摘要:随着生物识别技术和网络技术的快速发展,过限的生物识别信息采集、处理和利用行为不仅侵害个人基本权益,更可能引发重大社会与国家安全风险。传统以权利保护为中心的个人信息治理路径已无法适配信息风险的治理需求,亟需建立以风险预防原则为基础的风险控制模式,将监管范围从生物识别信息本身的保护扩展至潜在危害的预防,将治理重点从个人权利保障转向对公私数据控制者权力的限制和监管。应当通过解构不同风险场景下法益侵害的内在逻辑,设立适配不同风险等级的刑法介入标准,将风险分级监管与场景化区分治理有机结合起来。同时,通过解释和修改现有罪名的方式实现对侵犯生物识别信息行为的直接和间接规制,实现风险社会背景下个人信息保护、国家公共治理需求以及国家对个人信息的保护义务三者之间的平衡,兼顾刑法谦抑性与社会治理有效性,为风险社会生物识别信息的治理提供具有实践可行性的刑法方案。
关键词:生物识别信息;风险预防原则;风险分级监管;侵犯公民个人信息罪
一、问题的提出
随着生物识别技术在公共管理、金融支付、犯罪侦查等领域的广泛应用,侵犯生物识别信息相关的违法犯罪行为频发,尤其是在金融领域的应用,催生了人脸信息买卖、“查头过脸”“指纹膜制作”等灰黑产业链,并引发多种关联犯罪。而人工智能等科技的发展,又会扩大生物识别信息被滥用的可能。以深度伪造技术为例,近年来不仅出现利用该技术在网上制作名人换头淫秽视频并传播等犯罪行为,还发生了多起针对政治人物的深度伪造事件,相关视频、图片或音频在互联网上广泛传播,对政治、外交产生负面影响。
相较于其他个人信息,生物识别信息通常关联个体的重要人身、财产权益,对生物识别信息的非法利用可能侵害隐私权、名誉权,对社会诚信体系造成极大破坏,还有可能成为支付平台账户盗窃、网络诈骗、滋扰型等新型犯罪甚至是暴力犯罪的根源,严重威胁社会稳定,造成较高的个人损害风险,甚至影响国家安全。所以对这类信息的非法使用,尤其是合法收集之后的非法使用行为的规制必须特别关注。但是,生物识别信息的特殊属性导致传统的个人信息保护路径无法提供全面的应对措施。一是个人对自己享有的生物识别信息内容不能直接掌握,比如基因信息,需要通过专门的机构检测,增加了泄露风险。二是有些生物识别信息很容易在权利人不知情的状态下被采集,比如人脸信息,极容易在公共场合被“无感抓拍”,而且即使采集阶段满足同意原则等要求,个体对于之后的传输、应用途径也无法完全知悉,更谈不上控制,但由于生物识别信息的高风险性,这类敏感信息一旦被非法传播和使用,其后果又更为严重。所以,需要转向风险控制的路径通过对信息处理者行为的规制实现对生物识别信息的保护。
新兴科技领域的发展涉及广泛的公众利益和多重安全风险,不法行为具有影响的广泛性和后果产生的不确定性,需要提前进行风险预防。风险治理可以实现治理资源的优化,将稀缺资源集中在最需要的地方。在“数字风险社会”中,对个人信息的采集和处理中的风险与预防成为风险治理的重要环节,风险控制维度也成为个人信息保护公共目标实现的更优选择。
我国学界已从多个角度对个人信息保护中的风险治理问题进行了讨论,但在生物识别信息保护方面的专门研究成果较少,专门从刑法学视角进行深入讨论的更是屈指可数。我国目前也尚无针对生物识别信息保护的专门立法。本文在明确生物识别信息刑法保护必要性的基础上,深入剖析权利保护路径和风险控制路径的刑法适用选择逻辑,立足场景化治理理念区分不同的应用场景,评估生物识别技术应用的风险等级,进而依托风险分级监管框架与刑法解释路径,结合生物识别信息的高度敏感性等特征,明确现有罪名的适用边界和未来罪名完善的修改方向,以实现刑法对生物识别信息的全面保护。
二、刑法保护生物识别信息的路径选择
从对生物识别信息采集、使用行为的监管角度,刑法介入的必要性问题实际转化为了通过刑法应对新技术风险的必要性。现代科技的发展带来深刻的社会变革,推动世界从工业社会转向风险社会,同时,社会治理的重点也转向技术进步带来的风险。当代社会的风险性质使得刑法变成管理不安全性的控制工具,风险成为塑造刑法规范与理论的重要社会力量。随着生物识别技术的广泛使用,生物识别信息处理和利用行为成为新的风险来源,刑法对相关行为的规制也从事后惩罚转向事前风险的控制和预防。对生物识别信息使用行为的规制,首先需要识别行为可能带来的风险的种类和大小,以选择不同的部门法进行规制,再根据主体和保护重点的不同,选择权利保护和风险控制两种路径。由于权利保护模式应对风险防控需求力有不逮,刑法的保护应当转向以风险预防原则为基础的针对信息控制者的风险控制模式。
(一)刑法保护生物识别信息的必要性
现有的个人信息保护模式分为以隐私权为代表的权利保护路径与以权力(利)控制构建为中心的风险控制模式两种,相关法律规定主要集中在民法和行政法领域,不能满足生物识别信息保护的特殊需求,需要刑事立法的完善给予支持。
1.前置法供给不足
我国尚无对生物识别信息的保护与处理行为规制的专门立法,除了《个人信息保护法》明确将生物识别信息作为敏感信息保护以外,《网络安全法》《民法典》等均将其纳入一般个人信息的保护范畴,没有专门予以区分或设计更严格的信息处理要求。虽然《个人信息保护法》等相关法律和规范性文件中规定了包含生物识别信息在内的敏感信息的保护措施,但并没有区分敏感程度。部分行政法规和行业标准对特定部门或行业采集和处理生物识别信息的行为作出限制,比如《公安机关指纹信息工作规定》《居民身份证法》等对公安机关在公民身份管理、特定行业从业管理过程中使用生物识别信息提出了安全和保密义务,并设置了一些限制条件;2025年开始施行的《公共安全视频图像信息系统管理条例》《人脸识别技术应用安全管理办法》等对特定种类或特定场所的生物识别信息的收集和使用行为做出了规定,但存在效力等级较低、适用范围较窄等问题。有些地方政府也通过地方性法规对生物识别信息的采集和使用做出限制,但均是区域执法,覆盖面较小,保护力度不足。此外,2025年11月实施的《数据安全技术 敏感个人信息处理安全要求》(GB/T 45574—2025)中对个人信息处理者处理生物识别信息提出了针对性的要求,但仅针对信息处理环节,不能实现全面的保护,有些生物识别信息相关的标准化文件中也针对不同的生物识别信息的收集、传输、使用等数据处理活动提出了安全要求,但这些标准仅为推荐性国家标准,不具有强制力。
