文 銘，劉 博

（重慶郵電大學(xué) 網(wǎng)絡(luò)空間安全與信息法學(xué)院，重慶400065）

引言

隨著計算機(jī)技術(shù)的快速發(fā)展，人臉識別技術(shù)已在社會生活中得到了廣泛應(yīng)用，使得現(xiàn)代社會生活方式愈加趨于簡單快捷，如購物時刷臉支付；安檢時人臉識別；上課、上班刷臉簽到，以及住宅小區(qū)人臉門禁。簡言之，臉就是通行證，是行走的“密碼”，是身份的證明。

人臉識別技術(shù)是指給定某一靜止或動態(tài)圖像，利用已有的人臉數(shù)據(jù)庫來比對確認(rèn)圖像中的一個或多個人的技術(shù)[1]。這是一種新型的AI技術(shù)，多數(shù)應(yīng)用于政府、企業(yè)和支付領(lǐng)域。數(shù)據(jù)表明，人臉識別的準(zhǔn)確率已經(jīng)做到了比肉眼更精準(zhǔn)[2]。人臉識別技術(shù)未來發(fā)展的前景不可估量。

但愈加成熟的人臉識別技術(shù)，其在諸多方面的隱憂也引起人們的思考。如政府通過城市監(jiān)控收集的人臉信息是否侵害了公民的隱私？個人信息是否征求其同意？同時，由于人的面貌屬于不可更改的生物信息，具有唯一性，一旦生物數(shù)據(jù)信息發(fā)生泄露，其后果不堪設(shè)想。而目前尚沒有具體法律法規(guī)對人臉識別技術(shù)應(yīng)用進(jìn)行明確規(guī)制。

一、人臉識別技術(shù)的應(yīng)用

（一）人臉識別基本理論來源

人臉識別的最早理論基礎(chǔ)——可追溯到美國認(rèn)知心理學(xué)先驅(qū)人物杰羅姆·布魯納 (J.S.Bruner)于1954年發(fā)表的論文《The perception of people》；而機(jī)器自動人臉識別 (AFR)的研究則始于1964年[3]。近年來，人臉識別技術(shù)不斷成熟，并且在很多場合發(fā)揮了它的作用，但是對這一技術(shù)發(fā)展有著舉足輕重作用的還是計算機(jī)等信息科學(xué)的快速發(fā)展。

1.人臉識別基本過程

人臉識別利用攝像機(jī)或相機(jī)收集含有人臉的照片或者視頻，并且自動識別其中的信息——進(jìn)行追蹤或者檢測有效信息，并且對有效人臉信息執(zhí)行進(jìn)行相關(guān)操作。

（1）人臉圖像收集（如圖1所示）

（2）人臉圖像預(yù)處理（如圖2所示）

進(jìn)行圖像處理的目的是為了更好地提高人面部的識別特征，進(jìn)而才會更方便進(jìn)行對比，畢竟圖像會受到大小、分辨率、光照條件、遮擋程度、采集角度等等因素的影響；而視頻中人臉采集還會受到雜音、色彩分辨度等因素影響。

（3）特征識別對比驗(yàn)證

人臉的特征提取和對比驗(yàn)證是最為關(guān)鍵的兩個部分。生物信息提取人臉的特征后，將基于人臉的生物特征進(jìn)行圖像收集、圖像預(yù)處理后，依據(jù)與數(shù)據(jù)庫信息對比判斷是否為同一個人。

圖1人臉檢測定位

圖2人臉圖像預(yù)處理流程圖

(二)人臉識別技術(shù)應(yīng)用領(lǐng)域

人臉識別技術(shù)應(yīng)用領(lǐng)域（見表1）。

表1五種人臉識別模式的應(yīng)用

二、人臉識別技術(shù)應(yīng)用面臨的法律風(fēng)險

2017年3.15晚會上，主持人拿出了經(jīng)過技術(shù)加工后的人臉動態(tài)圖像，并征得觀眾同意后，從其個人社交軟件上發(fā)布的照片采用3D打印技術(shù)后順利地通過某款刷臉支付軟件的檢測。該情景不禁讓人深思，人臉識別應(yīng)用中所承載的技術(shù)安全與法律風(fēng)險。

（一）信息安全風(fēng)險

人臉識別作為收集生物信息技術(shù)手段，需滿足保密性、真實(shí)性、實(shí)用性等要求，因?yàn)楝F(xiàn)在人臉識別技術(shù)是處于發(fā)展階段，并不完美，其識別精準(zhǔn)度受姿態(tài)、光照、算法等因素的影響，其在動態(tài)識別的技術(shù)缺失，使得在實(shí)際應(yīng)用中效果會比理想要差得多。

