趙小涵

(中國政法大學刑事司法學院，北京 100088)

在人工智能技術席卷的時代洪流之下，數(shù)據(jù)的創(chuàng)制、傳播、使用正無孔不入地撼動著現(xiàn)實空間，“數(shù)字生態(tài)”搭建的全景空間可以細致入微地映射出現(xiàn)實生活中人們的語言交流、情緒變換、乃至活動軌跡。作為聯(lián)結虛擬空間與現(xiàn)實生活的核驗紐帶，人臉識別技術的發(fā)展日趨成熟。兼具身份識別和監(jiān)控兩大功能的人臉識別技術場景化應用包羅萬象，以應用目的不同可以分為門禁控制、單位考勤、治安防控、養(yǎng)老金認證等管理性公共應用，查找走散人員、丟失物品等慈善應用，便捷支付等商業(yè)應用。人臉識別技術使得識別的精準度與速度實現(xiàn)了革命性飛躍，以支付為例，輸入6 位數(shù)密碼平均需要3 秒，指紋支付只需1 秒，而“刷臉”支付僅需300毫秒[1]。這項技術極大限度地便捷了人們的日常生活，提高了社會的管理運行效率。

然而高效便捷的背后是對人臉識別信息泄露及其被非法盜用等潛在風險的隱憂。人們的面部識別信息正在以各種方式被悄無聲息地偷走：越來越多的場景要求“強制”刷臉，如進出住宅小區(qū)、高校校園的門禁。此外，一些手機App 還強制性不合理索取公民的面部識別信息。與此同時，人臉識別系統(tǒng)也面臨著被破解的風險，2021 年2 月清華大學Real AI 研究團隊利用對抗樣本干擾技術，在短短15min 內成功破解了19 款國內主流手機的人臉識別系統(tǒng)。研究人員根據(jù)一張照片，通過研究算法，制作一副特殊“眼鏡”，就可以刷臉解鎖他人手機或App 身份認證[2]。目前圍繞著人臉識別技術的犯罪產業(yè)鏈已經趨于成熟，賣家先與借貸平臺等掌握公民人臉識別信息的機構合作輕松獲取海量人臉識別信息，然后在境外網址或者社交軟件群聊中銷售，涵蓋身份證正反面照片、張嘴點頭等動態(tài)驗證視頻的全套人臉識別信息僅100 元即可購買，這樣的一套信息可以應對大部分人臉識別系統(tǒng)[3]。一項調查顯示，在個人信息泄露頻發(fā)的態(tài)勢下，超過七成民眾對網絡運營者的安全保障能力存疑，擔心人臉識別技術不完善導致個人信息被盜用[4]。脫軌、異化后的人臉識別技術使得聯(lián)通現(xiàn)實與虛擬的交互性驗證的關鍵性手段陷入癱瘓、網絡空間秩序陷入混沌，為滋生后續(xù)的違法犯罪行為提供了適宜的溫床。科技發(fā)展的超前性與法律的滯后性存在著天然矛盾，如何根據(jù)人臉識別信息的特殊性調整出適當?shù)男谭ūＷo框架亟待研究。

一、人臉識別信息侵害行為檢視

（一）人臉識別信息的特征屬性

人臉識別信息既具有其本身作為虛擬空間數(shù)據(jù)的自然屬性，又具備與其映射出的現(xiàn)實空間中特定人相關的社會屬性。其中，自然屬性包含獨特性、穩(wěn)定性、易采集性，社會屬性包含財產性、身份性、公共管理性。

1.獨特性。每個自然人都有著與之相對應的、獨一無二的人臉識別信息，僅僅通過人臉識別不需借助其他額外的手段即可精準匹配到每個人的身份，因此人臉識別是具有高精準度的身份識別方式。即便是長相高度相似的雙胞胎，人臉識別信息也不完全相同，可以通過人臉識別技術對其進行精確快速的識別和區(qū)分。

