張建文，趙梓羽

西南政法大學(xué)民商法學(xué)院，重慶 渝北 401120

引言

人臉識(shí)別無(wú)疑是近年來(lái)高新科技領(lǐng)域的熱詞之一。目前，世界范圍內(nèi)已接連出現(xiàn)多起因人臉識(shí)別應(yīng)用技術(shù)引發(fā)的侵害自然人隱私權(quán)、個(gè)人信息權(quán)益的事件。人臉識(shí)別技術(shù)應(yīng)用在為人們的生產(chǎn)生活帶來(lái)極大便利的同時(shí)，由此所帶來(lái)的信息安全隱患也逐漸引發(fā)人們的關(guān)注和擔(dān)憂。2021 年，在全國(guó)政協(xié)十三屆四次會(huì)議新聞發(fā)布會(huì)上，有全國(guó)政協(xié)委員提出了關(guān)于加快構(gòu)建人臉識(shí)別技術(shù)數(shù)據(jù)監(jiān)管體系的提案[1]，對(duì)人臉識(shí)別技術(shù)應(yīng)用進(jìn)行立法規(guī)制已是箭在弦上?；诖?，有必要對(duì)該項(xiàng)技術(shù)的法律規(guī)制進(jìn)行深入研究。本文在對(duì)人臉識(shí)別技術(shù)應(yīng)用進(jìn)行利弊衡量的基礎(chǔ)上探求對(duì)其進(jìn)行法律規(guī)制的應(yīng)然態(tài)度，借鑒比較法上人臉識(shí)別技術(shù)應(yīng)用的法律規(guī)制措施，厘清該項(xiàng)技術(shù)應(yīng)用的法律邊界，進(jìn)而提出完善我國(guó)人臉識(shí)別技術(shù)法律規(guī)制的建議。

1 人臉識(shí)別技術(shù)應(yīng)用的收益與風(fēng)險(xiǎn)

人臉識(shí)別技術(shù)是在圖像或視頻流中檢測(cè)或跟蹤人臉，再基于人的面部特征信息進(jìn)行身份識(shí)別的一種生物識(shí)別技術(shù)[2]。這種識(shí)別可以通過(guò)遠(yuǎn)程進(jìn)行操作，在無(wú)接觸的情形下實(shí)現(xiàn)信息與自然人之間的匹配，從而極大地提高了信息采集、處理的便捷性。這是將其與指紋、虹膜等物理識(shí)別方式相區(qū)分的根本之處，但相較于后者而言，人臉識(shí)別的唯一性、精準(zhǔn)性有所減弱。人臉識(shí)別技術(shù)的以上特征決定了該項(xiàng)技術(shù)應(yīng)用是收益與風(fēng)險(xiǎn)并存的。收益與風(fēng)險(xiǎn)的關(guān)系決定了法律規(guī)制的基本態(tài)度，也是研究人臉識(shí)別技術(shù)法律規(guī)制的必要前提。

1.1 人臉識(shí)別技術(shù)應(yīng)用的收益

人臉識(shí)別技術(shù)可以應(yīng)用于諸多場(chǎng)景，其發(fā)展創(chuàng)造了大量裨益社會(huì)的機(jī)會(huì)。據(jù)調(diào)查研究顯示，2018年，人臉識(shí)別技術(shù)應(yīng)用的全球市場(chǎng)規(guī)模已突破54 億美元[3]。人臉識(shí)別作為人工智能時(shí)代標(biāo)志性的一項(xiàng)技術(shù)，如果應(yīng)用得當(dāng)，將在多領(lǐng)域、多場(chǎng)景為政府機(jī)構(gòu)、企業(yè)集團(tuán)以及個(gè)人提供便利。

