王 勇 黃中鈺

（大連大學，遼寧 大連 116622）

一、人臉識別技術的概念

人臉識別技術是以人工智能算法為支撐，采用大數據分析的手段，將給定的面部圖像與現(xiàn)有圖像數據庫中的面部圖像進行比對，從而將已知圖像和場景中的人的身份精確匹配的一項技術。人臉識別技術作為一種先進的生物特征識別技術，因人體面部的虹膜、容貌等特征具有不可復制性、穩(wěn)定性，基本沒有丟失、被竊或者被遺忘的可能，所以具有較強的安全性和準確性。［1］人臉識別技術的基本原理是通過檢測、對應、編碼、匹配四個環(huán)節(jié)來完成識別的。

二、濫用人臉識別技術實例及原因分析

（一）人臉識別技術被濫用實例

2020年，國內“人臉識別第一案”——“郭某訴野生動物世界服務合同糾紛案”中，郭某夫婦向野生動物世界購買雙人年卡，留存了相關的個人身份信息、錄入了指紋信息，并拍攝了面部照片。此后，野生動物世界要求將原本的指紋識別變更為面部識別，并且要求郭某夫婦到場進行人臉激活，由此引發(fā)了糾紛。

一審法院經審理，依照《消費者權益保護法》第二十九條的規(guī)定，判令野生動物世界賠償郭某合同利益損失及交通費共計1038元；刪除郭某辦理指紋年卡時提交的包括照片在內的面部特征信息；駁回郭某要求確認店堂告示、短信通知中相關內容無效等其他訴訟請求。郭某與野生動物世界均表示不服，分別向中級人民法院提起上訴。二審法院經審理，在原判決的基礎上，增判野生動物世界刪除郭某辦理指紋年卡時提交的指紋識別信息。

野生動物世界欲利用收集的照片擴大信息處理范圍，超出了其收集信息后所追求的原本的目的范圍，這種行為暗藏著對當事人的人格權的侵犯可能。然而作為侵權人，野生動物世界僅僅只被判處刪除面部特征信息和指紋信息，賠償1000元左右的損失，并無停業(yè)整改等懲罰措施，違法成本之低可見一斑。

在日常生活中，由于人臉識別技術相對較為新穎，公眾對于其獲取自身信息數據的后果了解相對匱乏，加之目前人臉識別技術應用領域廣，與日常生活息息相關，諸如小區(qū)門禁、公司考勤等都會進行人臉識別，公民對人臉識別的警惕性低，進而導致公眾的面部信息保護意識薄弱，就算被不法分子獲取了自身面部數據，也難以意識到自己可能遭受到了權利的侵害。

（二）人臉識別技術被濫用的原因

面部識別信息作為敏感的個人信息，深度體現(xiàn)了自然人的生理特征，作為一種獨特的生物性標志，具備較強的人格屬性，是十分重要的個人信息。人臉面部信息與資產、人身安全、個人關系網等方面都存在著密切聯(lián)系。

人臉識別技術的濫用原因一般包括：面部信息本身隱私性不強，基本屬于暴露狀態(tài)，容易被各種設備截??；缺乏針對進行人臉識別后所取得的數據的存儲以及運用的法律規(guī)范，以及相應的違法懲罰，不法分子違法成本低廉；公民缺乏個人信息保護意識，輕視人臉面部數據作為具有唯一性的生物識別特征的重要性，對個人信息的安全不夠重視。［2］

三、應用人臉識別技術存在的法律問題

（一）我國法律規(guī)定零散，涵蓋內容不足

我國對人臉識別技術的應用并未設置專項法律規(guī)范，針對個人信息和數據安全的法律并不健全。《民法典》《網絡安全法》《消費者權益保護法》《刑法》等法律對人臉識別技術的應用有一定的規(guī)制作用，但涵蓋內容并不充足。

1.沒有設置成為信息處理者的具體標準

《民法典》第一千零三十五條和一千零三十八條規(guī)定了個人信息處理的相關的原則和條件，但其中作為行為主體的信息處理者的主體資格卻沒有明確規(guī)定，沒有設置成為個人信息處理者所需要通過的標準和門檻，人人都可能成為公民個人信息的收集者、傳播者，容易導致公民的信息安全受到威脅，極易被濫用。

