杨 成，梁祝花

（四川轻化工大学，四川 自贡 643000）

随着技术的发展，大规模“刷脸”设备在我国逐渐盛行，“刷脸”在移动支付、交通出行以及小区门禁控制等生活场景中广泛应用，“便捷”已然成为人脸识别技术的代名词。与此同时，第三方插件无序、任意采集使用人脸识别信息的问题愈演愈烈，不法分子的破解花招更是层出不穷，为此，抑制人脸识别信息的非法使用已显得刻不容缓。越来越多的学者注意到人脸识别信息的滥用这一问题，围绕人脸识别技术的风险和规制、人脸识别犯罪的准确认定以及信息处理者的规范使用等方面展开了研究①参见孙道锐：《人脸识别技术的社会风险及其法律规制》，载《科学学研究》2021 年第1 期，第12-20、32 页；周光权：《涉人脸识别犯罪的关键问题》，载《比较法研究》2021 年第6 期，第13-29 页；冉克平：《如何做好个人生物识别信息的保护与监管》，载《人民论坛》2020 年第24 期，第121-123 页。。对滥用人脸识别信息行为的规制，既是世界各国都重视的问题，也是我们当前面临的滥用人脸识别技术所涉及的定罪争议问题，其立法保护任重而道远。为适应公民个人信息法律保护的国际走向，我们有必要对非法使用人脸识别信息的行为作进一步考量和探究，在遵循谦抑性原则的前提下实现个人信息更高强度的刑法保护。

一、人脸识别信息的法律保护现状

人脸识别信息具有高度人身依附性、唯一指向性等与个体身份密不可分的专属特性，相较于姓名、电话号码、通信地址等一般信息，人脸具备更强的直接识别性。那么，究竟什么是人脸识别信息呢？从国外立法来看，美国和欧盟均采取列举的方式定义生物识别信息，将面部数据作为重要的生物信息写入法律条文。美国伊利诺伊州《生物识别信息隐私法案》采取“列举+排除”式的界定，生物识别信息包括面相、指纹、声音、视网膜、虹膜等②参见张琪、肖冬梅：《我国生物识别信息界定的司法适用困境与出路》，载《图书馆论坛》2022 年第7 期，第46 页。，其中面部特征信息包括在内；欧盟《通用数据保护条例》采用“定义+列举”的方式，定义部分从技术原理、人体特征和识别目的展开，并列举了面部图像、指纹数据等③参见前注②。。查询我国现有的法律规范，人脸识别信息的内涵属性并没有明确统一的界定。在《民法典》中个人信息的种类包括生物识别信息；《个人信息保护法》把个人信息分为敏感个人信息与一般个人信息，其生物识别信息包括在敏感个人信息内；《网络安全法》则通过列举的方式将生物识别信息明确规定为个人信息④《民法典》第一千零三十四条第二款：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”《个人信息保护法》第二十八条第一款规定，敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。《网络安全法》第七十六条第五项规定，个人信息包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。。上述法律规定均未提及人脸识别信息，这就导致人们忽视了人脸识别信息的特殊重要性以及侵犯人脸识别信息的社会危害性。对于人脸识别信息来说，人脸识别技术未来还将广泛应用，而各国都面临着价值利用与权益保障的平衡协调问题。从比较法上看，西方国家和其他国家对人脸识别信息的法律保护主要分为两种。一是以欧盟为代表的统一立法模式，二是美国各州的分散立法模式。其中欧盟对人脸识别信息的使用规制总体上较为严格，《通用数据保护条例》与“108公约 + ”均规定原则上禁止处理个人敏感信息，只有在处理该类信息是法定必要的，在得到信息主体明示同意后才能处理⑤参见高仲劭：《人脸识别信息处理行为的法律规制》，载《学习论坛》2022 年第1 期，第133 页。；美国各州在 2019 年、2020 年先后颁布《监视及社区安全法令》《萨默维尔禁止人脸技术监控条例》以及《面部识别禁令》，直接禁止政府部门使用人脸识别技术⑥参见倪楠、王敏：《人脸识别技术中个人信息保护的法律规制》，载《人文杂志》2022 年第2 期，第123 页。，而在商业应用方面，更多依赖行业自律规范。

