徐韓榆

(浙江工商大學法學院，浙江 杭州 310018)

0 引言

從刑法和司法解釋角度明確人臉識別信息犯罪內(nèi)容對保護公民個人信息安全、遏制人臉識別信息犯罪的蔓延以及打擊相關黑色產(chǎn)業(yè)鏈具有重要意義[1]。首先，從犯罪成本的角度來看，人臉識別技術的應用越來越廣泛，導致非法獲取和使用人臉識別信息的行為增多。其次，隨著人臉識別技術的普及，非法采集、出售、購買人臉識別信息的黑色產(chǎn)業(yè)鏈也日益成熟，加劇了人臉識別信息泄露和濫用的風險，加大了打擊這類犯罪的難度。最后，一旦人臉識別信息被非法獲取并濫用，個人隱私和信息安全將面臨極大的風險。犯罪分子可能會利用這些信息進行身份冒用、詐騙等犯罪行為，給個人和社會帶來嚴重危害。因此，需要從刑法和司法解釋角度明確相關犯罪內(nèi)容，加大對非法采集人臉識別信息的打擊力度，保護公民個人隱私和信息安全。

隨著人臉識別信息的應用場景不斷擴展，我國現(xiàn)行的法律體系也在不斷完善關于人臉識別信息的相關條款。目前，在《中華人民共和國民法典》《中華人民共和國個人信息保護法》《中華人民共和國網(wǎng)絡安全法》中，人臉識別信息被納入法律保護范圍。但遺憾的是，在刑法中還未界定人臉識別信息的內(nèi)涵，也并未明確規(guī)定要保護人臉識別信息，這說明刑法在生物識別信息管理中還有一定缺位[2]。因此，本文從入罪界限、規(guī)制行為類型、刑事責任追究等角度論述了大數(shù)據(jù)時代人臉識別信息的刑法保護困境，并基于上述問題提出了完善人臉識別信息刑法保護的對策建議，以期為健全和完善人臉識別信息的法律體系做出有益探索。

1 大數(shù)據(jù)時代人臉識別信息的刑法保護困境

人臉識別技術的廣泛應用，尤其在安保、支付、社交網(wǎng)站等方面，極大地方便了社會管理和個人生活。然而，這項技術的快速發(fā)展和普及也帶來了風險和挑戰(zhàn)，特別是對個人隱私權的潛在威脅。隨著技術的發(fā)展和應用，個人信息的收集和使用已超越了傳統(tǒng)的私人領域界限，變得更加廣泛和深入。這不僅僅是單一主體的行為，而是一個涉及多方參與者的復雜生態(tài)系統(tǒng)，包括信息的原始提供者、技術服務提供商、第三方應用和數(shù)據(jù)分析公司等。在這個過程中，個人信息可能被反復使用、共享或交易，而信息流通的每一個環(huán)節(jié)都可能成為信息泄露的潛在風險點[3]。

1.1 人臉識別信息的入罪界限模糊

人臉識別信息作為一種敏感的個人數(shù)據(jù)，在現(xiàn)代社會的信息保護法律中應有明確的界定。但從《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)來看，在多個關鍵方面缺乏具體指導，導致了人臉識別信息的入罪界限模糊不清。首先，人臉識別信息未在《解釋》中明確被列舉，這遺漏了一個不斷增長并被廣泛使用的個人信息種類，難以為針對其侵權行為的量刑提供明確規(guī)范。人臉信息不僅涉及個體的健康生理特征，更有可能關聯(lián)到個體的安全、隱私和經(jīng)濟利益，從而該信息的濫用和泄露潛在的危害極大。其次，對《解釋》中提到的“違反國家有關規(guī)定”的解釋范圍，是否應包含各類部門規(guī)章和地方性法規(guī)，存在法律實踐中的不同理解。缺乏對是否涵蓋各類規(guī)章的明確說明，不僅可能導致執(zhí)法不統(tǒng)一，也為對人臉識別信息侵犯行為的定罪設下障礙。再次，當前法律未明確知情同意在人臉識別信息處理中能否充作阻卻犯罪的事由，這在實際應用中可能被濫用，成為信息處理者牽制法律干預、規(guī)避法律責任的工具。如果信息處理者可以僅憑獲取表面的知情同意就豁免其對人臉識別信息的非法處理，這將嚴重削弱個人信息保護法律的實效性[4]。最后，對人臉識別信息“情節(jié)嚴重”的數(shù)量標準亦未明確，現(xiàn)行《解釋》第5條的規(guī)定明確了其他類型信息的數(shù)量標準，但未針對人臉識別信息設立特殊考量。由于人臉信息的敏感性，即使是低于5000條的數(shù)量，也可能已經(jīng)對個人的安全與隱私構成了重大威脅。缺乏對數(shù)量標準的特別考慮，可能導致對信息泄露后果的低估，以及對侵權行為的輕罰。以上四個方面的模糊性共同作用，使得法律實踐中如何界定人臉識別信息的非法處理構成犯罪方面缺乏足夠清晰的指引，這不利于社會對人臉識別信息的嚴格保護，并可能削弱公民個人信息安全的法律保障。

