人臉識別的合法性邊界與刑法適用限度
從人臉識別第一案引發能否要求顧客強制刷臉的討論,到濫用深度偽造技術突破人臉識別系統竊取支付寶內余額的刑事第一案,人臉識別的風險已困擾人們的日常生活。然而,智能技術的超前性與法律的滯后性之間存在天然鴻溝,帶來法律適用難題。同時,理論與實踐過分期待刑法功能,催生刑法適用擴張化,使人臉識別的發展空間日益逼仄。鑒于此,有必要界定涉人臉識別行為的合法性邊界,以保持刑法適用的限度,助力人臉識別的技術創新與法益保障之間的平衡。
為平衡人臉識別技術的發展與風險控制,對人臉識別的刑法適用應保持適當限度。在外部限度上,應基于整體法秩序立場,甄別人臉識別合法與非法以及刑法與前置法的邊界;在內部限度上,進入刑法評價后,涉人臉識別的不法行為在此罪與彼罪、重罪與輕罪之間亦應保持謙抑。
外部限度:整體法秩序下人臉識別的違法性標準
當前我國關于人臉識別技術的運用尚無高位階、系統性的法律規范,既有規范多為國家標準,如國家質量監督檢驗檢疫總局、國家標準化管理委員會發布的《信息技術生物特征識別應用程序接口》《公共安全人臉識別應用圖像技術要求》等。其中,《信息安全技術個人信息安全規范》為人臉識別的運用設置了一定的標準,上述規范是目前甄別人臉識別運用合法性邊界的重要依據。
1.勘定人臉識別運用合法邊界的基本原則。在當前具體法律規范闕如的背景下,先要確定人臉識別運用的基本原則,以此作為劃定人臉識別運用合法性的總領思路。
首先,以保護法益為核心。人臉識別的運用涉及多方法益,以隱私權為例,可以洞察法益保護原則的地位。民法典第1032條表明,隱私的核心要素是安寧性和私密性。如果一味追求商業價值和管理效率,必然導致侵害隱私行為泛濫成災,顛覆公民對法治國的合理期待。應當拒斥侵犯公民隱私權的人臉識別行為,但對某些僅有輕微法益侵害性的行為,能夠帶來更大社會效益,也需適度容忍,這就需借比例原則來考察。
其次,以比例原則為標尺。當人臉識別技術的運用有法益侵害性時,也需在獲取效益和侵害法益之間進行衡量。若適用人臉識別技術獲取的效益顯著大于所侵法益,則運用人臉識別的行為可以阻卻違法性。比例原則可以為人臉識別合法性邊界劃定具體標準。
再次,以同意原則為前提。在商業活動中,適用人臉識別技術和采集人臉識別信息,應以信息主體的知情和同意為底線。以暗設人臉識別裝置等方式,未經權利人同意獲取其人臉識別信息勢必違法。對于雖有形式同意,但權利人并非實質自愿的,也不具有正當性。當前違反同意原則獲取人臉識別信息大致包括下列兩種類型:(1)不知“刷臉”可能對個人帶來不利后果;(2)雖知“刷臉”會有不利后果,但迫于所處境遇難以拒絕。
2.明確涉人臉識別行為刑事違法性的基準。違反前述三大原則的行為具有一般違法性,但進入刑事法評價仍需具有可罰的違法性,這是刑法適用外部限度的基本內涵。基于其法益侵害類型性和司法裁判現狀,當前涉人臉識別犯罪包括以人臉識別為對象的犯罪和以人臉識別為工具的犯罪。前者一般構成侵犯公民個人信息罪,后者主要是財產犯罪,應以實質的法益侵害性作為判斷可罰的違法性的標準。
其一,實質法益侵害性應是判斷侵犯人臉識別信息行為刑事違法性的標準。
