大数据侦查中的个人信息保护纾困

陈月迷

（衢州市公安局 法制支队，浙江 衢州 322000）

一、问题的提出

信息技术革命席卷全球，互联网、大数据、信息技术将整个世界的底层逻辑重塑，社会结构和形态正在发生不可逆转的改变。在刑事领域，信息技术滋养了新的犯罪形态，并衍生出数字犯罪、网络犯罪等新型犯罪，而上述犯罪形态正以飞速发展的态势登堂入室。2018—2022 年利用网络实施犯罪被起诉人数达71.9 万人，年均上升43.3%，其中2022 年帮助信息网络犯罪活动罪被起诉人数跃居第三，可见利用新技术、新业态的犯罪已占据重要位置，倒逼侦查方式的迭代升级。[1]习近平总书记在2019 年全国公安工作会议上强调应将“大数据作为推动公安工作创新发展的大引擎”。[2]可见，大数据与传统侦查工作的契合度日渐攀升。

大数据侦查，即侦查机关采取的以大数据技术为核心的侦查行为，以大数据反哺侦查，跨越与新型犯罪的“代差”已成为势不可挡的发展态势。[3]与智能化、隐蔽化、无接触式的新型犯罪博弈对侦查机关汲取数据信息的能力提出了更高要求，使其不得不仰赖于大数据侦查，以突破传统侦查模式信息获取的藩篱，更好维护社会稳定和公民人身财产安全。大数据侦查虽然能高效全面地获取数据信息，但是个人信息隐私危机亦随之凸显。利用物联网、云计算等数字技术的大数据侦查建立全景式、全覆盖、全时域的数据获取网络，正对个人私域进行全方位的渗透。遗憾的是，当数字技术为侦查进行“数字赋能”的同时，法律上“技术赋权”却并未相应跟进，二者不对称性放大了大数据技术对公民个人信息权的蚕食，大数据侦查背景下公民个人信息保护亟待解决。本文立足大数据侦查的必要性，分析大数据侦查背景下个人信息保护的适用困境，进而构建个人信息保护的顶层进路、监督进路和救济进路，以期对大数据侦查中的个人信息保护有所裨益。

二、大数据侦查中个人信息保护的必要性

尽管大数据侦查在数据收集、挖掘、分析的过程中不可避免地会对个人信息造成威胁，但绝对禁止有因噎废食之嫌，面对居高不下的网络犯罪、新型犯罪，大数据侦查必不可少。然而，推动大数据侦查并不意味着默许其对个人信息的侵犯，两者如何有效兼容是当前值得考量的时代命题。

（一）大数据时代个人信息价值膨胀

罗斯科•庞德认为法律体系建立的目的是保护不同的利益，换言之，个人信息值得保护的原因是其内蕴之利益。[4]个人信息自其诞生伊始，便是内置财产属性的人格权，具有人格权和财产权的双重价值。[5]

个人信息包含姓名、性别、年龄等标识自然人特征的内容，天然具有人格权的表征。特别是在大数据时代，通过个人信息的累积，可以溯回行动轨迹、复原生活环境、勾勒性格特征。质言之，在数字时代里，个人信息数据就是自然人的另一个“人格”，其彰显之自由与尊严应得到保护。同时，个人信息又带有强烈的财产属性。尽管当前对于“个人信息财产化”的理论仍存争议，但个人信息具有商业价值已得到广泛承认。在大数据时代，个人信息的商业利用场景较为多元，以网络购物为例，网购平台通过收集个人购买记录、浏览网页内容等信息，为用户精准推送商品，以达到刺激消费、提高销量的目的。简言之，大数据的利用使得个人信息的双重属性被进一步放大，在拥有更为庞大高效的数据收集和处理技术后，个人信息的价值正呈几何式爆炸增长。

（二）大数据时代侦查权扩张

以算法为基座，以数据库、物联网等技术为脉络，大数据时代侦查权正在时间、空间、客体三个维度实现全面扩张。

1.侦查权的启动时间向前端扩张。传统侦查模式中侦查具有回溯性，即在犯罪事实发生后，侦查人员通过现场勘查、讯问犯罪嫌疑人等方式来进行时间回溯，从而探究既有事实的重现。然而在大数据时代，侦查权则从传统的回溯型向预测型过渡，即利用算法在海量数据中进行数据挖掘，并进行分析研判，从中剖析犯罪规律，以期对尚未发生的犯罪进行预警，这反映出侦查权在时间上的隐性扩张。

