大數據偵查中個人信息的法律保護

祝海洋，陳偉蓮

（華僑大學，福建 泉州 362000；泉州市中級人民法院，福建 泉州 362000）

2015年身為人民警察的柴某向非法放貸組織“宇策公司”借款五萬元，后因無力償還，遂將公安機關配發(fā)的包含有大量公民信息的移動警務系統(tǒng)質押給該從事非法放貸的黑社會性質組織，并告知警務通的功能、賬號、密碼，當場演示、教授使用方法，至2019年，公安機關將該組織破獲，經查，“宇策公司”利用柴某提供的警務系統(tǒng)實施違法犯罪活動，非法查詢公民個人信息一萬余條，其中包含犯罪人員信息、案件信息等敏感內容，致使大量公民信息泄露，造成惡劣社會影響。①柴升龍濫用職權案。參見天津市南開區(qū)人民法院（2020）津0104刑初427號刑事判決書。自從偵查機關利用大數據手段介入偵查活動以來，合理利用大數據信息給偵查活動的開展帶來極大便利，但偵查人員濫用職權造成個人信息泄露、利用數據網絡技術侵害個人信息安全的事件屢見不鮮。而由于缺乏規(guī)制偵查行為中收集使用個人信息行為的立法和監(jiān)督體系，使社會和公民陷入對偵查機關利用大數據偵查是否會侵害個人信息安全的擔憂。

一、大數據和個人信息在偵查中的應用

（一）大數據偵查的應用

大數據偵查尚未被納入標準的法律概念，故而無法對其進行統(tǒng)一的釋義。從實踐角度來看，可從兩個方面理解大數據偵查。一方面大數據偵查是利用大數據技術進行的偵查活動。偵查機關利用大數據庫對案件線索進行收集整理，將有關案件數據利用大數據技術進行分析追蹤，應用數字化技術對傳統(tǒng)偵查方式進行革新，以適應當今數據化、網絡化的信息時代；另一方面，大數據偵查是利用大數據思維開展的偵查活動。利用大數據思維進行偵查需明確大數據本身的內涵、特點、模式和機制。依托數據本身的龐雜性，可以充分分析行為人行為，使大數據的應用可以預測行為人的未來行動。公安機關可以利用大數據庫中的數據進行預測性分析，達到預測犯罪、預防犯罪的目的。通過大數據思維分析數據信息，將打擊的違法犯罪行為從已然擴展到未然，對于維護社會安定團結具有更重要的意義。依仗偵查人員豐富的辦案經驗和先進的科學信息技術進行的偵查活動，有利于提高偵辦案件的效率、維護社會公平正義。由此可見，大數據偵查并非一種單純的偵查方法，而是一個充實、復雜的體系。［1］大數據偵查是偵查機關在大數據時代背景和時代條件下對傳統(tǒng)偵查模式的升級，是從違法犯罪行為的預防到已發(fā)生的違法犯罪行為的線索識別、證據搜集、嫌疑人固定所采取的一系列以大數據技術與思維為依托的偵查行動和偵查模式。

大數據偵查應用模式與實踐類型存在多種劃分方式，如個案分析模式和整體分析模式、衍生數據模式、回溯型偵查模式和預測型偵查模式等。［2］偵查機關利用大數據偵查在實踐中的應用主要集中在對實施違法犯罪的人員個體進行信息化梳理、對有相似性的案件或連環(huán)案件進行細節(jié)上的數據對比、對共同犯罪或者團伙犯罪成員進行集中分析與追捕以及對未及實施的違法犯罪活動進行堵截或提醒潛在受害人警惕不良人員等幾個方面。

根據“洛卡爾物質交換定律”，犯罪分子只要實施犯罪行為，必將與犯罪現場進行了直接或間接的物質交換，從而出于自覺或不自覺的因素留下痕跡，這也是偵查過程中常說的“犯罪必留痕”。一般的觀點認為，廣義的“痕跡”不僅包括物質痕跡還包括心理痕跡。［3］而在如今的社會環(huán)境和大數據發(fā)達的背景下，實施了違法犯罪活動的行為人不僅會在現場遺留物質痕跡和意識痕跡，還會留下“信息痕跡”，對犯罪分子進行畫像時，除了傳統(tǒng)和外貌形象、職業(yè)特點、心理特征等，還可通過嫌疑人留下的信息刻畫出其數據輪廓，依托數據量巨大的數據庫進行篩選，提升鎖定目標嫌疑人的速度和準確性。

