刑事侦查中个人信息保护的目的限制原则

刑事侦查中个人信息恸户的目的嚅!!原则:欧盟缰佥与中国路径

一、引言信息时代数据具有无可比拟的价值，面对欧盟和美国等地对个人信息1英国、欧盟立法中使用“个人数据”personal data一词，而我国惯常使用“个人信息”一词，两者在各国立法中几乎是通用的，仅为用语习惯不同，本文对个人信息和个人数据不作区分保护的竞争压力，能否实现更为合理的个人信息保护制度，对我国而言既是机遇又是挑战个人在信息社会生活中留存海量数据,这些电子数据广泛地被行政机关、商业机构所存储或使用,往往成为刑事司法机关预防和打击犯罪所需的线索及情报来源作为数据侦查基础的“大数据”，是以容量大、类型多、存取速度快等特征为基础的数据集合体2国务院《促进大数据发展行动纲要》国发

[2015]50号2015年8月31日，海量信息的挖掘利用对公民个人信息权利干预具有史无前例的广泛性数据侦查活动较之与传统侦查活动对所干预公民权利的类型发生转变，由财产权、人身权转向个人信息权、隐私权，由有形化转为无形化，令侦查行为对权利侵害更难由人直接感知，公民个人作为信息主体对其个人信息权益的救济也更加困难侦查权朝着社会化特征演变，传统由公权力机关与个人之间的侦查结构转变为公权力机关、个人与商业机构等多元主体间的构架3程雷.大数据侦查的法律控制[J].中国社会科学，2018,11:156-

180.,个人信息在各方主体之间的流转与它用急需得到规范与控制否贝•!,侦查权以打击犯罪作为基本价值取向,具有强烈的追诉倾向，该种国家权力天然具有扩张性从而侵蚀个人信息在刑事司法中的保护空间大数据时代的来临促使刑事司法机关转变信息获取方式，逐渐从传统止的,因为这样不能精确界定数据处理的范围目的明确则要求数据处理的目的不能是含糊其辞或者概括性的,而是应当被明确地、详细地以各种形式表达出来32Article29Data ProtectionWorking Party,Opinion03/2013onpurpose limitation39最后，这些目的必须是合法的,且数据控制者不能为了追求其自身利益，对有关的权利、自由和利益造成不合比例地侵犯33Christopher Kuner,Lee A.Bygrace,Christopher Dockseyeds,The EllGeneral Data Protection RegulationGDPR,A Commentary315Oxford UniversityPress,

2020.o在限制使用层面，欧盟采取兼容使用标准为基础,要求以特定目的收集的个人数据需要遵循该目的进行使用，数据控制者“不得以与初始目的不兼容的方式后续处理数据”34GDPR第5条1款b项这意味着除依照初始目的处理数据之外，数据控制者与数据收集的初始目的相兼容的处理数据行为是被允许的关于数据处理的兼容性判断需要注意以下两个方面:第一，不相关的处理目的本身不必然被认为是不兼容的，如GDPR第5条1款b项明确规定，在有适当的保障措施的前提下，为公共利益的存档目的、科学或历史研究目的或统计目的后续处理被认定为与初始目的相兼容第二,GDPR第6条第4款罗列出对初始目的与后续数据处理目的的兼容性判断所需要综合考虑的五个因素，包括:初始处理和后续处理之间的联系;数据收集的背景;个人数据的性质如是否为敏感数据;后续处理对数据主体的影响,以及是否有适当的保障措施来弥补目的的改变其中，“数据收集的背景”需要特别考虑个人作为数据主体与数据控制者之间的关系所产生的对后续数据处理的合理期待35GDPR序言Rental第50条除此之外，即便新目的与初始目的不兼容,在一些情况下允许为数据收集初始目的以外的其他目的而处理个人数据这种后续处理应当基于获取数据主体的对新目的之新的同意或者基于成员国或欧盟的法律需注意的是，这里“成员国或欧盟的法律”要求是保障第23条第1款所述国家安全、国防、公共安全和执法利益“必要和合比例”的法律，并尊重基本权利和自由的本质，才能构成初始目的之外后续处理的法律依据由此观之，对于限制使用要求GDPR创新性地提出后续处理further processing的概念，在一定条件下允许出于与收集数据初始目的不同的目的处理个人数据后续处理有三个关键因素悌一，数据主体就新目的重新同意;第二，民主社会中维护第23条第1款所述目标的必要和相称措施的联盟或成员国法律；第三，兼容性评估，证明此类后续处理与初始目的的兼容性综上所述,欧盟对目的限制原则的立法逻辑思路呈现出“窄进宽出”的模式36梁泽宇.个人信息保护中目的限制原则的解释与适用[J].比较法研究,2018,5:16-

30.，通过目的明确原则限制数据收集端口，而在限制使用原则层次通过规定后续处理的方式适度扩大数据使用端口，在个人信息保护与信息的高效、自由流动之间达到平衡

2.《个人数据刑事司法指令》刑事司法领域的特殊规则与GDPR相比，《个人数据刑事司法指令》所设立的目的限制原则有所不同《个人数据刑事司法指令》仅涵盖了“主管当局”基于预防、调查、侦查、起诉刑事犯罪或执行刑事处罚之范畴,包括保障和预防对公共安全的威胁之目的进行个人数据处理的情形“主管当局”包含了有权进行刑事调查和刑罚执行的司法机关,以及极小部分具有公权力和公共授权的其他机构，例如私人运营的监狱及警察部队的私有化部门在《个人数据刑事司法指令》的语境下，“主管当局”与“数据控制者”几乎是可以互换的概念37DeHert,Paul;Sajfert,Ju raj,The fundamentalright topersonal data protection incriminalinvestigations andproceedings:Framing bigdata policingthrough thepurposelimitation anddata minimisationprinciples of the DirectiveEU2016/680,Brussels PrivacyHub;31,1,

