人臉識別技術的應用風險及其法律規制

顏文彩

(福州大學 法學院，福建 福州 350108)

2019年10月，杭州野生動物世界為方便消費者入園將“指紋入園”升級為“人臉識別入園”被消費者起訴，理由為：被收集的人臉信息屬高度敏感的生物信息，如被非法使用將危害個人人身與財產安全。該案引起人們對個人隱私保護的重視，被稱為“中國人臉識別第一案”。無獨有偶，2019年底，北京地鐵將應用人臉識別技術進行分類安檢亦引發熱議。隨著科技發展，人臉識別技術的應用范圍日漸廣泛，公眾在習慣人臉識別的同時也開始反思該技術除帶來便利外將伴隨哪些風險及應如何進行規制，此即本文研究和分析的目的。

一、人臉識別技術的應用及潛在風險

(一)人臉識別技術的應用

人臉識別技術是基于生理特征的識別，通過計算機提取人臉特征，并依特征進行身份驗證的一種技術。[1]近年來，人臉識別技術呈井噴式增長，尤其是2020年新冠疫情爆發后，該技術以非接觸性的優勢得到廣泛應用。依人臉識別技術的應用目的，可分為出于公益目的與出于私益目的的應用。[2]

基于公益目的的人臉識別技術主要應用在公共管理及公共服務領域。前者如治安管理中利用人臉識別網絡系統進行公安巡查、戶籍調查或網上追逃；交通管理方面，如出入境識別、火車站或地鐵站抓拍人臉查證；社保領域亦可通過人臉識別核查參保人身份的真實性，以避免騙保、冒領。后者如學校管理中，運用人臉識別技術防止作弊、進行課堂簽到；醫療領域中則可通過微信刷臉掛號、簽到、繳費。基于私益目的的應用，即私主體(主要指營利法人)為減少運營成本、提高經濟效益的運用。主要包括門禁考勤，如在社區、辦公樓等場所應用人臉識別測溫考勤，實現門禁、考勤、訪客管理及識別預警；零售領域，如超市的人臉識別自助收銀終端設備、人臉識別智慧自動售貨機；金融領域包括支付寶刷臉登陸付款、通過人臉識別存取款及電子銀行遠程開戶；智能設備及APP應用領域，則可通過人臉識別解鎖屏幕或登錄APP，部分APP亦可通過人臉圖像分析進行換臉、性格判斷、健康情況預測。

(二)人臉識別技術應用的潛在風險

1.侵權風險

人臉識別技術的應用存在侵犯平等權的風險，該技術本身可能因數據偏差存在歧視。麻省理工對微軟、Facebook等公司的人臉識別系統的一項研究表明，檢測膚色較深女性的出錯率高于檢測膚色較淺的男性。換言之，檢測過程存在性別與膚色歧視(種族歧視)。[3]使用者還可通過人臉識別系統分析購物者的購物習慣與消費水平，以此推薦不同商品或服務并給出不同價格(價格歧視)，對需求穩定的或消費水平較高的顧客往往實行高一級的價格標準。

人臉識別技術的應用存在侵犯隱私權的風險。人臉識別技術的非接觸性特點，使其具有侵入性，任何帶有攝像頭的設備均可采集人臉信息，使人臉這一個人信息無時無刻不暴露在公眾視野下。使用者未經當事人知情和同意進行采集，進而通過技術手段依人臉特征計算個人年齡、種族、健康狀況等信息，若再將人臉信息的專屬性與數據庫中的其他信息結合，即能鎖定個人的身份信息、家庭情況、社交關系，使得個人隱私暴露無遺。

人臉識別技術的應用還存在限制自由的風險。人臉識別技術具有非接觸性與無意識性特征，個人在未作出選擇的情況下可能已被迫適用該技術，這就限制了人們的選擇自由。該技術的應用亦會使個人行動面臨被監視和記錄的風險，公眾出于防范心理會更不愿參加社會活動或被迫采取遮掩個人面部等方式謹慎出行和社交，這在一定程度上限制了個人的行動自由和結社自由。