在“互联网+”场域下，人脸识别信息被大量地商业获取、跨境转移和处理，许多国家面临着利用人脸识别技术实施跨国犯罪问题。不止如此，人脸识别信息被第三方二次挖掘和利用，这种跨境使用行为容易成为国家监管的灰色地带。考察国外刑事立法，德国形成了一个以数据为中心的刑事司法规则体系，《刑法典》除了设有窥探数据罪、截获数据罪，同时还将“非法删除、限制访问数据”这种行为规定为犯罪⑦参见德国《刑法典》第202a 条窥探数据罪、第202b 条截获数据罪、第303a 条数据变更罪。，可以看出，德国刑法已经涉及信息滥用这一核心环节的个人数据保护；英国《2018 年数据保护法案》明确规定未经数据控制者同意重新识别个人数据的，构成犯罪⑧参见英国《2018 年数据保护法案》第171 条第1 款。；2020 年新加坡修改《个人数据保护法案》，新增未经匿名数据控制者同意重新识别匿名数据指向个人身份的，构成犯罪，可处2年以下监禁，或者5000 新加坡元的罚款，两者可并罚⑨参见新加坡《个人数据保护法案》（2020 年）第48F 条第1 款。。上述各国的立法表明，有关侵犯个人信息的行为类型不断细化，其刑事法网日益严密。从我国现有立法框架下来看，刑法对侵犯公民个人信息罪的行为类型规制存在“真空地带”。一方面，侵犯公民个人信息罪只惩治非法获取、提供和出售这三种上游犯罪行为，而忽略了非法持有和使用的入罪边界。另一方面，根据司法解释的规定，人脸识别信息并未在明确列举的个人信息中，因此其只能归属于第二类的“其他可能影响人身、财产安全的公民个人信息”范畴，适用更高的入罪门槛⑩根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款第四项的规定，非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的，达到“情节严重”程度，构成犯罪。，这对于打击个人信息犯罪行为十分不利，势必使侵犯公民个人信息罪处于被动的附随地位。基于此，我国刑法与他法缺乏有效且合理的衔接，更加周延地保护个人信息的主张很难得到落实。民法和行政法对人脸识别信息的泄漏和滥用有一定的监管空间，但面对不当滥用人脸识别信息愈演愈烈之势，很大程度上仍需要依靠刑法托底进行惩治，从而做到有效的事前预防与事后制裁。

二、人脸识别信息使用权限的划分

人脸识别信息的价值和利益具有多元性，背后体现的是个体属性与社会属性的融合，二者既相互关联又相互转化，在无法对潜在风险做到有效事前预防和事后补救的情况下，海量人脸识别信息的极速跨境流转时刻威胁着主体的信息安全。

