人脸识别技术应用中个人信息保护的伦理思考

尚世芳，焦艳玲

(天津医科大学医学人文学院，天津 300070，s13752099320@126.com)

人脸识别使生活更加便捷，但也增加了个人信息泄露的风险，令个人遭受不可逆损害的概率大幅度提升。因此，加强对个人信息的保护尤为重要。那么，加强个人信息的保护具有怎样的道德基础，未来又该如何对待人脸识别技术，这些问题成为人脸识别技术应用必须正视的问题。

1 人脸识别的特点

人脸识别是一种通过对人的脸部特征信息进行分析比较得出结果的生物特征识别技术。它通过摄像机或摄像头采集含有人脸的图像或视频流，并自动在图像中检测和跟踪人脸，进而将检测到的人脸与人脸数据库进行比对。相比其他生物信息如指纹、虹膜等的识别，人脸识别具有以下特点:

第一，非强制性。它在采集人脸图像的时候不需要被采集人刻意的配合，甚至在人不经意的时候就可以采集，这种采集方式是“非强制的”，如遍布大街小巷的监控摄像头，只要经过，个人的人脸信息就会被采集，具有一定的隐蔽性。第二，非接触性。人脸识别的图像采集无需接触采集设备即可获取，这与指纹识别不同，指纹识别一般需要手指在采集设备上进行多个角度多次按压才能够完成指纹信息采集[1]，人脸信息的采集无需接触采集设备即可完成，例如高铁站的“刷脸进站”，只要将人脸暴露在采集设备的范围之内就可以识别进站，并不需要人脸接触采集设备。第三，并发性。人脸识别技术在应用时可以同时采集多人的人脸图像并进行检测和识别,例如商场的监控探头可以同时采集经过此区域的多张人脸信息。

目前，人脸识别技术已经广泛应用于各个生活场域。如摄像机拍照时使用的自动对焦功能，就是通过人脸识别快速确定人脸的位置来完成的。人们手机软件中常用的美颜功能,也是通过对人脸的检测与识别而实现的。人脸识别技术的进一步应用则是身份验证和金融支付。例如公安机关可以将犯罪嫌疑人的人脸图像与人脸数据库进行比,对从而快速找到犯罪嫌疑人；全国各地的火车站、机场安装有人脸识别系统，可以帮助乘客快速安检；各高校的学生公寓和小区的单元楼则可以使用人脸识别技术作为门禁。刷脸支付自2013年于芬兰最早出现后，因其方便、快捷而受到年轻消费者的积极响应，如今也已成为一种支付方式[2]。

2 人脸识别隐藏的伦理风险

人脸识别技术的广泛应用，使得原本不具有隐私性的人脸信息变得越来越重要，越来越有价值，它像手机号码、家庭住址等个人信息一样，也有被泄露和贩卖的风险。2019年有记者发现，在网络商城上有人出售高达十七万条数量的人脸信息，这些信息不只是人脸图像，还包括分析之后的人脸特征、位置信息、情绪特征等，这几乎就是一个人脸识别数据库[3]。被曝光之后，该商家便下架了这类产品，可是在此之前经这一渠道售出的信息已无法挽回。

2.1 人脸识别引发的知情同意困境

人脸识别技术以具有唯一性特征的个人面部信息作为技术应用的基础，该技术所具有的创新性，在客观上给我们的生活带来了便利，但是其非接触性、非强制性等特征使采集者可能绕过被采集人的知情同意，从而达到采集者未被许可或未被告知的使用目的，即人脸识别技术下对人脸信息的侵犯常常具有隐蔽性。事实上，即使是在公共场所，只要被采集者没有被明确告知或者明确许可正在被收集有关信息，个人就有合理的隐私权，就享有知情同意的权利，而储存了大量人脸信息的数据库则具有巨大的风险性[4]。人脸信息在线下和其他生物信息一样是独一无二的，可是在线上却可以被无限制地复制和传输，一旦泄露将会造成无法补救的可怕后果。在以往生活中，数字密码被盗用后我们尚可以更换密码以保障财产安全，身份证丢失了还可以通过补办以获得身份认证；然而人脸数据一旦被泄露，却无法通过“换脸”来挽回。

2.2 人脸识别可能诱发新的社会问题

人脸识别技术有可能发生功能僭变，即对于数据使用超出原有目的，以至于能够通过人的面部信息分析出年龄、性别、身份、情绪变化等个人隐私，这不得不引起我们对个人信息泄露的担忧。人脸识别技术还有可能揭露个人的医学信息。有研究[5]表明，有些生物特征与某些疾病相关，通过对生物特征的分析，可以了解个体是否患有某种疾病或者未来发病的概率等，如果这些医学信息被泄露，则可能会给个人名誉带来负面影响。在成都就曾发生过一起通过人脸识别技术完成的刑事案件[6]，犯罪嫌疑人通过盗取受害者的支付宝账号信息和人脸数据，进而制作受害者的3D动态人脸图像，用以攻破支付宝的人脸识别认证系统，受害者的钱财被窃取。由此可见，人脸信息被滥用，会对个人权利造成影响，可能引发新的社会问题。

