涉人脸识别犯罪的关键问题
作者:周光权,清华大学法学院教授,法学博士。
来源:《比较法研究》2021年第6期。网络来源:法学学术前沿,引用请以原文为准。
摘 要:《个人信息保护法》第 28 条将人脸识别等包含个人生物识别特征在内的信息作为敏感个人信息加以特别保护极有必要,除此之外,应针对实践中涉人脸识别犯罪频发的现状,有效运用刑法手段精准打击,以全面保护人格权。获得个人知情同意的信息取得、利用行为,排除侵犯公民个人信息罪的客观构成要件,而非阻却违法性。网络放贷平台 APP 等擅自抓取贷款申请人的人脸识别数据,当然违反知情同意规则;即便征得该申请人同意,但读取其通讯录以及手机中储存的照片的,由于该申请人对于涉及他人的信息无权同意,获取行为也违背知情同意规则,有可能构成本罪。行为人未经允许,将他人的肖像加工成人脸识别数据,破解人脸识别安全验证,解除网络支付平台账户限制等,属于非法控制计算机信息系统的行为,不构成破坏计算机信息系统罪,也不宜认定为非法获取计算机信息系统数据罪。欺骗被害人“刷脸”后冒用其名义贷款的,构成盗窃罪而非诈骗罪。行为人同时实施非法控制计算机信息系统行为以及获取账户资金、个人信息等行为的,应当数罪并罚。准确认定涉人脸识别犯罪,需要坚持构成要件的观念,考虑刑法上所固有的违法性判断,并兼顾《民法典》及《个人信息保护法》的立场。
关键词:人脸识别;侵犯公民个人信息罪;非法控制计算机信息系统罪;盗窃罪;犯罪竞合
当前,随着人工智能技术的不断成熟,人脸识别所取得的数据、信息作为身份识别的一种方式,被广泛运用于交通出行(如地铁安检、动车检票等)、小区进出门禁、单位考勤、网上银行及移动支付等诸多领域。人脸识别,主要是基于人的面部特征信息来进行身份识别, 以判断图片和视频中人脸对应的个人身份,其具体应用是通过视频采集设备扫描获取识别人的脸部图像信息,并通过人脸识别算法计算获取人脸的面部特征信息,与人脸识别系统中的人脸样本数据库进行比对,最后判断出用户的真实身份。一般而言,在人脸识别应用中还会对被识别人进行活体检测,即要求被识别人进行眨眼、张嘴、点头等组合动作,以验证被识别人是真实本人在操作;人脸识别还涉及对人脸进行属性识别、聚类识别等一些技术应用场景,如人脸属性识别即是根据人脸展现出的特征检测出与人脸相关联的属性,包括年龄、性别等。
人脸识别技术为相关管理活动的开展以及个人生活带来了很多便利,借助于这一技术, 验证、识别特定自然人以及对个人行动的观察和分析都变得十分容易。但是,人脸识别的大量使用也对个人数据保护带来了新的挑战。人脸识别信息被大数据公司或各种金融平台 APP 过度收集、随意共享的现象广泛存在;人脸识别技术在应用中存在不少安全漏洞,具有“易破解”的很多薄弱环节,相关技术及数据被滥用的情形屡见不鲜。人脸识别的相关数据、信息一旦被不法分子获得,会给个人带来各种风险。人脸数据属于公民的生物信息,其和指纹、声纹、掌纹、基因、虹膜、耳廓等生物识别信息一样,与信息主体人格尊严之间联系更为密切,能够反映自然人独一无二、不可替代的身体特征,具有高度的人身依附性、专属性等一般信息所不具备的信息特质,对这种信息的特殊保护历来受到关注。《中华人民共和国民法典》(以下简称《民法典》)第 1034 条第 1 款规定,自然人的个人信息受法律保护;该条第 2 款个人信息的定义明确将生物识别信息列举为个人信息。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第 28 条则明确将人脸识别、指纹等包含个人生物识别特征在内的个人信息作为敏感个人信息加以规定,认为其一旦被泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。如此一来,人脸识别信息就和宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息一样,成为法律重点保护的对象。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理人脸识别信息等敏感个人信息。
在实务中,一方面,由于个人可能将足以识别个人的肖像、身份证图片以及其他具有人身关联性的人像及风景照片等都储存在云盘上,个人对其敏感信息的保护难度加大;另一方面,人脸识别技术极易被滥用,由此导致非法获取、提供、破解人脸识别数据及关联的电信网络诈骗、非法发放及催收贷款等犯罪案件层出不穷,有的案件在定性上存在一定争议。因此,从刑法角度思考人脸识别技术应用风险的规制问题,具有重大现实意义。也就是说,要全面保护敏感个人信息,《民法典》和《个人信息保护法》的作用不可低估,但刑法也一定不能缺位,尤其对涉人脸识别案件的定罪争议问题进行研究,对于统一刑事裁判尺度具有实际价值。
需要说明的是,本文对滥用人脸识别技术行为的刑法规制,不讨论如下两类案件:一方面,仅以“人脸识别”为噱头,但纯属传统犯罪类型的案件。例如,被告人麦某虚构其投资人脸识别门锁项目的事实,多次骗取他人财物14万余元,法院以诈骗罪判处其有期徒刑3年10 个月。法院的判决是正确的,这类案件也与人脸识别无关。另一方面,实务中定罪并无争议的涉人脸识别情形。例如,《个人信息保护法》第10条规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。此外,《个人信息保护法》第 26 条规定在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的。如果被告人侵入他人的计算机信息系统窃取大量身份证照片等, 加工成人脸识别视频后非法出售的,以及为窃取个人信息而在隐秘场所安装图像采集、个人身份识别设备,并将所获取的人脸识别信息非法提供给他人的,无疑都构成侵犯公民个人信息罪。换言之,本文着力讨论的是在非法利用人脸识别技术获取数据,以及在个人信息处理过程中,滥用人脸识别技术或数据时所涉及的定罪争议问题。
一、个人真实同意之有无与定罪争议
(一)知情同意规则在刑法上的体系定位
根据《中华人民共和国刑法》(以下简称《刑法》)第 253 条之一的规定,违反国家有关规定,向他人出售或者提供公民个人信息情节严重的,以及窃取或者以其他方法非法获取公民个人信息的,构成侵犯公民个人信息罪。与此相关联的前置法即《个人信息保护法》第 13 条规定,处理个人信息应当取得个人同意。据此,知情同意成为信息处理规则。我国网络安全法第 42 条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。第 44 条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