2.信息被收集者的同意認定不明確

《網絡安全法》第四十一條規(guī)定，信息收集者收集信息需經被收集者同意。但目前，對于經被收集者同意并非被收集者主動作出。一是在網上APP的下載使用中，很多都存在著“同意協(xié)議才可使用”的情況，而協(xié)議里面又需要公民同意企業(yè)對個人信息進行收集，公民想使用該APP，就必須要同意協(xié)議，這實際是一種變相的強迫同意。二是存在著如線下刷臉支付之類的情況下，被收集者因使用這些功能，在未被提示進行同意的不知情的情況下，而作出同意的情況。法律對被收集者的同意應該有明確規(guī)定，比如應規(guī)定被收集者作出的同意應是主觀的、非強迫的；以及收集者運用合法手段對公民進行信息收集，需要征求被收集者同意時，不應具有暗示性、引導性。

3.未明確規(guī)定公權力機構的信息收集權力范圍

我國目前重點限制企業(yè)采集個人信息，但對公權力收集個人信息的限制相對比較薄弱，公權力機構在具體應用人臉識別技術時，應當注意保證“法無規(guī)定不可為”。［3］對公權力在人臉識別技術方面的應用，法律應該規(guī)定公權力應用的范圍和權限，讓公權力機構在法律規(guī)定的范圍內行使權力。

（二）監(jiān)管缺失，信息強制采集和濫用行為缺乏規(guī)制

目前我國對個人信息收集、使用行為的監(jiān)管主體是公安機關，而由于我國法律尚未出臺《個人信息安全法》《數據保護法》等具體法律，公安機關在監(jiān)管時沒有具體的法條可以依照，導致其往往難以確定信息收集者和使用者的人臉識別技術的應用是否違規(guī)，從而出現(xiàn)監(jiān)管缺失的情況。

公民以交換個人信息為代價，用以獲取其他企業(yè)機構的服務，導致公民的信息被隨意地采集，這種現(xiàn)象的出現(xiàn)是因為我國對于信息收集并沒有設置相應的門檻要求，許多部門、機構和公司對公民信息的采集都普遍帶有某種目的性。且因為缺乏市場約束和法律監(jiān)管，企業(yè)強制采集用戶信息已成為常態(tài)。大多數軟件采取用戶不同意采集則被禁止享有App服務。除此之外，灰色信息數據產業(yè)鏈也存在于法律陰影之下，個人面部信息常常被用于實施不法行為，濫用情況叢生。

目前法律對面部信息濫用問題的規(guī)制尚不完善，我國缺少對于個人面部信息收集者和數據控制者的合法性審查，導致從人臉識別技術的提供端就開始出現(xiàn)不合規(guī)的情況，企業(yè)生產的人臉識別產品質量好壞不一，因系統(tǒng)的缺陷和安全漏洞造成個人面部特征數據外泄的情況也常常發(fā)生。［4］法律應當劃定一條監(jiān)督管理的責任底線，監(jiān)管該領域的部門要肩負管理和整治責任，在該底線的基礎上推動企業(yè)自覺遵守應用規(guī)則，進行自我規(guī)范。

（三）對個人信息主體的基本權利缺乏重視

人臉識別技術應用的法律規(guī)制必須以充分保障個人信息主體的基本權利為前提，保障個人主體具有充分的知情權、同意權等權利。具體而言，在收集人臉信息時，應有相應法律規(guī)定需要充分告知個人主體信息采集需求并征得其同意；采集完成后，如何存儲、使用也應當有必要的法律限制。

而目前我國法律在人臉識別技術領域明顯缺乏具體法律規(guī)范，雖有部分規(guī)定體現(xiàn)出對公民的具體人格權的保障意識，但是對于一些侵犯到公民人格權的行為的人臉識別情況卻沒有規(guī)定相應的懲罰，導致公民的人格權在人臉識別技術應用領域中看似被法律庇護著，事實卻是缺乏實質上的保護，體現(xiàn)出了目前法律對該技術領域下的公民人格權保護較低的重視程度。

四、關于人臉識別技術的法律規(guī)制建議

（一）完善立法，明確主體責任標準，設置強制性法律義務

現(xiàn)階段我國對人臉識別技術應用的立法尚未完善，目前僅有《民法典》《網絡安全法》等有零星的法律規(guī)定。現(xiàn)行的《個人信息保護法》和《數據安全法》僅同樣原則性地規(guī)定了“推進針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用，制定專門的個人信息保護規(guī)則、標準”。以上立法并未形成專門體系，缺少可操作性。我們應當整合并細化相關立法，借鑒歐盟的《通用數據保護法規(guī)》的人本化立法，明確保護公民的個人信息安全，規(guī)定公民個人信息的收集使用的范圍，同時規(guī)定禁止技術應用的黑色領域、不可以應用技術的具體情形、進行監(jiān)督管理的部門以及部門職責措施、違反法規(guī)的懲罰措施等，從而加強對人臉識別技術領域的規(guī)制力度。

