尚权推荐SHANGQUAN RECOMMENDATION

一、问题的提出

 人脸识别技术在提供便捷、智能化体验的同时，其发展的不确定性也给人身、财产安全和社会稳定等方面带来前所未有的风险与挑战。例如，2018 年8 月被告人唐杰通过非法制作 3D 人脸动态图破解支付宝的人脸识别认证，最终导致受害人财产损失 2.4万余元。2021 年“3•15”晚会曝出某些商家利用人脸识别技术非法采集和滥用顾客个人信息的行为，等等。这些案件让身处大数据时代的人们深刻意识到，虽然新兴技术是中立的，但却难以实现自我设限或自我规范，基于新兴技术生成的人脸识别信息极度敏感、具有唯一性和不可更改性的特点，一旦遭到泄露、盗窃或冒用等不法侵害，往往会给当事人造成难以弥补的伤害，因而需要借助国家法律或者其他社会规范来规制技术发展、化解相关风险。

     近年来，伴随着国家的立法进程，人脸识别信息保护成为理论界和实务部门研究的热点。从中国最新颁布的《个人信息保护法》第 28 条对敏感个人信息的界定及其相较《网络安全法》第 76 条所作的文字表述和所处位置变化中可以看出，一般意义上的公民个人信息已经涵盖了人脸识别信息。毋庸置疑，在侵犯公民个人信息罪的认定上，司法机关固然需要查明违反《民法典》《个人信息保护法》等法律规定侵害个体人脸识别信息的行为，是否能够纳入《刑法》第 253 条的打击范围。但是，对于刑事违法性的判断，除了参照有关前置性法律规定之外，司法机关必须明确侵犯公民个人信息罪的保护法益，厘清人脸识别信息是否具有刑法法益保护的真实性、价值性和必要性，即是否值得刑法保护。另外，有学者提出，鉴于人脸识别信息的特殊性和重要性，非法使用这类信息的行为具有严重的法益侵害性，应当将这类行为作入罪化处理，从而实现法秩序的统一。然而，面对愈演愈烈的滥用人脸识别信息乱象，肆意扩张刑事处罚的边界，又会违反现行刑法底线保护的必要性和谦抑性。因此，在借鉴《个人信息保护法》等前置性法律规定的基础上，有必要重视个人信息本身的刑法规范目的，进行反思探讨，以此来界定刑事可罚性的合理界限。

二、人脸识别信息的属性鉴别

      随着传感器技术、大数据分析处理技术以及人工智能技术的发展，人脸识别信息这一新兴名词随之出现。根据 2018 年欧盟《通用数据保护条例》的规定，人脸识别信息是指，通过抓取人的面部特征等，进行一定技术处理后形成的能识别到特定自然人的信息。但这仅仅是从技术角度出发对人脸识别信息进行定义，没能体现出其法律属性，而立法和理论上对这一问题的回避与忽视，导致司法实践出现混乱。以“张羽、唐杰、李瑞安侵犯公民个人信息案”为例，法院最终认定被告人唐杰的行为构成非法获取计算机信息系统数据罪，而非侵犯公民个人信息罪，这是值得怀疑和探讨的：前罪被规定在“妨害社会管理秩序”部分，设立目的主要是保护数据安全，维护正常的社会管理秩序；后罪被规定在“侵犯公民人身权利、民主权利”部分，着重强调的是对公民个人法益的保护。因此，判断本案被告人唐杰非法制作 3D 人脸动态图破解支付宝的人脸识别认证这一行为性质，关键之处在于明确人脸识别信息的法律属性。

（一）不同部门法对个人信息的定义

      由于侵犯公民个人信息罪的成立以违反国家有关规定为前提，那么，在处理人脸识别信息是否值得刑法保护这一问题时，明确不同部门法关于个人信息的属性差异就显得至关重要。立足于法益保护原则和法秩序统一性的内在要求，对于本罪的认定而言，《民法典》《网络安全法》乃至《个人信息保护法》都能够为本罪法益的讨论提供有力的价值判断依据，为《刑法》保护公民个人信息划出最大边界。第一，通过比较分析《民法典》《网络安全法》和《个人信息保护法》等有关“公民个人信息”的规定，在帮助我们认识这一事物本质属性的基础上，突破传统思维局限，找出其中共性。第二，通过对比分析刑法条文的相关规定，明确个人信息的刑法保护范围，以期有效指导侵犯公民个人信息罪的司法实践。

1. 民事和行政法律规范中的有关个人信息的规定

     再次，在互联网技术蓬勃发展的背景下，新出台的《个人信息保护法》在综合多部法律规定的基础上，对公民个人信息作出最明确、简洁的定义，以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。该法强调公民个人信息属于一种个人信息权益，必须具备“可识别性”这一核心特征，将无法识别到特定自然人的信息排除在一般保护范围之外。可见，《民法典》《网络安全法》和《个人信息保护法》均着眼于人格尊严和人格自由发展的保护，强调个人信息保护的优先价值在于其之于公民个体的意义。侵犯公民个人信息的行为必然最终会指向特定个体，而通过匿名化技术处理后的信息，由于无法识别或关联到特定个体，自然就不在法律保护范围之列。