102021.o目的限制原则的两个子原则都明确规定在《个人数据刑事司法指令》第4条第1款之中，即个人信息数据需要以特定的、明确的以及合法的目的而收集，且不得以与这些目的不兼容的方式处理数据如前文所言，目的限制原则由两部分构成:目的明确原则和限制使用原则第一，目的明确原则针对数据收集的目的，概括地表述为“打击犯罪”“保护公共利益”并不能满足具体明确的标准,正如第29条工作组指出，概括性地以“实施法律”为目的并不能达到目的特定、明确的要求38Article29Data ProtectionWorking Party,Opinion03/2015on thedraftdirective on the protection of individualswith regard to the processing of personaldata bycompetent authoritiesfor the purposes ofprevention,investigation,detection orprosecution ofcriminal offencesor theexecution ofcriminal penalties,and the free movement of such data

62015.第二,关于数据处理的合法性理由，执o法机关只能在法律授权的范围内履行职责,而不能仅基于数据主体的同意或者合同等依据在刑事司法中处理个人数据《个人数据刑事司法指令》在第8条中只规定了一种法律基础:以欧盟或成员国的法律为依据，并且对于主管当局为刑事司法目的执行任务而言数据处理应具有必要性第三，与我国现行《个人信息保护法》中对限制使用原则的“直接联系”标准不同，《个人数据刑事司法指令》采取的依旧是“兼容使用”标准，即不得以与收集目的不兼容的方式对数据进行后续处理需注意，刑事司法情景下的两个不同的、特定具体目的并非因它们同属于刑事诉讼的宽泛范畴而必然相互兼容39European DataProtectionSupervisor,Opinion on the Data Protection ReformPackage

532012.o与GDPR较为严格地基于目的限制原则对数据后续处理进行详细规定的情形不同，《个人数据刑事司法指令》并未提及后续处理，而是基于刑事司法打击犯罪目的导向对所收集数据初始目的改变的现实需求,规定了软化限制使用原则的条款以契合刑事诉讼活动的特征，学者将该种改变个人信息初始目的数据处理活动称为后段处理subsequentprocessing40De Hert,Paul;Sajfert,Juraj,The fundamentalright topersonaldata protectionin criminalinvestigations andproceedings:Framing bigdatapolicing throughthepurposelimitation anddata minimisationprinciples of theDirective Ell2016/680,Brussels PrivacyHub;31,1,

92021.0《个人数据刑事司法指令》第4条第2款允许为溢出初始目的以外之目的进行数据后段处理:在以下情况下,允许同一数据控制者或另一数据控制者为第1条第1款规定的任何目的进行处理，而不是为收集个人数据的初始目的进行数据处理a根据欧盟或成员国的法律，数据控制者授权为该目的处理个人数据;并且b根据欧盟或成员国的法律,处理是必要的，并与该其他目的合比例由此，《个人数据刑事司法指令》规定了在刑事司法中数据它用情形下对目的限制原则的改良:如果符合合法性原则（即基于欧盟或成员国法律）和比例原贝U（处理对于后段目的有必要且合比例），则允许对个人数据进行初始目的之外的其他目的进一步处理

3.信息流转场景前述厘清了在GDPR与《个人数据刑事司法指令》范围内分别确立的目的限制原则及其不同的要求,但个人信息并非一直固定在GDPR或《个人数据刑事司法指令》领域之中,而是在两个领域之间流转如在刑事司法领域中，侦查机构所调取之数据的初始目的极可能是基于商业、公共管理等与刑事司法活动无关的目的;另一方面，刑事司法机构将其自身基于刑事司法目的而收集的个人信息向其他机构或者网络信息业者传输的数据外流的情形也时有发生如前文所分析，在GDPR的领域中,通常禁止以与初始处理目的不兼容的方式处理数据而为促进预防、侦查、调查犯罪的目的而进行的处理可能会超出数据处理的初始目的（通常是商业或运营目的）相兼容的范围因此，将这些信息传输或分享给刑事司法机关将违反GDPR规定的目的限制原则然而,GDPR体系允许欧盟成员国通过国内立法措施来限制目的限制原则的适用强度:“当这种限制尊重基本权利和自由的本质，并且是民主社会为保障:……预防、调查、侦查或起诉刑事犯罪或执行刑事处罚，包括保障和预防对公共安全的威胁而采取的必要和相称的措施”

（41）GDPR第23条1款d项通过这种立法，成员国可以自由决定打击犯罪的行动是否以及在何种情况下受到较为宽松的个人信息保护限制GDPR中数据外流的情形被规定于第9条第

1、2款，它们规范了数据从《个人数据刑事司法指令》到GDPR领域的适用情形,被称为“发射条款”（the launchpadprovisions）第9条第1款规定了GDPR适用于最初在《个人数据刑事司法指令》领域o内收集的个人信息数据在离开该指令适用范围之后的进一步处理，即主管部门为刑事司法目的而收集的个人数据，除非得到欧盟或成员国法律的授权的，不得为刑事司法以外的目的进行处理，且在获得授权后为其他非刑事司法目的处理个人数据应适用于GDPR的规范第9条第2款明确司法机关如果在刑事司法目的以外对数据进行处理，例如基于公共利益的目的进行数据存档、基于科学或者统计研究的目的使用数据等，应适用GDPR进行规范这些条款为司法机关基于刑事司法的目的而拥有的个人信息数据传输至第三方例如与司法机构合作的网络信息业者或者税务机构提供了可能性与适用规范;也为同一机构为了非刑事司法目的而将其原本基于刑事司法目的而收集的个人信息数据进行处理提供了规则三尚存缺陷:欧盟刑事司法场域中目的限制原则从刑事诉讼的角度，个人信息保护关键问题是溢出初始目的数据它用:为特定目的收集的个人数据，随后因不同目的进一步处理《个人数据刑事司法指令》以不同于GDPR的方式贯彻目的限制原贝＞],它并非通过后续处理的概念来实现限制使用原贝L而是设定后段处理中目的改变的具体规则对目的限制原则进行把控允许信息处理者在合法和合比例的条件下，为不同的目的重新利用个人数据后段处理的规定引发如下顾虑:这项规定是否为在GDPR制度下收集并随后在《个人数据刑事司法指令》的制度下使用的个人信息相关数据主体提供相应地保障42Jasserand Catherine,Subsequent useof GDPRdatafor alaw enforcementpurpose:The forgottenprinciple purposelimitation,Eur.DataProt.L.Rev.

