任和和|论我国人脸识别信息侵害行为的刑法规制
原标题:任和和|论我国人脸识别信息侵害行为的刑法规制来源:上观新闻
任和和
北京师范大学刑事法律科学研究院硕士生
要目
二、刑法规制人脸识别信息侵害行为的制度困境
三、刑法规制人脸识别信息侵害行为的制度完善
人脸识别信息具有无法更改、反映人格尊严、关涉复合法益的特性,民法与行政法的保护力度不足,导致当前人脸识别信息泄露严重,亟须设置刑事责任底线。然而,通过对侵犯公民个人信息罪立法沿革的梳理,对侵害公民个人信息案件的类型化以及对现有量刑情节的分析,可发现刑法规制人脸识别信息侵害行为面临着入罪标准模糊、规制范围狭窄、量刑情节单一的现实困境。有鉴于此,可通过解释现有法律明确入罪标准、参考货币类犯罪增加规制的行为种类、将企业合规状况纳入量刑情节的途径实现刑法对人脸识别信息侵害行为的有效规制。
近年来,人脸识别技术得到广泛应用,给民众的日常生活提供了极大的便利,特别是在新冠肺炎疫情防控常态化的背景下,人脸识别为实现公共场所的无接触管理提供了技术支持。但是,人脸识别技术同时也带来了巨大的信息安全风险,人脸识别信息的泄露及滥用将严重损害公民的信息权益。2021年4月9日,杭州市中级人民法院(以下简称“杭州中院”)对我国“人脸识别第一案”即郭兵诉杭州野生动物世界案二审宣判,杭州中院认为,“生物识别信息是敏感的个人信息,深度体现自然人的生理和行为特征,具备较强的人格属性,一旦被泄露或非法使用,可能导致个人的人身、财产安全受到危害,因此应谨慎处理并严格保护。”显而易见,人脸识别信息作为直接体现面部特征、人格属性极强的生物识别信息,理应受到严格的保护。然而,我国目前主要对人脸识别信息进行民法和行政法层面的保护,保护效果并不尽如人意,人脸识别信息的保护力度亟待提升。因此,构建人脸识别信息侵害行为的刑事规制体系显得尤为必要。实施人脸识别信息侵害行为的主体十分多元,包含技术人员、科技公司、网络平台、政府机构等,本文的规制策略主要围绕除个人及政府机构以外的企业展开,为表述方便,下文将其统称为“网络运营方”。
一、刑法规制人脸识别信息侵害行为的必要性分析
人脸识别信息具有特殊性,信息泄露会对公民的各项权益造成难以挽回的损害。我国目前主要通过民事和行政途径对其进行保护,现有保护的难度大、力度小,人脸识别信息已经被大规模泄露,为了避免损害进一步扩大,亟须对人脸识别信息侵害行为进行刑法规制。
人脸识别信息的特殊性
人脸识别信息作为一种生物识别信息,与其他个人信息相比具有特殊性。王德政从生物识别信息的自身特点及社会功能两方面对其特性进行概括,认为生物识别信息具有本体特殊性及社会特殊性,本体特殊性包括人身反映性、高度人格尊严性、不可替换性等,社会特殊性包括广泛运用性、人身和财产犯罪关联性、停用前损失的持续性、法益特殊性等。其中最为显著的社会特殊性是其人身及财产犯罪关联性和法益特殊性,其余的特征其他个人信息往往也具有。邢会强进一步将人脸识别信息的特点概括为独特性、方便性、不可更改性、变化性、易采集性、不可匿名性及多维性。结合人脸识别信息的自身特点及学者们的概括,刑法需对人脸识别信息进行严格规制的主要原因是其具有无法更改、反映人格尊严、关涉复合法权益的特性。
无法更改是指人脸识别信息不同于密码等其他个人信息,一般无法进行更改。每个人的人脸信息都是特有的,即使双胞胎也具有不同的人脸信息。因此,人脸识别信息一旦被泄露,将无法通过类似于更改密码的方式及时止损,只能通过停用人脸权限防止损害进一步扩大。停用成功前的时间差可能导致人脸信息被他人继续非法利用,使信息所有人受到持续的损失。
反映人格尊严是指人脸识别信息具备对身体的直接指向性和紧密依从性,体现人格尊严。我国宪法第38条规定,“中华人民共和国公民的人格尊严不受侵犯,禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”人格尊严在法律上体现为姓名、名誉、肖像、隐私等用以支撑一个人人格形象的利益不受侵犯的权利。人脸识别信息是人的肖像的直接体现,是人格尊严的重要载体。对人脸识别信息的滥用还可能导致人脸被任意商业化,从而对人脸所承载的人格尊严造成损害,如利用“深度伪造”(Deepfake)等算法制作目标妇女淫秽视频的行为。