2. 刑法条文中的有关规定

      法益不是通过刑法创造出来的产物，而是由刑法进行法律层面确认的那些早已存在于人类社会生活之核心利益。在剖析“公民个人信息”这一法益的过程中，最重要的是立法者的价值判断。最先是符合宪法价值指引的“自然状态的利益”，再经过民事和行政法律规范转化成“法律状态的利益”，经过层层评判、进阶确立，最终限缩为刑法中的“法益”。而且，由于不同部门法的规范保护目的不同，对某一特定概念可能会作出不同的理解。

      为回应不断扩张“公民个人信息”保护范围的迫切需求，最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称“《办理信息案件解释》”）明确规定，公民的个人信息包括身份识别信息和虽不具有身份识别功能但能够反映特定自然人活动情况的信息，这在一定程度上有效遏制了侵犯公民个人信息的违法犯罪活动。《办理信息案件解释》着重强调个人信息对于特定主体的身份识别以及活动情况反映的影响，意在保护信息主体最基本的人身或者财产安全。这同时也意味着，侵犯公民个人信息罪的保护法益是个人信息安全，它并非单独的权利，而是一个集合概念，是由多个信息组合在一起或者个人信息与他人犯罪产生关联而形成的状态，是一种由若干个个人法益聚合在一起形成的独立法益。因此，反映特定自然人活动情况的信息由于其可能会危及公民的人身、财产安全，具有法益保护的真实性、价值性和必要性，值得刑法保护。

     相比较《刑法》而言，《个人信息保护法》作为个人信息保护领域的基础性法律，更侧重于信息处理者如何合法、正当和必要地处理个人信息。虽然这两部法律具有不同的规范目的和功能，体现在条文内容设置上也会有所区别，但是，对于侵犯公民个人信息罪之保护法益的确定而言，我们仍然是坚持在法秩序统一性的视野下，从“法律状态的利益”中推导出刑法性法益。在遵循这一事物本质属性或共性的基础上，将“可识别性”作为公民个人信息认定的实质性标准。然而，对个人信息的刑法保护而言，人格尊严和人格自由发展只是其身份属性的一部分，其背后关联的人身、财产安全才是刑法评价的核心所在。

（二）人脸识别信息属于刑法意义上的公民个人信息

      愈加成熟的人脸识别技术在移动支付、公共交通和政务管理等领域有着降本增效的显著作用，但随之而来的是，这一新技术的滥用也为个人信息安全埋下了巨大隐患。2019 年深网视界公司被曝其未对内部数据库做安全加密，导致数百万人的个人信息能够不受限制地被访问。2021 年央视播出的“3•15”晚会曝光了某些商家通过安装无感摄像头非法采集人脸特征并进行大数据分析、使用顾客个人信息的行为。面对愈演愈烈的滥用人脸识别信息乱象，我们有必要与时俱进地从理论上对其法律属性进行深度剖析，探究其被纳入刑法保护的必要性。

      第一，基于中国现有的法律规定，《民法典》《网络安全法》和《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称“《人脸识别司法解释》”）均明确规定个人生物识别信息属于公民的个人信息。2020 年实施的《信息安全技术 个人信息安全规范》也以技术文件的形式明确了公民个人信息包括诸如个人基因、指纹、耳廓、虹膜、面部识别特征等个人生物识别信息。《个人信息保护法》则在“敏感个人信息的处理规则”小节中，将生物识别信息作为敏感个人信息的一种进行特殊规制。这些均是在规范层面上对人脸识别信息的法律属性进行确认。

      第二，从人脸识别信息的性质出发，其天然具有可识别性，能够与特定自然人相联系，对公民的人格尊严、生活安宁以及财产权利造成影响。在熟人社会中，年龄、联系方式或者住址都有可能无法识别到特定自然人，但是通过人脸就能轻松确认；在陌生人社会中，即便知道前述的诸多信息，仍可能需要结合人脸信息才能更快、更准确地进行自然人的身份验证。它利用确定的、独特的个人特性进行“1 ：1”的身份识别或授权，能够直接识别到特定自然人的身份。

      第三，《刑法》将侵犯公民个人信息罪置于第四章“侵犯公民人身权利、民主权利”部分，着重强调公民个人信息保护的优先价值在于其对公民个体的意义，是否危及公民的人身、财产安全是刑法评价的核心所在。而人脸能够反映出人们喜怒哀乐的情绪，在抽象的认知层面直接与“人的尊严”相关联，以或显或隐的方式表征着人格。除此之外，人脸识别信息还能够与公民的其他信息相关联，如消费习惯、财产账户和行踪轨迹等。现有大量司法实践证明，当人脸识别信息被人们当作密码使用时，一旦该密码被泄露，不法分子就可能利用该密码从事相关财产和人身犯罪，造成信息所有人的财产权利乃至人身权利被侵害，应当引起全社会的高度警惕，对人脸识别信息采取更加严密的保护。

      综上，在遵循这一事物本质属性或共性的基础上，对于人脸识别信息而言，作为公民独一无二的生物识别信息，符合能够单独识别到特定自然人这一实质性的认定标准。并且，侵害人脸识别信息可能会对公民的人身、财产安全产生巨大威胁，必须将其作为个人信息安全法益纳入刑法保护。

