人臉識別技術應用的法律風險防范體系構建

摘 要：人臉識別技術的應用在給我們生活帶來便利的同時，其所生之諸多法律風險也日漸彰顯，如侵犯隱私權、導致個人信息泄漏和濫用等。該文提出應從立法和監管兩個層面對人臉識別之法律風險防范體系進行構建。在立法體系構建方面，宜采用專門立法模式，明確立法宗旨和八大原則，并創設個人信息權。在監管體系構建方面，建立風險評估和許可機制，并成立個人信息保護委員會，強化執法力度。

關鍵詞：人臉識別;隱私權;個人信息;法律風險;防范體系

一、問題的提出

人臉識別技術是一種基于人的面部特征信息進行身份識別的一種生物識別技術，也叫做人像識別、面部識別。[1]隨著人臉識別技術的不斷優化和完善，人臉識別的準確率和安全性得到了很大提升，打消了人們之前對其望而卻步的念頭，人們對它的接受度和信賴度也隨之得到了增強，使得該技術能夠被公眾所認可和接納，并在各個行業、各領域得到廣泛運用，較為常見的有刷臉支付、刷臉報到、刷臉解鎖、刷臉入住、刷臉登機等。然而，在人臉識別技術應用的同時，其所生之諸多法律風險也日益凸顯。

（一）侵犯隱私權之風險

人臉識別技術可以在用戶無意識的情況下對用戶的面部信息進行采集，由此獲取用戶的年齡、性別、國籍、膚色、種族、心情、行蹤軌跡等個人隱私信息，侵犯用戶的隱私權。更可怕的是，隨著人臉識別技術的不斷進步以及攝像頭覆蓋面積的不斷增加，我們的一舉一動包括行蹤軌跡都將在攝像頭之下暴露無遺，人類將逐步進入“弱隱私時代”。屆時，由此引發的隱私問題將進一步惡化。[2]

（二）侵犯肖像權、名譽權之風險

不法分子通過人臉檢測識別用戶發布在社交網站上的照片是否含有人臉圖像，如果檢測到照片中含有人臉圖像則將其保存，用于販賣，侵犯用戶肖像權。據了解，目前網上存在不少涉及人臉照片的交易信息，交易價格也是參差不齊，一些售賣人臉照片的賣家透露稱8元便可購買3萬張人臉照片。此外，一些不法分子通過一些換臉軟件，將他人的頭像進行交換，從而對他人形象進行丑化，損害他人名譽。更有甚者將一些明星的照片換在一些色情表演者身上，嚴重侵犯他人的名譽權。[3]

（三）引發種族歧視之風險

根據麻省理工學院一項研究表明，人臉識別技術在算法設計階段對給白種人和非白種人做了明顯的區別，對于白種人的識別率要高于非白種人。[4]再比如美國邁阿密的智能化治安監控系統重點關注低收入的黑人群體和西班牙移民。[5]可見，人臉識別技術的應用仍蘊含著種族歧視的風險。

（四）個人信息泄露、濫用、盜用之風險

人臉數據的保管者沒有盡到妥善保管義務，亦或數據保管系統被不法分子侵入均可能造成個人信息的泄露。人臉數據與密碼不同，密碼泄露可以及時更換，而人臉數據具有不可更改性，一旦泄露就是終身泄露。由此導致人臉數據主體、控制者、使用者喪失對該數據的控制，進而將人臉數據安全置于更大的不確定性中。[6]數據本無罪，使用者卻有善惡之分。人臉數據使用者如果并沒有嚴格按照約定的方式使用其所收集的人臉數據，亦或是未經他人允許私自使用他人泄漏的個人信息，均會造成個人信息的濫用。相對于個人信息濫用，其被盜用所帶來的風險則更加巨大。一旦我們的個人生物信息被不法分子獲取，不法分子便可以通過技術手段偽裝成“另一個我”，從而對我們實施欺詐、脅迫等不法行為，侵犯我們的人身和財產權益。

二、人臉識別法律規制現狀分析

縱觀世界各國，對人臉識別技術應用的法律風險防范主要有兩種方式：一種是通過對含人臉數據在內的個人數據保護來進行防范，如歐盟的《通用數據保護條例》（GDPR）;另一種是通過制定專門的人臉識別法律進行防范，如2020年美國加利福尼亞州的《面部識別法案》。

（一）美國模式

美國目前涉及人臉識別技術規制的法案尚有三部正在審議當中，即《商業性人臉識別隱私法案（2019）》、《面部識別技術授權法案（2019）》、《人臉識別道德使用法案（草案）》。分析三部法案可知，在商業領域，美國持較為開放的態度，在用戶明確積極同意下，鼓勵人臉識別技術的商業運用。然而，對于政府層面的運用，美國卻持相對謹慎的態度，原則上對州和地方政府對人臉識別的使用進行了較為嚴格的限制。例如，2019年5美國舊金山市立法機構通過了《停止秘密監控法令》、2020年3月華盛頓州頒布《面部識別法案》，均對州和地方政府對于人臉識別技術的使用做了嚴格限制。

