原创 陈瑞 武东方 上海市法学会 东方法学 收录于合集 #新兴权利 11个

大数据时代下人脸识别技术的发展与应用中会涌现诸多风险，除民法、行政法等前置法治理途径外，刑法作为规制人脸识别技术的后手途径，需要在不同维度作出回应，互联网平台也应重视运用人脸识别技术时所面对的刑事风险。在刑法规制的前提性维度上，由于人脸识别技术本身较为复杂，必须对这一技术的运行、应用与相关规范进行解读。在刑法规制的必要性维度上，在于技术中立与法益保护具有冲突，且前置法的效果不足，刑法在保护涉人脸识别技术犯罪行为侵犯的法益方面具有优势，基于法益类型对于人脸识别技术的犯罪样态进行类型化界分后，准确适用刑法分则罪名，从而实现刑法规制这一技术的应有效果。

一、问题的提出

2021年7月28日，最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称《规定》），对因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息的行为，所引发的民事纠纷中如何进行法律适用进行了规定。但对于人脸识别技术的刑法规制而言，一方面，基于法益保护的立场，刑法有无规制人脸识别技术应用的必要，如何寻求这一技术应用与个人信息保护之间的平衡困难重重；另一方面，与人脸识别技术应用相关的行为模式较多，如何准确界定涉人脸识别技术犯罪行为所适用的罪名，也给司法实务带来了诸多困惑。本文拟通过对不法利用人脸识别技术的行为模式以及刑事法应对途径进行论证，明确定罪量刑标准，以期对理论与实务有所裨益，也希冀能对相关互联网信息处理平台及从业者可能面临的刑事风险，予以规避。

二、刑法规制的前提性维度：技术、应用与规范

（一）

人脸识别技术的技术维度

1.人脸识别技术的概念厘清

早在1888年和1910年高尔顿（Galton）就在《Nature》杂志发表了两篇关于利用人脸进行身份识别的文章，介绍了人脸识别技术的生物基础、操作流程以及识别效果等内容。近年来，人脸识别技术广泛普及，人脸识别技术的应用范围也在不断深化，引发了社会各界人士的广泛关注，因而逐渐显露了一系列的问题。法律规范往往具有一定的滞后性，鉴于人脸识别技术在法学领域出现较晚，计算机学科对于该类技术的研究较为成熟，且法学领域内也未对何为人脸识别技术进行明确定义。笔者选取了计算机学科对于人脸识别技术的定义，作为对人脸识别技术概念：人脸识别技术是一种给定一个场景的静态图像或动态视频，利用存储有若干已知身份的人脸图像的数据库，验证和鉴别场景中单个或者多个人的身份的技术。

2.人脸识别的技术特征解读

人脸识别技术在身份鉴别、人机交互和图像库检索等广泛的领域中有着重要的应用价值。但对于该技术的理解并不应仅限于识别功能，其运行机制包括人脸检测、人脸跟踪、人脸识别三个过程。其操作流程如下：

步骤一，人脸检测：采用参考模板法、基于几何特征的人脸识别方法、神经网络法、肤色模型法、三维模型法等各种方法，在动态的场景与复杂的背景中，判断是否存在人脸并分离出人脸。

步骤二，人脸跟踪：采用基于模型的方法或基于运动与模型相结合的方法对被检测到的人脸进行动态目标跟踪，有时也采用肤色模型法对人脸进行目标跟踪。

步骤三，人脸识别：即狭义的识别，作为人脸识别技术中的一个过程，又叫人脸对比。人脸识别分为两类：一类是人脸确认（1:1），通过一对一进行图像比对的过程，验证你是不是某人的问题；另一类是人脸辨认（1：N），一对多进行图像匹配比对的过程，回答某人是谁的问题。一般而言，人脸识别常用的技术有特征向量法与面纹模板法两种。

