人脸识别技术在政府治理中的应用风险及其法律控制①

张 涛

（清华大学 法学院，北京 100084）

一、问题的提出

随着人工智能与大数据的深度融合，全世界正在经历一场新的技术革命，即所谓的“智能革命”[1]，也有学者称之为“第四次工业革命”[2]。这催生了自“新公共管理”运动后政府治理模式的新一轮变革，即所谓的“数字政府”“智慧政府”“算法行政”“智慧治理”等。人脸识别技术（facial recognition technology）作为生物识别技术的一种类型，特指计算机利用分析比较人脸视觉特征信息自动进行身份鉴别的技术。随着深度卷积神经网络（deep convolutional neural network，DCNN）的引入，人脸识别技术也迎来跨越式迭代[3]。相较于其他生物识别技术，人脸识别技术具有非侵扰性、便捷性、非接触性、可扩展性等优势[4]18，因而受到政府部门的关注和重视，被广泛应用于政务服务、公共服务、城市治理、产业发展等领域。目前，全国有40 多个城市推出了“刷脸政务”[5]，在中国政府采购网上人脸识别系统领域的公开招投标数量增长迅速，可以看出公共部门对人脸识别技术的需求正在快速增长[6]。

在推进国家治理体系和治理能力现代化的背景下，人脸识别技术有助于实现政府治理的智能化，增强社会治理的协同性、精准性及回应性。但与此同时，人脸识别技术应用存在的诸多法律风险引发了社会的关注和担忧。社会调查显示，对于人脸识别技术的使用，79.31%的受访者担心信息泄露，60.72%的受访者认为要加强相关立法，还有43.7%的受访者认为应限制人脸识别的使用场景[7]。2019年11 月，《中共中央关于坚持和完善中国特色社会主义制度 推进国家治理体系和治理能力现代化若干重大问题的决定》明确指出，“建立健全运用互联网、大数据、人工智能等技术手段进行行政管理的制度规则”。因此，人脸识别技术在政府治理中实践应用现状如何，可能存在何种法律风险，应当受到怎样的法律约束，已成为亟待回应的法律问题。

在学术研究中，人脸识别技术在政府治理中的应用受到国外学者和相关机构的广泛关注。美国学者安德鲁·弗格森（Andrew Ferguson）对人脸识别技术在行政执法中引发的核心宪法性设计问题（constitutional design problem）进行了研究，认为人脸识别存在高出错率、种族偏见、不公平和缺乏透明度等问题，需要以美国宪法第四修正案为依托，为人脸识别建立一个新的立法框架[8]。比利时学者埃尔斯·金特（Els J. Kindt）在《生物识别应用的隐私和数据保护问题》一书中探讨了人脸识别应用存在的隐私和数据保护问题，并提出应当将比例原则作为其使用的基本原则[9]。欧盟基本权利机构（European Union Agency for Fundamental Rights）在《人脸识别技术：执法背景下的基本权利考量》中说明了公共机构出于执法目的部署、使用人脸识别技术时可能对基本权利保护形成的挑战，并从九个方面提出了相应的建议[10]。目前，国内法学界对人脸识别技术已有一些关注[11]，但针对人脸识别技术“公共性”应用的研究还不多见[12]。有鉴于此，本文从“智慧法治”的背景出发[13]，试图将政府治理中人脸识别技术的应用纳入行政法的分析框架，对其应用场景、潜在风险和法律控制要素等进行探讨。

二、人脸识别技术在政府治理中的应用场景

国务院于2017 年7 月印发《新一代人工智能发展规划》，明确提出“建设安全便捷的智能社会”，对人工智能在公共服务、社会治理、公共安全保障等领域的应用指明了方向。在此背景下，从中央到地方，各级政府部门均不同程度地制定了相应的规范来推动AI 在政府治理中的发展应用。人脸识别技术成为人工智能最为普及的应用，因为相对于人工智能其他技术领域，人脸识别技术更容易落地实施，“刷脸审批”“刷脸查税”“刷脸扣分”等“刷脸+政务”形式不断涌现，一些地方政府甚至还专门制定了“刷脸政务”规划。例如，昆明市于2019年制定了《昆明市“刷脸就行”工程实施方案》。基于国家层面的规划和各地的实践现状，当下以及未来人脸识别技术在政府治理中的应用大体可以表现为以下几种情形。

（一）以秩序行政为目的之应用

在行政法理论中，秩序行政也称为“公权力行政”或“高权行政”，是最典型、最具传统色彩的行政种类，其目的在于维持社会秩序、国家安全及排除对人民及社会的危害[14]36。实践中，公共行政部门往往基于秩序行政之目的，在不同领域、不同行政活动中应用人脸识别技术，主要包括以下几种类型。

