針對生物識別信息的刑法保護：現實境遇與完善路徑

摘要：當前生物識別信息在我國社會中的運用呈現逐年遞增的趨勢。生物識別信息具備本體特殊性和社會特殊性，這決定了其具備與普通公民個人信息不同的重要性，應受到刑法的特殊保護，但我國既定刑事立法對生物識別信息并未進行任何形式的特殊保護?？蛇\用實質解釋的方法，在不違反罪刑法定原則的前提下，充分利用兩高《解釋》第5條中第1款第10項和第2款第4項這兩個兜底條款，將“侵犯生物識別信息5條及以上”認定為“情節嚴重”，將“侵犯生物識別信息50條及以上”認定為“情節特別嚴重”，由此降低針對生物識別信息原本的入罪和法定刑升格的數量，最終實現對生物識別信息的特殊刑法保護。

關鍵詞：公民個人信息;生物識別信息;大數據;人臉識別;指紋識別

中圖分類號：D29434"" 文獻標志碼：A"" 文章編號：10085831（2021）02013311

一、問題的提出

當前，我國已全面邁入“互聯網+”時代、人工智能時代和大數據時代。在這個科技日新月異的時代，信息的創制、利用和傳播成為顯著特征，這對我國公民個人信息的保護提出了嚴峻的挑戰。在公民個人信息中，有些信息可以用來識別公民的身份，這些能識別公民身份的信息中又有一種特殊的信息——生物識別信息，諸如人臉、指紋、掌紋、耳廓、虹膜、視網膜、靜脈、骨架、DNA、聲紋、步態、筆跡等，因其反映了公民獨特的人身特征而具備獨一無二性，所以在識別公民身份上天然地具備極強并且迅捷的辨識效果，由此在我國社會生活中時常作為密碼而被使用，比如在日常生活中經常用到的手機APP“刷臉”和指紋識別，以及越來越廣泛運用人臉識別的住宅小區和連鎖零售店，乃至智能門鎖和受到年輕人歡迎的“換臉軟件” [1]。而這只是基于個人感知的“冰山一角”，有記者調查后發現，國內利用生物識別信息的企業有千余家，市場約千億規模，并且呈現迅速增長的趨勢[2]，生物識別信息的廣闊市場前景及其在我國社會中所占的重要地位可想而知。

然而，生物識別信息所具備的獨一無二性的另一面是不可替換性，即無法以同等種類的其他公民個人信息予以替換。因此，一旦作為密碼使用的生物識別信息遭到泄露，將導致信息所有人無法像修改普通密碼那樣修改該密碼，只能申請停用該密碼，從而造成其在該密碼的使用上遭遇較大的不方便，即便申請停用密碼，也有兩個問題：第一，由生物識別信息目前在我國的廣泛運用性所決定，信息所有人必須在所有運用該密碼的場合，都一一申請停用，否則可能導致該密碼被他人在各種場合利用，從而遭受范圍更廣的損失，這進一步加劇了信息所有人通過四處奔波和徹底停用該密碼所遭遇的不方便。第二，目前生物識別信息不像普通密碼那樣基本上可以通過網絡上的自我操作（尤其是通過手機APP）迅捷、便利地申請停用，而在住宅小區和連鎖零售店等多個場合，一般只能通過電話聯絡或現場辦理等相對間接而遲緩的方式申請停用，在停用之前可能導致該密碼被他人進行持續性的非法利用，從而導致信息所有人遭受持續性的損失。在生物識別信息的各類型中，人臉信息的采集和運用在我國社會較為廣泛而常見，這意味著人臉信息泄露事件的發生更為頻繁，由此決定了相關案件在我國司法實踐中的多發性，其中的民事案件較為知名的是被媒體廣泛報道的所謂“中國人臉識別第一案”。該案中，浙江理工大學郭兵副教授以杭州某動物園要求顧客進行人臉識別而影響其年卡的使用為由，于2019年10月28日將該動物園告上法庭，引發了社會的廣泛關注。而相關的刑事案件中，比較典型的是發生在四川省成都市的一起性質更為嚴重的“人臉識別案”。該案中，唐杰非法獲取唐某的支付寶賬戶信息和人臉肖像后，采用制作唐某3D人臉動態圖的方式突破了支付寶人臉識別認證系統，后又將唐某的支付寶賬戶信息提供給張羽，張羽采取相關手段盜竊了唐某支付寶賬戶內的人民幣2.4萬余元成都市郫都區人民法院（2019）川0124刑初610號刑事判決書。。該案的嚴重性體現在唐杰非法獲取唐某的生物識別信息后非法提供給他人，引發了財產犯罪的發生，最終導致唐某的財產遭受侵害。但容易被忽略而更值得注意的是，即便唐某得知其人臉信息被泄露后想及時“止損”，都無法通過“換臉”的方式直接、迅速地修改該密碼，而只能向支付寶企業申請停用該密碼，更為麻煩的是，唐某還必須在所有運用其人臉信息的場合一一申請停用該密碼，這可能造成其在支付、出行等各方面的不方便。此外，唐某在所有的場合都成功申請停用該密碼之前，如果該密碼繼續被他人以各種方式利用，甚至有人利用該密碼“刷臉”進入其居住的小區和住宅，唐某遭受的侵害可能不僅僅來源于財產犯罪，甚至可能是人身犯罪。

