12月11日,国家互联网信息办公室、工业和信息化部、公安部联合发布《互联网信息服务深度合成管理规定》,自2023年1月10日起施行。
所谓深度合成技术,是指利用深度学习、虚拟现实等生成合成类算法制作文本、图像、音频、视频、虚拟场景等网络信息的技术,主要技术类型有人脸合成、语音合成、图像生成,虚拟人物合成等,当下热门的AI换脸,AI作画,AI创作,都是基于深度合成技术发展而来。
《互联网信息服务深度合成管理规定》里对人脸等生物特征信息的使用明确了《个人信息保护法》里的单独同意原则,即“深度合成服务提供者和技术支持者提供人脸、人声等生物识别信息编辑功能的,应当提示深度合成服务使用者依法告知被编辑的个人,并取得其单独同意”。
此外,对深度合成服务提供者和技术支持者也明确了数据和技术管理的规范,具体规定在第7条,“深度合成服务提供者应当落实信息安全主体责任,建立健全用户注册、算法机制机理审核、科技伦理审查、信息发布审核、数据安全、个人信息保护、反电信网络诈骗、应急处置等管理制度,具有安全可控的技术保障措施”;第14条,“深度合成服务提供者和技术支持者应当加强训练数据管理,采取必要措施保障训练数据安全;训练数据包含个人信息的,应当遵守个人信息保护的有关规定”。
对于深度合成服务提供者和技术支持者违反规定的法律责任,第22条规定,“依照有关法律、行政法规的规定处罚”,此外,“构成犯罪的,依法追究刑事责任”。关于个人信息安全,这里所指的“有关法律”则是对应《网络安全法》、《数据安全法》、《个人信息保护法》,《区域链信息服务管理规定》等等,其中对相关组织和个人明确了获取和使用个人信息过程中具体的权利义务,以及对损害个人信息安全的行为明确了具体的民事责任,在元宇宙的概念下,可以通过化用解释这些法律的适用方法,来解决元宇宙里的个人信息安全问题。
对于构成犯罪的行为的刑事责任,我国刑法条文里也有相关规定。在个人信息保护领域,相比于美国注重民事救济,欧洲倾向行政监管,我国的刑事追责是一大特色法律手段。个人信息作为一种新型的资源,同时具有人身性和财产性,关乎到公民的人格权、隐私权、财产权等。随着人工智能、区块链技术、深度合成技术的发展,个人信息不仅仅涉及到单个人的信息权益,也涉及到商业秘密,国家安全等,侵犯个人信息的犯罪往往作为上游犯罪,为诈骗、敲诈勒索等下游犯罪也提供了帮助。
《刑法修正案(九)》和《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》里,对个人信息侵害行为明确了独立完整的刑事规范体系,对个人信息的侵犯主要涉嫌以下几种犯罪:
① 侵害公民个人信息罪
【刑法条文】第二百五十三条之一:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
② 拒不履行信息网络安全管理义务罪
【刑法条文】第二百八十六条之一:网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
③ 非法利用信息网络罪
《解释》第8条规定:“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定, 以非法利用信息网络罪定罪处罚”。
④ 帮助信息网络犯罪活动罪
【刑法条文】第二百八十七条之二:明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
在元宇宙世界的发展进程里,现存的刑事法律规定难以满足个人信息保护的需求,主要有以下几个方面:
1.个人信息的范围需要进一步明确界定标准
侵犯公民个人信息罪中对于个人信息的定义,根据17年的《解释》,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
现有的《个人信息保护法》第4条也规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”即有两个要件要求,“自然人”和“已识别或可识别”。
