查看原文
其他

论人脸识别刑法规制的限度与适用——以侵犯公民个人信息罪指导案例为切入

The following article is from 比较法研究 Author 罗翔


本文首发于《比较法研究》2023年第2期



目次

一、平等原则与慎用刑法

二、刑法的独立性与具体危险犯的提倡三、人脸信息单一识别性的否定四、关联犯罪与罪数理论的澄清五、结语:对数据利维坦的警惕


摘要:如果国家无意用刑法手段规制公权力组织滥用人脸识别的现象,那么从刑法面前人人平等的原则出发,对于个人滥用人脸识别的行为就必须慎用刑事制裁措施。法秩序统一性原理主要强调的是刑法的补充性,它必须受制于刑法的独立性。侵犯公民个人信息罪是通过保护公民的个人信息来捍卫信息所承载的人身、财产权利。它是一种具体危险犯,只有对人脸等个人信息的侵犯足以危及人身、财产权利,才可以发动刑罚权。单独的人脸信息如果没有姓名等其他信息,很难对自然人的人身、财产权利造成实质损害。在涉及人脸识别的相关犯罪中,侵犯公民个人信息罪与计算机犯罪、网络犯罪、财产犯罪都不能进行数罪并罚。通过人脸识别骗取财物,机器不能被骗的理论应当被扬弃。法治必须对数据利维坦保持足够的警惕,对人脸识别的规制主要依赖于其他法律体系的治理,刑法应该保持必要的谦抑与节制。

关键词:人脸识别;侵犯公民个人信息罪;刑法的独立性与补充性

  2022年12月26日,最高人民法院发布指导性案例192号,该案例的核心内容为利用“颜值检测”软件窃取的“人脸信息”是否属于刑法中的“公民个人信息”。此案明确了使用人脸识别技术处理的人脸信息以及基于人脸识别技术生成的人脸信息均具有高度的可识别性,属于刑法规定的“公民个人信息”。窃取或者以其他方法非法获取上述人脸识别信息,情节严重的,构成侵犯公民个人信息罪。根据这个指导性案件,只要非法收集人脸信息,符合司法解释的入罪标准,就可以侵犯公民个人信息罪论处。最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“《个人信息司法解释》”)把个人信息区分为超敏信息、敏感信息、一般信息三类,入罪标准分别是50条、500条和5000条。最高人民法院指导性案例192号(以下简称“指导性案例192号”)并未明确人脸信息属于司法解释中的何类个人信息。但无论如何,按照该指导性案例的观点,非法获取5000条人脸信息,就构成侵犯公民个人信息罪。这种观点是否会导致刑罚权的过度扩张,是一个需要慎重思考的问题。

01

平等原则与慎用刑法
  人脸识别是指自动处理包含个人面部的数字图像,以便对这些个人进行相应的识别、验证或分类。无论在追捕逃犯、疫情管控抑或公共出行等方面,这种技术都已经得到广泛适用。人脸识别的主要功能有验证、识别与分类三种。验证主要指身份验证,这是一种一对一的比对,典型的例子如办理登机手续时工作人员对身份证照片与人脸实时信息进行比对,以确定登机者与身份证照片上的人是否为同一人。识别则是一对多的比对,是将一个人的面部图像模板与数据库中的大量模板进行比对,以确定此人的模板是否在数据库中,比如公安机关的天网系统从人流中识别出网上追逃的犯罪分子。分类则是一种面部分析,通过对面部特征的分析判断出其性别、年龄、种族等各种特征。
  对于人脸识别技术,公权力组织进行了广泛的运用。相比于个体的违法犯罪行为,公权力组织的滥权行为可能更让人恐惧。没有人喜欢生活在公权力无处不在的凝视之中。电影《国家公敌》提醒我们,公权力可利用大数据与人工智能对所有人进行监控,让每个人成为透明人,如果监督者的权力不受限制,那么必将导致灾难性的后果。2015年国家发展改革委、公安部等联合发布的《关于加强公共安全视频监控建设联网应用工作的若干意见》明确规定:到2020年,基本实现“全域覆盖、全网共享、全时可用、全程可控”的公共安全视频监控建设联网应用。据统计,在我国的天网中,官方拥有的摄像头应当在一亿个左右,国人每天平均要暴露在各种摄像头下超过500次。《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)第26条规定:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。”《个人信息保护法》规定处理个人信息必须遵循合法、正当和必要原则。相当比例的包含人脸识别的公共安全视频监控并不一定能够同时符合这几个原则。如果严格按照刑法的规定——非法获取公民个人信息,情节严重的,就可构成侵犯公民个人信息罪——至少从形式上看,不少公权力组织的行为似乎也符合侵犯公民个人信息罪的构成要件。
  除了国家机关,其他社会公权力组织对人脸识别技术的滥用也令人担忧。比如,疫情期间不少大学在进行研究生复试时都采取线上模式,学生必须接受人脸识别,没有其他选择;如果不同意进行人脸识别,就要放弃受教育的权利。再如,根据教育部的规定,不少大学都对入学新生进行人脸识别,防止冒名顶替。但这并不符合《个人信息保护法》的规定。对于研究生复试,教育部其实并没有强制要求人脸识别,2020年教育部办公厅《关于做好2020年全国硕士研究生复试工作的通知》只是规定,采取远程复试的,要会同技术平台提供方,积极运用“人脸识别”“人证识别”等技术。但是,对于新生的人脸识别,教育部则有强制性的规定。根据教育部办公厅《关于做好2020年普通高等学校录取新生入学资格复查和学籍电子注册工作的通知》的规定,各高校要对新生报到所需材料与考生纸质档案、录取考生名册、电子档案逐一比对核查,并通过“人像比对”等技术严防冒名顶替。然而,这个规定只是行政规范性文件,既非行政法规,亦非部门规章。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》将人脸识别视为生物识别信息,按照《个人信息保护法》的规定,它属于敏感个人信息。而根据《个人信息保护法》第29条的规定,处理敏感个人信息应当取得个人的单独同意。不少学校在进行人脸识别时并未让学生签署知情同意书,即便签署,学生也根本没有拒绝的权利。如果一种拒绝必须以放弃受教育权为代价,这本身可能就是违背诚信原则的胁迫。
  按照指导性案例192号的观点,只要非法获取5000条以上的人脸信息,就构成侵犯公民个人信息罪,那么首当其冲的是要对公权力组织进行刑事追诉。如果对强势的公权机构网开一面,只对渺小的个人进行打击,就显然违反了刑法面前人人平等原则,也有“只许州官放火,不许百姓点灯”的嫌疑。《个人信息保护法》第68条规定:“国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。”从表面上看,该条对公职人员违反个人信息保护法的行为并无追究刑事责任的规定。然而,该法第71条规定:“违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”从体系解释的角度,公职人员违反个人信息保护法,构成犯罪的,自然也应该被追究刑事责任。按照刑法的基本原理,即便追求公共利益,渎职行为也有可能构成犯罪。2003年《全国法院审理经济犯罪案件工作座谈会纪要》明确:“徇私舞弊型渎职犯罪的‘徇私’应理解为徇个人私情、私利。国家机关工作人员为了本单位利益,实施滥用职权、玩忽职守行为,构成犯罪的,依照刑法第三百九十七条第一款(滥用职权罪、玩忽职守罪)定罪处罚。”在理论上,如果国家机关工作人员的渎职行为触犯了其他罪名,可以按照想象竞合来进行处理。比如,警察见到歹徒行凶杀人,故意不予制止,导致被害人被杀身亡,警察同时构成滥用职权罪和故意杀人罪,从一重罪论处。又如,法官让被告人认罪认罚,但让被告人预先缴纳巨额罚金,随后又单方面撕毁认罪认罚协议,给被告人判处重刑。这可能既触犯徇私枉法罪,又触犯诈骗罪,也应从一重罪论处。同理,如果一种渎职行为同时触犯侵犯公民个人信息罪,自然也可按照想象竞合犯的原理来进行处理。我国刑法第4条规定:“对任何人犯罪,在适用法律上一律平等。不允许任何人有超越法律的特权。”这里的“人”既包括自然人,也包括单位。因此,如果国家无意用刑事手段规制公权力组织滥用人脸识别的现象,那么从刑法面前人人平等的原则出发,对于人脸识别就必须慎用刑事制裁措施,保持必要的谦抑。

