非法使用人臉識(shí)別信息的刑法應(yīng)對(duì)

楊 成，梁?；?/p>

（四川輕化工大學(xué)，四川 自貢 643000）

隨著技術(shù)的發(fā)展，大規(guī)?！八⒛槨痹O(shè)備在我國逐漸盛行，“刷臉”在移動(dòng)支付、交通出行以及小區(qū)門禁控制等生活場景中廣泛應(yīng)用，“便捷”已然成為人臉識(shí)別技術(shù)的代名詞。與此同時(shí)，第三方插件無序、任意采集使用人臉識(shí)別信息的問題愈演愈烈，不法分子的破解花招更是層出不窮，為此，抑制人臉識(shí)別信息的非法使用已顯得刻不容緩。越來越多的學(xué)者注意到人臉識(shí)別信息的濫用這一問題，圍繞人臉識(shí)別技術(shù)的風(fēng)險(xiǎn)和規(guī)制、人臉識(shí)別犯罪的準(zhǔn)確認(rèn)定以及信息處理者的規(guī)范使用等方面展開了研究①參見孫道銳：《人臉識(shí)別技術(shù)的社會(huì)風(fēng)險(xiǎn)及其法律規(guī)制》，載《科學(xué)學(xué)研究》2021 年第1 期，第12-20、32 頁；周光權(quán)：《涉人臉識(shí)別犯罪的關(guān)鍵問題》，載《比較法研究》2021 年第6 期，第13-29 頁；冉克平：《如何做好個(gè)人生物識(shí)別信息的保護(hù)與監(jiān)管》，載《人民論壇》2020 年第24 期，第121-123 頁。。對(duì)濫用人臉識(shí)別信息行為的規(guī)制，既是世界各國都重視的問題，也是我們當(dāng)前面臨的濫用人臉識(shí)別技術(shù)所涉及的定罪爭議問題，其立法保護(hù)任重而道遠(yuǎn)。為適應(yīng)公民個(gè)人信息法律保護(hù)的國際走向，我們有必要對(duì)非法使用人臉識(shí)別信息的行為作進(jìn)一步考量和探究，在遵循謙抑性原則的前提下實(shí)現(xiàn)個(gè)人信息更高強(qiáng)度的刑法保護(hù)。

一、人臉識(shí)別信息的法律保護(hù)現(xiàn)狀

人臉識(shí)別信息具有高度人身依附性、唯一指向性等與個(gè)體身份密不可分的專屬特性，相較于姓名、電話號(hào)碼、通信地址等一般信息，人臉具備更強(qiáng)的直接識(shí)別性。那么，究竟什么是人臉識(shí)別信息呢？從國外立法來看，美國和歐盟均采取列舉的方式定義生物識(shí)別信息，將面部數(shù)據(jù)作為重要的生物信息寫入法律條文。美國伊利諾伊州《生物識(shí)別信息隱私法案》采取“列舉+排除”式的界定，生物識(shí)別信息包括面相、指紋、聲音、視網(wǎng)膜、虹膜等②參見張琪、肖冬梅：《我國生物識(shí)別信息界定的司法適用困境與出路》，載《圖書館論壇》2022 年第7 期，第46 頁。，其中面部特征信息包括在內(nèi)；歐盟《通用數(shù)據(jù)保護(hù)條例》采用“定義+列舉”的方式，定義部分從技術(shù)原理、人體特征和識(shí)別目的展開，并列舉了面部圖像、指紋數(shù)據(jù)等③參見前注②。。查詢我國現(xiàn)有的法律規(guī)范，人臉識(shí)別信息的內(nèi)涵屬性并沒有明確統(tǒng)一的界定。在《民法典》中個(gè)人信息的種類包括生物識(shí)別信息；《個(gè)人信息保護(hù)法》把個(gè)人信息分為敏感個(gè)人信息與一般個(gè)人信息，其生物識(shí)別信息包括在敏感個(gè)人信息內(nèi)；《網(wǎng)絡(luò)安全法》則通過列舉的方式將生物識(shí)別信息明確規(guī)定為個(gè)人信息④《民法典》第一千零三十四條第二款：“個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等?！薄秱€(gè)人信息保護(hù)法》第二十八條第一款規(guī)定，敏感個(gè)人信息包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息?！毒W(wǎng)絡(luò)安全法》第七十六條第五項(xiàng)規(guī)定，個(gè)人信息包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。。上述法律規(guī)定均未提及人臉識(shí)別信息，這就導(dǎo)致人們忽視了人臉識(shí)別信息的特殊重要性以及侵犯人臉識(shí)別信息的社會(huì)危害性。對(duì)于人臉識(shí)別信息來說，人臉識(shí)別技術(shù)未來還將廣泛應(yīng)用，而各國都面臨著價(jià)值利用與權(quán)益保障的平衡協(xié)調(diào)問題。從比較法上看，西方國家和其他國家對(duì)人臉識(shí)別信息的法律保護(hù)主要分為兩種。一是以歐盟為代表的統(tǒng)一立法模式，二是美國各州的分散立法模式。其中歐盟對(duì)人臉識(shí)別信息的使用規(guī)制總體上較為嚴(yán)格，《通用數(shù)據(jù)保護(hù)條例》與“108公約 + ”均規(guī)定原則上禁止處理個(gè)人敏感信息，只有在處理該類信息是法定必要的，在得到信息主體明示同意后才能處理⑤參見高仲劭：《人臉識(shí)別信息處理行為的法律規(guī)制》，載《學(xué)習(xí)論壇》2022 年第1 期，第133 頁。；美國各州在 2019 年、2020 年先后頒布《監(jiān)視及社區(qū)安全法令》《薩默維爾禁止人臉技術(shù)監(jiān)控條例》以及《面部識(shí)別禁令》，直接禁止政府部門使用人臉識(shí)別技術(shù)⑥參見倪楠、王敏：《人臉識(shí)別技術(shù)中個(gè)人信息保護(hù)的法律規(guī)制》，載《人文雜志》2022 年第2 期，第123 頁。，而在商業(yè)應(yīng)用方面，更多依賴行業(yè)自律規(guī)范。

