在数字时代，侦查机关在侦查中往往需要调取各类个人信息，但侦查中个人信息的调取尚未受到法律的严密控制。特别是在大数据侦查中，侦查机关除了自身获得海量信息外，还要从外部调取海量的、与案件无特定关联的信息。典型如资金分析、人脸识别侦查、自动化车牌识别等的运用，都会用到大量的案外个人信息。在这些个人信息的获取中，最为突出和重要的问题是海量个人信息的调取。在智慧警务改革不断推行的背景下，大数据侦查中个人信息的调取需求不断扩大，若法律控制失当，将导致大数据侦查的恣意运用。

对于个人信息调取，我国法律规范并无明确、系统的规定，但从诸多散见的条文中，可以系统归纳出我国个人信息调取的整体规范框架。在这一规范框架下，借助实证考察，可以发现实践中个人信息调取存在多重控制难题。侦查规范改革的功利化和被动化、个人信息共享的政策推动、信息调取的隐蔽性和权益侵犯的无形性等因素叠加，导致个人信息调取的法律控制愈加困难。

（一）侦查机关调取个人信息的基本规范框架

对于个人信息调取，我国构建了由侦查手段、授权规范、应用场景、数据类型等要素组成的基本框架，但这一框架较为粗疏，无法有效规制个人信息调取。

首先，调取的法律属性不明。调取本质上是一种侦查手段，它与收集数据不同，强调从相关方直接获取信息，其既可能是一种任意性侦查措施，也可能是一种强制性侦查措施。对调取的性质界定，需要结合具体情况进行具体分析。可是，既有法律规范并未对调取进行清晰的分类、界定和限制。从2018年刑事诉讼法第54条的规定看，调取是一种独立的任意性侦查措施。但是，侦查机关调取DNA等个人信息时会涉及公民隐私权，此时调取便属于强制性侦查措施。

其次，法律规范授权不清。除了刑事诉讼法的概括性授权，数据安全法和个人信息保护法对数据和个人信息的调取也作了概括性授权。其一，数据安全法第35条的规定属于授权性条款，但其表述模糊，带来理解和适用上的困难。其二，个人信息保护法第34条对国家机关依法定职责处理个人信息的情形作了规定，但因条文过于抽象而无法成为个人信息调取的明确依据。公安部2019年《公安机关办理刑事案件电子数据取证规则》第41条、2020年《公安机关办理刑事案件程序规定》第62条等初步规定，向第三方调取电子数据仅需办案部门负责人批准即可。显然，这些规范并未对个人信息调取进行严密控制。而且，一般认为，侦查机关调取电子数据并不包括海量个人信息的调取。

再次，未能针对不同应用场景作出力度不同的法律控制。数字时代，广义上的侦查可分为预测警务、调查核实和立案侦查三个阶段。预测警务主要包括大数据预测和预测后的预防性控制两个部分。调查核实阶段在预测警务之后，侦查之前。在调查核实阶段，侦查机关为判断案件是否达到立案标准，开展证据材料的初步收集和分析活动。在这三个阶段，侦查机关都有调取个人信息的需求和可能。但整体来看，相关规范对三个阶段的个人信息调取都未进行严密控制，并且三个阶段的法律控制均未严格遵循比例原则来展开。

最后，个人信息分类过于简单。我国法律尚未对电子数据的类型作明确区分和界定，2016年最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第1条简单罗列了四种电子数据类型，2021年最高人民检察院《人民检察院办理网络犯罪案件规定》第27条在此基础上将电子数据扩充到七种。但是，这一分类未能从根本上对电子数据进行有效划分，与国际上的通常分类也不同。例如，2024年联合国《关于打击为犯罪目的使用信息和通信技术行为的全面国际公约》（以下称“打击为犯罪目的使用信息等行为国际公约”）第2条列明了流量数据、内容数据和订户数据；以此为依据，该公约第27条的“提交令”部分对订户数据提交进行规制，第29条对实时收集流量数据提出要求，第30条对拦截内容数据提出要求。

（二）侦查机关调取个人信息的现实问题

个人信息调取一般处于非公开状态，公开案例和数据很难获取，故笔者对S省、A省十余名侦查人员进行了实地访谈，以了解个人信息调取的实践情况。本次访谈可能存在样本不足的问题，但访谈包含了省市区三级侦查机关工作人员，访谈人员结构可以初步保障本次调研的可信性。

