【202113013】涉人脸识别行为刑法适用的边界
文/欧阳本祺;王兆利
作者单位:东南大学网络安全法治研究中心江苏省徐州市铜山区人民检察院
专题分类:个人信息保护
摘要:
人脸识别技术的刑事风险呈现为对象维度和工具维度,理论与实践中对涉人脸识别行为的刑法适用有扩张化趋势,有突破罪刑法定原则和阻碍技术创新之嫌,亟须甄别人脸识别的刑法适用边界。在外部限度方面,应立足于整体法秩序,以法益保护原则、比例原则和同意原则作为勘定人脸识别运用合法性的基准,以实质法益侵害性作为厘定涉人脸识别行为刑事违法性的标准。在内部限度方面,无须扩增侵犯人脸识别信息行为的罪与罚,应通过隐喻推理法、整体判断法确定滥用人脸识别的侵财行为在轻罪与重罪之间的界限。
期刊栏目:法学专论
关键词:人脸识别刑事风险泛在化谦抑性
从人脸识别第一案(杭州野生动物世界案)引发能否要求顾客强制刷脸的讨论,到滥用深度伪造技术突破人脸识别系统窃取支付宝内余额的刑事第一案,[1]人脸识别的风险已困扰人们的日常生活。然而,智能技术的超前性与法律的滞后性之间存在天然鸿沟,带来法律适用难题。同时,理论与实践过分期待刑法功能,催生刑法适用扩张化,使人脸识别的发展空间日益逼仄。鉴于此,有必要分析人脸识别刑法适用扩张化缘由,界定涉人脸识别行为的合法性边界,以保持刑法适用的限度,助力人脸识别的技术创新与法益保障之间的平衡。
一、人脸识别刑法适用的扩张化
人脸识别具有两层面向:一是人脸识别技术,是Web3.0时代的智能技术;二是人脸识别信息,是一种典型的生物识别信息,属于公民个人信息。然而,当前理论与实践有对涉人脸识别行为扩张刑法适用的趋势。
一方面,理论上有扩张人脸识别刑法适用的诉求。面对现代技术风险,人们热衷预防性刑法观和保护性理念,甚至趋于严格责任。[2]有学者认为,人脸识别技术的风险不容小觑,需要适用风险预防理论,人脸识别信息与其他个人信息既有共同性也有差异性,对其规制方法也可能不尽相同,应采取更强的规制力度;[3]对普通个人信息采取利益衡量进路,对生物数据等敏感信息采取法权进路。[4]更有学者指出,基于人脸识别信息的特殊性,侵犯该类信息行为的入罪标准应显著低于侵犯普通公民个人信息行为的入罪标准。[5]国外也有学者认为,人脸识别技术的运作会促进网络犯罪,使得传统犯罪更为轻易,有侵犯隐私的潜力,应在刑法中专设禁止将人脸识别技术用于互联网上的视觉图像以获取信息;[6]解决人脸识别的隐私保护问题,最佳方案应是立法,全面制定隐私和公共安全的保护规范,而非借由法院通过解释路径实现最小限度的保护。[7]
另一方面,实践中存在扩张人脸识别刑法适用的情状。例如“廖一川侵犯公民个人信息案”,被告人在网上购买了一套人脸识别软件,并通过网络将该软件转卖以赚取差价,但实际未营利。这一部分事实也被指控为侵犯公民个人信息罪。[8]质言之,将转卖人脸识别软件行为指控为侵犯公民个人信息罪让人匪夷所思。人脸识别的运用使公民在公共场所的隐私权易受侵犯。比如,美国第九巡回法庭认为,侵占名人身份很可能造成羞辱、尴尬和精神痛苦。对无名小卒也难说其隐私权益不受侵犯,故而无论名人抑或普通民众都难以幸免,于是法院放宽对法律规范的解释,将规范效果适用于人脸识别。[9]美国佛罗里达州伊博尔市坦帕地区甚至将人脸识别技术视为犯罪技术。[10]这种压制性趋势已渗入国外立法实践,如欧盟《通用数据保护条例》(GDPR)原则上禁止人脸识别信息的收集与处理,通常情况下数据控制者无权处理人脸识别信息。
上述态度在对人脸识别技术的法益侵害性、人脸识别信息与一般公民个人信息的差异性等方面的认识不乏真知灼见,但因过于畏惧风险而提倡刑法介入的早期化,一味“过罪化”的思路值得商榷,可能会引起大量非正义现象产生。[11]这不仅有违罪刑法定原则的人权保障功能,还会扼杀技术革新。为了避免这一流弊,亟须优化制度设计,规范人脸识别技术运用。人脸识别的“一刀切”禁令值得商榷,需要明确刑法适用的合理限度。
二、人脸识别刑法扩张适用的因由
既然涉人脸识别行为的刑法适用在理论与实践中有扩张化趋势,那么,需要分析人们为什么追求刑法的扩张适用?综合判断,当前对涉人脸识别行为扩张刑法适用的因由,可从以下维度展开。
