□宋行健

(中国政法大学，北京100088)

一、问题之提出

全国人大法工委于2019年12月提出，我国将于2020年制定个人信息保护法、数据安全法等法律，使针对公民个人信息的法律保护体系更为健全。刑法修正案(九)虽然对侵犯公民个人信息罪的主体范围、法定刑配置予以了完善，但在人脸识别技术日趋成熟、应用领域不断扩大的背景下，非法获取人脸识别信息的犯罪行为难以根据现有司法解释得到有效规制，具体体现为三个方面的问题：第一，构成要件该当性层面，人脸识别信息在与该罪相关的司法解释中应如何归类？该司法解释第5条将公民个人信息分为三类，但第二、三类未采取穷尽式列举的方式，人脸识别信息应定位为哪一类？第二，违法性层面，如果公民同意行为人收集自己的人脸识别信息，行为人未侵犯公民的个人信息自决权，能否阻却信息收集行为的违法性？前述同意的内容、范围应如何界定？第三，有责性层面，在行为人从非法渠道购买人脸识别信息、符合入罪条件的情况下，如果将其用于测试人脸识别软件功能、提升软件识别精度，并且客观上有利于提升软件在具体场景中的应用能力，能否作为从轻处罚的考量因素？本文将围绕以上三个问题进行研究。

二、人脸识别信息的概念与体系性定位

(一)人脸识别信息的界定方式

在学界现有的研究成果中，主要从以下三个角度界定人脸识别信息的概念：第一，从民事权利的角度切入。朱巍指出，人脸识别信息属于隐私权的范畴，公民的面部信息不仅与身份直接挂钩，还能够与其他信息相印证，综合反映出该公民的财产状况、运动轨迹、个人习惯等内容。[1]例如在社会公益组织对独居孤寡老人的照顾、管理过程中，可通过在其住所附近多个地点安装的人脸识别设备，判断这些老人的生活状态与活动轨迹，从而不必安排专门的工作人员每日上门查访。第二，从技术来源的角度切入。高荣林指出，人脸识别信息属于可识别的个人生物信息的范畴，能够反映对应主体的生理特征，且其指向具有确定性、唯一性。人脸识别信息的科技基础是生物识别技术，需要综合运用计算机、传感器等技术手段进行身份识别，该技术具有人脸信息抓取、信息跟踪、信息比对三项功能。[2]第三，从安全特性的角度切入。周坤琳指出，人脸识别信息具有识别门槛低、识别精度高、识别距离远、被识别者不易察觉等特征，在人工智能技术领域的应用日趋成熟。但它作为一种自然人的生物信息，公民无法对其进行更改，因此一旦被非法获取，将对公民信息安全造成持续的、不可逆转的负面影响。[3]因此，在将这类信息用于核实公民身份的过程中，不能将其作为唯一的、决定性的识别手段，而应当与手机验证、证件核对、指纹识别等方式相结合，以减少因人脸识别信息被盗用所引发的风险。

因本文是基于刑法中的侵犯公民个人信息罪展开研究，故需要结合刑法的语境对人脸识别信息进行界定。它属于“公民个人信息”的下位概念，根据这类信息依托的技术、发挥的功能，再结合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《侵犯个人信息刑案解释》)中对于“公民个人信息”的释义，本文将人脸识别信息界定为：以电子形式记录、依托于面部生物识别技术，能够单独用于自然人身份识别，且能够与其他信息相结合反映自然人活动情况的信息。

(二)人脸识别信息的体系性定位

《侵犯个人信息刑案解释》以信息内容的重要程度为划分依据，将公民个人信息分为三类，最重要的一类以非法获取、出售或提供信息达到50条以上为入罪标准，限于行踪轨迹、通话信息、信用状况、资产情况这四类信息，第二类是指可能影响公民人身、财产安全的信息，第三类则仅包括一般性的公民个人信息。第二类、第三类信息以第一类信息的入罪数量为基础，分别按照10倍、100倍予以掌握，体现了从严到宽的惩治尺度。在前述司法解释并未明确界定人脸识别信息所属类别的情况下，将使司法实践对于这类信息所涉的入罪尺度产生适用混乱。

从人脸识别信息所具备的功能来看，其与《侵犯个人信息刑案解释》第二类信息中明文列举的内容具有相当性。人脸识别信息能够发挥身份识别、信息核对、位置追踪等多方面的功能，一旦泄露将不可避免地影响到公民的人身与财产安全，例如行为人获取了同一公民从不同角度拍摄的多张人脸图像，使用图像合成软件将其制作成包含向左转脸、向右转脸、抬头、低头、眨眼等动作的连续视频，用于破解快递保存柜、小区门禁等简易的人脸识别场景，行为人进而采取盗窃手段获取该公民的财产；或者行为人从不同地点获取同一公民的多项人脸识别信息，将这些信息予以筛选、分析之后，据此生成该公民在一段时间内的行踪轨迹信息，再以此为依据，冒充公安机关向该公民实施诈骗犯罪。在前述两种情况下，非法获取他人的人脸识别信息将使得相关的财产犯罪更容易实施。在明确了人脸识别信息所应归入的类别后，一方面能够从定性上明确人脸识别信息的重要性，使相关信息的保管者、社会一般公众提高对这类信息的保护意识，另一方面能够明确司法实践中的入罪尺度，提高对非法获取人脸识别信息相关犯罪的打击力度。

