王 鴻

(1.清華大學 智能法治研究院，北京 100084；2.蒙特利爾大學 法學院，加拿大 蒙特利爾 H3T 1J4)

AI技術作為計算機科學的一個分支，是當今世界前沿且極具熱點的學科，其包括人臉識別技術、自動駕駛技術和智能機器人等。這些科學技術的應用正在迅速改變著世界，但是其帶來的法律風險和道德風險也在逐步顯現(xiàn)，不斷威脅著人們的個人權益。在AI技術中，人臉識別技術與人們生活聯(lián)系最為緊密。人臉識別是一項基于人類面部特征的生物識別技術(1)Perrot Raoul，“L’identification faciale du vivant ”，Cahiers Lyonnais d’Anthropo Biométrique，No.1，2012，pp.7-8.。其范圍涵蓋一系列的技術，包括通過攝影設備采集涵蓋人臉畫面的圖像或視頻，自動檢測和追蹤畫面里的人臉，并最終識別已檢測到的人臉。該技術也被稱為人像識別技術或者面部識別技術(2)Elias Wright，“The future of facial recognition is not fully known：Developing privacy and security regulatory mechanisms for facial recognition in the retail sector”，F(xiàn)ordham Intellectual Property，Media and Entertainment Law Journal，No.29，2019，pp.1-30.。

圍繞著人臉識別技術的應用帶來的侵權問題，人們對AI技術應用的看法逐步更趨于理性，立法機構也在探索如何規(guī)制諸如人臉識別技術之類的AI技術，以使其在服務人民生活的同時，將風險降到最低。

以中國為例，2021年7月28日最高人民法院發(fā)布《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》，該規(guī)定對各級人民法院的案件審理做出明確指導，具有重要意義。2021年8月20日通過的《個人信息保護法》第62條第2項，明確要求國家網(wǎng)信部門統(tǒng)籌協(xié)調其他部門，針對人臉識別的應用制定專門的個人信息保護標準和規(guī)則，該規(guī)定顯示出中國權威機構對人臉識別技術的應用持審慎態(tài)度。人臉識別技術作為人工智能技術的重要組成部分，已經(jīng)滲透到人們日常生活的方方面面(3)Andrejevic，Mark & Neil Selwyn，“Facial recognition technology in schools：critical questions and concerns”，Learning，Media and Technology，No.45，2020，pp.115-116.，包括身份識別、手機解鎖、人流量統(tǒng)計等(4)Zuo，Kevin J，Tomas J Saun & Christopher R Forrest，“Facial recognition technology：A primer for plastic surgeons”，Plastic Reconstruction Surgery，No.143，2019，pp.1298-1299.。然而，人臉識別技術的法律規(guī)制卻滯后于其本身技術發(fā)展：一方面，人臉信息因其獨特的敏感性和復雜性而不同于一般個人信息，比如，人的面部信息不是靜態(tài)的，而是會隨著情緒和年齡等其他因素而變化。另一方面，人臉識別技術作為一項新興技術，雖被廣泛運用，但目前尚無法完全了解和掌握其帶來的風險，由人臉識別技術不當應用而引起的社會問題，已在世界各地層出不窮，有待于進一步研究。

一、人臉識別技術的含義與特征

在對人臉識別技術立法時，應當將人臉的特征和人臉識別技術的特征同時考慮在內。人臉的特征以及人臉識別技術的特征是兩個不同的概念，前者決定了后者的發(fā)展和應用(5)Zhen Chenggang & Su Yingmei，“Research about human face recognition technology” (Paper delivered at the International Conference on Test and Measurement，Hong Kong，China，06 December 2009) [Unpublished].。

人臉有以下幾方面的特征：第一，獨特性(6)“Commissariat à la protection de la vie privée du Canada”，http：//www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/recherche/consulter-les-travaux-de-recherche-sur-la-protection-de-la-vie-privee/2013/fr_201303/.。每個人的人臉圖像都是獨特的，世界上不存在兩副完全相同的面孔，即便是雙胞胎也可以被人臉識別技術所區(qū)分。第二，不可更改性。人臉識別技術用于身份認證時，與傳統(tǒng)輸入密碼的方式相比，面部特征在總體上保持一致性，不發(fā)生更改。第三，變化性。人臉作為密碼是很難被改變的，但是面部特征會隨著時間、光線、醫(yī)美等因素而改變，可能導致識別困難或者發(fā)生識別錯誤。第四，易采集性。攝影設備搜集人臉圖像可全自動完成，無須人工手動操作或被搜集人的配合。第五，不可匿名性。很多個人信息可以匿名存在，比如身高、體重和年齡。這些信息在進行匿名化處理后，不再被認為屬于個人信息范疇。但是，由于人臉信息的特殊性，人臉信息無法進行匿名化處理，無法匿名存在，從而人臉信息一旦被公開，將會給個人帶來難以挽回的后果(7)Paul Ohm，“Sensitive information”，California Law Review，No.88，2015，pp.1125-1184.。

