人臉識別應用背后的侵權風險及其法律規(guī)制的研究*

遼寧工程技術大學 金千茜

當前，在數(shù)字經(jīng)濟迅速發(fā)展的大背景下，一系列新興技術也隨之大量涌現(xiàn)，其中尤為突出的就是人臉識別技術。當用戶的人臉數(shù)據(jù)被平臺收錄，上傳至深不可測的互聯(lián)網(wǎng)，法律的權威也面臨不法分子的挑釁：偽造他人肖像做廣告、吸引流量牟利，或是惡搞名人、侮辱、誹謗、網(wǎng)絡詐騙、色情宣傳等等。當人們的面部信息如同鑰匙一般與自己的金融交易、身份識別等高度隱私的賬戶息息相關時，安全風險也隨之而來。在個人信息保護機制尚待健全的我國，通過完善法律對人臉識別技術應用背后的侵權風險加以防范與規(guī)制的研究顯得極為必要。

一、人臉識別技術背后的侵權風險現(xiàn)況梳理

由于人臉識別技術在我國處于初級發(fā)展階段，在實際使用中仍存有技術漏洞，安全性低、可靠性不高。目前，市場上有很多企業(yè)在各類生活場景中都使用人臉識別技術，濫用現(xiàn)象極其普遍。同時大部分數(shù)據(jù)控制方在處理人臉數(shù)據(jù)時沒有法律規(guī)范，保護意識也很薄弱。因此，當人臉數(shù)據(jù)被泄漏后，很容易造成權利人的人格權和財產(chǎn)權受到侵害，又由于事后救濟途徑十分狹窄，大部分公眾很難讓自己的合法權益受到保障。

（一）人臉識別技術侵權風險的誘因

1.該項技術仍存有漏洞

2021年，清華大學的RealAI研究團隊為了測驗手機的人臉識別技術是否存有安全漏洞而進行了一個簡短的實驗，結果被測驗的19部手機都被特定測試人員的眼睛圖片所解鎖。在ISC 2020 大會的人工智能與安全論壇上，360 AI安全研究院研究員劉昭通過舉例某款人臉識別設備能讓任意人通過，說明不僅AI算法存在漏洞，其所依賴的關鍵基礎設施也同樣會被攻擊，并進一步揭露了AI關鍵基礎設施存在的安全風險。

由此可見，即使我國的人臉識別技術已經(jīng)歷經(jīng)長期的算法發(fā)展與改進，現(xiàn)有的人臉識別技術仍存有漏洞，可靠性非常低，并且由于2D人臉識別技術與3D人臉識別技術的成本差距，部分廠商會選擇更為低廉的技術，而這更容易使得用戶的個人權益遭到侵害。何況更為先進的3D技術也會受到光線、設備性能、黑客攻擊等無法避免的因素影響。這一方面是受制于現(xiàn)今技術發(fā)展的成熟度，另一方面則源于技術提供方與應用方對于安全防備的輕視。

2.市場對該項技術的濫用現(xiàn)象普遍

2021年“3·15”晚會，央視曝光了全國20多家商戶存在安裝攝像頭識別人臉、收集人臉數(shù)據(jù)的情況。科勒(中國)投資有限公司在旗下衛(wèi)浴門店安裝人臉識別攝像頭，抓取包括性別、年齡在內的個人信息，其攝像頭系統(tǒng)生產(chǎn)商“萬店掌”，另一系統(tǒng)生產(chǎn)商“悠洛客”科技都有此技術, 可以在顧客不知情的情況下抓取信息。此外, 無錫的一家寶馬4S店、MaxMara 旗下的一家店鋪均存在安裝人臉識別攝像頭收集人臉信息的問題。

3.人臉信息處理不規(guī)范

我國公民，尤其是人臉信息的數(shù)據(jù)擁有方，普遍對個人生物信息的保護意識較薄弱。這主要體現(xiàn)在對人臉數(shù)據(jù)的非法采集、強制采集、過度采集以及非法提供、泄漏等處理中。無論是違法分子盜取用戶的面部信息來牟利，還是很多像“ZAO”一樣的APP們一邊過度攫取用戶授權，一邊侵犯用戶權利，并且為了自身免于承擔責任強制用戶簽訂用戶協(xié)議。

