王 勇 黃中鈺

（大連大學(xué)，遼寧 大連 116622）

一、人臉識別技術(shù)的概念

人臉識別技術(shù)是以人工智能算法為支撐，采用大數(shù)據(jù)分析的手段，將給定的面部圖像與現(xiàn)有圖像數(shù)據(jù)庫中的面部圖像進(jìn)行比對，從而將已知圖像和場景中的人的身份精確匹配的一項(xiàng)技術(shù)。人臉識別技術(shù)作為一種先進(jìn)的生物特征識別技術(shù)，因人體面部的虹膜、容貌等特征具有不可復(fù)制性、穩(wěn)定性，基本沒有丟失、被竊或者被遺忘的可能，所以具有較強(qiáng)的安全性和準(zhǔn)確性。［1］人臉識別技術(shù)的基本原理是通過檢測、對應(yīng)、編碼、匹配四個環(huán)節(jié)來完成識別的。

二、濫用人臉識別技術(shù)實(shí)例及原因分析

（一）人臉識別技術(shù)被濫用實(shí)例

2020年，國內(nèi)“人臉識別第一案”——“郭某訴野生動物世界服務(wù)合同糾紛案”中，郭某夫婦向野生動物世界購買雙人年卡，留存了相關(guān)的個人身份信息、錄入了指紋信息，并拍攝了面部照片。此后，野生動物世界要求將原本的指紋識別變更為面部識別，并且要求郭某夫婦到場進(jìn)行人臉激活，由此引發(fā)了糾紛。

一審法院經(jīng)審理，依照《消費(fèi)者權(quán)益保護(hù)法》第二十九條的規(guī)定，判令野生動物世界賠償郭某合同利益損失及交通費(fèi)共計1038元；刪除郭某辦理指紋年卡時提交的包括照片在內(nèi)的面部特征信息；駁回郭某要求確認(rèn)店堂告示、短信通知中相關(guān)內(nèi)容無效等其他訴訟請求。郭某與野生動物世界均表示不服，分別向中級人民法院提起上訴。二審法院經(jīng)審理，在原判決的基礎(chǔ)上，增判野生動物世界刪除郭某辦理指紋年卡時提交的指紋識別信息。

野生動物世界欲利用收集的照片擴(kuò)大信息處理范圍，超出了其收集信息后所追求的原本的目的范圍，這種行為暗藏著對當(dāng)事人的人格權(quán)的侵犯可能。然而作為侵權(quán)人，野生動物世界僅僅只被判處刪除面部特征信息和指紋信息，賠償1000元左右的損失，并無停業(yè)整改等懲罰措施，違法成本之低可見一斑。

在日常生活中，由于人臉識別技術(shù)相對較為新穎，公眾對于其獲取自身信息數(shù)據(jù)的后果了解相對匱乏，加之目前人臉識別技術(shù)應(yīng)用領(lǐng)域廣，與日常生活息息相關(guān)，諸如小區(qū)門禁、公司考勤等都會進(jìn)行人臉識別，公民對人臉識別的警惕性低，進(jìn)而導(dǎo)致公眾的面部信息保護(hù)意識薄弱，就算被不法分子獲取了自身面部數(shù)據(jù)，也難以意識到自己可能遭受到了權(quán)利的侵害。

（二）人臉識別技術(shù)被濫用的原因

面部識別信息作為敏感的個人信息，深度體現(xiàn)了自然人的生理特征，作為一種獨(dú)特的生物性標(biāo)志，具備較強(qiáng)的人格屬性，是十分重要的個人信息。人臉面部信息與資產(chǎn)、人身安全、個人關(guān)系網(wǎng)等方面都存在著密切聯(lián)系。

人臉識別技術(shù)的濫用原因一般包括：面部信息本身隱私性不強(qiáng)，基本屬于暴露狀態(tài)，容易被各種設(shè)備截?。蝗狈︶槍M(jìn)行人臉識別后所取得的數(shù)據(jù)的存儲以及運(yùn)用的法律規(guī)范，以及相應(yīng)的違法懲罰，不法分子違法成本低廉；公民缺乏個人信息保護(hù)意識，輕視人臉面部數(shù)據(jù)作為具有唯一性的生物識別特征的重要性，對個人信息的安全不夠重視。［2］

三、應(yīng)用人臉識別技術(shù)存在的法律問題

（一）我國法律規(guī)定零散，涵蓋內(nèi)容不足

我國對人臉識別技術(shù)的應(yīng)用并未設(shè)置專項(xiàng)法律規(guī)范，針對個人信息和數(shù)據(jù)安全的法律并不健全。《民法典》《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》《刑法》等法律對人臉識別技術(shù)的應(yīng)用有一定的規(guī)制作用，但涵蓋內(nèi)容并不充足。

