从引发能否强制顾客刷脸讨论的首例人脸识别案件，到首例滥用深度造假技术突破人脸识别系统盗取支付宝余额的刑事案件，人脸识别的风险一直困扰着人们的日常生活。然而，智能技术的进步与法律的滞后之间存在着天然的差距，这给法律的适用带来了困难。同时，理论和实践对刑法的功能抱有过高的期望，导致刑法应用范围的扩大，使得人脸识别的发展空间越来越狭窄。鉴于此，有必要明确人脸识别相关行为的法律边界，以保持刑法应用的限度，有助于平衡人脸识别的技术创新与法益保护。

为平衡人脸识别技术发展与风险管控，刑法对人脸识别的适用应保持适当限度。在外部限度上，应基于整体法律秩序确定人脸识别合法与非法、刑法及先前法律的边界；在内部限度上，进入刑法评价后，涉及人脸识别的违法行为也应在此罪与彼罪之间、重罪与轻罪之间适度。

外部限制：整体法律秩序下人脸识别的违法性标准

目前，我国对人脸识别技术使用尚无高水平、系统的法律规定，现有的规定大多为国家标准，如国家质检总局、国家标准化管理委员会发布的《信息技术生物特征识别应用程序编程接口》《公共安全人脸识别应用图像技术要求》等。其中，《信息安全技术个人信息安全规范》对人脸识别的使用设定了一定的标准。上述规定是目前认定人脸识别使用法律边界的重要依据。

1.确定人脸识别应用法律边界的基本原则。在缺乏具体法律规范的情况下，首先要确定人脸识别应用的基本原则，以此作为界定人脸识别应用合法性的一般思路。

第一，法益保护是核心。人脸识别的使用涉及多重法益，以隐私权为例，可以洞悉法益保护原则的现状。《民法典》第1032条规定，隐私权的核心要素是安宁和私密。如果一味追求商业价值和管理效率，必然导致侵犯隐私行为的猖獗，颠覆公民对法治的合理期待。侵犯公民隐私权的人脸识别行为应当予以拒绝，但一些仅有轻微法益侵犯的行为却能带来较大的社会效益，应当予以适当容忍。这就需要运用比例原则来审视。

其次，以比例原则作为衡量尺度。当人脸识别技术的使用侵犯法益时，也需要权衡所获得的利益和所侵犯的法益。如果人脸识别技术使用所获得的利益明显大于所侵犯的法益，那么使用人脸识别就可以防止违法。比例原则可以为人脸识别合法性的界限设定具体的标准。

第三，同意原则是前提。在商业活动中，人脸识别技术的应用、人脸识别信息的收集，应当建立在信息主体的知情和同意的基础上。以私自安装人脸识别设备的方式，在未经权利人同意的情况下获取人脸识别信息，势必违法。即便有形式上的同意，也并非权利人事实上的自愿，并不合法。目前，违反同意原则获取人脸识别信息的行为，一般包括以下两种类型：（1）不知道“刷脸”可能给个人带来不利后果；（2）明知“刷脸”会带来不利后果，但情势所迫难以拒绝。

2.明确人脸识别相关行为的刑事违法性标准。违反上述三项原则的行为，一般属于违法行为，但仍须为可惩处的违法行为，才能进入刑法评价，这是刑法适用外部界限的基本内涵。从法益侵害类型和当前司法裁判现状看，当前人脸识别相关犯罪包括以人脸识别为客体的犯罪和以人脸识别为工具的犯罪。前者一般构成侵犯公民个人信息罪，后者则以财产犯罪为主。应以实质法益侵害作为判断可惩处的违法性的标准。