（三）侦查机关调取个人信息的问题归因

个人信息调取的实践问题源自多种制度、规范因素。其中，侦查规范体系改革的功利化和被动化、技术治理下个人信息共享的政策推动、个人信息权益侵犯的隐蔽性和无形性等因素叠加，加剧了个人信息调取的法律控制难题。

1.侦查规范体系改革的功利化和被动化，加大了确立新规的难度

我国法律对侦查措施的规范，呈现内部约束增加但外部监督不足的特点，因此侦查机关对侦查措施具有很强的控制权。当新的侦查问题出现时，法律规范的模糊不清恰好可以给个人信息调取提供便利条件。从功利性的视角看，侦查机关缺乏主动规制个人信息调取的主观能动性。在电子数据取证的相关规范上，这种功利性思路更加明显。目前，整体上看，电子数据的取证缺少一个明确的理论框架。我国法律对电子数据收集提取的法律规制，没有完全遵循法律保留原则和比例原则的要求。侦查行为与强制措施二分的立法结构，难以为新的问题提供合理的规制思路。

2.技术治理下个人信息共享政策对程序正义不断造成冲击

运用理性化、专业化、数字化、程序化乃至智能化的技术原则和方法进行公共治理，已成为当前公共治理单位的主流选择。近年来，公安部以实施公安大数据战略思想为指引，适应信息化大局、紧抓顶层设计，对开展大数据智能化建设作出一系列决策部署。当前公安机关正在全面建立完善的“专业+机制+大数据”新型警务运行模式，明确以大数据赋能为支撑。但是，技术治理推动下的数据共享，无形中会侵犯公民的个人信息权益。在共享司法数据和政务数据时，侦查机关掌握了海量的个人信息，侦查权无形中得到扩张，而公民的个人权益却难以得到有效保障。

3.个人信息权益侵犯的隐蔽性和无形性带来权益保障挑战

在调取个人信息时，侦查机关对个人信息权益的侵犯具有隐蔽性和无形性，一般公众很难了解和掌握侦查机关的非法调取行为。所以，个人信息的调取并未引起普通公众的强烈关注，相关立法一直未能提上日程。其一，个人信息侵犯行为具有隐蔽性。在侦查机关向相关方调取个人信息时，个人信息所有者很难获知其个人信息被调取。一般来说，大型平台会以侦查秘密之要求，拒绝告知个人信息所有者其个人信息的使用情况。其二，个人信息侵犯后果具有无形性。一般来说，个人信息的调取对单一个人信息所有者造成的影响相对较小，个人信息所有者很难就个人信息非法调取进行维权。除此之外，个人信息的调取有时会通过新型技术更加隐蔽地进行，这增加了个人信息权益的保护难度。

国内关于个人信息调取问题的研究，主要关注欧盟相关法律的变动，对各个国家相关程序的功能考察却有所忽视。面对个人信息调取这一新问题，德美两国在其传统法律控制框架下，通过法律和宪法判例等形式，回应新型个人信息和海量个人信息调取的难题。虽然在规范思路和规范密度上存在一定的差异，但两国在个人信息调取的法律控制上逐步分化出相似的三元理论框架，即调取之法律授权、调取之令状程序和调取之程序保障。因为这些内容均可纳入正当程序理论，故本文将这些正当性要求提炼为“个人信息调取的正当程序框架”。

（一）调取之法律授权

调取之法律授权，要求调取的法律依据须具备公开性和明确性，以便为基本权干预提供正当依据。德美两国在宪法文本之下，通过判例或修改法律逐步完善个人信息调取的授权方案，以回应新型个人信息和海量个人信息调取的问题。

1.美国：以合理隐私期待为核心的动态授权框架

美国虽无统一、明确、清晰的法律规定，但美国最高法院以宪法第四修正案为核心，明确隐私权的基本权地位，确立合理隐私期待理论和第三方理论，再辅之以具体法律规范，对个人信息调取进行动态控制。这种以个案合宪性审查为主的控制思路，为各类个人信息的调取提供了相对清晰的规制框架。

