文 銘，劉 博

（重慶郵電大學(xué) 網(wǎng)絡(luò)空間安全與信息法學(xué)院，重慶400065）

引言

隨著計(jì)算機(jī)技術(shù)的快速發(fā)展，人臉識(shí)別技術(shù)已在社會(huì)生活中得到了廣泛應(yīng)用，使得現(xiàn)代社會(huì)生活方式愈加趨于簡(jiǎn)單快捷，如購(gòu)物時(shí)刷臉支付；安檢時(shí)人臉識(shí)別；上課、上班刷臉簽到，以及住宅小區(qū)人臉門(mén)禁。簡(jiǎn)言之，臉就是通行證，是行走的“密碼”，是身份的證明。

人臉識(shí)別技術(shù)是指給定某一靜止或動(dòng)態(tài)圖像，利用已有的人臉數(shù)據(jù)庫(kù)來(lái)比對(duì)確認(rèn)圖像中的一個(gè)或多個(gè)人的技術(shù)[1]。這是一種新型的AI技術(shù)，多數(shù)應(yīng)用于政府、企業(yè)和支付領(lǐng)域。數(shù)據(jù)表明，人臉識(shí)別的準(zhǔn)確率已經(jīng)做到了比肉眼更精準(zhǔn)[2]。人臉識(shí)別技術(shù)未來(lái)發(fā)展的前景不可估量。

但愈加成熟的人臉識(shí)別技術(shù)，其在諸多方面的隱憂(yōu)也引起人們的思考。如政府通過(guò)城市監(jiān)控收集的人臉信息是否侵害了公民的隱私？個(gè)人信息是否征求其同意？同時(shí)，由于人的面貌屬于不可更改的生物信息，具有唯一性，一旦生物數(shù)據(jù)信息發(fā)生泄露，其后果不堪設(shè)想。而目前尚沒(méi)有具體法律法規(guī)對(duì)人臉識(shí)別技術(shù)應(yīng)用進(jìn)行明確規(guī)制。

一、人臉識(shí)別技術(shù)的應(yīng)用

（一）人臉識(shí)別基本理論來(lái)源

人臉識(shí)別的最早理論基礎(chǔ)——可追溯到美國(guó)認(rèn)知心理學(xué)先驅(qū)人物杰羅姆·布魯納 (J.S.Bruner)于1954年發(fā)表的論文《The perception of people》；而機(jī)器自動(dòng)人臉識(shí)別 (AFR)的研究則始于1964年[3]。近年來(lái)，人臉識(shí)別技術(shù)不斷成熟，并且在很多場(chǎng)合發(fā)揮了它的作用，但是對(duì)這一技術(shù)發(fā)展有著舉足輕重作用的還是計(jì)算機(jī)等信息科學(xué)的快速發(fā)展。

1.人臉識(shí)別基本過(guò)程

人臉識(shí)別利用攝像機(jī)或相機(jī)收集含有人臉的照片或者視頻，并且自動(dòng)識(shí)別其中的信息——進(jìn)行追蹤或者檢測(cè)有效信息，并且對(duì)有效人臉信息執(zhí)行進(jìn)行相關(guān)操作。

（1）人臉圖像收集（如圖1所示）

（2）人臉圖像預(yù)處理（如圖2所示）

進(jìn)行圖像處理的目的是為了更好地提高人面部的識(shí)別特征，進(jìn)而才會(huì)更方便進(jìn)行對(duì)比，畢竟圖像會(huì)受到大小、分辨率、光照條件、遮擋程度、采集角度等等因素的影響；而視頻中人臉采集還會(huì)受到雜音、色彩分辨度等因素影響。

（3）特征識(shí)別對(duì)比驗(yàn)證

人臉的特征提取和對(duì)比驗(yàn)證是最為關(guān)鍵的兩個(gè)部分。生物信息提取人臉的特征后，將基于人臉的生物特征進(jìn)行圖像收集、圖像預(yù)處理后，依據(jù)與數(shù)據(jù)庫(kù)信息對(duì)比判斷是否為同一個(gè)人。

圖1人臉檢測(cè)定位

圖2人臉圖像預(yù)處理流程圖

(二)人臉識(shí)別技術(shù)應(yīng)用領(lǐng)域

人臉識(shí)別技術(shù)應(yīng)用領(lǐng)域（見(jiàn)表1）。

表1五種人臉識(shí)別模式的應(yīng)用

二、人臉識(shí)別技術(shù)應(yīng)用面臨的法律風(fēng)險(xiǎn)

2017年3.15晚會(huì)上，主持人拿出了經(jīng)過(guò)技術(shù)加工后的人臉動(dòng)態(tài)圖像，并征得觀眾同意后，從其個(gè)人社交軟件上發(fā)布的照片采用3D打印技術(shù)后順利地通過(guò)某款刷臉支付軟件的檢測(cè)。該情景不禁讓人深思，人臉識(shí)別應(yīng)用中所承載的技術(shù)安全與法律風(fēng)險(xiǎn)。

（一）信息安全風(fēng)險(xiǎn)

人臉識(shí)別作為收集生物信息技術(shù)手段，需滿(mǎn)足保密性、真實(shí)性、實(shí)用性等要求，因?yàn)楝F(xiàn)在人臉識(shí)別技術(shù)是處于發(fā)展階段，并不完美，其識(shí)別精準(zhǔn)度受姿態(tài)、光照、算法等因素的影響，其在動(dòng)態(tài)識(shí)別的技術(shù)缺失，使得在實(shí)際應(yīng)用中效果會(huì)比理想要差得多。