最高人民法院于2021年出台了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,但一方面,规制范围较窄,仅聚焦于人脸信息的采集和处理行为的民事责任,未涉及其他生物识别信息处理行为的规制,也未涉及与行政责任、刑事责任的衔接;另一方面,也未注意到不同应用场景下人脸信息使用的风险等级和责任区分。
2.部门法之间衔接不够紧密
生物识别信息承载着两方面的法益。一方面,从个体法益出发,着眼于具体权利的保护,多体现在民法之中,生物识别信息相关权利的保护主要包括确权和救济两个方面,前者包括对人格权益和财产权益的确认,后者则主要通过侵权之诉实现。另一方面,从集体法益出发,着眼于社会管理秩序的维护和国家安全的保护,多体现在行政法、刑法之中,通过对生物识别信息的收集、使用等流程的监管实现。刑法中对于个人信息虽然区分了不同种类信息的认定标准,但是分类标准与《个人信息保护法》“一般—敏感”或《民法典》“一般—私密”的二分法并不一致,而是列明所涉特定种类个人信息的数量和用途设置不同的定罪量刑标准,这样既导致和前置法不能无缝衔接,也未明确列明生物识别信息属于哪类个人信息。所以不能停留于部门法“各自为政、条块分割”的保护现状,必须在刑法与其他部门法之间形成有效的衔接机制,使得各部门法能够有定位、有目标地完善各自领域的个人信息保护制度,不至于出现重合或者断层,形成有序的阶梯式保护,方能实现保护效应最大化。
3.例外情况的认定标准模糊
行政法或刑法规制过程中,往往存在公共利益和个人权利的平衡问题,可能会为了公共安全或集体利益,要求个人让渡部分权利,对于生物识别信息,也规定有无需个体同意的例外,比如欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)虽在第9条第1款明确禁止对个人生物识别数据的处理,但第2款规定了为数据主体的工作、社会保障目的、其他重要利益、公共利益、公共健康、研究目的等十种例外情形,整体上,除了数据主体的明示同意或者公开之外,例外情形的空间是十分有限的。我国的《个人信息保护法》第18条第1款和第35条规定了无需履行向个人告知程序的例外情形,也是出于保护国家利益或紧急情况下保护自然人的生命健康和财产安全的考虑。虽然《民法典》《个人信息保护法》《网络安全法》等法律中都规定了基于公共利益的例外情况,但对于例外情况的认定标准模糊、规定笼统,比如对“公共利益”“紧急情况”“维护公共安全”等概念的界定。如果不能给出较为明确的解释标准,就有可能导致公权力机关过于广泛地援引例外规定,不受限制地采集、使用生物识别信息。
(二)权利保护路径的不足之处
以欧盟和美国为代表的两类个人信息保护路径对于生物识别信息的保护模式有所不同。美国更为强调信息自由,没有综合性的立法,采取的是隐私权保护的路径,通过联邦和各州的隐私法案规定生物识别信息使用的特殊要求,以最早制定的《伊利诺伊州生物识别信息隐私法》(Illinois Biometric Information Privacy Act, BIPA)为例,该法案提出了多个生物识别信息保护领域的关键概念,被之后的各州所借鉴。法案中针对生物识别信息的存储、处理、披露、传输等环节做出明确规定,并明确禁止处理生物识别信息的私人实体利用个人或客户的生物识别信息获利,对违法处理生物识别信息的行为也规定了诉讼程序和法定赔偿。欧盟通过统一立法途径强调对个人信息权利的保护,采取风险控制的路径,在GDPR中规定了不同类别敏感信息的定义,其中列出了基因信息和生物识别信息。欧盟很多成员国都建立有数字生物识别身份系统,对此,欧盟要求在使用个人生物识别数据时,成员国除了确保所有个人信息保护的基本权利(如数据泄露通知等)之外,还将根据欧洲法律对生物识别数据的收集、处理和使用负有特殊处理义务。
1.一般个人信息保护手段无法提供全面的应对措施
由于我国尚无专门的生物识别信息保护的法律法规,所以很难从权利保护路径直接实现对生物识别信息的保护。面对公权力主体对生物识别信息的采集和利用行为,若单纯从权利保护维度切入,往往难以充分保障个体权利,下文以三项权利的保护实践为例展开分析。
一是知情同意权难以保障。知情同意原则是生物识别信息保护的首要原则,但在面对公共管理需求时个人往往处于弱势地位,会出现同意权失效的情况。如《人脸识别技术应用安全管理办法》中明确“自愿同意”“最小必要”等红线,但仍有写字楼为方便管理强制要求所有访客必须录入人脸信息方可通行,而该采集程序后台存在逾期保存信息、后台管理失序等违法情形,存在数据泄露高风险,严重侵害社会公共利益。公司和政府建立的数据库可能被用于犯罪侦查和行政执法环节,而由于这些行为透明度较低,个人很难知道自己过去基于其他特定目的收集的个人生物识别数据被用于公共利益相关用途,更遑论做出同意。
