随着人工智能技术的飞速发展,人脸识别技术已广泛渗透至社会治理、商业服务和日常生活的方方面面。从手机解锁到支付验证,从小区门禁到公共安防,人脸识别带来了前所未有的便利。然而,技术的双刃剑效应也日益凸显——人脸识别数据的大规模收集、存储和使用,引发了严重的个人信息安全风险。一旦相关数据被非法获取、滥用甚至交易,将对公民的人格尊严和财产安全造成不可逆的损害。
作为一名长期从事刑事辩护的律师,笔者在实务中接触到多起涉及人脸识别数据滥用的刑事案件。本文将从人脸识别数据的法律属性出发,系统分析非法收集使用人脸数据涉及的刑事犯罪认定问题,探讨典型犯罪类型,并从辩护人的角度提出相应的辩护策略与合规建议。
一、人脸识别数据的技术特征与法律属性
人脸识别数据,是指通过人脸识别技术采集、提取的用于识别特定自然人身份的生物特征信息,包括人脸图像、人脸特征值(模板)等。从技术层面看,人脸识别数据具有以下几个显著特征:
第一,唯一性与不可更改性。 与密码、手机号等信息不同,人脸特征是与生俱来的生物特征,具有唯一标识性,且无法像密码一样在泄露后进行更换。一旦人脸数据泄露,其损害后果是永久性的、不可逆转的。
第二,可采集的隐蔽性。 现有人脸识别技术可以在不被被采集者察觉的情况下,远距离、无接触地采集人脸信息。这种"无感采集"的特征,使得被采集者往往在不知情的情况下就已经失去了对自身生物特征信息的控制。
第三,高度可识别性。 人脸数据可以直接锁定特定自然人身份,与其他个人信息结合后,能够精准刻画个人的行为轨迹、消费习惯、社会关系等,具有极高的信息价值。
从法律属性上看,人脸识别数据属于生物识别信息,是《中华人民共和国个人信息保护法》第二十八条明确规定的"敏感个人信息"。该条将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息列为敏感个人信息。处理敏感个人信息,应当取得个人的单独同意,且需要在具有特定的目的和充分的必要性并采取严格保护措施的情形下方可进行。
在刑法层面,人脸识别数据同样属于"公民个人信息"的范畴。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第一条的规定,"公民个人信息"是指以电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。人脸识别数据作为生物识别信息,当然属于公民个人信息的保护范围。
二、非法收集人脸数据的刑事犯罪认定
非法收集人脸识别数据的行为,在刑法上可能构成多种犯罪。其中最为直接的罪名是《刑法》第二百五十三条之一规定的"侵犯公民个人信息罪"。
(一)侵犯公民个人信息罪的构成要件分析
根据《刑法》第二百五十三条之一的规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前述规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
具体到人脸识别数据领域,以下行为可能构成本罪:(1)企业或个人在未取得用户单独同意的情况下,违规采集人脸数据并出售给第三方;(2)利用黑客技术非法侵入人脸数据库,窃取大量人脸识别信息;(3)App运营者超范围收集用户人脸数据后向他人提供;(4)人脸识别设备厂商在设备中植入后门,秘密采集用户人脸信息并转卖。
(二)"情节严重"的认定标准
根据法释〔2017〕10号司法解释第五条的规定,非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为"情节严重":(1)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(2)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(3)非法获取、出售或者提供第一项、第二项规定以外的公民个人信息五千条以上的;(4)数量未达到上述标准,但按相应比例合计达到有关数量的。
需要特别指出的是,人脸识别数据作为生物识别信息,属于影响人身和财产安全的敏感信息,在司法实践中通常参照"五百条以上"的标准认定入罪门槛。但如果人脸数据与其他敏感信息(如身份证号、银行卡号等)结合使用,可能被认定为"财产信息"或"行踪轨迹信息",入罪门槛则降至五十条以上。
(三)单位犯罪的认定
实践中,大量人脸识别数据滥用的案件发生在企业运营过程中。如果企业为谋取单位利益,违反国家规定收集、使用、出售人脸识别数据,符合单位犯罪构成要件的,应当以单位犯罪追究刑事责任。企业相关负责人和直接责任人员也将面临刑事追诉。
三、人脸数据滥用的典型犯罪类型
在司法实践中,人脸识别数据滥用所涉及的犯罪类型呈现多样化特征,除侵犯公民个人信息罪外,还可能涉及以下犯罪:
(一)诈骗犯罪
这是人脸识别数据滥用最为严重的衍生犯罪之一。犯罪分子利用非法获取的人脸数据,结合深度伪造(Deepfake)技术,制作虚假的人脸动态视频,从而绕过金融机构、网络支付平台的人脸验证系统,实施信用卡诈骗、网络贷款诈骗等犯罪。近年来,此类案件频发,涉案金额巨大,社会危害性极强。
根据《刑法》第二百六十六条的规定,诈骗公私财物,数额较大的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;数额巨大或者有其他严重情节的,处三年以上十年以下有期徒刑,并处罚金;数额特别巨大或者有其他特别严重情节的,处十年以上有期徒刑或者无期徒刑,并处罚金或者没收财产。