（二）

人脸识别技术的应用维度

1.人脸识别具有丰富的应用场景

人脸识别技术具有丰富的应用场景，从行业领域来看，目前该技术已经在智慧安防、智慧金融、手机娱乐、医疗卫生等行业广泛应用，其中在智慧安防领域中的应用最为广泛，约占人脸识别行业应用场景市场的70％。也正是其广泛的应用场景，也带来了极具规模的市场。人脸识别技术广阔的应用场景催生相关行业的发展。首先，人脸识别技术行业创新推动相关技术专利申请量猛增；其次，由于其逐渐增强的变现能力，吸引众多投资者入局该行业，在加剧行业竞争的同时，也使得这一领域的投融资力度增强；此外，由于近年人脸识别行业已在底层技术基础支撑、核心技术创新和下游应用之间建立初步产业链条，我国也出现了代表性的相关企业。以上种种迹象都充分表明，目前人脸识别技术的发展日新月异且“未来可期”，但机遇与风险并存，伴随着相关行业发展，诸多问题也开始浮现。

2.人脸识别技术在应用中的风险分析

人脸识别技术运用于提升社会治安水平，无可厚非，但目前来看，这一技术有被滥用的趋势。一方面，人脸识别技术的应用过度且无序。不仅在公共治理领域，目前很多互联网平台、线下商家或小区基于分析顾客需求、方便等原因也开始利用这一技术进行人脸信息收集、客户特征分析或将其作为出入门禁证明。对于个人而言，人脸信息具有唯一与不可更改特点，在非必要的场合运用人脸识别技术对人脸信息进行收集与处理，极易造成个人隐私的侵犯和其他严重后果。人脸数据具有不可更换性，因为我们无法换脸，一旦泄露就是终身泄露，即便采取法律手段维权成功，也难以恢复原状。因此，如何对人脸识技术的应用场景进行限制是我们所面临的第一个问题，尽管我国已经出台了一些针对性的规范和相关制度对滥用人脸识别技术的行为予以规制，但目前来看，其效果并不明显，相关风险依旧存在。数量庞大的人脸信息被通过各种途径卖出，尤其在无人售卖、支付等领域，而后被卖家用于各种非法用途，用户与平台都会面临产生巨大经济损失的潜在风险。

（三）

人脸识别技术的规范维度

1.我国法律法规层面的规范：软法先行

从我国的相关立法来看，无论是2016年颁布的网络安全法还是2020年颁布的民法典，都未对如何进行人脸识别进行规定。全国信息技术标准化技术委员会提出并归口的《信息技术生物特征识别应用程序接口》、公安部《公共安全人脸识别应用图像技术要求》、中国支付清算协会于2020年1月20日印发实施的《人脸识别线下支付行业自律公约（试行）》等文件，都属于目前专门针对信息技术生物特征识别或人脸识别技术作出的规定。

此外，关于人脸识别技术的规定也散见于其他各单位发布的文件之中。如中国人民银行2020年2月31日发布的《个人金融信息保护技术规范》将生物识别信息列为敏感性最高的C3类信息，并要求金融机构不应委托或授权无金融业相关资质的机构收集C3类信息；全国信息安全标准化技术委员会2020年3月6日发布《信息安全技术个人信息安全规范》，明确规定个人生物识别信息属于个人敏感信息，并对个人敏感信息进行了特殊保护。

2.域外法律法规层面的规范：分散立法与统一禁止

美国对于人脸识别技术采取了分散立法模式。分散式的特点，主要体现在两个方面：一方面是联邦层面尚未制定专门的法律规制人脸识别数据的收集和使用，由于各州独立立法权的存在，已有一些州通过立法约束人脸识别技术的应用，在华盛顿州和加利福尼亚州甚至还引入了专门的人脸识别立法；另一方面，在已经进行人脸识别技术限制使用的部分州，其限制的目标更多的是防止人脸识别技术被政府滥用，对于商业使用人脸识别的行为的约束则较为宽松。例如旧金山城市监督委员会颁布的反监控条例，主要内容也是禁止警察和其他政府机构使用人脸识别技术，但对于商业用途的人脸识别技术的应用则给予较大空间。

在2019年12月欧盟的《人工智能白皮书（草案）》中，欧盟委员会曾尝试对公共或私人机构在公共场所使用人脸识别技术进行3至5年的禁止。但《人工智能白皮书》正式版在2020年2月份出台后，欧盟委员会未能抵抗外界压力，删除了上述关于人脸识别技术的禁止性规定。这也体现了欧盟“统一禁止模式”的松动，对人脸识别技术的态度逐渐趋于缓和。

