丁彩红
(安徽大学 法学院,安徽 合肥 230000)
自人类进入信息时代以来,数字经济快速发展,生物识别技术得到广泛应用。生物识别技术在带来高效、便捷生活的同时,随之而来的是对生物识别信息泄露、滥用等带来极大的风险。因此,需要进一步加强对生物识别信息的保护。生物识别技术引发了较多的违法犯罪现象,AI 换脸软件“ZAO”因其“换脸”操作简单、素材丰富、视频生成时间短等优点,在2019 年8 月末上线后引发了广泛的关注[1];人脸识别第一案郭兵诉杭州野生动物世界有限公司一案是全国第一起涉及人脸识别技术使用纠纷的民事案件[2];被窃取的公民个人信息经过加工、转卖,被大量用于诈骗、敲诈勒索、暴力追债等违法犯罪,特别是为诈骗分子实施精准诈骗提供了更加便利的条件,危害十分严重[3]。从生物识别信息的整体链条来看,在收集和储存这一环节可能发生泄露的情况,在流动和转移环节会出现不法分子的非法获取,生物识别信息被泄露或者非法获取后,进行非法处理,极易产生一系列的犯罪,不仅是对个人的财产、人身造成损害,严重的会危害国家、社会公共安全。生物识别信息相较于一般个人信息具有其特殊性,因而更容易引发风险。
2021 年施行的《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)对个人信息的保护进行了比较完善的规定,在刑法层面,并没有对生物识别信息予以明确的规定。《中华人民共和国刑法》(以下简称“刑法”)中规定了侵犯公民个人信息相关罪名,对生物识别信息这一整体概念并未明文规定,《刑法》司法解释亦未规定。在法秩序统一原理下,刑法应当与其他前置法相结合,无疑是公法和私法融合发展的法秩序一体化时代下[4]的新课题。大数据时代下,生物识别信息得到了更广泛的应用,应加快建设刑法保护体系,对生物识别信息的保护更加全面、更具有系统性。对生物识别信息这一特殊信息进行定罪量刑时,应在坚守刑法的根基和信仰下对其入罪标准进行考量,构建刑法对生物识别信息的体系化保护。
刑法作为法律保护的最后一道防线,在法秩序统一原理下,应与前置法规范结合,适用其规定及其规范目的。大数据时代背景下,个人信息尤其是生物识别信息的泄露以及非法利用等会造成一系列的危害结果。当前对生物识别信息的刑法特别保护的完善,应该是我们应对网络迅速发展带来一系列危害结果的解决方法,应将生物识别信息作为一个整体研究,现有研究侧重于对人脸识别这一种生物识别信息进行研究。基于以上原因,提出以下建议:首先,对生物识别信息的概念界定及其刑法保护的必要性进行分析;其次,对侵犯生物识别信息的犯罪行为以及犯罪主体进行规制;最后,衔接刑法与前置法的关系,寻求适合我国的刑法保护路径,构建具有中国特色的生物识别信息体系保护框架。
生物识别作为个人信息的一种,具有其自身的特殊性,其一旦遭受侵害或者泄露容易造成安全风险,会导致个人犯罪,严重的会危害民族安全、国家安全。
1.具有更强的隐私性。生物识别信息与个人的生理状况、面部特征等密切相关,不会因外在环境的改变而改变,一旦泄露可能将个人的全部情况予以曝光,极易引发犯罪,导致个人人格受损和经济损失。一般信息如收获地址、电话号码、姓名等,只是反应个人的碎片化的情况,这种信息一般都可以经本人同意,可以进行更改,私密程度较低,一旦泄露一般不会暴露个人的整体状况,对个人而言甚至没有任何影响。
2.具有唯一性。生物识别信息对于个人是独一无二的存在,每一个人基因、指纹、虹膜等都不相同。生命体的生物特征体现的是个人的生物符号而非社会符号[5]。生物符号是由生命体的生理特征(基因、虹膜、人脸等)或者行为特征(步态、声音等)构成,生物识别信息是由生命体的特征构成的个人信息,因此它具有唯一性,很难丢失或者伪造。不像家庭住址、手机号码可以更改或者替换。
3.具有稳定性。生物识别信息由生命体的生理特征和行为特征构成,一般不会改变,但整容或者进行眼睛的外科手术等除外。生物识别信息一经泄露,被不法分子利用从而进行犯罪行为,这种损害是不可逆的,事后无法弥补。因生命体具有遗传稳定性,自身一般不会因外界环境而轻易改变,因此其生物识别信息具有稳定性。