2.穩(wěn)定性。與姓名、密碼等個人信息不同，人們難以去改變其自身的人臉識別信息，雖然通過整形手術可以改變面部特征，但僅僅單純局部一兩個部位的整形對面部整體的影響性較小，人臉信息依舊相對穩(wěn)定。由于人臉識別信息的穩(wěn)定性，一旦泄露無法像替換密碼一樣替換其人臉信息，僅能采取電話或現(xiàn)場掛號的手段停用。因此，人臉識別信息泄露給自然人帶來的傷害是不可逆的，造成不能彌補的損失。

3.易采集性。對于人臉識別信息的采集不以近距離接觸為先決條件，不需要被采集者的事前同意與配合，只要以自然狀態(tài)經過攝像頭前，攝像頭即可在被采集者絲毫沒有察覺的情形下實現(xiàn)無需人為操縱的自動抓拍，自動采集人臉識別信息。易采集性從另一側面反映了人臉識別信息的易受侵害性。

4.財產性。人臉識別技術實現(xiàn)了快捷支付，如支付寶、各大銀行App等刷臉支付的方式，此時的人臉識別信息即為一種新型密碼，掌握此人臉識別信息的人相當于擁有了支配其賬戶中財產的權利，人臉識別信息泄露之后，如果被他人非法加以利用，賬戶中的財產便處于可供他人支配的狀態(tài)，相繼而來的就是盜竊、搶劫罪等侵害財產型犯罪，致使公民的財產權利被侵害。

5.身份性。人臉識別信息是現(xiàn)實生活中自然人的直接映射，等同于肖像，具有身份性，自然而然地承載著人格尊嚴。特定的人臉識別信息能夠直接指向現(xiàn)實生活中某自然人，與其不可分割、緊密聯(lián)系，當人臉識別信息被非法利用，如當下炙手可熱的深度偽造技術能夠實現(xiàn)一鍵換臉操作，有用戶將明星人臉與淫穢視頻中的人臉替換并直接發(fā)布在網站，這是對人格尊嚴直接的褻瀆與損害，侵害了公民的核心隱私權與生活安寧權。

6.公共管理性。人臉識別信息可以用于公共管理，目前已經被廣泛運用于公共領域，提升了公共管理、社會治理的水平。比如進入高鐵站、機場的時候通過人臉識別信息進行安全檢測，在新冠疫情期間能夠被用來追蹤患者、排查密切接觸者，運用人臉識別技術的醫(yī)療掛號系統(tǒng)可以有效避免黃牛惡意搶票。此外，人臉識別信息還可以用來追蹤犯罪分子、助力反恐活動，實現(xiàn)社會治理精準化。

（二）人臉識別信息侵害行為具有嚴重的法益侵害性

隨著人工智能技術的深度發(fā)展，人臉識別信息侵害行為不僅呈現(xiàn)出法益侵害的精準化，具有法益侵害的直接指向性，而且呈現(xiàn)出法益侵害的鏈條化，與網絡黑灰產相勾連。

首先，人臉識別信息侵害行為實現(xiàn)了法益侵害精準化。正是由于人臉識別信息的獨特性、穩(wěn)定性，其具備直接定位到個人的強防偽特征，犯罪分子利用人臉識別信息進行的私人定制化犯罪成功率極高。如“某寶破解案”①中，被告唐某支付被告李某2.3 萬元，從李某處學習制作3D 人臉動態(tài)識別圖用來破解某寶系統(tǒng)，并且購買制作3D人臉動態(tài)圖的設備?！鞍脒吿臁甭?lián)系到唐某，給其唐甲的某寶用戶信息，唐某破解其用戶限制登陸，將其賬戶信息給了被告人張羽，被告人張羽用偽造的身份證、同意書消除唐甲賬戶的資金凍結，轉移其賬戶資金2.4 萬元。掌握破解人臉識別系統(tǒng)的技術便擁有了對被害人財產法益進行精準性侵害的能力，與一般的侵犯公民個人信息行為不同，人臉識別信息侵害行為與公民的人身權益、財產權益聯(lián)系更加密切，極大提升了法益侵害精準性，從隨機電話、群發(fā)短信的“漫天撒網”變?yōu)閷τ谔囟ㄙ~戶的精準侵害，人臉識別信息的濫用使得關聯(lián)財產犯罪成功概率大幅度提升。

