法经济学视域下人脸识别技术应用的法律规制

刘明君

（四川大学 四川成都 610000）

一、问题的提出

技术是把双刃剑，我们在赞叹其为人类社会进步作出的贡献的同时，仍不能忽视技术被滥用所带来的风险隐患。人脸识别技术作为当红的“技术明星”，同样面临由其引发的侵权纠纷、权利损害及社会治理风险等问题。

（一）人脸识别技术应用广泛价值凸显

一百多年前，国外就有学者开始进行人脸识别技术研究，随着此项技术的发展，到几十年前，人脸识别一直是活跃的研究领域。特别是在过去的五年中，它已经成为最繁荣的研究主题之一［1］2。目前，人脸识别技术应用领域广泛，比如，城市安防监控、刑侦疑犯追踪、交警执法监督、火车地铁通检、金融刷脸支付、政务刷脸验证、公司员工考勤、学校刷脸出入，等等。可见，“人脸识别技术打开了城市智能和精细化治理的想象空间”［2］。在2020 年全球新冠疫情防控中，我国企业研发的热成像测温一体机，可以对人脸无感测温通行，对异常情况进行智能分析和管理，并且根据不同场景等级提供不同的测温形式。此外，我国研发出戴口罩人脸识别技术，在国内外抗击疫情中也发挥了极其重要的作用。

（二）人脸识别技术应用引发案件纠纷

诚然，科学技术的发展带来了社会便利与经济效益，促进了产业升级。但近几年来，“随着万豪中国事件、支付宝年度账单事件、剑桥分析公司丑闻、华住数据泄露、国泰航空数据泄露、万豪数据泄露等的曝出”［3］，个人信息与数据隐私保护成了社会关注的焦点。就人脸识别技术应用引起全球更大关注的是，发生在英国的R（Bridges）v CCSWP and SSHD 案，原告认为被告南威尔士警方两次使用自动面部识别技术（“AFR”）试点摄像机对其进行录像非法，此案被认为是“世界人脸识别第一案”。该案一审败诉后，二审却出现逆转①。而发生在中国的原告郭某兵起诉被告杭州野生动物世界案，被称为“中国人脸识别第一案”。通过一审法院的判决可见，未经过权利人同意而使用人脸识别技术，要承担单方违约责任②。

纠纷的产生根源于利益的冲突，马克思指出“利益就其本性来说，是盲目的、无止境的、片面的，一句话，它具有不法的本能。”［4］179从“世界人脸识别第一案”和“中国人脸识别第一案”来看，人脸识别技术被非法使用，源于信息权利主体、信息处理企事业单位、国家及社会间利益的失衡。“人脸是一个具有弱隐私性的生物特征”，“技术手段成熟与否、能否确保用户数据不被盗用、个人隐私如何保护等问题都需要得到充分论证和解决”［5］，通过法律手段对技术进行规制是最佳的解决方式，但是诉讼作为权利救济的最后法律防线，往往存在时间成本、机会成本及司法成本较高的问题。为避免过度耗费国家法治资源，需在法经济学视域下展开分析，找寻公民权益、商业利益、公共利益间的冲突，厘清人脸识别技术合法应用的边界，并对该技术施以成本-收益最优的法律规制措施。

自2019年5月起，我国学界开始研究人脸识别技术的法律规制，通过中国知网检索关键词“人脸识别 法律规制”，到2021 年2 月底共发表31 篇文章（包括期刊18 篇，学位论文6 篇，报纸3 篇，会议3 篇）。其中不乏代表性成果：对人脸识别技术的应用，郭春镇教授提出“持审慎态度，采取提升形塑‘数字理性’主体、建构合理的规范体系、形成基于责任和参与的多重治理机制”［6］19。毕玉谦教授以“人脸识别第一案”为切入点，从程序法角度探析民事诉讼生成权利规制问题［7］53。文铭学者提出“缓解人权与科技发展的矛盾，应从政府、行业和立法的三个维度进行规制。”［8］77就法律规制的措施而言，许静文学者提出“自治＋法治”，限制人脸识别数据处理方式，统筹数据规制的重要方面和基本原则［9］135。邢会强教授认为我国应“建立健全人脸识别一体适用的安全与责任底线，区分公私部门并配置不同的规制重心”［10］63；林凌教授建议“我国应确立个人信息自决、“新治理”比例和专项责任审核等人脸识别法律规制原则”［11］68。上述等学者提出的各类法律规制措施值得借鉴，但有些措施很难在实践中被适用，且各项措施比较零散，缺乏全流程的法律规制模式。本文的创新之处是在法经济学视域下，通过成本收益分析人脸识别技术案件纠纷产生及权利救济困境，探索专门全方位监管及量化风险评估等效益化的法律规制措施，建立预防性、低成本的法律规制流程。

