杨艳
东南大学法学院硕士生
要目
一、刑法规制的现实困境
二、“犯罪工具型”生物识别信息研究
三、犯罪工具型生物识别信息行为研究
四、“犯罪对象型”生物识别信息研究
结语
随着人脸识别、指纹识别等新兴技术的快速发展使得生物识别信息技术被广泛应用,因此业界存在诸多个人信息滥用现象。个人信息的不正当收集和利用,使公民的人身安全和财产安全面临极大威胁。民法典明确表述了对生物识别信息的重视与保护,将生物识别信息与一般个人信息做了区分,但刑法规范并没有对此给予及时回应。目前,关于侵犯生物识别信息行为无论是一罪论处还是数罪并罚都没有考虑到生物识别信息的特别之处,仅将其作为一般个人信息对待。因此,立足于生物识别信息的特殊性,探讨生物识别信息作为犯罪工具和犯罪对象所涉及行为的刑法规制。
随着新兴信息技术的快速发展,生物识别信息已经成为当今信息社会的重要组成部分。生物识别信息的获取、传播和利用随着信息技术的发展也变得更为简单和便利,但这也导致了侵犯生物识别信息的行为日益增多。目前,刑法关于侵犯生物识别信息犯罪更多的体现于刑法第253条之一侵犯公民个人信息罪的相关规定,现行侵犯公民个人信息罪对于侵犯生物识别信息行为的规定较为模糊,只是将生物识别信息笼统认定为一般个人信息。由此,对于侵犯公民生物识别信息相关行为的定罪处罚难以做到罪责刑相适应,也不利于保障公民信息及生绕侵犯公民个人信息罪所保护的法益而展开。对于侵犯生物识别信息行为的罪数认定需结合具体行为分析,本文基于两类侵犯生物识别信息行为,结合前置法相关规定和不同类型的有关生物识别信息犯罪行为所侵犯的法益,探讨在不同类型的行为模式下如何对相关行为定罪量刑。
生物识别信息与一般个人信息相混同
生物识别信息具有不可替代性。生物识别信息是在信息化时代背景下,将公民个人身体特征进行数字化处理后的信息,既包括容易感知的指纹、人脸、声音等信息,也包括难以感知的基因、虹膜等信息。美国部分州甚至将睡眠、运动及步态等也纳入了生物识别信息范围。生物识别信息体现了个人的独一无二性,直接反映了公民的身体、生理及行为特征。一方面生物识别信息具有高度可识别性;另一方面,生物识别信息与人身直接相关,具有高度敏感性。与电话号码、账户密码等信息相比,由于生物识别信息具有不可替代性,生物识别信息受到侵犯所造成的损失将是不可逆的。
生物识别信息具有易受侵害性。近年来,通过3D打印技术、AI合成技术等复制、伪造人脸、声音、指纹等而侵犯他人财产的案例层出不穷。生物识别信息与一般个人信息的特殊性与差异性,加之生物识别信息的应用范围在娱乐游戏、信息通信、金额支付等方面都有所涉及,生物识别信息的使用已经逐渐形成了链条状,任何一个运用领域的生物识别信息遭受侵害,都可能对其他运用方面也造成严重侵害。不可否认,生物识别信息的应用为人们的生活带来了便利与乐趣,但这种爆发式增长的使用很可能让信息时代的每个人成为大数据背景下的“透明人”。
刑法对于生物识别信息的回应不足
针对生物识别信息法律规制总体欠缺。民法典第一千零三十四条、一千零三十五条明确表述了公民个人信息受法律保护范围以及处理个人信息应当遵循的原则,其中第一千零三十四条将生物识别信息与其他公民个人信息一样,对于其中的私密信息适用隐私权的相关规定,明确将生物识别信息纳入公民个人信息保护范围。但是,对于生物识别信息的具体内容、与其他公民个人信息的区别等未作规定。网络安全法第41条强调了知情同意对于使用公民个人信息的重要性,规定个人信息收集与使用的合法、正当、必要原则。无论是刑法第253条之一的规定还是个人信息保护法,都没有将生物识别信息与一般公民个人信息相区分,多是将其纳入一般个人信息加以规制。总体而言,生物识别信息的特殊性未被关注到。
