人脸识别技术应用的现实困境与法律规制路径*

广东工业大学 汤基敏 徐津津 潘楚蝶 陈敏婷 吴丹妮

近年来，人脸识别技术走入万千大众的生活，人脸识别应用场景不断扩大，伴随而来的争议也日渐增多，戴头盔看房、社区门禁等事件一次次地将人脸识别技术推向公众视野，315晚会曝光的人脸识别摄像头事件更让这项技术于公众眼前全面铺开。目前我国颁布了诸多个人信息保护以及人脸识别技术应用的指导性立法，并开展行政层面上的相应举措，但对于法条的可操作性及行政治理的有效性还十分欠缺，本文分析人脸识别技术在应用、技术风险、立法以及司法等方面的现状，并基于此提出关乎技术救济、立法衔接、行政监管等方面的关键问题，最后结合域外经验系统提出改进措施，保障了人脸识别技术在法律框架内有序发展，助力新产业、新业态持续健康发展。

1 人脸识别技术的应用现状

人脸识别技术的运用在过去主要集中在公共安全领域，现今在推进国家政府治理能力现代化的背景下，人脸识别技术普遍应用于政府治理中，其在提升政府工作效率方面发挥了积极作用。人脸识别技术应用广泛的同时也引发了诸多问题。如政府作为公权力主体，其可通过各种途径收集大量人脸信息，政府的数据库一旦被非法侵入，会造成严重的信息泄露问题，侵害公民的个人信息权益[1]。

近年来，商业领域应用人脸识别技术的场景大肆扩张，从线上App到线下商场，从大型企业到小型快递站，各个领域都有人脸识别设备的“身影”。与其他领域不同，商业领域应用人脸识别技术的目的并非维护公共安全，而在于实现商业利益。商业主体应用人脸识别技术理应严格遵循知情同意原则，但是许多商业主体未诚实履行告知义务而擅自使用该项技术，知情同意原则受到了挑战。同时，商业主体是否能够妥善保管人脸信息，政府是否能够对其进行有效监管等问题仍然存疑[2,3]。

2 人脸识别技术的风险现状

人脸识别技术识别的面部信息是个人独特的生物信息，与个人信息关联度高。收集面部信息时意味着公民的姓名、职业、资金等信息将一同被获取，若面部信息被随意收集将十分不利于个人信息的保护。

不同于其他类型的生物识别技术，人脸识别技术的隐蔽性与非接触性的特征使信息抓取变得更为简单，该技术的面部识别算法配合普通的摄像头即可实现信息的远距离抓取与存储。同时面部信息识别的精准度也大幅度提高，在人们移动或表情变化的过程中也能精准完成识别。人脸识别技术的非接触性促使它具备隐蔽性，信息处理者往往能够在信息主体未知情的情况下取得其人脸信息，即便该行为违反知情同意原则，但由于处理者与信息主体间天然的信息不对称关系，信息主体也未能及时察觉[4,5]。若非2021年央视3·15晚会曝光了部分店铺非法使用人脸摄像头进行“无感式”人脸信息收集，恐怕公众至今仍未知晓其中套路。现国内人脸识别相关案件数量寥寥无几，笔者认为，相关案件数量较少也与人脸识别技术的直接侵害性不明显有关，信息主体往往并不知悉其人脸信息已被收集。人脸识别技术的这种性质造成大量的人脸信息被非法使用和贩卖，但是被识别者却对自身人脸信息的泄露毫不知情，造成极大的安全隐患，使得公众难以对人脸识别技术进行有效防范，造成维权困难。

