人臉識別技術應用中的社會風險及其法律規制研究*

江蘇警官學院 徐千惠，顧宣婭，陳玉立

雖然有關個人信息的規定在我國《中華人民共和國民法典》《個人信息保護法》中有所體現，但是這些法律法規對公民人臉識別信息的法律保護以及應用的規制過于寬泛，不具有專門性以及針對性。2020年10月1日實施的《信息安全技術個人信息安全規范（2020年版）》（以下簡稱《規范》）對人臉識別信息的收集、存儲、使用等作出了明確的規定，但是此《規范》只是推薦性的標準，不具有法律強制約束力。由此可見，目前針對人臉識別技術的法律規制尚且不足，其社會風險卻日趨嚴重，對人臉識別技術的法律規制研究箭在弦上。本文立足于對人臉識別技術的必要性進行說明，分析人臉識別技術的社會風險，結合社會發展的現狀和趨勢，從國家、社會、個人三個層面對人臉識別技術的法律規制進行研究，以便更好地發揮人臉識別技術的作用。

一、人臉識別技術應用的特點

（一）人臉識別技術具有高效便捷性

人臉識別技術的高效便捷主要體現在人臉識別技術算法先進、速度快。人臉識別技術通過后臺數據分析，可以大大縮短人工識別時間，短時間內實現智能預警判斷，提供遠端識別服務，幫助用戶通過驗證，為人們提供便捷、安全、可靠的技術服務，改變了傳統的驗證模式，大大提高了認證效率，為用戶帶來便利。

（二）人臉識別技術具有低成本性

從其使用成本來看，人臉識別技術在應用過程中僅具備攝像裝置就能應用，并且人臉識別技術對硬件的要求不高，所使用的是常規通用的攝像頭，相比其他生物識別技術所需的硬件措施，具有更高的性價比。除此之外，人臉識別技術應用于公共管理、企業經營等各個領域時，可以代替人工，降低人力成本。

（三）人臉識別技術具有非接觸性

人臉識別技術的非接觸性不僅大幅縮短了信息采集時間，而且在如今嚴峻的新冠疫情環境下起到了重要的作用。對于疫情防控工作，相較于刷卡、指紋等直接接觸式的生物識別方式，人臉識別這種無需直接接觸的識別方式更適合于目前的公共衛生環境，其因效率的提高減少了人群的聚集度，無接觸式的信息驗證能夠在一定程度上降低病毒的交互，阻止疫情的蔓延。

（四）人臉識別技術具有普適性

隨著社會信息技術的迅猛發展，人臉識別技術使用主體也變得多元而廣泛。不論是政府機關，還是經營、運營公共服務場所的企事業單位或民營企業，從金融、安防領域到消費、生活、醫療、交通、學校、社區、企業等多個領域，都實現了人臉識別技術覆蓋適用。人臉識別技術的廣泛應用，不僅使人們的日常生活更便利，從社會公共管理和國家治理層面，也能維護社會公共安全和執法公平。

二、人臉識別技術應用中存在的社會風險

（一）權利侵犯

隨著科技的進步，人臉識別技術應用門檻逐漸降低，信息收集主體信息安全意識和防范信息泄露的信息安全保障能力不足，加之信息安全保護責任的不明確，可能會導致人臉信息被隨意共享，用于非法交易。通過與其他大數據相匹配，借助人臉識別信息甚至能夠了解一個人的收入水平、家庭成員、教育程度等詳細的個人信息[1]。人臉信息屬于敏感信息，一旦泄露或被濫用會使公民的隱私權受到侵犯，極易導致個人名譽權、肖像權、身體權、財產權受損，進而影響其生活安寧與私密活動。

（二）人群歧視

商家為了加大銷售力度，根據人臉識別技術得到的信息，對不同的消費者提供差別待遇，這些行為不僅是對消費者隱私的侵犯，也極易造成一定的人群歧視。除此之外，收集者往往通過“使用即同意”協議，要求用戶提供人臉信息。如果用戶拒絕，即被排除在該項服務或產品之外。部分人臉識別技術使用方的強制使用，對行動不便、對新事物接受緩慢的老年人以及整容者也存在一定的歧視。

（三）技術濫用

人臉識別信息有較低的應用門檻卻具備很高的應用價值，企業在逐利動機驅使下會想方設法以更低的成本去收集、使用、處理、共享數據，并盡可能延長數據使用周期，過度挖掘其利用價值，以“優化產品體驗”“保障用戶安全”等理由在公共場所未經授權收集自然人面部數據[2]。2021年，新京報推出《人臉識別黑產調查》專題報道，曝光了人臉信息在網絡上被販賣的情況，除了照片和身份證信息，甚至還有動態驗證視頻，賣家還承諾他們出售的視頻能通過大部分平臺的驗證。

