摘要:指纹的唯一性与稳定性特征使其作为生物识别信息具有高度的人身识别性,被广泛运用于多种场合,但也带来了新的技术风险。目前,前置法对于指纹信息的保护力度不足,刑法应当及时发挥保障法的作用,维护指纹信息的获取与处理秩序,促进指纹信息的有序流动。侵犯公民个人信息罪作为直接保护公民个人信息的罪名,在协调侵害指纹信息的行为时能够发挥重要作用。此外,非法获取计算机信息系统数据罪也在指纹数据库的保护中起到了一定作用。
关键词:指纹信息;生物识别信息;侵犯公民个人信息罪;非法获取计算机信息系统数据罪
生物识别技术是通过高科技手段结合人体生理特征来验证特定主体身份的识别技术,具有相当的安全性与可靠性,已经被广泛应用于日常生活中。指纹识别技术作为目前在市场上占有率最高的一类应用,在门禁、支付、治安管理等领域发挥着重要作用。而指纹数据被大量收集、处理的同时,也为个人信息安全带来了一定的安全隐患。
1刑法规制必要性探讨
(1)指纹信息高度敏感性背后的法律风险人类手指指头作为在抓取物体过程中必不可少的器官部分,使用频率较高,且指头上存在大量乳突纹线,在接触物体的过程中易留下痕迹。根据研究显示,不同主体的指纹特征不同,每个指纹都具有独特性,几乎不可能与存在相同的两枚指纹;且指纹一旦形成,终身不变[1]。指纹的唯一性与稳定性特征决定了指纹在确认主体身份上的相当优势,因而指纹识别技术被广泛用于身份确定的场合。指纹信息作为生物识别信息,具有相当高的识别性特征,属于敏感个人信息。而敏感个人信息一旦泄露、非法提供或滥用,即存在较大可能危害权利人的人身和财产安全。而指纹信息直接反映个人生物特征,较银行账户、个人生理健康状况等信息与权利人联系更为紧密,也更为敏感,应当属于高度敏感的个人信息,进一步放大了信息泄露带来的潜在风险。同时,指纹信息在数据网络中被转化成0和1的数字编码,成为可以追踪、检索、汇编、计量和运算的信息,个人的行为偏好、价值观,就可以被清晰刻出来[2]。指纹在被大众最为熟知的解锁作用背后,数据流指向了个人偏好问题。对同一份指纹信息的追踪可以清晰显示出信息主体的行踪、手机应用使用倾向等于人身密切相关的信息,对其进行深入分析后,形成的个人画像精准且直观。在此情形下,福柯所刻画的“圆形监狱”场景逐渐拥有了现代化的科技外壳,数字记忆的可访问性、持久性、全面性以及由此所带来的“凝视”给人类带来了严重挑战[3]。(2)前置法规制效果不理想随着国内外手机制造厂商将目光集中投向指纹解锁领域,移动生物识别技术迎来了新的跃层式发展,大量手机应用开始使用指纹解锁模式,频繁收集用户指纹信息,指纹信息被平台大量收集、处理,形成各个平台的数据库。但各平台对于数据管控的手段措施并不相同,且数据保护成本较高,中小企业往往在数据库的维护上投入较低成本,导致用户指纹信息的不安全性,指纹信息本身具有的稳定性在此时便成了直接危害被采集者的利刃。不同于数字类密码可以随时更改,指纹一旦形成终生难以变更,建立在指纹基础上的指纹信息也具有高度稳定性,在泄露或被他人非法使用后,会造成难以弥补的损害。目前公众维权成本较高,仅依靠私法难以维护个人信息安全。在民事诉讼过程中,被侵权人需要承担侵权事实、损害与因果关系的证明责任,而指纹等人脸识别数据被他人非法获取后或不当行使后,损害结果与因果关系极难证明。且一旦被他人泄露,由于数据链的存在,潜在风险将被不断放大,仅仅是非法获取人停止侵害也同样无法切断后续链条的损害,刑法、行政法等公法在保护公众生物信息安全方面,应当发挥其应有的作用。