据此,为平衡数据利用和个人权益保护之间的关系,我国并不禁止企业从事所有涉及他人个人信息的相关业务,法律禁止的仅是违反国家规定,未取得个人同意,非法获取、出售、提供公民个人信息的行为,并不是只要从事与个人信息相关的业务就涉嫌犯罪。由于本罪是以归属于个人的信息权益为保护对象的,因此,无论对于本罪的保护法益持个人法益说、社会法益说还是双重法益说的见解,都应该认为本罪中的违反国家有关规定一般仍应以是否经过信息主体同意为标准,也就是说,取得特定信息主体同意后,对其人脸识别信息进行验证,并不属于违反国家有关规定的情况。归结起来,就刑事领域而言,个人是否知情同意就是涉及罪与非罪的重要判断规则。在大数据时代,个人信息流程多元复杂,“海量的数据收集、多元化的数据利用和复杂的同意条款使得建立在信息主体充分知情基础上的明示同意更加难以实现”,但即便如此,也需要强化这一规则,由此才能赋予公民对其个人信息的有效控制,从源头上保护个人信息,减少后续违法处理个人信息的行为,减轻监管压力,降低法律实施成本,明确侵权者承担责任的标准。
在利用人脸识别技术侵犯个人信息的场合,控辩双方容易发生的争点是:被告人是否有真实、有效的同意。有的辩护人明确提出,本案的个人信息都是公民自愿提供的,且被告人没有采用窃取等非法手段获取个人信息,也没有转卖涉案的个人信息。在多数判决中,对于这一辩解未作回应,法官潜意识里可能认为这一辩解不值一驳;在有的案件里,被告人非法加工、处理的人脸识别信息数量巨大,显然没有也不可能取得所有个人的同意,因此法官的直觉无可厚非。但在有的案件中,确实存在部分人脸识别信息的获取得到了个人的同意。因此,对涉人脸识别刑事案件的处理背后,有一个“知情同意”是阻却构成要件还是阻却违法的问题。
对于被害人同意的体系定位,第一种观点认为需要区分同意和承诺,二者的含义不同, 被害人的同意阻却构成要件,但承诺只能阻却违法。第二种观点认为,即便区分同意和承诺,也应该认为其承诺阻却构成要件,因为刑法对人身、财产法益的保护,是防止他人的攻击, 不是禁止权利人的自我处分;当权利人通过有效的同意允许行为人对相应的法益客体进行损害时,行为人的行为就只是权利人对于自身法益进行支配和使用的外在表现,其并不违反权利人的自主意志,不能被视为刑法意义上的实行行为。因此,基于被害人的有效承诺而实施的行为自始不具有法益侵害性,也不符合构成要件所表征的不法类型。被害人在没有违背自己意愿的情况下面对危险,对其提供保护只不过是在贯彻刑法家长主义。第三种观点认为, 被害人同意与承诺无法区分,只承认承诺这一概念即可。对于被害人承诺,合适的处理方式是区分法益的性质,区别性地予以考察。在侵犯自由以及侵犯财产的相关犯罪中,因为财产法益、自由法益和被害人的处分权之间容易作一体评价,对此可以赞成被害人承诺排除构成要件的主张;而在与人身伤害相关的犯罪中,也可以认为法益和对法益的处分权应当分开评价,从而支持被害人承诺阻却违法性说。在人身伤害犯罪中,持阻却违法这一主张的好处在于其与国民的一般性常识判断保持一致,尊重了国民规范意识。例如,在为拯救亲人生命而承诺的活体肾脏移植事例中,甲是脏器提供者,由于要向近亲属移植器官的一部分,承诺摘除并失去部分器官,即便有甲的承诺,但其遭受损害、法益受损的事实,仍然无法否定。换言之,虽然有被害人承诺,但对其身体机能的伤害(例如,被摘取一个肾脏)是存在的,与此同时,在构成要件定型化的判断中,这种得到被害人承诺的行为在公众(理性一般人)看来确实会造成法益伤害。只不过在此后继续进行的违法性判断中,可以立足于整体法规范所确立的法秩序进行比对,认为这一损害法益的行为会拯救他人的生命,因此被害人基于其承诺的身体健康权缺乏“要保护性”,即在处分身体法益的相关主体的自由(自我决定权)被尊重的范围内,出于法益保护目的具体性地去禁止伤害行为这一必要性应被否定。换言之, 在自我决定权所覆盖的范围内,由于法益的“要保护性”被否定,违法性就被阻却。这样一来,身体法益以及与身体法益有关的处分权就是两个层面的问题,不应当混同在一个层面当中予以讨论。
事实上,无论对被害人同意与被害人承诺之间的关系持何种主张,在侵犯公民个人信息的场合,都应该认为被害人的知情同意阻却构成要件该当性。赞成第一种观点的学者会将信息处理者充分告知后个人所作出的同意解释为有别于被害人承诺的“被害人同意”,从而得出这种同意阻却构成要件该当性的结论。赞成第二种观点的人会认为,即便将这里的知情同意说成是被害人承诺,其也属于阻却构成要件的情形。持第三种观点的学者会主张,本罪属于侵犯自由的犯罪,因为自由法益和被害人的处分权之间具有一体性,因此,可以得出承诺排除构成要件的结论。笔者原则上同意前述第三种主张,承认被害人知情同意阻却构成要件。例如,行为人以蝇头小利诱骗他人提供人脸识别信息,然后由行为人独立完成大额电信诈骗资金转移手续等,个人提供信息时如果是基于自身利益诉求,在明知他人可能将自己的人脸识别信息用于多种用途(包括极有可能用于违法用途)的情况下,仍自愿出售身份信息,甚至在对方明确告知将使用其人脸识别信息用于申领银行卡等场景下,仍自愿提供照片及其他信息的,其同意将阻却犯罪客观构成要件的成立。
(二)违背知情同意规则的人脸识别数据滥用行为
从民事法律的角度看,知情同意规则由告知规则和同意规则两部分组成。对于告知义务的履行方式、告知内容,《个人信息保护法》作出了详细规定,其第 17 条明确指出,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(1)个人信息处理者的名称或者姓名和联系方式;(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(3)个人行使本法规定权利的方式和程序;(4)法律、行政法规规定应当告知的其他事项。结合上述规定可以看出,无论个人信息处理行为是否基于个人的同意,处理者原则上都有告知义务(除非法律规定了可以免于告知),未进行告知或告知的内容有瑕疵,未取得信息主体同意处理其个人信息的,应当承担民事侵权责任。
从实务的角度看,由于人脸识别信息不同于一般个人信息,甚至其作为生物信息与指纹等其他生物信息之间也有较大区别。因此,人脸识别信息的处理应坚持特别规制即差异化规制,应坚持更强的知情同意原则。也正是考虑到这一点,《个人信息保护法》第 29 条规定, 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。实务中,行为人虽不是在隐秘场所擅自安装摄像头非法抓取人脸识别数据,但是,其并未将获取、处理敏感个人信息的真实目的告知被害人,或者被害人的同意明显存在瑕疵,以及 APP 过度读取、抓取人脸识别等信息的,个人真实、有效的同意并不存在,行为人有成立侵犯公民个人信息罪的余地。
结合近年来已经作出的裁判观察,违背知情同意规则的人脸识别数据滥用行为大致有以下类型:
1.欺骗他人取得人脸识别信息
