张怡铭

摘 要：虚假“刷脸”验证行为，根据目的不同，可分为注册账号型和冒用身份型。注册账号型“刷脸”行为已形成黑灰产业链，经营“过脸”业务因没有违反国家规定而不构成非法经营罪;虚假“刷脸”行为因干扰了计算机信息系统的识别和正常运行，可能构成破坏计算机信息系统罪;上下游倒卖人脸信息、实名账号的行为，可能构成侵犯公民个人信息罪。冒用身份型“刷脸”转移资金行为，存在盗窃罪与诈骗罪的定性争议，关键看行为人有无“对技术的支配力”，如果行为人完全支配了系统运行，则以盗窃罪论处;手段行为如构成破坏计算机信息系统罪，与盗窃罪成立牵连犯，择一重罪论处。

关键词：人脸识别 破坏计算机信息系统罪 非法获取计算机信息系统数据罪 盗骗交织

人脸识别技术具有非接触、速度快、准度高、无感知等特点，被广泛应用于交通安检、支付转账、换脸娱乐，甚至精准营销等场景。[1]同时，人脸信息属于个人敏感信息，具有唯一性和不可更改性，一旦泄露或者不当利用，后果将不堪设想。从杭州富阳野生动物园“人脸识别第一案”[2]到2021年“3·15”晚会曝光知名企业秘密采集人脸信息[3]，从手机APP强制捆绑索取人脸信息[4]到“颜值检测”软件肆意访问照片[5]，人脸识别技术从最初的备受追捧、广泛运用，到现今的“刷脸忧虑”、限制收集，技术的滥用不断挑战公众的认知，并逐渐显露刑事犯罪端倪。本文结合案例，试对虚假“刷脸”验证行为的性质作一分析。

一、问题的提出

（一）典型案例

笔者在“中国裁判文书网”“北大法宝”两个网站以“人脸”“人像”“识别”“验证”“刑事案件”为关键词进行检索，选取了4个具有代表性的案例，分别为田某纪、张某男非法获取计算机信息系统数据案，张某富、余某飞等人侵犯公民个人信息、诈骗案，苟某、张某破坏计算机信息系统案和张某羽、唐某杰等人侵犯公民个人信息案。

[案例一]被告人田某纪在某手机银行APP内使用虚假身份信息注册账户。其先输入本人身份信息，进入到了人脸识别验证环节，利用抓包软件拦截该官方数据包并保存，后输入需要注册的身份信息，释放拦截的数据包，使系统误以为要验证的是其本人的人脸信息，遂用本人人脸通过银行系统的人脸比对，成功注册银行账户76个，并将上述账户信息卖给被告人张某男等人，非法获利人民币共计22010元。[6]

[案例二]被告人张某富、余某飞等人利用已非法获取的公民个人信息，使用软件将公民头像照片制作成3D头像，从而通过支付宝人脸识别认证，注册新用户获取红包奖励，非法获利人民币共计30324元。[7]

[案例三]苟某、张某为帮助客户完成“珍爱网”账号的实名注册，根据该客户要求的年龄段，在此前非法获取的公民个人信息中寻找匹配信息，并通过“CA8”“VACM”软件制作虚拟人像，顺利“骗过”系统验证，随后将实名认证的公民个人信息共计194条出售给该客户，从中非法获利人民币共计19514元。

[案例四]被告人唐某杰专门提供支付宝人脸识别认证服务。唐某杰受委托破解支付宝对唐某账号的限制，在获取了唐某的支付宝账户信息后，伙同被告人张某羽通过制作3D人脸动态图、伪造手持身份证等方式，解除了唐某账号的登录限制和资金冻结，将该账户内2.4万余元非法转移。[8]

根据行为目的不同，上述案件可以分为两类：一类是注册账号型，即使用虚假的人脸识别信息通过实名认证，从而批量注册账号用以出售牟利或“薅羊毛”，例如案例一、二、三;另一类是冒用身份型，即有针对性地伪造目标用户的人脸识别信息，通过系统的身份认证，从而窃取账户内财物、盗取快递[9]等，例如案例四。注册账号型案件呈现犯罪链条化、产业化特点，如何准确定性虚假“刷脸”验证行为，如何界定上下游犯罪之间关系，值得研究。冒用身份型案件呈现“盗骗交织”特点，存在“机器能否被骗”、手段行为与目的行为之间牵连以何罪认定等问题，下文将一一论证。

