導(dǎo)語：侵害指紋信息行為刑法規(guī)制路徑一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：指紋的唯一性與穩(wěn)定性特征使其作為生物識別信息具有高度的人身識別性，被廣泛運(yùn)用于多種場合，但也帶來了新的技術(shù)風(fēng)險。目前，前置法對于指紋信息的保護(hù)力度不足，刑法應(yīng)當(dāng)及時發(fā)揮保障法的作用，維護(hù)指紋信息的獲取與處理秩序，促進(jìn)指紋信息的有序流動。侵犯公民個人信息罪作為直接保護(hù)公民個人信息的罪名，在協(xié)調(diào)侵害指紋信息的行為時能夠發(fā)揮重要作用。此外，非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪也在指紋數(shù)據(jù)庫的保護(hù)中起到了一定作用。

關(guān)鍵詞：指紋信息；生物識別信息；侵犯公民個人信息罪；非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪

生物識別技術(shù)是通過高科技手段結(jié)合人體生理特征來驗(yàn)證特定主體身份的識別技術(shù)，具有相當(dāng)?shù)陌踩耘c可靠性，已經(jīng)被廣泛應(yīng)用于日常生活中。指紋識別技術(shù)作為目前在市場上占有率最高的一類應(yīng)用，在門禁、支付、治安管理等領(lǐng)域發(fā)揮著重要作用。而指紋數(shù)據(jù)被大量收集、處理的同時，也為個人信息安全帶來了一定的安全隱患。

1刑法規(guī)制必要性探討

（1）指紋信息高度敏感性背后的法律風(fēng)險人類手指指頭作為在抓取物體過程中必不可少的器官部分，使用頻率較高，且指頭上存在大量乳突紋線，在接觸物體的過程中易留下痕跡。根據(jù)研究顯示，不同主體的指紋特征不同，每個指紋都具有獨(dú)特性，幾乎不可能與存在相同的兩枚指紋；且指紋一旦形成，終身不變[1]。指紋的唯一性與穩(wěn)定性特征決定了指紋在確認(rèn)主體身份上的相當(dāng)優(yōu)勢，因而指紋識別技術(shù)被廣泛用于身份確定的場合。指紋信息作為生物識別信息，具有相當(dāng)高的識別性特征，屬于敏感個人信息。而敏感個人信息一旦泄露、非法提供或?yàn)E用，即存在較大可能危害權(quán)利人的人身和財產(chǎn)安全。而指紋信息直接反映個人生物特征，較銀行賬戶、個人生理健康狀況等信息與權(quán)利人聯(lián)系更為緊密，也更為敏感，應(yīng)當(dāng)屬于高度敏感的個人信息，進(jìn)一步放大了信息泄露帶來的潛在風(fēng)險。同時，指紋信息在數(shù)據(jù)網(wǎng)絡(luò)中被轉(zhuǎn)化成0和1的數(shù)字編碼，成為可以追蹤、檢索、匯編、計量和運(yùn)算的信息，個人的行為偏好、價值觀，就可以被清晰刻出來[2]。指紋在被大眾最為熟知的解鎖作用背后，數(shù)據(jù)流指向了個人偏好問題。對同一份指紋信息的追蹤可以清晰顯示出信息主體的行蹤、手機(jī)應(yīng)用使用傾向等于人身密切相關(guān)的信息，對其進(jìn)行深入分析后，形成的個人畫像精準(zhǔn)且直觀。在此情形下，福柯所刻畫的“圓形監(jiān)獄”場景逐漸擁有了現(xiàn)代化的科技外殼，數(shù)字記憶的可訪問性、持久性、全面性以及由此所帶來的“凝視”給人類帶來了嚴(yán)重挑戰(zhàn)[3]。（2）前置法規(guī)制效果不理想隨著國內(nèi)外手機(jī)制造廠商將目光集中投向指紋解鎖領(lǐng)域，移動生物識別技術(shù)迎來了新的躍層式發(fā)展，大量手機(jī)應(yīng)用開始使用指紋解鎖模式，頻繁收集用戶指紋信息，指紋信息被平臺大量收集、處理，形成各個平臺的數(shù)據(jù)庫。但各平臺對于數(shù)據(jù)管控的手段措施并不相同，且數(shù)據(jù)保護(hù)成本較高，中小企業(yè)往往在數(shù)據(jù)庫的維護(hù)上投入較低成本，導(dǎo)致用戶指紋信息的不安全性，指紋信息本身具有的穩(wěn)定性在此時便成了直接危害被采集者的利刃。不同于數(shù)字類密碼可以隨時更改，指紋一旦形成終生難以變更，建立在指紋基礎(chǔ)上的指紋信息也具有高度穩(wěn)定性，在泄露或被他人非法使用后，會造成難以彌補(bǔ)的損害。目前公眾維權(quán)成本較高，僅依靠私法難以維護(hù)個人信息安全。在民事訴訟過程中，被侵權(quán)人需要承擔(dān)侵權(quán)事實(shí)、損害與因果關(guān)系的證明責(zé)任，而指紋等人臉識別數(shù)據(jù)被他人非法獲取后或不當(dāng)行使后，損害結(jié)果與因果關(guān)系極難證明。且一旦被他人泄露，由于數(shù)據(jù)鏈的存在，潛在風(fēng)險將被不斷放大，僅僅是非法獲取人停止侵害也同樣無法切斷后續(xù)鏈條的損害，刑法、行政法等公法在保護(hù)公眾生物信息安全方面，應(yīng)當(dāng)發(fā)揮其應(yīng)有的作用。《個人信息保護(hù)法（草案）》并未絕對禁止指紋等生物識別信息的商業(yè)使用途徑，而是從知情同意與合法、正當(dāng)、必要的使用目的上進(jìn)行了一定限制，給予了信息權(quán)利人高度處理權(quán)利，以“同意”要求平衡個人信息自由流動與個人權(quán)利保護(hù)這一對矛盾[4]，試圖創(chuàng)造雙贏局面。但考慮到指紋采集者與被采集者之間的地位強(qiáng)弱對比，被采集者往往無法有效拒絕采集者的采集要求，且難以通過有效手段維護(hù)自身權(quán)益，“同意”的效果難以確定。因此，當(dāng)民法與行政法等前置法無力規(guī)制指紋等生物識別信息的獲取與處理行為，而指紋信息一旦被侵犯，權(quán)利人的人身、財產(chǎn)安全均將受到威脅，刑法有必要也有義務(wù)對此行為進(jìn)行調(diào)整。