4.權益救濟渠道狹窄

人臉識別技術是新興技術產(chǎn)業(yè)，在我國因并未建立完善的治理機制，法律體系散亂且保護力度較弱，故而對人臉識別技術的事后權利救濟實際很困難。事實上對于廣大群眾而言，人臉識別技術與其背后的科學原理都十分復雜，人們很難對其掌握了解，因此當數(shù)據(jù)主體的合法權益受到侵害時，在訴訟的救濟途徑中通常存在舉證困難、審理困難等問題，何況我國尚未對人臉識別涉及的具體法律問題加以規(guī)定，執(zhí)法人員更是難以有效、全面地解決被侵害人的問題，維護被侵害人的利益。

（二）人臉識別技術侵權風險的法律后果

1.侵犯用戶人格權

在近幾年層出不窮、或大或小的人臉識別侵權案例中，大多都是行為人在顧客不知情或非自愿的情況下，獲取涉及顧客隱私和財產(chǎn)安全的人臉識別信息。根據(jù)我國《民法典》第四編人格權的相關法律規(guī)定可知，這些行為明顯都具有涉嫌侵犯他人肖像權、名譽權、個人信息權及隱私權的法律后果，損害了他人的合法人格權益。

2.侵犯用戶財產(chǎn)權

人臉識別技術的安全風險不但包括個人人格權利受到侵犯，還有可能導致個人的經(jīng)濟和財產(chǎn)受到損失。當今人臉信息被廣泛運用于各種各樣的生活場景，當不法分子利用人臉照片、3D人臉等方法破解網(wǎng)絡銀行等人臉識別系統(tǒng)后，通過網(wǎng)絡交易、消費以及轉移線上賬戶的資金等方式就能獲取非法收入，從而造成用戶個人財產(chǎn)的損失。

二、我國關于人臉識別技術的立法現(xiàn)狀

近年來，隨著人臉識別技術的發(fā)展和應用，越來越多的人意識到對人臉信息進行保護的重要性，與其相關的法律爭議也層出不窮。因此，2021年“兩會”期間，不少人大代表都提議國家應加快制定相關法律法規(guī)，從而保障公民因其安全風險從而可能遭受侵害的各項權利。

目前，我國并沒有針對人臉識別技術建立具體的法律規(guī)制，也沒有出臺相應的法律。在2021年7月28日最高人民法院發(fā)布《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》之前，國內除了2020年12月天津、深圳、杭州等地出臺了相關條例之外，僅僅是以個人信息的范圍籠統(tǒng)地對生物識別信息加以定義。在《民法典》的人格權編中，共計有6個條文對個人信息的保護有詳細的敘述，人臉信息則作為生物識別信息被涵蓋其中。2021年8月，《個人信息保護法（草案）》將進行第三次審議，該法案的探索之路體現(xiàn)了我國相關立法進程發(fā)展的前進性和曲折性。如果表決通過，將會對公民個人、信息行業(yè)和監(jiān)管機關產(chǎn)生重大影響。

三、域外關于人臉識別技術的法律規(guī)制

從國外的研究現(xiàn)狀來看，由于與國內不同的政治體制和社會文化，他們對人臉識別技術的法律規(guī)制也較為嚴厲，其中具有代表性的就是歐盟和美國。

（一）歐盟對人臉識別技術的法律規(guī)制

在歐盟，目前處于主導地位的個人信息保護法是《通用數(shù)據(jù)保護條例》，該條例自2018年5月25日正式生效以來，其影響力早已越過歐盟，遍布全球。其中第4條對“生物特征數(shù)據(jù)”作出明確界定，指出“人臉圖像”屬于生物特征數(shù)據(jù)的范疇。與此同時，歐盟的立法主張個人信息是一項獨立權利，應進行獨立保護，即視個人信息為一項基本權利。相較于美國而言，歐盟針對個人信息的保護并沒有區(qū)分公共領域和非公共領域的范圍，而是將主體直接劃分為數(shù)據(jù)主體、數(shù)據(jù)控制者和數(shù)據(jù)處理者，并統(tǒng)一規(guī)范，將公共利益作為例外而保留。此外，歐盟規(guī)定對于使用人臉識別技術獲取人臉信息的行為嚴格限制，《通用數(shù)據(jù)保護條例》將人臉數(shù)據(jù)納入個人數(shù)據(jù)的“特殊類別”，數(shù)據(jù)主體如果沒有明確同意就不得處理該類數(shù)據(jù)。