2.侦查权的空间范围向脱域化扩张。传统侦查模式通常由于地理位置所限，仅在特定的空间范围内进行，如侦查行为往往聚焦于犯罪行为发生地，具有明显的地域化特征。但在大数据时代，数据流动的脱域性为侦查权的脱域性背书，而网络犯罪，尤其是电信网络诈骗犯罪带有的浓厚脱域性特征亦加速推进侦查权的去地域化。职是之故，大数据时代下侦查权已突破传统的地域限制，呈现出物理空间与网络空间的双重脱域性。

3.侦查对象向不特定人扩张。传统侦查模式的“个案化”要求是控制侦查权扩张的阀门，侦查权的适用对象是特定的，仅对有犯罪嫌疑的特定对象及该对象的相关人员进行。[6]然而，物联网以“万物互联”为核心，数据库的独特价值即是对不特定主体的海量信息进行收集储存分析，故而大数据时代的侦查权背后的算法核心和技术支撑决定了其必然呈弥散化发展，由仅对特定主体进行的“闭合式”侦查转向对不特定主体进行的“开放式”侦查。这也符合了预测型侦查的要求，通过主动对数据库的不特定数据进行筛查分析，实现对犯罪的提前预测。

（三）大数据侦查侵犯个人信息的场景复杂

与传统侦查受制于时域性与地域性不同，大数据侦查因其独特的数字化、信息化技术呈现出全时段、脱域性的特征，其侵犯个人信息的场景也日趋复杂，主要表现在数据收集、数据挖掘和数据共享三个方面。

1.数据收集呈现全景式、全时段监控的特征。利用大数据进行数据分析和挖掘的前提是有充足的数据库。在信息时代，每个自然人在网络上浏览、发布信息都会留痕，这种数字留痕为数据库的储备提供了必要的技术基础。为获得全面准确的数据信息，公安机关除了向拥有数据信息的第三方调取以外，常见的模式还有构建警企合作平台，如厦门市公安局与阿里巴巴共同研发了“钱盾”反诈 APP[7]，内江市公安局与中国电信四川公司合作，借助魔镜慧眼平台开展铁路安全防控[8]等。这些第三方平台收集的数据涵盖金融、交通、通信等各个领域，侦查机关通过与第三方平台合作，实际上搭建起全景式、全时段的数据监控网络，在万物互联的信息时代，自然人的一切行为几乎都被监控网络实时收集、存储，成为后续数据挖掘分析的来源，扩大了作为自然人的个体和“数字利维坦”之间的鸿沟。[9]

2.数据挖掘将原本碎片化的信息拼凑出完整的“数据画像”。大数据的优势绝非仅仅依赖数据收集形成海量数据库，而是通过数据挖掘技术，将原本碎片化、孤岛式的信息进行整合联系，从而生成隐含在碎片数据“乱流”之下的深层信息。如在美国Maynard 案中，法官提出了“马赛克理论”（mosaic theory），马赛克理论将数据收集看作整体，尽管单个的碎片化信息并未侵犯个人隐私，但通过数据挖掘技术整合碎片化信息，能够进行“数字画像”，最终还原自然人的生活全貌，这是对公民信息的侵犯且更为隐蔽。[10]在传统的侦查中，侦查人员在公民住所进行搜查、询问等都是公民“期待”之内的，然而数据挖掘利用不可见的数字技术，挖掘出更为底层隐秘的私人信息，这已经超出了公民的“合理期待”，造成对公民个人信息权的侵犯。如美国Jones 案中，法院认为侦查过程中持续 28 天的GPS 行车监控侵犯了公民的个人信息权。在Carpenter 案中，法院进一步阐释，7 天的手机定位监控侵犯了个人对隐私的合理期待。简言之，公民在日常生活中的公开行为会因为数据挖掘技术连点成线。挖掘公民日常行为之下的深层隐私极易诱发公民对个人信息保护的不安全感和失控感。

