大数据时代加强人脸识别信息刑法保护的困境与完善建议

徐韩榆

(浙江工商大学法学院，浙江 杭州 310018)

0 引言

从刑法和司法解释角度明确人脸识别信息犯罪内容对保护公民个人信息安全、遏制人脸识别信息犯罪的蔓延以及打击相关黑色产业链具有重要意义[1]。首先，从犯罪成本的角度来看，人脸识别技术的应用越来越广泛，导致非法获取和使用人脸识别信息的行为增多。其次，随着人脸识别技术的普及，非法采集、出售、购买人脸识别信息的黑色产业链也日益成熟，加剧了人脸识别信息泄露和滥用的风险，加大了打击这类犯罪的难度。最后，一旦人脸识别信息被非法获取并滥用，个人隐私和信息安全将面临极大的风险。犯罪分子可能会利用这些信息进行身份冒用、诈骗等犯罪行为，给个人和社会带来严重危害。因此，需要从刑法和司法解释角度明确相关犯罪内容，加大对非法采集人脸识别信息的打击力度，保护公民个人隐私和信息安全。

随着人脸识别信息的应用场景不断扩展，我国现行的法律体系也在不断完善关于人脸识别信息的相关条款。目前，在《中华人民共和国民法典》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》中，人脸识别信息被纳入法律保护范围。但遗憾的是，在刑法中还未界定人脸识别信息的内涵，也并未明确规定要保护人脸识别信息，这说明刑法在生物识别信息管理中还有一定缺位[2]。因此，本文从入罪界限、规制行为类型、刑事责任追究等角度论述了大数据时代人脸识别信息的刑法保护困境，并基于上述问题提出了完善人脸识别信息刑法保护的对策建议，以期为健全和完善人脸识别信息的法律体系做出有益探索。

1 大数据时代人脸识别信息的刑法保护困境

人脸识别技术的广泛应用，尤其在安保、支付、社交网站等方面，极大地方便了社会管理和个人生活。然而，这项技术的快速发展和普及也带来了风险和挑战，特别是对个人隐私权的潜在威胁。随着技术的发展和应用，个人信息的收集和使用已超越了传统的私人领域界限，变得更加广泛和深入。这不仅仅是单一主体的行为，而是一个涉及多方参与者的复杂生态系统，包括信息的原始提供者、技术服务提供商、第三方应用和数据分析公司等。在这个过程中，个人信息可能被反复使用、共享或交易，而信息流通的每一个环节都可能成为信息泄露的潜在风险点[3]。

1.1 人脸识别信息的入罪界限模糊

人脸识别信息作为一种敏感的个人数据，在现代社会的信息保护法律中应有明确的界定。但从《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)来看，在多个关键方面缺乏具体指导，导致了人脸识别信息的入罪界限模糊不清。首先，人脸识别信息未在《解释》中明确被列举，这遗漏了一个不断增长并被广泛使用的个人信息种类，难以为针对其侵权行为的量刑提供明确规范。人脸信息不仅涉及个体的健康生理特征，更有可能关联到个体的安全、隐私和经济利益，从而该信息的滥用和泄露潜在的危害极大。其次，对《解释》中提到的“违反国家有关规定”的解释范围，是否应包含各类部门规章和地方性法规，存在法律实践中的不同理解。缺乏对是否涵盖各类规章的明确说明，不仅可能导致执法不统一，也为对人脸识别信息侵犯行为的定罪设下障碍。再次，当前法律未明确知情同意在人脸识别信息处理中能否充作阻却犯罪的事由，这在实际应用中可能被滥用，成为信息处理者牵制法律干预、规避法律责任的工具。如果信息处理者可以仅凭获取表面的知情同意就豁免其对人脸识别信息的非法处理，这将严重削弱个人信息保护法律的实效性[4]。最后，对人脸识别信息“情节严重”的数量标准亦未明确，现行《解释》第5条的规定明确了其他类型信息的数量标准，但未针对人脸识别信息设立特殊考量。由于人脸信息的敏感性，即使是低于5000条的数量，也可能已经对个人的安全与隐私构成了重大威胁。缺乏对数量标准的特别考虑，可能导致对信息泄露后果的低估，以及对侵权行为的轻罚。以上四个方面的模糊性共同作用，使得法律实践中如何界定人脸识别信息的非法处理构成犯罪方面缺乏足够清晰的指引，这不利于社会对人脸识别信息的严格保护，并可能削弱公民个人信息安全的法律保障。

