深柳读书｜生物识别信息传播风险的刑事规制向度——基于525份刑事裁判文书的内容分析

编者按

“闲门向山路，深柳读书堂”，语出（唐）刘昚虚《阙题》。深柳掩映下的清净书堂，最是读书人向往的治学之所。由是，我们用“深柳堂”来命名《新闻与传播研究》论文推介栏目,以期让同好慢慢品读，细细体味。

本栏目期待能够成为学者们田野归来坐而论道的一方宝地，将理论与实践结合起来，切之，磋之；也欢迎各位读者向作者提出问题，琢之，磨之;我们会精选问题予以回应，奖之，励之。

生物识别信息传播风险的刑事规制向度

——基于525份刑事裁判文书的内容分析

作者｜王文娟

内容提要

生物识别技术的发展是一把双刃剑，在金融、政务、教育等领域的拓展应用，不仅给公众生活带来便捷，同时也带来智能社会的刑事治理风险，利用生物识别信息实施黑灰产业链犯罪应运而生，非法传播生物识别信息逐渐成为实施下游犯罪的温床。在明晰生物识别信息传播风险扩张化因素与对525份刑事裁判文书梳理归纳的基础上，省思生物识别信息非法传播的行为认定偏差、认知结构失衡、评价标准模糊等刑事规制现状。重塑生物识别信息非法传播的形态设置、认知标准以及评价要素等刑事规制向度，实现对生物识别信息传播风险的有效制约。

关键词

生物特征识别信息 非法传播 物理性识别

技术性识别 信息敏感程度

正文

生物识别信息具有特定的人身依附性，通过验证、识别特定自然人的生物信息，能够更为精准地维护和保障公民基本权益。与此同时，生物识别信息也给社会带来不确定性风险，其既具有一般风险的特点，同时也具有专属性、不可替代性等特殊性表征，一旦非法传播将带来不可挽回的损失。利用非法获取、提供等前置性非法传播行为获取生物识别信息以实施下游犯罪的案件仍处于高发态势。目前刑事法律对生物识别信息保护并非处于良性生态平衡的环境，若对生物识别信息非法传播行为不加以特殊规制，则将打开生物信息非法传播衍生下游黑灰产业犯罪的潘多拉魔盒。因此，如何抵御生物识别信息传播风险成为亟须解决的社会性问题。对此，本文在解读生物识别信息传播风险扩张化因素和梳理525份涉及生物识别信息非法传播入罪裁判文书的基础上，省思生物识别信息非法传播行为的刑事治理样态，并根据问题诊断优化规制向度。

一、生物识别信息传播风险扩张化因素

生物识别技术是利用指纹、面部、虹膜、静脉等人体固有的生理特征以及行为特征，通过生物传感器采集数据，利用算法、光学以及图像学分析等手段对个人身份进行鉴别的技术。由于生物识别技术的稳定性、安全性等特点，其被广泛地应用于政务、金融、安防等领域。然而，随着生物识别技术的推广，利用非法传播的生物识别信息实施新型网络犯罪的手段不断升级，并形成上下游相互配合的链条式结构，黑灰产业犯罪圈呈现扩散态势。因此，明晰生物识别信息传播风险扩张化因素，为后续化解生物识别信息非法传播刑事治理风险提供路径的选择。

（一）传播维度：时间与空间

风险社会是科学、媒介和信息的社会。人类关系赖以存在和发展的机制，是一切心灵符号及其在空间上传递、在时间上保存的手段。认知和参与社会活动的过程离不开“历时性”的经验积累以及对实践行动“空间在场性”的探究。离开空间存在，传播行为则会无处安放；离开时间的记录，意识形态将缺少衡量的刻度，“时间维度”与“空间维度”是生物识别信息传播风险扩张化存在不可或缺的场域。一方面，生物识别信息传播的时间维度强调历程性，由初始阶段演变为发展阶段后，又异化至失范阶段。初始阶段意指非法获取、出售或提供他人生物识别信息的前置性状态，为后置的传播行为埋下伏笔，此时的归责理论容易忽视前期危害性，违背刑法管控的即时性。在预防型刑法理论的影响下，对于非法获取、出售或者提供生物识别信息，应予以适度的前置规制防止下游黑灰产业链犯罪行为的突变。发展阶段是指通过媒介对生物识别信息交换互动的阶段，传播内容不断地深入，传播的规模与风险逐渐地扩大，此时俨然对社会管理秩序、经济秩序以及公民的财产权益造成损害。失范阶段是指将发展阶段的生物识别信息传播行为的社会危害异化为利用生物识别信息进行活化、合成等技术处理，辅助实施下游犯罪活动的过程。

