大数据时代公民信息安全视野下警察权规制研究

2019-01-27李铭峰

中国人民警察大学学报 2019年11期

李铭峰

(中国人民警察大学，河北廊坊 065000)

随着互联网的普及和发展，云计算、云储存等计算机新技术孕育而生，引发了数据的爆炸性增长，由此推动了大数据时代的到来。而大数据背景下，公民信息主要指能够区别于他人，具有可识别自然人本人的独特性特征，例如身份信息、财产信息、通信信息等。对于警察权的定义和属性，学界还有不少争议和值得探讨之处。本文所指的警察权是从警察职权方面探讨的，即预防和打击违法犯罪的刑事司法权，日常监管的行政管理权和提供公共服务等职能。而警察权为维护国家利益，保障公共安全，不可避免地可能会干涉到公民信息。

一、大数据时代警察权与公民信息安全面临的新问题

当前，在信息安全领域，警察权强调利用大数据等现代技术，收集、分析、研判各种信息是否具有违法犯罪倾向，侧重打击违法犯罪活动，在获取、使用、存储公民信息时，极有可能触及公民的合法利益。而公民信息安全具有个人隐私的特征，警察权在行使和运行过程中，应当与公民信息安全划定明确的边界，避免出现侵犯公民信息安全的局面。大数据时代的来临，使警察权与公民信息安全出现了以下新的现实问题：

(一)关于警察权监管公民信息领域的立法过于原则

1．宪法规定

《中华人民共和国宪法》(以下简称《宪法》)第33条第三款(1)国家尊重和保障人权。、第38条(2)中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。以及第40条(3)中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。规定了关于人权保障，公民人格权，通信自由和通信秘密的内容，但是并没有直接将个人信息权列入公民的基本权利之中。而一般意义上，个人信息权仅是公民人格权在信息领域的重要组成部分。

2．人民警察法及相关规章规定

根据《中华人民共和国人民警察法》第6条和《公安机关互联网安全监督检查规定》，公安机关有权对互联网安全进行监督检查。但其中对于公安机关监督检查互联网信息安全与公民信息领域界限的相关防范措施的界定并不十分明晰。如《公安机关互联网安全监督检查规定》第11条规定的内容，其中的“并保存相关记录”也略有模糊。

3．网络安全法规定

2017年6月1日起施行的《中华人民共和国网络安全法》(以下简称《网络安全法》)规定了国家保障网络安全的相关内容，在附则部分规定了个人信息的具体内容：个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。同时《网络安全法》第8条(4)国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。规定了被称为“1+X”的监管体制，而作为行使警察权的主要部门的公安部门也位列其中。

(二)警察权侵犯公民个人信息的违法成本过低

由于特殊的工作性质，警察权有更多机会接触公民个人信息，在获取、使用公民个人信息时也存在极大的自由空间，加之公民往往不能及时知情，在权利救济和保障方面难以有效地维护自身的合法权益，使得警察权以及警察个体的违法成本过低。近年来，警察滥用职权，违规获取公民个人信息、买卖公民个人信息获利或提供有偿查询服务等事件屡见不鲜。例如，2017年1月，民警詹某利用工作之便，使用他人数字证书，通过浙江综合信息平台查询赵某的暂住地及相关信息，并用手机拍摄该信息图片后以彩信形式发送给詹某。詹某获悉后，截取部分信息有偿提供给况某，导致当晚况某至赵某暂住房处，用尖刀连续捅刺赵某数刀致其大出血当场死亡(5)(2017)浙0211刑初482号。参见http：//wenshu．court．gov．cn/website/wenshu/181107ANFZ0BXSK4/index．html?docId=2486fff0dd594454817da8c1009e08eb。。其他侵犯公民信息安全、尚未造成严重影响的事件数量更是难以估计。

(三)警察权监管公民信息领域的程序性问题还有待进一步厘清

我国《宪法》和相关法律，都将维护国家安全和侦查犯罪这两项内容作为警察权可以获取信息的前提。然而，启动监管程序的前提划定过于宽泛，在公民信息保护领域将产生更加模糊的界限划分。由于大量公民网络信息存储于政府以及各类组织的数据库之中，警察权的监管一经启动，对于相对弱势的公民信息权利的保护便更加困难。因而，对于监测和监督检查公民信息应规定更加具体明确的职责权限。例如，《网络安全法》第21条规定，国家实行网络安全等级保护制度。对公民信息安全领域的监管等级和行使的监督检查的权限也应予以明确，针对公民信息搜集、分析、使用和储存等方面进行程序性规制。