在實際偵辦案件中，有些案件呈現出相似或相同的犯罪行為模式，通過犯罪數據的橫、縱向對比，可以從中抽象出此類犯罪的犯罪模型，此時加入個案中嫌疑人的特殊數據與畫像，可以使嫌疑人范圍逐漸縮小，使違法犯罪人員個體逐漸清晰，有助于公安機關迅速采取措施。而在團伙犯罪中，由于犯罪團伙成員之間存在數據的共通性，通過數據分析鎖定其中一個嫌疑人后可以順藤摸瓜，排查相關人員，在案件偵辦中做到查無遺漏。

建立在相關關系分析基礎上的預測是大數據的核心。［4］對于多發(fā)、頻發(fā)的案件，通過大數據提取犯罪行為模式，有助于偵查機關對未來犯罪的預防及預警。一方面，監(jiān)測到預備實施違法犯罪行為的行為人觸發(fā)犯罪行為模式中某一環(huán)節(jié)時，偵查機關就可以對其犯罪證據進行截留，必要時可以直接采取相關行動，使“既遂”變“未遂”，使偵查從“被動型”轉變?yōu)椤斑M取型”，在及時教化嫌疑人的同時維護被害人生命財產安全；另一方面，偵查機關可以向潛在的被害人發(fā)出預警，提高被害人防范意識，謹防不法分子侵害，如最近被普及的反詐騙APP就是通過向潛在受害人預警潛在的信息網絡詐騙活動，以期達到維護公民財產安全的目的。

（二）個人信息在大數據偵查中的應用

偵查機關通過多種數據庫的建設和應用，將公民個人信息和案件偵辦聯系起來，為偵查工作助力。這些數據庫包括偵查機關自建的大數據庫，如“金盾”工程、天網工程、雪亮工程與智慧警務的建設等；［5］也包括除偵查機關以外的其他政府部門共享的數據平臺，如人口普查結果等；還包括可以被偵查機關調取的非政府部門的機構大數據庫，如電信運營商掌握的個人通訊數據、電子商務公司掌握的客戶購物物流信息、各類商業(yè)監(jiān)控探頭甚至包括公民個人安裝的監(jiān)控設備，都可以在必要條件下成為可以被偵查機關使用的數據資源。

在公安機關開展的天網行動中，偵查人員可以通過被廣泛安裝并使用的監(jiān)控設備對犯罪嫌疑人進行追蹤和定位，在實踐中通過嫌疑人在監(jiān)控系統(tǒng)中留下的影像資料可以較為準確的把握其形象特征。隨著監(jiān)控設備的升級，監(jiān)控探頭可以捕捉的嫌疑人影像越來越清晰，為后續(xù)追捕工作提供便利。公安機關還可以通過天網系統(tǒng)向其他轄區(qū)辦案人員提供案件信息共享，多轄區(qū)協同辦案，提升辦案效率。監(jiān)控系統(tǒng)的普及為辦案與偵查提供了極大便利，天網工程收效顯著，有關機關進一步推出“雪亮工程”，使電子監(jiān)控設備和手段向廣大的農村地區(qū)延伸，維護城鄉(xiāng)居民安全。通過天網工程和雪亮工程的雙線配合，利用監(jiān)控系統(tǒng)還原案發(fā)經過、識別犯罪嫌疑人行動信息、追蹤犯罪嫌疑人行蹤以及預防預警犯罪的技術日漸完善，可為進一步發(fā)展大數據應用打下良好基礎。

