趙小涵

(中國政法大學(xué)刑事司法學(xué)院，北京 100088)

在人工智能技術(shù)席卷的時代洪流之下，數(shù)據(jù)的創(chuàng)制、傳播、使用正無孔不入地撼動著現(xiàn)實空間，“數(shù)字生態(tài)”搭建的全景空間可以細(xì)致入微地映射出現(xiàn)實生活中人們的語言交流、情緒變換、乃至活動軌跡。作為聯(lián)結(jié)虛擬空間與現(xiàn)實生活的核驗紐帶，人臉識別技術(shù)的發(fā)展日趨成熟。兼具身份識別和監(jiān)控兩大功能的人臉識別技術(shù)場景化應(yīng)用包羅萬象，以應(yīng)用目的不同可以分為門禁控制、單位考勤、治安防控、養(yǎng)老金認(rèn)證等管理性公共應(yīng)用，查找走散人員、丟失物品等慈善應(yīng)用，便捷支付等商業(yè)應(yīng)用。人臉識別技術(shù)使得識別的精準(zhǔn)度與速度實現(xiàn)了革命性飛躍，以支付為例，輸入6 位數(shù)密碼平均需要3 秒，指紋支付只需1 秒，而“刷臉”支付僅需300毫秒[1]。這項技術(shù)極大限度地便捷了人們的日常生活，提高了社會的管理運(yùn)行效率。

然而高效便捷的背后是對人臉識別信息泄露及其被非法盜用等潛在風(fēng)險的隱憂。人們的面部識別信息正在以各種方式被悄無聲息地偷走：越來越多的場景要求“強(qiáng)制”刷臉，如進(jìn)出住宅小區(qū)、高校校園的門禁。此外，一些手機(jī)App 還強(qiáng)制性不合理索取公民的面部識別信息。與此同時，人臉識別系統(tǒng)也面臨著被破解的風(fēng)險，2021 年2 月清華大學(xué)Real AI 研究團(tuán)隊利用對抗樣本干擾技術(shù)，在短短15min 內(nèi)成功破解了19 款國內(nèi)主流手機(jī)的人臉識別系統(tǒng)。研究人員根據(jù)一張照片，通過研究算法，制作一副特殊“眼鏡”，就可以刷臉解鎖他人手機(jī)或App 身份認(rèn)證[2]。目前圍繞著人臉識別技術(shù)的犯罪產(chǎn)業(yè)鏈已經(jīng)趨于成熟，賣家先與借貸平臺等掌握公民人臉識別信息的機(jī)構(gòu)合作輕松獲取海量人臉識別信息，然后在境外網(wǎng)址或者社交軟件群聊中銷售，涵蓋身份證正反面照片、張嘴點(diǎn)頭等動態(tài)驗證視頻的全套人臉識別信息僅100 元即可購買，這樣的一套信息可以應(yīng)對大部分人臉識別系統(tǒng)[3]。一項調(diào)查顯示，在個人信息泄露頻發(fā)的態(tài)勢下，超過七成民眾對網(wǎng)絡(luò)運(yùn)營者的安全保障能力存疑，擔(dān)心人臉識別技術(shù)不完善導(dǎo)致個人信息被盜用[4]。脫軌、異化后的人臉識別技術(shù)使得聯(lián)通現(xiàn)實與虛擬的交互性驗證的關(guān)鍵性手段陷入癱瘓、網(wǎng)絡(luò)空間秩序陷入混沌，為滋生后續(xù)的違法犯罪行為提供了適宜的溫床?？萍及l(fā)展的超前性與法律的滯后性存在著天然矛盾，如何根據(jù)人臉識別信息的特殊性調(diào)整出適當(dāng)?shù)男谭ūＷo(hù)框架亟待研究。

一、人臉識別信息侵害行為檢視

（一）人臉識別信息的特征屬性

人臉識別信息既具有其本身作為虛擬空間數(shù)據(jù)的自然屬性，又具備與其映射出的現(xiàn)實空間中特定人相關(guān)的社會屬性。其中，自然屬性包含獨(dú)特性、穩(wěn)定性、易采集性，社會屬性包含財產(chǎn)性、身份性、公共管理性。

1.獨(dú)特性。每個自然人都有著與之相對應(yīng)的、獨(dú)一無二的人臉識別信息，僅僅通過人臉識別不需借助其他額外的手段即可精準(zhǔn)匹配到每個人的身份，因此人臉識別是具有高精準(zhǔn)度的身份識別方式。即便是長相高度相似的雙胞胎，人臉識別信息也不完全相同，可以通過人臉識別技術(shù)對其進(jìn)行精確快速的識別和區(qū)分。