通过对国内外关于人脸识别技术规制的模式进行比较，可以看出人脸识别技术的应用在世界范围内都逐渐进入一种“管控式发展”的状态。我国的法律规范给人脸识别技术留下了充足的发展空间，并未在立法中分散管理或完全禁止，更像是一种先发展后规制的模式。但《规定》的出台以及个人信息保护法也提醒我们：人脸识别技术不受监管的时代已经过去，相关技术带来的法律风险正在加强，但作为最严厉的制裁手段，刑法对人脸识别技术的规制有无必要性，则需要审慎考虑。

三、刑法规制的必要性维度：基于法益保护的立场分析

（一）

技术发展自由与法益保护之间具有冲突

根据技术中立理论，技术在本质上具有中立属性，技术的作用效果、实施意图并非技术所具有的特性，而是技术实施者所欲形成的结果，在这一结果实现过程中，技术仅仅属于纯粹的工具。这一观点在我国学术和实务界也引发了诸多讨论，甚至据此发展出“菜刀理论”，以这一观点支持技术无罪，反对法律对技术的监管。在人脸识别技术的发展过程中，技术的创新与发展对社会带来正面效应或者负面效应，需要结合技术使用者的目的来进行判断，技术本身似乎处于一种中立的姿态，但技术在创新或应用时往往被赋予一定的价值取向，一味地坚持技术中立的观点，必然会产生技术发展自由与法益侵犯之间的冲突问题。

人脸识别技术的发展与应用会带来“正向效应”，如民众生活便利（无人零售），企业的生产销售增长（客户分析）与优化政府的社会治理（智慧安防）。但带来诸多正向效应的前提是，这一技术被有序地、合法地使用。正如前文提到，人脸识别技术有着丰富的应用场景，对其创新与应用加以支持，能够助力社会治理、产业发展、生活便利。而且，大数据时代下，信息是当代社会最重要的生产要素，是数字经济的生命之源，数据与信息的互惠分享是互联网赖以生存的基础生态规则，人脸信息的互惠分享也应该被允许。因此，如果仅从正向效应的角度而言，人脸识别技术的创新与使用在不同场景下的应用对于现代社会必不可缺，对于该技术创新和使用是创业者和用户的自由，应当加以保障。

但是，当技术被大规模市场化运用时，很难坚守自身的中立性，人脸识别技术应用于现实时，往往会因为使用者的主观目的，只逐利而忽略其他。根据权利不得滥用原则，无论是基于社会治理还是产业发展目的，人脸识别技术的发展和应用应是自由的，这种自由以不侵犯他人的权利为限，一旦越过了这一界限，则产生负面效应，可能构成违法犯罪。这些负面效应可能作用于不同方面，如未经同意收集人脸信息造成隐私的侵犯；提供人脸信息帮助他人进行下游犯罪、绕开或攻击人脸识别系统侵犯财产安全等。基于这样的考虑，先进技术因不法分子滥用而很难保持中立性，法律则必须积极主动地对滥用人脸识别技术的行为进行规制，以防止法益受损。

（二）

前置法对人脸识别技术的规制存在不足

在智能制造时代，人脸识别技术的运用，避免了输入密码、记忆密码之烦。目前人脸识别技术不断更新升级，相应技术体系已经较为完备，相比之下，人脸识别技术的规范之路却显得任重而道远。刑法作为一种最严厉的规制方式，是作为保障法而存在，仅当前置法的社会治理效果有所不怠时，始能发挥效用。这就意味着刑法并不能率先用于回应社会乱象，仅当不法行为达到刑事可罚性的程度，在法益侵害程度上表现较为强烈时，才能对这一不法行为进行刑事制裁。因此，刑法规制人脸识别技术的必要性，需要结合前置法规制效果进行分析。

