破解人臉識別認證行為的刑法規(guī)制

李高倫

一、問題的提出：破解人臉識別認證行為的刑法規(guī)制爭議

案例1：被告人吳某、周某將購買的他人高清頭像和身份證信息利用“活照片”APP 進行處理，形成包括點頭、搖頭、眨眼、張嘴等動作視頻，然后利用特殊處理的手機“劫持”攝像頭，使得在人臉認證環(huán)節(jié)手機系統(tǒng)獲取的是之前做好的視頻，破解多個計算機信息系統(tǒng)人臉識別認證程序，從中獲利人民幣6 萬余元。法院認定被告人構成侵犯公民個人信息罪。①

案例2：被告人張某、余某等人利用非法獲取的公民個人信息，通過使用軟件將相關公民頭像照片制作成公民3D 頭像，從而通過支付寶人臉識別認證，并使用上述公民個人信息注冊支付寶賬戶，獲取支付寶提供的邀請注冊新支付寶用戶的相應紅包獎勵。法院認定張某、余某的行為構成侵犯公民個人信息罪、詐騙罪。②

案例3：被告人楊某以他人名義，在住建委微信公眾號中進行注冊的過程中，采用在手機后臺將事先制作的3D 人臉視頻替換實時拍攝的認證視頻內容的方式，突破人臉實名認證環(huán)節(jié)，完成注冊，通過上述方式錄入注冊信息40 余條，從中非法獲利。法院認定被告人楊某的行為構成破壞計算機信息系統(tǒng)罪。③

案例4：被告人唐某采用制作他人的3D 人臉動態(tài)圖的方式，突破支付寶人臉識別認證系統(tǒng)，解除支付寶對他人賬號的限制登錄。后將該賬戶信息提供給被告人張某，由張某通過申訴解除支付寶賬戶的資金凍結，并將他人支付寶賬戶內資金使用轉移。法院認定被告人唐某、張某構成非法獲取計算機信息系統(tǒng)數據罪。④

案例5：被告人田某在使用手機銀行APP 注冊賬戶的過程中，利用軟件抓包技術將銀行系統(tǒng)下發(fā)的人臉識別身份認證數據包進行攔截并保存。其后上傳此前攔截下來的包含其本人的身份信息數據包，使系統(tǒng)誤以為要比對其本人的身份信息，用本人人臉通過銀行系統(tǒng)人臉識別比對，成功利用虛假身份信息注冊銀行賬戶共76 個并將上述賬戶信息售賣他人，非法獲利人民幣22010 元。法院認定被告人田某的行為構成非法獲取計算機信息系統(tǒng)數據罪。⑤

案例6：被告人何某授意并以利益驅動譚某，利用他人信息制作動態(tài)視頻，并利用虛擬鏡頭軟件，突破網站APP 信息系統(tǒng)身份認證的安全保護措施，假冒他人信息進行賬號的實名登記，獲得人臉實名的珍某網賬號并出售供他人使用。法院認定被告人何某的行為構成非法獲取計算機信息系統(tǒng)數據罪。⑥

從上述案例可以看出，當前我國司法實踐對于破解人臉識別認證行為的認定和處罰并不一致。一方面，部分判決忽略對于破解人臉識別認證行為的刑事認定。如案例1、案例2 的判決或裁定均認定被告人非法獲取公民信息，或非法向他人提供公民信息的行為構成侵犯公民個人信息罪，但對破解人臉識別認證的行為不作評價。而其他案例則對被告人破解人臉識別認證的行為進行了認定。另一方面，實踐對破解人臉識別認證行為的刑事認定并不統(tǒng)一。案例3 至案例6 的判決表明，實踐中對于破解人臉識別認證行為的認定存在構成破壞計算機信息系統(tǒng)罪和構成非法獲取計算機信息系統(tǒng)數據罪的不同認定結論爭議。

理論上對于破解人臉識別認證行為的刑事認定也存在不同觀點。有觀點認為，案例1、案例2、案例3、案例5、案例6 屬于“注冊賬戶型虛假‘刷臉’驗證行為”，行為本質是對計算機信息系統(tǒng)進行干擾，致使網站無法做出正確的人臉識別，因此構成破壞計算機信息系統(tǒng)罪。案例4 屬于“冒用身份型虛假‘刷臉’驗證行為”，行為人破解人臉識別認證的手段行為可考慮構成幫助信息網絡犯罪活動罪；⑦有觀點認為，破解人臉識別認證等非法使用、加工人臉識別信息的行為，可通過擴大解釋納入侵犯公民個人信息罪的規(guī)制范疇，或者通過增設非法利用公民個人重要信息罪加以規(guī)制；⑧也有觀點認為，破解人臉識別認證的行為不應構成非法獲取計算機信息系統(tǒng)數據罪或破壞計算機信息系統(tǒng)罪，應當構成非法控制計算機信息系統(tǒng)罪。⑨可以看出，如何對破解人臉識別認證行為進行規(guī)制和處罰，司法實踐和理論觀點均未達成一致。解決這一罪名適用爭議、準確適用罪名，不僅有利于保障人臉識別認證的應用和技術安全，促進人臉識別認證技術的應用，也是促進刑法穩(wěn)定性的要求。

