同意原則在刑事訴訟個人信息處理中的適用

一、問題的提出

數字化時代，海量個人信息的存儲與先進處理技術的應用為刑事偵查、起訴和審判提供了前所未有的便利，也帶來了嚴峻挑戰。在刑事訴訟中，個人信息的處理日益普遍復雜，從監控錄像的提取分析到網絡數據的挖掘利用，再到基因信息、生物特征信息的比對鑒定，個人信息已成為刑事案件偵查與審理的重要內容。然而，這種技術便利與個人信息保護之間的矛盾愈發凸顯，如何在保障公共安全的同時，實現對個人信息權益的合法合規處理，成為當下亟待解決的重要問題。

同意原則作為個人信息保護的基本原則，其重要性已得到國際社會的廣泛認可。從早期的美國“公平信息實踐原則”（FIPPS）到歐盟《一般數據保護條例》（GDPR），再到我國《個人信息保護法》，各國法律規范普遍將知情同意作為個人信息處理的基石，強調信息處理者在收集、使用和處理個人信息之前，應當取得信息主體的明確同意。但將同意原則直接套用至刑事訴訟領域，無疑會引發諸多挑戰和爭議。具體來說，其涉及兩組關系之間的張力與平衡。第一，個人信息權益的保護與有效打擊犯罪的目標。一方面，刑事訴訟中的個人信息處理須在保障信息主體個人信息權益的前提下展開；另一方面，刑事司法領域對個人信息的收集使用也是實現有效打擊犯罪目標的當然選擇，不能過于強調個人信息保護而制約刑事訴訟中的個人信息處理。第二，個人信息處理的透明合意要求與刑事訴訟的秘密強制特性。在刑事訴訟中，同意原則強調對信息處理透明性、合意性的保障，信息主體有權知悉其個人信息被處理的事實與內容并自主決定是否予以同意，而這顯然與刑事訴訟、特別是刑事偵查的秘密性、強制性存在一定矛盾。基于此，探討同意原則在刑事訴訟個人信息處理中的適用，并非簡單的“適用”或“不適用”的二元選擇，需要在保護個人信息權益與懲罰犯罪、保障公共安全之間尋求平衡點，以免顧此失彼。

2023年9月，全國人大常委會將“刑事訴訟法（修改）”列入第一類項目，這意味著《刑事訴訟法》將迎來第四次修改。借此契機，在《刑事訴訟法》修改中對同意原則在刑事訴訟個人信息處理中的適用作出回應、規范和引領，尤為必要。具體來說，需要回答以下幾個方面的問題：一是同意原則是否可能適用于刑事訴訟個人信息處理？二是刑事訴訟中有效同意的構成要件包括哪些？三是刑事訴訟中同意撤回的情形，以及撤回同意后如何救濟？本文擬就此三方面問題展開論述。

二、同意原則在刑事訴訟個人信息處理中的適用可能

研究同意原則的適用，首先需探討其在刑事訴訟個人信息處理中的適用可能。在當前數字化時代，從人的主體性要求、個人信息保護專門法律的規范適用以及刑事訴訟中合意空間的逐步拓展這三個層面進行深入解析，能夠為同意原則在刑事訴訟個人信息處理中的適用提供全面理解。

（一）數字時代人的主體性要求

訴訟參與者應為具有主體資格的人，而非被動的客體。①刑事訴訟中，對人的主體地位的尊重就是對人的權利和尊嚴的尊重，這是現代法治的刑事訴訟區別于將人客體化、物化的封建專制的刑事訴訟的基本特征。②如何在刑事訴訟個人信息處理中充分保障人的主體地位，應成為本次《刑事訴訟法》修改的重要關注。作為個人信息保護領域的核心理念，同意原則強調信息主體對其個人信息處理的自主性。從主體性視角看，同意原則的適用是對刑事訴訟中當事人主體地位的程序性保障。

第一，同意原則的適用是對信息主體人格尊嚴的保障。人是目的而非工具，③人的主體性要求每個個體應享有基本的尊嚴。人的尊嚴被視為個人信息保護的最終價值依歸，一般人格權則構成其具體權利基礎。④當前，全世界至少有九十多個法域將人格尊嚴列為基本權利。⑤以德國為例，《德國基本法：歷史與內容》第1條第1款明確規定“尊重和保護人的尊嚴是所有國家權力的義務”⑥。1983年，德國“人口普查案”首次提出“信息自決權”，強調個人應有權自主決定其個人信息的收集、存儲和使用。個人對其信息的自主決定是其人格尊嚴不可分割的組成部分，這種“自由的自主決定”正是個人作為自由社會成員實現自身價值與功能的關鍵。①同意原則作為個人自主決定的體現，本質上是對訴訟參與主體人格尊嚴的充分保障。

