法經濟學視域下人臉識別技術應用的法律規制

劉明君

（四川大學 四川成都 610000）

一、問題的提出

技術是把雙刃劍，我們在贊嘆其為人類社會進步作出的貢獻的同時，仍不能忽視技術被濫用所帶來的風險隱患。人臉識別技術作為當紅的“技術明星”，同樣面臨由其引發的侵權糾紛、權利損害及社會治理風險等問題。

（一）人臉識別技術應用廣泛價值凸顯

一百多年前，國外就有學者開始進行人臉識別技術研究，隨著此項技術的發展，到幾十年前，人臉識別一直是活躍的研究領域。特別是在過去的五年中，它已經成為最繁榮的研究主題之一［1］2。目前，人臉識別技術應用領域廣泛，比如，城市安防監控、刑偵疑犯追蹤、交警執法監督、火車地鐵通檢、金融刷臉支付、政務刷臉驗證、公司員工考勤、學校刷臉出入，等等。可見，“人臉識別技術打開了城市智能和精細化治理的想象空間”［2］。在2020 年全球新冠疫情防控中，我國企業研發的熱成像測溫一體機，可以對人臉無感測溫通行，對異常情況進行智能分析和管理，并且根據不同場景等級提供不同的測溫形式。此外，我國研發出戴口罩人臉識別技術，在國內外抗擊疫情中也發揮了極其重要的作用。

（二）人臉識別技術應用引發案件糾紛

誠然，科學技術的發展帶來了社會便利與經濟效益，促進了產業升級。但近幾年來，“隨著萬豪中國事件、支付寶年度賬單事件、劍橋分析公司丑聞、華住數據泄露、國泰航空數據泄露、萬豪數據泄露等的曝出”［3］，個人信息與數據隱私保護成了社會關注的焦點。就人臉識別技術應用引起全球更大關注的是，發生在英國的R（Bridges）v CCSWP and SSHD 案，原告認為被告南威爾士警方兩次使用自動面部識別技術（“AFR”）試點攝像機對其進行錄像非法，此案被認為是“世界人臉識別第一案”。該案一審敗訴后，二審卻出現逆轉①。而發生在中國的原告郭某兵起訴被告杭州野生動物世界案，被稱為“中國人臉識別第一案”。通過一審法院的判決可見，未經過權利人同意而使用人臉識別技術，要承擔單方違約責任②。

糾紛的產生根源于利益的沖突，馬克思指出“利益就其本性來說，是盲目的、無止境的、片面的，一句話，它具有不法的本能。”［4］179從“世界人臉識別第一案”和“中國人臉識別第一案”來看，人臉識別技術被非法使用，源于信息權利主體、信息處理企事業單位、國家及社會間利益的失衡。“人臉是一個具有弱隱私性的生物特征”，“技術手段成熟與否、能否確保用戶數據不被盜用、個人隱私如何保護等問題都需要得到充分論證和解決”［5］，通過法律手段對技術進行規制是最佳的解決方式，但是訴訟作為權利救濟的最后法律防線，往往存在時間成本、機會成本及司法成本較高的問題。為避免過度耗費國家法治資源，需在法經濟學視域下展開分析，找尋公民權益、商業利益、公共利益間的沖突，厘清人臉識別技術合法應用的邊界，并對該技術施以成本-收益最優的法律規制措施。

自2019年5月起，我國學界開始研究人臉識別技術的法律規制，通過中國知網檢索關鍵詞“人臉識別 法律規制”，到2021 年2 月底共發表31 篇文章（包括期刊18 篇，學位論文6 篇，報紙3 篇，會議3 篇）。其中不乏代表性成果：對人臉識別技術的應用，郭春鎮教授提出“持審慎態度，采取提升形塑‘數字理性’主體、建構合理的規范體系、形成基于責任和參與的多重治理機制”［6］19。畢玉謙教授以“人臉識別第一案”為切入點，從程序法角度探析民事訴訟生成權利規制問題［7］53。文銘學者提出“緩解人權與科技發展的矛盾，應從政府、行業和立法的三個維度進行規制。”［8］77就法律規制的措施而言，許靜文學者提出“自治＋法治”，限制人臉識別數據處理方式，統籌數據規制的重要方面和基本原則［9］135。邢會強教授認為我國應“建立健全人臉識別一體適用的安全與責任底線，區分公私部門并配置不同的規制重心”［10］63；林凌教授建議“我國應確立個人信息自決、“新治理”比例和專項責任審核等人臉識別法律規制原則”［11］68。上述等學者提出的各類法律規制措施值得借鑒，但有些措施很難在實踐中被適用，且各項措施比較零散，缺乏全流程的法律規制模式。本文的創新之處是在法經濟學視域下，通過成本收益分析人臉識別技術案件糾紛產生及權利救濟困境，探索專門全方位監管及量化風險評估等效益化的法律規制措施，建立預防性、低成本的法律規制流程。

