原标题:人脸识别的合法性边界与刑法适用限度
从人脸识别第一案引发能否要求顾客强制刷脸的讨论,到滥用深度伪造技术突破人脸识别系统窃取支付宝内余额的刑事第一案,人脸识别的风险已困扰人们的日常生活。然而,智能技术的超前性与法律的滞后性之间存在天然鸿沟,带来法律适用难题。同时,理论与实践过分期待刑法功能,催生刑法适用扩张化,使人脸识别的发展空间日益逼仄。鉴于此,有必要界定涉人脸识别行为的合法性边界,以保持刑法适用的限度,助力人脸识别的技术创新与法益保障之间的平衡。
为平衡人脸识别技术的发展与风险控制,对人脸识别的刑法适用应保持适当限度。在外部限度上,应基于整体法秩序立场,甄别人脸识别合法与非法以及刑法与前置法的边界;在内部限度上,进入刑法评价后,涉人脸识别的不法行为在此罪与彼罪、重罪与轻罪之间亦应保持谦抑。
外部限度:整体法秩序下人脸识别的违法性标准
当前我国关于人脸识别技术的运用尚无高位阶、系统性的法律规范,既有规范多为国家标准,如国家质量监督检验检疫总局、国家标准化管理委员会发布的《信息技术生物特征识别应用程序接口》《公共安全人脸识别应用图像技术要求》等。其中,《信息安全技术个人信息安全规范》为人脸识别的运用设置了一定的标准,上述规范是目前甄别人脸识别运用合法性边界的重要依据。
1.勘定人脸识别运用合法边界的基本原则。在当前具体法律规范阙如的背景下,先要确定人脸识别运用的基本原则,以此作为划定人脸识别运用合法性的总领思路。
首先,以保护法益为核心。人脸识别的运用涉及多方法益,以隐私权为例,可以洞察法益保护原则的地位。民法典第1032条表明,隐私的核心要素是安宁性和私密性。如果一味追求商业价值和管理效率,必然导致侵害隐私行为泛滥成灾,颠覆公民对法治国的合理期待。应当拒斥侵犯公民隐私权的人脸识别行为,但对某些仅有轻微法益侵害性的行为,能够带来更大社会效益,也需适度容忍,这就需借比例原则来考察。
其次,以比例原则为标尺。当人脸识别技术的运用有法益侵害性时,也需在获取效益和侵害法益之间进行衡量。若适用人脸识别技术获取的效益显著大于所侵法益,则运用人脸识别的行为可以阻却违法性。比例原则可以为人脸识别合法性边界划定具体标准。
再次,以同意原则为前提。在商业活动中,适用人脸识别技术和采集人脸识别信息,应以信息主体的知情和同意为底线。以暗设人脸识别装置等方式,未经权利人同意获取其人脸识别信息势必违法。对于虽有形式同意,但权利人并非实质自愿的,也不具有正当性。当前违反同意原则获取人脸识别信息大致包括下列两种类型:(1)不知“刷脸”可能对个人带来不利后果;(2)虽知“刷脸”会有不利后果,但迫于所处境遇难以拒绝。
2.明确涉人脸识别行为刑事违法性的基准。违反前述三大原则的行为具有一般违法性,但进入刑事法评价仍需具有可罚的违法性,这是刑法适用外部限度的基本内涵。基于其法益侵害类型性和司法裁判现状,当前涉人脸识别犯罪包括以人脸识别为对象的犯罪和以人脸识别为工具的犯罪。前者一般构成侵犯公民个人信息罪,后者主要是财产犯罪,应以实质的法益侵害性作为判断可罚的违法性的标准。
其一,实质法益侵害性应是判断侵犯人脸识别信息行为刑事违法性的标准。
首先,通过数量不法判断实质法益侵害性。最高法、最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《解释》)第1条在划定“公民个人信息”范围时并未列举生物识别信息;第5条第(四)项将住宿信息、通信记录、健康生理信息、交易信息等列举为公民个人信息,其入罪标准为500条以上,第(五)项则对公民个人信息范围作兜底性规定,即兜底性公民个人信息的入罪标准为5000条以上。笔者认为,《解释》第1条虽未列举生物识别信息,但前置法都将生物识别信息纳入公民个人信息范畴,基于整体法秩序,刑法对此不能否定,可通过第1条中“等”字,将生物识别信息列入公民个人信息。《解释》第5条是关于侵犯公民个人信息罪的入罪标准,但皆未指涉侵犯生物识别信息的数量不法标准。争议是将侵犯生物识别信息解释为第5条第(四)项的“健康生理信息”还是第(五)项的兜底性规定。若为前者,则入罪标准为500条;若为后者,则入罪标准为5000条。刑法扩张适用的观点倾向于前者,但在整体法秩序下存在规范障碍,因为《信息安全技术个人信息安全规范》将“生物识别信息”与“健康生理信息”规定为两种相互并列的公民个人信息类型。概言之,若将前置法上有互斥关系的两对概念解释为刑法上的种属关系,不仅有违逻辑,更破坏法秩序的统一性。本文认为,不能为扩张处罚便罔顾罪刑法定原则的限制,应依后者解释,其入罪不法数量应为5000条,如此既能坚守罪刑法定原则的形式侧面,也能保持刑法的谦抑性。
