个人生物识别信息刑事保护探索

贺刚飞 王利苹

摘 要： 随着数字经济的发展，个人生物识别信息的价值越来越突现。非法获取、不法利用个人生物识别信息的情形时有发生，严重侵犯了公民权利甚至危害国家安全、公共安全。现有刑法及相关司法解释，因法律概念不明、罪名设置不健全、保护相对滞后于其他法规等原因，较难对侵犯个人生物识别信息的违法犯罪行为进行有效规制。需要通过完善现有刑法罪名、健全行刑衔接、构建以刑法为后盾的综合法律保护体系等，来实现个人生物识别信息的有效刑事保护。

关键词：个人信息 生物识别 刑事保护

个人生物识别信息是一种特殊的个人信息，是由生物识别而产生的“信息”，常见的个人生物识别信息主要包括指纹、虹膜、面相、DNA等个人具有的独一无二的生物学信息，与姓名、年龄、有效证件号码等其它个人信息相比具有特殊性，需要给予更有针对性地保护。个人生物识别信息不仅涉及公民个人的隐私信息，还包含着一地区人口的普遍特征等，影响一地区乃至国家的稳定和安全。此外，对个人生物识别信息的侵害具有不可逆转性，一旦泄露终生泄露，给个人造成巨大伤害。当下大数据时代，法律拟制的缺失和信息技术保护的滞后导致侵害公民个人生物识别信息的例子时有耳闻，如2018年的《100款APP个人信息收集与隐私测评报告》显示，在10类100款APP中，多达91款APP的权限涉嫌“越界”。[1]应以《个人信息保护法》的施行为契机，加强对侵害个人生物识别信息行为的刑事法规制，以更好保护公民的个人生物识别信息。

一 、侵害个人生物识别信息的常见方式

个人生物识别信息已广泛运用于政务、医学、侦查、消费等领域，但碍于技术研发、数据存储、安防监管等尚不成熟，滥采现象十分突出，随之产生了泄露风险加剧等安全问题，以致为刑事犯罪埋下隐患。常见的侵害个人生物识别信息的主要方式有：

（一）以窃取等方式非法获取

目前很多涉及到个人生物识别信息的应用技术尚处于开发阶段，叠加安防技术不成熟、安防成本较高等因素，很多数据公司的安全防护和数据保护水准还比较低，很容易遭到黑客的攻击而导致个人生物识别信息泄露。

（二）非法获取后牟利转让

在非法获取的基础上容易滋生牟利转让等非法消费个人生物识别信息的行为。比如指膜被用于重大考试替考，不仅有非法牟利行为，还滋生了替考乱象，造成社会秩序的混乱。常见的牟利行为还包括贩卖个人生物识别信息给他人，用于产品推广、电信诈骗等。

（三）用于犯罪活动

个人生物识别信息蕴含了一个公民的生理信息、健康状况等，一类人的生物识别信息蕴含了一地区、一种族的生理状况和民族特征，还能反映出当地的水质、地质等环境状况。可以说公民个人生物识别信息不仅具有经济价值，还具有社会价值、安全价值。对个人生物识别信息的不正当使用需求容易催生利益鏈条，产生一系列犯罪行为，可能会被用来获取个人隐私以实施犯罪;更有甚者，一旦个人生物识别信息被境内外不法分子利用，可能引发危害民族安全、国家安全的犯罪行为。常见的利用个人生物识别信息的犯罪活动主要包括：人身攻击、破坏国家安全等，还可能被用于诈骗、敲诈勒索等犯罪。

二 、个人生物识别信息刑法保护的短板

（一）法律概念和权属不明

《个人信息保护法》中将个人信息定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息……”，该定义包括了个人生物识别信息，但仍未明确个人生物识别信息的法律内涵和外延。民法典第1034条将个人生物识别信息纳入个人信息范围，并在该条第2款中规定涉及到私密信息的适用有关隐私权的规定，没有专门的个人信息保护规定，存在将生物识别信息与其他个人信息混同的问题。刑法则对生物识别信息未有提及。仅在“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条提到，非法获取、出售或者提供健康生理信息等公民个人信息500条以上的，属于情节严重。至于生物识别信息的种类、范围及能否与健康生理信息等同未作规定。当前侵犯公民生物识别信息的案件时有发生，生物识别信息有法律特殊保护的必要性，应当在刑法中给个人生物识别信息保护留下空间，使相关案件办理有据可循。

（二）现有罪名不能满足保护需求

侵犯公民个人信息的客体为公民人身权利、民主权利，且侵犯行为主要发生在非法出卖个人信息引发的网络诈骗、敲诈勒索等犯罪中。相比之下，侵犯个人生物识别信息具有特殊性，其客体除了包括人身权利外还包括社会管理秩序、国家和政权稳定安全等，客体相对复杂，可能与危害国家安全罪、妨害社会管理秩序罪等罪名构成想象竞合。此外，在公民个人生物识别信息的采集、存储、应用以及操作层面等环节，涉及到医疗、政务等领域，相关主体的懈怠履职或者错误履职还可能构成玩忽职守罪或渎职罪。再有，2017年的《信息安全技术个人信息安全规范》中，已明确个人生物识别信息应与个人身份信息分开存储，原则上不应存储原始个人生物识别信息。据此还需将生物识别信息的采集者、存储者的不当行为纳入刑法规范。因而，需要从侵犯公民个人生物识别信息犯罪行为的特殊性出发，完善相关罪名设置，满足打击该类犯罪行为需求。

