人脸识别技术的法律规制

高 萌

（安徽大学法学院，安徽 合肥 230601）

人脸识别技术的快速发展与广泛应用，使得公私领域的身份识别变得高效便捷。人脸信息作为公民个人身份信息的一种，其在收集方式和识别途径上相较于其他身份信息速度都更快，且在表现形式上更为直观。基于这些优势，人脸识别技术在打击违法犯罪、防控公共卫生事件等公共领域屡显功效，并且在金融理财和个人消费业务等方面也带来了巨大便利[1]。但同时人脸信息数据泄露的风险将带来对公民权利的侵害，人脸识别技术的广泛应用也对现行法律规制模式提出了重大挑战，对人脸识别信息的收集方式、使用边界与信息处理，需要法律明确且严格地限制。

1.人脸识别技术的适用困境

1.1 人脸识别技术存在信息错位风险

人脸识别技术在高效的背后同样存在着高风险，最显著的就是信息错位的发生风险显著提高。所谓信息错位风险指的是由于信息不对称、不对应而带来不利后果的风险。应当说，在技术适用领域的误差与错位是不可避免的，但相比较而言，人脸识别技术的错位风险比指纹识别、虹膜识别等技术手段要高得多[2]。指纹、虹膜等身份信息通常意义上来说是个人独特的信息特征，信息量丰富，且在识别方式上更是有着精细化的识别途径，但人脸识别过程中经常会存在高度相似的面部特征，使得身份匹配难以精准定位，尤其是欧美国家的人脸识别技术，适用中深色皮肤的人种存在因图像不清、特征不明而导致身份难以识别或识别错误的问题。此外，大数据下的人脸识别是对成千上万面部信息的比对结果，这种庞大的数据量也难免发生识别错位。

1.2 人脸识别信息泄漏侵害公民权利

人脸数据在被不同主体收集后会储存在不同的数据平台内，但不同平台对所储存的信息保护力度也都不一，加上存在不法分子企图盗用这些人脸数据与相关信息牟利的情况下，人脸与相关信息泄露在所难免，这种在泄露后对人脸信息的不法使用将严重损害公民合法权利。

1.2.1 隐私权

单纯的人脸不法收集与泄露很难造成对公民隐私权的侵犯，因为人脸是在各种场合表露在外的身份信息，可以为人所直观获悉。但人脸收集与识别的过程单以人脸图像数据是不能完成的，其中必定包含姓名、性别、年龄等与之相匹配的数据进行识别工作，此时，人脸识别数据库的信息泄露便会对此群体内公民个人的相关身份信息连同泄露，从而对公民私密信息的隐私权造成侵害[3]。

同时，人脸识别技术相配套的技术应用便是广泛的监控系统，这些监控系统包括公共领域下在公共场合的监控，也包括商家针对客户的私人设置的人脸识别配套监控系统，这些监控内容的不当泄露必然也会造成对公民私人活动的隐私泄露。无论是上述对公民个人私密信息还是私人活动的内容泄露都可能构成对《民法典》第一千零三十二条公民隐私权的侵害。

1.2.2 肖像权

人脸信息的收集首先是人脸的图像，《民法典》所保护的公民肖像权就包括影像载体反映的外部形象，这种外部形象即使在收集阶段经过当事人的同意，其后意外泄露被他人通过技术手段伪造、污损或者未经同意用于其他途径都是对公民肖像权的侵害。突出的问题就在于公民就某一识别目的提供人脸信息后很难控制其主要的肖像权利是否在未经同意的情况下另作他用。

1.2.3 财产权

随着人脸识别技术应用到经济领域，普遍为大众所使用的银行信用卡业务，以及手机移动支付端的支付宝、微信支付等支付业务中均存在着“人脸支付”的高效支付方式，这也使得当下人脸数据甚至直接与个人财产权利相挂钩。尽管这些“人脸支付”方式中存在以眨眼、左右侧头等动态姿势防盗用人脸图像解锁手段，但只需要人脸图像数据通过技术手段都可以实现。因此，人脸信息的泄露很有可能导致金融账户、移动支付账户中的财产遭受他人转移风险。

