人臉識別技術應用的現實困境與法律規制路徑*

廣東工業大學 湯基敏 徐津津 潘楚蝶 陳敏婷 吳丹妮

近年來，人臉識別技術走入萬千大眾的生活，人臉識別應用場景不斷擴大，伴隨而來的爭議也日漸增多，戴頭盔看房、社區門禁等事件一次次地將人臉識別技術推向公眾視野，315晚會曝光的人臉識別攝像頭事件更讓這項技術于公眾眼前全面鋪開。目前我國頒布了諸多個人信息保護以及人臉識別技術應用的指導性立法，并開展行政層面上的相應舉措，但對于法條的可操作性及行政治理的有效性還十分欠缺，本文分析人臉識別技術在應用、技術風險、立法以及司法等方面的現狀，并基于此提出關乎技術救濟、立法銜接、行政監管等方面的關鍵問題，最后結合域外經驗系統提出改進措施，保障了人臉識別技術在法律框架內有序發展，助力新產業、新業態持續健康發展。

1 人臉識別技術的應用現狀

人臉識別技術的運用在過去主要集中在公共安全領域，現今在推進國家政府治理能力現代化的背景下，人臉識別技術普遍應用于政府治理中，其在提升政府工作效率方面發揮了積極作用。人臉識別技術應用廣泛的同時也引發了諸多問題。如政府作為公權力主體，其可通過各種途徑收集大量人臉信息，政府的數據庫一旦被非法侵入，會造成嚴重的信息泄露問題，侵害公民的個人信息權益[1]。

近年來，商業領域應用人臉識別技術的場景大肆擴張，從線上App到線下商場，從大型企業到小型快遞站，各個領域都有人臉識別設備的“身影”。與其他領域不同，商業領域應用人臉識別技術的目的并非維護公共安全，而在于實現商業利益。商業主體應用人臉識別技術理應嚴格遵循知情同意原則，但是許多商業主體未誠實履行告知義務而擅自使用該項技術，知情同意原則受到了挑戰。同時，商業主體是否能夠妥善保管人臉信息，政府是否能夠對其進行有效監管等問題仍然存疑[2,3]。

2 人臉識別技術的風險現狀

人臉識別技術識別的面部信息是個人獨特的生物信息，與個人信息關聯度高。收集面部信息時意味著公民的姓名、職業、資金等信息將一同被獲取，若面部信息被隨意收集將十分不利于個人信息的保護。

不同于其他類型的生物識別技術，人臉識別技術的隱蔽性與非接觸性的特征使信息抓取變得更為簡單，該技術的面部識別算法配合普通的攝像頭即可實現信息的遠距離抓取與存儲。同時面部信息識別的精準度也大幅度提高，在人們移動或表情變化的過程中也能精準完成識別。人臉識別技術的非接觸性促使它具備隱蔽性，信息處理者往往能夠在信息主體未知情的情況下取得其人臉信息，即便該行為違反知情同意原則，但由于處理者與信息主體間天然的信息不對稱關系，信息主體也未能及時察覺[4,5]。若非2021年央視3·15晚會曝光了部分店鋪非法使用人臉攝像頭進行“無感式”人臉信息收集，恐怕公眾至今仍未知曉其中套路。現國內人臉識別相關案件數量寥寥無幾，筆者認為，相關案件數量較少也與人臉識別技術的直接侵害性不明顯有關，信息主體往往并不知悉其人臉信息已被收集。人臉識別技術的這種性質造成大量的人臉信息被非法使用和販賣，但是被識別者卻對自身人臉信息的泄露毫不知情，造成極大的安全隱患，使得公眾難以對人臉識別技術進行有效防范，造成維權困難。

