作者:陈运红 严海杰
�#AI#�
随着《个人信息保护法》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“《民事规定》”)等法规的颁布或施行,“保障个人信息安全、保护人民群众‘人脸’安全”再次成为各界关注的重点。而在当前侵犯公民个人信息犯罪高发,且渐与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势的背景下,回归“人脸安全”刑事保护的裁判实践,总结梳理裁判实务的运行特征,明晰“人脸安全”刑事裁判追诉的基点,具有承前启后、正本清源的指引性意义。
一.“人脸安全”的刑事裁判现状
信息技术的飞速发展和大数据、智能化时代的奔涌而来,人脸识别作为人工智能的重要应用已经逐步渗透到人们生活的方方面面,大到智慧城市建设,小到手机客户端的登录解锁,活跃在国境边防、公共交通、城市治安、疫情防控等诸多领域。其中,基于人脸识别技术的应用而生成的人脸信息则属于敏感个人信息,是社交属性最强、最易采集的个人信息,不仅具有唯一性和几乎不可更改性,且一旦泄露将对个人的人身和财产安全造成极大危害,甚至还可能威胁公共安全,也就成为个人信息司法保护工作中必须予以特殊保护的“重中之重”。
最高人民法院发布的数据显示:2017年6月至2021年6月,全国法院新收侵犯公民个人信息刑事案件10059件,审结9743件,生效判决人数21726人,对3803名被告人判处三年以上有期徒刑,比例达17.50%,但并未公布上述案件中侵犯“人脸信息”类型案件的数量及占比。就此,笔者于2021年8月23日以“人脸信息”为关键词在北大法宝·司法案例库进行全文查找,共显示有46篇法律文书,其中,刑事法律文书9篇,民事法律文书33篇,行政法律文书4篇,经逐一梳理刑事法律文书,其共涉及诈骗罪、盗窃罪、贷款诈骗罪、敲诈勒索罪、妨害公务罪等五个罪名,通过对9篇判决文书[1]的研读,从判决文书反映的“法院审理查明”的事实看,均非以“人脸信息”为直接侵犯对象的案件事实,也未涉及侵犯公民个人信息的指控或裁判。同时,笔者以“侵犯公民个人信息罪”为案由在北大法宝·司法案例库进行检索,共有11304篇法律文书,其中,以“人脸识别”为关键词进行项下全文查找,符合检索条件的法律文书有28篇、占比约0.25%;以“人脸信息”为关键词在上述11304篇法律文书项下进行全文查找,没有符合相应检索条件的法律文书。
二.当前“人脸安全”刑事裁判实例的特征
经逐一查阅上述以“人脸识别”为关键词查找获取的28篇法律文书,对应的实际个案有25起,而符合侵犯“人脸信息”之侵犯公民个人信息案的有效案件实则只有13起,并呈现出以下特征:
一是地区分布及上诉率:案发区域分散、缺乏集中性(涉及广东、山东、四川、吉林、河南等地[2],未见北京、上海、深圳区域发案),各区域总体发案量均较低,同时,案件上诉率较低(13起案件中有3起上诉,占比23.08%),上诉案件的二审结果均为维持原判。
二是案发频率:从2009年刑法修正案(七)增设侵犯公民个人信息罪至今12年,年均只有1起有余,同时,既有实例案发时间多分布在2016年-2020年之间。
三是行为方式特征:人脸信息非法获取、出售或使用的具体对象集中于公民的身份头像信息,既包括通过“非法采集居民身份证信息并通过人脸识别、声纹识别等方式进行活体验证”[3]的直接采集、应用,也包括“将相关公民头像照片制作成公民3D头像,从而通过支付宝人脸识别认证”[4]间接加工、转化。
四是行为主体特征:既有案例均以自然人为主体进行裁判,既有特殊身份主体(如公安局派出所联防队员[5]),也有一般身份主体[6],但上述主体均不属于当前人脸识别技术已经普遍应用的商超管理、第三方支付、物业服务、交通出行、银行信用等领域,同时,既有案例没有以单位为犯罪主体的追责情形。
五是信息组合性:当前单纯非法获取、出售或提供“人脸信息”的案例并不多见,“人脸信息”通常与公民姓名、身份证号、联系方式、通话记录、银行卡号等[7]其他公民个人信息并合出现,作为被侵犯的对象之一。
六是涉案信息流向:侵犯“人脸信息”类案件不仅有单纯非法获取、提价出售等牟利类案件[8],也有为实施其他非法行为而进行预备的前端收集,使用流向上则包括实施诈骗[9]、非法放贷[10]、非法催收[11]等。
