树人论文网一个专业的学术咨询网站!!!
树人论文网

生物特征识别信息失范性传播的刑事治理困境及其出路

来源: 树人论文网发表时间:2021-10-14
简要:摘 要:随着智能信息技术的发展,违法犯罪的手段由物理性识别向技术性识别的裂变,生物特征识别信息失范性传播入罪存在诸多司法适用困境。具体而言,生物特征识别信息传播数量

  摘 要:随着智能信息技术的发展,违法犯罪的手段由物理性识别向技术性识别的裂变,生物特征识别信息失范性传播入罪存在诸多司法适用困境。具体而言,生物特征识别信息传播数量危害性评价错位,社会信赖度与安全感流失;生物特征识别信息传播入罪标准与法益侵害程度脱节,为黑灰产业链的泛滥提供裂变的空间;未区分信息敏感程度的内在差异性,行为模式无法涵盖;生物特征识别信息积量构罪层级保护失衡,罪量条件设置欠缺合理性。为解决生物特征识别信息传播入罪司法适用困境,本文在规范性体系下提出刑事风险化解的具体路径。主要包括:明确传播数量危害结果类型的等价性与法益侵害相当性原则;“信息敏感程度+社会危害程度”认定刑量类型化的标准;科学调整及优化生物特征识别信息失范性传播刑罚配置,构建刑罚均衡治理模式。

生物特征识别信息失范性传播的刑事治理困境及其出路

  王文娟, 科技与法律(中英文) 发表时间:2021-10-11

  关键词:生物特征识别信息;法益侵害性;人脸识别技术;一般社会信息;信息敏感程度

  一、问题的提出

  生物特征识别是指通过可计算的生物特征进行身份认证的一种技术,包括身体特征和行为特征两类,前者是指先天性的生理信息,而后者则是社会生活中形成的行为信息,需要说明的是,本文的生物特征识别信息侧重对身体特征信息的研究[1] 。生物特征识别信息与一般公民个人信息存在显著的区别,生物特征识别信息具有专有性与不可变更性,一旦造成失范性传播将带来不可挽回的损失。生物特征识别技术促成信息交互的便捷性与精准性,一方面,验证通过生物特生识别具有不可更改的专属性,有效规范社会治理秩序,精准提高社会管理水平;另一方面,生物特征识别信息的肆虐传播致使社会道德失范现象的扩张,进而导致利用生物特征识别信息实施下游犯罪案件的异化与泛滥。例如,近期上海虹口区检方公诉的一起涉案金额超过5亿元的虚开发票案中,犯罪嫌疑人先购买他人的高清头像和身份证信息,之后利用 APP将照片活化,形成动作视频,在人脸认证环节系统获取之前形成的动作视频误认为是实时行为,最后成功通过认证①。生物特征识别技术在带来社会效益的同时,其所伴随的风险也将是难以估量的,刑法作为社会保障的最后一道篱笆,若对此种社会失范行为置之不理,将悖离刑法谦抑性原则的根本要求。对此,本文在对295份涉及生物特征识别信息入罪司法裁判文书梳理与解读的基础上,以明晰生物特征识别信息失范性传播入罪刑事治理的必要性与可行性,并提出具体的风险规制路径。

  二、利用生物特征识别信息实施犯罪行为的类型化解读与裁判现状

  风险感知总是与不安相伴,生物特征识别信息泄漏风险加剧公众的焦虑感和危机感,面对信息化社会的挑战与不确定性,不仅需要公民个人加强对生物信息风险裂变的防范意识,同时也需要刑事法律规范积极应对生物特征识别信息的失范性传播[2] 。生物特征识别信息涉及政务、安防、金融、支付等领域的价值正被进一步的挖掘利用,失范性传播生物特征识别信息的行为与传统社会相比,其法益侵害程度更为严峻,传统的司法解释对公民个人信息保护的规定俨然与现阶段数据化时代的生物特征识别信息传播的法益侵害程度相脱节。例如,即使行为人仅是非法获取一条生物特征识别信息,利用活化技术等新型犯罪手段,分析比对绘制动作视频以通过人脸识别系统内部验证机制和评判规则后实施下游犯罪,也将会带来不可挽回的人身、财产损失以及不可弥补的永久性信息泄漏[3] 。