1.安全防范風(fēng)險(xiǎn)

現(xiàn)如今互聯(lián)網(wǎng)公司掌握公民大量的信息，一旦黑客利用技術(shù)入侵或者挾持公司中儲(chǔ)存的用戶(hù)信息，極易造成安全隱患。如2019年2月“深網(wǎng)視界”因安全措施不到位，從而導(dǎo)致大量人臉信息泄露于網(wǎng)上。人臉信息的唯一性使得其不像其他信息，丟失后可以進(jìn)行掛失，人臉信息一旦丟失就是等于把自己的“密碼”公之于眾。當(dāng)不法分子掌握公民人臉信息和個(gè)人隱私數(shù)據(jù)后，可以遠(yuǎn)程實(shí)現(xiàn)竊取公民信息并造成損害，侵害公民信譽(yù)權(quán)和人格權(quán)。所以，如何防止和堵塞黑客盜取公民信息的技術(shù)漏洞？應(yīng)是互聯(lián)網(wǎng)企業(yè)提升安全防范技術(shù)的重中之重。

2.信息錯(cuò)位風(fēng)險(xiǎn)

人臉識(shí)別受外界因素影響較大，其具有不穩(wěn)定性的特點(diǎn)，因?yàn)槿四標(biāo)N(yùn)含的信息量較指紋、虹膜等生物特征少，其變化的復(fù)雜性不夠[4]，就可能會(huì)出現(xiàn)一人識(shí)別出不同信息的情況發(fā)生。另外，由于地區(qū)之間資源不平衡、信息流通不暢等問(wèn)題，導(dǎo)致識(shí)別信息錯(cuò)位。

同時(shí)，由于大量采集的生物信息儲(chǔ)存在統(tǒng)一的平臺(tái)內(nèi)，數(shù)據(jù)量呈指數(shù)倍極快地增長(zhǎng)。若同時(shí)運(yùn)行或輸出各種不同的數(shù)據(jù)，平臺(tái)程序多次頻繁運(yùn)行，勢(shì)必會(huì)造成輸出數(shù)據(jù)錯(cuò)位和內(nèi)部信息錯(cuò)亂，為信息數(shù)據(jù)儲(chǔ)存和運(yùn)行帶來(lái)安全風(fēng)險(xiǎn)。我國(guó)當(dāng)前的數(shù)據(jù)儲(chǔ)存技術(shù)能否承擔(dān)龐大的需求還需要實(shí)踐的檢驗(yàn)。若是平臺(tái)的數(shù)據(jù)管理系統(tǒng)缺乏相應(yīng)的安全機(jī)制，當(dāng)出現(xiàn)問(wèn)題則為時(shí)晚矣。

（二）監(jiān)管缺位風(fēng)險(xiǎn)

公共場(chǎng)所公民信息被隨意收集，或公民接受服務(wù)而用自己的信息作為交換，這些現(xiàn)象的出現(xiàn)是因?yàn)槲覈?guó)對(duì)于信息收集并沒(méi)有設(shè)置相應(yīng)的門(mén)檻要求，任何部門(mén)、機(jī)構(gòu)和公司都可以某些目的來(lái)收集公民信息。

1.強(qiáng)制采集

微信程序風(fēng)靡的“面相測(cè)試”、“掌紋算命”、網(wǎng)上基因檢測(cè)以及ZAO軟件都是未經(jīng)用戶(hù)同意以欺騙手段或強(qiáng)制采集用戶(hù)生物信息。在2018年中國(guó)消費(fèi)者協(xié)會(huì)公布的對(duì)于涉及采集個(gè)人信息的APP抽查測(cè)評(píng)，顯示我國(guó)存在大量App或軟件不正當(dāng)、不適度收集用戶(hù)信息。因?yàn)槿狈κ袌?chǎng)約束和法律監(jiān)管，企業(yè)強(qiáng)制采集用戶(hù)信息已成為常態(tài)。大多數(shù)軟件采取用戶(hù)不同意采集則被禁止享有App服務(wù)，即“不授權(quán)無(wú)服務(wù)”。

2.信息濫用

亞太網(wǎng)絡(luò)法律研究中心主任研究員劉德良指出，目前個(gè)人生物信息所面臨的問(wèn)題并不是需要保護(hù)，而是信息被濫用的問(wèn)題[5]。一些不法分子、黑客和部分企業(yè)員工利用灰色數(shù)據(jù)產(chǎn)業(yè)鏈為部分不可實(shí)名認(rèn)證的人進(jìn)行認(rèn)證并獲取利益[6]，甚至在國(guó)內(nèi)催生出“過(guò)臉”這種黑灰產(chǎn)業(yè)。利用相應(yīng)的人臉信息和竊取、收買(mǎi)的個(gè)人數(shù)據(jù)在網(wǎng)上注冊(cè)虛假賬號(hào)、侵害公民虛擬財(cái)產(chǎn)等不法行為。AI“深偽”技術(shù)①“深偽”是一種AI軟件技術(shù)，可以對(duì)被模仿者的面部建模，合成天衣無(wú)縫的偽造視頻。的不斷成熟，讓我們更加意識(shí)到規(guī)制信息濫用問(wèn)題刻不容緩。