1.2 侵犯公民個人信息罪規(guī)制的行為類型不全面

在當前日益發(fā)展的信息社會中，公民個人信息的安全問題愈發(fā)受到廣泛關注。刑法對非法獲取公民個人信息的行為設立了明確的罪責，然而，從整個信息利用的流程來看，刑法規(guī)制的行為類型并不全面。主要體現(xiàn)在以下三個方面：首先，針對合法獲取后的非法使用行為，刑法缺乏應有的規(guī)制?；ヂ?lián)網(wǎng)技術的飛速發(fā)展和普及使得公民越來越便利地分享個人信息，但并不意味著他們放棄了對這些信息的保護。一旦合法獲取的信息被用于非法用途，如營銷騷擾、詐騙等，就會對公民個人的隱私權和財產(chǎn)安全造成傷害。當前刑法對此類行為的規(guī)制不足，無法很好地打擊和震懾非法使用個人信息的行為，這在一定程度上有悖于個人信息保護的立法初衷和法律精神。其次，當前刑法對不當泄露信息行為的規(guī)制也顯得力不從心。實踐中，許多信息處理者在必要的場景中迫于商業(yè)利益采用人臉識別等方式搜集公民個人信息，并未做出足夠的安全保障，導致信息泄露的風險日益增加?！秱€人信息保護法》提出了對敏感個人信息的保護責任，但若只停留在行政調(diào)控層面，則難以應對那些由于管理疏忽或技術缺陷導致的不當泄露行為[5]。相應地，刑法若能明確規(guī)制此類行為，將更有效地強化信息處理者的保護義務和防范措施，提升個人信息整體的安全性。最后，對非法持有信息行為的規(guī)制同樣缺失。一旦信息處理者失去持續(xù)持有個人信息的法律依據(jù)，其本應按法律規(guī)定刪除或停止使用該信息。然而，在缺乏刑法明文規(guī)定的情況下，即使信息處理者在不應繼續(xù)持有個人信息的情況下仍舊擁有這些數(shù)據(jù)，依然沒有足夠的法律風險。這種非法持有行為可能隨時危及信息主體的個人權益，使得公民長期處于潛在的侵權風險之中，影響其正常生活。由此可見，在當前信息技術日益先進且深入生活的背景下，刑法對侵犯公民個人信息罪的規(guī)制確實存在不全面的問題。缺乏對合法獲取后非法使用、不當泄露行為及非法持有信息行為的全面規(guī)制，不僅對個體權益的保護力度不夠，也削弱了整個社會對信息安全和隱私保護的信心。

