魏書音 劉玉琢

摘 ? 要：近年來，人臉識(shí)別技術(shù)應(yīng)用在社會(huì)的方方面面，“刷臉時(shí)代”正在到來。同時(shí)，AI換臉應(yīng)用“ZAO”收集人臉信息等一些應(yīng)用場景也引發(fā)了各方熱議，人臉識(shí)別技術(shù)的進(jìn)化和快速應(yīng)用，利弊共存，給監(jiān)管提出更多挑戰(zhàn)。如何對其進(jìn)行適度監(jiān)管和規(guī)范是一個(gè)重要課題。我國應(yīng)制定人臉識(shí)別技術(shù)應(yīng)用相關(guān)法規(guī)規(guī)范，開展人臉識(shí)別技術(shù)應(yīng)用安全影響評估，通過標(biāo)準(zhǔn)體系明確不同場景下的應(yīng)用規(guī)范。

關(guān)鍵詞：人臉識(shí)別技術(shù);個(gè)人信息保護(hù);技術(shù)應(yīng)用監(jiān)管

中圖分類號(hào)： DF92 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： In recent years， face recognition technology is applied in all aspects of society， and the "face brushing era" is coming.At the same time， some application scenarios such as AI face changing application "ZAO" to collect face information have aroused heated discussions among all parties. The evolution and rapid application of face recognition technology have both advantages and disadvantages， posing more challenges to the supervision.How to regulate and regulate it is an important issue.In this paper， it is suggested that China should formulate laws and regulations related to the application of face recognition technology， carry out safety impact assessment on the application of face recognition technology， and clarify the application specifications in different scenarios through the standard system.

Key words： face recognition technology;personal information protection;technology application supervision

1 引言

近年來，人臉識(shí)別技術(shù)應(yīng)用在社會(huì)的方方面面，“刷臉時(shí)代”已經(jīng)到來。同時(shí)，一些應(yīng)用場景也引發(fā)了各方熱議，如AI換臉應(yīng)用“ZAO”收集人臉信息、人臉識(shí)別技術(shù)進(jìn)課堂、北京地鐵擬利用人臉識(shí)別技術(shù)對乘客進(jìn)行分類安檢等。杭州動(dòng)物園強(qiáng)制要求對年卡持有者進(jìn)行人臉識(shí)別認(rèn)證，已引發(fā)出“中國人臉識(shí)別第一案”。人臉識(shí)別技術(shù)的進(jìn)化和快速應(yīng)用，利弊共存，給監(jiān)管提出了更多的挑戰(zhàn)。如何對其進(jìn)行適度監(jiān)管和規(guī)范，在人臉識(shí)別技術(shù)的發(fā)展上，尋求科技創(chuàng)新與隱私保護(hù)的“最大公約數(shù)”是一個(gè)重要的課題。

2 人臉識(shí)別技術(shù)濫用已侵害公民合法權(quán)益

侵犯公民個(gè)人信息權(quán)益。近年來，人臉識(shí)別技術(shù)悄然應(yīng)用在商場、公共衛(wèi)生間、交通等公共場所各種基礎(chǔ)設(shè)施服務(wù)中，大多數(shù)人進(jìn)入攝像頭范圍后已被刷臉，如用于衛(wèi)生間廁紙機(jī)以統(tǒng)計(jì)每人取廁紙的數(shù)據(jù)。該技術(shù)在行為分析領(lǐng)域也有應(yīng)用，如浙江省杭州十一中和中國藥科大學(xué)等學(xué)校利用人臉識(shí)別技術(shù)進(jìn)行點(diǎn)名，通過采集學(xué)生坐姿、表情等分析課堂行為。公民人臉信息被肆意收集，歐洲人權(quán)法院指出，人的面部圖像構(gòu)成了人格的關(guān)鍵屬性之一，揭示了個(gè)人的獨(dú)有特征，保護(hù)人臉圖像的權(quán)利是個(gè)人發(fā)展的重要組成部分之一。