由此可見，在公民個人信息的保護中，給予生物識別信息一種特殊對待的重要性不言而喻。但就公民個人信息的種類而言，目前我國法律上各類個人信息都處于混同狀態[3]，我國《刑法》也未將生物識別信息從公民個人信息中獨立出來并給予特殊的定罪量刑標準，這就提出了以下問題：第一，如何全面分析我國刑事立法中對公民個人信息的不同分類所持的態度和表現，總結其問題和成因;第二，如何在理論上全面而詳細地論證對生物識別信息應在刑法上進行特殊保護的必要性;第三，如何從立法修正或刑法解釋的角度，提出對生物識別信息進行特殊保護的具體方案。筆者擬于下文中通過論證和提出具體方案來逐一解決上述問題，并以此求教于學界同仁。

二、保護現狀的問題和成因

公民個人信息保護在我國刑事立法上，經歷了一個漸進的過程。1949年新中國成立后，從“79刑法”到“97新刑法”中都沒有關于保護公民個人信息的罪名，但2009年出臺的我國《刑法修正案（七）》作為一個轉折點，在我國《刑法》第253條設立了“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”，這是一個巨大的進步，但囿于當時的時代局限，生物識別信息被侵犯的現象并未表現得較為嚴重，對其予以特殊保護的必要性也由此不太明顯。因此，立法者在立法說明中僅將公民個人信息的外延解釋為公民的姓名、住址等司法實踐中經常被侵犯的信息，而沒有明確列舉生物識別信息，從而采取了一種對公民個人信息不分類而是統一保護的立法方式[4]。從2009年到2015年，我國公民個人信息被侵犯的現象呈現出大幅度嚴重化的趨勢，無論是侵犯主體、侵犯行為方式、侵犯客體等方面，都發生了很大的變化，可以說，公民個人信息被侵犯在此期間經歷了從簡單到復雜、從輕微到嚴重的軌跡。有鑒于此，立法者迅速地因應客觀實際的變化，于2015年出臺了我國《刑法修正案（九）》，在形式和實質上都修改了我國《刑法》第253條的內容，具體表現為：第一，將“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”這兩個罪名，整合為“侵犯公民個人信息罪”。具體而言， 是將“出售” “提供” “獲取”三種行為方式，在語詞上整合為“侵犯”。這屬于形式上的改變。第二，將新罪名的行為主體從之前的特殊主體——國家機關或者相關單位的工作人員，擴大為一般主體——年滿16周歲的人。這是從構成要件中行為主體要素的角度作出的實質性改變[5]。對于第二個改變，立法者指出，“近年來，出售、非法提供和非法獲取公民個人信息的犯罪出現了一些新情況。根據《刑法修正案（七）》的規定，只能打擊金融、電信等單位工作人員出售、非法提供公民個人信息的犯罪行為，而對于一般主體違背個人意愿，出售、非法提供公民個人信息的，難以依法懲治”[6]。可見，針對行為主體的修改，體現了時代和社會的新變化對立法完善的需求。但遺憾的是，立法者在立法說明中解釋公民個人信息時，重復性地闡述了前次刑法修正案中的定義和種類，尚未前瞻性地以列舉的方式將生物識別信息納入其中。2017年，由于司法實踐中對侵犯公民個人信息罪需要相應具體解釋的呼聲較為迫切，最高人民法院、最高人民檢察院聯合制定了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（下文簡稱《解釋》），對該罪的構成要件（如公民個人信息的內涵和外延等）和量刑標準（如罰金數額的確定）兩個方面進行了具體的解釋。但同樣遺憾的是，該司法解釋未對生物識別信息進行列舉。盡管如此，侵犯公民個人信息罪從無到有、從粗略到細致的上述制定過程，體現了我國立法者負責地回應我國社會現實需求的敏感性，這種務實的態度可為今后我國刑事立法對生物識別信息的特殊重視埋下伏筆和作出鋪墊。

立法者對侵犯公民信息罪構成要件的設計進一步貫徹了該罪立法說明中對公民個人信息不予分類的態度。該罪構成要件的優點是，在作為構成要件要素之一的實行行為的敘明上顯得較為細致，其將實行行為具體分為獲取、出售、提供三類[7]，其中又將“獲取”中的“盜竊”予以獨立列舉，這使得司法實踐工作者在辦理相關案件時，能借此對實行行為進行精確的界定。但這一細致性的優點并未在該罪另一構成要件要素——行為客體上體現出來。通過梳理立法史可知，歷次刑法修正案和《解釋》中，該罪的行為客體——公民個人信息的具體種類都會被立法者一一列舉，其中生物識別信息自始至終的缺位反映了立法者對該種類所蘊含的特殊重要性欠缺充足的認識，以至于該罪的行為客體只能在法條表述中籠統地表現為“公民個人信息”這個龐雜的概念，而必然不可能劃分為普通公民個人信息和生物識別信息兩大類，從而也就不可能對不同的行為客體設計不同的構成要件和量刑標準，也就最終無法實現對生物識別信息進行特殊保護的目的。該罪被制定后，受刑事立法的影響，我國的刑法教科書論及侵犯公民個人信息罪時，一般都簡單復述立法者在立法說明中對公民個人信息種類的既定劃分，同樣不列舉生物識別信息這一種類[8]，而個別刑法教科書列舉了在表述上不同于生物識別信息的“生理信息”[9]，長此以往，可能會從知識傳遞的角度，潛移默化地影響我國理論界和實務界對生物識別信息的重視度。

