人臉識別應用合規對策研究
——基于人臉識別應用社會調查

楊 林 李 嬋 柴 尊

公安部第一研究所，北京 100048

一、問卷設計及其調查結果分析

（一）問卷設計

本次問卷由南方都市報個人信息保護研究中心發起，問卷分為四大部分，第一部分為受訪者基本信息，第二部分了解受訪者對人臉識別應用場景的態度，第三部分了解受訪者對人臉識別技術的信任情況，第四部分了解受訪者對人臉識別監管的看法。回收問卷數量共計12149份，剔除無效問卷后，最終獲得10018份有效問卷。

（二）問卷調查結果分析

通過分析問卷調查結果，反映出公眾對人臉識別應用的態度、信任的程度和監管的看法等多方面的信息。

1．公眾對人臉識別應用是否必要的認識

問卷調查結果顯示，受訪者在支付轉賬、解鎖解密、交通安檢、門禁考勤等眾多場景下使用過人臉識別技術。其中，使用頻次最高的場景是支付轉賬，有83．72%的受訪者表示在場景中遇到過人臉識別，其次是解鎖解密場景，有69．24%的受訪者表示遇到過（見圖1）。

圖1 關于人臉識別應用場景的調查

在上述場景中，關于使用人臉識別技術的必要性出現了不同的看法。例如，在將人臉識別技術應用于門禁的場景中，超過75%的受訪者認為，出于安全防控需求，一些小區、寫字樓等場所必須刷臉出入是“有必要”的，只有約16%的受訪者反對強制人臉識別，認為應提供其他出入方式（見圖2）。

圖2 關于使用人臉識別技術必要性的調查

相比門禁管理，受訪者對在商業營銷中使用人臉識別的接受度較低，48．19%的受訪者表示不能接受，43．15%的受訪者表示可以接受（見圖3）。

圖3 關于在商業營銷中使用人臉識別技術接受度的調查

值得關注的是，對于與公眾有直接接觸的服務人員，如網約車司機、外賣員、快遞員、家政人員、房產中介、社區工作人員等，提供上門服務是否需要進行人臉識別，受訪者的支持度較高，認為有必要設置人臉識別技術驗證對方身份（見圖4）。

圖4 關于特定職業使用人臉識別技術的接受程度調查

2．公眾對人臉識別技術信任度的判斷

在人臉識別技術應用不斷深入的同時，隱私泄露、網絡攻擊等風險逐漸顯現。問卷從人臉識別是否安全、是否有被濫用趨勢兩方面對公眾態度進行了調查。

（1）多數受訪者認為比較安全，對人臉信息被泄露最為擔心。在“人臉識別技術是否安全”這一問題上，約63%的受訪者認為比較安全。而認為人臉識別非常安全和不太安全的比例相當，都約為18%（見圖5）。在認為人臉識別不太安全的受訪者中，逾九成擔心人臉信息被泄露、販賣、冒用、盜用、挪作他用等，也有過半受訪者因不知道原始人臉信息如何處理和保管、是否會被刪除而感到擔憂，還有48．23%的受訪者擔心可能發生網絡攻擊，只有25%的受訪者擔心人臉識別錯誤導致不安全。

圖5 關于受訪者認為人臉識別技術是否安全的調查

（2）近半受訪者認為人臉識別有被濫用的趨勢。問卷結果顯示，雖然絕對信任人臉識別安全性的受訪者占比不到20%，但實際上因人臉識別遭受過財產損失或隱私侵犯的并不多見（13．9%）。另有約19%的受訪者不確定自己是否遭受損失。

在“人臉識別是否被濫用”的問題上，48．57%的受訪者認為“是”，也有35．55%持觀望態度，表示“不確定”。而認為人臉識別沒有濫用趨勢的受訪者僅占約15%，可見公眾對人臉識別的大范圍使用還是心存疑慮（見圖6）。

