经由大数据的警察执法与公民个人信息保护

欧顺芳

（广西警察学院，广西 南宁 530029）

随着大数据、人工智能在警察执法过程中的广泛运用以及“金盾”工程、天网工程、雪亮工程与智慧警务的建设，警察在执法过程中可以及时预防并有力打击违法犯罪行为，有效提高执法的效率。不过，科技的发展是一把双刃剑，在不断提升警察执法效能的同时，大规模监控、DNA 比对、犯罪预测等警务数据的运用，导致公民个人信息权益被无形侵害的问题越发突出[1]。警察权和公民个人信息权益具有密切关联，因智慧警务引起的警察权与公民个人信息权益保护之间的失衡，亟需法治天平的再平衡。

一、大数据在警察执法中的运用

（一）公安自建数据库的大数据

目前，在我国涉及公民个人信息所进行的社会治理基础设施建设中，“金盾”工程、天网工程与雪亮工程可谓其中的典型代表，但是，它们各自在数据收集的程度与类型上有所不同。“金盾”工程，又名公安通信网络与计算机信息系统建设工程，主要用于从整体上对公安机关信息化进行建构。一期工程的建设主要针对公安网络平台与基础通信设施；二期工程主要集中于数据资源库的建设，以信息化平台为基础，对信息资源进行管理和共享。“金盾”工程，建设了包含八大主要信息库与上千类子信息库的全国类数据库，使得信息化系统得以更广更深地应用，其核心目标是服务于基层实战。天网工程，则是为了预防和打击犯罪而安装的实时监控系统，以便获得实时的影像资料，并实现对影像的显示、监控和传输等。雪亮工程，相当于天网工程向农村地区的延伸，主要覆盖农村地区。公安自建的数据库，为警察执法提供了大量的数据信息[2]。

（二）其他政府部门共享的数据

除了公安机关，其他政府部门建立的信息数据平台的数据，均可成为公安机关共享并进行警务挖掘的重要对象。例如，统计部门在2020 年的人口普查中，统计了涵盖大量个人信息内容的信息（姓名、年龄、性别、民族、婚姻、房产、社会保障等），这些都是警务挖掘的很好的数据来源。随着“实名制”越来越严格，政府各职能部门对个人信息的收集也越来越精准可靠。这极大满足了警察执法过程中对数据挖掘的需求和基础。

（三）来自非政府部门的第三方机构的大数据

在互联网时代，信息技术和大数据存在于社会生活的各个方面，形成了不同形式的大数据源，它们也是警察执法的信息和线索来源。例如，随着各种形式的平安社区的建设，大量的社区安装了监控系统。同时，各商业单位和个人对监控摄像头的需求也日益增加。此外，电信运营商、网络公司、电子商务公司等企业，也储存了海量的用户信息。这些信息涵盖了个人基本信息、家庭信息，各类交友和职业信息等，据此可以勾勒出个体的生活、职业等方面的图像。这些社会面的大数据，都可能成为警务数据挖掘的重要对象[3]。

二、大数据时代警察执法与公民个人信息的关系

（一）个人信息概述

法律规范中与个人信息内容相关的有一百多部。其中，对个人信息的概念进行明确规定的有《中华人民共和国个人信息保护法》第四条①《中华人民共和国个人信息保护法》第四条规定：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。，《中华人民共和国民法典》第一千零三十四条第二款，《中华人民共和国网络安全法》第七十六条第五款等。其他的法律、法规、司法解释也对“个人信息”做了界定，例如《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条对《中华人民共和国刑法》第二百五十三条之一规定的“公民个人信息”的具体解释，《侵害消费者权益行为处罚办法》第十一条，《信息安全技术公共及商用服务信息系统个人信息保护指南》第3.2 款，《电信和互联网用户个人信息保护规定》第四条等。综合我国有关个人信息的法律定义，可以发现，界定“个人信息”的两个核心要件为“可识别性”与“关联性”。“可识别性”，指通过单独信息或结合其他信息可以识别自然人的身份。“关联性”则指个人信息应和特定自然人的身份有关联性。可以单独直接识别信息主体身份的信息有个人身份证号码、个人肖像、社会保险号、电子邮件地址等，其他不可以单独识别但可以和其他信息相结合并能间接识别身份的信息有网络协议（IP）地址、移动终端号等。