1.安全防范風(fēng)險

現(xiàn)如今互聯(lián)網(wǎng)公司掌握公民大量的信息，一旦黑客利用技術(shù)入侵或者挾持公司中儲存的用戶信息，極易造成安全隱患。如2019年2月“深網(wǎng)視界”因安全措施不到位，從而導(dǎo)致大量人臉信息泄露于網(wǎng)上。人臉信息的唯一性使得其不像其他信息，丟失后可以進(jìn)行掛失，人臉信息一旦丟失就是等于把自己的“密碼”公之于眾。當(dāng)不法分子掌握公民人臉信息和個人隱私數(shù)據(jù)后，可以遠(yuǎn)程實(shí)現(xiàn)竊取公民信息并造成損害，侵害公民信譽(yù)權(quán)和人格權(quán)。所以，如何防止和堵塞黑客盜取公民信息的技術(shù)漏洞？應(yīng)是互聯(lián)網(wǎng)企業(yè)提升安全防范技術(shù)的重中之重。

2.信息錯位風(fēng)險

人臉識別受外界因素影響較大，其具有不穩(wěn)定性的特點(diǎn)，因?yàn)槿四標(biāo)N(yùn)含的信息量較指紋、虹膜等生物特征少，其變化的復(fù)雜性不夠[4]，就可能會出現(xiàn)一人識別出不同信息的情況發(fā)生。另外，由于地區(qū)之間資源不平衡、信息流通不暢等問題，導(dǎo)致識別信息錯位。

同時，由于大量采集的生物信息儲存在統(tǒng)一的平臺內(nèi)，數(shù)據(jù)量呈指數(shù)倍極快地增長。若同時運(yùn)行或輸出各種不同的數(shù)據(jù)，平臺程序多次頻繁運(yùn)行，勢必會造成輸出數(shù)據(jù)錯位和內(nèi)部信息錯亂，為信息數(shù)據(jù)儲存和運(yùn)行帶來安全風(fēng)險。我國當(dāng)前的數(shù)據(jù)儲存技術(shù)能否承擔(dān)龐大的需求還需要實(shí)踐的檢驗(yàn)。若是平臺的數(shù)據(jù)管理系統(tǒng)缺乏相應(yīng)的安全機(jī)制，當(dāng)出現(xiàn)問題則為時晚矣。

（二）監(jiān)管缺位風(fēng)險

公共場所公民信息被隨意收集，或公民接受服務(wù)而用自己的信息作為交換，這些現(xiàn)象的出現(xiàn)是因?yàn)槲覈鴮τ谛畔⑹占]有設(shè)置相應(yīng)的門檻要求，任何部門、機(jī)構(gòu)和公司都可以某些目的來收集公民信息。

1.強(qiáng)制采集

微信程序風(fēng)靡的“面相測試”、“掌紋算命”、網(wǎng)上基因檢測以及ZAO軟件都是未經(jīng)用戶同意以欺騙手段或強(qiáng)制采集用戶生物信息。在2018年中國消費(fèi)者協(xié)會公布的對于涉及采集個人信息的APP抽查測評，顯示我國存在大量App或軟件不正當(dāng)、不適度收集用戶信息。因?yàn)槿狈κ袌黾s束和法律監(jiān)管，企業(yè)強(qiáng)制采集用戶信息已成為常態(tài)。大多數(shù)軟件采取用戶不同意采集則被禁止享有App服務(wù)，即“不授權(quán)無服務(wù)”。

2.信息濫用

亞太網(wǎng)絡(luò)法律研究中心主任研究員劉德良指出，目前個人生物信息所面臨的問題并不是需要保護(hù)，而是信息被濫用的問題[5]。一些不法分子、黑客和部分企業(yè)員工利用灰色數(shù)據(jù)產(chǎn)業(yè)鏈為部分不可實(shí)名認(rèn)證的人進(jìn)行認(rèn)證并獲取利益[6]，甚至在國內(nèi)催生出“過臉”這種黑灰產(chǎn)業(yè)。利用相應(yīng)的人臉信息和竊取、收買的個人數(shù)據(jù)在網(wǎng)上注冊虛假賬號、侵害公民虛擬財產(chǎn)等不法行為。AI“深偽”技術(shù)①“深偽”是一種AI軟件技術(shù)，可以對被模仿者的面部建模，合成天衣無縫的偽造視頻。的不斷成熟，讓我們更加意識到規(guī)制信息濫用問題刻不容緩。

