生物特征識別信息失范性傳播的刑事治理困境及其出路

　　摘 要：隨著智能信息技術的發展，違法犯罪的手段由物理性識別向技術性識別的裂變，生物特征識別信息失范性傳播入罪存在諸多司法適用困境。具體而言，生物特征識別信息傳播數量危害性評價錯位，社會信賴度與安全感流失;生物特征識別信息傳播入罪標準與法益侵害程度脫節，為黑灰產業鏈的泛濫提供裂變的空間;未區分信息敏感程度的內在差異性，行為模式無法涵蓋;生物特征識別信息積量構罪層級保護失衡，罪量條件設置欠缺合理性。為解決生物特征識別信息傳播入罪司法適用困境，本文在規范性體系下提出刑事風險化解的具體路徑。主要包括：明確傳播數量危害結果類型的等價性與法益侵害相當性原則;“信息敏感程度+社會危害程度”認定刑量類型化的標準;科學調整及優化生物特征識別信息失范性傳播刑罰配置，構建刑罰均衡治理模式。

　　王文娟， 科技與法律(中英文) 發表時間：2021-10-11

　　關鍵詞：生物特征識別信息;法益侵害性;人臉識別技術;一般社會信息;信息敏感程度

　　一、問題的提出

　　生物特征識別是指通過可計算的生物特征進行身份認證的一種技術，包括身體特征和行為特征兩類，前者是指先天性的生理信息，而后者則是社會生活中形成的行為信息，需要說明的是，本文的生物特征識別信息側重對身體特征信息的研究[1] 。生物特征識別信息與一般公民個人信息存在顯著的區別，生物特征識別信息具有專有性與不可變更性，一旦造成失范性傳播將帶來不可挽回的損失。生物特征識別技術促成信息交互的便捷性與精準性，一方面，驗證通過生物特生識別具有不可更改的專屬性，有效規范社會治理秩序，精準提高社會管理水平;另一方面，生物特征識別信息的肆虐傳播致使社會道德失范現象的擴張，進而導致利用生物特征識別信息實施下游犯罪案件的異化與泛濫。例如，近期上海虹口區檢方公訴的一起涉案金額超過5億元的虛開發票案中，犯罪嫌疑人先購買他人的高清頭像和身份證信息，之后利用 APP將照片活化，形成動作視頻，在人臉認證環節系統獲取之前形成的動作視頻誤認為是實時行為，最后成功通過認證①。生物特征識別技術在帶來社會效益的同時，其所伴隨的風險也將是難以估量的，刑法作為社會保障的最后一道籬笆，若對此種社會失范行為置之不理，將悖離刑法謙抑性原則的根本要求。對此，本文在對295份涉及生物特征識別信息入罪司法裁判文書梳理與解讀的基礎上，以明晰生物特征識別信息失范性傳播入罪刑事治理的必要性與可行性，并提出具體的風險規制路徑。

　　二、利用生物特征識別信息實施犯罪行為的類型化解讀與裁判現狀

　　風險感知總是與不安相伴，生物特征識別信息泄漏風險加劇公眾的焦慮感和危機感，面對信息化社會的挑戰與不確定性，不僅需要公民個人加強對生物信息風險裂變的防范意識，同時也需要刑事法律規范積極應對生物特征識別信息的失范性傳播[2] 。生物特征識別信息涉及政務、安防、金融、支付等領域的價值正被進一步的挖掘利用，失范性傳播生物特征識別信息的行為與傳統社會相比，其法益侵害程度更為嚴峻，傳統的司法解釋對公民個人信息保護的規定儼然與現階段數據化時代的生物特征識別信息傳播的法益侵害程度相脫節。例如，即使行為人僅是非法獲取一條生物特征識別信息，利用活化技術等新型犯罪手段，分析比對繪制動作視頻以通過人臉識別系統內部驗證機制和評判規則后實施下游犯罪，也將會帶來不可挽回的人身、財產損失以及不可彌補的永久性信息泄漏[3] 。

　　基于 295 份生物特征識別信息入罪的刑事裁判文書的現狀歸納和刑法有關生物特征識別信息實施犯罪行為的類型化解讀分析，可知司法實踐中生物特征識別信息失范性傳播滋生下游黑灰產業犯罪行為已呈現迭代異化之勢，如何抵御生物特征識別信息失范性傳播的風險成為社會關注的熱點。現階段，對于生物特征識別信息的研究大多局限于民事法律層面，雖然《刑法》并未將單純的生物特征識別信息失范性傳播的行為認定為犯罪，但是利用生物特征識別信息引發的下游犯罪行為的社會危害性逐漸顯現。因此，在探討生物特征識別信息失范性傳播刑事規制困境之前，有必要依據現有的裁判文書對相關刑事法律進行梳理與評析，并探尋生物特征識別信息失范性傳播刑事規制路徑的客觀規律。