其次，人臉識別信息侵害行為實現(xiàn)了法益侵害鏈條化。以破解人臉識別技術為核心的網絡黑產日益猖獗，團伙人員專業(yè)化分工明確、各司其職，已經逐漸形成完整的犯罪產業(yè)鏈。在近期破獲的一起大型虛開增值稅普通發(fā)票案中，多名被告用破解人臉識別技術的方式虛開增值稅發(fā)票，總數(shù)額超過5 億。本案中的鏈條化流程為，首先購買高清面部頭像與其配套的身份證信息，每組30 元即可到手。其次對其進行處理使其變成包含點頭、眨眼動作的動態(tài)視頻，最后利用處理后的驗證視頻，突破系統(tǒng)的人臉識別驗證，通過政務平臺注冊。同時，該團伙破解了管理電子營業(yè)執(zhí)照的相關人臉識別系統(tǒng)，利用辦事員身份使用電子營業(yè)執(zhí)照[5]。概括而言，此產業(yè)鏈根據(jù)分工的不同可以分為“信息收集組”“系統(tǒng)破解組”“冒用身份組”等，信息收集組非法收集、購買人臉識別信息、身份證件、電話號碼等公民個人信息，將其提供給系統(tǒng)破解組成員，系統(tǒng)破解組通過非法加工合成3D人臉驗證視頻、開發(fā)破解人臉識別技術的系統(tǒng)等方式幫助冒用身份組成員完成實名審核，冒用身份組成員非法利用他人賬號信息進行財產變現(xiàn)、或者利用他人信息注冊海量賬號，侵犯他人財產權益，擾亂正常網絡秩序。人臉識別信息侵害行為為信息網絡犯罪提供了幫助與支持，成為滋長其他違法犯罪的溫床。成熟的鏈條化“流水生產”使得被侵害人數(shù)呈現(xiàn)量的倍增，作為其核心環(huán)節(jié)的人臉識別信息侵害行為的社會危害性也隨之急劇升高。

二、人臉識別信息侵害行為刑法規(guī)制困境

現(xiàn)行刑事制裁體系對于涉人臉識別犯罪的評價可以分為基于手段行為的前端歸責和基于目的行為的末端歸責。以侵犯公民個人信息罪打擊人臉識別信息的非法出售、提供、獲取等手段行為，從產業(yè)鏈前端遏制涉人臉識別犯罪的發(fā)生，同時規(guī)制利用人臉識別信息侵犯公民財產利益、人身利益甚至損害社會公共利益的目的行為，從產業(yè)鏈尾端打擊關聯(lián)犯罪，呈現(xiàn)“首尾重、中間輕”的刑事制裁特點[6]。盡管現(xiàn)有刑事制裁體系對涉人臉識別犯罪行為進行了一定的規(guī)制，但由于人臉識別信息的特殊性、涉人臉識別行為法益侵害的嚴重性，現(xiàn)行刑法還未對其有充分的制度準備，現(xiàn)階段人臉識別信息侵害行為刑法規(guī)制仍存在如下困境。

