一、传统研究之不足与场景化研究进路

在网络犯罪爆发的背景下，大数据侦查成为侦查机关运用科技对抗科技（犯罪）的手段，以建立侦查人员与犯罪人员的“科技武装平等”。虽然大数据侦查在犯罪治理中的作用日益凸显，但中国法律仍未对此项新型侦查方式进行系统回应。在大数据侦查所编织的数字侦查“渔网”之下，公民权益和公共安全将遭遇挑战，大数据侦查的法律规制成为迫切而重要的时代议题。

中国学者虽对大数据侦查进行过探讨，但相关研究仍需推进。整体而言，传统研究进路以宏观的整体性考察和理论演绎为主，忽视对具体场景的考察和研究。因此，所提出的笼统且抽象的规制方案居多，清晰且系统的规制方案较少。此外，多数研究成果刊发在《个人信息保护法》《数据安全法》等法规出台之前，新法颁布所带来的法律衔接新问题亟待化解。应当承认，理论界主要从宏观整体视角出发，提出规制大数据侦查的整体方案，这无疑具有重要的创新和引领作用。然而，笼统化的控制型规制思路恐难以应对复杂的大数据侦查规制难题。比如，人脸识别、资金分析、自动化车牌识别等都属于常见的大数据侦查方式，这些侦查方式在实践侦查工作中的作用日益凸显，但它们获取的数据、运用的算法、具体的用途等都存在差异，相应的法律规制手段也会不同。大数据侦查的法律规制成为了不得不被重新审视的实践难题。

正因大数据侦查的法律规制极为复杂、棘手，中国法律一直未对此问题进行系统回应。为了化解这一时代难题，同时弥补传统宏观研究的缺陷，本文尝试借助场景化研究方法，从大数据侦查的重要场景之人脸识别侦查切入，希冀从中推演出大数据侦查法律规制的全景方案。人脸识别侦查指主要运用人脸识别技术所进行的侦查活动，选择其作为研究场景的原因主要有：其一，人脸识别技术在侦查中的用途多元、功能广泛。人脸识别技术的运用使得人类的所有行为可能在国家面前变得透明。人脸识别侦查具有隐蔽性、远程性、全天候持续性等特征，在刑事侦查领域起到至关重要的作用。其二，相较于其他类型的大数据侦查，人脸识别侦查不仅具有大数据侦查的共性，还具有自身的特性。人脸识别侦查所运用的技术智能程度更高、信息的敏感性更强、运用过程更加复杂，对其法律规制问题的研究具有较大的拓展价值。总之，人脸识别侦查所涉及的信息和算法都较为特殊，对人脸识别侦查的场景研究可为大数据侦查的法律规制提供有益启示。历史经验表明，聚焦实践场景的微观考察往往会提供不同的经验智识。后续研究将证实，大数据侦查的法律规制需要采用场景化规制思路。

二、人脸识别侦查运用样态的分段考察

了解人脸识别侦查运用样态是对其进行有效规制的前提。同其他大数据侦查方式一样，人脸识别侦查主要借助算法对大数据进行收集、共享、清洗、对比和挖掘，以实现特定的侦查目的。将视角转入人脸识别侦查场景，结合实地访谈和裁判文书分析后发现，实践中人脸识别侦查的运用流程可以分为数据获取、算法准备、程序启用以及证据运用等四个前后相连的阶段。

（一）人脸识别侦查数据获取样态及其风险

在进行人脸识别侦查之前，需要获取海量的人脸信息，同时设计人脸识别算法，以构建人脸识别侦查系统。实践中，数据获取的方式主要有三：一是收集。典型如在身份证办理过程中公安机关可以搜集海量的人脸信息。二是调取。侦查机关可以从外部平台等调取大量的人脸信息。在侦查机关向第三方调取人脸信息时，人像中的位置信息或时间信息等会被一并收集，这使得人脸信息的调取更加复杂。三是共享。一些侦查机关通过“购买”“借取”“交换”等方式，复制或直接接口其他行业数据，其中就有人脸信息等。值得注意的是，人脸识别技术可以嵌入某一数据库之中，这省去了数据调取的环节，但这种不直接获取数据的行为，实际上与调取数据无异。整体来说，侦查机关获取人脸信息的方式多元，但个人信息的获取和管理等尚处于失范状态，公民权益易遭受侵犯。

（二）人脸识别侦查算法运用样态及其风险

一般而言，人脸识别侦查算法的构建主要由侦查机关主导，但相关内部举措并不对外公开，法律规范并未对其进行专门规制。人脸识别技术的识别算法包括线性判别分析、隐马尔可夫模型、使用张量表示的多线性子空间学习和神经元激励的动态链接匹配等，机器深度学习技术已经广泛应用于人脸识别系统。人脸识别的关键技术指标包括准确率、对抗鲁棒性、活体检测能力以及处理速度。人脸识别技术的应用主要包括三个环节：一是图像采集与数据收集环节。二是数据分析与比对环节。三是数据匹配与结果输出环节。人脸识别技术在侦查中的基本用途是人脸验证，具体包括一对一验证和一对多验证两种情形。此外，人脸识别技术与其他技术融合后，可以进行人脸追踪、人脸监控和人物画像等。人脸识别技术的用途虽然广泛，但需要承认，与DNA和指纹识别等生物识别技术相比，其错误接受率和拒绝率都较高，同时人脸识别技术还存在算法歧视、算法黑箱等问题。在缺少外部法律规制的背景下，人脸识别技术的侵权风险将不断增加。

