刘 铭
(中国刑事警察学院,辽宁沈阳110854)
摘要:大数据应用是反恐利器,反恐法律也给予大数据应用特别关注,然而,围绕着自由与安全,美国大数据反恐应用波折不断。与美国相较,我国有不同的隐私权、个人信息权传统,反恐立法和信息法律成熟度也有差距,因而,大数据反恐应用与美国既有可借鉴之处,也有不同的问题。大数据反恐应用的法律问题导源于将犯罪嫌疑人的数据调查扩及到普通公民信息挖掘,在大数据应用流程中的法律问题聚焦于数据采集的合法性、敏感信息在应用中的遮蔽等。
教育期刊网 http://www.jyqkw.com
关键词 :大数据;反恐;个人信息;爱国者法;信息挖掘
中图分类号:DF621
文献标识码:A
文章编号:1002-3933(2015)02-0086-11
收稿日期:2014 -10 -21 该文已由“中国知网”(www. cnki.net) 2014年12月29日数字出版,全球发行
基金项目:辽宁省教育厅高等学校人文社科一般项目《控方证据合法性证明机制研究——以辽宁省刑事司法实践为样本的分析》( W2014226)的阶段性研究成果
作者简介:刘铭(1979-),女,辽宁抚顺人,中国刑事警察学院法律部副教授,法学博士,研究方向:刑事诉讼法学、证据法学、警察法学。
大数据,也称巨量数据、海量数据、大资料,是指所涉及的数据量规模巨大,达到无法通过目前主流软件工具在合理时间内进行撷取、存储、管理、分析的资讯。通常人们用3V或4V概括大数据的特点,即大数量(volume)、多类型(variety)、高处理速度(velocity)、价值( value)密度低。
美国在反恐领域应用大数据最早,也发展得最快,然而,围绕反恐大数据应用却争议不断,立法波折。2014年3月1日昆明恐怖事件之后,大数据在我国的反恐应用在两会期间被委员和代表们提起①,进入了公众的视野。大数据的应用和研讨在我国方兴未艾,反恐应用大数据之初,我们有必要对其进行更深入广泛的研讨,特别是其中包含的法律争议,在借鉴他国经验和分析本国情境的基础上审慎而行。
一、美国大数据反恐应用简述
“9。11”恐怖袭击无预警、毁灭能力强,将二战以来赖以维护国际安全的机制和维护安全的理论体系彻底击毁。同时,人们的行为和意识也不再轻松了,美国人习惯了处处有安检的生活,戒备、防范意识明显②,越来越多的人接受“为了国家安全,美国人民必须牺牲一定程度的个人隐私”的观点。2001年《爱国者法》在参众两院迅速高票通过,2002年通过《国土安全法》、建立国土安全部。大数据的应用优势对反恐领域有积极的影响,适用于反恐的大数据应用高调亮相。
在《2002国土安全法》中提出了万维信息触角计划(Total Information Awareness),该计划除了以往的建议将数据联接、集中到一起,提高管理、查询和统计的效率之外,还增加了数据挖掘的内容。其设想是:如果恐怖分子要计划、执行一次恐怖活动,就必定在信息空间中留下“数据脚印”,会留下通讯、财务、医疗、交通等交易数据记录,通过在海量的“交易空间”数据中进行自动化的数据挖掘,就可以发现有特定恐怖行为模式的人,锁定可疑分子。迫于隐私保护的压力该项目后来改名为“反恐信息触角”(Terrorism Inform.ation Awareness),主要包括语言翻译技术、搜索数据并确认模式技术、决策支持技术三个方面的研发工作,并指明该项目专门用于反恐活动,不使用任何商业机构数据。但是,依旧因为反对声音过大而被国会终止项目拨款并且对处理和分析美国普通公民信息进行限制‘¨。尽管整个项目被终止,不过对数据挖掘这个核心技术的深度开发并应用于反恐领域的具体研究并没有终止,而是采取了化整为零的方式,在国防部的专门预算中拨款资助,低调开展各项活动。此外,“反恐信息交流项目( MATRIX)”、“全能危险分子(Able Danger)”计划和“源于超级数据的新颖情报( NIMD)”计划也在积极进行[2].
