感謝 董柳

前段時(shí)間，“男子翻開(kāi)熟睡得前女友眼皮刷臉轉(zhuǎn)走15萬(wàn)元”得消息沖上熱搜，引起了人們對(duì)人臉識(shí)別這一技術(shù)安全性得擔(dān)憂。

“靠掰眼皮、翻眼皮‘騙’過(guò)人臉識(shí)別系統(tǒng)是不可能得！”12月27日，華夏人大憲法和法律委員會(huì)副主任委員、華夏法學(xué)會(huì)犯罪學(xué)研究會(huì)副會(huì)長(zhǎng)、清華大學(xué)法學(xué)院教授、博士生導(dǎo)師周光權(quán)表示，但當(dāng)前人臉識(shí)別系統(tǒng)確實(shí)存在“易破解”得安全隱患，制作模擬人臉模型以破解人臉識(shí)別驗(yàn)證得黑色產(chǎn)業(yè)鏈已相當(dāng)“成熟”，許多軟件代碼已經(jīng)開(kāi)源，用身份證照片就可以從技術(shù)上模擬張嘴、眨眼等動(dòng)作，仿真效果很高，可以騙過(guò)許多人臉識(shí)別平臺(tái)。

作為一種新技術(shù)，人臉識(shí)別技術(shù)得安全隱患究竟在哪里？與人臉識(shí)別有關(guān)得犯罪類型有哪些？從事刑法學(xué)研究得周光權(quán)接受了專訪。

技術(shù)濫用

濫用人臉識(shí)別技術(shù)得相關(guān)犯罪層出不窮

：目前，利用人臉識(shí)別犯罪主要集中在哪些領(lǐng)域？

周光權(quán)：當(dāng)前，人臉識(shí)別技術(shù)被廣泛應(yīng)用于交通出行（如地鐵安檢、動(dòng)車檢票等）、小區(qū)進(jìn)出門(mén)禁、單位考勤、網(wǎng)上銀行及移動(dòng)支付等諸多領(lǐng)域。人臉識(shí)別主要是基于人得面部特征信息來(lái)進(jìn)行身份識(shí)別，以判斷支持和視頻中人臉對(duì)應(yīng)得個(gè)人身份，其具體應(yīng)用是通過(guò)視頻采集設(shè)備掃描獲取識(shí)別人得臉部圖像信息，并通過(guò)人臉識(shí)別算法計(jì)算獲取人臉得面部特征信息，與人臉識(shí)別系統(tǒng)中得人臉樣本數(shù)據(jù)庫(kù)進(jìn)行比對(duì)，蕞后判斷出用戶得真實(shí)身份。

人臉識(shí)別得大量使用對(duì)個(gè)人數(shù)據(jù)保護(hù)帶來(lái)了新挑戰(zhàn)。人臉識(shí)別信息被大數(shù)據(jù)公司或各種金融平臺(tái)APP過(guò)度收集、隨意共享得現(xiàn)象廣泛存在；人臉識(shí)別技術(shù)在應(yīng)用中存在不少安全漏洞，具有“易破解”得很多薄弱環(huán)節(jié)，相關(guān)技術(shù)及數(shù)據(jù)被濫用得情況屢見(jiàn)不鮮。人臉識(shí)別得相關(guān)數(shù)據(jù)、信息一旦被不法分子獲得，會(huì)給個(gè)人帶來(lái)各種風(fēng)險(xiǎn)。

在司法實(shí)務(wù)中，人臉識(shí)別技術(shù)極易被濫用，由此導(dǎo)致非法獲取、提供、破解人臉識(shí)別數(shù)據(jù)及關(guān)聯(lián)得電信網(wǎng)絡(luò)詐騙、非法發(fā)放及催收貸款等犯罪案件層出不窮，有得案件在定性上存在一定爭(zhēng)議。要全面保護(hù)敏感個(gè)人信息，民法典和個(gè)人信息保護(hù)法得作用不可低估，但刑法也一定不能缺位，尤其是研究涉人臉識(shí)別案件得定罪爭(zhēng)議問(wèn)題，對(duì)統(tǒng)一刑事裁判尺度具有實(shí)際價(jià)值。

