刷臉時代，“人臉識別”的喜與憂

本社記者 劉海燕

4月9日，備受關(guān)注的“人臉識別第一案”迎來了終審判決。杭州市中級人民法院二審判決杭州野生動物世界賠償郭兵1038元，同時判決杭州野生動物世界刪除郭兵辦理指紋年卡時提交的包括照片在內(nèi)的面部特征信息以及指紋識別信息。

“人臉識別第一案”拉開了人臉信息司法保護(hù)的序幕。人們希望該案能夠發(fā)揮出影響性訴訟的示范意義，推動個案正義走向制度正義。而規(guī)范人臉識別技術(shù)應(yīng)用、防范人臉識別法律風(fēng)險，尋求個人信息保護(hù)和人臉識別技術(shù)應(yīng)用之間的平衡，則是法治的不二選擇。

“人臉識別”亟待規(guī)制

近年來，我國的人臉識別技術(shù)發(fā)展迅速，人臉識別技術(shù)及人臉識別產(chǎn)品已廣泛用于政府、金融、商務(wù)、教育、醫(yī)療、安全防務(wù)、司法等眾多領(lǐng)域。隨著該項(xiàng)技術(shù)的不斷完善和社會對其認(rèn)同度的進(jìn)一步提高，可以預(yù)見，未來人臉識別技術(shù)將會應(yīng)用到更多的領(lǐng)域，發(fā)揮難以估量的更大作用。但由于人臉識別技術(shù)的復(fù)雜性及其技術(shù)規(guī)范和法律規(guī)制的不足，也存在著被濫用的風(fēng)險。去年網(wǎng)上曝出了“戴頭盔看房”的視頻，今年央視的“3·15”晚會又曝光了多家商店安裝人臉識別攝像頭的現(xiàn)象，人們在享受諸多便利的同時，也開始審視濫用人臉識別技術(shù)對個人信息保護(hù)的新挑戰(zhàn)。規(guī)制人臉識別已成為當(dāng)務(wù)之急。

關(guān)于人臉識別技術(shù)的特征和風(fēng)險，中央財經(jīng)大學(xué)法學(xué)院教授邢會強(qiáng)認(rèn)為，人臉具有獨(dú)特性、方便性、不可更改性、變化性、易采集性、不可匿名性、多維性等特征，這些特征決定了人臉識別技術(shù)的復(fù)雜性。而現(xiàn)實(shí)中很多收集人臉信息的機(jī)構(gòu)并不具備相應(yīng)的能力，人臉識別技術(shù)的風(fēng)險不可小覷。他認(rèn)為，人臉識別技術(shù)的風(fēng)險主要有誤差風(fēng)險、身份認(rèn)證被破解的風(fēng)險、信息泄露的風(fēng)險等。由于生物信息具有100%的可識別性，如果被泄露或者被不當(dāng)使用，其造成的后果是難以估量的。

因此，尋求個人信息保護(hù)與人臉識別技術(shù)應(yīng)用之間的平衡，合理規(guī)范人臉識別技術(shù)應(yīng)用，依法保護(hù)好個人信息，就成為法治的一道必答題。

“人臉識別”暴露個人信息保護(hù)制度漏洞

我國現(xiàn)行法律如何保護(hù)人臉特征信息，防范“人臉識別”帶來的風(fēng)險？記者注意到，我國現(xiàn)行的法律并沒有明確對“人臉識別”作出具體規(guī)定，但對于個人信息卻是有明確保護(hù)要求的。目前，可通過對個人信息保護(hù)法律的一般規(guī)定尋求人臉特征信息保護(hù)，以期防范“人臉識別”風(fēng)險。

>>視覺中國供圖

如2013年修訂的消費(fèi)者權(quán)益保護(hù)法增加了消費(fèi)者“享有個人信息依法得到保護(hù)的權(quán)利”，并就侵害消費(fèi)者該項(xiàng)權(quán)利的民事責(zé)任作出了規(guī)定。這是我國法律首次從民事權(quán)利的角度對個人信息進(jìn)行規(guī)定。

又如，網(wǎng)絡(luò)安全法將生物識別信息納入到個人信息當(dāng)中，給予相應(yīng)的保護(hù)。第七十六條第5項(xiàng)明確規(guī)定：個人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。上述規(guī)定中的“生物識別信息”就包含人臉特征信息。

再如，2021年1月1日起開始施行的民法典，明確將以人臉信息為代表的生物識別信息納入了個人信息的保護(hù)范疇。民法典第一千零三十四條規(guī)定：個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

