人臉識別中個人信息保護的困境與進路

劉丹丹

泰國格樂大學(xué)，泰國 曼谷

隨著互聯(lián)網(wǎng)科技的發(fā)展，人臉識別技術(shù)被廣泛應(yīng)用于各個領(lǐng)域。自“人臉識別第一案”之后，人臉識別個人信息領(lǐng)域的法律問題也層出不窮。那么，在人臉信息適用與日俱增的情況下，人臉信息保護還存在哪些風(fēng)險、如何有效防范等均成為當前研究中需要直面回應(yīng)的問題?；诖?，本文通過梳理人臉信息背后的邏輯、問題、成因，尋求突破思路，進行法理上的考察分析，并提出相應(yīng)的優(yōu)化進路。

一、人臉識別中個人信息保護概述

（一）人臉識別個人信息的法律屬性

1．人臉信息具有人格利益屬性

《中華人民共和國民法典》（以下簡稱《民法典》）人格權(quán)編第六章中僅規(guī)定“私密信息”適用隱私權(quán)，對于其他個人信息用“等權(quán)利”“人格權(quán)益”等表述，表明民法體系中人格權(quán)益保護的開放性。最高人民法院2021 年7 月發(fā)布的《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》第二條通過“列舉+兜底”的方式，將非法處理人臉信息行為界定為侵害自然人人格權(quán)益的行為。同時，在第二條至第九條中規(guī)定了非法處理人臉信息的權(quán)責(zé)義務(wù)［1］。

2．人臉信息屬于個人生物識別信息

人臉信息屬于“數(shù)字人權(quán)”，通過大數(shù)據(jù)、新型智能技術(shù)獲取和處理，與自然人的面部特征高度相關(guān)，可以此直接識別或者判斷自然人身份。

（二）人臉識別個人信息的模式及特征

從人臉識別技術(shù)獲取個人信息的運行原理看，根據(jù)應(yīng)用場景可分為“人臉驗證”與“人臉監(jiān)控”兩種模式?！叭四橋炞C”模式主要是進行人臉比對確定是否是同一人員，即將攝像頭抓取的現(xiàn)場人臉信息與先前數(shù)據(jù)庫中已有的照片或圖像進行比對，通過程序驗證識別是否為同一人員。在實踐中，該模式被應(yīng)用于交通行業(yè)的通行、取票，企業(yè)中的簽到打卡、門禁通行以及移動“刷臉”支付等需要人臉識別驗證的場景［2］?！叭四槺O(jiān)控”模式主要是進行人臉比對判斷是否有特定人員存在，即將攝像頭抓取的現(xiàn)場人臉信息與先前數(shù)據(jù)庫中已有的照片或圖像進行比對，通過程序驗證識別判斷是否有特定人員存在。在實踐中，該模式被應(yīng)用于政府數(shù)據(jù)開放、公安機關(guān)抓捕犯罪嫌疑人或?qū)ふ沂й櫲藛T等特殊場景。兩種模式的人臉信息均具有如下特征。

1．人臉信息的唯一性

一般個人信息包括姓名、居民身份證信息、指紋、虹膜、瞳孔識別以及掌紋等其他相關(guān)個人信息。而人臉信息屬于公民獨有的個人信息，對于個人信息主體公民或者消費者個人具有不可替代性，具有唯一性［3］。

2．程序的驗證識別性

一般個人信息不需要涉及計算機技術(shù)的鑒定和識別，更鮮少用及算法技術(shù)進行信息驗證、鑒別。而人臉識別信息自身的信息復(fù)雜性決定了程序驗證比一般個人信息更為復(fù)雜，人臉信息采集時通常需要進行計算機的驗證識別。

3．信息損害的不可逆性

人臉信息是公民的一種身份，具有唯一的代表性，與其他信息之間的關(guān)聯(lián)較為密切。因此，一旦人臉信息泄露或者被非法使用，對于公民、消費者或其他相關(guān)自然人將造成不可逆的損害［4］。