（二）“过脸”产业形成

随着实名认证的发展，人脸识别成为诸多网站注册账户的必经步骤。在利益驱使下，形成了专门进行人脸实名认证的产业，简称“过脸”产业。“过脸工作室”在网络上发布信息兜售“过脸”业务，等待“需求人群”提出具体的“过脸”要求，向“身份证资源商”购买公民身份证信息（如手持照和正反照），经过技术加工顺利通过系统的人脸识别，将已实名认证的账号出售给“需求人群”获利，最终这些实名账号被用于“薅羊毛”、出售牟利、刷单等黑灰产。

二、注册账号型虚假“刷臉”验证行为的定性

（一）经营“过脸”业务是否构成非法经营罪

有偿帮助他人进行人脸识别验证的行为是否构成非法经营罪存在争议。肯定者认为，首先，该行为违反了关于实名制的国家规定。根据《中华人民共和国网络安全法》（以下简称《网络安全法》）第24条规定，网络运营者提供网络服务的前提是要求用户提供真实身份信息，而虚假人脸验证没有提供真实身份信息。其次，该行为违反了“经营性互联网信息服务”的国家规定。依照《互联网信息服务管理办法》，国家对经营性互联网信息服务实行许可制度，对非经营性互联网信息服务实行备案制度。提供“刷脸”验证服务也属于经营性互联网信息服务，未经许可不得从事。[10]

笔者不同意上述观点。首先，该行为没有违反实名制的国家规定。《网络安全法》第24条规定的是网络运营者的义务，并非是对公民个人规定的义务，因此公民在注册账号时没有提供真实身份信息，不能认为违反该条规定。其次，该行为不属于经营性互联网信息服务。根据《互联网信息服务管理办法》第19条、第20条规定，经营性互联网信息服务提供者的处罚措施包括“责令关闭网站”，由此可以推知经营性互联网信息服务主要指专营各类网站的信息服务。公民个人提供的有偿人脸识别认证服务，并非是专营网站等服务活动，而是一种虚假注册行为，不属于须经国家许可的互联网信息服务。最后，虽然虚假人脸识别注册账号的行为具有严重社会危害性，但“法无明文规定不为罪”，该行为不符合非法经营罪的构罪要件，不应以该罪论处。

（二）该行为可能构成侵害计算机信息系统类犯罪

1.非法获取计算机信息系统数据罪之检视。案例一中，法院判决被告人田某纪等人构成非法获取计算机信息系统数据罪。判决书中写到，“被告人田某纪违反国家规定，采用非法手段获取银行计算机信息系统中传输的数据，已达到情节特别严重的标准”，构成非法获取计算机信息系统数据罪。遗憾的是，判决书未指出获取的数据究竟为何。如果理解为被告人本人的人脸数据，中途“拦截并保存”即为“获取”，那么逻辑上存在一些矛盾。因为被告人每次拦截的均是其个人的人脸识别数据，内容具有同一性，能否认定获取不同数据存在争议。况且，拦截和保存数据只是中间过程，最终目的是释放数据包骗过人脸验证，能否认为“获取”亦有不同理解。如果将犯罪对象理解为最终成功注册的银行账户数据，也存在逻辑不通之处，因为该账户信息并非系统中存在的，而是行为人自己注册的，不属于“传输中数据”的语义范围。

相较于非法获取计算机信息系统数据罪的指向不明，非法控制计算机信息系统罪从罪状描述来看更贴近案情。但该罪的追诉标准为“非法控制计算机信息系统20台以上的”，主要规制的是黑客利用各种木马程序、后门程序侵入计算机信息系统后，不破坏计算机信息系统的原有功能或者数据，而是通过对他人计算机信息系统进行非法控制实施特定操作的行为，例如组建“僵尸网络”攻击网站、弹出广告、推广流氓软件，严重扰乱网络管理秩序。[11]回归本案，虽然行为人对人脸识别程序施加了外力掌控，但还达不到对整个计算机信息系统的控制程度，且数量也达不到20台的标准，因此，不构成非法控制计算机信息系统罪。

