王德政

(成都大學(xué) 法學(xué)院，四川 成都 610106)

一、問題的提出

當(dāng)前，我國已全面邁入“互聯(lián)網(wǎng)+”時代、人工智能時代和大數(shù)據(jù)時代。在這個科技日新月異的時代，信息的創(chuàng)制、利用和傳播成為顯著特征，這對我國公民個人信息的保護提出了嚴峻的挑戰(zhàn)。在公民個人信息中，有些信息可以用來識別公民的身份，這些能識別公民身份的信息中又有一種特殊的信息——生物識別信息，諸如人臉、指紋、掌紋、耳廓、虹膜、視網(wǎng)膜、靜脈、骨架、DNA、聲紋、步態(tài)、筆跡等，因其反映了公民獨特的人身特征而具備獨一無二性，所以在識別公民身份上天然地具備極強并且迅捷的辨識效果，由此在我國社會生活中時常作為密碼而被使用，比如在日常生活中經(jīng)常用到的手機APP“刷臉”和指紋識別，以及越來越廣泛運用人臉識別的住宅小區(qū)和連鎖零售店，乃至智能門鎖和受到年輕人歡迎的“換臉軟件”[1]。而這只是基于個人感知的“冰山一角”，有記者調(diào)查后發(fā)現(xiàn)，國內(nèi)利用生物識別信息的企業(yè)有千余家，市場約千億規(guī)模，并且呈現(xiàn)迅速增長的趨勢[2]，生物識別信息的廣闊市場前景及其在我國社會中所占的重要地位可想而知。

然而，生物識別信息所具備的獨一無二性的另一面是不可替換性，即無法以同等種類的其他公民個人信息予以替換。因此，一旦作為密碼使用的生物識別信息遭到泄露，將導(dǎo)致信息所有人無法像修改普通密碼那樣修改該密碼，只能申請停用該密碼，從而造成其在該密碼的使用上遭遇較大的不方便，即便申請停用密碼，也有兩個問題：第一，由生物識別信息目前在我國的廣泛運用性所決定，信息所有人必須在所有運用該密碼的場合，都一一申請停用，否則可能導(dǎo)致該密碼被他人在各種場合利用，從而遭受范圍更廣的損失，這進一步加劇了信息所有人通過四處奔波和徹底停用該密碼所遭遇的不方便。第二，目前生物識別信息不像普通密碼那樣基本上可以通過網(wǎng)絡(luò)上的自我操作(尤其是通過手機APP)迅捷、便利地申請停用，而在住宅小區(qū)和連鎖零售店等多個場合，一般只能通過電話聯(lián)絡(luò)或現(xiàn)場辦理等相對間接而遲緩的方式申請停用，在停用之前可能導(dǎo)致該密碼被他人進行持續(xù)性的非法利用，從而導(dǎo)致信息所有人遭受持續(xù)性的損失。在生物識別信息的各類型中，人臉信息的采集和運用在我國社會較為廣泛而常見，這意味著人臉信息泄露事件的發(fā)生更為頻繁，由此決定了相關(guān)案件在我國司法實踐中的多發(fā)性，其中的民事案件較為知名的是被媒體廣泛報道的所謂“中國人臉識別第一案”。該案中，浙江理工大學(xué)郭兵副教授以杭州某動物園要求顧客進行人臉識別而影響其年卡的使用為由，于2019年10月28日將該動物園告上法庭，引發(fā)了社會的廣泛關(guān)注。而相關(guān)的刑事案件中，比較典型的是發(fā)生在四川省成都市的一起性質(zhì)更為嚴重的“人臉識別案”。該案中，唐杰非法獲取唐某的支付寶賬戶信息和人臉肖像后，采用制作唐某3D人臉動態(tài)圖的方式突破了支付寶人臉識別認證系統(tǒng)，后又將唐某的支付寶賬戶信息提供給張羽，張羽采取相關(guān)手段盜竊了唐某支付寶賬戶內(nèi)的人民幣2.4萬余元(1)成都市郫都區(qū)人民法院(2019)川0124刑初610號刑事判決書。。該案的嚴重性體現(xiàn)在唐杰非法獲取唐某的生物識別信息后非法提供給他人，引發(fā)了財產(chǎn)犯罪的發(fā)生，最終導(dǎo)致唐某的財產(chǎn)遭受侵害。但容易被忽略而更值得注意的是，即便唐某得知其人臉信息被泄露后想及時“止損”，都無法通過“換臉”的方式直接、迅速地修改該密碼，而只能向支付寶企業(yè)申請停用該密碼，更為麻煩的是，唐某還必須在所有運用其人臉信息的場合一一申請停用該密碼，這可能造成其在支付、出行等各方面的不方便。此外，唐某在所有的場合都成功申請停用該密碼之前，如果該密碼繼續(xù)被他人以各種方式利用，甚至有人利用該密碼“刷臉”進入其居住的小區(qū)和住宅，唐某遭受的侵害可能不僅僅來源于財產(chǎn)犯罪，甚至可能是人身犯罪。

