虚假“刷脸”验证行为的刑法规制

虚假“刷脸”验证行为的刑法规制

作者：张怡铭

来源：《中国检察官·经典案例》2021年第12期

摘 要：虛假“刷脸”验证行为，根据目的不同，可分为注册账号型和冒用身份型。注册账号

型“刷脸”行为已形成黑灰产业链，经营“过脸”业务因没有违反国家规定而不构成非法经营罪;虚

假“刷脸”行为因干扰了计算机信息系统的识别和正常运行，可能构成破坏计算机信息系统罪;

上下游倒卖人脸信息、实名账号的行为，可能构成侵犯公民个人信息罪。冒用身份型“刷脸”转

移资金行为，存在盗窃罪与罪的定性争议，关键看行为人有无“对技术的支配力”，如果行

为人完全支配了系统运行，则以盗窃罪论处;手段行为如构成破坏计算机信息系统罪，与盗窃

罪成立牵连犯，择一重罪论处。

关键词：人脸识别 破坏计算机信息系统罪 非法获取计算机信息系统数据罪 盗骗交织

人脸识别技术具有非接触、速度快、准度高、无感知等特点，被广泛应用于交通安检、支

付转账、换脸娱乐，甚至精准营销等场景。[1]同时，人脸信息属于个人敏感信息，具有唯一

性和不可更改性，一旦泄露或者不当利用，后果将不堪设想。从杭州富阳野生动物园“人脸识

别第一案”[2]到2021年“3·15”晚会曝光知名企业秘密采集人脸信息[3]，从手机APP强制捆绑

索取人脸信息[4]到“颜值检测”软件肆意访问照片[5]，人脸识别技术从最初的备受追捧、广泛

运用，到现今的“刷脸忧虑”、限制收集，技术的滥用不断挑战公众的认知，并逐渐显露刑事犯

罪端倪。本文结合案例，试对虚假“刷脸”验证行为的性质作一分析。

一、问题的提出

（一）典型案例

笔者在“中国裁判文书网”“北大法宝”两个网站以“人脸”“人像”“识别”“验证”“刑事案件”为

关键词进行检索，选取了4个具有代表性的案例，分别为田某纪、张某男非法获取计算机信息

系统数据案，张某富、余某飞等人侵犯公民个人信息、案，苟某、张某破坏计算机信息系

统案和张某羽、唐某杰等人侵犯公民个人信息案。

[案例一]被告人田某纪在某手机银行APP内使用虚假身份信息注册账户。其先输入本人身

份信息，进入到了人脸识别验证环节，利用抓包软件拦截该官方数据包并保存，后输入需要注

册的身份信息，释放拦截的数据包，使系统误以为要验证的是其本人的人脸信息，遂用本人人

脸通过银行系统的人脸比对，成功注册银行账户76个，并将上述账户信息卖给被告人张某男

等人，非法获利人民币共计22010元。[6]

[案例二]被告人张某富、余某飞等人利用已非法获取的公民个人信息，使用软件将公民头

像照片制作成3D头像，从而通过支付宝人脸识别认证，注册新用户获取红包奖励，非法获利

人民币共计30324元。[7]

[案例三]苟某、张某为帮助客户完成“珍爱网”账号的实名注册，根据该客户要求的年龄

段，在此前非法获取的公民个人信息中寻匹配信息，并通过“CA8”“VACM”软件制作虚拟人

像，顺利“骗过”系统验证，随后将实名认证的公民个人信息共计194条出售给该客户，从中非

法获利人民币共计19514元。

[案例四]被告人唐某杰专门提供支付宝人脸识别认证服务。唐某杰受委托破解支付宝对唐

某账号的限制，在获取了唐某的支付宝账户信息后，伙同被告人张某羽通过制作3D人脸动态

图、伪造手持身份证等方式，解除了唐某账号的登录限制和资金冻结，将该账户内2.4万余元

非法转移。[8]