      所以，在“张羽、唐杰、李瑞安侵犯公民个人信息”一案中，法院最后对被告人唐杰的行为定性为非法获取计算机信息系统数据罪，而非侵犯公民个人信息罪，是有失偏颇的。前罪旨在保护计算机信息系统安全，侧重对数据安全的保护。然而，与数据相比，信息本身更注重内容的表达。正如摩斯密码一样，它通过将点（dits）和线（dahs）这两种基础数据来进行不同的排列组合，才转化为用于交流和使用并具有表达意义的信息。而人脸识别信息则不需要进行一系列的转化，就能够直接体现出个人信息的内容本身——特定自然人，直接关联到特定自然人的人身、财产安全。因此，在明确人脸识别信息的法律属性后，将本案行为定性为对公民个人信息而非对计算机信息系统数据的侵害，才能够更准确地揭示出该行为的不法本质。

三、部分人脸识别技术的应用行为性质出现偏差

人脸识别技术的应用行为主要是识别、获取、收集、存储和使用人脸信息，而侵犯公民个人信息罪的行为方式主要限于“非法获取、出售和提供”这三类。虽然技术本身是中立的，但却难以实现自我设限或自我规范。随着人工智能的蓬勃发展，部分人脸识别技术的应用行为性质出现偏差。目前，司法实践中已经出现大量通过识别、存储和使用人脸信息来实施违法犯罪活动的案件。例如，在 2019 年，一款名为“ZA0”人工智能换脸软件上线并迅速受到玩家们的追捧，但是其背后却蕴藏着巨大风险。不法分子利用“ZA0”换脸软件的深度伪造技术对玩家们的人脸图像进行分析与处理，制作淫秽色情图片、视频等牟取不法利益。有学者认为，若仅对不法分子按侮辱罪、制作淫秽物品牟利罪定罪处罚，则没有评价对他人信息的侵害行为，造成法益保护的不周延。基于此，应当将非法使用人脸识别信息的行为纳入刑罚处罚，进而实现对其行为的全面评价。

     但是，刑法作为制裁手段最为严厉的部门法以及其他法的保障法，不可能将所有危害社会的行为均纳入刑法规制之中。对任何犯罪的认定而言，都必须从该罪的保护法益出发，在遵循罪刑法定原则的基础上对其构成要件进行合理的、实质的解释。在《个人信息保护法》出台的大背景下，这一涉及公民个人信息保护领域的综合性立法逐渐走向完善，从信息的全生命周期保护角度，对信息的获取、提供和利用等环节进行详细规定，为刑法用语的准确适用提供指引。而刑法是第二次法，与《个人信息保护法》等前置性法律规定存在相对的从属性，并不独立创设保护对象。在明确人脸识别信息属于刑法意义上的公民个人信息之后，就非法识别、存储、替换和使用人脸识别信息等高发行为而言，是否必然纳入刑法 253 条的规制范围内，这同样值得我们深入思考和研究。

四、完善人脸识别信息刑法保护的具体路径

 任何法律都有它的缺陷和不足，而我们能够做的就是解释好现有的法律规定，去适应社会生活不断发展变化的情况。借鉴《民法典》《网络安全法》和《个人信息保护法》等前置性法律规定来判断行为是否违法，是当前信息立法阶段性的胜利。但是，在面对当下人脸识别信息犯罪处于高发态势的情况下，仅仅通过民事和行政法律规范来进行规制则无法解决这一难题，如何完善人脸识别信息刑法保护的具体路径才是最为关键的破解之道。

（一）将人脸识别信息纳入《办理信息案件解释》的兜底条款中

      在中国个人信息的保护方面，立法者一向遵循传统碎片化的“概括加列举”的界定模式，从抽象和具体两方面来定义公民的个人信息。遗憾的是，《刑法》第 253 条之一的保护对象并没有明确包括人脸识别信息，这就导致人们难以认识到人脸识别信息的重要性。一般而言，仅仅被不法分子盗拍、盗摄人脸，人们一般不会意识到自己的个人信息已经被侵犯。除非这一行为间接导致自己的名誉或财产受损，人们才有可能认识到危害的严重性。并且，在司法实践中，通常是按照法益侵害原则将该情形纳入到侮辱诽谤罪、盗窃罪或者诈骗罪等后置罪名的打击范围内，而这无法实现对人脸识别信息的有效保护。

      必须承认的是，刑法条文的真实含义是在生活事实中发现的，而不是单纯从文字中发现的。具体到侵犯公民个人信息罪这一刑法条文，“公民个人信息”一词在事实的不断出现中丰富自己的内涵。虽然《办理信息案件解释》第 1 条没有明确列举人脸识别信息，但是经过前文的法律属性鉴别，应当将其列入公民个人信息的内涵之中。进一步而言，将“非法获取、出售或者提供人脸识别信息五十条以上的”解释为《办理信息案件解释》第 5 条第 1款第 10 项规定的“其他情节严重的情形”。一方面能够从定性上明确人脸识别信息的重要性，提高普通民众对这类信息的保护意识，另一方面能够为人脸识别信息犯罪的司法适用提供切实可行的操作准则。