02

刑法的独立性与具体危险犯的提倡
  指导性案例192号认为,将“人脸信息”认定为公民个人信息遵循了法秩序统一性原理。民法和个人信息保护法等前置法都将“人脸信息”作为公民个人信息予以保护,因此侵犯“人脸信息”也须承担相应的民事责任或行政、刑事责任。
  (一)刑法的独立性
  法秩序统一性原理主要强调的是刑法的补充性,认为刑法中的概念要与其他部门法中的概念保持协调,不能互相矛盾。刑法中的入罪概念不能大于其他部门法中的违法概念。如果一种行为在其他部门法中属于合法行为,那么就绝非刑法中的犯罪行为。最典型的案件如帅某保险诈骗案。帅某虚构母亲年龄向保险公司投保,三年后被保险人因疾病身故,帅某向保险公司申请给付身故保险金27万元。帅某的行为表面上符合我国刑法第198条保险诈骗罪的规定,但是,我国当时的保险法第54条规定,即便投保人申报的被保险人年龄不真实,但自合同成立之日起逾二年的保险合同依然有效。既然在保险法上属于有效合同,那么在刑法上就不应该视为犯罪行为,所以检察机关后来作出了不起诉决定。因此,如果收集人脸信息符合《个人信息保护法》等前置法的规定,也就不可能属于刑法上的犯罪行为。侵犯公民个人信息罪中的“违反国家有关规定”其实可以视为对本罪违法阻却事由的一种提示性规定。
  但是,刑法的补充性又与独立性存在张力。根据刑法的独立性,作为最严厉的部门法,刑法的入罪概念完全可以小于其他部门法的违法概念。比如,指导性案例192号认为“人脸信息”属于我国民法典所说的“生物识别信息”,按照《个人信息保护法》的规定属于敏感信息。但这种敏感信息是否就必然属于刑法上的敏感信息,从而适用《个人信息司法解释》500条以上即构成犯罪的标准,依然有讨论的空间。
  当前,部分司法机关过分强调法秩序统一性的原理,在定罪量刑的过程中经常以其他部门法的规定来认定行为的刑事违法性,忽视了刑法独立性的限缩机能。在法定犯中这种现象很普遍,在自然犯中这种现象也不罕见。比如,我国刑法第302条规定了盗窃、侮辱、故意毁坏尸体、尸骨、骨灰罪,这是一个典型的自然犯。不少从事器官移植的医生因此罪被追究刑事责任。比如,黄某某侮辱尸体案,该案被告人系某医院外科主任医生,违规摘取死者器官被认定为侮辱尸体罪。法院定罪的主要依据是国务院《人体器官移植条例》、国家卫计委《人体捐献器官获取与分配管理规定(试行)》、卫生部《关于委托中国红十字会开展人体器官捐献有关工作的函》。根据《人体器官移植条例》,“公民生前未表示不同意捐献其人体器官的,该公民死亡后,其配偶、成年子女、父母可以以书面形式共同表示同意捐献该公民人体器官的意愿”。但在本案中,黄某某仅取得部分近亲属同意,而未取得全部近亲属同意,这是否就构成侮辱尸体罪呢?《人体器官移植条例》属于行政法规,可以对犯罪构成要素进行填补,但是该条例对于未经全部近亲属同意的违规行为并没有追究刑事责任的规定。因此,不能以对行政法规范的违反就直接认定成立侮辱尸体罪,依然还要进行刑法的独立判断。刑法的独立判断在客观上要根据法益学说进行实质限缩。侮辱尸体罪侵犯的并非单纯的社会管理秩序。社会管理秩序是一种抽象的行政法益,所有违反行政法规范的行为都自然而然违反了某种社会管理秩序,这不能作为发动刑罚权的实质根据。侮辱尸体罪侵犯的也非单纯的遗属的尊严,否则唯一的遗属对尸体进行侮辱就不构成犯罪,这并不合理。尸体是人的一种象征物,侮辱尸体是对人性尊严的亵渎,具有强烈的冒犯性。黄某某侮辱尸体案并不存在这种强烈的冒犯性,不宜用刑罚手段进行制裁。又如,生产、销售、提供假药罪,原刑法第141条规定了生产、销售假药罪,其中明确规定:“本条所称假药,是指依照《中华人民共和国药品管理法》的规定属于假药和按假药处理的药品、非药品。”我国以往的药品管理法中的假药包括假药和按假药处理两种情况,2019年修订后的药品管理法对此进行了修改,将原法中“按假药处理”的个别情形直接规定为假药,不再保留“按假药处理”这个概念。其中,最令人瞩目的就是进口国内未批准的境外合法新药不再按假药论处。2021年,《中华人民共和国刑法修正案(十一)》对于生产、销售假药罪也进行了修改,删除了刑法中的假药必须按照药品管理法规定的条款。这其实意味着刑法关于假药的定义可以小于药品管理法的相关定义,毕竟,刑法是最严厉的部门法,违法不代表犯罪。如果以非药品冒充药品,按照药品管理法属于行政法上的假药,可以进行罚款,吊销执照,但是不一定就必然属于刑法上的假药。生产、销售假药罪所侵犯的法益不是单纯的药品管理秩序,还包括对不特定多数人的身体健康、生命安全的侵犯。如果一种行政法上所谓的“假药”有疗效,对人民群众的生命安全没有威胁,那就没有必要以犯罪论处,行政处罚就足以。
  另外,刑法的独立性判断还要求行为人在主观上具有刑事违法性的认识,如果行为人知道自己的行为违反了其他部门法,但误认为没有触犯刑法,也不宜发动刑罚权。比如,行为人开按摩馆,组织妇女为客户提供手淫服务,数次被公安机关治安拘留。行为人误认为此行为只具有行政违法性,不构成犯罪,遂继续组织此类按摩活动。后司法机关扩张了刑法上卖淫的定义,认为组织他人提供手淫服务也属于组织卖淫罪的行为方式。在这个案件中,即便认为为他人手淫属于刑法意义上的卖淫,行为人也并不具有刑事违法性的认识,认定为组织卖淫罪并不合理。
  (二)具体危险犯还是抽象危险犯
