人臉識別技術中個人信息保護的法律問題及完善對策

宋曉會

西藏大學，西藏 拉薩 850000

一、人臉識別技術的概述

在我國傳統的熟人社會中，人臉是一種進入特定社交范圍的身份認證標識。人們通過不同面部特征的臉來識別和對應對方的身份信息、家庭信息、社會信息，從而實現與對方的交流和溝通。人臉識別技術源于20世紀60年代，并于90年代開始應用。如今，人臉識別技術正在顛覆傳統的身份識別與認證方式，其與大數據和物聯網進行聯動，在世界范圍內呈現出快速增長的態勢，并且應用于上班打卡、地鐵安檢、小區安保、醫療機構、輔助執法、快捷支付等不同的場景當中。但與此同時，人臉識別技術的廣泛運用也對公民個人信息的安全產生了威脅與風險。

（一）人臉識別技術的概念和工作原理

人臉識別技術是基于光學人臉圖像的身份識別與驗證的簡稱，是依據人的面部特征來進行身份識別的技術，其本身涉及了計算機視覺、圖像處理、神經網絡、人工智能等相關知識，屬于生物識別技術。根據匹配量級的不同，人臉識別技術分為三種不同的類型，分別是人臉認證（1：1模式）、人臉辨認（1：N模式）與人臉檢索（M：N模式）。［1］由此延伸出了人臉識別技術的三大基礎功能：驗證、識別和檢測。

人臉識別技術常常應用于日常生活中各種刷臉的場合，本文以最常見的刷臉技術為例來闡釋人臉識別技術的工作原理。“刷臉”利用了計算機視覺技術，把收集到的人臉照片信息用參數標記等特定方法處理形成一個個獨一無二的人臉數據的文件。［2］以日常生活中最為常見的小區門禁刷臉系統為例，系統將每一個刷臉者的面部信息同照片數據庫中的人臉數據文件進行比對，若人像與數據庫中的某個特定住戶的面部信息符合，則可以確認其身份并允許通行，反之則不可以。

（二）人臉識別技術的主要應用場景

人臉識別技術已經廣泛地應用于如下的領域中：在輔助執法領域中，人臉識別技術可以幫助打擊違法犯罪、尋找失蹤人口。人臉識別技術有分析與篩選的功能，可以服務于執法領域中的身份識別與身份驗證的需要。公安部打拐行動中應用的內部軟件“團圓系統”，在識別和辨認走失兒童的能力方面也高于其近親屬的直接識別；在公共治理領域方面，人臉識別技術在應對新冠肺炎疫情的危機中也做出了突出貢獻。政府借助了非接觸式的人臉識別技術，通過刷臉系統測體溫、標記體溫異常人員、查詢新冠肺炎確診病例的密切接觸者，有針對性地找到了重點觀察對象，對阻斷疫情的傳播鏈條，盡快遏制疫情的蔓延做出了貢獻；在商業領域和移動支付領域中，人臉識別技術已經得到了廣泛應用；在社區管理領域中，人臉識別技術可以提供刷臉門禁、對訪客進行管理、通過刷臉實現垃圾分類投放以及電梯的安全管控；在醫療衛生領域中，人臉識別系統可以對醫鬧黑名單者進行識別和匹配，維護醫院的正常秩序。如成都三六三醫院就以人臉識別技術為基礎建立了醫院的智能安防系統。人臉識別系統亦可以打擊醫院的“號販子”，規范醫院的預約掛號流程，北京天壇醫院就安裝了此系統。在醫保在線支付方面，人臉識別技術也發揮了重要作用。

（三）人臉識別技術的潛在風險

第一，人臉識別技術存在技術風險。具體表現為人臉識別錯誤與欺騙攻擊。人臉識別存在誤差的原因是圖像質量不佳、人臉遮擋或者是化妝等原因。欺騙攻擊指的是在人臉識別系統中冒充身份，騙取認證信任；第二，人臉識別技術存在隱私風險。人臉信息是高度敏感的信息，具有一定的信息安全隱患。若人臉信息在存儲、使用、處理的過程中被黑客或者內部人員竊取和利用，則存在泄露個人隱私的風險。目前我國對于人臉識別技術的監管尚不完善，在很多領域內存在過度收集人臉信息等人臉識別技術的濫用問題；第三，人臉識別技術存在財產風險。人臉信息具有唯一性和相對穩定性，每個人的面部信息與身份信息是綁定的。若不法分子利用此技術背后的高危漏洞來轉移被面部識別者的財產，將對被人臉識別者造成財產侵權；第四，人臉識別技術存在社會風險。具體表現為社會倫理困境和社會矛盾加劇等方面的問題。［3］