1.1.1 公益價(jià)值

人臉識(shí)別作為當(dāng)前我國(guó)人工智能領(lǐng)域最為前沿的技術(shù)之一，始終在不斷發(fā)展著，至今已被應(yīng)用至治安監(jiān)管、醫(yī)療健康、行政管理等各大關(guān)涉社會(huì)公益的關(guān)鍵性領(lǐng)域。尤其是在此次新冠肺炎疫情防控中，人臉識(shí)別技術(shù)在助力公眾安全中發(fā)揮了空前的重要作用。人臉識(shí)別技術(shù)也廣泛應(yīng)用于教育行業(yè)，例如研究生招生考試、法律職業(yè)資格證考試等大型考試均采用一對(duì)一人臉識(shí)別，杜絕了替代考試行為的發(fā)生；“刷臉進(jìn)?！薄八⒛槾蚩ā蹦軌蛴行岣哒n堂出勤率，督促受教育者進(jìn)行自我提升。人臉識(shí)別技術(shù)也為交通業(yè)的發(fā)展帶來(lái)了福利，自動(dòng)驗(yàn)票系統(tǒng)“刷臉進(jìn)站”服務(wù)極大地提高了驗(yàn)票效率和進(jìn)站速度。人臉識(shí)別技術(shù)同樣也是打擊犯罪的有力手段，偵查機(jī)關(guān)利用人臉識(shí)別技術(shù)建立包含通緝犯、嫌疑犯、非法逃生者以及其他相關(guān)主體的人臉圖像數(shù)據(jù)庫(kù)，并對(duì)上述主體進(jìn)行實(shí)時(shí)關(guān)注，在減少犯罪行為、維護(hù)社會(huì)治安方面立下奇功。

1.1.2 私益價(jià)值

人臉識(shí)別技術(shù)的價(jià)值除了體現(xiàn)在公共安全與公共管理方面外，也體現(xiàn)在給企業(yè)與個(gè)人帶來(lái)的益處之上。從線上刷臉支付、身份認(rèn)核、人臉智能相冊(cè)到線下刷臉取款、3D 智能人臉解鎖，人臉識(shí)別技術(shù)不斷推動(dòng)著傳統(tǒng)產(chǎn)業(yè)向著信息化的方向發(fā)展。人臉識(shí)別技術(shù)的商業(yè)化應(yīng)用不僅賦能企業(yè)業(yè)務(wù)服務(wù)水平與效率的提升，更是在推動(dòng)技術(shù)創(chuàng)新方面大有裨益[4]。例如，支付寶開(kāi)通的小額款項(xiàng)刷臉支付可在300 毫秒內(nèi)瞬時(shí)完成便捷支付，為便捷金融、智慧金融注入了新的活力[5]。又如，售樓部、商戶門(mén)店等銷(xiāo)售領(lǐng)域安裝的人臉識(shí)別系統(tǒng)不僅充當(dāng)安全監(jiān)察的作用，更是分析客戶群體消費(fèi)心理、精準(zhǔn)投放廣告的重要工具。再如，“王者榮耀”游戲啟動(dòng)前嵌入人臉識(shí)別系統(tǒng)對(duì)中小學(xué)生的使用時(shí)長(zhǎng)進(jìn)行限制，是企業(yè)在網(wǎng)絡(luò)游戲監(jiān)管規(guī)范的要求之下積極承擔(dān)社會(huì)責(zé)任的體現(xiàn)，發(fā)揮著維護(hù)未成年人身心健康的效用。

1.2 人臉識(shí)別技術(shù)應(yīng)用的風(fēng)險(xiǎn)

科技是把雙刃劍。人臉識(shí)別這項(xiàng)新興技術(shù)在創(chuàng)造收益的同時(shí)也帶來(lái)了不可小覷的風(fēng)險(xiǎn)。雖然人臉識(shí)別技術(shù)在設(shè)計(jì)之初具有便利性且在一定程度上安全可控，但隨著多場(chǎng)景下人臉識(shí)別技術(shù)應(yīng)用范圍的擴(kuò)張，引發(fā)了基于盈利為目的的不規(guī)范使用等預(yù)期未及的問(wèn)題，造成了人臉識(shí)別技術(shù)的應(yīng)用風(fēng)險(xiǎn)。

1.2.1 識(shí)別錯(cuò)位、歧視風(fēng)險(xiǎn)

