Open Journal of Legal Science 法学, 2023, 11(5), 3991-4000 Published Online September 2023 in Hans. /journal/ojls  /10.12677/ojls.2023.115567
大数据时代公民个人生物识别信息的刑法保护 ——从人脸识别角度切入
韩晨艺
扬州大学法学院,江苏 扬州
收稿日期:2023年7月7日;录用日期:2023年7月25日;发布日期:2023年9月12日
要 大数据时代,人工智能科技的迅速发展与深入使用为人们生活提供了更加自动化、便捷化的生活体验的同时往往会产生一系列道德风险和法律问题。个人的生物识别信息如果被泄露或者滥用,给公民带来的不仅是财产损害,更有可能造成人身威胁。现行法律和司法解释对于生物识别信息的规定却少之又少,《刑
法》也未将生物识别信息纳入侵犯公民个人信息罪的法益保护范围内。本文以人脸识别为切入点,针对非法利用生物识别技术、侵犯公民生物识别信息的行为进行分析;阐述我国《刑法》对于生物识别信息规制的缺陷并提出相应的完善建议,以实现《刑法》对于生物识别信息的特殊保护。
关键词
人脸识别,生物识别信息,个人信息,侵犯公民个人信息罪
Criminal Law Protection of Citizens’  Personal Biometric Information in the  Era of Big Data
—From the Perspective of Face Recognition
Chenyi Han
Law School, Yangzhou Universitiy, Yangzhou Jiangsu  Received: Jul. 7th , 2023; accepted: Jul. 25th , 2023; published: Sep. 12th
, 2023
Abstract
In the era of big data, the rapid development and in-depth use of artificial intelligence technology
韩晨艺
provide people with a more automated and convenient life experience. At the same time, it often produces a series of moral risks and legal problems. If personal biometric information is leaked or abused, it will not only bring property damage to citizens, but also pose a personal threat. The current laws and judicial interpretations have few provisions on biometric information, and the Criminal Law does not include biometric information in the scope of legal interest protection of the crime of infringing on citizens’ personal information. Taking face recognition as the starting point, this paper analyzes the illegal use of biometric technology and infringing on citizens’ bio-metric information, and expounds the defects of the regulation of biometric information in China’s Criminal Law, and put forward corresponding improvement suggestions to realize the special protection of biometric information in the Criminal Law.
Keywords
