徐敬文

（安徽大學(xué) 安徽合肥 230601）

一、問(wèn)題的提出

進(jìn)入信息化時(shí)代，人臉識(shí)別技術(shù)飛速發(fā)展，被廣泛應(yīng)用于各個(gè)領(lǐng)域，給人們的生活帶來(lái)便利的同時(shí)，也產(chǎn)生了一系列社會(huì)問(wèn)題。由于缺乏法律規(guī)制及行業(yè)標(biāo)準(zhǔn)，目前人臉識(shí)別技術(shù)的應(yīng)用呈野蠻生長(zhǎng)的態(tài)勢(shì)。2021年央視315晚會(huì)就曝光了多家知名商戶(hù)未經(jīng)公民同意收集用戶(hù)的人臉信息，侵犯公民的個(gè)人信息權(quán)益。

人臉識(shí)別的廣泛應(yīng)用還催生了人臉識(shí)別黑色產(chǎn)業(yè)的泛濫。一些不法分子在QQ群及境外網(wǎng)站中販賣(mài)真人人臉識(shí)別視頻，這些包含身份證照片及點(diǎn)頭、搖頭、張嘴等動(dòng)作的視頻，能通過(guò)大多數(shù)App平臺(tái)驗(yàn)證流程，這為不法分子破解用戶(hù)賬戶(hù)密碼竊取財(cái)物創(chuàng)造了條件。人臉識(shí)別黑產(chǎn)的泛濫，不僅侵犯了公民的人身權(quán)益，也會(huì)侵犯公民的財(cái)產(chǎn)權(quán)益。

人臉識(shí)別廣泛應(yīng)用的負(fù)面效應(yīng)遠(yuǎn)不止于此，不法分子在獲取到人臉信息后通過(guò)深度偽造等技術(shù)制作虛假的視頻甚至?xí)：ι鐣?huì)公共利益。鑒于此，我國(guó)新出臺(tái)的《個(gè)人信息保護(hù)法》第二十六條對(duì)安裝人臉識(shí)別設(shè)備的條件及目的做出了規(guī)定；第二十八條規(guī)定將生物識(shí)別信息納入敏感個(gè)人信息范疇，實(shí)施特殊保護(hù)。刑法對(duì)此問(wèn)題也不應(yīng)無(wú)所作為。本文將通過(guò)對(duì)生物識(shí)別信息的屬性和特殊性以及刑法在生物識(shí)別信息保護(hù)上的不足進(jìn)行分析，進(jìn)而提出完善生物識(shí)別信息刑法保護(hù)的建議。

二、生物識(shí)別信息的屬性與特殊性

生物識(shí)別信息是指通過(guò)運(yùn)用科學(xué)技術(shù)手段對(duì)人的身體特征進(jìn)行數(shù)字化處理后得到的信息。[1]這類(lèi)數(shù)據(jù)生成了那個(gè)自然人的唯一標(biāo)識(shí)，包括人的指紋、虹膜、面部信息、聲音等信息。根據(jù)《個(gè)人信息保護(hù)法》第二十八條的規(guī)定，生物識(shí)別信息屬于敏感個(gè)人信息的范疇，較之于其他普通個(gè)人信息有其特殊性，具體而言包括：

第一，直接識(shí)別性。區(qū)別于如通訊信息、財(cái)產(chǎn)信息、行蹤軌跡信息等其他個(gè)人信息需要與其他信息相結(jié)合才能具體識(shí)別到個(gè)人身份，通過(guò)人臉識(shí)別信息等生物識(shí)別信息可以直接識(shí)別到個(gè)人，而無(wú)需結(jié)合其他信息。

第二，不可更改性。區(qū)別于其他個(gè)人信息可以通過(guò)一定方式予以變更，人臉、指紋等生物識(shí)別信息與生俱來(lái)，難以更改。

第三，損害不可逆性。生物識(shí)別信息與密碼都具有身份驗(yàn)證的功能，但密碼失竊可以通過(guò)更改密碼來(lái)阻止損失擴(kuò)大，而由于生物別信息的難以更改，一旦失竊造成的損失將不可逆。

