尚权推荐SHANGQUAN RECOMMENDATION

又是一年“两会”时。

作为中国法学会所属媒体，今年全国“两会”，《民主与法制》周刊立足主责主业，派出主力记者，集中采访法律人代表委员，努力服务法治中国建设。

从彭真委员长为《民主与法制》亲笔题写刊名的那一天起，《民主与法制》的使命就与人民代表大会、政治协商会议的性质任务高度契合。2002年1月，全国人大常委会新闻局把《民主与法制》作为宣传人大的媒体之一，从此《民主与法制》成为报道人大、宣传人大工作的重要舆论阵地。

今年的“两会”报道，我们将秉承专业、权威、深度的理念，创新内容和形式，紧紧围绕法治中国建设的热点问题，胸怀“国之大者”，站稳人民立场，对法学法律界全国人大代表和政协委员展开广泛而深入细致的采访，力争以更多的鲜活报道，展示法律人代表委员的专业、智慧、境界和情怀，陪读者度过一场精彩的“春天之约”。

众所周知，“人脸识别”是基于人的脸部特征信息进行身份识别的一种生物识别技术。作为人工智能重要的应用领域，人脸识别技术已经渗透到人们生活的方方面面，大到城市建设、疫情防控，小到手机客户端登录解锁，都少不了它的身影。

人脸识别技术为相关管理活动的开展以及个人生活带来了很多便利，借助于这一技术，验证、识别特定自然人以及对个人行动的观察和分析都变得十分容易。

遗憾的是，近年来，因公共场所“人脸识别”监控图像的不当采集利用而侵犯个人隐私的案例屡见不鲜，引发舆论争议。

全国人大代表、全国人大宪法和法律委员会副主任委员，清华大学法学院教授，最高人民法院特邀咨询员周光权

 全国人大代表、清华大学法学院教授周光权向记者介绍，近年来，制作模拟人脸模型以破解人脸识别验证的黑色产业链已相当“成熟”，而且许多软件代码已经开源，用身份证照片就可以从技术上模拟张嘴、眨眼等动作，仿真效果很高，可以骗过许多人脸识别平台。

2021年2月，清华大学Real AI研究团队利用对抗样本干扰技术，在短短15分钟时间内就成功破解了19款国内主流手机的人脸识别系统，人脸识别“易破解”的安全隐患暴露无遗。该团队破解人脸识别的过程是，先将测试人员A的人脸信息录入手机，然后测试人员B利用A的照片通过“对抗样本攻击算法”在眼部区域生成一个最佳的干扰图案，最后将干扰图案打印出来贴在镜框上并带上眼镜，即可对手机屏幕完成人脸识别破解解锁。人脸识别验证防破解能力弱，暴露了日常应用程序在人脸识别技术方面所存在的漏洞。

周光权指出：“人脸识别的大量使用也对个人数据保护带来了新的挑战。”人脸识别信息被大数据公司或各种金融平台APP过度收集、随意共享的现象广泛存在；人脸识别技术在应用中存在不少安全漏洞，具有“易破解”的很多薄弱环节，相关技术及数据被滥用的情形屡见不鲜。

“人脸识别的相关数据、信息一旦被不法分子获得，会给个人带来各种风险。”周光权说。人脸数据属于公民的生物信息，其和指纹、声纹、掌纹、基因、虹膜、耳廓等生物识别信息一样，与信息主体人格尊严之间联系更为密切，能够反映自然人独一无二、不可替代的身体特征，具有高度的人身依附性、专属性等一般信息所不具备的信息特质，对这种信息的特殊保护历来受到关注。

《中华人民共和国个人信息保护法》第28条明确将人脸识别、指纹等包含个人生物识别特征在内的个人信息作为敏感个人信息加以规定，认为其一旦被泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。如此一来，人脸识别信息就和宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息一样，成为法律重点保护的对象。

