胡锦涛，马亚雄

中国人民公安大学 犯罪学学院，北京 100038

在探讨公民个人信息保护这一话题之前，需要先对信息和个人信息的含义有一定认识。信息是指数据或资料经过处理后可以提供为人所用的内容，它能够直接起到识别的功能，使事物的不确定性减少[1]。个人信息也应具有可识别性这一特征，它是明确个人信息内容和范畴的标准。此外，可识别性也是其他国家、地区定义个人信息的普遍做法。因此，本文认为，公民个人信息是指与公民个人有一定关联且可以识别特定自然人的信息。

大数据时代的到来，信息的广泛传播和利用在为我们的工作和生活带来方便的同时，也对公民个人信息保护赋予了更高的要求。互联网不仅具有海量的存储空间，还具有超强的记忆功能，大量的公民个人信息被储存其中，给信息主体带来了困扰。公安机关在刑事侦查工作中需要收集、存储、利用公民个人信息，难免会与公民个人权利发生些许摩擦。信息社会的到来凸显出公民个人信息之前所未展现的价值，也引发了关于公民个人信息保护的讨论热潮[2]。但是，当前民法、刑法、行政法领域的个人信息保护立法及相关研究都取得了相应进展，唯独在刑事司法执法领域对公民个人信息权的干预始终被视为法律规制的例外，业已成为个人信息保护的短板[3]。相较于普通警察行政活动，具有司法权性质的侦查权在某些特殊情况下具有一定的强制性和秘密性，在收集、使用公民个人信息时一般也很难被信息权利人所知晓，因而在监督监管不严的情况下容易对公民个人信息、隐私权利造成侵犯。

一、刑事侦查中公民个人信息保护现状

(一)刑事侦查中公民个人信息保护的立法现状

1.积极保护与消极保护相结合

以法律法规中对公民个人信息保护的态度为标准，有积极保护和消极保护两种。刑事侦查工作中的积极保护主要体现在法律规范对公民个人信息的收集、保存和利用等方面的要求上。在公民个人信息的收集方面，法律对于刑事侦查机关的信息采集行为作了较为细致的规定。其中有原则性的规定，如《中华人民共和国国家安全法》第五十二条规定，公安机关、国家安全机关、军事机关依法搜集情报信息，明确了刑事侦查机关应当依法进行信息收集。除此之外，还有其他方面的具体规定。在公民个人信息的保存和使用方面，法律规定相当丰富，主要可以分为命令性规范和禁止性规范。

法律规范的消极保护是指对一定范围内的公民个人信息依据规定予以公开或者在行为人应当提供而未提供某些信息导致一定后果由其自行承担。《中华人民共和国刑事诉讼法》(以下简称《刑事诉讼法》)第一百三十八条第二款规定，在执行逮捕、拘留的时候，遇有紧急情况，不用搜查证也可以进行搜查；第八十二条规定，对于不讲真实姓名、住址，身份不明的现行犯或者重大嫌疑分子，可以先行拘留。

2.概括性保护与具体性保护相结合

对于刑事侦查工作中公民个人信息的立法保护，既有概括性的对所有诉讼参与人的个人信息的保护，也有从微观方面针对不同诉讼参与主体采取的单独的保护。《刑事诉讼法》第二条规定了“国家尊重和保障人权，保护公民的人身权利、财产权利、民主权利和其他权利”，是宪法保障人权规定的更具体体现。这一法条概括性地对公民个人权利进行了保护，公民个人信息自然也在其保护之列。

现行法律中更多规定了对公民个人信息的具体性保护。第一，针对犯罪嫌疑人的个人信息保护。《刑事诉讼法》第一百四十一条规定，在侦查活动中发现的可用以证明犯罪嫌疑人有罪或者无罪的各种财物、文件，应当查封、扣押；与案件无关的财物、文件，不得查封、扣押。第二，针对被害人个人信息的保护。《刑事诉讼法》第六十四条规定，对于被害人因在诉讼中作证，本人或者其近亲属的人身安全面临危险的，公安机关应当采取不公开其真实姓名、住址和工作单位等个人信息或者其他措施予以保护。第三，针对证人、鉴定人等其他诉讼参与人个人信息的保护。《刑事诉讼法》第一百一十一条规定，报案人、控告人、举报人如果不愿公开自己的姓名和报案、控告、举报的行为，应当为他保守秘密。此外，《刑事诉讼法》第六十四条也有相关规定。