3 人脸识别技术运用的立法保护现状

人脸信息作为一种特殊生物识别信息，因具有信息个体的识别性和唯一性使得其在适用上极易引发纠纷外溢，亟待专门立法予以特殊保护，目前我国通过《刑法》《民法典》《个人信息保护法》《网络安全法》等法律以及相关司法解释和地方性条例对人脸识别技术的应用加以规制。《民法典》将隐私权和个人信息纳入人格权予以保护，并首次对个人信息下明晰的定义，奠定生物识别信息立法基础；《网络安全法》为保护个人信息安全提供一般性保护；《个人信息保护法》作为处理个人信息原则性、方法性的法律，实现了对个人信息的针对性保护，强化了对敏感个人信息的保护；《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》以司法解释的形式强化了对人脸信息保护；地方性立法如《上海市数据条例》也针对个人信息保护进行了细化立法，上述法律法规都体现了我国对于人脸识别技术发展的持续关注和所给予的立法层面上的制度保护。但与此同时，实务中对于法律规范的适用存在着诸多困扰，诸如相关法律之间衔接不足，对人脸识别技术尚未形成系统化且针对性的法律体系、出现法律规定间的矛盾创设随意解释的空间给司法实践造成困难，对数据维度外的算法安全和技术应用问题未进行妥善回应等。

4 人脸识别技术运用的司法实践现状

2019年，我国出现“人脸识别第一案”，尽管法院审判并未基于人脸信息保护角度，而是从合同法角度进行考量，但有关人脸信息保护的话题已经引起社会广泛关注。2020年3月，劳东燕教授拒绝其居住小区“不刷脸不让进小区”的规定，并认为物业无收集业主人脸信息的权力和安装人脸识别装置的必要性，最终物业同意业主可以自由选择出入小区的方式。实践中真正进入诉讼阶段的此类案件仍在少数，社会公众并未对此技术报以绝对信任，人脸识别技术在司法实践中仍有诸多问题待解决。

4.1 技术准入规范难适用

现行法对于人脸识别的运用主体未作明确规定，数据安全保护责任主体不明，加之信息收集主体日趋多样化，各人脸信息收集主体间技术水平、成本投入乃至保护意识存在较大差异，导致人脸信息被非法收集和使用的可能性大大增加[6]。而以知情同意原则和权利克减规则为人脸技术的市场准入标准，实践中可操作性不强且易出现权利滥用，脱离立法本意。知情同意原则在实践运用中，由于信息主体一方在信息知情和技术能力上的劣势地位以及人脸识别技术的非接触性，信息处理者规避知情同意原则的情形比比皆是。如App以反复弹窗等间接方式诱导使用、App隐私政策中条款规定模糊、线下门店通过摄像头在用户不知情的情况下收集人脸信息等。现有规则中，权利克减规则留出了自由裁量的空间，且并未明确解释权主体乃至适格行为人，导致合理使用规则被滥用。如《个人信息保护法》第26条对于信息收集主体并未做适格条件限制，导致打着“公益”幌子下的私益行为层出不穷，法律价值落空[7]。

4.2 违反“知情同意”的损害难认定

从《个人信息保护法》的规定来看，违反知情同意原则而收集他人个人信息这一程序难以认定为损害，该法第14条第二款规定“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意”，当处理目的、处理方式和处理的个人信息种类发生变更时未再次征得被收集者的同意时，被收集者“知情同意权”被侵犯，司法实践中无法将该程序性违法造成的权利人的精神损害、预期利益等认定为损害[8]。

4.3 行政管理主体监管作用尚未充分发挥

尽管《个人信息保护法》第六章规定了履行个人信息保护职责的部门，但没有明确监管部门监管权合法、合理行使的依据及程序规则等内容。如该法第60条并未明确履行个人信息保护职责的主管部门，这给执法无力埋下了隐患，导致“踢皮球”的乱象丛生。其次，多个行政部门均对采用人脸识别技术的信息收集主体负有监管职责，但各监管部门职责分散且交叉较多，人脸识别技术又具有运用范围广、直接侵害性不明显等特点，导致监管部门应对此类技术的监管成效不明显。

