人脸识别的法律规制

杜 江

（武警北京总队 北京市 102628）

随着科学技术的发展进步，人脸识别技术以其自身简洁、高效、互通等特点，基于线性判别分析、非线性向量机分类或神经网络分析等方法，进行机器识别后传入数据库，[1]以实现通过后台数据分析确认个人身份之目的，在国境边防、公共交通、城市治安、疫情防控，以及“刷脸”支付、签到“打卡”等眼下或近一段时期的新兴生活模式中被广泛应用。与此同时，我们也清楚地看到，从“杭州野生动物世界”人脸识别替代指纹识别案，到多家知名门店使用“无感式”人脸识别技术擅自采集消费者人脸信息案，再到一些小区引入人脸识别系统以“刷脸”代替“刷卡”案，人们开始考虑，如此的人脸识别技术是否让大家全部暴露于透明环境中？通过识别人脸收集的个人信息是否得到了本人授意？收集这些数据的真实用途为何？公民的隐私权和知情权是否受到了侵犯？……反观这些都与个人隐私、数据信息、财产安全、身份保护等息息相关，一旦被不法分子盗取滥用，势必会给社会和个人造成无法挽回的危害和损失。因此，其法律规制问题成为大家关心的前沿话题。

人脸识别技术的特征及应用

人脸识别是一种个人生物识别信息，可以简单地理解为：机器对静态或视频中的人脸图像进行特征提取、分类识别，以达到身份鉴别的目的。[2]

人脸识别技术的特征。人脸识别技术的特征，源于人脸的特征，每个人的面部特征是其区别于其他人的特殊标识。人脸与其他人体生物特征相比，其与生俱来、各不相同，具有世界上独一无二的特性，也因此决定了通过系统识别一张脸，必须要经过前期的信息采集，以确认存在这张脸为前提。而这样的采集，或基于二维，或基于三维，其识别方式不同，答案亦不相同，正如媒体早期报道，某用户用一张照片便可轻易解锁自己的三星Note 8手机，这就是从技术上看，二维的识别较三维的识别更为简单化、平面化。综上可知，人脸识别技术具有独特性、复杂性、直接识别性、变化性和多维性等特征。

人脸识别技术的应用。当今，信息技术发展迅猛，人脸识别技术得到广泛应用，涉及各个行业领域。诸如，我们可实现手机面部识别解锁、市场买菜“刷脸”支付、机场车站身份确认、围界楼宇进出许可、工作签到“打卡”录入等，这些都已融入我们日常生活的方方面面。从积极的角度评价，人脸识别技术通过后台数据分析，可以大大缩短人工识别时间，短时间内实现智能预警判断，提供远端识别服务，帮助用户通过验证，为人们提供便捷、安全、可靠的技术服务，提高了社会发展的质效。当然，也不可避免的出现了消极因素。

人脸识别技术的侵权风险挑战

2021年央视“3·15”晚会曝光了多家知名商店安装人脸识别摄像头泄露个人隐私的问题，有的系统后台拥有的人脸数据量已经存储过亿；有的连锁门店中，只要消费者进入其中一家店，就会被拍摄记录并生成编号，形成“大数据”，以后消费者再去哪家店、去了几次，店家了如指掌；有的通过系统后台通过消费者进店的喜怒哀乐，分析消费者性格类型、对产品兴趣度、消费能力等。这些案例都靶向人脸识别技术一旦过度使用，其造成的法律风险直接侵害到公民的肖像权、名誉权和隐私权等人格权，不禁发人深省。

个人信息保护意识缺乏。我国《网络安全法》第四十四条规定：“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。”一方面，2004年1月16日，信息产业部下发了《关于在部分省区开展村通工程试点工作的通知》，其中，互联网就是国家系统工程“村村通”中的重要一项。在信息时代，网络开拓群众视野、方便百姓生活的同时，人们对自我信息保护意识还参差不齐、各有差异，这就导致了不法分子有可乘之机盗取利用个人信息。另一方面，一些商业用途的人脸识别技术，没有事先尽到明示告知义务，使消费者个人信息在不知情的情况下产生暴露，另作他用侵犯了消费者的隐私信息权。