美国政府大数据反恐应用项目,为了反恐的需要尽管有阻力,但是因其明显的有效性和便捷性仍然在以各种形式发展和展开。大多数反恐内容涉及机密事项,所以本研究也仅能从各种媒体的曝光中发现可能的踪影。例如,2008年11月26日孟买恐怖袭击之后,美国政府设立国家情报网格( NATGRID)计划,利用诸如大数据和分析技术来研究和分析各种情报和执法机构的大量数据,以帮助跟踪嫌疑人,防止恐怖袭击。其主要职责是针对美国的恐怖袭击人,特别是2006年至2009年期间在全国各地的行踪进行实时分析,通过对来自情报和执法机构等21个不同来源的大量数据进行分析,以清晰勾勒犯罪嫌疑人的行踪和面貌①。又如,因斯诺登披露而在全世界引起强烈反响的“棱镜门”,也与大数据反恐应用有关。“棱镜”计划源于美国政府的“星风”监视计划。2004年,布什政府通过司法程序,将“星风”监视计划拆分成由国家安全局执行的4个监视计划,除“棱镜”外,还包括“主干道”、“码头”和“核子”[3]。再如,根据《华盛顿邮报》曝光的秘密文件显示,美国国家安全局和美国联邦调查局通过一项代号为PRISM的绝密项目,可以从微软、雅虎、谷歌(微博)、Facebook等九大科技公司直接获取用户数据以追踪个人动向。据称根据该项目,国家安全局和联邦调查局能够直接进入这些科技公司的中央服务器,使用其中音频、视频、照片、电子邮件、文档以及日志等,进而能够分析并追踪特定人的动向和联络方式②。
二、隐私权:美国大数据反恐应用法律的纠结之处
尽管几乎所有人都承认“为了国家安全,美国人民必须牺牲一定程度的个人隐私”,然而,在国家安全与个人自由之间寻找到一个合适的平衡点却绝非易事。大数据应用可以为反恐提供利器,更为精确地打击和预防恐怖活动,然而,个人信息跟踪、挖掘、预测是否会被滥用,是否会超越反恐的界限是人们担心甚至恐慌的问题所在。
由于隐私权保护的呼声高涨,很多反恐大数据应用项目总是被搁浅。“9·11”恐怖袭击之后,美国社会文化和公民对于国家安全的态度发生了明显变化,《爱国者法》的迅速通过是最好的证明。然而,与之几乎同时产生的万维信息触角计划却引起了人们的警觉。万维信息触角计划中提出的“交易空间”概念,被美国公民自由联盟( ACLU)称为“所有人、所有事情的记录”。该项目中数据挖掘技术的运用已经对公民的隐私保护带来了前所未有的挑战。万维信息触角计划因各方的质疑,进行了调整改称为“反恐信息触角”,专用于反恐活动,且不使用任何商业机构数据。后来,又强调属于“研究性”项目,充分考虑了公民的隐私权,至于其中使用的数据,只是使用真实的情报信息和仿真数据。然而,为了保护隐私,项目依旧被终止且通过法案规定没有国会授权,今后类似的数据整合挖掘项目,只能使用外国人的信息和数据而不能针对任何美国公民。2005年和2006年对《爱国者法》的增补和调整,从国会监督、司法审查和加强执法部门内部监管等多方面加强了对反恐措施的监督和制约,也反映了保护隐私权斗争的胜利。
《爱国者法》及其后续的补充立法是美国反恐的最主要法律。《爱国者法》对传统搜查、监听等措施虽有扩张政府执法权力的变化,但是其对现实执法的实质影响并不明显。一方面,在比较《爱国者法》立法前后政府对国内通讯电子监控的立法规定后,会发现《爱国者法》对以往犯罪调查和保障国家安全的法律的修改,对隐私权都不会造成重大侵害。例如,国会关于安装pen/trap装置①的条款同时适用于有线通讯和电子通讯的决定只是使早已为诸法院所践行的理念得到了合法化②[4]。另一方面,美国的权力制衡机制和一直以来崇尚自由的文化传统使得“有关部门在实际操作中努力保持一定分寸”,《爱国者法》“实际上处于一种有法可依但并非有法必依的状态中”。