4．與其他個人信息的高度關(guān)聯(lián)性

人臉信息的敏感性特征，表明人臉識別信息和其他個人信息之間具有的較強的關(guān)聯(lián)性。人臉信息通常與其他個人信息綁定作為識別個人的驗證方式。一旦人臉識別數(shù)據(jù)信息發(fā)生泄漏或者被非法使用，則容易侵犯公民隱私權(quán)、財產(chǎn)權(quán)以及性別平權(quán)等權(quán)益。

二、人臉信息保護的域外實踐

（一）美國

美國將人臉識別信息認定為敏感個人信息，并且將其與公民或者消費者自然人的人格、尊嚴等人身權(quán)益和財產(chǎn)權(quán)益聯(lián)系起來。目前，美國在聯(lián)邦層面對于人臉識別技術(shù)的規(guī)制，尚未制定統(tǒng)一的法律規(guī)范，由各州獨立管理?，F(xiàn)階段制定生物識別信息相關(guān)法案的州已多達七個，其中伊利諾伊州2008 年頒布的《生物識別信息隱私法案》是美國第一部關(guān)于收集、使用“生物識別信息”和虹膜掃描、聲紋等信息的專門法律文件［5］。同時，美國以《加州消費者隱私法》的確立原則為基礎(chǔ)，形成了相對統(tǒng)一的個人信息保護標準，人臉識別中個人信息保護也適用上述標準，賦予了個人對企業(yè)違反義務(wù)行為提起相應(yīng)的民事訴訟的權(quán)利，明確企業(yè)在人臉信息使用中的義務(wù)和責(zé)任。此外，美國對于政府機構(gòu)和非政府機構(gòu)使用人臉信息采取不同的規(guī)制方式。對政府部門機構(gòu)的法律規(guī)制主要存在以下三種制度：禁止使用制度，任意使用制度，特別許可使用制度［6］。

（二）歐盟

判斷人臉識別中個人信息數(shù)據(jù)的處理是否合法合理合規(guī)，應(yīng)當從數(shù)據(jù)處理者的處理目的以及追求目標出發(fā)。自2016 年以來，歐盟關(guān)于數(shù)據(jù)保護方面采用目的針對性使用方法，只有通過特定技術(shù)處理、能夠識別特定的公民的圖片才能被認為是生物識別數(shù)據(jù)。歐盟在立法中采取了集中監(jiān)管、統(tǒng)一立法的治理模式，將人臉信息權(quán)上升為公民人格權(quán)的一部分，形成相對統(tǒng)一的人臉識別信息保護機制。歐盟2018 年出臺的《通用數(shù)據(jù)保護條例》（以下簡稱“GDPR”）中將人臉識別信息數(shù)據(jù)歸類于特殊種類的信息數(shù)據(jù)，適用“原則禁止，特殊例外”原則，即對生物特征識別信息進行數(shù)據(jù)處理原則上是被禁止的，只有在特殊目的、特殊情形之下，才能評估關(guān)于處理的人臉信息數(shù)據(jù)是否相關(guān)、安全并合乎既定比例等。在GDPR 中，對于包括人臉識別信息數(shù)據(jù)在內(nèi)的生物數(shù)據(jù)，適用主動明確、直接且具體的同意，否則任何超出個人信息主體的主觀意愿之外的被動同意都是違反GDPR 的違法行為［7］。

（三）法國

人臉識別信息是個人信息主體特有的生物特征，具有永久性與數(shù)據(jù)主體密不可分性。法國將人臉信息視為生物特征識別信息、敏感信息，并對其進行特殊保護，且適用較為嚴格的法律規(guī)制。2018 年法國頒布的《法國數(shù)據(jù)保護法》對其先前的數(shù)據(jù)保護立法進行了修訂，與歐盟的GDPR基本保持一致，并暢通了公民關(guān)于信息權(quán)利的救濟途徑。即在未經(jīng)法律授權(quán)和個人信息主體同意的情況下，無論是政府行政部門主體還是非政府行政部門如商業(yè)部門，均不得實施生物特征識別數(shù)據(jù)的處理行為。