二、人臉識別技術案件糾紛產生的法經濟學分析

法律的經濟分析中的一個核心觀點是由羅納德·H·科斯在1960 年提出來的［12］1。之后被命名為科斯定理。科斯認為法律是決定經濟運行的主要因素之一，“如果交易成本為零，每當由于合法位置的變化引起產品的價值上升時，人們就會圍繞法律簽訂契約。如果交易成本為正，當交易成本大于權利重新分配所帶來的利益時，人們不會選擇簽訂這類契約，個體所擁有的權利一般來說都是依據法律建立起來的。”［13］31-42將經濟學的理論運用到對國家法律運行效益的分析中，有利于在確保法治客觀公正基本價值的基礎上，實現對國家立法、行政、執法、司法等資源的更有效配置。

（一）我國人臉識別技術應用相關立法概況

表1 我國現有相關法律法規

從上述列表看，我國沒有人臉識別技術應用方面的專門法律法規，不過近兩年來，從民法典到個人信息保護法，從個人信息安全規范到數據安全管理辦法，一系列相關的法律法規頒布很快，并且修改的頻次較高。但是相關立法仍有如下問題：第一，現有基本法律規定內容過于概括且內容極為分散；第二，法規及其他規范的內容雖然更具體更具有可操作性，但法律位階較低，多為分散的行業規定，難以普遍適用；第三，尚未建立從源頭上對人臉識別技術專利審核、技術應用限制規范、行政監管部門及職責到經濟高效的權利救濟措施等全過程的法律規制機制。

（二）人臉識別技術應用違法成本低引發侵權問題

違法成本低致使人臉識別技術被濫用，例如：在國外，有不法分子利用AI 換臉技術，將女明星隨意換臉到色情片女主角身上；在國內，有不良商家通過AI換臉技術制作出當紅女明星的不雅視頻在網上售賣。更讓人意想不到的是，僅刷了一下臉，廣西南寧十幾名業主的房產就在毫不知情的情況下被不法中介賣掉，總損失超千萬元［14］。此案及前述案件涉及的公民權利，包括但不限以下情形。1.肖像權和名譽權。我國法律規定名譽權包括對民事主體的品德的社會評價，我國民法典第1024條規定“任何組織或者個人不得以侮辱、誹謗等方式侵害他人的名譽權”。將女明星的臉換到色情片女主角身上的行為，無疑侵犯了女明星的肖像權和名譽權。2.人格權及派生利益。當人臉信息在資金交易、消費支付、信用貸款、房產過戶等領域被盜用，會直接侵害到公民的財產權。有學者主張“無論是將數據隱私界定為一種人格權還是界定為一種財產權，都面臨著不小的困境”［15］40，筆者認為，人臉識別技術的應用危及公民人格權+財產權，還有其他相關權利，可稱之為人格權及其派生利益（內涵大于財產利益）。3.公民隱私權。人臉識別信息屬于“直接可識別”到個人身份的信息，可以被納入到隱私權的大范疇［16］。人臉信息與個人身份、金融、行為、位置、偏好等信息結合，可形成每個人的“專屬標簽”，這個標簽很容易被網絡運營者利用，對用戶進行畫像，進行廣告推送或者價格歧視等行為。4.個人信息權。我國《個人信息保護法（草案）》在總則部分提出保護“個人信息權益”，有學者提出“侵犯公民個人信息罪保護法益不是作為傳統個人權利的隱私權，而是作為新型權利的個人信息權”［17］19。5.人身自由和人格尊嚴。人臉識別技術被濫用往往“關系到個人的人格尊嚴和人身自由”［18］。有學者建議將《憲法》第38 條修改為：“中華人民共和國公民的人格尊嚴和個人信息權不受侵犯。禁止用任何方法對公民進行侮辱、誹謗和誣告陷害；除法律另有規定以外，禁止未經個人信息權人的許可收集、處理、利用其個人信息。”［19］64對此，筆者并不贊同。理由是：憲法修改的程序非常嚴格，且憲法修改過于頻繁有損憲法的穩定性和權威性，完全可以通過憲法解釋來實現憲法與時俱進的適用性。

（三）人臉識別技術應用的法律規制成本收益分析

無論是個人基于成本低收益高的理性經濟人選擇，還是社會基于邊際社會收益大于邊際私人收益的經濟決策，亦或國家層面基于博弈論的技術進步與權利保障的衡量。降低國家、社會和個人不同利益主體的成本，構造成本最小化的權利結構和效益最大化的利益機制，有利于實現人臉識別技術應用法律規制的“效率”⑥最大化。

