刑事司法中的数据安全保护问题研究
作者:***广州怀圣寺
来源:《东方法学》2021年第05期
如何去除法令纹 内容摘要:刑事司法中海量收集使用数据必然带来数据安全保护的问题,现有法律对于此问题的规定存在不足,新出台的数据安全法对于刑事司法中的数据安全保护之规定亦过于粗疏,加之司法信息化加剧了刑事司法中的数据安全风险,有必要予以充分关注。刑事司法中应当以保障公民权利为数据安全保护的重要价值取向,确定国家承担数据安全保护的主要义务,进而对刑事诉讼全程进行数据安全监管。具体而言,应当通过建立数据分类和分级制度、尊重和发挥数据主体在数据安全保护中的作用、明确数据控制者和处理者的数据安全保护职责、将检察机关设置为专门的数据监管机构并赋予其相应职能,从而构建起相对完整的刑事司法领域数据安全保护制度。
胃烧是怎么回事 关键词:数据 刑事司法 数据安全法 数据监管 个人信息保护 科技与司法
中图分类号:DF73 文献标识码:A 文章编号:1674-4039-(2021)05-0080-92
大学生就业服务网
现代社会在很大程度上依赖于数据而运行,以互联网为平台的“互联互通”与大数据、人工智能等技术相结合,催生出以数十、甚至数百泽字节(ZB) 〔1 〕计的数据和以数十亿计的网络使用者,彻底改变了人类的生活方式。但是在带来便利的同时,海量数据的广泛收集和使用也引发了诸多社会问题:一方面,人们发现自己对其个人数据已经失去控制能力,甚至受困于数字“圆形监狱”之中;另一方面,对数据的不法使用给人们的隐私、财产甚至人身安全带来了巨大的威胁,从而促使人们关注数据安全保护问题。面对数据安全保护的时代需求,2021年6月10日,第十三届全国人大常委会第二十九次会议通过了《中华人民共和国数据安全法》(以下简称数据安全法),从国家立法的层面回应这一问题。作为数据安全领域的专门性法律,该法一个突出的亮点在于其中一些条文涉及刑事司法领域,这与以往数据或信息相关法律法规回避刑事司法的思路有明显区别,体现出立法者对刑事司法中数据安全保护问题的关切态度。但是数据安全法对于刑事司法中数据安全保护问题的规定较为粗疏,仅有的原则性要求远不能满足实践的需要,仍需进一步深入研究并对相关制度加以完善。
一、刑事司法中数据安全保护的现实需要
生的反义词是什么
推广方案怎么写
科技的发展大大提升了刑事司法中收集使用数据的深度和广度,但现有法律对于刑事司法中数据安全保护的规定尚有不足,而司法信息化建设进一步加剧了刑事司法中数据安全方面的风险,使得保护数据安全成为刑事司法的现实需要。
(一)刑事司法中海量收集使用数据
收集使用数据向来是刑事司法运作的基础。刑事司法为解决被追诉人刑事责任问题,在事实认定上必须依靠证据,故有“证据裁判主义”之原则。许多证据通过“以电子或者其他方式对信息的记录” 〔2 〕之数据形式呈现,对这些证据的收集使用即是处理数据的过程。因此,从这个意义上看,对数据的收集使用是刑事司法的基本内容和运用基础,也是案件裁判的前提。
随着科技的发展,刑事司法中收集使用数据的方式发生了巨大变化,特别是大数据侦查等手段的普遍运用 〔3 〕,使得以侦查机关为代表的刑事司法公权力机关收集使用数据的能力得到了极大提升。1968年,美国通过综合犯罪控制与街道安全法,允许执法机关以“监听与电子监控”等方式收集数据;1985年,英国通过通讯拦截法,允许警察截收公民个人的通信并从中收集数据;1998年,德国修改刑事诉讼法,增加了大量新型技术侦查手段之
规定,大幅提升警察收集数据的能力;《联合国反腐败公约》规定缔约国应“允许其主管机关在其领域内酌情使用控制下交付和在其认为适当时使用诸如电子或者其他监视形式和特工行动等其他特殊侦查手段” 〔4 〕收集数据,《联合国打击跨国有组织犯罪公约》第20条也有类似的规定。我国自1993年在国家安全法中规定了“技术侦察”后,2012年刑事诉讼法修改时设置专节将技术侦查制度彻底合法化,目前实践中运用的电子同步设备、访问控制设备、数据保存和恢复设备、图影成像设备、加密解密系统、卫星定位系统、网络跟踪设备、数据库等技术,使得侦查机关获取数据的方式多元、难度降低,甚至利用网络搜查等方式,收集数据的过程可以远程、无接触、隐秘进行。