(三)非法获取人脸识别信息的入罪表现形式

在研究与非法获取人脸识别信息相关犯罪所涉问题之前，首先需要对司法实践中有关这类违法行为的规制现状进行总结。笔者通过收集、总结相关案例，将相关案件划分为以下四种类型：

第一，行为人未经被害人同意，采取非法侵入人脸识别信息数据库、将人脸识别信息缓存到本地等方式，实现对人脸识别信息的非法获取。例如人脸识别信息查询服务需要经历“用户申请核验——代理商从上游数据供应商、代理商获得信息——代理商比对并反馈给用户”这三个步骤，有的代理商遂采取“双向缓存”的方式非法获取人脸识别信息，一方面缓存用户关于信息核验的申请，另一方面缓存公安部相关机构、其他上游代理商提供的信息，将以上缓存信息存储在本地。由于代理商从上游获得信息时需要按照数量支付查询费，所以缓存到本地能够减少代理商的经营成本，但这也增加了人脸识别信息被非法转卖、利用的风险。无论是非法侵入数据库并窃取信息，还是在提供服务过程中将合法获得的信息擅自存储，都完全违背了被害人关于信息提取、存储及使用的意愿。

第二，行为人虚构信息用途，以欺骗手段获取被害人的人脸识别信息。例如在“韩某、张某侵犯公民个人信息案”“孟某侵犯公民个人信息案”中，(1)怀远县人民法院(2017)皖0321刑初80号刑事判决书、吉林省农安县人民法院(2019)吉0122刑初273号刑事判决书。行为人为推广注册信用卡、电话卡、借贷平台账户，以无偿提供一定的商品或服务作为吸引被害人参与其中的手段，并以防止被害人重复参与该活动为由，要求被害人提供人脸识别信息、其他个人信息，并向被害人隐瞒这些信息的真实用途，擅自将这些信息用于信用卡、电话卡注册，从而完成发卡单位、电信公司关于发展新用户的业绩指标。在这类情形下，司法机关注重的是对于非法获取人脸识别信息的评价，而非对于非法使用的评价，因为后者不属于侵犯公民个人信息罪的规制范围，不具有单独予以刑法评价的意义。例如在2008年发生的“西电卡门”事件中，西安电子科技大学财务处利用其合法获取、掌握的在校学生信息，擅自为一万多名学生办理了某银行的信用卡，造成了较大的负面社会影响，最终以学校公开致歉、注销信用卡的方式收场。[4]最高人民法院研究室在评析该案时认为，这仅属于非法使用公民个人信息，尚不构成犯罪。[5]

第三，行为人营造所开发的软件具有放贷功能的假象，在吸引潜在用户上传人脸识别信息后，对其进行筛选并出售给其他放贷公司。例如在“阮某侵犯公民个人信息案”中，(2)绍兴市越城区人民法院(2019)浙0602刑初151号刑事判决书。阮某开发了一款名义上具有小额放贷功能的软件，实际上仅起到对潜在的客户资源引流的作用，待具有获得贷款需求的被害人通过该软件上传人脸识别信息、证明自身经济状况的信息后，阮某在后台对被害人信息进行筛选，再打包出售给具有真实放贷资质的公司。

第四，在被害人使用人脸识别信息注册了购物平台账户的情况下，行为人先购买该账户，再非法获取用于注册账户的被害人信息，营造出被害人已授权使用账户相关信息的假象。例如在“邓某、宋某侵犯公民个人信息案”中，(3)开平市人民法院(2018)粤0783刑初215号刑事判决书。被告人宋某先从多名被害人手中收购淘宝店铺，再非法获取被害人用于注册淘宝店铺的人脸识别信息、银行卡信息、支付宝账户信息，将这些信息贩卖给邓某，邓某又将这些信息转卖给他人。这类行为之所以认定为“非法获取”，一方面是因为这类账户由非银行支付机构所设立，涉及这些账户的出售、出租、出借行为均被中国人民银行的有关规定所禁止，因此被告人的购买行为在整体上具有非法性；另一方面，即使将被害人自愿出售、提供淘宝店铺的行为视为授权被告人使用，也不代表被害人一并授权被告人任意处置账户所包含的个人信息。因此，结合被告人获取这些信息后的表现来看，应认定其行为具有非法获取的性质。

