張宇軒

(天津大學(xué) 法學(xué)院，天津 300072)

人臉識別引發(fā)的個人信息保護(hù)危機(jī)日益受到高度關(guān)注，浙江理工大學(xué)副教授起訴杭州野生動物園成為中國人臉識別侵權(quán)第一案?！斑@是個看臉的時代”本來是一句玩笑話，如今卻成為現(xiàn)實(shí)——刷臉進(jìn)站、刷臉支付、刷臉簽到，刷臉無處不在。人臉識別在給人們生活帶來巨大便利的同時，也帶來了一系列法律風(fēng)險，對個人信息構(gòu)成嚴(yán)重威脅。個人信息的傳統(tǒng)保護(hù)方法是對信息收集利用的目的進(jìn)行嚴(yán)格限制，通過知情同意貫徹個人自決，對于侵權(quán)行為則采用事后救濟(jì)，但隨著人工智能時代的到來，該原則方法已經(jīng)無法滿足當(dāng)今社會的對于信息保護(hù)的需求。個人信息保護(hù)要走出困境需要探索適應(yīng)時代特征的、新的個人信息保護(hù)模式，通過設(shè)計(jì)保護(hù)個人信息是一條充滿希望的新路徑。

一、問題的提出

人臉識別技術(shù)作為一項(xiàng)生物識別技術(shù)在歷經(jīng)半個世紀(jì)的發(fā)展后，被應(yīng)用于社會生產(chǎn)生活的各領(lǐng)域。各類人臉識別應(yīng)用的出現(xiàn)標(biāo)志著“刷臉時代”的到來。然而，在人臉識別技術(shù)為生活帶來巨大紅利的同時，其帶來的法律風(fēng)險也不容小覷[1]。人臉識別系統(tǒng)在收集信息時具有快捷、準(zhǔn)確、隱秘等特性，同時其收集的面部信息屬于生物識別信息，具有唯一性、不可匿名性等特征。面部信息與復(fù)雜的人臉識別系統(tǒng)的結(jié)合給現(xiàn)有法律帶來了前所未有的挑戰(zhàn)，也為后續(xù)立法提出了更加苛刻的要求。

(一)人臉識別技術(shù)的興起

人臉識別技術(shù)源于20世紀(jì)60年代，在90年代進(jìn)入初級應(yīng)用期[2]。如今人臉識別技術(shù)已經(jīng)廣泛應(yīng)用于我們的生活，一個看臉的時代已經(jīng)到來[3]。人臉識別通過攝像機(jī)或者攝像頭采集含有人臉的視頻或照片，并對人的面部特征進(jìn)行分析。

人臉識別的運(yùn)行過程主要可以分為三步：第一步，對人臉進(jìn)行檢測，無論是面部遮蓋、環(huán)境變化還是表情變動，是動態(tài)的視頻還是靜態(tài)的圖片，當(dāng)今的人臉識別技術(shù)都可以做到毫秒級的檢測。第二步，攝像頭從采集的圖像中尋找一張最佳圖像，對五官輪廓等進(jìn)行定點(diǎn)分析。第三步，系統(tǒng)通過定位完成用戶的數(shù)據(jù)畫像，并與圖庫照片進(jìn)行比照。常見的人臉識別主要有兩種應(yīng)用形式:第一種是一對一形式，是身份確認(rèn)的一種新型方式，主要用于各種證件的確認(rèn)。第二種是一對多形式，可用于公安機(jī)關(guān)搜索犯罪嫌疑人，尋找失蹤人口等。人臉識別技術(shù)最先應(yīng)用于安保領(lǐng)域，例如大家熟知的刷臉進(jìn)站。此后，人臉識別逐步遍及商業(yè)、醫(yī)療等領(lǐng)域。如今人臉識別在互聯(lián)網(wǎng)政務(wù)領(lǐng)域也是應(yīng)用得風(fēng)生水起，例如在我國某些地區(qū)的退休老人社保待遇資格的認(rèn)證就使用到了人臉識別技術(shù)。這一舉措大幅度提高了行政服務(wù)效率和居民滿意度。人臉識別技術(shù)在商業(yè)領(lǐng)域的應(yīng)用得最為火爆，最典型的表現(xiàn)形式就是刷臉支付。2013年，芬蘭的Uniqul公司率先研發(fā)了人臉識別支付系統(tǒng)。2017年，肯德基在門店中安放了可“刷臉支付”的自動點(diǎn)餐機(jī)，這也是人臉識別支付技術(shù)在全球首次應(yīng)用于商業(yè)領(lǐng)域。在移動支付的快速發(fā)展之下，國內(nèi)的許多超市商場在營銷中也引入了人臉識別支付技術(shù)?？旖莸娜四樦Ц断到y(tǒng)不僅很大程度上為商家和顧客提供了便利，也起到了很好的分流作用。