二、人臉識別技術中個人信息保護存在的問題

技術給人類社會生活帶來的影響和沖擊往往是利弊兼有的，人臉識別技術也不例外。人臉識別技術給我們的生活帶來了極大的便利，廣泛應用于商業管理活動與公共管理活動中，但不可否認的是，人臉識別技術的運用還存在著一些現實的問題。

（一）人臉識別技術中個人信息保護的相關法律不夠完善

個人信息保護在《民法典·人格權編》中有著原則性的規定，個人信息受到法律保護，處理個人信息要遵循合法、正當和必要的原則。人臉信息屬于個人信息中的生物識別信息，對其處理也必然要受到以上原則的約束。但這種約束只是原則性上的約束，并沒有監管措施和相應的懲罰手段，在操作上存在困難。新頒布的《個人信息保護法》中對個人信息的保護的規定有許多亮點，細化了個人信息的處理規則，明確了個人所享有的權利和個人信息處理者的義務。《個人信息保護法》第二十六條中規定了在公共場所收集個人的圖像信息、身份識別信息只能用于公共安全的目的，而對“公共安全”沒有做過多解釋，可能會限制為商業目的而應用人臉識別的行為。在面臨人臉識別技術復雜的應用場景和功能時，該法在具體實施上存在一定的困難。在相關概念的表述上，《民法典》中的私密信息與《個人信息保護法》中的敏感信息的稱呼不完全相同，在具體適用時，會產生能否把私密信息等同于敏感信息的疑問。如果沒有對概念進行厘清，將影響法律在具體落地時的銜接和實施。

（二）對人臉識別技術應用的監管缺乏成效

目前對于人臉識別技術的應用缺乏統一的行業監管模式，造成了與人臉識別技術有關的各種行業亂象和負面案例。如各種手機應用軟件在安裝的時候被要求對不必要的權限進行獲取。諸如讀取通訊錄權限、讀取相冊權限、讀取麥克風權限等。2021年的“3·15晚會”上，披露了多個商家私自安裝人臉識別攝像頭的行為，他們繞過了被拍攝者的知情同意權，收集了大量的用戶面部信息，一夜之間引發了消費者對于商家使用人臉識別系統的擔憂和不安。這樣的例子還有很多，在互聯網如此發達的現在，“電子眼”的存在讓我們在毫無防備的情況下赤裸裸地暴露在人臉信息收集者的屏幕面前。各種平臺和應用軟件可以利用監管的漏洞竊取我們的個人信息而規避了處罰，很難說我們的個人信息得到了相應的保護。

（三）行業主體責任的落實存在欠缺

商事活動的發展在為社會源源不斷地創造財富的同時也推動了技術的革新和法律的進步。包括民商法在內的很多法律規范都是基于公司商事活動的實踐從而不斷得到完善的。人臉識別技術能在廣袤的中國大地上迅速推廣和應用，滲透到人們衣食住行的方方面面，與公司的力量是分不開的。但企業和公司畢竟是追求經濟利益最大化的營利組織，對人臉識別技術加以監管也是需要花費成本的，因此商業領域內常出現人臉識別技術的濫用。一個用戶的姓名、手機號、地址，這類看似簡單無用的個人信息，如果可以被商戶所取得，就可以實現對潛在顧客人群實施精準投放廣告、推銷等行為，從而達到節約廣告成本的目的。國外一些知名公司如谷歌、微軟、IBM等都曾經呼吁在人臉識別系統方面出臺更加嚴格的管控措施。Facebook也進一步明確人了臉部識別技術的適用范圍、使用手段和目的。而我國自2020年中國支付清算協會印發《人臉識別線下支付行業自律公約（試行）》的通知后，其他涉及人臉識別技術的行業自律公約遲遲沒有出臺。

（四）被人臉識別的對象缺乏對維權的重視和對救濟渠道的了解

一方面，與西方國家崇尚的個人主義相比，我國的文化傳統中更多呈現出來的是集體主義的特征。我國的文化傳統不強調對個人信息的保護，使得人們在個人信息權利受到侵犯時的警惕性較低。同時，從社會心理角度來看，人臉經常暴露在外界，人臉信息不必要通過個人主動配合方可獲取，因此我們在面對攝像頭、刷臉考勤機、人臉識別門禁機、人臉溫控識別機等機器的時候，對個人信息受到的侵犯缺乏一定的敏感度。不然也不會在人臉識別技術在我國快速應用的大背景下，直到2021年才有了“中國人臉識別第一案”；另一方面，保護個人信息的相關法律宣傳還不到位，即使個人信息被侵犯，也不知被侵權，亦不了解相應維權途徑，只好停留在被侵權的現狀上難以及時實現救濟。

