【专栏】 AI时代：如何打造个人信息的“刑法屏障”？

作者 | 肖飒团队 来源 | 零壹财经专栏

随着科技的进步，人工智能的发展也越来越迅速，人工智能的广泛应用使得个人信息保护的需求也日渐增长，如生物识别信息因其所具备的专属性和唯一性的特征在大量身份核验的场景被采集。飒姐团队在这里提醒大家，在享受人工智能带来的便利生活的同时，也要警惕人工智能和大数据对个人信息安全所带来的隐患。

人工智能应用下个人信息被大量暴露，传统的侵犯个人信息犯罪中，如典型的“徐某某”案，是通过窃取、骗取或者其他手段获取公民的个人信息，而进行下一步的诈骗犯罪。而在人工智能的应用下，犯罪分子获取个人信息的方式变得更加的复杂多样。随着科技的发展，人们对科技产品如各种软件的依赖程度也越来越高，而很多软件可以通过一个繁杂而冗长的“许可协议”轻而易举地获取公民的个人信息，如手机号、身份证号码、位置信息、指纹、面部特征等，并且有些软件存在着用户如果不同意“许可协议”便不能使用该软件的情况，而大部分的“许可协议”往往是长篇大论，十分冗长，用户往往也不会仔细看，犯罪分子正是抓住了大众的这个心理，在这个时候获取个人信息看似经过了用户的许可，实则只是流于形式，这样就给许多犯罪分子留下了可乘之机。

另外，在人工智能应用下，犯罪分子可以利用技术手段获取个人信息，或者进一步加快信息的传播速度，造成信息在短时间内快速传播，从而对被害人造成的损害也不可估量。近年来，利用高科技犯罪的案件不断增多，如尹某某、林某某利用计算机信息系统犯罪案中，犯罪分子即通过运行黑客工具软件“chopper”（即“中国菜刀”），该软件内存有647台不同计算机信息系统链接地址，侦查人员通过远程勘验，发现被告人尹某某通过运行黑客软件“chopper”对266台计算机信息系统具有控制权限，将通过这种方式获取的个人信息进行出售，以达到获取非法利益的目的。

2017年两高出台的关于个信息的司法解释明确规定了个人信息的定义，并且列举了刑法保护的个人信息的范围，但很明显在人工智能的应用下，个人信息的范围并不应该只是这些，《中华人民共和国网络安全法》第七十六条将生物识别信息明确列举在个人信息的范围内，以及《个人信息保护法》也列举了敏感个人信息的范围。上文也提到不法分子利用生物识别信息进行犯罪的情况，所以刑法也应当借鉴其他法律的规定，将对个人信息的保护扩展至对生物识别信息、医疗健康、行踪轨迹等个人信息的保护。另外，在人工智能应用下，任何可数字化的事物，都可以成为个人信息，所以通过应用人工智能算法能识别出来的个人的信息就是个人信息，这种信息也应当包含在刑法保护的范围内。

（二）刑法规定的侵犯个人信息的行为类型单一

我们可以从我国刑法规定的侵犯个人信息罪中看出刑法将侵犯公民个人信息的行为方式仅限于获取、出售、提供个人信息这三种方式，这三种方式都属于对个人信息的转移，而在司法实践中的大多数情况下，利用个人信息去犯罪进而获取不法利益，即对于个人信息的非法使用才是犯罪分子的最终落脚点。在我国的民法及行政法中也规定了对非法使用个人信息行为的规制，如《个人信息保护法》的第四条第二款的规定将侵犯公民个人信息的行为类型进行了扩充，涵盖到了个人信息的“收集、存储、使用、加工、运输、提供、公开、删除”等行为。反观刑法并没有将非法使用个人信息的行为包含在侵犯公民个人信息的行为范围之内，而且与非法转移个人信息的行为相比，非法使用个人信息的行为可能具有更大的社会危害性。

（一）美国个人信息的刑法保护

美国也很重视个人信息的保护，隐私权在美国非常的成熟，美国保护个人信息的最基本、最重要的法律是《隐私法案》，另外，美国的《模范刑法典》中也规定了一些侵犯个人信息的罪名，如滋扰罪以及侵犯隐私罪等，但都不是重罪。其立法模式在国际上比较罕见，美国并没有采取统一的立法，而是采用的分散式的立法模式，即在金融数据、健康数据的等领域中的数据各自立法，分别保护。美国从个人信息产业入手，非常重视行业自律，并不偏重于公权力的规制，而是偏向于私权利的行业自治，而是但也逐渐出现了向统一立法变化的趋势。

综上，美国各行各业也都根据本行业的特征以及科技的发展对个人信息保护的要求各自制定了一系列只适用于自身行业的规则，从而在整体上形成了先适用行业规范，再适用刑法规制的格局。

（二）德国个人信息的刑法保护

德国刑法对公民个人信息的保护主要从两个方面进行：一方面，利用刑事违法条款去规范公民的行为，另一方面，它直接在刑法中设置了个人信息犯罪罪。个人数据信息是德国刑法保护的对象，从德国刑法所规定的六种罪名中我们可以看出德国刑法对个人信息的保护倾向于“秘密”，而且主要包含了两个方面，即言论和通信。不难看出，德国刑法对个人信息采取的是一种“限缩保护”的模式，刑法所保护的个人信息并不是全部的个人信息，而仅仅只是个人隐私的一部分。但是之后这种“限缩模式”也被德国的单行刑法所冲破，开始慢慢地转变为“扩张模式”，已适应社会的发展例如人工智能应用下个人信息的刑法保护的需求。

德国除了用刑法去保护个人信息之外，还采取了行政机关大力加强对公民个人信息的保护以及全民保护信息的方式。首先是要求各企业和公共机构都有保护个人信息的责任和义务，其次是对政府使用公民信息的监督，即要经过公民个人的同意。另外，德国还在全国引起了保护个人信息的热潮，设立保护数据的官员，相关企业也要设立维护个人数据的专员，还成立了专门保护个人信息数据的公益组织，总体上形成了保护个人信息的良好氛围。

诸多案例也表明，我们的生活离不开各个行业，在与各个行业交流的过程中，我们也会在一定程度上交给他们我们的个人信息，尤其是银行、通讯等行业，如果这些行业没有受到规制，泄露了客户的个人信息，就很可能会造成信息大面积泄露，进而为其他的犯罪提供条件。对此，我们可以借鉴美国的个人信息保护所注重的行业自律，通过行业自律来保护个人信息，提高员工的职业素养和保密意识。除此以外，德国刑法对个人数据的细致的保护，也值得我们借鉴。目前，我国刑法对个人信息的保护仅限于个人信息的收集，而德国刑法涵盖了个人信息的收集、处理、利用以及事前的准备行为和事后的交易行为，可以以此为鉴。