（三）信息保護(hù)意識(shí)淡薄

人臉識(shí)別技術(shù)具有非接觸性特點(diǎn)，從而使得讀取或收集個(gè)人信息更具隱蔽性，甚至是在被收集人不知情的情況下就可以進(jìn)行信息采集。人臉識(shí)別會(huì)侵犯公民隱私、自由甚至人身安全。

1.知情權(quán)

知情權(quán)是法律規(guī)定公民所享有保護(hù)其個(gè)人信息的基本權(quán)利，它規(guī)定任何應(yīng)用訪問(wèn)個(gè)人信息必須獲得用戶(hù)許可。而我國(guó)的《網(wǎng)絡(luò)安全法》第四十四條規(guī)定：“任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息，不得非法出售或者非法向他人提供個(gè)人信息?！钡枪衿毡閷?duì)于個(gè)人信息不合理或過(guò)度采集缺乏保護(hù)意識(shí)。所以，如何保護(hù)公民信息采集時(shí)的知情權(quán)，以及企業(yè)或者政府使用個(gè)人信息時(shí)是經(jīng)合法授權(quán)的應(yīng)是業(yè)界思考的問(wèn)題。

2.隱私權(quán)

監(jiān)控探頭幾乎遍布公共場(chǎng)所每一角落，其目的是維護(hù)社會(huì)治安，保護(hù)人民生命財(cái)產(chǎn)安全。用戶(hù)的信息被政府部門(mén)、互聯(lián)網(wǎng)公司大量采集，如若收集的公民信息使用不當(dāng)就會(huì)侵犯公民的隱私權(quán)，在崇尚效率的今天，我們并不排斥刷臉帶來(lái)的便捷實(shí)用，但是高懸的達(dá)摩克利斯之劍也讓我們心生恐懼。生物信息會(huì)不會(huì)被過(guò)度地采集？一些企業(yè)有沒(méi)有合理使用信息的自律性、自覺(jué)性[5]？一旦這些信息被盜取，那么公民的隱私將無(wú)所遁形。

三、國(guó)內(nèi)外關(guān)于人臉識(shí)別的法律規(guī)定

伴隨著信息技術(shù)飛速發(fā)展，人臉識(shí)別技術(shù)在全球諸多行業(yè)得到了廣泛應(yīng)用。美國(guó)和歐盟針對(duì)這一技術(shù)可能引起的技術(shù)安全與法律風(fēng)險(xiǎn)，已逐步出臺(tái)了相關(guān)法律條文進(jìn)行規(guī)制。但我國(guó)至今卻尚未出臺(tái)專(zhuān)門(mén)針對(duì)生物信息收集和處理的法律規(guī)范。

（一）域外的法律規(guī)定

1.美國(guó)模式

美國(guó)聯(lián)邦法律雖然沒(méi)有統(tǒng)一規(guī)制關(guān)于人臉識(shí)別的數(shù)據(jù)收集法律，但是部分州已經(jīng)制定了相關(guān)法律法規(guī)（見(jiàn)表2）。

美國(guó)是采取限制發(fā)展模式，通過(guò)上表不難看出美國(guó)針對(duì)生物信息的法律正在加緊完善。美國(guó)的信息技術(shù)很發(fā)達(dá)，針對(duì)生物信息保障側(cè)重于公民對(duì)于信息收集的知情與否和企業(yè)利用信息是否合理，意圖促進(jìn)自身的科技發(fā)展的同時(shí)，保障公民的隱私和企業(yè)的數(shù)據(jù)安全。美國(guó)重點(diǎn)限制公權(quán)力隨意采集公民信息，但是對(duì)于企業(yè)和技術(shù)發(fā)展則給予較大空間。通過(guò)抑制政府部門(mén)權(quán)力，利用美國(guó)各行業(yè)間嚴(yán)格自律政策來(lái)實(shí)現(xiàn)保護(hù)隱私權(quán)的目的。最為關(guān)鍵的是，允許人臉識(shí)別技術(shù)的發(fā)展是因?yàn)槿虻臄?shù)據(jù)信息都跨境流向美國(guó)，美國(guó)正為自己的企業(yè)發(fā)展打造自由發(fā)展的環(huán)境，給予行業(yè)自由裁量權(quán)，促進(jìn)美國(guó)信息科技的發(fā)展壯大。