3.粗放式的数据共享加剧信息泄露风险。为提高侦查工作效率，打击违法犯罪，打破“数据孤岛”，提高数据共享水平已经成为大势所趋。然而，当前粗放式的数据共享模式由于缺乏法律规制、共享机制不完善、数据安全技术不过关，无形中增加了个人信息泄露的风险。第一，公安机关内部的数据共享架构不完善。当前，“向数据要警力”已成为共识，各地均在努力实现由“汗水警务”向“智慧警务”的蜕变，推出一体化数据共享平台。如目前新警翼智能信息系统通过输入重点人口身份证即可查询其行动轨迹、旅馆入住情况等信息。[11]诚然，一体化数据共享平台对打破数据壁垒、提高侦查能力实有裨益，但同时由于数据管理不够严格，侦查人员通过平台获取个人信息的门槛较低，在“数字赋能”的同时带来“技术侵权”的隐患。如某派出所民警利用他人数字证书查询公安系统内公民个人信息 3670余条，并出售获利。[12]第二，公安机关和其他政府部门的数据共享机制尚有罅漏。在大共享背景下，公安机关与其他政府部门展开合作的案例越来越多。特别基层为实现惠民便民目的，二者共同搭建数据共享平台，实现数据融合。如某市将政府信息平台与公安相结合，对水电、医疗、民政等58 类近亿条数据进行共享。[13]但这种共享多是地方性协议，缺乏统一的监督管理，很难保证数据安全。第三，公安机关和企业的数据共享机制尚显粗放。大数据背景下侦查机关与企业合作的重要性不言而喻，通过与互联网龙头企业构建数据共享合作机制，能快速推进公安机关侦查工作，对隐蔽性高、技术含量高的新型犯罪侦破有着特殊作用。然而，侦查机关与企业的数据共享尚无统一的法律规范引导，侦查机关与企业数据共享的范围、审查机制、共享后的数据处理在实践中也较为粗放，使得侦查权的“数据赋能”和实践中个人信息的保护天平再一次倾斜。

三、大数据侦查中个人信息保护的适用困境

大数据时代加强个人信息保护、规范侦查程序之呼声比较强烈，但在实践中仍然存在法律规范缺位、监督及救济机制不完善的问题。

（一）大数据侦查中个人信息保护法律规范缺位

个人信息保护是一个宏观的、整体性的问题，亟需横跨多个部门法的法律原则进行调整，但刑事侦查权因其具有的强制性和打击犯罪的需要，在个人信息保护领域又需要设立不同的逻辑建构，予以特殊规制。[14]然而，纵观当前法律体系，能够适用于大数据侦查中的个人信息保护的法律条款较为陈旧，不甚明晰。

首先，在刑事领域，《中华人民共和国刑法》（以下简称《刑法》）规定的侵犯公民个人信息罪的入罪行为方式仅限于出售或非法提供，涵盖范围显然大大滞后于实际需要。在大数据背景下，侦查行为侵犯公民个人信息的节点前移，若仅仅规制出售和非法提供个人信息的行为，则更为普遍的数据收集、数据挖掘行为反而跳脱规制之外，恐陷入挂一漏万之泥淖，未能从根本上约束大数据侦查的扩张。另外《中华人民共和国刑事诉讼法》（以下简称《刑事诉讼法》）有关侦查行为中个人信息保护的条款有“陈旧”“模糊”之局限，殊未尽善。一方面，法律条款的内容陈旧，并未将大数据背景预设在内。其条款用语均为“保密”，如第54 条规定涉及个人隐私的证据应当予以保密，第152 条规定在采取技术侦查措施过程中知悉的个人隐私应予保密。显见与《刑法》一致均是在“出口”处进行设卡，要求侦查人员不得将个人信息予以泄露，但对信息收集、处理、分析的上游行为则并未有规制。另一方面，规定较为模糊，并未有明晰的程序规范予以规制。如第52 条仅概括性规定侦查人员必须按照法定程序收集证据，但对具体的大数据侦查的法定程序无论是在《刑事诉讼法》或是相关法律文件中都未有明确规定。概而言之，目前《刑法》和《刑事诉讼法》的制度设计滞后于大数据发展进程，其立法目的主要在于规制非法出售、提供个人信息的行为，而对当前数据收集、挖掘的行为则未有规制，亟需填补。