《爱国者法》对大数据反恐应用的影响相对传统监听更为明显,其中很多内容都为大数据应用提供了契机。第203节授权联邦调查局和中央情报局之间的信息共享,修改了大陪审团信息保密规则,联邦政府官员可在未经法院同意的情况下披露该信息;允许通过监视获得的执法和情报信息、无线电、语音电子通信中的信息以及由此衍生的证据,可以在联邦执法机构、情报机构、移民局、国防部、国家安全机构之间共享。在第214节和第216节规定,将pen/trap装置拓展到适用于互联网和计算机的监视装置的使用,以及Carnivore和Magic Lantem技术的应用。C arnivore可以按照特定的命令主题截留和收集互联网上的信息。Magic Lantem技术,类似“木马”病毒,在下载到目标计算机后,可以捕获输入的任何键盘指令,由此获得密码等,而后打开加密文档。这些条款都为大数据反恐应用的数据仓库建立和积累、数据挖掘利用提供了便利和可能。此外,第505节等条目中对“国家安全调查密函”( National Security Let-ters)适用范围的扩大和适用条件的放宽也有利于联邦政府大数据应用等类似项目的开展。信息的多机构共享和类似要求使得反恐活动在大数据应用背景下,产生了对原有孤立的数据库进行检索、分析无法实现的所谓“1+1 >2”的效果,反恐收效必将大大超越传统的做法。然而,另一方面,也构成了对个人自由和公民隐私权的极大威胁。所以,各种隐私权保护运动的抗争和对一些大数据反恐应用项目的不断披露,引发了公众的警觉,也直接导致了2005年和2006年对《爱国者法》中各个联邦政府机构和部门采取数据挖掘技术审查监督的加强。
三、中美大数据反恐应用法律问题的背景差异
从大数据应用起步的时间来看,中美两国相距并不久远。但是,我国将在收集数据、使用数据、开放数据方面面临大数据时代更多的挑战,这种挑战不仅来源于技术,还来源于意识、文化、习惯和态度,当然也来源于各种相关法律制度的完备和健全程度以及依循这些法律制度的社会治理情况。
(一)隐私权界定的差异
在美国,隐私权的起点是1890年沃伦和布兰代斯撰写的《论隐私权》,该文提出一种不同于财产权、著作权的新生权利,将隐私权视为基于对个人隐私空间和个人人格尊重的“不受打扰的权利”。1960年普罗瑟的论文《论隐私》根据判例进行分析,将隐私权概括为四种侵权样态:1.侵扰他人的幽居独处或私人事务;2.公开披露使人尴尬的私人事实;3.公布不实资讯,误导社会大众对他人的看法;4.盗用他人的姓名或肖像,借以图利。将隐私权作为宪法上的基本权利,来源于“格里斯沃德诉康涅提格特州案”。该案中提出“晕影理论”,即在美国宪法第一修正案、第三修正案、第四修正案、第五修正案等的规定中都隐含着宪法对于隐私权的认可和保护①。与大数据应用密切相关的隐私权,是20世纪60年代以来美国政府及其他商务机构、公益机构等因业务需要开始收集个人信息,对个人信息处理、保存建立信息库,并在此基础上进行传播、运用等操作,因而形成的不同于以上内容的个人信息隐私权。由此可见,美国的隐私权在历史演进上体现出积极的开放性,在内容上表现为广泛的包容性。“美国法上的隐私权大抵是在没有人格权体系之下为因应经济、社会发展而逐渐完善起来的一个开放体系,与德国法上的一般人格权意义相当。在美国,隐私权被作为一种门户概念——一扇通往所有潜在人权的大门,外延很广,足以涵盖超出隐私范畴的人格利益,姓名、肖像等。”美国对大数据反恐应用遭遇的质疑和否定主要来自于隐私权保护的考虑,因为隐私权在美国是一个不断发展且开放、包容性很强的法律概念,几乎可以指代所有为个人信息自由和安全的抗争。