1.國家層面進行法律規制的成本分析。為規范和糾正不同組織或個人間的契約關系，維護良好穩定的政治秩序，構建和諧穩定的社會環境，國家層面必定要承擔相應的法律規制成本。對人臉識別技術應用進行法律規制，國家層面承擔的成本可分為立法成本、行政執法成本、司法成本三部分。一是國家立法成本，包括國家機關在相關法律法規制定過程中需要投入的人力成本、技術成本，即法律法規從計劃編纂到頒布實施過程中各項費用的總和。二是國家行政執法成本，即在行政執法活動中，對人臉識別技術應用進行規制各級政府所需要承擔的人力成本、執法成本、裝備成本等。三是國家司法成本，包括各級公安機關、檢察機關、法院在辦理人臉識別案件中需要投入的人力資本、辦案經費、裝備設施，等等。

總體上看，如果將法律規制某種行為耗費的成本視同產品生產成本，按照邊際成本遞減規律，在一定范圍內，國家機關人員開支、辦公經費、設施費用等固定成本不變，對人臉識別技術應用進行法律規制僅增加了少量變動成本，邊際成本降低即更經濟更有效率。就國家立法成本、行政執法成本、司法成本三者相比較而言，立法是進行法律規制的起點，此項成本無法避免，在法律法規實施階段，行政監督執法針對廣大行政相對人，平均到個體的成本較低，而司法成本支出主要是事后補救，就單獨個案而言比行政執法成本更高。

2.國家層面進行法律規制的各方收益分析。無論何時，人們對法律、經濟或政治的理性討論中，都往往對效率原則給予很大的關注。在新的法律法規制定與實施過程中，不僅要關注法律的平等、公平、正義等法的一般原則，還需要實現低成本高收益的效率原則。這就需要在帕累托改進的過程中，充分考慮涉及到的各方利益。龐德指出，“講到人們提出的主張或要求，那么利益也就分為三類：個人利益、公共利益和社會利益。”［20］37從我國人臉識別技術應用相關法律法規現狀看，每一部法律法規都會有個人權利（利益）的保障條款，當諸多個人利益集合到一定量，就能影響到社會利益及公共利益。發揮法律的教育和懲治作用，使不法分子對違法行為產生畏懼，避免個人權利（利益）遭侵害的情況出現，進而維護整體社會利益和公共利益，和諧穩定的社會秩序最終也是國家利益的實現。個人利益、社會利益、公共利益和國家利益的實現決定著法律規制的方向，而完善的法治又能保障各方利益的實現，維護經濟發展、社會和諧與國家穩定。

3.基于人臉識別案件的成本收益分析。在法經濟學視域下，個人在行為選擇時被視為理性經濟人，而理性的經濟人往往基于收益大于成本的預期才做出行為選擇，并依據個人偏好進行理性的、最有利于自己的活動。前述“中國人臉識別第一案”中，原告郭某兵等消費者被強制使用人臉識別驗證身份，才能進入被告野生動物世界。相較過去以指紋識別方式入園，僅僅是身份驗證方式的改變，消費者并未獲得更多收益。但是人臉信息作為高敏感性的生物信息，無法進行變更或替代，一旦泄露可能終身被非法利用，并且時間、地域、領域及頻次等均不可控，極易對信息主體帶來人身傷害及財產上的重大損失，由此其面臨的潛在風險成本增加。很顯然，對消費者而言成本遠高于收益。對被告野生動物世界而言，升級為使用人臉識別方式入園，需要承擔身份驗證系統升級的經濟成本，通知消費者的信息、電話與溝通時間成本，案件判決后支付訴訟費及返還原告1038 元年卡費等各項司法成本。那么，野生動物世界是不是有可觀的收益呢？答案是不確定的。因為使用人臉識別系統，并不一定會增加游客辦理年卡數量，進而增加營業收入，也不一定能增強消費者體驗，獲取更好的口碑提升商譽。當然，如果商家的選擇是基于使用人臉識別系統比指紋系統成本減少或者收益增加，那么借助立法、執法、司法對違法行為進行處罰增加其違法成本，會迫使商家等侵權行為人重新進行成本收益衡量，作出經濟人視角下守法的行為選擇。即“法律可以協調利益關系從無序達到有序狀態，依據規則分配利益和權利，降低利益協調中的主觀隨意性，完全可操作地確認、保護、促進和調整利益，實現利益歸屬上有確定主體和利益交換中保證公平。”［21］31

圖1 我國目前相關法律規制的現狀

三、域外人臉識別技術應用的法律規制經驗

世界各國大體上先通過個人信息或隱私保護進行宏觀普適立法，之后根據人臉識別技術應用普及化，糾紛多元化的發展，制定人臉識別技術專門禁令與限制措施。

（一）域外法律規制的三種立法模式

截至2019 年，世界上已有157 個國家和地區通過立法來保護個人數據信息的安全［22］19-20。由于法律傳統和使用習慣的不同，各國使用的法律名稱大體上有三種術語“個人數據”“隱私”與“個人信息”⑦。立法模式大體上可分三種，分別為歐洲單體綜合立法、美國點狀分散立法和日本樹狀保護立法模式。

