徐韓榆

(浙江工商大學(xué)法學(xué)院，浙江 杭州 310018)

0 引言

從刑法和司法解釋角度明確人臉識別信息犯罪內(nèi)容對保護(hù)公民個人信息安全、遏制人臉識別信息犯罪的蔓延以及打擊相關(guān)黑色產(chǎn)業(yè)鏈具有重要意義[1]。首先，從犯罪成本的角度來看，人臉識別技術(shù)的應(yīng)用越來越廣泛，導(dǎo)致非法獲取和使用人臉識別信息的行為增多。其次，隨著人臉識別技術(shù)的普及，非法采集、出售、購買人臉識別信息的黑色產(chǎn)業(yè)鏈也日益成熟，加劇了人臉識別信息泄露和濫用的風(fēng)險，加大了打擊這類犯罪的難度。最后，一旦人臉識別信息被非法獲取并濫用，個人隱私和信息安全將面臨極大的風(fēng)險。犯罪分子可能會利用這些信息進(jìn)行身份冒用、詐騙等犯罪行為，給個人和社會帶來嚴(yán)重危害。因此，需要從刑法和司法解釋角度明確相關(guān)犯罪內(nèi)容，加大對非法采集人臉識別信息的打擊力度，保護(hù)公民個人隱私和信息安全。

隨著人臉識別信息的應(yīng)用場景不斷擴(kuò)展，我國現(xiàn)行的法律體系也在不斷完善關(guān)于人臉識別信息的相關(guān)條款。目前，在《中華人民共和國民法典》《中華人民共和國個人信息保護(hù)法》《中華人民共和國網(wǎng)絡(luò)安全法》中，人臉識別信息被納入法律保護(hù)范圍。但遺憾的是，在刑法中還未界定人臉識別信息的內(nèi)涵，也并未明確規(guī)定要保護(hù)人臉識別信息，這說明刑法在生物識別信息管理中還有一定缺位[2]。因此，本文從入罪界限、規(guī)制行為類型、刑事責(zé)任追究等角度論述了大數(shù)據(jù)時代人臉識別信息的刑法保護(hù)困境，并基于上述問題提出了完善人臉識別信息刑法保護(hù)的對策建議，以期為健全和完善人臉識別信息的法律體系做出有益探索。

1 大數(shù)據(jù)時代人臉識別信息的刑法保護(hù)困境

人臉識別技術(shù)的廣泛應(yīng)用，尤其在安保、支付、社交網(wǎng)站等方面，極大地方便了社會管理和個人生活。然而，這項(xiàng)技術(shù)的快速發(fā)展和普及也帶來了風(fēng)險和挑戰(zhàn)，特別是對個人隱私權(quán)的潛在威脅。隨著技術(shù)的發(fā)展和應(yīng)用，個人信息的收集和使用已超越了傳統(tǒng)的私人領(lǐng)域界限，變得更加廣泛和深入。這不僅僅是單一主體的行為，而是一個涉及多方參與者的復(fù)雜生態(tài)系統(tǒng)，包括信息的原始提供者、技術(shù)服務(wù)提供商、第三方應(yīng)用和數(shù)據(jù)分析公司等。在這個過程中，個人信息可能被反復(fù)使用、共享或交易，而信息流通的每一個環(huán)節(jié)都可能成為信息泄露的潛在風(fēng)險點(diǎn)[3]。

