劉為軍

近年來，中國(guó)將以人臉識(shí)別技術(shù)為代表的高新技術(shù)應(yīng)用于社會(huì)治理，取得了顯著成效，但技術(shù)進(jìn)步及由此帶來的人的行為變化，也引發(fā)與既有法律政策體系的一系列碰撞。

人臉信息是以電子形式記錄的，與已識(shí)別或者可識(shí)別的自然人有關(guān)的信息，屬于個(gè)人信息保護(hù)法規(guī)定的個(gè)人信息。個(gè)人信息保護(hù)法關(guān)于個(gè)人信息處理原則、規(guī)則、權(quán)利與義務(wù)的規(guī)定同樣適用于人臉信息的保護(hù)。

不僅如此，人臉數(shù)據(jù)是人臉信息載體，特殊主體的人臉數(shù)據(jù)或者達(dá)到一定規(guī)模的人臉數(shù)據(jù)的篡改、破壞、泄露或者非法獲取、非法利用，完全有可能對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成危害，有可能被解釋為重要數(shù)據(jù)，得到數(shù)據(jù)安全法的特殊保護(hù)。

總體而言，中國(guó)近期立法及政策導(dǎo)向，以及學(xué)者們對(duì)人臉識(shí)別規(guī)制的研究，新興技術(shù)規(guī)制問題引發(fā)的實(shí)踐與理論的雙重關(guān)注，已經(jīng)就多元規(guī)制思路達(dá)成共識(shí)，并且在法律規(guī)制、行政監(jiān)管、行業(yè)自律等層面形成了較為全面的治理體系。

但是，無論是個(gè)人信息保護(hù)法、數(shù)據(jù)安全法，還是其他法律，在人臉信息和人臉數(shù)據(jù)的保護(hù)領(lǐng)域主要扮演的是基礎(chǔ)性法律角色，普遍存在可操作性不強(qiáng)的窘境。

當(dāng)前數(shù)據(jù)治理走向復(fù)雜、多元、動(dòng)態(tài)的復(fù)雜科學(xué)管理范式，無論從國(guó)家安全、公共安全還是公民權(quán)利視角，都應(yīng)根據(jù)對(duì)人臉識(shí)別技術(shù)應(yīng)用治理現(xiàn)狀及風(fēng)險(xiǎn)的深刻觀察，在業(yè)已出臺(tái)的重要法律基礎(chǔ)上開展更細(xì)致的立法工作，科學(xué)設(shè)計(jì)并堅(jiān)定執(zhí)行符合產(chǎn)業(yè)發(fā)展和安全管理雙重需求的人臉識(shí)別技術(shù)應(yīng)用立法規(guī)制路徑。

人臉識(shí)別應(yīng)用治理：前端治理為要

人臉識(shí)別技術(shù)的應(yīng)用，涉及包括人臉信息和人臉數(shù)據(jù)的采集、使用、存儲(chǔ)、傳輸、提供、刪除等在內(nèi)的整個(gè)數(shù)據(jù)生命周期，因而對(duì)人臉識(shí)別技術(shù)濫用以及由此引發(fā)的安全風(fēng)險(xiǎn)的治理，需要在各個(gè)環(huán)節(jié)發(fā)力，縱向上通盤考慮整個(gè)應(yīng)用鏈條進(jìn)行全面治理，橫向上采取包括立法、執(zhí)法、司法、行業(yè)、社會(huì)力量參與、宣傳教育等在內(nèi)的立體化應(yīng)對(duì)措施。

不過，就當(dāng)前人臉識(shí)別技術(shù)應(yīng)用的法律政策規(guī)制而言，包括刑法、民法典、網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法、消費(fèi)者權(quán)益保護(hù)法等在內(nèi)法律政策規(guī)定多屬原則性規(guī)定，本質(zhì)上屬于事后救濟(jì)模式，在人臉識(shí)別技術(shù)應(yīng)用的縱向治理鏈條中處于末端，通常在發(fā)生涉人臉識(shí)別的民事、刑事、行政案件后才能啟動(dòng)相關(guān)程序開展治理，雖有一定特殊預(yù)防和一般預(yù)防效果，但易造成執(zhí)法司法資源的大量消耗，也很難消除海量人臉數(shù)據(jù)泄露和發(fā)生衍生風(fēng)險(xiǎn)的隱患。

側(cè)重對(duì)現(xiàn)實(shí)及潛在風(fēng)險(xiǎn)的前端治理，是網(wǎng)絡(luò)時(shí)代風(fēng)險(xiǎn)治理的發(fā)展趨勢(shì)。

