人臉識別應(yīng)用背后的侵權(quán)風(fēng)險(xiǎn)及其法律規(guī)制的研究*

遼寧工程技術(shù)大學(xué) 金千茜

當(dāng)前，在數(shù)字經(jīng)濟(jì)迅速發(fā)展的大背景下，一系列新興技術(shù)也隨之大量涌現(xiàn)，其中尤為突出的就是人臉識別技術(shù)。當(dāng)用戶的人臉數(shù)據(jù)被平臺收錄，上傳至深不可測的互聯(lián)網(wǎng)，法律的權(quán)威也面臨不法分子的挑釁：偽造他人肖像做廣告、吸引流量牟利，或是惡搞名人、侮辱、誹謗、網(wǎng)絡(luò)詐騙、色情宣傳等等。當(dāng)人們的面部信息如同鑰匙一般與自己的金融交易、身份識別等高度隱私的賬戶息息相關(guān)時(shí)，安全風(fēng)險(xiǎn)也隨之而來。在個(gè)人信息保護(hù)機(jī)制尚待健全的我國，通過完善法律對人臉識別技術(shù)應(yīng)用背后的侵權(quán)風(fēng)險(xiǎn)加以防范與規(guī)制的研究顯得極為必要。

一、人臉識別技術(shù)背后的侵權(quán)風(fēng)險(xiǎn)現(xiàn)況梳理

由于人臉識別技術(shù)在我國處于初級發(fā)展階段，在實(shí)際使用中仍存有技術(shù)漏洞，安全性低、可靠性不高。目前，市場上有很多企業(yè)在各類生活場景中都使用人臉識別技術(shù)，濫用現(xiàn)象極其普遍。同時(shí)大部分?jǐn)?shù)據(jù)控制方在處理人臉數(shù)據(jù)時(shí)沒有法律規(guī)范，保護(hù)意識也很薄弱。因此，當(dāng)人臉數(shù)據(jù)被泄漏后，很容易造成權(quán)利人的人格權(quán)和財(cái)產(chǎn)權(quán)受到侵害，又由于事后救濟(jì)途徑十分狹窄，大部分公眾很難讓自己的合法權(quán)益受到保障。

（一）人臉識別技術(shù)侵權(quán)風(fēng)險(xiǎn)的誘因

1.該項(xiàng)技術(shù)仍存有漏洞

2021年，清華大學(xué)的RealAI研究團(tuán)隊(duì)為了測驗(yàn)手機(jī)的人臉識別技術(shù)是否存有安全漏洞而進(jìn)行了一個(gè)簡短的實(shí)驗(yàn)，結(jié)果被測驗(yàn)的19部手機(jī)都被特定測試人員的眼睛圖片所解鎖。在ISC 2020 大會(huì)的人工智能與安全論壇上，360 AI安全研究院研究員劉昭通過舉例某款人臉識別設(shè)備能讓任意人通過，說明不僅AI算法存在漏洞，其所依賴的關(guān)鍵基礎(chǔ)設(shè)施也同樣會(huì)被攻擊，并進(jìn)一步揭露了AI關(guān)鍵基礎(chǔ)設(shè)施存在的安全風(fēng)險(xiǎn)。

由此可見，即使我國的人臉識別技術(shù)已經(jīng)歷經(jīng)長期的算法發(fā)展與改進(jìn)，現(xiàn)有的人臉識別技術(shù)仍存有漏洞，可靠性非常低，并且由于2D人臉識別技術(shù)與3D人臉識別技術(shù)的成本差距，部分廠商會(huì)選擇更為低廉的技術(shù)，而這更容易使得用戶的個(gè)人權(quán)益遭到侵害。何況更為先進(jìn)的3D技術(shù)也會(huì)受到光線、設(shè)備性能、黑客攻擊等無法避免的因素影響。這一方面是受制于現(xiàn)今技術(shù)發(fā)展的成熟度，另一方面則源于技術(shù)提供方與應(yīng)用方對于安全防備的輕視。

2.市場對該項(xiàng)技術(shù)的濫用現(xiàn)象普遍

2021年“3·15”晚會(huì)，央視曝光了全國20多家商戶存在安裝攝像頭識別人臉、收集人臉數(shù)據(jù)的情況。科勒(中國)投資有限公司在旗下衛(wèi)浴門店安裝人臉識別攝像頭，抓取包括性別、年齡在內(nèi)的個(gè)人信息，其攝像頭系統(tǒng)生產(chǎn)商“萬店掌”，另一系統(tǒng)生產(chǎn)商“悠洛客”科技都有此技術(shù), 可以在顧客不知情的情況下抓取信息。此外, 無錫的一家寶馬4S店、MaxMara 旗下的一家店鋪均存在安裝人臉識別攝像頭收集人臉信息的問題。