从元宇宙目前的发展阶段来看,虚拟人虽与现实人属于两个不同的领域,但在法律主体资格上两者并不存在差异,基于对个人信息数据的保护,可以通过法律解释的方法将虚拟人放入“自然人”的范畴里适用既有法律保护的规定。但在“可识别信息”的范围内,由于元宇宙里信息流通迅速,且借助深度合成技术可以生成与用户个人习惯相关的信息画像,其所需要保护的个人信息不再局限于传统形式里的“通讯方式、账号密码、住址、行踪”等等,而是一种超真实的沉浸式的根据用户兴趣、偏好、行为的记录分析生成的用户个人画像信息。
此外,在生成用户画像的过程中,例如AI换脸,AI画像中利用人脸识别技术则存在着刑事风险,可通过人脸信息和人脸识别破解技术盗取利用用户的个人信息进行财产犯罪等。人脸信息因具备本体特殊性和社会特殊性,属于敏感信息,应当在刑法里进行对人脸等生物识别信息的特殊保护,而非将其划入侵犯个人信息罪中个人信息的范畴,否则保护程度与惩罚力度不一致,同时需要在刑法司法解释里对人脸信息处理行为制定标准,超过规定标准即入罪。
2.刑事责任的主体需要分类区别对待
根据刑法第286条,拒不履行信息网络安全管理义务罪的犯罪主体为网络服务提供者,但并没有明确这一主体的概念和范围,也未进行分类设置不同的刑事责任。
在《互联网信息服务深度合成管理规定》里,明确了三种主体,即深度合成服务提供者,深度合成服务技术支持者,深度服务使用者。“深度合成服务提供者,是指提供深度合成服务的组织、个人。深度合成服务技术支持者,是指为深度合成服务提供技术支持的组织、个人。深度合成服务使用者,是指使用深度合成服务制作、复制、发布、传播信息的组织、个人。”
在元宇宙进程里利用个人信息犯罪的过程里,网络服务提供者可能会涉及到上述三类主体,在具体认定犯罪时,应当区别不同主体的活动范围和业务类型以及其同具体犯罪行为,分析各个的关联度和同犯罪结果的因果性,划分认定不同主体的刑事责任。
3.过失犯罪未规定
在上述几种涉及个人信息保护的罪名里,在犯罪的主观层面都是故意犯罪。但在当今的大数据时代下,信息数据庞杂繁复,在司法实践中存在着大量因机构过失导致个人信息泄露的情形,造成用户的利益损害,不仅给公民造成了精神与物质层面的损害,而且给社会带来恐慌,甚至使社会出现信任危机,【1】危害程度相当于刑法中故意出售、窃取信息的行为,因而对此类过失犯罪也应当有相关规定。
4.个人信息危险犯未有相关规范
关于个人信息的犯罪在目前的刑法条文里,均为结果犯,实害犯。侵犯公民个人信息罪规定在《刑法》第二编里的侵犯公民人身权利、民主权利罪中,采取隐私权模式保护个人信息安全,【2】需要达到“情节严重”的后果,才能追究犯罪。但随着《个人信息保护法》的出台,个人信息权的确立意味着个人信息在现实世界和网络世界里运用广泛,有关个人信息犯罪的犯罪人通常先进行信息的窃取收集,到一定程度后实施犯罪行为,为了有效的打击犯罪需要将该类犯罪的打击前移,从而从源头避免危害结果的发生,惩处单纯的危害行为,通过刑罚前置化更全面地保护个人信息法益。
在元宇宙的发展进程中,如若都对侵犯个人信息到出现严重后果的时候才开始打击,忽视了对信息数据的源头保护,则可能不能有效的打击犯罪。同时深度合成过程中,其所造成的用户画像等信息的泄露的影响与危害是难以计量的,这意味着单单从实害犯的角度可能难以解决,有关部门可以参考通过对危险行为的评估及数据非法利用获取的数量来评估是否入罪。
5.犯罪行为类型不全面
刑法里侵害公民个人信息的犯罪行为仅规定了非法出售、提供、窃取或以其他非法方法获取个人信息的行为应被刑罚规制。但在元宇宙世界里,数字化和信息化的深入发展,侵害公民个人信息的方式和技术手段类型众多且区别于传统的方式,目前刑法里所规定的几种犯罪行为不足以完全覆盖全部的侵害公民个人信息的行为,并且对非法使用行为并没有作出明确的规定,在新的技术运用过程中应当对可能利用新的技术实施的犯罪行为类型予以预防。
元宇宙世界里,存在两种个人信息风险的探讨,一是社交元宇宙的用户隐私风险,二是元宇宙技术设备(AR/MR)在采集数据过程中的风险,针对不同的风险问题,需要在大数据场景下,明确个人信息保护的价值取向和立法策略,优化个人信息犯罪规制的适用规范和制裁措施,构建新型的以个人信息权为基础的信息保护刑事立法体系。