1.歐盟單體綜合立法模式。2018 年生效的歐盟《一般數據保護條例》（以下簡稱“GDPR”），是一項全面的數據保護法，規范整個歐盟數據隱私處理行為，保護歐盟公民的數據隱私權利［23］。筆者稱之“單體綜合立法模式”，其特點如下：

第一，內容全面，適用廣泛。GDPR內容全面，涵蓋一般條款、適用原則、數據主體的權利、控制者和處理者要求、跨境規范、監管、救濟、責任、懲罰、特定處理情形、授權法案與實施性法案及最后條款［15］41。GDPR 管轄適用范圍廣泛，不僅對在歐盟境內設立或有業務的公司適用，而且對地域之外涉及存儲或處理歐盟公民個人信息的公司也適用，體現出屬地+屬人的超大適用面。

第二，數據使用限制嚴格。GDPR要求個人數據合法使用的前提是征得數據主體“同意”，并且在相應條款規定合法使用必須具備實現合法正當利益、社會公共利益、履行公共職責等⑧。且將是否征得“同意”的舉證責任賦予數據控制者，而數據權利主體享受隨時撤回其同意的權利⑨。GDPR基于監管者的立場，以保護基本人權為出發點，對數據使用的限制秉持“原則上禁止，有合法授權時允許，且個人有權反對或撤回授權”［24］。

第三，健全行政監管機構。GDPR 要求成員國建立監管機構⑩，并賦予監管機構以調查權?。GDPR 對歐盟數據委員會的設立、目標和責任等都作了具體的規定?。完善的監管措施，彰顯出GDPR的實踐性與權威性。

第四，設立風險評估機制。GDPR明確規定了與風險相稱的技術與組織措施，以及進行風險評估的范疇與方式?，如未經過風險評估程序，擅自使用人臉識別技術將會受到行政處罰。

第五，發揮高額處罰震懾力。如果違反GDPR 中的一般條款，可以施加最高1000 萬歐元的罰款，或者與前一年該公司全球總營業額2%進行比較，選擇兩者中較高的罰款?。而違反GDPR 中的特殊條款，比如包括人臉信息處理在內的處理嚴重數據違法行為，將會被施加最高2000萬罰款，或者與前一年全球總營業額4%進行比較，選擇兩者中較高的罰款?。

2.美國點狀分散立法模式。盡管人臉識別技術飛速發展，并且用途日益廣泛，但很大程度上仍不受聯邦政府的管制［25］611。與歐盟不同，美國聯邦層面沒有統一的個人信息隱私法，而是由零散法律法規構成，筆者稱之為“點狀分散立法模式”。特點如下：

第一，聯邦與各州分散立法。美國此立法模式跟聯邦與州的權力配置有關。自2018 年Facebook事件的出現及歐盟GDPR的生效，美國各州加速了關于數據與隱私安全立法進程。據統計，目前美國境內的50個州都通過了防范數據泄漏方面的立法［26］113。

第二，生物識別信息立法完善。2008 年，美國伊利諾伊州的《生物識別信息隱私法案》（簡稱“BIPA”）開啟全美生物識別信息專門保護法先河。2020年的《加州消費者隱私法案》（簡稱“CCPA”）被稱為美國最全面最嚴厲的隱私法案。CCPA 將一些GDPR 適用過程中易產生爭議的數據類型明確納入了其管轄范圍，尤其是音頻、視覺、熱、嗅覺等生物識別信息。

第三，信息使用限制差別較大。同意與隱私是圍繞人臉識別技術應用的重中之重?，BIPA要求機構在收集個人的生物信息之前，需要提供書面通知，并獲得個人的書面同意。而CCPA 僅規定了企業在出售個人信息之前有義務“通知”數據主體，并未將用戶的“同意”作為數據處理是否合法的判斷標準。

第四，健全的司法救濟制度。在司法救濟上，BIPA 規定了民事訴訟、禁止令等救濟方式，并且設置了民事訴訟1000美元至5000美元的賠償標準。CCPA 規定在實際的損害賠償不易舉證時，提起訴訟后消費者可獲得100 至750 美元的賠償。并且設置了民事公益訴訟條款，賦予加州總檢察長以加州人民的名義行使此項權利。

第五，人臉識別技術應用規制專門法案。在政府及公共領域，美國已有多項人臉識別禁限法案。比如，舊金山市于2019 年5 月通過《停止秘密監視條例》，全面禁止舊金山市政府機構使用人臉識別監管技術［27］。奧克蘭市于2019 年7 月通過禁止在公共場所使用人臉識別技術的法令［28］。波士頓市于2020年6月通過人臉識別監控的禁令，禁止任何市政官員通過第三方機構進行人臉識別監控［29］。加利福尼亞州于2020年2月通過《加州人臉識別技術法案》，提出在公共場所使用人臉識別技術，要向個人做出顯著且符合實際特定場景的方式通知［30］。美國參議院2020年2月提出的《人臉識別道德使用法案》要求政府機構暫停使用人臉識別技術，直至委員會形成適用于人臉識別技術的使用準則和限制條件?。在商業領域，美國聯邦參議院于2019年3月提出《商業面部識別隱私法案》，規定商業公司在收集使用人臉識別前，必須經用戶的明示同意。這些法案的提出，展現出美國聯邦和部分州政府對人臉識別技術應用從禁止到限制再轉向規范的趨勢。

