|
法学院
|
|
□ 郑曦
刑事诉讼数据处理全流程监管的现实之需
数字时代下,数据已成为人类生产生活不可或缺的“原料”,从立案之初,到侦查、起诉、审判三大核心阶段,再到裁判的执行,刑事诉讼的进程时刻伴随着对数据的收集、使用、加工、存储、传输、删除等活动。可见,数据处理已成为一类常见的诉讼活动,且其对于刑事诉讼的重要性日益增加。
刑事诉讼活动越来越倚重对数据的处理,一方面,数据处理活动是刑事诉讼应对犯罪“迭代升级”的必然手段。另一方面,刑事案件数量的增加也刺激着办案机关通过数据处理活动提高诉讼效率。在这两方面因素的作用下,数据处理活动贯穿刑事诉讼的全流程。同时,也会带来诸多问题:一旦数据处理者未能以审慎之态度依法处理数据,则可能侵害公民合法权利,并带来数据安全方面的风险。因此,有必要对刑事诉讼中的数据处理活动进行全流程监管。
刑事诉讼中的数据处理监管具有“特殊监管+系统监管”的特征。鉴于此,有必要从数据处理的监管主体、监管内容、监管对象、监管的基本理念、具体的监管制度等方面研究刑事诉讼数据处理全流程监管问题,以从更为宏观的视角理解数字时代刑事诉讼面临的变革。
刑事诉讼数据处理全流程监管的架构
(一)监管什么:数据处理活动
所谓刑事诉讼数据处理的全流程监管,监管的内容即数据安全法所言之数据处理者的数据处理活动。其一,刑事诉讼数据包含大量能够识别到公民个人的数据。其二,刑事诉讼数据还包括对诉讼活动的记录。由于刑事诉讼数据处理存在以上特点,可将监管重点聚焦于以下几个阶段:第一,数据的收集阶段;第二,数据的使用和加工阶段;第三,数据的存储和传输阶段;第四,数据的删除和销毁阶段。
(二)谁来监管:监管主体
在对刑事诉讼数据处理进行全流程监管中,确定由哪一主体来行使监管职能应当考虑专业性、独立性、全程参与性三方面因素。
根据我国数据安全法、网络安全法、个人信息保护法等法律的规定,似乎将刑事诉讼中数据处理的监管职责交托于公安机关和国家安全机关,然而从上文所述的三方面因素来看,无论是公安机关还是国家安全机关,都在独立性和全程参与性方面存在明显缺陷。笔者认为,检察机关更适合作为刑事诉讼数据处理的监管主体。首先,在专业性方面,刑事检察是检察机关的核心业务;在数据处理方面,“数字检察人才”培养和数字检察队伍建设愈发受到检察机关的重视。其次,在独立性方面,刑事诉讼法确定了其在刑事诉讼中的独立地位。最后,在全程参与性方面,检察机关依据刑事诉讼法的规定对刑事诉讼活动进行从立案到执行的全程法律监督。
(三)谁被监管:数据处理者
相对于作为监管主体的检察机关,刑事诉讼数据处理全流程监管的对象是各类数据处理者。刑事诉讼中的数据处理者是指所有实施数据处理活动的主体,具体而言可以分为两大类:一类是具有公权力属性的数据处理者;另一类是具有私属性的数据处理者。针对这两类数据处理者,检察机关作为监管机构所监管的对象应是前者即具有公权力属性的数据处理者。至于具有私属性的数据处理者的数据处理行为,无须纳入刑事诉讼数据监管的范畴,可以通过国家网信部门的监管予以解决。
此间还有个问题值得讨论,即检察机关如何既作为监管主体又作为被监管的对象、既做裁判员又做运动员的问题。从应然的视角看,此种制度设计确实存在不足之处,但从实然的角度看,这却可能是相对合理的选择。
刑事诉讼数据处理全流程监管的要旨
(一)价值取向:权力行使与权利保障平衡
一方面,刑事诉讼数据处理全流程监管的直接目的在于制约公权力。一是针对数据处理的关联性进行监管,二是针对数据处理的合法性进行监管,三是针对数据处理的真实性进行监管。另一方面,刑事诉讼数据处理全流程监管应重视对公民权利的保障,此种保障的重点在于关注公民的数据权利。
(二)基本目标:数据流动与数据安全兼顾
数据流动和数据安全是数据监管的双重目标。一方面,自由流动是数据的天然属性,也是数据在生产生活中发挥价值的关键。另一方面,数据流动会带来数据安全方面的风险。
刑事诉讼领域的数据处理活动与其他领域并无本质区别,因而兼顾数据流动与数据安全的基本理念也同样应当被贯彻于刑事诉讼数据处理的全流程监管中。
(三)工作方式:“面”“线”“点”监管结合
