人脸识别技术的问题及其规制研究

刘 荣

（福建师范大学，福建 福州 350000）

一、应用人脸识别技术所引发的问题

（一）立法不够周延

人脸识别技术在我国仍然归于新兴技术研究范畴，由于缺乏相应的理论储备，我国尚未出台单行法对其进行规制，仅在其他部门法零星涉及，致使整个法律体系杂乱，规制力度极其有限。具体来看，我国现有的直接涉及人脸识别技术的法律规范为支付领域的《人脸识别线下支付行业自律公约（试行）》和安防领域的《安全防范视频监控人脸识别系统技术要求》。其他有关的法律规范有《民法典》第1034条关于个人信息保护的总括性规定、《电商法》经营者收集顾客信息需要遵循法律规范、《网络安全法》运营者经被收集人同意后按一定原则收集并合理处理个人信息、《电信和互联网用户个人信息保护规定》信息收集和使用规范发展以及国家安全保障措施等。可见，我国现有的法律并没有将敏感信息同一般个人信息区别开来保护，但参考各国的立法，将个人敏感信息单独拿出并加以保护，已经成为趋势。虽然《信息安全技术个人信息安全规范》将个人生物识别信息确认为个人敏感信息，是迄今我国目前关于个人信息保护规定的最为详尽的规范，其参考欧盟的《通用数据保护条例》规定了个人对信息的访问权、更正权、删除权、可携带权等，但该规范只是推荐性的国家标准，没有强制执行权，而且未明确界定生物识别信息的法律属性以及相关主体责任，也就无法完整的保护人脸识别信息。

（二）行政监管缺位

由于立法体系分散，且未建立监管机制，以至人脸识别行业难以得到有效管制。目前，我国的互联网信息办公室负责人脸识别技术的网络问题，公安部门则管理刑事领域，工信部则对违法经营进行纠察，但各个部门仅对其负责的领域对技术进行监管，并没有专门的部门对技术进行管制。当企业违规使用技术时，行政部门大多采取行政约谈的方式以督促企业自行整改。以Faceu激萌事件为例，企业被约谈后，并不会在实际层面得到惩处，可见约谈的效果有待商榷。法律能否得到遵守，一定程度上有赖于相关部门的监管，因此仅靠行政约谈的监管方式远远不够的。目前我国人脸识别技术的市场经济规模仍在不断扩大，我国亟需建立一个独立的人脸识别技术监管机构，以更好保障技术的积极健康发展。

（三）行业乱象横生

我国现阶段的人脸识别技术行业发展缺乏统一的准入门槛，研发人员只需硬件设施，辅以算法及数据库，就可以拥有和运用这一技术。随之而来的就是技术拥有主体范围扩大，极大的增加了人脸识别技术被滥用的风险。前不久一审程序结束的杭州城市动物园“中国人脸识别第一案”曾广受关注，作为私营主体的动物园，是否有权力采集顾客脸部信息并强制性要求顾客以刷脸验证的方式入园，还有待商榷。此外，深网视界公司未给予数据库应有的维护，致使大量公民人脸数据泄露事件，也折射出人脸信息被采集之后，技术主体对数据库的保护度不够。虽然《民法典》第1035条规定处理个人信息需要征得权利人同意，以公开处理为原则，并对权利人明示如何进行处理其个人信息。但该规定充其量只是原则性规定，在具体案例当中，法官对于技术主体是否遵循法定义务有极高的自由裁量权，无疑不利于行业良性竞争发展。

（四）技术存在漏洞

纵然我国人脸识别技术不断在算法、数据库及硬件设备方面更新换代，仍然不足以完全消除技术上的漏洞。目前，市面上常见的技术类型主要为2D人脸识别算法、3D人脸识别算法两种。由于光线、面部表情和妆容的影响，2D人脸识别的精确率较低。但在现实中，2D系统往往会因为其设备价格相对低而被许多厂商选择，以降低生产成本。得益于人工智能算法的发展，3D人脸识别算法在2D算法的基础上进一步提升了在光线不足等不良情景下的识别准确率。即便如此，3D算法在面对不同种族、不同肤色甚至是不同性别时，其识别成功率并不一致，存在着识别错误的风险。然而，这种识别错误的风险有时候会带来致命的后果。浙江绍兴的非法窃取人脸数据骗取红包案，罪犯利用他人的人脸信息进行支付宝新用户注册，以此骗取红包，数额巨大。犯罪分子只是通过软件将公民的脸部信息打印成3D头像，从而注册用户成功并进行消费。不可否认，技术的使用为人们提供了巨大的便利。但在享受技术的同时，如何克服技术不完善所引发的风险，乃是从业人员面临的一道难题。