2.穩(wěn)定性。與姓名、密碼等個人信息不同，人們難以去改變其自身的人臉識別信息，雖然通過整形手術(shù)可以改變面部特征，但僅僅單純局部一兩個部位的整形對面部整體的影響性較小，人臉信息依舊相對穩(wěn)定。由于人臉識別信息的穩(wěn)定性，一旦泄露無法像替換密碼一樣替換其人臉信息，僅能采取電話或現(xiàn)場掛號的手段停用。因此，人臉識別信息泄露給自然人帶來的傷害是不可逆的，造成不能彌補(bǔ)的損失。

3.易采集性。對于人臉識別信息的采集不以近距離接觸為先決條件，不需要被采集者的事前同意與配合，只要以自然狀態(tài)經(jīng)過攝像頭前，攝像頭即可在被采集者絲毫沒有察覺的情形下實現(xiàn)無需人為操縱的自動抓拍，自動采集人臉識別信息。易采集性從另一側(cè)面反映了人臉識別信息的易受侵害性。

4.財產(chǎn)性。人臉識別技術(shù)實現(xiàn)了快捷支付，如支付寶、各大銀行App等刷臉支付的方式，此時的人臉識別信息即為一種新型密碼，掌握此人臉識別信息的人相當(dāng)于擁有了支配其賬戶中財產(chǎn)的權(quán)利，人臉識別信息泄露之后，如果被他人非法加以利用，賬戶中的財產(chǎn)便處于可供他人支配的狀態(tài)，相繼而來的就是盜竊、搶劫罪等侵害財產(chǎn)型犯罪，致使公民的財產(chǎn)權(quán)利被侵害。

5.身份性。人臉識別信息是現(xiàn)實生活中自然人的直接映射，等同于肖像，具有身份性，自然而然地承載著人格尊嚴(yán)。特定的人臉識別信息能夠直接指向現(xiàn)實生活中某自然人，與其不可分割、緊密聯(lián)系，當(dāng)人臉識別信息被非法利用，如當(dāng)下炙手可熱的深度偽造技術(shù)能夠?qū)崿F(xiàn)一鍵換臉操作，有用戶將明星人臉與淫穢視頻中的人臉替換并直接發(fā)布在網(wǎng)站，這是對人格尊嚴(yán)直接的褻瀆與損害，侵害了公民的核心隱私權(quán)與生活安寧權(quán)。

6.公共管理性。人臉識別信息可以用于公共管理，目前已經(jīng)被廣泛運(yùn)用于公共領(lǐng)域，提升了公共管理、社會治理的水平。比如進(jìn)入高鐵站、機(jī)場的時候通過人臉識別信息進(jìn)行安全檢測，在新冠疫情期間能夠被用來追蹤患者、排查密切接觸者，運(yùn)用人臉識別技術(shù)的醫(yī)療掛號系統(tǒng)可以有效避免黃牛惡意搶票。此外，人臉識別信息還可以用來追蹤犯罪分子、助力反恐活動，實現(xiàn)社會治理精準(zhǔn)化。

（二）人臉識別信息侵害行為具有嚴(yán)重的法益侵害性

隨著人工智能技術(shù)的深度發(fā)展，人臉識別信息侵害行為不僅呈現(xiàn)出法益侵害的精準(zhǔn)化，具有法益侵害的直接指向性，而且呈現(xiàn)出法益侵害的鏈條化，與網(wǎng)絡(luò)黑灰產(chǎn)相勾連。

首先，人臉識別信息侵害行為實現(xiàn)了法益侵害精準(zhǔn)化。正是由于人臉識別信息的獨(dú)特性、穩(wěn)定性，其具備直接定位到個人的強(qiáng)防偽特征，犯罪分子利用人臉識別信息進(jìn)行的私人定制化犯罪成功率極高。如“某寶破解案”①中，被告唐某支付被告李某2.3 萬元，從李某處學(xué)習(xí)制作3D 人臉動態(tài)識別圖用來破解某寶系統(tǒng)，并且購買制作3D人臉動態(tài)圖的設(shè)備?！鞍脒吿臁甭?lián)系到唐某，給其唐甲的某寶用戶信息，唐某破解其用戶限制登陸，將其賬戶信息給了被告人張羽，被告人張羽用偽造的身份證、同意書消除唐甲賬戶的資金凍結(jié)，轉(zhuǎn)移其賬戶資金2.4 萬元。掌握破解人臉識別系統(tǒng)的技術(shù)便擁有了對被害人財產(chǎn)法益進(jìn)行精準(zhǔn)性侵害的能力，與一般的侵犯公民個人信息行為不同，人臉識別信息侵害行為與公民的人身權(quán)益、財產(chǎn)權(quán)益聯(lián)系更加密切，極大提升了法益侵害精準(zhǔn)性，從隨機(jī)電話、群發(fā)短信的“漫天撒網(wǎng)”變?yōu)閷τ谔囟ㄙ~戶的精準(zhǔn)侵害，人臉識別信息的濫用使得關(guān)聯(lián)財產(chǎn)犯罪成功概率大幅度提升。

