徐敬文

（安徽大学 安徽合肥 230601）

一、问题的提出

进入信息化时代，人脸识别技术飞速发展，被广泛应用于各个领域，给人们的生活带来便利的同时，也产生了一系列社会问题。由于缺乏法律规制及行业标准，目前人脸识别技术的应用呈野蛮生长的态势。2021年央视315晚会就曝光了多家知名商户未经公民同意收集用户的人脸信息，侵犯公民的个人信息权益。

人脸识别的广泛应用还催生了人脸识别黑色产业的泛滥。一些不法分子在QQ群及境外网站中贩卖真人人脸识别视频，这些包含身份证照片及点头、摇头、张嘴等动作的视频，能通过大多数App平台验证流程，这为不法分子破解用户账户密码窃取财物创造了条件。人脸识别黑产的泛滥，不仅侵犯了公民的人身权益，也会侵犯公民的财产权益。

人脸识别广泛应用的负面效应远不止于此，不法分子在获取到人脸信息后通过深度伪造等技术制作虚假的视频甚至会危害社会公共利益。鉴于此，我国新出台的《个人信息保护法》第二十六条对安装人脸识别设备的条件及目的做出了规定；第二十八条规定将生物识别信息纳入敏感个人信息范畴，实施特殊保护。刑法对此问题也不应无所作为。本文将通过对生物识别信息的属性和特殊性以及刑法在生物识别信息保护上的不足进行分析，进而提出完善生物识别信息刑法保护的建议。

二、生物识别信息的属性与特殊性

生物识别信息是指通过运用科学技术手段对人的身体特征进行数字化处理后得到的信息。[1]这类数据生成了那个自然人的唯一标识，包括人的指纹、虹膜、面部信息、声音等信息。根据《个人信息保护法》第二十八条的规定，生物识别信息属于敏感个人信息的范畴，较之于其他普通个人信息有其特殊性，具体而言包括：

第一，直接识别性。区别于如通讯信息、财产信息、行踪轨迹信息等其他个人信息需要与其他信息相结合才能具体识别到个人身份，通过人脸识别信息等生物识别信息可以直接识别到个人，而无需结合其他信息。

第二，不可更改性。区别于其他个人信息可以通过一定方式予以变更，人脸、指纹等生物识别信息与生俱来，难以更改。

第三，损害不可逆性。生物识别信息与密码都具有身份验证的功能，但密码失窃可以通过更改密码来阻止损失扩大，而由于生物别信息的难以更改，一旦失窃造成的损失将不可逆。

第四，方便收集性。采集人脸，可使用摄像头自动抓拍，无需被采集者配合，只需个人从预先安装的采集设备前通过即可。需要指出的是，许多人脸采集设施的外观与摄像头无异，普通人无法察觉，这更加大了个人保护其人脸信息免受非法采集的难度。

第五，不可匿名性。其他个人信息都可以通过去识别化来切断采集的个人信息与具体个人之间的联系，从而实现个人信息的匿名化。但是以人脸信息为代表的生物识别信息无法去识别化和匿名化。正因为此，生物识别信息的泄露会对个人造成更大的损害。

对于包含生物识别信息在内的个人信息的权利属性问题，学界存在以下几种学说：(1)隐私权说：“个人数据的保护主要是对数据主体隐私权的保护”。[2](2)财产权说：进入信息时代，个人信息因潜在的商业价值应当被赋予财产权保护[3](3)具体人格权说：个人信息权就其主要内容和特征而言，在民事权利体系中，应当属于人格权的范畴。个人信息权应当作为一项独立的权利来对待，此种权利常常被称为“信息自决权”。[4]在《民法典》颁布之前，可以说各种学说均具有一定的合理性，但《民法典》将个人信息明确规定在人格权编部分，可以认为具体人格权说得到了立法机关的肯定。笔者亦赞同具体人格权说，将个人信息的权利属性定位为具体人格权能够实现对个人信息的周延保护。