1.1 人臉識別信息的入罪界限模糊

人臉識別信息作為一種敏感的個人數(shù)據(jù)，在現(xiàn)代社會的信息保護(hù)法律中應(yīng)有明確的界定。但從《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)來看，在多個關(guān)鍵方面缺乏具體指導(dǎo)，導(dǎo)致了人臉識別信息的入罪界限模糊不清。首先，人臉識別信息未在《解釋》中明確被列舉，這遺漏了一個不斷增長并被廣泛使用的個人信息種類，難以為針對其侵權(quán)行為的量刑提供明確規(guī)范。人臉信息不僅涉及個體的健康生理特征，更有可能關(guān)聯(lián)到個體的安全、隱私和經(jīng)濟(jì)利益，從而該信息的濫用和泄露潛在的危害極大。其次，對《解釋》中提到的“違反國家有關(guān)規(guī)定”的解釋范圍，是否應(yīng)包含各類部門規(guī)章和地方性法規(guī)，存在法律實(shí)踐中的不同理解。缺乏對是否涵蓋各類規(guī)章的明確說明，不僅可能導(dǎo)致執(zhí)法不統(tǒng)一，也為對人臉識別信息侵犯行為的定罪設(shè)下障礙。再次，當(dāng)前法律未明確知情同意在人臉識別信息處理中能否充作阻卻犯罪的事由，這在實(shí)際應(yīng)用中可能被濫用，成為信息處理者牽制法律干預(yù)、規(guī)避法律責(zé)任的工具。如果信息處理者可以僅憑獲取表面的知情同意就豁免其對人臉識別信息的非法處理，這將嚴(yán)重削弱個人信息保護(hù)法律的實(shí)效性[4]。最后，對人臉識別信息“情節(jié)嚴(yán)重”的數(shù)量標(biāo)準(zhǔn)亦未明確，現(xiàn)行《解釋》第5條的規(guī)定明確了其他類型信息的數(shù)量標(biāo)準(zhǔn)，但未針對人臉識別信息設(shè)立特殊考量。由于人臉信息的敏感性，即使是低于5000條的數(shù)量，也可能已經(jīng)對個人的安全與隱私構(gòu)成了重大威脅。缺乏對數(shù)量標(biāo)準(zhǔn)的特別考慮，可能導(dǎo)致對信息泄露后果的低估，以及對侵權(quán)行為的輕罰。以上四個方面的模糊性共同作用，使得法律實(shí)踐中如何界定人臉識別信息的非法處理構(gòu)成犯罪方面缺乏足夠清晰的指引，這不利于社會對人臉識別信息的嚴(yán)格保護(hù)，并可能削弱公民個人信息安全的法律保障。

1.2 侵犯公民個人信息罪規(guī)制的行為類型不全面

在當(dāng)前日益發(fā)展的信息社會中，公民個人信息的安全問題愈發(fā)受到廣泛關(guān)注。刑法對非法獲取公民個人信息的行為設(shè)立了明確的罪責(zé)，然而，從整個信息利用的流程來看，刑法規(guī)制的行為類型并不全面。主要體現(xiàn)在以下三個方面：首先，針對合法獲取后的非法使用行為，刑法缺乏應(yīng)有的規(guī)制。互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展和普及使得公民越來越便利地分享個人信息，但并不意味著他們放棄了對這些信息的保護(hù)。一旦合法獲取的信息被用于非法用途，如營銷騷擾、詐騙等，就會對公民個人的隱私權(quán)和財(cái)產(chǎn)安全造成傷害。當(dāng)前刑法對此類行為的規(guī)制不足，無法很好地打擊和震懾非法使用個人信息的行為，這在一定程度上有悖于個人信息保護(hù)的立法初衷和法律精神。其次，當(dāng)前刑法對不當(dāng)泄露信息行為的規(guī)制也顯得力不從心。實(shí)踐中，許多信息處理者在必要的場景中迫于商業(yè)利益采用人臉識別等方式搜集公民個人信息，并未做出足夠的安全保障，導(dǎo)致信息泄露的風(fēng)險日益增加?！秱€人信息保護(hù)法》提出了對敏感個人信息的保護(hù)責(zé)任，但若只停留在行政調(diào)控層面，則難以應(yīng)對那些由于管理疏忽或技術(shù)缺陷導(dǎo)致的不當(dāng)泄露行為[5]。相應(yīng)地，刑法若能明確規(guī)制此類行為，將更有效地強(qiáng)化信息處理者的保護(hù)義務(wù)和防范措施，提升個人信息整體的安全性。最后，對非法持有信息行為的規(guī)制同樣缺失。一旦信息處理者失去持續(xù)持有個人信息的法律依據(jù)，其本應(yīng)按法律規(guī)定刪除或停止使用該信息。然而，在缺乏刑法明文規(guī)定的情況下，即使信息處理者在不應(yīng)繼續(xù)持有個人信息的情況下仍舊擁有這些數(shù)據(jù)，依然沒有足夠的法律風(fēng)險。這種非法持有行為可能隨時危及信息主體的個人權(quán)益，使得公民長期處于潛在的侵權(quán)風(fēng)險之中，影響其正常生活。由此可見，在當(dāng)前信息技術(shù)日益先進(jìn)且深入生活的背景下，刑法對侵犯公民個人信息罪的規(guī)制確實(shí)存在不全面的問題。缺乏對合法獲取后非法使用、不當(dāng)泄露行為及非法持有信息行為的全面規(guī)制，不僅對個體權(quán)益的保護(hù)力度不夠，也削弱了整個社會對信息安全和隱私保護(hù)的信心。