3 人臉識別技術運用的立法保護現狀

人臉信息作為一種特殊生物識別信息，因具有信息個體的識別性和唯一性使得其在適用上極易引發糾紛外溢，亟待專門立法予以特殊保護，目前我國通過《刑法》《民法典》《個人信息保護法》《網絡安全法》等法律以及相關司法解釋和地方性條例對人臉識別技術的應用加以規制。《民法典》將隱私權和個人信息納入人格權予以保護，并首次對個人信息下明晰的定義，奠定生物識別信息立法基礎；《網絡安全法》為保護個人信息安全提供一般性保護；《個人信息保護法》作為處理個人信息原則性、方法性的法律，實現了對個人信息的針對性保護，強化了對敏感個人信息的保護；《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》以司法解釋的形式強化了對人臉信息保護；地方性立法如《上海市數據條例》也針對個人信息保護進行了細化立法，上述法律法規都體現了我國對于人臉識別技術發展的持續關注和所給予的立法層面上的制度保護。但與此同時，實務中對于法律規范的適用存在著諸多困擾，諸如相關法律之間銜接不足，對人臉識別技術尚未形成系統化且針對性的法律體系、出現法律規定間的矛盾創設隨意解釋的空間給司法實踐造成困難，對數據維度外的算法安全和技術應用問題未進行妥善回應等。

4 人臉識別技術運用的司法實踐現狀

2019年，我國出現“人臉識別第一案”，盡管法院審判并未基于人臉信息保護角度，而是從合同法角度進行考量，但有關人臉信息保護的話題已經引起社會廣泛關注。2020年3月，勞東燕教授拒絕其居住小區“不刷臉不讓進小區”的規定，并認為物業無收集業主人臉信息的權力和安裝人臉識別裝置的必要性，最終物業同意業主可以自由選擇出入小區的方式。實踐中真正進入訴訟階段的此類案件仍在少數，社會公眾并未對此技術報以絕對信任，人臉識別技術在司法實踐中仍有諸多問題待解決。

4.1 技術準入規范難適用

現行法對于人臉識別的運用主體未作明確規定，數據安全保護責任主體不明，加之信息收集主體日趨多樣化，各人臉信息收集主體間技術水平、成本投入乃至保護意識存在較大差異，導致人臉信息被非法收集和使用的可能性大大增加[6]。而以知情同意原則和權利克減規則為人臉技術的市場準入標準，實踐中可操作性不強且易出現權利濫用，脫離立法本意。知情同意原則在實踐運用中，由于信息主體一方在信息知情和技術能力上的劣勢地位以及人臉識別技術的非接觸性，信息處理者規避知情同意原則的情形比比皆是。如App以反復彈窗等間接方式誘導使用、App隱私政策中條款規定模糊、線下門店通過攝像頭在用戶不知情的情況下收集人臉信息等。現有規則中，權利克減規則留出了自由裁量的空間，且并未明確解釋權主體乃至適格行為人，導致合理使用規則被濫用。如《個人信息保護法》第26條對于信息收集主體并未做適格條件限制，導致打著“公益”幌子下的私益行為層出不窮，法律價值落空[7]。

4.2 違反“知情同意”的損害難認定

從《個人信息保護法》的規定來看，違反知情同意原則而收集他人個人信息這一程序難以認定為損害，該法第14條第二款規定“個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應當重新取得個人同意”，當處理目的、處理方式和處理的個人信息種類發生變更時未再次征得被收集者的同意時，被收集者“知情同意權”被侵犯，司法實踐中無法將該程序性違法造成的權利人的精神損害、預期利益等認定為損害[8]。

4.3 行政管理主體監管作用尚未充分發揮

盡管《個人信息保護法》第六章規定了履行個人信息保護職責的部門，但沒有明確監管部門監管權合法、合理行使的依據及程序規則等內容。如該法第60條并未明確履行個人信息保護職責的主管部門，這給執法無力埋下了隱患，導致“踢皮球”的亂象叢生。其次，多個行政部門均對采用人臉識別技術的信息收集主體負有監管職責，但各監管部門職責分散且交叉較多，人臉識別技術又具有運用范圍廣、直接侵害性不明顯等特點，導致監管部門應對此類技術的監管成效不明顯。