三、信息提供者意愿对获取信息违法性的影响

(一)信息提供者意愿的内涵与范畴

在前述非法获取人脸识别信息的四种案件类型中，无论行为人是否取得了信息提供者的同意，都能够以相关的罪名论处。这就涉及到对于被害人同意的理解问题。具体需要探讨两个问题：第一，信息提供者同意他人获取自身信息时，其范围与程度的界定。第二，对于获取信息行为的违法性，这种同意能否直接产生阻却的效果。

一般意义上信息提供者的同意，仅指信息提供者在获知收集者对于信息的用途之后，允许信息收集者按照约定的用途使用信息，且要求其负担信息保密的义务，以防止信息被其他主体不当使用。因此，信息提供者的同意应当受到信息用途、使用主体、使用时间的三重限制，若行为人以此为抗辩理由，则需要举证信息提供者的授权范围。例如在提供个人信息以防止重复领奖的情况下，信息提供者只是允许奖励发放者将人脸识别信息用于领奖对象的核对，使用时间也受到奖励活动持续时间的限制，既未同意将这些信息用于注册信用卡等其他用途，又未授权奖励发放者获得这些信息后将其予以公开、转卖牟利。又以2019年8月推出的具有“换脸”功能的手机软件“ZAO”为例，如果公民通过网页、手机软件上传人脸信息，以实现测面相、对个人形象评分、分析与明星容貌相似度、将影视作品中的角色替换为自己等娱乐性的功能，在这一过程中，公民仅授权网页、手机软件开发者暂时性地使用人脸信息，未授权其长期存储、有偿转卖信息。如果信息收集者超出了前述授权的范围，或是在合同中以永久性使用、授权后不可撤销等条件作为提供服务的前提，且用户不能从开发者公布的隐私政策中知悉前述条件的，则应当视为违背了信息提供者的意愿。

(二)“国家有关规定”也属于违法性的判断依据

对于获取信息行为的违法性，不仅应根据是否符合信息提供者的授权范围判断，还应结合是否符合“国家有关规定”进行判断。刘艳红教授认为，从民法与刑法相衔接的角度而言，对于行为人侵犯的权利类型，不应根据民法中的现有权利类型简单地界定为人格权、隐私权、财产权等性质，而应界定为公民的“个人信息权”，它是一种复合性的新兴权利，2017年版的个人信息保护法草案也对此有专章规定。这项权利又以公民对信息使用、处分的自决权为核心，在认定是否构成侵犯公民个人信息罪时，它能发挥重要的出罪功能。[6]但在此基础上，该罪的刑事违法性还应当结合罪状中的“违反国家有关规定”进行判断，相较于刑法第96条的“国家规定”，前者显然是一个更为广义的概念。在专门的公民个人信息保护法律出台之前，我国有关公民信息保护的规定散见于涉及公民身份证明、消费者权益保护、生物信息保护、经由网络传播的电子信息保护等法律领域中。从具体内容来看，它们具备两个方面的共同特征：

首先，信息的收集应当以符合法律、用途恰当、具有必要性为前提。“符合法律”将盗窃、骗取等非法获取信息的手段予以排除，“用途恰当”要求信息收集者对信息使用的途径、方式进行合法性审查，在具有恰当使用目的的情况下，客观上信息的使用范围、保存期限均应与信息收集者主观上的使用目的完全相符，还应以信息提供者的隐私权作为底线，不得将人脸识别信息用于追踪、调查信息提供者的个人隐私事项。“具有必要性”则需要判断信息收集者是否与提供者达成了合意，以及收集信息的目的与实际用途。人脸识别信息由于不易变更、与公民的其他信息具有广泛关联，在必要性审查时应从严掌握，收集信息的用途应与特定的商品或服务直接相关，并且对商品功能、服务内容的实现发挥着关键性的作用。此外，在能够实现信息利用目的的前提下，信息收集者还应当以最低的信息收集频率，尽可能少地收集人脸识别信息。例如在“人脸识别第一案”中，具有野生动物园会员身份的用户因不满园方人脸识别入园的新规定，以园方擅自收集用户的人脸识别信息、侵犯消费者合法权益为由，向法院提起诉讼，双方的争议焦点在于园方是否具有获取人脸识别信息的“必要性”。[7]从园方收集人脸识别信息的起因来看，虽然是为了简化入园时验证会员身份的流程，提高会员的入园效率，但这一理由不足以证明符合信息收集的必要性。一方面，在采取照片比对、证件核查、扫码识别等方式均可验证会员身份的情况下，人脸识别并非万不得已情况下所必须采取的手段，园方不应擅自将入园方式予以更改，否则违背了会员签订合同时的意愿。另一方面，即使部分会员同意采取人脸识别方式入园，园方在没有列出保障信息安全的妥当措施的情况下，不能以提高工作效率为由，使会员的信息安全陷入不可预测的风险当中。