其一，人脸识别技术在治安管理中的应用。德国行政法学者埃贝哈德·施密特-阿斯曼曾指出，“安全已上升到国家最为重要的任务，国家存在的正当性也取决于是否能完成这一任务。这一任务不亚于国家保持物质的富裕，而且已经浓缩为一种人权地位的主体要求”[15]。在治安管理中，公共安全是重要工作，它事关人民群众生命财产安全，事关改革发展稳定大局[16]。公共安全治理能力现代化，是国家治理体系与治理能力现代化的重要组成部分。当前，我国正处于社会转型期，科学技术快速发展，新兴业态不断涌现，利益多元化、价值冲突等因素导致公共安全形势变得日益复杂。面对新形势，习近平总书记提出“推进公共安全工作精细化、信息化、法治化”的总体目标[17]。中共中央办公厅、国务院办公厅于2015年4月发布了《关于加强社会治安防控体系建设的意见》（中办发〔2015〕69号，以下简称《意见》），提出要提高“动态化、信息化条件下驾驭社会治安局势能力”，重点加强社会治安防控网建设。各地以《意见》为指导，纷纷将人脸识别作为建设社会治安防控网的重要手段。例如，杭州市在G20 峰会期间，在浙江省政府到萧山地区的公共场所、关键通道布置了高清人脸识别摄像头，抓取通过人员的面部数据，与大库数据比对进行黑名单预警[18]；贵阳市目前已经部署了2万多个摄像头，其中人脸识别监控点达到1035个，监控范围包括机场、火车站、网吧、宾馆、旅游景点等区域[19]。

其二，人脸识别技术在刑事侦查中的应用。刑事侦查工作的核心任务是发现犯罪嫌疑人、收集相关证据以查明案件事实，其中最为基础性与源头性的工作是锁定犯罪嫌疑人[20]。随着我国城镇化进程的不断推进，人口流动性大大增加，借助网络信息技术，犯罪手段不断翻新，各种远距离、非接触性的新型犯罪不断出现，这给刑事侦查工作带来了新的挑战。人脸识别技术采用高效的人脸检测定位及识别对比系统，依靠算法系统自动运行，能够第一时间给侦查人员提供帮助，其主要功能包括：（1）人脸监控。在街道、机场、地铁站等公共场所对人群进行普遍监控，并将捕抓的人脸图像与已经建立的人脸数据库进行匹配。（2）人脸辨识。人脸辨识不同于普遍意义上的人脸监控，一般是行政机关有特定的怀疑对象，目标比较明确。最常见的人脸辨识就是公安机关在犯罪行为发生以后，通过犯罪现场留下的线索（如监控录像、受害人描述、手机录像视频、手机拍照等），利用人脸识别技术来辨别犯罪嫌疑人。（3）人脸跟踪。人脸跟踪融合了人脸监控与人脸辨识的特点，主要是在监控范围内跟踪一个人和确定他的位置。因为可以在监控范围内发现人脸，而不论其远近和位置，能连续地跟踪并将其从背景中分离出来，整个过程完全是无须干预的、连续的和实时的[4]29。

其三，人脸识别技术在交通执法中的应用。传统的交通管理执法模式主要是“现场执法”，即交通执法人员在道路上发现交通违规行为，责令当事人改正或限期改正，对应当给予处罚的，再根据有关规定作出处罚决定。在现场执法中，一方面，开放的执法环境具有即时性、复杂性、多变性等特征；另一方面，执法人员囿于自身的水平和能力差异，容易造成执法不公、执法不严和管控不力等现象[21]。在此背景下，以电子执法为代表的非现场执法逐渐受到交通执法部门的重视。这种方法不仅解决了交通执法资源不足的问题，同时也有效遏制了现场执法过程中出现的执法不严、乱执法、乱罚款等情况的发生，满足了人们对交通执法公正、客观的要求[22]。不过传统的电子执法也存在一些问题，最突出的是它只能针对车辆，不能精准地打击违法行为人，以致一些驾驶人掌握了电子执法的漏洞后，逃避电子执法而实施违法驾驶行为。随着人脸识别技术在电子执法中的应用，这一问题逐步得到解决。配置人脸识别技术的“电子眼”可以利用前端的摄像头实时抓取行为人的面部特征，并与后端的违法数据库、人口信息库进行比对，查处行为人的交通违规行为。例如，深圳市于2018年4月将40套人脸识别执法设备应用到交通执法中，通过人脸识别执法系统，实现自动识别违法行为人，并自动发送违法处罚告知信息[23]。

其四，人脸识别技术在综合执法中的应用。综合执法是指行政机关及其综合执法人员为了实现国家行政管理的目的，依照法定职权和法定程序，执行法律、法规和规章，直接对特定的行政相对人和特定的事务采取措施并影响相对人权利义务的行为[24]。综合执法是政府治理的重要组成部分，对于促进社会的稳定和谐具有重要意义。长期以来，综合执法也不断在执法程序、执法方式、执法效能等方面进行改革，以避免因执法观念陈旧、执法能力不足、执法手段不当等因素引发的执法冲突[25]。2015年12月，中共中央、国务院出台的《关于深入推进城市执法体制改革改进城市管理工作的指导意见》明确指出，“积极推进城市管理数字化、精细化、智慧化”“综合运用物联网、云计算、大数据等现代信息技术”。在此背景下，人脸识别技术也开始融入综合执法中，通过建立档案信息数据库、实时视频抓拍、智能识别分析等功能，形成了“电子城管”模式，开辟了“非接触式”执法模式。例如，广西柳州市城管执法局自2018 年7 月开始运行“电子城管”系统，通过“智能采集”“视频分析”“推送警告”“审核立案”“数据统计”等流程，实现执法的“精准化”和“非接触性”，减少了执法冲突与矛盾[26]。

