个人信息权引入刑事诉讼的理论证成与体系化建构

　　摘 要: 个人信息权已成为大数据时代的一项基本权利。我国刑事诉讼法忽视了对个人信息的保护，难以应对新一代信息技术给正当法律程序和司法管理带来的挑战，引入个人信息权具有紧迫性。个人信息权可以嵌入刑事诉讼权利体系，法律层面也存在适用空间与规范基础。刑事诉讼中的个人信息保护，以平衡犯罪控制与权利保障为价值立场。具体而言，应当赋予诉讼参与人相应的信息权利，对权力机关科以信息安全保护义务，完善个人信息的保障措施和救济路径，从而构建起相对完整的刑事诉讼个人信息保护制度体系。

　　关键词: 刑事诉讼; 个人信息权; 诉讼权利; 价值平衡; 体系化建构

　　黎晓露， 河北法学 发表时间：2021-10-19

　　引言

　　随着网络信息革命的不断深入，人类社会进入“数据驱动”时代。数据即资源，科技、经济、法律等领域的发展无不依赖于数据。在数据资源中，可以直接或间接识别个人身份的数据属于个人信息。〔1 〕个人信息与大数据、云计算、人工智能等新技术的结合，带来了社会治理模式与法治范式的信息化转型。但是，个人信息若被不当收集和使用，将危及公民的隐私、财产和人身权益，甚至威胁国家安全和社会公共秩序，于是加强个人信息的法律保护成为大数据时代的重要命题。

　　面对如此重要的时代命题，2012 年全国人大常委会通过《关于加强网络信息保护的决定》，开启了我国个人信息法律保护之路。2015 年《刑法修正案( 九) 》增设“侵犯公民个人信息罪”，将个人信息纳入刑法保护范围。2016 年《网络安全法》第四章“网络信息安全”针对个人信息的收集和使用行为作出原则性规定。2020 年《民法典》“人格权编”专章设置了“隐私权和个人信息保护”内容，确认了公民对其个人信息具有一定程度的控制权。2021 年相继出台的《数据安全法》和《个人信息保护法》，从数据安全与个人信息保护的角度，对个人信息处理过程中相关主体的权利义务配置作出细致规定〔2 〕，同时廓清了个人信息保护的综合治理面向。

　　但遗憾的是，个人信息保护立法工作在私法、实体法领域皆取得重大进展的同时， “唯独在刑事司法执法领域，对公民个人信息的干预被视为法律规制的例外。”〔3 〕刑事诉讼程序作为社会治理的重要机制，公权力在该领域对个人信息干预的规模远胜于其他领域，传统的程序规制手段难以有效制约公权力。从“权利—权力”的互动关系来看，对个人信息设置权利具有现实意义。有鉴于此，本文试图从犯罪控制与保障人权的理念出发，关注大数据与司法信息化对刑事司法产生的挑战，聚焦正当法律程序以及公民诉讼权利面临的冲击，从程序法视角系统、全面研究个人信息权引入刑事诉讼的理论基础与制度建构。

　　一、时代趋势: 个人信息保护的权利化发展

　　( 一) 作为基本权利的个人信息权

　　为了保护个人信息安全，规制个人信息的处理行为，立法者创设“个人信息权”，赋予公民一定程度的信息控制能力。个人信息权，是指“信息主体依法对其个人信息享有的支配、控制和排除他人妨害的权利。”〔4 〕它实际上是一种集合性权利，包括信息主体享有的“知情、同意、查阅、复制、更正、删除等”〔5 〕诸多权利。由于个人信息权具有人格权属性，因而其最先在民商法领域获得重视。〔6 〕但是，个人信息所包含的身份识别、活动轨迹、关系纽带等内容不仅具有经济价值，也成为现代国家治理的重要依据。因此，在法律层面不能仅仅将个人信息视为私权客体，而需要与宪法衔接，上升成为一项基本权利。

　　从比较法视野考察，欧盟最先承认个人信息权的基本权利地位。1995 年欧盟议会和欧洲理事会通过《个人数据保护指令》，将个人数据保护定位为个人数据处理中的权利保护，明确指出: “保护自然人的基本权利和自由，特别是关于个人数据处理方面的隐私权。”2018 年《通用数据保护条例》( General Data Protection Regulation，简称 GDPR) 正式生效，欧盟以统一法律替代了仅对成员国生效的《个人数据保护指令》，GDPR 将数据主体权利单设一章，列举了知情权、访问权、携带权、更正权、删除权等 8 种具体权项。GDPR 对各国的个人信息立法产生重大影响，当前全球共有 40 多个国家将个人信息保护列为基本权利。〔7 〕我国宪法虽未明确肯认个人信息权，但是根据《宪法》第 33 条“国家尊重和保障人权”以及第 38 条“公民的人格尊严不受侵犯”的规定，宪法学界普遍认同将个人信息保护定位为基本权利。〔8 〕

