論人臉識別技術的法律規制

朱 紅

（南京審計大學,江蘇 南京 211815）

人臉識別帶來的便捷性毋庸置疑，但是一男子為保護個人信息戴著頭盔去看房的視頻新聞，引起了大家廣泛的關注。業內人士指出，售樓處引入人臉識別技術，多半與其“分銷模式”有關，就是借助人臉識別，幫房企判斷購房者是“自然到訪客戶”還是“渠道客戶”，以確定促銷傭金如何發放。“戴頭盔看房”雖然略顯夸張，但它是對人臉識別技術濫用的有力控訴，折射出消費者對于人臉識別技術濫用的無奈抗爭。2020年杭州市富陽區法院公開審理了一件“國內人臉識別案”，這是我國法院首次審理此類案件。案件原告是浙江理工大學副教授郭兵，被告為杭州野生動物世界有限公司，郭兵購買了野生動物世界的雙人年卡，當時明確規定采用指紋識別的方式進園，郭兵夫婦也按要求錄入了指紋，當時也能正常進園。之后，動物世界就調整了年卡用戶的入園方式，改為人臉識別方式入園。動物世界曾兩次告知郭兵變更年卡入園識別方式，要求其錄入人臉特征，否則會影響入園。而郭兵則主張人臉信息為個人隱私，因此堅決反對人臉識別入園，并要求園方退卡。但園方主張則明確告訴郭兵，如果不先激活人臉識別系統，就無法辦理退卡手續，郭兵隨之將動物世界告上了法庭。技術本身并沒有好壞之分，完全是客觀存在的，但技術的用途是什么，究竟該如何使用技術，均由人所決定。只有以正向價值為引領，以嚴密法律為準繩，才能讓技術充分釋放紅利。

1 人臉識別的概述

人臉識別技術是一種基于生物特征的識別技術，其依托于計算機技術，先收集人臉特征，然后與真人進行分析與匹配，一旦匹配成功，則允許后續操作，反之，則給出提示[1]。人臉識別技術包含3個步驟，即對人臉進行檢測、對人臉進行追蹤以及對人臉進行比對。對人臉進行檢測的過程，是指在監測畫面當中確認是否有人臉的過程；對人臉進行追蹤，是指在監測畫面當中檢測到人臉時，對人臉進行追蹤，從而提取對應的人臉特征；對人臉進行比對，就是將已經提取的人臉特征數據與數據庫當中已有的人臉數據進行比對[2]。

1.1 人臉識別技術的應用場景

在《人臉識別應用公眾調研報告（2020）》中，總結了當下10種較為常見的人臉識別場景，分別是：①支付轉賬（如刷臉支付、轉賬提現等）；②開戶銷戶（如銀行開戶、開店、開播、注銷等環節）；③實名登記（如酒店入住、購票搶票等）；④解鎖解密（如解鎖手機、開啟未成年人模式、解密私人相冊等）；⑤換臉娛樂（如換臉、算命等軟件）；⑥政府辦事（如工商注冊、個人報稅、福利發放等）；⑦交通安檢（如飛機場、火車站進站人臉識別等）；⑧門禁考勤（如小區、公園門禁、公司人臉識別考勤等）；⑨校園、在線教育（如查看抬頭率、刷臉簽到等）；⑩公共安全監管（如闖紅燈識別、大型活動安檢等）。從上述列舉中，可以看到，人臉識別已經覆蓋了我們生活的各個領域。可以預見的是，隨著時代的不斷發展，人臉識別技術的市場應用范圍將會持續擴大，有著光明的發展前景。

1.2 人臉識別技術的特點

人臉與指紋、虹膜等人體生物特征具有的共同特征是自然性、唯一性和不易復制性，相比指紋識別和刷卡通過人臉識別的特點在于非接觸性，相比虹膜識別人臉識別的信息處理設備性價比較高，在疫情防控期間得到了大力推廣[3]。人臉識別技術通過精準識別，可以讓出行者在非接觸的情況下實現出入自由，減少了人際接觸帶來的風險隱患，提高了便捷度和效率，給人們的生活帶來了便利。基于億歐智庫所給出的報告能夠獲悉，目前人臉識別技術已經覆蓋多個行業領域：諸如互聯網金融服務、交通出行、參觀及安防等，以2018年為例，當時安防領域有超過60%的都引入了人臉識別技術，金融領域為17.1%，智慧園區為6.7%[4]。