（二）以给付行政为目的之应用

在行政法理论中，给付行政也称为“服务行政”，其强调政府及其他公共行政主体必须提供各种不同的服务措施，例如公用事业、社会救济、文教事业、社会保险等，使人们在衣、食、住、行等生活、工作、教育方面得到国家最多的服务与最大的照顾[14]36。近年，公共行政部门基于优化给付行政的目的，在有关行政活动中也开始大量使用人脸识别技术，主要集中在以下几个方面：

其一，人脸识别技术在税务行政中的应用。税收是国家财政的重要来源，也是国家调控经济的重要手段。鉴于税收在整个国民经济生活中的重要地位，我国《宪法》第五十六条规定了公民的依法纳税义务。为了保障各级国家税务机关能够更好地开展税务行政活动，保证国家税款及时、足额地缴入国库，《税收征收管理法》赋予税务行政机关广泛的行政职权。在税务行政实践中，一些企业或个人通过虚假注册、套票虚开等行为扰乱了税务行政管理秩序，给社会带来了极大的危害。2016年7月，国家税务总局出台《关于推行实名办税的意见》，要求各地税务机关充分利用信息化手段，做好实名办税技术支撑。在此背景下，各地税务机关积极探索将人脸识别技术、大数据技术融入税务行政管理中，通过前端启用人脸识别设备，后端组建税务大数据系统，打造税收征管“天眼”。例如，北京市海淀区税务局于2017 年9 月30 日开始上线运行“人脸识别”税务系统，不仅方便纳税人全天候查税、办税，而且通过“人脸识别”数据库与“金税三期”的数据对接，提升了稽查联动和风险防控的精准化、自动化水平[27]。

其二，人脸识别技术在社会保障中的应用。社会保障是保障人民生活、调节社会分配的一项基本制度。我国《宪法》第四十五条规定国家要发展社会保险、社会救济和医疗卫生事业。社会保障是典型的给付行政活动，在社会保障给付行政中，资格认证是一项重要工作。对于行政机关而言，若资格认证机制不合理，可能导致冒领、诈骗社会保险金等不良现象；而对于相对人而言，若资格认证机制不合理，则可能增加权利实现的难度。为了弥补传统资格认证方法存在的时效性差、易伪造、识别过程复杂等缺陷，社会保障部门利用人脸图像具有唯一性、稳定性、非接触性等优势，将人脸识别技术融入社会保障资格认证中[28]。例如，福建省社会劳动保险局于2017 年在全省（除厦门市）启动“人脸识别”认证系统，专门解决养老金资格认证问题，不仅突破时空限制，提高了认证效率，而且还降低了工作量，节省了开支[29]。

其三，人脸识别技术在公共卫生中的应用。公共卫生事关公民的健康，受到世界上诸多国家的重视，政府对公共卫生的投入也比较大。在公共卫生服务中，除要有健全的组织机构、完善的法律法规外，还要有一整套应付公共卫生危机的有效机制。习近平总书记在多个场合论及公共卫生体系建设，明确指出“鼓励运用大数据、人工智能、云计算等数字技术，在疫情监测分析、病毒溯源、防控救治、资源调配等方面更好发挥支撑作用”。大数据、人工智能等技术成为我国推进公共卫生服务体系现代化的重要技术支撑[30]。在此背景下，各级卫生行政主管部门不断探索大数据、人工智能在公共卫生服务中的应用场景，其中人脸识别技术在基本公共卫生服务、突发公共卫生事件应对中发挥了重要作用。例如，湖南省江华瑶族自治县自2019年5月启用了一款将服务对象人脸图像采集和身份检测结合于一体的App，它主要针对老年人、孕产妇、儿童等基本公共卫生服务重点人群，前端利用人脸识别技术，后端对接全省公安人口信息系统，自动生成对比结果，能够对服务对象的身份进行验证，还能记录年度体检、用药等情况[31]。

其四，人脸识别技术在公共交通中的应用。随着社会经济的发展，城市人口日趋增加，交通拥堵成为城市治理中的重要难题。公共交通作为一种可持续发展的交通方式，越来越受到政府治理的重视。2019 年9 月，中共中央、国务院印发《交通强国建设纲要》，明确指出，“构建安全、便捷、高效、绿色、经济的现代化综合交通体系”。在此背景下，大数据、人脸识别技术被不断应用到公共交通中，从购票服务到安全检查，都可以看到人脸识别技术的应用。例如，在新冠肺炎疫情防控中，广州市在两条公交线路上试点应用了“人脸识别测温仪”，其可以通过信息溯源、智能追踪、视频分析、自动比对等流程，记录不同乘客的体温，并将实时数据传回后台保存，还可以查找同行者、车辆、司机的信息[32]。

三、政府治理中人脸识别技术应用的潜在风险

尽管目前在我国政府治理的众多领域中，人脸识别技术发挥了重要的积极作用，但与此同时，人脸识别技术引发的问题也是多层次的，其中最为重要的是对公民权利和自由造成不当干预。当然，这些问题可能并不具有泾渭分明的界限，很多问题之间具有很强的关联性。为了更有针对性地制定人脸识别技术在政府治理中的制度规范，我们有必要对人脸识别技术的公共性应用存在的潜在风险进行探析。

