刘宪权
华东政法大学教授,法学博士,上海市法学会刑法学研究会会长
陆一敏
华东政法大学刑事法学院博士研究生
【要目】
一、生物识别信息的特征及安全风险
二、生物识别信息刑法保护的现状及存在的问题
三、生物识别信息刑法保护的立场和角度
四、生物识别信息刑法保护相关规定的完善
五、结语
内容摘要
生物识别信息是用于自动身份鉴别、状态分析与属性估计的人体生理和行为特征信息,具有唯一性、稳定性、易收集性与公利性的特征。非法获取、提供与使用生物识别信息可能构成对他人人格权益、财产权益、公共秩序甚至国家利益的侵害。现行刑法与司法解释从个人信息犯罪“产业链”的源头与尾端对个人信息提供了相对完整的刑法保护,但无法实现对生物识别信息的特别保护。应当坚持以人格权益为中心、以预防为导向的立场完善对生物识别信息的刑法特别保护。在个人信息犯罪“产业链”的源头,将生物识别信息在个人信息分类分级中明确定位为“敏感个人信息”,并将相关侵犯行为的起刑点设定为50条;在个人信息犯罪“产业链”的尾端,将非法使用生物识别信息行为纳入侵犯公民个人信息罪的规制范围;在个人信息犯罪“产业链”的中间环节,将对生物识别信息的非法“持有”行为纳入侵犯公民个人信息罪的规制范围,以实现对非法留存行为的有效规制。
关键词:个人信息 生物识别信息 犯罪产业链 人格权益 预防导向
近年来,随着我国数字化与智能化建设的推进,以人脸识别为代表的生物识别技术得到了迅猛发展,并被广泛应用于商业交易、治安防控、医疗卫生、政府治理等领域。应该看到,生物识别技术的出现,在给人们生活和社会的管理带来极大便利的同时,也确实引发或带来了较多的违法犯罪现象,实践中非法收集、交易和滥用生物识别信息的行为层出不穷、屡见不鲜。相关的违法犯罪行为不仅严重侵犯公民的信息数据权利,还会造成社会管理秩序的混乱,甚至威胁到国家安全。尽管《刑法修正案(七)》将侵犯公民个人信息情节严重的行为纳入刑事打击范围,《刑法修正案(九)》进一步扩大了打击范围,但现行刑法对于生物识别信息仍然没有给予特别的保护。在当前信息网络普及的背景下,如何有针对性地完善对生物识别信息的刑法特别保护,应该成为我们必须直面且亟待解决的问题。基于此,本文将从侵害个人生物识别信息行为引发的风险入手,详细分析现行刑法有关规定及其存在的问题,并在确定刑法保护应然立场的基础上,在个人信息犯罪“产业链”的源头、中间以及尾端各环节对现行刑法保护规定予以完善与加强,以覆盖生物识别信息安全的全生命周期,从而实现刑法对生物识别信息的特别保护。
一、生物识别信息的特征及安全风险
一、生物识别信息的内涵及特征
现有法律规范或国家标准中尚未对生物识别信息作出明确的定义。尽管在2017年施行的《网络安全法》、2021年施行的《民法典》与2021年最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》均提及了生物识别信息,但上述法律规范或规定个人信息包括生物识别信息,或明确人脸信息属于生物识别信息,却并未对生物识别信息的概念作出描述或界定。国家标准化管理委员会2020年发布的国家标准《信息安全技术个人信息安全规范》对生物识别信息进行了列举,包括“个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等”,但也未说明何谓生物识别信息。实际上,顾名思义,相关法律规范与国家标准中提到的生物识别信息指的就是通过生物识别技术所分析获取的特定个人信息。根据2021年发布的《生物特征识别学科发展报告》,生物(特征)识别是指“智能机器通过获取和分析人体的生理和行为特征,实现自动身份鉴别(‘你是谁?’)、状态分析(‘姿态/喜怒哀乐?’)、属性估计(‘性别/年龄/人种?’)的科学和技术”由此可知,我们可以对生物识别信息作如此定义:用于自动身份鉴别、状态分析与属性估计的人体生理和行为特征信息。
值得注意的是,除“个人信息”与“生物识别信息”之外,相关法律规范与国家标准中还出现了“敏感个人信息”的概念,因此有必要厘清前述几个概念之间的关系。早在2012年发布的我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》中,已经明确将“个人信息”分为“个人一般信息”和“个人敏感信息”。而在2021年8月20日全国人大常委会发布的《个人信息保护法》中又有规定,“敏感个人信息”包括“生物识别信息”。从中我们不难看出,“个人信息”“敏感个人信息”与“生物识别信息”之间呈包容关系,“个人信息”的外延范围最大,包括“敏感个人信息”,而“敏感个人信息”又囊括“生物识别信息”。
