人臉識別技術(shù)中的個人隱私權(quán)問題實證分析研究

繆孝武

（青海民族大學(xué),青海 西寧 810000）

1 人臉識別技術(shù)的應(yīng)用現(xiàn)狀

現(xiàn)有的生物識別技術(shù)主要分為兩類，一類是基于靜態(tài)生理特征進(jìn)行識別，如指紋識別、虹膜識別、人臉識別等；另一類是基于動態(tài)行為特征進(jìn)行識別，如筆跡識別、步頻識別、聲紋識別等[1]。近年來，人工智能的進(jìn)步帶動人臉識別技術(shù)取得了飛速發(fā)展，并被廣泛使用于身份認(rèn)證等實際應(yīng)用中，它既可以用于手機(jī)解鎖、刷臉支付，也可以用于安防準(zhǔn)入等場景，在越來越多的場所，人臉識別技術(shù)日益普及。相關(guān)報告顯示，2015—2020年，人臉識別市場份額的漲幅達(dá)166.6%，位居眾多生物特征識別的首位[2]。

自從2001年人臉識別查詢技術(shù)被列為國家“十五”重點攻關(guān)項目以來，人臉識別技術(shù)在公安機(jī)關(guān)、安全部門開始被廣泛應(yīng)用。目前運用人臉識別技術(shù)已成為軍方、警方識別身份的重要手段，多地公安機(jī)關(guān)結(jié)合自身的工作特點開創(chuàng)了多項人臉識別技術(shù)應(yīng)用的先例[3]，同時人臉識別技術(shù)在防止人口販賣、追捕逃犯、建設(shè)智慧城市、完善城市治理等方面發(fā)揮著重要的作用，但是人臉識別技術(shù)在不斷造福社會的同時，也面臨著個人隱私被侵犯的風(fēng)險。

人臉信息精確指向到具體個人信息，包括性別、年齡、表情等，直接標(biāo)記了人的身份，可以非?？旖菥珳?zhǔn)地進(jìn)行身份識別，具有不可復(fù)制性，如今的人臉識別技術(shù)在世界已經(jīng)被廣泛應(yīng)用。南方都市報人工智能倫理課題組APP專項治理工作組2020年10月發(fā)布的《人臉識別應(yīng)用公眾調(diào)研報告（2020）》[4]顯示，在2萬多名受訪者中，94.07%的受訪者用過該技術(shù)，64.39%的受訪者認(rèn)為該技術(shù)有被濫用的趨勢，30.86%的受訪者表示已因人臉信息泄露遭受了財產(chǎn)損失。隨著人臉識別技術(shù)的逐漸成熟，公眾的焦慮程度越來越高，于是加強(qiáng)人臉信息保護(hù)的呼聲也越來越高。

在很多場景下，采集人臉數(shù)據(jù)是件容易的事，被采集的人往往選擇忽視冗長的相關(guān)條款，快速點擊“確定”以獲得軟件的相關(guān)權(quán)限。如某些企業(yè)在推廣人臉識別技術(shù)的應(yīng)用場景時，往往忽視用戶的知情權(quán)風(fēng)險，用戶往往在不知情的情況下被動同意相關(guān)條款。

事實上，對人臉識別技術(shù)濫用的警惕，已經(jīng)在國家立法層面、輿論層面、特定受眾層面達(dá)成共識。包括《中華人民共和國民法典》在內(nèi)的多部法律都明確規(guī)定，相關(guān)產(chǎn)品或者服務(wù)應(yīng)當(dāng)明確征得消費者的同意。相關(guān)條款意味著立法對此的強(qiáng)制性態(tài)度，包括人臉識別等諸多生物信息的收集和使用，都無法突破現(xiàn)實生活應(yīng)用場景中主動知情同意這一最基本的底線。

2 人臉識別技術(shù)應(yīng)用相關(guān)案例分析

2015年，美國一名律師起訴Facebook，在沒有事先通知或征得用戶同意的情況下，F(xiàn)acebook擅自收集和存儲了個人用戶的面部數(shù)字掃描信息，此舉違反了伊利諾伊州的《生物識別信息隱私法》(BIPA)。美國聯(lián)邦法官正式批準(zhǔn)了該案的和解協(xié)議，同意Facebook支付6.5億美元解決集體訴訟糾紛。

