三、专门人民法院制度实践的合宪性检视 作为跨行政区划的专门人民法院，虽然自1954年就在我国落地生根，并已形成了较为稳定的实践机制。

个人信息权的保护呼声与力度逐步加强，对于国家安全与刑事司法领域中的个人信息保护的传统例外也在重新进行审视。最后，侦查机关对共享获得的公民个人信息履行保密义务，确保数据安全，侦查机关内部应当根据共享信息的敏感等级程度分级授权，同时侦查机关内部与共享数据的政府部门间都应当建立全程留痕的回溯性技术监督程序，监督个人信息的规范利用。

三、国际社会的主要发展趋势 面对日新月异的信息技术发展给个人信息与隐私权保护带来的挑战，国际社会仍然坚持运用既有的法律工具与权利保障工具对该问题予以回应。[6]政府使用秘密监控措施收集公民信息依干预目的的不同大致分为情报信息与追诉犯罪两大方向，情报信息主要服务于国家安全事务和犯罪的预防，犯罪追诉则包括对犯罪的侦查、起诉与审判。进入专题： 个人信息 隐私权 秘密监控 记录监控 。对公民留存于社会机构的海量数据进行事后挖掘的行为与对公民行为过程中同步开展的秘密监控存在本质上的差异。从刑事诉讼法的角度看，比较突出的问题包括：四大类技术侦查措施内部并未根据干预隐私权或公民个人信息权的严重程度进行分层规制，笼而统之适用相同的审批程序，有违比例原则。

[34]参见张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，载《中国法学》2015年第3期。因此，政府部门间数据库共享与政府部门利用社会机构、企业等第三方信息管理者两类行为之间存在本质差异，法律规范评价上应有所区分。本条规定首次在我国的法律体系中明确了情报信息工作中技术侦查措施的应用，并明确限定了在情报信息工作中搜集的各类信息的特定用途，有助于公民信息的保护。

比如《国家安全法》第52条规定的依法和《反恐法》第45条规定的根据国家有关规定都是法律过于宽泛的例证。德国的立法机关与宪法法院面对日新月异的新监控技术，始终坚持娴熟地运用合法性原则与比例原则，基于个人信息自决权的法律价值，设定政府监控干预公民个人信息的具体边界。（五）健全政府部门数据库共享中的个人信息保护机制 如前文所述，近年来公安机关在刑事司法执法过程中已经开始普遍使用其他政府部门的数据库，通过数据比对的方式挖掘情报信息与侦查线索。2012年美国联邦最高法院在United States v. Jones一案中，开始对第三人理论进行反思，大法官索尼娅在该案的协同意见中指出，过去的传统定律认为，对于公民个人自愿公开给第三方的信息，本人并无隐私的合理期待，这一认识有必要进行反思了，因为这一思维方式已经严重无法适应电子化时代的发展，在这个时代里当我们完成许多普通日常的工作时，我们需要公开大量的信息给第三方，我并不认为基于特定使用目的而自愿公开的这些信息不应当得到第四修正案的保护。

在知悉权保障之后，与之相关的权利就是信息主体的查询、更正个人信息的权利也应当予以一并保障。在刑事司法、情报信息、国家安全三大领域中针对公民个人信息的监控自古有之，但伴随着信息社会的深入发展，秘密监控与信息社会之间存在相互融合、彼此促进的关系。

这方面的主要国际性法律文件是联合国《世界人权宣言》及《联合国公民权利与政治权利国际公约》中关于隐私权的保护条款。从完善具体法律适用规则的角度来看，现行法律、司法解释等法律规范当中关于侦查机关从第三方社会机构获取数据与使用元数据的信息使用行为均缺乏足够明细、具体的规范依据。元数据信息经由大数据技术的挖掘之后，也引发了传统刑事司法体系的规制难题。与德国的做法与价值立场不同，美国的立法与司法更倾向于鼓励信息技术产业的发展，在保护公民个人信息与规制政府监控问题上，主要依赖传统的隐私权这一概念工具。