相较于其他个人信息,生物识别信息具有以下四个方面的显著特征:其一,唯一性。每个人都是一个独立的生物体,对应一套独一无二的生物识别信息。以虹膜信息为例,虹膜图像存在许多随机分布的细节特征,而这些细节特征的形成主要取决于胚胎发育环境的随机因素。因此,即使是双胞胎、克隆人乃至同一个人的左右眼,虹膜图像之间也有显著差异,这也就决定了虹膜信息的唯一性。相较于其他个人信息,生物识别信息的唯一性为高精度的身份识别奠定了基础,因而得以在公共安检、商业支付、刑事侦查等领域广泛运用。其二,稳定性。以姓名、身份证号码、账号密码为代表的其他个人信息可以随时修改,但生物识别信息是个人的生理或行为特征,一旦形成便很难改变。例如,虹膜从婴儿胚胎期的第3个月起开始发育,到第8个月主要纹理结构成形。在角膜的保护下,发育完全的虹膜很难受到外界的伤害,除非经历危及眼睛的外科手术,此后几乎终身不变。因此,生物识别信息一旦泄露就会给信息主体造成不可逆转的损害,而无法通过修改的方式加以弥补。其三,易采集性。在生物识别技术迅速发展的今天,生物识别信息的采集往往不需要紧密接触,甚至可以做到,在信息主体毫不知情的情况下,采集其个人生物识别信息。无论是人脸、虹膜,还是笔迹、步态或声纹等信息,都不可避免地在日常生活中展现出来。例如,在“晒自拍”的过程中对自己的照片不加处理,直接发布在社交媒体上,就极易被他人收集人脸信息。而只要拥有生物识别的智能装置,就能在信息主体毫无意识的情况下收集其生物识别信息。从这个角度而言,生物识别信息相较于其他个人信息更加容易受到侵害。其四,公利性。生物识别信息除了具有其他个人信息所具备的人格利益与财产利益之外,还体现了极强的公共利益属性。当前我国公共领域中生物识别信息运用广泛,例如新冠肺炎疫情期间通过人脸识别追踪患者行踪与密切接触者;机场、高铁站等公共场所通过人脸识别安全检查等。通过采集生物识别信息,政府得以提升管理水平、强化社会治理。此外,生物识别信息还被用于反恐等活动,对国家安全与国际合作都具有重要意义。
二、侵害生物识别信息行为引发的风险
正如前述,随着生物识别在我国相关领域的广泛运用,侵害生物识别信息行为引发的风险也相应产生,主要表现在以下几个方面。
其一,非法获取、提供与使用生物识别信息可能构成对人格权益的侵犯。对公民个人而言,人格权益是基于人身自由、人格尊严而产生的姓名权、肖像权、名誉权和隐私权等权益。生物识别信息源于公民个人的生理或行为特征,承载了最为隐私的个人数据。透过个人基因、声纹、虹膜、步态等生物识别信息,能够分析出一个人的身份、性别、年龄、人种、情绪状态、身体缺陷等内容,这些内容集中体现了强烈的人身专属性。因此,侵犯公民个人生物识别信息可能直接导致姓名权、肖像权、名誉权乃至隐私权受到侵害,进而导致以人身自由、人格尊严为基础的人格权益被侵犯。例如,印度女记者拉娜·阿尤布(rana ayyub)因为发表一篇关于腐败现象的报告,被不法分子利用她的人脸信息,伪造以她为主角的色情视频,并放在社交媒体上广泛传播。不法分子非法利用拉娜·阿尤布生物识别信息的行为严重侵犯了她的肖像权、名誉权以及隐私权等人格权益,给她的身心健康造成严重创伤。
其二,非法获取、提供与使用生物识别信息可能构成对财产权益的侵犯。随着信息化建设的推进,生物识别信息成为重要的生产资料和社会财富,本身具有一定的财产价值。正因为如此,商业科技公司在收集人脸信息的时候通常都会给予信息主体一定的对价。例如,支付宝和微信通过“刷脸付”收集用户人脸信息时会给予一定的优惠。如果未提前告知、未征得信息主体的同意,擅自收集生物识别信息,将会有损信息主体的财产权利。此外,生物识别信息的唯一性决定了其具有身份认证的功能,从而使其成为非法获取财产的“万能钥匙”。不法分子既可以利用生物识别信息伪造人物形象,对他人实施精准诈骗;也可以利用生物识别信息完成移动支付软件的身份验证,实现对他人账户财产的控制与转移。诸如此类非法利用生物识别信息的行为均会造成信息主体的财产损失。
其三,非法获取、提供与使用生物识别信息可能构成对社会秩序与国家安全的侵犯。生物识别信息不仅可以被用于人脸伪造,还可以实现声音伪造甚至是全身伪造。深度伪造技术的日趋成熟不仅给个人利益带来巨大损害,还给社会秩序乃至国家安全带来极大威胁。以金融领域为例,任何一条敏感信息的公布都会迅速引发金融市场波动。如果不法分子利用生物识别信息冒充金融领域业内人士的身份,制作虚假视频、炮制虚假信息并在网络上公开传播,就会使得大量投资者都信以为真。在金融市场缺乏预期的情况下,这样的虚假信息可能导致巨额资金在极短时间内流入或流出金融市场,继而引发证券、期货、债券以及外汇市场的剧烈波动甚至产生连锁反应,严重影响金融市场的稳定。当虚假信息以视频的形式出现在公众视野中,基于视频一般都会被视为真实性的基本标准,民众很容易信以为真。而一旦虚假视频被戳穿,就会打破公众对于视频作为事件记录的信任,导致公众形成“眼见不为实”的心理预期,从而严重冲击社会的信任体系。一旦社会信任体系崩塌,即使事后经过充分辟谣,也很难重新建立。更为严重的情况是,当大量生物识别信息被恐怖分子所获取,或者流入国外被不法分子所利用,甚至会危及国家安全。