(二)刑事侦查中公民个人信息保护的实践现状

侦查立案之后，为顺利侦破案件，侦查机关需要收集各类相关信息并对其妥善存储、分析利用，这些信息中涉及到犯罪嫌疑人、被害人、证人、案外人的个人信息，因此，侦查机关收集、存储、使用公民个人信息的每一阶段，都必须重视对信息的保护。

1.刑事侦查中信息收集阶段对个人信息的保护

(1)刑事侦查中信息收集阶段对犯罪嫌疑人的个人信息保护

我国刑事侦查过程中，很多地方都体现出对犯罪嫌疑人个人信息的保护。如刑事侦查立案后，由侦查机关进行预审对已经掌握的证据材料进行核准，以避免侵犯公民权利的情况出现。

侦查机关在查封、扣押、冻结涉案物证、书证时，出于日后侦查的需要难免会查封、扣押过多的现场物证、书证，这其中必然包含个人敏感信息和与案件关联不大的信息，此时，侦查人员就不应利用公权力过分调查嫌疑人的信息，而只需对与案情无关的个人信息妥善保管或者予以退还、删除。大数据时代越来越多的信息以电子数据的形式存在，无论是普通的侦查措施中，还是技术侦查，都牵涉电子数据取证的问题。在网络海量信息存储的情况下，涉案信息数据往往只占其中极小比例，而侦查人员却可能接触到被追诉人生活、工作等方面的私人信息[4]。例如，手机通信记录、微信聊天记录的提取，监控录像的利用以及地理位置的定位等，都与公民个人信息具有紧密的联系。有时，警方为了尽快破获案件，利用官方身份或者非官方身份在互联网平台发布案情并号召网友提供线索，但是无论是在警方发布案情方面还是网友踊跃提供线索方面都很难规制，容易对公民的个人隐私信息造成侵犯，失去刑事侦查打击犯罪兼顾保障人权的根本目的。

(2)刑事侦查中信息收集阶段对被害人的个人信息保护

被害人是遭受侵害的最直接主体，保护其合法权益不受侵害是刑事诉讼活动的根本目的之一。然而，刑事诉讼活动主要以维护国家利益为目标，往往忽视被害人在诉讼中的权利。在刑事诉讼活动中，被害人的权利主要掌握在侦查机关和检察机关的手中，有时其自身的一些权益无法得到全面有效的保障。在诉讼中，被害人的地位更像是“特殊的证人”，其作为案件的直接受害者，对于案情的了解自然较他人更为详细而真实。然而，在进行指控作证时，被害人个人的人身、财产等信息难免会进一步泄露或者曝光，不仅会对其人格尊严带来伤害，还有可能因为信息的扩散遭到打击报复。

(3)刑事侦查中信息收集阶段对证人的个人信息保护

证人能够提供与案件有关的线索，有助于还原案情的真相，特别是侦查阶段，在侦查陷入僵局后，证人的看似不起眼的证据都可能会引导侦查方向转向正确的道路，起到“柳暗花明又一村”的效果。刑事案件发生后，证人能够提供部分案件的信息，不管其作为控方证人还是辩方证人，都需向侦查机关陈述其知悉的事实，而在这一过程中难免会面临一定的危险，包括受害人一方和犯罪嫌疑人一方都有可能为了己方利益采取打击报复的行为。实务中，侦查机关向证人收集证据时往往会采取电话通知等方式，以免给证人带来心理压力。此外，在侦查讯问中，通常会提前进行侦查策略的制定，探讨哪些证言证词可用哪些不可用，以免在与犯罪嫌疑人周旋中不慎泄露证人的相关信息，将证人置于危险境地。特别是在当前扫黑除恶斗争大力开展时期，黑恶势力盘根错节，证人本来就有畏惧心理，一旦侦查机关对其个人信息保护不利，将有可能造成不良后果。

