刷臉時代，“人臉識別”的喜與憂

本社記者 劉海燕

4月9日，備受關注的“人臉識別第一案”迎來了終審判決。杭州市中級人民法院二審判決杭州野生動物世界賠償郭兵1038元，同時判決杭州野生動物世界刪除郭兵辦理指紋年卡時提交的包括照片在內的面部特征信息以及指紋識別信息。

“人臉識別第一案”拉開了人臉信息司法保護的序幕。人們希望該案能夠發揮出影響性訴訟的示范意義，推動個案正義走向制度正義。而規范人臉識別技術應用、防范人臉識別法律風險，尋求個人信息保護和人臉識別技術應用之間的平衡，則是法治的不二選擇。

“人臉識別”亟待規制

近年來，我國的人臉識別技術發展迅速，人臉識別技術及人臉識別產品已廣泛用于政府、金融、商務、教育、醫療、安全防務、司法等眾多領域。隨著該項技術的不斷完善和社會對其認同度的進一步提高，可以預見，未來人臉識別技術將會應用到更多的領域，發揮難以估量的更大作用。但由于人臉識別技術的復雜性及其技術規范和法律規制的不足，也存在著被濫用的風險。去年網上曝出了“戴頭盔看房”的視頻，今年央視的“3·15”晚會又曝光了多家商店安裝人臉識別攝像頭的現象，人們在享受諸多便利的同時，也開始審視濫用人臉識別技術對個人信息保護的新挑戰。規制人臉識別已成為當務之急。

關于人臉識別技術的特征和風險，中央財經大學法學院教授邢會強認為，人臉具有獨特性、方便性、不可更改性、變化性、易采集性、不可匿名性、多維性等特征，這些特征決定了人臉識別技術的復雜性。而現實中很多收集人臉信息的機構并不具備相應的能力，人臉識別技術的風險不可小覷。他認為，人臉識別技術的風險主要有誤差風險、身份認證被破解的風險、信息泄露的風險等。由于生物信息具有100%的可識別性，如果被泄露或者被不當使用，其造成的后果是難以估量的。

因此，尋求個人信息保護與人臉識別技術應用之間的平衡，合理規范人臉識別技術應用，依法保護好個人信息，就成為法治的一道必答題。

“人臉識別”暴露個人信息保護制度漏洞

我國現行法律如何保護人臉特征信息，防范“人臉識別”帶來的風險？記者注意到，我國現行的法律并沒有明確對“人臉識別”作出具體規定，但對于個人信息卻是有明確保護要求的。目前，可通過對個人信息保護法律的一般規定尋求人臉特征信息保護，以期防范“人臉識別”風險。

>>視覺中國供圖

如2013年修訂的消費者權益保護法增加了消費者“享有個人信息依法得到保護的權利”，并就侵害消費者該項權利的民事責任作出了規定。這是我國法律首次從民事權利的角度對個人信息進行規定。

又如，網絡安全法將生物識別信息納入到個人信息當中，給予相應的保護。第七十六條第5項明確規定：個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。上述規定中的“生物識別信息”就包含人臉特征信息。

再如，2021年1月1日起開始施行的民法典，明確將以人臉信息為代表的生物識別信息納入了個人信息的保護范疇。民法典第一千零三十四條規定：個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

具體怎么提供對個人生物識別信息的保護？清華大學法學院副院長程嘯教授指出，我國民法典對此提供了多重保護方法：一是對于自然人的臉部特征等在一定載體上所反映的特定自然人可以被識別的外部形象，因其屬于肖像，故此受到作為人格權的肖像權的保護。任何組織或者個人不得以丑化、污損或者利用信息技術手段偽造等方式侵害他人的肖像權，未經肖像權人同意，任何組織或者個人不得非法制作、使用、公開肖像權人的肖像。二是如果對自然人人臉等生物識別信息的采集的是偷拍偷錄等方式，則該行為構成侵害隱私權。民法典第一千零三十三條明確禁止任何組織或者個人在未經權利人的明確同意或者法律另有規定的情形下，拍攝、窺視、竊聽、公開他人的私密活動，拍攝、窺視他人身體的私密部位，處理他人的私密信息。三是對自然人的聲音，明確規定應參照適用肖像權保護的有關規定給予保護。四是對于生物識別信息，如果屬于私密信息的，則適用有關隱私權的規定；沒有規定的，適用有關個人信息保護的規定。