第四，方便收集性。采集人臉，可使用攝像頭自動(dòng)抓拍，無(wú)需被采集者配合，只需個(gè)人從預(yù)先安裝的采集設(shè)備前通過(guò)即可。需要指出的是，許多人臉采集設(shè)施的外觀與攝像頭無(wú)異，普通人無(wú)法察覺(jué)，這更加大了個(gè)人保護(hù)其人臉信息免受非法采集的難度。

第五，不可匿名性。其他個(gè)人信息都可以通過(guò)去識(shí)別化來(lái)切斷采集的個(gè)人信息與具體個(gè)人之間的聯(lián)系，從而實(shí)現(xiàn)個(gè)人信息的匿名化。但是以人臉信息為代表的生物識(shí)別信息無(wú)法去識(shí)別化和匿名化。正因?yàn)榇耍镒R(shí)別信息的泄露會(huì)對(duì)個(gè)人造成更大的損害。

對(duì)于包含生物識(shí)別信息在內(nèi)的個(gè)人信息的權(quán)利屬性問(wèn)題，學(xué)界存在以下幾種學(xué)說(shuō)：(1)隱私權(quán)說(shuō)：“個(gè)人數(shù)據(jù)的保護(hù)主要是對(duì)數(shù)據(jù)主體隱私權(quán)的保護(hù)”。[2](2)財(cái)產(chǎn)權(quán)說(shuō)：進(jìn)入信息時(shí)代，個(gè)人信息因潛在的商業(yè)價(jià)值應(yīng)當(dāng)被賦予財(cái)產(chǎn)權(quán)保護(hù)[3](3)具體人格權(quán)說(shuō)：個(gè)人信息權(quán)就其主要內(nèi)容和特征而言，在民事權(quán)利體系中，應(yīng)當(dāng)屬于人格權(quán)的范疇。個(gè)人信息權(quán)應(yīng)當(dāng)作為一項(xiàng)獨(dú)立的權(quán)利來(lái)對(duì)待，此種權(quán)利常常被稱(chēng)為“信息自決權(quán)”。[4]在《民法典》頒布之前，可以說(shuō)各種學(xué)說(shuō)均具有一定的合理性，但《民法典》將個(gè)人信息明確規(guī)定在人格權(quán)編部分，可以認(rèn)為具體人格權(quán)說(shuō)得到了立法機(jī)關(guān)的肯定。筆者亦贊同具體人格權(quán)說(shuō)，將個(gè)人信息的權(quán)利屬性定位為具體人格權(quán)能夠?qū)崿F(xiàn)對(duì)個(gè)人信息的周延保護(hù)。

三、現(xiàn)行刑法規(guī)制體系的不足

（一）侵犯公民個(gè)人信息罪立法與司法解釋滯后

我國(guó)侵犯公民個(gè)人信息罪的立法及司法解釋對(duì)生物識(shí)別信息的保護(hù)存在缺陷。主要表現(xiàn)在：第一，兩高《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》（以下簡(jiǎn)稱(chēng)《解釋》）在定義個(gè)人信息時(shí)對(duì)個(gè)人信息的列舉未包括生物識(shí)別信息，容易導(dǎo)致司法實(shí)踐對(duì)生物識(shí)別信息保護(hù)的忽視。第二，侵犯公民個(gè)人信息罪的法條表述及司法解釋中缺少生物識(shí)別信息針對(duì)性的定罪量刑標(biāo)準(zhǔn)?！督忉尅返谖鍡l在對(duì)“情節(jié)嚴(yán)重”進(jìn)行解釋時(shí)，針對(duì)不同類(lèi)型個(gè)人信息設(shè)置入罪門(mén)檻時(shí)沒(méi)有涉及生物識(shí)別信息。有學(xué)者提出將生物識(shí)別信息列入第四款的“其他可能影響人身、財(cái)產(chǎn)安全的公民個(gè)人信息”或第五款的“除三四款外的其他個(gè)人信息”加以規(guī)制，問(wèn)題在于生物識(shí)別信息重要性程度遠(yuǎn)高于前款個(gè)人信息，入罪門(mén)檻及量刑卻等同于前款個(gè)人信息，這顯然無(wú)法是對(duì)生物識(shí)別信息特殊重要性的忽視，也與《個(gè)人信息保護(hù)法》對(duì)生物識(shí)別信息實(shí)施特殊保護(hù)的做法相悖。同時(shí)，兜底條款的適用在我國(guó)一直存在爭(zhēng)議，適用第十款的兜底條款來(lái)規(guī)制侵犯公民生物識(shí)別信息行為亦不妥當(dāng)。因此，根據(jù)當(dāng)前刑法及司法解釋的規(guī)定，無(wú)法對(duì)侵犯公民個(gè)人生物識(shí)別信息的行為進(jìn)行合理的定罪量刑。