第二，同意原則的適用是對信息主體隱私權利的保護。隱私的價值主要源于其對人的自主性的促進與保護。②沒有隱私，人的自主權也就無從發揮作用。③隨著技術的進步及其負面效應的加劇，隱私保護愈加脆弱，個人信息保護逐漸從隱私保護中獨立出來，并形成個人信息保護與隱私保護的“二元”路徑。④相較于隱私保護的消極防御性，個人信息保護更為“主動進取”，二者之間有著緊密的聯系，⑤而同意原則與隱私保護同樣緊密相關，這可以從國外判例演進中窺見一斑。1977年，美國“華倫案”首次確認個人對敏感信息的控制權屬于憲法隱私權的核心。⑥雖然該案未涉及刑事訴訟，但其首次確立的“信息隱私權”⑦與同意原則具有內在關聯。2018年美國“卡朋特案”將這一邏輯進一步延伸，認為手機定位信息具有高度隱私性，即使其由第三方手機通信運營商持有，長期定位信息仍受隱私保護，鑒于信息技術手段的介入，個人往往無法主動選擇不披露來保護隱私，傳統上的形式“自愿披露”已不再等同于真正的“自愿同意”。⑧可見，隱私保護的核心始終在于對個人信息自主權的保障，同意的取得是現代隱私權保護中最基本的要素。

第三，同意原則的適用是對控辯平等對抗的保障。在刑事訴訟中，控辯平等對抗是保障訴訟主體地位平等、權利對等的核心內容。長期以來控方相較于辯方擁有一定優勢，隨著數字技術廣泛應用，控辯雙方的信息不對稱問題愈發凸顯。保障控辯主體之間的平等，尤其是在個人信息處理中的主體平等，必要且急迫。面對掌握海量信息的國家機關，與案件有利害關系的信息主體有必要在知情同意的基礎上，“充分而富有意義地參與到裁判制作過程之中”⑨，這不僅涉及是否需經信息主體同意才能使用某些特定證據，還包括如何保障其對證據使用的知情權和參與權，從而確保裁判結果的客觀公正。在刑事訴訟個人信息處理中，準確適用同意原則能夠有效防止“文件傾倒”“算法黑箱”“算法歧視”等對當事人主體地位的侵蝕，幫助主體充分參與到整個訴訟過程，最終有利于維護控辯主體之間的平等對抗。

（二）個人信息保護專門法律的規范適用

在刑事訴訟中，個人信息處理的合法性基礎通常以履行法定職責為核心，結合個人信息保護法有關規范，同意原則在規范層面存在一定的適用空間。典型代表如我國《個人信息保護法》第13條明確將“個人的同意”列為處理個人信息的合法性基礎；第33條通過引入“國家機關”這一概念，將刑事司法機關處理個人信息的行為納入本法調整范圍，形成了“統一納入”模式；⑩第34條就國家機關對個人信息的處理予以限制，結合第29條有關敏感個人信息處理規定，若國家機關的個人信息處理行為超出法定職責范圍，尤其是敏感個人信息，則仍需以個人同意作為合法性基礎。

反觀歐盟立法，2016年《一般數據保護條例》（GDPR）關于同意適用也有相應的規定，第6條明確將同意列為個人信息處理的合法性基礎之一。2020年歐洲數據保護委員會（EDPB）制定了《關于GDPR下“同意”的指南》（以下簡稱《指南》），其強調同意應是自愿、知情、特定明確且能夠撤回的。GDPR原則上否定國家機關以同意作為處理個人信息的主要依據，并強調公權力機關與個人存在“權力不平等關系”時同意通常難以符合自愿性要求，但其也承認存在同意適用的例外情形，如行政機關在提供非強制性服務（如市民自愿訂閱市政工程通知郵件）或保障公民選擇權（如房產主自主決定是否同意政府信息并庫），此時公權力機關仍可能基于有效同意處理個人信息。①由此可見，同意原則在公權領域的適用本質上是利益平衡與場景化考量的結果。