　　(一)利用生物特征識別信息實施犯罪行為的類型化解讀

　　依據“生物特征識別信息入罪的具體情形”見表 1，可以發現司法實踐中利用生物特征識別信息實施犯罪的行為已呈現出常態化的發展趨勢。經過歸納總結可知，現階段利用生物特征識別信息實施犯罪種類具體包括：金融詐騙，侵害人身權利、民主權利，破壞金融管理秩序，危害稅收管理，擾亂公共秩序，侵犯財產等6類，具體涵攝的罪名有12個。生物特征識別信息入罪的具體情形主要包括以下幾種類型：第一種類“無意識型生物特征識別”;第二種類“強迫威脅型生物特征識別”;第三種類“騙取型生物特征識別”;第四種類“照片活化等新型技術模擬型生物特征識別”。至此可知，前三種類型仍需被害人積極配合以通過生物特征識別驗證，而第四種類型則在物理空間脫離被害人，直接根據現有的生物識別照片利用活化技術以制作視頻通過系統驗證程序并實施下游黑灰產業鏈的犯罪行為。即犯罪手段從“低位階的物理識別—中位階活化照片模擬技術識別”的演變，同時也需警惕利用生物特征識別信息裂變為更嚴重的犯罪，因此對生物特征識別信息應給予更為嚴格、特殊的保護。

　　(二)司法裁判的現狀歸納

　　本文的數據是筆者通過無訟網進行的直接篩選與挖掘，截止2021年4月19日，筆者在無訟案例網搜索欄中分別輸入“人臉識別”、“刑事案件”以及“指紋識別”、“刑事案件”等關鍵詞。筆者在剔除與主題無關或重復性裁判文書的案件，最終作為選取295件刑事裁判文書作為本文的分析樣本②。經筆者歸納、統計生物特征識別信息入罪的刑事裁判形成圖1。

　　從圖 1“生物特征識別信息失范性傳播入罪的刑事裁判現狀”可知，盜竊罪占據生物特征識別信息失范性傳播入罪案件總數的44%，詐騙罪占據生物特征識別信息失范性傳播入罪案件總數的24%，該比例的呈現釋放出比較危險的信號，伴隨犯罪手段從低位階的物理性識別向中位階的利用生物信息活化技術制作視頻以“完美欺騙”生物識別系統驗證的技術型生物識別的轉變。若對生物特征識別信息失范性傳播行為不加以規制，必然會導致社會失德現象的愈發嚴重。此時，作為“后盾法”保障的刑法應如何理性應對生物特征識別信息失范性傳播所帶來的風險便成為當下不可回避的現實性問題。本文擬深入剖析生物特征識別信息失范性傳播刑事規制困境，并在此基礎上，提出遏制刑事風險異化的規制路徑。

　　三、生物特征識別信息失范性傳播入罪的司法適用困境

　　生物特征識別信息的失范性傳播一旦任其突變、異化等衍生為惡劣的人身權利、財產權利侵害的黑灰產業鏈犯罪案件，將極大減損公眾對信息安全的信賴程度。刑法作為社會治理的最后一道藩籬，厘清生物特征識別信息失范性傳播刑事治理困境，不斷提高刑事治理能力，是生物特征識別信息傳播規范化、秩序化的必然選擇[4] 。

　　(一)生物特征識別信息傳播數量入罪條件設置欠缺合理性

　　智能化信息社會的推進，逐漸凸顯侵犯公民生物信息罪中所存在的同罰異害、罪刑失衡的問題，數據挖掘、深度學習以及智能技術的突破，生物特征識別信息在經濟、社會治安管理等方面發揮著重要的作用，其失范性的傳播所帶來社會危害性與法益侵害度遠超過同種刑罰范圍內的住宿、通訊記錄等信息，顯然刑罰與社會的發展相脫節，在生物特征識別信息傳播入罪的刑事規制方面變得力不從心。

　　1. 生物特征識別信息失范性傳播數量社會危害性評價錯位

　　在信息風險社會中，不安全感、不信賴感已經滲透社會生活的結構中，給公眾帶來抽象化的心理恐慌以及情感的困擾，破壞社會秩序生態平衡。雖然《公民信息解釋》第五條詳細規定“情節嚴重”的9種具體情形，其中與信息傳播數量相關聯的有 5 條，與個人信息用途相關聯的有2條。換言之，在某種程度上信息傳播數量的多少決定著其是否構成本罪，然而傳播的數額在現實中可能只是一種偶發因素，依賴傳播數量認定犯罪可能出現定性上的差別，導致量刑失衡的現象[5] 。