Face Recognition, Biometric Information, Personal Information, Crime of Infringing on Citizens’ Personal Information
This work is licensed under the Creative Commons Attribution International License (CC BY 4.0).
/licenses/by/4.0/
1. 引言
由于人工智能科学技术的蓬勃发展,人脸识别这一技术名词得以出现,并成为了新一代的人工智能科技中最具标志性的一种科技类型。在中国,如今人脸识别科技开始广泛应用于支付、交通、医药等领域的广泛应用,表明了随着中国科技的日益成熟,人脸识别科技在中国应用市场有着巨大的发展潜力,但同时也产生了不少危害与风险,就如所谓的“深度伪造”,2019年8月,人工智能换脸软件“ZAO”
刚刚上线,就受到了中国网友的欢呼和热议,因为只要上传一张自己的人脸图片,就可以和影视作品中的演员实现换脸,但是由于涉及到对公民信息的过度采集,该开发公司随后立即被工信部门约谈[1]。再
如杭州的“人脸识别第一案”中,该动物园要求顾客进行人脸识别,否则将无法使用其年卡,于是浙江理工大学的郭兵副教授随即以民事侵权为由将该动物园告上法庭1。更有一起相关性质更为恶劣的刑事案件,2018年9月,犯罪嫌疑人唐杰从非法渠道获取到了唐某的支付宝账户信息,随后通过制作唐某的3D 人脸动态图,破解了人脸识别认证系统,解除了支付宝限制登录这一障碍,盗窃了唐某支付宝账户里2.4万余元2。“技术一旦进入社会领域,必然会被社会制度、社会组织和社会体的各种利益、诉求和价值判断所塑造和限制”[2],我们应当认识到,科技发展带来的不仅仅只是智能与便捷,还会产生一系列道德风险和法律问题。法律在预防新兴技术的合理使用所蕴含风险的同时,更应积极回应科技的不当使用给人们带来的威胁。实质上,人脸识别信息属于个人生物识别信息的一种,具有特殊性、唯一性和不可替代性,并且不同于其他个人信息,如果一经泄露或者滥用,将难以救济。虽然目前《网络安全法》《个人信息保护法》等前置性法律已经相继对个人信息作出了详细规定,但生物识别信息这一概念却始终未被明确纳入我国目前既有的《刑法》中。生物识别信息是否应当被纳入公民个人信息犯罪所保护的法益范围,如何就既有刑事立法对其进行保护,成为亟待解决的问题。
1杭州市富阳区人民法院(2019)浙0111民初6971号民事判决书。
2成都市郫都区人民法院(2019)川0124刑初610号刑事判决书。
韩晨艺
2. 人脸识别信息的法律属性及潜在风险
2.1. 人脸识别的定义
人脸识别又称人像识别或者面部识别。从技术层面来看,人脸识别技术旨在通过自然人的脸部特征信息识别或验证自然人的身份,根据2018年欧盟《通用数据保护条例》的规定,人脸识别信息是指通过抓取人的面部特征等,进行一定的技术处理后形成的能识别到特定自然人的信息[3]。但从法律角度出发,人脸识别信息这一概念未被定义。立法和理论上都忽视了这一问题,进而导致司法实践的混乱,在上文提到的“张羽、唐杰、李瑞安侵犯公民个人信息案”中,被告人唐杰最终被判决构成非法获取计算机信息系统数据罪,而非侵犯公民个人信息罪,前罪属于社会秩序犯罪,后罪规定在人身犯罪中,二者所保护的法益并不相同,设立前罪的目的主要是为了保护数据安全,维护正常的社会管理秩序,而后罪主要强调对公民人身安全法益的保护[4]。不难看出法院最终认定唐杰构成非法获取计算机信息系统数据罪是存在问题的,判决的结果值得我们深入探讨。通过本案不难看出,认定这一行为的性质以及人脸识别信息的法律属性对于司法实践显得尤为重要。
2.2. 人脸识别使用目的和特点
侵害公民个人信息
近年来,人脸识别技术通常被使用在自然人的身份认定上,适用场景主要都是在宾馆、机场、高铁站等公共场所。所谓使用目的,主要是为了公共安全。对此,根据《个人信息保护法》第26条3,总结起来
