□ 文 楊 婕

0 引言

近年來，人臉識(shí)別產(chǎn)業(yè)規(guī)模迅速擴(kuò)大，與此同時(shí)，人臉識(shí)別信息的利用和保護(hù)逐漸成為重點(diǎn)問題。雖然《中華人民共和國個(gè)人信息保護(hù)法》將人臉識(shí)別信息歸為“敏感個(gè)人信息”，設(shè)置了保護(hù)規(guī)則，但人臉識(shí)別信息具有的“唯一性”、“不可更改性”等天然特性，決定了難以與一般敏感個(gè)人信息等同，需要給予更多的監(jiān)管與規(guī)制。

目前，全球?qū)τ谌四樧R(shí)別信息保護(hù)主要有兩種立法模式，一種是在一般性的數(shù)據(jù)保護(hù)立法中進(jìn)行強(qiáng)化性的保護(hù)規(guī)定，以歐盟為代表，我國亦屬于此種。另一種是出臺(tái)生物識(shí)別信息保護(hù)專門性立法，對(duì)人臉等生物識(shí)別信息給予特殊保護(hù)，以美國各州為代表，如伊利諾伊州出臺(tái)的《生物識(shí)別個(gè)人信息隱私法》、德克薩斯州出臺(tái)的《獲取或使用生物識(shí)別標(biāo)識(shí)符法規(guī)》、華盛頓特區(qū)出臺(tái)的《生物識(shí)別隱私保護(hù)法》。反觀我國需要盡快針對(duì)人臉識(shí)別信息進(jìn)行體系化的制度設(shè)計(jì)，確保人臉識(shí)別技術(shù)有序開發(fā)和使用。

1 人臉識(shí)別技術(shù)簡述

隨著人工智能、區(qū)塊鏈等技術(shù)和相關(guān)產(chǎn)業(yè)的快速發(fā)展，我國人臉識(shí)別產(chǎn)業(yè)鏈基本形成，市場(chǎng)規(guī)?？焖僭鲩L。從人臉識(shí)別技術(shù)特性來看，其不僅僅是對(duì)人臉圖像進(jìn)行單一化識(shí)別，而是涵蓋了從圖像收集、到特征提取再到人臉比對(duì)等全過程。當(dāng)前，人臉識(shí)別技術(shù)已在安防、交通、金融、教育、支付等領(lǐng)域得到廣泛應(yīng)用，并逐漸延伸出兩大功能面相。

1.1 人臉驗(yàn)證

人臉驗(yàn)證，是指將收集到的人臉識(shí)別信息與已經(jīng)存儲(chǔ)的特定個(gè)體的面部特征信息進(jìn)行比對(duì)（1：1模式），以確認(rèn)特定個(gè)體身份的真實(shí)性，即證明“你是你”，如人證比對(duì)、刷臉支付等應(yīng)用。

1.2 人臉辨識(shí)

人臉辨識(shí)，是指將收集到的人臉識(shí)別信息與已經(jīng)存儲(chǔ)的在一定范圍內(nèi)的不同面部特征信息進(jìn)行比對(duì)（1：N 模式），以查找和辨認(rèn)個(gè)體身份，即證明“你是誰”，如小區(qū)門禁、簽到打卡等應(yīng)用。

2 人臉識(shí)別技術(shù)應(yīng)用的風(fēng)險(xiǎn)挑戰(zhàn)

由于人臉識(shí)別信息具有“唯一性”和“不可更改性”，使其與個(gè)人的聯(lián)系強(qiáng)于一般個(gè)人信息，這既是該技術(shù)得以廣泛應(yīng)用的原因，也使得其一旦被非法應(yīng)用，后果也更加嚴(yán)重。

2.1 未經(jīng)用戶授權(quán)，攝像頭“主動(dòng)”“無感”抓拍、識(shí)別人臉信息

一些不需要個(gè)人配合使用的人臉識(shí)別設(shè)備，往往安裝的較為隱蔽，個(gè)人難以察覺。此類設(shè)備由于缺乏用戶授權(quán)，存在侵犯?jìng)€(gè)人隱私的問題。如，一些房地產(chǎn)公司通過安裝具有人臉識(shí)別功能的攝像頭，在客戶不知情的情況下，收集人臉信息，識(shí)別客戶是否屬于首次到訪，以確定是否對(duì)中介進(jìn)行利潤分成。再如，一些衛(wèi)浴類銷售門店也安裝了具有人臉識(shí)別功能的攝像頭，隱秘收集顧客人臉信息，通過分析顧客來店記錄，以進(jìn)行精準(zhǔn)營銷。