2017年5月，南威爾士警方開始引入人臉識別技術(shù)（AFR）。該設(shè)備通過掃描人臉信息，獲得相關(guān)人臉數(shù)據(jù)，再將收集到的人臉數(shù)據(jù)放入數(shù)據(jù)庫中進(jìn)行比對，以此來捕捉罪犯。但布里奇斯仍認(rèn)為該系統(tǒng)侵犯了他的隱私，并根據(jù)相關(guān)法律提起訴訟。2020年8月11日，英國上訴法院裁定，被告南威爾士警方違反數(shù)據(jù)保護(hù)法，侵犯了原告愛德·布里奇斯的隱私權(quán)等合法權(quán)利。

2019年10月，杭州小學(xué)生實驗發(fā)現(xiàn)某品牌快遞柜用照片就能替代刷臉取件，再度引發(fā)輿論對人臉識別技術(shù)導(dǎo)致的個人信息安全隱患，以及部分商家過度采集或濫用人臉信息的擔(dān)憂。

據(jù)媒體報道，一些商鋪利用“無感”人臉識別技術(shù)，未經(jīng)同意對進(jìn)入門店的消費者進(jìn)行面部信息采集，通過分析系統(tǒng)中相關(guān)消費者的樣貌、年齡、性別等特征，進(jìn)而對其采取不同的營銷方式。一些物業(yè)公司使用人臉識別系統(tǒng)，要求業(yè)主錄入其人臉信息并捆綁相關(guān)個人信息。還有一些APP強(qiáng)制獲取用戶的面部信息，可能導(dǎo)致由于人臉信息泄露，個人的身份信息也隨之落入不法分子之手，之后如名下出現(xiàn)貸款、親戚朋友被冒充的“自己”騙取錢財、收到詐騙電話等問題可能會接踵而至。甚至有不法分子利用相關(guān)技術(shù)手段將個人照片制作成動態(tài)圖，破解人臉識別支付程序，實施盜竊人臉信息綁定的財物等相關(guān)違法犯罪活動。這樣的行為嚴(yán)重?fù)p害了公民的隱私權(quán)，使公民人身、財產(chǎn)等權(quán)益遭受侵害，不利于社會秩序的穩(wěn)定，增加了社會風(fēng)險。

3 域外有關(guān)人臉識別技術(shù)應(yīng)用的經(jīng)驗借鑒

3.1 歐盟模式

1995年，歐盟通過《歐盟數(shù)據(jù)保護(hù)指令》，直接適用于歐盟各國，旨在保護(hù)自然人的數(shù)據(jù)，并統(tǒng)一之前歐盟零散的個人數(shù)據(jù)保護(hù)規(guī)則。2018年5月25日，歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）生效。該條例覆蓋范圍十分廣泛，包含了生物識別數(shù)據(jù)在私人和公共領(lǐng)域的相關(guān)應(yīng)用。2019年8月21日，瑞典數(shù)據(jù)監(jiān)管機(jī)構(gòu)處罰了瑞典一所高中，原因是該校使用人臉識別系統(tǒng)記錄學(xué)生的出勤率，并且無法判定學(xué)生的同意是否為學(xué)生的獨立意志，以此判定該中學(xué)處理個人信息不符合GDPR的要求，違背了必要性原則。2020年6月19日，法國最高行政法院認(rèn)可了法國數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)對谷歌處以5 000萬歐元的罰款，原因是谷歌在安卓系統(tǒng)上沒有遵循GDPR規(guī)定的信息、透明性和同意等要求。上述兩個案件充分說明GDPR對促進(jìn)企業(yè)的合規(guī)與保護(hù)公民私人數(shù)據(jù)發(fā)揮著重要的作用。

GDPR還特別注重對敏感數(shù)據(jù)的相關(guān)保護(hù)。敏感個人數(shù)據(jù)是指如果被泄露或被不法分子濫用，可能危及人身和財產(chǎn)安全，導(dǎo)致個人名譽、身心健康受損或增加歧視性可能的數(shù)據(jù)。具體包括與種族和民族起源相關(guān)的信息，與自身的政治觀點、哲學(xué)和宗教信仰有關(guān)的個人信息。由于生物特征數(shù)據(jù)和基因數(shù)據(jù)具有明顯的指向性，可以精確地識別到具體個人，所以敏感信息還包括此類信息。GDPR第一章第四條規(guī)定，不能夠收集和處理涉及個人隱私的敏感信息，例如宗教信仰、政治信仰、反映個人種族或民族起源、犯罪記錄、指紋信息、人臉識別等。