《个人信息保护法(草案)》并未绝对禁止指纹等生物识别信息的商业使用途径,而是从知情同意与合法、正当、必要的使用目的上进行了一定限制,给予了信息权利人高度处理权利,以“同意”要求平衡个人信息自由流动与个人权利保护这一对矛盾[4],试图创造双赢局面。但考虑到指纹采集者与被采集者之间的地位强弱对比,被采集者往往无法有效拒绝采集者的采集要求,且难以通过有效手段维护自身权益,“同意”的效果难以确定。因此,当民法与行政法等前置法无力规制指纹等生物识别信息的获取与处理行为,而指纹信息一旦被侵犯,权利人的人身、财产安全均将受到威胁,刑法有必要也有义务对此行为进行调整。
2侵害指纹信息的典型行为梳理
指纹信息是将指纹细节特征通过特定方式进行存储,在必要时可以进行处理、分析、对比的数据。在现代科学技术背景下,指纹信息被转化为二进制数据储存在网络空间中,形成指纹信息数据库。指纹识别技术包括对象指纹图像的提取、提取指纹特征、进行数据保存与比对四大功能[5],是数据输入及核对的过程。而要达到欺骗指纹识别技术的目的,除了在源头提供伪造指纹外,窃取数据库中的数据或伪造特定数据,也成了目前犯罪的主要手段。在查阅相关文献与新闻报道后,经整理,可以发现大致存在以下四种侵害手段:
2.1人造指纹
当手指接触充满灰尘的物体表面时,细小灰尘可黏附在乳突纹线间的小犁沟中被带离表面,形成指纹痕迹。利用小犁沟与乳突纹线这一特征,可以将指纹痕迹留在特定物体上,再对该痕迹进行指纹复制,即所谓的倒模制作过程。倒模制作指纹的成本低廉,且制作方便,只需硒鼓粉或硅胶、固化剂等材料即可完成,不存在任何门槛。此外,3D打印指纹的存在进一步提高了人造指纹的准确性与高适用性[6],一旦指纹形状被他人非法获取,则可能被制作成立体指纹,投入后续黑灰产业犯罪中,侵害权利人的人身或财产法益。在现代信息理论中,信息是数据的内容,数据则是信息的载体,两者互相联系。然而,信息作为人类社会传播的内容,出现时间远早于计算机,信息范围与数据并非完全重合。通过物体留痕方式获取他人指纹图像的行为,虽然并未侵犯指纹数据,但作为最为传统与典型的获取他人指纹图像的方式,同样应当被认定为侵犯公民个人信息罪。
2.2窃取数据库指纹信息
指纹信息的采集不同于人脸信息,通常需要权利人配合指纹取样的工作。对于不法者而言,与人造指纹相比,直接窃取他人数据库中的指纹信息更为经济也更为便利。由于指纹信息的商业价值,大量企业在生产、经营过程中频繁采集用户指纹,但多数中小企业在数据维护、销毁上并不会投入过多成本,因此中小企业自身建立的企业数据库的安全等级较低,被不法者窃取信息的可能性也更高。此外,木马病毒等技术手段也同样为不法者窃取他人指纹信息提供了便捷方式。根据相关司法解释的规定,侵入计算机信息系统或采取其他技术手段,获取存储、处理或传输的身份认证信息五百组以上的,即构成非法获取计算机信息系统罪。同时,指纹信息作为个人信息,窃取指纹信息的行为本身即触犯侵犯公民个人信息罪,符合该罪构成要件。因而,窃取指纹数据库信息的,应当认定为侵犯公民个人信息罪与非法获取计算机信息系统数据罪的竞合,择一重罪论处。
2.3重复使用指纹信息
重复使用指纹信息的实质是将合法获取的指纹信息进行超出知情同意的范围与目的而使用,即指纹信息的二次使用行为。《刑法》第253条之一第1款中明确规定了“违反国家规定”的构成要件,侵犯公民个人信息罪应当建立在违反前置法的基础上,但刑法也应当作出独立判断。虽然刑法并未规定信息的使用行为构成侵犯公民个人信息罪的客观行为要件,但是依据前置法规定,当收集者超出知情同意的范围或目的处理信息时,需要重新取得权利人的同意。未取得被采集人二次同意而超出范围或目的使用信息的,虽然未扩大信息的扩散范围,但该行为的危害性与初始即未取得同意而采集信息的行为应当相当。因此,虽然行为人合法采集指纹信息,但当其超出同意范围或目的而使用信息时,指纹信息处于丧失保护基础的失控状态,进入了新的流转过程之中,带来了新的信息风险。超出同意范围或目的而重复使用指纹信息的,应当认定为构成侵犯公民个人信息罪。