宪法视域下，个人信息已被纳入保障范围。《中华人民共和国宪法》第三十八条不仅保护关联人格价值的那些不被侵犯的权利，如隐私权即所谓狭义的人格权，还保护生命、精神、身体和那些与个人生活密切相关的权利与利益②《中华人民共和国宪法》第三十八条规定：中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。。从国家视角看，个人信息具有的公共价值与公民在国家生活与社会秩序里的定位息息相关，并直接影响个人基本权利行使的资格与方式，例如劳动权、选举权、受教育权。换句话说，个人要想在国家中生存，离不开一定个人信息的传输、流通，否则，国家将很难对公民进行身份标识与利益分配，相对应的，个人也很难在一个对自己什么都不知道的共同体中做出理智的判断。从社会视角看，一些个人信息可以折射出相应信息主体的个体特征，从而让一些独立的个人信息可以流通并被使用，进而具有一定的财产性的价值。从个人视角看，个人信息的核心价值内涵乃立足于其精神性的人格价值。个人信息建构了人在自我表达与社会交往中的人格图像，影响到公民的自我评价、社会评价与理性的自主发展。从宪法的文本来看，宪法条文中的“人格尊严”规定与个人信息中的精神性人格具有很大的关联，保护个人信息正是立足于个人信息之精神性人格价值，因此，有正当的规范基础与充分的价值基础，将个人信息纳入人格尊严条款的保障范围[4]。正因如此，有学者也主张“个人信息保护发端于个人基本权利（人权）保护，保护的是人的尊严所派生出的个人自治、身份利益、平等利益”[5]。大数据时代背景下，不论警务数据是来源于公安自建数据库，还是来自其他政府部门的数据库，抑或是来自非政府部门的第三方机构的大数据，警察执法过程中会涉及大量个人信息的收集和运用，例如人口信息、指纹、足印、人像、在逃人员信息、DNA、金融账户、医疗信息、空间位置数据、视频数据、射频（RFID）数据、社交网络及移动互联网数据等。

目前，法律对个人信息的保护，已经涵盖民事、行政和刑事领域，基本形成了个人信息保护的体系化立法格局。其中，有《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国民法典》《中华人民共和国刑法》《中华人民共和国网络安全法》《中华人民共和国反恐怖主义法》《中华人民共和国消费者权益保护法》《中华人民共和国居民身份证法》等法律，有《互联网信息服务管理办法》《中华人民共和国电信条例》《中华人民共和国治安管理处罚法》等行政法规，有《电信和互联网用户个人信息保护规定》《国家统计信息网络管理暂行规定》《侵害消费者权益行为处罚办法》《公安机关办理行政案件程序规定》《公安机关办理刑事案件程序规定》《儿童个人信息网络保护规定》等部门规章，有《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》等司法解释。还有《互联网个人信息安全保护指南》，《全国人民代表大会常务委员会关于加强网络信息保护的决定》，中央网信办、工业和信息化部、公安部、市场监管总局联合发布的《关于开展App 违法违规收集使用个人信息专项治理的公告》，国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅印发的《App 违法违规收集使用个人信息行为认定方法》等其他规范性文件以及相关警务政策文件，这些一起形成了警察收集、运用个人信息的规范体系。