刑法规制与前置法规制相脱节。刑法规定中与侵犯公民生物识别信息犯罪行为相关的罪名包括侵犯公民个人信息罪、非法获取计算机信息系统数据罪等,在利用公民个人信息实施盗窃、诈骗行为后也可能构成盗窃罪、诈骗罪等。侵犯公民生物识别信息行为包含了作为犯罪工具和犯罪对象两种,对于不同的行为类型应该如何定罪处罚,是以一罪论处还是数罪并罚,刑法并没有对其进行明确规定,理论界也多是笼统将侵犯公民生物识别信息行为进行探讨。侵犯公民生物识别信息的相关行为是以重罪论处还是数罪并罚最重要的是厘清相关行为侵犯的法益,结合相关前置法进行探讨,刑法应该与前置法相衔接。侵犯公民个人信息罪明确表述了违反相关规定的表述,以民法典为例,其中明确将公民个人信息与隐私信息进行了区分,不同种类的信息具有不同的保护力度,对于隐私信息应该施以更加严格的措施。但是,从刑法相关表述可知其将公民个人信息、隐私信息、生物识别信息混为一谈,在信息时代,可以说生物识别信息应该作为隐私中的隐私信息,这种不加区分的规定为公民生物识别信息的保护形成了阻碍。
“犯罪工具型”生物识别信息是指在信息化时代,行为人通过窃取、购买生物识别信息后又实施其他犯罪行为。在定罪量刑时,“犯罪工具型”生物识别信息包括了获取生物识别信息行为及利用生物识别信息进行其他犯罪的行为,本章围绕在该情形下定罪量刑时应以数罪并罚还是一罪论处进行认定而展开。
定罪量刑理论争议
1.数罪并罚
部分学者认为,通过购买、窃取等方式非法获取公民生物识别信息后,利用生物识别信息的唯一性等特点实施盗窃、诈骗等犯罪行为,既侵犯了公民的个人信息安全,又侵犯了其他人身、财产利益。因为侵犯了多个法益,所以只有数罪并罚才能做到打击犯罪、威慑犯罪,从而预防相关犯罪行为的发生。还有部分学者以法律规定为依据,提出根据大陆2013年《最高人民法院、最高人民检察院、公安部关于依法惩处侵犯公民个人信息犯罪活动的通知》第2条,以及2016年《关于办理电信网络诈骗等刑事案件适用法律若干问题的解释》第3条,对于类似行为明确指出应当数罪并罚。如果行为人连续实施了多个行为并都构成犯罪的,除法律上另有规定外,原则上都应进行数罪并罚。非法获取公民个人生物识别信息后又实施其他犯罪行为,如果仅是以一罪论处将遗漏评价,也与大陆的立法宗旨和原则相违背。
2.牵连犯说:以一罪论处
主张以一罪论处的学者主要是认为非法获取行为与之后的盗窃、诈骗等行为之间具有牵连关系。从已有的有关牵连犯的三种学说来看,无论是以行为人主观意识作为认定标准的主观说,还是以客观上行为与结果之间是否存在因果关系的客观说,或者是综合客观说与主观说,综合考虑行为人主观、行为、结果的折中说,都认为将生物识别信息作为犯罪工具实施其他犯罪行为的情况下,前后行为之间都将具有牵连关系。虽然,侵犯公民生物识别信息的行为并不是实施盗窃、诈骗等犯罪行为的唯一手段行为,但随着数字时代的高速发展,生物识别信息所承载的个人信息量及与个人的密切程度相较于传统手段所造成的损害后果只会更加严重,将生物识别信息作为犯罪工具已经成为盗窃、诈骗等犯罪行为通常意义之手段行为,对于相关行为也应该以一罪论处,如果实施数罪并罚将会对前部分侵犯生物识别信息行为重复评价。
“犯罪工具型”生物识别信息相关犯罪行为主要特点包括以下两点:一是从行为外观来看连续实施了多个行为;二是从主观目的来看,行为人实施侵犯公民生物识别信息的行为是为了其他犯罪行为做铺垫,而且后行为犯罪的犯意是实施行为之前已经存在的,并不属于临时起意。数罪并罚理论主要是因为是否应该数罪并罚主要依据行为所侵犯的法益,在此情形下,行为人实施了多个行为,而且这些行为侵犯了多个法益,所以应该数罪并罚。牵连犯说主要是以目的行为与结果行为之间的因果关系,以骗取他人生物识别信息后实施诈骗行为为例,骗取他人生物识别信息的行为虽然构成侵犯公民个人信息罪,但其目的是为了实施诈骗行为,所以只因以重罪即诈骗罪处断。上述两种观点是对相关行为的笼统地评价,但事实情况是在不同的情形下如何定罪处罚是存在差异的。因此,在将生物识别信息作为犯罪工具依据不同类型分别进行评价更能实现罪责刑相适应,同时也能最大程度上规避各理论的固有弊端。
