虛假“刷臉”驗證行為的刑法規制

張怡銘

摘 要：虛假“刷臉”驗證行為，根據目的不同，可分為注冊賬號型和冒用身份型。注冊賬號型“刷臉”行為已形成黑灰產業鏈，經營“過臉”業務因沒有違反國家規定而不構成非法經營罪;虛假“刷臉”行為因干擾了計算機信息系統的識別和正常運行，可能構成破壞計算機信息系統罪;上下游倒賣人臉信息、實名賬號的行為，可能構成侵犯公民個人信息罪。冒用身份型“刷臉”轉移資金行為，存在盜竊罪與詐騙罪的定性爭議，關鍵看行為人有無“對技術的支配力”，如果行為人完全支配了系統運行，則以盜竊罪論處;手段行為如構成破壞計算機信息系統罪，與盜竊罪成立牽連犯，擇一重罪論處。

關鍵詞：人臉識別 破壞計算機信息系統罪 非法獲取計算機信息系統數據罪 盜騙交織

人臉識別技術具有非接觸、速度快、準度高、無感知等特點，被廣泛應用于交通安檢、支付轉賬、換臉娛樂，甚至精準營銷等場景。[1]同時，人臉信息屬于個人敏感信息，具有唯一性和不可更改性，一旦泄露或者不當利用，后果將不堪設想。從杭州富陽野生動物園“人臉識別第一案”[2]到2021年“3·15”晚會曝光知名企業秘密采集人臉信息[3]，從手機APP強制捆綁索取人臉信息[4]到“顏值檢測”軟件肆意訪問照片[5]，人臉識別技術從最初的備受追捧、廣泛運用，到現今的“刷臉憂慮”、限制收集，技術的濫用不斷挑戰公眾的認知，并逐漸顯露刑事犯罪端倪。本文結合案例，試對虛假“刷臉”驗證行為的性質作一分析。

一、問題的提出

（一）典型案例

筆者在“中國裁判文書網”“北大法寶”兩個網站以“人臉”“人像”“識別”“驗證”“刑事案件”為關鍵詞進行檢索，選取了4個具有代表性的案例，分別為田某紀、張某男非法獲取計算機信息系統數據案，張某富、余某飛等人侵犯公民個人信息、詐騙案，茍某、張某破壞計算機信息系統案和張某羽、唐某杰等人侵犯公民個人信息案。

[案例一]被告人田某紀在某手機銀行APP內使用虛假身份信息注冊賬戶。其先輸入本人身份信息，進入到了人臉識別驗證環節，利用抓包軟件攔截該官方數據包并保存，后輸入需要注冊的身份信息，釋放攔截的數據包，使系統誤以為要驗證的是其本人的人臉信息，遂用本人人臉通過銀行系統的人臉比對，成功注冊銀行賬戶76個，并將上述賬戶信息賣給被告人張某男等人，非法獲利人民幣共計22010元。[6]

[案例二]被告人張某富、余某飛等人利用已非法獲取的公民個人信息，使用軟件將公民頭像照片制作成3D頭像，從而通過支付寶人臉識別認證，注冊新用戶獲取紅包獎勵，非法獲利人民幣共計30324元。[7]

[案例三]茍某、張某為幫助客戶完成“珍愛網”賬號的實名注冊，根據該客戶要求的年齡段，在此前非法獲取的公民個人信息中尋找匹配信息，并通過“CA8”“VACM”軟件制作虛擬人像，順利“騙過”系統驗證，隨后將實名認證的公民個人信息共計194條出售給該客戶，從中非法獲利人民幣共計19514元。

[案例四]被告人唐某杰專門提供支付寶人臉識別認證服務。唐某杰受委托破解支付寶對唐某賬號的限制，在獲取了唐某的支付寶賬戶信息后，伙同被告人張某羽通過制作3D人臉動態圖、偽造手持身份證等方式，解除了唐某賬號的登錄限制和資金凍結，將該賬戶內2.4萬余元非法轉移。[8]