  基于 295 份生物特征识别信息入罪的刑事裁判文书的现状归纳和刑法有关生物特征识别信息实施犯罪行为的类型化解读分析,可知司法实践中生物特征识别信息失范性传播滋生下游黑灰产业犯罪行为已呈现迭代异化之势,如何抵御生物特征识别信息失范性传播的风险成为社会关注的热点。现阶段,对于生物特征识别信息的研究大多局限于民事法律层面,虽然《刑法》并未将单纯的生物特征识别信息失范性传播的行为认定为犯罪,但是利用生物特征识别信息引发的下游犯罪行为的社会危害性逐渐显现。因此,在探讨生物特征识别信息失范性传播刑事规制困境之前,有必要依据现有的裁判文书对相关刑事法律进行梳理与评析,并探寻生物特征识别信息失范性传播刑事规制路径的客观规律。

  (一)利用生物特征识别信息实施犯罪行为的类型化解读

  依据“生物特征识别信息入罪的具体情形”见表 1,可以发现司法实践中利用生物特征识别信息实施犯罪的行为已呈现出常态化的发展趋势。经过归纳总结可知,现阶段利用生物特征识别信息实施犯罪种类具体包括:金融诈骗,侵害人身权利、民主权利,破坏金融管理秩序,危害税收管理,扰乱公共秩序,侵犯财产等6类,具体涵摄的罪名有12个。生物特征识别信息入罪的具体情形主要包括以下几种类型:第一种类“无意识型生物特征识别”;第二种类“强迫威胁型生物特征识别”;第三种类“骗取型生物特征识别”;第四种类“照片活化等新型技术模拟型生物特征识别”。至此可知,前三种类型仍需被害人积极配合以通过生物特征识别验证,而第四种类型则在物理空间脱离被害人,直接根据现有的生物识别照片利用活化技术以制作视频通过系统验证程序并实施下游黑灰产业链的犯罪行为。即犯罪手段从“低位阶的物理识别—中位阶活化照片模拟技术识别”的演变,同时也需警惕利用生物特征识别信息裂变为更严重的犯罪,因此对生物特征识别信息应给予更为严格、特殊的保护。

  (二)司法裁判的现状归纳

  本文的数据是笔者通过无讼网进行的直接筛选与挖掘,截止2021年4月19日,笔者在无讼案例网搜索栏中分别输入“人脸识别”、“刑事案件”以及“指纹识别”、“刑事案件”等关键词。笔者在剔除与主题无关或重复性裁判文书的案件,最终作为选取295件刑事裁判文书作为本文的分析样本②。经笔者归纳、统计生物特征识别信息入罪的刑事裁判形成图1。

  从图 1“生物特征识别信息失范性传播入罪的刑事裁判现状”可知,盗窃罪占据生物特征识别信息失范性传播入罪案件总数的44%,诈骗罪占据生物特征识别信息失范性传播入罪案件总数的24%,该比例的呈现释放出比较危险的信号,伴随犯罪手段从低位阶的物理性识别向中位阶的利用生物信息活化技术制作视频以“完美欺骗”生物识别系统验证的技术型生物识别的转变。若对生物特征识别信息失范性传播行为不加以规制,必然会导致社会失德现象的愈发严重。此时,作为“后盾法”保障的刑法应如何理性应对生物特征识别信息失范性传播所带来的风险便成为当下不可回避的现实性问题。本文拟深入剖析生物特征识别信息失范性传播刑事规制困境,并在此基础上,提出遏制刑事风险异化的规制路径。

  三、生物特征识别信息失范性传播入罪的司法适用困境

  生物特征识别信息的失范性传播一旦任其突变、异化等衍生为恶劣的人身权利、财产权利侵害的黑灰产业链犯罪案件,将极大减损公众对信息安全的信赖程度。刑法作为社会治理的最后一道藩篱,厘清生物特征识别信息失范性传播刑事治理困境,不断提高刑事治理能力,是生物特征识别信息传播规范化、秩序化的必然选择[4] 。

  (一)生物特征识别信息传播数量入罪条件设置欠缺合理性

  智能化信息社会的推进,逐渐凸显侵犯公民生物信息罪中所存在的同罚异害、罪刑失衡的问题,数据挖掘、深度学习以及智能技术的突破,生物特征识别信息在经济、社会治安管理等方面发挥着重要的作用,其失范性的传播所带来社会危害性与法益侵害度远超过同种刑罚范围内的住宿、通讯记录等信息,显然刑罚与社会的发展相脱节,在生物特征识别信息传播入罪的刑事规制方面变得力不从心。

