人脸识别信息的应用风险与法律保护

邓建鹏　庞博　陈海洋

大数据时代，人工智能的飞速发展使得生物识别技术愈发成熟。利用生物识别技术对个人身份进行识别，一方面为社会带来了效益的提升，便利了民众的生产与生活，另一方面，个人生物识别技术与信息的广泛且毫无限制的应用也为人们带来了诸多困扰和风险隐患，而当前又以人脸识别信息的应用最为流行。

在目前的应用场景下，利用人脸识别信息进行“刷脸”打卡、“刷脸”支付屡见不鲜。同时由于人脸常常处于暴露的形态之下，技术上完全可以实现在当事人不知情的情况下进行收集，因此人脸识别信息的应用是人们目前最为困扰的问题。如杭州野生动物世界在未与顾客进行协商同意的情况下，通过短信告知顾客必须进行人脸识别信息的采集，否则将无法正常入园。作为顾客之一的郭兵认为人脸识别技术存在安全风险，且人脸信息属于个人敏感信息，一旦泄漏将危及自身的人身和财产安全，因此不愿意录入人脸信息并要求园方退卡，然而园方拒绝了郭兵的请求。被拒绝后郭兵一纸诉状将园方告上了法庭。一起看似普通的合同纠纷，却被网友稱为“人脸识别第一案”。这背后体现了公众对于人脸识别技术广泛应用的担忧：如此多的“刷脸”真的有必要吗？2019年深圳市深网视界有限公司由于数据保护出现纰漏，致使百万条人脸识别信息、个人信息数据泄漏;各类APP过度收集使用人脸识别信息被工信部约谈。人们开始意识到法律对于人脸识别技术应用的规范和限制还不够，数据泄漏、侵害权利等方面的风险难以防范，司法救济少之又少。

因此，如何针对人脸识别信息构建完善的法律保护体系，并对使用人脸识别信息的行为进行规范与限制，为世人关注，也是当前法学界的研究焦点。

一、个人生物识别生物信息的内涵

百度百科对生物识别（Biometrics）的定义是：通过计算机与光学、声学、生物学相结合，利用生物传感器等手段，识别人体的生理特征、行为特征，并进行特征点上的特征信息的提取与鉴定，通过数据对比得出该人身份的技术。而个人生物识别信息则是在这个生物识别技术应用过程中，涉及的个人生理特征信息、行为特征信息等。

对于个人生物识别信息的内涵，国外相关文件均进行了明确定义。如欧盟于2016年通过、2018年正式实施的《通用数据保护条例》第四条第十四款规定，生物识别信息是指与自然人的身体、生理或行为特征有关的，经特定技术处理产生的个人数据，通过这些数据能够确认该自然人的唯一身份。

在我国，虽未对个人生物识别信息进行定义，但对其包含的事项以列举的方式进行了界定。2017年我国发布的《信息安全技术个人信息安全规范》“附录A”中对个人生物识别信息进行了界定，确定个人生物识别信息包括“个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等”。值得明确的是此“等”应作“等外”理解，因为结合欧盟《通用数据保护条例》的实施经验与现今的生物识别技术来看，不仅“附录A”中明确提出的生理特征可以作为识别信息对个人的身份进行识别，列举项外的行为特征也可以作为识别信息识别个人身份，如步态、笔迹等这些在目前的刑侦领域可作为识别信息进行匹配身份的行为特征信息，随着科技的发展，将来完全可以作为生物识别信息进行身份的有效鉴定并广泛应用。

综上可以明确，个人生物识别信息是借助生物识别技术处理人类的生理和行为特性获得的，可以匹配和锁定个人身份信息的个人信息。

二、人脸识别信息的特殊性

在各种个人生物识别信息中，由于面部信息特征最为明显、最容易为当前先进技术完整捕获，故其在现实生活中的应用最为广泛，近年更是逐渐大量被应用到银行客户身份识别、社区入口管理、道路安全管理中。

人脸识别信息存在如下特殊性：

其一是人脸识别信息获取设备的普遍性。随着科学技术的发展，目前对人脸识别信息获取所需设备的经济投入和硬件配置要求不高，同时对获取信息的环境也没有严格的要求，一台手机或者一个摄像头均可获取人脸识别信息，而手机和摄像头等作为普通的设备在市场可轻易购买到。因此人脸识别信息获取的设备具有普遍性。

其二是人脸识别信息获取过程的未知性。由于人脸识别技术的发展较为成熟，相较于其他生物识别信息，人脸识别信息在获取过程中，可以实现未经当事人同意、配合即可完成收集。在获取过程中，当事人的人面部完全暴露在外部环境中，信息收集者通过普通设备即可进行，当事人可能完全处于未知情、未同意和未授权的状态。

其三是识别、匹配技术的高效性。在过去，对人脸识别信息收集后，需要人工识别数据，即将数据传回终端进行人工的鉴定与核对，费时费力，并且效率很低，所需人工成本很大。技术的不成熟使得侵犯人脸识别信息的可能性非常小。随着技术的发展，人工智能技术的出现与使用，使快速识别工作成为可能，显著提高了生物信息识别的效率。同时，大数据技术的应用使得数据之间的关联性更加紧密，数据的相关性被加强。某一信息被识别后即可通过大数据技术迅速完成相关信息的搜集，甚至在当事人并不知情的情况下，相关信息被应用于各种商业或其它场景，个人信息被泄漏、被侵犯的风险迅速增加。

