【观点采撷】涉人脸识别犯罪的关键问题（一）

　　摘 要：《个人信息保护法》第 28 条将人脸识别等包含个人生物识别特征在内的信息作为敏感个人信息加以特别保护极有必要，除此之外，应针对实践中涉人脸识别犯罪频发的现状，有效运用刑法手段精准打击，以全面保护人格权。获得个人知情同意的信息取得、利用行为，排除侵犯公民个人信息罪的客观构成要件，而非阻却违法性。网络放贷平台 APP 等擅自抓取贷款申请人的人脸识别数据，当然违反知情同意规则；即便征得该申请人同意，但读取其通讯录以及手机中储存的照片的，由于该申请人对于涉及他人的信息无权同意，获取行为也违背知情同意规则，有可能构成本罪。行为人未经允许，将他人的肖像加工成人脸识别数据，破解人脸识别安全验证，解除网络支付平台账户限制等，属于非法控制计算机信息系统的行为，不构成破坏计算机信息系统罪，也不宜认定为非法获取计算机信息系统数据罪。欺骗被害人“刷脸”后冒用其名义贷款的，构成盗窃罪而非诈骗罪。行为人同时实施非法控制计算机信息系统行为以及获取账户资金、个人信息等行为的，应当数罪并罚。准确认定涉人脸识别犯罪，需要坚持构成要件的观念，考虑刑法上所固有的违法性判断，并兼顾《民法典》及《个人信息保护法》的立场。

　　关键词：人脸识别；侵犯公民个人信息罪；非法控制计算机信息系统罪；盗窃罪；犯罪竞合

　　当前，随着人工智能技术的不断成熟，人脸识别所取得的数据、信息作为身份识别的一种方式，被广泛运用于交通出行（如地铁安检、动车检票等）、小区进出门禁、单位考勤、网上银行及移动支付等诸多领域。人脸识别，主要是基于人的面部特征信息来进行身份识别， 以判断图片和视频中人脸对应的个人身份，其具体应用是通过视频采集设备扫描获取识别人的脸部图像信息，并通过人脸识别算法计算获取人脸的面部特征信息，与人脸识别系统中的人脸样本数据库进行比对，最后判断出用户的真实身份。一般而言，在人脸识别应用中还会对被识别人进行活体检测，即要求被识别人进行眨眼、张嘴、点头等组合动作，以验证被识别人是真实本人在操作；人脸识别还涉及对人脸进行属性识别、聚类识别等一些技术应用场景，如人脸属性识别即是根据人脸展现出的特征检测出与人脸相关联的属性，包括年龄、性别等。

　　人脸识别技术为相关管理活动的开展以及个人生活带来了很多便利，借助于这一技术， 验证、识别特定自然人以及对个人行动的观察和分析都变得十分容易。但是，人脸识别的大量使用也对个人数据保护带来了新的挑战。人脸识别信息被大数据公司或各种金融平台 APP 过度收集、随意共享的现象广泛存在；人脸识别技术在应用中存在不少安全漏洞，具有“易破解”的很多薄弱环节，相关技术及数据被滥用的情形屡见不鲜。人脸识别的相关数据、信息一旦被不法分子获得，会给个人带来各种风险。人脸数据属于公民的生物信息，其和指纹、声纹、掌纹、基因、虹膜、耳廓等生物识别信息一样，与信息主体人格尊严之间联系更为密切，能够反映自然人独一无二、不可替代的身体特征，具有高度的人身依附性、专属性等一般信息所不具备的信息特质，对这种信息的特殊保护历来受到关注。《中华人民共和国民法典》（以下简称《民法典》）第 1034 条第 1 款规定，自然人的个人信息受法律保护；该条第 2 款个人信息的定义明确将生物识别信息列举为个人信息。《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第 28 条则明确将人脸识别、指纹等包含个人生物识别特征在内的个人信息作为敏感个人信息加以规定，认为其一旦被泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。如此一来，人脸识别信息就和宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息一样，成为法律重点保护的对象。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理人脸识别信息等敏感个人信息。

　　在实务中，一方面，由于个人可能将足以识别个人的肖像、身份证图片以及其他具有人身关联性的人像及风景照片等都储存在云盘上，个人对其敏感信息的保护难度加大；另一方面，人脸识别技术极易被滥用，由此导致非法获取、提供、破解人脸识别数据及关联的电信网络诈骗、非法发放及催收贷款等犯罪案件层出不穷，有的案件在定性上存在一定争议。因此，从刑法角度思考人脸识别技术应用风险的规制问题，具有重大现实意义。也就是说，要全面保护敏感个人信息，《民法典》和《个人信息保护法》的作用不可低估，但刑法也一定不能缺位，尤其对涉人脸识别案件的定罪争议问题进行研究，对于统一刑事裁判尺度具有实际价值。

