劉 榮

（福建師范大學，福建 福州 350000）

一、應用人臉識別技術所引發(fā)的問題

（一）立法不夠周延

人臉識別技術在我國仍然歸于新興技術研究范疇，由于缺乏相應的理論儲備，我國尚未出臺單行法對其進行規(guī)制，僅在其他部門法零星涉及，致使整個法律體系雜亂，規(guī)制力度極其有限。具體來看，我國現(xiàn)有的直接涉及人臉識別技術的法律規(guī)范為支付領域的《人臉識別線下支付行業(yè)自律公約（試行）》和安防領域的《安全防范視頻監(jiān)控人臉識別系統(tǒng)技術要求》。其他有關的法律規(guī)范有《民法典》第1034條關于個人信息保護的總括性規(guī)定、《電商法》經(jīng)營者收集顧客信息需要遵循法律規(guī)范、《網(wǎng)絡安全法》運營者經(jīng)被收集人同意后按一定原則收集并合理處理個人信息、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》信息收集和使用規(guī)范發(fā)展以及國家安全保障措施等。可見，我國現(xiàn)有的法律并沒有將敏感信息同一般個人信息區(qū)別開來保護，但參考各國的立法，將個人敏感信息單獨拿出并加以保護，已經(jīng)成為趨勢。雖然《信息安全技術個人信息安全規(guī)范》將個人生物識別信息確認為個人敏感信息，是迄今我國目前關于個人信息保護規(guī)定的最為詳盡的規(guī)范，其參考歐盟的《通用數(shù)據(jù)保護條例》規(guī)定了個人對信息的訪問權、更正權、刪除權、可攜帶權等，但該規(guī)范只是推薦性的國家標準，沒有強制執(zhí)行權，而且未明確界定生物識別信息的法律屬性以及相關主體責任，也就無法完整的保護人臉識別信息。

（二）行政監(jiān)管缺位

由于立法體系分散，且未建立監(jiān)管機制，以至人臉識別行業(yè)難以得到有效管制。目前，我國的互聯(lián)網(wǎng)信息辦公室負責人臉識別技術的網(wǎng)絡問題，公安部門則管理刑事領域，工信部則對違法經(jīng)營進行糾察，但各個部門僅對其負責的領域對技術進行監(jiān)管，并沒有專門的部門對技術進行管制。當企業(yè)違規(guī)使用技術時，行政部門大多采取行政約談的方式以督促企業(yè)自行整改。以Faceu激萌事件為例，企業(yè)被約談后，并不會在實際層面得到懲處，可見約談的效果有待商榷。法律能否得到遵守，一定程度上有賴于相關部門的監(jiān)管，因此僅靠行政約談的監(jiān)管方式遠遠不夠的。目前我國人臉識別技術的市場經(jīng)濟規(guī)模仍在不斷擴大，我國亟需建立一個獨立的人臉識別技術監(jiān)管機構，以更好保障技術的積極健康發(fā)展。

（三）行業(yè)亂象橫生

我國現(xiàn)階段的人臉識別技術行業(yè)發(fā)展缺乏統(tǒng)一的準入門檻，研發(fā)人員只需硬件設施，輔以算法及數(shù)據(jù)庫，就可以擁有和運用這一技術。隨之而來的就是技術擁有主體范圍擴大，極大的增加了人臉識別技術被濫用的風險。前不久一審程序結束的杭州城市動物園“中國人臉識別第一案”曾廣受關注，作為私營主體的動物園，是否有權力采集顧客臉部信息并強制性要求顧客以刷臉驗證的方式入園，還有待商榷。此外，深網(wǎng)視界公司未給予數(shù)據(jù)庫應有的維護，致使大量公民人臉數(shù)據(jù)泄露事件，也折射出人臉信息被采集之后，技術主體對數(shù)據(jù)庫的保護度不夠。雖然《民法典》第1035條規(guī)定處理個人信息需要征得權利人同意，以公開處理為原則，并對權利人明示如何進行處理其個人信息。但該規(guī)定充其量只是原則性規(guī)定，在具體案例當中，法官對于技術主體是否遵循法定義務有極高的自由裁量權，無疑不利于行業(yè)良性競爭發(fā)展。