信息之所以受到法律保護與重視，是因為其最大價值并不在于信息本身，而在于通過長期信息累積而形成的信息網絡。這些信息網絡正逐漸融入社會機理，并以開放擴散的方式迅速發展，替代了之前針對特定目標或對象展開的信息收集活動。②通過共享擴展信息網絡規模、增強不同信息數據間的關聯性，這些信息網絡能夠顯著提升信息分析效果，最終為信息時代發展提供動力。正如我國《個人信息保護法》第1條所規定，個人信息保護的價值目標在于保護個人信息的權益，促進個人信息的合理利用。而如何準確界定合理利用的范圍，構成了個人信息，尤其是敏感個人信息保護的邊界。有學者認為，個人信息保護的認定標準是動態主觀的，而非靜態客觀的，特別是敏感個人信息，需要結合具體情境中的多元因素（如信息敏感性、處理目的、公共利益權重等）進行靈活判斷。③判斷個人信息處理行為是否具備合理性，主要是看其產生的影響是否為信息主體所接受，或者是否滿足信息主體的“合理預期”。此類影響信息主體的“合理預期”或影響信息處理的敏感性的變量，均屬于“場景”④。考慮到場景影響因素的多元性，國家機關對個人信息的處理是否合理，需根據多項因素進行程度性判斷，應當將個人信息擱置在所處的場景中進行具體評判，注意避免抽象預判的情形發生。對此，關于國家機關處理個人信息的合法性問題，也有理論提出該合法性基礎并非絕對排斥同意，而是允許“履行法定職責”與“同意”在特定場景下疊加適用。⑤總體來看，我國刑事訴訟中個人信息處理以履行法定職責為主要合法性基礎，但根據“統一納入”模式，《個人信息保護法》第33條及第13條的開放性表述為同意原則的適用保留了規范空間。

（三）刑事訴訟中合意空間的逐步拓展

在《刑事訴訟法》持續完善認罪認罰從寬制度、強化權利保障的背景下，刑事訴訟的合意空間逐步拓展。一方面，在協商性司法框架內，通過認罪認罰程序控辯雙方自愿協商，并以具結書的形式達成合意；通過刑事和解程序，被追訴人與被害人平等協商，并形成書面協議，上述合意經司法機關審查并確認后具有法律效力。另一方面，在任意偵查實踐中，若被偵查人自愿同意偵查機關處理其個人信息，則該處理行為因取得有效同意而具備合法性。隨著協商性司法與任意性偵查的不斷發展，合意在刑事訴訟中所發揮的作用日益凸顯，為同意原則的適用提供了實踐依據。

在傳統刑事訴訟中，刑事訴訟被視為國家公權力單向追訴犯罪的程序，其強調控辯雙方的對抗對質而非對話協商。然而，隨著協商性司法的興起，控辯雙方可在證據使用、案件事實、犯罪指控、量刑建議以及程序適用等方面，①通過協商對話達成自愿真實的合意，其中也涵蓋對個人信息收集使用的合意。合意式刑事訴訟的核心在于，控辯雙方通過具結書等形式，就被追訴人認罪、量刑建議等事項達成一致，以平衡程序效率與實體公正。而這種合意機制與個人信息處理中的同意原則內核正相契合，同意原則為被追訴人提供了自主決定其信息權益的機會，使被追訴人真正成為訴訟中的主體，而非國家機關追訴與審判的客體。因此，在刑事訴訟個人信息處理中同意原則的適用，本質上即是對合意式刑事訴訟的踐行與延伸。2018年，我國《刑事訴訟法》第15條修訂正式確立了認罪認罰從寬制度，為同意原則在個人信息處理中的適用提供了實踐空間。公訴機關在具結書中需向被追訴人說明擬調取使用的信息種類、范圍以及使用目的，被追訴人應在充分知情的基礎上自愿簽署認罪認罰具結書，明確對其信息調取使用的同意內容、范圍與方式，司法機關在審查階段對具結書的真實性、自愿性及合法性進行嚴格審查，防止因脅迫或誤導導致的虛假合意。此外，刑事和解程序亦體現協商性司法的合意理念，為同意原則拓展了適用空間。被追訴人與被害人圍繞損害賠償及刑責承擔等事項進行平等協商，并在書面協議中對信息交換范圍與責任承擔作出詳細約定，經司法機關確認后合意內容生效，從而為涉案個人信息的收集、存儲、使用等提供了有效依據。