（三）人脸识别侦查程序启用样态及其风险

通过对刑事案件裁判文书进行检索、查阅，可以进一步了解人脸识别侦查程序的应用实践。结合实证调研和裁判文书分析，可以发现，在中国侦查实践中，人脸识别侦查的应用场景主要有四：其一，案发后人脸核对。此种方式指对于有一定的嫌疑者，进一步对比人脸，以锁定犯罪嫌疑人身份。其二，案发后人脸检查。其三，案发后人脸追踪。其四，案发后人脸监控。比如，在“肖波伪造、变造、买卖国家公文案”中，侦查机关在案发后运用了实时的大数据监控、追踪和研判，以追踪犯罪嫌疑人。这些情形与国外学者的理论分类相类似，国外学者将警察运用人脸识别的情形分为四类：一是人脸监控（无明确目的）；二是人脸识别（有执法目的）；三是人脸追踪（有准确目标）；四是人脸验证（非执法目的）。需要说明的是，实践中人脸数据库的来源和使用不同，人脸识别技术侵犯隐私的程度也可能存在差异。

实地访谈发现，对于人脸识别侦查，侦查机关内部构建了以“人”为控制单元的规制机制。即侦查机关对人脸识别侦查的权限进行层级化的限制，一般来说，人脸识别的数据库范围越大，所需要的行政职级越高。此外，公安机关对公安民警处理公民个人信息的监督，主要采用数字证书权限分级和查询记录留痕的限制权力型监督方式，通过事后浏览查询痕迹确定民警是否存在违规行为。虽然侦查人员反映，公安内部对人脸识别的使用进行了严格管理，但这种专断式的内部管理方式极易在侦查需求的引导下走向失效。整体而言，人脸识别的审批主体、案件范围、执行时间、存储要求、删除规定等均不明确，无法为办案人员提供清晰的执法边界。人脸识别侦查措施的运用较为随意，公民权益难以得到保障。

（四）人脸识别侦查证据使用样态及其风险

对前文实证研究所获取的182份有效裁判文书分析后发现，人脸识别侦查证据的证据载体主要有以下几类：人脸对比截图（45件）、人脸对比报告或材料（42件）、到案或抓获经过（26件）、情况说明（18件）、视频侦查报告（11件）、鉴定意见（4件）。人脸识别侦查证据主要用于证明犯罪嫌疑人的身份和犯罪行为，在盗窃罪等罪名中运用较多。在证据能力审查与认定方面，人脸识别侦查证据的证据载体各异，但其准入没有受到任何限制，法定证据种类制度并没有成为此类证据进入法庭的障碍。

在证明力审查与认定方面，针对案件事实整体否定质证的案例有49个，针对人脸识别证据提出异议的有9个（约占所有案例的5%），其中就真实性提出异议的案件有8个，只有1个案件对证据的程序合法性提出异议。在检索到的案例中，没有出现控辩双方就算法准确性等进行论辩的情形，有关人脸识别证据的质证没有进入源代码和技术论证层面，也没有当事人要求公开源代码。检察官坦言，包括人脸识别证据在内，绝大多数的人脸识别侦查证据不会受到质疑，检察官会想办法尽力对这些新型证据主动补强。控辩双方几乎不会对人脸识别的数据来源、数据广度、算法公平、算法公正等进行论辩。在缺少明确证据载体和具体法律规范的背景下，人脸识别侦查证据之证据能力和证明力的实质性审查无法在实践中展开，这将影响案件事实的准确认定。

综上，人脸识别侦查的运用包括数据获取、算法运用、程序启用、证据使用等四个阶段，在每一个阶段中人脸识别侦查的运用都存在无法忽视的风险：其一，数据获取时存在侵犯隐私和个人信息权益的风险。其二，算法运用时存在歧视、黑箱、不可靠风险。其三，程序启用随意，存在警察权力扩大风险。人脸信息的收集和人脸识别技术的运用，可能导致不是一个警察被授权揭露个人隐私，而是一个城市和国家在揭露隐私。其四，证据使用随意导致被追诉人可能被错误定罪风险。