与美国相比,我国隐私权理论发展较晚,对其界定也要狭窄得多。我国《宪法》和《民法通则》都没有明确规定隐私权,学理上隐私权概念形成于侵权责任制度的研讨之中。2009年,《侵权责任法》第2条首次在立法中明确了“隐私权”。无论是从立法规定还是从多数学者的主张来看,隐私权在我国应作为具体人格权而非一般人格权来理解。尽管隐私权具体包摄内容仍有争议,有代表性的意见认为,隐私权应以生活安宁和私人秘密作为基本内容,而将与大数据应用关系更为密切的个人信息资料权作为独立的权利对待。由此可见,在我国的立法和理论背景下,仅仅隐私权并无法实现美国隐私权的抗争任务。大数据反恐应用可能危及的尽管主要涉及个人信息资料权等内容,但并不限于此,而应在一般人格权、宪法基本权利等更高的层面和更广泛的具体权利角度去考虑其可能威胁。
(一)反恐法律的差异
美国并非最早为反恐单独立法的国家②,但是“9. 11”之后的《爱国者法》及其补充规定无疑是目前最为重要的反恐国内法。在中美两国反恐法律差异方面,首先,美国已有了统一的反恐法律框架。《爱国者法》并不是新法律规范的创立,而是在原有犯罪调查和情报收集等法律基础上的加强和拓展,然而它完成了对反恐法律规范的整合,并加强了预防、调查、打击恐怖主义韵权能和力度。在我国,除了2011年全国人大常委会通过的《关于加强反恐工作有关问题的决定》之外,尚没有专门的反恐立法。反恐法律规范散见于《人民武装警察法》、《反洗钱法》、《戒严法》等法律之中,且以刑事法律中对反恐犯罪的实体和程序规定较为突出。这种分散立法的模式显然不利于多个组织、多个领域在反恐事项中的沟通和协作,从大数据应用角度来看,这种分散状况也给需要高度协同配合和信息共享的大数据应用造成了潜在阻碍。
其次,由前文论述以及《爱国者法》的正式名称《通过为拦截和阻止恐怖主义犯罪提供适当手段来团结和加强美利坚合众国法》可知,该法实现了美国在情报共享、调查搜索能力等方面的空前加强,其中的很多拓展规定都为大数据的反恐应用提供了前提性保障。即使是基于隐私权保护反对大数据反恐应用的意见也有据可循,能够找到攻击的标靶和论证的依据。我国的相关立法则比较模糊。尽管2012年新修订的刑事诉讼法在扣押邮件、电报、恐怖活动犯罪准用技术侦查措施等方面都可以作为与美国相应规定对比的依据,但是其中明显粗疏的规定,使得大数据反恐应用没有直接的凭依,既不利于依法维权,也不利于依法打击恐怖活动。
再次,《爱国者法》经过后续的增补和修订,从“9- 11”后的激情授权归于冷静的反思,加强了对扩张的政府权力的司法、国会、政府机构内部的多方监管机制,并明确规定对政府机构数据挖掘的审查监督,使得美国反恐法律体系臻于成熟,并对大数据反恐应用积极回应。我国反恐立法处于蓄势待发的阶段。新近刑事诉讼法修改对恐怖活动犯罪的特殊规定条款、《关于加强反恐工作有关问题的决定》等法律规范为专门反恐立法的出台进行了规范的累积和铺垫;中央国家安全委员会的设立提供了高规格的组织和协调力量;北京“金水桥”恐怖袭击事件、云南“301”恐怖袭击事件等也将对专门反恐立法有促成作用。很多学者提出应“适应新形势抓紧制定反恐法”[12]。
(三)信息法律的差异
