人臉識別技術頻發爭議，個人信息保護法呼之欲出

曹檸

今年3月，清華大學法學院教授勞東燕發現，她居住的小區貼出安裝人臉識別門禁系統的公告，要求業主提供房產證、身份證、人臉識別等信息。物業對于個人信息的粗暴收集方式和業主防范意識的淡薄引起了她的不安，令她最擔心的是數據的保存，“物業有何動力維護和保護這個數據系統？數據由誰保管？怎么保護？”

借助專業背景做了一系列研究后，她把搜集到的有關人臉識別風險的報道和法律依據，發到兩個各有數百名業主的微信群里，一方面是提醒大家，另一方面也是希望得到物業回應。

個體的警覺

人臉識別是近年AI浪潮中的標志性技術，被廣泛應用于安防、金融等領域。MarketsandMarkets咨詢公司研究預計，到2024年，全球面部識別市場規模達70億美元。從2015年到2019年，人臉識別、視頻監控的專利申請數量從1000件飆升到3000件，其中四分之三在中國。

中商產業研究院的《2019年中國人臉識別行業市場前景研究報告》顯示，據測算，2018年中國人臉識別行業市場規模突破100億元大關，隨著人臉識別技術在各行業應用滲透的不斷深入，預計2019年人臉識別市場規模在120億元左右。

在支付寶、微信等支付應用和各大手機廠商推廣下，人臉識別正在逐步替代傳統的密碼安全系統，在公司、商場、機場、學校等場景下，人臉識別技術可以提升管理效率，提升交互體驗。但人臉作為生物識別信息具備唯一性，一旦發生信息泄露風險不可預估。

支付寶在最新的隱私權政策中顯示，僅在若干情形下向第三方共享或轉讓數據：某些服務可能由第三方提供或由支付寶與第三方共同提供，由此只有共享信息才能提供服務；事先獲得用戶明確同意等。在另一份用戶規則中，支付寶還寫道，為了提高驗證準確性，“用戶同意我們在必要時將您向我們提供的人臉圖像，與法律法規允許或政府機關授權的機構所保存的您的人臉圖像進行比對核驗”。

盡管每家公司都會堅稱會將保護用戶的數據隱私安全放在首位，但現實卻是我們的數據并沒有那么安全。2018年7月，浙江紹興一名叫張富的大專畢業生，利用非法購買的公民個人身份信息，將相關公民的照片制成3D頭像，通過支付寶人臉識別認證。在他被查獲的電腦里，警方發現了2000萬條公民個人信息。2019年，18歲、初中文化的田某，通過抓取、攔截、保存銀行系統下發的人臉識別身份信息數據包，在一個手機銀行APP內使用虛假身份信息成功注冊了賬戶。

人臉識別技術的廣泛應用正在引發越來越多個體的警覺。

2019年5月，英國首宗人臉識別訴訟開庭，英國人布里奇斯將南威爾士警察局告上了法院，認為后者在公共區域掃描分析他的臉部數據，未經其知情同意，侵犯隱私。但法院認為警方從閉路監控中抽取人像信息，跟嫌疑人面部信息進行對比，如果匹配未成功，數據立馬刪除，如果匹配成功了保留24小時，這都在合法范圍內。

同年6月15日，浙江杭州富陽區法院，被稱為“中國人臉識別第一案”開庭審理。對簿公堂的是浙江理工大學副教授郭兵和杭州野生動物世界，因動物園在去年改裝系統，不注冊人臉識別將無法入園，也無法辦理退卡退費，年卡用戶郭兵將園方告上法庭。

郭兵和勞東燕一樣，只是作為普通市民出現在事件中，因為專業背景的緣故，他們面對強制使用的人臉識別技術多問了幾個問題，這撬動了輿論的反思意識。郭兵曾在接受采訪時說，除了感到權益受到侵害，作為一個教授法律的大學老師，他更希望推動一個具有公益性質的訴訟：在個人信息失控的當下，促成相關制度的完善。

