人脸识别技术应用的规范探讨
——美国立法的启示

杨 俊，张晓云

(安徽科技学院 人文学院，安徽 凤阳 233100)

David Collinggridge 在1980年提出“科林格里奇困境”理论。他指出前瞻技术可能出现的负面影响在技术发展前期往往难以预测。在无法获得其所产生影响的必要信息下，我们可以控制却不知道该控制什么；当创新技术已在市场上占有稳固地位，在其对技术的发展产生的影响逐渐明朗时，我们知道该控制什么却已陷入难以控制的困境。[1]随着人工智能的发展，人脸识别技术在公共安全认证、智慧校园、考勤系统、门禁系统、在线支付、访客登记等场景广泛运用。在享受信息技术飞速发展带来便利的同时，人脸识别技术带来的信息安全、隐私、个人信息保护、消费者保护、公平交易等问题日益凸显。2021年“3·15”晚会曝光了科勒(中国)投资有限公司违规抓取人脸数据。该公司门店的摄像设备会自动抓取到店人员的人脸信息，并通过软件系统将收集到的人脸信息图片上传到万店掌租用的阿里云服务器，再经过算法计算筛除门店员工及重复进店的顾客，达到去重目的。商家据此来精准统计客流，方便制定销售政策。但商家在利用上述摄像设备收集消费者人脸信息时，并未取得消费者的明示或授权同意。截至2021年3月15日，当事人共抓取了2 202 264条人脸信息。

人脸识别技术应用伴随而生的相关风险迫使监管机构开始思考适度的管制。“3·15”之后，各地行政机关加大了对于人脸识别技术使用以及数据合规的处罚力度。2021年4月，宁波市场监督管理局先后对20家房地产企业进行立案查处，合计罚款203万元。2021年4月9日，人脸识别第一案二审宣判，在司法裁判领域不断探索对自然人人脸信息等生物识别信息的保护规则。2021年7月27日，最高人民法院发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)。2021年8月，《个人信息保护法》正式颁布。《规定》以16个条文对使用人脸识别技术和处理人脸信息的案件，在侵权行为、合同规则、举证责任等方面，做出了明确回应。人脸识别司法解释的发布，意味着企业在使用人脸识别技术时，应更充分的评估相关业务场景的合规性。尤其对于主营业务涉及运营App的企业而言，嵌入人脸识别功能，进而采集用户人脸信息的场景越来越广泛。

一、问题的提出——我国人脸识别第一案

2019年4月，郭兵购买了野生动物世界的双人年卡，留下个人身份信息，并录入指纹和拍照。其后，野生动物世界为了提高游客检票入园的通行效率等原因，决定将入园方式从指纹识别调整为人脸识别，未注册人脸识别的用户将无法正常入园。郭兵提出其妻子不同意人脸识别，并咨询在不注册识别的情况下能否退卡费，双方未能就退卡方案达成一致，于是提起了诉讼。

一、二审法院均支持删除人脸信息的请求，但裁判思路有所区别。一审法院认为：(1)当事人在办卡时签订的是“指纹识别方式入园的服务合同”，野生动物世界收集原告的人脸识别信息缺乏必要性和正当性；(2)野生动物世界在涉指纹识别的“年卡办理流程”中规定流程包含“至年卡中心拍照”，但并未告知原告拍照即完成对人脸信息的收集及其收集目的，原告同意拍照的行为，不应视为对收集原告人脸识别信息的同意。二审法院认定：(1)原告提供照片仅为配合指纹卡的使用，不应视为其已授权同意将照片用于人脸识别，即并没有获得原告的同意。(2)野生动物世界虽自述其并未将收集的照片激活处理为人脸识别信息，但其欲利用收集的照片扩大信息处理范围，超出实际收集目的，违反了正当性原则。(3)鉴于收集照片与人脸识别利用的特定关系，野生动物世界以短信通知的方式要求原告激活人脸识别，表明其存在侵害原告面部特征信息的人格利益的可能与危险。