任意偵查實踐進一步強化了同意原則在刑事訴訟中的適用可能。與強制偵查不同，任意偵查是以被偵查人自愿同意或承諾為前提進行的偵查，②如經犯罪嫌疑人同意的訊問。相比強制偵查，任意偵查對被追訴人的重要法益侵害程度更低。在任意偵查中，偵查機關應首先向被偵查人詳細告知偵查目的、范圍、擬調取的個人信息類型、使用方式與保存期限，并告知被偵查人有權自主決定是否同意以及同意后的撤回權利。只有在當事人自愿同意后，偵查機關方可啟動對上述信息的收集與使用，否則應當依法中止或轉為強制偵查程序。日本《刑事訴訟法》第179條確立了“任意偵查原則”，將強制偵查嚴格限定于法律明文規定的例外情形，并強調強制偵查必須遵循令狀主義，而任意偵查則可通過相對人同意直接實施。③當犯罪嫌疑人自愿同意提供通信記錄或生物樣本等個人信息時，偵查機關可即時進行證據收集。在個人信息處理中，任意偵查將信息處理的合法性基礎歸于當事人自愿同意，為同意原則在刑事訴訟中的適用提供了可能。不過需要注意的是，在緊急情況下，為了保障國家安全與公共利益，公安司法機關仍可依法啟用強制措施。

三、刑事訴訟中有效同意的構成要件

在明確同意原則在刑事訴訟個人信息處理中的適用可能后，需進一步探討的問題就是有效同意的判斷標準，即何為有效同意。結合現有研究成果，可以從自愿性、知情性和特定明確性三個方面，對刑事訴訟中有效同意的構成要件予以解析，從而在《刑事訴訟法》修改過程中準確理解信息主體同意的內涵。

（一）自愿之同意

在刑事訴訟中，自愿性是有效同意的核心要件。但刑事司法中國家機關與個人之間的結構性權力失衡，導致自愿性容易被侵蝕。根據《指南》，自愿性要求個人信息主體的同意“自由作出、不受脅迫且不受過度影響，具有真實選擇權與控制權”。出于強暴、脅迫、欺詐而作出的同意，不具有自愿性。①然而，在實踐中個人常因自身狀態、信息劣勢或外在壓力而被迫“自愿”同意，這意味著該“同意”可能因權力不對等而被扭曲。由于國家與個人之間的力量差距，這種“隱性脅迫”可能使個人信息主體的同意淪為形式化操作。作為信息控制者的公權力機關與個人信息主體之間存在“明顯不平衡的關系”時，為確保個人拒絕或撤回同意不會影響其獲得法定公共服務或招致不利對待，②自愿性審查機制的構建尤為必要。

第一，程序獨立。公權力機關取得個人信息主體同意的程序應當獨立于信息處理程序本身，避免二者之間相互影響。為確保同意是基于主體自身真實意愿，而非受脅迫或受欺騙作出，可采用同步錄音錄像、第三方見證等方式對同意過程進行全程記錄。借鑒上述經驗，我國《刑事訴訟法》可進一步就同意的取得程序予以規范，如同意的取得應在個人信息處理行為開始前實施；同意可以在律師或公證員的見證下取得，以獨立文書的形式完成；禁止承諾法外利益，國家機關違反自愿性要求所取得的同意不具備合法性與正當性等。第二，動態情境評估。與隱私的“情境脈絡完整性”理論相類似，個人信息主體“自愿性”的判斷也需要結合具體情境判斷。EDPB《指南》列舉了評估因素，包括同意的有效期限、未成年主體的脆弱性。《刑事訴訟法》可考慮增設“同意自愿性評估清單”，要求偵查機關記錄同意時的情境要素（如時間、地點、在場人員、告知內容），并納入案卷以供后續司法審查。此外，在強制偵查轉為任意偵查的過程中，同意自愿性可能會被“技術性消解”。例如，偵查機關以信息主體同意調取通信信息作為對其適用非羈押強制措施的前提，這本質上是將個人信息主體的同意異化為換取自由的籌碼。③參考EDPB《指南》對“捆綁同意”的禁止規則，建議明確禁止把同意國家機關對個人信息進行處理與強制措施適用、量刑協商等事項予以捆綁，旨在保障個人信息主體同意作出的自愿性。

（二）知情之同意

知情之同意要求個人信息主體在充分理解信息處理的目的、范圍及結果之后作出決定。EDPB《指南》強調，信息提供需符合“可理解性”與“可及性”標準，避免使用模糊或概括性表述。然而，在刑事訴訟中，偵查機關常以偵查保密為由壓縮告知義務，導致被追訴人處于嚴重的信息劣勢，使同意淪為形式。為平衡國家機關與個人之間的信息對稱性，國家機關應當履行規范的告知程序，事先詢問信息主體是否同意，并告知其有權拒絕，以及在信息處理過程中，一定情形下其有權撤回同意，以確定個人信息主體的真實意思表示，避免未來發生爭議。

