在大数据时代数据海量收集和深度运用的浪潮席卷下,生物识别数据同样被大量地收集和使用。生物识别数据,是以自然人的身体、生理或行为特征为基础,进行技术处理而形成可识别该自然人独特标识的个人数据,包括指纹、掌印、手形、虹膜、视网膜、面部、基因等身体和生理特征数据以及签名方式、按键习惯、行走步态等行为特征数据。这些数据在当下被广泛用于商业和社会管理。然而,这些由商业机构或社会管理部门等与刑事诉讼本无直接关系的“第三方”所收集的生物识别数据,为国家预防和追诉犯罪提供了便利。从第三方处调取的生物识别数据常被侦查机关用于将特定对象与某项犯罪相联系而实现案件侦破,甚至最终被法院用作对被追诉人的定罪量刑依据。如此虽然提升了国家打击犯罪的能力,但不可避免地带来疑虑。例如,这种行为是否会导致侵犯公民个人数据权利,是否会为公权力机关提供规避法律之漏洞?针对这些潜在风险,有必要围绕此种行为的必要性与合理性、可能带来的相关风险,以及规制此种行为以消减相关风险路径等问题展开研究。一、问题的提出由于商业利益和社会管理需求这两大动力的推动,收集生物识别数据的主体主要是商业机构和社会管理部门。但由这些主体收集的生物识别数据会通过刑事诉讼公权力机关的调取行为而向刑事诉讼中传输,从而产生对此种调取行为的依据、风险和规制方式进行研究之必要。(一)从第三方处调取生物识别数据行为的典型意义从刑事诉讼运行,特别是侦查的现实情况看,从第三方处调取各种类型的数据已不鲜见,例如从银行调取资金往来的数据、从移动通信公司调取通信数据或手机定位数据、从房产管理机构调取房产登记数据等。那么为何要专门研究从第三方处调取生物识别数据这一行为呢?这主要是因为作为此种行为之客体的生物识别数据存在显著的特殊性,从而导致从第三方处调取生物识别数据的行为具有典型意义。其一,生物识别数据是敏感个人数据。根据我国《个人信息保护法》第28条的规定,生物识别数据属于敏感个人数据。这是因为生物识别数据一旦被泄露或非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,因此只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下方可处理此种数据。在刑事诉讼中,生物识别数据的高度敏感性十分突出,一旦处理不慎可能带来严重后果,因此对其的关注具有代表性。其二,生物识别数据是重要数据。我国《数据安全法》第21条按照数据的重要程度及其被非法处理的危害后果,将数据进行了分级,依次是国家核心数据、重要数据和一般数据。生物识别数据从宏观上看涉及生物安全保障问题、关系国家利益,从微观上看与公民个人核心权利密切相关,因此足以成为需要重点研究的数据类型。在刑事诉讼中,针对此种重要之生物识别数据,同样应当遵循重要数据的一般处理规则,在数据处理的全过程中予以更为严格的程序监督与安全保障,防止其被非法使用。生物识别数据自身的特殊性给刑事诉讼中从第三方调取生物识别数据的行为提出了更高的要求,并由于此种特殊性带来的要求,研究从第三方调取生物识别数据行为具有一定的典型意义。以其为研究对象,在聚焦研究视野的同时,也能为调取其他数据行为相关制度的研究提供有意义的参考。(二)从第三方处调取生物识别数据的前提:生物识别数据的广泛收集在商业领域,生物识别数据被主要用于电子商务、金融支付、员工考勤、门禁安保、智能家居等行业,其中金融支付中对指纹和人脸识别数据的使用最为常见和成熟。例如在我国,支付宝早在2014年即已实现国内首次网络指纹支付技术的运用,而如今支付宝线上支付已基本完成从指纹支付到“刷脸”支付的技术过渡。除了通过指纹、人脸识别而提供电子商务和金融支付服务之外,美国富国银行的客户可以使用手机扫描眼球的方式登录账户、花旗银行可以通过声音验证信用卡用户的身份,我国攀枝花市商业银行还推出了刷“掌静脉”办理存取款的业务。在社会管理中,生物识别数据常在出入境安全管控、人口信息和证件审核、重点区域安保、事故灾害救援、公共卫生管理等场景下被收集和使用,人们对于在机场办理登机和出入境手续时,或是在户籍管理部门办理身份证件时接受指纹录入或人脸扫描已然习以为常。无论在商业领域还是社会管理领域,由相应商业机构或社会管理部门对公民实施的生物识别数据收集行为都具有一定意义上的强制性。收集公民生物识别数据的商业机构往往是金融或互联网“巨头”,它们在某一行业中实际上已经具有相当的控制力,因而其相对于公民个人而言具有显著的力量优势,甚至形成了某种意义上类似于政府公权力的“商业权力”或“资本权力”。在面对这样的商业庞然大物提出的唯有提供生物识别数据方可获得其服务的“或接受或离开(Take it or Leave it)”的条款,公民个人的选择权实质上只不过停留在纸面意义上而已,因此商业主体此种收集公民生物识别数据的行为实质上有相当程度的强制性。