二、人脸识别技术应用规制的域外经验

国际层面，绝大多数国家或地区通过保护个人信息的法律法规对人脸识别技术加以规制、保护，最具代表性的是美国及欧盟。美国联邦政府并未制定全国统一的法律法规，而是赋予各个州一定立法权，即分散式立法。这和美国自身的国家结构有关，中央与地方政府并不是直接隶属关系，地方政府拥有极大的自主权。各个州在制定相应法律规范时，受到经济自由、人权自由因素的影响，其立法大多对公权力机关使用人脸识别技术加以限制甚至禁止，对于私权利主体则更多依赖于市场竞争机制予以调节。欧盟则以《通用数据保护条例》（GDPR)为概括性文件，通过集中立法，为成员国提供立法指导，即以GDPR为总体框架，各国向下细化条款细节并加以添改。相比美国仅限制政府机构运用人脸识别技术，欧盟对面部识别更为审慎，既约束公共机构收集面部信息又严格限制私权利主体采集生物信息。欧盟在技术便利与公众隐私之间选择了后者，故从立法层面对该技术的运用加以严格规范。

（一）美国模式

美国模式下的人脸识别技术立法，可以归纳为各州自行决定，公权机关遭禁止，私权主体受规范。公权力方面，加州旧金山市在2019年发布法令，禁止政府部门获取、应用人脸识别技术及应用依该技术获取的面部信息；同年6月萨默维尔市则禁止行政部门、雇员应用人脸监控系统及该系统获取的信息；奥克兰市则在7月通过法令，禁止市政府部门和工作人员使用这一技术。值得注意的是，旧金山市称该法令的出台，更多是考量人脸识别技术危害公民权利的风险远大于技术所带来的利益。

私主体方面，整体基调为规范、引导企业合法、合理使用生物识别技术，当然也就包含了人脸识别技术。具体而言，以伊利诺伊州为代表，该州发布的《生物识别信息隐私法案》（BIPA），要求企业以合法目的收集生物信息，经用户同意后，在金融领域为用户交易提供帮助。此外，企业不得售卖收集到的信息，不得将信息与除了执法部门外的第三方共享。随后，德克萨斯州、华盛顿州相继发布法令，规范企业将人脸识别技术应用于商业领域。但波特兰市在2020年9月出台了禁止将人脸识别应用到金融领域的禁令，即除了政府部门外，商超、宾馆等私营主体也不得使用这一技术。但总的来看，美国目前所公布的法令仍以禁止公权机关使用人脸识别技术为主，对商业应用持宽容态度。

（二）欧盟模式

欧盟模式下脸部信息技术保护以《通用数据保护条例》（GDPR）为核心，自其发布并实施以来，不仅在欧洲内部影响深远，还被其他国家视为立法范本，新加坡、印度等国家新出台的数据法令都是建立在GDPR的基础上并加以本国化。

根据该条例第4（1）条对“个人数据”的定义，只要是与可被识别的数据主体相关的信息均为个人数据范畴，而第4（14）条则是对个人数据中的分支——生物识别数据的界定，即对人的生物、物理或行为特征加以技术处理所得到的数据。显然，人脸图像属于生物识别数据的一种。第9（1）条列举的需要被禁止处理的特殊种类数据当中，生物特征数据赫然在列。无疑，GDPR对于人脸识别数据的处理提出了较为严格的要求，只有符合获得数据主体同意、达到合同履行的必要条件、履行法定义务、保护相关自然人利益和维护公共领域利益情形之一，数据收集者处理人脸数据才可能被视为合法。否则，违规使用人脸识别技术就会遭到处罚。以瑞典为例，2019年开出了该国第一张数据罚单，缘由是斯凯尔莱夫特市擅自使用人脸识别技术监控学生课堂情况，不但侵害了学生隐私，而且市政府的做法不符合第9（2）条下的例外情形。

三、人脸识别技术法律规制的对策

中国尚未颁布专门保护个人信息的法案，且未针对人脸识别技术进行专门立法，相关规定散见于各类法律规范中，导致人脸识别技术受到滥用、个人信息的安全受到威胁。因此，为了合理规范人脸识别技术的使用，我国应通过完善相关立法、落实政府职能、提高准入门槛、建立监督机构以及提供救济途径几大方面多管齐下。