根据行为目的不同，上述案件可以分为两类：一类是注册账号型，即使用虚假的人脸识别

信息通过实名认证，从而批量注册账号用以出售牟利或“薅羊毛”，例如案例一、二、三;另一

类是冒用身份型，即有针对性地伪造目标用户的人脸识别信息，通过系统的身份认证，从而窃

取账户内财物、盗取快递[9]等，例如案例四。注册账号型案件呈现犯罪链条化、产业化特

点，如何准确定性虚假“刷脸”验证行为，如何界定上下游犯罪之间关系，值得研究。冒用身份

型案件呈现“盗骗交织”特点，存在“机器能否被骗”、手段行为与目的行为之间牵连以何罪认定

等问题，下文将一一论证。

（二）“过脸”产业形成

随着实名认证的发展，人脸识别成为诸多网站注册账户的必经步骤。在利益驱使下，形成

了专门进行人脸实名认证的产业，简称“过脸”产业。“过脸工作室”在网络上发布信息兜售“过

脸”业务，等待“需求人”提出具体的“过脸”要求，向“身份证资源商”购买公民身份证信息（如

手持照和正反照），经过技术加工顺利通过系统的人脸识别，将已实名认证的账号出售给“需

求人”获利，最终这些实名账号被用于“薅羊毛”、出售牟利、刷单等黑灰产。

二、注册账号型虚假“刷脸”验证行为的定性

（一）经营“过脸”业务是否构成非法经营罪

有偿帮助他人进行人脸识别验证的行为是否构成非法经营罪存在争议。肯定者认为，首

先，该行为违反了关于实名制的国家规定。根据《中华人民共和国网络安全法》（以下简称

《网络安全法》）第24条规定，网络运营者提供网络服务的前提是要求用户提供真实身份信

息，而虚假人脸验证没有提供真实身份信息。其次，该行为违反了“经营性互联网信息服务”的

国家规定。依照《互联网信息服务管理办法》，国家对经营性互联网信息服务实行许可制度，

对非经营性互联网信息服务实行备案制度。提供“刷脸”验证服务也属于经营性互联网信息服

务，未经许可不得从事。[10]