人臉識別技術的主要應用場景是身份認證(8)“Les Notes scientifiques de l’Office-La reconnaissance faciale”，http：//www2.assemblee-nationale.fr/15/les-delegations-comite-et-office-parlementaire/office-parlementaire-d-evaluation-des-choix-scientifiques-et-technologiques/secretariat/notes-scientifiques-de-l-office/la-reconnaissance-faciale-n-14-juillet-2019.，通過迅速檢測圖像或視頻里的人臉，與數(shù)據(jù)庫已存儲的圖像進行分析比對，從而高效率地驗證個人身份。人臉識別技術被認為是該應用場景的最佳解決方案(9)Sarah Chun，“Facial recognition technology：A call for the creation of a framework combining government regulation and a commitment to corporate responsibility”，North Carolina Journal of Law & Technology，No.21，2020，pp.99-105.，并在英國、中國、阿聯(lián)酋等國家和地區(qū)已經(jīng)逐漸普及使用(10)Arnaud Koenig-Soutière，“ Big Brother aux portes du Canada? ”，Journal de Québec，2020.。從應用目的的角度，可以進一步將其分為兩個層次：第一個是政府機構基于公共安全目的的應用；第二個是非政府組織基于商業(yè)目的和非商業(yè)目的的應用(11)Zhang Xiaozheng & Gao Yongsheng，“Face recognition across pose：A review”，Pattern Recognition，No.42，2009，pp.2876-2881.。

二、人臉識別技術應用的監(jiān)管是世界性的問題

人臉識別技術在世界范圍內廣泛應用，導致其帶來的問題在世界各地層出不窮。2018年，英國的愛德·布里奇斯(Ed Bridges)向當?shù)胤ㄔ禾崞鹪V訟，訴稱在他參加和平游行時被南威爾士警方使用人臉識別技術獲取了其人臉信息(12)R (Bridges) v Chief Constable of the South Wales Police，[2019] EWHC 2341.。他聲稱，他的面部照片是警方在未經(jīng)他同意的情況下獲取的，侵犯了其隱私權，違反了《歐洲人權公約》《2018年數(shù)據(jù)保護法》《平等法》等法案。此案是英國乃至世界上第一個有關人臉識別技術應用的案件。2019年9月，加的夫最高法院判決：南威爾士警方使用人臉識別技術確實存在侵犯原告隱私權的可能性，但囿于現(xiàn)行法律，南威爾士警方使用人臉識別技術的手段并非違法。

2019年8月，瑞典數(shù)據(jù)保護局對瑞典北部的謝萊夫特奧市政府處以20萬瑞典克朗(約14.8萬元人民幣)的行政罰款，原因是當?shù)匾凰咧惺褂昧巳四樧R別技術記錄學生考勤，并未在合理時間內將在學校內應用人臉識別技術的情況告知學生、家長以及瑞典數(shù)據(jù)保護局，違反了《數(shù)據(jù)通用保護條例》(GDPR)。

2019年，美國的舊金山、薩默維爾和奧克蘭三個城市率先全面禁止政府機構使用人臉識別技術(13)Administrative Code-Acquisition of Surveillance Technology，§ 19 (2019).Ordinance：Banning the Usage of Facial Technology Surveillance in Somerville (2019).Oakland Municipal Code，No.86，pp.12-20.。在商業(yè)應用層面，科技巨頭微軟率先刪除了其于2016年發(fā)布的全球最大的面部識別數(shù)據(jù)庫MS Celeb，該數(shù)據(jù)庫未經(jīng)授權訪問并使用私人信息的行為侵犯了消費者的隱私權(14)Sarah Chun，“Facial recognition technology：A call for the creation of a framework combining government regulation and a commitment to corporate responsibility”，North Carolina Journal of Law & Technology，No.21，2020，pp.99-105.。隨后，社交軟件公司臉書(Facebook，后改名為Meta)共計支付6.5億美元(約42億元人民幣)，以和解伊利諾伊州臉書用戶提起的集體訴訟。該案的集體原告訴稱，臉書在其“標簽建議”(Tag Suggestions)服務中通過使用人臉識別技術，未經(jīng)用戶允許，獲取了他們的人臉信息(15)Patel v Facebook，Inc.，932 F (3d) 1264，1277 (9th Cir 2019).，違反了《生物信息隱私法》(16)Biometric Information Privacy Act，740 ILCS 14/1 (2010).。該法律規(guī)定，當個人面部信息在未經(jīng)其書面同意的情況下被采集和存儲，個人有權就該侵犯隱私權的行為提起訴訟并主張損害賠償。