（四）技術存在漏洞

縱然我國人臉識別技術不斷在算法、數(shù)據(jù)庫及硬件設備方面更新?lián)Q代，仍然不足以完全消除技術上的漏洞。目前，市面上常見的技術類型主要為2D人臉識別算法、3D人臉識別算法兩種。由于光線、面部表情和妝容的影響，2D人臉識別的精確率較低。但在現(xiàn)實中，2D系統(tǒng)往往會因為其設備價格相對低而被許多廠商選擇，以降低生產(chǎn)成本。得益于人工智能算法的發(fā)展，3D人臉識別算法在2D算法的基礎上進一步提升了在光線不足等不良情景下的識別準確率。即便如此，3D算法在面對不同種族、不同膚色甚至是不同性別時，其識別成功率并不一致，存在著識別錯誤的風險。然而，這種識別錯誤的風險有時候會帶來致命的后果。浙江紹興的非法竊取人臉數(shù)據(jù)騙取紅包案，罪犯利用他人的人臉信息進行支付寶新用戶注冊，以此騙取紅包，數(shù)額巨大。犯罪分子只是通過軟件將公民的臉部信息打印成3D頭像，從而注冊用戶成功并進行消費。不可否認，技術的使用為人們提供了巨大的便利。但在享受技術的同時，如何克服技術不完善所引發(fā)的風險，乃是從業(yè)人員面臨的一道難題。

二、人臉識別技術應用規(guī)制的域外經(jīng)驗

國際層面，絕大多數(shù)國家或地區(qū)通過保護個人信息的法律法規(guī)對人臉識別技術加以規(guī)制、保護，最具代表性的是美國及歐盟。美國聯(lián)邦政府并未制定全國統(tǒng)一的法律法規(guī)，而是賦予各個州一定立法權，即分散式立法。這和美國自身的國家結構有關，中央與地方政府并不是直接隸屬關系，地方政府擁有極大的自主權。各個州在制定相應法律規(guī)范時，受到經(jīng)濟自由、人權自由因素的影響，其立法大多對公權力機關使用人臉識別技術加以限制甚至禁止，對于私權利主體則更多依賴于市場競爭機制予以調節(jié)。歐盟則以《通用數(shù)據(jù)保護條例》（GDPR)為概括性文件，通過集中立法，為成員國提供立法指導，即以GDPR為總體框架，各國向下細化條款細節(jié)并加以添改。相比美國僅限制政府機構運用人臉識別技術，歐盟對面部識別更為審慎，既約束公共機構收集面部信息又嚴格限制私權利主體采集生物信息。歐盟在技術便利與公眾隱私之間選擇了后者，故從立法層面對該技術的運用加以嚴格規(guī)范。

（一）美國模式

美國模式下的人臉識別技術立法，可以歸納為各州自行決定，公權機關遭禁止，私權主體受規(guī)范。公權力方面，加州舊金山市在2019年發(fā)布法令，禁止政府部門獲取、應用人臉識別技術及應用依該技術獲取的面部信息；同年6月薩默維爾市則禁止行政部門、雇員應用人臉監(jiān)控系統(tǒng)及該系統(tǒng)獲取的信息；奧克蘭市則在7月通過法令，禁止市政府部門和工作人員使用這一技術。值得注意的是，舊金山市稱該法令的出臺，更多是考量人臉識別技術危害公民權利的風險遠大于技術所帶來的利益。

私主體方面，整體基調為規(guī)范、引導企業(yè)合法、合理使用生物識別技術，當然也就包含了人臉識別技術。具體而言，以伊利諾伊州為代表，該州發(fā)布的《生物識別信息隱私法案》（BIPA），要求企業(yè)以合法目的收集生物信息，經(jīng)用戶同意后，在金融領域為用戶交易提供幫助。此外，企業(yè)不得售賣收集到的信息，不得將信息與除了執(zhí)法部門外的第三方共享。隨后，德克薩斯州、華盛頓州相繼發(fā)布法令，規(guī)范企業(yè)將人臉識別技術應用于商業(yè)領域。但波特蘭市在2020年9月出臺了禁止將人臉識別應用到金融領域的禁令，即除了政府部門外，商超、賓館等私營主體也不得使用這一技術。但總的來看，美國目前所公布的法令仍以禁止公權機關使用人臉識別技術為主，對商業(yè)應用持寬容態(tài)度。