（二）現(xiàn)有刑法體系無(wú)法有效規(guī)制非法使用公民生物識(shí)別信息行為

一直以來(lái)，刑法對(duì)個(gè)人信息犯罪的關(guān)注重點(diǎn)放在了非法獲取、出售和提供等流通性行為上，對(duì)非法使用這一行為類(lèi)型鮮有涉及。這導(dǎo)致現(xiàn)行刑法無(wú)法有效規(guī)制“合法獲取后非法使用”這一情形，具體而言：

首先，無(wú)法以侵犯公民個(gè)人信息罪規(guī)制非法使用公民生物識(shí)別信息的行為。障礙在于：第一，與現(xiàn)有法律及司法解釋規(guī)定相違背?！督忉尅穼⑶址腹駛€(gè)人信息罪的行為方式限定為非法獲取、出售和提供，以侵犯公民個(gè)人信息罪打擊非法使用個(gè)人生物識(shí)別信息行為有違罪刑法定原則，顯然并不可行。第二，非法使用公民生物識(shí)別信息行為侵犯的法益不僅包括個(gè)人法益，也包括超個(gè)人法益。而侵犯公民個(gè)人信息罪規(guī)定在刑法分則第四章侵犯公民人身權(quán)利、民主權(quán)利罪中，該罪主要保護(hù)的法益是公民個(gè)人法益。顯然，超個(gè)人法益不在侵犯公民個(gè)人信息罪的保護(hù)范疇之內(nèi)。

其次，以其他下游犯罪規(guī)制非法使用生物識(shí)別信息的刑法規(guī)制路徑亦不妥當(dāng)。在現(xiàn)行刑法體系下，由于無(wú)法以侵犯公民個(gè)人信息罪來(lái)打擊非法使用公民生物識(shí)別信息的行為，法官轉(zhuǎn)而以其他下游犯罪來(lái)打擊非法使用公民個(gè)人生物識(shí)別信息的行為。例如，使用他人面部信息破解他人賬戶(hù)盜取他人財(cái)物的行為可以以盜竊罪處罰；使用深度偽造技術(shù)制作虛假音視頻傳播虛假信息可以以傳播虛假信息罪處罰。綜合來(lái)看，現(xiàn)有刑法對(duì)非法使用公民個(gè)人信息的行為形成了看似相對(duì)較為嚴(yán)密的制裁體系。但這一體系存在以下問(wèn)題：第一，這種以下游犯罪規(guī)制非法使用公民生物識(shí)別信息的刑法制裁體系重事后懲罰輕事先預(yù)防，在當(dāng)今信息化時(shí)代具有滯后性，難以有效規(guī)制非法使用公民生物識(shí)別信息的行為。這體現(xiàn)在當(dāng)生物識(shí)別信息被用于危害國(guó)家安全、社會(huì)管理秩序時(shí)，其危害后果難以通過(guò)事后制裁加以補(bǔ)救。第二，這種規(guī)制路徑忽視了非法使用行為本身獨(dú)立的法益侵害性。以其他下游犯罪規(guī)制非法使用行為的規(guī)制路徑看似嚴(yán)密，但非法使用行為只有在符合其他下游犯罪的犯罪構(gòu)成要件，達(dá)到入罪標(biāo)準(zhǔn)時(shí)才能被定罪處罰。對(duì)于未達(dá)到其他罪名入罪標(biāo)準(zhǔn)的行為顯然無(wú)法予以打擊。正如學(xué)者所言：事實(shí)上，此類(lèi)犯罪其實(shí)是一種二階犯罪：被盜之物的損失遠(yuǎn)遠(yuǎn)低于由于盜竊該物而危及安全造成的損失。[5]