2.人脸识别技术的应用与法律保护现状

2.1 应用领域

人脸识别技术最开始是在公共领域中实现打击违法犯罪活动而被应用，在公共管理领域的大数据管理中也发挥着重要作用，并且由于其高效便利的特征也逐步在社会生活领域得到广泛应用。

2.1.1 公益领域

人脸识别技术在公益领域最突出的作用首先就是在刑事领域抓捕犯罪嫌疑人，公安机关对身份不明的可疑分子的人脸特征对比其建立的网上在逃人员数据库就可轻松判断其是否属于抓捕对象，从而提高办案效率。

其次是公共管理领域，例如，为防控2020年春暴发的新冠肺炎疫情，在对公共卫生防疫的措施中就包括人脸识别，主要是对于行踪异常的人员人脸识别以调查其使用高铁或飞机的交通路径情况。对特定场所包括居民小区、学校，通过人脸识别的方式防止外来人员随意进出的传染风险等[4]。此外，还有在公共交通领域的摄像探头与人脸识别的配合使用，实现对公共交通安全的监管。

最后还有涉及社会公共服务领域，例如，在社会医疗保障中收集并使用人脸识别以认定身份和医疗保障信息，在医院进行挂号等医疗业务中也开始人脸识别的身份验证方式，在退休人员保障方面也都存在着人脸识别的身份识别方式，未来还将涉及更多公共服务领域。

2.1.2 非公益领域

相对而言，人脸识别技术在非公益领域的适用距离我们的生活更近，最广泛的应用方式便是移动支付方式中的“人脸支付”。移动支付的发展使得现金交易的方式逐步减少，尤其是在年轻人的生活方式中，这种变化最为明显，并且移动支付也从最初的输入支付密码的支付形式发展到“刷脸”就可迅速完成支付的新形式。

除了支付方式外，当下许多商家通过收集客户人脸信息的方式进行会员身份识别，到店“刷脸”即可享受会员服务，商家也据此统计客户到店消费情况，同时，在网络领域也存在一些应用软件通过人脸识别登录，将人脸数据作为一种密码以实现对应用内数据的保护。

2.2 当前法律规制模式

由于人脸识别技术是近年来发展起来并广泛应用的，所以，这种技术在当前受到的法律规制并不多，并且相关强制性规范更为有限，这使得人脸识别技术法律规制尚不够具体全面，多停留在原则性规定的表面，尚待完善。

2.2.1 《民法典》中的“个人信息”保护模式

《民法典》第一千零三十四条明确了个人信息的概念①，其中包括生物识别信息，而人脸信息基本上可以归于这一类个人信息中，因此，对人脸数据信息的保护可以依据《民法典》中对于个人信息保护。

《民法典》要求在个人信息的收集处理上需要征得个人同意并明示处理的方式范围，因此，人脸数据在收集时，应当明确告知公民个人以取得其同意，并明确使用的范围；对信息处理者要求对人脸数据不得泄露或篡改，并且在发生此类情形时负有补救和报告义务；而对于个人信息，权利人则规定有明确的知情权、个人信息使用权以及对错误信息异议权的保护。总体上《民法典》对于包括人脸信息在内的个人信息通过“知情同意”的方式规制收集使用，并明确信息收集者在泄露或错误时应当承担相应责任义务。

2.2.2 《个人信息保护法》中的规制

我国《个人信息保护法》于2021年8月20日颁布，其相比于《民法典》对于人脸数据将给予更为完善的保护并对人脸识别技术应用进行更全面的规制。《个人信息保护法》中第四条将个人信息定义为“已识别或可识别的自然人的各种信息”,而作为可识别的脸部信息也当然纳入到个人信息的保护当中。

首先，《个人信息保护法》在限度上对个人信息的使用限定到更狭隘的范围内，因此，对于人脸数据的使用，依照该法第六条就应当限于“必要的最小范围”,采取“影响最小的方式”。这种限定是更为严格的，对于公民与收集目的无关的人脸数据当然不能收集识别使用，收集只限于必要的目的，且范围上也限定在最小范围，在事实上是在最大范围内保证公民人脸信息及相关信息不被不合理地收集使用。