（一）大量收集人脸信息对个人信息及隐私保护造成冲击

人脸信息（facial information）或面部图像（facial images）是一种典型的“生物识别数据”（biometric data）或“生物识别信息”（biometric information）。我国立法目前尚未对前述概念作出明确界定，不过《信息安全技术 个人信息安全规范》（GB/T 35273-2020）规定，个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。在比较法上，欧盟《通用数据保护条例》（General Data Protection Regulation）第4（14）条规定，“生物识别数据”是通过对自然人的身体、生理或行为特征进行特定的技术处理得到的个人数据，构成了识别该自然人的独特标识，比如人脸图像或指纹识别数据。美国伊利诺伊州《生物识别信息隐私法》（Biometric Information Privacy Act）规定，“生物标识”（Biometric identifier）是指“视网膜或虹膜扫描、指纹、声纹、手部或面部的几何形状扫描”；“生物识别信息”是指基于个人生物标识形成的任何信息，无论它是如何被采集、转换、存储或共享的。

从法律性质上看，人脸信息属于个人信息的一种，并且属于“个人敏感信息”（personal sensitive information）或“私密信息”。根据我国《民法典》第一千零三十四条的规定，“个人信息”是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等；个人信息中的私密信息，适用有关隐私权的规定。尽管《民法典》并未对“私密信息”作出明确界定，但《信息安全技术 个人信息安全规范》对“个人敏感信息”的界定，可以为“私密信息”提供参考。所谓“个人敏感信息”是指一旦被泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或受到歧视性待遇等的个人信息，其外延包括个人生物识别信息。根据上述分析，笔者认为，应当将人脸信息作为个人信息中的“私密信息”，同时适用个人信息及隐私权保护的规定。

在人脸识别技术在政府治理的所有应用场景中，人脸信息都是贯穿始终的核心要素。从现有的应用实践状况来看，笔者认为，公共机构大量收集人脸信息存在对个人信息及隐私保护的侵害风险，具体主要体现在两个方面：

其一，人脸识别技术在政府治理中的大部分应用场景对人脸信息的归集缺乏明确的法律依据，存在对个人隐私的侵害风险。关于隐私的确切含义，理论上尚无定论[33]，不过最新的立法已经对此予以明确。根据《民法典》第一千零三十二条第二款的规定，隐私是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。根据《民法典》第一千零三十三条的规定，除法律另有规定或权利人明确同意外，任何组织或者个人不得处理他人的私密信息。由此可知，对人脸信息等私密信息的处理，必须有法律明确规定或权利人的明确同意。人脸识别技术在政府治理中的大部分应用场景，均涉及人脸信息的处理，然而有明确法律依据的却只有极少数情形：（1）在刑事侦查中，侦查机关利用人脸识别技术对特定犯罪嫌疑人进行辨识或追踪，可以从《刑事诉讼法》第五十二条、第七十八条等规定中获得授权；（2）在反恐活动中，公安机关对嫌疑人员的人脸信息进行处理，可以从《反恐怖主义法》第五十条获得依据；（3）在户籍管理中，公安机关对当事人的人脸信息进行处理，可以从《居民身份证法》第三条获得依据。除前述规定以外，目前政府治理中对人脸信息的收集、处理和共享，大多数情形均缺乏明确的法律依据。根据“法无授权即禁止”这一基本原则和《民法典》第一千零三十三条之规定，在公权力机构作为人脸信息采集、处理和共享的主体的场合，若缺乏明确的法律规定，即违反了行政行为的合法性原则，存在侵犯隐私的问题。

其二，人脸识别技术在政府治理中的大部分应用场景，对人脸信息的归集违反了“告知-同意”这一个人信息保护的基本原则，存在对个人信息自决权的侵害风险。信息自决权作为信息保护理念的理论基础，是由德国联邦宪法法院于1982 年在“人口普查案”中确立的，其核心主张是“个人得本着自主决定的价值和尊严，自行决定何时及于何种范围内公开其个人的生活事实”[34]。“告知-同意”原则是以信息自决权为基础发展出来的个人信息保护原则，其基本主张就是“对个人信息的收集利用，必须经过本人充分知情前提下的同意”[35]。我国《民法典》第一千零三十五条规定，处理个人信息，应当征得该自然人或其监护人同意，但法律、行政法规另有规定的除外；《网络安全法》第四十一条也规定，网络运营者收集、使用个人信息，要经被收集人同意。由此可知，“告知-同意”已经成为我国个人信息保护的基本原则。如前所述，相对于其他生物识别技术，人脸识别技术最大的优势就是“非接触性”和“隐蔽性”，以至于公权力机构在收集人脸信息时可能主观上忽略或者客观上无法达到法律要求的“告知-同意”原则。此外，即使公权力机构在归集人脸信息时符合“告知-同意”的要求，鉴于人脸识别技术是通过将人脸信息与其他不同的数据库（如公安人口信息数据库）进行连接比对，这也可能突破原有的归集目的，违反“目的限制”原则。综上所述，公权力机构在作为人脸信息采集、处理和共享的主体的场合，可能突破“告知-同意”原则和“目的限制”原则，造成对个人信息自决权的侵害。

