商業場景中人臉識別技術應用的法律規制

□ 文 劉 培

0 引言

人臉識別技術最初由政府部門等公共機構應用在社會安全領域，最為大眾所熟知的是監控系統、身份系統，目的是保障公共安全與實現身份管理。該技術在公共領域的應用能夠起到提升社會治理水平、保障社會治安、促進效率的作用。

隨著人臉識別在技術上的突破，以及疫情發生之后對無接觸的提倡，催化了該技術在商業場景的使用。線上，智能手機使用面部解鎖、App使用面部驗證身份已是常態。線下，商家使用人臉識別技術構建用戶畫像也屢見不鮮。

人臉識別技術在商業領域的應用給商家帶來了巨額收益，為了追求利潤最大化，商家違規處理面部信息現象頻發。《人臉識別應用公眾調研報告（2020）》中的數據顯示有64.39%的受訪者認為人臉識別技術有被濫用的趨勢。由于面部信息的特殊性，對面部信息違規處理帶來的傷害是深遠與持久的，還將引發連鎖反應。

1 面部信息的特殊性

面部信息是典型的生物識別信息，具有唯一性的特征。面部、虹膜、指紋等生理類別的生物特征信息都是獨一無二的。一般個人信息不具有此種特質，以姓名為例，單憑名字無法識別出具體個體，需要結合其他個人信息才能定位到特定主體。而面部信息的唯一性意味著僅憑借面部信息就能識別出具體主體，每個人的面部信息不可能一模一樣，即使是雙胞胎其面部特征也存在差距。

面部信息等生物識別信息具有穩定性。虹膜、指紋基本不會發生改變，面部信息在一段時間內也具有穩定性。面部會受到年齡等因素而有所變化，此種變化會對面部識別產生一定影響。但技術在不斷發展，當人臉數據的處理更加升級，把人臉信息轉化為更加精細化的特征符號，即使年齡變化，具體的面部特征仍然存在，此時年齡變化便不再是障礙。縱然隨著年齡增長面部改變，但成年人的變化是緩慢的，在較長的時間段內人臉信息仍然具有相當的穩定性。

面部信息具有易采性。生物識別信息的唯一性與穩定性促使生物識別方法成為最可靠的身份識別方法，不同生物識別信息有著不同特點。虹膜識別結果最為準確，但成本高昂，較少見到使用虹膜識別的場景。收集指紋成本較低，但指紋收集需要接觸性，無法收集不愿協作的個體指紋。相較之下，人臉識別技術可以在數據主體不知情的情況下使用，高清攝像設備還能遠距離拍攝數據主體，因此成為最廣泛使用的生物識別方式。

2 人臉識別技術潛在的法律風險

人臉識別技術是依據人的面部特征進行身份識別的生物識別技術，個人的眼間距，以及酒窩、雙眼皮等面部標志形成了個人的面部特征。該技術可以從照片或視頻中跟蹤面部特征，對檢測到的面部特征進行處理，完成身份識別與驗證。

人臉識別技術的基本步驟大致有（1）面部捕捉，獲取圖像；（2）從被采集的圖像中提取特征信息，并傳回數據庫；（3）對需要驗證的人臉特征與數據庫存儲內容進行匹配和識別。商家使用人臉識別技術主要有兩個目的，其一為通過人臉核實其是否為本人，譬如刷臉支付的應用，即“一對一”的驗證；其二為通過人臉信息確定“被刷臉者”是誰，即“一對多”的識別。

該技術的前端是對人臉數據的采集，該步驟通過攝像設備進行圖像拍攝實現。信息采集之后的步驟使用算法等技術實現。該技術的后端則是數據控制者對處理過的人臉數據進行存儲與合理使用。算法等技術的突破使得對收集到的人臉數據進行特征提取與分析處理不再是難事。對于數據主體而言，人臉識別技術所帶來的法律風險更多的存在于該技術的前后兩端即數據的收集與存儲階段。

2.1 人臉識別技術前端蘊藏的法律風險—告知同意框架失靈

商業場景中，大部分商家對面部信息的收集違反了“告知-同意”這一規制，該規則被認為是處理面部信息的合法性基礎，是保護面部信息的基本規則。在數據收集階段，告知同意框架的失靈意味著侵犯個人的知情權與選擇權。