5 我国人脸识别技术规制的制度完善

5.1 人脸识别技术应用的事前救济

5.1.1 明确收集主体和信息主体的权利归属

在人脸识别技术应用中，明确各方主体的权利归属、针对不同主体进行明确赋权是保障人脸识别信息不受非法侵害的必要前提。

收集主体是否享有、在何种情况下能够享有收集、加工或使用的权利应给予清晰的界定，明确以何种许可方式赋予收集主体以权利，且应穷尽特定许可的范围，仅以空泛的兜底性条款难以规避法律之落后性；而在赋权信息主体时则要尊重其知情权、自主选择权和隐私权等权利，并要求信息主体在涉及国家、社会重大事项时让渡部分权利以保障公共利益。

5.1.2 设立多层次、全方位的界限标准

(1)建立资格准入审批制度。严格监管人脸识别技术使用权的授权，以必要性作为该技术应用程度的衡量标准，根据不同的使用需求确定授权条件、授权范围等，加大行政管理，建立严格的资格准入审批制度，为授权使用人脸识别技术的主体设立准入门槛，实现主体受控的目的，彰显行政监管在人脸识别技术应用领域的职责所在。

(2)严格贯彻知情同意原则。知情同意原则旨在强化个人自决，保障公民的知情权与自主选择权，是为使用人脸识别技术限定最低的界限要求，即人脸信息的采集和使用应尽不同形式充分告知其信息主体，务必保证信息主体与收集主体的信息对等，且针对同意能力的差别应采取不同形式以避免流于形式产生后续纠纷，应明确信息主体的授权同意应以明示形式做出，禁止沉默推定为同意，要求数据收集一方对相关条款内容负有告知与解释的义务，此外还应允许信息主体享有撤销权，即中止信息采集方对其信息的使用并清空人脸信息数据库内其相关信息[9]。

(3)落实信息处理者的去标识化措施。人脸识别的风险所在即其能够将面部信息与个人身份信息挂钩，而去标识化恰恰措施借以去除信息标识特征成为重要的安全措施。信息处理者需要对个人面部信息进行处理，使其在不借助额外信息的情况下无法识别特定自然人且不能复原。当前我国去标识化措施缺少十分具体的实施标准，故而成为收集主体逃避义务的灰色地带，因此须以法律强制手段落实去标识化措施，以切断人的面部信息与特定自然人身份之间的链接。

5.1.3 引入应用评价制度与公众参与制度

应用评价制度与公众参与制度的引入旨在赋予设计者在投入人脸识别技术前所应履行的面向行政部门和公众的告知与核准程序。

应用评价制度提出人脸识别技术的主体应当出具算法应用报告书，并上报相关部门进行审批，且对于影响规模较大、风险较高的人脸识别算法应当向独立监管部门进行备案，确保监管部门进行动态监测。此外还可以建立试运行机制以完善人脸识别技术的事前评价制度。

公众参与制度则是对知情同意原则的进一步践行，要求人脸识别技术应用主体主动向社会公布技术的应用情况，并积极听取和采纳公众意见，同时通过引入公众参与机制使信息主体得以充分表达诉求，保障其知情权和参与度，减轻信息主体对技术滥用与信息泄露的担忧，使其更好地接受人脸识别技术的应用。

5.2 人脸识别技术的全过程监管

5.2.1 加密保护人脸识别信息

人脸识别技术本质上是基于算法的大数据分析，因此应重点监管技术的算法规制。在人脸识别技术应用过程中，人脸信息处理者有义务对所采集的信息进行加密保护。如通过网络安全层软件（SSL）进行信息加密传输与存储，严格限制数据中心的访问；或是以人脸识别SDK软件进行加密以防止反编译及逆向工程，防止数据库内的信息被随意拷贝等。信息处理者在保管人脸信息时，应当将经过去标识化后的面部信息与可用于恢复识别个人的面部信息进行分开储存，对于可识别身份的信息应当进一步加密保存，例如采用独立终端进行存储，以减少面部信息完全泄露的风险。除了对信息存储进行加密保护之外，人脸信息的加工与传输也需要重视。在传输过程中，必须结合去标识化的技术安全措施对人脸信息进行加工，架空人脸信息使其在独立的空间内进行流转，并且应结合网络信息传输加密算法，以保护人脸信息文件传输安全。