人臉識別技術的廣泛應用正在引發越來越多個體的警覺。

北京航空航天大學法學院副教授余盛峰甚至認為，“當代隱私的最大敵人已不是某項技術，而是數字社會本身對于數據的無限欲望，以及‘連接一切意識形態所帶來的自由幻覺”。因為狹義的人臉識別只是固態機器的認證，而廣義的人臉識別，則涉及整個生存空間的數字化和監控化。

一項《人臉識別應用公眾調研報告（2020）》顯示，64.39%的受訪者認為人臉識別技術有濫用趨勢，超過三成的受訪者表示已經因人臉信息泄露、濫用等遭受損失或隱私被侵犯。

勞東燕、郭兵這些個體的“掙扎”也提醒著人臉識別的利益相關群體，合法合規的問題不解決，大規模商用就存在著巨大隱患。

誰能收集我的臉，爭議不斷

爭議還出現在人臉識別的使用范圍如何界定。

去年8月，中國藥科大學在一些教室安裝了人臉識別設備，除具有考勤功能外，這種設備據稱還可以追蹤、識別學生聽講、發呆、睡覺等上課狀態。相較于常見的用于門禁“刷臉”的身份識別能力，識別人的狀態對技術提出了更高的要求。

消息一經公布，起初的論調是學校應用了先進的AI技術，但過了不久，輿論開始對教室里無時無刻的監控感到擔憂。教育部科技司司長雷朝滋9月初公開回應稱：“包含學生的個人信息都要非常謹慎，能不采集就不采，能少采集就少采集，尤其涉及個人生物信息的。”

類似的案例在歐洲就曾遇到重罰。瑞典一所高中因使用了人臉識別系統記錄學生的出勤率，經過調查后被認定學校對學生個人信息處理不符合GDPR（《通用數據保護條例》）的規定，收到了第一張基于GDPR的罰單，金額為20萬瑞典克朗（約合人民幣14.5萬元）。

2018年，被稱為“史上最嚴”的數據保護法規—GDPR在歐洲生效。按照規定，任何機構，無論是政府還是企業，要觸動任何人的隱私權時，必須得到個人的允許。而違規收集個人信息（其中包含指紋、人臉識別等）、沒有保障數據安全的互聯網公司，最高可罰款2000萬歐元或全球營業額的4%。

2019年5月，美國舊金山議會通過了《禁止秘密監控條例》，明文禁止舊金山執法部門使用人臉識別技術。這是史上第一次政府被法律明文禁止使用人臉識別類的監控技術。

在美國，對人臉識別的抗議還在于“算法歧視”，由于數據量不足，識別算法更容易在深色皮膚、兒童等人群中出錯，這些技術上難以排除小概率問題，使大型科技公司屢遭指責。美國大型非營利組織公民自由聯盟（ACLU）的律師卡格爾稱，國會和立法機關必須迅速停止在執法中使用人臉識別，企業也應該停止推動人臉識別警用的合法化。他援引了一項政府研究稱，非洲裔和亞裔人群被算法錯誤識別的概率，要比白人高出100倍，“任一差池就可能引發不當逮捕、長時間的審問，乃至致命事件”。

“技術可以提高透明度、幫助警察保護社區，但絕不能放大歧視與種族不平等。”今年6月8日，IBM CEO 克里希納（Arvind Krishna）向美國國會議員發出公開信，宣布不再提供通用人臉識別軟件，提議制定負責任的技術政策；隨后，另有兩家互聯網巨頭亞馬遜和微軟也宣布放緩步調，亞馬遜暫停向警方提供人臉識別技術一年時間；微軟則停止向警方銷售人臉識別軟件，直到有相關國家法律出臺。

就在10月26日，《杭州市物業管理條例（修訂草案）》被提請至杭州市第十三屆人大常委會審議。這是國內首部對小區人臉識別作出規范的正式立法，草案規定，物業服務人不得強制業主通過指紋、人臉識別等生物信息方式使用共用設施設備。

立法聽證會后，“修訂草案”第四十四條企業義務條款中新增了一款規定，即“不得強制業主通過指紋、人臉識別等生物信息方式使用共用設施設備，保障業主對共用設施設備的正常使用權”。

