深度伪造人脸视频突破人脸识别系统犯罪的刑事治理路径

　　深度伪造人脸视频突破计算机系统类犯罪具有高度专业性、技术性和复杂性，仅依靠刑法进行规制还不够，应结合相应技术防控手段与法律规制协同推进，形成多维度风险防控体系。

　　近年来，随着深度学习框架的迭代优化和生成对抗网络架构的不断演进，人工智能内容生成技术发展迅速，深度伪造技术应运而生。深度伪造技术因高度逼真和难以辨别的仿真特性，极易被使用者滥用生成以假乱真的内容，进而演变为新型犯罪工具。人脸信息作为“数字中国”建设进程中独特的身份认证工具，在参与公共管理与社会治理的同时，也可能与深度伪造技术结合而诱发新型犯罪行为。有的不法分子利用获取到的人脸信息实施侵犯公民个人信息的行为及相关衍生犯罪。典型犯罪手法，如将静态人像照片转化为3D动态人脸视频，以此突破支付宝、政务系统等平台的人脸识别验证系统，实现账号非法注册或系统非法登录等目的。司法实践中，已出现多起利用深度伪造人脸视频实施突破人脸识别系统犯罪的典型案例。针对新技术发展背景下引发的深度伪造技术滥用风险，亟须探讨刑法规制路径。

　　深度伪造人脸视频突破人脸识别系统犯罪的刑事治理面临的问题

　　其一，当前，对深度伪造人脸视频突破人脸识别系统犯罪的规制无法有效保护个人信息法益。现行刑法与规制深度伪造人脸视频突破识别系统相关的法律条款主要侧重于维护信息系统和数据安全。司法实践中，通常也将伪造人脸视频与突破信息系统作整体性评价，未全面评价伪造人脸视频对个人信息法益的侵犯。然而，人脸信息具有超越普通数据的特殊属性，承载着公民的人格尊严等权利。司法实践中，将伪造人脸视频纳入计算机犯罪的附随行为进行评价的做法，实际上是将承载人格尊严的人脸信息等同于一般数据对待，忽略了人脸信息的独特属性，这使得个人信息法益无法得到有效保护。

　　其二，司法实践中，对同类伪造人脸视频突破人脸识别系统的犯罪行为认定的罪名不同。我国现行刑法未对伪造人脸视频突破计算机系统的行为设置独立罪名，司法实践中，法院依然引用现有罪名进行裁决。当前，由于对伪造人脸视频突破计算机系统行为的评价标准不同，导致对同类行为适用的罪名存在差异。例如，当某一犯罪行为兼具非法获取数据和侵入计算机信息系统的双重侵害性时，部分判决仅着眼于对计算机系统数据的非法获取，因而适用非法获取计算机信息系统数据罪。有的判决则侧重于对计算机系统安全的维护，因此，将突破计算机系统的行为认定为非法侵入计算机信息系统罪。

　　深度伪造人脸视频突破人脸识别系统犯罪的刑事治理模式选择

　　基于以上分析，当前的刑法规制深度伪造人脸视频存在双重评价缺位问题：既未充分考量个人信息法益的独立保护价值，亦未能对突破计算机系统的行为构建周延的评价体系。因此，需要针对伪造人脸视频突破计算机信息系统行为的复合性特征构建有效规制各环节犯罪行为的治理模式。

　　当前，对于深度伪造人脸视频突破计算机系统的刑法规制主要有两种治理模式：立法论模式和解释论模式。立法论治理模式，主张通过立法增设新罪名，将未经授权擅自使用他人人脸信息伪造人脸视频并突破人脸识别系统的行为直接纳入刑法规制。解释论治理模式，主张依托现行刑法的既有罪名规制深度伪造技术滥用行为，而非通过立法创设新罪名。立法论治理模式是积极刑法观的外化，可能导致刑罚权的过度扩张和受刑罚处罚范围的不当扩大，动辄修改法律也会削弱刑法的权威性，同时增加规制深度伪造技术滥用行为的成本。解释论的特性决定了该模式的被动性，即刑事制裁的启动必须以实际发生侵害法益的行为或具有导致法益侵害的现实危险性为前提，避免刑法对社会生活秩序的主动干预。此外，解释论模式主张利用现有的刑法框架，从法律适用角度应对深度伪造技术的滥用行为，有益于缩减刑法规制成本。因此，采用解释论治理模式更可取。