人臉識別技術的濫用極大地侵犯了公民的個人隱私，泄漏了個人的臉部信息，偏離了人臉識別技術便利人類生活的初心，成為幫助違法犯罪的工具，人臉識別技術濫用情況叢生，對社會公共安全造成嚴重損害。

三、人臉識別技術應用中的法律規制研究

（一）國家層面

1.立法方面

（1）建立健全法律體系。隨著人臉識別技術的不斷發展進步，其需要規制的內容及要求也應相應變化，且需要有具體性。我國目前對人臉識別技術規制所采取的“軟法先行”的規制方式在一定程度上是符合我國國情的。但是隨著人臉識別技術的不斷發展，軟法對于規制該技術應用時就存在一系列不足之處。由于我國關于規制該技術的條文比較分散，在適用條文時需要在各種法律法規中查詢和匯總，因此會增加適用的時間成本和人工成本，并且可能會出現無法完全適用的情況。因此，應當加快立法腳步，制定關于規制人臉識別技術的專門性法律。同時，盡快推進《刑法》《民法典》以及《個人信息保護法》等法律關于個人信息泄露事前預防、事中審核、事后救濟制度的立法工作。另外，可采用部門規章或強制性國家標準的形式，制定專門的個人生物識別信息保護規范，重點規制人臉識別信息處理行為?？傊覈詫ｉT立法保護為基礎，輔以其他部門法，從而形成一套堅不可摧的個人信息保護法律體系。（2）加大刑法的打擊力度。在個人遭遇侵害時，由于不知道泄露的主體、方式及時間，會面臨舉證困難的窘境，提起民事訴訟的概率較低，且一旦泄露后果也具有不可逆轉性。《刑法》應發揮其作為最后防線的作用，對于技術使用所帶來的不可避免的風險，明確其制裁邊界及程度，在實現技術發展的同時確保公眾生活安全有序，避免風險轉化為現實侵害?？梢詮摹缎谭ā飞显O立新的罪名，對人臉識別信息安全進行特殊保護，也可以嘗試通過《刑法》解釋的兜底條款明確人臉識別信息所應歸入的類別，對人臉識別相關犯罪行為進行打擊。（3）明確人臉識別技術侵權的責任主體。侵犯個人信息的侵權案件不同于普通的侵權案件，普通的侵權案件往往可以直接確定責任的主體范圍，但在如今的大數據時代，對于被侵權人來說，其很難判斷自己的信息是經何種渠道泄露的。雖然對人臉信息的處理往往是由人臉識別技術的使用方進行，但是人臉識別技術的提供方也極有可能實施人臉識別技術的侵權行為。因此，確定人臉識別技術侵權的責任主體可以采用連帶責任追責機制，即在人臉識別過程中，可以讓人臉識別技術的提供方和人臉識別技術的使用方承擔連帶責任，如果其中一方有證據證明自己沒有實施侵權行為，則由另一方承擔侵權責任，這有利于在發生侵害或者損害后明確侵權責任主體，也有利于加強企業內部對個人信息的保護，技術提供方與技術使用方互相牽制、互相監督，從根源上提高人臉識別技術的安全性。

2.執法方面

自我國法律明確保護個人信息以來，具體領域的相關行政職能主要由網信部門、工信部門，公安部門以及市場監督管理部門共同履行，最主要和最常見的執法行為是行政檢查與行政處罰。事實上，目前我國對于人臉識別技術的監管大多數采用的是“行政約談”的方式，即當企業或者單位在運用人臉識別技術時，存在數據泄露的風險或者隱私協議存在不規范等情形，我國工信部網絡安全管理局會立即約談該企業，并且要求該企業在內部進行有效自查、整改，因此，我國對人臉識別技術應用風險的規避更多依靠的是該技術應用企業自身的自覺性和責任感。在發生個人信息泄露或者濫用等安全事件后，用戶常遇到投訴無門或相關部門各自為政的情形，信息處理單位也可能會遇到不同執法部門就同一事項重復檢查且標準不一的問題，為強化該領域監管工作的權責統一，在中央統一領導下，指定或者整合一個專門機構來具體實施包括人臉信息在內的個人信息保護的規制完善與執法工作，以更好地保障該技術的積極健康發展。該專門機構可以進行以下規制：（1）設立人臉識別技術的企業入行標準，提高其準入門檻，把人臉識別技術應用納入行政許可范圍。（2）健全年審、備案機制。年審機制的作用在于審查各個企業一年來在研發、應用人臉識別技術的過程中是否有不合規范的地方。備案機制的目的是讓企業及時存儲人臉數據信息，并做好數據庫保護工作，及時保存獲得信息主體授權時向用戶所作出的承諾書，方便責任認定工作的開展[4]。（3）將人臉識別技術應用納入聽證制度，聽取多方有效的意見，形成平等公開的意見發表模式。