2019年10月，中國杭州野生動物世界有限公司改用人臉識別的入園方式，遭到會員郭兵的拒絕，并起訴杭州野生動物世界有限公司，訴稱其無權收集會員面部信息(17)(2019)浙0111民初6971號民事判決書。。本案成為中國人臉識別第一案。當?shù)胤ㄔ阂粚徟袥Q被告違約，賠償原告違約損失和交通費共計1 038元，并責令被告刪除原告照片等相關個人信息，駁回了原告提出的其他訴訟請求。

2021年2月，加拿大隱私保護辦公室委員表示，科技公司Clearview AI在未經(jīng)大眾同意的情況下，從互聯(lián)網(wǎng)上截取數(shù)十億人的面部圖像，此舉明顯侵犯了加拿大人的隱私權(18)“Communiqué：Les pratiques illégales de Clearview AI représentent une surveillance de masse des Canadiens”，Commissariat à la protection de la vie privée du Canada，http：//www.priv.gc.ca/fr/nouvelles-du-commissariat/nouvelles-et-annonces/2021/nr-c_210203/.。

在世界各地，由人臉識別技術不當使用而引起的社會問題日益增加，當前應從法律監(jiān)管角度解決這些問題，從而進一步為人臉識別技術未來的發(fā)展和應用提供參考。目前，中國是世界上人臉識別技術使用最廣泛的國家，北美(美國和加拿大)是人臉識別技術發(fā)展最快的地區(qū)。本文從比較法角度分析研究這些國家在人臉識別技術應用上的現(xiàn)行規(guī)制路徑和立法趨勢，探索人臉識別技術應用的規(guī)制體系，使人臉識別技術的負面影響在降至最低的同時，最大限度地發(fā)揮其社會和經(jīng)濟價值。

三、中國、美國、加拿大對人臉識別技術的現(xiàn)行規(guī)制和立法趨勢

(一)美國：區(qū)分規(guī)制政府機構與商業(yè)領域的應用

在美國，聯(lián)邦層面尚未對人臉識別技術的應用進行統(tǒng)一規(guī)制，無法在全國范圍內對個人生物特征信息的收集和使用進行統(tǒng)一監(jiān)管。然而，在州層面，許多州都有保護個人生物特征信息的立法，例如伊利諾伊州的《生物識別信息隱私法案》(19)Biometric Information Privacy Act，740 ILCS 14/1，2010.?？傮w上看，州層面的法案要求企業(yè)在使用人臉識別技術之前，均需履行告知義務，得到被收集主體的同意，并禁止企業(yè)向第三方出售該數(shù)據(jù)。同時，法案對人臉信息數(shù)據(jù)的存儲時間也有明確限制，州政府有權對使用和儲存進行監(jiān)管。舊金山、薩默維爾、馬薩諸塞州和奧克蘭相繼發(fā)布了政府機構使用人臉識別技術的禁令?？梢钥闯觯绹胤秸畬θ四樧R別技術的應用持審慎態(tài)度。

2020年2月，美國國會參議員提出了《人臉識別道德使用法案》(草案)(20)US，Ethical Use of Facial Recognition Act，Hearing Before the Committee on Homeland Security and Governmental Affairs，116th Cong，2020.，要求政府機構在發(fā)布有關人臉識別技術使用準則和限制原則之前，暫時禁止使用人臉識別技術，因為人臉識別技術的使用存在侵犯隱私權的可能性，并侵犯公民憲法第一修正案的自由權利(21)Mary Madden et al，“Privacy，poverty，and big data：A matrix of vulnerabilities for poor Americans”，Washington University Law Review，No.95，2017，pp.53.。