二、生物识别信息刑法保护的现状及存在的问题
在互联网时代,非法买卖及使用公民个人信息的行为泛滥,由此滋生出侮辱、诽谤、电信诈骗、敲诈勒索等一系列犯罪,已经逐渐形成“源头—中间商—非法使用”的庞大犯罪“产业链”。生物识别信息作为个人信息的一种,同样未能幸免于难。为了维护个人信息安全和其他合法权益,近年来出台的刑法修正案与相关司法解释不断加大对个人信息犯罪“产业链”的打击力度,强化对公民个人信息的刑事保护,总体呈现出“两头保护”的刑法保护框架。
一、现行刑法对个人信息的保护规定
刑法对个人信息的保护是采用“两头保护”的模式,也即主要通过打击个人信息犯罪“产业链”的源头与尾端,实现对个人信息的刑法保护。个人信息犯罪“产业链”的源头主要是非法获取与提供行为,尾端主要是非法使用行为。现有的刑法保护规定正是在“产业链”的源头防止生物识别信息被非法收集或提供给他人,在尾端防止生物识别信息被滥用,从而达到保护效果。
1.个人信息犯罪“产业链”源头的刑法规制
个人信息犯罪“产业链”源头的刑法规制主要是通过将非法获取与提供公民个人生物识别信息的行为规定为侵犯公民个人信息罪,来实现对生物识别信息的保护。
2009年《刑法修正案(七)》将侵犯公民个人信息情节严重的行为增设为犯罪。这一规定将窃取、非法获取以及特定工作人员出售与非法提供公民个人信息的行为纳入刑事打击的范围。随后,2015年《刑法修正案(九)》对该罪名进一步作出修改完善,将出售与非法提供公民个人信息的主体由“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”扩展至一般主体,并针对侵犯公民个人信息情节特别严重的情形提升法定刑配置水平。紧接着,2017年最高人民法院与最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),针对侵犯公民个人信息罪的定罪量刑标准和相关法律适用问题作了全面系统的规定。此后,2021年最高人民法院、最高人民检察院和公安部联合发布《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》(以下简称《意见》),专门就非法获取、出售、提供具有信息发布、即时通讯、支付结算等功能的个人生物识别信息的行为作出规定,可以以侵犯公民个人信息罪追究刑事责任。实际上,从行为方式上看,“出售”本身就是一种特殊的“提供”方式,是以获取经济利益为目的的有偿提供。同样,“窃取”本身也是一种特殊的“获取”方式,是以盗窃作为手段的非法获取。因此,根据现行刑法与司法解释的规定,尽管包括网络运营者在内的主体可能通过隐私政策这一豁免盾牌在严格监管之下最大化收集个人信息等数据,但一旦相关主体通过一定手段非法获取与提供公民个人生物识别信息,都可以以侵犯公民个人信息罪加以规制,从而实现在源头上防止公民个人生物识别信息流入犯罪“产业链”。此外,由于生物识别信息本身具有一定的财产价值,如果不法分子未经信息主体同意,擅自收集他人生物识别信息,实际上就是以平和的手段秘密窃取信息主体的财产性利益,一旦次数或数额累计到一定程度时,可以被认定为盗窃罪。
2.个人信息犯罪“产业链”尾端的刑法规制
个人信息犯罪“产业链”尾端的刑法规制主要是对非法使用生物识别信息的行为基于其所侵犯的具体法益类型适用相关罪名,以此达成禁止非法使用的效果。根据前文分析可知,非法使用公民生物识别信息不仅可能侵犯信息主体的人格权益与财产权益,还可能对公共利益乃至国家安全造成危害。
当非法使用生物识别信息构成对人格权益的侵犯时,相关行为可以构成侮辱罪或者诽谤罪。例如,利用他人生物识别信息制造换脸视频或者合成他人语音,并在网络中公开发行传播,贬损他人人格、破坏他人名誉,可以以侮辱罪或诽谤罪加以处罚。当非法使用生物识别信息侵犯了信息主体的财产权益时,相关行为可以构成诈骗罪或者信用卡诈骗罪。例如,如果不法分子利用生物识别信息伪造人物形象,对他人实施精准诈骗时,显然可以直接认定为诈骗罪。如果不法分子利用他人人脸信息完成移动支付软件的身份验证,实现对他人网络账户财产的转移占有时,可以认定为信用卡诈骗罪。作为当前十分普及的支付方式,网络移动支付是信用卡支付的延伸。而“刷脸付”是通过人脸识别的手段进行网络移动支付,因此本质上也是一种信用卡支付。在“刷脸付”的过程中,人脸信息就相当于信用卡的账号密码,也就是说,使用他人的人脸信息相当于冒用他人的信用卡。而具有身份识别功能的网络移动支付软件作为一种具有人工编程的智能程序,完全可能被骗。因此,对网络移动支付软件使用他人人脸信息获取他人财产的行为,按照现行刑法可以按照信用卡诈骗罪加以规制。
