人臉識別信息的應用風險與法律保護

鄧建鵬　龐博　陳海洋

大數據時代，人工智能的飛速發(fā)展使得生物識別技術愈發(fā)成熟。利用生物識別技術對個人身份進行識別，一方面為社會帶來了效益的提升，便利了民眾的生產與生活，另一方面，個人生物識別技術與信息的廣泛且毫無限制的應用也為人們帶來了諸多困擾和風險隱患，而當前又以人臉識別信息的應用最為流行。

在目前的應用場景下，利用人臉識別信息進行“刷臉”打卡、“刷臉”支付屢見不鮮。同時由于人臉常常處于暴露的形態(tài)之下，技術上完全可以實現在當事人不知情的情況下進行收集，因此人臉識別信息的應用是人們目前最為困擾的問題。如杭州野生動物世界在未與顧客進行協商同意的情況下，通過短信告知顧客必須進行人臉識別信息的采集，否則將無法正常入園。作為顧客之一的郭兵認為人臉識別技術存在安全風險，且人臉信息屬于個人敏感信息，一旦泄漏將危及自身的人身和財產安全，因此不愿意錄入人臉信息并要求園方退卡，然而園方拒絕了郭兵的請求。被拒絕后郭兵一紙訴狀將園方告上了法庭。一起看似普通的合同糾紛，卻被網友稱為“人臉識別第一案”。這背后體現了公眾對于人臉識別技術廣泛應用的擔憂：如此多的“刷臉”真的有必要嗎？2019年深圳市深網視界有限公司由于數據保護出現紕漏，致使百萬條人臉識別信息、個人信息數據泄漏;各類APP過度收集使用人臉識別信息被工信部約談。人們開始意識到法律對于人臉識別技術應用的規(guī)范和限制還不夠，數據泄漏、侵害權利等方面的風險難以防范，司法救濟少之又少。

因此，如何針對人臉識別信息構建完善的法律保護體系，并對使用人臉識別信息的行為進行規(guī)范與限制，為世人關注，也是當前法學界的研究焦點。

一、個人生物識別生物信息的內涵

百度百科對生物識別（Biometrics）的定義是：通過計算機與光學、聲學、生物學相結合，利用生物傳感器等手段，識別人體的生理特征、行為特征，并進行特征點上的特征信息的提取與鑒定，通過數據對比得出該人身份的技術。而個人生物識別信息則是在這個生物識別技術應用過程中，涉及的個人生理特征信息、行為特征信息等。

對于個人生物識別信息的內涵，國外相關文件均進行了明確定義。如歐盟于2016年通過、2018年正式實施的《通用數據保護條例》第四條第十四款規(guī)定，生物識別信息是指與自然人的身體、生理或行為特征有關的，經特定技術處理產生的個人數據，通過這些數據能夠確認該自然人的唯一身份。

在我國，雖未對個人生物識別信息進行定義，但對其包含的事項以列舉的方式進行了界定。2017年我國發(fā)布的《信息安全技術個人信息安全規(guī)范》“附錄A”中對個人生物識別信息進行了界定，確定個人生物識別信息包括“個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部特征等”。值得明確的是此“等”應作“等外”理解，因為結合歐盟《通用數據保護條例》的實施經驗與現今的生物識別技術來看，不僅“附錄A”中明確提出的生理特征可以作為識別信息對個人的身份進行識別，列舉項外的行為特征也可以作為識別信息識別個人身份，如步態(tài)、筆跡等這些在目前的刑偵領域可作為識別信息進行匹配身份的行為特征信息，隨著科技的發(fā)展，將來完全可以作為生物識別信息進行身份的有效鑒定并廣泛應用。

綜上可以明確，個人生物識別信息是借助生物識別技術處理人類的生理和行為特性獲得的，可以匹配和鎖定個人身份信息的個人信息。

二、人臉識別信息的特殊性

在各種個人生物識別信息中，由于面部信息特征最為明顯、最容易為當前先進技術完整捕獲，故其在現實生活中的應用最為廣泛，近年更是逐漸大量被應用到銀行客戶身份識別、社區(qū)入口管理、道路安全管理中。

