人臉識別的法律規制

杜 江

（武警北京總隊 北京市 102628）

隨著科學技術的發展進步，人臉識別技術以其自身簡潔、高效、互通等特點，基于線性判別分析、非線性向量機分類或神經網絡分析等方法，進行機器識別后傳入數據庫，[1]以實現通過后臺數據分析確認個人身份之目的，在國境邊防、公共交通、城市治安、疫情防控，以及“刷臉”支付、簽到“打卡”等眼下或近一段時期的新興生活模式中被廣泛應用。與此同時，我們也清楚地看到，從“杭州野生動物世界”人臉識別替代指紋識別案，到多家知名門店使用“無感式”人臉識別技術擅自采集消費者人臉信息案，再到一些小區引入人臉識別系統以“刷臉”代替“刷卡”案，人們開始考慮，如此的人臉識別技術是否讓大家全部暴露于透明環境中？通過識別人臉收集的個人信息是否得到了本人授意？收集這些數據的真實用途為何？公民的隱私權和知情權是否受到了侵犯？……反觀這些都與個人隱私、數據信息、財產安全、身份保護等息息相關，一旦被不法分子盜取濫用，勢必會給社會和個人造成無法挽回的危害和損失。因此，其法律規制問題成為大家關心的前沿話題。

人臉識別技術的特征及應用

人臉識別是一種個人生物識別信息，可以簡單地理解為：機器對靜態或視頻中的人臉圖像進行特征提取、分類識別，以達到身份鑒別的目的。[2]

人臉識別技術的特征。人臉識別技術的特征，源于人臉的特征，每個人的面部特征是其區別于其他人的特殊標識。人臉與其他人體生物特征相比，其與生俱來、各不相同，具有世界上獨一無二的特性，也因此決定了通過系統識別一張臉，必須要經過前期的信息采集，以確認存在這張臉為前提。而這樣的采集，或基于二維，或基于三維，其識別方式不同，答案亦不相同，正如媒體早期報道，某用戶用一張照片便可輕易解鎖自己的三星Note 8手機，這就是從技術上看，二維的識別較三維的識別更為簡單化、平面化。綜上可知，人臉識別技術具有獨特性、復雜性、直接識別性、變化性和多維性等特征。

人臉識別技術的應用。當今，信息技術發展迅猛，人臉識別技術得到廣泛應用，涉及各個行業領域。諸如，我們可實現手機面部識別解鎖、市場買菜“刷臉”支付、機場車站身份確認、圍界樓宇進出許可、工作簽到“打卡”錄入等，這些都已融入我們日常生活的方方面面。從積極的角度評價，人臉識別技術通過后臺數據分析，可以大大縮短人工識別時間，短時間內實現智能預警判斷，提供遠端識別服務，幫助用戶通過驗證，為人們提供便捷、安全、可靠的技術服務，提高了社會發展的質效。當然，也不可避免的出現了消極因素。

人臉識別技術的侵權風險挑戰

2021年央視“3·15”晚會曝光了多家知名商店安裝人臉識別攝像頭泄露個人隱私的問題，有的系統后臺擁有的人臉數據量已經存儲過億；有的連鎖門店中，只要消費者進入其中一家店，就會被拍攝記錄并生成編號，形成“大數據”，以后消費者再去哪家店、去了幾次，店家了如指掌；有的通過系統后臺通過消費者進店的喜怒哀樂，分析消費者性格類型、對產品興趣度、消費能力等。這些案例都靶向人臉識別技術一旦過度使用，其造成的法律風險直接侵害到公民的肖像權、名譽權和隱私權等人格權，不禁發人深省。

個人信息保護意識缺乏。我國《網絡安全法》第四十四條規定：“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。”一方面，2004年1月16日，信息產業部下發了《關于在部分省區開展村通工程試點工作的通知》，其中，互聯網就是國家系統工程“村村通”中的重要一項。在信息時代，網絡開拓群眾視野、方便百姓生活的同時，人們對自我信息保護意識還參差不齊、各有差異，這就導致了不法分子有可乘之機盜取利用個人信息。另一方面，一些商業用途的人臉識別技術，沒有事先盡到明示告知義務，使消費者個人信息在不知情的情況下產生暴露，另作他用侵犯了消費者的隱私信息權。