由此可知,当前的“人脸信息”类侵犯公民个人信息案的总量及比例均处于低数状态,但智能化的时代背景和人脸识别技术的广泛运用及其约千亿规模的市场潜力[12],该类型案件的多发、常见将不难预测,潜在风险主体也将随着技术的普及化、商业化而更加多元和不可控。而上述零散案例所归结的案件特征、处理做法显然难以应对未来多发的同类案件,也由于样本量较少而难以实现实务反哺理论的任务,由此,必须以罪名本身的构造及理解为基点,构建起“人脸安全”刑法保护的密网。其中,侵犯公民“人脸信息”类案件中罪与非罪、基本刑与加重刑的裁判基点内涵不容忽视。事实上,由于司法个案中涉“人脸信息”类侵犯公民个人信息案中数据信息条数往往较大,且通常因与其他种类信息并合发案、达标或以违法所得数值较大等情形作为追诉标准,并未涉及“人脸信息”适用何类刑事裁判标准的反思。
三.“人脸安全”刑事保护的基点厘清
2009年,《刑法修正案(七)》增设了侵犯公民个人信息的犯罪,并在2015年《刑法修正案(九)》进一步完善。后为依法严惩此类犯罪、对公民个人信息予以全面保护,最高人民法院会同有关部门于2017年发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“《解释》”)。该司法解释根据刑法有关规定,对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了相对系统的规定。
《解释》第一条对侵犯公民个人信息罪之“公民个人信息”予以了界定,其是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。同时,该解释第五条第3-5项通过对(1)行踪轨迹信息、通信内容、征信信息、财产信息;(2)住宿信息、通信记录、健康生理信息、交易信息等其他可能影响到人身、财产安全的公民个人信息(3)上述信息以外的个人信息等进行信息分类,基于不同类型信息的重要程度分别设置了三档入罪标准(依次对应“50条以上”“500条以上”“5000条以上”),以体现罪责刑相适应。[13]然而,该解释并未直接明确“人脸信息”属于上述哪种类型的信息,也就导致在不满足第五条所列之违法所得数额、主体身份、前科情况、信息用途等其他构罪情形下,单纯非法获取、出售或提供“人脸信息”应当归入上述哪一档信息类型作为标准进行刑事裁判追诉成为未决的疑问。
对这一问题,若实践中因“人脸信息”并未被明文归入第1、2档(即《解释》第五条的第三款、第四款),就将“人脸信息”归入第3档“其他信息”的做法,非但无法实现对“人脸信息”特殊保护的目的,相反,还由于必须满足最高的入罪数量而提高了此类行为的入罪门槛。
同时,如果将“人脸信息”作为“健康生理信息”予以概括性处理,可能存在违背既有法律规范的前置认定、陷入概念混淆的误区。根据《民事规定》第一条,“人脸信息”属于民法典第一千零三十四条规定的“生物识别信息”,其他类型的生物识别信息则包括个人基因、指纹、声纹、掌纹、耳廓、虹膜等,此类信息反映了个体独特的人身特征而具备独一无二性,对于识别公民身份天然具备极强、迅捷的作用,从信息识别性、保护必要性、国民预期可能性上,其重要性、质量评价性不亚于行踪轨迹、通信内容等信息类型。而根据国家市场监督管理总局、国家标准化管理委员会实施的《信息安全技术 个人信息安全规范》(2020年10月1日实施)中的个人信息举例表、个人敏感信息举例表,个人生物识别信息与个人健康生理信息从概念位阶上是作为相互独立而存在的类型,从具体列明的外延上两者也不存在包容或交叉的内容[14],更紧要的是,从外延内容的价值位阶上,生物识别信息具体指向的类型在人身紧密性、隐私核心性、人格尊严性、可更改性等方面均高于健康生理信息。
此外,如果运用第2档追诉标准中的“等”字,将“人脸信息”归入“等”字之内而成为与健康生理信息等并列的第2类信息,不仅难以实现对生物识别信息特殊保护的目的,而且按照体系解释和被保护对象等价性的要求,在生物识别信息的重要性、价值位阶明显大于第2类中健康生理信息等个人信息的情况下,要求达到500条才能入罪,会导致规范解释层面的罪责刑不相适应。[15]
笔者认为,“人脸信息”作为以电子或其他方式记录的、能够单独识别特定自然人身份的自然人身份识别信息,从信息类型的种属关系上,根据《个人信用信息基础数据库管理暂行办法》第四条的规定,属于个人信用信息中的个人基本信息[16]。而进一步,根据《征信业管理条例》第二条,征信业务是指对企业、事业单位等组织的信用信息和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。由此,有权单位对包括“人脸信息”在内的个人信息进行采集、整理等而来的信息,也就成为征信信息的一种类型[17],而征信信息则属于《解释》中第1档信息类型的追诉标准。