笔者不同意上述观点。首先，该行为没有违反实名制的国家规定。《网络安全法》第24

条规定的是网络运营者的义务，并非是对公民个人规定的义务，因此公民在注册账号时没有提

供真实身份信息，不能认为违反该条规定。其次，该行为不属于经营性互联网信息服务。根据

《互联网信息服务管理办法》第19条、第20条规定，经营性互联网信息服务提供者的处罚措

施包括“责令关闭网站”，由此可以推知经营性互联网信息服务主要指专营各类网站的信息服

务。公民个人提供的有偿人脸识别认证服务，并非是专营网站等服务活动，而是一种虚假注册

行为，不属于须经国家许可的互联网信息服务。最后，虽然虚假人脸识别注册账号的行为具有

严重社会危害性，但“法无明文规定不为罪”，该行为不符合非法经营罪的构罪要件，不应以该

罪论处。

（二）该行为可能构成侵害计算机信息系统类犯罪

1.非法获取计算机信息系统数据罪之检视。案例一中，法院判决被告人田某纪等人构成非

法获取计算机信息系统数据罪。判决书中写到，“被告人田某纪违反国家规定，采用非法手段

获取银行计算机信息系统中传输的数据，已达到情节特别严重的标准”，构成非法获取计算机

信息系统数据罪。遗憾的是，判决书未指出获取的数据究竟为何。如果理解为被告人本人的人

脸数据，中途“拦截并保存”即为“获取”，那么逻辑上存在一些矛盾。因为被告人每次拦截的均

是其个人的人脸识别数据，内容具有同一性，能否认定获取不同数据存在争议。况且，拦截和

保存数据只是中间过程，最终目的是释放数据包骗过人脸验证，能否认为“获取”亦有不同理

解。如果将犯罪对象理解为最终成功注册的银行账户数据，也存在逻辑不通之处，因为该账户

信息并非系统中存在的，而是行为人自己注册的，不属于“传输中数据”的语义范围。

相较于非法获取计算机信息系统数据罪的指向不明，非法控制计算机信息系统罪从罪状描

述来看更贴近案情。但该罪的追诉标准为“非法控制计算机信息系统20台以上的”，主要规制

的是黑客利用各种木马程序、后门程序侵入计算机信息系统后，不破坏计算机信息系统的原有

功能或者数据，而是通过对他人计算机信息系统进行非法控制实施特定操作的行为，例如组建

“僵尸网络”攻击网站、弹出广告、推广流氓软件，严重扰乱网络管理秩序。[11]回归本案，虽

然行为人对人脸识别程序施加了外力掌控，但还达不到对整个计算机信息系统的控制程度，且

数量也达不到20台的标准，因此，不构成非法控制计算机信息系统罪。

值得说明的是，为人脸识别提供技术、程序是否构成提供侵入、非法控制计算机信息系统

程序、工具罪，关键是看该程序是否专门用于侵入、非法控制计算机信息系统。“专门”体现为

程序、工具本身用途的非法性，如果某款程序、工具在功能设计上决定其只能用来非法控制、

非法获取数据，那么就属于本罪范畴。案例一中行为人使用的抓包程序，属于专门用于非法控

制计算机信息系统的程序，提供该程序符合本罪的构成要件。案例二和案例三行为人使用的制

作3D人脸头像的技术，该技术既可能被用于合法目的（经本人授权后供娱乐、制作视频使

用），也可能被用于非法目的（未经授权突破人脸验证），不符合“专门”要件，提供改程序不

构成本罪。当然，如果明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提

供程序、工具，情节严重的，可以本罪论处。

2.破坏计算机信息系统罪之检视。该行为是否符合破坏计算机信息系统罪的构成要件存在

争议。一种观点认为，该行为修改了用户身份认证的数据包，是对计算机信息系统数据的修

改，触犯了刑法第286条第2款规定。另一种观点认为不构成犯罪。理由是从立法目的、体系

解释及罪责刑相适应等方面考量，影响计算机信息系统的正常运行是本罪的应有之义，而行为

人利用虚假的人脸图像骗过验证的行为，没有造成计算机系统的不能运行，因此不构成本罪。

笔者不同意上述两种观点。事实上，该行为违反了刑法第286条第1款之规定，构成破坏

计算机信息系统罪。首先，本案情形更符合对计算机信息系统的破坏，应当适用第1款规定。

前三个案例中，行为人并非是对计算机信息系统中“存储、处理或者传输”的数据或应用程序进

行破坏，因为验证前后并未更改系统中存储的人脸数据。该行为本质上是在对计算机信息系统

进行干扰，致使网站无法做出正确的人脸识别，侵犯的是计算机信息系统的运行安全。其次，

该行为造成了计算机系统不能正常运行的后果。计算机信息系统是人为设计的一套程序规则，