　　( 二) 域外刑事诉讼中的个人信息权

　　基于个人信息的公私属性以及国际上对个人信息权宪法地位的肯定，“个人信息权的规则制定必须跳出私法框架，从宪法高度进行解释，建立起适用于各个部门法的个人信息权保护体系。”〔9 〕域外主要国家纷纷通过立法或判例发展出个人信息权。这种做法实际确认了个人信息在刑事诉讼中的权利身份，也为个人信息权引入我国刑事诉讼法提供了比较法借鉴。

　　欧盟对公民个人信息的刑事司法保护主要通过制定专门法案来实现。GDPR 虽然在全球范围内具有重要影响，但因为第 2 条明确表示 GDPR 不适用于刑事司法领域，故 2016 年欧洲议会和欧盟理事会专门制定《以犯罪预防、调查、侦查、起诉或刑罚执行为目的的个人数据保护指令》( Directive ( EU) 2016 /680，简称欧盟 2016 /680 指令) ，将个人信息保护的基本原则和制度范式移植到刑事司法领域。如欧盟 2016 /680 指令序言第 2 项指出“保护个人数据”是公民的基本权利，第 18 条“刑事侦查和程序中的数据主体权利”规定数据主体在刑事诉讼中对享有数据知悉权、访问权、更正权、删除权等权利，第 63 条规定成员国须将该指令纳入本国法律当中。〔10〕

　　不同于欧盟的法案模式，主要国家更倾向于在刑事诉讼法框架内对个人信息加以确权保护，并分别形成了隐私权模式和个人信息权模式。美国将个人信息保护置于隐私权框架中。以 1967 年“卡兹案”为起点，美国法在“合理的隐私期待”上发展出一系列有关隐私期待的识别标准，将界定“搜查”的重心放在对公民隐私利益的保护上。〔11〕 2014 年“莱利案”确认私人手机中存储的数据信息具有合理的隐私期待，警察搜查嫌疑人的手机需要向法官申请搜查令。〔12〕在 2018 年“卡朋特案”中，刑事司法中的个人信息保护有了新发展，该案指明公民对手机的基站位置信息拥有合理隐私期待，警察必须有合理依据并依此申请法院的搜查令之后方能获取公民的手机定位信息。〔13〕德国采取的是个人信息权模式，将个人信息权与隐私权分离，确认了个人信息权的独立地位。德国联邦宪法法院自 1983 年“人口普查法案”确定信息自决权以来，不断重申公民的个人信息有免受国家无节制地收集使用之权利。2008 年德国联邦宪法法院“秘密在线搜查案”，从一般人格权发展出保障 IT 系统私密性和完整性的基本权利。〔14〕德国刑事诉讼法也对刑事诉讼中收集使用个人信息作出专门规定。比如，第 475 条规定律师可以代表当事人获取本案信息，第 477 条规定在特殊情形下收集使用个人信息需要征得信息主体的同意。〔15〕

　　二、问题透视: 个人信息权引入刑事诉讼的紧迫性

　　大数据侦查的兴起极大提升了刑事诉讼中收集使用个人信息的能力，司法信息化建设为办案带来便利的同时也衍生了信息失控失衡风险，而现行法律对于刑事诉讼中的个人信息保护缺乏重视，引入个人信息权具有现实紧迫性。

　　( 一) 侦查模式转型引发全景式监控风险

　　大数据时代到来之前，犯罪治理并不倚重个人信息，技术条件上也无法深度处理个人信息。随着现代信息技术的发展，国家大数据战略的实施〔16〕，侦查机关收集使用个人信息的能力和权力皆得以增强。于是，侦查领域延伸出“以数据空间为场景、以数据为载体、以算法为工具、以数据价值为目的的大数据侦查模式。”〔17〕大数据侦查的前提是收集海量信息，但是我国刑事诉讼法预设的侦查取证场景并非大数据时代，侦查行为对个人信息的干预难以受到程序规制，从而遮蔽了对个人信息的保护。

