郑曦:《刑事诉讼法》与《数据安全法》《个人信息保护法》衔接问题研究
郑曦【摘要】《刑事诉讼法》修改已经被纳入立法规划,如何规制刑事诉讼中公权力机关的数据和个人信息处理行为,实现与《数据安全法》《个人信息保护法》的衔接是应对数字时代变革与挑战的必然之需,应当予以充分重视。针对这一现实需要,《刑事诉讼法》修改需从基本思路到具体制度上进行系统梳理和回应。从基本思路上看,修法应当遵循“统一纳入”模式下的例外许可、刑事诉讼全流程的规制领域拓展、运用区分原则这三方面思路,对衔接中的重要问题予以关注。从具体制度上看,为促使衔接的顺畅进行,首先应在刑事诉讼中对数据权利和个人信息权利予以认可,将知情权、数据访问权、删除权等纳入刑事诉讼权利体系;其次应保证刑事诉讼中数据和个人信息保护国家义务的全流程履行,明确国家义务的具体内容和要求,确立检察机关实施监督和提供救济的职权;最后要解决新型数据和个人信息处理技术在刑事诉讼中的运用与规制问题,处理好新型技术在刑事诉讼中的定位、科技企业与公权力机关的关系、网络服务提供商的协助义务、公权力机关运用新技术收集数据和个人信息等问题。
【关键字】刑事诉讼法修改;数据;个人信息;衔接
2023年9月,第十四届全国人大常委会公布了本届人大立法规划,其中《刑事诉讼法》修改被列为第一类项目,即条件比较成熟、任期内拟提请审议的法律草案,[1]这就意味着这一轮《刑事诉讼法》修改将于本届人大任期内完成。此次《刑事诉讼法》修改未预设议题,而是采取开放方式广泛征求意见,因此理论、实务各界提出的建议颇多、关注的问题亦各不相同,但其中一个受到普遍关注的问题是,如何通过修法实现刑事诉讼对数字时代的适应。[2]
随着人类生活的数字化转型,数据安全和个人信息保护已经成为这个时代的重要议题,在刑事诉讼领域亦不例外。面对此种情形,我国先后制定了《数据安全法》《个人信息保护法》等法律,对数据安全和个人信息保护的相关问题作出了较为细致的规定,其中一些条文也涉及刑事司法,可以适用于刑事诉讼领域。然而刑事诉讼实践中适用《数据安全法》《个人信息保护法》的情形却极为鲜见,其中一个原因在于现行《刑事诉讼法》对于数据安全和个人信息保护问题缺少明确的规定。于是,此次修法中极有必要完善《刑事诉讼法》与《数据安全法》《个人信息保护法》的衔接,以应对刑事诉讼领域内数据安全和个人信息保护的现实需求。 当前刑事诉讼法学界对刑事诉讼领域的数据安全和个人信息保护相关问题的关注有限,讨论的话题主要集中在个人信息保护的理念与原则、数据安全保护的要点等较为宏观的问题,[3]缺少针对《刑事诉讼法》与《数据安全法》《个人信息保护法》衔接问题的细致研究。因此借由此次《刑事诉讼法》修改的契机,有必要就衔接的基本思路和其中一些重要制度问题展开更深入的探讨。
一、《刑事诉讼法》与《数据安全法》《个人信息保护法》衔接的基本思路
(一)“统一纳入”模式下的例外许可
《个人信息保护法》第二章专设第三节“国家机关处理个人信息的特别规定”,对国家机关处理个人信息的活动予以规范。由于刑事诉讼领域的个人信息处理者主要是公检法等办案机关,而这些机关当然属于“国家机关”的范畴,因此其在刑事诉讼中处理个人信息的行为也需遵守《个人信息保护法》第二章第三节的规定。《个人信息保护法》的此种借由“国家机关”概念而将刑事诉讼领域公权力机关处理个人信息的行为纳入规范框架的方式,被学者称为“统一纳入”模式。[4]除了《个人信息保护法》之外,《数据安全法》第五章关于国家机关处理数据的数据安全与开放的相关规定,亦采取此种借由“国家机关”概念将刑事诉讼领域的数据安全保护纳入该法的规范范围的“统一纳入”的模式;而第6条关于公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责的规定,更明确了刑事侦查机关处理数据应遵循《数据安全法》规定。由此可见,刑事诉讼领域的数据和个人信息处理行为原则上需受《数据安全法》和《个人信息保护法》的规范而形成“统一纳入”模式。
然而相较于其他领域,刑事诉讼中的数据和个人信息处理存在一定的特殊性。第一,刑事诉讼中的数据和个人信息处理本质上是一种公权力的行使方式,其目的在于完成刑事案件的办理。但与其他任何形式的公权力行为一样,此种数据和个人信息处理也具有扩张性,对公民权利的影响甚巨,一旦处之不慎则可能导致严重后果。第二,刑事诉讼特别是刑事侦查程序存在着较强的封闭性,从而使得数据和个人信息的处理常需在秘密状态下进行。[5]此种封闭秘密的特征在刑事诉讼的场域下是具有合理性的,倘若所处理的数据和个人信息,甚至数据和个人信息正在被处理的事实为外人所知,则有可能带来泄密的风险,进而阻碍刑事诉讼的顺利进行。第三,刑事诉讼中的数据和个人信息处理相较于其他领域,处理者与信息或数据主体之间的“持续不平等”[6]关系表现得更为显著。刑事诉讼是以国家强制力为后盾的,其中的数据和个人信息处理行为亦不例外,作为处理者的公权力机关可以对作为信息或数据主体的公民采取强力措施,而信息或数据主体的意志难以任意,甚至人身自由都受限制。因此相较于企业、平台、社会管理机构等处理数据和个人信息的行为,刑事诉讼中的数据和个人信息处理带有天然的强制性特征。第四,相较于《数据安全法》《个人信息保护法》以处理行为作为主要规制对象,《刑事诉讼法》以结果为导向,重视数据和个人信息处理行为所带来的影响和结果。这是因为刑事诉讼中的此种处理行为,常对案件办理的结果产生重要影响,而案件结果关系到公民的生命、自由、财产等最重要法益,故而处理行为所带来的影响和结果才是刑事诉讼关注的核心问题。
既然存在这样的特殊性,刑事诉讼领域公权力机关处理数据和个人信息的行为在被统一纳入《数据安全法》《个人信息保护法》的规范框架之后,还应当允许一些契合刑事诉讼数据和个人信息处理特殊性的例外。例如,刑事诉讼领域常常无法遵循数据和个人信息处理的公开、透明原则,秘密处理在刑事诉讼特别是刑事侦查程序中反而是常态;再如,刑事诉讼中的“告知—同意”原则仅能在极为有限的范围内适用,特别是处理个人信息需经信息主体同意的要求,仅在罕见场景下方有实施空间;还有,信息或数据主体在刑事诉讼领域主张查阅复制、更正补充、封存删除等权利,需受刑事案件办理进程的限制,通常只有在特定的程序性条件成就之时,如案件被移送审查起诉、生效裁判作出之后,方能实现。