其次，人臉識別信息侵害行為實現(xiàn)了法益侵害鏈條化。以破解人臉識別技術(shù)為核心的網(wǎng)絡(luò)黑產(chǎn)日益猖獗，團(tuán)伙人員專業(yè)化分工明確、各司其職，已經(jīng)逐漸形成完整的犯罪產(chǎn)業(yè)鏈。在近期破獲的一起大型虛開增值稅普通發(fā)票案中，多名被告用破解人臉識別技術(shù)的方式虛開增值稅發(fā)票，總數(shù)額超過5 億。本案中的鏈條化流程為，首先購買高清面部頭像與其配套的身份證信息，每組30 元即可到手。其次對其進(jìn)行處理使其變成包含點(diǎn)頭、眨眼動作的動態(tài)視頻，最后利用處理后的驗證視頻，突破系統(tǒng)的人臉識別驗證，通過政務(wù)平臺注冊。同時，該團(tuán)伙破解了管理電子營業(yè)執(zhí)照的相關(guān)人臉識別系統(tǒng)，利用辦事員身份使用電子營業(yè)執(zhí)照[5]。概括而言，此產(chǎn)業(yè)鏈根據(jù)分工的不同可以分為“信息收集組”“系統(tǒng)破解組”“冒用身份組”等，信息收集組非法收集、購買人臉識別信息、身份證件、電話號碼等公民個人信息，將其提供給系統(tǒng)破解組成員，系統(tǒng)破解組通過非法加工合成3D人臉驗證視頻、開發(fā)破解人臉識別技術(shù)的系統(tǒng)等方式幫助冒用身份組成員完成實名審核，冒用身份組成員非法利用他人賬號信息進(jìn)行財產(chǎn)變現(xiàn)、或者利用他人信息注冊海量賬號，侵犯他人財產(chǎn)權(quán)益，擾亂正常網(wǎng)絡(luò)秩序。人臉識別信息侵害行為為信息網(wǎng)絡(luò)犯罪提供了幫助與支持，成為滋長其他違法犯罪的溫床。成熟的鏈條化“流水生產(chǎn)”使得被侵害人數(shù)呈現(xiàn)量的倍增，作為其核心環(huán)節(jié)的人臉識別信息侵害行為的社會危害性也隨之急劇升高。

二、人臉識別信息侵害行為刑法規(guī)制困境

現(xiàn)行刑事制裁體系對于涉人臉識別犯罪的評價可以分為基于手段行為的前端歸責(zé)和基于目的行為的末端歸責(zé)。以侵犯公民個人信息罪打擊人臉識別信息的非法出售、提供、獲取等手段行為，從產(chǎn)業(yè)鏈前端遏制涉人臉識別犯罪的發(fā)生，同時規(guī)制利用人臉識別信息侵犯公民財產(chǎn)利益、人身利益甚至損害社會公共利益的目的行為，從產(chǎn)業(yè)鏈尾端打擊關(guān)聯(lián)犯罪，呈現(xiàn)“首尾重、中間輕”的刑事制裁特點(diǎn)[6]。盡管現(xiàn)有刑事制裁體系對涉人臉識別犯罪行為進(jìn)行了一定的規(guī)制，但由于人臉識別信息的特殊性、涉人臉識別行為法益侵害的嚴(yán)重性，現(xiàn)行刑法還未對其有充分的制度準(zhǔn)備，現(xiàn)階段人臉識別信息侵害行為刑法規(guī)制仍存在如下困境。

