西南石油大學 陳丹

2021年4月9日，浙江省杭州市中級人民法院對在社會上引起廣泛討論的個人信息侵權案—“人臉識別第一案”，依法做出了二審判決。判決內容包括：維持一審判決的第1項、第2項。野生動物世界賠償郭兵1038元，其中包括合同利益損失、交通費等；此外，動物園刪除郭兵辦理指紋年卡時提交的包括照片在內的面部特征信息，以及指紋識別信息；駁回郭兵其他訴訟請求。雖然該案件涉及的金額小，但是在社會上引起了大眾對于人臉識別信息的關注和對人臉識別技術運用法律規(guī)制的思考。

人臉識別技術的快速發(fā)展，使其在社會生活中已具有普遍性。其應用于商業(yè)、門禁、司法等各個領域。人臉識別技術給我們的生活帶來了一定的方便，但是隨著人臉識別技術的迅速普及，其應用風險也日益凸顯。人臉識別信息的隨意、廣泛采集以及泄露等現象會對個人的人身、財產、隱私等造成一定的風險，而我國目前并無僅針對人臉識別技術的法律規(guī)定，因而該如何對人臉識別技術應用進行法律規(guī)制的研究就顯得尤為急切與重要。

一、人臉識別技術規(guī)制的必要性

（一）人臉識別信息的唯一性

歐盟正式頒布、實施的《通用數據保護條例》中對個人生物識別信息的定義：“生物識別數據是通過自然人的物理、生物或行為特征進行特定的技術處理而得到的個人數據。這類數據生成了那個自然人的唯一標識，如人臉圖像或指紋數據①?！比四樧R別信息與公民的姓名、賬號密碼等個人信息不同，其具有唯一性、不可更改性。若公民的賬號密碼等泄露或者丟失，那么可通過更換救濟保護，而公民的人臉識別信息一旦泄露則很難進行更改。

（二）人臉識別信息的特殊性

人臉識別信息是目前應用最廣泛的生物識別技術之一，其特征之一就是可以在自然人毫無察覺的情況下進行人臉識別信息的捕捉，比如監(jiān)控攝像頭、手機攝像頭等。要想獲得自然人的傳統(tǒng)個人信息是需要通過自然人的同意以及接觸性操作才能取得，而對自然人人臉識別信息的獲取則是非接觸性的，直接通過設備捕捉即能取得該信息，因此自然人人臉識別信息被非法獲取的危險性更強，這就是人臉識別信息的特殊性。

（三）人臉識別信息使用的風險性

人臉識別信息在采集后，由于其需要及時建立信息庫進行存儲，而該信息庫的數據是存在被盜竊、泄露的風險的。人臉識別數據作為一種唯一的、不可更改的自然人生物信息，若泄露則是永久性泄露，會對該自然人造成不可逆轉的損害。人臉識別信息的使用會涉及對數據的傳送、識別、保存等流程，隨著人臉識別技術的廣泛運用，數據市場不斷擴大，信息泄露的風險也會隨之增加。

二、我國人臉識別技術應用的法律問題

（一）缺乏專門性法律規(guī)定

當前我國對公民個人信息保護的專門性法律還處于草案階段，并未通過實施，因此對屬于公民個人生物信息的人臉識別數據的保護只能適用《民法典》關于個人信息保護的規(guī)定以及其他法律法規(guī)中的相關條款進行適用。雖然有關個人信息的規(guī)定在《個人信息保護草案》中有所體現，即個人信息為通過電子記錄或其他方式記錄的，與已經識別或可識別的自然人相關的各類信息，人臉識別數據也屬于該草案規(guī)制的對象，但是公民個人信息不僅包括可識別的自然人生物信息，同樣也包括傳統(tǒng)的個人信息，因此該草案對公民人臉識別信息的法律保護以及應用的規(guī)制的寬泛，不具有專門性以及針對性。由于人臉識別信息具有與傳統(tǒng)個人信息不同的特點，因此在面對人臉識別技術運用中的一些特殊情況，該草案及《民法典》可能會存在無法適用的情況。

（二）缺乏有效的監(jiān)管措施

隨著人臉識別技術的廣泛應用，人臉識別數據的廣泛采集，人臉識別技術產業(yè)隨之發(fā)展壯大，人臉識別數據泄露的可能性增加。目前我國對于人臉識別技術的監(jiān)管采用的是“行政約談”的方式，即當企業(yè)或者單位在運用人臉識別技術時存在數據泄露的風險或者隱私協(xié)議存在不規(guī)范等情形時，我國工信部網絡安全管理局就會立即約談該企業(yè)，并且要求該企業(yè)在企業(yè)內部進行有效自查、整改。目前我國對人臉識別技術的應用風險的規(guī)避更多依靠的是該技術應用企業(yè)自身的自覺性和責任感。公權力機關對于該技術的監(jiān)管力度不足，規(guī)制程度不夠。