由此可知，我國現行刑事立法對生物識別信息保護尚存在缺陷，可簡要歸納為兩個方面：第一，從我國刑法歷次修正案到《解釋》，立法者對公民個人信息的種類進行列舉時，從來都對生物識別信息未置一詞，這降低了該種類在公民個人信息中的特殊重要性;第二，侵犯公民個人信息罪的法條表述中欠缺對生物識別信息針對性的定罪量刑標準，這不利于通過對行為人的定罪和量刑進行影響，去實現對生物識別信息的特殊保護。

之所以存在上述缺陷，是基于以下原因：第一，時代的局限性。2015年之前，雖然侵犯公民個人信息的案件在我國社會的發生呈現上升趨勢，但這些案件中主要遭到侵犯的是諸如公民的身份證號、電話號碼等常規個人信息，生物識別信息作為一種新興而相對高端的個人信息，被侵犯的前提尚需一種相應的科技運用環境，而當時我國社會的科技環境尚不完善，生物識別信息被侵犯的頻率較低，社會大眾由此對該信息蘊含的特殊重要性欠缺感性和理性認識，自然無法讓立法者對該信息的保護引起特殊重視;但在2015年以后，隨著人工智能和大數據技術的突飛猛進和廣泛運用，同時伴隨著移動支付在商業中的大幅推廣，諸如人臉和指紋識別等新技術逐漸在我國社會得到越來越廣泛的采用，時代的局限性被突破，生物識別信息的特殊重要性也隨之愈加凸顯。就我國司法實踐來看，通過對中國裁判文書網所公布的刑事裁判文書進行梳理可發現，從2017年到2019年，我國法院已審結的涉及侵犯人臉信息的案件分別為2件、3件、11件，共計16件，呈現逐漸遞增的趨勢，2019年是2017年案件的5.5倍?？梢灶A測，2020年及其以后，隨著人臉識別技術在我國社會的進一步推廣，這類案件將繼續呈現大幅增加的趨勢。值得注意的是，生物識別信息的具體分類除了人臉信息之外還包含指紋等多種信息，如果將所有種類的生物識別信息都納入其中并且將法院未進行審理的案件包括游離于刑法規制之外的“犯罪黑數”[10]都考慮進來，相關案件的數量將不可小覷。第二，罪名分類細致性的弱化。雖然我國《刑法》對少數犯罪的規定較為細致，比如，將詐騙罪分為普通詐騙罪和特殊詐騙罪兩類，共計規定了包括詐騙罪、金融詐騙罪等在內的10多個罪名，相比德國《刑法》第263—264條規定的詐騙罪、計算機詐騙罪、捐助詐騙罪、投資詐騙罪這4個罪名[11]，更為全面而細致，但在諸多犯罪諸如搶劫罪種類上的規定卻稍顯籠統。比如日本《刑法》對搶劫罪規定了普通型搶劫罪、事后搶劫罪、昏醉搶劫罪、搶劫致死傷罪、搶劫強奸罪、搶劫強奸致死罪6類[12]，而我國《刑法》只規定了普通型搶劫罪、轉化型搶劫罪，搶劫槍支、彈藥、爆炸物、危險物質罪3類。這樣粗略的立法方式還體現在侵占罪等罪上[13]。這說明，我國刑事立法在罪名設定上的具體、細致性需要進一步加強。反映在公民個人信息的刑法保護上，就必然導致不可能對公民個人信息進行細致的分類并根據不同種類設定不同的定罪量刑標準。

三、特殊保護的必要性和方式

（一）必要性

既然我國現行刑事立法對生物識別信息的保護呈現較為不力的現狀，那么需要在理論上深入討論的是，生物識別信息相比其他公民個人信息究竟有何種不同而由此具備被特殊保護的必要性。如果從生物識別信息的本體特質和社會層面兩個維度進行考察，可發現其具備明顯不同于其他公民個人信息的特殊性。