信息法律可以大致区分为三个维度:信息自由、信息保护和信息管理。大数据应用与此三个维度都有密切联系。中美两国信息法律的差异,首先体现为立法成熟度的不同。以立法时间的对比为例。1969年美国签署《信息自由法》,开始了制度化的信息公开;1974年《隐私法》通过,如前文所述隐私权问题早在该法实施之前即得到了讨论和判例保护,该法中与大数据应用有关的在于重点防止政府滥用公民信息和数据记录;1996年《电子信息自由法》通过,规定了政府电子记录的公开;2000年《数据质量法》颁布,对数据质量进行规范;2007年《开放政府法》再度扩大信息公开范围……我国在上个世纪80年代即有学者呼吁信息立法,《宪法》、《民法通则》、《著作权法》等法律规范中都能找到适用条款,但是直接的与今日所谈信息、数据相关的立法却是在近期集中进行的。2007年《政府信息公开条例》开始了全国范围政府信息公开的第一步;2009年《刑法修正案(七)》将侵犯个人信息的行为人罪;2012年公布《关于加强网络信息保护的决定》,保护网络信息安全,初步界定个人信息并提供保护依据;同年《信息安全技术公共及商用服务信息系统个人信息保护指南》发布,区分了个人敏感信息和个人一般信息,要求对个人敏感信息的特殊保护。我国的信息法律与美国相比晚了将近半个世纪。
其次,信息法律中的一些基础概念在美国法律中已经成型,而在我国尚处于争议之中且亟需明晰以便规范社会活动。因为各国法律传统、法律概念脉络的不同,不可能通过简单的移植实现概念欠缺的立即补足。以个人信息为例,尽管我国在整个信息法律的立法过程中较早的以刑法方式为个人信息的侵犯提供保护,突出了对侵犯个人信息的打击力度。但是,至今“个人信息”仍是一个模糊的概念,不仅影响了刑法适用中准确圈定犯罪圈适用刑罚,而且也影响整个信息法律的发展。
再次,经过自下而上的政府信息公开运动、隐私权保护运动以及美国民众固有的对政府的怀疑精神,使得公益组织和公众时刻关注着信息、大数据应用被滥用的可能,而在我国个人信息保护意识比较淡薄,加之信息滥用通常比较隐蔽,多数民众对大数据反恐应用侵权的警觉度不高。
四、我国大数据反恐应用法律问题前瞻
如今,大数据对于我国公众已不陌生,大数据相关问题的研讨也持续升温、中文文献数量可观,然而,对大数据问题的法律关注却相对滞后①。这一研究状态需要引起我们的警觉。大数据的滥用将侵犯个人信息、隐私、公共利益、国家安全等诸多权益,而且大数据应用通常方式隐蔽,难以被权利人察觉,维权成本高。从前文的分析可知,我国与大数据反恐应用领先的美国相比,基础法律概念界定有传统差异而且在信息法律、反恐法律的成熟度方面都有较大距离。大数据应用在技术应用方面并无国界的而且传播、发展迅速。相比之下,法律规范在国与国之间是有疆界的,我国大数据反恐应用相关法律背景滞后于技术应用的现状亟需改变。
(一)大数据反恐应用数据收集从恐怖犯罪嫌疑人到普通公民的隐忧
以恐怖袭击发生为分界点,可以将反恐活动区分为防范恐怖袭击发生和追究制造恐怖袭击的恐怖分子的责任两类。大数据反恐应用的主要领域是发现可能的恐怖分子、预测即将发生的恐怖袭击等防范恐怖袭击活动,即通常所说的基于数据挖掘的情报主导反恐。以防范为主的反恐活动,并没有明确的恐怖嫌疑人名单,主要是借助各种渠道获得的情报分析判断恐怖分子、预测恐怖活动的发生。调查分析者的首要任务就是在海量的结构和非结构化数据中发掘出潜在的可疑分子。这些作为筛查基础的海量数据当然包括大部分个人信息、隐私数据、财产记录等内容,而且它们的权益所有人是数量巨大、涵盖广泛的普通公民。当所有人的所有信息都可能成为大数据分析处理的信息基础时,如何授权获得这些数据,从何处获得这些数据,如何防止接触者不当利用这些数据,当基于这些数据的利益受到损失时如何获得救济……是法律必须考虑和关心的问题。