2.4万能指纹(MasterPrints)与深度万能指纹(DeepMasterPrints)
2017年,万能指纹的概念进入大众视野。指纹虽然具有相当高程度的独特性,但大多呈箕形、斗形、弓形三种形状。目前多数设备在认定指纹时,均为截取部分指纹图像进行信息处理与分析。以手机指纹解锁应用为例,在初次录入指纹时,用户通常需要将手指指纹完整输入,而在后续解锁时,则往往仅需录入部分指纹进行核对。由于指纹识别建立在特征点核对的过程中,当特征点数量减少时,核对精度随之下降,不同人的部分指纹相似率也较完整指纹大幅提升,在一定程度上降低了指纹的高度识别性特征。而在此基础上创造的万能指纹作为能够与大量指纹成功比对的真实或合成的指纹[7],虽然未必能与真实指纹完全相同,但也已具备了一定的指纹核对功能。深度万能指纹则在万能指纹的基础上进行改进,一定概率能生成完整图像,进一步提高了指纹核对的成功率[8]。万能指纹与深度万能指纹在合成一定指纹图像后,启动字典攻击(DictionaryAttacks),从而实现特定目的。此类指纹并非是获取了真实的指纹图像,而是通过概率模型,试图寻找到一个与众多指纹契合的共性指纹图形,其本身不具有识别性特征,很难通过一个合成的指纹实际定位到一个完整的个体,未侵犯特定自然人的个人信息,因而此行为无法被认定为侵犯公民个人信息罪。但是,虽然制作此类指纹本身不构成犯罪,但后续行为通常属于黑灰产业,制作万能指纹行为因此可以被认定为后续犯罪的预备犯。
3相关罪名的适用难点认定
3.1侵犯公民个人信息罪
在以侵犯公民个人信息罪规制侵犯指纹信息的行为时,需要对“情节严重”要件进行准确认定。两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条对个人信息的类别进行划分,明确了不同数量的定罪标准,但并未规定指纹信息等生物识别信息的归属类别,也未明晰此类信息的定罪量刑标准。第一类个人行踪轨迹信息、通信内容、征信信息、财产信息四种信息数量达到50条即可认定为犯罪;第二类通信记录等可能影响人身、财产安全的个人信息达到500条的可以被认定为犯罪;第三类其他个人信息的数量需要达到5000条才构成犯罪。第一类信息司法解释通过明文列举的方式进行确定,在第二、三类信息中则采用了兜底概括性规定。有观点认为,生物识别信息作为敏感个人信息,应当被纳入第一类信息进行特殊保护,可以通过兜底条款的适用进行调整[9]。但根据《信息安全技术个人信息安全规范》及《个人信息保护法(草案)》二审稿的规定,第二类信息中也存在部分敏感个人信息,一旦泄露、非法提供或滥用都可能对权利人的人身、财产安全造成损害,对于此类信息也同样需要进行重点保护。司法解释以信息种类、信息属性进行数量分类,实质上已经对敏感个人信息进行了充分考虑,无需再借兜底条款进行阐述,破坏罪刑法定原则的要求。第一、二类信息应当同属于敏感个人信息,第三类信息则为一般个人信息。而在敏感个人信息中,第一类是涉及隐私或私密内容的信息,而第二类属于其他敏感个人信息。其他敏感个人信息的500条定罪标准与一般个人信息的5000条相比,已经体现出了刑法对于此类信息的重视。