個人生物識別信息刑事保護探索

賀剛飛 王利蘋

摘 要： 隨著數字經濟的發展，個人生物識別信息的價值越來越突現。非法獲取、不法利用個人生物識別信息的情形時有發生，嚴重侵犯了公民權利甚至危害國家安全、公共安全。現有刑法及相關司法解釋，因法律概念不明、罪名設置不健全、保護相對滯后于其他法規等原因，較難對侵犯個人生物識別信息的違法犯罪行為進行有效規制。需要通過完善現有刑法罪名、健全行刑銜接、構建以刑法為后盾的綜合法律保護體系等，來實現個人生物識別信息的有效刑事保護。

關鍵詞：個人信息 生物識別 刑事保護

個人生物識別信息是一種特殊的個人信息，是由生物識別而產生的“信息”，常見的個人生物識別信息主要包括指紋、虹膜、面相、DNA等個人具有的獨一無二的生物學信息，與姓名、年齡、有效證件號碼等其它個人信息相比具有特殊性，需要給予更有針對性地保護。個人生物識別信息不僅涉及公民個人的隱私信息，還包含著一地區人口的普遍特征等，影響一地區乃至國家的穩定和安全。此外，對個人生物識別信息的侵害具有不可逆轉性，一旦泄露終生泄露，給個人造成巨大傷害。當下大數據時代，法律擬制的缺失和信息技術保護的滯后導致侵害公民個人生物識別信息的例子時有耳聞，如2018年的《100款APP個人信息收集與隱私測評報告》顯示，在10類100款APP中，多達91款APP的權限涉嫌“越界”。[1]應以《個人信息保護法》的施行為契機，加強對侵害個人生物識別信息行為的刑事法規制，以更好保護公民的個人生物識別信息。

一 、侵害個人生物識別信息的常見方式

個人生物識別信息已廣泛運用于政務、醫學、偵查、消費等領域，但礙于技術研發、數據存儲、安防監管等尚不成熟，濫采現象十分突出，隨之產生了泄露風險加劇等安全問題，以致為刑事犯罪埋下隱患。常見的侵害個人生物識別信息的主要方式有：

（一）以竊取等方式非法獲取

目前很多涉及到個人生物識別信息的應用技術尚處于開發階段，疊加安防技術不成熟、安防成本較高等因素，很多數據公司的安全防護和數據保護水準還比較低，很容易遭到黑客的攻擊而導致個人生物識別信息泄露。

（二）非法獲取后牟利轉讓

在非法獲取的基礎上容易滋生牟利轉讓等非法消費個人生物識別信息的行為。比如指膜被用于重大考試替考，不僅有非法牟利行為，還滋生了替考亂象，造成社會秩序的混亂。常見的牟利行為還包括販賣個人生物識別信息給他人，用于產品推廣、電信詐騙等。

（三）用于犯罪活動

個人生物識別信息蘊含了一個公民的生理信息、健康狀況等，一類人的生物識別信息蘊含了一地區、一種族的生理狀況和民族特征，還能反映出當地的水質、地質等環境狀況。可以說公民個人生物識別信息不僅具有經濟價值，還具有社會價值、安全價值。對個人生物識別信息的不正當使用需求容易催生利益鏈條，產生一系列犯罪行為，可能會被用來獲取個人隱私以實施犯罪;更有甚者，一旦個人生物識別信息被境內外不法分子利用，可能引發危害民族安全、國家安全的犯罪行為。常見的利用個人生物識別信息的犯罪活動主要包括：人身攻擊、破壞國家安全等，還可能被用于詐騙、敲詐勒索等犯罪。

二 、個人生物識別信息刑法保護的短板

（一）法律概念和權屬不明

《個人信息保護法》中將個人信息定義為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息……”，該定義包括了個人生物識別信息，但仍未明確個人生物識別信息的法律內涵和外延。民法典第1034條將個人生物識別信息納入個人信息范圍，并在該條第2款中規定涉及到私密信息的適用有關隱私權的規定，沒有專門的個人信息保護規定，存在將生物識別信息與其他個人信息混同的問題。刑法則對生物識別信息未有提及。僅在“兩高”《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第5條提到，非法獲取、出售或者提供健康生理信息等公民個人信息500條以上的，屬于情節嚴重。至于生物識別信息的種類、范圍及能否與健康生理信息等同未作規定。當前侵犯公民生物識別信息的案件時有發生，生物識別信息有法律特殊保護的必要性，應當在刑法中給個人生物識別信息保護留下空間，使相關案件辦理有據可循。