3.人臉信息處理不規(guī)范

我國公民，尤其是人臉信息的數(shù)據(jù)擁有方，普遍對個(gè)人生物信息的保護(hù)意識較薄弱。這主要體現(xiàn)在對人臉數(shù)據(jù)的非法采集、強(qiáng)制采集、過度采集以及非法提供、泄漏等處理中。無論是違法分子盜取用戶的面部信息來牟利，還是很多像“ZAO”一樣的APP們一邊過度攫取用戶授權(quán)，一邊侵犯用戶權(quán)利，并且為了自身免于承擔(dān)責(zé)任強(qiáng)制用戶簽訂用戶協(xié)議。

4.權(quán)益救濟(jì)渠道狹窄

人臉識別技術(shù)是新興技術(shù)產(chǎn)業(yè)，在我國因并未建立完善的治理機(jī)制，法律體系散亂且保護(hù)力度較弱，故而對人臉識別技術(shù)的事后權(quán)利救濟(jì)實(shí)際很困難。事實(shí)上對于廣大群眾而言，人臉識別技術(shù)與其背后的科學(xué)原理都十分復(fù)雜，人們很難對其掌握了解，因此當(dāng)數(shù)據(jù)主體的合法權(quán)益受到侵害時(shí)，在訴訟的救濟(jì)途徑中通常存在舉證困難、審理困難等問題，何況我國尚未對人臉識別涉及的具體法律問題加以規(guī)定，執(zhí)法人員更是難以有效、全面地解決被侵害人的問題，維護(hù)被侵害人的利益。

（二）人臉識別技術(shù)侵權(quán)風(fēng)險(xiǎn)的法律后果

1.侵犯用戶人格權(quán)

在近幾年層出不窮、或大或小的人臉識別侵權(quán)案例中，大多都是行為人在顧客不知情或非自愿的情況下，獲取涉及顧客隱私和財(cái)產(chǎn)安全的人臉識別信息。根據(jù)我國《民法典》第四編人格權(quán)的相關(guān)法律規(guī)定可知，這些行為明顯都具有涉嫌侵犯他人肖像權(quán)、名譽(yù)權(quán)、個(gè)人信息權(quán)及隱私權(quán)的法律后果，損害了他人的合法人格權(quán)益。

2.侵犯用戶財(cái)產(chǎn)權(quán)

人臉識別技術(shù)的安全風(fēng)險(xiǎn)不但包括個(gè)人人格權(quán)利受到侵犯，還有可能導(dǎo)致個(gè)人的經(jīng)濟(jì)和財(cái)產(chǎn)受到損失。當(dāng)今人臉信息被廣泛運(yùn)用于各種各樣的生活場景，當(dāng)不法分子利用人臉照片、3D人臉等方法破解網(wǎng)絡(luò)銀行等人臉識別系統(tǒng)后，通過網(wǎng)絡(luò)交易、消費(fèi)以及轉(zhuǎn)移線上賬戶的資金等方式就能獲取非法收入，從而造成用戶個(gè)人財(cái)產(chǎn)的損失。

二、我國關(guān)于人臉識別技術(shù)的立法現(xiàn)狀

近年來，隨著人臉識別技術(shù)的發(fā)展和應(yīng)用，越來越多的人意識到對人臉信息進(jìn)行保護(hù)的重要性，與其相關(guān)的法律爭議也層出不窮。因此，2021年“兩會(huì)”期間，不少人大代表都提議國家應(yīng)加快制定相關(guān)法律法規(guī)，從而保障公民因其安全風(fēng)險(xiǎn)從而可能遭受侵害的各項(xiàng)權(quán)利。