关涉复合法益是指人脸识别信息同时代表着人身和财产法益。当人脸识别信息泄露时,他人可利用此类信息从事人身和财产犯罪,导致信息所有人的财产权乃至人身权被侵害。司法实践中由此滋生的犯罪主要有盗窃罪、绑架罪、非法侵入公民住宅罪、强制猥亵罪、入户型抢劫罪等,具有较大的社会危害性。例如,通过伪造特定人的3D头像从而突破小区或商店的门禁系统,为犯罪分子实施入户盗窃、抢劫甚至绑架等犯罪行为做准备。
民事和行政措施无法提供有效保护
我国目前对人脸识别信息未采用区别于其他个人信息的特别保护制度,仅进行一般保护。因此,对人脸识别信息的救济需遵循一般的民事及行政诉讼规则,这对于人脸识别信息的保护较为不利。
在民事救济过程中,保障人脸识别信息主要可通过侵权或合同之诉实现,其困境主要体现在两个方面:一是举证难度大,二是保护力度小。大数据时代具有信息高度不对称的特点,网络运营方对个人信息进行处理的行为具有隐蔽性,信息所有者获取网络运营方侵权或违约的证据难度较大,调查成本高昂,超出一般民事主体的负担能力。民法典第一千一百六十五条规定了侵权诉讼中的过错责任原则,虽然民法典有关于网络服务提供者的特殊规定,但其主要针对的是网络服务提供者对网络用户实施侵权行为的责任承担,并不属于对网络运营方归责原则的特别规定。因此,由于人脸识别不属于举证责任倒置及过错推定的特殊情形,人脸识别信息所有者需证明网络运营方的行为、过错、损害结果及因果关系才能证明网络运营方构成侵权,而各要件的证明难度都非常大。在合同诉讼中,信息所有者与网络运营方之间可能订立买卖合同、技术合同、委托合同等合同形式,同样由于网络运营方行为、损害结果等的隐蔽性,证明网络运营方违约的难度也较大。另一方面,民法典第一千一百六十七条规定了停止侵害、排除妨碍、消除危险等侵权责任,惩罚力度较小。与此形成鲜明对比的是,网络运营方通过实施人脸识别信息侵害行为可获得巨额利润,在低成本高收益的情况下,民事途径对网络运营方的规制作用将十分有限。
在行政救济过程中,政府面临着主体分工不明、政策引导无力、救济力度不足的困境。个人信息保护法中各信息保护主体没有进行明确的分工,仅表述为“有关部门”或“履行个人信息保护职责的部门”等。例如,第58条规定,“国家网信部门和国务院有关部门按照职责权限组织制定个人信息保护相关规则、标准,推进个人信息保护社会化服务体系建设。”作为个人信息保护的专门法,其并未明确各主体的基本分工,使后续的分工配合面临挑战。另外,有学者提出可以通过优化政策制度,引导技术应用的向善。但这也意味着科技公司需要在社会责任和商业成功之间做出选择,仅靠正向引导显然难以达到规制效果。同时,行政处罚也面临着处罚力度较小的问题,网络安全法中设置的行政处罚措施主要有责令改正、警告、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等,个人信息保护法第七章也规定了个人信息处理者的法律责任,除了网络安全法中的措施还规定了记入信用档案并公示等处罚途径。但与人脸识别信息泄露带来的损害相比,行政处罚的力度依然较小,仅有行政救济起不到对网络运营方设置法律底线的作用,无法从根本上遏制人脸识别信息侵害行为激增的势头。
当前人脸识别信息泄露严重
由于人脸识别信息具有无法更改、反映人格尊严、代表复合法益的独特属性,人脸识别信息的误差、泄露、滥用等都会对公民权益造成严重损害。但人脸识别信息天然就面临着误差风险和泄露风险。生物特征比较系统的匹配往往不是“是与否”,而是概率问题,因此误差存在于人脸识别技术的基因里。同时,心理学研究也表明,我们对人脸的识别存在“其他种族效应”,大脑对同种族的面孔进行编码,但不会以这种详细程度对其他种族的面孔进行编码,因此,其他种族的面孔更难以被识别。这会导致人脸识别技术在对其他种族人群识别时具有更大的误差,可能对具有不同样貌特征的人群构成“歧视”。泄露风险的危害往往更严重,人脸识别信息将被随意获取、转卖、处理、公开……而泄露往往具有隐蔽性,信息所有者难以得知其信息被泄露的情况,造成持续且不可逆的损害。