（一）信息主体对人脸识别信息的控制权

信息主体有权决定是否以及在何种程度上披露、共享和使用人脸识别信息。换言之，公民对自己的人脸识别信息享有自主控制的权利，包含对其信息的分享、传播、用途、使用方式、使用程度的自主决定与知情同意。人脸识别信息一旦泄露便无法挽回，对信息主体造成持续且不可逆的终身损害，其风险甚至是难以估量的。人脸识别技术能够在远距离、无接触条件下自动捕获人脸，通过隐蔽手段批量获取并利用面部信息的行为无法留下痕迹 ，跨境流转增加了公民获取证据的难度，致使滥用行为恣意猖獗。由于人脸普遍暴露在各种公共场所，公民经常在毫无察觉的情况下被采集人脸识别信息，即使首次授权同意后，对于后续其信息的流转滥用也难以有效监管。特别是数据的深度挖掘应用，人脸识别信息可一键转变为电子数据，侵犯个人信息越发呈现规模化特征，而被侵害者分散、个人维权成本高、举证能力有限等因素使得补救措施步履维艰。在门禁控制、检票进站、打卡签到等诸多生活场景中，我们经常被要求“刷脸”，若拒绝“刷脸”，则基本上无法进入相关场所或使用相关服务。例如“我国人脸识别第一案”，2019 年4 月，郭兵在杭州野生动物世界购买了一张双人年卡，留下了个人指纹等身份信息方便入园。随后动物园将入园方式更改为人脸验证，并群发短信通知用户激活人脸信息，否则将无法正常入园。2019 年10 月，郭某向人民法院提起诉讼，认为人脸识别信息属于私人敏感数据，园方强制“刷脸”应属无效，请求删除相关信息并赔偿费用。一审法院判令杭州野生动物世界删除郭某在办理年卡时提交的面部特征信息，并赔偿相应损失⑪参见浙江省杭州市富阳区人民法院（2019）浙0111 民初6971 号民事判决书。。随处可见的APP 过度授权、强制授权等实则超过了信息主体的自主控制范围，比如一些租赁类APP 在没有面部识别和信息录入的情况下，便无法进入界面，用户面临着用隐私换取便利或者得不到服务的两难境地，此时用户的同意还具有效力吗？“知情同意原则”是许多国家关于使用公民个人信息的共同规范，但对于两方力量的悬殊，很难说信息主体同意的意思是真实且没有瑕疵的，更像是一种“被迫自愿”的同意。当然，个人也并不享有对人脸识别信息绝对的支配权，应协调平衡好数据产业发展与个人信息保护之间的矛盾，做到符合比例原则。

（二）信息处理者对人脸识别信息的使用权

就人脸识别信息的处理者而言，政府机构把人脸识别技术广泛用于公共场所的监控场景，同时企业也不断挖掘使用，将身份验证运用到我们的日常生活中，以加强监控和提高管理效率等⑫参见杜嘉雯、皮勇：《人工智能时代生物识别信息刑法保护的国际视野与中国立场——从“人脸识别技术”应用下滥用信息问题切入》，载《河北法学》2022 年第1 期，第158 页。。无处不在的“刷脸”不禁让人担忧，人脸识别是必要的唯一验证方式吗？我的“脸”会被盗刷吗？如果被盗刷了，应当如何补救？在这种情况下，如何确保人脸识别技术应用以及面部数据安全，就成了一个关键性问题。首先，公共主体与商业主体应受到不同的使用限制。在我国，无论是政府、社区还是商家，都存在任意安装人脸识别技术的现象，以提高效率为名变相强制人们“刷脸”验证。如若不服，则投诉无门，只能对簿公堂，但诉讼成本高昂。因此，对于公共机关而言，只有在涉及国家安全与严重犯罪的情形下，可以未经信息主体同意使用该类信息。而对于企业来说，人脸识别信息的使用必须与特定的商品或服务直接相关，并且对实现商品和服务的功能和内容至关重要。美国加州在通过的《人脸识别技术法案》中强调，对于政府部门的使用规制，主要是任意使用、特许使用以及禁止使用三种制度并存。商业主体采集人脸识别信息时，应当告知信息主体使用目的并取得其同意。其次，个人面部信息的使用是否合理，必须根据特定情况下的一些因素来评估。2021 年7 月，我国最高人民法院公布了一份专门针对人脸识别应用的法律文件，明确规定了在突发公共事件、紧急情况和维护公共安全等情形下信息处理者不承担民事责任。面对个人利益与公共利益交错的情形，我们理当更加明确信息处理者使用人脸识别信息的场景，从而避免造成难以挽回的危害结果。更应严格把控刑法介入的程度，有必要从法益平衡的角度出发，依据人脸识别信息在不同场景中所涉及的权益统筹考量，为科学的刑事立法提供正确的指引。最后，对于人脸识别信息的使用应持谨慎态度，在特定情况下收集的人脸识别信息不应将其运用到其他场景中。比如说，学校运用人脸识别技术组织验证学生考试信息，在此场景下，人脸识别信息的收集和使用行为以身份识别验证为目的，这无可厚非。但是，此后学校又将上述场景下收集到的人脸识别信息来控制学生进出校园，甚至监控学生的课堂学习状况，这一行为显然超出了合理使用的必要范围。