我们可以看到二审法院判决区分了“照片”“面部特征”“人脸识别信息”，很详细的还原了整个业务的流程。即野生动物世界在指纹无法识别等特殊情况下，需要核对照片，用于验证年卡消费者的身份。在这种情况下需要采集原告的面部特征，对于面部特征在激活之后才能进行技术处理，从而变成人脸识别的信息。二审的判决其实是把整个所谓的使用人脸识别技术或者是处理人脸信息结合到具体的业务场景去做了一个技术的还原。

这个案件当中我们其实可以进一步去探讨很多的问题：图像信息是不是等同于人脸识别信息？具体场景是否具有处理人脸识别信息的必要性？收集人脸识别信息如何获取有效的知情同意？

二、人脸识别信息技术的定义与应用

人脸识别技术所取得的脸部识别资料，在个人资料保护规范的界定中都属于特种个人资料，且属于生物识别信息的一环，其资料的收集、处理与利用应受到更严格的保护与检视。

(一)图像信息与人脸识别信息

人脸识别信息除了敏感个人信息的属性外，还有个特点就在于它可能同时具备肖像权和隐私权的属性。所以，人脸信息和图像信息既有联系也有区别。

1.人脸识别信息的定义与应用

(1)生物识别

《规定》并没有对人脸识别做出具体的定义，但是明确将人脸信息归属于《民法典》所规定的生物识别信息。生物识别是指针对个人特定身体或行为特征的量测与分析，用于识别身份、生物识别的个人资料包括：指纹、DNA、心跳、脸部特征等。[2]结合个人信息相关的法律法规和国家标准，人脸信息可以理解为一种人脸识别特征或者是人脸识别的数据。人脸识别技术通常的步骤是指由影像监测辨识个人脸部，通过软件分析脸部特征，再由程式利用数位模板测量节点，例如，测量鼻梁距离，依此会有不同的端点，这些节点可用来判断不同个人脸部上的特征，系统描绘出脸部纹理，可和既有的脸部资料库进行对比。人脸识别技术与人工智能技术的结合，使得人脸识别技术应用更为广泛且提升判断的精准度。例如，现阶段新型冠状病毒疫情肆虐全球，基于疫情地避免与防止扩散，佩戴口罩已成为必备防疫措施，而为使戴上口罩后的人脸识别技术进一步提升，已有科研团队针对戴上口罩后未被遮蔽部位的脸部特征截取分析。

将人脸识别技术取得的资料进一步与资料库对比进行识别，可用于身份验证。其次，将所有资料库的资料进行分类并加值应用。其相关的应用层面，可略分为公共用途利用，位于公共场所架设使用，例如，装设于十字路口、车站、或机场等公共区域，另一用途是作为商业利用，分别为：零售商店、体育场馆或旅店等。如果成为公共用途的利用，所取得的资料部分则可用于犯罪侦查维护公共安全，但相对地引起的隐私与人权争议，合宪性与否受到挑战。另一部分，作为商业用途时，有助于加速服务流程、广告投注或识别不同客户以量身打造不同的服务人群。同时，这些收集的资料成为大数据的一部分，有助于未来政府信息公开以及企业进一步研发的基础。