但是，从规范上来看，传统法律规范难以有效地规制人脸识别侦查。具体而言，在数据获取层面，除《刑事诉讼法》第54条的概括性授权条款之外，《个人信息保护法》《数据安全法》中也对个人信息和数据调取进行了概括授权。但概括授权无法为严重的基本权干预措施提供法律依据。在侦查措施规制层面，《刑事诉讼法》中有关技术侦查措施的规定仅能规制秘密侦查行为，以人脸识别侦查为场景的大数据侦查不在其规制范围之内。《公安机关执法细则》（第四版）第31章规定了犯罪信息采集与网上侦查措施的相关内容。其中，第31—01条是关于采集犯罪信息的规定，第31—02条对查询、检索、比对数据进行了明确，但这些规范，无法有效规制人脸识别侦查措施。总而言之，中国法律规范对于人脸识别侦查的规制零散而不成体系，人脸识别侦查的四个重要环节都尚未被法律认真对待。

三、人脸识别侦查规制问题的归因分析

人脸识别侦查未被法律系统规制的成因可以从技术、规范、实践三个层面加以阐释。

（一）技术层面：人脸识别侦查的复杂性、创新性和侵权隐蔽性

从技术层面来看，人脸识别技术的复杂性和创新性是人脸识别侦查难以规制的主要原因，人脸识别技术运用时对基本权侵犯的隐蔽性，也在一定程度上减弱了社会对人脸识别侦查的关注度。在这些因素的相互交织下，人脸识别侦查尚未被法律系统规制。具体来说：其一，人脸识别侦查的复杂性。一是人脸识别技术的构造复杂。人脸识别需要运用智能算法，这些算法的构造十分复杂，且存在解释难题。二是人脸信息获取时基本权干预判断的复杂性。三是人脸识别侦查程序启用的复杂性。人脸识别侦查的程序启用方式和场景多元，这就导致难以对其法律属性明确界定。其二，人脸识别侦查的创新性。新兴技术不断创新，即便最新的立法也会显得相对滞后，人脸识别的技术更新使得对人脸识别侦查的规制更加困难。其三，人脸识别侦查基本权干预的隐蔽性。同其他大数据侦查方式类似，借助大数据和人工智能的人脸识别技术可以在不直接接触个人，且不为个人所知和配合的前提下实现面部信息扫描识别，具有隐蔽性特征。

（二）规范层面：传统侦查规制框架的局限性与规范衔接难题

从规范层面来看，传统侦查规制框架较为粗疏和封闭，很难通过释法和修法来规制新的侦查措施。《个人信息保护法》《数据安全法》与《刑事诉讼法》的衔接难题尚未破解，这进一步阻碍了通过法律对人脸识别侦查进行规制的进程。

其一，中国传统侦查规制框架较为粗疏，人脸识别侦查中数据获取和程序启用的法律规制难以找到适配的法律依据。首先，强制措施与侦查并列引发传统侦查措施规制理论的混乱局面。中国侦查措施的规定采用“强制措施—侦查行为”二分法，将关涉人身权的强制措施单独设置一章予以强调，其余侦查措施均在侦查章的侦查行为一节中规定。这种规制方式导致我们很难在学理上解释中国的侦查规制原理。其次，强制措施的客体单一。从规范上看，中国将强制措施的适用客体明确为人身自由权，现行《刑事诉讼法》仅规定针对人的强制措施，缺少对财产权、隐私权、数据信息权等权利的强制措施手段。

其二，中国传统侦查规制框架较为封闭，对人脸识别侦查中算法运用和证据使用的法律规制难以在短期内加以实现。在中国刑事规范体系中，仅有2012年《刑事诉讼法》修订所增加的技术侦查措施条款对侦查工作的数字化转型有所回应，而技术侦查措施对应用时间节点、实施主体、实施方式、适用案件范围等方面的限制过于封闭。从文义出发，中国的技术侦查主要规制的是秘密侦查行为，无法用以规制人脸识别侦查。在封闭性侦查规范体系中，人脸识别侦查的法律规制很难通过法律解释加以解决。而单独开辟空间设置新的侦查措施规制体系是一项十分困难的工作。

此外，人脸识别侦查的法律规制还面临规范衔接难题，这加大了此类侦查措施的规制难度。一方面，《刑事诉讼法》与《个人信息保护法》《数据安全法》的有效衔接是一个重大的理论问题，理论界和实务界尚未对该问题形成定论。另一方面，人脸识别还被广泛运用在行政执法和预测警务等过程中，侦查权和行政权的规范衔接问题在数字时代愈加凸显，如何协调好人脸识别的合法运用，是理论界和实务界共同面临的紧迫难题。

（三）实践层面：网络犯罪治理需求与大公安格局

网络犯罪治理问题愈加严重，这导致侦查机关不愿对人脸识别侦查进行法律规制。网络犯罪不断滋生蔓延，网络诈骗、网络暴力、侵犯公民个人信息等犯罪升级演变，严重影响社会稳定和人民群众安全感。人脸识别侦查可以用于大规模监控、人员追踪等场景，有效提升网络犯罪侦破效率。在网络犯罪治理日益困难的现实背景下，人脸识别侦查的实践需求与法律规制之间的关系十分紧张。这进一步加大了通过立法规制人脸识别侦查的难度。特别是，“从出生到死亡”的宽泛社会治安管理权，强化了以侦查机关身份出现在刑事诉讼程序中的公安机关的权力。大公安格局下，强制性侦查措施的监督制约方式主要以内部监督为主。《刑事诉讼法》规定除逮捕措施须经检察机关事前审批外（以下统称为“准令状程序”），其余侦查措施均采取公安机关内部规制的方式，在实施过程既缺乏司法机关的有效参与，亦忽视对辩方数字权利的保障与救济。

