难以为监控型侦查权提供周延的规范基础[27]。对此,应当重构相关措施,确立网络远程搜查程序。
第一,应当还原网络在线提取侦查技术的本质,而不是将之作为一项独立的侦查措施。所谓侦查技术,即是根据侦查需要采取的科学技术方法,如侦查中获取血液、毛发的痕迹提取技术等。而侦查措施则是法律所规定的,侦查机关在刑事案件侦查中可以采取的调查活动和强制措施[28]。侦查技术更强调遵循技术流程、符合技术原理,而侦查措施则具有法定性与封闭性。对于网络在线提取,实务部门的人员指出:“网络在线提取,只是通过网络公共空间对网页、网上视频、网盘文件上的电子数据进行提取,可以理解为从网上下载文件。”[29]数字化时代,从网上下载文件其实是人人均可开展的网络资源获取行为,完全无法体现出网络在线提取作为一项独立侦查措施的必要性。并且,该定义将网络在线提取的行为场域限定为网络公共空间,类似于物理世界中的公共场所,一般不会带来过度的侵权风险。因此,网络在线提取更适合作为网络远程勘验、网络远程搜查的底层技术与构成要素。
第二,应当将网络远程勘验的目标对象限定为公开发布的电子数据或者一般信息,回归电子数据现场勘验的制度原貌。长期以来,我国理论界与实务界一直将网络远程勘验作为勘验的下位概念,认为该措施属于电子化、在线化的现场勘查,故而仅具有任意侦查的性质。然而,《计算机犯罪现场勘验与电子证据检查规则》《电子数据规定》《电子数据取证规则》等规范性文件,却赋予了远程勘验除网络现场勘查之外的远程监控与取证功能,突破了该措施的功能预设。对此,为了避免“借远程勘验之名,行刑事搜查之实”的现象,应当回归网络远程勘验的最初定位,将之界定为网络空间的现场勘查。在立法规范上,应当扩展刑事诉讼法第128条勘验的客体范围,除了“场所、物品、人身、尸体”等有体物之外,还应包括“电子数据、个人信息”等无体物,并将网络远程勘验的对象限定为公开发布的电子数据或一般信息。
第三,应当正视网络远程搜查程序。网络远程搜查的强制性既源自对于远程计算机系统的侵入性,也源自对于系统内部隐私信息的获取可能性。这种行为方式与物理空间中搜查实物证据如出一辙,故而应当将之纳入刑事诉讼法中搜查的范畴。对此,应当扩展搜查客体,在刑事诉讼法第136条“身体、物品、住处”等有体物的基础上,增加“电子数据、个人信息”等无体物。并且,应当细化网络远程搜查的行为模式,避免与网络远程勘验、技术侦查不当混合。与网络远程勘验仅获取公开数据与一般信息不同,网络远程搜查不仅侵入私人计算机系统,还存在获取非公开的隐私信息的风险。网络远程搜查包括但不限于以《电子数据取证规则》第27条的行为模式获取远程计算机系统中的电子数据,但如果通过植入木马等方式获取即时性信息,则属于技术侦查。网络远程搜查可以经同意进行,如果获得用户名、密码后再行搜查,属于经同意的任意侦查。此外,对于新兴出现的云端取证行为,也可以通过网络远程搜查程序为之提供规范依据。
现行的技术侦查不仅具有以往讨论的科技性、秘密性、法律性等特征,在实践过程中也逐渐与实施主体特定性、行为对象特定性、行为模式即时性取得了逻辑关联。对此,应当优化技术侦查程序,为监控型侦查权划定行为界线。
第一,明确技术侦查的定义与类型。应将刑事诉讼法中“侦查”章第8节的“技术侦查措施”改为“秘密侦查措施”,并在第150条明确技术侦查的定义:“技术侦查措施是指由设区的市一级以上公安机关负责技术侦查的部门实施的实时监控措施,包括但不限于记录监控、行踪监控、通信监控、场所监控。”将技术侦查明确为实时监控措施,可以避免与调取、网络远程搜查等回溯性程序的不当混同。诸如植入木马等手段,只要存在即时取证的特征,就应当纳入技术侦查的范畴。此外,可以在司法解释中进一步明确具体监控措施的定义、种类与表现形式[30]。
第二,区分技术侦查与大规模监控。应当明确技术侦查措施只有在立案之后方能启动,在预测警务阶段、初查阶段实施的所有技术侦查措施均为非法进行,取得的证据应当纳入非法证据排除的范围。对于在立案之前基于犯罪预防目的开展的大规模监控,应交由行政法规或者《中华人民共和国人民警察法》进行规制,而不宜列入技术侦查的范畴。
第三,正确看待技术侦查实施主体的部门特定性。技术侦查的定义明确规定技术侦查限于“设区的市一级以上公安机关负责技术侦查的部门实施”。然而,在司法实践中,公安机关的其他侦查部门,甚至负责治安管理的部门,均存在实施诸如GPS侦查等技术侦查的现象。对此,不应以技术侦查实施主体的特定性为由,将上述行为排除在技术侦查之外。只要符合即时监控的特征,无论具体执行者是否属于负责技术侦查的部门,均应纳入技术侦查的范畴,并追究违法开展技术侦查人员的法律责任。