知情同意原则在面对公权力主体时往往有所减损。以刑事侦查与审判活动场景为例。传统公权力机关对个人信息收集的正当性通常通过法律或判决授权实现,比如美国修改《联邦刑事诉讼规则》,要求通过治安法官签署令状的方式授权执法机关安装电子追踪器;德国也规定需要证明存在危及“非常重要的法益”的具体危险时,才能通过法官授权进行秘密搜查。但是这种授权在大数据背景下很难实现。公安机关直接从网络平台、手机应用运营方的后台提取个人信息,而这些信息的采集已经在用户最初使用相关平台或应用软件时进行了概括性的授权,所以很难保证主体的知情权。现在许多国家赋予政府方强大的收集使用个人信息的权力,在个人信息保护制度中将刑事司法活动作为例外规定,如GDPR第2条将刑事司法活动对个人信息的处理规定为例外情形。美国则通过判例将对犯罪嫌疑人指纹等生物识别信息的收集排除在个人隐私和不得自证其罪的权利保护之外。虽然我国已有部分行政法规和司法解释中提及对敏感个人信息收集增设单独同意环节,比如《个人信息保护法》在第29条规定处理敏感个人信息应当取得个人单独同意,《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》中规定App收集敏感个人信息时需要满足单独同意的要求,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》中规定处理个人人脸信息需要征得自然人或监护人的单独同意等。但这样的单独同意制度也并不足以应对生物识别信息的风险预防和治理需求。
二是删除权行使受限。删除权的实现,一方面需要证明相关生物识别信息的留存可能侵犯个人的安宁权或隐私权等基本权利,另一方面需要衡量是否涉及公共利益。在民事案件中已有实现删除权的判例,但面对公权力机关,这种权利的行使可能面临障碍。由于司法实践中刑事执法、司法信息的保存有长期化的要求,公安机关内部以治安管理、交通管理、出入境管理信息系统为代表的数据库建设的各类规范与管理规定中从未对储存时间设定具体的期限。如果刑事司法过程中的信息保存、识别以及销毁的制度不够完善,公权力机关可能援引《个人信息保护法》第47条第2款的例外规定拒绝删除。国外已有相关删除权胜诉的案例,可以作为我国今后司法实践的参考。
三是个体自动化决策拒绝权难以实现。在犯罪预测的场景中,涉及利用大数据技术对未来特定犯罪发生的时间、地点等情况进行自动化的分析预测,在这个过程中需要利用犯罪数据库中的生物识别信息,涉及自动化决策情形中生物识别信息的保护。GDPR第22条规定了数据主体的自动化决策拒绝权和例外情况,但是,由于条约解释的模糊性、例外条件过于宽松、缺乏有效的执行和监管机制、个体行使权利的障碍等问题,该条款处于“权利白条化”状态,没有发挥实质上制约自动化决策、保障信息自决权的功能。我国《个人信息保护法》第24条第3款借鉴GDPR第22条,规定了公民对于完全自动化决策的知情权和拒绝权,也即对于通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。但就现有规定来看,尚未区分在民事和刑事领域的适用限度。
2.敏感信息保护手段不能实现有针对性的保护
第一,敏感信息的界定有滞后性和局限性,有时无法实现及时保护。一是敏感信息的内涵可能随着科技发展而变化。在网络时代背景下,在某个阶段或场景下看似不敏感的信息,随着商业模式的发展,由于互联网广泛传播的特性形成信息的聚合,变得高度敏感。新的数据收集技术可能产生新的信息类型,也有可能令任何类型的信息都可能联系到特定人并产生一定的危险性,从而模糊敏感信息与非敏感信息之间的界限。二是信息敏感程度与使用目的有关。以人肉搜索为例,人肉搜索的过程,实际上是一个将敏感和非敏感信息混杂,最终提高所涉信息总体敏感程度的过程。在“人肉搜索”这样特定的目的下,一些个人基本信息对于信息所有者而言敏感度也有所升高。
第二,敏感信息的区分保护不足。敏感信息在刑法、民法等基础部门法中均是将敏感信息的保护置于一般个人信息的统一保护之下,无针对性条款。尽管《个人信息保护法》区分了一般信息与敏感信息,并在第28条将生物识别信息纳入敏感个人信息的保护范围,但是在敏感信息内部,尚无更进一步的分类、分级保护措施,对于生物识别信息这种高敏感信息无法实现最有效的保护。
第三,对生物识别信息的认定应当注意到对数据生命全周期的覆盖,也即对原始信息与处理后的信息均需保护,只是等级不同。尽管GDPR区分了一般和敏感个人信息,但是,对于高敏感度的个人生物识别信息,欧盟法律对其原始信息采集过程也未能完全覆盖。原始生物信息和生物识别信息有一定区别,后者是通过对前者的技术处理得到的,这种特定的技术处理也是一些立法例中定义个人生物识别信息时的关键要素之一。如GDPR第4条区别了原始数据和处理后数据,所以对于原始的人脸照片、录音或视频片段,在未经特殊技术处理之前都不属于GDPR个人生物识别信息保护的范围。对此,我国的《信息安全技术 个人信息安全规范》(GB/T 35273—2020)第6.3条“个人敏感信息的传输和存储”明确区分了原始生物信息和处理后的识别信息,并规定了个人信息控制者对原始生物信息的删除责任,有助于完善数据生命的保护链条。
(三)风险控制路径的转向
1.风险控制路径与我国实践需求的契合性
基于风险社会对安全保护的需求,原有的权利保护路径无法为个人信息提供全面的保护,以风险控制为导向的理念兴起,旨在舍弃传统路径中全有或全无的“二元化”判断,转而进行“程度性”评估,在相应场景中具体地评估数据处理行为的风险,根据风险等级采取相应程度的管理措施。风险控制模式实际上就是对信息处理者的权力(利)的控制。可以通过风险预防原则的应用实现风险治理,构建技术政策的监管框架,平衡各方利益,在对不确定性严谨解释的基础上建立更加严谨和公开透明的新监管评估机制,进而有效和适当地保护个人的基本权利,并促进跨境数据保护的无缝衔接。