不仅如此,依托于个人信息的身份识别性特征,如果没有特别的法律规范或程序规制的话,从技术角度看,大数据应用可以获得以清晰个体为区分的信息处理。理论上讲,大数据应用获得的不仅是通过可视化流程显现出的规律性概括,也不是以往统计学从抽样中获得的基于概率得出的或然性结论,而是近乎全样本的,可以具体化为现实个体活动轨迹的信息记录。于是,个人信息权的独立性在大数据应用的背景下越发凸显。笔者同意王利明教授的观点,个人信息权有独立于隐私权的内容,在权利属性、权利内容等方面二者确有差别,以私权为基础构建个人信息法[14],促进信息自由和个人信息利益的自主性是十分必要的。而且,基于个人信息常常以集合的形式表现出来形成“大数据”的特点,要考虑对有收集、存储、分析这些蕴含个人信息的大数据能力的组织、企业、政府行为予以规制和审查。除了私权保护之外,政府监管以及对政府公权力大数据行为的审查或监管是必要的。在我国的法律语境下,大数据反恐应用必然涉及隐私权、个人信息权等多权利领域而与美国单纯的隐私权保护运动是不同的。
根据巴拉巴西的观点,每个人都是习惯的奴隶,人们行为的可预测度平均为93%,有些生活规律的人甚至可以达到100%,即使是偶然也有其内在的秩序,爆发理论可以进行一定程度的解释,知道过去即可预知未来。大数据的反恐应用因而可以通过对过去数据的分析和建模,预测未来的恐怖袭击。换一角度,如果滥用该功能也可以预测非恐怖分子的行为,包括所有公民的行为的高度可预测性。
综上,大数据反恐应用的信息处理对象包括超越反恐犯罪嫌疑人的所有个体,反恐大数据应用的风险因而主要包括两方面:其一,滥用大数据应用,将对普通公民行动自由与生活安宁带来不当干扰;其二,大数据应用的误判风险将给普通公民带来利益损害。
(二)大数据反恐应用主要阶段中法律的关注点
大数据反恐应用的流程主要包括四个阶段:恐怖主义问题识别、数据准备、数据挖掘、模式评估与知识表达。恐怖主义问题识别是指将反恐行动效果与决策目标转换成数据挖掘目标,以使反恐问题可以通过大数据应用进行分析。数据准备包括数据清洗、数据集成与数据转换。数据清洗是清除数据噪声、剔除无关和空白数据;数据集成是将来自多个数据源的数据进行组合;数据转换是将多种格式的数据统一为适于数据挖掘软件的格式。数据挖掘是综合利用各种数据挖掘方法,寻找出反恐所需要的各种规则、趋势、类别、模型等。模式评估与知识表现是指对挖掘出的规则、趋势、模型等进行评估,筛选出符合反恐需求的有意义的结果,并利用可视化技术等简明的回应大数据反恐应用需求[16]。
从前述简要的流程介绍中可见,大数据反恐应用主要是数据挖掘算法的技术性应用。大数据应用技术是中性的,但是联系到其对数据综合分析的“1+1 >2”的探知能力,使得有些权利内容的敏感度升级需要更多的法律关注,例如,非敏感的个人信息尽管在其他场合可以利用无碍,但在大数据应用领域的聚合效应和挖掘探索能力的威胁下需要对其进行特殊保护。在大数据反恐应用的流程中,法律应予特殊关注的要点包括三个方面。第一,数据法律适格性问题:数据准备中各个合成数据集的来源,如何授权数据集的取得,如何检验数据集来源的合法性,应在数据准备中,将法律适格性审查作为附加项予以前置处理。第二,数据中身份识别信息的遮盖问题:在不影响大数据反恐应用效果的情况下,应尽量避免个人信息的滥用,也应尽量缩小可以直接接触个人信息的技术人员的范围,具体做法可以考虑对一些关键的身份识别性个人敏感信息进行遮蔽或暂时以代码形式代替,待到最后分析确定为嫌疑人和嫌疑事件时再予以匹配。第三,审慎策略选取以降低误判以及误判后造成损害的赔偿问题:在恐怖主义问题识别、数据挖掘算法选取、模式评估的筛选中,都涉及判断的尺度,在不影响反恐效率的前提下,应通过技术性规定和操作规定严格判断尺度,综合信息研判,尽力降低误判、误伤无辜人的可能。数据分析是有风险的,一旦造成误判进而引发了无辜人员的实际损害应该启动国家赔偿。