  1. 生物特征识别信息失范性传播数量社会危害性评价错位

  在信息风险社会中,不安全感、不信赖感已经渗透社会生活的结构中,给公众带来抽象化的心理恐慌以及情感的困扰,破坏社会秩序生态平衡。虽然《公民信息解释》第五条详细规定“情节严重”的9种具体情形,其中与信息传播数量相关联的有 5 条,与个人信息用途相关联的有2条。换言之,在某种程度上信息传播数量的多少决定着其是否构成本罪,然而传播的数额在现实中可能只是一种偶发因素,依赖传播数量认定犯罪可能出现定性上的差别,导致量刑失衡的现象[5] 。

  黑格尔认为,“犯罪自在地是一种无限的侵害行为,但作为定罪,它必须根据质和量的差别予以衡量。”[6] 犯罪的“质”,是类型化的社会危害行为;犯罪的“量”,是行为危害社会的程度。犯罪数额作为犯罪 “量”的一种具体表现形式,其设定根据只能是行为的社会危害性。社会危害性是评价对象和评价标准的统一,首先,它作为评价的对象,是客观存在的事实,即社会危害是指生物特征识别传播行为对刑法所保护的社会关系造成或可能造成的损失。其次,社会危害性也代表社会公众对生物特征识别信息传播行为进行客观评价的标准。“损失”除了具备物理性的损害,同时也包括主观性的判断。涂尔干曾指出,犯罪是“危害行为触犯强烈而又明确的集体意识”[7] 。由此可知,社会危害性应当能够为主体所感知,并用以预测和决定主体的行为,因而也就要求刑事规范具有明确性。生物特征识别信息失范性传播入罪表面上明确且具体的规定信息传播的数量,但是在智能化信息时代,在算法技术的加持下,“50”、“500”抑或是 “5 000”等类似固定值所体现的社会危害性难以被公众较为直观的感知。

  最后,社会危害性的主观属性表现在生物特征识别信息传播行为降低公众对法治社会的信赖度与安全感。依据现阶段的刑事法律规定,非法获取、出售或者提供生物特征识别信息需要达到500条以上,才应认定为侵犯公民个人信息罪;然而生物特征识别信息不同于其他公民个人信息其具有专有性与不可变更性,即使泄漏一条生物特征识别信息对于被害人而言该非法性传播行为也是终身的、不可挽回的损失,同时生物特征识别信息的失范性传播都将可能会引发下游犯罪,应重视对生物特征识别信息的保护而并非概括限定失范性传播 500 条以上的生物特征识别信息才应被认定为侵犯公民个人信息罪。

  2. 生物特征识别信息失范性传播数量与法益侵害程度脱节

  随着大数据、人工智能等前沿技术的发展,根据图 1 对司法文书裁判现状的分析可知利用他人生物特征识别信息实施下游犯罪,破坏信息化社会生态平衡的案件呈现扩张化趋势,将非法获取、出售或者提供生物特征识别信息 500 条以上认定为侵犯公民个人信息罪,并不能与法益侵害程度相适配。“非法获取”、“非法提供”等行为是整个黑色产业链衍生的原动力,因此,为加强对“非法利用”行为的规制应从根源处遏制“非法获取”、“非法提供”等前置性行为[8] 。

  犯罪数额是犯罪事实的重要组成,其对定罪量刑的影响在刑事立法和司法实践中存在普遍性的体现,逐渐成为立法者与司法者衡量危害行为法益侵害程度的重要指征[9] 。《公民信息解释》第5条规定,非法获取、出售或者提供公民个人信息传播数量“50”、“500” 亦或是“5 000”,为《刑法》第 253 条之一侵犯公民个人信息罪中的“情节严重”。由于犯罪的本质在于对法益的侵害,然而现阶段对生物特征识别信息传播数量的规定并未能够准确体现对公民生物信息的法益侵害程度。《公民信息解释》第五条第三项规定的非法获取、出售或者提供的行踪轨迹信息、通信内容、征信内容、财产信息与生物特征识别信息并不存在法益侵害程度的同质性。大数据时代的背景下,信息代表着社会利益,在利益的驱使下,侵犯公民生物特征识别信息的行为不断出现,生物特征识别信息安全风险与日俱增。科学技术的迭代不仅具有促进社会进步的正向价值,同时还为犯罪手段的异化提供滋养的平台,然而《公民信息解释》对生物特征识别信息需要达到 500 条以上认定为犯罪的规定显然与法益侵害程度相脱节[10] 。以下面案件为例:

  案例 1:被告人张富、余杭飞等人以牟利为目的,利用已非法获取的公民信息,通过使用软件将相关公民头像照片制作成 3D 头像,从而通过支付宝人脸识别认证,并使用上述公民个人信息注册支付宝账户。张富、余杭飞等人通过这种方式来获取支付宝提供的邀请注册新支付宝用户的相应红包奖励。