获取生物识别信息供自己犯罪
获取生物识别信息供自己犯罪应以吸收犯理论以一罪论处。以行为人实施了窃取了大量公民生物识别信息后进行敲诈勒索的行为为例。虽然单独来看,行为人实施了两个行为,第一个行为构成侵犯公民个人信息罪,第二个行为构成敲诈勒索罪,但这两个犯罪之间又存在着类似于依附与被依附之间的状态,也正是因为这种特殊状态,侵犯公民个人信息罪与敲诈勒索罪之间存在吸收关系与被吸收关系。在这种关系中,侵犯公民个人信息犯罪行为并不具有较强的独立性,而该行为被更具有独立性的敲诈勒索罪行为所吸收,综合来看,在最终定罪处罚时也应该以主动吸收的敲诈勒索罪定罪处罚。看似侵犯公民个人信息罪与敲诈勒索罪是两个单独的罪名,但这两个罪之间具有极其紧密的联系,这种联系也为罪行的吸收提供了可能性。
相较于牵连犯理论,吸收犯理论更具有合理性。牵连犯和吸收犯在最终结果上具有相似性,即都是以一罪论处,但是在主观意图与刑罚结果的联系上吸收犯理论更适用于非法获取生物识别信息供自己犯罪的相关情形。非法获取生物识别信息供自己犯罪既存在同质行为,又存在不同质行为,而牵连犯无法适用于不同质行为的牵连,吸收犯适用范围更加广泛,能更符合在此情形下侵犯生物识别信息行为的规制需求。综上,在非法获取生物识别信息供自己犯罪的情形下,通过吸收犯理论对侵犯生物识别信息及其他行为进行认定更加符合罪责刑相适应原则,为非法获取生物识别信息供自己犯罪情形中许多复杂的、难以判断的情况提供了较为清晰的判断,在此理论下获取生物识别信息行为无论是合法还是非法在被其后犯罪吸收的情形下能够得到合理解释。
获取生物识别信息供他人犯罪
获取生物识别信息供他人犯罪相关行为应该数罪并罚。此处所指获取生物识别信息供他人犯罪是指行为人合法或者非法获取他人生物识别信息后,明知他人利用自己所提供的生物识别信息实施犯罪仍向他人提供生物识别信息的行为。获取生物识别信息供他人犯罪,单独来看,首先行为人非法获取公民生物识别信息或者合法获取公民生物识别信息后未经同意非法提供给他人的,依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)相关规定已经构成侵犯公民个人信息罪。其次,行为人明知他人利用公民生物识别信息实施其他犯罪仍故意为其提供生物识别信息的,属于其他犯罪行为的帮助犯,也应承担刑事责任。在此情形下,如果运用吸收犯理论,则需是重行为吸收轻行为,而孰重孰轻,究竟是以主犯与从犯,还是以量刑结果,判断标准难以确定,而且其结果亦会存在不合理之处,同时也不能判断两行为之间存在必然的牵连关系。综上,获取生物识别信息供他人犯罪相关行为数罪并罚符合罪责刑相适应的原则,也符合司法实践认定需求。
将侵犯犯罪工具型生物识别信息行为分为获取生物识别信息供自己犯罪和获取生物识别信息供他人犯罪,依据不同情形分别进行认定,这样也就避免了传统单一的一罪论处模式或者数罪并罚模式所依据标准的缺陷。具体而言,在获取生物识别信息供自己犯罪的认定中运用吸收犯理论而不是牵连犯理论。虽然在最终的呈现结果上都是以一罪论处,具有相似性,但吸收犯理论在主观上不要求行为人必须只具有一个犯意,客观方面也可适用于同质行为,所以吸收犯理论在主观与客观方面都更加具有合理性。在获取生物识别信息供他人犯罪的认定上,对不同行为分别进行认定,最后实行数罪并罚,相较于获取生物识别信息供自己犯罪,获取生物识别信息供他人犯罪涉及更加复杂的主体,而且在主观上何时起的犯意等的认定更加难以确定,获取生物识别信息供他人犯罪中实行数罪并罚在责刑认定及犯罪行为认定的周延上具有合理性。
