生物識別信息的刑法保護路徑

丁彩紅

（安徽大學 法學院，安徽 合肥 230000）

一、問題的提出

自人類進入信息時代以來，數字經濟快速發展，生物識別技術得到廣泛應用。生物識別技術在帶來高效、便捷生活的同時，隨之而來的是對生物識別信息泄露、濫用等帶來極大的風險。因此，需要進一步加強對生物識別信息的保護。生物識別技術引發了較多的違法犯罪現象，AI 換臉軟件“ZAO”因其“換臉”操作簡單、素材豐富、視頻生成時間短等優點，在2019 年8 月末上線后引發了廣泛的關注[1]；人臉識別第一案郭兵訴杭州野生動物世界有限公司一案是全國第一起涉及人臉識別技術使用糾紛的民事案件[2]；被竊取的公民個人信息經過加工、轉賣，被大量用于詐騙、敲詐勒索、暴力追債等違法犯罪，特別是為詐騙分子實施精準詐騙提供了更加便利的條件，危害十分嚴重[3]。從生物識別信息的整體鏈條來看，在收集和儲存這一環節可能發生泄露的情況，在流動和轉移環節會出現不法分子的非法獲取，生物識別信息被泄露或者非法獲取后，進行非法處理，極易產生一系列的犯罪，不僅是對個人的財產、人身造成損害，嚴重的會危害國家、社會公共安全。生物識別信息相較于一般個人信息具有其特殊性，因而更容易引發風險。

2021 年施行的《中華人民共和國個人信息保護法》（以下簡稱“個人信息保護法”）對個人信息的保護進行了比較完善的規定，在刑法層面，并沒有對生物識別信息予以明確的規定?！吨腥A人民共和國刑法》（以下簡稱“刑法”）中規定了侵犯公民個人信息相關罪名，對生物識別信息這一整體概念并未明文規定，《刑法》司法解釋亦未規定。在法秩序統一原理下，刑法應當與其他前置法相結合，無疑是公法和私法融合發展的法秩序一體化時代下[4]的新課題。大數據時代下，生物識別信息得到了更廣泛的應用，應加快建設刑法保護體系，對生物識別信息的保護更加全面、更具有系統性。對生物識別信息這一特殊信息進行定罪量刑時，應在堅守刑法的根基和信仰下對其入罪標準進行考量，構建刑法對生物識別信息的體系化保護。

刑法作為法律保護的最后一道防線，在法秩序統一原理下，應與前置法規范結合，適用其規定及其規范目的。大數據時代背景下，個人信息尤其是生物識別信息的泄露以及非法利用等會造成一系列的危害結果。當前對生物識別信息的刑法特別保護的完善，應該是我們應對網絡迅速發展帶來一系列危害結果的解決方法，應將生物識別信息作為一個整體研究，現有研究側重于對人臉識別這一種生物識別信息進行研究?；谝陨显?，提出以下建議：首先，對生物識別信息的概念界定及其刑法保護的必要性進行分析；其次，對侵犯生物識別信息的犯罪行為以及犯罪主體進行規制；最后，銜接刑法與前置法的關系，尋求適合我國的刑法保護路徑，構建具有中國特色的生物識別信息體系保護框架。

二、生物識別信息的特殊性與刑法保護的必要性

（一）生物識別信息具有其特殊性

生物識別作為個人信息的一種，具有其自身的特殊性，其一旦遭受侵害或者泄露容易造成安全風險，會導致個人犯罪，嚴重的會危害民族安全、國家安全。

1.具有更強的隱私性。生物識別信息與個人的生理狀況、面部特征等密切相關，不會因外在環境的改變而改變，一旦泄露可能將個人的全部情況予以曝光，極易引發犯罪，導致個人人格受損和經濟損失。一般信息如收獲地址、電話號碼、姓名等，只是反應個人的碎片化的情況，這種信息一般都可以經本人同意，可以進行更改，私密程度較低，一旦泄露一般不會暴露個人的整體狀況，對個人而言甚至沒有任何影響。