　　从宏观的犯罪治理看，随着犯罪行为愈发隐形化、科技化，恐怖犯罪活动在国际上的猖獗，它们对国家安全造成的严重后果令各国特别重视犯罪预防，犯罪治理模式呈现出风险治理的特征。这一转型改变了传统刑事追诉的方法及相应规范，特别是因为大数据分析中通常不单纯从个案出发，而是从大数据中挖掘与案情相关的个案信息，使追诉动机从“犯罪嫌疑”逐渐转向“风险预防”。〔18〕当前，公安部主导的“金盾工程” “天网工程”“雪亮工程”等大数据平台为深度收集个人信息提供了有力的技术支撑。此外，近年来侦查机关不断加强从第三方获得数据信息，从商业机构获取个人信息成为通常做法。例如《支付宝隐私政策》第 13 条指出，与犯罪侦查、起诉、审判和判决执行等直接相关的个人信息收集使用的行为，无需征得信息主体的同意。〔19〕在此背景下，“侦查权的社会化陷入侦查权、数据控制权和个人隐私权之间的利益拉锯之中”〔20〕，犯罪风险预防与信息社会之间形成交互融合图景，极易引发全景式监控风险。

　　从具体的侦查行为看，侦查机关收集使用个人信息的行为倾向加剧了上述风险。一是过度地收集使用。刑事诉讼以“证据裁判主义”为原则，事实判断依赖于证据，“将形形色色的大数据材料用作证据以证明案情，是当下司法实践无法回避的一道题目”〔21〕，这便容易激发侦查机关对收集使用个人信息的热情。实践中，犯罪嫌疑人只要到案，侦查人员即可强制采样，无须区分是否为侦查措施。例如，2014 年公安部《规范使用执法场所办案区“四个一律”》就规定: “进入办案区后，一律先进行人身检查和信息采集。”所有生物样本保存在公安数据库，侦查人员都可以查询到生物样本，公民的隐私信息难以得到有效保护。此外，侦查机关可以通过网络搜查、大数据追踪、人脸识别等技术手段强制收集个人信息，作为信息主体的个人事实上对其自身信息失去了控制。二是不加区分地收集使用。个人信息有敏感信息和一般信息的区分，敏感信息包括“身份生物识别、宗教信仰、特定身份、金融账户、行踪信息、不满十四周岁未成年人等个人信息”〔22〕，敏感信息一旦泄露或被不当利用，容易导致个人名誉、身心健康和财产权益受到损害。但是对于刑事诉讼中收集使用个人信息的行为，目前尚无一般信息与敏感信息的区分。如此一来，对个人信息不加区分地收集使用，使权力机关成为最大的信息控制者，保护公民在刑事诉讼中的个人信息安全成为迫切需求。

　　( 二) 司法信息化衍生信息失控失衡风险

　　司法信息化建设是关乎司法公平正义的重要任务。自 2016 年中央办公厅、国务院办公厅印发《国家信息化发展战略纲要》以来，打造“智慧法院”、实现“科技强检”成为社会主义法治建设的主要内容。大数据人工智能作为现代科技最热门的两大领域，二者融合作用于司法实践成为司法信息化建设的重要动力，主要表现在三个方面: 一是司法信息共享化; 二是案件材料电子化; 三是法律决策智能化。司法信息化犹如一把双刃剑，在为司法办案带来便利的同时也衍生了信息失控失衡风险。

　　首先，司法信息共享化要求收集大量数据，天然地存在侵犯公民隐私的风险。一方面，与存储在网络运营商的个人信息一样，司法信息化系统也存在网络入侵、技术故障或管理员操作失误的可能，因此保护个人信息安全，对诉讼参与人特别是被追诉人、被害人和证人而言十分重要。另一方面，司法数据库不是封闭个体，而是与政府数据库或其他第三方数据库共享，共同作为司法服务的数据支撑。比如，2014 年上海率先建立的“刑事案件智能辅助办案系统”、2017 年贵州政法委牵头搭建的“政法大数据共享应用平台”，都属于联通公检法司各机关的信息共享平台。信息共享意味着办案机关可以在信息主体未知情的情形下不受约束地使用个人信息，由此极易导致隐私侵犯问题和信息泄露风险。对此，许多国家确立了数据删除权以保护特殊主体的个人信息，比如未成年犯罪案件中的未成年被告人信息、性犯罪案件中的被害人信息等。

