人脸识别技术应用的法律规制

张建文，赵梓羽

西南政法大学民商法学院，重庆 渝北 401120

引言

人脸识别无疑是近年来高新科技领域的热词之一。目前，世界范围内已接连出现多起因人脸识别应用技术引发的侵害自然人隐私权、个人信息权益的事件。人脸识别技术应用在为人们的生产生活带来极大便利的同时，由此所带来的信息安全隐患也逐渐引发人们的关注和担忧。2021 年，在全国政协十三届四次会议新闻发布会上，有全国政协委员提出了关于加快构建人脸识别技术数据监管体系的提案[1]，对人脸识别技术应用进行立法规制已是箭在弦上。基于此，有必要对该项技术的法律规制进行深入研究。本文在对人脸识别技术应用进行利弊衡量的基础上探求对其进行法律规制的应然态度，借鉴比较法上人脸识别技术应用的法律规制措施，厘清该项技术应用的法律边界，进而提出完善我国人脸识别技术法律规制的建议。

1 人脸识别技术应用的收益与风险

人脸识别技术是在图像或视频流中检测或跟踪人脸，再基于人的面部特征信息进行身份识别的一种生物识别技术[2]。这种识别可以通过远程进行操作，在无接触的情形下实现信息与自然人之间的匹配，从而极大地提高了信息采集、处理的便捷性。这是将其与指纹、虹膜等物理识别方式相区分的根本之处，但相较于后者而言，人脸识别的唯一性、精准性有所减弱。人脸识别技术的以上特征决定了该项技术应用是收益与风险并存的。收益与风险的关系决定了法律规制的基本态度，也是研究人脸识别技术法律规制的必要前提。

1.1 人脸识别技术应用的收益

人脸识别技术可以应用于诸多场景，其发展创造了大量裨益社会的机会。据调查研究显示，2018年，人脸识别技术应用的全球市场规模已突破54 亿美元[3]。人脸识别作为人工智能时代标志性的一项技术，如果应用得当，将在多领域、多场景为政府机构、企业集团以及个人提供便利。

1.1.1 公益价值

人脸识别作为当前我国人工智能领域最为前沿的技术之一，始终在不断发展着，至今已被应用至治安监管、医疗健康、行政管理等各大关涉社会公益的关键性领域。尤其是在此次新冠肺炎疫情防控中，人脸识别技术在助力公众安全中发挥了空前的重要作用。人脸识别技术也广泛应用于教育行业，例如研究生招生考试、法律职业资格证考试等大型考试均采用一对一人脸识别，杜绝了替代考试行为的发生；“刷脸进校”“刷脸打卡”能够有效提高课堂出勤率，督促受教育者进行自我提升。人脸识别技术也为交通业的发展带来了福利，自动验票系统“刷脸进站”服务极大地提高了验票效率和进站速度。人脸识别技术同样也是打击犯罪的有力手段，侦查机关利用人脸识别技术建立包含通缉犯、嫌疑犯、非法逃生者以及其他相关主体的人脸图像数据库，并对上述主体进行实时关注，在减少犯罪行为、维护社会治安方面立下奇功。

1.1.2 私益价值

人脸识别技术的价值除了体现在公共安全与公共管理方面外，也体现在给企业与个人带来的益处之上。从线上刷脸支付、身份认核、人脸智能相册到线下刷脸取款、3D 智能人脸解锁，人脸识别技术不断推动着传统产业向着信息化的方向发展。人脸识别技术的商业化应用不仅赋能企业业务服务水平与效率的提升，更是在推动技术创新方面大有裨益[4]。例如，支付宝开通的小额款项刷脸支付可在300 毫秒内瞬时完成便捷支付，为便捷金融、智慧金融注入了新的活力[5]。又如，售楼部、商户门店等销售领域安装的人脸识别系统不仅充当安全监察的作用，更是分析客户群体消费心理、精准投放广告的重要工具。再如，“王者荣耀”游戏启动前嵌入人脸识别系统对中小学生的使用时长进行限制，是企业在网络游戏监管规范的要求之下积极承担社会责任的体现，发挥着维护未成年人身心健康的效用。