市場擴張與隱私保護的賽場

相比于歐美社會的審慎，國內則更像是“野蠻生長”，技術應用廣泛和風險意識淡薄并存。賽道的兩旁，一方是日益發展的技術條件和規模誘人的市場需求，另一方則是模糊疏松的監管和逐漸加重的憂慮。

2018年3月26日，百度董事長兼首席執行官李彥宏在中國發展高層論壇上表達了“中國人愿用隱私交換便利”的觀點，隱私保護絕對是互聯網行業的政治正確，此言雖然刺耳，卻是句大實話。

因為李彥宏還有后半句話，“如果這個數據能讓用戶受益，他們又愿意給我們用，我們就會去使用它。這就是我們能做什么和不能做什么的基本標準”。

草案規定，物業服務人不得強制業主通過指紋、人臉識別等生物信息方式使用共用設施設備。

這類觀點的邏輯是出讓一部分隱私權換取經濟價值是無可厚非的，關鍵是甄別這一決策過程是不是自愿做出的，以及經濟價值是否真實地反饋到用戶身上。

經濟學家、長江商學院教授許成鋼認為，隱私權并不能完全覆蓋個人信息的范疇，個人信息權不只是人權，而且是產權，具有經濟價值。多數情況下，用戶愿意出讓一部分隱私權來獲得更多便利和利益。

“在市場交換界定清楚產權的時候，每個人可以自主決定，在多大程度上愿意放棄某一部分的隱私來獲得什么樣的收益，這個收益可以是有價值地歸個人所有，也可以自愿為社會作貢獻。”許成鋼說。

不得不承認，中國人臉識別技術和產業的發展，得益于互聯網上大量的數據，比如網民很樂于在各種AI換臉應用上分享自己的照片。而這些應用往往操作門檻很低，用戶在通過人臉識別完成肖像權驗證之后，就可以通過拍攝或上傳人臉照片來合成視頻。用戶在體驗新技術帶來的樂趣的同時，多少都忽略了收集人臉等個人生物識別信息未獲用戶明示同意、個人信息處理規則不清晰、數據泄露或濫用等潛在風險。

而李開復的發言則是“細思恐極”的表達不清。今年9月12日，創新工場董事長李開復在HICOOL全球創業者峰會上，介紹自己如何幫助投資項目曠視時稱，“我們早期幫助他們（曠視）尋找了合作伙伴，包括美圖、螞蟻金服，讓他們拿到了大量的人臉數據”。

用戶的人臉數據正在被共享使用？李開復這一句話捅了馬蜂窩，引得被提及的公司不得不當晚就出面否認。螞蟻和美圖聲明，從未提供任何人臉數據給曠視科技，雙方過往合作僅限曠視科技授權其圖像識別算法能力給螞蟻單獨部署和使用，不涉及任何數據的共享和傳輸。曠視也聲明，不掌握也不會主動收集終端用戶的任何個人信息。

國內科技行業對此不感冒的也大有人在。現實的一大困境是沒有應用就沒有數據，AI就無法迭代進化。多位科技界的人士都曾公開表示，并不看好歐美規則先行的辦法，認為這只是緩兵之計，不適用于AI時代。對于中國快速增長的市場規模來說，這很好理解，如果不先推應用，整個國家的AI技術發展很可能會落后一大截。如果完全追隨美國和歐洲對數據和隱私的保護，對人臉識別發展會產生很大的阻礙。

李開復就曾在德國講演時說，“如果隱私保護走向極端，商業變現、價值創造也會停下來。”他不認為隱私保護完全是一個非白即黑的問題。人工智能是一項中心化技術，受益于收集起來的數據。如果強制數據分散在各處，價值就會降低。

他表示，很多歐洲的政策制定者相信放慢速度是聰明的做法。但他建議，在制定下一版本GDPR的時候，能讓技術專家參與其中，確保決策者明白每一項監管可能帶來的結果。他相信，中國和美國會占據全球多數的AI市場。

