人臉識別技術應用中個人信息法律保護問題研究

摘要：人臉識別技術作為信息時代的產物，基于其能根據人臉面部特征進行身份匹配，并進行深入追蹤的特性，被廣泛應用于身份識別、活體檢測和企業管理等活動場景，為人們帶來更優質的工作和生活體驗。但人臉識別技術在應用過程中過度依賴信息存儲和數據分析，易產生侵害個人隱私、威脅財產安全和數據安全的隱患。目前，我國人臉識別技術應用中個人信息保護存在一些問題：立法層面規定缺乏完善性，體系性較差；行政監管層面監管過于缺位，監管措施不足；權益救濟層面因果關系證明難，損害難以認定。這些問題的存在影響公民的個人信息保護，還可能對社會秩序運行造成威脅。因此，應分別從立法、行政監管和司法救濟三個角度來完善相應措施，以實現對人臉識別技術應用中個人信息的保護。

關鍵詞：人臉識別技術；個人信息保護；隱私權；財產安全；數據安全

中圖分類號：D901 """"""""文獻標識碼：A""""""""""""文章編號：1672-4437（2024）04-0104-05

通常意義上來講，人臉識別技術就是通過攝像設備采集含有人臉的信息或照片，對人臉特征加以分析計算，然后進行相應身份識別的一種生物識別技術。信息時代，隨著計算機識別技術、機器視覺技術和光學成像技術的快速發展，集成人工智能、機器學習、視頻圖像處理等技術的人臉識別技術愈加成熟，并被廣泛應用于人們生產、生活的各個場景，不僅賦予了傳統場景、傳統產品新的使命，而且給社會治理、商業實踐帶來諸多便利。但人臉識別技術的社會化應用顛覆了傳統人臉在物理時空的內涵，使其成為一種信息數據，演變成為與人的身份保持一致的數字人格，由此不僅直接給公民個人隱私、財產利益乃至社會秩序造成威脅，而且突破了傳統法律對個人信息的保護界限。如何實現對人臉識別技術應用中個人信息的保護，以均衡人臉識別技術中個人信息保護與產業發展，防范人臉識別技術造成的風險便是本文研究的關鍵。

一、人臉識別技術應用中個人信息的安全隱患

從本質來看，人臉識別技術是利用計算機技術來分析并識別人臉的過程。一般而言，人臉不具有可復制性，但計算機網絡可將人臉信息轉化為具有可復制性、可識別性的二進制代碼，而該代碼在傳輸過程中可能被復制、泄露或竊取，進而可能出現侵害個人隱私、財產安全和數據安全的行為。

（一）人臉識別技術侵害個人隱私

信息技術時代，人臉識別技術已經被廣泛應用于包括網絡支付、工作考勤、手機登錄和交通管理等生產生活中的多種場景。人臉識別技術的使用需要結合信息網絡技術，其非接觸性導致在人臉識別應用的數據存儲、傳輸流程中容易對公民個人隱私造成侵害^[1]。例如，諸多高校為了更好地完成日常考勤和課堂紀律管理，紛紛嘗試在教室加裝人臉識別門禁，學生進入教室之后，需要完成刷臉，但至于學生的人臉信息如何存儲、是否被刪除，以及是否存在被用于其他途徑的可能等問題均未有相應說明，該種行為無疑侵害了學生的個人隱私權。2021年，玉林市公安局破獲了一起利用AI技術破解人臉識別系統侵犯個人信息的案件，犯罪人員通過特定方法將非法獲取的公民照片制作成動態人臉，然后利用特殊處理的手機“劫持”攝像頭，使系統不啟動攝像頭，而是獲取之前做好的動態人臉通過認證，最后通過出售、出租相關游戲賬號及提供售后破解服務方式來非法獲利，這無疑是對公民個人隱私的侵害。

（二）人臉識別技術威脅財產安全

目前來看，人臉識別技術還威脅到公民個人及企業的財產安全。人們利用人臉識別技術進行支付，雖然能快速完成支付，節省時間，但是基于平臺商家所提供的人臉識別支付服務模式建立在人臉識別的基礎上，該支付形式必然受到人臉識別精準度的影響。而人臉識別作為一項新型技術，其精準性受光照變化、人臉面部表情、視覺角度等因素的影響，可能出現無法識別個人身份或者身份混淆的現象。隨著技術手段的不斷發展，不法分子為了獲取非法利益，通過不法手段來對人臉識別技術予以破解，由此可能會給支付安全造成威脅^[2]。此外，部分公民及企業為了方便，通常將人臉信息同銀行卡或賬戶信息進行綁定，給了不法分子可趁之機。例如，依托清華大學人工智能研究院成立的瑞萊智慧團隊發布的數據顯示，研究人員根據一張照片，研究算法，通過制作一副特殊“眼鏡”，就可以刷臉解鎖他人手機以及10余款金融和政務服務類App身份認證，若該種技術手段被不法分子掌握，則勢必會威脅公民及企業的財產安全。