行業長效監督機制缺位。人臉識別技術在研發及應用方面沒有建立行業組織，人臉識別技術運用、人臉數據使用方面缺少行業公約或企業內部制度。建立行業組織內外長效監督機制，擴大監督網絡，創設社會監督舉報渠道，[3]通過合法化授權，在審批、使用、流轉等過程加強行業許可，指導行業正確規范運用人臉識別技術。同時，融入國家信用評價體系，對違規使用造成違法行為的，要依法依規予以處罰、取締，將濫用技術和人臉數據的行業納入信用黑名單，并通過國家信用信息公示系統向社會公示。近些年，我們通過互聯網，時常可以看到“網暴”“人肉”等字眼，其深層次的問題就是不法分子對個人信息的非法收集、利用、販賣、獲益，而缺乏監督監管機制，其以非法手段做偽“正義”之事，實質上嚴重侵犯了公民的合法權益。

法律制度統籌管理滯后。2021年8月，江蘇省蘇州市吳中區人民法院審結了一起“不刷臉不讓進小區”引發的物業合同糾紛案件。業主張先生認為將原刷卡閘機換成人臉識別系統存在隱私風險，故不同意人臉識別驗證方式，由此給生活造成極大不便。在法院的調解下，物業公司同意增加一套刷卡系統。由此可見，現有法律中并沒有對人臉識別技術的立法規范，缺乏對人臉識別等關鍵技術的研究、利用、策略以及監管等內容系統化的法律擬制。圍繞人臉識別技術帶來的個人隱私保護問題，應盡快研究出臺個人隱私保護法、數據信息法等相關法律，結合社會進步發展形勢，統籌考慮人權、隱私保護、習慣、道德等所方面因素，限定人臉識別技術的運用范圍，明確數據保護要求及責任，賦予數據采集對象知情權和追償權，從國家法律層面對個人肖像權、隱私權等相關人格權予以保護。

人臉識別技術法律規制的對策建議

我國《民法典》第一千零三十四條第一款規定：“自然人的個人信息受法律保護”，并在該條第二款個人信息的定義中，明確將生物識別信息列舉為個人信息，但并沒有對個人生物識別信息作特別保護。

建立健全一套完整法律體系。2021年7月28日，最高人民法院審判委員會第1841次全體會議審議通過了《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》，并于8月1日起正式施行。這部司法解釋，是維護自然人人格權益，保護“人臉”安全的重要規范性文件，也是強化實施民法典中個人信息司法保護的有力舉措，具有重要而現實的意義。但是，規范性文件的法律效力畢竟不及法律，因此，在《民法典》《網絡安全法》《電子商務法》《消費者權益保護法》《民事訴訟法》等法律中，應及時填補空白、修正完善，吸收個人信息保護立法規制，在確保安全的前提下，突出使用個人信息責任制原則，形成一套堅不可摧的個人信息保護法律體系。

區分公私部門配置規制重心。區分政府部門、非政府部門加以配置規制重心。對于政府部門安裝、使用人臉識別技術應當建立在合規的審批制度下進行，充分考慮到其正當性和必要性，基于國家安全、社會保障、公共利益等目的，要按照正當的法律程序，遵循公開、透明、民主等原則事前進行批準設置。對于非政府部門安裝、使用人臉識別技術應堅持加強事后監督機制，相關執法部門加強問題的督導監管，若其行為屬實侵犯了公民的合法權益，可以依據民事訴訟來進行追責。歸根結底，無論公私哪個部門安裝、使用人臉識別技術，都應當基于嚴格的法律規制，防范安全風險，防止被泄露濫用。[4]

加強人臉識別信息規制力度。人臉識別信息不同于一般個人信息，與運用中較為廣泛的指紋信息相比，其更具隱蔽式采集的特性，即使人們不知情，也可以收集并利用，而指紋信息很難做到一般條件下行為人“不知情”的采集狀態。因此，對于人臉識別信息的采集應堅持差異化規制，除法定情形外，都應當采取更強的知情同意原則，征得數據主體的知情同意。同時，其告知同意應具備采集的目的、用途、類型、保存時限、風險與權利，并以書面記錄留存。

雖然人臉識別技術應用還存在著一些弊端，國家也通過立法、司法等方式，逐步對人臉識別載部分領域應用進行了規制，但是我們仍要清醒地看到信息科學技術給社會發展帶來的諸多便利，毋庸置疑這是社會的進步，也是歷史的選擇。在當前人臉識別技術發展趨勢已經形成的環境下，該如何規范、應用好人臉識別技術才是解決矛盾問題的關鍵所在。本文通過歸納案例、表達立場，提出了相關對策建議，為人臉識別技術的法律規制提供了參考。