遗憾的是,我国过去对人脸识别技术的监管力度不足,未能提前对人脸识别技术带来的风险进行有效防控,当前人脸识别信息已经大规模泄露。2021年5月1日,中央网信办发布《关于输入法等33款APP违法违规收集使用个人信息情况的通报》,通报了输入法类、地图导航类、即时通信类共33款APP违法违规收集使用个人信息的情况,其中包含了搜狗输入法、讯飞输入法、百度输入法、高德地图、百度地图等下载安装数量极高、与民众日常生活密切相关的APP,通报的主要问题为“违反必要原则,收集与其提供的服务无关的个人信息”“未经用户同意收集使用个人信息”“诱导用户授权其读取手机通讯录并向通讯录联系人发送营销短信”等。可见,网络平台已经形成了非法获取用户个人信息的成熟模式,熟练地获取并使用用户的个人信息。另据媒体报道,我国形成了平台人脸验证的黑色产业链,购买一套包含身份证正反面照片、手持身份证照片点头、摇头、张嘴的视频仅需10元,这样的一套信息可以完成大多数APP平台的验证流程。这类地下交易大多通过QQ群及境外网站完成,可轻松购买数以万计的人脸信息,卖家可通过借贷软件、“走路赚钱”、网络兼职等形式获取用户信息,成本仅需一部手机及一套软件,并且可无限重复使用,部分卖家还表示相关企业的内部员工是其获取人脸识别信息的主要渠道。非法获取人脸识别信息的成本较低,我国人脸识别信息已发生较大规模的泄露,保护人脸识别信息的形势十分严峻。
在人脸识别信息大规模泄露而民事及行政救济途径尚不成熟的背景下,是先对民事及行政措施进行最大限度的修补并在发展稳定后再让刑法介入,保持刑法的谦抑性,还是直接对人脸识别信息侵害行为进行刑法规制?微软的首席法律官布拉德·史密斯(BradSmith)认为:“人脸识别这一精灵刚刚从瓶子里出来。我们应对此及时采取行动,否则我们有可能在五年后才醒来,那时,我们将发现人脸识别已经以加剧社会问题的方式传播开来。到那时,挑战将更加艰巨。防止商业逐底竞争的唯一途径就是建立一个支持市场健康竞争的责任底线。”人脸识别信息的特殊属性,决定了对其规制的最佳时期即为发展初期,人脸信息不可更改,因此其泄露的损害是不可逆的,当人脸识别技术不受限制地发展,人脸识别信息将持续泄露,损害持续扩大,对其进行规制的挑战将更加艰巨。因此,刑法对人脸识别信息进行规制刻不容缓,需尽快为网络运营方设置刑事责任底线。
二、刑法规制人脸识别信息侵害行为的制度困境
对人脸识别信息侵害行为进行刑法规制具有相当的必要性,然而,当前我国刑法体系还未做好充分的制度准备,面临入罪标准模糊、规制范围狭窄、量刑情节单一的制度困境。
刑法对人脸识别信息的入罪标准模糊
我国刑法体系中没有专门针对人脸识别信息及生物识别信息的规定,人脸识别信息的刑事立法情况需要通过其上位概念“公民个人信息”进行考察。公民个人信息早期一直处于不受刑法保护的状态,“79年刑法”和“97年刑法”都没有关于公民个人信息的规定。2009年的《刑法修正案(七)》结束了公民个人信息在刑法中的空白状态,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪两个罪名,将非法获取、出售和非法提供公民个人信息的行为确定为犯罪。《刑法修正案(七)》的立法说明仅将公民个人信息的外延解释为公民的姓名、住址等司法实践中经常被侵犯的信息,保护范围较小,不包括生物识别信息。从犯罪主体来看,只有国家机关或者金融、电信、交通、教育、医疗等单位的工作人员出售、非法提供公民个人信息时才构成犯罪,一般主体出售、非法提供公民个人信息的行为不在刑法的规制范围内。2009到2015年,我国公民个人信息被侵犯的现象多发,侵犯主体、侵犯行为和侵犯客体等方面都发生了显著变化。基于此,我国于2015年出台了《刑法修正案(九)》,在形式和实质上修改了刑法第253条的内容。《刑法修正案(九)》一方面将《刑法修正案(七)》的两个罪名整合成了侵犯公民个人信息罪一个罪名,将出售、提供和获取的行为统称为对个人信息的侵犯,避免了法条表述的累赘。另一方面,将特殊主体修改为一般主体,只要年满16周岁的人非法出售、提供、窃取或以其他方法非法获取公民个人信息,并符合其他构成要件的,都将被认定为侵犯公民个人信息罪,还将特殊身份行为人在履行职责或者提供服务过程中进行的上述不法行为作为加重情节。然而,《刑法修正案(九)》仍然未对公民个人信息的范围进行修改,未将生物识别信息纳入。