根據行為目的不同，上述案件可以分為兩類：一類是注冊賬號型，即使用虛假的人臉識別信息通過實名認證，從而批量注冊賬號用以出售牟利或“薅羊毛”，例如案例一、二、三;另一類是冒用身份型，即有針對性地偽造目標用戶的人臉識別信息，通過系統的身份認證，從而竊取賬戶內財物、盜取快遞[9]等，例如案例四。注冊賬號型案件呈現犯罪鏈條化、產業化特點，如何準確定性虛假“刷臉”驗證行為，如何界定上下游犯罪之間關系，值得研究。冒用身份型案件呈現“盜騙交織”特點，存在“機器能否被騙”、手段行為與目的行為之間牽連以何罪認定等問題，下文將一一論證。

（二）“過臉”產業形成

隨著實名認證的發展，人臉識別成為諸多網站注冊賬戶的必經步驟。在利益驅使下，形成了專門進行人臉實名認證的產業，簡稱“過臉”產業?！斑^臉工作室”在網絡上發布信息兜售“過臉”業務，等待“需求人群”提出具體的“過臉”要求，向“身份證資源商”購買公民身份證信息（如手持照和正反照），經過技術加工順利通過系統的人臉識別，將已實名認證的賬號出售給“需求人群”獲利，最終這些實名賬號被用于“薅羊毛”、出售牟利、刷單等黑灰產。

二、注冊賬號型虛假“刷臉”驗證行為的定性

（一）經營“過臉”業務是否構成非法經營罪

有償幫助他人進行人臉識別驗證的行為是否構成非法經營罪存在爭議。肯定者認為，首先，該行為違反了關于實名制的國家規定。根據《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）第24條規定，網絡運營者提供網絡服務的前提是要求用戶提供真實身份信息，而虛假人臉驗證沒有提供真實身份信息。其次，該行為違反了“經營性互聯網信息服務”的國家規定。依照《互聯網信息服務管理辦法》，國家對經營性互聯網信息服務實行許可制度，對非經營性互聯網信息服務實行備案制度。提供“刷臉”驗證服務也屬于經營性互聯網信息服務，未經許可不得從事。[10]

筆者不同意上述觀點。首先，該行為沒有違反實名制的國家規定?！毒W絡安全法》第24條規定的是網絡運營者的義務，并非是對公民個人規定的義務，因此公民在注冊賬號時沒有提供真實身份信息，不能認為違反該條規定。其次，該行為不屬于經營性互聯網信息服務。根據《互聯網信息服務管理辦法》第19條、第20條規定，經營性互聯網信息服務提供者的處罰措施包括“責令關閉網站”，由此可以推知經營性互聯網信息服務主要指專營各類網站的信息服務。公民個人提供的有償人臉識別認證服務，并非是專營網站等服務活動，而是一種虛假注冊行為，不屬于須經國家許可的互聯網信息服務。最后，雖然虛假人臉識別注冊賬號的行為具有嚴重社會危害性，但“法無明文規定不為罪”，該行為不符合非法經營罪的構罪要件，不應以該罪論處。

（二）該行為可能構成侵害計算機信息系統類犯罪

1.非法獲取計算機信息系統數據罪之檢視。案例一中，法院判決被告人田某紀等人構成非法獲取計算機信息系統數據罪。判決書中寫到，“被告人田某紀違反國家規定，采用非法手段獲取銀行計算機信息系統中傳輸的數據，已達到情節特別嚴重的標準”，構成非法獲取計算機信息系統數據罪。遺憾的是，判決書未指出獲取的數據究竟為何。如果理解為被告人本人的人臉數據，中途“攔截并保存”即為“獲取”，那么邏輯上存在一些矛盾。因為被告人每次攔截的均是其個人的人臉識別數據，內容具有同一性，能否認定獲取不同數據存在爭議。況且，攔截和保存數據只是中間過程，最終目的是釋放數據包騙過人臉驗證，能否認為“獲取”亦有不同理解。如果將犯罪對象理解為最終成功注冊的銀行賬戶數據，也存在邏輯不通之處，因為該賬戶信息并非系統中存在的，而是行為人自己注冊的，不屬于“傳輸中數據”的語義范圍。

相較于非法獲取計算機信息系統數據罪的指向不明，非法控制計算機信息系統罪從罪狀描述來看更貼近案情。但該罪的追訴標準為“非法控制計算機信息系統20臺以上的”，主要規制的是黑客利用各種木馬程序、后門程序侵入計算機信息系統后，不破壞計算機信息系統的原有功能或者數據，而是通過對他人計算機信息系統進行非法控制實施特定操作的行為，例如組建“僵尸網絡”攻擊網站、彈出廣告、推廣流氓軟件，嚴重擾亂網絡管理秩序。[11]回歸本案，雖然行為人對人臉識別程序施加了外力掌控，但還達不到對整個計算機信息系統的控制程度，且數量也達不到20臺的標準，因此，不構成非法控制計算機信息系統罪。