　　需要说明的是，本文对滥用人脸识别技术行为的刑法规制，不讨论如下两类案件：一方面，仅以“人脸识别”为噱头，但纯属传统犯罪类型的案件。例如，被告人麦某虚构其投资人脸识别门锁项目的事实，多次骗取他人财物14万余元，法院以诈骗罪判处其有期徒刑3年10 个月。法院的判决是正确的，这类案件也与人脸识别无关。另一方面，实务中定罪并无争议的涉人脸识别情形。例如，《个人信息保护法》第10条规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。此外，《个人信息保护法》第 26 条规定在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的。如果被告人侵入他人的计算机信息系统窃取大量身份证照片等， 加工成人脸识别视频后非法出售的，以及为窃取个人信息而在隐秘场所安装图像采集、个人身份识别设备，并将所获取的人脸识别信息非法提供给他人的，无疑都构成侵犯公民个人信息罪。换言之，本文着力讨论的是在非法利用人脸识别技术获取数据，以及在个人信息处理过程中，滥用人脸识别技术或数据时所涉及的定罪争议问题。

　　一、个人真实同意之有无与定罪争议

　　（一）知情同意规则在刑法上的体系定位

　　根据《中华人民共和国刑法》（以下简称《刑法》）第 253 条之一的规定，违反国家有关规定，向他人出售或者提供公民个人信息情节严重的，以及窃取或者以其他方法非法获取公民个人信息的，构成侵犯公民个人信息罪。与此相关联的前置法即《个人信息保护法》第 13 条规定，处理个人信息应当取得个人同意。据此，知情同意成为信息处理规则。我国网络安全法第 42 条规定，网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。第 44 条规定，任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

　　据此，为平衡数据利用和个人权益保护之间的关系，我国并不禁止企业从事所有涉及他人个人信息的相关业务，法律禁止的仅是违反国家规定，未取得个人同意，非法获取、出售、提供公民个人信息的行为，并不是只要从事与个人信息相关的业务就涉嫌犯罪。由于本罪是以归属于个人的信息权益为保护对象的，因此，无论对于本罪的保护法益持个人法益说、社会法益说还是双重法益说的见解，都应该认为本罪中的违反国家有关规定一般仍应以是否经过信息主体同意为标准，也就是说，取得特定信息主体同意后，对其人脸识别信息进行验证，并不属于违反国家有关规定的情况。归结起来，就刑事领域而言，个人是否知情同意就是涉及罪与非罪的重要判断规则。在大数据时代，个人信息流程多元复杂，“海量的数据收集、多元化的数据利用和复杂的同意条款使得建立在信息主体充分知情基础上的明示同意更加难以实现”，但即便如此，也需要强化这一规则，由此才能赋予公民对其个人信息的有效控制，从源头上保护个人信息，减少后续违法处理个人信息的行为，减轻监管压力，降低法律实施成本，明确侵权者承担责任的标准。

　　在利用人脸识别技术侵犯个人信息的场合，控辩双方容易发生的争点是：被告人是否有真实、有效的同意。有的辩护人明确提出，本案的个人信息都是公民自愿提供的，且被告人没有采用窃取等非法手段获取个人信息，也没有转卖涉案的个人信息。在多数判决中，对于这一辩解未作回应，法官潜意识里可能认为这一辩解不值一驳；在有的案件里，被告人非法加工、处理的人脸识别信息数量巨大，显然没有也不可能取得所有个人的同意，因此法官的直觉无可厚非。但在有的案件中，确实存在部分人脸识别信息的获取得到了个人的同意。因此，对涉人脸识别刑事案件的处理背后，有一个“知情同意”是阻却构成要件还是阻却违法的问题。