另一方面，传播行为的空间维度由传统的现实空间嬗变为“现实空间+网络空间”双向并行的二元空间机制，不仅滋生利用生物识别信息非法传播实施网络犯罪，同时也异化传统犯罪。其实，对于立足于生物识别信息非法传播刑事规制的司法实践而言，更多应在于对传统犯罪手段异化的规制。诸如，在传统盗窃类案件中，行为人非法占有他人的财物，一般均为切实可控的财物。然而，伴随生物识别信息的在现实与网络空间双向传播的二元场域，衍生出传统犯罪手段的裂变。在“黄华、沈柳波盗窃案”中，黄华、沈柳波利用技术将

活化，并制作与计算机识别面部结构相适配的动态视频，以通过微信、支付宝验证平台实施盗窃行为。由此可见，传播空间的扩展不仅滋生网络犯罪，同时也异化传统犯罪手段，从而导致生物识别信息传播风险的肆意蔓延。

（二）传播动因：需求与认同

数据挖掘分析技术的扩展，作为生产要素重要组成部分的信息资源成为在线活动的第一驱动力，相伴而来的隐私与信息保护、数据安全问题日益受到关切。生物识别信息非法传播路径的实现动因主要在于受众对信息的需要以及传播者对非法传播生物识别信息的认同。其一，对非法传播生物识别信息的需求。在风起云涌的信息数据时期，生物识别信息的收集、分析与利用逐渐成为政务、企业等机制运营的核心。信息通信技术的进步以及数据挖掘技术的提高，信息与信息之间关联黏合程度的不断增强，所有的个人信息碎片都可以被网络数字化处理形成个人信息的“人格拼图”，从而被处理以及商业化利用。生物识别信息所具有的商业价值，成为部分受众追逐的对象。诸如，在“林龙光、邓庆材盗窃案”中，被害人康某之子黄某被游戏玩家以赠送游戏道具为由唆使其更改康某的微信密码等信息，被告人邓庆材通过制作人脸识别的动态视频图解除康某的微信支付限制，后将康某微信绑定的银行卡内的2万元被充值至微信零钱，并通过微信面对面红包将2万元占为己有。在该案例中，被告人邓庆材利用生物识别照片，制作人脸识别动态视频图，以通过支付限制盗取被害人康某银行卡内资金。生物识别信息的传播在于其作为金融平台的认证内容，可以通过传播获取他人的财产利益。信息的传播源于社会的需要，生物识别信息非法传播乱象产生的动因源于实施下游犯罪的需要。数字化信息技术的发展，使过去几乎不具有利用价值的生物识别信息一跃成为热门商品，附着在生物识别信息内部的人格、财产以至公共秩序、国家安全等权益驱动非法传播行为成为实施下游黑灰产业犯罪的必经之路。

其二，对非法传播生物识别信息的认同。信息是传播的材料，传播之所以有别于游泳或拍球，正是因为传播以信息为内容。信息的传播不仅在于传播者出售、提供信息的行为，同时还应涵盖部分受众对他人生物识别信息的认同与满足。在生物识别信息非法传播中的具体表现为行为人出于逐利抑或实现其他目的的心理动机，充分认识到部分受众对获取他人生物识别信息的强烈需求，即利用网络媒介出售、提供他人信息，以实现特定的经济、政治等利益。传播者对生物识别信息背后所蕴含的效益持有积极追求的主观目的，并对非法传播行为深度认同。因此，生物识别信息传播风险的扩张化因素不仅在于受众对信息的需求，同时也来自传播者对非法传播行为的认同以及对生物识别信息蕴含价值的追求。

（三）传播模式：多元与裂变

一旦新的技术进入社会环境，就不会停止在这一环境中的渗透，除非它在每项制度中都达到饱和状态。生物识别技术作为一种新型技术对社会现代化进程具有重要的推动作用，同时也深入生活的方方面面，传播模式的剖析必然对后续传播风险规制研究具有深刻的价值。传播模式是利用文字和图表构筑的功能性模式，表示已知确实存在但无法觉察到的传播联系，抽象地把握传播的基本结构和过程，描述其中的要素、环节以及相关变量的关系。从社会学的角度出发，将传播过程放置于整个社会系统中考察，着眼于传播过程的宏观环境，分析社会系统与传播系统中各因素及其间相互集结、相互作用的“场”。因此，对于生物识别信息非法传播行为的入罪分析而言，不能脱离社会的常态评判刑事规制的原因，应立足社会常情、常理的角度，明晰非法传播的具体模式，以更好地应对新型技术运用所带来的社会风险。