1.3 “人臉”信息的法律性質

在“國內人臉識別”首案中，原告郭兵主張人臉信息為個人隱私，反對以人臉識別的方式進入園區。有學者指出人臉信息是一種隱私，公民依法對其享有隱私權[5]。而學者王鍇（2020）指出，人臉信息屬于個人信息，而不是隱私[6]。學者勞東燕（2020）認為，個人信息的保護，評估標準不是隱私，而是可識別性[7]。《中華人民共和國民法典》（以下簡稱《民法典》）規定，隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。可以看出，隱私兼具“隱”和“私”的雙重屬性，不僅具有私密性，同時還不愿為他人知曉，而人臉信息只要沒有遮擋物，就是對所有人公開的，人們對自己的臉不享有合理的隱私期待，所以，人臉信息不屬于隱私。在民法典規定生物識別信息類屬于個人信息。在《信息安全技術個人信息安全規范（2020）》（以下簡稱《規范》）[8]中也明確指出：個人生物識別信息不僅屬于個人信息，更是個人敏感信息。進而能夠總結出，人臉信息屬于個人生物識別信息范疇，為個人信息，因此我國公民有權享有個人信息保護。

2 我國人臉信息保護的立法現狀及存在的問題

人臉識別技術運用于社會治理的各個方面，在追緝犯罪分子、養老金認證、門禁考勤等維護社會秩序和加強社會治理方面發揮了巨大的作用，學者勞東燕認為，社會治理現代化并非簡單的數字化管理，如果僅僅實現管理手段的數字化，就無法有效解決社會上的治理問題，甚至還會激化矛盾。我國現行法律對于人臉信息的收集、使用未予禁止，然而在實踐中，存在許多不夠明晰的地方，包括立法體系不健全、信息處理標準不具體、收集限度不嚴格等問題，從而導致人臉信息的濫用。“國內人臉識別第一案”中存在以下爭議：經營者是否有權收集客戶的人臉信息，消費者是否具有選擇權，這其中涉及有權進行收集、使用人臉信息的主體以及信息主體的知情權和選擇權等問題。

2.1 立法現狀導致無法有效救濟

《憲法》規定我國公民的人格尊嚴不受侵犯。尤其是在《民法典·人格權編》中，更是回應了目前關于個人信息保護的問題，這為個人信息保護提供了基本法依據，但是《民法典》中并沒有將個人生物識別信息與其他個人信息做明顯的區分，未對個人敏感信息做出明確界定。雖然在《規范》中對個人信息、個人生物識別信息、個人敏感信息的規定較為具體和詳細，并且規定了“敏感個人信息的處理機制”，但是《規范》只是行業標準，并不是法律，不具有法律效力。我國還未出臺專門的法律文件來規制人臉識別技術應用問題，這將對個人生物識別信息是否應當采取較于其他一般個人信息更為嚴格的法律保護造成障礙。目前，我國法律對于個人信息保護僅限于平等主體之間，而對于不平等主體之間或者是國家機關在行使公權力的過程中獲得的人臉信息的法律保護力度不夠，相關的法律依據不夠。

2.2 人臉信息處理標準不具體

《民法典》《消費者權益保護法》《個人信息保護法》均明確指出，在處理個人信息時，務必要嚴格按照合法、正當、必要等原則進行。可見，雖然現行法律規定了個人信息的處理規則，但個人信息通常默認為人臉信息的上位概念，而人臉信息又是個人敏感信息，應當采取比處理個人信息更嚴格的處理規則。由于法律對人臉信息處理標準規定不具體，造成在實際生活中私自收集、加工、分析及使用個人生物識別信息的行為屢見不鮮，影響了對個人生物識別信息的保護。例如上述“國內人臉識別第一案”中原告提出的動物園是否有權收集人臉信息的問題。所以，需要對現行個人信息處理規則進行細化，從而有效地規制濫用人臉信息的不法行為。

2.3 知情同意原則的困境

《個人信息保護法》規定在處理個人信息時,前提是確保當事人充分知情,然后自愿且明確做出表示，甚至要給出書面同意。但是，在實踐中，無論是在公領域還是私領域，人臉識別應用主體大多不會征求信息主體的同意而收集其人臉信息。其中既包括由于當事人認知能力不足或信息不對稱而沒有在真正意義上知情，也包括在知情之后不能發自內心做出同意或者反對。例如網絡服務提供者會與用戶達成“使用即同意”協議，只有用戶同意其服務協議，方可享受相應的服務，若用戶基于保護個人信息的理由而拒絕提供人臉信息，則用戶不會享受到網絡信息服務[9]。使用即同意原則導致用戶只有“同意”的權利，沒有協商談判的權力，在網絡服務提供者與用戶之間形成了不平等的關系，嚴重損害了網絡用戶的權利。實踐中，往往把“一次同意”概括為“永遠同意”，因為當信息主體同意應用主體收集并使用人臉信息后，人臉信息被轉換為數字安全碼，進而存在于應用主體的數據庫中，經營者可隨時在沒有得到信息主體的同意下使用人臉信息。目前，為滿足用戶數據安全與價值開發的均衡要求，各國均將用戶同意作為數據處理的前提，但沒有具備劃分書面告知的情形，這需要借助法律的形式進行完善。

