侦查中第三方数据搜查规制研究_陈海彬.pdf

1、 79【侦查研究】2023 年 1 月第 1 期January 2023 No.1北京警察学院学报Journal of Beijing Police College侦查中第三方数据搜查规制研究陈海彬（中国人民公安大学,北京 100038）摘 要：大数据时代，侦查机关对第三方网络服务商开展数据搜查已经成为当前重要的侦查措施，却面临着传统的令状规制逐渐失灵问题。通过对第三方数据规制理论的考察发现，立法规制与行为规制在维持个人数据保护与侦查需要上存在失衡情况，过于倾斜保护而忽略侦查需求。在第三方数据搜查中应当推动数据规制从保护到治理的转变，强化侦查机关的数据自我管控，通过引入元规制理论，构建第三方数

2、据搜查规制的价值理念与基本原则，采用“设计”理念促进法律激励，实施数据风险分类，建立风险评估与控制机制强化自我规制，增强同意的可理解性，达到规制第三方数据搜查的目的。关键词：第三方数据搜查；保护性理念；自我管控；元规制中图分类号：D918 文献标识码：A 文章编号：2095-5758（2023）01-0079-08DOI：10.16478/ki.jbjpc.20221230.001一、问题的提出侦查中的第三方数据搜查，是指侦查机关为搜集犯罪线索与证据，确定犯罪嫌疑人，依法向存储数据的第三方网络服务商进行搜寻和检查的强制方法。传统数据搜查理论认为，数据搜查可分为物理空间扣押存储介质和解析存储介质

3、两个步骤，数据搜查需要对存储介质进行扣押转移。1随着计算机云端网络的发展，通过网络进行的数据搜查逐渐得到各国司法实践的认可。2由于数据具有易存储、易查找、关联性强、追踪性强等特性，通过人工智能的感知和刻画推理能快速实现对犯罪行为监控以及嫌疑人轨迹追踪，对侦查破案具有重要价值。第三方数据搜查的基础在于数据留痕，比如在侦查中需要收集与犯罪关联的人物信息，查询视频监控、车辆轨迹以及邮件信息保存的数据记录，只要被调查人使用过邮件、浏览器、微信、SNS、网络 GPS导航以及网络商店等，其使用内容、位置信息、访问记录等便会在互联网公司端留下大量的使用痕迹，对这些痕迹进行大数据分析，可以帮助侦查机关锁定犯罪

4、嫌疑人行为轨迹和收集犯罪证据，进而侦破案件。第三方数据搜查的特殊性在于，数据从主体控制向第三方控制转移，侦查机关对海量的数据进行搜索，意味着搜查对象转向不特定人群，实践中侦查机关可以不经过数据主体知悉与同意，与数据第三方协商或直接强制进行数据搜查。但是，根据搜查“第三人理论”合理隐私期待的实践批判，即便数据主体将数据提交给第三方时，也不会丧失对该数据的隐私期待，侦查机关更不能随意对第三方开展直接的数据搜查。也有学者指出，在数据脱离权利主体控制的情况下，对第三方数据搜查的规制需要考虑平衡并处理侦查需要与个人数据保护的关系。3在数据保护的规制上，随着 网络安全法 数据安全法个人信息保护法等法律的出

5、台，我国逐渐形成立法规制、行为规制与市场规制共存的收稿日期：2022-10-17作者简介：陈海彬（1993），男，中国人民公安大学侦查学院博士研究生，研究方向为侦查学。基金项目：中国人民公安大学博士研究生科研项目“公安机关刑事远程视频审讯取证研究”（项目编号：2020BSKY004）80 基本格局，但是根据刑事诉讼法对搜查的一般规定，当前在第三方数据搜查规制上依旧只能采用令状规制的方式，在处理个人数据保护与侦查措施需要上，由于令状规制存在内部结构上的僵化，逐渐呈现出规制失灵问题。主要表现有：一是令状规制要求对象特定化，但是个人数据往往存储在第三方数据库中，存在大量加密数据传递，在数据解密前并不

6、能知晓其数据主体身份，这就导致实际数据搜查中搜查状难以直接载明具体的搜查对象；二是在一般搜查中，令状规制通过详细记载搜查范围和事项，以明确被搜查对象的效果，但是在第三方数据搜查中，由于数据库或者数据集空间的无边界属性，事前的搜查证签发往往难以确定具体的搜查范围；三是随着第三方机构技术与数据算法的进步，搜查范围和事项越来越难以把握。当前我国令状审查采用侦查机关自我审查的方式，具体情况往往由办案侦查员把控，导致自由裁量权越来越大，由于缺乏“搜查理由”审查，实践中一旦涉及存储在第三方的数据，就启动数据搜查，导致搜查的提前介入；四是令状规制虽然以强制处分态度对抗数据主体的披露态度，看似可以随时随地进行

