人臉識別技術的法律風險與規制

□陳 涵

人臉識別在中國的發展起步于20世紀90年代末，在經歷了二十多年的發展歷程后，其在技術上取得了巨大的進步，并被廣泛運用于社會的各個領域之中。尤其是在疫情期間，人臉識別技術在人口流動管理、體溫檢測等方面發揮了重要作用。然而這項生物識別技術在給社會的經濟發展與公民的個人生活帶來便利的同時，也讓公民的個人信息安全面臨著巨大的挑戰。

一、人臉識別技術面臨的法律風險

人臉識別技術是基于人的面部特征，用攝像機或攝像頭采集含有人臉的圖像或視頻，并自動在圖像中檢測和跟蹤人臉，進而對檢測到的人臉進行識別的一系列相關技術。與其他類型的生物識別方式不同，人臉識別具有非接觸性、唯一性的特點。一旦泄露，不管是政府部門還是企事業單位，都將會面臨巨大的法律風險。

(一)政府使用人臉識別技術所面臨的法律風險。隨著現代化進程的進一步深入，各地人口的流動性也在持續加大，人口構成成分也越來越復雜。在這種新形勢下，政府在人員管控與安全防范這兩個方面都將面臨著巨大的挑戰[1]。這也就意味著如何在公共安全領域內高效、快速地完成公民的信息采集，進而保障公民的人身權利，成為了政府工作中的重中之重。因此，為了提高工作效率，政府會將人臉識別技術作為日常辦理公共事務的一個重要手段。但是在社會公共領域內使用人臉識別技術，不免會發生公權力與私權利互相沖突的問題。例如安徽省阜陽市率先啟用行人闖紅燈抓拍系統，對于擅闖紅燈的人，該系統會通過人臉識別的方式自動獲取該公民的個人信息，并將其個人信息以及闖紅燈的抓拍畫面在電子顯示屏上進行播放與曝光，而在曝光的信息上，除了有公民的姓名和性別，還有公民的身份證件與家庭住址。針對這一問題，法理上說當公權力與私權利產生沖突時，應當遵循公權優先原則，但并不意味著政府要以過分犧牲公民的私權利為代價去維護社會的公共安全[2]。因此對于政府使用人臉識別技術的情形，最重要的是明確公權力與私權利之間的界限，在哪些場合下，政府能夠使用人臉識別技術以及在哪些場合下，政府不能夠使用人臉識別技術。

(二)企業使用人臉識別技術所面臨的法律風險。企業作為人臉識別系統的設計者、經營者與使用者，其所面臨的法律風險也是相當高的。從企業采集用戶人臉信息的方式上看，在線上，大多數企業則是通過一攬子授權的方式來獲取用戶的人臉信息[3]，用戶一旦不同意該企業獲取自己的人臉信息，就無法得到該企業的服務。而在線下，由于人臉識別具有非接觸性、隱蔽性強、可遠距離采集等特征，就使得人們往往無法及時發現人臉識別的存在，也就無法做出相應的意思表示。例如在2021年的3.15晚會上，主持人曝光科勒衛浴、寶馬、Max Mara等品牌的部分門店采用人臉識別技術非法搜集消費者的個人信息，然后評估出消費者的經濟能力，給消費者推薦或抬高自己的商品價格，從而導致消費者的合法權益受到損害；從企業內部儲存的人臉數據上看，企業主要是將人臉作為一個身份認證方式。在前期，企業會將用戶的信息數據保存在企業內部的數據庫中。如果用戶想使用自己的人臉去進行某一項操作時，系統會自動將掃描到的人臉圖像與數據庫中所保存的人臉圖像進行比對，一旦比對成功，便可實施下一項的操作，從而實現對用戶個人身份的識別。但是數據庫本身如果存在一定的安全隱患的話，一旦遭受外部人員的技術入侵，就容易導致大量用戶的個人信息慘遭泄露；從企業運行人臉識別的算法上看，盡管人臉識別技術逐漸趨于成熟，但是在現階段仍存在一些不足之處，因此極易出現被某些不法分子冒用，販賣公民個人身份信息的情況發生。在“凈網2020”行動中，深圳龍崗警方發現一些不法分子利用非法獲取的公民照片，將照片進行一定的預處理，并通過AI換臉技術，繼而騙過企業的人臉識別系統從而完成認證，最終導致公民的合法權益受到了侵犯。同時，由于大量采集的生物信息儲存在統一的平臺內，導致數據量呈指數倍增長。若同時運行或輸出各種不同的數據，平臺程序多次頻繁運行，勢必造成輸出數據錯位和內部信息錯亂的問題，為信息數據的儲存和運行帶來安全風險[4]；從企業應用人臉識別技術的場景上看，除了在刷臉支付、解鎖解密等領域內得到應用，企業還會將人臉識別技術應用到一些娛樂領域中，其中最為典型的便是“ZAO-逢臉造戲”APP中的換臉娛樂功能。其玩法是通過實時拍攝人像或上傳已有的人像圖片替換到視頻素材或者其他圖片素材的人像上，而這極有可能導致用戶侵犯他人肖像權，從而承擔一定的法律責任。

