作者 | 叶东杭 广东金桥百信律师事务所合伙人律师
孟芷伊 广东金桥百信律师事务所律师助理
前不久,人大学生马某利用技术手段盗取全校学生信息,其中包括照片、姓名、学号、籍贯、生日等,并搭建了给全校学生颜值打分的网站。
有人指出,这一行为其实是 对电影《社交网站》中Facebook创始人马克·扎克伯格的模仿。据称2003年扎克伯格就读于哈佛大学期间,以黑客手段侵入学校系统,盗取了校内所有女生的资料放在自制的网站“Facemash”,此举轰动,而扎克伯格也一度差点被学校开除。
马某某和马克·扎克伯格都姓马,但是面临的处境大不相同。留校观察的扎克伯格随后创办了Facebook,举世闻名,而马某某则面临牢狱之灾。 海淀区公安分局在官方微博账号发布通报:犯罪嫌疑人马某某(男,25岁,该校毕业生)涉嫌非法获取该校部分学生个人信息等违法犯罪行为,目前已被公安机关刑事拘留。
马某某非法获取在校学生信息的行为如果查证属实,其将构成侵犯公民个人信息罪,然而回顾该案事实时,不免产生疑问:公民的“面容”是否属于个人信息?
这个问题,上海市奉贤区人民法院的刑庭法官也曾纠结过,因为他们审理的 的李开祥侵犯公民个人信息案是非常典型的因“通过技术手段窃取照片”被定罪的案件。
该案中,被告人李开祥制作一款具有非法窃取安装者相册照片功能的手机“黑客软件”,发布于暗网某论坛售卖,并伪装成“颜值检测”软件发布于某论坛供访客免费下载。用户下载安装“颜值检测”软件后,在使用时,“颜值检测”软件会自动在后台获取手机相册里的照片,并自动上传到被告人搭建的腾讯云服务器后台,从而窃取安装者相册照片,其中部分照片含有人脸信息、自然人姓名、身份证号码、联系方式、家庭住址等公民个人信息。
安装者的姓名、身份证号码、联系方式、家庭住址无疑属于刑法所保护的“公民个人信息”,但“照片中带有的人脸信息”是否应当同样位列其中,这引发了争议。
法院审理该案时认为,“人脸信息”属于刑法第二百五十三条之一规定的公民个人信息。因此,被告人非法获取他人照片的行为也应被认定为是侵犯公民个人信息的犯罪行为,具体理由如下:
第一,“人脸信息”与其他明确列举的个人信息种类均具有明显的“可识别性”特征。
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)中列举了公民个人信息种类,虽未单独列举“人脸信息”,但允许依法在列举之外认定其他形式的个人信息。
《解释》中对公民个人信息的定义及明确列举与民法典等法律规定中有关公民个人信息的认定标准一致,即将“可识别性”作为个人信息的认定标准,强调信息与信息主体之间被直接或间接识别出来的可能性。
而“人脸信息”属于生物识别信息,其具有不可更改性和唯一性,人脸与自然人个体一一对应,无需结合其他信息即可直接识别到特定自然人身份,具有极高的“可识别性”。
第二,将“人脸信息”认定为公民个人信息遵循了法秩序统一性原理。
事实上,除了《刑法》《解释》外,其他部门法也对公民个人信息作出过相关规定。
《民法典》在民事实体法领域也对个人信息的定义和具体种类作出了诠释和列举:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
《个人信息保护法》第四条也对个人信息作出了规定,“ 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。需要注意的是,《个人信息保护法》虽未明确列举个人信息的种类,也并未直接声明面部识别数据“属于个人信息”,但第六十二条又规定了国家网信部门统筹协调推进个人信息保护工作,包括“针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准”,由此可见,将人脸信息纳入个人信息范畴是符合立法目的的, 将“人脸信息”认定为公民个人信息,有助于维护法律适用的统一性。
第三,采用“颜值检测”黑客软件窃取“人脸信息”具有较大的社会危害性和刑事可罚性。
