人臉識別技術應用的風險與法律規制

王鑫媛

摘? ? 要：人臉識別技術是社會治理智能化轉型過程中廣泛應用的技術之一。人臉識別技術的身份認證和識別功能在虛擬空間實現了個人信息的自動化集合。人臉識別技術本身存在著技術風險，一旦被濫用將會侵犯公民權利、危害社會秩序、消弭共同體信任。當下，現有對人臉識別技術的法律規制呈現分散性和碎片化特征，法律本身的事后規制邏輯更是難以有效規制技術應用、防止技術濫用。應把握國家綜合性立法的契機，根據場景理論對人臉識別技術進行細化規制，既發揮其強大的社會功用，又預防化解其潛在危害，實現法治化社會化協同治理的目標。

關鍵詞：人臉識別;個人信息保護法;場景理論;數字正義

中圖分類號： D 912 文獻標識碼：A? ? ? ? 文章編號：2096-9783（2021）05-0093-09

刷臉進小區、進學校、進公司，刷臉支付、刷臉健康認證等刷臉行為已經成為當今社會向智能化轉型的行為標志。人工智能和大數據等技術的發展與應用，已然成為影響社會治理現代化進程的重要技術因素，智能社會正在快速形成。人臉識別技術作為其中的代表，為社會生活帶來高效便捷的同時，也為人身安全帶來了新的風險和問題，引發了人們對技術倫理的擔憂與反思。2020年初，Clearview AI公司30億人臉數據被泄露，同年11月3日“萬豪因泄露3億客人信息被罰1.6億”的新聞成為微博熱搜。此前亦出現過諸多類似新聞，針對技術帶來的風險進行法律規制的必要性，已經觸動到了學者們敏銳的神經。“中國人臉識別第一案”受到各界關注，其當事人郭兵是一名法政學院副教授。郭兵憑借其敏銳的思維感受到了動物世界采集人臉信息行為背后存在的技術應用邊界問題，并希望通過該案來推動各界對人臉識別技術應用達成最低共識[1]。法學界對人臉識別技術相關法律問題的探討在近兩年急劇增加。雖然人臉識別技術發展迅猛，但關于其技術應用限度和法律規制的問題卻亟待完善，尤其是在《中華人民共和國民法典》和《中華人民共和國個人信息保護法（草案）》（以下簡稱《草案》）公布以后，如何對人臉識別技術進行體系化法律規制是實現社會治理現代化的重點。

一、人臉識別技術應用的風險

人臉識別又稱人像識別、面像識別、面部識別等。人臉識別技術是一種利用已經存儲的若干已知身份的人臉圖像數據庫，對給定場景的靜態或動態圖像中的一人或多人身份進行驗證和鑒別的生物識別技術。人臉識別技術目前主要應用于金融業、安防業、公共場所、司法系統等。人臉識別主要有三種識別模式：第一種是一對一的識別模式，例如電子支付、企業打卡、地鐵進站等;第二種是一對多或多對多的識別模式，主要是對特定群體的監控、追蹤和識別;第三種是監控檢測模式，例如公共場所客流量的監控，其主要目的不是用來識別，而是用來監測。

人臉識別技術識別的是生物面部特征信息，屬于個人信息的子項。《草案》第四條規定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。第二十九條對敏感個人信息進行了定義，個人生物特征被列舉在內1。《網絡安全法》規定的個人信息包括個人生物識別信息。2020年修訂的《信息安全技術 個人信息安全規范》中列舉了個人信息范圍，其中個人生物識別信息中就包括了面部識別特征。因此，人臉識別技術所涉及的生物面部識別特征屬于個人信息中的敏感個人信息。敏感個人信息與個人的人身安全和財產安全息息相關，一旦被泄露、非法使用會產生無法預料的后果。

（一）人臉識別技術應用隱含的技術風險

科技是把雙刃劍。技術本身的發展在帶來收益的同時必然會帶來風險。風險包括技術本身存在的風險和技術運用過程中引發的社會風險。人臉識別技術作為人工智能技術發展的一個分支，其本身受制于現有技術發展水平。人工智能技術的核心是算法，而算法的核心是數據，數據在收集、整理、計算過程中則會出現偏差和泄露，這是技術本身所不可避免的問題，是技術發展的自身局限性。對數據的依賴和盲目崇拜會陷入“技術烏托邦”的誤區，導致唯數據論的甚囂塵上[2]。雖然人臉具有獨特性，但這種獨特性是分等級的，如果個體面部的獨特性高，即與其他人臉差別較大，則人臉識別的出錯率更低。如果個體面部的獨特性低，即與其他人臉差別較小，尤其是雙胞胎或相似度較高的近親屬之間，人臉識別出錯率會明顯提升。這是技術本身存在的誤差風險，如果人臉識別不與其他驗證手段相結合，這種誤差所帶來的現實影響是不可估量的。此外，人臉具有可變性，會隨著年齡的增長、妝容的修飾、自然環境的影響等而發生變化。這就導致人臉識別技術具有被破解的可能性。人臉識別技術還受制于攝像頭等硬件設施的發展，和成像技術等軟件技術的發展。研究機構已經證明了利用3D打印技術來破解人臉識別的可能性。

