論人臉識別技術的應用現狀與規制途徑探析

[摘要]數字時代的到來為人臉識別的異軍突起提供了機遇。然而，不同于一般個人信息，人臉識別采集門檻低、流通濫用風險高，給個人安全帶來一定風險。我國人臉識別在規制現狀中出現了知情同意機制實際執行率低、公民個人維權救濟效益甚微等問題。如何實現個人信息保護、數據價值釋放、國家安全管理三者之間的平衡亟待解決。本文通過對美國差異化的規制模式的域外治理經驗借鑒，探索立足于中國社會土壤的規制途徑，力求通過完善法律規制、借助大數據賦能、設置權威評估與監督機構等具體手段解決沖突。

[關鍵詞]人臉識別；域外治理；數字化治理

[中圖分類號]DF37""""" [文獻標識碼]A

[DOI]：10.20122/j.cnki.2097-0536.2023.10.006

一、問題的提出

在2016年7月初發生的徐玉玉案件中，罪犯陳文輝從罪犯杜天禹手中購買五萬余條山東省2016年高考考生信息，騙子執掌政府機關信息，冒充政府機關詐騙，敲響了個人信息泄露的警鐘；2022年6月發生的學習通數據泄露更是把中國一代代青年學生的權益置于風口浪尖，而這只是信息泄露、盜用的初階危機。在個人信息保護、數據價值釋放、國家安全管理三個支點框架下，人臉識別技術帶來的沖突與矛盾比一般個人信息更加突出。

二、我國規制現狀及問題

（一）規制現狀

針對人臉識別技術，我國雖沒有單獨的立法，但已陸續出臺相關的法律法規及國家標準。在法律頒行方面，2017年生效的《網絡安全法》中，已明確將個人生物識別信息納入個人信息的范圍。2021年11月1日生效的《個人信息保護法》在此基礎上給出了細化規定，完善了個人信息處理規則，明確了個人在個人信息處理活動中的權利以及個人信息處理者的義務，同時《個人信息保護法》中第62條規定將由國家網信部門統籌協調有關部門推進人臉識別技術的個人信息保護工作。

（二）呈現的問題

1.知情同意機制實際執行率低

當下我國采取知情同意制度，“同意”是知情并且自愿的并實現數據隱私權利和數字產業發展之間實現的利益權衡。然而，因用戶與平臺主體之間存在巨大的技術鴻溝，用戶自愿的同意并不能確保其為完全知情的，其中的部分同意是消極默認的承認。在司法實踐中，有的辯護人指出，人臉識別信息的獲取是經過了用戶的明確同意。然而，用戶往往并不能夠充分理解自己的同意會帶來什么樣的法律風險以及法律后果，法律若是將責任過重地壓在用戶一方，會使得雙方的收益與風險失調，不利于個人數據權利的保護。

2.公民個人維權救濟效益甚微

在進行權利救濟的過程中，由于個人與企業或政府存在科技實力的鴻溝，一般人無法證明依靠自己證實處理者采集或處理人臉識別信息的行為未經當事人同意或者存在安全隱患。即使個人信息已經被泄露了，造成一定法益侵犯后果，也很難證明是誰泄露的。而且個人需要聘請專家進行信息跟蹤調查，門檻高，成本高，一定程度上使得當事人放棄維權。

三、域外經驗比較與分析

美國出于對巨大經濟利益、技術發展和高立法成本之間矛盾的考慮，審慎推動AI技術和產業發展、極力維持人臉識別技術應用與個體隱私之間的平衡，配合行業自律等其他規范手段，采取以隱私權為基礎的差異化保護模式。綜合考慮國內人臉識別技術規制現狀，筆者在允許人臉識別使用的法律規制中總結經驗。

（一）明確使用門檻，劃清權責界線

基于私營主體和公權力主體在使用人臉識別技術上的性質和頻率不同，美國針對不同主體，進行分開專門立法。

1.私營主體

2017年7月23日華盛頓州通過的與生物識別標識符相關的法案——H.B.1493，涉及生物識別標識符的商業用途，對出于商業目的收集和使用生物識別標識符的企業提出了要求。它禁止將一個人的“生物識別標識符”記錄到商業數據庫中，在沒有首先提供通知，獲得同意并提供一種機制以防止隨后將生物識別標識符用于商業目的的情況下。其中值得注意的是，醫療保健例外是從生物識別標識符的定義中劃出的，只要這些信息是為醫療保健治療，付款或運營而收集，使用或存儲的。