（二）警察执法中运用公民个人信息的授权性规定

大数据背景下的警察执法过程中，运用公民个人信息具有宪法上的规范依据。首先，从警察权行使的角度看，根据警察权的理论，警察权蕴含着在行使警察权时具有收集、运用一定个人信息的权力。所以，警察在落实《中华人民共和国宪法》第二十八条①《中华人民共和国宪法》第二十八条规定：国家维护社会秩序，镇压叛国和其他危害国家安全的犯罪活动，制裁危害社会治安、破坏社会主义经济和其他犯罪的活动，惩办和改造犯罪分子。规定的国家目标时，肯定离不开对个人信息的收集与运用。其次，《中华人民共和国宪法》第五十一条②《中华人民共和国宪法》第五十一条规定：中华人民共和国公民在行使自由和权利的时候，不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。，作为一个“概括限制条款”，从规范体系的角度看，上承相关权利条款，下启有关义务规范，可以对基本权利进行一般性限制。这一条不但具有禁止滥用权力和限制基本权利的规范基础功能，而且还在保护公民基本权利的大框架里，进一步明确规范方向，同时具备约束公权力和限定个人自由“交互效果”的功能。根据宪法学通说，这条规定意指对基本权利予以限制的前提条件是防止公共利益遭受侵害，以平衡利益主体间的权利。当然，立法者也不能以公共利益之名随意限制基本权利，其内在具备“限制的限制”功能[4]78-98。再次，部分法律也对警察在执法过程中收集、运用公民个人信息做了授权规定。如《中华人民共和国个人信息保护法》第三十四条①《中华人民共和国个人信息保护法》第三十四条：国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。，《中华人民共和国数据安全法》第三十五条，《中华人民共和国反恐怖主义法》第五十条，《中华人民共和国国家安全法》第五十二条，都规定公安机关有权基于法定职责，依据法律、行政法规规定的权限与程序依法采集、处理个人信息。最后，部分行政法规、部门规章、司法解释等对警察在执法过程中采集、运用公民个人信息也做了相应规定。如《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第三条，就规定公安机关有权依法向有关单位和个人收集、调取电子数据；《中华人民共和国电信条例》第六十六条规定公安机关基于国家安全或侦查工作需要，有权依照法律规定的程序对电信内容进行检查。所以，大数据背景下运用公民个人信息的警务实践具有合法性。

（三）警务大数据运用与个人信息保护的冲突

一方面，警务大数据的运用可以有效保护公民个人信息。大数据背景下，警察在执法过程中，既具有公民个人信息收集和使用者的身份，同时也有保护公民个人信息安全的职责。警察开展执法活动，不仅要保障公民个人信息安全，督促相关个人、组织合法收集与使用个人信息，维护信息主体的基本权利，还要合法地对个人信息安全进行保护，监控各种违法犯罪信息的来源，打击侵害公民个人信息权益的违法犯罪行为。

另一方面，警务大数据的收集、使用与个人信息保护存在一定的冲突。公安机关作为主要的数据使用权力主体之一，大规模的集聚与运用个人信息开展相应执法活动的行为，成为个人信息最主要的侵害风险源之一。首先，警务大数据的运用往往伴随监控个人的风险，个人信息极易被警察过度挖掘。以公安机关在侦查过程中汇总手机基站信息为例，通过强化大数据时代的留痕能力与数据挖掘技术，警察可以描摹完整的数字人格，解析相关主体化信息如社会关系、宗教信仰、性取向等信息，很容易对信息自主和人性尊严造成侵害。其次，个人信息的聚沙成塔引发“数据垄断”背景下的信息处理者和个体间极度不对称的权力结构，让作为主要信息处理机构之一的公安机关对个体形成的压迫感越来越强烈，民众极易陷入被“老大哥”窥探的焦虑，增强了个人的无力感，极有可能引发“寒蝉效应”。再者，这种数据累积性效应，一方面导致个人很难判断风险发生的时间点、后续效应和危害程度，另一方面导致事后的损害认定极为困难，个人通常难以独自开展相应的救济程序。最后，在技术条件和制度环境不完善的当下，警务数据处理过程中的疏忽、泄露等相关的信息安全风险和伴随的衍生损害也逐渐增加，个体的不安全感逐渐上升[6]。近年来，公安民警、辅警非法查询、泄露、出售公民个人信息的案件屡见不鲜，威胁到公民个人信息的安全②例如，江西省某市公安局交管大队某中队中队长高某，长期将自己及中队民警李某某的数字证书放置在该中队一楼接处警电脑旁边的办公抽屉内，供该中队辅警工作使用。2016 年11 月至2017 年4 月期间，该中队辅警陈某某利用在中队值班期间，趁人不备多次使用高某和李某某的数字证书，查询车辆档案信息及驾驶员信息，并先后多次在互联网上进行贩卖，非法获利6 万余元。后陈某某被人民法院依法判处相应刑罚。。

总的来看，个人信息不单单仅有个人主义的面向，同时也具有公共价值。信息社会的发展，要求对公民个人信息积极合理利用，也要充分、审慎保护。平衡政府监控和个人信息保护间的关系，从宏观层面看，合理利用个人信息对一国发展大数据、物联网、人工智能等现代信息技术产业具有重大意义。于大数据在警察执法中的运用而言，公安机关有效开展治安管理与打击违法犯罪工作的基础，必然建立在对大量个人信息掌握的基础上。无法想象，如果公安机关对管辖区域内的公民一无所知，又如何有效开展治安管理与犯罪预防工作？此外，无序、过度收集和运用公民个人信息将导致公民主体资格的丧失，容易使公民沦为信息社会的客体，将严重抑制创新开放的社会发展动能。从微观层面看，个人信息权益作为一种新型权利，日益成为一种重要的应对现代信息社会的法律规范工具[7]。因此，在警察执法过程中收集、运用公民个人信息，不仅需要科学技术的发展，还要对制度进行合理设计，以平衡对个人信息的收集运用与保护之间的关系。