当非法使用生物识别信息构成对社会管理秩序或市场经济秩序的侵犯时,可以将相关行为认定为编造或故意传播虚假信息罪、寻衅滋事罪、伪证罪、辩护人或诉讼代理人伪造证据罪、编造并传播证券或期货交易虚假信息罪、损害商业声誉罪等罪名。例如,利用公众人物的人脸、声音等生物识别信息合成虚假发言视频,发布不实消息造成社会恐慌,或者针对社会公共事件发表不当言论引发公共秩序混乱的,不仅构成对公众人物人格权益的损害,还可能构成编造或故意传播虚假信息罪与寻衅滋事罪。根据最高人民法院和最高人民检察院《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》的规定,编造虚假信息在信息网络上散布,造成公共秩序严重混乱的,以寻衅滋事罪定罪处罚。如果在司法程序中利用生物识别信息制作虚假证言、编造虚假证据,可能被认定为伪证罪或辩护人、诉讼代理人伪造证据罪。而在证券期货市场上编造传播虚假信息的行为,可能被认定为编造并传播证券、期货交易信息罪、损害商业声誉罪。针对最为恶劣的非法使用生物识别信息威胁到国家安全的行为,可以以煽动分裂国家罪、煽动颠覆国家政权罪等罪名加以论处。
二、现行刑法对个人信息保护存在的问题
尽管现有刑法与司法解释从个人信息犯罪“产业链”的源头与尾端对生物识别信息提供了相对完整的刑法保护框架,但由于生物识别信息的特殊性及侵害生物识别信息行为所引发风险的复杂性,这套框架仍然存在以下三个方面的问题。
其一,侵犯公民个人信息罪的相关规定中未对生物识别信息明确定位,无法实现在个人信息犯罪“产业链”的源头对生物识别信息给予特别保护。相较于其他个人信息,生物识别信息具有唯一性、稳定性、易收集性与公利性的特征。一旦被不法分子所收集、传播与利用,不仅容易引发绑架、诈骗、敲诈勒索等关联犯罪,给被害人造成不可挽回的损害,还可能对社会稳定乃至国家安全都造成严重威胁。因此,对公民个人生物识别信息的保护要求应当相对更高。《解释》虽然基于信息内容重要程度的不同将个人信息区分为三类,分别设置了不同的入罪标准,但是《解释》中并未提及生物识别信息,当然也就不可能有对生物识别信息的明确归类。入罪标准最低的个人信息系高度敏感信息,与人身安全、财产安全直接相关,但《解释》将此类信息严格限缩为行踪轨迹信息、通信内容、征信信息与财产信息四种,不允许司法适用中再通过等外解释予以扩大,因而无法涵盖生物识别信息。而如果将生物识别信息解释为“可能影响人身、财产安全的公民个人信息”,则无法适用与高度敏感信息相同或更低的入罪标准,相应的打击力度也就无法实现对生物识别信息的特别保护。尽管2021年出台的《意见》专门就非法获取、出售、提供具有信息发布、即时通讯、支付结算等功能的个人生物识别信息的行为作出规定,“以侵犯公民个人信息罪追究刑事责任”,但依旧未对生物识别信息加以归类,显然尚不能达到对生物识别信息的特别保护效果。
其二,在个人信息犯罪“产业链”的尾端,现有刑法保护规定一方面忽视了非法使用生物识别信息行为的独立社会危害性;另一方面过度强调事后惩罚而忽略事前预防,呈现出规制的无效性和适用的滞后性。从前文分析可知,非法使用生物识别信息的行为,只有在造成具体法益侵害后果的情况下才能适用相关罪名。实际上,在个人信息犯罪“产业链”中,非法使用行为更多的是作为手段,而真正造成实际后果的是后继行为。以非法使用生物识别信息深度伪造为例,成立侮辱罪和诽谤罪需要在制作虚假视频的基础上公开发布并且“情节严重”;成立诈骗罪需要在伪造人物形象的基础上骗取财物;成立寻衅滋事罪需要在合成虚假音频的基础上公开传播并“造成公共秩序严重混乱”。而后继行为之所以能够顺利实施且造成如此严重的社会危害后果,与非法使用生物识别信息行为的严重社会危害性密不可分。但是,现有的刑法评价机制恰恰忽视了非法使用行为本身所具有的社会危害性。如果当后继行为尚未造成严重的法益侵害结果,或者非法使用与后继行为分属于犯罪“产业链”上的不同环节时,对于非法使用者就存在处罚上的漏洞。如制作视频并转让给他人的行为,对于视频制作者就难以按照后继行为处罚。此外,实践中还经常出现未经他人许可利用他人人脸信息注册账号的行为,按照现行刑法保护规定也无法有效加以规制。在信息社会,网络上的信息传播具有无限延展性,由此导致非法使用他人生物识别信息所造成的危害后果可能远远超出预见与控制的范围。除了财产利益尚可通过事后修复之外,人格权益、公共利益以及国家安全的损害,都难以通过事后惩治予以补救。由于现行刑法生物识别信息的保护框架只强调在出现实害结果后才能对非法使用行为加以制裁,从而极大地削弱了刑罚的有效性,难以实现对生物识别信息所涉利益全面、真正和有效保护。