四、人脸识别侦查法律规制的四维框架

如前所述，中国传统侦查规制框架在面对新型侦查方式时作用有限。因此，新型规制理论的提炼显得异常重要。传统研究主要主张从数据和程序入手规制大数据侦查，这些方案在规制对象的全面性和体系性上存在不足。人脸识别侦查场景的分段考察拓展了大数据侦查的规制视野，佐证了场景化研究的现实意义。数据获取、算法运用、程序启用、证据使用四个环节恰好给人脸识别侦查的体系规制提供四个方向，这拓展和澄清了人脸识别侦查的规制对象，使复杂的法律规制问题清晰化。

（一）通过数据规范的法律规制

1.数据获取上的法律规制

比较法上，因人脸信息获取可能干预公民基本权，所以德美两国都以基本权干预为方向构建数据获取的法律规制体系。在法治国原则之下，德国联邦宪法法院要求立法者应按照明确性原则、比例原则、令状原则构建干预基本权的规制体系。对于没有干预基本权的数据获取行为，则采用宽松的规制方式（如任意侦查）。德国联邦宪法法院在“人口普查第二案”确立了个人信息自决权这一宪法性权利，认为只有当存在重大的公共利益时才能对个人信息自决权进行限制，此种限制需要有明确的法律基础（明确性原则），相关立法应符合比例原则，且立法者应设置组织和程序上的防护措施（令状原则）。美国以隐私权判断为基础，以第三方理论为基本理念对数据获取进行规制。总之，美国联邦最高法院试图在不断增长的政府权力和不断萎缩的个人自由之间保持平衡。

归纳来说，基本权判定上的差异是德美两国采用不同数据获取规制方案的根源。因此对人脸信息获取进行规制时，首要考虑的问题是个人信息权益与隐私权之间的关系。人脸信息权益是不是隐私权在中国民法和宪法学界争议较大，存在否定说、肯定说和交叠关系说。对于个人信息的获取，刑诉学者倾向于通过隐私权干预的判定来加以规制。从规范上看，中国并未在公法视角上明确个人信息自决权。从实践上看，在公法领域确立个人信息权的行为与既有国家政策和侦查实践直接相悖。因此，应以隐私权保护为中心，构建个人信息刑事获取的规制体系。但隐私权与场景密切相关，其保护边界也必须在特定的公共社群与语境中确定。在人脸信息的获取场景下，判定此类获取方式是否干预隐私权需要结合具体场景分析。在一般公共场景下，民众对人脸信息具有较少的隐私期待。如同美国法院在“欧普曼案”中所确定的，民众对汽车搜查只存在“较少的隐私期待”。虽然在公共场所中，人脸识别系统对个人面部的单次扫描、比对，涉入个人隐私程度较轻，但这些信息片段可以整合为个人的深度隐私图景，公民个人对这些聚合性信息具有明显的隐私期待，理应得到法律的保护。

其实，人脸信息获取的法律规制十分复杂，在人脸信息获取的场景下，相关法律规制的创设需要类型化考量，以便构建合理、科学的法律规制规范（信息共享本质上类似于信息调取，应纳入信息调取的规制框架）。首先，对于人脸信息的收集，《居民身份证法》为行政执法中的人脸信息收集提供法律依据。实践中，侦查机关通过天网系统的监控获取人脸信息时，需要分清在日常生活场景和侦查场景中的隐私权保护。在日常环境下，安装摄像头具有一定的合法性，但其虽可记录视频信息，却不得随意收集、分析人脸信息。这里需要说明的是，收集后的人脸信息不能随意变更其使用目的。目的限制原则要求在数据收集时明确收集和利用的目的，后续的数据处理行为原则上限于该目的。其次，对于人脸信息的调取，需要根据调取场景来确定对公民隐私权的干预程度。对于人脸信息的调取行为，中国应借鉴美国将隐私权作为个人信息保护的落脚点，同时借鉴德国在个人信息调取中的规制框架，在明确性原则、比例原则、令状原则的指导下，构建如下具体规制方案。

第一，明确层次化的实体性要件。人脸信息的调取需要明确、特定的调取目的，调取目的需要同调取信息范围、调取阶段等相适配。正如《个人信息保护法》第28条明确规定，只有在具有特定目的和充分必要性时，个人信息处理者才能处理敏感个人信息。第二，明确准令状式程序性要件。对于人脸信息的调取，需构建严格的审批程序。考虑到中国既有的由检察机关对特定侦查措施进行司法审查的传统，由市级检察机关作为令状的审批机关是一个相对合理的选择。与之相对应，由市级侦查机关的特定部门负责人脸信息的调取申请，既可以保障人脸信息的统一管理，减少管理成本和提升工作效率，又能够规制不当的人脸信息调取行为。当然，人脸信息调取申请中应当注明申请主体、申请目的、数据范围、留存期限等内容。