有以下几点值得我们注意:第一,在公共场所收集个人身份识别信息,需要尽到合理的提示义务;第二,要基于公共安全的目的;第三,是基于合理使用的目的,即除了用于维护公共安全的目的之外不能用于其他目的。实际上这三点中限定用于维护公共安全的目的才是实质性的限制条件,个人的人脸信息或者其他生物识别信息一旦被收集,收集的方式和渠道我们却无从知晓,且对于后续的使用环节我们个人是毫无控制力的,但如果仅有此目的性限制的话,如此一来,我们会发现没有哪个地方不符合此目的,小区、地铁、商场内使用人脸识别都可以说是为了公共安全目的。如果是为了所谓的公共安全,那么小区、商场完全可以将此信息收集归入监控,电视,发现违法犯罪行为时直接调出即可,而为什么非要识别特定的个人呢?近日,北京地铁五个站点开始推行人脸识别,实行“实名常乘客快速进站通道”,即乘客“刷脸”可免去部分安检,并将此与个人信用挂钩,认为这是一种奖励措施。清华大学法学院劳东燕教授指出,飞机场和高铁安装人脸识别设备或与反恐有关,一旦遭受,危害性特别大。但与飞机场和高铁不同的是,地铁涉及到乘客的日常生活,并且客流量巨大。“如果识别出具体是谁在乘坐地铁的话,乘客的日常行踪轨迹很可能被追踪,收集人脸信息或超出了法律规定的必要原则。”“为什么一定要识别出来每一个乘坐地铁的人呢?”她认为,地铁安检的重点应该在于识别出有人带了危险用具会危及公共安全,而非识别出乘坐地铁的每一个人的具体身份[5]。实际上,根本没有必要将每一个人都识别出来,并且更夸张的是与个人信用相挂钩。一个人的个人信用有问题并不代表他就对公共安全存在威胁。由此,我们不难看出《个人信息保护法》中这种关于公共安全的个人条款其实缺乏边界,任何以公共安全为名的措施好像都能符合现有的法律,这一点值得我们深入思考。
2.3. 推广适用的潜在危险以及当前涉及人脸识别犯罪的主要场景
人脸识别技术的推广适用固然存在许多好处,适用上存在便利,有利于企业获得商业利益以及产业的发展,但其使用的风险远大于好处。首先,人工智能大数据时代人脸识别易使我们成为透明人,危险
3《个人信息保护法》第26条:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
韩晨艺
无处不在,人脸数据的安全可能会涉及到个人方方面面的隐私。其次,一旦人脸数据被泄露,将引发更多难以预料的风险。近年来黑市上兴起了人脸数据的买卖,通过一些大公司买入人们的人脸数据然后再售出用于非法用途,这些数据的泄出通常来自小区的物业、商场和相关平台等,泄露出去的数据一旦被非法滥用,将导致犯罪行为,其中包括利用他人人脸信息直接开设银行或者支付宝账户,用于贷款、赌博、等一系列犯罪活动,甚至还有犯罪分子直接嫁接他人人脸信息到淫秽视频中以进行非法牟利。广西更是有一例人脸犯罪案件直接通过利用他人人脸信息将被害人的房屋过户。此外,人脸识别技术的广泛运用还使得原先普通的电信转为精准。最后,人脸识别信息泄露具有相比于其他生物识别信息泄露更加难以救济的特点。不同于其他个人信息,电话号码、密码等个人信息一旦泄露可以通
过更换、回的方式予以弥补,而人脸识别信息一旦泄露将造成难以挽回的后果,打开的可能是潘多拉的魔盒。个人的隐私如果被无限地泄露,终有一天我们的社会将沦为英国思想家边沁所构想的“全景敞式监狱——监控型社会”。
3. 以人脸信息为代表的生物识别信息概述
3.1. 生物识别信息的特征及权利属性
3.1.1. 生物识别信息的定义
最新颁布的《民法典》《网络安全法》《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》中,个人生物识别信息这一名词均被多次提及,但也都是简要对其种类加以列举或者说明其属于个人信息的范畴。2020年由国家标准化管理委员会发布的《信息安全技术个人信息安全规范》也只是对生物识别信息的种类做了列举,将“个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等”包括在内,但是这些法律法规均未对生物识别信息下定义或给予明确的概念界定[6]。简单地下定义,生物识别信息事实上就是指能够通过一定的生物识别技术进行分析所获得的个人信息。再根据2021年发布的《生物特征识别学科发展报告》中所定义的“生物识别”这一概念,我们可知生物识别是指通过智能机器获取和分析人体的生理和行为特征,进而实现身份鉴别(你是谁)、状态分析(姿态、喜怒哀乐)、属性估计(性别、年龄、人种)的科学技术[7],由此我们就可以将生物识别信息详细界定
为用于自动身份鉴别、状态分析、属性估计的人体生理和行为特征信息。从这些概念之间的种属关系看,形成了“人脸信息–生物识别信息–个人信息”的上位概念关系[8]。遗憾的是,我国的立法目前尚未形成对人脸信息以及生物识别信息体系化的保护模式。
3.1.2. 生物识别信息的主要特征