(二)人臉識別技術(shù)侵權(quán)問題的特殊性

人臉識別的廣泛應(yīng)用在為社會生活帶來巨大便利的同時，也引發(fā)了個人信息保護(hù)危機(jī)。2019年，杭州市富陽區(qū)人民法院受理了人臉識別第一案。浙江理工大學(xué)副教授郭兵在杭州野生動物世界辦理了一張年卡，該動物園先前使用指紋識別入園，其后在未通知消費(fèi)者的情況下將系統(tǒng)升級為人臉識別入園。郭先生認(rèn)為面部特征等生物信息屬于個人敏感信息，杭州動物園在未通知消費(fèi)者的情況下擅自升級系統(tǒng)，侵害了消費(fèi)者的權(quán)益[4]。在另一起事件中，中國藥科大學(xué)在部分教室安裝了帶有人臉識別技術(shù)的系統(tǒng)，引發(fā)社會熱議[5]。

面部信息是個人信息的一種，承載著高度的人格利益，理應(yīng)受到法律保護(hù)。具體而言面部信息屬于生物識別信息，其所攸關(guān)的人格尊嚴(yán)利益較普通信息更為突出，故在眾多個人信息當(dāng)中具有卓然地位。與個人有關(guān)的信息是海量的，并非所有信息都是個人信息保護(hù)意義上的“信息”，個人信息的本質(zhì)特征和甄別標(biāo)準(zhǔn)在于可識別性，即憑信息可形成自然人的人格圖像。一些瑣細(xì)的個人信息往往需要結(jié)合起來才能形成人格圖像，而對面部信息而言直接就可形成人格圖像，其所形成的生理圖像是人格圖像的重要層面。正是因?yàn)檫@種特殊的重要性，我國《民法典(草案)》第一千零三十四條在所界定的個人信息范圍中特別列舉了“生物識別信息”①(1)①《民法典草案》第一千零三十四條規(guī)定：“自然人的個人信息受法律保護(hù)。個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱地址、行蹤信息等。個人信息中的私密信息,同時適用隱私權(quán)保護(hù)的有關(guān)規(guī)定?！?。在比較法上，一些國家將生物識別信息作為敏感信息，給予較普通信息更高層級的保護(hù)。面部信息作為一種重要的生物識別信息，可能因人臉識別技術(shù)的應(yīng)用而被置于危險之中。

與一般個人信息侵權(quán)相比，人臉識別技術(shù)帶來的侵權(quán)問題更具特殊性，主要表現(xiàn)為以下幾點(diǎn)。

第一，獲取的信息更全面。根據(jù)人臉識別的運(yùn)作原理可知，人臉識別技術(shù)獲取個人面部信息非常便捷且準(zhǔn)確度高。人臉識別看似只搜集了用戶的面部信息，但事實(shí)不止于此，其強(qiáng)大的整合能力隱藏著巨大風(fēng)險。人臉識別技術(shù)可以通過與云計(jì)算，互聯(lián)網(wǎng)等技術(shù)結(jié)合，與用戶的其他數(shù)據(jù)進(jìn)行整合，從而描繪出完整的用戶“畫像”[6]。以往單個人工智能技術(shù)只能收集用戶某一方面的個人信息，但多項(xiàng)人工智能技術(shù)的進(jìn)步導(dǎo)致各種數(shù)據(jù)出現(xiàn)信息聚合。信息聚合可描繪出全方位的個人畫像，例如情感交互技術(shù)，其通過對人的面部動作進(jìn)行收集和分析，與用戶的其他信息結(jié)合并生成報(bào)告，從而得出被分析者的情感波動。這也就意味著內(nèi)心的私密活動也可以被處理、整合成外在的信息，傳統(tǒng)個人信息保護(hù)所強(qiáng)調(diào)的用戶自決權(quán)可能將逐步失去作用。

第二，侵權(quán)主體難以確定。首先，人臉識別與人工智能技術(shù)如影隨形，如果人臉識別是由具有高度智能的機(jī)器人實(shí)施的，則誰為侵權(quán)主體？智能機(jī)器是否可能具有民事主體資格而承擔(dān)侵權(quán)責(zé)任，對此學(xué)界存在激烈爭議[7]。從發(fā)展的眼光看，隨著弱人工智能向強(qiáng)人工智能的進(jìn)化，人工智能獲得有限主體地位的可能性是存在的。未來，強(qiáng)人工智能自主實(shí)施的人臉識別造成的個人信息侵權(quán)由誰擔(dān)責(zé)將成為一個問題。其次，收集面部信息的人臉識別端口散布在生活的各個角落，用戶信息可能在不經(jīng)意之間就已經(jīng)被收集。與此同時，個人的面部信息在被收集、分析時經(jīng)歷的環(huán)節(jié)較多，流轉(zhuǎn)于多個信息利用者之間，信息主體很難確定自己的信息究竟是在哪個環(huán)節(jié)、被何人所侵犯。信息利用的主體既可能是算法的開發(fā)者，也可以是服務(wù)使用者，亦或是不懷好意的其他人。責(zé)任主體的多樣性導(dǎo)致誰應(yīng)為信息保護(hù)承擔(dān)相關(guān)責(zé)任，無從確定[8]。

