■翁齊銘，寇晨雪

（福建師范大學法學院，福建 福州 350000）

一、人臉識別技術的問題梳理

（一）技術漏洞難以克服

首先，即使我國人臉識別技術已經(jīng)歷經(jīng)若干階段的算法更替與技術改進，也仍然存在著一些技術漏洞。目前，市場上的人臉識別技術有多種類型，主要分為2D人臉識別和3D人臉識別。其中，2D人臉識別的攝像頭設備及后端算法等相關配套設施的成本較低，以致技術精確度也隨之降低且更容易被破解。某些廠商為了降低成本便會采用這種比較落后的設備，個人權益可能會因此受到侵害。但即便是3D人臉識別這種更為先進的技術，其精確度也會受到光線、攝像機性能、算法等因素的影響，因此，在現(xiàn)有技術的背景下是無法避免錯誤產(chǎn)生的。這種風險是致命的：比如，人臉識別技術所采集的人臉信息會因數(shù)據(jù)主體的不同，如性別或者膚色而存在差異，這種偏見和歧視分為故意性與非故意性，后者是技術漏洞的結果；又如，數(shù)據(jù)控制者（能單獨或聯(lián)合決定個人數(shù)據(jù)的處理目的和方式的自然人、法人、公共機構、代理機構或者其他組織[1]）和數(shù)據(jù)處理者（為數(shù)據(jù)控制者處理個人數(shù)據(jù)的自然人、法人、公共機構、代理機構或者其他組織[1]）將人臉信息儲存在內部建立的數(shù)據(jù)庫系統(tǒng)，而技術漏洞的存在卻又使其無法抵御黑客攻擊，由此數(shù)據(jù)庫信息泄露的案件也就變得屢見不鮮。因此，如何兼顧技術性方法與非技術性方法，降低人臉識別技術產(chǎn)生錯誤的可能性以及建立錯誤結果發(fā)生后的風險應對機制，是目前規(guī)制人臉識別技術要解決的一大難題。

（二）準入門檻長期缺位

其次，我國尚未對使用人臉識別技術設立準入門檻。因此，在不需要復雜的技術設備，只需要基礎的硬件設施、相關算法和數(shù)據(jù)庫，即可輕易獲取并使用人臉識別技術的情況下，市場上的濫用現(xiàn)象將會極其普遍。此前，杭州動物園“中國人臉識別第一案”引發(fā)了諸多爭議，像動物園這類娛樂場所強制采集人臉信息并將其作為唯一的入園驗證方式的做法，其必要性有待商榷。并且，在信息安全管理“誰收集、誰負責”的歸責制度下，這類主體保障客戶信息安全的能力令人質疑。除此之外，“ZAO”APP娛樂換臉引爭議案、杭州課堂安裝人臉識別技術監(jiān)控事件等所涉領域也引人深思，人臉識別技術帶來的安全隱患成為社會輿論的焦點。雖然我國《民法典》特別增加了個人信息保護立法，但仍然不夠具體、明確，像第1035條所述“合法、正當、必要”充其量只是一項原則性規(guī)定，在個案中判斷某一領域的使用是否合規(guī)，更多地取決于法官的自由裁量權，這對于規(guī)范人臉識別技術市場是相當不利的。

（三）信息處理不合規(guī)范

再次，我國人臉識別技術行業(yè)存在著大量信息處理不合規(guī)范的問題，這涉及多個階段：采集、存儲、處理、使用、流轉以及銷毀等等。采集過程主要存在三個問題：一是非法采集，由于人臉識別技術具有非接觸性的特點，當數(shù)據(jù)主體出入某些公共場合時，其人臉信息即可被攝像機捕捉。當這類信息的采集是為了對數(shù)據(jù)主體進行分析形成用戶畫像，以此達到商業(yè)目的時，就是對數(shù)據(jù)主體知情同意權的侵犯；二是強迫采集，“強制授權”成為了隱私政策的內核，如何解決“同意即可進入、不同意就無法使用”的問題是關鍵所在；三是過度采集，事實上，即使數(shù)據(jù)主體認真閱讀了隱私政策并且“不被強迫地”同意，也不能充分保障其合法權益。在某些隱私政策中，根本沒有載明人臉信息的使用目的和處理方式，由此被采集的人臉信息是否與提供的商品或者服務相關也無法進行判斷，過度采集的現(xiàn)象也就無可避免了。其他過程主要是不當泄露與非法提供的問題，這些則需要通過人工審查與測試、對人員進行定期培訓等方法來解決。

