[24]参见湖北省襄阳市中级人民法院（2018）鄂06行终11号行政判决书。

刑事司法中敏感隐私信息的范围划定，应当充分考虑到刑事司法目的的正当性，结合以往司法实践中信息滥用的危害实例，个人敏感信息的范围应当限于较窄的范围，这一点与一般性社会管理工作中个人信息保护工作的要求略有不同，与刑法所保护的公民人身权、财产权的法益目标也存在一定的差异。其次，执法、司法机关对于信息的处理过程应当履行安全义务，建立操作日志与操作留痕机制，通过技术性回溯手段防止监控行为的滥用。

2017年5月两高发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条，基于侵犯个人信息严重程度的差异间接划定了个人敏感信息的范围，将行踪轨迹信息、通信内容、征信信息、财产信息以及住宿信息、通信记录、健康生理信息、交易信息等归为个人敏感信息。总体上看，我国在秘密监控的立法完善方面还有较长的路要走，围绕着法律规范的公开、清晰、具体与明确的基本要求，应当完善刑事诉讼法技术侦查措施一节的相关规定，将各类处于保密状态的政策与内部规定写入法律，进一步提升技术侦查措施的合法性程度。上述法律原则与机制基本上属于个人信息保护法领域的底线规则，是尊重与保护公民个人信息权的基本要求。[3]这一状况伴随着2016年4月27日欧洲委员会与欧洲议会通过的关于刑事执法司法中保护公民个人数据的专门指令而出现变化，在该指令中欧洲立法机关首次将刑事执法司法中的个人数据保护问题纳入规范视野，并开始尝试将个人数据保护的基本原则与范式部分移植到刑事司法领域，由于该指令尚需两年左右的时间才会内化为欧盟各成员国的国内法，关于实施效果与影响仍需进一步观察，关于该指令详见Directive(EU)2016/680 of The European Parliament and Of The Council of 27 April 2016 on the protection of natural personswith regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecutionof criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA. [4]就我国目前的法律保护状况而言，2009年通过的《刑法修正案（七）》、2015年通过的《刑法修正案（九）》及最高人民法院、最高人民检察院2017年5月9日发布的《关于办理侵犯公民个人信息罪刑事案件适用法律若干问题的解释》对刑法中侵犯公民个人信息行为进行了初步的规范。根据上述国际公约与准则的规定，公民的隐私权不受任意、非法干预，联合国大会及联合国人权事务委员会将政府干预公民隐私权的正当性原则归纳为合法性原则与必要性原则两项主要内容：首先，政府对公民隐私权进行干预应当依据法律的授权方可进行，且作为依据的法律应当是公开、清晰、具体的法律规范。

二、我国刑事司法执法中的秘密监控与个人信息保护状况 秘密监控（covert surveillance）是指使用技术手段秘密获取公民信息的各种措施。（3）刑事司法机关对信息的处理过程应当体现安全性，包括建立监控日志并做到操作留痕，同时应当确保收集到的信息与数据的质量。[1]进入21世纪以来，911事件后的全球反恐局势及各国政府相应地顺应信息社会的发展在情报收集与刑事执法领域开展的大规模信息收集工作，已经成为全球社会对信息安全与隐私保护的最大隐忧。

在知悉权保障之后，与之相关的权利就是信息主体的查询、更正个人信息的权利也应当予以一并保障。[28]参见The right to privacy in the digital age, Report of The Office of the United Nations High Commissioner for Human Rights, 30 June 2014，Para38. [29]参见《反恐法》第18条与《网络安全法》第21、28条的规定。从长远角度来看，伴随着对各类强制性措施司法审查机制的陆续建立，由更为中立的法官统一对情报信息领域与刑事司法领域行使事先审批权显然是更为合理的选择，当然这需要司法体制改革方面的配套推进，比如，建立专门的情报信息法官职位与审前法官序列。[28]既然任何一种监督模式都无法单独发挥应有的效果，建立混合监督模式，多角度综合运用行政监督、司法监督与立法机关的监督就成为了世界各国当前相对稳妥的选择。

在该原则对法律质量上所要求的公开性、明确性、清晰性、可接近性等方面，我国现有的法律规范仍然存在较大的不足。一方面，用信息换安全的价值权衡过程与其他交易过程一样，本身就是存在风险的，任何交易都应当适度衡量与平衡。

当然本条规定只能视为概括性授权，因为对于情报信息收集过程中的秘密监控所应当遵循的一系列程序规范、适用对象及范围、救济与监督机制等，仅靠一条规定难以细化，而根据国家有关规定到底是哪些国家规定值得进一步追问。如此一来，固守传统法律规则中对信息内容与信息形式的二分法将势必导致规范结果的严重失衡。[34]参见张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，载《中国法学》2015年第3期。高秦伟：《个人信息概念之反思和重塑——立法与实践的理论起点》，载《〈法学研究〉2017秋季论坛个人信息使用与保护的法律机制学术研讨会论文集》（2017年10月），第328页。

