劉 榮

（福建師范大學(xué)，福建 福州 350000）

一、應(yīng)用人臉識別技術(shù)所引發(fā)的問題

（一）立法不夠周延

人臉識別技術(shù)在我國仍然歸于新興技術(shù)研究范疇，由于缺乏相應(yīng)的理論儲備，我國尚未出臺單行法對其進(jìn)行規(guī)制，僅在其他部門法零星涉及，致使整個(gè)法律體系雜亂，規(guī)制力度極其有限。具體來看，我國現(xiàn)有的直接涉及人臉識別技術(shù)的法律規(guī)范為支付領(lǐng)域的《人臉識別線下支付行業(yè)自律公約（試行）》和安防領(lǐng)域的《安全防范視頻監(jiān)控人臉識別系統(tǒng)技術(shù)要求》。其他有關(guān)的法律規(guī)范有《民法典》第1034條關(guān)于個(gè)人信息保護(hù)的總括性規(guī)定、《電商法》經(jīng)營者收集顧客信息需要遵循法律規(guī)范、《網(wǎng)絡(luò)安全法》運(yùn)營者經(jīng)被收集人同意后按一定原則收集并合理處理個(gè)人信息、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》信息收集和使用規(guī)范發(fā)展以及國家安全保障措施等。可見，我國現(xiàn)有的法律并沒有將敏感信息同一般個(gè)人信息區(qū)別開來保護(hù)，但參考各國的立法，將個(gè)人敏感信息單獨(dú)拿出并加以保護(hù)，已經(jīng)成為趨勢。雖然《信息安全技術(shù)個(gè)人信息安全規(guī)范》將個(gè)人生物識別信息確認(rèn)為個(gè)人敏感信息，是迄今我國目前關(guān)于個(gè)人信息保護(hù)規(guī)定的最為詳盡的規(guī)范，其參考?xì)W盟的《通用數(shù)據(jù)保護(hù)條例》規(guī)定了個(gè)人對信息的訪問權(quán)、更正權(quán)、刪除權(quán)、可攜帶權(quán)等，但該規(guī)范只是推薦性的國家標(biāo)準(zhǔn)，沒有強(qiáng)制執(zhí)行權(quán)，而且未明確界定生物識別信息的法律屬性以及相關(guān)主體責(zé)任，也就無法完整的保護(hù)人臉識別信息。

（二）行政監(jiān)管缺位

由于立法體系分散，且未建立監(jiān)管機(jī)制，以至人臉識別行業(yè)難以得到有效管制。目前，我國的互聯(lián)網(wǎng)信息辦公室負(fù)責(zé)人臉識別技術(shù)的網(wǎng)絡(luò)問題，公安部門則管理刑事領(lǐng)域，工信部則對違法經(jīng)營進(jìn)行糾察，但各個(gè)部門僅對其負(fù)責(zé)的領(lǐng)域?qū)夹g(shù)進(jìn)行監(jiān)管，并沒有專門的部門對技術(shù)進(jìn)行管制。當(dāng)企業(yè)違規(guī)使用技術(shù)時(shí)，行政部門大多采取行政約談的方式以督促企業(yè)自行整改。以Faceu激萌事件為例，企業(yè)被約談后，并不會在實(shí)際層面得到懲處，可見約談的效果有待商榷。法律能否得到遵守，一定程度上有賴于相關(guān)部門的監(jiān)管，因此僅靠行政約談的監(jiān)管方式遠(yuǎn)遠(yuǎn)不夠的。目前我國人臉識別技術(shù)的市場經(jīng)濟(jì)規(guī)模仍在不斷擴(kuò)大，我國亟需建立一個(gè)獨(dú)立的人臉識別技術(shù)監(jiān)管機(jī)構(gòu)，以更好保障技術(shù)的積極健康發(fā)展。