面對人臉識別的濫用，歐盟也逐步推行禁止使用人臉識別等遠程生物識別系統(tǒng)的規(guī)定。2021年4月，歐盟推出了《人工智能法（草案）》，其中禁止四類人工智能應用，不遵守此法案的機構可能被處以3000 萬歐元或上一財年全球全年營業(yè)收入6%的罰款。這四類人工智能應用中就包括限制實時遠程生物特征識別系統(tǒng)的使用。更早在 2016年4月，歐盟就通過了《一般數(shù)據(jù)保護法案》，該法案于2018 年正式生效，明確規(guī)定企業(yè)在使用用戶個人信息（包括人臉識別等生物識別信息）時，需要獲取消費者的明確同意。

（二）美國對人臉識別技術的法律規(guī)制

在美國，聯(lián)邦各州對于人臉識別技術應用的法律規(guī)制各不相同，但根據(jù)總體的相關專門法案和禁令可以看出，美國對這一技術的規(guī)制十分重視。從立法模式來看，美國各州對人臉識別這一技術的規(guī)制有較大的自主決定權，同時，美國的自由主義強調個人自由，在法律體系里，私權利處于核心地位。因此，相較于歐盟的“基本權利說”而言，美國偏向于隱私權理論，即將個人信息的保護涵蓋于個人隱私權保護的范圍內。

目前，在美國最具代表性的法案是美國參議院法案——《2020年國家生物識別信息隱私法案》。它是以伊利諾伊州的BIPA為藍本，適用于“私人實體”，包括擁有任何個人的生物識別符或生物識別信息的任何規(guī)模的企業(yè)，關鍵性條款如有義務以類似于組織保護其他機密和敏感信息的方式保護生物特征識別器或生物特征信息。上文所提及的伊利諾伊州頒布的《生物識別信息隱私法案》（即BIPA）則明確提出了“生物標識符”概念，指明其包含了“面部特征的掃描”，在人臉識別技術的法律規(guī)制體系里也具有典型意義。

2016年，亞馬遜推出的圖像識別AI系統(tǒng)Rekognition曾在2018年將28名美國國會議員識別成了罪犯，而在2019年和2020年，又有黑人男子因為美國警方使用的人臉識別系統(tǒng)識別不準確而被錯誤逮捕。除此之外，還有種族歧視、大數(shù)據(jù)監(jiān)視等問題。因此，美國多地限制甚至禁止使用人臉識別技術的呼聲較高，相關應用的普及程度也較低。2019年，美國陸續(xù)有多個城市通過了禁止政府部門使用人臉識別技術的條例，其中，俄勒岡州波特蘭市不僅禁止政府部門使用，也禁止私人企業(yè)在公共場所布置人臉識別技術。美國加利福尼亞州的舊金山市首創(chuàng)了全球范圍內關于人臉識別的禁令。2020年，美國國會參議員也開始推進人臉識別相關暫緩法案的出臺，他們提出《2020年人臉識別與生物技術暫緩法案》，禁止聯(lián)邦部門使用人臉識別技術增加了地方警察使用該技術的難度。

對比國內外的人臉識別相關法規(guī)來看，雖然當前我國一些人臉識別應用比較廣泛的城市已經(jīng)出臺了一些政策，但因國情差異，國內更多是對人臉識別的商用應用進行規(guī)范，國外的政策法規(guī)對政府機構和企業(yè)分別有不同層面的約束。因此，為了嚴格保護公民的人臉信息安全，促進人臉識別行業(yè)健康發(fā)展，我國人臉數(shù)據(jù)隱私相關政策法規(guī)的健全迫在眉睫。