其三,对于生物识别信息生命周期中获取、提供与使用以外的其他中间环节,现有框架并未给予相应的保护。作为个人信息的一种,生物识别信息的生命周期包括收集、存储、使用、共享、转让、公开披露与删除等环节。而无论是共享、转让还是公开披露,本质上都是将信息提供给他人的一种方式。因此,现有刑法保护规定所规制的非法获取、提供与使用行为,尽管可以涵盖生物识别信息生命周期中收集、共享、转让、公开披露与使用环节的相关行为,却无法涵盖存储与删除环节的非法行为。在存储环节,可能存在未按照规定形式存储的违法行为,如未对生物识别信息采用加密等安全措施,未将生物识别信息与其他信息分开存储,等等。在删除环节,也可能存在应当删除而未删除的违法行为。对于存储与删除环节的非法行为,是否应当予以规制?应该如何规制?现有的刑法规定并未给出确切答复。
三、生物识别信息刑法保护的立场和角度
一、以人格权益为中心
随着信息化进程的推进,整个社会对于信息的需求大幅增加,与此同时,个人信息的价值也日益凸显。现有理论研究表明,个人信息不仅具有人格尊严和自由价值,还具有重要的商业价值以及公共管理价值。在这三种价值之中,基于生物识别信息的唯一性,人格权益应当优先得到保护。
“人的本质问题,人的人格,对于法的本质是决定性的。”我国宪法规定,国家尊重和保障人权,公民的人格尊严不受侵犯。无论年龄、性别、教育程度、宗教信仰、社会贡献等外在特征如何,每个人都享有绝对平等的尊严。人格尊严代表着理想社会中的个人所应有的良善生活标准。因此,国家和法律的根本目的在于保护人对人格尊严的特别需求。而人格尊严的获取,根源在于个人的独特性。应当承认,每个人都是独一无二的存在,在与其他人的比较中都是独特的个体,因而无法被别人所模仿和替代。正是个人的独特性和不可重复性,人类的每个成员才拥有一种实质性的尊严。“以变异性或多样化为基石的生物学,赋予了每一个个人以一系列的独特属性,正是这些特性使个人拥有了他以其他方式不可能获得的一种独特的品格或尊严。”简而言之,国家和法律的根本目的在于维护每个个体的人格尊严,而人格尊严又来源于个人的独特性。因此可以说,国家和法律的终极目的在于维护个人的独特性。从前文的分析可知,生物识别信息具有唯一性的特征,恰恰体现了每个个体的独特性,进而体现了个人的人格尊严价值。然而,现代科技滥用生物识别信息,使得个人的人脸、声音乃至全身都可以被复制伪造,从而每个人都不再是世间的唯一存在,个人人格尊严的根基也就荡然无存。因此,国家和法律为了实现自身的终极目标,必将禁止滥用生物识别信息的行为,保护每个个体的独特性,将维护个人的人格尊严放在首要位置。
除了人格权益值得保护之外,个人生物识别信息的商业价值与公共管理价值的重要性也在日渐提升。在商业领域中,随着经营者利用消费者个人信息分析喜好能力的加强,现代营销模式从以往的大规模营销逐渐转变为定向营销,这反过来进一步刺激了个人信息商业价值的发掘与运作。因为对个人信息的广泛需求,催生了相关信息服务产业的高速发展,也加快了信息的商业化利用程度。在公共管理领域中,公共秩序、公共安全和公共福利的推进,都离不开公民个人信息的收集与使用。推行电子政务、建设数字政府,一直是我国信息化发展的战略重点,也需要对个人信息进行收集利用。然而,尽管个人信息的商业价值与公共管理价值日益重要,但无论是商业利用,还是公共管理,最终的目的都是为了个人能够更好地生存与发展。具体而言,商业利用的重要价值在于提供便利,公共管理的重要价值在于提供便利并保障安全,便利与安全的本质均在于让个人享有更多自由。但实际上,生物识别信息的广泛收集与滥用使得每个人都变成了“透明人”,被迫在信息社会中“裸奔”,给每个人带来更多的不自由、不安全甚至恐惧感受。从这个角度而言,生物识别信息给公众带来的便利性,在重要程度上显然无法比拟生物识别信息所具有的人格尊严和自由价值。因此,当下理应坚持以人格权益为中心对生物识别信息加以保护。
二、以预防为导向
随着科学技术的进步与人类活动能力的加强,现代社会面临着各种风险与安全问题。基于社会学的观察,现代社会已经进入了风险社会,呈现出高度分工与系统性运作的特征。由此,对于现代社会中风险与安全问题的治理,也应当针对引发该问题的每一个环节加以必要的规制,形成整体性的闭环规制框架。传统以结果为导向、以最后一个环节为治理重点的思路表现出规制的滞后性,无法实现良好的规制效果。由于风险与安全问题的不可控性与严重危害性,在整体的规制框架中,事前的预防性控制显得尤为重要。因此,“随着风险社会的来临,国家的任务被认为主要不是在侵害实际发生时进行制裁,而是在危险初露端倪时就能发现并通过预防措施加以遏制或去除,事后的制裁反而成为预防无效时才会动用的补充手段。”面对此种危险,各国刑事立法和刑法理论所采取的对策也主要是法益保护的早期化。作为规制性的工具,现代刑法的重要任务在于抑制风险与保障安全,其介入保护的时点也应当逐渐从法益侵害阶段前移至危险形成阶段。