二、破解人臉識別認證行為的刑法分析：行為類型和法益侵害

為了實現對規(guī)制破解人臉識別認證行為進行妥當的刑事規(guī)制和處罰，不僅需要準確認識、分析破解人臉識別認證行為的具體類型，還需要明確破解人臉識別認證行為的侵害實質，即侵害法益類型。后者在理論和實踐中主要存在個人信息法益、數據法益和計算機信息系統(tǒng)法益的不同觀點。

（一）破解人臉識別認證行為的類型分析

人臉識別認證系統(tǒng)的運行原理，是通過檢測人臉特征信息進行特征匹配，從而確認操作者身份。其系統(tǒng)運行過程是通過“用戶→攝像頭→前端→服務端→前端”，完成“人臉圖片→活體檢測→特征表示→人臉匹配→信息反饋”。⑩根據技術手段、方式的不同，破解人臉識別認證行為現階段包括三個類型。第一，鏡頭前假體攻擊行為，即通過使用工具，從系統(tǒng)外部通過呈現合法用戶的面部偽裝來騙過人臉識別系統(tǒng)?，從而破解人臉識別認證。具體包括照片攻擊、部分照片攻擊、紙片覆蓋攻擊、視頻回放攻擊、立體面具攻擊等呈現攻擊和對抗攻擊方式。?此類行為的特點在于通過影響攝像系統(tǒng)從外部采集的信息源，繞過人臉活體檢測實現破解人臉識別認證。第二，鏡頭后假體攻擊行為，即通過虛擬鏡頭軟件，使人臉識別認證系統(tǒng)獲取已經做好的視頻，從而使系統(tǒng)誤認為進行了活體檢測，如案例1 至案例4、案例6 中被告人采取的方法。此類行為的特點在于，進行識別的對象并未通過攝像頭進行拍攝，行為人直接向前端輸入采集對象，從而實現破解人臉識別認證。第三，內部篡改型破解行為，即通過侵入人臉識別認證系統(tǒng)內部，替換或篡改系統(tǒng)中各種關鍵模塊或數據?，從而破解人臉識別認證，具體包括注入應用繞過活體檢測、攔截并替換驗證數據等方式。?如案例5 中被告人采取的攔截并替換上傳至認證系統(tǒng)數據包來破解人臉識別認證系統(tǒng)的行為。此類行為的特點在于，行為人直接對人臉識別認證系統(tǒng)及其中數據進行了修改、干擾，改變了人臉識別認證系統(tǒng)的運行程序或數據。

現實中，人臉識別認證系統(tǒng)在計算機信息系統(tǒng)中承擔用戶身份驗證功能。根據行為效果，破解人臉識別認證行為包括兩個行為類型：第一，登錄賬戶型，即以破解人臉識別認證的方式，通過計算機信息系統(tǒng)的身份驗證，從而訪問、使用特定的計算機信息系統(tǒng)，如案例4；第二，注冊賬戶型，即以破解人臉識別認證的方式，通過賬戶注冊過程中的身份驗證，從而獲得特定計算機信息系統(tǒng)中的注冊賬戶，如案例2、案例3、案例5。

（二）個人信息法益和數據法益：對破解人臉識別認證行為侵害性的不當理解

1.破解人臉識別認證行為不宜理解為是對個人信息法益的侵害

破解人臉識別認證行為的上游行為侵害個人信息法益，宜以侵犯公民個人信息罪規(guī)制。但若將破解人臉識別認證行為本質侵害性理解為是對公民個人信息法益的侵害，將導致評價與規(guī)制效果不足的結果。非法制作、出售、提供、購買、獲取包含公民人臉識別特征信息的3D 動態(tài)圖片、視頻等物品的行為，是破解人臉識別認證行為的上游行為，構成侵犯公民個人信息罪。人臉識別信息屬于《中華人民共和國刑法》（以下簡稱《刑法》）第253 條之一“侵犯公民個人信息罪”的保護對象“公民個人信息”。根據《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第1 條、《個人信息保護法》第28 條、《民法典》第1034 條第2 款、《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》第1 條的規(guī)定，“人臉信息”屬于“生物識別信息”，是關于自然人的身體、生理或行為特征的信息，與特定自然人唯一對應，并且難以或無法改變，能夠作為自然人的身份識別指標。?當前大部分破解人臉識別認證的行為，是通過使用包含其他公民人臉信息的3D 動態(tài)圖、視頻等欺騙人臉活體檢測，從而通過人臉識別認證。在此過程中，采取欺騙手段騙取含有人臉識別信息的視頻的行為，根據公民公開的照片信息采用特殊程序或技術手段制作含有公民人臉識別信息的動態(tài)圖及視頻的行為，以及為破解人臉識別認證系統(tǒng)而非法獲取、竊取、購買他人身份證件號碼等其他公民個人信息的行為，侵害了公民的個人信息法益，構成侵犯公民個人信息罪。此類行為若滿足侵犯公民個人信息罪“情節(jié)嚴重”的規(guī)定，則可以侵犯公民個人信息罪論處。如案例1 中，法院認定被告人利用非法獲取的身份證照片等公民個人信息，形成包括點頭、搖頭、眨眼、張嘴等動作視頻并向他人出售或提供的行為，屬于向他人出售或提供公民個人信息并從中獲利，因此構成侵犯公民個人信息罪。