三、警察大数据执法与个人信息保护冲突的原因分析

（一）实体法规定不完善

以现行法律规范看，主要通过个人信息数据保护的有关立法对个人信息数据处理行为予以规范。例如，《中华人民共和国个人信息法》规定了对个人信息处理应遵循最小必要原则，禁止过度收集个人信息、处理敏感信息，还特别针对公共场所的生物特征信息与国家机关处理个人信息等方面做了特别规定。《中华人民共和国网络安全法》和《中华人民共和国民法典》规定了个人信息自决、不得过度使用、个人信息合法正当与必要原则等。《中华人民共和国数据安全法》明确规定：公安机关基于维护国家安全或侦查的需要，有权调取数据，有关组织、个人应该予以配合；应在法定职责的范围内，根据法律、行政法规的相关规定进行；同时，还应履行好数据安全监管职责，对在履职过程中知悉的个人信息，应依法保密，不得泄露或向他人非法提供。《中华人民共和国国家安全法》也规定，在依法搜集涉及国家安全的情报信息的过程中，不得超越与滥用职权，也不得侵犯个人与组织的合法权益。

从立法层面看，上述规定的内容是规范警察执法中的数据行为的主要依据。但是，这类法律规范更多地是站在保护个人信息数据的角度，确立保护个人信息的相应原则和规则，就警察数据行为中警察权的运行而言，法律法规的相关规定相对宽泛，即仅宽泛地规定警察具有数据收集、运用的权限，属于概括性授权，而用专门法律比如《中华人民共和国警察法》对警察数据行为进行专门规定的情形非常少。也有部分其他法律的规定有助于公民个人信息的保护，例如《中华人民共和国反恐怖主义法》第四十五条的规定①《中华人民共和国反恐怖主义法》第四十五条规定：公安机关、国家安全机关、军事机关在其职责范围内，因反恐怖主义情报信息工作的需要，根据国家有关规定，经过严格的批准手续，可以采取技术侦察措施。依照前款规定获取的材料，只能用于反恐怖主义应对处置和对恐怖活动犯罪、极端主义犯罪的侦查、起诉和审判，不得用于其他用途。，在我国法律体系里第一次明确了将技术侦查措施应用于情报信息工作中，并明确限定了被收集的各类信息在情报信息工作中的特定用途。但是，此规定仅可以视为概括性授权，原因在于仅仅依靠一条规定，难以细化在情报信息收集过程中的秘密监控，应该适用哪些对象与范围，可以使用何种救济与监督机制等。而“根据国家有关规定”究竟是哪些规定，也值得进一步思考。立法机关认为，此“国家有关规定”即《中华人民共和国宪法》《中华人民共和国刑事诉讼法》等本法以及与其他法律、行政法规、有关国家规定。该列举并没有清晰界定“有关规定”的范围，是一种不完全列举，在警察执法实践中，技术侦查部门遵照的诸多不对外公开的政策性文件、内部规范性文件貌似也属于“有关规定”，而很多此类文件处于保密状态，社会公众无法知晓，违反了合法性原则，与法治社会的基本要求相违背，极易造成对公民个人信息权益的干预，并导致大规模、无节制的滥用。