第一，信息處理內容告知。根據個人信息的敏感程度，事先分級告知處理細節，對于一般信息如身份信息，可簡要說明處理目的及法律依據；對于敏感信息如生物特征、健康記錄、具體行蹤軌跡，則需詳細告知信息類型、存儲期限、共享對象及安全風險。歐盟2016/680號指令第13條規定，公權力機關處理個人信息時需告知個人信息主體“控制者身份”“處理行為的法律基礎”“存儲期限”④等。參考該規定，可考慮明確待處理的個人信息告知范疇，增設“個人信息處理告知書”，要求國家機關逐項列明處理要素，并使用通俗語言解釋專業技術術語，從而確保個人信息主體清楚理解各術語的具體內涵。第二，信息主體權益告知。除處理行為本身外，信息處理者應當在同意被作出前明確告知個人信息主體享有撤回同意、訪問數據及提出異議的權利，并告知個人信息主體如何行使其權利。個人信息權益的保障不僅限于信息處理的初始階段，為避免公權力機關的權力濫用還應貫穿于整個信息處理流程，個人信息主體通過查閱、復制實現對個人信息利用的監督，一旦發現數據失真或非法操作，有權主張更正與刪除。第三，信息處理過程告知。知情強調信息處理需要在公開透明的狀態下進行，而公開是程序行使正當性的核心要求，①涉及國家秘密、商業秘密、個人隱私、未成年人的除外。②如此強調個人信息主體知情與公開透明，是因為其充當了對信息處理者行為的“陽光法則”。任何未經充分告知、未獲得同意或超出同意范圍的個人信息處理行為都不具備正當性。③GDPR第12至14條就個人信息處理的透明度、個人信息的訪問內容與方式等作出了詳細規定。④我國《個人信息保護法》第44、48條明確個人信息主體對其個人信息處理享有知情權并有權要求信息處理者對相應的處理規則進行解釋說明。

不過實踐中，在某些緊急情況下，知情同意可能面臨“偵查效率”與“權利保障”的價值沖突。例如，緊急情況下調取通信信息以解救被綁架人質時，詳盡告知可能貽誤救援時機。對此，可允許在緊急情況下先行調取，但需要在規定時間內補辦告知手續，并通過事后司法審查確認該緊急情形的真實性，以防止個人信息被無限收集或不當使用。

（三）特定明確之同意

特定明確之同意要求同意必須針對具體的個人信息或數據類型、處理目的及期限，且以清晰肯定的積極行為作出，具體包括在書面聲明中確認同意、填寫電子表格、發送電子郵件、上傳簽名掃描件或電子簽名等。在某些情況下若有嚴重的個人信息保護風險發生，此時信息主體對其個人信息的高度控制被認為是適當的，對于該信息的處理則需要信息主體的明確同意。然而，實踐中卻常見“自愿配合偵查”的籠統聲明，或通過沉默推定同意調取信息。參考GDPR第9條關于特殊范疇的個人數據處理、第49條關于沒有充分保障措施的情況下向第三國或國際組織傳輸數據、第22條關于包括數據畫像在內的自動化個人決策等規定，以及EDPB《指南》有關明確禁止“空白同意”之規定，即禁止通過概括性授權獲取對未知或寬泛處理活動的許可，可以從以下三個方面進一步完善特定明確性規則。

第一，事項具體。同意必須指向特定個人信息或數據類型、處理目的及存儲期限。例如，同意提取手機信息或數據時，需明確是提取“2023年1月至3月的短信記錄”還是“手機內全部應用程序數據”；同意使用人臉識別信息時，需限定于“本案身份核驗”而非“存入數據庫用于未來偵查”；存儲期限“至本案判決生效后一年”而非“長期保存”。明確規定同意文書需逐項列明處理事項，禁止概括性告知。第二，形式明示。同意需通過積極行為（如簽名、勾選選項、電子確認）作出，默示同意在刑事司法中不具備合法性。EDPB《指南》強調，沉默、預先勾選框或不作為均不構成有效同意。例如，偵查人員詢問“是否同意查看手機”時，被追訴人未回應，不得據此推定同意。建議新增“同意形式條款”，如規定“同意應以書面、電子簽名或同步錄音錄像方式記錄，且需逐項確認處理事項”。第三，目的限制。要求基于同意獲取的個人信息或數據不得用于初始目的之外的用途，除非再次取得明確授權。歐盟2016/680號指令第4（1）（b）條對此也有嚴格的目的限制規范。例如，偵查機關為偵查詐騙犯罪所調取的通信記錄，未經同意不得用于偵查與之相關的洗錢犯罪；為核實自首情節而調取的行蹤軌跡不得用于其他與犯罪無關的行為。我國刑事訴訟法可考慮增設“信息用途限定條款”，要求偵查機關在調取個人信息或數據時注明使用范圍，并對違規處理個人信息的行為預先設定程序性限制。