　　对于被害人同意的体系定位，第一种观点认为需要区分同意和承诺，二者的含义不同， 被害人的同意阻却构成要件，但承诺只能阻却违法。第二种观点认为，即便区分同意和承诺，也应该认为其承诺阻却构成要件，因为刑法对人身、财产法益的保护，是防止他人的攻击， 不是禁止权利人的自我处分；当权利人通过有效的同意允许行为人对相应的法益客体进行损害时，行为人的行为就只是权利人对于自身法益进行支配和使用的外在表现，其并不违反权利人的自主意志，不能被视为刑法意义上的实行行为。因此，基于被害人的有效承诺而实施的行为自始不具有法益侵害性，也不符合构成要件所表征的不法类型。被害人在没有违背自己意愿的情况下面对危险，对其提供保护只不过是在贯彻刑法家长主义。第三种观点认为， 被害人同意与承诺无法区分，只承认承诺这一概念即可。对于被害人承诺，合适的处理方式是区分法益的性质，区别性地予以考察。在侵犯自由以及侵犯财产的相关犯罪中，因为财产法益、自由法益和被害人的处分权之间容易作一体评价，对此可以赞成被害人承诺排除构成要件的主张；而在与人身伤害相关的犯罪中，也可以认为法益和对法益的处分权应当分开评价，从而支持被害人承诺阻却违法性说。在人身伤害犯罪中，持阻却违法这一主张的好处在于其与国民的一般性常识判断保持一致，尊重了国民规范意识。例如，在为拯救亲人生命而承诺的活体肾脏移植事例中，甲是脏器提供者，由于要向近亲属移植器官的一部分，承诺摘除并失去部分器官，即便有甲的承诺，但其遭受损害、法益受损的事实，仍然无法否定。换言之，虽然有被害人承诺，但对其身体机能的伤害（例如，被摘取一个肾脏）是存在的，与此同时，在构成要件定型化的判断中，这种得到被害人承诺的行为在公众（理性一般人）看来确实会造成法益伤害。只不过在此后继续进行的违法性判断中，可以立足于整体法规范所确立的法秩序进行比对，认为这一损害法益的行为会拯救他人的生命，因此被害人基于其承诺的身体健康权缺乏“要保护性”，即在处分身体法益的相关主体的自由（自我决定权）被尊重的范围内，出于法益保护目的具体性地去禁止伤害行为这一必要性应被否定。换言之， 在自我决定权所覆盖的范围内，由于法益的“要保护性”被否定，违法性就被阻却。这样一来，身体法益以及与身体法益有关的处分权就是两个层面的问题，不应当混同在一个层面当中予以讨论。

　　事实上，无论对被害人同意与被害人承诺之间的关系持何种主张，在侵犯公民个人信息的场合，都应该认为被害人的知情同意阻却构成要件该当性。赞成第一种观点的学者会将信息处理者充分告知后个人所作出的同意解释为有别于被害人承诺的“被害人同意”，从而得出这种同意阻却构成要件该当性的结论。赞成第二种观点的人会认为，即便将这里的知情同意说成是被害人承诺，其也属于阻却构成要件的情形。持第三种观点的学者会主张，本罪属于侵犯自由的犯罪，因为自由法益和被害人的处分权之间具有一体性，因此，可以得出承诺排除构成要件的结论。笔者原则上同意前述第三种主张，承认被害人知情同意阻却构成要件。例如，行为人以蝇头小利诱骗他人提供人脸识别信息，然后由行为人独立完成大额电信诈骗资金转移手续等，个人提供信息时如果是基于自身利益诉求，在明知他人可能将自己的人脸识别信息用于多种用途（包括极有可能用于违法用途）的情况下，仍自愿出售身份信息，甚至在对方明确告知将使用其人脸识别信息用于申领银行卡等场景下，仍自愿提供照片及其他信息的，其同意将阻却犯罪客观构成要件的成立。

　　（二）违背知情同意规则的人脸识别数据滥用行为

　　从民事法律的角度看，知情同意规则由告知规则和同意规则两部分组成。对于告知义务的履行方式、告知内容，《个人信息保护法》作出了详细规定，其第 17 条明确指出，个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：（1）个人信息处理者的名称或者姓名和联系方式；（2）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；（3）个人行使本法规定权利的方式和程序；（4）法律、行政法规规定应当告知的其他事项。结合上述规定可以看出，无论个人信息处理行为是否基于个人的同意，处理者原则上都有告知义务（除非法律规定了可以免于告知），未进行告知或告知的内容有瑕疵，未取得信息主体同意处理其个人信息的，应当承担民事侵权责任。

　　从实务的角度看，由于人脸识别信息不同于一般个人信息，甚至其作为生物信息与指纹等其他生物信息之间也有较大区别。因此，人脸识别信息的处理应坚持特别规制即差异化规制，应坚持更强的知情同意原则。也正是考虑到这一点，《个人信息保护法》第 29 条规定， 处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。实务中，行为人虽不是在隐秘场所擅自安装摄像头非法抓取人脸识别数据，但是，其并未将获取、处理敏感个人信息的真实目的告知被害人，或者被害人的同意明显存在瑕疵，以及 APP 过度读取、抓取人脸识别等信息的，个人真实、有效的同意并不存在，行为人有成立侵犯公民个人信息罪的余地。