2.刑事侦查信息存储中对公民个人信息的保护

为有效打击犯罪，进入21世纪以来，公安机关一直在创建信息资源库，对公民个人信息进行收集存储，以辅助犯罪预测和案件侦破。如轰动一时的甘肃白银杀人案件，在社会上引发极大恐慌，受制于当时的技术条件落后，直到2016年公安机关通过案发时采集留存的嫌疑人生物检材进行比对，才最终发现潜藏多年的罪犯。由此可见，妥善保管侦查工作中采集的个人信息不仅是公民个人信息权利保障的要求，同时也有利于案件的侦破。侦查机关出于侦查破案的需要会采集大量的信息线索，为保障其安全和后续的分析利用，需要将其存储在特定的媒介并保障其安全。在信息的存储管理中，不能随意使用，应当在个人信息采集的目的范围内予以使用。个人信息的存在形式多种多样，采集的方法也各有不同，其信息存储媒介也不相同。例如，磁介质、光介质等存储形式既安全又可以保障信息的完整。然而，关于信息的存储并没有统一的规定，不同级别的公安机关采取不同的存储方式，有时会忽视了个人信息的性质差别，不利于个人信息的存储和后续交流使用。

3.刑事侦查信息使用中对公民个人信息的保护

侦查机关对公民个人信息的使用包括调取、查询、分析、信息公开、数据共享等方面，公民个人信息的使用是一把双刃剑，合理使用有利于案件的侦破，不当使用则可能造成严重后果。然而，当前我国侦查机关对于合法收集到的个人信息的科学管理和使用意识仍有待提升，且相关机构并没有针对这些重要信息建立内部预防和规制机制。实践中也存在个别人员在对收集到的公民个人信息查询、分析、共享等方式上表现得十分随意，并没有履行相应的“告知—同意”义务，特别是在通过大数据技术分析个人信息以及与其他机关、组织之间信息共享等对个人信息权利干预较大的情况下。因此，一定要杜绝通过数字证书违规查询他人个人信息并使用于非法渠道，严重侵犯公民的个人信息权利、造成恶劣影响的问题出现。

二、刑事侦查中公民个人信息保护存在的问题

(一)现行法律方面的问题

一方面，随着个人信息价值的凸显，对于公民个人信息的保护越来越重要[5]。另一方面，刑事诉讼中，对于公民个人信息的保护仍有待提高。

1.法律形式上缺乏系统性规范

在之前的现状分析中，可以发现无论是在《刑事诉讼法》还是其他法律中，涉及公民个人信息的规定只见于散落的条文中，对于公民个人信息的保护缺乏系统性，导致实践中问题较多。如《刑事诉讼法》第二百七十九条规定公安机关可以对未成年嫌疑人的成长经历、犯罪原因等情况进行调查，但是对于侦查机关如何调查未成年的相关信息却没有明确规定，这不利于未成年人个人信息的切实有效保护。还有第一百三十二条规定，侦查机关可以提取嫌疑人指纹信息，采集血液、尿液等生物样本，但是对于如何储存、转移、删除这些敏感个人信息则没有具体规定，在实践中极易侵犯个人权利。

2.公权力的授权多于公民赋权

在现行法律规范中，有大量条文对公安机关收集和使用公民个人信息行为进行了授权，如《刑事诉讼法》中规定，人民法院、人民检察院和公安机关有权向有关单位和个人收集、调取证据。此外，有关法律中还规定了组织和公民个人的协助、配合义务，如《中华人民共和国反恐怖主义法》中规定“有关单位和个人应当如实提供”，《中华人民共和国网络安全法》(以下简称《网络安全法》)中规定了网络运营者对公安机关侦查犯罪提供支持和协助的义务。但是，关于公民个人信息权利的赋权性规定却很少见，《网络安全法》中虽然规定了个人信息的删除权，但是针对的是网络运营者的行为，对公权力机关的不当行为没有具体规定。公民个人信息权利没有得到足够的重视，目前在刑事诉讼这一封闭性较强的阶段，较难实现公民权利对公权力的制约。

(二)公安机关内部存在的不足

1.侦查人员认识不到位

由于传统思想的影响，长期以来，公安机关较少关注侦查工作中公民个人信息保护问题。部分公安民警出于尽快破案或者对嫌疑人的敌视，有时随意地收集、使用公民个人信息，特别是进入大数据时代后，个人信息的采集更加方便、快捷，部分警务人员对于大数据侦查没有形成正确的认识，对个人信息的收集、使用没有限制，忽视了公民的个人信息权利。相较于普通的警务活动，刑事侦查活动的强制性和秘密性更加明显，侦查人员所能获得的权限也更大，因而一旦对个人信息安全的重要性没有足够的认识，将带来一定的不良后果。

2.内部缺少制约和规制

这个日子是适合滑翔的，天清气朗，万里无云。随着族长一声哨响，数十只硕大的滑翔翼，在经过一段距离的助跑推动后，从高高的山巅冲腾而出。一瞬间，天空都被这些绚丽缤纷的翅膀所遮盖。