（一）司法解釋模糊：人臉識別信息侵害行為入罪標準不明確

公民個人信息的刑法保護有一個漸進式的發(fā)展過程，2009 年出臺的《中華人民共和國刑法修正案（七）》首次將非法獲取、出售、提供公民個人信息的行為規(guī)定為犯罪，邁出了歷史性的一步，自此公民個人信息的刑法保護不再是空白。此時犯罪主體僅為國家機關或特殊單位的工作人員，作為犯罪對象的公民個人信息指代范圍較小，僅指代姓名住址等信息。隨著電信網絡的發(fā)展，侵犯公民個人信息的行為愈演愈烈，需進一步加強刑法規(guī)制。2016 年出臺的《中華人民共和國刑法修正案（九）》把犯罪主體擴大為一般主體，特殊身份成為了實施此罪的加重情節(jié)，并將此前兩個罪名合一為侵犯公民個人信息罪，沒有修改公民個人信息的范圍。雖然刑法對其進行了規(guī)定，但在司法實踐中依然缺乏具體明確的司法適用標準。2017 年出臺的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（簡稱《解釋》）解決了這一問題，對入罪標準進行較為詳細具體的規(guī)定，為司法實踐提供了具體的裁量標準[7]。《解釋》根據(jù)個人信息內容的敏感程度將其分成三種類別，有各自的入罪標準，但卻沒有將生物識別信息納入分類，致使人臉識別信息的入罪標準不明。雖然2021 年最高人民法院、最高人民檢察院和公安部聯(lián)合發(fā)布《關于辦理電信網絡詐騙等刑事案件適用法律若干問題的意見（二）》中規(guī)定非法獲取、出售、提供具有信息發(fā)布、即時通訊、支付結算等功能的個人生物識別信息的行為“以侵犯公民個人信息罪追究刑事責任”，但仍舊不能解決人臉識別信息在公民個人信息中的分類問題。《解釋》將入罪數(shù)量要求最低的高敏感信息明確例舉為行蹤軌跡信息、通信內容、征信信息與財產信息，此封閉式列舉使得通過司法適用將人臉識別信息納入高敏感信息的范疇、適用相同的入罪門檻沒有可行性。只能退而求其次，將其解釋為“可能影響人身、財產安全的公民個人信息”，適用與其敏感程度不符的分類與入罪數(shù)量門檻，然而這樣的做法使得打擊涉人臉識別犯罪的力度大大降低，缺乏合理性。“對于現(xiàn)代型犯罪構成要件加以描述時，立法者在不得已而采用兜底式規(guī)定的同時，必須有意識地將其和明示列舉相結合，并盡可能詳細、充分地列舉已經認識到的常見的相應犯罪類型”[8]，在非法獲取、出售、提供人臉識別信息已經成為當下高發(fā)的犯罪類型之時，刑法亟需明確人臉識別信息具體明確的入罪標準。

（二）立法保護缺位：對涉人臉識別犯罪部分環(huán)節(jié)評價不足

對于個人信息的保護類型，《中華人民共和國個人信息保護法》（簡稱《個人信息保護法》）第4條闡明個人信息處理行為所涵蓋的類型不僅包括收集、提供、運輸、公開等對個人信息的傳遞環(huán)節(jié)，還包括存儲、加工、使用的環(huán)節(jié)?！吨腥A人民共和國網絡安全法》（簡稱《網絡安全法》）第43 條規(guī)定存儲、收集、使用個人信息的環(huán)節(jié)受法律保護。有觀點認為，現(xiàn)階段侵犯公民個人信息罪僅對非法獲取、出售、提供進行規(guī)制，沒有對非法存儲、加工、使用行為類型進行規(guī)制，應當實現(xiàn)非法存儲、加工、使用行為的入罪化，形成對人臉識別犯罪鏈條的完整制裁。首先，基于法秩序的一致性，《個人信息保護法》《網絡安全法》等前置法規(guī)定了非法存儲、加工、使用的違法行為類型，在違法行為情節(jié)嚴重，造成更重大的社會危害性的情況下非法存儲、加工、使用也應當有相應的入罪類型，現(xiàn)有刑法對其評價的不足使得其與前置法的銜接存在問題。其次，由于人臉識別信息相對于一般信息的獨特屬性，涉人臉識別犯罪行為具有與侵害一般公民個人信息相比更為嚴重的社會危害性，應當對人臉識別信息進行全方位的特殊保護。對于人臉識別信息侵害行為應當采取以全方位保護人臉識別信息為目標，覆蓋人臉識別信息安全保護的全生命周期，以預防人臉識別信息犯罪為導向的基本立場。因此應當實現(xiàn)非法存儲、加工、使用行為的入罪化，實現(xiàn)對于以人臉識別信息侵害行為為核心的犯罪產業(yè)鏈的前中后端全面打擊[9]。筆者認為，前置法規(guī)定非法存儲、加工、使用的違法行為類型并不能作為這些行為入罪的決定性因素；要對人臉識別信息進行全面保護、特殊保護，以預防為導向等口號宣語亦不能成為非法存儲、加工、使用行為入罪的根本性依據(jù)；刑法基于其刑罰的嚴厲性、保護手段的最后性，仍應當恪守刑事違法的獨立性判斷。