其次，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）的规定难以完全适用于大数据侦查中的个人信息保护。《个人信息保护法》在第三节专设国家机关处理个人信息的规定，显示了其法律效力意欲涵盖公私主体的立法愿景。然而，由于侦查行为的特殊性，《个人信息保护法》的规定实际上存在两方面问题。一方面，该法仅于第34 条规定了国家机关处理个人信息需满足必要性和合法性原则，较为笼统模糊，缺乏可操作性。[15]另一方面，第35 条规定的告知义务难以适用于大数据侦查中的个人信息保护。《个人信息保护法》采用了全球通用的“告知－同意”原则，但在第13 条、第18 条、第35 条为公权力的行使预留了豁口。国家机关原则上在处理个人信息时需遵循“告知－同意”原则，但（1）若为履行法定职责或者法定义务所必需可不经同意；（2）为履行法定职责或者有法律、行政法规规定应当保密或者不需要告知的情形的，可以不予告知。对大数据侦查而言，侦查机关只要是在履行法定职责，就可以突破《个人信息保护法》规定的“告知－同意”原则，相当于为侦查行为松绑。另外，“告知－同意”原则实质上也与侦查行为相悖。在传统侦查中，为确保侦查顺利，在涉及个人信息时通常会要求保密。大数据侦查并未改变传统侦查这一特性，由于大数据侦查涉及的信息体量庞大、覆盖面积极广、数据流繁杂，要实现“告知－同意”在技术上和成本上更加困难。

（二）大数据侦查的监督机制过于粗放

“有权力的人往往使用权力一直到遇有界限的地方才休止。要防止滥用权力，就必须以权力约束权力。”[16]职是之故，侦查权的行使需形成完备的监督机制，从而实现个人信息保护。然而，目前我国对于大数据侦查的监督较为有限，难以发挥应然效果。

从内部监督来看，对大数据侦查的内部监督主要依托于《公安机关办理刑事案件程序规定》第十节有关技术侦查的规定，由技侦部门制作呈请采取技术侦查措施报告书，报设区的市一级以上公安机关负责人批准。暂不论大数据侦查与技术侦查实有不同，若依照技术侦查的程序规定，决定进行侦查的所有流程均在公安机关内部流转，呈现出“监督的封闭性”，其实际监督效力难以保证。

从外部监督来看，则可从三个维度讨论。其一，检察机关作为法定的监督机关，其行使监督权毋庸置疑。然而，大数据侦查具有有别于传统侦查的“技术”特性，其涵盖大量涉及底层算法等带有技术壁垒的内容，对监督权的行使也设立了相应的技术门槛。[17]但实践中检察机关工作人员多为法律专业背景，对前沿信息处理技术较为陌生，难以回应技术要求，这也为监督带来现实阻力。其二，法院对侦查的司法监督在域外国家早已有之，如美国“司法令状主义”即要求在技术侦查前需要得到治安法官之同意。[18]我国法院对侦查过程中涉及个人信息处理的监督并未采取“司法令状主义”，而是适用非法证据排除规则。根据《刑事诉讼法》第56 条，大数据侦查中所收集处理的个人信息若不符合法定程序，并非一概排除，可以进行补正和合理解释。因此，在大数据侦查视域下，非法证据排除规则通常难以适用。其三，若抛开法院、检察院而设立第三方独立监督机构，则更为困难。由于侦查活动本身具有高度保密性，引入第三方监督机构会打破侦查行为的保密外壳，妨碍侦查人员法定职责的履行，不具有现实可行性。

（三）大数据侦查背景下个人信息受损救济机制匮乏

“无救济则无权利”的法谚揭示了若无完善的救济机制，就算法律明文规定了权利条款，该权利也不过是一纸空文。然而，当前我国有关大数据侦查导致个人信息受损的救济机制仍有留白，实践中公民个人寻求救济尚存困难。

首先，寻求救济的前提是知晓个人权利受损。正如《中华人民共和国民法典》中有关侵权条款规定诉讼时效的起算时间自知道或者应当知道权利被侵害之日起计算，反映出救济权之行使以知情权为前提，若不知情，则救济无从谈起。然而，上文业已提及，出于侦查活动保密性的特殊需要，“告知－同意”原则在大数据侦查中的异化适用导致公民在侦查活动中的知情权很难得到保障。通常数据的收集、挖掘、处理都在当事人并不知情的情况下进行，且由于大数据的特殊性，其往往牵涉的对象范围广，适用“告知－同意”原则的成本极高。因而在大数据侦查背景下，公民个人信息受损就因初始丧失知情权而难以得到救济。

