1、2023年6 月第2 3卷第2 期河北公安警察职业学院学报Journal of Hebei Vocational College of Public Security PoliceJun.2023Vol.23 No.2人脸识别技术刑法规制的限度、维度与强度姜野杨颖(河北师范大学,河北石家庄0 50 0 2 4)摘要:人脸识别技术正在被广泛应用于系统登录、移动支付、识别验证等场景,由于人脸识别信息与信息主体的人格权益存在极强的关联性,一旦人脸识别技术被破解或被滥用极易产生侵害信息与财产安全的风险。现有的民法保护和行政法管理手段不足以制利用人脸识别技术的相关违法犯罪行为。通过对涉人脸识别犯罪的要件
2、分析发现存在罪名认定、罪数确定、量刑标准判定等方面的困境。有必要明确刑法规制的限度,扩展刑法规制的维度,平衡刑法规制的强度,在保护公民人身财产安全的前提下保障人脸识别技术的有序发展。关键词:人脸识别技术;敏感个人信息;刑法规制;侵犯公民个人信息罪中图分类号:D924文献标识码:A文章编号:16 7 2-6 40 5(2 0 2 3)0 2-0 0 57-0 4人脸识别技术通过实时提取人脸识别信息达到确定身份,被广泛用于日常生活中,“人脸识别信息”逐渐充当起“密码”“钥匙”“通行证”等角色。与之相对应,如果作为验证方式的人脸识别信息轻易被窃取盗用甚至通过深度伪造技术破解,该技术的应用可能会导致严
3、重的侵权风险,侵害人格利益及社会公益。为此,人脸识别技术的应用有必要得到法律尤其是刑法的规制,以实现该技术的有序发展。一、人脸识别技术的规制必要性(一)人脸识别技术侵权风险大人脸识别信息采集具有隐蔽性和强制性,具备识别功能的摄像头随处可见。在手机软件上,当我们在不知情的情况下被拍照进而采集人脸识别信息,告知和同意程序就被需置进而引发一系列法律问题。在信息技术发达的现代社会,人脸识别信息已成为重要的数据资源。在实践当中,从人脸识别信息收集、转卖到违法使用,已经逐渐形成一个产业链。人脸识别信息泄露风险的危害往往更严重,因泄露往往具有隐蔽性,信息所有者难以得知其信息被泄露的情况,造成持续且不可逆的损
4、害。郭兵诉杭州野生动物世界案被喻为我国“人脸识别第一案”,起因是由于杭州野生动物世界在未经郭兵同意的情况下将原定的指纹人园验证方式变更为人脸识别人园方式,并且将郭兵办理会员时留下的照片进行活化处理以用于人脸识别验证。在郭兵多次要求恢复指纹入园验证并且在其人脸识别系统中删除个人照片未果后,将该动物园告上法庭。2 0 2 1年4月,杭州市中级人民法院进行二审宣判,要求动物园赔偿郭兵合同利益损失及交通费,并删除其办理指纹年卡时提交的包括照片在内的面部特征信息和指纹识别信息。有学者在评论该案件时指出,生物识别信息是敏感个人信息,深度体现自然人的生理和行为特征,具备较强的人格属性,一旦被泄露或非法使用,
5、可能导致个人的人身、财产安全受到危害,因此应谨慎处理并严格保护。由此可见,如果人脸识别技术应用的场景与个人的合理预期不相符合,极易产生侵权的风险。(二)民法和行政法保护力度不足我国民法对人脸识别信息的保护主要是将人脸识别信息作为敏感个人信息而进行保护。民法典第10 34条第二款规定,个人信息包括生物识别信息,人脸识别信息属于生物识别信息范畴。民法对个人信息的保护主要是通过对处理个人信息进行限制,自然人享有事前同意权、事中作者简介:姜野(19 9 2-),男,河北邢台人,法学博士,河北师范大学法政与公共管理学院讲师,硕士生导师,主要从事网络法治研究。杨颖(19 9 4-),女,河北邢台人,法学硕
6、士,河北师范大学法政与公共管理学院助教。收稿日期:2 0 2 3-0 4-2 8基金项目:2 0 2 1年度河北省社科基金青年项目“人脸识别风险的场景化法律规制研究”(编号:HB21FX013)。57知情权以及事后删除请求权和损害赔偿请求权。但是,在多数情况下,当事人不知情的情况下人脸识别信息已经被采集,导致当事人的同意权得不到保障。人脸识别信息处理过程中,由于信息处理专业性和独立性,当事人一般不参与信息的处理,在信息处理者未充分履行告知义务的情况下,当事人知情权同样受限。在当事人的权益受到侵害的情况下,请求侵权损害赔偿需要受害人证明加害人的违法加害行为、受害人遭受了可救济的损害、加害行为与损
