目录

　　一、案例引入

　　二、国内外个人信息保护相关法律法规规定

　　(一)国内个人信息保护相关法律法规规定

　　(二)国外个人信息保护相关法律法规规定

　　三、车机轨迹的证据属性及证据资格的界定

　　(一)车机轨迹的证据属性

　　(二)车机轨迹的证据资格，即车机轨迹作为定案证据的法定适用条件

　　四、结语

　　一、案例引入

　　A公司董事长H某因涉嫌对非国家工作人员行贿罪被公诉机关诉至某法院。公诉机关指控，H某在与大型整车生产企业B公司公关负责人X某业务合作中向X某行贿2000余万元。在庭前会议中，公诉机关将该案刑事立案前B公司审计部门对X的合规谈话笔录(在谈话中X某曾承认了其收受贿赂的事实)作为指控的重要证据，同时提交了公安机关向B公司调取的H某在相关时间段乘坐的由B公司生产的某品牌小汽车的车机轨迹(以Excel表格形式呈现，主要为行车轨迹)作为辅助证据，以此试图结合X某曾经在内部谈话中所做的陈述，来认定H某在特定时间段内乘坐该车给X某送了巨额现金，完成了整个行受贿过程。

　　在庭前会议中，辩护人对该车机轨迹所证实的内容(实体)及调取的合法性(程序)提出了强烈异议。公诉人对此做了回应，称公安机关调取该证据程序合法，且车机轨迹在证据形式上属于书证还是电子数据有待商榷，试图通过此方式规避电子数据严格的收集和调取规则，降低证明门槛。

　　辩护人认为，车机轨迹无疑属于电子数据而不是书证，且应遵循严格的调取和审查程序，而案涉的车机数据由于调取程序的重大瑕疵应属于非法证据，依法应当予以排除。据此，本文要讨论的法律问题：第一，在新能源汽车快速普及的今天，在对个人信息安全保护空前严格的前提下，汽车生产厂家在后台能调取到用户的什么数据?是否包括所有的移动轨迹?即使在有用户授权的情况下，此数据的使用和调取应该遵循哪些严格的程序?换言之，用户购买汽车后，车企是否有权处理用户的数据?在何种限度内可以处理?需要遵循什么原则和程序?第二，在诉讼中，车机轨迹作为证据需要满足哪些法定条件和程序性规定?

　　二、国内外个人信息保护相关法律法规规定

　　首先需要明确，消费者购置汽车尤其是新能源汽车，并不等同于无条件默许车企自动采集用户个人数据及行驶轨迹，更不代表无条件授予车企后台信息记录权限。从技术角度看，自动化和智能化程度更高的新能源汽车车机系统的数据调用功能，与手机APP的信息采集机制类似，即车企如需获取相关后台数据，必须由用户在终端授权，在限定范围内获得信息调用权限后方可实施。毫无疑问，为充分保护消费者的个人信息安全和隐私，规制厂家获取和收集消费者的相关信息，相关法律和法规做出了较为详尽的界定。经笔者梳理，目前相关领域的主要法律法规如下：

　　(一)国内个人信息保护相关法律法规规定

　　表1 个人信息与敏感个人信息之定义

　　从车机系统显示的个人信息的属性上看，《中华人民共和国个人信息保护法》第二十八条对敏感个人信息的范畴予以明确，“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定了公民个人信息的定义。综合以上可知，行踪轨迹不仅属于公民个人信息，还属于《个人信息保护法》第28条规定的敏感个人信息，后者相较于前者的处理条件更加严格。

　　接下来，获取公民个人敏感信息后如何处理?笔者汇总了下表即表2 国内关于处理个人信息的相关法律法规。

　　表2 国内关于如何处理个人信息之法律法规

　　由此可以看出，关于个人信息处理者是否有权处理用户的个人信息以及需遵循的原则来看，国内主要是以上三部法律和一部规章予以规制。其中，《个人信息保护法》第13条规定了可以处理个人信息的情形以及不需取得个人同意的情形，第14条规定了基于个人同意处理个人信息时应遵循的原则。《数据安全法》第1条规定了本法的立法目的是保障数据安全，《网络安全法》第43条规定了网络运营者收集、使用个人信息应遵循的原则，第44条强调了经被收集者同意这一前提要件。可以看出，三部法律在规制个人信息上核心共同点就是以“告知+同意”为基础，同时配套“合法、正当、必要、最小化”等原则，共同构建个人信息保护的法律底线。《若干规定》在三部上位法基础上，针对车机轨迹、车辆数据做了更严格、更具体的落地规则。第6条将原则条款化(车内处理原则、默认不收集原则、精度范围适用原则、脱敏处理原则)，第7条明确了汽车数据处理者的告知义务，第8条明确规定了需取得个人同意要求。