　　其次，案件材料电子化产生的大量数据形成“数据鸿沟”，加剧了控辩信息获取能力失衡问题。如今公安司法机关已基本实现案卷材料电子化，却也造成起诉或审理案件时所使用的数据剧增，例如证据审查、类案推送、量刑辅助等人工智能系统操作需要海量数据才能作出预测或判断。但事实上许多数据由内部系统管理，辩方没有访问权限，无法全面掌握案件信息。即使向辩方开放数据库，作为个体的辩方，极易迷失在海量数据中而无法挖掘或分析出对辩护具有实际价值的有效信息。为了保障辩方能够对案件信息和证据有充分的了解，有必要引入数据访问权，即辩方可以从信息控制者处获取案件信息的权利。〔23〕

　　最后，法律决策智能化潜藏的“算法黑箱”，使个人信息权导入刑事诉讼更显紧迫。大数据决策之所以被比喻为“算法黑箱”，是因为大数据决策过程不透明，人们只能看到数据的输入与输出结果，而对运算过程一无所知，正当程序和实体公正的价值都可能被损害。2016 年美国威斯康辛州终审的“卢米斯案”正是“算法黑箱”在刑事诉讼中的经典案例。该案被告人质疑初审法院在量刑环节中应用 COMPAS( 社会危险性评估算法) 〔24〕的客观公正性，认为 COMPAS 潜藏的算法风险侵犯了被告人正当程序的宪法权利。〔25〕尽管威斯康辛州最高法院驳回了他的上诉理由，但是算法不公开有违程序公正的声音不绝于耳，赋予辩方数据访问权、对数据处理者施加算法解释义务，已获得司法机关的重视。

　　( 三) 刑事诉讼中个人信息保护的立法不足

　　大数据时代下个人信息保护的需求迫切，而我国并没针对刑事诉讼中个人信息保护的专门立法。尽管《数据安全法》和《个人信息保护法》在宏观层面规定了网络环境下个人信息保护问题，但是并未对刑事诉讼中的这一问题作出直接规定。《数据安全法》第 6 条规定“公安机关承担数据安全监管职责”; 第 35 条规定“公安机关因侦查犯罪的需要调取数据，应当经过严格的审批手续，依法进行，相关组织、个人应当配合。” 《个人信息保护法》第 34 条规定“国家机关为履行法定职责处理个人信息，应当依照法律规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。”这两部法律虽然规定了公安机关在职权范围内具有数据安全监管和个人信息保护义务，但仅有的条文只是作出原则性规定，缺少细化规则，难以运用于司法实践。

　　在刑事司法领域虽然有一些法律或规范性文件涉及个人信息问题，但规定较为零散且保护力度有限。例如，《刑事诉讼法》第 48 条规定律师对委托人个人信息的保密义务; 第 64 条规定公检法机关对证人、被害人个人信息的保密义务; 第 151 条规定技术侦查需获得审批才能实施。不过，上述规定对个人信息保护的范围与力度均有限。 2016 年“两高一部”《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》，对电子数据的收集提取程序作出特别规定。但在该规定中，一方面强制侦查与任意侦查未被明确区分，另一方面赋予侦查机关收集提取电子数据的权力却未予以合理制约，这些立法疏漏都可能增加实际操作中的随意性，导致个人信息被恣意干预的风险增加。〔26〕2019 年公安部《关于公安机关办理刑事案件电子数据取证规则》并未解决上述问题，该规则侧重于数据信息的真实性保障，仍旧忽视了对被调查者个人信息的保护。2021 年《人民法院在线诉讼规则》聚焦于构建与智能化相契合的诉讼服务模式，也忽视了个人信息的程序性保障。以上问题亟需得到立法或释法的回应。

　　三、理论基础: 个人信息权引入刑事诉讼的正当性

　　大数据时代，保护个人信息已成为社会共识，没有人会否认保护个人信息的重要意义。但个人信息兼具公共属性与个人属性，对其采取权利化保护模式，不得不面对一些障碍与挑战。其中，最关键的问题是个人信息权能够融入刑事诉讼法律体系。只有论证并且解决这一问题，才能在根本上支撑本文观点。

　　( 一) 刑事诉讼中的个人信息权具有诉讼权利特征

　　“从现行法律来看，个人信息权在我国仍是一项新兴权利，而非法定权利。”〔27〕我国民法界对个人信息属于权利抑或利益一直存在争议，即使在支持权利观点的群体中也有“财产权说”和“人格权说”的分歧，直到《民法典》颁布才确定个人信息的人格权地位。然而，在刑事诉讼中确立个人信息权，因涉及与诉讼权利体系的融合，问题更加复杂。以色列学者海雷尔认为，如果一项权利诉求能够与既有基本权利的属性特征相契合，那么这项诉求可以纳入基本权利的范畴。〔28〕权属问题是个人信息的核心，需进行专门论证。

