人臉識別技術風險的法律規制

張依桐

沈陽師范大學，遼寧 沈陽 110034

一、人臉識別技術的性質

人臉識別是基于人臉特征信息的生物測定技術的一種，是通常使用監控或攝像機，把人臉收集整合為圖像或視頻的數據流，進而對自動檢測到的圖像進行跟蹤，從而識別檢測到的人臉信息的一系列相關技術。它具有非接觸性、不可更改等特征，使人臉識別技術與其他生物信息相區別。

二、人臉識別技術存在的風險

（一）人臉識別技術固有的技術風險

人臉識別具有精確度低、受環境影響大、穩定性低的特征。

在各項生物識別技術中，人臉識別相比指紋、虹膜等準確度低，人的面部所包括的生物特征信息量和其他生物信息相比較少。例如，采取兩個人的指紋或虹膜特征與人臉信息進行對比，更準確反映個人信息的往往是指紋與虹膜。據科學研究保守估計，人臉識別技術準確率能達到99%，但沒有達到100%。尤其是雙胞胎等面目特征幾乎一模一樣的人，由于相似特征太多，人臉識別很容易出現混淆。對人臉進行拍照檢測是進行人臉識別的第一步，首先是確定出現在鏡頭下的人臉，當鏡頭下的場景背景比較復雜時，人臉檢測準確率也會大幅降低，故人臉識別技術需要攻克的難點之一就是在復雜環境下也要準確地對人臉進行識別捕捉。其次，光線等條件會隨著場景變化而變化，其條件是多變而復雜的，在人臉識別中光照影響尤為突出。在現實人臉識別的運用中，鏡頭下光線變化會對采集到的人臉圖像的質量產生重大影響。

（二）人臉識別技術特性導致的社會風險

首先，人臉信息的采集不需要被采集人的同意，并不具有強制性，也無需進行身體上的接觸。人臉、聲紋、步態等大多數生物信息都可以通過隔空捕捉和網絡爬取數據等方法繞過個人知情同意而取得，無需經信息所有人授權或超出用戶明確許可的收集目的范圍。［1］人臉信息只需要有攝像頭、監控等設備就可以對其進行采集，被采集者甚至有時并不知道自己的人臉信息已經被采集。其次人臉信息被侵犯后的傷害是不可逆轉的。人臉信息屬于個人生物識別信息，與傳統個人信息不同，承載了人的心理情況、文化背景、消費記錄，并且人臉信息是不能被頻繁換用的，傳統的個人信息如號碼等，泄露后可以通過更改來達到停止侵害的效果，但人的相貌骨骼是不能輕易更改的。人臉識別的廣泛應用還會讓社會產生信任危機，人臉識別技術的發展延展了公眾認知世界的方式，但這種延展帶來了社會信任危機，消弭了社會共同體之間的信任。刷臉、換臉等技術使得人像真實性問題成為信息傳播中的關鍵問題，傳統的根據人臉進行社會身份識別的模式被現有科技拓展為識別-認證模式，身份信息的可破解性和非真實性使得人際交往之間的欺詐現象叢生，信任關系難以確立，從而危害社會秩序的穩定和產生共同體的信任危機。［2］并且人臉識別技術具有被攻克的可能，隨著科技發展，換臉技術依托于人臉識別技術的基礎也發展了起來。例如，AI換臉就是在人工智能的基礎上發展起來的，僅僅通過帶有人臉的照片，就可以實現“換頭”，而且面部表情生動活潑，足以以假亂真，現如今互聯網上難以分辨的“換頭”視頻讓人臉識別技術步入了“替換”的道路。例如2019年國內某公司推出的AI換臉應用“ZAO”就引起網民的換臉熱潮.在人臉識別得到普及推廣使用的同時，清華大學RealAI團隊爆出其“易破解”安全隱患，由此可見人臉識別“易破解”主要面臨如下一些潛在的技術挑戰。［3］而且據有關研究表明，隨著3D打印技術的發展，人臉識別技術很有可能被攻克。