人臉識(shí)別技術(shù)的關(guān)鍵詞在于“識(shí)別”。然而該種“識(shí)別”受外界因素影響較大，并不必然具有穩(wěn)定性。一方面，面部特征所蘊(yùn)含的信息量遠(yuǎn)不及指紋、虹膜等生物特征，其變化形態(tài)也不及后者復(fù)雜、多樣[6]；另一方面，受限于技術(shù)與成本，大部分人臉識(shí)別尤其是中小型企業(yè)開(kāi)發(fā)或應(yīng)用的商用人臉識(shí)別技術(shù)尚難以實(shí)現(xiàn)三維立體識(shí)別的普及。在以上雙重因素的共同作用下，人臉識(shí)別技術(shù)極易產(chǎn)生識(shí)別錯(cuò)位的問(wèn)題。此外，由于大量采集的人臉信息儲(chǔ)存在統(tǒng)一的平臺(tái)內(nèi)，數(shù)據(jù)量呈指數(shù)倍極快地增長(zhǎng)，若平臺(tái)程序頻繁運(yùn)行勢(shì)必會(huì)加大數(shù)據(jù)錯(cuò)位、內(nèi)部信息錯(cuò)亂的風(fēng)險(xiǎn)[7]。不僅如此，這種識(shí)別錯(cuò)位還隱含著歧視風(fēng)險(xiǎn)。麻省理工學(xué)院實(shí)驗(yàn)室通過(guò)對(duì)1 270 人的數(shù)據(jù)庫(kù)進(jìn)行人臉識(shí)別后發(fā)現(xiàn)：人臉識(shí)別系統(tǒng)對(duì)有色人種匹配的準(zhǔn)確率較低，錯(cuò)誤率可達(dá)到35%[8]。將誤差率如此之高的人臉識(shí)別技術(shù)應(yīng)用至防控犯罪增大了有色人種被當(dāng)作罪犯的可能性，實(shí)際上是將人臉識(shí)別技術(shù)的應(yīng)用置于種族歧視的風(fēng)險(xiǎn)之下。

1.2.2 破壞知情同意規(guī)則的風(fēng)險(xiǎn)

知情同意規(guī)則是個(gè)人信息保護(hù)的核心和基礎(chǔ)，是自然人信息自決的體現(xiàn)[9]?！睹穹ǖ洹返?035條規(guī)定了處理個(gè)人信息的知情同意規(guī)則。2020 年10 月21 日公布的《中華人民共和國(guó)個(gè)人信息保護(hù)法（草案）》（以下簡(jiǎn)稱(chēng)《個(gè)人信息保護(hù)法（草案）》）第14 條又進(jìn)一步對(duì)知情同意規(guī)則進(jìn)行了總結(jié)和完善。而人臉識(shí)別技術(shù)所采集的面部特征信息既屬于個(gè)人信息，又屬于敏感個(gè)人信息的范疇，其處理不僅應(yīng)符合《民法典》第1035 條、《個(gè)人信息保護(hù)法（草案）》第14 條的規(guī)定，還須滿足《個(gè)人信息保護(hù)法（草案）》第二章第二節(jié)對(duì)敏感個(gè)人信息處理的特殊規(guī)定，如取得個(gè)人的單獨(dú)同意（第30 條）、向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人的影響（第31 條）等。

然而，在實(shí)踐中，人臉識(shí)別技術(shù)的應(yīng)用往往難以符合上述要求，構(gòu)成了對(duì)知情同意規(guī)則的違反。這種違反主要集中在以下兩個(gè)方面：其一，未充分告知信息主體。公共場(chǎng)所安裝的人臉識(shí)別系統(tǒng)直接對(duì)鏡頭下捕捉到的面部特征信息進(jìn)行分析、處理，這一過(guò)程并未告知信息主體，侵犯了信息主體的知情權(quán)。其二，信息主體未真正同意。大多應(yīng)用到人臉識(shí)別技術(shù)的APP 往往在用戶進(jìn)行注冊(cè)登錄時(shí)彈出所謂的“隱私條款”，但系統(tǒng)又設(shè)定信息主體若不同意該“隱私條款”便無(wú)法使用該應(yīng)用軟件，以此獲得采集、使用面部特征信息的許可。因此，這種概括式的、僵化式的“同意”過(guò)于形式化，并非基于信息主體真正自愿，未能使“同意”規(guī)則發(fā)揮真正效用。

1.2.3 侵犯?jìng)€(gè)人隱私風(fēng)險(xiǎn)

數(shù)字社會(huì)必須保護(hù)好自然人的個(gè)人隱私，這也是數(shù)字治理本身的內(nèi)容[10]。面部特征信息被廣泛采集形成大數(shù)據(jù)后，有極大可能會(huì)對(duì)信息主體的隱私造成威脅，這種威脅貫穿面部特征信息采集到關(guān)聯(lián)比對(duì)的整個(gè)過(guò)程[11]。首先，信息主體對(duì)其面部特征信息享有合理隱私期待，而人臉識(shí)別技術(shù)在信息采集過(guò)程中往往利用其隔空捕捉信息的能力繞過(guò)對(duì)方知情同意，在未經(jīng)信息主體授權(quán)或允許的情形下保存其面部特征信息。例如，在某連鎖商戶門(mén)店的攝像頭之下，客戶的姓名、年齡、職業(yè)、心情，甚至是否具有購(gòu)買(mǎi)欲望都已被悄悄獲取并同時(shí)傳送給全國(guó)范圍內(nèi)的連鎖門(mén)店，使客戶個(gè)人信息公然暴露于聚光燈之下。此外，在采集自然人的面部特征信息后，在該信息的存儲(chǔ)與流轉(zhuǎn)中也容易發(fā)生侵犯信息主體隱私的情形，因?yàn)楸４婷娌刻卣餍畔⒌挠?jì)算機(jī)系統(tǒng)也存在被黑客入侵、病毒入侵的風(fēng)險(xiǎn)，這也進(jìn)一步導(dǎo)致隱私泄露的風(fēng)險(xiǎn)大大增加。