其四是人脸识别信息的唯一性与永久性。人脸识别信息的本质是生物识别信息，具备生物识别信息的一般特性——唯一性与永久性。一方面，人的面部是先天的遗传因素和后天环境的影响共同决定的，每个个体的遗传因素与后天环境的差异导致了每个个体的个人生物识别信息的差异，使得人脸识别信息是唯一的。另一方面，一旦人脸识别信息发生泄露，由于其具有永久性，难以通过类似更改密码、更换住址或更换手机号等简易方式来避免遭受更为严重的侵害。若想改变面部特征，只能通过整容手术进行，但进行手术后大部分特征有极大的几率仍可以被机器识别。

三、人脸识别信息的法律保护及局限

结合以上分析可以得出如下结论。一方面，由于人脸识别信息的获取过程对设备和环境要求较低，且在获取时当事人无需配合，致使其暴露风险更高，因此，必须对人脸识别信息严加保护，并依据法律规范对获取信息的行为进行限制，以确保获取和收集此类信息的合法性。另一方面，由于人脸识别信息的一般特性——唯一性与永久性，一旦泄漏将产生严重的危害后果，因此对于通过合法方式与渠道获取、收集的信息，也应尽到严格的注意义务对已收集的信息加以保管与保护，严防泄漏与非法使用。最后，由于人工智能技术的发展，对人脸的识别速度越来越快，可以迅速对信息进行收集分析，快速识别个人的身份信息，同时结合大数据技术，被识别的人的各种信息可以迅速集合，形成“数字人物画像”。技术的发展使得个人的隐私和权利越来越容易受到侵犯，因此法律也应对技术的使用、结合进行更为严格的保护。

人脸识别信息的特殊性，要求法律对其严加保护。但是，我国目前尚未出台相关的专门的立法或文件，因而只能通过多项法律的综合运用，尽可能地进行较为妥善的保护。

针对个人信息的收集、储存、保管、使用的行为，根据《中华人民共和国网络安全法》、《中华人民共和国电子商务法》等法律与法规，由公权力机构对收集、储存、保管、使用个人信息的行为进行监管，并对不符合法律与规范的行为进行责任追究。但需要明确的是，相关法律与法规并未针对个人生物识别信息进行相应规制，而只是将个人生物识别信息列入个人信息范围内。这种保护方式难以针对个人生物识别信息的特性形成妥善的保护，尤其是对人脸识别信息这种暴露程度高、唯一且永久的个人生物识别信息难以实现实质上的保护。

针对个人信息的犯罪行为，《刑法》第二百五十三条之一对侵犯公民个人信息的行为制定了相应的法定刑，但该条仅是针对非法出售、提供个人信息的行为、和以窃取等非法方式获得个人信息的行为进行刑罚处罚，而且即使情节特别严重，最高也只能处七年有期徒刑。这意味着合法获得、非法使用的行为难以入罪。同时该罪侵犯的客体往往是大量的个人信息，法定刑与该行为给公民造成的侵害難以成比。因此《刑法》也是有局限且片面的，不能对人脸识别信息或个人生物识别信息进行完备的保护。

2020年，新颁布的《民法典》对于人脸识别信息提供了部分的保护途径。首先，人脸识别信息在一定条件下可以承载于一定载体之上且可被识别，因此人脸识别信息在该条件下可被视作肖像，受到肖像权的保护。《民法典》在人格权编肖像权章节明确了人脸识别信息使用时的知情同意原则，制作、使用、公开肖像权人的肖像需获得同意，但某些情况下合理实施的行为可不经肖像权人同意，如：国家机关依法履行职责、维护公共利益或肖像权人合法权益等，肖像权章节不仅对面部信息的使用进行了特别的限制，也为个人、组织、公权力机构的使用提供了例外情形。其次，《民法典》明确将生物识别信息纳入个人信息范围，受与个人信息相关的法律保护，而人脸识别信息显然属于生物识别信息的范畴。《民法典》在人格权编隐私权和个人信息保护章节对个人信息的收集、处理、更正、删除、保护作出了较为详细的规定。明确了收集、处理个人信息的合法、正当、必要原则，不得过度收集、处理。同时再次强调了知情同意原则，在收集、处理时需征得同意，同时需要公开收集、处理规则，明示收集、处理目的、方式、范围。此外，还赋予了自然人依法向信息控制者查阅其个人信息的权利与信息存有错误时的更正请求权，明确了自然人的监督权与删除请求权，自然人发现信息控制者违反法律、法规或双方约定，有权请求删除。对于信息的保护则要求信息收集者、控制者不得泄漏、篡改、非法提供个人信息，并应采取措施防止泄漏、篡改、丢失。隐私权和个人信息保护章节使生物识别信息的收集、处理、保护等有法可依。