而由社会管理部门收集公民生物识别数据的行为,由于其背后有政府公权力作为支撑,其强制性更为显而易见。例如,在机场等敏感区域办理出入境手续时,公民拒绝提供生物识别数据不但会导致行程受阻,甚至可能遭受法律惩处。因此,从现实的情况看,收集和使用公民的生物识别数据,已经是当下人类生活方式的重要组成部分,公民作为个体无法从中抽离。此种对公民生物识别数据的广泛收集,为刑事诉讼中公权力机关调取生物识别数据的行为提供了前提。(三)从第三方处调取生物识别数据的方式及其问题既然公民的生物识别数据在社会生活中被广泛收集,这些由商业机构或社会管理部门等无关刑事诉讼的“第三方”所获取的生物识别数据,就为刑事诉讼中的公权力机关提供了证据的重要来源。侦查机关从社会管理部门处调取公民生物识别数据的情形最为常见。例如许多国家允许警方从出入境管理部门处调取生物识别数据。“9·11”恐怖袭击后,美国逐步在世界范围内实施包括指纹收集在内的生物识别签证制度,相关数据进入国土安全部的US-VISIT等数据系统后可以被用于识别恐怖分子或犯罪嫌疑人。2019年欧洲议会同意建立通用身份资源库(CIR),除了申根信息系统、指纹系统、签证信息系统外,该系统还涵盖欧洲第三国国民犯罪记录系统、出入境系统和欧洲旅行信息和授权系统三个新系统,将收集3.5亿人的生物识别数据,并允许所有执法部门使用这些数据。我国《出入境管理法》第7条规定,“经国务院批准,公安部、外交部根据出境入境管理的需要,可以对留存出境入境人员的指纹等人体生物识别信息作出规定”。据此,公安部《关于决定在入境检查时留存外国人指纹等人体生物识别信息有关事项的公告》对留存外国人指纹等人体生物识别信息作了具体规定,而根据《刑事诉讼法》第54条“行政机关在行政执法和查办案件过程中收集的物证、书证、视听资料、电子数据等证据材料,在刑事诉讼中可以作为证据使用”之规定,出入境管理过程中留存的生物识别数据进入刑事诉讼作为证据为法律所许可。相较从社会管理部门处调取公民生物识别数据而言,刑事诉讼中的公权力机关从商业机构处调取生物识别数据的行为往往不为人所知。这是因为无论公权力机关还是商业机构都不希望这种生物识别数据共享的事实见诸媒体。特别是商业机构基于商业利益的考虑,往往担心此种事实被报道后会影响客户对其的信任。尽管如此,从一些新闻报道或文件中还是可以略窥端倪:据我国央视经济之声《天下财经》报道,由清华大学与梓昆科技(中国)股份有限公司等联合研发的具有人脸识别的、我国首台具有自主知识产权的自动柜员机将与银行、公安等系统联网,从而有效扼制目前的一些自动柜员机犯罪行为。这意味着由自动柜员机收集的人脸识别数据将直接上传给公安机关。支付宝在《支付宝隐私权政策》中也明确说明,在出现与犯罪侦查、起诉、审判和执行判决等直接相关的情形时,支付宝根据相关法律法规及国家标准共享、转让、公开披露用户的个人信息无须征得用户同意,其中显然涉及通过指纹支付、面容支付等方式而取得的指纹、面容等生物识别数据。既然作为刑事诉讼第三方的商业机构或社会管理部门收集的公民生物识别数据都可能被刑事诉讼中的公权力机关调取而成为刑事证据,则我们不得不思考以下三个层面的问题。第一,刑事诉讼中的公权力机关,特别是侦查机关从第三方处调取生物识别数据是否必要,有无法理和规范依据?第二,即便此种行为具有必要性和合理性,但从第三方处调取生物识别证据与刑事诉讼中的取证遵循不同的标准,是否会带来风险?第三,倘若风险确实存在,是否可以确立某些原则、设置某些规则来规制此种调取生物识别数据的行为,从而防范甚至消除这些风险?只有审慎思考并回答上述问题,才能令从第三方处调取的生物识别数据在刑事诉讼中,在合法的框架下得到有效运用。二、刑事诉讼中从第三方处调取生物识别数据的必要性与合理性刑事诉讼中公权力机关从第三方处调取公民生物识别数据的行为,符合现代社会下预防和打击犯罪的要求,同时可以大大提高诉讼效率,因此具有一定的必要性和合理性,也得到一些国家判例或成文法的支持。(一)预防打击犯罪的需求刑事诉讼中的公权力机关通过第三方调取生物识别数据,既可以被看作取证方式的主动变革,也是科技时代下侦查追诉需求的倒逼结果。一方面,随着科技的发展,刑事诉讼的运行模式发生了变化,公权力机关主动推进数字化改革,运用大数据、人工智能等先进技术对刑事诉讼进行着改造。特别是侦查机关的取证,在现代科技的引领或裹挟下变得更加依赖于技术,传统的技术侦查手段如监听监视、追踪定位已不再鲜见,网络搜查、电子数据在线提取等也得到了更加广泛的运用,而且由此取得的数据往往直接进入可以互联互通的数据库中。在这样的背景下,一些兼具社会管理和刑事侦查职能的机关,在作为社会管理部门时履行职责而取得的公民生物识别数据,很容易被用于刑事侦查目的。即便其间有相应的程序限制,这种侦查手段也往往通过相对简单的内部审批流程即可实现。