以往人脸识别技术常通过民事途径加以救济，以民法中的侵权责任来对行为人的行为进行追责，但仅追究民事责任具有局限性。一方面，民事维权途径困难，在现实生活中，由于个人受生产生活制约，被迫接受这一技术已成习惯，群众采取司法途径进行维权概率较小，即使相对人未经授权滥用人脸信息，由于相关技术具有一定的专业性，人脸识别技术如何侵犯到个人权益也具有高度的隐蔽性。民事诉讼要求谁主张谁举证，权利受损方无法及时收集获取证据，可见民事维权途径保护社会大众的整体利益功能性较弱。另一方面，民事途径进行维权，诉讼程序繁琐、时间成本高昂，况且民法偏重侵害结果发生后的补偿，但因人脸识别技术造成的信息损失难以具体量化，无法确定准确的赔偿数额，法院也难以作出使被侵害者满意的判决。

如前文述及，我国已经存在部分前置法，尤其是民法的角度对人脸识别行为进行规制，效果并不明显，人脸识别技术滥用现象依然严重，人脸信息数据泄露案件也时常发生。因而考量刑事手段规制人脸识别技术的必要性不言而喻，对于权利人来说则更为“便利”与“便宜”，公权力侦查、诉讼、判决，权利人不必考虑维权成本的负担，从而能够提升维权积极性。在前置法规制作用失范的前提下，也是刑法面对科技发展风险的必要之举。

（三）

涉人脸识别技术法益保护的具体类型

法益具有指导刑法解释的方法论机能，只有明确人脸技术应用中可能牵涉到的刑法保护的法益，才能够进一步解释以刑法规制这一技术的目的。法益即法律认可并保护的利益，根据我国刑法13条的但书规定，并非具有法益侵害性的不法行为都要纳入刑事制裁的范围内，这一不法行为的法益侵害程度需要满足刑事可罚性的要求，方能作为犯罪处理。

对人脸识别技术在应用中所牵涉的法益进行识别，可以将其类型分为如下三种：一是人脸信息本身所承载的利益是否可以上升为法益，二是人脸信息所牵涉的其他财产性利益，三是以技术手段破解人脸识别技术可能侵犯的法益。其一，人脸信息作为特定个体重要的生物信息，具有较高的可识别性，属于较为重要的个人信息，我们不可以忽视人脸信息属于最重要的个人信息类型之一，在侵犯公民个人信息已经入罪的今天，人脸信息无疑是一种更为重要，应当纳入个人信息保护的刑法体系中进行保护。其二，由于人脸信息的特异性，人脸信息往往作为密码信息用于实体平台的与虚拟平台的身份验证，从而享受仅属于人脸信息权利人的专属权利，对人脸信息进行非法利用，往往会造成权利人或平台的巨额损失。其三，在互联网时代，人脸识别技术作为一种计算机技术，从属于计算机系统，鉴于网络技术的复杂性，对人脸识别技术进行破解的行为可能还影响了计算机系统的安全秩序，可能牵涉到计算机信息系统安全这一法益。

而从法益保护的角度对人脸识别技术所涉法益进行分析，可以发现，尽管作为新兴技术出现并应用，但其牵涉的法益与传统罪名所保护的法益具有关联性，这也为人脸识别技术刑法的刑法规制提供了体系支撑，进一步证明了其必要性。而刑法具体应当如何具体应对，应依据涉人脸识别技术的犯罪行为侵犯的法益不同进行具体认定。

四、刑法规制的可行性维度：涉人脸识别技术犯罪行为适用罪名的准确认定

通过人脸识别技术在应用中所牵涉的法益进行分类，刑法具体需从以下3个类型开展涉人脸识别的犯罪行为的规制：一是侵犯人脸信息的案件，主要考察这类案件是否符合刑法第253条之一的“侵犯公民个人信息罪”的适用条件；二是涉财产侵犯型“人脸识别”案件，在我国实践中最为常见的是利用人脸信息进行财产犯罪，如盗窃罪或诈骗罪的区分；三是影响人脸识别系统型案件，需考虑目前司法实践中对相关行为的定性是否准确。