4.152,

1582018.,由此可以引申出两个值得注意的瑕疵第一个瑕疵为指令中个人数据初始目的的含义不明《个人数据刑事司法指令》第4条2款的措辞含糊不清，可进行不同的解释:其所言的“初始目的”指代的对象并不明确“允许同一或另一控制者基于第11条规定之任一目的处理个人数据,而不是基于其收集之目的……”中的而不是基于其收集之目的”这个表述是指《个人数据刑事司法指令》范围外的目的，例如商业目的或者运营目的,亦或者是仅指《个人数据刑事司法指令》范围内的,但是与后段处理目的不兼容的一种具体的刑事司法初始目的43Purtova Nadezhda,Between theGDPR andthe PoliceDirective:navigating throughthe mazeofinformation sharingin public-private partnerships,International DataPrivacy Law,Volume8,Issue1,52,

662018.在后一种解读中，初始目的与新的目的虽然均属于刑事司法大框架之下而具有相同的性质，但它们又有所区别，如在特定刑事案件侦查过程中收集的个人数据，随后用于另一个不相关案件的调查的情形第二个瑕疵涉及为刑事司法目的进一步处理个人数据与在非刑事司法目的情境下收集个人数据的初始目的之间的兼容性关系依据《个人数据刑事司法指令》第4条2款,若后段数据处理基于法律且对数据处理目的是必要的、合比例的,那么后段处理具有正当性然而该条款并未厘清后段处理目的与初始目的之间的关系，它们之间是否需要经历兼容性测试,或者新的处理是否因其正当性而可免于目的限制原则的要求？该规定似乎减损了《个人数据刑事司法指令》第4条第1款b项中确立的目的限制原则一些作者甚至将目的限制原则重新定义为“目的偏离”原贝山反映了处理的初始目的和后段目的之间缺乏联系44Els deBusser andGert Vermeulen,Towards acoherent EUpolicy onoutgoingdata transfersfor usein criminalmatters Theadequacy requirementand theframeworkdecision ondataprotectionin criminalmatters.A transatlanticexerciseJin adequacyin EU and InternationalCrime Control,EUandInternational CrimeControl.Vol.

4.Maklu,95,

1022010.o

四、我国刑事司法目的限制原则的体系化建构GDPR和《个人数据刑事司法指令》确立的特定、明确、合法及区分后续处理与后段处理不同的要求，表现了欧盟意识到需要根据是否应用于刑事司法场域而调试目的限制原则内涵这对建立我国在刑事司法领域个人信息保护进路具有借鉴意义，但是应当认识到GDPR与《个人数据刑事司法指令》在通过目的限制原则处理两文件管辖的数据交互流通情形，特别是基于GDPR领域所收集的数据后续进入刑事司法领域淌存瑕疵，易导致个人数据保护的目的落空，也给实践中刑事司法机关向第三方机构调取个人信息及进一步对数据进行处理的活动带来了操作的不确定性因此，我国需对欧盟在的个人信息领域所确立的目的限制原则有所扬弃，结合国情与《个人信息保护法》等相关规定，发展符合中国刑事司法现状的目的限制原则，将以侦查机关为主的刑事司法机关基于刑事司法目的而进行的个人信息处理全阶段活动纳入程序规制范畴一收集端口控制明确、合理、个人信息最小化从信息处理的阶段来划分，《个人信息保护法》所确立的目的限制原则包含两个子原贝收集端口的目的明确原则和处理端口限制使用原则目的明确与限制使用在目的限制原则中拥有不同分工，目的明确控制着个人信息收集端口，是限制使用的前提条件，如果在个人信息收集阶段不能通过明确目的加以划定收集范围,则限制使用沦为空谈反之，如果个人信息处理者可超越特定目的随意处理个人信息,那么目的明确则失去意义目的明确原则指导个人信息处理的第一步——信息收集活动，它有三个细化要求:目的明确性要求、目的合理性要求与个人信息最小化要求目的明确性指收集个人信息需要基于特定的、明确的目的，该目的不得过于概括或模糊因此信息处理者在收集数据之前需要持有特定的目的，仔细考量个人信息集及其后处理的目的,不得无所节制或漫无目的地收集数据其次，个人信息处理的目的应当用清晰明确的语言表达出来，不能被隐匿或者含糊其辞地表述目的明确性要求意在确保个人对所交出的个人信息范围及其处理的掌控，确保个人对信息的有效控制，避免沦为大数据发展下的“个人信息客体”45郭瑜.个人数据保护法研究[M].北京:北京大学出版社,

2012.

84.，遭受随意监控、分析及操纵，并为个人判断是否愿意共享个人信息及维护他们的数据权利提供支持刑事诉讼活动中仅仅以“打击犯罪”或者“保护国家安全”作为信息收集目的并不能达到明确性的要求，目的明确性要求个人信息收集的目的与特定具体的案件相联系，而非基于宽泛模糊的目的目的合理性则要求个人信息收集使用的目的需具有制度层面的合法性和价值层面的正当性46朱荣荣.个人信息保护“目的限制原贝『的反思与重构——以《个人信息保护法》第6条为中心[J].财经法学,2022,1:18-

31.合法性是指个人信息处理者对于数据处理拥有合法目的,追求合法利益且信息处理行为具有法律基础，如在《刑事诉讼法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《个人信息保护法》等法律明确授权的范围内履行法定职责进行信息处理正当性指收集个人信息的目的应符合社会通行的价值体系，在考虑个案因素的基础上，需兼顾信息主体与个人信息处理者之间的利益关系，不得过分倾斜至一其中一方个人信息最小化要求个人信息处理者在最初信息收集过程中,使用仅限于对于信息处理目的所需要的个人信息个人信息最小化要求是目的限制原则的直接要求47AsiaBiega,Fernando Diaz,Peter Potash,Michele Finck,Haul DaumeHI,Operationalizing thelegal principleof dataminimization forpersonalization,Proceedings of the43rd InternationalACM SIGIRConference onResearch andDevelopmentin InformationRetrieval,399,

