大數據背景下公安情報工作中的信息隱私權保護

肖佳鑫

(中國人民警察大學,河北 廊坊 065000)

0 引言

隨著云計算、物聯網、人工智能的不斷發(fā)展,社會生產生活方式已經發(fā)生新的變化。從“大情報系統”到“金盾工程”,從“情報主導警務”到“情指行”一體化建設,公安情報工作無疑隨著數字技術的不斷迭代而發(fā)展革新。如今,大數據背景下公安情報工作已經融入了數字技術、內容和模式。相比于傳統公安情報工作主要依靠人力情報、技術監(jiān)聽情報、公安信息查詢相比,大數據背景下的公安情報工作大量存儲利用、挖掘分析、關聯比對一切數據信息,分析挖掘人、車、物、證、碼等信息實體以及相互間的關聯關系。大數據背景下公安情報工作在戰(zhàn)略層面和戰(zhàn)術層面越來越向著精準化、效率化、預測化的方向發(fā)展,給警務工作帶來極大的變革和便利。

然而,公安情報工作固有的“侵他性”屬性,必然和個人的信息隱私存在沖突,這一內生性的二元矛盾導致公安情報工作在主導警務工作的同時本身也成為一種“社會風險”。事實上,控制這種“社會風險”以及保證權利人容忍義務在合理范圍一直是法律追求的目標,《憲法》《民法典》《刑法》中均設置了關于個人隱私保護的內容。公安機關作為權力主體也設置了一系列內部規(guī)范來防止權力不恰當的擴張,如對于情報監(jiān)聽這一情報搜集措施設置了嚴格的事前審批程序。但應當看到,公安情報技術革新帶來的權力自然擴張遠超信息隱私權利的法律規(guī)范保障改革步伐,這種矛盾兩面發(fā)展上的不均衡勢必對權利人的信息隱私造成不可逆轉的侵犯[1]。

從中國保護個人信息隱私的立法和司法進程來看,立法保障步伐從未止步。2021年8月20日,第十三屆全國人民代表大會常務委員會第三十次會議表決通過的《中華人民共和國個人信息權利保護法》(以下簡稱《個人信息權利保護法》)無疑在個人信息保護方面具有里程碑式的意義。國家首次以一部單獨法律的形式對個人信息的保護加以確立,為中國信息隱私的保護提供了基礎性的法律制度保障。但《個人信息保護法》框架式的法條設定給公安情報實踐帶來一定困擾,特別是缺乏在公安情報領域各個情報流程中的特殊關照。在學術理論層面,學者針對“大數據偵查”“刑事偵查”“警務信息公開”“公安信息工作”中的個人信息隱私保護已經取得了積極的進展,探索出了不少理論成果。但在公安情報領域,特別是在大數據背景下的公安情報領域下個人信息隱私保護的理論成果還較少。鑒于此,本文站在前人的理論高度,探討大數據背景下公安情報工作與信息隱私權保護的基本理論,分析當前我國公安情報領域存在的信息隱私危機,以期尋找完善大數據背景下個人信息隱私權保護的可行性路徑,為當前公安情報工作中客觀存在的信息隱私危機提供化解之道。

1 大數據背景下公安情報工作與信息隱私權保護的基本理論

隱私權即自然人享有的對其個人的與公共利益無關的信息、私人活動和私有領域進行支配的一種人格權。美國法律人沃倫和布蘭代斯在1890年12月15日發(fā)表于《哈佛法學評論》第4期的《隱私權》一文中將隱私權的概念引入學術界,自此,關于隱私權的探索開始在理論和司法實踐中擴散發(fā)展[2]。美國學者普羅瑟于1960年對隱私權的類型進行了劃分,包括:對個人獨處獨居或私人事務的入侵;向公眾揭露使個人難堪的私人事實;將被害人置于不正確的公眾理解下;被告人為自己的利益而存在未獲得被害人同意的情況下使用其姓名或其他特征。