可以说，人脸识别带来的个人信息风险主要发生于两个阶段：第一，即在人脸信息的收集阶段，采集者是否获得了被采集者的知情同意；第二，即人脸信息的使用阶段，使用者使用人脸信息时是否合乎法律规定和伦理原则。

3 人脸识别背景下个人信息保护的伦理依据

3.1 对待人脸识别的不同观点

人脸识别技术因其自身优势不仅被商业公司开发利用，而且在政府所主导的行政管理中也被广泛使用。越来越多的学者开始关注该技术已经带来的伦理风险。对于人脸识别技术的使用，目前存在两种不同的态度。

一种观点认为，人脸识别技术的应用存在巨大的伦理风险，对于该技术的使用应充分保障个人信息的安全。例如，有专家认为“密码泄露可以及时更改，而人脸等生物信息一旦泄露就会使个人信息安全处于更大的不确定性之中，进而引发一系列的风险。”[7]另一种观点认为，人脸识别技术的使用虽然可能造成个人信息侵害的风险，但是为了公共利益的需要，有必要限制个人利益。我国从二十一世纪初就以打造“信息政府”为目标，力图使政府在信息技术的支持下更好地履行职能，实现高效率的社会治理。从某种角度上讲，最大的信息处理者正是政府，收集、处理信息正是政府进行社会治理的工作内容。一方面，政府利用信息技术可以提高工作效率，降低服务成本，更高效地为人民服务。例如，政府可以通过对人脸识别技术收集的信息进行分析处理，从而更精确地了解群众需求，合理配置资源，提高政府行政管理水平。行政机关只要是出于公共利益的需要，并采取了防止数据泄露和目的外使用的有效措施，其对于个人信息的收集和使用就应当是正当的；另一方面，人脸识别技术在抓捕逃犯、寻找失踪人员、抗击疫情、边防安检、防恐防暴等方面都发挥了重要的作用，可以有效提高政府维护公共安全的能力[8]。例如，疫情期间使用人脸识别这一非接触性的技术进行身份验证，对疫情防控具有重要的作用。

3.2 人脸识别背景下个人信息保护的正当性

人脸识别背景下加强对个人信息的保护，可以从权利论和康德的德性义务理论中找到依据。

第一，权利论。权利包括道德权利和法律权利。法律权利即法律规定赋予个人的权利；道德权利是指社会成员中的每一个人基于个人生存和发展之必需，以社会公众普遍认同的道德原则、道德规范等为基础所形成的应然权利[9]。道德权利具体包括以下三个方面：首先，道德主体即每一个社会成员都有选择自己信仰何种道德原则、价值观念的道德权利，简单地说，就是每一个人都有选择自己成为何种人的道德权利。法律权利与义务是法律为维护社会秩序规定的，没有选择的余地，任何人都不能违反法律。道德权利则不同，只要在不违反道德底线的情况下可以随意选择，无论是利己还是利他，或者兼顾，只要不损害他人利益就是符合道德的；其次，道德主体即每一个社会成员都有作出或者不作出某种行为的道德权利。道德是最高的法律，道德主体在法律允许的范围之内有行动的自由，道德主体可以自由选择自己的行为；最后，道德主体即每一个社会成员都有让自己的行为得到公允评价的道德权利，也就是说，每一个人都有获得尊重、公平对待的权利[10]。

在人脸识别技术的应用中，人脸数据的提供者有选择自己道德行为的权利，对于人脸等个人信息的采集有知情同意权，还有人脸等个人信息不受侵害的权利。人脸数据的控制者应当以不损害他人利益为前提，尊重他人，保护他人的个人信息不受侵害。

第二，康德的德性义务理论。康德认为，德性是指一种道德力量，它是在人遵循自己应尽的义务时产生的，德性与义务是紧密联系、不可分割的。在康德的德性道德哲学中，德性义务占据着十分重要的地位，它包括以下两方面的内涵：