  人脸本来就是人类社会的识别工具,人与人的交往经常靠的是对他人人脸特征的记忆。在一般情况下,大部分人都不会蒙住脸面进入公共场所或非公共场所。作为一种交互的工具,人脸被凝视和窥探,本来无需大惊小怪。“你站在桥上看风景,看风景人在楼上看你。”我们接受他人有意无意的注视,我们也时常注视他人。人脸信息的泄露造成公众恐慌的主要原因在于大规模刷脸设备的普及,其中主要来源于公权力组织的收集行为。其次是非法获取者用他人面部数据制作3D模型或面具,伪造篡改他人在线身份,一旦人的身份被篡改,那就极有可能遭受人身或财产损失。因此,针对个人的犯罪行为,人脸识别刑事规制的重心并不在于对人脸信息本身的侵犯,而在于对这种电子身份信息的篡改可能损害他人的人身或财产等现实性权利。有很多学者主张数字人权的概念,但是人本不应该被数字化,无论是数字还是信息都不是一种实际的权利。数字或信息只是个人权利的载体,正如虚拟财产如果无法体现真实的财产内容,它也只具有虚拟的意义,无论如何都不能解释为财产。因此,包括人脸信息在内的各种个人信息只是信息时代个人人格的信息载体,只有当这种信息足以危及现实性的人身或财产权利,才有必要进行刑法规制。侵犯公民个人信息罪属于侵犯公民人身权利或民主权利中的犯罪,这表明立法者认为其法益必须是信息所承载的个人权利。
  在刑法中,绝大多数对普通人身份的篡改都不是犯罪,除非这种冒名顶替行为现实性地侵犯了他人的人身或财产权利,才有必要动用刑罚。比如,冒名顶替从事诈骗,或者冒充他人丈夫进行性侵。虽然我国刑法第280条之一规定了使用虚假身份证件、盗用身份证件罪,但这个罪的刑罚很轻,最高仅是拘役刑。同时,它打击的是极端的身份冒用行为。一方面,这种冒用的场合非常特殊,仅限于依照法律或行政法规规定应当提供身份证明的活动,但绝大多数的日常活动并不需要提供身份证明;另一方面,被冒用的必须是他人的法定身份证明(居民身份证、护照、社会保障卡、驾驶证等依法可以用于证明身份的证件),冒用行为是对官方信誉的侵犯,所以并不包括学生证、工作证等大量的普通证件。人脸信息并非法定证件,篡改行为不太可能对官方信誉造成侵犯,人脸信息被用来证明身份的场合也更为普遍,比如,刷脸打游戏、取钱、进入小区等各种场合。因此,刑法规制的重心不是篡改行为本身,而是它可能造成人身或财产的具体损害。相似的例子是我国刑法第280条之二规定的冒名顶替罪,该罪法定刑与侵犯公民个人信息罪的基本刑相似,都是三年以下有期徒刑或者拘役。这种冒名顶替行为只限于三种场合,即顶替他人取得的高等学历教育入学资格、公务员录用资格、就业安置待遇。这些场合的冒名顶替都会对他人的人身或财产权利造成重大损害
  我国刑法第253条之一第1款规定,侵犯公民个人信息罪的行为方式有出售或者提供,第3款规定“窃取或者以其他方法非法获取”公民个人信息的,依照第1款的规定处罚。单纯的窃取或获取行为并不会对他人的人身、财产造成危险。立法者将第3款以第1款论,而不在第1款中直接规定窃取或者以其他方法非法获取的行为方式,就意味着窃取、非法获取这两类行为方式应当和“出售或者提供”具有等价值性,必须具有扩散目的。如果没有扩散目的,单纯的窃取或者以其他方法非法获取人脸信息的,并不具有对他人人身、财产权利侵犯的现实性危险,那就不应该动用刑罚。比如,联防队员利用派出所民警插在电脑上的数字证书,进入到公安内网系统内查询并下载公民身份证头像,如果他没有传播目的,只是为了获取信息,了解恋爱对象的家庭背景,这种行为虽然违反《个人信息保护法》等诸多法律,但并非刑法上的侵犯公民个人信息行为。但如果他以每张公民身份证头像4元的价格卖给他人,获利颇丰,那么这种窃取并出售的行为自然可以以犯罪论处。因此,在互联网上无意获取人脸信息、单纯地下载自用行为一般不宜认定为“非法获取”,除非有扩散目的才可能构成犯罪。否则就意味着只要非法持有个人信息也会构成犯罪,这显然违反了罪刑法定原则。此外,无论将持有视为作为,还是介于作为与不作为之间的行为方式,持有型犯罪都必须有刑法的明确规定,不能因为违反了其他部门法的义务就将其视为刑法上的持有。有个别学者认为持有是一种新的不作为方式。但即便如此,也不能因法秩序统一原理而将违反其他部门法的义务任意解释为刑法上的作为义务。比较典型的例子是我国刑事诉讼法规定的作证义务。该法第62条第1款规定:“凡是知道案件情况的人,都有作证的义务。”如果证人拒不作证,这并不构成犯罪。除非有刑法的明文规定,才能将其他部门法上的义务上升为刑法上的义务。我国刑法第311条规定了拒绝提供间谍犯罪、恐怖主义犯罪、极端主义犯罪证据罪,这就是通过刑法的特别规定将刑事诉讼法中的作证义务部分升格为刑法上的义务。因此,《个人信息保护法》所规定的法律义务并不能自然而然升格为刑法上的义务,如该法第47条规定的信息删除权。假设行为人使用车载视频摄像头获取大量包括人脸信息在内的个人信息,备份在个人电脑中,没有及时删除,这虽然违反了《个人信息保护法》,但是不能将其上升为刑法上的“删除义务”,更不能因行为人没有履行这种删除义务,就将行为人认定为刑法上“非法获取”的不作为犯。
  总之,侵犯公民个人信息罪是通过保护公民的个人信息来捍卫信息所承载的人身、财产权利,本罪“情节严重”的罪状应当理解为具体危险犯,只有对人脸等个人信息的侵犯足以危及他人的人身、财产权利,才具有实质上的法益侵害,否则就不应该发动刑罚权。

