個人信息保護的法律研究
——以人臉識別為例

何小金，靳玉如

1.蚌埠工商學院；2.北京盈科（合肥）律師事務所

一、人臉識別技術的現狀

所謂人臉識別技術是通過對人臉圖像進行特征提取、分類識別，從而達到身份鑒別的目的，具有自動性、自然性和風險防控的復雜性等特征。有預測數據指出人臉識別行業未來均增速可能高達25%，其市場規模2020年將達到約67億元。目前，人臉識別技術廣泛應用于商業、安全和其他領域。在刑偵領域，偵查機關可將照片與人臉進行對比，以提高案件的偵破率與效率；在很多場合，也逐漸普及人臉識別技術，以實現自動化智能管理；許多銀行、公司、企事業單位等公共場合都設有24小時視頻監控，也會使用人臉識別技術，對出現人員的相關信息進行采集。尤其是在疫情期間，為有效防控疫情，人臉識別技術廣泛應用于小區進出口、校園及商場。

二、人臉識別技術的機遇及挑戰

（一）人臉識別技術帶來的機遇

1.大幅度提高了業務辦理效率

2020年，疫情期間我國銀行通過人臉識別輔助客戶身份認證，實現柜面交易遠程授權精簡，審核授權日均減少20余萬筆，遠程授權業務量減少超過60%。除銀行系統外，人臉識別系統又廣泛應用于火車站、高等院校、政府部門等，免去了進入時繁瑣的信息登記、證件查看步驟，全面提高了服務效率。人臉識別技術已在國內70多個機場普遍使用，主要用于安檢、登機、動態布控等環節。

2.有效維護公共安全

在北京等地的公租房項目中，這些地方的保障性住房建設投資中心引入防范違規轉租轉借的人臉識別門禁系統，通過主動識別并避免非承租家庭成員隨意進入，達到公平利用社會資源及保障住戶居住安全的目的。除此，人臉識別技術也被公安部門廣泛應用，我國的“天網工程”是其中的典型應用代表，即利用圖像采集、傳輸、控制、顯示等設備和控制軟件，并結合計算機視覺和大數據，對固定區域進行實時監控和信息記錄的視頻監控系統。

3.大幅便利公民生活

隨著人臉識別技術更新迭代速度的加快，算法精準度的不斷提升，使人臉識別技術不光在公共領域廣泛應用，也逐漸在不同領域越來越多地被推廣。在網絡支付領域，支付寶在2018年就上線了“刷臉”支付功能，目前已在超過300多個城市開通。在安檢方面，北京鐵路局2019年新設167個自主實名核驗閘機，40個車站開通了307個自主實名制核驗通道，其中，有45個動車停靠站可直接刷二代身份證即可進出站檢票，北京站所有通道都已支持“刷臉進站”。同時，合肥市的鐵路部門也進行了技術更新，其中，南站進站口就設置了32臺自主驗票閘機，合肥站檢票口增設25臺自主驗票閘機，并增加了15臺人臉識別核驗閘機。在醫療衛生領域，很多醫院開始采納刷臉掛號、刷臉就診及刷臉支付繳費，為患者提供了極大的便利。

（二）人臉識別技術存在的挑戰

1.人臉識別技術威脅個人隱私

根據《民法典》第1032條的規定，隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。隱私既可以視為物理的私人空間不被打擾的權利，也可以包括在數字、虛擬世界中不受干預的權利。而隨著當前人臉識別技術的廣泛推廣，大街小巷都密布著攝像頭，我們的一舉一動都被記錄著。據《2019年網絡犯罪防范致力研究報告》，2018年每分鐘泄露的可識別信息為8100條；2019年百度累計下線“涉嫌竊取公民個人隱私”惡意網站46.2萬個，累計下線“涉嫌竊取公民個人隱私”惡意網站230萬個。據《GDPR執法案例精選白皮書（2018-2019年）》統計數據表明，截至2019年3月，共上報281088件案件，其中近三分之一（89271件）是數據泄露案件。2019年9月，“ZAO”換臉APP強制用戶同意授予“ZAO”及其關聯公司在全球范圍內免費使用用戶人臉照片的權利，且該權利永遠不可撤銷，該行為明顯涉嫌侵犯用戶的個人隱私，最終被工信部約談并要求整改。