目前地下灰色數據交易鏈暗潮涌動，對我國信息安全有著重大隱患，故需設置人臉識別應用標準以及人臉識別技術市場準入標準，明確違法懲罰，增加技術濫用后的違法成本。由于法律的不完善性，主體責任難以確認，鑒于人臉識別信息作為生物信息特征具有唯一性的特點，法律應當對數據控制者施加強制的收集、使用、存儲以及銷毀方面的強制性法定義務，以保障數據安全。在當公共執(zhí)法機構基于公權力強制審查相關內容，則此種不區(qū)分特定場景和合理事由，沒有限制地向第三方公開個人面部信息的做法，會被迫強制數據控制者披露信息。故此，應確定數據控制者披露信息的法律義務，規(guī)定除數據主體同意外，數據控制者只有存在政府或司法機關強制命令之時，才可向執(zhí)法部門公開披露人臉識別信息。

（二）厘清人臉識別技術應用邊界，推動監(jiān)管完善

1.明確技術應用范圍

在我國，對于該項技術而言，法律并沒有明確技術應用的范圍。目前因沒有明確技術應用范圍而難以決斷的情況有：該技術是否能被私人應用于獲取他人的面部特征信息，例如私人企業(yè)通過人臉識別技術手段，收集入訪者的面部信息的合法性；該技術是否能被應用獲取面部信息進行交易獲利，例如應用該技術獲取公眾人物面部照片用于轉賣的應用行為。

立法應當明確以保護公民個人信息權利為前提，符合市場和科技形勢，合理合法的技術應用范圍，堅持特定范圍內的“合法、必要、正當”原則，從而可以避免公私隨意采集、使用、出售個人信息，保障公眾信息安全。［5］

2.明確信息收集權利的機構部門

我國應當明確規(guī)定有權力收集公民個人信息的部門機構。未來法律應當明確規(guī)定工信部門和公安機關可以進行公民個人信息的收集，原因在于：工信部門是維護我國信息安全的重要部門，而公安機關是維護我國社會治安的重要部門，工信部門和公安機關收集公民信息，都能對公民個人信息的安全提供有效保障，降低信息泄露的可能性；賦權給工信部門后，有利于促進其出臺有關采集、使用和處理公民生物信息特征的規(guī)則和標準；賦權給公安部門收集公民信息，可以使獲知違法犯罪人員的較為具體的情況，有利于其抓捕罪犯，打擊違法犯罪行為，維護社會治安秩序。為了不使部門權力膨脹，可以借鑒美國華盛頓州的《人臉識別專門法案》，使用技術收集公民個人信息時，向司法部門進行報備，從而達到限制權力的目的。

明確技術應用范圍和信息收集部門機構，對于監(jiān)督主體來說，有利于強化監(jiān)察力度，明確監(jiān)管范圍，避免出現(xiàn)難以判斷技術應用是否違規(guī)的情況。除此之外，有利于統(tǒng)籌監(jiān)管數據庫，加強監(jiān)管保護和加固技術措施的維護，避免企業(yè)或其他部門濫用職權，從而可以降低不必要的危險因素。

（三）尊重個人信息主體權利，堅持“合法、正當、必要”原則

對于公民的人臉信息數據的收集、控制者，需要在一定范圍內為其運用該數據的權利進行限制，以保障個人信息主體的權利不受侵害。數據收集、控制者在必要收集個人面部數據的情況下，原則上不得對不相關人士或其他方面披露；且應賦予個人信息主體一系列數據權利，例如獲取人臉識別技術使用目的的知情權，將其人臉信息收納在人臉識別數據庫中的同意權等。在條件允許的情況下，需要取得用戶的面部識別信息時，應當及時征求個人同意，可以借鑒歐盟“GDPR”法案中“自由給予、明確、具體、不含混”的要求，明確主體的同意性質，對非自愿情況下的被動同意表示應不認為是實質同意。人臉所蘊含信息具有較高的安全風險，而且潛在存有更為廣泛的數據信息內容。所以，在應用人臉識別技術，采集個人面部信息時，應當謹慎評估其采集、應用的行為，認定有無必要情況，堅持“合法、有序、正當、必要”的原則。