（二）現有罪名不能滿足保護需求

侵犯公民個人信息的客體為公民人身權利、民主權利，且侵犯行為主要發生在非法出賣個人信息引發的網絡詐騙、敲詐勒索等犯罪中。相比之下，侵犯個人生物識別信息具有特殊性，其客體除了包括人身權利外還包括社會管理秩序、國家和政權穩定安全等，客體相對復雜，可能與危害國家安全罪、妨害社會管理秩序罪等罪名構成想象競合。此外，在公民個人生物識別信息的采集、存儲、應用以及操作層面等環節，涉及到醫療、政務等領域，相關主體的懈怠履職或者錯誤履職還可能構成玩忽職守罪或瀆職罪。再有，2017年的《信息安全技術個人信息安全規范》中，已明確個人生物識別信息應與個人身份信息分開存儲，原則上不應存儲原始個人生物識別信息。據此還需將生物識別信息的采集者、存儲者的不當行為納入刑法規范。因而，需要從侵犯公民個人生物識別信息犯罪行為的特殊性出發，完善相關罪名設置，滿足打擊該類犯罪行為需求。

（三）刑法保護滯后于其他法規

對公民個人生物識別信息的保護既未在刑法中予以專門規定，也未制定專門的刑事法保護規范。當前在《個人信息保護法》《網絡安全法》《信息安全技術個人信息安全規范》等法律法規中，已將個人生物識別信息納入保護范圍，但僅限于相關領域的專門規定，缺乏刑事保護的強制力和針對性。加之刑法對個人生物識別信息無特別規定，造成刑法和其他法律保護的脫節，可能產生其他保護公民個人生物識別信息的法規效果打折扣。相較于很多國家和地區對個人生物信息數據制定專門法保護，例如歐盟有《一般數據保護條例》、印度有《2018年個人數據保護法（草案）》，我國在將刑法與其他法規有機融合，形成民事保護、行政保護、刑事保護有機協調的個人生物識別保護法律體系方面還存在明顯不足。

三 、侵犯個人生物識別信息與侵犯公民個人信息的差異

在當前的個人信息保護的法規中，大多將個人信息和個人生物識別信息混為一談，刑法也不例外。而且提到個人生物識別信息的刑事保護，人們最先想到的就是適用侵犯公民個人信息的相關罪名。但兩者雖有相同之處，也存在不同，不宜混同。

（一）個人生物識別信息與個人信息的差異

1.隱私強度不同。任一種個人信息中（如姓名、電話號碼等），尚不足以直接完全暴露一個人的各方面狀況，不足以侵犯隱私權的根本，而生物識別信息涉及個人的面貌、疾病、習慣等深層次隱私內容，一遭侵犯極易導致被害人信息的全面暴露。

2.救濟方式不同。普通個人信息如遭泄露，可以通過改變單位、住址、電話號碼方式予以補救或保護，而個人生物識別信息如遭泄露，無法通過改變方式救濟，一旦被侵犯，即遭終生泄露，不可逆轉。

3.價值不同。普通個人信息僅產生一定的經濟價值，而個人生物識別信息除了經濟價值外，還具有一定的社會價值和政治價值。

（二）個人生物識別信息與個人信息在犯罪層面的差異

侵犯公民個人信息與侵犯公民生物識別信息在犯罪形態上體現為四點不同。

1.侵犯客體不同。侵犯公民個人信息的客體往往是公民人身權利中的隱私權，而侵犯公民生物識別信息的客體不僅包括公民隱私權還包括社會秩序、公共安全、國家安全等。

2.行為方式不同。目前刑法中侵犯公民個人信息行為主要以侵犯公民個人隱私罪加以規制，其行為方式包括：出售、提供、竊取或其他手段非法獲取，而侵犯公民個人生物識別信息的行為方式不僅包括上述出售、提供、竊取或其他手段非法獲取，還包括濫用。大規模的濫用公民個人生物識別信息，更易引發生物識別信息的泄露，從而導致更嚴重的危害后果。另外在侵犯方式上，侵犯個人生物識別信息多涉及計算機系統和數據操作，容易引起與侵犯計算機系統相關犯罪的競合，而侵犯個人信息則多通過買賣、非法提供等方式實現。

3.侵犯對象不同。侵犯公民個人信息的對象多指向公民個人聯系方式、房產、車輛購置、行程軌跡等信息，而侵害公民個人生物識別信息的對象則指向面相、指紋、DNA、虹膜等個人具有的獨一無二的生物學信息。

4.危害后果不同。姓名、年齡、身份證件號碼、聯系方式等僅反映了個體公民的部分信息，侵害的對象僅局限于個體公民。而生物識別信息不僅是公民個體信息，還反映了公民的習慣、面相及這些信息反映出來的人群、種群特征等，一旦泄露或遭侵入，可能產生地區性的狀況泄露，危害性較大。另外，對面相、指紋、DNA、虹膜的侵犯所引發的犯罪難以被識別，給偵查工作也帶來較大難度。

四、個人生物識別信息刑事保護路徑

在更加注重數據安全的當下，需要探索加強對個人生物識別信息的刑事法規制，并以此為基礎，構建個人生物識別信息綜合法律保護體系。

（一）基于刑法規定的刑事法規制

準確定位罪名適用是解決個人生物識別信息刑事法規制的首要步驟。刑法中，能與公民個人生物識別信息保護關聯的罪名主要包括：間諜罪，為境外竊取、刺探、收買、非法提供國家秘密，情報罪或者為境外竊取、刺探、收買、非法提供情報罪，以危險方法危害公共安全罪，侵犯公民個人信息罪以及《刑法修正案（十一）》新增的非法采集人類遺傳資源、走私人類遺傳資源材料罪、非法植入基因編輯、克隆胚胎罪等。上述罪名分別屬于國家安全、公共安全和人身權利、社會管理秩序大類。