（一）司法解釋模糊：人臉識別信息侵害行為入罪標(biāo)準(zhǔn)不明確

公民個人信息的刑法保護(hù)有一個漸進(jìn)式的發(fā)展過程，2009 年出臺的《中華人民共和國刑法修正案（七）》首次將非法獲取、出售、提供公民個人信息的行為規(guī)定為犯罪，邁出了歷史性的一步，自此公民個人信息的刑法保護(hù)不再是空白。此時犯罪主體僅為國家機(jī)關(guān)或特殊單位的工作人員，作為犯罪對象的公民個人信息指代范圍較小，僅指代姓名住址等信息。隨著電信網(wǎng)絡(luò)的發(fā)展，侵犯公民個人信息的行為愈演愈烈，需進(jìn)一步加強(qiáng)刑法規(guī)制。2016 年出臺的《中華人民共和國刑法修正案（九）》把犯罪主體擴(kuò)大為一般主體，特殊身份成為了實施此罪的加重情節(jié)，并將此前兩個罪名合一為侵犯公民個人信息罪，沒有修改公民個人信息的范圍。雖然刑法對其進(jìn)行了規(guī)定，但在司法實踐中依然缺乏具體明確的司法適用標(biāo)準(zhǔn)。2017 年出臺的《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（簡稱《解釋》）解決了這一問題，對入罪標(biāo)準(zhǔn)進(jìn)行較為詳細(xì)具體的規(guī)定，為司法實踐提供了具體的裁量標(biāo)準(zhǔn)[7]?！督忉尅犯鶕?jù)個人信息內(nèi)容的敏感程度將其分成三種類別，有各自的入罪標(biāo)準(zhǔn)，但卻沒有將生物識別信息納入分類，致使人臉識別信息的入罪標(biāo)準(zhǔn)不明。雖然2021 年最高人民法院、最高人民檢察院和公安部聯(lián)合發(fā)布《關(guān)于辦理電信網(wǎng)絡(luò)詐騙等刑事案件適用法律若干問題的意見（二）》中規(guī)定非法獲取、出售、提供具有信息發(fā)布、即時通訊、支付結(jié)算等功能的個人生物識別信息的行為“以侵犯公民個人信息罪追究刑事責(zé)任”，但仍舊不能解決人臉識別信息在公民個人信息中的分類問題?！督忉尅穼⑷胱飻?shù)量要求最低的高敏感信息明確例舉為行蹤軌跡信息、通信內(nèi)容、征信信息與財產(chǎn)信息，此封閉式列舉使得通過司法適用將人臉識別信息納入高敏感信息的范疇、適用相同的入罪門檻沒有可行性。只能退而求其次，將其解釋為“可能影響人身、財產(chǎn)安全的公民個人信息”，適用與其敏感程度不符的分類與入罪數(shù)量門檻，然而這樣的做法使得打擊涉人臉識別犯罪的力度大大降低，缺乏合理性?！皩τ诂F(xiàn)代型犯罪構(gòu)成要件加以描述時，立法者在不得已而采用兜底式規(guī)定的同時，必須有意識地將其和明示列舉相結(jié)合，并盡可能詳細(xì)、充分地列舉已經(jīng)認(rèn)識到的常見的相應(yīng)犯罪類型”[8]，在非法獲取、出售、提供人臉識別信息已經(jīng)成為當(dāng)下高發(fā)的犯罪類型之時，刑法亟需明確人臉識別信息具體明確的入罪標(biāo)準(zhǔn)。

（二）立法保護(hù)缺位：對涉人臉識別犯罪部分環(huán)節(jié)評價不足

對于個人信息的保護(hù)類型，《中華人民共和國個人信息保護(hù)法》（簡稱《個人信息保護(hù)法》）第4條闡明個人信息處理行為所涵蓋的類型不僅包括收集、提供、運(yùn)輸、公開等對個人信息的傳遞環(huán)節(jié)，還包括存儲、加工、使用的環(huán)節(jié)?！吨腥A人民共和國網(wǎng)絡(luò)安全法》（簡稱《網(wǎng)絡(luò)安全法》）第43 條規(guī)定存儲、收集、使用個人信息的環(huán)節(jié)受法律保護(hù)。有觀點(diǎn)認(rèn)為，現(xiàn)階段侵犯公民個人信息罪僅對非法獲取、出售、提供進(jìn)行規(guī)制，沒有對非法存儲、加工、使用行為類型進(jìn)行規(guī)制，應(yīng)當(dāng)實現(xiàn)非法存儲、加工、使用行為的入罪化，形成對人臉識別犯罪鏈條的完整制裁。首先，基于法秩序的一致性，《個人信息保護(hù)法》《網(wǎng)絡(luò)安全法》等前置法規(guī)定了非法存儲、加工、使用的違法行為類型，在違法行為情節(jié)嚴(yán)重，造成更重大的社會危害性的情況下非法存儲、加工、使用也應(yīng)當(dāng)有相應(yīng)的入罪類型，現(xiàn)有刑法對其評價的不足使得其與前置法的銜接存在問題。其次，由于人臉識別信息相對于一般信息的獨(dú)特屬性，涉人臉識別犯罪行為具有與侵害一般公民個人信息相比更為嚴(yán)重的社會危害性，應(yīng)當(dāng)對人臉識別信息進(jìn)行全方位的特殊保護(hù)。對于人臉識別信息侵害行為應(yīng)當(dāng)采取以全方位保護(hù)人臉識別信息為目標(biāo)，覆蓋人臉識別信息安全保護(hù)的全生命周期，以預(yù)防人臉識別信息犯罪為導(dǎo)向的基本立場。因此應(yīng)當(dāng)實現(xiàn)非法存儲、加工、使用行為的入罪化，實現(xiàn)對于以人臉識別信息侵害行為為核心的犯罪產(chǎn)業(yè)鏈的前中后端全面打擊[9]。筆者認(rèn)為，前置法規(guī)定非法存儲、加工、使用的違法行為類型并不能作為這些行為入罪的決定性因素；要對人臉識別信息進(jìn)行全面保護(hù)、特殊保護(hù)，以預(yù)防為導(dǎo)向等口號宣語亦不能成為非法存儲、加工、使用行為入罪的根本性依據(jù)；刑法基于其刑罰的嚴(yán)厲性、保護(hù)手段的最后性，仍應(yīng)當(dāng)恪守刑事違法的獨(dú)立性判斷。