生物识别信息财产性质认定
认定生物识别信息的财产性质是指将生物识别信息作为特殊财产予以保护,传统对于生物识别信息或者一般个人信息往往是通过人格权、隐私权为基础加以保护。主张保护生物识别信息的财产权的学者认为,认定生物识别信息的财产性质无论在理论上还是实践中都具有合理性与可行性。目前,主要对生物识别信息的探索主要分为两类:一是与生物基因组织相关;二是与生物特征相关。首先是与生物基因组织相关的信息保护,基因信息在国外早有被应用于商业开发的先例,1976年摩尔因特殊白血病需切除脾脏,因为被切除的脾脏基因特殊而利用开发出了一系列治疗白血病的产品,摩尔主张对其脾脏拥有“财产转换”,要求获得相应的赔偿与分红。以康恩法官为代表的支持者认为科学和市场不应该具有优先地位,确认基因组织的财产性质,才是对个人或者团体利益的更好保护,而且美国的法律体系承认人的肖像和姓名等生物特征之中是存在财产权利的,公民个人应该拥有自己生物基因组织的占有、使用和收益的权利。反对者的理由是承认了基因组织的财产性利益就相当于变相承认了器官买卖的合法性,个人的器官不单单属于个人,更属于社会。笔者认为,一味牺牲个人利益是不合理的,本案中公民个人对生物基因组织所拥有的财产权可以看作是一种有限财产权。一方面,要肯定像摩尔一样因为身体健康需要而摘除的器官再研究而获得的财产利益,另一方面,也可通过设定限制性条件,防止器官买卖等违背社会伦理及一般道德认知情况的出现。
其次是生物特征相关的信息保护。随着信息化时代的快速发展,生物特征相关信息对人产生的影响影响范围越来越广泛,对生物特征信息的利用也越来越深入,像面部、指纹、虹膜等生物识别信息本身的数据特征也蕴含着巨大经济利益。在米勒诉福特汽车公司案中,鲁南法官明确指出法律保护包括已故人的姓名、声音、照片等权利,承认其具有财产性质。目前,个人信息保护法明确了关于个人生物识别信息的利用需要去识别化方可利用,此规定虽然为企业利用生物识别信息设定了门槛,但是这也承认了对生物识别信息的合理化利用。作为数据的来源者,如果不承认生物特征相关的生物识别信息的财产性质的结果是不平等,既包括可得利益的不平等,又包括侵犯生物识别信息后后果承担上的不平等。
认定生物识别信息具有财产性质理论上最主要的障碍是隐私权,正如有的学者所指出,财产权包括了所有权、债权、继承权,一旦赋予生物识别信息财产性质就意味着权利人可以对其进行占有、支配、流通和分配。一方面,经济利益的驱动就可能促使权利人舍弃对隐私权,从而引发隐私保护危,另一方面,亦可能引发对生物识别信息的滥用。但换种角度来说,上述反对意见通过合理规制即可避免,而且赋予生物识别信息财产性质,不仅能够促进信息主体与信息利用者之间对信息利用的利益进行合理分配,而且在公民生物识别信息遭受侵犯时能够通过主张财产权获得经济利益补偿,这也并不与隐私权等权益相冲突。
生物识别信息作为犯罪对象的情形下,将生物识别信息认定具有财产性质后,该侵犯生物识别信息的行为既侵犯了公民个人信息权,又侵犯了财产权。一方面,既可以认定为侵犯公民个人信息罪进行处罚,另一方面亦可通过财产犯罪进行论处,通过想象竞合的方式进行处理。侵犯公民个人信息罪的量刑区间为七年以下,虽然有罚金刑,但是对于受害人来说难以获得经济赔偿,生物识别信息具有唯一性、高度可识别性和难以更改性,一旦受到侵害,对受害人将造成难以弥补的损失。认定生物识别信息的财产性质弥补了侵犯公民个人信息罪的相关缺陷。因为,生物识别信息不同于一般公民个人信息,所以引入财产犯罪能够进一步威慑犯罪,对于窃取生物识别信息、破坏生物识别信息、骗取公民生物识别信息等行为的定罪处罚更具合理性。认定生物识别信息的财产性质不仅是一种经济利益分配机制,是生物识别信息所有者和使用者之间的利益平衡,更是预防和打击侵犯公民生物识别信息相关犯罪行为的重要手段。