①为自己的德性义务。人的自我完善包括人的自然完善和人的道德完善。康德认为，人的自然完善就是去除自己本性中粗野的部分，从而逐渐达到人性的过程。在康德看来，这是人最重要的、必须遵循的德性义务。这种义务的提出是为了使人自身的各种自然方面的能力得到提升，从而消除人的物性，使人与其自身的人性相匹配，活得“像个人”。不过，人的自然完善还仅仅是将人从动物界中抽离出来，人的道德完善则是在更深层意义上的自我提升。人作为理性的存在者，有义务努力提升自身道德的完善性。在康德看来，人的道德完善就是不断陶冶人的意志，使它上升到一种纯粹的不含任何杂质的德性意向，也就是说，使人对法则的遵循成为其作出符合义务的行为的内在动机，人对法则的遵循是在自身道德完善义务的前提下进行的，这是人内在的道德完善的过程[11]。

在人脸识别广泛应用的背景下，保护他人的人脸数据是个人信息的收集者、使用者的德性义务，这种为自己的德性义务本不应依靠外力来强制，因为这是对上述信息控制者内在德性的要求，是信息控制者经过了自然完善的阶段，开始向道德完善阶段的自觉提升。若信息控制者都能将保护他人信息安全作为自我完善的阶段来认识，那么信息控制者便实现了道德境界的提升，并会发自内心的作出保护他人的个人信息的这一利人又利己的行为。

②为他人的德性义务。康德认为，人作为理性存在者应该尊重他人，维护他人的尊严，努力促进他人得到幸福是人应尽的德性义务，即使他人理解的幸福与我所理解的幸福会有所不同，也不代表我不可以为他人的幸福贡献力量。这种为他人的德性义务来自于人性中自爱与爱人的德性，也来自于人不可能脱离他人独立存在的事实。在康德看来，得到别人的尊重是一个人在出生时就享有的权利，在享有这一权利的同时，这个人也就负担了对他人的义务[12]。正是由于人有为他人的德性义务，所以人在为他人的幸福作出贡献时自己的德性也会得到完善。在任何情况下，他人都是自己行为的目的，而非手段和工具。

德性义务论的最高道德准则就是尊重人。而在人脸识别背景下，对个人信息的保护体现了对他人的尊重，反映了人脸数据的控制者对信息主体所负担的义务。由于社会中的每一个人都可能成为信息的提供者和使用者，所以基于对他人的尊重，保护信息安全就是对个体幸福的促进。人们可以在平等、尊重的基础上获得更高的安全感和幸福感。

无论是出于为自己的德性义务还是出于为他人的德性义务，都应该加强对个人信息的保护。在相互尊重的基础上保护他人的信息安全，不仅是促进自身道德完善的过程，也是促进他人幸福进而履行自己的德性义务的体现。

4 人脸识别背景下个人信息保护的设想

人脸信息与指纹、虹膜等生物信息相比具有非接触性、非强制性等特征，是唯一一种可以在被收集者不知情的情况下采集的生物信息，此外，由于摄像技术的进步，即使在远处，人脸信息也可以被轻易采集和识别[13]。因此，考虑到人脸识别对于个人以及社会的影响，加强对个人信息的保护就势在必行。

4.1 人脸识别应遵循的伦理原则

①自主性原则。自主性原则是指个人自主地选择自己的思想和行为，是对个人自主和自由的尊重，其核心是对人权的尊重，它要求个人要根据自己的意愿来决定自己的行为。自主性原则主要包括知情同意、保密、隐私等具体规则，其中较为重要的就是知情同意[14]。当人脸识别技术的应用以维护公共安全为目的时，个人应当知情。例如，在公共场所，应该在装有摄像探头的地方张贴“摄像采集区域”的标识；当人脸识别技术应用于商业领域如使用刷脸支付时，则应告知被收集面部信息者自己的面部数据什么时候被收集、谁在收集、收集目的是什么、信息是否与他人共享、个人是否有权利修改、删除该信息以及收集该信息的益处与风险等。另外，当收集的信息被用于其他用途时，应当需要再次获得个人的同意，为避免每次均需知情同意的繁琐，可以将使用目的进行归类，属于同一类的目的则无需再次同意。自主性原则尊重个人自主与自由，尊重人权，如果没有自主性原则，个人对自己正在被收集的信息很难拥有选择权和决定权。因此，人脸识别技术的应用遵循自主性原则对保护个人信息具有重要意义。

②最低限度原则，也称必要性原则。即对于人脸数据等个人信息，能不收集就不收集，能少收集就少收集，收集信息要适度而不能过量[15]。例如，当用户使用刷脸支付时，仅需收集面部数据、银行卡信息、姓名等必要信息，若不收集此类信息则无法完成支付行为。在这种情形下，有些支付平台出于其他目的，可能会要求用户提供其他非必需的信息，这就违反了最低限度原则。此外，对于人脸数据等个人信息的收集应该具有明确的、合乎法律规定与道德要求的目的。科学技术的本意是给人们带来便利，个人信息一旦被滥用，将会给个人的生活带来极大的困扰和安全隐患，而且也会使信息收集者失去人们的信任。对于收集到的个人信息应当有明确合理的使用目的，而不应该在个人完全不知情的情况下被挪作他用。