7、搜查，但是在第三方数据搜查中，数据存储网络服务商基于数据保存以及披露的情况，加之对个人数据泄露的救济缺乏的考虑，网络服务商往往以各种数据加密权限对抗外部搜查，激化网络服务商与侦查机关的矛盾关系。总之，令状规制在平衡侦查需要与个人信息保护需要之间存在失灵，问题根源在于数据从主体控制到第三方控制，现有的单一令状规制手段难以应对数据侦查技术产生的隐私披露隐患与管控风险。因此，下文拟从规制理论出发，剖析当前的理论现状。二、第三方数据搜查规制的路径检视目前，关于数据搜查的规制，总体上可分为两种规制观点：一种是立法规制，主张自上而下的立法，完善规制程序；另一种是行为规制，主张自下而上，由被规制对象进行自我

8、管控。（一）立法规制路径1.立法规制的理论依据第一，数据空间属性与人格权属性的发展。传统的搜查理论认为，搜查只能针对物理空间，只能载明住所破门而入、人身检查等内容的搜查才适用司法令状，因此只能载明住所破门而入、人身检查等内容。正如美国学者斯通（Allucquere Rosanne Stone）所言，数字空间除了技术属性外，还包括社会属性，因而可以对其进行规制。4随着数字空间属性理论发展，各国逐渐将搜查范围扩大至数据空间领域。比如 2009 年德国联邦宪法法院通过司法裁判扩大了一般人格权的范围，明确保障 IT 系统私密性，同时对侦查机关搜查范围进行严格限制，规定必须拥有法院审查令状以及在遇到“侵

9、犯重要法益”的情况下才能行使“在线搜查”；5又比如1974 年美国通过第四宪法修正案将搜查范围扩大到电子监控领域，2001年在“Kyllo案”将社会公众“客观合理”标准确定为申请令状的依据，搜查范围逐步延伸；再比如日本宪法第 35 条对搜查令状规定了一般要求，1999 年最高裁判所通过案例对犯罪的电话以及通信监听的合法性进行确定，并确立了权利范围，2017 年继续扩大了范围，把 GPS 的监控与搜索纳入。6数据空间属性的发展，为立法规制提供了可能，正如有学者所说，传统搜查要以搜查所得的扣押物证明犯罪嫌疑人有罪与无罪，但是在数据搜查中，证明有罪的是数据本身而不是存储介质。7同样，数据权利从财产权

10、到人格权的理论发展，扩大了保护范围。起初，我国对于数据的权利属性多认为是财产属性。比如，2003 年 12 月北京市二中院审理了“李宏晨游戏装备案”，该案引发了数据的物权讨论，也是我国首例虚拟财产案例，最终判定虚拟数据可以作为无形财产予以保护。但是，随着社会的发展和美国数据隐私权保护理论的引入，数据的人格权属性获得越来越广泛的认可。1967 年卡茨（Katz）案开启了数据领域的隐私权保护时代，扩大了美国宪法第四修正案的搜查范围。近年来随着数据空间的发展，因信息泄露导致的网络人肉搜索以及隐私曝光等现象层出不穷，在网络服务商的数据共享与互联下，网络与现实中的人物标签逐渐呈现同一化，第三方仅通过一个

11、简单的人脸识别技术就能做到人物数据收集和发掘，这也对人格权保护提出更高的要求。正因如此，民法典对网络时代公民的隐私信息的处理做了规制，8个人信息保护法中也明确了数据的人格权属性，这 参见北京市第二中级人民法院（2004）二中民终字第 02877 号民事判决书。参见美国卡茨案，网址为：https:/ 年 10 月 9 日访问。陈海彬：侦查中第三方数据搜查规制研究 81 为刑事立法规制提供了重要的规制依据。第二，第三人原则中合理隐私权期待的转变。第三人原则起源于合理的隐私权期待理论，最初含义是数据主体将数据传递给第三方机构时，主体便丧失了该数据的合理的隐私权期待，这意味着侦查机关在调查过程中不需要

12、任何搜查令状便可获得该数据。公民的隐私权期待是社会公众对一般期待，随着社会观念以及科技水平变化而改变，早期的第三方数据存储无论是数量还是质量都与现在的大数据信息存储相比有着巨大差异，随着第三方采集和二次加工的个人信息越来越多，立法规制路径呈现滞后，合理的隐私期待理论逐渐被抛弃，因为在数据时代，合理隐私期待判断的第一个标准“私人事务保留在个人范围”几乎被消解殆尽。正因如此，美国司法实践琼斯案的审判法官认为，即便数据主体将数据递交给第三方，也不存在合理的隐私期待。9此外，日本学者也认为即便搜查网络服务商，也不能依据犯罪嫌疑人的搜查令状，直接对第三方施加搜查措施。10可见，随着第三方数据存储的数据越