三、國內人臉識別法律規制的不足

當前人臉識別技術應用領域的相關法律并沒有形成體系，我國并沒有對人臉識別進行專門性的立法，有關它的法律分布在《民法典》《網絡安全法》等相關的法律法規當中，沒有形成完備的體系，有大量有待完善之處。并且如今并沒有成立專門針對人臉識別技術進行管控的行政部門，導致缺少具有強制執行力的行政機關。人臉識別還具有非接觸性，使其信息收集具有隱蔽性，被采集者往往在無法察覺的情況下就被監控等設備采集了人臉信息，雖然我國法律法規規定，采集者應履行具備同意、公開等相應的義務，但如今對人臉識別等生物信息進行管理的行政機關，往往具有被動性。當前人臉識別法律規制的不足具體有以下幾點。

（一）法律缺少針對人臉識別技術運用的安全標準

如今的法律缺少專門針對人臉識別技術運用的安全標準，沒有明確使用人臉識別技術和相關人臉信息的企業、單位等的責任與義務。在法律法規中對企業采集、儲存、商業使用人臉信息應該采取的程序與標準也沒有明確的規定，并且儲存人臉識別信息的企業、服務提供者等，安全措施不到位可能會導致信息泄露。故應該規定相關企業具有一定的應對網絡攻擊的能力，如成立網絡安全保護部等，防止因為網絡攻擊導致儲存的人臉信息丟失，造成公眾受到侵害。

（二）缺少專門的監管機關

當前我國沒有針對人臉識別設立專門的監管機構，通常是各個具有行政職權的機關，依據自己的職能對侵權行為進行監管，這可能會導致行政權能的分散，使強制力降低，不能起到快速及時的監管。并且，現如今擁有個人信息管理職能的部門通常具有滯后性，只有當人臉信息被侵犯后，才會進行管控。因為人臉識別技術在使用過程中出現的危險是不可預測的，這些難以預料的危險會引發嚴重或不可逆的損害，因此，我們應該采取積極的手段進行預防，杜絕其危害的產生，而不是在侵害已經產生后才采取措施。并且侵犯人臉信息往往不需要與被采集者進行接觸，且成本較低，往往僅僅需要少量監控設施，這樣巨大的收入與低廉的違法成本，會使對人臉信息的侵犯變本加厲。故需要一個專門的監管機關在收集信息之前，對其進行監管和主動檢察。

（三）法律未規定相應的救濟途徑

在采集人臉信息的過程中往往不需要進行接觸，導致其侵權行為具有隱蔽性，被采集者通常不知道自己的人臉信息泄露的時間和地點以及侵犯者信息。這對證據的獲得造成了阻礙，并且人臉信息一般儲存在各個公司內部，受害者無法獲取公司內部儲存人臉信息的狀態及其是否泄露的證據。且救濟途徑單一，往往只能通過訴訟方式進行維權，被侵害者通常為個人，收集證據的高成本往往使其難以承擔，這使被侵權者無法找到最高效、便捷的救濟途徑，難以維護自身合法權益。

四、完善人臉識別技術法律規制的建議

（一）人臉識別立法要進行分層規制

根據人臉識別技術的特點，筆者認為對其立法要進行分層規制，根據不同的場景、不同的用途進行分別立法。首先是根據使用目的來說，分出公共利益進行使用、商業用途進行使用等。我們需要對商業用途使用進行更加嚴格的立法，對相關企業的有關人臉識別技術條件與標準進行嚴格限制。其次是從使用主體方面進行規制，如給公權力機關為公共利益使用人臉識別技術與私人企業為商業利益使用人臉識別技術制定不同的前置性條件，反映出不同主體下的法律關系側重，進而區分不同公私使用者的不同規制標準。

（二）制定比收集其他生物信息更為嚴格的法律規制

人臉識別具有非接觸性、非強制性的特點。人臉識別無需像指紋識別、虹膜識別一般需要被識別者主動去進行檢測，并且用戶不需要專門配合人臉采集設備，幾乎可以在無意識的狀態下就可獲取人臉圖像。這就使人臉信息較其他生物信息更容易被偷偷獲取，而其他生物信息的采集就不具有這一特點。針對人臉識別的特殊性，立法應制定比收集其他生物信息更為嚴格的法律規制，除了用于國家偵查等特殊用途，法律應規定采集用戶人臉信息必須征得被采集者的同意，實體商家應對被采集者進行書面通知并征得同意，互聯網行業則需單獨進行協議，不得出現在不易被用戶發覺的隱蔽處進行通知。此外就采集者被采集信息的目的、儲存方式、保存時間等內容必須進行通知。