（二）相关程序法的缺失

首先，现有法律规定对警察执法过程中如何运用大数据缺乏详尽的程序性规范，容易导致警察执法不规范，最终不利于对公民个人信息的保护。以个人信息保护的专项立法《中华人民共和国个人信息保护法》来看，尽管第三十四条规定了国家机关有权基于法定职责的履行，按照法律、行政法规规定的权限与程序处理个人信息，但对于公安机关作为主要的个人信息处理者之一，如何设定其与个人权利义务的关系结构，如何落实程序性保障，目前相应的程序性规定较少，尚需立法予以回应。从特别授权规范角度看，现有的法律规范主要有《中华人民共和国刑事诉讼法》《公安机关办理行政案件程序规定》《公安机关办理刑事案件程序规定》《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》《公安机关办理刑事案件电子数据取证规则》等。《中华人民共和国刑事诉讼法》《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》《公安机关办理刑事案件程序规定》等法律规范都已将电子数据当作一类独立证据，但相对应的警察实施的对信息、数据的收集、处理等治安调查或法定侦查措施并不清晰。以现有的法律规范看，搜查、扣押、技术侦查等措施是和信息、数据的收集、处理有关的主要程序措施。若进一步思考，搜查乃针对特定人的住处、身体、物品等实施的搜索，在这一过程中，若发现有关证据，则实施扣押行为。就信息、数据的收集、处理而言，其针对的对象是信息和数据，与搜集、扣押有所区别的是，它很难达到被搜查人或见证人应在场的要求，对于数据收集处理行为，相关数据主体在大多数情况下，是不知情的。就技术侦查的类型而言，其措施更为注重侦查手段的即时性与技术性，与数据处理行为亦有不同。此外，也是非常重要的一点，无论是一般的犯罪行为还是行政案件，都无法适用技术侦查，只有特定的犯罪行为才能适用。因此，刑事侦查以外的信息、数据的收集、处理也没法被纳入技术侦查的范围。不管是大数据侦查还是大数据治安中的信息数据的收集、处理，都和治安调查措施或者技术侦查、搜查、扣押等法定侦查在本质属性上存在区别。

其次，《中华人民共和国网络安全法》和《中华人民共和国反恐怖主义法》规定提供信息数据服务的主体如互联网服务提供者、电信业务经营者须为警察开展技术侦查工作与其他信息监控工作在技术方面予以支持和协助。同时，对于用户网络日志，网络运营者须留存不低于六个月。此类规定属于对警察的宽泛授权，即警察执法可以利用元数据和社会机构的数据。不过，于电信或网络服务提供者而言，法律法规并未明确规定他们怎样支持和协助执法、司法。与之对应的，这些机构应在什么情况下，以什么方式将其留存的元数据和个人信息交给警察使用，也缺少明确的规定。

此外，形成于政府管理中的各领域数据库，逐渐成为治安防控和犯罪治理工作的主要支撑力量，大大提高了警察执法的质量和效率。然而，一方面，基于公共利益（例如犯罪侦查、国家安全）的数据协助义务，让在政府管理过程中形成的数据（包括商用数据与公民个人数据）可以向公安机关单向流动，但因为公安机关具有的既能自批也能自执的支配性力量，不能保障数据间的单向流动之合法性与必要性。另一方面，因为政府不同部门间的数据共享规则不明确，受地方利益、部门利益的牵制，部门之间的数据共享裹足不前，加上相关法律规范对部门间的信息共享的方式、范围、程度缺乏明晰的规定，直接影响到警察执法对个人信息的有效利用。

（三）部分执法行为对个人信息的收集使用违反比例原则

从警察执法是否遵守比例原则的角度看，不管是刑诉中刑事司法领域的秘密监控的运用，或是相关法律中针对国家安全事务与情报信息所采取的种种信息监控手段，都需要进一步完善。比例原则，即行政机关行使行政自由裁量权时，应当在全面衡量公益与私益的基础上选择对行政管理相对人侵害最小的适当方式进行，不能超过必要限度。比例原则包含三项子原则：适当性原则、必要性原则、衡量性原则[8]。其中的必要性原则要求实施行政行为时，面对可达目的的、可供选择的多种手段时，应尽量采用对人民利益影响最小的手段，即不能超出实现目的的必要限度。概言之，比例原则已成为约束公权力，保障公权力合法行使的重要公法原则。以《中华人民共和国刑事诉讼法》为例，存在以下较为突出的问题。首先，关于四大类的技术侦查措施，适用时笼统的采用相同的审批程序，而没有根据干预个人信息权益的不同程度予以分层规范，违反了比例原则的要求。其次，适用技术侦查措施时，没有严格遵守最后手段原则，更多情况下，仅仅基于犯罪侦查的需要，只要侦查的案件属于重罪案件，就可以直接适用。最后，关于适用对象，目前，法律法规并未详细规定怎样将技术侦查措施的使用限定在特定主体范围内，即与犯罪活动直接相关的主体问题尚需进一步细化。通过查询监控记录与相关数据库，在此基础上进行比对、分析，在对大量数据大海捞针式的处理过程中，会将众多无辜公民的个人信息卷入其中，纵使最后锁定了案件的犯罪嫌疑人，这样的警察执法方式的目的正当性存疑。