2.歐盟模式

歐盟的《通用數(shù)據(jù)保護(hù)條例》（簡(jiǎn)稱(chēng)：GDPR）第4條第14項(xiàng)②歐盟GDPR第4條第14項(xiàng):“生物識(shí)別數(shù)據(jù)”是通過(guò)對(duì)自然人的物理、生物或行為特征進(jìn)行特定的技術(shù)處理的得到的個(gè)人數(shù)據(jù)。這類(lèi)數(shù)據(jù)生成了那個(gè)自然人的唯一標(biāo)識(shí)，比如人臉圖像或指紋識(shí)別數(shù)據(jù)。、第6條③第6條處理的合法性：1.只有在適用以下至少一條的情況下，處理視為合法：a.數(shù)據(jù)主體同意他或她的個(gè)人數(shù)據(jù)為一個(gè)或多個(gè)特定目的而處理；b.處理是為履行數(shù)據(jù)主體參與的合同之必要，亦或處理是因數(shù)據(jù)主體在簽訂合同前的請(qǐng)求而采取的措施；c.處理是為履行控制者所服從的法律義務(wù)之必要；d.處理是為了保護(hù)數(shù)據(jù)主體或另一個(gè)自然人的切身利益之必要；e.處理是為了執(zhí)行公共利益領(lǐng)域的任務(wù)或行使控制者既定的公務(wù)職權(quán)之必要；f.處理是控制者或者第三方為了追求合法利益的之必要，但此利益被要求保護(hù)個(gè)人數(shù)據(jù)的數(shù)據(jù)主體的利益或基本權(quán)利以及自由覆蓋的除外，尤其是數(shù)據(jù)主體為兒童的情形下。、第7條④第7條同意的要件：如處理是基于同意，則控制者應(yīng)能證明數(shù)據(jù)主體已經(jīng)同意處理他或她的個(gè)人數(shù)據(jù)。如數(shù)據(jù)主體通過(guò)書(shū)面聲明的方式作出同意，且書(shū)面聲明涉及其他事項(xiàng)，那么同意應(yīng)以易于理解且與其他事項(xiàng)顯著區(qū)別的形式呈現(xiàn)。構(gòu)成違反本法的聲明的任何部分，均不具約束力。數(shù)據(jù)主體有權(quán)隨時(shí)撤回他或她的同意。同意的撤回不應(yīng)影響在撤回前基于同意作出的合法的數(shù)據(jù)處理。在作出同意前，數(shù)據(jù)主體應(yīng)被告知上述權(quán)利。撤回同意應(yīng)與作出同意同樣容易。當(dāng)評(píng)估同意是否是自由作出時(shí)，應(yīng)盡最大可能考慮，還應(yīng)考慮合同的履行，包括服務(wù)的提供是否是基于對(duì)履行合同不必要的個(gè)人數(shù)據(jù)的同意。、第9條⑤第9條特殊種類(lèi)的個(gè)人數(shù)據(jù)處理：對(duì)揭示種族或民族出身，政治觀點(diǎn)、宗教或哲學(xué)信仰，工會(huì)成員的個(gè)人數(shù)據(jù)，以及以唯一識(shí)別自然人為目的的基因數(shù)據(jù)、生物特征數(shù)據(jù)，健康、自然人的性生活或性取向的數(shù)據(jù)的處理應(yīng)當(dāng)被禁止。如果符合以下情形，則第一款不適用：a)數(shù)據(jù)主體對(duì)以一個(gè)或數(shù)個(gè)特定目的對(duì)上述個(gè)人數(shù)據(jù)的處理給予了明確同意，但依照歐盟或者成員國(guó)的法律規(guī)定，第1款規(guī)定的禁止情形不能被數(shù)據(jù)主體援引的除外。、第12條⑥第12條數(shù)據(jù)主體行使權(quán)利的透明度、交流和模式：控制者應(yīng)當(dāng)以一種簡(jiǎn)單透明、明晰且容易獲取的方式，通過(guò)清楚明確的語(yǔ)言，采取合適措施提供第13條和第14條所提到的任何信息，以及根據(jù)第15條到第22條和第34條所提及的關(guān)于數(shù)據(jù)主體處理過(guò)程的溝通信息（尤其是關(guān)于兒童的任何信息）?？刂普邞?yīng)當(dāng)提供書(shū)面材料，在其他情況下，若有必要，可以采用電子方式。如果數(shù)據(jù)主體能夠通過(guò)其他方式得到認(rèn)證，那么在數(shù)據(jù)主體的要求下，能夠以口頭方式提供信息。，這些法律條例都規(guī)定了識(shí)別生物信息，如人臉圖像和指紋數(shù)據(jù)都需要得到本人的許可且處理必須合法，而對(duì)揭示其種族或民族的出身，披露個(gè)人的政治觀點(diǎn)、宗教或哲學(xué)信仰，工會(huì)成員的個(gè)人數(shù)據(jù)，以及以唯一識(shí)別自然人為目的的基因數(shù)據(jù)、生物特征數(shù)據(jù)，健康、自然人的性生活或性取向的數(shù)據(jù)的處理則被嚴(yán)格禁止[7-8]。

相比較美國(guó)分散管理模式而言，歐盟對(duì)于人臉識(shí)別技術(shù)則是采取統(tǒng)一禁止的態(tài)度。歐盟不僅限制公權(quán)力收集生物信息，更嚴(yán)格要求企業(yè)采集信息，采取“無(wú)授權(quán)即禁止”原則。歐盟認(rèn)為公民隱私安全與技術(shù)帶來(lái)的便利性相比，前者更為重要，所以從法律和技術(shù)的源頭上杜絕不平等和技術(shù)歧視現(xiàn)象等問(wèn)題的發(fā)生。但是也使得新技術(shù)在歐洲發(fā)展面臨眾多障礙，從而不利于科技的進(jìn)步。究其根本，現(xiàn)歐洲的信息技術(shù)產(chǎn)業(yè)并不發(fā)達(dá)，企圖利用嚴(yán)格的GDPR條例限制其自身的信息輸出、強(qiáng)化個(gè)人隱私保護(hù)和扼制技術(shù)壟斷，目的是維護(hù)自身國(guó)際地位，并壓制他國(guó)發(fā)展。歐盟借助的是美國(guó)的重要信息市場(chǎng)這一優(yōu)勢(shì)，利用GDPR將生物信息規(guī)劃在隱私權(quán)內(nèi)，實(shí)現(xiàn)自身信息數(shù)據(jù)單一化的戰(zhàn)略布局，規(guī)制數(shù)據(jù)流通和信息輸出，從而增強(qiáng)自身的數(shù)據(jù)控制力和減少自身數(shù)據(jù)泄露，加強(qiáng)數(shù)據(jù)安全的保護(hù)，促進(jìn)本土企業(yè)的發(fā)展。