　　一是权利结构方面的论证。美国法学家霍菲尔德关于权利的法律分析，被公认为是一种权威学说。霍菲尔德认为，权利是一种施于他人一定义务的利益，也是与他人义务相关的一种权利，即我有权要求他人作出或不作出某种行为。〔29〕据此，刑事诉讼权利是指刑事诉讼参与人享有的采取某种诉讼行为或者请求他人作出或不作出某种诉讼行为的权利。从内涵上分析，刑事诉讼权利结构是: 权利主体，即诉讼参与人; 权利客体，即诉讼行为指向的对象或利益; 权利内容，诉讼参与人自行实施或请求他人作出或不作出某种诉讼行为。从外延上看，契合以上结构的权利即为刑事诉讼权利，比如被追诉人享有的申请回避权、辩护权、上诉权、最后陈述权，以及被害人享有的参与庭审权、委托诉讼代理权、请求抗诉权、申诉权，皆属于刑事诉讼权利。如前文所述，个人信息权是个人对其自身信息享有的一定程度的控制和排除他人妨害的权利。刑事诉讼中的个人信息权，同样可以从主体、客体、内容三方面解读: ( 1) 权利主体既是信息主体，又是诉讼参与人; ( 2) 权利客体是在刑事诉讼中被收集使用的个人信息; ( 3) 权利内容是自行实施或者请求包括信息控制者作出或不作出某种诉讼行为，比如诉讼参与人提供或同意使用其个人信息，或是请求访问、更正、补充、删除其个人信息等。〔30〕可见，在刑事诉讼中，个人信息权与诉讼权利的结构样态契合，将个人信息权纳入刑事诉讼权利体系符合法理逻辑。

　　二是权利特征方面的论证。首先，诉讼权利表现为权利人自行实施或者请求他人作出或不作出某种诉讼行为，比如被告人享有自行辩护权、申请非法证据排除权; 被害人享有申请检察院抗诉的权利; 证人发现自己的证言笔录有错误或遗漏，有权要求更正或补充等等，这些均是行使诉讼权利的表现。刑事诉讼中的个人信息权同样需要诉讼参与人通过诉讼行为来行使，如“被遗忘权就属于一种程序性请求权，而非实体性权利，请求未果时可寻求诉讼救济。”〔31〕其次，刑事诉讼权利与个人信息权都具有一定的自决性。在刑事诉讼中，被告人有权按照自己的意愿作出认罪答辩、进行自我辩护、提起上诉等。个人信息权的核心是信息主体对自身信息的控制，刑事诉讼中的个人信息权也具有自决性，比如证人提供或同意使用个人信息的权利一般是通过自决性的举证行为行使的。最后，刑事诉讼权利与和个人信息权均具有对应的义务与救济途径。比如，被告人获得法律帮助的权利对应司法机关提供法律援助的义务，当事人申请回避的权利对应办案人员的回避义务等; 刑事诉讼中的数据删除权，对应的是公安司法机关承担的信息删除或封存义务。在权利救济方面，辩护人和诉讼代理人有权对办案人员阻碍其依法行使诉讼权利的行为提起申诉或控告，而这一救济途径同样适用于刑事司法中的个人信息保护。综上，刑事诉讼中的个人信息权具有诉讼权利之特征，将之视为一种诉讼权利并无不妥。

　　( 二) 现行法律存在引入个人信息权的规范基础

　　如前文所述，欧盟以及主要国家通过立法或判例将个人信息权作为刑事诉讼权利引入刑事司法领域，为我国提供了比较法借鉴。国内法也存在相关规范基础，《宪法》第 38 条能够成为个人信息权的宪法依据，《刑事诉讼法》《数据安全法》《个人信息保护法》等法律中也有与个人信息保护直接相关的规定。

　　一是宪法具有解释与发展个人信息权的空间。“在新兴权利的保护进程中，一种重要的进路是依据宪法关于基本权利的规定通过对宪法相关基本权利的解释，将该权利体现的利益纳入基本权利体系。”〔32〕对我国宪法权利进行法律解释，能够为在刑事诉讼法中确立个人信息权提供上位法依据。根据客观目的解释论，可以对《宪法》第38 条“公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害”进行双重规范意义上的解读: 前半部分“公民的人格尊严不受侵犯”，是人格利益的概括性条款; 后半部分“禁止用任何方法对公民进行侮辱、诽谤和诬告陷害”，是对人格权的具体列举。经过解读发现，第 38 条是可以作扩张解释的宪法条款，应当囊括宪法尚未明文规定的公民在生命、健康、姓名、隐私、名誉等方面的自决权。〔33〕综上可见，我国宪法具有解释和发展公法维度上个人信息权的空间，能够为刑事诉讼法确立个人信息权提供上位法依据。