2.2 非必要濫用，呈現(xiàn)“遍地開花”趨勢(shì)但用戶無法自主選擇

當(dāng)前，人臉識(shí)別技術(shù)被廣泛應(yīng)用于各種場(chǎng)景，包括考勤打卡、小區(qū)門禁、景區(qū)游覽等。為使用上述服務(wù)，用戶只能被動(dòng)地“同意”使用人臉識(shí)別技術(shù)。但實(shí)際上，在這些場(chǎng)景中應(yīng)用人臉識(shí)別技術(shù)并不具備充分的必要性，完全可以采用其他認(rèn)證方式。如，物業(yè)公司強(qiáng)制使用人臉識(shí)別技術(shù)，將其作為居民進(jìn)入小區(qū)的唯一方式，以取代安保、門禁卡等驗(yàn)證方式。再如，杭州某野生動(dòng)物園強(qiáng)制要求游客刷臉進(jìn)入園區(qū)的行為，也曾被游客起訴。

2.3 安全保障不足，不同場(chǎng)景下難以有效保障技術(shù)的安全性

人臉識(shí)別作為“密碼登錄”、“身份核驗(yàn)”的關(guān)鍵組件，被黑灰產(chǎn)業(yè)持續(xù)攻擊，人臉識(shí)別技術(shù)應(yīng)用的安全問題持續(xù)受到公眾擔(dān)憂。如，清華大學(xué)研究團(tuán)隊(duì)利用對(duì)抗樣本攻擊技術(shù)攻破了十余款手機(jī)中的人臉識(shí)別應(yīng)用。再如，交通銀行人臉識(shí)別系統(tǒng)被繞過造成受害人資金被竊取。此外，人臉識(shí)別算法準(zhǔn)確率受傳感器、對(duì)象群體、環(huán)境因素不同的影響，識(shí)別準(zhǔn)確率大打折扣，易被“以假亂真”的人臉照片、3D模型破解。

2.4 存在倫理問題，部分應(yīng)用場(chǎng)景引發(fā)大眾對(duì)于道德倫理的擔(dān)憂

與其他自動(dòng)化分析技術(shù)相結(jié)合使用后，人臉識(shí)別技術(shù)可能會(huì)涉及倫理道德問題。如一些學(xué)校通過使用人臉識(shí)別技術(shù)，收集學(xué)生在課堂上的姿勢(shì)、表情以及低頭頻率等數(shù)據(jù)，通過相關(guān)工具統(tǒng)計(jì)分析，得出學(xué)生的學(xué)習(xí)效果指數(shù)、專注度指數(shù)等信息并告知老師和家長，可能涉嫌侵犯學(xué)生的人格尊嚴(yán)。

3 人臉識(shí)別技術(shù)應(yīng)用問題的原因分析

法律依據(jù)的充足是保障人臉識(shí)別信息得到有效保護(hù)的前提。但顯然，人臉識(shí)別信息相關(guān)規(guī)定較為原則，規(guī)則可操作性不強(qiáng)。

3.1 知情同意落地難：一刀切落實(shí)知情同意與人臉識(shí)別技術(shù)的便捷性存在沖突

按照現(xiàn)有規(guī)定，處理人臉識(shí)別信息等敏感個(gè)人信息應(yīng)當(dāng)獲得個(gè)人的單獨(dú)同意。單獨(dú)同意相較于一般同意，能夠充分保護(hù)用戶的知情權(quán)。但人臉識(shí)別技術(shù)得以廣泛普及的關(guān)鍵在于其具有的高效便捷性。正是由于此特性，人臉識(shí)別技術(shù)在眾多場(chǎng)景中得以在用戶不知情的情況下，隱蔽收集人臉識(shí)別信息。為此，法律要求的單獨(dú)同意形同虛設(shè)，無法切實(shí)發(fā)揮作用。但反之，若在所有場(chǎng)景中一概要求嚴(yán)格落實(shí)單獨(dú)同意規(guī)則，則會(huì)在一定程度上影響人臉識(shí)別技術(shù)應(yīng)用的效率。因此，知情同意規(guī)則與技術(shù)的便捷性之間存在著難以調(diào)和的矛盾。