隨著人臉識別技術的廣泛運用，技術的發展和衍生帶來了更多的技術倫理風險。換臉視頻的出現可以說是人臉識別技術的衍生品。換臉視頻依托于深度偽造技術，即通過深度學習技術將視頻進行智能化技術處理，從而實現對視頻人物進行換臉，利用楊冪等公眾人物制作的換臉視頻就是其中的典型[3]。眾多公眾人物的形象被廣泛用于換臉視頻的制作，尤其是用于色情視頻制作，真假難辨的視頻被廣泛傳播，在倫理和道德領域引發公眾的關注。顯而易見，當前的人臉識別技術不僅止步于“識別”，更走向了“替換”，肖像的真實性問題引發了更深入的倫理討論。進一步而言，關于人工智能技術的道德問題，是選擇規制在前模式，還是選擇實踐演進模式，再次成為技術倫理的焦點。

（二）人臉識別技術應用產生的侵權風險

個體生物特征可以分為個人隱私信息、一般個人信息和個人數據三種[4]。一般個人信息和個人隱私信息都具有人格權屬性，前者涵蓋的范圍更廣，后者屬于隱私權保護范圍且不具有財產屬性。個人數據是智能社會的產物，是數字經濟的主要生產資料，包含財產屬性。人臉識別技術應用所涉及的人臉信息包含多種法益，是人格屬性與財產屬性的結合，僅從個人角度而言，涉及公民個人的隱私、財產、個人身份、人身安全等各方面。陌陌旗下的AI變臉軟件ZAO因為隱私問題被工信部約談[5];Facebook因運用面部識別功能將他人詳細個人信息進行標記鏈接而受到訴訟;瑞典一學校因未備案就運用面部識別技術進行考勤，違背了歐盟通過的《通用數據保護條例》（以下簡稱GDPR）中的隱私條款而被處罰款，如此種種都是技術侵權的體現。人臉識別技術應用不僅包括個人，還包括技術管理者、提供者、經營者等眾多主體，涉及的不僅是個體的人格權與財產權，更是公共利益與社會安全。從數據安全法益的角度來看，人臉識別信息具有多元化、復雜化的法律特征，具有復合型的權利屬性。因此，一旦人臉識別信息發生泄露，將產生廣泛的侵權風險。如前所述的楊冪換臉視頻，其轉發量以億為單位，造成的社會影響不可估量，對公眾人物的肖像侵犯和情感傷害難以估量。

此外，人臉信息泄露所涉及的并不限于面部信息。人臉識別是一種身份識別法律制度，具有身份認證功能，其背后囊括了一系列個體信息，包括家庭背景、資產、學歷、工作等[6]。如果發生人臉信息泄露，個人信息鏈亦容易被獲取。另一方面，受限于技術本身發展因素、技術設計者的價值偏好、數據本身的偏差使得算法歧視與高效率決策一體同源。人臉識別的高效率性意味著其具有標簽分類的判斷方式，從而引發社會歧視。

（三）人臉識別技術應用引發的社會治理風險

人臉識別技術加劇了社會犯罪風險，容易破壞社會穩定和國家安全。人臉信息作為敏感個人信息與個人的人身和財產安全休戚相關。人臉信息具有更高的準確性、可靠性、易采集性。現今許多手機app都具有人臉識別認證和支付功能。人臉識別技術的特性為財產犯罪提供了更廣闊的途徑和思路。例如， 2019年發生在浙江寧波的人臉識別盜竊案。人臉識別技術應用還會加劇社會歧視風險。許多國外的研究機構對人臉識別在不同樣本情況下的成功率進行了驗證，結果表明人臉識別技術對非白人種個人，尤其是黑人個體的準確率要低于白人個體。這就意味著其他非白人個體更容易被打上犯罪嫌疑人的標志，美國黑人弗洛伊德事件引發的微軟禁止將人臉識別技術銷售給警方就是例證。