4002020.,一旦数据处理的目的被明确，只有与该特定目的相关的个人信息才能被进行处理在民商事等通行领域中，个人信息最小化要求的适用应较刑事司法领域更加严格，对于“实现处理目的的最小范围”的理解应限于与处理这些信息之目的必要信息:如果缺少某些个人信息，信息处理的核心目的就无法实现，个人信息处理者应当尽量缩小所使用的个人信息数据总量而在刑事诉讼中应赋予个人信息处理者相对宽松的要求，不得超出这些信息之目的有关的内容具体而言，刑事诉讼中并不严格要求个人信息处理者必须将收集个人信息的范围划分在绝对的必要性中，对于收集信息的质和量不要求绝对精确，但是需确保不得收集超越目的过多的个人信息但与此相对，在数据处理全周期，个人信息处理者必须定期考虑所处理的个人数据是否仍然满足个人信息最小化要求，并审视相应的数据是否应删除或进行匿名化处理48EuropeanData ProtectionBoard,Guidelines4/2019on Article25Data Protectionby Designandby Default

212020.0二处理端口控制:对个人权益影响最小、以兼容性判断为标准的限制使用处理个人信息时存在两个不同的利益博弈:一方面，信息主体在共享个人信息时的合理期待、信任和法律确定性要求，仅仅通过公民个人的一次同意或者法律授权不能为无限制地为个人信息处理提供正当化依据另一方面,从个人信息处理者的角度，随着科技的进步、案件需求的变化等，已收集的信息也可能对其他目的发挥重大作用，对个人信息的高效利用是信息社会发展的关键因素，也能极大提高侦查取证等刑事司法活动的效率，避免诉讼资源的浪费与不当拖延个人信息的处理活动往往会对作为信息主体的公民带来权益的干扰与侵犯，因此在个人信息处理阶段,首先应当关注的是信息处理方法的选择对个人权益影响最小的要求是比例原贝最小损害原贝『‘在个人信息保护领域的体现49程啸.论我国个人信息保护法的基本原则[J].国家检察官学院学报,2021,2讥5:3-

20.°个人权益不仅仅包含个人信息专属权益，也包含宪法所赋予的基本人权及其他法律所赋予的人身、财产权益等故存在多种处理方式可实现处理目的情形下，信息处理者在选择个人信息处理方式的时候，应当选择对个人权益影响最小的方式就处理已收集之个人信息的限制，依据《个人信息保护法》规定，我国的判断标准采取的是关联性判定，即处理需要与信息采集的初始目的相关联，且“应当与处理目的直接相关”对于目的与处理活动之间的关系，我国并没有采用欧盟个人信息兼容处理的要求，而是作出了更为严格的直接相关标准对信息处理范围限制在与初始目的直接关联的范围内更有利于保护信息主体的权益,因为原则上对个人信息的处理需要提前告知信息处理的目的等内容50《中华人民共和国个人信息保护法》第18条，直接关联标准更利于公民个人预见其个人信息被处理的范围及可能造成的风险然而，由于刑事诉讼中的侦查秘密原贝L个人信息处理一般属于《个人信息保护法》第18条及35条规定“法律、行政法规规定应当保密或者不需要告知”或“告知将妨碍国家机关履行法定职责”的情形，信息主体预见其信息处理风险的预设不能成立且通过考察欧盟个人信息立法，“直接相关”标准略显狭窄，初始目的与新的处理之间没有“直接相关”并不代表完全没有联系这种标准不利于个人信息在刑事司法领域高效流通与利用，未能给大数据侦查等活动留下足够空间，对刑事司法有不当阻碍的风险兼容使用标准的涵摄幅度更广阔,由此在刑事司法领域采取“兼容性”标准判断不失为一条可选进路,可一定程度上减缓刑事司法中因案件的复杂性需要进行个人信息进一步处理的矛盾困境故在刑事司法活动中，若需要对所收集的个人信息进行进一步处理，则需要考虑初始目的与新目的之兼容性将个人信息原用途与新用途进行兼容性测试，若相互兼容，则允许将个人信息基于新的目的进行处理,而不被视为超出目的处理的活动在衡量新目的与初始目的兼容性方面，应重点纳入以下因素:

1.新目的与初始目的之间的联系，如是否属于共同犯罪或者上下游犯罪的情形2个人信息初始收集时的背景，特别需要关注个人信息处理者与信息主体之间关系的性质和权力平衡以及信息主体的合理期待，例如对于证人、鉴定人等诉讼参与人的个人信息兼容使用范围应窄于被告或犯罪嫌疑人3是否为敏感信息，一般而言，涉及的信息越敏感，兼容使用的范围就越窄4拟开展的新处理对个人可能造成的影响大小;

5.新的信息处理是否有适当的保护措施,例如对个人信息进行加密或者假名化基于以上五种因素综合考虑，如果新的目的与初始目的有较大不同，没有合理关联，或涉及敏感信息，或会对个人产生较大不利影响，且个人信息处理者未能对信息主体可能产生的不当影响采取防止或者保护性措施，那么新的目的不能通过兼容性测试,不能将个人信息进行新目的之处理，刑事司法机关需要获得新的合法性依据才可处理个人信息