(二)刑事诉讼全流程的规制领域拓展
刑事诉讼对公民个人隐私的保护问题向来颇为重视,自20世纪60年代以来,隐私权保护就成为刑事诉讼中为人所关注的重要问题,[7]而其中技术侦查可能给公民带来的隐私风险则成为此种关注的焦点。技术侦查中常运用高科技仪器、工具、手段处理数据和个人信息,传统的监听监视自不必言,数据保存和恢复的普及适用、刑事数据库的建设等使得侦查机关实施技术侦查以及处理信息的数据的能力得到了极大的提升,加之其封闭秘密的特征,使得其间出现显著的数据和个人信息安全风险。而在我国,2012年《刑事诉讼法》修改在“侦查”部分专设“技术侦查”一节时,将秘密侦查和控制下交付也一并纳入其中,使得技术侦查的范畴更加扩张,于是该次《刑事诉讼法》修改后,学界集中讨论技术侦查与公民隐私之间的冲突与平衡关系,表明对此种侦查行为的热忱关切。[8]
然而随着数字时代下网络、大数据、人工智能等技术的普及,一方面人们的关注点逐渐从隐私保护扩展至个人信息保护和数据安全保护,[9]另一方面人们发现数据和个人信息的处理并不限于技术侦查阶段,而是贯穿于刑事诉讼立案、侦查、起诉、审判、执行全流程,甚至在一些案件中此种处理行为还会出现在先于立案的“调查核实”阶段。尤其在侦查、起诉和审判这三个刑事诉讼的核心阶段,对数据和个人信息的收集、加工、使用、存储、传输、删除等处理已经成为刑事案件办理的重要甚至主要方式,使得刑事诉讼的推进极大地依赖于数据和个人信息的处理活动。刑事诉讼出现此种革新,最为直接的原因在于犯罪形态发生了重大的变化,传统的暴力型犯罪数量下降,但与网络、信息、数据相关的新型犯罪数量激增。于是作为回应,刑事诉讼也不得不进行数字化变革,以应对犯罪数字化转型导致的传统办案方式不敷所用。而另一方面的原因则是随着刑事案件整体数量的增加,[10]提升诉讼效率成为刑事办案机关的重要目标,由此而展开的智慧司法建设也反过来推动了刑事诉讼的数字化变革,从而促使对数据和个人信息的处理成为刑事办案活动的重要内容,并将此种数据和个人信息处理行为的重要性全面地体现在了刑事诉讼的全程始终。
由于数据和个人信息处理行为出现在刑事诉讼的全流程中,《数据安全法》《个人信息保护法》关于数据安全和个人信息保护的要求也体现在刑事诉讼各个阶段的数据和个人信息处理行为上。其一,在数据和个人信息的收集阶段,一方面要重视对收集行为合法性的审查,防止违法的数据和个人信息收集行为导致取证违反法定程序之情形,另一方面也要对所收集的数据和个人信息进行关联性、真实性等属性之审查,[11]以确保其在刑事诉讼中具备使用之许可。其二,在数据和个人信息的使用与加工阶段,需开展程序性审查,主要审查此种使用与加工是否符合刑事诉讼的案件办理目的,是否出现篡改、破坏等非法处理行为,并对非法处理行为进行及时的纠正和处置。其三,在数据和个人信息的存储与传输阶段,应当关注数据和个人信息存储的地点、时长、方式以及传输的对象、流程等问题,防止数据和个人信息出现泄露而带来安全风险。其四,在数据和个人信息的删除与销毁阶段,应当审查刑事诉讼的办案工作是否完成、数据和个人信息的保留是否无必要或不符合法定目的,对于符合条件的数据和个人信息根据法律规定予以删除或销毁。
(三)数据和个人信息处理的区分原则运用
数据和个人信息的处理纷繁复杂,倘若不加区别“一勺烩”地提出数据和个人信息的处理要求,不仅会在理论上形成主次不分的混乱局面,并且在具体实践中也会难以把握轻重缓急,进而难以实现数据安全保护或个人信息保护的目的。因此面对类型各异的数据和个人信息,在不同的场景下,应当采取有针对性的处理方式,此即数据和个人信息处理区分原则的要求。《数据安全法》和《个人信息保护法》中均有区分原则的体现,例如《数据安全法》第21条规定了数据分类分级保护制度,《个人信息保护法》第二章第二节单独规定敏感个人信息的特殊处理规则。总体上看,《数据安全法》和《个人信息保护法》主要是根据数据和个人信息的内容或属性而进行区分的,但是在刑事诉讼领域问题更加复杂,不但要区分数据或个人信息本身,还要对数据或信息主体、处理场景进行区分,以符合不同类型刑事案件的办理需求。
首先,对数据和个人信息的分类分级构成刑事诉讼领域处理数据和个人信息处理的前提。参考《数据安全法》和《个人信息保护法》的规定,可以从纵横两个方向进行区分。一方面,在纵向上,可以对刑事诉讼中处理的数据和个人信息做核心、重要、一般三个层次的分级。根据《数据安全法》第21条的规定,关系到国家安全、国民经济命脉、重要民生、重大公共利益等的即为国家核心数据或信息,刑事诉讼中国家安全犯罪、国防军事犯罪、职务犯罪等案件中有不少此类数据或信息,需在最严格的安全管理制度下方可处理。而一旦被非法使用将对国家利益、公共利益以及公民的合法权益造成重大影响的数据和个人信息应被列为重要数据或信息,例如公民的敏感个人信息、案件办理中的涉密数据等,需予以重点保护。除了核心和重要数据或信息之外的是一般数据或信息,对其的处理限制相对宽松。另一方面,在横向上,需做身份数据和行为数据、事实信息和个人评价信息的区分。通过身份数据如身份证号、银行账号等,即可对数据主体进行识别,而根据行为数据如行踪数据、通信数据等,对于刑事案件中事实的证明有重要意义,二者在收集、存储等方式上应有区别。事实信息是对案件发生时产生或留下的各类事物进行的描述,由于该信息基础的事实系客观发生,不以人的意志而转移,因而事实信息具有客观性;与之不同,个人评价信息不直接描述案件客观情况,多针对案发前该主体的表现进行描述,常体现为对该人过去作风品行作出的评价,如道德品行如何具有主观性。对个人评价信息与品格证据较为类似,可以参照品格证据规则对其进行必要的使用限制,主要用于弹劾被告人或证人可信性以及对被定罪量刑的罪犯,而非针对被告人的定罪。
其次,需区分不同类型的数据或信息主体。不同身份的主体在刑事诉讼中地位不同,承担的权利义务不同,与其相关的数据或信息在刑事诉讼中被处理的强度亦不同,数据或信息处理对其权益影响也有较大差别。承继刑事诉讼对不同主体身份进行区分的理念,对不同主体的数据或信息进行不同顺序、不同程度的保护是适用区分原则的一个重要视角。对此,欧盟专门适用于刑事司法的第2016/680号指令第6条将数据或信息主体区分为四类:(1)有可靠根据相信其已经实施犯罪或是即将实施犯罪之人;(2)已被定罪之人;(3)被害人或根据特定事实被认为可能是犯罪被害人之人;(4)其他人,例如证人、提供信息之人等。[12]我国亦可参考此种区分,针对不同类型的数据或信息主体,基于其不同需求以及与刑事诉讼关系的紧密程度差异,应当适用不同的处理规则。