近年来,以人脸识别为代表的生物识别技术取得了质的飞跃。最新研究显示,即使是动态人脸表情识别,准确度也可以达到90%左右。生物识别技术的高速发展催生了生物识别信息的广泛运用。而这种广泛运用一方面给社会生活带来了巨大便利,另一方面也制造了现代社会的风险与安全问题。然而,在我国现行刑法立法框架下,对于侵犯生物识别信息的相关行为,通常只有在造成具体法益侵害结果时方能受到刑法的有效规制。事实上,侵犯公民个人生物识别信息的行为不仅会造成信息主体的人格尊严与财产权利受到侵犯,还可能危及社会稳定与国家安全,导致潜在的危险发生,危害后果远远超出行为人可以预见与控制的范围。应当看到,强调事后惩治固然是遏制相关犯罪行为的有效手段,但正如前述,侵犯生物识别信息可能引起的人格权益、公共利益以及国家安全的损害,均难以通过带有明显滞后性的事后惩治措施予以补救。因此,针对非法使用生物识别信息的行为,恪守以结果为导向的制裁思路无法实现有效规制,应当转变思路,将刑法介入的时点提前至危险形成阶段,确立以预防为导向的基本立场。
四、生物识别信息刑法保护相关规定的完善
现行刑法与司法解释已经为生物识别信息的保护提供了一套较为完善的框架,但这一框架本身存在一定的不足,无法实现对生物识别信息的特殊保护。因此,有必要基于以人格权益为中心和以预防为导向的立场,完善有关个人信息犯罪“产业链”源头与尾端的现行刑法规定,同时通过立法进一步加强对个人信息犯罪“产业链”中间环节相关侵害行为的刑法规制,实现对生物识别信息安全全生命周期的覆盖。
一、明确生物识别信息在个人信息分类分级中的定位
以预防为导向的立场决定了刑法应当尽可能在个人信息犯罪“产业链”的源头打击非法获取与提供生物识别信息的行为,而现行有关侵犯公民个人信息罪的规定中未对生物识别信息予以明确归类,因此在刑法适用时显得极为尴尬。有必要尽快明确生物识别信息的定位,同时为侵犯生物识别信息的行为设立相对较低的入罪标准,从而实现对生物识别信息的特殊保护。
如前所述,公民个人信息种类繁多,不同信息背后所涉及的利益与价值难以等量齐观。与其他信息显著不同的是,生物识别信息具有唯一性的特征,本质上体现了个人的独特性与人格尊严价值,因而需要刑法加以特别保护。《解释》基于不同类型的个人信息,分别设置了“五十条以上”“五百条以上”“五千条以上”三种入罪数量标准。其中,“五十条以上”的入罪数量标准仅适用于“行踪轨迹信息、通信信息、征信信息、财产信息”四种信息;“五百条以上”的标准适用于“住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息”;而“五千条以上”的标准则适用于其他一般个人信息。至于生物识别信息,《解释》尚没有明确规定属于何种类型。
在笔者看来,《解释》对个人信息种类的细分思路值得商榷。一方面,通过《解释》对侵犯不同种类个人信息行为设置的不同入罪量刑标准可以看出,《解释》实际上将个人信息以涉及的行业或生活领域的不同作为细分标准。但是,由于个人信息权利属性和应用场景的多样性,相同信息完全可能涉及不同行业或生活领域。例如,在“刷脸付”盛行的今天,以人脸信息为代表的生物识别信息在一定的运用场景下可以被视为是公民个人的金融账号与密码,具有“财产信息”的属性。此外,生物识别信息也能够在一定程度上反映个人的健康生理状况,因此生物识别信息具有一定的“健康生理信息”属性。可以看到,诚然,生物识别信息在不同的应用场景下,可能表现为财产信息、健康生理信息等不同类别的高度敏感信息。但是,如果根据运用场景或领域的不同以界分个人信息的类别,将生物识别信息简单地归类于“财产信息”“健康生理信息”或“其他一般个人信息”等,不仅将会使得生物识别信息的定位模糊,还忽视了生物识别信息所涉及的复合利益与价值,无法突出对公民个人人格尊严权益的优位保护。另一方面,《解释》规定“五十条以上”的入罪数量标准仅适用于“行踪轨迹信息、通信信息、征信信息、财产信息”四种信息,且该条规定并未有兜底性的字眼。那么,是否就不存在与这四种信息重要程度相当的其他信息了呢?答案显然是否定的。如前所述,生物识别信息对于个人的重要程度并不低于这四种信息,却没有被列入其中。
