劉憲權(quán) 陸一敏

(華東政法大學(xué) 刑事法學(xué)院，上海 201620)

近年來，隨著我國數(shù)字化與智能化建設(shè)的推進(jìn)，以人臉識別為代表的生物識別技術(shù)得到了迅猛發(fā)展，并被廣泛應(yīng)用于商業(yè)交易、治安防控、醫(yī)療衛(wèi)生、政府治理等領(lǐng)域。應(yīng)該看到，生物識別技術(shù)的出現(xiàn)，在給人們生活和社會的管理帶來極大便利的同時，也確實引發(fā)或帶來了較多的違法犯罪現(xiàn)象，實踐中非法收集、交易和濫用生物識別信息的行為層出不窮、屢見不鮮。相關(guān)的違法犯罪行為不僅嚴(yán)重侵犯公民的信息數(shù)據(jù)權(quán)利，還會造成社會管理秩序的混亂，甚至威脅到國家安全。盡管《刑法修正案(七)》將侵犯公民個人信息情節(jié)嚴(yán)重的行為納入刑事打擊范圍，《刑法修正案(九)》進(jìn)一步擴(kuò)大了打擊范圍，但現(xiàn)行刑法對于生物識別信息仍然沒有給予特別的保護(hù)。在當(dāng)前信息網(wǎng)絡(luò)普及的背景下，如何有針對性地完善對生物識別信息的刑法特別保護(hù)，應(yīng)該成為我們必須直面且亟待解決的問題?；诖耍疚膶那趾€人生物識別信息行為引發(fā)的風(fēng)險入手，詳細(xì)分析現(xiàn)行刑法有關(guān)規(guī)定及其存在的問題，并在確定刑法保護(hù)應(yīng)然立場的基礎(chǔ)上，在個人信息犯罪“產(chǎn)業(yè)鏈”的源頭、中間以及尾端各環(huán)節(jié)對現(xiàn)行刑法保護(hù)規(guī)定予以完善與加強(qiáng)，以覆蓋生物識別信息安全的全生命周期，從而實現(xiàn)刑法對生物識別信息的特別保護(hù)。

一、生物識別信息的特征及安全風(fēng)險

(一)生物識別信息的內(nèi)涵及特征

現(xiàn)有法律規(guī)范或國家標(biāo)準(zhǔn)中尚未對生物識別信息作出明確的定義。盡管在2017年施行的《網(wǎng)絡(luò)安全法》、2021年施行的《民法典》與2021年最高人民法院《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》均提及了生物識別信息，但上述法律規(guī)范或規(guī)定個人信息包括生物識別信息，或明確人臉信息屬于生物識別信息，卻并未對生物識別信息的概念作出描述或界定。國家標(biāo)準(zhǔn)化管理委員會2020年發(fā)布的國家標(biāo)準(zhǔn)《信息安全技術(shù)個人信息安全規(guī)范》對生物識別信息進(jìn)行了列舉，包括“個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等”，但也未說明何謂生物識別信息。實際上，顧名思義，相關(guān)法律規(guī)范與國家標(biāo)準(zhǔn)中提到的生物識別信息指的就是通過生物識別技術(shù)所分析獲取的特定個人信息。根據(jù)2021年發(fā)布的《生物特征識別學(xué)科發(fā)展報告》，生物(特征)識別是指“智能機(jī)器通過獲取和分析人體的生理和行為特征，實現(xiàn)自動身份鑒別(‘你是誰？’)、狀態(tài)分析(‘姿態(tài)/喜怒哀樂？’)、屬性估計(‘性別/年齡/人種？’)的科學(xué)和技術(shù)”①(1)①孫哲南、赫然等：《生物特征識別學(xué)科發(fā)展報告》，《中國圖象圖形學(xué)報》2021年第6期，第1255、1262頁。。由此可知，我們可以對生物識別信息作如此定義：用于自動身份鑒別、狀態(tài)分析與屬性估計的人體生理和行為特征信息。

值得注意的是，除“個人信息”與“生物識別信息”之外，相關(guān)法律規(guī)范與國家標(biāo)準(zhǔn)中還出現(xiàn)了“敏感個人信息”的概念②(2)②例如：2020年3月6日國家標(biāo)準(zhǔn)化管理委員會發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》；2020年7月22日工信部發(fā)布的《工業(yè)和信息化部關(guān)于開展縱深推進(jìn)APP侵害用戶權(quán)益專項整治行動的通知》；2021年3月15日國家市場監(jiān)督管理總局發(fā)布的《網(wǎng)絡(luò)交易監(jiān)督管理辦法》；2021年5月17日民政部發(fā)布的《民政部辦公廳關(guān)于開展婚姻登記“跨省通辦”試點(diǎn)工作的通知》；2021年8月20日全國人大常委會發(fā)布的《個人信息保護(hù)法》等。，因此有必要厘清前述幾個概念之間的關(guān)系。早在2012年發(fā)布的我國首個個人信息保護(hù)國家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》中，已經(jīng)明確將“個人信息”分為“個人一般信息”和“個人敏感信息”。而在2021年8月20日全國人大常委會發(fā)布的《個人信息保護(hù)法》中又有規(guī)定，“敏感個人信息”包括“生物識別信息”。從中我們不難看出，“個人信息”“敏感個人信息”與“生物識別信息”之間呈包容關(guān)系，“個人信息”的外延范圍最大，包括“敏感個人信息”，而“敏感個人信息”又囊括“生物識別信息”。

相較于其他個人信息，生物識別信息具有以下四個方面的顯著特征：其一，唯一性。每個人都是一個獨(dú)立的生物體，對應(yīng)一套獨(dú)一無二的生物識別信息。以虹膜信息為例，虹膜圖像存在許多隨機(jī)分布的細(xì)節(jié)特征，而這些細(xì)節(jié)特征的形成主要取決于胚胎發(fā)育環(huán)境的隨機(jī)因素。因此，即使是雙胞胎、克隆人乃至同一個人的左右眼，虹膜圖像之間也有顯著差異，這也就決定了虹膜信息的唯一性。相較于其他個人信息，生物識別信息的唯一性為高精度的身份識別奠定了基礎(chǔ)，因而得以在公共安檢、商業(yè)支付、刑事偵查等領(lǐng)域廣泛運(yùn)用。其二，穩(wěn)定性。以姓名、身份證號碼、賬號密碼為代表的其他個人信息可以隨時修改，但生物識別信息是個人的生理或行為特征，一旦形成便很難改變。例如，虹膜從嬰兒胚胎期的第3個月起開始發(fā)育，到第8個月主要紋理結(jié)構(gòu)成形。在角膜的保護(hù)下，發(fā)育完全的虹膜很難受到外界的傷害，除非經(jīng)歷危及眼睛的外科手術(shù)，此后幾乎終身不變。③(3)③孫哲南、赫然等：《生物特征識別學(xué)科發(fā)展報告》，《中國圖象圖形學(xué)報》2021年第6期，第1255、1262頁。因此，生物識別信息一旦泄露就會給信息主體造成不可逆轉(zhuǎn)的損害，而無法通過修改的方式加以彌補(bǔ)。其三，易采集性。在生物識別技術(shù)迅速發(fā)展的今天，生物識別信息的采集往往不需要緊密接觸，甚至可以做到，在信息主體毫不知情的情況下，采集其個人生物識別信息。①(4)①2021年中央電視臺“3·15”晚會曝光，多家知名品牌商店安裝人臉識別攝像頭，在顧客毫不知情的情況下，擅自收集記錄顧客的人臉信息，分析顧客的性別、年齡、心情等。參見《3·15晚會曝光：科勒衛(wèi)浴、寶馬、MaxMara商店安裝人臉識別攝像頭，海量人臉信息已被搜集》，央視網(wǎng)， https://news.cctv.com/2021/03/15/ARTIieo9QjynMSXTVDb224QE210315.shtml?spm=C94212.Ps9fhYPqOdBU.S51378.9，2021年8月15日訪問。無論是人臉、虹膜，還是筆跡、步態(tài)或聲紋等信息，都不可避免地在日常生活中展現(xiàn)出來。例如，在“曬自拍”的過程中對自己的照片不加處理，直接發(fā)布在社交媒體上，就極易被他人收集人臉信息。②(5)②參見張旭、朱笑延：《“全民觸網(wǎng)”時代兒童個人信息安全的保護(hù)路徑》，《青少年犯罪問題》2020年第1期，第42頁。而只要擁有生物識別的智能裝置，就能在信息主體毫無意識的情況下收集其生物識別信息。從這個角度而言，生物識別信息相較于其他個人信息更加容易受到侵害。其四，公利性。生物識別信息除了具有其他個人信息所具備的人格利益與財產(chǎn)利益之外，還體現(xiàn)了極強(qiáng)的公共利益屬性。當(dāng)前我國公共領(lǐng)域中生物識別信息運(yùn)用廣泛，例如新冠肺炎疫情期間通過人臉識別追蹤患者行蹤與密切接觸者；機(jī)場、高鐵站等公共場所通過人臉識別安全檢查等。通過采集生物識別信息，政府得以提升管理水平、強(qiáng)化社會治理。此外，生物識別信息還被用于反恐等活動，對國家安全與國際合作都具有重要意義。③(6)③參見王丹娜：《生物識別：傳統(tǒng)信息安全在新技術(shù)環(huán)境的創(chuàng)新應(yīng)用》，《中國信息安全》2019年第2期，第62頁。

