人臉識別問題的法律規制

龔曉蔚 王 敏

（陜西理工大學，陜西 漢中 723001）

日前，“動物園人臉識別第一案”引起了人們的注意。背后折射出的是普通民眾的存疑心理：動物園是否有收集公民人臉信息的權利？其如何保證客戶臉部信息的安全性？而人臉識別技術使用的門檻又如此之低嗎？法律作為規范社會秩序的“守門人”，有必要對這一系列的問題作出回應，從而厘清有權與無權、合法與非法的界限，進一步提出如何從法律路徑上來規范人們的行為、提高企業的自律以及表明政府的責任。

一、人臉識別相關問題概述

人臉識別，是指基于人的臉部特征信息進行身份識別的一種生物識別技術。人臉信息具有各種特殊性，人臉識別技術很大程度上受到人臉特征的影響，從而形成了其復雜性的特征。因而，有必要對人臉信息的特征一一陳述。

（一）人臉信息的唯一性

所謂“唯一”，也就是獨有的、不可復制的。據最近一次世界人口統計，目前世界人口總數已近76億。然而在這其中，卻很難找出兩個相貌完全一樣的人，哪怕是雙胞胎，也有細枝末節的差別。因為每個個體都有屬于自己的臉部特征，眉、眼、鼻、嘴形態各異，所構成的綜合體千姿百態。所以，在使用人臉識別技術時，就很容易辨別是與非了。

（二）人臉信息的易采集性

易采集性，是指采集的方式和途徑多樣且便利。現如今，自媒體發達，人臉識別逐步由技術化偏向娛樂化。2018年底，根據中國消費者協會發布的《100款App個人信息收集與隱私政策測評報告》顯示，10類100款App中，多達91款App列出的權限涉嫌“越界”，存在過度收集用戶個人信息的問題。而個人信息中包含的14項信息，僅生物識別信息就占比10%。由此可見人臉信息采集的簡易程度。

（三）人臉信息的不可更改性

不可更改，即不能改變。學者林凌、賀小石［1］在其文章中提到，人臉信息不同于手機號、密碼等常見的個人信息，手機號可以換、密碼可以重置。而人臉信息在錄入的那一刻就定格了，以至于后來再次驗證時，都需要與第一次保持一致，否則會有驗證失敗之可能。學者文銘、劉博［2］曾強調，人臉信息一旦丟失，隨之而來的損失也是不可逆的，“丟失”意味著個人的人臉信息完全公開、完全透明，這將對個人生活造成極大的影響，帶來極大的不利。

二、人臉識別的應用及反思

（一）人臉識別的應用

“人臉識別”作為一項新型的檢驗身份標準的技術，其具有的速度、效率、成本等方面的優勢，在一定程度上代替了人工識別，獲得了迅速傳播與應用。

（二）法律視角下人臉識別弊端的反思

古語有云，“福禍相依”。不可否認的是，人臉識別的使用也引發了一系列的問題，需要社會的關注、法律的回應。具體如下：

1.現實應用層面：人臉識別實踐運用存在違法之嫌

（1）產生以人臉信息為虛擬產品的線上交易。公眾在使用軟件、享受服務時，只有同意了服務者提供的用戶協議，才能進行一系列的活動。雖然技術本身沒有立場可言，但是使用技術的人有好壞之分。客戶方不了解更不能控制軟件背后操作者的行為。現在任意打開一個搜索引擎，輸入“人臉信息”，就會出現“人臉信息0.5元一份”的信息條。這一現象反映了他人的臉部信息被隨意兜售的猖獗，由此推斷，其背后更深層次的產業鏈勢必更加肆意妄為。

（2）在存儲、流轉過程中發生臉部信息泄露。在現有情況下，收集公民個人臉部信息沒有一個強制且規范的規定，或者說，只要軟件設置的服務有需要，再通過客戶對象的授權，那么，產品服務方很容易可以得到用戶的臉部信息。正如學者邢會強［3］所述，大到企事業單位、政府機關，小到商家，都可以安裝人臉識別技術，強制刷臉。然而，在數據時代下，互聯網使得資源共享變成一件稀松平常的事情。在共享、流轉信息或者公司正常轉讓、過渡的過程中，信息丟失、遺失、泄露等情況都時有發生。