在信息传递过程中，由于信息的复杂性与传播方式的特殊性，往往不能使信息直接进入传播的过程，而是将信息编制成适于传播的、受众能够理解的信号。同样受众对信息的接受也会根据其理解能力、社会心理、传播文化等方面因素对所接收的信息重新进行加工转换，并最终接受。基于此，对于生物识别信息非法传播模式而言：首先，传播者在众多信息中获得他人的生物识别信息进入传播渠道中。其次，将生物识别信息根据不同的类型将其转化为图像、视频、音频、文字等符号，然而在转换为符号的过程中会对信息进行加工并由此产生“噪声”。此处产生的“噪声”根据受众需要程度以及行为人的主观目的等方面予以信息加工，其主要包括原始阶段未经编辑的、清洁的生物识别信息与修饰阶段的编辑、改造生物识别信息合成的深度伪造信息等。最后，将经由媒介组织转译后的信息传送给受众，受众根据自身对信息的需求不同，解读不同的信息并分别向传播者与媒介组织反馈，同时媒介组织根据受众的反馈敏捷地捕捉社会公众对信息的接收程度，由此鼓励、改变以及优化传播者的传播行为。根据对传播模式的分析，能够较为直观地感知生物识别信息的传播过程的运作形态，受众在获取他人生物识别信息后将会实施一系列的下游犯罪行为，从而达到侵犯他人人格权益、财产权益以至公共秩序、国家安全等目的。

显然，对传播过程的解析可知生物识别信息传播风险的扩张化不仅在于传播维度与传播动因，同时也在于传播模式的多元与裂变。传播模式的多元是指生物识别信息呈现多元化传播模式，由传统的一对一逐渐演化为一对多最终成为一对N的多元传播模式。传播模式的裂变则在于生物识别信息具有不可改变的人身识别性，经过一次完整传播后，将会裂变为无限传播模式，最终导致永久性的泄漏。传播模式的多元与裂变是一个无限延伸的传播过程，也将无限扩张生物识别信息传播风险。

二、利用生物识别信息实施下游犯罪的类型化梳理与解读

随着网络信息时代的到来，生物识别信息传播范围由传统的现实空间逐渐向“网络空+现实空间”双层场域拓展，其背后蕴藏的利益价值成为非法传播路径实现的主要动因。在数据信息的整合与挖掘技术的助推下，生物识别信息非法传播作为衍生下游犯罪的手段行为，也由以往的物理性逐渐向技术性的网络犯罪转换，犯罪手段的升级导致下游黑灰产业犯罪具有更为严重的社会危害性。传统刑事法律规范一体式地将对生物识别信息的保护纳入对个人信息保护范围，显然已无法适应社会治理的现实需要，理应考虑对公民个人信息予以区分性保护，确保生物识别信息可以在开发、共享、安全等方面实现利益平衡。因而，有必要对利用生物识别信息非法传播实施下游犯罪的裁判文书予以类型化梳理与解读，反思业已确定的生物识别信息非法传播刑事治理理念和现状，探析非法传播行为的刑事治理路径，以期实现社会效果与法律效果的有机统一。

本文的数据是笔者在中国裁判文书网进行的直接筛选与挖掘，截至2021年12月31日，在中国裁判文书网搜索栏中分别输入“人脸识别”、“刑事案件”以及“指纹识别”、“刑事案件”等为关键词进行检索，共收集1380份裁判文书，剔除与主题无关以及重复性的案件，最终选取525份刑事裁判文书作为本文分析样本。对利用生物识别信息实施下游犯罪的类型化梳理与解读，可知司法实践中涉及的罪名较多，主要包括盗窃罪、诈骗罪、侵犯公民个人信息罪、抢劫罪、非法控制计算机信息系统罪等罪名。非法传播作为黑灰产业犯罪的手段行为已成为利用生物识别信息实施下游犯罪的媒介，严重侵害公民的人格尊严、人身安全与财产安全。通过对525份利用生物识别信息非法传播实施黑灰产业犯罪的案例分析，将犯罪行为的类型划分为无意识型、强制威胁型、欺骗获取型、积极配合型以及新兴技术型等五种类型。通过对这五种类型的划分，可清晰地发现非法传播生物识别信息实施下游犯罪的方式由物理性识别向技术性识别转化，面对利用生物识别信息非法传播衍生下游黑灰产业犯罪不断递增的趋势，如何消解生物识别信息被滥用之虞成为社会治理的关键环节。