四、對我國人臉識別技術應用的法律規(guī)制建議

（一）劃分人臉識別技術在公共領域和非公共領域的適用范圍，對非必要的適用情形加以限制

對于人臉識別技術的應用，由于政府部門和企業(yè)的主體性質不同，應當分別立法加以適用。公權力如公安系統(tǒng)，在抓捕犯人時必要采取人臉識別技術，這屬于基于公共利益的正當使用，是以實現(xiàn)公共利益的需要為目的，具有合法性和正當性。因此，政府部門為了維護公共安全，如識別失蹤人員、確定死者身份等，可以使用人臉識別技術，但必須符合法律授權的要求，嚴格按照規(guī)范使用。與之相反，面對企業(yè)或機構在非必要情況下采集人臉數(shù)據(jù)的行為，法律應當加以嚴格限制，設立準入門檻，明確立法并限制適用要求，無論是收集前應征得個人的明示同意，還是處理人臉數(shù)據(jù)時以合法目的為基礎，都應將公眾的人臉數(shù)據(jù)加以保護、保密，嚴格把關人臉識別技術濫用的情形。

（二）構建多方監(jiān)管體系，促進行業(yè)規(guī)范化

對于人臉識別技術的監(jiān)管機制，應該適用這項新興技術本身具有的風險性。因此，除了企業(yè)自身的監(jiān)管機制，還應建立以行政、司法以及第三方專業(yè)機構為代表的多方監(jiān)管體系。在運用人臉識別技術系統(tǒng)時全程性、靈活性監(jiān)管，做到“無死角”。面對企業(yè)使用人臉識別技術，應當評估其適用風險，審查其是否具有專業(yè)的風險處理機制。同時加強行政監(jiān)管，建立健全相應的監(jiān)管部門，定期執(zhí)法檢查可能存在風險的企業(yè)，設立舉報申訴機制等，運用公權力的手段有效保障人臉識別技術的安全性，加大監(jiān)督力度。

（三）完善人臉識別技術侵權風險的事前評估和事后救濟渠道

無論是政府部門還是企業(yè)或機構，在使用人臉識別技術之前，應當先做好風險評估，檢測并考量其所使用的人臉識別技術是否具有準確性、安全性、保密性等內部條件，同時要求該主體制定相應的管理機制、責任機制、預防風險機制等外部條件。

當人臉識別技術的侵權后果發(fā)生后，完善其事后的救濟渠道也十分重要。首先，對于權利人可以尋求救濟的途徑，應不僅限于向不法分子追尋賠償，還可以向監(jiān)管部門提起申訴，對監(jiān)管部門所做決定不服的，可以向人民法院提起行政訴訟，或者起訴人臉數(shù)據(jù)的控制者和處理者。其次，面對權利人難以取證、糾紛難以被審理的問題，應當完善人臉識別技術侵權風險審理機制，建立集中處理的部門，對證據(jù)審理做到有例可循，提高處理此類糾紛的準確性和效率性。最后，應當加大懲罰力度，對于權利人被侵害的人格權利和財產(chǎn)權利，數(shù)據(jù)管理、控制方應當在停止侵害的基礎上，承擔相應或更高的損害賠償。

（四）結合我國國情，合理借鑒域外法律實踐經(jīng)驗

由前文詳述的歐盟和美國對人臉識別技術的法律規(guī)制可知，域外發(fā)達國家在此方面具有一定法律實踐經(jīng)驗，我們應該汲取教訓，吸收并學習合理且適合中國各地實際情況的立法、執(zhí)法與司法的協(xié)調機制。我國國情復雜，富有特色的地方法治是國家法治的重要組成部分，各地方都有地方性法規(guī)和政府規(guī)章的制定權、相應的行政權和司法權，民族自治地方還有廣泛的自治權，因此，各地區(qū)借鑒國外發(fā)達國家對人臉識別技術應用的法律規(guī)制是可行的。發(fā)達省份可以借鑒美國伊利諾伊州的《生物識別信息隱私法案》，對人臉識別進行專門的地方立法。國家層面也可以借鑒美國2020年3月12日通過的一項全面的聯(lián)邦隱私法案——《消費者數(shù)據(jù)隱私和安全法案》，就人臉識別技術共性法律問題諸如人臉識別應用的專用目的性、不可濫用性等作出規(guī)定。還有諸如在執(zhí)法監(jiān)管中嚴格主義的執(zhí)行原則、司法中被人臉識別者的保護價值優(yōu)位等概念也值得我們借鑒。