《世界人权宣言》第12条规定：任何人的私生活、家庭、住宅和通信不得任意干涉，他的荣誉和名誉不得加以攻击。然而大数据挖掘技术的出现，颠覆了传统认识，因为通过对信息的形式要素进行深度挖掘并将其与各类信息形式比对，将会产生更为全面的数字人形象，其对公民私生活的还原程度远远超过信息内容的碎片化揭示。[2]多数国家的个人信息保护法中都将国家安全与刑事司法领域的个人信息保护排除在法律适用范围之外，参见周汉华：《〈个人信息保护法〉（专家建议稿）立法研究报告》，法律出版社2006年版，第57页。外来监督机制通常表现为通过法官令状的审批机制实现的司法审查与议会设置专门机构对秘密监控机关的监督，前者为事先监督，后者是事后监督机制。

2017年5月两高发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条，基于侵犯个人信息严重程度的差异间接划定了个人敏感信息的范围，将行踪轨迹信息、通信内容、征信信息、财产信息以及住宿信息、通信记录、健康生理信息、交易信息等归为个人敏感信息。由此可见，对于第三方数据与元数据的利用，规则的完善既要完善刑事诉讼法的相关规定，也要对网络安全法等规范电信、网络服务提供商等社会机构的相关法律进行修改完善。

总体上看，参酌上述欧盟个人数据保护指令的经验，如下重要的个人信息保护的法律原则与机制在刑事司法、执法中应当得到尊重与贯彻：（1）个人信息收集与处理的目的应当是合法且特定的，只能为具体而特定的执法或司法目的收集与使用公民个人信息，不得超越收集个人信息时的合法目的使用相关个人信息。就公民个人信息保护的视角观之，无论是犯罪侦查中的技术侦查措施还是犯罪预防与情报信息领域内的信息收集行为都存在明显的规范漏洞。

再比如，对于立案前的技术侦查措施与其他信息监控措施，在情报信息与国家安全领域的法律规范更加稀疏，《国家安全法》《反间谍法》《反恐法》《网络安全法》《国家情报法》中都仅有一到两个概括性授权条款，法律规定的明确性、清晰性程度远不如刑事诉讼法关于技术侦查措施的授权。（4）对于公民信息应当实行分级管理，对于个人家庭生活、健康状况、宗教信仰等敏感信息，即使是在刑事司法与执法活动中也应当重点保护。[24] 国际社会面对政府监控对公民个人信息保护的挑战既形成了不少经验，也走过相应的弯路，总体来看，信息社会的发展要求对公民个人信息既要积极合理利用，更要充分、审慎保护。与此同时，人类社会逐步迈向文明与进步，刑事诉讼程序的逐步正当化对传统侦查行为也施加了越来越多的适用条件与限制。从合法性原则审视我国现有的秘密监控立法，尽管随着2012年《刑事诉讼法》的修改以及2014年以来陆续颁布的《国家安全法》《反间谍法》《反恐法》《网络安全法》，政府监控的规范性程度实现了长足的进步，无法可依的局面得到了部分改善。首先，信息主体的知情权保护基本处于空白状态，包括《刑事诉讼法》规定的技术侦查措施实施后也未规定告知犯罪嫌疑人的相关程序，再加上技侦材料在司法实践中基本上不会用作证据的现实状况，秘密监控的对象基本上无从知悉信息被监控、使用的事实，信息主体地位名存实亡。

在许多国家的个人信息保护法中，均将国家安全作为一项常见的适用例外加以排除，以保证执法机关的活动不受外界的干预和影响，[2]刑事执法领域的个人信息保护也被多数国家部分或者全部排除在个人信息保护法之外。隐私权更偏向消极性的防御权，与积极性的公民个人信息权相比，对公民个人信息的保护力度显得更为有限。

总体上看，实体法上个人信息保护的相关规定已经得到立法者的明文肯定，尽管在法律的解释与适用中存在争议与完善的空间，但相较于程序法上的规定与实践而言，已属领先。但进入本世纪以来，特别是为应对全球恐怖主义、极端主义引发的严重挑战，不少国家的安全机关、侦查机关在国家安全、反恐侦查过程中大规模收集公民信息，引发了世界各国国民与国际社会的普遍担忧。