(2)人脸识别应用的争议

人脸识别所取得的生物识别信息所面临的问题在于安全性维护以及身份信息遭窃取的风险，而且由于生物辨别信息具有个人独特性，并且无法取代的特征，在此等具有高度安全性疑虑下，一旦资料遭窃取，所造成的影响与其他一般资料，如电话号码、地址或密码设计等相比较下，生物识别的信息受侵害所造成的损害程度更为严重。①歧视与偏见。首先，人脸识别系统受算法设计者自身的偏见，使用人脸识别算法通过标签化的判断方式增加了作出歧视性决策的风险。例如，在求职领域，通过对求职者人脸图像的分析，系统可以运用其强大丰富的数据分析处理能力，评价求职者的性格、情绪、能力等，从而协助雇主作出是否聘用的决策；[3]其次，人脸识别系统也面临技术应用的失误将造成各种歧视问题。例如，亚马逊在2016年研发脸部识别系统，提供美国佛罗里达州警方使用，但后续研究统计显示，系统针对有色人种的识别产生许多错误，引起种族歧视问题，进而在2019年先行暂停美国警方使用该系统。[4]②隐私与信息保护。识别错误所衍生的歧视问题多半是因为人脸识别系统涉及自动化技术产生误差的因素包含数据本身可能具有偏差，或信息本身不足以代表某些特定的人而造成演算法运作过程产生错误。进一步，若将此用于自动化决策，则又衍生自动化决策对信息主体的保护问题。如欧盟《一般信息保护规则(GDPR)》第22条所规定，信息主体应有权不受基于自动化处理所作成而对其产生法律效果或类似的重大影响的决策所拘束。

2.图像信息与人脸识别信息的区别

在人脸识别案中，法院在判决书中指出：野生动物世界通过拍照行为采集了原告的“面部特征”，但该“面部特征”只有在激活后，进行技术处理才变成人脸识别信息。即人脸信息它和照片、面部特征既有联系也有区别。并非只要出现肖像、人脸图像就属于人脸识别信息，应区分具体的处理技术和应用场景。欧盟《关于个人数据自行处理过程中的个人保护公约》解释性报告第59条规定:只有当图像通过特定的技术手段处理，允许对个人进行唯一性识别或验证时，才属于生物识别数据的定义范围。我国司法解释《规定》第1条：因信息处理者违反法律、行政法规的规定或者双方的约定使人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件，适用本规定。即对于未使用人脸识别技术，而仅通过监控或录像等行为收集肖像，属于侵犯了用户或消费者的肖像权、隐私权。如果使用人脸识别技术辨识、验证、分析用户或消费者的人脸信息，因为人脸识别技术及人脸信息具有唯一性和敏感性，应根据人脸识别司法解释的规定，取得单独同意或书面同意。

综上，人脸信息它是肖像最为重要的组成部分，并且有时候它会构成个人隐私，即它同时具备肖像权和隐私权的属性。人脸识别信息不仅属于生物识别信息，也属于敏感个人信息。敏感个人信息一旦泄露或者是非法使用，可能导致个人受到歧视。因此，人脸信息属于需要按照敏感个人信息和生物识别信息的特殊规则来进行保护和处理的一种信息类型。

(二)收集人脸信息的必要性要求

按照个人信息安全的最小必要原则，企业在使用人脸识别技术、收集人脸信息之前，必须要先明确人脸信息对于其产品功能或者是服务功能实现的一个必要性。如在人脸识别第一案当中，野生动物世界以指纹信息来履行服务合同之后，又单方变更为人脸识别，这个方式就缺少必要性。因为对于游客入园而言，可以采用的方式有很多，如可以采用人工方式，可以刷指纹，可以有其他很多的方式，而不用说要全部升级为人脸识别这一种唯一的方式，而不给用户其他的选择，这个就是一个必要性的衡量。

收集人脸信息的具体用途包括计数、识别、认证、监控、伪造和窥探等，需要根据应用场景具体分析必要性程度。对此，企业在设计产品或服务的功能时，应事先厘清预期功能和人脸信息之间的因果关系，如果明显可以通过其他方式代替人脸识别，那么收集的必要性存疑。