第三，侵權(quán)行為更加隱蔽。人臉識別侵權(quán)通常不表現(xiàn)為人的直接行為，使用人臉識別系統(tǒng)的人躲在幕后。在很多情況下信息主體往往會將電子設(shè)備侵權(quán)歸咎為機(jī)器故障，對電子設(shè)備侵權(quán)有著更高的容忍性，而忽略識別設(shè)備背后的實(shí)際使用人[9]。再者，因?yàn)槊娌啃畔⒉⒉痪哂兄苯拥呢?cái)產(chǎn)性，屬于一種無形信息，所以用戶很難在第一時間發(fā)現(xiàn)自己的權(quán)利受到侵犯。傳統(tǒng)侵權(quán)責(zé)任構(gòu)成要件中的侵權(quán)行為在人臉識別技術(shù)下顯得更加溫和隱蔽，也更不易被人察覺。

第四，損害后果具有嚴(yán)重性和不可逆轉(zhuǎn)性。人臉識別系統(tǒng)收集的面部信息屬于生物識別信息已如前述，其具有唯一性。在鋪天蓋地的刷臉支付下，面部信息儼然成為移動的密碼。手機(jī)、銀行卡的遺失可以通過掛失、取消關(guān)聯(lián)等方式補(bǔ)救，二維碼或密碼泄露的問題可以通過修改更換來進(jìn)行解決，人臉信息的泄露則覆水難收。面部信息一旦被竊取，傳統(tǒng)的保護(hù)手段往往難以奏效。被竊的面部信息可能會在不確定的潛在數(shù)據(jù)利用者之間流轉(zhuǎn)，侵害后果很難徹底清除或逆轉(zhuǎn)，長期反復(fù)出現(xiàn)。被竊的面部信息若與被侵權(quán)人的其他信息結(jié)合，則將會對被侵權(quán)人造成更大的困擾。

二、刷臉技術(shù)下傳統(tǒng)個人信息保護(hù)方法的困境

在過去的幾十年中，世界各國主要采用的是“公平實(shí)踐信息原則”來保護(hù)用戶的個人信息[10]。公平實(shí)踐信息原則強(qiáng)調(diào)政府、企業(yè)收集、利用、披露用戶信息的行為需被限定在特定目的范圍內(nèi)，并承擔(dān)此期間的各種責(zé)任。同時，用戶享有知情同意權(quán)，可要求更改、銷毀被收集的信息，借個人自決試圖實(shí)現(xiàn)信息主體的自我保護(hù)。面對侵權(quán)行為，公平實(shí)踐信息原則主要采用簡單的事后救濟(jì)。而隨著人臉識別技術(shù)的飛速發(fā)展，公平實(shí)踐信息原則早已無法適應(yīng)新的現(xiàn)實(shí)情況。

(一)目的拘束原則難以適用

個人資料的收集或利用，應(yīng)當(dāng)尊重當(dāng)事人之權(quán)益，依誠實(shí)以及信用方法為之，不得逾越其目的之必要范圍，并應(yīng)與收集目的具有正當(dāng)合理的關(guān)系，此即目的拘束原則。目的拘束原則是公平實(shí)踐信息原則的題中應(yīng)有之義，在全球范圍內(nèi)受到普遍的認(rèn)可。目的拘束原則被認(rèn)為是收集使用個人信息中的帝王條款，人臉識別亦不例外。在收集、使用面部信息時必須要遵循特定的目的，從而保證最小限度的收集。新的現(xiàn)實(shí)情況對目的拘束原則產(chǎn)生了巨大沖擊，其適用出現(xiàn)障礙。

第一，發(fā)展現(xiàn)狀的限制?；诂F(xiàn)實(shí)考慮，一味限制信息收集的數(shù)量不利于識別技術(shù)的發(fā)展。目的拘束原則內(nèi)含必要性原則，要求信息收集應(yīng)當(dāng)符合少而優(yōu)的理念。而當(dāng)前人臉識別技術(shù)處于起步階段，人臉識別技術(shù)的深度學(xué)習(xí)功能需要收集大量個體的面部信息以豐富信息數(shù)據(jù)庫，從而提升系統(tǒng)識別的速度和精準(zhǔn)度。同時，新興的技術(shù)企業(yè)受到成本限制在收集信息時也會追求信息獲取的數(shù)量。必要性原則面臨客觀現(xiàn)實(shí)的挑戰(zhàn)。

第二，系統(tǒng)功能的沖擊。目的拘束原則禁止加值利用，即不允許組織收集的各類數(shù)據(jù)自動組合并分析出更加深層的用戶信息。然而，人臉識別技術(shù)卻可將碎片化的面部數(shù)據(jù)重組形成完整的用戶畫像，在深度分析中獲取系統(tǒng)特定目的之外的性取向、婚史、病史等私密信息。