二、歐美對于人臉識別技術的法律規制現狀

(一)美國對于人臉識別技術的法律規制現狀。美國在聯邦層面尚沒有制定專門的法律來規制人臉識別數據的收集與使用，一旦遇到因人臉識別技術所引發的案件時，主要是以美國各州制定的隱私保護法案作為訴訟的主要依據。同時，由于歷史傳統文化及文化驅動力的不同，美國在保護個人數據主體權利的基礎上，側重于促進數據共享流動與數據的商業利用價值[5]。因此在人臉識別的數據保護上，美國對于政府和企業的規制態度是有所不同的。在政府層面，絕大多數州要求政府及其執法機構禁止在社會公共領域內使用人臉識別技術。以舊金山市為例，該市于2019年5月通過《停止秘密監視條例》(以下簡稱《條例》)，在內容上該條例禁止政府部門使用人臉識別技術以及依靠該技術獲取公民的個人信息，這使得該市成為美國第一個禁止使用人臉識別技術的城市；而在企業層面，美國的大多數州在法律上并沒有對企業使用人臉識別技術實行諸多限制，只是簡要規定了企業不能將人臉識別技術交由政府進行使用以及企業在采集公民個人信息的過程中應當遵循知情同意的原則。這就意味著對于美國的企業來說，其主要是靠各行業之間的嚴格自律來實現人臉數據的隱私保護目的，這也就導致了在美國境內發生過多起公民訴美國科技公司的案件。以“Facebook侵犯用戶隱私權”的案件為例，在2020年1月，起因是Facebook在未經用戶許可并告知使用期限的情況下，從伊利諾伊州數百萬用戶照片中獲取人臉數據，導致該州的三位公民分別向法院提起訴訟，最終以Facebook向該州用戶支付6.5億美元的和解費并將“人臉識別”的默認設置調整為“關閉”狀態來宣告此案件的結束。