由于两次修正案的入罪标准较为模糊,司法实践中缺乏统一的裁量标准。2017年,最高人民法院及最高人民检察院联合制定了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),对该罪的构成要件(如对“情节严重”和“情节特别严重”的规定)和量刑标准(如罚金数额的确定)等方面进行了具体的解释,使得司法裁量标准逐渐明确。但《解释》并没有为人脸识别信息等生物识别信息设置“情节严重”及“情节特别严重”的标准,导致刑法规制人脸识别信息的入罪标准模糊。根据我国刑法难以判断侵犯人脸识别信息的入罪标准,这不利于刑法对人脸识别信息所代表的法益进行有效保护,也难以实现侵害公民个人信息罪刑罚的特殊预防及一般预防的目的。
刑法对个人信息犯罪的规制范围狭窄
在中国裁判文书网以“人脸识别”和“刑事案件”进行检索,可以检索出1177份判决和裁定。在2017年以前,每年涉及人脸识别的刑事案件均不足5件,2017年出现了33件涉及人脸识别的刑事案件,此后随着人脸识别技术的发展,涉入脸识别刑事案件呈现逐年增长的趋势。2018、2019、2020、2021(至今)涉及人脸识别的案件数量分别为152件、353件、519件和107件。这些判决及裁定涉及多种犯罪,其中诈骗罪、寻衅滋事罪、盗窃罪、抢劫罪、走私类犯罪的数量较多。
在1177份判决裁定中,有49份以“侵犯公民个人信息罪”定罪,这部分案件可根据对人脸识别信息的侵害方式分为三类。第一类中对人脸识别信息实施了非法获取、出售、提供的行为,人脸识别信息等个人信息被侵犯,法院定性为侵犯公民个人信息罪。第二类中对人脸识别信息进行了非法获取、出售、提供以外的行为,仅构成其他犯罪,该类案件出现在检索结果中是因为存在共犯被认定为侵犯公民个人信息罪。譬如,在“张富、余杭飞、史良浩等侵犯公民个人信息罪”一案中,被告人通过使用软件将相关公民头像照片制作成公民3D头像,从而通过支付宝人脸识别认证,注册支付宝账户并获取支付宝提供的邀请注册新支付宝用户的相应红包奖励,该案构成了诈骗罪,未对制作公民3D头像的行为进行刑法层面的评价。第三类不涉及对人脸识别信息的直接侵害,只是犯罪分子在实施犯罪行为过程中的辅助,例如,陈韵、陈辞侵犯公民个人信息案中,犯罪嫌疑人的目的是获取正确的微信账号及密码,将账号密码输入模拟器,如果模拟器上出现人脸识别对话框,则说明该组邮箱账号密码正确,并不涉及对人脸识别信息的侵害。
从司法实践来看,第二类案件中对人脸识别信息侵害的行为虽然是刑法第253条之一规定的三种行为之外的行为,但也扮演了重要的角色,对人脸识别信息安全造成了紧迫的威胁。目前,我国刑法只对非法获取、出售和提供三种侵犯公民个人信息的行为进行规制,随着人脸识别信息在社会生活中扮演的角色越来越重要,其与人身和财产法益的捆绑也将越来越紧密,只规制此三类行为,将造成刑法规制的滞后。在人脸识别技术急速发展的背景下,由人脸识别技术发展引发的风险与日俱增,刑法需提前介入。因为,当三种行为完成时,造成的损害往往已经难以控制,损失将难以挽回,无法实现对人脸识别信息的有效保护。
刑法对个人信息犯罪的量刑情节单一
人脸识别技术的发展同时带来了巨大的收益和风险,对人脸识别技术的推广是顺应科技的先进发展方向,对人脸识别技术的合理限制则体现了对公民个人信息的保护。平衡人脸识别的收益和风险,本质上是对科技发展和信息保护两种价值的权衡。在制度设计的过程中,可通过富有弹性的量刑情节对两种价值进行平衡,既保障公民的信息安全,又避免对技术发展的过度限制,推动人脸识别技术良性发展。