在“互聯(lián)網(wǎng)+”場域下，人臉識(shí)別信息被大量地商業(yè)獲取、跨境轉(zhuǎn)移和處理，許多國家面臨著利用人臉識(shí)別技術(shù)實(shí)施跨國犯罪問題。不止如此，人臉識(shí)別信息被第三方二次挖掘和利用，這種跨境使用行為容易成為國家監(jiān)管的灰色地帶。考察國外刑事立法，德國形成了一個(gè)以數(shù)據(jù)為中心的刑事司法規(guī)則體系，《刑法典》除了設(shè)有窺探數(shù)據(jù)罪、截獲數(shù)據(jù)罪，同時(shí)還將“非法刪除、限制訪問數(shù)據(jù)”這種行為規(guī)定為犯罪⑦參見德國《刑法典》第202a 條窺探數(shù)據(jù)罪、第202b 條截獲數(shù)據(jù)罪、第303a 條數(shù)據(jù)變更罪。，可以看出，德國刑法已經(jīng)涉及信息濫用這一核心環(huán)節(jié)的個(gè)人數(shù)據(jù)保護(hù)；英國《2018 年數(shù)據(jù)保護(hù)法案》明確規(guī)定未經(jīng)數(shù)據(jù)控制者同意重新識(shí)別個(gè)人數(shù)據(jù)的，構(gòu)成犯罪⑧參見英國《2018 年數(shù)據(jù)保護(hù)法案》第171 條第1 款。；2020 年新加坡修改《個(gè)人數(shù)據(jù)保護(hù)法案》，新增未經(jīng)匿名數(shù)據(jù)控制者同意重新識(shí)別匿名數(shù)據(jù)指向個(gè)人身份的，構(gòu)成犯罪，可處2年以下監(jiān)禁，或者5000 新加坡元的罰款，兩者可并罰⑨參見新加坡《個(gè)人數(shù)據(jù)保護(hù)法案》（2020 年）第48F 條第1 款。。上述各國的立法表明，有關(guān)侵犯個(gè)人信息的行為類型不斷細(xì)化，其刑事法網(wǎng)日益嚴(yán)密。從我國現(xiàn)有立法框架下來看，刑法對(duì)侵犯公民個(gè)人信息罪的行為類型規(guī)制存在“真空地帶”。一方面，侵犯公民個(gè)人信息罪只懲治非法獲取、提供和出售這三種上游犯罪行為，而忽略了非法持有和使用的入罪邊界。另一方面，根據(jù)司法解釋的規(guī)定，人臉識(shí)別信息并未在明確列舉的個(gè)人信息中，因此其只能歸屬于第二類的“其他可能影響人身、財(cái)產(chǎn)安全的公民個(gè)人信息”范疇，適用更高的入罪門檻⑩根據(jù)《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》第五條第一款第四項(xiàng)的規(guī)定，非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財(cái)產(chǎn)安全的公民個(gè)人信息五百條以上的，達(dá)到“情節(jié)嚴(yán)重”程度，構(gòu)成犯罪。，這對(duì)于打擊個(gè)人信息犯罪行為十分不利，勢必使侵犯公民個(gè)人信息罪處于被動(dòng)的附隨地位?；诖?，我國刑法與他法缺乏有效且合理的銜接，更加周延地保護(hù)個(gè)人信息的主張很難得到落實(shí)。民法和行政法對(duì)人臉識(shí)別信息的泄漏和濫用有一定的監(jiān)管空間，但面對(duì)不當(dāng)濫用人臉識(shí)別信息愈演愈烈之勢，很大程度上仍需要依靠刑法托底進(jìn)行懲治，從而做到有效的事前預(yù)防與事后制裁。

二、人臉識(shí)別信息使用權(quán)限的劃分

人臉識(shí)別信息的價(jià)值和利益具有多元性，背后體現(xiàn)的是個(gè)體屬性與社會(huì)屬性的融合，二者既相互關(guān)聯(lián)又相互轉(zhuǎn)化，在無法對(duì)潛在風(fēng)險(xiǎn)做到有效事前預(yù)防和事后補(bǔ)救的情況下，海量人臉識(shí)別信息的極速跨境流轉(zhuǎn)時(shí)刻威脅著主體的信息安全。

（一）信息主體對(duì)人臉識(shí)別信息的控制權(quán)