(二)歐盟對于人臉識別技術的法律規制現狀。歐盟在人臉識別領域并沒有制定專門的法律法規，因此在人臉識別的法律適用問題上主要是用《通用數據保護條例》(英文簡稱“GDPR”)來加以規制。相較于美國重點限制公權力隨意采集公民的個人信息，但對企業發展人臉識別技術留有較大的空間所不同的是，歐盟在人臉識別的應用上采取統一禁止的管理模式。其認為相較于人臉識別技術給社會帶來的巨大便利，公民的個人隱私安全顯得更為重要。因此無論是行使公權力的政府還是行使私權利的企業，在使用公民人臉信息的方面，都必須遵守以“禁止處理”為原則，以“明示同意，法定必要”為例外的規定[6]。例如GDPR的第7條賦予了公民的知情同意權，其要求無論是人臉識別技術的開發者、經營者還是使用者，收集公民個人信息的前提便是在用戶充分知情的情況下做出的以書面形式同意的意思表示。同時該條文還賦予了公民撤回同意的權利。一旦公民撤回同意，控制者便自始喪失使用公民個人信息的權利。此項規定的設立充分地保障了公民的合法權益。而在收集人臉信息的合法性與必要性上，GDPR的第6條對此情形進行了列舉，如基于數據主體的知情同意、履行數據主體參與合同的必要性、執行公共利益領域的任務的必要性等六種情形。因此在“Anderstorps高中侵犯學生隱私權案”中，Anderstorps高中通過以人臉識別的方式來記錄學生的出勤情況，該行為被認為是侵犯了學生的個人隱私權。其主要原因便是學校完全可以通過其他方式來記錄學生的考勤情況，缺乏使用人臉識別技術的必要性。最終瑞典數據保護機構對其作出20萬瑞典克朗的罰款，并要求立刻停止該行為。

與此同時，為了防止數據控制者與數據處理者在使用過程中濫用權利，GDPR為此嚴格規制控制者和處理者控制、處理數據的行為。對于數據控制者來說，在使用數據時需要對數據進行匿名化處理并進行一定的加密措施。而對于高風險的數據處理活動，則需要到監管機構進行事前評估并設立數據保護專員來對數據進行一定的保護。一旦有信息數據泄露的情況發生，數據控制者應當自知道事故發生之日起3日內通知監管機構并公布數據泄露報告；對于數據處理者來說，主要是通過與控制者簽訂的合同來加以限制。簽訂合同的雙方在合同中需要明確處理數據的目的、類型、期限以及明確雙方之間的權利業務關系；而在監管機構的監督與公民的救濟方面，監管機構在監管的過程中一旦發現有違法收集、濫用權利等情況的發生，其有權要求數據控制者或數據處理者修改、刪除或者銷毀個人數據并對其處以罰金。而對于不服監管機構作出的決定或者針對監管機構的不作為，公民有權對其進行訴訟，并要求其承擔一定的法律責任[7]。

對比以上兩種立法模式不難發現，無論是美國還是歐盟，他們對于人臉識別的使用均持一種比較嚴謹的態度，究其原因便是他們希望該技術能夠盡可能地造福社會，而不是給公民帶來一定的副作用。然而相較于歐美較為嚴格的限制乃至禁止政策，我國對于人臉識別的使用則采取一種開放、包容的態度。因此，從人臉識別的法律層面上講，各國應立足于本國國情和本國的經濟發展狀況來進行制定相應的法律法規。但對于他國的一些治理經驗和治理方式，卻是可以值得借鑒與使用的。

三、我國對于人臉識別領域內的法律規制現狀

我國對于人臉識別的保護模式跟歐盟一樣，采用的是綜合性立法保護模式。《網絡安全法》《民法典》《個人信息保護法》《刑法》以及最高院頒布的《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》(以下簡稱《人臉識別司法解釋》)等司法解釋初步構建起了人臉識別的法律規范體系。

在《民法典》和《網絡安全法》中，立法者將人臉識別作為個人信息中的生物識別信息來加以保護。對于公民個人信息的保護，《民法典》第1,034條第3款規定：個人信息中的私密信息，適用有關隱私權的規定；沒有規定的，適用有關個人信息保護的規定。從中便可看出，《民法典》對公民的私密信息進行了“隱私權+個人信息”的二元保護模式。根據這一規定，在公民私密信息的保護問題上應優先適用隱私權的規定，隱私權中沒有規定的，才能用個人信息加以保護。其中前者指的是自然人所享有的私人生活安寧與私人信息秘密依法受到保護，不被他人非法侵擾、知悉、搜集、利用和公開的一種人格權，后者指的是對如自然人的姓名、出生日期、身份證件號碼等個人信息的保護，具體可分為對一般個人信息的保護和對敏感個人信息的保護。而對于人臉來說，由于人臉常年暴露在外的社會公開性，故難以將其認定為公民的私密信息，只有通過電子設備所掃描識別出人臉背后所蘊藏的個人信息才屬于公民的私密信息。一旦人臉背后的個人信息被泄露或者被非法使用，就容易導致自然人的人格尊嚴、人身安全以及財產安全受到侵害，因此法律更加注重的是人臉信息背后所在的人身屬性和財產價值，而這便是一般個人信息與敏感個人信息的本質區別所在。所以對于人臉識別，法律應當制定更加嚴苛的規定。而在最近頒布的《個人信息保護法》中，立法者將人臉識別定性為敏感個人信息，并從公權力和私權利這兩個角度對人臉識別做了專門性的法律規定。

