【观点采撷】涉人脸识别犯罪的关键问题（三）

　　三、涉人脸识别犯罪的竞合问题

　　（一）非法使用真实人脸识别数据取财的定性及罪数

　　通过非法手段，使用真实的人脸识别数据取财的案件，目前主要有强迫他人“刷脸”取财、欺骗他人“刷脸”后冒名取财这两种类型。对于后一种类型，实务中存在定罪争议。

　　强迫他人“刷脸”取财的发案率相对较低。例如，【例 9，强行“刷脸”案】传销组织的骨干成员欺骗被害人进入该组织，并对被害人进行人身控制，其中，罗某学等人直接安排郝某，并由郝某和张某强迫被拘禁的王某进行了人脸识别。罗某学、郝某等人利用强行获取的密码和人脸识别等，用“蚂蚁借呗”贷款 10000 元、某宝备付金套现 500 元及“微粒贷”贷款 19000 元等。人民法院经审理后认为，被告人罗某学等人非法剥夺他人人身自由，其行为均已构成非法拘禁罪，且具有殴打情节，应从重处罚。被告人罗某学等人以非法占有为目的， 伙同他人采取暴力等方法劫取财物，数额巨大，其行为构成抢劫罪。被告人强迫他人“刷脸”，利用他人的人脸识别信息的行为违反知情同意规则，属于对个人信息的侵害，但由于无法达到敏感信息侵害的定罪起点，无法定罪。法院将其强行取得财物的行为认定为抢劫罪是正确的。实务中，对于将强行“刷脸”取财认定为抢劫罪，争议极少。但是，对于欺骗后使用他人的人脸识别并取财的，在定性上存在诈骗罪说、盗窃罪说的争论，下文以实践中较为常见的欺骗他人“刷脸”后冒名贷款案件为例展开说明。

　　1.欺骗他人“刷脸”冒名贷款案件的定罪分歧

　　（1）以诈骗罪定罪的情形。例如，【例 10，陈某“刷脸”骗贷案】被告人陈某在骗取被害人的信任后，以生意周转、登录同花顺软件、刷单等理由骗取或偷拿被害人的银行卡、某宝、身份证，办理信用卡套现、信用卡分期贷款、网上平台贷款等，用于赌博、消费。其中， 被告人使用被害人江某、赖某的身份信息、人脸识别从多个网贷平台贷款共计人民币 20 万余元尚未偿还，后被抓获归案。本案被害人陈述，有些平台贷款只需要其身份信息，有些平台认证贷款需要“刷脸”识别，“被告人就拿着手机对我拍照，我问他什么情况，他让我别管，对于用网贷平台贷款的事我是不清楚的，后接到许多银行以及平台的电话说我欠款逾期， 我才知道他用我信息在 APP 网贷，我就让他还款，他说有钱就转给我帮我还款，但至今大部分没有还款，许多网贷平台及信用卡马上逾期，所以报案”。关于本案定性，起诉和审判的罪名都是诈骗罪。法院认为，被告人陈某取得被害人信任后，虚构刷单、生意周转等理由， 或在被害人不知情的情况下利用其身份信息或人脸识别进行贷款，骗取被害人款项，且在收取被害人款项后用于赌博等挥霍，将款项占为己有，上述事实有网贷记录、微信转账记录、被害人陈述、证人证言、被告人供述等证据证实，现有证据足以证实被告人陈某主观上具有非法占有他人财物的故意，客观上实施了虚构事实骗取他人财物的行为，其行为符合诈骗罪的犯罪构成，应以诈骗罪追究其刑事责任，遂以诈骗罪判处其有期徒刑 2 年 10 个月。

　　又如，【例 11，夏加某“刷脸”骗贷案】被告人夏加某与被害人张某 1 于 2020 年 1 月通过网络认识并成为朋友，之后被告人夏加某谎称自己系上海瑞士联合银行集团风控师，可以通过公司帮助张某 1 办理出国留学，张某 1 信以为真，后被告人夏加某以办理出国留学需要刷银行流水等为由骗取张某 1 微信、某宝账户信息，并以刷交易流水需要进行人脸识别为由骗取张某 1 进行人脸识别扫描进而获取贷款资金，骗取他人财物共计人民币 10 万余元。公诉机关指控被告人夏加某犯诈骗罪，法院对指控予以认可，遂以诈骗罪判处被告人有期徒刑 4 年 5 个月。

