顔認識の法的境界と刑法適用の限界

[[413292]]

顧客に顔のスキャンを義務付けることができるかどうかという議論を引き起こした最初の顔認識事件から、ディープフェイク技術を悪用して顔認識システムを突破し、アリペイの残高を盗んだ最初の刑事事件まで、顔認識のリスクは人々の日常生活を悩ませてきました。しかし、インテリジェント技術の進歩と法律の遅れの間には当然ギャップがあり、それが法律の適用に困難をもたらしています。同時に、理論と実践における刑法の機能に対する過度な期待が刑法の適用範囲の拡大を招き、顔認識の開発空間はますます狭くなっている。このような状況を踏まえると、刑法の適用範囲の限界を維持し、顔認識技術の革新と法的利益の保護とのバランスをとるために、顔認識に関連する行為の法的境界を定義することが必要である。

顔認識技術の発展とリスク管理のバランスをとるために、顔認識に対する刑法の適用は適切な範囲内に維持されるべきである。外的限界については、全体的な法秩序の観点から、顔認識の合法性と違法性、刑法と以前の法律との境界を特定する必要があります。内的限界については、刑法の評価に入った後、顔認識を伴う違法行為も、この犯罪とあの犯罪の間、重大犯罪と軽微な犯罪の間など、控えめに抑える必要があります。

外的限界：全体的な法秩序における顔認識の違法性基準

現在、わが国には顔認識技術の使用に関する高度で体系的な法的規制はなく、既存の規制は主に国家品質監督検査検疫総局と標準化管理局が発行した「情報技術生体認証アプリケーションプログラミングインターフェース」や「公安顔認識アプリケーションに対する画像技術要求」などの国家標準である。その中で、「情報セキュリティ技術個人情報セキュリティ仕様」は、顔認識の使用に関して一定の基準を定めており、上記の仕様は現在、顔認識の使用に関する法的境界を特定するための重要な根拠となっています。

1. 顔認識アプリケーションの法的境界の基本原則を決定します。具体的な法的規範が存在しない状況では、まず顔認識の使用に関する基本原則を決定する必要があります。これは、顔認識の使用の合法性を定義するための一般的なアプローチとして役立ちます。

まず、その核心は法的利益を保護することです。顔認識の応用には、さまざまな法的利益が関わってきます。プライバシーの権利を例にとると、法的利益保護の原則の現状について理解することができます。民法第1032条は、プライバシーの中核となる要素は平和とプライバシーであると規定しています。商業的価値や経営効率を盲目的に追求すれば、必然的にプライバシー侵害が横行し、法治国家に対する国民の合理的な期待が覆されることになる。国民のプライバシー権を侵害する顔認識行為は拒否されるべきであるが、法的な利益をわずかに侵害する行為はより大きな社会的利益をもたらす可能性があり、ある程度容認されるべきである。これには比例原則に基づく検討が必要である。

第二に、比例の原則を基準として使用します。顔認識技術の使用が法的利益を侵害する場合には、その利益と法的利益の侵害を比較検討することも必要である。顔認識技術を適用することで得られる利益が侵害される法的利益よりも大幅に大きい場合、顔認識技術の使用により違法行為を防ぐことができます。比例性の原則により、顔認識の法的境界に具体的な基準を設定できます。

ここでも同意の原則が前提となります。商業活動において、顔認識技術の応用および顔認識情報の収集は、情報主体の認識と同意に基づいて行われる必要があります。権利者の同意なく顔認識装置を密かに設置し、権利者の顔認識情報を取得することは違法となります。たとえ正式な同意があったとしても、それは権利者側の自発的な同意ではなく、正当なものではありません。現在、顔認識情報の取得における同意原則違反は、一般的に、（１）「顔スキャン」が自分に不利益な結果をもたらす可能性があることを知らない者、および（２）「顔スキャン」が不利益な結果をもたらす可能性があることを知っているが、状況により拒否することが難しい者の２つのカテゴリーに分類される。

2. 顔認識に関わる行為の刑事違法性を判断する基準を明確にする。上記の3つの原則に違反する行為は、一般的には違法であるが、刑法に基づいて評価されるためには、依然として処罰される必要がある。これが、刑法の適用の外的限界の基本的な意味合いである。顔認識が関与する現在の犯罪には、その法益侵害の類型や司法判断の現状を踏まえると、顔認識を標的とした犯罪と、顔認識を道具として利用する犯罪がある。前者は一般的に国民の個人情報を侵害する犯罪であり、後者は主に財産犯罪であり、法的な利益の実質的な侵害が処罰対象となる違法性の判断基準となるべきである。