2.具有唯一性。生物識別信息對于個人是獨一無二的存在，每一個人基因、指紋、虹膜等都不相同。生命體的生物特征體現的是個人的生物符號而非社會符號[5]。生物符號是由生命體的生理特征（基因、虹膜、人臉等）或者行為特征（步態、聲音等）構成，生物識別信息是由生命體的特征構成的個人信息，因此它具有唯一性，很難丟失或者偽造。不像家庭住址、手機號碼可以更改或者替換。

3.具有穩定性。生物識別信息由生命體的生理特征和行為特征構成，一般不會改變，但整容或者進行眼睛的外科手術等除外。生物識別信息一經泄露，被不法分子利用從而進行犯罪行為，這種損害是不可逆的，事后無法彌補。因生命體具有遺傳穩定性，自身一般不會因外界環境而輕易改變，因此其生物識別信息具有穩定性。

4.侵犯客體具有復合性。侵犯公民一般個人信息的客體是個人權益，一般是指公民個人人身安全。但由于生物識別信息自身的特殊性，不僅侵犯了公民人身安全的客體，嚴重的還會侵犯社會秩序、公共安全和國家安全等。在國外網絡中曾經流傳過一段美國前總統奧巴馬嚴厲抨擊現總統特朗普的視頻，這一視頻由電影制作人皮爾表演，通過軟件將聲音和視頻合成[6]。這一對人臉以及聲音進行技術合成的行為，極易引發社會風險，給公共安全或者國家安全造成危害后果。對這一生物識別信息進行偽造，尤其是對特殊的對象進行生物識別信息的偽造，造成的后果是很嚴重的。

5.具有雙重價值。生物識別信息與信息主體之間的關系更加緊密，與其關聯也更為多元。相較于一般個人信息體現價值僅表現為個人價值，生物識別信息在社會系統下的價值，不僅僅體現在其個人價值，更多的表現為社會價值，公共秩序的價值，為了國家利益或者公共秩序，可能會讓渡自己的個人價值。生物識別信息的社會價值主要體現在被醫療、政務、教育利用過程中促進社會發展的工具價值。

（二）侵犯生物識別信息極易引發風險

在人工智能大環境下，生物識別技術得到廣泛應用，侵害生物識別信息的風險也隨之而來。監管不利則容易引發風險，同理對其他生物識別信息也是如此。前置性非法獲取、提供生物識別信息帶來了一定的風險，對獲取的生物識別信息的濫用以及生物識別信息經傳播后帶來的下游犯罪的風險更是難以避免。

1.竊取或者以其他方式非法獲取行為引發個人信息泄露風險。網絡迅速發展的當代，生物識別技術也被廣泛應用到很多領域，數據安防的技術尚不成熟，無法及時有效防范黑客的攻擊，導致個人生物識別信息泄露。生物識別信息具有極大的商業價值，當其流入到市面上，極易引發犯罪風險。

2.濫用行為引發風險?！缎谭ā分幸幎ǖ那址腹駛€人信息罪中，侵犯行為并沒有包括濫用行為。這種行為不僅可能導致財產損失，還可能導致公共安全以及國家安全的風險。例如，楊建青詐騙案中，利用制作的人臉動圖通過人臉識別認證的方式詐騙京東公司①。上文中提到的美國前總統奧巴馬批評特朗普的視頻，正是對生物識別信息的濫用。利用AI換臉技術冒充他人，進而進行詐騙或者盜竊行為。人工智能時代，濫用他人信息的現象非常普遍。

3.獲取的生物識別信息進行傳播后容易導致犯罪行為。生物識別信息與人身具有極強的依附性以及敏感性，被非法分子利用極易導致犯罪。個人生物識別信息被獲取后，引發下游犯罪，常見的有幫助信息網絡犯罪活動罪、破壞計算機信息系統罪等，生物識別信息反映了個人的生理以及外貌等特征，如果被國外的不法分子所利用，造成的損失可想而知。