除诉诸优化诉讼程序的方式规制监控型侦查权之外,通过引入个人信息保护领域的原理与制度,也是规避监控型侦查权运行风险的重要路径。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)作为纵贯各法律部门的“领域法”,为刑事侦查中保护个人信息提供了规范参照。因此,应当限制性引入个人信息保护的相关原则、权利与义务,对于监控型侦查权进行数据规制。
《个人信息保护法》第5条至第9条依次规定了合法、正当、必要、诚信原则,目的限制原则,信息最小化原则,公开透明原则,信息质量原则,信息安全原则等基本原则。其中,必要原则、信息最小化原则与信息安全原则对于矫正监控型侦查权意义重大。
第一,监控型侦查权应当践行必要原则。必要原则体现了比例原则的内涵,该原则不仅是诸多原则理念的上位依据,也是具体制度建构所依循的尺度。必要原则对于监控型侦查权的规制主要体现在两方面。一方面,必要原则是监控型侦查权处理个人信息合法性的重要依据。《个人信息保护法》第13条第3款规定的“为履行法定职责或者法定义务所必需”应当作为侦查机关处理个人信息的主要合法性基础。其中,“所必需”体现出必要原则的理念,要求侦查机关的监控活动应当基于法定目的开展,而不能出于窥私、政治斗争等非法目的。并且,在能够实现目的的监控手段中应当选取对于公民基本权利干预最小的措施,并且需要判断监控行为与个人信息权利之间的平衡关系。例如,敏感个人信息的处理应以立案为节点,在预测性警务阶段应明确禁止处理敏感个人信息,初查阶段原则上禁止处理敏感个人信息;另一方面,在具体制度设计中也应当践行必要原则。例如,《个人信息保护法》第26条规定:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。”该条确立了公共场所视频监控行为的规范要件,强调了大规模监控应当以维护公共安全所必需作为制度目的与行为尺度。
第二,监控型侦查权应当践行信息最小化原则。《个人信息保护法》第6条规定:“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”信息最小化原则要求在个人信息处理时采取克制态度,所处理的个人信息数量、留存时间、处理范围等都必须与处理目的相称,不可过分[31]。在信息收集环节,监控型侦查权应当践行信息最小化原则。例如,在调取、共享等活动中,应当划定取证的必要范围,而不应对第三方信息进行概括性获取与掠夺式拷贝。此外,如果获取特定对象的手机基站定位信息即可完成取证目的,就不应使用其他设备收集某一区域内所有电话的手机电子序号和用户识别码。在后续的信息处理环节,监控型侦查权同样应当遵循信息最小化原则。例如,对于监控活动收集的数据应当设置最长留存期限,而不应无限期存储。
第三,监控型侦查权应当践行信息安全原则。《个人信息保护法》第9条规定:“个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。”由于监控型侦查权能够获取海量的数据资源,加剧了存储环节的信息安全风险,故而应对信息安全问题引起足够重视。对此,在侦查活动中应当通过多重方法保护个人信息安全。其一,采取锁门、查验身份证等物理措施;其二,采取组织措施,例如,规定参与或者接触个人信息处理的相关工作人员负有保密责任;其三,采取防火墙、数据加密、去标识化等技术措施;其四,对于一般信息与敏感信息或隐私信息应当适用不同级别的安全保障措施。
在刑事司法领域,算法自动化决策的无序发展加剧了侦查活动的隐蔽性,危及司法公正、法律面前人人平等的价值追求,也难以应对监控型侦查权的建构性特征。对此,应当引入免受算法自动化决策权与算法解释权,对算法权力进行有效制约。
第一,赋予诉讼主体免受算法自动化决策权。《个人信息保护法》第24条规定:“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”理论界称之为“免受算法自动化决策权”[32]。免受算法自动化决策权是个人信息决定权的表现形式之一,不仅可以应对“大数据杀熟”等私法问题,也同样可以用于限制或者拒绝侦查机关的算法决策。免受算法自动化决策权保护了诉讼主体在面对仅依据算法作出的、对于自身产生重大影响或者不利影响的自动化决策时,可以提出反对、拒绝或者要求个人信息处理者进行人为干预的权利。一旦提出反对,侦查机关应当立即停止使用算法模型进行自动化决策,也不得再依据前述自动化决策的结论开展后续活动。此时的个人信息处理活动处于短暂的中止状态,需要诉讼主体进一步行使算法解释权等权利,或者等待个人信息监管部门的介入。