(二)侵害生物識別信息行為引發(fā)的風(fēng)險

正如前述，隨著生物識別在我國相關(guān)領(lǐng)域的廣泛運(yùn)用，侵害生物識別信息行為引發(fā)的風(fēng)險也相應(yīng)產(chǎn)生，主要表現(xiàn)在以下幾個方面。

其一，非法獲取、提供與使用生物識別信息可能構(gòu)成對人格權(quán)益的侵犯。對公民個人而言，人格權(quán)益是基于人身自由、人格尊嚴(yán)而產(chǎn)生的姓名權(quán)、肖像權(quán)、名譽(yù)權(quán)和隱私權(quán)等權(quán)益。生物識別信息源于公民個人的生理或行為特征，承載了最為隱私的個人數(shù)據(jù)。透過個人基因、聲紋、虹膜、步態(tài)等生物識別信息，能夠分析出一個人的身份、性別、年齡、人種、情緒狀態(tài)、身體缺陷等內(nèi)容，這些內(nèi)容集中體現(xiàn)了強(qiáng)烈的人身專屬性。因此，侵犯公民個人生物識別信息可能直接導(dǎo)致姓名權(quán)、肖像權(quán)、名譽(yù)權(quán)乃至隱私權(quán)受到侵害，進(jìn)而導(dǎo)致以人身自由、人格尊嚴(yán)為基礎(chǔ)的人格權(quán)益被侵犯。例如，印度女記者拉娜·阿尤布(Rana Ayyub)因為發(fā)表一篇關(guān)于腐敗現(xiàn)象的報告，被不法分子利用她的人臉信息，偽造以她為主角的色情視頻，并放在社交媒體上廣泛傳播。不法分子非法利用拉娜·阿尤布生物識別信息的行為嚴(yán)重侵犯了她的肖像權(quán)、名譽(yù)權(quán)以及隱私權(quán)等人格權(quán)益，給她的身心健康造成嚴(yán)重創(chuàng)傷。④(7)④參見《聯(lián)合國人權(quán)專家呼吁保護(hù)遭遇死亡威脅的印度女記者拉娜·阿尤布》，聯(lián)合國官方網(wǎng)站，https://news.un.org/zh/story/2018/05/1009521，2021年8月15日訪問。

其二，非法獲取、提供與使用生物識別信息可能構(gòu)成對財產(chǎn)權(quán)益的侵犯。隨著信息化建設(shè)的推進(jìn)，生物識別信息成為重要的生產(chǎn)資料和社會財富，本身具有一定的財產(chǎn)價值。正因為如此，商業(yè)科技公司在收集人臉信息的時候通常都會給予信息主體一定的對價。例如，支付寶和微信通過“刷臉付”收集用戶人臉信息時會給予一定的優(yōu)惠。如果未提前告知、未征得信息主體的同意，擅自收集生物識別信息，將會有損信息主體的財產(chǎn)權(quán)利。此外，生物識別信息的唯一性決定了其具有身份認(rèn)證的功能，從而使其成為非法獲取財產(chǎn)的“萬能鑰匙”。不法分子既可以利用生物識別信息偽造人物形象，對他人實施精準(zhǔn)詐騙；也可以利用生物識別信息完成移動支付軟件的身份驗證，實現(xiàn)對他人賬戶財產(chǎn)的控制與轉(zhuǎn)移。諸如此類非法利用生物識別信息的行為均會造成信息主體的財產(chǎn)損失。

其三，非法獲取、提供與使用生物識別信息可能構(gòu)成對社會秩序與國家安全的侵犯。生物識別信息不僅可以被用于人臉偽造，還可以實現(xiàn)聲音偽造甚至是全身偽造。⑤(8)⑤2018年蒙特利爾大學(xué)的三名博士創(chuàng)辦“琴鳥”(Lyrebird)公司開發(fā)語音合成技術(shù)，只要對目標(biāo)人物的聲音錄音1分鐘以上，就能生成任何想說的話。參見《“換臉”真相：“深度偽造”的網(wǎng)絡(luò)狂歡和安全威脅》，央視網(wǎng)，http://m.news.cctv.com/2019/09/09/ARTI9JhFdqxOCh2lkr4oxcEj190909.shtml，2021年8月15日訪問。2019年4月，日本人工智能(AI)公司Data Grid開發(fā)了一種AI應(yīng)用，它可以自動生成不存在的人的全身模型，并將其應(yīng)用到時尚和服裝行業(yè)。參見《換臉已不算事兒 能換整個身體的AI偽造技術(shù)馬上就來了》，網(wǎng)易新聞網(wǎng)，https://c.m.163.com/news/a/EREP0NHJ00098IEO.html，2021年8月15日訪問。深度偽造技術(shù)的日趨成熟不僅給個人利益帶來巨大損害，還給社會秩序乃至國家安全帶來極大威脅。以金融領(lǐng)域為例，任何一條敏感信息的公布都會迅速引發(fā)金融市場波動。如果不法分子利用生物識別信息冒充金融領(lǐng)域業(yè)內(nèi)人士的身份，制作虛假視頻、炮制虛假信息并在網(wǎng)絡(luò)上公開傳播，就會使得大量投資者都信以為真。在金融市場缺乏預(yù)期的情況下，這樣的虛假信息可能導(dǎo)致巨額資金在極短時間內(nèi)流入或流出金融市場，繼而引發(fā)證券、期貨、債券以及外匯市場的劇烈波動甚至產(chǎn)生連鎖反應(yīng)，嚴(yán)重影響金融市場的穩(wěn)定。當(dāng)虛假信息以視頻的形式出現(xiàn)在公眾視野中，基于視頻一般都會被視為真實性的基本標(biāo)準(zhǔn)，民眾很容易信以為真。而一旦虛假視頻被戳穿，就會打破公眾對于視頻作為事件記錄的信任，導(dǎo)致公眾形成“眼見不為實”的心理預(yù)期，從而嚴(yán)重沖擊社會的信任體系。一旦社會信任體系崩塌，即使事后經(jīng)過充分辟謠，也很難重新建立。①(9)①參見王祿生：《論“深度偽造”智能技術(shù)的一體化規(guī)制》，《東方法學(xué)》2019年第6期，第63頁；李懷勝：《濫用個人生物識別信息的刑事制裁思路——以人工智能“深度偽造”為例》，《政法論壇》2020年第4期，第146頁。更為嚴(yán)重的情況是，當(dāng)大量生物識別信息被恐怖分子所獲取，或者流入國外被不法分子所利用，甚至?xí)＜皣野踩?/p>