まず、顔認識情報を侵害する行為の刑事違法性を判断する基準は、実質的法的利益の侵害であるべきである。

まず、実質的法的利益の侵害は量的な違法性によって判断されます。 「最高人民法院、最高人民検察院による公民個人情報侵害刑事事件処理における法律適用の若干の問題に関する解釈」（以下、「解釈」という）第1条では、「公民個人情報」の範囲を定義する際に生体認証情報は挙げていない。第5条第（4）項では、宿泊情報、通信記録、健康・生理情報、取引情報などを公民個人情報として挙げており、有罪の基準は500項目以上である。第（5）項では、公民個人情報の範囲について包括的な規定を設けており、つまり、公民個人情報の有罪の包括的な基準は5,000項目以上である。筆者は、解釈第1条には生体認証情報は記載されていないものの、これまでの法律では生体認証情報は国民の個人情報の範疇に含まれており、全体的な法秩序に基づけば、刑法もこれを否定することはできず、第1条の「等」という文言を通じて生体認証情報を国民の個人情報に含めることができると考えている。解釈第5条は、国民の個人情報を侵害した場合の刑事基準について規定しているが、生体認証情報を侵害した場合の違法な数量基準については言及していない。争点は、生体情報の侵害を第5条第4項の「健康生理情報」として解釈すべきか、それとも第5項の包括的規定として解釈すべきかである。前者の場合、有罪判決の基準は500であり、後者の場合、有罪判決の基準は5,000である。刑法の適用範囲拡大に関する見解は前者を支持する傾向があるが、「情報セキュリティ技術および個人情報セキュリティ仕様」では「生体認証情報」と「健康および生理情報」が国民の個人情報の2つの並行するタイプであると規定されているため、全体的な法秩序の下では規制上の障壁がある。つまり、従来の法律では相互に排他的であった二組の概念を刑法では属と種の関係として解釈することは、非論理的であるだけでなく、法秩序の統一性を損なうことになる。本稿は、刑罰を拡大するために、罪刑法定主義の限界を無視することはできないとし、むしろ後者に基づいて解釈し、有罪判決を受ける違法行為の数は5,000件とすべきであると考えている。これにより、罪刑法定主義の形式面を遵守するだけでなく、刑法の謙虚さも維持できる。

第二に、実質的法的利益の侵害は具体的な状況を通じて判断されます。例えば、解釈第5条第2項によれば、他人が顔認識情報を利用して犯罪を行っていることを知っている、または知っているべきであるにもかかわらず、顔認識情報を提供した場合は、違法な量を必要とせずに有罪となる可能性がある。第二に、実質的法的利益の侵害は、法的利益の欠如を通じて否定される可能性がある。犯人が取得した他人の顔認識情報が無効となり、特定の自然人を識別することができない場合には、利益の侵害にはならず、犯罪を構成することは困難である。つまり、刑事違法性の判断は形式的違法性に限定されるべきではなく、実質的な法益侵害の有無が鍵となる。形式的に違法であるだけで実質的違法でない行為は、刑法の規制の対象とすべきではない。

第二に、実質的法的利益の侵害は、顔認識技術を財産犯罪に利用することの刑事違法性を判断する基準でもある。顔認識を手段とする財産侵害行為については、金額が相当の財産犯基準（形式的違法性）に達しても、実質的な法益侵害がなければ、犯人は免責されるべきである。そのためには、実体解釈の免責機能に依拠し、我が国の刑法第13条の「しかし」条項の免責機能を十分に発揮させる必要がある。

内部制限：刑法の観点から見た違法行為の適用方法論

顔認識関連行為が刑法評価に入ると、この犯罪とあの犯罪、重大犯罪と軽微な犯罪の境界が明確でなくなり、個別の事件判決において誤解や適用の混乱が依然として生じている。

1. 顔認識情報の違反に対する罰則強化についての質問。現在の理論レベルでは、顔認識情報の違反に対する罰則の厳しさを強化するための議論には主に 2 つの種類があります。

まず、立法の面では、特別犯罪を創設することで刑罰の厳しさを高めることができます。このような立法思想は、刑法の規制の抜け穴を埋めることを意図したものではなく、情報の機密性や特殊性を考慮して別の犯罪を設定することで、より高次元の攻撃を実現することを目的としています。この立法論理は非常に感情的であり、刑法の控えめな立場に適合していません。法定刑の重さは、個々のケースにおいて裁判官の裁量で決定できる。顔認識情報の重要性と独自性は、複数の社会的手段を認識し保護することを必要とする。上記の課題は、刑法を改正するだけでは達成できず、刑法を社会管理法に縮小するだけだ。したがって、顔認識情報を侵害する行為は、国民の個人情報を侵害する罪を適用することで対処でき、罰則の抜け穴はない。法定刑を重くするためだけに特別犯罪を創設することは、刑法を分断し、刑法制度の基盤と権威を損なうことになるだけです。

