刑事訴訟法中個人信息保護的法教義學省思

金 銘

改革開放以來，我國不斷加強法治建設，截至2011年已基本建成中國特色社會主義法律體系〔1〕。2018年10月26日，全國人大常務委員會通過了《中華人民共和國刑事訴訟法(修正草案)》(第三次修正)，正式頒布了《中華人民共和國刑事訴訟法》(簡稱新《刑事訴訟法》)。新《刑事訴訟法》主要在以下三方面作出了調整：一是為保障國家監察體制改革順利進行，完善了監察與刑事訴訟的銜接機制；二是為加強境外追逃工作力度和手段，建立了刑事缺席審判制度；三是總結認罪認罰從寬制度、速裁程序試點工作經驗，將可復制、可推廣的行之有效做法上升為法律規范，并在全國范圍內實行〔2〕。新《刑事訴訟法》在內容上回應社會發展需要作出了大量的修訂，然而在個人信息保護方面卻依然因循2012年《刑事訴訟法》，未作出任何實質性和形式性修改。這既不能滿足大數據時代關于個人信息保護的迫切需求，也不符合總體國家安全觀對于信息安全〔3〕的要求。

當前，刑事訴訟法領域有關個人信息保護的研究成果主要體現在被害人個人隱私信息保護的理論證成與體系化建構〔4〕、隱私權保護路徑存在不足〔5〕、個人信息使用與保護的焦點完全應當歸結到個人隱私權的保護〔6〕等方面?？梢姡扔醒芯砍晒性谛淌略V訟法中的“個人隱私”保護領域，涉及個人信息保護方面的研究并不多見。鑒于此，有必要以刑事訴訟相關法律法規和司法解釋為研究對象，恪守法教義學精神，省思刑事訴訟法中個人信息保護不足及其原因，以期為將來修訂《刑事訴訟法》“個人信息保護”條款提供具有建設性的參考建議。

一、《刑事訴訟法》中個人信息條款的嬗變與類型化

我國《刑事訴訟法》中個人信息相關條款經歷了漫長的嬗變過程，比較研究歷次《刑事訴訟法》修正版本，根據不同的劃分標準，可以將個人信息條款分為三大類：概括性條款和具體性條款、消極條款和積極條款、隱性條款和顯性條款。

(一)歷次《刑事訴訟法》中個人信息條款的嬗變

我國《刑事訴訟法》歷經“1979—1996—2012—2018”四個版本三次修訂，而“個人信息”相關條款首次出現在2012年《刑事訴訟法》中。

1.刑事訴訟法中“個人信息條款”首次出現

從我國的立法傳統來看，一項權利要被納入法定的民事權利體系，必然經過漫長的時間檢驗〔7〕。個人信息作為新型權利客體，起初也并未被納入刑事訴訟的保護范疇。1979年《刑事訴訟法》第34條第2款、第60條第3款分別規定，對于涉及國家機密的證據以及在偵查期間控告人、檢舉人不愿意公開姓名的，國家應當保密。上述條款中，前者僅僅保護了國家秘密，并沒有將個人信息納入保護范疇；后者則是以公開控告人、檢舉人的姓名為常態，不公開并將其姓名保密為例外。1996年《刑事訴訟法》第45條第2款、第85條第3款與上述條款規定相同，從法教義學的觀點來看，1979年《刑事訴訟法》和1996年《刑事訴訟法》都沒有真正意義上的“個人信息”保護條款。

2012年《刑事訴訟法》第62條第1款明確規定：針對特定情況下的犯罪情形，公安機關、檢察機關、審判機關應當保護當事人及其近親屬的個人信息。這是《刑事訴訟法》自1979年頒布以來，“個人信息”保護條款第一次出現在《刑事訴訟法》中，具有里程碑式的意義。其一，《刑事訴訟法》作為程序法，第一次從刑事程序上確定了國家機關對公民個人信息的保護義務，并且在一定程度上改善了過去“重實體、輕程序”的做法，有利于保障證人、鑒定人、被害人本人及其近親屬的人身安全和財產安全；其二，《刑事訴訟法》作為保障《刑法》實施的程序法，劃時代地將“個人信息”保護條款列入了證據章節中，與我國當時的社會發展需要相適應，起到了加強個人信息保護的先導示范作用，改變了個人信息保護缺失的局面?？傮w來看，2012年《刑事訴訟法》中首次出現“個人信息”保護條款，無疑為加強個人信息保護提供了強有力的法律依據，在刑事訴訟法領域具有開拓性的歷史意義。