四、刑法規(guī)制體系的完善

通過(guò)上文對(duì)現(xiàn)行刑法在生物識(shí)別信息保護(hù)領(lǐng)域的不足的分析可以看到，現(xiàn)行刑法的主要問(wèn)題在于對(duì)缺乏對(duì)生物識(shí)別信息特殊性與重要性的認(rèn)識(shí)以及無(wú)法規(guī)制日益猖獗的非法使用公民生物識(shí)別信息的行為。針對(duì)這些問(wèn)題，筆者認(rèn)為可以通過(guò)以下途徑加以解決：

（一）完善侵犯公民個(gè)人信息罪相關(guān)條款

侵犯公民個(gè)人信息罪作為現(xiàn)行刑法體系下打擊個(gè)人信息犯罪最主要的罪名，在打擊涉生物識(shí)別信息犯罪方面力有不逮，為了應(yīng)對(duì)信息化時(shí)代侵犯公民生物識(shí)別信息案件頻發(fā)的情況，應(yīng)當(dāng)對(duì)該罪法律規(guī)定及司法解釋的相關(guān)條款進(jìn)行修改。

首先，《個(gè)人信息刑案司法解釋》在對(duì)個(gè)人信息的種類(lèi)進(jìn)行列舉時(shí)，應(yīng)當(dāng)將生物識(shí)別信息明確加以列舉，防止司法實(shí)踐中司法機(jī)關(guān)對(duì)生物識(shí)別信息保護(hù)的忽視。其次，要為侵犯公民生物識(shí)別信息行為設(shè)置單獨(dú)的定罪量刑標(biāo)準(zhǔn)。基于上文提到的生物識(shí)別信息的特殊性和重要性，筆者認(rèn)為應(yīng)當(dāng)為侵犯公民生物識(shí)別信息設(shè)置相對(duì)較低的入罪門(mén)檻或者相對(duì)較高的法定刑。具體而言，結(jié)合相關(guān)司法解釋的規(guī)定，可以將“非法獲取、出售、提供生物識(shí)別信息五條以上的” 認(rèn)定為刑法第二百五十三條之一規(guī)定的“情節(jié)嚴(yán)重”，以實(shí)現(xiàn)對(duì)于生物識(shí)別信息的特殊保護(hù)。

（二）增設(shè)非法使用公民個(gè)人信息罪

針對(duì)刑法對(duì)于非法使用個(gè)人信息行為的規(guī)制真空，筆者認(rèn)為可以通過(guò)增設(shè)非法使用公民個(gè)人信息的方式來(lái)嚴(yán)密刑事法網(wǎng)，實(shí)現(xiàn)生物識(shí)別信息的周延保護(hù)。通過(guò)對(duì)域外立法的考察可以看到，將非法使用他人個(gè)人信息單獨(dú)入罪的做法并不鮮見(jiàn)。例如，我國(guó)臺(tái)灣地區(qū)《個(gè)人資料保護(hù)法》便將違法利用個(gè)人資料的行為規(guī)定為犯罪。美國(guó)的《身份盜竊和冒用阻止法案》也規(guī)定未經(jīng)授權(quán)非法使用他人可識(shí)別信息的行為構(gòu)成犯罪。因此，從域外立法情況來(lái)看，將非法使用公民個(gè)人信息行為單獨(dú)入罪的路徑是可行的。