首先,通過數量不法判斷實質法益侵害性。最高法、最高檢《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(下稱《解釋》)第1條在劃定“公民個人信息”范圍時并未列舉生物識別信息;第5條第(四)項將住宿信息、通信記錄、健康生理信息、交易信息等列舉為公民個人信息,其入罪標準為500條以上,第(五)項則對公民個人信息范圍作兜底性規定,即兜底性公民個人信息的入罪標準為5000條以上。筆者認為,《解釋》第1條雖未列舉生物識別信息,但前置法都將生物識別信息納入公民個人信息范疇,基于整體法秩序,刑法對此不能否定,可通過第1條中“等”字,將生物識別信息列入公民個人信息。《解釋》第5條是關于侵犯公民個人信息罪的入罪標準,但皆未指涉侵犯生物識別信息的數量不法標準。爭議是將侵犯生物識別信息解釋為第5條第(四)項的“健康生理信息”還是第(五)項的兜底性規定。若為前者,則入罪標準為500條;若為后者,則入罪標準為5000條。刑法擴張適用的觀點傾向于前者,但在整體法秩序下存在規范障礙,因為《信息安全技術個人信息安全規范》將“生物識別信息”與“健康生理信息”規定為兩種相互并列的公民個人信息類型。概言之,若將前置法上有互斥關系的兩對概念解釋為刑法上的種屬關系,不僅有違邏輯,更破壞法秩序的統一性。本文認為,不能為擴張處罰便罔顧罪刑法定原則的限制,應依后者解釋,其入罪不法數量應為5000條,如此既能堅守罪刑法定原則的形式側面,也能保持刑法的謙抑性。
其次,通過特定情節判斷實質法益侵害性。例如,根據《解釋》第5條第(二)項規定可知,當行為人明知或者應知他人利用人臉識別信息實施犯罪,仍然向其提供人臉識別信息的,則無須數量不法亦可入罪。再次,通過法益闕如否決實質法益侵害性。若行為人獲取他人的人臉識別信息已經全部失效,無法識別特定自然人,則無法益侵害性,難以構成犯罪。總之,對刑事違法性的判斷不應拘囿于形式不法,關鍵在于是否存在實質的法益侵害性,對僅有形式不法并無實質不法的行為不應歸入刑法調整。
其二,實質法益侵害性也是判斷利用人臉識別侵財行為刑事違法性的標準。對以人臉識別為手段的侵財行為,即使達到相應財產犯罪的數額標準(形式不法),但對法益并無實質侵害性時也應出罪。對此需借助實質解釋的出罪功能,切實發揮我國刑法第13條“但書”條款的出罪功能。
內部限度:刑事法視閾下不法行為的適用方法論
涉人臉識別行為進入刑法評價后,此罪與彼罪、重罪與輕罪的界限也不明確,在個案判定中尚存理解偏差和應用困惑。
1.對增強侵犯人臉識別信息行為處罰力度的質疑。當前理論層面對侵犯人臉識別信息行為增強刑罰力度的主張主要分為兩類:
其一,立法論上以專設罪名方式增加處罰力度。這樣的立法設想并非彌補刑法規制漏洞,多因信息的敏感性和特殊性,希冀通過設置單獨罪名以實現升維打擊。這種立法邏輯具有較強的情緒化色彩,并不符合刑法的謙抑性立場。法定刑輕重適用可由法官在個案中通過自由裁量抉擇,人臉識別信息的重要性和特殊性需要多重社會方法加以認可和保障,僅通過修改刑法無法完成上述任務,只會讓刑法淪為社會管理法。因此,侵犯人臉識別信息行為通過適用侵犯公民個人信息罪足以應對,并無處罰漏洞。僅為加重法定刑便專設罪名只會使刑事立法碎片化,會動搖刑法的體系根基與權威。