人臉識別加劇了社會秩序風險。高效率的社會生產模式來源于社會分工的細化和專業化，交通的便利使得地緣關系漸漸被陌生人社會代替，從身份到契約的轉變隨著市場經濟的不斷發展而愈發深入。現代社會不再是原有的熟人社會，每個人都具有且依賴經濟人屬性，契約則是經濟人之間交流溝通的依憑。契約代表著平等自由的意志表達，代表著利益置換的模式和方法。人臉識別技術應用加劇了社會監控的風險，使得個人在社會活動中的行動信息受到監控，從而無法表達自身的自由意志，契約的意義也因此遭到破壞。并且，監控范圍的擴張使得個人隱私范圍縮減，實質是對個人隱私權的威脅和侵犯。公私范圍的不均衡和單方面的傾軋，容易打擊社會活力，使得個體性被消磨，社會秩序極易僵化，不利于社會創造和發展。

與此同時，人臉識別技術的發展延展了公眾認知世界的方式。但這種延展帶來了社會信任危機，消弭了社會共同體之間的信任。刷臉、換臉等技術使得人像真實性問題成為信息傳播中的關鍵問題，傳統的根據人臉進行社會身份識別的模式被現有科技拓展為識別-認證模式，身份信息的可破解性和非真實性使得人際交往之間的欺詐現象叢生，信任關系難以確立，從而危害社會秩序的穩定和共同體的信任危機。

有數據顯示，2019年人臉識別市場規模為34.5億元。隨著新冠疫情的爆發，人臉識別這種無需接觸的識別驗證方式愈發受到重視。隨之而來的人臉識別相關犯罪現象也頻繁被報道。人臉識別技術應用所來的風險是不可避免的，對其進行法律規制迫在眉睫、勢在必行，也是社會治理智能化轉型的當務之急、重中之重。2020年《民法典》的出臺，以及《草案》的公布，意味著我國對人臉識別技術的法律規制體系正在形成。

二、人臉識別技術應用的現有法律規制

歐美對人臉識別技術所涉法益的定性及具體制度設計已然形成體系化模式。與歐美國家相比，我國關于人臉識別的法律規制還處于立法探索階段。人臉識別的專門性立法并沒有建立，其主要是作為個人信息子項進行統一規制。現有法律規制的滯后性、分散性使得以個人生物識別信息為代表的個人信息權益缺乏體系性、統一性的保護。一體化、系統性法律規制模式的建立是當前該類技術發展所需的必要規制，也是維護社會穩定秩序和智能化轉型的基石和框架支撐。

（一）國外人臉識別技術應用的現有法律規制

國外人臉識別的法律規制已經形成一定規模，我國理論界和立法實踐對此有所借鑒。國外對人臉識別技術應用大體呈現審慎態度，美國部分州主張禁止使用該類技術，歐盟則主張對其進行限制使用。國外對該技術的立法主要有兩種模式：一是以美國為代表的專門立法模式;二是以歐盟為代表的統一立法模式。

美國在聯邦層面未對人臉識別進行統一性立法，主要是各州結合自身的發展情況進行的專門性立法2。美國的立法模式較為自由，立法權力掌握在各州。美國對人臉識別技術的法律規制因主體不同、目的不同而有所差異，總體而言是審慎、分層級的嚴格態度[7]。針對政府部門運用人臉識別技術的法律規制非常嚴格，有的州采取禁止使用制度，如舊金山市的《停止秘密監控條例》。2020年提出的《人臉識別道德使用法案》亦呼吁禁止美國政府使用人臉識別技術。美國民間對人臉識別技術在公共場合進行監控的反對之聲眾多，尤其是黑人弗洛伊德事件爆發之后，這種呼聲愈發高漲。對非政府機構使用人臉識別技術的規制最具代表性的就是BIPA，其以嚴格著稱。BIPA對生物信息等一系列關鍵概念進行了定義，并確定了生物信息從收集、運用到刪除整個過程的原則制度和標準，并且賦予了私人訴權。CCPA則相對較為寬松，其將人臉信息在一般個人信息的意義上進行了規制。