2.政府機關

2020年3月31日華盛頓州出臺的SB 6280號法案建立了基本的透明度和問責機制以備政府決定部署反烏托邦式的實時監控，要求政府部門除緊急情況之外，應當在進行人臉識別掃描之前取得法院合法簽發的搜查令，但其中的緊急情況并未作出詳細說明。2020年6月華盛頓州州長簽署了《面部識別法》，要求警方在使用面部識別進行“持續監視或實時識別”之前首先要獲得搜查令，并要求希望使用FRT的政府機構首先發布公告，然后發布一份報告“概述該技術對公民自由的潛在影響”。

（二）聯合公私主體，助力協同治理

美國于2022年5月25日發布的第14074號行政命令中提及總檢察長應通過其國家研究委員會請求美國國家科學院簽訂合同，以便對面部識別技術，使用生物特征信息的其他技術和預測算法進行研究，并發布報告詳細說明該研究的結果。總檢察長、國土安全部部長和OSTP主任應共同領導一個跨機構進程，涉及LEA使用面部識別技術、使用生物特征信息的其他技術和預測算法，以及有關這些技術的數據存儲和訪問，并應確保機構間程序涉及保護隱私，公民權利和公民自由，并確保定期評估此類技術不會因種族、民族、國籍、宗教、性別或殘疾而產生不同的影響。

（三）制定行業標準，加強行業自律

美國采取差異化的管理規制模式，在法規制定、司法判決上存在較大的分歧甚至是對立。美國產業制定相應的行業標準以加強行業自律，緩解差異化規制帶來的問題。“在線隱私聯盟”為典型代表，已擁有一百多個成員和支持者，該成員應遵守共同的保護網絡隱私權的行為指導原則，如同意采取并執行隱私政策、全面公布和告知隱私政策等，其致力于為商業行為創造互信的良好環境和推動對個人網絡隱私權的保護。

四、經驗借鑒實現本土化生長

立足于國內的數字時代土壤，我們不能夠完全脫離開人工智能的存在，究其根本，當今對于人工智能的批評和譴責不是對于人工智能的排斥與否定，而是對于人工智能人臉識別存在的預期風險的出于本能的防范與抵觸。我們真正需要思考和解決的就是風險與收益的利益權衡的問題，人類究竟需要的是怎樣的人臉識別技術？回答是——可信的、負責任的、可問責的、符合道德倫理的。當然我們需要明確沒有哪一類數字治理方式是盡善盡美的，我們有必要在比較中取長補短，使得人臉識別技術的應用在合法合規的軌道上運行的同時又在使用價值上最大化。

（一）完善相關法律，追求多邊共贏

1.完善救濟途徑，保護技術弱勢群體利益

在對于人臉識別領域的權利救濟手段上，需引入新的機制去平衡雙方的權利與義務。人臉識別技術的侵權救濟是公民對自身人格權的保護以及發生損害后的賠償，以民事訴訟為主，行政訴訟、刑事訴訟相輔助的機制。需要明確規定侵犯個人隱私識別信息的情形、舉證主體、行政投訴部門、民事賠償義務機關、刑事追訴對象，更有利于權利得到充分的保護與救濟。 ^[1]當事人相對于商戶或者政府，處于技術上的極度弱勢的地位，在人臉識別信息泄露被濫用的實害結果出來之前，當事人很難舉證得到自己的人臉識別相關信息被盜用。若使用舉證責任倒置，附加代表訴訟制度等，將在一定程度上加重企業的責任，使得權利與義務能夠處于有效平衡狀態。企業也就有了內生動力去規范化保護人臉識別信息，形成負反饋機制，能夠形成良性的循環。同時在行政復議、行政訴訟以及行政賠償中實行舉證責任倒置，能夠規范公權力行使，增加內生改革動力。對于個人權利救濟上門檻高，成本高，花費時間長的問題。法律中也應該清楚地提及進行集體訴訟的詳細程序，且企業不得在協議中擅自主張不接受集體訴訟。