但是，這只是對破解人臉識別認證系統(tǒng)上游行為的規(guī)制，并非是對破解人臉識別認證系統(tǒng)行為本身的評價。使用其他公民的人臉識別信息破解人臉識別認證系統(tǒng)的，是對公民個人信息的“非法使用”行為，盡管該行為是對公民個人信息的“非法處理”，但并不是侵犯公民個人信息罪所涵蓋的行為類型，超出了該罪的保護范疇。當前實際上無法通過解釋將“非法利用”行為納入侵犯公民個人信息罪進行規(guī)制，只能通過完善立法解決。?因此，若僅重視破解人臉識別認證行為對公民個人信息法益的侵害，將導致無法適用罪名進行規(guī)制的結果，這一結論忽視了該行為對計算機信息系統(tǒng)的侵害面向。在案例3 至案例6 中，盡管具體案件中的行為內容不盡相同，審判機關認定的罪名也存在分歧，但是均認為破解人臉識別認證的行為是對計算機信息系統(tǒng)的侵害。無論是從自然的行為意義，或是從構成要件的行為意義?，侵犯公民人臉信息自決權的行為和侵害計算機信息系統(tǒng)的行為都是兩個獨立的行為，屬于行為復數之犯罪情形，應當分別進行刑法評價，再根據罪數理論進行罪名適用和刑罰處斷。否則就會導致本來可能以侵犯公民個人信息罪和侵害計算機信息系統(tǒng)相關罪名進行數罪并罰的案件，最后僅以侵犯公民個人信息罪一罪處罰，從而不當忽略了對于行為侵害性的評價，減輕了對行為人的刑罰處罰，降低了刑法的規(guī)制效果。綜上，為破解人臉識別認證系統(tǒng)而實施的非法獲取公民個人信息的行為，是對公民個人信息法益的侵害，構成侵犯公民個人信息罪。但若僅著眼于破解人臉識別認證系統(tǒng)“非法使用”公民個人信息的側面，則將導致無法對相關行為進行刑法規(guī)制的結果，同時忽略了該類行為對計算機信息系統(tǒng)法益的侵害。

2.破解人臉識別認證行為不宜理解為是對數據法益的侵害

在案例4、案例5、案例6 中，法院以非法獲取計算機信息系統(tǒng)數據罪規(guī)制破解人臉識別認證的行為，但裁判文書中對犯罪的認定思路并不相同。相關案例的裁判思路均存在不當之處。非法獲取計算機信息系統(tǒng)數據罪的規(guī)范保護目的在于保護數據的機密性安全，破解人臉識別認證的行為不具有侵害數據安全法益的實質，不宜認定為該罪。非法獲取計算機信息系統(tǒng)數據罪的規(guī)范保護目的是保護數據機密性這一數據安全法益。隨著數字時代的到來，信息往往以電子、電磁等方式呈現，即數據。為了規(guī)范數據處理活動，保護數據承載的個人、組織、國家利益，以數據機密性、可用性和完整性為內容的數據安全法益成為刑法保護的對象。?其中，規(guī)制“非法獲取數據”行為，實現對數據機密性利益的保護，是非法獲取計算機信息系統(tǒng)數據罪的規(guī)范保護目的。德國刑法第202a 條“刺探電磁檔案（Daten，即數據）”，第202b 條“攫取電磁檔案”，是對突破保護措施獲取數據和在數據傳輸過程中無權獲?。╒erschaffen）數據行為的處罰。?德國刑法理論認為，上述條文保護的是數據權利人基于其對數據知識內容的權利，而享有決定由誰訪問數據的數據保密（Datengeheimnis）利益。?數據機密性是指權利人不想讓該數據為他人知曉的數據機密性質的狀態(tài)設定，數據機密性承載著信息性的社會功能。?因此，“非法獲取數據”行為的實質法益侵害性體現在該行為破壞了數據的機密性狀態(tài)，導致數據承載的信息內容有泄露可能，損害數據權利人對數據信息內容的利益?！矮@取數據”意味著獲得對數據的實際控制，可以通過獲得原始數據載體的占有、將其復制到自己的存儲介質上、記下數據或以其他方式記錄數據來實現。?因此，侵犯數據機密性的“非法獲取數據行為”，應當是控制、占有了數據內容，從而破壞數據信息內容機密性的行為，而非所有介入到數據存在或運行過程的行為。如在“衛(wèi)某某、龔某、薛某某非法獲取計算機信息系統(tǒng)數據案”?中，被告人查看、下載他人計算機信息系統(tǒng)中的電子數據信息的行為，是對數據內容的控制、占有、了解，破壞了數據信息內容的機密性，因此構成非法獲取計算機信息系統(tǒng)數據罪。