2021年6月21日，歐盟數(shù)據(jù)保護(hù)委員會和歐盟數(shù)據(jù)保護(hù)監(jiān)管局針對歐盟在當(dāng)年4月發(fā)布的人工智能法規(guī)草案，再次重申禁止使用能夠自動識別公共場所的個人特征的人工智能設(shè)備，識別的信息包括人臉數(shù)據(jù)、指紋等生物信息。該法規(guī)草案將當(dāng)前人工智能的應(yīng)用風(fēng)險劃分為四個等級：低級、有限、高級和不可接受，同時強(qiáng)調(diào)評估公民的社會風(fēng)險的必要性。

3.2 美國模式

在美國，政府機(jī)構(gòu)和學(xué)校的人臉識別禁止令已經(jīng)開始實施。以伊利諾伊州為代表，該州發(fā)布的《生物識別信息隱私法案》（BIPA）[5]，是美國的第一部旨在規(guī)范處理和使用個人生物信息的法律。2017年，華盛頓州通過了《SB 6280法案》，它規(guī)制了政府對個人生物信息的收集和使用。舊金山市于2019年5月通過了《停止秘密監(jiān)視條例》。2019年7月，奧克蘭市通過了《監(jiān)視和社區(qū)安全法》。得克薩斯州現(xiàn)行的統(tǒng)一商法典規(guī)定，未經(jīng)同意不得獲取信息主體的個人生物信息數(shù)據(jù)，除滿足一定條件外，不得向他人出售或披露生物識別信息。

在這種背景下，2020年2月12日，美國民主黨兩位參議員在參議院提出了《道德使用人臉識別法案》，該法案意在保護(hù)消費者避免因人臉識別技術(shù)的使用讓其隱私遭受過度監(jiān)管或者泄露的風(fēng)險，將無限期暫停政府使用人臉識別，直到國家出臺相關(guān)正式法律。

4 人臉識別技術(shù)應(yīng)用相關(guān)事件給我國的啟示

4.1 完善人臉識別相關(guān)法律法規(guī)

在我國，濫用人臉識別技術(shù)導(dǎo)致個人隱私泄露的新聞屢見不鮮，如被媒體曝光的房地產(chǎn)售樓處擅自抓拍、濫用客戶的人臉數(shù)據(jù)，又如某健身中心未履行個人信息保護(hù)義務(wù)，肆意收集會員相關(guān)個人信息，特別是人臉照片、指紋等個人生物特征信息。這意味著完善相關(guān)法律已迫在眉睫。2021年8月20日《中華人民共和國個人信息保護(hù)法》通過，其第二十六條要求，在公共場所安裝圖像采集、個人身份識別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識。人臉識別國家標(biāo)準(zhǔn)征求意見稿也指出，在收集人臉數(shù)據(jù)時，需要被收集主體明示同意，避免出現(xiàn)人臉數(shù)據(jù)在用戶不知情的情況下被收集。

如今，大部分關(guān)于人臉識別技術(shù)使用的法律法規(guī)都集中在公共服務(wù)領(lǐng)域，不同的公共服務(wù)領(lǐng)域有不同的規(guī)定。位階越低的規(guī)范越關(guān)注人臉識別技術(shù)的應(yīng)用，法律層級的文本更能體現(xiàn)對包括人臉識別在內(nèi)的個人信息的尊重與保護(hù)[6]。但無論是低位階的規(guī)范，還是高位階的法律層級文本，都缺乏對人臉識別技術(shù)運用全面且細(xì)致的規(guī)定，也缺乏對人臉識別技術(shù)侵權(quán)的救濟(jì)措施。人臉識別技術(shù)應(yīng)用場景的多樣性和復(fù)雜性，使收集、存儲、處理和使用個人信息的過程可能涉及侵犯個人隱私的問題。

首先，需要明確的法規(guī)制度來監(jiān)管人臉識別技術(shù)的使用，形成可操作的嚴(yán)格規(guī)程[7]。南京、杭州、天津、深圳等地方政府也陸續(xù)出臺了相關(guān)管理條例，以此來監(jiān)管人臉識別。以杭州為例，《杭州市物業(yè)管理條例（草案）》中明確規(guī)定了對人臉識別系統(tǒng)的使用，規(guī)定物業(yè)公司不得強(qiáng)制業(yè)主通過指紋或人臉等方式使用共用設(shè)施設(shè)備。