第三，配套制度的缺失。信息利用主體應(yīng)在自己內(nèi)部制度中細(xì)化目的拘束原則。但現(xiàn)實(shí)中，細(xì)化的配套制度卻存在缺失。例如，目的拘束原則要求限定個人同意收集數(shù)據(jù)的有效期限，避免出現(xiàn)“一次同意，終身有效”的情況。面部信息的儲存時限也應(yīng)當(dāng)符合目的拘束原則。市面上的識別系統(tǒng)對數(shù)據(jù)儲存的期限多并未做明確的限定，導(dǎo)致信息主體的變更權(quán)受到影響，目的拘束原則難以落實(shí)。

(二)知情同意原則難以奏效

收集、使用個人面部信息應(yīng)當(dāng)充分尊重信息主體的知情同意權(quán)，此是個人信息保護(hù)的經(jīng)典原則。我國司法實(shí)踐中關(guān)于違反知情同意原則的相關(guān)案件也層出不窮①(2)①如王時雨與中國農(nóng)業(yè)銀行股份有限公司內(nèi)江直屬支行人格權(quán)糾紛案(2018)川1002民初4074號，洑某人格權(quán)糾紛案(2017)京01民終6555號等。。知情同意原則的價值在于實(shí)現(xiàn)個人自決，使信息主體自己擔(dān)當(dāng)自己的保護(hù)者。而在人臉識別技術(shù)下，知情同意原則卻很難奏效，信息主體的同意能力不足、同意的形式化等問題使知情同意原則在實(shí)際上被架空。

首先，知情同意原則的應(yīng)用流于形式，過于機(jī)械。知情同意原則的本意要求用戶對收集、利用信息的行為有正確、清晰的理解，并在此之上做出決定。而多數(shù)面部識別系統(tǒng)的信息保護(hù)條款篇幅過長，用詞過于學(xué)理化，未被給予有效提示和說明。同時，人臉識別系統(tǒng)現(xiàn)已活躍在各個領(lǐng)域，若用戶選擇不接受，則有很大的可能性退出系統(tǒng)，用戶也就無法享受相應(yīng)的服務(wù)。如此機(jī)械的處理方式將對用戶的生活帶來巨大的不便。其次，知情同意原則的保護(hù)力逐漸消退。知情同意作為傳統(tǒng)信息保護(hù)的有力屏障難敵人臉識別技術(shù)的強(qiáng)大功能。人臉識別技術(shù)中的隔空捕捉技術(shù)和網(wǎng)絡(luò)爬取數(shù)據(jù)等技術(shù)使得系統(tǒng)可以繞過用戶的同意，在未經(jīng)授權(quán)的情況下獲取用戶的面部數(shù)據(jù)[11]。知情同意面對先進(jìn)的識別技術(shù)儼然已經(jīng)過時。最后，知情同意原則的實(shí)施成本過高，效率較低。過分強(qiáng)調(diào)知情同意將產(chǎn)生巨大的信息利用成本，不利于多方共贏。人臉識別技術(shù)的運(yùn)行是一個多方參與的過程，涉及政府、企業(yè)、技術(shù)開發(fā)部門、信息主體等。為了使公共利益和個人權(quán)利得以平衡，面部信息既不能被無限獲取，也不可一味地被控制和隱藏，而應(yīng)當(dāng)適當(dāng)被用于流通和交換。知情同意原則要求只有在用戶同意的情況之下，信息收集者收集和利用面部信息的行為才為合法。但若政府、企業(yè)不加區(qū)分地將所有場景均設(shè)置為以用戶知情同意為前提，將產(chǎn)生巨大的信息利用成本，不利于公共利益的實(shí)現(xiàn)。

(三)事后救濟(jì)模式難以止損

公平實(shí)踐信息原則構(gòu)建的法律框架主要圍繞個人信息的收集、流轉(zhuǎn)和利用，只有在權(quán)利受到侵犯后，才會予以救濟(jì)，屬于典型的事后救濟(jì)[12]。我國個人信息保護(hù)由于缺少完整的請求權(quán)基礎(chǔ)，實(shí)踐中多通過傳統(tǒng)隱私權(quán)或名譽(yù)權(quán)、肖像權(quán)為請求權(quán)基礎(chǔ)②(3)②通過中國法律應(yīng)用數(shù)字網(wǎng)絡(luò)服務(wù)平臺 (法信) 以“個人信息”為關(guān)鍵詞，發(fā)現(xiàn)相關(guān)案件多以侵犯隱私權(quán)、肖像權(quán)、名譽(yù)權(quán)等進(jìn)行處理。如，王克躍、浙江巖亨信息技術(shù)有限公司、浙江巖亨信息技術(shù)有限公司杭州分公司隱私權(quán)糾紛案(2018)川1002民初4074號，唐某某與湖南某旅行公司人格權(quán)糾紛案(2016)贛0302民初255號。我國現(xiàn)行的《民法總則》雖設(shè)置有個人信息保護(hù)的環(huán)節(jié)，但未能完成為個人信息保護(hù)提供完整請求權(quán)基礎(chǔ)的任務(wù)。。因此，我國司法實(shí)踐中對于個人信息侵權(quán)主要依據(jù)《侵權(quán)責(zé)任法》來進(jìn)行規(guī)制，救濟(jì)途徑多為賠償損失、賠禮道歉等，而人臉識別技術(shù)帶來的信息風(fēng)險具有特殊性，單純依靠事后救濟(jì)模式難以應(yīng)對[13]。