3.日本樹狀保護立法模式。日本2005年的《個人信息保護法》（簡稱“PIPA”）在實施十年后，于2015 年進行了大幅修正［31］。日本個人信息保護法律體系主干是PIPA，還包括日本政府各部門以PIPA為基礎制定的通用指導方針［32］，可稱之為“樹狀保護立法模式”。其特點如下：第一，原則上同意，有條件限制。PIPA 將包含因人種、信仰或相關病例等可能會對其本人造成歧視或偏見的個人信息定義為“需加以注意的個人信息”，個人信息處理者使用此類信息需要經過本人同意［33］48-59。第二，設立個人信息專門監管機構。PIPA 規定，個人信息保護委員會有權對所有個人信息處理者進行監管。當出現違法行為時，該委員會可根據情況，采用要求個人信息處理者提交報告或資料，進行例行抽查，或者下達中止違法行為命令等必要的處罰措施［34］。

（二）域外低成本法律規制的經驗借鑒

1.設立專門機構降低行政監管成本。在國家法律實施中，設立專門機構實施行政監管，不僅比職能分散或多頭管理方式降低監管成本，而且能提升行政監管的統一性。美國、歐盟及日本都通過建立專門監管機構對個人信息數據進行監管，發揮了良好的效果。例如：法國國家信息與自由委員會對谷歌違反數據隱私保護相關規定行為處以5000萬歐元罰款［35］，瑞典數據檢查局對一所高中使用人臉識別技術記錄學生上課考勤的行為，開出金額為20萬瑞典克朗的罰款單［36］。專門監管機構除了罰款職權，還應該被賦予實施其他限制措施，包括禁止或要求暫停向第三國接收方提供數據等。

2.充分發揮集體訴訟的低成本優勢。“訴訟行為從經濟學來講是當事人花錢購買司法服務的行為，因此訴訟費負擔制度與當事人的利益是密切相關的。”［37］就單個權利受侵害者而言，聘請律師費、案件受理費、保全費、執行費等成本，都是影響其是否選擇起訴的重要因素。對受害人眾多的案件，集體訴訟無疑是成本收益更優的選擇。美國2019 年Facebook 集體訴訟案涉及700 萬用戶，起初Facebook 面臨每個用戶賠償1000 美元至5000 美元的罰款，總罰款金額最高可能達到350億美元［38］。最終，Facebook 公司于2020 年初對外公布和解協議，將向符合條件的伊利諾伊州用戶支付5.5億美元，并支付了原告的訴訟費［39］。從效益上看，集體訴訟制度在個人信息保護方面發揮了極其重要的作用。

3.通過公益非訴方式降低法律規制成本。基于成本收益分析，由于訴訟成本高加之訴訟結果的不確定性，受害人往往會放棄通過訴訟方式尋求權利救濟。而行業自律在事前進行防范，具有降低國家行政執法和司法成本、社會違法成本及個人訴訟成本的優勢。例如，歐盟GDPR 規定，由行業協會自行起草數據保護的行為準則，建立認證機制。在美國，2019 年各知名互聯網企業紛紛發起自律行動?。2020年，美國隱私保護組織、電子隱私信息中心等40家社會組織，就審慎應用人臉識別技術聯名致信隱私和公民自由監督委員會，呼吁美國政府在“充分審查人臉識別技術風險”之前暫停應用該技術［40］92。這些自律行動能覆蓋各行業，提前進行有針對性的預防措施，在更低的法律規制成本下，實現對權利主體的保障。

四、我國人臉識別技術應用的效益化法律規制措施

“我們可以預見技術的使用將產生明顯的不可取的后果，盡可能多的是，我們需要預見這些后果并制定政策，最大限度地減少新技術的有害影響”［41］29。在法經濟學視角下，以降低法律規制成本，提升國家、社會及個人總體收益為目標，筆者建議從以下方面對人臉識別技術應用進行法律規制。