三、生物識別信息刑法保護不足

對生物識別信息的刑法保護，現行刑法基本沒有明文規定，相較于其他前置法而言，是相對滯后的，無法抵抗數字化時代帶來的風險。

（一）生物識別信息的法律概念不明

最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱“解釋”）的第5條提到，出售或者提供行蹤軌跡信息，被他人用于犯罪的；非法獲取、出售或者提供行蹤軌跡信息50條以上的；非法獲取或者提供健康生理信息500 條以上的，屬于情節嚴重?！秱€人信息保護法》第23 條中規定，敏感個人信息包括生物識別、宗教信仰、醫療健康、行蹤軌跡等信息。以上法律并沒有規定生物識別信息的內涵與外延，在以上規定中無法確定生物識別信息和健康生理信息是否等同。我國對生物識別信息的概念沒有統一的規定，在國家標準或者司法解釋中有此概念。例如，國家標準化管理委員會2020年發布的《信息安全技術個人信息安全規范》列舉了“個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等”，但未說明所謂生物識別信息[7]。顯然以上規定在司法實踐中，司法主體在認定中缺乏明確的依據，面臨無法可依的困境。

（二）現有罪名無法滿足保護需求

現有罪名對侵犯公民個人信息行為的刑罰，主要規定在侵犯公民個人信息罪這一罪名中。此罪名主要是對其中的一個環節進行打擊，而無法保護生物識別信息的整體鏈條。而對于個人信息的整體保護，應當是對個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等整個過程的保護，本罪名無法保護所有行為類型。合法獲取生物識別信息后非法利用、非法刪除等行為并不包含在內。侵犯公民個人信息罪侵犯的權益為公民個人的人身和財產權益，但侵犯生物識別信息不僅僅是對個人人身和財產權益的侵犯，還包括社會管理秩序、國家安全等，因此，侵犯公民個人生物識別信息還可能構成與危害國家安全的相關罪名。公民個人信息的處理是一個鏈條化的過程，包括采集、存儲、加工、使用、刪除等環節，而在醫療或者政務領域，生物識別信息的收集者或者存儲者，在工作中玩忽職守等怠慢或者錯誤履職，可能構成職務犯罪。因此，對于生物識別信息的收集者、儲存者的不當行為應納入刑法規制。

（三）刑法保護滯后于其他法規

生物識別信息刑法的保護相較于前置法是滯后的，因為刑法和司法解釋中皆沒有生物識別信息整體概念的明文規定，當前在《中華人民共和國民法典》《個人信息保護法》《中華人民共和國網絡安全法》等法律法規中，對生物識別信息的保護進行了明確規定，雖然在一些方面不夠全面，但相較于刑法是比較有先見性的?，F有規定對生物識別信息的保護缺乏刑事的強制力和針對性的保護，無法全面對生物識別信息進行體系化的保護。刑法保護的滯后，造成刑法與前置法以及其他法律規范之間的脫節，這一現狀可能導致對生物識別信息的鏈條化和體系化保護不完整，保護的效果也可能相對減弱。國外對生物識別信息的保護更全面，并具有針對性。主要有兩種保護模式：一種以美國伊諾州《生物特征信息隱私法》為代表的專門立法保護模式，這一立法表明對于生物識別信息的重視程度；另一種保護模式是以歐盟《一般數據保護條例》為代表的統一立法保護模式，這一模式在各個國家比較普遍。我國應將刑法與其前置法銜接好，構建體系化鏈條化的保護框架。