行为人在未告知被害人可能获取其人脸识别信息的情况下,违法采集、获取公民个人信息的,当然违背知情同意原则。比如,曾经流行的许多“AI换脸游戏”APP,就是利用用户乐于参与游戏、毫不防备的心理,在未告知的情形下,非法采集人脸识别信息。实务中,违背知情同意原则,欺骗他人获取人脸识别信息的案件突出表现为行为人针对中老年人对信息的鉴别能力较弱这一现实,通过拍照等方式收集人脸识别信息的情形,使中老年人成为人脸识别信息被非法获取的一个特殊被害群体。不法分子往往以“发福利”或者“发赠品”的名义,诱惑被害人参与拍照、提供照片等个人信息。例如,有的被告人在超市内,以顾客购物满一定金额可获赠洗衣液等礼品为名,并要求顾客在领取礼品时提供姓名、身份证号码,并用手机拍照、录制视频等方式采集被害人的肖像信息。再比如,被告人走乡串户到农村举办各种名目的活动,要求达到一定年龄以上的老年人持本人身份证参加,给参加者赠送价值很低的副食品,然后对领取者的身份证及个人进行拍照,获取人脸识别数据。在被害人提出疑问时,对方谎称拍照或录像的目的是“为避免重复领取”。被告人向被害人获取的个人信息, 极有可能后续被用于办理开通、实名认证的移动通讯卡、银行卡,或者注册网络账户,以及注册某些公司开发运营的放贷 APP 用户等,待实名认证通过,有关申请办理成功后,被告人从移动代理商、电信网络诈骗犯罪团伙成员处领取佣金。
显而易见,上述隐瞒获取个人信息的真实意图,滥用人脸识别技术,在被害人对信息处理行为不知情的情况下,欺骗他人同意拍照非法获取公民个人信息的行为,与《个人信息保护法》第13条所规定的“知情同意”规则相抵触,明显具有违法性,能够为犯罪的成立奠定规范基础。
2.非法抓取通讯录及人脸识别信息
近年来发案率较高的情形是,网络放贷平台 APP 借助于技术手段非法获取公民人脸识别信息后,才予以放贷,并将人脸识别信息共享给催收公司,甚至将这些信息变卖获利。首先,上述平台在放贷时事先未告知,但抓取个人信息的行为侵犯个人信息,即 APP 等应用软件通过隐瞒方式取得用户同意,实际收集的信息超过其提供产品及服务的必要范围,与知情同意条款中的约定明显不符。例如,【例 1,“催贷案”】2018 年 10 月,董某(另案处理) 通过“救急白卡”APP 在网络上非法从事高利放贷业务,并且在该 APP 软件中植入特定程序, 以便在不特定借款人申请借款时获取借款人手机通讯录和地理位置等个人信息。2019 年 3 月起,被告人焦某涛在明知上述 APP 为非法网络高利贷软件的情况下,先后两次以其设立的“武汉简雍”公司的名义从董某处接收高利贷催收业务,同时非法接受由董某提供的相关借款人个人信息,并按照贷款的不同逾期阶段获得佣金。“救急白卡”APP 系统集成外挂的杭州有盾科技有限公司还会抓取用户的人脸识别活体与身份证信息进行比对。“救急白卡”APP 经贷款申请人授权允许后,获取用户的手机通讯录信息和 GPS 地理位置信息。被告人焦某涛等人供述:“甲方会提供催收系统的链接,我们(催收公司)登录上去后就能看见欠债客户的姓名、手机号、借款金额和实到金额、应还款金额,能够看到人脸识别信息,然后我们就会通过打电话、加微信,如果电话不通,就联系他通讯录里的人,把他现在用的手机号要出来然后再跟他联系,让他还钱。”法院认为,被告人焦某涛非法获取公民个人信息,构成侵犯公民个人信息罪。
在这里,“救急白卡”APP 经借款人授权后,获取用户的手机 GPS 地理位置信息,符合知情同意规则。但是,对于经过借款人同意后,获取该申请人的手机通讯录以及抓取用户的人脸识别活体信息的行为是否具有非法性,实务中认识不一。第一种观点认为,APP 读取、抓取信息的行为不属于侵犯公民个人信息,因为其取得该类信息系业已经过用户同意,仅用于行为人所在公司催收债务等经营活动,并没有将信息转手提供其他第三人。这种观点很有市场,在个案中,很多辩护人也以此作为辩护理由。第二种观点认为,APP 用户的同意并非真实的用户意思表示,用户如果不同意就无法使用 APP,难以抗拒非法信息收集,其只能被动接受;行为人虽然没有导致信息泄露,但是其通过读取的手机通讯录并给亲友打电话催债的行为,影响了用户的正常生活,因此,行为人构成本罪。第三种观点认为,行为人所使用的 APP 如果明示了信息用途,如告知用户(贷款申请人)其手机通讯录、人脸识别信息可能被用于验证诚信度以及后续的催收债务的,其行为就不违法;如果事前没有明示,但在收集后将其用于催收等活动的,属于非法获取他人信息。
笔者认为,上述主张都难言合理。行为人通过网络 APP 发放贷款,在发放贷款前,要求贷款申请人必须提供其亲友的手机号、通讯地址,以及抓取人脸识别信息等,以便于后期催讨债务的,都属于过度读取个人信息,也是侵犯公民个人信息的犯罪行为。首先,任何一个手机号码的所有人的个人隐私权、个人信息权益都受法律保护,对此实行实名制也有这方面的考虑,手机主人将其告知贷款申请人,是基于日常生活交往需要的一种个人信息许可、同意。但是,其并未事前“一揽子”授权贷款申请人可以把这个电话号码转让给包括 APP 开发者在内的所有人。因此,APP 开发者在经营活动(而不是日常生活交往)中,要取得他人通讯录内储存的大量手机号码,仅获得借款申请人的授权是不够的,而应当取得通讯录中每一个手机号码所有人的单独同意。其次,APP 读取数据的目的具有非法性(一旦追讨欠债不能成功,便要对无关第三人进行滋扰、纠缠,通过干扰第三人的私生活来实现自己的债权),这更容易使其行为难以阻却构成要件该当性。最后,个人的人脸识别信息属于生物识别信息, 是比一般个人信息更为重要的敏感个人信息,未经个人同意,违背知情同意规则的抓取及向第三方提供的行为明显具有违法性。
3.行为人将其控制的照片加工成人脸验证视频
【例 2,制作动态视频案】被告人赖某全应客户(信息不详)要求,将其所得知的公民身份证号码、姓名等发送给同伙“曹操”“大佬”(另案处理)等人帮忙查询上述公民的对应照片,再将上述照片通过“三色技术”制作成动态人脸验证视频后出售给客户从中获利,共获利约达 2.3 万元。法院认为,被告人赖某全违反国家规定,向他人出售公民个人信息,情节严重,其行为已构成了侵犯公民个人信息罪,判处其有期徒刑 1 年 2 个月。
再比如,【例 3,制作 3D 头像案】张某雇佣姚某萍,并指使余某飞使用大量公民个人身份信息注册某宝账号,再使用软件将公民头像照片制作成公民 3D 头像,从而通过某宝(第三方支付平台)人脸识别认证。张某、姚某萍等人通过这种方式来获取某宝提供的邀请注册新某宝用户的相应红包奖励(每个新注册某宝,行为人至少可以获取 28 元收益)。案发后,警方从张某处查扣近 2000 万条公民个人信息。从 2018 年 7 月份至案发,张某共使用他人个人身份信息注册成功至少 547 个通过人脸识别认证的实名某宝账户,从中非法获利 15316元。2019 年 11 月 18 日,浙江省江山市人民法院作出一审判决,认定张某犯侵犯公民个人信息罪和诈骗罪。
在上述“例 2,制作动态视频案”和“例 3,制作 3D 头像案”中,被告人都辩解其将照片加工为动态人脸验证视频、公民 3D 头像等行为不属于侵犯个人信息。但是,照片是个人肖像的载体,是特定自然人可被识别的外部特征,属于敏感个人信息,对包含个人生物识别特征的肖像的使用和处理,根据《个人信息保护法》第 29 条的规定,应当取得个人的单独同意或者授权。行为人未经同意加工人脸识别数据,侵犯了被害人的肖像权和个人信息权益。被告人即便辩解其所获取的照片信息系他人真实提供,自己对照片的来源不知情,甚至辩解其照片的取得经过权利人同意,其加工个人照片的行为仍然具有侵犯个人信息的性质。换言之,对于个人生物识别信息的使用,以及未经同意加工人脸识别数据的,都违背了知情同意规则,侵犯了他人的肖像权和个人信息权益,对网络时代下的数据安全、个人信息和财产安全均造成了严重危害,行为人难以主张其行为阻却构成要件该当性。