表2美國(guó)各州關(guān)于人臉識(shí)別的立法

（二）我國(guó)法律規(guī)定

人臉識(shí)別技術(shù)所收集的生物信息在我國(guó)是屬于法律規(guī)定的個(gè)人信息的范疇，應(yīng)該受到個(gè)人信息保護(hù)的法律規(guī)范約束。除表3收集整理的我國(guó)關(guān)于個(gè)人信息保護(hù)的相關(guān)法律法規(guī)外，正在征求意見(jiàn)的《數(shù)據(jù)安全管理辦法》《個(gè)人信息出境安全評(píng)估辦法》也是專(zhuān)門(mén)針對(duì)個(gè)人數(shù)據(jù)管理的專(zhuān)門(mén)性法規(guī)。此外，我國(guó)還出臺(tái)了與人臉識(shí)別技術(shù)或識(shí)別生物特征信息的相關(guān)國(guó)家標(biāo)準(zhǔn)規(guī)定：例如，《信息安全技術(shù)個(gè)人信息安全規(guī)范》《信息技術(shù)生物特征識(shí)別應(yīng)用程序接口》系列標(biāo)準(zhǔn)、《公共安全人臉識(shí)別應(yīng)用圖像技術(shù)要求》等。

不同于美國(guó)分散管理模式和歐盟統(tǒng)一禁止模式，我國(guó)對(duì)人臉識(shí)別技術(shù)采取寬容的態(tài)度，并對(duì)其發(fā)展不采取約束模式，實(shí)行先發(fā)展后規(guī)制的模式。我國(guó)給技術(shù)發(fā)展絕對(duì)的空間，促進(jìn)了科技的進(jìn)步，但卻使得法律一直在拼命追趕科技腳步的變化。

從已有法律可以看出，我國(guó)針對(duì)個(gè)人信息和數(shù)據(jù)安全的法律并不健全，我國(guó)重點(diǎn)限制企業(yè)采集信息，但對(duì)公權(quán)力和域外收集個(gè)人信息并未加以限制，我國(guó)規(guī)定正當(dāng)性采集信息為原則，但未明確具體細(xì)節(jié)。而且我國(guó)法律規(guī)定零散、操作性有待加強(qiáng)。所以，我國(guó)應(yīng)借鑒歐美的立法思想，加強(qiáng)對(duì)域外和公權(quán)力數(shù)據(jù)安全、信息流通的監(jiān)管，貫徹人臉識(shí)別技術(shù)信息采集“透明化”政策，保證用戶(hù)的知情權(quán)。賦予法律規(guī)制的自由裁量權(quán)來(lái)促進(jìn)科技的進(jìn)步。我國(guó)應(yīng)利用自身市場(chǎng)的龐大，借鑒歐美不同行業(yè)的個(gè)性化法律規(guī)制措施，健全配套數(shù)據(jù)安全立法和促使信息執(zhí)法全面落地，建立信息安全管理的全方位鏈條模式。

四、人臉識(shí)別應(yīng)用的法律規(guī)制建議

2019年9月的《北京青年報(bào)》披露，數(shù)千張人臉數(shù)據(jù)圖像，成批購(gòu)買(mǎi)甚至僅需要數(shù)十元，而且?guī)缀趺繌埲四樀膱D片都會(huì)有相關(guān)的個(gè)人信息數(shù)據(jù)。而據(jù)信息主體稱(chēng)，其不知情自己信息被售賣(mài)，所售賣(mài)的人臉信息是在其不知情的情況下被采集。所以，一旦相關(guān)信息被不法分子利用，將會(huì)給信息主體帶來(lái)極大的風(fēng)險(xiǎn)。雖然人臉識(shí)別技術(shù)發(fā)展前景可期，但是缺乏明確的行業(yè)標(biāo)準(zhǔn)，以及完善的法律規(guī)范。當(dāng)公民的權(quán)益受到侵害時(shí)，可能面臨一個(gè)尷尬的局面，技術(shù)取證容易實(shí)現(xiàn)，但卻無(wú)法可依。

表3我國(guó)關(guān)于個(gè)人信息保護(hù)的相關(guān)法律法規(guī)