3 域外人臉識別技術的法律規制及其啟示

3.1 歐盟人臉識別技術的法律規制

目前，歐盟并沒有規制人臉識別的專門法律。歐盟對于人臉信息保護采取的是綜合立法保護模式，大致內容為把不同種類、級別、性質的個人信息全都納入《通用數據保護條例》（GDPR）中，把民事、刑事和行政法律的保護措施集中在此條例中的立法模式。GDPR中規定收集和處理人臉信息要遵循嚴格的規則，包括“禁止處理”“明示同意”和“法定必要”等要件。不僅如此，GDPR還明確規定在對人臉信息進行處理時，務必要秉承權責一致、保密完整、必要、安全、正當、合法合理透明等原則。必須區分識別人臉的目的，限制該項技術的使用場景，通過算法的提高避免歧視現象的出現從而保護公民的人格尊嚴，確立獨立的監督機構對人臉識別技術的發展進行密切的關注和監督。由于人臉識別技術是一項前沿性技術，目前缺少相關的使用經驗，歐洲對于人臉識別技術的應用還是持謹慎態度，必須采取更加嚴格的監管，減少技術帶來的風險。

3.2 美國人臉識別技術的法律規制

目前美國聯邦法院還未專門制定相應的法律法規來規定人臉識別技術的應用，但美國參眾兩院就此領域問題，提出了多項人臉識別法案：禁止將人臉識別技術引入美國各政府機構部門中，直至國務委員會確定完備的政府使用準則與限制條件，以防此技術侵犯公民隱私權、自由權等；規范商用人臉識別技術的各種情形，規定在使用個人信息前務必先要征得主體同意；限制聯邦調查局、移民和海關執法局等機構的人臉識別技術監視情形，明確指出只有在得到法院允許后，方可將人臉識別技術用以監視。由于聯邦立法針對人臉識別應用情形還沒有給出具體的法律規范，所以一些美國地方政府開始出臺相關法律，來規范人臉識別技術的應用情形。比如美國的華盛頓州、得克薩斯州、俄勒岡州、和舊金山市等地，都陸續立法明確禁止政府機構在公共場所引入人臉識別技術，并制定了關于生物識別信息保護的法律文件[10]。

3.3 域外的法律規制的啟示與借鑒意義

歐盟原則上禁止收集處理人臉信息，在制定GDPR時表明了嚴格保護人臉信息的態度，并且在實踐中執法機關也嚴格貫徹了這一立法態度，總體而言，GDPR的生效實施為保護人臉信息提供了最為直接的法律依據。歐盟建議不斷發展的科學技術對公民基本權利的影響帶來了極大的不確定性，因此需要建立一個集權力、資源、專業知識于一體的監督機構對人臉信息的處理過程進行監督，防止侵害公民基本權利的現象出現。由于美國一直以來都強調人權與自由，因此美國政府對人臉識別技術的應用始終較為謹慎，當下聯邦層面與州層面立法規制多集中在人臉識別數據的采集與使用，商用人臉識別的情形與限制，嚴禁人臉識別技術被濫用等方面。我國可參考美國在人臉識別技術應用方面的相關法律制度與做法，嚴格規范敏感信息的采集與處理，不斷完善人臉識別技術的應用監管框架，并明確規定行政主體使用人臉識別的范疇，以期有效保護個人信息[11]。從美國加州近期出臺的《人臉識別技術法案》中可以看出，對人臉識別技術應用的使用限制正在逐漸放寬，整體呈現出由緊到松的趨勢。當然，法律移植要考慮中國的本土性，西方國家的價值觀是“個人本位”，強調個人的自由與權利；而我國更加注重“社會本位”，強調集體觀念，因為價值體系的不同，所以不能生搬硬套域外經驗，要結合我國的實際以及公眾對人臉識別技術的態度進行相應的法律規制。

4 我國人臉識別技術法律規制的對策與建議

以法律的形式來明確規定人臉識別技術的應用目的，而非一刀切地禁止此項技術的使用。企業是以盈利為目的的，在市場巨大利潤的誘惑下，要企業在商業成功和社會責任之間進行選擇，我們不能報以過高的期待，所以靠企業自律是不行的。

4.1 完善人臉信息保護的法律救濟

將《民法典》《個人信息保護法》分別作為個人信息保護的基本法與特別法依據,構建一條具有中國特色、符合我國實際國情的立法模式，實行“專門立法+分散立法”的模式。即在《個人信息保護法》等個人信息專門立法的統領下，不斷完善《刑法》《網絡安全法》等關于個人信息的分散性立法，最終實現對個人信息的有效保護，以確保涵蓋人臉信息在內的個人信息安全。對人臉信息的保護，除了立法保護外，還非常有必要采取行政保護和司法保護。在行政方面，應不斷完善行政監管體系，積極推動人臉識別技術領域的監管機構建設，通過加大行政處罰力度的方式減少非法使用人臉識別技術，在司法上，通過明確訴權主體、確定當事人舉證責任范圍、提高司法應對能力等措施來應對司法救濟的不足。