偵查機關進行案件調查摸排工作時，往往需要充分而全面的掌握案件相關人員信息。以刑事案件為例，偵查人員需要充分調查受害者身份信息、生活軌跡、行動信息等，在深入調查被害人相關信息過程中，可首先通過戶籍系統(tǒng)對受害者家庭成員與家庭背景進行初步了解，把握基本情況，再通過由人口普查形成的個人信息平臺補充完善被害者基本信息。當需進一步了解和提取其遇害前聯系人時，可借助電信運營商和社交軟件運營商留存的電子數據進行提取分析，建立與被害人相關的關系網，從中進一步摸排和確定犯罪嫌疑人。對于已經確定的嫌疑人進行追捕時，也可將他在犯罪現場遺留的行為痕跡進行數字化處理，通過大數據分析對比，得出犯罪分子的個人信息和特征，實現較為精準的定位，提升追逃送審效率。

二、偵查機關在個人信息應用中存在的問題

個人信息和大數據手段在偵查機關辦案過程中起到了十分突出的作用，偵查機關也逐漸意識到信息化、數據化帶來的便利，開始追求數據庫的進一步擴張，想要盡可能多而廣泛的收集各類個人信息，為今后工作的開展和預防犯罪打下堅實的“信息基礎”。但在收集新信息和利用已有數據庫信息資源的過程中，偵查機關也容易忽視個人數據的安全問題，致使大數據偵查行為存在著危害個人信息安全的潛在風險。

（一）個人信息收集范圍過度擴張

在偵查過程中，偵查機關運用大數據系統(tǒng)進行信息檢索一般要求廣泛、全面、細致的收集相關人員個人信息，以防遺漏重要線索或證據。但這個過程不免將與案件沒有實際聯系或即使有實際聯系但并非違法犯罪人員的人牽扯其中，對這類人群的信息收集不應過度，但這個“度”具體在哪里，需要偵查機關和偵辦案件的偵查人員在實際案件中根據具體情況，做出具體分析與決策。

大數據偵查的應用還包括預防“未然”犯罪，進行犯罪預警，這就需要掌握并分析大量并非實際違法犯罪行為的數據信息，因為不能精確的預知哪些人做的哪些事與犯罪行為有關，所以只能采取“廣撒網”的數據收集模式，這樣一來便有可能侵犯普通公民的隱私權，甚至有濫用職權之嫌。

（二）缺乏共享信息規(guī)制

偵查機關在進行以大數據為依托的偵查活動中，往往通過自建的大數據系統(tǒng)進行數據分析，但有時需要借助其他國家機關或非政府第三方機構的大數據系統(tǒng)進行進一步研判。在此過程中，雖然偵查機關與其他大數據庫擁有主體之間存在保密協議，但并沒有保密落實機制，這就導致被調查過的、并非真正違法犯罪人員的相關個人信息處于泄露風險之中。

一方面，在與其他國家機關進行信息調取中往往忽視對公民個人隱私權的保護，不乏存在任意性和檢索不規(guī)范等問題，且這種信息上的互通發(fā)生于國家機關與國家機關之間，缺乏信息調取過程的外部監(jiān)督；另一方面，在偵查機關向社會機構收集信息時并不能確保相關人員遵守保密規(guī)定，同樣也缺乏對被調查信息的后續(xù)使用、銷毀等程序的規(guī)范化的指引，而如若被調取的信息被任意處置，則無法確保信息主人的隱私安全和數據安全。