(一)人脸识别刑事风险的泛在化
涉人脸识别的犯罪呈现双重维度:一是以人脸识别为对象的犯罪,即侵犯他人人脸识别生物信息,导致被害人隐私、个人信息等人格权益被侵犯。二是以人脸识别为工具的犯罪,将人脸识别技术作为犯罪工具,在我国实践中最为常见多发的是财产犯罪。基于“对象”和“工具”的维度,结合法益论,可将人脸识别的刑事风险凝练为双重面向。
1.对象维度:侵犯以人脸识别信息为载体的法益谱系。以人脸识别信息为载体的法益包含国家安全、商业秘密权益、人格权等诸多类型。目前司法实践中,侵犯公民个人信息、隐私权、公民自由与尊严的行为最为频见。其一,侵犯公民个人信息权益。2020年3月,国家市场监督管理总局、国家标准化管理委员会发布的《信息安全技术个人信息安全规范》已将人脸识别信息纳入公民个人信息。民法典第一千零三十四条明确规定自然人的个人信息包括生物识别信息。新近立法之所以广泛关注人脸等生物识别信息,正因实践中侵犯人脸识别信息的案件常见多发。互联网上更生成倒卖人脸识别信息的黑灰产业,如某居民人脸识别数据被泄漏,导致其并无交通违章行为,却平白无故被扣分。[12]其二,侵犯公民隐私权。根据我国民法典的章节设置和民法典第一千零三十四条第三款可知,隐私与公民个人信息既非种属关系,亦非互斥关系,应属于包含交叉内容的并列关系,若公民人脸识别信息包含私密信息,则会侵犯他人隐私权。例如,2011年脸书未经同意即收集用户面部信息,侵犯了用户的隐私权,因而遭遇多起诉讼。[13]同时,在大数据时代出现信息隐私化和隐私信息化。前者指原本不属于隐私的个人信息成为隐私,例如在酒店开房的人脸识别信息;后者是人们的隐私越来越趋于数字化。[14]隐私以人脸识别信息呈现,使其在智能时代更易被侵犯。其三,侵犯人格尊严与自由。人脸识别技术可能会捎带算法歧视,而算法歧视是社会歧视的全新形式。人脸识别技术本质是具有深度学习能力的算法,其准确率取决于对数据掌握的程度,容易受其操作者的价值取向影响,算法歧视的根源是人的歧视。
2.工具维度:以人脸识别技术为手段侵犯财产法益。人脸识别支付是继扫码支付后的最新型支付方式,一经刷脸识别准确,便能代替密码输入完成支付。然而这一新型支付容易受到网络钓鱼、恶意软件的重复攻击,[15]也存在被“诱骗”的可能性,借助深度伪造技术“骗过”人脸识别系统可直接取财。而现有鉴伪方法不能完全有效,呈现“道高一尺,魔高一丈”的现状。例如,“张羽、唐杰、李瑞安侵犯公民个人信息案”,被告人利用技术手段制造被害人3D人脸动态图,“骗过”被害人账户的人脸识别支付系统,将账户中2.4万余元转移。[16]
(二)对人脸识别技术的负面认识
产生于web3.0时代的人脸识别技术,是通过对人的面部特征进行身份识别的智能技术,既有传统网络科技的共性,也有智能时代的特性。理论与实践中之所以趋于对人脸识别刑法适用的扩张化,还在于对人脸识别的曲解。
其一,忽视人脸识别技术的中立性。人脸识别技术具有中立性,其本身并无好坏之分,但利用行为却有善恶之别。一方面,善意使用该技术会便利生活。符合技术研发的当然旨趣,不同于其他生物特征识别,人脸识别具有可通过远距离非接触方式获取和更符合人类视觉效果等优势,市场潜力更为深厚,应用场景更为广阔。人脸识别应用于国际机场的实践已经表明,确实可提高安全措施的水平,避免恐怖分子阴谋得逞。[17]另一方面,恶意利用会招致风险。人脸识别技术容易受照明、姿势、老化、化妆品、遮挡和背景的影响,在识别的过程中存在较大误差,带来的危害具有不确定性。正因人们过于注目人脸识别技术的消极面向,容易放大对其恐惧感继而使其积极功效减损等,由此会热衷人脸识别刑法适用的扩张化。例如,批判者认为,人脸识别这种算法不具有中立性,是数据的集中反映,服务于种族与阶级利益;[18]人脸识别的唯一功能是破坏人们的隐秘性,它逾越了道德的界限,容易成为公民实施犯罪的工具。[19]然而,人脸识别技术本身并无善恶之分,不能将其背后控制力量的邪恶视为人脸识别技术本身的恶害。为促进技术创新发展,不应对中立技术过度苛责。