1.3 刑事責任追究情況難以達到保護目的

刑事責任追究在保護公民個人信息，特別是人臉識別信息領域的有效性存在一定的不足。首先，量刑情節(jié)設置較為單一。刑法對侵犯公民個人信息罪的犯罪主體僅設置了“犯罪主體特殊身份”這一量刑從重情節(jié)，而實際情況遠比這更為復雜。信息的非法侵犯涉及不同主體和行為模式，個案之間存在較大差異。一些主體可能會隱藏自身特殊身份的同時，利用這些身份帶來的優(yōu)勢進行侵犯行為。這種情況下，簡單的量刑情節(jié)難以涵蓋所有可能的變量情形，不足以實現(xiàn)信息利用與保護之間的平衡，也難以發(fā)揮足夠的規(guī)制作用，保護受害人的權益。其次，司法實踐中量刑普遍過輕。雖然刑法規(guī)定的量刑幅度并不算低，但司法審判實踐中往往出現(xiàn)實際判決過輕的現(xiàn)象。這可能源于司法人員主觀上對侵犯公民個人信息罪的獨立危害性認識不足，未能準確地評估和預期泄露人臉識別等敏感個人信息可能導致的法益侵害。這種偏差可能源自對下游電信網(wǎng)絡詐騙等后續(xù)犯罪行為關注過多，而對個人信息侵犯本身的重視不足。最后，罰金刑的適用存在不足。罰金刑作為對侵犯公民個人信息罪的一種懲罰方式，根據(jù)《解釋》第12條需要基于違法所得來確定數(shù)額。然而，在司法實踐中查明違法所得往往存在困難，特別是行為人侵犯信息不是出于經(jīng)濟利益，或者違法所得難以精確計算時，罰金刑難以適用[6]。這種情況下，法律未能提供足夠的操作空間來應對，導致了法律在實際應用中的權威性下降，無法有效地對潛在的違法者產(chǎn)生威懾效果，或?qū)ι鐣娖鸬綉械闹敢饔谩?/p>

2 大數(shù)據(jù)時代人臉識別信息刑法保護的完善建議

2.1 明確人臉識別信息的入罪界限

針對當前對人臉識別信息刑法保護不足的問題，建議首要任務是明確將人臉識別信息列入刑法保護的個人信息類型。刑法應適時修訂，增加關于人臉識別技術所涉及的個人信息的專門條款，并明確列舉此類信息，以確保法律對其給予足夠的重視和保護。同時，應通過具體的配套法律文件定義人臉識別信息侵犯犯罪的前置法范圍，明確其法律界限和依賴的具體法律、行政法規(guī)和部門規(guī)章。此外，應在法律中細化并強調(diào)有效的知情同意的要素，如信息主體的明確意志表示、對信息用途的具體說明以及同意的自由撤回等，以防止知情同意成為法律責任的漏洞。對“情節(jié)嚴重”的界定，需要結(jié)合人臉識別信息的危害性和對個人隱私的影響，制定合理的數(shù)量標準和相關的評估指標?？紤]到人臉識別信息與個人身份密切相關，對隱私權和個人安全的侵害可能性較大，相比其他類型的個人信息，人臉識別信息應當適用更為嚴格的評判標準和更高的法律保護級別。在定罪量刑時，法官應依據(jù)這些標準進行單獨評價，避免一概而論，確保刑罰的準確性和公正性。最后，刑法的不斷完善和更新應與時俱進，法律條文應具備一定的彈性，允許法院根據(jù)信息科技的快速發(fā)展及其在社會生活中的具體應用場景，動態(tài)地判斷個人信息的合理利用和法律保護的范圍。如此方能確保人臉識別信息在日益增長的數(shù)據(jù)安全和隱私保護需求中得到充分而有效的法律保護。

2.2 增加侵犯個人信息犯罪的行為類型

首先，健全對合法獲取后非法使用行為的規(guī)制，明確規(guī)定合法獲取的個人信息若被用于未經(jīng)授權的目的即構成違法，哪怕原獲取行為是在合法的前提下進行的。同時指明非法使用的范圍，包括未經(jīng)同意的營銷、信息倒賣、身份冒用等。建立信息流轉(zhuǎn)記錄和追蹤體系，對合法獲取信息的實體，應承擔保護信息不被非法使用的責任，一旦發(fā)生濫用，可追溯至原信息處理者。為信息主體提供更明確和詳細的知情選擇，強化同意撤回機制，包括對已授予的信息使用同意可隨時撤回，且信息處理者應當及時響應。其次，增加對不當泄露行為的規(guī)制，明確信息處理者的信息安全管理標準，包括加強內(nèi)部控制、防泄漏技術措施以及定期的安全評估和培訓等。一旦發(fā)生個人信息的泄露，應立即啟動事故應急預案，及時公告泄漏情況，采取措施限制損害，同時對受影響主體進行補償。構建多方參與的監(jiān)督體系，包括政府監(jiān)管、第三方審計、用戶評價等，形成對信息處理者的泄露行為的有效監(jiān)督，以防止信息的不當流出。最后，增加對非法持有行為的規(guī)制，明確持有個人信息的法律基礎和時限，規(guī)定信息持有的合法條件，如合同約定、法律授權等，并明確持有的時間限制，超出期限或條件的持有即視為非法。加強個人信息刪除機制，制定明確的信息刪除原則和流程，要求在規(guī)定的情況下(如撤回同意、合同結(jié)束等)，信息處理者必須刪除相關數(shù)據(jù)。實施持有登記制度，建議信息持有者進行登記，詳細記錄持有信息的類型、數(shù)量和用途，以供日后核查和監(jiān)督。