（二）分别从行为方式和社会危害性程度对人脸识别技术的应用行为进行规制

     基于刑事制裁手段和法律后果的严厉性，刑法作为社会保障的“最后一道防线”，与民事、行政法律规范规制的不法行为在行为方式和社会危害性程度上均存在明显差异，即并非所有侵犯人脸识别信息的行为都是犯罪。刑法必须保持足够的谦抑性，只有在完全无法期待通过其他手段来进行实效性担保的时候，讨论刑罚的创设才是适当的。所以，在运用刑法规制人脸识别技术的应用行为时，应重点把握好行为方式和社会危害性程度这两方面，从而实现刑事犯罪与一般民事违法、行政违法行为的有效区分。

1. 从行为方式上进行规制

     不同于刑法将侵犯公民个人信息罪的行为方式严格限制在“非法获取、出售和提供公民个人信息”这三类，民事和行政法律规范对个人信息的保护，还包括对识别、存储、加工和使用等行为的规制，所涉范围更广。这是因为，《民法典》将个人信息作为一种新型的人格权益纳入保护，强调的是信息主体对其个人信息的“支配性”，体现了对他人主体性的尊重。在识别、存储、加工和使用信息的过程中，都极有可能造成对公民人格尊严的侵犯。因此，《民法典》对公民个人信息的保护，就必须全面考虑哪些行为有可能侵害对他人主体性的尊重等。值得注意的是，《民法典》只是对个人信息保护作出原则性规定，具体的条款规定则应当关注新出台的《个人信息保护法》和《人脸识别司法解释》。前者明确规定了个人信息的处理规则、相关主体的权利义务和法律责任，后者明确规定如何处理平等民事主体之间因使用人脸识别技术生成的人脸信息而引起的纠纷，共同为遏制愈演愈烈的涉及人脸识别信息违法犯罪打下坚实基础。

      然而，由于部分人脸识别技术的应用行为性质出现偏差，再加上人脸识别信息本身极度敏感、具有唯一性和不可更改性等特点，放大了公众对自身隐私与个人信息安全的担忧，转而期待刑法提前介入、管控安全风险。但是，我们必须明确的是，并不是所有违法处理人脸识别信息的行为，都能够成为刑法意义上的侵犯公民个人信息罪的实行行为。刑法为最后必要性规范，如果某种信息风险通过《民法典》或者《个人信息保护法》等前置性法律规定就可以防控得当，则无需动用刑法，理由如下：

      第一，结合《民法典》《个人信息保护法》和《人脸识别司法解释》等法律规定，中国已经全面构建了有关公民个人信息保护的法律体系，能够针对人脸识别信息保护发挥有效作用。第二，刑法并非只是通过侵犯公民个人信息罪来保护人脸识别信息，根据其在不同适用场景中可能侵害的法益不同，另有其他相关罪名来规制后续使用等行为，比如盗窃罪、诈骗罪或者非法利用身份证件类犯罪等。第三，设立侵犯公民个人信息罪的主要目的是保护公民的个人信息安全。刑法的优先保护目标不在于个人信息的利用价值，而是在于防止信息处理者在信息利用过程中可能会侵犯信息主体自由控制和支配其个人信息时的人身和财产安全。总之，如果违反民事或者行政法律规范等有关个人信息处理规则的使用行为没有严重侵害公民个人信息安全，其就应当被排除在刑法的规制范围之外。

2. 从行为的社会危害性程度上进行规制

     基于中国法律体系的特殊性，相同的行为类型既可以是犯罪行为也可以是违法行为，因而需要通过行为程度来区分罪与非罪。目前，中国刑法分则大多采用是否达到“情节严重”这一犯罪成立标准来区分刑事犯罪与一般违法行为。

      我们注意到，除了可能诱发侮辱罪、制作淫秽物品牟利罪等风险之外，“ZA0”换脸软件还涉嫌过度收集用户个人信息。根据《网络安全法》的一般规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则。而“ZA0”换脸软件在用户协议中规定“使用即同意”原则，其和关联公司能够永久地在全球范围内利用用户的信息等，这明显存在信息滥用、泄露风险等安全问题，已经违反了中国法律有关个人信息保护的一般规定，甚至有可能构成刑事犯罪。

     考察《办理信息案件解释》第 5 条背后的立法目的，信息数量不能单独作为判断情节严重的因素。只有同时结合信息数量与信息“可识别性”的程度，才能准确反映出一个行为是否侵害公民的个人信息安全。对于那些“可识别性”程度相对较高的个人信息，在设定入罪标准时，其入罪门槛应当相应降低，即应设定相对较少的信息数量作为“情节严重”的标准。由于人脸识别信息天然具有可识别性，能够与特定自然人相联系。行为人非法获取、出售或者提供这类信息的，其危害性显然大于侵犯一般个人信息，应当和第一级入罪门槛中的信息受到同等保护，以强化犯罪打击效果，预防犯罪蔓延。因此，如果“ZA0”换脸软件的经营者在应用人脸识别技术时，非法获取、出售或者提供人脸信息五十条以上，达到“情节严重”的入罪门槛，就可能会触犯刑事法律。总体而言，《办理信息案件解释》对本罪“情节严重”的阐释，是前置性法律规定与刑法保护的分水岭，体现了法律适用的实践理性。