美国最高法院通过卡茨案（Katz v. United States），正式全面确立了隐私权在宪法第四修正案解释与裁判中的核心地位。哈兰大法官在此案中提出的“隐私权主客观双重检验法”逐渐为人所接受，成为判断是否构成搜查的标准判断方法。通过米勒案（United States v. Miller）和史密斯案（Smith v. Maryland），美国最高法院明确了所谓第三方理论。在此基础上，美国逐步形成以内容信息和非内容信息为分类基础的控制方式。在这一框架下，公民交由第三方的个人信息一般都不在隐私权的保护范围内。此后，在琼斯案（United States v. Jones）中，美国最高法院的多数意见认为，将GPS跟踪设备安装在犯罪嫌疑人的汽车上，侵犯了司机的宪法权利。“马赛克理论”在该案的反对意见中被提及。在莱利案（Riley v. California）中，美国最高法院裁定，警方在搜查嫌疑人的智能手机之前，必须获得搜查令。法院的理由是，现代智能手机中的敏感数据显示了太多生活隐私，在获取信息之前需要合理的理由证明。在卡平特案（Carpenter v. United States）中，美国最高法院的多数意见同意卡平特的观点，认为在没有合理理由的搜查令的情况下，获取第三方手机服务提供商持有的数字手机站点位置信息，违反了对隐私的合理期待。“马赛克理论”在该案中被适度激活。

总之，美国通过最高法院的判例，不断对各类个人信息调取问题进行动态权衡和回应。在决定对某一类型的搜查是否豁免搜查令的要求时，美国最高法院充分灵活和有弹性地解释宪法修正案条文，通过利益的综合考量，使其能够服务于当代人的需要。虽然对于此种控制路径的批评很多，但不可否认，这种基于宪法文本的、以个案为基础的动态平衡进路，可以保障国家对侦查权的控制具有灵活性和包容性。

2.德国：以个人信息自决权为中心的比例授权框架

在个人信息调取上，德国对刑事侦查措施的法律控制更加精细和融贯。德国以基本权干预理论为中心，主要围绕个人信息自决权、通讯秘密权等基本权利，明确相关侦查措施的授权规范。基本权干预理论主要分为三个阶层：一是基本权保障范围之诠释；二是基本权是否受限制（侵害）之判断；三是限制基本权的宪法上合法化理由（阻却违宪事由）之审查。依照基本权干预理论，个人信息调取的法律授权主要限制对基本权形成干预的个人信息调取。此类调取需符合基本权干预的正当化理由：第一，法律保留原则和明确性原则。法律保留要求行政权的实施必须以法律授权为前提，只要涉及基本权的实现就属于重要事项，应由立法者而非行政机关自行判断。明确性要求立法者在制定法律时，用语要明确清晰、便于理解，以形成可预测、可遵守、可审查的法律规范。第二，比例原则。个人信息调取涉及的基本权主要有个人信息自决权、通讯秘密权、信息技术系统保密性和完整性之权利，一旦明确个人信息调取侵犯基本权利，对基本权利的干预就需要符合比例原则。这里要补充说明的是，对于侵犯公民基本权的侦查措施，并非都要求明确的法律授权，对于侵犯一般人格权的非强制性干预措施，则需要遵循修正的干预门槛理论。

在个案中，借助合宪性审查，德国联邦宪法法院通过一系列宪法判例，明确了个人信息自决权等的基本权地位，以回应与个人信息相关的侦查措施的控制问题。德国联邦宪法法院在“人口普查第二案”中明确了个人信息自决权。自此，因可能侵犯公民个人信息自决权，侦查中个人信息的调取需要获得法律授权，方能合法施行。“扫描式追缉案”中有关个人信息调取的反思，能够充分体现德国对个人信息调取的主流态度。在该案中，德国联邦宪法法院除了明确运用基本权干预的法律保留原则和比例原则，还指出数据在汇集之时能够拼凑出“完整的人格图像”，这构成“特别强烈的基本权干预”。在“《联邦刑事调查局法》案”中，德国联邦宪法法院强调，在国家愈加依赖侵入私人生活领域以借助海量信息治理犯罪的背景下，通过概括授权作出的法律规定无法满足合宪性要求。