不仅如此，对于《中华人民共和国反恐怖主义法》《中华人民共和国反间谍法》中，立案前对情报信息收集若使用技术侦查措施，也要严格遵守比例原则的基本要求，禁止采用撒网式的规模巨大的监控模式，在具有一定根据的前提下才能启动相应的技术侦查措施。《中华人民共和国反恐怖主义法》和《中华人民共和国网络安全法》附加给网络运营者相应的协助义务，即为警察执法提供相应的技术接口与协助。按照比例原则，网络运营者应逐案提供相应的技术协助。假若网络运营者把全部的网络存储数据都交给国家安全机关、公安机关，也就为执法机关利用网络存储数据和网络空间大规模监控提供了可能，纵使最后也会找到少量的情报或犯罪线索，但执法机关采取大范围干预公民基本权利的手段与最后的工作结果严重失衡，与比例原则不符。

另一新型法律难题则是关于第三方理论和元数据，这与看待此类信息来源过程的角度相关联。若我们将观察信息流动过程的角度转变到保护个人信息权益，会发现两者应遵循一样的权力规制程序。关于第三方理论，信息社会中个人因为参与社会活动的需要，基于特定授权使用之目的，把个人信息交给社会第三方主体保管和使用。警察基于执法的需要，对第三方机构存储的个人信息加以利用，已超出个人初始的授权目的，这是授权目的的变更，须遵守相应的法律规范。换言之，警察利用第三方机构存储的信息开展执法活动，必须具有合法、正当的目的，以一定的怀疑为其干预基础，严格按比例原则执法。如果从干预个人信息权益的视角看待元数据问题，可以得到相似的结论。具体而言，信息的内容可以反映出个人的思想、行为与特征，而元数据经过大数据的深度挖掘后，往往可以还原出关于个人更加全面的特征和日常生活方式。站在保护公民个体自治、个人尊严的视角，两者应得到同等重视，以法律规制的视角而言，信息内容和基于大数据对元数据的挖掘行为，两者不应该被区分。这也就意味着在遵守比例原则时，应为两者制定相同的权力规制的规则。

此外，对敏感个人信息的常态化收集，与风险社会治理目标下的数据收集应遵守的必要性原则不相符合，会引发收集数据目的的客观错位。后疫情时代健康码的常态化收集便是其中的一个典型。个人健康码涉及公民的各类敏感信息①2017 年，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条将侵犯公民个人信息按情节严重程度大致划分为三类：一是绝对敏感信息，包括行踪轨迹信息、通信内容、征信信息、财产信息；二是相对敏感信息，包括住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息；三是上述以外的其他普通信息。。在位阶较低的法律规范授权与敏感性的适用场域下，大数据技术极有可能会使其衍变为另外一种形式，即高危人群犯罪地图，进而变成一类建立在公民个人信息监控基础上的犯罪治理工具[9]。

（四）监督职责尚需进一步明晰

《中华人民共和国个人信息保护法》规定了相关部门应履行的保护个人信息的监管职责，即国家网信部门负责统筹、协调个人信息保护工作与相关监督管理工作；国务院有关部门也履行相应的监督职责，依法在其职责范围内，开展个人信息保护与监督管理的相关工作；根据国家有关规定，确定县级以上地方人民政府有关部门的个人信息保护与监督管理职责①《中华人民共和国个人信息保护法》第十六条的规定。。但是，如此笼统的规定却容易导致有关部门权责不清，特别是在有关个人保护具体规则、标准方面，监督程序、方式尚未制定出来时，极易导致监督流于形式、监督不到位的结果。就警察执法过程中运用大数据的情况而言，目前，对公民个人信息收集、运用情况的监督仍以公安机关的内部监督为主。关于公安机关的监督方式，一种是内设于公安机关的监督部门，由其进行横向监督；一种是由特定警种的上级部门予以垂直监督。但是，公安机关内部还没有设置专门的监督机构来监督和保护公民个人信息。这样的监督方式，存在几个主要问题：一是缺乏统一的监督执行和处理标准，导致监督方式的人为因素较强；二是对于自上而下的监督模式，容易造成上层监督者既是运动员也是裁判员的局面，其日常工作也和公民个人信息的处理相关；三是监督的随意性很强，形成不了监督的常态，更多的情况是由于临时发现问题，才马上展开监督检查。