（三）信息保護(hù)意識淡薄

人臉識別技術(shù)具有非接觸性特點(diǎn)，從而使得讀取或收集個人信息更具隱蔽性，甚至是在被收集人不知情的情況下就可以進(jìn)行信息采集。人臉識別會侵犯公民隱私、自由甚至人身安全。

1.知情權(quán)

知情權(quán)是法律規(guī)定公民所享有保護(hù)其個人信息的基本權(quán)利，它規(guī)定任何應(yīng)用訪問個人信息必須獲得用戶許可。而我國的《網(wǎng)絡(luò)安全法》第四十四條規(guī)定：“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息?！钡枪衿毡閷τ趥€人信息不合理或過度采集缺乏保護(hù)意識。所以，如何保護(hù)公民信息采集時的知情權(quán)，以及企業(yè)或者政府使用個人信息時是經(jīng)合法授權(quán)的應(yīng)是業(yè)界思考的問題。

2.隱私權(quán)

監(jiān)控探頭幾乎遍布公共場所每一角落，其目的是維護(hù)社會治安，保護(hù)人民生命財產(chǎn)安全。用戶的信息被政府部門、互聯(lián)網(wǎng)公司大量采集，如若收集的公民信息使用不當(dāng)就會侵犯公民的隱私權(quán)，在崇尚效率的今天，我們并不排斥刷臉帶來的便捷實(shí)用，但是高懸的達(dá)摩克利斯之劍也讓我們心生恐懼。生物信息會不會被過度地采集？一些企業(yè)有沒有合理使用信息的自律性、自覺性[5]？一旦這些信息被盜取，那么公民的隱私將無所遁形。

三、國內(nèi)外關(guān)于人臉識別的法律規(guī)定

伴隨著信息技術(shù)飛速發(fā)展，人臉識別技術(shù)在全球諸多行業(yè)得到了廣泛應(yīng)用。美國和歐盟針對這一技術(shù)可能引起的技術(shù)安全與法律風(fēng)險，已逐步出臺了相關(guān)法律條文進(jìn)行規(guī)制。但我國至今卻尚未出臺專門針對生物信息收集和處理的法律規(guī)范。

（一）域外的法律規(guī)定

1.美國模式

美國聯(lián)邦法律雖然沒有統(tǒng)一規(guī)制關(guān)于人臉識別的數(shù)據(jù)收集法律，但是部分州已經(jīng)制定了相關(guān)法律法規(guī)（見表2）。

美國是采取限制發(fā)展模式，通過上表不難看出美國針對生物信息的法律正在加緊完善。美國的信息技術(shù)很發(fā)達(dá)，針對生物信息保障側(cè)重于公民對于信息收集的知情與否和企業(yè)利用信息是否合理，意圖促進(jìn)自身的科技發(fā)展的同時，保障公民的隱私和企業(yè)的數(shù)據(jù)安全。美國重點(diǎn)限制公權(quán)力隨意采集公民信息，但是對于企業(yè)和技術(shù)發(fā)展則給予較大空間。通過抑制政府部門權(quán)力，利用美國各行業(yè)間嚴(yán)格自律政策來實(shí)現(xiàn)保護(hù)隱私權(quán)的目的。最為關(guān)鍵的是，允許人臉識別技術(shù)的發(fā)展是因?yàn)槿虻臄?shù)據(jù)信息都跨境流向美國，美國正為自己的企業(yè)發(fā)展打造自由發(fā)展的環(huán)境，給予行業(yè)自由裁量權(quán)，促進(jìn)美國信息科技的發(fā)展壯大。