最后,应根据不同的处理场景设置不同的数据或信息处理规则。如上文所述,刑事诉讼中侦查、起诉、审判这三个核心阶段的案件办理需求各不相同,其中以侦查最需封闭以防止泄密,因此在侦查的场景下,数据或个人信息处理的秘密性要求最高。而即便在封闭秘密的刑事侦查中,亦有不同场景再细分的必要性,例如日本法上有强制侦查与任意侦查之区分,[13]在任意侦查的场景下就可以适用“告知—同意”原则收集数据或个人信息,再如美国法上亦有经同意而进行搜查扣押的制度,[14]在此种同意的场景下数据或个人信息的处理就更有自由裁量空间。
二、刑事诉讼中对数据权利和个人信息权利的认可
基于对数据和个人信息保护问题的重视,诸多数据权利或个人信息权利以“新兴权利”的身份涌现并逐步得到法律的认可。[15]例如欧盟《一般数据保护条例》规定了数据访问权、删除权/被遗忘权、数据可携带权等一系列数据权利,[16]我国《个人信息保护法》也专设第四章“个人在个人信息处理活动中的权利”,该章下的第44条至第50条明确规定了个人享有的知情权、决定权、限制或拒绝处理权、查阅复制权、更正补充权、删除权等多项个人信息权利。这些数据权利或个人信息权利,不但在数据和个人信息处理的一般场景下发挥作用,也逐渐对刑事诉讼产生影响,使得我们不得不考虑是否需要在刑事诉讼领域认可这些数据权利或个人信息权利这一问题。
是否在刑事诉讼中认可这些权利,需首先对这些数据权利或个人信息权利进行甄别。有一些权利在刑事诉讼中几乎没有被接受的可能,例如数据可携带权,其内容在于个人可以获取个人数据并将其移植至其他平台或替换平台上之前的数据,[17]而在刑事诉讼领域将数据或信息交由公民个人获取并允许其移植,存在泄密、数据安全等方面的风险,实现的障碍过大。再如决定权与限制或拒绝处理权,在刑事诉讼这样一个国家强制力高度支配的环境下也难有行使的空间。但也有一些权利,在刑事诉讼中已有一定的制度基础,有可能通过对这些数据权利或个人信息权利进行限制、改造或拓展而使其在刑事诉讼领域被接受。例如《刑事诉讼法》第122条和第207条规定了已有讯问笔录与法庭笔录核对时允许被追诉人提出补充或者改正,可以在此基础上扩张适用范围,实现对更正补充权的纳入;再如《刑事诉讼法》第40条规定了辩护人的阅卷权,可以对其稍作修改,承认查阅复制权;还有《刑事诉讼法》第286条规定的未成年人犯罪记录封存制度,可以作为被遗忘权的基础。
由此可见,刑事诉讼领域认可数据权利和个人信息权利,既符合数字时代保护公民权利的要求,也具有现实的可能性。其中以下三项权利有被刑事诉讼肯认的迫切需求,尤其值得关注。
一是知情权。尽管如上文所述受到颇多限制,但作为数据和个人信息保护基石性权利的“知情—同意”权,在刑事诉讼领域仍具有重要意义。尤其是其中的“知情”部分,由于对程序意义上的授权之正当性的支撑作用,[18]仍在一定程度上构成刑事诉讼中数据和个人信息处理的前提条件。在刑事诉讼中,对于作为数据或信息主体的公民,尤其是被追诉人而言,对数据或个人信息被处理事实的知悉,构成了其后续准备辩护、实质参与诉讼的基础。而对于作为数据或信息处理者的公检法等公权力机关而言,将数据或信息处理之事实告知公民,一方面有利于限定公权力行使的边界和范围,防止其滥用权力、非法处理数据或信息,另一方面对于这些机关而言也是预先的保护,在数据或信息主体“知情”的情况下展开处理活动,大大地降低了处理者行为被认定为非法之风险,[19]能有效降低相关处理行为获得的证据被排除的几率。从这个意义上看,刑事诉讼中数据或信息主体的知情权于各方均为有利,尽管知情权的内容需受限制,但赋予和尊重此种知情权仍有空间且十分必要。另外,从刑事诉讼既有程序规范看,保障知情权已有制度基础。《刑事诉讼法》规定侦查机关第一次讯问犯罪嫌疑人或采取强制措施之时,人民检察院自收到移送审查起诉的案件材料之日起三日内,人民法院自受理案件之日起三日内,需做权利告知,在这些权利告知的时间节点同时做数据或个人信息处理的告知,具有可行性。
二是数据访问权。《刑事诉讼法》第40条规定了辩护人阅卷权,虽有查询复制的内容,但一方面因“案卷材料”的适用范围过于狭窄,另一方面因海量数据导致阅卷困难,[20]已经无法适应数字时代的刑事案件办理需求。在此种情况下,数据主体可从数据控制者处确认其个人数据是否正被处理、并在此种情形下可以访问个人数据及获得相关信息的权利,即数据访问权,[21]可以作为阅卷权的必要补充,解决阅卷权的固有缺陷。具体而言,其一是解决权利主体归属问题。阅卷权的主体是辩护人而非被追诉人,姑且不谈这是否是对阅卷权权属的误读,[22]但至少已在实务中引发辩护人将案卷材料提供给被追诉人是否违规的争议。而数据访问权则能顺畅解决这一问题,由于数据访问权是数据主体的权利,则不必考虑其在刑事诉讼中所承担的角色究竟是辩护人还是当事人,只需考虑其与该项数据的关系即可确定权利主体。其二是解决阅卷权无法应对控辩之间“数字鸿沟”的问题。由于刑事诉讼中公权力机关对数据或信息的处理未必体现在作为阅卷权对象的案卷材料中,于是本就实力悬殊的控辩力量对比被进一步拉大,在此种情况下,允许数据主体行使数据访问权,能对刑事诉讼控辩平等对抗的等边三角结构提供有力支撑,在一定程度上缩小控辩之间的“数字鸿沟”。当然,刑事诉讼领域的数据访问权应有限制,例如在时空条件上可以将需要高度保密的办案阶段加以排除,在适用场景上可以在有泄密之虞时暂缓或停止该项权利的行使,以实现权利保障与案件办理需求的协调平衡。