　　解释论治理模式的进一步规范化

　　基于司法实践需要，采用解释论规制模式，应将伪造人脸视频的行为认定为侵犯公民个人信息罪。确定侵犯公民个人信息罪，需要参考《中华人民共和国个人信息保护法》对侵犯公民个人信息入罪标准的界定。根据个人信息保护法第二十八条的规定，人脸信息作为生物识别信息，属于敏感信息范畴；第二十九条规定，处理敏感个人信息应当取得个人的单独同意。个人同意包含了对个人信息的处理目的和处理方式的预期。当信息处理者违背权利人对信息的预期处理目的和处理方式时，就违背了权利人的个人同意内容，侵犯了权利人的个人信息权益。对使用权利人的人脸信息伪造人脸视频用于突破计算机信息系统的犯罪行为，显然背离权利人对其个人信息使用的预期，构成侵犯公民个人信息罪。

　　行为人在利用深度伪造技术伪造人脸视频后，进一步利用伪造的人脸视频突破人脸识别系统，实施非法获取数据或账号非法登录等行为，主要涉及刑法规定的计算机信息系统犯罪。其一，《中华人民共和国刑法》第二百八十五条第一款规定了非法侵入计算机信息系统罪。该罪的犯罪对象是国家事务、国防建设、尖端科学技术领域的计算机信息系统。即，只有行为人利用伪造的人脸视频侵入特定领域的计算机信息系统才构成本罪，若只是侵入了一般的计算机系统，比如某民营公司的计算机信息系统，则不构成该罪。其二，对刑法第二百八十五条第二款规定的非法获取计算机信息系统数据、非法控制计算机信息系统罪，其犯罪对象则是第二百八十五条第一款规定的特定领域以外的计算机信息系统。行为人利用伪造的人脸视频侵入特定领域以外的计算机信息系统后，又实施获取该系统存储、处理或传输数据的行为，属于非法获取计算机信息系统数据的行为。若行为人突破人脸识别认证环节后，在未造成计算机信息系统功能实质性障碍的前提下，对系统实施控制以实现非法目的，则构成非法控制计算机信息系统罪。其三，当行为人明知他人实施计算机犯罪仍为其提供破解人脸识别系统的深度伪造视频时，则构成刑法第二百八十五条第三款规定的提供侵入、非法控制计算机信息系统程序、工具罪。

　　正确确定犯罪的个数是正确定罪的基本要求之一。因此，有必要对行为人利用深度伪造技术制作人脸视频，后使用伪造的视频突破计算机信息系统的罪数问题作出判断。伪造人脸视频行为与关联犯罪行为不能归属于同一行为进行一体化评价，而应认定为两个以上犯罪行为触犯了两个以上不同罪名，对行为人数罪并罚。不能将伪造人脸视频行为与计算机犯罪行为认定为存在手段行为与目的行为或原因行为与结果行为的牵连关系，而将其作为牵连犯处罚。这是因为成立牵连犯要求具备的牵连关系应具有类型化和通常性特征。然而，突破计算机信息系统与伪造人脸视频的行为并非经常并发，因此，不能得出二者之间具有高伴随性牵连关系的结论，故无法成立牵连犯。笔者认为，应对伪造人脸视频突破计算机信息系统的各个行为所涉罪名分别评价，将侵犯公民个人信息罪与刑法第二百八十五条规定的犯罪数罪并罚，避免对不法行为遗漏评价，体现刑罚与罪责相当原则。

　　深度伪造人脸视频突破计算机系统类犯罪具有高度的专业性、技术性和复杂性。为应对科技迭代带来的深度伪造技术滥用风险，仅依靠刑法进行规制还不够，应结合相应技术防控手段与法律规制协同推进，既实现“以技术规制技术”的敏捷治理，又为技术应用划定法律边界，形成多维度的风险防控体系。

　　（作者单位：西北政法大学）