2.数据保障上的法律规制

人脸识别侦查依赖于海量数据，数据的质量和安全保障是大数据侦查规范运行的基础。中国的个人信息保护框架已经构建完成，对于刑事诉讼中的个人信息保护，《个人信息保护法》采用了统一规制模式。正因如此，虽然学界对于个人信息权益的构造存在不同理解，但《个人信息保护法》已经明确了信息主体的合法权益，《刑事诉讼法》应当与其合理衔接。

第一，在刑事诉讼中保护信息主体的合法权益。《个人信息保护法》明确了信息主体知情权、查阅权、删除权、更正权等权益，这些权益理应在侦查程序中得到授权和保障。此外，告知义务是保障信息主体合法个人信息权益的前提，对每个人均进行针对性告知会给侦查机关造成不必要的负累。中国应借鉴欧盟的场景化方法，区分人脸识别中的事前告知与事后告知、概括告知与特定告知，以此形成完整的知情权保护体系。海量公民个人信息永久或者长期保存，与《个人信息保护法》要求的储存时间最短化的规定明显抵牾，刑事诉讼法律法规应当对此及时调整、补足。第二，在刑事诉讼中构建人脸信息保障体制。为了保护人脸信息，在《个人信息保护法》的规范框架下，应构建如下各项制度：其一，根据《个人信息保护法》第51条构建人脸信息安全管理制度。其中，最重要的是人脸信息分类管理、加密等安全技术措施的完善和信息处理操作流程和权限的明确。其二，根据《个人信息保护法》第52条构建人脸信息负责人制度。其三，根据《个人信息保护法》第54条构建人脸信息合规审计制度（此项制度需要与算法审计制度配套构建）。其四，救济制度十分重要，中国应建立独立监督机构、定期报告机制等救济渠道，强化对人脸信息使用的监督。

（二）通过算法规范的法律规制

比较法上，美国与欧盟法律都对人脸识别技术的侦查应用进行了限制。从美国来看，美国联邦政府对人脸识别技术从“内部约束”转向“外部监督”。美国地方立法创设了一系列人脸识别技术的规制方案：一是问责报告制度；二是禁止使用制度；三是人工核查制度；四是审计制度。不同的策略和方案，展现出各州在人脸识别技术上的利益考量上的差异。从欧盟来看，欧盟《人工智能法》第5条第1项第d款直接禁止使用人工智能进行基于个人画像或对自然人进行个性特征评估；第h款禁止在公众可进入的场所为执法目的使用“实时”远程生物识别系统，除非这种使用是为了特定的条件。此外，该法第5条第2—7款还从不同方面对“实时”远程生物识别系统的使用增加额外限制条件。

归纳来说，美国和欧盟都逐步通过各种制度对侦查中人脸识别技术的运用进行必要的法律规制，算法评估（审计）、人工核实、算法禁止是较为通行的人脸识别技术规制方案。应当说，上述对人脸识别技术的法律规制并非偶发现象，大数据分析的准确性风险、公平性风险和透明性风险已引起普遍关注。在中国，刑事诉讼程序惯性和庭审程序虚化等问题削弱了审判的纠错能力。一旦因人脸识别错误导致被追诉人被错误追捕，在程序惯性下，被追诉人极有可能被误判，被追诉人的权利难以被保障。有鉴于此，基于既有法律规范，中国可借鉴美国和欧盟的通行做法，构建侦查中人脸识别技术的合理规制架构。第一，人脸识别的评估制度。针对人脸识别技术的评估主要从三个方面展开：一是算法的评估。即围绕人脸识别技术的可靠性、可公开性展开评估。二是数据的评估。即评估人脸信息的广度和真实度。同时，相应评估应以年为单位进行。三是基本权的影响评估。即对人脸识别技术运用对基本权的侵犯进行评估。第二，人脸识别的人工核查。欧盟《人工智能法》也强调了人工核实的重要性。第三，人脸识别的使用禁止。一是以标签分类为判断方式的人脸识别或将社会歧视引入刑事司法领域。二是通过无目的的人脸监控对人进行永久性、普遍性地监视，均应被禁止

（三）通过程序规范的法律规制

比较法上，德国司法实践中难以开展人脸识别侦查，这不仅是因为德国警方难以获取人脸信息，还在于德国法律对侦查措施进行了严密的规制（人脸识别被认为侵犯个人信息自决权），侦查措施的运用需要遵循基本权判定、明确性原则、比例原则及令状原则。《德国刑事诉讼法典》第163条第g款从罪名清单、目的、时限、法令状程序等方面对其进行了层次化限制。相较而言，美国更加重视对数据获取中的隐私权保护，数据的后续使用并非第四修正案的规范范围。当执法人员合法获取数据后，公民的隐私利益便被耗尽，后续的数据比对和传递便具有了合法性。正如前文所述，有学者从联邦最高法院的判决中，推导出反等价原则、反聚合原则、反永久原则、反跟踪原则、反任意性原则和反渗透原则，并从重复性错误和系统性问题的角度，论证了对新型人脸识别侦查进行规制的必要性。这一观点具有合理性和启发性。整体而言，从理论发展和立法实践来看，对人脸识别侦查的程序启用进行规制既是必要的也是合理的。与德国同属成文法国家的中国，需要借鉴其有益经验构建人脸识别侦查措施的程序规制方案。