与此同时,刑事诉讼公权力机关通过商业机构调取生物识别数据也不存在实质性的障碍,只需完成诸如取得法院命令、令状等某些特定程序即可实现。另一方面,现代犯罪的样态也发生了极大的变化。传统形态的犯罪如故意杀人、抢劫、强奸等数量不断下降,依托于网络平台、数字技术等科技手段的新型犯罪则花样翻新、数量激增,使得旧有的侦查和证据收集手段已经无法满足应对此类犯罪的需求。即便是在传统犯罪的案件办理过程中,新技术的引入也大大提高了侦查效率,降低了错案风险。这些新技术的运用,迫切地要求大量数据包括生物识别数据作为基础,使得对犯罪的侦查和追诉越来越依赖于对包括生物识别数据在内的各种数据的收集和分析,倒逼着侦查机关或其他刑事诉讼中的公权力机关向商业机构或社会管理部门伸手要数据。技术的发展使得商业机构和社会管理部门能够收集海量的公民生物识别数据。如此庞大体量的数据一旦用于刑事诉讼,不但能帮助公安司法机关有效应对各类新型犯罪,即便在面对传统型犯罪时也能大大提升办案效率、提升办案质量。从预防打击犯罪之目的看,刑事诉讼中公权力机关从第三方处调取公民生物识别数据具有了显著的必要性,也符合高科技时代下刑事诉讼模式变革的趋势。(二)成本与收益的考量尽管由于刑事诉讼涉及公民基本权利,讨论刑事诉讼的成本与收益问题总是存在争议,但从经济学的视角看,刑事诉讼的过程涉及国家人力、财力、物力的投入,需耗费国帑,则不得不考虑资源投入与效果产出。正因如此,效率价值逐渐被人们所认可而成为刑事诉讼多元价值体系中的重要一环,在公正优先的前提下对效率的兼顾已成共识。尤其在当下包括我国在内的许多国家都面临案件数量迅猛增长、办案机关人手不足的压力,使得核算诉讼行为的成本与收益,提高诉讼效率这一问题越来越受到重视,甚至在某种程度上迫使刑事诉讼的其他价值向其作出妥协和让步。由侦查机关直接进行的传统取证行为,有公共成本与个人成本的投入。其中公共成本包括人员的投入以及由此带来的国家财政支出、办公场地和用品等费用等直接成本,以及违法或错误取证导致诉讼手段失效的间接成本等;个人成本包括被追诉人等公民个人为配合或应对此种取证行为所支出的成本,如工作时间的损失、物品的损坏等。如果由侦查机关进行生物识别数据的收集,在相关成本中还需要加上侦查人员的专业培训、硬件设备的投入、相关数据库及应用软件的开发等,还可能增加因被追诉人拒绝提供生物识别数据而需进行案件审批、令状申请等程序而带来的成本。如此一来,相较于由刑事诉讼中的公权力机关特别是侦查机关直接收集公民生物识别数据,从第三方处调取生物识别数据,其优点是显而易见的。其中最重要的优势在于能够大大节约资源、提高诉讼效率。一方面,侦查机关等公权力机关可以减少人员、设备等方面的投入,从而节约直接成本。若由刑事诉讼公权力机关直接收集公民生物识别数据,需购置大量硬件设备,并配备相关软件和技术人员,甚至需要将大量的数据处理工作外包给专门的科技公司。以我国的“天网”系统为例,为实现充分的人脸识别数据收集,仅投入安装的摄像头就超过2000万个,(15)打造该系统的整体成本以千亿元计。但是若从商业机构或社会管理部门等刑事诉讼第三方处调取生物识别数据,则此类成本已有该第三方承担,因此大大减少了刑事司法的直接成本。另一方面,由于第三方收集公民生物识别数据的行为往往已然取得了该公民的同意,或是在其不知情的状态下进行的,可以减少因该公民抗拒或拒绝收集致使程序烦琐,以及引发收集手段是否合法的争议而导致的间接成本。从这个意义上看,从第三方处调取生物识别数据,对于公权力机关而言,就成本与收益考量而言,是合理的。(三)判例与成文法依据对于刑事诉讼中的公权力机关特别是侦查机关从第三方处调取数据或信息,各国已有相关的判例或成文法依据予以支持。从第三方处调取公民生物识别数据,同样可以适用这些判例或成文法规则。美国法上针对宪法第四修正案所规定的搜查扣押规则有“第三方原则”(Third-Party Doctrine)之例外。在1976年的米勒案中,美国联邦最高法院判定公民自愿提供给银行的账户信息不受宪法第四修正案的保护,因为此种账户信息已不再是该公民的个人信息,而是银行的商业信息,因此对于这些信息该公民并没有“隐私期待”,因此侦查机关向银行等第三方调取公民的账户信息不会侵犯该公民的权利,也不受宪法第四修正案搜查扣押规则的限制。自此“第三方原则”得以确立,凡公民自愿向第三方提供的信息不受宪法第四修正案保护,侦查机关无须向法院申请搜查令状即可向该第三方调取此类信息。尽管“第三方原则”饱受争议,批评者认为其可能导致政府方对公民隐私权和信息安全的肆意侵犯,但即便在2018年的卡朋特案中,联邦最高法院也并未放弃“第三方原则”,更未否定允许刑事诉讼中政府方从第三方处调取包括生物识别数据在内的相关数据的判例或成文法规则。