信息主體有權(quán)決定是否以及在何種程度上披露、共享和使用人臉識(shí)別信息。換言之，公民對(duì)自己的人臉識(shí)別信息享有自主控制的權(quán)利，包含對(duì)其信息的分享、傳播、用途、使用方式、使用程度的自主決定與知情同意。人臉識(shí)別信息一旦泄露便無法挽回，對(duì)信息主體造成持續(xù)且不可逆的終身損害，其風(fēng)險(xiǎn)甚至是難以估量的。人臉識(shí)別技術(shù)能夠在遠(yuǎn)距離、無接觸條件下自動(dòng)捕獲人臉，通過隱蔽手段批量獲取并利用面部信息的行為無法留下痕跡 ，跨境流轉(zhuǎn)增加了公民獲取證據(jù)的難度，致使濫用行為恣意猖獗。由于人臉普遍暴露在各種公共場所，公民經(jīng)常在毫無察覺的情況下被采集人臉識(shí)別信息，即使首次授權(quán)同意后，對(duì)于后續(xù)其信息的流轉(zhuǎn)濫用也難以有效監(jiān)管。特別是數(shù)據(jù)的深度挖掘應(yīng)用，人臉識(shí)別信息可一鍵轉(zhuǎn)變?yōu)殡娮訑?shù)據(jù)，侵犯個(gè)人信息越發(fā)呈現(xiàn)規(guī)模化特征，而被侵害者分散、個(gè)人維權(quán)成本高、舉證能力有限等因素使得補(bǔ)救措施步履維艱。在門禁控制、檢票進(jìn)站、打卡簽到等諸多生活場景中，我們經(jīng)常被要求“刷臉”，若拒絕“刷臉”，則基本上無法進(jìn)入相關(guān)場所或使用相關(guān)服務(wù)。例如“我國人臉識(shí)別第一案”，2019 年4 月，郭兵在杭州野生動(dòng)物世界購買了一張雙人年卡，留下了個(gè)人指紋等身份信息方便入園。隨后動(dòng)物園將入園方式更改為人臉驗(yàn)證，并群發(fā)短信通知用戶激活人臉信息，否則將無法正常入園。2019 年10 月，郭某向人民法院提起訴訟，認(rèn)為人臉識(shí)別信息屬于私人敏感數(shù)據(jù)，園方強(qiáng)制“刷臉”應(yīng)屬無效，請(qǐng)求刪除相關(guān)信息并賠償費(fèi)用。一審法院判令杭州野生動(dòng)物世界刪除郭某在辦理年卡時(shí)提交的面部特征信息，并賠償相應(yīng)損失?參見浙江省杭州市富陽區(qū)人民法院（2019）浙0111 民初6971 號(hào)民事判決書。。隨處可見的APP 過度授權(quán)、強(qiáng)制授權(quán)等實(shí)則超過了信息主體的自主控制范圍，比如一些租賃類APP 在沒有面部識(shí)別和信息錄入的情況下，便無法進(jìn)入界面，用戶面臨著用隱私換取便利或者得不到服務(wù)的兩難境地，此時(shí)用戶的同意還具有效力嗎？“知情同意原則”是許多國家關(guān)于使用公民個(gè)人信息的共同規(guī)范，但對(duì)于兩方力量的懸殊，很難說信息主體同意的意思是真實(shí)且沒有瑕疵的，更像是一種“被迫自愿”的同意。當(dāng)然，個(gè)人也并不享有對(duì)人臉識(shí)別信息絕對(duì)的支配權(quán)，應(yīng)協(xié)調(diào)平衡好數(shù)據(jù)產(chǎn)業(yè)發(fā)展與個(gè)人信息保護(hù)之間的矛盾，做到符合比例原則。

（二）信息處理者對(duì)人臉識(shí)別信息的使用權(quán)