總而言之，人臉識(shí)別技術(shù)既能帶來(lái)可觀的收益，同時(shí)也存在難以估量的風(fēng)險(xiǎn)。對(duì)此，我們?cè)诠膭?lì)科技發(fā)展的同時(shí)，必須對(duì)人臉識(shí)別技術(shù)進(jìn)行系統(tǒng)有效的法律規(guī)制，不能縱容該項(xiàng)技術(shù)在侵犯公民人身、財(cái)產(chǎn)安全的風(fēng)險(xiǎn)中“野蠻生長(zhǎng)”。

2 域外人臉識(shí)別技術(shù)應(yīng)用的法律規(guī)制

隨著近年來(lái)個(gè)人信息保護(hù)的呼聲逐漸高漲，對(duì)人臉識(shí)別技術(shù)應(yīng)用進(jìn)行法律規(guī)制已成為各國(guó)立法保護(hù)的焦點(diǎn)?？傮w上看，域外人臉識(shí)別技術(shù)應(yīng)用的法律規(guī)制模式主要包括美國(guó)的分散式立法模式、歐洲的統(tǒng)一規(guī)制模式兩種模式。

2.1 美國(guó)的分散式立法規(guī)制

美國(guó)是人臉識(shí)別技術(shù)立法規(guī)制的先行者，在聯(lián)邦形成統(tǒng)一法案之前，各州立法先行，伊利諾伊州、佛羅里達(dá)州、華盛頓州等已經(jīng)發(fā)布多項(xiàng)法案對(duì)人臉識(shí)別技術(shù)進(jìn)行專(zhuān)門(mén)立法規(guī)制。從總體上看，美國(guó)對(duì)人臉識(shí)別技術(shù)的規(guī)制因應(yīng)用主體不同而呈現(xiàn)差異化的路徑。

2.1.1 政府部門(mén)——禁止性規(guī)范為主

美國(guó)對(duì)政府部門(mén)使用人臉識(shí)別技術(shù)持謹(jǐn)慎態(tài)度，相關(guān)法規(guī)以禁止性規(guī)范為主。《加州身體攝像頭責(zé)任法案》（California body camera Liability Act）是首個(gè)州級(jí)別的對(duì)行政采集面部特征信息行為進(jìn)行制止的法案，法案確認(rèn)警察執(zhí)法部門(mén)隨身攜帶攝像頭進(jìn)行人臉識(shí)別的操作是對(duì)個(gè)人隱私的侵害[12]。在該類(lèi)禁止性法案出臺(tái)之前，美國(guó)主要通過(guò)行政禁令對(duì)行政人臉信息采集行為進(jìn)行規(guī)制。舊金山發(fā)布的《停止秘密監(jiān)視條例》（Stop Secret Surveillance Ordinance）是首個(gè)以城市為主體發(fā)布的禁止性條例，規(guī)定了政府部門(mén)非特定緊急情況下不得隨意采集人臉信息。隨后，薩默維爾市也通過(guò)了《人臉識(shí)別全面禁止條例》（Banning the Usage of Facial Technology Surveillance in Somerville），宣告了薩默維爾市范圍內(nèi)所有接獲、使用人臉識(shí)別系統(tǒng)獲取人臉信息的行為均是非法的，成為美國(guó)率先禁止使用人臉識(shí)別技術(shù)的城市之一。

2.1.2 非政府部門(mén)——限制性規(guī)范為主

不同于禁止政府機(jī)構(gòu)使用人臉識(shí)別技術(shù)的規(guī)定，美國(guó)對(duì)非政府機(jī)構(gòu)使用人臉識(shí)別技術(shù)持較為開(kāi)放的態(tài)度，其通過(guò)對(duì)生物識(shí)別信息或人臉識(shí)別技術(shù)進(jìn)行專(zhuān)門(mén)立法的方式對(duì)私主體使用該項(xiàng)技術(shù)進(jìn)行規(guī)范，在一定程度上允許該技術(shù)的限制性使用。