引發(fā)歧視問題。人臉識(shí)別軟件需基于預(yù)先訓(xùn)練的模型，根據(jù)面部圖像數(shù)據(jù)庫開發(fā)用于識(shí)別面部的規(guī)則，而使用哪些數(shù)據(jù)集來構(gòu)建人臉識(shí)別軟件會(huì)影響軟件的準(zhǔn)確率。例如，若使用白人男子的面部圖像進(jìn)行訓(xùn)練，識(shí)別婦女和其他種族人的錯(cuò)誤率將會(huì)更高，這樣可能導(dǎo)致某些人群犯罪行為被“技術(shù)性”忽視。麻省理工大學(xué)研究人員發(fā)現(xiàn)，亞馬遜的人臉識(shí)別軟件Rekognition對有色人種的誤認(rèn)率高于白人，對深色皮膚女性的識(shí)別錯(cuò)誤尤為突出。有測試表明，在警方使用的Rekognition系統(tǒng)中，有近40%的錯(cuò)誤匹配涉及有色人種，加劇了現(xiàn)實(shí)世界的“群體歧視”。美國國家標(biāo)準(zhǔn)技術(shù)研究院承認(rèn)其研究的人臉識(shí)別算法中，存在人種差異。2019年6月，美國警用穿戴式攝像頭制造商Axon宣布，在技術(shù)改進(jìn)之前，不會(huì)在其警用穿戴式攝像頭中使用人臉識(shí)別技術(shù)。

造成個(gè)人信息泄露問題。目前，人臉識(shí)別信息主要按照個(gè)人敏感信息安全要求進(jìn)行保護(hù)，多數(shù)企業(yè)對所收集的人臉識(shí)別信息還未建立系統(tǒng)的保護(hù)體系。人臉識(shí)別信息是唯一且終身不變的，一旦泄露將使得個(gè)人財(cái)產(chǎn)和隱私等被公開，容易引發(fā)人身和財(cái)產(chǎn)損失。例如，荷蘭非盈利組織GDI基金會(huì)近期發(fā)現(xiàn)，一個(gè)包含數(shù)千名中國學(xué)生和兒童信息的人臉識(shí)別數(shù)據(jù)庫未被保護(hù)，可以在互聯(lián)網(wǎng)上公開訪問，造成嚴(yán)重安全隱患。

3 國外人臉識(shí)別信息保護(hù)制度

對收集信息主體進(jìn)行限制。對于政府部門，美國加利福尼亞州舊金山市制定的《停止秘密監(jiān)控條款》，原則上禁止政府收集、存儲(chǔ)、使用公民生物識(shí)別數(shù)據(jù)，如果是政府非主動(dòng)獲取的，則應(yīng)及時(shí)披露獲取使用情況。馬薩諸塞州眾議院第1538號(hào)/參議院第1358號(hào)法案，原則上禁止政府使用面部識(shí)別技術(shù)，并且禁止在司法程序中采用人臉識(shí)別軟件系統(tǒng)產(chǎn)生的數(shù)據(jù)或證據(jù)，除非有法律明確授權(quán)。2020年2月，美國議員向參議院提出《人臉識(shí)別道德使用法案》，要求在出臺(tái)政府使用準(zhǔn)則和限制條件前，暫時(shí)禁止政府機(jī)構(gòu)使用人臉識(shí)別技術(shù)，防止侵犯公民隱私權(quán)和影響公民自由。對于私人主體，美國伊利諾伊州發(fā)布的《生物識(shí)別信息隱私法案》規(guī)定，私人實(shí)體收集生物識(shí)別信息，應(yīng)向信息主體書面通知，說明收集使用的目的和期限，并獲得信息主體書面同意。澳大利亞的《隱私法》規(guī)定，原則上實(shí)體不能收集個(gè)人敏感信息，除非獲得法律或法院授權(quán)，或執(zhí)法機(jī)關(guān)為執(zhí)行任務(wù)合理收集，或者非營利組織收集與其工作相關(guān)的人員信息。