一、问题的提出

 人脸识别技术在提供便捷、智能化体验的同时，其发展的不确定性也给人身、财产安全和社会稳定等方面带来前所未有的风险与挑战。例如，2018 年8 月被告人唐杰通过非法制作 3D 人脸动态图破解支付宝的人脸识别认证，最终导致受害人财产损失 2.4万余元。2021 年“3•15”晚会曝出某些商家利用人脸识别技术非法采集和滥用顾客个人信息的行为，等等。这些案件让身处大数据时代的人们深刻意识到，虽然新兴技术是中立的，但却难以实现自我设限或自我规范，基于新兴技术生成的人脸识别信息极度敏感、具有唯一性和不可更改性的特点，一旦遭到泄露、盗窃或冒用等不法侵害，往往会给当事人造成难以弥补的伤害，因而需要借助国家法律或者其他社会规范来规制技术发展、化解相关风险。

     近年来，伴随着国家的立法进程，人脸识别信息保护成为理论界和实务部门研究的热点。从中国最新颁布的《个人信息保护法》第 28 条对敏感个人信息的界定及其相较《网络安全法》第 76 条所作的文字表述和所处位置变化中可以看出，一般意义上的公民个人信息已经涵盖了人脸识别信息。毋庸置疑，在侵犯公民个人信息罪的认定上，司法机关固然需要查明违反《民法典》《个人信息保护法》等法律规定侵害个体人脸识别信息的行为，是否能够纳入《刑法》第 253 条的打击范围。但是，对于刑事违法性的判断，除了参照有关前置性法律规定之外，司法机关必须明确侵犯公民个人信息罪的保护法益，厘清人脸识别信息是否具有刑法法益保护的真实性、价值性和必要性，即是否值得刑法保护。另外，有学者提出，鉴于人脸识别信息的特殊性和重要性，非法使用这类信息的行为具有严重的法益侵害性，应当将这类行为作入罪化处理，从而实现法秩序的统一。然而，面对愈演愈烈的滥用人脸识别信息乱象，肆意扩张刑事处罚的边界，又会违反现行刑法底线保护的必要性和谦抑性。因此，在借鉴《个人信息保护法》等前置性法律规定的基础上，有必要重视个人信息本身的刑法规范目的，进行反思探讨，以此来界定刑事可罚性的合理界限。

二、人脸识别信息的属性鉴别

      随着传感器技术、大数据分析处理技术以及人工智能技术的发展，人脸识别信息这一新兴名词随之出现。根据 2018 年欧盟《通用数据保护条例》的规定，人脸识别信息是指，通过抓取人的面部特征等，进行一定技术处理后形成的能识别到特定自然人的信息。但这仅仅是从技术角度出发对人脸识别信息进行定义，没能体现出其法律属性，而立法和理论上对这一问题的回避与忽视，导致司法实践出现混乱。以“张羽、唐杰、李瑞安侵犯公民个人信息案”为例，法院最终认定被告人唐杰的行为构成非法获取计算机信息系统数据罪，而非侵犯公民个人信息罪，这是值得怀疑和探讨的：前罪被规定在“妨害社会管理秩序”部分，设立目的主要是保护数据安全，维护正常的社会管理秩序；后罪被规定在“侵犯公民人身权利、民主权利”部分，着重强调的是对公民个人法益的保护。因此，判断本案被告人唐杰非法制作 3D 人脸动态图破解支付宝的人脸识别认证这一行为性质，关键之处在于明确人脸识别信息的法律属性。

（一）不同部门法对个人信息的定义

      由于侵犯公民个人信息罪的成立以违反国家有关规定为前提，那么，在处理人脸识别信息是否值得刑法保护这一问题时，明确不同部门法关于个人信息的属性差异就显得至关重要。立足于法益保护原则和法秩序统一性的内在要求，对于本罪的认定而言，《民法典》《网络安全法》乃至《个人信息保护法》都能够为本罪法益的讨论提供有力的价值判断依据，为《刑法》保护公民个人信息划出最大边界。第一，通过比较分析《民法典》《网络安全法》和《个人信息保护法》等有关“公民个人信息”的规定，在帮助我们认识这一事物本质属性的基础上，突破传统思维局限，找出其中共性。第二，通过对比分析刑法条文的相关规定，明确个人信息的刑法保护范围，以期有效指导侵犯公民个人信息罪的司法实践。

1. 民事和行政法律规范中的有关个人信息的规定

     再次，在互联网技术蓬勃发展的背景下，新出台的《个人信息保护法》在综合多部法律规定的基础上，对公民个人信息作出最明确、简洁的定义，以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。该法强调公民个人信息属于一种个人信息权益，必须具备“可识别性”这一核心特征，将无法识别到特定自然人的信息排除在一般保护范围之外。可见，《民法典》《网络安全法》和《个人信息保护法》均着眼于人格尊严和人格自由发展的保护，强调个人信息保护的优先价值在于其之于公民个体的意义。侵犯公民个人信息的行为必然最终会指向特定个体，而通过匿名化技术处理后的信息，由于无法识别或关联到特定个体，自然就不在法律保护范围之列。