四、完善生物識別信息刑事保護路徑

在大數據時代，信息交流幾乎無處不在。相較于數據的流動速度以及廣度，信息的對應保護是比較欠缺的。法律本身具有滯后性，加上立法應當具有穩定性的特征，不輕易改動。尤其是對于生物識別信息的保護，還缺乏刑法上的明確規定。應以刑法第253 條侵犯個人信息罪為基礎，完善刑法保護框架。當前對生物識別信息的刑法保護存在犯罪化不足的問題，主要表現在未將濫用行為納入刑法處罰范圍，對數據泄露行為主體缺乏刑法層面的規制。侵犯公民個人生物識別信息極易發生人身或者財產損失，泄露或者濫用都極易引起風險。大數據時代，數據刑法的保護不僅僅是對侵害行為發生時進行懲罰，而應在數據泄露或者濫用具有風險時，就應當進行遏制。尤其對于生物識別信息這一敏感程度極高的信息，事前的預防可能更為重要，也是刑法規制的重要考量。刑法不僅懲罰事后犯罪，事前的預防也是非常重要的，應做好刑法與前置法的銜接。

（一）明確生物識別信息在刑法中的權屬

將生物識別信息明確規定為敏感個人信息，是在《個人信息保護法》中，除此之外還列舉了醫療健康、行蹤軌跡等信息為敏感個人信息。應將“生物識別信息”定義為：通過特定技術對自然人不可變的身體、生理或行為等獨特生物特征進行處理所得到的，單獨、相互結合或與其他可識別信息結合以確認自然人身份的信息[8]。根據以上規定，可以確定生物識別信息屬于個人信息，對個人有極強的人生依附性，一旦侵犯極易造成個人信息以及財產等安全風險。根據生物識別信息的特殊性，應當將生物識別信息歸于《解釋》第5條第1款第一項中，與對于行蹤軌跡信息為同一保護階梯。對第5 條第三項非法獲取、出售或者提供行蹤軌跡、健康生理信息等這一項，起刑點為50條。一旦被侵犯造成人身或者財產損失，將生物識別信息歸入此項符合刑法保護的目的。在《解釋》中司法機關將個人信息進行了不同的劃分，主要是根據信息的敏感程度，對個人人身依賴性以及侵犯信息引發的風險不同。將生物識別信息列在第一個分類，與行蹤軌跡信息為保護的同一等級。這一規定也起到了對生物識別信息的整體保護，一定程度上避免了司法機關處理相關案件無法可依的局面。非法獲取、出售或者提供50條生物識別信息就屬于情節嚴重。法秩序統一原理的真正含義不是法規范之間形式上的一致性，而是在目的層面的統一，法規范之間不存在內部的、根本的矛盾。根據法秩序統一原理，這一分類并沒有違反《個人信息保護法》中的二分法。

（二）完善侵犯生物識別信息行為及處罰主體

1.將濫用生物識別信息行為納入刑法規制。在數字化時代，生物識別信息被廣泛應用于不同的主體，其面臨的危險不僅是在個人信息鏈條的中間轉移環節，收集、獲取后的濫用行為也同等重要。個人信息的流轉主要發生在個人信息違法犯罪鏈的上游和中游，主要變現在獲取和售賣的階段，但是對個人信息的濫用，尤其是對生物識別信息的濫用，并從中獲取利益，才是個人信息犯罪灰黑產業鏈最終落腳點。將個人信息濫用行為規制在刑法中，才能對個人信息進行鏈條化保護，并且可以有效打擊犯罪。對于濫用行為刑法規制的路徑主要是刑法立法，可以在刑法第253條之一中，增加濫用公民個人信息這一行為，以實現對公民個人生物識別信息的保護，為了保障刑法的穩定性，不再單獨設立罪名，對于濫用一詞的內涵和外延進行界定?！盀E用”是指在生物識別信息的處理過程中，沒有得到信息主體的同意（包括首次同意以及二次利用時的同意）而非法使用生物識別信息的行為。此處的濫用包括對個人生物識別合法獲取后的非法使用，生物識別處理應當參考《個人信息保護法》第4條，包括個人信息的收集、儲存、使用、傳輸、提供、刪除等。非法使用參考《個人信息保護法》對于敏感個人信息處理規則，處理敏感個人信息需要征得個人單獨同意，且只有在特定的目的和充分的必要性時才可以處理，這是由敏感個人信息自身特征決定的。刑法及其司法解釋中，未對生物識別信息進行明確規定，《解釋》中對侵犯公民個人信息分為三類，對其量刑起刑點有三個等級。