二、生物識別信息刑法保護(hù)的現(xiàn)狀及存在的問題

在互聯(lián)網(wǎng)時代，非法買賣及使用公民個人信息的行為泛濫，由此滋生出侮辱、誹謗、電信詐騙、敲詐勒索等一系列犯罪，已經(jīng)逐漸形成“源頭—中間商—非法使用”的龐大犯罪“產(chǎn)業(yè)鏈”。②(10)②參見喻海松：《最高人民法院、最高人民檢察院侵犯公民個人信息罪司法解釋理解與適用》，中國法制出版社2018年版，第4-5頁。生物識別信息作為個人信息的一種，同樣未能幸免于難。為了維護(hù)個人信息安全和其他合法權(quán)益，近年來出臺的刑法修正案與相關(guān)司法解釋不斷加大對個人信息犯罪“產(chǎn)業(yè)鏈”的打擊力度，強(qiáng)化對公民個人信息的刑事保護(hù)，總體呈現(xiàn)出“兩頭保護(hù)”的刑法保護(hù)框架。

(一)現(xiàn)行刑法對個人信息的保護(hù)規(guī)定

刑法對個人信息的保護(hù)是采用“兩頭保護(hù)”的模式，也即主要通過打擊個人信息犯罪“產(chǎn)業(yè)鏈”的源頭與尾端，實現(xiàn)對個人信息的刑法保護(hù)。個人信息犯罪“產(chǎn)業(yè)鏈”的源頭主要是非法獲取與提供行為，尾端主要是非法使用行為?，F(xiàn)有的刑法保護(hù)規(guī)定正是在“產(chǎn)業(yè)鏈”的源頭防止生物識別信息被非法收集或提供給他人，在尾端防止生物識別信息被濫用，從而達(dá)到保護(hù)效果。

1.個人信息犯罪“產(chǎn)業(yè)鏈”源頭的刑法規(guī)制

個人信息犯罪“產(chǎn)業(yè)鏈”源頭的刑法規(guī)制主要是通過將非法獲取與提供公民個人生物識別信息的行為規(guī)定為侵犯公民個人信息罪，來實現(xiàn)對生物識別信息的保護(hù)。

2009年《刑法修正案(七)》將侵犯公民個人信息情節(jié)嚴(yán)重的行為增設(shè)為犯罪。③(11)③《刑法修正案(七)》第7條規(guī)定：“在刑法第二百五十三條后增加一條，作為第二百五十三條之一：‘國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。 竊取或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰……’”這一規(guī)定將竊取、非法獲取以及特定工作人員出售與非法提供公民個人信息的行為納入刑事打擊的范圍。隨后，2015年《刑法修正案(九)》對該罪名進(jìn)一步作出修改完善，將出售與非法提供公民個人信息的主體由“國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”擴(kuò)展至一般主體，并針對侵犯公民個人信息情節(jié)特別嚴(yán)重的情形提升法定刑配置水平。④(12)④《刑法修正案(九)》第17條規(guī)定：“將刑法第二百五十三條之一修改為：‘違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。 違反國家有關(guān)規(guī)定，將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰。 竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規(guī)定處罰……’”緊接著，2017年最高人民法院與最高人民檢察院發(fā)布了《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)，針對侵犯公民個人信息罪的定罪量刑標(biāo)準(zhǔn)和相關(guān)法律適用問題作了全面系統(tǒng)的規(guī)定。此后，2021年最高人民法院、最高人民檢察院和公安部聯(lián)合發(fā)布《關(guān)于辦理電信網(wǎng)絡(luò)詐騙等刑事案件適用法律若干問題的意見(二)》(以下簡稱《意見》)，專門就非法獲取、出售、提供具有信息發(fā)布、即時通訊、支付結(jié)算等功能的個人生物識別信息的行為作出規(guī)定，可以以侵犯公民個人信息罪追究刑事責(zé)任。實際上，從行為方式上看，“出售”本身就是一種特殊的“提供”方式，是以獲取經(jīng)濟(jì)利益為目的的有償提供。同樣，“竊取”本身也是一種特殊的“獲取”方式，是以盜竊作為手段的非法獲取。①(13)①參見劉憲權(quán)、房慧穎：《侵犯公民個人信息罪定罪量刑標(biāo)準(zhǔn)再析》，《華東政法大學(xué)學(xué)報》2017年第6期，第112頁。因此，根據(jù)現(xiàn)行刑法與司法解釋的規(guī)定，盡管包括網(wǎng)絡(luò)運(yùn)營者在內(nèi)的主體可能通過隱私政策這一豁免盾牌在嚴(yán)格監(jiān)管之下最大化收集個人信息等數(shù)據(jù)②(14)②參見孫益武：《兒童個人信息保護(hù)是偽命題還是真難題——兼評〈兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定〉》，《青少年犯罪問題》2020年第2期，第96頁。，但一旦相關(guān)主體通過一定手段非法獲取與提供公民個人生物識別信息，都可以以侵犯公民個人信息罪加以規(guī)制，從而實現(xiàn)在源頭上防止公民個人生物識別信息流入犯罪“產(chǎn)業(yè)鏈”。此外，由于生物識別信息本身具有一定的財產(chǎn)價值，如果不法分子未經(jīng)信息主體同意，擅自收集他人生物識別信息，實際上就是以平和的手段秘密竊取信息主體的財產(chǎn)性利益，一旦次數(shù)或數(shù)額累計到一定程度時，可以被認(rèn)定為盜竊罪。

2.個人信息犯罪“產(chǎn)業(yè)鏈”尾端的刑法規(guī)制

個人信息犯罪“產(chǎn)業(yè)鏈”尾端的刑法規(guī)制主要是對非法使用生物識別信息的行為基于其所侵犯的具體法益類型適用相關(guān)罪名，以此達(dá)成禁止非法使用的效果。根據(jù)前文分析可知，非法使用公民生物識別信息不僅可能侵犯信息主體的人格權(quán)益與財產(chǎn)權(quán)益，還可能對公共利益乃至國家安全造成危害。

當(dāng)非法使用生物識別信息構(gòu)成對人格權(quán)益的侵犯時，相關(guān)行為可以構(gòu)成侮辱罪或者誹謗罪。例如，利用他人生物識別信息制造換臉視頻或者合成他人語音，并在網(wǎng)絡(luò)中公開發(fā)行傳播，貶損他人人格、破壞他人名譽(yù)，可以以侮辱罪或誹謗罪加以處罰。當(dāng)非法使用生物識別信息侵犯了信息主體的財產(chǎn)權(quán)益時，相關(guān)行為可以構(gòu)成詐騙罪或者信用卡詐騙罪。例如，如果不法分子利用生物識別信息偽造人物形象，對他人實施精準(zhǔn)詐騙時，顯然可以直接認(rèn)定為詐騙罪。如果不法分子利用他人人臉信息完成移動支付軟件的身份驗證，實現(xiàn)對他人網(wǎng)絡(luò)賬戶財產(chǎn)的轉(zhuǎn)移占有時，可以認(rèn)定為信用卡詐騙罪。作為當(dāng)前十分普及的支付方式，網(wǎng)絡(luò)移動支付是信用卡支付的延伸。而“刷臉付”是通過人臉識別的手段進(jìn)行網(wǎng)絡(luò)移動支付，因此本質(zhì)上也是一種信用卡支付。在“刷臉付”的過程中，人臉信息就相當(dāng)于信用卡的賬號密碼，也就是說，使用他人的人臉信息相當(dāng)于冒用他人的信用卡。而具有身份識別功能的網(wǎng)絡(luò)移動支付軟件作為一種具有人工編程的智能程序，完全可能被騙。③(15)③參見劉憲權(quán)、李舒?。骸毒W(wǎng)絡(luò)移動支付環(huán)境下信用卡詐騙罪定性研究》，《現(xiàn)代法學(xué)》2017年第6期，第119-129頁。因此，對網(wǎng)絡(luò)移動支付軟件使用他人人臉信息獲取他人財產(chǎn)的行為，按照現(xiàn)行刑法可以按照信用卡詐騙罪加以規(guī)制。