（二）广泛部署人脸识别监控可能干预表达自由权

在公共场所中广泛部署人脸识别监控设备，可能对公民的表达自由权造成干预。我国《宪法》第三十五条规定：“中华人民共和国公民有言论、出版、集会、结社、游行、示威的自由。”这些自由在学理上被概括为“表达自由”或“表现自由”，指人们通过一定的表现手段，表现个人的思想、信念、愿望的自由[36]。对于一个人来说，其有内心的自由，亦即能够在心里自由地思考并抱有某种观点，这无疑是最基本的、重要的事；为了人的完整人格的发展，同时也为了人类社会的发展，仅仅有内心的自由是不行的，还必须把人的内心的思想、信条自由地向外部表达出来。在信息社会中，信息的接收对于人的生活发挥着很大的作用，因此其也与表达自由有密切的关联。表达自由是具有相当广泛内涵的自由，那么，宪法为何要保障表达自由？按照学者的总结，大致有三点重要理由：维持民主制度，获得真理，形成个人人格[37]。需要指出的是，与许多宪法权利一样，表达自由也存在其自身内在的界限，个人表达自由存在与他人的自由权利或社会公众利益发生相互冲突的可能性，不过对表达自由的限制须接受严格的审查[38]。

如前所述，人脸识别技术的重要应用场景是治安管理，尤其是安全防控，目前实践中采取的基本做法就是将已有的公共场所视频监控摄像头升级换代为具有人脸识别功能的摄像头或者直接部署新的人脸识别摄像头，这已经成为一种普遍趋势。现代心理学研究已经揭示，当个体明知自己的行为处于社会有权机构的严密监控之下时，其会产生不愉快的压迫性情绪，进而在从事日常活动时有所顾忌而趋于谨小慎微，即所谓的“心理萎缩效应”[39]。也有学者将其称为“沉默的螺旋”（spiral of silence），即当人们认为自己身为少数派时，他们为隐藏其观点而感受到持续增长的压力[40]。在部署人脸识别监控设备的公共场所中，个人的行为举止不但会被记录，而且还可能被进一步辨识、分析或追踪，最后由系统作出行为合规与否的决定，并自动通知个人予以警示。如此，人们在面对公共场所的监控设备时，就很可能产生压迫情绪，在实施各种行为时更趋谨慎，难以最大限度地表达内心的真实想法。尽管这种“压迫情绪”能够对潜在的违法犯罪行为产生威慑作用，但它同样也可能影响大多数个人的正常表达自由。

（三）人脸识别中的“算法偏见”可能引发不公平对待的风险

在人脸识别技术中，算法系统是重要的组成部分，也是人脸识别技术正常运作的关键。从理论设想来看，人脸识别技术中的算法自动化系统可以对经过前端摄像设备的所有人进行同等评估，从而可以很好地避免歧视，尤其是在行政执法中，可以确保执法人员不再基于预感、印象或偏见而对相对人作出盘问或检查的决定。然而，自动化算法系统的每一个细节都有工程师参与其中，他们通过贯彻决策者的意志，建立数据集、确立数据采集分析仪的参数、生成适用的模型。在这个过程中，人为偏见和价值观也可能被嵌入算法系统开发的每一个步骤中。正如美国学者弗兰克·帕斯奎尔（Frank Pasquale）所指出的，“运算程序并不能杜绝基本的歧视问题，而只是会使那些没有事实依据的负面假设汇集成偏见。程序的编写是由人完成的，而人又会将其价值观嵌入程序，编写程序过程中使用的数据也会不可避免地带有人的偏见”[41]。在人脸识别技术的应用场景中，“算法偏见”引发的不公平对待风险主要体现在两个方面：

其一，因人脸识别系统本身的准确性而引发的不公平对待。人脸识别技术的正常运作依靠一定的环境条件，视角、光线、背景、表情、发型、配饰等都有可能影响识别结果的准确性。这种准确性问题可以分为两类：一类是“ 假阳性”（false positives），也称为“假接受率”（false accept rate），即人脸识别系统将一个人的脸与数据库中的图像进行不准确的匹配，如将“张三”的照片错误地识别为“李四”；另一类是“假阴性”（false negatives），也称为“假拒绝率”（false reject rate），即人脸识别系统无法将一个人的脸与数据库中的图像进行匹配[10]，如本来该识别为“张三”，但却没有识别出来。无论是哪种准确性问题，均有可能导致一个无辜的人被错误地当成怀疑对象，被无端地盘问或检查，同时也可能导致一个有犯罪嫌疑的人逃脱检查。