隨著Web 3.0時代的到來,網絡已經融入公民社會生活的各方面。公民讓渡部分個人信息給網絡主體以獲取便利,政府公共部門出于社會管理的需要存儲并利用個人信息。關于個人信息的內涵,我國立法實踐中有不少體現。2020年12月23日新修訂的《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》對個人信息的內涵進行了界定:“個人隱私和其他個人信息”包括“自然人基因信息、病例資料、健康檢查資料、犯罪記錄、家庭住址、私人活動”。2013年6月28日工業(yè)和信息化部發(fā)布的《電信和互聯網用戶個人信息保護規(guī)定》界定了以“識別性”作為核心的個人信息范圍。2013年最高人民法院、最高人民檢察院、公安部發(fā)布的《關于依法懲處侵害公民個人信息犯罪活動的通知》規(guī)定:公民個人信息包括公民的姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學歷、履歷、家庭住址、電話號碼等能夠識別公民個人身份或者涉及公民個人隱私的信息、數據資料?！毒W絡安全法》第76條第5款給出了個人信息的定義:個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證號碼、個人生物識別信息、住址、電話號碼等。2017年5月8日發(fā)布的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,將《刑法》第二百五十三條之一規(guī)定的“個人信息”解釋為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等”。在歐洲,《一般數據保護條例》也對個人信息作了類似規(guī)定,它的權利結構主要包括選擇權、訪問權、刪除權、更正權、知情權等權利。

個人信息大數據和其他類型網絡大數據一起構成了網絡大數據,它反映了大數據時代個人的生活狀態(tài)和復雜的社會網絡關系,在它的權利結構中具備了隱私權的屬性,即個人信息隱私權[3]。它是個人信息主體在個人信息以數據等形式存儲、傳輸、分享時產生的對隱私的期待。

2 大數據背景下公安情報工作的新特點

融入了大數據技術、方法和模式的公安情報工作呈現出新特點。一是情報來源渠道擴大。公安情報部門不僅通過自建或共享全國人口信息數據庫、出入境數據庫、交通管理數據庫、治安重點人數據庫、視頻圖像數據庫等來掌握公民的身份信息、駕駛信息、護照信息、簽證信息、人臉圖像信息等,還通過龐大開源的社交網絡數據來挖掘個人社交關系、軌跡定位等個人信息。二是公安情報思維與大數據技術的深度融合。大數據背景下物聯網技術、數據可視化技術、結構化視頻分析技術、人臉識別技術等正與公安情報研判思維深度融合,實現了數據之間相關關系的深度挖掘,為犯罪控制提供情報支撐。三是個人信息數據高度關聯。大數據時代公安情報部門憑借情報搜集到的海量信息數據,強調對信息數據的深入關聯挖掘,以期實現個人吃、穿、住、行、消、樂數據融合的關聯檔案。

誠然,個人信息隱私權利本質上具有功利性和相對性,為了國家安全和社會公共安全需要一定的讓位,以保證公安情報工作的正常開展。但是,除非遇到界限,否則一切有權力的人都容易濫用權力[4],設定個人信息隱私權便是公安情報工作在處理個人信息隱私時的權力邊界。尋求公安情報工作與個人信息隱私保護的利益平衡,既不過分強調對個人隱私權的保護,也不放任公安情報工作對個人信息的無限侵犯,一切依照法律授權和法定程序進行。從公安情報工作實踐來看,目前,我國公安情報工作與個人信息隱私保護并沒有達到利益平衡。

3 大數據背景下公安情報工作中的信息隱私權危機

3.1 情報搜集范圍的大數據特征顯著

大數據環(huán)境下,公安情報來源主要包括人力情報、公安情報數據庫、政府部門業(yè)務數據庫、第三方網絡主體、互聯網開源情報等。這些海量的情報信息具備多源、價值密度低、增長迅速等特征,它們與個人信息同時混雜在網絡空間,無法準確過濾。這不僅增加了公安情報處理、管理復雜度,還讓個人信息隱私的保護難度增加。

3.2 內部監(jiān)管制度不健全

目前,公安機關對技術監(jiān)聽情報獲取設置了較為嚴格的審批流程,但在訪問頻率更高的大數據情報信息使用上,主要采用數字證書權限分級和查詢記錄留痕的限權性監(jiān)督方式,通過事后瀏覽查詢日志來確定民警是否有違規(guī)行為。該監(jiān)管制度的設計關注侵權行為的事后追溯,然而在重要的事前預防和事中發(fā)現階段存在一定的不足。