三、生物识别信息非法传播刑事规制样态的省思

生物识别技术与法律的发展既相互促进，又彼此制约。从“技术就是生产力”到“知识就是生产力”再到“信息就是生产力”的转化，以及算法、物联网和区块链等技术的应用与发展，生物识别信息俨然已成为数据时代的宝贵财富。然而，利用非法传播的生物识别信息实施下游黑灰产业犯罪愈演愈烈，如何实现对生物识别信息非法传播行为的有效规制成为刑事法律规范亟需解决的现实问题。因此，在省思目前生物识别信息非法传播刑事治理样态的基础上，以期为后续的治理路径重塑提供优化策略。

（一）生物识别信息非法传播行为认定偏差

随着生物识别技术在经济、文化、政务等领域的运用，其不再象之前仅涉及公民安全防护方面，而非潜在价值的进一步挖掘，使得生物识别信息也涉及行踪轨迹、征信以及财产等方面的内容。例如，通过生物识别信息登陆支付宝、手机银行等金融认证系统即可获取财产信息。又如，通过生物识别信息登陆美团骑行、购票平台等APP等认证系统获取实时行踪轨迹信息。然而，刑事法律法规仅是对行踪轨迹信息、通信内容、征信信息以及财产等信息予以区别化，忽略网络时代信息收集与信息分析的共识性，对生物识别信息非法传播客观行为认定存在偏差。

虽然生物识别信息并不直接包含行踪轨迹信息、通信内容、征信信息以及财产等信息，但是通过非法传播的生物识别信息可勾勒出完整的人格图像，其中就包括行踪轨迹、财产等此类信息。现阶段刑事法律规范并未突显生物识别信息非法传播行为的社会危害性，对于生物识别信息客观行为认定存在偏差，忽视信息间接衍生其他敏感信息链的风险与可能性，在网络空间与现实社会双层形态下，风险异化呈现扩张化趋势，利用生物识别信息处理、挖掘关联信息并实施下游犯罪的行为理应受到刑事法律规范的重视。以下面案件为例。

案例1：在“杨建青诈骗案”中，被告人杨建青在互联网上向他人购买京东数字科技控股股份有限公司（以下简称京东公司）用户刘某雷、李某等人的人脸照片和京东账号资料，利用软件技术将上述照片制作成人脸动图，使用上述账号登陆京东APP，虚构客户本人登陆的事实，使用制作的人脸动图通过人脸识别认证的方式修改原用户绑定的手机号码、支付密码、收货地址等资料，以客户本人名义申请开通京东白条支付功能。杨建青随后使用白条支付在京东购物平台购物，京东公司因陷入错误的认识而代为支付货款，杨建青收到货物后将其倒卖获利。

在新业态、新形式的引导下，个人生物识别信息与公民的财产安全已形成紧密关联，被告人杨建青获取被害人刘某雷、李某等人的照片和京东账户信息通过新型网络技术的加持，成功合成“活体”动态视频以通过认证，并利用京东APP所设置的白条功能以达到使京东错误处分财产的效果。信息网络技术的优化升级，购物类、社交类等APP已不再是单一的信息获取与浏览的平台，而逐渐嬗变为多维信息交汇的集点。虽然，被告人杨建青仅获取被害人刘某雷、李某等人的生物识别信息、京东账号信息，但是由于京东APP设置的贷款功能，具有财产性特征，因而被告人杨建青能够利用生物识别信息通过认证系统侵犯京东财产权利。数据信息时代的发展促成生物识别技术的广泛运用，自动化识别用户画像并综合行为全面预测行为人的轨迹信息、财产信息以及性格偏好等敏感性信息，若其与社会性信息相连接，并根据既有的信息进行反向挖掘，将会形成完整的跟踪链条，并异化为更恶劣的下游犯罪。然而，目前刑事法律规范并未随着软件算法与分析学的发展变化而对生物识别信息非法传播的客观行为认定作出相应调整，传统刑事法律规定对生物识别信息的认定俨然已与数字信息挖掘技术提高相悖，也与以个人信息为基础网络社会的发展相脱节。