4.侵犯客体具有复合性。侵犯公民一般个人信息的客体是个人权益,一般是指公民个人人身安全。但由于生物识别信息自身的特殊性,不仅侵犯了公民人身安全的客体,严重的还会侵犯社会秩序、公共安全和国家安全等。在国外网络中曾经流传过一段美国前总统奥巴马严厉抨击现总统特朗普的视频,这一视频由电影制作人皮尔表演,通过软件将声音和视频合成[6]。这一对人脸以及声音进行技术合成的行为,极易引发社会风险,给公共安全或者国家安全造成危害后果。对这一生物识别信息进行伪造,尤其是对特殊的对象进行生物识别信息的伪造,造成的后果是很严重的。
5.具有双重价值。生物识别信息与信息主体之间的关系更加紧密,与其关联也更为多元。相较于一般个人信息体现价值仅表现为个人价值,生物识别信息在社会系统下的价值,不仅仅体现在其个人价值,更多的表现为社会价值,公共秩序的价值,为了国家利益或者公共秩序,可能会让渡自己的个人价值。生物识别信息的社会价值主要体现在被医疗、政务、教育利用过程中促进社会发展的工具价值。
在人工智能大环境下,生物识别技术得到广泛应用,侵害生物识别信息的风险也随之而来。监管不利则容易引发风险,同理对其他生物识别信息也是如此。前置性非法获取、提供生物识别信息带来了一定的风险,对获取的生物识别信息的滥用以及生物识别信息经传播后带来的下游犯罪的风险更是难以避免。
1.窃取或者以其他方式非法获取行为引发个人信息泄露风险。网络迅速发展的当代,生物识别技术也被广泛应用到很多领域,数据安防的技术尚不成熟,无法及时有效防范黑客的攻击,导致个人生物识别信息泄露。生物识别信息具有极大的商业价值,当其流入到市面上,极易引发犯罪风险。
2.滥用行为引发风险。《刑法》中规定的侵犯公民个人信息罪中,侵犯行为并没有包括滥用行为。这种行为不仅可能导致财产损失,还可能导致公共安全以及国家安全的风险。例如,杨建青诈骗案中,利用制作的人脸动图通过人脸识别认证的方式诈骗京东公司①。上文中提到的美国前总统奥巴马批评特朗普的视频,正是对生物识别信息的滥用。利用AI换脸技术冒充他人,进而进行诈骗或者盗窃行为。人工智能时代,滥用他人信息的现象非常普遍。
3.获取的生物识别信息进行传播后容易导致犯罪行为。生物识别信息与人身具有极强的依附性以及敏感性,被非法分子利用极易导致犯罪。个人生物识别信息被获取后,引发下游犯罪,常见的有帮助信息网络犯罪活动罪、破坏计算机信息系统罪等,生物识别信息反映了个人的生理以及外貌等特征,如果被国外的不法分子所利用,造成的损失可想而知。
对生物识别信息的刑法保护,现行刑法基本没有明文规定,相较于其他前置法而言,是相对滞后的,无法抵抗数字化时代带来的风险。
最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“解释”)的第5条提到,出售或者提供行踪轨迹信息,被他人用于犯罪的;非法获取、出售或者提供行踪轨迹信息50条以上的;非法获取或者提供健康生理信息500 条以上的,属于情节严重。《个人信息保护法》第23 条中规定,敏感个人信息包括生物识别、宗教信仰、医疗健康、行踪轨迹等信息。以上法律并没有规定生物识别信息的内涵与外延,在以上规定中无法确定生物识别信息和健康生理信息是否等同。我国对生物识别信息的概念没有统一的规定,在国家标准或者司法解释中有此概念。例如,国家标准化管理委员会2020年发布的《信息安全技术个人信息安全规范》列举了“个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等”,但未说明所谓生物识别信息[7]。显然以上规定在司法实践中,司法主体在认定中缺乏明确的依据,面临无法可依的困境。
现有罪名对侵犯公民个人信息行为的刑罚,主要规定在侵犯公民个人信息罪这一罪名中。此罪名主要是对其中的一个环节进行打击,而无法保护生物识别信息的整体链条。而对于个人信息的整体保护,应当是对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等整个过程的保护,本罪名无法保护所有行为类型。合法获取生物识别信息后非法利用、非法删除等行为并不包含在内。侵犯公民个人信息罪侵犯的权益为公民个人的人身和财产权益,但侵犯生物识别信息不仅仅是对个人人身和财产权益的侵犯,还包括社会管理秩序、国家安全等,因此,侵犯公民个人生物识别信息还可能构成与危害国家安全的相关罪名。公民个人信息的处理是一个链条化的过程,包括采集、存储、加工、使用、删除等环节,而在医疗或者政务领域,生物识别信息的收集者或者存储者,在工作中玩忽职守等怠慢或者错误履职,可能构成职务犯罪。因此,对于生物识别信息的收集者、储存者的不当行为应纳入刑法规制。