由此可見，在公民個人信息的保護中，給予生物識別信息一種特殊對待的重要性不言而喻。但就公民個人信息的種類而言，目前我國法律上各類個人信息都處于混同狀態(tài)[3]，我國《刑法》也未將生物識別信息從公民個人信息中獨立出來并給予特殊的定罪量刑標準，這就提出了以下問題：第一，如何全面分析我國刑事立法中對公民個人信息的不同分類所持的態(tài)度和表現(xiàn)，總結(jié)其問題和成因；第二，如何在理論上全面而詳細地論證對生物識別信息應(yīng)在刑法上進行特殊保護的必要性；第三，如何從立法修正或刑法解釋的角度，提出對生物識別信息進行特殊保護的具體方案。筆者擬于下文中通過論證和提出具體方案來逐一解決上述問題，并以此求教于學(xué)界同仁。

二、保護現(xiàn)狀的問題和成因

公民個人信息保護在我國刑事立法上，經(jīng)歷了一個漸進的過程。1949年新中國成立后，從“79刑法”到“97新刑法”中都沒有關(guān)于保護公民個人信息的罪名，但2009年出臺的我國《刑法修正案(七)》作為一個轉(zhuǎn)折點，在我國《刑法》第253條設(shè)立了“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”，這是一個巨大的進步，但囿于當(dāng)時的時代局限，生物識別信息被侵犯的現(xiàn)象并未表現(xiàn)得較為嚴重，對其予以特殊保護的必要性也由此不太明顯。因此，立法者在立法說明中僅將公民個人信息的外延解釋為公民的姓名、住址等司法實踐中經(jīng)常被侵犯的信息，而沒有明確列舉生物識別信息，從而采取了一種對公民個人信息不分類而是統(tǒng)一保護的立法方式[4]。從2009年到2015年，我國公民個人信息被侵犯的現(xiàn)象呈現(xiàn)出大幅度嚴重化的趨勢，無論是侵犯主體、侵犯行為方式、侵犯客體等方面，都發(fā)生了很大的變化，可以說，公民個人信息被侵犯在此期間經(jīng)歷了從簡單到復(fù)雜、從輕微到嚴重的軌跡。有鑒于此，立法者迅速地因應(yīng)客觀實際的變化，于2015年出臺了我國《刑法修正案(九)》，在形式和實質(zhì)上都修改了我國《刑法》第253條的內(nèi)容，具體表現(xiàn)為：第一，將“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”這兩個罪名，整合為“侵犯公民個人信息罪”。具體而言， 是將“出售” “提供” “獲取”三種行為方式，在語詞上整合為“侵犯”。這屬于形式上的改變。第二，將新罪名的行為主體從之前的特殊主體——國家機關(guān)或者相關(guān)單位的工作人員，擴大為一般主體——年滿16周歲的人。這是從構(gòu)成要件中行為主體要素的角度作出的實質(zhì)性改變[5]。對于第二個改變，立法者指出,“近年來，出售、非法提供和非法獲取公民個人信息的犯罪出現(xiàn)了一些新情況。根據(jù)《刑法修正案(七)》的規(guī)定，只能打擊金融、電信等單位工作人員出售、非法提供公民個人信息的犯罪行為，而對于一般主體違背個人意愿，出售、非法提供公民個人信息的，難以依法懲治”[6]。可見，針對行為主體的修改，體現(xiàn)了時代和社會的新變化對立法完善的需求。但遺憾的是，立法者在立法說明中解釋公民個人信息時，重復(fù)性地闡述了前次刑法修正案中的定義和種類，尚未前瞻性地以列舉的方式將生物識別信息納入其中。2017年，由于司法實踐中對侵犯公民個人信息罪需要相應(yīng)具體解釋的呼聲較為迫切，最高人民法院、最高人民檢察院聯(lián)合制定了《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(下文簡稱《解釋》)，對該罪的構(gòu)成要件(如公民個人信息的內(nèi)涵和外延等)和量刑標準(如罰金數(shù)額的確定)兩個方面進行了具體的解釋。但同樣遺憾的是，該司法解釋未對生物識別信息進行列舉。盡管如此，侵犯公民個人信息罪從無到有、從粗略到細致的上述制定過程，體現(xiàn)了我國立法者負責(zé)地回應(yīng)我國社會現(xiàn)實需求的敏感性，這種務(wù)實的態(tài)度可為今后我國刑事立法對生物識別信息的特殊重視埋下伏筆和作出鋪墊。