第二,赋予诉讼主体算法解释权。《个人信息保护法》第48条规定:“个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。”由于此项权利主要以算法作为应用领域,故而有学者称之为算法解释权:“当自动化决策的具体决定对相对人有法律上或者经济上的显著影响时,相对人向算法使用人提出异议,要求提供对具体决策解释,并要求更新数据或更正错误的权利。”[33]在刑事侦查中,算法解释权应当以具体决策而非算法功能为内容,解释的时点是在具体决策作出之后。针对具体决策需要解释的内容包括特定自动化决策拟解决的问题、自动化决策的理由、个人信息的类型、数据特征的权重、机器定义的特定案例决策规则、数据画像与决策过程的相关性说明,以及其他必要的信息。此外,应当明确算法解释权的形式。《个人信息保护法》第24条规定:“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明的和结果公平……”并且,该法第17条规定,个人信息应当“以显著方式、清晰易懂的语言”进行告知。因此,算法解释权应当符合“易读”“易见”“易懂”的标准。如果仍然存在无法理解等认知障碍,可以将专家辅助人制度前引至侦查阶段,由相关的专业人员辅助诉讼主体理解算法模型。
个人信息国家保护义务是保护个人信息的宪法基础[34]。该义务不仅要求国家机关履行不予犯禁的消极义务,避免成为侵犯个人信息的“风险源”,更要求国家机关通过积极的作为为个人信息保护提供良性的运行环境与制度供给。在监控活动中,侦查机关应当履行告知义务、个人信息保护影响评估义务、个人信息泄露的补救通知义务。
第一,侦查机关应当履行告知义务。虽然既有制度已经设计了侦查阶段的告知程序,但是告知内容多局限于人身、自由等权利事项,告知场景也未能因应数字化时代的特征,尤其缺乏对于秘密监控的事后告知。采取秘密监控的事后告知已经成为域外法治国家的普遍共识。例如,美国《监听法》规定:“在监听或延长监听停止后不超过90日的合理期间内,签发令状的法院应将下列通知的目录清单送达令状所载之人及法院依裁量认为应当通知的其他被监听人……如果侦查机关向法院释明有充足理由时,可以延迟送达通知。”因此,在我国调取、技术侦查等秘密监控活动中应当设置事后告知程序,以使诉讼主体知道自己被监控的事实,方便其进行权利救济。在有碍侦查的因素消失后,应当告知诉讼主体监控涉及的罪名、监控理由、监控的方式和期间、监控的授权主体等。
第二,侦查机关应当履行个人信息保护影响评估义务。个人信息保护影响评估义务是指对于某些可能影响个人权益的信息处理事项,应当在事前评估其处理目的、侵权影响与安全风险等因素。对此,《欧盟2016/680指令》第27条规定:“如果某种数据处理行为,特别是新技术的使用,考虑到数据处理的性质、背景和目的,如果可能对自然人的权利和自由造成高风险,成员国应当规定数据控制者在处理之前进行个人数据保护影响评估。”在监控型侦查权中广泛应用数据画像、数据挖掘、科技定位侦查等新兴技术,却忽略了科技与法律规范的兼容性问题。此时,个人信息保护影响评估义务的引入能够为监管机构和信息控制者提供有序、清晰、协调的决策基础,有助于缓解新兴技术的恣意运用。
第三,侦查机关应当履行个人信息泄露的补救通知义务。《个人信息保护法》第57条规定:“发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。”本条科以侦查机关两项作为义务。一方面,对于泄露的个人信息应当立即采取补救措施,以防止损害进一步扩大。由侦查机关承担补救义务,既是因为其是法定的信息处理者与责任主体,也是由于执法人员直接参加个人信息处理活动,对于相关情况较为熟悉,能够最为迅速、及时、高效地展开补救工作;另一方面,对于泄露的个人信息应当及时通知信息主体与监管部门。通知的内容包括下列事项:①发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;②个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;③个人信息处理者的联系方式。
现今世界各国对于新兴技术在社会治理领域的应用秉承截然相反的态度。部分国家由于警惕技术适用过程中的人权风险,叫停或者暂缓数字化技术的纵深推广。例如,自2019年5月美国旧金山首次禁止警方使用人脸识别软件查询罪犯之后,马萨诸塞州的萨默维尔市、奥克兰、伯克利也相继成为禁止人脸识别技术的城市。与之相对,我国自从步入大数据侦查阶段之后,国家一直积极助推、大力倡导数字化技术与侦查活动的深度结合。新技术在侦查领域的运行边界仅取决于技术上限,而无须受到法律规范的制约及公民权利的抗衡。在极端犯罪、网络犯罪高位运行的时下,我国无须因噎废食、人为收紧数据科技在侦查领域的适用范围,但同时也更需要建构法治化的数字侦查程序,强化监控活动中的权利供给,实现监控型侦查权与数字人权的协同发展。
我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自各大过期杂志,内容仅供学习参考,不准确地方联系删除处理!