人臉識別技術的風險及其法律防范

趙凡碩

【摘? 要】人臉識別技術對每個人的影響是廣泛且意義深遠的，使人類的生產生活形式發生了較大的變革。然而，人臉識別技術存在風險，人臉數據采集形式具有潛在侵害公民的知情權的隱蔽性，技術研發人員與數據管理方的安全保障義務仍待完善，政府的法律規制及防范都亟待解決。

【關鍵詞】人臉識別技術;風險;法律防范;行業監管

引言

隨著科學技術領域取得的矚目成果越來越多，人臉識別技術對每個人的影響是廣泛的且意義深遠。例如：個人間及商業支付結算、電子設備密保、公民個人信息修改及重要場合安保等等。但是，由于人臉識別技術的效益十分可觀，導致大量企業大肆涌入人臉識別領域，并且沒有完善健全的監管體系，致使該項技術存在著較大的應用風險。

1.人臉識別技術的風險

1.1公民個人的隱私風險

人臉識別是一種重要的個人生物信息，不同于指紋、虹膜等識別技術，人臉具有識別個體性別、年齡、種族等的獨特功能。其之所以被廣泛采用，是因為人臉在社交互動中起著傳遞個人身份的重要作用。人臉不是隱藏的，識別它不需要先進的硬件，也不需要身體接觸。人臉識別技術與肖像權間具有緊密聯系，我國最新頒布的《民法典》第1018條關于自然人享有肖像權的規定中：“任何組織或者個人不得以丑化、污損，或者利用信息技術手段偽造等方式侵害他人的肖像權。未經他人同意，不得制作、使用、公開肖像權人的肖像，但法律另有規定的除外。”雖然存在法律規定，但未經本人許可與授權私自采集人臉信息，侵犯其隱私的事件也屢見不鮮。

例如，2020年11月，郭兵訴杭州野生動物世界侵犯隱私權和服務合同違約一案終于有了結果，杭州富陽法院通過法庭審理認為，當事人雙方在辦理年卡時，約定采用的是以指紋識別方式入園，但是野生動物世界采集郭兵及其妻子的照片信息的行為，已經超出了合同義務，同時也違背了法律必要原則要求，因此該行為不具有正當性。正如清華大學法學院的勞東燕教授所說：“人臉識別技術所涉及的，不僅是隱私權問題，更關乎社會的基本走向。眼下技術的發展能力，遠遠超過對其的控制能力。”

1.2人臉數據的泄露風險

由于人臉數據的使用是多次反復，即使是采取合理保護措施的公司，仍面臨著被黑客攻擊的風險。2019年早先發布的《人臉識別落地場景觀察報告》就曾暴露出民眾對于人臉數據泄露風險的深切擔憂。在2020年年初，Clearview AI公司遭遇重大數據泄露，30億張人臉數據泄露，引發美國社會的巨大擔憂。2019年2月，媒體報道追蹤MongoDB數據庫多年的荷蘭著名安全研究員維克多·蓋弗斯發現，僅中國一家名為深網視界的人臉識別公司造成的個人數據泄露事件，就超過250多萬人的核心數據極有可能被不法分子輕易獲取，個人信息數據達680余萬條被泄露，這其中包括了身份證信息，人臉識別圖像及GPS位置記錄等。某安全研究員認為：“知道某人何時不在辦公室或家里，對于簡單的入室盜竊犯罪來說是有用的，對于進入建筑物的攻擊也是有用的。”

1.3技術使用的歧視風險

盡管因生理差異、民族差異或生理差異，允許合理差別，但不因種族、膚色、年齡、性別等差別而遭到區別對待是國際共識。作為人工智能之一的人臉識別技術存在兩大公認的歧視：一是人為歧視，即人臉識別程序的調控者預先設定好程序。二是算法歧視，人臉識別系統對所收集的信息不斷自我分類、自我匯總，然而在此過程中形成的算法并不是完美的。

美國麻省理工大學研究發現：膚色越暗識別準確性越差，在兩組膚色較白的男性與女性照片中，性別判斷的錯誤率很低，分別為1%和7%，而在兩組膚色較黑的男性與女性照片中，性別判斷的錯誤率卻直線上升，分別為12%和35%。這與非裔美國計算機科學家布蘭威尼的觀點不謀而合，她在喬治亞理工學院就讀本科時，人臉識別技術對她的白人朋友們來說效果很好，但是卻無法識別出她的臉。她的論文中曾明確提出，美國市面上的三款主流識別軟件，針對黑人的識別錯誤率遠遠高于白人，是白人識別錯誤率的20至30倍。即便當今世界各國都廣泛強調各民族間平等，但在人臉識別技術方面的隱性歧視仍舊存在。即算法依賴數據，數據又是社會文化的鏡像，雖然從道德上講，歧視并不高尚，但它卻從未在人類的意識中缺席過。

2.對完善人臉識別技術法律保障的思考

2.1完善立法

就我國的立法現狀來說，關于生物信息的法律規范存在缺乏專門立法、立法遲延、立法規定分散等現實缺陷。現行立法中，2017年實施的《中華人民共和國網絡安全法》和2020年實施的《中華人民共和國密碼法》的規定較為全面，其中《中華人民共和國網絡安全法》針對公民個人信息的規定為：首先，互聯網企業在收集、使用公民的個人信息時，不得以違法、不正當、非必要的心態，公開收集、使用個人生物信息，必須明示收集、使用的目的、方式等必要要素，必須經被收集者同意。其次，網絡運營者負有義務保護其收集的個人信息的完整性、真實性;最后，未經被收集者同意，不得向他人提供個人信息。