第一，本體特殊性。包括人身反映性、高度人格尊嚴性、獨一無二性、不可替換性、不可改變性。（1）人身反映性是指生物識別信息能直接反映自然人的身體和行為特征，由此具備針對身體的直接指向性和緊密依從性。比如，人臉和指紋反映的是人的臉部和手指的特征;筆跡通過體現人書寫的獨特習慣，反映的是人用以寫作的身體部位（多為手部）的行為特征，而人的行為特征恰恰反映了其身體特征，可以說前者對后者具備緊密的依從性。這就使得生物識別信息與并不直接反映人身特征的普通公民個人信息（如身份證號碼、家庭住址等）截然區分開來。人的身體不僅僅體現了其核心隱私，更屬于人生命的載體，對人的生命存續起著不可替代的重大作用，侵害身體的行為（尤其是故意殺人罪、故意傷害罪等）屬于當今任何一個國家的刑法都嚴厲懲治的犯罪行為，生命和身體完整性隨之成為刑法中最為重大的保護法益[14]，這就需要對直接反映人身特征的生物識別信息，在刑法上給予特殊的重視。（2）高度人格尊嚴性是指生物識別信息能夠極其強烈地體現自然人的人格尊嚴。自啟蒙時代以來，人格尊嚴就屬于人的重大權利之一，如耶林所言，沒有權利就沒有個人的權利，也沒有民族的權利[15]，其意義性不言而喻。就實定法的角度而言，人格尊嚴受到我國《憲法》第38條的明文保護，我國《刑法》中的侮辱罪、誹謗罪也專門保護人格尊嚴[16]。生物識別信息之所以具備高度人格尊嚴性，歸根究底是因為其具備人身反映性，這兩種性質緊密相連并且前者由后者所決定。具體而言，人的人格尊嚴一般可以通過人的身體、精神和財產被侵害而受到侵犯，尤其是人的身體被侵害時，只要被害人具備理性的認識能力和清醒的認識狀態，都往往伴隨著精神的痛苦而加劇了其人格尊嚴被侵犯的程度。公民的生物識別信息遭到侵犯時，被害人的核心隱私被泄露甚至利用，其人身受到某種程度的商品化，主觀上可能產生一種特殊的受辱感，其人格尊嚴毫無疑問地受到了侵害。（3）獨一無二性是指公民同種類的生物識別信息只有單獨1份而沒有多份，也與其他人同種類的生物識別信息不同，這是由每個人身體器官和行為特征的獨特性所決定的。比如，人只有1個食指，從食指中采集的指紋則與自己其他手指和他人食指的指紋不同。尤其是DNA信息更加具備獨一無二性，由于每個人DNA的不同在科學上是絕對的法則，其對于鑒定人的身份具備超強的優勢，由此在世界各國的刑事偵查程序中，被廣泛應用于辨認犯罪嫌疑人和尸體的身份、排除犯罪嫌疑人、親子鑒定中[17]。值得注意的是，獨一無二性并不等同于無法復制性或難以變造性，生物識別信息曾被學界認為具備防偽性強的特征，但近來時常發生通過技術手段冒充他人身份的案例，如本文開頭所提到的四川“人臉識別”案，證明了某些種類的生物識別信息（如臉部信息）可以在技術支持下被輕易復制甚至變造。（4）不可替換性是指無法以同種類的生物識別信息去替代既定信息的運用，這是由獨一無二性所決定和衍生出的性質。比如，公民的人臉信息被泄露后，無法像替換普通密碼那樣，可以通過采取自己“第二張臉”的信息，或者通過尋找一個外貌上與自己絲毫無差的人采集其人臉信息，去替換自己被泄露的人臉信息。（5）不可改變性是指公民無法或者難以改變其生物識別信息的特征。雖然通過整容、手術、改變個人習慣等方式，可以有限地改變人臉、指紋、掌紋、耳廓、骨架、聲紋、步態、筆跡等信息，但這種改變要付出較大的身體、技術和經濟代價，可視為難以改變的信息，完全無法改變的信息包括DNA、虹膜、視網膜、靜脈等，這意味著生物識別信息在應用中具備穩定性和可靠性。