其二,聚焦web3.0时代智能科技的负面性。在web1.0时代和web2.0时代,科技及其诱发的犯罪具有较强的物理性,而在web3.0时代则演变为智能性。[20]作为web3.0时代典型之作的人脸识别技术具备了深度学习能力,正因人工智能技术具有强大的智能性,人们遂担忧其会超脱人类控制继而生成技术灾难。于是,各种赋予人工智能主体地位和追究其刑事责任的主张便泛滥。[21]微缩到人脸识别领域,扩张对其刑法适用的欲望也便“有根可寻”。
(三)对人脸识别信息的特殊保护
与其他生物识别信息相比,在公共场合人脸信息更容易被窃取。美国1979年隐私法案关于“个人信息”的界定,就包括人脸等生物识别信息。目前全球对生物识别信息的法律保护,以美国模式和欧盟模式为代表。前者颁布专项法律保护生物识别信息,如伊利诺伊州生物识别信息隐私法案(BIPA);后者则在统一性法律中通过部分内容规制生物识别信息,以欧盟的《通用数据保护条例》为典型。我国对生物识别信息的规制呈现碎片化,比如,网络安全法第七十六条第(五)项将公民个人生物识别信息列为个人信息的一部分;《信息安全技术个人信息安全规范》对网络安全法的规定予以确认,并直接或间接将公民个人信息再细分为敏感信息和非敏感信息,生物识别信息当属前者;民法典第一千零三十四条也直接将生物识别信息纳入公民个人信息范畴。此外,关于生物识别信息还散见在反恐怖主义法、出境入境管理法等规范性文件中。
作为敏感信息的人脸识别信息,与一般公民个人信息相比具有唯一性。一旦被侵犯将难以补救和永久持续,这也是不断加大对生物识别信息保护力度的缘由。正因如此,我国理论与实践也对人脸识别信息较一般个人信息采取更严格的保护措施,倾向扩张对人脸识别的刑法规制,更要求严禁运用人脸识别技术。人脸识别技术的运用确实对信息安全带来威胁,刑法在应对不可预知风险的规制必要性、现行规范体系在应对新型风险的解释合理性,都是需直面的问题。[22]但是,风险的泛在化、人脸识别信息的敏感性,不应成为刑法适用极端扩张化的藉口。刑法治理只是众多社会力量之一,尚需发挥社会政策、道德教化和技术措施等整合应对。
三、人脸识别刑法适用的内外限度
为平衡人脸识别技术的发展与风险控制,对人脸识别的刑法适用应保持适当限度。在外部限度上,应基于整体法秩序立场,甄别人脸识别合法与非法以及刑法与前置法的边界;在内部限度上,进入刑法评价后,涉人脸识别的不法行为在此罪与彼罪、重罪与轻罪之间亦应保持谦抑。
(一)外部限度:整体法秩序下人脸识别的违法性标准
当前我国关于人脸识别技术的运用尚无高位阶、系统性的法律规范,既有规范多为国家标准,如国家质量监督检验检疫总局、国家标准化管理委员会发布的《信息技术生物特征识别应用程序接口》《公共安全人脸识别应用图像技术要求》等。其中,《信息安全技术个人信息安全规范》为人脸识别的运用设置了一定的标准,上述规范是目前甄别人脸识别运用合法性边界的重要依据。
1.勘定人脸识别运用合法边界的基本原则。在当前具体法律规范阙如的背景下,先要确定人脸识别运用的基本原则,以此作为划定人脸识别运用合法性的总领思路。
首先,以保护法益为核心。人脸识别的运用涉及多方法益,以隐私权为例,可以洞察法益保护原则的地位。民法典第一千零三十二条表明,隐私的核心要素是安宁性和私密性。隐私是公民对社会秩序的合理期待,公民虽不能阻止行踪轨迹和言谈举止不被注意,但可以期待上述信息不被公开,这是隐私权的当然旨趣。如果一味追求商业价值和管理效率,必然导致侵害隐私行为泛滥成灾,颠覆公民对法治国的合理期待。[23]应当拒斥侵犯公民隐私权的人脸识别行为,但对某些仅有轻微法益侵害性的行为,能够带来更大社会效益,也需适度容忍,这就需借比例原则来考察。
其次,以比例原则为标尺。当人脸识别技术的运用有法益侵害性时,也需在获取效益和侵害法益之间进行衡量。若适用人脸识别技术获取的效益显著大于所侵法益,则运用人脸识别的行为可以阻却违法性。比例原则表面上与法益保护原则存在一定冲突,但归根结底还是在贯彻法益保护原则,并具有方法论意义。[24]易言之,比例原则可以为人脸识别合法性边界划定具体标准。例如,公安机关在追捕逃犯过程中适用人脸识别技术,虽然可能侵犯逃犯隐私权或个人信息,但可以保障更大的社会安全法益。然而,有些高校不仅将人脸识别应用于学校的门禁,还将其带到课堂教学中,成为监控与考勤的工具,学生的一举一动被人脸识别无死角地掌握。[25]纵然通过人脸识别监控可获得良好的授课效果和严明的课堂纪律,但是以牺牲学生隐私权利和个人信息为代价,安装人脸识别监控并无必要,逾越了比例原则的限度,不具有合法性。