具體怎么提供對個人生物識別信息的保護(hù)？清華大學(xué)法學(xué)院副院長程嘯教授指出，我國民法典對此提供了多重保護(hù)方法：一是對于自然人的臉部特征等在一定載體上所反映的特定自然人可以被識別的外部形象，因其屬于肖像，故此受到作為人格權(quán)的肖像權(quán)的保護(hù)。任何組織或者個人不得以丑化、污損或者利用信息技術(shù)手段偽造等方式侵害他人的肖像權(quán)，未經(jīng)肖像權(quán)人同意，任何組織或者個人不得非法制作、使用、公開肖像權(quán)人的肖像。二是如果對自然人人臉等生物識別信息的采集的是偷拍偷錄等方式，則該行為構(gòu)成侵害隱私權(quán)。民法典第一千零三十三條明確禁止任何組織或者個人在未經(jīng)權(quán)利人的明確同意或者法律另有規(guī)定的情形下，拍攝、窺視、竊聽、公開他人的私密活動，拍攝、窺視他人身體的私密部位，處理他人的私密信息。三是對自然人的聲音，明確規(guī)定應(yīng)參照適用肖像權(quán)保護(hù)的有關(guān)規(guī)定給予保護(hù)。四是對于生物識別信息，如果屬于私密信息的，則適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護(hù)的規(guī)定。

>>資料圖

刑事法律則是對侵犯個人信息的行為規(guī)定了相應(yīng)的法律責(zé)任。2015年11月1日起施行的《刑法修正案（九）》，擴(kuò)大了侵犯公民個人信息罪的犯罪主體和個人信息的范圍，明確規(guī)定“違反國家有關(guān)規(guī)定，將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息，出售或者提供給他人的”“竊取或者以其他方法非法獲取公民個人信息的”，均涉嫌構(gòu)成侵犯公民個人信息罪。上述規(guī)定中的“公民個人信息”，也包括人臉特征信息等個人敏感信息。

記者了解到，盡管我國個人信息保護(hù)法律制度在逐步建立，但仍難以適應(yīng)信息化快速發(fā)展的現(xiàn)實(shí)情況和人民日益增長的美好生活需要。由于目前我國法律并沒有直接對“人臉識別”作出具體規(guī)定，且我國個人信息保護(hù)的相關(guān)法律規(guī)定呈現(xiàn)出“碎片化”“散亂化”“板塊化”的特點(diǎn)，不夠具體明確，在現(xiàn)有法律框架下將無法有效實(shí)現(xiàn)對“人臉識別”的規(guī)制。要有效防范濫用“人臉識別”對個人信息保護(hù)帶來的風(fēng)險，法律亟須跟上信息技術(shù)的發(fā)展，增強(qiáng)法律規(guī)范的系統(tǒng)性、針對性和可操作性。

“人臉識別”國家標(biāo)準(zhǔn)先行

記者在采訪中感受到，我國對人臉識別技術(shù)所采取的態(tài)度不同于歐盟統(tǒng)一禁止的模式。

邢會強(qiáng)教授表示，我國目前對包括人臉信息在內(nèi)的生物識別信息的特別保護(hù)呈現(xiàn)出軟法先行的特點(diǎn)。2020年2月，全國金融標(biāo)準(zhǔn)化技術(shù)委員會審查通過了《個人金融信息保護(hù)技術(shù)規(guī)范》（J R/T 0171-2020）。同年3月，我國國家標(biāo)準(zhǔn)G B/T 35273-2020《信息安全技術(shù)個人信息安全規(guī)范》進(jìn)行了修訂。2020年11月26日，工信部組織發(fā)布了電信終端產(chǎn)業(yè)協(xié)會團(tuán)體標(biāo)準(zhǔn)《A p p收集使用個人信息最小必要評估規(guī)范人臉信息》。

2021年4月25日，《信息安全技術(shù)人臉識別數(shù)據(jù)安全要求》國家標(biāo)準(zhǔn)的征求意見稿面向社會公開征求意見，擬通過制定國家標(biāo)準(zhǔn)來解決人臉數(shù)據(jù)濫采、泄露或丟失以及過度存儲、使用等問題。國家標(biāo)準(zhǔn)要求，收集人臉識別數(shù)據(jù)時應(yīng)征得數(shù)據(jù)主體明示同意，不得利用人臉識別數(shù)據(jù)評估或預(yù)測數(shù)據(jù)主體工作表現(xiàn)、經(jīng)濟(jì)狀況、健康狀況、偏好、興趣等情況。同時，應(yīng)提供除人臉識別外的其他身份識別方式供用戶選擇，不應(yīng)因用戶不同意收集人臉識別數(shù)據(jù)而拒絕數(shù)據(jù)主體使用基本業(yè)務(wù)功能等。針對人臉圖像，國標(biāo)要求應(yīng)在完成驗(yàn)證或辨識后立即刪除，如果開發(fā)商希望存儲人臉圖像，同樣要經(jīng)過數(shù)據(jù)主體單獨(dú)書面授權(quán)同意。