（一）筑牢國家層面專門立法規范的基礎

1.完善人臉識別技術應用專門立法。2020 年10 月公開征求意見的《個人信息保護法（草案）》對處理敏感個人信息作出更嚴格的限制規定。在立法模式上，筆者建議在我國現有立法體系基礎上，借鑒日本樹狀保護模式。以《網絡安全法》《民法典》《個人信息保護法》等法律為主干，針對特定行業，不同信息類型，諸如人臉識別等生物敏感信息，制定配套的行政法規或者規章，并定期進行更新與修正，充分發揮法律規范的社會治理功能。地方立法的先行者諸如：《杭州市物業管理條例（修訂草案）》規定了物業服務人不得強制業主通過指紋、人臉識別等生物信息方式使用共用設施設備［42］。《天津市社會信用條例》規定，市場信用信息提供單位不得采集自然人的生物識別信息［43］。我國對人臉識別技術規制的地方立法陸續出現，一定程度上加強了該行政區域某個行業對人臉識別技術應用的限制，但是這些零散單一的地方立法，整體加總后的立法成本較高，防御性緊急避險與我國現有的緊急權體系并不沖突，故在全國范圍進行立法規制非常緊迫必要。

2.制定人臉識別技術應用安全標準。我國已有國家標準《信息安全技術個人信息安全規范》，但缺乏從源頭上對技術安全性進行規范的標準。2020 版國家標準新增“個人信息安全工程”的內容?，具體內容可參考《信息安全技術個人信息安全工程指南》（征求意見稿）。2019年出臺的《信息技術安全技術生物特征識別信息的保護要求（征求意見稿）》對我國生物信息保護的規定仍比較籠統，未能對人臉識別進行特殊規制。鑒于人臉識別被認為是模式領域中復雜的生物識別系統之一，由于面部圖像結構不穩定會產生識別偏差［44］278-279，如果在身份驗證環節出錯，極易給權利人造成損失。故建議盡快制定國家層面人臉識別技術應用安全標準，確保行政監管與執法有具體依據，更大限度實現法律規制的功能。

人臉識別技術應用的安全標準，至少應包括以下內容：（1）算法精度最低標準。為減少人臉識別誤差，要求使用的預處理算法能將誤判率控制在1%以下；（2）應用軟件升級時限縮短。根據技術變革與漏洞出現頻次，應用軟件應該采取定期+緊急升級相結合的措施，且定期升級周期不超過一年；（3）安全自檢與反攻擊能力。要求定期進行漏洞自檢，具備攻擊和侵入的預警和修復功能。總之，技術應用標準應做到與時俱進，避免落后的監管阻礙科技的發展。

3.細化人臉識別技術應用的限制規范。對公共使用的限制，主要在刑事偵查、治安管理、人口治理、醫療衛生等領域。使用人臉識別技術要遵循四個原則：（1）避免持續監控，并做到合理的匿名化；（2）避免造成偏見或出現不準確的結果；（3）避免對個人隱私、言論自由或正當程序造成沖擊；（4）限制例外：公共安全、社會秩序、人民生命健康等執法或管理等。就商業使用限制而言，信息收集者、控制者、處理者處理人臉信息應做到最小必要：一是要求收集的人臉信息必須是與實現產品或業務核心功能直接關聯，且其他種類的個人信息無法替代實現產品及業務功能；二是，要確保對人臉信息的使用時間和頻次最低，并及時刪除個人信息。如果超過最低時限（假定3 年）仍繼續使用，需要明確征得信息主體的同意。針對同意規則，有學者主張“人臉信息具有特殊性，除了法定例外情形，其所適用的知情同意原則，應比一般的個人信息所適用的知情同意原則更嚴格，即應堅持書面（written）知情同意原則。”［10］63筆者認為，基于目前互聯網發展現狀，網站、公眾號、小程序、APP 等多種電子網絡化交易成為常態，堅持書面同意并不具備現實可操作性，還會阻礙科學技術的發展。實踐中認真閱讀格式化隱私條款的人極少，問題的關鍵并不在于“同意”的形式，而是需要在國家層面制定限制措施，通過高昂的違法成本迫使不法分子做出守法的行為選擇。

（二）探索全流程預防性法律規制模式

1.設立專門監管機構對人臉識別技術全方位監管。根據2020年《個人信息保護法（草案）》，我國對個人信息監管呈國家網信部協調下的“多頭監管”的模式?，即在國家網信部門協調下，公安部、工信部、中國人民銀行等部門在各自的職責范圍內都有監管權。此種模式難免會出現執法標準不統一、監管真空等問題。設立專門監管機構，從技術源頭進行全流程的行政監管，是保證行政監管效率的有利措施。建議此機構名稱為個人信息保護委員會，并賦予其對人臉識別技術應用各階段行政許可審批權、對侵權人的行政執法及處罰權。對人臉識別技術從研發到應用全過程監管具體包括以下幾點。（1）專利申請階段的安全性審核。《中國人工智能產業知識產權白皮書（2019）》顯示，我國人工智能專利申請量排在世界首位已突破10 萬件，其中人臉識別專利申請達到了2.73萬件，成為最為熱門的領域之一［45］。在技術專利申請審核階段，筆者建議除了審核技術創新性，還要審核其安全性及漏洞修復能力，嚴把技術安全關。（2）技術應用前的準入許可。區分金融、司法、軍隊、公安、邊檢、政府、航天、電力、工廠、醫療等眾多不同領域，進行人臉識別技術應用的風險評估，監管機構對通過的給予行政許可，之后人臉識別技術方可形成商品在該領域應用。（3）在技術實際應用階段，明確國家專門監管機構對人臉識別技術應用定期抽檢，對檢查中發現的問題限期整改，對未經行政許可投產及非法收集、存儲、買賣、使用等侵權行為區別責任進行處罰。