立法者對侵犯公民信息罪構(gòu)成要件的設(shè)計進一步貫徹了該罪立法說明中對公民個人信息不予分類的態(tài)度。該罪構(gòu)成要件的優(yōu)點是，在作為構(gòu)成要件要素之一的實行行為的敘明上顯得較為細致，其將實行行為具體分為獲取、出售、提供三類[7]，其中又將“獲取”中的“盜竊”予以獨立列舉，這使得司法實踐工作者在辦理相關(guān)案件時，能借此對實行行為進行精確的界定。但這一細致性的優(yōu)點并未在該罪另一構(gòu)成要件要素——行為客體上體現(xiàn)出來。通過梳理立法史可知，歷次刑法修正案和《解釋》中，該罪的行為客體——公民個人信息的具體種類都會被立法者一一列舉，其中生物識別信息自始至終的缺位反映了立法者對該種類所蘊含的特殊重要性欠缺充足的認識，以至于該罪的行為客體只能在法條表述中籠統(tǒng)地表現(xiàn)為“公民個人信息”這個龐雜的概念，而必然不可能劃分為普通公民個人信息和生物識別信息兩大類，從而也就不可能對不同的行為客體設(shè)計不同的構(gòu)成要件和量刑標準，也就最終無法實現(xiàn)對生物識別信息進行特殊保護的目的。該罪被制定后，受刑事立法的影響，我國的刑法教科書論及侵犯公民個人信息罪時，一般都簡單復(fù)述立法者在立法說明中對公民個人信息種類的既定劃分，同樣不列舉生物識別信息這一種類[8]，而個別刑法教科書列舉了在表述上不同于生物識別信息的“生理信息”[9]，長此以往，可能會從知識傳遞的角度，潛移默化地影響我國理論界和實務(wù)界對生物識別信息的重視度。

由此可知，我國現(xiàn)行刑事立法對生物識別信息保護尚存在缺陷，可簡要歸納為兩個方面：第一，從我國刑法歷次修正案到《解釋》，立法者對公民個人信息的種類進行列舉時，從來都對生物識別信息未置一詞，這降低了該種類在公民個人信息中的特殊重要性；第二，侵犯公民個人信息罪的法條表述中欠缺對生物識別信息針對性的定罪量刑標準，這不利于通過對行為人的定罪和量刑進行影響，去實現(xiàn)對生物識別信息的特殊保護。

之所以存在上述缺陷，是基于以下原因：第一，時代的局限性。2015年之前，雖然侵犯公民個人信息的案件在我國社會的發(fā)生呈現(xiàn)上升趨勢，但這些案件中主要遭到侵犯的是諸如公民的身份證號、電話號碼等常規(guī)個人信息，生物識別信息作為一種新興而相對高端的個人信息，被侵犯的前提尚需一種相應(yīng)的科技運用環(huán)境，而當(dāng)時我國社會的科技環(huán)境尚不完善，生物識別信息被侵犯的頻率較低，社會大眾由此對該信息蘊含的特殊重要性欠缺感性和理性認識，自然無法讓立法者對該信息的保護引起特殊重視；但在2015年以后，隨著人工智能和大數(shù)據(jù)技術(shù)的突飛猛進和廣泛運用，同時伴隨著移動支付在商業(yè)中的大幅推廣，諸如人臉和指紋識別等新技術(shù)逐漸在我國社會得到越來越廣泛的采用，時代的局限性被突破，生物識別信息的特殊重要性也隨之愈加凸顯。就我國司法實踐來看，通過對中國裁判文書網(wǎng)所公布的刑事裁判文書進行梳理可發(fā)現(xiàn)，從2017年到2019年，我國法院已審結(jié)的涉及侵犯人臉信息的案件分別為2件、3件、11件，共計16件，呈現(xiàn)逐漸遞增的趨勢，2019年是2017年案件的5.5倍。可以預(yù)測，2020年及其以后，隨著人臉識別技術(shù)在我國社會的進一步推廣，這類案件將繼續(xù)呈現(xiàn)大幅增加的趨勢。值得注意的是，生物識別信息的具體分類除了人臉信息之外還包含指紋等多種信息，如果將所有種類的生物識別信息都納入其中并且將法院未進行審理的案件包括游離于刑法規(guī)制之外的“犯罪黑數(shù)”[10]都考慮進來，相關(guān)案件的數(shù)量將不可小覷。第二，罪名分類細致性的弱化。雖然我國《刑法》對少數(shù)犯罪的規(guī)定較為細致，比如，將詐騙罪分為普通詐騙罪和特殊詐騙罪兩類，共計規(guī)定了包括詐騙罪、金融詐騙罪等在內(nèi)的10多個罪名，相比德國《刑法》第263—264條規(guī)定的詐騙罪、計算機詐騙罪、捐助詐騙罪、投資詐騙罪這4個罪名[11]，更為全面而細致，但在諸多犯罪諸如搶劫罪種類上的規(guī)定卻稍顯籠統(tǒng)。比如日本《刑法》對搶劫罪規(guī)定了普通型搶劫罪、事后搶劫罪、昏醉搶劫罪、搶劫致死傷罪、搶劫強奸罪、搶劫強奸致死罪6類[12]，而我國《刑法》只規(guī)定了普通型搶劫罪、轉(zhuǎn)化型搶劫罪，搶劫槍支、彈藥、爆炸物、危險物質(zhì)罪3類。這樣粗略的立法方式還體現(xiàn)在侵占罪等罪上[13]。這說明，我國刑事立法在罪名設(shè)定上的具體、細致性需要進一步加強。反映在公民個人信息的刑法保護上，就必然導(dǎo)致不可能對公民個人信息進行細致的分類并根據(jù)不同種類設(shè)定不同的定罪量刑標準。

