一、问题的提出 随着生物识别技术在公共管理、金融支付、犯罪侦查等领域的广泛应用,侵犯生物识别信息相关的违法犯罪行为频发,尤其是在金融领域的应用,催生了人脸信息买卖、“查头过脸”“指纹膜制作”等灰黑产业链,并引发多种关联犯罪。而人工智能等科技的发展,又会扩大生物识别信息被滥用的可能。以深度伪造技术为例,近年来不仅出现利用该技术在网上制作名人换头淫秽视频并传播①等犯罪行为,还发生了多起针对政治人物的深度伪造事件,相关视频、图片或音频在互联网上广泛传播,对政治、外交产生负面影响。② 相较于其他个人信息,生物识别信息通常关联个体的重要人身、财产权益,对生物识别信息的非法利用可能侵害隐私权、名誉权,对社会诚信体系造成极大破坏,③还有可能成为支付平台账户盗窃、网络诈骗、滋扰型等新型犯罪甚至是暴力犯罪的根源,严重威胁社会稳定,造成较高的个人损害风险,甚至影响国家安全。所以对这类信息的非法使用,尤其是合法收集之后的非法使用行为的规制必须特别关注。但是,生物识别信息的特殊属性导致传统的个人信息保护路径无法提供全面的应对措施。一是个人对自己享有的生物识别信息内容不能直接掌握,比如基因信息,需要通过专门的机构检测,增加了泄露风险。二是有些生物识别信息很容易在权利人不知情的状态下被采集,比如人脸信息,极容易在公共场合被“无感抓拍”,而且即使采集阶段满足同意原则等要求,个体对于之后的传输、应用途径也无法完全知悉,更谈不上控制,但由于生物识别信息的高风险性,这类敏感信息一旦被非法传播和使用,其后果又更为严重。所以,需要转向风险控制的路径通过对信息处理者行为的规制实现对生物识别信息的保护。 新兴科技领域的发展涉及广泛的公众利益和多重安全风险,不法行为具有影响的广泛性和后果产生的不确定性,需要提前进行风险预防。风险治理可以实现治理资源的优化,将稀缺资源集中在最需要的地方。④在“数字风险社会”中,⑤对个人信息的采集和处理中的风险与预防成为风险治理的重要环节,风险控制维度也成为个人信息保护公共目标实现的更优选择。⑥ 我国学界已从多个角度对个人信息保护中的风险治理问题进行了讨论,⑦但在生物识别信息保护方面的专门研究成果较少,专门从刑法学视角进行深入讨论的更是屈指可数。我国目前也尚无针对生物识别信息保护的专门立法。本文在明确生物识别信息刑法保护必要性的基础上,深入剖析权利保护路径和风险控制路径的刑法适用选择逻辑,立足场景化治理理念区分不同的应用场景,评估生物识别技术应用的风险等级,进而依托风险分级监管框架与刑法解释路径,结合生物识别信息的高度敏感性等特征,明确现有罪名的适用边界和未来罪名完善的修改方向,以实现刑法对生物识别信息的全面保护。 二、刑法保护生物识别信息的路径选择 从对生物识别信息采集、使用行为的监管角度,刑法介入的必要性问题实际转化为了通过刑法应对新技术风险的必要性。现代科技的发展带来深刻的社会变革,推动世界从工业社会转向风险社会,同时,社会治理的重点也转向技术进步带来的风险。当代社会的风险性质使得刑法变成管理不安全性的控制工具,风险成为塑造刑法规范与理论的重要社会力量。⑧随着生物识别技术的广泛使用,生物识别信息处理和利用行为成为新的风险来源,刑法对相关行为的规制也从事后惩罚转向事前风险的控制和预防。对生物识别信息使用行为的规制,首先需要识别行为可能带来的风险的种类和大小,以选择不同的部门法进行规制,再根据主体和保护重点的不同,选择权利保护和风险控制两种路径。由于权利保护模式应对风险防控需求力有不逮,刑法的保护应当转向以风险预防原则为基础的针对信息控制者的风险控制模式。 (一)刑法保护生物识别信息的必要性 现有的个人信息保护模式分为以隐私权为代表的权利保护路径与以权力(利)控制构建为中心的风险控制模式两种,相关法律规定主要集中在民法和行政法领域,不能满足生物识别信息保护的特殊需求,需要刑事立法的完善给予支持。 1.前置法供给不足 我国尚无对生物识别信息的保护与处理行为规制的专门立法,除了《个人信息保护法》明确将生物识别信息作为敏感信息保护以外,《网络安全法》《民法典》等均将其纳入一般个人信息的保护范畴,没有专门予以区分或设计更严格的信息处理要求。虽然《个人信息保护法》等相关法律和规范性文件中规定了包含生物识别信息在内的敏感信息的保护措施,但并没有区分敏感程度。部分行政法规和行业标准对特定部门或行业采集和处理生物识别信息的行为作出限制,比如《公安机关指纹信息工作规定》《居民身份证法》等对公安机关在公民身份管理、特定行业从业管理过程中使用生物识别信息提出了安全和保密义务,并设置了一些限制条件;2025年开始施行的《公共安全视频图像信息系统管理条例》《人脸识别技术应用安全管理办法》等对特定种类或特定场所的生物识别信息的收集和使用行为做出了规定,但存在效力等级较低、适用范围较窄等问题。有些地方政府也通过地方性法规对生物识别信息的采集和使用做出限制,⑨但均是区域执法,覆盖面较小,保护力度不足。此外,2025年11月实施的《数据安全技术敏感个人信息处理安全要求》(GB/T 45574—2025)中对个人信息处理者处理生物识别信息提出了针对性的要求,但仅针对信息处理环节,不能实现全面的保护,有些生物识别信息相关的标准化文件⑩中也针对不同的生物识别信息的收集、传输、使用等数据处理活动提出了安全要求,但这些标准仅为推荐性国家标准,不具有强制力。