（一）

侵犯“人脸信息”的案件定性

《规定》第1条第3款将人脸信息定义为生物识别信息，从属于民法典第1034条规定的个人信息，因此该信息属于民法意义上的个人信息并无疑问。刑法是其他部门法的后置法，而其他部门法则是刑法的前置法，因而刑民关系具有前置法与后置法之间关系的性质，这种性质决定了作为后置法的刑法对作为前置法的民法具有一定的从属性，但是这种从属性并不是绝对的，而是相对的。《规定》与民法典所明确的人脸信息属于个人信息的范围，对于刑法而言仅属于前置法的规定，侵犯“人脸信息”的行为是否可以适用“侵犯公民个人信息罪”，需要结合刑法及相关规定重新进行解读。

1.人脸信息属于刑法意义上的“公民个人信息”

刑法对于公民个人信息的保护，规定于刑法分则条文第253条之一“侵犯公民个人信息罪”中，但由于该条文并未对何为“公民个人信息”进行明确定义，人脸识别信息是否属于刑法意义上的“公民个人信息”需要结合相关司法解释进行理解。

2017年6月1日起施行的最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）第1条对于“公民个人信息”的概念进行了定义：“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。该规定的意义在于其首次对于个人信息的概念进行了明确，在刑法领域内确定了认定个人信息需要具有“可识别性”的要求。因此，判断人脸信息是否能构成刑法意义上个人信息的核心，便需要确定其是否能够单独或者与其他信息结合识别特定自然人，这也是判断负载于人脸信息之上的人格利益、财产利益的逻辑基点。

而从前文对于人脸识别技术的技术手段的介绍可以看出：人脸识别技术的第3个步骤的功能就是人脸确认与人脸辨认，即结合数据库可以用来验证和鉴别场景中单个或者多个人的身份。这一功能体现的正是刑法对公民个人信息“可识别性”的要求。因此，可以认为人脸信息符合刑法第253条之一“公民个人信息”的所要求的属性，应当认为是刑法意义上的“公民个人信息”。

2.人脸信息属于“重要公民个人信息”

对于个人信息进行保护的前置法中，大多都依照不同的方式对个人信息进行了分类。如民法典在第1034条将个人信息分为“一般个人信息”和“私密信息”，但未对何为私密信息的概念及范围进行明确。如果仅就前置法的规定而言，人脸信息作为个人生物特征的一种，尽管不能明确属于“私密信息”的一种，但作为“敏感个人信息”的范围并不存在疑问。

尽管作为所有部门法的后盾与保障，刑法关于犯罪的规定必须以行政法、民商法等前置法的规定为基础，但刑法对于某些事实的认定中，需要做出自己的独立判断。而且刑法领域根据公民个人信息的重要程度，在《解释》第5条通过入罪标准的不同，采用了三分法将公民个人信息分为：敏感信息、重要信息、一般信息三类，并分别确定了“50条”“500条”“5000条”的入罪标准。由此也可以看出，刑法对于公民个人信息敏感程度的分类，与前置法也并不统一。

从具体规定来看，《解释》第5条第3款对于敏感信息进行了列举，仅包括行踪轨迹信息、通信内容、征信信息、财产信息这4类，依据文义解释的方法，人脸信息并不能被包含在内，因此不属于敏感信息。而《解释》第5条第3款将“重要信息”解释为：住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息。人脸信息并不属于已经明确列举的几类信息，但由于人脸识别可用于刷脸支付的功能，将其认为其他可能影响人身、财产安全的公民个人信息并不存在解释的障碍，应当作为“重要信息”被刑法保护。

综上，依照目前的刑法条文及司法解释的规定而言，人脸信息属于刑法意义上的个人信息，且属于“重要信息”的一种。

（二）

涉财产侵犯型“人脸识别”案件定性

行为人非法获取他人人脸信息，必然是为了获取某种非法利益。在大数据时代，人脸信息作为准入验证的密码信息，属于一种保密程序设定。而对这一保密设定进行解密后进行的操作，可能涉及权利人个人隐私等人身权益的利用与财产利益的处分，对于权利人的生产生活、社会角色、个人资产会产生较大的影响，而这一影响又以财产犯罪居多。不法行为突破这一程序，能够直接接触权利人的各项财产权益，显然可能因具备较为严重的法益侵害性而值得刑罚处罚。结合司法实务，不法分子趁人不备或欺骗他人进行人脸识别，进而破开人脸识别这一限制侵害财产，对于此类案件需要分情形进行准确认定。