三、人工智能時代人臉識別信息侵害行為的刑事應(yīng)對策略

（一）明確人臉識別信息侵害行為入罪標(biāo)準(zhǔn)，構(gòu)建個人信息二分保護(hù)體系

現(xiàn)階段對于侵犯公民個人信息罪，《解釋》第5 條將公民個人信息分為三類，“軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息”入罪標(biāo)準(zhǔn)為50 條，“住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息”入罪標(biāo)準(zhǔn)為500 條，“第三項、第四項規(guī)定以外的公民個人信息”入罪標(biāo)準(zhǔn)為5000 條，第5 條第10 款規(guī)定了“其他情節(jié)嚴(yán)重的情形”作為兜底條款。

人臉識別信息難以在當(dāng)前依據(jù)司法解釋構(gòu)建起來的個人信息保護(hù)框架中合理的位置。將人臉識別信息解釋為“健康生理信息”的做法易導(dǎo)致法秩序的不統(tǒng)一[10]，《信息安全技術(shù)個人信息安全規(guī)范》中將個人生物識別信息列在與健康生理信息相并列的位置，并列意味著兩者不存在包含和交叉的關(guān)系。將人臉識別信息解釋為“其他可能影響人身、財產(chǎn)安全的公民個人信息”，雖然是最準(zhǔn)確、符合文義的做法，然而，考慮到人臉識別信息的獨(dú)特屬性以及非法獲取、出售、提供人臉識別信息行為的社會危害性，采用這樣的解釋路徑便與其社會危害性不相匹配，縮小了人臉識別信息侵害行為的打擊范圍。從實質(zhì)解釋的角度來考量，人臉識別信息的入罪數(shù)量應(yīng)當(dāng)為規(guī)定的最低標(biāo)準(zhǔn)50 條，甚至考慮到泄露人臉識別信息比行蹤軌跡的后果更為嚴(yán)重，甚至有學(xué)者提出可以適用5 條的入罪標(biāo)準(zhǔn)[7]。有學(xué)者批評這樣的想法為“先定量后定性”的思考邏輯[11]。然而，定量與定性順序顛倒的背后，實則為現(xiàn)有個人信息保護(hù)框架中本身的罪責(zé)不均衡。認(rèn)為人臉識別信息屬于“第三項、第四項規(guī)定以外的公民個人信息”的不妥之處在于，將人臉識別信息簡單歸類于此使得人臉識別信息的定位更加撲朔迷離，5000 條的入罪門檻沒有體現(xiàn)任何對于人臉識別信息的特殊保護(hù)，與人臉識別信息背后的復(fù)合法益與價值不相匹配。應(yīng)當(dāng)直接適用兜底條款，把“非法獲取、出售、提供人臉識別信息5 條以上”解釋為“其他情節(jié)嚴(yán)重的情形”隨意適用兜底條款創(chuàng)設(shè)新的罪數(shù)門檻，不利于罪刑法定原則的貫徹。