　　黑格爾認為，“犯罪自在地是一種無限的侵害行為，但作為定罪，它必須根據質和量的差別予以衡量。”[6] 犯罪的“質”，是類型化的社會危害行為;犯罪的“量”，是行為危害社會的程度。犯罪數額作為犯罪 “量”的一種具體表現形式，其設定根據只能是行為的社會危害性。社會危害性是評價對象和評價標準的統一，首先，它作為評價的對象，是客觀存在的事實，即社會危害是指生物特征識別傳播行為對刑法所保護的社會關系造成或可能造成的損失。其次，社會危害性也代表社會公眾對生物特征識別信息傳播行為進行客觀評價的標準。“損失”除了具備物理性的損害，同時也包括主觀性的判斷。涂爾干曾指出，犯罪是“危害行為觸犯強烈而又明確的集體意識”[7] 。由此可知，社會危害性應當能夠為主體所感知，并用以預測和決定主體的行為，因而也就要求刑事規范具有明確性。生物特征識別信息失范性傳播入罪表面上明確且具體的規定信息傳播的數量，但是在智能化信息時代，在算法技術的加持下，“50”、“500”抑或是 “5 000”等類似固定值所體現的社會危害性難以被公眾較為直觀的感知。

　　最后，社會危害性的主觀屬性表現在生物特征識別信息傳播行為降低公眾對法治社會的信賴度與安全感。依據現階段的刑事法律規定，非法獲取、出售或者提供生物特征識別信息需要達到500條以上，才應認定為侵犯公民個人信息罪;然而生物特征識別信息不同于其他公民個人信息其具有專有性與不可變更性，即使泄漏一條生物特征識別信息對于被害人而言該非法性傳播行為也是終身的、不可挽回的損失，同時生物特征識別信息的失范性傳播都將可能會引發下游犯罪，應重視對生物特征識別信息的保護而并非概括限定失范性傳播 500 條以上的生物特征識別信息才應被認定為侵犯公民個人信息罪。

　　2. 生物特征識別信息失范性傳播數量與法益侵害程度脫節

　　隨著大數據、人工智能等前沿技術的發展，根據圖 1 對司法文書裁判現狀的分析可知利用他人生物特征識別信息實施下游犯罪，破壞信息化社會生態平衡的案件呈現擴張化趨勢，將非法獲取、出售或者提供生物特征識別信息 500 條以上認定為侵犯公民個人信息罪，并不能與法益侵害程度相適配。“非法獲取”、“非法提供”等行為是整個黑色產業鏈衍生的原動力，因此，為加強對“非法利用”行為的規制應從根源處遏制“非法獲取”、“非法提供”等前置性行為[8] 。

　　犯罪數額是犯罪事實的重要組成，其對定罪量刑的影響在刑事立法和司法實踐中存在普遍性的體現，逐漸成為立法者與司法者衡量危害行為法益侵害程度的重要指征[9] 。《公民信息解釋》第5條規定，非法獲取、出售或者提供公民個人信息傳播數量“50”、“500” 亦或是“5 000”，為《刑法》第 253 條之一侵犯公民個人信息罪中的“情節嚴重”。由于犯罪的本質在于對法益的侵害，然而現階段對生物特征識別信息傳播數量的規定并未能夠準確體現對公民生物信息的法益侵害程度。《公民信息解釋》第五條第三項規定的非法獲取、出售或者提供的行蹤軌跡信息、通信內容、征信內容、財產信息與生物特征識別信息并不存在法益侵害程度的同質性。大數據時代的背景下，信息代表著社會利益，在利益的驅使下，侵犯公民生物特征識別信息的行為不斷出現，生物特征識別信息安全風險與日俱增。科學技術的迭代不僅具有促進社會進步的正向價值，同時還為犯罪手段的異化提供滋養的平臺，然而《公民信息解釋》對生物特征識別信息需要達到 500 條以上認定為犯罪的規定顯然與法益侵害程度相脫節[10] 。以下面案件為例：

　　案例 1：被告人張富、余杭飛等人以牟利為目的，利用已非法獲取的公民信息，通過使用軟件將相關公民頭像照片制作成 3D 頭像，從而通過支付寶人臉識別認證，并使用上述公民個人信息注冊支付寶賬戶。張富、余杭飛等人通過這種方式來獲取支付寶提供的邀請注冊新支付寶用戶的相應紅包獎勵。

