从第一起人脸识别案,讨论是否可以强制客户刷脸,到刑事第一案滥用深度伪造技术突围人脸识别系统抢了支付宝的天平在这种情况下,人脸识别的风险一直困扰着人们的日常生活。然而,智能技术的进步与法律的滞后之间存在着天然的差距,给法律的适用带来了困难。同时,理论和实践对刑法功能的过度期待,导致刑法适用范围的扩大,人脸识别的发展空间日益狭窄。鉴于此,有必要对人脸识别行为的合法性边界进行界定,以维护刑法适用的界限,有助于平衡人脸识别技术创新与法律保护之间的关系。为了平衡人脸识别技术的发展与风险控制,刑法对人脸识别的适用应保持在适当的限度内。在外部限制方面,应从整体法律秩序的角度,甄别人脸识别的合法与非法,以及刑法与前法的界限;在内部界限方面,在进入刑法评价后,涉及人脸识别的违法行为,应当将本罪与其他罪进行比较。在犯罪、重罪和轻罪之间也应保持谦虚。外部限制:整体法治下的人脸识别非法标准目前,我国还没有针对人脸识别技术使用的高层次、系统的法律规范。现有的规范大部分是国家标准,如国家质量监督检验检疫总局、国家标准化管理委员会颁布的《信息技术生物特征识别应用程序接口》《公共安全人脸识别应用图像技术要求》。其中,《信息安全技术个人信息安全规范》对人脸识别的使用设定了一定的标准。上述规范是判断人脸识别使用法律界限的重要依据。1.确定人脸识别使用法律边界的基本原则。在目前缺乏具体法律规范的背景下,有必要首先确定人脸识别使用的基本原则,作为界定人脸识别使用合法性的总体思路。首先,合法权益的保护是核心。人脸识别的使用涉及多种利益。以隐私权为例,我们可以洞察法益保护原则的地位。《民法典》第1032条规定,隐私的核心要素是宁静和隐私。如果一味追求商业价值和管理效率,势必导致侵犯隐私的行为泛滥,颠覆公民对法治的合理期待。侵犯公民隐私权的人脸识别行为理应予以拒绝,但一些仅略微侵犯合法权益的行为却能带来较大的社会效益,需要适当容忍,这需要进行比例原则的审视。第二,以比例原则为准。当人脸识别技术的使用侵犯合法权益时,也需要在获取利益与侵犯合法权益之间进行权衡。如果应用人脸识别技术获得的利益明显大于侵权所带来的合法利益,那么使用人脸识别就可以预防违法行为。比例原则可以为人脸识别的法律边界设定具体标准。同样,它以同意原则为前提。在商业活动中,人脸识别技术的应用和人脸识别信息的采集,应当以信息主体知情并同意为前提。未经权利人同意,利用隐蔽式人脸识别设备获取人脸识别信息,势必违法。权利人虽有形式上的同意但不实质自愿的也不合法。目前,违反同意原则获取人脸识别信息的行为一般包括以下两种:(1)不知道“刷脸”可能给个人带来不良后果的;这种情况很难拒绝。2.明确人脸识别行为违法犯罪标准。违反上述三项原则的行为一般是违法的,但进入刑法评价时仍需以违法论处。这是刑法适用外部界限的基本内涵。从侵犯法益的类型和司法判决现状来看,目前涉及人脸识别的犯罪包括以人脸识别为对象的犯罪和以人脸识别为工具的犯罪。前者一般构成侵犯公民个人信息罪,后者主要是财产犯罪,应以实质性侵犯法益作为判断处罚违法的标准。第一,应当以侵犯人脸识别信息违法行为的实质合法权益作为判断违法犯罪的标准。首先,通过数量上的违法性来判断是否侵犯实体法益。最高法第一条、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)在划定“公民个人信息”范围时,未将生物识别信息列入;第五条第(四)款将住宿信息、通讯记录、健康生理信息、交易信息等列为公民个人信息,定罪标准为500项以上。第(5)项对公民个人信息的范围作了一般性规定,即一般公民个人信息的刑事标准为5000以上。笔者认为,《解释》第一条虽然没有列出生物识别信息,但预法将生物识别信息纳入公民个人信息范畴。从整体的法律秩序来看,刑法不能否认这一点,可以在第一条中通过。”,将生物识别信息纳入公民个人信息。《解释》第五条是关于侵权罪的定罪标准对公民个人信息的侵犯,但均未提及侵犯生物识别信息数量的违法标准,争议在于第五条第(四)项是否将侵犯生物识别信息解释为“健康生理信息”或作为第(5)项的包罗万象的规定。如果是前者,则以500罪为标准;如果是后者,则以5000罪为标准。扩大刑法适用范围的观点倾向于与前者相比,但在整体法律秩序下存在规范性障碍,因为《信息安全技术个人信息安全规范》将“生物识别信息”和“健康生理信息”规定为两类公民个人信息并列彼此。总之,将介词法中的两对互斥概念解释为刑法中的范畴关系,不仅违反逻辑,而且破坏了法律秩序的统一性。本文认为,不应以扩大刑罚为目的而忽视罪刑法定原则的局限性,应按后者进行解释。.其次,结合具体情况判断实体法益的侵犯。例如,根据《解释》第5条第2款,行为人明知或者应知他人利用人脸识别信息实施犯罪行为,仍向其提供人脸识别信息的,可以无违法金额进入。