2.推行多元共治，實行風險等級評估制度

要加強各政府部門之間的溝通和協調，整合個人信息安全工作資源，統籌管理、組織、指導個人信息保護工作。由網信部門牽頭，聯合公安、工信、安全等部門，聯合制定全國個人信息保護規劃。 ^[2]可以攜手非政府機構如科研機構、高校、人工智能企業共同制定相關行業標準，借鑒歐盟實行風險等級評估制度，針對不同的情景與主體，設置不同的準入、運營、銷毀標準。也可以同時進行社會調研觀測，傾聽民眾的聲音，使得人臉識別技術更好地服務于人類社會。 ^[3]

（二）數據賦能平臺，明確可問責性

政府機關可以借助大數據賦能創建人臉識別信息告知的規范化平臺，需要如實公布人臉識別信息的使用情況，私主體使用也需要通過政府核準并且登記于這個平臺。未經過登記的判定為非法并進行嚴懲，形成負反饋機制，構建良性循環。公民出于對自身隱私權保護的需要，能夠獲得與自身相關政府人臉識別的具體采集情況和實際用途，通過查找可以找到任何一家合法使用人臉識別技術的相關企業。若此類大數據技術能夠真正應用于人臉識別信息系統的推送與告知，可以很好地規范人臉識別的運作，規范商戶的所作所為。

（三）搭建權威機構，進行評估監督

1.實現目的與手段的相稱性

《個人信息保護法》第28條規定“只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下”才可處理。“特定目的”原則要求個人信息處理手段與目的之間應具有合理關聯性，不得超出特定、明確、合理的正當目的。 ^[4]針對該具體切實的目的，信息處理者應當充分考慮使用人臉識別技術可能帶來的影響及對個人信息主體可能帶來的風險，加強風險防范措施以確保數據安全。“充分必要”原則要求基于場景考慮是否滿足合法處理的要件，評估使用人臉識別技術的必要性，考慮是否有替代方案，盡量減少政策對公民基本權力的干涉。

2.增加人臉識別的可操作性

AI技術既可以是“矛”也可以是“盾”，AI技術可以成為虛假圖片、虛假視頻的“粉碎機”。可通過反向利用AI技術，從偽造圖片的蛛絲馬跡中辨別真偽信息。 ^[5]通過提高人臉識別技術的甄別能力，確定人類視覺系統和計算機視覺系統在識別特定信息的認知特性、機理與計算方法，通過借鑒兩類視覺系統之間的認知以及計算的差異性和關聯性來鑒別圖像真偽。

五、結語

以上是筆者對于人臉識別規制手段的一些思考。數字時代的到來為人臉識別的異軍突起提供了機遇。然而，不同于一般個人信息，人臉識別采集門檻低、流通濫用風險高，其創造巨大價值的同時也存有較大的安全風險。我國人臉識別在規制現狀中呈現出知情同意機制未實現預期目的、貫徹執行力不強、公民個人維權救濟效益甚微等問題。筆者探索立足于中國社會土壤的規制途徑，力求實現個人信息保護、數據價值釋放、國家安全管理三者之間的平衡。

參考文獻：

[1]龐嘉.人臉識別技術的侵權及救濟探究[J].太原城市職業技術學院學報，2022（7）：191-195.

[2]劉玉琢.歐盟個人信息保護對我國的啟示[J].網絡空間安全，2018，9（7）：42-46.

[3]張豫辰.人臉識別技術應用中隱私權風險控制路徑構建——基于場景差異性的考量[J].湖北警官學院學報，2022，35（2）：77-85.

[4]劉權.論個人信息處理的合法、正當、必要原則[J].法學家，2021（05）：1-15+191.

[5]本刊編輯部.人工智能產業化，漸行漸近[J].中國信息化，2019（9）：24-25.

作者簡介：金李晨（2003.9-），女，漢族，浙江臺州人，本科在讀，研究方向：民事訴訟法學。