在中国的人脸识别侦查场景下，人脸识别技术运用的类型划分是对其进行规制前首要解决的问题。中国需要对人脸识别侦查进行类型划分，遵循比例原则、令状原则等要求，根据不同的基本权干预强度设置层次化的干预要件。《公安机关执法细则》（第四版）第31—02条，将数据分析分为查询、检索和比对三种。基于此，可以将人脸识别侦查进一步分为人脸识别技术的基本运用和人脸识别技术的拓展运用，即低阶的人脸验证与识别与高阶的人脸追踪与监控等两大类。其中，低阶的人脸验证主要指通过技术手段采集人脸图像，提取面部生物特征数据（如五官比例、轮廓结构等），并与数据库中存储的模板进行比对，以实现身份验证或身份辨识的过程。高阶的人脸追踪主要指通过连续采集动态视频中的人脸数据，实时监测特定个体的位置、轨迹及行为模式，实现持续身份识别或行为分析的过程。具体来说，针对二者的法律控制方案如下：

其一，针对低阶的人脸验证与识别等，一般无须限制其启用。这些措施对基本权侵犯的程度较低，对其规制可以适当予以放宽。但是，需要注意的是，当对外部的人脸信息库进行识别时，则可能侵犯公民基本权。此时，需要同高阶的人脸追踪和监控一样，依令状程序进行。其二，针对高阶的人脸追踪与监控等，应当构建如下制度：第一，明确层次化的实体性要件。只有为了侦查特定犯罪所需（如严重犯罪或特定的网络犯罪），才能进行人脸追踪等。与人脸信息的获取相同，需要按照比例原则的基本要求，针对全国范围的全样本数据之人脸追踪，需要被限定在严重犯罪或严重威胁的范围之内。同时，还应明确最后手段原则。第二，构建准令状式程序性要件。为了侦查便利，人脸追踪的申请主体可由侦查人员提出，由检察人员审批。但为了有效监控和管理人脸追踪等行为，人脸识别的申请和使用流程须全程留痕。人脸追踪的令状申请和审批需要按照比例原则，在令状中明确与追踪人相关的案件信息、搜索数据库、实际操作人员、搜索的时间。

（四）通过证据规范的法律规制

在美国联邦法律层面，人脸识别证据尚未被专门规制，人脸识别证据的准入需要符合多伯特规则等传统可采性规则的要求。在德国，运用大数据进行的侦查活动受到法律的严格限制。与之适配，德国的证据禁止规则进一步对相关证据的使用进行了一定限制。其一，证据取得禁止。《德国刑事诉讼法典》禁止侦查机关去查明特定的案件事实。比如，在电讯监察、大监听等中，有关私人生活核心领域的事项属于证据取得禁止之事项。其二，证据使用禁止。即排除特定的证据成果作为判决的考虑依据。概言之，美国和德国的传统证据法规范都在一定程度上规范了人脸识别侦查所产生证据的运用，从后端对人脸识别侦查进行了有效规制。

有学者指出，在既有的法律框架下，侦查权程序性规制的制度近景需要以非法证据排除规则为后盾。实际上，对中国侦查权的程序性控制不仅需要非法证据排除规则（证据能力规则），还需要借助证明力规则。中国对人脸识别证据的规制应从证据能力和证明力两个视角展开。

其一，证据能力方面的审查认定规则。首先，中国应结合人脸识别侦查的数据获取、算法构建和程序启用程序，构建合法性规则。特别是，应明确人脸识别侦查证据的非法证据排除规则。其次，应结合人脸识别技术的关键技术指标和风险点，制定人脸识别侦查证据的鉴真和可靠性等规则。特别是应要求只有达到如下要求时，才可以被采用：一是该科学原理或技术方法在相关行业的使用和接受情况。二是审查该方法是否得到了有效验证，这种验证是实验数据的验证，需要通过一定的形式呈现出来。三是该科学原理或技术方法已知的或潜在的误差率。

其二，证明力方面的证据审查认定规则。一方面，应明确人脸识别侦查证据的实质性审查规则。此时，可以参考科学证据可靠性审查的方案，对人脸识别侦查证据的证明力进行审查。另一方面，应强化证据补强规则的运用。因人脸识别侦查证据的审查认定有一定的技术门槛，且人脸识别技术存在算法黑箱等问题，明确人脸识别侦查证据的“证据补强规则”具有现实必要性。除此之外，还应规定人脸识别侦查证据的源代码和海量数据开示规则，参考技术侦查证据的开示程序，在必要时以特定方式公开人脸识别的核心代码。即人脸识别侦查证据对于定罪量刑有重要影响时，可以采用庭外调查的方式，公开人脸识别的核心源代码和相关数据。

