人臉識別技術及我國法律規制問題研究

人臉識別是一項應用廣泛的計算機視覺技術，給人類的生活帶來諸多便利，但因其技術特性和人臉信息的敏感性，也給個人和社會帶來許多倫理和法律困境。隨著個人信息保護逐漸被各國所重視，歐美等發達國家率先對人臉識別應用進行法律規制。我國作為人臉識別應用大國，雖有一定法律條文對人臉識別技術進行規制，但仍可結合域外立法經驗，進一步構建符合我國國情的人臉識別法律規制體系。

人臉識別技術的概念及其特征

（一）人臉識別的概念及應用

人臉識別是一項運用計算機系統，通過利用、分析、比較人臉視覺信息自動進行身份鑒別的“智能”技術。1888年，英國心理學家高頓首次提出將人臉面部特征用數組的形式表示，這為以后人臉面部特征進行計算機視覺應用奠定了基礎。1965年，計算機人臉識別理論首次提出，最初由計算機系統依據人體五官間距比例和幾何結構進行數據識別，這種方式需要人工測量和提取面部數據，不僅效率低而且精確度不高。1991年后，大量基于人臉識別的技術問世，人臉識別從半智能化向智能化轉變。進入21世紀后，深度學習理論讓計算機通過海量數據學習自動提取數據特征，使得計算機能夠將原始數據轉變為更高層次、更加抽象的語意表達，消除人臉面部特征受光線、陰影等非實質差異的影響，提高識別的精確度。隨后，計算機學家們又開發了卷積神經網絡和深度卷積神經網絡，這些技術進一步提高了數據的處理效率和識別精確度。[1]

人工智能發展迅速，2017年，iPhone X手機首次將人臉識別技術應用于手機端，通過采集人臉立體模型建立對應的人臉身份識別。隨著該技術日漸成熟，逐步應用到支付寶、微信支付、政務系統、網上銀行等的日常登錄、刷臉支付、工作通勤等。據2020年的一項統計，有90%以上的調研對象表示使用過人臉識別技術。①人臉識別技術如今已升級到3D技術，應用更加廣泛，性能也更為可靠。在私用領域常見的有刷臉閘機通行、刷臉移動支付；在公用公共服務領域有公共政務人臉識別、電子照身份認證；在公共安全領域有失蹤搜救、安保、刑偵、反恐等。

（二）人臉識別技術的特征

人臉識別具有無觸點性、高智能性、延伸性三大技術特征。無觸點性是指人臉識別不需要人機接觸就可以進行識別驗證。傳統的生物特征識別以血液、指紋、虹膜識別為主，均需要物理意義上的觸點進行連接才能實現。血液DNA驗證還需要對受驗人實施一定的侵入動作才能進行取樣驗證。虹膜識別雖不需要人機接觸，但需要高精度的人機協同，將眼睛正視虹膜系統并停留片刻。人臉識別技術既不需要人機接觸，有時只需受驗人人臉的部分特征信息就可以實現身份驗證。

高智能性是指人臉識別的驗證過程幾乎全程交給機器解決，基本無需人為干涉。傳統的血液DNA檢測和指紋比對技術對人的依賴性較強，通常需要驗證人具有高度的專業知識和一定的經驗積累。而人臉識別驗證主要通過智能算法提取面部特征進行身份驗證，對人的依賴程度較低。

延伸性是指人臉識別技術應用本身具有良好的擴展空間，主要體現在人臉信息采集端完全可以依靠現有視頻設備實現，不需要再投入經濟成本開發專門的采集端設備。基于深度學習的人臉識別依靠卷積神經網絡進行，可以根據識別精度進行增減，達到適應不同效率和精度需求的人臉識別需要，還能起到降低數據維度的作用，從而進行高維圖像處理，因而人臉識別具有延伸性。

人臉識別濫用引發的系統性風險

（一）人臉識別濫用沖擊信息安全

人臉識別濫用會直接導致個人密鑰的公開化，即在信息安全視角下，密碼是對稱模型，其中密碼一方所掌握的私鑰因各種原因而被公開并為其他方所掌握，這就導致密鑰的公開化，任何一方都可以基于這一公開的密鑰進行解密活動。