三、特殊保護的必要性和方式

(一)必要性

既然我國現(xiàn)行刑事立法對生物識別信息的保護呈現(xiàn)較為不力的現(xiàn)狀，那么需要在理論上深入討論的是，生物識別信息相比其他公民個人信息究竟有何種不同而由此具備被特殊保護的必要性。如果從生物識別信息的本體特質(zhì)和社會層面兩個維度進行考察，可發(fā)現(xiàn)其具備明顯不同于其他公民個人信息的特殊性。

第一，本體特殊性。包括人身反映性、高度人格尊嚴性、獨一無二性、不可替換性、不可改變性。(1)人身反映性是指生物識別信息能直接反映自然人的身體和行為特征，由此具備針對身體的直接指向性和緊密依從性。比如，人臉和指紋反映的是人的臉部和手指的特征；筆跡通過體現(xiàn)人書寫的獨特習(xí)慣，反映的是人用以寫作的身體部位(多為手部)的行為特征，而人的行為特征恰恰反映了其身體特征，可以說前者對后者具備緊密的依從性。這就使得生物識別信息與并不直接反映人身特征的普通公民個人信息(如身份證號碼、家庭住址等)截然區(qū)分開來。人的身體不僅僅體現(xiàn)了其核心隱私，更屬于人生命的載體，對人的生命存續(xù)起著不可替代的重大作用，侵害身體的行為(尤其是故意殺人罪、故意傷害罪等)屬于當(dāng)今任何一個國家的刑法都嚴厲懲治的犯罪行為，生命和身體完整性隨之成為刑法中最為重大的保護法益[14]，這就需要對直接反映人身特征的生物識別信息，在刑法上給予特殊的重視。(2)高度人格尊嚴性是指生物識別信息能夠極其強烈地體現(xiàn)自然人的人格尊嚴。自啟蒙時代以來，人格尊嚴就屬于人的重大權(quán)利之一，如耶林所言，沒有權(quán)利就沒有個人的權(quán)利，也沒有民族的權(quán)利[15]，其意義性不言而喻。就實定法的角度而言，人格尊嚴受到我國《憲法》第38條的明文保護，我國《刑法》中的侮辱罪、誹謗罪也專門保護人格尊嚴[16]。生物識別信息之所以具備高度人格尊嚴性，歸根究底是因為其具備人身反映性，這兩種性質(zhì)緊密相連并且前者由后者所決定。具體而言，人的人格尊嚴一般可以通過人的身體、精神和財產(chǎn)被侵害而受到侵犯，尤其是人的身體被侵害時，只要被害人具備理性的認識能力和清醒的認識狀態(tài)，都往往伴隨著精神的痛苦而加劇了其人格尊嚴被侵犯的程度。公民的生物識別信息遭到侵犯時，被害人的核心隱私被泄露甚至利用，其人身受到某種程度的商品化，主觀上可能產(chǎn)生一種特殊的受辱感，其人格尊嚴毫無疑問地受到了侵害。(3)獨一無二性是指公民同種類的生物識別信息只有單獨1份而沒有多份，也與其他人同種類的生物識別信息不同，這是由每個人身體器官和行為特征的獨特性所決定的。比如，人只有1個食指，從食指中采集的指紋則與自己其他手指和他人食指的指紋不同。尤其是DNA信息更加具備獨一無二性，由于每個人DNA的不同在科學(xué)上是絕對的法則，其對于鑒定人的身份具備超強的優(yōu)勢，由此在世界各國的刑事偵查程序中，被廣泛應(yīng)用于辨認犯罪嫌疑人和尸體的身份、排除犯罪嫌疑人、親子鑒定中[17]。值得注意的是，獨一無二性并不等同于無法復(fù)制性或難以變造性，生物識別信息曾被學(xué)界認為具備防偽性強的特征，但近來時常發(fā)生通過技術(shù)手段冒充他人身份的案例，如本文開頭所提到的四川“人臉識別”案，證明了某些種類的生物識別信息(如臉部信息)可以在技術(shù)支持下被輕易復(fù)制甚至變造。(4)不可替換性是指無法以同種類的生物識別信息去替代既定信息的運用，這是由獨一無二性所決定和衍生出的性質(zhì)。比如，公民的人臉信息被泄露后，無法像替換普通密碼那樣，可以通過采取自己“第二張臉”的信息，或者通過尋找一個外貌上與自己絲毫無差的人采集其人臉信息，去替換自己被泄露的人臉信息。(5)不可改變性是指公民無法或者難以改變其生物識別信息的特征。雖然通過整容、手術(shù)、改變個人習(xí)慣等方式，可以有限地改變?nèi)四?、指紋、掌紋、耳廓、骨架、聲紋、步態(tài)、筆跡等信息，但這種改變要付出較大的身體、技術(shù)和經(jīng)濟代價，可視為難以改變的信息，完全無法改變的信息包括DNA、虹膜、視網(wǎng)膜、靜脈等，這意味著生物識別信息在應(yīng)用中具備穩(wěn)定性和可靠性。