再次,以同意原则为前提。同意是意思自治的灵魂,在大数据时代面对亟须保护的海量公民个人信息,更应贯彻和重塑同意原则。[26]在商业活动中,适用人脸识别技术和采集人脸识别信息,应以信息主体的知情和同意为底线。以暗设人脸识别装置等方式,未经权利人同意获取其人脸识别信息势必违法。对于虽有形式同意,但权利人并非实质自愿的,也属于不具有正当性。当前违反同意原则获取人脸识别信息大致包括下列两种类型:(1)不知“刷脸”可能对个人带来不利后果。比如,“周赛飞盗窃案”,周赛飞曾以被害人信用卡逾期,查询被害人的征信等为由,让被害人在手机上做人脸识别,在被害人不知通过人脸识别是完成贷款的认证程序的情况下,以被害人名义获取支付宝贷款,导致被害人受损。[27]该案中人脸识别的运用虽经权利人同意,但权利人的意思表示不真实,不具有合法性。(2)虽知“刷脸”会有不利后果,但迫于所处境遇难以拒绝。例如,员工虽反对人脸识别,但因害怕失去工作而被迫接受刷脸打卡。[28]
2.明确涉人脸识别行为刑事违法性的基准。违反前述三大原则的行为具有一般违法性,但进入刑事法评价仍需具有可罚的违法性,这是刑法适用外部限度的基本内涵。基于其法益侵害类型性和司法裁判现状,当前涉人脸识别犯罪包括以人脸识别为对象的犯罪和以人脸识别为工具的犯罪。前者一般构成侵犯公民个人信息罪,后者主要是财产犯罪,应以实质的法益侵害性作为判断可罚的违法性的标准。
其一,实质法益侵害性应是判断侵犯人脸识别信息行为刑事违法性的标准。
首先,通过数量不法判断实质法益侵害性。最高法、最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第一条在划定“公民个人信息”范围时并未列举生物识别信息;第五条第(四)项又将住宿信息、通信记录、健康生理信息、交易信息等列举为公民个人信息,其入罪标准为500条以上,第(五)项规定则对公民个人信息范围作兜底性规定,即兜底性公民个人信息的入罪标准为5000条以上。需要探讨的是在《解释》第一条并未列举生物识别信息的情况下,能否将生物识别信息解释为刑法上的公民个人信息?若将生物识别信息解释为刑法中的个人信息,是依据第五条中的哪一项予以处罚?笔者认为,《解释》第一条虽未列举生物识别信息,但前置法都将生物识别信息纳入公民个人信息范畴,基于整体法秩序,刑法对此不能否定,可通过第一条中“等”字,将生物识别信息列入公民个人信息。《解释》第五条是关于侵犯公民个人信息罪的入罪标准,但皆未指涉侵犯生物识别信息的数量不法标准。争议是将侵犯生物识别信息解释为第五条第(四)项的“健康生理信息”还是第(五)项的兜底性规定。若为前者,则入罪标准为500条;若为后者,则入罪标准为5000条。刑法扩张适用的观点倾向于前者,但在整体法秩序下存在规范障碍,因为《信息安全技术个人信息安全规范》将“生物识别信息”与“健康生理信息”规定为两种相互并列的公民个人信息类型。概言之,若将前置法上有互斥关系的两对概念解释为刑法上的种属关系,不仅有违逻辑,更破坏法秩序的统一性。本文认为,不能为扩张处罚便罔顾罪刑法定原则的限制,应依后者解释,其入罪不法数量应为5000条,如此既能坚守罪刑法定原则的形式侧面,也能保持刑法的谦抑性。
其次,通过特定情节判断实质法益侵害性。例如,根据《解释》第五条第(二)项规定可知,当行为人明知或者应知他人利用人脸识别信息实施犯罪,仍然向其提供人脸识别信息的,则无须数量不法亦可入罪。再如,依据第五条第(七)项规定,违法所得在5000元以上的亦构成犯罪。再次,通过法益阙如否决实质法益侵害性。若行为人获取他人的人脸识别信息已经全部失效,无法识别特定自然人,则无法益侵害性,难以构成犯罪。总之,对刑事违法性的判断不应拘囿于形式不法,关键在于是否存在实质的法益侵害性,对仅有形式不法并无实质不法的行为不应归入刑法调整。