人臉識別信息無法被準(zhǔn)確納入司法解釋構(gòu)建起來的個人信息保護(hù)框架，其背后沖突本質(zhì)是公民個人信息保護(hù)體系的不合理。首先，當(dāng)前司法解釋的規(guī)定過于具體詳細(xì)，入罪門檻最低的一級直接采用封閉式列舉無法納入、應(yīng)對新時代下出現(xiàn)的新情況。其次，現(xiàn)行的通過司法解釋構(gòu)建起來的公民個人信息的保護(hù)體系存在著罪責(zé)不均衡的問題。難道在相同數(shù)量的任何情況下“影響人身、財產(chǎn)安全的信息”泄露的社會危害性都比“軌跡信息”要輕微嗎？當(dāng)前分類采取的主要方式是通過信息的外在表現(xiàn)分類，然而判斷信息的重要程度、濫用此信息帶來的社會危害性，往往與其應(yīng)用場景、應(yīng)用目的相關(guān)，無法僅僅通過信息外在表現(xiàn)判斷濫用此信息背后的社會危害性。最后，關(guān)于“人臉識別信息”定位矛盾的爭議從側(cè)面反映了當(dāng)前個人信息保護(hù)框架中三類信息的分類有交叉重合、具體信息定位模糊的問題，這容易導(dǎo)致實踐中司法裁量不一，出現(xiàn)同案不同判的情況。

我國《個人信息保護(hù)法》《信息安全技術(shù)個人信息安全規(guī)范》都采取“二分法”的方式，將公民個人信息分為敏感信息和一般信息兩類②，規(guī)范中規(guī)定可以通過泄露、非法提供或者濫用之后是否可能給信息主體帶來重大風(fēng)險這三個角度分析某種個人信息是否屬于敏感信息的范疇，滿足一項即可以判定為敏感信息，為敏感信息的判斷提供了更為明確的、更具有操作性的標(biāo)準(zhǔn)。建議改進(jìn)現(xiàn)行司法解釋對于公民個人信息精細(xì)分類的做法，借鑒《個人信息保護(hù)法》《信息安全技術(shù)個人信息安全規(guī)范》的“二分法”模式，參照其分類標(biāo)準(zhǔn)將公民個人信息分為敏感信息和一般信息兩類。設(shè)定一般個人信息的入罪門檻為5 000條，敏感個人信息的入罪門檻為50 條[9]。人臉識別信息在泄露、非法提供或者濫用之后都將造成信息主體失去對信息擴(kuò)散范圍與用途的控制能力，有可能給信息主體相關(guān)權(quán)益造成重大不可控的風(fēng)險，例如利用他人的人臉識別信息去銀行開戶、辦理手機(jī)卡實名業(yè)務(wù)等。因此，人臉識別信息屬于個人敏感信息的范疇，應(yīng)當(dāng)適用50 條的入罪標(biāo)準(zhǔn)。個人信息二分保護(hù)體系可以避免錯綜復(fù)雜、交相重疊、不甚合理的信息分類體系帶來的弊端，在保持法秩序的統(tǒng)一性的同時實現(xiàn)各類信息簡明扼要地對號入座，更有利于構(gòu)建罪責(zé)均衡的個人信息保護(hù)體系。

（二）實現(xiàn)非法利用人臉識別信息侵害行為入罪化

對于網(wǎng)絡(luò)犯罪刑罰邊界的確定，要兼顧刑法的謙抑性與預(yù)防性。在適用傳統(tǒng)罪刑條款的基礎(chǔ)上承認(rèn)刑法必須作出適當(dāng)調(diào)整實現(xiàn)法益保護(hù)的早期化，肯定預(yù)防的必要性，堅持絕對的謙抑性原則無法有效應(yīng)對網(wǎng)絡(luò)犯罪嬗變[12]。在擴(kuò)大刑法“射程”的同時，應(yīng)當(dāng)合理堅守刑法最后性與謙抑性的原則，平衡刑罰邊界擴(kuò)張的需要與限度[13]。