總體而言，美國模式的人臉識別法律規制具有分散性和專門性特征。各州具有其特定的立法宗旨。法律具有完備的和相對準確的法律概念體系，如BIPA對生物信息的界定。法律主體保持權責統一和協調，如賦予信息主體知情、同意權、信息自決權，與之相對應得是相對方的告知義務、安全保障義務、合法合規處理信息義務;并且賦予主體訴權以實現權利救濟，以及嚴格侵犯主體的責任處罰。除正式法律外還配有各類明確的保護規則和特定辦法，具有較強的特殊性、實踐性、操作性[8]。美國立法模式的形成有其特殊的社會政治背景。美國是一個多種族移民國家，實行的是聯邦制。美國的種族問題是社會主要問題，而人臉識別技術的局限性使其不可避免的會加重種族歧視，因此政府對人臉識別技術的運用，多州采取嚴格限制的方式。此外，美國主張自由主義、個人權利至上，對人權問題的敏感度更高，更注重個人的權利保護，而人臉識別的運用會產生社會監控的風險，進而侵害個人隱私，這也導致美國對人臉識別技術的審慎態度。

歐盟采取的是統一、綜合立法模式，其主要依據為GDPR3。歐盟的綜合立法模式主要分為兩個層級：一是歐盟統一立法，二是各成員國出臺的個人信息保護法律。歐盟統一立法與美國模式不同，其將不同種類的個人信息統一納入到個人信息的范疇進行立法保護。生物識別信息作為個人信息的子項，被GDPR確定為特殊敏感類信息，遵循“禁止處理”“明示同意”“法定必需”三大法律原則，并將生物識別信息運用的整個生命過程納入到保護范圍內，確定主體間的權利義務關系和主要原則標準。歐盟的立法模式亦有其獨特的政治社會背景。歐洲各國因地理位置的原因緊密相連，其交通和貿易往來息息相關，歐盟的建立為其區域一體化建設提供了共通標準，因此統一的、概括性的立法就成為其首選，同時賦予了各國更廣闊的立法空間。另一方面，由于每個國家的風土人情、發展水平和精神理念的不同，各國針對國情進行專門立法更貼合本土實踐，與GDPR相呼應形成雙層法律規制體系，并且集合了民事、刑事、行政領域的規范手段，更加全面和穩定。

總結域外立法經驗可以看出，不論是美國模式還是歐洲模式，對人臉識別技術的重視在立法層面已經表現得非常明顯。不論是分散立法還是統一立法，都立基于本國的國情，結合本國技術的發展情況和現實社會需求進行立法模式的選擇和立法宗旨的確定。值得注意的是，二者都對人臉識別技術進行了分場景規定，將政治與法律相協調，具有實踐可行性。二者對人臉識別技術持有審慎態度，對技術風險保持警惕，尤其是在公權力領域，對技術的運用呈現出謹慎、嚴格、限制運用，以防止對個人隱私和個人信息的侵害。

（二）國內人臉識別技術應用的現有法律規制

當前我國對人臉識別技術應用并未進行專門性立法，有關規定分散在憲法、民法典、刑法、網絡安全法以及其他法律、行政法規和司法解釋中。《中華人民共和國憲法》第三十三條提到“國家尊重和保障人權”，第三十七條和第三十八條規定“人身自由和人格尊嚴不受侵犯”。在關于人格權的法律構造上，人身自由、人格尊嚴被具體化為生命權、健康權、身體權、姓名權、肖像權、名譽權、隱私權等具體人格權[9]。這從根本大法的層面為個人權利的保護提供了法律依據。

民事領域對個人生物特征信息的保護主要集中在個人信息項下。《民法典》在民事權利一章中，第一百一十條原則性的規定了自然人的個人信息受法律保護。人格權編的第六章對隱私權和個人信息保護進行規定。值得注意的是，《民法典》將隱私權與個人信息保護并列規定，并且在民事權利章中將個人信息保護單獨提出，表明了隱私權與個人信息保護是獨立的兩個概念，二者雖有范圍交涉，但應區別對待。雖然個人信息保護未被確權，但對其利益進行保護已被確立。這在一定程度上為學界爭論的個人信息保護確權，以及隱私權與個人信息保護之間的關系給予明確指向。《民法典》第一千零三十四條至一千零三十九條對個人信息保護進行了具體規定。這六條規定包括了概念界定、主要遵循原則、免責條款、信息主體的權利界定、信息處理者的義務概括和保密條款等。這六條是民事領域規制個人信息保護的基本條款和立法宗旨，其所具有的立法意義和地位是毋庸置疑的。

