观点|人脸识别技术处理个人信息行为的刑事风险

发布日期：

2021-08-10

作者|胡婧武东方

2021年7月28日上午，最高人民法院召开新闻发布会，发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（下称《规定》），对因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息的行为，所引发的民事纠纷中如何进行法律适用进行了规定。而随着人脸识别技术的日渐成熟，不仅我国开始在立法层面针对该技术进行管理，域外很多国家对于该技术也都采取了不同的立法应对模式，理解不同的立法模式与法律适用，首先需要我们在理解人脸识别技术的基础上进行思考。

此外，在人脸识别技术运用时，不仅需要注意相关的民事诉讼风险，刑事法律风险也是每个从业者必须考虑的问题。例如，对人脸信息其进行不当的收集、存储、使用、加工、传输、提供、公开等行为，是否可以被认为侵犯公民个人信息的行为被刑事追责也存在一定的探讨空间。

本文笔者拟就关于有关人脸识别技术处理个人信息行为的刑事风险的相关问题进行梳理，以期对相关从业者的刑事风险防控有所裨益。

一、人脸识别技术及域内外规制模式

（一）人脸识别技术的概念及运行原理

1、人脸识别技术的概念

从人脸识别技术的发展史而言，早在1888年和1910年高尔顿(Galton)就分别在《Nature》杂志发表了两篇关于利用人脸进行身份识别的文章，对人类自身的人脸识别能力进行了分析。近年来，人脸识别研究得到了诸多研究人员的青睐，涌现出了诸多技术方法。尤其是上世纪九十年代以后随着各行业对人脸识别系统的迫切需求，人脸识别研究再次成为热门课题。

鉴于人脸识别技术在法学领域出现较晚，计算机学科对于该类技术的研究较为成熟，且法学领域内也未对何为人脸识别技术进行明确定义。笔者选取了计算机学科对于人脸识别技术的定义，作为对人脸识别技术概念，即：人脸识别技术是一种给定一个场景的静态图像或动态视频，利用存储有若干已知身份的人脸图像的数据库，验证和鉴别场景中单个或者多个人的身份的技术。[1]

2、人脸识别技术运行原理

人脸识别技术在身份鉴别、人机交互和图像库检索等广泛的领域中有着重要的应用价值。但对于该技术的理解并不应仅限于识别功能，其运行机制包括人脸检测、人脸跟踪、人脸识别三个过程。其基本操作流程如下：

步骤一：人脸检测：是指采用参考模板法、基于几何特征的人脸识别方法、神经网络法、肤色模型法、三维模型法等各种方法，在动态的场景与复杂的背景中, 判断是否存在人脸并分离出人脸。

步骤二：人脸跟踪;是指采用基于模型的方法或基于运动与模型相结合的方法对被检测到的人脸进行动态目标跟踪，有时也采用肤色模型法对人脸进行目标跟踪。

步骤三：人脸识别：此处的人脸识别是指狭义的识别，是人脸识别技术中的一个过程，又叫人脸对比。人脸识别分为两类：一类是人脸确认（1:1）,通过一对一进行图像比对的过程，验证你是不是某人的问题；另一类是人脸辨认（1：N),一对多进行图像匹配比对的过程,回答某人是谁的问题。在人脸识别的过程中，常用的技术有特征向量法与面纹模板法两种。[2]

人脸识别技术的基础是计算机系统的运用，对于计算机类犯罪行为的认定中，涉案技术原理的分析至关重要，因为很多法律规范本身就是技术规则，技术原理直接影响案件客观事实的认定，进而影响法律的定性。[3]因此，对于人脸识别技术的上述介绍是必要的。而人脸识别技术不仅在我国发展较快，在全球诸多行业也得到了广泛应用，域外国家如美国和欧盟针对这一技术可能引起的技术安全与法律风险，也已逐步开始在立法层面予以规定，展现出不同的法律规制模式。

（二）人脸识别技术的法律规制模式

1、美国——分散立法模式

美国对于人脸识别技术的态度比较暧昧，采取了分散立法模式。其分散式的特点，主要体现在两个方面：一方面是联邦层面尚未制定专门的法律规制人脸识别数据的收集和使用，而由于各州独立立法权的存在，已经有一些州通过立法约束人脸识别技术的应用，在华盛顿州和加利福尼亚州甚至还引入了专门的人脸识别立法；另一方面，在已经进行人脸识别技术限制使用的部分州，其限制的目标更多的是防止人脸识别技术被政府滥用，对于商业使用人脸识别的行为的约束则较为宽松。例如旧金山城市监督委员会在周二颁布的《反监控条例》，主要内容也是禁止警察和其他政府机构使用人脸识别技术，但对于商业用途的人脸识别技术的应用则给予较大空间。