1.非法存儲行為、非法加工行為不需單獨(dú)入罪

首先，給非法存儲行為劃定一個范圍，即合法獲取但后續(xù)失去了存儲資格且在信息主體發(fā)出刪除請求后應(yīng)刪除而不刪除的行為。在行為人先前具有保存人臉識別信息的資格，后失去保存資格但仍未刪除的情況下，根據(jù)我國《民法典》《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《個人信息保護(hù)法》相關(guān)規(guī)定，此時信息主體可以請求其予以刪除，若是拒不刪除，可以認(rèn)定為不作為的侵犯公民個人信息罪[11]。首先，成立不作為犯罪，應(yīng)當(dāng)滿足三個條件：首先，行為人有特定的作為義務(wù)；其次，行為人有能力履行此作為義務(wù)；最后，行為人沒有履行此作為義務(wù)。《民法典》《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《個人信息保護(hù)法》相關(guān)規(guī)定給予了應(yīng)當(dāng)刪除此個人信息的義務(wù)，行為人此時具有作為義務(wù)、能為而不為，符合構(gòu)成不作為犯罪的三要件。當(dāng)然，刪除個人信息從技術(shù)上難以實現(xiàn)的情形不符合有履行作為義務(wù)的要件，被排除在不作為犯罪之外。其次，為了解決不純正不作為犯在規(guī)范構(gòu)造上與罪刑法定原則的沖突，限制不純正不作為犯的處罰范圍，需要強(qiáng)調(diào)不作為犯的等價性[14]。要去判斷應(yīng)當(dāng)刪除而不刪除的行為與非法獲取行為是否具有等價性。非法存儲應(yīng)刪而不刪人臉識別信息的行為與非法獲取人臉識別信息行為都使得沒有資格控制個人信息的主體實現(xiàn)了對于個人信息的持續(xù)性控制，致使人臉識別信息所關(guān)聯(lián)的人身權(quán)益、財產(chǎn)權(quán)益乃至社會秩序處于隨時被侵犯的危險狀態(tài)之中。從實質(zhì)性角度出發(fā)，非法存儲應(yīng)刪而不刪的行為與非法獲取行為具有等價性[9]。因此，合法獲取后續(xù)失去存儲資格、請求其刪除而未刪除的非法存儲行為可以認(rèn)定為不作為的侵犯公民個人信息罪。如果以作為犯的思路實現(xiàn)對拒不刪除行為的處罰，便會將“信息主體要求刪除后不刪除”作為行為故意的推定，這是從預(yù)防目的出發(fā)，以破壞刑法理論體系為代價將此不作為入罪，其不妥之處無法用刑法的概念體系無法適應(yīng)社會的發(fā)展為理由來解釋，適用不純正不作為犯才是適當(dāng)?shù)男淌職w責(zé)路徑[15]。對于不符合法律法規(guī)相關(guān)要求的具體方式存儲個人信息的非法存儲行為，如未進(jìn)行分類管理、加密等，不具有非法獲取行為的等價性，不構(gòu)成侵犯公民個人信息罪的不作為犯。如果信息主體對于行為人應(yīng)刪除信息而不刪除的行為投訴到履行個人信息保護(hù)職責(zé)的部門后，監(jiān)管部門責(zé)令采取改正措施行為人仍拒不刪除，此時行為人構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。

對于非法加工行為，例如通過合成軟件將靜態(tài)肖像加工成為人臉驗證動態(tài)視頻的行為，“實際上是偽造、匹配生物數(shù)據(jù)模板的過程，在性質(zhì)上屬于網(wǎng)絡(luò)身份認(rèn)證技術(shù)的范疇”，對網(wǎng)絡(luò)空間管理秩序造成影響。給其他人此類技術(shù)支持的行為可以解釋為與互聯(lián)網(wǎng)接入、服務(wù)器托管、網(wǎng)絡(luò)存儲、通訊傳輸并行的幫助行為，從而定性為幫助網(wǎng)絡(luò)信息活動罪[16]。若是非法加工僅供自娛自樂，沒有幫助他人犯罪的主觀目的的行為，沒有刑罰可罰性。在現(xiàn)有刑法已經(jīng)有相關(guān)罪名規(guī)制的情況下，再將非法加工行為入罪將導(dǎo)致刑法制裁體系的混亂——到底應(yīng)當(dāng)將其認(rèn)定為幫助網(wǎng)絡(luò)信息活動罪還是下游犯罪共犯，抑或是納入非法加工行為類型后的侵犯公民個人信息罪？綜上，非法存儲行為可以用不作為的侵犯公民個人信息罪或者拒不履行網(wǎng)絡(luò)安全管理義務(wù)罪規(guī)制，非法加工行為可以用幫助網(wǎng)絡(luò)信息活動罪來規(guī)制，不需單獨(dú)入罪。