第二，社會特殊性。包括廣泛運用性、密碼使用性、人身和財產犯罪關聯性、停用帶來的不方便性、停用前損失的持續性、法益特殊性。（1）廣泛運用性是指生物識別信息已在我國社會生活、學習、商業等各方面得到了越來越多的運用，其最大市場主要是電子商務、電子政務、個人用設備[18]，這一點可以說已被我國廣大群眾所熟知。生物識別信息一旦運用于社會實踐，就必然決定了其不僅具備該特殊性，下文中其他各種社會特殊性也由此而生。（2）密碼使用性是指生物識別信息通常被公民當作密碼使用，常見的操作如在支付寶、淘寶、銀行等手機APP上以“刷臉”和驗證指紋的方式進行登錄和支付，不少住宅小區也以“刷臉”作為進入小區的方式。尤其是生物識別信息被某單位或個人強制作為唯一可用的密碼使用時，比如本文開頭提到的杭州動物園“人臉識別”案，相關沖突和訴訟發生的概率便有所提升，生物識別信息對于公民的特殊重要性及其特殊保護必要性亦隨之增加。（3）人身和財產犯罪關聯性是指當生物識別信息被當作密碼使用時，一旦該密碼被泄露，他人可能利用該密碼從事相關財產和人身犯罪，以致造成信息所有人的財產權乃至人身權被侵害。這種伴隨而生的財產犯罪在司法實踐中主要是盜竊罪，人身犯罪可能涉及非法侵入公民住宅罪、強奸罪、強制猥褻罪、綁架罪，乃至故意殺人罪、故意傷害罪，同時還可能誘發入戶型搶劫罪，這種關聯性應引起全社會的高度警惕。本文開頭提到的四川“人臉識別案”就是被害人的人臉信息被泄露后用于實施盜竊罪的典型案例。（4）停用帶來的不方便性是指作為密碼使用的生物識別信息由于無法以同種類的信息替換而只能由信息所有人申請停用，但由于該密碼可能被用于多個場合，信息所有人只能逐一申請停用而帶來奔波之苦，停用還意味著信息所有人從此無法使用這類密碼，轉而只能將普通公民個人信息作為密碼使用，尤其是在生物識別信息被強制作為唯一的密碼使用這種情況下，更會給信息所有人帶來不方便。（5）停用前損失的持續性是指由于當前我國社會對生物識別信息的運用還沒有達到一種程度，以至于信息所有人本來完全可以直接通過網絡上的操作去申請停用被泄露的密碼，卻只能通過電話或現場辦理的方式申請停用，停用成功之前的時間差可能導致該密碼被他人繼續非法利用，從而使信息所有人受到持續性的損失。（6）法益特殊性是指生物識別信息承載的法益相較于普通公民個人信息所具備的不同之處。我國刑法學者一般將侵犯公民個人信息罪的保護法益界定為以下兩大類：一是公共法益，又分為公共信息安全[19]、公權主體及其關聯主體對公民個人信息的保有 [20]、個人信息安全的社會信賴 [21]、社會信息管理秩序[22]4類;二是個人法益，又分為公民的隱私權 [23]、公民人格尊嚴與個人自由[24]（或以人格權為內核的個人信息權[25]）、信息自決權[26]（或稱信息專有權[27]）3類。但立法者在立法理由中指出，設立侵犯公民個人信息罪是為了保護公民的人身財產安全，保護個人隱私和正常的生活、工作不受侵害與干擾，通過歷史解釋（立法者原意解釋）的方法[28]，可以直接排除公共法益，而在個人法益的上述種類中，可發現生物識別信息承載的法益并非普通公民個人信息一般所承載的單一法益，而是復合法益，包括公民的信息自決權、人格尊嚴、核心隱私權、人身和財產安全、生活安寧權、信息運用的便利性。這種復合法益成為應對生物識別信息進行特殊刑法保護的理由。

生物識別信息所具備的上述本體特殊性和社會特殊性，使其具備了與普通公民個人信息不同的重要性。這意味著，對生物識別信息采取與普通公民個人信息相同的刑法保護方式明顯欠妥，既定保護方式不僅由于違反了生物識別信息的特殊性而在邏輯上無法自洽，還將導致侵犯生物識別信息的行為由于無法受到比侵犯普通公民個人信息的行為更重的否定性評價和刑罰制裁，從而導致公民的人格尊嚴、核心隱私權、人身和財產安全、信息運用的便利性等一系列法益無法得到應有的保護，也無法對侵犯生物識別信息的犯罪實現一般和特殊預防的刑罰目的[29]，無論是在理論上還是實踐上都存在巨大的漏洞和弊端。因此，改變我國刑事立法對生物識別信息保護不力的現狀，反過來對其進行特殊保護很有必要。

（二）方式

在對我國刑事立法提出完善方案之前，有必要從比較法的角度簡要地梳理和評析一下國外對生物識別信息的立法模式。在當今世界各國的法律體系中，對生物識別信息進行特殊保護的立法模式體現為兩類：一是在統一的信息或數據法中保護生物識別信息，如歐盟、印度、巴西等國，這是主流模式;二是出臺專門的生物識別信息保護法來進行保護，這主要是美國的各州[30]。我國有不少學者贊同采取與美國相同的立法模式[31]，以專門立法的方式來應對我國當前個人生物識別信息法律保護的現實需要[32]。毫無疑問，以專門的法律來保護生物識別信息會起到更全面的保護效果，但考慮到我國至今連統一的信息保護法都未出臺，制定專門的法律在當前看來似乎不切實際并且“遠水不解近渴”。但我國將來無論采取何種保護模式，都繞不開一個現實問題，那就是在我國既定刑事立法中如何就生物識別信息進行針對性的完善。有學者認為我國《刑法》對公民個人信息采取統一保護的立法模式存在弊端，并據此提出個人信息的分類保護模式[33]，這顯然是從修改法律的角度提出的建議，但問題在于，在我國將來出臺新的旨在對生物識別信息進行特殊保護的《刑法修正案》之前，如何從刑法解釋的角度，對既定的侵犯公民個人信息罪進行解釋，使其能起到對生物識別信息進行特殊保護的效果，對司法實踐中緊迫的辦案需求而言，應該更具備現實意義。因此，可以從刑法解釋而非修改法律的務實角度來實現我國刑事立法對生物識別信息的特殊保護。