所谓“面”上的监管,是指刑事诉讼数据处理的全流程监管应有足够的覆盖性,须涵盖数据全生命周期。为实现“面”上的监管,作为刑事诉讼中数据监管主体的检察机关应重视三个方面的工作:一是制定刑事诉讼领域数据处理的一般通用规则,二是建立刑事诉讼领域数据处理的考核评价体系,三是构建刑事诉讼领域数据处理的教育培训机制。所谓“线”上的监管,是指刑事诉讼数据处理的全流程监管应伴随具体数据处理行为的全过程,即从事前、事中、事后三个维度对有重要意义的数据处理行为展开全程监管。所谓“点”上的监管,是指刑事诉讼数据处理的全流程监管应聚焦数据处理过程中的关键环节,并对其间的风险点、争议点、纠纷点予以充分关注。
刑事诉讼数据处理全流程监管的展开
(一)数据收集阶段的监管
首先,针对数据收集关联性的监管。刑事诉讼中收集数据应从诉讼目的出发、以足以实现诉讼目的为标准、且不得超出实现目的所需的数量和内容,就此可以通过审查数据收集记录等方式,将收集的数据与诉讼目的相对照,以验证是否依据数据最小化原则收集数据。其次,针对数据收集真实性的监管。关于数据处理真实性的监管包含两个层面的内容:一是数据处理活动的真实性,二是所处理的数据的真实性。最后,针对数据收集合法性的监管。其一,审查收集数据是否取得数据主体的同意;其二,审查收集过程是否遵循法定程序和相关技术标准;其三,对于不具有合法性的数据,应当参照刑事诉讼中的非法证据排除规则和瑕疵证据补正规则。
(二)数据使用与加工阶段的监管
第一,数据使用与加工阶段的监管应以数据的区分为基础,可以参照数据安全法第二十一条区分为国家核心数据、重要数据和一般数据。第二,数据使用与加工阶段的监管应以程序性审查为主。第三,对于因司法辅助工作外包而由科技企业使用与加工数据的场景,应加大监管力度。
(三)数据存储与传输阶段的监管
对于数据存储的监管,应着重关注三个方面:一是数据存储的地点,二是数据存储的方式,三是数据存储的时长。对于数据传输的监管,按照“面”“线”“点”结合的工作方式要求。
(四)数据删除与销毁阶段的监管
无论是对保护刑事诉讼领域的公民权利,还是对维护数据安全而言,数据的删除与销毁均有终局性的保障价值,因此作为监管机构的检察机关应对此环节进行严格监管。针对数据删除,监管的重点在于保障公民删除权的行使并为其提供权利救济的途径。针对数据销毁,监管的关注点在于确保数据永久性地不可恢复。
(原文刊载于《中国法学》2024年第5期)
|
|
|
| 刑事诉讼数据处理的全流程监管
|
|
|
|
|
|
| ( 2025-02-19 ) 稿件来源: 法治日报法学院 |
|
|
□ 郑曦
刑事诉讼数据处理全流程监管的现实之需
数字时代下,数据已成为人类生产生活不可或缺的“原料”,从立案之初,到侦查、起诉、审判三大核心阶段,再到裁判的执行,刑事诉讼的进程时刻伴随着对数据的收集、使用、加工、存储、传输、删除等活动。可见,数据处理已成为一类常见的诉讼活动,且其对于刑事诉讼的重要性日益增加。
刑事诉讼活动越来越倚重对数据的处理,一方面,数据处理活动是刑事诉讼应对犯罪“迭代升级”的必然手段。另一方面,刑事案件数量的增加也刺激着办案机关通过数据处理活动提高诉讼效率。在这两方面因素的作用下,数据处理活动贯穿刑事诉讼的全流程。同时,也会带来诸多问题:一旦数据处理者未能以审慎之态度依法处理数据,则可能侵害公民合法权利,并带来数据安全方面的风险。因此,有必要对刑事诉讼中的数据处理活动进行全流程监管。
刑事诉讼中的数据处理监管具有“特殊监管+系统监管”的特征。鉴于此,有必要从数据处理的监管主体、监管内容、监管对象、监管的基本理念、具体的监管制度等方面研究刑事诉讼数据处理全流程监管问题,以从更为宏观的视角理解数字时代刑事诉讼面临的变革。
刑事诉讼数据处理全流程监管的架构
(一)监管什么:数据处理活动
所谓刑事诉讼数据处理的全流程监管,监管的内容即数据安全法所言之数据处理者的数据处理活动。其一,刑事诉讼数据包含大量能够识别到公民个人的数据。其二,刑事诉讼数据还包括对诉讼活动的记录。由于刑事诉讼数据处理存在以上特点,可将监管重点聚焦于以下几个阶段:第一,数据的收集阶段;第二,数据的使用和加工阶段;第三,数据的存储和传输阶段;第四,数据的删除和销毁阶段。
(二)谁来监管:监管主体
在对刑事诉讼数据处理进行全流程监管中,确定由哪一主体来行使监管职能应当考虑专业性、独立性、全程参与性三方面因素。