除了自行收集数据之外,侦查机关等刑事司法中的公权力机关还借由第三方获取数据,这些第三方既包括社会管理部门,也包括商业机构。社会管理部门所收集的数据在必要时可以被用于刑事司法已为各国法律所广泛认可。例如,美国的生物识别签证制度就许可数据进入国土安全部的US-VISIT系统而用于识别犯罪嫌疑人;欧洲2019年创设的通用身份资源库(CIR)涵盖了申根信息系统、Eurodac指纹系统、VIS签证信息系统、欧洲第三国国民犯罪记录系统(ECRIS-TCN)、EES出入境系统和欧洲旅行信息和授权系统(ETIAS),其所采取的生物识别数据亦允许执法部门使用。〔5 〕除了社会管理部门外,
商业机构收集的数据亦可能为刑事司法中的公权力机关所取得,从而被用于刑事诉讼中。美国2018年的卡朋特案中,警方即是从Verizon等移动通信运营商处调取犯罪嫌疑人的手机定位数据,并使用这些数据对其进行控诉的。〔6 〕在我国,刑事司法中的公权力机关从商业机构获取数据也已是常见的做法。例如支付宝在其《支付宝隐私权政策》中就明确说明,在出现与犯罪侦查、起诉、审判和执行判决等直接相关的情形时,支付宝根据相关法律法规及国家标准共享、转让、公开披露用户的个人信息无需征得用户同意。〔7 〕
当前,刑事司法中对数据的收集使用呈现出两方面的特征。其一,收集使用数据的时间前移。理论上刑事诉讼程序自立案之时启动,以取证方式进行的数据收集使用行为应自立案之后进行,但实践中犯罪治理活动常常提前启动,在刑事立案之前,侦查机关即可能运用犯罪预测工具、案件初查辅助工具等进行数据的收集使用。〔8 〕其二,不加区分地收集使用数据。数据应有一般数据与敏感数据之分,敏感数据涉及种族或民族背景、政治理念、宗教信仰、性取向等,“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇” 〔9 〕,但其在刑事诉讼中往往与个案的处理关系不大。然而,当前对于刑事司法中公权力机关收集使用数据的规定尚无关于一般数据与敏感数据的规定,对于收集敏感数据的限制严重不足。如此一来,对数据广泛、提
前、不加区分地收集使用令刑事司法中的公权力机关成为数据的控制者和使用者,海量数据进入刑事司法领域使得刑事司法中的數据安全保护成为一个现实而迫切的问题。
轻钢结构 (二)现有法律对刑事司法中的数据安全保护问题规定不足
传统上,数据或信息相关的法律法规往往对刑事司法中的数据安全保护问题采取回避之态度。欧盟无论在1995年的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》还是欧盟《通用数据保护条例》(以下简称GDPR)中,均未对刑事司法中的数据安全保护问题作出明确规定。例如,GDPR第2条第2款就规定:“本条例不适用于以下处理个人数据的情形……(d)有权机关为预防、侦查、调查或起诉刑事犯罪、或执行刑事处罚,包括防范和预防公共安全威胁之目的(而处理个人数据)。” 〔10 〕美國联邦和州关于数据或信息的立法,例如儿童网络隐私保护法(COPPA)、加州消费者隐私法、加州未成年人网络隐私法等,亦是或本身与刑事司法不直接相关,或鲜涉及刑事司法中数据安全保护问题。
我国也存在同样的问题,数据安全保护问题长期被置于宪法、民商法、行政法等范畴内进行讨论,刑事学者特别是刑事程序法学者对此鲜有关注,而数据和信息法专家学者们
提出的数据或信息相关的法律专家建议稿中,也极少涉及刑事司法的数据安全保护问题。〔11 〕2012年全国人大常委会《关于加强网络信息保护的决定》和2017年的网络安全法虽然在宏观层面规定了网络环境下的数据安全保护问题,但并未对刑事司法领域的此种问题予以直接规定。