三、人工智能時代人臉識別信息侵害行為的刑事應對策略

（一）明確人臉識別信息侵害行為入罪標準，構建個人信息二分保護體系

現(xiàn)階段對于侵犯公民個人信息罪，《解釋》第5 條將公民個人信息分為三類，“軌跡信息、通信內容、征信信息、財產信息”入罪標準為50 條，“住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息”入罪標準為500 條，“第三項、第四項規(guī)定以外的公民個人信息”入罪標準為5000 條，第5 條第10 款規(guī)定了“其他情節(jié)嚴重的情形”作為兜底條款。

人臉識別信息難以在當前依據(jù)司法解釋構建起來的個人信息保護框架中合理的位置。將人臉識別信息解釋為“健康生理信息”的做法易導致法秩序的不統(tǒng)一[10]，《信息安全技術個人信息安全規(guī)范》中將個人生物識別信息列在與健康生理信息相并列的位置，并列意味著兩者不存在包含和交叉的關系。將人臉識別信息解釋為“其他可能影響人身、財產安全的公民個人信息”，雖然是最準確、符合文義的做法，然而，考慮到人臉識別信息的獨特屬性以及非法獲取、出售、提供人臉識別信息行為的社會危害性，采用這樣的解釋路徑便與其社會危害性不相匹配，縮小了人臉識別信息侵害行為的打擊范圍。從實質解釋的角度來考量，人臉識別信息的入罪數(shù)量應當為規(guī)定的最低標準50 條，甚至考慮到泄露人臉識別信息比行蹤軌跡的后果更為嚴重，甚至有學者提出可以適用5 條的入罪標準[7]。有學者批評這樣的想法為“先定量后定性”的思考邏輯[11]。然而，定量與定性順序顛倒的背后，實則為現(xiàn)有個人信息保護框架中本身的罪責不均衡。認為人臉識別信息屬于“第三項、第四項規(guī)定以外的公民個人信息”的不妥之處在于，將人臉識別信息簡單歸類于此使得人臉識別信息的定位更加撲朔迷離，5000 條的入罪門檻沒有體現(xiàn)任何對于人臉識別信息的特殊保護，與人臉識別信息背后的復合法益與價值不相匹配。應當直接適用兜底條款，把“非法獲取、出售、提供人臉識別信息5 條以上”解釋為“其他情節(jié)嚴重的情形”隨意適用兜底條款創(chuàng)設新的罪數(shù)門檻，不利于罪刑法定原則的貫徹。