值得說明的是，為人臉識別提供技術、程序是否構成提供侵入、非法控制計算機信息系統程序、工具罪，關鍵是看該程序是否專門用于侵入、非法控制計算機信息系統?！皩ｉT”體現為程序、工具本身用途的非法性，如果某款程序、工具在功能設計上決定其只能用來非法控制、非法獲取數據，那么就屬于本罪范疇。案例一中行為人使用的抓包程序，屬于專門用于非法控制計算機信息系統的程序，提供該程序符合本罪的構成要件。案例二和案例三行為人使用的制作3D人臉頭像的技術，該技術既可能被用于合法目的（經本人授權后供娛樂、制作視頻使用），也可能被用于非法目的（未經授權突破人臉驗證），不符合“專門”要件，提供改程序不構成本罪。當然，如果明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為而為其提供程序、工具，情節嚴重的，可以本罪論處。

2.破壞計算機信息系統罪之檢視。該行為是否符合破壞計算機信息系統罪的構成要件存在爭議。一種觀點認為，該行為修改了用戶身份認證的數據包，是對計算機信息系統數據的修改，觸犯了刑法第286條第2款規定。另一種觀點認為不構成犯罪。理由是從立法目的、體系解釋及罪責刑相適應等方面考量，影響計算機信息系統的正常運行是本罪的應有之義，而行為人利用虛假的人臉圖像騙過驗證的行為，沒有造成計算機系統的不能運行，因此不構成本罪。

筆者不同意上述兩種觀點。事實上，該行為違反了刑法第286條第1款之規定，構成破壞計算機信息系統罪。首先，本案情形更符合對計算機信息系統的破壞，應當適用第1款規定。前三個案例中，行為人并非是對計算機信息系統中“存儲、處理或者傳輸”的數據或應用程序進行破壞，因為驗證前后并未更改系統中存儲的人臉數據。該行為本質上是在對計算機信息系統進行干擾，致使網站無法做出正確的人臉識別，侵犯的是計算機信息系統的運行安全。其次，該行為造成了計算機系統不能正常運行的后果。計算機信息系統是人為設計的一套程序規則，體現了人的意志和目標。雖然上述案例中，人臉識別程序依然在運轉，但運行規則已然違背了開發者的設計初衷（實名核驗用戶身份），也破壞了網站的運行秩序。因此，判斷計算機信息系統能否正常運行，不能僅從技術角度來衡量，還應從系統設定目的來分析，干擾計算機信息正常運行無法達到設計目的，符合破壞計算機信息系統罪的構成要件。最后，“后果嚴重”可通過“違法所得5000元以上”來判斷。但需注意，違法所得須為虛假“刷臉”驗證行為的對價，并非是其他行為的對價。例如案例一和案例三中，行為人的獲利來源于虛假注冊行為，可以認定為本罪中的“違法所得”;而案例二中，行為人的獲利來源于后續詐騙支付寶優惠的行為，因此該獲利不能認定為本罪中的“違法所得”。

（三）上下游犯罪可能構成侵犯公民個人信息罪

“過臉”產業的上游是資源商提供公民個人信息，下游是出售賬號牟利或“薅羊毛”等。從上游資源商處購買公民個人信息的行為，涉嫌侵犯公民個人信息罪。根據2017年“兩高”《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第4條規定，采取購買的非法方法獲取公民個人信息的行為，應當構成侵犯公民個人信息罪。對于下游倒賣惡意注冊賬號的行為是否構成侵犯公民個人信息罪，關鍵在于判斷該網絡賬號是否屬于“公民個人信息”，看其能否單獨或者與其他信息結合識別特定自然人身份。

三、冒用身份型虛假“刷臉”驗證行為的定性

案例四中，行為人制作了被害人的人臉動態圖，解封了支付寶賬號并從中轉移走了資金。整個行為分為手段行為（解封賬號）和目的行為（轉移資金），如何定性存在以下三方面爭議。