3.2 必要認(rèn)定落地難：必要原則在落地時(shí)未形成細(xì)化規(guī)則，存在內(nèi)容錯(cuò)配

必要原則屬于個(gè)人信息保護(hù)中的一項(xiàng)原則性要求，規(guī)定個(gè)人信息處理者處理人臉識(shí)別信息等敏感個(gè)人信息時(shí)，應(yīng)當(dāng)具備充分的必要性。必要原則既然屬于宏觀層面的法律原則，在判定人臉識(shí)別技術(shù)應(yīng)用的目的及其是否具有必要時(shí)，必然需要中觀層面的判定方法論進(jìn)行支撐。然而，當(dāng)前由于缺乏人臉識(shí)別技術(shù)應(yīng)用的必要性判斷標(biāo)準(zhǔn)，導(dǎo)致一些本可通過收集一般個(gè)人信息即可實(shí)現(xiàn)服務(wù)目的場(chǎng)景，卻在廣泛、大肆收集人臉識(shí)別信息。

3.3 場(chǎng)景劃分落地難：未能實(shí)現(xiàn)對(duì)于人臉識(shí)別應(yīng)用場(chǎng)景的細(xì)化和分級(jí)

人臉識(shí)別技術(shù)應(yīng)用于不同場(chǎng)景，對(duì)其規(guī)制方式、方法以及路徑理應(yīng)存在差異。這是由于人臉識(shí)別在不同場(chǎng)景下，需要防范的風(fēng)險(xiǎn)不同，以及所需平衡的利益也不同。然而，目前立法并未根據(jù)人臉識(shí)別應(yīng)用目的、應(yīng)用方式、應(yīng)用手段等因素對(duì)應(yīng)用場(chǎng)景進(jìn)行細(xì)化和分級(jí)，在實(shí)踐中也并未根據(jù)場(chǎng)景針對(duì)性地提出管理要求，進(jìn)而導(dǎo)致規(guī)制手段的單一化、一刀切。

3.4 安全保障落地難：與人臉識(shí)別技術(shù)和應(yīng)用有關(guān)的安全風(fēng)險(xiǎn)持續(xù)存在

由于不存在絕對(duì)安全的技術(shù)保障手段，人臉識(shí)別技術(shù)與傳統(tǒng)身份驗(yàn)證技術(shù)一樣，均存在被攻破的風(fēng)險(xiǎn)。在人臉識(shí)別技術(shù)層面，近年來，企業(yè)普遍采用了活體檢測(cè)、加密加簽等安全措施，然而黑灰產(chǎn)業(yè)針對(duì)人臉識(shí)別系統(tǒng)的攻擊手段也在不斷演進(jìn)，當(dāng)人臉識(shí)別系統(tǒng)在遇見未知攻擊的情況下仍存在被攻破的可能。在人臉識(shí)別應(yīng)用層面，各行業(yè)領(lǐng)域由于缺少人臉識(shí)別技術(shù)應(yīng)用安全指引，尚未形成技術(shù)與業(yè)務(wù)雙輪驅(qū)動(dòng)的安全保障策略。

4 對(duì)策和建議

構(gòu)建人臉識(shí)別技術(shù)應(yīng)用治理體系，既要全盤考慮、統(tǒng)籌部署，也要突出重點(diǎn)、高效推進(jìn)，立足當(dāng)前問題，推進(jìn)相關(guān)工作。

4.1 總體思路

一方面，人臉識(shí)別技術(shù)應(yīng)用過程中應(yīng)秉持三大原則，倡導(dǎo)負(fù)責(zé)任地使用。一是良性發(fā)展原則，人臉識(shí)別技術(shù)應(yīng)在大眾充分知情的情況下建設(shè)和應(yīng)用；二是權(quán)責(zé)一致原則，明確個(gè)人信息處理者在人臉識(shí)別技術(shù)建設(shè)和應(yīng)用過程中應(yīng)承擔(dān)的責(zé)任；三是安全保障原則，在人臉識(shí)別技術(shù)應(yīng)用過程中設(shè)立安全保障機(jī)制，具備應(yīng)對(duì)安全風(fēng)險(xiǎn)相匹配的安全能力。

另一方面，應(yīng)采用場(chǎng)景化規(guī)制方式，實(shí)現(xiàn)促進(jìn)人臉識(shí)別技術(shù)應(yīng)用發(fā)展與保障公民權(quán)利之間的有效平衡。根據(jù)場(chǎng)景理論，人臉識(shí)別技術(shù)應(yīng)用可區(qū)分為私人場(chǎng)所應(yīng)用、公共場(chǎng)所應(yīng)用。私人場(chǎng)所人臉識(shí)別應(yīng)用，主要是以個(gè)人與私人主體的意思自治為主導(dǎo)，用戶擁有一定的自主選擇權(quán)，因此無需進(jìn)行過于細(xì)致的場(chǎng)景化探討。而公共場(chǎng)所下，由于涉及到公共利益、個(gè)人利益以及個(gè)人信息處理者利益等多種利益的取舍與平衡問題，具有進(jìn)一步場(chǎng)景化解構(gòu)的必要性和特殊性，具體而言可將公共場(chǎng)所人臉識(shí)別分別完全應(yīng)用場(chǎng)景、限制應(yīng)用場(chǎng)景和禁止應(yīng)用場(chǎng)景，以解決人臉識(shí)別技術(shù)的適用問題。