从目前我国有关警察权的内部监督的结构来看，存在着法制部门监督、督察部门监督、信访部门监督等多部门共同监督。虽然在公安机关内部的闭环系统有所体现，如派出所值班负责人及法制部门在闭环系统内，审核民警上传的各类案件数据资料，一定程度上约束了警务人员的程序性行为，但对公民在网络等虚拟形式中的信息收集、挖掘、碰撞、分析等行为是无法涉足的。

3.信息保护技术存在缺陷

当前，公安系统内网虽然和互联网是隔离开的，但是由于移动存储设备的不当使用，有时会造成内网与互联网的间接连接，增加了公安信息系统被入侵的风险。此外，大数据往往采取分布式的方式存储，其存储路径视图较为清晰，导致信息保护较为简单，给个人信息的存储带来安全风险[6]。当前，公安刑侦信息管理系统的组织管理、安全维护等方面亟须改进和完善。公安机关的数据存储系统面对大数据时代的挑战，还有待进一步完善和加强。

(三)外部监督监管存在的问题

1.缺少专门信息保护机构

首先，缺少统一的信息监管机构容易导致监管漏洞，使得部分侦查人员逃避监督检查成为可能。其次，侦查中的收集、利用个人信息行为涉及一些技术操作，特别是大数据时代秘密性、技术性更强，因而对实施监督管理的人在业务素质能力上有更高要求，没有统一的监管机构进行有针对性的操作，将很难达到有效的监督效果。最后，没有外部专门机构的监督，侦查机关内部的监管存在不透明性，内部人员、部门之间可能互相通气，疏于监督管理，最终导致侵犯公民个人信息的行为出现。

2.检察监督制约功能弱化

检察机关作为国家监督机关，在公安机关刑事侦查活动中发挥着监督作用。但是在监督方式上主要靠审查案卷资料来发现公安机关侦查人员是否存在不符合法定程序的行为，而侦查人员侵犯公民个人信息的行为形式多样，导致很难通过简单的资料审查进行监督。此外，当前刑事侦查工作中对于电子数据的提取和证据转化工作基本在侦查机关内部完成，实施电子数据取证与数据鉴定的通常为侦查机关内部的同一批人马。检察机关的监督往往不能涉及，因此，在操作中容易侵犯公民个人信息。

3.法院事前审批程序虚置

(四)相对人权利保障和救济方面的问题

一方面，侵犯个人信息责任追究缺位。从对个人信息保护的现有法律可以发现，其对于侦查机关收集、调取公民个人信息等行为作出了程序规定，但对于公安机关却未规定严格的责任制度。此外，公安机关收集、利用个人信息的职权与保护责任不匹配，责任分配不能具体到个人，导致个别人员信息保护意识弱化。对于侦查工作中侦查人员有意或无意侵犯公民个人信息的行为，不仅在《刑事诉讼法》中并没有明确相应的惩罚措施，即没有规定法律后果；在实际公安工作中也没有对侵犯个人信息行为的制裁措施进行细化规定，导致侦查中侵犯个人信息现象频出。如实践中发现个别侦查人员利用侦查案件的便利私自查询无关人员个人信息后，各单位往往大事化小，仅由领导对其进行批评，既没有处分也没有相应的法律处罚，放纵了行为人。

另一方面，公民个人信息权利缺少保障和救济。虽然刑事侦查活动出于侦查犯罪和国家安全的需要具有一定的秘密性和强制性，但是也应当遵守个人信息保护法律领域的底线规则，尊重公民个人信息的基本权利，如知悉权、更正权、删除权等。此外，从刑事侦查实践来看，公民的个人信息查询更正权、删除权也很难得到保障，法律中没有明确地规定相应的权利和义务，实践中往往会以侦查秘密为由拒绝相对人的正当权利请求。此外，相对人申诉和救济渠道单一，公民在个人信息受到侵犯后，缺少有效的申诉救济渠道。对于刑事侦查机关的违法行为，法律中规定了公民可以提起诉讼，但是对侵权行为的受理仅停留在人身权和财产权上，对于公民其他合法权利并没有作出相关规定。