有学者提出,恰当的分类方法应当是参照《个人信息保护法》的二分法,将个人信息区分为敏感个人信息和一般个人信息两种。笔者对此观点表示赞同。《个人信息保护法》第28条第1款规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”除此之外的个人信息都是一般个人信息。应当看到,《个人信息保护法》将对个人信息的保护层级同侵犯相关个人信息对公民人格尊严、人身、财产安全的侵害可能性相联系,将生物识别信息、医疗健康信息、金融账户信息等均定位为敏感个人信息,在实现对不同个人信息的精准归类的同时,又完全契合刑法对个人信息的保护要义。
因此,笔者认为,应当在《个人信息保护法》的二分法基础上适时出台相关司法解释,对刑法中的公民个人信息的分类作出相应调整,构建个人信息安全分类分级的刑法保护机制。在侵犯不同种类个人信息的入罪标准方面,可以参照现行《解释》,将侵犯公民敏感个人信息的起刑点设置为50条,将侵犯公民一般个人信息的起刑点设置为5 000条。当然,即使在敏感个人信息内部,不同的敏感个人信息关涉法益的重要程度也有所不同,可结合具体信息类型在50条的基础上对起刑点相应上调。按照这一思路,鉴于生物识别信息关涉公民个人人格尊严权益及其他复合利益,其理应属于最值得保护的敏感个人信息,故侵犯生物识别信息行为的起刑点应当设定在50条。
此外,对于“情节严重”的认定,《解释》第5条第1款第1项与第2项规定了关于信息用途的标准。对比发现,“行踪轨迹信息与一般的公民个人信息不同,是最有可能被犯罪分子利用从而威胁信息主体人身或财产安全的敏感信息,所以应认定其对于这种信息被他人用于犯罪具有概括的认识,无须再证明其‘知道或应当知道’他人利用该信息进行犯罪。”相较于行踪轨迹信息,生物识别信息对于信息主体更为敏感,也更加值得保护,所以从应然的角度出发,需要认为,出售或者提供生物识别信息的行为人主观上对该信息可能被用于犯罪也存在概括认识,无须再具体判断行为人主观上是否知道或者应当知道涉案信息被用于犯罪。因此,未来在制定新司法解释时,有必要在现有《解释》第5条第1款的基础上增加“生物识别信息”,实现对生物识别信息的刑法保护。
二、个人信息犯罪“产业链”尾端非法使用生物识别信息行为的入罪化
生物识别信息是公民的人体生理和行为特征信息,也是每个人独一无二身份的体现。可以说,个人信息犯罪“产业链”尾端环节中非法使用他人生物识别信息行为的危害本质就在于非法使用他人身份信息。2020年颁布的《民法典》从民事层面构建了个人信息民法保护的基本框架。《民法典》第111条规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”2021年颁布的《个人信息保护法》在《民法典》的基础上进一步深化了个人信息法律保护的细则。《个人信息保护法》第10条规定:“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。”可以看到,无论是《民法典》还是《个人信息保护法》,都严令禁止非法使用他人个人信息的行为。
根据前文所述以预防为导向的对生物识别信息的保护立场,非法使用生物识别信息行为应当受到刑法的规制。实际上,这一立场在一定程度上已经得到了《意见》的承认。《意见》第6条认为,非法使用他人相片(人脸)替换他人身份证件相片的行为属于伪造身份证件行为,而使用前述伪造身份证件的行为,以使用虚假身份证件罪追究刑事责任。应当看到,《意见》旨在对非法使用生物识别信息中的人脸信息的行为进行规制,但由于我国现行刑法条文中仅规定了使用虚假身份证件罪,故对非法使用人脸信息的规制无法绕开“身份证件”这一载体。正因为如此,《意见》将对身份证件信息(相片)的替换行为认定为对身份证件的伪造,继而将对该身份证件信息的后续利用行为认定为对伪造的身份证件的使用。在笔者看来,《意见》实际上是将“身份证件”的含义由传统的实体证件扩张至电子身份证件信息。当行为人并不存在替换身份证件相片行为,而是直接非法使用他人人脸信息时,此时并不存在“身份证件”这一载体,是否可以将该行为直接认定为使用虚假证件行为,是值得商榷的,更遑论生物识别信息不仅包括人脸信息,还包括指纹、虹膜等各种信息,明显超出了身份证件的语义范围。因此,非法使用生物识别信息的行为并不能当然以使用虚假身份证件、盗用身份证件罪加以论处。换言之,当前刑法对生物识别信息的非法使用行为尚不能有效地进行规制。刑法相关条文规定若仍然囿于《刑法修正案(七)》和《刑法修正案(九)》所规定的非法出售、提供、获取行为方式的固定框架,将可能陷入对包括生物识别信息在内的个人信息刑法保护不充分的困境。