其二,实质法益侵害性也是判断利用人脸识别侵财行为刑事违法性的标准。通常财产犯罪具有形式不法便同时具备实质不法,这也是司法解释可以确定入罪机械门槛的原因。因此,实践中以犯罪数额作为判断财产犯罪实质法益侵害性的标准。例如,“谭建洪信用卡诈骗案”,谭建洪通过欺骗的方式取得了马某的工商银行卡卡号、支付宝绑定银行卡验证码,成功将马某银行卡绑定到其正在使用的马某支付宝,后又通过欺骗的方式取得了马某支付宝的人脸识别,谭建洪于是转移马某银行卡内资金,其行为构成信用卡诈骗罪。[29]但是,对以人脸识别为手段的侵财行为,即使达到相应财产犯罪的数额标准(形式不法),但对法益并无实质侵害性时也应出罪。对此需借助实质解释的出罪功能,切实发挥我国刑法第十三条“但书”条款的出罪功能。[30]例如,行为人通过人脸识别获取他人符合构成犯罪数额的财物后立马归还于被害人。有论者以法益可恢复性理论对此类情形予以出罪化或轻罪化。[31]笔者认为,此种论断虽可便宜和宽松处理,但仍不够彻底。实际上,此类行为虽符合形式不法,但从结果无价值角度看,最终并无实质法益侵害性,即无实质不法。因之,人脸识别作为取财犯罪工具时,具体犯罪的判定也不应遵循唯数额的形式不法逻辑。
(二)内部限度:刑事法视阈下不法行为的适用方法论
涉人脸识别行为进入刑法评价后,此罪与彼罪、重罪与轻罪的界限也不明确,在个案判定中尚存理解偏差和应用困惑。
1.对增强侵犯人脸识别信息行为处罚力度的质疑。当前理论层面对侵犯人脸识别信息行为增强刑罚力度的主张主要分为两类:
其一,立法论上以专设罪名方式增加处罚力度。美国设置“盗窃个人身份识别方法罪”、韩国存在“非法处理唯一标识罪”、印度有“非法获取、转让或出售敏感个人数据罪”的预设,有学者据此认为,我国亦应考虑在刑法中增设“侵害个人身份唯一标识罪”和“盗窃个人身份罪”等。[32]应当看到,这样的立法设想并非弥补刑法规制漏洞,多因信息的敏感性和特殊性,希冀通过设置单独罪名以实现升维打击。这种立法逻辑具有较强的情绪化色彩,并不符合刑法的谦抑性立场。法定刑轻重适用可由法官在个案中通过自由裁量抉择,人脸识别信息的重要性和特殊性需要多重社会方法加以认可和保障,仅通过修改刑法无法完成上述任务,只会让刑法沦为社会管理法。因此,侵犯人脸识别信息行为通过适用侵犯公民个人信息罪足以应对,并无处罚漏洞。仅为加重法定刑便专设罪名只会使刑事立法碎片化,会动摇刑法的体系根基与权威。
其二,解释论上通过降低侵犯人脸识别信息的罪刑标准以增强刑罚力度。有学者主张,侵犯生物识别信息应解释为《解释》第五条第(十)项“其他情节严重的情形”,并创造性提出侵犯“5条及以上”的人脸识别信息为“情节严重”,侵犯“50条及以上”的人脸识别信息为“情节特别严重”。[33]概言之,若按前文解释侵犯人脸识别信息的入罪标准(情节严重)为5000条,法定刑升格标准(情节特别严重)为5万条。原本侵犯人脸识别信息低于5000条的行为无罪,而按该论者解释不仅构成犯罪,更需适用升格法定刑,实现了“两连跳”。但是,这一解释结论并无可靠依据,仅因人脸识别信息的特殊性,论据并不十分充分。笔者认为,在既有刑法体系下,将人脸识别信息解释为生理健康信息抑或将侵犯人脸识别信息行为解释为“其他情节严重的情形”,不是破坏整体法秩序,就是虚置列举条款而直接适用兜底条款,不符合罪刑法定原则的法律主义要求。实际上,人脸识别信息的特殊保护先由技术手段实现更为妥帖,例如设置人脸识别信息的有效期限、设置使用人脸识别信息的密码口令等。然后采取事先预防性法律规制,例如美国得克萨斯州法律要求对获取或储存的人脸识别信息采取合理措施,须在一年内销毁,即使有法律特别规定也只能保留一定的合理期限,违者最高可罚款2.5万美元。[34]通过加重刑罚的方法只是事后救济,既难有效挽回被害人的损失,也使行为人成为一般预防的工具。