（三）個人信息數據存儲保護不當

偵查機關既是數據信息的收集者、分析者、使用者，又因其作為國家負責維護社會穩(wěn)定、維護公民合法權益的機關，對維護個人信息安全負有不可推卸的責任，所以也應是個人信息的保護者。但在利用個人信息進行偵查的行動中，偵查機關本身存在數據信息保管保存不當的弊端，致使個人信息處于泄露的風險之中。第一，偵查機關內部人員在進行公民信息查詢時限制較少，查詢信息的隨意性強，甚至可以非因案情需要任意查詢、倒賣公民個人信息。在中國裁判文書網上進行檢索，警察涉及侵犯公民個人信息罪、非法提供個人信息罪、與個人信息有牽扯的受賄罪、瀆職罪等共200余起，給公安機關造成惡劣影響的同時也給社會帶來了極大恐慌。①檢索對象為中國裁判文書網（wenshu.court.gov.cn），訪問與檢索時間為2022年9月18日。檢索范圍為“刑事案件”“判決書”，關鍵詞設置“個人信息”“警察”“國家機關工作人員”，共找到刑事一審案件判決書250份。第二，黑客的存在一直是威脅大數據系統(tǒng)和大數據庫安全的一大勁敵，偵查系統(tǒng)建設的數據庫并不足以抵御這種外來風險，黑客對偵查數據庫進行攻擊的事件屢見不鮮。如2017年比特幣勒索病毒（Wanna Cry）入侵公安內網并大規(guī)模傳播，不僅直接使公安信息系統(tǒng)癱瘓長達半月，還摧毀了數據庫中收集的大量個人數據信息，造成極為嚴重的后果，公安部門付出了慘痛代價。

三、大數據偵查個人信息保護不當的成因分析

偵查機關在利用大數據偵查技術和思維的過程中存在不足，而造成這些不足的原因包括相關立法層面的不完善、偵查工作外部監(jiān)督機制的缺失和數據儲存技術手段的相對落后、負責案件偵辦工作人員數據防范意識較低等原因，其中立法缺憾和監(jiān)管不力需重點關注。

（一）相關立法不完善

我國在2021年頒布并實施了《中華人民共和國個人信息保護法》，對個人信息安全進行專門保護，該法與刑法、民法等領域也多有銜接，但鮮有法律規(guī)范涉及和適用于偵查工作，加之沒有專門的立法規(guī)制偵查過程中對大數據和個人信息的利用，因而出現很大的法律漏洞。這一缺憾導致偵查行為對個人信息保護范圍呈現出不明確性和碎片化的特點，致使個人信息保護法律規(guī)范層面難以體系化，并進一步引發(fā)偵查實踐中法律適用方面的難題，嚴重干擾了公民個人信息正當權利。

（二）專門信息監(jiān)督機構缺失

根據《中華人民共和國個人信息保護法》的規(guī)定，對個人信息負有保護責任的部門為國家網信部門，而對于嚴重侵犯個人信息的行為應當由公安部門進行調查，這種情況下所針對的侵害個人信息的主體是除國家機關以外的社會第三方機構或個人。①具體規(guī)定見《中華人民共和國個人信息保護法》第60條、第64條。對于國家機關，尤其是肩負偵查職能的公安機關來說，雖然可以通過內部監(jiān)管的方式，如由公安法制部門進行監(jiān)督，［6］但對于公安機關本身來說，缺少專門機構進行外部監(jiān)督和制約，在個人信息收集使用過程中沒有忌憚。另外，缺乏個人信息保護的專門監(jiān)督機構還會造成被公安機關侵犯合法權益的公民投訴無門的窘境，沒有專門機構真正關心被侵犯個人信息的公民權益，這與該法的立法本意是背道而馳的。

（三）監(jiān)督職責缺位

按照我國司法機關職權設置，檢察院、監(jiān)察委、法院對偵查活動的開展都負有監(jiān)督或審查義務，應對偵查行為進行監(jiān)督審查。但在實踐中，大數據偵查因外部監(jiān)督缺位，處于幾乎封閉的狀態(tài)，學界稱為“制度上的封閉性”。［7］

偵查權是公安機關最核心的職權，采取何種偵查手段、何種偵查策略，公安機關比任何其他國家機關都更有把握，監(jiān)督機關對偵查思路和手段也并不熟悉，貿然插手或叫停偵查工作可能導致重要案件線索丟失，給案件偵破工作造成阻礙。實踐中檢察院和法院對偵查機關的監(jiān)督往往通過對案卷材料的審查進行，偵查機關利用大數據對公民造成的信息權利的侵害具有較強的隱蔽性，很難在案卷中呈現，當然，偵查機關也不會主動在案卷中呈現自己工作的不足，這就使監(jiān)督更加困難。