例如，犯罪是最嚴(yán)重的社會(huì)風(fēng)險(xiǎn)之一，但現(xiàn)發(fā)案件和隱案數(shù)量龐大，犯罪發(fā)展的智能化以及網(wǎng)絡(luò)犯罪的跨區(qū)、跨國(guó)特征，都使有限執(zhí)法資源難以追隨新型犯罪加速的步伐。最合理的應(yīng)對(duì)，必然是要將犯罪治理前置到犯罪前端，采取綜合的技術(shù)與制度性預(yù)防策略，推動(dòng)社會(huì)秩序的良性運(yùn)轉(zhuǎn)，減輕執(zhí)法壓力，減少犯罪損失，減少犯罪的發(fā)生，避免已發(fā)生犯罪的產(chǎn)業(yè)鏈條繼續(xù)延展，從重“打擊”轉(zhuǎn)向重“治理”，構(gòu)建“以防為主、兼重打擊、生態(tài)治理”的應(yīng)對(duì)體系。

同理，對(duì)人臉信息和人臉數(shù)據(jù)的保護(hù)亦應(yīng)從人臉識(shí)別技術(shù)應(yīng)用的源頭開始，從以民事賠償、行政處罰和刑事處罰為主導(dǎo)的事后救濟(jì)模式，轉(zhuǎn)向監(jiān)管部門主動(dòng)作為、積極介入的前端控制，并以立法或標(biāo)準(zhǔn)形式將個(gè)人信息保護(hù)法等法律規(guī)定的原則轉(zhuǎn)化為具有可操作性的規(guī)范，為監(jiān)管部門提供介入的明確依據(jù)，提供符合一線執(zhí)法特點(diǎn)的規(guī)范“產(chǎn)品”，實(shí)現(xiàn)人臉識(shí)別技術(shù)應(yīng)用的有效源頭治理，從而阻斷針對(duì)該源頭獲取人臉信息和人臉數(shù)據(jù)的非法使用及泄露問題。

在責(zé)任分配層面，公安機(jī)關(guān)等政府職能部門對(duì)于公共秩序、公共場(chǎng)所視頻圖像信息系統(tǒng)、數(shù)據(jù)安全、網(wǎng)絡(luò)安全與網(wǎng)絡(luò)秩序等負(fù)有重要監(jiān)管和保護(hù)職責(zé)，自然應(yīng)擔(dān)負(fù)人臉識(shí)別技術(shù)應(yīng)用前端治理的義務(wù)。

人臉識(shí)別專門立法：以增強(qiáng)可操作性為目標(biāo)

網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個(gè)人信息保護(hù)法已經(jīng)就數(shù)據(jù)、個(gè)人信息的保護(hù)提供較為全面的原則和規(guī)則指引，民法典為相應(yīng)民事侵權(quán)行為及救濟(jì)作出了較為完備的規(guī)定。

但是，人臉信息作為一種外露的生物特征，除了具有生物特征信息的普遍性特征，還具有其自身的特殊性，特別是其收集過程無需數(shù)據(jù)主體的配合即可完成，立法需要對(duì)由于人臉識(shí)別技術(shù)特殊性所帶來的現(xiàn)有法律框架難以妥善解決的問題進(jìn)行回應(yīng)。

例如：針對(duì)公共場(chǎng)所人臉信息的無感收集問題，如何確保個(gè)體的明知，并給予其是否接受人臉識(shí)別的選擇權(quán)？因?yàn)闊o感采集，個(gè)體往往難以知曉被侵權(quán)事實(shí)且維權(quán)成本極高，監(jiān)管部門如何補(bǔ)位？針對(duì)信息集中帶來的風(fēng)險(xiǎn)問題，在加密存儲(chǔ)人臉數(shù)據(jù)的基礎(chǔ)上，是否應(yīng)當(dāng)通過物理或邏輯隔離的方式對(duì)人臉數(shù)據(jù)與其他數(shù)據(jù)包（包括其他個(gè)人信息）進(jìn)行分別存儲(chǔ)？當(dāng)前過于粗疏的立法顯然難以清晰回答這些問題。