7、害有因果关系和加害人对损害的发生具有过错。受害人处于弱势地位且民法典侵权责任编并未就个人信息侵权损害赔偿作出具体的规定,仅靠个人进行救济存在困难。行政法主要通过对个人信息经营者的监管来保护个人信息,2 0 2 1年11月1日生效的个人信息保护法,就履行个人信息保护职责的部门进行了规定,但并未对具体部门职责进行详细规定,可能会出现各部门互相推的情况。此外,在行政监管体系当中,有关个人信息保护的具体规则标准与保护机制尚不健全。当监管部门发现较大风险和个人信息安全事件时,只能通过对信息处理者进行约谈和合规审计来进行查处。由此,当信息处理者衡量侵害个人信息所能够获取的利益与其将要承担的法律责任之间的比
8、重后,可能会因责任远低于获取的利润而故意非法获取买卖个人信息。(三)涉人脸识别犯罪难以遇制近年来,应用人脸识别技术侵犯公民个人信息犯罪处于高发态势,而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势,社会危害严重。通常来讲,鉴于人脸识别技术的应用范围较广,对该技术应用的规制过于严格会阻碍其发展,只有在情节严重的情况下才会选择通过刑法进行规制。在比较法的视野当中,域外对于人脸识别信息的保护局限在生物识别信息的范畴内,而对于涉人脸识别犯罪也未在定罪和量刑方面进行专门的突出强调。美国对于人脸识别技术的规制在刑事司法上没有具体的规定,美国国会通过的防止身份盗窃及假冒法将人脸识别信息解释为身份证明材料,
9、部分州将破解人脸识别技术的行为认定为“身份盗窃”,在执行过程中却受限于商事领域,缺乏统一性。欧盟具有代表性的是一般数据保护条例(G D PR),同样将人脸识别信息解释为个人敏感数据进行保护,但是对人脸识别信息的保护趋向于谨慎。3我国现行刑法对于人脸识别技术犯罪主要涉及侵犯公民个人信息罪、破解人脸识别信息系统罪和侵犯公民人格尊严、财产安全的犯罪,并未对人脸识别技术进行强调并且在定罪、量刑等方面存在现实困境,导致难以针对人脸识别犯罪进行有效规制。二、现行涉人脸识别犯罪的要件分析及困境人脸识别技术相关的犯罪路径主要有三个方面,一是违法获取、使用人脸识别信息,可能构成侵犯人脸识别系统的犯罪;二是通过破
10、解人脸识别系统的手段达到获取财58物或实现其他目的,可能构成危害计算机信息系统安全的犯罪;三是通过人脸识别技术获得的人脸识别信息进行变造修改等可能侵犯他人的人格尊严,或者通过破解人脸识别系统进人支付或者财产软件等窃取财产,侵犯他人的人格尊严和财产安全。三种犯罪类型都在罪名认定、罪数确定、量刑标准判定等方面存在规制困境。(一)侵犯人脸识别信息相关罪名的要件及规制困境人脸识别技术是通过采集人脸识别信息达到识别特定自然人身份。人脸识别信息属于敏感个人信息的范畴,窃取盗用人脸识别信息可能构成刑法规定的侵犯公民个人信息罪。1.侵犯公民个人信息罪构成要件。根据刑法第二百五十三条之一的规定,侵犯公民个人信息
11、罪的主要构成要件包括未履行充分告知义务、未获得当事人同意和非法获取、出售或者提供公民个人信息等内容。其一,未履行充分告知义务主要包括不知道自己的人脸识别信息已经被采集或者虽然告知他人采集了其人脸识别信息,但是告知虚假的使用用途或者虚假的处理者、处理方式等,或者改变了信息处理者、信息使用用途后未及时告知当事人。其二,未获得当事人同意在实践当中极为常见。根据个人信息保护法第13条的规定,个人信息处理者只有在取得个人的同意后方可处理个人信息,并且应当按照能够实现目的的最小的采集和处理范围,不能过度采集或处理个人信息。有学者指出,海量的数据收集、多元化的数据利用和复杂的同意条款使得建立在信息主体充分知