（二）生物识别信息非法传播认知结构失衡

在现实社会中，犯罪行为的发生是建立在“一人对一人”或者“一人对少数人”的传统社会活动结构的基础之上的，不适合用来分析“一人服务于人人”、“人人服务于一人”的网络社会活动。信息网络空间基于电子代码技术的聚合，致使生物识别信息非法传播行为具有天然的隔空性、传播性、涉众性、不特定性。如果按照传统现实社会的主观认识结构，要求信息提供者、出售者“知道或应当知道”他人利用生物识别信息实施犯罪，积极追求或者放任生物识别信息传播所带来的危害结果，恐怕会放纵非法传播行为，生物识别信息非法传播主观认知结构失衡，导致法益侵害程度的扩张化。诸如，在信息网络的虚拟空间下，一方或对方的交易无需面对面进行，通过远程操作的方式提供或出售生物识别信息。此时，虽然一方并无法通过各种渠道，确定知悉对方是否会利用其所提供的信息实施犯罪行为。但这并不排除出售或提供者基于对信息网络技术掌握的专业性以及生物识别信息所具有的高度敏感性，其可能知道出售或提供信息的行为会产生特定危害。基于侥幸与逐利的心理，行为人过于自信地相信对方不会利用生物识别信息实施犯罪。可以明确的是，该种心态并不是追求或者放任危害结果的发生，但却是积极的逐利性。此时，造成法益侵害的结果应当归于行为人的过于自信过失。因此，运用概括化的认定方法去界定明知的情形，才符合当下新型网络犯罪的现实境况。以下面案件为例。

案例2：在“杨超、孙芳柱、万兴健破坏计算机信息系统案”中，被告人杨超利用在网上向被告人万兴健等人购买或由被告人孙芳柱、微信昵称“不能把”（身份不清）等人非法提供的他人身份信息、高清人像图等，制作人像动态验证图像。然而，杨超辩称他并不知道对方提供的身份信息、高清人像图、支付保账号等来源是非法的，他也不知道对方用来做什么，只是根据对方的要求提供服务，登陆对方提供的账号，按照要求填写对方提供的身份信息，且没有进一步去完成实名认证。经审理查明被告人杨超利用他人提供的身份信息制作人脸动态视频，并利用OPPO_IMEI等软件修改手机IMEI码，冒用他人身份进行支付宝账户信息修改或实名认证，破坏计算机信息系统，后将上述支付宝账号提供给被告人孙芳柱或出售给微信昵称“不能把”等人。

本案中，由于杨超主观并不知道或应当知道万兴健等人提供的他人身份信息、高清人像

为非法的，也并不知道万兴健将此类信息用于实施下游犯罪行为。根据案件中的现有信息以及刑事法律规定可知，杨超并不构成侵犯公民个人信息罪，仅构成破坏计算机信息系统罪。杨超利用他人提供的身份信息制作动态视频后又出售、提供给孙芳柱的行为，不仅是破坏计算机信息系统罪同时也涉及侵犯公民个人信息罪的范畴，但由于杨超主观并不知道或应当知道万兴健、孙芳柱将其提供、出售的动态视频用于犯罪，杨超的行为不构成侵犯公民个人信息罪。现阶段刑事法律对于主观认识要素的限制并不符合智能算法时代对生物识别信息的特殊保护，虽然杨超提供、出售人脸识别动态视频并不知道会被他人用于实施下游犯罪，但是生物识别信息具有人身专属性，一经泄漏将导致永久性泄漏并无有效的补救措施。同时在本案中，万兴健、孙芳柱等人直接卖出或将杨超提供的动态视频用于破解他人支付宝认证系统，并从中获利，已经严重侵犯公民信息权与财产权，杨超的出售、提供人脸识别动态视频应构成侵犯公民个人信息罪。“知道或应当知道”他人利用生物识别信息实施犯罪行为的规定，明显已不能适应数据时代对个人信息保护的特殊需要。

风险社会的背景下，生物识别信息涉及经济、文化等多元领域，通过对海量信息的计算研判得出关联性信息，不仅能够形成行踪轨迹信息，同时也将包括健康生理、财产与征信等其他类型信息，从而辅助行为人实施下游犯罪。例如，行踪轨迹信息强调地理空间性、实时动态性以及人身安全紧密相关性，然而该规定忽视通过收集生物识别信息分析得出具体的实时位置与活动信息。因此，“知道或者应当知道”他人利用生物识别信息实施犯罪行为，仍向其出售或者提供的才构成犯罪的规定，显然已无法适应数据时代信息深度挖掘与自动化决策分析的特性。