2020年《中華人民共和國個人信息保護法（草案）》的公布，為個人信息保護的制度雛形提供了法律框架和方向指引。《草案》共有八章，包含了總則、個人信息處理規則、個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門、法律責任和附則。總則明確了自然人依法享有個人信息權益，指明了立法目的、適用范圍、個人信息和個人信息處理的概念、處理個人信息應遵循的原則和范圍、國家建立個人信息保護制度的原則和國際合作機制。從概念界定來看，《草案》確定的個人信息范圍與GDPR相似，都是與已識別或可識別的自然人有關的各種信息，要比《民法典》確定的范圍更廣。個人信息處理的范圍則與《民法典》相統一，包含了個人信息全生命周期的活動。與《民法典》的規定相銜接，確定了處理個人信息要遵循合法原則、正當原則、誠信原則、必要性原則、公開透明原則、準確及時原則，并確定了個信息處理者應承擔個人信息安全義務和責任。《草案》進一步將個人信息處理范圍限定在法律法規、國家利益與公共利益允許的范圍內。

第二章是個人信息處理規則，包括一般規定，敏感個人信息處理規則、國家機關處理個人信息的特別規定。關于個人信息處理的一般規定，《草案》確定了“告知-同意”為核心的一系列規定。其最大亮點是擴大了處理個人信息的合法性基礎，與《民法典》進行銜接，增添了個人同意除外的其他合法性基礎。《草案》中的同意規則是個人自愿、明確的意思表示，包括單獨同意、書面同意、重新同意，以及其他特殊同意情形，還包括撤回同意的情形，并強調個人信息處理者不得以不同意或撤回同意為由拒絕提供產品和服務。《草案》確定了告知的原則和例外情形，具體規定了告知的時間、語言和內容要求，并且未對告知主體進行限定，這就意味著所有個人信息處理者均要受其限制。關于敏感個人信息處理規則，《草案》進行了嚴格限定。首先是敏感個人信息的范圍進行了嚴格限定，身份證號碼等個人信息不在敏感個人信息范圍內;其次是只有具備特定目的和充分必要的情形才能進行處理;最后是單獨同意的要求和特殊告知要求，進一步嚴格對敏感個人信息處理的限定。關于國家機關處理個人信息的情形進行了特別規定，一定程度上有利于信息公開，增強社會監督。第三章完善個人信息跨境提供規則，表明了國家對個人信息境外提供的嚴格限制，維護國家利益的堅決態度，以及與國外合作的前提條件。

第四章和第五章確定了個人信息主體的權利和信息處理者的義務。個人信息處理活動中的個人具有知情權、決定權、查閱復制權、更正補充權、刪除權等，個人信息處理者具有信息安全保護義務、信息安全合規審計義務、風險評估義務、信息泄露通知和補救義務等。第六章規定了履行個人信息保護職責的部門，以及履行職責時可以采取的措施，包括約談制度、投訴舉報制度。第七章法律責任包括民事責任、刑事責任和行政責任，包括罰款、信用懲戒、處分等懲罰措施。第八章附則主要是對法律用語的含義界定和特殊個人信息處理場景的法律適用。

刑事領域關于人臉識別的法律規制較為分散，且涵蓋范圍較廣。《刑法修正案（九）》將《中華人民共和國刑法》中的“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”整合為“侵犯公民個人信息罪”。其在形式上將犯罪行為方式抽象為“侵犯”，實質上將罪名主體從特殊主體擴展為年滿16周歲的一般主體。此外，2017年兩高出臺的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對侵犯公民個人信息罪進行了進一步解釋。與此同時，由于人臉識別技術應用廣泛，尤其是深度偽造技術引發的視頻換臉風波，進一步擴大了該技術的受制范圍，如故意傳播虛假信息罪、傳播淫穢物品罪等都可對不同情景下的人臉識別技術應用進行歸罪。

總體來看，我國關于人臉識別技術的法律規制與歐盟模式類似，即統一在個人信息項下進行綜合規制。人臉識別法律規制主要集中在民事領域，刑事和行政領域與之銜接。但應注意到，上述法律規制的缺陷也尤為顯著：其一，該技術涉及的權利法益定位并不明晰。不同于歐美國家將其進行明確的法益保護，我國對個人信息的法律定性還存在爭議，尤其是在人格權與財產權分屬，以及是否將其作為單獨權利進行法律規制等方面，學者們始終爭論不休。從目前的法律規定來看，其更多被作為人格權益進行保護，而缺乏人格與財產的雙重保護。其二，責任承擔方式不明確，或缺乏實踐可行性。以換臉視頻為例，其既有損于公民的肖像，又可能產生知識產權紛爭，在非商業用途情況下如何進行公眾人物的肖像權保護，如何解決精神損害賠償問題，以及普遍性傳播引發的知識產權維權等問題，都是實踐中面臨的緊迫問題。權責的統一是法律制度嚴謹的表現，沒有責任制度的保障，權利確認僅是口號和紙面上的權利，無法對技術濫用進行有效規制。其三，現有法律用語本身開放性過大，使得規則過于粗糙模糊，且不同法律制度之間缺乏銜接性，未形成一體化的規制。《草案》第十三條第五款所提到的“合理范圍”如何界定？第十五條關于不滿十四周歲未成年人信息保護的規定，如果不進行解釋則與第十三條存在沖突可能性。此外，如上文提到的現有《民法典》和《草案》之間亦存在用語和法律定性上的不一致，而人臉識別技術涉及到民事、行政、刑事等多領域，統一且規范的法律用語以及相互配合的法律制度建設是進行有效法律規制的前提。