第二，社會特殊性。包括廣泛運用性、密碼使用性、人身和財產(chǎn)犯罪關(guān)聯(lián)性、停用帶來的不方便性、停用前損失的持續(xù)性、法益特殊性。(1)廣泛運用性是指生物識別信息已在我國社會生活、學(xué)習(xí)、商業(yè)等各方面得到了越來越多的運用，其最大市場主要是電子商務(wù)、電子政務(wù)、個人用設(shè)備[18]，這一點可以說已被我國廣大群眾所熟知。生物識別信息一旦運用于社會實踐，就必然決定了其不僅具備該特殊性，下文中其他各種社會特殊性也由此而生。(2)密碼使用性是指生物識別信息通常被公民當(dāng)作密碼使用，常見的操作如在支付寶、淘寶、銀行等手機APP上以“刷臉”和驗證指紋的方式進行登錄和支付，不少住宅小區(qū)也以“刷臉”作為進入小區(qū)的方式。尤其是生物識別信息被某單位或個人強制作為唯一可用的密碼使用時，比如本文開頭提到的杭州動物園“人臉識別”案，相關(guān)沖突和訴訟發(fā)生的概率便有所提升，生物識別信息對于公民的特殊重要性及其特殊保護必要性亦隨之增加。(3)人身和財產(chǎn)犯罪關(guān)聯(lián)性是指當(dāng)生物識別信息被當(dāng)作密碼使用時，一旦該密碼被泄露，他人可能利用該密碼從事相關(guān)財產(chǎn)和人身犯罪，以致造成信息所有人的財產(chǎn)權(quán)乃至人身權(quán)被侵害。這種伴隨而生的財產(chǎn)犯罪在司法實踐中主要是盜竊罪，人身犯罪可能涉及非法侵入公民住宅罪、強奸罪、強制猥褻罪、綁架罪，乃至故意殺人罪、故意傷害罪，同時還可能誘發(fā)入戶型搶劫罪，這種關(guān)聯(lián)性應(yīng)引起全社會的高度警惕。本文開頭提到的四川“人臉識別案”就是被害人的人臉信息被泄露后用于實施盜竊罪的典型案例。(4)停用帶來的不方便性是指作為密碼使用的生物識別信息由于無法以同種類的信息替換而只能由信息所有人申請停用，但由于該密碼可能被用于多個場合，信息所有人只能逐一申請停用而帶來奔波之苦，停用還意味著信息所有人從此無法使用這類密碼，轉(zhuǎn)而只能將普通公民個人信息作為密碼使用，尤其是在生物識別信息被強制作為唯一的密碼使用這種情況下，更會給信息所有人帶來不方便。(5)停用前損失的持續(xù)性是指由于當(dāng)前我國社會對生物識別信息的運用還沒有達到一種程度，以至于信息所有人本來完全可以直接通過網(wǎng)絡(luò)上的操作去申請停用被泄露的密碼，卻只能通過電話或現(xiàn)場辦理的方式申請停用，停用成功之前的時間差可能導(dǎo)致該密碼被他人繼續(xù)非法利用，從而使信息所有人受到持續(xù)性的損失。(6)法益特殊性是指生物識別信息承載的法益相較于普通公民個人信息所具備的不同之處。我國刑法學(xué)者一般將侵犯公民個人信息罪的保護法益界定為以下兩大類：一是公共法益，又分為公共信息安全[19]、公權(quán)主體及其關(guān)聯(lián)主體對公民個人信息的保有[20]、個人信息安全的社會信賴[21]、社會信息管理秩序[22]4類；二是個人法益，又分為公民的隱私權(quán)[23]、公民人格尊嚴與個人自由[24](或以人格權(quán)為內(nèi)核的個人信息權(quán)[25])、信息自決權(quán)[26](或稱信息專有權(quán)[27])3類。但立法者在立法理由中指出，設(shè)立侵犯公民個人信息罪是為了保護公民的人身財產(chǎn)安全，保護個人隱私和正常的生活、工作不受侵害與干擾，通過歷史解釋(立法者原意解釋)的方法[28]，可以直接排除公共法益，而在個人法益的上述種類中，可發(fā)現(xiàn)生物識別信息承載的法益并非普通公民個人信息一般所承載的單一法益，而是復(fù)合法益，包括公民的信息自決權(quán)、人格尊嚴、核心隱私權(quán)、人身和財產(chǎn)安全、生活安寧權(quán)、信息運用的便利性。這種復(fù)合法益成為應(yīng)對生物識別信息進行特殊刑法保護的理由。