據此，案例4、案例5、案例6 中的行為并未侵害數據的機密性，不構成非法獲取計算機信息系統(tǒng)數據罪。案例4 中，被告人破解支付寶系統(tǒng)的人臉識別認證系統(tǒng)后控制他人支付寶賬號，通過輸入交易指令轉移他人賬戶資金，并未控制、占有、了解支付寶交易許可數據，其內容、信息并未有泄漏的危險，仍然處于保密狀態(tài)。因此，被告人的行為不構成非法獲取計算機信息系統(tǒng)數據罪。案例5中，法院并未明確被告人攔截并保存的數據包是否加密、被告人是否進行了破解。若涉案數據包處于加密狀態(tài)且被告人并未獲取密鑰，僅是以原狀重新發(fā)送至人臉識別認證系統(tǒng)，則不宜認為該行為破壞了數據的機密性。德國刑法理論也認為，當行為人獲取的數據處于加密狀態(tài)，只有在加密被破壞或至少已經獲得底層密鑰時才能被評價為“獲得”。?同時，考慮到被告人獲取的數據包包含的是本人的身份認證數據，也難以認為行為對數據內容的機密性造成了侵害。另外，涉及使用軟件抓包技術獲取、修改計算機信息系統(tǒng)數據的案件中?，司法機關并不著眼于行為人使用軟件抓包技術抓取服務器下發(fā)的數據包的行為，而是重點評價行為人使用抓包技術替換數據，對計算機信息系統(tǒng)中傳輸的數據進行修改的整體行為。因此，本案應當重點評價的是被告人給計算機信息系統(tǒng)以及業(yè)務帶來的損害的行為，即被告人將非法獲得的銀行系統(tǒng)數據包代替原本的數據包傳送至銀行系統(tǒng)，使銀行系統(tǒng)接收到錯誤的人臉識別對比認證指令。案例6 中，法院實際認為，涉案社交賬號使用者使用違規(guī)解封的社交賬號，獲取用戶在社交網站上公開的信息、進行的動態(tài)交流內容等數據的行為屬于“非法獲取數據”，因此被告人的行為構成非法獲取計算機信息系統(tǒng)數據罪的共同犯罪。但是將賬號使用者使用賬號的行為認定為“非法獲取數據行為”的合理性存在疑問。用戶在社交網站上公開的信息、進行的動態(tài)交流內容等數據，前者針對所有能夠登錄到社交平臺的用戶公開，后者是針對特定賬號人的交流溝通，獲取該數據信息的行為并未破壞數據的機密性，賬號使用人對該數據的獲取不宜認定為“非法獲取”，為其提供實名認證從而解封賬號的行為，也不應評價為“使他人非法獲取數據”或非法獲取數據的共同犯罪。綜上，現有破解人臉識別認證行為并未有破壞數據機密性安全的實質，不應以非法獲取計算機信息系統(tǒng)數據罪定罪處罰。

（三）計算機信息系統(tǒng)法益：破解人臉識別認證行為的侵害實質

破解人臉識別認證行為往往是針對人臉識別認證系統(tǒng)和該系統(tǒng)所保護、構成的業(yè)務計算機信息系統(tǒng)的攻擊，實際影響、侵害人臉識別認證系統(tǒng)等計算機信息系統(tǒng)的運行，具有侵害計算機信息系統(tǒng)法益的實質。刑法對計算機信息系統(tǒng)安全法益的保護具有必要性和正當性。計算機信息系統(tǒng)，是指由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)，包括計算機、網絡設備、通信設備、自動化控制設備等具備自動處理數據功能的硬件和軟件系統(tǒng)。?計算機信息系統(tǒng)承載著對數據獲取、處理、儲存、傳輸、利用等數據處理功能，是現代社會生活的重要工具。影響計算機信息系統(tǒng)正常運行的行為，會影響計算機信息系統(tǒng)所承擔業(yè)務的順利進行，影響現代社會的正常生活，對個人、社會、國家的財產、信息安全等利益造成損害，因此，保證計算機信息系統(tǒng)的運行和功能安全，是現代社會中刑法的重要任務，計算機信息系統(tǒng)安全因而成為刑法重要的保護法益。對計算機信息系統(tǒng)安全的刑事保護，體現在國際公約和各個國家、地區(qū)的相關立法中。如2001 年《網絡犯罪公約》（Convention on Cybercrime）規(guī)定了5 種侵害計算機系統(tǒng)的技術性行為，包括非法入侵、非法攔截、數據干擾、系統(tǒng)干擾、設備濫用等；?德國刑法第303b 條規(guī)定了處罰危害計算機信息系統(tǒng)安全的行為；日本刑法第234 條之2 規(guī)定了處罰以損壞電腦或數據、輸入虛假情報（數據）或不正指令以及其他方法直接影響電腦的運作和業(yè)務的行為；我國臺灣地區(qū)“刑法”第358 條、第359 條、第360 條規(guī)定了對入侵電腦、破壞電磁記錄（數據）、干擾電腦行為的處罰；《中華人民共和國刑法》第284 條至第286 條規(guī)定了針對計算機信息系統(tǒng)的非法入侵、非法獲取數據、非法控制、破壞等行為的處罰，學界觀點一般認為，相關罪名的保護法益是計算機信息系統(tǒng)安全。?