德国《刑事诉讼法》第100j条规定:“如果对案件行为或者犯罪嫌疑人所在地的调查是必要的,可以在此范围内向提供或者参与提供电信服务的人员请求依据《电信法》第98条和第111条所提取数据而获得的信息(《电信法》第113条第1款第1句)。……提供或者参与提供电信服务的人员,应当毫不延迟地提供信息传送所需的数据。”据此,在德国的刑事诉讼中,公权力机关有权向电信服务商请求提供数据以实现刑事调查的目的,按照此种逻辑,要求第三方提供生物识别数据也不存在根本障碍。日本《刑事诉讼法》允许侦查机关出于追踪电子记录的需要,从通信企业处“掌握”有通信履历的电子记录,其第197条还规定,侦查机关可以用书面形式要求通信企业人员对通信电子记录中的发信方、收件方、通信日期等必要内容进行30日、必要时可延长至60日的证据保全。由此可见,日本侦查机关可以要求作为第三方的通信企业为刑事诉讼目的而改变定期删除数据的常规商业做法而进行数据保全,从而便利侦查机关从该第三方处调取数据以利侦查。上述国外判例或成文法规则,均许可刑事诉讼中的公权力机关特别是侦查机关从第三方处调取数据,肯认第三方在刑事诉讼外调取的数据在刑事诉讼中的证据效力。尽管这些规则多笼统地使用“数据”“信息”等概念限定规范对象,但侦查机关在法定情形下从第三方处调取公民生物识别数据并无本质障碍。尤其是根据美国“第三方原则”,只要该生物识别数据是由公民自愿向第三方提供的,则政府方自然得以从第三方处调取该数据,所需的无非是履行程序义务如申请令状而已。我国《刑事诉讼法》第54条第2款规定:“行政机关在行政执法和查办案件过程中收集的物证、书证、视听资料、电子数据等证据材料,在刑事诉讼中可以作为证据使用。”于是,行政机关以社会管理部门的身份执法时所收集的数据,包括公民的生物识别数据,可以通过该条规定之路径顺利进入刑事诉讼而作为证据使用,即法律已然许可从第三方处调取的生物识别数据在刑事诉讼中的运用。此外,《刑事诉讼法》第54条第1款规定:“人民法院、人民检察院和公安机关有权向有关单位和个人收集、调取证据。有关单位和个人应当如实提供证据。”此条文中的“有关单位”自然包括商业机构和社会管理部门在内的刑事诉讼第三方,“调取”证据应当包括调取由第三方收集的生物识别数据。更需要关注的是,我国2021年通过的《数据安全法》第35条规定:“公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。”另外,2016年最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第3条规定:“人民法院、人民检察院和公安机关有权依法向有关单位和个人收集、调取电子数据。有关单位和个人应当如实提供。”2019年公安部《公安机关办理刑事案件电子数据取证规则》第5条规定:“公安机关接受或者依法调取的其他国家机关在行政执法和查办案件过程中依法收集、提取的电子数据可以作为刑事案件的证据使用。”这些规定更是明确为刑事诉讼公权力机关,从第三方处调取包括生物识别数据在内的各类数据提供了依据。三、刑事诉讼中从第三方调取生物识别数据的风险尽管公权力机关从第三方处调取生物识别数据的行为具有必要性和合理性,但其也会存在一些风险。(一)对侦查权力的制约力度减弱由商业机构和社会管理部门等第三方进行的生物识别数据收集活动,与由刑事诉讼公权力机关特别是侦查机关直接进行的取证相比较,实施方式存在明显差异。一方面,第三方收集公民生物识别数据时往往可以获得数据主体的同意。第三方在收集数据时通常遵循“知情—同意”的原则,需向数据主体进行告知并取得同意,无论是支付宝之类的商业软件还是北京健康宝等社会管理程序,用户登录后往往需要针对其数据收集政策点击同意后方可使用。尽管如上文所述,面对“商业权力”“资本权力”或政府的社会管理权力时,作为个体的公民实际只能“或接受或离开”,但相较于刑事诉讼中的取证毕竟还是有一些选择权的。在刑事诉讼中,公民个人特别是被追诉人,面对以国家暴力为后盾的取证行为几乎没有任何选择的余地,只能“接受”不能“离开”。否则,公权力机关可能以强制手段进行生物识别数据的收集。另一方面,第三方进行的生物识别数据收集活动所受的监督制约较少。通常对于商业机构或社会管理部门收集数据的行为往往是由相关监管部门通过颁布规则、提出标准的方式进行概括性的监管,只有在出现严重违规违法事件时才会进行个案的审查和处罚。在刑事诉讼中,对于公权力机关特别是侦查机关的取证行为,通常采取个案式、事前的监督,例如对于具体案件需进行内部审批或向法院申请令状。因此,无论来自作为数据主体的公民或其他权力监督机构,第三方收集生物识别数据相比由侦查机关主动收集此种数据所受的制约均较少。侦查机关从第三方处调取生物识别数据也将更为简便易行,不但可以避免数据主体的“抵抗”而使程序顺利,而且可以减少案件审查和权力限制带来的烦琐手续。正因如此,从第三方处调取生物识别数据在侦查实践中得到青睐。