生物識別信息所具備的上述本體特殊性和社會特殊性，使其具備了與普通公民個人信息不同的重要性。這意味著，對生物識別信息采取與普通公民個人信息相同的刑法保護方式明顯欠妥，既定保護方式不僅由于違反了生物識別信息的特殊性而在邏輯上無法自洽，還將導(dǎo)致侵犯生物識別信息的行為由于無法受到比侵犯普通公民個人信息的行為更重的否定性評價和刑罰制裁，從而導(dǎo)致公民的人格尊嚴、核心隱私權(quán)、人身和財產(chǎn)安全、信息運用的便利性等一系列法益無法得到應(yīng)有的保護，也無法對侵犯生物識別信息的犯罪實現(xiàn)一般和特殊預(yù)防的刑罰目的[29]，無論是在理論上還是實踐上都存在巨大的漏洞和弊端。因此，改變我國刑事立法對生物識別信息保護不力的現(xiàn)狀，反過來對其進行特殊保護很有必要。

(二)方式

在對我國刑事立法提出完善方案之前，有必要從比較法的角度簡要地梳理和評析一下國外對生物識別信息的立法模式。在當(dāng)今世界各國的法律體系中，對生物識別信息進行特殊保護的立法模式體現(xiàn)為兩類：一是在統(tǒng)一的信息或數(shù)據(jù)法中保護生物識別信息，如歐盟、印度、巴西等國，這是主流模式；二是出臺專門的生物識別信息保護法來進行保護，這主要是美國的各州[30]。我國有不少學(xué)者贊同采取與美國相同的立法模式[31]，以專門立法的方式來應(yīng)對我國當(dāng)前個人生物識別信息法律保護的現(xiàn)實需要[32]。毫無疑問，以專門的法律來保護生物識別信息會起到更全面的保護效果，但考慮到我國至今連統(tǒng)一的信息保護法都未出臺，制定專門的法律在當(dāng)前看來似乎不切實際并且“遠水不解近渴”。但我國將來無論采取何種保護模式，都繞不開一個現(xiàn)實問題,那就是在我國既定刑事立法中如何就生物識別信息進行針對性的完善。有學(xué)者認為我國《刑法》對公民個人信息采取統(tǒng)一保護的立法模式存在弊端，并據(jù)此提出個人信息的分類保護模式[33]，這顯然是從修改法律的角度提出的建議，但問題在于，在我國將來出臺新的旨在對生物識別信息進行特殊保護的《刑法修正案》之前，如何從刑法解釋的角度，對既定的侵犯公民個人信息罪進行解釋，使其能起到對生物識別信息進行特殊保護的效果，對司法實踐中緊迫的辦案需求而言，應(yīng)該更具備現(xiàn)實意義。因此，可以從刑法解釋而非修改法律的務(wù)實角度來實現(xiàn)我國刑事立法對生物識別信息的特殊保護。