（三）人臉識別技術造成數據安全風險

人臉識別技術的應用涉及對用戶人臉信息數據的采集、儲存及分析，每一個環節都可能面臨數據安全風險。鑒于人臉識別技術的非接觸性和當前各種監控設備的普及，人臉信息數據在采集環節存在被過度采集的問題。例如，部分App強制用戶開啟面部識別，否則便不能使用。人臉信息數據完成收集之后，相關數據信息就會被存儲在數據庫中，該數據庫若管理不當，可能面臨黑客攻擊、內部人員盜取數據庫信息問題，給數據安全造成隱患^[3]。鑒于人臉識別技術運用主體的技術條件和管理水平良莠不齊，為了獲取利潤，不法分子可能會開發作弊工具來破解、干擾、攻擊人臉識別技術背后的應用和算法，進而引發盜竊、詐騙、侵入住宅等犯罪，危及個人數據安全。

二、人臉識別技術應用中個人信息保護現狀及存在的問題

隨著人臉識別技術應用的普及，相關法律及行政監管已經開始對其予以關注，并對個人信息進行了探索性保護。但在實踐中，還存在一些問題：立法層面規定缺乏完善性，體系性較差；行政監管層面監管過于缺位，監管措施不足；權益救濟層面因果關系證明難，損害難以認定。這些問題的存在不僅會導致公民個人的合法權益受到侵害，也可能對社會秩序造成破壞。

（一）人臉識別技術應用中個人信息保護現狀

2017年實施的《中華人民共和國網絡安全法》規定網絡運營者有義務保護用戶個人信息，用戶對個人信息有自決權和處分權；明確了網絡運營者對用戶個人信息的收集、保管和使用方式。2021年施行的《中華人民共和國民法典》用專章設定對個人信息與隱私權予以保護的規范，并對個人信息保護的基本原則和主要規則作了規定。2021年11月施行的《中華人民共和國個人信息保護法》關于敏感個人信息、公共場所安裝圖像采集以及個人身份識別設備等方面的規定，與人臉識別密切相關^[4]。在刑事保護層面，《中華人民共和國刑法修正案（七）》增設了出售、非法提供公民個人信息罪和非法獲取計算機信息系統數據罪；《刑法修正案（九）》則進一步放寬了對犯罪主體的限制并加重了處罰^[5]。在國家標準層面，為了遏制個人信息被非法收集、濫用、泄露等亂象，《信息安全技術—個人信息安全規范》（GB/T 35273-2020）規定了個人信息控制者在收集、保存、使用、共享、轉讓、公開披露等信息處理環節的相關行為。2022年，《信息安全技術人臉識別數據安全要求》國家標準的征求意見稿，主要是針對人臉數據濫采、泄露或丟失，以及過度存儲、使用等問題。由此可看出，當前國家對人臉識別技術應用中個人信息保護是非常重視的。

（二）人臉識別技術應用中個人信息保護存在的問題

首先，在立法保護層面，知情同意規則失靈，個人信息保護效力受到質疑。目前來看，雖然不論是民商事法律規范、刑事法律規范還是國家標準層面都開始重視對人臉識別技術應用中個人信息的保護，但該種保護尚處于起步階段，具體細節也不夠明確，進而出現了知情同意規則失靈問題，導致人臉識別技術應用中個人信息保護的效力受到質疑。知情同意規則作為解決人臉識別信息收集與適用的基本規則，在人臉識別技術應用實踐中面臨以“形式”同意代替“實質”同意的困境。例如，有的平臺商家為符合相關法律要求，在雙方協議中對信息的收集與使用要么作概括性說明，要么羅列大量說明規則，用戶面臨大量數據信息的堆積接收和晦澀的專業用語，沒有耐心甚至直接忽略用戶協議，知情同意權大打折扣^[6]；用戶在首次使用某些平臺時，如果不勾選平臺所提供的用戶協議，平臺則會強制禁止其使用相關產品或服務，而用戶為了使用相關產品或服務，在形式上知情實際并不知情的情況下交出數據控制權。此外，基于人臉識別技術的非接觸性及無感識別，部分平臺商家利用技術手段繞過知情同意規則來獲取用戶人臉信息，不僅侵害了用戶個人的隱私空間，而且容易造成社會恐慌，加劇社會管理難度。