相比于其他个人信息,公民个人的生物识别信息具有如下的几个特征:首先,生物识别信息在性质上天然具有可识别性。以人脸识别信息为例,其能迅速准确地识别到特定的自然人,而电话号码、住址等个人信息若想直接锁定到特定的个人,可能还需结合人脸信息等其他生物识别信息才能进行身份认证,做到精准定位。此外,生物识别信息必须经过计算机算法的鉴定,而传统的个人信息并不需要经过此程序。其次,生物识别信息具有较强的稳定性。其一经形成便很难再去进行修改,例如人体的虹膜组织,虹膜从婴儿胚胎期的第3个月起开始发育,到第8个月主要纹理结构成形,在角膜的保护下,发育完全的虹膜很难受到外界的伤害,除非经历危及眼睛的外科手术,此后几乎终身不变[9]。生物识别信息也不同于账号密码、身份证号码等个人信息可以通过回、重设等方式予以补救,其造成的损害往往是永久性的。最后,生物识别信息具有极易采集的特性。在人工智能技术如此发达的今天,很多时候个人完全意识不到自己的生物识别信息被无声采集。大多数人在互联网大数据平台上传自己的自拍或者照片时,不对相片做任何处理,无形中其实已经暴露了自己的人脸信息,导致个人信息的外泄。有很多不法分子
韩晨艺
就通过这一方式将网络上他人的人脸照片嫁接到淫秽视频中或者通过换脸制作情图片进行非法牟利,给他人的隐私权和名誉权造成了极大的影响甚至是不可挽回的后果。而电话号码、住址一类个人信息的获取则需要与他人进行交涉与接触,相较于此,人脸、指纹这一类生物识别信息的极易采撷性导致了其更容易受到侵害。
3.2. 生物识别信息属于刑法上的个人信息
纵观我国《刑法》,将侵犯公民个人信息罪规定在了“侵犯公民人身权利、民主权利”这一章中,说明其旨在保护的法益是公民的人身和财产安全,这也是刑法评价的核心所在[10]。以人脸信息为例,通过人脸所识别出来的信息代表着个人的喜怒哀乐,能够反映人的心情、代表人格尊严。人脸识别这一类生物识别信息不仅能影响人们的人身安全,更多时候是直接被当作密码来使用,直接与个人账户挂钩。大量司法实践证明,不法分子通过非法获取的人脸信息直接破解他人的财产账户,进行财产犯罪,其性质较普通的盗窃罪、罪更为恶劣。对此,生物识别信息作为个人信息的一种,能够单独识别特定的自然人,个人生物识别信息一旦被当作密码来使用,就更加容易造成公民的人生权利和财产权利受到侵害,进而引发相关人身和财产犯罪[10],因此必须将生物识别信息作为个人信息安全法益纳入刑法保护范围,采取严厉的措施对其进行针对性保护。反观“张某、唐某、李某侵犯公民个人信息”一案4,法院判决唐某构成非法获取计算机信息系统数据罪而非侵犯公民个人信息罪,是有失偏颇的。非法获取计算机信息系统数据罪是利用信息网络所进行的犯罪,其侵犯的法益是计算机信息系统内的数据安全,旨在保护
数据安全,而侵犯公民个人信息罪侧重于保护公民个人信息的内容,以及能够直接体现其内容本身的特定自然人[4]。因此只有将本案中唐某犯罪行为侵害的法益准确定性为公民个人信息安全法益而非计算机信息系统的数据安全,才能严厉制止不法,准确打击犯罪。
4. 对个人生物识别信息进行专项立法或完善刑法保护的必要性
刑法作为一部公法,是最严厉的部门法并且是法律的最后一道防线,因此当我们认定某一行为构成犯罪时,必须严格遵守罪刑法定原则,从该罪所要保护的法益出发,对其构成要件进行合理的、实质的解释。如今《个人信息保护法》的出台,从个人信息的收集、提供和利用角度做出了详细规定,一定程度上完善了公民个人信息保护领域的法律,而刑法作为第二次法,与《个人信息保护法》这一前置性法律所要保护的对象应当是统一的。如前文所述,个人生物识别信息是个人信息的下位概念,应当被纳入侵犯公民个人信息罪保护的法益范围,因此刑法不应当再去独立创设新的保护对象。对此,本文从目前《个人信息保护法》所保护的对象范围展开论述,来探讨当前对于公民个人生物识别信息适用刑法保护模式的必要性。
4.1. 保护的对象范围
目前出台的《个人信息保护法》对一般个人信息和敏感个人信息进行了分类,以人脸识别信息为例,当下,一种选择是是否应当将人脸信息这一类生物识别信息放入敏感个人信息的范围内进行规制,另一种
就是进行专项立法。个人认为,第一种选择即将生物识别信息归入个人敏感信息进行保护是有问题的,因为根据《个人信息保护法》的规定,敏感个人信息与一般个人信息的区别主要就在于是否需要征得个人知情并同意,但我们很容易发现知情同意机制的不足之处,目前对于敏感信息的使用需要单独征求同意,或者超出使用范围时需要再次征求同意。实际上,个人信息中真正有价值的是二次使用,鉴于当今数据库中的数据都是千万级甚至上亿级的,如果企业改变数据用途需要重新征求用户的意见其实是不现实的。其次,对于个人来讲,如果主要还是依靠知情同意机制来保护个人信息的话,只要个人同意使用,4成都市郫都区人民法院(2019)川0124刑初610号刑事判决书。