(三)收集人脸信息的告知同意

告知和同意作为个人信息处理最主要的一个合法性的基础，它对于同意的质量是有要求的。即同意是在什么场景下建立一种什么样的规则，满足什么样的具体要求，这是有明确规定的。按照《个人信息安全规范》附件B的标准，人脸信息被判定为个人敏感信息，信息收集企业在收集前需要征得个人信息主体的明示同意。根据第5.4条的要求，这一“明示同意”必须满足以下三个条件：用户完全知情，由用户自主给出，是具体的、清晰明确的意愿表示。以具有人脸识别功能的App为例：(1)单独告知、完全知情：用户首次开启人脸识别功能时，通过弹窗形式同步告知人脸识别功能的信息处理规则；(2)不捆绑、具体清晰：该规则仅描述人脸识别功能及其信息处理规则，不包括对其他不相关事项的描述；(3)明确同意、自主给出：用户通过点击“同意”等主动性动作清楚地表达自己的意愿；(4)不强迫：如果人脸信息不属于该App的必要个人信息，用户在阅读信息处理规则后，也可以选择不开启该功能，而且仍可以继续使用App的其他功能。

三、美国人脸识别技术的立法监管

美国尚未有具体联邦法律直接规范人脸识别技术，然而，为适应科技发展，从2019年开始已有部分法案提出，以处理人类识别技术应用带来的争议。美国联邦贸易委员会在美国的隐私监管层面向来积极，各种新兴科技所衍生的隐私保护问题，都可以看到联邦贸易委员会的裁罚案件，联邦贸易委员会也是生物识别信息问题的主要管制机关。

(一)FTC不公平或欺骗消费者的规范

美国联邦贸易委员会(Federal Trade Commission,以下简称FTC)针对信息隐私的违反具有相当的管制权限，通常是以《联邦贸易委员会法》第约条的解释，即以是否为不公平与欺骗消费者的情形判断有无违反消费者保护的情形。FTC在2012年10月针对企业使用人脸识别技术的隐私风险提出建议原则，包括：(1)企业应在将产品进入市场的每个步骤中加入设计阶段保护隐私的概念；(2)企业应就取得的信息建构合理的安全保护措施，并确认信息的保存方式、期间和处理方法等，当中包含消费者对于信息资料有选择是否退出的权利；(3)开发人脸识别产品时应考虑特种个人信息资料，如不应在儿童聚集的地方设置人脸识别装置收集信息。除此之外，企业应与消费者建立信任、安全机制，以及维持透明性。例如，应使消费者事先知道企业将利用人脸识别技术收集信息。当公司利用电子看板来计算人流量的性别或年龄等特征时，应在消费者接触这些人脸识别侦测工具前向其明确告知正在利用该辨识系统。或者在社交媒体使用人脸识别技术时，应向消费者提供相关技术的运作流程，并让消费者选择关闭辨识功能以及删除所取得的生物特征资料。上述FTC所提出的原则，旨在贯彻设计隐私、简化消费者选择以及透明度等概念。最后，FTC提及当资料为目的外的利用，以及利用人脸识别技术来辨别未知消费者的身份时，则应该事先取得当事人的明确表示同意。如消费者不知道该资料用于广告投放，或者利用辨识继续摄影不特定多数人，而后与资料库对比，这些情形都应该具备当事人的明确表示同意。

同时，联邦贸易委员会依《联邦贸易委员会法》第5条的解释，还被赋予执行隐私政策的权力。就隐私政策通知的内容，FTC曾在起诉案件中明确主张，其内容至少应包括：何种个人信息被收集、收集的用途及消费者控制该用途的能力或选择退出的能力、将泄露给何种第三人、消费者接触其个人信息资料的可能与方式、消费者从信息收集者资料库删除其个人信息资料的可能与方式，及资料收集者维护所收集个人信息资料的安全步骤。对于实际操作中，多数隐私政策的内容过于冗长、难以理解及缺乏一致性，导致无法有效地告知消费者关于个人资料保护的实际政策，FTC还进一步建议，隐私权政策或隐私通知应更加清楚、简短及标准化，以利于消费者更了解及比较各个隐私权政策通知。在此基础上，FTC还明确主张，隐私权政策的提供应以清楚、显著通知为标准。所谓“清楚且显著”是指在文字大小与位置方面，不应使用令人分心的元素而隐晦不明，应该使用一般消费者能充分注意而加以阅读并理解；在字体方面，其呈现方式应与背景形成强烈对比。隐私权政策内容应出现在网站首页或个人信息资料会被进行收集所在的每一个网页之中。如果经营者未能以清楚、显著的方式提供隐私权政策，并违反了隐私权政策而收集个人信息资料，将会面临FTC追诉。