03

人脸信息单一识别性的否定
  指导性案例192号认为,“人脸信息”属于生物识别信息,其具有不可更改性和唯一性,人脸与自然人个体一一对应,无需结合其他信息即可直接识别到特定自然人身份,具有极高的“可识别性”。按照这种观点,单一的“人脸信息”就具有可识别性。因此,只要窃取或以其他方法非法获取“人脸信息”,情节严重,就构成侵犯公民个人信息罪。但是,迄今为止,几乎所有涉及“人脸信息”的判例都没有单独获取“人脸信息”即构成犯罪的现象。绝大多数案件都在非法获取人脸信息的同时,还非法获取了身份证号码、电话号码、姓名等多种个人信息。即便是指导性案例192号也并非单纯涉及“人脸信息”。涉案被告人开发“颜值检测”软件,窃取安装者相册照片共计1751张,其中部分照片含有人脸信息、自然人姓名、身份号码、联系方式、家庭住址等公民个人信息100余条。同时,被告人还在暗网购买、下载“社工库资料”数据并分享给QQ群,供群成员免费下载。经鉴定,“社工库资料”包含各类公民个人信息共计8100万余条。如果指导性案例192号的被告人只是利用“颜值检测”软件获取了单一的“人脸信息”,这是否构成犯罪?指导案例语焉不详。到目前为止,司法实践中还几乎没有单独获取人脸信息即构成侵犯公民个人信息罪的判例。绝大多数判例中的行为人除了获取人脸信息,还同时获取了姓名、身份证号码、电话号码等信息,这些信息可以综合指向某个实实在在的具体自然人。
  需要说明的是,无论是我国网络安全法第76条,还是民法典第1034条都规定个人信息既包括单独识别信息,也包括结合识别信息。《个人信息司法解释》也采取了相似的定义方式,即个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
  然而,无论是人脸信息,还是身份证号码,这些所谓的具有唯一指向性的个人信息都并不一定能够单独识别出具体的自然人。如果没有姓名、身份证号码等信息,单独的人脸信息其实与具体自然人的关联不大,很难对他人的人身、财产权利造成实质侵犯。身份证号码看似具有单独识别性,但其实身份证号码的命名是有规律的,国家质量技术监督局1999年发布的国家标准(GB11643-1999《公民身份号码》)规定了公民身份证号码的编码对象、号码的结构和表现形式,只要按照这个标准可以任意组合出公民身份证号码,同时借助互联网上的身份证查验软件,就有可能分析出真实的公民身份证号码。如果向他人提供、出售这种经过简单加工分析的号码,则该行为不宜以侵犯公民个人信息罪论处,因为它并未直接关联到具体个人,只是关联到某个可能存在的人,没有指向某个有名有姓的具体人。因此,在缺乏姓名等关键信息的情况下,单独的身份证号码也不能认定为刑法中的个人信息。然而,司法实践中有个别判例认为单独的电话号码可以认定为刑法中的个人信息。例如,石某利用“号码魔方”电脑软件生成公民手机号码,并多次将生成的手机号码向他人转卖,获利29850元,出售的手机号码被他人用以实施犯罪。法院认为,“号码魔方”软件生成的手机号码属于个人信息,被告人构成侵犯公民个人信息罪。然而,这种判决并不合理,手机号码的命名同样是有规律的。按照此规律任意组合的号码只要经过互联网上随处可见的软件进行校验,就可能生成真实的手机号码。这种手机号码也只能关联到某个可能存在的人,而非某个具体人。在绝大多数情况下,获取这类个人信息的行为人只是从事商业推广,虽然构成对他人的骚扰,但并不会对他人人身、财产权利造成具体危险,没有必要动用刑罚。事实上,有相当多的个人信息都貌似具有唯一识别性,比如电子邮箱基本上就不太可能出现重名的现象。但是,在缺乏姓名等其他个人信息的情况下,单纯的电子邮箱很难直接指向某个具体的个人,也很难对个人的人身、财产权利造成实质侵害。
  总之,“人脸信息”虽然属于生物识别信息,具有不可更改性和唯一性。但是,单独的人脸信息如果没有姓名等其他信息,并不能直接指向到具体的自然人,也很难对其人身、财产权利造成实质损害。非法获取单纯的人脸信息即便属于民法和行政法上的不法行为,但也不宜作为刑法上的犯罪行为。