3.司法部門

（1）對接不同的部門法律規范。司法部門應對接不同部門法規范，通過訴訟實現對人臉識別信息在內的個人信息的一體化保護。在民事領域，平衡各方主體利益，尊重對人臉識別信息合理使用的創新行為，并進行有效規制。在刑法領域，對突破道德底線、性質惡劣的侵犯人臉識別信息的行為進行嚴厲懲處，并長期保持高壓態勢[3]。（2）對人臉識別技術應用的合理性作出回應。目前在司法領域還未對人臉識別技術應用的合理性有所回應，對于當時引起熱議的郭兵訴杭州野生動物世界一案，雖然法院判決商家刪除人臉信息，但是判決僅僅是從合同法的角度出發，認定園區單方面違約，卻未對商家強制要求應用人臉識別方式入園這一不合理的方式作出直接回應，同時也未對人臉識別技術濫用的情況進行審查。司法部門應當通過司法解釋或指導性案件，對人臉識別技術應用的合理性作出回應，提高公眾對人臉識別技術的認識。

（二）社會層面

1.技術使用方面

（1）拒絕強制性，給予當事人更多的選擇權。對于人臉識別信息的采集應堅持差異化規制，除法定情形外，技術使用方應當向技術被使用方充分解釋說明該技術的使用風險和不利影響，不能僅告知當事人技術使用的優點及好處，誘導使用者同意。技術使用方應盡量給予公民在驗證身份時除人臉識別外的其他可替代方式，供公民選擇，不得將人臉識別作為唯一方式，變相強迫公民提供人臉信息。

（2）提高風險責任意識。技術使用方應建立數據采集、傳輸、存儲、使用、加工等多方面的合規機制，明確人臉識別信息收集行為中每一步的邊界，依法對所采集的人臉識別信息進行安全管理。在采集程序上，堅持采集適度原則，防止過度采集個人信息和數據的濫用，以能達到使用目的的最小限度為準。加強企業內部的安全管理，與員工簽訂相應的人臉信息保密協議，制定相應的隱私條例和內部規章制度，明令禁止員工出售任何人臉信息，對于違反規定者給予嚴厲的懲罰。組織員工進行有關人臉技術相關法律知識的學習，定期進行法律培訓，避免侵權行為的發生。最后，企業還需加強對員工的文化培訓，在潛移默化中健全員工的信息保護與安全機制。

2.建立多重侵權救濟途徑，通過民事公益訴訟保障公民權利

人臉識別技術的非接觸性和隱蔽性使公民在不知情的情況下被采集了面部數據信息，即使公民知情并同意，在信息被采集后，公民也無法監控自身數據的使用和流轉情況，其權利救濟無從談起。濫用人臉識別技術、非法獲取公民個人信息、泄露公民人臉數據等侵權行為所侵害的主體在數量上往往具有廣泛性和分散性，但由于侵權行為的難以察覺性、取證的艱難性等，公民很難通過訴訟維護自身權利。行業內部可以設立專門的數據管理監督組織，對數據的收集、使用和保護進行監控，發現企業如有侵權行為應提起民事公益訴訟。如果社會組織和行政機關沒有及時向法院提起公益訴訟，則由檢察機關提起民事公益訴訟。如果行政機關濫用權力侵權，則可以由公民申請行政復議或者直接提起行政訴訟。

（三）個人層面

技術被使用者不能因為部分商家的濫用，就將新技術的應用“一棒子打死”，而是要理性地審視和分析自身與技術使用者之間的法律關系，正視自身為取得產品或接受服務將要承擔的風險與責任，權利與義務，不斷提高認知能力和法律意識，消除認知偏差，積極獲取與人臉識別有關的各類信息，認真閱讀人臉信息處理過程中的告知書、協議等書面材料，了解個人信息被侵犯或濫用時的救濟渠道。

四、結語

技術的更迭需要法律的更新與之相匹配，即使人臉識別技術的應用在短期內帶來了高收益與高便利，但其所帶來的社會風險也不容忽視，人臉識別技術應被限制在合理且必需的領域內。因此，國家在立法方面應建立健全一套完整的法律體系，加大刑法的打擊力度，明確人臉識別技術侵權的責任主體；在執法方面，設置專門機構統籌個人信息保護工作；在司法方面，對接不同的部門法律規范，對人臉識別技術應用的合理性作出回應；在行政管理方面，設立人臉識別技術的企業入行標準，健全年審、備案機制，將人臉識別技術應用納入聽證制度；社會應建立多重侵權救濟途徑，通過民事公益訴訟保障公民權利；技術使用方應當拒絕強制性，給予被使用方更多的選擇權，提高風險責任意識，技術被使用方也要提高個人的信息保護意識。各方共同努力，充分利用人臉識別技術，保護人臉信息安全，做到科技發展與風險規制的平衡。