（一）明确人脸识别信息法律定位

当下，《民法典》人格权编并未规定个人信息权这一概念，而是将个人信息作为一项权益加以保护。依据《民法典》的规定，个人信息包括个人生物识别信息。进一步说，人脸识别信息既是生物识别信息，也是生物敏感信息，在明确人脸识别信息的法律定位后，应当对人脸识别信息实行强化保护，保护程度不同于一般的个人信息。因此技术主体在处理人脸识别信息时，不仅应当遵守法律对于一般个人信息的相关管理规定，还应提高其注意义务，对人脸信息重点保护。参考GDPR的规定，技术主体宜采取以禁止处理为基调，以特殊场景处理为例外的原则，特殊场景主要包括：信息主体明确同意、履行必要合同、完成法定义务、保护个人利益和执行公共任务。

此外，为了平衡技术主体和信息主体之间的权利关系，信息主体应享有以下权利：第一，知情权。信息主体有权了解技术主体处理人脸识别信息的目的、方法，并且享有随时确认人脸识别信息是否在被处理的权利。第二，拒绝权。纵使技术主体合法处理人脸识别信息，信息主体仍有权拒绝技术主体的处理。但这并不代表信息主体能够无限制拒绝，当技术主体能够证明其处理行为带来的利益明显高于信息主体的权益，或存在其他合法、合理的例外情形除外。第三，删除权。信息主体有权要求技术主体删除非法获取的人脸信息，并对过时的人脸识别信息进行永久性销毁。第四，限制处理权。信息主体虽然享有删除权，但一味滥用，可能冲击行业良性发展。故限制处理权在大多数情形下可以信息主体的首选。限制处理人脸信息可以采用暂时性关闭人脸数据库或者短暂性移除系统中的人脸信息。

（二）落实政府机构职能

我国目前并没有专门的政府部门对于人脸识别技术行业进行管理。就像前文所述，不同的政府机关仅对特定领域内的人脸识别技术加以约束。但这样带来的是政府部门之间联动性差、信息交换不及时、互相推诿的后果。因此，一方面，政府机关应加强合作，成立联合办事机构，共同管理人脸识别技术行业。此外，立法上有必要给予政府部门更多的执法权，否则，仅靠约谈甚至罚款的方式，恐怕难以震慑不法分子。另一方面，政府管理部门需要为整个行业发展创造良好的氛围，引导企业、个体户合法合规开展技术应用，对技术创新企业予以税收减免及其他优惠措施。

（三）提高行业准入门槛

人脸识别技术行业乱象丛生，究其原因，我国尚未设立准入门槛，故有必要提高行业准入门槛。我国应以民法典第1035条为依据，针对不同领域衡量人脸识别技术应用的可行性。

首先，合法性原则和必要性原则是不可避免的要求。如果存在风险系数较低的身份验证手段，则可以降低技术应用的频率。其次，考量技术主体使用技术的正当性。倘若技术主体无法保障识别的精确率及技术使用时的安全系数，则可认为其应用是不合理的。再次，鉴于特定场景下无差别人脸识别的规模之大，需要对每一次的人脸配对加以分析，以评估技术使用的可行性。公共管理部门大规模使用人脸识别技术，需要受到一定限制，防止监视常态化、侵犯隐私权等问题的发生。最后，应对儿童特殊保护。以人脸识别技术监控学生课堂纪律应被禁止，该技术可被侵害程度更小的措施代替。

（四）建立第三方监管机构

中国需要建立一个独立的第三方面部识别技术监管机构。其成员可包括但不限于立法机关、执法机构、技术开发人员、企业以及普通用户。监管机构负责建立人脸识别技术在不同领域的应用标准及限制条件，尤其是公共领域和商业领域。倘若技术主体有使用人脸识别技术的意向，需要向监管机构递交意向书，详细说明应用目的、方式、范围。监管机构收到意向书后，立即启动报告反馈机制。报告内容包括对技术主体提交的意向书进行风险评估，判断其应用可行性、分析技术应用带来的社会利益、预估技术潜在影响及减轻措施、提供技术漏洞解决途径。

（五）提供救济途径

为了能够更好的规范人脸识别技术行业，需完善事后处理机制。从技术主体层面看，在数据库信息泄露的情况下，技术主体除了可以采取一些必要的措施防止损害扩大外，还需及时告知信息主体。此外，技术主体既要承担违约责任，又要赔偿信息泄露对信息主体造成的损害。从信息主体层面看，信息主体享有向第三方监管机构投诉的权利。监管机构应在一定时间内给予答复。

四、结语

面部识别技术应用在推动社会发展的同时，其自身存在的问题不容忽视。立法不够周延、行政监管缺位、行业乱象横生、技术存在漏洞等问题严重阻碍了人脸识别技术的良性、健康发展。应通过借鉴域外立法经验，找到一条中国化的人脸识别技术规制道路。以明确人脸信息法律定位为核心，辅以政府职能落实、行业门槛提高、监管机构建立及救济途径完善，为我国人脸识别技术行业健康、可持续发展保驾护航。