　　二是现行法律存在引入个人信息权的规范基础。首先，《刑事诉讼法》第 54 条规定“涉及个人隐私的证据应当保密”; 第 64 条规定公安司法机关应当对证人、鉴定人和被害人采取“不公开真实姓名、住址和工作单位等个人信息”的保护措施; 第 152 条规定: “公安机关采取技术侦查措施过程中知悉的国家秘密、商业秘密和个人隐私，应当保密; 对采取技术侦查措施获取的与案件无关的材料，必须及时销毁。”其次，在落实总体国家安全观的法律体系中，《国家安全法》《国家情报法》《网络安全法》《数据安全法》等涉及刑事诉讼的法律规范中，也初步具备了规范基础。例如，《国家安全法》第 52 条明确列举了情报搜集的机关，并对情报搜集工作确定了合法性原则; 《国家情报法》第 19 条规定国家情报机构不得泄露个人信息，若未能履职，将依法给予违法违纪处分; 《网络安全法》在“网络信息安全”和“法律责任”两章中都设置了个人信息保护规则; 《数据安全法》第 19 条规定“国家保护个人、组织与数据有关的权益”; 《公安机关办理刑事案件电子数据取证规则》第 4 条规定: “公安机关电子数据取证涉及个人隐私的，应当保密; 对于获取的材料与案件无关的，应当及时退还或者销毁。”以上规定都可以成为个人信息在刑事诉讼中确权的规范基础。最后，《个人信息保护法》第四章 “个人在个人信息处理活动中的权利”，规定了知情权、数据访问权、数据删除权、数据更正权等具体权项，为刑事诉讼中确立个人信息权提供了清晰的权利框架。

　　四、制度进路: 个人信息权引入刑事诉讼的体系化建构

　　刑事司法具有维护国家与社会公共利益的特殊使命，将个人信息权引入其中必须遵循刑事诉讼制度的一般原理。具体而言，应当创新刑事诉讼立法方法论，立足于平衡权利保障与犯罪控制的价值立场，既要实现与《数据安全法》《个人信息保护法》等相关法律的制度衔接，也应重视与刑事诉讼规律相符合的规则调整。

　　( 一) 基本原则: 权利保障与犯罪控制的价值平衡

　　以维护公共利益为目的处理个人信息的公权力，历来被国际社会公认为是国家干预公民个人信息权的正当理由。这表明个人信息权并非绝对权利，个人信息权在刑事诉讼中行使时需要兼顾信息安全与该信息承载的司法功能。价值平衡的核心在于充分认同个人信息权及其内含的信息所具有的犯罪治理价值，对此可以借助以下三项原则来实现价值平衡。

　　1. 公共利益优先原则。刑事诉讼以“保障国家和社会公共安全，维护社会主义社会秩序”为基本目的，优先维护公共利益是其首要价值。如前所述，在大数据时代，运用大数据技术可以有效开展犯罪治理活动，特别是面对恐怖犯罪、跨国有组织犯罪、黑社会性质组织犯罪等严重威胁国家安全的犯罪，海量数据的收集、存储、分析、使用是有效取证、打击犯罪的必要条件。据此，有必要将打击犯罪、维护公共利益的“必要性”，确定为权力机关对个人信息权合法干预的情形之一，信息主体此时对该干预行为具有容忍义务。

　　2. 比例原则。比例原则是个人信息保护的基本原则，《个人信息保护法》第 6 条规定: “处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。”刑事诉讼中个人信息保护的比例原则，是指个人信息的收集使用必须遵守刑事诉讼目的，被收集的个人信息不被用于刑事诉讼以外的目的，并且应当采用对个人信息权干预程度最小的手段。具体而言有三点要求: 一是证据法意义上的要求，针对个人信息的调查取证活动，都必须以侦查、起诉、审判为目的; 二是办案机关收集使用个人信息时应当以最小伤害的手段行事; 三是建立干预个人信息权合比例性的评价标准和规则，特别是大规模监控适用的范围、条件和规则。〔34〕