三、刑事侦查中公民个人信息保护的可行性建议

(一)完善刑事诉讼领域公民个人信息保护法律体系

1.明确刑事侦查中公民个人信息保护原则

当前我国刑事侦查领域的公民个人信息保护通常被排除在个人信息保护体系之外，相较于民事、行政领域的信息保护，刑事侦查领域已经成为公民个人信息保护体系的短板。

第一，明确信息收集比例原则。刑事侦查中针对公民个人信息保护的比例原则，是指在刑事侦查中收集、使用公民个人信息行为应与要达成的侦查目的相适应，不得过度收集、违法使用公民个人信息。侦查工作中收集、使用个人信息应当限于侦破案件的目的。此外，确实需要干涉个人信息权利时，应当尽量选择对公民权利侵犯最小的方式。

第二，落实信息收集使用准确性原则。准确性原则应确保个人信息的准确性，只有输入的信息正确，得出的结果才能是正确的。刑事侦查工作本就对公民的权利干涉较大，一旦发生错误对于个人权利的侵犯是不可逆的，其危害也是不言而喻的。特别是当前大数据时代，侦查机关收集、存储、传递、共享、使用个人信息几乎都是以数据的形式操作，然而如果数据收集不全面、输入不准确，再精致的算力算法也得不出理想的结果，相反瑕疵可能会被无限放大，结果只会愈行愈远[7]。

第三，明确信息收集利用知情同意原则。基于个人对其信息所享有的自决权，各国的立法中几乎都将知情同意作为信息采集时应当遵循的基本原则。虽然知情同意原则多用于民事领域，但是知情同意原则对于刑事侦查领域的公民个人信息收集也有一定的启示意义。针对敏感个人信息应当严格贯彻知情同意原则，以保护个人信息主体的权利。有时出于侦查的需要，采集个人信息可能不能在权利人的同意下进行，也应在紧急状态解除后或者特殊事由消失后及时告知信息权利人，并保障其相应的权利。而对于一般个人信息应相对淡化知情同意原则，实行较为宽泛的同意标准，以实现侦查效率和保障人权的平衡。

2.细化刑事侦查中个人信息保护规则

(1)明确刑事侦查中个人信息采集的授权

当前，《刑事诉讼法》中虽然对侦查机关的取证行为进行了授权，但是对侦查机关采集个人信息的授权不够明确、细致，成为侦查实战中个人信息采集工作受到掣肘或出现滥用职权侵犯人权现象的原因之一。因此，应对侦查机关个人信息采集工作进一步细化授权，根据信息主体的不同以及信息客体的不同分别进行明确授权。侦查阶段中相关人员的敏感个人信息，除法律明确授权的情况外都不能随意采集、使用，即使对于符合条件的信息采集、使用，也要区分人员类型。犯罪嫌疑人人身危险性较大时，对其敏感信息的采集使用范围可以适当扩大。对于一般个人信息，侦查机关出于维护公共利益的需要或是工作目的的需要，可以通过合法合规的程序进行收集、使用。

(2)规范刑事侦查中个人信息采集的程序

正当程序原则要求侦查机关收集使用公民个人信息时遵守法定程序。因而，应当对侦查机关收集个人信息的程序作出细致的规定，指导公安机关的个人信息采集工作，以程序来规制行为，达到个人信息采集规范化的目的。首先，侦查工作中收集个人信息应当有两名以上侦查人员同时参与完成，不允许出现一名民警和一名辅警进行侦查取证的现象。侦查工作中应当区分案件当事人与案件相关人，当事人与案件的关系较为密切，在采集相关信息时出于保密的需要，可以不予提前告知，但是事后在情形解除后应及时告知。但是出于案情需要扩大信息收集范围时，就需要获取对方的授权，在采集信息前告知对方信息采集者姓名、所属单位、信息类型、采集途径、方式、用途以及信息主体享有的权利等。