此种取得数据之方式对于打击和追诉犯罪有重要的促进作用,但其风险在于:在通过第三方调取此类生物识别数据,既有数据主体同意的外观,又规避了法律关于刑事取证的严格要求,有可能导致相应权力制约手段失效而带来权力滥用。因此,应在允许此种调取数据行为的基础上,适当增强权力监督与制约的力度,使此种行为被限制于在法治的框架内。(二)证据能力审查存在困难某项证据材料欲在刑事诉讼中被采纳而成为定案依据,需具有证据能力和证明力的双重证据属性,生物识别数据亦不例外。其中对于证据能力的审查主要是通过证据规则的运用而实现的。根据威格摩尔的理论,证据规则可以被分为关联性规则、辅助性规则和外部政策规则三大类,辅助性规则又可再分为优先性规则、分析性规则、预防性规则、简化性规则、定量性规则五小类。证据材料进入刑事诉讼后首先需通过关联性规则的关口,再接受包含五小类细化规则的辅助性规则及外部政策规则的审查后,方被视为具有可采性。这种被达马斯卡称为跨越“证据规则障碍”式的证据能力审查方式可操作性强,不但在英美法系得以奉行,也已逐渐被包括我国在内的具有大陆法系传统的国家所借鉴,其中最典型的例子是通过运用非法证据排除规则对证据的证据能力进行审查,并将非法收集的证据排除。然而,由于刑事诉讼中的公权力机关通过第三方调取公民生物识别数据存在上文所述的制约力度减弱的风险,通过证据规则尤其是非法证据排除规则,对调取的生物识别数据进行证据能力的审查存在较大困难。首先,非法证据排除规则限制的是公权力机关的取证行为,其制度核心在于震慑公权力违法、防止政府权力滥用。由第三方特别是商业机构进行的数据收集行为,本身不在非法证据排除规则的规制范围之内。因此,由第三方收集后再被刑事诉讼公权力机关调取的生物识别数据在适用非法证据排除规则时存在困难。其次,数据主体同意外观和数据传输过程的秘密性,增加了辩方提出排除非法证据申请的难度。辩方欲排除非法证据,需提出排除之申请。我国《刑事诉讼法》第58条第2款规定:“当事人及其辩护人、诉讼代理人有权申请人民法院对以非法方法收集的证据依法予以排除。申请排除以非法方法收集的证据的,应当提供相关线索或者材料。”然而由于当事人在向第三方提供生物识别数据时往往已附有同意的表示,刑事诉讼中的公权力机关向第三方调取数据的过程又不公开,于是辩方既难以证明已获同意之收集行为非法,也难以提供收集行为非法的相关线索或材料。最后,刑事取证合法性的证明标准无法适用于从第三方处调取公民生物识别数据的行为。美国宪法第四修正案对搜查扣押等实物证据的取证行为有“合理性”(Reasonableness)的要求,并用“合理根据”(Probable Cause)解释此种合理性要求。在整个证明标准体系中,“合理根据”居于中间位置,高于“合理怀疑”,低于“优势证据”。我国《刑事诉讼法》第60条规定的排除非法证据的证明标准为法庭“确认或者不能排除存在以非法方法收集证据情形的”,这样的二重性标准中即便低于“不能排除非法可能性”,但也是高于“合理怀疑”标准的。显然,无论是我国“确认或者不能排除非法可能性”,还是美国“合理根据”标准,直接用于限制商业机构在商业活动中或社会管理部门在行使常规性社会管理职能中收集公民生物识别数据的行为都是不现实的。相应的商业活动或社会管理活动将因门槛过高而无法进行下去,因而从第三方处调取公民生物识别数据的行为也无法受此规制。(三)个人数据权利易受到损害刑事诉讼中的公权力机关从第三方处调取公民的生物识别数据,还可能与数据法上个人数据权利保护的基本原理或原则发生冲突,从而导致个人数据权利受到损害。具体而言,此种损害表现在调取前和调取后两个方面。其一,数据调取前数据主体的“知情—同意”是不完整的。“知情—同意”是个人数据保护的最基本原则之一,甚至可以被视为收集使用个人数据的合法性基础。正因如此,欧盟《通用数据保护条例》(General Data Protection Regulation)第6条规定,“数据主体同意其个人数据为一个或多个特定目的而处理”是个人数据处理合法性的基本条件之一;我国《民法典》第1035条规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意……”然而,当数据主体向商业机构和社会管理部门提供生物识别数据时,其知情与同意通常限于用于商业目的或社会管理目的。以上文所述的支付宝为例,现实生活中绝大多数用户在向支付宝提供指纹、面容等生物识别数据时,由于拒绝提供将直接影响应用程序的使用,所以往往不会细读《支付宝隐私权政策》,而关于可能向刑事诉讼公权力机关共享、转让或公开披露相关数据的说明在该长达万余字、专业却枯燥的隐私权政策文本中位置极为靠后,其告知的实际效果可想而知。可见,针对生物识别数据从公民提供给第三方和刑事诉讼公权力机关从第三方处调取生物识别数据的两个阶段,数据主体只对第一个阶段知情同意,对第二个阶段通常既不知情也无真正意义上的同意。