其次，目前大数据侦查中个人信息受损的救济途径可以从诉讼救济路径与非诉讼救济路径两个方面来讨论。

1.从诉讼救济路径上看，由于大数据侦查对公民个人信息的侵犯发生于公民个人和侦查机关之间，不属于民法的管辖范畴，因而主要讨论刑事诉讼、行政诉讼和国家赔偿三条路径。对于刑事诉讼而言，《刑法》涉及大数据侦查的条款主要是侵犯公民个人信息罪，但侵犯公民个人信息罪入罪的行为要件是出售或非法提供个人信息，对于大数据侦查中广泛使用的数据收集和数据挖掘则并未有规定，因此实践中很难援引侵犯公民个人信息罪作为公民个人信息受损寻求救济的法律依据。对于行政诉讼而言，《中华人民共和国行政诉讼法》（以下简称《行政诉讼法》）第二章有关受案范围的规定并未明确公安机关的刑事侦查行为是否受《行政诉讼法》的管辖，但《最高人民法院关于执行〈中华人民共和国行政诉讼法〉若干问题的解释》第1 条明确规定：“‘公安、国家安全等机关依照刑事诉讼法的明确授权实施的行为’不属于人民法院行政诉讼的受案范围。”根据最高人民法院的解释，实践中公民无法以公安机关的大数据侦查行为侵犯个人信息为由提起行政诉讼。对于国家赔偿而言，《中华人民共和国国家赔偿法》（以下简称《国家赔偿法》）第三章专章规定了刑事赔偿，第17、18 条明确规定行使侦查权过程中侵犯公民人身、财产权的，受害人有权获得赔偿。个人信息权尽管兼具人格权和财产权的双重属性，但根据文义解释，第17 条所指的人身权主要为人身自由权、生命健康权，而第18 条所指的财产权则指的是被违法查封、扣押、冻结的财物及因再审改判无罪，而已经被执行的财产。换言之，个人信息权并非《国家赔偿法》第三章所囊括的人身权或财产权，难以依据《国家赔偿法》得到救济。另外，个人信息被侦查机关获取、解读的法益侵犯是否能与《国家赔偿法》规定的剥夺人身自由、生命健康受损等相提并论亦有待商榷。职是之故，诉讼救济之路径已为梗阻，实际上公民难以通过诉讼路径而获得救济，只能寻求非诉讼救济路径。

2.从非诉讼救济路径上看，主要指的是申诉权。《刑事诉讼法》第117 条规定，当事人有权就侦查活动中违规查封、扣押、冻结财物向公安机关提出申诉或者控告。个人信息由于其特殊性，是否能归为“财物”仍有争议，大数据侦查中涉及的数据收集和挖掘与条款中规定的“查封、扣押、冻结”亦不同，因而实践中难以适用此条款来进行申诉。

四、大数据侦查中个人信息保护规则设计

为弥合“数据赋能”和“技术赋权”之间的鸿沟，最大限度实现大数据侦查中个人信息的保护，提高公民的个人信息安全感和可控感，可以通过顶层赋权、监督赋权、救济赋权三条路径来构建个人信息保护规则框架。

（一）顶层赋权：完善大数据侦查下的个人信息保护法律规范

1.明确大数据侦查的法律属性

大数据侦查作为大数据时代的产物，其法律属性并未得到阐明。基于此，首先应当明晰大数据侦查的法律属性。大数据侦查以数据算法为依托，通过数据收集、数据挖掘、数据分析实现侦查目的。与大数据侦查较为相近的是技术侦查，但二者仍存在较大差距。从适用时间而言，大数据侦查的特点之一即是适用的“超前性”，其犯罪预测的功能决定了其开展的时间节点早于立案，而技术侦查则要求在立案之后方能进行。从适用范围而言，《刑事诉讼法》就技术侦查适用的范围进行了严格划定，仅能对危害国家安全等几类特定罪名适用，《公安机关办理刑事案件程序规定》也明确规定了技术侦查的适用罪名，主要是适用于重大犯罪，而大数据侦查应用范围更广。从适用对象而言，技术侦查只能对特定对象适用，而大数据侦查的适用对象则具有散逸性，可以对不特定的多数人适用。另外，技术侦查和大数据侦查的技术手段也较为不同，技术侦查更偏向于静态的监控，而大数据侦查则更为全面，囊括了数据收集、挖掘和处理，较技术侦查更具有主动性和动态性。[19]因此，大数据侦查应当作为新型侦查措施予以单独规制。

