随着人脸识别和AI大数据分析技术的不断发展，该技术广泛应用于金融支付、交通出行、门禁考勤等领域。根据相关数据显示，我国已有超过6500家人脸识别相关企业，且约22%的企业注册资本在1000万元以上。可以说人脸识别在给我们带来生活便利和为企业创造经济利益的同时，也面临着人脸信息处理和个人数据保护的合法性问题。2025年6月1日起实施的《人脸识别技术应用安全管理办法》不仅为行业划定了清晰的边界，也为用户权益保护提供了有力的法律支撑。本文主要交流的是利用人脸识别技术获取数据以及在个人信息处理过程中，滥用人脸识别技术或数据时所涉及刑事犯罪相关问题：

　　笔者通过检索中国裁判文书网近期的相关数据，发现共有1177份与人脸识别有关的刑事判决和裁定。通过分析这些判决，我们发现人脸识别技术或者数据利用过程中主要涉及的罪名如下：

　　一、 违反国家规定，未取得个人同意，非法获取、出售、提供人脸识别信息的行为构成侵犯公民个人信息罪

　　对于此种情况，个人是否知情同意是罪与非罪的重要判断规则，实践中违背知情规则滥用人脸识别数据的行为包括几类：

　　1.欺骗他人取得人脸识别信息。比如曾经流行的许多“AI换脸游戏”APP，就是利用用户乐于参与游戏、毫不防备的心理，在未告知的情形下，非法采集人脸识别信息。再比如针对老年人群体，不法分子往往以“发福利”或者“发赠品”的名义，诱惑被害人参与拍照、提供照片等个人信息;在超市内以顾客购物满一定金额可获赠洗衣液等礼品为名，并要求顾客在领取礼品时提供姓名、身份证号码，并用手机拍照、录制视频等方式采集被害人的肖像信息。

　　2.非法抓取通讯录及人脸识别信息。比如网络放贷平台 APP 借助于技术手段非法获取公民人脸识别信息后，才予以放贷，并将人脸识别信息共享给催收公司，甚至将这些信息变卖获利。比如在(2020)皖1182刑初115号“催贷案”中，2018年10月，董某通过“救急白卡”APP在网络上非法从事高利放贷业务，并且在该 APP软件中植入特定程序，以便在不特定借款人申请借款时获取借款人手机通讯录和地理位置等个人信息。2019年3月起，被告人焦某涛在明知上述APP为非法网络高利贷软件的情况下，先后两次以其设立的“武汉简雍”公司的名义从董某处接收高利贷催收业务，同时非法接受由董某提供的相关借款人个人信息，并按照贷款的不同逾期阶段获得佣金。“救急白卡”APP系统集成外挂的杭州有盾科技有限公司还会抓取用户的人脸识别活体与身份证信息进行比对。“救急白卡”APP经贷款申请人授权允许后，获取用户的手机通讯录信息和GPS地理位置信息。法院认定被告人焦某涛非法获取公民个人信息，构成侵犯公民个人信息罪。

　　3.行为人将其控制的照片加工成人脸验证视频。比如在(2020)粤1972刑初4287号制作动态视频案中，被告人赖某全应客户要求，将其所得知的公民身份证号码、姓名等发送给同伙“曹操”“大佬”等人帮忙查询上述公民的对应照片，再将上述照片通过“三色技术”制作成动态人脸验证视频后出售给客户从中获利，共获利约达 2.3 万元。法院认为，被告人赖某全违反国家规定，向他人出售公民个人信息，情节严重，其行为构成侵犯公民个人信息罪。

　　二、以技术手段破解人脸识别系统构成涉计算机信息系统类犯罪

　　目前，制作模拟人脸模型以破解人脸识别验证的黑色产业链已相当“成熟”，而且许多软件代码已经开源，用身份证照片就可以从技术上模拟张嘴、眨眼等动作，仿真效果很高，可以骗过许多人脸识别平台。司法实践中，破解人脸识别系统可能构成的犯罪有：

　　1.非法获取计算机信息系统数据罪

　　在(2019)川0124刑初610号破解某宝系统案中，2018 年 8 月，被告人唐某通过他人介绍先后两次前往山东省菏泽市被告人李某安处学习制作用以破解某宝人脸识别认证系统的 3D 人脸动态图，并从被告人李某安处购买了相关设备。后被告人唐某在网络上发布信息称能够提供破解某宝人脸识别认证的服务。2018 年 9 月，被告人唐某从“半边天”处获得唐甲的某宝账户信息，受“半边天”委托破解某宝对唐甲账号的限制，被告人唐某采用制作唐甲 3D 人脸动态图的方式突破了某宝人脸识别认证系统，解除了某宝对唐甲账号的限制登录，后被告人唐某将唐甲某宝账户信息提供给被告人张某，被告人张某通过伪造唐甲手持身份证、同意(承诺)函的照片并拨打某宝客服电话的方式解除了某宝对唐甲账户的资金冻结，后被告人张某采用购买话费的形式将唐甲某宝账户内的人民币2.4 万余元转移。法院认定行为人未经同意或者授权非法利用他人肖像，加工人脸识别数据后破解安全验证，是利用了计算机系统运行数据的基本原理，以此侵入计算机系统控制或转移账户资金的，是获取并运行数据的结果。行为人主观上没有非法占有账户资金的目的，但未经肖像权人同意，实施上述行为，构成非法获取计算机信息系统数据罪。