1.2 人脸识别技术应用的风险

科技是把双刃剑。人脸识别这项新兴技术在创造收益的同时也带来了不可小觑的风险。虽然人脸识别技术在设计之初具有便利性且在一定程度上安全可控，但随着多场景下人脸识别技术应用范围的扩张，引发了基于盈利为目的的不规范使用等预期未及的问题，造成了人脸识别技术的应用风险。

1.2.1 识别错位、歧视风险

人脸识别技术的关键词在于“识别”。然而该种“识别”受外界因素影响较大，并不必然具有稳定性。一方面，面部特征所蕴含的信息量远不及指纹、虹膜等生物特征，其变化形态也不及后者复杂、多样[6]；另一方面，受限于技术与成本，大部分人脸识别尤其是中小型企业开发或应用的商用人脸识别技术尚难以实现三维立体识别的普及。在以上双重因素的共同作用下，人脸识别技术极易产生识别错位的问题。此外，由于大量采集的人脸信息储存在统一的平台内，数据量呈指数倍极快地增长，若平台程序频繁运行势必会加大数据错位、内部信息错乱的风险[7]。不仅如此，这种识别错位还隐含着歧视风险。麻省理工学院实验室通过对1 270 人的数据库进行人脸识别后发现：人脸识别系统对有色人种匹配的准确率较低，错误率可达到35%[8]。将误差率如此之高的人脸识别技术应用至防控犯罪增大了有色人种被当作罪犯的可能性，实际上是将人脸识别技术的应用置于种族歧视的风险之下。

1.2.2 破坏知情同意规则的风险

知情同意规则是个人信息保护的核心和基础，是自然人信息自决的体现[9]。《民法典》第1035条规定了处理个人信息的知情同意规则。2020 年10 月21 日公布的《中华人民共和国个人信息保护法（草案）》（以下简称《个人信息保护法（草案）》）第14 条又进一步对知情同意规则进行了总结和完善。而人脸识别技术所采集的面部特征信息既属于个人信息，又属于敏感个人信息的范畴，其处理不仅应符合《民法典》第1035 条、《个人信息保护法（草案）》第14 条的规定，还须满足《个人信息保护法（草案）》第二章第二节对敏感个人信息处理的特殊规定，如取得个人的单独同意（第30 条）、向个人告知处理敏感个人信息的必要性以及对个人的影响（第31 条）等。

然而，在实践中，人脸识别技术的应用往往难以符合上述要求，构成了对知情同意规则的违反。这种违反主要集中在以下两个方面：其一，未充分告知信息主体。公共场所安装的人脸识别系统直接对镜头下捕捉到的面部特征信息进行分析、处理，这一过程并未告知信息主体，侵犯了信息主体的知情权。其二，信息主体未真正同意。大多应用到人脸识别技术的APP 往往在用户进行注册登录时弹出所谓的“隐私条款”，但系统又设定信息主体若不同意该“隐私条款”便无法使用该应用软件，以此获得采集、使用面部特征信息的许可。因此，这种概括式的、僵化式的“同意”过于形式化，并非基于信息主体真正自愿，未能使“同意”规则发挥真正效用。

1.2.3 侵犯个人隐私风险

数字社会必须保护好自然人的个人隐私，这也是数字治理本身的内容[10]。面部特征信息被广泛采集形成大数据后，有极大可能会对信息主体的隐私造成威胁，这种威胁贯穿面部特征信息采集到关联比对的整个过程[11]。首先，信息主体对其面部特征信息享有合理隐私期待，而人脸识别技术在信息采集过程中往往利用其隔空捕捉信息的能力绕过对方知情同意，在未经信息主体授权或允许的情形下保存其面部特征信息。例如，在某连锁商户门店的摄像头之下，客户的姓名、年龄、职业、心情，甚至是否具有购买欲望都已被悄悄获取并同时传送给全国范围内的连锁门店，使客户个人信息公然暴露于聚光灯之下。此外，在采集自然人的面部特征信息后，在该信息的存储与流转中也容易发生侵犯信息主体隐私的情形，因为保存面部特征信息的计算机系统也存在被黑客入侵、病毒入侵的风险，这也进一步导致隐私泄露的风险大大增加。