5 我國人臉識別技術規制的制度完善

5.1 人臉識別技術應用的事前救濟

5.1.1 明確收集主體和信息主體的權利歸屬

在人臉識別技術應用中，明確各方主體的權利歸屬、針對不同主體進行明確賦權是保障人臉識別信息不受非法侵害的必要前提。

收集主體是否享有、在何種情況下能夠享有收集、加工或使用的權利應給予清晰的界定，明確以何種許可方式賦予收集主體以權利，且應窮盡特定許可的范圍，僅以空泛的兜底性條款難以規避法律之落后性；而在賦權信息主體時則要尊重其知情權、自主選擇權和隱私權等權利，并要求信息主體在涉及國家、社會重大事項時讓渡部分權利以保障公共利益。

5.1.2 設立多層次、全方位的界限標準

(1)建立資格準入審批制度。嚴格監管人臉識別技術使用權的授權，以必要性作為該技術應用程度的衡量標準，根據不同的使用需求確定授權條件、授權范圍等，加大行政管理，建立嚴格的資格準入審批制度，為授權使用人臉識別技術的主體設立準入門檻，實現主體受控的目的，彰顯行政監管在人臉識別技術應用領域的職責所在。

(2)嚴格貫徹知情同意原則。知情同意原則旨在強化個人自決，保障公民的知情權與自主選擇權，是為使用人臉識別技術限定最低的界限要求，即人臉信息的采集和使用應盡不同形式充分告知其信息主體，務必保證信息主體與收集主體的信息對等，且針對同意能力的差別應采取不同形式以避免流于形式產生后續糾紛，應明確信息主體的授權同意應以明示形式做出，禁止沉默推定為同意，要求數據收集一方對相關條款內容負有告知與解釋的義務，此外還應允許信息主體享有撤銷權，即中止信息采集方對其信息的使用并清空人臉信息數據庫內其相關信息[9]。

(3)落實信息處理者的去標識化措施。人臉識別的風險所在即其能夠將面部信息與個人身份信息掛鉤，而去標識化恰恰措施借以去除信息標識特征成為重要的安全措施。信息處理者需要對個人面部信息進行處理，使其在不借助額外信息的情況下無法識別特定自然人且不能復原。當前我國去標識化措施缺少十分具體的實施標準，故而成為收集主體逃避義務的灰色地帶，因此須以法律強制手段落實去標識化措施，以切斷人的面部信息與特定自然人身份之間的鏈接。

5.1.3 引入應用評價制度與公眾參與制度

應用評價制度與公眾參與制度的引入旨在賦予設計者在投入人臉識別技術前所應履行的面向行政部門和公眾的告知與核準程序。

應用評價制度提出人臉識別技術的主體應當出具算法應用報告書，并上報相關部門進行審批，且對于影響規模較大、風險較高的人臉識別算法應當向獨立監管部門進行備案，確保監管部門進行動態監測。此外還可以建立試運行機制以完善人臉識別技術的事前評價制度。

公眾參與制度則是對知情同意原則的進一步踐行，要求人臉識別技術應用主體主動向社會公布技術的應用情況，并積極聽取和采納公眾意見，同時通過引入公眾參與機制使信息主體得以充分表達訴求，保障其知情權和參與度，減輕信息主體對技術濫用與信息泄露的擔憂，使其更好地接受人臉識別技術的應用。

5.2 人臉識別技術的全過程監管

5.2.1 加密保護人臉識別信息

人臉識別技術本質上是基于算法的大數據分析，因此應重點監管技術的算法規制。在人臉識別技術應用過程中，人臉信息處理者有義務對所采集的信息進行加密保護。如通過網絡安全層軟件（SSL）進行信息加密傳輸與存儲，嚴格限制數據中心的訪問；或是以人臉識別SDK軟件進行加密以防止反編譯及逆向工程，防止數據庫內的信息被隨意拷貝等。信息處理者在保管人臉信息時，應當將經過去標識化后的面部信息與可用于恢復識別個人的面部信息進行分開儲存，對于可識別身份的信息應當進一步加密保存，例如采用獨立終端進行存儲，以減少面部信息完全泄露的風險。除了對信息存儲進行加密保護之外，人臉信息的加工與傳輸也需要重視。在傳輸過程中，必須結合去標識化的技術安全措施對人臉信息進行加工，架空人臉信息使其在獨立的空間內進行流轉，并且應結合網絡信息傳輸加密算法，以保護人臉信息文件傳輸安全。