二、人脸识别技术案件纠纷产生的法经济学分析

法律的经济分析中的一个核心观点是由罗纳德·H·科斯在1960 年提出来的［12］1。之后被命名为科斯定理。科斯认为法律是决定经济运行的主要因素之一，“如果交易成本为零，每当由于合法位置的变化引起产品的价值上升时，人们就会围绕法律签订契约。如果交易成本为正，当交易成本大于权利重新分配所带来的利益时，人们不会选择签订这类契约，个体所拥有的权利一般来说都是依据法律建立起来的。”［13］31-42将经济学的理论运用到对国家法律运行效益的分析中，有利于在确保法治客观公正基本价值的基础上，实现对国家立法、行政、执法、司法等资源的更有效配置。

（一）我国人脸识别技术应用相关立法概况

表1 我国现有相关法律法规

从上述列表看，我国没有人脸识别技术应用方面的专门法律法规，不过近两年来，从民法典到个人信息保护法，从个人信息安全规范到数据安全管理办法，一系列相关的法律法规颁布很快，并且修改的频次较高。但是相关立法仍有如下问题：第一，现有基本法律规定内容过于概括且内容极为分散；第二，法规及其他规范的内容虽然更具体更具有可操作性，但法律位阶较低，多为分散的行业规定，难以普遍适用；第三，尚未建立从源头上对人脸识别技术专利审核、技术应用限制规范、行政监管部门及职责到经济高效的权利救济措施等全过程的法律规制机制。

（二）人脸识别技术应用违法成本低引发侵权问题

违法成本低致使人脸识别技术被滥用，例如：在国外，有不法分子利用AI 换脸技术，将女明星随意换脸到色情片女主角身上；在国内，有不良商家通过AI换脸技术制作出当红女明星的不雅视频在网上售卖。更让人意想不到的是，仅刷了一下脸，广西南宁十几名业主的房产就在毫不知情的情况下被不法中介卖掉，总损失超千万元［14］。此案及前述案件涉及的公民权利，包括但不限以下情形。1.肖像权和名誉权。我国法律规定名誉权包括对民事主体的品德的社会评价，我国民法典第1024条规定“任何组织或者个人不得以侮辱、诽谤等方式侵害他人的名誉权”。将女明星的脸换到色情片女主角身上的行为，无疑侵犯了女明星的肖像权和名誉权。2.人格权及派生利益。当人脸信息在资金交易、消费支付、信用贷款、房产过户等领域被盗用，会直接侵害到公民的财产权。有学者主张“无论是将数据隐私界定为一种人格权还是界定为一种财产权，都面临着不小的困境”［15］40，笔者认为，人脸识别技术的应用危及公民人格权+财产权，还有其他相关权利，可称之为人格权及其派生利益（内涵大于财产利益）。3.公民隐私权。人脸识别信息属于“直接可识别”到个人身份的信息，可以被纳入到隐私权的大范畴［16］。人脸信息与个人身份、金融、行为、位置、偏好等信息结合，可形成每个人的“专属标签”，这个标签很容易被网络运营者利用，对用户进行画像，进行广告推送或者价格歧视等行为。4.个人信息权。我国《个人信息保护法（草案）》在总则部分提出保护“个人信息权益”，有学者提出“侵犯公民个人信息罪保护法益不是作为传统个人权利的隐私权，而是作为新型权利的个人信息权”［17］19。5.人身自由和人格尊严。人脸识别技术被滥用往往“关系到个人的人格尊严和人身自由”［18］。有学者建议将《宪法》第38 条修改为：“中华人民共和国公民的人格尊严和个人信息权不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害；除法律另有规定以外，禁止未经个人信息权人的许可收集、处理、利用其个人信息。”［19］64对此，笔者并不赞同。理由是：宪法修改的程序非常严格，且宪法修改过于频繁有损宪法的稳定性和权威性，完全可以通过宪法解释来实现宪法与时俱进的适用性。

（三）人脸识别技术应用的法律规制成本收益分析

无论是个人基于成本低收益高的理性经济人选择，还是社会基于边际社会收益大于边际私人收益的经济决策，亦或国家层面基于博弈论的技术进步与权利保障的衡量。降低国家、社会和个人不同利益主体的成本，构造成本最小化的权利结构和效益最大化的利益机制，有利于实现人脸识别技术应用法律规制的“效率”⑥最大化。