就人臉識(shí)別信息的處理者而言，政府機(jī)構(gòu)把人臉識(shí)別技術(shù)廣泛用于公共場所的監(jiān)控場景，同時(shí)企業(yè)也不斷挖掘使用，將身份驗(yàn)證運(yùn)用到我們的日常生活中，以加強(qiáng)監(jiān)控和提高管理效率等?參見杜嘉雯、皮勇：《人工智能時(shí)代生物識(shí)別信息刑法保護(hù)的國際視野與中國立場——從“人臉識(shí)別技術(shù)”應(yīng)用下濫用信息問題切入》，載《河北法學(xué)》2022 年第1 期，第158 頁。。無處不在的“刷臉”不禁讓人擔(dān)憂，人臉識(shí)別是必要的唯一驗(yàn)證方式嗎？我的“臉”會(huì)被盜刷嗎？如果被盜刷了，應(yīng)當(dāng)如何補(bǔ)救？在這種情況下，如何確保人臉識(shí)別技術(shù)應(yīng)用以及面部數(shù)據(jù)安全，就成了一個(gè)關(guān)鍵性問題。首先，公共主體與商業(yè)主體應(yīng)受到不同的使用限制。在我國，無論是政府、社區(qū)還是商家，都存在任意安裝人臉識(shí)別技術(shù)的現(xiàn)象，以提高效率為名變相強(qiáng)制人們“刷臉”驗(yàn)證。如若不服，則投訴無門，只能對(duì)簿公堂，但訴訟成本高昂。因此，對(duì)于公共機(jī)關(guān)而言，只有在涉及國家安全與嚴(yán)重犯罪的情形下，可以未經(jīng)信息主體同意使用該類信息。而對(duì)于企業(yè)來說，人臉識(shí)別信息的使用必須與特定的商品或服務(wù)直接相關(guān)，并且對(duì)實(shí)現(xiàn)商品和服務(wù)的功能和內(nèi)容至關(guān)重要。美國加州在通過的《人臉識(shí)別技術(shù)法案》中強(qiáng)調(diào)，對(duì)于政府部門的使用規(guī)制，主要是任意使用、特許使用以及禁止使用三種制度并存。商業(yè)主體采集人臉識(shí)別信息時(shí)，應(yīng)當(dāng)告知信息主體使用目的并取得其同意。其次，個(gè)人面部信息的使用是否合理，必須根據(jù)特定情況下的一些因素來評(píng)估。2021 年7 月，我國最高人民法院公布了一份專門針對(duì)人臉識(shí)別應(yīng)用的法律文件，明確規(guī)定了在突發(fā)公共事件、緊急情況和維護(hù)公共安全等情形下信息處理者不承擔(dān)民事責(zé)任。面對(duì)個(gè)人利益與公共利益交錯(cuò)的情形，我們理當(dāng)更加明確信息處理者使用人臉識(shí)別信息的場景，從而避免造成難以挽回的危害結(jié)果。更應(yīng)嚴(yán)格把控刑法介入的程度，有必要從法益平衡的角度出發(fā)，依據(jù)人臉識(shí)別信息在不同場景中所涉及的權(quán)益統(tǒng)籌考量，為科學(xué)的刑事立法提供正確的指引。最后，對(duì)于人臉識(shí)別信息的使用應(yīng)持謹(jǐn)慎態(tài)度，在特定情況下收集的人臉識(shí)別信息不應(yīng)將其運(yùn)用到其他場景中。比如說，學(xué)校運(yùn)用人臉識(shí)別技術(shù)組織驗(yàn)證學(xué)生考試信息，在此場景下，人臉識(shí)別信息的收集和使用行為以身份識(shí)別驗(yàn)證為目的，這無可厚非。但是，此后學(xué)校又將上述場景下收集到的人臉識(shí)別信息來控制學(xué)生進(jìn)出校園，甚至監(jiān)控學(xué)生的課堂學(xué)習(xí)狀況，這一行為顯然超出了合理使用的必要范圍。

三、非法使用人臉識(shí)別信息的犯罪化問題

數(shù)字化辦公與社交使得人臉識(shí)別信息被濫用的負(fù)面影響迅速擴(kuò)大，如果不嚴(yán)格規(guī)制人臉識(shí)別技術(shù)，將會(huì)使不法分子利用境外網(wǎng)站逃避監(jiān)管，對(duì)公民的人身安全與財(cái)產(chǎn)安全造成極大的危害，故而有必要重新審視使用人臉識(shí)別信息所產(chǎn)生的的法律問題。

（一）人臉識(shí)別技術(shù)過度應(yīng)用的社會(huì)危害性

在人工智能發(fā)展如火如荼的形勢下，公民個(gè)人信息的輸送利用日益打破國家與地域的限制，實(shí)現(xiàn)了數(shù)據(jù)的高度互聯(lián)互通，而被潛在風(fēng)險(xiǎn)裹挾的人臉識(shí)別信息的濫用、無序使用已經(jīng)嚴(yán)重威脅到公民人身和財(cái)產(chǎn)安全，保護(hù)好自己的“臉”似乎變得越來越難。

1.助長侵犯個(gè)人信息的黑灰產(chǎn)業(yè)鏈

人臉識(shí)別在創(chuàng)造技術(shù)紅利的同時(shí)，其非法運(yùn)用也引發(fā)了不可忽視的社會(huì)治理風(fēng)險(xiǎn)。目前，利用人臉識(shí)別技術(shù)獲取暴利的黑灰產(chǎn)業(yè)已經(jīng)越來越猖狂。在某些黑色交易平臺(tái)上，大批量的面部照片標(biāo)價(jià)極低，6000 余張的用戶人臉照，甚至還不到10 塊錢，不法分子將購買到的照片制作成動(dòng)態(tài)視頻，從而騙過后臺(tái)認(rèn)證環(huán)節(jié)。面對(duì)這項(xiàng)新技術(shù)，黑客們?cè)缫寻崔嗖蛔?，虛假?yàn)證行為恣意猖獗，并逐漸形成“過臉”產(chǎn)業(yè)。他們?cè)谖⑿拧⑽⒉?、QQ 等平臺(tái)上發(fā)布人臉信息兜售業(yè)務(wù)，等待買家提出具體的“刷臉”要求，通過淘寶、咸魚等電商平臺(tái)購買人臉識(shí)別信息和身份證照片，將這些信息技術(shù)加工形成虛假的人臉驗(yàn)證視頻，然后將其高價(jià)賣出，或者將二者打包成商品，連同“人臉活化”工具及教程一起售賣，最終買家通過手機(jī)APP 上的人臉識(shí)別驗(yàn)證，將這些實(shí)名賬號(hào)用于“薅羊毛”、出售牟利、“刷單”等。例如在張富、余杭飛等侵犯公民個(gè)人信息罪一案中，被告為牟取非法利益，將非法獲取的公民個(gè)人信息，通過軟件技術(shù)將公民頭像照片制作成3D 頭像，從而完成新人的支付寶人臉識(shí)別認(rèn)證，再利用這種方式來獲取邀請(qǐng)注冊(cè)新用戶的相應(yīng)紅包獎(jiǎng)勵(lì)?參見浙江省衢州市中級(jí)人民法院（2019）浙08 刑終333 號(hào)刑事裁定書。。伴隨著網(wǎng)絡(luò)實(shí)名制的推行，過去的單項(xiàng)身份認(rèn)證變成了現(xiàn)在的雙重實(shí)人認(rèn)證，而黑灰產(chǎn)業(yè)的核心資源也從數(shù)據(jù)流量轉(zhuǎn)向了人臉識(shí)別信息。一旦人臉成為賬戶登入或支付口令時(shí)，人臉信息相當(dāng)于密碼，很容易通過遠(yuǎn)程“刷臉”被非法使用，造成不知情情況下的人身損害及財(cái)產(chǎn)損失?參見胡凌：《刷臉：身份制度、個(gè)人信息與法律規(guī)制》，載《法學(xué)家》2021 年第2 期，第52 頁。。非法使用環(huán)節(jié)將前端的獲取、出售、提供公民個(gè)人信息的非法侵害具體化，滋長了收集人臉識(shí)別信息的上游活動(dòng)。非法使用他人人臉識(shí)別信息的行為并非為孤立的犯罪鏈條，該行為又與下游的敲詐勒索、盜竊等一系列犯罪交織在一起，使得個(gè)人信息犯罪圈成為完美閉環(huán)。獨(dú)立來看，如若司法機(jī)關(guān)未掌握下游的犯罪證據(jù)，對(duì)非法使用人臉識(shí)別信息行為的制約也將化為泡影。