(四)规制警察权的监督制约机制还不完善

首先，内部监管的技术性问题难以得到有效解决。信息安全领域的专业性使得传统的监督审计方式难以有效防止滥用职权、超越权限等问题，制度制约的可行性较低。其次，外部监督也会因信息安全领域的技术性特点而难以有效开展。例如，2018年6月27日发布的《网络安全等级保护条例(征求意见稿)》中事件调查程序(6)《网络安全等级保护条例(征求意见稿)》第55条规定：公安机关应当根据有关规定处置网络安全事件，开展事件调查，认定事件责任，依法查处危害网络安全的违法犯罪活动。必要时，可以责令网络运营者采取阻断信息传输、暂停网络运行、备份相关数据等紧急措施。网络运营者应当配合、支持公安机关和有关部门开展事件调查和处置工作。，对于是否启动此调查也需要专业机构进行技术上的第三方论证。大数据时代下，基于互联网等虚拟世界的信息安全本身就具有一定的私密性和难操控的特征。而不透明的后台监管和缺乏相对信息公开的运行模式是现行的警察权行使过程中存在的不可避免的问题，在内外部监管信息不对称的影响下，规制警察权的监督制约机制已经明显滞后了。

二、公民信息安全视野下立法规制警察权的现实原因

大数据时代下，警察权与公民信息安全存在矛盾冲突：一方面，打击和预防违法犯罪需要收集、分析、利用公民信息，不可避免地涉及到公民信息安全领域；另一方面，公民信息安全要求警察权尽可能减少对私人合法领域的干涉，保留个人的私密空间，与维护社会公共秩序领域划分合理的界限。

(一)公民信息安全作为宪法规定的“基本权利”的合理外延要求

虽然我国《宪法》没有明文规定公民信息权的内容，但是从国外的信息安全保护来看，公民的信息安全保护属于一种“人权的救济”。以大陆法系国家最具代表性的德国为例，1983年德国宪法法院《人口普查法案》判决中，首次使用了“信息自决权”的概念，使得个人资料权利成为一项明确的宪法权利[1]。而在对公民信息安全进行权利救济时，便需要通过我国《宪法》内容中对公民人格权、通信自由和通信秘密以及人权保障的“基本权利”内容确定合理外延，以现有的权利条款为基础对公民信息安全建立宪法保护上的理论根基与制度基础。

从法律规范来看，《中华人民共和国民法总则》规定了对个人信息的保护(7)《中华人民共和国民法总则》第111条规定：自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。，在此之前的《中华人民共和国侵权责任法》《中华人民共和国消费者权益保护法》等都作出了对用户、服务提供者等民事法律上平等主体上的规定。而《网络安全法》的重点在于整个网络安全，对公民信息安全的保护仍处于从属的尴尬地位。例如，《网络安全法》第4章规定了网络运营者和有关部门对公民信息收集、利用的权力条款，而公民的信息安全的权利条款并未予以规定。

(二)警察权监管公民信息安全的现实可能性增大

大数据时代，个人信息是十分重要的数据资源。个人信息不仅涉及个人隐私和安全领域，也已成为公共安全甚至国家安全的微观缩影。保护公民个人信息安全，不仅有助于维护公民合法权益，对维护社会稳定、防控社会风险、维护国家利益也具有重要作用(8)2018年上半年，54%的中国网民遇到了网络安全问题，其中遭遇个人信息泄露问题占比最高，达28．5%。。涉及公共通信、能源、遗传资源等重要行业和领域，一旦遭到信息泄露，可能严重危害国家安全和公共利益，将对国家和民族的发展产生巨大影响。因而，保护公民信息安全，国家应负有积极的保护义务，警察应在此方面依法履行职责，打击侵犯个人信息违法犯罪，维护公民信息安全。

(三)在公民信息安全视野下，警察权存在“双重身份”

公民权利是国家权力的本源，无权利便无权力。“任何国家权力无不是以民众的权力(权利)让渡与公众认可作为前提的”，国家权力是公民让渡其全部“自然权利”而获得的。警察权作为公权力行使过程中，在维护信息安全与秩序，打击和预防违法犯罪等方面职能时处于主导优势地位，公民信息安全势必处于不对等的弱势地位。

出于公共管理目的收集和处理个人信息是各国政府普遍的做法。大数据背景下，政府收集的个人信息体量更大、范围更广，对个人信息的整合和分析能力也更强[2]。与此同时，警察权既具有公民信息的收集和使用者身份，也具有保护公民信息安全的职能。警察权在使用公民信息过程中既要保障公民信息安全，督促有关组织和个人合法收集和使用个人信息，维护信息主体的基本权利，又要合法地进行网络安全保卫，监控违法犯罪信息的来源。而警察权通过个人信息数据比对，才能够更完整地反映信息主体的真实状况，即通过技术手段监控公民信息领域，才能在海量数据中获取到违法犯罪信息。

三、公民信息安全视野下警察权立法规制的实施路径

法谚常说：风能进、雨能进，国王不能进，其内涵说明公权力与私权利应存在合理的界限。而扩展至公民信息安全领域，警察权的行使也应协调好与公民信息安全的关系，在大数据时代下，更好地履行好其职责，发挥好其职能效用。