由于國家標(biāo)準(zhǔn)不具有法律強(qiáng)制性，對于國家標(biāo)準(zhǔn)如何有效執(zhí)行，中國社會科學(xué)院法學(xué)研究所研究員劉仁文、浙江理工大學(xué)法政學(xué)院法律系副主任鄭旭江在《人臉識別技術(shù)的應(yīng)用風(fēng)險和法律規(guī)制》一文中指出，個人信息領(lǐng)域的行業(yè)標(biāo)準(zhǔn)兼具技術(shù)和制度的雙重屬性，決定了我們應(yīng)在制定科學(xué)標(biāo)準(zhǔn)的同時加以有效執(zhí)行，以最終形成全行業(yè)普遍遵從的共識。

為確保標(biāo)準(zhǔn)落地，上述兩位學(xué)者認(rèn)為，應(yīng)進(jìn)一步明確中央和地方層面的監(jiān)管機(jī)構(gòu)和監(jiān)管事項(xiàng)，突出國家和地方網(wǎng)信辦的牽頭作用，避免不同監(jiān)管機(jī)構(gòu)窗口指導(dǎo)中潛在的隨意性和模糊性；采取分級分類制度對人臉識別技術(shù)的軟硬件進(jìn)行專業(yè)認(rèn)證，以確保人臉識別的安全性和準(zhǔn)確性；建立“檢測評估類”機(jī)制，以針對現(xiàn)有標(biāo)準(zhǔn)設(shè)定可執(zhí)行和可重復(fù)的驗(yàn)收規(guī)則與核查程序。同時，整合全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會網(wǎng)站、中國知網(wǎng)標(biāo)準(zhǔn)庫等信息源，推動統(tǒng)一的標(biāo)準(zhǔn)信息公開平臺建設(shè)，以指導(dǎo)不同主體在人臉識別技術(shù)領(lǐng)域的合規(guī)運(yùn)行。

邢會強(qiáng)教授則認(rèn)為，軟法欠缺強(qiáng)制力的特點(diǎn)，決定了對包括人臉信息在內(nèi)的個人生物識別信息的特別保護(hù)離不開硬法的托底。因此，我們應(yīng)在及時總結(jié)軟法的成熟的治理工具和治理經(jīng)驗(yàn)的基礎(chǔ)上，及時將軟法規(guī)范上升為硬法規(guī)定。

但中國法學(xué)會法治研究所研究員劉金瑞認(rèn)為，應(yīng)該走法律和標(biāo)準(zhǔn)同向發(fā)力、剛?cè)岵?jì)的治理之路，對于技術(shù)性很強(qiáng)的新興問題，考慮到技術(shù)發(fā)展尚未定型，法律一開始不可能規(guī)定得很細(xì)致，只能先明確底線紅線，往往表現(xiàn)為先規(guī)定一些法定原則，比如規(guī)定不能侵害主體的合法權(quán)益，而由標(biāo)準(zhǔn)去細(xì)化具體技術(shù)應(yīng)用場景中不侵害主體合法權(quán)益的良好做法。拿的準(zhǔn)的一些做法可以規(guī)定為強(qiáng)制性標(biāo)準(zhǔn)，需要經(jīng)過實(shí)踐驗(yàn)證的一些做法可以先規(guī)定為推薦性標(biāo)準(zhǔn)，不管是強(qiáng)制性標(biāo)準(zhǔn)還是推薦性標(biāo)準(zhǔn)，都可以為之后的細(xì)化立法積累有益經(jīng)驗(yàn)。但只靠國家標(biāo)準(zhǔn)尤其是目前以推薦性標(biāo)準(zhǔn)為主，是遠(yuǎn)遠(yuǎn)不夠的，不具有強(qiáng)制力的推薦性標(biāo)準(zhǔn)，無法為相關(guān)主體的合法權(quán)益提供充分保護(hù)。

人臉特征信息保護(hù)進(jìn)入立法視野

慶幸的是，2021年4月29日，全國人大常委會公布了個人信息保護(hù)法草案二審稿并公開征求意見。草案二審稿中對人臉識別進(jìn)行了專門規(guī)定，為應(yīng)對人臉識別新技術(shù)對個人信息保護(hù)帶來的新挑戰(zhàn)，從源頭上防范人臉特征信息等敏感個人信息被非法收集和濫用提供具體的法律依據(jù)。個人信息保護(hù)法被列為2021年立法計劃，將在三審后審議通過。目前草案二審稿對人臉識別的專門規(guī)定較為原則，尚需在公開征求意見的基礎(chǔ)上修改補(bǔ)充。