當(dāng)非法使用生物識別信息構(gòu)成對社會管理秩序或市場經(jīng)濟(jì)秩序的侵犯時，可以將相關(guān)行為認(rèn)定為編造或故意傳播虛假信息罪、尋釁滋事罪、偽證罪、辯護(hù)人或訴訟代理人偽造證據(jù)罪、編造并傳播證券或期貨交易虛假信息罪、損害商業(yè)聲譽(yù)罪等罪名。例如，利用公眾人物的人臉、聲音等生物識別信息合成虛假發(fā)言視頻，發(fā)布不實消息造成社會恐慌，或者針對社會公共事件發(fā)表不當(dāng)言論引發(fā)公共秩序混亂的，不僅構(gòu)成對公眾人物人格權(quán)益的損害，還可能構(gòu)成編造或故意傳播虛假信息罪與尋釁滋事罪。根據(jù)最高人民法院和最高人民檢察院《關(guān)于辦理利用信息網(wǎng)絡(luò)實施誹謗等刑事案件適用法律若干問題的解釋》的規(guī)定，編造虛假信息在信息網(wǎng)絡(luò)上散布，造成公共秩序嚴(yán)重混亂的，以尋釁滋事罪定罪處罰。如果在司法程序中利用生物識別信息制作虛假證言、編造虛假證據(jù)，可能被認(rèn)定為偽證罪或辯護(hù)人、訴訟代理人偽造證據(jù)罪。而在證券期貨市場上編造傳播虛假信息的行為，可能被認(rèn)定為編造并傳播證券、期貨交易信息罪、損害商業(yè)聲譽(yù)罪。針對最為惡劣的非法使用生物識別信息威脅到國家安全的行為，可以以煽動分裂國家罪、煽動顛覆國家政權(quán)罪等罪名加以論處。

(二)現(xiàn)行刑法對個人信息保護(hù)存在的問題

盡管現(xiàn)有刑法與司法解釋從個人信息犯罪“產(chǎn)業(yè)鏈”的源頭與尾端對生物識別信息提供了相對完整的刑法保護(hù)框架，但由于生物識別信息的特殊性及侵害生物識別信息行為所引發(fā)風(fēng)險的復(fù)雜性，這套框架仍然存在以下三個方面的問題。

其一，侵犯公民個人信息罪的相關(guān)規(guī)定中未對生物識別信息明確定位，無法實現(xiàn)在個人信息犯罪“產(chǎn)業(yè)鏈”的源頭對生物識別信息給予特別保護(hù)。相較于其他個人信息，生物識別信息具有唯一性、穩(wěn)定性、易收集性與公利性的特征。一旦被不法分子所收集、傳播與利用，不僅容易引發(fā)綁架、詐騙、敲詐勒索等關(guān)聯(lián)犯罪，給被害人造成不可挽回的損害，還可能對社會穩(wěn)定乃至國家安全都造成嚴(yán)重威脅。因此，對公民個人生物識別信息的保護(hù)要求應(yīng)當(dāng)相對更高?！督忉尅冯m然基于信息內(nèi)容重要程度的不同將個人信息區(qū)分為三類，分別設(shè)置了不同的入罪標(biāo)準(zhǔn)，但是《解釋》中并未提及生物識別信息，當(dāng)然也就不可能有對生物識別信息的明確歸類。入罪標(biāo)準(zhǔn)最低的個人信息系高度敏感信息，與人身安全、財產(chǎn)安全直接相關(guān)，但《解釋》將此類信息嚴(yán)格限縮為行蹤軌跡信息、通信內(nèi)容、征信信息與財產(chǎn)信息四種，不允許司法適用中再通過等外解釋予以擴(kuò)大，因而無法涵蓋生物識別信息。①(16)①參見喻海松：《最高人民法院、最高人民檢察院侵犯公民個人信息罪司法解釋理解與適用》，中國法制出版社2018年版，第38頁。而如果將生物識別信息解釋為“可能影響人身、財產(chǎn)安全的公民個人信息”，則無法適用與高度敏感信息相同或更低的入罪標(biāo)準(zhǔn)，相應(yīng)的打擊力度也就無法實現(xiàn)對生物識別信息的特別保護(hù)。盡管2021年出臺的《意見》專門就非法獲取、出售、提供具有信息發(fā)布、即時通訊、支付結(jié)算等功能的個人生物識別信息的行為作出規(guī)定，“以侵犯公民個人信息罪追究刑事責(zé)任”，但依舊未對生物識別信息加以歸類，顯然尚不能達(dá)到對生物識別信息的特別保護(hù)效果。

其二，在個人信息犯罪“產(chǎn)業(yè)鏈”的尾端，現(xiàn)有刑法保護(hù)規(guī)定一方面忽視了非法使用生物識別信息行為的獨(dú)立社會危害性；另一方面過度強(qiáng)調(diào)事后懲罰而忽略事前預(yù)防，呈現(xiàn)出規(guī)制的無效性和適用的滯后性。②(17)②參見李騰：《“深度偽造”技術(shù)的刑法規(guī)制體系構(gòu)建》，《中州學(xué)刊》2020年第10期，第58頁。從前文分析可知，非法使用生物識別信息的行為，只有在造成具體法益侵害后果的情況下才能適用相關(guān)罪名。實際上，在個人信息犯罪“產(chǎn)業(yè)鏈”中，非法使用行為更多的是作為手段，而真正造成實際后果的是后繼行為。以非法使用生物識別信息深度偽造為例，成立侮辱罪和誹謗罪需要在制作虛假視頻的基礎(chǔ)上公開發(fā)布并且“情節(jié)嚴(yán)重”；成立詐騙罪需要在偽造人物形象的基礎(chǔ)上騙取財物；成立尋釁滋事罪需要在合成虛假音頻的基礎(chǔ)上公開傳播并“造成公共秩序嚴(yán)重混亂”。而后繼行為之所以能夠順利實施且造成如此嚴(yán)重的社會危害后果，與非法使用生物識別信息行為的嚴(yán)重社會危害性密不可分。但是，現(xiàn)有的刑法評價機(jī)制恰恰忽視了非法使用行為本身所具有的社會危害性。如果當(dāng)后繼行為尚未造成嚴(yán)重的法益侵害結(jié)果，或者非法使用與后繼行為分屬于犯罪“產(chǎn)業(yè)鏈”上的不同環(huán)節(jié)時，對于非法使用者就存在處罰上的漏洞。如制作視頻并轉(zhuǎn)讓給他人的行為，對于視頻制作者就難以按照后繼行為處罰。③(18)③參見李懷勝：《濫用個人生物識別信息的刑事制裁思路：以人工智能“深度偽造”為例》，《政法論壇》2020年第4期，第151頁。此外，實踐中還經(jīng)常出現(xiàn)未經(jīng)他人許可利用他人人臉信息注冊賬號的行為，按照現(xiàn)行刑法保護(hù)規(guī)定也無法有效加以規(guī)制。在信息社會，網(wǎng)絡(luò)上的信息傳播具有無限延展性，由此導(dǎo)致非法使用他人生物識別信息所造成的危害后果可能遠(yuǎn)遠(yuǎn)超出預(yù)見與控制的范圍。除了財產(chǎn)利益尚可通過事后修復(fù)之外，人格權(quán)益、公共利益以及國家安全的損害，都難以通過事后懲治予以補(bǔ)救。由于現(xiàn)行刑法生物識別信息的保護(hù)框架只強(qiáng)調(diào)在出現(xiàn)實害結(jié)果后才能對非法使用行為加以制裁，從而極大地削弱了刑罰的有效性，難以實現(xiàn)對生物識別信息所涉利益全面、真正和有效保護(hù)。

