在个人信息非法交易过程中,一套包含动态人脸图和身份证的照片仅售几十元;在商场,走进一家门店,你的人脸信息已在不知不觉中被记录分析。当“刷脸”无处不在,你是否担心你的“人脸”安全?
2025年,法律对人脸信息的保护打出“组合拳”。3月,《人脸识别技术应用安全管理办法》出台,为技术的规范应用划下红线。6月,最高人民法院发布典型案例,明确买卖人脸信息可判刑。从司法打击到源头治理,一张保护公民“数字面容”的安全网正在收紧。
图片来源于豆包AI
案例直击:人脸信息被
“明码标价”的黑色交易
WISDOM
2025年6月,最高人民法院发布的一起典型案例,揭开了人脸信息黑色产业链的冰山一角。
徐某从网上购买约130套公民个人身份信息(含动态人脸图)及专用软件,在未经同意的情况下,擅自解封他人游戏账号,并出租软件、转卖信息,获利6000元。李某则利用该软件,通过人脸识别为他人解封社交账号,并倒卖从多渠道购进的含人脸照片的个人信息,获利3万元。
法院判决,两人行为均构成侵犯公民个人信息罪。李某被判有期徒刑九个月,罚金3万元;徐某被判有期徒刑六个月,罚金6000元。[1]
最高法在此案中明确裁判要旨:人脸照片、视频等属于刑法保护的公民个人信息,非法获取、出售或提供,情节严重的,即可构成本罪。
乱象丛生:我们正身处怎样的
“人脸信息侵权”困局?
WISDOM
最高法的案例并非孤例,它只是庞大灰色产业的缩影。日常生活中,人脸识别滥用的乱象更为普遍。回家进小区、去健身房、登录某些APP,均强制刷脸,进入商场、公司,人脸信息被偷偷采集;再与AI换脸等深度伪造技术结合,风险陡增。浙江警方就曾破获案件,犯罪团伙利用AI大模型,结合非法获取的人脸照片生成动态视频,突破各类平台的人脸识别验证,进而盗取账号、窃取更多信息。[2]
司法重拳:侵犯人脸信息
会承担什么样的法律责任?
WISDOM
人脸信息作为“个人信息”的一种、作为“数据”的一种,受到法律的全方位保护。我国已构建起一个涵盖刑事、民事、行政等多层次的法律规范体系,对侵犯个人人脸信息的行为进行综合治理。
(一)刑事责任
1.售卖人脸信息触犯《中华人民共和国刑法》第253条之一侵犯公民个人信息罪
根据该条及“两高”司法解释,向他人出售或提供公民个人信息,情节严重的,处三年以下有期徒刑或拘役;情节特别严重的,处三年以上七年以下有期徒刑。“公民个人信息”涵盖范围广泛,包括姓名、身份证号码、住址、行踪轨迹等任何能单独或结合识别特定自然人的信息,自然也包括人脸。
指导性案例192号李开祥侵犯公民个人信息刑事附带民事公益诉讼案明确了:使用人脸识别技术处理的人脸信息以及基于人脸识别技术生成的人脸信息均具有高度的可识别性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况,属于刑法规定的公民个人信息。窃取或者以其他方法非法获取上述人脸识别信息,情节严重的,应依照《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款第四项等规定定罪处罚。
该解释具体规定非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的,应当认定为刑法第二百五十三条之一规定的“情节严重”。也即非法获取、出售或者提供人脸信息500条以上,即达到“情节严重”,构成侵犯公民个人信息罪。
图片来源于豆包AI
2.通过AI换脸骗过软件人脸验证系统的行为触犯《刑法》第285条“非法侵入计算机信息”系统罪
最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》明确,“侵入” 包括避开或突破安全保护措施、未经授权获取数据或控制系统的行为。AI 换脸本质是伪造动态人脸视频,绕过平台人脸识别安全机制,属于 “突破安全保护措施” 的侵入行为;非法获利 5000 元以上或造成经济损失 1 万元以上,即达 “情节严重” 标准。
2025 年 9 月,武汉网警侦破全省首例此类案件:犯罪嫌疑人阿成伙同他人,用 AI 换脸生成动态视频,骗过互联网平台人脸验证,篡改企业法人信息、侵占社交媒体账号,非法获利 40 余万元。警方以涉嫌《刑法》第 285 条将 4 人刑拘。[3]
图片来源于豆包AI
(二)民事责任:侵权损害赔偿与人格权保护
即便侵权行为的严重程度还不足以引起刑事打击,也会引发民事领域的法律责任。
侵犯人脸信息主要构成对自然人人格权益(如隐私权、肖像权、个人信息权益)的侵害,需承担相应的民事责任。
根据《民法典》第一千零三十四条规定:自然人的个人信息受法律保护,生物识别信息属于个人信息;而人脸信息即属于生物识别信息,属于个人信息,依法受法律保护。