此次通过的数据安全法第6条规定:“公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。”在第4章“数据安全保护义务”第35条规定:“公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。”相较于以往的法律,数据安全法较为直接地规定了公安机关、国家安全机关在履职范围内的数据安全监管职责和数据安全保护义务,但是该法对此问题的规定仍显粗疏,仅有的两个条文只是作出了原则性规定,缺乏细化的规则,使得实践中实施的难度增大。在刑事司法领域虽然也有一些规范性文件涉及数据安全保护问题,例如刑事诉讼法第152条对技术侦查措施规定了原则性的实施要求,2016年最高人民法院、最高人民检察院和公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》和2019年公安部《公安机关办理刑事案件电子数据取证规则》中有涉及数据安全的条文,但从整体看,
相关的规定零散而不成体系,无法满足海量数据收集使用背景下的刑事司法领域数据安全保护的实践需求。
(三)司法信息化加剧了数据安全风险
庙底沟文化 现代社会科技的运用提升了生产效率、加快了生活节奏,在给人们带来财富和便利的同时也使得纠纷的数量大幅增加,巨大的案件量给刑事司法中的公权力机关造成了极大压力,迫使许多国家都不得不进行司法信息化的改革,从而提升案件办理的效率。根据欧洲司法效率委员会的报告,2016年40余个欧洲国家均有司法信息化的举措,包括运用ERP案件管理系统、OUTILGREF职位分配和管理系统、文件起草辅助工具等; 〔12 〕在美国,联邦法院系统有“案件管理和电子案件档案系统(CM/ECF)”和“法院电子记录公共访问系统(PACER)”两大信息化系统,各州法院也有其各自的信息化系统;甚至印度、肯尼亚、尼日利亚等发展中国家也有其各自的司法信息化改革举措。在我国,司法信息化建设也是司法改革中的热点问题。以法院为例,我国的法院信息化改革在完成了信息化的基础建设后已经进入建设“智慧法院”的新阶段;相应地,检察院和公安机关也分别在进行“智慧检务”和“智慧警务”建设。
司法信息化是刑事司法中的公权力机关在面对新型科技运用之时代潮流和案件数量迅猛增长之现实困境的必然选择。然而,司法信息化举措在有效提升司法效率的同时,也是一把“双刃剑”,进而导致一系列的问题, 〔13 〕其中加剧刑事司法中的数据安全风险即是诸多问题之一。具体而言,体现在以下两个方面。
其一,司法数据库的“互联互通”与“共建共享”增加了数据失控的风险。我国的司法信息化建设在很多方面处于世界领先水平,在公检法三机关各自初步完成其信息化基础设施建设后,下一步的工作重点即在于促进三机关数据库的“互联互通”与“共建共享”。例如上海、贵州等地已经试点研发构建跨部门大数据办案平台,通过此平台实现司法数据的共享,从而统一证据使用和裁判的尺度。〔14 〕此种“互联互通”与“共建共享”中,司法数据在三机关之间分享,固然能够提升司法数据的运用效果,提高办案水平。然而一旦操之不慎,会带来数据安全保护方面的风险。首先,在此种联通与共享的过程中,有权提供、接触相关司法数据的机关和人员增加,倘若没有足够的数据安全控制措施,如对数据作匿名化处理、添加密级标识、设置加密授权触发机制等,则数据泄露的风险可能随着司法数据共享的便利性提升而增加。其次,由于不同机关的数据库往往是由不同的技术人员按照不同的技术方案建构的,秉承不同技术标准的数据库在“互联互通”与“共建共享”的过程中可能出现
端口不匹配、协议不统一等兼容性方面的问题,这种技术方面的障碍也增加了司法信息化系统因遭遇攻击或自身出现故障导致数据失控之风险。最后,不同机关对于司法数据的使用可能遵循不同的保密规定,例如公检法对于同一案件在不同阶段的数据密级量定标准不一致。此种不一致未必不符合司法运行的规律,如在侦查阶段的保密性要求高于审查起诉和审判阶段正是阅卷权自审查起诉阶段方可行使的原因,但此种不一致却可能一方面阻碍三机关的“互联互通”与“共建共享”,另一方面则在实现共享后带来数据安全管理方面的隐忧。
