大数据反恐电子数据采集

　　大数据时代的到来使得反恐工作有了新的进展，即大数据反恐模式。通过对相关海量数据进行整合，进而进行数据的挖掘和分析研判，从而对恐怖活动进行提前预警。但是，大数据在我国的应用还不是很完备，尤其是在重预防和打击等实体效果的反恐工作中，相关程序性的价值就可能被忽视。在数据采集主体资质、跨境采集、透明性、救济程序等方面都存在缺憾。隐私权保护问题在大数据反恐中已然很突出，有必要围绕着相关问题对相关的电子数据采集程序进行优化，并以完善监督和救济措施的方式均衡控辩双方的力量。

　　关键词：网络;恐怖主义;电子数据;隐私权

　　大数据反恐，这种新型犯罪治理手段也在更深的层次上撼动着传统刑事司法的运行规律和基本模式。更重要的是，这种变动不仅体现在以事实真相为依托的犯罪控制层面，也体现在以保障公民基本权利为核心的正当程序层面。[1]公民的各种信息都或多或少的以电子数据的形式呈现在社会上，不同于传统的实物或是实体，这种虚拟空间中的公民隐私是否能得到应有的保障，或是在网络空间中，公民自始不存在对隐私权的合理期待，隐私权保障本就无从谈起。首先，数据中的隐私权问题实际上是数据的归属问题，在国家层面形成了数据储存地模式和数据控制者模式两大方案，[2]国家层面上，以美国为首的西方国家曾提出网络空间无主权的理念，引来了诸多批判，后改为将网络空间作为公海、南极洲、外太空之后的第四个无国家主权存在而以国际条约管制的全球公域，[3]可以看出西方国家在积极利用自身优势来实现全球数据的掌控，对此，不论是《中华人民共和国网络安全法》、习近平主席的多次讲话都表明了我国网路空间主权的立场。其次，宪法作为我国的根本大法规定了隐私权是公民的基本权利，刑法分则规定了相关侵犯隐私权的罪名，刑事诉讼法也在程序上对电子数据的采集程序进行了设计用以保障公民的隐私权。公安机关“侦查中心主义”向“审判中心主义”的理念转变下，对程序正义的追求使得我们重视对犯罪嫌疑人的权利的保障。从公民自身来看，随着公民法律意识和素养的提升，越来越重视自身权利的保障。但是，具体的电子数据采集的过程中大多依照的是位阶较低的部门法规，大数据反恐中的数据采集实行的是一种默认的自愿让与的行为，大数据预警相关技术措施的采取往往是公安机关内部自行决定的，缺少外部监督，相关技术知识限制相关人的权利保障和救济。对现阶段大数据反恐工作中存在的隐私权保障问题的提出，并不是否认大数据反恐的成效，而是希望通过完善相关程序设计来为大数据反恐工作的进一步开展提供理论依据。

　　一、反恐工作中境外电子数据采集流程存在的问题

　　反恐数据的采集不只局限于国内的相关数据，一是全球化的发展使得国与国之间不可能存在绝对的数据屏障，二是大数据反恐自身对海量数据的要求。

　　(一)数据采集活动的主体

　　根据我国的网络空间主权观的理念，对境外数据的采集应在司法协助的方式下开展，即分为委托采集、派员采集、协作采集三种模式。[4]进而可以分为有数据所在地相关人员进行的数据采集和无数据所在地相关人员进行的数据采集。有数据所在地相关人员进行的数据采集的模式下，数据的采集活动都是在与数据所在地的相关人员的认可下展开的，实际上是有利于避免对数据所在国的法律程序的违反，避免了外交纠纷。但是所需的采集周期过长，满足不了反恐预警及时性需求。其次是无数据所在地相关人员进行的数据采集。这种模式一定程度上克服了协作中的低效性。但是存在准据法问题，如依照我国的法律进行数据提取，那么相关提取行为在数据所在地是否会被认定为非法手段，相关数据整合成的信息是否也会被认定为非法证据。另一方面，如果依照数据所在地的法律进行数据的收集，如果数据所在国的人权保障水平过低，那么数据所有人的隐私权就难以获得相应的保障。