04

关联犯罪与罪数理论的澄清
  人脸识别的流程大致如下:首先需要在数据库录入本人比较清晰的照片,然后利用计算机技术,通过摄像头扫描收集真实的人脸图像进行参数标记,形成虚拟的3D模型,转化为实时人脸数据文件,和数据库的照片进行对比,看是否属于同一个体。当前,与人脸识别相关的犯罪行为除了侵犯公民个人信息罪以外,还往往涉及计算机犯罪、网络犯罪以及盗窃、诈骗等财产犯罪,相关的罪名适用以及罪数问题在司法实践中存在一定的混乱。
  (一)侵犯公民个人信息罪与计算机犯罪的关系
  这里主要是破解人脸识别系统的定性问题。对于破解人脸识别系统,司法实践认定不一,有的认定为侵犯公民个人信息罪,有的则认定为破坏计算机信息系统罪、非法控制计算机信息系统罪等计算机犯罪。然而,信息和系统是两个不同的概念,单纯的侵入系统只可能构成计算机犯罪。比如,行为人破解人脸识别系统对相关数据(如数据库的照片)进行篡改,这构成破坏计算机信息系统罪,与侵犯公民个人信息罪没有关系。为破解人脸识别系统提供工具则可能构成提供侵入、非法控制计算机信息系统程序、工具罪,也与侵犯公民个人信息罪无关。比较复杂的现象是破解人脸识别系统获取人脸信息等个人信息,其手段行为构成非法获取计算机信息系统数据罪,但目的行为构成侵犯公民个人信息罪。两者是应该数罪并罚还是从一重罪,存在一定的争议。我国法律和司法解释中有着大量牵连犯数罪并罚的规定。代表性的观点认为,只有具备类型化的手段与目的、原因与结果的关系时,才存在牵连关系,可以从一重罪论处。然而,对于类型化牵连关系的判断见仁见智。有学者认为为了杀人侵入他人住宅具备类型化的关系,应当从一重罪论处,但是为了杀人而盗窃枪支则缺乏类型化的关系,因此要数罪并罚,理由是杀人通常会侵入住宅,但枪支并非杀人的通常手段。显然,这样的一种类型化的判断凭借的是主观感觉,过于随意。并无足够的司法统计学证明故意杀人和非法侵入住宅存在这样一种通常性类型关系。因此,还不如放弃牵连犯概念,除了法律的特别规定,牵连关系都应该数罪并罚。对于计算机犯罪刑法有特别规定,我国刑法第287条规定:“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。”这就意味着通过计算机犯罪来实施其他犯罪,既不能按照数罪并罚来处理,也不能按照从一重罪的处断原则,只能按照目的行为定罪量刑。《刑事审判参考》第1202号指导案例也指出:“根据刑法第287条之规定,凡是利用计算机来实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,不论手段行为是否构成相关计算机犯罪,均应以金融诈骗罪、盗窃罪、贪污罪、挪用公款罪等目的犯罪定罪处罚。被告人实施的破坏计算机信息系统等行为应当作为量刑情节予以适当考虑。”因此,通过非法获取计算机信息系统数据的手段来取得个人信息,只能以侵犯公民个人信息罪定罪处罚。
  (二)侵犯公民个人信息罪与网络犯罪的关系
  有学者认为:行为人设立用于实施出售、提供或者非法获取人脸识别信息违法犯罪活动的网站、通讯群组,情节严重的,构成非法利用信息网络罪;由此非法获取人脸识别等个人信息的,构成侵犯公民个人信息罪,应当数罪并罚。这种观点值得商榷。《个人信息司法解释》规定:“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。”司法解释的观点并无不妥,系想象竞合原理的体现。如果行为人设立网站非法获取人脸识别信息,这既构成非法利用信息网络罪,又构成侵犯公民个人信息罪,则从一重罪处罚,即应该按照重罪侵犯公民个人信息罪论处。如果行为人设立网站获取人脸识别信息之后又出售给他人,也只能以侵犯公民个人信息罪论处,虽然《个人信息司法解释》对此并未规定,但是非法获取和出售本身都是侵犯公民个人信息罪的行为方式,属于选择性罪状,不能数罪并罚。
  至于帮助信息网络犯罪活动罪,这比较复杂。司法实践中大量存在的案件是明知他人从事网络犯罪活动,为他人提供自己的人脸识别等验证信息,这构成帮助信息网络犯罪活动罪没有太大问题。但是,如果非法获取他人的个人信息,提供给他人从事网络犯罪活动,这应该如何定性?司法解释没有规定。比如,行为人伙同他人使用软件将公民头像照片制作成公民3D头像,将此3D头像在网上售卖,买家利用此头像通过某宝人脸识别认证,骗取某宝奖励。前行为符合侵犯公民个人信息罪的构成要件,后行为则构成帮助信息网络犯罪活动罪,对此也不应该数罪并罚,只能以侵犯公民个人信息罪论处。从表面上看,这有两个行为,然而非法获取与出售都是侵犯公民个人信息罪的行为方式,行为人既有非法获取行为,又有出售行为,这本身是一个侵犯公民个人信息的行为。非法获取与出售“行为”可以视为侵犯公民个人信息行为中的两个举动,实施侵犯公民个人信息行为的过程中又同时符合帮助信息网络犯罪活动罪的构成要件,也应该按照想象竞合,从一重罪即侵犯公民个人信息罪处理。
  另外一个要讨论的犯罪是拒不履行信息网络安全管理义务罪,它在司法实践中很少适用。这是一个纯正的不作为犯,其作为义务必须来源于法律和行政法规的规定,同时还要经监管部门责令采取改正措施而拒不改正。拒不履行信息网络安全管理义务的罪状之一是“致使用户信息泄露,造成严重后果的”,这与侵犯公民个人信息罪可能发生竞合关系。根据司法解释的规定,作为入罪标准的“严重后果”与侵犯公民个人信息罪的“情节特别严重”的加重情节几乎一致。有学者认为,本罪的责任形式是故意,行为人必须认识到自己不履行信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正会发生危害结果,但却希望或放任这种结果的发生。如果按照这种观点,拒不履行信息网络安全管理义务罪的相关条款其实没有存在的必要。拒不履行信息网络安全管理义务罪的刑罚(主刑)是三年以下有期徒刑、拘役或者管制,与侵犯公民个人信息罪的基本刑(主刑)相似。但侵犯公民个人信息罪还有加重情节,可以判处三年以上七年以下有期徒刑。如果行为人明知自己不履行信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正可能导致大量人脸识别信息被他人窃取,但依然希望或放任这种危害结果的发生,这既构成拒不履行信息网络安全管理义务罪,同时也构成侵犯公民个人信息罪加重情节的不作为犯,而后罪的处罚更重。根据我国刑法第286条之一第3款的规定(“同时构成其他犯罪的,依照处罚较重的规定定罪处罚”),这一行为只能以侵犯公民个人信息罪加重情节定罪。这其实意味着拒不履行信息网络安全管理义务罪中的“致使用户信息泄露,造成严重后果的”条款没有存在的意义。