（二）歐盟模式

歐盟模式下臉部信息技術保護以《通用數(shù)據(jù)保護條例》（GDPR）為核心，自其發(fā)布并實施以來，不僅在歐洲內部影響深遠，還被其他國家視為立法范本，新加坡、印度等國家新出臺的數(shù)據(jù)法令都是建立在GDPR的基礎上并加以本國化。

根據(jù)該條例第4（1）條對“個人數(shù)據(jù)”的定義，只要是與可被識別的數(shù)據(jù)主體相關的信息均為個人數(shù)據(jù)范疇，而第4（14）條則是對個人數(shù)據(jù)中的分支——生物識別數(shù)據(jù)的界定，即對人的生物、物理或行為特征加以技術處理所得到的數(shù)據(jù)。顯然，人臉圖像屬于生物識別數(shù)據(jù)的一種。第9（1）條列舉的需要被禁止處理的特殊種類數(shù)據(jù)當中，生物特征數(shù)據(jù)赫然在列。無疑，GDPR對于人臉識別數(shù)據(jù)的處理提出了較為嚴格的要求，只有符合獲得數(shù)據(jù)主體同意、達到合同履行的必要條件、履行法定義務、保護相關自然人利益和維護公共領域利益情形之一，數(shù)據(jù)收集者處理人臉數(shù)據(jù)才可能被視為合法。否則，違規(guī)使用人臉識別技術就會遭到處罰。以瑞典為例，2019年開出了該國第一張數(shù)據(jù)罰單，緣由是斯凱爾萊夫特市擅自使用人臉識別技術監(jiān)控學生課堂情況，不但侵害了學生隱私，而且市政府的做法不符合第9（2）條下的例外情形。

三、人臉識別技術法律規(guī)制的對策

中國尚未頒布專門保護個人信息的法案，且未針對人臉識別技術進行專門立法，相關規(guī)定散見于各類法律規(guī)范中，導致人臉識別技術受到濫用、個人信息的安全受到威脅。因此，為了合理規(guī)范人臉識別技術的使用，我國應通過完善相關立法、落實政府職能、提高準入門檻、建立監(jiān)督機構以及提供救濟途徑幾大方面多管齊下。

（一）明確人臉識別信息法律定位

當下，《民法典》人格權編并未規(guī)定個人信息權這一概念，而是將個人信息作為一項權益加以保護。依據(jù)《民法典》的規(guī)定，個人信息包括個人生物識別信息。進一步說，人臉識別信息既是生物識別信息，也是生物敏感信息，在明確人臉識別信息的法律定位后，應當對人臉識別信息實行強化保護，保護程度不同于一般的個人信息。因此技術主體在處理人臉識別信息時，不僅應當遵守法律對于一般個人信息的相關管理規(guī)定，還應提高其注意義務，對人臉信息重點保護。參考GDPR的規(guī)定，技術主體宜采取以禁止處理為基調，以特殊場景處理為例外的原則，特殊場景主要包括：信息主體明確同意、履行必要合同、完成法定義務、保護個人利益和執(zhí)行公共任務。

此外，為了平衡技術主體和信息主體之間的權利關系，信息主體應享有以下權利：第一，知情權。信息主體有權了解技術主體處理人臉識別信息的目的、方法，并且享有隨時確認人臉識別信息是否在被處理的權利。第二，拒絕權?？v使技術主體合法處理人臉識別信息，信息主體仍有權拒絕技術主體的處理。但這并不代表信息主體能夠無限制拒絕，當技術主體能夠證明其處理行為帶來的利益明顯高于信息主體的權益，或存在其他合法、合理的例外情形除外。第三，刪除權。信息主體有權要求技術主體刪除非法獲取的人臉信息，并對過時的人臉識別信息進行永久性銷毀。第四，限制處理權。信息主體雖然享有刪除權，但一味濫用，可能沖擊行業(yè)良性發(fā)展。故限制處理權在大多數(shù)情形下可以信息主體的首選。限制處理人臉信息可以采用暫時性關閉人臉數(shù)據(jù)庫或者短暫性移除系統(tǒng)中的人臉信息。