但是弗洛依德案爆发后引发的反对种族歧视的浪潮，也将人脸识别使用边界的问题推向了风口浪尖，美国也在加快推进联邦层面关于人脸识别技术的立法。[4]《道德使用人脸识别法案》、《商业人脸识别隐私法案》、《人脸识别技术授权法案》、《2020年人脸识别和生物特征识别技术禁令法案》等对人脸识别技术使用的限制措施，也已经向参议会提交，逐步推进着联邦层面关于限制人脸识别技术的立法进程。[5]

2、欧盟——统一禁止模式[6]

在关于人脸识别技术的运用中，欧盟计划执行的是一种更严格的“统一禁止模式”。早在2018年5月25日出台的《通用数据保护条例》（GDPR）第九条中就规定了生物识别数据禁止处理的原则除非基于一些必要理由，如“基于一个或多个特定目的而授权处理的明确同意”等。[7]

而且在2019年12月欧盟的《人工智能白皮书（草案）》中，欧盟委员会曾尝试对公共或私人机构在公共场所使用人脸识别技术进行3至5年的禁止。但《人工智能白皮书》正式版在2020年2月份出台后，欧盟委员会未能抵抗外界压力，“临阵退缩”了，删除了上述关于人脸识别技术的禁止性规定。这也体现了欧盟“统一禁止模式”的松动，对人脸识别技术的态度逐渐趋于缓和。[8]

3、我国——软法先行模式

软法是指那些是指那些不能运用国家强制力保证实施的法规范，相对于硬法（hard law）而言的，后者是指那些能够依靠国家强制力保证实施的法规范。从我国的相关立法来看，无论是2016年颁布的《网络安全法》还是2020年5月颁布的《民法典》都未对如何进行人脸识别进行规定，因此相关规定多见于“软法”之中。[9]如全国信息技术标准化技术委员会提出并归口的《信息技术生物特征识别应用程序接口》、公安部为主管起草的《公共安全人脸识别应用图像技术要求》、中国支付清算协会于2020年1月20日印发实施的《人脸识别线下支付行业自律公约（试行）》等文件，都属于目前专门针对信息技术生物特征识别或人脸识别技术作出的规定。

此外，关于人脸识别技术的规定也散见于其他各单位发布的文件之中。如2019年4月公安部网络安全保卫局等联合发布的《互联网个人信息安全保护指南》第六部分关于业务流程的规定中，除对于个人信息进行一般收集进行了规定，还在其第6条1（e）部分规定：个人生物识别信息应仅收集和使用摘要信息，避免收集其原始信息；中国人民银行2020年2月31日发布的《个人金融信息保护技术规范》将个人金融信息按敏感程度从高到低分为C3，C2，C1三个类别，并将生物识别信息列为敏感性最高的C3类信息，并要求金融机构不应委托或授权无金融业相关资质的机构收集C3类信息；全国信息安全标准化技术委员会2020年3月6日发布了《信息安全技术个人信息安全规范》，明确规定个人生物识别信息属于个人敏感信息，并对个人敏感信息进行了特殊保护。

通过对国内外关于人脸识别技术规制的模式进行比较，可以看出人脸识别技术的应用在世界范围内都逐渐进入一种“管控式发展”的状态。我国的法律规范给人脸识别技术留下了充足的发展空间，并未在立法中分散管理或完全禁止，更像是一种先发展后规制的模式。[10]但《规定》的出台以及《个人信息保护法》草案征求意见稿的发布也在提醒我们：人脸识别技术不受监管的时代已经过去，相关技术带来的法律风险正在加强。尤其是有关应用人脸识别技术所产生的的刑事风险，需要被每一个从业者所重视。后文将针对人脸信息的刑法属性，以及如何在人脸识别技术的应用场景中规避刑事风险进行分析。

二、人脸信息刑法属性分析

《规定》第一条第三款将人脸信息定义为生物识别信息，从属于《民法典》第一千零三十四条所规定的个人信息，因此该信息属于民法意义上的个人信息并无疑问。但正如周光权教授所言：刑法是其他部门法的后置法,而其他部门法则是刑法的前置法,因而刑民关系具有前置法与后置法之间关系的性质，这种性质决定了作为后置法的刑法对作为前置法的民法具有一定的从属性，但是这种从属性并不是绝对的,而是相对的。刑法具有其独立品格,其特殊调整手段决定了其具有达到目的的特殊路径与方法,因而不能完全依附于民法。[11]因此，《规定》明确的人脸信息属于个人信息的范围，对于刑法而言仅属于前置法的规定，人脸信息是否可以作为刑法意义上的“公民个人信息”，需要结合《刑法》及相关规定重新进行解读。