此外，根據法律規(guī)定，檢察院也享有一定的偵查權，但若單純由檢察院對偵查工作進行監(jiān)督，則有“既當運動員，又當裁判員”之嫌。監(jiān)察委是對行使公權力的公職人員進行監(jiān)察，但重點是調查公職人員中的壞腐分子，而非調查偵查手段本身的侵權性。法院有司法審查權，但法院對案件審查和判決的基礎是卷宗，非法證據的排除往往集中在物證和言詞證據上，很難從案卷中找到大數據偵查對個人信息侵害的蛛絲馬跡，暴力取證也很難被擴大解釋為利用大數據手段采集所致。

（四）偵查人員執(zhí)法能力有待提高

數據是流動的也是變化的，個人信息在數據化后也呈現出一定的流變性特點。在大數據使用中，靜態(tài)的數據保護方式已難以適應當前對數據利用、處理和保護的需求，這種技術短板嚴重影響到偵查人員的執(zhí)法能力。囿于傳統(tǒng)的偵查模式和思維，一些偵查人員對涉案人員個人信息的保護不夠重視，認為只要是為了搜集線索、偵破案件，就可以做出信息安全的犧牲。此外，按照目前的信息管理辦法，偵查人員可以不分級別接觸到個人信息數據庫，其中不乏信息素養(yǎng)較低的警務人員將個人信息向外泄露，偵查人員利用內部系統(tǒng)侵害個人信息安全的行為無疑是對數據信息安全的一大威脅。

四、大數據偵查個人信息保護的完善

防范大數據可能造成的個人信息安全威脅，構建完善的個人信息應用體系勢在必行。偵查機關應從基本原則出發(fā)，完善對個人信息保護的相關法律法規(guī)，建立內外部監(jiān)督機制，規(guī)范數據的儲存和使用。

（一）堅持合理使用原則

《中華人民共和國個人信息保護法》規(guī)定，使用個人信息需經過本人授權或許可，理應在偵查機關采集、調取、使用個人信息的過程中獲得本人同意。由于偵查行為的特殊性，普遍認為公民已經提前同意并許可偵查機關對自己的個人信息進行搜集分析，但這種收集應有一定限度且不能給信息所有者產生不利或傷害，應謹防信息泄露、隱私曝光。

偵查機關在進行大數據建庫和調取使用過程中應遵循適度的原則，不應無限制的收集個人信息，也不應無限制、隨意地對已收集的數據進行分析。要緊密圍繞案件本身進行數據采集，在結案后妥善處理已用信息，使信息的收集和處理符合且限于偵查犯罪和預防犯罪的需要。在偵查和打擊犯罪的過程中，應選擇對公民影響最小、損害最輕的方式進行，平衡好辦案和個人信息權保護的需要。

（二）完善法律規(guī)范體系

目前，大數據應用模式使初期偵查權規(guī)制出現法律真空，［8］可以考慮將現有規(guī)則轉化應用其中。大數據偵查與我國《刑事訴訟法》規(guī)定的搜查、勘驗檢查、技術偵查和調取證據四種強制性偵查措施有所聯系。［9］可以靈活適用、變通適用作為對大數據偵查的規(guī)制法，如在調取存儲于第三方數據庫中的數據時，應當符合調取證據的相關規(guī)范；再如在確定的物理范圍中進行數據檢索時，可以變通適用搜查的相關規(guī)則與程序。

偵查機關在偵查中需要其他國家機關協助的，應嚴格審批。對于需要在國家機關內部進行跨級、跨單位的數據共享，應提供相關證明，即使涉及重大機密不便透露案件細節(jié)，也應由上級偵查機關做出相關說明或批準，才允許調取與案件偵查有關的數據和信息。信息調取和使用完畢后應對其進行妥善處理，以降低信息泄露風險。對于需要向非政府部門的社會第三方數據儲存機構調取的數據信息，應在調取時出示相關證件，在數據共享完成后主動監(jiān)督機構妥善儲存或銷毀相關數據，確保信息流轉收尾工作安全。