2.非法利用人臉識別信息入罪必要性證成及具體路徑

非法利用人臉識別信息具有入罪必要性。首先，現(xiàn)行刑法無法涵蓋非法利用人臉識別信息的行為?？梢詫⒎欠ɡ眯袨榉譃閮煞N類型：（1）作為下游犯罪的非法利用行為。在這種類型中非法利用行為與詐騙、盜竊、勒索、綁架等下游犯罪相關(guān)聯(lián)。（2）不作為下游犯罪的非法利用行為。例如用別人的信息領(lǐng)取數(shù)張信用卡惡意透支、登記公司從事違法犯罪，影響到他人個人征信阻礙日后的正常交易，存檔犯罪記錄阻礙他人就業(yè)，使得他人權(quán)益受損的行為[12]。對于作為下游犯罪的非法利用行為，涉人臉識別犯罪“首尾重、中間輕”的刑法規(guī)制特點(diǎn)導(dǎo)致對合法獲取之后、構(gòu)成下游犯罪之前的非法利用行為的刑法評價不足。如果行為人合法獲得了人臉識別信息，非法利用比如注冊大量新用戶賬號，但還沒有達(dá)到相關(guān)后續(xù)目的性犯罪的入罪門檻，此時便處于刑法評價的空白地帶；對于不作為下游犯罪的非法利用行為，刑法規(guī)制存在空白地帶。與非法使用公民個人信息具有相關(guān)性的罪名主要有妨害信用卡管理罪，信用卡詐騙罪，合同詐騙罪，使用虛假身份證件、盜用身份證件罪等，然而這些罪名都不能用來準(zhǔn)確評價非法使用公民個人信息的行為[17]。其次，非法利用人臉識別信息的行為具有法益侵害性。法益概念是確定刑法處罰范圍的判斷標(biāo)準(zhǔn)。實質(zhì)的法益概念所要達(dá)到的目的，是向立法者提供刑罰處罰的合法界限，因而具有批判立法的機(jī)能，需要根據(jù)實質(zhì)的法益概念，提出增設(shè)新罪的構(gòu)成要件的合理要求[18]。非法利用人臉識別信息的行為可能對公民的人格權(quán)益、財產(chǎn)權(quán)益造成損害。用別人的信息領(lǐng)取數(shù)張信用卡惡意透支、登記公司從事違法犯罪，影響到他人個人征信阻礙日后的正常交易，存檔犯罪記錄阻礙他人就業(yè)，將會導(dǎo)致他人的信譽(yù)、財產(chǎn)權(quán)益受到全方位嚴(yán)重?fù)p害。非法利用人臉識別信息具有法益侵害性，應(yīng)當(dāng)入罪。綜上，非法利用行為在刑法中沒有相關(guān)罪名進(jìn)行規(guī)制，不構(gòu)成下游犯罪的非法利用行為仍具有其法益侵害性，具有刑法規(guī)制的必要性。在具體司法適用過程中，非法利用行為同時又構(gòu)成下游犯罪其他罪名的，非法利用行為被吸收，只需后續(xù)罪名來規(guī)制。例如非法利用他人人臉識別信息突破他人銀行賬戶精準(zhǔn)盜竊的行為，僅用盜竊罪評價即可[17]。

對于非法利用人臉識別信息的具體路徑，有觀點(diǎn)認(rèn)為，可以將侵犯公民個人信息罪中的“非法”解釋為“以非法目的”，擴(kuò)大此罪的規(guī)制范圍，從而在司法適用的過程中直接將非法利用人臉識別信息的行為納入此罪的打擊范圍[11]。然而，這樣的解釋方式為類推解釋，超過了公共所認(rèn)知的“非法”的文義解釋涵蓋范圍，以此招致的刑法處罰不具有國民預(yù)測性，違反了罪刑法定原則的要求，即便司法解釋的方式較為迅速、平緩，也不能通過這一方式實現(xiàn)對非法利用人臉識別信息的入罪化。非法利用行為的入罪可以直接通過擴(kuò)充侵犯公民個人信息罪構(gòu)成要件中的行為方式來實現(xiàn)，不需要借鑒非法利用網(wǎng)絡(luò)信息罪的規(guī)定模式增設(shè)非法利用公民個人重要信息罪?？紤]到法律體系的簡潔性，立法要求一定程度的抽象、可以涵蓋社會變遷里可能出現(xiàn)的新情況。綜上，建議將《刑法》第253 條第1 款整合為：“違反國家有關(guān)規(guī)定，竊取或者以其他方法非法獲取公民個人信息，或者非法向他人出售、提供公民個人信息，或者非法使用公民個人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。”與刑法規(guī)定相配套，同時，建議將《解釋》第五條由“非法獲取、出售或者提供”擴(kuò)充為“非法獲取、出售、提供或者利用”。

注釋：

① 四川省成都市郫都區(qū)人民法院（2019）川0124刑初610號。

② 《個人信息保護(hù)法》第28條第1款規(guī)定:“敏感個人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息?！薄缎畔踩夹g(shù)個人信息安全規(guī)范》附錄B 規(guī)定：“個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽(yù)、身心健康受到損害或歧視性待遇等的個人信息。通常情況下，14歲以下（含）兒童的個人信息和自然人的隱私信息屬于個人敏感信息?！?/p>