  拒不履行信息网络安全管理义务罪虽然是一种故意犯罪,但是其中的“严重后果”可以视为一种客观处罚条件,并不需要行为人对此存在认识。类似的例子是我国刑法第261条规定的遗弃罪,构成该罪的行为是“对于年老、年幼、患病或者其他没有独立生活能力的人,负有扶养义务而拒绝扶养,情节恶劣的”行为。遗弃罪是典型的故意犯罪,但是构成该罪并不需要行为人对于“情节恶劣”要素存在认识。如果母亲拒不履行抚养义务,遗弃幼儿致其死亡,假如行为人对死亡结果存在故意,那就构成遗弃罪和故意杀人罪的想象竞合。但若行为人对死亡结果没有明知,则不构成故意杀人罪,但也不影响遗弃罪的成立。因此,如果行为人拒不履行信息网络安全管理义务,同时对于“致使用户信息泄露,造成严重后果”持故意的心态,则属于拒不履行信息网络安全管理义务罪和侵犯公民个人信息罪的想象竞合,按照重罪侵犯公民个人信息罪论处。但如果对于“严重后果”缺乏故意,则直接以拒不履行信息网络安全管理义务罪论处。
  (三)侵犯公民个人信息罪与诈骗、盗窃等财产犯罪的关系
  通过获取他人的人脸识别信息实施财产犯罪的行为方式主要包括两种:一种是实时获得他人人脸识别信息当场进行财产犯罪。比如欺骗他人进行人脸识别案,朱某在操作陈某支付宝账户时,多次以支付宝掉线为由哄骗陈某进行人脸识别验证,在陈某不知情的情况下,从其支付宝“借呗”、支付宝备用金、支付宝网上银行、京东账户中的京东“金条”“白条”盗刷和套现,总计盗取人民币46700元。骗取他人进行人脸识别验证只是盗窃的一个步骤,即便认为获取信息的行为符合侵犯公民个人信息罪的犯罪构成,这也属于想象竞合,从一重罪论处,无需数罪并罚。另一种更为常见的现象是行为人非法获取他人人脸识别信息后,并未当场而是在一段时间后再进行财产犯罪。比如制作人脸识别信息骗取支付宝红包案,张某等人利用已非法获取的公民个人信息,通过使用软件将相关公民头像照片制作成公民3D头像,从而通过支付宝人脸识别认证,并使用上述公民个人信息注册支付宝账户,来获取支付宝提供的邀请注册新支付宝用户的相应红包奖励。张某获取个人信息制作3D头像的行为构成侵犯公民个人信息罪,但骗取支付宝红包的行为则构成诈骗罪。法院认为,这是两个独立的犯罪行为,并不具备牵连关系,应当数罪并罚。虽然笔者认为牵连犯一般都应该数罪并罚,但是在本案中不能数罪并罚,这并不是因为两个行为有牵连关系,而是因为两个行为的法益不能被重复评价。侵犯公民个人信息罪是一种具体危险犯,必须足以危及他人的人身或财产权利才构成犯罪。个人信息权在本质上只是通过信息承载的人身和财产权。如果无法现实性地侵犯他人的人身、财产权利,那么这种侵犯个人信息的行为不应该受到刑法的规制。在某种意义上,侵犯公民个人信息罪属于财产、人身犯罪在信息领域中的预备行为正犯化。在制作人脸识别信息骗取支付宝红包案中,侵犯公民个人信息行为只是现实性地危及了财产权利,而骗取红包的诈骗行为则实际侵犯了财产权,财产权的实际损害自然吸收了财产权的可能损害,没有必要数罪并罚。类似的例子是我国刑法第177条之一所规定的窃取、收买、非法提供信用卡信息罪,这是刑法中最早出现的个人信息犯罪,它虽然属于破坏金融管理秩序罪中的犯罪,但是它也类似于金融诈骗犯罪预备行为的正犯化。如果行为人窃取他人信用卡信息从事信用卡诈骗,自然也只能以信用卡诈骗罪定罪量刑,不能数罪并罚。我国刑法第287条的规定也是同样的道理,侵入计算机信息系统本身可能侵犯他人财产权,如果实施盗窃、诈骗等财产犯罪,现实性侵犯了他人的财产权利,也就不能和计算机犯罪数罪并罚。
  比较特殊的情况是在类似三角诈骗的三方当事人场域中,行为人利用被害人的人脸信息,骗取银行的财物。如利用人脸信息贷款诈骗案,徐某是某贷款公司业务员,骗取于某提供身份证、银行卡、密码、配合人脸识别,向金融有限公司贷款本金人民币172000元。从表面上看,这既侵犯了被害人于某的个人信息权(危及其财产权利),也实际侵害了银行的财产权,似乎应该数罪并罚。但是,在本案中,只有一种财产权利被实际侵害。如果银行可以找于某进行追偿,则银行没有遭受财产损失;如果银行不能找于某进行追偿,则于某不可能遭受真实的财产损失,因此也只能评价为贷款诈骗罪一罪。类似的例子是所有权人盗窃案,甲将摩托车借给乙,当晚甲将摩托车偷出,次日甲让乙还车,乙发现摩托车丢失,遂赔偿甲1万元。即便认为甲窃取摩托车的行为构成盗窃罪,也不可能认为事后接受赔偿的行为构成诈骗罪,因为乙只遭受了一次财产损失,不能重复评价。在此类案件中,其实没有必要接受所有权人可以构成对占有权人盗窃的理论,因为这与人的直觉相抵触,如果甲拿回摩托车后没有向乙主张任何赔偿,这根本就不应该是犯罪。出借人把借出去的东西偷偷拿回来,何罪之有?法律逻辑不能违背常识与经验。当然,如果出借人事后主张赔偿,直接以诈骗罪论处就可以实现法益的全面保护。类似的判例是《刑事审判参考》第1177号指导案例,行为人盗取自己被公安机关扣押的财产,法院认为不构成财产犯罪,只是构成刑法第314条规定的非法处置扣押财产罪。