三、非法使用人脸识别信息的犯罪化问题

数字化办公与社交使得人脸识别信息被滥用的负面影响迅速扩大，如果不严格规制人脸识别技术，将会使不法分子利用境外网站逃避监管，对公民的人身安全与财产安全造成极大的危害，故而有必要重新审视使用人脸识别信息所产生的的法律问题。

（一）人脸识别技术过度应用的社会危害性

在人工智能发展如火如荼的形势下，公民个人信息的输送利用日益打破国家与地域的限制，实现了数据的高度互联互通，而被潜在风险裹挟的人脸识别信息的滥用、无序使用已经严重威胁到公民人身和财产安全，保护好自己的“脸”似乎变得越来越难。

1.助长侵犯个人信息的黑灰产业链

人脸识别在创造技术红利的同时，其非法运用也引发了不可忽视的社会治理风险。目前，利用人脸识别技术获取暴利的黑灰产业已经越来越猖狂。在某些黑色交易平台上，大批量的面部照片标价极低，6000 余张的用户人脸照，甚至还不到10 块钱，不法分子将购买到的照片制作成动态视频，从而骗过后台认证环节。面对这项新技术，黑客们早已按捺不住，虚假验证行为恣意猖獗，并逐渐形成“过脸”产业。他们在微信、微博、QQ 等平台上发布人脸信息兜售业务，等待买家提出具体的“刷脸”要求，通过淘宝、咸鱼等电商平台购买人脸识别信息和身份证照片，将这些信息技术加工形成虚假的人脸验证视频，然后将其高价卖出，或者将二者打包成商品，连同“人脸活化”工具及教程一起售卖，最终买家通过手机APP 上的人脸识别验证，将这些实名账号用于“薅羊毛”、出售牟利、“刷单”等。例如在张富、余杭飞等侵犯公民个人信息罪一案中，被告为牟取非法利益，将非法获取的公民个人信息，通过软件技术将公民头像照片制作成3D 头像，从而完成新人的支付宝人脸识别认证，再利用这种方式来获取邀请注册新用户的相应红包奖励⑬参见浙江省衢州市中级人民法院（2019）浙08 刑终333 号刑事裁定书。。伴随着网络实名制的推行，过去的单项身份认证变成了现在的双重实人认证，而黑灰产业的核心资源也从数据流量转向了人脸识别信息。一旦人脸成为账户登入或支付口令时，人脸信息相当于密码，很容易通过远程“刷脸”被非法使用，造成不知情情况下的人身损害及财产损失⑭参见胡凌：《刷脸：身份制度、个人信息与法律规制》，载《法学家》2021 年第2 期，第52 页。。非法使用环节将前端的获取、出售、提供公民个人信息的非法侵害具体化，滋长了收集人脸识别信息的上游活动。非法使用他人人脸识别信息的行为并非为孤立的犯罪链条，该行为又与下游的敲诈勒索、盗窃等一系列犯罪交织在一起，使得个人信息犯罪圈成为完美闭环。独立来看，如若司法机关未掌握下游的犯罪证据，对非法使用人脸识别信息行为的制约也将化为泡影。