在完全應(yīng)用場(chǎng)景下，應(yīng)當(dāng)為維護(hù)公共利益所必需。如《中華人民共和國個(gè)人信息保護(hù)法》規(guī)定為維護(hù)公共安全所必需，可在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，此時(shí)無需個(gè)人單獨(dú)同意。但應(yīng)當(dāng)設(shè)置顯著的提示標(biāo)識(shí)，所收集的人臉識(shí)別信息也不能用于維護(hù)公共安全以外的其他目的。還應(yīng)注意，由于此場(chǎng)景下，將個(gè)人利益讓渡于公共利益，因此需要區(qū)分考慮人臉驗(yàn)證、辨識(shí)不同功能對(duì)個(gè)人權(quán)益的影響。由于人臉辨識(shí)對(duì)個(gè)人權(quán)益影響較大，相較于人臉驗(yàn)證，應(yīng)當(dāng)進(jìn)一步強(qiáng)化其應(yīng)用要求，以維護(hù)重大公共利益作為應(yīng)用前提。二是在相對(duì)應(yīng)用場(chǎng)景下，應(yīng)當(dāng)以落實(shí)知情同意規(guī)則作為適用前提。與完全應(yīng)用場(chǎng)景不同，在相對(duì)應(yīng)用場(chǎng)景下，不存在公共安全等利益的考量問題，應(yīng)當(dāng)由個(gè)人自行選擇是否使用人臉識(shí)別技術(shù)，不得強(qiáng)迫個(gè)人使用。同時(shí)，還應(yīng)確保適用人臉識(shí)別技術(shù)具有必要性。但在同意方式的設(shè)計(jì)上，應(yīng)當(dāng)考慮個(gè)人信息處理者與個(gè)人利益之間的平衡，采取動(dòng)態(tài)化、較為便捷的同意模式。三是在禁止應(yīng)用場(chǎng)景下，避免產(chǎn)生倫理道德風(fēng)險(xiǎn)。對(duì)于可能引發(fā)身份歧視、損害人格權(quán)益的場(chǎng)景，應(yīng)當(dāng)禁止使用人臉識(shí)別技術(shù)，為技術(shù)的應(yīng)用劃定紅線。

4.2 監(jiān)管的措施

4.2.1 確立人臉識(shí)別技術(shù)應(yīng)用評(píng)估制度

人臉識(shí)別技術(shù)在被應(yīng)用前，應(yīng)當(dāng)從以下方面開展評(píng)估工作:

一是對(duì)人臉識(shí)別技術(shù)應(yīng)用的必要性進(jìn)行評(píng)估。綜合人臉識(shí)別技術(shù)應(yīng)用主體、場(chǎng)所及手段等因素，對(duì)在公共場(chǎng)所和私人場(chǎng)所中應(yīng)用的人臉識(shí)別技術(shù)進(jìn)行必要性評(píng)估。具體而言，個(gè)人信息處理者應(yīng)當(dāng)就技術(shù)應(yīng)用的目的、必要性以及所處理的人臉識(shí)別信息的目的、范圍等進(jìn)行詳細(xì)說明，并在評(píng)估過程中分析個(gè)人預(yù)期，判斷處理行為是否超出個(gè)人預(yù)期范圍。

二是圍繞技術(shù)的安全性與合規(guī)性展開評(píng)估。在安全層面，通過檢驗(yàn)人臉識(shí)別技術(shù)防御主流黑灰產(chǎn)業(yè)攻擊的能力，以及針對(duì)業(yè)務(wù)應(yīng)用場(chǎng)景的安全保證策略來衡量人臉識(shí)別的安全性。在合規(guī)層面，圍繞人臉識(shí)別信息處理環(huán)節(jié)、人臉識(shí)別信息安全管理、個(gè)人權(quán)利保障等維度評(píng)估針對(duì)人臉識(shí)別信息的處理是否滿足合規(guī)性要求。