从世界各国和地区保护个人信息的立法中可以看出,基于风险的治理已经成为重要的个人信息监管思路,在GDPR、加拿大《个人信息保护和电子文件法》(The Personal Information Protection and Electronic Documents Act, PIPEDA)以及一些法律政策文件中都呈现出风险预防路径,强调被监管者的责任,要求进行信息保护影响评估、履行风险管理义务。在GDPR通过后,风险和风险管理概念在数据保护领域的重要性呈爆炸式增长,数据监管呈现双层次的转变,在实践层面转向基于风险的数据保护执法和合规,而在更广泛的监管层面转向风险监管。从我国目前的法律规定和实践来看,相较权利保护,也更强调对社会秩序管理的需求和对信息使用方(企业)发展的保护,所以风险控制路径更为合适我国的实践需求。风险预防的理念要求个人信息处理者更多地通过事先合规建设、事中风险评估及防范来实现个人信息权益的实质保护,公平信息实践原则中“公平”愈发体现为前端的预防损害与风险,而非后端的数据治理与追责。生物识别信息能够反映出对个体未来健康情况的预测,而且对生物识别信息的非法采集和处理造成的损害也有可能不会当下显现,而是未来不可预知的风险。所以对生物识别信息的保护,不仅需要重视对危害结果的预防,更需要关注对未来风险的预防。
在风险社会背景下,刑法对于生物识别信息的保护不仅出于对个人基本权利的保护,同时也是社会治理和国家安全治理的需要。在构建针对新技术的治理框架时,需要寻找技术发展和创新需求与新技术可能对法治、社会秩序或公民基本权利造成的风险之间的平衡,以及不同数据监管和利用主体之间的平衡。比如,我国政府扮演的不仅是强监管者的角色,更发挥着主导者的作用,不只是数据主体的保护者或利益冲突的调解者,同时也是重要的个人数据的控制主体与处理主体,所以,对其权力的限制需要通过风险评估平衡个人权利保护与公共安全的需求,体现了利益衡量原则的要求。
2.生物识别信息的内生风险与外生风险
生物识别信息使用过程中产生的风险可以分为内生风险和外生风险。 从内生风险角度有如下两类。第一,生物识别信息自身的特殊属性可能导致对个体权益的损害风险。一般的个人信息可以通过去识别性,也即匿名化处理予以保护,但生物识别信息对应的主体和内容唯一,即使将采集到的生物识别信息的对象姓名、住址等信息隐去,仍具有唯一识别性。第二,生物识别技术自身迭代带来的技术风险。采集设备的质量、识别算法的缺陷以及外界环境因素或者采集对象本身的状态都会影响到生物识别信息的提取和匹配的精准度。
从外生风险角度有如下三类。第一,信息泄露风险。生物识别信息采集的技术门槛很低,医疗机构、基因检测公司、安防公司等都能够掌握这种技术,但这些机构的数据安全防护水平却不一定高超,存在极大的泄露风险。而且,这种损害风险有可能是群体性的,泄露一个人的基因信息,就可能导致与其关联的家族、社群或族群的其他个体相关的遗传信息也被泄露。第二,人身侵害以及财产损失风险。一方面,生物识别信息泄露之后往往会进入灰黑产业链,可能会被多次传播和利用,造成重复侵害。而且生物识别信息具有不可变更性,一旦被非法收集、泄露或者被非法买卖,无法通过修改、重新隐匿等补救措施进行救济。另一方面,对于生物识别信息的过度采集,可能导致信息滥用,进而侵犯个体的隐私或财产权益。我国司法实践中也已有对个人生物识别过度采集行为的判决。第三,国家生物安全风险。生物识别信息承载着特定的族群遗传信息,是国家重要的生物信息资源,曾有过多起国内机构因将人类遗传资源材料违规出境受罚的案例,近年来甚至形成了走私遗传资源的黑色产业链,严重危害公众健康和国家生物安全。
3.根据生物识别信息的多重要素判断风险等级
基于个人信息保护路径的场景理论和风险导向理念,一方面,根据生物识别信息种类的不同和使用场景的不同,是否属于合理使用的判断标准不同;另一方面,对生物识别信息处理的主体和对象不同,可能导致的损害风险等级有高低之分,从而保护的路径也应当有所区分。基于风险预防原则,当对生物识别信息的处理和使用可能导致较高风险时,应当赋予更严格的使用条件和更高的保护等级,对相关信息的采集者、使用者和管理者提出更严格的规制要求。这里涉及两种情况。
第一,从生物识别信息本身出发,不同种类生物识别信息的敏感度不同,需要承担的风险注意义务也不同。比如人脸信息与指纹信息、虹膜信息等相比,秘密收集的可能性较低,但由于借助人脸信息能随时监控个体、进行实时追踪,对信息主体的人身危害将更大。因此,生物识别信息的敏感度越高,政府的风险监管就应当越严格。
第二,从使用目的出发,即使是同一类生物识别信息,在不同的应用场景中的风险等级也有所不同,所以需要建立风险评估机制。比如,同为人脸识别信息,当其运用在支付或门禁等日常生活中时,其信息泄露的风险程度会低于利用大数据技术对某一人脸信息在海量数据中进行比对,因为前者实际上可以看做是单机系统,而后者则需要连接数据库。GDPR第35条和欧盟第2016/680号指令第27条规定了启动个人数据收集时的“数据保护影响评估”程序。我国2023年1月起施行的《互联网信息服务深度合成管理规定》中对于人脸深度合成技术也明确了个人信息保护和定期审核的义务。此外,对于个人非法采集和使用生物识别信息的,也需要根据其使用目的区分不同的风险等级,决定仅采取民事权利救济或行政处罚,还是需要采取刑事手段。具体而言,可以参考《数据安全技术 数据分类分级规则》(GB/T 43697)等国家标准文件对数据等级的评估方式,根据非法采集和处理生物识别信息的行为的严重程度进行划分,比如,设计一套关于国家安全、经济运行、社会秩序、公共利益或个人、组织合法权益等造成危害风险程度的评估等级表,划分特别严重危害风险、严重危害风险以及一般危害风险等级,结合不同风险场景的法益侵害分析,对于评估为一般危害风险的行为,可以考虑通过民事手段进行调整,对于评估为严重危害风险或特别严重危害风险的,根据具体情况采取行政处罚或刑事处罚措施。
4.平衡法益保护需求与刑法谦抑要求
结合前文对生物识别信息使用过程中产生风险的讨论,相关犯罪行为主要侵犯了以下两方面法益。