在刑事、民事、行政領域，盡管存在近40部法律、30多部法規、超過200部規章，但相關規定極為分散，難以形成合力。這就需要針對我國國情與實際適應情境，創制較為完備的具有專門性、針對性、可操作性的法律規范。對于立法而言，可以學習借鑒先進國家的立法形式。例如，歐盟于2018年5月出臺的《通用數據保護條例》明確規定對違法企業采取高罰金的懲罰措施;企業必須事先征得用戶授權及明確告知用戶有關采集其生物信息等必要程序，否則將采取必要手段進行違法處理;企業必須使用明確、具體的語言，據此告知用戶的各項權利及義務;明文規定了用戶的“被遺忘權”，即用戶個人可以要求責任方刪除關于自己的數據記錄。最著名的當屬英國航空公司泄露50余萬名用戶的信息案，被罰1.8339億英鎊。英國信息專管局的專員表示，人們的私人數據具有專屬性，他人無權查閱。法律明文規定，受托人需要保護好委托人的個人數據，盡到勤勉與保密義務。我國在對個人信息的分類上可以參考歐盟，不應“一刀切式”的管理，人臉識別技術獲取的信息可分為一般性個人信息與敏感性個人信息。一般性個人信息，如軌跡信息、購物信息等，可采取常規限制手段。敏感性個人信息，如面部特征、家庭住址、種族民族等，宜采取嚴苛的保護措施。

2.2完善國家的監督管理機制

我國應加快成立專門的、獨立的監督機構，以監測人臉識別技術的發展。通過法律法規等行政手段所設置的準入門檻，篩選出符合規范的企業，并采取定期為主、不定期為輔的審查模式，使其合法合規儲存、使用公民的生物信息，同時對違法企業進行公示，以此加強企業與用戶之間的聯系、增強溝通的便捷性，不斷改善由于監管主體不明確、執法主體混亂，出現監管領域空白、執法效果不到位的狀況，逐步形成保護公民個人生物信息的固定體系。

一是建立健全的行業準入制度。人臉識別技術本身并不存在高門檻，如今的算法演進已經較為成熟，任何一個有技術人員與資金支持的企業都可以踏足該行業。但并不是每一個企業都擁有強大的自檢與抗風險能力，這有賴于監管部門依據行業準入標準的規定，嚴格篩選，過濾掉不符合資質要求的企業。

二是企業備案制度。人臉數據的收集、儲存、應用等環節，企業應備案登記，使數據使用有跡可循，一方面，方便國家行政監督;另一方面，為企業自檢、自查提供完整的數據支撐。

三是審查認證制度。企業雖經過市場準入制度的篩選獲得從業資格，但這種資格并不能認定為永久。國家建立定期審查與不定期審查制度，不合格的企業在合理期限內整改并接受復檢，通過后方能繼續從業。

2.3建立人臉識別技術行業的自律機制

科技的發展、行業的蓬勃與穩定，不僅需要國家大力投入精力，還需要企業及科研人員選派代表組成行業自律組織。所以，在國家與企業共同出資支持下，成立國家的保護公民生物信息安全部門，并加快完善企業層面的行業自律機制，做到政府適當干預，行業依照自律機制，形成合力。例如，1月20日，為規范人臉識別線下支付應用創新，防范人臉支付所帶來的種種不穩定因素，確保各合作單位的合法權益不受風險侵害，維護公民的交易權利和利益，中國支付清算協會發布《人臉識別線下支付行業自律公約（試行）》，即日起實施。《公約》要求從事刷臉支付收單服務的會員單位應嚴格遵守《銀行卡收單業務管理辦法》、《非銀行支付機構網絡支付業務管理辦法》、《中國人民銀行關于進一步加強銀行卡風險管理的通知》、《中國人民銀行關于加強銀行卡收單業務外包管理的通知》等管理要求，承擔收單環節支付敏感信息安全管理責任，外包服務機構及其他無資質機構不得涉足核心業務系統運營、受理終端密鑰管理、特約商戶資質審核等關鍵領域。雖然《公約》仍存在缺乏具體操作的條款，但這表明，我國在規范人臉識別技術行業與防范該技術所帶來的風險領域，不斷嘗試為人臉識別技術的實際使用提供切實指引。

3.結語

正是由于當今科學技術的迅猛發展，使得每個公民與人臉識別技術形成了緊密的聯系，但是，行業準入門檻的限制不高、國家的行政監管較為遲滯、行業自身缺乏有效自律機制等因素，使用過程中所產生侵犯公民個人隱私、數據泄露、算法歧視等問題也引起了社會大眾和有關組織的擔憂，亟待國家、企業及科研人員所組成的行業、消費者三方的協同運作，不斷優化并確保人臉識別技術的合規合法，真真正正的造福于人類發展。

參考文獻

[1]Turk M，Pentland A.Eigenfaces for recognition[J].Journal of cognitive neuroscience，1991，3（1）：71-86.

[2]Belhumeur PN，Hespanha JP，Kriegman DJ.Eigenfaces vs.fisherfaces：Recognition using class specific linear projection[J].IEEE Transactions on pattern analysis and machine intelligence，1997，19（7）：711-720.

[3]Zahid Akhtar， Ajita Rattani. A Face in any Form： New Challenges and Opportunities for Face Recognition Technology[J].Computer， 2017， 50（4）：80-90.

[4]勞東燕.潛在風險與法律保護框架的構建[J].檢察日報，2020年10月12日第004版

[5]王心陽.技術監控時代：個人信息保護的艱難選擇及行政法思考[J].網絡法律評論，2017（01）：290-305.

[6]張玉宏，秦志光，肖樂.大數據算法的歧視本質[J].自然辯證法研究，2017，33（05）：81-86.

長春理工大學法學院? ? 吉林長春? ? 130022