13、来越多，对数据的保管和披露责任也增加，第三方应该强化对个人数据的保护而非扩大数据泄露的风险。当下第三人理论认为，第三方的作用更像一个房东，行使非常有限的管理权，即便个人在“消极同意”的情况下将私人信息交给第三方保管，第三方也没有个人数据的处置权。11在这种转变下，各国在立法活动中强化了第三方的数据收集和保管应当回应数据主体隐私保护需要，预示第三方搜查活动强制法定主义的回归。122.立法规制具体内容的观点讼聚当前对第三方数据搜查的立法规制，我国学者给予了不同观点，总体上归为以下几个学说。一是原则确立说，构建数据搜查的基本原则，包括程序法定原则、人权保障原则与利益平衡原则。13二是地位确立说，明确

14、电子数据的搜查对象，因为无论刑事诉讼法还是公安机关办理刑事程序规定 关于搜查的规定都限于物理空间的范围，实践中搜查技术的发展与程序立法滞后的矛盾逐渐显现。三是令状司法审查说，将现阶段令状的侦查机关自我审查转向司法机关审查，搜查是一项极易侵犯公民权利的侦查措施，随着数据网络的发展，这种风险有逐渐扩大的趋势，通过仿照国外搜查司法审查的方式，加强对数据搜查的监管。14四是事后救济说，通过对数据搜查的各个阶段进行控权，建立超越搜查证权限的非法证据排除规定。15五是紧急搜查例外说，为适应紧急情况的数据搜查，规定紧急情况下数据搜查类型，比如防止嫌疑人逃脱，证据面临毁损以及为保护他人的人身安全时等。16令状

15、规制本质上属于立法规制的一种，上述观点通过反思刑事诉讼法搜查令状的一般规定以及借鉴国外数据搜查的相关规定，提出令状规制的完善方向，构建我国第三方数据搜查的刑事立法规制轮廓。这反映出刑事诉讼强制法定主义的思想内涵，通过设立程序规范，采取保护性倾向的立法方式实现对搜查的规制。需要说明的是，根据规制理论，立法规制只是规制的一种方式，上述坚持立法一元规制的理念必然倒向将搜查事项事无巨细纳入讨论的方向，比如在信息规制与保护上，就有学者指出在刑事诉讼法中修改专章规定信息保护的办法。17（二）行为规制路径行为规制，也称为自我行为规制或者自我规制，是在立法规制外，寻求行为规范来实现第三方搜查数据规制。采用自我

16、规制的观念最初来源于企业的自我管理，它是由企业内部设计与实施，在缺乏立法规制的领域建立新标准，18因此行为规制的规制主体与规制对象通常具有同一性，契合数据时代更新发展的规制要求。随着社会科技的发展，人们逐渐意识到立法规制的局限：与执行者相比，立法者在信息以及知识掌握上具有天然的劣势，难以适应实践中层出不穷的问题。比如在具体的搜查技术上，针对第三方存储数据的加密情况，需要在搜查证中载明搜查采用的技术，而办案侦查员只能根据具体情况写明，立法者很难进行规定。与立法规制相比，行为规制作为规制对象实施的自我约束机制，具有更大的自由与裁量，它实施快、弹性大、负担较小，因而可以根据实践情况产生更有效的规制效

17、果。19事实上近年来的各国立法中，针对第三方数据的规制，诸如我国的数据安全法网络安全法，欧盟的通用数据保护条例（简称 GDPR），加州消费者隐私保护法（简称 CCPA），经合组织关于隐私保护与个人数据跨境流动的指南（简称 OECD 指南）等都通过施加行为规范的原则要求，迫使第三方机构在收集、处理和利用数据过程中设计程序保护，比如民法典第 1038 条规定了信息处理者应当采取技术必要措施，确保个人信息安全以及采取必要的补救措施等，又比如网络安全法第 42 条规定了网络运营者的责任，要求其采取必要的技术措施来确保个人隐私与信息不得陈海彬：侦查中第三方数据搜查规制研究 82 泄露。目前，我国侦查机关

18、对第三方数据搜查的行为规制可以表现在两个方面。第一，侦查机关在第三方数据收集中对数据主体的告知与同意。第三方数据搜查中的告知与同意也称为“知情同意”，简而言之，在第三方数据搜查中，在侦查机关对网络服务商保管的数据收集前，需要告知数据主体并获得同意后才能进行数据搜查，这一规制建构的基础在于信息不对称与个人的信息自决。20随着对存储在第三方数据控制利益认知的深入，人们逐渐意识到即便数据脱离了主体控制，也并不丧失对数据的权利。由于“告知同意”意涵协商，注重数据主体的决定权，也有观点将其称为任意侦查模式下的数据搜查。21这一模式有两个基本要求：一是数据主体和第三方要对侦查机关即将搜集的数据以及使用情况