其三，對于生物識別信息生命周期中獲取、提供與使用以外的其他中間環(huán)節(jié)，現(xiàn)有框架并未給予相應(yīng)的保護(hù)。作為個人信息的一種，生物識別信息的生命周期包括收集、存儲、使用、共享、轉(zhuǎn)讓、公開披露與刪除等環(huán)節(jié)。①(19)①參見國家標(biāo)準(zhǔn)化管理委員會《信息安全技術(shù)個人信息安全規(guī)范》，GB/T 35273-2020。而無論是共享、轉(zhuǎn)讓還是公開披露，本質(zhì)上都是將信息提供給他人的一種方式。因此，現(xiàn)有刑法保護(hù)規(guī)定所規(guī)制的非法獲取、提供與使用行為，盡管可以涵蓋生物識別信息生命周期中收集、共享、轉(zhuǎn)讓、公開披露與使用環(huán)節(jié)的相關(guān)行為，卻無法涵蓋存儲與刪除環(huán)節(jié)的非法行為。在存儲環(huán)節(jié)，可能存在未按照規(guī)定形式存儲的違法行為，如未對生物識別信息采用加密等安全措施，未將生物識別信息與其他信息分開存儲，等等。在刪除環(huán)節(jié)，也可能存在應(yīng)當(dāng)刪除而未刪除的違法行為。對于存儲與刪除環(huán)節(jié)的非法行為，是否應(yīng)當(dāng)予以規(guī)制？應(yīng)該如何規(guī)制？現(xiàn)有的刑法規(guī)定并未給出確切答復(fù)。

三、生物識別信息刑法保護(hù)的立場和角度

(一)以人格權(quán)益為中心

隨著信息化進(jìn)程的推進(jìn)，整個社會對于信息的需求大幅增加，與此同時，個人信息的價值也日益凸顯?，F(xiàn)有理論研究表明，個人信息不僅具有人格尊嚴(yán)和自由價值，還具有重要的商業(yè)價值以及公共管理價值。②(20)②參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，《中國法學(xué)》2015年第3期，第45-46頁。在這三種價值之中，基于生物識別信息的唯一性，人格權(quán)益應(yīng)當(dāng)優(yōu)先得到保護(hù)。

“人的本質(zhì)問題，人的人格，對于法的本質(zhì)是決定性的?！雹?21)③阿圖爾·考夫曼、溫弗里德·哈斯摩爾主編：《當(dāng)代法哲學(xué)與法律理論導(dǎo)論》，鄭永流譯，法律出版社2013年版，第490頁。我國憲法規(guī)定，國家尊重和保障人權(quán)，公民的人格尊嚴(yán)不受侵犯。無論年齡、性別、教育程度、宗教信仰、社會貢獻(xiàn)等外在特征如何，每個人都享有絕對平等的尊嚴(yán)。人格尊嚴(yán)代表著理想社會中的個人所應(yīng)有的良善生活標(biāo)準(zhǔn)。因此，國家和法律的根本目的在于保護(hù)人對人格尊嚴(yán)的特別需求。而人格尊嚴(yán)的獲取，根源在于個人的獨(dú)特性。應(yīng)當(dāng)承認(rèn)，每個人都是獨(dú)一無二的存在，在與其他人的比較中都是獨(dú)特的個體，因而無法被別人所模仿和替代。正是個人的獨(dú)特性和不可重復(fù)性，人類的每個成員才擁有一種實質(zhì)性的尊嚴(yán)。④(22)④參見胡玉鴻：《個人的獨(dú)特性與人的尊嚴(yán)之證成》，《法學(xué)評論》2021年第2期，第54頁?！耙宰儺愋曰蚨鄻踊癁榛纳飳W(xué)，賦予了每一個個人以一系列的獨(dú)特屬性，正是這些特性使個人擁有了他以其他方式不可能獲得的一種獨(dú)特的品格或尊嚴(yán)?！雹?23)⑤弗里德里希·馮·哈耶克：《自由秩序原理》(上)，鄧正來譯，三聯(lián)書店1997年版，第103頁。簡而言之，國家和法律的根本目的在于維護(hù)每個個體的人格尊嚴(yán)，而人格尊嚴(yán)又來源于個人的獨(dú)特性。因此可以說，國家和法律的終極目的在于維護(hù)個人的獨(dú)特性。從前文的分析可知，生物識別信息具有唯一性的特征，恰恰體現(xiàn)了每個個體的獨(dú)特性，進(jìn)而體現(xiàn)了個人的人格尊嚴(yán)價值。然而，現(xiàn)代科技濫用生物識別信息，使得個人的人臉、聲音乃至全身都可以被復(fù)制偽造，從而每個人都不再是世間的唯一存在，個人人格尊嚴(yán)的根基也就蕩然無存。因此，國家和法律為了實現(xiàn)自身的終極目標(biāo)，必將禁止濫用生物識別信息的行為，保護(hù)每個個體的獨(dú)特性，將維護(hù)個人的人格尊嚴(yán)放在首要位置。

除了人格權(quán)益值得保護(hù)之外，個人生物識別信息的商業(yè)價值與公共管理價值的重要性也在日漸提升。在商業(yè)領(lǐng)域中，隨著經(jīng)營者利用消費(fèi)者個人信息分析喜好能力的加強(qiáng)，現(xiàn)代營銷模式從以往的大規(guī)模營銷逐漸轉(zhuǎn)變?yōu)槎ㄏ驙I銷，這反過來進(jìn)一步刺激了個人信息商業(yè)價值的發(fā)掘與運(yùn)作。因為對個人信息的廣泛需求，催生了相關(guān)信息服務(wù)產(chǎn)業(yè)的高速發(fā)展，也加快了信息的商業(yè)化利用程度。在公共管理領(lǐng)域中，公共秩序、公共安全和公共福利的推進(jìn)，都離不開公民個人信息的收集與使用。推行電子政務(wù)、建設(shè)數(shù)字政府，一直是我國信息化發(fā)展的戰(zhàn)略重點(diǎn)，也需要對個人信息進(jìn)行收集利用。⑥(24)⑥參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，《中國法學(xué)》2015年第3期，第45-46頁。然而，盡管個人信息的商業(yè)價值與公共管理價值日益重要，但無論是商業(yè)利用，還是公共管理，最終的目的都是為了個人能夠更好地生存與發(fā)展。具體而言，商業(yè)利用的重要價值在于提供便利，公共管理的重要價值在于提供便利并保障安全，便利與安全的本質(zhì)均在于讓個人享有更多自由。但實際上，生物識別信息的廣泛收集與濫用使得每個人都變成了“透明人”，被迫在信息社會中“裸奔”，給每個人帶來更多的不自由、不安全甚至恐懼感受。從這個角度而言，生物識別信息給公眾帶來的便利性，在重要程度上顯然無法比擬生物識別信息所具有的人格尊嚴(yán)和自由價值。因此，當(dāng)下理應(yīng)堅持以人格權(quán)益為中心對生物識別信息加以保護(hù)。