其二，因人脸识别系统的“特殊设定”而引发的不公平对待。如前所述，人脸识别系统存在一系列数据参数、分析模型的预设，这些预设直接决定了人脸识别系统的输出结果，进而也影响相应的决策。在进行数据参数或分析模型预设时，设计人员或决策者可能有意或无意地将一些特定群体作为重点识别对象，进而引发不公平对待。在人脸识别技术的应用实践中，这样的问题已经逐步凸显。例如，在新冠肺炎疫情防控中，四川省米易县利用大数据平台，将各卡点车辆信息、返乡人员信息及人脸识别情况进行综合，可以在10分钟之内锁定排查对象在米易县的活动轨迹，为实地排查或重点关注提供依据[42]。人脸识别技术的这类应用，虽然能够提升执法部门的执法能力，但却可能对相对人造成不公平对待。

（四）建立大型人脸数据库引发数据安全风险

在人脸识别技术的开发、应用过程中，人脸数据库都起着至关重要的作用。在人脸技术开发过程中，人脸数据库作为“训练”算法进行“学习”的材料，受到科技研发公司的重视；在人脸识别技术应用过程中，人脸数据库作为比对参考数据库，为人脸识别提供匹配对象，受到系统应用机构的重视。因此，建立大型人脸数据库成为人脸识别技术应用的必然趋势。然而，建立大型人脸数据库却可能引发数据安全风险，主要体现在两个方面：

其一，数据安全风险可能来源于内部滥用。从人脸识别技术在政府治理中的应用场景来看，技术的前期研发可能是由外部的科技公司负责，但后期的部署运行则主要是由实际使用人脸识别技术的机构负责，当然也包括人脸数据的建立和管理。在实践中，一些作为大型个人信息数据库管理者的公权力机构由于未采取严格的信息访问控制策略，可能导致内部工作人员利用工作之便，滥用公民个人信息，甚至成为泄露公民个人信息的“源头”。例如，最高人民检察院于2017 年5 月发布的6 起侵犯公民个人信息犯罪典型案例中，有2 起就涉及国家机关工作人员侵犯公民个人信息犯罪[43]。在“韩某等侵犯公民个人信息案”②中，韩某作为上海市疾病预防控制中心工作人员，利用工作便利，将上海市新生婴儿信息共计30余万条出售给他人。在“籍某某、李某某侵犯公民个人信息案”③中，籍某某作为高邑县王同庄派出所民警，利用其工作之便，使用他人的数字证书查询公安系统内公民个人信息3670余条，并将其出售给李某某。

其二，数据安全风险可能来源于外部破坏。如前所述，人脸数据库是科技研发公司在开发人脸识别系统过程中所必备的，而且人脸数据库包含的数据越丰富、规模越大，对于人脸识别算法的训练越有利。因此，对于这些科技公司而言，人脸数据库具有重要的经济价值，再加上“刷脸支付”越来越普及，这就给人脸数据库的外部破坏提供了重要动因。一些网络黑客或不法分子将各类人脸数据库作为攻击目标，利用各种技术手段获取人脸数据，并用于交易或诈骗犯罪。在实践中，与人脸数据相关的违法事件不断发生，预示着人脸数据库存在严重的数据安全风险。例如，在“张某等侵犯公民个人信息、诈骗案”④中，张某等人从网络上下载了2000 万条公民个人信息，并使用软件将相关人脸照片制作成公民3D 头像，从而获得支付宝人脸识别验证，骗取钱财。另据央视报道，在一些网络平台上有人专门出售“人脸数据集”，10 元钱可购买5000 多张人脸照片，很多还是一个人不同表情的脸部照片，“人脸数据”交易已经成为一条灰色产业链[44]。

四、政府治理中人脸识别技术应用风险的法律控制要素

人脸识别技术在政府治理中的应用本质上是公权力机构对公民的人脸信息进行归集、处理和使用。人脸信息属于个人敏感信息或私密信息，具有本体特殊性和社会特殊性，这决定了人脸信息具有不同于普通公民个人信息的重要性，法律应当给予其特殊保护。从“智慧法治”的角度看，应当从依据、内容、程序、结果四个方面构筑起一个系统性的法律控制机制。

（一）依据控制：完善人脸识别技术应用的法律依据

人脸识别技术应用的基础是人脸信息，人脸信息属于生物识别信息的一种，而生物识别信息又是个人信息的重要组成部分，我国《民法典》第一千零三十四条可以成为人脸信息获得法律保护的重要依据。然而，总体而言，《民法典》为个人信息提供的保护毕竟属于原则性规定，更多的具体规则还有赖于专门的个人信息保护立法和数据安全立法。2021年7月，最高人民法院出台《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称《规定》），对人脸信息提供司法保护，不过该《规定》主要适用于平等民事主体之间因使用人脸识别技术处理人脸信息所引发的民事纠纷。2021 年8 月，《个人信息保护法》正式颁布，该法第二十六条对公共场所使用人脸识别技术进行了原则性规定，要求个人图像、身份识别信息只能用于维护公共安全的目的。

在比较法上，对人脸信息保护或人脸识别技术应用的立法模式大致可以分为三种：第一种是微观立法模式，即专门针对人脸识别技术进行立法，制定相应的规则，具体又可以分为两种立法倾向：（1）禁止公共机构使用人脸识别技术。例如，美国加利福尼亚州议会于2019 年10 月8 日通过《执法：人脸识别和其他生物识别监控》（Law Enforcement：