三、人臉識別技術法律規制的完善方向

人臉識別技術的產生源于傳統社會生活中的“刷臉”行為。人臉是社會身份的標志，因而具有重要的社會性和動態性。在傳統社會中，人臉與其他個人信息相聯系，是熟人社會實現信任、合作、交往的前提。正如身份證具有認證作用，傳統意義上的人臉識別是一種身份法律制度。隨著智能科技的發展，人臉識別從傳統的身份認證向虛擬化身份識別發展，這背后隱藏的是個人信息在虛擬空間的擴充和集中。人臉識別技術逐漸成為個人信息的安全閥，一旦打開則個人信息集合將全面暴露。人臉識別技術作為一種身份認證與識別的技術，對其技術發展邏輯和規制原理的探討離不開其社會性，換言之，需要將其放置在社會治理的大背景中進行探討。

（一）人臉識別技術法律規制的原理邏輯

人臉識別等智能技術的發展之所以充滿爭議，是因為其發展和運用對現有社會價值秩序和權利體系產生了沖擊，造成了利益沖突和失衡，如安全秩序與隱私自由之間的矛盾沖突、科技發展所帶來的效率發展與個人權利需求的公平對待之間的沖突等。人臉識別技術的發展帶來“全方位監控型社會”的隱憂[10]，算法升級帶來了數字鴻溝與社會分層的隱患[11]。這些權利沖突和風險隱憂背后隱含的是對算法中心主義的擔憂，是對個人價值逐漸被技術發展消解的恐懼，是數據主義對人文主義的沖擊。因此，如何平衡科技發展與人文價值保護之間的關系，以及如何協調效率與權利的關系是法律規制人臉識別技術所應考量的重要方面。

依據功利主義倫理學“最大多數人的最大幸福”原則，人工智能技術的發展應遵循社會效用最大化的原則邏輯。這種原則將技術視為價值中立的手段，是促進社會發展的科技動力。所謂的社會效用最大化，是以社會為本的一種效用總和的最大化。如果單純以社會效用最大化為價值判斷標準，容易導致數據中心主義，忽略個人利益，從而形成“數字利維坦”現象[12]。因此，與之對應的是個人權利傷害最小化原則。這種原則是結果目的論與義務論相結合的產物。在人臉識別技術發展中，其要求為對個人自由、隱私、人格尊嚴和財產等權利的傷害最小化[13]。羅爾斯提到“最大最小化原則”，其通過對最壞結果排序進行價值選擇[14]。人臉識別技術發展中的“最大最小化原則”，就是要以堅持個人權利傷害最小化原則的同時，實現社會效用的最大化。此外，有學者提出以社會本位為價值取向，將權利開放給社會，形成對個人的弱保護和對科技的強保護。這種理論通過將個人數據權利賦予給企業主體，激發企業的創造活力，在促進經濟和科技發展的同時，激發企業對自身權利的維護，進而實現數據安全的保護[15]。其所針對是現實社會中普遍存在的個人權利實現的不可能性，即現今社會普遍存在的“無授權即無權利”現象，通過將權利轉移到企業主體手中，從而真正實現數據權利保護。這種做法強調對數據流轉的治理，重視個人信息生命周期活動的保護和規制，更具有針對性和可操作性。

在關注社會治理實效的基礎上，還應重視社會公平正義的價值邏輯。社會治理的智能化轉型主要遵循場景正義理論和數字正義理論。場景理論是國外關注隱私保護的主要理論，分場景對社會行為進行規制是其主要表現。場景理論背后蘊含著法經濟學原理，通過對治理風險的預判來進行成本—收益的計算，從而進行具體化的規制，以達到具體問題具體分析具體規制的目的。與此同時，該理論還應用了馬克思主義哲學的矛盾理論，是同一性與差異性的統一，在注重共性的同時避免對問題進行“一刀切”，以實現真正的社會公平。