5.2.2 建立外部独立监督机构

根据《个人信息保护法》第五十八条“守门人”条款，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者应当成立外部独立机构对个人信息保护情况进行监督。而人脸识别技术所涉及的人面信息更为敏感，更应设立独立的外部监督机构，对所有人脸信息处理者的收集、使用、传输、加工等活动进行独立监督，并定期以测评或安全考试的形式进行风险评估[10]。对于在处理信息过程中存在泄漏风险的处理者可以给予相关法律法规及安全准则的意识强化指导；对于发生信息泄漏现象的处理者应当及时禁止其继续处理信息；出现侵权行为时应根据相关规定进行处罚，如此可以促进人脸识别技术行业的安全与良性发展。

5.2.3 多方联动强化政府监管职能

为了充分发挥行政主体的职能，需要多方联动，以健全人脸识别技术的信息收集安全机制。目前我国法律并未明确规定履行个人信息保护的主管或者责任部门，人脸识别信息的监管和保护主体不明的问题亟待解决。因此，我们可以在政府内部明确设立人脸识别信息保护的主管部门，以独立地处理涉及人脸信息的问题，并赋权对涉嫌泄露面部信息的主体进行调查与移交处理，通过厘清行政管理主体以及政府权责来强化政府部门的监管职能。

在技术层面上，我们应设立独立于政府之外的信息安全影响评估机构，对该技术应用进行定期回访、追踪与监督，实现动态评估。政府内部也应设立特定部门与此对接并进行监管，该政府监管部门可以结合公众参与机制，吸收多方有效的意见，由此通过多方联动实现对人脸识别技术应用的全过程监管，保障技术应用安全。

此外，在发挥法律基础作用的同时，还应当结合行业自治组织，发挥行业自身监管作用：一方面借以行业行规的形式来规范技术的设计、开发以及应用；另一方面通过实现全领域的行业自律公约覆盖，来指引人脸识别的合法合规应用，而行业组织也需要通过与政府联动实现自身监管，最终实现多方监管共同发力，提升政府监管工作效能[11]。

5.3 人脸识别技术应用的事后救济

5.3.1 实现人脸识别技术的专门性立法

从整体上来看，我国已经有了个人信息保护相关的专门性立法，但是个人信息不等同于生物识别信息，个人信息是生物识别信息的上位概念，两者的内涵与外延无法得到一致的判断[12]。而人脸信息作为一种特殊的生物识别信息，具有信息个体的识别性和唯一性，更是与其他生物识别信息存在较大差别。故应尽快从立法层面制定一部关于人脸识别技术应用的专门性法律，将人脸信息区别于敏感个人信息、个人信息进行特殊立法保护。

5.3.2 加强人脸识别技术相关法律间的衔接

在现有立法中，应加强《个人信息保护法》《民法》《刑法》《网络安全法》等法律间的有效衔接，细化对于法律用语的规定，使规则适用精准化，并对法律规范体系内外部进行调整，实现法秩序统一和个人信息公私法一体化保护[13]，从而为人脸识别技术的专门性立法打下基础，避免法律冲突。以民法和刑法为例，目前《民法典》未明确规定个人信息权这个概念，而只规定自然人的个人信息权受法律保护，未来可以在《民法典》中规定个人信息权，为个人信息保护提供法律依据。我国的《刑法》中规定了“侵犯公民个人信息罪”，但该罪仅能对部分侵犯公民个人信息的行为进行规制，存在对个人信息犯罪的量刑情节单一、对个人信息犯罪的规制范围狭窄、对人脸识别信息的入罪标准模糊等问题[14]，未来可考虑在立法层面重新确定新罪名，从而对人脸信息提供更具针对性的保护。