2.人臉識別技術侵犯主體的財產權

對于個人來說，很多銀行或網絡金融產品的支付行為，小區門禁乃至個人私宅房門的開啟，都會應用到人臉識別技術，而這些人臉識別信息被人臉識別設備生產商、小區物業機構獲取后，難以保證其不被使用而致濫用。部分線上平臺或者應用軟件強制索取用戶的人臉信息，還有的賣家在社交平臺和網站公開售賣人臉識別視頻、買賣人臉信息等。因人臉信息等身份信息泄露導致“被貸款”“被詐騙”等問題也多有發生。根據2020年App專項治理工作組發布的《人臉識別應用公眾調研報告》顯示，在2萬多名受訪者中，超過6成的受訪者認為人臉識別技術有被濫用的趨勢，超過3成的受訪者的人臉信息已經被泄露、濫用，其隱私權已遭到侵犯，甚至有些人已經遭受巨大損失。

3.濫用人臉識別技術，導致個人信息泄露

一些經營者濫用人臉識別技術侵害自然人合法權益的事件頻發，2017年“3·15”晚會上，主持人在技術人員的指導下，僅憑觀眾自拍照就現場“換臉”破解了“刷臉認證”登陸系統。2019年11月29日晚，中央電視臺報出：有人在網上公開售賣人臉信息，5000多張人臉被標價售出。這已不是第一次發現人臉數據被公開售賣。2019年9月，有媒體報道，有人在互聯網上公開售賣17萬條人臉數據。公安機關僅在2020年就破獲22件竊取、販賣人臉數據案件。

三、人臉識別技術風險的法律解決途徑

（一）區分人臉識別技術的適用情形。

就目前而言，應當將人臉識別技術的適用范圍區分為在公共領域的適用及非公共領域的適用。首先，就公共領域的適用問題，應明確政府部門在哪些情形下應當履行何種程序方可適用，以及在取得人臉數據后應如何保存等問題。對于社會中普遍出現的經營者在自己的經營范圍內肆意、毫無規范的利用人臉識別技術對人臉信息進行驗證、辨識和分析，則會潛在的侵害公民的隱私、肖像等權利。因此對于非公共領域的適用應當更為謹慎。雖然目前各地也陸續出臺相應政策限制人臉識別技術的適用范圍，比如在房產領域，2020年南京市和徐州市、2021年昆明市和惠州市都禁止使用人臉識別技術。雖然這只是非公共領域某一方面的特殊規定，這些規定都是局部的、概括性的，并未進行全面而詳細的規制，但該規定仍是一種積極的探討，值得鼓勵。

（二）保障主體的知情權。

《網絡安全法》就個人信息保護作出規定：“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則。”《信息安全技術個人信息安全防范（GB/T35273-2020）》規定：信息收集者的告知義務及需要告知的內容，且必須征得個人信息主體的明示同意才能進行。首先，人臉信息的取得主體須盡告知義務。要保障主體的知情權，就必須要求人臉信息的獲得者盡告知義務。告知應達到足以使相對人注意的程度，并且對于被收集信息的主體的切身利益產生影響的要提前明示，讓其知曉。其次，須取得主體的明確的書面同意。為避免此類情況持續出現就應當要求國家機關或其他主體在收集人臉識別數據時，應主動告知被收集人收集的數量、存儲時間、處理方式以及收集的目的等信息，并且在收集前應獲得被收集人的書面同意。對于未成年人，因其行為能力的欠缺，在收集相應數據時，應征得未成年人監護人的書面同意。最后，法律應賦予數據主體有權撤回先前的同意。應樹立尊重數據主體意愿為第一原則，授予其自由處分法律賦予他撤回的權利，解決過往一經同意就不得撤回這一問題。

（三）加強監管機構的監管職責。

首先，要確定明確的監管部門。對人臉識別數據的收集、使用、存儲等，全方位、全過程進行監督。除此，法律、行政法規允許使用人臉識別技術的相關部門也應當進行自我監管，不濫用人臉識別數據侵害主體權益。其次，監管部門應當出臺人臉識別應用的技術標準及審查程序。人臉識別技術應用標準如何及符合哪些條件可采用該技術以及監管機構在批準使用人臉識別技術時都需要進一步明確審查的方法、步驟及程序。最后，法律要對監管人員的責任進行劃分及明確。人臉識別數據對個人至關重要，一旦泄露會對權利人造成極大的損害，因此必須建立相應的維護措施，對于失職的有關單位和個人，應完善相關處理措施。監管機構的監管應貫穿于人臉信息的收集、使用、存儲等全過程。

四、結語

人臉識別技術在科技日益發展的今天，已深入到人們生活的方方面面。不可否認的是其為我們的生活帶來便利，同時也要警惕其對我們生活潛在的威脅，人臉信息又是一個人唯一的識別信息，一旦泄露，必然會損害主體的各項權益。個人信息的保護不僅要加強對法律、法規的完善，同時也要加強對個人隱私權意識的培養。我們不僅要學習法律知識、培養法律意識，還要注重自我隱私的注意和保護，最大程度的減少人臉識信息泄露對我們造成的影響。