第一，应当以侵犯实体法益作为判断侵犯人脸识别信息行为犯罪违法性的标准。

第一，以数量的违法性来判断实体法益的侵犯。最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件应用法律若干问题的解释》（以下简称《解释》）第1条在界定“公民个人信息”的范围时，并未列举生物特征信息；第5条第（4）项将住宿信息、通讯记录、健康生理信息、交易信息等列为公民个人信息，定罪标准为500项以上。第（5）项对公民个人信息的范围进行了兜底性规定，即兜底性规定侵犯公民个人信息的定罪标准为5000项以上。笔者认为，《解释》虽然第1条未列举生物特征信息，但此前的法律已将生物特征信息纳入公民个人信息的范畴。 基于整体的法律秩序，刑法无法否认这一点，可以通过第一条的“等”字将生物特征信息纳入公民个人信息。《解释》第五条关于侵犯公民个人信息罪的定罪标准，但均未提及侵犯生物特征信息数量的违法性标准。争议在于，将侵犯生物特征信息行为解释为第五条第（四）项的“健康生理信息”，还是解释为第（五）项的兜底性规定。如果是前者，定罪标准为500个；如果是后者，定罪标准为5000个。刑法适用扩大化的观点倾向于前者，但在整体的法律秩序下存在规范障碍，因为《信息安全技术个人信息安全规范》规定，“生物特征信息”和“健康生理信息”是两种相互平行的公民个人信息类型。 总之，如果将前法中具有相互排斥关系的两对概念，在刑法中解释为同种关系，不仅不合逻辑，而且破坏了法律秩序的统一性。本文认为，不能为了扩大刑罚而无视罪刑法定原则的局限性，应按照后者进行解释，定罪的违法犯罪数应为5000人。这样，既能坚守罪刑法定原则的形式方面，又能维护刑法的谦抑性。

其次，通过具体情节来判断是否侵犯实体法益。例如，根据《解释》第五条第二款规定，行为人明知或者应知他人利用人脸识别信息实施犯罪，仍向其提供人脸识别信息的，可以不计违法量罪定罪。第三，通过缺乏法益来否定侵犯实体法益。如果行为人从他人处获取的人脸识别信息已经完全失效，无法识别特定的自然人，则不构成侵犯法益，难以构成犯罪。总之，对刑事违法性的判断不应局限于形式违法，关键在于是否存在实质性侵犯法益的行为。只存在形式违法而不存在实质违法的行为，不应纳入刑法调整范围。

第二，实质法益侵害也是判断利用人脸识别侵犯财产犯罪违法性的标准。​​对于利用人脸识别手段侵犯财产的行为，即使数额达到相应的财产犯罪标准（形式违法性），若不构成实质法益侵害，则应当予以免责。对此，需要运用实质解释的免责功能，充分发挥我国《中华人民共和国刑法》第十三条“但书”条款的免责功能。

内在限度：刑法视域下违法行为适用方法论

人脸识别相关行为进入刑法评价后，此罪与彼罪、重罪与轻罪的界限并不清晰，个案裁判中仍存在理解误区和适用混乱。

1.关于加大人脸识别信息违法行为处罚力度的质疑。目前关于加大人脸识别信息违法行为处罚力度的理论论据主要可以分为两类：

第一，在立法上，通过设置专门罪名来加重处罚。这样的立法思路并非为了弥补刑法规定的漏洞，而多半是出于对信息的敏感性和特殊性，希望通过单独设置罪名来实现更高维度的打击。这种立法逻辑带有浓厚的情绪化色彩，也不符合刑法的谦抑性立场。法定刑的适用，可以由法官在个案中酌情决定。人脸识别信息的重要性和特殊性，需要社会多种手段予以认可和保障。上述任务无法通过简单的修改刑法来完成，修改刑法只会使刑法变成社会管理法。因此，人脸识别信息侵权，只要适用侵犯公民个人信息罪即可处理，并不存在刑罚漏洞。单纯为了增加法定刑而设置专门罪名，只会使刑事立法碎片化，动摇刑法的制度基础和权威性。