人臉識別信息存在如下特殊性：

其一是人臉識別信息獲取設備的普遍性。隨著科學技術的發(fā)展，目前對人臉識別信息獲取所需設備的經濟投入和硬件配置要求不高，同時對獲取信息的環(huán)境也沒有嚴格的要求，一臺手機或者一個攝像頭均可獲取人臉識別信息，而手機和攝像頭等作為普通的設備在市場可輕易購買到。因此人臉識別信息獲取的設備具有普遍性。

其二是人臉識別信息獲取過程的未知性。由于人臉識別技術的發(fā)展較為成熟，相較于其他生物識別信息，人臉識別信息在獲取過程中，可以實現未經當事人同意、配合即可完成收集。在獲取過程中，當事人的人面部完全暴露在外部環(huán)境中，信息收集者通過普通設備即可進行，當事人可能完全處于未知情、未同意和未授權的狀態(tài)。

其三是識別、匹配技術的高效性。在過去，對人臉識別信息收集后，需要人工識別數據，即將數據傳回終端進行人工的鑒定與核對，費時費力，并且效率很低，所需人工成本很大。技術的不成熟使得侵犯人臉識別信息的可能性非常小。隨著技術的發(fā)展，人工智能技術的出現與使用，使快速識別工作成為可能，顯著提高了生物信息識別的效率。同時，大數據技術的應用使得數據之間的關聯性更加緊密，數據的相關性被加強。某一信息被識別后即可通過大數據技術迅速完成相關信息的搜集，甚至在當事人并不知情的情況下，相關信息被應用于各種商業(yè)或其它場景，個人信息被泄漏、被侵犯的風險迅速增加。

其四是人臉識別信息的唯一性與永久性。人臉識別信息的本質是生物識別信息，具備生物識別信息的一般特性——唯一性與永久性。一方面，人的面部是先天的遺傳因素和后天環(huán)境的影響共同決定的，每個個體的遺傳因素與后天環(huán)境的差異導致了每個個體的個人生物識別信息的差異，使得人臉識別信息是唯一的。另一方面，一旦人臉識別信息發(fā)生泄露，由于其具有永久性，難以通過類似更改密碼、更換住址或更換手機號等簡易方式來避免遭受更為嚴重的侵害。若想改變面部特征，只能通過整容手術進行，但進行手術后大部分特征有極大的幾率仍可以被機器識別。

三、人臉識別信息的法律保護及局限

結合以上分析可以得出如下結論。一方面，由于人臉識別信息的獲取過程對設備和環(huán)境要求較低，且在獲取時當事人無需配合，致使其暴露風險更高，因此，必須對人臉識別信息嚴加保護，并依據法律規(guī)范對獲取信息的行為進行限制，以確保獲取和收集此類信息的合法性。另一方面，由于人臉識別信息的一般特性——唯一性與永久性，一旦泄漏將產生嚴重的危害后果，因此對于通過合法方式與渠道獲取、收集的信息，也應盡到嚴格的注意義務對已收集的信息加以保管與保護，嚴防泄漏與非法使用。最后，由于人工智能技術的發(fā)展，對人臉的識別速度越來越快，可以迅速對信息進行收集分析，快速識別個人的身份信息，同時結合大數據技術，被識別的人的各種信息可以迅速集合，形成“數字人物畫像”。技術的發(fā)展使得個人的隱私和權利越來越容易受到侵犯，因此法律也應對技術的使用、結合進行更為嚴格的保護。

人臉識別信息的特殊性，要求法律對其嚴加保護。但是，我國目前尚未出臺相關的專門的立法或文件，因而只能通過多項法律的綜合運用，盡可能地進行較為妥善的保護。

針對個人信息的收集、儲存、保管、使用的行為，根據《中華人民共和國網絡安全法》、《中華人民共和國電子商務法》等法律與法規(guī)，由公權力機構對收集、儲存、保管、使用個人信息的行為進行監(jiān)管，并對不符合法律與規(guī)范的行為進行責任追究。但需要明確的是，相關法律與法規(guī)并未針對個人生物識別信息進行相應規(guī)制，而只是將個人生物識別信息列入個人信息范圍內。這種保護方式難以針對個人生物識別信息的特性形成妥善的保護，尤其是對人臉識別信息這種暴露程度高、唯一且永久的個人生物識別信息難以實現實質上的保護。