在大數據時代，數據治理早已成為社會治理的主要方式。數據具有關涉公共利益的共有屬性[16]。把握數據的共有屬性，進行社會共治，實現共有共治共享的邏輯格局，更符合我國社會治理的發展。在社會治理過程中，個人與社會之間的關系決定了個人權利讓位于公共責任，而公共責任的實現則保證了個人權利的實現，此過程類似于社會契約演進，是一種公眾參與、社會協同的治理格局，有利于激發社會活力，同時關注個人數據保護。更進一步而言，為防止陷入數據中心主義，過分依賴數據決策從而消解人文主義價值，強調數據正義，反思數據治理的正當性是必要且必須的。數據正義強調以人為本和權利本文，強調技術運用的正當性、充分必要的有限性擴張。有學者提出可以通過“可見性、事先約定、防范不公平對待”來構建數據正義[17]。

綜上所述，就人臉識別技術而言，現有的法律規制多從事后保障出發，缺少事前和事中的規制，且分散性的立法使之未能形成應對風險的完備法律體系。從人臉識別的技術屬性和規制邏輯來看，分場景進行差異化規制，建立多元主體一體化規制體系是保障社會治理和社會正義的關鍵。

（二）人臉識別技術法律規制的體系化完善

以國情發展需求為立法限度，是人臉識別法律規制需要遵循的原則。從科技發展的實踐現狀來看，我國一直堅持支持鼓勵態度，“科學技術是第一生產力”的論斷是我國一直遵循的指導方向。有數據顯示，2020年，人臉識別市場規模達到42.8億，經濟領域的人臉識別應用已經成為潮流[18]。公共領域對人臉識別技術的應用在近兩年迅猛發展，且并未引起嚴重的社會問題，亦并未激起恐慌情緒。尤其在疫情期間，人臉識別技術為疫情防控起到了輔助作用。因此，一刀切的禁止使用模式并不符合我國的國情，倡導一種負責任的使用才是我國技術應用法律規制的方向。

其一，人臉識別技術法律規制要通過場景理論進行分層規制。歐美國家針對不同情景，結合自身的政治和社會背景形成了多層次的法律規制。一是從使用目的出發，通過風險預判來對該技術的使用模式進行限定，如美國舊金山等地明確禁止使用該技術、華盛頓等地則允許基于公共利益的目的正當使用該技術、歐盟則規定了嚴格限制使用該技術的條件和標準。二是從使用主體出發對該技術進行規制，正如上文提到的公私不同機構的使用標準限定。我國在應用場景理論時應注意人臉識別技術的發展反映的數字身份在社會治理智能化轉型中的功用。人臉識別技術在不同場景中的應用代表了不同政策目標和實施效果的差異，同時反映了不同場景下的法律關系側重，進而區分不同公私使用者的不同規制標準。在這一過程中要注意事前的風險評估，以及相應的成本-收益計算，從而確定個人信息保護強度與第三方監督細則。

其二，人臉識別技術法律規制要明確主體權責，實現協商共治。現有的法律規制從事后保障出發，保障力度不足。在綜合性立法的契機之下，人臉識別技術法律規制的下一階段要注重體系化構建和多元規范復合規制。對于該問題的探討仍應建立在社會治理實踐基礎上。從我國的治理實踐出發，人臉識別技術應用的最主要規制難題在于知情同意權無法落實。不管是人臉本身的外在性降低了公眾的風險意識，還是各類平臺的強制同意規制，都是知情同意權無法實現的原因。在數據采集和存儲過程中加強驗證方式，分場景級別進行驗證，限制數據保存時間、加強認證監管等方式不失為可行性路徑。同時，還應明確統一的安全責任底線和基本使用標準，包括必要性原則、合理性原則、同意原則、退出機制、第三方監督機制、損害賠償機制等。

此外，人臉識別技術應用還帶來了公共性問題的思考，個體與共同體的關系，多元主體的權責分工是人臉識別技術法律規制要思考的重要方面。由于技術的發展遠快于剛性立法的進度，加強復合型規范治理，重視軟法功用已然成為新的方向。這就需要多元主體自治、自律與法律規制相結合。對于公眾而言，就是要培養公眾的法理意識和信息素養。公眾對法律的信仰和自律是扼制人臉識別技術濫用的重要力量。公眾信息素養的提升，認知和辨別知識能力的提高，有助于自下而上的實現權利保護。同時，建立動態同意機制，在信息利用過程中分情景對知情同意權進行落實，從而實現個人權利的保障。對于行業從業者而言，則是要加強行業自律。行業內部通過建立自律規范，建立內生機制，如增強追蹤、訪問控制、數據加密等機制保障數據安全，從而形成良好市場環境，將個人信息更好地轉換為數字經濟生產資料，從而助推數字經濟的發展，為社會治理智能化轉型提供充足物質基礎。第三方監督機構是防止技術濫用、保障信息安全的重要主體。監督機構要實現動態化監管，強化事前和事中的監管，通過必要性、合理性等原則性審查以及具體的行業評估標準，實現數據安全的監管。總而言之，人臉識別技術應用過程涉及的多方主體應堅持協同共治，在共同體中實現各方權益，同時通過各方行動來推動共同體發展。