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释〔2021〕15号)聚焦人脸信息这一敏感生物识别信息的民法保护,明确了人脸识别民事纠纷的裁判规则。其中划定了八种典型的侵害人脸信息权益的行为:在经营场所、公共场所违法违规使用人脸识别技术;未公开处理规则或未明示目的、方式、范围,或违背该明示或双方约定进行处理的;未取得个人的单独同意或书面同意;未采取必要安全措施致信息泄露;违反约定向他人提供信息;违反公序良俗处理人脸信息等等,并细化了责任认定、举证分配、人格权禁令、公益诉讼及死者人脸信息保护等程序与实体规则,为人脸信息保护提供了全面的司法救济指引。
图片来源于豆包AI
(三)行政责任:监管处罚与合规要求
人脸信息属于敏感个人信息,行政法律责任主要由《个人信息保护法》《网络安全法》《数据安全法》及《人脸识别技术应用安全管理办法》设定,由网信、公安、市场监管等部门实施联合监管。例如:
1.根据《个人信息保护法》规定,违反法律规定处理个人信息,或者处理个人信息未履行法定个人信息保护义务的,将引发“责令改正”、“警告”、“没收违法所得”等行政法律责任,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,对单位罚款及对负责人、责任人罚款都将升档。
2.《人脸识别技术应用安全管理办法》(2025年6月1日起施行)作为专门规章,进一步细化了行政监管要求:
备案管理:处理人脸信息存储数量达到10万人的个人信息处理者,需向省级以上网信部门备案。
安全规范:要求采取数据加密、安全审计、访问控制等措施保护人脸信息安全;原则上人脸信息应存储于设备内,不得通过互联网对外传输;不得在宾馆客房、公共浴室等私密空间安装人脸识别设备。
图片来源于豆包AI
风险防范:公民个人
如何守护“数字面容”
WISDOM
即便法律构建了完善的防护体系,公民个人也应提高警惕,主动防御:
1. 谨慎授权,非必要不提供:使用APP服务时,仔细阅读隐私条款,了解人脸信息用途。对非必要、强制的“刷脸”要求,保持警惕并尝试询问替代方式。不要在来源不明的App 里面上传人脸信息、银行卡信息、个人身份信息;敏感的个人账户设置双重验证,人脸信息仅作为辅助验证方式。
2. 勇于说“不”,行使选择权:根据新规,面对作为“唯一验证方式”的人脸识别(如小区门禁),可以明确要求物业提供其他合理验证方式。2021年7月,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》中第十条明确了:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”
图片来源于豆包AI
3. 定期检查,筑牢安全防线:定期检查重要账号的登录记录,修改密码,开启双重验证(如短信+密码)。在手机系统设置中,定期审核各APP的“权限”情况,关闭非必要的人脸、相机、相册访问权限。
4. 不配合身份不明人员采集人脸、指纹和虹膜等个人生物信息,警惕需要上传手持身份证照片或视频的要求:街头“扫码送礼品”“注册领红包”,要求人脸识别的,应当果断拒绝。任何非权威机构要求你上传手持身份证正反面照片或视频,都应当坚决拒绝。此组合信息威力极大,可完成绝大多数身份冒用。
5. 留存证据,依法主动维权:一旦怀疑或发现人脸信息被非法使用,及时保存截图、录像等证据,向网信、公安部门举报,或向人民法院提起诉讼。截图、录屏应包含时间戳、网址/APP界面、对方账号信息、聊天记录全过程。
图片来源于豆包AI
注
———————————————————
[1]https://eastlawlibrary.court.gov.cn/court-digital-library-search/page/portal/newsDetail.html?id=0c01617ccdfc486ba33e899ec7011cd3
[2]https://mp.weixin.qq.com/s?__biz=MjM5NjE4MDk4MQ==&mid=2650024879&idx=1&sn=cbfb7b2c3dc3de49ae81f1abdb710a75&chksm=bf0c14387a271109de37d97e431557fb3e2a8f7864de49a57ca938b42baa8b6092c8a69ec7ac#rd
[3]https://mp.weixin.qq.com/s/qfiYEohXcNtGDnDGwAMBhA?scene=1&click_id=1
谭秦 中共党员
维思德律师事务所执业律师
中国社会科学院大学法学学士
擅长刑事辩护。工作以来,参与多件非吸、集诈等经济犯罪、以及职务犯罪的辩护。
往期 · 推荐
撰稿|谭 秦
排版|刘晨卉
审核|丁 静
冯颖琼