因此，為便于公安機(jī)關(guān)等職能部門的提前介入，避免執(zhí)法標(biāo)準(zhǔn)不一破壞法制統(tǒng)一性，仍有必要通過有更清晰明確指向的立法（特別是行政法規(guī)、部門規(guī)章和其他規(guī)范性文件），確保職能部門在執(zhí)法過程中能夠充分利用其自身的優(yōu)勢(shì)執(zhí)法力量，開展技術(shù)應(yīng)用可行性評(píng)估、安全評(píng)估等工作，對(duì)人臉信息、人臉數(shù)據(jù)的使用應(yīng)用場(chǎng)景、影響效果等開展日常監(jiān)測(cè)工作，感知技術(shù)應(yīng)用帶來的網(wǎng)絡(luò)傳播趨勢(shì)、市場(chǎng)規(guī)則變化、網(wǎng)民行為等信息，預(yù)警技術(shù)應(yīng)用可能產(chǎn)生的不規(guī)范、不公平、不公正等隱患。甚至在人臉識(shí)別技術(shù)應(yīng)用設(shè)計(jì)及部署環(huán)節(jié)就積極介入，發(fā)現(xiàn)算法應(yīng)用安全問題，研判算法應(yīng)用產(chǎn)生的意識(shí)形態(tài)、社會(huì)公平、道德倫理等安全風(fēng)險(xiǎn)，并提出針對(duì)性應(yīng)對(duì)措施。

民警指導(dǎo)居民“刷臉”認(rèn)證個(gè)人身份。圖/新華

從操作層面來看，需要在上位法框架下，以行政法規(guī)或部門規(guī)章形式，就人臉識(shí)別技術(shù)應(yīng)用有效治理作出規(guī)定，著力化解安全風(fēng)險(xiǎn)。對(duì)于人臉識(shí)別技術(shù)應(yīng)用擔(dān)負(fù)較重職責(zé)的政府部門，也有必要在《個(gè)人信息保護(hù)法》等法律法規(guī)框架下，專門針對(duì)本部門出于履行法定職責(zé)需要而開展人臉識(shí)別技術(shù)應(yīng)用設(shè)定實(shí)體和程序規(guī)則。

首先，要明確規(guī)定禁止開展人臉識(shí)別的場(chǎng)景。

應(yīng)區(qū)分商業(yè)應(yīng)用、行政執(zhí)法和刑事執(zhí)法等不同需求，分別設(shè)定禁用場(chǎng)景，包括建立應(yīng)用場(chǎng)景的白名單和黑名單制度。需要注意的是，禁用場(chǎng)景往往是目的與程序相結(jié)合的綜合判定。例如，任何應(yīng)用主體非為醫(yī)療目的并經(jīng)識(shí)別對(duì)象同意，不得利用人臉識(shí)別技術(shù)分析其健康狀態(tài);無合法依據(jù)不得在人臉識(shí)別同時(shí)利用人臉信息開展情緒、心理活動(dòng)、宗教信仰等分析活動(dòng)。即便可以給予最寬松規(guī)制環(huán)境的刑事執(zhí)法，至少也要受到廣義刑事訴訟法有關(guān)偵查取證規(guī)定的制約，仍然存在絕對(duì)不可應(yīng)用和不經(jīng)法定程序不可應(yīng)用人臉識(shí)別技術(shù)的領(lǐng)域。

其次，建立人臉識(shí)別技術(shù)應(yīng)用備案和年度評(píng)估制度。

應(yīng)當(dāng)明確要求人臉識(shí)別技術(shù)應(yīng)用者根據(jù)其業(yè)務(wù)內(nèi)容向?qū)?yīng)主管部門進(jìn)行備案。如，在公共場(chǎng)所安裝攝像頭的人臉識(shí)別技術(shù)應(yīng)用，應(yīng)在本地公安機(jī)關(guān)備案。為了實(shí)現(xiàn)更好地監(jiān)管，具備一定規(guī)模（以人臉數(shù)據(jù)處理量或營(yíng)收規(guī)模等為基準(zhǔn)）的人臉識(shí)別技術(shù)應(yīng)用主體應(yīng)接受定期安全評(píng)估，以應(yīng)用主體向?qū)?yīng)主管部門提交評(píng)估報(bào)告為基礎(chǔ)，主管部門視情決定是否開展現(xiàn)場(chǎng)檢查。

再次，設(shè)定主要應(yīng)用場(chǎng)景的安全要求。

應(yīng)當(dāng)在數(shù)據(jù)安全法和個(gè)人信息保護(hù)法的強(qiáng)制性規(guī)定之下，以數(shù)據(jù)安全為核心，對(duì)人臉信息和人臉數(shù)據(jù)的處理作出明確規(guī)定，將這兩部法律的數(shù)據(jù)安全要求和個(gè)人信息保護(hù)要求落到實(shí)處。