(三)大数据反恐应用中的授权和监管
1.个人信息获取的授权
在大数据反恐应用中,数据的法律适格性重点考虑的内容是该数据或数据集的获得有无合法授权。
第一,授权内容。个人信息从来源划分包括:个人公开的信息、个人向第三方(包括政府机构和商务机构等)提交并由第三方保存和存储的个人信息、通过特殊渠道(例如技术侦查措施)获得的个人信息。从内容划分,可简单区分为敏感信息和非敏感信息。不同来源和不同内容的信息授权应是不同的。例如,个人公开的信息通常可以直接予以大数据应用,而无需特别授权。个人向第三方提供的信息需要有特别的授权,才能依授权令取得该信息。目前,我国对第三方保有的个人信息的调取,无论是刑事诉讼还是行政执法中存在的问题是:授权法律依据笼统、粗疏;执行机关自我授权明显缺乏外部机构特别是司法机构的审查或授权;执行法律文件或授权令格式不明确、不统一、不细致。这些问题不仅导致个人信息受到权力滥用侵害的可能性加大,也使合法的权力执行缺乏必要的权威性和规范度,有碍于调取数据集权力的正常顺畅行使。另一方面,对政府作为第三方储存的个人数据以及政府、司法机关在执法过程中获得的个人数据,我国也存在各部门沟通共享缺乏明文法律授权,从而阻碍反恐活动力度和效率的问题。建议仿照美国、德国等各国反恐法律中关于增强政府部门与司法机构合作、信息共享等内容①,在反恐相关法律规范中明确各部门之间的信息共享权限以及信息共享和传递的具体方式。敏感信息的相互共享和使用,第一,需要注意授权方式安全性的提升,例如提高内部审批程序、条件成熟时可考虑效仿美国成立专门的法庭进行司法审查授权等;第二,需要在大数据应用时尽可能保证身份识别标志与敏感信息的分离或匿名处理,缩小直接接触敏感信息的人员范围;第三,在无妨害反恐行动之虞的时候,保证敏感信息所有人的知情权。相较于敏感信息,非敏感信息的调用和大数据应用则将会减少或者放松授权限制。
第二,授权机构。在我国,预防、打击恐怖活动无论涉及的是行政执法行为还是刑事侦查行为,在大数据应用有关的数据获取方面都是执行机构自己授权的,即使2012年刑事诉讼法修订后的相关规定将技术侦查措施交由设区的市级以上公安机关负责人批准和交付执行,但是依旧是自行授权的。简单的在行政机构、侦查机构内部提升授权层级的做法,不足以实现对权力行使的有效管理,有必要在合适的时候引入特定范围的信息收集的司法授权,或者考虑刑事侦查中参考逮捕的规定由检察机关授权。原因是:一方面,司法授权可以通过司法的中立性平衡维权和反恐的取舍关系;另一方面,尽管从“9·11”以来各国反恐立法的趋势是扩大反恐机构的权力、提高反恐机构权力行使效率(例如美国对国家调查密函的扩大适用),但是,其实大多数国家是在原有司法授权的基础上进行权力行使的宽松化,并在后期的补充立法中时刻注意权力的监督,而我国完全没有司法授权的背景,与多数国家起点和所处阶段不同,在司法授权的努力上应该在条件允许的情况下逐步建立和拓展。
2.个人信息收集权力的监管