根據(jù)我國《刑法》第253條并結(jié)合犯罪論體系的理論，可將侵犯公民個人信息罪的構(gòu)成要件簡要歸納為行為人非法獲取、出售或者提供公民個人信息，情節(jié)嚴重，其基本刑為3年以下有期徒刑或者拘役，并處或者單處罰金。法定刑升格的情形為情節(jié)特別嚴重的，處3年以上7年以下有期徒刑，并處罰金?？梢?，行為人的行為是否“情節(jié)嚴重”或者“情節(jié)特別嚴重”，對于該行為是否構(gòu)成侵犯公民個人信息罪或者應(yīng)當(dāng)被加重處罰，顯得極其重要。情節(jié)在犯罪論體系中的定位，根據(jù)陳興良教授的觀點，屬于罪量要素而非構(gòu)成要件要素[34]。這意味著，我國《刑法》中的情節(jié)對應(yīng)的是德國、日本刑法中的客觀處罰條件[35]。這種定位在司法實踐上的意義是，根據(jù)刑法通說中故意的成立要求——行為人必須對所有的客觀構(gòu)成要件要素有認識和意欲[36]，判斷行為人是否具備侵犯公民個人信息罪的故意時，不要求其必須認識到情節(jié)是否嚴重或特別嚴重。對情節(jié)嚴重或特別嚴重的具體界定，《解釋》第5條進行了詳細的闡述。問題是，如何運用這一既定立法資源去實現(xiàn)對生物識別信息的特殊刑法保護？《解釋》第5條第1款第3—5項本質(zhì)上是對公民個人信息進行了分類并給不同的種類設(shè)定了相應(yīng)的入罪數(shù)量，可以試圖從中找到一個突破口。具體而言，第3—5項對公民個人信息的種類和入罪數(shù)量確定為：第一，行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息50條及以上；第二，住宿信息、通信記錄、健康生理信息、交易信息等500條及以上；第三，其他信息5 000條及以上。然而，生物識別信息并未被明文歸入第1、2類，只能被歸入“其他信息”的范疇，這非但無法實現(xiàn)對生物識別信息特殊保護的目的，相反，還由于必須滿足最高的入罪數(shù)量而提高了侵犯生物識別信息行為的入罪門檻。如果認為“健康生理信息”這一概念等同于生物識別信息，或者將“健康生理信息”作擴大解釋，將生物識別信息硬性地涵攝其中，則會導(dǎo)致這兩個概念發(fā)生混淆，因為全國信息安全標準化技術(shù)委員會制定的《信息安全技術(shù) 個人信息安全規(guī)范》已明確將生物識別信息和健康生理信息規(guī)定為公民個人信息的不同種類。根據(jù)邏輯常識，并列的兩個概念不可能在外延上存在包容或交叉的關(guān)系，而只能是互斥的關(guān)系。如果運用第2類中的“等”字，將生物識別信息歸入“等”字之內(nèi)而成為與住宿信息等并列的第2類信息，也無法實現(xiàn)對生物識別信息特殊保護的目的，因為按照體系解釋的要求[37]，既然生物識別信息的重要性明顯大于第1類中諸如通信內(nèi)容等普通公民個人信息，要求生物識別信息達到500條才能入罪，而通信內(nèi)容只需要50條即可入罪，會導(dǎo)致輕重失衡，顯然不合理。如果違反語義解釋的要求[38]，轉(zhuǎn)而將生物識別信息納入第1類，又會破壞罪行法定原則的明確性要求[39]。這是因為，生物識別信息不僅不屬于第1類中任何一種信息，并且第1類的語詞表述中也沒有“等”字這一解釋空間，此外，即使強行納入，也會造成輕重失衡。因為前文已述，生物識別信息的重要性大于第1類中的任何信息，毋寧說，第3—5項中所有信息的特殊性和重要性都不及生物識別信息?？梢?，無論是從形式解釋的角度，還是基于實質(zhì)解釋的立場，沿用第3—5項對公民個人信息的既定分類，根本無助于對生物識別信息進行特殊保護。

但立法者可能也預(yù)見到充滿活力的我國社會將不斷發(fā)生始料未及的新情況，在《解釋》第5條第1款第10項以“兜底條款”的方式規(guī)定了“其他情節(jié)嚴重的情形”，為解決新情況留下了一個解釋空間，而這正是對生物識別信息進行特殊保護的真正突破口。雖然有學(xué)者認為兜底條款可能與罪刑法定原則相沖突而提出批評[40]，但考慮到當(dāng)前我國社會中新現(xiàn)象不斷發(fā)生的實際情況，在刑事立法中保留和運用兜底條款而不是采取徹底否定的態(tài)度，更能解決一些現(xiàn)實問題?？梢钥紤]通過將“非法獲取、出售或者提供生物識別信息5條及以上”解釋為該項規(guī)定的“其他情節(jié)嚴重的情形”，這就能從刑法解釋的角度實現(xiàn)對生物識別信息的特殊保護，理由在于：第一，既然生物識別信息的重要性大于第3—5項的任何信息，將侵犯一定數(shù)量的生物識別信息直接認定為“其他情節(jié)嚴重的情形”，會起到超越任何其他種類公民個人信息的超強保護效果；第二，無須將生物識別信息的入罪數(shù)量設(shè)定為1—4條，這是考慮到刑法的最后手段原則[41]提出的謙抑性要求；第三，將生物識別信息的入罪數(shù)量設(shè)定為5條而非更多，是為了與其他信息的既定數(shù)量(50條、500條、5 000條)形成與其重要性成比例的梯次。因此，只要行為人實施非法獲取、出售、提供生物識別信息的行為，只要該信息的數(shù)量達到5條，其行為就因“情節(jié)嚴重”而可能構(gòu)成非法侵犯公民個人信息罪。據(jù)此，由不同種類公民個人信息的重要性所決定，我國刑事立法可通過對之設(shè)定不同的入罪數(shù)量而體現(xiàn)出輕重不同的保護力度：第一，侵犯生物識別信息5條才能入罪；第二，侵犯行蹤軌跡信息等50條才能入罪；第三，侵犯住宿信息等500條才能入罪；第四，侵犯其他信息5 000條才能入罪。