19、了解；二是数据主体允许侦查机关进行数据搜查。同意模式用以限制在数据主体不知情的情况下被侦查机关直接数据搜查，在强硬的令状模式补充了一种更为柔和的搜查方式，在缓和侦查机关、第三方以及数据主体之间的冲突关系，争取搜查配合上发挥重要作用。然而，在数据时代，“同意”受到了挑战，有学者指出应当通过由侦查机关明晰搜查事项，规范允诺过程；22另外也有学者指出，在同意的基础上，通过明确第三方协协查义务的情况，规范侦查机关的行为。23第二，侦查机关在第三方数据处理和利用中的行为规范。目前，国内的数据私权规制对这一做了原则性规定，比如在民法典1038 条规定了数据处理者对数据采取的必要性措施、数据保管义务以及数据

20、的泄露责任承担等；欧盟 GDPR 第 25 条则确立了“通过设计保护数据”的规范要求，将自我规范的设定下放到数据利用机关。需要说明的是，尽管民法典规定了原则性要求，但是在侦查实践中关于第三方数据搜查，无论是地方公安机关还是公安部都未出台相应的规定进行自我规制。对此尽管有学者指出在数据搜查后侦查机关应当尽可能转换为书面等识别形式，在搜查过后必须及时删除与销毁不需要的信息等措施施加相应的自我规范，但在数据处理与利用中仍缺乏相应的行为规制。24（三）路径评析规制第三方数据搜查，本质是保持侦查需要与个人数据保护的平衡。立法规制与行为规制从外部和内部两个角度对侦查机关（规制对象）提出不同的规制路径，摆脱

21、了单一令状规制的现状，无疑具有突破意义，但是两条路径在维持侦查需要与个人数据保护平衡上却存在倾斜。无论是立法规制还是行为规制，虽然规制方向不同，但均是建立在保护性理念基础上。保护性理念根源于对个人数据的控制利益，在传统的数据规制中，数据被主体控制，此时与数据相关的一切利益均可由主体许诺、期待和利用，对数据保护的要求较低，但是当数据进入第三方存储时，数据主体对数据控制的脱离导致主体许诺、期待和利用的丧失。因而，在立法规制中，各种立法讨论重点集中于对控制利益的恢复上，这又可分为两个方面：一是赋予数据主体相应的权利（比如数据权），这往往属于民事私权或宪法的研究范畴；二是通过建立约束框架限制侦查机关的

22、权力行使，这是刑事司法的研究范畴。25然而，即便是如GDPR、OECD指南、CCPA 这种偏保护性的立法规定，在注重个人数据保护的过程时，考虑到数据的流通，也会对保护进行了限定，比如 OECD 指南第四部分确立的“数据流通与合法限制原则”。此外，行为规制也是基于控制利益弥补的需要，最初的隐私期待认为，数据一旦脱离主体控制就不再享有控制利益，因而侦查机关进行搜查不需要令状，但是随着这一理论的实践批判，衍生了告知同意工具，用以限制侦查机关的随意搜查。其次，立法规制本意追求构建数据搜查的刑事轮廓，但是在保护性理念的影响下，立法讨论只关心权利，而忽略了侵害实质。立法规制的想法是通过构建当前第三方数据搜

23、查的刑事轮廓，规制第三方数据搜查，保护个人数据权利，同时明确第三方数据搜查程序，以此满足侦查实践需求。但是在具体的研究讨论中，搜查规制总是在保护性理念下被赋予定义，而对数据搜查的内容以及损害程度本身并不关心，这种倾斜性的立法讨论结果必然导致事无巨细的保护性立法方向，过于强调主观权利本身也导致对侦查行为本身的忽视，不再关注搜查行为的适当性与评估行为的必要性。最后，行为自我规制虽然具有一定的协商性质，但仍是基于对数据主体的保护视角。当前在数据搜查中我国缺乏侦查机关自我设立的数据处理与利用行为规范，民事私权虽然确立数据收集的告知与同意原则，但是在实践中没有对数据进行风险划分，而是一刀切地要求所有数据

