喬淑貞

（河南警察學(xué)院 法律系，河南 鄭州 450046）

一、問題的提出

隨著國內(nèi)幾大支付平臺相繼開通“刷臉”支付功能，“刷臉”支付成為流行的支付方式之一。①2019 年10 月20 日,在第六屆世界互聯(lián)網(wǎng)大會金融科技分論壇上,銀聯(lián)發(fā)布全新智能支付產(chǎn)品“刷臉付”,正式宣布進軍刷臉支付市場。 被戲稱為“國家隊”進入刷臉支付市場?！八⒛槨奔夹g(shù)的正式稱謂叫“人臉識別技術(shù)”。 人臉識別是基于人的臉部特征信息進行身份認證的一種生物識別技術(shù)，該技術(shù)的核心是采集人面部生物信息并與信息庫進行比對以實現(xiàn)身份識別，該技術(shù)實現(xiàn)的過程包括初次采集-存儲-再次采集-比對-識別。 人臉識別技術(shù)興起于20 世紀(jì)60 年代，最初主要應(yīng)用于安防領(lǐng)域，隨著人臉識別技術(shù)取得關(guān)鍵性突破，并借助于網(wǎng)絡(luò)和大數(shù)據(jù)的發(fā)展，該技術(shù)迅速而廣泛地應(yīng)用于各個領(lǐng)域，從安防到企事業(yè)、政府機關(guān)行政管理再到商業(yè)支付，幾乎覆蓋了人們生活的各個場所。 人們比以往任何時候更深刻地感受到生活完全被現(xiàn)代科技所裹挾。

任何一項科技的風(fēng)險首先表現(xiàn)為技術(shù)本身的不成熟，不過，隨著研究的不斷深入，技術(shù)本身的漏洞將得以填補，其風(fēng)險基本是可控的。 但另一方面，可以預(yù)見的是， 現(xiàn)代科技在應(yīng)用中的風(fēng)險系數(shù)并不會隨著技術(shù)的日益成熟而自行消減。因此，對其保持審慎并進行有效的法律控制就尤為必要。

二、“刷臉”技術(shù)的侵權(quán)風(fēng)險

“刷臉”技術(shù)的應(yīng)用給公共管理帶來了高效，個人生活因之更為便捷。 與此同時，“刷臉”技術(shù)應(yīng)用中的法律風(fēng)險不容忽視。因為，大多數(shù)時候，在我們通過“刷臉”進行支付或進入某公共機構(gòu)、場所時，作為面部生物信息權(quán)利人的我們并不知道是誰在采集我們的信息，是誰在使用我們的信息，又是誰在管理我們的信息。 通常，信息采集并未獲得我們的明確授權(quán)。

從“刷臉”技術(shù)的實現(xiàn)過程來看，其在法律上的風(fēng)險主要集中于對個人權(quán)利的侵害。②2019 年11 月,浙江理工大學(xué)特聘副教授郭兵以強制使用人臉識別涉嫌侵害公民隱私權(quán),將杭州野生動物世界告上了法庭。 該案被業(yè)界稱為“中國人臉識別第一案”。但對于人臉識別技術(shù)侵害了公民哪項權(quán)利？ 公眾的認識存在有誤區(qū)，學(xué)者之間也有爭議。 總體而言，“刷臉”技術(shù)涉及到我國憲法和法律中的公民肖像權(quán)、 隱私權(quán)和個人信息權(quán)利等。 鑒于這三項權(quán)利在內(nèi)涵和外延上存在交叉，有必要分析三者之間的關(guān)系。

（一）對肖像權(quán)的侵害

相對來說，肖像權(quán)是一項傳統(tǒng)的權(quán)利，該項權(quán)利外延相對較小。肖像是人面部特征的二維呈現(xiàn)，包含在人體生物特征之內(nèi)。肖像權(quán)是一項具體的人格權(quán)，其憲法基礎(chǔ)是第38 條人格尊嚴條款。人臉識別技術(shù)在發(fā)展的初始階段采用拍照對人臉進行二維掃描首先關(guān)涉人的肖像權(quán)。隨著深度計算的發(fā)展，通過人臉識別可以提取更為精準(zhǔn)的人面部生物特征， 其所關(guān)涉的權(quán)利內(nèi)容也更為復(fù)雜， 不過肖像權(quán)仍是其中最為基本的內(nèi)容。