应当看到,囿于立法者所处时代的局限性,过去的立法者受到立法背景、立法当时的社会客观条件以及人们思维认识等诸多限制,不可能预测到社会的情势变更以及随之出现的各种新兴犯罪行为。因此,以立法当下的社会现状为蓝本制定的刑事规范不可避免地具有滞后性,在面对当前有关生物识别信息的新兴犯罪时,难免“力有不逮”。在此基础上,笔者认为,有必要在保持刑事立法稳定性的基础上,进行一定程度的立法调整。具体而言,笔者建议,在《刑法》第253条之一侵犯公民个人信息罪的规定中增加非法使用公民个人信息的行为方式,以实现对非法使用包括生物识别信息在内的个人信息的刑法保护。
三、个人信息“犯罪产业链”中间环节侵犯生物识别信息行为的入罪化
在生物识别信息生命周期中的存储与删除环节,不应存储而非法存储、应当删除而不删除的非法留存行为具有与非法获取行为同等的社会危害性,但基于罪刑法定原则的要求,无法被纳入侵犯公民个人信息罪的规制范畴。
应当看到,公民个人信息被非法获取或提供给他人之后,极易引起不法分子的非法使用行为,由此导致公民个人人格权益、财产权益以及社会秩序遭到侵害。也就是说,一旦个人信息被非法获取或提供给他人,个人信息所涉及的个人权益与社会秩序都将处于一种危险状态之中。非法获取或提供行为的违法性本质在于,没有资格取得个人信息的主体取得了个人信息,从而使得个人信息所涉及的相关利益随时可能受到侵犯。与之相似的是,不应存储而非法存储、应当删除而不删除的非法留存行为同样也使不再具有控制资格的主体取得了对信息的持续性控制,进而使相关信息所涉及的个人权益与社会秩序随时可能受到侵犯。因此,基于实质考量,非法留存与非法获取行为在一定程度上具有同等的社会危害性。
但是,由于个人信息非有形的存在形态,对个人信息的获取行为本质上是“从无到有”(也包括“从明确到不明确”)、“从不知悉到知悉”的过程,而不应当存储而非法存储、应当删除而未删除的非法留存行为则表现为“知悉”状态的不当延续。虽然两者都体现了无权享有信息内容的主体对该信息内容保密状态的侵害,但无论是从一般人对“获取”这一词义理解的角度,还是从相关法律用语习惯的角度,对个人信息的非法留存显然属于个人信息获取后的狭义的处理行为,与信息获取分属不同的环节。在此意义上,将非法留存公民个人信息的行为实质认定为“以其他非法方法获取公民个人信息”进而以侵犯公民个人信息罪定罪处罚实有类推解释之嫌。因此,笔者认为,在未来的刑事立法过程中,可以考虑将对个人信息的“持有”型行为纳入侵犯公民个人信息罪的规制范围,以规范无权主体非法持有个人信息、有权主体超越权限非法留存个人信息等行为,从而实现对包括生物识别信息在内的个人信息非法留存行为的刑法规制。
与之不同的是,在生物识别信息生命周期中的存储环节,对于不按照规定形式存储信息的行为,则无法也无须被纳入侵犯公民个人信息罪中的规制范畴。不按照规定形式存储信息通常表现为信息控制主体没有采用加密等安全措施,或者没有将生物识别信息与其他信息分开存储。在此情形下,信息控制主体始终具有控制相关信息的资格。该主体的不当存储行为仅在一定程度上导致相关信息被他人非法取得的风险得以升高,而并没有造成信息为他人实际获取,也因此不会使相关信息所涉及的个人权益或社会秩序陷入危险状态。然而,如前所述,非法获取或提供行为的违法性本质在于没有资格取得个人信息的主体取得了个人信息,从而使得个人信息所涉及的相关利益随时可能受到侵犯。因此,从行为方式和行为效果上看,不按照规定存储生物识别信息的行为显然与非法获取或提供行为完全不同,前者在本质上尚不具有后者的违法性,我们无法也无须以侵犯公民个人信息罪追究行为人的刑事责任。
五、结语
当今世界,信息技术创新日新月异,以数字化、网络化、智能化为特征的信息化浪潮蓬勃兴起。随着社会信息化的深入发展,全球治理体系深刻变革,只有在信息化上占据制高点,才能够掌握先机、赢得未来。在此背景下,实现信息化领域的核心技术突破,促进信息资源的开发利用,成为我国科技竞争力领先于世界的关键。作为信息资源的一种,生物识别信息伴随着近年来信息技术的高速创新发展而得到了广泛运用,带来了巨大的商业价值与公共管理价值。然而,有别于其他信息资源,生物识别信息的唯一性决定了其关涉公民个人的人格尊严,因此应该得到国家与法律特别保护。我们欣喜地看到,各个地方已经意识到了这一问题,陆续出台相关条例禁止采集生物识别信息。例如,天津市2021年1月1日施行的《天津市社会信用条例》禁止市场信用信息提供单位采集生物识别信息;深圳市人大常委会2021年7月6日发布的《深圳经济特区数据条例》禁止app强制使用人脸识别。而在刑法领域,现行刑法保护的规定仍然相对滞后。只有坚持以人格权益为中心、以预防为导向的立场,完善有关个人信息犯罪“产业链”源头与尾端的现行刑法规定,同时加强对个人信息犯罪“产业链”中间环节相关侵害行为的刑法规制,实现对生物识别信息安全全生命周期的覆盖,才可在促进信息化发展的同时实现对生物识别信息的特别保护。