　　從案例 1 中，可以發現信息時代的來臨，生物特征識別技術被廣泛的應用于社會生活的各個領域，生物識別信息的失范性傳播將逐漸形成一條體系完整、分工明確的黑色產業鏈。案例 1 中主要存在三個關鍵性節點：(1)生物特征識別信息的獲取，張富違背公民個人意愿，在沒有法律依據以及相應資格資質的情況下，通過互聯網平臺非法下載的 2 000萬條公民生物信息;(2)生物特征識別信息的提供，張富提供給余杭飛28萬余條的公民信息;(3)生物特征識別信息的利用，張富雇傭姚麗萍、余杭飛以及劉浩等人將購買的公民身份信息用于注冊支付寶賬戶，并使用軟件將公民照片制作成公民 3D 頭像，以通過支付寶的生物識別認證系統，并實施騙取支付寶紅包的行為。綜上所述，獲取、提供等為傳播行為的前置性示范行為，為下游犯罪的實施提供條件。

　　針對生物特征識別信息傳播入罪刑罰具體的配置過程中，應準確把握法益侵害程度、社會危害程度，綜合確定配刑的輕重之序的相對基準。因此，《公民信息解釋》的規定與信息智能化背景下的生物特征識別信息失范性傳播所帶來的法益侵害程度相背離，因而造成法益保護的周延不足。侵犯公民個人信息罪是以打擊公民個人信息的非法性傳播為目的，立足于初始階段防止公民個人信息的泄漏并阻斷后續犯罪行為的衍生[10] 。

　　(二)生物特征識別信息失范性傳播僵化適用積量構罪的刑罰模式

　　生物特征識別信息在數字化社會與技術緊密結合，立足社會學角度分析，生物特征自始作為身份標識符號，線下熟人社會側重對聲音、面部以及行為舉止等識別;線上新型數字社會則通過算法技術對生物特征識別數據比對，實現社會的網格化治理模式[11] 。生物特征識別技術在社會治理中發揮著不可替代的作用，其失范性傳播將給社會帶來嚴重的社會危害性。目前，司法實踐中對于生物特征識別信息失范性傳播的刑事規制僵化適用 500 條以上認定為侵犯公民個人信息犯罪，忽視生物特征信息與一般社會信息的區別，違背罪責刑相適應的原則，對生物特征識別信息的刑事保護格局失衡。

　　1. 行為模式無法涵蓋生物特征識別信息的敏感程度

　　依據不同的標準，公民個人信息被劃分為不同的范疇。雖然有“可識別性”的限制，然而信息存在敏感程度的區分，對不同敏感程度的個人信息保護需求也有不同等級層次，一體式僵化適用積量構罪模式，對前置性失范傳播生物特征識別信息行為難以實現有效且精準的刑事治理。生物特征識別信息的特殊性在于被廣泛應用于社會主體不同身份的認證和行為識別的場景，利用生物特征識別信息實施下游犯罪愈發嚴重且不斷蔓延，如何對其進行有效的治理儼然已經成為信息化社會的熱點問題[10] 。根據《公民信息解釋》第五條第一款第四項的規定可知，生物特征識別信息屬于其他可能影響人身、財產安全的公民個人信息類型，雖然住宿、通信記錄等信息也可能會影響人身、財產安全，但是信息的敏感性以及可替代性的程度不同，生物特征識別信息具有強烈的專屬性，其附屬于公民個人所獨有的特征是不可替代的，無法以同等類型的其他公民信息相匹配。然而，現行刑事法律規范并未承認敏感信息相較于一般社會信息的特殊性，忽視應對公民個人信息實施區分類型化的保護措施，一體式的保護模式僅強調法的形式理性、保護法安定性的同時，也將犧牲個案正義的實現[12] 。以下面案件為例：

　　案例 2：被告人唐杰從“半邊天”處獲得唐某支付寶賬戶信息，并受“半邊天”的委托破解支付寶對唐某賬號的限制，被告人唐杰制作唐某 3D 人臉動態圖的方式破解支付寶人臉識別認證系統，解除支付寶對唐某的賬號的限制登陸。后唐杰將唐某支付寶賬戶信息提供給被告人張羽，被告人張羽通過偽造唐某手持身份證、承諾函的照片并撥打支付寶客服電話的方式解除唐某賬戶的資金凍結，并通過購買話費的形式轉移2.4萬余元③。