2.加劇針對(duì)信息主體的精準(zhǔn)犯罪風(fēng)險(xiǎn)

人臉識(shí)別信息具備專屬性、直接識(shí)別性、不可匿名性等特質(zhì)，可以直接關(guān)聯(lián)用戶的個(gè)人身份、行蹤軌跡等其他敏感信息，不法分子可利用人臉識(shí)別信息精確勾勒出用戶畫像，看準(zhǔn)個(gè)體的人身與財(cái)產(chǎn)“對(duì)癥下藥”，信息主體的權(quán)益極容易被侵犯。在數(shù)字經(jīng)濟(jì)時(shí)代，信息使用者眾多，侵害人臉識(shí)別信息的主體也愈發(fā)多元，而該類信息可囊括與個(gè)人身份相關(guān)的其他信息，為不法分子針對(duì)個(gè)體犯罪提供了便利，而被收集人臉識(shí)別信息的我們都可能成為受害者。當(dāng)下，規(guī)模龐大且復(fù)雜的信息跨境流動(dòng)逐漸成為常態(tài)，以致利用人臉識(shí)別信息實(shí)施犯罪呈現(xiàn)出高發(fā)頻發(fā)態(tài)勢，大量的網(wǎng)絡(luò)詐騙和敲詐勒索犯罪屢禁不止。此類案件危害性極大，由于超強(qiáng)的隱蔽性，破案更是難上加難，由此給受害者造成了不可挽回的損害。在日常生活中，許多商家在消費(fèi)者不知情的情況下使用攝像頭采集用戶面部數(shù)據(jù)，商家可基于收集到的人臉信息分析用戶資料，形成線上與線下對(duì)消費(fèi)者的全過程監(jiān)控，針對(duì)用戶進(jìn)行精準(zhǔn)營銷，甚至大數(shù)據(jù)殺熟。實(shí)際上，國外早在2017 年就出現(xiàn)了一款A(yù)I 換臉應(yīng)用程序，利用“深度偽造”技術(shù)換臉當(dāng)紅明星，其偽造加工的多個(gè)色情視頻在網(wǎng)上迅速傳播開來?參見王祿生：《論“深度偽造”智能技術(shù)的一體化規(guī)制》，載《東方法學(xué)》2019 年第6 期，第58 頁。，對(duì)個(gè)人權(quán)益造成極大威脅。這種“越軌”后的人臉識(shí)別技術(shù)給個(gè)人工作與生活帶來了諸多困擾，用戶不僅僅要面臨無休止的商業(yè)推廣轟炸，更是對(duì)網(wǎng)絡(luò)詐騙防不勝防。近年來，不法分子依據(jù)人臉識(shí)別信息順藤摸瓜，精準(zhǔn)挖掘出信息主體的詳細(xì)信息，對(duì)下手對(duì)象可以說是了如指掌，受害者一步步陷入為其量身打造的圈套，上當(dāng)受騙，造成的損失巨大。相比以往詐騙的隨機(jī)性，如今可憑借大數(shù)據(jù)和人臉識(shí)別技術(shù)，將獲取的海量個(gè)人數(shù)據(jù)篩選、分類，詐騙者因此做到目標(biāo)明確，從而更高效實(shí)施大面積的精準(zhǔn)詐騙。各種利用人臉識(shí)別技術(shù)的欺騙性手段不僅挑戰(zhàn)著包括企業(yè)、社會(huì)組織乃至國家的認(rèn)證能力，而且對(duì)于像個(gè)“透明人”的受害者來說幾乎無路可逃，導(dǎo)致信息主體為便捷和智能發(fā)展中的潛在風(fēng)險(xiǎn)而“買單”。