(二)完善公安机关内部公民个人信息保护体系

1.构建刑事侦查公民个人信息分类分级保护机制

通过分析个人信息的敏感性、可识别性、不可控性等属性，对个人信息进行分类、分级，并根据相应级别提出有针对性的安全保护措施，以全面地保护侦查工作中的个人信息。针对不同的等级应采取不同的保护力度，包括一般保护、基本保护、重点保护，并对其分别采取相应的安全技术保护手段。一般保护等级的个人信息不涉及个人隐私，很难通过单一的信息识别个人，并且由于其本身处于相对开放的状态导致其不可控性程度较低。对于基本保护级别的个人信息，有的信息牵涉到个人隐私，有的可以识别到个人，有的共享交换频繁，一旦泄露对个人的影响较大，因此对于此类信息，侦查机关在非紧急情况下应当履行相应的告知义务，并且不能随意向外界公开此类信息。收集此类个人信息之后应由可信的安全管理中心统一管理，在分析、共享、交换此类个人信息前需向信息安全管理中心提出请求。重点保护级别的个人信息具有个人独有的生物特征，一旦泄露会对信息主体的权利造成严重影响，因此需要严格加以保护。一般情况下，侦查机关应贯彻知情同意原则，注意案件办理中此类个人信息的保密工作。在对个人信息采集、挖掘、分析、共享等阶段要严格遵循相应的程序，并通过信息操作溯源技术对侦查人员的行为进行监督和规制。

2.明确侦查机关处理公民个人信息的义务和责任

在侦查工作中，涉及个人信息的主要有侦查机关的收集、存储、使用信息三个方面。在收集个人信息之前，侦查机关应当评估信息收集的风险性和必要性，如收集个人信息是否可能给相对人的人身、财产以及人格尊严带来损害。在收集个人信息过程中，侦查机关应履行相应的告知义务，在取证范围内采集个人信息。此外在收集与案件有关的信息时，应注意保密，避免信息泄露给信息权利人带来不便。对个人信息收集之后，并不是一劳永逸的，侦查机关应当对信息进行评估，对不准确的信息及时更新或更正，与案件无关的个人信息要及时删除。

3.多角度规制侦查工作中个人信息处理行为

公安机关对于侦查工作中处理个人信息行为的监督可以从事前、事中、事后三个阶段分别予以规制。首先，在侦查人员在收集个人信息之前应当经过上级公安机关的审查批准，以确保个人信息采集的客观性、合法性和关联性。其次，侦查取证过程中应当至少有两名侦查人员在场并互相监督取证行为，发现违法或不规范现象及时上报。最后，公安机关法制部门应充分发挥其监督职能，依据法律规定对案件的卷宗进行审核，审查公民个人信息有无受到不当侵犯。

4.运用技术手段加强公民个人信息安全保护

第一，加强对系统安全漏洞修补以及及时更新系统杀毒软件。在科技高速发展的环境下，公安机关必须对刑侦信息管理系统存在的安全漏洞和相关内网的病毒传播足够重视，积极与国内相关软件公司开展合作，及时更新病毒库和提供系统漏洞补丁下载，降低公安信息被侵犯的可能性。第二，安全技术防护措施升级。研发数据匿名保护技术、数据水印技术、数据溯源技术等关键技术可有效提高保护能力[8]。例如，在查询平台背景设置查询人身份信息的水印，以有效规制查询人对查询内容的复制传播。第三，技术处理个人信息去识别化。个人隐私信息一旦泄露，对公民的人格、尊严、名誉乃至身心健康造成的伤害是不可逆的。如果通过对部分涉案信息进行技术处理降低其可识别性，阻断他人对个人信息的识别路径，就能实现对个人信息的有效利用，还能降低侦查人员对个人隐私信息的侵犯可能性，实现双赢的目的。

(三)建立混合监督体系

1.加强检察机关的监督力度

当前，我国对于此类侦查取证行为并未形成有效的外部监督。德国电子数据取证制度和美国令状原则都明确了侦查机关的电子数据取证行为需经过司法机关的审核批准。因此，检察机关应当加强对侦查取证行为的监督和审查。一方面，检察机关应加强对侦查取证前以及取证过程中的干预，对于技术侦查措施的实施以及对信息权利人干涉性较强的电子数据取证行为，落实检察机关的外部审批，实行更为严格、缜密的审批机制。另一方面，收集个人信息之后，检察机关应主动对侦查机关采集个人信息的范围、方式进行事后评估，

2.设置独立的信息监管机构

为实现对侦查机关收集、使用个人信息行为的监管，保障公民个人信息权利，有必要设立独立的信息监管机构[9]。欧盟2016/680号指令中提出成员国应针对刑事司法设置独立的信息监管机构。我国可以建立刑事诉讼领域的独立信息监管机构。我国负责网络信息安全监督管理责任的部门主要是国家网信部门，但是其业务范围与刑事诉讼相去甚远，难以对刑事诉讼中的个人信息保护问题有效把握。因此，需要建立一个专门的、独立的刑事诉讼信息监管机构或部门，由其负责侦查机关处理信息行为的监督监测、提供相应的业务指导以及处理个人信息侵权行为的投诉等工作。