從當前侵害公民個人生物識別信息情況看，竊取、泄露、不法利用是當前最常見的侵權方式;侵害的范圍也局限于一國之內，未涉及到間諜罪等危害國家安全罪名;就生物識別信息而言，其與其他個人信息也脫不開關系。故將侵犯個人生物識別信息行為歸為侵犯公民個人信息罪規制較為貼切。但需要解決兩個問題。一是個人信息范圍是否包括個人生物識別信息。以“兩高一部”《關于依法懲處侵害公民個人信息犯罪活動的通知》規定來看，姓名、身份證件號碼、電話號碼、家庭住址等信息屬于個人信息，但其并未將指紋、虹膜等生物識別信息納入其中。而民法典和《網絡安全法》已將個人生物識別信息予以規范，為了保證法規范體系的統一，需要在刑法中明確規定個人信息包括個人生物識別信息。二是客體范圍不一致。侵犯公民個人信息罪客體不涉及公共安全和國家安全，不足以完全涵蓋侵犯個人生物識別信息的犯罪客體。可以通過設置從重條款、數罪并罰條款或者司法解釋特別規定進行處理。

另外，侵犯個人生物識別信息行為還可能涉及到非法侵入計算機信息系統罪、非法獲取計算機信息系統數據罪等，但上述罪名的行為方式與侵犯個人生物識別信息之間存在手段與目的的關系，可適用牽連犯處理規則，以目的犯罪名或從一重罪罪名處理。

綜上，筆者認為，應基于現有刑法規定，通過完善相關條文，實現刑法保護效果。可明確將公民個人生物識別信息納入個人隱私范圍，在刑法253條之一條下設第4款，明確規定濫用、泄露等侵犯公民個人生物識別信息的行為方式;將原第4款改為第5款，以保障刑法條文總體穩定。另外，就侵犯公民個人生物識別信息中危害國家安全和社會安全情形以立法或司法解釋予以特殊規定。

除了刑法條文擬制外，還需相應的司法解釋對定罪及情節輕重的標準予以量化，比如，現有侵犯公民個人信息的構罪標準為50條、500條、5000條或違法所得5000元以上，可依據侵害個人生物識別信息犯罪行為的特殊性和可能造成的社會危害相應降低構罪標準，體現罪責刑相適應，并以此完善對個人生物識別信息刑法保護的具體框架建設。

（二）基于行刑銜接的打擊處罰方式

行刑銜接不僅是發現侵犯公民個人生物識別信息犯罪行為的重要途徑，也是確保該種犯罪行為得到應有法律制裁的重要舉措。負有信息監管職責的行政部門需及時移送涉嫌侵犯公民個人生物識別信息的違法線索，以拓寬犯罪線索來源，織密公民個人生物識別信息保護法網。刑法第286條之一規定，網絡服務提供者不履行法律、行政法規規定的信息網絡安全義務，經監管部門責令采取改正措施而拒不改正的，構成拒不履行信息網絡安全管理義務罪。在數字科技發達的今天，網絡服務提供者濫用其互聯網服務提供者地位，違規收集、使用指紋、臉部等生物識別信息的事件常有發生，需加大行政機關對公民個人生物識別信息使用的監管力度，加強生物識別信息的執法信息共享，對怠于履行監管職責構成職務違法犯罪的監管人員要及時移送監察機關依法處理，形成震懾。此外，對于輕微的侵犯公民個人生物識別信息的犯罪行為，檢察機關決定對犯罪嫌疑人不起訴的，需同步將給予相關行政處罰、政務處分等的檢察意見移送有關主管機關，以確保該類犯罪不起訴后的相關行政處罰效果。

（三）基于刑法保護為后盾的綜合法律保護體系

刑法是保護個人生物識別信息的最后屏障和最強手段，但刑法之外仍需要其他法律的銜接配合，才能形成一個保護個人生物識別信息的成熟法治體系。當前《個人信息保護法》《生物安全法》的出臺和施行，就是法律制度滿足人民日益增長的對民主、公平、正義、法治的更高需求的體現，在保護生物識別信息中邁出了重要一步。但前述法律法規對個人生物識別信息的特殊性保護方面仍略顯籠統。未來需要以刑法規定為最終規制手段，結合民法典、網絡安全法、消費者權益保護法等，進一步就個人生物識別信息的界定機制、懲處機制上加以聯動規定，以形成刑法保護為后盾，民事、行政保護共同發力的多層次、立體化個人生物識別信息法律保護網，構建和完善符合中國實際的個人生物信息保護制度。

[1] 參見《中消協發布〈100款App個人信息收集與隱私政策測評報告〉 金融理財類等10款App涉嫌過度收集或使用個人信息》，央廣網http：//news.cnr.cn/dj/20181130/t20181130_524435457.shtml，最后訪問日期：2021年11月24日。

1525501186371