（二）我國非法使用人臉識(shí)別信息的治理困境

從域外法治的現(xiàn)實(shí)情況可知，美國與歐盟在立法上對(duì)于人臉識(shí)別信息保護(hù)有較為完備的立法體系，但目前我國刑法對(duì)人臉識(shí)別信息的保護(hù)力度不足，導(dǎo)致對(duì)非法使用人臉識(shí)別信息行為的管制陷入失靈的窘境。

1.上游犯罪無法涵蓋非法使用行為

人臉識(shí)別信息的非法使用是信息黑灰產(chǎn)業(yè)鏈中最關(guān)鍵的輸出環(huán)節(jié)，但未被侵犯公民個(gè)人信息罪的現(xiàn)有規(guī)定涵蓋在內(nèi)。首先，侵犯公民個(gè)人信息罪的行為方式只局限于信息收集環(huán)節(jié)，對(duì)于非法使用這一行為類型，刑法不進(jìn)行單獨(dú)評(píng)價(jià)。從犯罪階段來看，非法獲取、出售和提供行為都處于個(gè)人信息黑灰產(chǎn)業(yè)鏈的上游階段，而非法使用行為處于下游，侵犯公民個(gè)人信息罪無法將其納入現(xiàn)有評(píng)價(jià)體系。其次，使用行為是信息掌握者對(duì)他人人臉識(shí)別信息的支配與操縱，而獲取、出售和提供則是雙方或多方主體之間對(duì)人臉識(shí)別信息的收集和轉(zhuǎn)移，存在本質(zhì)上的區(qū)別，無法通過司法解釋的方式將使用行為納入目前所列舉的行為類型之中。最后，作為極其敏感的面部識(shí)別信息，具有唯一指向性、不易變更性等特征，其重要性遠(yuǎn)大于普通的公民個(gè)人信息，但人臉識(shí)別信息并未在法條明確列舉的公民個(gè)人信息中。處在人工智能的發(fā)展風(fēng)口，侵害人臉識(shí)別信息的新型手段不斷涌現(xiàn)，而使用行為對(duì)信息主體具有直接侵害性，適用最高的入罪標(biāo)準(zhǔn)與非法使用人臉信息的嚴(yán)重危害性不匹配，容易造成罪責(zé)刑不相適應(yīng)，立法對(duì)個(gè)人信息的保護(hù)顯然滯后。在現(xiàn)代信息場域下，濫用個(gè)人信息不再以非法獲取他人信息為前提條件，并且不當(dāng)濫用人臉識(shí)別信息的侵害遠(yuǎn)遠(yuǎn)大于非法獲取行為。獲取行為分為“合法獲取”和“非法獲取”，合法獲取他人信息后的合法使用行為是合法的，自然不屬于刑法的規(guī)制范疇，而非法獲取后的使用行為無論合法與否都被納入侵犯公民個(gè)人信息罪的處罰范圍。但在司法實(shí)務(wù)中，往往可能會(huì)因非法獲取人臉識(shí)別信息的行為未達(dá)到入罪標(biāo)準(zhǔn)但非法使用行為已侵害他人權(quán)益，對(duì)此刑法幾乎無力應(yīng)對(duì)，這也造成侵犯公民個(gè)人信息罪的處罰漏洞，弱化了對(duì)人臉識(shí)別信息的保護(hù)，令不法分子有機(jī)可乘。

2.下游犯罪無法打擊非法使用行為

針對(duì)個(gè)人信息黑色產(chǎn)業(yè)鏈的末端，目前我國刑事法律主要通過懲處下游犯罪以期達(dá)到打擊非法使用人臉識(shí)別信息行為的附隨效果。例如，非法使用他人人臉識(shí)別信息進(jìn)行實(shí)名認(rèn)證，進(jìn)而在網(wǎng)絡(luò)上實(shí)施詐騙，此時(shí)定詐騙罪可以處理危害結(jié)果，但卻忽視了對(duì)信息主體的個(gè)人信息權(quán)的保護(hù)。這種應(yīng)對(duì)進(jìn)路過于被動(dòng)，存在本質(zhì)上的固有缺陷。第一，這種以末端打擊非法利用人臉識(shí)別信息行為的刑事制裁制度，強(qiáng)調(diào)的是追溯性的懲罰，而不是事前主動(dòng)的預(yù)防。一旦人臉識(shí)別信息被用于極其嚴(yán)重的違法犯罪活動(dòng)，損失就難以彌補(bǔ)，甚至可能永久存續(xù)。第二，非法使用人臉識(shí)別信息的行為使得前端的非法獲取、提供或出售滋生蔓延，同時(shí)又幫助后續(xù)的盜竊、詐騙等犯罪活動(dòng)，該行為具有單獨(dú)評(píng)價(jià)的意義。值得討論的情況是，行為人合法取得他人人臉識(shí)別信息，但在非法使用的過程中不觸犯其他罪名，非法使用行為應(yīng)當(dāng)如何處理？就現(xiàn)有適用的罪名來看，沒有具體罪名可以來應(yīng)對(duì)嚴(yán)重的非法使用人臉信息行為，下游犯罪所保護(hù)的法益也并不是公民的個(gè)人信息權(quán)益，因此不能準(zhǔn)確揭示該行為的不法本質(zhì)。比如，行為人將合法獲得的他人面部信息通過AI 換臉制作合成大量淫穢視頻，基于現(xiàn)行刑法評(píng)價(jià)，合法獲取但非法使用他人人臉信息不構(gòu)成侵犯公民個(gè)人信息罪，根據(jù)營利目的和侵害程度，構(gòu)成傳播淫穢物品牟利罪或者傳播淫穢物品罪。顯然，犯罪人侵犯他人人臉識(shí)別信息的行為沒有受到譴責(zé)，信息主體獨(dú)自承擔(dān)著該行為所帶來的侵害結(jié)果，這種僅兩端的負(fù)面評(píng)價(jià)機(jī)制明顯是不充分的。為此，對(duì)于涉敏感信息的案件逐一認(rèn)定人臉識(shí)別信息的數(shù)量，對(duì)于確保準(zhǔn)確評(píng)價(jià)濫用行為完全必要。