　　(二)数据所有人的隐私权期待性及权利救济

　　首先，虽然国与国之间的人权保障的水平上存在着差距，但是从根本上来说各国都坚持着人权保障的原则和理念，这也就为数据所有人的隐私权维护提供了基本的保障。另一方面，权利人自身也有相关的保障自身权利的意愿，从而能与国家的人权保障理念形成呼应。所以，数据所有人对自己的隐私权保障具有可期待性。其次，数据采集往往是以一种秘密的方式或是不易发觉的方式进行的，数据所有人往往意识不到自己的数据被采集，或是数据所有人意识到了自己的某些数据被采集，但是相关信息是在多样数据整合下产生的。在隐私权受到侵犯后的救济或是申诉环节，也碍于相关电子数据的采集技术的限制。

　　(三)数据采集方式

　　首先是基于司法协助的方式。对司法协助行为的认识，直接影响了被追诉人在司法协助中的法律地位。[5]司法协助下，我国通过与数据所在国达成相应的数据采集协议进行数据的收集。这种模式下的流程是相当复杂的，不符合相应的反恐工作的现实需要，那么出于国家总体安全维护的需要，采集过程中往往会弱化对被采集对象的隐私权保障。其次是基于单边行为方式。这种行为无需经过数据所在国的同意，自行进行相关数据的收集，或是对网页上的公开信息进行收集，或是利用密码登录境外账号进行收集，或是运用技术手段。未经同意是一种“功利主义”的做法，不利于隐私权保障。最后是基于数据披露方式，它来自于美国的“澄清合法使用境外数据法”的规定，针对的是对本国境内的国外企业的数据具有收集和调取的权利。掌握大量数据企业拘泥于两国的法律之间，往往无所应对。[6]

　　(四)法律依据

　　准据法方面，某国虽容易基于国内权力将某跨国跨境网络行为规定为犯罪，但由于种种现实障碍，本国法院却无法审判和执行。[7]跨境进行数据的调取，如果不是单方的行为，就需要依照两国之间签订的相应的“准据法”。实际上，大部分的数据都由于司法互信的贯彻和外交关系的维持而予以采纳。我国关于电子取证的法律法规不多,主要是公安部、最高人民检察院所颁行的一些内部规章或工作规定，[8]在跨境采集中就很难得到承认。特定性原则方面，为了防止数据被采集方的滥用，在国与国之间的数据调取协议中往往会附带相应的特定性原则，即相关数据只能运用在特定的案件之中。但是，数据采集后往往会被录入相应的数据库之中不断为后续的反恐工作所使用的，那么这种突破授权范围的使用是不是亦是对相对人的权利的侵犯。

　　二、反恐工作中的国内电子数据采集问题考察

　　(一)数据采集活动的主体与相对人权利保障问题

　　首先这种进行反恐工作的数据采集的主体按照法律的规定应当是公权力机关，但是现实情况中，往往由于公安机关自身的技术水平有限，就需要寻求相应的技术公司的帮助，在注重隐私权保障上必然不如相应的公权力机关的意识强，实际上是对隐私权保障的弱化。其次，现实中又往往不得不寻求相应的技术支持力量，大量的数据的采集和整合往往会占用大量的警力资源，并不是一味地排斥公权力机关之外的数据采集机构，而是应使相应的活动在一个可控的范围之内进行，在助力公安反恐工作的同时，又将公民的权利保障纳入数据采集展开。最后，我国公民对隐私权具有受到保护的期待，但是由于电子数据采集的技术性，使得相应的权利保障和救济往往不易实现。

　　(二)数据采集方式

　　数据的采集可以分为任意性的方式和强制性的方式，这种分类是基于云计算环境下电子数据的来源是多方面的，不同数据源涉及的取证对象是不同的前提下[9]的选择。任意性的方式下，是对公民权利侵犯较弱的方式进行数据收集，如对网上的公开的数据进行收集或是对公安机关留存相关数据进行整合，由于这类措施较为的简单，往往不经授权就可自行采取相应的活动。强制性的手段大多是技术性的手段进行相关数据采集，例如对cookie痕迹、搜索记录、下载记录、浏览器信息、设备信息等数据的采集，[10]但仍未脱离公安机关的内部行为。

　　(三)数据采集范围

　　要实现对隐私权的保障，就要对采集的范围进行明确的规定。一是数据收集的范围过大的问题，不论是通话记录、行车记录、消费记录还是存储在云端的各种网络上的数据都属于数据采集的范围。二是数据处理加工过细的问题，以美国在2018年处理的Carpenterv.UnitedStates案为例，是美国联邦最高法院在大数据背景下做出的有关信息隐私权保护的最为重要的判决。[11]判决中否定了相关电信部门将犯罪对象的通讯记录表明的其行动轨迹作为定其罪的依据，认为这种行为侵犯了数据所有人的隐私权。公民将相关数据交予公安机关进行收集，但是并不等于否定了自己对自己的相关数据进行进一步加工后的隐私权的合理期待。