三是删除权。数据或信息主体在该项数据或信息不再有被合法处理的必要时,有要求将其删除之权利。关于这项权利,欧盟《一般数据保护条例》的第2012/72号草案中称其为“被遗忘权”,但在2016年通过的最终版本中则称其为“删除权(被遗忘权)”,而我国《个人信息法保护》第47条使用的是“删除”的概念,规定在法定情形下,“个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除”。[23]在刑事诉讼中,被追诉人、已定罪罪犯都有回归社会的需求,证人、被害人等也有与案件脱钩、恢复平静生活的必要,由此产生引入删除权的需要。然而在刑事诉讼领域对数据或个人信息的删除,可能会与刑事追诉利益、公共安全利益、公众知情权等产生冲突,因而必须有严格的限制。根据上文所述的区分原则的要求,可以根据数据或信息主体的身份,区分被认定无罪的无辜者、已定罪的罪犯、尚在诉讼中的犯罪嫌疑人或被告人、被害人、其他诉讼参与人,并考虑该主体在社会生活中扮演的角色是否为公共人物、所涉及的数据或信息的性质是否关涉隐私、数据或信息的来源、数据或信息所经历的时间长短等因素,[24]设计出不同的删除权适用要求和规范,以减轻删除权对刑事案件办理造成的冲击,实现此项权利在刑事诉讼领域的平稳落地。
三、刑事诉讼中数据和个人信息保护国家义务的全流程履行
“在法律上,义务是权利的关联词或对应词,有权利即有义务,有义务即有权利,两者相辅相成,既对立又统一。”[25]在数据和个人信息处理领域,相对于作为数据或信息主体的公民所享有的权利,处理者应当承担义务。我国法律极其强调数据或个人信息处理者义务的履行,《数据安全法》第四章专章规定数据处理者的“数据安全保护义务”,《个人信息保护法》也在第五章规定“个人信息处理者的义务”。在刑事诉讼中,数据和个人信息处理者同样需要承担相应的数据安全和个人信息保护义务,这一点并不因刑事诉讼的特殊性而有所改变,有必要通过此次《刑事诉讼法》修改予以明确。
然而相较于其他领域的企业、平台等数据或个人信息处理者,刑事诉讼中的处理者主要是公检法等公权力机关,其系以国家的名义开展数据或个人信息的处理活动,由此相应的数据安全和个人信息保护义务具有国家义务的属性,是宪法层面上国家所负有的保护义务在刑事诉讼数据和个人信息处理场景下的展开。[26]在刑事诉讼这样的程序法领域,此种国家义务的展开有两项要点,一是需有合法正当程序,二是需有监督、救济途径,二者交互运用形成了国家义务的程序保障。[27]加之如上文所述,关于数据安全和个人信息保护的要求体现在刑事诉讼全流程中,于是根据这两方面的要求,刑事诉讼中数据和个人信息保护国家义务履行就有两方面问题值得关注。
(一)刑事诉讼中数据和个人信息保护国家义务的具体内容和履行要求
数据和信息有类似于生命周期的循环特征,大体可分为收集、存储、使用、加工、传输、销毁等阶段,[28]刑事诉讼中也可以循着这些阶段确保相应国家义务得到履行。
首先在收集阶段。公检法等公权力机关在收集阶段的主要义务在于保证数据或个人信息收集的合法性。刑事诉讼领域向来有对公权力机关取证合法性的义务要求,《刑事诉讼法》第52条要求审判人员、检察人员、侦查人员必须依照法定程序收集证据,第56条则要求将非法收集的言词证据、书证物证予以排除。这与《数据安全法》第32条“任何组织、个人收集数据,应当采取合法、正当的方式”之规定,以及《个人信息保护法》第10条关于禁止非法收集个人信息的要求相契合,可以在此次《刑事诉讼法》修改中再加明确,使得对公权力机关数据或个人信息收集行为合法性的要求有据可依。
其次在使用加工阶段。使用是在不实质改变数据或个人信息的情况下对其进行的利用,而加工则需对数据或个人信息的性质或内容作出改变、而后再加以利用。[29]公检法机关在实施这两种处理活动之前,应对数据或个人信息参照《数据安全法》第21条和《个人信息保护法》第21条第(二)项的规定做预先的分类分级,对不同类型或层级的数据或个人信息采取不同的保护措施。在使用或加工的过程中,需要确保具体实施数据或个人信息使用加工活动的工作人员的专业资质,并对使用加工的流程予以全程记录。尤其需要注意的是,由于数据或个人信息处理的专业性要求,刑事诉讼领域常有司法辅助职能外包场景,公检法机关可能借由科技企业实施数据或个人信息的使用与加工,在此种场景下,公检法机关还需参照《数据安全法》第40条和《个人信息保护法》第21条的规定,对委托科技企业使用加工数据或个人信息进行严格的审批,并对受托的科技企业使用加工活动进行监督,对此下文详述。
再次在存储传输阶段。刑事诉讼中公权力机关对数据或个人信息进行存储传输,需要注意三个方面的义务。一是存储的地点需符合本土化的要求。《个人信息保护法》第36条规定“国家机关处理的个人信息应当在中华人民共和国境内存储”,由此公检法机关也需据此将数据或个人信息存储在我国境内。二是存储的方式应以本地存储为原则。本地存储是指,使用硬盘、光盘、优盘、记忆棒、存储芯片等原始介质存储数据,使其“天然依附于计算机硬件设备”[30]以确保安全。对于云存储这种存储设备与存储方分离的存储方式,由于存在较大的失控风险,应当作为例外而审慎使用。三是存储的时长应与存储的目的相契合。《个人信息保护法》第19条要求“个人信息的保存期限应当为实现处理目的所必要的最短时间”,此项要求在刑事诉讼领域内同样适用。然而考虑到刑事诉讼中的数据和个人信息存储有突破个案、实现预防和打击犯罪的长效需求,根据上文所述的衔接思路,应当区分不同情形,允许长期存储某些数据或个人信息之例外。
最后在删除销毁阶段。《个人信息保护法》第19条规定“个人信息的保存期限应当为实现处理目的所必要的最短时间”,最小存储时间实际上与目的正当性的要求一脉相承,在刑事诉讼中亦应遵循。目前《刑事诉讼法》只规定了对未成年人犯罪记录的封存制度,但封存毕竟不是数据或个人信息全生命周期的终结,域外立法已有在刑事诉讼领域以删除或彻底销毁方式处理数据或信息的规定,[31]可为我国参考。根据上文关于删除权的论述,公检法机关应当在诉讼目的完成之时依职权主动删除或依申请删除相关的数据或个人信息,完成数据或个人信息在刑事诉讼领域的终结处理。
在上述全生命周期的各个环节之外,刑事诉讼中数据和个人信息保护国家义务的履行还有一个特殊问题值得关注,即数据或信息发生属性的变化应当如何处理。如上文所述,在刑事诉讼中,案件办理常涉及公民个人信息的处理,尤以侦查为甚。而随着侦查活动的展开,侦查机关可能通过已掌握的信息获得指向其他信息的线索,进而对更多的信息进行收集、使用,在此过程中可能发生信息属性的变化,原本并不具有个人信息属性的信息可能因为与其他信息的汇集、整合,具备了《个人信息保护法》第4条所指之“可识别”和“有关”的特征,从而成为个人信息甚至敏感个人信息。面对此种情形,应当根据信息属性的变化而及时适用相应的规范,一旦该信息具备了个人信息的性质,就应依照《个人信息保护法》和刑事诉讼领域关于个人信息处理的相关规则开展信息处理活动。