　　3. 区分保护原则。刑事诉讼涉及不同的诉讼参与人与不同的个人信息，若不加区分地提供保护，可能导致信息获取的门槛过高，阻碍刑事诉讼的顺利进行。故应当予以区分保护: ( 1) 区分不同的权利主体。根据刑事诉讼规律，诉讼参与人对个人信息保护的需求也存在差别。比如，对于经历诉讼程序但未被定罪的被追诉人，其身份有别于被定罪的犯罪人，当被追诉人被认定无罪或解除嫌疑之后，办案机关使用其个人信息已经失去“必要性”理由，不得再干预其个人信息权; 又如，被害人、证人、鉴定人等诉讼参与人在刑事诉讼中的地位与作用各不相同，需要回应他们对个人信息保护的不同需求。〔35〕( 2) 区分一般信息和敏感信息。通过区分一般信息和敏感信息划定个人信息保护与利用的范围是国际通例，有助于实现个人、信息业者和国家三方利益平衡。〔36〕具体到刑事诉讼中，区分一般信息和敏感信息能够具象化地实现控制犯罪与保障人权的平衡。办案机关需要根据《个人信息保护法》对敏感信息作出界定并实施特别保护，这一点主要表现为对敏感信息的干预行为设置更加严格的启动条件与审批程序。比如，在启动条件上设置最后手段原则，只有在一般信息无法达到诉讼目的之情形下，方可收集敏感信息; 在审批程序上，遵循比例原则，对权力机关处理敏感信息的行为采取更加严格的审查方式。

　　( 二) 具体构造: 权利内容上的立法细化

　　“在我国强职权主义诉讼模式下，法律赋予公安司法机关收集使用个人信息的强大权力，以至于‘权利—权力’关系呈现出一种跛脚的状态。”〔37〕从“权利—权力”的互动关系来看，应当赋予公民个人信息权利。但值得注意的是，出于维护国家安全、社会公共利益的需要，引入个人信息权时需要为刑事司法“量体裁衣”，这就意味着应对个人信息权作必要限制。

　　1. 信息主体的权利。刑事诉讼中的信息主体至少应享有三类权利: ( 1) 知情权。个人信息保护制度以尊重其知情权为基础，《个人信息保护法》第 7 条规定: “处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。”不过，刑事诉讼具有一定的封闭秘密性，这一特点在侦查程序中表现得尤为明显，故知情权需要受到合理限制。对此，有学者提出构建“告知—延迟告知—不告知”层级化制度〔38〕，如侦查机关向信息主体告知的时间可延迟至侦查工作结束，以协调知情权与刑事诉讼封闭秘密性的冲突。( 2) 数据访问权。数据访问权既是辩方知悉控方证据来源进而准备辩护的前提，也是防范数据失真，避免引发司法错误的保障。有必要对辩护人的阅卷权进行信息化升级，帮助辩方了解司法信息化工作情况，实现从阅卷权向数据访问权的进阶。( 3) 数据更正、删除、限制处理权。这三项权利旨在制约公权力收集使用个人信息的行为。当信息主体发现办案机关掌握自己的信息不正确、不完整时，可以要求办案机关予以核实并进行更正、补充; 当信息主体发现使用其个人信息之特定目的已消失或期限届满时，可以要求办案机关删除或者不公开相关信息; 当个人信息的正确性、完整性处于不确定状态，或者该个人信息需要作为证据保全时，可以要求办案机关在获得其同意的前提下才能使用该信息。

　　2. 信息处理者的义务。公安司法机关出于刑事诉讼的目的收集使用个人信息，具有信息处理者的身份，应当承担相应的义务。具体表现在两个方面: 一是与信息主体权利对应的义务，主要包括告知义务和配合义务。告知义务与信息主体的知情权对应，告知的内容包括收集使用个人信息的目的、法律依据以及相关救济途径。配合义务是指“信息处理者应配合信息主体行使权利”。〔39〕比如，针对数据访问权，提供访问权限和数据副本; 针对更正权，更正不准确的信息、补充不完整的信息; 针对被遗忘权，删除或封存不再具有诉讼使用目的的信息。二是数据安全保护义务。依据《数据安全法》第四章“数据安全保护义务”第 37 条规定，公安司法机关应当“建立健全流程数据安全管理制度，采取相应的技术措施或其他必要措施保障个人信息安全。”主要包括: 对个人信息( 特别是敏感信息) 严格保密，并采取必要的技术措施保证信息处理的安全〔40〕; 对个人信息的处理过程进行全程记录，建立操作日志与操作留痕机制; 在收集使用个人信息时，按照合目的性和比例性的要求，评估该行为对公民隐私、财产和人身安全带来的风险; 当发生信息泄露事故时，及时向主管部门报告并通知信息主体，尽快采取补救措施减轻事故后果。