（三）特殊规则:不同情境信息流转

1.第三方传输豁免规则《刑事诉讼法》赋予刑事司法机关调查取证的权利，公安机关、检察机关与法院等主体为了预防与侦查犯罪等目的可向第三方机构调取个人信息，第三方机构也有义务配合有关机关对所收集的个人信息进行共享或者传输由前述分析可知,目的限制原则通常禁止以与初始处理目的不兼容的方式处理个人信息,而为预防、侦查、调查犯罪的目的而进行的处理活动可能会超出与信息处理的初始目的相兼容的范围若不作出适当调整，将非刑事司法活动目的收集的个人信息转移给刑事司法机构将违反目的限制原则因此,当信息处理为刑事司法目的所必需时，个人信息保护相关权利和义务的范围并非保持不变，而是需要进行相应调试正如GDPR给欧盟成员国进行其国内法调整的权力,刑事侦查中允许对通用数据保护原则实施一些限制,如对目的限制原则的减损的侦查机关自身进行信息获取转变为从网络信息业者等第三方机构调取信息⑷《中华人民共和国刑事诉讼法》第54条第1款对人民法院、人民检察院、公安机关等机关向有关单位和个人收集、调取证据及有关单位和个人负有如实提供证据的义务作出规定，通常被视为是调取措施的法律依据向该等商业主体调取数据具有技术便宜性和规则便宜性，它们相对于侦查机关而言拥有更强的数据处理能力，且侦查主体借此可规避其他取证方式所面临的障碍5裴炜.论个人信息的刑事调取——以网络信息业者协助刑事侦查为视角[J].法律科学西北政法大学学报，2021,393:80-

95.，侦查机关基于自身考量也更倾向从第三方机构调取个人信息侦查权权力分布格局的弥散化使得多元主体之间就数据收集、分享与挖掘进行高度配合，能大幅提高侦查效率然而侦查机关、网络信息业者等第三方机构、信息主体的高度配合易陷入侦查权、信息处理利益及个人信息权利保护之间的三方角力之中与此同时，侦查活动呈现出“功能蠕变function creep将拥有的个人信息与分析工具运用至越来越广泛的目的，逐渐模糊其与大规模监控的界限6Fantin,Stefano,et al.Purpose LimitationBy DesignAs ACounter ToFunction CreepAndSystem InsecurityIn PoliceArtificial Intelligence,UNICRI SpecialCollection onAlin CriminalJustice,26,

312020.刑事侦查已不满足回应性地打击犯罪，将个人信息o用以调查特定的、业已发生的案件,而是其功能延伸至预测性的犯罪预防之上对犯罪前期的阻断必须基于海量个人数据，对个人信息进行多维度、深层次分析,如通过对个人通讯信息和网购记录的分析从而形成涵盖公民个人住址、行踪、兴趣爱好的“数字画像”正如美国国家安全局首长基思・亚历山大Ke让h Alexander所言“为了在干草堆中找到一根针，前提就需要拥有所有的干草⑺Miller Kevin,Total Surveillance,Big Data,andPredictive CrimeTechnologyprivacys PerfectStorm,Journal ofTechnology LawPolicy,Vol.19,No.1,105,

1102014.0为对个人信息处理的范围、强度进行控制,目的限制原则作为个人信息处理最基本的一项原贝山不论信息处理者的身份或者处理活动的类别为何，均贯穿于个人信息处理全周期，理论界将其称为个人信息保护法上的“帝王条款”8李惠宗.个人在第三方机构出于预防、侦查、起诉等打击犯罪的目的向刑事司法机构提供个人信息的情境下,可豁免于目的限制原则中兼容使用的限制，因为刻板地遵守目的限制原则会阻碍刑事司法目的顺利实现从第三方机构的角度，在刑事司法目的之下向刑事司法机关传输个人信息，该行为可以使用第三方传输豁免规则，无需考虑与刑事司法机关共享个人信息是否与信息收集的初始目的相兼容但是需要注意的是，获得豁免的主体仅是第三方机构，豁免针对的是进一步的信息处理行为,即第三方机构向刑事司法机关传输个人信息的行为;从刑事司法机构的角度，其向第三方机构调取个人信息依然需要遵守目的限制原则故而该处豁免仅限于刑事司法机关向第三方机构调取该机构所收集的个人信息这一特殊情境在预防和打击刑事犯罪的需求下，个人作为信息权利主体对其个人数据的控制权益需要让渡于国家安全等重大公共利益，因此第三方机构对个人信息进一步使用限制的程度有所降低但这种降低是有限的，它的范围仅仅存在于第三方机构向刑事司法机构传输或共享个人信息这一步骤，且共享信息的范围依旧需要符合个人信息最小化原则的要求，因为接收第三方机构传输数据的相对方一刑事司法机构的信息收集行为依然需要遵守数据收集端口目的明确、合理与个人信息最小化要求，不得毫无边界、肆意扩张调取个人信息的数量,也不得毫无限制地直接接入第三方机构的数据库

2.目的变更规则面对信息处理活动中可能涉及的数据它用情形，为合理、充分利用个人信息，刑事司法中目的限制原则也理应作出相应调整:如果刑事司法机构获得法律授权,并且就新目的是必要且合比例的情形下，若新目的仍在刑事司法范围内，则允许同一或另一刑事司法机构基于原始目的以外的目的对个人信息进行进一步处理，该软化目的限制原则的规制可称为目的变更规则这种目的变更因对个人信息权利干预程度更深，需要匹配更为严格的程序规制,如基于大数据侦查的刑事司法活动中，个人信息收集、使用、目的变更规则的运用需要进行梯度式的层级构建个人信息收集阶段符合目的限制原则项下的目的明确、合法要求和个人信息最小化要求的正当性并不必然延伸至信息的使用阶段（如利用个人信息的自动化决策等高阶分析行为），个人信息的使用需要遵守限制使用原则，在对个人权益造成最小影响及兼容使用的标准下处理个人信息;若适用目的变更规则，则需在审批层级、批准手续等方面制定更为严格的规制其次,目的变更规则需要区分信息主体在刑事诉讼中的不同身份，原则上目的变更规则仅适用于犯罪嫌疑人、被告人或已经定罪的罪犯的个人信息,禁止变更目的进一步使用被害人、证人等其他诉讼参与人的个人信息目的变更规则应用于刑事司法机构基于刑事司法目的之内的信息处理程序，此处信息处理包含该刑事司法机构自行进一步处理个人信息，也包含该刑事司法机构将自己所拥有的个人信息传输给另一刑事司法机构处理的情形该规则实施有两个前提要求:第一，信息处理具有合法性,即刑事司法机关对于变更后目的所涉及的信息处理行为处于法律授权的职能范围之内,不得超出法定职责所必要的范围与限度，例如公安机关将侦查中收集的犯罪嫌疑人的个人信息移交检察机关作为证据提起公诉;第二，信息处理符合比例原则比例原则被称为“权利限制的限制”51梅扬.比例原则的适用范围与限度[J].法学研究,2020,42⑵:57-