3.落实信息收集司法令状原则

对于技术侦查、电子数据取证等对公民个人权利侵犯可能性较大的侦查行为的实施，仅通过公安机关内部规制是不能达到想要的效果的。从其他国家的经验来看，提取电子数据的前置性手续一般是司法审查与令状主义[10]。在2014年雷利诉加利福尼亚案中，美国联邦最高法院明确了警察必须获得令状才能够提取查阅被逮捕者手机中的电子数据这一原则。因此，我国应明确侦查机关在搜查、扣押特定信息数据之前需要申请司法令状，并由人民法院在具体的令状中注明搜查、扣押的事由和范围，并尽可能详细地对侦查行为予以指导[11]。

(四)明确惩戒措施和权利救济机制

侦查工作中，一方面，应构建侦查人员侵犯个人信息的多层级惩戒机制以规制其行为；另一方面，应明确公民享有的信息权利以及权利受到侵犯后的救济途径[12]。

1.构建侵犯公民个人信息的惩戒机制

法律的威慑力在于违反法律后承担相应责任的必然性。侦查机关作为公权力机关，同样也需要受到法律的规制。在侦查机关内部由法制部门根据公民个人的申诉或者主动审查，对侦查人员取证过程中是否侵犯公民刑事个人信息权利进行初步裁定，如果不服可以寻求其他救济途径。分配举证责任时应考虑到刑事侦查工作的秘密性以及公民相对的弱势地位，由刑事侦查机关就其侦查权行使中的客观性、合法性予以说明。如果侦查人员利用职务之便侵犯公民个人信息造成后果较轻、尚未构成犯罪的，可以在单位内部对责任人员进行警告、记过、降职等处分，同时追究领导人员监管不严的责任；情节严重、造成不良社会影响的，应当追究其刑事责任。

2.明确个人信息权人享有的权利

刑事侦查机关作为打击犯罪、维护国家和社会安全的国家机关，自然拥有其特权，但是并不代表刑事侦查工作，可以对公民权利随意侵犯。因而，重申公民在刑事侦查中的个人信息权利对于规制当前侦查权的日益扩张具有重要意义。刑事侦查中个人享有信息查阅访问的权利对于个人权利的保护非常重要。欧盟2016/680号指令中就规定了刑事司法中信息主体的查阅访问权，查阅访问数据的权利对于信息主体，特别是被追诉人意义重大。此外，还应保障信息主体的更正权、删除权等信息权利，以实现对侦查机关信息处理行为的制约[13]。当个人信息不再被侦查工作需要或者个人撤回之前对侦查机关收集信息的同意，信息主体请求侦查机关删除其个人信息时，正常情况下应当同意。

3.增加个人信息权利的救济途径

首先，保障当事人申请行政复议的权利。侦查人员在对个人信息收集、挖掘、分析和比对处理过程中，若存在程序不当或使用不当的情况，相对人有权申请复议，若情况属实则撤销下级机关的决定，同时其材料中获得的内容不得作为线索或证据使用，视情况予以删除或销毁。其次，完善侵犯个人信息案件中的代表人诉讼。此类案件中，受侵犯人较多且所受损失较少，导致维权成本较高。这时，应完善个人信息侵权案件中代表人诉讼制度，规范诉讼的程序和方式，由受害人推选出代表人提起诉讼，以提升诉讼效率减少成本，从而提升其维权的积极性。再次，拓宽公民申诉救济渠道。可以设立专职监督民警担任收集管理个人信息的数据检查官，赋予其受理因数据偏差造成公民隐私权等权益受到侵犯的投诉的职责，接到投诉后立刻查明情况，并为投诉人提供申诉救济的法律指导。

四、结语

随着信息时代的到来，公民个人信息的价值愈发重要，一方面，个人信息的安全保护切实关系到个人的基本权利和尊严，另一方面，还可能影响到国家和社会的利益。刑事侦查实践中，由于法律和个人的原因，导致公民个人信息遭受侵犯的情况较为突出，极大地影响了公安机关的形象，破坏了和谐的警民关系。因此，探讨这类现象发生的原因，从完善法律、加强监督、落实责任、强化技术保护、完善救济措施等方面严格规范刑事侦查机关的信息行为，对于保护公民个人信息具有重要意义。