周光权表示，在现实生活中，一方面，由于个人可能将足以识别个人的肖像、身份证图片以及其他具有人身关联性的人像及风景照片等都储存在云盘上，个人对其敏感信息的保护难度加大。另一方面，人脸识别技术极易被滥用，由此导致非法获取、提供、破解人脸识别数据及关联的电信网络诈骗、非法发放及催收贷款等犯罪案件层出不穷，有的案件在定性上存在一定争议。

“因此，要全面保护敏感个人信息，《民法典》和《个人信息保护法》的作用不可低估，但刑法也一定不能缺位。”周光权坚定地表示。

“以科技为诱饵作钓鱼诈骗”“欺骗他人取得人脸识别信息”“非法抓取人脸识别信息”……近些年，涉及人脸识别技术滥用的犯罪类型主要有哪些，周光权为记者一一梳理：

近年来以“人脸识别”为噱头的诈骗案件高发。例如，被告人麦某虚构其投资人脸识别门锁项目的事实，多次骗取他人财物14万余元，法院以诈骗罪判处其有期徒刑3年10个月。

被告人侵入他人的计算机信息系统窃取大量身份证照片等，加工成人脸识别视频后非法出售的，以及为窃取个人信息而在隐秘场所安装图像采集、个人身份识别设备，并将所获取的人脸识别信息非法提供给他人的犯罪案件，在近年来人民法院的判决中占据很大比例。

欺骗他人取得人脸识别信息的犯罪。比如，曾经流行的许多“AI换脸游戏”APP，就是利用用户乐于参与游戏、毫不防备的心理，在未告知的情形下，非法采集人脸识别信息。“实务中，违背知情同意原则，欺骗他人获取人脸识别信息的案件，突出表现为行为人针对中老年人对信息的鉴别能力较弱这一现实，通过拍照等方式收集人脸识别信息的情形，使中老年人成为人脸识别信息被非法获取的一个特殊被害群体。不法分子往往以‘发福利’或者‘发赠品’的名义，诱惑被害人参与拍照、提供照片等个人信息。”周光权说。

非法抓取人脸识别信息的犯罪案件。近年来发案率较高的情形是，网络放贷平台APP借助于技术手段非法获取公民人脸识别信息后，才予以放贷，并将人脸识别信息共享给催收公司，甚至将这些信息变卖获利。

行为人将其控制的照片加工成人脸验证视频。例如，被告人将大量公民照片通过“三色技术”制作成动态人脸验证视频后出售给客户从中获利数万元。又如，张某雇佣姚某萍，并指使余某飞使用大量公民个人身份信息注册某宝账号，再使用软件将公民头像照片制作成公民3D头像，从而通过某宝（第三方支付平台）人脸识别认证。张某、姚某萍等人通过这种方式来获取某宝提供的邀请注册新某宝用户的相应红包奖励（每个新注册某宝，行为人至少可以获取28元收益）。案发后，警方从张某处查扣近2000万条公民个人信息。从2018年7月份至案发，张某共使用他人个人身份信息注册成功至少547个通过人脸识别认证的实名某宝账户，从中非法获利15316元。2019年11月18日，浙江省江山市人民法院作出一审判决，认定张某犯侵犯公民个人信息罪和诈骗罪。

通过非法手段，强迫他人“刷脸”取财、欺骗他人“刷脸”后冒名获取网贷的案件，目前也为数不少。

“此外，因为被害人的人脸识别信息被非法获取后暴露行踪轨迹，进而引发故意杀人、故意伤害、聚众斗殴的案件，在近年来也开始出现。”周光权表示。

毫无疑问，上述犯罪案件的发生，严重危及公民的人身和财产安全，极易引起大面积的社会恐慌。鉴于此，周光权认为，需要中央有关政法机关、网络安全监管部门、电信网络主管机关的高度重视，通力协作，综合施策，有效遏制涉人脸识别技术滥用的犯罪，以维护公民的合法权益，消除人民群众对新技术运用的恐慌。他建议：