人臉識別技術的濫用主要表現在違規收集、處理和存儲用戶面部信息，違規向第三方傳輸用戶面部信息，違規銷毀、承繼用戶面部信息，導致用戶面部信息泄露，從而導致掌握用戶面部信息特征的其他人有可能基于人臉識別技術，騙過身份校驗而對被泄漏用戶的人身、財產權益進行破壞。2015年，江西九江就發生利用軟件突破人臉識別，盜刷他人支付寶的案例。2018年，四川宜賓發生通過購買公民身份信息配合人臉識別軟件破解他人銀行卡，盜刷28萬元的案例。

在密碼安全中，個人密鑰泄漏時可以通過修改密鑰的方式恢復密鑰的秘密性，但是當代人臉識別技術多采用生物幾何特征方法、卷積神經網絡等人工智能技術，這些技術基于算法提取面部特征。而對面部的微量偽裝難以帶來算法上密鑰更改的效果，而人臉又不具備大規模的可更改性，故而人臉信息一旦泄漏會直接帶來信息安全風險。[2]

（二）人臉識別濫用危害人身與財產安全

人臉識別濫用帶來的信息安全風險，首先關聯的是公民的隱私權、個人信息權和肖像權。人臉與肖像權的關系不言而喻，濫用人臉識別當然侵犯肖像權。此外，為何侵犯隱私權呢？人臉屬于個人身體的基本特征和器官，暴露于公眾視野當中，起到社交識別的作用。對隱私權的判斷通常依靠“合理期待標準”實現，即個人對人臉有隱私期待，且社會認可這一期待，人臉才能通過隱私權檢驗。一般來說，人臉本身很難通過這一檢驗，但是人臉的特征信息卻符合這一檢驗，因此人臉應當屬于隱私權的范疇。王利明教授亦認可人臉信息的隱私權地位。[3][4]隱私權的“合理期待”理論是隱私權和個人信息權之間的天然紐帶。因此，人臉識別濫用帶來的信息安全問題，會直接導致公民肖像權、隱私權和個人信息權等人身權利受到損害。

人臉識別技術應用中，人臉信息通常被用于身份識別與身份檢驗，起到密碼密鑰的作用，廣泛運用到電子支付之中。電子支付已經成為人們的主要支付方式，因此人臉識別技術也會直接將人臉信息和個人財富的賬戶關系綁定。人臉信息的泄露會直接導致個人電子支付信息泄露，從而給個人帶來不可估量的財產損失。這一危險，在數字貨幣逐漸取代實體貨幣的大趨勢下勢必更加明顯。

域外人臉識別立法

（一）美國人臉識別立法現狀及價值選擇

美國對于人臉識別的爭論十分激烈，目前聯邦層面的立法較少，大多數法律散落于各州。人臉識別技術在美國被廣泛用于商業活動、公共服務和警務活動中。隨著人臉識別技術的廣泛應用，聯邦層面更加重視對包括人臉識別技術在內的生物信息識別技術的規制，并有意引導統合各州的立法活動。[5]

2019年，美國參議院提出了《商業面部識別隱私法案》議案，該法案規定：未經用戶明示同意，商業公司不得收集或共享用戶的面部識別信息。2020年，美國國會參議院通過了《人臉識別道德使用法案》，要求政府機構未明確有關人臉識別技術使用準則和限制原則之前，暫時禁止使用人臉識別技術。

2018年，加利福尼亞州通過了被稱為最為嚴苛的隱私法案《加州消費者隱私法案》。該法案要求，在收集用戶個人信息時，必須以書面通知的形式告知消費者將要收集的個人信息種類、收集方式及使用目的等。同時，該法案還為消費者配置了對抗數據收集者的權利，包括訪問權、知情權和刪除權。受到《加州隱私保護法》加強消費者隱私保護的影響，加利福尼亞州舊金山市頒布了禁止在公共場所使用人臉識別軟件的法令。