（三）行業(yè)亂象橫生

我國現(xiàn)階段的人臉識別技術(shù)行業(yè)發(fā)展缺乏統(tǒng)一的準(zhǔn)入門檻，研發(fā)人員只需硬件設(shè)施，輔以算法及數(shù)據(jù)庫，就可以擁有和運(yùn)用這一技術(shù)。隨之而來的就是技術(shù)擁有主體范圍擴(kuò)大，極大的增加了人臉識別技術(shù)被濫用的風(fēng)險(xiǎn)。前不久一審程序結(jié)束的杭州城市動物園“中國人臉識別第一案”曾廣受關(guān)注，作為私營主體的動物園，是否有權(quán)力采集顧客臉部信息并強(qiáng)制性要求顧客以刷臉驗(yàn)證的方式入園，還有待商榷。此外，深網(wǎng)視界公司未給予數(shù)據(jù)庫應(yīng)有的維護(hù)，致使大量公民人臉數(shù)據(jù)泄露事件，也折射出人臉信息被采集之后，技術(shù)主體對數(shù)據(jù)庫的保護(hù)度不夠。雖然《民法典》第1035條規(guī)定處理個(gè)人信息需要征得權(quán)利人同意，以公開處理為原則，并對權(quán)利人明示如何進(jìn)行處理其個(gè)人信息。但該規(guī)定充其量只是原則性規(guī)定，在具體案例當(dāng)中，法官對于技術(shù)主體是否遵循法定義務(wù)有極高的自由裁量權(quán)，無疑不利于行業(yè)良性競爭發(fā)展。

（四）技術(shù)存在漏洞

縱然我國人臉識別技術(shù)不斷在算法、數(shù)據(jù)庫及硬件設(shè)備方面更新?lián)Q代，仍然不足以完全消除技術(shù)上的漏洞。目前，市面上常見的技術(shù)類型主要為2D人臉識別算法、3D人臉識別算法兩種。由于光線、面部表情和妝容的影響，2D人臉識別的精確率較低。但在現(xiàn)實(shí)中，2D系統(tǒng)往往會因?yàn)槠湓O(shè)備價(jià)格相對低而被許多廠商選擇，以降低生產(chǎn)成本。得益于人工智能算法的發(fā)展，3D人臉識別算法在2D算法的基礎(chǔ)上進(jìn)一步提升了在光線不足等不良情景下的識別準(zhǔn)確率。即便如此，3D算法在面對不同種族、不同膚色甚至是不同性別時(shí)，其識別成功率并不一致，存在著識別錯(cuò)誤的風(fēng)險(xiǎn)。然而，這種識別錯(cuò)誤的風(fēng)險(xiǎn)有時(shí)候會帶來致命的后果。浙江紹興的非法竊取人臉數(shù)據(jù)騙取紅包案，罪犯利用他人的人臉信息進(jìn)行支付寶新用戶注冊，以此騙取紅包，數(shù)額巨大。犯罪分子只是通過軟件將公民的臉部信息打印成3D頭像，從而注冊用戶成功并進(jìn)行消費(fèi)。不可否認(rèn)，技術(shù)的使用為人們提供了巨大的便利。但在享受技術(shù)的同時(shí)，如何克服技術(shù)不完善所引發(fā)的風(fēng)險(xiǎn)，乃是從業(yè)人員面臨的一道難題。

二、人臉識別技術(shù)應(yīng)用規(guī)制的域外經(jīng)驗(yàn)

國際層面，絕大多數(shù)國家或地區(qū)通過保護(hù)個(gè)人信息的法律法規(guī)對人臉識別技術(shù)加以規(guī)制、保護(hù)，最具代表性的是美國及歐盟。美國聯(lián)邦政府并未制定全國統(tǒng)一的法律法規(guī)，而是賦予各個(gè)州一定立法權(quán)，即分散式立法。這和美國自身的國家結(jié)構(gòu)有關(guān)，中央與地方政府并不是直接隸屬關(guān)系，地方政府擁有極大的自主權(quán)。各個(gè)州在制定相應(yīng)法律規(guī)范時(shí)，受到經(jīng)濟(jì)自由、人權(quán)自由因素的影響，其立法大多對公權(quán)力機(jī)關(guān)使用人臉識別技術(shù)加以限制甚至禁止，對于私權(quán)利主體則更多依賴于市場競爭機(jī)制予以調(diào)節(jié)。歐盟則以《通用數(shù)據(jù)保護(hù)條例》（GDPR)為概括性文件，通過集中立法，為成員國提供立法指導(dǎo)，即以GDPR為總體框架，各國向下細(xì)化條款細(xì)節(jié)并加以添改。相比美國僅限制政府機(jī)構(gòu)運(yùn)用人臉識別技術(shù)，歐盟對面部識別更為審慎，既約束公共機(jī)構(gòu)收集面部信息又嚴(yán)格限制私權(quán)利主體采集生物信息。歐盟在技術(shù)便利與公眾隱私之間選擇了后者，故從立法層面對該技術(shù)的運(yùn)用加以嚴(yán)格規(guī)范。