（3）迎合信息收集方利益的需要使得臉部信息被濫用。有部分商家為了加大銷售力度，通過對客戶臉部的追蹤，判斷其曾否來店和來店次數、消費情況以及消費的意愿和偏好等，再向其推薦適宜的產品。新的營銷模式對商家而言，不僅能夠在短時間內滿足客戶的需求，還提高了店鋪的效率；對客戶而言，也節約了閑逛的時間成本。但這看似兩全其美的方案，卻極大地侵犯了民眾的個人隱私、濫用了個人的臉部信息。

2.法律規制層面：人臉識別法律規范不完善

（1）收集人臉信息的主體資格不明確。很多軟件采用的是“不授權無服務”的態度，并且部分民眾愿意用暫時的授權換取片刻的娛樂和便利。至此，只要產品服務和客戶需求相對應，收集人臉信息就輕而易舉了。這也是人臉識別技術使用門檻低而使用率高的原因。出現這一問題的關鍵，在于收集人臉信息的主體，其是否具有收集的資質，收集是否有必要，收集后是否有存儲和保護的能力，以及一旦出現泄露、濫用等情況，又是否有承擔相應責任的能力。如果商家缺乏存儲客戶臉部信息安全的能力，其又有什么資格來收集臉部信息呢？只收集不存儲、只建立不保護，這樣的便利所帶來的收益相較于人臉信息使用不當帶來的風險，小之又小。

（2）收集的人臉數據后續走向不清。用戶在享受服務之前，對于授權的內容、使用目的和使用范圍都有了解，但是該“同意”并不能為被收集后的自身的臉部信息換來應有的安全保障。一旦同意授權，該用戶的臉部信息就會成為收集主體數據庫中的一員，無形中成了收集方的虛擬財產，為收集方提供流量和其他利益所得。這一切，都是用戶在授權時所沒有預料的。

三、對人臉識別現存法律問題的對策和建議

（一）加快建立專門的個人信息保護法

在2003年，《個人信息保護法》專家建議稿就開始起草，這表明個人信息的重要性很早就得到了立法機關的重視。但由于當時我國制定該基本法律的條件不成熟，社會對于個人信息的敏感度不高，沒有預料將來臉部也為成為一種個人信息，并且個人信息收集和傳播的方式與途徑也不如現在迅速、快捷，種種原因，使得公眾在漫長的等待中，也一再付出著成為“透明人”的代價。因而有必要加快建立《個人信息保護法》，明確個人信息的地位和重要性，在包括臉部信息在內的公民個人信息遭到交易、泄露、濫用時，給予受害者相應的法律救濟途徑和依據。

（二）明確市場準入機制

明確市場準入機制，明確收集人臉信息的主體資格。從“人臉識別第一案”的出現，便可以窺見該技術使用之廣，范圍之大。實際上，很多行業在增強自身建設和發展的同時，都有幸搭上了科技的快車。然而，在資本逐利和流量的催生下，或多或少地讓科技被貼上“不敢信任”的標簽。但是為了保護個人信息安全，而不利用科技，或者說為了發展科技，而不得不犧牲部分信息安全的話，又似乎顯得不夠理智。因而，有必要加強新型科技的市場準入機制，明確能夠使用的行業范圍。一項事物，只有設置一定的門檻，才會遏制門檻外的魚目混珠，防止泛濫成災的惡況出現，才能促使門檻內的人自我提升，不斷完善。

（三）明確用戶方和收集方的權責關系

要了解被收集數據的后期走向，需要明確用戶方和收集方的權責關系。收集方在為用戶提供服務時，需要在用戶協議中寫明收集人臉信息的目的、用途、使用范圍、數據可能的流向、使用期限等條款；而用戶在享受服務之前，也應提前閱讀有關事項，保證自己對自身臉部信息何時、在何處、被何人采集、使用、存儲的情況有所了解，再確定是否授權。

四、結語

人臉識別技術作為一項新型的科技，有許多待開發的領域，同時也充滿了許多的未知和冒險。這都需要理論界和實踐界的配合和研究。對于新型事物，尤其是新型科技，要懷抱一種包容且謹慎的態度，力求用“高收益、低風險、小傷害”的方式，將科技用于生活，規范于法律，這才是“高性價比”！