(二)刑事诉讼中数据和个人信息保护国家义务的履行保障
事实上,刑事诉讼中数据和个人信息保护国家义务的全流程履行如何保证监督与救济的问题可以进行分解,具体包括主体和内容两个方面。
第一,谁来实施监督、提供救济。设置刑事诉讼领域的数据和个人信息监管机构,需要至少考虑三方面的问题,即专业性、中立性、全程参与性。《数据安全法》第6条和《个人信息保护法》第60条规定国家网信部门负责统筹协调数据和个人信息的监管工作,而公安机关、国家安全机关等在各自职责范围内承担数据安全和个人信息保护的监管职责。[32]然而,国家网信部门不具备刑事诉讼的专业知识且对刑事诉讼程序毫无参与,而公安机关和国家安全机关由于侦查机关的角色而不具有中立性且对侦查之后的起诉和审判亦无参与,均不适合作为刑事诉讼领域的数据和个人信息监管机构。遍观刑事诉讼领域的各个机关,唯一兼具专业性、中立性和全程参与性者是检察机关,检察机关的刑事诉讼专业能力无可置疑,且作为宪法规定的国家法律监督机关具有相对中立的身份,并在此基础上对刑事诉讼开展从立案到执行的全程监督。尽管检察机关开展数据和个人信息监管存在技术方面的困难,但这些困难通过人员招录、专业咨询、辅助性工作外包、数字检察建设等途径并不难解决。由此可见,检察机关是最适合作为刑事诉讼领域的数据和个人信息监管机构的机关,应由其承担刑事诉讼中数据和个人信息保护国家义务全流程履行的监管实施和救济提供的职责。
第二,如何实施监督、提供救济。一方面,在实施监督的层面,检察机关作为刑事诉讼领域的数据和个人信息监管机构,可以将针对数据和个人信息的监管与刑事诉讼中传统的检察监督工作结合起来,在立案监督、审查批捕、审查起诉、审判监督等活动中一并审查数据和个人信息处理的相关问题。此种对数据和个人信息处理的审查监督,首先应当依托现有的检察监督机制而在刑事诉讼的各个阶段展开。具体而言,在立案阶段,检察机关可以通过对侦查机关立案或不立案理由的审查而监督其数据和个人信息处理的合法性;在审查批捕和审查起诉阶段,检察机关发现侦查机关收集数据或个人信息可能不合法的,应当进行调查核实,确属非法收集的,应当参照刑事诉讼中的非法证据排除规则和瑕疵证据补正规则,根据违法程度的强弱性质差别,做出排除或允许补正、合理解释的不同决定;在审判阶段,检察机关发现非法处理数据和个人信息的行为,例如毁弃、篡改、隐匿、伪造、偷换数据或个人信息等,应当向人民法院提出纠正意见,情节严重的应依法追究相关人员责任。除了在传统的刑事诉讼检察监督工作中开展数据和个人信息监管,检察机关还可以专项监督的方式开展工作,有针对性地就特定处理行为进行监管,发现数据和个人信息处理行为违法的,对于情节较轻者应由检察人员以口头方式提出纠正意见,对于情节较重者,应经检察长决定发出纠正违法通知书,对于具有普遍性的违法情形,应经检察长决定向相关机关提出检察建议,构成犯罪的依法追究刑事责任。从这个意义上看,检察机关对刑事诉讼中数据和个人信息处理的监督系以积极主动方式进行的。另一方面,在提供救济的层面,检察机关通常应以被动方式应公民申请而为其提供权利救济。传统上数据权利和个人信息权利的救济途径主要是“投诉—指令”式的,欧盟《一般数据保护条例》规定监管机构的矫正性权力是在数据主体提出请求的前提下实施的,[33]我国《数据安全法》第12条、《个人信息保护法》第65条也规定公民有权向监管机构投诉、举报,监管机构应当及时处理此种投诉、举报。在刑事诉讼领域,检察机关也宜采取此种“投诉—指令”模式,在接到作为数据或信息主体的公民的投诉后,再开展相关的审查处理工作,依法为其提供权利救济。
四、刑事诉讼中新型数据和个人信息处理技术的运用与规制
数字时代下,各种新兴的数据和个人信息处理技术层出不穷,人脸识别、大数据、区块链、人工智能等不但在社会生活的许多领域得到普及,也在刑事诉讼中得以运用。尤其近年来,检察机关和法院大力推进数字检察与智慧法院建设,其间涉及大量新型数据和个人信息处理技术在审查批捕、审查起诉和审判阶段中的运用,例如上海法院的“刑事案件智能辅助办案系统”(以下简称“206系统”)就以人工智能技术为核心而包含证据校验、社会危险性评估、类案推送、量刑辅助、语音识别及智能转换等内容,[34]使得新型技术的运用早已突破了侦查阶段收集数据和个人信息的范围限制。然而尽管这些新型的数据和个人信息处理技术在刑事诉讼领域已经基本实现全流程运用,但如上文所述,自2012年修改以来,《刑事诉讼法》对于新型技术的运用以及相关规制措施的关注只集中于技术侦查领域,由此导致法律规定与实践需求的不匹配。面对此种情形,此次《刑事诉讼法》修改中应当对新型数据和个人信息处理技术的运用与规制问题有必要的关注,从而与《数据安全法》第40条关于电子政务系统建设维护、《个人信息保护法》第24条关于自动化决策和第26条关于图像采集和身份识别设备的要求等相关规定相协调。
(一)新型技术在刑事诉讼中的定位
为完成此种衔接与协调,首要的问题就在于明确这些新型数据和个人信息处理技术在刑事诉讼中的定位,即解决技术与人的关系问题。[35]
技术以及承载技术的工具,“以科学为名”,具有科学化特征与形式理性品格,[36]给使用技术的人带来巨大的科学性、权威性的威慑,而迫使人屈服于其所做的数据和个人信息处理结论。这一点在人工智能技术上表现得尤为显著,如在2016年美国的卢米斯案中,法院就在量刑程序中采纳了COMPAS人工智能系统所做的社会危险性评估结论而给被告人科以较重的刑罚;[37]及至2023年,生成式人工智能技术更在一些案件中直接代替法官的裁判而成为实际意义上的人工智能法官,例如哥伦比亚法官胡安·曼努埃尔·帕迪拉·加西亚就在一个涉及自闭症儿童医疗保险费用支付的案件中使用ChatGPT作出判决,[38]印度旁遮普邦和哈里亚纳邦的一名法官则采用ChatGPT的最新版本GPT-4所提出的意见拒绝了被告人的保释申请。[39]这就不得不使人产生疑惑,在刑事诉讼领域,新型的数据和个人信息处理技术与司法官员之间究竟是何关系,当二者对案件产生了不同认识时,究竟应当以冰冷的、去情感化的技术工具的结论为准,还是应当以兼具理性与感性的人的判断为准?