中國人民大學法學院副教授丁曉東也比較反對過度渲染人臉識別的風險，他表示“不能因為風險事件就對這一技術采取禁止的態度，而是要在具體的場景中進行風險的防范”。

被寄予厚望的個人信息保護法

10月13日至17日召開的十三屆全國人大常委會第二十二次會議，初次審議了備受關注的《個人信息保護法（草案）》。針對個人信息的收集、處理，草案確立了以“告知—同意”為核心的個人信息處理系列規則。草案規定，處理個人信息的同意，應當由個人在充分知情的前提下，自愿、明確作出意思表示，個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應當重新取得個人同意。此外，基于個人同意而進行的個人信息處理活動，個人有權撤回其同意。

我國之前采取分散立法的模式進行個人信息保護，個人信息保護的相關規定分布在全國人大常委會出臺的《關于加強網絡信息保護的決定》，刑法修正案（九）整合規定的侵犯公民個人信息罪，以及《網絡安全法》和《民法典》等各種法律法規中。

但尷尬的現實是，以《民法典》為代表的私法救濟路徑，目前不足以拯救海量的個人信息泄露。而以《刑法》為代表的公法打擊路徑，目前也抓不完非法使用、泄露信息的犯罪活動。而根據相關司法解釋，非法出售、提供、獲取特定（敏感）個人信息50條即可構成犯罪。在每日產生海量個人數據的今天，不能一網打盡某種程度就意味著法不責眾。況且，在規則尚不明確的灰色地帶頻發觸動刑法不僅代價高昂，同時也會帶來罪刑不均衡的問題。

通過經濟手段，政府執法機構與企業形成“巨額罰款—監督整改—形成規則”的公平信息實踐，這樣不僅可以有效保護個人信息，也不至于抑制產業發展。

北京和昶律師事務所律師王亮亮認為這是“法律組合拳”出錯了力。個體無力維權，群體也面臨著集體訴訟的諸多難題，成本收益嚴重不平衡的情況下，指望公民通過民事訴訟維權的方法無法形成有效制約。

目前看來最有效的監管手段是行政處罰。通過經濟手段，政府執法機構與企業形成“巨額罰款—監督整改—形成規則”的公平信息實踐，這樣不僅可以有效保護個人信息，也不至于抑制產業發展。但相比于歐美各國政府對互聯網巨頭的密切監控和時常開出的天價罰單，我國對個人信息違法行為的行政處罰的力度還很弱，罰款幾乎低于違法收益。以《網絡安全法》六十四條為例，侵犯公民個人信息，有違法所得的沒收，處違法所得一倍以上十倍以下罰款；沒有違法所得的，處一百萬元以下罰款。

“行政執法位于柔和的民法救濟與劇烈的刑法打擊之間，具有輾轉騰挪的余地，執法方式多樣，包括約談、通報批評、限期改正，罰款等措施都能在不同層次上發揮效果。”王亮亮表示。

值得注意的是，討論的另一現實語境是疫情，于是需要受到監管的不只是企業，還有公共部門。

雖然大量敏感性數據管理機構自身有嚴格管理，如地方政府如果想要調取公民的手機定位記錄，要么公民自身進行單次授權，要么需中央、地方多層級多單位的依次審批。要調取銀行交易數據，只有司法機關有權限。

但在疫情管控的強需求下，大到公安、交通、電信運營商，小到社區、商場、超市，物業人手不夠，又要對付查證、測溫和登記等多道流程，恰有機器換人的需求，數據也隨之生成，一下子掃碼填身份證號無處不在，人臉識別更是常有。勞東燕的遭遇正是在這種背景下發生的。

華南師范大學法學院副研究員馬顏昕在調研中就發現，防疫中大量疫情信息并不是從專門數據管理部門流出，而是由社區、衛健委等基層工作人員流出，說明基層沒有建立起嚴格的數據使用審查框架。

趙鵬表示，在疫情期間，公共危機下可以擴充政府的權力，但這些做法不應常態化，有的政府部門收集的信息不刪除甚至高度侵犯個體自由的做法應當警惕。