美國(guó)各州最早是通過(guò)生物識(shí)別信息立法保護(hù)的方式對(duì)非政府部門(mén)使用人臉識(shí)別技術(shù)進(jìn)行規(guī)制的。其典型代表是2008 年頒布于伊利諾伊州的《生物識(shí)別信息隱私法案》（Biometric Information Privacy Act，BIPA），該法案通過(guò)個(gè)體賦權(quán)、強(qiáng)化義務(wù)的方式對(duì)包含面部特征信息在內(nèi)的生物識(shí)別信息的采集、存儲(chǔ)、使用、保留與銷(xiāo)毀進(jìn)行規(guī)范。具體來(lái)看，法案作出了以下具有借鑒意義的規(guī)定：初次采集生物識(shí)別信息時(shí)應(yīng)當(dāng)獲得信息主體書(shū)面授權(quán)并告知信息主體被采集信息的具體內(nèi)容、目的、存儲(chǔ)時(shí)間；企業(yè)對(duì)生物識(shí)別信息負(fù)有達(dá)到信息采集目的后一定期限內(nèi)的銷(xiāo)毀義務(wù)；生物識(shí)別信息未經(jīng)允許不得出售、不得被非法披露，等等[13]。除了生物識(shí)別信息的專(zhuān)門(mén)立法外，華盛頓州、加利福尼亞州還通過(guò)人臉識(shí)別技術(shù)專(zhuān)門(mén)立法（Facial Recognition）的方式對(duì)人臉識(shí)別技術(shù)應(yīng)用進(jìn)行直接性、針對(duì)性的規(guī)制。隨著人臉識(shí)別技術(shù)在實(shí)踐應(yīng)用中帶來(lái)的各項(xiàng)風(fēng)險(xiǎn)不斷增多，聯(lián)邦層面也加緊了制定人臉識(shí)別技術(shù)專(zhuān)門(mén)法案的步伐，以迎合面部特征信息保護(hù)的現(xiàn)實(shí)需要[14]。

2.2 歐盟的統(tǒng)一嚴(yán)格限制模式

與美國(guó)分散式立法規(guī)制人臉識(shí)別技術(shù)應(yīng)用形成鮮明對(duì)比的是，歐盟早先立法形成了嚴(yán)格限制人臉識(shí)別技術(shù)應(yīng)用的普遍認(rèn)識(shí)。2016 年通過(guò)的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation,GDPR）將不同種類(lèi)、性質(zhì)的個(gè)人信息均納入該條例保護(hù)框架之下，通過(guò)民事、行政、刑事措施合一的立法安排對(duì)個(gè)人信息進(jìn)行嚴(yán)格保護(hù)[15]。GDPR 第4 條第14 款對(duì)“生物特征數(shù)據(jù)”（biometric data）的內(nèi)涵與外延進(jìn)行了界定，能夠識(shí)別特定自然人的“面部圖像”（facial images）通過(guò)技術(shù)應(yīng)用轉(zhuǎn)化為個(gè)人數(shù)據(jù)后即歸于此列。第9 條規(guī)定自然人的生物數(shù)據(jù)屬于個(gè)人數(shù)據(jù)的特殊類(lèi)別，處理該類(lèi)數(shù)據(jù)須遵守“原則禁止、特殊例外”的原則，特殊情況下確需處理的需滿足“合法、正當(dāng)、同意”等要件，且“同意”必須基于數(shù)據(jù)主體“自愿、明確、具體、不含混”的方式作出[16]。由此可見(jiàn)，在GDPR 下，人臉識(shí)別技術(shù)的應(yīng)用受到極大限制，即使是在特定情形下允許該項(xiàng)技術(shù)對(duì)人臉信息的采集，其處理?xiàng)l件也十分嚴(yán)苛。歐盟GDPR 的立法者認(rèn)為，比起為現(xiàn)代社會(huì)帶來(lái)的收益，人臉識(shí)別技術(shù)侵犯公民隱私與個(gè)人信息的風(fēng)險(xiǎn)是不可容忍的，因此應(yīng)當(dāng)不加區(qū)分地嚴(yán)格限制政府機(jī)構(gòu)、非政府機(jī)構(gòu)對(duì)人臉識(shí)別技術(shù)的使用。