（一）中央有关部门和单位应加大宣传力度，增强公民（尤其是中老年人）对其个人信息尤其是人脸识别信息的保护意识，使之认识到“生物信息是个人信息安全的最后一道防线”，对个人照片、人脸视频等坚守“非必要不提供”的立场。

“例如，对在超市门口，以顾客购物满一定金额可获赠洗衣液等礼品为名，并要求顾客在领取礼品时提供姓名、身份证号码，并用手机拍照、录制视频等方式采集被害人的肖像信息的情形，有关单位应当及时报警，公安机关应当及时出面调查核实，以防止犯罪人向被害人获取个人信息后，使用该信息办理开通、实名认证的移动通讯卡、银行卡，或者注册网络账户，以及注册某些公司开发运营的放贷APP用户等，进而实施电信网络诈骗行为。”他举例道。

（二）对于开发、提供涉及人脸识别APP的申请，网络安全监管机关必须严格审查，原则上不能再批准类似于换脸游戏APP的软件，以防止不良商家非法获取公民敏感个人信息。

（三）督促大数据公司落实信息安全监管责任。他表示，对于个人信息、计算机信息系统安全和数据完整性、可用性等法益的保护而言，刑法只是“最后手段”。“最好的社会政策是最好的刑事政策。”

对于人脸识别信息的保护，应当加强对网络公司收集人脸数据的监管，对哪些机构可以处理人脸识别信息作出更为细化的明确规定，设计相应的安全等级要求，并督促其根据《个人信息保护法》第55条关于处理敏感个人信息时，‘个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录’等规定，建立、落实敏感个人信息保护的制度体系。特别是要确保云储存与云技术中用户数据的基本安全，防止人脸识别等敏感个人信息的泄露。

除此以外，大数据公司要加强行业自律，非必要不采集人脸识别信息，仅在符合事前明示的信息处理目的的情形下，使用人脸识别数据。

（四）对于使用人脸识别系统、采集相关信息的单位，尤其是金融机构、地铁安检部门、小区文义公司、第三方支付机构、公安交通管理机关等，应当建立特别严格、完善的人脸识别信息管理、调用、处理机制。

（五）大力推进司法机关与网络服务提供者、网络安全监管机关的协作共建，在普通场所禁止使用人脸识别技术，推进网络安全机制建设，对包括人脸识别信息在内的敏感个人信息给予强有力的特殊保护。

他认为，唯其如此，才能维护网络安全秩序，进而实现对公民个人信息和财产安全的充分保护，同时促进大数据的运用，平衡好个人信息保护和数据自由流动、数据经济发展之间的关系。

（六）公安机关必须发挥打击相关犯罪的主力军作用。对于涉及大批量人脸识别信息泄露、使用的案件，公安机关应当接警必处，迅速开展侦查活动，做到件件有回音，力争实现有案必破。

（七）加大对涉及人脸识别犯罪的刑罚处罚力度。对于侵害公民个人信息，通过掌握被害人行踪轨迹侵害其人身安全，以及涉及电信诈骗等犯罪的，应当数罪并罚。对于因涉及滥用人脸识别技术构成犯罪被判刑的，原则上不适用缓刑，也轻易不适用假释；同时，对罪犯适用禁止令，以防止其在出狱后很快重操旧业、继续实施危害社会的网络犯罪行为。

“总之，在大数据时代，随着人工智能的广泛运用，人脸识别技术的频繁使用是不可阻挡的趋势。但是，人脸识别技术安全漏洞的存在以及其‘易破解’的特征，决定了涉人脸识别数据的犯罪在今后很可能有增无减，技术的运用和相关的‘黑灰产业’始终如影随形。直面这一现实，确实需要认真考虑刑法的准确规制，以及刑事政策和相关监管措施、大数据公司自律的相互协调问题。”周光权说。

来源：民主与法制周刊

作者：周光权 清华大学法学院教授