犯罪。第三,通过法益的缺席,否决实体法益的侵犯。如果行为人获取的他人人脸识别信息已经全部失效,无法识别特定自然人,不构成侵害利益,难以构成犯罪。总之,刑事违法的判断不应仅限于形式违法,关键在于是否存在实质上的合法权益侵害。仅形式上违法而实质上不违法的行为,不应列为刑法调整。其次,侵犯实体法益也是判断利用人脸识别侵犯财产违法犯罪的标准。对于通过人脸识别侵犯财物的行为,即使达到相应财物罪数额标准(形式上违法),但未实质上侵犯合法权益的,也应当定罪。对此,有必要依托实体解释的入罪功能,充分发挥我国刑法第十三条“但书”条款的入罪功能。内部局限:刑法视角下违法行为的适用方法论人脸识别相关行为进入刑法评价后,本罪与他罪、重罪、轻罪的界限不明确,在认识和适用上仍存在偏差个案判断混乱。1.对加强人脸识别信息违规处罚的质疑。目前理论层面,对于加强对人脸识别信息违法行为的处罚力度,主要有两类提案。这样的立法思路并不是为了弥补刑法的漏洞,而是因为信息的敏感性和特殊性,希望通过单独设立罪名来达到加强打击的目的。这种立法逻辑带有浓厚的情感色彩,不符合刑法谦虚的立场。法定处罚的适用可由法官在个案中酌情决定。人脸识别信息的重要性和特殊性,需要多种社交方式来认可和保证。上述任务不能仅靠修改刑法来完成,只会使刑法沦为社会管理。法律。因此,侵犯公民个人信息罪足以应对侵犯人脸识别信息的行为,在处罚上没有漏洞。仅仅为了增加法定刑而设置特别罪名,只会割裂刑事立法,动摇刑法制度的基础和权威。二是在释义上,降低违反人脸识别信息的刑事处罚标准,加大处罚力度。有学者主张将违反生物识别信息的行为解释为《解释》第五条第(十)项的“其他严重情节”,并创造性地提出人脸识别信息违反“第五条及以上”的行为是“情节严重”,违规“50张及以上”人脸识别信息“情节特别严重”。一言以蔽之,按照前面的解释,人脸识别信息违法行为(情节严重)的定罪标准是5000,升级法定刑(情节特别严重)的标准是50000。违反人脸识别信息不足5000条的行为本来是无罪的,但按照这位理论家的解释,不仅构成犯罪,还需要升级为法定刑,实现“双跳”。但是,这种解释和结论并没有可靠的依据,仅仅因为人脸识别信息的特殊性,证据也不是很充分。笔者认为,在现行刑法制度下,将人脸识别信息解释为身体健康信息,或者将违反人脸识别信息的行为解释为“其他严重情节”,不会破坏整体法律秩序,也不会虚列条款。直接适用包罗万象的条款,不符合罪刑法定原则的法学要求。事实上,先通过技术手段对人脸识别信息实施特殊保护,再通过预防性的法律规制,更为合适。加重处罚的方式只是事后救济,难以有效挽回被害人的损失,同时也使加害人成为一般预防的工具。2.利用人脸识别技术进行轻罪的轻罪与重罪的界限。目前实践中,人脸识别作为一种犯罪工具,主要涉及盗窃、诈骗、信用卡诈骗等犯罪。为避免因一味追求刑事定罪或重罪而对人脸识别技术进行污名化,有必要明确上述犯罪行为的界限。一方面,通过隐喻推理确定盗窃罪和诈骗罪的界限。隐喻将熟悉的事物用作船只,将不熟悉的事实运送到法律规范。具体到盗窃罪和诈骗罪,有无“刑”是区分两者的不变标准。对“惩罚行为”存在与否的判断可以通过隐喻推理来识别。例如,行为人伪造受害人的3D人脸骗取受害人的人脸识别支付密码,进而获取受害人的支付宝余额,支付宝作为软件(机),不存在被骗的可能,即使支付宝人脸识别系统被3D人脸图像“蒙骗”,仍不能认定为欺诈支付宝。我们可以将3D面部图像比作私人分配的钥匙,将支付宝比作保险箱。使用3D人脸图像“骗”支付宝人脸识别系统取钱和有钥匙开别人保险柜盗窃财物没有本质区别。应该构成盗窃。因此,作案人骗取受害人进行人脸识别,获取支付宝余额。如果被害人不知道自己在进行刷脸支付,由于没有刑罚意识,不构成诈骗罪,而构成盗窃罪;然而,作案者却将受害人支付宝的余额全部转走。因有惩戒意识,应构成诈骗罪。另一方面,通过整体判断法把握盗窃罪与信用卡诈骗罪的界限。在刑法量刑领域,综合判断法是综合情节、适当量刑。笔者认为,信用卡诈骗作为一种特殊的诈骗类型,从本质上还是需要惩处的。对于信用卡诈骗罪的适用,应当将银行作为独立的处罚主体,将被诈骗主体作为一个整体来判断。无论是使用虚假信用卡、无效信用卡还是冒用他人信用卡,受骗或受罚的都是银行,符合诈骗罪的基本结构。但是,单纯通过人脸识别验证欺骗受害人,然后登录受害人的支付宝或花呗转账,在使用信用卡的情况下是不存在的。通过人脸识别验证欺骗受害人是一种事前行动(预备行为)。通过整体判断方式可以看出,受害人并未受到任何纪律处分,只是单纯的盗窃。(作者为东南大学网络安全法学研究中心主任、教授、博士生导师,江苏省徐州市铜山区人民检察院副检察长。本文摘自《人民检察》2021年第13期《涉人脸识别行为刑法适用的边界》)