其次，在行政監管層面，監管權限不清，監管措施單一。鑒于人臉識別技術是基于人工智能、機器學習、視頻圖像處理等技術的一種新興技術，我國目前尚未建立針對人臉識別技術統一的監管機構，而人臉識別技術的應用涉及用戶個人信息數據的收集、存儲、分析、使用等，盡管《中華人民共和國個人信息保護法》規定國家網信部門是監管個人信息保護的協調中心，但目前對個人信息保護的監管仍然采取部門化的監管方式，也未規定各部門之間的監管職責，其在實踐中存在監管權限不清，容易出現監管空白或者多頭監管的情況，可能導致部門之間相互推諉、逃避責任，最終誘發監管失敗后無人承擔責任的后果^[7]。此外，人臉識別技術應用的監管措施存在相對單一、滯后的問題。目前已有的監管措施主要為行政處罰、行政調查和行政約談三種，缺少事前監管措施，且尚未建立起人臉識別技術應用的常態化事前預防機制，只能在風險發生后進行處罰、調查及約談，此時可能損害已經發生，當前的監管措施明顯具有一定的滯后性。

最后，在權益救濟層面，侵權主體和損害后果難以認定。人臉識別技術侵害個人信息案件中，受害人個人信息權益要想得到救濟，就需要認定侵權主體，鑒于人臉識別技術主要涉及信息的收集、存儲、分析、使用等多環節，處理信息所使用的黑箱模型更是將算法不透明化，人們很難掌握個人信息在哪個環節被泄露和濫用，具體實踐中很難發現侵權主體。例如，人臉識別門禁案例中，業主人臉信息數據的收集與使用涉及的主體包括物業公司、第三方技術公司、街道辦事處、派出所、公安局等多方主體，若居民的人臉信息數據被泄露，居民很難明確哪一方主體才是數據泄露的真正源頭^[8]，最終影響居民個人信息權益的救濟。在受害人救濟方面，侵權人承擔侵權責任的前提是，侵權行為滿足特定情形、滿足承擔侵權責任的要求。但人臉識別技術侵權案件中，個人所遭受的不利后果通常是非法處理人臉數據信息所引發的諸如身份竊取、隱私泄露等潛在風險，現有法律通常僅將個人所遭受的損失作為判斷標準，而損失在風險尚未發生時，應如何確定，以及是否滿足侵權責任承擔的相關要求尚未定論，最終會影響受害人的權利救濟。

三、人臉識別技術應用中個人信息保護措施的完善

人臉識別技術的普遍應用在為人們生活帶來諸多便利的同時，也給個人信息保護帶來了諸多風險與隱患。為了實現對人臉識別技術中個人信息的保護，需要從立法、行政監管和司法救濟三個方面完善措施，以防范人臉識別技術帶來的風險。

（一）完善人臉識別技術下個人信息權益的法律保護體系

知情同意規則是解決人臉識別信息收集與適用問題的基本規則。針對實踐中公民個人同意權難以保障的問題，可以通過構建動態同意模式予以解決。具體來看，動態同意模式即利用現代化的網絡信息技術來搭建交流平臺，在平臺內部信息處理和知情同意始終處于持續、動態、開放的過程，相關數據主體可以隨時了解最新信息，并可以自主選擇是否加入^[9]。該種模式的構建不僅能有效增強數據主體的自治性，而且能增強信息處理的透明度，使公民個人對自身人臉信息的使用情況更為知情。需要注意的是，構建動態同意規制模式時，一方面，不同應用場景的人臉識別技術所造成的風險具有差異性，相關應用場景可能發生變化，因此需要建立人臉數據信息使用風險評估機制，并將相應風險、場景變化主動告知數據主體，為其作出同意決定提供參考，進而實現對數據主體權利的保護。另一方面，模式內的信息交流并非無序，而是需要根據信息的重要性來進行分層，以便數據主體能明確了解并選擇同意數據使用者使用哪些信息，其中人臉信息數據屬于敏感個人信息，通過分層授權促進對公民個人信息的保護。但不可否認的是，動態同意模式存在一定弊端，其雖然可以保障數據主體更大的自主性，但頻繁加入、退出也會在一定程度上影響數據處理效率，造成資源的浪費。