五、对大数据侦查全景法律规制的启示

对人脸识别侦查的规制以四维规制理论为基本框架。四维规制理论主要指通过制定专门的数据规范、算法规范、程序规范和证据规范来对新型的人脸识别侦查措施进行体系规制。基于人脸识别侦查场景的分析为大数据侦查的全景法律规制提供启示：一是不同大数据侦查在运用环节上存在共性，四维规制理论可推广为大数据侦查全景法律规制的基本框架；二是不同场景下的大数据侦查具有自身特性，四维规制理论需结合具体侦查场景针对性地展开。

（一）四维规制理论推广的理据及其体系架构

1.四维规制理论推广的理据分析

大数据侦查的全景法律规制应采用人脸识别侦查场景中提炼出的四维规制理论。原因在于，大数据侦查的具体内容虽然各不相同，但基于大数据的新型侦查方式在运用环节上具有一致性，人脸识别侦查的四维规制思路具有拓展价值。在侦查阶段，以大数据为基础的比对、分析等侦查方式，其运用环节都无法超出数据获取、算法运用、程序启用、证据使用等四个环节。实践中，常见的基础型的大数据侦查方式还包括资金分析、自动化车牌识别、DNA分析等。这些大数据侦查的运用都包括上述四个基本环节，且作为新的大数据侦查措施，这些环节缺少必要的法律规制。

资金分析主要指技术人员通过对海量数据运用大数据模型进行算法处理，确定账户之间的交易关系和资金去向，对违法犯罪进行资金层面的分析刻画。资金分析的运用需要获取与资金流动相关的数据，构建特定的算法，其程序启用和证据运用都属于独立环节。自动化车牌识别指利用影像提取、设备拍摄于公共交通道路上的车牌，即时与资料库中的车牌信息比对，在符合比对要求时告知侦查人员的措施（普通的车牌查询等不在此列）。实践中，自动化车牌识别包括数据获取、算法运用（部分识别场景下已经运用智能算法）、程序启用和证据使用等环节。DNA分析指利用DNA新型技术所进行的大数据侦查。以实践中已经广泛运用的DNA检测为例，“以Y-STR找家系、以常染色体DNA找人”是近年来侦查机关不断探索建立的一项侦查破案技战法。随着全国 Y-STR库的建设完成，Y-STR技术成为命案积案侦破工作的重要工具和手段。

虽然无法穷尽实践中所有的大数据侦查方式，但从全过程视角观察，广义上大数据侦查的运用一般都包括数据获取、算法运用、程序启用、证据使用等环节。因此，在大数据侦查中，中国应采用四维规制理论，从数据获取、算法运用、程序启用、证据使用对大数据侦查进行体系规制。

2.大数据侦查中的四维规制框架

中国应以四维规制理论为基础构建大数据侦查的法律规制体系。这一体系化的视角可以为大数据侦查具体环节的规制提供合理、融贯的宏观解决思路。

首先，数据维度的体系规制思路。通过数据规范对大数据侦查进行法律规制时，不能仅局限于人脸识别侦查的数据运用场景，而应在体系化思维下，从整体上构建如下框架。第一，明确刑事数据获取的规范体系。刑事数据收集和调取的相关立法须整体上符合明确性原则、比例原则和令状原则。在包容性规制理念下，中国应以隐私权为中心构建刑事数据获取的层次化规制体系，并明确个人信息权并非基本权，个人信息权的“本权权益”包含人格尊严、人身财产安全以及通信秘密和通信自由等诸多利益。此外，海量的外部数据调取应由市级侦查机关申请，由市级检察机关审批（准令状程序），以实现市级机关的数据统管。第二，保护数据主体的合法权益，构建数据安全保护体系。一方面，在《刑事诉讼法》中补齐个人信息的相关权益，并赋予相应的救济权利。另一方面，应在侦查程序中构建统一的数据安全管理制度和个人信息负责人制度，明确数据的删除、告知等程序。

其次，算法维度的体系规制思路。大数据侦查中的算法管理不能局限于人脸识别技术的司法运用场景，而应当与人工智能的整体立法相适配。人工智能的立法需要采用复式的规制理念，既要照顾技术发展，也要规避风险。在未来人工智能立法中，对侦查中的人工智能使用应当进行特别规制，对其中人工智能的管理由特定的机构统一管理。中国应在侦查环节构建算法的评估制度、人工核实制度和禁止使用制度。目前《个人信息保护法》虽明确委托网信部门对数据等进行统筹监管，但刑事司法、执法具有特殊性，这一方案恐难以实现。检察机关被定位为法律监督机关，能够行使公益诉讼权，且目前的数字检察改革积累了很多的数据管理经验，应将其设立为刑事执法、司法的数据和算法主责机关，统筹数据和算法的监管职责。