2.歐盟模式

歐盟的《通用數(shù)據(jù)保護(hù)條例》（簡稱：GDPR）第4條第14項②歐盟GDPR第4條第14項:“生物識別數(shù)據(jù)”是通過對自然人的物理、生物或行為特征進(jìn)行特定的技術(shù)處理的得到的個人數(shù)據(jù)。這類數(shù)據(jù)生成了那個自然人的唯一標(biāo)識，比如人臉圖像或指紋識別數(shù)據(jù)。、第6條③第6條處理的合法性：1.只有在適用以下至少一條的情況下，處理視為合法：a.數(shù)據(jù)主體同意他或她的個人數(shù)據(jù)為一個或多個特定目的而處理；b.處理是為履行數(shù)據(jù)主體參與的合同之必要，亦或處理是因數(shù)據(jù)主體在簽訂合同前的請求而采取的措施；c.處理是為履行控制者所服從的法律義務(wù)之必要；d.處理是為了保護(hù)數(shù)據(jù)主體或另一個自然人的切身利益之必要；e.處理是為了執(zhí)行公共利益領(lǐng)域的任務(wù)或行使控制者既定的公務(wù)職權(quán)之必要；f.處理是控制者或者第三方為了追求合法利益的之必要，但此利益被要求保護(hù)個人數(shù)據(jù)的數(shù)據(jù)主體的利益或基本權(quán)利以及自由覆蓋的除外，尤其是數(shù)據(jù)主體為兒童的情形下。、第7條④第7條同意的要件：如處理是基于同意，則控制者應(yīng)能證明數(shù)據(jù)主體已經(jīng)同意處理他或她的個人數(shù)據(jù)。如數(shù)據(jù)主體通過書面聲明的方式作出同意，且書面聲明涉及其他事項，那么同意應(yīng)以易于理解且與其他事項顯著區(qū)別的形式呈現(xiàn)。構(gòu)成違反本法的聲明的任何部分，均不具約束力。數(shù)據(jù)主體有權(quán)隨時撤回他或她的同意。同意的撤回不應(yīng)影響在撤回前基于同意作出的合法的數(shù)據(jù)處理。在作出同意前，數(shù)據(jù)主體應(yīng)被告知上述權(quán)利。撤回同意應(yīng)與作出同意同樣容易。當(dāng)評估同意是否是自由作出時，應(yīng)盡最大可能考慮，還應(yīng)考慮合同的履行，包括服務(wù)的提供是否是基于對履行合同不必要的個人數(shù)據(jù)的同意。、第9條⑤第9條特殊種類的個人數(shù)據(jù)處理：對揭示種族或民族出身，政治觀點(diǎn)、宗教或哲學(xué)信仰，工會成員的個人數(shù)據(jù)，以及以唯一識別自然人為目的的基因數(shù)據(jù)、生物特征數(shù)據(jù)，健康、自然人的性生活或性取向的數(shù)據(jù)的處理應(yīng)當(dāng)被禁止。如果符合以下情形，則第一款不適用：a)數(shù)據(jù)主體對以一個或數(shù)個特定目的對上述個人數(shù)據(jù)的處理給予了明確同意，但依照歐盟或者成員國的法律規(guī)定，第1款規(guī)定的禁止情形不能被數(shù)據(jù)主體援引的除外。、第12條⑥第12條數(shù)據(jù)主體行使權(quán)利的透明度、交流和模式：控制者應(yīng)當(dāng)以一種簡單透明、明晰且容易獲取的方式，通過清楚明確的語言，采取合適措施提供第13條和第14條所提到的任何信息，以及根據(jù)第15條到第22條和第34條所提及的關(guān)于數(shù)據(jù)主體處理過程的溝通信息（尤其是關(guān)于兒童的任何信息）。控制者應(yīng)當(dāng)提供書面材料，在其他情況下，若有必要，可以采用電子方式。如果數(shù)據(jù)主體能夠通過其他方式得到認(rèn)證，那么在數(shù)據(jù)主體的要求下，能夠以口頭方式提供信息。，這些法律條例都規(guī)定了識別生物信息，如人臉圖像和指紋數(shù)據(jù)都需要得到本人的許可且處理必須合法，而對揭示其種族或民族的出身，披露個人的政治觀點(diǎn)、宗教或哲學(xué)信仰，工會成員的個人數(shù)據(jù)，以及以唯一識別自然人為目的的基因數(shù)據(jù)、生物特征數(shù)據(jù)，健康、自然人的性生活或性取向的數(shù)據(jù)的處理則被嚴(yán)格禁止[7-8]。

相比較美國分散管理模式而言，歐盟對于人臉識別技術(shù)則是采取統(tǒng)一禁止的態(tài)度。歐盟不僅限制公權(quán)力收集生物信息，更嚴(yán)格要求企業(yè)采集信息，采取“無授權(quán)即禁止”原則。歐盟認(rèn)為公民隱私安全與技術(shù)帶來的便利性相比，前者更為重要，所以從法律和技術(shù)的源頭上杜絕不平等和技術(shù)歧視現(xiàn)象等問題的發(fā)生。但是也使得新技術(shù)在歐洲發(fā)展面臨眾多障礙，從而不利于科技的進(jìn)步。究其根本，現(xiàn)歐洲的信息技術(shù)產(chǎn)業(yè)并不發(fā)達(dá)，企圖利用嚴(yán)格的GDPR條例限制其自身的信息輸出、強(qiáng)化個人隱私保護(hù)和扼制技術(shù)壟斷，目的是維護(hù)自身國際地位，并壓制他國發(fā)展。歐盟借助的是美國的重要信息市場這一優(yōu)勢，利用GDPR將生物信息規(guī)劃在隱私權(quán)內(nèi)，實(shí)現(xiàn)自身信息數(shù)據(jù)單一化的戰(zhàn)略布局，規(guī)制數(shù)據(jù)流通和信息輸出，從而增強(qiáng)自身的數(shù)據(jù)控制力和減少自身數(shù)據(jù)泄露，加強(qiáng)數(shù)據(jù)安全的保護(hù)，促進(jìn)本土企業(yè)的發(fā)展。