三、国际社会的主要发展趋势 面对日新月异的信息技术发展给个人信息与隐私权保护带来的挑战，国际社会仍然坚持运用既有的法律工具与权利保障工具对该问题予以回应。关于德国选择个人信息自决权而非隐私权作为规范工具的成因分析，可参见Paul M. Schwartz, REGULATINGGOVERNMENTALDATAMININGINTHEUNITEDSTATESANDGERMANY: CONSTITUTIONALCOURTS, THESTATE, ANDNEWTECHNOLOGY, William and Mary Law Review, 354, November 2011. [23]参见Miller v. United States, 425 US 435(1976); Smith v. Maryland, 442 US 735(1979). [24]参见United States v. Jones, 132 S. Ct.at 957(2012)(Sotomayor, J., concurring). [25]参见Regulation(EU)2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of naturalpersons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC. [26]参见Directive(EU)2016/680 of The European Parliament and of The Council of April 2016 on the purposes of the prevention, investigation, detection or prosecution of criminal offences or the Execution of Criminal Penalties, and on the free movement of such data, and repealing Coun-cil Framework Decision 2008/977/JHA. [27]如前文所述，对于党员干部等特殊对象，在刑事诉讼法规定的审批程序之前存在党委审批的前置程序，党委审批的前置程序是否属于外部监督机制值得进一步研究。最后，在事前监督方面，也可以分两步走，在宪法修改或者作出宪法解释前，由于实行法官令状制度存在一定的宪法障碍，对于刑事司法中的秘密监控，可比照逮捕程序由检察机关行使秘密监控的审批权，而对于情报信息领域内的秘密监控受制于现有的司法架构，则很难实行外部审批，只能依赖于更为严格、缜密的内部审批机制。迄今为止的世界各国经验与教训表明，没有哪一种模式是完美无缺的，没有放之四海而皆准的有效监督机制。

[9] 其次，2015年12月17日全国人大常委会通过的《反恐怖主义法》（以下简称反恐法）第45条规定，公安机关、国家安全机关、军事机关在其职责范围内，因反恐怖主义情报信息工作的需要，根据国家有关规定，经过严格的批准手续，可以采取技术侦察措施。[16]就《欧洲人权公约》与欧洲人权法院的司法实践情况而言，中国台湾地区学者林鈺雄教授将其归纳为法律保留、正当目的与比例原则三个方面，与联合国人权公约的思路基本一致，参见林鈺雄：《刑事程序与国际人权》（二），元照出版公司2012年版，第246-251页。

这就要求在贯彻比例原则的过程中，应当令二者遵循相同的权力规制程序。文章来源：《法学论坛》2021年第3期。

立法机关认为，这里的国家有关规定是指宪法、刑事诉讼法、本法和其他法律、行政法规以及有关国家规定，这一列举并未清楚地划定有关规定的范围，属于不完整列举，[10]显然长期以来技术侦查部门所遵照的各种不对外公开的各种政策文件、内部规范性文件似乎也属于有关规定。在各类干预手段的体系内，应当根据干预公民信息的强度不同，根据个人信息受保护的重要性上的差异，设计分级干预程序，体现手段与干预对象之间成比例的基本要求。在许多国家的个人信息保护法中，均将国家安全作为一项常见的适用例外加以排除，以保证执法机关的活动不受外界的干预和影响，[2]刑事执法领域的个人信息保护也被多数国家部分或者全部排除在个人信息保护法之外。外来监督机制通常表现为通过法官令状的审批机制实现的司法审查与议会设置专门机构对秘密监控机关的监督，前者为事先监督，后者是事后监督机制。电信、网络服务提供商等社会机构负有协助执法的社会责任与法定义务，但责任与义务的边界应当清晰，特别是应当明确信息与数据的使用权与管理方仍属第三方机构，政府部门只能使用、共享，但不能占有。首先，2015年7月1日公布的《国家安全法》第52条规定，公安机关、国家安全机关、军事机关依法搜集情报信息。

就个人信息保护的具体举措而言，应建立混合监督体系，积极应对第三方数据、元数据等规制难题，健全政府部门数据库共享过程中的信息保护机制，厘定个人信息使用中的隐私保护范围。在上述两部立法释义书中，立法机关的工作机构进一步说明技术侦察是广义的概念，既包括立案前调查阶段的技术侦察措施，也包括立案后的技术侦查措施，笔者认为立法者区别情报信息与犯罪侦查两项事务中的技术侦查措施是符合执法、司法实践的正确举措，但通过两个术语的甄别技术仍有进一步完善的空间，很显然技术侦察一词在同一法条中广义与狭义的两种语义并存，有自相矛盾之嫌。

在安全的价值追求之外，人类的发展还需要人格尊严、个人自治等更高层次的价值追求，个人信息权的保障在信息社会中就是人格尊严、个人自治等价值得以实现的基本前提。当然基于刑事司法顺利进行的合理理由，司法机关可以推迟告知，但推迟告知信息主体的例外应当是明确而具体的事由。