(二)《人脸识别伦理使用法(Ethical Use of Facial Recongnition Act)》草案

该法案中规定政府利用人脸识别技术时，在尚未建议提出适当的规范和使用权限之前，先暂停适用此项技术。即该法案禁止联邦的任何官员、员工或承包商等，在没有授权的情况下从事与人脸识别技术相关的特定活动，直到该法案所规范应设立的国会委员会已提出使用建议和商业用途的规则。该法同时禁止各州或当地政府利用联邦经费投资或购买相关技术。另外，该法的另一项重点为成立委员会，用于审视与提出建议以确保未来联邦的任何一项人脸识别技术应用属于合理利用以维护公众安全与市民的隐私。

(三)《商业人脸识别隐私权法(Commercial Facial Recognition Privacy Act of 2019)》草案

该草案针对人脸识别资料的收集、存储与利用等规范，强调必须取得明确同意，以及禁止在未经过当事人同意下分享该资料。该法案强调人脸识别技术的商业应用方式，而政府若使用人脸识别技术，则非本法的范围。

(四)伊利诺伊州《生物识别信息隐私法(Biometric Information Privacy Act)》

该法于2008年10月通过，明确规范了生物识别信息的收集、储存与利用。该法规定出具备专业知识或技术可以协助雇主评估求职者职位合适的人外，雇主不得与任何人共享求职者的人脸信息资料；同时，人工智能视频采访法赋予求职者要求删除有关其个人人脸视频资料的权利，如果求职者向雇主提出前述请求，雇主及可能保存人脸信息副本的利害关系人均必须在接收请求后三十天内完成相关信息的删除。

四、启示

通过上述论述，可见美国人脸识别技术的规范及草案的精神，主要都是为避免产生偏见或不正当的结果，避免种族或其他受保护的个人产生差别影响。同时，人脸识别技术面临的疑虑在于通过该技术所收集、处理、利用以及后续的资料销毁或保存等是否符合个人信息保护法的规定。事实上，许多企业可能使用人脸识别技术进行员工管理，但为避免争议发生，大部分都按个人信息法的规范事先取得书面同意。因此，对于企业利用该技术的建议，应参考美国的相关规定。

(一)遵守合法、正当和必要原则

人脸识别技术应遵守所有应适用的法律和法规。根据我国《民法典》第1 035条规定个人信息处理的基本原则和个人信息安全的最小必要原则，企业在对相关技术进行部署和应用时，应持续遵守合法、正当与必要的原则，在部署前开展必要的个人信息安全影响评估，以确保人脸信息识别的处理严格遵从法律法规和监管要求。如果明显可以通过其他方式代替人脸识别，那么收集的必要性存疑。