1.国家层面进行法律规制的成本分析。为规范和纠正不同组织或个人间的契约关系，维护良好稳定的政治秩序，构建和谐稳定的社会环境，国家层面必定要承担相应的法律规制成本。对人脸识别技术应用进行法律规制，国家层面承担的成本可分为立法成本、行政执法成本、司法成本三部分。一是国家立法成本，包括国家机关在相关法律法规制定过程中需要投入的人力成本、技术成本，即法律法规从计划编纂到颁布实施过程中各项费用的总和。二是国家行政执法成本，即在行政执法活动中，对人脸识别技术应用进行规制各级政府所需要承担的人力成本、执法成本、装备成本等。三是国家司法成本，包括各级公安机关、检察机关、法院在办理人脸识别案件中需要投入的人力资本、办案经费、装备设施，等等。

总体上看，如果将法律规制某种行为耗费的成本视同产品生产成本，按照边际成本递减规律，在一定范围内，国家机关人员开支、办公经费、设施费用等固定成本不变，对人脸识别技术应用进行法律规制仅增加了少量变动成本，边际成本降低即更经济更有效率。就国家立法成本、行政执法成本、司法成本三者相比较而言，立法是进行法律规制的起点，此项成本无法避免，在法律法规实施阶段，行政监督执法针对广大行政相对人，平均到个体的成本较低，而司法成本支出主要是事后补救，就单独个案而言比行政执法成本更高。

2.国家层面进行法律规制的各方收益分析。无论何时，人们对法律、经济或政治的理性讨论中，都往往对效率原则给予很大的关注。在新的法律法规制定与实施过程中，不仅要关注法律的平等、公平、正义等法的一般原则，还需要实现低成本高收益的效率原则。这就需要在帕累托改进的过程中，充分考虑涉及到的各方利益。庞德指出，“讲到人们提出的主张或要求，那么利益也就分为三类：个人利益、公共利益和社会利益。”［20］37从我国人脸识别技术应用相关法律法规现状看，每一部法律法规都会有个人权利（利益）的保障条款，当诸多个人利益集合到一定量，就能影响到社会利益及公共利益。发挥法律的教育和惩治作用，使不法分子对违法行为产生畏惧，避免个人权利（利益）遭侵害的情况出现，进而维护整体社会利益和公共利益，和谐稳定的社会秩序最终也是国家利益的实现。个人利益、社会利益、公共利益和国家利益的实现决定着法律规制的方向，而完善的法治又能保障各方利益的实现，维护经济发展、社会和谐与国家稳定。

3.基于人脸识别案件的成本收益分析。在法经济学视域下，个人在行为选择时被视为理性经济人，而理性的经济人往往基于收益大于成本的预期才做出行为选择，并依据个人偏好进行理性的、最有利于自己的活动。前述“中国人脸识别第一案”中，原告郭某兵等消费者被强制使用人脸识别验证身份，才能进入被告野生动物世界。相较过去以指纹识别方式入园，仅仅是身份验证方式的改变，消费者并未获得更多收益。但是人脸信息作为高敏感性的生物信息，无法进行变更或替代，一旦泄露可能终身被非法利用，并且时间、地域、领域及频次等均不可控，极易对信息主体带来人身伤害及财产上的重大损失，由此其面临的潜在风险成本增加。很显然，对消费者而言成本远高于收益。对被告野生动物世界而言，升级为使用人脸识别方式入园，需要承担身份验证系统升级的经济成本，通知消费者的信息、电话与沟通时间成本，案件判决后支付诉讼费及返还原告1038 元年卡费等各项司法成本。那么，野生动物世界是不是有可观的收益呢？答案是不确定的。因为使用人脸识别系统，并不一定会增加游客办理年卡数量，进而增加营业收入，也不一定能增强消费者体验，获取更好的口碑提升商誉。当然，如果商家的选择是基于使用人脸识别系统比指纹系统成本减少或者收益增加，那么借助立法、执法、司法对违法行为进行处罚增加其违法成本，会迫使商家等侵权行为人重新进行成本收益衡量，作出经济人视角下守法的行为选择。即“法律可以协调利益关系从无序达到有序状态，依据规则分配利益和权利，降低利益协调中的主观随意性，完全可操作地确认、保护、促进和调整利益，实现利益归属上有确定主体和利益交换中保证公平。”［21］31

图1 我国目前相关法律规制的现状

三、域外人脸识别技术应用的法律规制经验

世界各国大体上先通过个人信息或隐私保护进行宏观普适立法，之后根据人脸识别技术应用普及化，纠纷多元化的发展，制定人脸识别技术专门禁令与限制措施。

（一）域外法律规制的三种立法模式

截至2019 年，世界上已有157 个国家和地区通过立法来保护个人数据信息的安全［22］19-20。由于法律传统和使用习惯的不同，各国使用的法律名称大体上有三种术语“个人数据”“隐私”与“个人信息”⑦。立法模式大体上可分三种，分别为欧洲单体综合立法、美国点状分散立法和日本树状保护立法模式。