　　本案件的特殊性在于被告人唐杰在獲取唐某個人信息制作人臉識別動態圖通過支付寶賬號生物識別系統認證后，又將賬號信息提供給張羽滋生下游財產犯罪，顯然整個案件朝著鏈條式的方向發展，前置性失范行為與黑灰產業鏈的衍生環環相扣。誠然，即使唐某人臉識別信息泄漏后，其及時通知支付寶平臺關閉人臉識別認證系統，但仍不能完全制止被告人利用被害人的生物識別信息實施其他犯罪，雖然支付寶系統平臺的關閉，但是可以登陸美團、攜程等其他類型的應用程序實施金融類犯罪行為，因此生物特征識別信息失范性傳播將會帶來嚴重的損害，其與以往規定的通訊、住宿、交易等信息存在根本性的差異。在公民個人信息保護中，生物特征識別信息特殊性不言而喻，現階段對于侵犯公民個人信息傳統的治理模式已無法回應信息化社會現實需求對生物識別信息敏感性的保護[13] 。現階段，生物特征識別信息在《公民信息解釋》中并未給予特殊保護，而將其歸為第五條第一款第四項之中，對于敏感度層級不同的信息給予相同的刑罰，生物特征識別信息的刑事保護格局失衡，違背罪責刑相適應的原則。

　　2.生物特征識別信息失范性傳播刑罰配置失衡

　　隨著信息化、網絡化社會的逐漸推進，犯罪構成要件所呈現出積量化認定的特征，從而給司法實踐有效處理帶來前所未有的困境[9] 。諸如非法獲取、出售或者提供不同類型的公民個人信息規定不同數量的限制，屬于司法機關認定罪與非罪、“情節嚴重”與“情節特別嚴重”的重要依據。生物特征識別信息作為生物認證階段的衍生物，不僅是社會身份查驗的載體，同時也是身份認證和行為識別系統在社會范圍內的重塑[11] 。例如，在“唐杰、張羽等侵犯公民個人信息” 案中，雖然唐杰從“半邊天”處獲得唐某的個人信息，并制作3D人臉識別動態圖的方式通過支付寶人臉識別認證系統，但由于現階段《公民信息解釋》的第五條第一款第四項規定非法獲取、出售或者提供生物特征識別信息需達到500條以上認定為情節嚴重，顯然唐杰只獲取唐某一人的生物特征識別信息且違法所得不確定，因此依據現行刑事法律規范可知唐杰的行為并不構成侵犯公民個人信息罪，而是應認定為非法獲取計算機信息系統數據罪④。然而，最高法、最高檢發布的《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題解釋》(以下簡稱計算機信息解釋)第一條規定不同類型的身份認證信息構罪的標準不一，支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息10組以上;其他身份認證信息500組以上則應認定為非法獲取計算機信息系統數據罪。身份認證信息與公民個人信息存在交叉重合，例如，在 “林清金非法獲取計算機信息系統數據”案中，二審法院認為林清金非法侵入興業證券股份有限公司的計算機系統，獲取14組身份認證信息的行為，雖然數量并不符合《解釋》第一條的規定，不構成非法獲取計算機信息系統數據罪，但是上述賬號、密碼身份認證信息是以電子方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份的賬號密碼信息，屬于公民個人信息的范疇。綜上，林清金非法獲取興業證券 14 名員工身份認證信息登錄公司的 OA 辦公系統，VPN 系統，并下載導出公司員工通訊錄及個人信息數據 5 963 組的行為，系非法獲取公民個人信息的行為，構成侵犯公民個人信息罪⑤。

　　雖然非法獲取計算機信息系統數據罪所涉及的身份認證信息與侵犯公民個人信息罪中的公民個人信息之間存在重疊覆蓋，然而《計算機信息解釋》規定，獲取支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息10組以上的，應認定為情節嚴重。隨著社會智能化程度的深入推進，移動支付在商業便民服務中推廣應用，生物特征識別信息也具有網絡金融服務的身份認證功能，換言之，生物識別信息同樣也是《計算機信息解釋》第一條第一項網絡金融服務身份認證信息的規定。但值得注意的是，在非法獲取計算機信息系統數據罪中網絡金融服務的身份認證信息入罪的標準為 10 組以上，而在侵犯公民個人信息罪中，生物特征識別信息入罪的標準則需要達到 500條以上才構罪，顯然與生物特征識別信息失范性傳播入罪刑罰配置失衡。立足生物特征識別信息保護而言，是否也應給予其同網絡金融服務的身份認證信息類似的特殊化、層級化保護。現階段，既定的刑事法律對侵犯生物特征識別信息的保護方式與一般公民社會性信息保護方式同質，無法實現邏輯自洽，不能有效地回應信息社會對生物特征識別信息特殊保護的現實需求。