2.《刑事訴訟法》中“個人信息條款”停滯不前

新《刑事訴訟法》是在2012年《刑事訴訟法》的基礎上修訂而成的，其中關于個人信息的法律條文直接出現在第48條、第64條第1款第(一)項以及第132條第1款，分別規定了辯護律師對委托人信息的保密義務、公檢法對特定犯罪中證人、鑒定人、被害人及其近親屬信息的保護義務與具體信息類型、偵查部門有權采集被害人和犯罪嫌疑人的指紋信息。

步入21世紀以來，我國已經從信息時代邁向大數據時代，個人信息保護就變得尤為重要。《民法典·總則編》第111條、《消費者權益保護法》第14條、《電子商務法》第5條等民事法律條文都已經載明了個人信息保護內容。然而，面對人們日益增長的保護個人信息的需求，新《刑事訴訟法》時隔6年再次作出修訂時，在個人信息保護方面并沒有與時俱進，仍處于“停滯不前”的狀態。

(二)現行刑事訴訟法中個人信息條款的類型

通過梳理涉及個人信息保護的刑事訴訟法律法規和司法解釋(見表1)，可將涉及個人信息保護的相關條款劃分為概括性條款和具體性條款、消極條款和積極條款、隱性條款和顯性條款。

表1 涉及個人信息保護的刑事訴訟法律法規和司法解釋

1.刑事訴訟法中個人信息的概括性條款和具體性條款

從刑事訴訟法律法規的范圍來看，可以將個人信息保護相關條款劃分為概括性條款和具體性條款(見表2)。概括性條款是較為概括、具有指導性意義的法律條文，具有抽象性、統一性、全面覆蓋性的特征。例如，新《刑事訴訟法》第48條規定：辯護律師對在執業活動中知悉的委托人的有關情況和信息，有權予以保密。該條文列于“辯護與代理”一章，并沒有具體列舉保密信息的范圍和種類，僅僅強調律師有權對委托人的相關信息予以“保密”，屬于概括性的法律條款。同理，《公安機關辦理刑事案件程序規定》(以下簡稱《公安部規定》)第57條也屬于概括性條款。

具體性條款是指不籠統、不抽象、細節很明確的條款，一般來說，此類條款明確了個人信息保護的具體信息類型、保護手段等內容。例如，新《刑事訴訟法》第64條第1款第(一)項具體明確地列舉了保護的個人信息為真實姓名、住址和工作單位等可用于識別身份的具體信息，并且明確了保護該信息的手段方式——即“不公開”。鑒于此，該條款是典型的關于報案人、控告人、舉報人個人信息保護的具體性條款(見表2)。

表2 刑事訴訟法中個人信息保護的概括性條款和具體性條款

2.刑事訴訟法中個人信息的消極條款與積極條款

根據刑事訴訟法律法規中關于個人信息保護條款的規定，以公檢法機關是否依當事人申請或上級決定被動保護個人信息，還是依職權或強制性義務主動保護個人信息為標準，可以將個人信息保護條款分為消極條款和積極條款兩類(見表3)。

表3 刑事訴訟法中個人信息保護的消極條款和積極條款

所謂消極條款，一般是指公權力部門依照訴訟當事人申請或者上級決定而采取被動保護措施的法律條文，具有被動性、非主動型的特征。以新《刑事訴訟法》第64條第2款為例，該條款著重突出了“可以”二字，并且強調是在依法作出決定的前提下，有選擇性地對“證人、鑒定人、被害人”實施保護措施，換言之，事實上公檢法部門對申請人存在不實施個人信息保護措施的可能性。鑒于此，該條款設立的本意并不是積極地對個人信息進行保護，而是出于一種消極保護的初衷。實質上能否真正保護個人信息，主動權完全掌握在公檢法部門手中，公檢法部門并沒有必須保護個人信息的強制性義務。同理，《公安部規定》第76條也屬于消極條款。