（二）對隱私權(quán)的侵害

學(xué)界較為普遍的看法， 認為人臉識別技術(shù)侵犯的是公民隱私權(quán)。隱私權(quán)也是一項傳統(tǒng)的權(quán)利，但其外延要大得多?！睹穹倓t》明確將隱私權(quán)納入保護，由此，公民的隱私權(quán)是一項重要的獨立的民事權(quán)利。我國憲法中沒有明確規(guī)定公民的隱私權(quán)。 但憲法學(xué)者普遍認為，憲法第33 條第三款人權(quán)條款、第38 條人格尊嚴條款均蘊含了對公民隱私權(quán)的保護； 憲法第37 條的人身自由條款、 第39 條的住宅權(quán)條款和第40 條的通信自由、通信秘密保護條款同樣蘊含了對公民隱私權(quán)的保護?？梢?，隱私權(quán)保護在我國有著深厚的憲法基礎(chǔ)。

（三）對個人信息權(quán)的侵害

在我國， 個人信息權(quán)是仍處于發(fā)展中的新型權(quán)利。 個人信息保護隨著網(wǎng)絡(luò)和信息社會的發(fā)展而日益受到關(guān)注，其內(nèi)容與隱私權(quán)有諸多重疊。從英美國家的實踐來看， 對個人信息權(quán)的保護在很長一段時間是依附于隱私權(quán)保護的，但二者的邊界比較模糊，因此，在傳統(tǒng)“隱私權(quán)”概念的基礎(chǔ)上發(fā)展出了“信息性隱私權(quán)”，后者是傳統(tǒng)隱私權(quán)在信息技術(shù)蓬勃發(fā)展時代的自然產(chǎn)物。在一定意義上，個人信息保護的范圍大于隱私權(quán)；但另一方面，隱私顯然并不一定表現(xiàn)為數(shù)據(jù)化的個人信息。 二者在內(nèi)涵上有較大范圍的交叉， 但是， 如若將個人信息保護僅限于隱私性信息，則在實踐中存在一定的困難，同時有將“非隱私性個人信息”排除于法律保護之外的風(fēng)險。鑒于隱私權(quán)與個人信息權(quán)不能互為包含， 應(yīng)將二者視為相互獨立的兩項權(quán)利。 鑒于個人信息在網(wǎng)絡(luò)社會日益彰顯的重要性，我國明確將個人信息納入民法保護。

綜上，“刷臉” 技術(shù)在應(yīng)用中的法律風(fēng)險主要集中于對公民個人信息權(quán)的侵害，如“刷臉”支付及身份驗證中存在個人信息過度采集， 數(shù)據(jù)信息存儲管理不善有泄露風(fēng)險，進而帶來人身、財產(chǎn)權(quán)益遭受侵害，信息使用監(jiān)管不到位等風(fēng)險。

三、“刷臉”技術(shù)的立法規(guī)制

為有效避免“刷臉”技術(shù)在應(yīng)用中對公民個人信息權(quán)的侵害， 須從法律層面完善我國的個人信息權(quán)保護，包括哪些主體為了什么目的可以收集、使用公民（或自然人）的面部生物信息，及符合法定情形的面部信息刪除等。

（一）對現(xiàn)有立法的檢視

為了加強對信息的保護和治理，繼2012 年全國人大常委會《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》之后，2017 年十二屆全國人大常委會出臺并實施了《網(wǎng)絡(luò)安全法》，明確個人信息和重要數(shù)據(jù)保護的基本原則和基本規(guī)則；同年公布的《民法總則》明確規(guī)定，自然人個人信息受法律保護， 將個人信息作為一項重要的民事權(quán)益加以保護。 2015 年通過的《刑法修正案（九）》，加大了對個人信息犯罪的刑事打擊力度。 目前，《個人信息保護法》 已列入十三屆全國人大常委會立法規(guī)劃。以上立法構(gòu)建了包括公法、私法在內(nèi)的個人信息權(quán)保護的基本法律框架， 為我國建立完善的公民個人信息權(quán)保護法律體系奠定了初步基礎(chǔ)。但同時也必須注意到，現(xiàn)有立法存在著以下不足，從而無法適應(yīng)大數(shù)據(jù)時代人們權(quán)利意識的發(fā)展和對個人信息安全的需要。