  从案例 1 中,可以发现信息时代的来临,生物特征识别技术被广泛的应用于社会生活的各个领域,生物识别信息的失范性传播将逐渐形成一条体系完整、分工明确的黑色产业链。案例 1 中主要存在三个关键性节点:(1)生物特征识别信息的获取,张富违背公民个人意愿,在没有法律依据以及相应资格资质的情况下,通过互联网平台非法下载的 2 000万条公民生物信息;(2)生物特征识别信息的提供,张富提供给余杭飞28万余条的公民信息;(3)生物特征识别信息的利用,张富雇佣姚丽萍、余杭飞以及刘浩等人将购买的公民身份信息用于注册支付宝账户,并使用软件将公民照片制作成公民 3D 头像,以通过支付宝的生物识别认证系统,并实施骗取支付宝红包的行为。综上所述,获取、提供等为传播行为的前置性示范行为,为下游犯罪的实施提供条件。

  针对生物特征识别信息传播入罪刑罚具体的配置过程中,应准确把握法益侵害程度、社会危害程度,综合确定配刑的轻重之序的相对基准。因此,《公民信息解释》的规定与信息智能化背景下的生物特征识别信息失范性传播所带来的法益侵害程度相背离,因而造成法益保护的周延不足。侵犯公民个人信息罪是以打击公民个人信息的非法性传播为目的,立足于初始阶段防止公民个人信息的泄漏并阻断后续犯罪行为的衍生[10] 。

  (二)生物特征识别信息失范性传播僵化适用积量构罪的刑罚模式

  生物特征识别信息在数字化社会与技术紧密结合,立足社会学角度分析,生物特征自始作为身份标识符号,线下熟人社会侧重对声音、面部以及行为举止等识别;线上新型数字社会则通过算法技术对生物特征识别数据比对,实现社会的网格化治理模式[11] 。生物特征识别技术在社会治理中发挥着不可替代的作用,其失范性传播将给社会带来严重的社会危害性。目前,司法实践中对于生物特征识别信息失范性传播的刑事规制僵化适用 500 条以上认定为侵犯公民个人信息犯罪,忽视生物特征信息与一般社会信息的区别,违背罪责刑相适应的原则,对生物特征识别信息的刑事保护格局失衡。

  1. 行为模式无法涵盖生物特征识别信息的敏感程度

  依据不同的标准,公民个人信息被划分为不同的范畴。虽然有“可识别性”的限制,然而信息存在敏感程度的区分,对不同敏感程度的个人信息保护需求也有不同等级层次,一体式僵化适用积量构罪模式,对前置性失范传播生物特征识别信息行为难以实现有效且精准的刑事治理。生物特征识别信息的特殊性在于被广泛应用于社会主体不同身份的认证和行为识别的场景,利用生物特征识别信息实施下游犯罪愈发严重且不断蔓延,如何对其进行有效的治理俨然已经成为信息化社会的热点问题[10] 。根据《公民信息解释》第五条第一款第四项的规定可知,生物特征识别信息属于其他可能影响人身、财产安全的公民个人信息类型,虽然住宿、通信记录等信息也可能会影响人身、财产安全,但是信息的敏感性以及可替代性的程度不同,生物特征识别信息具有强烈的专属性,其附属于公民个人所独有的特征是不可替代的,无法以同等类型的其他公民信息相匹配。然而,现行刑事法律规范并未承认敏感信息相较于一般社会信息的特殊性,忽视应对公民个人信息实施区分类型化的保护措施,一体式的保护模式仅强调法的形式理性、保护法安定性的同时,也将牺牲个案正义的实现[12] 。以下面案件为例:

  案例 2:被告人唐杰从“半边天”处获得唐某支付宝账户信息,并受“半边天”的委托破解支付宝对唐某账号的限制,被告人唐杰制作唐某 3D 人脸动态图的方式破解支付宝人脸识别认证系统,解除支付宝对唐某的账号的限制登陆。后唐杰将唐某支付宝账户信息提供给被告人张羽,被告人张羽通过伪造唐某手持身份证、承诺函的照片并拨打支付宝客服电话的方式解除唐某账户的资金冻结,并通过购买话费的形式转移2.4万余元③。