值得说明的是，为人脸识别提供技术、程序是否构成提供侵入、非法控制计算机信息系统程序、工具罪，关键是看该程序是否专门用于侵入、非法控制计算机信息系统。“专门”体现为程序、工具本身用途的非法性，如果某款程序、工具在功能设计上决定其只能用来非法控制、非法获取数据，那么就属于本罪范畴。案例一中行为人使用的抓包程序，属于专门用于非法控制计算机信息系统的程序，提供该程序符合本罪的构成要件。案例二和案例三行为人使用的制作3D人脸头像的技术，该技术既可能被用于合法目的（经本人授权后供娱乐、制作视频使用），也可能被用于非法目的（未经授权突破人脸验证），不符合“专门”要件，提供改程序不构成本罪。当然，如果明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，可以本罪论处。

2.破坏计算机信息系统罪之检视。该行为是否符合破坏计算机信息系统罪的构成要件存在争议。一种观点认为，该行为修改了用户身份认证的数据包，是对计算机信息系统数据的修改，触犯了刑法第286条第2款规定。另一种观点认为不构成犯罪。理由是从立法目的、体系解释及罪责刑相适应等方面考量，影响计算机信息系统的正常运行是本罪的应有之义，而行为人利用虚假的人脸图像骗过验证的行为，没有造成计算机系统的不能运行，因此不构成本罪。

笔者不同意上述两种观点。事实上，该行为违反了刑法第286条第1款之规定，构成破坏计算机信息系统罪。首先，本案情形更符合对计算机信息系统的破坏，应当适用第1款规定。前三个案例中，行为人并非是对计算机信息系统中“存储、处理或者传输”的数据或应用程序进行破坏，因为验证前后并未更改系统中存储的人脸数据。该行为本质上是在对计算机信息系统进行干扰，致使网站无法做出正确的人脸识别，侵犯的是计算机信息系统的运行安全。其次，该行为造成了计算机系统不能正常运行的后果。计算机信息系统是人为设计的一套程序规则，体现了人的意志和目标。虽然上述案例中，人脸識别程序依然在运转，但运行规则已然违背了开发者的设计初衷（实名核验用户身份），也破坏了网站的运行秩序。因此，判断计算机信息系统能否正常运行，不能仅从技术角度来衡量，还应从系统设定目的来分析，干扰计算机信息正常运行无法达到设计目的，符合破坏计算机信息系统罪的构成要件。最后，“后果严重”可通过“违法所得5000元以上”来判断。但需注意，违法所得须为虚假“刷脸”验证行为的对价，并非是其他行为的对价。例如案例一和案例三中，行为人的获利来源于虚假注册行为，可以认定为本罪中的“违法所得”;而案例二中，行为人的获利来源于后续诈骗支付宝优惠的行为，因此该获利不能认定为本罪中的“违法所得”。

（三）上下游犯罪可能构成侵犯公民个人信息罪

“过脸”产业的上游是资源商提供公民个人信息，下游是出售账号牟利或“薅羊毛”等。从上游资源商处购买公民个人信息的行为，涉嫌侵犯公民个人信息罪。根据2017年“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第4条规定，采取购买的非法方法获取公民个人信息的行为，应当构成侵犯公民个人信息罪。对于下游倒卖恶意注册账号的行为是否构成侵犯公民个人信息罪，关键在于判断该网络账号是否属于“公民个人信息”，看其能否单独或者与其他信息结合识别特定自然人身份。

三、冒用身份型虚假“刷脸”验证行为的定性

案例四中，行为人制作了被害人的人脸动态图，解封了支付宝账号并从中转移走了资金。整个行为分为手段行为（解封账号）和目的行为（转移资金），如何定性存在以下三方面争议。