　　结合近年来已经作出的裁判观察，违背知情同意规则的人脸识别数据滥用行为大致有以下类型：

　　1.欺骗他人取得人脸识别信息

　　行为人在未告知被害人可能获取其人脸识别信息的情况下，违法采集、获取公民个人信息的，当然违背知情同意原则。比如，曾经流行的许多“AI换脸游戏”APP，就是利用用户乐于参与游戏、毫不防备的心理，在未告知的情形下，非法采集人脸识别信息。实务中，违背知情同意原则，欺骗他人获取人脸识别信息的案件突出表现为行为人针对中老年人对信息的鉴别能力较弱这一现实，通过拍照等方式收集人脸识别信息的情形，使中老年人成为人脸识别信息被非法获取的一个特殊被害群体。不法分子往往以“发福利”或者“发赠品”的名义，诱惑被害人参与拍照、提供照片等个人信息。例如，有的被告人在超市内，以顾客购物满一定金额可获赠洗衣液等礼品为名，并要求顾客在领取礼品时提供姓名、身份证号码，并用手机拍照、录制视频等方式采集被害人的肖像信息。再比如，被告人走乡串户到农村举办各种名目的活动，要求达到一定年龄以上的老年人持本人身份证参加，给参加者赠送价值很低的副食品，然后对领取者的身份证及个人进行拍照，获取人脸识别数据。在被害人提出疑问时，对方谎称拍照或录像的目的是“为避免重复领取”。被告人向被害人获取的个人信息， 极有可能后续被用于办理开通、实名认证的移动通讯卡、银行卡，或者注册网络账户，以及注册某些公司开发运营的放贷 APP 用户等，待实名认证通过，有关申请办理成功后，被告人从移动代理商、电信网络诈骗犯罪团伙成员处领取佣金。

　　显而易见，上述隐瞒获取个人信息的真实意图，滥用人脸识别技术，在被害人对信息处理行为不知情的情况下，欺骗他人同意拍照非法获取公民个人信息的行为，与《个人信息保护法》第13条所规定的“知情同意”规则相抵触，明显具有违法性，能够为犯罪的成立奠定规范基础。

　　2.非法抓取通讯录及人脸识别信息

　　近年来发案率较高的情形是，网络放贷平台 APP 借助于技术手段非法获取公民人脸识别信息后，才予以放贷，并将人脸识别信息共享给催收公司，甚至将这些信息变卖获利。首先，上述平台在放贷时事先未告知，但抓取个人信息的行为侵犯个人信息，即 APP 等应用软件通过隐瞒方式取得用户同意，实际收集的信息超过其提供产品及服务的必要范围，与知情同意条款中的约定明显不符。例如，【例 1，“催贷案”】2018 年 10 月，董某（另案处理） 通过“救急白卡”APP 在网络上非法从事高利放贷业务，并且在该 APP 软件中植入特定程序， 以便在不特定借款人申请借款时获取借款人手机通讯录和地理位置等个人信息。2019 年 3 月起，被告人焦某涛在明知上述 APP 为非法网络高利贷软件的情况下，先后两次以其设立的“武汉简雍”公司的名义从董某处接收高利贷催收业务，同时非法接受由董某提供的相关借款人个人信息，并按照贷款的不同逾期阶段获得佣金。“救急白卡”APP 系统集成外挂的杭州有盾科技有限公司还会抓取用户的人脸识别活体与身份证信息进行比对。“救急白卡”APP 经贷款申请人授权允许后，获取用户的手机通讯录信息和 GPS 地理位置信息。被告人焦某涛等人供述：“甲方会提供催收系统的链接，我们（催收公司）登录上去后就能看见欠债客户的姓名、手机号、借款金额和实到金额、应还款金额，能够看到人脸识别信息，然后我们就会通过打电话、加微信，如果电话不通，就联系他通讯录里的人，把他现在用的手机号要出来然后再跟他联系，让他还钱。”法院认为，被告人焦某涛非法获取公民个人信息，构成侵犯公民个人信息罪。