圖6 關于受訪者認為人臉識別技術是否被濫用的調查

3．公眾對人臉識別侵權救濟方式的選擇

從下圖可見，因人臉識別遭受財產損失或隱私被侵犯的情況并非個例。根據問卷結果顯示，在侵權后選擇的救濟方式中，超過80%的受訪者會傾向請求公安機關進行救濟，超過60%的受訪者會考慮向法院提起訴訟。選擇直接向侵犯信息者維權的受訪者最少，僅占約38%。選擇“其他”的受訪者中，有3名選擇媒體曝光，還有至少5名直言不知道去哪維權，還有1名選擇“忍氣吞聲”（見圖7）。

圖7 公眾對人臉識別侵權救濟方式的選擇

上述調查結果表明，公眾對于可選擇的侵權救濟方式更加傾向于通過向公安機關報案或向法院訴訟進行維權。這就意味著需要建立系統性的侵權救濟機制，提供更多的救濟渠道，使公眾在遭受侵權或損害后能夠切實獲得救濟。

4．公眾對人臉識別技術由誰監管的期待

與公眾首選的維權方式相吻合，人臉識別的監管機構中，大多數受訪者（67．43%）仍傾向于選擇公安機關。此外，認為應由網信部門、市場監督管理機關、人臉識別行業協會來監管人臉識別的受訪者比例分別為14．63%、9．54%和8．15%。還有受訪者建議，希望政府成立專門的個人隱私保護部門來進行監管（見圖8）。

圖8 關于受訪者認為人臉識別技術是否被濫用的調查

5．公眾對規范人臉識別技術應用的期望

在調查公眾希望如何規范人臉識別技術的應用一欄中，82．58%受訪者期待在政府中設立專門的監管機構，79．67%的受訪者希望出臺相關法律規范或者國家標準。同時，眾多受訪者對規制人臉識別應用的其他舉措方面表現出很高的支持率，如通過對人臉識別設備進行檢測認證、限制人臉識別應用場景、提高人臉識別行業的進入門檻等措施。問卷調查結果表明，受訪者期待多管齊下，通過“組合拳”的形式，對人臉識別的應用進行合理規制（見圖9）。

圖9 公眾對規范人臉識別技術應用的期望

二、規制人臉識別技術應用建議及對策的提出

根據現有的問卷調查結果，結合人臉識別技術當前應用中存在的問題，以及《網絡安全保護法》《個人信息保護法》和人大常委會不久前表決通過的《反電信網絡詐騙法》中對個人信息保護的要求與國家網絡身份認證公共服務的提供，本文對規制人臉識別技術應用提出如下對策：

（一）圍繞人臉識別應用場景進行差異化治理

從上述調查結果可以看出，多數受訪者對人臉識別技術的落地應用持支持態度，部分受訪者產生質疑的原因與該技術在商業營銷等“非必要”場景下的過度使用有關。事實上，一方面，由于缺乏必要的法律規制，人臉識別技術在越來越多的場景中被濫用，引發的侵害公民隱私權等合法權益的事件屢見不鮮。例如，W市某公共廁所需要“刷臉”后才能取紙[1]。再如，J市眾多售樓處安裝了人臉識別攝像頭，對看房顧客的來源渠道進行區分等[2]。另一方面，人臉識別技術作為社會治理的手段之一，其發揮出的積極作用仍然無可代替。例如，警方利用人臉識別技術，抓獲了流竄20余年的逃犯勞某枝、“北大弒母案”嫌疑人吳某宇等[3]。人臉識別大幅提高了社會精準治理水平和政府服務效率，有效預防和打擊了犯罪行為[4]。

人臉識別技術往往因其應用場景的不同而產生不同的社會效果。因此，應當圍繞場景開展差異化的治理模式，根據人臉識別技術應用的主體、對象等采取不同的治理手段。如積極引導相關機構使用國家網絡身份公共服務提供的身份認證（含人臉識別）服務；公權力主體使用人臉識別時，通常對公共安全形成一定的保障，可按照相關行政管理權限應用人臉識別技術；但對于私營主體則需要加大監管力度，保護用戶個人信息安全[5]，對本質上無應用必要的場景應明令禁止使用。