2.利用人脸识别技术侵财行为在轻罪与重罪间的界限。当前实践中,人脸识别作为犯罪工具主要在盗窃罪、诈骗罪和信用卡骗罪之间纠葛。根据相关司法解释可知,盗窃罪的入罪标准(数额较大)一般在1000元至3000元以上,[35]而诈骗罪的入罪标准(数额较大)一般为3000元至1万元。[36]因此,同一违法所得为2000元的行为,若解释为盗窃则可能构成犯罪,若理解为诈骗则不构成犯罪。信用卡诈骗罪的入罪标准(数额较大)一般为5000元以上不满5万元,[37]且信用卡诈骗罪的法定最低刑为五年以下有期徒刑或者拘役,显著高于盗窃罪的三年以下有期徒刑、拘役或管制。为避免一味追求入罪化或重罪化而导致人脸识别技术被污名化,需甄别上述犯罪的界限。
一方面,通过隐喻推理法确定盗窃罪与诈骗罪间的界限。隐喻是以熟悉事物为船舶将陌生事实摆渡到法律规范。[38]具体到盗窃罪与诈骗罪,一般认为二者属于天然的对立关系。也有学者认为,移转型财产犯罪都可以评价为盗窃罪,即盗窃罪与诈骗罪之间也存在竞合关系。[39]无论认为盗窃罪与诈骗罪之间属于何种关系,都无法否认“处分行为”有无是区分二者的恒定标准。对“处分行为”有无的判断可运用隐喻推理法予以甄别,例如“张晓盗窃案”,张晓用被害人朱某某手机操作给被害人贷款。其间需要人脸识别,张晓就让朱某某自己识别了一下脸。当时张晓在被害人的手机支付宝蚂蚁借呗上借了1.2万元到被害人的支付宝余额里,从被害人的支付宝账号余额转账到张晓的支付宝账号里需要机主的密码和人脸识别才能转账,通过欺骗再次人脸识别成功后,张晓就将1.2万元转移到了自己的支付宝账号里。[40]该案中张晓的行为实际包含两部分,第一部分为冒用他人花呗行为,该行为理论上存在盗窃罪、贷款诈骗罪和合同诈骗罪等争议。[41]但该案中行为人冒用花呗的结果仍然是将资金转入被害人的支付宝账户,并不具有法益侵害性,该部分行为没有处罚必要性。实质侵害性在于第二部分,即转移他人支付宝内余额行为。我们可以将支付宝账户隐喻为他人钱包或口袋,私自转移他人支付宝余额与偷拿他人口袋中财物并无本质区别,皆是对被害人占有法益的侵犯,均应构成盗窃罪。再如,行为人伪造被害人3D面像骗过被害人人脸识别支付密码,进而获取被害人支付宝余额行为,支付宝作为软件(机器)并不具有被欺骗的可能性,即使通过3D面像“骗过”支付宝人脸识别系统,仍不能理解为诈骗支付宝。我们可以将3D面像比喻为私配钥匙,将支付宝比喻为保险箱,用3D面像“骗过”支付宝人脸识别系统取财与配一把钥匙打开他人保险柜窃取财物并无本质区别,均应构成盗窃罪。因此,行为人通过欺骗手段骗取被害人进行人脸识别以获取支付宝余额,若被害人不知是在进行人脸识别支付,因无处分意识,不构成诈骗罪而构成盗窃罪;若被害人知道是人脸识别支付,但误以为只是正常支付买单,而行为人却将被害人支付宝余额全部转走,因存在处分意识,应当构成诈骗罪。通过上述将“支付宝”比喻为钱包、将3D面像比喻为私配钥匙的隐喻方法,可以说明法的准确含义,例子虽为沧海一粟但可使法广泛适用,[42]可将复杂问题简单化,将陌生事物熟悉化,拉近事实与规范之间的距离,对于准确把握盗窃罪与诈骗罪的界限十分必要。
另一方面,通过整体判断法把握盗窃罪与信用卡诈骗罪之间的界限。整体判断法是帮助我们在复杂社会中轻松生活的有效手段。这种方法在刑法量刑领域早已借鉴,即全面考虑综合情节适当量刑。[43]笔者认为,信用卡诈骗罪作为诈骗罪的特殊类型,其本质上仍然需要具备处分行为。对于信用卡诈骗罪的适用,应当视银行作为独立的处分主体存在,对被骗主体进行整体判断,不再细致地考虑ATM机或柜台工作人员能否作为处分主体,否则会陷入机器能否被骗的无谓争论。无论是使用虚假信用卡、作废的信用卡或者冒用他人信用卡,被骗人或处分人都是银行,符合诈骗罪的基本构造。例如前文所述的“谭建洪信用卡诈骗案”,行为人以欺骗的方式获取被害人的人脸识别验证,登录被害人支付宝账户,最终获取的是被害人与支付宝绑定的银行卡内余额,其行为本质属于“冒用他人信用卡”,应构成信用卡诈骗罪。但是,单纯欺骗被害人通过人脸识别验证,进而登录被害人支付宝或花呗转移账户内余额行为,不存在使用信用卡的情形,欺骗被害人通过人脸识别验证是实行行为前的手段行为(预备行为),通过整体判断法可知并不存在被害人处分行为,只属于纯粹的盗窃行为。例如,“陈晓龙盗窃案”,被告人陈晓龙受邀为解某进行网络贷款,陈晓龙使用他人手机登录解某的支付宝账号开通蚂蚁借呗借款7000元,陈晓龙对解某谎称进行贷款需要人脸识别,让解某配合做了人脸识别,后成功将该笔借款转入自己的支付宝账户。[44]其行为本质不在于人脸识别的欺骗行为,关键在于秘密窃取他人账户余额,应构成盗窃罪,法院的判决对此也予以认可。