首先，人臉識別技術(shù)的信息風(fēng)險來源具有特殊性。人臉識別技術(shù)的許多信息風(fēng)險都植根于系統(tǒng)本身，設(shè)計(jì)者在系統(tǒng)開發(fā)初期就設(shè)定了面部數(shù)據(jù)被利用的范圍和方式。事后救濟(jì)模式作為一種簡單附加的救濟(jì)手段，只能在系統(tǒng)運(yùn)作之后發(fā)揮作用，面對系統(tǒng)的“先天缺陷”只能落后一步。其次，人臉識別技術(shù)的信息風(fēng)險形式具有特殊性。不同的侵權(quán)行為應(yīng)尋求相應(yīng)的救濟(jì)手段，完全的事后救濟(jì)模式難以應(yīng)對人臉識別技術(shù)特殊的侵權(quán)形式。傳統(tǒng)的面部信息侵權(quán)主要表現(xiàn)為偷拍偷錄、丑化侮辱等形式，而人臉識別技術(shù)存在一種獨(dú)特的侵權(quán)形式，即為人身歧視。例如，美國邁哈密的智能治安監(jiān)管系統(tǒng)會重點(diǎn)監(jiān)視黑人群體和西班牙移民，該行為構(gòu)成種族歧視[14]。性別歧視、種族歧視等問題必須事先積極預(yù)防，其對用戶人格尊嚴(yán)帶來的創(chuàng)傷是無法通過事后救濟(jì)來進(jìn)行彌補(bǔ)的。

三、刷臉時代通過“設(shè)計(jì)”保護(hù)個人信息的新思路

傳統(tǒng)的個人信息保護(hù)模式在面對新情況時顯得心余力絀?！八⒛槙r代”亟待更具可行性、有效性的個人信息保護(hù)措施。新近的設(shè)計(jì)保護(hù)方法可扭轉(zhuǎn)當(dāng)前個人信息保護(hù)的疲軟態(tài)勢，不失為一條可行之路。設(shè)計(jì)保護(hù)方法強(qiáng)調(diào)防患于未然，可解決事后救濟(jì)難以止損的問題。設(shè)計(jì)保護(hù)理論突出用戶權(quán)益，并可實(shí)現(xiàn)公私利益的平衡。全生命周期的保護(hù)和植入系統(tǒng)的信息保護(hù)算法為用戶信息建立起強(qiáng)有力的保護(hù)屏障，可在保證用戶信息安全的基礎(chǔ)上，促進(jìn)人臉識別技術(shù)的持續(xù)發(fā)展。

(一)個人信息設(shè)計(jì)保護(hù)方法的優(yōu)越性

隱私設(shè)計(jì)理論(Privacy by Design)最早是由加拿大渥太華省信息委員會前主席安·卡沃基提出的[15]。隱私設(shè)計(jì)理論主張將個人信息保護(hù)在系統(tǒng)設(shè)計(jì)階段就嵌入其中，通過技術(shù)手段積極預(yù)防個人信息侵權(quán)行為的出現(xiàn)，將信息保護(hù)放置在系統(tǒng)運(yùn)行的核心地位。隱私設(shè)計(jì)理論包括七個重要內(nèi)容：主動預(yù)防、默認(rèn)保護(hù)、設(shè)計(jì)嵌入系統(tǒng)、完整功能、全生命周期保護(hù)、用戶利益至上、可視透明。人臉識別領(lǐng)域也應(yīng)當(dāng)引入設(shè)計(jì)保護(hù)模式。相較于先前的公平實(shí)踐信息原則，設(shè)計(jì)保護(hù)模式具有一定的優(yōu)越性，主要體現(xiàn)以下幾個方面。

(1)事先積極預(yù)防。公平原則對主體的受損權(quán)利采取事后救濟(jì)。設(shè)計(jì)保護(hù)模式則要求對侵權(quán)行為做到防患于未然，而非亡羊補(bǔ)牢，將信息保護(hù)設(shè)置為默認(rèn)選項(xiàng)，改變先前信息保護(hù)的附屬性地位。如前所述，人臉識別技術(shù)所收集的是個體的面部信息，具有獨(dú)特性，不可更換。面部信息一旦被違法利用和公開之后，并非簡單刪除信息就可以恢復(fù)受損權(quán)利，帶來的損害后果將不可逆轉(zhuǎn)。因此，我們對面部信息的保護(hù)應(yīng)當(dāng)做到未雨綢繆。