2侵害指紋信息的典型行為梳理

指紋信息是將指紋細(xì)節(jié)特征通過特定方式進(jìn)行存儲，在必要時可以進(jìn)行處理、分析、對比的數(shù)據(jù)。在現(xiàn)代科學(xué)技術(shù)背景下，指紋信息被轉(zhuǎn)化為二進(jìn)制數(shù)據(jù)儲存在網(wǎng)絡(luò)空間中，形成指紋信息數(shù)據(jù)庫。指紋識別技術(shù)包括對象指紋圖像的提取、提取指紋特征、進(jìn)行數(shù)據(jù)保存與比對四大功能[5]，是數(shù)據(jù)輸入及核對的過程。而要達(dá)到欺騙指紋識別技術(shù)的目的，除了在源頭提供偽造指紋外，竊取數(shù)據(jù)庫中的數(shù)據(jù)或偽造特定數(shù)據(jù)，也成了目前犯罪的主要手段。在查閱相關(guān)文獻(xiàn)與新聞報道后，經(jīng)整理，可以發(fā)現(xiàn)大致存在以下四種侵害手段：

2.1人造指紋

當(dāng)手指接觸充滿灰塵的物體表面時，細(xì)小灰塵可黏附在乳突紋線間的小犁溝中被帶離表面，形成指紋痕跡。利用小犁溝與乳突紋線這一特征，可以將指紋痕跡留在特定物體上，再對該痕跡進(jìn)行指紋復(fù)制，即所謂的倒模制作過程。倒模制作指紋的成本低廉，且制作方便，只需硒鼓粉或硅膠、固化劑等材料即可完成，不存在任何門檻。此外，3D打印指紋的存在進(jìn)一步提高了人造指紋的準(zhǔn)確性與高適用性[6]，一旦指紋形狀被他人非法獲取，則可能被制作成立體指紋，投入后續(xù)黑灰產(chǎn)業(yè)犯罪中，侵害權(quán)利人的人身或財產(chǎn)法益。在現(xiàn)代信息理論中，信息是數(shù)據(jù)的內(nèi)容，數(shù)據(jù)則是信息的載體，兩者互相聯(lián)系。然而，信息作為人類社會傳播的內(nèi)容，出現(xiàn)時間遠(yuǎn)早于計算機(jī)，信息范圍與數(shù)據(jù)并非完全重合。通過物體留痕方式獲取他人指紋圖像的行為，雖然并未侵犯指紋數(shù)據(jù)，但作為最為傳統(tǒng)與典型的獲取他人指紋圖像的方式，同樣應(yīng)當(dāng)被認(rèn)定為侵犯公民個人信息罪。