（四）救濟渠道過于狹窄

又次，我國人臉識別技術行業(yè)同樣也存在著事后救濟的困難。目前，我國主要是依靠行政約談的方式對人臉識別技術進行監(jiān)督，而這種方式只能要求相關企業(yè)自行開展整改，并不會在實際層面上對其實施懲處。在訴訟途徑下，由于人臉識別技術的復雜性與隱蔽性，當數(shù)據(jù)主體的合法權益受到侵害時，通常會有舉證困難、審理困難等問題。另外，我國也并未明確規(guī)定人臉識別技術所涉具體問題，導致執(zhí)法人員在實踐中遇到相關問題時無法可依，最終只能依據(jù)隱私權、財產(chǎn)權等規(guī)定進行裁量。

（五）法律規(guī)制亟待完善

最后，人臉識別技術屬于新興技術產(chǎn)業(yè)，目前我國對此的知識儲備不足，因此仍未著手完善規(guī)制，以致法律體系散亂，并且保護力度較低，大多只是提供了原則性的治理框架，尚無具體的治理機制。具體而言，針對人臉識別技術的法律法規(guī)僅有涉及公共安全領域的《公共安全人臉識別應用圖像技術要求》以及金融領域的《人臉識別線下支付行業(yè)自律公約（試行）》。其他相關的法律法規(guī)主要是《民法典》關于個人信息法律保護的概括性、原則性的規(guī)定；《消費者權益保護法》關于消費者對個人信息享有的同意權、知情權等權利；《網(wǎng)絡安全法》關于網(wǎng)絡運營者收集、使用個人信息等規(guī)范；《刑法修正案九》規(guī)定的“侵犯公民個人信息罪”以及“拒不履行信息網(wǎng)絡安全管理義務罪”?？梢园l(fā)現(xiàn)，我國現(xiàn)行法律法規(guī)主要針對的是個人信息的總體保護，并不區(qū)分一般信息與敏感信息，而從目前各國的立法體例來看，敏感信息的保護程度普遍高于一般信息的保護程度。我國應當對此作出合理回應，順應全球趨勢，對人臉信息這類的敏感信息采取特殊保護措施。此外，我國立法也未涉及人臉識別技術使用產(chǎn)生的安全責任等問題。

二、人臉識別技術的國外立法

專門針對人臉信息進行立法的國家在少數(shù)，大多都尋求了個人信息保護法中敏感信息一類的規(guī)制保護，而其中最具代表性的無疑就是歐盟模式和美國模式。從立法模式上看，歐盟采取了集中立法的模式，但也賦予了“成員國保留”的權利，即成員國將直接適用歐盟《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，簡稱GDPR），但同時也能對部分條款進行修改或者作出進一步規(guī)定；美國則采取了分散立法的模式，即聯(lián)邦政府對此不作出統(tǒng)一規(guī)定，而是賦予各州較大的自主決定權以“獨立立法”。從法理基礎上看，歐盟立法對個人信息的屬性采用基本權利說，主張個人信息是一項獨立權利、應進行獨立保護；美國立法則是基于傳統(tǒng)的隱私權理論，引入“信息隱私”的概念，將個人信息納入隱私權保護的框架之下。從價值取向上看，歐盟的主體規(guī)制不以公共領域與非公共領域為標準，而是將其直接劃分為數(shù)據(jù)主體、數(shù)據(jù)控制者和數(shù)據(jù)處理者進行統(tǒng)一規(guī)范，例外地提出“公共利益保留”；美國的自由主義傳統(tǒng)強調政治自由、經(jīng)濟自由與個人自由，在立法體例下，私權利處于核心地位，因其獨特的價值背景，美國對個人信息的立法傾向于對公共領域的限制，對于非公共領域則是排除立法干涉，更多地依靠行業(yè)自律和市場機制進行調整。

（一）歐盟模式

《通用數(shù)據(jù)保護條例》是歐盟模式下處于主導地位的個人信息保護法，自2018年5月25日正式生效以來，其影響早已不再局限于歐盟內部，而是在全球范圍內掀起了一場個人信息的立法革命。