二、破解人脸识别侵害的是系统而非数据
目前,制作模拟人脸模型以破解人脸识别验证的黑色产业链已相当“成熟”,而且许多软件代码已经开源,用身份证照片就可以从技术上模拟张嘴、眨眼等动作,仿真效果很高,可以骗过许多人脸识别平台。2021 年 2 月,清华大学 Real AI 研究团队利用对抗样本干扰技术,在短短 15 分钟时间内就成功破解了 19 款国内主流手机的人脸识别系统,人脸识别“易破解”的安全隐患暴露无遗。该团队破解人脸识别的过程是,先将测试人员 A 的人脸信息录入手机,然后测试人员 B 利用A 的照片通过“对抗样本攻击算法”在眼部区域生成一个最佳的干扰图案,最后将干扰图案打印出来贴在镜框上并带上眼镜,即可对手机屏幕完成人脸识别破解解锁。人脸识别验证防破解能力弱,既暴露了日常应用程序在人脸识别技术方面所存在的漏洞,也给准确定罪带来了一定争议。
(一)破解人脸识别验证的定罪差异
1.以非法获取计算机信息系统数据罪定罪的情形
【例 4,破解某宝系统案】2018 年 8 月,被告人唐某通过他人介绍先后两次前往山东省菏泽市被告人李瑞安处学习制作用以破解某宝人脸识别认证系统的 3D 人脸动态图,并从被告人李瑞安处购买了相关设备,支付被告人李瑞安人民币 2 万 3 千元。后被告人唐某在网络上发布信息称能够提供破解某宝人脸识别认证的服务。2018 年 9 月,被告人唐某从“半边天”(另案处理)处获得唐甲的某宝账户信息,受“半边天”委托破解某宝对唐甲账号的限制,被告人唐某采用制作唐甲 3D 人脸动态图的方式突破了某宝人脸识别认证系统,解除了某宝对唐甲账号的限制登录,后被告人唐某将唐甲某宝账户信息提供给被告人张羽,被告人张羽通过伪造唐甲手持身份证、同意(承诺)函的照片并拨打某宝客服电话的方式解除了某宝对唐甲账户的资金冻结,后被告人张羽采用购买话费的形式将唐甲某宝账户内的人民币2.4 万余元转移。
对于本案,侦查机关以唐某涉嫌侵犯公民个人信息罪、破坏计算机信息系统罪提请检察机关批准逮捕。检察机关以破坏计算机信息系统罪对唐某批准逮捕。起诉时,公诉机关改变了罪名,认为唐某非法侵入网络支付平台计算机系统,系通过采取加工人脸识别数据等方法, 使其与系统安全验证预设数据相匹配而实现的,并没有对计算机系统原数据删除、修改、增加、干扰,其行为不符合破坏计算机信息系统罪的构成要件,唐某实施的加工人脸识别数据、破解系统安全验证、非法解除账户限制、非法获取交易许可数据等行为,危害了计算机信息系统安全,扰乱了社会管理秩序,应以非法获取计算机信息系统数据罪定罪处罚。
四川省成都市郫都区人民法院审理后认为,照片是特定自然人可被识别的外部特征,使用时需经本人同意或者授权。行为人未经同意或者授权非法利用他人肖像,加工人脸识别数据后破解安全验证,是利用了计算机系统运行数据的基本原理,以此侵入计算机系统控制或转移账户资金的,是获取并运行数据的结果。行为人主观上没有非法占有账户资金的目的, 但未经肖像权人同意,实施上述行为,构成犯罪的,应以非法获取计算机信息系统数据罪定罪处罚。据此,判处被告人唐某有期徒刑 1 年 10 个月。
2.以破坏计算机信息系统罪定罪的情形
【例 5,破解“渝快办”平台案】2019 年 12 月以来,被告人祁某利用 FD 软件,通过对计算机信息系统中传输的人脸比对数据进行替换的方式,帮助单某、朱某、龚某、熊某等人(均另案处理)在重庆市政府 APP 渝快办政务服务平台及重庆税务微信公众号上以他人的身份信息进行公司注册登记和电子税务注册,以此方式违规办理了 165 家公司的营业执照和 18 家公司的电子税务账号,从中非法获利人民币 2.8 万余元。检察机关认为,被告人祁某违反国家规定,对计算机信息系统中传输的数据进行修改的操作,构成破坏计算机信息系统罪。
3.仅以侵犯公民个人信息罪定罪的情形
【例 6,破解“一窗通”平台案】被告人吴新兵自 2020 年 4 月起,明知他人利用公民个人信息实施非法侵入计算机信息系统、虚开发票等违法犯罪行为,仍利用非法获取的身份证照片等公民个人信息,采用不法技术手段单独或与被告人周某甲等人分别结伙,帮助朱某某、梁某某(均另案处理)等人破解上海“一窗通”“电子营业执照”“登记注册身份验证” “上海电子税务局”“交管 12123”等计算机信息系统的人脸识别认证程序,从中获取违法所得人民币 6 万余元。检察机关认为,被告人吴新兵、周某甲单独、结伙或分别结伙,违反国家有关规定,利用非法获取的公民个人信息从事违法犯罪活动并从中牟利,情节特别严重,应以侵犯公民个人信息罪追究其刑事责任。
与此大致类似,在“例 3,制作 3D 头像案”中,被告人张某伙同他人使用软件将公民头像照片制作成公民 3D 头像,从而通过某宝人脸识别认证,骗取某宝奖励,法院也是将破解人脸识别验证系统的行为认定为侵犯公民个人信息罪。
上述案件,无论是用虚假的身份证照片还是非法制作的 3D 头像获取系统验证,其实质都是破解人脸识别验证系统的行为。但是,实务中对此的定罪并不相同。由于被告人实施类似行为很可能同时构成侵犯公民个人信息罪,因此,以该罪对被告人定罪处刑的做法原则上是没有问题的(但是,实践中可能忽略了其和计算机犯罪的竞合问题。对此,在后文中会作进一步分析)。在这里,真正有争议的是这种破解人脸识别验证系统的行为究竟应该构成非法获取计算机信息系统数据罪、破坏计算机信息系统罪还是其他犯罪。
(二)破解人脸识别验证系统以破坏计算机信息系统罪定罪的疑问
根据《刑法》第 286 条的规定,破坏计算机信息系统罪是指违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的行为,或者违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的行为,以及故意制作、传播计算机病毒等破坏性程序, 影响计算机系统正常运行,后果严重的行为。根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(2011 年 8 月 1 日)第 4 条的规定,破坏计算机信息系统功能、数据或者应用程序,具有下列情形之一的,应当认定为刑法第 286 条第 1 款和第 2 款规定的“后果严重”:(1)造成 10 台以上计算机信息系统的主要软件或者硬件不能正常运行的;(2)对 20 台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的;(3)违法所得 5 千元以上或者造成经济损失 1 万元以上的;(4)造成为 100 台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为 1 万以上用户提供服务的计算机信息系统不能正常运行累计 1 小时以上的;(5)造成其他严重后果的。