70.,对基于公共利益需求而运用的公权力进行控制的逻辑基础,对公民权利的限制以及国家权力的运作控制在合理边界之内，是保障人权的考量关键而在目的变更规则的情境之下，比例原则的关键在于强调刑事司法机关为实现打击犯罪的目的,所采取的新的处理个人信息的活动对于该目的之实现是必要的，且对公民的个人信息权利限制与侵害与所追求的目标合乎比例，公权力对私权利的干预后果与打击犯罪的目的之间保持均衡虽然刑事司法活动普遍拥有天然的必要性，但是超出初始目的处理个人信息的必要性依然需要在特定的个案中进行衡量52裴炜.个人信息保护法与刑事司法的分离与融合[J].中国政法大学学报,2020,5:149-

160.由此，刑事司法机构为履行法定职责，出于初始目的之外的某一刑事司法目的合比例地对其所拥有的个人信息进行处理是被允许的，但是后续基于变更后目的所涉及的信息处理行为仍然需要遵守目的限制原贝L尤其是限制使用原贝不得随意进行数据它用

五、结语信息社会的背景之下，以大数据侦查为代表，充分利用个人信息实现刑事司法活动预防和打击犯罪的目的趋合社会控制机制演变的趋势53程雷.大数据侦查的法律控制[J].中国社会科学,2018,11:156-

180.正当法律程序和个人信息保护对于刑事司法活动的良性发展至关重要,而个人信息保护领域的目的限制原则在侦查权等公权力边界控制中的缺失极易引发全景式监控的个人信息收集和处理的风险54黎晓露.个人信息权引入刑事诉讼的理论证成与体系化建构[J].河北法学,2021,3912:139-

155.完善目的限制原则在刑事司法个人信息保护领域的程序性规则构建，一方面可衔接刑事司法制度与个人信息保护的基本要求，给予个人信息必要的程序关照，关乎数字时代刑事司法的程序转型与理念革新;另一方面，目的限制原则要求避免对刑事诉讼中个人信息从静态的、结果性的视角进行观察，强调个人信息从收集到运用、流转的过程化、动态化视角,有助于构建过程性的证据观，促进证据理念更新与对司法实践的回应55冯俊伟.刑事证据“生命流程”的理论阐释[J].中国法学,2023,1:263-

282.资料保护法上的帝王条款——目的拘束原则[J].法令月干1,641:37-61,转引自程啸.论我国个人信息保护法的基本原则[J].国家检察官学院学报，2021,295:3-

20.0该原则也被《中华人民共和国个人信息保护法》以下简称《个人信息保护法》所确立，由此打通了部门法之间的隔阂，呈现出个人信息保护从实体法领域拓展至程序法领域，从私法领域拓展至公法领域的特征刑事司法领域不可避免地涉及到信息的交互及二次利用，因侦查活动对个人信息的干预性、侦查权社会化演变及侦查向大规模监控演变的“功能蠕变”，个人信息存在过度收集与滥用的现实风险，目的限制原则不断受到挑战如一学者所言，我国在刑事诉讼中个人信息保护方面呈现出权力与权利关系上的跛脚状态9郑曦.作为刑事诉讼权利的个人信息权[J].政法论坛，2020,38⑸:133-44•,法律赋予刑事司法机关在预防和打击犯罪过程中收集和利用个人信息的权力，但是对诉讼参与人等主体的个人信息权利却鲜少关注刑事侦查活动较检察、审判等刑事司法活动具有更多侵犯个人信息的现实表现与特性，需重点予以关注讨论因此,以分析与评价欧盟为通行与刑事司法领域区别设计的目的限制原则为基础，结合我国《个人信息保护法》构建本国刑事司法活动中个人信息所适用的目的限制原则成为当下亟需回应的问题

二、刑事侦查情境个人信息保护的镜像瑕疵一刑事侦查个人信息处理目的控制呈现规范真空在大数据时代背景之下，拥有“数据权力”的国家司法机构亦是个人信息的侵害风险源之一，需严格控制对公民私人生活的干预与监控，避免过度侵入个人信息领域10王锡锌.个人信息国家保护义务及展开[J].中国法学，2021,1:145-

66.0而我国尚未对刑事司法中的个人信息保护作出专门立法规定,已有法律法规呈现两大真空，对个人信息保护呈现片面化倾向:第一，对于个人信息的保护主要依据对个人隐私保密义务这一逻辑路线;第二,关注重点在于信息收集行为而非信息处理行为首先,现行刑事诉讼法律法规中对个人信息的保护大部分基于对个人隐私的保密义务而进行规制，但个人信息保护范畴与隐私保密并非重合如《中华人民共和国刑事诉讼法》以下简称《刑事诉讼法》专节规定技术侦查,侦查人员对技术侦查过程中知悉的个人隐私应当保密，对于所获取的材料仅能用于对犯罪的侦查、起诉与审判11《中华人民共和国刑事诉讼法》第152条;2016年“两高一部”《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》以下简称《电子数据规定》指出，电子数据涉及个人隐私的情形应当保密12《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第4条然而个人信息与个人隐私从范围、功能两方面存在实质化差异,需要区别对待，分类规范从范围而言,隐私强调个人之私密空间不受侵犯，主要关注私密性;个人信息包含对个人而言的私密信息与非私密信息，其所保护的范畴不以信息的私密性为界限,而是更加注重基于信息的可识别性基准之上个人对该等信息处理的自主性，即个人依其自我意志决定在何种范围、何时、向何人、以何种方式处理其个人数据13刘玫，陈慧君.刑事司法领域信息自决权研究[J].吉首大学学报社会科学版，2021,5:31-