生物识别信息虽然未被纳入第一类信息进行保护,但并不意味以第二类信息标准进行规制就忽视了此类信息的重要性,而是按照其信息属性进行的相对科学的划分。其次,指纹信息作为生物识别信息,虽然具有高度识别性,与人身密切结合,但在通常意义下并不能被归类于隐私范畴。隐私是不愿为他人公开或知悉的秘密,且此类信息与社会公共利益无关。人体指头由于存在汗液以及沾附的油性物质,能够触物留痕,尤其在镜子、金属制品等平滑表面,一旦接触即可留下清晰指纹。权利人在多数情形下,即使意识到自己的指纹可能留在特定物体上,也不会选择去擦拭、消除指纹痕迹。权利人对待指纹信息,并不会像对待行踪轨迹信息、通信内容等信息一般,不愿公开。再次,虽然在小区、学校等特定场所是否需要采用指纹识别系统存在争议,但不能否认,指纹信息在边防安检上能够具有的重要作用,指纹信息在很大程度上与社会公共利益挂钩,在具有私密性的基础上还具有一定的社会性。因此,将指纹信息作为生物识别信息纳入第二类信息进行规制,符合罪刑法定原理,也与其信息性质一致,同样有助于保护公民个人信息,防范风险社会中的刑法风险。
3.2非法获取计算机信息系统数据罪
非法获取计算机信息系统数据罪的“违反国家规定”的构成要件应当指向获取行为,而非单纯的获取手段。当行为人有权进入系统数据库,当其获取或超越授权获取无权获取数据的,应当构成本罪[10]。因此,针对窃取数据库指纹信息的行为,应当存在以下三种非法获取的形态:第一,未经授权强行侵入他人数据库,获取指纹信息。行为人通常采用强行突破、破解认证信息等方式,违反权利人的意愿进入计算机信息系统,获取指纹数据。数据不同于一般财产,获取数据不要求排除原权利人的占有,单纯的复制行为也应当被认定为“获取”。第二,超越权限获取指纹信息。当行为人有权进入特定计算机信息系统时,实施了非法获取指纹数据的行为,例如复制特定指纹信息,只要行为人明知自己无权获取此类信息,就应当认定行为人主观上具备了违法性认识,构成非法获取计算机信息系统数据罪。虽然进入系统的手段是合法的,但其获取数据的行为本身非法,“非法”限定的是“获取”一词。除了本罪外,我国刑法在侵犯公民个人信息罪中,也同样通过司法解释明确规定“在履行职责、提供服务过程中收集公民个人信息”的行为构成“以其他方法非法获取公民个人信息”,将“非法”指向获取行为的非法而非手段的非法。第三,通过技术手段获取他人指纹信息。木马病毒作为远程控制计算机系统的程序,具有破坏和删除文件、发送密码等特殊功能。木马作为相对典型的计算机病毒,程序经过数代更新,在窃取密码等信息上,不再是单纯采用过去记录键盘的方式,木马病毒同样可以盗取和篡改用户的敏感信息。通过技术手段获取他人指纹信息的,虽然没有侵入计算机信息系统的操作行为,但实际也获取特定数据,其行为已经具有相当的社会危害性。
4结语
当指纹识别技术已经被广泛运用于多场合时,应当注意规制非法获取、处理指纹信息的行为,确保指纹信息的正常流通。而随着技术手段的发展,非法获取、处理指纹信息的新手段不断出现,刑法条文不可能清晰列举每一种情形,因此,在分析特定行为时,应当灵活运用兜底条款的规定,综合解释,避免法条的错误使用。此外,在现代科技不断发展的背景下,信息价值猛增,信息与数据彼此交杂。在运用侵犯公民个人信息罪对侵犯指纹信息的行为进行规制时,也需要注意非法获取计算机信息系统罪的构成与否,两者在特定情形下可能存在竞合。应当综合运用刑法相关罪名进行规制,及时切断后续黑灰产业的犯罪,防范以指纹为代表的生物识别技术风险,促进相关产业的健康发展。
作者:王羽 单位:华东政法大学刑事法学院