四、刑事訴訟中同意的撤回及救濟

基于對刑事訴訟中同意原則的適用可能和有效同意的構成要件的解析，依據合意式司法理念，個人信息主體同意撤回權的行使，是保障其個人信息權益最直接有效的方法。同意被撤回后，公權力機關負有一定的被遺忘權國家保護義務，通過構建“司法-行政-平臺”協同機制，為同意原則的適用提供實質保障。

（一）刑事訴訟中同意的可撤回性

同意原則的一個重要特點是“可撤回性”。在刑事訴訟中，既然是合意之同意，從原理上看撤回亦應被允許，即訴訟參與人應當有權隨時撤回自己對個人信息使用的同意。特別是數字時代下，信息處理的透明性和可追溯性大大增強，訴訟參與人可以實時了解其信息的使用情況，并根據實際需要隨時調整或撤回同意。允許撤回同意也是合意式司法理念的必然延伸。作為程序合意的重要組成部分，個人信息處理同意本質上屬于被追訴人對程序權利的有限處分，其效力應當具備可逆性。

GDPR與EDPB《指南》均強調，撤回權應“與同意同樣容易行使”。EDPB在《指南》中明確指出，撤回權是個人信息主體對其個人信息實現自主控制的核心體現，撤回的便利性不得低于同意的作出。這一原則在刑事司法中具有特殊意義。當被追訴人因信息不對稱或權力壓迫作出非自愿同意時，撤回權的行使則成為糾正程序瑕疵的關鍵。GDPR第7條明確規定，個人信息主體有權隨時撤回同意，且撤回不影響撤回前處理的合法性。考慮到刑事訴訟中個人信息保護的需求，我國現行《刑事訴訟法》中亦有必要明確個人信息主體同意撤回權，不過基于對刑事司法制度特殊性的考量，建議進一步明確允許被追訴人撤回同意的情形。

（二）允許撤回同意的情形

撤回同意的合法性應建立在比例原則的基礎上，包括適當性、必要性和狹義比例原則。①結合刑事司法案件的特殊性，通過分析目的、手段和結果的比例關系，確定在何種情形下可以允許撤回同意。

1. 訴訟目的無法實現或已達成

適當性原則（即目的限制原則）要求公權力行為所采取的手段必須有助于實現法定目的，且手段與目的之間存在合理關聯。刑事訴訟中公權力機關收集使用個人信息時，需確保該行為能夠實現案件調查的目標，若訴訟目的無法實現或與訴訟目的無關，或者目的已達成，則該處理行為違反此項原則，信息主體有權要求撤回同意。

以個人同意調取通信信息以自證不在場為例，當調取的個人信息或數據已充分排除其作案嫌疑時，訴訟目的已無法實現，繼續處理行為將超出原先同意范圍，對個人信息權益造成侵犯，此時同意撤回是避免公權力過度干預的必要手段。同樣，當案件經審判程序終結，訴訟目的業已達成，此時公權力機關對個人信息的持續控制與使用喪失正當性基礎，個人信息主體亦有權要求撤回同意。另外，當公權力機關在初步偵查階段調取一般通信信息時，若案件性質未發生變化，但其隨后利用算法分析個人行蹤軌跡、生物特征等高度敏感信息，則此類處理行為明顯超出了信息主體的合理預期，對個人信息主體的隱私構成了實質性威脅，這與《個人信息保護法》第6條關于“與處理目的直接相關”的要求相違背。此時，基于個人信息權益保護的需要，信息主體同樣有權主張撤回同意。參考歐盟2016/680號指令有關目的限制原則的規定，我國《刑事訴訟法》有必要建立定期審查機制，考慮將訴訟目的消滅作為撤回同意的法定觸發條件，明確司法機關在案件終結、證據固化或替代證明方式出現等情形下對個人信息的刪除等義務。