其次，必須構(gòu)建人臉數(shù)據(jù)收集和使用的知情同意原則。知情同意原則旨在維護(hù)個人自主性，體現(xiàn)了對公民個人信息自決的尊重[8]。由于人臉信息屬于敏感個人信息，在收集人臉信息前必須清楚地告知相關(guān)信息和風(fēng)險，以確保被收集人的知情同意權(quán)得到保障。只有落實好這些要求，才能保障人們使用技術(shù)和保障隱私之間的平衡。

最后，必須明晰相關(guān)主體的責(zé)任。第一，明確收集者的相關(guān)權(quán)利和義務(wù)。相關(guān)企業(yè)如需在經(jīng)營中使用人臉識別技術(shù)，應(yīng)向有關(guān)部門申報。經(jīng)過批準(zhǔn)后，商戶和公司有權(quán)在不侵犯客戶權(quán)益的情況下對客戶使用人臉識別技術(shù)，同時也應(yīng)負(fù)責(zé)妥善保管客戶的人臉信息，并承諾不會將收集到的人臉信息用于其他目的。第二，明確規(guī)定對商家與企業(yè)違規(guī)的處罰標(biāo)準(zhǔn)，以此提高相關(guān)違法成本。如GDPR在第83條定義了兩類處罰標(biāo)準(zhǔn)，分別是：上限一千萬歐元，或全球年營業(yè)額的2%，取較大者；上限兩千萬歐元，或全球年營業(yè)額的42%，取較大者。懲罰的目的在于督促相關(guān)收集者妥善保管用戶隱私信息。

4.2 完善人臉識別監(jiān)督保護(hù)機(jī)制

4.2.1 設(shè)立專門的監(jiān)管機(jī)構(gòu)

如隱私保護(hù)委員會，隱私保護(hù)委員會可以發(fā)揮橋梁紐帶作用，通過開展宣傳教育和咨詢服務(wù)，提高社會的隱私保護(hù)意識，促使相關(guān)政府部門和機(jī)構(gòu)進(jìn)一步完善管理機(jī)制，提高個人隱私保護(hù)水平；還可以推動隱私保護(hù)領(lǐng)域的法律制度建設(shè)，提高管理水平，更好地維護(hù)人民群眾切身利益、社會穩(wěn)定和國家安全。

4.2.2 提高政府信息監(jiān)管能力和水平

一是建立健全人臉識別技術(shù)市場準(zhǔn)入制度。人臉識別技術(shù)屬于高新技術(shù)領(lǐng)域，因此，當(dāng)企業(yè)涉足人臉識別技術(shù)領(lǐng)域時，監(jiān)管機(jī)構(gòu)必須采取嚴(yán)格的審查措施。二是建立相關(guān)備案審查制度。相關(guān)企業(yè)在征得用戶同意的同時，按照法定程序披露風(fēng)險信息及采取其他相關(guān)措施的記錄，以驗證該企業(yè)在風(fēng)險發(fā)生時是否已采取合理的謹(jǐn)慎措施，便于問責(zé)，也有利于監(jiān)管機(jī)構(gòu)對企業(yè)進(jìn)行監(jiān)督管理。三是構(gòu)建合理的評價體系。人臉識別領(lǐng)域是一個不斷發(fā)展的高新技術(shù)領(lǐng)域，同時也處處充滿著風(fēng)險。因此，有必要對相關(guān)的人臉識別技術(shù)進(jìn)行定期和不定期的評估，以此保證科技向善。

5 結(jié)語

在鼓勵新技術(shù)運用時，借鑒國外法律監(jiān)管經(jīng)驗、探究與中國國情相適應(yīng)的對策很有必要。在實現(xiàn)技術(shù)便利和隱私保護(hù)的雙重條件下，需要完善與個人隱私保護(hù)相關(guān)的法律法規(guī)體系，并同時完善人臉識別監(jiān)控監(jiān)管保護(hù)機(jī)制，只有這樣才能平衡人臉識別技術(shù)應(yīng)用與隱私權(quán)保護(hù)的關(guān)系，讓人們在享受科技的同時，規(guī)避人臉識別技術(shù)帶來的風(fēng)險。