2.3 明確涉人臉識別信息犯罪競合的處理

在大數(shù)據(jù)的時代背景下，人臉識別信息犯罪呈現(xiàn)多樣性和復雜性，對犯罪競合的處理尤其需要在刑法體系中予以明確。第一，需要在立法層面上進一步明確人臉識別信息犯罪行為的獨立性與特殊性。鑒于人臉識別信息的高度敏感性和對個人隱私權的潛在影響，建議修改《刑法》第253條，將有關人臉識別信息的犯罪行為單列條款，并設立更細化的規(guī)定，以區(qū)別于其他類型的個人信息。第二，在具體司法實踐中，應當建立健全的判斷標準，詳細闡釋在各類不同情況下如何處理犯罪競合，特別是針對同時涉及多個罪名的案件。例如，明確在行為人通過非法方式獲取人臉識別信息并利用此信息侵入計算機信息系統(tǒng)時，如何適用數(shù)罪并罰的原則，確保正義的同時，既不過輕，也不過重地處罰行為人。第三，對利用信息網(wǎng)絡推動人臉識別信息犯罪的行為人，建議對《刑法》中有關非法利用信息網(wǎng)絡罪和侵犯公民個人信息罪的條文進行修訂，強化跨罪名的協(xié)同效果，明確如何區(qū)分單一和連續(xù)犯的界限，尤其是在同一行為涉及多項不同法益的情況下，如何恰當應用牽連犯擇一重罪處斷的規(guī)則。第四，應當在刑事政策層面上強化對人臉識別信息的保護，提升法律的威懾力。建議加大對侵犯人臉識別信息犯罪行為的處罰力度，探索設立個人信息保護專門機構或部門，負責個人信息的集中管理、監(jiān)督，以及跨部門間的信息共享和協(xié)調(diào)。第五，提倡全社會加強對人臉識別技術及其帶來的潛在風險的意識，通過教育培訓、宣傳提高公眾對個人信息保護的認識，同時，鼓勵技術發(fā)展和創(chuàng)新下的個人信息保護措施，如加強數(shù)據(jù)匿名化處理、加密技術的應用等，既保護個人隱私，也促進社會經(jīng)濟的發(fā)展和技術的進步。通過上述建議，可以在大數(shù)據(jù)與人工智能時代，為人臉識別信息提供更全面、深入的刑法保護。

3 結(jié)束語

在大數(shù)據(jù)時代，人臉識別技術正日益成為安全與便利的關鍵橋梁，然而其所帶來的隱私權與個人信息安全問題也越加凸顯刑事立法和司法實踐的不足。人臉識別信息的刑法保護遭遇入罪界限的模糊不清、現(xiàn)有法律對行為類型的規(guī)制不全面以及追究刑事責任的重重障礙等困境，這些都嚴重制約了刑法在個人信息保護方面的功能。針對這些問題，本文提出了包括明確入罪界限、補充行為類型規(guī)制、精細化處理犯罪競合等在內(nèi)的系列完善建議，旨在構建更加堅固的法律防線，保衛(wèi)公民的“數(shù)字肖像”不被非法侵害。在這個過程中，必須不斷探索、及時修正、靈活應對，適應技術發(fā)展所帶來的新挑戰(zhàn)。立法機構、執(zhí)法部門、司法機構和社會各界都需共同努力，協(xié)同作戰(zhàn)，確保法律的留白被合理填補，法律的邊界被明確劃定。僅有在法律的規(guī)制明晰、責任的追究嚴格、社會公眾意識的提升和技術保護的深化四輪驅(qū)動下，才能有效地防范和降低人臉識別信息泄露的風險，尋求隱私權保護與信息自由流通之間的最佳平衡點，為社會的和諧發(fā)展提供有力的法治保障。