從一般意義上來看，積極條款是特指國家公權力部門積極行使職權、采取必要行為以保護個人信息的法律條文，這里“積極”指的是依職權或履行強制性義務“主動”行使國家權力。例如，新《刑事訴訟法》第111條明確規定公檢法機關“應當”對報案人、控告人、舉報人的姓名及其報案、控告、舉報行為予以保密。“應當”二字體現了公檢法部門負有保護個人信息的強制性義務，明確了公權力部門依職權履行法定保護職責的范圍，因而，該條款屬于積極條款。依此類推，《最高人民法院 最高人民檢察院 公安部 司法部 關于依法辦理家庭暴力犯罪案件的意見》(以下簡稱《家庭暴力犯罪案件意見》)第2條也屬于積極條款的范疇。

3.刑事訴訟法中個人信息的隱性條款和顯性條款

從法律條文的表現形式來看，以是否明確規定了“個人信息”為區分標準，可以將刑事訴訟個人信息保護條款分為兩類，即隱性條款和顯性條款(見表4)。

表4 刑事訴訟法中個人信息保護的隱性條款和顯性條款

隱性條款是指該條款雖然未明文列出“個人信息”“個人信息保護”等關鍵詞，但是卻可以實現“保護個人信息”的法律效果。例如，《公安部規定》第195條載明公安機關偵查犯罪時涉及的國家秘密、商業秘密、個人隱私“應當保密”。這里雖然沒有“個人信息”的明確字樣，但是從實踐意義上來看，卻可以實現保護個人信息的立法目的，因此屬于隱性條款。同理，《公安部規定》第217條、《家庭暴力犯罪案件意見》第5條第2款均屬于隱性條款的范疇。

顯性條款是指在法律條文中載明了“個人信息”關鍵詞的條款。例如，《公安部規定》第75條第1款第(一)項明確規定要對證人、鑒定人、被害人采取保護措施，其中就包括不公開真實姓名、住址和工作單位等個人信息。這里明確了保護“個人信息”的字樣，突出了對“個人信息”的重點保護，形式上是一種顯名表示方法，屬于顯性條款。同理，《最高人民法院關于適用〈中華人民共和國刑事訴訟法〉的解釋》(以下簡稱《刑訴解釋》)第256條、第257條均載明“個人信息”字樣，因此也屬于顯性條款。

二、刑事訴訟法中個人信息保護的不足及其原因

盡管新《刑事訴訟法》在監察、缺席審判、認罪認罰等方面的修訂取得了前所未有的突破，但在個人信息保護方面仍存在諸多不足，主要表現在個人信息的保護范圍模糊、權責配置失衡等，這與立法天然滯后于技術發展、部門立法中潛在的權力擴張傾向有關。

(一)刑事訴訟法中個人信息保護的主要不足

刑事訴訟法中個人信息保護的不足之處體現在四個方面：其一，辯護律師有權保密的信息范圍模糊;其二，個人信息保護的權責配置沖突;其三，被害人、犯罪嫌疑人的生物信息保護缺位;其四，個人隱私保護條款不足以保護個人信息。

1.辯護律師有權保密的信息范圍模糊

新《刑事訴訟法》第48條規定了辯護律師對于執業活動中委托人的信息負有保密義務，但是對于委托人相關信息保密范圍卻模糊不清。

根據新《刑事訴訟法》的規定，刑事訴訟各階段中的委托人存在著不同的范圍。公訴案件中，立案和偵查階段中辯護律師的委托人只能是犯罪嫌疑人本人，而在起訴和審判階段，委托人主體可以是被告人本人及其近親屬、被告人的監護人；在自訴案件中，辯護律師的委托人可以是原告本人、近親屬、監護人，也可以是被告本人、近親屬、監護人。

一方面，由于辯護律師的委托人范圍相對較廣，這就擴大了辯護律師保密的信息范圍；另一方面，由于新《刑事訴訟法》第48條未規定辯護律師有權保護的信息類型，這就為個人信息保護增加了難度。辯護律師有權保密的信息并沒有明確界定其范圍，可能是個人信息，也可能是非個人信息。另外，法條對于保密信息是否僅涉及犯罪案情，以及是否屬于委托人的個人敏感信息等問題同樣沒有作出細化規定。