例如，可以要求人臉數(shù)據(jù)的處理原則上應(yīng)在本地（終端）完成，除非為了更大法益，不得通過公共網(wǎng)絡(luò)傳輸。在個(gè)人終端即可實(shí)現(xiàn)人臉識(shí)別目的的，人臉數(shù)據(jù)不得傳出該設(shè)備;人臉數(shù)據(jù)留存最小化，以滿足業(yè)務(wù)需求為上限，且需嚴(yán)格禁止人臉數(shù)據(jù)用于法律法規(guī)規(guī)定或經(jīng)個(gè)人授權(quán)同意之外的其他目的;除非為履行法定職責(zé)開展進(jìn)一步調(diào)查或者履行法定存證義務(wù)等目的，已采集或產(chǎn)生的人臉數(shù)據(jù)應(yīng)在完成人臉識(shí)別功能后立即刪除;采用人臉識(shí)別技術(shù)的服務(wù)停止、數(shù)據(jù)存儲(chǔ)期限屆滿、個(gè)人撤回同意授權(quán)（包括積極撤回和消極撤回）時(shí)，應(yīng)當(dāng)及時(shí)刪除人臉數(shù)據(jù);不能將人臉圖片的公開視為理所當(dāng)然的人臉識(shí)別授權(quán)，使用這類人臉數(shù)據(jù)仍需遵循人臉識(shí)別技術(shù)應(yīng)用的一般規(guī)則;人臉識(shí)別技術(shù)應(yīng)用者原則上不能委托第三方處理人臉數(shù)據(jù)，確需委托的，必須事先采取安全措施，確認(rèn)受托方的數(shù)據(jù)安全保障能力不低于委托方，并簽署相應(yīng)協(xié)議和配套嚴(yán)格監(jiān)管措施。

第四，加強(qiáng)對(duì)特殊主體的人臉信息保護(hù)。

針對(duì)未成年人，應(yīng)給予嚴(yán)格保護(hù)，非為執(zhí)法目的，不得對(duì)其應(yīng)用人臉識(shí)別技術(shù)。針對(duì)黨和國(guó)家領(lǐng)導(dǎo)人，其人臉數(shù)據(jù)也應(yīng)予以特殊保護(hù)，但由于其在新聞報(bào)道中的高曝光度，禁止單一的身份識(shí)別并無意義，保護(hù)目的主要在于防止人臉仿冒和利用人臉識(shí)別技術(shù)進(jìn)行軌跡追蹤等。

第五，實(shí)行對(duì)人臉識(shí)別技術(shù)和人臉數(shù)據(jù)的國(guó)家保護(hù)。

在中國(guó)境內(nèi)采集和產(chǎn)生的人臉數(shù)據(jù)，非經(jīng)有權(quán)部門安全評(píng)估和同意，不能出境;人臉識(shí)別形成的算法模型，不僅因凝聚了個(gè)人信息和開發(fā)者、訓(xùn)練者智慧而關(guān)聯(lián)知識(shí)產(chǎn)權(quán)，而且有可能成為敵對(duì)國(guó)家覬覦的關(guān)鍵技術(shù)，應(yīng)當(dāng)納入管制范疇，非經(jīng)安全評(píng)估和主管部門批準(zhǔn)，不得向境外輸出。

第六，鼓勵(lì)滿足一定數(shù)據(jù)采集條件的人臉識(shí)別技術(shù)研發(fā)。

人臉識(shí)別技術(shù)發(fā)展迅猛，但技術(shù)追求永無止境。技術(shù)是把雙刃劍，關(guān)鍵看誰在用、如何用和用于誰。對(duì)人臉識(shí)別技術(shù)應(yīng)用的治理，不代表著不支持人臉識(shí)別技術(shù)的研發(fā)。對(duì)于出于研究目的的人臉數(shù)據(jù)和人臉信息應(yīng)用，立法上應(yīng)給予一定包容。

第七，明確監(jiān)管措施。

為確保人臉數(shù)據(jù)安全，除了日常性檢查和評(píng)估外，給予約談、責(zé)令限期整改等權(quán)力外，還應(yīng)賦予主管部門在發(fā)現(xiàn)人臉識(shí)別技術(shù)應(yīng)用存在緊迫性重大風(fēng)險(xiǎn)時(shí)的應(yīng)急處理權(quán)限。

公共場(chǎng)所視頻監(jiān)控立法：不可低估的源頭規(guī)制路徑

前端采集設(shè)備和視頻圖像信息系統(tǒng)是人臉識(shí)別技術(shù)應(yīng)用的最前端，以公共場(chǎng)所攝像頭和智能手機(jī)App為主的人臉信息和人臉數(shù)據(jù)采集，既包括人臉識(shí)別技術(shù)應(yīng)用者的主動(dòng)采集，也包括用戶上傳的被動(dòng)采集（如用戶在社交網(wǎng)絡(luò)平臺(tái)分享的人臉圖像被平臺(tái)或第三方用于人臉識(shí)別）。做好前端準(zhǔn)入和安全性評(píng)估，是有效解決人臉識(shí)別技術(shù)濫用和人臉數(shù)據(jù)泄露的重要舉措。有關(guān)手機(jī)App，工信部等部門曾發(fā)布專門規(guī)范進(jìn)行治理，在該領(lǐng)域也制定了一些國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，治理工作不斷取得進(jìn)展。但是，有關(guān)公共場(chǎng)所視頻監(jiān)控卻一直缺乏可提供明確指引的高位階立法。