1.欧盟单体综合立法模式。2018 年生效的欧盟《一般数据保护条例》（以下简称“GDPR”），是一项全面的数据保护法，规范整个欧盟数据隐私处理行为，保护欧盟公民的数据隐私权利［23］。笔者称之“单体综合立法模式”，其特点如下：

第一，内容全面，适用广泛。GDPR内容全面，涵盖一般条款、适用原则、数据主体的权利、控制者和处理者要求、跨境规范、监管、救济、责任、惩罚、特定处理情形、授权法案与实施性法案及最后条款［15］41。GDPR 管辖适用范围广泛，不仅对在欧盟境内设立或有业务的公司适用，而且对地域之外涉及存储或处理欧盟公民个人信息的公司也适用，体现出属地+属人的超大适用面。

第二，数据使用限制严格。GDPR要求个人数据合法使用的前提是征得数据主体“同意”，并且在相应条款规定合法使用必须具备实现合法正当利益、社会公共利益、履行公共职责等⑧。且将是否征得“同意”的举证责任赋予数据控制者，而数据权利主体享受随时撤回其同意的权利⑨。GDPR基于监管者的立场，以保护基本人权为出发点，对数据使用的限制秉持“原则上禁止，有合法授权时允许，且个人有权反对或撤回授权”［24］。

第三，健全行政监管机构。GDPR 要求成员国建立监管机构⑩，并赋予监管机构以调查权⑪。GDPR 对欧盟数据委员会的设立、目标和责任等都作了具体的规定⑫。完善的监管措施，彰显出GDPR的实践性与权威性。

第四，设立风险评估机制。GDPR明确规定了与风险相称的技术与组织措施，以及进行风险评估的范畴与方式⑬，如未经过风险评估程序，擅自使用人脸识别技术将会受到行政处罚。

第五，发挥高额处罚震慑力。如果违反GDPR 中的一般条款，可以施加最高1000 万欧元的罚款，或者与前一年该公司全球总营业额2%进行比较，选择两者中较高的罚款⑭。而违反GDPR 中的特殊条款，比如包括人脸信息处理在内的处理严重数据违法行为，将会被施加最高2000万罚款，或者与前一年全球总营业额4%进行比较，选择两者中较高的罚款⑮。

2.美国点状分散立法模式。尽管人脸识别技术飞速发展，并且用途日益广泛，但很大程度上仍不受联邦政府的管制［25］611。与欧盟不同，美国联邦层面没有统一的个人信息隐私法，而是由零散法律法规构成，笔者称之为“点状分散立法模式”。特点如下：

第一，联邦与各州分散立法。美国此立法模式跟联邦与州的权力配置有关。自2018 年Facebook事件的出现及欧盟GDPR的生效，美国各州加速了关于数据与隐私安全立法进程。据统计，目前美国境内的50个州都通过了防范数据泄漏方面的立法［26］113。

第二，生物识别信息立法完善。2008 年，美国伊利诺伊州的《生物识别信息隐私法案》（简称“BIPA”）开启全美生物识别信息专门保护法先河。2020年的《加州消费者隐私法案》（简称“CCPA”）被称为美国最全面最严厉的隐私法案。CCPA 将一些GDPR 适用过程中易产生争议的数据类型明确纳入了其管辖范围，尤其是音频、视觉、热、嗅觉等生物识别信息。

第三，信息使用限制差别较大。同意与隐私是围绕人脸识别技术应用的重中之重⑯，BIPA要求机构在收集个人的生物信息之前，需要提供书面通知，并获得个人的书面同意。而CCPA 仅规定了企业在出售个人信息之前有义务“通知”数据主体，并未将用户的“同意”作为数据处理是否合法的判断标准。

第四，健全的司法救济制度。在司法救济上，BIPA 规定了民事诉讼、禁止令等救济方式，并且设置了民事诉讼1000美元至5000美元的赔偿标准。CCPA 规定在实际的损害赔偿不易举证时，提起诉讼后消费者可获得100 至750 美元的赔偿。并且设置了民事公益诉讼条款，赋予加州总检察长以加州人民的名义行使此项权利。

第五，人脸识别技术应用规制专门法案。在政府及公共领域，美国已有多项人脸识别禁限法案。比如，旧金山市于2019 年5 月通过《停止秘密监视条例》，全面禁止旧金山市政府机构使用人脸识别监管技术［27］。奥克兰市于2019 年7 月通过禁止在公共场所使用人脸识别技术的法令［28］。波士顿市于2020年6月通过人脸识别监控的禁令，禁止任何市政官员通过第三方机构进行人脸识别监控［29］。加利福尼亚州于2020年2月通过《加州人脸识别技术法案》，提出在公共场所使用人脸识别技术，要向个人做出显著且符合实际特定场景的方式通知［30］。美国参议院2020年2月提出的《人脸识别道德使用法案》要求政府机构暂停使用人脸识别技术，直至委员会形成适用于人脸识别技术的使用准则和限制条件⑰。在商业领域，美国联邦参议院于2019年3月提出《商业面部识别隐私法案》，规定商业公司在收集使用人脸识别前，必须经用户的明示同意。这些法案的提出，展现出美国联邦和部分州政府对人脸识别技术应用从禁止到限制再转向规范的趋势。