2.個人信息保護的權責配置沖突

在刑事法治的發展進程中，雖然公安機關、檢察機關以及審判機關的個人信息保護觀念逐漸形成，并采取了一定的措施，但仍然存在不足，其中個人信息保護的權力責任配置失衡問題顯得尤為突出。

法律規則可以分為授權性規則和義務性規則：授權性規則是指規定人們可以作為、不作為或要求別人作為、不作為的規則，即規定人們的“可為模式”；義務性規則是指內容上規定人們的法律義務，即直接要求人們作為或不作為的規則，規定了人們的“應為模式”〔8〕。授權性規則表現為對特定主體行為的選擇自由，不具有強制性；而義務性規則表現為對特定主體行為的約束限制，具有強制性、必要性和利他性。

例如，新《刑事訴訟法》第48條、《最高人民法院 最高人民檢察院 公安部 國家安全部 司法部 全國人大常委會法制工作委員會關于實施刑事訴訟法若干問題的規定》(以下簡稱《六機關規定》)第12條、《刑訴解釋》第117條等條款均屬于授權性規則。上述條款明確規定了公權力部門“可以”保護個人信息或者“不公開”個人信息，而不是賦予相關公權力機關保護個人信息的責任，容易使得個人信息保護在刑事程序中處于不穩定的狀態?！都彝ケ┝Ψ缸锇讣庖姟返?條、《刑訴解釋》第55條、《公安機關辦理刑事案件電子數據取證規則》(以下簡稱《電子數據取證規則》)第4條以及《公安部規定》第270條等條款則屬于義務性規則，均明確載明了“應當保密”的字樣，設定了公權力機關保護個人信息的義務。

從新《刑事訴訟法》《刑訴解釋》等刑事訴訟法律法規來看，雖然存在很多義務性條款，多數卻處于“設而不用”的狀態。與此同時，刑事訴訟法律法規中還存在許多授權性條款。這種情況使得公檢法機關擁有了行使保護個人信息的“自主選擇空間”，并在一定程度上增加了公權力部門的權力，但是卻減少了公權力部門承擔的責任，從而導致公權力部門的權責配置失衡。

3.被害人、犯罪嫌疑人生物信息保護缺位

個人信息的保護范圍包括但不限于身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等信息，而指紋信息作為刑事訴訟偵查程序中的證據來源之一，屬于非常重要的個人生物信息。

新《刑事訴訟法》第132條第1款規定在確定被害人、犯罪嫌疑人的某些特征、傷害情況或者生理狀態的前提下，可以提取當事人的指紋信息。眾所周知，可識別指紋信息的機器設備已經被廣泛應用于各個行業，通過識別指紋信息可以進一步精確識別個人信息。該條款只規定了偵查機關有權采集被害人、犯罪嫌疑人的指紋信息，卻未規定指紋信息的相關保護措施，這就導致被害人、犯罪嫌疑人的生物信息很難得到有效保護。

從內容上來看，該條文只規定了收集程序和收集條件，至于如何儲存、轉移和刪除這些區別于任何其他人、極其重要的信息，法律則沒有任何規定〔9〕。雖然該條款涉及了公民的個人信息，但沒有提及是否保護以及如何保護個人信息，一方面賦予偵查機關近乎無限的、不受任何監管的個人生物信息采集權力，另一方面卻沒有規定其保護被害人、犯罪嫌疑人生物信息的責任，這就直接導致了刑事訴訟程序上關于被害人、犯罪嫌疑人生物信息保護缺位的現實問題。

4.個人隱私條款不足以保護個人信息

生活語境中，人們常常將個人隱私與個人信息混為一談，認為個人隱私就是個人信息，甚至有些人認為侵犯了個人信息就是侵犯了個人隱私。人們基于個人信息與個人隱私的概念混淆，非常容易對新《刑事訴訟法》中個人信息保護產生錯誤理解。有學者根據社會常識和法律規定對個人隱私作出如下定義：個人隱私是一種特殊的個人信息——即公民不愿向他人公開或為他人知悉的個人生活中的秘密〔10〕?？梢?，個人隱私最大的特點在于其私密性和不愿公開性。