24、搜集都要求经过数据主体的告知与同意，比如同意原则贯穿了个人信息保护法的全过程，意味着只要对数据进行收集与处理均需陈海彬：侦查中第三方数据搜查规制研究 83 得到数据主体的同意，显然不符合侦查实践与适当性的要求。综上所述，由于控制恢复的保护性理念局限，两条路径的讨论过程中均存在相应的适用倾斜。在此情况下，应当转变数据控制的思维，确立规制方向。三、规制转向：强化侦查机关的数据自我管控（一）数据控制保护到治理的转变目前，我国已经完成数据安全法个人信息保护法等法律立法工作，虽然从两部法律公布的内容来看，整体上强化个人数据的权利保护，但是在个人数据的限制规定存在不足。我国开展的与数据相关的立法，在立法目

25、的上与 OECD 指南、GDPR 等存在偏差，现阶段对数据立法的讨论都集中在网络安全以及个人信息保护上面。26从 OECD指南、GDPR 的数据规制架构来看，基本的架构是“保护原则+行为规制”，规制原则以保护为基础，但是对其进行限制，在行为规制上，对数据相关人员进行划分，进一步明确各自的权限。比如 OECD指南第二部分设定了数据规制的各项原则，明确了在国内法律规定的情况下可以限制对数据的保护，GDPR 第 4 条规定更是直接声明对数据的处理应当以“服务人类为目的”，个人数据保护并非绝对权利，数据保护应当坚持相称原则。在行为规制上，两个文件划分了数据主体以及数据控制人，在数据收集、处理等过程中，

26、前者采取赋权的形式，而后者则通过施加义务的方式，为刑事司法中的数据规制指明方向。个人信息保护法中虽然没有明确相应的原则，但是在总则中明确了一般的规定，客观上沿用了“原则+行为规制”的立法模式，突出表现了对数据主体的权利保护，但是对个人数据的限制使用基本没有规定，仅在第 1 条中简单规定了保障个人信息权益与促进数据流通的立法价值。保护性与侦查需要失衡的根源在于过度强调主体的数据控制利益，忽视了其他利益。随着现代社会越来越多个人数据从主体控制的脱离，面对侦查机关的搜查，个人对数据泄露担忧与隐私侵犯的不安心理逐渐递增，现有立法与行为规制讨论均是对这些担忧与不安的回应，对个体数据控制性利益的恢复成为规

27、制的基本思维，保护性的规制路径应运而生，这也是必要的，但是仅仅强调保护性又会使规制走向另一个极端，因为保护性规制本身是防御性与封闭性的，会产生阻隔他人进入的效力。近年来在私权的数据规制中，为了回应数据时代的数据开放与共享，从单面向控制利益恢复转向多面向的利益保护并结合实际隐私伤害确认的理念逐渐提及，正如有学者指出，控制利益本身将重点置于数据收集阶段，却对数据的处理与利用过程关注较少，该论者将数据私权保护的利益扩展到控制利益、亲密关系利益以及秘密性利益，其中控制利益与秘密性利益是“向内”趋向，表达个体数据的自主性保护，亲密关系利益是“向外”趋向，表达在数据时代下对社会的回应。27在第三方数据搜查

28、中，必须承认的一点是并非所有的数据需要进行保护，也并非所有的数据都值得保护，在个体权利外，通过客观侵害行为的判断，评估搜查行为的必要性与侵害程度，将具有重要意义。近年来，数据立法的方向逐渐由保护转向风险治理。28从 GDPR 与 CCPA 的立法过程来看，随着数字化社会的发展，个人数据生成、传递乃至侵害的速度大大加快，基于风险防范的考虑，犯罪侦查也不断提前，但是传统的搜查规制侧重于强调个人保护，保护性规制往往需要对已发生的侦查实践进行归纳总结，表现出滞后，随着风险的叠加其滞后性越发明显。在此种背景下，转向治理思路，强化侦查机关数据管控义务成为规制的必由之路。（二）强化侦查机关的数据自我管控当前

29、已经对立法规制与行为规制两条路径进行讨论，虽然两条路径在适用上存在保护性倾向，但是并非无价值，问题关键在具体的立法过程以及行为规范中如何将这种倾向进行扭转。在治理的规制方向下，本文认为应当强化侦查机关的数据自我管控，主要有以下几个理由。首先，个体对第三方数据搜查的担忧在于缺乏必要的规制，而令状规制又存在诸多失灵，在此情况下，强化侦查机关的数据管控义务十分必要。当前，随着数据搜查技术的发展，数据具体情境的复杂性也逐渐增加，这对令状规制提出了更高的要求。如果能从内部规制出发，给侦查机关施加一定的数据管控义务，通过自律机制规制，即能弥补令状规制的缺陷，由于自我管控是侦查机关自行设定，更符合侦查实践需