2.2竊取數(shù)據(jù)庫指紋信息

指紋信息的采集不同于人臉信息，通常需要權(quán)利人配合指紋取樣的工作。對于不法者而言，與人造指紋相比，直接竊取他人數(shù)據(jù)庫中的指紋信息更為經(jīng)濟(jì)也更為便利。由于指紋信息的商業(yè)價值，大量企業(yè)在生產(chǎn)、經(jīng)營過程中頻繁采集用戶指紋，但多數(shù)中小企業(yè)在數(shù)據(jù)維護(hù)、銷毀上并不會投入過多成本，因此中小企業(yè)自身建立的企業(yè)數(shù)據(jù)庫的安全等級較低，被不法者竊取信息的可能性也更高。此外，木馬病毒等技術(shù)手段也同樣為不法者竊取他人指紋信息提供了便捷方式。根據(jù)相關(guān)司法解釋的規(guī)定，侵入計算機(jī)信息系統(tǒng)或采取其他技術(shù)手段，獲取存儲、處理或傳輸?shù)纳矸菡J(rèn)證信息五百組以上的，即構(gòu)成非法獲取計算機(jī)信息系統(tǒng)罪。同時，指紋信息作為個人信息，竊取指紋信息的行為本身即觸犯侵犯公民個人信息罪，符合該罪構(gòu)成要件。因而，竊取指紋數(shù)據(jù)庫信息的，應(yīng)當(dāng)認(rèn)定為侵犯公民個人信息罪與非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪的競合，擇一重罪論處。

2.3重復(fù)使用指紋信息

重復(fù)使用指紋信息的實(shí)質(zhì)是將合法獲取的指紋信息進(jìn)行超出知情同意的范圍與目的而使用，即指紋信息的二次使用行為。《刑法》第253條之一第1款中明確規(guī)定了“違反國家規(guī)定”的構(gòu)成要件，侵犯公民個人信息罪應(yīng)當(dāng)建立在違反前置法的基礎(chǔ)上，但刑法也應(yīng)當(dāng)作出獨(dú)立判斷。雖然刑法并未規(guī)定信息的使用行為構(gòu)成侵犯公民個人信息罪的客觀行為要件，但是依據(jù)前置法規(guī)定，當(dāng)收集者超出知情同意的范圍或目的處理信息時，需要重新取得權(quán)利人的同意。未取得被采集人二次同意而超出范圍或目的使用信息的，雖然未擴(kuò)大信息的擴(kuò)散范圍，但該行為的危害性與初始即未取得同意而采集信息的行為應(yīng)當(dāng)相當(dāng)。因此，雖然行為人合法采集指紋信息，但當(dāng)其超出同意范圍或目的而使用信息時，指紋信息處于喪失保護(hù)基礎(chǔ)的失控狀態(tài)，進(jìn)入了新的流轉(zhuǎn)過程之中，帶來了新的信息風(fēng)險。超出同意范圍或目的而重復(fù)使用指紋信息的，應(yīng)當(dāng)認(rèn)定為構(gòu)成侵犯公民個人信息罪。

2.4萬能指紋（MasterPrints）與深度萬能指紋（DeepMasterPrints）

2017年，萬能指紋的概念進(jìn)入大眾視野。指紋雖然具有相當(dāng)高程度的獨(dú)特性，但大多呈箕形、斗形、弓形三種形狀。目前多數(shù)設(shè)備在認(rèn)定指紋時，均為截取部分指紋圖像進(jìn)行信息處理與分析。以手機(jī)指紋解鎖應(yīng)用為例，在初次錄入指紋時，用戶通常需要將手指指紋完整輸入，而在后續(xù)解鎖時，則往往僅需錄入部分指紋進(jìn)行核對。由于指紋識別建立在特征點(diǎn)核對的過程中，當(dāng)特征點(diǎn)數(shù)量減少時，核對精度隨之下降，不同人的部分指紋相似率也較完整指紋大幅提升，在一定程度上降低了指紋的高度識別性特征。而在此基礎(chǔ)上創(chuàng)造的萬能指紋作為能夠與大量指紋成功比對的真實(shí)或合成的指紋[7]，雖然未必能與真實(shí)指紋完全相同，但也已具備了一定的指紋核對功能。深度萬能指紋則在萬能指紋的基礎(chǔ)上進(jìn)行改進(jìn)，一定概率能生成完整圖像，進(jìn)一步提高了指紋核對的成功率[8]。萬能指紋與深度萬能指紋在合成一定指紋圖像后，啟動字典攻擊（DictionaryAttacks），從而實(shí)現(xiàn)特定目的。此類指紋并非是獲取了真實(shí)的指紋圖像，而是通過概率模型，試圖尋找到一個與眾多指紋契合的共性指紋圖形，其本身不具有識別性特征，很難通過一個合成的指紋實(shí)際定位到一個完整的個體，未侵犯特定自然人的個人信息，因而此行為無法被認(rèn)定為侵犯公民個人信息罪。但是，雖然制作此類指紋本身不構(gòu)成犯罪，但后續(xù)行為通常屬于黑灰產(chǎn)業(yè)，制作萬能指紋行為因此可以被認(rèn)定為后續(xù)犯罪的預(yù)備犯。