在立法上，德国刑事诉讼法对个人信息调取的回应比较积极。在遵循比例原则的基础上，德国刑事诉讼法根据不同的个人信息调取对象、范围和类型等，依托嫌疑要件、罪名要件、补充性要件（原则）、比例要件和程序要件等，逐步对个人信息调取进行了严密、精细的比例控制。相关规定主要是：其一，第163条的概括授权条款；其二，第81h条对DNA群众检测的规制；其三，第98a条、第98b条的自动化信息比对条款；其四，第100条对通讯监控、主体信息和通讯信息调取的必要性规制；其五，第163g条的自动化车牌识别条款。整体上，德国在概括授权之外，主要采用场景化规制进路，即根据不同信息类型和使用情况构建不同的干预门槛。这种基于个人信息自决权的合宪性控制路径，遵循基本权干预理论，对个人信息调取进行了严密、周详的控制（下页表1）。

表1 德国刑事诉讼法中有关个人信息调取的主要条款

（二）调取之令状程序

个人信息调取措施不仅需要法律授权，还需要构建令状程序来对其加以控制。虽然在具体细节上存在差异，但德美两国均构建了相应的个人信息调取令状程序。

（三）调取之程序保障

与传统侦查措施的法律规制不同，个人信息调取涉及第三方和个人信息持有人的权益保障难题，个人信息调取后的存储等处理行为也可能侵犯公民权益。因此，德美两国都根据各自法律传统构建了特殊的程序性保障措施。

1.美国：基于辩护方合法权益的程序性保障

在美国，辩护方基于正当程序理论，可以就司法令状提出异议。基于对辩护方正当程序权利的保障，美国还就特定个人信息的存储、删除等设置了专门规范。例如，涉外情报监控法院通过发布命令，来确认电话元数据的存储、查询、分析和传递等程序性保障措施。就电话元数据的调取而言，法院给出的最初期限为90天，但联邦调查局在命令终结之前可向涉外情报监控法院重新提出申请，要求电话公司继续提供电话元数据。2001年《爱国者法案》（The USA PATRIOT Act）第215条规定，由电话监控获取的电话元数据应保存在国家安全局构建的数据库中，在存储期限届满时需要删除。并且，只有指定的国家安全工作人员才有权查询、检索电话元数据。

2.德国：基于个人信息自决权的程序保障

在“电子邮件案”中，德国联邦宪法法院认为，对实体法上基本权利的有效保护，需要程序上的安排符合实质性要求（除令状程序外的程序保障）。被认可的程序性保障措施包括告知义务、提供信息/答询义务、删除和标记义务及相关救济程序等。换言之，个人信息自决权指向国家公权力处理个人信息的所有环节，而个人信息的存储被看作一种独立的信息处理行为。例如，德国刑事诉讼法第98b条中明确了自动化比对程序，要求若资料连同数据载体一并传送，则在比对完毕后应尽速将其归还；转存到其他数据载体之上的个人资料，一旦刑事程序不再需要，应尽速删除。上述规范的设计以个人信息自决权为直接基础，认为个人信息的存储直接侵犯公民个人信息自决权，这与美国构建程序性保障措施的理论依据存在差异。

（四）小结：正当程序三元框架及其理论价值

通过考察德美两国个人信息调取的相关立法、判例和理论，一个包含调取之法律授权、调取之令状程序、调取之程序保障的正当程序三元框架逐步浮现。笔者认为，这一理论框架具有如下理论价值：其一，为个人信息调取的规范构建提供了一个层次分明的体系化思路，也弥补了单一视角研究的不足。其二，为个人信息调取的规范构建提供了一个更加精致的方案，具有借鉴价值。其三，为个人信息保护法与刑事诉讼法的衔接提供了切口。如前所述，德国宪法判例一再强调程序性保障措施的重要意义，盖因有关个人信息的处理涉及个人信息权益的保障问题，而独立的程序性保障措施为个人信息保护法中相关原则和规范的融入提供了入口。其四，正当程序三元框架的提炼和运用，为个人信息调取法律控制的国际对话提供了助力。