　　（2）以盗窃罪定罪的情形。【例 12，邓某豪“刷脸”骗贷案】被告人邓某豪以帮助被害人查询征信信息为由欺骗伍某颖通过 APP 的人脸识别，在伍某颖不知情的情况下，以伍某颖的名义在借呗、京东商城 APP 白条、“分期乐”平台等借款，然后转到以被害人名义办理但实际为被告人使用的银行卡上用于被告人个人消费等。对于本案，检察机关以盗窃罪起诉， 法院也以盗窃罪判决，认定被告人邓某豪先以帮被害人伍某颖降低美团平台还款数额为由， 取得伍某颖的手机卡、工商银行卡及银行卡密码，后多次以查询征信为由让被害人通过人脸识别，在其不知情的情况下以其名义在多个平台借贷，并将借贷后的款项占为己用，构成盗窃罪，判处其有期徒刑 1 年。

　　又如，【例 13，白某宽“刷脸”骗贷案】被告人白某宽以自己可以办理信用卡和贷款业务为由，在帮助他人在手机上办理“飞贷”APP 业务时，多次利用他人提供的身份证信息、手机号，欺骗他人通过人脸识别等，在被害人不知情的情况下在被害人的手机上另行操作“平安普惠”手机贷款，并将所贷款项共计 14 万元转入自己及其前妻曾某的名义申请的“平安普惠”账户内，将“平安普惠”APP 卸载后把手机归还被害人，后提取现金用于本人消费。对于本案，侦查和起诉的罪名都是诈骗罪，法院认为应以盗窃罪追究被告人白某宽的刑事责任，公诉机关指控罪名有误。判决的理由是：被告人白某宽以给他人办理信用卡提升额度和申请“飞贷”的业务为名，在操作过程中利用被害人的身份信息和人脸识别秘密下载“平安普惠”APP，以被害人的名义申请贷款，贷款获批后立即将款项转入自己或其前妻曾某的账户内，并通过提现来实现自己非法占有的目的，“被害人对其财物失去控制并非基于受欺骗而主动交出财物，故本案应当依法认定为盗窃罪”。被告人白某宽盗窃被害人现金共计 14 万元，属数额巨大，遂决定对其判处有期徒刑 3 年。

　　2.欺骗他人“刷脸”冒名贷款的准确定罪及罪数

　　欺骗他人“刷脸”冒名贷款使得发放贷款的平台丧失对财物的占有，对这种行为不宜认定为诈骗罪，应定性为盗窃罪。诈骗罪与盗窃罪的关键区别在于受骗人是否基于认识错误处分财产。诈骗罪的对象只能是人，机器不能被骗，即机器因为没有意识而不会陷入认识错误， 更不会基于认识错误处分财产。计算机被欺骗而发出错误指令的，也并不等于计算机本身陷入了认识错误，更不意味着机器背后的人被欺骗之后交付了财物。因此，所谓向机器“行骗”的行为，不可能成立诈骗罪，只能成立盗窃罪。即便智能机器人是按照人设所计的程式处理事务，也并不认为其就具有人的意思活动，因为机器人只能是工具，不可能被视为人， “无论机器人的行为多么复杂，其设计多么优雅，它始终是由人类行动者使用、部署和操纵的工具”。行为人向机器“行骗”的行为，即便因为符合计算机设定的程式而能取得其中的财物，这种行为也只是违反了计算机信息系统所有人的意志，而不是使财物的所有者陷入了认识错误。主张我国刑法规定的诈骗罪的受骗者必须是自然人，是体系解释的结论。因为如果没有自然人陷入或者继续维持错误，就不可能有基于认识错误的财产处分行为，就没有诈骗可言。破解人脸识别验证程序之后，利用加工的人脸数据在贷款平台申请贷款，从被害人账户上盗转资金到其预先开设的账户上的，属于窃取他人财物，应当认定为盗窃罪。