较之与内部监督的乏力，外部监督机制亦不能起到良好的监督效果。以刑事诉讼中的技术侦查措施为例，警察采用技术侦查措施的审批工作由公安机关内部进行，外部监督机制很难发挥作用，形同虚设。检察机关和审判机关都很难开展直接与间接的监督工作。作为专门法律监督机构的检察院，对侦查活动是有权予以监督的，但此类概括性的授权欠缺相应的执行机制，检察院的侦查监督部门基本不能监督到侦查实践中对技术侦查措施的使用。对于法院来说，其作为审判机关，尽管可以通过审判活动对技术侦查的证据进行审核、对非法证据予以排除，从而起到间接监督的效果，但在司法实践中，采用技术侦查措施获取的材料，在大部分的案件中不会当作证据使用，这样间接监督路径也基本无效。在国家安全和情报信息领域，尽管也制定了相应的法律，但相应的外部监督体系依然缺失，其原因是在这些领域此类情报信息基本无法进入诉讼流程，后续的司法机关不能对其进行审核和监督。

四、加强大数据警察执法对个人信息的保护

（一）完善实体法相关规定

《中华人民共和国个人信息保护法》中有不少关于个人信息的例外条款。换言之，对个人信息的收集、处理，法律、行政法规有特别规定的，按照相应的规定②《中华人民共和国个人信息保护法》第十六条的规定。。有关的特别规定，为经由大数据的警察执法行为特别是警察数据行为在警察法中被授权留下空间。此外，警察数据行为中警察权的行使具有公益性，因此，与之相关的数据处理规则也就区别于规范警察权的一般规则，警察法有必要对此进行特别规定。所以，警察收集、存储、处理大数据的数据行为，亟需警察法进行正面授权，明确警察数据行为可以采取的手段、措施，具体规范对数据的收集、存储、处理等权限及相关协助行为。作为规范警察权的一般法，《中华人民共和国人民警察法》也需要考虑在职权范围中，对警察基于公共利益的需要而开展的具有事前预防性的执法行为做出更为具体的规定，将警察数据行为的授权依据进一步明晰和具体化。对于特别授权规范，根据法规规范的基本要求——公开、具体、明确，进一步完善警察行政执法与刑事执法中有关个人信息利用的相关规则，将各类内部规定和处于保密状态的政策写入法律，细化《中华人民共和国刑事诉讼法》《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国反恐怖主义法》等有关数据利用的范围、方式、对象、规则，将数据检索、查询与比对等规定作为一项独立的法定程序措施并细化相关内容，让警察的数据行为有更为充分的依据，让公民个人信息权益得到更为有效的保障。

（二）完善大数据警务执法相关程序性规定

现有法律规定对警察如何运用大数据缺乏详尽的程序性规定。建议完善《中华人民共和国刑事诉讼法》《公安机关办理行政案件程序规定》《公安机关办理刑事案件程序规定》等程序性规范及有关警察特别授权法中有关数据收集、处理的治安调查措施或法定侦查措施中的程序性规定，包括前提条件、程序与范围等。

关于数据共享方面的程序性问题。不同政府部门之间数据库的共享和政府部门利用非政府部门第三方机构信息管理者的数据这两种行为具有本质差别。对此，应制定不同的法律规范。对于公安部门共享政府其他部门存储的个人信息，须严格执行内部审批程序，并根据证据条件证明确有必要共享个人信息，原则上禁止拷贝政府其他部门管理的所有数据库资源。共享时，应以查询个人信息或批量信息为主，谨防出现毫无目的地大规模监控。对于公安机关利用非政府部门第三方机构管理的元数据和其他数据库资源，建议设置为一种独立的侦查行为。考虑到这类行为对于公民个人信息权益的强干预属性，和法律现有规定里的技术侦查措施相当，建议参照技术侦查措施的相关规定，对其规范强度与具体规则进行设计，并制定相对严格与明确的规范。