因“人脸信息”是识别特定个人的敏感信息,亦是社交属性较强、采集方便的个人信息,极易被他人直接利用或制作合成,从而破解人脸识别验证程序,易被利用于侵害隐私权、名誉权等违法行为,甚至盗窃、诈骗等犯罪行为,社会危害较大。
该案中,被告人李开祥操纵黑客软件伪装的“颜值检测”软件窃取用户自拍照片及手机相册其他存储的照片,利用了互联网平台的开放性,以不特定公众为目标,手段隐蔽、欺骗性强、窃取面广,具有明显的社会危害性,需用刑法加以规制。
当下,无论是在智能设备使用,还是互联网技术运用,人脸信息识别技术的使用都愈加频繁、深入。
以智能设备为例,face ID可以帮助使用者在不输入密码、不查验指纹的情况下直接核实设备使用者的身份,提高了设备使用的便捷度。
以移动支付技术为例,包括微信支付、支付宝在内的支付平台都已上线面部识别支付的功能(也被使用者们称为“刷脸付款”),相关技术日益健全,甚至能避免闭眼识别、相片识别,避免人脸信息被盗用。
广东省信息中心推出的政务小程序“粤省事”也上线了人脸识别功能,使用者能更便捷地使用线上政务服务。
由此可见,人脸信息不再如往日一般,仅仅是自然人社交间相互辨认的路径,而已经成为了信息网络时代公民深度使用信息网络,查验相关资料、支付结算财产,甚至办理重要事务的秘钥,一旦被盗用将会带来极大的财产损失风险,也会给社会稳定带来较大的混乱。
此外,“人脸信息”属于生物识别信息,其具有不可更改性和唯一性,人脸与自然人个体一一对应,无需结合其他信息即可直接识别到特定自然人身份,具有极高的“可识别性”,符合侵犯公民个人信息罪对公民个人信息的诠释逻辑,能够识别特定自然人身份或者反映特定自然人活动情况,也符合《解释》所强调的信息与信息主体之间被直接或间接识别出来的可能性。 因此 ,当下司法实践支持将人脸信息纳入侵 犯公 民个人信息罪所保护的对象“公民个人信息”之中 。
《刑法》对“面容”信息的保护,其实也反映了一个具有现实意义的问题:随着科学技术的进步,我们的刑事司法如何相应作出调整?
在法律适用与技术进步之间产生的不平衡、不协调,是我们每个法律人都应当关心的问题,解答或解决此问题,仅用一句“将面容信息纳入刑法保护范畴”是远远不够的。
若对法律适用的研究只是浅尝辄止,就会在实践中出现各种尴尬局面——尤其是科技飞速进步、互联网产业飞速发展的当下。
譬如,当我们承认“将面容信息纳入侵害公民个人信息罪保护对象范畴”时,我们应如何解答下面几个问题?
1.非法获取含有100人的合影照片,如果照片像素足够高,能够识别特定自然人身份,是否构成侵犯公民个人信息罪?如果构成,如何认定涉案信息数量?
2.从他人已经公开的视频中截取面容信息并提供给第三人但未形成规模,这是否属于侵犯公民个人信息罪? 如从抖音视频中截取博主面容信息提供给好友用于AI生成照片,是否属于侵犯公民个人信息罪的行为?
3.如手机中存入王俊凯的照片,他人以非法获取不特定信息的故意,在非法获取手机内个人面容照片时同时获取了王俊凯的照片,王俊凯的照片是否计入涉案信息总数?若手机中没有自己的照片只有王俊凯的照片,是否属于侵犯公民个人信息罪?
4.经过重度美图秀秀的个人照片,主体识别度已经无限接近于0,相关照片是否也纳入侵犯公民个人信息罪的保护范畴?
欢迎大家探讨、讨论!
[本文完]
叶东杭
广东金桥百信律师事务所 合伙人律师
叶东杭律师系广东金桥百信律师事务所合伙人律师、金桥百信刑事法律事务部副秘书长,新火网络法刑事辩护负责人 ,高校法学院证据法学课程校外导师,曾在华南农业大学、广东技术师范大学、韶关学院、广州新华学院等多家高校举办法律讲座。 从业期间,叶东杭律师主攻信息网络犯罪、经济犯罪、性犯罪辩护,曾在经办的多个案件中取得不起诉无强制措施释放(无罪)、缓刑、胜诉、二审改判胜诉等成果及侦查阶段取保候审、不批捕取保候审的阶段性成果。
孟芷伊
广东金桥百信律师事务所 律师助理
本科就读于中南财经政法大学,广东金桥百信律师事务所申请律师执业实习人员, 新火网 络法团队成员。曾于某大型国企工作,期间负责公司日常法律事务及法律尽职调查工作。后加入广东金桥百信律师事务所,跟办诈骗案、侵犯公民个人信息案等多起案件。
热门跟贴