30、要。其次，从规制成本来看行为规制是规制成本最低的规制方式，通过数据自我管控，施加一定的义务，保证规制保护与侦查实践的平衡。在规制中侦查机关掌握着充分的信息与具体情境，具有信息优势，一旦发现违规行为，能及时调动机制进行及时救济，修正成本较低。比如当上陈海彬：侦查中第三方数据搜查规制研究 84 级机关发现对第三方的数据搜查已经超越范围尚未停止时，通过行政命令及时制止，与数据主体通过司法救济的方式相比修正的成本大大降低。最后，在第三方数据搜查中，关键挑战在于如何确保侦查机关按照数据搜查的要求执行。从规制理论来看，需要施加来自科层的压力，在立法规制的基础上，最大限度利用侦查机关的掌握的资源进行自我调动

31、与治理，因此，强化数据的自我管控具有必然性。四、元规制理论下的第三方数据搜查规制构建根据规制理论，当规制内容过于复杂，面对变动或者过于详细的社会信息，立法规制过程中立法者往往缺乏必要的资源与信息，也不能穷尽一切实际发生的内容，此时应由外部立法者促使数据利用者对规制问题做出内部式、自我规制的回应。29本文认为，在数据时代面对日新月异的技术更新与数据内容，强化侦查机关的数据自我管控，采用元规制的方式值得借鉴。（一）元规制概述元规制是处在立法规制与行为规制之间的一种规制方式，其更倾向于关注行为规制，它是对行为规制对象的规制。元规制诞生于上世纪 80 年代，李根（Reagan）将规制行为成本收益界定为

32、对规制的监督或治理，30在吉拉德（Gilad）的规制体系中，他认为根据结果与过程目标不同，可以将规制体系分为结果导向的规制与过程导向的规制，31而元规制则属于第二种类型，因此元规制也被称为过程规制或者基于管理的规制。元规制内部结构是双层嵌套结构，立法给自我规制构建起一套规制框架，但是给规制对象预留了选择的裁量空间，利用被规制对象的信息优势，规制者只起到一个监督的作用，但不意味着不进行干预，如果被规制对象偏离预期目标，此时规制者将采取更大的约束性手段，例如增加保护性规定，限制规制对象的权力范围等。元规制的价值在于给规制对象留下裁量空间，有利于更好实现规制目标。涉及第三方数据搜查，侦查机关、数据主

33、体、第三方与立法者四者中，侦查机关对数据收集与利用的客观情况更为了解，更有可能达成侦查需要与数据保护平衡的目标，元规制的目的就是促进侦查机关向这一目标前进，但是由于行为规制本身遵守过程中会出现一定的偏离，元规制也会借用组织法中的激励与惩罚等内容来规制运行过程。（二）基于元规制的第三方数据搜查规制构建1.第三方数据搜查规制的价值理念与基本原则第一，风险治理理念。数据具有流通性，决定了数据不论是主体还是第三方控制都不可能是绝对安全，即便不存在第三方数据搜查，或者已经采取完善的立法保护措施，数据也依旧存在泄露的可能，正视数据的风险性是治理的前提。从数据主体的角度出发，风险防范无疑是最稳妥的规制选择，

34、这要求在规制过程中有诸如风险监测的配套系统，比如第三方机构在数据存储过程中建立的各种防御机制，避免在不知情、缺乏搜查证或者没有见证人的情况下被侦查机关直接执行搜查。而从侦查机关的角度出发，应当尽可能明确自身的搜查权限与范围，同时在发生超越权限的情况时，及时识别，采取救济措施，阻断风险扩大。第二，多方共治。在强化侦查机关数据自我管控的基础上，以侦查人员为中心，展开多方共治。进一步强化侦查员的责任意识，围绕搜查权限与范围展开搜查，不侵犯存储在第三方中无关人员的个人数据；提升第三方与数据主体数据保护意识，同时在侦查机关调查过程中协查配合；适当引入司法与社会监督力量，司法机关必要时对搜查状签发与内容开

35、展调查，同时在搜查过程中引入见证人进行监督等。第三，比例原则。随着社会数据流通的加快，单纯强调权利与控制的规制衡量弊端逐显，面对不断更新的数据存储与加密技术，侦查中的技术措施也不断更新，远程访问与监控也不断发展。近年来日本与欧盟开始对刑事诉讼中单纯依靠限制侦查行为的立法规制进行反思，将行政法领域的比例原则引入，通过对行为的分析去判断侦查需要与数据保护之间的平衡。32行政法的比例原则主要由三个子原则构成，分别是适应性原则、必要性原则与均衡性原则。33当前我国第三方数据搜查的根本矛盾在于，随着数据控制的脱离后数据保护与侦查之间的失衡，而关于规制的讨论又集中在控制保护的恢复上，忽略了侦查需要本身，引