三、现行刑法规制体系的不足

（一）侵犯公民个人信息罪立法与司法解释滞后

我国侵犯公民个人信息罪的立法及司法解释对生物识别信息的保护存在缺陷。主要表现在：第一，两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）在定义个人信息时对个人信息的列举未包括生物识别信息，容易导致司法实践对生物识别信息保护的忽视。第二，侵犯公民个人信息罪的法条表述及司法解释中缺少生物识别信息针对性的定罪量刑标准。《解释》第五条在对“情节严重”进行解释时，针对不同类型个人信息设置入罪门槛时没有涉及生物识别信息。有学者提出将生物识别信息列入第四款的“其他可能影响人身、财产安全的公民个人信息”或第五款的“除三四款外的其他个人信息”加以规制，问题在于生物识别信息重要性程度远高于前款个人信息，入罪门槛及量刑却等同于前款个人信息，这显然无法是对生物识别信息特殊重要性的忽视，也与《个人信息保护法》对生物识别信息实施特殊保护的做法相悖。同时，兜底条款的适用在我国一直存在争议，适用第十款的兜底条款来规制侵犯公民生物识别信息行为亦不妥当。因此，根据当前刑法及司法解释的规定，无法对侵犯公民个人生物识别信息的行为进行合理的定罪量刑。

（二）现有刑法体系无法有效规制非法使用公民生物识别信息行为

一直以来，刑法对个人信息犯罪的关注重点放在了非法获取、出售和提供等流通性行为上，对非法使用这一行为类型鲜有涉及。这导致现行刑法无法有效规制“合法获取后非法使用”这一情形，具体而言：

首先，无法以侵犯公民个人信息罪规制非法使用公民生物识别信息的行为。障碍在于：第一，与现有法律及司法解释规定相违背。《解释》将侵犯公民个人信息罪的行为方式限定为非法获取、出售和提供，以侵犯公民个人信息罪打击非法使用个人生物识别信息行为有违罪刑法定原则，显然并不可行。第二，非法使用公民生物识别信息行为侵犯的法益不仅包括个人法益，也包括超个人法益。而侵犯公民个人信息罪规定在刑法分则第四章侵犯公民人身权利、民主权利罪中，该罪主要保护的法益是公民个人法益。显然，超个人法益不在侵犯公民个人信息罪的保护范畴之内。

其次，以其他下游犯罪规制非法使用生物识别信息的刑法规制路径亦不妥当。在现行刑法体系下，由于无法以侵犯公民个人信息罪来打击非法使用公民生物识别信息的行为，法官转而以其他下游犯罪来打击非法使用公民个人生物识别信息的行为。例如，使用他人面部信息破解他人账户盗取他人财物的行为可以以盗窃罪处罚；使用深度伪造技术制作虚假音视频传播虚假信息可以以传播虚假信息罪处罚。综合来看，现有刑法对非法使用公民个人信息的行为形成了看似相对较为严密的制裁体系。但这一体系存在以下问题：第一，这种以下游犯罪规制非法使用公民生物识别信息的刑法制裁体系重事后惩罚轻事先预防，在当今信息化时代具有滞后性，难以有效规制非法使用公民生物识别信息的行为。这体现在当生物识别信息被用于危害国家安全、社会管理秩序时，其危害后果难以通过事后制裁加以补救。第二，这种规制路径忽视了非法使用行为本身独立的法益侵害性。以其他下游犯罪规制非法使用行为的规制路径看似严密，但非法使用行为只有在符合其他下游犯罪的犯罪构成要件，达到入罪标准时才能被定罪处罚。对于未达到其他罪名入罪标准的行为显然无法予以打击。正如学者所言：事实上，此类犯罪其实是一种二阶犯罪：被盗之物的损失远远低于由于盗窃该物而危及安全造成的损失。[5]

四、刑法规制体系的完善

通过上文对现行刑法在生物识别信息保护领域的不足的分析可以看到，现行刑法的主要问题在于对缺乏对生物识别信息特殊性与重要性的认识以及无法规制日益猖獗的非法使用公民生物识别信息的行为。针对这些问题，笔者认为可以通过以下途径加以解决：

（一）完善侵犯公民个人信息罪相关条款

侵犯公民个人信息罪作为现行刑法体系下打击个人信息犯罪最主要的罪名，在打击涉生物识别信息犯罪方面力有不逮，为了应对信息化时代侵犯公民生物识别信息案件频发的情况，应当对该罪法律规定及司法解释的相关条款进行修改。