40.0从功能而言，除强调隐私信息不得被侦查人员等泄露之外，个人信息保护聚焦于个人信息处理的自主控制，即个人信息的收集、存储、使用、加工、传输、提供、公开、删除等多环节进行多阶段保护;从刑事司法机关等个人信息处理者、信息主体等多主体分别进行全方位保护个人信息关注重心并非为是否被他人知晓，而是信息是否被正当、合理地收集与处理,因此在刑事司法中个人信息保护节点最关键的因素即对个人信息的收集范围的划定及其随后的使用限制，这正落入目的限制原则所规范的范畴其次,传统刑事诉讼规范仅将关注重点放置于个人信息收集行为的物理场域控制，缺乏对侦查中信息处理全周期的程序控制规则，呈现“顾前不顾后”的倾向，需通过目的限制原则进行调整从个人信息收集行为而言，侦查规则依然依从于以传统物理场域为考量而制定的调取规则，对于侦查活动范围限制的具体设计依靠物理环境的边界如时间、对象、地点而划分14裴炜.数据侦查的程序法规制——基于侦查行为相关性的考察[J].法律科学西北政法大学学报，2019,376:43-

54.即认为控制了物理场域的入口，限定了个人o信息收集的时间、地点或者对象等因素，取证行为不得超出这些场域限制，则能确保信息流入刑事诉讼的范围然而，在个人信息等电子数据收集过程中,非直接物理接触的取证行为大量出现，虽不使用外在强制的有形力,但是数据承载的个人信息依然受到威胁就个人信息处理而言，侦查活动往往被认为直接等同于取证行为15王仲羊.刑事诉讼中个人信息的权利保护［J］.中国刑事法杂志，2022,3:155-

176.，对个人信息等数据流入的规制，聚焦于作为证据的电子数据的真实性、同一性16譬如《电子数据规定》对此针对性地做出技术性规则，因而忽视了后续信息使用、更正、删除等处理步骤的程序规制刑事司法机关对个人信息的处理已由传统单一的静态数据获取延伸至传输、分析、更正与销毁等动态数据处理行为,这些行为并非数据调取等取证行为的附带结果，个人信息收集的合法性与正当性也不得理所当然地被后续其他处理阶段所继承二目的限制原则未就刑事侦查场域进行适应性调整在个人信息领域，目的限制原则是国际上被广泛确立的原则之一，是调节收集及处理个人信息的范围与手段的重要原贝［，也是协调刑事司法对个人信息权益干预过程中公权力与私权利之间冲突的重要依据个人信息权作为“第三层级诉讼权利”，其紧迫性、必要性在刑事诉讼中虽不及生命、自由、健康等权益，但依然拥有重要价值17郑曦.作为刑事诉讼权利的个人信息权［J］.政法论坛，2020,385:133-

144.该原则的核心价值在于它能够对信息处理者如何使用某项个人信息进行限制，从而使个人能够自始评估和预见提供这些信息的危险性从调整的法律关系而言，私法领域目的限制原则强调限制个人信息处理的范围与手段，避免其他公民对个人数字人格图像的干扰与扭曲,刑事司法中该原则以刑事司法机关肆意收集与滥用个人信息为规制对象,调节权力与权利之间的非对称性结构面对现代社会对个人信息保护的迫切需求，我国《个人信息保护法》采取不区分私主体与侦查、检察、审判等公权力机关的“统一立法”模式18彭罅.论国家机关处理个人信息的合法性基础［J］.比较法研究，2022,⑴:162-

176.，第6条首次对目的限制原则进行明确，规定“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关,采取对个人权益影响最小的方式收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息”19《中华人民共和国个人信息保护法》第6条由此,我国个人信息保护领域的目的限制原则由三方面要求组成:处理个人信息目的特定、处理活动与目的直接相关、采取对个人权益影响最小的方式20程啸.论我国个人信息保护法的基本原则[J].国家检察官学院学报,2021,285:3-

20.然而，《个人信息保护法》统一立法模式忽视了刑事侦查的特殊性，内容宽泛且具体操作性欠缺，没有对侦查机关等刑事司法机关就目的限制原则项下收集及处理个人信息予以调整适用原则上刑事司法机关收集和使用个人信息应遵守目的限制原贝山但在与个人信息保护衔接的过程中面临向第三方机构收集个人信息与后续溢出初始目的处理的问题，其关键在于划分不同情景下刑事司法机关可以收集的个人信息范围和对个人信息处理的细化调整《个人信息保护法》虽就知情同意原则为刑事司法机关设置了但书，对侦查活动中适用的知情同意规则进行结构优化21王仲羊.侦查中个人信息知情同意制度的引入与调适[J].中国人民公安大学学报社会科学版,2023,39⑴

12.旭并未就刑事司法机关收集及使用个人信息的目的限制原则设置但书或调整适用对于在刑事司法中个人信息相关数据的调取，现有法律规则虽规定刑事司法机关在其职权范围内可对个人信息进行调取及处理22如《中华人民共和国数据安全法》第35条规定:“公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合”;《个人信息保护法》第34条规定“国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度”，但仅将刑事司法机关处理个人信息的范围限制在其法定的职权范围之内,对个人信息收集和使用的范围和限制缺少合理划定,实践中公权力对个人信息的调取及处理边界难以细化，缺少实质性约束功能

三、域外俯瞰:欧盟法中目的限制原则的区分规制目的限制原则被认为是数据保护中的基石，也是大部分其他数据保护原则的前提性要求23Christopher Kuner,Lee A.By grace,Christopher Dockseyeds,The EUGeneralData ProtectionRegulation GDPR,A Commentary315OxfordUniversity Press,

2020.该原则适用场域主要涵盖个人信息因何被收集并限制进一步处o理的范围，它构成了防止肆意收集或滥用个人信息的安全保障,并指导基于不同目的收集个人信息的处理活动刑事司法与其他信息处理场景所适用的目的限制原则在并非完全一致从数据处理角度，刑事司法机关作为个人信息收集和使用的主体即“个人信息处理者”，与作为个人信息权利主体的公民个人之间不仅在信息能力方面具有不平等性，且国家侦查权等公权力行使过程并非持续性地进行信息采集与处理,并不适用针对持续性信息不平等关系主体之间所通行的个人信息权利保护制度24丁晓东.个人信息权利的反思与重塑论个人信息保护的适用前提与法益基础[J].中外法学,2020,322:339-