對于被收集主體、使用場所或目的進(jìn)行限制。由于缺乏技術(shù)適用的法律依據(jù)，目前在德國、法國等無法合法使用實(shí)時(shí)人臉識(shí)別技術(shù)，德法僅針對志愿者開展了實(shí)時(shí)人臉識(shí)別技術(shù)測試，同時(shí)在未來實(shí)際部署中還需要進(jìn)一步限定被實(shí)時(shí)收集人臉信息的群體類型，例如與恐怖主義有關(guān)人員、性犯罪者、逃獄犯人或失蹤孩子。近期，歐盟考慮在人臉識(shí)別技術(shù)影響評估方法和風(fēng)險(xiǎn)管理措施研究出來之前，可能會(huì)暫時(shí)（3～5年）禁止在公共場所使用該項(xiàng)技術(shù)。美國德克薩斯州發(fā)布的《生物標(biāo)識(shí)符的獲取及使用》規(guī)定，原則上禁止基于商業(yè)目的獲取生物標(biāo)識(shí)符，除非獲取前取得信息主體同意。2019年臉書就因未經(jīng)用戶同意使用照片自動(dòng)標(biāo)記功能而引發(fā)人臉識(shí)別集體訴訟，向原告支付5.5億美元和解費(fèi)。

對人臉識(shí)別信息的收集使用行為進(jìn)行限制。美國伊利諾伊州發(fā)布的《生物識(shí)別信息隱私法案》規(guī)定，私人實(shí)體應(yīng)采取合理且更安全的措施存儲(chǔ)生物識(shí)別信息。德克薩斯州發(fā)布的《生物標(biāo)識(shí)符的獲取及使用》規(guī)定，禁止信息獲取主體通過出售、出租等方式披露生物標(biāo)識(shí)符，除非是法律規(guī)定的例外情況;信息獲取主體應(yīng)采取合理的與存儲(chǔ)、傳輸保密信息同等或更安全的措施保護(hù)生物識(shí)別信息;生物識(shí)別信息的存儲(chǔ)時(shí)間應(yīng)當(dāng)合理，原則上不應(yīng)晚于收集目的完成后或法律規(guī)定時(shí)間到期后一年內(nèi)。澳大利亞的《隱私法》規(guī)定，如果實(shí)體披露的是生物識(shí)別信息或生物特征模板，則只能在特定收集目的范圍內(nèi)進(jìn)行披露，不得以直接營銷為目的使用或披露個(gè)人敏感信息，除非已獲得信息主體同意。

要求符合正當(dāng)、合比例原則。關(guān)于新技術(shù)的使用，歐洲人權(quán)法院在S.and Marper訴英國政府一案中表示，應(yīng)在保護(hù)基本權(quán)利與開發(fā)新技術(shù)之間“達(dá)到適當(dāng)?shù)钠胶狻薄Ｈ四樧R(shí)別技術(shù)也是如此，必須收集目的必須正當(dāng)，且在最小必要范圍之內(nèi)使用。瑞典數(shù)據(jù)保護(hù)機(jī)構(gòu)針對當(dāng)?shù)匾凰咧欣萌四樧R(shí)別記錄學(xué)生出勤的行為，開出了GDPR生效以來的第一張人臉識(shí)別罰單，認(rèn)為學(xué)校的數(shù)據(jù)收集行為違反必要性原則且缺乏正當(dāng)性依據(jù)。英國高等法院在“Edward Bridges訴南威爾士警察局長等人案”中，判決英國警察使用自動(dòng)人臉識(shí)別技術(shù)不違反《人權(quán)法案》和相關(guān)的數(shù)據(jù)保護(hù)法案，而這一判決的前提是收集的人臉識(shí)別信息僅在有限時(shí)間、為特定有限目的使用，并在對獲得的成像與監(jiān)控清單中的成像進(jìn)行比對等合理使用后，立即刪除所有獲得的數(shù)據(jù)和個(gè)人信息。