其二,解釋論上通過降低侵犯人臉識別信息的罪刑標準以增強刑罰力度。有學者主張,侵犯生物識別信息應解釋為《解釋》第5條第(十)項“其他情節嚴重的情形”,并創造性提出侵犯“5條及以上”的人臉識別信息為“情節嚴重”,侵犯“50條及以上”的人臉識別信息為“情節特別嚴重”。概言之,若按前文解釋侵犯人臉識別信息的入罪標準(情節嚴重)為5000條,法定刑升格標準(情節特別嚴重)為5萬條。原本侵犯人臉識別信息低于5000條的行為無罪,而按該論者解釋不僅構成犯罪,更需適用升格法定刑,實現了“兩連跳”。但是,這一解釋結論并無可靠依據,僅因人臉識別信息的特殊性,論據并不十分充分。筆者認為,在既有刑法體系下,將人臉識別信息解釋為生理健康信息抑或將侵犯人臉識別信息行為解釋為“其他情節嚴重的情形”,不是破壞整體法秩序,就是虛置列舉條款而直接適用兜底條款,不符合罪刑法定原則的法律主義要求。實際上,人臉識別信息的特殊保護先由技術手段實現更為妥帖,然后采取事先預防性法律規制。通過加重刑罰的方法只是事后救濟,既難有效挽回被害人的損失,也使行為人成為一般預防的工具。
2.利用人臉識別技術侵財行為在輕罪與重罪間的界限。當前實踐中,人臉識別作為犯罪工具主要涉及盜竊罪、詐騙罪和信用卡詐騙罪。為避免一味追求入罪化或重罪化而導致人臉識別技術被污名化,需甄別上述犯罪的界限。
一方面,通過隱喻推理法確定盜竊罪與詐騙罪間的界限。隱喻是以熟悉事物為船舶將陌生事實擺渡到法律規范。具體到盜竊罪與詐騙罪,“處分行為”有無是區分二者的恒定標準。對“處分行為”有無的判斷可運用隱喻推理法予以甄別,例如,行為人偽造被害人3D面像騙過被害人人臉識別支付密碼,進而獲取被害人支付寶余額行為,支付寶作為軟件(機器)并不具有被欺騙的可能性,即使通過3D面像“騙過”支付寶人臉識別系統,仍不能理解為詐騙支付寶。我們可以將3D面像比喻為私配鑰匙,將支付寶比喻為保險箱,用3D面像“騙過”支付寶人臉識別系統取財與配一把鑰匙打開他人保險柜竊取財物并無本質區別,均應構成盜竊罪。因此,行為人通過欺騙手段騙取被害人進行人臉識別以獲取支付寶余額,若被害人不知是在進行人臉識別支付,因無處分意識,不構成詐騙罪而構成盜竊罪;若被害人知道是人臉識別支付,但誤以為只是正常支付買單,而行為人卻將被害人支付寶余額全部轉走,因存在處分意識,應當構成詐騙罪。
另一方面,通過整體判斷法把握盜竊罪與信用卡詐騙罪之間的界限。整體判斷法在刑法量刑領域即全面考慮綜合情節適當量刑。筆者認為,信用卡詐騙罪作為詐騙罪的特殊類型,其本質上仍然需要具備處分行為。對于信用卡詐騙罪的適用,應當視銀行作為獨立的處分主體存在,對被騙主體進行整體判斷。無論是使用虛假信用卡、作廢的信用卡或者冒用他人信用卡,被騙人或處分人都是銀行,符合詐騙罪的基本構造。但是,單純欺騙被害人通過人臉識別驗證,進而登錄被害人支付寶或花唄轉移賬戶內余額行為,不存在使用信用卡的情形,欺騙被害人通過人臉識別驗證是實行行為前的手段行為(預備行為),通過整體判斷法可知并不存在被害人處分行為,只屬于純粹的盜竊行為。
(作者分別為東南大學網絡安全法治研究中心主任、教授、博士生導師,江蘇省徐州市銅山區人民檢察院副檢察長。本文節選自《人民檢察》2021年第13期刊文《涉人臉識別行為刑法適用的邊界》)