体现了人的意志和目标。虽然上述案例中，人脸识别程序依然在运转，但运行规则已然违背了

开发者的设计初衷（实名核验用户身份），也破坏了网站的运行秩序。因此，判断计算机信息

系统能否正常运行，不能仅从技术角度来衡量，还应从系统设定目的来分析，干扰计算机信息

正常运行无法达到设计目的，符合破坏计算机信息系统罪的构成要件。最后，“后果严重”可通

过“违法所得5000元以上”来判断。但需注意，违法所得须为虚假“刷脸”验证行为的对价，并

非是其他行为的对价。例如案例一和案例三中，行为人的获利来源于虚假注册行为，可以认定

为本罪中的“违法所得”;而案例二中，行为人的获利来源于后续支付宝优惠的行为，因此

该获利不能认定为本罪中的“违法所得”。

（三）上下游犯罪可能构成侵犯公民个人信息罪

“过脸”产业的上游是资源商提供公民个人信息，下游是出售账号牟利或“薅羊毛”等。从上

游资源商处购买公民个人信息的行为，涉嫌侵犯公民个人信息罪。根据2017年“两高”《关于

办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第4条规定，采取购买的非法方法

获取公民个人信息的行为，应当构成侵犯公民个人信息罪。对于下游倒卖恶意注册账号的行为

是否构成侵犯公民个人信息罪，关键在于判断该网络账号是否属于“公民个人信息”，看其能否

单独或者与其他信息结合识别特定自然人身份。

三、冒用身份型虚假“刷脸”验证行为的定性

案例四中，行为人制作了被害人的人臉动态图，解封了支付宝账号并从中转移走了资金。

整个行为分为手段行为（解封账号）和目的行为（转移资金），如何定性存在以下三方面争

议。

（一）手段行为是否单独构罪

经上文分析，该行为可能构成破坏计算机信息系统罪，即通过伪造3D人脸动图，干扰支

付宝系统正确识别本人身份，导致计算机系统无法按照设定者意志正常运行，当后果达到一定

严重程度时，构成本罪。如果行为达不到后果严重，可以考虑构成帮助信息网络犯罪活动罪。

客观上，账号解封为网络犯罪活动提供了源头支持和帮助;主观上，需要考察行为人是否明知

他人解封账号是为了实施违法犯罪活动。对于“明知”的认定，一是不需要行为人对正犯所实施

的特定犯罪有准确的认知，但必须认知到正犯实施的行为构成刑法上的犯罪;二是行为人必须

对正犯所实施犯罪的事实达到确定或者至少是高度盖然性的明知程度。[12]例如，全国首例“微

信解封”入刑案，被告人高某在解封操作中看到系统提示该号涉嫌，仍然为其解封;在

收款银行卡因涉嫌被查封后，仍然在利益驱使下继续解封，可以认定其主观“明知”，应以

帮助信息网络犯罪活动罪定罪处罚。

（二）该行为可能构成侵害计算机信息系统类犯罪

1.非法获取计算机信息系统数据罪之检视。案例一中，法院判决被告人田某纪等人构成非

法获取计算机信息系统数据罪。判决书中写到，“被告人田某纪违反国家规定，采用非法手段

获取银行计算机信息系统中传输的数据，已达到情节特别严重的标准”，构成非法获取计算机

信息系统数据罪。遗憾的是，判决书未指出获取的数据究竟为何。如果理解为被告人本人的人

脸数据，中途“拦截并保存”即为“获取”，那么逻辑上存在一些矛盾。因为被告人每次拦截的均

是其个人的人脸识别数据，内容具有同一性，能否认定获取不同数据存在争议。况且，拦截和

保存数据只是中间过程，最终目的是释放数据包骗过人脸验证，能否认为“获取”亦有不同理

解。如果将犯罪对象理解为最终成功注册的银行账户数据，也存在逻辑不通之处，因为该账户

信息并非系统中存在的，而是行为人自己注册的，不属于“传输中数据”的语义范围。

相较于非法获取计算机信息系统数据罪的指向不明，非法控制计算机信息系统罪从罪状描

述来看更贴近案情。但该罪的追诉标准为“非法控制计算机信息系统20台以上的”，主要规制

的是黑客利用各种木马程序、后门程序侵入计算机信息系统后，不破坏计算机信息系统的原有

功能或者數据，而是通过对他人计算机信息系统进行非法控制实施特定操作的行为，例如组建

“僵尸网络”攻击网站、弹出广告、推广流氓软件，严重扰乱网络管理秩序。[11]回归本案，虽

然行为人对人脸识别程序施加了外力掌控，但还达不到对整个计算机信息系统的控制程度，且

数量也达不到20台的标准，因此，不构成非法控制计算机信息系统罪。

值得说明的是，为人脸识别提供技术、程序是否构成提供侵入、非法控制计算机信息系统

程序、工具罪，关键是看该程序是否专门用于侵入、非法控制计算机信息系统。“专门”体现为