12、情基础上的明示同意更加难以实现。3 但即便如此,也需要强化这一规则,由此才能赋予公民对其个人信息的有效控制。其三,非法获取、出售、提供人脸识别信息主要约束违法获取和转让公民个人信息的行为。当信息处理者未采用合法手段获取、出售或者提供公民的人脸识别信息等敏感个人信息,即构成侵犯公民个人信息罪。2.侵犯公民个人信息罪指向性不明。侵犯公民个人信息罪在实践中针对所保护法益的具体指向不明,无法充分保护公民的人脸识别信息的安全。一是无论是刑法还是关于办理侵犯公民个人信息刑事案件适用法律问题若干问题的解释都并未将人脸识别信息进行明确列举,只能通过体系解释将其纳入公民个人信息的范畴。二是对于告知和同意落实困难
13、。在采集个人信息方面通过格式条款告知当事人采集个人信息,当事人一般不会认真阅读就会选取同意,个人信息保护意识淡薄。并且经营者存在一刀切的行为,即只有同意采集信息才能进人某场所或者使用某软件。三是只对窃取或者非法获取公民信息、出售或者提供公民个人信息进行处罚,对于其他应用深度合成或深度伪造技术对个人的人脸识别信息进行伪造、变造的行为难以进行有效规制。(二)破解人脸识别系统犯罪的要件及规制困境人脸识别技术通过计算机信息系统对人脸识别信息进行采集和处理。若信息处理者通过侵入或者影响计算机系统来破解人脸识别系统可能构成非法控制计算机信息系统罪、非法获取计算机信息系统数据罪。值得注意的是,由于破解人脸识
14、别系统并不会妨害信息系统的正常运行,一般不构成破坏计算机信息系统罪。1.非法获取计算机信息系统数据罪和非法控制计算机信息系统罪的构成要件。当信息处理者非法侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,可能会构成非法获取计算机信息系统数据罪、非法控制计算机信息系统罪。具体到通过破解人脸识别系统的情况中,一是未经授权或超越权限侵入人脸识别系统的情况。因人脸识别信息储存在计算机信息系统中,无论信息处理者非法获取还是非法控制,均属于超越授权范围获取信息。二是不当控制计算机系统。信息处理者通过破解人脸识别系统进入他人计算机系统后对他人数据进行增加、删除或者修改,
15、如“删除恶评”“植入广告链接”“修改数据”等,通过获取计算机信息系统中存储、处理或传输的数据等不法行为牟利,则构成非法获取计算机信息系统数据罪。2.非法获取计算机信息系统数据罪和非法控制计算机信息系统罪的适用困境。根据关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释第一条的规定,非法获取身份认证信息五百组以上或者非法控制计算机信息系统二十台以上的构成犯罪。但是人脸识别信息是否能够被归入身份认证信息尚不明确,易言之,是否所有的人脸识别过程都属于身份认证需要结合具体场景中的特点进行分析。同时,较高的举证责任和人罪标准导致普通受害人难以证明信息处理者非法获取的信息或非法控制的计算机系统数
16、量,受害人难以该罪名维护自身的权益。(三)危害人格尊严、财产安全犯罪的要件及规制困境作为社会交往的识别符,人脸识别信息具有不可更改性、人身依附性、易获得性等特征,其包涵的身份认证的功能与人格尊严具有非常紧密的联系。因而,假如信息处理者对收集到的人脸识别信息进行越界处理,比如将信息主体的人脸移植到不雅视频中可能会侵犯他人人格尊严构成侮辱罪或者诽谤罪。而如果信息处理者使用换脸技术侵入支付宝或其他金融账户的验证程序后转移他人财产,则可能构成盗窃罪和诈骗罪,又由于诈骗罪欺骗的对象只能是人,而计算机系统不具有可欺骗性,所以破解系统后构成的是盗窃罪。1.危害人格尊严、财产安全犯罪的构成要件分析。信息处理者