　　(四)程序问题

　　对公民的相关电子信息数据的采集，往往是由公安机关内部进行相关程序的审批，这种既是运动员又是裁判员的做法显然不利于公民的隐私权保护。对公民的隐私权进行保护首先要考虑的不是数据采集后的救济措施应当怎么办，而是防止相关侵权措施的实施。此外，由于缺少相关的电子数据的专业知识，就可能影响检察院和法院积极有效的行使自身的监督权。同样由于采集行为的隐蔽性和技术性，数据所有人往往不能及时察觉自身权利的被侵犯，并在权利救济上存在缺憾。

　　(五)理念问题

　　反恐工作中的数据采集是出于预防和打击恐怖主义活动的需要，这种对于实体的打击成效的追求，就导致了现阶段的“侦查中心主义”在数据采集中的存在。我们采用大数据的方法打击恐怖主义犯罪实际上就是为了维护国家安全和保障人权，以数据信号的生成、收集、存储、传递、利用。[12]但是这种忽视程序价值而追求实体价值的做法的效果从长远来看往往是差强人意的。

　　(六)取证依据

　　2013年《刑事诉讼法》以部门法的形式明确了电子数据的独立证据地位，之后《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》、《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》、《公安机关办理刑事案件电子数据取证规则》[13]陆续出台。但这些大都是部门的规章或是司法解释[14]，基于法律保留原则的考量，这种涉及人权的侵犯的行为的授权应由更高的位阶法律进行规定。另一方面，目前，我国对于电子数据取证鉴定取证设备还没有制定准入制度，针对取证工具的检测标准也仅有GA/T754-2008和GA/T755-2008[15]，且早期的标准制定的把关不严，导致现存的电子数据的相关标准存在着很大的疏漏。

　　三、反恐工作中电子数据采集的改进构想

　　(一)采集程序设计的优化

　　1.数据采集程序启动批准主体要实现对数据所有人的隐私权的保障，首先要做的就是严把采集程序启动这一环节。现阶段的公安机关自行决定的做法并不能使得隐私权的保障问题得到解决，现阶段可以交由检察院进行相关程序开启的批准。笔者认为可以实现法院和检察院的双重审查，由检察院进行实体上的审查，即是否存在数据采集主体不合规或是严重侵权等情形，由法院进行相关的程序审查，即相关数据采集是否符合法律规范和相关法律原则。此外，出于反恐工作的特殊性，可以保留公安机关的紧急情况下的数据采集的权利，防止错过数据的最佳采集时间，但是这种情况下，相应的机关负责人应向检察院、法院进行合理解释，如果并不存在相应的紧急情况，仍然保留检、法机关追究责任人的相关责任的权利。2.数据采集的主体取证主体适格性的缺失可能成为一份证据构成定案依据的实质性障碍之一。[16]一味地将现阶段的数据采集工作交由公安部门进行开展，一方面会占用大量的人力和物力，另一方面也会出现技术支持力量的供给不足。应探索以公安机关为主导的多样化的数据采集主体相结合的模式，赋予社会上的一些非公权力机构以主体资格。同时，也应当意识到反恐工作的特殊性和数据采集的特殊性，事前对相关机构的资质审核应更加的严格，事中的数据采集工作也应受到公安机关的监督，定位为辅助性的角色。将专业的技术机构纳入合法采集公民数据的主体，既能使数据的采集能兼顾质量与效率，又能通过技术的支撑来保障公民的权利。3.数据采集的方式公民的数据形式的多样使得采集的方式也不能单一，数据的实际控制主体既可能是国家，也可能是企业和个人。这就需要根据数据的实际控制者和内容，来决定进行采集的方式。如前文所述，公安机关本身就已掌握的数据的归纳、整理可以采取一种任意性的方式，只需要履行内部的相关规定就可。因为此类数据在自愿交付于公安机关时，也就默许了公安机关在某一方面的使用，此类数据可以归为一种公开的数据，隐私权的可期待性较弱。强制性的数据采集手段也应保留，虽然公民对自己的私人数据是具有隐私权受保护的意识，但是出于反恐工作的严重性，国家利益和个人利益之间需要个人利益进行一定程度的让渡。但应对措施的实施对象和范围进行严格限制。4.采集范围限定采集数据应避免范围过泛，不仅不利于公民的隐私权的保障，也是一种公权力膨胀的做法。采取可能会侵犯公民基本权利的强制性措施之前，原则上要取得司法授权。[17]采集数据也应当避免过细，未经允许就进行数据的深度处理和挖掘，实际上是一种事前有罪认定理念的体现。应当区分所要采集的数据是公开的还是私人的，是授权的还是未授权的。在进行相关数据深度处理的一般情况下，应保证数据所有人对公权力行为的可知性，并且有寻求权利救济的渠道。为此，有必要在高位阶的法律层面进行相应的数据采集范围的明确规定，而不是仅仅依靠部门规章或是司法解释进行对传统刑事诉讼法中的规定进行释义或是扩充。5.采集行为严格监督监督方面要实现一种事后监督向事前监督的转变。大数据预警实际上是一种有罪认定理念，这就需要转变监督的模式，一方面可以通过听证制度来实现民众的监督，当然这种听证应是在中立机关的主持之下的，而不是传统公安机关自行主持和审查。另一方面，检察院和法院可以提前介入，参与整个采集的流程，减轻因技术专业知识的不过关对事后的审查工作的影响，也应审查采集手段与成效的匹配性，即比例原则的贯彻，防止以反恐为由的“侦查中心主义思想”而导致重实体而轻程序。