第一,在生物识别信息的采集和使用过程中,可能导致对人格权、财产权等个人权益的侵犯。一方面,生物识别信息与信息主体的人格尊严密切相关,对其予以公开或非法利用可能影响个人在社会中的发展。生物识别信息也与个人隐私权有关,一些并不必要采集人脸等个人生物识别信息的应用程序的过度收集信息行为会侵犯个人隐私权。另一方面,生物识别信息具有较高的商业利用价值和经济效益,以隐私权或者人格权为基础的传统保护框架虽然没有明确承认生物识别信息的财产权属性,但针对基因信息等特殊种类也承认其具有财产价值。比如美国有些州立法承认遗传信息属于个人私有财产,欧洲有些国家通过建立生物样本库的方式实现个人生物信息的国有化和商业化。承认生物识别信息的财产权属性有利于解决对非法使用、买卖个人信息行为提起损害赔偿的问题,也有利于解决对死者生物识别信息的利用问题。
第二,在风险预防视角下,如果不能够有效规制非法采集和利用生物识别信息的行为,会严重影响社会秩序运行和公民个人信息正常的使用行为,给民众造成不安全感。更重要的是,网络犯罪治理一直是我国网络空间安全战略重要的组成部分,保护好个人信息这个互联网活动的基础要素,才能更好实现网络安全治理。所以刑事立法已经不能从单纯的经济秩序、个人信息权利层面考虑大数据时代的信息安全问题,需要从公共安全、国防安全乃至国家安全的高度来审视刑法在大数据时代的角色和地位。
综上所述,在生物识别信息的采集和使用过程中,一方面可能侵犯公民的基本人权和自由,另一方面可能破坏公私主体控制和使用个人信息过程中的监管秩序,甚至影响国家安全,所以刑法对生物识别信息的保护应当体现为双重法益。从风险预防视角来看,需要平衡对相关法益的保护需求和刑法介入边界的合理限制之间的关系,这涉及到两个层级的风险分配,第一是刑法与前置法应对生物识别信息使用过程中应当承担的风险预防任务,需要根据行为造成损害的风险大小和后果程度进行分配;第二是刑法内部的风险分配,也即根据行为主体的不同、行为可能造成的风险以及已经造成的损害后果的严重程度适用不同的罪名和刑罚。
三、刑法保护生物识别信息的罪名适用
刑法对侵犯生物识别信息权益相关犯罪行为的治理,需以明确应用场景中行为引发的风险种类与等级,区分具体受侵害法益类型为前提,进而确定应予适用的罪名。对生物识别信息相关权益的保护可能涉及多种主体、多重法益、多类行为,很难用一个罪名将其全部概括,无法类型化。而且,在我国行政法、民法领域尚未专门针对生物识别信息的规制条款或法规规章时,贸然在刑法中设立新罪也不利于刑法与前置法之间的衔接。由此可以确定,对于生物识别信息的刑法保护,可以通过对现有的侵犯公民个人信息罪、使用虚假身份证件、盗用身份证件罪、非法控制计算机信息系统罪等罪名进行解释或修改来解决对相关行为的刑法规制需求,再设专门的新罪没有必要。 具体而言,可以区分对生物识别信息利用的不同阶段选择罪名适用,形成对生物识别信息灰黑产业链从非法采集源头到非法利用末端全链路规制,实现对生物识别信息的全周期保护。
主要可以分为两个阶段,第一是采集阶段,也即对非法获取或提供生物识别信息行为的规制,此时直接相关的罪名即为侵犯公民个人信息罪。这里通常涉及是否通过知情同意程序告知被收集人。但是,“知情同意”并非信息处理行为的“免罪金牌”,没有获得信息主体同意的社会化利用行为也并非绝对构成侵犯公民个人信息罪。第二是处理和使用阶段。在生物识别信息收集之初,需要有合理的使用目的,比如为公共利益收集,如果在之后的使用过程中超出最初的目的限制,用作他途,则构成非法使用。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《侵息解释》)的规定,侵犯公民个人信息罪包括了非法获取、出售和提供三种类型,所以对于非法使用行为需要根据行为类型和主体的不同,区分侵犯的不同法益,进而确定具体适用的罪名。以人脸识别信息的使用为例,在人脸信息获取阶段,主要侵犯的是公民的个人信息权益。而在利用阶段,如果是利用深度伪造等技术通过人脸识别破解网络平台或手机应用程序,主要侵犯的对象是计算机系统而非个人信息,所以涉及非法获取计算机信息系统数据罪、破坏计算机信息系统罪以及非法控制计算机信息系统罪等罪名。如果使用真实人脸信息图片注册、登录他人银行账户转移资金,可能成立诈骗罪、信用卡诈骗罪、使用虚假身份证件、盗用身份证件罪以及伪造、变造、买卖身份证件罪等罪名。此外,人脸信息的获取和冒用也有可能成为盗窃罪等罪名的准备行为。
(一)侵犯公民个人信息罪的具体适用
1.扩展刑法语境下“个人信息”的内涵
与生物识别信息的采集与处理最直接相关的罪名是侵犯公民个人信息罪。虽然《刑法》和《侵息解释》中并未明确将生物识别信息列为侵犯公民个人信息罪中的信息种类,但是,可以从前置法和个人信息的特征两方面将生物识别信息解释为刑法中的个人信息。
一方面,可通过前置部门法确定刑法条文中的概念内涵。《民法典》第1034条对个人信息的规定和《个人信息保护法》第28条对敏感个人信息的规定均将生物识别信息列为个人信息的一种。此外,有关个人信息的国家标准中也将生物识别信息作为个人信息的一种进行解释。如2024年《网络安全标准实践指南——敏感个人信息识别指南》中将生物识别信息定义为对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。司法解释也已经将生物识别信息纳入个人信息犯罪的对象范围。如2021年《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》第5条规定,非法获取、出售、提供个人生物识别信息,符合相关规定的,以侵犯公民个人信息罪追究刑事责任。
另一方面,根据2017年《侵息解释》第1条的规定,可识别性是个人信息的最本质特征。生物识别信息具有比一般敏感信息更高的可识别性,所以应当被解释进入刑法个人信息的范围内。比如利用黑客软件窃取软件使用者“人脸信息”等公民个人信息的行为,就应当认定为刑法中“窃取或者以其他方法非法获取公民个人信息”的行为。