36、入比例原则就是通过对实质搜查行为的思考，促进两者间平衡的回归。2.通过“设计”理念，促进法律激励机制“设计”理念来源于 GDPR，“有效性”是其理念的核心，它是用来规制数据实际控制与利用者的基本要求。虽然元规制将规制重点放在促进自我规制上，但是并未放弃立法规制，相反，立法规制确立的基本框架是激励自我规制的重要来源。34在法律激励中，与其在当前刑事诉讼法中嵌入一套数陈海彬：侦查中第三方数据搜查规制研究 85 据搜查规定，改变刑事诉讼法内部结构，追求细致且繁杂的规制，不如通过法律构建一套原则性的激励措施，促进侦查机关的自我规制。当前，国际搜查立法与国内的数据立法均将“设计”理念融入立法中。比如，美

37、国1974 年隐私权法案要求政府在数据收集与处理中采用必要的技术与物理保障措施，确保数据的安全性；又比如 GDPR 第 25 条正式将这一理念纳入基本要求规定，统领整部法律，进一步提升其重要性；再比如当前我国颁布的民法典与草案规定，均确立数据利用与处理者对数据安全与保密的要求，但是并没有细致规定具体的保护措施，而是要求与促进数据控制与处理者自行采取措施。“设计”理念重点针对数据的收集与处理方，本文认为在第三方数据搜查中应当通过法律确立这一规制基本要求，激励侦查机关对自身搜查行为的不断规范。3.实施数据风险分类数据搜查是一项封闭且隐秘的侦查措施，根据强制法定主义与风险治理思想，对风险分类治理的思

38、想已经深入各国规制措施。在个人数据中，并非所有的数据都涉及个人隐私与安全，此即需要对数据进行风险分类的起点。在应对数据泄露风险上，根据涉及的隐私情况，各国在规制过程中采用风险分类的思想对数据进行规制，GDPR 和 CCPA 颁布之时就对数据进行了有效分类，对一般的个人数据信息与通信秘密，医疗数据以及DNA数据等进行划分，针对不同的数据信息设置了不同的保护要求。35在欧盟 2021 年 4 月的人工智能立法中，同样根据对数据风险等级进行划分，根据数据风险的高低确立不同的规制措施。36我国在网络安全法第 21条同样明确了数据网络安全等级。在数据规制的风险划分上，当前存在两条进路。一是根据信息涉及的

39、隐私情况进行划分，此为欧盟、日本与美国划分方式，将信息分为一般信息与特殊种类信息，一般信息不需要被搜查对象的同意即可持令状搜查，但是在涉及到通信、医疗以及 DNA等数据时，需要对数据主体本人履行通知义务；一种是根据案件类型实施风险分类，根据德国刑事诉讼法第 100b 条对网络搜查的规定，对诸如武器控制、贩毒、严重暴力犯罪以及涉及枪械的犯罪直接开展网络搜查，据此有学者认为，我国可以参照技术侦查的相关规定，对危害国家安全的犯罪、恐怖活动犯罪以及黑社会犯罪等实行搜查，对一般案件则不进行搜查。221-32本文认为，案件类型的方式并不能反映数据风险等级，而且将风险等同于案件类型的做法，限缩了侦查机关数据

40、搜查范围，而且与我国网络安全法的数据等安全划分也不契合，因此本文认为应当采用根据信息划分的方式。4.建立风险评估与控制机制第一，在规制个人数据中，常见办法是通过数据风险评估。GDPR 第 35 条规定了“数据保护的影响评估”，这要求侦查机关在数据收集过程中如果存在搜查或者泄露无关人员隐私数据的高风险时，或者在采用新技术进行数据解密时遇到超越权限的范围，应当对数据收集的性质、内容以及必要性等进行影响评估，建立风险透明机制。第二，建立风险阻断与救济机制。当遇到超越令状的权限时，通过技术设定或者上级机关下达相关命令的方式，及时规制侦查行为，同时在遇到数据泄露风险时，及时采取补救措施。5.强化自我规制

41、，增强同意的可理解性首先，侦查机关自我规制存在不遵守规则的情况，根据行政法规制，引入责任机制，强化第三方数据搜查的行为规制。比如在不适当搜查中引入罚款，或者停职查办等处罚方式，又比如通过对搜查的证据进行审查，进行非法证据排除或者要求进行证据补正等。其次，当前自我规制中的同意是围绕权利与保护构建的，鉴于目前数据同意在实践中面临越来越多的质疑，有必要增强其解释性与理解性。本文认为，在告知过程中应当尽可能明确搜查范围与具体内容，尽量不对数据进行二次加工，同时及时允诺在数据收集与利用后及时销毁，增加透明性。参考文献：1 O S Kerr Miss.Search warrants in an era o