　　( 三) 权利保障: 监督与救济路径的多元构建

　　“无救济则无权利”。为了有效保护公民在刑事诉讼中的个人信息权，需要构建对应的监督与救济途径，主要包括构建多元化监督机制、信息监管部门和权利救济路径三个方面。

　　1. 建立多元化监督机制。针对个人信息的收集处理行为，可以按照干预程度的强弱，作内部自控与司法审查的区分。比如，针对特定犯罪嫌疑人、以侦查为目的的信息收集行为，可以根据其干预程度的强弱分为强制侦查和任意侦查，分别采取内部自控和司法审查方式。我国涉及个人信息的侦查措施( 包括技术侦查) 以内部自控为主，而从现代权力监督制约理念看，这种内部自控方式存在部门利益上的局限性，当审查工作面对部门利益的压力时，很难发挥实质作用。这便为构建司法审查机制提供了制度契机。比如，美国将符合隐私期待“主客观双重判断标准”的电子数据取证行为认定为 “搜查”，只有由司法官签发司法令状才能实施。〔41〕因此，在对个人信息的收集处理行为进行类型化区分的基础上，综合运用内部审批、司法审查来推动程序正当化更为合理。

　　2. 设立专门的信息监管部门。为了实现对权力机关处理个人信息的监督，国家在必要时可以成立专门的信息监管部门。如 GDPR 设立欧盟个人数据保护委员会为最高监督机构，并要求成员国成立数据保护监督机构。德国《联邦个人资料保护法》规定了“个人资料保护监察人”制度，监察人既负责受理公民对权力机关收集处理其个人资料侵犯其权利的申诉，还可以向其提出改正建议。此类制度在我国也有规范基础。《个人信息保护法》第 60 条规定: “国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。”但是，国家网信部门监管的范围覆盖整个社会，难以把握刑事司法的特殊性。基于检察机关法律监督者的宪法地位，可以考虑在检察机关成立信息监管部门，专门负责刑事司法活动中的信息安全监督工作，同时履行司法审查职责。

　　3. 构建权利救济路径。《个人信息保护法》第 61 条规定公民有权向履行个人信息保护职责的部门投诉、举报; 《刑事诉讼法》第 56 条、57 条规定了针对非法取证行为的制裁措施。在以上规定的基础上，可以从三个方面构建刑事诉讼中的个人信息权利救济路径: 首先，对侵犯公民个人信息权情节轻微的职务行为，有关机构可以根据公民的投诉展开调查，核实后对责任人员进行纪律惩戒或行政处罚; 若情节严重构成犯罪，则移送司法部门追究刑事责任。其次，侵犯公民个人信息权的行为满足《刑事诉讼法》第 56 条“不符合法定程序”“可能严重影响司法公正”“不能补正或者作出合理解释”情形之一的，允许权利主体申请排除非法证据，由检察机关审查取证行为的合法性，若情节严重，应当予以排除。最后，对在刑事诉讼中因收集使用个人信息导致公民人身权、财产权受到损害的情形，实施侵权行为的办案主体应当承担赔偿责任。

　　结语

　　在大数据时代，赋予公民以个人信息权，在根本意义上体现了对人格尊严的尊重。当前国际上普遍将个人信息保护定位为基本权利，并通过立法或判例发展出相关诉讼权利以防止公权力对个人信息的不当干预。我国民法、刑法、行政法领域的个人信息立法工作及学术研究都取得了显著成果，具有领域统摄地位的《个人信息保护法》也已经颁布，唯独刑事司法领域的个人信息立法一直处于缺位状态。随着犯罪治理与现代信息技术的结合日益紧密，刑事诉讼空间特别是侦查空间从物理场域跨入数字场域，对正当法律程序形成巨大冲击，引入个人信息权为诉讼参与人提供司法保护实属必要。刑事诉讼中的个人信息权与诉讼权利在结构特征上契合，并且有规范依据证明其作为诉讼权利的正当性。不同场景下的个人信息保护制度需要依据场景特征设置。在刑事诉讼中引入个人信息权，应当以平衡犯罪控制和权利保障为价值立场，将该权利与刑事司法制度深度融合，体系化建构符合刑事诉讼规律的个人信息保护原则与制度。