2. 利益權衡下的必要性喪失

必要性原則（即最小侵害原則）要求在多種可行手段中，選擇對公民權益侵害最小的方式。偵查機關在偵查階段若有多種手段可選，須優先采用對相對人權益影響最輕微的一種，其強調“勿以大炮打小鳥”，避免過度干預個人信息權益。在刑事訴訟中，個人信息處理的必要性根植于公共利益與個人權益的動態平衡。當司法機關持續處理個人信息所維護的公共利益已顯著弱化，甚至低于主體的個人信息權益保護需求時，應當承認個人信息權益與公共利益之間的權重發生根本性變化，此時個人信息處理的行為必要性喪失，個人信息主體有權撤回同意。

如何具體判斷國家機關信息處理行為的必要性，既要審查刑事訴訟中個人信息處理行為的目的正當性，也要評估國家機關信息處理手段的強度、范圍以及敏感度是否與案件推進的實際需求相匹配。首先，個人信息處理應當遵循最小侵害原則，即在可能的情況下，優先采用對個人隱私影響較小的方式。例如，若信息主體同意使用非侵入性手段（如查閱公開數據）進行信息處理，而偵查機關卻采用深度數據挖掘、行為追蹤、面部識別等高新技術手段，則可能造成隱私權的過度干預，甚至引發信息濫用風險。其次，可引入“動態利益衡量機制”，由法院或獨立監管機構結合具體案情對個人信息處理的必要性進行階段性審查，重點評估是否存在侵害性更小的替代方案，即在滿足訴訟需求的前提下，是否有其他手段能夠更溫和地實現相同目的；信息處理范圍是否超出合理限度，信息收集和使用應僅限于案件相關部分，防止“大數據式偵查”導致無關個人信息被過度處理；對敏感個人信息的處理是否真正必要，尤其是涉及生物識別信息、財務信息、通信記錄等高敏感性信息時，應特別慎重，確保其信息處理對案件推進具有不可替代的作用。最后，結合我國《刑事訴訟法》第56條關于非法證據排除規則的規定，對于未經實質必要性審查且未獲得持續有效同意的個人信息處理行為，其所獲取的證據應被排除證據效力，防止因程序問題而侵犯個人信息權益。

3. 顯失公平的繼續處理

狹義比例原則（即均衡性原則）要求手段帶來的利益與造成的損害之間需保持均衡，確保目的的重要性應高于手段對權益的限制。在限制個人信息權益時，需充分權衡公共利益與個人權益的損失，若手段的成本遠超過目的收益，顯失公平的繼續處理行為則違背這一原則。一方面，若事后查明同意系受脅迫或欺詐作出，致使被追訴人在信息不完整或非自愿狀態下作出同意授權，這種同意因違背自由意志和知情權而喪失合法性基礎。此時，個人信息主體當然有權撤回同意，偵查機關應主動停止繼續處理，并刪除已獲取的個人信息或數據。另一方面，即使初始同意合法，若后續個人信息處理超出原定同意范圍，如將調取的通信信息用于關聯案件偵查或共享給行政機關，這種濫用行為顯然侵蝕了同意的邊界致使個人信息處理行為失去正當性，個人信息主體有權撤回同意并要求處理機關對其相關個人信息予以刪除、封存或匿名化處理。公權力機關不得在個人信息主體撤回同意后，擅自援引其他法律依據繼續處理個人信息，否則容易導致同意撤回被變相架空。可見，顯失公平的繼續處理行為既可能源于程序失范，也可能源于實體權利與義務之間的比例失衡。

盡管我國《刑事訴訟法》尚未就“同意撤回機制”作出明確規定，不過我國《個人信息保護法》第15條、第47條已初步確立同意撤回權以及撤回后個人信息處理者的刪除義務，2021年《深圳經濟特區數據條例》第22條亦對“撤回不影響既往合法性但需立即停止繼續處理”的規則予以明確。上述具體規范均為我國刑事訴訟法修改中關于“同意撤回機制的構建”提供了寶貴的參考，不過這些規范仍存在一定局限，還需要進一步細化完善。例如，明確撤回同意的具體條件及限制，以防止個人信息主體惡意撤回同意，影響正常司法程序的進行。

（三）撤回同意后的救濟途徑

在撤回同意后，個人信息主體應通過即時救濟恢復其原有的權利狀態，具體包括兩種途徑：一是向處理個人信息的公權力機關尋求程序性救濟；二是請求行政或司法救濟，并由第三方平臺提供協助。

1. 被遺忘權的救濟

被遺忘權是指個人在其個人信息或數據不再具有合法處理必要性時，要求刪除或不再使用這些信息或數據的權利。被遺忘權的救濟是個人信息自主權在刑事司法領域的重要延伸。具體來說，刑事訴訟被遺忘權之行使，主要包括刪除、封存和匿名化處理三種行為，因此同意被撤回后，刑事訴訟被遺忘權所對應之內容主要是刪除、封存和匿名化處理刑事訴訟中同意所涵蓋的個人信息。