1.3 刑事責(zé)任追究情況難以達(dá)到保護(hù)目的

刑事責(zé)任追究在保護(hù)公民個人信息，特別是人臉識別信息領(lǐng)域的有效性存在一定的不足。首先，量刑情節(jié)設(shè)置較為單一。刑法對侵犯公民個人信息罪的犯罪主體僅設(shè)置了“犯罪主體特殊身份”這一量刑從重情節(jié)，而實(shí)際情況遠(yuǎn)比這更為復(fù)雜。信息的非法侵犯涉及不同主體和行為模式，個案之間存在較大差異。一些主體可能會隱藏自身特殊身份的同時，利用這些身份帶來的優(yōu)勢進(jìn)行侵犯行為。這種情況下，簡單的量刑情節(jié)難以涵蓋所有可能的變量情形，不足以實(shí)現(xiàn)信息利用與保護(hù)之間的平衡，也難以發(fā)揮足夠的規(guī)制作用，保護(hù)受害人的權(quán)益。其次，司法實(shí)踐中量刑普遍過輕。雖然刑法規(guī)定的量刑幅度并不算低，但司法審判實(shí)踐中往往出現(xiàn)實(shí)際判決過輕的現(xiàn)象。這可能源于司法人員主觀上對侵犯公民個人信息罪的獨(dú)立危害性認(rèn)識不足，未能準(zhǔn)確地評估和預(yù)期泄露人臉識別等敏感個人信息可能導(dǎo)致的法益侵害。這種偏差可能源自對下游電信網(wǎng)絡(luò)詐騙等后續(xù)犯罪行為關(guān)注過多，而對個人信息侵犯本身的重視不足。最后，罰金刑的適用存在不足。罰金刑作為對侵犯公民個人信息罪的一種懲罰方式，根據(jù)《解釋》第12條需要基于違法所得來確定數(shù)額。然而，在司法實(shí)踐中查明違法所得往往存在困難，特別是行為人侵犯信息不是出于經(jīng)濟(jì)利益，或者違法所得難以精確計(jì)算時，罰金刑難以適用[6]。這種情況下，法律未能提供足夠的操作空間來應(yīng)對，導(dǎo)致了法律在實(shí)際應(yīng)用中的權(quán)威性下降，無法有效地對潛在的違法者產(chǎn)生威懾效果，或?qū)ι鐣娖鸬綉?yīng)有的指引作用。