　　在这里，“救急白卡”APP 经借款人授权后，获取用户的手机 GPS 地理位置信息，符合知情同意规则。但是，对于经过借款人同意后，获取该申请人的手机通讯录以及抓取用户的人脸识别活体信息的行为是否具有非法性，实务中认识不一。第一种观点认为，APP 读取、抓取信息的行为不属于侵犯公民个人信息，因为其取得该类信息系业已经过用户同意，仅用于行为人所在公司催收债务等经营活动，并没有将信息转手提供其他第三人。这种观点很有市场，在个案中，很多辩护人也以此作为辩护理由。第二种观点认为，APP 用户的同意并非真实的用户意思表示，用户如果不同意就无法使用 APP，难以抗拒非法信息收集，其只能被动接受；行为人虽然没有导致信息泄露，但是其通过读取的手机通讯录并给亲友打电话催债的行为，影响了用户的正常生活，因此，行为人构成本罪。第三种观点认为，行为人所使用的 APP 如果明示了信息用途，如告知用户（贷款申请人）其手机通讯录、人脸识别信息可能被用于验证诚信度以及后续的催收债务的，其行为就不违法；如果事前没有明示，但在收集后将其用于催收等活动的，属于非法获取他人信息。

　　笔者认为，上述主张都难言合理。行为人通过网络 APP 发放贷款，在发放贷款前，要求贷款申请人必须提供其亲友的手机号、通讯地址，以及抓取人脸识别信息等，以便于后期催讨债务的，都属于过度读取个人信息，也是侵犯公民个人信息的犯罪行为。首先，任何一个手机号码的所有人的个人隐私权、个人信息权益都受法律保护，对此实行实名制也有这方面的考虑，手机主人将其告知贷款申请人，是基于日常生活交往需要的一种个人信息许可、同意。但是，其并未事前“一揽子”授权贷款申请人可以把这个电话号码转让给包括 APP 开发者在内的所有人。因此，APP 开发者在经营活动（而不是日常生活交往）中，要取得他人通讯录内储存的大量手机号码，仅获得借款申请人的授权是不够的，而应当取得通讯录中每一个手机号码所有人的单独同意。其次，APP 读取数据的目的具有非法性（一旦追讨欠债不能成功，便要对无关第三人进行滋扰、纠缠，通过干扰第三人的私生活来实现自己的债权），这更容易使其行为难以阻却构成要件该当性。最后，个人的人脸识别信息属于生物识别信息， 是比一般个人信息更为重要的敏感个人信息，未经个人同意，违背知情同意规则的抓取及向第三方提供的行为明显具有违法性。

　　3.行为人将其控制的照片加工成人脸验证视频

　　【例 2，制作动态视频案】被告人赖某全应客户（信息不详）要求，将其所得知的公民身份证号码、姓名等发送给同伙“曹操”“大佬”（另案处理）等人帮忙查询上述公民的对应照片，再将上述照片通过“三色技术”制作成动态人脸验证视频后出售给客户从中获利，共获利约达 2.3 万元。法院认为，被告人赖某全违反国家规定，向他人出售公民个人信息，情节严重，其行为已构成了侵犯公民个人信息罪，判处其有期徒刑 1 年 2 个月。

　　再比如，【例 3，制作 3D 头像案】张某雇佣姚某萍，并指使余某飞使用大量公民个人身份信息注册某宝账号，再使用软件将公民头像照片制作成公民 3D 头像，从而通过某宝（第三方支付平台）人脸识别认证。张某、姚某萍等人通过这种方式来获取某宝提供的邀请注册新某宝用户的相应红包奖励（每个新注册某宝，行为人至少可以获取 28 元收益）。案发后，警方从张某处查扣近 2000 万条公民个人信息。从 2018 年 7 月份至案发，张某共使用他人个人身份信息注册成功至少 547 个通过人脸识别认证的实名某宝账户，从中非法获利 15316元。2019 年 11 月 18 日，浙江省江山市人民法院作出一审判决，认定张某犯侵犯公民个人信息罪和诈骗罪。

　　在上述“例 2，制作动态视频案”和“例 3，制作 3D 头像案”中，被告人都辩解其将照片加工为动态人脸验证视频、公民 3D 头像等行为不属于侵犯个人信息。但是，照片是个人肖像的载体，是特定自然人可被识别的外部特征，属于敏感个人信息，对包含个人生物识别特征的肖像的使用和处理，根据《个人信息保护法》第 29 条的规定，应当取得个人的单独同意或者授权。行为人未经同意加工人脸识别数据，侵犯了被害人的肖像权和个人信息权益。被告人即便辩解其所获取的照片信息系他人真实提供，自己对照片的来源不知情，甚至辩解其照片的取得经过权利人同意，其加工个人照片的行为仍然具有侵犯个人信息的性质。换言之，对于个人生物识别信息的使用，以及未经同意加工人脸识别数据的，都违背了知情同意规则，侵犯了他人的肖像权和个人信息权益，对网络时代下的数据安全、个人信息和财产安全均造成了严重危害，行为人难以主张其行为阻却构成要件该当性。

　　来源：《比较法研究》2021年第6期。法学学术前沿根据知网网络首发文章编辑，引用请以原文为准。