另外还需要说明的是,域外立法中通常将基因信息和生物识别信息区别规定。比如GDPR区分了基因数据(genetic data)和生物数据(biometric data),美国2024年发布的行政命令《防止特定国家获取美国公民大规模敏感个人信息及联邦政府相关数据》(Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern)中,区分了生物识别标识信息(包括面部图像、声纹、视网膜和虹膜扫描、掌纹、指纹、步态及键盘使用模式等)和人类基因数据(仅涉及人类基因组数据的交易)。但是,我国《个人信息保护法》《网络安全法》中规定生物识别信息时,则并没有明确排除基因信息,从2021年《生物识别信息保护基本要求》(GB/T 40660—2021)、2022年《信息安全技术 基因识别数据安全要求》(GB/T 41806—2022)、2024年《网络安全标准实践指南——敏感个人信息识别指南》等国家标准的规定来看,基因信息属于生物识别信息的一种。
2.增设“情节严重”的认定条件
《侵息解释》第5条对“情节严重”的规定中,基于不同类型的个人信息,分别设置了“五十条以上”“五百条以上”“五千条以上”三种入罪数量标准,但正如前文分析,生物识别信息涉及人身、财产、社会秩序、生物安全等多重法益,而且刑法中也没有对生物识别信息的违法所得、信息数量或者具体行为方式进行规定,所以很难简单将其对应于前述三种情况中的某一类信息。但可以较为确定的是,生物识别信息具有较高的敏感性。尽管我国刑事立法中还没有明确规定敏感信息的分级保护,但从对情节严重的认定中将具有高敏感性的行踪轨迹信息、通信内容、征信信息、财产信息单列出来制定较低的入罪门槛(五十条)可以看出,立法者也关注到了敏感个人信息和一般个人信息应当采取不同程度的规制措施,这一点在立法者的说明中也可以看出,不同信息数量的区分标准即为敏感程度的高低。作为具有高敏感度的生物识别信息,应当采用更为严格的认定标准,也即更低的入罪门槛。可以参考司法解释中对情节严重的情况列举,在对“情节严重”的解释中增设一条针对生物识别信息的收集、处理行为的定量规定,将五十条作为侵犯生物识别信息行为的起刑点,条文内容可为“非法获取、出售或者提供生物识别信息五十条以上的”。
(二)间接相关的罪名适用
目前我国刑法中的侵犯公民个人信息罪尚未将非法使用他人信息的行为纳入保护范围,只能通过对其使用信息后的实行行为进行定罪量刑。对于非法利用生物识别技术的行为,仅就技术利用本身定罪无实质意义,技术只是媒介,行为目的才是定罪的关键。所以一般会将非法利用生物识别技术看做手段行为,再根据不同适用场景侵害权益的不同和主体的不同选择适用具体罪名。
1.适用涉秘密类罪名规制泄露生物识别信息的行为
有些国家或地区的立法例通常通过将个人信息解释为秘密的方式进行规制。参考这些立法例,对于泄露医疗过程中或者司法活动中收集到的生物识别信息的,可适用与泄露秘密相关的罪名。“比如日本对于与审判有关的法官、检察官、律师、鉴定人等设有‘泄露国家秘密罪’和‘泄露业务秘密罪’,上述人员擅自接受采访等透露了有关信息时,除了极有可能被有关当事人控告侵犯隐私权外,还极有可能被追究泄密罪。”我国台湾地区“刑法”第316条泄露业务秘密罪、我国《澳门刑法典》第190条不当利用秘密罪也有类似规定。
以运动员生物识别信息的采集和使用场景为例。和一般主体的生物识别信息不同的是,运动员,尤其是明星运动员的生物识别信息具有很高的商业价值,但这种价值依托于信息处理和分析,属于一种“衍生”信息。运动员、所在俱乐部以及信息收集和处理机构三方均涉及对运动员生物识别信息的收集、处理和使用。在这个过程中,收集到的信息由俱乐部而非运动员本人掌握,当运动员转会时,需要新俱乐部购买。同时,作为采集设备的运营一方也会存储大量的生物识别信息,会将这些信息处理后转售给职业体育俱乐部、博彩公司或体育企业等获利。在这个过程中,涉及运动员隐私权、信息自决权、财产权、知情同意权等多项权利的保护。如果知名运动员在训练过程中采集的生物识别信息被竞争对手以非法的方式获取,有可能构成侵犯《刑法》第219条侵犯商业秘密罪。
2.建立身份窃取类行为的多罪名规制体系
通过非法手段获取他人的生物识别信息,再利用深度伪造技术合成面部图像、声音或视频,进而实施侵犯名誉权行为,甚至通过合成图像侵入他人网络账户进行转账等侵犯财产权行为的,通常被称为身份窃取行为。从生物识别信息的收集、提供到下游各类犯罪行为的实施,身份窃取已经形成了一条成熟的灰黑产业链。比如链条前端行为人通过虚假名目(如办理健康码、免费领福利物品等)非法采集他人信息,链条中端行为人利用购买到的他人身份证信息和人脸识别信息进行手机卡激活认证,之后将激活的手机卡售出给链条终端的行为人用于电信网络诈骗。所以需要分阶段确定罪名的适用。
在生物识别信息的采集阶段,存在利用专门提取个人活体图像和身份证照片的软件进行信息收集的行为。比如行为人通过在非法网络高利贷软件中植入第三方公司提供的SKD代码,从而抓取用户的人体活脸和身份证信息,对此,一般以侵犯公民个人信息罪定罪处罚。从个人信息的身份识别功能角度出发,伪造、变造、买卖身份证件罪和使用虚假身份证件、盗用身份证件罪为传统的身份证件提供保护。我国现在对身份证件的定义尚未将人脸、指纹等信息包括在内,但是随着互联网活动的需要,电子证件的发达以及个人账户安全保护的需求,通过人脸、指纹识别构建传统证件识别之上的第二道身份识别保护是大势所趋。对于将他人人脸信息制作成视频或图片的行为,对于后续的账户注册或登录行为而言,相关的视频或图片实际上就是个人的身份证件,所以,有成立使用虚假身份证件、盗用身份证件罪或伪造、变造、买卖身份证件罪的可能。对此,也有学者提出通过增设第280条第4款,明确规定包括人脸识别信息在内的“个人身份识别信息”等同于“身份证件”。