首先，《个人信息刑案司法解释》在对个人信息的种类进行列举时，应当将生物识别信息明确加以列举，防止司法实践中司法机关对生物识别信息保护的忽视。其次，要为侵犯公民生物识别信息行为设置单独的定罪量刑标准。基于上文提到的生物识别信息的特殊性和重要性，笔者认为应当为侵犯公民生物识别信息设置相对较低的入罪门槛或者相对较高的法定刑。具体而言，结合相关司法解释的规定，可以将“非法获取、出售、提供生物识别信息五条以上的” 认定为刑法第二百五十三条之一规定的“情节严重”，以实现对于生物识别信息的特殊保护。

（二）增设非法使用公民个人信息罪

针对刑法对于非法使用个人信息行为的规制真空，笔者认为可以通过增设非法使用公民个人信息的方式来严密刑事法网，实现生物识别信息的周延保护。通过对域外立法的考察可以看到，将非法使用他人个人信息单独入罪的做法并不鲜见。例如，我国台湾地区《个人资料保护法》便将违法利用个人资料的行为规定为犯罪。美国的《身份盗窃和冒用阻止法案》也规定未经授权非法使用他人可识别信息的行为构成犯罪。因此，从域外立法情况来看，将非法使用公民个人信息行为单独入罪的路径是可行的。

笔者认为我国非法使用公民个人信息罪的法条可以表述为：“违反国家有关规定，未经公民同意，非法使用公民个人信息，情节严重的，处三年以下有期徒刑或拘役，并处或单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”在增设非法使用公民个人信息罪后，应当通过司法解释的形式对“非法使用”“情节严重”等进行进一步的解释说明，以指导司法实践更好的应用此罪名，实现公民个人信息的周延保护。同时，鉴于非法使用公民个人信息行为在法益侵害性上相较于非法获取、出售、提供等行为的特殊性，司法解释在对“情节严重”进行解释，确定该罪入罪门槛时，可以采取两种标准：一种是借鉴侵犯公民个人信息罪的形式，采集非法使用信息类型加使用数量的形式设立入罪门槛；另一种可采取列举非法使用公民个人信息给信息主体或社会秩序造成的损害的形式，例如窃取的财物数量、“身份盗窃”造成的损害等。在具体个案中，犯罪人的行为只要满足其中一个标准就构成非法使用公民个人信息罪。

（三）明确罪与非罪界限，充分发挥告知同意原则的出罪功能

在立法层面，刑法及相关司法解释并未明确规定信息主体的同意能够成为侵犯公民个人信息罪的出罪事由；在学术界，仍存在侵犯公民个人信息罪保护法益是个人法益还是超个人法益的辩论；司法实践中也出现了被告人在获得信息主体的明确同意的情况下仍被认为构成侵犯公民个人信息罪的案例出现。可以看到，我国刑法从理论到实务层面都未能对信息主体知情同意的出罪功能有统一正确的认识。

“个人对自己的生活和身份拥有一定程度的自治和自决。”[6]《个人信息保护法》第二十九条规定：处理敏感个人信息应当取得个人的单独同意。该条款明确了在取得信息主体的真实明确的同意的情况下处理包括公民生物识别信息在内的敏感个人信息是合法的。《民法典》第一千零三十六条亦明确将信息主体的知情同意规定为免责事由。在法秩序统一的背景下，刑法应当坚守保障法的地位，前置法明确规定合理合法的行为，无论如何不能规定为犯罪行为。因此，应当肯定信息主体知情同意能够成为个人信息犯罪的出罪事由。

笔者认为，可通过修改侵犯公民个人信息罪的犯罪构成要件，增加“未经信息主体知情同意”这一情节。具体而言，可将侵犯公民个人信息罪的法条表述为：违反国家有关规定，未经公民同意，向他人出售或者提供公民个人信息，情节严重的……这样对于经他人同意处理他人个人信息的行为，可以在构成要件符合性层面就将其排除在犯罪圈外，能够有效节约司法资源。