根据我国数据安全法、网络安全法、个人信息保护法等法律的规定,似乎将刑事诉讼中数据处理的监管职责交托于公安机关和国家安全机关,然而从上文所述的三方面因素来看,无论是公安机关还是国家安全机关,都在独立性和全程参与性方面存在明显缺陷。笔者认为,检察机关更适合作为刑事诉讼数据处理的监管主体。首先,在专业性方面,刑事检察是检察机关的核心业务;在数据处理方面,“数字检察人才”培养和数字检察队伍建设愈发受到检察机关的重视。其次,在独立性方面,刑事诉讼法确定了其在刑事诉讼中的独立地位。最后,在全程参与性方面,检察机关依据刑事诉讼法的规定对刑事诉讼活动进行从立案到执行的全程法律监督。
(三)谁被监管:数据处理者
相对于作为监管主体的检察机关,刑事诉讼数据处理全流程监管的对象是各类数据处理者。刑事诉讼中的数据处理者是指所有实施数据处理活动的主体,具体而言可以分为两大类:一类是具有公权力属性的数据处理者;另一类是具有私属性的数据处理者。针对这两类数据处理者,检察机关作为监管机构所监管的对象应是前者即具有公权力属性的数据处理者。至于具有私属性的数据处理者的数据处理行为,无须纳入刑事诉讼数据监管的范畴,可以通过国家网信部门的监管予以解决。
此间还有个问题值得讨论,即检察机关如何既作为监管主体又作为被监管的对象、既做裁判员又做运动员的问题。从应然的视角看,此种制度设计确实存在不足之处,但从实然的角度看,这却可能是相对合理的选择。
刑事诉讼数据处理全流程监管的要旨
(一)价值取向:权力行使与权利保障平衡
一方面,刑事诉讼数据处理全流程监管的直接目的在于制约公权力。一是针对数据处理的关联性进行监管,二是针对数据处理的合法性进行监管,三是针对数据处理的真实性进行监管。另一方面,刑事诉讼数据处理全流程监管应重视对公民权利的保障,此种保障的重点在于关注公民的数据权利。
(二)基本目标:数据流动与数据安全兼顾
数据流动和数据安全是数据监管的双重目标。一方面,自由流动是数据的天然属性,也是数据在生产生活中发挥价值的关键。另一方面,数据流动会带来数据安全方面的风险。
刑事诉讼领域的数据处理活动与其他领域并无本质区别,因而兼顾数据流动与数据安全的基本理念也同样应当被贯彻于刑事诉讼数据处理的全流程监管中。
(三)工作方式:“面”“线”“点”监管结合
所谓“面”上的监管,是指刑事诉讼数据处理的全流程监管应有足够的覆盖性,须涵盖数据全生命周期。为实现“面”上的监管,作为刑事诉讼中数据监管主体的检察机关应重视三个方面的工作:一是制定刑事诉讼领域数据处理的一般通用规则,二是建立刑事诉讼领域数据处理的考核评价体系,三是构建刑事诉讼领域数据处理的教育培训机制。所谓“线”上的监管,是指刑事诉讼数据处理的全流程监管应伴随具体数据处理行为的全过程,即从事前、事中、事后三个维度对有重要意义的数据处理行为展开全程监管。所谓“点”上的监管,是指刑事诉讼数据处理的全流程监管应聚焦数据处理过程中的关键环节,并对其间的风险点、争议点、纠纷点予以充分关注。
刑事诉讼数据处理全流程监管的展开
(一)数据收集阶段的监管
首先,针对数据收集关联性的监管。刑事诉讼中收集数据应从诉讼目的出发、以足以实现诉讼目的为标准、且不得超出实现目的所需的数量和内容,就此可以通过审查数据收集记录等方式,将收集的数据与诉讼目的相对照,以验证是否依据数据最小化原则收集数据。其次,针对数据收集真实性的监管。关于数据处理真实性的监管包含两个层面的内容:一是数据处理活动的真实性,二是所处理的数据的真实性。最后,针对数据收集合法性的监管。其一,审查收集数据是否取得数据主体的同意;其二,审查收集过程是否遵循法定程序和相关技术标准;其三,对于不具有合法性的数据,应当参照刑事诉讼中的非法证据排除规则和瑕疵证据补正规则。
(二)数据使用与加工阶段的监管
第一,数据使用与加工阶段的监管应以数据的区分为基础,可以参照数据安全法第二十一条区分为国家核心数据、重要数据和一般数据。第二,数据使用与加工阶段的监管应以程序性审查为主。第三,对于因司法辅助工作外包而由科技企业使用与加工数据的场景,应加大监管力度。
(三)数据存储与传输阶段的监管
对于数据存储的监管,应着重关注三个方面:一是数据存储的地点,二是数据存储的方式,三是数据存储的时长。对于数据传输的监管,按照“面”“线”“点”结合的工作方式要求。
(四)数据删除与销毁阶段的监管
无论是对保护刑事诉讼领域的公民权利,还是对维护数据安全而言,数据的删除与销毁均有终局性的保障价值,因此作为监管机构的检察机关应对此环节进行严格监管。针对数据删除,监管的重点在于保障公民删除权的行使并为其提供权利救济的途径。针对数据销毁,监管的关注点在于确保数据永久性地不可恢复。
(原文刊载于《中国法学》2024年第5期)
|
|
|