总而言之，人脸识别技术既能带来可观的收益，同时也存在难以估量的风险。对此，我们在鼓励科技发展的同时，必须对人脸识别技术进行系统有效的法律规制，不能纵容该项技术在侵犯公民人身、财产安全的风险中“野蛮生长”。

2 域外人脸识别技术应用的法律规制

随着近年来个人信息保护的呼声逐渐高涨，对人脸识别技术应用进行法律规制已成为各国立法保护的焦点。总体上看，域外人脸识别技术应用的法律规制模式主要包括美国的分散式立法模式、欧洲的统一规制模式两种模式。

2.1 美国的分散式立法规制

美国是人脸识别技术立法规制的先行者，在联邦形成统一法案之前，各州立法先行，伊利诺伊州、佛罗里达州、华盛顿州等已经发布多项法案对人脸识别技术进行专门立法规制。从总体上看，美国对人脸识别技术的规制因应用主体不同而呈现差异化的路径。

2.1.1 政府部门——禁止性规范为主

美国对政府部门使用人脸识别技术持谨慎态度，相关法规以禁止性规范为主。《加州身体摄像头责任法案》（California body camera Liability Act）是首个州级别的对行政采集面部特征信息行为进行制止的法案，法案确认警察执法部门随身携带摄像头进行人脸识别的操作是对个人隐私的侵害[12]。在该类禁止性法案出台之前，美国主要通过行政禁令对行政人脸信息采集行为进行规制。旧金山发布的《停止秘密监视条例》（Stop Secret Surveillance Ordinance）是首个以城市为主体发布的禁止性条例，规定了政府部门非特定紧急情况下不得随意采集人脸信息。随后，萨默维尔市也通过了《人脸识别全面禁止条例》（Banning the Usage of Facial Technology Surveillance in Somerville），宣告了萨默维尔市范围内所有接获、使用人脸识别系统获取人脸信息的行为均是非法的，成为美国率先禁止使用人脸识别技术的城市之一。

2.1.2 非政府部门——限制性规范为主

不同于禁止政府机构使用人脸识别技术的规定，美国对非政府机构使用人脸识别技术持较为开放的态度，其通过对生物识别信息或人脸识别技术进行专门立法的方式对私主体使用该项技术进行规范，在一定程度上允许该技术的限制性使用。

美国各州最早是通过生物识别信息立法保护的方式对非政府部门使用人脸识别技术进行规制的。其典型代表是2008 年颁布于伊利诺伊州的《生物识别信息隐私法案》（Biometric Information Privacy Act，BIPA），该法案通过个体赋权、强化义务的方式对包含面部特征信息在内的生物识别信息的采集、存储、使用、保留与销毁进行规范。具体来看，法案作出了以下具有借鉴意义的规定：初次采集生物识别信息时应当获得信息主体书面授权并告知信息主体被采集信息的具体内容、目的、存储时间；企业对生物识别信息负有达到信息采集目的后一定期限内的销毁义务；生物识别信息未经允许不得出售、不得被非法披露，等等[13]。除了生物识别信息的专门立法外，华盛顿州、加利福尼亚州还通过人脸识别技术专门立法（Facial Recognition）的方式对人脸识别技术应用进行直接性、针对性的规制。随着人脸识别技术在实践应用中带来的各项风险不断增多，联邦层面也加紧了制定人脸识别技术专门法案的步伐，以迎合面部特征信息保护的现实需要[14]。