人臉識別信息無法被準確納入司法解釋構建起來的個人信息保護框架，其背后沖突本質是公民個人信息保護體系的不合理。首先，當前司法解釋的規(guī)定過于具體詳細，入罪門檻最低的一級直接采用封閉式列舉無法納入、應對新時代下出現(xiàn)的新情況。其次，現(xiàn)行的通過司法解釋構建起來的公民個人信息的保護體系存在著罪責不均衡的問題。難道在相同數(shù)量的任何情況下“影響人身、財產安全的信息”泄露的社會危害性都比“軌跡信息”要輕微嗎？當前分類采取的主要方式是通過信息的外在表現(xiàn)分類，然而判斷信息的重要程度、濫用此信息帶來的社會危害性，往往與其應用場景、應用目的相關，無法僅僅通過信息外在表現(xiàn)判斷濫用此信息背后的社會危害性。最后，關于“人臉識別信息”定位矛盾的爭議從側面反映了當前個人信息保護框架中三類信息的分類有交叉重合、具體信息定位模糊的問題，這容易導致實踐中司法裁量不一，出現(xiàn)同案不同判的情況。

我國《個人信息保護法》《信息安全技術個人信息安全規(guī)范》都采取“二分法”的方式，將公民個人信息分為敏感信息和一般信息兩類②，規(guī)范中規(guī)定可以通過泄露、非法提供或者濫用之后是否可能給信息主體帶來重大風險這三個角度分析某種個人信息是否屬于敏感信息的范疇，滿足一項即可以判定為敏感信息，為敏感信息的判斷提供了更為明確的、更具有操作性的標準。建議改進現(xiàn)行司法解釋對于公民個人信息精細分類的做法，借鑒《個人信息保護法》《信息安全技術個人信息安全規(guī)范》的“二分法”模式，參照其分類標準將公民個人信息分為敏感信息和一般信息兩類。設定一般個人信息的入罪門檻為5 000條，敏感個人信息的入罪門檻為50 條[9]。人臉識別信息在泄露、非法提供或者濫用之后都將造成信息主體失去對信息擴散范圍與用途的控制能力，有可能給信息主體相關權益造成重大不可控的風險，例如利用他人的人臉識別信息去銀行開戶、辦理手機卡實名業(yè)務等。因此，人臉識別信息屬于個人敏感信息的范疇，應當適用50 條的入罪標準。個人信息二分保護體系可以避免錯綜復雜、交相重疊、不甚合理的信息分類體系帶來的弊端，在保持法秩序的統(tǒng)一性的同時實現(xiàn)各類信息簡明扼要地對號入座，更有利于構建罪責均衡的個人信息保護體系。

（二）實現(xiàn)非法利用人臉識別信息侵害行為入罪化

對于網絡犯罪刑罰邊界的確定，要兼顧刑法的謙抑性與預防性。在適用傳統(tǒng)罪刑條款的基礎上承認刑法必須作出適當調整實現(xiàn)法益保護的早期化，肯定預防的必要性，堅持絕對的謙抑性原則無法有效應對網絡犯罪嬗變[12]。在擴大刑法“射程”的同時，應當合理堅守刑法最后性與謙抑性的原則，平衡刑罰邊界擴張的需要與限度[13]。