2. 刑法条文中的有关规定

      法益不是通过刑法创造出来的产物，而是由刑法进行法律层面确认的那些早已存在于人类社会生活之核心利益。在剖析“公民个人信息”这一法益的过程中，最重要的是立法者的价值判断。最先是符合宪法价值指引的“自然状态的利益”，再经过民事和行政法律规范转化成“法律状态的利益”，经过层层评判、进阶确立，最终限缩为刑法中的“法益”。而且，由于不同部门法的规范保护目的不同，对某一特定概念可能会作出不同的理解。

      为回应不断扩张“公民个人信息”保护范围的迫切需求，最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称“《办理信息案件解释》”）明确规定，公民的个人信息包括身份识别信息和虽不具有身份识别功能但能够反映特定自然人活动情况的信息，这在一定程度上有效遏制了侵犯公民个人信息的违法犯罪活动。《办理信息案件解释》着重强调个人信息对于特定主体的身份识别以及活动情况反映的影响，意在保护信息主体最基本的人身或者财产安全。这同时也意味着，侵犯公民个人信息罪的保护法益是个人信息安全，它并非单独的权利，而是一个集合概念，是由多个信息组合在一起或者个人信息与他人犯罪产生关联而形成的状态，是一种由若干个个人法益聚合在一起形成的独立法益。因此，反映特定自然人活动情况的信息由于其可能会危及公民的人身、财产安全，具有法益保护的真实性、价值性和必要性，值得刑法保护。

     相比较《刑法》而言，《个人信息保护法》作为个人信息保护领域的基础性法律，更侧重于信息处理者如何合法、正当和必要地处理个人信息。虽然这两部法律具有不同的规范目的和功能，体现在条文内容设置上也会有所区别，但是，对于侵犯公民个人信息罪之保护法益的确定而言，我们仍然是坚持在法秩序统一性的视野下，从“法律状态的利益”中推导出刑法性法益。在遵循这一事物本质属性或共性的基础上，将“可识别性”作为公民个人信息认定的实质性标准。然而，对个人信息的刑法保护而言，人格尊严和人格自由发展只是其身份属性的一部分，其背后关联的人身、财产安全才是刑法评价的核心所在。

（二）人脸识别信息属于刑法意义上的公民个人信息

      愈加成熟的人脸识别技术在移动支付、公共交通和政务管理等领域有着降本增效的显著作用，但随之而来的是，这一新技术的滥用也为个人信息安全埋下了巨大隐患。2019 年深网视界公司被曝其未对内部数据库做安全加密，导致数百万人的个人信息能够不受限制地被访问。2021 年央视播出的“3•15”晚会曝光了某些商家通过安装无感摄像头非法采集人脸特征并进行大数据分析、使用顾客个人信息的行为。面对愈演愈烈的滥用人脸识别信息乱象，我们有必要与时俱进地从理论上对其法律属性进行深度剖析，探究其被纳入刑法保护的必要性。

      第一，基于中国现有的法律规定，《民法典》《网络安全法》和《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称“《人脸识别司法解释》”）均明确规定个人生物识别信息属于公民的个人信息。2020 年实施的《信息安全技术 个人信息安全规范》也以技术文件的形式明确了公民个人信息包括诸如个人基因、指纹、耳廓、虹膜、面部识别特征等个人生物识别信息。《个人信息保护法》则在“敏感个人信息的处理规则”小节中，将生物识别信息作为敏感个人信息的一种进行特殊规制。这些均是在规范层面上对人脸识别信息的法律属性进行确认。

      第二，从人脸识别信息的性质出发，其天然具有可识别性，能够与特定自然人相联系，对公民的人格尊严、生活安宁以及财产权利造成影响。在熟人社会中，年龄、联系方式或者住址都有可能无法识别到特定自然人，但是通过人脸就能轻松确认；在陌生人社会中，即便知道前述的诸多信息，仍可能需要结合人脸信息才能更快、更准确地进行自然人的身份验证。它利用确定的、独特的个人特性进行“1 ：1”的身份识别或授权，能够直接识别到特定自然人的身份。

      第三，《刑法》将侵犯公民个人信息罪置于第四章“侵犯公民人身权利、民主权利”部分，着重强调公民个人信息保护的优先价值在于其对公民个体的意义，是否危及公民的人身、财产安全是刑法评价的核心所在。而人脸能够反映出人们喜怒哀乐的情绪，在抽象的认知层面直接与“人的尊严”相关联，以或显或隐的方式表征着人格。除此之外，人脸识别信息还能够与公民的其他信息相关联，如消费习惯、财产账户和行踪轨迹等。现有大量司法实践证明，当人脸识别信息被人们当作密码使用时，一旦该密码被泄露，不法分子就可能利用该密码从事相关财产和人身犯罪，造成信息所有人的财产权利乃至人身权利被侵害，应当引起全社会的高度警惕，对人脸识别信息采取更加严密的保护。

      综上，在遵循这一事物本质属性或共性的基础上，对于人脸识别信息而言，作为公民独一无二的生物识别信息，符合能够单独识别到特定自然人这一实质性的认定标准。并且，侵害人脸识别信息可能会对公民的人身、财产安全产生巨大威胁，必须将其作为个人信息安全法益纳入刑法保护。