面对日新月异的新型智能技术,刑法学人肩负着不断提高法律解释能力的重任,充分发挥法律解释功能和释放法律解释活力。从涵摄到隐喻,从细致判断到整体把握,法律解释的功效被不断挖掘和深化。对人脸识别刑法适用的外部限度,以三大基本原则和双重刑事违法性为标准予以确定;对人脸识别刑法适用的内部限度,以多元的法律解释方法为导向予以甄别。充分发挥法律解释的价值,以不变的刑法教义学立场,来应对智能技术万变的现实外观。
[编辑:王新颖]
【注释】
*本文系最高人民法院2020年度司法研究重大课题《信息网络犯罪司法适用疑难问题研究》(ZG-FYZDKT202008-04)的研究成果。欧阳本祺,东南大学网络安全法治研究中心主任、教授、博士生导师;王兆利,江苏省徐州市铜山区人民检察院副检察长。
[1]参见四川省成都市郫都区人民法院刑事判决书,(2019)川0124刑初610号。
[2]参见[德]乌尔里希·齐白著:《全球风险社会与信息社会中的刑法:二十一世纪刑法模式的转换》,周遵友等译,中国法制出版社2011年版,第289页。
[3]参见邢会强:《人脸识别的法律规制》,载《比较法研究》2020年第5期。
[4]参见劳东燕:《个人数据的刑法保护模式》,载《比较法研究》2020年第5期。
[5]参见王德政:《针对生物识别信息的刑法保护:现实境遇与完善路径——以四川“人脸识别案”为切入点》,载《重庆大学学报(社会科学版)》2021年第2期。
[6]参见Selvadurai,Niloufer.Notjustafaceinthecrowd:addressingtheintrusivepotentialoftheonlineapplicationo
ffacerecognitiontechnologies.23InternationalJournalofLawandInformationTechnology187,187-201(2015).
[7]参见Lochner,SabrinaA.SavingFace:RegulatingLawEnforcement’sUseofMobile
FacialRecognitionTechnology&IrisScans.55Ariz.L.Rev.201,233(2013).
[8]参见浙江省龙游县人民法院刑事判决书,(2019)浙0825刑初163号。
[9]参见McClurg,AndrewJ.Inthefaceofdanger:Facialrecognitionandthelimitsofprivacylaw.120HarvardLawReview1870,1882(2007).
[10]参见BridgetMallon,EveryBreathYouTake,EveryMoveYouMake,I’llBeWatchingYou:
TheUseofFaceRecognitionTechnology.48VillLRev955,965(2003).
[11]参见[美]道格拉斯·胡萨克著:《过罪化及刑法的限制》,姜敏译,中国法制出版社2015年版,第18页。
[12]参见陈秋:《市场尝鲜戴口罩人脸识别》,载《经济观察报》2020年7月27日,第19版。
[13]参见CarmenAguado,FacebookorFaceBank32LoyLAEntLRev187,187(2011).
[14]参见王俊秀:《数字社会中的隐私重塑——以“人脸识别”为例》,载《探索与争鸣》2020年第2期。
[15]参见Patil,Ritika,etal.SecureonlinepaymentwithfacialrecognitionusingCNN.6?Int.Res.J.Eng.Technol.604,604(2019).