如何平衡好個人信息的保護(hù)與利用的關(guān)系？中國法學(xué)會副會長、中國法學(xué)會民法學(xué)研究會會長、中國人民大學(xué)一級教授王利明在《人臉信息是敏感信息和核心隱私應(yīng)該強(qiáng)化保護(hù)》一文中指出，人臉信息屬于隱私權(quán)，應(yīng)該強(qiáng)調(diào)保護(hù)而非利用。他指出，在法律層面上如何平衡好個人信息的保護(hù)與利用的關(guān)系，是各國個人信息保護(hù)法制定時需要考慮的最大問題。人臉信息比較特殊，與一般個人信息有所不同，涉及隱私和個人信息的交叉。人臉信息不僅是個人信息，實(shí)際上還包括個人核心隱私。所以，人臉信息應(yīng)該成為隱私權(quán)的重要組成部分。他更傾向于將人臉信息等敏感信息與一般的信息保護(hù)進(jìn)行區(qū)別對待，在如何平衡“利用與保護(hù)”兩者關(guān)系時，人臉信息要更注重保護(hù)，而其他非敏感信息則是更多地強(qiáng)調(diào)“利用”。

中國人民大學(xué)法學(xué)院副教授郭銳在2021年3月22日至23日召開的“中英個人信息保護(hù)法研討會”上指出：“在倫理層面，利益平衡的方法可能陷入倫理相對主義的困境。以人臉識別為代表的人工智能的發(fā)展存在‘終極準(zhǔn)則難題’和‘因果關(guān)系難題’。前者表現(xiàn)為社會對諸多問題的價值判斷缺乏共識；后者體現(xiàn)在人類缺乏對全部后果的認(rèn)知，對決策結(jié)果的倫理性判斷不足。對此，可以從‘人的根本利益原則’和‘責(zé)任原則’兩個方面思考法律規(guī)制的路徑。同時還要更加注重問題產(chǎn)生的社會背景，關(guān)注社會的長遠(yuǎn)利益和弱勢群體的利益?！?/p>

對于完善個人信息保護(hù)法對人臉識別技術(shù)的法律規(guī)則，邢會強(qiáng)教授認(rèn)為應(yīng)從三個方面入手：一是建立健全一體適用的安全與責(zé)任底線；二是區(qū)分公私部門配置不同的規(guī)制重心，對政府部門使用人臉識別技術(shù)應(yīng)以事前事中規(guī)制為主，對非政府部門使用人臉識別技術(shù)應(yīng)以事中事后規(guī)制為主；三是對人臉信息的采集施加比對一般個人信息的采集更強(qiáng)的規(guī)制力度。

中國人民大學(xué)民商事法律科學(xué)研究中心執(zhí)行主任、法學(xué)院教授石佳友在“中英個人信息保護(hù)法研討會”上指出：“人臉信息的收集會嚴(yán)重威脅個人隱私，人臉識別技術(shù)也會造成人身、財產(chǎn)和心理上的安全隱憂，人臉識別算法更可能造成對特定群體的歧視和‘自由危機(jī)’?！?/p>

他強(qiáng)調(diào)，應(yīng)當(dāng)貫徹民法典確立的合法、正當(dāng)、必要原則，建立人臉識別的技術(shù)準(zhǔn)入審查機(jī)制，落實(shí)有效的知情同意原則，嚴(yán)格限制“概括同意”的應(yīng)用場景，引入“動態(tài)知情同意”模式。此外，還應(yīng)當(dāng)嚴(yán)格規(guī)制公共視頻的人臉識別應(yīng)用，強(qiáng)調(diào)“基于預(yù)防、調(diào)查違法、犯罪行為等目的”，并增加“依法保護(hù)個人的隱私權(quán)等合法權(quán)益”的規(guī)定。

關(guān)于增強(qiáng)人臉識別法律規(guī)定的可操作性，中國法學(xué)會網(wǎng)絡(luò)與信息法學(xué)研究會負(fù)責(zé)人、中國社會科學(xué)院法學(xué)研究所副所長周漢華研究員建議，在個人信息保護(hù)法出臺后，應(yīng)盡快制定可操作的管理細(xì)則。管理部門與市場主體都要高度重視，共同努力，防止技術(shù)濫用，培育安寧、和諧、寬松的社會環(huán)境。

我們相信，個人信息保護(hù)法的頒布實(shí)施，將有助于在法治的軌道上建立個人信息保護(hù)和人臉識別技術(shù)應(yīng)用之間的平衡，更好地平衡好個人信息保護(hù)與數(shù)字經(jīng)濟(jì)發(fā)展的關(guān)系，平衡好保護(hù)個人信息和維護(hù)公共安全的關(guān)系，形成信息安全、技術(shù)進(jìn)步協(xié)同發(fā)展的良好趨勢，使人臉識別技術(shù)更好地造福于社會，使民眾更有幸福感和安全感。