對(duì)比以上兩種立法模式不難發(fā)現(xiàn)，美國(guó)分散式立法根據(jù)各州實(shí)際情況制定規(guī)則，有針對(duì)性、實(shí)踐性較強(qiáng)的優(yōu)勢(shì)，但也存在保護(hù)層級(jí)不清、保護(hù)措施單一的問(wèn)題；歐盟統(tǒng)一式立法更為全面、系統(tǒng)，但人臉識(shí)別技術(shù)發(fā)展之快，容易出現(xiàn)法律滯后于技術(shù)發(fā)展的現(xiàn)象?？傊?，兩種模式各有利弊，完善我國(guó)人臉識(shí)別技術(shù)應(yīng)用的法律規(guī)范應(yīng)立足于國(guó)情及社會(huì)經(jīng)濟(jì)發(fā)展情況進(jìn)行探討。

3 我國(guó)人臉識(shí)別技術(shù)應(yīng)用法律規(guī)制的現(xiàn)狀及完善措施

3.1 我國(guó)人臉識(shí)別技術(shù)應(yīng)用法律規(guī)制的現(xiàn)狀

我國(guó)目前對(duì)人臉識(shí)別技術(shù)涉及的面部特征信息的保護(hù)散見(jiàn)于法律法規(guī)、規(guī)章條例中。2016 年實(shí)施的《網(wǎng)絡(luò)安全法》與2017 年實(shí)施的《民法總則》最先在法律層面上規(guī)定了個(gè)人信息保護(hù)，但均未明確其內(nèi)容是否包含人臉識(shí)別技術(shù)涉及的面部特征信息或個(gè)人生物識(shí)別信息。2021 年1 月1 日生效的《民法典》對(duì)此有所突破，其中第1034 條第1 款規(guī)定：“自然人的個(gè)人信息受法律保護(hù)”，第2 款將生物識(shí)別信息與自然人的姓名、出生日期、身份證件號(hào)碼等相并列規(guī)定為個(gè)人信息內(nèi)容。但不難看出，以上條款僅對(duì)生物識(shí)別信息作宣示性保護(hù)，并未對(duì)保護(hù)內(nèi)容及保護(hù)方式作實(shí)質(zhì)性規(guī)定。

與上述法律規(guī)范形成對(duì)比，我國(guó)在行政法規(guī)、規(guī)章、條例等規(guī)范性文件中對(duì)人臉識(shí)別技術(shù)應(yīng)用中涉及的面部特征信息（個(gè)人生物識(shí)別信息）作了較為細(xì)化的規(guī)定，其中包括多項(xiàng)意見(jiàn)征求中的數(shù)據(jù)（個(gè)人信息）管理的專(zhuān)門(mén)性法規(guī)以及多項(xiàng)國(guó)家標(biāo)準(zhǔn)規(guī)定。其中，2020 年3 月修訂的《信息安全技術(shù)個(gè)人信息安全規(guī)范》對(duì)個(gè)人生物識(shí)別信息的保護(hù)進(jìn)行了較為全面的規(guī)定。該項(xiàng)規(guī)范明確規(guī)定了個(gè)人生物識(shí)別信息屬于敏感個(gè)人信息，并對(duì)該類(lèi)信息進(jìn)行特殊保護(hù)：采集個(gè)人生物識(shí)別信息前應(yīng)當(dāng)向信息主體告知采集、使用個(gè)人信息的目的、方式和范圍以及存儲(chǔ)時(shí)間等規(guī)則，并獲得個(gè)人信息主體的明示同意；個(gè)人生物識(shí)別信息應(yīng)與個(gè)人身份信息分開(kāi)存儲(chǔ)；原則上不應(yīng)存儲(chǔ)原始個(gè)人生物識(shí)別信息，等等。但該項(xiàng)規(guī)范僅為國(guó)家層面的推薦性標(biāo)準(zhǔn)，不具有強(qiáng)制效力[17]。由此可見(jiàn)，我國(guó)關(guān)于人臉識(shí)別技術(shù)應(yīng)用的法律規(guī)制問(wèn)題仍有待進(jìn)一步完善。

3.2 我國(guó)人臉識(shí)別技術(shù)應(yīng)用的法制完善

鑒于人臉識(shí)別技術(shù)應(yīng)用可能帶來(lái)的識(shí)別錯(cuò)位和歧視風(fēng)險(xiǎn)、破壞知情同意規(guī)則風(fēng)險(xiǎn)、隱私和個(gè)人信息侵害風(fēng)險(xiǎn)，未來(lái)立法上應(yīng)當(dāng)確立面部特征信息的準(zhǔn)確化處理原則、完善知情同意規(guī)則和隱私侵害的救濟(jì)措施等。