（一）正当程序三元框架的本土化反思

虽然个人信息调取的正当程序三元框架具有一般性的理论意义，但我国个人信息调取的法律规制仍需结合我国具体国情来展开。详言之，在技术治理政策之下，应以隐私权为中心对个人信息调取进行比例控制；在以科层控制为主的传统令状制度之下，应以检察机关为中心构建准司法令状制度；为充分保护各类新型权益，应以个人信息权益为中心构建程序保障措施（下页图1）。

1.技术治理政策之下授权规范之反思：以隐私权为中心的比例控制

在成文法国家，以基本权干预为基础的比例原则应用是个人信息调取之合宪性控制的核心部分。其中，明确何种基本权作为个人信息保护的权利依据，是个人信息调取法律控制的起点。德国将个人信息自决权单独作为一项基本权，但这一思路与我国刑事司法改革理念和刑事司法运作实践不相符合。相较而言，美国的以隐私权为核心的干预判断方式更符合我国国情。因此在我国，在技术治理的基本政策下，肯定隐私权的基本权地位更具有现实意义。

图1 个人信息调取的正当程序体系

针对个人信息权与隐私权之间关系的辨析，一个可行的解释尝试是，将个人信息权益的内部构造分为本权权益和保护本权权益的权利，由此将隐私权看作个人信息权益的本权权益，这可以有效回应技术治理政策下的侦查实践需求。针对隐私权的证成，一个可行的解释方法是，通过我国宪法中的人格尊严、住宅自由、通信秘密等规定的体系解释，结合“国家尊重和保障人权”条款的兜底保护，将隐私权确立为一项宪法性权利。而且，一般认为，刑事诉讼法中对技术侦查的法律控制主要以隐私权保护为基础。因此，在刑事诉讼法中确立隐私权不存在法律上的障碍。当然，对于同属成文法系的我国，借鉴德国基本权干预理论中的比例原则等内容，可以保障法律控制的周密性和融贯性。针对个人信息之调取，我国应立足于法律保留原则、明确性原则，构建符合比例原则的干预门槛。

2.科层控制为主之下令状制度之反思：以检察机关为中心的准令状制度

我国对侦查措施的规制，奉行以内部规制为核心的逻辑。对强制性侦查措施的审查，大多由侦查机关自身负责，而非由中立的司法官员来承担。在科层式的强制性侦查措施规制逻辑下，提高审批机关的级别是实现严格审批要求的主要方式。在上述制度逻辑和制度惯性下，构建我国个人信息调取的审批程序，难以直接照搬德美两国的司法令状程序。因此，我国应从实际情况出发，采取比较缓和的、相对合理的、逐步推进的制度设置方式。而且，如前所述，德国在对个人信息调取进行规制时，同样兼采检察官保留制度，盖因构建司法令状制度的核心是保障审批机关的中立性、专业性等。在我国，考虑到检察机关的法律监督机关定位，在短期内由检察机关作为个人信息调取的审批机关，具有一定的合理性和可行性。

3.新型权益保护之下保障措施之反思：以个人信息权益为中心的程序保障

在立法架构方面，个人信息保护法确立了一系列有关个人信息的保护原则和内容，明确了个人信息保护权益，但其并未明确个人信息权益的构造。侦查中的个人信息权益，应落脚于隐私权等基本权。按照这一逻辑，个人信息权益的核心利益是人格尊严以及人身财产安全等利益，诸如查阅权、复制权、删除权等个人信息权利则属于保护个人信息核心利益的权利。因此，在个人信息调取中，不仅要诉诸隐私权等对调取进行法律控制，还要引入个人信息保护法规定的具体权利，对个人信息权益进行保障。

如前所述，个人信息保护法对公民个人信息进行了全方位的保护，但在个人信息调取过程中，这些保护措施在刑事司法实践中多处于失效状态。个人信息保护法是兼顾公私法领域的法律，其没有专门针对侦查机关获得或存储数据的行为进行细致规制，但它制定了适用于侦查机关调取信息的相关原则。为了切实保障个人信息等新型权益，刑事诉讼法应积极同个人信息保护法进行有效衔接，逐步明确个人信息保护法所确立的告知程序、删除程序、公开程序和救济程序，同时明确赋予相关方具体的个人信息权利，以保障公民个人信息权益。

（二）正当程序三元框架的构建

在正当程序要求下，我国个人信息调取的规范构建应从三方面入手，即授权规范之完善、令状程序之完善和程序保障之完善。

1.授权规范之完善：比例原则下的“五要素控制法”