>>資料圖

刑事法律則是對侵犯個人信息的行為規定了相應的法律責任。2015年11月1日起施行的《刑法修正案（九）》，擴大了侵犯公民個人信息罪的犯罪主體和個人信息的范圍，明確規定“違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的”“竊取或者以其他方法非法獲取公民個人信息的”，均涉嫌構成侵犯公民個人信息罪。上述規定中的“公民個人信息”，也包括人臉特征信息等個人敏感信息。

記者了解到，盡管我國個人信息保護法律制度在逐步建立，但仍難以適應信息化快速發展的現實情況和人民日益增長的美好生活需要。由于目前我國法律并沒有直接對“人臉識別”作出具體規定，且我國個人信息保護的相關法律規定呈現出“碎片化”“散亂化”“板塊化”的特點，不夠具體明確，在現有法律框架下將無法有效實現對“人臉識別”的規制。要有效防范濫用“人臉識別”對個人信息保護帶來的風險，法律亟須跟上信息技術的發展，增強法律規范的系統性、針對性和可操作性。

“人臉識別”國家標準先行

記者在采訪中感受到，我國對人臉識別技術所采取的態度不同于歐盟統一禁止的模式。

邢會強教授表示，我國目前對包括人臉信息在內的生物識別信息的特別保護呈現出軟法先行的特點。2020年2月，全國金融標準化技術委員會審查通過了《個人金融信息保護技術規范》（J R/T 0171-2020）。同年3月，我國國家標準G B/T 35273-2020《信息安全技術個人信息安全規范》進行了修訂。2020年11月26日，工信部組織發布了電信終端產業協會團體標準《A p p收集使用個人信息最小必要評估規范人臉信息》。

2021年4月25日，《信息安全技術人臉識別數據安全要求》國家標準的征求意見稿面向社會公開征求意見，擬通過制定國家標準來解決人臉數據濫采、泄露或丟失以及過度存儲、使用等問題。國家標準要求，收集人臉識別數據時應征得數據主體明示同意，不得利用人臉識別數據評估或預測數據主體工作表現、經濟狀況、健康狀況、偏好、興趣等情況。同時，應提供除人臉識別外的其他身份識別方式供用戶選擇，不應因用戶不同意收集人臉識別數據而拒絕數據主體使用基本業務功能等。針對人臉圖像，國標要求應在完成驗證或辨識后立即刪除，如果開發商希望存儲人臉圖像，同樣要經過數據主體單獨書面授權同意。

由于國家標準不具有法律強制性，對于國家標準如何有效執行，中國社會科學院法學研究所研究員劉仁文、浙江理工大學法政學院法律系副主任鄭旭江在《人臉識別技術的應用風險和法律規制》一文中指出，個人信息領域的行業標準兼具技術和制度的雙重屬性，決定了我們應在制定科學標準的同時加以有效執行，以最終形成全行業普遍遵從的共識。

為確保標準落地，上述兩位學者認為，應進一步明確中央和地方層面的監管機構和監管事項，突出國家和地方網信辦的牽頭作用，避免不同監管機構窗口指導中潛在的隨意性和模糊性；采取分級分類制度對人臉識別技術的軟硬件進行專業認證，以確保人臉識別的安全性和準確性；建立“檢測評估類”機制，以針對現有標準設定可執行和可重復的驗收規則與核查程序。同時，整合全國信息安全標準化技術委員會網站、中國知網標準庫等信息源，推動統一的標準信息公開平臺建設，以指導不同主體在人臉識別技術領域的合規運行。

邢會強教授則認為，軟法欠缺強制力的特點，決定了對包括人臉信息在內的個人生物識別信息的特別保護離不開硬法的托底。因此，我們應在及時總結軟法的成熟的治理工具和治理經驗的基礎上，及時將軟法規范上升為硬法規定。

但中國法學會法治研究所研究員劉金瑞認為，應該走法律和標準同向發力、剛柔并濟的治理之路，對于技術性很強的新興問題，考慮到技術發展尚未定型，法律一開始不可能規定得很細致，只能先明確底線紅線，往往表現為先規定一些法定原則，比如規定不能侵害主體的合法權益，而由標準去細化具體技術應用場景中不侵害主體合法權益的良好做法。拿的準的一些做法可以規定為強制性標準，需要經過實踐驗證的一些做法可以先規定為推薦性標準，不管是強制性標準還是推薦性標準，都可以為之后的細化立法積累有益經驗。但只靠國家標準尤其是目前以推薦性標準為主，是遠遠不夠的，不具有強制力的推薦性標準，無法為相關主體的合法權益提供充分保護。