在当前的侵犯公民个人信息犯罪中,特殊身份是唯一的量刑情节。刑法第253条第2款明确规定:“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。”我国未明确列举可能从重处罚的职业,德国、奥地利等欧洲国家也将特殊身份作为加重情节,这些国家对特殊身份进行了列举,主要包括医生、专利代理人、公证人、公务员、心理学家、律师、财务顾问、税务顾问、婚姻顾问等。这一设置是由于,特殊主体从事违法行为时,不仅侵犯了个人信息代表的法益,还构成对职务的亵渎,同时由于特殊主体掌握职权,其侵犯个人信息的数据体量往往更大,具有更强的法益侵害性和社会危害性。
然而,对人脸识别信息带来破坏的网络运营方并不都具有特殊身份,在对网络运营方的规制过程中,特殊身份这一量刑情节常常难以发挥作用。而在设置量刑情节的过程中,不仅可通过加重情节进行警示,还可通过减轻情节鼓励网络运营方积极履行安全管理义务,在减轻政府的监管负担、降低监管成本的同时,还可提升对人脸识别信息的规制效果。可见,我国目前对个人信息犯罪的量刑情节设置较为单一,仅有特殊身份这一加重情节难以达到平衡两种价值的效果,可进一步丰富量刑情节。
三、刑法规制人脸识别信息侵害行为的制度完善
将人脸识别信息纳入刑法规制范围面临诸多困境,针对刑法规制人脸识别信息面临的制度困境,我国可通过解释现有法律、扩大规制范围、构建数据合规进行应对,为网络运营方设置刑事责任红线,推动人脸识别技术良性发展,实现对人脸识别信息的有效保护。
解释现有法律以明确入罪标准
目前我国刑法体系缺乏对人脸识别信息侵害行为入罪标准的直接规定,可通过解释现有法律对入罪标准进行明确。根据《解释》第1条对“公民个人信息”的定义,人脸识别信息符合“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”条件,虽然不在第1条的解释范围内,但可包含在列举信息的“等”内。这是通过解释现行法律实现刑法规制要求的前提。《解释》第5条列出了“情节严重”的十种情形,最核心的是第三、四、五项,这三项对非法获取、出售或提供信息的种类和数量进行了规定。主要分为三个层次,第一层是50条以上即构成“情节严重”,包括行踪轨迹信息、通信内容、征信信息和财产信息;第二层是500条以上构成,包括住宿信息、通信记录、健康生理信息、交易信息等;第三个层次是其他信息达5000条以上的。
因为,这三项中未明确指出人脸识别信息等生物识别信息,所以先考虑将生物识别信息作为第三个层次的“其他信息”。根据刑法第254条之一的规定,“情节严重”是入罪条件,如果将人脸识别信息放入第三层次将使得人脸识别信息的入罪门槛过高,起不到足够的警示作用,甚至还可能成为侵犯人脸识别信息的保护伞,破坏刑法的威慑力。另外,由于第一个层次对信息种类进行了明确罗列,没有设置“等”作为兜底,且人脸识别信息与所列信息都无法解释出包含的关系,因此,无法将人脸识别信息纳入第一层次进行规制。有学者提出利用第10项“其他情节严重的情形”将人脸识别信息的入罪条件设置为“非法获取、出售或者提供生物识别信息5条及以上”,这一解释是对兜底条款的误用,一定程度上突破了国民的预测可能性,有违罪刑法定原则中明确性的要求。
因此,可以考虑纳入第二个层次中,法条表述中包含了“等”,为纳入其他新的信息种类预留了空间。并且,第二项表述为“其他可能影响人身、财产安全的公民个人信息”,如前所述,人脸识别信息与人身和财产法益密切相关,对人脸识别信息的侵犯将影响公民的人身、财产安全。有学者提出,人脸识别信息的重要性显然高于第二层次的其他信息(住宿信息、通信记录等)和第一层次的信息(轨迹信息、通信内容、征信内容和财产信息),将人脸识别信息纳入第二层次将导致轻重失衡的效果。但应当认识到,人脸识别信息在我国的规制还十分不成熟,解释法律是作为过渡措施,不能突破立法原意。在选定了“情节严重”的标准后,“情节特别严重”的情形就可根据《解释》第2款第3项:“数量或者数额达到前款第三项至第八项规定标准十倍以上来进行规制。”综上,非法获取、出售或者提供人脸识别信息五百条以上的,应当认定为刑法第253条之一规定的“情节严重”,而非法获取、出售或者提供人脸识别信息五千条以上的,应当认定为刑法第253条第1款规定的“情节特别严重”。