公共場(chǎng)所視頻圖像信息系統(tǒng)（含硬件設(shè)備和軟件系統(tǒng)）一般而言屬于公共安全領(lǐng)域，且主要?dú)w口公安機(jī)關(guān)管理。公安部于2016年發(fā)布過《公共安全視頻圖像信息系統(tǒng)管理?xiàng)l例（征求意見稿）》，但基于種種原因，該條例至今未獲頒行。公安機(jī)關(guān)對(duì)于自建公共安全視頻圖像信息系統(tǒng)有著較為嚴(yán)格的內(nèi)部管理程序，但是對(duì)于其他部門、企業(yè)、小區(qū)甚至居民自建的監(jiān)控設(shè)備缺乏事前監(jiān)管手段?？梢韵胍?，如果該條例早獲通過，公共場(chǎng)所視頻監(jiān)控及相應(yīng)技術(shù)應(yīng)用得以規(guī)范，有關(guān)地鐵人臉識(shí)別安檢分流、居民住宅樓電梯安裝人臉識(shí)別設(shè)備等爭(zhēng)議性問題或許不會(huì)成為輿論焦點(diǎn)。

相比于2016年，目前立法環(huán)境發(fā)生變化，對(duì)數(shù)據(jù)安全和個(gè)人信息保護(hù)的重視程度前所未有，針對(duì)網(wǎng)絡(luò)和數(shù)據(jù)領(lǐng)域的立法技術(shù)日趨成熟，人們對(duì)公共場(chǎng)所視頻監(jiān)控的認(rèn)識(shí)更為理性，宜盡快修改完善并完成立法程序，及早為公共場(chǎng)所采集視頻圖像信息及其處理提供明確執(zhí)法依據(jù)。

專門針對(duì)公共場(chǎng)所視頻監(jiān)控問題進(jìn)行立法，應(yīng)當(dāng)清晰厘定公安機(jī)關(guān)對(duì)于全社會(huì)公共場(chǎng)所視頻圖像信息系統(tǒng)全流程運(yùn)轉(zhuǎn)的管理職權(quán)，將公安機(jī)關(guān)及其他主體的公共場(chǎng)所視頻監(jiān)控行為均納入規(guī)制范疇。明確規(guī)定可以和不可以安裝視頻圖像信息系統(tǒng)（包括人臉識(shí)別模塊）的具體場(chǎng)所;明確視頻圖像信息處理的基本原則、具體規(guī)則、流程和安全保障義務(wù);確定相應(yīng)罰則以此發(fā)揮公安機(jī)關(guān)執(zhí)法資源優(yōu)勢(shì)，提升公安機(jī)關(guān)服務(wù)能力，及時(shí)開展公共場(chǎng)所視頻圖像信息系統(tǒng)（包括人臉識(shí)別模塊）安裝、使用的可行性和安全性評(píng)估;實(shí)現(xiàn)執(zhí)法靠前，確保公共場(chǎng)所視頻監(jiān)控僅用于公共安全目的，最大限度避免公共場(chǎng)所視頻圖像信息系統(tǒng)非法處理人臉數(shù)據(jù)。

總之，人臉識(shí)別技術(shù)仍在飛速發(fā)展，算法精度不斷提升，產(chǎn)品和服務(wù)功能迭代迅速，安全風(fēng)險(xiǎn)也將呈現(xiàn)新樣態(tài)。盡管目前已經(jīng)構(gòu)建起了網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)的基本法律體系，但仍需要采取新的規(guī)制措施。

國(guó)家數(shù)據(jù)戰(zhàn)略資源安全與公民信息安全都要求，科技必須秉承“善意”的發(fā)展理念，只要監(jiān)管部門積極作為，保持密切關(guān)注，緊跟技術(shù)發(fā)展的步伐，積極探索技術(shù)治理和法律政策治理的新路徑，就一定能夠?qū)崿F(xiàn)對(duì)規(guī)制方式的及時(shí)和動(dòng)態(tài)的調(diào)適，極大壓縮隱患轉(zhuǎn)化為現(xiàn)實(shí)風(fēng)險(xiǎn)的空間。

編輯：朱弢