三、人臉識別中個人信息保護的現(xiàn)實困境

（一）“知情—同意”規(guī)則下個人信息保護力度不強

我國《民法典》在第一千零三十五條中對個人信息的處理僅作出了原則性規(guī)定，并未明確規(guī)定是否可以適用新型智能技術(shù)進行共享、收集和分析私密信息和非私密信息。若同意收集，關(guān)于信息收集主體、收集程序、收集信息事后監(jiān)管措施、收集信息是否需要不同級別的保存措施以及是否有權(quán)委托第三方進行保存等問題，尚未作出細化規(guī)定。目前，對于個人信息普遍采用“知情—同意”規(guī)則，針對人臉識別中個人信息的“同意”范圍是否界定清楚，是對“局部信息的同意”還是對“整體信息的同意”，是否包含“同意人臉信息實際控制者再次或多次共享和檢索該信息”，均需具體明確［8］。

在實踐中，人臉識別技術(shù)既被廣泛地應(yīng)用到金融支付、信息保管等重要領(lǐng)域，也被應(yīng)用于簽到打卡、門禁通過等一般生活性場景。針對上述不同適用場景中人臉識別技術(shù)實際控制者的權(quán)責(zé)是否一致，當前立法也缺乏相應(yīng)規(guī)定。在立法上關(guān)于人臉信息的保護力度不強、在行政監(jiān)管方面對消費場所或者企業(yè)、平臺終端適用人臉識別技術(shù)未發(fā)揮作用，監(jiān)管機制失靈，不利于人臉信息在消費場所或者公司、平臺終端以及其他領(lǐng)域的保護以及公民相關(guān)合法權(quán)益的保護。

（二）人臉信息實際控制者行業(yè)自律管理機制缺位

當前，人臉識別技術(shù)實際控制者行業(yè)自律管理機制缺失，對于平臺終端、消費場所等營利性機構(gòu)適用人臉識別技術(shù)的標準、條件以及獲取其他信息的程度未作出具體化規(guī)定，導(dǎo)致營利性機構(gòu)未經(jīng)公民同意使用人臉識別技術(shù)采集、共享人臉信息，過度獲取公民其他方面信息的情形日益增多。在實踐中，行業(yè)自律管理機制失靈，行政監(jiān)管力度有限，行業(yè)協(xié)會內(nèi)部也無相關(guān)行業(yè)細則約束消費場所或者公司、平臺終端適用人臉識別技術(shù)，極易致使公民的人臉信息泄露、收集、共享以及被過度獲取，難以發(fā)揮行業(yè)內(nèi)部監(jiān)督的作用。

（三）單一處罰性事后行政監(jiān)管機制效用尚有不足

當前由于對企業(yè)、平臺終端以及營利性機構(gòu)適用人臉識別技術(shù)缺乏事前以及事中行政監(jiān)管，存在人臉識別技術(shù)行政監(jiān)管主體缺失以及行政監(jiān)管措施不明等問題，導(dǎo)致人臉信息侵權(quán)案件頻出。我國當前關(guān)于人臉識別行政監(jiān)管主要體現(xiàn)在《中華人民共和國個人信息保護法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》以及《中華人民共和國消費者權(quán)益保護法》（以下簡稱《消費者權(quán)益保護法》）等四部法律中。監(jiān)管方式較為單一，多數(shù)案件為“責(zé)令改正”和“罰款”的形式，而“警告”的方式占比較低。整體的行政監(jiān)管機制體現(xiàn)為處罰性監(jiān)管機制，對于事前監(jiān)管機制以及事中監(jiān)管機制并未覆蓋提及，行政監(jiān)管機制效用尚有不足［9］。