該條例第4（14）條對“生物特征數(shù)據(jù)”作出界定，明確指出了“人臉圖像”屬于生物特征數(shù)據(jù)的范疇。第9條進一步規(guī)定，與人臉圖像相關的生物特征數(shù)據(jù)屬于特殊類型個人數(shù)據(jù)，該類型的數(shù)據(jù)處理原則上應當被禁止，但也規(guī)定了十種例外情形，如個人作出明確同意或者為了重大公共利益等。盡管立法沒有明確，但可以推定在符合上述例外情形時也應當遵循一般類型個人數(shù)據(jù)的處理標準，甚至更為嚴苛，即按照GDPR的框架線索，以“合法、公平和透明（lawfulness,fairness and transparency）”“目的限制（purpose limitation）”“數(shù)據(jù)最小化（data minimization）”“準確（accuracy）”“存儲限制（storage limitation）”“完整和保密（integrityand confidentiality）”等基本原則為核心主線，建立起數(shù)據(jù)主體、數(shù)據(jù)控制者和數(shù)據(jù)處理者的權利義務體系。

（二）美國模式

美國模式下最具典型意義的是伊利諾伊州頒布的《生物識別信息隱私法案》（Illinois Biometric Information PrivacyAct，簡稱BIPA）。該法案提出了“生物標識符”概念，指明其包含了“面部特征的掃描”。相較于歐盟模式，BIPA規(guī)制的范圍并不在于能否使用生物識別數(shù)據(jù)，而在于使用生物數(shù)據(jù)的方式[2]，如告知與授權義務、保管與銷毀義務等。

除此以外，基于種族歧視、監(jiān)視常態(tài)化以及言論自由等原因，美國多地限制甚至禁止使用人臉識別技術的呼聲較高。2019年5月14日，舊金山市創(chuàng)設了全球范圍內的首例禁令，率先宣布全市包括警方在內的多個市政機構禁止使用人臉識別技術。此后，薩默維爾、奧克蘭以及波士頓等城市也紛紛發(fā)布了關于人臉識別技術的禁令。2020年9月9日，波特蘭市通過第一個禁止私營部門使用人臉識別技術的禁令，其明令禁止政府部門以及商店、旅館等主體使用人臉識別技術。另外，其他各州政府也在尋求對人臉識別技術的專門立法保護，如華盛頓州、加利福利亞州等。但總體而言，美國絕大多數(shù)州和地方政府都將其禁令或法案的適用范圍限定在公共機構這一主體上。

三、人臉識別技術的規(guī)制建議

（一）立法導向

一方面，應當對采集處理的人臉信息進行定性。一般認為，人臉信息屬于敏感信息，宜采用一般禁止式的保護模式，即只有在某些例外情形下，法律才能允許數(shù)據(jù)控制者和數(shù)據(jù)處理者對其采集和處理。這些例外情形必須經(jīng)過法律確認，除了《民法典》第1037條規(guī)定的“經(jīng)過數(shù)據(jù)主體的明示同意”“處理已經(jīng)合法公開的信息”以及“維護公共利益或者數(shù)據(jù)主體的合法權益”以外，還應當包括“實現(xiàn)相關主體行使權利、履行合同義務與法定義務的必要”。應當注意的是，在符合三、四兩類情形時，還需要對其進行利益衡量，使處理信息的所得利益具有明顯的優(yōu)先性。

另一方面，應當對相關主體的權利義務進行界定。第一，數(shù)據(jù)主體享有同意權。由于人臉信息具有可識別性，涉及數(shù)據(jù)主體的切身利益，因此認定構成同意的標準應當進行嚴苛的限制，即必須明示同意，默示同意不產(chǎn)生法律效力。另外，數(shù)據(jù)主體有權對其作出的同意予以撤回。第二，數(shù)據(jù)主體享有知情權。其核心內涵是確保數(shù)據(jù)主體能夠及時、準確地獲取信息，這種信息包括數(shù)據(jù)控制者應當提供的信息以及數(shù)據(jù)主體主動要求其提供的信息。第三，數(shù)據(jù)主體享有糾正權和刪除權。即數(shù)據(jù)主體有權要求數(shù)據(jù)控制者立即糾正不準確的人臉信息，如果對其所采集和處理的人臉信息缺乏合法基礎或者已經(jīng)達成目的，數(shù)據(jù)主體亦有權要求其立即刪除。最后，數(shù)據(jù)控制者的義務與數(shù)據(jù)主體的權利呈現(xiàn)對應關系，而數(shù)據(jù)處理者僅在與數(shù)據(jù)控制者訂立的合同范圍內承擔責任。

（二）事前評估

一是風險評估?；趯ι衔目陀^存在的技術漏洞的考量，建立第三方評估機構尤為必要。任何主體包括公權力機關在進入人臉識別技術市場前，都需要通過該機構的評估環(huán)節(jié)。評估內容可以分為技術評估與非技術評估。具體而言，技術評估包括其采用的人臉識別技術是否符合透明性、穩(wěn)定性、準確性、安全性、非歧視性等要求；非技術評估包括其內部的管理機制、責任機制、預防與應對風險機制等制度是否完善。符合評估標準的，予以準入；不符合評估標準的，要求糾正；糾正后仍不符合的，不予準入。另外，在第三方評估機構的運行相對成熟且資金較為充足時，可以考慮將評估手段擴展到事中與事后，保證技術使用全周期的穩(wěn)健性與可靠性。