  获取人脸识别信息从事财产犯罪,最常见的问题就是诈骗与盗窃的区分,其中机器能否被骗在刑法理论中依然存在重大争议。一种观点认为,机器不能成为诈骗罪的受骗者,因为机器不可能存在认识错误。但另一种观点则认为,机器能够被骗,被骗的不是机器,而是机器背后的人。利用他人的人脸识别信息骗取财物,不同的立场自然得出不同的结论。比如,有学者就坚持认为欺骗他人进行人脸识别,“刷脸”冒名贷款,对这种行为不宜认定为诈骗罪,应定性为盗窃罪,因为机器不能被骗。然而,这种法律逻辑并不一定符合当下的生活经验,有必要适时调整。在司法实践中,“机器不能被骗”的原理几乎被抛弃,司法解释和权威判例都肯定了机器能够被骗的立场。
  2008年4月,最高人民检察院《关于拾得他人信用卡并在自动柜员机(ATM机)上使用的行为如何定性问题的批复》明确规定,拾得他人信用卡并在自动柜员机(ATM机)上使用的行为,属于“冒用他人信用卡”的情形,应当以信用卡诈骗罪定罪处罚。2009年最高人民法院、最高人民检察院《关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》再次重申这种立场,该解释第5条规定:“窃取、收买、骗取或者以其他非法方式获取他人信用卡信息资料,并通过互联网、通讯终端等使用的”应认定为冒用他人信用卡的行为,论以信用卡诈骗罪。最高人民检察院发布的指导案例“董亮等四人诈骗案(检例第38号)”也认为虚构提供服务事实,骗取互联网公司垫付费用及订单补贴,数额较大的行为,应认定为诈骗罪。该指导案例并不区分对机器还是对人工进行欺骗。在涉及人脸识别诈骗的绝大多数判例中,司法实践中主流的观点也很少认可机器不能被骗的立场。
  诈骗罪的基本构造需要被害人陷入认识错误,这就意味着被骗人需要具有“自由意志”。主张“机器不能被骗”的基本逻辑在于机器是缺乏自由意志的,没有思维能力,如果认为机器能够被骗,那就肯定了机器具有人所独有的“自由意志”和思维能力,这是对人的不尊重。换言之,将机器等同于人,是对机器的抬举,自然也是对人的贬低。
  然而,这里的问题在于人的“自由意志”本身存在决定论和非决定论的分歧。无论如何,人的认识能力与思维能力都有程度之分,所以即便主张机器不能被骗的学者也不认为所有的人都能够成为被骗人,他们认为幼儿和严重精神病患者不能成为诈骗的对象,骗取他们财物的,构成盗窃罪,那这是否也是对人的不尊重呢?智商多少才能被骗呢?
  其次,人工智能有弱人工智能和强人工智能之分,强人工智能有较强的学习能力和适应能力,它在一定的空间范围内可以决定去应对新的场景,作出一定的选择。如果说弱人工智能不能被骗还有一定的道理,但是如果认为强人工智能也不能被骗,这种观点就太过于教条。人们之所以对人脸识别技术心生恐惧,就在于智能机器往往能够造成比人更大的危害。
  再次,如果认为机器不能被骗,这也无法处理抽象的事实认识错误问题。比如,行为人利用他人的人脸识别信息骗取贷款,在手机上选择人工服务,但事实上只是人工智能服务,人工智能批准了行为人的贷款申请。按照机器不能被骗的原理,这属于主观上想实施诈骗,但客观上却实施了盗窃,这应该如何处理呢?相似的例子是行为人选择了人工智能服务,但实际上是人工进行了服务,主观上想盗窃,但客观上诈骗,这又该如何定性呢?由于盗窃罪和诈骗罪属于排斥关系,并无重合的内容,似乎只能成立诈骗罪的未遂,这显然不合理。即便认为盗窃和诈骗在规范上有重合的部分,重罪和轻罪在轻罪的范围内重合,那么两个案件最终都会被评价为诈骗罪的既遂,这其实也肯定了机器是可以被骗的。与其这么纠结,不如大大方方地肯定人工智能可以被骗。
  更为重要的是,机器不能被骗的原理也会导致严重的不公平。从表面上看,肯定机器不能被骗是对人的尊重,但这种符号意义上的抽象尊重可能极大地损害具体人的利益。在大多数情况下,欺骗人工和欺骗机器,社会危害性上并无本质区别。行为人购买照相机,将便宜的照相机条形码贴在昂贵的照相机上,最后以便宜的价格购买了昂贵的照相机。如果采取抽象处分说,不考虑被害人对标的物的认识,那么如果行为人在人工结账柜台结账,这构成诈骗罪,但在机器自助结账柜台结账,主张机器不能被骗的观点就认为构成盗窃罪。但这两者的社会危害性真的有区别吗?严格来说,对人的欺骗也许比对机器欺骗的主观恶性更大。但是,前者论以较轻的诈骗罪,后者则认为构成更重的盗窃罪,这从根本上违反了罪刑均衡原则,也与民众的道德直觉相抵触。根据司法解释,盗窃罪数额较大的标准是1000—3000元,而诈骗罪的入罪标准是3000—10000元。比如,在北京地区,行为人在人工结账柜台骗取2000元财物不构成犯罪,但在机器自助结账柜台结账骗取2000元财物却构成犯罪,这明显不公平。另外,盗窃罪还有多次盗窃、携带凶器盗窃等条款,而诈骗罪则没有类似规定。如果行为人连续三次在超市购物,每次购买10元的小物件,若选择机器自助结账,逃单行为就构成犯罪。若行为人胆大妄为选择人工结账,逃单反而不构成犯罪。甚至如果行为人携带凶器在超市购物,通过机器自助结账骗取了10元零食,按照机器不能被骗的观点,这就构成(携带凶器)盗窃罪,这种结论是荒谬的。威廉·詹姆斯提过一部小说,该小说描述的是一位贵妇人在剧院里为剧中人物的悲惨命运啜泣不已,但她的马夫就在戏院外面冻得快要死去。“机器不能被骗”的逻辑是为了将人与机器区别开来,表面上是对人的尊重,但是这种尊重只是一种抽象性符号意义的尊重。人们通过赋予某种符号以抽象的价值,却最终牺牲了具体人的真实利益。在某种意义上这将导致学术研究成为一种智力游戏与逻辑自欺。法律的生命是经验,而不是逻辑。
  当然,机器不能被骗的理论并非完全没有价值。比如利用机器故障骗取财物,如把铁片插入自动柜员机取款,这自然不能构成诈骗罪,而应该以盗窃罪论处。因为这并不存在对机器思维的干扰。当人工智能陷入了瘫痪,对机器的“欺骗”就如同对精神失常的人欺骗一样,没有必要再以诈骗罪论处。因此,对于人工智能,尤其是强人工智能应当肯定机器可以被骗的观点。利用他人的人脸识别信息骗取财物,无需区分对机器还是对人,都应该以诈骗犯罪论处。