目前，我國并沒有針對人臉識別技術(shù)建立具體的法律規(guī)制，也沒有出臺相應(yīng)的法律。在2021年7月28日最高人民法院發(fā)布《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問題的規(guī)定》之前，國內(nèi)除了2020年12月天津、深圳、杭州等地出臺了相關(guān)條例之外，僅僅是以個(gè)人信息的范圍籠統(tǒng)地對生物識別信息加以定義。在《民法典》的人格權(quán)編中，共計(jì)有6個(gè)條文對個(gè)人信息的保護(hù)有詳細(xì)的敘述，人臉信息則作為生物識別信息被涵蓋其中。2021年8月，《個(gè)人信息保護(hù)法（草案）》將進(jìn)行第三次審議，該法案的探索之路體現(xiàn)了我國相關(guān)立法進(jìn)程發(fā)展的前進(jìn)性和曲折性。如果表決通過，將會(huì)對公民個(gè)人、信息行業(yè)和監(jiān)管機(jī)關(guān)產(chǎn)生重大影響。

三、域外關(guān)于人臉識別技術(shù)的法律規(guī)制

從國外的研究現(xiàn)狀來看，由于與國內(nèi)不同的政治體制和社會(huì)文化，他們對人臉識別技術(shù)的法律規(guī)制也較為嚴(yán)厲，其中具有代表性的就是歐盟和美國。

（一）歐盟對人臉識別技術(shù)的法律規(guī)制

在歐盟，目前處于主導(dǎo)地位的個(gè)人信息保護(hù)法是《通用數(shù)據(jù)保護(hù)條例》，該條例自2018年5月25日正式生效以來，其影響力早已越過歐盟，遍布全球。其中第4條對“生物特征數(shù)據(jù)”作出明確界定，指出“人臉圖像”屬于生物特征數(shù)據(jù)的范疇。與此同時(shí)，歐盟的立法主張個(gè)人信息是一項(xiàng)獨(dú)立權(quán)利，應(yīng)進(jìn)行獨(dú)立保護(hù)，即視個(gè)人信息為一項(xiàng)基本權(quán)利。相較于美國而言，歐盟針對個(gè)人信息的保護(hù)并沒有區(qū)分公共領(lǐng)域和非公共領(lǐng)域的范圍，而是將主體直接劃分為數(shù)據(jù)主體、數(shù)據(jù)控制者和數(shù)據(jù)處理者，并統(tǒng)一規(guī)范，將公共利益作為例外而保留。此外，歐盟規(guī)定對于使用人臉識別技術(shù)獲取人臉信息的行為嚴(yán)格限制，《通用數(shù)據(jù)保護(hù)條例》將人臉數(shù)據(jù)納入個(gè)人數(shù)據(jù)的“特殊類別”，數(shù)據(jù)主體如果沒有明確同意就不得處理該類數(shù)據(jù)。

面對人臉識別的濫用，歐盟也逐步推行禁止使用人臉識別等遠(yuǎn)程生物識別系統(tǒng)的規(guī)定。2021年4月，歐盟推出了《人工智能法（草案）》，其中禁止四類人工智能應(yīng)用，不遵守此法案的機(jī)構(gòu)可能被處以3000 萬歐元或上一財(cái)年全球全年?duì)I業(yè)收入6%的罰款。這四類人工智能應(yīng)用中就包括限制實(shí)時(shí)遠(yuǎn)程生物特征識別系統(tǒng)的使用。更早在 2016年4月，歐盟就通過了《一般數(shù)據(jù)保護(hù)法案》，該法案于2018 年正式生效，明確規(guī)定企業(yè)在使用用戶個(gè)人信息（包括人臉識別等生物識別信息）時(shí)，需要獲取消費(fèi)者的明確同意。

（二）美國對人臉識別技術(shù)的法律規(guī)制

在美國，聯(lián)邦各州對于人臉識別技術(shù)應(yīng)用的法律規(guī)制各不相同，但根據(jù)總體的相關(guān)專門法案和禁令可以看出，美國對這一技術(shù)的規(guī)制十分重視。從立法模式來看，美國各州對人臉識別這一技術(shù)的規(guī)制有較大的自主決定權(quán)，同時(shí)，美國的自由主義強(qiáng)調(diào)個(gè)人自由，在法律體系里，私權(quán)利處于核心地位。因此，相較于歐盟的“基本權(quán)利說”而言，美國偏向于隱私權(quán)理論，即將個(gè)人信息的保護(hù)涵蓋于個(gè)人隱私權(quán)保護(hù)的范圍內(nèi)。

