人臉識別急需法律規制
——訪中央財經大學法學院教授邢會強

本社記者 劉海燕

今年的央視“3·15”晚會上，多家知名商家違規采集人臉信息的事件被曝光。4月9日，備受關注的“人臉識別第一案”也迎來了終審判決，被告杭州野生動物世界被判刪除原告郭兵辦理指紋年卡時提交的包括照片在內的面部特征信息和指紋識別信息。一時間，人臉識別成為熱議話題。

可以說，人臉識別因關系到我們每一個人而受到社會各界的廣泛關注。如何保護好自己的臉，成為大數據時代無法逃避的課題。我們知道，隨著科技的發展，我國的人臉識別技術應用廣泛，“刷臉”在線上線下處處可見。該技術的廣泛應用，創造了巨大的社會價值和經濟價值，給我們的工作和生活帶來了極大便利。

但同時也應看到，人臉信息數據一旦泄露，就意味著個人的隱私、財產等諸多的安全受到威脅，不可避免地會帶來一系列現實的和潛在的信息安全風險。及時回應人臉識別技術發展帶來的新挑戰，治理人臉識別之亂象，防范人臉識別技術應用的法律風險，成為當下關注的焦點之一。

對此，本社記者就如何完善對人臉識別的法律規制，厘定人臉識別技術應遵循的法律底線等問題，對邢會強教授進行了專訪。

記者：請您談談人臉識別的特征？

答：

人臉識別可簡單地概括為：機器對靜態或視頻中的人臉圖像進行特征提取、分類識別，以達到身份鑒別的目的。人臉識別具有七項特征：1.獨特性和直接識別性。每個人的人臉都是獨特的，通過人臉可以直接識別到個人，而無需結合其他信息（當然，如果結合其他個人信息進行識別則準確度更高）。2.方便性。與其他人體生物特征相比，人臉具有不容易被遺忘的特征。它“隨身攜帶”，方便驗證。3.不可更改性。密碼也可以用來進行賬戶登錄和身份驗證，但密碼很容易更改，而人臉一般是不可以更換的。4.變化性。人臉雖難以更改，但會發生變化。歲月、整容、光線等都會使人臉發生變化，從而導致識別困難甚至識別錯誤。5.易采集性。采集人臉，可使用攝像頭自動抓拍，無須人工操作，也無須被采集者配合，只要其以正常狀態經過攝像頭前即可。6.不可匿名性。很多個人信息都可以去身份而實現匿名化，但是人臉無法去身份和匿名化。7.多維性。通過人臉識別可獲得表情信息，如悲傷、憂愁、高興等，通過“觀色”，可以洞察人心。

人臉識別的上述特征，直接決定了人臉識別技術具有復雜性特征，而現實中很多收集人臉的機構并不具備相應的風險防控、安全保障能力、組織和機制。

記者：人臉識別技術有哪些收益和風險？

答：

人臉識別技術的收益是世所公認的。人臉識別技術可以應用于諸多場景，從改善銀行業和零售業的消費者體驗到加快機場邊境管制等等。該項技術的發展與應用，創造了大量裨益社會的機會。其收益主要在于它識別速度更快，能極大地節省成本。

但是，人臉識別技術的風險也是不可小覷的。其風險主要有：1.誤差風險。如果人臉識別技術不夠成熟，可能出現混淆。此外，由于人臉為非剛體性，人臉之間的相似性以及各種變化因素的影響，準確的人臉識別仍較困難。2.身份認證被破解的風險。密碼是秘密保存的，但人臉卻是公之于眾的。最新的人臉驗證技術，結合了3D圖片進行登錄與驗證，這比以前的技術更難破解，但破解并非完全不可能。3.信息泄露風險。用于保存人臉信息的電子計算機系統存在被黑客入侵、病毒入侵的風險，這可能導致信息泄露。此外，內部員工的作案也可能導致信息泄露。生物信息具有100%的可識別性，一旦被泄露或是被不當利用，后果無法估量。

訪談人物

邢會強

中央財經大學首批龍馬學者特聘教授、博士生導師，中國法學會經濟法學研究會常務理事兼副秘書長、中國法學會證券法學研究會副會長兼秘書長、北京市金融服務法研究會會長，《財經法學》主編、《金融服務法評論》執行主編、《證券法律評論》執行主編。2018年國家社科基金重大項目《大數據法制立法方案研究》首席專家。

因此，人臉識別技術雖然能帶來可觀的收益，但其風險也是不可低估甚至是難以估量的，風險大于收益的可能性也是存在的。即使人臉識別技術的收益大于風險，也有必要建立強有力的治理架構來降低風險。

記者：國外對人臉識別的法律規制有哪些做法？

答：

美國對人臉識別的法律規制主要包括對于政府部門使用人臉識別的法律規制和對于非政府機構使用人臉識別的法律規制，二者是分別立法、分別規制的，規制的具體方法和價值取向截然不同。