（三）促進個人生物識別信息保護法的建立與完善

現有的法律在個人信息保護方面的立法包括《民法典》《網絡安全法》等多部法律，但并沒有對個人信息保護方面做具體的規定，《個人信息保護法（草案）》對個人信息的保護做了規定，但并未對人臉識別信息做專門規定，故應該對人臉識別信息的收集、處理、保存做專門立法，促進個人生物識別信息保護法的建立與完善。形成專門的有關生物信息保護法律，完善其法律體系，對人臉信息的定義與保護途徑等進行詳細立法。使被侵權者在受到侵犯后可以依法維護自身合法權益。

（四）增加人臉識別侵權救濟途徑

針對人臉識別舉證困難的情況，我國應該增加人臉識別侵權的救濟途徑，首先公權力機關應發揮協助作用。在公民提供初步證據，核查證據的真實性、合法性后，根據證據指向，向有關企業、單位提出收集證據的意見，促使相關企業積極配合。其次，在被侵權人提出訴訟后，因為被侵權人的弱勢地位，為保護其合法權益，應該讓對方進行舉證，證明其對此不負責任。最后，國家應鼓勵建立相關的機構，為被侵犯人提供服務，幫助其進行維權。

（五）完善人臉識別信息的保護監管體系

設置政府監管機構是完善個人生物識別信息應用風險監管主體制度的核心。一方面，其代表著國家，有強制力作為支撐，因而具有權威性；另一方面，其具有代表性與民主正當性，因而能夠對不同利益主體進行協調，具有公開性與透明性。［4］在個人生物識別信息監管機構的組織形式上，各國大多設置了統一、獨立的行政監管機構。如美國伊利諾伊州通過《生物識別信息隱私法案》設置了生物識別信息隱私調查委員會，英國則設置了人臉識別應用監督和咨詢委員會。有的國家設立了獨立的個人信息監管機構，其中包含對個人生物識別信息的監管，比如瑞典設置了數據保護局，日本設置了個人信息保護委員會等。［5］在我國通常為各個部門分散實行人臉識別監管職權，我國還沒有建立起完整的人臉識別信息監管體系，由于可以行使監管公權力的機關過多，缺少統一專業的監管機關，就存在相互推諉等情況。因此，國家應該設立統一的人臉識別信息監管部門，完善人臉信息監管保護體系，主動進行執法，在產生可能造成人臉信息泄露危機前進行事先審查，將危險遏制在萌芽中。并且需要培養適應現代大數據時代的執法人員，培養其專業素養與服務意識，使其更好地行使監管職能。

（六）制定有關人臉識別的行業標準

人臉識別技術產業作為高新產業，隨著互聯網大數據時代的發展而發展，但是與其相對應的是行業內企業良莠不齊，不少并沒有達到可以收集存儲人臉信息標準的企業、單位等也進入行業，使行業中低質量企業過多，對此狀況，國家應通過法律、法規和規章等對行業進行規制，建立最低準入標準，對想要進入人臉識別行業的企業進行資金、技術方面的核查。減少行業內的低質量企業，更好地保護公眾的信息安全。此外應建立相關行業協會，建立人臉識別技術行業標準，改善行業內部結構。通過行業內自行監督，減少對人臉信息的侵權行為。

五、結語

人臉識別技術作為一門高新技術，在發展的過程中會產生很大的未知因素，也可能會給社會帶來更多的挑戰。隨著人臉識別技術的發展，在法律領域也要進一步完善相關法律規制，目前來說我國相關法律具有滯后性，故需要促進有關人臉識別的法律體系、監管體系的完善，維護人臉信息不被侵犯，保護公民的相關權益。