在这个问题上,我国的司法机关已有准确的认识,2023年最高人民法院《关于规范和加强人工智能司法应用的意见》第5条提出人工智能的“辅助审判原则”,要求“坚持对审判工作的辅助性定位和用户自主决策权,无论技术发展到何种水平,人工智能都不得代替法官裁判,人工智能辅助结果仅可作为审判工作或审判监督管理的参考,确保司法裁判始终由审判人员作出,裁判职权始终由审判组织行使,司法责任最终由裁判者承担。各类用户有权选择是否利用司法人工智能提供的辅助,有权随时退出与人工智能产品和服务的交互”。此种将人工智能定位为司法辅助工具的认识是准确的,并可将此种定位扩展适用于所有运用于刑事诉讼中的新型数据和个人信息处理技术上,毕竟刑事诉讼不但是法律的适用过程,也是天理人情的价值衡量过程。在此次《刑事诉讼法》修改中,有必要对新型数据和个人信息处理技术在刑事诉讼领域的辅助性地位予以明确,规定“技术作为刑事诉讼的辅助性手段”。
(二)科技企业与公权力机关的关系
在明确新型数据和个人信息处理技术在刑事诉讼中的定位之后,紧接着需要解决的问题在于如何合理安排参与此种技术开发运用的科技企业与刑事诉讼公权力机关的关系。
无论公安机关还是检察院、法院,由于其工作领域和专业本身与数据技术的天然隔离关系,都无法仅仅依靠自身的力量开发、维护新型数据和个人信息处理技术,于是便出现了上文所述的司法辅助职能外包的需求,使得科技企业与公检法机关在刑事诉讼的场域下发生关系。科技企业参与甚至承担刑事诉讼领域新型数据和个人信息处理技术的研发维护工作,在公检法三家的工作实践中已经十分常见,例如上文提及的上海法院“206系统”就是在科大讯飞300余名技术人员的协助下研发的,[40]北京华宇信息技术有限公司派技术人员入驻北京市人民检察院协助“检察管理监督平台”的研发和维护,[41]湖北省宜昌市公安机关与升哲科技有限公司合作共建视频图像联合创新实验室等等。[42]如此一来,这些科技企业便成了刑事诉讼中实际上的数据和个人信息处理者,一旦处之不慎,可能使得数据和个人信息向刑事诉讼外泄露、增加数据和个人信息被非法处理的风险。除此之外,科技企业与刑事诉讼公权力机关过从甚密,也增加了发生腐败的可能性。
为此,应当妥善处理好刑事诉讼公权力机关与参与新型数据和个人信息处理技术开发运用的科技企业之间的关系。一方面,应当落实《数据安全法》第40条和《个人信息保护法》第21条的规定,要求公检法机关在委托科技企业开发维护新型技术之前经过严格的审批程序,并对其处理数据和个人信息的活动予以监督,确保科技企业合目的地处理数据和个人信息,防范非法处理的风险。参考《数据安全法》和《个人信息保护法》的规定,可以在《刑事诉讼法》中规定“公安司法机关委托第三方处理数据和信息,应当经过严格的批准程序,与受托人约定委托处理的目的、期限、处理方式、数据和信息的种类、保护措施以及双方的权利和义务等,并应当监督受托方履行相应的数据和信息安全保护义务。受托方应当依照法律法规的规定和合同约定履行数据和信息安全保护义务,不得超出约定的处理目的、处理方式等处理数据和信息,不得擅自留存、使用、泄露或者向他人提供相关数据和信息”。
另一方面,公检法机关内部应有职司的必要分离,将案件办理的部门与和科技企业交往的技术管理部门做明确的分割,禁止办案人员与科技企业及其技术人员的直接接触,保证案件办理的独立性和职务的廉洁性。在处理公检法机关与开发运用新型数据和个人信息处理技术的科技企业之间的关系问题上,此次《刑事诉讼法》修改中可以提出原则性、概括性的要求,如规定“办案人员不得直接委托第三方处理数据和信息”。
(三)网络服务提供商的协助义务
在解决前述两方面技术与人的关系以及科技企业与公权力机关的关系后,应当对网络服务提供商针对刑事诉讼所承担的协助义务加以规定。
刑事诉讼中的公权力机关向网络服务提供商调取数据或个人信息,是数据和个人信息处理的常见方式,这在中外皆然。例如在美国2018年的卡朋特案中,联邦调查局警察从手机通信运营商处调取了犯罪嫌疑人的手机定位信息(Cell Site Location Information)并将其作为控诉证据使用。[43]我国《反恐怖主义法》第51条规定:“公安机关调查恐怖活动嫌疑,有权向有关单位和个人收集、调取相关信息和材料。有关单位和个人应当如实提供。”《网络安全法》第28条规定:“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。”《数据安全法》第35条规定:“公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。”这些规定为刑事诉讼中的公权力机关向网络服务提供商调取数据或个人信息提供了法律依据。
公检法等公权力机关基于刑事诉讼的目的,向网络服务提供商调取数据或个人信息,无论从应对犯罪形态变化,还是从提升诉讼效率的角度看均有必要,且已为上述法律所许可。对应此种数据或个人信息的调取,网络服务提供商需承担相应的协助义务,例如技术支持义务、数据和信息提供义务等,对于这些义务,应当在此次《刑事诉讼法》修改中予以明确。现行的《刑事诉讼法》只在第54条规定“人民法院、人民检察院和公安机关有权向有关单位和个人收集、调取证据。有关单位和个人应当如实提供证据”,不但没有规定数据和个人信息的调取,也没有规定网络服务提供商的相应协助义务。针对此种现实需求,可以考虑在《刑事诉讼法》中明确规定:“人民法院、人民检察院和公安机关有权向有关组织和个人收集、调取数据和个人信息。有关组织和个人应当予以配合和协助。”
(四)公权力机关运用新技术收集数据和个人信息
刑事诉讼法除对刑事诉讼公权力机关从网络服务提供商处调取数据或个人信息作出规定之外,对于公权力机关,尤其是侦查机关运用新技术自行收集数据和个人信息的行为亦应有所规定。