由于《刑法》第 286 条第 2 款仅规定“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚”,其中并未像第 1 款那样规定“造成计算机信息系统不能正常运行”,因此,无论是司法解释还是实务上,对于这种情形下的破坏计算机信息系统罪的认定都存在一定的误解。在上述司法解释第 4 条的第一项、第四项规定中,都有行为造成计算机信息系统不能正常运行的内容,但是,其第二项“对 20 台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的”,以及第三项“违法所得 5 千元以上或者造成经济损失 1 万元以上的”,都单纯指行为样态或行为人的获利,并不要求行为必须导致计算机信息系统不能正常运行才达到定罪门槛。这种司法解释规定极易导致实务陷入误区。
【例 7,删除“恶评”案】,对于被告人李骏杰冒用买家身份,骗取电商平台客服审核通过后重置账号密码,登录该购物网站内部评价系统,删改买家的中差评 347 个,获利 9 万余元的行为,检察机关以被告人李骏杰犯破坏计算机信息系统罪提起公诉。一审法院认为,冒用购物网站买家身份进入网站内部评价系统删改购物评价,属于对计算机信息系统内存储数据进行修改操作,危害计算机信息系统数据采集和流量分配体系运行,使网站注册商户及其商品、服务的搜索受到影响,导致网站商品、服务评价功能无法正常运作,侵害了购物网站所属公司的信息系统安全和消费者的知情权,行为人因删除、修改某购物网站中差评数据违法所得 25000 元以上,构成破坏计算机信息系统罪,属于“后果特别严重”的情形,由此人民法院以破坏计算机信息系统罪判处被告人李骏杰有期徒刑 5 年,二审维持原判。
但是,上述司法解释和实务运作对《刑法》第 286 条第 2 款的理解都存在疑问。理由在于:(1)判断《刑法》第 286 条第 2 款所规定犯罪的客观构成要件时,需要进行体系思考。体系思考“并不是单纯地孤立观察某个法规范,而是要观察这个规范和其他规范的关联,这个规范和其他法律规范都是共同被规定在某个特定法领域中,就此而言,它们共同形成一个‘体系’”。由于《刑法》第 286 条三款文字所规定的罪名都是破坏计算机信息系统罪,其第1 款、第 3 款都要求“造成计算机信息系统不能正常运行”,如果对第 2 款不作类似要求,其就与体系思考的逻辑不符。(2)从刑罚均衡的角度看,如果《刑法》第 286 条第 1 款、第3 款的危害性相同,第 2 款可以与之不同,即不需要“造成计算机信息系统不能正常运行”即可以构成犯罪,那么,第 2 款就仅体现为对数据和程序的侵害,其法定刑就应该更轻,否则就会出现量刑不均衡。但是,立法并未对《刑法》第 286 条第 2 款设置更轻的法定刑,而要求与第 1 款的犯罪同罚,这就说明第 2 款犯罪也需要对计算机信息系统功能有实质性破坏才符合定罪条件。(3)需要准确理解援引法定刑立法模式的特殊考虑。从立法技术上看,《刑法》第 286 条第 2 款的表述方式属于援引法定刑的规定。《刑法》第 286 条第 1 款规定 “造成计算机信息系统不能正常运行”,而第 2 款并无相同字样,只是规定“依照前款的规定处罚”,第 2 款的表述方式有助于减少法条的重复表述,使法条更简洁,富有美感,不至于太烦琐、冗长,但其实质未必比第 1 款有所减损。换言之,在刑法分则条文规定援引法定刑时,只要就基本的行为模式作出表述即可,没有必要同时规定危害后果,否则就无法达到减少法条表述的目的。因此,适用《刑法》第 286 条第 2 款时,如果并未确定系统功能所受到的破坏,仅依据违法所得 25000 元以上就认定为该罪后果特别严重,进而予以定罪处罚,这一做法存在明显不足。(4)可能有人会认为,“例 7,删除‘恶评’案”中行为人进入购物网站删改“差评”,使得这些数据消失,也是使系统所承载的与商品交易有关的某些功能受影响。但此时认为行为对系统功能有影响,就只是一个广义的关于功能理解,也就是仅有平台网页上的评价功能受影响,但计算机信息系统自身的功能仍能正常发挥,顾客的知情权和计算机信息系统的保护法益之间没有关系,不能把公司商业性的权利解释成计算机犯罪的保护法益。如此说来,《刑法》第 286 条破坏计算机信息系统罪主要是针对系统本身的破坏,而非仅仅对数据完整性或数据效用的侵害。
前述“例 4,破解某宝系统案”中,被告人把自己加工过的照片放进去,似乎对系统有“增加”的操作,但是没有破坏计算机信息系统功能。认为行为在没有使系统功能受到破坏时,也构成破坏计算机信息系统罪的观点,在最高人民法院发布的指导性案例中被纠正。【例8,植入广告链接案】自 2017 年 7 月开始,被告人张竣杰、彭玲珑、祝东、姜宇豪经事先共谋,为赚取赌博网站广告费用,在马来西亚吉隆坡市租住的 Trillion 公寓 B 幢 902 室内, 相互配合,对存在防护漏洞的目标服务器进行检索、筛查后,向目标服务器植入木马程序(后门程序)进行控制,再使用“菜刀”等软件链接该木马程序,获取目标服务器后台浏览、增加、删除、修改等操作权限,将添加了赌博关键字并设置自动跳转功能的静态网页上传至目标服务器,提高赌博网站广告被搜索引擎命中几率。截至 2017 年 9 月底,被告人张竣杰、彭玲珑、祝东、姜宇豪链接被植入木马程序的目标服务器共计 113 台,其中部分网站服务器还被植入了含有赌博关键词的广告网页。后公安机关将被告人张竣杰、彭玲珑、祝东、姜宇豪抓获到案。对于本案,公诉机关以破坏计算机信息系统罪对四人提起公诉。江苏省南京市鼓楼区人民法院最后判决四被告人违反国家规定,对我国境内计算机信息系统实施非法控制,情节特别严重,构成非法控制计算机信息系统罪,系共同犯罪。公诉机关以破坏计算机信息系统罪予以指控不当。在裁判理由中,法院认为,被告人虽对目标服务器的数据实施了修改、增加的侵犯行为,但未造成该信息系统功能实质性的破坏或不能正常运行,也未对该信息系统内有价值的数据进行增加、删改,其行为不属于破坏计算机信息系统犯罪中的对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加的行为,应认定为非法控制计算机信息系统罪。
由此可知,对于破解人脸识别验证系统,通过修改、增加计算机信息系统数据,对该计算机信息系统实施非法控制,但未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪。不能认为《刑法》第 286 条第 2 款没有列明必须要“造成系统不能正常运行”等字样,那么,被告人把人脸识别信息替换,或者用加工的 3D 头像侵入他人计算机信息系统,该系统还在运行的,也还能够成立破坏计算机信息系统罪。构成该罪,要求其造成系统不能正常运行,且系统不能正常运行和后果严重必须同在。“例 4,破解某宝系统案”中检察机关认为,唐某非法侵入网络支付平台计算机系统,系通过采取加工人脸识别数据等方法,使其与系统安全验证预设数据相匹配而实现的,并没有对计算机系统原数据删除、修改、增加、干扰,其行为不符合破坏计算机信息系统罪的构成要件,这一说法是有道理的,因为行为人仅替换人脸识别信息的行为,谈不上对计算机系统原有的数据作出了实质意义上的删除、修改、增加、干扰,其系统功能也还能够正常发挥。
