人脸识别信息犯罪的刑法治理路径
2021-08-19 09:20:21 | 来源:人民法院报 | 作者:张莉 刘洋
 

  随着人工智能技术的不断发展,“刷脸”已广泛应用到移动支付、门禁安检、手机解锁等日常生活领域,但也引发了人脸图像“深度伪造”“反向破解”等技术滥用的担忧,以及“无感抓拍”“身份冒用”等违法犯罪治理的难题。为规范人脸识别信息的采集、使用,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》对使用、处理人脸信息引起的民事案件的司法适用进行了规定,但人脸识别信息的刑法保护是遏制人脸信息滥用、保护公民个人敏感信息的最后手段,故有必要探索人脸识别犯罪的刑法治理路径。

  一、人脸识别信息犯罪的规制难题

  首先,秘密抓拍、非法使用他人人脸图像等行为难以认定为犯罪。侵犯公民个人信息罪规定“违反国家有关规定,向他人出售或提供公民个人信息,情节严重”的行为成立犯罪,而秘密拍摄他人的人脸照片,或者利用他人已公开的照片提取人脸识别数据等行为,未必达到“情节严重”而构成侵犯公民个人信息罪。司法实践中,批量从他人照片中提取人脸识别信息行为的目的,往往是为下游的敲诈勒索、盗窃等其他犯罪实施提供条件,但司法机关未掌握下游犯罪证据的情况下,难以将上游的行为认定为犯罪预备,导致人脸识别黑灰产业链犯罪难以有效遏制。

  其次,不法分子匿名化协作形态难以认定为犯罪。虽然刑法增设了帮助信息网络犯罪活动罪、非法利用信息网络罪等罪名打击互联网犯罪链条中的帮助、教唆等阶段性行为,但人脸识别信息犯罪链条中匿名化、专业化特征,以及不同阶段分工协作“去联络化”特征,都导致上述罪名鞭长莫及。

  二、明确人脸识别信息犯罪的法益侵害特点

  人脸识别信息本质上属于个人敏感信息,刑法应对其重点保护。《全国人民代表大会常务委员会关于加强网络信息保护的决定》、网络安全法以及个人信息保护法(草案)明确将生物识别信息作为公民个人信息进行保护,就是为了避免人脸识别信息被滥用后导致难以挽回的危害后果。

  首先,人脸识别信息具有个人专属性,在个人信息安全、财产安全领域发挥“密码解锁”“身份验证”等功能。人脸识别信息的个人专属性表现为人脸信息的高识别性,即无需附加信息或与公共领域内其他信息进行比对,即可在特定环境中单独识别出特定个人——如通过个人照片即可识别出信息主体,并非像DNA、虹膜等信息那样必须通过系统对比才能识别出主体身份。人脸信息的高识别性,导致直接呈现于体表的人脸信息(如人脸图像)很容易通过被动式采样被秘密收集,其盗取难度在同类生物敏感信息中较低。所以,非法收集人脸信息往往是利用他人人脸识别信息实施诈骗、盗窃等侵犯个人权利犯罪的先行行为,应从源头遏制此类行为才能有效打击下游犯罪。

  其次,人脸识别信息犯罪侵犯社会管理秩序。研发图片破解程序、深度伪造技术虽然是互联网技术进步的体现,但应限制其适用范围,警惕不法分子以“技术中立”之名从事互联网黑灰产业。例如,某甲是职业黑客,曾因提供侵入、非法控制计算机信息系统程序、工具罪被判刑,那么某甲在QQ、微信群、网站上发布广告“定制木马病毒、反破解软件”的行为应引起重视,如果有证据证明某甲提供的程序或软件被用于人脸识别信息犯罪,可从“定制”推定某甲和下游犯罪人之间存在“明知”的意思联络。

  最后,“知情同意”并不必然阻却法益侵害。个人信息保护法(草案)明确规定“取得个人同意,个人信息处理者才能处理个人信息”;知情同意“应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”如果行为人取得信息主体同意而处理他人的人脸识别信息,则其行为并不符合侵犯公民个人信息罪中的“违反国家有关规定”,因而不构成犯罪。但对于妨害社会管理秩序型滥用人脸识别信息的行为,信息主体对个人敏感信息处理作出“知情同意”的意思表示,并不能阻却集体法益侵害成立。

  三、人脸识别信息犯罪的规制路径

  首先,通过司法解释加强对人脸识别信息的保护力度。2017年最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条规定了侵犯公民个人信息罪中的“情节严重”的情况,该条文将行踪轨迹、征信信息、健康生理信息等纳入保护范围,并未明确提出对“生物识别信息”加强保护。由于人脸识别信息应用范围广泛、一旦泄露难以挽回损失,个人信息保护法(草案)特别设置了“敏感个人信息”的处理规则;为遏制愈演愈烈的人脸识别信息滥用问题,司法解释应对侵犯个人敏感信息的行为设置更低的入罪门槛,以强化犯罪打击效果,预防犯罪蔓延。

  其次,通过对“计算机信息系统、程序”扩大解释规制“反向破解”等技术违法行为。专门制作、使用非法程序而非法获取他人人脸识别数据的行为,截获、调换人脸识别认证数据等行为完全符合“提供侵入、非法控制计算机信息系统程序、工具罪”的犯罪构成。2011年最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》明确指出,本解释所称“身份认证信息”,指用于确认用户在计算机信息系统上操作权限的数据,故提供非法侵入计算机信息系统而非法获取相关数据的专门性程序、工具的行为属于该罪的规制范围。

  最后,扩充冒名顶替罪的规制范围,防治人脸识别信息犯罪。人脸识别信息滥用向上承接侵犯公民个人信息犯罪,向下又是盗窃、诈骗等犯罪的帮助行为,司法机关应正视人脸识别犯罪的独立价值。刑法中有关身份犯罪的罪名如招摇撞骗罪,伪造、变造、买卖身份证件罪和使用虚假身份证件、盗用身份证件罪无法有效规制滥用人脸识别信息行为。刑法修正案(十一)中增设了冒名顶替罪,对盗用、冒用他人身份,顶替他人取得的高等学历教育入学资格、公务员录用资格、就业安置待遇的行为予以打击。那么通过人脸识别信息冒用他人身份的行为——如在网络空间利用深度伪造技术制作他人人脸模型而盗窃他人银行账户、入侵他人征信系统——同样冒用了权利人个人的身份,为什么不构成此罪?从长远来看,网络空间内利用他人生物识别信息冒充他人身份的行为也应纳入冒名顶替罪的打击范围;即非法使用他人敏感信息盗用、冒用他人身份,获取非法利益的,处三年以下有期徒刑、拘役或者管制,并处罚金;组织、指使他人实施前款行为的,依照前款的规定从重处罚。

  (作者单位:中共安徽省委政法委员会,安徽省高级人民法院)


责任编辑:刘泽