2.安全隱患風險

人臉信息的使用環節存在人身與財產安全隱患。人臉識別技術的本質是一項基于人臉數據分析的人工智能身份驗證技術，[4]攻擊者可通過向人臉識別技術系統演示假識別信息，而智勝人臉識別系統。簡言之，不法分子可使用照片、視頻或人造面具“欺騙”人臉識別系統，使之“相信”被認證的對象為本人。曾有人用3D打印制作的蠟像人頭，騙過支付寶的人臉識別系統；不法分子還可通過“欺騙”人臉識別的門禁系統“破門而入”。而“被換臉”也是人臉識別技術附隨的安全隱患，2020年發生的盜用公民個人信息案中，就有犯罪嫌疑人利用AI換臉技術獲取公民照片并通過照片活化軟件生成動態視頻，騙過人臉識別系統。

人臉信息的存儲與流轉環節亦存在信息泄露的隱患。人臉本身不可復制，然通過網絡使用人臉信息就需將其轉化為計算機可識別的二進制代碼，而二進制代碼在傳輸過程中可能被復制、泄露或竊取。據網絡安全企業奇安信集團網絡安全專家陳洪波介紹，目前無論是將人臉信息存儲在本地服務器或托管到公有云上，都有被攻破的風險。[5]

3.難以補救及救濟的風險

人臉信息一旦被泄露將難以補救。基因、指紋、人臉等高度敏感的生物信息具有人身專屬性及不可更改性。相較而言，人臉信息更易通過照片、視頻等載體傳播，其被泄露和濫用的可能性較大且擴散范圍和用途也不可控。人臉信息一旦遭到泄露，當事人無法像更改密碼般更換面部信息。而互聯網是有記憶的，故泄露人臉信息的后果是不可逆的，即使通過法律手段維權成功，被泄露的信息也難以追回。

人臉信息的儲存、應用與轉讓都是無聲的，實踐中往往難以找到數據泄露者，數據采集者、使用者、保管者間亦可能互相推諉責任。而現有過錯責任的歸責原則在對數據泄露者的追責上亦不周延。因人臉識別算法的復雜性，技術開發者往往可以知識偏差為由免于或減輕責任。[6]且這類侵權案件中，原被告雙方大多在知識背景、經濟實力上不對等，人臉識別技術本身亦具專業性、隱蔽性，使得原告在舉證上困難重重。

二、域外人臉識別技術的法律規制

當前在人臉識別技術的規制上，美國和歐盟已作出較多嘗試，故本文將對這二者的相關規定進行分析，以期從中獲得啟示。

(一)美國

美國聯邦政府并未在立法層面限制人臉識別技術的應用，而交由各州、各城市依情況自主規定。公共領域方面，部分城市禁止政府機構使用人臉識別技術，如2019年美國加利福尼亞州舊金山市通過《停止秘密監視》條例，禁止政府機構使用人臉識別技術和人臉識別技術獲取的信息。隨后奧克蘭、馬薩諸塞州的薩默維爾市和波士頓也接連通過類似法案。部分州則倡導限制政府機構應用該技術，如喬治敦法律隱私與技術中心起草的《人臉識別示范法》提出，原則上調查和執法部門不得使用人臉識別技術與身份證照片數據庫比對，除非獲得法院許可。商業領域，當前僅俄勒岡州波特蘭市禁止私人企業使用人臉識別技術。以伊利諾伊州的《生物信息隱私法》為典型代表，該法規定個人、合伙企業等私主體在收集生物識別信息前應征得客戶同意；①企業須制定書面政策設定生物識別數據的保留時間，當數據收集目的已達到或距信息主體與企業最后一次聯絡滿三年時，就應摧毀該數據。允許應用人臉識別技術的州、城市亦有限制性規定，如德克薩斯州的《統一商法典》規定，未經同意不得獲取信息主體的生物識別信息；除滿足一定條件外，生物識別信息不得售賣或披露。華盛頓州也同樣以當事人同意作為獲取和使用人臉識別技術的前提。

綜合而言，美國對人臉識別技術的規制呈現出幾個特點：第一，政府部門應用人臉識別技術由來已久，隨著應用過程中暴露出的歧視和濫用問題，各州、各城市逐步啟動規制該技術的研究；第二，禁用人臉識別技術的州、城市較少，禁止政府部門應用的僅前文列舉的四個城市，禁止私企業應用的僅一個城市；第三，限制人臉識別技術應用的居多，具體方式包括應用前獲得許可、限制數據保留時間等。