(三)破解人脸识别验证系统应当构成非法控制计算机信息系统罪
在前述“例 4,破解某宝系统案”中,法院对唐某以非法获取计算机信息系统数据罪定罪,这一罪名适用是否妥当,还值得研究。
根据《刑法》第 285 条第 2 款的规定,非法获取计算机信息系统数据罪,是指违反国家规定,侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据的行为。在“例 4,破解某宝系统案”中,法院认为,行为人未经同意或者授权非法利用他人肖像,加工人脸识别数据后破解安全验证,是利用了计算机系统运行数据的基本原理,以此侵入计算机系统控制或转移账户资金,这是获取并运行数据的结果。法院的认定逻辑是,行为人加工人脸识别数据后破解安全验证,是采用技术手段侵入计算机系统, 而转移账户资金就是获取有关数据。对此的质疑是:(1)非法获取计算机信息系统数据罪的成立,要求有具体的获取数据的行为,包括从他人计算机信息系统中窃取,如直接侵入他人计算机信息系统,秘密复制他人存储的信息;也包括骗取,如涉及假冒网站,在受骗用户登录时,要求用户输入账号、密码等信息。因此,获取行为是否存在,需要在侵入行为得以认定的情形下再作具体判断。对此更为严格限定的观点强调,获取应当理解为行为人在其主观意思支配下所实施的复制和创建数据的行为,只有通过下载、数据化方式存储等技术手段才能认定为获取。在破解人脸识别转账、获取奖励、侵入政务网站等犯罪中,行为人都并未针对系统中已存在的数据实施复制、下载、数据化方式存储等“获取”行为,而是非法侵入后控制该系统,并以系统数据为基础实现行为人的犯罪目标,行为的本质是对计算机信息系统的控制。如此区分非法控制计算机信息系统罪和非法获取计算机信息系统数据罪,符合有关指导性案例的精神。在“卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案”中, 最高人民检察院的指导意见强调:“侵入计算机信息系统后下载其储存的数据,可以认定为非法获取计算机信息系统数据。”因此,“下载其储存的数据”成为非法获取计算机信息系统数据罪能否成立的重要指标。这充分说明,非法获取计算机信息系统罪属于典型的数据犯罪,与破坏计算机信息系统罪、非法控制计算机信息系统罪等针对信息系统的犯罪存在重大差别。计算机信息系统代表着技术资源和计算能力,侧重于动态化的运作安全,而数据安全则指向静态的、作为被计算机处理的对象的安全。数据犯罪的保护法益是数据的秘密性、可用性与完整性,行为如果没有使系统内的数据被公开、丧失完整性或无法再使用,就不可能构成非法获取计算机信息系统罪。(2)如果认为数据犯罪的保护法益是数据的秘密性, 那么,非法获取计算机信息系统数据罪的成立,要求行为人所获取的数据信息具有不为他人所知晓的特性。在“例 4,破解某宝系统案”中,法院似乎认为,行为人非法侵入系统后获取的资金账户信息是本罪所要保护的数据。但是,在本案中,案发前开户名义人已将账户转让给“半边天”,并预留了开户名义人的个人信息,接收该账户者在账户交易异常后,还能够提供开户人的个人信息,就难以否定其可以获取系统内与该资金对应的数据,因此,该数据对于进入该系统的行为人而言其秘密性就不存在。既然接收账户者对系统内的资金可以转移,其获取相关数据只不过是为了与所获取账户的信息相互印证,其获取原本就可以取得的数据,就不是本案的评价重心。(3)“例 4,破解某宝系统案”真正的评价重点应该是行为人控制计算机信息系统,通过这种控制实现了数据的取得和资金的转移。判决书认可被告人“加工人脸识别数据后破解安全验证,是利用了计算机系统运行数据的基本原理,以此侵入计算机系统‘控制’或转移账户资金”,就是评价了行为人对于系统的非法控制行为,只有从行为人控制系统这一点切入,才能准确、全面、有重点地评价被告人的行为性质。(4)如果按照“例 4,破解某宝系统案”的判决逻辑,“例 7,删除‘恶评’案”中李骏杰非法进入他人计算机系统里把“差评”删除,是对计算机信息系统中的数据有“删除”的操作;“例 8,植入广告链接案”中张竣杰让网页自动跳转或者把广告网页直接植入到网站服务器,这样网页一打开就跳出赌博网站的广告,是对计算机信息系统中的数据有“增加”的操作,这两个案件的被告人都是进入他人的计算机系统以后有“多余”的动作,都需要先获取计算机信息系统中的数据,然后再进行操作,这与“例 4,破解某宝系统案”获取个人账户数据的行为似乎没有差别。但是,“例 7,删除‘恶评’案”与“例 8,植入广告链接案”都未被人民法院认定为非法获取计算机信息系统数据罪。
基于上述分析,应当认为,直接破解人脸识别系统的行为更为符合《刑法》第 285 条第2 款的规定,应当认定为非法控制计算机信息系统罪。本罪重视的是行为人未经授权或者超越其权限,在非法侵入计算机信息系统后,并未破坏该系统的功能或数据,但通过控制计算机实施特定的操作,对该计算机信息系统不当地享有控制权限这一特质。在这里,基本不存在系统内的数据被他人非法获取的问题,刑法关注的是行为对于计算机信息系统进行操控,使得该系统按照行为人的意思对其开放这一侧面。因此,在侵入他人计算机信息系统,并未获取或者“下载”数据,而是实施个人肖像替换、载入经过加工的人脸识别视频等行为的,就难以认定为非法获取计算机信息系统数据,将其行为认定为非法控制计算机信息系统罪是妥当的。
三、涉人脸识别犯罪的竞合问题
(一)非法使用真实人脸识别数据取财的定性及罪数
通过非法手段,使用真实的人脸识别数据取财的案件,目前主要有强迫他人“刷脸”取财、欺骗他人“刷脸”后冒名取财这两种类型。对于后一种类型,实务中存在定罪争议。
强迫他人“刷脸”取财的发案率相对较低。例如,【例 9,强行“刷脸”案】传销组织的骨干成员欺骗被害人进入该组织,并对被害人进行人身控制,其中,罗某学等人直接安排郝某,并由郝某和张某强迫被拘禁的王某进行了人脸识别。罗某学、郝某等人利用强行获取的密码和人脸识别等,用“蚂蚁借呗”贷款 10000 元、某宝备付金套现 500 元及“微粒贷”贷款 19000 元等。人民法院经审理后认为,被告人罗某学等人非法剥夺他人人身自由,其行为均已构成非法拘禁罪,且具有殴打情节,应从重处罚。被告人罗某学等人以非法占有为目的, 伙同他人采取暴力等方法劫取财物,数额巨大,其行为构成抢劫罪。被告人强迫他人“刷脸”,利用他人的人脸识别信息的行为违反知情同意规则,属于对个人信息的侵害,但由于无法达到敏感信息侵害的定罪起点,无法定罪。法院将其强行取得财物的行为认定为抢劫罪是正确的。实务中,对于将强行“刷脸”取财认定为抢劫罪,争议极少。但是,对于欺骗后使用他人的人脸识别并取财的,在定性上存在诈骗罪说、盗窃罪说的争论,下文以实践中较为常见的欺骗他人“刷脸”后冒名贷款案件为例展开说明。
1.欺骗他人“刷脸”冒名贷款案件的定罪分歧