　　四、生物特征識別信息失范性傳播入罪風險化解機制

　　生物特征識別信息一般關涉公民的財產安全、人身安全，面對生物特征識別信息失范性傳播存在的風險，社會的正常活動必定會受到信息泄漏的不安與恐懼的影響[8] 。生物特征識別信息失范性傳播刑事治理路徑的探析應立足風險化解的原則確立、侵害法益類型的明晰，以及刑罰配置的調整及優化等方面塑造具體規則，以確保能夠理性應對智能信息社會對生物特征識別信息特殊化保護的需要。

　　(一)失范性傳播數量危害結果類型的等價性與法益侵害相當性原則

　　刑法規定的犯罪類型都是對犯罪現象抽象化、類型化的結果，而非詳盡敘述各類犯罪的具體表現[14] 。司法解釋已經明確“情節嚴重”入罪標準，但并列情形之間缺乏等價性對比分析，從而導致司法實踐中面對侵犯公民個人信息的行為直接套用傳播數量作為入罪的規定。筆者認為，在深入研究生物特征識別信息失范性傳播入罪的具體適用規則之前，應明確傳播數量作為入罪標準的風險化解機制應遵循的基本原則。非法獲取、出售或者提供的信息數量的現實危害需要符合危害結果類型的等價性和法益侵害的相當性原則。危害結果類型的等價性要求傳播數量反映的結果類型應當與同一罪名司法解釋中的其他入罪標準情形具有同等的性質，而法益侵害相當性原則是針對侵害行為而言的，其表明信息失范性傳播的犯罪行為在同一罪名的侵害行為類型中應當具有相當性[3] 。

　　首先，危害結果類型的等價性要求生物特征識別信息失范傳播的數量直接對接的是住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息 500 條。生物特征識別信息失范性傳播需要達到 500 條以上才構成侵犯公民個人信息罪，顯然這與信息化社會對生物特征識別信息風險防控相背離。其次，法益侵害的相當性，情節嚴重中的情節并不是任何情節，而只能是客觀方面表明法益侵害程度的情節[15] 。法益作為個人、社會和國家的具體利益而成為法律保護對象，無論在司法解釋論還是在立法上，法益都起著重要的指導性作用[16] 。對于生物特征識別信息失范性傳播可能造成的復合型社會后果，應堅持類型化思維，立足生物特征識別信息法益侵害后果，將其還原為具體的特定風險。立足生物特征識別信息失范性傳播侵害的具體法益而言，生物特征識別信息權是包括人身權利、財產權利等混合一體的信息權，生物特征識別信息失范性傳播社會危害性呈現擴大化趨勢，其不僅是對于生物識別信息本身的侵害，同樣也將衍生出下游犯罪的產業化、鏈條化，侵犯公民生物特征識別信息犯罪成為上游犯罪，為詐騙、盜竊、搶劫等其他犯罪提供助力，加劇生物特征識別信息安全犯罪的法益侵害性。生物特征識別信息失范性傳播數量的限定與法益侵害程度相適配，應盡快在司法解釋中明確失范性傳播生物特征識別信息的具體入罪標準。

　　(二)程度區分：“信息敏感+社會危害”認定刑量類型化的標準

　　社會信賴感是具有浮動特質的外在條件，考慮到公民個人信息法益涉及多數且廣大的社會利益，刑法的管制機能不可能遲滯到“一切信賴都喪失”的時點，方才介入處罰;在正常情況下，刑法通常會在“信賴足以減損”的情況，發動制裁力量并介入干預[17] 。同理，生物特征識別信息失范性傳播入罪也存在兩種不同的刑事規制方式：其一，在行為人非法獲取他人生物特征識別信息后、尚未發生危害后果前介入干預，防止行為進一步衍生下游犯罪產生實害后果;其二，行為人在非法獲取他人生物特征識別信息后并未規制而是達到情節嚴重在對該行為加以規制。二者對于非法獲取生物特征識別信息的刑事規制路徑截然不同，前者側重對行為的早期干預，后者偏向對情節嚴重的行為予以規制。雖然生物特征識別信息的失范性傳播的社會危害性并不至于將其納入行為犯，然而將其入罪標準限定傳播數量500條以上，顯然刑事法律規范并未意識到其所帶來的復雜性風險，“情節嚴重”的規定限制著構罪標準，但這并未能消解法益被侵害的現實危險。