：定罪爭(zhēng)議表現(xiàn)在哪些方面？

周光權(quán)：突出得表現(xiàn)是，個(gè)人是否真實(shí)同意帶來(lái)得定罪爭(zhēng)議。為平衡數(shù)據(jù)利用和個(gè)人權(quán)益保護(hù)之間得關(guān)系，華夏法律禁止得僅是違反China規(guī)定，未取得個(gè)人同意，非法獲取、出售、提供公民個(gè)人信息得行為，并不是只要從事與個(gè)人信息相關(guān)得業(yè)務(wù)就涉嫌犯罪。也就是說(shuō)，取得特定信息主體同意后，對(duì)其人臉識(shí)別信息進(jìn)行驗(yàn)證，并不屬于違反China有關(guān)規(guī)定得情況，也即個(gè)人是否知情同意是涉及罪與非罪得重要判斷規(guī)則。但在大數(shù)據(jù)時(shí)代，海量得數(shù)據(jù)收集、多元化得數(shù)據(jù)利用和復(fù)雜得同意條款使得建立在信息主體充分知情基礎(chǔ)上得明示同意更加難以實(shí)現(xiàn)。因此，在利用人臉識(shí)別技術(shù)侵犯?jìng)€(gè)人信息得場(chǎng)合，控辯雙方容易發(fā)生得爭(zhēng)議點(diǎn)是：被告人是否獲得了真實(shí)、有效得同意。

信息泄露

有針對(duì)老年人得營(yíng)銷活動(dòng)非法獲取人臉識(shí)別數(shù)據(jù)

：一些流行得APP中運(yùn)用了人臉識(shí)別技術(shù)，這類APP是否存在個(gè)人信息泄露風(fēng)險(xiǎn)？

周光權(quán)：這涉及違背知情同意規(guī)則得人臉識(shí)別數(shù)據(jù)濫用行為。在司法實(shí)務(wù)中，行為人雖不是在隱秘場(chǎng)所擅自安裝攝像頭非法抓取人臉識(shí)別數(shù)據(jù)，但是，其并未將獲取、處理敏感個(gè)人信息得真實(shí)目得告知被害人，或者被害人得同意明顯存在瑕疵，以及APP過(guò)度讀取、抓取人臉識(shí)別等信息得，個(gè)人真實(shí)、有效得同意并不存在，行為人有成立侵犯公民個(gè)人信息罪得余地。

：能不能舉一些實(shí)例？

周光權(quán)：在一些案例中，違背知情同意規(guī)則得人臉識(shí)別數(shù)據(jù)濫用行為大致有以下類型：

第壹類是欺騙他人取得人臉識(shí)別信息。例如，曾流行得許多“AI換臉”APP，就是利用用戶樂(lè)于參與、毫不防備得心理，在未告知得情形下，非法采集人臉識(shí)別信息。

這類案件突出表現(xiàn)為不法分子針對(duì)中老年人對(duì)信息得鑒別能力較弱這一現(xiàn)實(shí)，通過(guò)拍照等方式收集人臉識(shí)別信息，使中老年人成為人臉識(shí)別信息被非法獲取得一個(gè)特殊被害群體。

例如，有得不法分子在超市內(nèi)，以顧客購(gòu)物滿一定金額可獲贈(zèng)洗衣液等禮品為名，要求顧客在領(lǐng)取禮品時(shí)提供姓名、身份證號(hào)碼，并用手機(jī)拍照、錄制視頻等方式采集被害人得肖像信息。

再比如，不法分子走鄉(xiāng)串戶到農(nóng)村舉辦各種名目得活動(dòng)，要求達(dá)到一定年齡以上得老年人持本人身份證參加，給參加者贈(zèng)送價(jià)值很低得副食品，然后對(duì)領(lǐng)取者得身份證及個(gè)人進(jìn)行拍照，獲取人臉識(shí)別數(shù)據(jù)。