1.沒有設(shè)置成為信息處理者的具體標(biāo)準(zhǔn)

《民法典》第一千零三十五條和一千零三十八條規(guī)定了個人信息處理的相關(guān)的原則和條件，但其中作為行為主體的信息處理者的主體資格卻沒有明確規(guī)定，沒有設(shè)置成為個人信息處理者所需要通過的標(biāo)準(zhǔn)和門檻，人人都可能成為公民個人信息的收集者、傳播者，容易導(dǎo)致公民的信息安全受到威脅，極易被濫用。

2.信息被收集者的同意認(rèn)定不明確

《網(wǎng)絡(luò)安全法》第四十一條規(guī)定，信息收集者收集信息需經(jīng)被收集者同意。但目前，對于經(jīng)被收集者同意并非被收集者主動作出。一是在網(wǎng)上APP的下載使用中，很多都存在著“同意協(xié)議才可使用”的情況，而協(xié)議里面又需要公民同意企業(yè)對個人信息進(jìn)行收集，公民想使用該APP，就必須要同意協(xié)議，這實(shí)際是一種變相的強(qiáng)迫同意。二是存在著如線下刷臉支付之類的情況下，被收集者因使用這些功能，在未被提示進(jìn)行同意的不知情的情況下，而作出同意的情況。法律對被收集者的同意應(yīng)該有明確規(guī)定，比如應(yīng)規(guī)定被收集者作出的同意應(yīng)是主觀的、非強(qiáng)迫的；以及收集者運(yùn)用合法手段對公民進(jìn)行信息收集，需要征求被收集者同意時，不應(yīng)具有暗示性、引導(dǎo)性。

3.未明確規(guī)定公權(quán)力機(jī)構(gòu)的信息收集權(quán)力范圍

我國目前重點(diǎn)限制企業(yè)采集個人信息，但對公權(quán)力收集個人信息的限制相對比較薄弱，公權(quán)力機(jī)構(gòu)在具體應(yīng)用人臉識別技術(shù)時，應(yīng)當(dāng)注意保證“法無規(guī)定不可為”。［3］對公權(quán)力在人臉識別技術(shù)方面的應(yīng)用，法律應(yīng)該規(guī)定公權(quán)力應(yīng)用的范圍和權(quán)限，讓公權(quán)力機(jī)構(gòu)在法律規(guī)定的范圍內(nèi)行使權(quán)力。

（二）監(jiān)管缺失，信息強(qiáng)制采集和濫用行為缺乏規(guī)制

目前我國對個人信息收集、使用行為的監(jiān)管主體是公安機(jī)關(guān)，而由于我國法律尚未出臺《個人信息安全法》《數(shù)據(jù)保護(hù)法》等具體法律，公安機(jī)關(guān)在監(jiān)管時沒有具體的法條可以依照，導(dǎo)致其往往難以確定信息收集者和使用者的人臉識別技術(shù)的應(yīng)用是否違規(guī)，從而出現(xiàn)監(jiān)管缺失的情況。

公民以交換個人信息為代價，用以獲取其他企業(yè)機(jī)構(gòu)的服務(wù)，導(dǎo)致公民的信息被隨意地采集，這種現(xiàn)象的出現(xiàn)是因?yàn)槲覈鴮τ谛畔⑹占]有設(shè)置相應(yīng)的門檻要求，許多部門、機(jī)構(gòu)和公司對公民信息的采集都普遍帶有某種目的性。且因?yàn)槿狈κ袌黾s束和法律監(jiān)管，企業(yè)強(qiáng)制采集用戶信息已成為常態(tài)。大多數(shù)軟件采取用戶不同意采集則被禁止享有App服務(wù)。除此之外，灰色信息數(shù)據(jù)產(chǎn)業(yè)鏈也存在于法律陰影之下，個人面部信息常常被用于實(shí)施不法行為，濫用情況叢生。

目前法律對面部信息濫用問題的規(guī)制尚不完善，我國缺少對于個人面部信息收集者和數(shù)據(jù)控制者的合法性審查，導(dǎo)致從人臉識別技術(shù)的提供端就開始出現(xiàn)不合規(guī)的情況，企業(yè)生產(chǎn)的人臉識別產(chǎn)品質(zhì)量好壞不一，因系統(tǒng)的缺陷和安全漏洞造成個人面部特征數(shù)據(jù)外泄的情況也常常發(fā)生。［4］法律應(yīng)當(dāng)劃定一條監(jiān)督管理的責(zé)任底線，監(jiān)管該領(lǐng)域的部門要肩負(fù)管理和整治責(zé)任，在該底線的基礎(chǔ)上推動企業(yè)自覺遵守應(yīng)用規(guī)則，進(jìn)行自我規(guī)范。