（一）完善法律保障，厘清人臉識(shí)別應(yīng)用邊界

可以汲取美國(guó)和歐盟的法律經(jīng)驗(yàn)，從源頭規(guī)制。但是歐盟模式規(guī)制的太過(guò)嚴(yán)格，不利于企業(yè)和技術(shù)的進(jìn)一步發(fā)展，而美國(guó)模式又太過(guò)寬松，達(dá)不到規(guī)制的效果，建議可采取中間發(fā)展道路，“有的放矢”，對(duì)于人臉識(shí)別的數(shù)據(jù)收集應(yīng)該嚴(yán)格管理，采集的途徑和設(shè)備應(yīng)該統(tǒng)籌控制，如：處理人臉識(shí)別數(shù)據(jù)的透明性、公正性以及無(wú)偏見(jiàn)性；檢驗(yàn)時(shí)應(yīng)獲取公民同意等，這樣才能保證企業(yè)在收集生物特征信息方向的正確性。但是，對(duì)于特殊行為，如危害國(guó)家安全和人民生命財(cái)產(chǎn)安全的行為，可以采取緊急處理，但是要有界限，以正當(dāng)性為依據(jù)，不過(guò)度性為原則。具體實(shí)施應(yīng)按照我國(guó)具體國(guó)情并汲取域外的經(jīng)驗(yàn)，制定出適合我國(guó)國(guó)情的具體法律條文。

1.堅(jiān)持合理使用原則

建議生物識(shí)別的信息如人的面貌信息、指紋等不得出售，除非獲得公民授權(quán)或得到許可。但對(duì)于為了維護(hù)國(guó)家的安全和公眾財(cái)產(chǎn)安全等例外情況，需要在公民不知情條件下使用個(gè)人數(shù)據(jù)信息，原則上也不得對(duì)不相關(guān)人士或其他方面披露，并對(duì)收集的個(gè)人數(shù)據(jù)堅(jiān)持合理使用的原則。

針對(duì)公共利益應(yīng)用，在需要使用人臉識(shí)別技術(shù)時(shí)，可以汲取傳統(tǒng)法學(xué)中保護(hù)肖像權(quán)的法律規(guī)制的經(jīng)驗(yàn)和法律條文，對(duì)其公民的人臉信息以及相關(guān)數(shù)據(jù)在一定范圍內(nèi)對(duì)其所享有的權(quán)利進(jìn)行限制。針對(duì)其現(xiàn)在技術(shù)發(fā)展的現(xiàn)狀、算法設(shè)計(jì)者自身帶有的偏見(jiàn)以及原始數(shù)據(jù)來(lái)源的偏差等因素的影響，使得人臉識(shí)別技術(shù)因?yàn)槌绦虻臉?biāo)簽化，可能會(huì)導(dǎo)致決策的歧視化更加明顯。所以，建議在公共場(chǎng)所使用這一技術(shù)時(shí)，應(yīng)當(dāng)注意遵守授權(quán)原則、比例原則等，也要留意可能會(huì)對(duì)種族平等、公民言論自由帶來(lái)的威脅，所以也應(yīng)堅(jiān)持法律保留原則。

2.明確技術(shù)使用邊界

在“人臉識(shí)別第一案”中，野生動(dòng)物園出于自身目的與需要，規(guī)定入園時(shí)必須采集人臉信息代替?zhèn)鹘y(tǒng)方式，如果用戶(hù)不接受信息采集就不能入園，導(dǎo)致信息被強(qiáng)制收集。從該案看出，立法者應(yīng)當(dāng)盡快厘清這項(xiàng)技術(shù)應(yīng)用范圍，并對(duì)商業(yè)采集個(gè)人隱私信息設(shè)定邊界，明確可采集信息的場(chǎng)景、使用范圍、保管數(shù)據(jù)的責(zé)任、違規(guī)處罰以及風(fēng)險(xiǎn)規(guī)避的標(biāo)準(zhǔn)等，從而可以避免商家隨意采集、使用、出售個(gè)人信息。

我國(guó)應(yīng)當(dāng)明確規(guī)定哪些機(jī)構(gòu)或者政府部門(mén)有權(quán)力收集公民個(gè)人信息，強(qiáng)化監(jiān)察力度，出臺(tái)有關(guān)采集、使用和處理公民生物信息特征的規(guī)則和標(biāo)準(zhǔn)，統(tǒng)籌監(jiān)管數(shù)據(jù)庫(kù)，并加強(qiáng)監(jiān)管保護(hù)和加固技術(shù)措施的維護(hù)，避免企業(yè)或其他部門(mén)濫用職權(quán)，從而可以降低不必要的危險(xiǎn)因素。

3.鼓勵(lì)知識(shí)產(chǎn)權(quán)創(chuàng)新，提升技術(shù)識(shí)別精確性

完善生物識(shí)別技術(shù)的基礎(chǔ)上精準(zhǔn)提取人臉面貌特征，同時(shí)健全技術(shù)上的安全加密措施，建立統(tǒng)一規(guī)范風(fēng)險(xiǎn)的標(biāo)準(zhǔn)，用來(lái)改善人臉識(shí)別的安全等級(jí)。另外也要樹(shù)立保護(hù)知識(shí)產(chǎn)權(quán)的法律意識(shí)，對(duì)于在技術(shù)上新的發(fā)明或者創(chuàng)新，要及時(shí)申請(qǐng)專(zhuān)利或?qū)嵱眯滦?，保護(hù)自身的智慧結(jié)晶。

（二）強(qiáng)化政府職能，健全生物信息相關(guān)措施

人臉識(shí)別越來(lái)越被廣泛地運(yùn)用在智慧城市的建設(shè)之中。而作為城市的管理者——政府應(yīng)當(dāng)通過(guò)加強(qiáng)監(jiān)管來(lái)保障科技發(fā)揮正當(dāng)用途。