首先， 表現(xiàn)為對個人信息權(quán)這一新興權(quán)利的忽視?！缎谭ā贰ⅰ睹穹倓t》與《網(wǎng)絡(luò)安全法》均著眼于對“信息” 本身的保護， 而非以主體權(quán)利保護為核心?！皞€人信息”于“個人信息權(quán)”顯然是兩個不同的概念，作為基本法律的《民法》和《刑法》應(yīng)保護的是“個人信息權(quán)”而非“個人信息”。 當(dāng)代社會，大數(shù)據(jù)迅猛發(fā)展，各種場所、各種途徑、基于各種目的的信息收集防不勝防，人們有信息暴露之虞，從而主張對個人信息的決定權(quán)，個人信息權(quán)由此興起。此外，由“個人信息權(quán)”派生出來的權(quán)利內(nèi)容非常豐富，對現(xiàn)代社會的個人意義重大。

其次，從現(xiàn)有的法律體系來看，對個人信息權(quán)的保護立法分散，缺乏統(tǒng)一的基礎(chǔ)，實踐中存在各法之間的銜接問題。 學(xué)界對個人信息權(quán)的討論一向有私法保護和公法保護兩種不同的傾向， 原因在于對個人信息權(quán)權(quán)利屬性在認識上存在分歧。

再次， 現(xiàn)有立法缺乏對公權(quán)力侵害公民信息權(quán)的制約。 眾所周知，自古至今，政府都是收集公民個人信息的最大主體。隨著電子政務(wù)的發(fā)展，巨型數(shù)據(jù)庫的建立， 政府成為擁有控制個人信息量最為龐大的主體。網(wǎng)絡(luò)的發(fā)展盡管使海量數(shù)據(jù)收集成為可能，但并未改變政府在信息帝國中的地位。 與商業(yè)信息不同， 政府擁有的信息往往具有目的明確和系統(tǒng)性的優(yōu)勢。因此，亟需立法明確政府在收集、管理、使用個人信息中的責(zé)任。

（二）相關(guān)立法之完善

綜上，對“刷臉”技術(shù)的應(yīng)用進行立法規(guī)制首要目的在于保護個人信息權(quán)，為此，應(yīng)從以下幾個方面對現(xiàn)有立法進行完善。

1. 完善以個人信息權(quán)保護為中心的立法體系。任何立法都應(yīng)以權(quán)利保障作為出發(fā)點和歸宿， 是權(quán)利本位論的基本主張。 個人信息權(quán)保護立法也應(yīng)堅持權(quán)利本位的立法導(dǎo)向， 明確個人信息權(quán)作為一項獨立權(quán)利的地位； 同時應(yīng)明確個人信息權(quán)的內(nèi)涵和外延，厘清個人信息與個人信息權(quán)利的關(guān)系，個人信息只是權(quán)利內(nèi)容或載體， 法律要保護的是個人信息所承載的主體權(quán)利。

2. 建立以憲法為核心的個人信息權(quán)保護體系。個人信息權(quán)不僅應(yīng)成為獨立的民事權(quán)利， 而且應(yīng)成為基本權(quán)利。 首先，如前所述，個人信息權(quán)作為信息時代的新興權(quán)利， 盡管可以從現(xiàn)有的憲法條款中尋求依據(jù)，但其內(nèi)涵和外延與傳統(tǒng)的隱私權(quán)、人格尊嚴等幾項相關(guān)權(quán)利均無法等同。 隨著《民法》《刑法》及專門的《個人信息保護法》先后將個人信息權(quán)納入保護范圍， 現(xiàn)有的法律規(guī)范缺乏明確的憲法依據(jù)；其次，個人信息權(quán)保護針對的是所有公私主體。如前所述，對“刷臉”應(yīng)用的規(guī)范不應(yīng)排除公權(quán)力主體。作為一項獨立的基本權(quán)利， 個人信息權(quán)足以對抗公權(quán)力的侵害。 因此，在違憲審查制度較為完善的國家，政府對人臉識別等技術(shù)的應(yīng)用通常保持審慎。①2019 年5 月，舊金山市通過修改既有條例成為美國首個禁用刷臉技術(shù)的城市。 參見梁麗雯.AI 降溫:舊金山禁用刷臉技術(shù)[J].金融科技時代，2019(05):92.