（一）手段行为是否单独构罪

经上文分析，该行为可能构成破坏计算机信息系统罪，即通过伪造3D人脸动图，干扰支付宝系统正确识别本人身份，导致计算机系统无法按照设定者意志正常运行，当后果达到一定严重程度时，构成本罪。如果行为达不到后果严重，可以考虑构成帮助信息网络犯罪活动罪。客观上，账号解封为网络犯罪活动提供了源头支持和帮助;主观上，需要考察行为人是否明知他人解封账号是为了实施违法犯罪活动。对于“明知”的认定，一是不需要行为人对正犯所实施的特定犯罪有准确的认知，但必须认知到正犯实施的行为构成刑法上的犯罪;二是行为人必须对正犯所实施犯罪的事实达到确定或者至少是高度盖然性的明知程度。[12]例如，全国首例“微信解封”入刑案，被告人高某在解封操作中看到系统提示该微信号涉嫌诈骗，仍然为其解封;在收款银行卡因涉嫌诈骗被查封后，仍然在利益驱使下继续解封，可以认定其主观“明知”，应以帮助信息网络犯罪活动罪定罪处罚。

（二）目的行为定性为盗窃罪还是诈骗罪

通过平台、程序转移资金的侵财犯罪呈现盗骗交织的特点，核心争议在于“机器能否被骗”。支持“机器不能被骗”的学者认为，诈骗是人与人之间的“沟通”，由于机器不具有人的意识，更不具有“认识错误”或“处分意识”，因此不能被骗。支持“机器可以被骗”的学者认为，机器、程序承载了人的意志，行为人利用技术手段突破验证，违反了机器背后的设计者预先设定的意思，从而欺骗了机器背后的人。

上述两种观点均有可取之处，但在信息技术高速发展的当下，人的表达和行动越来越离不开自动化机器的辅助，人与机器的简单二分已经不可能，单从“机器能否被骗”的标准出发，似乎过于绝对和一刀切。在此基础上，笔者认为，区分网络空间的盗窃罪与诈骗罪关键看“人对技术的支配力”。[13]诈骗罪成立的前提是受骗人具有识别能力和避免陷入错误认识的可能性。如果受骗人没有识别能力（例如欺骗幼童手中的财物定盗窃罪而非诈骗罪），则不可能构成诈骗罪。同理，如果行为人采取技术手段完全掌控了机器的运行流程，机器只能输出确定结果，此时机器已丧失了识别能力，不具备成立诈骗罪的前提，应当以盗窃罪论处。案例四中，行为人利用网站预设的固定流程（人脸验证成功即可转移资金），完全支配了计算机程序，最终在用户不知情的情况下秘密转移了账户内资金，应当构成盗窃罪。

（三）手段行为与目的行为之间关系

手段行为是利用伪造的人脸动态图进入被害人支付宝账户，可能构成破坏计算机信息系统数据罪或者帮助信息网络犯罪活动罪;目的行为是从被害人账户中转移资金，可能构成盗窃罪。手段行为与目的行为之间罪名如何适用，涉及到刑法第287条的理解问题。一种观点认为，该条属于提示性规定，提示司法工作者注意识别披着“网络犯罪”外衣的传统犯罪，行为人以危害计算机信息系统安全为手段实施犯罪，应当以其实质构成的犯罪定罪处罚。另一种观点认为，对于手段行为确实构成犯罪的，不能一律排除该类罪名的适用，应当结合具体案情，适用牵连犯、想象竞合犯或者数罪并罚原理定罪处罚。[14]最高人民检察院指导性案例第35号“曾兴亮、王玉生破坏计算机信息系统案”认为，锁定他人智能手机导致不能使用，以解锁为条件索要钱财，手段行为构成的破坏计算机信息系统罪与目的行为构成的敲诈勒索罪之间成立牵连犯，应当从一重罪处断。因此，不宜将刑法第287条中的“依照本法规定定罪处罚”机械理解为“依照目的行为构成的犯罪定罪处罚”，而应结合具体案情，适用牵连犯规定处罚。