　　2.破坏计算机信息系统罪

　　在(2020)1171号起诉书(本案判决书尚无法查询)涉及的破解“渝快办”平台案中，2019 年 12 月以来，被告人祁某利用 FD 软件，通过对计算机信息系统中传输的人脸比对数据进行替换的方式，帮助单某、朱某、龚某、熊某等人(均另案处理)在重庆市政府 APP 渝快办政务服务平台及重庆税务微信公众号上以他人的身份信息进行公司注册登记和电子税务注册，以此方式违规办理了 165 家公司的营业执照和 18 家公司的电子税务账号，从中非法获利人民币 2.8 万余元。检察机关认为，被告人祁某违反国家规定，对计算机信息系统中传输的数据进行修改的操作，构成破坏计算机信息系统罪。

　　三、非法使用真实人脸识别数据取财构成财产类犯罪

　　通过非法手段，使用真实的人脸识别数据取财的案件，目前主要有强迫他人“刷脸”取财、欺骗他人“刷脸”后冒名取财这两种类型。

　　1.强迫他人“刷脸”取财构成抢劫罪

　　在(2019)湘0511刑初75号强行“刷脸”案中，传销组织的骨干成员欺骗被害人进入该组织，并对被害人进行人身控制，其中，罗某学等人直接安排郝某，并由郝某和张某强迫被拘禁的王某进行了人脸识别。罗某学、郝某等人利用强行获取的密码和人脸识别等，用“蚂蚁借呗”贷款 10000 元、某宝备付金套现 500 元及“微粒贷”贷款 19000 元等。人民法院经审理后认为，被告人罗某学等人以非法占有为目的， 伙同他人采取暴力等方法劫取财物，数额巨大，其行为构成抢劫罪。

　　2.欺骗他人“刷脸”冒名贷款构成盗窃罪

　　在(2021)粤1202刑初75号“邓某豪盗窃案”中，被告人基于非法占有他人财物的目的，欺骗被害人伍某颖，使其将手机卡和银行卡交予被告人进行操作。被告人为获取更多财物，欺骗被害人进行人脸识别验证，并利用人脸识别信息分别在借呗、京东、分期乐平台进行借贷，将款项私自占有。法院据此判决被告人构成盗窃罪。

　　3.骗取他人人脸信息冒名贷款构成诈骗罪

　　在(2019)川1526刑初13号彭某英诈骗案中，被告人使用被害人的手机卡注册支付宝账户，并以手机需更换支付宝信息为由，骗取了袁某的身份证信息和人脸识别信息。又以其父亲要为其打款为由，骗取了袁某的工商银行卡号。之后在袁某不知情的情况下，利用上述信息在“招联消费金融公司”贷款平台贷款23800元，在“马上金融消费股份有限公司”贷款平台贷款13500元，用于日常消费等支出。法院判决被告人构成诈骗罪。

　　四、涉人脸识别技术应用应当注意的问题

　　以人脸识别为代表的人工智能技术日新月异，刑事司法一定是滞后于技术的发展，对于个人信息，计算机信息系统安全和数据完整性、可用性等法益的保护，刑法只是最后手段，最好的政策是社会政策，2025年6月1日起实施的《人脸识别技术应用安全管理办法》，明确了应用人脸识别技术处理人脸信息的基本要求和具体规则，相关企业应当着重注意以下几点：

　　1.处理人脸信息需要取得个人的“单独同意”。需通过增强告知或即时提示的方式专门向个人进行充分告知，包括必须明确告知处理目的、方式、保存期限、处理的必要性以及对个人权益的影响等信息;若涉及不满14周岁未成年人，应取得未成年人的父母或者其他监护人的同意，且在存储、使用、转移、披露等方面需制定专门规则。例如，物业不能以“方便管理”为由强制业主刷脸进门。

　　2.人脸信息存储原则上应存储于人脸识别设备内，不得通过互联网传输，且保存期限不得超过实现目的所需最短时间。例如，客户酒店刷脸入住后，酒店应将客户的人脸信息在其退房后立即删除。

　　3.在公共场所安装人脸识别设备必须出于维护公共安全目的，划定明确人脸信息采集区域并设置显著提示。不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。

　　4.企业不能将人脸识别作为唯一验证方式，实现相同目的或者达到同等业务要求情况下，若有其他非人脸识别的替代方案(如刷卡、密码、指纹)，需提供给个人信息主体进行选择。例如，银行APP不能强制用户刷脸登录;单位不能强制员工刷脸进入。

　　5.使用人脸识别技术的企业需要向政府备案，当存储人脸信息超过10万人时，需在30个工作日内向省级以上网信部门备案，提交个人信息处理目的、存储数量、安全保护措施、保护影响评估报告等备案材料。

　　6.企业应于应用人脸识别技术处理人脸信息前进行个人信息保护影响评估，评估内容包括人脸信息的处理目的、处理方式是否合法、正当、必要;对个人权益带来的影响，降低不利影响的措施是否有效;以及发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、出售、使用的风险以及可能造成的危害等。若评估风险较高，则企业应进行整改或终止应用。

　　企业应采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保障人脸信息安全，涉及网络安全等级保护、关键信息基础设施的，还应履行网络安全等级保护、关键信息基础设施保护义务。例如，企业应定期检测系统漏洞，防止人脸信息泄露。

　　7.为合规应用人脸识别技术验证个人身份、辨识特定个人，建议企业优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施身份验证，减少自主收集、存储;定期开展个人信息保护影响评估;对员工进行合规培训等。例如，银行可采用公安部认证系统验证身份，可避免自建人脸库。