（一）手段行為是否單獨構罪

經上文分析，該行為可能構成破壞計算機信息系統罪，即通過偽造3D人臉動圖，干擾支付寶系統正確識別本人身份，導致計算機系統無法按照設定者意志正常運行，當后果達到一定嚴重程度時，構成本罪。如果行為達不到后果嚴重，可以考慮構成幫助信息網絡犯罪活動罪。客觀上，賬號解封為網絡犯罪活動提供了源頭支持和幫助;主觀上，需要考察行為人是否明知他人解封賬號是為了實施違法犯罪活動。對于“明知”的認定，一是不需要行為人對正犯所實施的特定犯罪有準確的認知，但必須認知到正犯實施的行為構成刑法上的犯罪;二是行為人必須對正犯所實施犯罪的事實達到確定或者至少是高度蓋然性的明知程度。[12]例如，全國首例“微信解封”入刑案，被告人高某在解封操作中看到系統提示該微信號涉嫌詐騙，仍然為其解封;在收款銀行卡因涉嫌詐騙被查封后，仍然在利益驅使下繼續解封，可以認定其主觀“明知”，應以幫助信息網絡犯罪活動罪定罪處罰。

（二）目的行為定性為盜竊罪還是詐騙罪

通過平臺、程序轉移資金的侵財犯罪呈現盜騙交織的特點，核心爭議在于“機器能否被騙”。支持“機器不能被騙”的學者認為，詐騙是人與人之間的“溝通”，由于機器不具有人的意識，更不具有“認識錯誤”或“處分意識”，因此不能被騙。支持“機器可以被騙”的學者認為，機器、程序承載了人的意志，行為人利用技術手段突破驗證，違反了機器背后的設計者預先設定的意思，從而欺騙了機器背后的人。

上述兩種觀點均有可取之處，但在信息技術高速發展的當下，人的表達和行動越來越離不開自動化機器的輔助，人與機器的簡單二分已經不可能，單從“機器能否被騙”的標準出發，似乎過于絕對和一刀切。在此基礎上，筆者認為，區分網絡空間的盜竊罪與詐騙罪關鍵看“人對技術的支配力”。[13]詐騙罪成立的前提是受騙人具有識別能力和避免陷入錯誤認識的可能性。如果受騙人沒有識別能力（例如欺騙幼童手中的財物定盜竊罪而非詐騙罪），則不可能構成詐騙罪。同理，如果行為人采取技術手段完全掌控了機器的運行流程，機器只能輸出確定結果，此時機器已喪失了識別能力，不具備成立詐騙罪的前提，應當以盜竊罪論處。案例四中，行為人利用網站預設的固定流程（人臉驗證成功即可轉移資金），完全支配了計算機程序，最終在用戶不知情的情況下秘密轉移了賬戶內資金，應當構成盜竊罪。

（三）手段行為與目的行為之間關系

手段行為是利用偽造的人臉動態圖進入被害人支付寶賬戶，可能構成破壞計算機信息系統數據罪或者幫助信息網絡犯罪活動罪;目的行為是從被害人賬戶中轉移資金，可能構成盜竊罪。手段行為與目的行為之間罪名如何適用，涉及到刑法第287條的理解問題。一種觀點認為，該條屬于提示性規定，提示司法工作者注意識別披著“網絡犯罪”外衣的傳統犯罪，行為人以危害計算機信息系統安全為手段實施犯罪，應當以其實質構成的犯罪定罪處罰。另一種觀點認為，對于手段行為確實構成犯罪的，不能一律排除該類罪名的適用，應當結合具體案情，適用牽連犯、想象競合犯或者數罪并罰原理定罪處罰。[14]最高人民檢察院指導性案例第35號“曾興亮、王玉生破壞計算機信息系統案”認為，鎖定他人智能手機導致不能使用，以解鎖為條件索要錢財，手段行為構成的破壞計算機信息系統罪與目的行為構成的敲詐勒索罪之間成立牽連犯，應當從一重罪處斷。因此，不宜將刑法第287條中的“依照本法規定定罪處罰”機械理解為“依照目的行為構成的犯罪定罪處罰”，而應結合具體案情，適用牽連犯規定處罰。