其次,通过特定情节判断实质法益侵害性。例如,根据《解释》第5条第(二)项规定可知,当行为人明知或者应知他人利用人脸识别信息实施犯罪,仍然向其提供人脸识别信息的,则无须数量不法亦可入罪。再次,通过法益阙如否决实质法益侵害性。若行为人获取他人的人脸识别信息已经全部失效,无法识别特定自然人,则无法益侵害性,难以构成犯罪。总之,对刑事违法性的判断不应拘囿于形式不法,关键在于是否存在实质的法益侵害性,对仅有形式不法并无实质不法的行为不应归入刑法调整。
其二,实质法益侵害性也是判断利用人脸识别侵财行为刑事违法性的标准。对以人脸识别为手段的侵财行为,即使达到相应财产犯罪的数额标准(形式不法),但对法益并无实质侵害性时也应出罪。对此需借助实质解释的出罪功能,切实发挥我国刑法第13条“但书”条款的出罪功能。
内部限度:刑事法视阈下不法行为的适用方法论
涉人脸识别行为进入刑法评价后,此罪与彼罪、重罪与轻罪的界限也不明确,在个案判定中尚存理解偏差和应用困惑。
1.对增强侵犯人脸识别信息行为处罚力度的质疑。当前理论层面对侵犯人脸识别信息行为增强刑罚力度的主张主要分为两类:
其一,立法论上以专设罪名方式增加处罚力度。这样的立法设想并非弥补刑法规制漏洞,多因信息的敏感性和特殊性,希冀通过设置单独罪名以实现升维打击。这种立法逻辑具有较强的情绪化色彩,并不符合刑法的谦抑性立场。法定刑轻重适用可由法官在个案中通过自由裁量抉择,人脸识别信息的重要性和特殊性需要多重社会方法加以认可和保障,仅通过修改刑法无法完成上述任务,只会让刑法沦为社会管理法。因此,侵犯人脸识别信息行为通过适用侵犯公民个人信息罪足以应对,并无处罚漏洞。仅为加重法定刑便专设罪名只会使刑事立法碎片化,会动摇刑法的体系根基与权威。
其二,解释论上通过降低侵犯人脸识别信息的罪刑标准以增强刑罚力度。有学者主张,侵犯生物识别信息应解释为《解释》第5条第(十)项“其他情节严重的情形”,并创造性提出侵犯“5条及以上”的人脸识别信息为“情节严重”,侵犯“50条及以上”的人脸识别信息为“情节特别严重”。概言之,若按前文解释侵犯人脸识别信息的入罪标准(情节严重)为5000条,法定刑升格标准(情节特别严重)为5万条。原本侵犯人脸识别信息低于5000条的行为无罪,而按该论者解释不仅构成犯罪,更需适用升格法定刑,实现了“两连跳”。但是,这一解释结论并无可靠依据,仅因人脸识别信息的特殊性,论据并不十分充分。笔者认为,在既有刑法体系下,将人脸识别信息解释为生理健康信息抑或将侵犯人脸识别信息行为解释为“其他情节严重的情形”,不是破坏整体法秩序,就是虚置列举条款而直接适用兜底条款,不符合罪刑法定原则的法律主义要求。实际上,人脸识别信息的特殊保护先由技术手段实现更为妥帖,然后采取事先预防性法律规制。通过加重刑罚的方法只是事后救济,既难有效挽回被害人的损失,也使行为人成为一般预防的工具。
2.利用人脸识别技术侵财行为在轻罪与重罪间的界限。当前实践中,人脸识别作为犯罪工具主要涉及盗窃罪、诈骗罪和信用卡诈骗罪。为避免一味追求入罪化或重罪化而导致人脸识别技术被污名化,需甄别上述犯罪的界限。
一方面,通过隐喻推理法确定盗窃罪与诈骗罪间的界限。隐喻是以熟悉事物为船舶将陌生事实摆渡到法律规范。具体到盗窃罪与诈骗罪,“处分行为”有无是区分二者的恒定标准。对“处分行为”有无的判断可运用隐喻推理法予以甄别,例如,行为人伪造被害人3D面像骗过被害人人脸识别支付密码,进而获取被害人支付宝余额行为,支付宝作为软件(机器)并不具有被欺骗的可能性,即使通过3D面像“骗过”支付宝人脸识别系统,仍不能理解为诈骗支付宝。我们可以将3D面像比喻为私配钥匙,将支付宝比喻为保险箱,用3D面像“骗过”支付宝人脸识别系统取财与配一把钥匙打开他人保险柜窃取财物并无本质区别,均应构成盗窃罪。因此,行为人通过欺骗手段骗取被害人进行人脸识别以获取支付宝余额,若被害人不知是在进行人脸识别支付,因无处分意识,不构成诈骗罪而构成盗窃罪;若被害人知道是人脸识别支付,但误以为只是正常支付买单,而行为人却将被害人支付宝余额全部转走,因存在处分意识,应当构成诈骗罪。
另一方面,通过整体判断法把握盗窃罪与信用卡诈骗罪之间的界限。整体判断法在刑法量刑领域即全面考虑综合情节适当量刑。笔者认为,信用卡诈骗罪作为诈骗罪的特殊类型,其本质上仍然需要具备处分行为。对于信用卡诈骗罪的适用,应当视银行作为独立的处分主体存在,对被骗主体进行整体判断。无论是使用虚假信用卡、作废的信用卡或者冒用他人信用卡,被骗人或处分人都是银行,符合诈骗罪的基本构造。但是,单纯欺骗被害人通过人脸识别验证,进而登录被害人支付宝或花呗转移账户内余额行为,不存在使用信用卡的情形,欺骗被害人通过人脸识别验证是实行行为前的手段行为(预备行为),通过整体判断法可知并不存在被害人处分行为,只属于纯粹的盗窃行为。
(作者分别为东南大学网络安全法治研究中心主任、教授、博士生导师,江苏省徐州市铜山区人民检察院副检察长。本文节选自《人民检察》2021年第13期刊文《涉人脸识别行为刑法适用的边界》)