案例四中，首先判断手段行为是否构成破坏计算机信息系统罪。由于行为人只针对被害人一个账户破解人脸验证，因此没有达到10台以上计算机信息系统不能正常运行的标准。再看违法所得，是指基于删除、增加、修改或非法获取行为本身所产生的违法所得，而不是在非法占有目的支配下的直接取财所得。行为人通过人脸识别方式转移资金，没有因此获得报酬，而是通过秘密转移的行为非法占有他人财物，因此不构成破坏计算机信息系统罪，只构成盗窃罪一罪。在手段行为不构罪的情况下，以目的行为盗窃罪一罪论处即可。如果手段行为达到构罪标准，此时符合牵连犯的特征，在破坏计算机信息系统罪和盗窃罪中择一重罪论处。

近年来，利用人脸识别技术实施违法犯罪的行为不断增多，并逐渐形成“过脸”黑灰产业链。针对虚假“刷脸”验证、注册账号、转移资金等行为，运用刑法准确定性、有效规制，无疑是必要的。然而，刑法并非万能，黑灰产业链的治理不能过度依赖刑事规制，仍需多管齐下，标本兼治。通过建构完备的法律规范体系，明确人脸信息收集处理应当遵循的基本原则，加强对恶意注册账号等黑灰产业链的源头监控，平台网站也应肩负起信息保护的责任，最终实现“科技向善”的目标。

[1] 参见邢会强：《人脸识别的法律规制》，《比较法研究》2020年第5期。

[2] 参见《删除照片！全国“人脸识别第一案”终审判了》，中央政法委长安剑微信公众号https：//mp.weixin.qq.com/s/zUAfuimtyzTjN0JKkMZiNg，最后访问日期：2021年11月13日。

[3] 参见《3·15晚会曝光|科勒卫浴、宝马、MaxMara商店安装人脸识别摄像头，海量人脸信息已被搜集！》，央视网https：//news.cctv.com/2021/03/15/ARTIieo9QjynMSXTVDb224QE210315.shtml？spm=C94212.Ps9fhYPqOdBU.S51378.9，最后访问日期：2021年11月13日。

[4] 参见《人脸识别时代，该如何说“不”》，最高人民检察院微信公众号https：//mp.weixin.qq.com/s/rGW1grEA-EkNJzIETkVsUA，最后访问日期：2021年11月13日。

[5] 参见《公诉现场|利用“颜值检测”软件窃取公民个人信息，判了！》，上海检察微信公众号https：//mp.weixin.qq.com/s/1PgFp3qhj1iaxNg_oU5MGA，最后访问日期：2021年11月13日。

[6] 参见福建省厦门市思明区人民法院刑事判决书，（2019）闽0203刑初890号。

[7] 参见浙江省衢州市中级人民法院刑事裁定书，（2019）浙08刑终333号。

[8] 参见四川省成都市郫都区人民法院刑事判决书，（2019）川0124刑初610号。

[9] 浙江一小学生采用一张照片就破解了丰巢快递柜的“刷脸取件”系统，使民众对人脸识别技术安全性产生担忧。参见林曦、汪海晏、王丹阳等：《小学生都能轻松破解BUG，人脸识别如何不被“打脸”？》，金羊网https：//news.ycwb.com/2019-10/18/content_30359578.htm，最后访问日期：2021年11月13日。

[10] 参见周光权：《刑法软性解释的限制与增设妨害业务罪》，《中外法学》2019年第4期。

[11] 参见陈国庆、韩耀元、吴峤滨：《〈关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释〉理解与适用》，《人民检察》2011年第20期。

[12] 参见劳东燕：《首例“微信号解封”入罪案的刑法分析》，人民检察微信公众号https：//mp.weixin.qq.com/s/3BjmDbRYkdWu3StoW-oobQ，最后访问日期：2021年11月13日。

[13] 参见孔忠愿、彭奕：《利用系統漏洞“薅羊毛”的刑法学分析——以肯德基羊毛案为例》，悄悄法律人微信公众号https：//mp.weixin.qq.com/s/YzhGmIssTSRaOkqK1EWpdA，最后访问日期：2021年11月13日。

[14] 参见李玉萍：《关于利用计算机实施犯罪的定罪处罚问题初探》，《人民法院报》2020年12月10日。

1346501705304