2.2 欧盟的统一严格限制模式

与美国分散式立法规制人脸识别技术应用形成鲜明对比的是，欧盟早先立法形成了严格限制人脸识别技术应用的普遍认识。2016 年通过的《通用数据保护条例》（General Data Protection Regulation,GDPR）将不同种类、性质的个人信息均纳入该条例保护框架之下，通过民事、行政、刑事措施合一的立法安排对个人信息进行严格保护[15]。GDPR 第4 条第14 款对“生物特征数据”（biometric data）的内涵与外延进行了界定，能够识别特定自然人的“面部图像”（facial images）通过技术应用转化为个人数据后即归于此列。第9 条规定自然人的生物数据属于个人数据的特殊类别，处理该类数据须遵守“原则禁止、特殊例外”的原则，特殊情况下确需处理的需满足“合法、正当、同意”等要件，且“同意”必须基于数据主体“自愿、明确、具体、不含混”的方式作出[16]。由此可见，在GDPR 下，人脸识别技术的应用受到极大限制，即使是在特定情形下允许该项技术对人脸信息的采集，其处理条件也十分严苛。欧盟GDPR 的立法者认为，比起为现代社会带来的收益，人脸识别技术侵犯公民隐私与个人信息的风险是不可容忍的，因此应当不加区分地严格限制政府机构、非政府机构对人脸识别技术的使用。

对比以上两种立法模式不难发现，美国分散式立法根据各州实际情况制定规则，有针对性、实践性较强的优势，但也存在保护层级不清、保护措施单一的问题；欧盟统一式立法更为全面、系统，但人脸识别技术发展之快，容易出现法律滞后于技术发展的现象。总之，两种模式各有利弊，完善我国人脸识别技术应用的法律规范应立足于国情及社会经济发展情况进行探讨。

3 我国人脸识别技术应用法律规制的现状及完善措施

3.1 我国人脸识别技术应用法律规制的现状

我国目前对人脸识别技术涉及的面部特征信息的保护散见于法律法规、规章条例中。2016 年实施的《网络安全法》与2017 年实施的《民法总则》最先在法律层面上规定了个人信息保护，但均未明确其内容是否包含人脸识别技术涉及的面部特征信息或个人生物识别信息。2021 年1 月1 日生效的《民法典》对此有所突破，其中第1034 条第1 款规定：“自然人的个人信息受法律保护”，第2 款将生物识别信息与自然人的姓名、出生日期、身份证件号码等相并列规定为个人信息内容。但不难看出，以上条款仅对生物识别信息作宣示性保护，并未对保护内容及保护方式作实质性规定。

与上述法律规范形成对比，我国在行政法规、规章、条例等规范性文件中对人脸识别技术应用中涉及的面部特征信息（个人生物识别信息）作了较为细化的规定，其中包括多项意见征求中的数据（个人信息）管理的专门性法规以及多项国家标准规定。其中，2020 年3 月修订的《信息安全技术个人信息安全规范》对个人生物识别信息的保护进行了较为全面的规定。该项规范明确规定了个人生物识别信息属于敏感个人信息，并对该类信息进行特殊保护：采集个人生物识别信息前应当向信息主体告知采集、使用个人信息的目的、方式和范围以及存储时间等规则，并获得个人信息主体的明示同意；个人生物识别信息应与个人身份信息分开存储；原则上不应存储原始个人生物识别信息，等等。但该项规范仅为国家层面的推荐性标准，不具有强制效力[17]。由此可见，我国关于人脸识别技术应用的法律规制问题仍有待进一步完善。

3.2 我国人脸识别技术应用的法制完善

鉴于人脸识别技术应用可能带来的识别错位和歧视风险、破坏知情同意规则风险、隐私和个人信息侵害风险，未来立法上应当确立面部特征信息的准确化处理原则、完善知情同意规则和隐私侵害的救济措施等。

3.2.1 确立面部特征信息的准确化处理原则

当前，人脸识别技术尚不成熟，其应用过程中仍存在较大的识别错位与歧视风险，有必要借鉴欧盟《通用数据保护条例》确立信息处理的准确化原则。欧盟《通用数据保护条例》在第5 条个人数据处理原则中规定了个人数据的准确性：数据处理者应当确保个人数据是准确的，如有必要应当及时更新、擦除或更正。在此条规范的要求之下，人脸识别技术得到应用的前提是其技术水平得到保障。由此，我国可根据该原则从以下几个方面创设具体规则，用以达到准确处理面部特征信息的效果：其一，要求企业及时进行系统性能测试，避免技术误差带来的面部特征信息识别错位风险，同时加强安全保密措施的实施，用来降低面部特征信息存储过程中的风险，实现面部特征信息处理的准确化；其二，政府可建立第三方独立检测机构，对人脸识别技术进行定期合规性检测，督促企业对相关设备进行升级，避免技术应用中准确性的欠缺带来的识别错位与歧视风险。