2.加剧针对信息主体的精准犯罪风险

人脸识别信息具备专属性、直接识别性、不可匿名性等特质，可以直接关联用户的个人身份、行踪轨迹等其他敏感信息，不法分子可利用人脸识别信息精确勾勒出用户画像，看准个体的人身与财产“对症下药”，信息主体的权益极容易被侵犯。在数字经济时代，信息使用者众多，侵害人脸识别信息的主体也愈发多元，而该类信息可囊括与个人身份相关的其他信息，为不法分子针对个体犯罪提供了便利，而被收集人脸识别信息的我们都可能成为受害者。当下，规模庞大且复杂的信息跨境流动逐渐成为常态，以致利用人脸识别信息实施犯罪呈现出高发频发态势，大量的网络诈骗和敲诈勒索犯罪屡禁不止。此类案件危害性极大，由于超强的隐蔽性，破案更是难上加难，由此给受害者造成了不可挽回的损害。在日常生活中，许多商家在消费者不知情的情况下使用摄像头采集用户面部数据，商家可基于收集到的人脸信息分析用户资料，形成线上与线下对消费者的全过程监控，针对用户进行精准营销，甚至大数据杀熟。实际上，国外早在2017 年就出现了一款AI 换脸应用程序，利用“深度伪造”技术换脸当红明星，其伪造加工的多个色情视频在网上迅速传播开来⑮参见王禄生：《论“深度伪造”智能技术的一体化规制》，载《东方法学》2019 年第6 期，第58 页。，对个人权益造成极大威胁。这种“越轨”后的人脸识别技术给个人工作与生活带来了诸多困扰，用户不仅仅要面临无休止的商业推广轰炸，更是对网络诈骗防不胜防。近年来，不法分子依据人脸识别信息顺藤摸瓜，精准挖掘出信息主体的详细信息，对下手对象可以说是了如指掌，受害者一步步陷入为其量身打造的圈套，上当受骗，造成的损失巨大。相比以往诈骗的随机性，如今可凭借大数据和人脸识别技术，将获取的海量个人数据筛选、分类，诈骗者因此做到目标明确，从而更高效实施大面积的精准诈骗。各种利用人脸识别技术的欺骗性手段不仅挑战着包括企业、社会组织乃至国家的认证能力，而且对于像个“透明人”的受害者来说几乎无路可逃，导致信息主体为便捷和智能发展中的潜在风险而“买单”。

（二）我国非法使用人脸识别信息的治理困境

从域外法治的现实情况可知，美国与欧盟在立法上对于人脸识别信息保护有较为完备的立法体系，但目前我国刑法对人脸识别信息的保护力度不足，导致对非法使用人脸识别信息行为的管制陷入失灵的窘境。

1.上游犯罪无法涵盖非法使用行为

人脸识别信息的非法使用是信息黑灰产业链中最关键的输出环节，但未被侵犯公民个人信息罪的现有规定涵盖在内。首先，侵犯公民个人信息罪的行为方式只局限于信息收集环节，对于非法使用这一行为类型，刑法不进行单独评价。从犯罪阶段来看，非法获取、出售和提供行为都处于个人信息黑灰产业链的上游阶段，而非法使用行为处于下游，侵犯公民个人信息罪无法将其纳入现有评价体系。其次，使用行为是信息掌握者对他人人脸识别信息的支配与操纵，而获取、出售和提供则是双方或多方主体之间对人脸识别信息的收集和转移，存在本质上的区别，无法通过司法解释的方式将使用行为纳入目前所列举的行为类型之中。最后，作为极其敏感的面部识别信息，具有唯一指向性、不易变更性等特征，其重要性远大于普通的公民个人信息，但人脸识别信息并未在法条明确列举的公民个人信息中。处在人工智能的发展风口，侵害人脸识别信息的新型手段不断涌现，而使用行为对信息主体具有直接侵害性，适用最高的入罪标准与非法使用人脸信息的严重危害性不匹配，容易造成罪责刑不相适应，立法对个人信息的保护显然滞后。在现代信息场域下，滥用个人信息不再以非法获取他人信息为前提条件，并且不当滥用人脸识别信息的侵害远远大于非法获取行为。获取行为分为“合法获取”和“非法获取”，合法获取他人信息后的合法使用行为是合法的，自然不属于刑法的规制范畴，而非法获取后的使用行为无论合法与否都被纳入侵犯公民个人信息罪的处罚范围。但在司法实务中，往往可能会因非法获取人脸识别信息的行为未达到入罪标准但非法使用行为已侵害他人权益，对此刑法几乎无力应对，这也造成侵犯公民个人信息罪的处罚漏洞，弱化了对人脸识别信息的保护，令不法分子有机可乘。

