羊城晚报：能不能举一些实例？
周光权：在一些案例中 ， 违背知情同意规则的人脸识别数据滥用行为大致有以下类型：
第一类是欺骗他人取得人脸识别信息 。 例如 ， 曾流行的许多“AI换脸游戏”APP ， 就是利用用户乐于参与游戏、毫不防备的心理 ， 在未告知的情形下 ， 非法采集人脸识别信息 。
这类案件突出表现为不法分子针对中老年人对信息的鉴别能力较弱这一现实 ， 通过拍照等方式收集人脸识别信息 ， 使中老年人成为人脸识别信息被非法获取的一个特殊被害群体 。
例如 ， 有的不法分子在超市内 ， 以顾客购物满一定金额可获赠洗衣液等礼品为名 ， 要求顾客在领取礼品时提供姓名、身份证号码 ， 并用手机拍照、录制视频等方式采集被害人的肖像信息 。
再比如 ， 不法分子走乡串户到农村举办各种名目的活动 ， 要求达到一定年龄以上的老年人持本人身份证参加 ， 给参加者赠送价值很低的副食品 ， 然后对领取者的身份证及个人进行拍照 ， 获取人脸识别数据 。
不法分子向被害人获取的个人信息 ， 后续极有可能被用于办理开通、实名认证的移动通讯卡、银行卡或注册网络账户 ， 以及注册某些公司开发运营的放贷APP用户等 ， 待实名认证通过 ， 有关申请办理成功后 ， 不法分子从移动代理商、电信网络诈骗犯罪团伙成员处领取佣金 。
第二类是非法抓取通讯录及人脸识别信息 。 近年来发案率较高的情形是 ， 网络放贷平台APP借助于技术手段非法获取公民人脸识别信息后 ， 才予以放贷 ， 并将人脸识别信息共享给催收公司 ， 甚至将这些信息变卖获利 。 我个人认为 ， 行为人通过网络APP发放贷款 ， 在发放贷款前 ， 要求贷款申请人必须提供其亲友的手机号、通讯地址 ， 以及抓取人脸识别信息等 ， 以便于后期催讨债务的 ， 都属于过度读取个人信息 ， 也是侵犯公民个人信息的犯罪行为 。 因此 ， APP开发者在经营活动（不是日常生活交往）中 ， 要取得他人通讯录内储存的大量手机号码 ， 仅获得借款申请人的授权是不够的 ， 应当取得通讯录中每一个手机号码所有人的单独同意 。 个人的人脸识别信息属于生物识别信息 ， 是比一般个人信息更为重要的敏感个人信息 ， 未经个人同意、违背知情同意规则的抓取及向第三方提供的行为明显具有违法性 。
第三类是行为人将其控制的照片加工成人脸验证视频 。 例如在一宗案件中 ， 张某雇佣姚某萍 ， 并指使余某飞使用大量公民个人身份信息注册某宝账号 ， 再使用软件将公民头像照片制作成公民3D头像 ， 从而通过某宝（第三方支付平台）人脸识别认证 。 张某、姚某萍等人通过这种方式来获取某宝提供的邀请注册新某宝用户的相应红包奖励（每个新注册某宝 ， 行为人至少可以获取28元收益） 。 案发后 ， 警方从张某处查扣近2000万条公民个人信息 。 从2018年7月至案发 ， 张某共使用他人个人身份信息注册成功至少547个通过人脸识别认证的实名某宝账户 ， 从中非法获利15316元 。 2019年11月 ， 浙江省江山市法院一审判决张某犯侵犯公民个人信息罪和诈骗罪 。
隐患犹存
破解人脸识别验证的黑色产业链已相当“成熟”
羊城晚报：前不久 ， 有媒体根据广西南宁市兴宁区法院的一宗盗窃罪案判决书报道称 ， 男子黄某辉“翻开前女友眼皮”盗刷15万余元 。 “翻脸皮”的做法能否“骗”过人脸识别系统？
周光权：可以说 ， 靠掰眼皮、翻眼皮“骗”过人脸识别系统是不可能的 。
羊城晚报：那会不会是被告人通过非法手段使用真实的人脸识别数据取财？