三、人臉識別技術中對個人信息保護的完善對策

（一）加強人臉識別技術的法律規制，進一步完善相關法律制度

為了解決人臉識別技術的發展和個人信息保護之間存在的問題和沖突，應盡早填補相關法律的立法漏洞，細化相關法律法規的實施細則，完善人臉識別技術中個人信息保護的法律體系。根據《個人信息保護法》第六十二條規定，網信部門要牽頭推進與人臉識別技術相關的專門規則和標準，因此網信辦要從實踐出發，不斷完善具體規定。根據《新一代人工智能發展規劃》的相關要求，要分類詳細地制定適應人臉識別技術應用的各種規范，明確公權力介入的邊界，進一步明確政府、企業、用戶和其他使用人臉識別技術的主體之間的權責關系，明確和規范人臉識別技術的市場準入制度，對應用場景的要求進一步細化，不斷完善有關人臉識別技術的法律體系。

（二）強化政府職能，建立完善的監管體系

政府需要建立以其為主導的全過程監管體系，及時回應人們在人臉識別技術應用方面的擔憂和期待，為公民提供一個安全的網絡環境，助力“平安中國”的建設，讓公民的安全感更充實、更有保障、更可持續。2022年8月10日，國家網信辦發布的《數字中國發展報告》提出了要完善數字安全和治理體系，營造健康安全的發展環境的要求，具體來說要堅定不移地堅持總體國家安全觀，提升數據安全管理水平，強化個人信息保護，集中整治違法違規收集個人信息等行為，切實維護廣大網民的合法權益。政府在支持人臉識別技術發展的同時，也要對企業進行監管，明確企業在收集人臉數據時的知情同意權，對不必要的授權行為加以限制，防止企業濫用人臉識別技術。使得采集人臉識別信息的行為更加公開透明，盡量避免可能的信息安全風險轉化為實實在在的損害行為。

（三）加強行業自律，落實行業主體的責任

行業自律是指某個特定的行業經過內部的協商之后，在不違反現有的法律的前提下制定統一的準則并加以自覺遵守，以達到維護行業內的公平競爭、協調行業內的利益關系、不斷規范本行業行為的目的。在現行法律中對于商業化的人臉信息收集行為，并沒有采取絕對禁止的態度。因此作為人臉識別應用最廣泛的商業領域要承擔起行業責任，加強行業自律，強化相關行業的道德感與社會責任感，不要片面追求經歷利益。《個人信息保護法》為企業收集、使用、保存、處理人臉識別中涉及的個人信息做了原則上的規定。行業自律準則是對相關法律在實際操作過程中的有效補充，通過制定行業自律準則，可以促進企業在應用人臉識別技術時對個人信息的保護進行具體的規制。商業主體是技術革命的推動者，他們理應在創新、生產、經營與投資的全程中落實相應的責任。加強行業的自律與監督，可避免相關的行業出現只被監管而無主動權的情形，以求相關行業在發展的過程中不斷完善人臉識別技術的應用難題，通過安全合規的產業鏈推動行業的健康發展。

（四）將提高個人維權意識與暢通救濟手段相結合

一方面，公民要提高警惕，從事前到事后的全程中都要積極維護自己的個人信息權和隱私權。做到事前提高警惕性，積極學習《個人信息保護法》和《民法典》等法律法規中對個人信息保護的相關規定，熟悉人臉識別中個人信息保護的相關法條，并且在遇到侵權的情況時要積極主動使用法律的武器維護自己的合法權益；另一方面，有權利則必有救濟，要暢通相關救濟途徑。個人要從事前就開始提高警惕性，加強對保護個人信息安全的意識，在個人信息受到侵犯時要借助合法的途徑加以救濟，維護自己的個人信息安全。

四、小結

伴隨著人臉識別技術在各種場合下的廣泛應用，人們對于這種技術不再陌生。在了解這個技術的安全隱患和社會上發生的許多有關人臉識別的負面案例之后，人們對人臉識別技術的運用感到了不安并對其逐漸提高了警惕。人臉識別技術亟待通過完善法律保障、加強政府監管和行業自律，以及促進個人加強隱私權保護的方式來保護個人信息的安全。新事物的發展總是伴隨著各種各樣的社會問題和法律問題。目前我們要對人臉識別技術保持一個謹慎樂觀的態度，不應因噎廢食。在人臉識別技術中的個人信息保護問題上，我們還任重道遠。人臉識別技術應當為我們所用，而不是讓我們成為它的奴隸。最后，我們也應當加強對人臉識別技術之外的其他生物信息識別技術在實務中運用的反省和思考。