因此,从法律规范层面,对“人脸信息”以侵犯公民个人信息进行刑法保护的基点问题,笔者认为可以尝试通过“征信信息”打开了刑事追诉标准的路径,最终从法律规范和司法适用层面解决了“人脸安全”刑事保护追诉标准和实务裁判的基本命题,且不存在规范性和解释论上的障碍。
[注]
[1] 参见浙江省杭州市江干区人民法院(2020)浙0104刑初325号刑事判决书、宁夏回族自治区中卫市沙坡头区人民法院(2020)宁0502刑初113号刑事判决书、广西壮族自治区南宁市兴宁区人民法院(2019)桂0102刑初388号刑事判决书、浙江省杭州市江干区人民法院(2019)浙0104刑初558之1号刑事判决书、山东省淄博市高新技术产业开发区人民法院(2019)鲁0391刑初93号刑事判决书、吉林省辉南县人民法院(2020)吉0523刑初44号刑事判决书、浙江省海宁市人民法院(2021)浙0481刑初84号刑事判决书、上海市静安区人民法院(2019)沪0106刑初106号刑事判决书、甘肃省天水市秦州区人民法院(原甘肃省天水市秦城区人民法院)(2020)甘0502刑初143号刑事判决书。
[2] 参见广东省东莞市中级人民法院(2021)粤19刑终222号刑事裁定书、广东省开平市人民法院(2018)粤0783刑初215号刑事判决书、山东省曲阜市人民法院(2020)鲁0881刑初244号刑事判决书、山东省成武县人民法院(2019)鲁1723刑初397号刑事判决书、四川省阆中市人民法院(2020)川1381刑初81号刑事判决书、吉林省农安县人民法院(2019)吉0122刑初273号刑事判决书、吉林省农安县人民法院(2019)吉0122刑初403号刑事判决书、河南省滑县人民法院(2019)豫0526刑初128号刑事判决书等。
[3]山东省曲阜市人民法院(2020)鲁0881刑初244号刑事判决书。
[4] 浙江省衢州市中级人民法院(2019)浙08刑终333号刑事裁定书。
[5] 浙江省衢州市中级人民法院(2020)浙08刑终25号刑事裁定书。
[6] 广东省开平市人民法院(2018)粤0783刑初215号刑事判决书。
[7] 河南省滑县人民法院(2019)豫0526刑初128号刑事判决书、安徽省怀远县人民法院(2017)皖0321刑初80号刑事判决书等。
[8] 浙江省江山市人民法院(2019)浙0881刑初331号刑事判决书。
[9] 浙江省衢州市中级人民法院(2019)浙08刑终333号刑事裁定书。
[10] 山东省成武县人民法院(2019)鲁1723刑初397号刑事判决书。
[11] 浙江省绍兴市越城区人民法院(2019)浙0602刑初151号刑事判决书。
[12] 王丽:“生物识别信息滥用催生灰色产业”,载《方圆》2019年24期,第19页。
[13] 参见徐日丹:“降低入罪门槛,严惩侵犯公民个人信息犯罪——“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》解读”,载《检察日报》2017年5月10日,第3版。
[14] 个人生物识别信息:个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等;个人健康生理信息:个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等。
[15] 参见王德政:“针对生物识别信息的刑法保护:现实境遇与完善路径--以四川‘人脸识别案’为切入点”,载《重庆大学学报(社会科学版)》2021年第2期,第133-141页。
[16] 《个人信用信息基础数据库管理暂行办法》第四条:本办法所称个人信用信息包括个人基本信息、个人信贷交易信息以及反映个人信用状况的其他信息。前款所称个人基本信息是指自然人身份识别信息、职业和居住地址等信息;个人信贷交易信息是指商业银行提供的自然人在个人贷款、贷记卡、准贷记卡、担保等信用活动中形成的交易记录;反映个人信用状况的其他信息是指除信贷交易信息之外的反映个人信用状况的相关信息。
[17] 日常生活中经常接触的金融业征信、授信信息等只是征信信息的部分内容而非全部,从信息分类上应属于个人信贷交易信息或反映个人信用状况的信息。
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点“下方链接”,可查阅该专业文章官微版。