  本案件的特殊性在于被告人唐杰在获取唐某个人信息制作人脸识别动态图通过支付宝账号生物识别系统认证后,又将账号信息提供给张羽滋生下游财产犯罪,显然整个案件朝着链条式的方向发展,前置性失范行为与黑灰产业链的衍生环环相扣。诚然,即使唐某人脸识别信息泄漏后,其及时通知支付宝平台关闭人脸识别认证系统,但仍不能完全制止被告人利用被害人的生物识别信息实施其他犯罪,虽然支付宝系统平台的关闭,但是可以登陆美团、携程等其他类型的应用程序实施金融类犯罪行为,因此生物特征识别信息失范性传播将会带来严重的损害,其与以往规定的通讯、住宿、交易等信息存在根本性的差异。在公民个人信息保护中,生物特征识别信息特殊性不言而喻,现阶段对于侵犯公民个人信息传统的治理模式已无法回应信息化社会现实需求对生物识别信息敏感性的保护[13] 。现阶段,生物特征识别信息在《公民信息解释》中并未给予特殊保护,而将其归为第五条第一款第四项之中,对于敏感度层级不同的信息给予相同的刑罚,生物特征识别信息的刑事保护格局失衡,违背罪责刑相适应的原则。

  2.生物特征识别信息失范性传播刑罚配置失衡

  随着信息化、网络化社会的逐渐推进,犯罪构成要件所呈现出积量化认定的特征,从而给司法实践有效处理带来前所未有的困境[9] 。诸如非法获取、出售或者提供不同类型的公民个人信息规定不同数量的限制,属于司法机关认定罪与非罪、“情节严重”与“情节特别严重”的重要依据。生物特征识别信息作为生物认证阶段的衍生物,不仅是社会身份查验的载体,同时也是身份认证和行为识别系统在社会范围内的重塑[11] 。例如,在“唐杰、张羽等侵犯公民个人信息” 案中,虽然唐杰从“半边天”处获得唐某的个人信息,并制作3D人脸识别动态图的方式通过支付宝人脸识别认证系统,但由于现阶段《公民信息解释》的第五条第一款第四项规定非法获取、出售或者提供生物特征识别信息需达到500条以上认定为情节严重,显然唐杰只获取唐某一人的生物特征识别信息且违法所得不确定,因此依据现行刑事法律规范可知唐杰的行为并不构成侵犯公民个人信息罪,而是应认定为非法获取计算机信息系统数据罪④。然而,最高法、最高检发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题解释》(以下简称计算机信息解释)第一条规定不同类型的身份认证信息构罪的标准不一,支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上;其他身份认证信息500组以上则应认定为非法获取计算机信息系统数据罪。身份认证信息与公民个人信息存在交叉重合,例如,在 “林清金非法获取计算机信息系统数据”案中,二审法院认为林清金非法侵入兴业证券股份有限公司的计算机系统,获取14组身份认证信息的行为,虽然数量并不符合《解释》第一条的规定,不构成非法获取计算机信息系统数据罪,但是上述账号、密码身份认证信息是以电子方式记录的能够单独或者与其他信息结合识别特定自然人身份的账号密码信息,属于公民个人信息的范畴。综上,林清金非法获取兴业证券 14 名员工身份认证信息登录公司的 OA 办公系统,VPN 系统,并下载导出公司员工通讯录及个人信息数据 5 963 组的行为,系非法获取公民个人信息的行为,构成侵犯公民个人信息罪⑤。

  虽然非法获取计算机信息系统数据罪所涉及的身份认证信息与侵犯公民个人信息罪中的公民个人信息之间存在重叠覆盖,然而《计算机信息解释》规定,获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上的,应认定为情节严重。随着社会智能化程度的深入推进,移动支付在商业便民服务中推广应用,生物特征识别信息也具有网络金融服务的身份认证功能,换言之,生物识别信息同样也是《计算机信息解释》第一条第一项网络金融服务身份认证信息的规定。但值得注意的是,在非法获取计算机信息系统数据罪中网络金融服务的身份认证信息入罪的标准为 10 组以上,而在侵犯公民个人信息罪中,生物特征识别信息入罪的标准则需要达到 500条以上才构罪,显然与生物特征识别信息失范性传播入罪刑罚配置失衡。立足生物特征识别信息保护而言,是否也应给予其同网络金融服务的身份认证信息类似的特殊化、层级化保护。现阶段,既定的刑事法律对侵犯生物特征识别信息的保护方式与一般公民社会性信息保护方式同质,无法实现逻辑自洽,不能有效地回应信息社会对生物特征识别信息特殊保护的现实需求。