虽然人脸识别信息的法律保护在《民法典》中有所涉及，然而还是未得到应有的重视。《民法典》仍将其视为一般的个人信息，没有基于其特殊性以及更易暴露致使第三方获取的任意性更强而给予更为严格的保护。

虽然相关法律的保护具有局限性，但值得欣慰的是新修订的行业规范——《信息安全技术个人信息安全规范》（GB/T 35273-2020）（下称2020版）对生物识别信息的保护加以重视。2017版《信息安全技术个人信息安全规范》将“个人生物识别信息”这一词汇纳入个人信息的范围，只在“附录A”中简单列举个人生物识别信息包含的内容，并将个人生物识别信息作为个人敏感信息进行相应规制。而2020版将目光转移到个人生物识别信息的特性，进行了如下规定：在收集环节，2017版无任何规定，但2020版明确规定信息收集者的告知义务及需要告知的内容，且必须征得个人信息主体的明示同意才能进行;在储存环节，2017版仅提出应当采取技术措施处理后进行储存，然而2020版则要求原则上禁止储存个人生物识别信息，且需与个人身份信息分开储存;对于个人生物识别信息的共享转让，2017版无任何规定，2020版则明确原则上不应共享、转让，但确因业务需要时应单独向个人信息主体履行告知义务，并在征得明示同意后才可进行;信息披露方面，基本与2017版相同，不允许公开披露，但2020版新增内容表明，若个人生物识别信息包含种族、民族等涉及的其他敏感信息，该分析结果也不允许进行公开。通过两版的相关内容比较可见新修订的2020版规定内容更为全面。

综上，我国目前相关的法律与法规难以基于人脸识别信息的特性，从实质上对其进行更为妥善的保护，相应的处罚力度也不够强。但是相关的立法者已经逐步意识到人脸识别信息、个人生物识别信息的特殊性，并开始逐步通过立法进行相应的规制与保护。

四、未来立法对策的思考

正如前文所说，人脸识别信息一旦泄漏，将难以通过更改来预防后续损害的发生，因此，有必要对人脸识别信息的收集、处理和其他过程施加更为严格的限制，并要求其以更高的标准对其加以保护。未来的立法中，应对此有相关的回应。从立法者的态度来看，我国更倾向于通过统一的立法来规范相关问题，这也体现在将“个人信息保护法”列入十三届全国人大常委会立法规划中。

一是通过专门立法进行妥善保护。目前，外国立法一般都会将人脸信息纳入个人生物识别信息大类中进行规定与保护，并在个人信息保护立法中予以体现，我国也可借鉴这种立法模式。同时，人脸识别技术的广泛应用与人脸识别信息被侵害的案件越来越多，公民愈发关注人脸识别信息的法律保护问题，期望能够得到更为完善的保护。基于此立法者应对此类信息的保护进行更为审慎的考虑，建议尽可能单独设立章节，从人脸识别信息的特殊性出发，着手于获取权限、获取方式、收集行为、信息存储、信息利用、信息识别等方面，对其进行严格限定，并对结合人工智能算法、大数据技术进行信息处理的行为进行严格的范围限制，要求更高标准、更严措施进行信息的保护。

二是构建“全方位”的法律保护体系。除了专门立法进行规制，也应构建人脸识别信息的联合法律保护体系，即在行政法、民法、刑法中完善相关内容。比如，在行政法方面，明确不同行政机构或具有相应行政权利的机构或组织对信息收集者收集和处理人脸识别信息行为的许可权、审查权、处罚权、监督检查权和行政强制执行权。在民法方面，应当在厘请人脸识别信息的权利属性的同时，完善举证责任机制和责任承担机制等，使在存在纠纷的情况下，能够通过民事诉讼机制来有效的解决纠纷，救济权利。在刑法方面，除我国目前的侵犯公民个人信息罪外并无相关规定，为此制定其它相关的罪名，如非法使用公民个人信息罪、应提高《刑法》二百五十三条之一的法定刑，并将非法出售及提供、非法获取人脸识别信息认定为《刑法》二百五十三条之一情节特别严重的情况，进行从重处罚。

三是兼顾合理的利用。在对人脸识别信息与生物识别技术的结合应用进行法律限制的同时，我们也要注意到其在公共安全领域和商业领域应用的很高的价值。因此对于这类信息的收集与处理不能一味的限制与保护，而是应兼顾合理使用，发挥其应有的价值，提升社会总效益。

五、结语

随着科学技术的发展与社会的进步，我们不可避免地要利用人脸识别信息。但在收集与使用前，行政机关、监管机构和执法机构应对于利用人脸识别信息的组织或个人进行合法性、正当性、必要性的审查，严格限制其收集权限，并对处理信息的行为划定范围与界限，对信息保护的方式做出严格要求。同时收集、利用人脸识别信息的组织或个人应严格履行告知义务，征得信息主体的明示同意。最后，未来立法应通过专门立法与联合法律保护体系的构建对此类信息进行保护，在保护的同时切记不可忘记兼顾保护与合理使用。

（邓建鹏，中央财经大学法学院教授;庞博，中央财经大学法学院硕士研究生;陈海洋，江西崇义县人民法院法官/责编 刘玉霞）