結? 語

人臉識別技術為社會治理的智能化轉型提供了廣泛的技術支持。然而，人臉識別技術對應的個人信息涵蓋著多元法益，若無科學有效的法律規制，人臉識別技術不可避免被濫用，也必然會誘發復雜多元的社會風險。當前我國對人臉識別技術的法律規制嚴重滯后于該技術的運用，具體表現為人臉識別技術應用當中的權利屬性界定不明晰、各項立法目的不統一、法律規制的針對性不強，以及法律本身的事后規制邏輯。因此，把握綜合性立法的契機，針對不同場景細化規制，明確各方主體的權責異同，實現協同共治，是維護個人信息安全，保障社會治理智能化轉型的方向。

參考文獻：

[1] 毛亞楠.人臉識別第一案：告的是什么[J].方圓，2019（24）：14-17.

[2] [17]單勇.犯罪之技術治理的價值權衡：以數據正義為視角.[J].法制與社會發展，2020，26（5）：185-205.

[3] 王祿生.論“深度偽造”智能技術的一體化規制[J].東方法學，2019（6）：58-68.

[4] 張勇.個人生物信息安全的法律保護——以人臉識別為例[J].江西社會科學，2021，41（5）：157-256.

[5] 李曉光，石丹.人臉識別第一案：“要臉”or“要安全”？[J].商學院，2019（12）：76-78.

[6] 胡凌.刷臉：身份制度、個人信息與法律規制[J].法學家，2021（2）：41-192.

[7] 邢會強.人臉識別的法律規制[J].比較法研究，2020（5）：51-63.

[8] 付微明.個人生物識別信息的法律保護模式與中國選擇[J].華東政法大學學報，2019，22（6）：78-88.

[9] 柳經緯.民法典編纂的歷史印記[J].河南財經政法大學學報，2019，34（3）：1-14.

[10] 張新寶.我國個人信息保護法立法主要矛盾研討[J].吉林大學社會科學學報，2018，58（5）：45-205.

[11] 鄭戈.在鼓勵創新與保護人權之間——法律如何回應大數據技術革新的挑戰[J].探索與爭鳴，2016（7）：79-85.

[12] 孫道銳.人臉識別技術的社會風險及其法律規制[J].科學學研究，2021，39（1）：12-32.

[13] 張秀.智能傳播視閾下傷害最小化倫理原則探討——以智能人臉識別技術為例[J].當代傳播，2020（2）：82-84.

[14] [美]羅爾斯.正義論[M].何懷宏等，譯.北京：中國社會科學出版社，2009：151-152.

[15] 李慶峰.人臉識別技術的法律規制：價值、主體與抓手[J].人民論壇，2020（11）：108-109.

[16] 徐圣龍.“公共的”與“存在于公共空間的”——大數據的倫理進路[J].哲學動態，2019（8）：86-94.

[18] 朱玲鳳.數據合規2020年展望[J].互聯網經濟，2020（Z1）：64-69.

Risk and Legal Regulation of the Application of Face Recognition Technology

Wang Xingyuan

（School of law，? Jilin University，? Changchun 130012，? China）

Abstract： Face recognition technology is one of the widely used technologies in the process of intelligent transformation of social governance. The identity authentication and recognition function of face recognition technology realizes the automatic collection of personal information in virtual space. Face recognition technology itself has technical risks. Once it is abused， it will violate civil rights， destroy social order and eliminate community trust. The existing legal regulation has the characteristics of decentralization and fragmentation， and the post regulation logic of the law itself is difficult to effectively restrict the application of technology. The next goal of legal regulation is to grasp the opportunity of national comprehensive legislation， give full play to the social function of face recognition technology， refine the regulation according to the scene theory， clarify the rights and responsibilities of multiple subjects， and achieve common governance.

Key words： face recognition; personal information protection law; scene theory; digital justice