  四、生物特征识别信息失范性传播入罪风险化解机制

  生物特征识别信息一般关涉公民的财产安全、人身安全,面对生物特征识别信息失范性传播存在的风险,社会的正常活动必定会受到信息泄漏的不安与恐惧的影响[8] 。生物特征识别信息失范性传播刑事治理路径的探析应立足风险化解的原则确立、侵害法益类型的明晰,以及刑罚配置的调整及优化等方面塑造具体规则,以确保能够理性应对智能信息社会对生物特征识别信息特殊化保护的需要。

  (一)失范性传播数量危害结果类型的等价性与法益侵害相当性原则

  刑法规定的犯罪类型都是对犯罪现象抽象化、类型化的结果,而非详尽叙述各类犯罪的具体表现[14] 。司法解释已经明确“情节严重”入罪标准,但并列情形之间缺乏等价性对比分析,从而导致司法实践中面对侵犯公民个人信息的行为直接套用传播数量作为入罪的规定。笔者认为,在深入研究生物特征识别信息失范性传播入罪的具体适用规则之前,应明确传播数量作为入罪标准的风险化解机制应遵循的基本原则。非法获取、出售或者提供的信息数量的现实危害需要符合危害结果类型的等价性和法益侵害的相当性原则。危害结果类型的等价性要求传播数量反映的结果类型应当与同一罪名司法解释中的其他入罪标准情形具有同等的性质,而法益侵害相当性原则是针对侵害行为而言的,其表明信息失范性传播的犯罪行为在同一罪名的侵害行为类型中应当具有相当性[3] 。

  首先,危害结果类型的等价性要求生物特征识别信息失范传播的数量直接对接的是住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息 500 条。生物特征识别信息失范性传播需要达到 500 条以上才构成侵犯公民个人信息罪,显然这与信息化社会对生物特征识别信息风险防控相背离。其次,法益侵害的相当性,情节严重中的情节并不是任何情节,而只能是客观方面表明法益侵害程度的情节[15] 。法益作为个人、社会和国家的具体利益而成为法律保护对象,无论在司法解释论还是在立法上,法益都起着重要的指导性作用[16] 。对于生物特征识别信息失范性传播可能造成的复合型社会后果,应坚持类型化思维,立足生物特征识别信息法益侵害后果,将其还原为具体的特定风险。立足生物特征识别信息失范性传播侵害的具体法益而言,生物特征识别信息权是包括人身权利、财产权利等混合一体的信息权,生物特征识别信息失范性传播社会危害性呈现扩大化趋势,其不仅是对于生物识别信息本身的侵害,同样也将衍生出下游犯罪的产业化、链条化,侵犯公民生物特征识别信息犯罪成为上游犯罪,为诈骗、盗窃、抢劫等其他犯罪提供助力,加剧生物特征识别信息安全犯罪的法益侵害性。生物特征识别信息失范性传播数量的限定与法益侵害程度相适配,应尽快在司法解释中明确失范性传播生物特征识别信息的具体入罪标准。

  (二)程度区分:“信息敏感+社会危害”认定刑量类型化的标准

  社会信赖感是具有浮动特质的外在条件,考虑到公民个人信息法益涉及多数且广大的社会利益,刑法的管制机能不可能迟滞到“一切信赖都丧失”的时点,方才介入处罚;在正常情况下,刑法通常会在“信赖足以减损”的情况,发动制裁力量并介入干预[17] 。同理,生物特征识别信息失范性传播入罪也存在两种不同的刑事规制方式:其一,在行为人非法获取他人生物特征识别信息后、尚未发生危害后果前介入干预,防止行为进一步衍生下游犯罪产生实害后果;其二,行为人在非法获取他人生物特征识别信息后并未规制而是达到情节严重在对该行为加以规制。二者对于非法获取生物特征识别信息的刑事规制路径截然不同,前者侧重对行为的早期干预,后者偏向对情节严重的行为予以规制。虽然生物特征识别信息的失范性传播的社会危害性并不至于将其纳入行为犯,然而将其入罪标准限定传播数量500条以上,显然刑事法律规范并未意识到其所带来的复杂性风险,“情节严重”的规定限制着构罪标准,但这并未能消解法益被侵害的现实危险。