刑事诉讼中公权力机关运用网络在线提取、远程勘验、数据爬取等新型技术收集数据和个人信息,是数字时代下预防和打击犯罪的必然需求。然而此种行为一旦失去控制,则可能带来严重风险,例如导致公权力的过度扩张、威胁公民的隐私和个人信息安全、增大刑事诉讼权利保护的难度等,为此需要对公权力机关收集数据和个人信息的行为予以规制。在这一问题上,2016年最高人民法院、最高人民检察院、公安部联合颁布的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》以及2019年公安部《公安机关办理刑事案件电子数据取证规则》中已有一些规定,其核心内容可以为《刑事诉讼法》所采纳吸收。
具体而言,可以从内外两个路径展开对刑事诉讼中运用新型技术收集数据和个人信息行为的规制。一方面,运用新型技术收集数据和个人信息应有内部监管。内部监管是我国规制数据和个人信息处理技术运用的常规手段,2016年的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》和2019年的《公安机关办理刑事案件电子数据取证规则》针对收集数据问题,就主要采取了内部监管的思路。这些内部监管的措施,除了事前的审批,还包括事中的侦查人员人数限制、制作笔录、日志记录、注明完整性校验值、拍照录像截屏、见证人在场等,这些已有的内部监管措施可以作为对运用新型技术收集数据和个人信息展开内部监管的参考。在此次《刑事诉讼法》修改中,可以对这些内部监管措施予以吸收。例如可以参考技术侦查的相关条文,规定侦查机关运用新技术收集数据和个人信息“应当经过严格的批准手续”,由市一级以上侦查机关批准后方可实施;再如可以规定收集数据和个人信息至少应有两名侦查人员执行,收集过程应当制作笔录并全程同步录像,应由符合条件的人员担任见证人并在笔录上签名或者盖章。
另一方面,公权力机关运用新技术收集数据和个人信息应有外部制约。其一是检察监督的开展。如上文所述,检察机关应当作为刑事诉讼领域的数据和个人信息监管机构,由是取得对公权力机关运用新技术收集数据和个人信息的监督权力。检察机关既可以在常规的案件办理过程中如审查批捕、审查起诉中开展此种监督,也可以就此种运用新技术收集数据和个人信息的行为展开专项监督,以发挥国家法律监督机关在数据和个人信息处理方面的监督职能,对此《刑事诉讼法》修改中可在确认检察机关数据和信息处理监管职能时一并予以确立。
其二是当事人质证权的保障。质证权是当事人的一项重要权利,在一些国家甚至是宪法性权利,在刑事诉讼领域能发挥查明案件真相、揭示公权力机关违法的作用。上文所述的美国卢米斯案中的一项核心争议恰恰在于新型技术的运用未能保障当事人的质证权,从而无法验证技术的运用是否合法合理。[44]因此,当事人的质证能够对公权力机关的权力运作产生一定的外部监督效果,形成权利对权力的制约,从而促使公权力机关运用新型技术收集数据和个人信息的依法进行。对此,可以在《刑事诉讼法》修改中参考现有第61条,规定“运用新技术收集的数据和信息,必须在法庭上经过公诉人、被害人和被告人、辩护人双方质证并且查实以后,才能作为定案的根据”。
其三是专家辅助人的参与。公权力机关运用新型技术收集数据和个人信息的行为,涉及专业知识,而当事人及其律师通常不具有此种知识,仅凭其质证的效果有限,因此有必要寻求进一步的外部智力支持。在现有的法律框架下,专家辅助人制度可以为此提供此种针对公权力机关运用新型技术所收集数据和个人信息质证的外部能力保障。现行《刑事诉讼法》第128条、第197条规定了“有专门知识的人”即专家辅助人参与勘验检查、出庭提供意见的制度,在此基础上,在此次《刑事诉讼法》修改中,可以考虑规定“公诉人、当事人和辩护人、诉讼代理人可以申请法庭通知有专门知识的人出庭,就运用新技术收集的数据和信息提出意见”,从而通过专家辅助人的参与形成对公检法机关运用新技术收集数据和个人信息的另一层外部制约。
五、结语
数字时代下,数据和个人信息在整个社会生活中成为像石油、空气一样的资源,改变甚至决定着人类的生活方式。在这样的社会背景下,作为人类生活一部分的刑事诉讼也不可避免地面临着由此带来的变革和挑战。究竟是积极地应对这些变革和挑战,还是消极地坐待其作用于刑事诉讼程序,是此次《刑事诉讼法》修改所必需回答的问题。从现实的情况看,刑事诉讼中对数据和个人信息的处理,已经成为实践中的基本办案方式之一。为了防止科技的介入带来的数据和个人信息处理方式导致增加而非减少司法的“不确定性”,[45]避免其对刑事诉讼带来的过大冲击,作为刑事诉讼领域的纲领性基本法律,《刑事诉讼法》不应对数据和个人信息处理的司法实践需求视而不见、装聋作哑,而是应当基于数字时代的客观要求,有针对性地作出从原则到规则的系统规定,以使司法实践有法可依。从这个意义上看,此次《刑事诉讼法》修改中做好与《数据安全法》《个人信息保护法》相关规定的衔接,既有利于实现不同部门法之间的协调一致,提升法律的权威性,也能为未来的刑事司法实践提供具有前瞻性的必要指引,需要立法者予以慎重考虑。
郑曦,北京外国语大学法学院教授。
【注释】
[1]参见《十四届全国人大常委会立法规划》,载中国人大网2023年9月8日,http://www.npc.gov.cn/c2/c30834/202309/t20230908_431613.html。
[2]陈光中、陈琼雯:《〈刑事诉讼法〉修改的回顾与展望》,载《法学杂志》2024年第2期,第23-24页。
[3]相关研究如程雷:《刑事司法中的公民个人信息保护》,载《中国人民大学学报》2019年第1期,第90页;裴炜:《个人信息保护法与刑事司法的分离与融合》,载《中国政法大学学报》2020年第5期,第149页;郑曦:《刑事诉讼个人信息保护论纲》,载《当代法学》2021年第2期,第115页;郑曦:《刑事司法中的数据安全保护问题研究》,载《东方法学》2021年第5期,第80页。
[4]程雷:《刑事诉讼中适用〈个人信息保护法〉相关问题研究》,载《现代法学》2023年第1期,第91页。
[5]也有学者认为应以侦查公开为原则、侦查秘密为例外。参见李明:《秘密侦查与侦查公开的冲突及解决——兼论侦查公开与侦查秘密原则》,载《河北法学》2012年第5期,第55页。
[6]丁晓东:《个人信息保护:原理与实践》,法律出版社2021年版,第26页。
[7]See Katz v. United States,389 U. S.347(1967).