权力除了需要明确授予之外,还需要动态监管,大数据反恐应用中个人信息收集、获取的权力也是如此。美国《爱国者法》及其后续的补充规定对反恐权力运用的监管为我们提供了可以参考的几种方式。其一,加强内部监管。目前我国采取的主要是内部监管,通过提升授权者级别、执法机构内部的管理机制、文书运行系统来监控权力的运行。然而,仅就大数据反恐应用来说其弊端是,内部监管方式规范不明确,特别是在压力情况和官僚体系惯性的驱使下,会使监管流程转变为简化的手续办理活动,流于形式。其二,通畅侵权司法救济渠道。目前在我国根据不同的情况可以考虑行政诉讼和刑事诉讼程序内的申诉、控告等。但是,其现实弊端是,渠道并不畅通、便捷,对于申请权利救济人的回应不及时或过于敷衍,导致受侵害人权利获得补偿成本过高,最终引发多数受侵害人怠于行使权利。其三,建立向人民代表大会及其常委会的定期报告及立法机构的定期审查机制。在我国,除了定期报告、定期审查机制需要建立健全之外,还需注意的是报告内容及相关统计数据的公开,让更多的人加入到监督的行列中来。我国政府和司法信息的公开刚刚起步,距离大数据反恐应用情况的公开注定还有漫漫长路要走。
(四)大数据反恐应用的损害赔偿和追责
由前文所述“在大数据反恐应用的流程中法律应予特殊关注的三要点”可知,大数据反恐应用对公民个人的损害涉及:违法获取数据,侵犯个人信息权、隐私权、财产权等;接触到数据的分析操作人员披露相关数据,侵犯个人信息权、隐私权、财产权等;大数据应用中的误判导致无辜的人遭受不当调查,构成对该人隐私、人身自由等合法权益的侵犯。这些损害源于国家的反恐行为,对公民由此受到损害的赔偿当然应由国家赔偿解决,可以根据不同的情况分别归为行政赔偿和刑事赔偿。
大数据反恐应用的权利侵害往往是在隐蔽的情况下进行的,权利人难以察觉,这就为权利人请求救济带来了困难。另一方面,大数据应用中对个人信息权的侵害还有“大规模的微型侵害”的特点,即可能构成大规模的不特定多数人个人信息权的侵害,然而就单个受害人而言损害却是微小的,这往往又提高了维权成本或导致受害者的维权惰性。因而,就此方面的损害赔偿有学者建议在《民事诉讼法》中通过小额诉讼、公益诉讼等制度来解决个人信息权保护的特殊性问题[14]。在国家赔偿中,也应考虑类似问题,通过减轻申请人证明责任、增强执法机关自身违法筛查等方式实现对大数据反恐应用侵权问题的保护。
对于违法侵权工作人员的追责,我国《刑法修正案(七)》中出售、非法提供公民个人信息罪为大数据反恐应用的刑事责任追究奠定了法律基础。这与《爱国者法》第223节中规定联邦政府官员披露信息需遵循行政纪以及侵权时需承担相应的民事和刑事责任,以此来防止和补救大数据应用的滥用和侵权是同类举措。然而,我国存在的问题是,《刑法修正案(七)》中侵犯公民个人信息犯罪是在私法领域没有明晰个人信息权利的情况下制定的。由刑法率先对个人信息权予以保护虽然体现了对公民个人信息的重视和对侵犯公民个人信息行为的打击力度,但是,如何厘定个人信息范围在司法中引发了持续的争议,而且仅从刑事法律领域是无法完满的解决该问题的,还需要各个法律部门和新兴法律的协同努力。
(五)小结
大数据反恐应用是反恐的利器。基于反恐情势的需要,大数据反恐应用必然要在我国相关立法和司法尚未准备充足时即进入视野。对于该问题的应对,不仅需要我们加速研究和立法、司法经验积累,以实现大数据反恐应用背景下有理论基础可循、有法可依的自由和安全的平衡。更需要在法律尚未成熟之时,大数据反恐应用的实施者和指挥者,在追求安全、秩序的同时,树立维权意识,审慎使用,主动避免权利的过度侵害。未来我国的反恐立法未必要对反恐大数据应用专门立法,但是在反恐的相应法律规范中,应考虑到大数据反恐应用中涉及的各种法律问题。从预防和惩治恐怖主义的外国刑法立法新趋势中可见由偏重经验立法向偏重超前立法的转变[18],大数据反恐应用的相关法律规范的草拟中也可参照借鉴该趋势,考虑超前立法,以适应未来的大数据技术发展和安全保障需求、维权需求。