表2美國各州關(guān)于人臉識別的立法

（二）我國法律規(guī)定

人臉識別技術(shù)所收集的生物信息在我國是屬于法律規(guī)定的個人信息的范疇，應(yīng)該受到個人信息保護(hù)的法律規(guī)范約束。除表3收集整理的我國關(guān)于個人信息保護(hù)的相關(guān)法律法規(guī)外，正在征求意見的《數(shù)據(jù)安全管理辦法》《個人信息出境安全評估辦法》也是專門針對個人數(shù)據(jù)管理的專門性法規(guī)。此外，我國還出臺了與人臉識別技術(shù)或識別生物特征信息的相關(guān)國家標(biāo)準(zhǔn)規(guī)定：例如，《信息安全技術(shù)個人信息安全規(guī)范》《信息技術(shù)生物特征識別應(yīng)用程序接口》系列標(biāo)準(zhǔn)、《公共安全人臉識別應(yīng)用圖像技術(shù)要求》等。

不同于美國分散管理模式和歐盟統(tǒng)一禁止模式，我國對人臉識別技術(shù)采取寬容的態(tài)度，并對其發(fā)展不采取約束模式，實(shí)行先發(fā)展后規(guī)制的模式。我國給技術(shù)發(fā)展絕對的空間，促進(jìn)了科技的進(jìn)步，但卻使得法律一直在拼命追趕科技腳步的變化。

從已有法律可以看出，我國針對個人信息和數(shù)據(jù)安全的法律并不健全，我國重點(diǎn)限制企業(yè)采集信息，但對公權(quán)力和域外收集個人信息并未加以限制，我國規(guī)定正當(dāng)性采集信息為原則，但未明確具體細(xì)節(jié)。而且我國法律規(guī)定零散、操作性有待加強(qiáng)。所以，我國應(yīng)借鑒歐美的立法思想，加強(qiáng)對域外和公權(quán)力數(shù)據(jù)安全、信息流通的監(jiān)管，貫徹人臉識別技術(shù)信息采集“透明化”政策，保證用戶的知情權(quán)。賦予法律規(guī)制的自由裁量權(quán)來促進(jìn)科技的進(jìn)步。我國應(yīng)利用自身市場的龐大，借鑒歐美不同行業(yè)的個性化法律規(guī)制措施，健全配套數(shù)據(jù)安全立法和促使信息執(zhí)法全面落地，建立信息安全管理的全方位鏈條模式。

四、人臉識別應(yīng)用的法律規(guī)制建議

2019年9月的《北京青年報》披露，數(shù)千張人臉數(shù)據(jù)圖像，成批購買甚至僅需要數(shù)十元，而且?guī)缀趺繌埲四樀膱D片都會有相關(guān)的個人信息數(shù)據(jù)。而據(jù)信息主體稱，其不知情自己信息被售賣，所售賣的人臉信息是在其不知情的情況下被采集。所以，一旦相關(guān)信息被不法分子利用，將會給信息主體帶來極大的風(fēng)險。雖然人臉識別技術(shù)發(fā)展前景可期，但是缺乏明確的行業(yè)標(biāo)準(zhǔn)，以及完善的法律規(guī)范。當(dāng)公民的權(quán)益受到侵害時，可能面臨一個尷尬的局面，技術(shù)取證容易實(shí)現(xiàn)，但卻無法可依。

表3我國關(guān)于個人信息保護(hù)的相關(guān)法律法規(guī)