(二)以預(yù)防為導(dǎo)向

隨著科學(xué)技術(shù)的進(jìn)步與人類活動能力的加強(qiáng)，現(xiàn)代社會面臨著各種風(fēng)險與安全問題?；谏鐣W(xué)的觀察，現(xiàn)代社會已經(jīng)進(jìn)入了風(fēng)險社會，呈現(xiàn)出高度分工與系統(tǒng)性運(yùn)作的特征。①(25)①參見勞東燕：《風(fēng)險社會與功能主義的刑法立法觀》，《法學(xué)評論》2017年第6期，第17頁。由此，對于現(xiàn)代社會中風(fēng)險與安全問題的治理，也應(yīng)當(dāng)針對引發(fā)該問題的每一個環(huán)節(jié)加以必要的規(guī)制，形成整體性的閉環(huán)規(guī)制框架。傳統(tǒng)以結(jié)果為導(dǎo)向、以最后一個環(huán)節(jié)為治理重點(diǎn)的思路表現(xiàn)出規(guī)制的滯后性，無法實現(xiàn)良好的規(guī)制效果。由于風(fēng)險與安全問題的不可控性與嚴(yán)重危害性，在整體的規(guī)制框架中，事前的預(yù)防性控制顯得尤為重要。因此，“隨著風(fēng)險社會的來臨，國家的任務(wù)被認(rèn)為主要不是在侵害實際發(fā)生時進(jìn)行制裁，而是在危險初露端倪時就能發(fā)現(xiàn)并通過預(yù)防措施加以遏制或去除，事后的制裁反而成為預(yù)防無效時才會動用的補(bǔ)充手段?！雹?26)②勞東燕：《風(fēng)險社會中的刑法》，北京大學(xué)出版社2015年版，第63頁。面對此種危險，各國刑事立法和刑法理論所采取的對策也主要是法益保護(hù)的早期化。③(27)③參見黃麗勤、宋駿男：《未成年人數(shù)據(jù)權(quán)的二元保護(hù)研究》，《青少年犯罪問題》2020年第4期，第71頁。作為規(guī)制性的工具，現(xiàn)代刑法的重要任務(wù)在于抑制風(fēng)險與保障安全，其介入保護(hù)的時點(diǎn)也應(yīng)當(dāng)逐漸從法益侵害階段前移至危險形成階段。

近年來，以人臉識別為代表的生物識別技術(shù)取得了質(zhì)的飛躍。最新研究顯示，即使是動態(tài)人臉表情識別，準(zhǔn)確度也可以達(dá)到90%左右。④(28)④參見司馬懿等：《動態(tài)人臉圖像序列中表情完全幀的定位與識別》，《應(yīng)用科學(xué)學(xué)報》2021年第3期，第357頁。生物識別技術(shù)的高速發(fā)展催生了生物識別信息的廣泛運(yùn)用。而這種廣泛運(yùn)用一方面給社會生活帶來了巨大便利，另一方面也制造了現(xiàn)代社會的風(fēng)險與安全問題。然而，在我國現(xiàn)行刑法立法框架下，對于侵犯生物識別信息的相關(guān)行為，通常只有在造成具體法益侵害結(jié)果時方能受到刑法的有效規(guī)制。事實上，侵犯公民個人生物識別信息的行為不僅會造成信息主體的人格尊嚴(yán)與財產(chǎn)權(quán)利受到侵犯，還可能危及社會穩(wěn)定與國家安全，導(dǎo)致潛在的危險發(fā)生，危害后果遠(yuǎn)遠(yuǎn)超出行為人可以預(yù)見與控制的范圍。應(yīng)當(dāng)看到，強(qiáng)調(diào)事后懲治固然是遏制相關(guān)犯罪行為的有效手段，但正如前述，侵犯生物識別信息可能引起的人格權(quán)益、公共利益以及國家安全的損害，均難以通過帶有明顯滯后性的事后懲治措施予以補(bǔ)救。因此，針對非法使用生物識別信息的行為，恪守以結(jié)果為導(dǎo)向的制裁思路無法實現(xiàn)有效規(guī)制，應(yīng)當(dāng)轉(zhuǎn)變思路，將刑法介入的時點(diǎn)提前至危險形成階段，確立以預(yù)防為導(dǎo)向的基本立場。

四、生物識別信息刑法保護(hù)相關(guān)規(guī)定的完善

現(xiàn)行刑法與司法解釋已經(jīng)為生物識別信息的保護(hù)提供了一套較為完善的框架，但這一框架本身存在一定的不足，無法實現(xiàn)對生物識別信息的特殊保護(hù)。因此，有必要基于以人格權(quán)益為中心和以預(yù)防為導(dǎo)向的立場，完善有關(guān)個人信息犯罪“產(chǎn)業(yè)鏈”源頭與尾端的現(xiàn)行刑法規(guī)定，同時通過立法進(jìn)一步加強(qiáng)對個人信息犯罪“產(chǎn)業(yè)鏈”中間環(huán)節(jié)相關(guān)侵害行為的刑法規(guī)制，實現(xiàn)對生物識別信息安全全生命周期的覆蓋。

(一)明確生物識別信息在個人信息分類分級中的定位

以預(yù)防為導(dǎo)向的立場決定了刑法應(yīng)當(dāng)盡可能在個人信息犯罪“產(chǎn)業(yè)鏈”的源頭打擊非法獲取與提供生物識別信息的行為，而現(xiàn)行有關(guān)侵犯公民個人信息罪的規(guī)定中未對生物識別信息予以明確歸類，因此在刑法適用時顯得極為尷尬。有必要盡快明確生物識別信息的定位，同時為侵犯生物識別信息的行為設(shè)立相對較低的入罪標(biāo)準(zhǔn)，從而實現(xiàn)對生物識別信息的特殊保護(hù)。

如前所述，公民個人信息種類繁多，不同信息背后所涉及的利益與價值難以等量齊觀。與其他信息顯著不同的是，生物識別信息具有唯一性的特征，本質(zhì)上體現(xiàn)了個人的獨(dú)特性與人格尊嚴(yán)價值，因而需要刑法加以特別保護(hù)。《解釋》基于不同類型的個人信息，分別設(shè)置了“五十條以上”“五百條以上”“五千條以上”三種入罪數(shù)量標(biāo)準(zhǔn)。其中，“五十條以上”的入罪數(shù)量標(biāo)準(zhǔn)僅適用于“行蹤軌跡信息、通信信息、征信信息、財產(chǎn)信息”四種信息；“五百條以上”的標(biāo)準(zhǔn)適用于“住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息”；而“五千條以上”的標(biāo)準(zhǔn)則適用于其他一般個人信息。至于生物識別信息，《解釋》尚沒有明確規(guī)定屬于何種類型。

在筆者看來，《解釋》對個人信息種類的細(xì)分思路值得商榷。一方面，通過《解釋》對侵犯不同種類個人信息行為設(shè)置的不同入罪量刑標(biāo)準(zhǔn)可以看出，《解釋》實際上將個人信息以涉及的行業(yè)或生活領(lǐng)域的不同作為細(xì)分標(biāo)準(zhǔn)。但是，由于個人信息權(quán)利屬性和應(yīng)用場景的多樣性，相同信息完全可能涉及不同行業(yè)或生活領(lǐng)域。例如，在“刷臉付”盛行的今天，以人臉信息為代表的生物識別信息在一定的運(yùn)用場景下可以被視為是公民個人的金融賬號與密碼，具有“財產(chǎn)信息”的屬性。此外，生物識別信息也能夠在一定程度上反映個人的健康生理狀況，因此生物識別信息具有一定的“健康生理信息”屬性?？梢钥吹?，誠然，生物識別信息在不同的應(yīng)用場景下，可能表現(xiàn)為財產(chǎn)信息、健康生理信息等不同類別的高度敏感信息。但是，如果根據(jù)運(yùn)用場景或領(lǐng)域的不同以界分個人信息的類別，將生物識別信息簡單地歸類于“財產(chǎn)信息”“健康生理信息”或“其他一般個人信息”等，不僅將會使得生物識別信息的定位模糊，還忽視了生物識別信息所涉及的復(fù)合利益與價值，無法突出對公民個人人格尊嚴(yán)權(quán)益的優(yōu)位保護(hù)。另一方面，《解釋》規(guī)定“五十條以上”的入罪數(shù)量標(biāo)準(zhǔn)僅適用于“行蹤軌跡信息、通信信息、征信信息、財產(chǎn)信息”四種信息，且該條規(guī)定并未有兜底性的字眼。那么，是否就不存在與這四種信息重要程度相當(dāng)?shù)钠渌畔⒘四?？答案顯然是否定的。如前所述，生物識別信息對于個人的重要程度并不低于這四種信息，卻沒有被列入其中。