3.日本树状保护立法模式。日本2005年的《个人信息保护法》（简称“PIPA”）在实施十年后，于2015 年进行了大幅修正［31］。日本个人信息保护法律体系主干是PIPA，还包括日本政府各部门以PIPA为基础制定的通用指导方针［32］，可称之为“树状保护立法模式”。其特点如下：第一，原则上同意，有条件限制。PIPA 将包含因人种、信仰或相关病例等可能会对其本人造成歧视或偏见的个人信息定义为“需加以注意的个人信息”，个人信息处理者使用此类信息需要经过本人同意［33］48-59。第二，设立个人信息专门监管机构。PIPA 规定，个人信息保护委员会有权对所有个人信息处理者进行监管。当出现违法行为时，该委员会可根据情况，采用要求个人信息处理者提交报告或资料，进行例行抽查，或者下达中止违法行为命令等必要的处罚措施［34］。

（二）域外低成本法律规制的经验借鉴

1.设立专门机构降低行政监管成本。在国家法律实施中，设立专门机构实施行政监管，不仅比职能分散或多头管理方式降低监管成本，而且能提升行政监管的统一性。美国、欧盟及日本都通过建立专门监管机构对个人信息数据进行监管，发挥了良好的效果。例如：法国国家信息与自由委员会对谷歌违反数据隐私保护相关规定行为处以5000万欧元罚款［35］，瑞典数据检查局对一所高中使用人脸识别技术记录学生上课考勤的行为，开出金额为20万瑞典克朗的罚款单［36］。专门监管机构除了罚款职权，还应该被赋予实施其他限制措施，包括禁止或要求暂停向第三国接收方提供数据等。

2.充分发挥集体诉讼的低成本优势。“诉讼行为从经济学来讲是当事人花钱购买司法服务的行为，因此诉讼费负担制度与当事人的利益是密切相关的。”［37］就单个权利受侵害者而言，聘请律师费、案件受理费、保全费、执行费等成本，都是影响其是否选择起诉的重要因素。对受害人众多的案件，集体诉讼无疑是成本收益更优的选择。美国2019 年Facebook 集体诉讼案涉及700 万用户，起初Facebook 面临每个用户赔偿1000 美元至5000 美元的罚款，总罚款金额最高可能达到350亿美元［38］。最终，Facebook 公司于2020 年初对外公布和解协议，将向符合条件的伊利诺伊州用户支付5.5亿美元，并支付了原告的诉讼费［39］。从效益上看，集体诉讼制度在个人信息保护方面发挥了极其重要的作用。

3.通过公益非诉方式降低法律规制成本。基于成本收益分析，由于诉讼成本高加之诉讼结果的不确定性，受害人往往会放弃通过诉讼方式寻求权利救济。而行业自律在事前进行防范，具有降低国家行政执法和司法成本、社会违法成本及个人诉讼成本的优势。例如，欧盟GDPR 规定，由行业协会自行起草数据保护的行为准则，建立认证机制。在美国，2019 年各知名互联网企业纷纷发起自律行动⑱。2020年，美国隐私保护组织、电子隐私信息中心等40家社会组织，就审慎应用人脸识别技术联名致信隐私和公民自由监督委员会，呼吁美国政府在“充分审查人脸识别技术风险”之前暂停应用该技术［40］92。这些自律行动能覆盖各行业，提前进行有针对性的预防措施，在更低的法律规制成本下，实现对权利主体的保障。

四、我国人脸识别技术应用的效益化法律规制措施

“我们可以预见技术的使用将产生明显的不可取的后果，尽可能多的是，我们需要预见这些后果并制定政策，最大限度地减少新技术的有害影响”［41］29。在法经济学视角下，以降低法律规制成本，提升国家、社会及个人总体收益为目标，笔者建议从以下方面对人脸识别技术应用进行法律规制。