破解人臉識別認證行為攻擊人臉識別認證系統(tǒng)，影響計算機信息系統(tǒng)的正常運行和功能實現，危害計算機信息系統(tǒng)安全。從行為對象上看，破解人臉識別認證行為往往以人臉識別認證系統(tǒng)以及其所保護的計算機信息系統(tǒng)為攻擊對象，是對計算機信息系統(tǒng)的侵害。人臉識別認證系統(tǒng)通過硬件收集對象的圖像信息，進行活體檢測和特征識別，并將數據發(fā)送至服務器進行匹配，再根據匹配結果進行身份驗證?，符合計算機信息系統(tǒng)的特征。同時，人臉識別認證系統(tǒng)所保護的用戶操作系統(tǒng)，或者將人臉識別認證作為檢驗身份信息的計算機信息業(yè)務系統(tǒng)，屬于計算機信息系統(tǒng)；從行為的侵害結果來看，破解人臉識別認證系統(tǒng)的行為，能夠改變人臉識別認證系統(tǒng)的運行模式，影響其功能發(fā)揮，也能改變和影響業(yè)務計算機信息系統(tǒng)的運行和功能，具有侵害計算機信息系統(tǒng)安全的效果。如案例5 中，被告人替換用戶前端發(fā)送至服務器數據的行為，是針對人臉識別認證系統(tǒng)運行的攻擊行為，影響了人臉識別認證系統(tǒng)本身的運行安全及功能實現；案例4 中，被告人通過破解人臉識別認證登錄他人支付寶賬號的行為，是針對他人支付寶系統(tǒng)的攻擊行為，影響了支付寶系統(tǒng)的安全。綜上，破解人臉識別認證系統(tǒng)一般以計算機信息系統(tǒng)為侵害對象，影響計算機信息系統(tǒng)的正常運行和功能，因此是對計算機信息系統(tǒng)安全法益的侵害。應當根據不同的破解人臉識別認證行為的類型所具有的法益侵害特征，判斷行為對計算機信息系統(tǒng)的具體侵害內容，從而準確適用罪名。

三、破解人臉識別認證行為的刑法規(guī)制路徑：具體行為的罪名認定

計算機信息系統(tǒng)安全法益具體表現為對計算機信息系統(tǒng)的私密性、完整性和可用性的保護。理論上一般將計算機信息系統(tǒng)安全（信息安全、網絡安全）的內容概括為計算機信息系統(tǒng)硬件、軟件、系統(tǒng)中數據不受偶然或惡意攻擊而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網絡服務不中斷，即數據、系統(tǒng)、網絡的機密性、完整性、可用性、可控性、不可否認性等。?我國臺灣地區(qū)學者將“電腦犯罪”的保護法益概括為電腦系統(tǒng)、資料、資訊處理系統(tǒng)的私密性、完整性、可用性。?因此，計算機信息系統(tǒng)安全以計算機信息系統(tǒng)的私密性、完整性、可用性為主要內容。應當在明晰計算機信息系統(tǒng)犯罪相關罪名的行為侵害內容與特征之基礎上，分析不同類型的破解人臉識別認證行為的侵害實質，對其予以準確評價和罪名適用。

（一）構成非法控制計算機信息系統(tǒng)罪的行為類型

破解人臉識別認證，從而對計算機信息系統(tǒng)進行操作、使用的“登錄賬戶型”破解行為，侵害了計算機信息系統(tǒng)的私密性，構成非法控制計算機信息系統(tǒng)罪。如案例4 中，被告人破解支付寶賬號的人臉識別認證，從而登錄他人支付寶賬號，操作他人支付寶賬戶的行為，構成非法控制計算機信息系統(tǒng)罪。本罪的規(guī)范保護目的是保護計算機信息系統(tǒng)的私密性。私密性是指只有經授權用戶才能使用、操作計算機信息系統(tǒng)執(zhí)行特定指令，權利人有權設置操作控制機制阻止無權者使用、操縱計算機信息系統(tǒng)，以保證計算機信息系統(tǒng)內部數據、財產以及計算機信息系統(tǒng)運行利益的安全。非法侵入他人計算機信息系統(tǒng)并獲得控制、操作、使用權限，其后的操作、使用行為一般會進一步侵害計算機信息系統(tǒng)中的數據、財產安全，或干擾計算機信息系統(tǒng)的運行，導致他人對計算機信息系統(tǒng)的使用利益受損。如非法登錄他人信息管理系統(tǒng)，進行錄入、修改、刪除信息的操作，會造成對相關信息管理的混亂，損害權利人利益。實踐中對此類行為以非法控制計算機信息系統(tǒng)罪論處?，正是基于保護計算機信息系統(tǒng)運行的私密性利益考量。

圍繞保護計算機信息系統(tǒng)私密性的規(guī)范目的，本罪規(guī)制的“非法控制計算機信息系統(tǒng)”（以下簡稱“非法控制”）行為，是指未經授權或超越授權，突破計算機信息系統(tǒng)的操作控制機制，獲得計算機信息系統(tǒng)的操作、使用權限或執(zhí)行操作、進行使用的行為。所謂“控制”，是指“使他人計算機信息系統(tǒng)處于其掌控之中，能夠接受其發(fā)出的指令，完成相應的操作活動”?，即使用了計算機信息系統(tǒng)控制權的行為。?根據《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》（以下簡稱《計算機案件解釋》）第2 條的規(guī)定，“非法”是指“未經授權或者超越授權”的情形。計算機信息系統(tǒng)的操作控制機制是保護計算機信息系統(tǒng)的操作、使用私密性和專屬性的“防護墻”，因此，突破計算機信息系統(tǒng)控制機制操作計算機信息系統(tǒng)的，屬于“未經授權或超越授權”的“非法控制”行為。計算機信息系統(tǒng)的操作控制機制，表現為通過設置賬號密碼、身份驗證等安全保護措施，保證計算機信息系統(tǒng)由特定的、被賦予使用、操作權限的人使用，表明計算機信息系統(tǒng)的權利人是否同意他人使用計算機信息系統(tǒng)的態(tài)度。因此，無權輸入他人賬號密碼、避開身份驗證，或者利用系統(tǒng)漏洞等其他技術手段，破解計算機信息系統(tǒng)的操作控制機制的行為，突破了計算機信息系統(tǒng)權利人對使用、操作計算機信息系統(tǒng)的限制，是對計算機信息系統(tǒng)私密性的侵害。