四、非法使用人臉識(shí)別信息行為的入罪化思考

濫用人臉識(shí)別信息的現(xiàn)象愈演愈烈，各國都在著力探索其法律規(guī)制路徑，我們有必要探索公民個(gè)人信息法律保護(hù)的基本走向，對(duì)個(gè)人信息的保護(hù)標(biāo)準(zhǔn)提出更高的要求，研究非法使用人臉識(shí)別信息這一行為入罪的必要性，破解人臉識(shí)別信息非法使用的治理困境。

（一）增加侵犯公民個(gè)人信息罪的行為方式

當(dāng)前刑法只對(duì)非法獲取、提供以及出售個(gè)人信息的行為處以刑事責(zé)任，相對(duì)而言，對(duì)前述非法使用個(gè)人信息的行為則出現(xiàn)了防范漏洞。如僅非法持有他人人臉信息是否構(gòu)成侵犯公民個(gè)人信息罪？侵犯公民個(gè)人信息罪屬于情節(jié)犯，對(duì)非法持有個(gè)人信息的行為進(jìn)行單獨(dú)評(píng)價(jià)，自然不具有合理性。司法機(jī)關(guān)過早介入其中，反而會(huì)使敏感的人臉識(shí)別信息被迫公開，背離保護(hù)公民個(gè)人信息的初衷。侵犯公民個(gè)人信息罪是刑法規(guī)范體系下為保護(hù)公民個(gè)人信息最主要的罪名，對(duì)于規(guī)制有關(guān)人臉識(shí)別信息的新興犯罪迫在眉睫，為應(yīng)對(duì)“非法使用”行為帶來的危機(jī)與風(fēng)險(xiǎn)，理應(yīng)對(duì)該罪的相關(guān)法律規(guī)定和司法解釋進(jìn)行修改。其一，將人臉識(shí)別信息解釋為公民個(gè)人信息，明確列舉個(gè)人信息的種類。人工智能縱深發(fā)展，信息傳播方式隨之變化，人臉識(shí)別信息作為可識(shí)別特定自然人的敏感信息，是公民個(gè)人信息在網(wǎng)絡(luò)空間的新的呈現(xiàn)方式，在解釋公民個(gè)人信息的內(nèi)涵時(shí)，應(yīng)將人臉識(shí)別信息歸入其中，以適應(yīng)逐漸擴(kuò)張的公民個(gè)人信息的范圍，因此可以將其歸于第二類可能影響公民人身、財(cái)產(chǎn)的信息。一方面，它能夠從定義上肯定人臉識(shí)別信息的特殊性與重要性，使信息處理者和公民提高對(duì)此類信息的保護(hù)意識(shí)；另一方面，它可以明確在司法實(shí)務(wù)中的入罪界限，對(duì)使用人臉識(shí)別信息實(shí)施相關(guān)犯罪的行為形成有效威懾與制約。其二，通過前述對(duì)域外立法的考察，可以看出大多數(shù)國家都規(guī)制了“非法使用”這一行為。因非法使用行為不包括在侵犯公民個(gè)人信息罪的行為方式中，司法解釋也無法涵蓋該類方式。因此只能通過制定刑法修正案的方式，在侵犯公民個(gè)人信息罪中增加“非法使用”這一行為方式，與非法獲取、非法出售和非法提供三種行為并列，使其共同由侵犯公民個(gè)人信息罪進(jìn)行規(guī)制?參見劉仁文：《論非法使用公民個(gè)人信息行為的入罪》，載《法學(xué)論壇》2019 年第6 期，第125 頁。。非法獲取后的使用行為已經(jīng)被本罪從源頭進(jìn)行規(guī)制，所以這里所討論的“非法使用”行為是以合法獲取為前提的，而“非法使用”行為相較于“非法獲取、出售、提供”行為的法益侵害性更強(qiáng)，理應(yīng)從重處罰。因此，應(yīng)當(dāng)將“非法使用”行為添加到《刑法》第二百五十三條之一第二款的罪狀中，該條款即修改為“違反國家有關(guān)規(guī)定，將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，出售、提供給他人的，或者非法使用的，依照前款的規(guī)定從重處罰”。

（二）完善侵犯公民個(gè)人信息罪“情節(jié)嚴(yán)重”的認(rèn)定標(biāo)準(zhǔn)