在生物识别信息的非法利用阶段,存在两种情况,第一种是生物识别信息的获取与利用接续发生。比如行为人以给他人办理业务为名,在操作过程中获取生物识别信息用于登录其他金融借贷软件,以被害人的名义申请贷款并将款项转出提现。第二种是下游行为人批量获取链条前端提供的生物识别信息,或者自行非法收集他人生物识别信息,之后利用软件转化处理相关信息用于批量注册账号实施犯罪行为或者用于破解他人网络金融账户转移财产。对于第一种情况,获取他人生物识别信息只是盗窃行为的手段行为,所以一般不再单独评价,成立盗窃罪一罪。但第二种情况则比较复杂,究竟判处一罪还是数罪尚有争议。比如行为人制作3D头像用于支付宝人脸识别认证,注册新账户后获取新注册用户红包奖励。法院认为获取个人信息制作3D头像的行为构成侵犯公民个人信息罪,但骗取支付宝红包的行为则构成诈骗罪。这是两个独立的犯罪行为,并不具备牵连关系,应当数罪并罚。此时,从最终的结果来看,行为人侵犯的实际上是财产法益,个人生物识别信息仅在过程中用于账户认证,最终并没有造成对个人信息权益的现实侵犯,仅是一种侵犯的危险。所以不应当对同一法益进行重复评价,仅认定诈骗罪一罪即可。
3.区分不同主体的行为性质确定罪名适用
(1)网络平台服务提供者
从风险控制角度,对于怠于履行对生物识别信息等敏感信息使用行为的管控义务的网络服务提供者,比如对于个人在手机软件、网络平台使用过程中被采集的生物识别信息(如指纹登录或面部识别登录),平台方明知有人在其平台上买卖生物识别信息而不予处理的;或者明知他人利用虚假人脸信息通过平台人脸验证注册账号用于实施网络诈骗等犯罪行为,仍允许注册的,可以通过对拒不履行信息网络安全管理义务罪或帮助信息网络犯罪活动罪的适用予以规制。
因为网络世界信息量巨大,网络服务的提供商对平台上的信息、活动不可能全面掌握,所以,追究其责任需要证明对犯罪结果有预见且达到明知的程度。需要注意到的是,对于明知的内涵是应当知道还是明确知道的认定,根据2019年《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第11条以及2025年《最高人民法院、最高人民检察院、公安部关于办理帮助信息网络犯罪活动等刑事案件有关问题的意见》(以下简称《帮信罪意见》)第5条关于认定行为人明知情形的规定可以看出适用的是推定明知,也即应当知道。
如果相关主体不履行法律、行政法规规定的信息网络安全管理义务,比如对平台存储侵权信息的审查和清理义务,经监管部门责令采取改正措施而拒不改正,造成严重后果或情节严重的,可能成立拒不履行信息网络安全管理义务罪。这就可以说明网络服务提供者至少在被责令采取改正措施后对损害结果的发生有一定的预见和认识,此时其不作为与可能的危害结果之间就具有了相当因果关系,不能再以技术中立原则免责。但是现在的入罪标准比较严格,对于“拒不改正”是否包含虽采取改正措施但没有达到预期目的的结果要素尚有争议,可能导致平台方怠于履行改正责任,或者只是应付了之,没有采取真正有效的措施防止损失的进一步扩大。对于帮助信息网络犯罪活动罪的适用,是否明知会影响到行政责任和刑事责任的选择。比如平台未尽到审核义务,导致行为人绑定虚假人脸信息注册大量账户,进而用于电信诈骗等犯罪行为,根据《反电信网络诈骗法》第39条、《网络安全法》第26条有关实名制审核义务的规定,可能承担责令改正、罚款、暂停业务或吊销相关业务许可证等行政处罚。如果平台对行为人的犯罪行为明知仍提供服务,则构成帮助信息网络活动罪。
(2)一般个人
对于非法利用生物识别信息侵入他人网络账户的行为,可能涉及非法获取计算机信息系统数据罪、破坏计算机信息系统罪、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪等罪名。实践中,对于这几个罪名的适用有一定的争议。
对于非法获取计算机信息系统数据和非法控制计算机信息系统行为的区分。比如行为人唐某采用制作被害人3D人脸动态图的方式突破了支付宝人脸识别认证系统,解除账号的限制登录,将被害人支付宝账户信息提供给同案人张某用于解除资金冻结,后采用购买话费的形式转移账户内资金,侵入计算机信息系统,获取计算机信息系统中存储、处理或者传输的数据,构成非法获取计算机信息系统数据罪。但有学者认为,行为人并未实施对数据的获取或下载行为,应当构成非法控制计算机信息系统罪。此时涉及对相关行为侵犯法益的界定。以上两案中行为人的具体手段虽然不同,但本质上都是获取系统中已有的人脸数据或者金融数据,并未影响计算机信息系统的正常运行,所以应当构成非法获取计算机信息系统数据罪。
对于非法控制计算机信息系统和破坏计算机信息系统行为的区分,主要区别在于相关的行为是否实现对系统运行的操纵,影响系统的正常运行。比如在指导性案例李某某等破坏计算机信息系统案中,法院认为,行为人利用非法获取的身份信息重置密码,冒用购物网站买家身份进入网站内部评价系统删改购物评价,属于对计算机信息系统内存储数据进行修改操作,应当认定为破坏计算机信息系统的行为。但是,2024年2月最高人民检察院发布《最高人民检察院关于宣告部分指导性案例失效的通知》,宣布该指导性案例失效。该案例失效有可能是出于最高人民法院相关指导案例冲突的原因,也即认定非法控制计算机信息系统罪与破坏计算机信息系统罪的冲突,这似乎意味着认定非法控制计算机信息系统罪将成为主流。实际上,从理论角度,这两个罪名并不是决然对立的。对计算机信息系统功能进行删除、修改、增加、干扰,或者对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,完全可能同时非法控制了计算机信息系统。在这种情况下,应当视具体案情按照包括的一罪或者想象竞合处理。