二是場景評估。應當明確的是，不是所有主體都有使用人臉識別技術的資格，設置準入門檻同樣極為重要。一般來說，相較于公共領域，商業(yè)領域的限制應當更為嚴苛。原因在于，不同于美國的社會背景，我國公民對公權力機關的信任感與依賴度普遍較高，因此后者在執(zhí)法過程中對人臉識別技術的使用也通常會被允許。并且，公權力機關的職責如預防、制止和偵查違法犯罪活動也需要依靠人臉識別技術來實現(xiàn)。另外，譬如學校、公共交通等領域，考慮到其所涉的公共利益，也應當被授權許可。與之相反的是，私營企業(yè)將會因其缺乏公益性而被排除在外，只有當人臉識別技術是在該企業(yè)經(jīng)營必要的業(yè)務范圍之內時，其使用才會被法律認可。然而，即便某些企業(yè)獲得了準入資格，在上述風險評估環(huán)節(jié)也會被采取更加嚴格的標準，因此最終能夠進入人臉識別技術市場的企業(yè)不會占多數(shù)。

（三）事中審計

報告制度是對人臉識別技術的使用進行審計的核心內容，審計主體是獨立于政府的第三方監(jiān)管機構，需要審計的報告類型分為定期報告與臨時報告。一是定期報告，根據(jù)時間的跨度，又可將其分為年度報告、中期報告與季度報告。報告內容主要是數(shù)據(jù)控制者在某一時間段內使用人臉識別技術的情況，包括但不限于評估階段未發(fā)現(xiàn)的技術漏洞、使用過程中發(fā)生的操作不當、人臉信息泄露事件以及侵犯數(shù)據(jù)主體權利的訴訟案件等。二是臨時報告，這種報告通常應用于緊急情況，即數(shù)據(jù)控制者在知道人臉信息泄露后應當及時報告給監(jiān)管機構，GDPR對此規(guī)定的時間是72小時以內。報告內容包括但不限于信息泄露可能導致的后果、數(shù)據(jù)控制者已經(jīng)采取的措施等。如果信息泄露是由數(shù)據(jù)處理者引起的，那么數(shù)據(jù)處理者也負有向數(shù)據(jù)控制者報告的義務，數(shù)據(jù)控制者在接到通知后應當立即轉報給監(jiān)管機構。

（四）事后救濟

第一，拓寬救濟途徑。數(shù)據(jù)主體可以向監(jiān)管機構提起申訴，對監(jiān)管機構作出的決定不服的，可以向人民法院提起行政訴訟；數(shù)據(jù)主體也可以直接以數(shù)據(jù)控制者和數(shù)據(jù)處理者為被告，向人民法院提起訴訟。第二，完善審理機制。加快建立互聯(lián)網(wǎng)糾紛集中審理機制，解決數(shù)據(jù)主體舉證困難、審理困難等問題，提高糾紛處理的高效性與專業(yè)性。第三，加大懲處力度。數(shù)據(jù)控制者和數(shù)據(jù)處理者侵犯數(shù)據(jù)主體權利或者泄露數(shù)據(jù)主體信息給數(shù)據(jù)主體造成損失的，除了應當承擔停止侵害、賠禮道歉等非財產(chǎn)責任以外，還需要對數(shù)據(jù)主體承擔損害賠償責任。這種損害可以分為直接損害和間接損害。前者是對數(shù)據(jù)主體造成的實際財產(chǎn)損害，若實際財產(chǎn)損害無法確定，則應當向數(shù)據(jù)主體支付法定數(shù)額的損害賠償金；另一種是間接損害，比如數(shù)據(jù)主體的維權費用。

四、結語

在衡量人臉識別技術為社會帶來利益的同時，也不能忽視其存在的風險。技術漏洞難以克服、準入門檻長期缺位、信息處理不合規(guī)范、救濟渠道過于狹窄、法律規(guī)制亟需完善等問題無疑阻礙了技術的進步。通過比較借鑒歐美立法，結合我國國情特點，為我國人臉識別技術的法律規(guī)制提出行之有效的治理建議。以立法導向為核心，完善事前評估、事中審計與事后救濟制度，以期促進人臉識別技術的健康發(fā)展。