根據我國《刑法》第253條并結合犯罪論體系的理論，可將侵犯公民個人信息罪的構成要件簡要歸納為行為人非法獲取、出售或者提供公民個人信息，情節嚴重，其基本刑為3年以下有期徒刑或者拘役，并處或者單處罰金。法定刑升格的情形為情節特別嚴重的，處3年以上7年以下有期徒刑，并處罰金?？梢?，行為人的行為是否“情節嚴重”或者“情節特別嚴重”，對于該行為是否構成侵犯公民個人信息罪或者應當被加重處罰，顯得極其重要。情節在犯罪論體系中的定位，根據陳興良教授的觀點，屬于罪量要素而非構成要件要素[34]。這意味著，我國《刑法》中的情節對應的是德國、日本刑法中的客觀處罰條件[35]。這種定位在司法實踐上的意義是，根據刑法通說中故意的成立要求——行為人必須對所有的客觀構成要件要素有認識和意欲[36]，判斷行為人是否具備侵犯公民個人信息罪的故意時，不要求其必須認識到情節是否嚴重或特別嚴重。對情節嚴重或特別嚴重的具體界定，《解釋》第5條進行了詳細的闡述。問題是，如何運用這一既定立法資源去實現對生物識別信息的特殊刑法保護？《解釋》第5條第1款第3—5項本質上是對公民個人信息進行了分類并給不同的種類設定了相應的入罪數量，可以試圖從中找到一個突破口。具體而言，第3—5項對公民個人信息的種類和入罪數量確定為：第一，行蹤軌跡信息、通信內容、征信信息、財產信息50條及以上;第二，住宿信息、通信記錄、健康生理信息、交易信息等500條及以上;第三，其他信息5 000條及以上。然而，生物識別信息并未被明文歸入第1、2類，只能被歸入“其他信息”的范疇，這非但無法實現對生物識別信息特殊保護的目的，相反，還由于必須滿足最高的入罪數量而提高了侵犯生物識別信息行為的入罪門檻。如果認為“健康生理信息”這一概念等同于生物識別信息，或者將“健康生理信息”作擴大解釋，將生物識別信息硬性地涵攝其中，則會導致這兩個概念發生混淆，因為全國信息安全標準化技術委員會制定的《信息安全技術 個人信息安全規范》已明確將生物識別信息和健康生理信息規定為公民個人信息的不同種類。根據邏輯常識，并列的兩個概念不可能在外延上存在包容或交叉的關系，而只能是互斥的關系。如果運用第2類中的“等”字，將生物識別信息歸入“等”字之內而成為與住宿信息等并列的第2類信息，也無法實現對生物識別信息特殊保護的目的，因為按照體系解釋的要求[37]，既然生物識別信息的重要性明顯大于第1類中諸如通信內容等普通公民個人信息，要求生物識別信息達到500條才能入罪，而通信內容只需要50條即可入罪，會導致輕重失衡，顯然不合理。如果違反語義解釋的要求[38]，轉而將生物識別信息納入第1類，又會破壞罪行法定原則的明確性要求[39]。這是因為，生物識別信息不僅不屬于第1類中任何一種信息，并且第1類的語詞表述中也沒有“等”字這一解釋空間，此外，即使強行納入，也會造成輕重失衡。因為前文已述，生物識別信息的重要性大于第1類中的任何信息，毋寧說，第3—5項中所有信息的特殊性和重要性都不及生物識別信息?？梢?，無論是從形式解釋的角度，還是基于實質解釋的立場，沿用第3—5項對公民個人信息的既定分類，根本無助于對生物識別信息進行特殊保護。

但立法者可能也預見到充滿活力的我國社會將不斷發生始料未及的新情況，在《解釋》第5條第1款第10項以“兜底條款”的方式規定了“其他情節嚴重的情形”，為解決新情況留下了一個解釋空間，而這正是對生物識別信息進行特殊保護的真正突破口。雖然有學者認為兜底條款可能與罪刑法定原則相沖突而提出批評[40]，但考慮到當前我國社會中新現象不斷發生的實際情況，在刑事立法中保留和運用兜底條款而不是采取徹底否定的態度，更能解決一些現實問題。可以考慮通過將“非法獲取、出售或者提供生物識別信息5條及以上”解釋為該項規定的“其他情節嚴重的情形”，這就能從刑法解釋的角度實現對生物識別信息的特殊保護，理由在于：第一，既然生物識別信息的重要性大于第3—5項的任何信息，將侵犯一定數量的生物識別信息直接認定為“其他情節嚴重的情形”，會起到超越任何其他種類公民個人信息的超強保護效果;第二，無須將生物識別信息的入罪數量設定為1—4條，這是考慮到刑法的最后手段原則[41]提出的謙抑性要求;第三，將生物識別信息的入罪數量設定為5條而非更多，是為了與其他信息的既定數量（50條、500條、5 000條）形成與其重要性成比例的梯次。因此，只要行為人實施非法獲取、出售、提供生物識別信息的行為，只要該信息的數量達到5條，其行為就因“情節嚴重”而可能構成非法侵犯公民個人信息罪。據此，由不同種類公民個人信息的重要性所決定，我國刑事立法可通過對之設定不同的入罪數量而體現出輕重不同的保護力度：第一，侵犯生物識別信息5條才能入罪;第二，侵犯行蹤軌跡信息等50條才能入罪;第三，侵犯住宿信息等500條才能入罪;第四，侵犯其他信息5 000條才能入罪。