(二)歐盟

歐盟規制人臉識別技術的核心法律為2018年施行的《通用數據保護條例》(簡稱GDPR)，該條例適用于公私主體。主要內容包括：第一，原則上禁止處理能識別出特定個人的敏感數據，除非符合下列條件之一：獲得數據主體同意；為保護合法訴求必須為之；為公共利益需要而為之。第二，完善數據處理體系，企業應將個人信息保護融入相關產品設計和公司運營中，可采擬定假名或加密個人數據等方法。第三，擴大責任主體范圍，責任主體從數據收集者、使用者擴展至數據處理者(如提供數據處理服務的供應商)。第四，用戶擁有數據知情權、修改權、撤銷權，應用數據的目的已達到或不再適用時，相關主體應刪除用戶信息。第五，建立監管體系，歐盟成員國需設立監督人員并建立執行機制，處理大量敏感數據的企業應聘請數據保護官，發生數據泄露時，需及時通知監督人員進行處置。第六，加大處罰力度，如企業違規內容涉及未經用戶同意使用數據、侵犯用戶人權或非法跨境流通數據，最高可獲2 000萬歐元或其全球年營業額4%的罰款。第七，區分應用人臉識別技術的不同場景，授予公法主體執行維護公共利益任務或履行政府職權、偵查犯罪時處理個人數據。

可以看出歐盟對人臉識別技術的適用持審慎態度，GDPR嚴格保護人臉信息這一生物數據，全面規制人臉信息采集、使用、存儲、責任及監管環節。

三、我國人臉識別技術的法律規制建議

(一)規制方式選擇

前述分析表明，美國與歐盟規制人臉識別技術的措施雖不盡相同，但總體趨勢一致：保護個人敏感信息的意識逐漸增強，并采取限制措施。歐盟對個人數據過于嚴格的立法保護，已日益顯現出阻礙科技與經濟發展的弊端。我國人臉識別技術的應用和發展走在世界前列，截至2020年10月，全國共有10 443家企業的經營范圍涵蓋人臉識別。[7]美國商務部2018年報告亦顯示，全球前四的人臉算法技術均為中國公司持有。我國對這一技術的應用廣泛而迅速，若絕對禁止使用顯然不利于經濟發展。當前禁用人臉識別技術的城市也僅在某些領域禁止使用，即便在歐盟的嚴格規定下，亦允許特定情形應用該技術。需承認的是人臉識別技術的發展創造了大量裨益社會的機會，如何規范和保障新興技術的應用和發展才是我們的關鍵議題。

現代文明以尊重個人基本權利為前提，允許伴隨風險的新技術應用，應確保其建立在合法、合理的基礎上。已有學者指出，我國多地因人臉識別技術應用過于廣泛而引起民眾不適，部分民眾在公眾場合會通過遮面或低頭以避免人臉信息暴露。該現象反映民眾對人臉識別技術的抵觸，若不予理會并長期、大范圍應用和發展該技術，必將動搖我國社會治理的根基。[8]人臉識別技術伴隨的風險客觀存在，隨著我國大規模地應用人臉識別技術，其危害后果必將逐漸顯現，而危害后果的不可逆要求必須建立并完善相應的規制措施。

(二)具體規制建議

2021年11月起施行的《個人信息保護法》初步形成個人信息保護的法律框架，然相關規定還不甚明晰和有針對性。我國應盡快補足這一短板，進一步明確人臉識別技術的安全底線和責任，借鑒美國、歐盟的先進經驗，規范人臉識別技術的應用。具言之，可從幾方面展開：

1.劃定人臉識別技術的應用范圍

《個人信息保護法》僅規定了公共場所采集人臉信息須以維護公共安全為目的并設置顯著標識。本文認為，基于公主體與私主體應用該技術目的不同伴隨的風險亦有所不同，對此，可參考歐盟GDPR對不同應用場景的區分，對公私主體的應用范圍和前提采不同原則。

公主體基于公權力應用人臉識別，應用范圍應限定在維護公益目的中，對“公共利益維護”的解釋須遵循合法性、正當性、必要性三原則。合法性包括內容合法與程序合法，前者要求不同主體應依規定在職權范圍內應用該技術，后者要求公主體內部建立審批、報備、監管程序并嚴格按程序行事。正當性要求人臉識別技術的應用目的正當，確實為國家利益或可切實增進社會公共利益，且相較于對公民權利的影響該目的的實現具有重要性和緊迫性。必要性則要求公共部門應堅持最小夠用標準，綜合各方面因素，確保應用范圍與方式能達目的即可。