3.2.1 確立面部特征信息的準(zhǔn)確化處理原則

當(dāng)前，人臉識(shí)別技術(shù)尚不成熟，其應(yīng)用過(guò)程中仍存在較大的識(shí)別錯(cuò)位與歧視風(fēng)險(xiǎn)，有必要借鑒歐盟《通用數(shù)據(jù)保護(hù)條例》確立信息處理的準(zhǔn)確化原則。歐盟《通用數(shù)據(jù)保護(hù)條例》在第5 條個(gè)人數(shù)據(jù)處理原則中規(guī)定了個(gè)人數(shù)據(jù)的準(zhǔn)確性：數(shù)據(jù)處理者應(yīng)當(dāng)確保個(gè)人數(shù)據(jù)是準(zhǔn)確的，如有必要應(yīng)當(dāng)及時(shí)更新、擦除或更正。在此條規(guī)范的要求之下，人臉識(shí)別技術(shù)得到應(yīng)用的前提是其技術(shù)水平得到保障。由此，我國(guó)可根據(jù)該原則從以下幾個(gè)方面創(chuàng)設(shè)具體規(guī)則，用以達(dá)到準(zhǔn)確處理面部特征信息的效果：其一，要求企業(yè)及時(shí)進(jìn)行系統(tǒng)性能測(cè)試，避免技術(shù)誤差帶來(lái)的面部特征信息識(shí)別錯(cuò)位風(fēng)險(xiǎn)，同時(shí)加強(qiáng)安全保密措施的實(shí)施，用來(lái)降低面部特征信息存儲(chǔ)過(guò)程中的風(fēng)險(xiǎn)，實(shí)現(xiàn)面部特征信息處理的準(zhǔn)確化；其二，政府可建立第三方獨(dú)立檢測(cè)機(jī)構(gòu)，對(duì)人臉識(shí)別技術(shù)進(jìn)行定期合規(guī)性檢測(cè)，督促企業(yè)對(duì)相關(guān)設(shè)備進(jìn)行升級(jí)，避免技術(shù)應(yīng)用中準(zhǔn)確性的欠缺帶來(lái)的識(shí)別錯(cuò)位與歧視風(fēng)險(xiǎn)。

3.2.2 構(gòu)建具有可操作性的知情同意規(guī)則

面部特征信息屬于敏感個(gè)人信息，是與人身財(cái)產(chǎn)相關(guān)的重要個(gè)人信息，對(duì)面部特征信息的保護(hù)也應(yīng)更加嚴(yán)格。相應(yīng)地，面部特征信息使用的知情同意也應(yīng)嚴(yán)于一般個(gè)人信息的知情同意[18]。美國(guó)伊利洛伊州的《生物信息隱私法》采用書(shū)面知情同意原則，要求處理個(gè)人生物信息必須事先獲得信息主體的書(shū)面同意。這部法律頒布較早，隨著信息社會(huì)的發(fā)展，要求信息主體一一進(jìn)行書(shū)面同意顯然難以滿足當(dāng)下信息處理的需求[19]。因此，在對(duì)《個(gè)人信息保護(hù)法（草案）》第30 條處理敏感個(gè)人信息的告知同意規(guī)則進(jìn)行完善時(shí)，應(yīng)致力于提高該規(guī)則的靈活性與兼容性，既要考慮信息主體的自主選擇也要進(jìn)行成本控制，還要照顧到一般主體的數(shù)據(jù)理性能力[20]?；诖耍瑯?gòu)建具有可操作性的知情同意規(guī)則可考慮以下兩個(gè)方面：一方面，對(duì)面部特征信息的同意應(yīng)從概括同意、整齊劃一的同意向動(dòng)態(tài)同意轉(zhuǎn)變，允許個(gè)人選擇其偏好的知情方式、頻率以及內(nèi)容，并自由決定授予同意或退出同意，以提高信息主體在信息處理過(guò)程中的參與度[21]。另一方面，嚴(yán)格禁止知情同意的推定。除法律明確規(guī)定該場(chǎng)景可推定信息主體已經(jīng)作出默示同意外，信息處理者不得作出不利于信息主體的默示推定，信息主體未經(jīng)拒絕的沉默不得視為同意，以防止信息處理者以此為由濫用人臉識(shí)別應(yīng)用技術(shù)，提高侵害信息主體個(gè)人信息自決權(quán)的風(fēng)險(xiǎn)。