在公權力的領域中，《個人信息保護法》著重規定了國家機關作為個人信息處理者在處理個人信息方面，以及國家機關作為一個行政執法機構在監督企業、商家上的一些法律條文。前者要求國家機關在處理個人信息時，具有向公民告知的義務。同時在公權力與私權利的邊界問題上，法律規定國家機關在行使行政權力時應當遵循比例原則，這也就意味著在維護社會重大利益的前提下，政府部門可以通過人臉識別的方式采集公民的個人信息，如利用人臉識別技術來抓捕罪犯、利用人臉識別技術來確定患者的行動軌跡。但如果政府是基于一般性地維護社會公共利益的目的而使用人臉識別技術，如行人闖紅燈抓拍系統，該行為則便違反了比例原則；而對于后者來說，法律規定政府及其各職能部門應當在各自的職責范圍內負責個人信息的保護與監管工作。因此對于企業、商家違反法律規定處理公民個人信息的行為，行政機關有權要求對其進行一定的行政處罰，構成犯罪的，可以按照《刑法》的規定，依法追究其刑事責任。

在私權利的領域中，《個人信息保護法》規定，企事業單位在人臉識別采集與使用的過程中，除了遵循“合理合法、公開透明”的原則，還應當遵守“特定目的+單獨同意”的原則。只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下以及征得公民的單獨同意之后，個人信息處理者方可處理敏感個人信息。同時在個人信息處理者的義務上面，《個人信息保護法》在借鑒歐盟GDPR的基礎上也作出了明確規定。其中第51條規定為了防止個人信息泄露、篡改、丟失，企業不但要制定相應的操作流程和應急預案，還需要定期對企業的內部員工進行一定的安全教育培訓；第55條、56條則是對企業處理方式的補充；第58條則表明企業具體履行的義務有哪些。因此在私權利的領域中，《個人信息保護法》相比較于《民法典》來說，前者在保護公民個人隱私的基礎之上，更加注重公民與信息處理者之間的糾紛。所以對于《個人信息保護法》中的民事規范部分，應當基于特別法優于一般法的原則，優先適用于《個人信息保護法》中的規定[8]。

四、人臉識別領域的法律規制建議

在信息科技時代，個人信息保護已成為廣大人民群眾最關心的利益問題之一。《個人信息保護法》和《人臉識別司法解釋》的出臺，標志著我國個人信息保護制度逐漸走向成熟，對我國法治化建設進程有著重要意義。但是，光靠我國現有的法律進行保護，還是遠遠不夠的，在這其中還有許多需要完善的地方。

(一)完善人臉識別領域下的行政治理模式。《個人信息保護法》在第六章節確立了由國家網信部門統籌協調，政府及其職能部門共同管理的行政治理新模式。在此章節的內容中，第60條明確了個人信息保護部門的范圍；第61條規定了個人信息保護部門具有調查處理、指導監督、組織企業進行測評等義務；第63條、第64條規定了個人信息保護部門具有約談、查閱、查封扣押等行政權利。但是在具體場景中，到底由哪個部門來進行治理、究竟該如何治理，法律對此并沒有作出具體的規定。與此同時，關于本法中“法律責任”的部分，法律規定對于違法處理個人信息的個人信息處理者，經責令改正拒不改正的，可以并處一百萬元以下罰款。情節嚴重的，可以并處五千萬元以下或者上一年度營業額百分之五以下罰款。對直接負責的主管人員和其他責任人員處以十萬元以上一百萬元以下的罰款。動輒上百萬元、上千萬元的罰款，設定的罰款數額之高，這雖然能體現出立法者打擊濫用人臉識別技術亂象的堅定決心，但由于其制定的范圍過于寬泛，在實際的執法過程中容易導致處罰數額不夠合理的情況發生。因此在現階段，我國需要制定相應的行政法規和部門規章，并將其中的問題加以細化，從而更好地完善人臉識別領域內的法律規制體系。