5.2.2 建立外部獨立監督機構

根據《個人信息保護法》第五十八條“守門人”條款，提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者應當成立外部獨立機構對個人信息保護情況進行監督。而人臉識別技術所涉及的人面信息更為敏感，更應設立獨立的外部監督機構，對所有人臉信息處理者的收集、使用、傳輸、加工等活動進行獨立監督，并定期以測評或安全考試的形式進行風險評估[10]。對于在處理信息過程中存在泄漏風險的處理者可以給予相關法律法規及安全準則的意識強化指導；對于發生信息泄漏現象的處理者應當及時禁止其繼續處理信息；出現侵權行為時應根據相關規定進行處罰，如此可以促進人臉識別技術行業的安全與良性發展。

5.2.3 多方聯動強化政府監管職能

為了充分發揮行政主體的職能，需要多方聯動，以健全人臉識別技術的信息收集安全機制。目前我國法律并未明確規定履行個人信息保護的主管或者責任部門，人臉識別信息的監管和保護主體不明的問題亟待解決。因此，我們可以在政府內部明確設立人臉識別信息保護的主管部門，以獨立地處理涉及人臉信息的問題，并賦權對涉嫌泄露面部信息的主體進行調查與移交處理，通過厘清行政管理主體以及政府權責來強化政府部門的監管職能。

在技術層面上，我們應設立獨立于政府之外的信息安全影響評估機構，對該技術應用進行定期回訪、追蹤與監督，實現動態評估。政府內部也應設立特定部門與此對接并進行監管，該政府監管部門可以結合公眾參與機制，吸收多方有效的意見，由此通過多方聯動實現對人臉識別技術應用的全過程監管，保障技術應用安全。

此外，在發揮法律基礎作用的同時，還應當結合行業自治組織，發揮行業自身監管作用：一方面借以行業行規的形式來規范技術的設計、開發以及應用；另一方面通過實現全領域的行業自律公約覆蓋，來指引人臉識別的合法合規應用，而行業組織也需要通過與政府聯動實現自身監管，最終實現多方監管共同發力，提升政府監管工作效能[11]。

5.3 人臉識別技術應用的事后救濟

5.3.1 實現人臉識別技術的專門性立法

從整體上來看，我國已經有了個人信息保護相關的專門性立法，但是個人信息不等同于生物識別信息，個人信息是生物識別信息的上位概念，兩者的內涵與外延無法得到一致的判斷[12]。而人臉信息作為一種特殊的生物識別信息，具有信息個體的識別性和唯一性，更是與其他生物識別信息存在較大差別。故應盡快從立法層面制定一部關于人臉識別技術應用的專門性法律，將人臉信息區別于敏感個人信息、個人信息進行特殊立法保護。

5.3.2 加強人臉識別技術相關法律間的銜接

在現有立法中，應加強《個人信息保護法》《民法》《刑法》《網絡安全法》等法律間的有效銜接，細化對于法律用語的規定，使規則適用精準化，并對法律規范體系內外部進行調整，實現法秩序統一和個人信息公私法一體化保護[13]，從而為人臉識別技術的專門性立法打下基礎，避免法律沖突。以民法和刑法為例，目前《民法典》未明確規定個人信息權這個概念，而只規定自然人的個人信息權受法律保護，未來可以在《民法典》中規定個人信息權，為個人信息保護提供法律依據。我國的《刑法》中規定了“侵犯公民個人信息罪”，但該罪僅能對部分侵犯公民個人信息的行為進行規制，存在對個人信息犯罪的量刑情節單一、對個人信息犯罪的規制范圍狹窄、對人臉識別信息的入罪標準模糊等問題[14]，未來可考慮在立法層面重新確定新罪名，從而對人臉信息提供更具針對性的保護。