針對個人信息的犯罪行為，《刑法》第二百五十三條之一對侵犯公民個人信息的行為制定了相應的法定刑，但該條僅是針對非法出售、提供個人信息的行為、和以竊取等非法方式獲得個人信息的行為進行刑罰處罰，而且即使情節(jié)特別嚴重，最高也只能處七年有期徒刑。這意味著合法獲得、非法使用的行為難以入罪。同時該罪侵犯的客體往往是大量的個人信息，法定刑與該行為給公民造成的侵害難以成比。因此《刑法》也是有局限且片面的，不能對人臉識別信息或個人生物識別信息進行完備的保護。

2020年，新頒布的《民法典》對于人臉識別信息提供了部分的保護途徑。首先，人臉識別信息在一定條件下可以承載于一定載體之上且可被識別，因此人臉識別信息在該條件下可被視作肖像，受到肖像權的保護。《民法典》在人格權編肖像權章節(jié)明確了人臉識別信息使用時的知情同意原則，制作、使用、公開肖像權人的肖像需獲得同意，但某些情況下合理實施的行為可不經肖像權人同意，如：國家機關依法履行職責、維護公共利益或肖像權人合法權益等，肖像權章節(jié)不僅對面部信息的使用進行了特別的限制，也為個人、組織、公權力機構的使用提供了例外情形。其次，《民法典》明確將生物識別信息納入個人信息范圍，受與個人信息相關的法律保護，而人臉識別信息顯然屬于生物識別信息的范疇。《民法典》在人格權編隱私權和個人信息保護章節(jié)對個人信息的收集、處理、更正、刪除、保護作出了較為詳細的規(guī)定。明確了收集、處理個人信息的合法、正當、必要原則，不得過度收集、處理。同時再次強調了知情同意原則，在收集、處理時需征得同意，同時需要公開收集、處理規(guī)則，明示收集、處理目的、方式、范圍。此外，還賦予了自然人依法向信息控制者查閱其個人信息的權利與信息存有錯誤時的更正請求權，明確了自然人的監(jiān)督權與刪除請求權，自然人發(fā)現信息控制者違反法律、法規(guī)或雙方約定，有權請求刪除。對于信息的保護則要求信息收集者、控制者不得泄漏、篡改、非法提供個人信息，并應采取措施防止泄漏、篡改、丟失。隱私權和個人信息保護章節(jié)使生物識別信息的收集、處理、保護等有法可依。

雖然人臉識別信息的法律保護在《民法典》中有所涉及，然而還是未得到應有的重視。《民法典》仍將其視為一般的個人信息，沒有基于其特殊性以及更易暴露致使第三方獲取的任意性更強而給予更為嚴格的保護。

雖然相關法律的保護具有局限性，但值得欣慰的是新修訂的行業(yè)規(guī)范——《信息安全技術個人信息安全規(guī)范》（GB/T 35273-2020）（下稱2020版）對生物識別信息的保護加以重視。2017版《信息安全技術個人信息安全規(guī)范》將“個人生物識別信息”這一詞匯納入個人信息的范圍，只在“附錄A”中簡單列舉個人生物識別信息包含的內容，并將個人生物識別信息作為個人敏感信息進行相應規(guī)制。而2020版將目光轉移到個人生物識別信息的特性，進行了如下規(guī)定：在收集環(huán)節(jié)，2017版無任何規(guī)定，但2020版明確規(guī)定信息收集者的告知義務及需要告知的內容，且必須征得個人信息主體的明示同意才能進行;在儲存環(huán)節(jié)，2017版僅提出應當采取技術措施處理后進行儲存，然而2020版則要求原則上禁止儲存?zhèn)€人生物識別信息，且需與個人身份信息分開儲存;對于個人生物識別信息的共享轉讓，2017版無任何規(guī)定，2020版則明確原則上不應共享、轉讓，但確因業(yè)務需要時應單獨向個人信息主體履行告知義務，并在征得明示同意后才可進行;信息披露方面，基本與2017版相同，不允許公開披露，但2020版新增內容表明，若個人生物識別信息包含種族、民族等涉及的其他敏感信息，該分析結果也不允許進行公開。通過兩版的相關內容比較可見新修訂的2020版規(guī)定內容更為全面。