其次，信息收集及使用的起因、途径、广度均应向信息提供者予以明示，且收集之后应采取恰当的保护措施，既不应在没有明确授权的情况下，故意将信息提供给其他主体，又不应基于过失导致信息泄露。因此，本罪罪状中的“国家有关规定”，其既包含了与保障公民“个人信息权”相关的内容，又在此基础上，从信息收集的前、中、后各个阶段，对于信息收集者设定了一系列的制约与监督机制。换言之，即使信息收集者没有违背公民对信息使用、处分的自决权，但若违背了国家有关规定中的禁止性条款，则其收集信息的行为仍具有刑事违法性。

四、信息用途对于责任的影响

在关于人脸识别信息的有偿使用机制尚未建立的情况下，研发人脸识别技术的机构及研究人员如果出于技术研发的需要，通过非法渠道批量购买人脸识别数据集，使用真实的公民面部信息训练、提升程序的识别精度，且非法获取的信息数量达到了《侵犯个人信息刑案解释》规定的入罪标准，其刑事责任是否应当有所减轻？从三阶层的犯罪构成理论角度来看，这类行为已符合侵犯公民个人信息罪的罪状，且由于违背了信息提供者的自决权，未向信息提供者支付相应对价、明示信息用途，因此也具备刑事违法性。在经过前两个阶层的判断之后，最终需要从责任层面判断是否具备减轻事由。本文认为，从这类行为的前、中、后三个阶段来看，均具有减轻责任的合理因素，应当据此对购买人脸识别数据的研究机构及研究人员从轻处罚。

首先，从非法获取人脸识别信息的原因来看，是由于目前我国与获取、保护人脸识别信息相关的制度尚未健全，在合法批量获取人脸识别数据的机制尚未建立的背景下，作为私权利主体的研究机构无法通过有效途径，从国家有关职能部门、第三方支付平台管控之下的信息库获得大量人脸识别信息。因此，为避免人脸识别技术的研发工作止步不前，保障研究机构能够通过技术的应用获得收益、维持运营，研究机构只能从非法渠道获取人脸识别信息，因此其缺乏期待可能性。

其次，从这类行为与前文列举的四类案件的区别来看，其并未直接与相关信息提供者产生交集，仅与非法贩卖信息者产生联系，虽然间接地侵犯了公民个人信息权，但在非法获取人脸识别信息的产业链条中仅处于次要地位。虽然研究机构大量购买数据使得非法贩卖者有利可图，相关的非法产业链因此得以维系并发展壮大，但研究机构对于该现象的产生并未起到关键作用，只有不断健全人脸识别信息的合法获取机制、从源头上惩治信息的非法收集与贩卖者，才能有效遏制这一现象。根据北京青年报的调查，一些商家售卖的人脸识别数据达到十余万条，其中包括部分未成年人的数据。这些数据以照片的形式呈现，每张照片除了记录人脸位置信息外，还配有记录该人脸的一百余处关键识别点的数据文件。[8]相较于非法购买的行为，这类非法获取、售卖人脸识别信息的行为显然应在刑事司法中予以更为严厉的打击。在研究人员已支付相应的对价购买信息的情况下，没有足够的能力查清非法贩卖者是否获得了有效授权，因此其主观上对于侵犯公民个人信息权至多只是一种间接故意的心态，责任程度较轻。

最后，从信息的具体用途来看，研究机构将购买的人脸识别信息用于提升相关软件、设备的识别精度，是为了提升这一技术在具体场景中的应用能力，从而减少识别过程中可能产生的误差，进一步保护使用该技术的公民的相关权益。因此，由于技术内容在社会危害性评价上具有中立性，而且技术的应用能够产生积极的社会效益，故研究机构及研究人员的刑事责任应当相应减轻。

五、结语

在正确引导、积极鼓励与人脸识别技术相关的产业发展的同时，也应充分重视其给刑事司法实践带来的新问题。一方面，应当界定人脸识别信息在刑法领域的概念，并根据相关司法解释，从构成要件该当性的角度，明确这类信息属于可能影响公民人身、财产安全的敏感信息，使相关的入罪数量标准予以明确。另一方面，在对违法性、责任的考察过程中，判断行为人是否侵犯了个人信息权，需要根据信息提供者授权使用信息的范围及持续时间。在此基础上，还应结合现有的与信息保护相关的法律规定，综合认定行为人获取信息的行为是否具有刑事违法性。在责任层面，行为人即使非法获取了他人的人脸识别信息，也应当根据获得信息的起因、与一般的非法获取信息是否具有区别、获得信息的用途，判断行为人是否具有减轻责任的合理理由，并在量刑上予以反映。