侦查措施根据对公民权利干预程度可以分为任意性措施和强制性措施。任意性措施是在取得公民同意的前提下进行，而强制性措施则不以当事人的意思为转移，是对公民权利的强制处分。对于大数据侦查而言，由于“告知－同意”原则的部分豁免，在数据收集、挖掘、分析的过程中，公民信息自决权无法得到保证，个人信息权受到侵犯。因此，大数据侦查是强制性措施的一种，出于程序法定原则，应在《刑事诉讼法》中对大数据侦查的程序进行详细规定，同时在《刑法》中将利用大数据技术的行为纳入框架，将仍滞留在小数据时代的法律规范进行迭代升级，将大数据侦查并入法治轨道。

2.厘清大数据侦查的基本原则

实现大数据侦查与公民信息权的合理平衡，离不开基本原则的指引。当前，大数据侦查应当遵循比例原则、分类原则以及修正后的“告知－同意”原则。

首先，引入比例原则。滥觞于德国，比例原则作为公法中的“帝王条款”，是对“权利限制的限制”，旨在平衡公法中作为国家机器的公权力和个人之间的权力差距，以达到限制裁量权的任意行使，保护人权的目的。[20]比例原则是侦查程序中的一项基本原则，在大数据侦查中引入比例原则，为过度扩张的侦查权系上“安全带”，确保侦查人员保持谦抑的权力行使模式，最大程度减少对公民的权利侵害。[21]具言之，在进行大数据侦查时，侦查人员需满足比例原则的三个子原则。第一，适当性原则，即权利限制必须符合目的。这是对大数据侦查启动的限制，要求侦查人员在开启大数据侦查这个“阀门”之前，必须有打击犯罪的具体或者概括的目的，即侦查人员必须是出于具体个案的需要，或是犯罪预测而开展大数据侦查。第二，必要性原则，又称最小必要原则，即对公民的权利限制最小化，要求侦查人员将数据收集的对象、时间范围、空间范围、种类限缩到最小。第三，均衡性原则，即采取的侦查手段需要与侦查目的相均衡，实现“手段－目的”的耦合，要求侦查人员衡平数据收集、挖掘、处理的深度广度和所要达成的目的，尽可能避免二者的错位失衡。

其次，引入分类原则。我国《个人信息保护法》第28 条通过“概括+列举”的方式对个人信息以敏感性与否作出分类，其以个人信息泄露或非法使用造成的损害为标准，列举了包括生物识别在内的六种信息及不满十四周岁未成年人的信息为敏感信息，并以“等”作为兜底。前文提到《个人信息保护法》的适用涵盖了国家机关的行为，由是观之，侦查机关在侦查活动中对个人信息的保护可以依据该法第28 条的规定，将个人信息分为敏感个人信息和一般个人信息，并依据分类规定不同等级的程序规范。

最后，引入修正的“告知－同意”原则，为大数据侦查的合理性背书。上文提及“告知－同意”原则无法完全适用于大数据侦查领域，但其内蕴的保护公民知情权和同意权的价值不容忽视。职是之故，需要对“告知－同意”原则进行“本土化”修正。第一，采取“提前告知－同意模式”，即将“告知－同意”的时间提前至数据收集时。这主要是针对侦查机关自身进行数据收集时，如公安机关在进行人口管理时收集必要的个人信息过程中就告知公民收集到的信息会用于日后打击犯罪的目的。第二，采取“迟延告知－同意模式”，即当妨碍侦查的场景结束后，侦查机关应将数据收集、挖掘、处理的内容告知公民，尽可能保障公民的知情权。第三，采取“分类告知－同意模式”，对个人敏感信息，需要采取负面清单式的“告知－同意”规则，不能完全豁免。除非是出于侦查的必要，履行“告知－同意”义务会妨碍侦查行为正常进行的，对个人敏感信息的收集处理需要遵循“告知－同意”原则。

（二）监督赋权：构建大数据侦查的混合监督机制

任何没有监督的权力都会导致滥用，建立健全监督机制是限制公权力行使的必要方式。

1.细化内部全过程监督机制

公安机关内部对技术侦查已经形成较为规范的审批机制，大数据侦查可以参考技术侦查审批模式，融合大数据的特殊背景，构建针对大数据侦查的内部监督机制。在事前监督阶段，由侦查部门负责人提交书面数据收集调取申请书，并由审核人员针对收集信息的范围、用途、时间等作详细审查，依照内部审批程序逐层报批，最后经单位负责人批准同意后方可执行。另外，为满足大数据侦查的“技术阈值”，除一般审批人员外，还需配备具备数字技术专业背景的技术人员辅助，从而对侦查过程中使用的大数据技术进行详细分析评价，得出综合判断结论。在事中监督阶段，应对侦查过程中的数据收集、挖掘、处理进行全过程录音录像，并建档留痕，以便及时审查。由技术审批人员全程跟踪，并对违法违规的行为进行监督处理。在事后监督阶段，对案件卷宗进行审查，确保侦查过程合法合规。