③公开透明原则。该原则要求信息收集者将收集到的人脸数据等个人信息的储存、使用等向社会大众公开，这样有利于取得公众的信任和理解，也有利于人脸识别等生物信息识别技术更好地应用于社会生活的各个领域。此外，公开透明原则还有利于信息收集者以及信息使用者责任感的提升，有利于保障被收集信息者的自主决定权，保护个人信息不被侵犯。

4.2 应对人脸识别风险的具体对策

第一，加强人脸识别的行政监管。 政府应当加强对收集人脸数据等个人信息的企事业单位的监管，制定严格的个人信息的保护和监管机制，对于人脸数据等信息的采集应制定严格的标准，比如哪些设备可以采集，哪些企事业单位可以生产这类采集设备，在什么样的时间和地点可以进行采集等，并对标准的执行加强监管[16]。另外，还应加强对数据信息的储存、使用等的监管，人脸数据等个人信息储存要有严格的安全防护标准，对于数据管理人员也可以采用面部识别等进行身份验证，防止未经授权的人员查看使用数据信息库。从事信息收集的企事业单位应当加强对内部数据管理人员的培训，提升员工对于数据信息保护的责任意识和保护数据信息不被泄露的工作能力；同时，政府应该制定关于信息保护的政策、法律法规，严厉惩处侵犯个人信息的不法行为，切实保障个人信息安全[17]。目前，《中华人民共和国民法典》第一千零三十五条规定，处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，要求公开处理规则，明示处理的目的、方式和范围。《中华人民共和国个人信息保护法(草案)》提出，在公共领域安装图像采集、人脸识别等设施应当为维护公共安全所必需，所搜集的个人信息只能用于维护公共安全，不得挪作他用，更不得公开或供他人使用，并遵循国家有关规定，设置显著标识。由此可见，人脸识别技术的应用必须在法律允许的范围内，对人脸信息的监管也是有法可依的[18]。

第二，对人脸识别进行高标准的研究。一方面，人脸识别等技术的研发团队应当是多元化的，不仅要包括精通计算机技术的专业人员，还应当有伦理学专家、法学专家、隐私保护等方面的专业人士，甚至应当有人民群众的广泛参与。因为人脸识别等技术的应用产生的各种影响与问题是需要多方交流才能妥善解决的，这样才能使这类技术更好地服务于人类；另一方面，对于信息的保护应该在研发阶段就予以重视，采取适当的手段去尽量避免个人信息泄露等问题，而不应该在问题出现了才想到要解决，人脸识别等技术对于信息的保护应当防患于未然。只有在技术研发阶段就考虑要加强对信息的保护，才能更好地保证数据库的安全，更好地保护个人信息不被侵犯，尊重个人的自主权[19]。

第三，对公民加强思想道德教育，提高公民的道德修养。不论我们怎样从制度上、法律上、技术上去加强对个人信息的保护，加强对侵犯个人信息安全行为的惩罚，都不如个人的好的德行、不如对社会公众的道德教育对个人信息保护有效。但个人道德修养的提高不是一蹴而就的，这就需要整个社会传递正能量，营造良好的社会环境氛围。道德是他律性与自律性的统一，因此，公民个人应当自觉遵循社会的道德要求，将道德要求内化为自己的行动，从而提高自己的道德素质。当社会中的每一个人都是一个有高尚道德的人，个人信息一定能够得到切实保护。

第四，保护人脸等个人信息需加强公众参与。对公民加强思想道德教育的同时也要增强公众的个人信息保护参与感，作为人脸等个人信息的提供者，要敢于向不合理的人脸信息收集说“不”，注重学习相关法律知识，在个人信息受到侵害时要及时拿起法律武器维权，并对信息的收集者、使用者进行监督。

5 结语

我们已然身处大数据时代，人脸识别技术已经慢慢成为我们生活的一部分，技术是一把双刃剑，有利也有弊，人脸识别技术的应用既让我们的生活更加方便快捷，也引起我们对个人信息安全风险的担忧。对于人脸识别技术，既不能放任不管，也不应完全禁止，相信只要我们坚守伦理底线，加强对数据信息的监管，努力提升自身道德修养，加强公众参与，信息安全就能够得到保障。同时，要坚持以政府为主导、社会各阶层团结起来，共同努力创造一个安全高效的信息社会，从而充分发挥信息时代的技术优势。