（二）健全人臉識別技術安全保障機制

從問卷調查結果可以看出，超過半數的受訪者對人臉識別的安全性表示認可，其余受訪者表示擔憂與人臉信息被泄露、販賣、盜用，以及原始人臉信息處理和保管的情況不明等有關。央視新聞曾報道，人臉信息被泄露后已形成黑產利益鏈，僅需2元即可購買到上千張人臉照片，花100元則可以購買到包含身份證正反面、用戶手持身份證照片以及動態人臉視頻的素材包[6]。

根據我國《個人信息保護法》規定：“任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。①參見《個人信息保護法》第十條。”人臉信息被泄露、販賣、冒用等亂象表明，部分信息處理者并未充分履行保護公民信息安全的法定義務，不合規地使用人臉識別技術和設備。為此，應當建立人臉識別技術的安全保障機制，對信息處理者明確其法律責任，并課以更高的違規犯罪成本代價。如，在處理人臉信息時，應當使用加密技術措施，通過去標識化、脫敏化等方式，避免對人臉信息進行明文處理。再如，建立可追蹤的技術體系，針對查詢訪問、修改刪除人臉信息的行為，確保事后可以進行查證，以便于對侵權人及時進行追責[7]。最后，通過采用類似經營許可、牌照管制等特殊方式，對人臉識別相關應用機構的服務進行有效監管。[8]

（三）逐步完善人臉識別侵權救濟機制

目前，公眾人臉信息被侵犯后的救濟途徑主要分為司法救濟和行政執法救濟。在民事侵權救濟方面，最高法已經出臺了《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》，上述司法解釋為信息主體通過民事救濟維護自身人臉信息合法權益提供了指引。在刑事司法救濟方面，《中華人民共和國刑法》第二百五十三條之一設置了侵犯公民個人信息罪，并針對此罪名制定了配套的司法解釋，該條款為利用刑事司法手段打擊侵犯人臉信息犯罪提供了法律上的依據，對侵犯人臉信息等違法犯罪行為起到了震懾作用。但無論是民事侵權救濟還是刑事司法救濟，其啟動程序復雜、時間冗長，公眾需要付出沉重的維權成本。問卷調查結果表明，因人臉識別技術侵犯公眾個人信息等合法權益時，高達80．19%的受訪者會優先選擇要求公安機關處理，顯然，公眾更期待通過行政執法的手段，維護自身人臉信息權益。因此，公安機關應為公眾構建維權通道，制定相應的執法標準，加大執法力度，加強網上行為追溯監管的基礎設施建設，確保公眾的利益得到有效保護。

（四）明確人臉識別應用監管機構

《個人信息保護法》第六十條規定：“國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定，在各自職責范圍內負責個人信息保護和監督管理工作。縣級以上地方人民政府有關部門的個人信息保護和監督管理職責，按照國家有關規定確定。”在《網絡安全法》和《數據安全法》中也將個人信息、數據管理保護的工作，確立為國家行政機關的一項法定職責。但在實踐中，由于人臉識別技術的應用場景多元化、使用主體復雜化，對人臉識別技術的監管仍然處于分散狀態。

前文已述，高達百分之八十以上的受訪者，期待在行政機關設置人臉識別專門監管機構，并且公眾希望由公安機關作為人臉識別的監管部門。不久前福州市人大代表陳能華也提出建議，將人臉識別設備應用的審批和監管職責納入公安部門管理范圍，防止非法濫用[9]。人臉識別觸碰公眾的隱私安全和信息安全，公安機關作為公眾安全的守護者，對人臉識別技術應用進行監督、管理有充分的必要性和可行性。公安機關應當制定科學、合理的監管辦法，對人臉識別的應用進行監管。