（三）缺乏相應的救濟措施

《中華人民共和國民事訴訟法》第六十四條明確規(guī)定，當事人在提起民事訴訟時對自己所提出的主張，當事人有責任提供證據。由于人臉識別技術是新興廣泛運用的技術，因此目前并未出臺專門的法律。由于人臉識別廣泛應用于大眾的生活中，隨之也出現了更多的關于人臉識別技術的侵權問題，當企業(yè)在運用人臉識別技術時導致使用者信息泄露或者不合理使用，若被侵權人想提起訴訟以保障自己的權益，就需要遵守民事訴訟法的規(guī)定，由被侵權人提供證據證明企業(yè)泄露或者不合理使用自己的數據信息，而被侵權人往往會因為其采集能力受限以及信息不對稱等原因無法提供證據，因此會導致其權益遭受侵害卻難以救濟甚至無法救濟的情況發(fā)生。

三、人臉識別技術應用法律規(guī)制路徑

（一）加快專門立法

我國目前對人臉識別技術規(guī)制所采取的“軟法先行”的規(guī)制方式在一定程度上是符合我國國情的。但是隨著人臉識別技術的不斷發(fā)展，軟法對于規(guī)制該技術應用時就存在不足之處了，由于我國關于規(guī)制該技術的條文比較分散，在適用條文時需要在各種法律法規(guī)中查詢進行匯總，因此會增加適用的時間成本和人工成本，且由于法條分散在適用時也可能會出現未合理適用的情況。此外隨著人臉識別技術的不斷發(fā)展進步，其需要規(guī)制的內容以及要求也應當有相應的變化且需要有具體性。因此，應當加快立法腳步，制定關于規(guī)制人臉識別技術的專門性法律。美國第一部關于規(guī)制生物標識的法案—《生物識別信息隱私法案》(Biometric Information Privacy Act)，于2008年在美國伊利諾伊州通過②。在立法方面，我國可以對美國立法方面的經驗進行借鑒，制定專門的生物識別信息規(guī)制法律。

（二）加強監(jiān)管設置

政府機構由于公權的高權性色彩濃厚，“命令-控制型的行政規(guī)制”特征明顯③。強有力的監(jiān)管能夠更好地規(guī)制信息采集主體的行為，但是目前我國對于人臉識別數據的監(jiān)管僅限于有限的行政監(jiān)管以及單位自身監(jiān)管的方式，對于單位泄露風險等也僅限于行政約談。由于數據產業(yè)的崛起，數據信息被大量采集和使用，因此，對于數據信息采集與使用的監(jiān)管也應當加強。數據信息泄露會對自然人造成不可逆的損害，因此對于人臉識別信息的監(jiān)管應當在法律中明確以政府監(jiān)管為主與企業(yè)自查相結合的方式成立專門的政府監(jiān)管部門，并且對于泄露數據信息的企業(yè)應當作出實質性的行政處罰，比如行政罰款等經濟型懲罰等。

對人臉識別技術應用的監(jiān)管的力度以及監(jiān)管方式可以按監(jiān)管對象的類型不同而有所區(qū)分。目前美國對于人臉識別的規(guī)制與監(jiān)管主要分為兩類，一是對政府部門使用人臉識別技術的監(jiān)管；二是對非政府部門使用人臉識別技術的規(guī)制④。我國不僅非公權力機關使用人臉識別技術，公權力機關也在使用人臉識別技術。但由于公權力機關與非公權力機關使用人臉識別技術的目的、范圍以及方式不同，因此，為了能夠更有效、有針對性地規(guī)制人臉識別技術的應用，對于人臉識別技術的監(jiān)管可以進行分類監(jiān)管。比如事前、事中監(jiān)管的方式應當主要應用于政府部門在采用人臉識別技術的情形之中；而對于非政府部門，應當主要采取事中、事后監(jiān)督的方式。

（三）明確救濟措施

“誰主張誰舉證的原則”是目前我國民事訴訟法所明確的侵權之訴中的一般性原則，人臉識別數據泄露侵權在進行侵權之訴時是適用該權責的，但是在人臉識別信息這類侵權中，由于被侵權者在舉證過程中處于弱勢地位，因此，為了更好地堅持公平原則，法律應當在這類型訴訟中做出特殊規(guī)定，信息采集單位承擔過錯推定責任，由其舉證自己對于泄露數據信息沒有過錯。此外，隨著人臉識別技術侵權情況的增加，可適當明確不同侵權事件中的救濟程序以及賠償金額等。對于人臉識別技術應用的風險產生的侵權行為，涉及個人人格或財產等權利的相關損失，均應獲得合理、合法賠償。與此同時，一些嚴重侵犯個人隱私權的現象應對其采取嚴厲的刑事制裁。

注釋

①李愛君,蘇桂梅主編.國際數據保護要覽[M].北京:法律出版社,2018:344.

②袁俊.論人臉識別技術的應用風險及法律規(guī)制路徑[J].信息安全研究,2020,6(12):64-72.

③宋華琳.論政府規(guī)制中的合作治理[J].政治與法律,2016(8):14-23.

④邢會強.人臉識別的法律規(guī)制[J].比較法研究,2020(5):51-63.