　　欺骗他人“刷脸”冒名贷款的行为，在构成盗窃罪之外，是否同时构成侵犯公民个人信息罪或骗取贷款罪，需要略加讨论。首先，被告人欺骗他人“刷脸”，并利用他人的人脸识别数据的行为违反知情同意规则，属于对个人信息的侵害，被害人受欺骗后的同意无效；同时，参照有关司法解释的规定，考虑到人脸识别信息特别重要，因此，出售或者提供人脸识别信息，被他人用于犯罪的，知道或者应当知道他人利用公民人脸识别信息实施犯罪，向其出售或者提供的，以及非法获取、出售或者提供人脸识别信息 50 条以上的，均应当认定为《刑法》第 253 条之一规定的“情节严重”，应当构成侵犯公民个人信息罪，与盗窃罪数罪并罚。如果相关行为无法达到敏感信息侵害的定罪起点，无法将其行为认定为侵犯公民个人信息罪的，只能对其盗窃行为定罪处罚。其次，冒用他人的人脸识别信息贷款，且没有归还意思的，并不类似于冒用他人信用卡的行为，不能构成信用卡诈骗罪，这一方面是因为在欺骗他人“刷脸”的场合，行为人取得和使用他人信用卡的行为是经过持卡人授权的，只是其取得贷款行为违背持卡人的意思；另一方面，即便是可以认定为冒用他人信用卡，但在通过人脸识别进入他人计算机信息系统进而取得财物的场合，仍然属于欺骗机器取得财物的情形，以盗窃罪处理即可。最后，利用他人的人脸识别信息，冒用他人名义贷款的，难以认定为骗取贷款罪，因为相关放贷平台能否被认定为金融机构，本身就是一个问题，此外，骗取贷款罪和贷款诈骗罪的客观行为是大致相同的，其差异主要体现在行为人是否具有非法占有目的这一点上，而贷款诈骗罪是诈骗罪的特别法条，如果认为机器不能被骗，在通过“刷脸” 贷款的场合，骗取贷款罪的实行行为也难以认定。换言之，在欺骗他人“刷脸”冒名贷款的情形下，原则上不存在盗窃罪和其他犯罪之间的想象竞合关系。

　　前述“刷脸”欺骗机器、冒名贷款的情形，与获取人脸识别信息后对特定被害人所实施的电信网络诈骗犯罪存在差异。对于非法获取、出售、提供人脸识别信息且其行为与电信诈骗犯罪存在一定关联的犯罪嫌疑人，需要根据其对电信网络诈骗犯罪的参与程度，结合其认知能力、学历文化，以及相关聊天记录、通话频率、获取报酬情况（获取固定报酬还是参与电信网络诈骗犯罪的分成）等证据，分析判断其是否属于诈骗共同犯罪，以及是否应该数罪并罚。

　　（二）破解人脸识别系统的罪数问题

　　前已述及，破解人脸识别验证系统的行为构成非法控制计算机信息系统罪。此外，还需要考虑这类行为与其他犯罪之间的竞合关系，以发挥犯罪认定的充分评价功能。

　　（1）行为人设立用于实施出售、提供或者非法获取人脸识别信息违法犯罪活动的网站、通讯群组，情节严重的，构成非法利用信息网络罪；由此非法获取人脸识别等个人信息的， 构成侵犯公民个人信息罪，应当数罪并罚。

　　（2）对于为他人实施破解人脸识别验证系统的犯罪行为而提供破解工具、程序的行为人，应当根据《刑法》第 285 条第 3 款的规定，以提供侵入、控制计算机信息系统程序、工具罪处理。《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（2011 年 8 月 1 日）第 3 条规定，提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务“身份认证信息”的专门性程序、工具 5 人次以上的，应当认定为本罪的情节严重。对于这里的“身份认证信息”，该解释第 11 条规定为“用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等”，并未明确列举人脸识别信息。但是，为他人提供肖像、3D 人脸识别视频，使他人能够避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取计算机信息系统数据，对计算机信息系统实施控制的，也应当构成本罪。因此，这里的“身份认证信息”应当包括人脸识别等个人生物识别信息。

　　（3）行为人非法获取、购买、交换公民个人身份信息及头像照片，利用前述身份信息注册账号，再使用软件将公民头像照片制作成 3D 头像，加工人脸识别数据，从而破解第三方支付平台或政务平台的人脸识别认证，非法侵入计算机信息系统的，其行为构成非法控制计算机信息系统罪和侵犯公民个人信息罪，应当数罪并罚。不是非法获取、购买、交换个人信息，而是通过浏览各种信息公开平台，或者运用大数据爬取方式获得他人的身份信息及照片，并对照片进行人脸识别数据加工后破解人脸识别系统的，取得个人肖像并不违法，但由于该照片是敏感个人信息，对其进行加工属于对敏感个人信息的处理行为，应当取得个人的单独授权，因此，对于实务中以此为业的被告人，也应当以非法控制计算机信息系统罪和侵犯公民个人信息罪数罪并罚。

　　（4）行为人经授权后取得他人的网络支付账户、密码，但使用经过加工的虚假人脸识别信息非法侵入计算机信息系统，同时实施了非法控制、转移他人账户资金等行为的，如果在案证据足以证明行为人具有非法占有目的的，应将其取得财物行为评价为盗窃罪，并与非法控制计算机信息系统罪数罪并罚。行为人受他人委托后所实施的破解系统安全验证、解除账户限制等行为，如果其目的是帮助委托人控制、转移其本人事实上有权处置的财物的，只成立非法控制计算机信息系统罪一罪。