線下場景中，露出的面部很容易被無處不在的攝像頭進行拍攝，在數據主體不知情的情況下，面部信息已經被采集。2021年3·15晚會曝光了某品牌門店安裝攝像頭非法采集顧客人臉信息。這些門店在沒有征求消費者同意的情況下，對顧客的性別與年齡段進行識別，獲得顧客精準信息與偏好，構建用戶畫像。這完全違背了面部信息收集時必須遵守的公開、透明原則，突破目的限制原則，漠視告知同意規則。在線上場景及App使用中，平臺常以不同意提供人臉信息就不得使用其提供的服務為由收集人臉數據。App個人信息舉報平臺收到了500余條人臉識別信息舉報，50余款App被舉報，其中強制要求用戶提供人臉信息的舉報占比約60%。此種采取強迫或捆綁等方式，獲取到的是不真實的同意，告知同意框架完全失靈，侵犯消費者的知情權與選擇權。

2.2 人臉識別技術后端蘊藏的法律風險—數據泄露

由于面部數據樣本的增加，面部數據庫的安全引起了普遍擔憂。不同主體為了追逐利益，都努力獲取數據庫存儲的數據，數據泄露成為常見情形。

數據泄露存在兩種情形，首先是數據控制者為了謀求利潤，從內部將存儲數據泄露。2018年媒體報道Facebook在2016年美國總統大選期間沒有盡到妥善保管個人數據的義務，允許劍橋分析公司在未經用戶同意的情況下獲取Facebook上8700萬用戶的個人數據。其次是面部數據庫遭到外部破壞，數據庫具有巨大經濟價值，容易成為黑客攻擊目標。2020年，擁有超過30億張人臉圖片數據，并且向超過600家美國執法機構提供面部識別技術的面部識別應用公司Clearview AI表示，公司所有的客戶列表、賬戶數量等數據遭遇了未經授權的入侵。

面部信息關系到個人的人格權益與財產安全，一旦泄露會引發嚴重后果。《人臉識別應用公眾調研報告（2020）》顯示，30.86%的受訪者表示因人臉信息泄露、濫用等遭受損失或隱私被侵犯。消費者協會2018年發布的《App個人信息泄露情況調查報告》顯示，消費者個人信息泄露后，約86.5%的受訪者曾收到推銷電話或短信騷擾，約75.0%的受訪者接到詐騙電話。張某等人利用非法獲取的個人生物識別信息，將公民頭像照片制作成3D頭像，通過支付寶人臉識別認證進行非法牟利。與傳統數字密碼不同，基于面部信息的唯一性與穩定性，面部信息一旦泄露就意味著無法更改，導致永久存在身份被盜竊的風險。

人臉識別技術應當在商業場景中合法應用，在發揮其優勢的同時又注重對人臉信息的保障。

3 人臉信息保護的規范梳理

人臉識別技術應當在商業場景中合法應用，在發揮其優勢的同時又注重對人臉信息的保障。目前各國都已經意識到人臉信息的重要性，各地區逐漸展開了針對人臉識別技術的立法。

3.1 我國人臉信息保護的法律框架

《民法典》第1034條將生物識別信息納入保護范圍，第1035條規定處理個人信息應當征得自然人同意。《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》將人臉信息定義為《民法典》第1034條規定的生物識別信息，第2條說明了違規使用人臉識別技術的情形，并且認為違規使用該技術是對自然人人格權益的侵犯。第4條則說明信息處理者變相或者強迫取得的自然人同意不認為是同意。該司法解釋是我國第一部專門針對人臉識別應該進行規制的法律文件，具有里程碑式的意義。

《個人信息保護法》是我國第一部個人信息保護領域的綜合性法律，第28條將生物識別信息納入敏感個人信息的范疇，面部信息的處理應當遵守對敏感個人信息的規定。因此必須在特定目的和充分必要以及受到嚴格保護措施情況下，才可以對面部信息進行處理。依據第26條在公共場所安裝圖像采集、個人身份識別設備，應當是為了維護公共安全。并且所收集的個人圖像只能用于維護公共安全，除非取得個人單獨同意才可用于其他目的。根據第29條與第30條，處理面部信息應當獲得個人的單獨同意，并向個人告知處理的必要性和對信息主體的影響。處理面部信息不僅需要遵守關于敏感個人信息的特殊規定，更要遵守總則所規定的合法、公開、透明、目的限制、數據最小化等原則。

3.2 歐盟對面部信息統一保護的法律框架

2018年實施的《通用數據保護條例》（GDPR）在全世界都發揮了重要影響，第4（14）條規定了生物識別數據的定義，這類數據生成該自然人的唯一標識，比如人臉圖像或指紋識別數據。按照GDPR第9條第1款的規定，生物識別數據被禁止處理。若處理生物識別數據則必須符合GDPR第9條第2款中明確規定的十個例外之一。

根據第22條第1款，數據主體有權反對數據控制者使用自動化處理構建用戶畫像。依據第22條第4款的規定數據控制者僅在兩種情況下可以使用人臉識別技術實時檢測人臉。首先是個人明確同意使用人臉識別；其次是出于重大公共利益的原因需要對面部圖像進行處理。