（一）筑牢国家层面专门立法规范的基础

1.完善人脸识别技术应用专门立法。2020 年10 月公开征求意见的《个人信息保护法（草案）》对处理敏感个人信息作出更严格的限制规定。在立法模式上，笔者建议在我国现有立法体系基础上，借鉴日本树状保护模式。以《网络安全法》《民法典》《个人信息保护法》等法律为主干，针对特定行业，不同信息类型，诸如人脸识别等生物敏感信息，制定配套的行政法规或者规章，并定期进行更新与修正，充分发挥法律规范的社会治理功能。地方立法的先行者诸如：《杭州市物业管理条例（修订草案）》规定了物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备［42］。《天津市社会信用条例》规定，市场信用信息提供单位不得采集自然人的生物识别信息［43］。我国对人脸识别技术规制的地方立法陆续出现，一定程度上加强了该行政区域某个行业对人脸识别技术应用的限制，但是这些零散单一的地方立法，整体加总后的立法成本较高，防御性紧急避险与我国现有的紧急权体系并不冲突，故在全国范围进行立法规制非常紧迫必要。

2.制定人脸识别技术应用安全标准。我国已有国家标准《信息安全技术个人信息安全规范》，但缺乏从源头上对技术安全性进行规范的标准。2020 版国家标准新增“个人信息安全工程”的内容⑲，具体内容可参考《信息安全技术个人信息安全工程指南》（征求意见稿）。2019年出台的《信息技术安全技术生物特征识别信息的保护要求（征求意见稿）》对我国生物信息保护的规定仍比较笼统，未能对人脸识别进行特殊规制。鉴于人脸识别被认为是模式领域中复杂的生物识别系统之一，由于面部图像结构不稳定会产生识别偏差［44］278-279，如果在身份验证环节出错，极易给权利人造成损失。故建议尽快制定国家层面人脸识别技术应用安全标准，确保行政监管与执法有具体依据，更大限度实现法律规制的功能。

人脸识别技术应用的安全标准，至少应包括以下内容：（1）算法精度最低标准。为减少人脸识别误差，要求使用的预处理算法能将误判率控制在1%以下；（2）应用软件升级时限缩短。根据技术变革与漏洞出现频次，应用软件应该采取定期+紧急升级相结合的措施，且定期升级周期不超过一年；（3）安全自检与反攻击能力。要求定期进行漏洞自检，具备攻击和侵入的预警和修复功能。总之，技术应用标准应做到与时俱进，避免落后的监管阻碍科技的发展。

3.细化人脸识别技术应用的限制规范。对公共使用的限制，主要在刑事侦查、治安管理、人口治理、医疗卫生等领域。使用人脸识别技术要遵循四个原则：（1）避免持续监控，并做到合理的匿名化；（2）避免造成偏见或出现不准确的结果；（3）避免对个人隐私、言论自由或正当程序造成冲击；（4）限制例外：公共安全、社会秩序、人民生命健康等执法或管理等。就商业使用限制而言，信息收集者、控制者、处理者处理人脸信息应做到最小必要：一是要求收集的人脸信息必须是与实现产品或业务核心功能直接关联，且其他种类的个人信息无法替代实现产品及业务功能；二是，要确保对人脸信息的使用时间和频次最低，并及时删除个人信息。如果超过最低时限（假定3 年）仍继续使用，需要明确征得信息主体的同意。针对同意规则，有学者主张“人脸信息具有特殊性，除了法定例外情形，其所适用的知情同意原则，应比一般的个人信息所适用的知情同意原则更严格，即应坚持书面（written）知情同意原则。”［10］63笔者认为，基于目前互联网发展现状，网站、公众号、小程序、APP 等多种电子网络化交易成为常态，坚持书面同意并不具备现实可操作性，还会阻碍科学技术的发展。实践中认真阅读格式化隐私条款的人极少，问题的关键并不在于“同意”的形式，而是需要在国家层面制定限制措施，通过高昂的违法成本迫使不法分子做出守法的行为选择。

（二）探索全流程预防性法律规制模式

1.设立专门监管机构对人脸识别技术全方位监管。根据2020年《个人信息保护法（草案）》，我国对个人信息监管呈国家网信部协调下的“多头监管”的模式⑳，即在国家网信部门协调下，公安部、工信部、中国人民银行等部门在各自的职责范围内都有监管权。此种模式难免会出现执法标准不统一、监管真空等问题。设立专门监管机构，从技术源头进行全流程的行政监管，是保证行政监管效率的有利措施。建议此机构名称为个人信息保护委员会，并赋予其对人脸识别技术应用各阶段行政许可审批权、对侵权人的行政执法及处罚权。对人脸识别技术从研发到应用全过程监管具体包括以下几点。（1）专利申请阶段的安全性审核。《中国人工智能产业知识产权白皮书（2019）》显示，我国人工智能专利申请量排在世界首位已突破10 万件，其中人脸识别专利申请达到了2.73万件，成为最为热门的领域之一［45］。在技术专利申请审核阶段，笔者建议除了审核技术创新性，还要审核其安全性及漏洞修复能力，严把技术安全关。（2）技术应用前的准入许可。区分金融、司法、军队、公安、边检、政府、航天、电力、工厂、医疗等众多不同领域，进行人脸识别技术应用的风险评估，监管机构对通过的给予行政许可，之后人脸识别技术方可形成商品在该领域应用。（3）在技术实际应用阶段，明确国家专门监管机构对人脸识别技术应用定期抽检，对检查中发现的问题限期整改，对未经行政许可投产及非法收集、存储、买卖、使用等侵权行为区别责任进行处罚。

