还剩13页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
刷脸时代,人脸信息的刑法保护路径人脸信息的应用及保护现状大数据时代已至,近年来,互联网、大数据处理、算法处理、生物感应技术等为人脸识别技术的大规模应用提供了成熟的技术基础,从公共领域到商业领域,人脸识别技术均得到广泛应用在行政监管领域,尤其是失踪人口追踪、刑事案件侦破、国家安全防范等工作中,人脸识别技术均被应用;在公共服务领域,“刷脸就医”、公积金查询、税费申报、疫情防控等方面也逐渐扩大对人脸识别技术的应用;在商业交易方面,自2018年支付宝率先启用“刷脸支付”以来,基于人脸识别技术的支付系统逐渐扩展到停车场、超市等多种商业领域人脸识别的广泛应用同时也带来了人脸信息泄露的巨大风险相较于传统身份识别技术和其他生物特征识别由于人脸信息的获取具有非接触性、易采集性,个人隐私泄露风险持续增高;同时,人脸信息具有不可修改性,信息泄露会使得受害者更难获得有效救济正如清华大学劳东燕教授所言,“因为我们无法换脸一旦泄露就是终身泄露,即便采取法律手段维权成功,也难以恢复原状2021年8月1日,最高院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《人脸识别民事规定》)正式实施,对使用、处理人脸信息引起的民事案件的司法适用作出了系统规定对于人脸信息的保护,刑法与民法虽大体保持一致在侧重点上还是有所不同作为人脸信息保护的最后一道防线,本文拟从刑事角度厘清刑法保护人脸信息的基础及路径,对处理涉人脸信息相关犯罪案件提供思路众所周知,刑法通过第二百五十三条之一侵犯公民个人信息罪实现对公民个人信息的保护根据2017年两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《2017年司法解释》)第一条规定,“公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等鉴于刑法及上述司法解释中没有对人脸信息予以明确列举,人脸信息是否属于该罪名中的“公民个人信息”?我们认为,虽然在《2017年司法解释》中并没有明确列举人脸信息,但人脸信息作为能够单独识别特定自然人身份的信息,符合解释规定的公民个人信息之实质特征此外,根据《民法典》第一千零三十四条规定,“自然人的个人信息受法律保护个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件信息、行踪信息等”即将于今年11月1日开始施行的《个人信息保护法》第四条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息第二十八条规定敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息从上述《民法典》及《个人信息保护法》对“个人信息的定义与《2017年司法解释》相比较,刑法对公民个人信息保护的范围更为宽泛,不仅包括能够单独或者与其他信息结合识别特定自然人身份的信息,还包括反映特定自然人活动情况的信息对于人脸信息而言,作为公民独一无二的生物识别信息,符合能够单独识别特定自然人身份的实质,明确属于公民个人信息,且属于敏感个人信息当然也属于刑法保护的公民个人信息的范畴个人信息根据《2017年司法解释》第五条第一款第
三、
四、五项斑规定,刑法对公民个人信息的保护力度由高到低可分为三个层次公民行踪轨迹信息、通信内容、征信信息、财产信息为第一层级,且仅限于以上四种信息,不具有开放性;住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息属于第二层级;除前述之外的公民个人信息属于第三层级此外,《2017年司法解释》第五条第二款第三项规定数量达到前述规定标准十倍以上的,构成“情节特别严重法定刑从最高三年提升为最高七年;可见个人信息的种类划分直接关系到罪与非罪以及量刑档次的问题显然,接下来的问题就是人脸信息属于何种、哪个层级的公民个人信息有观点认为[注幻,人脸信息属于“征信信息的一种方式记录的、能够单独识别特定自然人身份的自然人身份识别信息,从信息类型的种属关系上,根据《个人信用信息基础数据库管理暂行办法》第四条的规定,属于个人信用信息中的个人基本信息而进一步,根据《征信业管理条例》第二条,征信业务是指对企业、事业单位等组织的信用信息和个人的信用信息进行采集、整理、保存、加工并向信息使用者提供的活动由此,有权单位对包括“人脸信息在内的个人信息进行采集、整理等而来的信息也就成为征信信息的一种类型,而征信信息则属于《解释》中第1档信息类型的追诉标准本文认为,上述认定逻辑显然存在问题《个人信用信息基础数据库管理暂行办法》第四条的确规定,“个人信用信息包括个人基本信息、个人信贷交易信息以及反映个人信用状况的其他信息但这并不意味着,其中的个人基本信息等同于个人信用信息,进而是征信信息的一种类型首先,征信信息也被称为个人的“经济身份证,主要包含以下几种信息基本信息、信贷信息、非金融负债信息、公共信息、查询信息,通过体现个人在经济活动中的信用状况,作为金融机构在向用户提供服务时评估其信用能力的核心依据可见,与经济信用相关是征信信息的本质特征其次,基本信息作为个人信用信息的组成部分,是基于反映信用状况的信息只有与个人基本信息相结合,才能达到“反映特定自然人活动情况”的标准,构成一条完整的公民个人信息如果基本信息等同于征信信息的逻辑成立,那么除人脸信息之外,公民姓名、年龄、出生日期、手机号码等联系方式作公民个人基本信息岂不都成为征信信息的一种类型,解释论上恐怕很难成立再次人脸信息虽然属于敏感个人信息,与行动轨迹信息、通话内容、财产信息、征信信息相比,在隐私性上还是存在明显差异,公民对外披露或者允许他人获取的可能性也有所不同,没有必要将其强行纳入第一层级的个人信息种类项或第