17、通过人脸识别技术获取人脸识别信息后将该主体的面容与其他人的身体进行拼接或者对人脸进行变造等行为可能对受害人的人格尊严造成损害,如果将变脸、换脸后的侮辱性图片视频上传至网络进行传播,符合以其他方法公然侮辱他人的要件规定,构成悔辱罪或者诽谤罪。在信息技术高度发达的现代社会,手机支付手段已经极具普及性,网上购物以及线上支付都有人脸识别方式进行验证,所以通过破解人脸识别系统进人某些理财软件或者通过“欺骗”人脸识别系统进行转账、贷款或者消费等活动,侵犯公民的财产权。以非法占有为目的,以隐蔽手段转移财产,财产所有人并没有处分财产的意思表示,所以构成盗窃罪。2.危害人格尊严、财产安全犯罪的规制困境。虽然以侮
18、辱罪、排谤罪和盗窃罪进行定罪量刑能够保护特定受害者的人格尊严和财产安全,但是人脸识别技术犯罪一般具有群体性的特征,很容易造成群体性悔辱排谤和财产损失的情况。这在一方面会造成较大的诉讼压力,相关公益诉讼的保护力度不足以震慢破解人脸识别系统的信息处理者。另一方面,相关罪名的构成要件尚未针对人脸识别技术的滥用进行详细规定,难以对人脸识别技术进行有效规制。三、人脸识别技术刑法规制的具体路径为切实保护好人脸识别信息、人身财产安全,同时为了促使人脸识别技术的向善发展,刑法作为最后的救济方式应当对人脸识别技术进行合理规制,把握好人脸识别信息保护和人脸识别技术发展之间的平衡。(一)明确刑法规制人脸识别的限度对
19、于人脸识别技术刑法规制的限度应当合理化,需要保持刑法规制的谦抑性,在确有必要的情况下进行合理规制。应当防止刑法过多介入人脸识别技术的发展,为人脸识别技术的发展人为制造不合理的框架;另一方面,当人脸识别技术的发展给人民的人身和财产造成重大影响时由刑法对其进行合理限度内的规制。1.为民法和行政法预留空间。刑法应当保持谦抑性,在违法行为轻微的情况下刑法不应当介入,应当发挥民法和行政法的作用。对于通过人脸识别技术侵犯个人的人身、财产安全时,违法行为具有针对性,并且由个人信息处理者证明自己没有过错,属于过错推定责任原则,从而减轻受害人的举证责任。行政执法部门作为主管部门,对于违法使用人脸识别技术的企业具
20、有监督管理职责,应当尽快建立完善的合规审计体系,对于违反法律规定,拒不改正的给予罚款等行政处罚。当违法行为严重,民法和行政法等法律部门难以提供有效救济的情况下,应当由刑法进行规制,在明确的入刑标准下,形成民法、行政法和刑法共同配合的规范体系。2.明确刑法入罪标准。人脸识别信息属于敏感个人信息,相比较行踪轨迹信息、通信内容、征信信息和财产信息具有不可更改性、人身依附性等,对方的姓名、住址可能不得而知,但一看脸就能识别出对方的身份。而在陌生人社会中,即使能够获取姓名、住址等信息,往往也需结合人脸才能识别到特定的人。5应当就人脸识别技术的入刑标准进行进一步明确的规定,就非法获取、出售、提供人脸识别信
21、息的条数、违法所得数额、违法经营额等方面进行具体明确的规定。在这一过程中需要把握好限度,有59学者提出将人脸识别信息的入罪条件设置为“非法获取、出售或者提供生物识别信息5条及以上”,这一解释属于对兜底条款的误用,不符合人脸识别技术规制的合理化限度,人罪标准较低。在其他罪名中,也应当将“情节严重”即关于人脸识别犯罪的入罪标准进行合理规定,根据人脸识别信息的重要程度并借鉴现有个人信息犯罪的相关规定,设定为50 条以上较为合适。(二)扩展刑法规制人脸识别的维度在现行刑法对个人信息的保护维度上,存在两方面不足。一方面在公民个人信息范畴中并未对人脸识别信息进行明确列举强调;另一方面从行为规制范围来看,现
22、行刑法规定的违法行为种类不能满足人脸识别信息的保护要求。为此,有必要扩展刑法规制的维度。1.明确个人信息范畴。为了扩展刑法规制的维度,在公民个人信息的范畴进行进一步解释,刑法第二百五十三条之一中规定的公民个人信息应明确包括人脸识别信息,不仅是作为生物识别信息进行规制,还应通过突出人脸识别信息对其进行更加明确的保护。人脸识别信息范围应当包括用于人脸识别的静态的图片和动态的视频以及已经经过分析处理的人脸识别特征。7 在法律规定中将人脸识别信息进行明确列举,有助于突出强调对人脸识别信息的保护。2.扩大刑法规制的行为种类。目前刑法只规制非法获取、出售、提供的行为,规制范围较小,可以通过增加刑法规制的行