扩大规制范围以提升规制效果
目前刑法只规制非法获取、出售、提供的行为,规制范围较小,可以通过增加刑法规制的行为种类实现对人脸识别信息的全方位保护。根据个人信息保护第4条的规定:“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。”同时,随着人脸识别技术的不断推广,人脸支付成了较为普遍的支付方式,现金结算的方式逐渐被替代,人脸识别信息逐渐拥有了与“货币”相似的功能。因此,可结合个人信息保护法及刑法体系中的货币类犯罪增加刑法对人脸识别信息进行规制的行为种类。
目前社会生活中,利用公民照片制作3D人脸动态图的行为十分常见,司法实践中将制作3D动态图进行支付宝账户注册并骗取邀请红包的行为认定为诈骗罪,制作3D动态图破解支付宝账号的限制登录、解除资金冻结、转移支付宝账户财产的行为认定为非法获取计算机信息系统数据罪。对这类行为无法进行单独的规制,只有构成其他犯罪时刑法才可介入。这种利用照片制作3D人脸动态图的方式类似于货币类犯罪中的“变造”行为,这种变造行为意味着行为人可以通过人脸识别系统进行支付、突破出入门禁等,变造行为本身对公民的人身和财产产生了威胁,可将此种行为规定为变造人脸识别信息的犯罪。
除此之外,货币类犯罪中还规定了伪造、持有、使用的行为,对应到针对人脸识别信息的侵害时,可分别构成伪造人脸识别信息、非法储存人脸识别信息、非法使用人脸识别信息的行为。其中,伪造人脸识别信息是指对公民的人脸识别信息进行伪造的行为;非法储存人脸识别信息是对非法获取、伪造、变造等途径取得的人脸识别信息的非法持有;非法使用人脸识别信息则是指突破公民同意和知情范围的使用,当这一使用行为构成其他犯罪时,遵循想象竞合择一重的原则进行处理。
需要特别注意的是,增加规制的行为种类后应当规定“情节严重”及“情节特别严重”的情形。量刑标准应当结合行为的法益侵害性和人身危险性进行规定,不宜设置过低的入刑条件,否则将对人脸识别技术形成不当阻碍,不利于人脸识别技术的健康发展。
构建数据合规以丰富量刑情节
反腐败合规、数据保护合规、出口管制合规和反洗钱合规是全球四大专项合规计划,目前合规问题在刑法、行政法、公司法等领域引起高度关注,然而,对合规的已有研究主要集中在反腐败合规层面。实际上,数据保护合规在人工智能高速发展的背景下也具有突出的社会价值,数据保护合规是推动数据控制主体承担数据保护责任的途径。
人脸识别技术还处于发展阶段,存在技术未知领域,此时通过量刑情节为人脸识别信息的刑法规制提供一定的弹性,有利于实现刑法保护法益和技术发展的平衡。在人脸识别信息侵害行为的刑法规制过程中,数据保护合规作为量刑情节主要可以通过两方面实现:一方面,数据保护合规可以作为企业认罪认罚的表现。如果企业能够设立数据保护合规体系,检察机关可以视为企业进行了认罪认罚,出具大幅度降低的量刑建议。另一方面,数据保护合规可以作为减轻处罚情节。如果企业能够及时纠正人脸识别信息收集、使用过程中的错误做法,在司法机关调查过程中积极配合,提供企业内部调查报告等对查清事实有实质帮助的证据,处理责任人,缴纳罚款和偷漏税款,赔偿被害人,因其“人身危险性”较小,可以作为从轻处罚的依据。
合规的本质是风险防控,它是从重惩罚重报应的刑罚功能向重预防功能进行转变的表现,将数据保护合规作为量刑情节可以激励企业在事前积极防控法律风险,及时纠正存在法律漏洞的信息控制行为,预防对人脸识别信息的侵害。在事中积极配合司法机关的调查过程,提交材料,处理责任人,赔偿受害人。在事后完善数据保护合规制度,不断加强数据合规力度,避免同类侵害行为的发生。因此,将数据合规作为刑法规制人脸识别信息侵害行为的量刑条件,可以在事前、事中、事后三个层面强化对人脸识别信息的规制,提升人脸识别信息的刑事规制效果。