  信息外延范围的无限扩容,不同类别个人信息的保护力度存在差异,司法解释依据不同类型的信息规定不同传播数量作为衡量本罪情节的标准,亦旨在考察敏感程度不同等级信息对社会的危害程度。侵犯公民个人信息犯罪中规定不同类型的公民个人信息和传播数量的设置,既与手段行为的社会危害性有关,同时与信息的敏感程度也紧密联系。例如,规定出售或者提供行踪轨迹信息,被他人用于犯罪的,认定为侵犯公民个人信息罪,并未强调传播的数量,行踪轨迹信息涉及公民隐私更为深入,社会危害性层级更高,因此对于该类信息则规定较低的入罪门槛,实行梯度化、层级化的刑事治理模式。然而,自然人的指纹、虹膜、声音、面部等生物特征识别信息与个人的关联程度更精准,关系公民人身、财产权利、生活秩序、社会评价以及社会治安等方面,若发生失范性传播将会构成潜在或实质性的危险[18] 。因此,应立足 “社会危害程度+信息敏感程度”的思维认定刑量类型化的标准,生物特征识别信息传播行为作为非法获取、提供、出售的后置性失范行为,从行为方式而言,其所侵犯的是复杂客体,其条文的罪状和法定刑的设置为侵犯公民个人信息罪的构成,“情节严重”作为入罪门槛应明确对生物特征识别信息的特殊性保护。在侵犯公民个人信息犯罪情节认定中,应根据信息敏感程度判断社会危害性。基于信息的敏感程度的不同对公民个人信息的保护也存在层级化区分[19] 。例如,生物敏感信息、社会敏感信息、一般社会信息以及一般生物信息等不同信息类型,分别对应不同层级的保护模式,生物特征识别信息相比较其他一般社会信息的敏感程度更高,对公民个体的社会危害程度更恶劣,因而对其设置更低的入罪门槛。事实上,不同种类的公民个人信息入罪标准背后所折射对敏感信息、重要信息以及一般信息的严格梯度化界分,生物特征识别信息由于和特定的公民个人结合紧密,随着自我学习和深度学习技术在网络黑灰产业链的运用,生物特征识别信息关涉社会生活的各个角落,对个人法益侵害程度则更高,因此在司法解释方面对其特殊保护则尤为必要,以最大限度发挥法律的规范功能[18] 。

  (三)生物特征识别信息失范性传播入罪刑罚配置的调整及优化

  数据信息时代的到来,新型社会风险持续的增加,针对层数不穷的社会问题,刑事司法应积极作出回应表明基本立场,化解智能信息社会带来的刑事治理困境[20] 。人工智能技术在网络黑灰产业链中的运用,不断冲击刑事法律规范。例如,通过深度学习目标人物的生物特征识别信息,合成动态视频通过系统认证,从而实施下游犯罪。从图1中可以看出现阶段利用生物特征识别信息实施黑灰产业犯罪的案例呈上升趋势,通过对传统犯罪刑罚配置予以调整,能解决利用生物特征识别信息实施黑灰产业犯罪行为的司法适用问题,进而达到犯罪预防和犯罪规制效果的平衡。

  1. 生物特征识别信息失范性传播入罪刑量设置梯度化

  在刑罚的配置过程中,用数额衡量法益侵害程度,并制定与之相应的刑罚量,根据社会危害性对不同类型的情节予以详细的划分,以得出科学的数额合理配置刑罚。生物特征识别信息失范性传播入罪刑罚配置考量的过程中,传播的数额经常被认定为刑罚衡量的指标,用数额计量法益侵害的程度,并得出与之相适配的刑罚量[5] 。刑罚配置的科学性反映犯罪对刑罚的约束,在以犯罪为衡量基础的前提下,不断寻求犯罪与刑罚之间的平衡性,以实现对犯罪行为的有效规制。立足犯罪数额角度对刑罚进行规定,不同犯罪行为对应不同的刑罚数量,是实现法治公平的必然体现,也是责任主义内涵所在。

  首先,生物特征识别信息失范性传播的社会危害性可以实现多维度解读。生物特征识别信息失范性传播刑罚治理层面,拘役、单处或者并处罚金等刑罚的配置一般是符合刑罚轻缓化的设置需要。宽严相济的刑事政策不仅符合罪刑均衡原则,同时还应根据社会危害性和法益侵害性综合配置梯度化刑罚配置[4] 。其次,立足侵犯公民个人信息罪的形态设置,注重类型化思维指引司法解释对情节严重的认定,在同质化的类型中,依据犯罪行为的社会危害性、法益侵害程度以及公民信息的敏感程度,分别适用不同层级传播数量的入罪标准[21] 。最后,虽然生物特征识别信息失范性传播会引发黑灰产业链的衍生,然而也并不是将所有的传播行为均被认定为刑事犯罪,刑法的根本目的是在“刑罚宽缓”的趋势下,保障人权而非一味的以惩罚犯罪为主,对于生物特征识别信息失范性传播而言,应根据行为的危害性与法益侵害程度,设置梯度化的刑量设置模式。