（三）刑法保护滞后于其他法规

对公民个人生物识别信息的保护既未在刑法中予以专门规定，也未制定专门的刑事法保护规范。当前在《个人信息保护法》《网络安全法》《信息安全技术个人信息安全规范》等法律法规中，已将个人生物识别信息纳入保护范围，但仅限于相关领域的专门规定，缺乏刑事保护的强制力和针对性。加之刑法对个人生物识别信息无特别规定，造成刑法和其他法律保护的脱节，可能产生其他保护公民个人生物识别信息的法规效果打折扣。相较于很多国家和地区对个人生物信息数据制定专门法保护，例如欧盟有《一般数据保护条例》、印度有《2018年个人数据保护法（草案）》，我国在将刑法与其他法规有机融合，形成民事保护、行政保护、刑事保护有机协调的个人生物识别保护法律体系方面还存在明显不足。

三 、侵犯个人生物识别信息与侵犯公民个人信息的差异

在当前的个人信息保护的法规中，大多将个人信息和个人生物识别信息混为一谈，刑法也不例外。而且提到个人生物识别信息的刑事保护，人们最先想到的就是适用侵犯公民个人信息的相关罪名。但两者虽有相同之处，也存在不同，不宜混同。

（一）个人生物识别信息与个人信息的差异

1.隐私强度不同。任一种个人信息中（如姓名、电话号码等），尚不足以直接完全暴露一个人的各方面状况，不足以侵犯隐私权的根本，而生物识别信息涉及个人的面貌、疾病、习惯等深层次隐私内容，一遭侵犯极易导致被害人信息的全面暴露。

2.救济方式不同。普通个人信息如遭泄露，可以通过改变单位、住址、电话号码方式予以补救或保护，而个人生物识别信息如遭泄露，无法通过改变方式救济，一旦被侵犯，即遭终生泄露，不可逆转。

3.价值不同。普通个人信息仅产生一定的经济价值，而个人生物识别信息除了经济价值外，还具有一定的社会价值和政治价值。

（二）个人生物识别信息与个人信息在犯罪层面的差异

侵犯公民个人信息与侵犯公民生物识别信息在犯罪形态上体现为四点不同。

1.侵犯客体不同。侵犯公民个人信息的客体往往是公民人身权利中的隐私权，而侵犯公民生物识别信息的客体不仅包括公民隐私权还包括社会秩序、公共安全、国家安全等。

2.行为方式不同。目前刑法中侵犯公民个人信息行为主要以侵犯公民个人隐私罪加以规制，其行为方式包括：出售、提供、窃取或其他手段非法获取，而侵犯公民个人生物识别信息的行为方式不仅包括上述出售、提供、窃取或其他手段非法获取，还包括滥用。大规模的滥用公民个人生物识别信息，更易引发生物识别信息的泄露，从而导致更严重的危害后果。另外在侵犯方式上，侵犯个人生物识别信息多涉及计算机系统和数据操作，容易引起与侵犯计算机系统相关犯罪的竞合，而侵犯个人信息则多通过买卖、非法提供等方式实现。

3.侵犯对象不同。侵犯公民个人信息的对象多指向公民个人联系方式、房产、车辆购置、行程轨迹等信息，而侵害公民个人生物识别信息的对象则指向面相、指纹、DNA、虹膜等个人具有的独一无二的生物学信息。

4.危害后果不同。姓名、年龄、身份证件号码、联系方式等仅反映了个体公民的部分信息，侵害的对象仅局限于个体公民。而生物识别信息不仅是公民个体信息，还反映了公民的习惯、面相及这些信息反映出来的人群、种群特征等，一旦泄露或遭侵入，可能产生地区性的状况泄露，危害性较大。另外，对面相、指纹、DNA、虹膜的侵犯所引发的犯罪难以被识别，给侦查工作也带来较大难度。

四、个人生物识别信息刑事保护路径

在更加注重数据安全的当下，需要探索加强对个人生物识别信息的刑事法规制，并以此为基础，构建个人生物识别信息综合法律保护体系。

（一）基于刑法规定的刑事法规制

准确定位罪名适用是解决个人生物识别信息刑事法规制的首要步骤。刑法中，能与公民个人生物识别信息保护关联的罪名主要包括：间谍罪，为境外窃取、刺探、收买、非法提供国家秘密，情报罪或者为境外窃取、刺探、收买、非法提供情报罪，以危险方法危害公共安全罪，侵犯公民个人信息罪以及《刑法修正案（十一）》新增的非法采集人类遗传资源、走私人类遗传资源材料罪、非法植入基因编辑、克隆胚胎罪等。上述罪名分别属于国家安全、公共安全和人身权利、社会管理秩序大类。