2.建立人脸识别技术应用定量风险评估模型。2020 年《个人信息保护法（草案）》提出对个人信息处理活动前要进行风险评估，并且2020年《信息安全技术个人信息安全影响评估指南》主要以定性的标准为主，笔者建议建立人脸识别应用定量风险评估模型，按照定量取值公式计算出得分，根据得分确定是否通过风险评估，并以此确定人脸识别技术是否被许可使用、限制乃至禁止适用。

就定量风险评估模型而言，最佳方案是设立定量评估系统，操作者直接在固定栏位输入相应文字、数字，系统自动测试得出结论。但定量风险评估模型设计初期，笔者建议可采取数学公式取值计算的方式，对技术应用产生的风险进行计算，由此得到评估结果。首先，确定风险评估结果Y的数值范围为（0-100），得分越高说明风险越高；其次，建立风险评估计算公式Y=C1X1+C2X2+C3X3+C4X4+C5X5-M，其中，C代表风险系数，X代表各项风险要素。再次，确定要素X数值范围为（0～20），X1代表技术安全等级，X2代表使用领域，X3代表使用者自身规模资质，X4代表对个人信息处理目的、处理方式的合法、正当、必要性，X5 代表对权益的影响及受损程度，M 代表紧急状态。要素C数值范围为（0～1），C1根据技术安全等级标准列表赋值，安全性越高，对应数值越小。C2根据使用领域在国计民生中的关键程度划分为5 类10 档对应赋值，C3 综合考量使用者企业规模，信用情况、数据保护机构设置等因素赋值，C4 对涉及权利主体数量按区间分段赋值，C5 对被采集人脸信息按照面部二位图片、三维立体参数、活体影像、加之关联的身份、喜欢、行为习惯等信息的数量综合赋值。最后，通过公式计算风险评估得分，对照不同领域在许可使用、限制使用、禁止使用最低限制分表，不超过最低限制分才能通过风险评估。当然，科学的定量风险评估需要专业人士共同设计，笔者在此抛砖引玉，力求实现成本更低的法律规制效果。

（三）健全低法治成本的法律规制措施

1.将人脸识别技术应用纳入强制保险范围。在实践中，当人脸识别技术应用对受害人造成损害，而侵权人又没有民事赔偿能力，会出现承担了高昂的司法成本，却存在无法弥补被害人损失的情形。而充分发挥保险的风险分散功能，利用强制保险赔付资金池可以解决受害人获得实际经济补偿的问题。

笔者建议在我国法律、行政法规规定的范围内，“建立个人信息安全责任强制保险制度”。人脸识别技术应用机构应当按照国家有关规定投保个人信息安全责任强制保险，明确该项强制保险的受益人为投保人、公益诉讼主体及受害人等。并设置行政处罚条款，对未按规定投保个人信息安全责任强制保险的，由个人信息监督管理部门给予警告、责令改正。拒不改正的，还可以处以罚款等。

2.建立专门协会发挥行业自律预防违法的功能。我国2020年个人信息保护法（草案）提出，相关行业组织参与个人信息保护21。目前中国已有率先制定规则方：如，中国支付清算协会2020年1月21日发布了《人脸识别线下支付行业自律公约（试行）》，公约要求“会员单位应结合特约商户风险等级及交易类型等因素，设置或与其约定刷脸支付单笔及日累计交易限额。”“要求建立用户刷脸支付投诉处理流程，切实保护用户权益。”［46］但这只是个别领域，无法对其他领域人脸识别技术应用进行限制和规制。我国可考虑建立个人信息与数据保护协会，职责是制定个人信息与数据组织行为准则，通过行业自律预防违法行为的出现，降低国家法律规制的成本，维护整个行业的良性发展。

3.构建人脸识别案件多元化公益诉讼机制。在人脸信息被滥用后，“受害者主要有四种救济选择：私人诉讼、集体诉讼、小额索偿法庭、监管措施。”［47］针对非法收集、利用人脸信息的行为，受害人大多会因为诉讼成本高且结果不确定而放弃主张权利，导致了任由不法分子横行的后果。司法解决途径除普通诉讼之外，采取集体诉讼制度、公益诉讼等可以降低单一案件平均诉讼成本。侵犯公民个人信息案往往涉及信息数量巨大，被害人众多，作案手段隐秘22，社会危害性大。我国上海检察机关首次将个人信息非法收集引入公益诉讼，随后全国各地检察机关纷纷开启此类业务探索。笔者建议我国公益诉讼的主体应多元明确化，公益诉讼的争议处理方式要明确化，进一步明确检察机关之外的可提起公益诉讼的机构，如建立民间人脸识别保护自治组织作为适格主体提起侵犯公民个人信息，尤其是人脸信息受损的公益诉讼。