（三）對個人信息主體的基本權(quán)利缺乏重視

人臉識別技術(shù)應(yīng)用的法律規(guī)制必須以充分保障個人信息主體的基本權(quán)利為前提，保障個人主體具有充分的知情權(quán)、同意權(quán)等權(quán)利。具體而言，在收集人臉信息時，應(yīng)有相應(yīng)法律規(guī)定需要充分告知個人主體信息采集需求并征得其同意；采集完成后，如何存儲、使用也應(yīng)當(dāng)有必要的法律限制。

而目前我國法律在人臉識別技術(shù)領(lǐng)域明顯缺乏具體法律規(guī)范，雖有部分規(guī)定體現(xiàn)出對公民的具體人格權(quán)的保障意識，但是對于一些侵犯到公民人格權(quán)的行為的人臉識別情況卻沒有規(guī)定相應(yīng)的懲罰，導(dǎo)致公民的人格權(quán)在人臉識別技術(shù)應(yīng)用領(lǐng)域中看似被法律庇護(hù)著，事實(shí)卻是缺乏實(shí)質(zhì)上的保護(hù)，體現(xiàn)出了目前法律對該技術(shù)領(lǐng)域下的公民人格權(quán)保護(hù)較低的重視程度。

四、關(guān)于人臉識別技術(shù)的法律規(guī)制建議

（一）完善立法，明確主體責(zé)任標(biāo)準(zhǔn)，設(shè)置強(qiáng)制性法律義務(wù)

現(xiàn)階段我國對人臉識別技術(shù)應(yīng)用的立法尚未完善，目前僅有《民法典》《網(wǎng)絡(luò)安全法》等有零星的法律規(guī)定?，F(xiàn)行的《個人信息保護(hù)法》和《數(shù)據(jù)安全法》僅同樣原則性地規(guī)定了“推進(jìn)針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術(shù)、新應(yīng)用，制定專門的個人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)”。以上立法并未形成專門體系，缺少可操作性。我們應(yīng)當(dāng)整合并細(xì)化相關(guān)立法，借鑒歐盟的《通用數(shù)據(jù)保護(hù)法規(guī)》的人本化立法，明確保護(hù)公民的個人信息安全，規(guī)定公民個人信息的收集使用的范圍，同時規(guī)定禁止技術(shù)應(yīng)用的黑色領(lǐng)域、不可以應(yīng)用技術(shù)的具體情形、進(jìn)行監(jiān)督管理的部門以及部門職責(zé)措施、違反法規(guī)的懲罰措施等，從而加強(qiáng)對人臉識別技術(shù)領(lǐng)域的規(guī)制力度。

目前地下灰色數(shù)據(jù)交易鏈暗潮涌動，對我國信息安全有著重大隱患，故需設(shè)置人臉識別應(yīng)用標(biāo)準(zhǔn)以及人臉識別技術(shù)市場準(zhǔn)入標(biāo)準(zhǔn)，明確違法懲罰，增加技術(shù)濫用后的違法成本。由于法律的不完善性，主體責(zé)任難以確認(rèn)，鑒于人臉識別信息作為生物信息特征具有唯一性的特點(diǎn)，法律應(yīng)當(dāng)對數(shù)據(jù)控制者施加強(qiáng)制的收集、使用、存儲以及銷毀方面的強(qiáng)制性法定義務(wù)，以保障數(shù)據(jù)安全。在當(dāng)公共執(zhí)法機(jī)構(gòu)基于公權(quán)力強(qiáng)制審查相關(guān)內(nèi)容，則此種不區(qū)分特定場景和合理事由，沒有限制地向第三方公開個人面部信息的做法，會被迫強(qiáng)制數(shù)據(jù)控制者披露信息。故此，應(yīng)確定數(shù)據(jù)控制者披露信息的法律義務(wù)，規(guī)定除數(shù)據(jù)主體同意外，數(shù)據(jù)控制者只有存在政府或司法機(jī)關(guān)強(qiáng)制命令之時，才可向執(zhí)法部門公開披露人臉識別信息。