（二）健全人臉識別技術下個人信息權益的行政監督機制

為了實現對人臉識別技術應用個人信息保護的有效監管，面對實踐領域存在的監管權限不清、監管措施單一難題，需要結合人臉識別技術的發展來健全相應行政監督機制。一方面，應設置專門的個人信息監管機構，明確其監管職權，以化解監管實踐中存在的監管權限不清、監管空白或者多頭監管等問題。具體來看，可以通過立法，在國家層面設立總信息監管機構，省市分別設立下級機構，以實現垂直、統一監管。在權限層面，信息監管機構的權限主要包括人臉識別信息應用企業的許可與認證、合規檢查與監督、依據相關法律程序進行搜查扣押，并根據調查結果行使行政處罰權，還可以制定相應的相關技術標準來為人臉識別信息應用企業提供確定性指引，最終實現對企業的有效監管。此外，鑒于人臉識別技術的應用監管涉及專業技術知識，專業監管機構可以通過引入或者聘請具備專業技能知識的專家進行專業化監管。另一方面，從事前著手，建立個人信息保護監測平臺，優化風險預警機制，以提高監管部門的預先研判能力。基于人臉識別技術應用產生的損害不可逆，如果僅依靠事后監管措施，則很難達到監管目的，而個人信息保護監測平臺內的技術算法設置若能夠對人臉數據信息的收集、存儲和使用等情況進行風險防控與預警。當預警機制發現風險環節及風險節點時，平臺能迅速作出風險提示，并及時切斷數據遷移和設備接入，降低人臉信息安全風險。

（三）暢通人臉識別技術下個人信息權益的司法救濟渠道

當人臉識別技術應用個人信息保護的案件進入司法救濟程序時，為了實現對公民個人信息的保護，應暢通相應的司法救濟渠道。一方面，需要明確侵權責任的承擔主體。鑒于人臉識別技術的應用涉及系統運營商、開發商、使用者等多方主體，應首先厘清人臉信息數據在不同流轉環節相關主體的權利及義務，并依據數據的不同狀態來設定責任主體。例如，若由人臉識別系統硬件問題引發侵權責任，則此時的侵權主體為系統的開發商與運營商；若人臉識別系統的管理、運營問題引發侵權責任，則侵權責任主體為運營商，然后運用過錯責任原則進行下一步論證；若人臉識別系統服務缺陷引發侵權責任，可以參照系統運營問題來確定侵權責任主體^[10]。另一方面，在侵權損害認定方面，潛在風險造成的損失如何確定目前尚未定論，但毋庸置疑的是，隨著信息時代的到來，潛在風險損害將會更加突出，甚至會成為普遍性問題。因此，可以探索性地設立潛在風險損害賠償制度，具體個案具體分析，若在案件中確實存在實質性、客觀性和迫切性的風險損害，則可以認定其符合損害賠償標準。除此之外，進行人臉識別侵權損害認定時，必須是與人臉識別系統直接相關的財產和人身傷害，相關行為目的、方式與后果應具有同質性，最終實現對受害人的救濟。

四、結語

人臉識別技術的廣泛應用在給人們的生活帶來諸多便利的同時，該領域規制的空白也影響了個人信息的保護，一定程度上制約了人臉識別技術的發展。因此，應結合其在實踐領域存在的問題，從構建動態的知情同意模式，設置專門的個人信息監管機構，建立個人信息保護監測平臺，優化風險預警機制，明確侵權責任的承擔主體及損害認定標準等來實現對人臉識別技術中個人信息的保護。但仍需注意的是，人臉識別技術屬于技術范疇，對其管控主要取決于當前對該技術應用的安全風險及控制能力的判斷，因此對人臉識別技術的管控將處于不斷變化中，對人臉識別技術應用中個人信息的保護也將處于不斷發展中。

參考文獻：

[1]張勇.個人生物信息安全的法律保護：以人臉識別為例[J].江西社會科學，2021，41（05）：157-168，255-256.

[2]閆夏秋.人臉識別支付的法律風險與治理路徑[J].海南金融，2022（07）：72-78.

[3]徐祥運，刁雯.人臉識別技術的社會風險隱患及其協同治理[J].學術交流，2022（01）：126-139.

[4]石佳友.人臉識別治理的國際經驗與中國模式[J].人民論壇，2022（04）：48-53.

[5]倪楠，王敏.人臉識別技術中個人信息保護的法律規制[J].人文雜志，2022（02）：121-131.

[6]洪丹娜，林李童欣.人臉識別信息收集與使用過程中知情同意原則的修正[J].華南理工大學學報（社會科學版），2022，24（03）：65-73.

[7]于洋.論個人生物識別信息應用風險的監管構造[J].行政法學研究，2021（06）：101-114.

[8]劉軍平，楊芷晴.人臉識別數據保護困境及其法律應對[J].科技與法律（中英文），2021（06）：18-28.

[9]湯建華.人臉識別技術不合理擴散的倫理風險與法律規制：論動態同意規制模式的建構[J].新疆社會科學，2022（03）：135-144，180.

[10]張華韜.我國人臉識別侵權責任制度的解釋論[J].社會科學家，2021（07）：97-103.