（一）完善法律保障，厘清人臉識別應(yīng)用邊界

可以汲取美國和歐盟的法律經(jīng)驗(yàn)，從源頭規(guī)制。但是歐盟模式規(guī)制的太過嚴(yán)格，不利于企業(yè)和技術(shù)的進(jìn)一步發(fā)展，而美國模式又太過寬松，達(dá)不到規(guī)制的效果，建議可采取中間發(fā)展道路，“有的放矢”，對于人臉識別的數(shù)據(jù)收集應(yīng)該嚴(yán)格管理，采集的途徑和設(shè)備應(yīng)該統(tǒng)籌控制，如：處理人臉識別數(shù)據(jù)的透明性、公正性以及無偏見性；檢驗(yàn)時應(yīng)獲取公民同意等，這樣才能保證企業(yè)在收集生物特征信息方向的正確性。但是，對于特殊行為，如危害國家安全和人民生命財產(chǎn)安全的行為，可以采取緊急處理，但是要有界限，以正當(dāng)性為依據(jù)，不過度性為原則。具體實(shí)施應(yīng)按照我國具體國情并汲取域外的經(jīng)驗(yàn)，制定出適合我國國情的具體法律條文。

1.堅持合理使用原則

建議生物識別的信息如人的面貌信息、指紋等不得出售，除非獲得公民授權(quán)或得到許可。但對于為了維護(hù)國家的安全和公眾財產(chǎn)安全等例外情況，需要在公民不知情條件下使用個人數(shù)據(jù)信息，原則上也不得對不相關(guān)人士或其他方面披露，并對收集的個人數(shù)據(jù)堅持合理使用的原則。

針對公共利益應(yīng)用，在需要使用人臉識別技術(shù)時，可以汲取傳統(tǒng)法學(xué)中保護(hù)肖像權(quán)的法律規(guī)制的經(jīng)驗(yàn)和法律條文，對其公民的人臉信息以及相關(guān)數(shù)據(jù)在一定范圍內(nèi)對其所享有的權(quán)利進(jìn)行限制。針對其現(xiàn)在技術(shù)發(fā)展的現(xiàn)狀、算法設(shè)計者自身帶有的偏見以及原始數(shù)據(jù)來源的偏差等因素的影響，使得人臉識別技術(shù)因?yàn)槌绦虻臉?biāo)簽化，可能會導(dǎo)致決策的歧視化更加明顯。所以，建議在公共場所使用這一技術(shù)時，應(yīng)當(dāng)注意遵守授權(quán)原則、比例原則等，也要留意可能會對種族平等、公民言論自由帶來的威脅，所以也應(yīng)堅持法律保留原則。

2.明確技術(shù)使用邊界

在“人臉識別第一案”中，野生動物園出于自身目的與需要，規(guī)定入園時必須采集人臉信息代替?zhèn)鹘y(tǒng)方式，如果用戶不接受信息采集就不能入園，導(dǎo)致信息被強(qiáng)制收集。從該案看出，立法者應(yīng)當(dāng)盡快厘清這項技術(shù)應(yīng)用范圍，并對商業(yè)采集個人隱私信息設(shè)定邊界，明確可采集信息的場景、使用范圍、保管數(shù)據(jù)的責(zé)任、違規(guī)處罰以及風(fēng)險規(guī)避的標(biāo)準(zhǔn)等，從而可以避免商家隨意采集、使用、出售個人信息。

我國應(yīng)當(dāng)明確規(guī)定哪些機(jī)構(gòu)或者政府部門有權(quán)力收集公民個人信息，強(qiáng)化監(jiān)察力度，出臺有關(guān)采集、使用和處理公民生物信息特征的規(guī)則和標(biāo)準(zhǔn)，統(tǒng)籌監(jiān)管數(shù)據(jù)庫，并加強(qiáng)監(jiān)管保護(hù)和加固技術(shù)措施的維護(hù)，避免企業(yè)或其他部門濫用職權(quán)，從而可以降低不必要的危險因素。

3.鼓勵知識產(chǎn)權(quán)創(chuàng)新，提升技術(shù)識別精確性

完善生物識別技術(shù)的基礎(chǔ)上精準(zhǔn)提取人臉面貌特征，同時健全技術(shù)上的安全加密措施，建立統(tǒng)一規(guī)范風(fēng)險的標(biāo)準(zhǔn)，用來改善人臉識別的安全等級。另外也要樹立保護(hù)知識產(chǎn)權(quán)的法律意識，對于在技術(shù)上新的發(fā)明或者創(chuàng)新，要及時申請專利或?qū)嵱眯滦?，保護(hù)自身的智慧結(jié)晶。

（二）強(qiáng)化政府職能，健全生物信息相關(guān)措施

人臉識別越來越被廣泛地運(yùn)用在智慧城市的建設(shè)之中。而作為城市的管理者——政府應(yīng)當(dāng)通過加強(qiáng)監(jiān)管來保障科技發(fā)揮正當(dāng)用途。