3相關(guān)罪名的適用難點(diǎn)認(rèn)定

3.1侵犯公民個人信息罪

在以侵犯公民個人信息罪規(guī)制侵犯指紋信息的行為時，需要對“情節(jié)嚴(yán)重”要件進(jìn)行準(zhǔn)確認(rèn)定。兩高《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第5條對個人信息的類別進(jìn)行劃分，明確了不同數(shù)量的定罪標(biāo)準(zhǔn)，但并未規(guī)定指紋信息等生物識別信息的歸屬類別，也未明晰此類信息的定罪量刑標(biāo)準(zhǔn)。第一類個人行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息四種信息數(shù)量達(dá)到50條即可認(rèn)定為犯罪；第二類通信記錄等可能影響人身、財產(chǎn)安全的個人信息達(dá)到500條的可以被認(rèn)定為犯罪；第三類其他個人信息的數(shù)量需要達(dá)到5000條才構(gòu)成犯罪。第一類信息司法解釋通過明文列舉的方式進(jìn)行確定，在第二、三類信息中則采用了兜底概括性規(guī)定。有觀點(diǎn)認(rèn)為，生物識別信息作為敏感個人信息，應(yīng)當(dāng)被納入第一類信息進(jìn)行特殊保護(hù)，可以通過兜底條款的適用進(jìn)行調(diào)整[9]。但根據(jù)《信息安全技術(shù)個人信息安全規(guī)范》及《個人信息保護(hù)法（草案）》二審稿的規(guī)定，第二類信息中也存在部分敏感個人信息，一旦泄露、非法提供或?yàn)E用都可能對權(quán)利人的人身、財產(chǎn)安全造成損害，對于此類信息也同樣需要進(jìn)行重點(diǎn)保護(hù)。司法解釋以信息種類、信息屬性進(jìn)行數(shù)量分類，實(shí)質(zhì)上已經(jīng)對敏感個人信息進(jìn)行了充分考慮，無需再借兜底條款進(jìn)行闡述，破壞罪刑法定原則的要求。第一、二類信息應(yīng)當(dāng)同屬于敏感個人信息，第三類信息則為一般個人信息。而在敏感個人信息中，第一類是涉及隱私或私密內(nèi)容的信息，而第二類屬于其他敏感個人信息。其他敏感個人信息的500條定罪標(biāo)準(zhǔn)與一般個人信息的5000條相比，已經(jīng)體現(xiàn)出了刑法對于此類信息的重視。生物識別信息雖然未被納入第一類信息進(jìn)行保護(hù)，但并不意味以第二類信息標(biāo)準(zhǔn)進(jìn)行規(guī)制就忽視了此類信息的重要性，而是按照其信息屬性進(jìn)行的相對科學(xué)的劃分。其次，指紋信息作為生物識別信息，雖然具有高度識別性，與人身密切結(jié)合，但在通常意義下并不能被歸類于隱私范疇。隱私是不愿為他人公開或知悉的秘密，且此類信息與社會公共利益無關(guān)。人體指頭由于存在汗液以及沾附的油性物質(zhì)，能夠觸物留痕，尤其在鏡子、金屬制品等平滑表面，一旦接觸即可留下清晰指紋。權(quán)利人在多數(shù)情形下，即使意識到自己的指紋可能留在特定物體上，也不會選擇去擦拭、消除指紋痕跡。權(quán)利人對待指紋信息，并不會像對待行蹤軌跡信息、通信內(nèi)容等信息一般，不愿公開。再次，雖然在小區(qū)、學(xué)校等特定場所是否需要采用指紋識別系統(tǒng)存在爭議，但不能否認(rèn)，指紋信息在邊防安檢上能夠具有的重要作用，指紋信息在很大程度上與社會公共利益掛鉤，在具有私密性的基礎(chǔ)上還具有一定的社會性。因此，將指紋信息作為生物識別信息納入第二類信息進(jìn)行規(guī)制，符合罪刑法定原理，也與其信息性質(zhì)一致，同樣有助于保護(hù)公民個人信息，防范風(fēng)險社會中的刑法風(fēng)險。