(二)侵犯公民个人信息罪的上下游犯罪
人脸识别数据的非法交易往往形成完整的黑色产业链:上游负责非法采集和窃取人脸数据,中游负责数据清洗、整理和包装,下游则利用这些数据实施精准诈骗、身份冒用等犯罪。在整个链条中,各环节参与者可能分别构成侵犯公民个人信息罪、诈骗罪、妨害信用卡管理罪、帮助信息网络犯罪活动罪等不同罪名。
(三)非法侵入计算机信息系统罪
部分案件中,行为人通过黑客手段侵入存储人脸数据的数据库或服务器,非法获取大量人脸识别信息。此类行为可能同时触犯《刑法》第二百八十五条规定的非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪。在司法实践中,如果同一行为同时构成侵犯公民个人信息罪和计算机犯罪,通常按照想象竞合犯从一重罪论处。
(四)拒不履行信息网络安全管理义务罪
对于掌握大量人脸识别数据的网络服务提供者,如果经监管部门责令采取改正措施而拒不改正,致使大量人脸数据泄露,造成严重后果的,可能构成《刑法》第二百八十六条之一规定的拒不履行信息网络安全管理义务罪。
四、个人信息保护的刑事边界
在严厉打击人脸识别数据滥用行为的同时,也必须审慎把握刑事打击的边界,避免将合法合规的商业行为不当入罪。以下几个问题值得重点关注:
第一,合理使用与非法获取的界限。 并非所有人脸数据的收集和使用都构成犯罪。企业基于合法目的,在取得用户明示同意的前提下采集人脸数据,且采取了相应的安全保护措施,属于合法的数据处理行为。刑事打击的重点应当是那些未经授权、违反规定、以牟利为目的的非法收集和交易行为。
第二,技术中立原则的适用。 人脸识别技术本身是中立的,技术的开发者、提供者不应当为他人利用该技术实施的犯罪行为承担刑事责任,除非其明知他人将利用该技术实施犯罪仍予以提供。
第三,主观明知的认定。 在侵犯公民个人信息罪中,行为人的主观明知是重要的构成要件要素。在数据交易场景中,如何认定购买者"明知"所购买的人脸数据系非法获取,需要结合交易价格、交易方式、数据来源的合理性等因素综合判断。
第四,数据匿名化处理后的定性。 如果企业对收集的人脸数据进行不可逆的匿名化处理,使其无法单独或者结合其他信息识别特定自然人身份,则该数据不再属于"公民个人信息",相关处理行为不应以侵犯公民个人信息罪论处。
五、辩护策略与合规建议
作为刑事辩护律师,在办理涉及人脸识别数据滥用的案件时,可以从以下几个方面展开辩护:
(一)客体要件的辩护
审查涉案的人脸数据是否属于刑法意义上的"公民个人信息"。如果辩方能够证明涉案数据经过有效的匿名化处理,不具有可识别性,则不符合侵犯公民个人信息罪的客体要件。辩护人可以申请对涉案数据进行技术鉴定,由具有资质的鉴定机构对数据的可识别性出具专业意见。
(二)客观要件的辩护
审查行为人的行为是否符合"违反国家有关规定"的前提条件。如果行为人的数据收集行为发生在相关法律法规出台之前,或者其已经按照当时的规定取得了用户的授权同意,则可以主张其行为不具备违法性基础。此外,还应当审查涉案数据的数量计算方式是否准确,是否存在重复计算、无效数据计入等问题。
(三)主观要件的辩护
重点审查行为人是否具有犯罪故意。在单位犯罪案件中,应当区分企业决策层的意志和普通员工的执行行为。对于基层技术人员,如果其只是在执行上级指令,对数据来源的非法性并不知情,可以主张其缺乏犯罪故意。
(四)量刑情节的辩护
关注行为人是否具有自首、坦白、退赃退赔、认罪认罚等法定或酌定从轻处罚情节。对于初犯、偶犯,且涉案数据未造成严重后果的,可以争取从宽处理。
(五)企业合规建议
从预防角度出发,笔者建议掌握人脸识别数据的企业应当建立健全以下合规体系:一是严格遵循"最小必要"原则,仅在实现业务功能所必需的范围内收集人脸数据;二是取得用户的单独明示同意,并以清晰易懂的方式告知数据处理的范围和目的;三是采取加密存储、访问控制等技术措施保护数据安全;四是建立数据泄露应急预案,发生安全事件时及时采取补救措施并向主管部门报告。
六、结语
人脸识别技术的广泛应用是社会数字化转型的重要标志,但技术进步不应以牺牲公民个人信息安全为代价。当前,我国已形成了以《刑法》《个人信息保护法》《数据安全法》为核心的个人信息保护法律体系,为打击人脸识别数据滥用行为提供了坚实的法律基础。
作为法律实务工作者,我们既要支持对侵犯公民个人信息犯罪的依法打击,也要审慎把握刑事打击的边界,确保不枉不纵。同时,呼吁相关企业和机构增强数据安全意识,切实履行个人信息保护义务,共同维护数字时代公民信息安全的法治底线。
在司法实践中,涉及人脸识别数据的刑事案件往往具有较强的技术性和专业性,需要辩护律师具备信息安全、数据技术等方面的专业知识。笔者建议当事人在面临此类刑事追诉时,及时委托具有相关领域经验的律师进行辩护,以最大限度维护自身合法权益。
---
免责声明: 本文仅为法律知识分享,不构成具体案件的法律意见。如需法律咨询,请联系王吉成律师(电话:183-0796-5661,微信:lawyer_wang_zz),或访问网站 wangjichenglvshi.xyz 获取更多信息。
💡 律师提示:本文仅为法律知识分享,不构成具体案件的法律意见。如您面临具体法律问题,建议及时咨询专业律师获取针对性的法律服务。