破解人臉識別認證系統(tǒng)，登錄他人計算機信息系統(tǒng)使用、操作賬戶的“登錄賬戶型”破解行為，是未經授權控制計算機信息系統(tǒng)的行為，構成非法控制計算機信息系統(tǒng)罪。對于采取注冊制的計算機信息系統(tǒng)而言，用戶注冊的賬戶賦予了其計算機信息系統(tǒng)使用權限，并通過賬號密碼、身份驗證等安全保障方式，設置計算機信息系統(tǒng)的操作控制機制。人臉信息作為生物識別信息之一，與傳統(tǒng)數字密碼相比，具有永久性、唯一性的特征?，因而人臉識別認證被廣泛應用于計算機信息系統(tǒng)的登錄驗證中，是計算機信息系統(tǒng)操作控制機制的一部分。因此，無論采取何種攻擊人臉識別認證系統(tǒng)的技術手段，只要未經賬號所有人授權或超越授權，避開或突破作為操作控制機制的人臉識別認證系統(tǒng)，取得操作、控制計算機信息系統(tǒng)的權限或實施操作、控制行為的，均屬于“非法控制”，構成非法控制計算機信息系統(tǒng)罪。實踐中一般表現為通過突破人臉識別認證系統(tǒng)，登錄他人計算機信息系統(tǒng)使用賬號，對計算機信息系統(tǒng)進行使用、操作的行為。如破解人臉識別認證，登錄他人個人計算機使用賬號，使用、操作、控制他人個人計算機；破解人臉識別認證，登錄他人即時通信、網上銀行等賬號，更改他人信息，執(zhí)行轉賬操作等行為。同時，若行為同時滿足盜竊罪入罪標準的，則構成非法控制計算機信息系統(tǒng)罪和盜竊罪的想象競合犯，應從一重罪處罰（如案例4）。非法使用他人個人信息，破解人臉識別認證，注冊計算機信息系統(tǒng)使用賬號的“注冊賬戶型”破解人臉識別認證行為，并未破壞計算機信息系統(tǒng)的私密性，不構成非法控制計算機信息系統(tǒng)罪。本罪的成立需要具有“控制計算機信息系統(tǒng)”的客觀結果，單純破解人臉識別認證從而非法獲取計算機信息系統(tǒng)使用權限的賬號注冊行為，只是對控制權的“持有”狀態(tài)，相當于從他人處竊取、購買計算機信息系統(tǒng)的使用賬號、密碼行為，并未對計算機信息系統(tǒng)的私密性造成實際侵害，因此不構成非法控制計算機信息系統(tǒng)罪。綜上，“登錄賬戶型”破解人臉識別認證行為的實質侵害性，體現在破解作為計算機信息系統(tǒng)操作控制機制的人臉識別認證，未經授權或超越授權登錄并使用、操作、控制他人計算機信息系統(tǒng)，從而侵害了計算機信息系統(tǒng)安全的私密性，應當評價為非法控制計算機信息系統(tǒng)罪。

（二）構成破壞計算機信息系統(tǒng)罪的行為類型

“內部篡改型”破解行為，以及部分具有變更數據效果，破壞計算機信息系統(tǒng)重要使用功能的“注冊賬戶型”破解行為，侵害了計算機信息系統(tǒng)的完整性和可用性，構成破壞計算機信息系統(tǒng)罪。如案例3 中，被告人通過突破人臉識別認證錄入虛假的注冊信息的行為，以及案例5 中被告人通過修改人臉識別認證系統(tǒng)中數據的行為，構成破壞計算機信息系統(tǒng)罪。破壞計算機信息系統(tǒng)罪的規(guī)范保護目的，是通過保證計算機信息系統(tǒng)安全的可用性和完整性，保護計算機信息系統(tǒng)的無故障運行利益。所謂可用性，是指計算機信息系統(tǒng)能夠被按照需求和設置目的運行，保證用戶能夠按需求使用計算機信息系統(tǒng)中的硬件、軟件、數據；所謂完整性，是指計算機信息系統(tǒng)內硬件、軟件、數據未經授權不被修改、破壞、增加、刪除，保證計算機信息系統(tǒng)的實體、進程、運行過程不被修改、干擾。?侵害計算機信息系統(tǒng)可用性和完整性，將導致計算機信息系統(tǒng)的運行過程和使用功能受到重大的干擾和破壞，進一步導致計算機信息系統(tǒng)承擔業(yè)務不能順利進行，使計算機信息系統(tǒng)的用戶或運營者遭受損害。圍繞保護計算機信息系統(tǒng)完整性和可用性的規(guī)范目的，本罪規(guī)制的“破壞計算機信息系統(tǒng)功能行為”和“破壞計算機信息系統(tǒng)數據或應用程序行為”?，是指通過對計算機信息系統(tǒng)的硬件、軟件、數據進行刪除、修改、增加，從而干擾計算機信息系統(tǒng)原本的運行過程，使計算機信息系統(tǒng)不能按照使用目的運行，導致計算機信息系統(tǒng)業(yè)務受到干擾、妨害甚至損失的行為。本罪規(guī)制的行為類型具有以下特征。