根據《最高人民法院 最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《侵犯公民個人信息刑事案件解釋》)第1條的規定：公民個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等〔11〕。鑒于此，《侵犯公民個人信息刑事案件解釋》規定的“公民個人信息”，最突出的特征在于該信息具有“可識別性”，即以任何記錄方式可識別出特定自然人的身份或者其活動情況的各種信息，才可以被認定為“公民個人信息”。

比較上述法律規定，可以發現法律意義上的個人隱私是一種特殊的個人信息，但是個人信息卻不一定是個人隱私。刑事訴訟法律法規中關于個人信息保護的相關條文分散在新《刑事訴訟法》《刑訴解釋》等中間，并且沒有明確區分個人信息與個人隱私的界限，個人隱私條款也不足以保護個人信息。

(二)刑事訴訟法中個人信息保護不足的原因

刑事訴訟法中個人信息保護不足的原因并不是單一、孤立的，究其原因在于，立法天然滯后于迅速更迭的技術，部門立法中潛在著權力擴張傾向。在二者共同作用下，導致了刑事訴訟法中個人信息保護不足的問題。

1.立法天然滯后于迅速更迭的技術

人類目前經歷了三次工業革命，分別以蒸汽機、電力、計算機的廣泛應用為代表，每一場工業革命都率先在技術上迎來了突破，技術上的突破推動生產關系的劇變，使得經濟基礎發生了重大變化；而生產關系的變化進一步推動了制度上的變革與創新，促使法律與社會發展產生相適應的變化。

自從進入第三次工業革命，人類迎來了信息時代，以計算機為代表的各種高新技術層出不窮，電子晶體管、計算機、半導體、云計算、大數據、物聯網、基因編輯、量子通信等技術的誕生，直接催生了龐大的產業鏈。摩爾定律是技術更迭速度加快最有力的證明，摩爾定律(Moore’s Law)是指同樣面積的電腦芯片上集成的晶體管的數量每隔18個月會增加一倍，也會將芯片的處理速度和處理能力提升一倍，而成本則會降低一半〔12〕。從發展的角度來看，摩爾定律只是信息時代技術更迭情況的一個縮影。尤其是近幾年，我們已經從信息時代邁入了大數據時代。

在大數據技術迅速發展的背景下，技術迭代迅速引起了上層建筑的相應變化。例如，為了保護個人數據，歐盟于2018年正式頒布了《通用數據保護條例》(簡稱《GDPR》)；為了保護個人隱私和個人數據，美國加州也出臺了《加州消費者隱私法案》(簡稱《CCPA》)；我國也于2016年11月7日正式頒布了《網絡安全法》，旨在保護個人信息和重要數據。比較而言，我國民事法律回應數據和個人信息保護較為及時，但是刑事訴訟法律法規還僅僅停留在個人信息甚至個人隱私保護階段。技術迅速更迭與立法更新滯后之間存在很大的沖突和矛盾，這就對刑事訴訟立法提出了更高的要求，相關法律條文的更新已經遠遠不能滿足當前現實的發展需要。

2.部門立法中潛在的權力擴張傾向

2012年《刑事訴訟法》雖然出現了“個人信息”保護條款，但是其并未給相關公權力部門設定責任和義務，而更多地體現了“象征性”立法，究其原因在于部門立法中潛在的權力擴張傾向。

“部門立法”在相當長時期內作為一種常態化的立法工作形態，即很多法律法規的起草工作都是由相關公權力部門牽頭完成。這就導致了部門權力于無形中得到了擴張，使公權力部門有很大的“自主裁量權”，決定是否保護公民的個人信息，而其承擔的責任卻相對縮小乃至不需要負責?！安块T立法”中潛在的權力擴張，已經構成新《刑事訴訟法》中個人信息保護權責配置失衡的重要因素。

《刑事訴訟法》歷經1979年到2018年三次大規模修訂，毫無疑問，全國人大常委會法制工作委員會在聽取各方意見的過程中，必然會涉及相關部門的權力配置或利益保護問題。在相關部門參與立法的過程中，審判機關、檢察機關、公安機關由于在刑事訴訟制度中具有強勢地位，必然會爭取擴張部門權力，同時減少或減輕部門責任，這正是“部門立法”中潛在的權力擴張表現。

