知法懂法
制作人脸照片“黑客软件”的犯罪分子应如何定罪量刑?
作者/律师郭灿岩
【案情摘要】
2020年6月至9月间,李某制作了一款可非法窃取安装工相册照片的手机“盗号软件”,打包成安卓手机“APK安装包”,发布在论坛上出售,并伪装成“人脸检测”软件发布在社区上供游客免费下载。当用户下载安装“人脸检测”软件时,“人脸检测”软件会在后台自动从手机相册中获取照片并自动上传至被告人搭建的腾讯云服务器后台,从而窃取安装工相册中共计1751张照片,其中部分照片包含面部信息、自然人姓名、身份证号、联系方式、家庭住址等公民个人信息100余条。
2020年9月,李某在论坛上看到一篇名为“黑客信息”的帖子,便用在暗网出售“APK安装包”所得的部分收益,购买并下载了名为“社工数据库信息”的数据,并将其转移到“MEGA”网盘中,经自己查看后,确认其中包含真实的个人信息。2021年2月,李某明知“社工数据库信息”中包含户籍信息、QQ账号注册信息、京东账号注册信息、车主信息、贷款信息等,仍将网盘链接分享给其担任管理员的“XX庄园业主交流”QQ群,并提供给群成员免费下载。经查明,“社工数据库信息”经删除无效数据并进行合并去重后,包含各类公民个人信息8100余万条。
[判断]
1.被告人李某犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑三年,并处罚金人民币一万元;
2.扣押的犯罪工具应当予以没收;
3、判令李法官就其侵犯公民个人信息的行为在全国新闻媒体公开道歉,删除“人脸检测”软件及相关代码,删除腾讯云存储的涉案照片,删除“MEGA”网盘存储的相关公民个人信息,注销侵权所使用的QQ号码。
【律师解读】
1.本案行为属于刑法上的“窃取、以其他方法非法获取公民个人信息”行为,应当依法处罚。
“人脸信息”具有明显的“可识别性”特征。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件应用法律若干问题的解释》中对公民个人信息的定义和明确列举,与《民法典》等法律条文对公民个人信息的识别标准一致,即以“可识别性”作为个人信息的识别标准,强调信息与信息主体之间具有直接或间接识别的可能性。“人脸信息”是生物特征信息,具有不可改变、唯一性的特点。人脸与自然人一一对应做照片软件,无需结合其他信息即可直接识别特定自然人的身份,具有极高的“可识别性”。
民法也将“人脸信息”纳入个人信息保护范围。《民法典》第1034条规定了个人信息的定义和具体类型。《个人信息保护法》明确将“人脸信息”纳入个人信息保护范围,侵犯“人脸信息”构成对自然人人格权益的侵犯,应当承担相应的民事责任或行政、刑事责任。同时,《网络安全法》规定人脸识别信息属于“可直接识别”个人身份信息,因此,人脸识别信息性质为个人敏感信息,依法纳入隐私法保护范围。
窃取“人脸信息”具有极大的社会危害性和刑事可惩性。由于“人脸信息”是识别特定个体的敏感信息,他人极易直接利用或合成,导致侵犯隐私权、名誉权等违法行为,甚至构成盗窃、诈骗等犯罪,社会危害性极大。
本案中,李某利用伪装成“人脸识别”软件的黑客软件,窃取用户自拍、手机相册中的照片,利用互联网平台的开放性,针对大众,手法隐蔽、欺骗性强,盗窃范围广,社会危害性明显,需要以刑法予以规制。
2.面部识别技术的使用应该受到法律的规范。
近年来,人脸识别技术不断成熟,在生活中得到广泛应用。在给人们生活带来便利的同时,也存在违规使用等现象,对个人信息保护提出挑战。因此,应在尊重个人权利和隐私权、保护个人信息、维护公共利益的基础上规范人脸识别技术的应用。在法律框架下,人脸识别技术的使用应遵循“必要性原则”、“比例原则”和“正当程序原则”,确保消费者知情并明确同意。
尤其是2023年8月,国家网信办发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》并公开征求意见。征求意见稿以“人脸识别技术具体应用”的安全管理为主体,从保护个体权益、强化用户责任、科学设置监管等方面,对人脸识别技术的使用、人脸信息的收集、使用、处理、存储等作出了详细规定,为保护个体权益、维护公共利益指明了方向做照片软件,意义重大。征求意见稿确立了“最少使用”、“自愿遵守”、“最少存储”三大原则,确保“科技向善”。
关于作者
郭灿燕,盈科杰出青年律师,盈科北京民商法律部(第一部)秘书长,《盈科律师一天一本法》主编,参与编辑《律师案例集(4)、《律师案例集(5)、《律师案例集(6)》,《律师案例集(7)》副主编。天津市金融消费纠纷调解中心调解员,印度奥斯马尼亚大学法学硕士,北京大学法学学士。多年从事企业管理咨询与法律合规服务工作,在大型国有企业、跨国公司的公司管理、互联网支付机构法律合规实务方面拥有丰富的经验。擅长为企事业单位提供常规及专项法律服务、民商事诉讼与仲裁、刑事合规咨询及金融支付领域的刑事辩护。