4 結(jié)束語

制定人臉識(shí)別技術(shù)應(yīng)用相關(guān)法規(guī)規(guī)范。明確人臉識(shí)別技術(shù)可以應(yīng)用的場景，收集信息主體應(yīng)承擔(dān)的責(zé)任和義務(wù)，在個(gè)人信息保護(hù)規(guī)范的基礎(chǔ)上采取更嚴(yán)格的保護(hù)措施。建議履行更嚴(yán)格的收集使用說明義務(wù)，不僅要求對使用目的、方式、范圍進(jìn)行具體說明，還要確保信息主體完全知情，提供盡可能詳細(xì)的選擇空間，如目的、時(shí)間和處理方式的選項(xiàng)。同時(shí)，要確保該技術(shù)的使用是以無其他可替代技術(shù)為前提的，并嚴(yán)格限制基于商業(yè)目的使用。目的實(shí)現(xiàn)后，收集信息主體應(yīng)自覺立即刪除個(gè)人信息。

開展人臉識(shí)別技術(shù)應(yīng)用安全影響評估。將人臉識(shí)別技術(shù)進(jìn)行新技術(shù)新應(yīng)用安全風(fēng)險(xiǎn)評估，全面評估此項(xiàng)技術(shù)目前的發(fā)展和應(yīng)用狀況、適用領(lǐng)域和范圍、對公民個(gè)人權(quán)益的損害等。將國家個(gè)人信息保護(hù)部門作為人臉識(shí)別技術(shù)應(yīng)用審查單位，明確準(zhǔn)許應(yīng)用人臉識(shí)別的具體領(lǐng)域和場景，如政府部門和組織機(jī)構(gòu)認(rèn)為確有必要使用該技術(shù)且無其他替代技術(shù)的，應(yīng)向?qū)彶闄C(jī)構(gòu)進(jìn)行申請，審查機(jī)構(gòu)對其適用的合法目的、必要性和合比例性要求、算法系統(tǒng)是否存在歧視和偏見等進(jìn)行評估，通過評估后才可適用。

通過標(biāo)準(zhǔn)體系明確不同場景下的應(yīng)用規(guī)范。目前，人臉識(shí)別技術(shù)有計(jì)數(shù)、識(shí)別、認(rèn)證、監(jiān)控、偽造和窺探等多種應(yīng)用方式。應(yīng)針對不同的應(yīng)用場景設(shè)置不同的監(jiān)管要求，明確人臉識(shí)別技術(shù)應(yīng)用的合法性依據(jù)和具體適用要求。同時(shí)，建議針對政府和公共部門、商業(yè)領(lǐng)域建立不同的監(jiān)管制度，對于公共場所的大規(guī)模應(yīng)用制定更為嚴(yán)格的限制規(guī)范。通過制定系列標(biāo)準(zhǔn)解決技術(shù)精度等性能標(biāo)準(zhǔn)缺乏導(dǎo)致的仿冒身份問題、用戶授權(quán)被盜用等使用安全問題，明確對人臉信息收集、存儲(chǔ)、處理等使用規(guī)范，規(guī)范倫理責(zé)任、增強(qiáng)透明度、建立隱私保障。

參考文獻(xiàn)

[1] 苗爭鳴.美國聯(lián)邦調(diào)查局生物識(shí)別技術(shù)的應(yīng)用及反思[J].網(wǎng)絡(luò)空間安全，2019，10（12）：103-109.

[2] 楊建.人臉識(shí)別技術(shù)應(yīng)用的法律規(guī)制[N].中國社會(huì)科學(xué)報(bào)， 2020-03-25（006）.

[3] 洪延青.人臉識(shí)別技術(shù)的法律規(guī)制研究初探[J].中國信息安全，2019（08）：85-87.

[4] 李慶峰.人臉識(shí)別技術(shù)的法律規(guī)制：價(jià)值、主體與抓手[J].人民論壇，2020（11）：108-109.

[5] 李懷瑾.人臉識(shí)別技術(shù)風(fēng)險(xiǎn)的法律防范[N].中國社會(huì)科學(xué)報(bào)，2019-03-06（005）.