2.建立人臉識別技術應用定量風險評估模型。2020 年《個人信息保護法（草案）》提出對個人信息處理活動前要進行風險評估，并且2020年《信息安全技術個人信息安全影響評估指南》主要以定性的標準為主，筆者建議建立人臉識別應用定量風險評估模型，按照定量取值公式計算出得分，根據得分確定是否通過風險評估，并以此確定人臉識別技術是否被許可使用、限制乃至禁止適用。

就定量風險評估模型而言，最佳方案是設立定量評估系統，操作者直接在固定欄位輸入相應文字、數字，系統自動測試得出結論。但定量風險評估模型設計初期，筆者建議可采取數學公式取值計算的方式，對技術應用產生的風險進行計算，由此得到評估結果。首先，確定風險評估結果Y的數值范圍為（0-100），得分越高說明風險越高；其次，建立風險評估計算公式Y=C1X1+C2X2+C3X3+C4X4+C5X5-M，其中，C代表風險系數，X代表各項風險要素。再次，確定要素X數值范圍為（0～20），X1代表技術安全等級，X2代表使用領域，X3代表使用者自身規模資質，X4代表對個人信息處理目的、處理方式的合法、正當、必要性，X5 代表對權益的影響及受損程度，M 代表緊急狀態。要素C數值范圍為（0～1），C1根據技術安全等級標準列表賦值，安全性越高，對應數值越小。C2根據使用領域在國計民生中的關鍵程度劃分為5 類10 檔對應賦值，C3 綜合考量使用者企業規模，信用情況、數據保護機構設置等因素賦值，C4 對涉及權利主體數量按區間分段賦值，C5 對被采集人臉信息按照面部二位圖片、三維立體參數、活體影像、加之關聯的身份、喜歡、行為習慣等信息的數量綜合賦值。最后，通過公式計算風險評估得分，對照不同領域在許可使用、限制使用、禁止使用最低限制分表，不超過最低限制分才能通過風險評估。當然，科學的定量風險評估需要專業人士共同設計，筆者在此拋磚引玉，力求實現成本更低的法律規制效果。

（三）健全低法治成本的法律規制措施

1.將人臉識別技術應用納入強制保險范圍。在實踐中，當人臉識別技術應用對受害人造成損害，而侵權人又沒有民事賠償能力，會出現承擔了高昂的司法成本，卻存在無法彌補被害人損失的情形。而充分發揮保險的風險分散功能，利用強制保險賠付資金池可以解決受害人獲得實際經濟補償的問題。

筆者建議在我國法律、行政法規規定的范圍內，“建立個人信息安全責任強制保險制度”。人臉識別技術應用機構應當按照國家有關規定投保個人信息安全責任強制保險，明確該項強制保險的受益人為投保人、公益訴訟主體及受害人等。并設置行政處罰條款，對未按規定投保個人信息安全責任強制保險的，由個人信息監督管理部門給予警告、責令改正。拒不改正的，還可以處以罰款等。

2.建立專門協會發揮行業自律預防違法的功能。我國2020年個人信息保護法（草案）提出，相關行業組織參與個人信息保護21。目前中國已有率先制定規則方：如，中國支付清算協會2020年1月21日發布了《人臉識別線下支付行業自律公約（試行）》，公約要求“會員單位應結合特約商戶風險等級及交易類型等因素，設置或與其約定刷臉支付單筆及日累計交易限額。”“要求建立用戶刷臉支付投訴處理流程，切實保護用戶權益。”［46］但這只是個別領域，無法對其他領域人臉識別技術應用進行限制和規制。我國可考慮建立個人信息與數據保護協會，職責是制定個人信息與數據組織行為準則，通過行業自律預防違法行為的出現，降低國家法律規制的成本，維護整個行業的良性發展。

3.構建人臉識別案件多元化公益訴訟機制。在人臉信息被濫用后，“受害者主要有四種救濟選擇：私人訴訟、集體訴訟、小額索償法庭、監管措施。”［47］針對非法收集、利用人臉信息的行為，受害人大多會因為訴訟成本高且結果不確定而放棄主張權利，導致了任由不法分子橫行的后果。司法解決途徑除普通訴訟之外，采取集體訴訟制度、公益訴訟等可以降低單一案件平均訴訟成本。侵犯公民個人信息案往往涉及信息數量巨大，被害人眾多，作案手段隱秘22，社會危害性大。我國上海檢察機關首次將個人信息非法收集引入公益訴訟，隨后全國各地檢察機關紛紛開啟此類業務探索。筆者建議我國公益訴訟的主體應多元明確化，公益訴訟的爭議處理方式要明確化，進一步明確檢察機關之外的可提起公益訴訟的機構，如建立民間人臉識別保護自治組織作為適格主體提起侵犯公民個人信息，尤其是人臉信息受損的公益訴訟。