05

结语:对数据利维坦的警惕
  我们生活在一个个人信息随时都会被泄露的时代,信息泄露可能是数据时代必须接受的危险。在照相技术刚刚出现的时候,很多人害怕照相,担心他人获取自己的影像从而获得神秘的伤害力量。这种对未知事物的恐惧是人类有限性的一种体现。今天,人脸识别的广泛运用也让人们心生恐惧,但是这种恐惧自然也有非理性的成分。未知的力量总是让人惧怕,尤其当我们不知道这种力量掌控者亦正亦邪时更是如此。生活在信息时代的当下,虚拟与现实的边界愈来愈模糊,但是虚拟和现实的区分依然是有意义的。现实具有本体的意义,虚拟只是对现实的折射。“庄生晓梦迷蝴蝶”只是一种艺术修辞,若有人将梦境看成真实,那可能只是一种可悲的人生错乱。因此,只有当包括人脸信息在内的数据能够反映现实性的权利才有法律上的意义。个人信息可以作为人权的信息载体,只有当侵犯个人信息的行为危及了现实性的个人权利,刑法才有必要介入。
  利维坦是《圣经》中的怪兽,霍布斯把它比作国家。霍布斯认为,在自然状态下,“人们不断处于暴力死亡的恐惧和危险中,人的生活孤独、贫困、卑污、残忍而短寿”。人性充满着争竞、猜疑和虚荣。如果缺少让众人敬畏的共同权力,人与人的关系便是“战争状态”。为了避免这种悲惨的战争状态,人们让渡了自己的权利,形成了社会契约,于是诞生了伟大的利维坦。通过国家中每一个人的授权,利维坦便可以利用托付给它的权力和力量,通过其威慑组织大家的意志,对内谋求和平,对外互相帮助抗御外敌。霍布斯认为:“任何政府形式可能对全体人民普遍发生的最大不利跟伴随内战而来的惨状和可怕的灾难相比起来,或者跟那种无人统治,没有服从法律与强制力量以约束其人民的掠夺与复仇之手的紊乱状态比起来,简直就是小巫见大巫了。”放在科技落后的17世纪,霍布斯的论断可能是正确的,但是放到今天,人类拥有无数次毁灭自己的力量,这个说法显然不合时宜。两次世界大战的经历让人们从对社会契约公共意志的乐观假设中惊醒,利维坦式的国家权力滥用也许比无政府状态下的自然战争状态更为可怖。
  绝对的个体权利和绝对的国家权力都是一种乌托邦。法治是对所有类型乌托邦的解毒剂,它并不期待最好的局面,而只是为了避免出现最坏的状况。国家不是完美的善,它只是必要的恶。利维坦是人造的怪兽,不应拥有毁灭人类的力量。霍布斯将国家视为人造的上帝,但它不是上帝本身。它的权力不能没有边界,依然要受到法治的约束。当前包括人脸识别在内的各种信息技术已经成为一种超级数字利维坦,它还在不断的膨胀之中,吞吃一切数据。如果所有的数据壁垒都被彻底打通,数据库的泄露就会出现灾难性的后果,至于数据的滥用更是令人胆颤心惊。因此,法治对公权力必须保持常态化的警惕。没有人愿意生活在《少数派报告》所描述的世界。公权机关与孤立个体两者对人脸识别技术的滥用所能带来的危害不可同日而语。如果刑法无意对公权机关进行大刀阔斧的整肃,那么也不应该对孤立个体的不法行为刻薄寡恩大开杀戒。刑法只是最后法、补充法,不到万不得已不应该轻易动用。人脸识别主要依赖于其他法律体系的治理,刑法应该保持必要的谦抑与节制。

END


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存