(2)用戶利益至上。設(shè)計(jì)保護(hù)模式要求系統(tǒng)設(shè)計(jì)應(yīng)當(dāng)以用戶為中心，圍繞著用戶的需求，切實(shí)保障用戶的各項(xiàng)權(quán)利。在系統(tǒng)請求用戶允許其獲取面部信息時，用戶可選擇是否同意。若用戶不同意收集其面部信息，設(shè)計(jì)者應(yīng)當(dāng)提供其他驗(yàn)證識別方式，例如指紋識別，上傳身份證件等，而并非簡單粗暴地拒絕提供服務(wù)。收集者通過這種方法有助于更好保障用戶使用服務(wù)的權(quán)利。

(3)平衡公私利益。人臉識別系統(tǒng)的運(yùn)行需要多方主體參與，涉及公共利益、經(jīng)濟(jì)利益、個人利益，每種利益都應(yīng)得到保障。人臉識別技術(shù)的快速發(fā)展加劇了信息主體和利用方之間的矛盾，但并非無法緩和。設(shè)計(jì)保護(hù)模式要求實(shí)現(xiàn)多方共贏，融入正和模式，避免零和博弈①(4)①零和博弈又稱為零和游戲，是指在競爭下，一方獲得收益必然伴隨另一方利益受損，雙方無法實(shí)現(xiàn)公贏，雙方之間屬于非合作關(guān)系。。人臉識別系統(tǒng)通過增加信息的安全性，減少不必要的信息收集，進(jìn)行有效的信息脫敏，可切實(shí)保護(hù)用戶的利益。在安全的信息環(huán)境，信息主體也更愿將信息讓渡給收集者。

(4)延長保護(hù)周期。設(shè)計(jì)保護(hù)模式要求信息收集者在首次收集到面部信息后到識別系統(tǒng)被徹底停用之前，都應(yīng)為用戶提供全生命周期的保護(hù)。當(dāng)系統(tǒng)徹底停用后，系統(tǒng)控制者也需全方位清除用戶的面部數(shù)據(jù)，避免信息泄露。我國《信息安全技術(shù)個人信息安全規(guī)范》要求信息利用主體在個人信息收集時需符合合法性、最小化要求，存儲時要對用戶信息進(jìn)行去標(biāo)識處理。信息控制者使用環(huán)節(jié)也需要收到相應(yīng)限制，力求對用戶的信息提供全生命周期的保護(hù)②(5)②例如《信息安全技術(shù)個人信息安全規(guī)范》7.2中規(guī)定的展示限制：涉及通過界面展示個人信息的(如計(jì)算機(jī)屏幕、紙面)，應(yīng)對需展示的個人信息采取去標(biāo)識化處理等措施，降低個人信息在展示環(huán)節(jié)的泄露風(fēng)險。。全生命周期的保護(hù)一方面有利于從源頭減少侵權(quán)的發(fā)生，另一方面當(dāng)侵權(quán)行為發(fā)生時，用戶可以直接向信息保存者進(jìn)行追責(zé)，從而減輕用戶的追償難度。

(5)設(shè)計(jì)嵌入系統(tǒng)。信息保護(hù)直接嵌入系統(tǒng)是設(shè)計(jì)保護(hù)模式最為突出的特征。區(qū)別于公平原則的“簡單附加”，設(shè)計(jì)保護(hù)模式主張將信息保護(hù)在系統(tǒng)設(shè)計(jì)初期直接嵌入系統(tǒng)中，成為系統(tǒng)的默認(rèn)設(shè)置。同時相關(guān)代碼也不妨礙系統(tǒng)其他功能的正常運(yùn)作，使得信息保護(hù)和系統(tǒng)運(yùn)行融為一體。例如，手機(jī)的防盜功能、筆記本電腦的指紋識別等都是將需求嵌入系統(tǒng)設(shè)計(jì)中，且對原有的功能沒有影響。

(二)人臉識別技術(shù)下設(shè)計(jì)保護(hù)方法的具體應(yīng)用

自隱私設(shè)計(jì)原則被提出之后，許多國家都將該原則融入國家的立法和實(shí)踐之中。美國聯(lián)邦貿(mào)易委員會在其2010年和2012年網(wǎng)絡(luò)安全報(bào)告中首次提及和闡述了“通過設(shè)計(jì)保護(hù)隱私”機(jī)制的概念，并要求企業(yè)積極踐行該機(jī)制[16]。2014年歐盟的網(wǎng)絡(luò)與安全管理局明確提出了八項(xiàng)隱私設(shè)計(jì)策略①(6)①2014年歐盟的網(wǎng)絡(luò)與安全管理局發(fā)布了一項(xiàng)報(bào)告，報(bào)告中明確提出了八項(xiàng)隱私設(shè)計(jì)策略，分別是最小化、隱藏化、區(qū)隔化、聚集化、通知、控制、強(qiáng)化、展示。。2016年歐盟正式通過《一般數(shù)據(jù)保護(hù)法》,其中第25條專門規(guī)定了隱私設(shè)計(jì)原則，賦予了隱私設(shè)計(jì)原則合法性。英國的ICO是英國維護(hù)信息權(quán)的專門機(jī)構(gòu)。其在《數(shù)據(jù)保護(hù)指南》專章規(guī)定的隱私設(shè)計(jì)保護(hù)原則，從而鼓勵企業(yè)積極踐行該原則。隱私設(shè)計(jì)原則不僅體現(xiàn)著多個國家的立法中，也被許多企業(yè)運(yùn)用在企業(yè)運(yùn)作中。例如谷歌地圖中的街景功能，谷歌在記錄街景時，利用系統(tǒng)對檢測到的人臉進(jìn)行模糊處理，使他人無法識別出行人的身份，避免泄露行人的面部信息。此外，蘋果、惠普、騰訊等互聯(lián)網(wǎng)巨頭都在積極踐行隱私設(shè)計(jì)理論。