　　综上所述，购买新能源汽车≠默认授权车企可以记录用户的行车轨迹;车企需履行明确告知义务且需经用户明确同意后方可处理数据，如车企后台私自调取轨迹和其他行车数据，会同时违反以上四部法律法规。

　　(二)国外个人信息保护相关法律法规规定

　　笔者还检索了国外相关法律法规。国外关于数据保护有专门的法律法规，如欧盟《通用数据保护条例》(GDPR)、美国加利福尼亚州《消费者隐私法案》(CCPA)、美国加利福尼亚州《加州隐私权法案》(CPRA)、英国《2018年数据保护法》、日本《个人信息保护法》(APPI)。上述各国数据法规，其核心准则高度统一：第一，均将车机轨迹视为敏感/特殊类别个人信息，比如欧盟GDPR规定的特殊类别个人数据(Special Category Personal Data)，美国CPRA规定的敏感个人信息(Sensitive Personal Information)，英国《2018年数据保护法》规定的特殊类别数据(Special Category Data)。第二，处理此类数据均以告知+知情同意为基本原则，严格规制敏感个人信息(车辆轨迹、位置信息等)收集，遵循数据最小化、默认不收集、授权可撤回、数据脱敏等原则，同时赋予个人数据查阅、删除、限制使用等法定权利。

　　可以看出，国外主流法规与我国《个人信息保护法》《汽车数据安全管理若干规定》等遵循同一底层原则：未经充分告知+有效同意，不得擅自收集、储存用户个人及轨迹数据，国外对行踪轨迹这类敏感数据约束更严苛，强制要求默认关闭收集、单独授权、禁止过度采集，同时用户的权利范围更广(如被遗忘权、数据携带权)，监管处罚力度也更强。

　　三、车机轨迹的证据属性及证据资格的界定

　　(一)车机轨迹的证据属性

　　车机轨迹属于书证还是电子数据?根据《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第一条，电子数据是指案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据。车机轨迹由车辆上的定位系统、行车记录仪等设备自动生成，以数字形式记录车辆的行驶路径、时间、速度等信息，与车机其他数据、GPS数据等均属于电子数据。符合电子数据的本质特征。而书证是以文字、符号、图画等记载的内容来证明案件事实的书面材料，如合同、信件、公文等，其核心在于原始载体的固定性与直观性。从本质上看，车机轨迹并非通过文字或符号记载于物理载体，而是依赖数字化数据的形式呈现车辆的动态行驶情况，显然不属于书证的范畴。

　　在前述案件中，公诉机关将车机轨迹认定为书证，本质上是混淆了电子数据打印件与原始书证的边界，意图规避对电子数据的严格收集和审查采信规则。本案中B公司提交的是以Excel表格形式提交的，但笔者需要强调的是，虽然车机轨迹被以纸质文档、图表等形式展示，但究其本质仍是电子数据的外在衍生形式，不能改变其电子数据的根本属性。

　　(二)车机轨迹的证据资格，即车机轨迹作为定案证据的法定适用条件

　　在刑事诉讼中，根据办案需要，有两种获取车机轨迹的途径，第一种是技术侦查措施，第二种是电子数据提取。技术侦查措施的适用场景是主动、实时、持续监控车辆行踪(如GPS/基站定位、车联网实时轨迹)，从时间上看，是实时、正在发生的，且是主动获取、动态轨迹。电子数据的适用场景是事后、静态提取已存储在车机/行车记录仪/EDR里的历史轨迹数据。从适用场景来看，本案显然属于第二种即电子数据提取。上述两种取证途径的相应法律依据如下：