3.2.3 強(qiáng)化侵害隱私的救濟(jì)措施

人臉識(shí)別技術(shù)應(yīng)用所帶來(lái)的核心難題在于實(shí)現(xiàn)隱私侵害的預(yù)防與救濟(jì)。面部特征信息處理的準(zhǔn)確化原則與知情同意規(guī)則均致力于信息處理前的制度構(gòu)建，對(duì)人臉識(shí)別技術(shù)應(yīng)用進(jìn)行有效的法律規(guī)制還須有針對(duì)性地完善相應(yīng)的救濟(jì)措施。這就需要對(duì)多方參與主體進(jìn)行責(zé)任配置，實(shí)現(xiàn)從私主體到公權(quán)力再到社會(huì)組織的全方位立體治理。一方面，應(yīng)對(duì)接不同部門(mén)法對(duì)人臉識(shí)別技術(shù)應(yīng)用中涉及的個(gè)人隱私進(jìn)行綜合保護(hù)。具體而言，不僅要在民事領(lǐng)域?yàn)橄鄳?yīng)責(zé)任主體配置義務(wù)、設(shè)定規(guī)范，完善面部特征信息的侵權(quán)救濟(jì)制度，還應(yīng)在行政領(lǐng)域加強(qiáng)行政監(jiān)管，落實(shí)行政主體統(tǒng)籌保護(hù)面部特征信息的責(zé)任，并在刑法領(lǐng)域設(shè)立專(zhuān)門(mén)規(guī)范用以規(guī)制人臉識(shí)別技術(shù)的不當(dāng)使用，對(duì)利用人臉識(shí)別技術(shù)嚴(yán)重侵犯?jìng)€(gè)人隱私與財(cái)產(chǎn)權(quán)的犯罪行為進(jìn)行嚴(yán)厲打擊。另一方面，應(yīng)推動(dòng)社會(huì)規(guī)范的構(gòu)建，完善人臉識(shí)別技術(shù)應(yīng)用中的合同和交易制度設(shè)計(jì)，由此對(duì)私主體或政府機(jī)構(gòu)等個(gè)人信息處理者的責(zé)任進(jìn)行確切的落實(shí)。此外，還應(yīng)強(qiáng)化個(gè)人信息控制者、監(jiān)管者的責(zé)任。個(gè)人信息控制者、監(jiān)管者有義務(wù)制定合乎法律規(guī)范且符合大數(shù)據(jù)時(shí)代信息科技發(fā)展理念的行業(yè)規(guī)范，并承擔(dān)防范面部特征信息不當(dāng)泄露的責(zé)任，即使信息泄露未對(duì)信息主體造成實(shí)質(zhì)性損害，監(jiān)管者也應(yīng)承擔(dān)監(jiān)管不力的責(zé)任。

4 結(jié)語(yǔ)

在人臉識(shí)別技術(shù)已得到普遍應(yīng)用的信息科技時(shí)代，我們既要正視其帶來(lái)的社會(huì)收益，鼓勵(lì)新興科技的發(fā)展，也要及時(shí)應(yīng)對(duì)人臉識(shí)別技術(shù)給個(gè)人尊嚴(yán)、隱私以及現(xiàn)存法律制度帶來(lái)的挑戰(zhàn)。對(duì)人臉識(shí)別技術(shù)進(jìn)行有效規(guī)制應(yīng)從以下三個(gè)方面入手。一是應(yīng)確立面部特征信息處理的準(zhǔn)確化原則，確保人臉識(shí)別技術(shù)所采集、存儲(chǔ)、使用、公開(kāi)個(gè)人信息等一系列環(huán)節(jié)中信息的準(zhǔn)確性。二是應(yīng)以信息主體面部特征信息的保護(hù)為導(dǎo)向完善知情同意規(guī)則，即通過(guò)采納動(dòng)態(tài)同意規(guī)則、嚴(yán)格禁止知情同意的推定等措施，強(qiáng)化知情同意規(guī)則的可操作性，避免因知情同意的僵化性而侵害信息主體的面部特征信息，阻礙信息社會(huì)的發(fā)展。三是應(yīng)對(duì)接不同部門(mén)法強(qiáng)化信息處理者、使用者、監(jiān)管者的責(zé)任，創(chuàng)設(shè)信息科技時(shí)代全方位、立體化的面部特征信息保護(hù)機(jī)制。