　　(二)权利救济的保障

　　对隐私权进行保障不仅要对现有的数据采集程序进行优化，还需要保证数据被采集人的权利受到侵犯后有相应的救济。数据的采集在现阶段往往是以一种不易察觉的方式来进行的，这就使得被采集数据的相对人在数据采集的初始阶段很难意识到自己的隐私受到了侵犯。此外，还存在数据所与人意识到了并授权了自己相关数据的被采集，但是碍于对数据专业技术的认知限制，阻碍了自己对自身隐私权的认知。在一般情况下，进行数据的大量采集的行为在实施前应征求民众的意见，并且启动前应进行公示。在采集过程中，如果采集的手段要进行转变，还应进行相对人告知或是进行备案供日后的审查。采集后，应对整个采集的流程和环节进行明确的记录，在数据相对人需要时为其提供相应的技术支持。紧急情况下情况下的数据采集也应当注重相关采集流程和环节的记录，应记录分析过程中使用的设备的型号和序列号，软件的多个名称、版本号，特定操作程序，检查结果等，生成相应的工作记录或检查文档，[18]使日后的程序性审查有迹可循。

　　(三)法制上的补充和加强

　　首先，我国对于相关数据的采集有相应的法治基础，需要就是根据现在的数据发展形势进行进一步的解释和补充。首先应对国内的相关数据采集规定进行调整。一是尽快确立数据采集设备的标准，并形成相关规定。二是对现有的部门规章进行与刑诉法、刑法、宪法的审视，对那些不合理扩充上位法的条款予以改正或是删除。三是加强应对数据全球采集的规则制定，更好的应对数据全球流通的形势。其次，在境外采集数据的过程中的法制设计上，树立尊重国家主权意识，防止相应规则的制定造成不必要的国际纠纷。加强合作中数据采集的准据法的制定，使数据的属性和能力得到进一步的明确。逐步加深司法互信工作的落实，实现双方或多方的实体和程序互信，[19]从而减弱特定性规则在反恐工作中应用的影响。

　　(四)理念上的转变

　　理念上应契合“侦查中心主义”向“审判中心主义”的转变趋势。我国的立案条件在传统上是依赖报案、控告、举报、检举和自首的条件来进行的，这种公安机关对数据进行整合后进行犯罪嫌疑人的推定的行为实际上是一种有罪认定的体现。此外，大数据采集的目的在现阶段落在了现实的打击和防控上，而忽视了过程中的程序合法化的重要性，保证程序合法与实体正义的并行才是“功利主义”向“人权保障主义”转变的必由之路。对此，应树立程序价值观的理念和“审判中心主义”的思想。

　　四、结语

　　基于反恐治理的长远考量，有必要关注电子数据采集的规范化问题。具体来说，就是追求实体真实与程序合法的平衡，也是追求侦查工作开展的高效率与人权保障高水平的平衡。而为了实现这一目标，就需要对相关数据采集程序进行优化。基于信息化的背景之下，大数据给反恐工作带来了很多契机，同时也产生了诸多问题。有必要基于隐私权保护的国内外经验和教训，规范相关的数据采集程序。就此而言，在未来的规范层面进行证据的设计，有必要实现与境外相关规则的对接，并完善国内的电子数据采集程序，加快思想的转变和配套法律措施的出台。

　　作者：张豫辰单位： 中国刑事警察学院