3.3 公安情報人員隱私理念的匱乏

公安情報分析人員在處理個人信息時,缺乏足夠的隱私保護理念,這在一定程度上源于其職業(yè)特性以及工作所涉及機密信息的性質。近年來,各地不時暴露出公安民警侵犯公民個人信息隱私,違規(guī)查詢、販賣個人信息的行為。

3.4 個人信息隱私權利保護法律規(guī)制的局限

Web 3.0時代,公民個人信息隱私以個人數據和個人信息的形式予以表現,而目前我國法律關于個人信息隱私的保護多見于私法領域,如《民法典》《網絡信息內容生態(tài)治理規(guī)定》《關于加強網絡信息保護的決定》等[5],而作為針對個人信息保護單獨立法的《個人信息保護法》,又缺少針對公安情報工作中公權力制約的特別照顧。

3.5 公安情報工作主體的擴張

囿于公安機關情報部門技術研發(fā)能力的限制,多地公安機關密切與第三方信息科技公司的技術合作,公安情報工作主體出現了實質性擴張。一方面,科技公司強大的數據分析能力提高了情報產品的質量,提高了情報主導警務效率;另一方面,大量的個人信息暴露于第三方主體,第三方主體完全有能力和機會憑借自身的平臺和技術優(yōu)勢獲取公民個人信息,從而侵犯公民個人信息隱私權利。

3.6 “知情-同意”法律規(guī)制功能的暫時性失靈

個人信息收集“知情-同意”框架原則是歐盟在《一般數據保護條例》中確立的,它要求個人信息的采集和處理以信息主體明確同意的意思表示作為合法性授權。我國的《個人信息保護法》便是借用了這一立法框架原則[6]。但公安情報工作的秘密封閉性又將“知情-同意”框架原則排除在外,特別是大數據背景下公安情報信息的無感采集場景,進一步擠壓了公民個人信息知情權利空間,公民對個人信息情報挖掘結果、流程去向更是無從知曉[7]。

3.7 個人信息隱私保護技術的缺失

近兩年,各個大型科技公司都致力于研究隱私保護技術,如聯邦計算學習、同態(tài)加密、安全多方計算等。各類方案也開始從概念階段慢慢轉向實施階段,旨在滿足隱私保護和數據安全的基礎上,實現數據的流動以打破“數據孤島”的困境,更好地進行價值的挖掘。個人信息隱私保護技術在金融信貸風險評級、精準營銷、廣告投放、政務數據共享、人工智能疾病聯合診斷等領域都已經有了應用場景[8]。成熟的個人隱私保護技術在兼顧最小可用原則的前提下最大限度地保護了用戶隱私[9]。但在公安情報應用場景,個人信息隱私權利的響應依然大量依賴人工處理,缺乏成熟隱私保護技術的落地應用,造成個人信息隱私技術的公安場景缺失。

4 大數據背景下公安情報工作中信息隱私權保護的路徑之構想

4.1 在公安情報工作各流程上劃定合理的權力邊界原則

在公安情報搜集流程上,應重點考慮幾點原則:一是目的正當原則。公安情報部門搜集個人信息的目的應當以打擊違法犯罪維護公共利益為前提,且應貫穿情報工作的各個環(huán)節(jié)。二是方法適當原則。個人信息搜集的方法應當合法合理且適當,盡管“知情-同意”框架體系并未在《個人信息保護法》上予以明確,實踐中的情報搜集也多是在“不知情”的情況下發(fā)生,但在立法期待上,本文認為應當將其作為一項情報搜集的基本原則。在公安情報分析流程以及情報產品使用和共享流程上,應保證最小范圍原則。個人信息與其使用目的所需要的范圍必須有充分的相關性,不得隨意突破;情報產品的共享應當保持在警務工作正常運轉下的最小范圍,以最大限度地降低個人信息泄露的風險。