（三）生物识别信息非法传播评价标准模糊

人类在进入到21世纪的三个关键时点，相继进入三个互相联系又略有区别的新时代，即网络社会时代、大数据时代、人工智能时代，三者共同构成新的社会时代。生物识别信息全方位渗透到社会生活，若对利用生物识别信息实施下游黑灰产业犯罪行为仍然按照传统的分级入罪标准予以惩治，必然会导致社会失范现象的普遍存在。

例如，对于非法获取计算机信息系统数据或者非法控制计算机信息系统案中，获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息与其他身份信息组数的限定有所不同。生物识别技术以及算法决策分析的飞跃发展，被用于网络金融服务身份认证同时也被用于其他社交平台的身份认证，然而若仅获得网络金融服务身份认证则需要的信息组数为10组以上，若既获得用于网络金融服务身份认证又获得用于其他网络服务平台需要的信息组数也为10组以上，若仅获得用于其他网络服务身份认证则需要的信息组数为500组以上。显然，根据是否获得被用于网络金融服务身份认证信息作为区分入罪标准的依据并不合理，该规定忽视生物识别信息与其他社会信息之间的关联性与挖掘性，即使未开通网络金融服务身份认证系统，通过获取的生物识别信息仍可以开通支付结算、证券交易等身份认证系统。

再如，对于侵犯公民个人信息案中，虽然由《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第二十八条的规定可知，生物识别信息被认定为敏感个人信息，该条对敏感个人信息作出概括式的列举，包括生物识别信息、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。但是根据《公民个人信息解释》第五条规定可知，行踪轨迹信息、通信内容、财产信息、生物识别等信息给予不同层级的保护标准，而从《个人信息保护法》的规定中则可清晰地意识到生物识别信息与行踪轨迹信息均属于公民敏感个人信息类别，并给予二者同等层级的保护标准。与《民法典》、《个人信息保护法》的私法规范定位不同，《刑法》属于惩治措施作为严厉的公法规范。不同部门法的规范目的并不相同，刑事法律规范对于公民个人信息等级的区分认定不同于《个人信息保护法》中对公民个人信息的类型认定无可厚非。部门法的性质定位和保护理念的差异，决定了数据分类分级的刑法保护，需要在《民法典》、《个人信息保护法》等私法确权规范的基础上予以区分衔接。然而，《公民个人信息解释》并未明确生物识别信息的概念、生物识别信息刑法保护规则以及个人信息分类分级保护模糊。算法决策分析技术的迅猛发展，已经将生物识别信息保护的适用环境彻底改变，信息的关联和聚合属性不断增强，分级入罪标准的设置值得商榷。倘若仍然按照传统刑事法律的规定，需要非法获取、出售或者提供5000条以上生物识别信息才构成侵犯公民个人信息罪，显然并不能实现对生物识别信息传播风险实现有效的制约。

四、生物识别信息非法传播刑事规制向度的重塑

新业态的形成主要依靠社会分工细化和行业融合等路径，互联网技术是社会分工精细化和科技发达化的结果，而法律的滞后性总是赶不上新生事物的发展速度。在传统刑法体系对生物识别信息非法传播犯罪行为形态认定呈现出单一化之际，计算机算法技术正不断消解刑事法律防控模式构建。因此，如何实现生物识别信息非法传播行为的优化治理成为学界关注的重点，信息网络技术的超越性致使刑事法律规范无法及时应对生物识别信息非法传播行为的隐秘性以及潜在性，故而应从生物识别信息技术本位的思维理念出发重塑生物识别信息非法传播行为的刑事治理样态，并将其所具有的技术性特征融入规则的创建之中。