42、f digital evidenceJ.Mississippi Law Journal,2005(6):85-145.2 郑曦.网络搜查及其规制研究J.比较法研究,2021(1):21-32.3 小向太郎.捜査機関第三者保有個人情報対 本人保護 J.情報通信政策研究,2020(1):63-80.4 黄少华,翟本瑞.网络社会学学科定位与议题M.北京:中国社会科学出版社,2006:14-15.5 C D Bayraktar.Hdie Online-durchsuchungsmassnahme in der deutschen rechtsordnung mitJ.Gesetzesnderungen

43、,2019(1):415-456.6 高村紳.日本国憲法35 条捜査手続 保障 J.明治大学法学研究論集,2018(1):19-34.7 骆绪刚.电子数据搜查扣押程序的立法构建 J.政治与法律,2015(6):153-161.8 李爱君.数据权利属性与法律特征J.东方法学,2018(3):64-74.9 F Arcila Jr.GPS Tracking out of Fourth Amendment Dead Ends:United States v.Jones and the Katz ConundrumJ.North Carolina Law Review,2012(1):1-79.陈海彬

44、：侦查中第三方数据搜查规制研究 86 10 田口守一.逮捕伴無令状捜索 差押許容範囲 J.信州大学法学論集,2015(2):27-57.11 肖斌团,杨会永.美国云计算技术下网络调查中的隐私司法保护研究 J.法律适用,2013(3):115-118.12 小向太郎.集積急増個人情報利用目的規制J.電気学会論文誌,2017(6):790-795.13 孙潇琳.我国电子数据搜查扣押之审思 J.中国人民公安大学学报:社会科学版,2018(6):96-104.14 陈永生.电子数据搜查、扣押的法律规制J.现代法学,2014 (5):111-127.15 周新.刑事电子搜查程序规范之研究 J.政治与法律

45、,2016 (7):142-150.16 高磊.网络时代数据隐私的搜查干预从滴滴顺风车司机抢劫、强奸、杀人案切入 J.安徽大学学报:哲学社会科学版,2019:124-130.17 郑曦.刑事诉讼个人信息保护论纲 J.现代法学,2021(2):115-124.18 V Haufler.A public role for the private sector:Industry self-regulation in a global economyM.Carnegie Endowment for Intl Peace,2001:8-11.19 杨志强,何立胜.自我规制理论研究评介 J.外国经济与管理

46、,2007(8):16-23.20 郑佳宁.知情同意原则在信息采集中的适用与规则构建 J.东方法学,2020(2):198-208.21 谢登科.论侦查机关电子数据调取权及其程序控制以 数据安全法(草案)第32 条为视角 J.环球法律评论,2021(1):52-67.22 蔡国芹.美国刑事侦查中的同意搜查制度 J.犯罪研究,2007(6):71-78.23 刘品新.论计算机搜查的法律规制J.法学家,2008(4):115-123.24 陈永生.论电子通讯数据搜查、扣押的制度建构 J.环球法律评论,2019(1):5-20.25 齐爱民,盘佳.数据权、数据主权的确立与大数据保护的基本原则J.苏州

47、大学学报:哲学社会科学版,2015(1):64-70.26 宁立志,傅显扬.论数据的法律规制模式选择J.知识产权,2019(12):27-35.27 张陈弘.新兴科技下的资讯隐私权保护：“告知后同意原则”的局限性与修正方法之提出 J.台大法学论坛,2018(1):201-297.28 裴炜.个人信息大数据与刑事正当程序的冲突及其调和 J.法学研究,2018(2):42-61.29 科林斯科特.规制、治理与法律:前沿问题研究 M.安永康,译.北京:清华大学出版社,2018:203-228.30 M D Reagan.The politics of regulatory reformJ.Weste

48、rn Political Quarterly,1983(1):1147-1153.31 G Sharon.It runs in the family:Meta-regulation and its siblingsJ.Regulation&Governance,2010(4):485-560.32 後藤昭.搜查法的規制 J.法律时報,2019(5):135-140.33 黄学贤.行政法中的比例原则研究J.法律科学,2001(1):72-78.34 张涛.大数据时代“通过设计保护数据”的元规制J.大连理工大学学报:社会科学版,2021(2):79-88.35 E Di Minin,C Fink,

49、A Hausmann,J Kremer.How to address data privacy concerns when using social media data in conservation scienceJ.Conservation Biology,2021(2):437-447.36 Artificial Intelligence and Automated Systems Legal UpdateEB/OL.(2021-04-23)2022-10-09.https:/ on the Regulation of Third-party Search in Data Invest

50、igationCHEN Haibin(Peoples Public Security University of China,Beijing 100038,China)Abstract：In the era of big data,it has become an important investigative measure for the investigation authorities to conduct data searches on Third-party network service providers.However,the traditional writ regula