个人信息调取的授权规范应以法律为依据，在明确基本权范围的基础上，基于比例原则和应用场景进行建构。对此，我国应通过刑事诉讼法修订，完善个人信息调取的相关规范。在遵循法律保留原则和明确性原则的前提下，应运用“五要素控制法”对个人信息调取进行法律控制，即先采用“五要素衡量法”评价个人信息调取对基本权是否形成干预及其干预强度，再根据干预强度运用“五要素干预法”来设置等比例的干预门槛（下页图2）。

（1）个人信息调取比例控制之基准：五要素衡量法

在明确以隐私权为核心的个人信息保护框架后，应采用“五要素衡量法”，即基于个人信息调取的信息类型、范围、目的、方式、时间节点等五项要素，以隐私权为核心，判定个人信息调取对基本权是否形成干预及其干预强度。

图2 个人信息调取的“五要素控制法”

其一，干预之信息类型。我国应根据不同的个人信息类型作差异化的规范设置。首先，以“打击为犯罪目的使用信息等行为国际公约”确立的数据类型为例，相较于流量数据和订户数据等非内容信息，内容信息的调取不仅侵犯隐私权，还直接侵犯公民的通讯秘密权。从均衡性的视角看，对内容数据的调取，应适用更严格的限制方案。就非内容信息而言，不同具体信息所承载的隐私权大小、隐私权领域层级范围等存在不同，应结合具体信息类型进行判定。其次，针对不同类型主体的个人信息调取，也应作出区分。比如，应将犯罪嫌疑人的个人信息与被害人、其他人的个人信息予以区分。就相同种类的个人信息而言，调取上述三者的个人信息时，所设干预条件的严格性应依次递增。因此，在以隐私权为中心的保护框架下，应以内容信息和非内容信息的区分为基础，对重要个人信息的调取进行特别授权。

其二，干预之信息范围。基于个人信息的范围，可以将个人信息调取分为海量个人信息调取和一般数量个人信息调取。前者主要是为了获取一定个人信息，以锁定或确认犯罪嫌疑人；后者主要指在刑事侦查过程中，为侦破案件向相关部门调取明确的、与案件直接相关的个人信息。海量个人信息调取获取的信息数量更庞大、个案关联度更低、调取目的更抽象、权益侵犯更复杂，因此海量个人信息调取一般应属于干预基本权的行为，应有严格限度。比如，电话元数据的搜查范围有“两跳网络”和“三跳网络”之分。此类数据调取的范围，应与案件的严重程度相符。

其三，干预之具体目的。调取个人信息一般有其特定目的，目的之明确和分类对于个人信息调取的法律控制而言至关重要。例如，调取人脸信息一般是为后续的人脸识别服务，但也可以用于人物画像。又如，调取DNA信息既可能用于当下的追踪，也可能用于未来的DNA比对。再如，调取资金流水既可能用于查清犯罪数额，也可能用于追踪资金去向。在不同目的之下，侦查措施对基本权的干预是不同的；从比例原则看，所容许的条件也会不同。整体来看，可初步将个人信息调取的目的划分为两类：一类为初阶调取目的，即调取个人信息仅为了信息查询、检索、比对和筛选等，以单独掌握或确认特定个人信息等。另一类为高阶调取目的，即调取个人信息是为了后续的追踪、画像和预测等，以发现案件线索、掌握犯罪事实等。一般来说，高阶调取目的对基本权的干预程度更高，对其的比例控制也应更加严格。当然，依据调取目的对个人信息调取进行有效控制，需要以目的限定原则为基础，即要求后续对个人信息的使用与个人信息调取之目的相一致。只有严格限定侦查措施的使用目的，才能对其加以有效控制。

其四，干预之具体方式。基本权干预方式不同，其干预程度亦会不同，所容许的干预手段和程度也应有所区别。比如身体检查所采用的穿刺性处分和非穿刺性处分，二者干预基本权的严重性明显不同。就个人信息调取而言，直接调取获得个人信息和借助技术手段实现的间接调取方式，对基本权的干预程度也明显不同。从比例原则看，对于前者，所容许的条件就更加严格。