此外，針對法定刑升格的認定，《解釋》第5條第2款具體解釋了何種情形為“情節特別嚴重”，該款第3項將“數量達到前款規定第3項至第5項規定標準的10倍以上”的情形認定為“情節特別嚴重”，然而，《解釋》第5條第1款第3—5項規定的公民個人信息在字面上并不包含生物識別信息，無法直接從中推導出“侵犯生物識別信息50條及以上為‘情節特別嚴重’”的結論，否則將成為不利于行為人的類推解釋而違反罪刑法定原則[42]，但這一結論可以通過適用同為兜底條款的《解釋》第5條第2款第4項并參考該條款第3項來推導得出，具體而言，第4項規定了“其他情節特別嚴重的情形”，這當然可以涵括“侵犯生物識別信息5條及以上”的情形，但既然該項規定了“特別”二字，顯然就意味著侵犯生物識別信息的數量要極大地超越5條的限定，而第3項中“10倍”的數量較好地體現了這種特別嚴重的程度，可由此被沿用為對生物識別信息數量的限定。因此，“侵犯生物識別信息50條及以上”屬于《解釋》第5條第2款第4項的“其他情節特別嚴重的情形”，行為人的行為如果具備該情形并構成非法侵犯公民個人信息罪，行為人將被判處升格后的法定刑。

概言之，通過運用實質解釋的方法，在不違反罪刑法定原則的前提下，充分利用《解釋》第5條中第1款第10項和第2款第4項這兩個兜底條款，將“侵犯生物識別信息5條及以上”認定為“情節嚴重”，將“侵犯生物識別信息50條及以上”認定為“情節特別嚴重”，借此降低針對生物識別信息原本的入罪和法定刑升格的數量，可實現對生物識別信息的特殊刑法保護，并且完全不影響對其他種類公民個人信息既定的定罪量刑條款的適用，由此在我國刑事立法中呈現出一種于法有據、條理分明、輕重有序并能兼顧生物識別信息特殊性的合理保護格局。

四、結語

當前生物識別信息在我國社會中的運用呈現逐年遞增的趨勢，這首先帶給我國公民極大的便利，其次也隱藏著諸多刑法上要解決的問題。放眼國外最新的立法情況，2018年5月25日，歐盟出臺了《通用數據保護條例》，給予生物識別信息明確的定義[43]，并對公民個人信息進行分類和設定不同的保護方式[44]，能提供給我國一個借鑒的思路。在這個公民個人信息在全球和我國都越來越重要、相關法律體系越來越完善的新時代，我國的立法者和司法實踐工作者都有必要敏捷和充分地認識到生物識別信息相對于普通公民個人信息所蘊含的特殊性、重要性和超強保護必要性，尤其是對于司法實踐工作者而言，在辦理侵犯公民個人信息的案件時應避免機械地適用我國刑事立法中的相關條款，而不至于無法對生物識別信息進行特殊保護，可轉而運用刑法解釋的方式，在合法、合理的前提下，實質、靈活地運用既定立法資源，在涉及生物識別信息的入罪和法定刑升格這兩個方面，都采取相較于普通公民個人信息更為寬松的認定方式，以最終通過辦案實踐來實現對我國公民生物識別信息的超強刑法保護，有效地回應新時代的司法需求。

參考文獻：

[1]劉春泉.換臉軟件涉嫌公眾安全 人體生物識別信息管理要跟上[N].第一財經日報，2019-09-24（A11）.

[2]王麗.生物識別信息濫用催生灰色產業[J].方圓，2019（24）：18-23.

[3]付微明.大數據時代個人生物識別信息法律保護的重要意義[J].研究生法學，2019（4）：134-140.

[4]全國人大常委會法制工作委員會刑法室.中華人民共和國刑法條文說明、立法理由及相關規定[M].北京：北京大學出版社，2009：515.

[5]ZIESCHANG F.Strafrecht allgemeiner teil[M].Berlin：Richard Boorberg Verlag，2017：24.

[6]全國人大常委會法制工作委員會刑法室.中華人民共和國刑法修正案（九）條文說明、立法理由及相關規定[M].北京：北京大學出版社，2016：127.

[7]魏東.刑法各論[M].北京：法律出版社，2015：152.

[8]魏東.刑法：原理·圖解·案例·司考[M].北京：中國民主法制出版社，2016：534.

[9]張明楷.刑法學[M].北京：法律出版社，2016：921.

[10]王震.刑法的宣示性：犯罪黑數給我們帶來的思考[J].煙臺大學學報（哲學社會科學版），2015（5）：34-43 .

[11]SCHNKE A， SCHRDER H.Strafgesetzbuch kommentar[M].Berlin：C.H. BECK， 2014：2485.

[12]山口厚.刑法各論[M].王昭武，譯.北京：中國人民大學出版社，2011：248.

[13]陳璇.論侵占罪處罰漏洞之填補[J].法商研究，2015（1）：136-146.

[14]KUNDLICH H.Strafrecht besonderer teilⅡ：Delikte gegen die person und die allgemeinheit[M].Berlin：C. H.Beck，2009：51.

[15]魯道夫·馮·耶琳.為權利而斗爭[M].鄭永流，譯.北京：法律出版社，2007：9.

[16]黎宏.刑法學[M].北京：法律出版社，2012：688.

[17]林鈺雄.刑事法理論與實踐[M].北京：中國人民大學出版社，2008：309.

[18]宋子晴.生物識別信息安全新主張[J].中國公共安全（綜合版），2006（10）：84-87.

[19]趙軍.侵犯公民個人信息犯罪法益研究：兼析《刑法修正案（七）》的相關爭議問題[J].江西財經大學學報，2011（2）：108-113.