对于非法侵入计算机信息系统和破坏计算机信息系统行为的区分,司法实践中也有不同的处理思路。如行为人利用换脸软件冒名注册,将违章车辆绑定在他人驾照下扣分,法院认为行为人违反国家规定,侵入国家事务的计算机信息系统,构成非法侵入计算机信息系统罪。而在另一案中,行为人利用非法获得的他人身份信息注册支付宝账户并与交管账号关联,将被害人的驾驶证分数卖给他人处理违章。法院认为行为人违反国家规定,对计算机信息系统中存储的数据进行修改、并利用该计算机信息系统中的功能进行非法操作处理,影响计算机信息系统正常运行,构成破坏计算机信息系统罪。以上两案行为的主要区分在于对计算机系统仅是利用还是实际修改程序破坏了正常的系统运行。
对于帮助行为,则要区分具体的行为内容确定罪名。第一,对于技术支持行为,如果该技术的研发人员明知他人用于违法犯罪目的而仍然提供技术指导,或者该技术的研发就是为了实施后续违法犯罪行为的,具有刑事违法性。比如行为人教授他人制作用以破解支付宝人脸识别认证系统的3D人脸动态图,并出售相关设备,属于明知他人实施侵入计算机信息系统的违法犯罪行为而为其提供程序、工具,构成提供侵入、非法控制计算机信息系统程序、工具罪。第二,对于牵线搭桥行为,也即在提供非法人脸识别技术和破解服务的商家与需要通过人脸识别技术进行实名认证的下家之间提供中介服务的人,虽然其本身可能没有操作账户进行人脸识别认证、未破解计算机软件或手机应用认证系统、也没有将账号实名化的直接行为,但其介绍行为对后续犯罪行为的实施起关键作用,所以应当成立相应罪名的帮助犯。第三,对于明知个人信息被用于违法犯罪活动,仍然提供个人生物信息帮助账号注册、认证等行为实施的个人,则可以通过帮助信息网络犯罪活动罪进行规制。如果这一行为发生在他人转移犯罪资金的过程中,则还有可能成立掩饰、隐瞒犯罪所得罪。此外需要注意到的是,根据《帮信罪意见》第9条的规定,对实施帮助信息网络犯罪活动罪的行为人,如果具有“提供专门或者主要用于信息网络犯罪活动的技术、软件、设备的”或者“涉及利用‘深度合成’等人工智能技术实施犯罪的”等情形,从严惩处,这有利于进一步对侵犯生物识别信息犯罪帮助行为的规制。
4.其他罪名的适用分析
对生物识别信息的非法处理和使用行为有可能侵犯个人的人格权益,比如通过AI换脸技术制作知名艺人的淫秽视频并贩卖传播,或者是偷拍他人在旅店房间等较为私密空间的性行为并传播,抑或通过AI换脸技术伪装成被害人的上级主管或伪装成被害人信任的对象发布转账命令的,可能构成侮辱罪、诽谤罪等罪名。涉及面部图像的,属于以非法方式获取、利用生物识别等个人信息的行为,在非法利用或传播过程中造成了对他人名誉权、隐私权、财产权的侵犯,不但可能构成侵犯公民个人信息罪,还有可能构成制作、贩卖、传播淫秽物品牟利罪、诽谤罪、诈骗罪等罪名。又如,在生物技术利用或医疗场景中,如果将采集的血液、基因样本中反映出的遗传病、传染病等信息未经同意公开传播,有可能造成对他人名誉权的侵犯,构成侮辱罪。
对于罪数的问题,和前述身份窃取类犯罪一样,均涉及数罪并罚还是从一重罪处断的争论。比如在传播淫秽物品牟利的案件中,有司法实务者认为,由于生物识别信息的入罪标准尚未被明确规定,对偷拍他人性行为后制作、贩卖、传播牟利的,认定为制作、贩卖、传播淫秽物品牟利罪一罪更合适。但也有判例中认为仅评价贩卖淫秽物品的牟利行为不足,应当同时也构成侵犯公民个人信息和诽谤相关罪名。和前述身份窃取类犯罪不同的是,从行为最终的危害结果来看,身份窃取类犯罪最终体现出对财产法益的侵犯,而个人的生物识别信息只是过程中的媒介。所以,对于这一类犯罪,不能重复评价,应当从一重罪处断。但是,涉及侵犯人身权利的情况则有所不同,其最终不仅体现出对社会管理秩序的侵犯,同时也包含了对个人人格权益、信息权益的侵犯,此时,个人信息不再隐藏于过程之中,而是在结果中显现,如果只评价传播淫秽视频行为对社会管理秩序的侵犯会造成未能完整评价行为对法益的侵犯,所以应当对多个行为侵犯的多个法益数罪并罚,完整评价法益侵犯的结果。
此外,在国家机关对生物识别信息的收集和处理过程中,也有可能构成犯罪。《个人信息保护法》第二章专设第三节“国家机关处理个人信息的特别规定”以规范国家机关处理个人信息的相关行为。由此可见,即使国家机关出于公共治理需求收集和处理生物识别信息,如果没有遵守相关法律法规的要求,或者履行个人信息保护职责部门的工作人员玩忽职守、滥用职权、徇私舞弊的,也有可能构成渎职类犯罪。比如根据《公共安全视频图像信息系统管理条例》第32条规定,公安机关及其工作人员或其他国家机关及其工作人员在履行相关职责过程中,有滥用职权、玩忽职守、徇私舞弊行为的,可能追究刑事责任。
四、结语
生物识别信息的采集、处理和使用过程存在双重风险,不仅可能侵犯公民个人的基本权利,更严重的还会危害国家安全,所以应当重视对相关行为的风险应对,针对生物识别信息制定专门的风险预防方案和治理措施,实现差异化保护。一方面,应明确不同风险等级生物识别信息的保护强度,选择适配民法、行政法或刑法的规制路径。另一方面,应针对不同主体的风险损害类型选择权利保护还是风险控制的模式。在保护之余,还需警惕过度保护的负面影响,过分地强调个人信息保护会阻碍科技进步和网络发展,需要避免以个人信息保护为名的权利滥用。原有的权利保护路径通过法规和政策限制对生物识别信息的使用,但过度限制可能会妨碍相关科学研究、企业运行和社会治理的实践。过分严苛地、不加区分地适用同意规则将大大增加数据收集处理的成本,阻碍个人数据的流通及数据利用。就欧盟的个人数据保护经验来看,之前严格的个人数据保护框架“在一定程度上限制了欧盟数字经济的发展”。所以,需要将监管的范围从生物识别信息的保护扩展到对潜在危害的预防,同时以风险预防原则的必要性和合比例性为基础,寻求科技发展、信息保护和公共利益的动态平衡。囿于篇幅所限,对于特定应用场景下生物识别信息的风险表现与规制策略以及不同部门法之间的衔接机制的讨论未能展开,在未来的研究中,将细化生物识别信息风险等级的分级标准,明确不同场景的保护边界,探索技术治理与法律制度的协同机制,助力构建生物识别信息的法律保护体系。
作者:贾元,中国社会科学院法学研究所副编审。
来源:《中外法学》2026年第1期。