再次，程序维度的体系规制思路。前文指出，通过程序规范对人脸识别侦查进行法律规制时，需要尽可能考量影响基本权干预的各项要素。同理，通过程序规范对大数据侦查进行整体规制时，要拓展程序规制的各项要素，综合各项要素构建动态、合理的法律规制体系。就大数据侦查而言，除包含审批主体、申请主体等令状程序，常见的控制要素有数据库范围、侦查期限、技术类型、适用对象、权限范围等。总而言之，针对大数据侦查的控制应尽可能利用多元要素，对大数据侦查措施进行体系化、层次化的控制。

最后，证据维度的体系规制思路。需要结合中国的传统证据规范体系对大数据侦查进行整体规制。在中国庭审程序虚化的现状下，遵循“材料—证据—定案根据”的思路，进一步构建大数据侦查证据的证据规则。中国应模仿技术侦查证据的相关规定，在体系化思路下，通过法律和司法解释明确大数据侦查证据需要适用既有的非法证据排除规则。在证据种类上，可将大数据侦查证据纳入专门性问题报告之列，参照鉴定意见的格式、内容制作相应的专门性问题报告。除此之外，可吸收人脸识别侦查证据的规范方案，在法律规范中明确大数据侦查证据的实质性审查规则、证据补强规则等。

（二）四维规制理论多场景展开的理据与思路

理想的方案是，大数据侦查的规制应秉持类型化的具体思路，细化上述四维规制框架，以保障大数据侦查规制体系的融贯性和清晰性。但大数据侦查的规制无法严格按照类型划分，不同场景下的大数据侦查方式存在较大差异，侦查技术的发展和迭代导致我们无法穷尽列举和划分所有的大数据侦查方式。在每一类大数据侦查场景下，每一个问题都需要价值判断和利益衡量。人脸识别侦查的场景规制便是典型例证。比较法上，以德国为例，其科技侦查的诸多方式亦无法通过类型化来进行系统化、全局式的规制。纵观《德国刑事诉讼法典》，其强制处分主要规定在第8章，该章名为“扣押、通讯监察、电脑资料比对、使用科技方法、卧底侦查及搜索”，包括电话监听与来源端通讯监察、线上搜索、住宅监听、住宅外监听、住宅外科技监视追踪以及自动车牌辨认等。德国对各种功能不同的技术侦查方法进行列举式规定，并依据比例原则辅之层次化的干预措施。大数据侦查方式的多元化和复杂性决定了，只有在宏观整体规制框架下，才能从具体场景中发现可以规制的要素，追寻场景规制的边界和平衡。统一化的简单规制无法有效应对大数据侦查的规制难题，大数据侦查需要根据场景制定具体的规制方案。大数据侦查的体系规制框架不限制大数据侦查的具体方式，当新的、独特的大数据侦查方式出现后，都可以在这一框架下构建场景化的规制方案。整个大数据侦查规制规范既可以实现体系化的内部融贯，也可以保证一定的开放性，这可以化解传统侦查规制方案的封闭性问题。

申言之，采用场景化而非类型化的大数据侦查具体规制方案的根本原因在于，一旦场景不同，大数据侦查各个环节的性质就会发生变化，对其采用的具体规制方案也须做出改变。展开来说，对大数据侦查证据进行场景化规制的原因主要有四：其一，数据获取方式的复杂性。不同的数据类型、差异化的获取时间和方式等，在不同的场景下所侵犯的基本权类型和幅度存在不同，只有结合数据类型和具体场景才能等比例地设置启动条件和令状程序。其二，算法规制的场景化。不同算法的潜在风险不同，需要结合场景进行分析。比如，人脸识别一旦用于人物画像，易对社会造成巨大的风险，需要对这一应用场景加以禁止。其三，侦查手段的多元化。不同的大数据侦查方式，其具体侦查方法存在差异，如人脸识别可分为人脸验证和人脸追踪，而资金分析所使用的数据库可能存在不同，针对不同侦查方式的特定类型，需要运用不同的控制要素对其合理规制。其四，证据使用复杂多变。不同的大数据侦查方式在庭审中的证据载体和使用方式存在不同，需要结合场景进行分析。此外，场景化的规制路径可以降低试错风险，减轻大范围修法所带来的制度阻力，有利于通过法律快速吸收实践，经验以制定新型侦查方式的规制方案。在多场景的大数据规制思路下，针对某一场景大数据侦查的立法阻力会变小，大数据侦查的法律框架保持了开放性，一个开放性、动态化的大数据侦查规制体系得以成型。

总而言之，多场景的大数据侦查规制体系是一种面向实践的、自下而上的规制方略，这种规制思路以侦查的实践革新为基础，当新型大数据侦查方式出现时，法律可在大数据侦查四维规制体系框架下，及时对新型大数据侦查方式进行针对性地规制。这种规制思路既能保持法律对数字技术的包容性，又可维护法律的体系性和开放性。