4.2 完善公安情報工作中個人信息隱私保護的規(guī)制體系

4.2.1 國家主導完善以公安情報工作為核心的個人信息隱私保護法律體系

當前,個人信息隱私權利保護法律體系中的調整對象主要針對以互聯網平臺為主的第三方網絡主體,而以公安機關為代表的政府部門收集、使用個人信息的權力規(guī)制明顯不足。在新一輪警務運行機制改革的大背景下,公安情報指導警務活動的地位更趨明確。但公安情報工作的定位長期停留在理論層面,法律定位模糊,這無疑無法為情報工作中的信息隱私權提供常態(tài)化、體系化、規(guī)范化的制度保障。因此,亟須加強公安情報工作中信息隱私權的法律制度保障。應重點針對公安情報收集、情報分析研判、情報產品報送、情報產品的使用及分享等情報流程存在的個人信息隱私風險分別設置法律條款;同時設置相應的法律責任,明確情報工作各流程的責任主體,確定直接責任人和負責人,以保證事后追溯的針對性。

4.2.2 在內部建立公安情報層級式的審查模式,開展信息隱私的實質性審查

首先,建立公安情報工作個人信息審查的層級結構,明確審查對象和審查范圍。按照情報目標重要程度、個人信息的敏感程度、內部情報工作的體系差異,設置“遞進式”的審查和過濾標準,如監(jiān)聽情報的適用范圍。其次,建立符合公安情報工作規(guī)律的審查操作標準和審核流程,兼顧實質審查和情報效率。鑒于我國公安情報工作實踐中還未建立專門的情報監(jiān)督機構,可探索設置專門的情報信息隱私實質審查崗位,滿足審查需求。

4.2.3 構建個人信息權利主體全流程監(jiān)督和事后追溯機制

將公安情報工作從絕對保密向適度公開過渡[10],在重要程度“一般”的情報處理流程中預留個人權利主體情報監(jiān)督空間,保障權利人知情權。例如:在城市街道監(jiān)控探頭無感采集公民人臉信息時,在顯著位置可張貼標識提前告知個人信息去向和使用目的;在公安機關執(zhí)法辦案中心采集特定對象的聲紋、虹膜、指紋等個人信息時,概括式地告知信息的去向以及可能的用途。此外,借鑒《美國信息自由法》(FOIA)有關規(guī)定,設置事后追溯機制,允許遭受個人信息隱私泄露的公民獲得政府機構持有數據的記錄?！睹绹畔⒆杂煞ā芬?guī)定公民得知信息受到侵犯后可以向監(jiān)管美國海關和邊境保護署的國土安全部提交《信息自由法》申請,以找出哪些信息可能導致額外的問題,對此司法部必須在20天內做出回應,如果部門沒有及時回應,權益被侵犯的公民可以迫使法庭行動并做出回應。

4.3 提高公安情報人員隱私保護意識

針對公安情報人員,應推行法制教育常態(tài)化,加強情報人才隊伍的隱私保護意識。在選拔任用情報收集人員時將隱私保護意識納入準入范圍,同時提高現有情報收集人員的專業(yè)素養(yǎng),確保在情報收集、過濾、分析以及處理的過程中不出紕漏,使公安情報人員成為隱私保護理念的倡導者和嚴懲違法人員的執(zhí)法者,保護公民信息不外傳、不泄露。

4.4 加強個人信息隱私保護技術在公安情報場景的應用

相較于隱私信息保護技術商業(yè)場景的應用,個人信息隱私權利保護技術的公安情報場景應用明顯不足。因此,應該關注個人信息隱私保護技術對個人信息保護的關鍵作用,加強數據加密技術、驗證技術、數據存儲技術、數據發(fā)布隱私保護技術(Privacy Preserving in Data Publishing,PPDP)[11]等隱私保護技術在公安情報場景的運用,提升公安情報場景個人信息安全防護水平。

5 結語

大數據背景下的公安情報工作呈現情報渠道擴大、思維技術融合、數據高度關聯的新特征,融入了大數據技術、內容和模式的公安情報工作與個人信息隱私權已經引發(fā)了新的人權危機。這種危機一方面是因為公安情報工作法律定位模糊而導致的外源性危機;另一方面是由于公安情報自身工作流程和運行規(guī)律的內生性危機。因此,應當在公安情報工作流程上劃定權力邊界原則,構建以公安情報為核心的個人信息隱私法律保護體系,設置內部層級式的實質性審查模式,提升公安情報人員的隱私保護意識,加大隱私保護技術的應用,以期實現公安情報工作與個人信息隱私權利保護的動態(tài)平衡。