Facial Recognition and Other Biometric Surveillance），该法禁止执法机构或执法人员在执法设备中使用人脸识别技术。（2）约束公共机构使用人脸识别技术。例如，美国华盛顿州参众两院于2020年3月12日通过《人脸识别服务法》（AN ACT Relating to the Use of Facial Recognition Services），该法规定州和地方政府机构应当以裨益社会、以防危害民主自由和威胁公民自由的方式使用人脸识别服务。第二种是中观立法模式，即在个人信息保护法中专门对公共机构归集、使用和处理包括人脸信息在内的生物识别信息的行为进行规定。例如，德国《联邦数据保护法》便专门对公共机构的数据处理行为进行了规定，尤其是对公共场所的视频监控进行了规定。第三种模式则是宏观立法模式，即在个人信息保护法中对人脸信息保护进行概括性规定，不具体区分公共机构与私营机构。例如，欧盟《通用数据保护条例》第9 条专门对“特殊类型的个人数据处理”进行了规定，其中就包括生物识别数据。

综合国外的立法经验，结合我国的立法趋势，笔者认为，我国在未来的立法模式上可以借鉴德国《联邦数据保护法》的立法经验，将行政机关使用人脸识别技术“由暗转明”，既明确其行为的正当性与合法性，同时又注重对公民权利的保障。根据法律保留原则和法律明确性原则，未来我国在完善有关人脸识别技术的法规范时，可以采取以下两种路径：（1）根据《个人信息保护法》关于“敏感个人信息的处理规则”的规定，进一步细化行政机关在行政监管和提供公共服务的过程中收集、存储、处理和使用人脸信息的基本原则和具体规则；（2）根据《个人信息保护法》第二十六条的规定，由国务院对目前各地有关公共场所视频监控立法的经验进行总结，制定“公共场所视频监控管理条例”，对使用人脸识别技术的原则、规则予以具体化，以确保政府行为合法合规。

（二）内容控制：以个人信息保护为核心

如前所述，人脸识别技术在政府治理中的应用本质上是公权力机构对公民的人脸信息进行归集、处理和使用，因此，其必须符合个人信息保护的基本规则。笔者认为，需要从以下四个方面完善人脸信息保护规则：

其一，完善人脸信息归集中的“告知-同意”机制。在个人信息保护中，“告知-同意”最主要的意义与功能在于落实个人信息的“自主控制”，也就是保障公民“决定是否披露其个人信息及在何种范围内、于何时、以何种方式、向何人披露的决定权”[45]。根据场景理论，不同的应用场景可以设定不同的“告知-同意”机制，如表1 所示。对于需要告知的场景，政府机构应当履行“标识义务”，明确人脸识别设备的部署位置、具体负责单位及联系方式等。

表1 人脸识别应用中“告知-同意”的三种场景

其二，限制人脸信息的存储及共享。在信息存储技术不断优化、存储成本不断降低的背景下，人脸识别摄像头摄录的个人信息若被长期存储，将增加被滥用的风险，影响公民的隐私和自由。因此，必须对人脸识别摄像头摄录的人脸信息之存储期限进行限制。此外，个人的人脸信息应当与个人身份信息分开存储，原因在于，人脸信息作为个人的重要生物特征信息，一旦与其他信息链接，将产生重要的“聚合效应”，导致知情-同意机制失灵，影响公民的基本权利。

其三，完善人脸信息访问控制策略。对被授权访问人脸信息的人员，应当建立最小授权的访问控制策略，使其只能访问职责所需的最小部分信息，而且仅具备完成职责所需的最小的数据操作权限。对于数据库访问过程进行严格监视和记录，当被授予访问权限的工作人员调离工作岗位时，应当立即撤销其访问权限。此外，对于相关人员的角色应当进行分离设置，如安全管理人员、数据操作人员、审计人员等不能由一个人兼任。

其四，完善人脸数据库的安全防范措施。在建立和维护人脸数据库的过程中，应当采用加密等安全措施，在采用密码技术时应当遵循密码管理相关国家标准。此外，还应当建立数据安全应急预案制度，针对数据泄露、勒索病毒、恶意程序感染等情况采取相应的防御措施。在人脸信息泄露可能给个人权利和自由造成高风险时，应当最大限度地向信息主体告知人脸信息泄露情况。

（三）程序控制：建立公开、透明的问责程序

从目前人脸识别技术在政府治理中的应用场景来看，无论是前期的部署规划、中期的技术研发，还是后期的部署运作，立法机关、社会公众的意见都没有得到有效的传递和表达。因此，在程序上，针对人脸识别技术在政府治理中的应用，应当建立公开、透明的问责程序，主要可以从以下几个方面进行：

其一，发挥立法机关在人脸识别技术应用中的监督作用。各级人民政府在拟开发或使用人脸识别系统之前，应当向同级人大常委会提交开发、使用人脸识别技术的意向报告。在该意向报告中应当说明拟采用的人脸识别技术的用途及功能、预期收益、财政预算、数据使用规则、数据安全应急预案等。在比较法上，美国华盛顿州《人脸识别服务法》第3（1）条规定，拟开发、获取或使用人脸识别服务的州或地方政府机构必须向立法机关提交开发、获取或使用人脸识别服务的意向通知（notice of intent），并说明使用该技术的目的。