其一，刪除。在撤回同意后，對于不再具有保存必要的個人信息或數據，例如案件審結后的生物樣本、無關的電子通信記錄等，公安司法機關應當立即采取技術措施予以刪除。根據歐盟2016/680號指令第5條，成員國應當規定適當的時間限制，以便在保存個人數據時進行定期審查，確保及時刪除不必要的信息。參考這一制度經驗，我國可以規定撤回同意后個人信息或數據的最長保留期限，如撤回同意后信息數據最長保留30日以供申訴核查，逾期將被自動刪除等；建立個人信息清理機制，由司法機關定期檢查存儲的個人信息或數據是否符合法律規定的保留條件，如不符合者應及時予以清理。其二，封存。同意被撤回后，對于仍具潛在司法價值的個人信息或數據，司法機關應采取技術隔離措施，限制負責信息處理的公權力機關對上述信息數據的持續訪問與使用。對于可能被用于上訴審理或司法研究的證據信息或數據，可以采用加密存儲的方式進行處理，并明確非經法院令狀不得解封。對此，我國可以明確同意被撤回后相關個人信息或數據應予以加密存儲，且非經法院令狀不得解封；設立專門的大數據管理制度，明確個人信息或數據的訪問權限與使用范圍，旨在降低信息數據被濫用、泄露的風險。其三，匿名化處理。同意一旦撤回，用于司法統計、研究或公共利益目的的非敏感信息或數據，可以通過技術手段去除直接標識信息，例如刪除個人身份信息或對數據加密，以防止其直接關聯到特定個人。日本《個人信息保護法》第43條要求，匿名化處理必須達到“無法識別特定個人”且“無法通過技術手段恢復個人信息”的標準。我國公安司法機關可在借鑒其經驗的基礎上，制定符合本國實際的技術標準，既保障匿名化數據滿足刑事訴訟的處理需求，又能充分保護個人信息權益。

2. 其他救濟程序

第一，行政救濟。個人信息主體有權向國家有關部門或行政監管機構提出救濟請求，申請其依法介入調查。結合我國《個人數據保護法》第60條、第65條以及GDPR有關監督機關的權限規定，行政機關作為監督者，既能夠受理信息主體的投訴、舉報并開展調查，又可依托動態更新的監管體系，有效預防個人信息權益受損。以2022年通過的《浙江省公共數據條例》為例，該條例第47條明確規定，公共管理和服務機構未按規定“校核、封存、撤回公共數據”的，應當限期整改；違規保留撤回數據的，相關責任主體將依法受到通報批評。上述做法亦可為刑事司法中撤回同意后的救濟規則提供有益借鑒，即通過確立懲戒性規定，健全行政救濟機制，以實現對個人信息權益的及時、有效保護。第二，司法審查。在行政救濟未能有效救濟權利時，個人信息主體可依法向人民法院提起司法審查。人民法院在審查過程中，應當依據《刑事訴訟法》第56條關于證據合法性的審查規則，結合信息處理的目的、手段及其對個人信息權益的影響等因素，綜合判斷信息處理行為的合法性。若認定信息處理機關未履行法定刪除義務，構成程序違法的，應依法裁定排除相應證據，以保障個人信息主體的程序性權利。第三，平臺協作。可以借鑒歐盟“谷歌訴岡薩雷斯案”的裁判規則，①構建“司法-行政-平臺”三方協作機制，司法機關作出刪除裁定后，可向網信主管部門發出協助執行通知，行政機關依通知督促平臺履行刪除義務，網絡平臺則應建立快速響應機制，原則上在24小時內完成相關信息的下架處理。

結語

黨的二十大報告強調“加強個人信息保護”，《刑事訴訟法》的第四次修改為回應數字時代的司法需求提供了重要契機。刑事訴訟承載著懲治犯罪與保障人權的雙重使命，面對犯罪治理與個人信息權益保障的雙重挑戰，需要準確把握好國家權力與個人信息權益之間的關系。在刑事訴訟個人信息處理中，同意原則的適用是平衡國家追訴權與個人信息自決權的必要制度設計。展望未來，隨著我國《刑事訴訟法》的修改完善，特別是《刑事訴訟法》與《個人信息保護法》《數據安全法》的規范競合，對算法透明以及被遺忘權救濟等問題還需要進一步深化研究，從而充分發揮刑事訴訟法對社會公平正義的保障作用。