1.合作規(guī)制

因?yàn)槿四樧R(shí)別技術(shù)使得同一種技術(shù)可以應(yīng)用在不同的行業(yè)之間，建議政府應(yīng)當(dāng)促成與各行業(yè)之間的公私良性互動(dòng)、共同合作規(guī)制。政府應(yīng)明確技術(shù)應(yīng)用的突出問(wèn)題的導(dǎo)向性，重點(diǎn)解決社會(huì)中公共利益與企業(yè)利益之間、科技進(jìn)步與人權(quán)保護(hù)之間、經(jīng)濟(jì)發(fā)展和其他社會(huì)效益之間的矛盾問(wèn)題。通過(guò)合作可以達(dá)到“去中心化”的規(guī)制趨勢(shì)，從而促進(jìn)政府和企業(yè)的合作規(guī)制。

2.創(chuàng)造良好的運(yùn)營(yíng)環(huán)境

若對(duì)技術(shù)采取過(guò)分嚴(yán)苛的管理措施，將會(huì)抑制經(jīng)濟(jì)效益發(fā)揮；但如若管理過(guò)分寬松，又會(huì)造成技術(shù)濫用的惡果。建議政府針對(duì)人臉識(shí)別的準(zhǔn)入規(guī)制上擺脫僵化路徑，鼓勵(lì)企業(yè)的技術(shù)創(chuàng)新，從而增加其經(jīng)濟(jì)效益。政府也要規(guī)制技術(shù)創(chuàng)新活動(dòng)所依賴(lài)的路徑，調(diào)節(jié)技術(shù)應(yīng)用的自由度，在全社會(huì)創(chuàng)造健康、安全的運(yùn)營(yíng)環(huán)境。

建議政府應(yīng)該對(duì)濫用人臉識(shí)別技術(shù)和“算法黑洞”等侵犯公民隱私權(quán)益的行為進(jìn)行專(zhuān)項(xiàng)整治，重點(diǎn)整治未經(jīng)被采集者同意而強(qiáng)制實(shí)施人臉識(shí)別和“算法推介”等違法行為[9]。

3.問(wèn)責(zé)監(jiān)管

政府應(yīng)當(dāng)設(shè)立內(nèi)部隱私機(jī)構(gòu)或第三方定期對(duì)人臉識(shí)別數(shù)據(jù)進(jìn)行檢驗(yàn)，并對(duì)相關(guān)技術(shù)設(shè)備升級(jí)，用法律規(guī)定或相關(guān)保密文件來(lái)保障用戶(hù)的隱私安全性。一旦發(fā)現(xiàn)企業(yè)有違法訪問(wèn)的情況，應(yīng)當(dāng)立即采取有效措施來(lái)制止，阻止其訪問(wèn)客戶(hù)數(shù)據(jù)。

4.建立風(fēng)險(xiǎn)備用金

建議政府和各行業(yè)共同建立應(yīng)對(duì)風(fēng)險(xiǎn)的備用資金、共同籌備面對(duì)技術(shù)突發(fā)風(fēng)險(xiǎn)等問(wèn)題的新型保險(xiǎn)方案、完善應(yīng)急處理措施等建立一系列風(fēng)險(xiǎn)備用計(jì)劃和補(bǔ)償完善機(jī)制，對(duì)于因?yàn)檎⑵髽I(yè)問(wèn)題導(dǎo)致公民財(cái)產(chǎn)或隱私信息泄露或由非公民原因?qū)е碌牟煌瑔?wèn)題，應(yīng)開(kāi)展及時(shí)補(bǔ)救或進(jìn)行有效補(bǔ)償。

（三）落實(shí)行業(yè)主體責(zé)任，保障個(gè)人數(shù)據(jù)安全

ZAO軟件利用人臉識(shí)別技術(shù)進(jìn)行換臉，此事就揭露出這樣一種風(fēng)險(xiǎn) ：當(dāng)人臉信息和其他信息結(jié)合起來(lái)被叫賣(mài)，他人或可轉(zhuǎn)賣(mài)牟利，甚至用作實(shí)施詐騙等犯罪活動(dòng)[10]。這就給我們敲響警鐘，要加快促成行業(yè)規(guī)范。

1.促成行業(yè)規(guī)范

各行業(yè)應(yīng)該制定相關(guān)的隱私條例或企業(yè)政策，以清晰、明確的方式公布，告知收集的數(shù)據(jù)用途、數(shù)據(jù)收集的來(lái)源、數(shù)據(jù)是否會(huì)被分享等相關(guān)信息。并形成行業(yè)的統(tǒng)一規(guī)范條例，促成行業(yè)慣例，杜絕不良收集和強(qiáng)制許可等行為。發(fā)生危機(jī)的時(shí)候，在不危害企業(yè)商業(yè)秘密的前提下，企業(yè)處理措施的變更以及處理手段都應(yīng)透明化和公開(kāi)化。