2.擴大刑事責任主體范圍。從風險分配合理化的角度分析，生物識別信息泄露行為與濫用行為同等重要，現行法律對于泄露行為主體的處罰主要是行政處罰，且基本是財產處罰，處罰力度較小，對犯罪分子起不到震懾作用。泄露分為內部泄露和外部泄露，內部泄露主要是指信息主體的控制者和管理者泄露，外部泄露一般是指黑客的攻擊，造成數據泄露，此處擴大處罰的主體是指前者。公民個人信息尤其是生物識別信息的泄露具有被動性，泄露的主體主要是生物識別信息的管理者以及控制者，一般都是金融、醫療、教育等領域，相對于泄露方，受害方一般是弱勢群體，在生物識別技術廣泛應用的今天，生物識別信息具有唯一性，一旦泄露將會產生極大的風險，因此對于生物識別信息的安全而言，泄露行為主體，一般是指數據收集后的管理者、儲存者，也應當納入刑法規制，對于這一特殊的信息，進行事前的規制是很重要且有必要的。

（三）構建基于行刑銜接的打擊處理模式

侵犯個人信息的行為主要由侵犯公民個人信息罪來規制。由于刑法具有謙抑性以及刑法作為懲罰犯罪的最后一道防線，其處罰行為類型的擴大中，應貫徹一個基本思想就是“嚴而不厲”。在對處罰類型進行擴大的同時，仍要設置與其行為類型相適應的量刑標準和不法程度的起刑點，對于情節較重或者情節特別嚴重的行為才予以刑事處罰。應當做好行刑銜接和民刑銜接，做好與前置法行政法和民法的體系化保護結構。對于情節較輕的行為，主要通過行政處罰以及民事侵權進行規制。最高檢察院發布八起個人信息保護檢察公益訴訟典型案例，其中兩起與地方行政機關密切相關。一起是長沙市望城區衛生健康局推動數字門診建設時，醫療機構存在過度收集個人生物識別信息等情況。違規收集、使用指紋、人臉識別等生物識別信息的事件常有。對于這一種常見違規的行為，行政機關對其加大監管力度，目的是為了保護生物識別信息不被違規收集、使用。對于履行、收集、儲存等職責部門的工作人員玩忽職守、濫用職權等行為，構成職務違法犯罪的應及時向監察部門移送，以便對潛在的犯罪嫌疑人達到震懾的作用。對生物識別信息整體保護框架的協調，銜接好刑法與前置法之間的規定，避免對侵犯公民個人信息罪犯罪行為的不當擴張，避免罪責刑不相適應等情形。在網絡發達的今天，社會交往特性決定了應樹立多元共治的理念與舉措，刑法只是其中一種治理手段而不是唯一的手段，前置法民法、行政法等是更前沿的治理方式。銜接好與前置法的規范是對其一體化、鏈條化保護至關重要的。

五、結語

在當今大數據時代，對個人生物識別信息的處理主要存在于行政管理、商業營利及公共服務中。生物識別信息被廣泛應用，帶來了巨大的商業價值和公共管理價值。但也會帶來巨大的風險，最終導致犯罪，利益與風險往往是共生的。因此，對生物識別信息的保護不僅要進行事后保護，也要進行事前預防。例如，《個人細信息保護法》將生物識別信息劃分為敏感個人信息，進行更加嚴格的保護。四川省2023 年1 月1 日實施的《四川省數據條例》嚴格限制個人生物識別信息收集，《廣東省社會信用條例》明確禁止商家采集自然人的生物識別信息。因此，刑法應當通過法律解釋合理地將個人生物識別信息納入刑法規制，并且將濫用行為入罪化。同時應當銜接好刑法與前置法的關系，不能過于擴大刑法處罰范圍，保持刑法的謙抑性，在法秩序統一原理的背景下，構建生物識別信息體系化保護和鏈條化保護框架。

注釋：

①參見廣東省廣州市海珠區人民法院（2021）粵0105刑初292號刑事判決書。