23、为种类实现对人脸识别信息的全方位保护。除了非法获取、出售、提供人脸识别信息外,人脸识别技术犯罪中其他主要的行为方式包括伪造、变造人脸识别信息“欺骗”人脸识别系统,非法储存人脸识别信息或者为他人非法储存人脸识别信息提供帮助,非法使用人脸识别信息的行为均应该纳人规制范围。因为从事人脸识别犯罪的行为可能同时存在非法获取、变造、储存、出售等多个行为,对此可以均纳人刑法的范畴,对于有一个行为和有多个行为的情况进行综合判断,作为量刑的重要情节。(三)平衡刑法规制人脸识别的强度刑法是法律体系中处罚最为严厉的法律,过分强调刑法规制可能为人脸识别技术的发展划定过严的警戒红线,阻碍其发展。风险的泛在化、人脸识别信
24、息的敏感性,不应成为刑法适用极端扩张化的籍口。8 所以为平衡人脸识别技术的发展和公民人脸识别信息保护之间的平衡,应当把握好刑法对于人脸识别技术的规制强度。1.设置专门化罪名。现行刑法对于人脸识别技术犯罪的罪名主要是以人脸识别信息作为保护对象的侵犯公民个人信息罪,其余是以破解人脸识别系统作为犯罪手段对其他罪名进行吸收的盗窃罪等。对于人脸识别技术的罪名的设置不明确,对于人脸识别技术的规制强度不够,导致侵犯人脸识别信息的行为较多。因此,为了加强对人脸识别技术的规制,应当在侵犯公民个人信息罪之外将人脸识别相关的罪名进行专门化修订,将非法采集、伪造、变造、储存、使用、出售、提供人脸识别信息等行为归入侵犯
25、人脸识别信息罪,对人脸识别信息进行专门的保护,提高对人脸识别信息的保护强度。2.细化量刑情节。在法律规定及相关司法解释当中,导致罪名加重的量刑情节是“履行职责或者提供服务过程中获取公民个人信息,出售或者提供给他人的,从重处罚”,但是对于其他减轻或者从轻的情节并没有进行规定。这就会导致法官在行使自由裁量权时偏向过重刑罚,而增加规制的强度,并不利于人脸识别技术的发展。因而,应当将如企业数据合规、认罪认罚等情节作为从轻处罚的量刑情节进行规定,为法官行使自由裁量权提供依据和指导。在适用法律过程中,如果不能定为人脸识别信息犯罪的相关罪名,亦应当将滥用人脸识别技术对公民人格尊严和财产安全造成重大危害作为加
26、重情节进行综合考量。人脸识别技术的发展是一把双刃剑,我们在享受刷脸带来的便利的同时,也需要健全相关法律法规体系规范技术发展。为有效应对滥用人脸识别技术产生的侵犯公民信息及财产安全的风险,刑法应当对其开发和应用进行合理的规制,通过把握好规制的维度、强度和限度,为人脸识别技术发展保留充分自由发展的空间,同时保护公民人身、财产安全,实现人脸识别技术发展和控制之间的平衡,实现对人脸识别信息的全方位保护。参考文献:1邢会强.人脸识别的法律规制.比较法研究,2 0 2 0(05):51-63.2劳东燕“人脸识别第一案”判决的法理分析.环球法律评论,2 0 2 2(0 1):150.3杜嘉雯,皮勇.人工智能
27、时代生物识别信息刑法保护的国际视野与中国立场一从“人脸识别技术”应用下滥用信息问题切入 .河北法学,2 0 2 2(0 1):153.4马世顺.人脸识别技术的应用风险及其防控研究河北公安警察职业学院学报,2 0 2 2(0 1):41.5郭春镇.数字人权时代人脸识别技术应用的治理.现代法学,2 0 2 0(0 4):2 1.6王德政.针对生物识别信息的刑法保护:现实境遇与完善路径一以四川“人脸识别案”为切入点.重庆大学学报(社会科学版),2 0 2 1(0 2):140.7姜野.人脸识别技术应用的场景化法律规制.法制与社会发展,2 0 2 3(0 1):2 14.8欧阳本祺,王兆利.涉人脸识别行为刑法适用的边界).人民检察,2 0 2 1(13):16.编辑:张钦60
浙ICP备2021020529号-1 | 浙B2-20240490 