　　信息外延范圍的無限擴容，不同類別個人信息的保護力度存在差異，司法解釋依據不同類型的信息規定不同傳播數量作為衡量本罪情節的標準，亦旨在考察敏感程度不同等級信息對社會的危害程度。侵犯公民個人信息犯罪中規定不同類型的公民個人信息和傳播數量的設置，既與手段行為的社會危害性有關，同時與信息的敏感程度也緊密聯系。例如，規定出售或者提供行蹤軌跡信息，被他人用于犯罪的，認定為侵犯公民個人信息罪，并未強調傳播的數量，行蹤軌跡信息涉及公民隱私更為深入，社會危害性層級更高，因此對于該類信息則規定較低的入罪門檻，實行梯度化、層級化的刑事治理模式。然而，自然人的指紋、虹膜、聲音、面部等生物特征識別信息與個人的關聯程度更精準，關系公民人身、財產權利、生活秩序、社會評價以及社會治安等方面，若發生失范性傳播將會構成潛在或實質性的危險[18] 。因此，應立足 “社會危害程度+信息敏感程度”的思維認定刑量類型化的標準，生物特征識別信息傳播行為作為非法獲取、提供、出售的后置性失范行為，從行為方式而言，其所侵犯的是復雜客體，其條文的罪狀和法定刑的設置為侵犯公民個人信息罪的構成，“情節嚴重”作為入罪門檻應明確對生物特征識別信息的特殊性保護。在侵犯公民個人信息犯罪情節認定中，應根據信息敏感程度判斷社會危害性。基于信息的敏感程度的不同對公民個人信息的保護也存在層級化區分[19] 。例如，生物敏感信息、社會敏感信息、一般社會信息以及一般生物信息等不同信息類型，分別對應不同層級的保護模式，生物特征識別信息相比較其他一般社會信息的敏感程度更高，對公民個體的社會危害程度更惡劣，因而對其設置更低的入罪門檻。事實上，不同種類的公民個人信息入罪標準背后所折射對敏感信息、重要信息以及一般信息的嚴格梯度化界分，生物特征識別信息由于和特定的公民個人結合緊密，隨著自我學習和深度學習技術在網絡黑灰產業鏈的運用，生物特征識別信息關涉社會生活的各個角落，對個人法益侵害程度則更高，因此在司法解釋方面對其特殊保護則尤為必要，以最大限度發揮法律的規范功能[18] 。

　　(三)生物特征識別信息失范性傳播入罪刑罰配置的調整及優化

　　數據信息時代的到來，新型社會風險持續的增加，針對層數不窮的社會問題，刑事司法應積極作出回應表明基本立場，化解智能信息社會帶來的刑事治理困境[20] 。人工智能技術在網絡黑灰產業鏈中的運用，不斷沖擊刑事法律規范。例如，通過深度學習目標人物的生物特征識別信息，合成動態視頻通過系統認證，從而實施下游犯罪。從圖1中可以看出現階段利用生物特征識別信息實施黑灰產業犯罪的案例呈上升趨勢，通過對傳統犯罪刑罰配置予以調整，能解決利用生物特征識別信息實施黑灰產業犯罪行為的司法適用問題，進而達到犯罪預防和犯罪規制效果的平衡。

　　1. 生物特征識別信息失范性傳播入罪刑量設置梯度化

　　在刑罰的配置過程中，用數額衡量法益侵害程度，并制定與之相應的刑罰量，根據社會危害性對不同類型的情節予以詳細的劃分，以得出科學的數額合理配置刑罰。生物特征識別信息失范性傳播入罪刑罰配置考量的過程中，傳播的數額經常被認定為刑罰衡量的指標，用數額計量法益侵害的程度，并得出與之相適配的刑罰量[5] 。刑罰配置的科學性反映犯罪對刑罰的約束，在以犯罪為衡量基礎的前提下，不斷尋求犯罪與刑罰之間的平衡性，以實現對犯罪行為的有效規制。立足犯罪數額角度對刑罰進行規定，不同犯罪行為對應不同的刑罰數量，是實現法治公平的必然體現，也是責任主義內涵所在。

　　首先，生物特征識別信息失范性傳播的社會危害性可以實現多維度解讀。生物特征識別信息失范性傳播刑罰治理層面，拘役、單處或者并處罰金等刑罰的配置一般是符合刑罰輕緩化的設置需要。寬嚴相濟的刑事政策不僅符合罪刑均衡原則，同時還應根據社會危害性和法益侵害性綜合配置梯度化刑罰配置[4] 。其次，立足侵犯公民個人信息罪的形態設置，注重類型化思維指引司法解釋對情節嚴重的認定，在同質化的類型中，依據犯罪行為的社會危害性、法益侵害程度以及公民信息的敏感程度，分別適用不同層級傳播數量的入罪標準[21] 。最后，雖然生物特征識別信息失范性傳播會引發黑灰產業鏈的衍生，然而也并不是將所有的傳播行為均被認定為刑事犯罪，刑法的根本目的是在“刑罰寬緩”的趨勢下，保障人權而非一味的以懲罰犯罪為主，對于生物特征識別信息失范性傳播而言，應根據行為的危害性與法益侵害程度，設置梯度化的刑量設置模式。