　　表3 技术侦查措施相关规定

　　在司法实践中，车机轨迹作为电子数据使用时，须遵循电子数据取证的相关规定，以确保数据的真实性、完整性和合法性。

　　总体来说，笔者汇总了关于电子数据收集和调取的相关法律规定(具体见下表，表4)，在形式上有诸多要求，应满足：1.对于能扣押、封存原始存储介质的，应制作笔录并当场开列《扣押清单》一式三份，由侦查人员、持有人(提供人)和见证人签名或者盖章;2.对于不能扣押原始存储介质的，应当现场提取电子数据并附《电子数据现场提取笔录》，同样需要相关人签字或者盖章。

　　表4 电子数据提取的相关规定

　　根据《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第二十二条第二项、第五项，就在案的电子数据的真实性，应重点审查其是否具有数字签名、数字证书等特殊标识以及数据完整性是否能够保证。本案中，辩护人发现数据形式与完整性严重缺失，案涉车机轨迹仅以Excel表格形式呈现，无原始存储介质，无数字签名，无提取笔录，亦并无侦查人员、电子数据持有人(提供人)签名或者盖章，因此无法排除数据被篡改或删减的可能，不符合电子数据的严格形式要件，也无法保证相应内容的真实性与完整性。

　　笔者需要特别强调的是，车机轨迹采集后未必可以直接采信。本案车机轨迹由B公司向侦查机关提供，而B公司系本案报案单位，且本案处理结果与B公司拖欠A公司上亿元服务费的结算直接相关。因此，B公司作为本案的直接利害关系人，其单方提供的数据即使在提取程序上没有瑕疵，也应由具备相应资质的独立第三方鉴定机构审查后出具鉴定意见，同时必须接受控辩双方的质证。进而言之，车机轨迹如果在形式上存在瑕疵的话，需要按照《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第27条和第28条之规定，进一步甄别是可以补足的瑕疵证据还是应当排除的非法证据，最终按照证据的“三性”确定是否可作为证据采信。

　　四、结语

　　综上所述，本案的核心逻辑如下：其一，涉案数据调取行为是否已取得相关主体的有效授权，应由公诉机关举证证明，而现阶段公诉机关并未提供车辆所有人及使用人依法授权的相关证据。假设存在授权，常规车载系统授权多为格式条款弹窗式确认，该授权是否履行了相关法律法规规定的清晰明确合法的告知义务仍存在争议。其二，就车机轨迹，其取证流程、载体形式及客观性、真实性仍须符合法律规范。

　　据此，车机轨迹作为刑事诉讼中常见的电子数据，同时属于公民敏感个人信息，在司法实践中必须严格遵循对电子数据的审查规则，这既契合刑事诉讼法保障人权、规范侦查权的立法精神，也彰显了刑法谦抑性与司法公正的核心要义。

　　作者简介：

　　张忠，高级合伙人

　　刑事业务中心常务副总监

　　张忠，原最高人民检察院首批员额高级检察官，山西大学法律硕士，曾就职于区、市、省、最高四级、五地检察机关22年，其中从事公诉工作11年，从事侦查监督工作11年。

　　在检察机关工作期间，主办、参办、督办、指导了上千件各类重大复杂疑难职务犯罪案件(含部分省部级以上领导干部职务犯罪案件)以及非法集资、证券、洗钱、走私等经济犯罪案件;主办或参办制定了数十件重要法律法规、重要司法解释、重点规范性文件和指导性文件;参加了连续四届全国检察机关侦查监督十佳业务标兵竞赛的组织、命题、评选和主持;与他人合著《审查逮捕证据参考标准》《刑事案件审查逮捕指引》及《配套典型案例》等;多年连续协助中国人民银行和中国证监会、中国银监会等单位编写年度《中国反洗钱报告》《证券期货犯罪典型案例》《非法集资典型案例》等。

　　2018年5月因个人志趣专长原因辞去最高人民检察院公职，随后加入腾讯公司任四级专家、高级研究员，负责互联网犯罪的理论研究和实践应对。2019年1月加入北京德和衡律师事务所，历任顾问、高级联席合伙人。2020年1月晋升为北京德和衡律师事务所副主任兼刑民交叉业务部主任，2021年1月晋升为副总裁、高级权益合伙人，2021年7月补选为中共北京德和衡律师事务所党委委员至今。

　　手机：13810784348

　　邮箱：zhangzhong@deheheng.com

　　张琦煊，执业律师

　　张琦煊，北京德和衡律师事务所执业律师，擅长刑民交叉争议解决、劳动争议等。

　　手机：17813354297

　　邮箱：zhangqixuan@deheheng.com