（三）加強對偵查機關的監(jiān)督

國家網信部門是對信息實施安全監(jiān)管的機關，但其監(jiān)管方式離監(jiān)督偵查機關在大數據偵查中使用個人信息的要求尚存在較大的差距。從實踐情況和長遠規(guī)劃看，大數據技術的應用日趨多元和廣泛，應建立專門的大數據信息使用監(jiān)管機構，集中負責對數據采集行為的指導、數據處理使用的監(jiān)督和個人信息侵權的救濟等工作。

專門的監(jiān)管機構應出臺相應的指導意見，明確可收集的個人信息的范圍與程度，制定數據和個人信息的分級保護目錄，規(guī)范和劃分保護優(yōu)先級，在必要時協助偵查機關厘清個案數據信息保護的優(yōu)先順位。在數據處理和使用過程中，監(jiān)管機構應對偵查機關使用數據的行為進行現場跟進，對信息使用中執(zhí)法記錄儀監(jiān)控情況進行查閱，監(jiān)督偵查機關信息使用行為。同時，對違規(guī)使用數據的行為進行及時制止與補救，最大程度降低對個人信息安全造成的損害。當公民個人信息權受到損害時，可以向監(jiān)管機構進行投訴、舉報，監(jiān)管機構有權對投訴舉報進行審查，并及時與被投訴人員進行溝通，對其中存在的侵犯個人信息權的行為進行糾錯，對相關責任人員進行處罰。

對偵查機關進行法律監(jiān)督是檢察機關的職責。檢察機關在職權范圍內，可對其偵查行為中涉及的個人信息安全進行檢查監(jiān)督。一方面，在實體法上介入監(jiān)督，督促其在合法合規(guī)軌道上開展信息偵查；另一方面，加強程序監(jiān)督，偵查機關在進行大數據偵查的前、中、后期均應設置統(tǒng)一規(guī)范的程序，并按照程序要求開展工作，檢察機關可以重點審查程序的合法性，保障程序正義。偵查人員在偵查過程中可能出現濫用職權，違法違規(guī)操作大數據系統(tǒng)造成個人信息泄露的情況。監(jiān)察委應對該類人員進行監(jiān)察監(jiān)督，可通過對可能觸及個人信息核心安全的重點人員進行預防性監(jiān)督，防患于未然。在實踐中，法院很難實際接觸到偵查機關辦案細節(jié)和具體過程，法院的監(jiān)督偏重于事后監(jiān)督，主要依賴于被侵權人的主動提出。在案件審判過程中，法院應督促偵查機關謹慎、合法使用權力。在大數據背景下，偵查機關獲取公民個人信息有一定的強制性，而電子證據因其不易造假，逐漸成為“證據之王”，電子證據的獲取往往不通過暴力途徑獲取，應將證據獲取行為是否合法的標準做出擴展適用，即只要證據獲取過程違反法律法規(guī)相關規(guī)定就應當作為非法證據進行排除，從而在司法活動的最后一公里為個人信息的安全保駕護航。

（四）規(guī)范數據的儲存和使用

在偵查中需要進行個人信息采集分析時，應采取分階段監(jiān)督的方式確保數據信息安全。第一階段為數據采集前，這一階段是對大數據庫的充實階段，如需進行新的數據采集需要經過有權機關的審批應允，在被許可的范圍內開展采集工作；第二階段為采集過程中，數據采集過程需在至少兩名偵查人員在場時啟動，同時應使用執(zhí)法記錄儀記錄下信息采集全過程；第三階段為數據采集后的存儲階段，這一階段可以采用先進的信息技術對數據庫進行加持，將黑客擋在庫外；第四階段為數據信息的分析使用階段，這一階段應采取符合案件需要的分析路徑，對已有的數據進行梳理整合，在發(fā)現線索的同時謹防“內鬼”利用數據庫的數據滿足自己的私用；最后一階段為數據使用后的監(jiān)督階段，偵查機關本身可以進行自我監(jiān)督，對于偵查過程中違法使用數據信息的情況可以展開自我摸排，主動消除不良影響，還公民一個安心。