4.2 細化人臉信息處理標準

人臉信息處理標準的具體化也應當從公私二元領域著手。在公領域范圍內，出于維護公共安全和社會秩序的目的，應用人臉識別技術的是國家行政機關。合法性要求行政主體必須是法律明文規定或者是法律法規授權的，在法律規定的范圍內依據法定權限和程序進行人臉識別。正當性主要是考察行政目的，評估行政目的是否是“迫切的或實質的國家利益”[12]，要求行政主體必須是在為了迫切或實質的國家利益、社會公共利益或緊急情況下為了保護自然人的利益而進行人臉識別。必要性要求行政主體必須是在滿足正當目的時而采取人臉識別技術，如果不是非得采取人臉識別技術不可，可以優先考慮其他方法或技術。在公領域范圍內，對于行政主體應用人臉識別技術，由于雙方不是處于平等的法律地位，所以對“必要性”的理解應當更為嚴格，防止公權力主體對公民權利的侵害，規制重點在于“正當性”，判定重點在于“使用目的”。人臉識別在當下互聯網信息時代，不能徹底避免提供人臉信息以獲取某些服務的情形，應用人臉識別技術主要是為信息主體提供方便、快捷以及個性化的私人服務，當應用主體是企事業單位、網絡運營商等私主體時，合法性要求私主體應當按照法律法規規定的人臉信息處理規則進行信息的處理，嚴禁違反相關法律規定，應充分尊重主體的個人信息自主權，嚴禁損害他人的合法權益[13]。正當性要求目的的正當性，比如由于疫情防控的原因，師生出入校園及校內公共場所都需要測溫，所以許多高校采用人臉識別和紅外測溫相結合，不但提高了學生管理工作的效率，而且記錄了每個學生在校園軌跡回溯中的情況，涵蓋應用主體和信息主體之間通過合意實現，為履行個人作為一方當事人的合同所必需的[14]。必要性要求私主體采取的手段應盡可能將損害降到最低。比如近些年學校、宿舍、圖書館安裝的人臉識別門禁系統等，違反了“最小必要原則”，因為學校完全可以采用其他方式進行日常管理。可見，私領域范圍應用人臉識別的規制重點在于“必要性”。

4.3 書面知情同意原則

2008年，美國伊利諾伊州正式頒發實施了美國在州層面的首部個人生物信息保護法律——《生物信息隱私法》，該法只規范私主體，要求私主體在收集個人的生物信息之前，應當采用書面形式提供通知并取得個人的書面同意[15]，即“書面知情同意原則”。我國《個人信息保護法》規定在處理個人信息時,應當由個人在充分知情的前提下，自愿、明確作出意思表示。由于信息主體在人臉識別中并不處于優勢地位，極易受到應用主體的侵犯，如果只是取得信息主體的口頭同意或者默示同意，并不能嚴格保護信息主體。所以，法律規定“默示不被視為同意”條款，強調在“法律、行政法規另有規定或與信息主體另有約定”時，可推定信息主體的同意[16]。不僅如此，法律還應明確規定在采集人臉信息前，應“書面告知”信息主體其采集信息的具體類型、目的、保存時間等。此規定有助于落實信息主體對人臉信息的自決權，以防出現“強制性”的人臉識別情形。最重要的一點是信息主體的書面同意應當是“一次性書面同意協議”，限制個人信息處理者在收集人臉信息進行符合正當目的的處理后再次使用個人的人臉信息。

5 結語

人臉識別系統深度學習的數據越多，人臉識別的效果就會越精確。只要給予足夠多的人臉攻擊大數據樣本，機器就能夠自主地學習到偽造圖像或合成視頻中的瑕疵，最終就能得到對于這些攻擊的分辨能力。并且，隨著學習數據的不斷增多，深度學習系統也會越來越強大，讓各種各樣的“換臉”無所遁形。人臉識別技術可謂是把雙刃劍，通過立法，不但能夠有效保護智能產業的創新活力，而且能夠有效防止人臉識別技術的濫用，維護公民個人信息及相關利益的安全，法律規制的初衷是通過調整與規范公私二元領域人臉識別技術的應用，來緩解互聯網信息時代發展和個人信息保護之間的沖突，以確保人臉識別技術的規范使用，從而實現利益最大化，使人臉識別技術造福人類，使社會管理更有效，使人們的生活更加便捷，讓人們在享受科技帶來便利的同時也能保護好自己的個人信息不被濫用，滿足人們對美好生活的追求，實現國家治理體系和治理能力的現代化。