美國總體上對人臉識別技術應用保持謹慎的態度，許多州甚至直接立法禁止在公共場所使用人臉識別系統，對人臉識別的限制性規定越來越多。在價值取舍上，技術經濟與消費者權益保護，美國的立法選擇了后者。美國人臉識別技術的立法價值是以隱私權為基礎，以消費者隱私權利為優先的價值選擇，更加重視個人的隱私保護和中小企業的生存發展。

（二）歐盟人臉識別立法現狀及價值選擇

歐盟對人臉識別的規制以2018年通過的《通用數據保護條例》為基礎，以《數據治理法案》《數字服務法案》及29條工作組意見為支撐，以《人工智能白皮書》《歐盟數字戰略》為數字經濟法律構架的導向。[6]

2019年，瑞典數據監管機構基于《通用數據保護條例》，對當地一所高中開出第一張金額為20萬瑞典克朗的罰單（約合人民幣14.8萬元）。該罰單意在處罰該高中使用人臉識別系統檢測學生到課率的行為。該案中，監管機構和校方的爭議焦點在于：對學生使用人臉識別技術檢測到課率是否違背了學生的自由意志。盡管學校辯解校方在使用人臉識別技術之前已經獲取了所有學生的同意，但是監管機構依然認為學生沒有主動要求使用智能設備檢測自己的積極性，且學校和學生之間存在特別權利關系，學生的同意可能并非出于學生的自由意志。2019年，歐盟編寫《人工智能白皮書（草案）》，有意制定史上最嚴的人工智能監管措施，禁止任何公共或私人機構在公共場合使用人臉識別技術。該草案表明了歐盟在人工智能技術應用上的審慎態度。2021年4月，歐盟在《防范和監管人工智能高風險應用草案》中明確了公共場合禁止使用人臉識別技術的一般原則，對人工智能的應用情景進行了四級風險分類，按照分類等級進行分級管理。

歐盟在人臉識別技術問題上有著較為廣泛的共識，立場也更為堅決，總體上禁止了人臉識別在公共場所的應用。總的來說，歐盟在人臉識別技術上的法律價值選擇上，更加側重保障個人數據和隱私權。

我國人臉識別立法現狀

我國目前尚未出臺專門針對人臉識別技術的法律規范，相關規定散落于各法律規范及規范性文件之中。其中具有代表性的是在《民法典》總則編規定自然人的個人信息受法律保護。在《民法典》人格權編規定任何組織和個人不得利用技術手段偽造的方式侵害他人的肖像權。《個人信息安全規范》《互聯網個人信息安全保護指南》直接對生物特征識別信息進行專門規定。此外，還通過《刑法》《網絡安全法》《數據安全法》等進行間接保護。

當前我國人臉識別商用面臨的嚴峻挑戰是，法律監管遲緩于技術應用，各式各樣的商用場景層出不窮，但法律尚未劃定應用范圍的紅線。此外，我國目前也未對商用生物特征數據庫監管做出明確規定。生物特征數據庫存儲著大量公民個人生物特征信息，但目前缺乏監管和罰則規范，一旦發生泄露事件，不僅會對個人造成嚴重影響，還會對國家安全產生潛在威脅。當前，我國相關法律雖然已經明確了個人信息收集的目的限制原則，但還未明確人臉識別公共應用的規則。人臉識別公共應用自然應當符合公共利益目的，但是何為公共利益目的尚未明確，公共利益的限度也未被明確，這樣可能導致公共利益被濫用。

我國人臉識別立法完善路徑

（一）借鑒域外人臉識別立法經驗

歐盟和美國當前的數字經濟規模在全球數字經濟比重中占據主導地位，實踐出了較為完善的數字隱私、個人信息保護制度，并基于此在人臉識別技術應用領域進行了立法探索，形成了許多值得借鑒的實踐經驗。