其一，本罪規(guī)制的行為類型具有攻擊、修改計算機信息系統(tǒng)組成部分，從而改變計算機信息系統(tǒng)原本運行過程的特征，即侵害了計算機信息系統(tǒng)的完整性。無論是“破壞計算機信息系統(tǒng)功能行為”還是“破壞計算機信息系統(tǒng)數據或應用程序行為”，均是通過對計算機信息系統(tǒng)組成部分的攻擊和修改，導致計算機信息系統(tǒng)的運行過程發(fā)生變化。有觀點認為，本罪規(guī)制的行為必須具有“直接性”特征——即侵入計算機信息系統(tǒng)內部，才屬于對計算機信息系統(tǒng)的侵害，否則并非是對計算機信息系統(tǒng)功能本身的改變。如“李某、何某某、張某某等人破壞計算機信息系統(tǒng)案”（最高人民法院指導案例104 號）中，被告人堵塞環(huán)境質量監(jiān)測采樣設備的行為，僅是從系統(tǒng)外部的干擾數據輸入行為，不構成破壞計算機信息系統(tǒng)罪。?筆者認為，不應以侵入計算機信息系統(tǒng)內部作為判斷破壞計算機信息系統(tǒng)行為的前置步驟。計算機信息系統(tǒng)的組成部分包括硬件設備、軟件和數據，對其組成部分的改變，只要能夠影響計算機信息系統(tǒng)的運行，就屬于對計算機信息系統(tǒng)本身的侵害，而非只有侵入計算機系統(tǒng)內部，改變運行程序的行為才如是。例如，即便是并未侵入計算機信息系統(tǒng)內部的外部干擾行為，如破壞服務器、通信線纜等硬件設備，也會產生計算機信息系統(tǒng)不能運行的結果。但是非侵入計算機系統(tǒng)內部的外部干擾行為，如果并未影響或改變計算機信息系統(tǒng)本身的運行過程，則并未破壞計算機信息系統(tǒng)的完整性，如控制操作人員等非針對計算機信息系統(tǒng)本身的攻擊行為。而在上文第104 號指導案例中，被告人是針對數據收集系統(tǒng)硬件設備的破壞，采用堵塞棉紗的方法直接使設備無法正常收集數據，影響了計算機信息系統(tǒng)的數據處理和運行，是對計算機信息系統(tǒng)完整性的侵害。因此，侵害計算機信息系統(tǒng)完整性的行為，包括“侵入內部從而改變運行過程”和“外部干擾從而改變運行過程”兩種類型。

其二，本罪規(guī)制的行為類型具有導致計算機信息系統(tǒng)的運行出現較為嚴重的障礙，導致其系統(tǒng)功能和使用功能遭受重大侵害的特征，即侵害了計算機信息系統(tǒng)的可用性?！捌茐挠嬎銠C信息系統(tǒng)功能行為”和“破壞計算機信息系統(tǒng)數據或應用程序行為”，通過破壞計算機信息系統(tǒng)的完整性，導致不能按照需求和設置目的實現計算機信息系統(tǒng)的數據處理功能，損害計算機信息系統(tǒng)順利運行所承載的業(yè)務平穩(wěn)利益。有觀點認為，本罪第1 款規(guī)制的行為類型限于“破壞計算機信息系統(tǒng)功能”行為，而非包括“破壞計算機信息系統(tǒng)使用功能”的行為；第2 款規(guī)制的行為類型則包括“破壞計算機信息系統(tǒng)使用功能”的行為。?筆者不同意該觀點。本罪第1 款列明的“造成計算機信息系統(tǒng)不能正常運行”同樣包括“破壞計算機信息系統(tǒng)使用功能”的情形。在“曾某某、王某某破壞計算機信息系統(tǒng)案”?中，被告人遠程鎖定被害人手機，導致被害人計算機設備不能使用的行為，盡管沒有破壞計算機系統(tǒng)的功能，但其無權遠程鎖定被害人計算機設備的行為，干擾了被害人對計算機設備使用，且這一干擾至為嚴重、徹底。對罪狀的文義解釋應當根據法條而非罪名，從語義上看，將這一破壞計算機信息系統(tǒng)使用功能的行為納入本罪規(guī)制范圍，并未超越對“造成計算機信息系統(tǒng)不能正常運行”的語義范疇，不會突破國民對法條語義的預見和理解。本罪規(guī)制的行為限于干擾計算機信息系統(tǒng)重要使用功能，造成重大損害的類型。原則上，只要造成計算機信息系統(tǒng)硬件設備或者其軟件、應用數據信息不能正常發(fā)揮作用、提供通常使用的情況，都屬于對計算機信息系統(tǒng)“可用性”的破壞?，但基于過濾輕微危害行為的考慮，應當將本罪規(guī)制的行為限制在對計算機信息系統(tǒng)可用性造成“重大性”侵害的范疇，并應結合計算機信息系統(tǒng)的主要功能和目的進行“重大性”的判斷。如在“李某某等破壞計算機信息系統(tǒng)案”?中，被告人實施了冒充購物網站買家，進入網站內部評價系統(tǒng)刪改購物評價的行為?；谫徫镌u價系統(tǒng)的主要功能是通過收集數據，實現在商品、服務搜索方面的流量分配以及網站內部其他業(yè)務運行，行為人對購物評價數據的虛假輸入行為導致計算機信息系統(tǒng)的功能無法正常實現，屬于對計算機信息系統(tǒng)使用功能的重大侵害。因此，當行為對計算機信息系統(tǒng)主要數據處理過程的連續(xù)性、有效性造成干擾、破壞，使其重要的使用功能和運行目的不能實現時，屬于對計算機信息系統(tǒng)可用性的重大侵害。