對政府部門使用人臉識別的法律規制主要分為三種：第一種是禁止使用制度，第二種是特別許可使用制度，第三種是任意使用制度。禁止使用制度為美國舊金山市所首創，目前備受關注。特別許可使用制度目前尚處于民間建議階段。任意使用制度即對政府使用人臉識別尚未特別立法，政府部門可以任意使用人臉識別。

對非政府機構使用人臉識別的法律規制，主要是將人臉信息作為生物信息之一加以規制，可以分為兩種路徑：一種是比對一般個人信息的保護更為嚴格的高強度規制路徑或特別規制路徑，另一種是與對一般個人信息的保護沒有區分的、同等程度保護的普通規制路徑。

與美國對政府部門和商業部門使用人臉識別技術分別進行立法不同，歐盟采取的是統一禁止的態度，強調對于“基本權利”的保護。歐盟《通用數據保護條例》（以下簡稱GDPR）是對公私部門一體適用的。這就意味著，無論是政府部門還是非政府部門，只要使用人臉識別技術，就必須遵守相同的規范。

GDPR第4條定義條款對“生物數據”（biometric data）進行的界定包括“面部圖像”（facial images）。GDPR第9條規定了特殊種類的個人數據處理，其中就包括生物數據。GDPR對于生物數據的處理，遵循“原則禁止，特殊例外”的原則。數據控制者可援引“數據主體的同意”作為個人生物數據處理的例外，但該同意必須是“自由給予、明確、具體、不含混”的，數據主體的任何被動同意均不符合GDPR的規定。

2019年7月，歐洲數據保護委員會（EDPB）頒布了《關于通過視頻設備處理個人數據的3/2019指引》，提供了盡量降低風險的措施。例如，對原始數據進行分離、存儲和傳輸；對生物識別數據尤其是分離出的片段數據進行加密并制定加密和秘鑰管理政策；整合關于反欺詐的組織性和技術性措施；為數據分配整合代碼；禁止外部訪問生物識別數據；及時刪除原始數據，如果必須保存則采取添加干擾（noise-additive）的保護方法。

記者：請您談談國外對人臉識別的法律規制對我國有何啟示？

答：

就政府部門使用人臉識別的法律規制，目前國外雖然三種制度并存，但任意使用制度顯然是大數據時代之前的做法，未認識到人臉識別技術給人們帶來的風險；禁止使用制度也太過于激進，不利于發揮人臉識別技術的優勢，扼殺了技術的發展。相比較而言，特別許可使用制度既發揮了人臉識別技術之利，又防范了人臉識別技術之弊，是一種更為理性的制度安排，值得借鑒。

就非政府部門使用人臉識別的法律規制，目前國外雖然兩種制度并存，但將人臉信息作為一般個人信息對待的普通規制路徑，顯然是沒有認識到人臉信息及人臉識別技術的特殊性，將個人置于極大的風險之中。而將人臉信息作為比對一般個人信息更為嚴格的特別保護和特別規制，更有利于保護個人的人臉信息，更值得借鑒。

但是，各國的政治、社會和技術背景存在各自的特殊性，這就決定了國外對于人臉識別技術的相關制度未必適合于我國，我國在借鑒相關制度時需要審慎甄別。

記者：目前我國對人臉識別法律規制的情況如何？

答：

我國2020年5月頒布的民法典第一千零三十四條第1款規定，“自然人的個人信息受法律保護”，并在該條第2款個人信息的定義中，明確將生物識別信息列舉為個人信息，但未對個人生物識別信息作特別保護。日前公布的《中華人民共和國個人信息保護法（草案）（二次審議稿）》第二十七條規定：“在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，并設置顯著的提示標識。所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的，不得公開或者向他人提供，取得個人單獨同意的除外。”這里“圖像采集”包括人臉識別。個人信息保護法（草案）（二次審議稿）第二十九條將個人生物信息作為敏感個人信息加以保護，并規定了“充分必要”原則。

我國目前對包括人臉信息在內的生物識別信息的特別保護呈現出軟法先行的特點。2020年2月，全國金融標準化技術委員會審查通過的《個人金融信息保護技術規范》（JR/T 0171-2020）將生物識別信息列為敏感性最高的C3類信息，并要求金融機構不應委托或授權無金融業相關資質的機構收集C3類信息，金融機構及其受托人收集、通過公共網絡傳輸、存儲C3類信息時，應使用加密措施。2020年3月新修訂的我國國家標準GB/T 35273-2020《信息安全技術個人信息安全規范》明確規定，個人生物識別信息屬于個人敏感信息，并對個人敏感信息進行了特殊保護。2020年11月26日，工信部組織發布了電信終端產業協會團體標準《APP收集使用個人信息最小必要評估規范人臉信息》，規定了移動應用軟件對人臉信息的收集、使用、存儲、銷毀等活動中的最小必要規范和評估方法，并通過個人信息處理活動中的典型應用場景來說明如何落實最小必要原則。2021年4月25日，《信息安全技術人臉識別數據安全要求》國家標準的征求意見稿面向社會公開征求意見。該征求意見稿對個人信息保護法（草案）（二次審議稿）中的人臉識別相關的規定，有一定的體現和細化。

