目前,人脸识别技术正在如火如荼地不断更新升级,相应技术体系已经较为完备,相比之下,人脸识别技术的规范之路却显得任重而道远。作为一种最严厉的规制方式,刑法是作为保障法而存在的,仅当前置法的社会治理效果有所不逮时,始能发挥效用。因此,刑法有无规制人脸识别技术的必要,也需要结合前置法规制的效果进行分析。
影响人脸识别系统案件类型化分析
检索司法实务中的相关案例,影响人脸识别系统案件技术犯罪主要有三种类型:一是图像替换型,即通过事先制作的3D人脸视频替换实时拍摄的认证视频内容以突破人脸实名认证环节的行为,较为典型的案例为(2020)沪0104刑初731号一案(以下简称“案例一”),将被告人杨某用事先制作的3D人脸视频替换实时拍摄的认证视频内容以突破人脸实名认证环节的行为,认定为破坏计算机信息系统罪。二是技术破解型,主要通过数据抓包、替换指令等技术手段突破人脸识别的限制,典型案例为(2019)闽0203刑初890号(以下简称“案例二”),该案中,被告人在平台需要人脸识别时,利用软件抓包技术将平台下发的人脸识别身份认证数据包进行拦截并保存,尔后,上传此前拦截下来的包含其本人的身份信息数据包,使系统误以为要比对其本人的身份信息,其遂用本人人脸通过银行系统人脸识别比对,成功利用虚假身份信息骗过平台,最终达到突破人脸识别技术限制的目的,被认定为破坏计算机信息系统罪。三是拆解替换型,这一类目前出现较少,主要是通过物理手段对人脸识别系统进行替换,从而达到影响人脸识别系统的效果,典型案例为(2020)粤1403刑初35号(以下简称“案例三”)。在该案中,被告人对正常运行的人脸识别系统擅自更换摄像头设备,干扰其识别功能,造成计算机信息系统不能正常运行,后果严重,被认定为破坏计算机信息系统罪。
从上述案例可见,尽管影响人脸识别系统案件各不相同,但最后都是以破坏计算机信息系统罪这一罪名进行认定。但从这一罪名的构成要件而言,以案例一为代表的图像替换型案件,并未对计算机信息系统运行秩序以及由数据保密性(confidentiality)、完整性(integrity)、可用性(availability)三个要素组成的数据安全造成严重损害或威胁,其实质上并未侵犯计算机类犯罪所保护的法益,对此类行为适用帮助信息网络犯罪活动罪更为合适。而对于技术破解型以及物理拆解型案件,以破坏计算机信息系统罪进行认定是否准确,则需要结合破坏计算机信息系统罪以及控制计算机信息系统罪两个罪名加以论证。
基于“破坏”与“控制”关系的罪名厘定
破坏计算机信息系统罪与控制计算机信息系统罪并非完全一致,若想准确厘清人脸识别相关案件的行为定性,有赖于准确理解相关罪名,而两罪区分的关键在于准确厘清“破坏”与“控制”的区别。在学界相关观点中,对破坏行为与非法控制行为的关系加以明晰,存在排他互斥与包容竞合两种观点。从实务层面来看,控辩双方也针对两个罪名形成非此即彼的观点,控方往往认为构成破坏计算机信息系统这一重罪,辩方往往认为属于非法控制计算机信息系统这一轻罪。因而,上述原因造成两罪名之间形成了一种排他互斥关系的假象,而这一假定或者遐想的罪名关系不仅背离具体行为方式的真实存在状况,而且致使特定案件陷入区分不能而又强行解释的泥淖。但实际上,非法控制计算机信息系统罪的立法初衷就是弥补破坏计算机信息系统罪的部分处罚漏洞,因而从一开始立法者就认为两罪的行为方式不同、规制范围有别,实践中的争议也证明了这一点,因而有必要厘清破坏行为与控制行为的关系。
根据最高人民法院大法官的解释,在非法侵入计算机信息系统后,并未破坏计算机信息系统的功能或者数据,而是通过控制计算机实施特定操作获利的行为被称为“非法控制计算机信息系统”。笔者并不反对上述观点,非法控制行为的本质就在于未经授权或者超越授权而获取了他人的一定操作权限,其行为特征是控制计算机信息系统执行特定的操作以获利,在没有造成计算机不能正常运行的情况下,认定为控制计算机系统罪并无不妥。但非法控制的程度有轻有重,既可以是完全排除权利人的控制,也可以是部分排除权利人的控制,甚至在不妨碍计算机信息系统正常使用的情形下,通过远程操控计算机实施一定的行为也可以认定为非法控制。而对于计算机系统的破坏也存在多种情形,既存在直接破坏计算机信息系统,造成其功能全部或部分紊乱的破坏行为,也存在通过控制他人的计算机系统而导致计算机系统不能正常使用的行为。因而有学者认为:破坏计算机信息系统罪与非法控制计算机信息系统罪之间是想象竞合关系,其认为非法控制行为与破坏行为之间是一种交错并存的关系,二者既可以独立,也可能发生重合,也即既可以通过破坏计算机信息系统实现控制,也可以不用实施破坏就能实现这一目的,而要实现破坏也无须达到控制的程度,二者可能因为同一行为事实并存,因而是想象竞合。
还有学者提出,无论是针对计算机信息系统功能还是计算机新信息系统数据、应用程序的删除、修改、增加、干扰, 抑或传播计算机病毒等破坏性程序,都是一种未经授权或超越权限的无权操作行为,而且这些行为本身会影响到相关权利人对计算机信息系统的使用,很难说不是对计算机信息系统的一种控制。因此,该观点认为非法控制计算机信息系统罪与破坏计算机信息系统罪是完全包容的法条竞合关系。甚至有学者认为非法控制行为完全可以被破坏计算机信息系统罪中的干扰行为所包括,没有必要单独设立非法控制计算机信息系统罪。但上述观点的缺陷在于,难以解决在不妨碍计算机信息系统正常使用的情形下,通过远程操控计算机实施一定的行为以及单纯的破坏计算机系统的行为的定性问题,因而显得并不妥当。
影响人脸识别系统案件的具体定性
综上,破坏计算机信息系统罪与非法控制计算机信息系统罪之间应当是一种想象竞合关系。以此为前提进而对上述案例进行分析:在案例二中,行为人通过数据抓包行为修改、增加系统数据,属于对该计算机信息系统实施非法控制,但未造成系统功能实质性破坏或者不能正常运行,不应当认定为破坏计算机信息系统罪,应当认定为非法控制计算机信息系统罪。而案例三中,行为人的行为则属于两个罪名之间的想象竞合,根据想象竞合犯从一重罪处罚的处断原则,对两个罪名所设定的法定刑进行比较,可以看出破坏计算机信息系统罪的法定刑明显高于非法控制计算机信息系统罪的法定刑。因此,当影响人脸识别系统的行为同时触犯这两个罪名时,应当以破坏计算机信息系统罪论处。
(作者单位:上海海关学院海关法律系)