(四)项的任一种类,只能通过第
(五)项的兜底性规定予以规制理由为“人脸信息不属于“健康生理信息”,因为《信息安全技术个人信息安全规范》将“生物识别信息与“健康生理信息”规定为两种相互并列的公民个人信息类型若将前置法上有互斥关系的两对概念解释为刑法上的种属关系,不仅有违逻辑,更破坏法秩序的统一性本文同意“人脸信息”不应通过健康生理信息纳入刑事保护,这里的健康生理信息一般与公民的身体健康、医疗就诊等相关,与生物识别信息存在实质区别,亦认同刑法以罪刑法定为原则,不能为扩张处罚而盲目扩大解释的做法问题在于,排除人脸信息属于“健康生理信息”并不意味着其不能纳入第
(四)项入罪,因为解释第
(四)项的核心在于“可能影响人身、财产安全从法益侵害性上讲,由于人脸识别作为各种软件登录、刷脸支付的工具,人脸信息如果与其他信息相关联,如个人身份证、银行卡、出行信息、行动轨迹、消费信息等,一旦信息泄露,风险不可估量司法实践中,也的确存在利用非法获取的人脸信息制作成动态视频,破解人脸识别验证程序,实施盗窃、信用卡诈骗等犯罪行为,可见,人脸信息符合解释第
(四)项中“其他可能影响人身、财产安全的要求同时,非法获取、使用公民人脸信息与侵犯住宿信息、通信记录、健康生理信息、交易信息的危险性基本相当,作为同一层级的信息种类处理可以达到不枉不纵、量刑均衡的目的故,现行刑事司法评价体系下,非法获取、出售或者提供公民人脸信息500条以上的,可能构成情节严重,以侵犯公民个人信息罪定罪处罚较为合理
四、知情同意可构成侵犯公民个人信息罪的违法阻却事由根据刑法规定,侵犯公民个人信息罪的成立要求以“违反国家有关规定为前提也就是说,国家有关规定中的相关免责事由,也有可能成为侵犯个人信息犯罪的违法阻却事由从根本上讲,由于侵犯个人信息犯罪在刑法规范中属于侵犯公民人身权利、民主权利罪的范畴,所侵犯法益主要为个人法益,因此,民事豁免事由可能导致相关行为因具备“被害人同意”而丧失实质法益侵害性,从而不构成犯罪《个人信息保护法》明确规定,“取得个人的同意个人信息处理者方可处理个人信息”,且“该同意应当由个人在充分知情的前提下自愿、明确作出《人脸识别民事规定》也提出,处理自然人的人脸信息,必须征得自然人或者其监护人的单独同意或者按照法律、行政法规的规定征得自然人或者其监护人的书面同意《2017年司法解释》第三条第二款,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外上述规定均说明,个人信息的权利人同意,在一定条件下可以成为阻却违法的抗辩事由有关知情同意的抗辩在适用时有以下几点需要注意:
(一)单独同意原则《人脸识别民事规定》第2条第3项引入单独同意规则,即信息处理者在征得个人同意时,必须就人脸信息处理活动单独取得个人的同意,不能通过一揽子告知同意等方式征得个人同意注们另外,该条还规定信息处理者处理未成年人人脸信息的,必须征得其监护人的单独同意或者书面同意
(二)强迫同意无效原则若拒绝无自由,则同意无价值对于同意的意思表示以知情、自愿作出同意作为判断同意的有效前提对于虽有形式同意,但权利人并非实质自愿的,也不具有正当性对于信息处理者采取“与其他授权捆绑”、“不点击同意就不提供服务”等方式强迫或者变相强迫自然人同意处理其人脸信息,因同意并非自愿而不具有有效性
(三)同意之例外《个人信息保护法》第13条[注员以及《人脸识别民事规定》第5条注气都对同意原则的例外情形做了明确规定,整体指向为基于公共利益保护的需要对个人信息的处理,不需取得个人同意同时需要注意的是,无论是权利人的知情同意还是符合同意规则的例外情形,都需要信息处理者提供相应的证据支持抗辩注释及参考文献:[1]非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重,法定刑为三年以下有期徒刑或者拘役行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;[2]《“人脸安全“刑事保护的裁判现状、特征及基点》,陈运红、严海杰,载于2021年9月1日中伦视界公众号[3]《涉人脸识别行为刑法适用的边界》,欧阳本祺、王兆利,载《人民检察》2021年第13期一4]见最高人民法院《最高法相关负责人就审理使用人脸识别技术处理个人信息相关民事案件的司法解释回答记者提问》[5]《个人信息保护法》第十三条符合下列情形之一的,个人信息处理者方可处理个人信息……
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意[6]《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第五条:有下列情形之一,信息处理者主张其不承担民事责任的人民法院依法予以支持
(一)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;
(二)为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的;
(三)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的;
(四)在自然人或者其监护人同意的范围内合理处理人脸信息的;
(五)符合法律、行政法规规定的其他情形。