在人臉識別技術(shù)迅速發(fā)展的今天，我們應(yīng)當(dāng)在立法中體現(xiàn)設(shè)計(jì)理論，在企業(yè)運(yùn)作中融入設(shè)計(jì)理論，通過法律和技術(shù)的雙重屏障切實(shí)保障用戶的面部數(shù)據(jù)。個人信息設(shè)計(jì)的實(shí)施具體要經(jīng)過哪些步驟？學(xué)界存在著不同的認(rèn)識。其中主流觀點(diǎn)認(rèn)為應(yīng)當(dāng)從以下幾個方面進(jìn)行：

(1)確定法律需求。設(shè)計(jì)保護(hù)理論的核心是將信息保護(hù)直接嵌入到系統(tǒng)設(shè)計(jì)之中。在設(shè)計(jì)系統(tǒng)的初期，系統(tǒng)設(shè)計(jì)者就應(yīng)當(dāng)將相關(guān)的法律需求引入系統(tǒng)之中，將法律知識轉(zhuǎn)化成系統(tǒng)可識別的代碼。所以踐行個人信息保護(hù)設(shè)計(jì)原則的第一步就是確定需要滿足的法律需求。相關(guān)研究人員在經(jīng)過綜合分析后確定了隱私設(shè)計(jì)原則的九項(xiàng)法律需求：目的特定、最小化、數(shù)據(jù)質(zhì)量、透明公開、被遺忘權(quán)、用戶權(quán)利、數(shù)據(jù)攜帶權(quán)、數(shù)據(jù)違反通知、責(zé)任和合規(guī)。要為了實(shí)現(xiàn)正和模式，人臉識別技術(shù)中更應(yīng)當(dāng)著重強(qiáng)調(diào)保障用戶權(quán)利，以用戶的利益為出發(fā)點(diǎn)。

例如前段時間大火的換臉軟件ZAO。該軟件采用深度偽造技術(shù)，利用用戶上傳的個人照片，放置平臺的影視片段之中，即可實(shí)現(xiàn)與多位明星換臉。深度偽造技術(shù)發(fā)展以來，換臉欺詐事件層出不窮，本身就存在巨大安全隱患。針對當(dāng)前深度偽造技術(shù)帶來的負(fù)面影響，2020年3月施行的《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》中就明確網(wǎng)絡(luò)信息的使用者、服務(wù)平臺等主體不得利用深度學(xué)習(xí)、虛擬現(xiàn)實(shí)等新技術(shù)新應(yīng)用從事法律、行政法規(guī)禁止的活動，從而保障用戶的合法權(quán)益。該App還存在強(qiáng)制收集、強(qiáng)制使用用戶面部信息的行為。該行為明顯侵害了用戶面部信息的權(quán)利[17]。用戶的權(quán)利主要包括被遺忘權(quán)、撤銷權(quán)等。人臉識別系統(tǒng)應(yīng)當(dāng)在系統(tǒng)設(shè)計(jì)初期將上述的用戶權(quán)利寫入自己的系統(tǒng)中，從而杜絕此類情形出現(xiàn)。

(2)分析系統(tǒng)目的。人臉識別系統(tǒng)應(yīng)明確提出收集面部信息的目的，并將特定目的轉(zhuǎn)化成準(zhǔn)確的代碼。通過將目的代碼輸入系統(tǒng)之中，設(shè)計(jì)者可以防止系統(tǒng)收集用戶不必要的信息。我國當(dāng)前人臉識別技術(shù)商業(yè)化迅速，追求發(fā)展的同時常出現(xiàn)系統(tǒng)突破限定目的，過量收集用戶信息的情況。我國互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部等部門于2019年聯(lián)合制定的《App違法違規(guī)收集個人信息行為認(rèn)定方法》中就直接規(guī)定應(yīng)用系統(tǒng)應(yīng)明確和公開系統(tǒng)目的。 可見限定、分析系統(tǒng)目的對于個人信息的重要性。我國的人臉識別系統(tǒng)現(xiàn)已應(yīng)用在政務(wù)、商業(yè)、醫(yī)療等各個領(lǐng)域，每個領(lǐng)域收集面部信息都有特定目的，系統(tǒng)目的描述越準(zhǔn)確，信息質(zhì)量也就越高，數(shù)量也會減少。此種做法可極大程度上保障用戶的面部信息，從源頭上減少用戶信息泄露的情況發(fā)生。當(dāng)前人臉識別軟件可通過嵌入特定的系統(tǒng)目的，建設(shè)優(yōu)而少的“信息友好型”設(shè)計(jì)框架，增加系統(tǒng)的操作透明度，延伸用戶的控制范圍，從而扭轉(zhuǎn)用戶在信息保護(hù)中的弱勢地位[18]。例如，當(dāng)前我國市面上火爆的各種修圖軟件，其收集用戶面部信息的目的就是美化圖片。設(shè)計(jì)者應(yīng)當(dāng)在程序中明確寫入只美化圖片的目的，以防止用戶信息被用于其他場景，保障用戶控制自身信息的權(quán)利。