（二）歐盟模式

歐盟對個人信息的保護比較保守，更注重個人數據隱私，其采取的是一種全方位國家立法模式。[7]具體來講，歐盟針對人臉識別技術應用的法律風險防范主要是通過GDPR中對個人生物識別數據的保護來實現的。GDPR 第 9 條規定，生物識別數據屬于“特殊種類的個人數據”，除一些特殊情況外，如為了公共利益、科學研究、統計的目的，原則上禁止處理。但是在商業領域中，在獲得用戶明確同意情況下，可以使用人臉識別技術對用戶的人臉數據進行收集和使用，但應對數據的收集和使用情況進行公示。

（三）中國現狀分析

目前，我國尚未制定關于人臉識別技術應用法律風險防范的專門法律，只是通過在《民法典》、《網絡安全法》、《消費者權益保護法》等法律中設置關于對個人信息保護或隱私保護的條款加以規制，既分散，又較為概括，現實可操作性不強，仍需進一步整合細化。

三、人臉識別的法律風險防范體系構建

筆者認為，要解決人臉識別技術所帶來的法律風險防范問題，除了通過增加科研投入來提高該技術的準確性和安全性，并通過行業標準及行業自律來規范該技術的使用外，關鍵仍在于構建完備的法律體系和監督體系。

（一）法律體系構建

1.立法模式的選擇

美國在商業領域并不排斥人臉識別技術的使用，其持較為開放和樂觀的態度，規定在滿足“知情+同意”的情況下，允許使用人臉識別技術。但是，美國很多州原則上禁止并限制政府機構使用人臉識別的做法并不可取。著眼歐盟從數據保護層面對人臉識別進行規制的方式，我國目前正在制定的《個人信息保護法》似乎較符合歐盟關于GDPR的立法模式，即從宏觀個人信息保護層面對人臉識別進行規制，但這種模式也存在著諸多的不足，它在細致性、征對性、可操作性上不如專門立法來的好。因此，考慮到針對個人信息的專門立法正在進行，目前尚無一部針對人臉識別技術進行規制的法律，且對于人臉識別技術的法律規制又顯得尤為迫切。因此，我國現階段可以借鑒美國模式，在制定《個人信息保護法》的同時，加快制定專門性的人臉識別規制法，這是較為適當的立法保護模式。[8]

2.明確立法宗旨和原則

人臉識別規制法應明確以規范人臉識別技術行業發展、促進社會進步和保護個人信息和隱私相結合的立法宗旨。人臉識別技術的使用應遵循合法、目的正當、程序正當、最小必要、信息安全保障、主體參與、公開透明、權責一致的原則。合法原則要求人臉識別的使用應遵守相關公民隱私和個人信息保護的法律法規，不得損害國家、集體和他人的合法權益，亦不可違背公序良俗。目的正當原則要求人臉識別技術的使用者在收集和使用公民人臉信息時，應具有正當目的，并有助于促進社會的進步與發展。程序正當原則要求通過人臉識別技術收集、使用公民的人臉數據時，應告知公民人臉信息采集的用途、方式、使用范圍、保存期限、可能存在的風險等信息，并征得公民明確且肯定的同意。最小必要原則要求人臉信息收集者或人臉識別技術使用者在權衡收集、使用人臉信息過程中蘊含的風險與企業可得利益后，在滿足特定用途的前提下，盡可能少的收集用戶的人臉信息，在信息使用完后及時予以刪除。信息安全保障原則要求對于收集的人臉信息，企業應該根據信息的敏感性、規模和使用環境，將原始人臉信息加密存儲。同時，要求個人信息控制者將可用于恢復識別個人的信息與去標識化后的信息分開存儲。[9]主體參與原則要求人臉信息收集者向個人信息主體提供能夠訪問、更正、刪除其個人信息的途徑。[10]公開透明原則要求數據的控制者和使用者及時向社會公布人臉信息收集的范圍、存儲的期限、使用的目的等相關信息，并接受公眾的監督。權責一致原則要求經用戶授權收集和使用人臉信息的個人或單位，對用戶的人臉信息負有安全保障義務，因其收集、使用、存儲不當造成用戶合法權益受損的應承擔相應的責任。