四、人臉識別中個人信息保護的優(yōu)化進路

（一）明確“知情—同意”規(guī)則具體適用標準

在2013 年第二次修正的《消費者權(quán)益保護法》中，僅對經(jīng)營者采取措施保護消費者個人信息作出籠統(tǒng)性規(guī)定，但是對于采取措施的種類、級別并未作出細化規(guī)定。因此，應(yīng)當根據(jù)“知情—同意”規(guī)則，明確備案制、核準制和審批制的具體適用標準。規(guī)定備案制適用于僅擁有非私密信息的機構(gòu)，即應(yīng)用一般生活場景的人臉信息；核準制適用于僅擁有私密信息的機構(gòu)或者同時擁有雙重信息的集合單位；審批制適用于第三方專業(yè)存儲機構(gòu)，考慮巨大的數(shù)據(jù)存儲規(guī)模，應(yīng)對其設(shè)置準入門檻，定期進行風(fēng)險評估。此外，對于既擁有私密信息又擁有雙重信息的集合單位，在征得當事人同意的情況下，可以將信息存儲于第三方專業(yè)存儲機構(gòu)。在這個階段，應(yīng)當設(shè)置第三方平臺的“知情—同意”條款，提前告知人臉信息當事人存儲風(fēng)險以及權(quán)限。

（二）設(shè)置專門外部行政監(jiān)管機構(gòu)

在人工智能時代，隨著人臉識別技術(shù)的應(yīng)用，人臉信息保護越來越重要。實踐中關(guān)于人臉識別技術(shù)持有者自律性不足和人臉識別技術(shù)持有行業(yè)自律管理機制缺失等問題，除了對人臉技術(shù)持有者的規(guī)范進行行政監(jiān)管，還需要人臉識別技術(shù)持有者行業(yè)協(xié)會內(nèi)部設(shè)立相應(yīng)的自律管理機制。為了減輕司法負擔(dān)，可以在行政監(jiān)管階段設(shè)置專門的外部行政監(jiān)管機構(gòu)，定期對于第三方專業(yè)信息儲存機構(gòu)進行風(fēng)險評估，以期對消費場所、平臺或者后臺終端適用人臉識別技術(shù)獲取人臉信息進行外部監(jiān)督。同時也有利于實現(xiàn)當前關(guān)于人臉識別技術(shù)對于公民或者消費者自然人人臉識別信息的平衡。通過外部行政監(jiān)管機構(gòu)的監(jiān)管，有利于增加人臉識別技術(shù)持有者相關(guān)市場主體進入該行業(yè)的準入門檻，將有效降低人臉識別信息領(lǐng)域中權(quán)益損害情形的出現(xiàn)。

（三）建立“事前機制+事中機制+事后機制”全責(zé)任機制

實踐中，人臉識別技術(shù)的應(yīng)用也給監(jiān)管部門帶來相應(yīng)的行政負擔(dān)。在行政機關(guān)依法監(jiān)管過程中，單一的處罰性事后監(jiān)管機制對人臉識別信息的保護和一般民商事案件一樣，具有事后救濟的特征，無法起到“事前監(jiān)管+事中監(jiān)管+事后監(jiān)管”的全監(jiān)管機制的效用。因此，應(yīng)當在當前單一處罰性事后監(jiān)管機制的基礎(chǔ)上進行改進，建立“事前機制+事中機制+事后機制”全責(zé)任機制。此外，還應(yīng)當加強對人臉信息保護的監(jiān)管，引入信用機制，以期構(gòu)建“行政監(jiān)管+行業(yè)監(jiān)管”的雙監(jiān)管模式。

五、結(jié)語

隨著人工智能以及大數(shù)據(jù)的快速發(fā)展，人臉識別技術(shù)被廣泛應(yīng)用于多個領(lǐng)域。關(guān)于人臉信息的保護，無論是理論層面還是實踐層面均具有較大的研究價值。人臉信息保護只有通過明確“知情同意”規(guī)則具體適用標準、設(shè)置專門外部行政監(jiān)管機構(gòu)以及建立“事前機制+事中機制+事后機制”全責(zé)任機制，才能有效保護人民群眾的人臉識別信息合法權(quán)益。