私主體使用人臉識別的目的在于減少運營成本與提升經濟效益，應堅持法定范圍與當事人同意原則。國家應盡快確立人臉識別技術應用的審批制度，著重審查私主體應用該技術的范圍、方式、管理水平、保障措施及過往是否有泄露信息的不良記錄等。私主體與人臉信息的權利主體雙方地位平等，其應用該技術前應明確告知當事人人臉信息的用途、儲存方式、風險及安全保障措施，并獲當事人明確同意。

2.加強對人臉識別技術應用過程的規制

《個人信息保護法》僅規定不得向他人公開或提供收集的信息，但取得個人同意或法律法規另有規定除外。人臉識別技術伴隨的風險主要是因人臉信息泄露或濫用所致，故亦需強化對人臉信息儲存、使用與流轉的規制。

信息儲存方面，依使用目的不同，可分為單次、短期、長期使用。對于只需應用一次的人臉信息應即時使用即時刪除；需在一定時間內使用的，設定儲存時限為短期和長期，期滿應自動刪除。借鑒歐盟GDPR規定個人信息授權亦可隨時撤回，可以賦予當事人要求應用主體刪除人臉信息的權利。此外，還需規定比儲存一般信息更嚴格的管理標準，應建立人臉識別數據庫，配套數據加密、訪問控制、病毒防范及數據庫遭入侵的應急手段等技術措施。對數據庫的管理應定期評估，及時升級，定期培訓數據管理主體。

信息使用方面，應規定禁止不當使用與禁止超范圍使用。前者指應以正當途徑應用人臉識別。正當性是倫理學概念，用以判斷某種行為是否適度、合宜與中道，人臉識別技術應以是否侵犯公民尊嚴為應用標準，不得歧視或違背倫理道德。后者則指應在規定范圍內使用人臉識別，范圍與前述公私主體的采集信息范圍基本一致。鑒于應用過程的持續性、不穩定性，還需定期進行評估，取消不當使用與超范圍使用者的應用資格或予以處罰。

信息流轉方面，應明確《個人信息保護法》規定的個人同意與法律、法規另有規定的情形。原則上禁止人臉信息傳輸，例外情況因公私主體不同而有所區分：公共部門僅可向同樣基于公共利益維護、具有同等保護數據能力的公共部門傳輸；私主體是在當事人同意下獲得信息采集與使用權，應再次獲得當事人同意后，再向具有應用人臉識別技術資質的第三方傳輸，同時應確保人臉信息傳輸的完整性與保密性，因傳輸導致信息泄露的應承擔責任。

3.完善人臉識別技術侵權的救濟制度

人臉信息泄露的后果具有不可逆性，規制重點應放在防止泄露和濫用上，而完善救濟途徑則可最大程度減少受害者損失，責任的明確也可督促責任主體審慎應用人臉識別。

關于責任主體，如能確定是信息收集者或使用者或相關主體的不當行為造成侵權的，以其為被告追究責任。然人臉信息侵權中往往難以確定侵權人和侵權環節，對此可參考歐盟GDPR關于責任共擔的規定及我國《侵權責任法》中的缺陷產品責任規定，在不能確定具體侵權人的情況下，可從信息的收集者、使用者、處理者或其他相關主體中，選擇一個主體或幾個或全部作為被告承擔責任，之后被告之間可相互追償。

關于舉證責任，人臉信息所產生的風險主要因信息收集者、使用者或處理者的不當行為所致。前述主體亦是利益享有者，這類主體對人臉信息的收集、使用、傳輸等過程的熟悉程度及經濟實力均超過當事人，故由這類主體承擔更重的責任亦是合理的，可規定人臉信息識別侵權的案件采舉證責任倒置。

關于責任承擔方式，鑒于人臉信息背后蘊含巨大的利益空間，人臉信息買賣案件層出不窮。依人臉信息侵權的特點，除停止侵害、消除影響、恢復名譽等傳統責任外，可考慮規定更嚴苛的賠償制度，強化懲罰威懾效果并賠償原告難以從補償中獲得的救濟損失。對此，本文建議引入懲罰性賠償責任。

除補足民事責任規定的短板外，也應盡快完善行政法、刑法等相關內容。行政方面可進一步明確對人臉信息采集和使用的許可制度、審批制度、檢查監督與處罰等規定；刑事方面應加快完善對非法出售或使用人臉信息的犯罪行為的規制，從嚴從重處理。惟此，方可建立起人臉信息的聯合法律保護體系。

注釋：

①Rosenbach v.Six Flags Entertainment Corp.,2019 IL 123186(Jan.25,2019).