（二）厘清人臉識別技術(shù)應(yīng)用邊界，推動監(jiān)管完善

1.明確技術(shù)應(yīng)用范圍

在我國，對于該項(xiàng)技術(shù)而言，法律并沒有明確技術(shù)應(yīng)用的范圍。目前因沒有明確技術(shù)應(yīng)用范圍而難以決斷的情況有：該技術(shù)是否能被私人應(yīng)用于獲取他人的面部特征信息，例如私人企業(yè)通過人臉識別技術(shù)手段，收集入訪者的面部信息的合法性；該技術(shù)是否能被應(yīng)用獲取面部信息進(jìn)行交易獲利，例如應(yīng)用該技術(shù)獲取公眾人物面部照片用于轉(zhuǎn)賣的應(yīng)用行為。

立法應(yīng)當(dāng)明確以保護(hù)公民個人信息權(quán)利為前提，符合市場和科技形勢，合理合法的技術(shù)應(yīng)用范圍，堅持特定范圍內(nèi)的“合法、必要、正當(dāng)”原則，從而可以避免公私隨意采集、使用、出售個人信息，保障公眾信息安全。［5］

2.明確信息收集權(quán)利的機(jī)構(gòu)部門

我國應(yīng)當(dāng)明確規(guī)定有權(quán)力收集公民個人信息的部門機(jī)構(gòu)。未來法律應(yīng)當(dāng)明確規(guī)定工信部門和公安機(jī)關(guān)可以進(jìn)行公民個人信息的收集，原因在于：工信部門是維護(hù)我國信息安全的重要部門，而公安機(jī)關(guān)是維護(hù)我國社會治安的重要部門，工信部門和公安機(jī)關(guān)收集公民信息，都能對公民個人信息的安全提供有效保障，降低信息泄露的可能性；賦權(quán)給工信部門后，有利于促進(jìn)其出臺有關(guān)采集、使用和處理公民生物信息特征的規(guī)則和標(biāo)準(zhǔn)；賦權(quán)給公安部門收集公民信息，可以使獲知違法犯罪人員的較為具體的情況，有利于其抓捕罪犯，打擊違法犯罪行為，維護(hù)社會治安秩序。為了不使部門權(quán)力膨脹，可以借鑒美國華盛頓州的《人臉識別專門法案》，使用技術(shù)收集公民個人信息時，向司法部門進(jìn)行報備，從而達(dá)到限制權(quán)力的目的。

明確技術(shù)應(yīng)用范圍和信息收集部門機(jī)構(gòu)，對于監(jiān)督主體來說，有利于強(qiáng)化監(jiān)察力度，明確監(jiān)管范圍，避免出現(xiàn)難以判斷技術(shù)應(yīng)用是否違規(guī)的情況。除此之外，有利于統(tǒng)籌監(jiān)管數(shù)據(jù)庫，加強(qiáng)監(jiān)管保護(hù)和加固技術(shù)措施的維護(hù)，避免企業(yè)或其他部門濫用職權(quán)，從而可以降低不必要的危險因素。

（三）尊重個人信息主體權(quán)利，堅持“合法、正當(dāng)、必要”原則

對于公民的人臉信息數(shù)據(jù)的收集、控制者，需要在一定范圍內(nèi)為其運(yùn)用該數(shù)據(jù)的權(quán)利進(jìn)行限制，以保障個人信息主體的權(quán)利不受侵害。數(shù)據(jù)收集、控制者在必要收集個人面部數(shù)據(jù)的情況下，原則上不得對不相關(guān)人士或其他方面披露；且應(yīng)賦予個人信息主體一系列數(shù)據(jù)權(quán)利，例如獲取人臉識別技術(shù)使用目的的知情權(quán)，將其人臉信息收納在人臉識別數(shù)據(jù)庫中的同意權(quán)等。在條件允許的情況下，需要取得用戶的面部識別信息時，應(yīng)當(dāng)及時征求個人同意，可以借鑒歐盟“GDPR”法案中“自由給予、明確、具體、不含混”的要求，明確主體的同意性質(zhì)，對非自愿情況下的被動同意表示應(yīng)不認(rèn)為是實(shí)質(zhì)同意。人臉?biāo)N(yùn)含信息具有較高的安全風(fēng)險，而且潛在存有更為廣泛的數(shù)據(jù)信息內(nèi)容。所以，在應(yīng)用人臉識別技術(shù)，采集個人面部信息時，應(yīng)當(dāng)謹(jǐn)慎評估其采集、應(yīng)用的行為，認(rèn)定有無必要情況，堅持“合法、有序、正當(dāng)、必要”的原則。