筆者認(rèn)為我國(guó)非法使用公民個(gè)人信息罪的法條可以表述為：“違反國(guó)家有關(guān)規(guī)定，未經(jīng)公民同意，非法使用公民個(gè)人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或拘役，并處或單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金?！痹谠鲈O(shè)非法使用公民個(gè)人信息罪后，應(yīng)當(dāng)通過(guò)司法解釋的形式對(duì)“非法使用”“情節(jié)嚴(yán)重”等進(jìn)行進(jìn)一步的解釋說(shuō)明，以指導(dǎo)司法實(shí)踐更好的應(yīng)用此罪名，實(shí)現(xiàn)公民個(gè)人信息的周延保護(hù)。同時(shí)，鑒于非法使用公民個(gè)人信息行為在法益侵害性上相較于非法獲取、出售、提供等行為的特殊性，司法解釋在對(duì)“情節(jié)嚴(yán)重”進(jìn)行解釋?zhuān)_定該罪入罪門(mén)檻時(shí)，可以采取兩種標(biāo)準(zhǔn)：一種是借鑒侵犯公民個(gè)人信息罪的形式，采集非法使用信息類(lèi)型加使用數(shù)量的形式設(shè)立入罪門(mén)檻；另一種可采取列舉非法使用公民個(gè)人信息給信息主體或社會(huì)秩序造成的損害的形式，例如竊取的財(cái)物數(shù)量、“身份盜竊”造成的損害等。在具體個(gè)案中，犯罪人的行為只要滿足其中一個(gè)標(biāo)準(zhǔn)就構(gòu)成非法使用公民個(gè)人信息罪。

（三）明確罪與非罪界限，充分發(fā)揮告知同意原則的出罪功能

在立法層面，刑法及相關(guān)司法解釋并未明確規(guī)定信息主體的同意能夠成為侵犯公民個(gè)人信息罪的出罪事由；在學(xué)術(shù)界，仍存在侵犯公民個(gè)人信息罪保護(hù)法益是個(gè)人法益還是超個(gè)人法益的辯論；司法實(shí)踐中也出現(xiàn)了被告人在獲得信息主體的明確同意的情況下仍被認(rèn)為構(gòu)成侵犯公民個(gè)人信息罪的案例出現(xiàn)?？梢钥吹?，我國(guó)刑法從理論到實(shí)務(wù)層面都未能對(duì)信息主體知情同意的出罪功能有統(tǒng)一正確的認(rèn)識(shí)。

“個(gè)人對(duì)自己的生活和身份擁有一定程度的自治和自決?！盵6]《個(gè)人信息保護(hù)法》第二十九條規(guī)定：處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。該條款明確了在取得信息主體的真實(shí)明確的同意的情況下處理包括公民生物識(shí)別信息在內(nèi)的敏感個(gè)人信息是合法的?！睹穹ǖ洹返谝磺Я闳鶙l亦明確將信息主體的知情同意規(guī)定為免責(zé)事由。在法秩序統(tǒng)一的背景下，刑法應(yīng)當(dāng)堅(jiān)守保障法的地位，前置法明確規(guī)定合理合法的行為，無(wú)論如何不能規(guī)定為犯罪行為。因此，應(yīng)當(dāng)肯定信息主體知情同意能夠成為個(gè)人信息犯罪的出罪事由。

筆者認(rèn)為，可通過(guò)修改侵犯公民個(gè)人信息罪的犯罪構(gòu)成要件，增加“未經(jīng)信息主體知情同意”這一情節(jié)。具體而言，可將侵犯公民個(gè)人信息罪的法條表述為：違反國(guó)家有關(guān)規(guī)定，未經(jīng)公民同意，向他人出售或者提供公民個(gè)人信息，情節(jié)嚴(yán)重的……這樣對(duì)于經(jīng)他人同意處理他人個(gè)人信息的行為，可以在構(gòu)成要件符合性層面就將其排除在犯罪圈外，能夠有效節(jié)約司法資源。