(3)設(shè)定默認(rèn)保護(hù)。默認(rèn)保護(hù)義務(wù)是設(shè)計(jì)保護(hù)模式的重要內(nèi)容。默認(rèn)保護(hù)即為源頭治理，它要求信息收集者采用技術(shù)手段確保在系統(tǒng)默認(rèn)的情況下，妥善處理和保護(hù)用的個人信息，并且滿足自己特定的目的。例如，市面上的絕大多數(shù)瀏覽器在默認(rèn)情況下都將Cookis設(shè)置為關(guān)閉狀態(tài)，從而保護(hù)用戶的上網(wǎng)數(shù)據(jù)不被收集。在人臉識別系統(tǒng)默認(rèn)情況下，系統(tǒng)可將面部信息的收集設(shè)置為關(guān)閉狀態(tài)，用戶可在需要時再主動要求啟用人臉識別模式。同時，信息控制者還可以引入“元數(shù)據(jù)標(biāo)簽”，通過默認(rèn)的方式將預(yù)期信息的處理軌跡綁定在信息儲存的全周期，有效地防止用戶的面部信息在不知情的情況下被收集。

(4)確立風(fēng)險評估。面部信息控制人收集、分析、加工信息的過程中不可避免地存在各種信息泄露的風(fēng)險。泄露的風(fēng)險可能來自于系統(tǒng)本身的缺陷，用戶自身的原因，數(shù)據(jù)控制人的非法收集和控制，也有可能來自第三人。不同的風(fēng)險來源需要不同的應(yīng)對手段。風(fēng)險的表現(xiàn)形式也是多種多樣，比如非法流轉(zhuǎn)、過度收集等。面對不同的表現(xiàn)形式，應(yīng)對策略和系統(tǒng)設(shè)計(jì)方式也應(yīng)當(dāng)有所不同。同時，合法收集行為也可能會對用戶帶來一定的負(fù)面影響。因此，執(zhí)行設(shè)計(jì)影響評估至關(guān)重要，我國《信息安全技術(shù)個人信息安全規(guī)范》中規(guī)定應(yīng)當(dāng)建立個人信息安全影響評估制度，并定期開展風(fēng)險評估。公安部的《互聯(lián)網(wǎng)個人信息保護(hù)指南》中也規(guī)定：個人信息處理系統(tǒng)應(yīng)提供安全審計(jì)功能，審計(jì)應(yīng)覆蓋到每個用戶，應(yīng)對重要的用戶行為和重要的安全事件進(jìn)行審計(jì)。因此，在系統(tǒng)設(shè)計(jì)時，設(shè)計(jì)者應(yīng)當(dāng)對于可能出現(xiàn)的負(fù)面影響進(jìn)行分析，采取相應(yīng)的應(yīng)對手段，并將上述的策略轉(zhuǎn)化為代碼輸入系統(tǒng)中，減少大部分的風(fēng)險。根據(jù)不同風(fēng)險，信息控制者可設(shè)置不同的處理模式，并及時更新系統(tǒng)內(nèi)部管理體系[19]。

四、結(jié) 語

經(jīng)濟(jì)社會的發(fā)展推動科技進(jìn)步。人臉識別技術(shù)作為新時代的產(chǎn)物，像是一把雙刃劍，為人們生活帶來巨大便利的同時，也對用戶的面部信息帶來隱患。傳統(tǒng)的公平信息實(shí)踐原則已經(jīng)無法滿足當(dāng)今社會對個人信息保護(hù)的需求。設(shè)計(jì)保護(hù)模式強(qiáng)調(diào)從源頭杜絕侵害個人信息的情況發(fā)生，可極大程度地減少侵權(quán)事件發(fā)生，具有可行性。目前我國對于人臉識別技術(shù)的專門性法律仍較為匱乏。個人信息保護(hù)的法律條文主要體現(xiàn)在行政法規(guī)之中。行政法規(guī)的法律位階較低，保護(hù)范圍有限，保護(hù)力度遠(yuǎn)遠(yuǎn)不夠。人臉識別技術(shù)仍屬于弱人工智能，當(dāng)強(qiáng)人工智能技術(shù)出現(xiàn)時，個人信息的保護(hù)將更加重要。