4.2.2 建立便捷式、差異化的同意模式

從人臉識(shí)別技術(shù)應(yīng)用是否需要獲得個(gè)人同意來看，可分為兩種情形：一種為實(shí)現(xiàn)公共利益所需的情形，例如公共安全、公共健康所需等，無需經(jīng)過個(gè)人同意；另一種為需要獲得個(gè)人單獨(dú)同意授權(quán)的情形。在人臉識(shí)別信息處理中，在同意要求方面，可適度放松形式要求，允許采用不同的同意方式，但應(yīng)對(duì)實(shí)質(zhì)要求從嚴(yán)把關(guān)?？蓪?duì)不同場(chǎng)景下人臉識(shí)別同意模式進(jìn)行審查，判斷該同意模式是否能夠避免風(fēng)險(xiǎn)、實(shí)現(xiàn)信息安全以及確保個(gè)人權(quán)益。此外，在個(gè)人權(quán)益保障方面，應(yīng)當(dāng)審查人臉識(shí)別技術(shù)應(yīng)用是否設(shè)置了個(gè)人選擇權(quán)、退出權(quán)等保障機(jī)制，能否確保個(gè)人對(duì)其人臉識(shí)別信息的自決。

4.2.3 加快構(gòu)建人臉識(shí)別技術(shù)應(yīng)用監(jiān)管體系

鑒于人臉識(shí)別技術(shù)應(yīng)用風(fēng)險(xiǎn)較大，應(yīng)當(dāng)推行構(gòu)建全流程、動(dòng)態(tài)化的監(jiān)管體系。

一是以“技術(shù)備案”方式加強(qiáng)事前監(jiān)管。對(duì)于在公共場(chǎng)所完全應(yīng)用場(chǎng)景下的人臉識(shí)別技術(shù)，由于具有強(qiáng)制性，無需個(gè)人單獨(dú)同意，可考慮要求應(yīng)用此場(chǎng)景下的人臉識(shí)別技術(shù)的個(gè)人信息處理者向監(jiān)管部門進(jìn)行備案，備案內(nèi)容包括個(gè)人信息處理者的安全保護(hù)能力、應(yīng)用必要性、人臉識(shí)別信息處理目的、處理方式等內(nèi)容。

二是多管齊下落實(shí)事中事后監(jiān)管。完善人臉識(shí)別信息泄露等安全事件的處理機(jī)制，定期對(duì)研發(fā)人臉識(shí)別技術(shù)的企業(yè)開展安全性能執(zhí)法檢查。采用試點(diǎn)、沙箱等監(jiān)管方式，指導(dǎo)督促相關(guān)個(gè)人信息處理者落實(shí)自身安全管理責(zé)任，圍繞人臉識(shí)別技術(shù)應(yīng)用的全鏈條進(jìn)行風(fēng)險(xiǎn)評(píng)估，不斷提高監(jiān)管的效率和靈活性。

4.2.4 助推行業(yè)自律規(guī)范落地，建立內(nèi)生機(jī)制

治理人臉識(shí)別技術(shù)應(yīng)用，還應(yīng)推動(dòng)實(shí)現(xiàn)立法引導(dǎo)政府激勵(lì)為主，行業(yè)自律為輔的新模式。

一是面向電信、互聯(lián)網(wǎng)等行業(yè)領(lǐng)域深入研究人臉識(shí)別技術(shù)安全應(yīng)用范式，推動(dòng)各方機(jī)構(gòu)開展產(chǎn)業(yè)交流與技術(shù)討論，共同開發(fā)新技術(shù)，探索具有隱私保護(hù)能力的人臉識(shí)別技術(shù)應(yīng)用場(chǎng)景。

二是建立人臉識(shí)別技術(shù)應(yīng)用的安全動(dòng)態(tài)共享機(jī)制，借助產(chǎn)業(yè)力量持續(xù)監(jiān)測(cè)線上發(fā)生的攻擊行為，長期追蹤黑灰產(chǎn)業(yè)攻擊動(dòng)態(tài)，及時(shí)向行業(yè)同步相關(guān)情況，提供安全防護(hù)建議措施。

5 結(jié)束語

人臉識(shí)別信息的保護(hù)與利用平衡，是需要慎重探討的問題。一方面，需要加強(qiáng)對(duì)技術(shù)發(fā)展的引導(dǎo)，技術(shù)的問題需要用技術(shù)來解決。例如推動(dòng)發(fā)展信息加密、區(qū)塊鏈存證、標(biāo)簽提示等能夠預(yù)防和緩解人臉識(shí)別信息偽造問題的技術(shù)；另一方面，更重要的是，在立法領(lǐng)域形成完善的風(fēng)險(xiǎn)防范和對(duì)治體系，強(qiáng)化監(jiān)管力度。只有充分融合法律和技術(shù)手段，才能推動(dòng)人臉識(shí)別技術(shù)安全、有序發(fā)展。■