二是解释论降低侵犯人脸识别信息刑事处罚标准，强化处罚严厉性。有学者认为，《解释》第五条第（十）项中侵犯生物识别信息应当解释为“其他严重情节”，并创造性地提出，侵犯“5条以上”人脸识别信息为“情节严重”，侵犯“50条以上”人脸识别信息为“情节特别严重”。简言之，如果按照此前解释，侵犯人脸识别信息（情节严重）的量刑标准为5000元，那么法定刑（情节特别严重）的量刑标准为5万元。本来，侵犯5000条以下人脸识别信息的行为并不构成犯罪，但按照该论者的解释，不仅构成犯罪，而且需要适用升级的法定刑，实现了“双跳”。 但这一解释结论并没有可靠的依据，单纯因为人脸识别信息的特殊性而论证不够充分。笔者认为，在现有刑法体系下，将人脸识别信息解释为生理健康信息，或将人脸识别信息侵权解释为“其他严重情形”，要么破坏整体法律秩序，要么不列举条款而直接适用兜底条款，不符合罪刑法定原则的法律化要求。其实，先通过技术手段实现人脸识别信息的特殊保护，再事先采取预防性的法律规制更为妥当。加重刑罚的做法只是事后救济，难以有效挽回受害人的损失，反而使加害人沦为一般预防的工具。

2.利用人脸识别技术实施财产犯罪的轻罪与重罪的界限。当前实践中，人脸识别作为犯罪工具主要涉及盗窃、诈骗、信用卡诈骗等。为避免因追求犯罪化或重罪化而给人脸识别技术贴上污名，有必要辨明上述犯罪的界限。

一方面，用隐喻推理来确定盗窃与诈骗的边界。隐喻就是用熟悉的事物作为船只，把不熟悉的事实运到法律规范中去。具体来说，在盗窃和诈骗中，有无“处分行为”是区分二者的不变标准。判断有无“处分行为”可以用隐喻推理来识别。比如，犯罪者伪造受害人的3D人脸图像，骗取受害人的脸部识别支付密码，进而获取受害人的支付宝余额。支付宝作为软件（机器），不具备被骗的可能性。即使支付宝人脸识别系统被3D人脸图像“骗”了，也不能理解为在骗取支付宝。我们可以把3D人脸图像比作私钥，把支付宝比作保险箱。 利用3D人脸图像“欺骗”支付宝人脸识别系统盗取资金和用钥匙打开别人的保险柜盗窃财物没有本质区别，都应构成盗窃。因此，如果行为人通过欺骗手段，诱骗被害人进行人脸识别，获取支付宝余额，被害人不知情，则不构成诈骗，而是盗窃，因为被害人对支付行为没有知情权。如果被害人明知是人脸识别支付，误以为是普通支付，行为人将被害人的支付宝余额全部转走，则应构成诈骗，因为被害人知情。

另一方面，盗窃罪与信用卡诈骗罪的界限可以通过整体判断法来把握。在刑法量刑领域，整体判断法就是综合考虑综合情节，量刑恰当。笔者认为，信用卡诈骗罪作为一种特殊的诈骗类型，在本质上仍然要求处分行为。对于信用卡诈骗罪的适用，应当将银行视为独立的处分主体，将被骗主体作为一个整体来判断。无论是使用假信用卡、无效信用卡，还是冒充他人信用卡，被骗人或处分主体都是银行，符合诈骗罪的基本构成。但单纯地欺骗被害人通过人脸识别验证，然后登录被害人的支付宝或花呗将账户中的余额转出，并不构成使用信用卡的情形。欺骗被害人通过人脸识别验证，是实施行为前的手段行为（预备行为）。 通过整体判断方法可知，该案件不存在被害人的处置行为，仅为单纯的盗窃行为。

（作者分别为东南大学网络安全法研究中心主任、教授、博士生导师、江苏省徐州市铜山区人民检察院副检察长。本文摘自《人民检察》2021年第13期《人脸识别行为的刑法适用边界问题》一文）