2.下游犯罪无法打击非法使用行为

针对个人信息黑色产业链的末端，目前我国刑事法律主要通过惩处下游犯罪以期达到打击非法使用人脸识别信息行为的附随效果。例如，非法使用他人人脸识别信息进行实名认证，进而在网络上实施诈骗，此时定诈骗罪可以处理危害结果，但却忽视了对信息主体的个人信息权的保护。这种应对进路过于被动，存在本质上的固有缺陷。第一，这种以末端打击非法利用人脸识别信息行为的刑事制裁制度，强调的是追溯性的惩罚，而不是事前主动的预防。一旦人脸识别信息被用于极其严重的违法犯罪活动，损失就难以弥补，甚至可能永久存续。第二，非法使用人脸识别信息的行为使得前端的非法获取、提供或出售滋生蔓延，同时又帮助后续的盗窃、诈骗等犯罪活动，该行为具有单独评价的意义。值得讨论的情况是，行为人合法取得他人人脸识别信息，但在非法使用的过程中不触犯其他罪名，非法使用行为应当如何处理？就现有适用的罪名来看，没有具体罪名可以来应对严重的非法使用人脸信息行为，下游犯罪所保护的法益也并不是公民的个人信息权益，因此不能准确揭示该行为的不法本质。比如，行为人将合法获得的他人面部信息通过AI 换脸制作合成大量淫秽视频，基于现行刑法评价，合法获取但非法使用他人人脸信息不构成侵犯公民个人信息罪，根据营利目的和侵害程度，构成传播淫秽物品牟利罪或者传播淫秽物品罪。显然，犯罪人侵犯他人人脸识别信息的行为没有受到谴责，信息主体独自承担着该行为所带来的侵害结果，这种仅两端的负面评价机制明显是不充分的。为此，对于涉敏感信息的案件逐一认定人脸识别信息的数量，对于确保准确评价滥用行为完全必要。

四、非法使用人脸识别信息行为的入罪化思考

滥用人脸识别信息的现象愈演愈烈，各国都在着力探索其法律规制路径，我们有必要探索公民个人信息法律保护的基本走向，对个人信息的保护标准提出更高的要求，研究非法使用人脸识别信息这一行为入罪的必要性，破解人脸识别信息非法使用的治理困境。

（一）增加侵犯公民个人信息罪的行为方式

当前刑法只对非法获取、提供以及出售个人信息的行为处以刑事责任，相对而言，对前述非法使用个人信息的行为则出现了防范漏洞。如仅非法持有他人人脸信息是否构成侵犯公民个人信息罪？侵犯公民个人信息罪属于情节犯，对非法持有个人信息的行为进行单独评价，自然不具有合理性。司法机关过早介入其中，反而会使敏感的人脸识别信息被迫公开，背离保护公民个人信息的初衷。侵犯公民个人信息罪是刑法规范体系下为保护公民个人信息最主要的罪名，对于规制有关人脸识别信息的新兴犯罪迫在眉睫，为应对“非法使用”行为带来的危机与风险，理应对该罪的相关法律规定和司法解释进行修改。其一，将人脸识别信息解释为公民个人信息，明确列举个人信息的种类。人工智能纵深发展，信息传播方式随之变化，人脸识别信息作为可识别特定自然人的敏感信息，是公民个人信息在网络空间的新的呈现方式，在解释公民个人信息的内涵时，应将人脸识别信息归入其中，以适应逐渐扩张的公民个人信息的范围，因此可以将其归于第二类可能影响公民人身、财产的信息。一方面，它能够从定义上肯定人脸识别信息的特殊性与重要性，使信息处理者和公民提高对此类信息的保护意识；另一方面，它可以明确在司法实务中的入罪界限，对使用人脸识别信息实施相关犯罪的行为形成有效威慑与制约。其二，通过前述对域外立法的考察，可以看出大多数国家都规制了“非法使用”这一行为。因非法使用行为不包括在侵犯公民个人信息罪的行为方式中，司法解释也无法涵盖该类方式。因此只能通过制定刑法修正案的方式，在侵犯公民个人信息罪中增加“非法使用”这一行为方式，与非法获取、非法出售和非法提供三种行为并列，使其共同由侵犯公民个人信息罪进行规制⑯参见刘仁文：《论非法使用公民个人信息行为的入罪》，载《法学论坛》2019 年第6 期，第125 页。。非法获取后的使用行为已经被本罪从源头进行规制，所以这里所讨论的“非法使用”行为是以合法获取为前提的，而“非法使用”行为相较于“非法获取、出售、提供”行为的法益侵害性更强，理应从重处罚。因此，应当将“非法使用”行为添加到《刑法》第二百五十三条之一第二款的罪状中，该条款即修改为“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售、提供给他人的，或者非法使用的，依照前款的规定从重处罚”。