      所以，在“张羽、唐杰、李瑞安侵犯公民个人信息”一案中，法院最后对被告人唐杰的行为定性为非法获取计算机信息系统数据罪，而非侵犯公民个人信息罪，是有失偏颇的。前罪旨在保护计算机信息系统安全，侧重对数据安全的保护。然而，与数据相比，信息本身更注重内容的表达。正如摩斯密码一样，它通过将点（dits）和线（dahs）这两种基础数据来进行不同的排列组合，才转化为用于交流和使用并具有表达意义的信息。而人脸识别信息则不需要进行一系列的转化，就能够直接体现出个人信息的内容本身——特定自然人，直接关联到特定自然人的人身、财产安全。因此，在明确人脸识别信息的法律属性后，将本案行为定性为对公民个人信息而非对计算机信息系统数据的侵害，才能够更准确地揭示出该行为的不法本质。

三、部分人脸识别技术的应用行为性质出现偏差

人脸识别技术的应用行为主要是识别、获取、收集、存储和使用人脸信息，而侵犯公民个人信息罪的行为方式主要限于“非法获取、出售和提供”这三类。虽然技术本身是中立的，但却难以实现自我设限或自我规范。随着人工智能的蓬勃发展，部分人脸识别技术的应用行为性质出现偏差。目前，司法实践中已经出现大量通过识别、存储和使用人脸信息来实施违法犯罪活动的案件。例如，在 2019 年，一款名为“ZA0”人工智能换脸软件上线并迅速受到玩家们的追捧，但是其背后却蕴藏着巨大风险。不法分子利用“ZA0”换脸软件的深度伪造技术对玩家们的人脸图像进行分析与处理，制作淫秽色情图片、视频等牟取不法利益。有学者认为，若仅对不法分子按侮辱罪、制作淫秽物品牟利罪定罪处罚，则没有评价对他人信息的侵害行为，造成法益保护的不周延。基于此，应当将非法使用人脸识别信息的行为纳入刑罚处罚，进而实现对其行为的全面评价。

     但是，刑法作为制裁手段最为严厉的部门法以及其他法的保障法，不可能将所有危害社会的行为均纳入刑法规制之中。对任何犯罪的认定而言，都必须从该罪的保护法益出发，在遵循罪刑法定原则的基础上对其构成要件进行合理的、实质的解释。在《个人信息保护法》出台的大背景下，这一涉及公民个人信息保护领域的综合性立法逐渐走向完善，从信息的全生命周期保护角度，对信息的获取、提供和利用等环节进行详细规定，为刑法用语的准确适用提供指引。而刑法是第二次法，与《个人信息保护法》等前置性法律规定存在相对的从属性，并不独立创设保护对象。在明确人脸识别信息属于刑法意义上的公民个人信息之后，就非法识别、存储、替换和使用人脸识别信息等高发行为而言，是否必然纳入刑法 253 条的规制范围内，这同样值得我们深入思考和研究。

四、完善人脸识别信息刑法保护的具体路径

 任何法律都有它的缺陷和不足，而我们能够做的就是解释好现有的法律规定，去适应社会生活不断发展变化的情况。借鉴《民法典》《网络安全法》和《个人信息保护法》等前置性法律规定来判断行为是否违法，是当前信息立法阶段性的胜利。但是，在面对当下人脸识别信息犯罪处于高发态势的情况下，仅仅通过民事和行政法律规范来进行规制则无法解决这一难题，如何完善人脸识别信息刑法保护的具体路径才是最为关键的破解之道。

（一）将人脸识别信息纳入《办理信息案件解释》的兜底条款中

      在中国个人信息的保护方面，立法者一向遵循传统碎片化的“概括加列举”的界定模式，从抽象和具体两方面来定义公民的个人信息。遗憾的是，《刑法》第 253 条之一的保护对象并没有明确包括人脸识别信息，这就导致人们难以认识到人脸识别信息的重要性。一般而言，仅仅被不法分子盗拍、盗摄人脸，人们一般不会意识到自己的个人信息已经被侵犯。除非这一行为间接导致自己的名誉或财产受损，人们才有可能认识到危害的严重性。并且，在司法实践中，通常是按照法益侵害原则将该情形纳入到侮辱诽谤罪、盗窃罪或者诈骗罪等后置罪名的打击范围内，而这无法实现对人脸识别信息的有效保护。

      必须承认的是，刑法条文的真实含义是在生活事实中发现的，而不是单纯从文字中发现的。具体到侵犯公民个人信息罪这一刑法条文，“公民个人信息”一词在事实的不断出现中丰富自己的内涵。虽然《办理信息案件解释》第 1 条没有明确列举人脸识别信息，但是经过前文的法律属性鉴别，应当将其列入公民个人信息的内涵之中。进一步而言，将“非法获取、出售或者提供人脸识别信息五十条以上的”解释为《办理信息案件解释》第 5 条第 1款第 10 项规定的“其他情节严重的情形”。一方面能够从定性上明确人脸识别信息的重要性，提高普通民众对这类信息的保护意识，另一方面能够为人脸识别信息犯罪的司法适用提供切实可行的操作准则。