2.健全外部监督机制

除公安机关内部监督外，健全外部监督机制亦必不可少。一方面，作为行使监督权的检察院应当对大数据侦查进行监督。在侦查阶段，检察院可以对侦查行为是否符合比例原则、侦查过程是否符合程序正义等内容进行监督，并就违法违规行为出具告知书，督促侦查机关予以纠正。在审查起诉阶段，检察院可以就案件卷宗对侦查过程的书面材料予以审查，特别是对涉及个人敏感信息的部分进行重点监督。针对检察院“技术属性”欠缺的问题，可以抽调与大数据较为密切的经侦科人员通过检企合作等模式，学习专业技术能力，提高技术水平。另一方面，加大法院在外部监督中的作用。在事前监督方面，可以针对个人敏感信息实行特殊的“司法令状主义”，逐步建立司法审查机制。由于一般个人信息的敏感程度较低，如手机号码、浏览网页内容等，公民对该信息的保密期望度低，采取较为简单的内部审批模式能更好地平衡侦查需要与个人信息保护。但对于个人敏感信息，单纯的内部审批模式不足以实现“手段－目的”的衡平，此时由中立的法院来行使事前审批权较为合适。在事后监督方面，法院应当对经大数据侦查取得的证据适用非法证据排除规则，确保取证的程序合法合规。

（三）救济赋权：拓宽大数据侦查侵犯个人信息的救济途径

缺乏救济的权利是虚假的权利，唯有通过救济赋权，完善个人信息侵权的救济途径，个人信息方能不仅仅是信息，而能被冠之以“权”。

首先，铺陈完善的司法救济途径。第一，在《刑法》第253 条侵犯公民个人信息罪中增加大数据侦查的内容，将大数据侦查过程中不合理进行数据收集、数据挖掘和数据分析的行为纳入《刑法》规制体系，从而赋予当事人通过刑事诉讼获得救济的权利。第二，在《刑事诉讼法》中专列大数据侦查，与技术侦查作出区分，对大数据侦查的主体要求、程序要求等进行规定，以期纲举目张，后续通过行政法规等对此进行进一步细化完善，借此规范侦查人员行为，并为当事人寻求救济提供法律依据。第三，在《国家赔偿法》中加入侵犯公民个人信息权的赔偿规定，打破传统的“人身－财产”二元赔偿模式，引入个人信息赔偿权，从而搭建起个人信息侵权的司法救济三角结构。

其次，构建合理的非司法救济途径，主要是赋予当事人申诉权。对侦查过程中侵犯公民个人信息的行为，公民有权向上一级公安机关提出申诉，或向同级的检察机关申请法律监督。公安机关内部可以设置单独的大数据侦查申诉审核小组，由法制和网安各抽调成员组成，且之前参与审批的人员不得参与审核，实行回避。检察院在收到法律监督申请后，应及时作出回应，根据实际情况采取措施。

最后，完善集团诉讼制度。由于大数据侦查脱域性、全时空等特征，其一旦造成侵害，侵害也具有相应特点，单个当事人逐一提出诉讼显然不符合诉讼经济效益和诉讼便宜效益，因而对于大数据侦查对“大规模群体造成微型侵害”的行为[22]，可以完善集团诉讼机制，实现公平和效率的统一。

五、结语

大数据滥觞于二十世纪八十年代，预告了大数据时代的分娩。以云计算、物联网等为基架的大数据侦查是大数据时代侦查工作与时俱进、发展创新的产物，在打击网络犯罪、高科技犯罪等领域建功卓著。然而，当前日新月异的大数据侦查“数字赋能”的同时，个人信息的“技术赋权”却落后一步，为解决当前“权力－权利”不对称的困境，解救个人信息权于“数字囚笼”，可以通过完善个人信息保护法律法规、构建混合监督模式、建构个人信息侵权的双重救济途径三个方面，架起立体防御工事，廓清大数据侦查的法律属性及程序规范，消弭大数据技术不断发展与个人信息权利保护之间的矛盾，让大数据侦查在规范的轨道上运行。通过多角度、多维度的全面建设，个人信息的“技术赋权”终将实现与“数字赋能”的耦合。