[16]参见四川省成都市郸都区人民法院刑事判决书,(2019)川0124刑初610号。
[17]参见RobertH.Thornburg,FaceRecognitionTechnology:thePotentialOrewillianImplicationsand
ConstitutionalityofCurrentusesundertheFourthAmendment.20JohnMarshallJournalofComputerandInformationLaw321,346(2002).
[18]参见CelisBueno,Claudio.Thefacerevisited:UsingDeleuzeandGuattaritoexplorethepoliticsofal
gorithmicfacerecognition.37Theory,Culture&Society73,76(2020).
[19]参见ClaudiaCuador,FromStreetPhotographytoFaceRecognition:DistinguishingbetweentheRighttoBe
SeenandtheRighttoBeRecognized.41NovaLawReview237,264(2017).
[20]参见刘艳红:《web3.0时代网络犯罪的代际特征及刑法应对》,载《环球法律评论》2020年第5期。
[21]参见刘宪权:《人工智能时代的刑事责任演变:昨天、今天、明天》,载《法学》2019年第1期。
[22]参见刘艳红:《刑法理论因应时代发展需处理好五种关系》,载《东方法学》2020年第2期。
[23]参见林凌、贺小石:《人脸识别的法律规制路径》,载《法学杂志》2020年第7期。
[24]参见张明楷:《法益保护与比例原则》,载《中国社会科学》2017年第7期。
[25]参见《高校引进人脸识别技术打造“智慧校园”惹争议》,载新浪网http://edu.sina.com.cn/gaokao/2019-09-10/doc-iicezzrq4747497.shtml。
[26]参见田野:《大数据时代知情同意原则的困境与出路——以生物资料库的个人信息保护为例》,载《法制与社会发展》2018年第6期。
[27]参见河南省翔县人民法院刑事判决书,(2018)豫0425刑初212号。
[28]参见郭春镇:《数字人权时代人脸识别技术应用的治理》,载《现代法学》2020年第4期。
[29]参见重庆市石柱土家族自治县人民法院刑事判决书,(2019)渝0240刑初247号。
[30]参见刘艳红著:《实质刑法观》(第二版),中国人民大学出版社2019年版,第161页。
[31]参见庄绪龙:《“法益可恢复性犯罪”概念之提倡》,载《中外法学》2017年第4期。
[32]参见付微明:《个人生物识别信息的法律保护模式与中国选择》,载《华东政法大学学报》2019年第6期。
[33]参见王德政:《针对生物识别信息的刑法保护:现实境遇与完善路径——以四川“人脸识别案”为切入点》,载《重庆大学学报(社会科学版)》2021年第2期。
[34]参见Chen,Y.Amy.YourFaceIsaCommodity,FiercelyContractAccordingly:RegulatingtheCapitalizationofFacial
RecognitionTechnologythroughContractLaw.34NotreDameJLEthics&Pub.Pol’y501,511(2020).
[35]最高人民法院、最高人民检察院《关于办理盗窃刑事案件适用法律若干问题的解释》第一条规定,盗窃公私财物价值1000元至3000元以上、3万元至10万元以上、30万元至50万元以上的,应当分别认定为刑法第二百六十四条规定的“数额较大”“数额巨大”“数额特别巨大”。
[36]最高人民法院、最高人民检察院《关于办理诈骗刑事案件具体应用法律若干问题的解释》第一条规定,诈骗公私财物价值3000元至1万元以上、3万元至10万元以上、50万元以上的,应当分别认定为刑法第二百六十六条规定的“数额较大”“数额巨大”“数额特别巨大”。
[37]最高人民法院、最高人民检察院《关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》第五条规定,使用伪造的信用卡、以虚假的身份证明骗领的信用卡、作废的信用卡或者冒用他人信用卡,进行信用卡诈骗活动,数额在5000元以上不满5万元的,应当认定为刑法第一百九十六条规定的“数额较大”。
[38]参见刘艳红:《网络犯罪的刑法解释空间向度研究》,载《中国法学》2019年第6期。
[39]参见曾文科:《论犯罪间重合评价的适用界限》,载《清华法学》2019年第1期。
[40]参见山西省运城市盐湖区人民法院刑事判决书,(2019)晋0802刑初408号。
[41]参见张明楷:《合同诈骗罪行为类型的边缘问题》,载《东方法学》2020年第1期。
[42]参见[英]约翰·奥斯丁著:《法理学的范围》,刘星译,北京大学出版杜2013年版,第217页。
[43]参见高铭暄主编:《中国刑法学》,中国人民大学出版社1989年版,第278页。
[44]参见安徽省六安市叶集区人民法院刑事判决书,(2019)皖1504刑初3号。
|