1.合作規(guī)制

因?yàn)槿四樧R別技術(shù)使得同一種技術(shù)可以應(yīng)用在不同的行業(yè)之間，建議政府應(yīng)當(dāng)促成與各行業(yè)之間的公私良性互動、共同合作規(guī)制。政府應(yīng)明確技術(shù)應(yīng)用的突出問題的導(dǎo)向性，重點(diǎn)解決社會中公共利益與企業(yè)利益之間、科技進(jìn)步與人權(quán)保護(hù)之間、經(jīng)濟(jì)發(fā)展和其他社會效益之間的矛盾問題。通過合作可以達(dá)到“去中心化”的規(guī)制趨勢，從而促進(jìn)政府和企業(yè)的合作規(guī)制。

2.創(chuàng)造良好的運(yùn)營環(huán)境

若對技術(shù)采取過分嚴(yán)苛的管理措施，將會抑制經(jīng)濟(jì)效益發(fā)揮；但如若管理過分寬松，又會造成技術(shù)濫用的惡果。建議政府針對人臉識別的準(zhǔn)入規(guī)制上擺脫僵化路徑，鼓勵企業(yè)的技術(shù)創(chuàng)新，從而增加其經(jīng)濟(jì)效益。政府也要規(guī)制技術(shù)創(chuàng)新活動所依賴的路徑，調(diào)節(jié)技術(shù)應(yīng)用的自由度，在全社會創(chuàng)造健康、安全的運(yùn)營環(huán)境。

建議政府應(yīng)該對濫用人臉識別技術(shù)和“算法黑洞”等侵犯公民隱私權(quán)益的行為進(jìn)行專項整治，重點(diǎn)整治未經(jīng)被采集者同意而強(qiáng)制實(shí)施人臉識別和“算法推介”等違法行為[9]。

3.問責(zé)監(jiān)管

政府應(yīng)當(dāng)設(shè)立內(nèi)部隱私機(jī)構(gòu)或第三方定期對人臉識別數(shù)據(jù)進(jìn)行檢驗(yàn)，并對相關(guān)技術(shù)設(shè)備升級，用法律規(guī)定或相關(guān)保密文件來保障用戶的隱私安全性。一旦發(fā)現(xiàn)企業(yè)有違法訪問的情況，應(yīng)當(dāng)立即采取有效措施來制止，阻止其訪問客戶數(shù)據(jù)。

4.建立風(fēng)險備用金

建議政府和各行業(yè)共同建立應(yīng)對風(fēng)險的備用資金、共同籌備面對技術(shù)突發(fā)風(fēng)險等問題的新型保險方案、完善應(yīng)急處理措施等建立一系列風(fēng)險備用計劃和補(bǔ)償完善機(jī)制，對于因?yàn)檎⑵髽I(yè)問題導(dǎo)致公民財產(chǎn)或隱私信息泄露或由非公民原因?qū)е碌牟煌瑔栴}，應(yīng)開展及時補(bǔ)救或進(jìn)行有效補(bǔ)償。

（三）落實(shí)行業(yè)主體責(zé)任，保障個人數(shù)據(jù)安全

ZAO軟件利用人臉識別技術(shù)進(jìn)行換臉，此事就揭露出這樣一種風(fēng)險 ：當(dāng)人臉信息和其他信息結(jié)合起來被叫賣，他人或可轉(zhuǎn)賣牟利，甚至用作實(shí)施詐騙等犯罪活動[10]。這就給我們敲響警鐘，要加快促成行業(yè)規(guī)范。

1.促成行業(yè)規(guī)范

各行業(yè)應(yīng)該制定相關(guān)的隱私條例或企業(yè)政策，以清晰、明確的方式公布，告知收集的數(shù)據(jù)用途、數(shù)據(jù)收集的來源、數(shù)據(jù)是否會被分享等相關(guān)信息。并形成行業(yè)的統(tǒng)一規(guī)范條例，促成行業(yè)慣例，杜絕不良收集和強(qiáng)制許可等行為。發(fā)生危機(jī)的時候，在不危害企業(yè)商業(yè)秘密的前提下，企業(yè)處理措施的變更以及處理手段都應(yīng)透明化和公開化。