5.3.3 完善個人信息公益訴訟機制

在公益訴訟適格原告方面，法條雖然規定了消費者組織和國家網信部門可以依法提起公益訴訟，但是消費者組織提起公益訴訟只針對侵害眾多消費者合法權益情形時才可適用，適用范圍過窄，不利于公民維權。且目前國家網信部門并未規定可以提起公益訴訟的組織，因此，在實踐中會出現主要以人民檢察院為主要主體提起人臉信息公益訴訟的情形，但人臉信息存在技術壁壘高、隱蔽性強等特點[15]，辦案人員由于專業知識的匱乏，對于海量的數據和信息進行搜集整理缺乏應對能力，由更具專業性的組織代表提起訴訟才能更好地保護公民的權益。基于目前人臉信息保護社會組織缺少的現狀，國家可單獨建立個人信息保護協會以及個人信息保護組織，為公民權利救濟保駕護航。

在公益訴訟具體開展過程中，需加強合作資源共享，提升數字化辦案能力。檢察機關在辦理個人信息保護公益訴訟案件時，可以聯合調查全面收集證據，加強與相關部門協作，建立完善數據共享以及聯合行動等機制。辦案人員也要努力提升數字化辦案思維與能力，利用專業技能從互聯網大數據中發現收集證據，另外可以引入人工智能輔助辦案，提高辦案效率。此外，可以探索構建“訴前磋商+檢察建議”模式和采用“民事公益訴訟+行政公益訴訟”的模式，互補互助，實現對人臉信息的立體保護。

6 結論

人臉識別技術的發展與應用是時代發展不可避免的過程，其技術上的安全風險性并不是阻礙與逃避其發展的理由。《個人信息保護法》等相關法律法規的出臺，強化保護了敏感個人信息，但要使人臉信息保護更具針對性，其保護機制仍需進一步細致完善，因此本文針對人臉識別技術的救濟路徑提出了制度完善建議，從事前技術預防到事后法律救濟形成多角度、全方位的完整保護鏈，以達成人臉識別技術發展與信息安全的動態均衡，有效化解人臉識別技術帶來的個人信息安全危機，提高人臉識別技術的安全度與公眾認可度，助力人臉識別技術進一步發展。

引用

[1] 張濤.人臉識別技術在政府治理中的應用風險及其法律控制[J].河南社會科學,2021,29(10):44-55.

[2] 張新寶,葛鑫.人臉識別法律規制的利益衡量與制度構建[J].湖湘法學評論,2021,1(1):36-51.

[3] 趙慧津.人臉識別技術應用的行政法規制研究[D].濟南:山東大學,2021.

[4] 張宇軒.人臉識別技術下的個人信息保護:以設計保護為進路[J].河南理工大學學報(社會科學版),2021,22(2):18-24.

[5] 閆雙巧.人臉識別等生物識別技術侵權救濟:以個人信息保護為視角[J].河南工學院學報,2020,28(6):74-80.

[6] 劉軍平,楊芷晴.人臉識別數據保護困境及其法律應對[J].科技與法律(中英文),2021(6):18-28.

[7] 王旭.人臉識別準入規則的失靈風險與制度重構[J].大連海事大學學報(社會科學版),2021(6):54-65.

[8] 李婕.人臉識別信息自決權的證立與法律保護[J].南通大學學報(社會科學版),2021,37(5):106-115.

[9] 林凌,賀小石.人臉識別的法律規制路徑[J].法學雜志,2020,41(7):68-75.

[10] 崔亞東,楊華,胡榮鑫,等.世界人工智能法治藍皮書(2020)第五部分人工智能法治發展專題報告 三、人臉識別與隱私權保護法律問題研究[C]//世界人工智能法治藍皮書(2020):上海市法學會,2020:235-245.

[11] 蔣潔.人臉識別技術應用的侵權風險與控制策略[J].圖書與情報,2019(5):58-64.

[12] 王宗煜.人臉識別系統下的個人隱私法律規制研究[D].廣東:廣東外語外貿大學,2019.

[13] 張勇.敏感個人信息的公私法一體化保護[J].東方法學,2022(1):66-78.

[14] 任和和.論我國人臉識別信息侵害行為的刑法規制[J].上海法學研究,2021(14):269-276.

[15] 何嘉凱,檀杉杉.個人信息保護公益訴訟的破與立[N].檢察日報,2021-12-02(007).