根據(jù)現(xiàn)階段州層面已通過的法案和聯(lián)邦層面提出的立法議案分析，限制人臉識別技術的使用將成為美國的立法趨勢。具體而言，一方面，基于防止公權力濫用的考量，美國將繼續(xù)限制政府機構使用人臉識別技術。另一方面，基于促進經(jīng)濟發(fā)展的考量，美國并未完全禁止人臉識別技術在商業(yè)領域的應用。如果美國采取一刀切的做法，勢必將會對經(jīng)濟發(fā)展和科技創(chuàng)新造成難以估量的負面影響。筆者認為，法律與科技的關系應該是有序引導而非絕對限制，在最大限度保護公民權利的同時，引導科技應用的方向和維度，使其更好地服務于社會，從而反向驅動技術的革新(22)Michèle Guilbot，“Droit et innovations dans l’automobile et la mobilité”，Transports Environnement Circulation，2014，pp.14.。因此，筆者認為，長期來看，美國將有條件地批準人臉識別技術在商業(yè)領域的應用。

(二)中國：軟法先行，硬法托底

我國法律規(guī)定，在出入境管理和刑事偵查等基于公共安全目的的場合，政府機構包括公安部門在內，有權強制收集肖像、指紋等生物信息。比如《居民身份證法》第3條規(guī)定，居民身份證的登記信息包括本人相片和指紋信息(23)參見《中華人民共和國居民身份證法》，2003年6月28日第十屆全國人民代表大會常務委員會第三次會議通過，2004年1月1日實施。。在這些場合之外，人臉識別技術使用的法律規(guī)制正在日漸完善。2020年2月13日，中國人民銀行正式發(fā)布《個人金融信息保護技術規(guī)范》(JR/T 0171—2020)，首次對個人生物信息分類分級、收集和保護做出規(guī)定。2020年3月，全國信息安全標準化委員會發(fā)布了《信息安全技術 個人信息安全規(guī)范》(GB/T 35273—2020)，從技術角度對個人生物信息進行規(guī)制。2021年4月23日，全國信息安全標準化技術委員會發(fā)布《信息安全技術 人臉識別數(shù)據(jù)安全要求》國家標準征求意見稿，對《個人信息保護法》草案中人臉識別技術使用相關的規(guī)定進一步細化。2021年8月20日，第十三屆全國人民代表大會常務委員會第三十次會議通過了《個人信息保護法》，自此形成了以《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》三法為核心的網(wǎng)絡法律體系，為數(shù)字時代的網(wǎng)絡安全、數(shù)據(jù)安全、個人信息權益保護提供了基礎制度保障。2021年7月，最高人民法院發(fā)布了關于審理使用人臉識別技術處理個人信息相關民事案件的司法解釋。

從中國現(xiàn)行的法律法規(guī)來看，立法趨勢主要表現(xiàn)在以下兩個方面。一方面，以規(guī)范性指南為出發(fā)點，監(jiān)管人臉識別技術，相關部門先在多個行業(yè)領域發(fā)布關于人臉識別技術應用的指南，以具體規(guī)范此類技術在不同行業(yè)中的應用。立法機構根據(jù)相關指南的執(zhí)行情況以及社會狀況再進行立法，從而全面規(guī)范人臉識別技術的使用，構建平衡且全方位的治理體系。另一方面，針對人臉識別技術的立法將傾向于限制商業(yè)用途而不是政府用途，因為這項技術將可能長期應用于政府機構，以維護公共安全。

(三)加拿大：對政府機構與非政府機構分別監(jiān)管

在加拿大，人臉識別技術最初的目的是維護公共安全和保障執(zhí)法(24)“Automated facial recognition in the public and private sectors”，https：//www.priv.gc.ca/en/opc-actions-and-decisions/research/explore-privacy-research/2013/fr_201303/.，因此該技術最開始是被政府機構所使用。加拿大和美國就邊境使用人臉識別技術進行過洽談(25)“When Border Security Crosses a Line | The Walrus”，https：//thewalrus.ca/when-border-security-crosses-a-line/.，提出在邊境安裝人臉識別掃描儀，對出入境人員進行面部掃描，分析比對兩國數(shù)據(jù)庫中的人臉圖像，以在邊境發(fā)現(xiàn)罪犯或可疑人員。目前，加拿大政府和特定非政府機構(如金融行業(yè))的人臉識別技術應用適用《隱私法》(26)Privacy Act，RSC 1985，c P-21.，而該技術在商業(yè)領域的應用則適用《個人信息保護和電子文件法》(27)Personal Information Protection and Electronic Documents Act，SC 2000，c 5.。根據(jù)《隱私法》的規(guī)定，為某一特定目的收集的個人信息只能由聯(lián)邦政府機構及特定非政府機構用于該目的或與該目的一致的使用范圍(28)Personal Information Protection and Electronic Documents Act，SC 2000，c 5.。除某些特定情況外，上述機構對所收集信息基于其他目的的使用都必須經(jīng)過數(shù)據(jù)主體的同意，以保障數(shù)據(jù)主體知情知悉的權利(29)Personal Information Protection and Electronic Documents Act，SC 2000，c 5.。但是，在實際操作中，人臉圖像在收集或在匹配多個數(shù)據(jù)庫的信息時，很可能會超出所述目的。例如，加拿大移民局所收集的用于移民目的的人臉識別信息，很有可能被公共部門以維護國家安全為目的進行使用，而該等使用是否違法，則有待商榷和進一步論證。