對于人臉識別技術(shù)這一巨大市場，類似于谷歌、微軟、FaceBook等互聯(lián)網(wǎng)巨頭也在相互爭奪，相繼爆出過用戶信息泄露以及濫用的丑聞。在大數(shù)據(jù)時代，個人信息即價值，一旦企業(yè)為了爭奪市場濫用用戶信息，不僅嚴(yán)重?fù)p害用戶信息，也擾亂了正常的市場秩序。建議應(yīng)促成行業(yè)統(tǒng)一規(guī)范的出臺，協(xié)調(diào)行業(yè)內(nèi)部矛盾，針對標(biāo)準(zhǔn)化流程不清、職責(zé)混亂、執(zhí)行與監(jiān)管重疊、各行業(yè)標(biāo)準(zhǔn)不統(tǒng)一等問題要多措并行，如：個性化設(shè)置標(biāo)準(zhǔn)、加強(qiáng)職工技能培訓(xùn)、成立統(tǒng)一第三方監(jiān)管機(jī)構(gòu)等，促成行業(yè)規(guī)范，保障企業(yè)自身利益的同時，實(shí)現(xiàn)市場良性競爭。保證合理有序的市場秩序，需要各企業(yè)的共同努力塑造。

2.加強(qiáng)安全管理

企業(yè)應(yīng)加強(qiáng)員工的法律意識培訓(xùn)，強(qiáng)化企業(yè)內(nèi)法治文化，建立健全員工信用機(jī)制，嚴(yán)防企業(yè)員工“監(jiān)守自盜”現(xiàn)象的發(fā)生。應(yīng)成立具有網(wǎng)絡(luò)信息知識的法律安全監(jiān)管部門，面對黑客竊取信息、被其他企業(yè)盜取商業(yè)信息或自身用戶數(shù)據(jù)時，要及時舉起法律武器進(jìn)行維權(quán)，增強(qiáng)保護(hù)數(shù)據(jù)的法律意識，重視管理職能和法律監(jiān)督的協(xié)調(diào)性。

與此同時，企業(yè)也應(yīng)建立人臉信息全生命周期的安全管理機(jī)制，在采集用戶數(shù)據(jù)時候做到授權(quán)范圍“夠用就好”，避免開啟用戶無關(guān)的權(quán)限和強(qiáng)迫采集信息。同時，企業(yè)應(yīng)該將用戶的原始數(shù)據(jù)雙層加密，并異地儲存，以防黑客盜取，造成數(shù)據(jù)泄露。并且對于用戶的銀行卡、身份證號碼等個人重要身份信息進(jìn)行安全“隔離”，并定期進(jìn)行技術(shù)維護(hù)。在使用、收集信息環(huán)節(jié)，做到不劫持、不留存用戶的原始數(shù)據(jù)，企業(yè)要做好用戶個人隱私的中間環(huán)節(jié)保護(hù)。

3.保護(hù)用戶隱私和數(shù)據(jù)安全

隱私保護(hù)設(shè)計應(yīng)該融于企業(yè)產(chǎn)品的設(shè)計理念和服務(wù)架構(gòu)中。在條件允許的情況下，企業(yè)在收到執(zhí)法部門請求其數(shù)據(jù)時，應(yīng)當(dāng)及時征求用戶同意，若超時未回復(fù)視為默示同意，同時應(yīng)當(dāng)符合當(dāng)?shù)卣?guī)定和商業(yè)行業(yè)慣例，也應(yīng)當(dāng)不違反我國法律法規(guī)的規(guī)定。人臉?biāo)N(yùn)含信息具有較高的安全風(fēng)險，而且潛在存有更為廣泛的數(shù)據(jù)信息內(nèi)容。所以，企業(yè)在使用信息時，應(yīng)當(dāng)謹(jǐn)慎評估其采集、使用行為是否符合“合法、有序、正當(dāng)、必要”的原則。

結(jié)語

隨著我國快速步入5G時代，人臉識別技術(shù)也面臨新的發(fā)展趨勢：一是人臉識別技術(shù)會更加成熟，在更遠(yuǎn)的距離也能完成掃描；二是實(shí)現(xiàn)虹膜、靜脈等多種生物信息進(jìn)行輔助完成刷臉，這樣可以進(jìn)一步保障信息安全；三是會更加重視保障公民的數(shù)據(jù)隱私安全。所以，隨著技術(shù)的發(fā)展，應(yīng)當(dāng)加快完善法律法規(guī)的建設(shè)，提高監(jiān)管水平，提升公民的信息隱私保護(hù)意識。同時應(yīng)該擴(kuò)寬立法思路，在新的法律方案中發(fā)揮法律設(shè)計上的預(yù)測性[11]?？萍己腿藱?quán)不應(yīng)當(dāng)是對立的關(guān)系，科技的發(fā)展也不應(yīng)該建立在犧牲公民的人權(quán)和隱私上，相信未來人臉識別技術(shù)的發(fā)展會與隱私問題得到和諧地解決。