(一)加强信息安全立法，增设监管限制性程序

从宏观方面来看，目前我国经济社会生活中侵犯公民信息的行为大量存在，而对公民信息安全的保护零散地分布在《中华人民共和国刑法》《网络安全法》等法律法规中，缺乏准确的法律定位。2017年3月，全国两会上提交了“关于制定‘中华人民共和国个人信息保护法’的议案”，建议尽快制定“中华人民共和国个人信息保护法”。议案同时将“中华人民共和国个人信息保护法(草案)”作为附件提交，其中第3章规定了较为详尽的国家机关如何收集、处理和利用公民信息的内容。

笔者认为对警察权的监管，应设立更加严格的限制性程序。特别是对于启动程序的标准问题，不应划定得过于宽泛，增设预先审批、事中防控、事后报备的制度性规定。2013年，斯诺登披露了美国国家安全局“棱镜计划”，不透明的信息搜集工作引起了公民对政府部门极大的不信任，事后美国国会在2015年通过了《美国自由法案》，以电信公司搜集数据来代替国家安全局直接获取。相比于事后修订法律，事前加强信息安全立法并在法律视域中对公民的个人信息安全进行体系性规制，将现实生活中对公民信息安全问题以法律的形式确定下来，更有利于避免矛盾冲突。

(二)公开调取信息方式，加强执法队伍建设

2019年5月15日起施行的《中华人民共和国政府信息公开条例》第2条和第20条规定了应当公开的政府信息。1998年公安部成立公共信息网络安全监察局，承担起维护互联网安全与秩序、打击网络刑事犯罪行为的职能，2010年后更名为网络安全保卫局。在公民信息的收集和使用过程中，行使警察权的网络安全部门是负责惩处违法犯罪的具体管理部门。而在现实活动中，该部门的机关职能、机构设置尚未实际公布，使其在法律允许的范围内从事的具体活动和责任主体难以明确，不利于警察权威的树立和公信力建设。同时，由于部门权力的下沉，在打击各类违法犯罪的过程中，行使警察权的各级公安机关和其派出机构都会获取并使用相关的公民信息。因此，应通过公开信息获取渠道的方式，以公开信息来源手段确定调取公民信息的渠道来源、使用目的、获取方式等是否合法，进而进一步减少随意调取公民信息的途径。

此外，从目前执法主体行使权力的过程来看，警察执法人员的素质很大程度上影响了执法的裁量程度。从收集信息到处理信息过程中，执法人员利用职务之便极易侵犯公民的信息安全。在内部机构权力制约处于相对薄弱、制度设计不甚完善的阶段，提高执法队伍的整体素质，加强执法人员遵守职业规范，依法履行职责的队伍建设应成为当下工作的题中之义。

(三)以科技手段为核心，分割监管环节结构

网络警察维护网络虚拟世界信息安全，依法保护公民个人信息，很大程度上借助信息技术保护手段。依靠大数据技术，警察获取公民信息的能力大大增强，海量的数据在现代科技手段下可以清晰地还原公民信息，确定公民信息主体的相关内容，甚至通过分析数据，建立个人行为模型，从而预判公民的具体行为。由此可见，科技手段的运用应成为保护公民信息安全的核心领域，通过加强技术预防能有效地防止信息的泄露。

例如，《德国联邦数据保护法》规定了限制识别能力技术对个人信息安全的应用。限制识别能力是指对数据访问或数据输出作技术处理，使得数据使用者不能通过这些数据追溯到某个具体的可识别的个人[3]。换言之，利用数据技术，将公民信息通过代码等匿名数据的形式呈现，按照设置权限等级限制性访问。此外，通过转码技术，依次将信息呈阶段式划分，将警察权监管公民信息安全链式的完整结构，有目的、有层次地分割成块状模块，彼此制约限制，达到内部权衡的效果。

(四)引入第三方监管平台，完善监督制约机制

我国目前信息行业多头管理导致的监管主体众多，责权不明、监管不力等问题突出，警察权与公民信息安全处于地位相对不平等的地位。根据我国香港地区1996年制定的《个人资料(私隐)条例》，设立了负责对个人信息进行法律保护的个人资料(私隐)保护公署，其拥有独立于任何机构的法律上的超然地位，无需向包括最高行政长官在内的任何机关报告工作[4]。该机构的主要职责是利用教育宣传及推广等非强制性的手段，让涉及到个人信息保护的相关部门和个人对个人信息保护中的权利和义务有清醒的认识，并对个人信息保护的相关情况进行调查和分析，对侵犯个人信息合法权利的行为进行监督并要求其进行改正[5]。

目前来看，我国可以借鉴个人资料(私隐)保护公署的经验，适时地引入第三方监管平台，独立于信息安全部门，将警察权限与公民信息权限划分等级，设置对应的程序权限，在警察权监管前，及时通报监管平台，由监管平台负责跟进审查警察权限是否超越职权，侵犯公民信息安全。