(二)列入企业的隐私权保护政策

人脸识别技术应用同时应遵循透明度原则，即资料、系统及人脸识别运营模式应保持透明、追溯机制可帮助达成此要求。另外，人脸识别系统的利害关系人必须能清楚解释人脸识别系统及其所下的决定，同时清楚告知人脸识别的功能与限制。参考美国FTC在2012年提出的建议准则，以及联邦相关的草案，可思考要求企业在使用人脸识别技术时，应在隐私权政策中告知，并且事先告知以及取得个人书面同意，建立资料保存与揭露限制标准等。网络提供服务或产品的网站(公司)有强烈动机收集个人资料，而使用网络或网站的消费者则以各种方式提供个人资料，如为接受电子报而提供电子邮件帐户，为进行交易而提供信用卡资料及邮寄地址、或为免费浏览网页而允许网站收集浏览行为相关个人资料并进行行销。隐私权政策是企业确权明责的书面依据。按美国统计，1998年仅2%网站有某种形式的隐私政策，1999年最受欢迎100个网站中18个未建立隐私权政策，2001年几乎所有受欢迎的商业网站都有隐私权政策。[4]具体而言，隐私政策中应当包含：人脸信息的收集目的，实现的具体功能、收集和使用方式、加工处理情况、储存期限、存储方式、共享情况、删除撤销方式，收集目的以外的利用或揭露的限制及当事人因此让渡个人信息资料的利益等。同时，如果隐私权政策内容有变更、资料收集者也应通知当事人，以利于当事人是否继续同意个人资料被收集、处理、利用或分享的决策。企业对隐私权政策当中说明材料的收集取得以及处理利用情形，可以成为合同的一部分，如果未能成为合同的一部分，可以依《消费者权益保护法》的规定要求企业对此负责。同时，单独列出人脸信息的相关条款，并以醒目、明显的方式提示用户阅读，避免晦涩难懂的措辞。

(三)提供具体意义的告知同意

按消费者主权(consumer sovereignty)理论，消费者应有充足、正确的信息，以作出适当的决定。因为关于如何收集、处理、利用及分享个人资料，当事人与资料收集者之间存在信息不对称，因此，应有告知后同意、告知后选择或通知与选择机制的适用。即当事人决策或同意权行使应以“被告知”或“被通知”为前提，否则，无真正自由的选择。落实告知义务除了企业公开陈述之外，消费者可能有未阅读通知或是通知难以取得或理解等形成困难。但不论如何，以告知为前提才具有正当性，如果缺少告知，消费者无从了解资料未来将受到何种利用以及保留时间应为多长。因此企业收集信息以及使用人脸识别技术行为必须明确落实告知义务。关于有意义的同意方面，首先应使用简短、通俗易懂的语句；其次可采用分层次说明方法。欧盟信息保护工作小组在2004年提出的《更加协调的信息规定意见书(Opinnion on More Harmonised Information Provisions)》中，支持以多层次告知(multi-layered notice)概念取代过长的告知内容。该方式能使信息主体在短时间内快速地初步理解信息被谁、基于何种目的的收集、使用。分层次告知法分为三种层次：简短告知、浓缩告知和完整告知。[5]

(四)承担更高的数据安全保护义务

企业应持续提升对人脸识别信息的安全防护义务：首先，原则上企业不应当存储原始人脸信息，《个人信息安全规范》建议个人信息控制者通过存储摘要信息、终端直接识别或使用后及时删除的方式避免存储。如果必须存储原始人脸信息，在信息传输和存储过程中需要采用加密等安全措施，密码技术需要遵循密码管理的相关国家标准。参考欧洲数据保护委员会颁布的《关于通过视频设备处理个人数据的3/2019指引》，要求在必须保存的情况下采取添加干扰的保护方法。其次，人脸信息应当与个人信息分开存储。为了避免人脸信息和个人身份信息组合、汇集而形成信息组合体，控制信息泄露导致的个人风险，应将二者分离存储。最后，共享、转让人脸信息前必须披露数据接收方情况。对于人脸信息等个人敏感信息，信息控制者在共享或转让前，除了需要向个人信息主体告知共享、转让的目的和可能后果外，还应当向个人信息主体告知数据接收方和数据安全能力，并事先征得个人信息主体的明示同意。

(五)明确保护形式和边界

人脸识别信息兼具肖像权和隐私权的属性，对于侵犯隐私权的可依《民法典》人格权侵害请求规范，请求民事赔偿。对于违反隐私保护政策的可依《消费者权益保护法》中有关广告宣传的相关规定追究法律责任。人脸识别技术的应用如果存在不公平或欺骗消费者的行为，有碍交易秩序的可依《反不正当竞争法》的追究法律责任。