5.3.3 完善个人信息公益诉讼机制

在公益诉讼适格原告方面，法条虽然规定了消费者组织和国家网信部门可以依法提起公益诉讼，但是消费者组织提起公益诉讼只针对侵害众多消费者合法权益情形时才可适用，适用范围过窄，不利于公民维权。且目前国家网信部门并未规定可以提起公益诉讼的组织，因此，在实践中会出现主要以人民检察院为主要主体提起人脸信息公益诉讼的情形，但人脸信息存在技术壁垒高、隐蔽性强等特点[15]，办案人员由于专业知识的匮乏，对于海量的数据和信息进行搜集整理缺乏应对能力，由更具专业性的组织代表提起诉讼才能更好地保护公民的权益。基于目前人脸信息保护社会组织缺少的现状，国家可单独建立个人信息保护协会以及个人信息保护组织，为公民权利救济保驾护航。

在公益诉讼具体开展过程中，需加强合作资源共享，提升数字化办案能力。检察机关在办理个人信息保护公益诉讼案件时，可以联合调查全面收集证据，加强与相关部门协作，建立完善数据共享以及联合行动等机制。办案人员也要努力提升数字化办案思维与能力，利用专业技能从互联网大数据中发现收集证据，另外可以引入人工智能辅助办案，提高办案效率。此外，可以探索构建“诉前磋商+检察建议”模式和采用“民事公益诉讼+行政公益诉讼”的模式，互补互助，实现对人脸信息的立体保护。

6 结论

人脸识别技术的发展与应用是时代发展不可避免的过程，其技术上的安全风险性并不是阻碍与逃避其发展的理由。《个人信息保护法》等相关法律法规的出台，强化保护了敏感个人信息，但要使人脸信息保护更具针对性，其保护机制仍需进一步细致完善，因此本文针对人脸识别技术的救济路径提出了制度完善建议，从事前技术预防到事后法律救济形成多角度、全方位的完整保护链，以达成人脸识别技术发展与信息安全的动态均衡，有效化解人脸识别技术带来的个人信息安全危机，提高人脸识别技术的安全度与公众认可度，助力人脸识别技术进一步发展。

引用

[1] 张涛.人脸识别技术在政府治理中的应用风险及其法律控制[J].河南社会科学,2021,29(10):44-55.

[2] 张新宝,葛鑫.人脸识别法律规制的利益衡量与制度构建[J].湖湘法学评论,2021,1(1):36-51.

[3] 赵慧津.人脸识别技术应用的行政法规制研究[D].济南:山东大学,2021.

[4] 张宇轩.人脸识别技术下的个人信息保护:以设计保护为进路[J].河南理工大学学报(社会科学版),2021,22(2):18-24.

[5] 闫双巧.人脸识别等生物识别技术侵权救济:以个人信息保护为视角[J].河南工学院学报,2020,28(6):74-80.

[6] 刘军平,杨芷晴.人脸识别数据保护困境及其法律应对[J].科技与法律(中英文),2021(6):18-28.

[7] 王旭.人脸识别准入规则的失灵风险与制度重构[J].大连海事大学学报(社会科学版),2021(6):54-65.

[8] 李婕.人脸识别信息自决权的证立与法律保护[J].南通大学学报(社会科学版),2021,37(5):106-115.

[9] 林凌,贺小石.人脸识别的法律规制路径[J].法学杂志,2020,41(7):68-75.

[10] 崔亚东,杨华,胡荣鑫,等.世界人工智能法治蓝皮书(2020)第五部分人工智能法治发展专题报告 三、人脸识别与隐私权保护法律问题研究[C]//世界人工智能法治蓝皮书(2020):上海市法学会,2020:235-245.

[11] 蒋洁.人脸识别技术应用的侵权风险与控制策略[J].图书与情报,2019(5):58-64.

[12] 王宗煜.人脸识别系统下的个人隐私法律规制研究[D].广东:广东外语外贸大学,2019.

[13] 张勇.敏感个人信息的公私法一体化保护[J].东方法学,2022(1):66-78.

[14] 任和和.论我国人脸识别信息侵害行为的刑法规制[J].上海法学研究,2021(14):269-276.

[15] 何嘉凯,檀杉杉.个人信息保护公益诉讼的破与立[N].检察日报,2021-12-02(007).