人臉特征信息保護進入立法視野

慶幸的是，2021年4月29日，全國人大常委會公布了個人信息保護法草案二審稿并公開征求意見。草案二審稿中對人臉識別進行了專門規定，為應對人臉識別新技術對個人信息保護帶來的新挑戰，從源頭上防范人臉特征信息等敏感個人信息被非法收集和濫用提供具體的法律依據。個人信息保護法被列為2021年立法計劃，將在三審后審議通過。目前草案二審稿對人臉識別的專門規定較為原則，尚需在公開征求意見的基礎上修改補充。

如何平衡好個人信息的保護與利用的關系？中國法學會副會長、中國法學會民法學研究會會長、中國人民大學一級教授王利明在《人臉信息是敏感信息和核心隱私應該強化保護》一文中指出，人臉信息屬于隱私權，應該強調保護而非利用。他指出，在法律層面上如何平衡好個人信息的保護與利用的關系，是各國個人信息保護法制定時需要考慮的最大問題。人臉信息比較特殊，與一般個人信息有所不同，涉及隱私和個人信息的交叉。人臉信息不僅是個人信息，實際上還包括個人核心隱私。所以，人臉信息應該成為隱私權的重要組成部分。他更傾向于將人臉信息等敏感信息與一般的信息保護進行區別對待，在如何平衡“利用與保護”兩者關系時，人臉信息要更注重保護，而其他非敏感信息則是更多地強調“利用”。

中國人民大學法學院副教授郭銳在2021年3月22日至23日召開的“中英個人信息保護法研討會”上指出：“在倫理層面，利益平衡的方法可能陷入倫理相對主義的困境。以人臉識別為代表的人工智能的發展存在‘終極準則難題’和‘因果關系難題’。前者表現為社會對諸多問題的價值判斷缺乏共識；后者體現在人類缺乏對全部后果的認知，對決策結果的倫理性判斷不足。對此，可以從‘人的根本利益原則’和‘責任原則’兩個方面思考法律規制的路徑。同時還要更加注重問題產生的社會背景，關注社會的長遠利益和弱勢群體的利益?！?/p>

對于完善個人信息保護法對人臉識別技術的法律規則，邢會強教授認為應從三個方面入手：一是建立健全一體適用的安全與責任底線；二是區分公私部門配置不同的規制重心，對政府部門使用人臉識別技術應以事前事中規制為主，對非政府部門使用人臉識別技術應以事中事后規制為主；三是對人臉信息的采集施加比對一般個人信息的采集更強的規制力度。

中國人民大學民商事法律科學研究中心執行主任、法學院教授石佳友在“中英個人信息保護法研討會”上指出：“人臉信息的收集會嚴重威脅個人隱私，人臉識別技術也會造成人身、財產和心理上的安全隱憂，人臉識別算法更可能造成對特定群體的歧視和‘自由危機’。”

他強調，應當貫徹民法典確立的合法、正當、必要原則，建立人臉識別的技術準入審查機制，落實有效的知情同意原則，嚴格限制“概括同意”的應用場景，引入“動態知情同意”模式。此外，還應當嚴格規制公共視頻的人臉識別應用，強調“基于預防、調查違法、犯罪行為等目的”，并增加“依法保護個人的隱私權等合法權益”的規定。

關于增強人臉識別法律規定的可操作性，中國法學會網絡與信息法學研究會負責人、中國社會科學院法學研究所副所長周漢華研究員建議，在個人信息保護法出臺后，應盡快制定可操作的管理細則。管理部門與市場主體都要高度重視，共同努力，防止技術濫用，培育安寧、和諧、寬松的社會環境。

我們相信，個人信息保護法的頒布實施，將有助于在法治的軌道上建立個人信息保護和人臉識別技術應用之間的平衡，更好地平衡好個人信息保護與數字經濟發展的關系，平衡好保護個人信息和維護公共安全的關系，形成信息安全、技術進步協同發展的良好趨勢，使人臉識別技術更好地造福于社會，使民眾更有幸福感和安全感。