此外，針對法定刑升格的認定，《解釋》第5條第2款具體解釋了何種情形為“情節(jié)特別嚴重”，該款第3項將“數(shù)量達到前款規(guī)定第3項至第5項規(guī)定標準的10倍以上”的情形認定為“情節(jié)特別嚴重”，然而，《解釋》第5條第1款第3—5項規(guī)定的公民個人信息在字面上并不包含生物識別信息，無法直接從中推導(dǎo)出“侵犯生物識別信息50條及以上為‘情節(jié)特別嚴重’”的結(jié)論，否則將成為不利于行為人的類推解釋而違反罪刑法定原則[42]，但這一結(jié)論可以通過適用同為兜底條款的《解釋》第5條第2款第4項并參考該條款第3項來推導(dǎo)得出，具體而言,第4項規(guī)定了“其他情節(jié)特別嚴重的情形”，這當(dāng)然可以涵括“侵犯生物識別信息5條及以上”的情形，但既然該項規(guī)定了“特別”二字，顯然就意味著侵犯生物識別信息的數(shù)量要極大地超越5條的限定，而第3項中“10倍”的數(shù)量較好地體現(xiàn)了這種特別嚴重的程度，可由此被沿用為對生物識別信息數(shù)量的限定。因此，“侵犯生物識別信息50條及以上”屬于《解釋》第5條第2款第4項的“其他情節(jié)特別嚴重的情形”，行為人的行為如果具備該情形并構(gòu)成非法侵犯公民個人信息罪，行為人將被判處升格后的法定刑。

概言之，通過運用實質(zhì)解釋的方法，在不違反罪刑法定原則的前提下，充分利用《解釋》第5條中第1款第10項和第2款第4項這兩個兜底條款，將“侵犯生物識別信息5條及以上”認定為“情節(jié)嚴重”，將“侵犯生物識別信息50條及以上”認定為“情節(jié)特別嚴重”，借此降低針對生物識別信息原本的入罪和法定刑升格的數(shù)量，可實現(xiàn)對生物識別信息的特殊刑法保護，并且完全不影響對其他種類公民個人信息既定的定罪量刑條款的適用，由此在我國刑事立法中呈現(xiàn)出一種于法有據(jù)、條理分明、輕重有序并能兼顧生物識別信息特殊性的合理保護格局。

四、結(jié)語

當(dāng)前生物識別信息在我國社會中的運用呈現(xiàn)逐年遞增的趨勢，這首先帶給我國公民極大的便利，其次也隱藏著諸多刑法上要解決的問題。放眼國外最新的立法情況，2018年5月25日，歐盟出臺了《通用數(shù)據(jù)保護條例》，給予生物識別信息明確的定義[43]，并對公民個人信息進行分類和設(shè)定不同的保護方式[44]，能提供給我國一個借鑒的思路。在這個公民個人信息在全球和我國都越來越重要、相關(guān)法律體系越來越完善的新時代，我國的立法者和司法實踐工作者都有必要敏捷和充分地認識到生物識別信息相對于普通公民個人信息所蘊含的特殊性、重要性和超強保護必要性，尤其是對于司法實踐工作者而言，在辦理侵犯公民個人信息的案件時應(yīng)避免機械地適用我國刑事立法中的相關(guān)條款，而不至于無法對生物識別信息進行特殊保護，可轉(zhuǎn)而運用刑法解釋的方式，在合法、合理的前提下，實質(zhì)、靈活地運用既定立法資源，在涉及生物識別信息的入罪和法定刑升格這兩個方面，都采取相較于普通公民個人信息更為寬松的認定方式，以最終通過辦案實踐來實現(xiàn)對我國公民生物識別信息的超強刑法保護，有效地回應(yīng)新時代的司法需求。