基于GDPR第9條2（a）項與第4（11）條，數據主體的同意必須是自由選擇、具體、知情、明確的。當發生數據主體沉默，在簽訂合同后強制同意等情形時，同意無效。因此，必須賦予數據主體表示不同意收集和對數據控制者存儲其個人數據提出異議的權利。此外，作為數據控制者的企業必須給予數據主體以選擇權，不強制性要求數據主體必須同意。并且要以明確、清晰的條款讓數據主體明確同意收集人臉數據的后果。

3.3 美國對面部信息分散保護的法律框架

與歐盟對于人臉識別技術統一監管不同，美國在聯邦層面并未出臺針對人臉識別技術的法律規范，對人臉識別技術的限制是由州和地方立法拼湊而成。

美國各州區分了政府部門與私人主體對人臉識別技術的應用。地方對于政府部門使用人臉識別技術采取嚴格限制的態度，舊金山市、奧克蘭市等已經出臺法令禁止執法人員使用人臉識別技術。

伊利諾伊州于2008年通過的《生物特征信息隱私法案》是美國生物特征信息保護的黃金模板。該法案僅適用于私人主體處理生物特征信息。該法案規定私人主體收集生物特征信息必須獲得公民同意，并要求經營者制定并公開其獲取和存儲生物特征信息的準則。并且設立私人訴權，完善公民救濟途徑。若企業在未經公民同意的情況下獲得公民的面部數據等生物特征信息，公民可以起訴并尋求賠償。

德克薩斯州與華盛頓州通過的生物特征信息保護法案也都規定若未事先通知個人并獲得個人同意，私人主體不得出于商業目的捕獲個人的生物特征信息。加利福尼亞州通過的法案對生物特征數據進行更細致的監管，獲得生物特征數據的企業必須告知消費者收集該數據的目的，還明確規定消費者有權利要求企業披露已經獲得的特定個人信息，以及有權利要求企業刪除其存儲的關于消費者的個人信息。

歐盟與美國對于人臉識別技術持較為審慎的態度，此立場受到歷史、技術以及種族矛盾的影響。在允許人臉識別的情況下，保障其在框架下良好運行，是各地區都需要著重解決的問題，通過監管手段平衡人臉識別技術的優勢與風險是世界共同期望的目標。

4 規范商業場景領域人臉識別技術應用

4.1 健全人臉識別技術監管機制

人臉識別技術的廣泛應用與潛在風險，使得對監管的需求日益增加。法律雖存在一定的滯后性，但卻是最有力的規制手段。監管部門必須積極回應社會需求，保障該技術為社會提供正向作用。

通過完善法律法規保障告知同意規則應用，維護個人的知情權與選擇權。規定商家使用該技術時應當對用戶完全透明，要求商家公布其隱私政策并說明收集人臉數據的目的以及后續處理，保障用戶的知情權。落實對用戶選擇權的保護，用戶應當自主選擇是否采用人臉識別的方式。商家不得采取強迫、捆綁等方式要求個人同意提供面部信息。當個人拒絕提供人臉信息時，商家應當提供其余驗證方式。

制定懲罰性賠償制度，構建多渠道救濟途徑。由于人臉信息的重要性及敏感性，通過制定懲罰性賠償制度，促使商家合法合規處理信息。暢通各種舉報渠道，用戶發現商家存在過度收集等違規現象，可以快速的對違規商家進行舉報。舉報比起訴效率更快，可以避免商家侵犯更多主體的權益。完善多渠道救濟途徑，讓用戶根據人臉識別技術對自身權益的侵害程度，選擇協商、舉報、起訴等多種渠道維權，最大程度保障自身權益。

4.2 加強行業自律與鼓勵個人維權

在外部監管尚未成熟的情況下，行業內部應當自我約束，引導企業規范處理面部信息。不同行業對人臉識別技術應用目的有所不同，因此行業協會應當立足行業需求制定自律公約，規范本行業內人臉識別技術的應用。2020年，中國支付清算協會發布了《人臉識別線下支付行業自律公約（試行）》，對人臉識別技術在金融領域安全應用進行規范。行業自律是人臉信息保護不可或缺的重要部分，應當鼓勵各行業制定自律公約，起到與外部監管互相補充的作用。

5 結束語

國內對于人臉數據的收集持開明態度，商家便更加肆無忌憚地違規處理面部信息。面對過度收集面部信息的現象，數據主體應當敢于拒絕，并尋求各種救濟途徑。當商家侵犯到個人權益，數據主體應當積極通過法律途徑維護自己的合法權益，譬如“人臉識別第一案”，在社會上引發了熱議并起到了積極引導作用。因此在規范人臉識別技術應用中，數據主體也應當通過積極維權的方式監督商家，倒逼商家保障用戶權益。