（五）構建多管齊下的人臉識別治理模式

問卷調查結果顯示，在規制人臉識別的應用方面，眾多受訪者表示期待通過多種治理模式，確保人臉識別技術在安全、合法、可控的環境下被合理應用。人臉識別技術的應用范圍廣泛，已經滲透到眾多商務和政務領域，涉及眾多公眾的隱私安全和信息安全，因此，需要通過多種路徑對其進行規制。具體建議如下：

1．制定相應的技術標準

問卷調查結果顯示，公眾對人臉識別技術的安全存在擔憂。現實中，也出現了因為人臉識別技術被攻破致使公眾遭受財產損失的案件，人臉識別技術的安全性關乎公眾的隱私和財產安全。目前，在人臉識別技術領域，相關的技術標準主要包括國家標準和行業標準兩大類，但均為推薦性標準。監管機構應牽頭制定人臉識別技術強制性標準，提高人臉識別技術門檻，提升人臉識別技術的安全性。

2．限制人臉識別的應用場景

人臉識別被濫用的現實不可否認，應用的場景和數量眾多，如任由其自身隨意發展，必然會帶來一系列社會問題。高達59．87%的受訪者希望限制人臉識別技術的使用場景。對此，人臉識別監管機構應嚴格限制應用場景，對于關乎公眾切身安全的場景，如車站、碼頭等，可以應用人臉識別技術，確保公共場所安全和公共秩序穩定。對于涉及到公眾財產安全的在線交易環節等場景，如在線金融支付等，為防止電信詐騙等不法行為的發生，可以使用人臉識別技術，以明確交易相對方的身份。在非必要，無需知悉特定人員身份的場景，則應禁止應用人臉識別技術。

3．推動人臉識別行業立法

“我國目前的立法尚未對生物識別信息的保護和利用進行強制規定，一方面不利于引導產業健康有序發展，另一方面還會增大生物識別信息濫用和泄露風險，威脅個人信息安全。因此，我國需要進一步完善生物識別信息保護法律制度。[10]”問卷調查結果顯示，高達79．67%的受訪者希望出臺人臉識別技術應用相關的法律規范。盡管《個人信息保護法》《數據安全法》等法律法規已經正式實施，但人臉識別不僅涉及信息和數據，還涉及到技術的應用和監管。單純依賴《個人信息保護法》等法律規范，難以解決人臉識別技術應用中出現的各種問題。因此，需要根據人臉識別技術應用的實際情況，以《網絡安全法》和《個人信息保護法》等上位法作為立法的基本準則，推動人臉識別專門立法，確保人臉識別技術在合法、合規的軌道上有序發展。

三、結語

本次問卷調查表明，公眾對人臉識別技術應用的態度，并不是絕對的抵觸，大部分受訪者肯定人臉識別技術的應用價值。實踐表明，人臉識別技術的應用對促進經濟發展、提升社會治理水平和治理能力，確實發揮了重要的作用。但人臉識別技術應用過程中，出現的侵犯個人隱私、泄露個人信息、技術安全等問題，加深了公眾對人臉識別應用的安全性和必要性的質疑，問卷調查結果也顯現出部分受訪者對技術應用的擔憂。因此有必要進一步深入研究調查問卷結果，通過各項舉措，滿足公眾對人臉識別應用進行規范管理的愿望。通過設置專門的監管機構、嚴格控制人臉識別技術應用場景、出臺相應的技術標準提高人臉識別技術的安全能力等措施，針對人臉識別技術的應用情況及出現的問題，根據《網絡安全法》和《個人信息保護法》所確立的基本原則和立法精神，完善人臉識別領域相關的法律法規和規范標準，通過一系列規制手段，確保人臉識別技術健康有序發展，支撐社會治理體系和治理能力的現代化，助力國家數字經濟的騰飛。