3.個人信息權的創設

目前，關于公民個人信息保護的現有法律尚未明確個人信息權，只是在一些部門法予以較為概括和寬泛的保護。個人信息權與隱私權有著本質的區別。[11]個人信息權更多的是一種對個人信息控制的主動性權利，包括對個人信息的復制、使用、轉讓、銷毀等一系列權利，是一種兼具人格性和財產性的權利，而隱私權則更多地體現為一種人格性權利，是一種對人格尊嚴和自由嚴格保護的防御性權利。故，有必要在法律上明確創設個人信息權，并確定該權利的人格和財產雙重屬性、地位和具體內容，為個人信息的保護提供強有力的法律保障。

（二）監管體系構建

目前政府在人臉識別技術的監管過程中并非順風順水，針對侵犯公民人臉信息的行政處罰因缺乏專門具體的法律依據，導致頻發的個人臉部信息泄露和濫用問題多以主管部門約談、整改收場。因此，有必要構建強有力的監管體系。

1.建立風險評估和許可機制

人臉識別技術風險評估具有較強的專業性，為了保障評估結果的公正客觀性，宜通過第三方機構對人臉識別技術相關軟件和應用予以風險評估，并將評估報告交給專門的個人信息保護機構，由其進行審核備案。只有風險評估結果為合格的人臉識別軟件或應用，個人信息保護機構應該許可其向市場投放使用。針對人臉識別應用或軟件的風險評估報告應及時通過網上平臺或政府信息公示渠道向社會公示，讓公眾能夠及時查詢，以便在使用相關人臉識別技術軟件和應用時對其可靠程度有一個較為準確的認識，避免公眾因市場上人臉識別軟件和應用良莠不齊導致的個人信息泄漏和侵權風險。

2.成立個人信息保護委員會，強化執法力度

目前，針對人臉識別技術使用所引發的個人信息泄漏和隱私侵犯問題，呈現出了執法分散和執法力度不夠的特點。筆者認為，針對此類侵犯個人信息和隱私的問題時不應一味地采取一些臨時性處罰措施，而應總體布局，協調聯動，充分調動市場監管總局、公安部、工信部、中央網信辦等有關部門力量，形成合力，并從各相關政府部門中抽調負責個人信息安全職能的工作人員，成立個人信息保護委員會，建立常態化監管機制，從而避免執法分散的弊端。個人信息委員會的職責包括對人臉識別技術風險評估報告進行審核備案，對人臉識別技術的開發商、應用平臺、相關軟件進行監管并進行定期檢查。此外，對人臉識別技術使用過程中存在的違法違規行為應依法查處，構成犯罪的，及時移送司法機關并追究其刑事責任。[12]

結語

科學技術的進步為我們開拓了一個新時代，引領我們去探索這個復雜繽紛的大千世界。在面對諸如人臉識別這樣的新興技術時，切不可“窺一斑而見全豹，因噎而廢食”，我們應該保持理性的態度，用包容、開放、全面、發展的眼光來看待它，簡單叫停并非良策，唯有正確使用、科學防控，并為其構建完善的法律和監管體系，方可便利生活、方便生產、促進人類進步。

參考文獻

[1]李梅;范東琦;任新成;廖忠志.物聯網科技導論[M]. 北京：北京郵電大學出版社，2015：44.

[2]方陵生.臉部識別系統：個人隱私終結者[J]. 世界科學，2015，（03）：38-39.

[3]侯學賓.AI換臉：法律風險不容小覷[J]. 浙江人大，2019，（11）：45.

[4]洪延青.人臉識別技術的法律規制研究初探[J]. 中國信息安全，2019，（08）：85-87.

[5]蔣潔.人臉識別技術應用的侵權風險與控制策略[J]. 圖書與情報，2019，（05）：58-64.

[6]張凱倫，王倩.你知道“刷臉”的風險嗎[J]. 方圓，2019，（09）：60-63.

[7]張平.大數據時代個人信息保護的立法選擇[J]. 北京大學學報（哲學社會科學版），2017，54（03）：143-151.

[8]付微明.個人生物識別信息的法律保護模式與中國選擇[J]. 華東政法大學學報，2019，22（06）：78-88.

[9]陳云峰.區塊鏈征信業務中如何保證數據使用合規[J]. 中國信用，2018，（08）：116-117.

[10] 蘇鳴立.ZAO隱私保護存“大坑”[J]. 計算機與網絡，2019，45（17）：8-10.

[11] 王利明.論個人信息權的法律保護——以個人信息權與隱私權的界分為中心[J]. 現代法學，2013，35（04）：62-72.

[12] 張曉彤.為“刷臉”技術劃定法律邊界[J]. 人民論壇，2020，（05）：72-73.

作者簡介：

余磊（1992-），男（漢族），四川西昌人。福建農林大學公共管理學院，2019級法律碩士在讀。