（一）美國模式

美國模式下的人臉識別技術(shù)立法，可以歸納為各州自行決定，公權(quán)機(jī)關(guān)遭禁止，私權(quán)主體受規(guī)范。公權(quán)力方面，加州舊金山市在2019年發(fā)布法令，禁止政府部門獲取、應(yīng)用人臉識別技術(shù)及應(yīng)用依該技術(shù)獲取的面部信息；同年6月薩默維爾市則禁止行政部門、雇員應(yīng)用人臉監(jiān)控系統(tǒng)及該系統(tǒng)獲取的信息；奧克蘭市則在7月通過法令，禁止市政府部門和工作人員使用這一技術(shù)。值得注意的是，舊金山市稱該法令的出臺，更多是考量人臉識別技術(shù)危害公民權(quán)利的風(fēng)險(xiǎn)遠(yuǎn)大于技術(shù)所帶來的利益。

私主體方面，整體基調(diào)為規(guī)范、引導(dǎo)企業(yè)合法、合理使用生物識別技術(shù)，當(dāng)然也就包含了人臉識別技術(shù)。具體而言，以伊利諾伊州為代表，該州發(fā)布的《生物識別信息隱私法案》（BIPA），要求企業(yè)以合法目的收集生物信息，經(jīng)用戶同意后，在金融領(lǐng)域?yàn)橛脩艚灰滋峁椭?。此外，企業(yè)不得售賣收集到的信息，不得將信息與除了執(zhí)法部門外的第三方共享。隨后，德克薩斯州、華盛頓州相繼發(fā)布法令，規(guī)范企業(yè)將人臉識別技術(shù)應(yīng)用于商業(yè)領(lǐng)域。但波特蘭市在2020年9月出臺了禁止將人臉識別應(yīng)用到金融領(lǐng)域的禁令，即除了政府部門外，商超、賓館等私營主體也不得使用這一技術(shù)。但總的來看，美國目前所公布的法令仍以禁止公權(quán)機(jī)關(guān)使用人臉識別技術(shù)為主，對商業(yè)應(yīng)用持寬容態(tài)度。

（二）歐盟模式

歐盟模式下臉部信息技術(shù)保護(hù)以《通用數(shù)據(jù)保護(hù)條例》（GDPR）為核心，自其發(fā)布并實(shí)施以來，不僅在歐洲內(nèi)部影響深遠(yuǎn)，還被其他國家視為立法范本，新加坡、印度等國家新出臺的數(shù)據(jù)法令都是建立在GDPR的基礎(chǔ)上并加以本國化。

根據(jù)該條例第4（1）條對“個(gè)人數(shù)據(jù)”的定義，只要是與可被識別的數(shù)據(jù)主體相關(guān)的信息均為個(gè)人數(shù)據(jù)范疇，而第4（14）條則是對個(gè)人數(shù)據(jù)中的分支——生物識別數(shù)據(jù)的界定，即對人的生物、物理或行為特征加以技術(shù)處理所得到的數(shù)據(jù)。顯然，人臉圖像屬于生物識別數(shù)據(jù)的一種。第9（1）條列舉的需要被禁止處理的特殊種類數(shù)據(jù)當(dāng)中，生物特征數(shù)據(jù)赫然在列。無疑，GDPR對于人臉識別數(shù)據(jù)的處理提出了較為嚴(yán)格的要求，只有符合獲得數(shù)據(jù)主體同意、達(dá)到合同履行的必要條件、履行法定義務(wù)、保護(hù)相關(guān)自然人利益和維護(hù)公共領(lǐng)域利益情形之一，數(shù)據(jù)收集者處理人臉數(shù)據(jù)才可能被視為合法。否則，違規(guī)使用人臉識別技術(shù)就會遭到處罰。以瑞典為例，2019年開出了該國第一張數(shù)據(jù)罰單，緣由是斯凱爾萊夫特市擅自使用人臉識別技術(shù)監(jiān)控學(xué)生課堂情況，不但侵害了學(xué)生隱私，而且市政府的做法不符合第9（2）條下的例外情形。