(1)以诈骗罪定罪的情形。例如,【例 10,陈某“刷脸”骗贷案】被告人陈某在骗取被害人的信任后,以生意周转、登录同花顺软件、刷单等理由骗取或偷拿被害人的银行卡、某宝、身份证,办理信用卡套现、信用卡分期贷款、网上平台贷款等,用于赌博、消费。其中, 被告人使用被害人江某、赖某的身份信息、人脸识别从多个网贷平台贷款共计人民币 20 万余元尚未偿还,后被抓获归案。本案被害人陈述,有些平台贷款只需要其身份信息,有些平台认证贷款需要“刷脸”识别,“被告人就拿着手机对我拍照,我问他什么情况,他让我别管,对于用网贷平台贷款的事我是不清楚的,后接到许多银行以及平台的电话说我欠款逾期, 我才知道他用我信息在 APP 网贷,我就让他还款,他说有钱就转给我帮我还款,但至今大部分没有还款,许多网贷平台及信用卡马上逾期,所以报案”。关于本案定性,起诉和审判的罪名都是诈骗罪。法院认为,被告人陈某取得被害人信任后,虚构刷单、生意周转等理由, 或在被害人不知情的情况下利用其身份信息或人脸识别进行贷款,骗取被害人款项,且在收取被害人款项后用于赌博等挥霍,将款项占为己有,上述事实有网贷记录、微信转账记录、被害人陈述、证人证言、被告人供述等证据证实,现有证据足以证实被告人陈某主观上具有非法占有他人财物的故意,客观上实施了虚构事实骗取他人财物的行为,其行为符合诈骗罪的犯罪构成,应以诈骗罪追究其刑事责任,遂以诈骗罪判处其有期徒刑 2 年 10 个月。
又如,【例 11,夏加某“刷脸”骗贷案】被告人夏加某与被害人张某 1 于 2020 年 1 月通过网络认识并成为朋友,之后被告人夏加某谎称自己系上海瑞士联合银行集团风控师,可以通过公司帮助张某 1 办理出国留学,张某 1 信以为真,后被告人夏加某以办理出国留学需要刷银行流水等为由骗取张某 1 微信、某宝账户信息,并以刷交易流水需要进行人脸识别为由骗取张某 1 进行人脸识别扫描进而获取贷款资金,骗取他人财物共计人民币 10 万余元。公诉机关指控被告人夏加某犯诈骗罪,法院对指控予以认可,遂以诈骗罪判处被告人有期徒刑 4 年 5 个月。
(2)以盗窃罪定罪的情形。【例 12,邓某豪“刷脸”骗贷案】被告人邓某豪以帮助被害人查询征信信息为由欺骗伍某颖通过 APP 的人脸识别,在伍某颖不知情的情况下,以伍某颖的名义在借呗、京东商城 APP 白条、“分期乐”平台等借款,然后转到以被害人名义办理但实际为被告人使用的银行卡上用于被告人个人消费等。对于本案,检察机关以盗窃罪起诉, 法院也以盗窃罪判决,认定被告人邓某豪先以帮被害人伍某颖降低美团平台还款数额为由, 取得伍某颖的手机卡、工商银行卡及银行卡密码,后多次以查询征信为由让被害人通过人脸识别,在其不知情的情况下以其名义在多个平台借贷,并将借贷后的款项占为己用,构成盗窃罪,判处其有期徒刑 1 年。
又如,【例 13,白某宽“刷脸”骗贷案】被告人白某宽以自己可以办理信用卡和贷款业务为由,在帮助他人在手机上办理“飞贷”APP 业务时,多次利用他人提供的身份证信息、手机号,欺骗他人通过人脸识别等,在被害人不知情的情况下在被害人的手机上另行操作“平安普惠”手机贷款,并将所贷款项共计 14 万元转入自己及其前妻曾某的名义申请的“平安普惠”账户内,将“平安普惠”APP 卸载后把手机归还被害人,后提取现金用于本人消费。对于本案,侦查和起诉的罪名都是诈骗罪,法院认为应以盗窃罪追究被告人白某宽的刑事责任,公诉机关指控罪名有误。判决的理由是:被告人白某宽以给他人办理信用卡提升额度和申请“飞贷”的业务为名,在操作过程中利用被害人的身份信息和人脸识别秘密下载“平安普惠”APP,以被害人的名义申请贷款,贷款获批后立即将款项转入自己或其前妻曾某的账户内,并通过提现来实现自己非法占有的目的,“被害人对其财物失去控制并非基于受欺骗而主动交出财物,故本案应当依法认定为盗窃罪”。被告人白某宽盗窃被害人现金共计 14 万元,属数额巨大,遂决定对其判处有期徒刑 3 年。
2.欺骗他人“刷脸”冒名贷款的准确定罪及罪数
欺骗他人“刷脸”冒名贷款使得发放贷款的平台丧失对财物的占有,对这种行为不宜认定为诈骗罪,应定性为盗窃罪。诈骗罪与盗窃罪的关键区别在于受骗人是否基于认识错误处分财产。诈骗罪的对象只能是人,机器不能被骗,即机器因为没有意识而不会陷入认识错误, 更不会基于认识错误处分财产。计算机被欺骗而发出错误指令的,也并不等于计算机本身陷入了认识错误,更不意味着机器背后的人被欺骗之后交付了财物。因此,所谓向机器“行骗”的行为,不可能成立诈骗罪,只能成立盗窃罪。即便智能机器人是按照人设所计的程式处理事务,也并不认为其就具有人的意思活动,因为机器人只能是工具,不可能被视为人, “无论机器人的行为多么复杂,其设计多么优雅,它始终是由人类行动者使用、部署和操纵的工具”。行为人向机器“行骗”的行为,即便因为符合计算机设定的程式而能取得其中的财物,这种行为也只是违反了计算机信息系统所有人的意志,而不是使财物的所有者陷入了认识错误。主张我国刑法规定的诈骗罪的受骗者必须是自然人,是体系解释的结论。因为如果没有自然人陷入或者继续维持错误,就不可能有基于认识错误的财产处分行为,就没有诈骗可言。破解人脸识别验证程序之后,利用加工的人脸数据在贷款平台申请贷款,从被害人账户上盗转资金到其预先开设的账户上的,属于窃取他人财物,应当认定为盗窃罪。
欺骗他人“刷脸”冒名贷款的行为,在构成盗窃罪之外,是否同时构成侵犯公民个人信息罪或骗取贷款罪,需要略加讨论。首先,被告人欺骗他人“刷脸”,并利用他人的人脸识别数据的行为违反知情同意规则,属于对个人信息的侵害,被害人受欺骗后的同意无效;同时,参照有关司法解释的规定,考虑到人脸识别信息特别重要,因此,出售或者提供人脸识别信息,被他人用于犯罪的,知道或者应当知道他人利用公民人脸识别信息实施犯罪,向其出售或者提供的,以及非法获取、出售或者提供人脸识别信息 50 条以上的,均应当认定为《刑法》第 253 条之一规定的“情节严重”,应当构成侵犯公民个人信息罪,与盗窃罪数罪并罚。如果相关行为无法达到敏感信息侵害的定罪起点,无法将其行为认定为侵犯公民个人信息罪的,只能对其盗窃行为定罪处罚。其次,冒用他人的人脸识别信息贷款,且没有归还意思的,并不类似于冒用他人信用卡的行为,不能构成信用卡诈骗罪,这一方面是因为在欺骗他人“刷脸”的场合,行为人取得和使用他人信用卡的行为是经过持卡人授权的,只是其取得贷款行为违背持卡人的意思;另一方面,即便是可以认定为冒用他人信用卡,但在通过人脸识别进入他人计算机信息系统进而取得财物的场合,仍然属于欺骗机器取得财物的情形,以盗窃罪处理即可。最后,利用他人的人脸识别信息,冒用他人名义贷款的,难以认定为骗取贷款罪,因为相关放贷平台能否被认定为金融机构,本身就是一个问题,此外,骗取贷款罪和贷款诈骗罪的客观行为是大致相同的,其差异主要体现在行为人是否具有非法占有目的这一点上,而贷款诈骗罪是诈骗罪的特别法条,如果认为机器不能被骗,在通过“刷脸” 贷款的场合,骗取贷款罪的实行行为也难以认定。换言之,在欺骗他人“刷脸”冒名贷款的情形下,原则上不存在盗窃罪和其他犯罪之间的想象竞合关系。
前述“刷脸”欺骗机器、冒名贷款的情形,与获取人脸识别信息后对特定被害人所实施的电信网络诈骗犯罪存在差异。对于非法获取、出售、提供人脸识别信息且其行为与电信诈骗犯罪存在一定关联的犯罪嫌疑人,需要根据其对电信网络诈骗犯罪的参与程度,结合其认知能力、学历文化,以及相关聊天记录、通话频率、获取报酬情况(获取固定报酬还是参与电信网络诈骗犯罪的分成)等证据,分析判断其是否属于诈骗共同犯罪,以及是否应该数罪并罚。