356.正因于此,欧盟的《通用数据保护条例》以下简称GDPR25Regulation EU2016/679of theEuropeanParliament and ofthe Council of27April2016on theprotection ofnatural personswith regard to theprocessingof personaldata and on thefree movementof suchdata,and repealingDirective95/46/EC GeneralData ProtectionRegulation.将刑事司法为目的的数据处理排除在其适用范围之外，而对基于预防、调查、侦查、起诉刑事犯罪等活动而进行的个人信息处理进行特别法律规制，即《以犯罪预防、调查、侦查、起诉或刑罚执行为目的的个人数据保护指令》以下简称《个人数据刑事司法指令》26Directive Ell2016/680oftheEuropean ParliamentandoftheCouncil of27April2016ontheprotectionofnatural personswithregardtotheprocessing ofpersonaldata bycompetent authoritiesfor thepurposes ofthe prevention,investigation,detection orprosecution ofcriminal offencesor theexecution ofcriminalpenalties,andonthefreemovementofsuchdata,and repealingCouncilFramework Decision2008/977/JHA.虽然美国将刑事诉讼中的个人信息保护的放置于o隐私权的大框架之内,但与欧盟相似，美国主要通过宪法第四修正案关于搜查及隐私权保障的判例法加以规范，逐渐将刑事查中搜查的建立标准由物理侵入转变为隐私侵犯，发展出刑事司法领域个人信息保护的第三方理论和隐私合理期待说等标准27程雷.大数据侦查的法律控制[J].中国社会科学，2018,11:156-

180.0作为个人信息保护立法的后发国家，我国出台的《个人信息保护法》参考了欧盟GDPR的体例，因此欧盟的个人信息立法框架具有典型意义与GDPR同步通过的《个人数据刑事司法指令》被认为在“建立一个具有高度数据保护的自由、安全和正义的领域”发挥重要作用，对该指令在刑事司法领域确立的目的限制原则进行深入探讨并总结优点与不足，对我国具有极大的借鉴意义一起源与基础早期关于目的限制原则的规定可见于与隐私相关的国际文件之中，如经合组织的隐私准则28OECD GuidelinesontheProtection ofPrivacy andTransborder FlowsofPersonal Data1981updated in2013和欧洲理事会的《关于个人数据自动化处理的个人保护公约》第108号公约29Convention fortheProtection ofIndividuals withregardtoAutomatic Processingof PersonalData,ETS,No108,28January1981,Strasbourg Convention

108.在刑事司法部门，欧洲理事会关于警察部门使用个人数据的建议R8715号建议30CouncilofEurope RecommendationR8715oftheCommittee ofMinistersto MemberStates regulatingthe useofpersonaldata inthe policesector

1987.也包含了关于目的限制原则的规定在这些文件之中，目的限制原则被划分为目的明确和限制使用两个层次在第108号公约的基础上，尽管《关于涉及个人信息处理的个人保护以及此类数据自由流动的指令》第95/46/EC号指令和《理事会框架决定》第2008/977/JHA号决定措辞略有不同，它们都载有关于目的限制原则的具体规定:目的限制原则要求收集数据之目的是“特定的、明确的、合法的”，且不得以最初收集目的“不兼容”的方式进行进一步处理信息自决一般被认为是目的限制原则产生的基础，信息自决指个人对自我信息数据处理与使用的控制31Liana Colonna,Data Miningand itsParadoxical Relationshiptothe Purposeof Limitationin ReloadingDataProtection,299,300-302Serge Gutwirth,Ronald Leenesand Paulde Herteds,Kluwer

2014.,但是在刑事侦查等活动中这种认知难以为继以商业、社会管理等目的收集的个人信息似乎难以完全拒绝被应用至刑事司法领域,即个人作为信息主体难以控制侦查机构等刑事司法机构收集或进一步使用基于非刑事司法目的存储于第三方机构的个人信息与通行领域不同,在刑事司法中两个截然不同的价值需要得到平衡:一方面是对个人信息进行保护,另一方面是保障司法机关为顺利进行刑事诉讼活动,打击犯罪而对数据进行适度抓取与利用目的限制原则在刑事司法领域的应用可以提高司法透明度以及法律的确定性和可预测性，从而实现司法目的和个人信息保障双重价值，故而在刑事司法场域架构之下可采取更为灵活的解读因此，欧盟在对个人数据进行保护的法律文件中将通行领域与刑事司法领域所适用的目的限制原则进行区分设置二异同分析:不同领域中目的限制条款GDPR与《个人数据刑事司法指令》之间的关系体现了个人信息在民商事等通行领域与刑事司法领域之间的关系:个人信息并不是固定的，而是频繁地在两领域之间相互流动转化GDPR第19条将公共机构为实施法律之目的对个人信息处理排除在其适用范围之外，与此同时正如《个人数据刑事司法指令》第1条所言，这些数据处理行为落入该指令的规制之中另一方面，《个人数据刑事司法指令》第11条明确规定，如果公共机构所进行的数据处理并非是基于法律实施之目的，那么处理活动应受GDPR的管辖故需要对刑事司法涉及信息处理情形进行区分，同时分析GDPR与《个人数据刑事司法指令》在通行领域和刑事司法领域所设立的目的限制原则不同内涵与要求

1.GDPR:通行领域的目的限制原则GDPR涉及商业和公共利益等广泛领域中数据处理环节的规定，对于这些领域中个人数据处理的目的限制原则分为目的明确原则与限制使用原则两个子原则在目的明确层面,GDPR首先设定了三个关键词,即特定specced、明确explidt以及合法legiimate:目的特定意味着个人数据处理的目的应当在个人信息收集开端业已确定,基于不固定或不特定的目的对个人信息进行收集是被禁。