1.2 侵犯公民个人信息罪规制的行为类型不全面

在当前日益发展的信息社会中，公民个人信息的安全问题愈发受到广泛关注。刑法对非法获取公民个人信息的行为设立了明确的罪责，然而，从整个信息利用的流程来看，刑法规制的行为类型并不全面。主要体现在以下三个方面：首先，针对合法获取后的非法使用行为，刑法缺乏应有的规制。互联网技术的飞速发展和普及使得公民越来越便利地分享个人信息，但并不意味着他们放弃了对这些信息的保护。一旦合法获取的信息被用于非法用途，如营销骚扰、诈骗等，就会对公民个人的隐私权和财产安全造成伤害。当前刑法对此类行为的规制不足，无法很好地打击和震慑非法使用个人信息的行为，这在一定程度上有悖于个人信息保护的立法初衷和法律精神。其次，当前刑法对不当泄露信息行为的规制也显得力不从心。实践中，许多信息处理者在必要的场景中迫于商业利益采用人脸识别等方式搜集公民个人信息，并未做出足够的安全保障，导致信息泄露的风险日益增加。《个人信息保护法》提出了对敏感个人信息的保护责任，但若只停留在行政调控层面，则难以应对那些由于管理疏忽或技术缺陷导致的不当泄露行为[5]。相应地，刑法若能明确规制此类行为，将更有效地强化信息处理者的保护义务和防范措施，提升个人信息整体的安全性。最后，对非法持有信息行为的规制同样缺失。一旦信息处理者失去持续持有个人信息的法律依据，其本应按法律规定删除或停止使用该信息。然而，在缺乏刑法明文规定的情况下，即使信息处理者在不应继续持有个人信息的情况下仍旧拥有这些数据，依然没有足够的法律风险。这种非法持有行为可能随时危及信息主体的个人权益，使得公民长期处于潜在的侵权风险之中，影响其正常生活。由此可见，在当前信息技术日益先进且深入生活的背景下，刑法对侵犯公民个人信息罪的规制确实存在不全面的问题。缺乏对合法获取后非法使用、不当泄露行为及非法持有信息行为的全面规制，不仅对个体权益的保护力度不够，也削弱了整个社会对信息安全和隐私保护的信心。

1.3 刑事责任追究情况难以达到保护目的

刑事责任追究在保护公民个人信息，特别是人脸识别信息领域的有效性存在一定的不足。首先，量刑情节设置较为单一。刑法对侵犯公民个人信息罪的犯罪主体仅设置了“犯罪主体特殊身份”这一量刑从重情节，而实际情况远比这更为复杂。信息的非法侵犯涉及不同主体和行为模式，个案之间存在较大差异。一些主体可能会隐藏自身特殊身份的同时，利用这些身份带来的优势进行侵犯行为。这种情况下，简单的量刑情节难以涵盖所有可能的变量情形，不足以实现信息利用与保护之间的平衡，也难以发挥足够的规制作用，保护受害人的权益。其次，司法实践中量刑普遍过轻。虽然刑法规定的量刑幅度并不算低，但司法审判实践中往往出现实际判决过轻的现象。这可能源于司法人员主观上对侵犯公民个人信息罪的独立危害性认识不足，未能准确地评估和预期泄露人脸识别等敏感个人信息可能导致的法益侵害。这种偏差可能源自对下游电信网络诈骗等后续犯罪行为关注过多，而对个人信息侵犯本身的重视不足。最后，罚金刑的适用存在不足。罚金刑作为对侵犯公民个人信息罪的一种惩罚方式，根据《解释》第12条需要基于违法所得来确定数额。然而，在司法实践中查明违法所得往往存在困难，特别是行为人侵犯信息不是出于经济利益，或者违法所得难以精确计算时，罚金刑难以适用[6]。这种情况下，法律未能提供足够的操作空间来应对，导致了法律在实际应用中的权威性下降，无法有效地对潜在的违法者产生威慑效果，或对社会公众起到应有的指引作用。

2 大数据时代人脸识别信息刑法保护的完善建议

2.1 明确人脸识别信息的入罪界限

针对当前对人脸识别信息刑法保护不足的问题，建议首要任务是明确将人脸识别信息列入刑法保护的个人信息类型。刑法应适时修订，增加关于人脸识别技术所涉及的个人信息的专门条款，并明确列举此类信息，以确保法律对其给予足够的重视和保护。同时，应通过具体的配套法律文件定义人脸识别信息侵犯犯罪的前置法范围，明确其法律界限和依赖的具体法律、行政法规和部门规章。此外，应在法律中细化并强调有效的知情同意的要素，如信息主体的明确意志表示、对信息用途的具体说明以及同意的自由撤回等，以防止知情同意成为法律责任的漏洞。对“情节严重”的界定，需要结合人脸识别信息的危害性和对个人隐私的影响，制定合理的数量标准和相关的评估指标。考虑到人脸识别信息与个人身份密切相关，对隐私权和个人安全的侵害可能性较大，相比其他类型的个人信息，人脸识别信息应当适用更为严格的评判标准和更高的法律保护级别。在定罪量刑时，法官应依据这些标准进行单独评价，避免一概而论，确保刑罚的准确性和公正性。最后，刑法的不断完善和更新应与时俱进，法律条文应具备一定的弹性，允许法院根据信息科技的快速发展及其在社会生活中的具体应用场景，动态地判断个人信息的合理利用和法律保护的范围。如此方能确保人脸识别信息在日益增长的数据安全和隐私保护需求中得到充分而有效的法律保护。