綜上，我國目前相關的法律與法規(guī)難以基于人臉識別信息的特性，從實質上對其進行更為妥善的保護，相應的處罰力度也不夠強。但是相關的立法者已經逐步意識到人臉識別信息、個人生物識別信息的特殊性，并開始逐步通過立法進行相應的規(guī)制與保護。

四、未來立法對策的思考

正如前文所說，人臉識別信息一旦泄漏，將難以通過更改來預防后續(xù)損害的發(fā)生，因此，有必要對人臉識別信息的收集、處理和其他過程施加更為嚴格的限制，并要求其以更高的標準對其加以保護。未來的立法中，應對此有相關的回應。從立法者的態(tài)度來看，我國更傾向于通過統一的立法來規(guī)范相關問題，這也體現在將“個人信息保護法”列入十三屆全國人大常委會立法規(guī)劃中。

一是通過專門立法進行妥善保護。目前，外國立法一般都會將人臉信息納入個人生物識別信息大類中進行規(guī)定與保護，并在個人信息保護立法中予以體現，我國也可借鑒這種立法模式。同時，人臉識別技術的廣泛應用與人臉識別信息被侵害的案件越來越多，公民愈發(fā)關注人臉識別信息的法律保護問題，期望能夠得到更為完善的保護。基于此立法者應對此類信息的保護進行更為審慎的考慮，建議盡可能單獨設立章節(jié)，從人臉識別信息的特殊性出發(fā)，著手于獲取權限、獲取方式、收集行為、信息存儲、信息利用、信息識別等方面，對其進行嚴格限定，并對結合人工智能算法、大數據技術進行信息處理的行為進行嚴格的范圍限制，要求更高標準、更嚴措施進行信息的保護。

二是構建“全方位”的法律保護體系。除了專門立法進行規(guī)制，也應構建人臉識別信息的聯合法律保護體系，即在行政法、民法、刑法中完善相關內容。比如，在行政法方面，明確不同行政機構或具有相應行政權利的機構或組織對信息收集者收集和處理人臉識別信息行為的許可權、審查權、處罰權、監(jiān)督檢查權和行政強制執(zhí)行權。在民法方面，應當在厘請人臉識別信息的權利屬性的同時，完善舉證責任機制和責任承擔機制等，使在存在糾紛的情況下，能夠通過民事訴訟機制來有效的解決糾紛，救濟權利。在刑法方面，除我國目前的侵犯公民個人信息罪外并無相關規(guī)定，為此制定其它相關的罪名，如非法使用公民個人信息罪、應提高《刑法》二百五十三條之一的法定刑，并將非法出售及提供、非法獲取人臉識別信息認定為《刑法》二百五十三條之一情節(jié)特別嚴重的情況，進行從重處罰。

三是兼顧合理的利用。在對人臉識別信息與生物識別技術的結合應用進行法律限制的同時，我們也要注意到其在公共安全領域和商業(yè)領域應用的很高的價值。因此對于這類信息的收集與處理不能一味的限制與保護，而是應兼顧合理使用，發(fā)揮其應有的價值，提升社會總效益。

五、結語

隨著科學技術的發(fā)展與社會的進步，我們不可避免地要利用人臉識別信息。但在收集與使用前，行政機關、監(jiān)管機構和執(zhí)法機構應對于利用人臉識別信息的組織或個人進行合法性、正當性、必要性的審查，嚴格限制其收集權限，并對處理信息的行為劃定范圍與界限，對信息保護的方式做出嚴格要求。同時收集、利用人臉識別信息的組織或個人應嚴格履行告知義務，征得信息主體的明示同意。最后，未來立法應通過專門立法與聯合法律保護體系的構建對此類信息進行保護，在保護的同時切記不可忘記兼顧保護與合理使用。

（鄧建鵬，中央財經大學法學院教授;龐博，中央財經大學法學院碩士研究生;陳海洋，江西崇義縣人民法院法官/責編 劉玉霞）