1.在权利人不知情的情况下盗用人脸识别进而取财，应认定为盗窃罪

对于在权利人不知情的情况下盗用人脸识别进而取财的相关行为，黄某盗窃案（后称案例一）提供了一个较为典型的样本。在该案中，被告人黄某趁被害人董某昏睡，用董某的指纹解锁了她的手机后，用支付宝人脸识别功能进入支付宝，修改密码后分多次转走董某的花呗、借呗、支付宝余额、银行卡内的钱款共计人民币154147元，最终被认定为盗窃罪。对此类情形进行认定时，需要准确认识人脸信息在此行为中所具有的工具属性。对此，可以将被害人放在软件中的财产比作放在柜子里的财物，那么，人脸信息和指纹等作为工具而言，更像是一个开启“柜子”的“密匙”。因而，在案例一中，可以将被告人的行为类比为一种，在被害人不知情的情形下，通过盗取“人脸识别”这一密匙，从而取得了被害人的财产的行为，进而符合指以非法占有为目的，窃取他人占有的财物的行为特征，认定准确认定为盗窃罪。

2.欺骗权利人进行人脸识别进而取财：依照处分意识的有无进行认定

存在更多疑问的是欺骗权利人进行人脸识别的行为：其一为甘某诈骗案（后称案例二），在本案中，甘某以激活电子社保需进行人脸识别的名义，让张某、曾某进行人脸识别后解开了二人的支付密码，先后将张某、曾某的零钱1900元、1800元转账到自己的账户，本案最终被认定为盗窃罪；其二为陆某诈骗案（后称案例三），该案中，被害人陆某因资金周转不灵需要借款，被告人苏某建议她在借贷平台上借款，并让她做人脸识别，苏某某在陆某不知情的情况下实际借款39500元，并对陆某谎称没有借款成功，后从陆某卡中转走19500元，最终该案被认定为诈骗罪。

从具体案情来看，两起案例中被告人的行为特征极其相似，应当得出同样的结论，但最终结果却大相径庭。得出不同结论的关键在于未能准确认定人脸识别场景下被害人的处分意识。无论认为盗窃罪与诈骗罪之间属于何种关系，都无法否认被害人有无“处分行为”有无是区分二者的恒定标准。在案例二与案例三中，依据笔者前文述及的将“人脸信息”作为一种“密匙”的观点，两个案件中被告人的行为人都是以一种虚构的事实骗取被害人，使其交出人脸信息这一“密匙”，从而使用“密匙”取得被害人的财物。而被害人并不知道交出“密匙”时是在进行财产处分，甚至直至再次打开柜子时，才发现自己财物丢失。因此，在这种场合下，被害人完全没有意识到自己会转移或者丧失其财产，不存在处分意识，以盗窃罪而非诈骗罪进行定罪量刑更为准确。

（三）

技术手段破解人脸识别系统型案件定性

1.技术手段破解人脸识别系统案件类型解构

除侵犯人脸信息本身和通过人脸信息侵犯财产的案件类型外，实务也存在部分案件类型，通过采取技术手段破解人脸识别技术，从而达成自己的非法目的。有学者将该类型案件又结合司法实践进行进一步的分类，明确以图像替换型、技术破解型、拆解替换型进行划分，在图像替换型案件（案例4）中，以舒某破坏计算机信息系统案为例，被告人舒某购买虚拟视频刷机包程序工具用于突破人脸识别系统、非法侵入App用户账户70个，对11个用户账户数据进行修改、添加、删除（变更被侵入账户的交易密码、在被侵入账户内删除债权债务记录信息、在被侵入账户内虚增债权债务记录信息），获取违法所得共计人民币49150元。