从当前侵害公民个人生物识别信息情况看，窃取、泄露、不法利用是当前最常见的侵权方式;侵害的范围也局限于一国之内，未涉及到间谍罪等危害国家安全罪名;就生物识别信息而言，其与其他個人信息也脱不开关系。故将侵犯个人生物识别信息行为归为侵犯公民个人信息罪规制较为贴切。但需要解决两个问题。一是个人信息范围是否包括个人生物识别信息。以“两高一部”《关于依法惩处侵害公民个人信息犯罪活动的通知》规定来看，姓名、身份证件号码、电话号码、家庭住址等信息属于个人信息，但其并未将指纹、虹膜等生物识别信息纳入其中。而民法典和《网络安全法》已将个人生物识别信息予以规范，为了保证法规范体系的统一，需要在刑法中明确规定个人信息包括个人生物识别信息。二是客体范围不一致。侵犯公民个人信息罪客体不涉及公共安全和国家安全，不足以完全涵盖侵犯个人生物识别信息的犯罪客体。可以通过设置从重条款、数罪并罚条款或者司法解释特别规定进行处理。

另外，侵犯个人生物识别信息行为还可能涉及到非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪等，但上述罪名的行为方式与侵犯个人生物识别信息之间存在手段与目的的关系，可适用牵连犯处理规则，以目的犯罪名或从一重罪罪名处理。

综上，笔者认为，应基于现有刑法规定，通过完善相关条文，实现刑法保护效果。可明确将公民个人生物识别信息纳入个人隐私范围，在刑法253条之一条下设第4款，明确规定滥用、泄露等侵犯公民个人生物识别信息的行为方式;将原第4款改为第5款，以保障刑法条文总体稳定。另外，就侵犯公民个人生物识别信息中危害国家安全和社会安全情形以立法或司法解释予以特殊规定。

除了刑法条文拟制外，还需相应的司法解释对定罪及情节轻重的标准予以量化，比如，现有侵犯公民个人信息的构罪标准为50条、500条、5000条或违法所得5000元以上，可依据侵害个人生物识别信息犯罪行为的特殊性和可能造成的社会危害相应降低构罪标准，体现罪责刑相适应，并以此完善对个人生物识别信息刑法保护的具体框架建设。

（二）基于行刑衔接的打击处罚方式

行刑衔接不仅是发现侵犯公民个人生物识别信息犯罪行为的重要途径，也是确保该种犯罪行为得到应有法律制裁的重要举措。负有信息监管职责的行政部门需及时移送涉嫌侵犯公民个人生物识别信息的违法线索，以拓宽犯罪线索来源，织密公民个人生物识别信息保护法网。刑法第286条之一规定，网络服务提供者不履行法律、行政法规规定的信息网络安全义务，经监管部门责令采取改正措施而拒不改正的，构成拒不履行信息网络安全管理义务罪。在数字科技发达的今天，网络服务提供者滥用其互联网服务提供者地位，违规收集、使用指纹、脸部等生物识别信息的事件常有发生，需加大行政机关对公民个人生物识别信息使用的监管力度，加强生物识别信息的执法信息共享，对怠于履行监管职责构成职务违法犯罪的监管人员要及时移送监察机关依法处理，形成震慑。此外，对于轻微的侵犯公民个人生物识别信息的犯罪行为，检察机关决定对犯罪嫌疑人不起诉的，需同步将给予相关行政处罚、政务处分等的检察意见移送有关主管机关，以确保该类犯罪不起诉后的相关行政处罚效果。

（三）基于刑法保护为后盾的综合法律保护体系

刑法是保护个人生物识别信息的最后屏障和最强手段，但刑法之外仍需要其他法律的衔接配合，才能形成一个保护个人生物识别信息的成熟法治体系。当前《个人信息保护法》《生物安全法》的出台和施行，就是法律制度满足人民日益增长的对民主、公平、正义、法治的更高需求的体现，在保护生物识别信息中迈出了重要一步。但前述法律法规对个人生物识别信息的特殊性保护方面仍略显笼统。未来需要以刑法规定为最终规制手段，结合民法典、网络安全法、消费者权益保护法等，进一步就个人生物识别信息的界定机制、惩处机制上加以联动规定，以形成刑法保护为后盾，民事、行政保护共同发力的多层次、立体化个人生物识别信息法律保护网，构建和完善符合中国实际的个人生物信息保护制度。

[1] 参见《中消协发布〈100款App个人信息收集与隐私政策测评报告〉 金融理财类等10款App涉嫌过度收集或使用个人信息》，央广网http：//news.cnr.cn/dj/20181130/t20181130_524435457.shtml，最后访问日期：2021年11月24日。

1525501186371