生物识别信息刑法的保护相较于前置法是滞后的,因为刑法和司法解释中皆没有生物识别信息整体概念的明文规定,当前在《中华人民共和国民法典》《个人信息保护法》《中华人民共和国网络安全法》等法律法规中,对生物识别信息的保护进行了明确规定,虽然在一些方面不够全面,但相较于刑法是比较有先见性的。现有规定对生物识别信息的保护缺乏刑事的强制力和针对性的保护,无法全面对生物识别信息进行体系化的保护。刑法保护的滞后,造成刑法与前置法以及其他法律规范之间的脱节,这一现状可能导致对生物识别信息的链条化和体系化保护不完整,保护的效果也可能相对减弱。国外对生物识别信息的保护更全面,并具有针对性。主要有两种保护模式:一种以美国伊诺州《生物特征信息隐私法》为代表的专门立法保护模式,这一立法表明对于生物识别信息的重视程度;另一种保护模式是以欧盟《一般数据保护条例》为代表的统一立法保护模式,这一模式在各个国家比较普遍。我国应将刑法与其前置法衔接好,构建体系化链条化的保护框架。
在大数据时代,信息交流几乎无处不在。相较于数据的流动速度以及广度,信息的对应保护是比较欠缺的。法律本身具有滞后性,加上立法应当具有稳定性的特征,不轻易改动。尤其是对于生物识别信息的保护,还缺乏刑法上的明确规定。应以刑法第253 条侵犯个人信息罪为基础,完善刑法保护框架。当前对生物识别信息的刑法保护存在犯罪化不足的问题,主要表现在未将滥用行为纳入刑法处罚范围,对数据泄露行为主体缺乏刑法层面的规制。侵犯公民个人生物识别信息极易发生人身或者财产损失,泄露或者滥用都极易引起风险。大数据时代,数据刑法的保护不仅仅是对侵害行为发生时进行惩罚,而应在数据泄露或者滥用具有风险时,就应当进行遏制。尤其对于生物识别信息这一敏感程度极高的信息,事前的预防可能更为重要,也是刑法规制的重要考量。刑法不仅惩罚事后犯罪,事前的预防也是非常重要的,应做好刑法与前置法的衔接。
将生物识别信息明确规定为敏感个人信息,是在《个人信息保护法》中,除此之外还列举了医疗健康、行踪轨迹等信息为敏感个人信息。应将“生物识别信息”定义为:通过特定技术对自然人不可变的身体、生理或行为等独特生物特征进行处理所得到的,单独、相互结合或与其他可识别信息结合以确认自然人身份的信息[8]。根据以上规定,可以确定生物识别信息属于个人信息,对个人有极强的人生依附性,一旦侵犯极易造成个人信息以及财产等安全风险。根据生物识别信息的特殊性,应当将生物识别信息归于《解释》第5条第1款第一项中,与对于行踪轨迹信息为同一保护阶梯。对第5 条第三项非法获取、出售或者提供行踪轨迹、健康生理信息等这一项,起刑点为50条。一旦被侵犯造成人身或者财产损失,将生物识别信息归入此项符合刑法保护的目的。在《解释》中司法机关将个人信息进行了不同的划分,主要是根据信息的敏感程度,对个人人身依赖性以及侵犯信息引发的风险不同。将生物识别信息列在第一个分类,与行踪轨迹信息为保护的同一等级。这一规定也起到了对生物识别信息的整体保护,一定程度上避免了司法机关处理相关案件无法可依的局面。非法获取、出售或者提供50条生物识别信息就属于情节严重。法秩序统一原理的真正含义不是法规范之间形式上的一致性,而是在目的层面的统一,法规范之间不存在内部的、根本的矛盾。根据法秩序统一原理,这一分类并没有违反《个人信息保护法》中的二分法。