2.2 增加侵犯个人信息犯罪的行为类型

首先，健全对合法获取后非法使用行为的规制，明确规定合法获取的个人信息若被用于未经授权的目的即构成违法，哪怕原获取行为是在合法的前提下进行的。同时指明非法使用的范围，包括未经同意的营销、信息倒卖、身份冒用等。建立信息流转记录和追踪体系，对合法获取信息的实体，应承担保护信息不被非法使用的责任，一旦发生滥用，可追溯至原信息处理者。为信息主体提供更明确和详细的知情选择，强化同意撤回机制，包括对已授予的信息使用同意可随时撤回，且信息处理者应当及时响应。其次，增加对不当泄露行为的规制，明确信息处理者的信息安全管理标准，包括加强内部控制、防泄漏技术措施以及定期的安全评估和培训等。一旦发生个人信息的泄露，应立即启动事故应急预案，及时公告泄漏情况，采取措施限制损害，同时对受影响主体进行补偿。构建多方参与的监督体系，包括政府监管、第三方审计、用户评价等，形成对信息处理者的泄露行为的有效监督，以防止信息的不当流出。最后，增加对非法持有行为的规制，明确持有个人信息的法律基础和时限，规定信息持有的合法条件，如合同约定、法律授权等，并明确持有的时间限制，超出期限或条件的持有即视为非法。加强个人信息删除机制，制定明确的信息删除原则和流程，要求在规定的情况下(如撤回同意、合同结束等)，信息处理者必须删除相关数据。实施持有登记制度，建议信息持有者进行登记，详细记录持有信息的类型、数量和用途，以供日后核查和监督。

2.3 明确涉人脸识别信息犯罪竞合的处理

在大数据的时代背景下，人脸识别信息犯罪呈现多样性和复杂性，对犯罪竞合的处理尤其需要在刑法体系中予以明确。第一，需要在立法层面上进一步明确人脸识别信息犯罪行为的独立性与特殊性。鉴于人脸识别信息的高度敏感性和对个人隐私权的潜在影响，建议修改《刑法》第253条，将有关人脸识别信息的犯罪行为单列条款，并设立更细化的规定，以区别于其他类型的个人信息。第二，在具体司法实践中，应当建立健全的判断标准，详细阐释在各类不同情况下如何处理犯罪竞合，特别是针对同时涉及多个罪名的案件。例如，明确在行为人通过非法方式获取人脸识别信息并利用此信息侵入计算机信息系统时，如何适用数罪并罚的原则，确保正义的同时，既不过轻，也不过重地处罚行为人。第三，对利用信息网络推动人脸识别信息犯罪的行为人，建议对《刑法》中有关非法利用信息网络罪和侵犯公民个人信息罪的条文进行修订，强化跨罪名的协同效果，明确如何区分单一和连续犯的界限，尤其是在同一行为涉及多项不同法益的情况下，如何恰当应用牵连犯择一重罪处断的规则。第四，应当在刑事政策层面上强化对人脸识别信息的保护，提升法律的威慑力。建议加大对侵犯人脸识别信息犯罪行为的处罚力度，探索设立个人信息保护专门机构或部门，负责个人信息的集中管理、监督，以及跨部门间的信息共享和协调。第五，提倡全社会加强对人脸识别技术及其带来的潜在风险的意识，通过教育培训、宣传提高公众对个人信息保护的认识，同时，鼓励技术发展和创新下的个人信息保护措施，如加强数据匿名化处理、加密技术的应用等，既保护个人隐私，也促进社会经济的发展和技术的进步。通过上述建议，可以在大数据与人工智能时代，为人脸识别信息提供更全面、深入的刑法保护。

3 结束语

在大数据时代，人脸识别技术正日益成为安全与便利的关键桥梁，然而其所带来的隐私权与个人信息安全问题也越加凸显刑事立法和司法实践的不足。人脸识别信息的刑法保护遭遇入罪界限的模糊不清、现有法律对行为类型的规制不全面以及追究刑事责任的重重障碍等困境，这些都严重制约了刑法在个人信息保护方面的功能。针对这些问题，本文提出了包括明确入罪界限、补充行为类型规制、精细化处理犯罪竞合等在内的系列完善建议，旨在构建更加坚固的法律防线，保卫公民的“数字肖像”不被非法侵害。在这个过程中，必须不断探索、及时修正、灵活应对，适应技术发展所带来的新挑战。立法机构、执法部门、司法机构和社会各界都需共同努力，协同作战，确保法律的留白被合理填补，法律的边界被明确划定。仅有在法律的规制明晰、责任的追究严格、社会公众意识的提升和技术保护的深化四轮驱动下，才能有效地防范和降低人脸识别信息泄露的风险，寻求隐私权保护与信息自由流通之间的最佳平衡点，为社会的和谐发展提供有力的法治保障。