生物识别信息定罪量刑标准再建
一是关于侵犯生物识别信息的具体刑法规定欠缺。刑法第253条之一关于侵犯公民个人信息罪明确规定了,侵犯公民个人信息行为入罪的前提是情节严重,《解释》对于什么是情节严重,以及不同类型信息的入罪标准做了相应阐释。《解释》第5条关于“情节严重”的表述采取了非穷尽式列举的方式,第5条第3款明确陈述了对于非法向他人提供公民的行踪信息、通信信息、征信信息、财产信息的入罪标准为五十条,第5条第4款指出非法获取、出售或提供其他健康生理信息、住宿信息、通信信息等可能影响人身、财产安全的公民个人信息的入罪标准是五百条,除上述公民个人信息以外所能认定为情节严重的标准是五千条。从上述规定我们可以看到《解释》中并没有关于生物识别信息的相关规定,因此,对于侵犯公民生物识别信息的行为如果以侵犯公民个人信息罪论处。依据《解释》相关规定,不考虑犯罪所得额及是否累犯等其他情节的情况下,就所涉及的信息数量而言,只能将生物识别信息作为“其他可能影响人身、财产安全的公民个人信息”或者“第3项、第4项规定以外的公民个人信息”。
二是现行规定与规制侵犯生物识别信息行为的需求不相符。“其他可能影响人身、财产安全的公民个人信息”和“第3项、第4项规定以外的公民个人信息”入罪标准分别是五百条以上和五千条以上,但是侵犯他人行踪信息、通信信息、征信信息、财产信息行为入罪标准仅为五十条。生物识别信息作为公民独一无二的,具有高度可识别性的,一旦受到侵犯就会造成更加严重后果的个人信息,而且面对高度发达的通信网络,一旦生物识别信息遭受泄露将面临许多危害公民人身安全、财产安全的隐藏风险,与行踪信息、通信信息、征信信息、财产信息等这些一般个人信息相比较而言需要更加严格的法律保护,依据“举轻以明重”原则,也应侵犯让公民生物识别信息行为所涉及的入罪标准低于五十条。但依据现行刑法及相关司法解释的规定的事实是在其遭受侵犯后,犯罪嫌疑人实施侵犯生物识别信息行为后所承担的后果不能与其行为的严重性相匹配。
首先是明确对于侵犯生物识别信息行为的定罪量刑标准。将侵犯生物识别信息行为明确入刑在国外早有先例,有的国家甚至通过对侵犯生物识别信息的行为和种类以分类列举的方式单独设立犯罪。例如,美国为打击身份盗窃行为,在《防止身份盗窃及假冒法》中宣布盗用他人身份为违反联邦法律的罪行,明确列明了生物识别数据包括指纹、声纹、虹膜等。印度相关法律也承认了生物识别信息属于特殊敏感信息,并通过非法获取、转让或出售敏感个人数据罪对侵犯生物识别信息行为加以规制。无论是从域外保护经验,还是从大陆实践需要来看,刑法都应明确对生物识别信息的保护,如果说引用新的罪名的条件还不成熟,至少应该在侵犯公民个人信息罪中对于侵犯生物识别信息行为给予明确和更加严格的保护。
其次是对于侵犯生物识别信息行为在定罪量刑中应采取更为严厉的标准。上文已经提到侵犯他人行踪信息、通信信息、征信信息、财产信息行为入罪标准仅为五十条,那么对于侵犯生物识别信息的应低于五十条即可入罪,在量刑时也应该考虑对公民可能带来的潜在危害。而且对于侵犯公民生物识别信息行为在适用《解释》第10条关于不起诉、免于起诉和从宽处罚等情形时,除了考虑犯罪嫌疑人、被告人的认罪态度、赃款退回等情况外,还应将生物识别信息是否有进一步泄露风险纳入考量范围。
因为生物识别信息的特殊性,其在很多领域都得到了广泛应用,发挥着超越了一般个人信息的独特作用。面对生物识别信息所体现的巨大商业价值和广泛的应用,以及在这过程中出现的各种乱象,刑法必须守好最后一道防线,对相关行为进行规制。本文以“犯罪工具型”和“犯罪对象型”生物识别信息为基点,结合法益分析,分类探讨如何定罪处罚。生物识别信息的运用改变着每个人的生活习惯,在高速发展的算法时代,只有完善的法律体系才能平衡好个人利益、社会利益和国家利益。