非政府機構使用人臉識別技術適用《個人信息保護和電子文件法》，根據(jù)相關規(guī)定，從事商業(yè)活動的組織必須確保數(shù)據(jù)主體了解其個人信息的用途和使用方式，這種情況下的知情同意才算真實有效(30)“Principes relatifs à l’équité dans le traitement de l’information de la LPRPDE”，Commissariat à la protection de la vie privée du Canada， http：//www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/lois-sur-la-protection-des-renseignements-personnels-au-canada/la-loi-sur-la-protection-des-renseignements-personnels-et-les-documents-electroniques-lprpde/p_principle/.。然而，由于技術的迅速發(fā)展和被收集信息二次使用范圍的持續(xù)擴大，各個機構面臨難以讓數(shù)據(jù)主體充分了解其信息將在何種場景以及如何被使用的困境。《個人信息保護和電子文件法》還要求安全保護措施需要與相關信息的敏感程度進行匹配，更敏感的信息應該受到更高級別的保護(31)“Principes relatifs à l’équité dans le traitement de l’information de la LPRPDE”，Commissariat à la protection de la vie privée du Canada， http：//www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/lois-sur-la-protection-des-renseignements-personnels-au-canada/la-loi-sur-la-protection-des-renseignements-personnels-et-les-documents-electroniques-lprpde/p_principle/.。

與美國一樣，加拿大將政府和非政府機構使用人臉識別技術進行區(qū)分規(guī)定。加拿大對于人臉識別技術的立法趨勢將在很大程度上參照美國，即對政府機構和非政府機構分別進行監(jiān)管。除特定情況外，加拿大很可能完全禁止政府機構在公共場所使用人臉識別技術。雖然加拿大目前沒有關于人臉識別技術應用的具體規(guī)定，但其國內已經(jīng)有了限制人臉識別技術應用的呼聲(32)“Des groupes demandent l’interdiction de la reconnaissance faciale au Canada”，Le Soleil-Québec， http：//www.lesoleil.com/actualite/des-groupes-demandent-linterdiction-de-la-reconnaissance-faciale-au-canada-019e2a9bc17f59208c18a9a06e32699d.。

四、結 語

美國越來越多的州和城市將立法禁止政府機構使用人臉識別技術。然而，對于非政府機構，立法趨勢將側重于通過設定人臉識別技術的許可條件來指導其應用。與美國相比，中國采取了松緊適度的探索式立法。具體而言，中國遵循了軟法先行之原則。軟法規(guī)制了包括面部信息在內的生物特征信息的特殊保護。軟法是硬法的相對概念，是指無國家強制力保障實施的法律法規(guī)(33)Andrew Guzman & Timothy L Meyer，“International soft law”，Journal of Legal Analysis，No.2，2010，pp.171.。軟法是相對靈活的。在制定相應的硬法之前，軟法先行，可以及時做出調整，以適應社會變化(34)Jaye Ellis，“Shades of grey：Soft law and the validity of public international law”，Law Journal of International Law，No.25，2012，pp.313.。因此，在新興領域，通過在不同行業(yè)發(fā)布指南和規(guī)定的意見草案，先行實施后，再根據(jù)實行的具體情況，制定相關法規(guī)，可能會成為人臉識別技術的立法趨勢。與美國和中國相比，目前加拿大沒有針對人臉識別技術應用的法律法規(guī)抑或行業(yè)規(guī)則，由于地緣政治等多重因素，其立法趨勢將更趨近于美國的立法模式。

目前，中國、美國、加拿大在監(jiān)管人臉識別技術使用方面呈現(xiàn)出不同的立法現(xiàn)狀和立法趨勢。無論各國在制定相關法律法規(guī)時采取何種態(tài)度和方式，筆者認為，在最大限度保護個人權利的基礎上，立法的目的應當還包括促進科學的發(fā)展和技術的創(chuàng)新，使人臉識別技術更好地服務社會，改善民生，造福于民。