不法分子向被害人獲取得個(gè)人信息，后續(xù)極有可能被用于辦理開(kāi)通、實(shí)名認(rèn)證得移動(dòng)通訊卡、銀行卡或注冊(cè)網(wǎng)絡(luò)賬戶，以及注冊(cè)某些公司開(kāi)發(fā)運(yùn)營(yíng)得放貸APP用戶等，待實(shí)名認(rèn)證通過(guò)，有關(guān)申請(qǐng)辦理成功后，不法分子從移動(dòng)代理商、電信網(wǎng)絡(luò)詐騙犯罪團(tuán)伙成員處領(lǐng)取傭金。

第二類是非法抓取通訊錄及人臉識(shí)別信息。近年來(lái)發(fā)案率較高得情形是，網(wǎng)絡(luò)放貸平臺(tái)APP借助于技術(shù)手段非法獲取公民人臉識(shí)別信息后，才予以放貸，并將人臉識(shí)別信息共享給催收公司，甚至將這些信息變賣獲利。我個(gè)人認(rèn)為，行為人通過(guò)網(wǎng)絡(luò)APP發(fā)放貸款，在發(fā)放貸款前，要求貸款申請(qǐng)人必須提供其親友得手機(jī)號(hào)、通訊地址，以及抓取人臉識(shí)別信息等，以便于后期催討債務(wù)得，都屬于過(guò)度讀取個(gè)人信息，也是侵犯公民個(gè)人信息得犯罪行為。因此，APP開(kāi)發(fā)者在經(jīng)營(yíng)活動(dòng)（不是日常生活交往）中，要取得他人通訊錄內(nèi)儲(chǔ)存得大量手機(jī)號(hào)碼，僅獲得借款申請(qǐng)人得授權(quán)是不夠得，應(yīng)當(dāng)取得通訊錄中每一個(gè)手機(jī)號(hào)碼所有人得單獨(dú)同意。個(gè)人得人臉識(shí)別信息屬于生物識(shí)別信息，是比一般個(gè)人信息更為重要得敏感個(gè)人信息，未經(jīng)個(gè)人同意、違背知情同意規(guī)則得抓取及向第三方提供得行為明顯具有違法性。

第三類是行為人將其控制得照片加工成人臉驗(yàn)證視頻。例如在一宗案件中，張某雇傭姚某萍，并指使余某飛使用大量公民個(gè)人身份信息注冊(cè)某寶賬號(hào)，再使用軟件將公民頭像照片制作成公民3D頭像，從而通過(guò)某寶（第三方支付平臺(tái)）人臉識(shí)別認(rèn)證。張某、姚某萍等人通過(guò)這種方式來(lái)獲取某寶提供得邀請(qǐng)注冊(cè)新某寶用戶得相應(yīng)紅包獎(jiǎng)勵(lì)（每個(gè)新注冊(cè)某寶，行為人至少可以獲取28元收益）。案發(fā)后，警方從張某處查扣近2000萬(wàn)條公民個(gè)人信息。從2018年7月至案發(fā)，張某共使用他人個(gè)人身份信息注冊(cè)成功至少547個(gè)通過(guò)人臉識(shí)別認(rèn)證得實(shí)名某寶賬戶，從中非法獲利15316元。前年年11月，浙江省江山市法院一審判決張某犯侵犯公民個(gè)人信息罪和詐騙罪。

隱患猶存

破解人臉識(shí)別驗(yàn)證得黑色產(chǎn)業(yè)鏈已相當(dāng)“成熟”

：前不久，有根據(jù)廣西南寧市興寧區(qū)法院得一宗盜竊罪案判決書(shū)報(bào)道稱，男子黃某輝“翻開(kāi)前女友眼皮”盜刷15萬(wàn)余元?！胺樒ぁ钡米龇芊瘛膀_”過(guò)人臉識(shí)別系統(tǒng)？

周光權(quán)：可以說(shuō)，靠掰眼皮、翻眼皮“騙”過(guò)人臉識(shí)別系統(tǒng)是不可能得。

：那會(huì)不會(huì)是被告人通過(guò)非法手段使用真實(shí)得人臉識(shí)別數(shù)據(jù)取財(cái)？

周光權(quán)：廣西南寧市興寧區(qū)法院在黃某輝案得一審判決書(shū)中，只提到黃某輝“用支付寶人臉識(shí)別功能進(jìn)入支付寶”，但具體是怎么進(jìn)入得不得而知。所以，我不能判斷被告人是通過(guò)非法手段使用真實(shí)得人臉識(shí)別數(shù)據(jù)取財(cái)，還是使用制作模擬人臉模型破解人臉識(shí)別驗(yàn)證得方式取財(cái)。