2 大數(shù)據(jù)時代人臉識別信息刑法保護(hù)的完善建議

2.1 明確人臉識別信息的入罪界限

針對當(dāng)前對人臉識別信息刑法保護(hù)不足的問題，建議首要任務(wù)是明確將人臉識別信息列入刑法保護(hù)的個人信息類型。刑法應(yīng)適時修訂，增加關(guān)于人臉識別技術(shù)所涉及的個人信息的專門條款，并明確列舉此類信息，以確保法律對其給予足夠的重視和保護(hù)。同時，應(yīng)通過具體的配套法律文件定義人臉識別信息侵犯犯罪的前置法范圍，明確其法律界限和依賴的具體法律、行政法規(guī)和部門規(guī)章。此外，應(yīng)在法律中細(xì)化并強(qiáng)調(diào)有效的知情同意的要素，如信息主體的明確意志表示、對信息用途的具體說明以及同意的自由撤回等，以防止知情同意成為法律責(zé)任的漏洞。對“情節(jié)嚴(yán)重”的界定，需要結(jié)合人臉識別信息的危害性和對個人隱私的影響，制定合理的數(shù)量標(biāo)準(zhǔn)和相關(guān)的評估指標(biāo)。考慮到人臉識別信息與個人身份密切相關(guān)，對隱私權(quán)和個人安全的侵害可能性較大，相比其他類型的個人信息，人臉識別信息應(yīng)當(dāng)適用更為嚴(yán)格的評判標(biāo)準(zhǔn)和更高的法律保護(hù)級別。在定罪量刑時，法官應(yīng)依據(jù)這些標(biāo)準(zhǔn)進(jìn)行單獨(dú)評價，避免一概而論，確保刑罰的準(zhǔn)確性和公正性。最后，刑法的不斷完善和更新應(yīng)與時俱進(jìn)，法律條文應(yīng)具備一定的彈性，允許法院根據(jù)信息科技的快速發(fā)展及其在社會生活中的具體應(yīng)用場景，動態(tài)地判斷個人信息的合理利用和法律保護(hù)的范圍。如此方能確保人臉識別信息在日益增長的數(shù)據(jù)安全和隱私保護(hù)需求中得到充分而有效的法律保護(hù)。

2.2 增加侵犯個人信息犯罪的行為類型

首先，健全對合法獲取后非法使用行為的規(guī)制，明確規(guī)定合法獲取的個人信息若被用于未經(jīng)授權(quán)的目的即構(gòu)成違法，哪怕原獲取行為是在合法的前提下進(jìn)行的。同時指明非法使用的范圍，包括未經(jīng)同意的營銷、信息倒賣、身份冒用等。建立信息流轉(zhuǎn)記錄和追蹤體系，對合法獲取信息的實(shí)體，應(yīng)承擔(dān)保護(hù)信息不被非法使用的責(zé)任，一旦發(fā)生濫用，可追溯至原信息處理者。為信息主體提供更明確和詳細(xì)的知情選擇，強(qiáng)化同意撤回機(jī)制，包括對已授予的信息使用同意可隨時撤回，且信息處理者應(yīng)當(dāng)及時響應(yīng)。其次，增加對不當(dāng)泄露行為的規(guī)制，明確信息處理者的信息安全管理標(biāo)準(zhǔn)，包括加強(qiáng)內(nèi)部控制、防泄漏技術(shù)措施以及定期的安全評估和培訓(xùn)等。一旦發(fā)生個人信息的泄露，應(yīng)立即啟動事故應(yīng)急預(yù)案，及時公告泄漏情況，采取措施限制損害，同時對受影響主體進(jìn)行補(bǔ)償。構(gòu)建多方參與的監(jiān)督體系，包括政府監(jiān)管、第三方審計(jì)、用戶評價等，形成對信息處理者的泄露行為的有效監(jiān)督，以防止信息的不當(dāng)流出。最后，增加對非法持有行為的規(guī)制，明確持有個人信息的法律基礎(chǔ)和時限，規(guī)定信息持有的合法條件，如合同約定、法律授權(quán)等，并明確持有的時間限制，超出期限或條件的持有即視為非法。加強(qiáng)個人信息刪除機(jī)制，制定明確的信息刪除原則和流程，要求在規(guī)定的情況下(如撤回同意、合同結(jié)束等)，信息處理者必須刪除相關(guān)數(shù)據(jù)。實(shí)施持有登記制度，建議信息持有者進(jìn)行登記，詳細(xì)記錄持有信息的類型、數(shù)量和用途，以供日后核查和監(jiān)督。