其五，干预之时间节点。个人信息的调取阶段不同，调取行为干预基本权的严重程度就存在差异。如前所述，在我国，广义上的侦查可以分为预测警务、调查核实和立案侦查三个阶段。在这三个阶段调取个人信息，对隐私权等基本权的干预程度依次递减，相应的干预门槛也应等比例递减。因此，对预测警务阶段的个人信息调取，应设置最为严格的条件。

（2）个人信息调取比例控制之方案：五要素干预法

基于上述不同的干预基准，应合理运用概括授权和特别授权，采用“五要素干预法”，即运用嫌疑要件、罪名要件、补充性要件、比例要件、程序要件等五项要素，对个人信息调取设置符合比例原则的干预门槛。其核心目的在于，对基本权的限制应符合如下标准：其一，限制基本权的手段之强度不超过达成目的所需的范围；其二，基本权限制所造成之不利益不得超过其所欲维护之利益。因个人信息调取涉及预测警务、调查核实和立案侦查三个阶段，按照比例原则，三个阶段的干预要求应依次递减。限于篇幅和行文便利，本部分仅主要介绍立案侦查中个人信息调取的控制方案。即在内容信息和非内容信息分类控制的逻辑下，针对具体场景，根据“五要素衡量法”，权衡个人信息调取对基本权是否形成干预及其干预强度，最后在比例原则的指导下，运用“五要素干预法”，构建个人信息调取的干预门槛。

第一，内容信息和非内容信息调取的分类控制。其一，针对内容信息，制定严格的干预门槛。针对内容信息的调取，涉及通信秘密权等基本权，相关研究成果较多，在此不作赘述。其二，针对非内容信息的调取，应以隐私权保护为主要依据，结合调取目的、范围和方式等基准进行比例控制。比如，对于以追踪等深度分析为目的的个人信息调取，需设置嫌疑要件、重罪要件、比例要件等门槛。又如，相关法律应明确，为了保护公共安全、秩序等较大利益，方可允许侦查机关调取海量的非内容信信息；只有为了保护国家安全、秩序利益等重大利益，方可允许调取海量的内容数据。此外，应强化2018年刑事诉讼法第54条的概括授权条款之定位，进一步明确其为个人信息调取的概括授权条款。一般来说，对于一般数量的非内容、非私密个人信息的调取，不需要特别授权。

但是，此处需要注意两点：一是，对于网络犯罪案件，应适当放宽重罪要件之限制，但可借鉴德国刑事诉讼法第100g条的规定，加入补充性要件。这是因为，在网络犯罪案件办理中，个人信息调取是为后续的大数据分析服务，这些大数据分析一般主要用于网络犯罪的侦查，但这些犯罪的危害性相对较小，如果以重罪作为个人信息调取的门槛，会直接影响案件侦办。二是，对于海量非内容信息的调取，需要交由审批机关依比例原则裁量确定调取的范围和深度。

第二，进一步对非内容信息调取进行场景化控制。在对非内容信息进行比例控制时，应采用场景化思路，即针对重点类型的个人信息之调取，结合具体运用场景制定具体的法律规制方案。就目前的侦查实践看，应重点强化人脸信息、DNA信息、资金流水、车牌等信息调取的规范制定和完善；应按照车牌信息、资金流水、人脸信息、DNA信息这一次序，逐步调高干预门槛的要求。例如，针对海量DNA信息的调取，应设置重罪要求、补充性要求和比例要求，所要调取的DNA信息应当有证据证明有助于锁定犯罪嫌疑人或者发现案件事实。又如，针对资金流水，因此类信息承载的隐私权内容较少，所以对于调取犯罪嫌疑人的相关资金流水信息，可在有犯罪嫌疑的条件下，由检察机关根据具体案情划定调取的范围。当然，对于实践中出现的由侦查机关设计大数据侦查模型，再由第三方提供资金流水数据库接口的情形，可以适度放宽干预门槛。

2.令状程序之完善：准司法令状程序的构建

我国应以检察机关为中心构建个人信息调取的准司法令状程序。具体来说，可从审核主体、申请主体和令状内容三个方面加以完善。

第一，明确令状审核主体。如前所述，应由检察机关对个人信息调取进行审查。检察机关对于逮捕措施具有审批权限，由其担任个人信息调取的审批机关具有可行性。在特殊紧急情况下，可由侦查机关自行决定个人信息调取，但必须事后立即向检察机关报告。