　　2. 生物特征識別信息失范性傳播入罪刑罰配置的具體構想

　　生物特征識別信息失范性傳播的刑法評價機制提供彌足動力，結合侵犯公民個人信息罪的立法模式設計，目前對于情節嚴重的認定仍存在較大的模糊性。因此，筆者認為應明晰侵犯公民個人信息犯罪的情節嚴重的具體認定情形，劃清生物特征識別信息失范性傳播的入罪標準。一是，明確生物特征識別信息失范性傳播數量入罪的標準。《公民信息解釋》第5條第3項至第5項分別規定不同類型個人信息以及相應的入罪標準，然而生物特征識別信息并未明確規定在該解釋中，隨著生物特征識別信息在金融服務、社會安全秩序保護等方面的應用可以將其歸為第二類，即非法獲取、出售或者提供生物特征識別信息等其他可能影響人身、財產安全的公民個人信息 500 條以上。現階段生物特征識別信息需要達到 500 條以上才能構罪，然而行蹤軌跡信息、通信內容、征信信息以及財產信息 50 條以上就被認定為犯罪，顯然刑罰配置存在失衡的問題。其實生物特征識別信息應用領域與空間較為廣泛，例如小區、學校、單位等場所的出入識別，可以準確記錄行為人出入社區的時間，詳細記錄行為人的行蹤軌跡。與此同時，財產、征信等信息也均具有生物識別系統登陸的途徑。簡而言之，生物特征識別信息能夠涵攝部分行蹤軌跡、征信以及財產方面等信息。因此，無論是從形式解釋的立場出發或是實質解釋的角度分析，沿用過去對公民個人信息的既定分類，無法實現對生物特征識別信息的特殊保護。結合前文非法獲取計算機信息系統數據罪的司法解釋分析，為更好的銜接非法獲取計算機信息系統數據罪與侵犯公民個人信息罪，應將生物特征識別信息 10 條以上認定為情節嚴重的情形，以降低生物特征識別信息失范性傳播的入罪標準，實現罪刑均衡。

　　二是，增設情節嚴重的次數認定。在明確生物特征識別信息傳播入罪的具體條數認定的基礎上，應考慮到將多次失范性傳播生物特征識別信息行為認定為情節嚴重，以優化體系內部的刑罰配置銜接機制。多次行為入罪化是指多次實施同一類型的行為從而構成犯罪的司法現象[22] 。多次失范性傳播生物特征識別信息的行為入罪化的法律效果，是將單次行政違法行為質變至刑事違法行為，傳播的次數成為行政違法到刑事犯罪的橋梁構架，提升整體行為的刑事違法性與可責性。然而，司法資源不可能將任何多次侵犯公民個人信息行為均認定為入罪標準。隨著智能信息技術促進數據價值的提升，同時也邁進數字化、符號化充斥的“透明社會”，對生物特征識別信息的保護來自技術進步對信息價值的深入挖掘的需求。筆者認為，針對多次失范性傳播生物特征識別信息而言，單次法益侵害程度遠高于其他類型的公民個人信息，生物識別信息一次泄漏即為終身性泄漏，不具備任何挽回損失的余地，同時前置性失范傳播行為將會衍生下游黑灰產業犯罪行為，嚴重侵犯他人的人身、財產權利。因而為彌補多次實施輕微違法行為的刑罰機制的缺失，應在司法解釋中單列一項規定“多次非法獲取、出售或者提供生物特征識別信息的”作為情節嚴重的認定情形之一。

　　三是，細化生物特征識別信息衍生下游犯罪行為的刑量升格。生物特征識別技術的飛越式發展加劇侵犯公民個人信息行為風險的異化，隨著生物特征識別信息失范性傳播的社會風險日益顯現，社會公眾對于信息安全的需求愈加迫切。在文明社會與法治國家，生物特征識別信息的失范性傳播導致公眾的恐懼感增強也在呼喚刑事治理的需要，以消解信息安全的社會風險。基于此，筆者認為應在《公民信息解釋》第五條的第一項中考慮將出售或者提供行蹤軌跡信息、生物特征識別信息，被他人用于犯罪的，作為情節嚴重的認定情形。生物特征識別技術的獨特性、高風險以及附屬性等特點，然而立足罪刑失衡的司法現狀，使風險化解路徑變得困難。司法的過程不僅是罪與刑關系的運用，同時也是切實解決刑事治理糾紛，以達到罪刑均衡，實現司法正義的狀態，將生物特征識別信息滋生下游犯罪行為的刑量升格，精確刑罰配置、科學刑罰結構等功能，達到對生物特征識別信息失范性傳播的有效治理。