程序、工具本身用途的非法性，如果某款程序、工具在功能设计上决定其只能用来非法控制、

非法获取数据，那么就属于本罪范畴。案例一中行为人使用的抓包程序，属于专门用于非法控

制计算机信息系统的程序，提供该程序符合本罪的构成要件。案例二和案例三行为人使用的制

作3D人脸头像的技术，该技术既可能被用于合法目的（经本人授权后供娱乐、制作视频使

用），也可能被用于非法目的（未经授权突破人脸验证），不符合“专门”要件，提供改程序不

构成本罪。当然，如果明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提

供程序、工具，情节严重的，可以本罪论处。

2.破坏计算机信息系统罪之检视。该行为是否符合破坏计算机信息系统罪的构成要件存在

争议。一种观点认为，该行为修改了用户身份认证的数据包，是对计算机信息系统数据的修

改，触犯了刑法第286条第2款规定。另一种观点认为不构成犯罪。理由是从立法目的、体系

解释及罪责刑相适应等方面考量，影响计算机信息系统的正常运行是本罪的应有之义，而行为

人利用虚假的人脸图像骗过验证的行为，没有造成计算机系统的不能运行，因此不构成本罪。

笔者不同意上述两种观点。事实上，该行为违反了刑法第286条第1款之规定，构成破坏

计算机信息系统罪。首先，本案情形更符合对计算机信息系统的破坏，应当适用第1款规定。

前三个案例中，行为人并非是对计算机信息系统中“存储、处理或者传输”的数据或应用程序进

行破坏，因为验证前后并未更改系统中存储的人脸数据。该行为本质上是在对计算机信息系统

进行干扰，致使网站无法做出正确的人脸识别，侵犯的是计算机信息系统的运行安全。其次，

该行为造成了计算机系统不能正常运行的后果。计算机信息系统是人为设计的一套程序规则，

体现了人的意志和目标。虽然上述案例中，人脸识别程序依然在运转，但运行规则已然违背了

开发者的设计初衷（实名核验用户身份），也破坏了网站的运行秩序。因此，判断计算机信息

系统能否正常运行，不能仅从技术角度来衡量，还应从系统设定目的来分析，干扰计算机信息

正常运行无法达到设计目的，符合破坏计算机信息系统罪的构成要件。最后，“后果严重”可通

过“违法所得5000元以上”来判断。但需注意，违法所得须为虚假“刷脸”验证行为的对价，并

非是其他行为的对价。例如案例一和案例三中，行为人的获利来源于虚假注册行为，可以认定

为本罪中的“违法所得”;而案例二中，行为人的获利来源于后续支付宝优惠的行为，因此

该获利不能认定为本罪中的“违法所得”。

（三）上下游犯罪可能构成侵犯公民个人信息罪

“过脸”产业的上游是资源商提供公民个人信息，下游是出售账号牟利或“薅羊毛”等。从上

游资源商处购买公民个人信息的行为，涉嫌侵犯公民个人信息罪。根据2017年“两高”《关于

办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第4条规定，采取购买的非法方法

获取公民个人信息的行为，应当构成侵犯公民个人信息罪。对于下游倒卖恶意注册账号的行为

是否构成侵犯公民个人信息罪，关键在于判断该网络账号是否属于“公民个人信息”，看其能否

单独或者与其他信息结合识别特定自然人身份。

三、冒用身份型虚假“刷脸”验证行为的定性

案例四中，行为人制作了被害人的人脸动态图，解封了支付宝账号并从中转移走了资金。

整个行为分为手段行为（解封账号）和目的行为（转移资金），如何定性存在以下三方面争

议。

（一）手段行为是否单独构罪

经上文分析，该行为可能构成破坏计算机信息系统罪，即通过伪造3D人脸动图，干扰支

付宝系统正确识别本人身份，导致计算机系统无法按照设定者意志正常运行，当后果达到一定

严重程度时，构成本罪。如果行为达不到后果严重，可以考虑构成帮助信息网络犯罪活动罪。

客观上，账号解封为网络犯罪活动提供了源头支持和帮助;主观上，需要考察行为人是否明知

他人解封账号是为了实施违法犯罪活动。对于“明知”的认定，一是不需要行为人对正犯所实施

的特定犯罪有准确的认知，但必须认知到正犯实施的行为构成刑法上的犯罪;二是行为人必须

对正犯所实施犯罪的事实达到确定或者至少是高度盖然性的明知程度。[12]例如，全国首例“微

信解封”入刑案，被告人高某在解封操作中看到系统提示该号涉嫌，仍然为其解封;在

收款银行卡因涉嫌被查封后，仍然在利益驱使下继续解封，可以认定其主观“明知”，应以

帮助信息网络犯罪活动罪定罪处罚。