產生“部門立法”現象的重要原因在于，民意機關在面對專業性立法任務時，往往缺乏足夠的立法技術與實踐經驗，因此不得不依賴直接主管的行政機關提出立法草案，進而主導立法過程。比較典型的是在《刑事訴訟法》修訂過程中，曾經出現了最高人民檢察院與公安部在技術偵查措施批準權上的爭議〔13〕。這一爭議不僅僅是部門對某一具體權力的行使方式的爭議，也是部門之間權力博弈的一種表現形式，而這種“博弈”的結果延伸到立法，就會被隱形內嵌到具體條文之中。

“部門立法”所導致的固有部門利益分配、部門保護主義問題已經成為了其內在“痼疾”。在黨的十九大報告中，習近平總書記明確提出要“依法立法”，即涉及破除部門立法權力擴張化問題?！安块T立法”中潛在的權力擴張傾向會使有關部門盡可能地爭取更多的部門權力，相對應地會盡可能地減少部門責任范圍，這與我國倡導的“科學立法、民主立法、依法立法”相悖。就刑事訴訟法而言，公安機關、檢察機關、審判機關的部門權力往往會在每一次刑事訴訟法律法規的立法過程中得到進一步的強化，甚至會擴大部門的管轄范圍，由此會導致部門權力侵蝕公民個人權利，不利于實現個人信息的保護。

三、刑事訴訟法中個人信息保護的完善路徑

刑事訴訟法中關于個人信息保護的完善路徑多種多樣，以“個人信息”統攝“個人隱私”，設定個人信息保護的義務性規則，將個人信息保護貫通刑事訴訟五階段是完善個人信息保護的有效方式。

(一)以“個人信息”統攝“個人隱私”

為了解決個人信息與個人隱私的保護范圍問題，與其糾結于是保護個人隱私還是保護個人信息，不如通過保護個人信息來達到保護個人隱私的目的，即通過“個人信息”的概念來統攝“個人隱私”的概念。

在司法實踐中，個人隱私一般被認為是一種“個人敏感隱私信息”〔6〕。在刑事訴訟制度層面上，公權力部門一般是出于保護個人隱私目的進行立法活動、司法活動和執法活動，以此來保護個人隱私及其承載的人格尊嚴、通信自由等內容。但是對于個人隱私的保護范圍，從法教義學的角度來看，刑事訴訟法律法規并未有相關明確的解釋定義。

目前，學界對于個人隱私和個人信息之間的關系存在三種不同的觀點：其一，個人隱私和個人信息是兩個完全包容的概念，即個人信息完全涵蓋了個人隱私，個人隱私僅僅是個人信息的一部分〔14〕；其二，個人隱私和個人信息是一種完全不相容的概念，二者不存在任何實質內容上的相容或交叉關系，是兩個不同領域內的獨立概念；其三，個人隱私和個人信息是一種內容上部分交叉的關系，二者僅在一定范圍內相互重合、相互交叉〔15〕。

個人隱私作為一種特殊的個人信息，可以通過保護個人信息來達到保護個人隱私的目的，實質上是擴大公權力部門的保護范圍進而保障個人信息權利。通過修訂刑事訴訟法律法規，出臺相關立法解釋、司法解釋、實施辦法等法律規定，可以實現個人信息的有效保護。例如，重新修訂或解釋《家庭暴力犯罪案件意見》第2條、《刑訴解釋》第55條、《電子數據取證規則》第4條、《公安部規定》第61條等法律條文中的“個人隱私”內容，用“個人信息”來替換“個人隱私”，以此實現“個人信息”對“個人隱私”的統攝。

(二)設定個人信息保護的義務性規則

新《刑事訴訟法》關于個人信息保護的條款中存在很多授權性條款，使得公權力部門可以在“自主選擇空間”內決定是否履行保護公民個人信息的責任。這種授權性規則一定程度上增加了部門權力，減損了公民個人權利。因此，設定個人信息保護的義務性規則即是保護公民個人信息的一劑“靈丹妙藥”。