（3）刑事司法机关对信息的处理过程应当体现安全性，包括建立监控日志并做到操作留痕，同时应当确保收集到的信息与数据的质量。[32]General Data Protection Regulation, Article 9. [33]参见郑超：《公民个人信息刑法保护的法益论判断》，载《〈法学研究〉2017秋季论坛个人信息使用与保护的法律机制学术研讨会论文集》（2017年10月），第641页。

一方面，用信息换安全的价值权衡过程与其他交易过程一样，本身就是存在风险的，任何交易都应当适度衡量与平衡。从这个意义上讲，用信息换安全是信息社会的内在要求与必然结果。基于必要性原则与比例原则的视角，无论是刑事诉讼法关于刑事司法中秘密监控的应用，还是其他关联法律中关于情报信息与国家安全事务中的各类信息监控手段，都存在着一定的完善空间。[7]技术侦查是指刑事诉讼法中的一种侦查措施，《刑事诉讼法》第150条规定只能在刑事案件立案后采取，《刑事诉讼法》第152条规定技术侦查只能用于对犯罪的侦查、起诉和审判。

进入专题： 个人信息 隐私权 秘密监控 记录监控 。另一方面，当我们回顾人类信息保护的发展历史，必须警醒地认识到对公民信息自由与安全的最大威胁莫过于政府。

从微观层面上看，保护公民权利的传统法律原则——合法性原则与比例原则仍然可以发挥应有的规制作用，同时在传统上的隐私权基础上，个人信息权作为一种新型权利，也日益成为应对现代信息社会发展的重要法律规范工具。这些规定进一步为大数据背景下的记录监控提供了支撑条件。

高秦伟：《个人信息概念之反思和重塑——立法与实践的理论起点》，载《〈法学研究〉2017秋季论坛个人信息使用与保护的法律机制学术研讨会论文集》（2017年10月），第328页。这几类信息一旦滥用将对公民个人的人格尊严、自由发展带来极为不利、不良的影响，也极易成为公权力机关及个人公器私用的工具，将其列为个人隐私的核心区域也符合隐私权保障私生活安宁的最初语义与价值射程。

（5）对个人信息的处理应当设置相应的监督与救济程序，包括独立监督机构、定期报告机制与行政、司法等救济渠道。在安全的价值追求之外，人类的发展还需要人格尊严、个人自治等更高层次的价值追求，个人信息权的保障在信息社会中就是人格尊严、个人自治等价值得以实现的基本前提。作者简介：程雷，法学博士，中国人民大学法学院教授、博士生导师。总体上看，我国在秘密监控的立法完善方面还有较长的路要走，围绕着法律规范的公开、清晰、具体与明确的基本要求，应当完善刑事诉讼法技术侦查措施一节的相关规定，将各类处于保密状态的政策与内部规定写入法律，进一步提升技术侦查措施的合法性程度。

因此，笔者建议刑事司法中需要特别予以保护的个人敏感信息至少包括医疗与健康信息、基因与生物识别信息、性生活与性取向、行踪轨迹信息、住宅与家庭生活、未成年人的犯罪前科。然而，由于缺乏对于政府部门间数据共享的基本规则，政府部门间的数据共享常常受制于部门利益、地方利益的掣肘裹足不前，同时个人信息保护范围的法律依据欠缺也导致不少政府部门对于信息共享的范围与方式、程度存在忧虑，也影响到个人信息在刑事司法中的有效利用。

首先，2015年7月1日公布的《国家安全法》第52条规定，公安机关、国家安全机关、军事机关依法搜集情报信息。立法机关认为，这里的国家有关规定是指宪法、刑事诉讼法、本法和其他法律、行政法规以及有关国家规定，这一列举并未清楚地划定有关规定的范围，属于不完整列举，[10]显然长期以来技术侦查部门所遵照的各种不对外公开的各种政策文件、内部规范性文件似乎也属于有关规定。

规定网络运营者收集、使用个人信息应当遵循合法、正当、必要的原则，事先告知收集信息的目的并经被收集者同意等。刑事司法中敏感隐私信息的范围划定，应当充分考虑到刑事司法目的的正当性，结合以往司法实践中信息滥用的危害实例，个人敏感信息的范围应当限于较窄的范围，这一点与一般性社会管理工作中个人信息保护工作的要求略有不同，与刑法所保护的公民人身权、财产权的法益目标也存在一定的差异。