盗取、倒卖公民个人信息属于犯罪

　　侵犯公民个人信息，最恶劣的情况莫过于盗窃和倒卖。我国法院已经判处了一批盗取、倒卖公民个人信息的犯罪。倒卖个人信息是一件一本万利的事，但是要顶着坐牢的风险。

　　2009年，我国就出台了《刑法修正案（七）》，正式将公民个人信息纳入刑法保护。《刑法》第253条设立了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。

　　2015年，我国《刑法修正案（九）》将此前的二罪整合为一罪：“出售、非法提供公民个人信息罪”（老）+“非法获取公民个人信息罪”（老）=“侵犯公民个人信息罪”（新）。将此类犯罪的主体扩展到任何人，而不再限于金融、电信等单位工作人员。

　　2017年，最高人民法院、最高人民检察院联合制定了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，明确了此类犯罪的立案标准。倒卖人脸识别信息，要达到多少数量才会构成犯罪呢？司法解释规定：行踪轨迹信息、通信信息、征信信息、财产信息50条及以上；住宿信息、通信记录、健康生理信息、交易信息等500条及以上；其他信息5000条及以上。在司法解释中没有看到“人脸识别信息”、“生物识别信息”，因此它只能算作是其他信息，那么要达到5000条才会构成犯罪。5000条人脸信息，其法律重要地位仅相当于50条通信记录，人脸识别信息自然很没有“面子”。期待以后立法完善吧。

　　我国人脸识别立法会走向何方

　　在我国，从事人脸识别技术开发的企业总体上分为二类：一类是传统的互联网巨头，人脸识别是其人工智能版块的重要组成部分，如百度、阿里巴巴、腾讯等企业；另一类则是专项研发图形识别技术的人工智能企业，代表性的企业包括商汤科技、依图科技、云从科技、暖果科技等。

　　由于法律尚未禁止人脸识别，这也为人脸识别留足了市场空间。酒店住宿、机场安检、支付身份识别、工商办理身份识别等场景下都大量使用人脸识别，甚至去个动物园都要人脸识别。似乎，除了窃取和倒卖，其他的都可以明目张胆地干。未来，这一切会有改变吗？

　　法律在技术和隐私之间会作出怎样选择？这既关系到每一位公民的切身利益，同时也关乎人脸识别技术企业的战略选择。

　　参考国外立法，我国未来大概率会选择如下立法模式：1、允许商用和执法适用，明确知情权、同意权和消除权等权利；2、只允许政府在管理中使用，不允许商业性使用人脸识别；3、除特殊情形，常规政府管理和商用场景均禁止使用人脸识别技术。

　　上述三种立法模式，技术企业的商业空间逐渐递减。这在国外的诸多立法中均可以看到。美国旧金山、奥克兰、萨默维尔等市，开始禁止城市政府官员以及执法部门使用人脸识别技术。2020年初，欧盟发布了《欧盟人工智能白皮书》，其中也明确提出在3-5年内禁止人脸识别技术应用于公共场所，以评估该技术风险。果真如此的话，人脸识别技术还能卖给谁？

　　立法对商业模式的影响还将长期存在。美国伊利诺伊州的《生物信息隐私法》一直困扰着那些推销语音助手、门铃摄像头、照片标签等技术公司；同样，欧盟的《通用数据保护条例》也让一些互联网巨头们急剧增加了数据合规成本。同样，我国不断健全的公民个人信息立法，也将开始重塑未来的全新商业模式。

　　（作者为中国社科院知识产权中心研究员）