3.2非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪

非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪的“違反國家規(guī)定”的構(gòu)成要件應(yīng)當(dāng)指向獲取行為，而非單純的獲取手段。當(dāng)行為人有權(quán)進(jìn)入系統(tǒng)數(shù)據(jù)庫，當(dāng)其獲取或超越授權(quán)獲取無權(quán)獲取數(shù)據(jù)的，應(yīng)當(dāng)構(gòu)成本罪[10]。因此，針對竊取數(shù)據(jù)庫指紋信息的行為，應(yīng)當(dāng)存在以下三種非法獲取的形態(tài)：第一，未經(jīng)授權(quán)強(qiáng)行侵入他人數(shù)據(jù)庫，獲取指紋信息。行為人通常采用強(qiáng)行突破、破解認(rèn)證信息等方式，違反權(quán)利人的意愿進(jìn)入計算機(jī)信息系統(tǒng)，獲取指紋數(shù)據(jù)。數(shù)據(jù)不同于一般財產(chǎn)，獲取數(shù)據(jù)不要求排除原權(quán)利人的占有，單純的復(fù)制行為也應(yīng)當(dāng)被認(rèn)定為“獲取”。第二，超越權(quán)限獲取指紋信息。當(dāng)行為人有權(quán)進(jìn)入特定計算機(jī)信息系統(tǒng)時，實(shí)施了非法獲取指紋數(shù)據(jù)的行為，例如復(fù)制特定指紋信息，只要行為人明知自己無權(quán)獲取此類信息，就應(yīng)當(dāng)認(rèn)定行為人主觀上具備了違法性認(rèn)識，構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪。雖然進(jìn)入系統(tǒng)的手段是合法的，但其獲取數(shù)據(jù)的行為本身非法，“非法”限定的是“獲取”一詞。除了本罪外，我國刑法在侵犯公民個人信息罪中，也同樣通過司法解釋明確規(guī)定“在履行職責(zé)、提供服務(wù)過程中收集公民個人信息”的行為構(gòu)成“以其他方法非法獲取公民個人信息”，將“非法”指向獲取行為的非法而非手段的非法。第三，通過技術(shù)手段獲取他人指紋信息。木馬病毒作為遠(yuǎn)程控制計算機(jī)系統(tǒng)的程序，具有破壞和刪除文件、發(fā)送密碼等特殊功能。木馬作為相對典型的計算機(jī)病毒，程序經(jīng)過數(shù)代更新，在竊取密碼等信息上，不再是單純采用過去記錄鍵盤的方式，木馬病毒同樣可以盜取和篡改用戶的敏感信息。通過技術(shù)手段獲取他人指紋信息的，雖然沒有侵入計算機(jī)信息系統(tǒng)的操作行為，但實(shí)際也獲取特定數(shù)據(jù)，其行為已經(jīng)具有相當(dāng)?shù)纳鐣：π浴?/p>

4結(jié)語

當(dāng)指紋識別技術(shù)已經(jīng)被廣泛運(yùn)用于多場合時，應(yīng)當(dāng)注意規(guī)制非法獲取、處理指紋信息的行為，確保指紋信息的正常流通。而隨著技術(shù)手段的發(fā)展，非法獲取、處理指紋信息的新手段不斷出現(xiàn)，刑法條文不可能清晰列舉每一種情形，因此，在分析特定行為時，應(yīng)當(dāng)靈活運(yùn)用兜底條款的規(guī)定，綜合解釋，避免法條的錯誤使用。此外，在現(xiàn)代科技不斷發(fā)展的背景下，信息價值猛增，信息與數(shù)據(jù)彼此交雜。在運(yùn)用侵犯公民個人信息罪對侵犯指紋信息的行為進(jìn)行規(guī)制時，也需要注意非法獲取計算機(jī)信息系統(tǒng)罪的構(gòu)成與否，兩者在特定情形下可能存在競合。應(yīng)當(dāng)綜合運(yùn)用刑法相關(guān)罪名進(jìn)行規(guī)制，及時切斷后續(xù)黑灰產(chǎn)業(yè)的犯罪，防范以指紋為代表的生物識別技術(shù)風(fēng)險，促進(jìn)相關(guān)產(chǎn)業(yè)的健康發(fā)展。

作者：王羽 單位：華東政法大學(xué)刑事法學(xué)院