3.2.2 构建具有可操作性的知情同意规则

面部特征信息属于敏感个人信息，是与人身财产相关的重要个人信息，对面部特征信息的保护也应更加严格。相应地，面部特征信息使用的知情同意也应严于一般个人信息的知情同意[18]。美国伊利洛伊州的《生物信息隐私法》采用书面知情同意原则，要求处理个人生物信息必须事先获得信息主体的书面同意。这部法律颁布较早，随着信息社会的发展，要求信息主体一一进行书面同意显然难以满足当下信息处理的需求[19]。因此，在对《个人信息保护法（草案）》第30 条处理敏感个人信息的告知同意规则进行完善时，应致力于提高该规则的灵活性与兼容性，既要考虑信息主体的自主选择也要进行成本控制，还要照顾到一般主体的数据理性能力[20]。基于此，构建具有可操作性的知情同意规则可考虑以下两个方面：一方面，对面部特征信息的同意应从概括同意、整齐划一的同意向动态同意转变，允许个人选择其偏好的知情方式、频率以及内容，并自由决定授予同意或退出同意，以提高信息主体在信息处理过程中的参与度[21]。另一方面，严格禁止知情同意的推定。除法律明确规定该场景可推定信息主体已经作出默示同意外，信息处理者不得作出不利于信息主体的默示推定，信息主体未经拒绝的沉默不得视为同意，以防止信息处理者以此为由滥用人脸识别应用技术，提高侵害信息主体个人信息自决权的风险。

3.2.3 强化侵害隐私的救济措施

人脸识别技术应用所带来的核心难题在于实现隐私侵害的预防与救济。面部特征信息处理的准确化原则与知情同意规则均致力于信息处理前的制度构建，对人脸识别技术应用进行有效的法律规制还须有针对性地完善相应的救济措施。这就需要对多方参与主体进行责任配置，实现从私主体到公权力再到社会组织的全方位立体治理。一方面，应对接不同部门法对人脸识别技术应用中涉及的个人隐私进行综合保护。具体而言，不仅要在民事领域为相应责任主体配置义务、设定规范，完善面部特征信息的侵权救济制度，还应在行政领域加强行政监管，落实行政主体统筹保护面部特征信息的责任，并在刑法领域设立专门规范用以规制人脸识别技术的不当使用，对利用人脸识别技术严重侵犯个人隐私与财产权的犯罪行为进行严厉打击。另一方面，应推动社会规范的构建，完善人脸识别技术应用中的合同和交易制度设计，由此对私主体或政府机构等个人信息处理者的责任进行确切的落实。此外，还应强化个人信息控制者、监管者的责任。个人信息控制者、监管者有义务制定合乎法律规范且符合大数据时代信息科技发展理念的行业规范，并承担防范面部特征信息不当泄露的责任，即使信息泄露未对信息主体造成实质性损害，监管者也应承担监管不力的责任。

4 结语

在人脸识别技术已得到普遍应用的信息科技时代，我们既要正视其带来的社会收益，鼓励新兴科技的发展，也要及时应对人脸识别技术给个人尊严、隐私以及现存法律制度带来的挑战。对人脸识别技术进行有效规制应从以下三个方面入手。一是应确立面部特征信息处理的准确化原则，确保人脸识别技术所采集、存储、使用、公开个人信息等一系列环节中信息的准确性。二是应以信息主体面部特征信息的保护为导向完善知情同意规则，即通过采纳动态同意规则、严格禁止知情同意的推定等措施，强化知情同意规则的可操作性，避免因知情同意的僵化性而侵害信息主体的面部特征信息，阻碍信息社会的发展。三是应对接不同部门法强化信息处理者、使用者、监管者的责任，创设信息科技时代全方位、立体化的面部特征信息保护机制。