面对日新月异的科技发展态势，自愿交与第三人理论愈发显示出局限性。2012年《刑事诉讼法》第二次修正时新增加的侦查章第八节技术侦查措施一节的规定。

《网络安全法》与《反恐法》附加给网络运营者为公安机关、国家安全机关提供技术接口与协助的义务，根据比例原则的要求，应当是逐案提供该技术协助，如果将所有的网络存储数据全部交由公安机关、国家安全机关则意味着执法机关对网络空间及其存储的信息实施了大规模监控，即使能够发现零星的犯罪线索或情报，其大规模干预公民权利的手段与最终结果之间也显失平衡，违反了比例原则。《世界人权宣言》第12条规定：任何人的私生活、家庭、住宅和通信不得任意干涉，他的荣誉和名誉不得加以攻击。最后在完善建议与结论部分，笔者提出坚持刑事司法传统规范工具与适度引入个人信息保护法律制度的双重路径，作为用信息换安全这一交易的基本规范，其中刑事司法传统法律规范工具主要是指合法性原则与比例原则，同时个人信息保护法律制度的基本原则与重要权能在刑事司法领域可以有限适用，而不能完全作为例外一揽子排除适用。再比如，干预公民敏感隐私信息的审批程序应当适用最为严格的法律程序，在当前的法律规范内应比照技术侦查措施的审批程序进行，未来随着法治化程度的提升，应当率先实行司法审查式的外部审批程序。

笔者认为，第三方理论与元数据两个新型法律难题的产生，均与我们看待类似信息来源过程的视角有关，如果从政府获取信息的渠道与方式来看，区分直接收集与利用第三方社会机构获得的信息、区分信息的内容与信息的形式，似乎具有一定的合理性。但值得关注的是，各类运营商、服务提供者的义务适用范围是全部客户，而非仅仅限于有恐怖活动嫌疑的人员，换句话说，基于反恐法，公安机关与国家安全机关对于数据记录的收集是针对全社会范围的大规模监控，这种缺乏适用范围与适用条件的监控措施是否符合法治的要求值得进一步研究。

[35]参见张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，载《中国法学》2015年第3期。因此，笔者建议刑事司法中需要特别予以保护的个人敏感信息至少包括医疗与健康信息、基因与生物识别信息、性生活与性取向、行踪轨迹信息、住宅与家庭生活、未成年人的犯罪前科。

反间谍法与反恐法中的技术侦察是在刑事案件立案前的调查阶段采用，主要目的是搜集情报信息与犯罪的预防控制。厘清个人隐私信息的范畴并施以特殊保护，能够有效实现个人信息使用与保护的均衡状态。

当然两部法律中都未穷尽所有的技术支持措施，而且对于技术接口问题的授权也过于宽泛，如果技术接口意味着执法部门可以获得全部网络运营商的数据，此种监控行为基于必要性与比例原则的视角观之，显属过度监控。第20-21条规定了交通运输服务提供者、物流运营单位在查验客户真实身份、实行实名制以及物品信息登记制度方面承担的法律义务。[32]General Data Protection Regulation, Article 9. [33]参见郑超：《公民个人信息刑法保护的法益论判断》，载《〈法学研究〉2017秋季论坛个人信息使用与保护的法律机制学术研讨会论文集》（2017年10月），第641页。为回应信息社会快速发展的背景下国际社会对个人信息保护方面的忧虑，联合国人权理事会在2014年提交联合国大会的专题报告中概括了新世纪以来全球面临的隐私安全挑战：公开与秘密的监控作法与事例正在不断激增，政府开展大规模监控（mass surveillance）已经成为危险的常态性、习惯性做法，而不再仅仅是作为例外手段。

然而，由于缺乏对于政府部门间数据共享的基本规则，政府部门间的数据共享常常受制于部门利益、地方利益的掣肘裹足不前，同时个人信息保护范围的法律依据欠缺也导致不少政府部门对于信息共享的范围与方式、程度存在忧虑，也影响到个人信息在刑事司法中的有效利用。技术侦查措施的适用并未明确遵循最后手段原则，而是根据侦查犯罪的需要，凡是符合重罪案件范围的对象均可直接启用。

也就是说，侦查机关在利用第三方机构保管的信息时也应当具备合法的目的、基于一定的怀疑作为干预基础，同时应当遵循比例原则的要求。高秦伟：《个人信息概念之反思和重塑——立法与实践的理论起点》，载《〈法学研究〉2017秋季论坛个人信息使用与保护的法律机制学术研讨会论文集》（2017年10月），第51页。

传统刑事司法规则更为关注信息的内容，将信息的形式置于次要位置，并认为这符合了比例原则的基本要求。[22]整体上看，对于各类信息监控手段，德国均通过持续性更新刑事诉讼法典的规定将其及时地纳入到法律规制框架内，同时德国联邦宪法法院基于德国基本法上对于个人信息自决权与通讯自由权的保障条款不断地对刑事执法与犯罪预防中的各类新型监控手段作出逐案审视，这也引导着德国刑事诉讼法典逐渐前行。