“假體攻擊型”破解行為并未侵害計算機信息系統(tǒng)的完整性，不構成破壞計算機信息系統(tǒng)罪。無論是鏡頭前還是鏡頭后的假體破解行為，其基本原理均是使人臉識別認證系統(tǒng)采集到虛假的認證對象，從而實現破解人臉識別認證。這類行為盡管使人臉識別認證系統(tǒng)不能發(fā)揮其身份驗證功能，但是并未侵入人臉識別認證系統(tǒng)內部，改變計算機信息系統(tǒng)的硬件、軟件或數據，也并未改變人臉識別認證系統(tǒng)的運行過程，行為缺少侵害計算機信息系統(tǒng)的完整性的特征，因此不屬于“破壞計算機信息系統(tǒng)功能”或“破壞計算機信息系統(tǒng)數據或應用程序行為”的行為。

“內部篡改型”破解行為侵害人臉識別認證系統(tǒng)完整性和可用性，構成破壞計算機信息系統(tǒng)罪。該類行為表現為通過侵入人臉識別認證系統(tǒng)內部，對人臉識別認證系統(tǒng)應用、傳輸的數據進行攻擊、替換、篡改。如修改應用、篡改程序、繞過活體檢測過程，從而使用靜態(tài)圖片破解人臉識別認證；通過截獲并替換數據包等方法，替換、修改用戶端上傳的數據或服務器傳回的報文，破解人臉識別認證。該類行為攻擊、修改計算機信息系統(tǒng)組成部分，中斷、篡改計算機信息系統(tǒng)的運行過程，具有“侵入內部并改變運行過程”的特征，侵害了計算機信息系統(tǒng)的完整性，使人臉識別認證系統(tǒng)不能按原本的運行過程處理數據、產生結果，進行正確的人臉識別認證，發(fā)揮通過人臉生物信息驗證身份的作用，是對計算機信息系統(tǒng)使用功能的重大侵害。因此，該類行為構成破壞計算機信息系統(tǒng)罪。如案例5 中，行為人替換人臉識別認證系統(tǒng)中傳輸數據實現破解的行為，構成破壞計算機信息系統(tǒng)罪。

通過變更數據，影響計算機信息系統(tǒng)主要數據真實性，干擾計算機信息系統(tǒng)主要使用功能的“注冊賬戶型”破解行為，構成破壞計算機信息系統(tǒng)罪。破解人臉識別認證注冊計算機信息系統(tǒng)賬戶，具有更改計算機信息系統(tǒng)數據庫中數據的效果，破壞計算機信息系統(tǒng)信息管理功能的，是對計算機信息系統(tǒng)完整性和可用性的侵害。如案例3 中，行為人通過破解人臉識別認證注冊賬戶，實質上是將虛假的從業(yè)人員信息錄入住建委的從業(yè)人員信息管理系統(tǒng)，不僅具有獲得計算機信息系統(tǒng)使用權限的效果，還更改了計算機信息系統(tǒng)中的數據，使系統(tǒng)的從業(yè)人員身份查證、驗證結果喪失真實性和準確性，對系統(tǒng)的從業(yè)人員身份查證、驗證功能造成破壞。因此，此種“注冊賬戶型”破解行為構成破壞計算機信息系統(tǒng)罪。而案例2、案例5 中的行為，雖然也產生了虛假注冊賬戶的后果，但是此種行為并未對支付寶系統(tǒng)和電子銀行系統(tǒng)的重要使用功能造成破壞，不構成破壞計算機信息系統(tǒng)罪。

綜上，“內部篡改型”破解行為侵入人臉識別認證系統(tǒng)內部，對人臉識別認證系統(tǒng)應用、傳輸的數據進行攻擊、替換、篡改，導致人臉識別認證系統(tǒng)的數據處理功能受到改變、干擾，人臉識別認證功能無法發(fā)揮；部分“注冊賬戶型”破解行為的實質是通過破解人臉識別認證，變更計算機信息系統(tǒng)中的數據，干擾計算機信息系統(tǒng)的重要使用功能。這兩類行為具有破壞計算機信息系統(tǒng)完整性和可用性的特征，構成破壞計算機信息系統(tǒng)罪。

四、結語

伴隨著網絡社會的發(fā)展，人臉識別認證在現實中的應用不斷擴展，相較于傳統(tǒng)的身份驗證、安全保護方式具有更便捷、準確的特點，與此相伴的破解人臉識別認證行為也逐漸增加甚至形成產業(yè)。為了滿足保護計算機信息系統(tǒng)安全的需要，促進技術應用和社會發(fā)展的需求，刑事手段不可避免地需要被用于對破解人臉識別認證行為的規(guī)制。但是，不恰當的行為評價、罪名適用、規(guī)制方式，不僅無助于對相關行為的打擊和對公民、社會利益的保護，也在根基上損害著刑法教義學的嚴謹構建。在對新型犯罪行為予以規(guī)制時，應當區(qū)分行為的不同類型，準確、全面地理解行為的實質侵害性，并在把握相關罪名的規(guī)范保護目的的基礎上，選取恰當罪名予以規(guī)制，才能保證刑法規(guī)制的質量和效果。