（二）分别从行为方式和社会危害性程度对人脸识别技术的应用行为进行规制

     基于刑事制裁手段和法律后果的严厉性，刑法作为社会保障的“最后一道防线”，与民事、行政法律规范规制的不法行为在行为方式和社会危害性程度上均存在明显差异，即并非所有侵犯人脸识别信息的行为都是犯罪。刑法必须保持足够的谦抑性，只有在完全无法期待通过其他手段来进行实效性担保的时候，讨论刑罚的创设才是适当的。所以，在运用刑法规制人脸识别技术的应用行为时，应重点把握好行为方式和社会危害性程度这两方面，从而实现刑事犯罪与一般民事违法、行政违法行为的有效区分。

1. 从行为方式上进行规制

     不同于刑法将侵犯公民个人信息罪的行为方式严格限制在“非法获取、出售和提供公民个人信息”这三类，民事和行政法律规范对个人信息的保护，还包括对识别、存储、加工和使用等行为的规制，所涉范围更广。这是因为，《民法典》将个人信息作为一种新型的人格权益纳入保护，强调的是信息主体对其个人信息的“支配性”，体现了对他人主体性的尊重。在识别、存储、加工和使用信息的过程中，都极有可能造成对公民人格尊严的侵犯。因此，《民法典》对公民个人信息的保护，就必须全面考虑哪些行为有可能侵害对他人主体性的尊重等。值得注意的是，《民法典》只是对个人信息保护作出原则性规定，具体的条款规定则应当关注新出台的《个人信息保护法》和《人脸识别司法解释》。前者明确规定了个人信息的处理规则、相关主体的权利义务和法律责任，后者明确规定如何处理平等民事主体之间因使用人脸识别技术生成的人脸信息而引起的纠纷，共同为遏制愈演愈烈的涉及人脸识别信息违法犯罪打下坚实基础。

      然而，由于部分人脸识别技术的应用行为性质出现偏差，再加上人脸识别信息本身极度敏感、具有唯一性和不可更改性等特点，放大了公众对自身隐私与个人信息安全的担忧，转而期待刑法提前介入、管控安全风险。但是，我们必须明确的是，并不是所有违法处理人脸识别信息的行为，都能够成为刑法意义上的侵犯公民个人信息罪的实行行为。刑法为最后必要性规范，如果某种信息风险通过《民法典》或者《个人信息保护法》等前置性法律规定就可以防控得当，则无需动用刑法，理由如下：

      第一，结合《民法典》《个人信息保护法》和《人脸识别司法解释》等法律规定，中国已经全面构建了有关公民个人信息保护的法律体系，能够针对人脸识别信息保护发挥有效作用。第二，刑法并非只是通过侵犯公民个人信息罪来保护人脸识别信息，根据其在不同适用场景中可能侵害的法益不同，另有其他相关罪名来规制后续使用等行为，比如盗窃罪、诈骗罪或者非法利用身份证件类犯罪等。第三，设立侵犯公民个人信息罪的主要目的是保护公民的个人信息安全。刑法的优先保护目标不在于个人信息的利用价值，而是在于防止信息处理者在信息利用过程中可能会侵犯信息主体自由控制和支配其个人信息时的人身和财产安全。总之，如果违反民事或者行政法律规范等有关个人信息处理规则的使用行为没有严重侵害公民个人信息安全，其就应当被排除在刑法的规制范围之外。

2. 从行为的社会危害性程度上进行规制

     基于中国法律体系的特殊性，相同的行为类型既可以是犯罪行为也可以是违法行为，因而需要通过行为程度来区分罪与非罪。目前，中国刑法分则大多采用是否达到“情节严重”这一犯罪成立标准来区分刑事犯罪与一般违法行为。

      我们注意到，除了可能诱发侮辱罪、制作淫秽物品牟利罪等风险之外，“ZA0”换脸软件还涉嫌过度收集用户个人信息。根据《网络安全法》的一般规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则。而“ZA0”换脸软件在用户协议中规定“使用即同意”原则，其和关联公司能够永久地在全球范围内利用用户的信息等，这明显存在信息滥用、泄露风险等安全问题，已经违反了中国法律有关个人信息保护的一般规定，甚至有可能构成刑事犯罪。

     考察《办理信息案件解释》第 5 条背后的立法目的，信息数量不能单独作为判断情节严重的因素。只有同时结合信息数量与信息“可识别性”的程度，才能准确反映出一个行为是否侵害公民的个人信息安全。对于那些“可识别性”程度相对较高的个人信息，在设定入罪标准时，其入罪门槛应当相应降低，即应设定相对较少的信息数量作为“情节严重”的标准。由于人脸识别信息天然具有可识别性，能够与特定自然人相联系。行为人非法获取、出售或者提供这类信息的，其危害性显然大于侵犯一般个人信息，应当和第一级入罪门槛中的信息受到同等保护，以强化犯罪打击效果，预防犯罪蔓延。因此，如果“ZA0”换脸软件的经营者在应用人脸识别技术时，非法获取、出售或者提供人脸信息五十条以上，达到“情节严重”的入罪门槛，就可能会触犯刑事法律。总体而言，《办理信息案件解释》对本罪“情节严重”的阐释，是前置性法律规定与刑法保护的分水岭，体现了法律适用的实践理性。