目前，在美國最具代表性的法案是美國參議院法案——《2020年國家生物識別信息隱私法案》。它是以伊利諾伊州的BIPA為藍(lán)本，適用于“私人實(shí)體”，包括擁有任何個(gè)人的生物識別符或生物識別信息的任何規(guī)模的企業(yè)，關(guān)鍵性條款如有義務(wù)以類似于組織保護(hù)其他機(jī)密和敏感信息的方式保護(hù)生物特征識別器或生物特征信息。上文所提及的伊利諾伊州頒布的《生物識別信息隱私法案》（即BIPA）則明確提出了“生物標(biāo)識符”概念，指明其包含了“面部特征的掃描”，在人臉識別技術(shù)的法律規(guī)制體系里也具有典型意義。

2016年，亞馬遜推出的圖像識別AI系統(tǒng)Rekognition曾在2018年將28名美國國會(huì)議員識別成了罪犯，而在2019年和2020年，又有黑人男子因?yàn)槊绹绞褂玫娜四樧R別系統(tǒng)識別不準(zhǔn)確而被錯(cuò)誤逮捕。除此之外，還有種族歧視、大數(shù)據(jù)監(jiān)視等問題。因此，美國多地限制甚至禁止使用人臉識別技術(shù)的呼聲較高，相關(guān)應(yīng)用的普及程度也較低。2019年，美國陸續(xù)有多個(gè)城市通過了禁止政府部門使用人臉識別技術(shù)的條例，其中，俄勒岡州波特蘭市不僅禁止政府部門使用，也禁止私人企業(yè)在公共場所布置人臉識別技術(shù)。美國加利福尼亞州的舊金山市首創(chuàng)了全球范圍內(nèi)關(guān)于人臉識別的禁令。2020年，美國國會(huì)參議員也開始推進(jìn)人臉識別相關(guān)暫緩法案的出臺，他們提出《2020年人臉識別與生物技術(shù)暫緩法案》，禁止聯(lián)邦部門使用人臉識別技術(shù)增加了地方警察使用該技術(shù)的難度。

對比國內(nèi)外的人臉識別相關(guān)法規(guī)來看，雖然當(dāng)前我國一些人臉識別應(yīng)用比較廣泛的城市已經(jīng)出臺了一些政策，但因國情差異，國內(nèi)更多是對人臉識別的商用應(yīng)用進(jìn)行規(guī)范，國外的政策法規(guī)對政府機(jī)構(gòu)和企業(yè)分別有不同層面的約束。因此，為了嚴(yán)格保護(hù)公民的人臉信息安全，促進(jìn)人臉識別行業(yè)健康發(fā)展，我國人臉數(shù)據(jù)隱私相關(guān)政策法規(guī)的健全迫在眉睫。

四、對我國人臉識別技術(shù)應(yīng)用的法律規(guī)制建議

（一）劃分人臉識別技術(shù)在公共領(lǐng)域和非公共領(lǐng)域的適用范圍，對非必要的適用情形加以限制

對于人臉識別技術(shù)的應(yīng)用，由于政府部門和企業(yè)的主體性質(zhì)不同，應(yīng)當(dāng)分別立法加以適用。公權(quán)力如公安系統(tǒng)，在抓捕犯人時(shí)必要采取人臉識別技術(shù)，這屬于基于公共利益的正當(dāng)使用，是以實(shí)現(xiàn)公共利益的需要為目的，具有合法性和正當(dāng)性。因此，政府部門為了維護(hù)公共安全，如識別失蹤人員、確定死者身份等，可以使用人臉識別技術(shù)，但必須符合法律授權(quán)的要求，嚴(yán)格按照規(guī)范使用。與之相反，面對企業(yè)或機(jī)構(gòu)在非必要情況下采集人臉數(shù)據(jù)的行為，法律應(yīng)當(dāng)加以嚴(yán)格限制，設(shè)立準(zhǔn)入門檻，明確立法并限制適用要求，無論是收集前應(yīng)征得個(gè)人的明示同意，還是處理人臉數(shù)據(jù)時(shí)以合法目的為基礎(chǔ)，都應(yīng)將公眾的人臉數(shù)據(jù)加以保護(hù)、保密，嚴(yán)格把關(guān)人臉識別技術(shù)濫用的情形。