其二，完善人脸识别技术应用中的公众参与机制。各级人民政府在拟开发或使用人脸识别系统之前，应当制定相应的工作方案，并向社会公众公开征求意见。在工作方案中，应当明确人脸识别系统的主要用途及功能、可能存在的风险、在政府决策中的比重、人脸信息的处理规则等。在比较法上，美国华盛顿州《人脸识别服务法》第3（5）条规定，机构在投入人脸识别服务使用前至少90天向公众明确传达最终通过的问责报告，发布在机构的网站上并提交立法机关；第4条规定，使用人脸识别服务的州或地方政府机构作出对个人产生法律效力或具有类似重大影响的决定时，必须确保该决定遵守有意义的人工审查要求。

其三，建立人脸识别技术的风险评估机制。为了避免因人脸识别系统本身存在的技术风险而引发不利的后果，政府机构在部署人脸识别系统之前应当进行风险评估，并以易于访问的方式向社会公众公布相应的评估报告。此外，在人脸识别系统实际运作过程中，应当建立定期评估机制，对运作过程中可能出现的新的风险进行评估，并及时公布评估结果。在进行风险评估的过程中，应当丰富评估机构的人员组成，邀请专家学者、社会公众代表参与评估。在比较法上，美国华盛顿州《人脸识别服务法》第10条规定，应当成立人脸识别工作组，成员包括议会代表、少数族裔代表、执法机构代表、消费者组织代表、科研机构代表，工作组的主要工作是对人脸识别技术存在的潜在风险（质量、准确性、有效性）、法律充分性、权利侵害等问题进行审查。

（四）结果控制：为当事人提供救济途径

人脸识别技术在政府治理的实际运作过程中，可能对个人的合法权益造成侵害或限制。因此，遵循“有权利必有救济”的理念，应当为当事人提供有效的救济途径，从结果上对人脸识别技术的公共性应用予以控制，具体可以从以下两个方面着手：

其一，建立公共机构信息处理下的损害赔偿制度。当公共机构在使用人脸识别技术的过程中，因收集、处理或使用非经个人同意的人脸信息，或因管理不善导致人脸信息泄露，由此给个人造成损害时，应当承担损害赔偿责任。尽管在实际运作中，人脸信息的归集、处理和使用，甚至最后作出的决定（如交通执法中的自动化处罚）都是由算法系统自动作出的，但“对行政机关以自动化设备所为之行为……原则上仍应遵循由公务员直接作成有关行为时所应适用之法规”[46]。在比较法上，德国《联邦数据保护法》第8节专门对“公共机构自动数据处理下的赔偿”进行了规定，如果公共机构根据数据保护法或其他数据保护法规，因收集、处理或使用非经同意或错误的个人数据而对数据主体造成损害，则其辅助机构有义务赔偿其造成损害的数据主体的损失，无论有无过失。

其二，利用信息公益诉讼为个人提供救济。在已有的个人信息保护途径中，由于个人信息侵权损害具有一定的“虚拟性”“隐蔽性”，个人很难提供足够的证据来主张自己的权利。在实践中，信息公益诉讼作为保护个人信息的一种新型路径逐渐受到重视，尤其是检察机关提起的行政公益诉讼[47]，可以弥补个人与行政机关之间在地位、认知能力、技术能力等方面的不平等，既能为个人信息保护提供有效途径，也能对归集人脸信息的公共部门进行监督。根据最高人民法院、最高人民检察院《关于检察公益诉讼案件适用法律若干问题的解释》的规定，检察院在提起行政公益诉讼之前，可以通过诉前检察建议、检察约谈等方式，对行政机关提出建议，督促其履行职责或纠正违法行为。在最高人民检察院发布的检察公益诉讼典型案例中，“浙江省诸暨市房地产、装修行业侵犯消费者个人信息公益诉讼案”就是检察机关利用诉前检察建议督促行政机关依法履行职责的典型例子[48]。

五、结语

在推进国家治理体系和治理能力现代化过程中，物联网、大数据、区块链、云计算、人工智能等技术被广泛运用于政府治理中，人脸识别技术即为其中一项。人脸识别技术具有非接触性、不易被察觉性、可跟踪性、高效便捷等技术优势，很快成为行政机关在政府治理中的重要工具，尤其是在维护社会秩序和公共安全、打击违法犯罪行为等方面。但人脸识别技术并非解决一切治理难题的万能药方，其本身存在技术难点，而且还可能对公民基本权利产生负面效应，存在合法性危机。因此，必须将行政机关使用人脸识别技术的行为纳入法治轨道，这样才能在确保其合法性与合理性的同时，保护公民的合法权益。然而，人脸识别技术的法律控制终究是一个融合了法律与技术的难题，这也是本文未竟的思考。

注释：

①不作特别说明，在本文中，就个人信息保护这一语境下，“个人数据”与“个人信息”、“人脸数据”与“人脸信息”并不存在实质意义上的区别。

②参见上海市第一中级人民法院（2017）沪01 刑终525号刑事判决书。

③参见河北省赵县人民法院（2017）冀0133刑初7号刑事判决书。

④参见浙江省衢州市中级人民法院（2019）浙08 刑终333号刑事裁定书。