圖2 人臉識別技術應用低成本法律規制流程

［注釋］：

①審敗訴后，原告向英格蘭及威爾士高等法院提起司法審查之訴，堅持認為警方的行為違反《歐洲人權公約》第8條、《2018年數據保護法》以及《2010 年平等法案》的規定。2020 年8 月11 日，上訴法院推翻了原審法院的判決，認定警方行為非法，侵犯了人權。參見：《解讀世界首例警方使用人臉識別技術合法性判決二審判決》，載于https：//www.sohu.com/a/ 417308068_120057255，查閱日期：2020-09-20。

②參見：杭州市富陽區人民法院（2019）浙0111 民初6971 號判決書，載于https：//wenshu.court.gov.cn/website/ wenshu/181107ANFZ0BXSK4/index.html？DocId=0d5660e6ee794498bbf8ac7d00a8dddb，查閱日期：2020-11-28。

③《民法典》第1035條增設尾款“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等”，將個人信息處理的全過程納入了規制范圍。

④2017 年的《網絡安全法》關于網絡運營者個人信息保護義務有7項保護要求，并明確將個人生物識別信息納入個人信息范圍，但對于信息的使用、存儲、運輸、管理仍需進一步細化。

⑤2020年版國家規范對個人信息收集、儲存、使用、共享、轉讓、公開披露、刪除等活動做出了規定，尤其是對個人生物識別信息的收集、儲存作了規定：第一，在收集個人生物識別信息前，應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規則，并征得個人信息主體的明示同意。第二，個人生物識別信息要與個人身份信息分開存儲；第三，原則上不應存儲原始個人生物識別信息，在使用面部識別特征、指紋、掌紋、虹膜等實現識別身份、認證等功能后刪除可提取個人生物識別信息的原始圖像。參見：路還長的《新版〈信息安全技術個人信息安全規范〉解讀》，載于https：//www.xianjichina.com/news/details_189628.html查閱日期：2020-09-30。

⑥本文所稱的效率，含義為達到帕累托最優（以意大利經濟學家維弗雷多·帕累托的名字命名），也稱為帕累托效率，是指資源分配的一種理想狀態，通過帕累托改進實現，是公平與效率的“理想王國”。帕累托改進是假定固有的一群人和可分配的資源，從一種分配狀態到另一種狀態的變化中，在沒有使任何人境況變壞的前提下，使得至少一個人變得更好。帕累托最優狀態就是不可能再有更多的帕累托改進的余地。

⑦歐盟成員國大多使用“個人數據”概念；普通法國家（英國除外），如：美國、澳大利亞、加拿大，以及受美國影響較大的APEC，大多使用“隱私”概念；日本、韓國、俄羅斯等國，則使用“個人信息”概念。

⑧See GDPR Art6 para.1（b）-（f），Source：https：//gdpr-info.eu/.

⑨See GDPR Art7，Source：https：//gdpr-info.eu/.

⑩See GDPR Art51，Source：https：//gdpr-info.eu/.

?See GDPR Art58 para.1，Source：https：//gdpr-info.eu/.

?See GDPR Art68 para.1 para.3，Source：https：//gdpr-info.eu/.

?See GDPR Art32，Art35 para.1，Source：https：//gdpr-info.eu/.

?See GDPR Art83 para.4，Source：https：//gdpr-info.eu/.

?See GDPR Art83 para.5，Source：https：//gdpr-info.eu/.

?See Vincent Nguyen，Shopping for Privacy：How Technology in Brick-and-Mortar Retail Stores Poses Privacy Risks for Shoppers，29 FORDHAM INTELL.PROP.MEDIA &ENT.L.J.543-544，（2019）（describing the technical workings of facial rec‐ognition systems and the major legal concerns that arise from the use of this technology）.

?See“Ethical Use of Facial Recognition Act”section 4.

?Facebook 向人工智能創業公司ClearviewAI 發送了停止和終止函，要求其停止因執法目的而利用人臉數據識別用戶身份。電商巨頭亞馬遜公司將對美國警方使用其人臉識別軟件實施一年的暫停期。微軟刪除了全球最大的公開人臉識別數據庫MS Celeb。谷歌也表示在出臺阻止人臉識別技術被濫用的政策前，會暫停對外出售相關技術及產品。

?詳見《信息安全技術個人信息安全規范》第11.2條規定。

?詳見《中華人民共和國個人信息保護法（草案）》第56條規定。

21詳見《中華人民共和國個人信息保護法（草案）》第11條規定。

22“阮某侵犯公民個人信息案”，詳見《紹興市越城區人民法院（2019）浙0602刑初151號刑事判決書》。