（二）落實政府機構職能

我國目前并沒有專門的政府部門對于人臉識別技術行業(yè)進行管理。就像前文所述，不同的政府機關僅對特定領域內的人臉識別技術加以約束。但這樣帶來的是政府部門之間聯(lián)動性差、信息交換不及時、互相推諉的后果。因此，一方面，政府機關應加強合作，成立聯(lián)合辦事機構，共同管理人臉識別技術行業(yè)。此外，立法上有必要給予政府部門更多的執(zhí)法權，否則，僅靠約談甚至罰款的方式，恐怕難以震懾不法分子。另一方面，政府管理部門需要為整個行業(yè)發(fā)展創(chuàng)造良好的氛圍，引導企業(yè)、個體戶合法合規(guī)開展技術應用，對技術創(chuàng)新企業(yè)予以稅收減免及其他優(yōu)惠措施。

（三）提高行業(yè)準入門檻

人臉識別技術行業(yè)亂象叢生，究其原因，我國尚未設立準入門檻，故有必要提高行業(yè)準入門檻。我國應以民法典第1035條為依據(jù)，針對不同領域衡量人臉識別技術應用的可行性。

首先，合法性原則和必要性原則是不可避免的要求。如果存在風險系數(shù)較低的身份驗證手段，則可以降低技術應用的頻率。其次，考量技術主體使用技術的正當性。倘若技術主體無法保障識別的精確率及技術使用時的安全系數(shù)，則可認為其應用是不合理的。再次，鑒于特定場景下無差別人臉識別的規(guī)模之大，需要對每一次的人臉配對加以分析，以評估技術使用的可行性。公共管理部門大規(guī)模使用人臉識別技術，需要受到一定限制，防止監(jiān)視常態(tài)化、侵犯隱私權等問題的發(fā)生。最后，應對兒童特殊保護。以人臉識別技術監(jiān)控學生課堂紀律應被禁止，該技術可被侵害程度更小的措施代替。

（四）建立第三方監(jiān)管機構

中國需要建立一個獨立的第三方面部識別技術監(jiān)管機構。其成員可包括但不限于立法機關、執(zhí)法機構、技術開發(fā)人員、企業(yè)以及普通用戶。監(jiān)管機構負責建立人臉識別技術在不同領域的應用標準及限制條件，尤其是公共領域和商業(yè)領域。倘若技術主體有使用人臉識別技術的意向，需要向監(jiān)管機構遞交意向書，詳細說明應用目的、方式、范圍。監(jiān)管機構收到意向書后，立即啟動報告反饋機制。報告內容包括對技術主體提交的意向書進行風險評估，判斷其應用可行性、分析技術應用帶來的社會利益、預估技術潛在影響及減輕措施、提供技術漏洞解決途徑。

（五）提供救濟途徑

為了能夠更好的規(guī)范人臉識別技術行業(yè)，需完善事后處理機制。從技術主體層面看，在數(shù)據(jù)庫信息泄露的情況下，技術主體除了可以采取一些必要的措施防止損害擴大外，還需及時告知信息主體。此外，技術主體既要承擔違約責任，又要賠償信息泄露對信息主體造成的損害。從信息主體層面看，信息主體享有向第三方監(jiān)管機構投訴的權利。監(jiān)管機構應在一定時間內給予答復。

四、結語

面部識別技術應用在推動社會發(fā)展的同時，其自身存在的問題不容忽視。立法不夠周延、行政監(jiān)管缺位、行業(yè)亂象橫生、技術存在漏洞等問題嚴重阻礙了人臉識別技術的良性、健康發(fā)展。應通過借鑒域外立法經(jīng)驗，找到一條中國化的人臉識別技術規(guī)制道路。以明確人臉信息法律定位為核心，輔以政府職能落實、行業(yè)門檻提高、監(jiān)管機構建立及救濟途徑完善，為我國人臉識別技術行業(yè)健康、可持續(xù)發(fā)展保駕護航。