只有準(zhǔn)確把握“情節(jié)嚴(yán)重”，才能為侵犯公民個(gè)人信息罪提供有力的司法保障。相較于刑法明確列舉的信息種類，人臉識(shí)別信息一旦被非法利用，不僅容易引發(fā)綁架、詐騙等侵害人身財(cái)產(chǎn)的犯罪，還可能對(duì)公共利益乃至國家安全造成嚴(yán)重威脅，我們理應(yīng)對(duì)“情節(jié)嚴(yán)重”作進(jìn)一步的解釋說明，適當(dāng)降低針對(duì)面部信息的法定升格刑數(shù)量，以滿足公眾對(duì)人臉識(shí)別信息保護(hù)的期許。我國刑事立法對(duì)公民個(gè)人信息實(shí)行梯度性保護(hù)，為不同種類的信息設(shè)置了從嚴(yán)到寬的入罪數(shù)量標(biāo)準(zhǔn)，由于人臉識(shí)別信息泄漏帶來的不可逆轉(zhuǎn)性，有必要對(duì)其采用更為嚴(yán)格的認(rèn)定標(biāo)準(zhǔn)。具體而言，可以將“非法獲取、提供、出售及使用人臉識(shí)別信息5 條以上”認(rèn)定為“情節(jié)嚴(yán)重”，將“非法獲取、提供、出售及使用人臉識(shí)別信息50 條及以上”認(rèn)定為“情節(jié)特別嚴(yán)重”，由此實(shí)現(xiàn)對(duì)人臉識(shí)別信息的特殊刑法保護(hù)?參見王德政：《針對(duì)生物識(shí)別信息的刑法保護(hù)：現(xiàn)實(shí)境遇與完善路徑——以四川“人臉識(shí)別案”為切入點(diǎn)》，載《重慶大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》2021 年第2 期，第141 頁。。從犯罪情節(jié)考慮，人臉識(shí)別信息的應(yīng)用場景多樣，且難以絕對(duì)量化，單純依靠信息數(shù)量無法完全抑制侵害行為，比如，借助前沿科技手段而異化出來的深度偽造型犯罪。根據(jù)相關(guān)司法解釋的規(guī)定，“情節(jié)嚴(yán)重”與“情節(jié)特別嚴(yán)重”的認(rèn)定標(biāo)準(zhǔn)包括涉案信息用途、行為次數(shù)、實(shí)際危害后果等綜合要素，這些標(biāo)準(zhǔn)能夠?yàn)榉欠ㄊ褂眯袨榈娜胱锾峁﹨⒖?。在解釋“情?jié)嚴(yán)重”時(shí)可以根據(jù)行為惡劣程度，列舉如惡意濫用、欺詐冒用、擅自允許第三方參與使用、改變目的或方式使用等，用以界分一般不當(dāng)使用信息行為?參見劉雙陽、李川：《大數(shù)據(jù)時(shí)代個(gè)人信息法益刑法保護(hù)的應(yīng)然轉(zhuǎn)向——以規(guī)制非法使用個(gè)人信息為重點(diǎn)》，載《重慶大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》2022 年第6 期，第238 頁。。與此同時(shí)，明確列舉非法使用行為給信息主體或社會(huì)秩序造成嚴(yán)重后果的情形，并認(rèn)定為本罪的“情節(jié)嚴(yán)重”。如使用他人人臉識(shí)別信息破解身份驗(yàn)證，盜刷銀行卡造成他人重大財(cái)產(chǎn)損失；深度偽造他人面部信息使受害者身體或精神狀況受到嚴(yán)重影響?！斑^臉”產(chǎn)業(yè)極易引發(fā)信息網(wǎng)絡(luò)秩序混亂，同時(shí)引發(fā)重大違法行為與其他犯罪，唯有明確司法實(shí)踐中的入罪尺度，才能實(shí)現(xiàn)懲戒犯罪與發(fā)展技術(shù)的二者平衡，強(qiáng)化公民個(gè)人信息保護(hù)。

結(jié)語

在這個(gè)科技日新月異的時(shí)代，人臉識(shí)別應(yīng)用場景持續(xù)拓展豐富，“刷臉”消費(fèi)、“刷臉”取件、“刷臉”測溫等，成了許多人再熟悉不過的常規(guī)操作。隨著面部信息潛在價(jià)值的持續(xù)發(fā)掘，伴隨產(chǎn)生的風(fēng)險(xiǎn)也逐漸增多，非法使用人臉識(shí)別信息的犯罪愈發(fā)嚴(yán)重且迅速蔓延，如何對(duì)其進(jìn)行有效防治已然成為信息社會(huì)的重大命題。國外對(duì)人臉識(shí)別信息保護(hù)的相關(guān)制度和研究能提供給我國借鑒的思路，尤其是如果仍僵化適用侵犯公民個(gè)人信息罪，或者必須達(dá)到下游入罪門檻才進(jìn)行懲治，勢必難以從根本上預(yù)防與制裁此類危害行為。因此必須進(jìn)行路徑轉(zhuǎn)換，完善侵犯公民個(gè)人信息罪，明確侵害公民人臉信息的行為界限。基于人臉識(shí)別信息的超強(qiáng)保護(hù)必要性，對(duì)“情節(jié)嚴(yán)重”的認(rèn)定標(biāo)準(zhǔn)進(jìn)行更新與完善，有效回應(yīng)新時(shí)代的司法需求。