1.非法存儲行為、非法加工行為不需單獨入罪

首先，給非法存儲行為劃定一個范圍，即合法獲取但后續(xù)失去了存儲資格且在信息主體發(fā)出刪除請求后應刪除而不刪除的行為。在行為人先前具有保存人臉識別信息的資格，后失去保存資格但仍未刪除的情況下，根據(jù)我國《民法典》《網絡安全法》《電子商務法》《個人信息保護法》相關規(guī)定，此時信息主體可以請求其予以刪除，若是拒不刪除，可以認定為不作為的侵犯公民個人信息罪[11]。首先，成立不作為犯罪，應當滿足三個條件：首先，行為人有特定的作為義務；其次，行為人有能力履行此作為義務；最后，行為人沒有履行此作為義務?！睹穹ǖ洹贰毒W絡安全法》《電子商務法》《個人信息保護法》相關規(guī)定給予了應當刪除此個人信息的義務，行為人此時具有作為義務、能為而不為，符合構成不作為犯罪的三要件。當然，刪除個人信息從技術上難以實現(xiàn)的情形不符合有履行作為義務的要件，被排除在不作為犯罪之外。其次，為了解決不純正不作為犯在規(guī)范構造上與罪刑法定原則的沖突，限制不純正不作為犯的處罰范圍，需要強調不作為犯的等價性[14]。要去判斷應當刪除而不刪除的行為與非法獲取行為是否具有等價性。非法存儲應刪而不刪人臉識別信息的行為與非法獲取人臉識別信息行為都使得沒有資格控制個人信息的主體實現(xiàn)了對于個人信息的持續(xù)性控制，致使人臉識別信息所關聯(lián)的人身權益、財產權益乃至社會秩序處于隨時被侵犯的危險狀態(tài)之中。從實質性角度出發(fā)，非法存儲應刪而不刪的行為與非法獲取行為具有等價性[9]。因此，合法獲取后續(xù)失去存儲資格、請求其刪除而未刪除的非法存儲行為可以認定為不作為的侵犯公民個人信息罪。如果以作為犯的思路實現(xiàn)對拒不刪除行為的處罰，便會將“信息主體要求刪除后不刪除”作為行為故意的推定，這是從預防目的出發(fā)，以破壞刑法理論體系為代價將此不作為入罪，其不妥之處無法用刑法的概念體系無法適應社會的發(fā)展為理由來解釋，適用不純正不作為犯才是適當?shù)男淌職w責路徑[15]。對于不符合法律法規(guī)相關要求的具體方式存儲個人信息的非法存儲行為，如未進行分類管理、加密等，不具有非法獲取行為的等價性，不構成侵犯公民個人信息罪的不作為犯。如果信息主體對于行為人應刪除信息而不刪除的行為投訴到履行個人信息保護職責的部門后，監(jiān)管部門責令采取改正措施行為人仍拒不刪除，此時行為人構成拒不履行信息網絡安全管理義務罪。

對于非法加工行為，例如通過合成軟件將靜態(tài)肖像加工成為人臉驗證動態(tài)視頻的行為，“實際上是偽造、匹配生物數(shù)據(jù)模板的過程，在性質上屬于網絡身份認證技術的范疇”，對網絡空間管理秩序造成影響。給其他人此類技術支持的行為可以解釋為與互聯(lián)網接入、服務器托管、網絡存儲、通訊傳輸并行的幫助行為，從而定性為幫助網絡信息活動罪[16]。若是非法加工僅供自娛自樂，沒有幫助他人犯罪的主觀目的的行為，沒有刑罰可罰性。在現(xiàn)有刑法已經有相關罪名規(guī)制的情況下，再將非法加工行為入罪將導致刑法制裁體系的混亂——到底應當將其認定為幫助網絡信息活動罪還是下游犯罪共犯，抑或是納入非法加工行為類型后的侵犯公民個人信息罪？綜上，非法存儲行為可以用不作為的侵犯公民個人信息罪或者拒不履行網絡安全管理義務罪規(guī)制，非法加工行為可以用幫助網絡信息活動罪來規(guī)制，不需單獨入罪。