對(duì)于人臉識(shí)別技術(shù)這一巨大市場(chǎng)，類(lèi)似于谷歌、微軟、FaceBook等互聯(lián)網(wǎng)巨頭也在相互爭(zhēng)奪，相繼爆出過(guò)用戶(hù)信息泄露以及濫用的丑聞。在大數(shù)據(jù)時(shí)代，個(gè)人信息即價(jià)值，一旦企業(yè)為了爭(zhēng)奪市場(chǎng)濫用用戶(hù)信息，不僅嚴(yán)重?fù)p害用戶(hù)信息，也擾亂了正常的市場(chǎng)秩序。建議應(yīng)促成行業(yè)統(tǒng)一規(guī)范的出臺(tái)，協(xié)調(diào)行業(yè)內(nèi)部矛盾，針對(duì)標(biāo)準(zhǔn)化流程不清、職責(zé)混亂、執(zhí)行與監(jiān)管重疊、各行業(yè)標(biāo)準(zhǔn)不統(tǒng)一等問(wèn)題要多措并行，如：個(gè)性化設(shè)置標(biāo)準(zhǔn)、加強(qiáng)職工技能培訓(xùn)、成立統(tǒng)一第三方監(jiān)管機(jī)構(gòu)等，促成行業(yè)規(guī)范，保障企業(yè)自身利益的同時(shí)，實(shí)現(xiàn)市場(chǎng)良性競(jìng)爭(zhēng)。保證合理有序的市場(chǎng)秩序，需要各企業(yè)的共同努力塑造。

2.加強(qiáng)安全管理

企業(yè)應(yīng)加強(qiáng)員工的法律意識(shí)培訓(xùn)，強(qiáng)化企業(yè)內(nèi)法治文化，建立健全員工信用機(jī)制，嚴(yán)防企業(yè)員工“監(jiān)守自盜”現(xiàn)象的發(fā)生。應(yīng)成立具有網(wǎng)絡(luò)信息知識(shí)的法律安全監(jiān)管部門(mén)，面對(duì)黑客竊取信息、被其他企業(yè)盜取商業(yè)信息或自身用戶(hù)數(shù)據(jù)時(shí)，要及時(shí)舉起法律武器進(jìn)行維權(quán)，增強(qiáng)保護(hù)數(shù)據(jù)的法律意識(shí)，重視管理職能和法律監(jiān)督的協(xié)調(diào)性。

與此同時(shí)，企業(yè)也應(yīng)建立人臉信息全生命周期的安全管理機(jī)制，在采集用戶(hù)數(shù)據(jù)時(shí)候做到授權(quán)范圍“夠用就好”，避免開(kāi)啟用戶(hù)無(wú)關(guān)的權(quán)限和強(qiáng)迫采集信息。同時(shí)，企業(yè)應(yīng)該將用戶(hù)的原始數(shù)據(jù)雙層加密，并異地儲(chǔ)存，以防黑客盜取，造成數(shù)據(jù)泄露。并且對(duì)于用戶(hù)的銀行卡、身份證號(hào)碼等個(gè)人重要身份信息進(jìn)行安全“隔離”，并定期進(jìn)行技術(shù)維護(hù)。在使用、收集信息環(huán)節(jié)，做到不劫持、不留存用戶(hù)的原始數(shù)據(jù)，企業(yè)要做好用戶(hù)個(gè)人隱私的中間環(huán)節(jié)保護(hù)。

3.保護(hù)用戶(hù)隱私和數(shù)據(jù)安全

隱私保護(hù)設(shè)計(jì)應(yīng)該融于企業(yè)產(chǎn)品的設(shè)計(jì)理念和服務(wù)架構(gòu)中。在條件允許的情況下，企業(yè)在收到執(zhí)法部門(mén)請(qǐng)求其數(shù)據(jù)時(shí)，應(yīng)當(dāng)及時(shí)征求用戶(hù)同意，若超時(shí)未回復(fù)視為默示同意，同時(shí)應(yīng)當(dāng)符合當(dāng)?shù)卣?guī)定和商業(yè)行業(yè)慣例，也應(yīng)當(dāng)不違反我國(guó)法律法規(guī)的規(guī)定。人臉?biāo)N(yùn)含信息具有較高的安全風(fēng)險(xiǎn)，而且潛在存有更為廣泛的數(shù)據(jù)信息內(nèi)容。所以，企業(yè)在使用信息時(shí)，應(yīng)當(dāng)謹(jǐn)慎評(píng)估其采集、使用行為是否符合“合法、有序、正當(dāng)、必要”的原則。

結(jié)語(yǔ)

隨著我國(guó)快速步入5G時(shí)代，人臉識(shí)別技術(shù)也面臨新的發(fā)展趨勢(shì)：一是人臉識(shí)別技術(shù)會(huì)更加成熟，在更遠(yuǎn)的距離也能完成掃描；二是實(shí)現(xiàn)虹膜、靜脈等多種生物信息進(jìn)行輔助完成刷臉，這樣可以進(jìn)一步保障信息安全；三是會(huì)更加重視保障公民的數(shù)據(jù)隱私安全。所以，隨著技術(shù)的發(fā)展，應(yīng)當(dāng)加快完善法律法規(guī)的建設(shè)，提高監(jiān)管水平，提升公民的信息隱私保護(hù)意識(shí)。同時(shí)應(yīng)該擴(kuò)寬立法思路，在新的法律方案中發(fā)揮法律設(shè)計(jì)上的預(yù)測(cè)性[11]。科技和人權(quán)不應(yīng)當(dāng)是對(duì)立的關(guān)系，科技的發(fā)展也不應(yīng)該建立在犧牲公民的人權(quán)和隱私上，相信未來(lái)人臉識(shí)別技術(shù)的發(fā)展會(huì)與隱私問(wèn)題得到和諧地解決。