有學(xué)者提出，恰當(dāng)?shù)姆诸惙椒☉?yīng)當(dāng)是參照《個人信息保護(hù)法》的二分法，將個人信息區(qū)分為敏感個人信息和一般個人信息兩種。①(29)①參見周光權(quán)：《侵犯公民個人信息罪的行為對象》，《清華法學(xué)》2021年第3期，第35頁。筆者對此觀點(diǎn)表示贊同。《個人信息保護(hù)法》第28條第1款規(guī)定：“敏感個人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。”除此之外的個人信息都是一般個人信息。應(yīng)當(dāng)看到，《個人信息保護(hù)法》將對個人信息的保護(hù)層級同侵犯相關(guān)個人信息對公民人格尊嚴(yán)、人身、財產(chǎn)安全的侵害可能性相聯(lián)系，將生物識別信息、醫(yī)療健康信息、金融賬戶信息等均定位為敏感個人信息，在實現(xiàn)對不同個人信息的精準(zhǔn)歸類的同時，又完全契合刑法對個人信息的保護(hù)要義。

因此，筆者認(rèn)為，應(yīng)當(dāng)在《個人信息保護(hù)法》的二分法基礎(chǔ)上適時出臺相關(guān)司法解釋，對刑法中的公民個人信息的分類作出相應(yīng)調(diào)整，構(gòu)建個人信息安全分類分級的刑法保護(hù)機(jī)制。在侵犯不同種類個人信息的入罪標(biāo)準(zhǔn)方面，可以參照現(xiàn)行《解釋》，將侵犯公民敏感個人信息的起刑點(diǎn)設(shè)置為50條，將侵犯公民一般個人信息的起刑點(diǎn)設(shè)置為5 000條。當(dāng)然，即使在敏感個人信息內(nèi)部，不同的敏感個人信息關(guān)涉法益的重要程度也有所不同，可結(jié)合具體信息類型在50條的基礎(chǔ)上對起刑點(diǎn)相應(yīng)上調(diào)。按照這一思路，鑒于生物識別信息關(guān)涉公民個人人格尊嚴(yán)權(quán)益及其他復(fù)合利益，其理應(yīng)屬于最值得保護(hù)的敏感個人信息，故侵犯生物識別信息行為的起刑點(diǎn)應(yīng)當(dāng)設(shè)定在50條。

此外，對于“情節(jié)嚴(yán)重”的認(rèn)定，《解釋》第5條第1款第1項與第2項規(guī)定了關(guān)于信息用途的標(biāo)準(zhǔn)。①(30)①《解釋》第5條第1款第1項與第2項規(guī)定：“出售或者提供行蹤軌跡信息，被他人用于犯罪的；知道或者應(yīng)當(dāng)知道他人利用公民個人信息實施犯罪，向其出售或者提供的?！睂Ρ劝l(fā)現(xiàn)，“行蹤軌跡信息與一般的公民個人信息不同，是最有可能被犯罪分子利用從而威脅信息主體人身或財產(chǎn)安全的敏感信息，所以應(yīng)認(rèn)定其對于這種信息被他人用于犯罪具有概括的認(rèn)識，無須再證明其‘知道或應(yīng)當(dāng)知道’他人利用該信息進(jìn)行犯罪?！雹?31)②劉憲權(quán)、房慧穎：《侵犯公民個人信息罪定罪量刑標(biāo)準(zhǔn)再析》，《華東政法大學(xué)學(xué)報》2017年第6期，第112頁。相較于行蹤軌跡信息，生物識別信息對于信息主體更為敏感，也更加值得保護(hù)，所以從應(yīng)然的角度出發(fā)，需要認(rèn)為，出售或者提供生物識別信息的行為人主觀上對該信息可能被用于犯罪也存在概括認(rèn)識，無須再具體判斷行為人主觀上是否知道或者應(yīng)當(dāng)知道涉案信息被用于犯罪。因此，未來在制定新司法解釋時，有必要在現(xiàn)有《解釋》第5條第1款的基礎(chǔ)上增加“生物識別信息”，實現(xiàn)對生物識別信息的刑法保護(hù)。

(二)個人信息犯罪“產(chǎn)業(yè)鏈”尾端非法使用生物識別信息行為的入罪化

生物識別信息是公民的人體生理和行為特征信息，也是每個人獨(dú)一無二身份的體現(xiàn)?？梢哉f，個人信息犯罪“產(chǎn)業(yè)鏈”尾端環(huán)節(jié)中非法使用他人生物識別信息行為的危害本質(zhì)就在于非法使用他人身份信息。2020年頒布的《民法典》從民事層面構(gòu)建了個人信息民法保護(hù)的基本框架?！睹穹ǖ洹返?11條規(guī)定：“自然人的個人信息受法律保護(hù)。任何組織或者個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！?021年頒布的《個人信息保護(hù)法》在《民法典》的基礎(chǔ)上進(jìn)一步深化了個人信息法律保護(hù)的細(xì)則。《個人信息保護(hù)法》第10條規(guī)定：“任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動?！笨梢钥吹?，無論是《民法典》還是《個人信息保護(hù)法》，都嚴(yán)令禁止非法使用他人個人信息的行為。

根據(jù)前文所述以預(yù)防為導(dǎo)向的對生物識別信息的保護(hù)立場，非法使用生物識別信息行為應(yīng)當(dāng)受到刑法的規(guī)制。實際上，這一立場在一定程度上已經(jīng)得到了《意見》的承認(rèn)?！兑庖姟返?條認(rèn)為，非法使用他人相片(人臉)替換他人身份證件相片的行為屬于偽造身份證件行為，而使用前述偽造身份證件的行為，以使用虛假身份證件罪追究刑事責(zé)任。③(32)③《意見》第6條規(guī)定：“在網(wǎng)上注冊辦理手機(jī)卡、信用卡、銀行賬戶、非銀行支付賬戶時，為通過網(wǎng)上認(rèn)證，使用他人身份證件信息并替換他人身份證件相片，屬于偽造身份證件行為，符合刑法第二百八十條第三款規(guī)定的，以偽造身份證件罪追究刑事責(zé)任。使用偽造、變造的身份證件或者盜用他人身份證件辦理手機(jī)卡、信用卡、銀行賬戶、非銀行支付賬戶，符合刑法第二百八十條之一第一款規(guī)定的，以使用虛假身份證件、盜用身份證件罪追究刑事責(zé)任?！睉?yīng)當(dāng)看到，《意見》旨在對非法使用生物識別信息中的人臉信息的行為進(jìn)行規(guī)制，但由于我國現(xiàn)行刑法條文中僅規(guī)定了使用虛假身份證件罪，故對非法使用人臉信息的規(guī)制無法繞開“身份證件”這一載體。正因為如此，《意見》將對身份證件信息(相片)的替換行為認(rèn)定為對身份證件的偽造，繼而將對該身份證件信息的后續(xù)利用行為認(rèn)定為對偽造的身份證件的使用。在筆者看來，《意見》實際上是將“身份證件”的含義由傳統(tǒng)的實體證件擴(kuò)張至電子身份證件信息。當(dāng)行為人并不存在替換身份證件相片行為，而是直接非法使用他人人臉信息時，此時并不存在“身份證件”這一載體，是否可以將該行為直接認(rèn)定為使用虛假證件行為，是值得商榷的，更遑論生物識別信息不僅包括人臉信息，還包括指紋、虹膜等各種信息，明顯超出了身份證件的語義范圍。因此，非法使用生物識別信息的行為并不能當(dāng)然以使用虛假身份證件、盜用身份證件罪加以論處。換言之，當(dāng)前刑法對生物識別信息的非法使用行為尚不能有效地進(jìn)行規(guī)制。刑法相關(guān)條文規(guī)定若仍然囿于《刑法修正案(七)》和《刑法修正案(九)》所規(guī)定的非法出售、提供、獲取行為方式的固定框架，將可能陷入對包括生物識別信息在內(nèi)的個人信息刑法保護(hù)不充分的困境。