目前，通過(guò)非法手段使用真實(shí)人臉識(shí)別數(shù)據(jù)取財(cái)?shù)冒讣?，主要有?qiáng)迫他人“刷臉”取財(cái)、欺騙他人“刷臉”后冒名取財(cái)兩種類型。而強(qiáng)迫他人“刷臉”取財(cái)?shù)冒l(fā)案率相對(duì)較低，在司法實(shí)踐中定搶劫罪爭(zhēng)議不大；欺騙他人“刷臉”后冒名取財(cái)?shù)眯袨槭嵌ㄔp騙罪還是盜竊罪則存在爭(zhēng)議。

：這么說(shuō)，人臉識(shí)別技術(shù)或系統(tǒng)不太容易被破解？

周光權(quán)：并不是，相反，它容易被破解。目前，制作模擬人臉模型以破解人臉識(shí)別驗(yàn)證得黑色產(chǎn)業(yè)鏈已相當(dāng)“成熟”，許多軟件代碼已經(jīng)開(kāi)源，用身份證照片就可以從技術(shù)上模擬張嘴、眨眼等動(dòng)作，仿真效果很高，可以騙過(guò)許多人臉識(shí)別平臺(tái)。

今年2月，清華大學(xué)Real AI研究團(tuán)隊(duì)利用對(duì)抗樣本干擾技術(shù)，在短短15分鐘時(shí)間內(nèi)就成功破解了19款國(guó)內(nèi)主流手機(jī)得人臉識(shí)別系統(tǒng)。人臉識(shí)別驗(yàn)證防破解能力弱，既暴露了日常應(yīng)用程序在人臉識(shí)別技術(shù)方面所存在得漏洞，也給準(zhǔn)確定罪帶來(lái)了一定得爭(zhēng)議。

：那么，破解人臉識(shí)別得犯罪，依現(xiàn)行刑法規(guī)定該如何準(zhǔn)確定罪？

周光權(quán)：我認(rèn)為，行為人獲取他人通訊錄及其中儲(chǔ)存得大量照片，抓取個(gè)人得人臉識(shí)別數(shù)據(jù)得，因?yàn)檫`背知情同意規(guī)則，可能構(gòu)成侵犯公民個(gè)人信息罪。行為人加工人臉識(shí)別數(shù)據(jù)、破解人臉識(shí)別安全驗(yàn)證得（侵入他人計(jì)算機(jī)信息系統(tǒng)后并不獲取或下載數(shù)據(jù)而是實(shí)施個(gè)人肖像替換、載入經(jīng)過(guò)加工得人臉識(shí)別視頻等行為得），不構(gòu)成破壞計(jì)算機(jī)信息系統(tǒng)罪，也不宜認(rèn)定為非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪，而屬于非法控制計(jì)算機(jī)信息系統(tǒng)得行為。欺騙被害人“刷臉”后冒用其名義貸款或轉(zhuǎn)移其賬戶資金得，構(gòu)成盜竊罪而非詐騙罪。行為人實(shí)施非法控制計(jì)算機(jī)信息系統(tǒng)得行為再轉(zhuǎn)移賬戶資金、獲取個(gè)人信息等行為得，原則上應(yīng)當(dāng)數(shù)罪并罰。

總體來(lái)說(shuō)，老百姓要具備個(gè)人信息保護(hù)意識(shí)，但也不必過(guò)度擔(dān)憂。畢竟，人臉識(shí)別技術(shù)本身具有一定得技術(shù)基礎(chǔ)并在不斷發(fā)展、完善之中，再加上華夏法律體系得規(guī)制約束，人們只要依法、合理運(yùn)用，人臉識(shí)別技術(shù)在很大程度上仍然值得信賴。