行业长效监督机制缺位。人脸识别技术在研发及应用方面没有建立行业组织，人脸识别技术运用、人脸数据使用方面缺少行业公约或企业内部制度。建立行业组织内外长效监督机制，扩大监督网络，创设社会监督举报渠道，[3]通过合法化授权，在审批、使用、流转等过程加强行业许可，指导行业正确规范运用人脸识别技术。同时，融入国家信用评价体系，对违规使用造成违法行为的，要依法依规予以处罚、取缔，将滥用技术和人脸数据的行业纳入信用黑名单，并通过国家信用信息公示系统向社会公示。近些年，我们通过互联网，时常可以看到“网暴”“人肉”等字眼，其深层次的问题就是不法分子对个人信息的非法收集、利用、贩卖、获益，而缺乏监督监管机制，其以非法手段做伪“正义”之事，实质上严重侵犯了公民的合法权益。

法律制度统筹管理滞后。2021年8月，江苏省苏州市吴中区人民法院审结了一起“不刷脸不让进小区”引发的物业合同纠纷案件。业主张先生认为将原刷卡闸机换成人脸识别系统存在隐私风险，故不同意人脸识别验证方式，由此给生活造成极大不便。在法院的调解下，物业公司同意增加一套刷卡系统。由此可见，现有法律中并没有对人脸识别技术的立法规范，缺乏对人脸识别等关键技术的研究、利用、策略以及监管等内容系统化的法律拟制。围绕人脸识别技术带来的个人隐私保护问题，应尽快研究出台个人隐私保护法、数据信息法等相关法律，结合社会进步发展形势，统筹考虑人权、隐私保护、习惯、道德等所方面因素，限定人脸识别技术的运用范围，明确数据保护要求及责任，赋予数据采集对象知情权和追偿权，从国家法律层面对个人肖像权、隐私权等相关人格权予以保护。

人脸识别技术法律规制的对策建议

我国《民法典》第一千零三十四条第一款规定：“自然人的个人信息受法律保护”，并在该条第二款个人信息的定义中，明确将生物识别信息列举为个人信息，但并没有对个人生物识别信息作特别保护。

建立健全一套完整法律体系。2021年7月28日，最高人民法院审判委员会第1841次全体会议审议通过了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，并于8月1日起正式施行。这部司法解释，是维护自然人人格权益，保护“人脸”安全的重要规范性文件，也是强化实施民法典中个人信息司法保护的有力举措，具有重要而现实的意义。但是，规范性文件的法律效力毕竟不及法律，因此，在《民法典》《网络安全法》《电子商务法》《消费者权益保护法》《民事诉讼法》等法律中，应及时填补空白、修正完善，吸收个人信息保护立法规制，在确保安全的前提下，突出使用个人信息责任制原则，形成一套坚不可摧的个人信息保护法律体系。

区分公私部门配置规制重心。区分政府部门、非政府部门加以配置规制重心。对于政府部门安装、使用人脸识别技术应当建立在合规的审批制度下进行，充分考虑到其正当性和必要性，基于国家安全、社会保障、公共利益等目的，要按照正当的法律程序，遵循公开、透明、民主等原则事前进行批准设置。对于非政府部门安装、使用人脸识别技术应坚持加强事后监督机制，相关执法部门加强问题的督导监管，若其行为属实侵犯了公民的合法权益，可以依据民事诉讼来进行追责。归根结底，无论公私哪个部门安装、使用人脸识别技术，都应当基于严格的法律规制，防范安全风险，防止被泄露滥用。[4]

加强人脸识别信息规制力度。人脸识别信息不同于一般个人信息，与运用中较为广泛的指纹信息相比，其更具隐蔽式采集的特性，即使人们不知情，也可以收集并利用，而指纹信息很难做到一般条件下行为人“不知情”的采集状态。因此，对于人脸识别信息的采集应坚持差异化规制，除法定情形外，都应当采取更强的知情同意原则，征得数据主体的知情同意。同时，其告知同意应具备采集的目的、用途、类型、保存时限、风险与权利，并以书面记录留存。

虽然人脸识别技术应用还存在着一些弊端，国家也通过立法、司法等方式，逐步对人脸识别载部分领域应用进行了规制，但是我们仍要清醒地看到信息科学技术给社会发展带来的诸多便利，毋庸置疑这是社会的进步，也是历史的选择。在当前人脸识别技术发展趋势已经形成的环境下，该如何规范、应用好人脸识别技术才是解决矛盾问题的关键所在。本文通过归纳案例、表达立场，提出了相关对策建议，为人脸识别技术的法律规制提供了参考。