3.完善個人信息權(quán)保護的基本原則。 參照世界各國在個人信息權(quán)保護立法和實踐中的經(jīng)驗， 個人信息權(quán)保護應(yīng)包含如下原則：（1）信息主體的同意原則。 《網(wǎng)絡(luò)安全法》 第41 條已經(jīng)初步確立了同意原則，但仍須完善，尤其是當(dāng)侵權(quán)主體涵蓋了公權(quán)力主體后，對公私主體的適用應(yīng)予區(qū)別。私主體為了商業(yè)目的的收集應(yīng)把此原則作為首要原則； 公權(quán)力主體為了管理的目的，除應(yīng)獲得信息主體的同意外，還應(yīng)提供其他可供選擇的身份識別方式。（2）目的合法原則。 對“刷臉”技術(shù)的應(yīng)用進行規(guī)范只是為了防范對個人面部信息的過度收集和濫用、 避免因管理使用不當(dāng)造成個人信息泄露， 并不否認公民個人信息權(quán)如其他權(quán)利一樣存在邊界。為了公共利益的目的，公民個人信息權(quán)在特定情形下應(yīng)受到限制。為此，應(yīng)適用法律保留原則， 通過立法規(guī)定對個人信息權(quán)進行限制的法定情形。 通過“刷臉”對人面部信息的收集必須符合法定情形。 （3）收集公開原則。 信息收集者應(yīng)公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍， 不得將個人信息在明示目的以外改作他用，不得超出明示之收集、使用的方式、范圍。 （4）誰收集誰負責(zé)原則。 對個人信息權(quán)的侵犯包含了一系列對信息進行處理的行為，如收集、使用、儲存、傳遞、修改、披露等。 現(xiàn)有立法盡管從原則上規(guī)范了對信息的收集行為，但從侵權(quán)責(zé)任來看，主要從信息安全出發(fā)規(guī)定了信息泄露或不當(dāng)處理應(yīng)承擔(dān)的責(zé)任。筆者認為，從保障權(quán)利出發(fā)，應(yīng)確立誰收集誰負責(zé)原則，從信息處理行為的源頭進行控制。 （5）特定情形的刪除。 個人信息權(quán)包含了信息主體對個人信息的主張刪除權(quán)。 在實踐中，政府基于合法目的的收集，公民的這項權(quán)利有可能受到很大程度的限制。 在商業(yè)目的的收集中， 應(yīng)保障公民在任何情形下主張刪除個人信息的權(quán)利。 同時，在公開的收集、使用規(guī)則中應(yīng)有明確的時間限制， 收集者有義務(wù)到期刪除個人信息。

結(jié)語：科技的作用是改善人類的生活方式，法律的功能在于保障人類的權(quán)利避免受到不當(dāng)侵害，二者的功用是一致的，都是為了實現(xiàn)人類發(fā)展。但人類發(fā)展的歷史告訴我們， 科技成果如果運用不當(dāng)將對人類造成難以估量的傷害。相對于科技的發(fā)展，法律本身總是具有滯后性。 如何通過完善法律以應(yīng)對現(xiàn)代科技的迅速發(fā)展成為需要人類共同深入思考的命題。法學(xué)的使命是預(yù)見到科學(xué)技術(shù)可能的風(fēng)險，通過立法使其發(fā)展保持在可控范圍內(nèi)， 不至于對人類社會帶來不可挽救的傷害。 如韓大元教授所言：“法學(xué)的使命不是贊賞科技發(fā)展帶來輝煌的成就， 而是要審視科技可能帶來非理性的后果， 以及如何通過法治降低科技發(fā)展可能帶來的風(fēng)險與非理性， 如何通過憲法控制科技對人類文明、尊嚴與未來的威脅。 ”法學(xué)的這一功能在網(wǎng)絡(luò)、 大數(shù)據(jù)爆炸式發(fā)展，AI、生物科技日新月異的今天尤顯重要。