1.将滥用生物识别信息行为纳入刑法规制。在数字化时代,生物识别信息被广泛应用于不同的主体,其面临的危险不仅是在个人信息链条的中间转移环节,收集、获取后的滥用行为也同等重要。个人信息的流转主要发生在个人信息违法犯罪链的上游和中游,主要变现在获取和售卖的阶段,但是对个人信息的滥用,尤其是对生物识别信息的滥用,并从中获取利益,才是个人信息犯罪灰黑产业链最终落脚点。将个人信息滥用行为规制在刑法中,才能对个人信息进行链条化保护,并且可以有效打击犯罪。对于滥用行为刑法规制的路径主要是刑法立法,可以在刑法第253条之一中,增加滥用公民个人信息这一行为,以实现对公民个人生物识别信息的保护,为了保障刑法的稳定性,不再单独设立罪名,对于滥用一词的内涵和外延进行界定。“滥用”是指在生物识别信息的处理过程中,没有得到信息主体的同意(包括首次同意以及二次利用时的同意)而非法使用生物识别信息的行为。此处的滥用包括对个人生物识别合法获取后的非法使用,生物识别处理应当参考《个人信息保护法》第4条,包括个人信息的收集、储存、使用、传输、提供、删除等。非法使用参考《个人信息保护法》对于敏感个人信息处理规则,处理敏感个人信息需要征得个人单独同意,且只有在特定的目的和充分的必要性时才可以处理,这是由敏感个人信息自身特征决定的。刑法及其司法解释中,未对生物识别信息进行明确规定,《解释》中对侵犯公民个人信息分为三类,对其量刑起刑点有三个等级。
2.扩大刑事责任主体范围。从风险分配合理化的角度分析,生物识别信息泄露行为与滥用行为同等重要,现行法律对于泄露行为主体的处罚主要是行政处罚,且基本是财产处罚,处罚力度较小,对犯罪分子起不到震慑作用。泄露分为内部泄露和外部泄露,内部泄露主要是指信息主体的控制者和管理者泄露,外部泄露一般是指黑客的攻击,造成数据泄露,此处扩大处罚的主体是指前者。公民个人信息尤其是生物识别信息的泄露具有被动性,泄露的主体主要是生物识别信息的管理者以及控制者,一般都是金融、医疗、教育等领域,相对于泄露方,受害方一般是弱势群体,在生物识别技术广泛应用的今天,生物识别信息具有唯一性,一旦泄露将会产生极大的风险,因此对于生物识别信息的安全而言,泄露行为主体,一般是指数据收集后的管理者、储存者,也应当纳入刑法规制,对于这一特殊的信息,进行事前的规制是很重要且有必要的。
侵犯个人信息的行为主要由侵犯公民个人信息罪来规制。由于刑法具有谦抑性以及刑法作为惩罚犯罪的最后一道防线,其处罚行为类型的扩大中,应贯彻一个基本思想就是“严而不厉”。在对处罚类型进行扩大的同时,仍要设置与其行为类型相适应的量刑标准和不法程度的起刑点,对于情节较重或者情节特别严重的行为才予以刑事处罚。应当做好行刑衔接和民刑衔接,做好与前置法行政法和民法的体系化保护结构。对于情节较轻的行为,主要通过行政处罚以及民事侵权进行规制。最高检察院发布八起个人信息保护检察公益诉讼典型案例,其中两起与地方行政机关密切相关。一起是长沙市望城区卫生健康局推动数字门诊建设时,医疗机构存在过度收集个人生物识别信息等情况。违规收集、使用指纹、人脸识别等生物识别信息的事件常有。对于这一种常见违规的行为,行政机关对其加大监管力度,目的是为了保护生物识别信息不被违规收集、使用。对于履行、收集、储存等职责部门的工作人员玩忽职守、滥用职权等行为,构成职务违法犯罪的应及时向监察部门移送,以便对潜在的犯罪嫌疑人达到震慑的作用。对生物识别信息整体保护框架的协调,衔接好刑法与前置法之间的规定,避免对侵犯公民个人信息罪犯罪行为的不当扩张,避免罪责刑不相适应等情形。在网络发达的今天,社会交往特性决定了应树立多元共治的理念与举措,刑法只是其中一种治理手段而不是唯一的手段,前置法民法、行政法等是更前沿的治理方式。衔接好与前置法的规范是对其一体化、链条化保护至关重要的。
在当今大数据时代,对个人生物识别信息的处理主要存在于行政管理、商业营利及公共服务中。生物识别信息被广泛应用,带来了巨大的商业价值和公共管理价值。但也会带来巨大的风险,最终导致犯罪,利益与风险往往是共生的。因此,对生物识别信息的保护不仅要进行事后保护,也要进行事前预防。例如,《个人细信息保护法》将生物识别信息划分为敏感个人信息,进行更加严格的保护。四川省2023 年1 月1 日实施的《四川省数据条例》严格限制个人生物识别信息收集,《广东省社会信用条例》明确禁止商家采集自然人的生物识别信息。因此,刑法应当通过法律解释合理地将个人生物识别信息纳入刑法规制,并且将滥用行为入罪化。同时应当衔接好刑法与前置法的关系,不能过于扩大刑法处罚范围,保持刑法的谦抑性,在法秩序统一原理的背景下,构建生物识别信息体系化保护和链条化保护框架。
注释:
①参见广东省广州市海珠区人民法院(2021)粤0105刑初292号刑事判决书。