因此,在此种场景下,所谓数据主体的知情同意最多只具有同意的外观,并非完整意义上的知情同意。其二,数据调取后数据主体将对其生物识别数据失去控制。为保护公民的个人数据权利,数据主体在提供个人数据之后仍对该个人数据进行一定程度的控制。欧盟《通用数据保护条例》第三章所确立的一系列数据主体权利,实际上就是肯定数据主体对个人数据的持续控制,以数据控制者的透明沟通为前提,允许数据主体访问数据、更正或删除数据、限制及反对数据控制者处理数据等。我国《民法典》第1037条也规定:“自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”但是当公民向商业机构或社会管理部门提供生物识别数据、该数据再被转交给刑事诉讼中的公权力机关后,该公民特别是当其作为刑事被追诉人,对此种生物识别数据将丧失控制。具体而言,由于侦查阶段封闭秘密的天然特征,侦查机关掌握的包括生物识别数据在内的证据不向当事人开示;即便到案件移送起诉、允许阅卷之后,由于阅卷权范围狭窄等原因,当事人无法进行实质有效的数据访问,更难以要求更正、删除或反对使用该数据。四、刑事诉讼中从第三方处调取生物识别数据的规制路径尽管生物识别数据被用于刑事诉讼的原始起点在第三方收集个人数据阶段,但由于对该阶段收集数据行为的规制已经超出刑事诉讼所能涵盖之范围。在刑事诉讼领域,针对从第三方处调取生物识别数据行为进行的规制,从限制公权力和保障公民权利的视角看仍有重要价值。(一)从第三方处调取生物识别数据的基本理念欲防止在刑事诉讼中从第三方处调取生物识别数据所带来的上述风险,需对此种行为予以必要规制,但在此之前应确定实施此种行为的基本理念,以指导具体规制方案的设计。根据上文所述的生物识别数据本身的特殊性,以及刑事诉讼中从第三方处调取生物识别数据的潜在风险,公权力机关从第三方处调取生物识别数据应遵循以下三项基本理念。一是刑事诉讼公权力机关从第三方处调取生物识别数据应作为法定之最后手段。如上文所述,由于生物识别数据系敏感个人数据,根据敏感个人数据的一般处理规则,除非有法定例外情形,否则对敏感数据的处理应予禁止。虽然刑事诉讼涉及重大公共利益,属于可以处理个人敏感数据的例外情形,但即便在刑事诉讼中,收集个人生物识别数据这种高度敏感的数据仍应作为法定的最后手段,只有在传统的取证手段无法实现刑事诉讼目的的情况下方得采取,从第三方处调取生物识别数据亦不例外。而且由于从第三方处调取公民生物识别数据的行为可能带来上文所述的假手他人取证以规避法律的风险,在具备由刑事诉讼公权力机关收集生物识别数据的条件时,除非可能严重影响诉讼效率、导致过高成本,就不应转从第三方处调取,以确保侦查行为更好接受刑事诉讼相关规则的直接规制。二是刑事诉讼公权力机关从第三方处调取生物识别数据应遵守目的限制和最小侵害原则。刑事诉讼公权力机关从第三方处调取公民生物识别数据,应基于刑事诉讼之目的,如取证、起诉、审判等,不得以此种行为追求其他目的。目的限制原则的要求绝非无稽,我国还曾发生辅警从当事人支付宝中盗取25万余元的案件,这表明强调目的限制原则的必要性。既然遵循目的限制原则,只要能够实现刑事诉讼的目的,从第三方处调取公民生物识别数据就应进一步遵循最小侵害原则,尽可能减少对公民权利的侵犯,具体而言:第一,在调取数据的数量和内容方面,根据刑事诉讼的目的“按需”而取,不接收与案件无关的生物识别数据;第二,在数据的传输、存储、使用方面,履行生物识别数据的安全保障义务,避免数据泄露;第三,在刑事诉讼目的已经完成时,及时封存或删除相关生物识别数据。三是刑事诉讼公权力机关从第三方处调取生物识别数据应接受必要的监督和制约。对于从第三方处调取生物识别数据的行为,需从权力规范与权利保障两个方面予以监督和制约。一方面是强调公权力自身或不同权力间的监督制约。如上文所述,在对搜查做广义理解的背景下可以将通过第三方调取生物识别数据的行为视为搜查,在对搜查做狭义理解的背景下可以将其视为技术侦查,但无论其作为广义的搜查还是技术侦查,都需要经过内部审批或司法审查的监督。另一方面是强调来自公民的监督制约。应当重视在公权力机关从第三方处调取生物识别数据的过程中的公民数据权利保障,以权利制约权力。(二)生物识别数据调取前的个案审批与司法审查在我国,对刑事诉讼公权力机关从第三方处调取生物识别数据的行为由法院或者法官在事前做司法审查、颁发令状,恐怕是不现实的。目前,各个法院普遍存在案多人少的困难,审判工作已然让法官们倍感压力,再欲令其对从第三方处调取生物识别数据的行为进行事前审查,恐怕其既无心也无力承受。面对此种现实,对于我国刑事诉讼公权力机关从第三方处调取生物识别数据行为的事前审查应按照“三步走”的策略予以完善。第一步,严格从第三方处调取生物识别数据行为的内部审批流程。