（一）人脸信息是否属于刑法意义上的“公民个人信息”

刑法对于公民个人信息的保护，规定于《刑法》分则条文第二百五十三条之一“侵犯公民个人信息罪”中，但由于该条文并未对何为“公民个人信息”进行明确定义，人脸识别信息是否属于刑法意义上的“公民个人信息”需要结合相关司法解释进行理解。

2017 年 6 月 1 日起施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下称《解释》）第一条对于“公民个人信息”的概念进行了定义：“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。该规定的意义在于其首次对于个人信息的概念进行了明确, 在刑法领域内确定了认定个人信息需要具有“可识别性”的要求。因此，判断人脸信息是否能构成刑法意义上个人信息的核心，便需要确定其是否能够单独或者与其他信息结合识别特定自然人，这也是判断负载于人脸信息之上的人格利益、财产利益的逻辑基点。[12]

而从前文对于人脸识别技术的技术手段的介绍可以看出：人脸识别技术的第三个步骤的功能就是人脸确认与人脸辨认，即结合数据库可以用来验证和鉴别场景中单个或者多个人的身份。这一功能体现的正是刑法对公民个人信息“可识别性”的要求。因此，可以认为人脸信息符合《刑法》第二百五十三条之一“公民个人信息”的所要求的属性，应当认为是刑法意义上的“公民个人信息”。

（二）人脸信息属于哪一类“公民个人信息”

对于个人信息进行保护的前置法中，大多都依照不同的方式对个人信息进行了分类。如《民法典》在第一千零三十四条将个人信息分为“一般个人信息”和“私密信息”，但未对何为私密信息的概念及范围进行明确。《个人信息保护法（草案）》二审稿中，也将个人信息分为“一般个人信息”和“敏感个人信息”，并将敏感个人信息定义为：一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。因此，如果仅就前置法的规定而言，人脸信息作为个人生物特征的一种，尽管不能明确属于“私密信息”的一种，但作为“敏感个人信息”的范围并不存在疑问。

尽管作为所有部门法的后盾与保障，刑法关于犯罪的规定必须以行政法、民商法等前置法的规定为基础，但刑法对于某些事实的认定中，需要作出自己的独立判断。[13]而且刑法领域根据公民个人信息的重要程度，在《解释》第五条通过入罪标准的不同，采用了三分法将公民个人信息分为：敏感信息、重要信息、一般信息三类，并分别确定了“五十条”、“五百条”、“五千条”的入罪标准。由此也可以看出，刑法对于公民个人信息敏感程度的分类，与前置法也并不统一。

从具体规定来看，《解释》第五条第三款对于敏感信息进行了列举，仅包括行踪轨迹信息、通信内容、征信信息、财产信息这四类，依据文义解释的方法，人脸信息并不能被包含在内，因此不属于敏感信息。而《解释》第五条第三款将“重要信息”解释为：住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息。人脸信息并不属于已经明确列举的几类信息，但由于人脸识别可用于刷脸支付的功能，将其认为其他可能影响人身、财产安全的公民个人信息并不存在解释的障碍，应当作为“重要信息”被刑法保护。

综上，依照目前的刑法条文及司法解释的规定而言，人脸信息属于刑法意义上的个人信息，且属于“重要信息”的一种。在涉及人脸识别信息侵犯的案件中，其入罪标准应当按照《解释》第五条第四款的规定，以五百条为准，而对于将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的行为，则以上述标准的一半（250条）进行认定。

三、人脸识别技术的应用场景如何规避刑事风险

前文已经明确，人脸信息属于个人信息的一种，因而人脸识别技术应用时所产生的的刑事风险中，触犯刑法第二百三十五条之一“侵犯公民个人信息罪”的刑事风险最为典型，其入罪标准也较为容易达到，笔者将其作为本文分析的重点。

目前而言，我国人脸识别技术主要运用于：科技金融（20％）、智慧安防（61.2％）、智慧交通、民生政务、智慧教育、智能家居等领域。[14]在相关应用领域中都存在着对于人脸信息的收集、存储、使用、加工、传输、提供、公开等处理行为，都可能涉及刑法第二百五十三条之一的“侵犯公民个人信息罪”。但不同于《规定》对于所有人脸信息处理行为都予以规制，依据刑法第二百五十三条之一的条文内容，刑法需要规制的侵犯公民个人信息的行为方式仅包含两种：其一为第一款与第二款规定的向他人出售或提供的行为方式（提供行为）；其二为第三款规定的窃取或以其他方法获取的行为方式（获取行为）。而从司法解释和本罪条文的内容而言，除窃取行为之外，其余行为方式的入罪前提均为“违反国家有关规定”的要求。因而，在人脸识别技术运用的过程中，相关领域的企业及其他从业人员需要结合“国家有关规定”的要求，在人脸信息“获取”及“提供”时严守法律的底线。