2.非法利用人臉識別信息入罪必要性證成及具體路徑

非法利用人臉識別信息具有入罪必要性。首先，現(xiàn)行刑法無法涵蓋非法利用人臉識別信息的行為?？梢詫⒎欠ɡ眯袨榉譃閮煞N類型：（1）作為下游犯罪的非法利用行為。在這種類型中非法利用行為與詐騙、盜竊、勒索、綁架等下游犯罪相關聯(lián)。（2）不作為下游犯罪的非法利用行為。例如用別人的信息領取數(shù)張信用卡惡意透支、登記公司從事違法犯罪，影響到他人個人征信阻礙日后的正常交易，存檔犯罪記錄阻礙他人就業(yè)，使得他人權益受損的行為[12]。對于作為下游犯罪的非法利用行為，涉人臉識別犯罪“首尾重、中間輕”的刑法規(guī)制特點導致對合法獲取之后、構成下游犯罪之前的非法利用行為的刑法評價不足。如果行為人合法獲得了人臉識別信息，非法利用比如注冊大量新用戶賬號，但還沒有達到相關后續(xù)目的性犯罪的入罪門檻，此時便處于刑法評價的空白地帶；對于不作為下游犯罪的非法利用行為，刑法規(guī)制存在空白地帶。與非法使用公民個人信息具有相關性的罪名主要有妨害信用卡管理罪，信用卡詐騙罪，合同詐騙罪，使用虛假身份證件、盜用身份證件罪等，然而這些罪名都不能用來準確評價非法使用公民個人信息的行為[17]。其次，非法利用人臉識別信息的行為具有法益侵害性。法益概念是確定刑法處罰范圍的判斷標準。實質的法益概念所要達到的目的，是向立法者提供刑罰處罰的合法界限，因而具有批判立法的機能，需要根據(jù)實質的法益概念，提出增設新罪的構成要件的合理要求[18]。非法利用人臉識別信息的行為可能對公民的人格權益、財產權益造成損害。用別人的信息領取數(shù)張信用卡惡意透支、登記公司從事違法犯罪，影響到他人個人征信阻礙日后的正常交易，存檔犯罪記錄阻礙他人就業(yè)，將會導致他人的信譽、財產權益受到全方位嚴重損害。非法利用人臉識別信息具有法益侵害性，應當入罪。綜上，非法利用行為在刑法中沒有相關罪名進行規(guī)制，不構成下游犯罪的非法利用行為仍具有其法益侵害性，具有刑法規(guī)制的必要性。在具體司法適用過程中，非法利用行為同時又構成下游犯罪其他罪名的，非法利用行為被吸收，只需后續(xù)罪名來規(guī)制。例如非法利用他人人臉識別信息突破他人銀行賬戶精準盜竊的行為，僅用盜竊罪評價即可[17]。

對于非法利用人臉識別信息的具體路徑，有觀點認為，可以將侵犯公民個人信息罪中的“非法”解釋為“以非法目的”，擴大此罪的規(guī)制范圍，從而在司法適用的過程中直接將非法利用人臉識別信息的行為納入此罪的打擊范圍[11]。然而，這樣的解釋方式為類推解釋，超過了公共所認知的“非法”的文義解釋涵蓋范圍，以此招致的刑法處罰不具有國民預測性，違反了罪刑法定原則的要求，即便司法解釋的方式較為迅速、平緩，也不能通過這一方式實現(xiàn)對非法利用人臉識別信息的入罪化。非法利用行為的入罪可以直接通過擴充侵犯公民個人信息罪構成要件中的行為方式來實現(xiàn)，不需要借鑒非法利用網絡信息罪的規(guī)定模式增設非法利用公民個人重要信息罪?？紤]到法律體系的簡潔性，立法要求一定程度的抽象、可以涵蓋社會變遷里可能出現(xiàn)的新情況。綜上，建議將《刑法》第253 條第1 款整合為：“違反國家有關規(guī)定，竊取或者以其他方法非法獲取公民個人信息，或者非法向他人出售、提供公民個人信息，或者非法使用公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金?！迸c刑法規(guī)定相配套，同時，建議將《解釋》第五條由“非法獲取、出售或者提供”擴充為“非法獲取、出售、提供或者利用”。

注釋：

① 四川省成都市郫都區(qū)人民法院（2019）川0124刑初610號。

② 《個人信息保護法》第28條第1款規(guī)定:“敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。”《信息安全技術個人信息安全規(guī)范》附錄B 規(guī)定：“個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。通常情況下，14歲以下（含）兒童的個人信息和自然人的隱私信息屬于個人敏感信息?！?/p>