[8]相关讨论可见詹建红:《理论共识与规则细化:技术侦查措施的司法适用》,载《法商研究》2013年第3期,第40页;胡铭:《技术侦查:模糊授权抑或严格规制——以〈人民检察院刑事诉讼规则〉第263条为中心》,载《清华法学》2013年第6期,第36页;王东:《技术侦查的法律规制》,载《中国法学》2014年第5期,第273页等。
[9]参见蔡一博、郭福卿:《隐私与个人信息区分下的衔接保护》,载《学术交流》2022年第12期,第106-107页。
[10]例如2018年至2022年,全国检察机关共办理各类案件1733.6万件(其中主要是刑事案件),比2013年至2017年上升40%。参见张军:《最高人民检察院工作报告——2023年3月7日在第十四届全国人民代表大会第一次会议上》,载最高人民检察院网站2023年3月17日,https://www.spp.gov.cn/spp/gzbg/202303/t20230317_608767.shtml。
[11]参见郑飞:《证据属性层次论——基于证据规则结构体系的理论反思》,载《法学研究》2021年第2期,第134页。
[12]Directive (EU)2016/680, EUR-Lex (April 5,2016), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016L0680&from=EN.
[13][日]田口守一:《刑事诉讼法》(第7版),张凌、于秀峰译,法律出版社2019年版,第53-54页。
[14]Schneckloth v. Bustamonte,412 U. S.218(1973).
[15]参见孟融:《新时代新兴权利研究的理论维度与未来面向》,载《求是学刊》2023年第1期,第120页。
[16]General Data Protection Regulation, EUR-Lex (April 5,2016), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN.
[17]参见丁晓东:《论数据携带权的属性、影响与中国应用》,载《法商研究》2020年第1期,第74页。
[18]参见姚佳:《知情同意原则抑或信赖授权原则——兼论数字时代的信用重建》,载《暨南学报(哲学社会科学版)》2020年第2期,第48页。
[19]参见丁晓东:《个人信息保护原理与实践》,法律出版社2021年版,第89-90页。
[20]郑曦:《超越阅卷:司法信息化背景下的刑事被告人数据访问权研究》,载《河南大学学报(社会科学版)》2020年第2期,第60页。
[21]General Data Protection Regulation, EUR-Lex (April 5,2016), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN.
[22]杨波:《被追诉人阅卷权探究——以阅卷权权属为基点的展开》,载《当代法学》2012年第1期,第25页。
[23]关于删除权与被遗忘权概念异同的争论,参见王苑:《中国语境下被遗忘权的内涵、价值及其实现》,载《武汉大学学报(哲学社会科学版)》2023年第5期,第165页。
[24]The Advisory Council to Google on the Right to be Forgotten, Static.googleusercontent (February 6,2015), https://static.googleusercontent.com/media/archive.google/zh-CN//advisorycouncil/advisement/advisory-report.pdf.
[25]沈宗灵主编:《法理学》(第4版),北京大学出版社2014年版,第66页。
[26]参见王锡锌:《个人信息国家保护义务及展开》,载《中国法学》2021年第1期,第146页。
[27]参见见李震山:《程序基本权》,载《月旦法学教室》2004年第19期,第34页。
[28]参见罗文华:《基于生命周期的数据跨境流动程序性与实质性监管》,载《中国政法大学学报》2021年第5期,第147页。
[29]许可:《从权利束迈向权利块:数据三权分置的反思与重构》,载《中国法律评论》2023年第2期,第27页。
[30]郭烁:《云存储的数据主权维护——以阻断法案规制“长臂管辖”为例》,载《中国法律评论》2022年第6期,第74页。
[31]如法国《刑事诉讼法典》第770条规定,未成年人犯罪记录登记信息可在符合条件时被销毁。参见《法国刑事诉讼法典》,罗结珍译,中国法制出版社2006年版,第612页。
[32]《个人信息保护法》第60条未明确提出公安机关、国家安全机关的监管职责,而是规定“国务院有关部门”在各自职责范围内负责个人信息保护和监督管理工作。
[33]Article 58, General Data Protection Regulation, EUR-Lex (April 5,2016), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN.
[34]参见崔亚东:《人工智能与司法现代化——“以审判为中心的诉讼制度改革:上海刑事案件智能辅助办案系统”的实践与思考》,上海人民出版社2019年版,第111-116页。
[35]有观点认为数字技术、人工智能带来机器觉醒,导致社会关系中“物”的主体性不断被强化。参见骆正林:《数字空间、人工智能与社会世界的秩序演化》,载《阅江学刊》2023年第6期,第90-91页。
[36]参见徐骏:《智慧法院的法理审思》,载《法学》2017年第3期,第59页。
[37]Loomis v. Wisconsin,881 N. W.2d 749(2016).
[38]Purvish M. Parikh , Dinesh M. Shah, Kairav P. Parikh, Judge Juan Manuel Padilla Garcia, ChatGPT, and a Controversial Medicolegal Milestone,75 Indian Journal of Medical Sciences 3,4 (2023).
[39]Taniya Dutta, Indian Judge Uses ChatGPT for Views on Bail Plea of Murder Accused, The National (March 29,2023), https://www.thenationalnews.com/world/asia/2023/03/29/indian-judge-uses-chatgpt-for-views-on-bail-plea-of-murder-accused/.
[40]参见崔亚东:《人工智能与司法现代化——“以审判为中心的诉讼制度改革:上海刑事案件智能辅助办案系统”的实践与思考》,上海人民出版社2019年版,第100页。
[41]《华宇构建法律人工智能平台,为法律行业注入智慧动力》,载华宇网2018年4月30日,https://www.thunisoft.com/qydt/2294.jhtml。
[42]伍世豪:《湖北省宜昌市:警政企三方合作共建视频图像联合创新实验室》,载中国发展网2023年11月7日,http://changjiang.chinadevelopment.com.cn/czfz/2023/11/1867297.shtml。
[43]Carpenter v. United States,138 S. Ct.2206(2018).
[44]Loomis v. Wisconsin,881 N. W.2d 749(2016).
[45]Niklas Luhmann, Legal Argumentation: An Analysis of its Form,58 Modern Law Review 285,294(1995).