（一）在信息的获取过程中，严守“知情同意”原则

除为了为维护公共利益而收集人脸信息的三种免责情形外，《规定》第五条对于人脸信息的获取的免责获取的条件就仅存在于“知情同意”的条件下，而《规定》正符合《解释》第二条所规定的“国家有关规定”的范围。而目前人脸识别技术的应用领域内，除智慧安防、智慧交通、民生政务之外，其他领域大都属于商业用途，并不存在为了公共利益而免责的情形，因此人脸信息获取的过程中，必须严守“知情同意”原则，才能避免因此产生的刑事风险。

但需要注意的是，知情同意并不能构成完全的免责。首先“知情同意”不能建立在“强迫或者变相强迫”的基础上，即需要禁止企业在非必要的情形下以拒绝提供服务或捆绑式的方式要求客户同意收集人脸信息；其次，即使符合上述情形，也需要依据《规定》第五条，注意在经营场所、公共场所使用人脸识别技术获取人脸信息时，严守法律和行政法规的规定。

（二）在信息的提供过程的刑事风险规避

1、向他人合法收集的人脸信息也需要权利主体的明确同意

依据《解释》第三条第二款的规定，人脸信息作为个人信息的一种不能可以随意向他人提供，即使该信息是合法获取的。如果企业在向他人提供自己合法收集的人脸信息时，未征得权利主体的明确同意，也可能面临刑事犯罪的风险。

2、禁止公布人脸识别信息

《解释》第三条第一款对提供行为作出了扩大解释，将通过信息网络或者其他途径发布公民个人信息的行为也作为提供的一种。企业对自身合法收集的人脸信息需要做好保密措施，禁止通过上述途径进行发布。

3、提供信息时需明确对方用途

《解释》第五条第二款规定：知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的，应当认定为刑法第二百五十三条之一规定的“情节严重”。因此，即使已经经过权利主体的明确同意，企业在向他人提供人脸信息时也需要明确对方的信息用途，以免使自身陷入刑事风险的窘境。

四、结语

任何一项科学技术的发明，在给我们带来便利的同时，都蕴含着某种对人类的负面影响，人脸识别技术也一样。在人脸识别技术大范围应用的今天，司法实践中已经出现了关于人脸识别诉讼的民事第一案（杭州市民郭兵诉杭州野生动物世界有限公司案）。刑事司法领域，上海市徐汇区人民法院也已经在在(2020)沪0104刑初731号判决书中，将被告人杨某用事先制作的3D人脸视频替换实时拍摄的认证视频内容以突破人脸实名认证环节的行为，认定为破坏计算机信息系统罪。上述判决是否妥当，目前而言依旧存在质疑，留待以后讨论。而本文对于运用人脸识别技术处理个人信息行为的刑事风险的讨论，也仅希望能够起到抛砖引玉的作用，引发诸位对于该技术更多的思考。

参考文献：

[1] 李武军,王崇骏,张炜,陈世福.人脸识别研究综述[J].模式识别与人工智能,2006,19(01):58-66.

[2] 刘小华. 人脸识别技术及其应用研究[D].吉林大学,2005.

[3] 周立波 | 为他人提供翻墙软件行为的法律定性

[4] 林梓瀚,史渊.欧美基于人脸识别技术的法律规制研究[J].互联网天地,2021(04):47-50.

[5] 《美国对人脸识别技术的法律规制》

（https://baijiahao.baidu.com/s?id=1664721480697832341&wfr=spider&for=pc）

[6] 翁齐铭,寇晨雪.人脸识别技术的问题梳理与规制探索[J].太原城市职业技术学院学报,2021(05):170-172.

[7] 信通院互联网法律研究中心 CAICT互联网法律研究中心：《人脸识别应用的欧盟治理路径及对我启示》

[8] 王清. 人脸识别技术应用的法律规制研究[D].华东理工大学,2021.

[9] 邢会强.人脸识别的法律规制[J].比较法研究,2020(05):51-63.

[10] 文铭,刘博.人脸识别技术应用中的法律规制研究[J].科技与法律,2020(04):77-85.