三、人臉識別技術(shù)法律規(guī)制的對策

中國尚未頒布專門保護(hù)個(gè)人信息的法案，且未針對人臉識別技術(shù)進(jìn)行專門立法，相關(guān)規(guī)定散見于各類法律規(guī)范中，導(dǎo)致人臉識別技術(shù)受到濫用、個(gè)人信息的安全受到威脅。因此，為了合理規(guī)范人臉識別技術(shù)的使用，我國應(yīng)通過完善相關(guān)立法、落實(shí)政府職能、提高準(zhǔn)入門檻、建立監(jiān)督機(jī)構(gòu)以及提供救濟(jì)途徑幾大方面多管齊下。

（一）明確人臉識別信息法律定位

當(dāng)下，《民法典》人格權(quán)編并未規(guī)定個(gè)人信息權(quán)這一概念，而是將個(gè)人信息作為一項(xiàng)權(quán)益加以保護(hù)。依據(jù)《民法典》的規(guī)定，個(gè)人信息包括個(gè)人生物識別信息。進(jìn)一步說，人臉識別信息既是生物識別信息，也是生物敏感信息，在明確人臉識別信息的法律定位后，應(yīng)當(dāng)對人臉識別信息實(shí)行強(qiáng)化保護(hù)，保護(hù)程度不同于一般的個(gè)人信息。因此技術(shù)主體在處理人臉識別信息時(shí)，不僅應(yīng)當(dāng)遵守法律對于一般個(gè)人信息的相關(guān)管理規(guī)定，還應(yīng)提高其注意義務(wù)，對人臉信息重點(diǎn)保護(hù)。參考GDPR的規(guī)定，技術(shù)主體宜采取以禁止處理為基調(diào)，以特殊場景處理為例外的原則，特殊場景主要包括：信息主體明確同意、履行必要合同、完成法定義務(wù)、保護(hù)個(gè)人利益和執(zhí)行公共任務(wù)。

此外，為了平衡技術(shù)主體和信息主體之間的權(quán)利關(guān)系，信息主體應(yīng)享有以下權(quán)利：第一，知情權(quán)。信息主體有權(quán)了解技術(shù)主體處理人臉識別信息的目的、方法，并且享有隨時(shí)確認(rèn)人臉識別信息是否在被處理的權(quán)利。第二，拒絕權(quán)。縱使技術(shù)主體合法處理人臉識別信息，信息主體仍有權(quán)拒絕技術(shù)主體的處理。但這并不代表信息主體能夠無限制拒絕，當(dāng)技術(shù)主體能夠證明其處理行為帶來的利益明顯高于信息主體的權(quán)益，或存在其他合法、合理的例外情形除外。第三，刪除權(quán)。信息主體有權(quán)要求技術(shù)主體刪除非法獲取的人臉信息，并對過時(shí)的人臉識別信息進(jìn)行永久性銷毀。第四，限制處理權(quán)。信息主體雖然享有刪除權(quán)，但一味濫用，可能沖擊行業(yè)良性發(fā)展。故限制處理權(quán)在大多數(shù)情形下可以信息主體的首選。限制處理人臉信息可以采用暫時(shí)性關(guān)閉人臉數(shù)據(jù)庫或者短暫性移除系統(tǒng)中的人臉信息。

（二）落實(shí)政府機(jī)構(gòu)職能

我國目前并沒有專門的政府部門對于人臉識別技術(shù)行業(yè)進(jìn)行管理。就像前文所述，不同的政府機(jī)關(guān)僅對特定領(lǐng)域內(nèi)的人臉識別技術(shù)加以約束。但這樣帶來的是政府部門之間聯(lián)動性差、信息交換不及時(shí)、互相推諉的后果。因此，一方面，政府機(jī)關(guān)應(yīng)加強(qiáng)合作，成立聯(lián)合辦事機(jī)構(gòu)，共同管理人臉識別技術(shù)行業(yè)。此外，立法上有必要給予政府部門更多的執(zhí)法權(quán)，否則，僅靠約談甚至罰款的方式，恐怕難以震懾不法分子。另一方面，政府管理部門需要為整個(gè)行業(yè)發(fā)展創(chuàng)造良好的氛圍，引導(dǎo)企業(yè)、個(gè)體戶合法合規(guī)開展技術(shù)應(yīng)用，對技術(shù)創(chuàng)新企業(yè)予以稅收減免及其他優(yōu)惠措施。