（二）完善侵犯公民个人信息罪“情节严重”的认定标准

只有准确把握“情节严重”，才能为侵犯公民个人信息罪提供有力的司法保障。相较于刑法明确列举的信息种类，人脸识别信息一旦被非法利用，不仅容易引发绑架、诈骗等侵害人身财产的犯罪，还可能对公共利益乃至国家安全造成严重威胁，我们理应对“情节严重”作进一步的解释说明，适当降低针对面部信息的法定升格刑数量，以满足公众对人脸识别信息保护的期许。我国刑事立法对公民个人信息实行梯度性保护，为不同种类的信息设置了从严到宽的入罪数量标准，由于人脸识别信息泄漏带来的不可逆转性，有必要对其采用更为严格的认定标准。具体而言，可以将“非法获取、提供、出售及使用人脸识别信息5 条以上”认定为“情节严重”，将“非法获取、提供、出售及使用人脸识别信息50 条及以上”认定为“情节特别严重”，由此实现对人脸识别信息的特殊刑法保护⑰参见王德政：《针对生物识别信息的刑法保护：现实境遇与完善路径——以四川“人脸识别案”为切入点》，载《重庆大学学报（社会科学版）》2021 年第2 期，第141 页。。从犯罪情节考虑，人脸识别信息的应用场景多样，且难以绝对量化，单纯依靠信息数量无法完全抑制侵害行为，比如，借助前沿科技手段而异化出来的深度伪造型犯罪。根据相关司法解释的规定，“情节严重”与“情节特别严重”的认定标准包括涉案信息用途、行为次数、实际危害后果等综合要素，这些标准能够为非法使用行为的入罪提供参考。在解释“情节严重”时可以根据行为恶劣程度，列举如恶意滥用、欺诈冒用、擅自允许第三方参与使用、改变目的或方式使用等，用以界分一般不当使用信息行为⑱参见刘双阳、李川：《大数据时代个人信息法益刑法保护的应然转向——以规制非法使用个人信息为重点》，载《重庆大学学报（社会科学版）》2022 年第6 期，第238 页。。与此同时，明确列举非法使用行为给信息主体或社会秩序造成严重后果的情形，并认定为本罪的“情节严重”。如使用他人人脸识别信息破解身份验证，盗刷银行卡造成他人重大财产损失；深度伪造他人面部信息使受害者身体或精神状况受到严重影响。“过脸”产业极易引发信息网络秩序混乱，同时引发重大违法行为与其他犯罪，唯有明确司法实践中的入罪尺度，才能实现惩戒犯罪与发展技术的二者平衡，强化公民个人信息保护。

结语

在这个科技日新月异的时代，人脸识别应用场景持续拓展丰富，“刷脸”消费、“刷脸”取件、“刷脸”测温等，成了许多人再熟悉不过的常规操作。随着面部信息潜在价值的持续发掘，伴随产生的风险也逐渐增多，非法使用人脸识别信息的犯罪愈发严重且迅速蔓延，如何对其进行有效防治已然成为信息社会的重大命题。国外对人脸识别信息保护的相关制度和研究能提供给我国借鉴的思路，尤其是如果仍僵化适用侵犯公民个人信息罪，或者必须达到下游入罪门槛才进行惩治，势必难以从根本上预防与制裁此类危害行为。因此必须进行路径转换，完善侵犯公民个人信息罪，明确侵害公民人脸信息的行为界限。基于人脸识别信息的超强保护必要性，对“情节严重”的认定标准进行更新与完善，有效回应新时代的司法需求。