  2. 生物特征识别信息失范性传播入罪刑罚配置的具体构想

  生物特征识别信息失范性传播的刑法评价机制提供弥足动力,结合侵犯公民个人信息罪的立法模式设计,目前对于情节严重的认定仍存在较大的模糊性。因此,笔者认为应明晰侵犯公民个人信息犯罪的情节严重的具体认定情形,划清生物特征识别信息失范性传播的入罪标准。一是,明确生物特征识别信息失范性传播数量入罪的标准。《公民信息解释》第5条第3项至第5项分别规定不同类型个人信息以及相应的入罪标准,然而生物特征识别信息并未明确规定在该解释中,随着生物特征识别信息在金融服务、社会安全秩序保护等方面的应用可以将其归为第二类,即非法获取、出售或者提供生物特征识别信息等其他可能影响人身、财产安全的公民个人信息 500 条以上。现阶段生物特征识别信息需要达到 500 条以上才能构罪,然而行踪轨迹信息、通信内容、征信信息以及财产信息 50 条以上就被认定为犯罪,显然刑罚配置存在失衡的问题。其实生物特征识别信息应用领域与空间较为广泛,例如小区、学校、单位等场所的出入识别,可以准确记录行为人出入社区的时间,详细记录行为人的行踪轨迹。与此同时,财产、征信等信息也均具有生物识别系统登陆的途径。简而言之,生物特征识别信息能够涵摄部分行踪轨迹、征信以及财产方面等信息。因此,无论是从形式解释的立场出发或是实质解释的角度分析,沿用过去对公民个人信息的既定分类,无法实现对生物特征识别信息的特殊保护。结合前文非法获取计算机信息系统数据罪的司法解释分析,为更好的衔接非法获取计算机信息系统数据罪与侵犯公民个人信息罪,应将生物特征识别信息 10 条以上认定为情节严重的情形,以降低生物特征识别信息失范性传播的入罪标准,实现罪刑均衡。

  二是,增设情节严重的次数认定。在明确生物特征识别信息传播入罪的具体条数认定的基础上,应考虑到将多次失范性传播生物特征识别信息行为认定为情节严重,以优化体系内部的刑罚配置衔接机制。多次行为入罪化是指多次实施同一类型的行为从而构成犯罪的司法现象[22] 。多次失范性传播生物特征识别信息的行为入罪化的法律效果,是将单次行政违法行为质变至刑事违法行为,传播的次数成为行政违法到刑事犯罪的桥梁构架,提升整体行为的刑事违法性与可责性。然而,司法资源不可能将任何多次侵犯公民个人信息行为均认定为入罪标准。随着智能信息技术促进数据价值的提升,同时也迈进数字化、符号化充斥的“透明社会”,对生物特征识别信息的保护来自技术进步对信息价值的深入挖掘的需求。笔者认为,针对多次失范性传播生物特征识别信息而言,单次法益侵害程度远高于其他类型的公民个人信息,生物识别信息一次泄漏即为终身性泄漏,不具备任何挽回损失的余地,同时前置性失范传播行为将会衍生下游黑灰产业犯罪行为,严重侵犯他人的人身、财产权利。因而为弥补多次实施轻微违法行为的刑罚机制的缺失,应在司法解释中单列一项规定“多次非法获取、出售或者提供生物特征识别信息的”作为情节严重的认定情形之一。

  三是,细化生物特征识别信息衍生下游犯罪行为的刑量升格。生物特征识别技术的飞越式发展加剧侵犯公民个人信息行为风险的异化,随着生物特征识别信息失范性传播的社会风险日益显现,社会公众对于信息安全的需求愈加迫切。在文明社会与法治国家,生物特征识别信息的失范性传播导致公众的恐惧感增强也在呼唤刑事治理的需要,以消解信息安全的社会风险。基于此,笔者认为应在《公民信息解释》第五条的第一项中考虑将出售或者提供行踪轨迹信息、生物特征识别信息,被他人用于犯罪的,作为情节严重的认定情形。生物特征识别技术的独特性、高风险以及附属性等特点,然而立足罪刑失衡的司法现状,使风险化解路径变得困难。司法的过程不仅是罪与刑关系的运用,同时也是切实解决刑事治理纠纷,以达到罪刑均衡,实现司法正义的状态,将生物特征识别信息滋生下游犯罪行为的刑量升格,精确刑罚配置、科学刑罚结构等功能,达到对生物特征识别信息失范性传播的有效治理。