图2 人脸识别技术应用低成本法律规制流程

［注释］：

①审败诉后，原告向英格兰及威尔士高等法院提起司法审查之诉，坚持认为警方的行为违反《欧洲人权公约》第8条、《2018年数据保护法》以及《2010 年平等法案》的规定。2020 年8 月11 日，上诉法院推翻了原审法院的判决，认定警方行为非法，侵犯了人权。参见：《解读世界首例警方使用人脸识别技术合法性判决二审判决》，载于https：//www.sohu.com/a/ 417308068_120057255，查阅日期：2020-09-20。

②参见：杭州市富阳区人民法院（2019）浙0111 民初6971 号判决书，载于https：//wenshu.court.gov.cn/website/ wenshu/181107ANFZ0BXSK4/index.html？DocId=0d5660e6ee794498bbf8ac7d00a8dddb，查阅日期：2020-11-28。

③《民法典》第1035条增设尾款“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”，将个人信息处理的全过程纳入了规制范围。

④2017 年的《网络安全法》关于网络运营者个人信息保护义务有7项保护要求，并明确将个人生物识别信息纳入个人信息范围，但对于信息的使用、存储、运输、管理仍需进一步细化。

⑤2020年版国家规范对个人信息收集、储存、使用、共享、转让、公开披露、删除等活动做出了规定，尤其是对个人生物识别信息的收集、储存作了规定：第一，在收集个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。第二，个人生物识别信息要与个人身份信息分开存储；第三，原则上不应存储原始个人生物识别信息，在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。参见：路还长的《新版〈信息安全技术个人信息安全规范〉解读》，载于https：//www.xianjichina.com/news/details_189628.html查阅日期：2020-09-30。

⑥本文所称的效率，含义为达到帕累托最优（以意大利经济学家维弗雷多·帕累托的名字命名），也称为帕累托效率，是指资源分配的一种理想状态，通过帕累托改进实现，是公平与效率的“理想王国”。帕累托改进是假定固有的一群人和可分配的资源，从一种分配状态到另一种状态的变化中，在没有使任何人境况变坏的前提下，使得至少一个人变得更好。帕累托最优状态就是不可能再有更多的帕累托改进的余地。

⑦欧盟成员国大多使用“个人数据”概念；普通法国家（英国除外），如：美国、澳大利亚、加拿大，以及受美国影响较大的APEC，大多使用“隐私”概念；日本、韩国、俄罗斯等国，则使用“个人信息”概念。

⑧See GDPR Art6 para.1（b）-（f），Source：https：//gdpr-info.eu/.

⑨See GDPR Art7，Source：https：//gdpr-info.eu/.

⑩See GDPR Art51，Source：https：//gdpr-info.eu/.

⑪See GDPR Art58 para.1，Source：https：//gdpr-info.eu/.

⑫See GDPR Art68 para.1 para.3，Source：https：//gdpr-info.eu/.

⑬See GDPR Art32，Art35 para.1，Source：https：//gdpr-info.eu/.

⑭See GDPR Art83 para.4，Source：https：//gdpr-info.eu/.

⑮See GDPR Art83 para.5，Source：https：//gdpr-info.eu/.

⑯See Vincent Nguyen，Shopping for Privacy：How Technology in Brick-and-Mortar Retail Stores Poses Privacy Risks for Shoppers，29 FORDHAM INTELL.PROP.MEDIA &ENT.L.J.543-544，（2019）（describing the technical workings of facial rec‐ognition systems and the major legal concerns that arise from the use of this technology）.

⑰See“Ethical Use of Facial Recognition Act”section 4.

⑱Facebook 向人工智能创业公司ClearviewAI 发送了停止和终止函，要求其停止因执法目的而利用人脸数据识别用户身份。电商巨头亚马逊公司将对美国警方使用其人脸识别软件实施一年的暂停期。微软删除了全球最大的公开人脸识别数据库MS Celeb。谷歌也表示在出台阻止人脸识别技术被滥用的政策前，会暂停对外出售相关技术及产品。

⑲详见《信息安全技术个人信息安全规范》第11.2条规定。

⑳详见《中华人民共和国个人信息保护法（草案）》第56条规定。

21详见《中华人民共和国个人信息保护法（草案）》第11条规定。

22“阮某侵犯公民个人信息案”，详见《绍兴市越城区人民法院（2019）浙0602刑初151号刑事判决书》。