（三）提高行業(yè)準(zhǔn)入門檻

人臉識別技術(shù)行業(yè)亂象叢生，究其原因，我國尚未設(shè)立準(zhǔn)入門檻，故有必要提高行業(yè)準(zhǔn)入門檻。我國應(yīng)以民法典第1035條為依據(jù)，針對不同領(lǐng)域衡量人臉識別技術(shù)應(yīng)用的可行性。

首先，合法性原則和必要性原則是不可避免的要求。如果存在風(fēng)險(xiǎn)系數(shù)較低的身份驗(yàn)證手段，則可以降低技術(shù)應(yīng)用的頻率。其次，考量技術(shù)主體使用技術(shù)的正當(dāng)性。倘若技術(shù)主體無法保障識別的精確率及技術(shù)使用時(shí)的安全系數(shù)，則可認(rèn)為其應(yīng)用是不合理的。再次，鑒于特定場景下無差別人臉識別的規(guī)模之大，需要對每一次的人臉配對加以分析，以評估技術(shù)使用的可行性。公共管理部門大規(guī)模使用人臉識別技術(shù)，需要受到一定限制，防止監(jiān)視常態(tài)化、侵犯隱私權(quán)等問題的發(fā)生。最后，應(yīng)對兒童特殊保護(hù)。以人臉識別技術(shù)監(jiān)控學(xué)生課堂紀(jì)律應(yīng)被禁止，該技術(shù)可被侵害程度更小的措施代替。

（四）建立第三方監(jiān)管機(jī)構(gòu)

中國需要建立一個(gè)獨(dú)立的第三方面部識別技術(shù)監(jiān)管機(jī)構(gòu)。其成員可包括但不限于立法機(jī)關(guān)、執(zhí)法機(jī)構(gòu)、技術(shù)開發(fā)人員、企業(yè)以及普通用戶。監(jiān)管機(jī)構(gòu)負(fù)責(zé)建立人臉識別技術(shù)在不同領(lǐng)域的應(yīng)用標(biāo)準(zhǔn)及限制條件，尤其是公共領(lǐng)域和商業(yè)領(lǐng)域。倘若技術(shù)主體有使用人臉識別技術(shù)的意向，需要向監(jiān)管機(jī)構(gòu)遞交意向書，詳細(xì)說明應(yīng)用目的、方式、范圍。監(jiān)管機(jī)構(gòu)收到意向書后，立即啟動報(bào)告反饋機(jī)制。報(bào)告內(nèi)容包括對技術(shù)主體提交的意向書進(jìn)行風(fēng)險(xiǎn)評估，判斷其應(yīng)用可行性、分析技術(shù)應(yīng)用帶來的社會利益、預(yù)估技術(shù)潛在影響及減輕措施、提供技術(shù)漏洞解決途徑。

（五）提供救濟(jì)途徑

為了能夠更好的規(guī)范人臉識別技術(shù)行業(yè)，需完善事后處理機(jī)制。從技術(shù)主體層面看，在數(shù)據(jù)庫信息泄露的情況下，技術(shù)主體除了可以采取一些必要的措施防止損害擴(kuò)大外，還需及時(shí)告知信息主體。此外，技術(shù)主體既要承擔(dān)違約責(zé)任，又要賠償信息泄露對信息主體造成的損害。從信息主體層面看，信息主體享有向第三方監(jiān)管機(jī)構(gòu)投訴的權(quán)利。監(jiān)管機(jī)構(gòu)應(yīng)在一定時(shí)間內(nèi)給予答復(fù)。

四、結(jié)語

面部識別技術(shù)應(yīng)用在推動社會發(fā)展的同時(shí)，其自身存在的問題不容忽視。立法不夠周延、行政監(jiān)管缺位、行業(yè)亂象橫生、技術(shù)存在漏洞等問題嚴(yán)重阻礙了人臉識別技術(shù)的良性、健康發(fā)展。應(yīng)通過借鑒域外立法經(jīng)驗(yàn)，找到一條中國化的人臉識別技術(shù)規(guī)制道路。以明確人臉信息法律定位為核心，輔以政府職能落實(shí)、行業(yè)門檻提高、監(jiān)管機(jī)構(gòu)建立及救濟(jì)途徑完善，為我國人臉識別技術(shù)行業(yè)健康、可持續(xù)發(fā)展保駕護(hù)航。