記者：您認為應如何完善對人臉識別的法律規制？

答：

我認為應從三個方面完善人臉識別技術的法律規制：

一是建立健全一體適用的安全與責任底線

法律規制人臉識別技術的目的，是在確保安全的前提下，倡導一種負責任的使用。為此，要建立如下公私部門一體適用的安全與責任底線。如果不符合這些安全與底線原則，則為違法收集個人信息。第一，無論誰使用人臉識別技術，人臉識別系統都要經第三方獨立機構定期檢測，以檢測其準確性與非歧視性。必要時，人臉識別系統及其定期檢測結果應向監管部門備案。第二，無論誰通過公共網絡收集、傳輸、存儲人臉信息，都應使用加密措施，并對收集到的人臉信息進行分片段單獨存儲，并不得公開披露人臉信息。第三，無論誰使用人臉識別技術，都應該建立可追蹤的技術體系。誰在何時何地查詢、使用、修改、下載了人臉信息，事后都可查證，以便發生侵權時，人臉識別技術使用主體對侵權人進行查證和追責。第四，法律應該規定，無論是誰使用人臉識別技術，如果其收集的信息被證明出現被盜竊、泄露、非法使用、非法出售、非法提供等情形，從而給信息主體造成損失的，收集者對受害人受到的實際損失承擔連帶賠償責任；如果受害人的實際損失難以證明，則應對每個受害人至少賠償一定數額（如2000元人民幣）的法定定額賠償金。受害人受到的實際損失小于該法定定額賠償金的，受害人可直接主張法定定額賠償金。第五，無論是誰使用人臉識別技術，人們均有權拒絕“刷臉”。如果是在無競爭性的服務領域（如民航、鐵路、學校、社區等）使用人臉識別技術，當人們拒絕“刷臉”時，應提供其他替代性的驗證機制，而不能不“刷臉”就不能使用或進入。畢竟，每個人的風險偏好是不盡相同的，法律規則的設置應容忍和尊重那些低風險偏好的人，尤其是在當前不能做到人臉識別系統百分之百安全的情況下。

二是區分公私部門配置不同的規制重心

對政府部門使用人臉識別技術應以事前事中規制為主，對非政府部門使用人臉識別技術應以事中事后規制為主。這是因為，政府部門執行公務過程中構成侵權，因有國家賠償法的限額賠償而使當事人難以獲得充分賠償，且一旦政府部門涉嫌侵權對政府部門的聲譽將造成重大不良影響，因此，應著重從事前進行風險防范，即對于政府部門安裝、使用人臉識別技術應堅持有權機構批準同意原則。有權機構在批準時，應考慮到安裝、使用人臉識別技術的必要性、正當性，且應通過一定的法律正當程序，遵循公開、透明、民主參與等原則予以批準。

如果對商業部門安裝、使用人臉識別技術也堅持事前批準的話，則可能遏制商業創新和技術創新。同時商業部門的人臉識別如果給消費者造成損害的話，受害人可以通過事后的民事訴訟來進行追責，執法部門也可以通過事中或事后的執法進行監管和追責。當然，這需要我們健全法律框架，使執法部門有法可依，使受害人可以依法維權。

三是對人臉信息的采集施加比對一般個人信息的采集更強的規制力度

人臉信息不同于一般個人信息，甚至人臉信息作為生物信息也與其他生物信息（如指紋）有較大區別。因此，對于人臉信息的采集應堅持特別規制即差異化規制，即應堅持更強的知情同意原則。除了法定例外情形，其所適用的知情同意原則，應比一般的個人信息所適用的知情同意原則更嚴格，即應堅持書面（written）知情同意原則。此外，法律應規定采集人臉信息之前，采集者應告知被采集者其采集的信息具體類型、目的、保存時間、被采集者的風險與權利，告知的方式必須是書面的。

采訪手記

在采訪中，記者注意到，近年來，為規范和保障信息技術和數字經濟的健康發展，我國立法機關不斷完善信息技術和數字經濟方面的相關立法。在2018年個人信息保護法被正式列入第十三屆全國人大常委會立法規劃和年度立法工作計劃后，第十三屆全國人大常委會已經先后于2020年10月和2021年4月對個人信息保護法（草案）進行了兩次審議。在向全社會公布的個人信息保護法（草案二審稿）第二十七條中，對人臉識別進行了專門規定，及時地回應了公眾的迫切需求。與此同時，行業標準的出臺及國家標準的即將出臺，都為進一步規制人臉識別提供了規范依據。我們期待更多的法學法律專家立足法治前沿，密切配合立法機關及相關部委加強對前沿新興領域立法的研究，為建立健全人臉識別的法律規制獻計獻策，讓人臉識別技術的發展與應用在規范有序的道路上前行，為公眾帶來更加便利、安全和高效的幸福生活。