義務性規則一般分為命令性規則和禁止性規則兩種，命令性規則是指規定人們的積極義務，即人們必須或者應當作出某種行為的規則；禁止性規則是指規定人們的消極義務，即禁止人們作出一定行為的規則〔16〕。對于公權力部門來說，尤其是涉及刑事訴訟的公檢法機關，更應該注重設立命令性的義務性規則。由于公權力部門會從成本與效率的維度去考慮問題，往往采取消極保護與積極保護相結合的方式去保護個人信息。當適用消極保護方式時，通常不會有效實施保護措施，這會進一步導致公民權利的受損。

新《刑事訴訟法》及其相關法律條文中存在著大量的授權性法律條文。例如，《六機關規定》第12條、《刑訴解釋》第117條、《公安部規定》第76條等均載明了“可以”字樣，這在一定程度上為公權力部門不作為提供了法律依據。因此，在適應社會發展需要的情況下，將個人信息保護的授權性規則修訂為義務性規則，增設個人信息保護的義務性規則，不失為一種解決個人信息保護不足的方法。如果將這些“可為”的授權性規則全部修訂為“應為”的義務性規則，對于促進個人信息保護將大有裨益。

(三)個人信息保護貫通刑事訴訟五階段

從新《刑事訴訟法》為主體的法律體系來看，個人信息保護的大部分相關條款集中在辯護與代理、證據、偵查三章。換言之，目前的刑事訴訟法律規范體系對個人信息保護僅僅涵蓋了十分有限的范圍，尚不能在刑事訴訟制度的全流程實現個人信息的全方位保護。按照傳統的刑事訴訟理論，刑事訴訟分為立案、偵查、起訴、審判和執行五大階段，每一階段都是刑事訴訟不可或缺的必經程序，任何一個階段都會對司法公正、執法公正產生重要影響，保護刑事訴訟五階段的個人信息也為程序正義提供了必要保證。在現有的立法技術條件下，個人信息保護貫通刑事訴訟五階段具有現實的可行性和可靠性。

從立案階段來看，個人信息往往由公安機關、審判機關或者檢察機關一線工作人員進行采集，公檢法機關作為實施保護個人信息的權力主體，理應在刑事訴訟法律規范的指導下履行相關個人信息的保護職責，具體是指對個人信息采集做到全面保護，保護報案人的個人信息不被非法泄露或者非法利用。

從偵查階段來看，該過程嚴格限制非法證據排除，同樣應當嚴格限制對個人信息等證據的非法采集。一方面，在開展非法證據排除工作時，檢察機關要充分考慮和偵查機關的雙向互動〔17〕；另一方面，偵查機關采集個人信息應當嚴格遵守部門規定，按照法定偵查程序保護包括但不限于身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等在內的個人信息。

從起訴階段來看，個人信息往往由公訴機關(如檢察院)直接掌握、控制，在檢察機關移送法院起訴的過程中，要在司法公開和個人信息保護之間形成一個張弛有度的平衡點，合理合法保護個人信息不被披露，在司法公開的同時實施個人信息“脫敏”的技術手段，進而保護訴訟當事人的個人信息。

從審判階段來看，個人信息主要是由審判機關來控制，通常情況下公訴人不主動公開訴訟當事人的個人信息，審判機關從程序上擁有界定個人信息保護與司法公開邊界的部門權力，審判機關在公開刑事訴訟裁判文書的過程中，應當嚴格審查裁判文書，合理使用化名等可替換的個人信息，保護訴訟當事人的個人信息不被泄露。

從執行階段來看，由于執行階段往往是由監獄、社區矯正機構等負責，個人信息保護難度大大增加，可以嚴格限制相關個人信息的接觸人員，對信息管理者的適格主體身份加以實質性審查，并簽訂相關保密協議，通過執行制度的規范化、合理化、保密化，實現對個人信息的有效保護。

四、結語

由于刑事訴訟法律法規具有天然的權威性，大規模修訂法律條文會產生很多潛在的風險。因此，如何在現有的法律規范體系下更好地化解社會現實與法律規定之間的矛盾，是作為每一個法律人需要思考的問題。在大數據時代，加強刑事訴訟中個人信息的保護力度，減少個人信息保護缺位的現象，努力使人民群眾在每一個案件中感受到公平正義，必將作為刑事訴訟制度不斷發展與完善的重要方向。