第二，明确令状申请主体。因各级侦查机关都有调取个人信息的需求，可规定各级侦查机关根据侦查需求均可向同级检察机关申请个人信息调取。

第三，明确令状的具体内容。令状的内容主要包括案由、罪名、侦查措施、范围和期限等。其中，个人信息的调取方式、范围和期限需要重点加以规制：其一，明确调取方式。令状应清晰说明调取所采用的技术方式。法律规范应当明确，侦查机关调取个人信息后，应将调取的个人信息种类和范围向审批机关说明。其二，明确调取范围。令状应尽可能明确调取个人信息的种类和范围。对于重大犯罪中侦查机关调取个人信息的行为，可以适度放宽要求。其三，明确调取期限。法律规范应明确，个人信息调取的令状内容应载明个人信息调取的具体有效期限和使用期限等。

3.程序保障之完善：四元保障程序的构建

个人信息保护法、数据安全法等规定了个人在个人信息处理活动中所享有的权利，包括知情权、查阅复制权、解释权、更正补充权、删除权等。为保障上述公民数字权利，对于个人信息调取，应以上述法律中的相关规定为依据，在赋予犯罪嫌疑人和第三方等相关权利的基础上，结合我国国情构建如下的四元保障程序。

其一，完善告知程序。告知程序的完善，有助于破除个人信息调取的隐蔽性等问题。我国应采取场景化方法，区分事前告知和事后告知、概括告知和特定告知，以此形成完整的知情权保护体系。个人信息的调取在不泄露办案机密的情况下，应当于事前告知相关权利人（如果影响侦查则事后告知）。但是，过于烦琐的告知程序恐难被侦查机关真正执行，此时可主要采用概括告知的方式。

其二，完善删除程序。以侦查机关为主体，个人信息的删除可以分为主动删除和被动删除两种类型。主动删除，要求侦查机关从社会管理部门或商业机构处调取公民个人数据后，如果确认达成或者无法达成调取目的时，应尽快删除相关数据。这是因为，如果不设置必要的存储期限，可能会引发巨大的数据传输与泄露风险。存储期限的设置应当符合比例原则，存储时间越长，侦查机关越应当更为充分地论证调取目的的合法性和存储的必要性。一般来说，在数据调取目的确定实现或无法实现时，侦查机关应立即删除所调取的个人信息。被动删除，是指个人信息所有者要求侦查机关按照法律规定删除个人信息。我国应在刑事诉讼法中明确和保障个人信息所有者的个人信息删除权，并在个人信息调取程序中明确个人信息的存储期限和删除程序，规定在确认达成或者无法达成调取目的时，应尽快删除相关个人信息。

其三，完善公开程序。德国刑事诉讼法对通讯监控和住所监听规定了年度报告制度，要求说明采取监听（包括通讯监控和住所监听）的总体数量和各种分类信息。在美国，对于通信踪迹记录仪的使用情况，司法部部长必须向国会作年度报告，详细报告所采取的措施的数量、期限、案件类型、调查数量、申请和批准人员的身份和所在地区等信息。我国个人信息保护法第7条规定了公开透明原则，针对侦查机关的调取情况，可由省级或地市级检察机关牵头，按年度公开所调取的信息主体、种类、方式和期限等关键信息。

其四，完善救济程序。有关个人信息调取的救济程序主要包括两方面：一是针对司法令状程序的救济；二是针对前述告知、删除和公开等程序的救济。对于前者，应通过法律明确犯罪嫌疑人针对个人信息调取的复议复核权，即犯罪嫌疑人认为调取决定有错误的，有权向作出决定的检察机关申请复议；意见不被接受的，可向上级检察机关申请复核。对于后者，2018年刑事诉讼法第49条的规定可以为犯罪嫌疑人及其他诉讼参与人提供投诉救济途径，但相关救济程序仍应进一步完善。未来，应结合个人信息保护法第61条至第63条的相关规定，要求检察机关中的特定部门作为侦查中个人信息处理的监督机构，并明确相应职能和程序，以妥善处置侦查中个人信息保护的救济问题。