(二)完善人臉識別相關技術，保障公民個人隱私安全。在現有的法律規制體系中，立法者在人臉識別的應用方面作出了具體的規定，但是在人臉識別領域內的算法與數據方面，如黑客入侵、輸出數據錯位等問題，法律對此很難作出詳細的規定。由此看來，對人臉識別領域內算法與數據的完善就顯得尤為重要。針對這一問題，企業對外需要持續引進高端人才，對內需要持續加大研發投入，從而進一步地提高企業的自主創新能力；政府需為企業創造良好的運營環境，鼓勵企業進行知識產權創新，從而提高人臉識別算法的精確性與安全性[4]；企業將人臉識別技術投入到商業應用之前，應當進行企業內部與監管機關的雙重評估，以確保算法在之后的運行過程當中沒有技術問題發生，從而更好地保障公民的個人隱私安全。

(三)完善事前防范機制，充分保障公民的知情同意原則。知情同意原則是人臉識別保護的核心和基礎，也是保護公民個人信息的第一道防線。但是在面對現實生活中“知情同意原則”過于形式化的問題，僅僅靠法律給予公民事后救濟的權利還是遠遠不夠的。只有將事前防范與事后救濟結合起來，才能充分保障公民的合法權益。對此，一方面可以通過宣傳教育的方式來增強公民的個人信息保護意識；另一方面可以引入公眾參與機制，讓越來越多的公眾參與到企業日常運營的監管上來，從而避免相關事件的發生[9]。另外，從企業的角度上看，無論是在線上還是在線下，使用人臉識別的前提必須是充分告知，但是在采取的具體措施上可以不完全相同。比如說在線上，有些應用軟件通常以一攬子授權的方式來征得用戶的同意，還有些應用軟件通常以條款的方式來獲取用戶的同意。對于前者來說，《人臉識別司法解釋》對此現象作出了禁止性規定；對于后者來說，條款描述的內容偏多，這使得絕大部分用戶在使用前都不會仔細認真地觀看，而這有可能導致企業在征得用戶同意的過程中，通過提供格式條款的方式來免除其責任，加重對方主要責任的情況發生。因此在線上，當企業以授權的方式來征得用戶的同意時，還應當要求對用戶進行書面告知。對于書面告知的內容，其重點部分可以通過字體加大加粗的方式來引起用戶的注意[10]。同時，無論是企業還是政府，都應當設立并公布相應的投訴渠道，從而更好地保障用戶的知情監督權；在線下，企業通常以人臉識別的方式來收集消費者的個人信息，其主要目的是為了更好地進行銷售，從而獲得更多的經濟利益，因此企業在商業領域內使用人臉識別技術的時候，需要明確人臉識別技術的使用范圍。一旦企業基于商業目的使用人臉識別技術，在使用之前就必須要征得消費者的同意，反之則需要向消費者提供能夠解決問題的其他替代性方案，從而保障消費者的合法權益不會因此受到侵犯。

五、結語

在大數據時代的背景下，科技的發展意味著將產生各種新事物，而對于新事物給大家帶來便利和舒適的同時，亦會引發諸多的法律問題。因此在面對人臉識別技術應用可能導致的問題和引發的科技風險，我國在進行精細化利益衡量的基礎上，應當采取更加開放、包容的態度，從而實現人臉識別技術應用與公民個人信息保護之間的利益平衡[2]。