如上文所述,在我国将从第三方处调取生物识别数据的行为视为技术侦查具有逻辑上的合理性,可以按照现有法律对技术侦查“经过严格的批准手续”的要求进行内部审批,(26)经办案部门提出申请、制作《呈请调取生物识别数据报告书》,由设区的市一级以上公安机关负责人批准后,开具《调取生物识别数据通知书》,注明需要调取的生物识别数据的相关信息,通知商业机构或社会管理部门等第三方提供。第二步,在适当的时候将从第三方处调取生物识别数据行为的事前审批权交由检察机关行使。我国检察机关是宪法规定的“法律监督机关”,对刑事诉讼全程进行法律监督,且由于大陆法系检察官中立义务之传统,由其对从第三方处调取生物识别数据行为进行事前审批符合其定位,能够保证相对的中立客观。此外,将从第三方处调取生物识别数据行为的事前审批权交给检察机关,符合检察院加强侦查监督的工作重心变化要求。更重要的是,检察机关是刑事司法领域唯一一个能够全程参与刑事诉讼所有环节的机关,对数据安全监管具有全景视角、对个人数据保护进行全程关注、对刑事司法中的数据处理进行实时监督,相较于《数据安全法》所言之网信部门或公安机关、国家安全机关,更适宜作为刑事司法领域的专门数据安全保护机构,因此由其对从第三方处调取生物识别数据行为进行事前审批也具有相对合理性。第三步,未来从第三方处调取生物识别数据行为最终仍应从内部审批或检察机关审批走向司法令状主义。如上文所述,生物识别数据是关系到公民人身、财产安全、健康、名誉、尊严的最敏感的数据,对于这些数据的调取,涉及公民的基本权利,应由中立无偏倚的司法机关批准后方可施行。(三)生物识别数据调取中的酌情告知与数据安全保障生物识别数据的独一无二性使其与公民的基本权利息息相关,而对于生物识别数据的侵害主要是程序性的,如未经同意而收集公民生物识别数据、未对生物识别数据履行合理的安全保障义务等。无论欧盟《通用数据保护条例》,还是美国伊利诺伊州等州的《生物识别信息隐私法案》(Biometric Information Privacy Act, BIPA),对于数据处理方的违法行为的规定均具有共同特点,即以违反法律的程序性规定作为认定侵权的方式。我国2021年通过的《个人信息保护法》对个人信息处理者也提出了大量的程序性要求。因此,加强程序控制对于防止公民数据权利受到侵害、避免数据权力滥用有着核心意义,刑事诉讼中公权力机关向第三方调取生物识别数据也是如此。在生物识别数据的调取过程中,有两方面重要问题值得关注,一是向当事人的告知问题,二是生物识别数据的安全保障问题。根据《个人信息保护法》第28、29条的规定,生物识别数据是典型的敏感个人数据,一旦被泄露或非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,因此在收集生物识别数据时,以取得个人单独同意为原则,甚至在必要时需取得书面同意。同样的,刑事诉讼公权力机关向当事人告知从第三方处调取生物识别数据,是当事人在后续程序中行使数据权利的前提,有助于防范公权力机关的权力滥用。然而,从第三方处调取生物识别数据主要发生在侦查阶段。侦查阶段具有天然的封闭和秘密特征,这种封闭性和秘密性是防止案件侦查受到干扰、保证程序顺畅进行的必要条件。因此,若向当事人告知调取生物识别数据的事实,不免令侦查机关产生案情泄露的担忧;但是若不向当事人告知,则会出现如上文所述的“知情—同意”不完整的情况,影响当事人数据权利的行使。面对此种冲突,严格遵守《个人信息保护法》必须事前取得同意的要求是不现实的,不妨按照酌情告知的方式,根据案件不同情况决定是否告知从第三方处调取生物识别数据的事实。具体而言,若调取过程发生在侦查阶段,则根据个案的具体情况,包括侦查的进度、已掌握证据的程度、犯罪嫌疑人是否被采取强制措施等,决定是否向其告知调取生物识别数据的事实,是否告知的决定应在《调取生物识别数据通知书》说明;若调取过程发生在侦查终结、案件移送审查起诉之后,既然相关法律已然允许辩方阅卷,告知调取生物识别数据的事实亦不存在障碍。对公权力机关科以严格的义务,可以有效防止其滥用从第三方处调取生物识别数据的权力。从第三方处调取生物识别数据时,在发生数据流转的过程中,刑事诉讼的公权力机关应当履行数据安全的保障义务。一是全程记录调取过程的义务。公安部《公安机关办理刑事案件电子数据取证规则》第40条要求在调取电子数据过程中,“必要时,应当采用录音或者录像等方式固定证据内容及取证过程”。参考此项规定,考虑到生物识别数据的高度敏感性,公权力机关应当对调取过程以录音录像等方式进行全程记录,以确保调取数据的合法性和完整性。二是数据调取中的保密义务。在向第三方调取生物识别数据而发生数据流转的过程中,应当要求包括公权力机关在内的数据处理者以必要手段防止数据泄密,这些手段包括但不限于对相关数据做匿名化处理、设置密级授权触发机制、定期评估系统保密安全性等。