第二に、顔認識情報の侵害に対する犯罪基準を引き下げることで、刑罰の厳しさを増すという解釈論である。一部の学者は、生体認証情報の侵害は解釈第5条第(10)項の「その他の重大な状況」と解釈すべきであると主張し、顔認識情報の「5個以上」の侵害は「重大な状況」であり、「50個以上」の顔認識情報の侵害は「特に重大な状況」であると独創的に提案している。つまり、前回の記事で説明したように顔認識情報侵害（情状が重い）の刑事基準が5,000だとすると、法定刑加重基準（特に情状が重い）は50,000となる。本来、5,000件未満の顔認識情報を侵害する行為は犯罪ではないが、この理論家の解釈によれば、それは犯罪を構成するだけでなく、より高い法定刑の適用も必要とし、「二重跳び」を達成している。しかし、この説明には信頼できる根拠がなく、顔認識情報の特殊性ゆえに証拠が不十分である。筆者は、現行の刑法制度において、顔認識情報を生理的健康情報と解釈したり、顔認識情報を侵害する行為を「その他の重大な状況」と解釈したりすることは、法秩序全体を損なったり、条項を列挙するだけで包括条項を直接適用したりすることになり、犯罪処罰の合法性の原則の法的要求に適合しないと考えている。実際、顔認識情報の特別な保護は、まず技術的な手段によって、次に予防的な法的規制を講じることによってより適切に達成されます。刑罰の増額は事後的な救済策に過ぎず、被害者の損失を効果的に回復することは困難であり、また、加害者を一般的な予防の道具にしてしまう。

2. 顔認識技術を使用して財産を盗むことは、軽犯罪と重罪の境界線です。現在、犯罪手段としての顔認識は、主に窃盗、詐欺、クレジットカード詐欺に利用されています。犯罪化や重罪化を盲目的に追求することで顔認識技術が汚名を着せられるのを避けるためには、上記の犯罪の境界を明確にする必要がある。

一方では、窃盗と詐欺の境界は比喩的な推論によって決定されます。比喩は、馴染みのあるものを船として使い、馴染みのない事実を法的規範に運びます。特に窃盗と詐欺に関しては、「処分行為」の有無が両者を区別する一定の基準となります。 「処分行為」があるかどうかの判断は、比喩的推論を用いることで判別できる。例えば、犯人は被害者の3D顔画像を偽造して被害者の顔認証決済パスワードを騙し、被害者のアリペイ残高を入手する。アリペイはソフトウェア（機械）なので騙される可能性はない。アリペイの顔認証システムが3D顔画像で「騙された」としても、アリペイに対する詐欺行為とは捉えられない。 3D顔画像を秘密鍵、Alipayを金庫に例えることができます。3D顔画像を使用してAlipayの顔認識システムを「騙して」お金を盗むことと、鍵を使用して他人の金庫を開けて財産を盗むことの間には本質的な違いはなく、どちらも窃盗罪を構成します。したがって、犯人が被害者を騙して顔認証を行わせ、欺瞞的な手段でアリペイ残高を入手し、被害者が顔認証決済が行われていることに気付いていない場合には、被害者は決済を認識していないため、詐欺ではなく窃盗となる。一方、被害者が顔認証決済であることを知っていながら、通常の決済であると勘違いし、犯人が被害者のアリペイ残高を全て送金した場合は、被害者は決済を認識しているため、詐欺となる。

一方、窃盗とクレジットカード詐欺の境界は総合判定方式で把握されます。刑事量刑における総合的判断方式とは、あらゆる事情を考慮して適切な量刑を科す方式をいう。著者は、クレジットカード詐欺は特殊な種類の詐欺であるため、本質的には依然として懲戒処分が必要であると考えています。クレジットカード詐欺罪を適用する場合、銀行は問題を処理する独立した主体とみなされ、詐欺の被害者に対して総合的な判断がなされるべきである。偽造クレジットカード、無効なクレジットカード、他人のクレジットカードを偽装するなど、騙される側も、騙される側も、騙す側も銀行であり、詐欺罪の基本構造を満たしています。しかし、被害者を騙して顔認証を通過させ、被害者のAlipayやHuabeiにログインして口座残高を振り込むだけでは、クレジットカードの使用には至りません。被害者を騙して顔認証を通過させるのは、行為を実行する前の行為手段（準備行為）です。総合判定法から、被害者側に処分行為はなく、純粋な窃盗行為に過ぎないことがわかります。

（著者はそれぞれ東南大学サイバーセキュリティ法研究センターの所長、教授、博士課程の指導教官、江蘇省徐州市通山区人民検察院の副検察長。本稿は『人民検察院』2021年第13号の論文「顔認識行為に関わる刑法の適用範囲」より抜粋）