　　（5）行为人为非法获取他人的人脸识别信息，通过破解人脸识别系统的方式非法侵入计算机信息系统，并实际取得相关个人信息的，如果该侵入行为针对国家事务、国防建设、尖端科学技术领域的计算机信息系统实施，同时构成非法侵入计算机信息系统罪和侵犯公民个人信息罪，由于侵入行为本身就属于犯罪行为，因此对该行为人应当数罪并罚。对于违反国家有关规定，采用技术手段仅侵入前述重要信息系统之外合法存储公民个人信息的数据库获取个人信息数据的，由于单纯的侵入行为并不独立构成犯罪，只能将非法获取个人信息数据的行为评价为同时触犯侵犯公民个人信息罪和非法获取计算机信息系统数据罪，应当按照想象竞合犯的法理从一重罪论处。对于想象竞合，在一个说理充分的判决书中，应当分别列出罪名，然后从一重罪处断。这是因为想象竞合存在两个违法事实和责任，在判决宣告时， 必须将这些事项逐一清晰地列举出来，以实现刑法的充分评价，并有效发挥想象竞合的澄清功能，实现积极一般预防的刑罚效果。就此而言，相关判决仅将侵入他人计算机信息系统下载通讯录及个人信息数据的行为认定为侵犯公民个人信息罪，对被告人同时触犯非法获取计算机信息系统罪的行为完全不予评价的做法，与想象竞合犯的认定逻辑不符，有改进的空间。

　　四、结语

　　在大数据时代，随着人工智能的广泛运用，人脸识别技术的频繁使用是不可阻挡的趋势。但是，人脸识别技术安全漏洞的存在以及其“易破解”的特征，决定了涉人脸识别数据的犯罪今后很可能有增无减，技术的运用和相关的“黑灰产业”始终如影随形。直面这一现实， 需要认真考虑刑法的准确规制问题。行为人获取他人通讯录及其中储存的大量照片，抓取个人的人脸识别数据的，因为违背知情同意规则，有成立侵犯公民个人信息罪的余地。行为人加工人脸识别数据，破解人脸识别安全验证的，属于非法控制计算机信息系统的行为，不构成破坏计算机信息系统罪，也不宜认定为非法获取计算机信息系统数据罪。欺骗被害人“刷脸”后冒用其名义贷款或转移其账户资金的，构成盗窃罪而非诈骗罪。行为人实施非法控制计算机信息系统的行为再转移账户资金、获取个人信息等行为的，原则上应当数罪并罚。准确认定涉人脸识别犯罪，需要坚持构成要件的观念，考虑刑法上所固有的违法性判断，并顾及《民法典》及《个人信息保护法》的相关规定对于侵犯公民个人信息等罪司法适用所产生的一定影响。

　　当然，由于以人脸识别为代表的人工智能技术发展日新月异，刑事司法一定是滞后于技术发展的“见招拆招”。“大数据还会带来更多的威胁，毕竟，大数据的核心思想就是用规模剧增来改变现状。”对于个人信息、计算机信息系统安全和数据完整性、可用性等法益的保护而言，刑法只是“最后手段”。“最好的社会政策是最好的刑事政策。”对于人脸识别信息的保护，应该综合施策，尤其要加强对网络公司收集人脸数据的监管，对哪些机构可以处理人脸识别信息作出更为细化的明确规定，设计相应的安全等级要求，并督促其根据《个人信息保护法》第 55 条关于处理敏感个人信息时，“个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录”等规定，建立、落实敏感个人信息保护的制度体系，特别是要确保云储存与云技术中用户数据的基本安全，防止人脸识别等敏感个人信息的泄露， 大数据公司要加强行业自律，非必要不采集人脸识别信息，仅在符合事前明示的信息处理目的的情形下，使用人脸识别数据。总之，在现代信息社会，一方面要增强个人的信息（尤其是人脸识别信息）保护意识，牢记“生物信息是个人信息安全的最后一道防线”，对个人照片、人脸视频等坚守“非必要不提供”的立场。另一方面，要大力推进司法机关与网络服务提供者、网络安全监管机关的协作共建，在普通场所禁止使用人脸识别技术，推进网络安全机制建设，对包括人脸识别信息在内的敏感个人信息给予强有力的特殊保护。唯其如此，才能维护网络安全秩序，进而实现对公民个人信息和财产安全的充分保护，同时促进大数据的运用，平衡好个人信息保护和数据自由流动、数据经济发展之间的关系。

　　来源：《比较法研究》2021年第6期。法学学术前沿根据知网网络首发文章编辑，引用请以原文为准。