在技术破解型案件（案例5）中，该案中，被告人在平台需要人脸识别时，利用软件抓包技术将平台下发的人脸识别身份认证数据包进行拦截并保存，尔后，上传此前拦截下来的包含其本人的身份信息数据包，使系统误以为要比对其本人的身份信息，其遂用本人人会通过银行系统人脸识别比对，使得成功利用虚假身份信息骗过平台，最终完成突破人脸识别技术限制。

但拆解替换型作为技术手段值得讨论，对于人脸识别系统进行暴力破坏与技术手段无涉，该行为手段仅仅属于实现犯罪目的的必经行为，因而难以通过计算机相关罪名加以评价，可能通过故意毁坏财物罪加以评价，或者结合具体案件事实，以犯罪事实所指涉的罪名加以定性。而对于技术破解型，以破坏计算机信息系统罪进行认定是否准确，则需要结合破坏计算机信息系统罪以及控制计算机信息系统罪两个罪名加以论证。

2.基于“破坏”与“控制”的关系的罪名厘定

破坏计算机信息系统罪与控制计算机信息系统罪作为不同罪名，在适用情形上存在诸多相似，导致如何确认两罪之间的罪间边界存在辨识难点。通过罪状对比，可以发现，两罪的区分关键要素，在于如何理解“破坏”与“控制”的差异性。基于刑事立法嬗变的角度而言，非法控制计算机信息系统罪的立法增设缘由在于弥补破坏计算机信息系统罪的部分处罚漏洞，但在司法适用阶段产生了一定程度的异化，在部分案件中未能考虑到两罪的差别，以至于案件定性存在争议。为定分止争，有必要确认何谓“破坏”，何谓“控制”。

对于两罪之间的关系，目前学界存在想象竞合、法条竞合等观点。笔者赞同成立想象竞合的关系。首先，非法侵入计算机信息系统后，并未破坏计算机信息系统的功能或者数据，而是通过控制计算机实施特定的操作获利的行为被称为“非法控制计算机信息系统”。“控制”相较于“破坏”，在概念含义上更具有灵活性，“破坏”描述的是通过技术手段致使计算机信息系统运行故障、无法正常工作。而“控制”的侧重点有所不同，“控制”并非旨在破坏计算机信息系统，相反“控制”通过篡改程序、变更数据等技术手段，排除权利人对于计算机信息系统的控制，计算机信息系统尚能正常运转，不过从法律视角看待，权利主体已经无法顺利使用相关程序系统。

综上，两罪之间可能成立想象竞合的关系。进而对案例进行分析：在案例5中，被告人利用软件抓包技术将平台下发的身份认证数据包进行拦截并保存，尔后，上传身份信息数据包，使系统误以为要比对其本人的身份信息，其遂用本人人脸通过银行系统人脸识别比对，使得成功利用虚假身份信息骗过平台，最终完成突破人脸识别技术限制。人脸识别系统未被破坏、尚能正常工作，因而应当以非法控制计算机信息系统罪加以评价。

结语

表面看，刑法拘束自由，深刻看，刑法实是创造自由；刑法的剑，可能使一部分人失去自由，但却创造更多人的自由。人脸识别技术乃是智能制造时代下的科技成果，能够大大降低社会治理成本，促进社会运转便捷化发展，但科学科技的高度发展是一把双刃剑，若缺乏法律语境下的监管途径，则只会野蛮生长，肆意侵害公民基本权益。现行的法律监管力度较为薄弱，从社会预防的角度考虑，有必要通过刑事法加以规范。结合人脸识别技术应用中所可能侵犯的法益属性以及行为模式，可见其存在侵犯公民个人信息、财产权益、计算机安全等刑事法律风险，若符合刑法分则条文的构成要件，进行刑法规制也有着充分的正当性及合理性。从司法实务出发，结合现有的人脸识别涉刑案件，可见人脸识别技术涉及法益类型多元、定罪样态丰富，可能存在着罪间边界不够清晰之虞。为定分止争，有必要在准确阐释相关罪刑规范的基础上，对于人脸识别涉刑案件进行类型化分析，正本清源，确定人脸识别刑法规制的应然之路。

原标题：《陈瑞 武东方｜人脸识别技术刑法规制的多维视域分析》

阅读原文