(二)破解人脸识别系统的罪数问题
前已述及,破解人脸识别验证系统的行为构成非法控制计算机信息系统罪。此外,还需要考虑这类行为与其他犯罪之间的竞合关系,以发挥犯罪认定的充分评价功能。
(1)行为人设立用于实施出售、提供或者非法获取人脸识别信息违法犯罪活动的网站、通讯群组,情节严重的,构成非法利用信息网络罪;由此非法获取人脸识别等个人信息的, 构成侵犯公民个人信息罪,应当数罪并罚。
(2)对于为他人实施破解人脸识别验证系统的犯罪行为而提供破解工具、程序的行为人,应当根据《刑法》第 285 条第 3 款的规定,以提供侵入、控制计算机信息系统程序、工具罪处理。《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(2011 年 8 月 1 日)第 3 条规定,提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务“身份认证信息”的专门性程序、工具 5 人次以上的,应当认定为本罪的情节严重。对于这里的“身份认证信息”,该解释第 11 条规定为“用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等”,并未明确列举人脸识别信息。但是,为他人提供肖像、3D 人脸识别视频,使他人能够避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据,对计算机信息系统实施控制的,也应当构成本罪。因此,这里的“身份认证信息”应当包括人脸识别等个人生物识别信息。
(3)行为人非法获取、购买、交换公民个人身份信息及头像照片,利用前述身份信息注册账号,再使用软件将公民头像照片制作成 3D 头像,加工人脸识别数据,从而破解第三方支付平台或政务平台的人脸识别认证,非法侵入计算机信息系统的,其行为构成非法控制计算机信息系统罪和侵犯公民个人信息罪,应当数罪并罚。不是非法获取、购买、交换个人信息,而是通过浏览各种信息公开平台,或者运用大数据爬取方式获得他人的身份信息及照片,并对照片进行人脸识别数据加工后破解人脸识别系统的,取得个人肖像并不违法,但由于该照片是敏感个人信息,对其进行加工属于对敏感个人信息的处理行为,应当取得个人的单独授权,因此,对于实务中以此为业的被告人,也应当以非法控制计算机信息系统罪和侵犯公民个人信息罪数罪并罚。
(4)行为人经授权后取得他人的网络支付账户、密码,但使用经过加工的虚假人脸识别信息非法侵入计算机信息系统,同时实施了非法控制、转移他人账户资金等行为的,如果在案证据足以证明行为人具有非法占有目的的,应将其取得财物行为评价为盗窃罪,并与非法控制计算机信息系统罪数罪并罚。行为人受他人委托后所实施的破解系统安全验证、解除账户限制等行为,如果其目的是帮助委托人控制、转移其本人事实上有权处置的财物的,只成立非法控制计算机信息系统罪一罪。
(5)行为人为非法获取他人的人脸识别信息,通过破解人脸识别系统的方式非法侵入计算机信息系统,并实际取得相关个人信息的,如果该侵入行为针对国家事务、国防建设、尖端科学技术领域的计算机信息系统实施,同时构成非法侵入计算机信息系统罪和侵犯公民个人信息罪,由于侵入行为本身就属于犯罪行为,因此对该行为人应当数罪并罚。对于违反国家有关规定,采用技术手段仅侵入前述重要信息系统之外合法存储公民个人信息的数据库获取个人信息数据的,由于单纯的侵入行为并不独立构成犯罪,只能将非法获取个人信息数据的行为评价为同时触犯侵犯公民个人信息罪和非法获取计算机信息系统数据罪,应当按照想象竞合犯的法理从一重罪论处。对于想象竞合,在一个说理充分的判决书中,应当分别列出罪名,然后从一重罪处断。这是因为想象竞合存在两个违法事实和责任,在判决宣告时, 必须将这些事项逐一清晰地列举出来,以实现刑法的充分评价,并有效发挥想象竞合的澄清功能,实现积极一般预防的刑罚效果。就此而言,相关判决仅将侵入他人计算机信息系统下载通讯录及个人信息数据的行为认定为侵犯公民个人信息罪,对被告人同时触犯非法获取计算机信息系统罪的行为完全不予评价的做法,与想象竞合犯的认定逻辑不符,有改进的空间。
四、结语
在大数据时代,随着人工智能的广泛运用,人脸识别技术的频繁使用是不可阻挡的趋势。但是,人脸识别技术安全漏洞的存在以及其“易破解”的特征,决定了涉人脸识别数据的犯罪今后很可能有增无减,技术的运用和相关的“黑灰产业”始终如影随形。直面这一现实, 需要认真考虑刑法的准确规制问题。行为人获取他人通讯录及其中储存的大量照片,抓取个人的人脸识别数据的,因为违背知情同意规则,有成立侵犯公民个人信息罪的余地。行为人加工人脸识别数据,破解人脸识别安全验证的,属于非法控制计算机信息系统的行为,不构成破坏计算机信息系统罪,也不宜认定为非法获取计算机信息系统数据罪。欺骗被害人“刷脸”后冒用其名义贷款或转移其账户资金的,构成盗窃罪而非诈骗罪。行为人实施非法控制计算机信息系统的行为再转移账户资金、获取个人信息等行为的,原则上应当数罪并罚。准确认定涉人脸识别犯罪,需要坚持构成要件的观念,考虑刑法上所固有的违法性判断,并顾及《民法典》及《个人信息保护法》的相关规定对于侵犯公民个人信息等罪司法适用所产生的一定影响。
当然,由于以人脸识别为代表的人工智能技术发展日新月异,刑事司法一定是滞后于技术发展的“见招拆招”。“大数据还会带来更多的威胁,毕竟,大数据的核心思想就是用规模剧增来改变现状。”对于个人信息、计算机信息系统安全和数据完整性、可用性等法益的保护而言,刑法只是“最后手段”。“最好的社会政策是最好的刑事政策。”对于人脸识别信息的保护,应该综合施策,尤其要加强对网络公司收集人脸数据的监管,对哪些机构可以处理人脸识别信息作出更为细化的明确规定,设计相应的安全等级要求,并督促其根据《个人信息保护法》第 55 条关于处理敏感个人信息时,“个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录”等规定,建立、落实敏感个人信息保护的制度体系,特别是要确保云储存与云技术中用户数据的基本安全,防止人脸识别等敏感个人信息的泄露, 大数据公司要加强行业自律,非必要不采集人脸识别信息,仅在符合事前明示的信息处理目的的情形下,使用人脸识别数据。总之,在现代信息社会,一方面要增强个人的信息(尤其是人脸识别信息)保护意识,牢记“生物信息是个人信息安全的最后一道防线”,对个人照片、人脸视频等坚守“非必要不提供”的立场。另一方面,要大力推进司法机关与网络服务提供者、网络安全监管机关的协作共建,在普通场所禁止使用人脸识别技术,推进网络安全机制建设,对包括人脸识别信息在内的敏感个人信息给予强有力的特殊保护。唯其如此,才能维护网络安全秩序,进而实现对公民个人信息和财产安全的充分保护,同时促进大数据的运用,平衡好个人信息保护和数据自由流动、数据经济发展之间的关系。 |