（一）校正生物识别信息非法传播的形态设置

生物识别技术正在以方兴未艾之势发展，并不断地改变社会的模式构造，利用生物识别信息非法传播实施侵犯公民个人信息案件也将以层出不穷的犯罪形态呈现。在生物识别信息风险社会的语境下，刑事法律规范面临重大的激荡和冲击，但无论如何，只有将生物识别信息非法传播现象纳入教义学体系之内，并对其进行适当的规制才能实现风险的防御。科技发展带来关联数据的挖掘，相较于传统账户密码的认证系统设置，生物识别信息认证更能满足高安全领域的应用需求，因而被广泛运用于金融支付、政务系统等领域。算法与深度学习等技术推进社会产业发展与引领，软件设置从单一功能向复合型功能转变。例如，即时通信APP并不仅具有社交功能，也涵盖支付结算、证券交易等网络金融服务的部分功能。最高检、最高法《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（简称《计算机信息系统安全刑事案件解释》）中明确指出获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上构成非法获取计算机信息系统数据罪。一方面，随着物联网、智能技术的推广应用，APP运营机构不断增加业务范围以适应社会发展的需要。例如，去哪儿网APP不仅有预订预订机票、酒店等业务，同时也开设券商理财、贷款等业务。信息技术的更迭演进形成复合型APP，网络金融服务身份认证与即时通信APP、旅游类APP等身份认证的界限趋于模糊。

另一方面，生物识别技术在信息门户认证系统运用的普及与深入，网络数据信息的高度交融，功能单一的APP俨然已经不能适应用户需求，社交类APP、旅行类APP、购物类APP、视频类APP等都呈现功能的重叠与交叉，其中部分APP也提供网络金融服务的功能。显然，《计算机信息系统安全刑事案件解释》中对网络金融服务的身份认证信息的规定已无法适应智能信息时代的发展，网络金融服务中身份认证信息的限定与互联网技术的进步脱节，与此同时该规定忽视对法益侵害等价性的平衡。根据笔者对现有裁判文书分析可知，网络金融服务的身份认证信息的规定强调对网络金融服务类APP或是网络金融服务平台的特殊保护，却忽视同样具有网络金融服务功能的其他关联性平台或APP的保护。互联网智能信息平台的交互发展，网络金融服务业务在各类APP、互联网平台的普式化推广，社交类APP不仅具有沟通交流的功能同时也具有支付结算、理财交易等网络金融服务的业务，对主营网络金融服务业务平台身份认证信息的侵害与对非主营网络金融服务平台身份认证信息的法益侵害程度已无较为明显的差异。因此，对于非法获取计算机信息系统数据罪而言，不应再以传统的区分依据作为行为设置的标准，应明确生物识别信息的特殊性，将获取生物识别信息10组以上认定为非法获取计算机信息系统数据罪，以解决现阶段生物识别信息非法传播客观行为认定偏差。

（二）调整生物识别信息非法传播的认知标准

生物识别信息具有反向挖掘用户信息的特点，由于计算机并不具有识别图像的功能，通常转换为0和1组成的数据才能够被识别。以人脸识别为例，对面部结构予以标记，将81点与106点作为第一代人脸关键点，1000点以上则为稠密关键点，对面部特征的描述更为准确。计算机可以通过标记后的面部特征解读，并将处理后的图像进行算法训练最终形成关联个人身份信息的产品，提供或出售给需要人脸数据的买家，为其后续实施下游犯罪行为提供技术性帮助。算法决策与智能信息技术的成熟既为公众的生活提供便利的平台，同时也为信息网络犯罪提供滋生的场所。生物识别信息在公共安全、金融、交通等领域得到普遍使用，因此一旦任其泛滥将异化为恶性的侵犯人身、财产等权利的下游犯罪。若仍以“知道或应当知道”对象违法性作为认知要素，并不符合利用非法传播的生物识别信息实施网络犯罪的隔空性特点。由于互联网跨地域性、时空性的特点，信息网络犯罪不再囿于“面对面”、“一对一”，而是“一对多”、“多对多”。此时，对于非法出售或提供生物识别信息者而言，仍要求“知道或者应当知道”他人利用其所提供的生物识别信息实施违法犯罪行为才构成侵犯公民个人信息罪，显然并不符合信息时代的变化趋势。因此，对于生物识别信息出售或者提供者而言，虽未“知道或者应当知道”行为人利用非法传播的生物识别信息实施犯罪，但出于生物识别信息的特殊敏感性与人身专属性，仍应独立评价为构成侵犯公民个人信息罪。

“知道或应当知道”他人利用公民个人信息实施犯罪的规定，忽视出售或提供行为对下游犯罪的诱发性。正如前文所述，生物识别信息的出售、提供行为本身为他人实施黑灰产业链犯罪提供原始数据，也正是因为基础数据的支持促使他人继续实施下游利用生物识别信息犯罪。换言之，如果他人欲实施下游黑灰产业犯罪，但是受制于难以获取公民个人信息，就有可能放弃犯罪。由于行为人掌握最为敏感的生物识别信息，反而将可能成为诱使他人实施犯罪行为的导火索。将“知道或应当知道”对象性质限制在违法犯罪状态，显然与生物识别信息刑事治理脱轨，在信息交融的风险社会中，更应注重保护个人敏感信息以杜绝下游犯罪的滋生。因此，对于生物识别信息非法传播行为入罪而言，应在考虑信息特殊性、融贯性、人身专属等特性的基础上，明确出售或者提供生物识别信息，被他人用于犯罪的构成侵犯公民个人信息罪。