應(yīng)當(dāng)看到，囿于立法者所處時代的局限性，過去的立法者受到立法背景、立法當(dāng)時的社會客觀條件以及人們思維認(rèn)識等諸多限制，不可能預(yù)測到社會的情勢變更以及隨之出現(xiàn)的各種新興犯罪行為。因此，以立法當(dāng)下的社會現(xiàn)狀為藍(lán)本制定的刑事規(guī)范不可避免地具有滯后性，在面對當(dāng)前有關(guān)生物識別信息的新興犯罪時，難免“力有不逮”。在此基礎(chǔ)上，筆者認(rèn)為，有必要在保持刑事立法穩(wěn)定性的基礎(chǔ)上，進(jìn)行一定程度的立法調(diào)整。具體而言，筆者建議，在《刑法》第253條之一侵犯公民個人信息罪的規(guī)定中增加非法使用公民個人信息的行為方式，以實現(xiàn)對非法使用包括生物識別信息在內(nèi)的個人信息的刑法保護(hù)。

(三)個人信息“犯罪產(chǎn)業(yè)鏈”中間環(huán)節(jié)侵犯生物識別信息行為的入罪化

在生物識別信息生命周期中的存儲與刪除環(huán)節(jié)，不應(yīng)存儲而非法存儲、應(yīng)當(dāng)刪除而不刪除的非法留存行為具有與非法獲取行為同等的社會危害性，但基于罪刑法定原則的要求，無法被納入侵犯公民個人信息罪的規(guī)制范疇。

應(yīng)當(dāng)看到，公民個人信息被非法獲取或提供給他人之后，極易引起不法分子的非法使用行為，由此導(dǎo)致公民個人人格權(quán)益、財產(chǎn)權(quán)益以及社會秩序遭到侵害。也就是說，一旦個人信息被非法獲取或提供給他人，個人信息所涉及的個人權(quán)益與社會秩序都將處于一種危險狀態(tài)之中。非法獲取或提供行為的違法性本質(zhì)在于，沒有資格取得個人信息的主體取得了個人信息，從而使得個人信息所涉及的相關(guān)利益隨時可能受到侵犯。與之相似的是，不應(yīng)存儲而非法存儲、應(yīng)當(dāng)刪除而不刪除的非法留存行為同樣也使不再具有控制資格的主體取得了對信息的持續(xù)性控制，進(jìn)而使相關(guān)信息所涉及的個人權(quán)益與社會秩序隨時可能受到侵犯。因此，基于實質(zhì)考量，非法留存與非法獲取行為在一定程度上具有同等的社會危害性。

但是，由于個人信息非有形的存在形態(tài)，對個人信息的獲取行為本質(zhì)上是“從無到有”(也包括“從明確到不明確”)、“從不知悉到知悉”的過程，而不應(yīng)當(dāng)存儲而非法存儲、應(yīng)當(dāng)刪除而未刪除的非法留存行為則表現(xiàn)為“知悉”狀態(tài)的不當(dāng)延續(xù)。雖然兩者都體現(xiàn)了無權(quán)享有信息內(nèi)容的主體對該信息內(nèi)容保密狀態(tài)的侵害，但無論是從一般人對“獲取”這一詞義理解的角度，還是從相關(guān)法律用語習(xí)慣的角度，對個人信息的非法留存顯然屬于個人信息獲取后的狹義的處理行為，與信息獲取分屬不同的環(huán)節(jié)。在此意義上，將非法留存公民個人信息的行為實質(zhì)認(rèn)定為“以其他非法方法獲取公民個人信息”進(jìn)而以侵犯公民個人信息罪定罪處罰實有類推解釋之嫌。①(33)①參見劉憲權(quán)、石雄：《網(wǎng)絡(luò)數(shù)據(jù)犯罪刑法規(guī)制體系的構(gòu)建》，《法治研究》2021年第6期，第50頁。因此，筆者認(rèn)為，在未來的刑事立法過程中，可以考慮將對個人信息的“持有”型行為納入侵犯公民個人信息罪的規(guī)制范圍，以規(guī)范無權(quán)主體非法持有個人信息、有權(quán)主體超越權(quán)限非法留存?zhèn)€人信息等行為，從而實現(xiàn)對包括生物識別信息在內(nèi)的個人信息非法留存行為的刑法規(guī)制。

與之不同的是，在生物識別信息生命周期中的存儲環(huán)節(jié)，對于不按照規(guī)定形式存儲信息的行為，則無法也無須被納入侵犯公民個人信息罪中的規(guī)制范疇。不按照規(guī)定形式存儲信息通常表現(xiàn)為信息控制主體沒有采用加密等安全措施，或者沒有將生物識別信息與其他信息分開存儲。在此情形下，信息控制主體始終具有控制相關(guān)信息的資格。該主體的不當(dāng)存儲行為僅在一定程度上導(dǎo)致相關(guān)信息被他人非法取得的風(fēng)險得以升高，而并沒有造成信息為他人實際獲取，也因此不會使相關(guān)信息所涉及的個人權(quán)益或社會秩序陷入危險狀態(tài)。然而，如前所述，非法獲取或提供行為的違法性本質(zhì)在于沒有資格取得個人信息的主體取得了個人信息，從而使得個人信息所涉及的相關(guān)利益隨時可能受到侵犯。因此，從行為方式和行為效果上看，不按照規(guī)定存儲生物識別信息的行為顯然與非法獲取或提供行為完全不同，前者在本質(zhì)上尚不具有后者的違法性，我們無法也無須以侵犯公民個人信息罪追究行為人的刑事責(zé)任。

五、結(jié)語

當(dāng)今世界，信息技術(shù)創(chuàng)新日新月異，以數(shù)字化、網(wǎng)絡(luò)化、智能化為特征的信息化浪潮蓬勃興起。隨著社會信息化的深入發(fā)展，全球治理體系深刻變革，只有在信息化上占據(jù)制高點(diǎn)，才能夠掌握先機(jī)、贏得未來。①(34)①參見中共中央辦公廳、國務(wù)院辦公廳：《國家信息化發(fā)展綱要》，中國政府網(wǎng)，http://www.gov.cn/xinwen/2016-07/27/content_5095336.htm，2021年5月9日訪問。在此背景下，實現(xiàn)信息化領(lǐng)域的核心技術(shù)突破，促進(jìn)信息資源的開發(fā)利用，成為我國科技競爭力領(lǐng)先于世界的關(guān)鍵。作為信息資源的一種，生物識別信息伴隨著近年來信息技術(shù)的高速創(chuàng)新發(fā)展而得到了廣泛運(yùn)用，帶來了巨大的商業(yè)價值與公共管理價值。然而，有別于其他信息資源，生物識別信息的唯一性決定了其關(guān)涉公民個人的人格尊嚴(yán)，因此應(yīng)該得到國家與法律特別保護(hù)。我們欣喜地看到，各個地方已經(jīng)意識到了這一問題，陸續(xù)出臺相關(guān)條例禁止采集生物識別信息。例如，天津市2021年1月1日施行的《天津市社會信用條例》禁止市場信用信息提供單位采集生物識別信息；深圳市人大常委會2021年7月6日發(fā)布的《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》禁止App強(qiáng)制使用人臉識別。而在刑法領(lǐng)域，現(xiàn)行刑法保護(hù)的規(guī)定仍然相對滯后。只有堅持以人格權(quán)益為中心、以預(yù)防為導(dǎo)向的立場，完善有關(guān)個人信息犯罪“產(chǎn)業(yè)鏈”源頭與尾端的現(xiàn)行刑法規(guī)定，同時加強(qiáng)對個人信息犯罪“產(chǎn)業(yè)鏈”中間環(huán)節(jié)相關(guān)侵害行為的刑法規(guī)制，實現(xiàn)對生物識別信息安全全生命周期的覆蓋，才可在促進(jìn)信息化發(fā)展的同時實現(xiàn)對生物識別信息的特別保護(hù)。