（三）严格遵守比例原则开展警察执法活动

比例原则应该贯穿于大数据背景下警察执法的方方面面。首先，以传统警察权的运行控制为出发点，进行程序控制规范，强调根据比例原则规制警察执法过程中的具体数据行为，如启动条件、对象范围和监督程序等。关于启动条件，需要进一步明确有关警察权的适用条件，依据不同的警察执法活动（如治安处罚、刑事侦查等）对数据收集、处理的不同要求，规定启动相应程序的条件。关于对象范围，应以信息、数据收集、处理的目的予以确定，确保收集范围和使用目的符合比例原则。关于监督程序，因为高权性是警察权的一个显著特征，为了确保权力有效运行，从程序合法性方面对警察权予以控制是其中的必然要求。因此，应规定内部与外部不同的审批程序，进一步完善公安机关内部的控制程序，制定关于国家相关网信部门以及检察院、法院等外部机关对警察数据行为的监督程序。其次，关于信息数据的保护规范，根据个人信息处理的正当合法必要原则、敏感信息处理以及个人信息自决等有关原则和规则，追求达到有效规范警察数据行为之目的。警察对信息、数据进行处理也应遵循处理个人信息的正当、合法、必要这一基本原则。智慧警务中警察对数据进行处理一般以公共利益（如公共安全）为目的，可以达到数据行为正当、合法性要求。不过需要特别考量其中的必要性问题，即使以公共利益为目的，也要遵守最小必要性要求。因此，若涉及对公民个人信息权益的干预，前提条件为具有一定的嫌疑条件，或对实现相应的执法目的具有很大帮助，干预的范围和规模应被限制于嫌疑人群；个人被截取和使用的信息应有范围限制，不应扩展到各类数据库的全部。若涉及各类干预手段的运用，应依据干预公民个人信息的不同强度、个人信息受保护的不同重要性，设计分级干预程序，让干预手段和干预对象符合比例原则的要求。对公民个人信息也应该实行分级管理，特别需要关注敏感个人信息的处理。对于警察干预敏感个人信息的行为，应该规定更为严格的启动条件和审批程序，如在启动条件问题上应该按照最后手段原则，也就是在采用常规侦查手段收集个人一般信息仍不足以起到该有的效果时，方可例外干预公民敏感个人信息。同时还应对启动条件予以证明，相应的审批程序也应该最为严格，在当前的法律规范设计下，可以比照技术侦查措施的审批程序。

（四）健全警务大数据运用的监督体系

在《中华人民共和国个人信息保护法》设立的由中央网信部门、国务院有关部门、县级以上地方人民政府有关部门对个人信息保护进行监管的机制下，建议尽快制定个人信息保护具体规则、标准，完善监督程序，明确监督职权划分，建立协作机制，让各监督机构的职能得到有效发挥，各司其职。就公安机关收集、运用大数据的监督而言，一方面，建议进一步完善公安机关内部的监督机制。应就公安机关的内部如何监督、监督哪些内容等有关事项制定系统、明确的制度规范。该制度可以重点关注以下几个方面。一是关于主体资格的审批。建议引入主体资格审批制度，即接触警务数据、参与相关数据挖掘应以得到审批授权为前提，以此确保唯有实际参与案件调查与侦办的相关人员才能接触警务大数据。此外，要为相关人员配备数字证书，用以登录数据平台，结合虹膜识别、人脸识别等诸多安全方式，保证平台的登录与数据的使用过程都有完整记录，便于事后责任倒查。二是做到主体资格最小化。即在确保有效完成案件调查与处理的前提下，尽可能缩小接触警务数据的人员范围，进一步加强对数据控制者权力的监管。三是加强内部安全审计工作，定期进行执法巡视巡查工作。具体而言，安全审计是信息系统对相关人员进行的关于操作用户、运行程序、输入指令等自动进行记录和监测的过程，以此“留痕”并起到应急报警作用。在对警务数据挖掘的过程中，还要在操作系统的后台对主体和操作予以自动识别、记录、分析与监控，发现不合规的操作，系统第一时间自动报警并启动应急响应，为个人信息保护和事后责任倒查提供证据。另一方面，引入外部主体进行监督，完善检察机关对警察数据行为进行外部监督的制度设计，让内部授权与外部监督保持平衡。在制度设计上，建议引入警务数据行为的报告制度。收集、运用警务数据的相应部门应定期制作报告，说明数据使用的手段、范围与最终结果。对于公安机关自身收集并挖掘的警务数据，要形成报告，并能由检察机关进行抽查，能够倒查和追责违法情况，形成检察机关对警务数据挖掘行为的监督。