三是数据泄密后的及时处置义务。一旦发生生物识别数据的泄露,公权力机关等数据处理者应立即通知数据监管机构,及时采取措施对数据泄密进行风险评估和阻断以减少损失,并在必要时告知作为数据主体的当事人并向其提示风险。(四)生物识别数据调取后的个人数据权利保护在生物识别数据从第三方向刑事诉讼公权力机关的流转完成后,可以参考《个人信息保护法》《数据安全法》等数据信息领域的立法规定,赋予作为数据主体的当事人必要的数据权利,加强对这些数据权利的保障力度,针对以下两个方面的问题预防相应风险,尽可能实现公权力运行与公民权利保护的平衡。一方面,应通过个人数据权利的保障防止对生物识别数据的不当使用。首先,可以通过确认数据访问权以使数据主体确认其生物识别数据是否正在被处理,并获得对相关数据的访问。对数据的有限访问是通过数据权利行为制约相关数据不当使用的基本前提。我国《个人信息保护法》第45条规定个人有权向个人信息处理者查阅、复制其个人信息,《刑事诉讼法》第40条也有关于阅卷权的规定,结合二者可以考虑设置数据访问权,允许数据主体对被调取的生物识别数据进行访问,令其知悉被调取数据的内容及法律意义,从而有针对性地准备质证,防止该数据被不当使用。其次,可以通过保障数据主体的更正权确保被调取的生物识别数据被准确使用。更正权是数据主体发现个人数据不准确或不完全时要求数据处理者予以更正和补充的权利,当被调取的生物识别数据存在张冠李戴、数据不完整或数据需要更新时,数据主体可主张更正权以防止其误用。最后,应保障数据主体针对公权力机关不当处理从第三方处调取的生物识别数据的申诉、控告的权利。倘若作为数据主体的当事人认为刑事诉讼中的公权力机关不当甚至违法处理相关生物识别数据的,可以参考《刑事诉讼法》第49条和第117条关于申诉、控告的规定,向同级或者上一级人民检察院提出申诉或者控告,以实现防止权力滥用的目的。另一方面,应通过个人数据权利的保障平衡刑事诉讼中数据公开与个人隐私的关系。在刑事诉讼中,数据的公开对于保障司法公正有重要意义,特别对确保控辩平等对抗、保护被害人诉讼权利等有直接价值。但在公开从第三方处调取的生物识别数据时,由于此种数据属于上文所述的个人敏感数据,直接指向个人隐私,一旦泄露及被非法使用可能给数据主体的利益带来严重伤害,因此不得不考虑此种数据公开与个人隐私保护之间的平衡关系。对此,其一,可以允许数据主体针对生物识别数据因公开而带来的显著风险行使反对权。反对权是数据主体在数据处理者对其个人数据进行特定处理时,提出反对并阻止此种数据处理的权利。在刑事诉讼中公开从第三方处调取的生物识别数据时,数据主体可以主张此种公开可能会导致泄露和非法使用,伤害个人权益,进而反对对相关生物识别数据的公开,以实现个案中的价值平衡。其二,可以考虑引入被遗忘权制度,允许数据主体在相关生物识别数据已不再有被合法使用之需时,要求数据处理者封存或删除该数据。被遗忘权制度已被欧盟《通用数据保护条例》等域外法律所认可,我国《个人信息保护法》第47条对其亦有近似规定。在刑事诉讼中从第三方处调取的生物识别数据的场景下,当使用该生物识别数据的刑事诉讼目的已然实现,或该数据系基于同意取得,但发现该同意并非自愿、同意被撤回或存储该数据的法定或协定期限已到,则作为该生物识别数据之数据主体的当事人可以提出封存或删除该数据,从而避免该生物识别数据以超越刑事诉讼目的使用,或致使当事人与该刑事案件永久关联。五、余论:规制数据调取的普适思路本文以刑事诉讼公权力机关从第三方处调取生物识别数据行为为研究对象,是因为生物识别数据的特征使得此种行为具有典型意义。进一步分析,从规制调取生物识别数据行为的思路和规则出发,是否可以推导出《刑事诉讼法》第54条第1款及《数据安全法》第35条所许可的其他数据调取行为的普适路径呢?根据上文的论述,为确保在法治化的轨道上运用从第三方处调取生物识别数据这一手段,基本的要求就是对公权力的运行加以限制,对公民权利加以保障,并在必要之时关照第三方利益,从而实现权力与权利的平衡,这可作为规制数据调取行为的普适性思路。首先,监督和限制此种调取数据的权力,防止其滥用。由于公权力易于扩张的特征和案件侦诉审的现实压力,数据调取的权力在实践中有被自行扩大适用范围的趋势,于是对其的监督制约就显得十分必要。其次,重视数据调取中的公民权利保障,是确保依法调取的重中之重。由于调取数据本质上是具备干预性的强制处分措施,涉及对公民权利,甚至宪法基本权利之干涉,兹事体大,不可不慎。基于司法为民的立场,保障公民权利亦应成为规制调取数据行为的主要方式之一。再次,在调取数据时应兼顾第三方特别是商业机构的合法利益。调取数据不仅涉及公权力机关和作为相对人的公民,亦关涉作为第三方的“相关单位和个人”的利益,尤其是银行、网络通信运营商等商业机构,在要求其配合调取之外需适当兼顾其合法合理的商业利益,以防止此项制度难以持续有效运行。