案例四中，首先判斷手段行為是否構成破壞計算機信息系統罪。由于行為人只針對被害人一個賬戶破解人臉驗證，因此沒有達到10臺以上計算機信息系統不能正常運行的標準。再看違法所得，是指基于刪除、增加、修改或非法獲取行為本身所產生的違法所得，而不是在非法占有目的支配下的直接取財所得。行為人通過人臉識別方式轉移資金，沒有因此獲得報酬，而是通過秘密轉移的行為非法占有他人財物，因此不構成破壞計算機信息系統罪，只構成盜竊罪一罪。在手段行為不構罪的情況下，以目的行為盜竊罪一罪論處即可。如果手段行為達到構罪標準，此時符合牽連犯的特征，在破壞計算機信息系統罪和盜竊罪中擇一重罪論處。

近年來，利用人臉識別技術實施違法犯罪的行為不斷增多，并逐漸形成“過臉”黑灰產業鏈。針對虛假“刷臉”驗證、注冊賬號、轉移資金等行為，運用刑法準確定性、有效規制，無疑是必要的。然而，刑法并非萬能，黑灰產業鏈的治理不能過度依賴刑事規制，仍需多管齊下，標本兼治。通過建構完備的法律規范體系，明確人臉信息收集處理應當遵循的基本原則，加強對惡意注冊賬號等黑灰產業鏈的源頭監控，平臺網站也應肩負起信息保護的責任，最終實現“科技向善”的目標。

[1] 參見邢會強：《人臉識別的法律規制》，《比較法研究》2020年第5期。

[2] 參見《刪除照片！全國“人臉識別第一案”終審判了》，中央政法委長安劍微信公眾號https：//mp.weixin.qq.com/s/zUAfuimtyzTjN0JKkMZiNg，最后訪問日期：2021年11月13日。

[3] 參見《3·15晚會曝光|科勒衛浴、寶馬、MaxMara商店安裝人臉識別攝像頭，海量人臉信息已被搜集！》，央視網https：//news.cctv.com/2021/03/15/ARTIieo9QjynMSXTVDb224QE210315.shtml？spm=C94212.Ps9fhYPqOdBU.S51378.9，最后訪問日期：2021年11月13日。

[4] 參見《人臉識別時代，該如何說“不”》，最高人民檢察院微信公眾號https：//mp.weixin.qq.com/s/rGW1grEA-EkNJzIETkVsUA，最后訪問日期：2021年11月13日。

[5] 參見《公訴現場|利用“顏值檢測”軟件竊取公民個人信息，判了！》，上海檢察微信公眾號https：//mp.weixin.qq.com/s/1PgFp3qhj1iaxNg_oU5MGA，最后訪問日期：2021年11月13日。

[6] 參見福建省廈門市思明區人民法院刑事判決書，（2019）閩0203刑初890號。

[7] 參見浙江省衢州市中級人民法院刑事裁定書，（2019）浙08刑終333號。

[8] 參見四川省成都市郫都區人民法院刑事判決書，（2019）川0124刑初610號。

[9] 浙江一小學生采用一張照片就破解了豐巢快遞柜的“刷臉取件”系統，使民眾對人臉識別技術安全性產生擔憂。參見林曦、汪海晏、王丹陽等：《小學生都能輕松破解BUG，人臉識別如何不被“打臉”？》，金羊網https：//news.ycwb.com/2019-10/18/content_30359578.htm，最后訪問日期：2021年11月13日。

[10] 參見周光權：《刑法軟性解釋的限制與增設妨害業務罪》，《中外法學》2019年第4期。

[11] 參見陳國慶、韓耀元、吳嶠濱：《〈關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋〉理解與適用》，《人民檢察》2011年第20期。

[12] 參見勞東燕：《首例“微信號解封”入罪案的刑法分析》，人民檢察微信公眾號https：//mp.weixin.qq.com/s/3BjmDbRYkdWu3StoW-oobQ，最后訪問日期：2021年11月13日。

[13] 參見孔忠愿、彭奕：《利用系統漏洞“薅羊毛”的刑法學分析——以肯德基羊毛案為例》，悄悄法律人微信公眾號https：//mp.weixin.qq.com/s/YzhGmIssTSRaOkqK1EWpdA，最后訪問日期：2021年11月13日。

[14] 參見李玉萍：《關于利用計算機實施犯罪的定罪處罰問題初探》，《人民法院報》2020年12月10日。

1346501705304