2.3 明確涉人臉識別信息犯罪競合的處理

在大數(shù)據(jù)的時代背景下，人臉識別信息犯罪呈現(xiàn)多樣性和復(fù)雜性，對犯罪競合的處理尤其需要在刑法體系中予以明確。第一，需要在立法層面上進(jìn)一步明確人臉識別信息犯罪行為的獨(dú)立性與特殊性。鑒于人臉識別信息的高度敏感性和對個人隱私權(quán)的潛在影響，建議修改《刑法》第253條，將有關(guān)人臉識別信息的犯罪行為單列條款，并設(shè)立更細(xì)化的規(guī)定，以區(qū)別于其他類型的個人信息。第二，在具體司法實(shí)踐中，應(yīng)當(dāng)建立健全的判斷標(biāo)準(zhǔn)，詳細(xì)闡釋在各類不同情況下如何處理犯罪競合，特別是針對同時涉及多個罪名的案件。例如，明確在行為人通過非法方式獲取人臉識別信息并利用此信息侵入計(jì)算機(jī)信息系統(tǒng)時，如何適用數(shù)罪并罰的原則，確保正義的同時，既不過輕，也不過重地處罰行為人。第三，對利用信息網(wǎng)絡(luò)推動人臉識別信息犯罪的行為人，建議對《刑法》中有關(guān)非法利用信息網(wǎng)絡(luò)罪和侵犯公民個人信息罪的條文進(jìn)行修訂，強(qiáng)化跨罪名的協(xié)同效果，明確如何區(qū)分單一和連續(xù)犯的界限，尤其是在同一行為涉及多項(xiàng)不同法益的情況下，如何恰當(dāng)應(yīng)用牽連犯擇一重罪處斷的規(guī)則。第四，應(yīng)當(dāng)在刑事政策層面上強(qiáng)化對人臉識別信息的保護(hù)，提升法律的威懾力。建議加大對侵犯人臉識別信息犯罪行為的處罰力度，探索設(shè)立個人信息保護(hù)專門機(jī)構(gòu)或部門，負(fù)責(zé)個人信息的集中管理、監(jiān)督，以及跨部門間的信息共享和協(xié)調(diào)。第五，提倡全社會加強(qiáng)對人臉識別技術(shù)及其帶來的潛在風(fēng)險的意識，通過教育培訓(xùn)、宣傳提高公眾對個人信息保護(hù)的認(rèn)識，同時，鼓勵技術(shù)發(fā)展和創(chuàng)新下的個人信息保護(hù)措施，如加強(qiáng)數(shù)據(jù)匿名化處理、加密技術(shù)的應(yīng)用等，既保護(hù)個人隱私，也促進(jìn)社會經(jīng)濟(jì)的發(fā)展和技術(shù)的進(jìn)步。通過上述建議，可以在大數(shù)據(jù)與人工智能時代，為人臉識別信息提供更全面、深入的刑法保護(hù)。

3 結(jié)束語

在大數(shù)據(jù)時代，人臉識別技術(shù)正日益成為安全與便利的關(guān)鍵橋梁，然而其所帶來的隱私權(quán)與個人信息安全問題也越加凸顯刑事立法和司法實(shí)踐的不足。人臉識別信息的刑法保護(hù)遭遇入罪界限的模糊不清、現(xiàn)有法律對行為類型的規(guī)制不全面以及追究刑事責(zé)任的重重障礙等困境，這些都嚴(yán)重制約了刑法在個人信息保護(hù)方面的功能。針對這些問題，本文提出了包括明確入罪界限、補(bǔ)充行為類型規(guī)制、精細(xì)化處理犯罪競合等在內(nèi)的系列完善建議，旨在構(gòu)建更加堅(jiān)固的法律防線，保衛(wèi)公民的“數(shù)字肖像”不被非法侵害。在這個過程中，必須不斷探索、及時修正、靈活應(yīng)對，適應(yīng)技術(shù)發(fā)展所帶來的新挑戰(zhàn)。立法機(jī)構(gòu)、執(zhí)法部門、司法機(jī)構(gòu)和社會各界都需共同努力，協(xié)同作戰(zhàn)，確保法律的留白被合理填補(bǔ)，法律的邊界被明確劃定。僅有在法律的規(guī)制明晰、責(zé)任的追究嚴(yán)格、社會公眾意識的提升和技術(shù)保護(hù)的深化四輪驅(qū)動下，才能有效地防范和降低人臉識別信息泄露的風(fēng)險，尋求隱私權(quán)保護(hù)與信息自由流通之間的最佳平衡點(diǎn)，為社會的和諧發(fā)展提供有力的法治保障。