（三）优化生物识别信息非法传播的评价要素

网络空间的内部构造并非由真实、客观的物质组成，而是由信息数据库、信息通讯体系以及信息运输线路的电子数字分离组合而成。网络空间的发展使得公民个人信息逐渐转为数字化的形式记载、传播、存储等，生物识别信息也随之应运而生。然而，现阶段司法实践中对于生物识别信息非法传播入罪标准的评价要素过于模式化，与云计算、物联网和大数据的应用发展背道而驰。以下面案件为例。

案例3：在“宋华枝、张月同侵犯公民个人信息案”中，被告人宋华枝、张月同为获取高额利润，在其经营的滨海新区中国移动合作厅内，以充流量、送礼品等办理移动业务的名义，骗取老年客户的信任，获取客户的姓名、身份证号码、人脸识别等公民个人身份信息，后在客户不知情的情况下，使用客户的个人身份信息办理实名手机卡共计47张，并以每张手机卡人民币300元的价格出售给卢某，违法所得人民币14100余元。

该案中，被告人宋华枝、张月同骗取老年客户的信任，获取身份证号、人脸识别等信息并成功办理实名手机卡47张，若仅根据以上内容并不能认定张月同、宋华枝的行为构成侵犯公民个人信息行为。机械地将非法获取、出售或者提供生物识别信息5000条以上认定为侵犯公民个人信息罪，忽略生物识别信息的独一无二性与关联性。在本案例中，若被告人宋华枝、张月同违法所得未超过五千元，则其行为并不构成侵犯公民个人信息罪，同时也不符合其他犯罪行为的构成要件。算法时代信息之间紧密依存、相互渗透并呈现逐渐融合的发展趋势，其并非孤立存在而是根植于社会、经济和文化等环境之中交织错节诸多其他个人信息，它总是以具体的形貌或质的规定性存在于一定的环境之中，通过信息整合与深度挖掘分析其所包含的通讯、行踪轨迹、金融交易等信息。虽然信息技术促进数据价值的提高，但也带来数字化人格标签，犯罪手段从传统型向变更型的升级异化，过度关注信息背后的财产、人身等效益，不断消解现有入罪标准的评价要素。

信息风险越小，其安全级别越低。而安全级别的认定需要结合安全风险的影响范围、持续时间、可恢复性等三个维度具体认定。基于错综复杂的信息社会系统，信息法学者海伦·尼森鲍姆（Helen Nissenbaum）提出场景理论，其指出：“信息安全与场景完整性密切相关，具体包括信息处理的主体、信息的内容和性质以及各方之间的关系，甚至包括更大信息制度和信息流通社会环境”。借助风险场景理论，我们可以化解生物识别信息分级保护的问题，并依此塑造分级保护的标准。伴随算法自动化分析决策与深度挖掘技术的成熟，生物识别信息不仅关联公民的基础性信息，同时经过数据加工、整合以获取行踪轨迹、征信、财产等其他敏感信息，而且对于广泛而密集的海量信息能够实现快速且高效的提炼。相较于其他社会信息而言，生物识别信息非法传播的法益侵害程度更强。基于刑法规范保护目的的特殊性，为实现生物识别信息的社会流通和安全价值的双重保障，我们应当塑造生物识别信息非法传播风险控制权的保护标准，在结合生物识别信息非法传播的危害程度、风险评估等级以及具体风险场景等评价要素的基础上，优化侵犯公民个人信息案件中生物识别信息分级保护是网络信息时代的必然选择与应然路径。具体而言明确侵犯公民个人信息罪的“情节严重”包括以下三个方面：其一，出售或者提供生物识别信息，被他人用于犯罪的；其二，非法获取生物识别信息五条以上的；其三，非法获取、出售或者提供不满十四周岁未成年人的生物识别信息的。

载《新闻与传播研究》2022年第7期

转自：“ 新闻与传播学术前沿”微信公众号

如有侵权，请联系本站删除！