（二）構(gòu)建多方監(jiān)管體系，促進(jìn)行業(yè)規(guī)范化

對于人臉識別技術(shù)的監(jiān)管機(jī)制，應(yīng)該適用這項(xiàng)新興技術(shù)本身具有的風(fēng)險(xiǎn)性。因此，除了企業(yè)自身的監(jiān)管機(jī)制，還應(yīng)建立以行政、司法以及第三方專業(yè)機(jī)構(gòu)為代表的多方監(jiān)管體系。在運(yùn)用人臉識別技術(shù)系統(tǒng)時(shí)全程性、靈活性監(jiān)管，做到“無死角”。面對企業(yè)使用人臉識別技術(shù)，應(yīng)當(dāng)評估其適用風(fēng)險(xiǎn)，審查其是否具有專業(yè)的風(fēng)險(xiǎn)處理機(jī)制。同時(shí)加強(qiáng)行政監(jiān)管，建立健全相應(yīng)的監(jiān)管部門，定期執(zhí)法檢查可能存在風(fēng)險(xiǎn)的企業(yè)，設(shè)立舉報(bào)申訴機(jī)制等，運(yùn)用公權(quán)力的手段有效保障人臉識別技術(shù)的安全性，加大監(jiān)督力度。

（三）完善人臉識別技術(shù)侵權(quán)風(fēng)險(xiǎn)的事前評估和事后救濟(jì)渠道

無論是政府部門還是企業(yè)或機(jī)構(gòu)，在使用人臉識別技術(shù)之前，應(yīng)當(dāng)先做好風(fēng)險(xiǎn)評估，檢測并考量其所使用的人臉識別技術(shù)是否具有準(zhǔn)確性、安全性、保密性等內(nèi)部條件，同時(shí)要求該主體制定相應(yīng)的管理機(jī)制、責(zé)任機(jī)制、預(yù)防風(fēng)險(xiǎn)機(jī)制等外部條件。

當(dāng)人臉識別技術(shù)的侵權(quán)后果發(fā)生后，完善其事后的救濟(jì)渠道也十分重要。首先，對于權(quán)利人可以尋求救濟(jì)的途徑，應(yīng)不僅限于向不法分子追尋賠償，還可以向監(jiān)管部門提起申訴，對監(jiān)管部門所做決定不服的，可以向人民法院提起行政訴訟，或者起訴人臉數(shù)據(jù)的控制者和處理者。其次，面對權(quán)利人難以取證、糾紛難以被審理的問題，應(yīng)當(dāng)完善人臉識別技術(shù)侵權(quán)風(fēng)險(xiǎn)審理機(jī)制，建立集中處理的部門，對證據(jù)審理做到有例可循，提高處理此類糾紛的準(zhǔn)確性和效率性。最后，應(yīng)當(dāng)加大懲罰力度，對于權(quán)利人被侵害的人格權(quán)利和財(cái)產(chǎn)權(quán)利，數(shù)據(jù)管理、控制方應(yīng)當(dāng)在停止侵害的基礎(chǔ)上，承擔(dān)相應(yīng)或更高的損害賠償。

（四）結(jié)合我國國情，合理借鑒域外法律實(shí)踐經(jīng)驗(yàn)

由前文詳述的歐盟和美國對人臉識別技術(shù)的法律規(guī)制可知，域外發(fā)達(dá)國家在此方面具有一定法律實(shí)踐經(jīng)驗(yàn)，我們應(yīng)該汲取教訓(xùn)，吸收并學(xué)習(xí)合理且適合中國各地實(shí)際情況的立法、執(zhí)法與司法的協(xié)調(diào)機(jī)制。我國國情復(fù)雜，富有特色的地方法治是國家法治的重要組成部分，各地方都有地方性法規(guī)和政府規(guī)章的制定權(quán)、相應(yīng)的行政權(quán)和司法權(quán)，民族自治地方還有廣泛的自治權(quán)，因此，各地區(qū)借鑒國外發(fā)達(dá)國家對人臉識別技術(shù)應(yīng)用的法律規(guī)制是可行的。發(fā)達(dá)省份可以借鑒美國伊利諾伊州的《生物識別信息隱私法案》，對人臉識別進(jìn)行專門的地方立法。國家層面也可以借鑒美國2020年3月12日通過的一項(xiàng)全面的聯(lián)邦隱私法案——《消費(fèi)者數(shù)據(jù)隱私和安全法案》，就人臉識別技術(shù)共性法律問題諸如人臉識別應(yīng)用的專用目的性、不可濫用性等作出規(guī)定。還有諸如在執(zhí)法監(jiān)管中嚴(yán)格主義的執(zhí)行原則、司法中被人臉識別者的保護(hù)價(jià)值優(yōu)位等概念也值得我們借鑒。