一是秉持技術中立性。法律對技術的規制應以規范技術應用活動為主，而不宜直接否定技術本身。寬松的法律環境對市場活力往往有促進作用，嚴苛的法律環境往往對市場積極性具有抑制作用。因此，法律不能過度干預技術的發展，但是也應該認識到，技術運用的市場主體很難保持中立性，因此法律規制的策略應因時而變、因地制宜，為社會經濟發展服務，應明確技術應用的核心是人。

二是人臉識別法律規制設計必須以一定的法律價值選擇為基礎。美國各州與聯邦內部雖然未就人臉識別技術的價值選擇達成統一意見，但從最新的聯邦相關議案來看，美國選擇了優先保障個人隱私權利價值，而非市場經濟價值或是公共利益價值。歐盟在其立法議案中體現出，選擇在保障公民基本權利的基礎上，為構建繁榮、可信、統一的歐洲數字經濟市場做出讓步。中國也應當基于一定的價值選擇進行法律規制的設計。

三是人臉識別法律規制設計需要以特定的基本權利為基礎。歐美針對人臉識別技術的立法活動，都以一個特定且明確的基本權利為基礎，并圍繞這一基本權利進行法律規制構建活動。美國以公民隱私權為人臉識別法律架構的基本權利淵源，并以《隱私法案》為權利來源基礎和后續法律基礎。歐盟則以2007年制定的《歐盟基本權利憲章》和2018年制定的《通用數據保護條例》中確定的公民數據權為權利淵源，并以兩部制定法為法律基礎對人臉識別展開法律規制活動。我國目前已經在《民法典》和《個人信息保護法》中明確規定了公民的個人信息權，因此，可以以個人信息權作為我國人臉識別法律規制的基本權利基礎。

（二）我國人臉識別法律規制完善建議

一是對人臉識別做出專門規定，對個人面部生物特征信息進行特別保護。可以通過在《個人信息保護法》《數據安全法》中設置獨立章節來規定生物特征信息獲取、使用、披露、存儲、跨境傳輸等事項的特殊保護規則。在規則制定中，可以參考國際通行的相關標準文件中的“具體標準”，對人臉識別作出進一步規范。

二是明確人臉識別技術的商用范圍，劃定技術紅線。人臉識別技術具有極高的商用價值，可以通過加強對大型生物特征數據庫建設的商業資質審核，筑牢信息安全保護的屏障。我國生物特征數據庫應以政府公共事務應用為主，由公安部、國家安全部、外交部、海關總署等機關帶頭建立，以商業應用為輔，以政府公共事務應用為主。

三是明確人臉識別技術的公共應用規則。明確公共利益的內涵和外延，引入“場景導向”和安全審查機制，平衡公共領域人臉識別應用中公共利益保護和個人隱私保護之間的張力，明確系統合規性，完善審查核驗機制，最大限度確保公民個人生物特征信息安全。

最后，還要厘清公共部門主體責任，公共部門基于利益享有者和場所管理者的身份，對其所控制的場所應負有相應的安全保障義務。

注釋

①參見全國信息技術標準化技術委員會、生物特征識別分技術委員會：《2020年人臉識別行業研究報告》

參考文獻

[1]周坤琳、李悅：《回應型理論下人臉數據運用法律規制研究》，《西南金融》，2019（12）：78-87頁。

[2]李慶峰：《人臉識別技術的法律規制：價值、主體與抓手》，《人民論壇》， 2020（11）：108-109頁。

[3]王利明：《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》，《現代法學》，2013（4）：62-72頁。

[4]王利明：《數據共享與個人信息保護》，《現代法學》，2019（1）：45-57頁。

[5]宋亞輝：《個人信息的私法保護模式研究——〈民法總則〉第111條的解釋論》，《比較法研究》， 2019（2）：86-103頁。

[6]王光祖：《關于人臉識別技術的法律規制問題》，《網絡安全技術與應用》，2021 （5）：141-142頁。

作者簡介

王 藝 山東科技大學文法學院講師，研究方向為民法學、國際法學研究

侯 敏 山東科技大學文法學院碩士研究生，研究方向為民法學、國際法學研究