[20]王肅之.被害人教義學核心原則的發展：基于侵犯公民個人信息罪法益的反思[J].政治與法律，2017（10）：27-38.

[21]江海洋.侵犯公民個人信息罪超個人法益之提倡[J].交大法學，2018（3）：139-155 .

[22]凌萍萍，焦冶.侵犯公民個人信息罪的刑法法益重析[J].蘇州大學學報（哲學社會科學版），2017（6）：66-71.

[23]王昭武，肖凱.侵犯公民個人信息犯罪認定中的若干問題[J].法學，2009（12）：146-155.

[24]高富平，王文祥.出售或提供公民個人信息入罪的邊界：以侵犯公民個人信息罪所保護的法益為視角[J].政治與法律，2017（2）：46-55.

[25]冀洋.法益自決權與侵犯公民個人信息罪的司法邊界[J].中國法學，2019（4）：66-83.

[26]劉艷紅.民法編纂背景下侵犯公民個人信息罪的保護法益： 信息自決權——以刑民一體化及《民法總則》第111 條為視角[J].浙江工商大學學報，2019（6）：20-32 .

[27]敬力嘉.大數據環境下侵犯公民個人信息罪法益的應然轉向[J].法學評論：2018（2）：116-127.

[28]KINDHUSER U.Strafrecht allgemeiner teil[M].Berlin：Nomos，2015：43.

[29]FREUND G，ROSTALSKI F.Strafrecht allgemeiner teil[M].Berlin Heidelberg：Springer Berlin Heidelberg， 2019.

[30]趙淑鈺.生物識別信息法律規制的國際經驗與啟示[J].中國信息安全，2019（11）：37-39，43.

[31]馬斯蒙.美國個人生物識別信息法律保護路徑探析[J].法制博覽，2019（4）：258.

[32]付微明.個人生物識別信息的法律保護模式與中國選擇[J].華東政法大學學報，2019（6）：78-88.

[33]董悅.公民個人信息分類保護的刑法模式構建[J].大連理工大學學報（社會科學版），2020（2）：80-89.

[34]陳興良.規范刑法學[M].北京：中國人民大學出版社，2013：196.

[35]FRISTER H.Strafrecht allgemeiner teil[M].Berlin：C. H.Beck，2015：91.

[36]FRISTER H.Vorsatzdogmatik in deutschland[J].Zeitschrift für Internationale Strafrechtsdogmatik，2018， 7：381-386.

[37]STRATENWERTH G，KUHLEN L.Strafrecht allgemeiner teil[M].Berlin：Vahlen，2011：46.

[38]MAURACH R，ZIPF H.Strafrecht allgemeiner teil 1 grund lehren des strafrechts und aufbau der straftat[M].Berlin：C.F.Müller，1992：116.

[39]HOFFMANN-HOLLLAND K.Strafrecht allgemeiner teil[M].Berlin：Mohr Siebeck，2015：9.

[40]劉沐陽.兜底條款的局限性及其實踐運用[J].人民檢察，2014（8）：58-60.

[41]JESCHECK H，WEIGEND T，STRAFRECHTS L，et al[M].Berlin：Duncker amp; Humblot，1996：53.

[42]SCHMIDHAUSER E.Strafrecht allgemeiner teil lehrbuch[M].Berlin：J.C.B Mohr（Paul Siebeck） Tübingen，1970：110.

[43]EUROPEAN UNION.General Data Protection Regulation[EB/OL].（2018-05-25）[2020-2-12].http：//eurlex.europa.eu/legal content/EN/TXT/？uri=uriserv：OJ.L_.2016.119.01.0001.01.ENGamp;toc=OJ：L：2016：119：TOC.

[44]全國信息安全標準化技術委員會.網絡安全實踐指南—歐盟GDPR關注點[EB/OL].（2018-05-25）[2020-2-12]. https：//www.tc260.org.cn/upload/2018-05-25/1527251794595094938.pdf.

The criminal protection about biological identification

information： Current situation and perfection ways

——Taking the case of “face identification” in Sichuan as starting point

WANG Dezheng

（Law School， Chengdu University， Chengdu 610106， P. R. China）

Abstract：

Currently the application of biological identification information in our society shows a more and more increasing tendency. Biological identification information has its own particularity and social particularity， which decides that it has an importance which is different from common personal information of citizens， so it deserves to be specially protected by criminal law. However， there is not any form of special protection about biological identification information in current criminal law of China. Substantial interpretation method could be used to sufficiently take advantage of the two miscellaneous provisions of paragraph 1， item 10 and paragraph 2， item 4 in Article 5 of “Interpretation” of Supreme People’s Court and Supreme People’s Procuratorate under the premise of obeying principle of legality. We could consider “violating 5 or more pieces of biological identification information” as “gravity of the circumstances”， and consider “violating 50 or more pieces of biological identification information” as “especially serious circumstances”. By this way could the original quantities of conviction and promotion of legal penalty about biological identification information decrease. Finally， the special protection of biological identification information could be achieved.

Key words：" personal information of citizens; biological identification information; big data; face identification; fingerprint identification

（責任編輯 胡志平）