其次，该法在对人脸信息等个人信息收集处理时，除了明确了《民法典》的知情同意原则外，于第十六条中赋予了信息个人撤回权，当然，这种撤回权的形式前提是基于个人同意进行的个人信息处理，也就是说除了基于公共领域的人脸识别信息收集使用外，对于其他需取得个人同意的人脸信息处理可由该信息个人撤回，且人脸信息处理者应当撤回并有积极配合提供渠道的义务。

再次，相较于《民法典》中信息处理者的责任义务，该法中有了更明确的要求。对此，人脸信息处理者应当对多种风险进行评估记录并保存，明确补救措施和通知的具体内容，包括原因、危害以及目前已采取的措施等。此外，还要求信息处理者成立外部的监督机构，接受社会监督。

最后，明确了对于违法处理个人信息以及不履行义务者的法律责任，尽管其中对于直接责任人员的处罚被认为上限较低，不足以避免铤而走险的行为发生，但第六十八条以过错推定的原则要求信息处理者对不能证明无过错的承担责任依旧体现了对于人脸信息处理者的严格要求。

2.2.3 行业规范模式

除国家层面的立法规制以及技术规范要求以外，不同的行业协会对于使用人脸识别技术在本行业内也进行了技术规制，例如《人脸识别线下支付行业自律公约》,就是对于支付行业中用户人脸及其他身份信息和财产安全的保护提出了风险管理的要求。除此之外，对于应用范围广的行业，诸如互联网领域、金融领域都陆续出现对人脸识别的技术行业规范②，但值得注意的是，在人脸识别技术应用较少的领域依旧缺乏相应行业监管。

3.人脸识别技术规制的域外经验

3.1 美国法的规制模式

美国在对人脸识别的联邦立法上尚未有现行法规制，但弗洛伊德案后，在反种族歧视问题的推动下，对于人脸识别的相关立法也在2020年起展开[5]。首先是《道德使用人脸识别法案》的提出，该法案对于政府机构使用人脸识别技术提出严格要求，即在国会委员会制定技术规则之前明确禁止政府机构使用该种技术，其对于人脸识别信息的保护建立在技术规则的确立之上，以此最大程度降低政府肆意使用该项技术的不利后果。其次，《商业人脸识别隐私法案》的提出，旨在商业领域对人脸识别技术使用进行规制，其在确立同意规则之外，严格限定人脸识别信息的使用目的，限于约定使用范围之内。除此之外，还有许多在公私领域对人脸识别技术规范限制的法案提交审议，其多数围绕限制政府使用人脸识别技术和对私主体使用的技术规范。

在各州立法层面，美国各个州对于人脸识别技术的规制在立法上则是采取了由严格到宽松的不同态度。例如，旧金山市立法上就认为政府对人脸识别技术的使用在总体上是弊大于利，因此，明确禁止政府对该项技术的使用，采取了严格的限制态度③。而华盛顿州、得克萨斯州等州立法上则是明确要求取得公民同意和使用的告知义务等，采取了相对宽松的态度。

3.2 欧盟法的规制模式

欧盟在《通用数据保护条例》中采用的是相对宽松的限制使用模式[6]，即在取得公民同意的情况下可以对公民包括人脸数据在内的身份数据采集使用，并且在维护公共利益层面也可未经同意。之所以采取这种宽松的模式是因为欧盟希望以此为原则性的指导，再由欧盟各成员国进行具体限制,但是,很明显这种模式很难被广泛适用，或者说在各个成员国的适用中依旧存在诸多问题。因此，欧盟此后的相关法案中逐步限制人脸数据的适用④，要求“正当且符合比例”。

4.我国人脸识别技术法律规制的完善路径

4.1 完善知情同意原则

4.1.1 限制概括同意以保障知情权

尽管我国《民法典》对于个人信息保护确立了“知情同意原则”,《个人信息保护法》也对该规则进行了细化明确，但实践中仍存在“概括同意”,即在形式上取得了公民同意却在实质上损害公民知情权的个人信息使用情况。

人脸识别信息收集与使用中，除不需要取得公民同意的出于公共利益的情形外，在需要取得公民同意的情形下，同意的内容应当与使用的范围相对应，因此，公民同意的基础在于其享有充分的知情权。例如移动应用商家在某些业务中取得了用户人脸识别信息后，在应用更新后仅告知用户更新内容而不告知其人脸数据将扩展应用到新业务中，就不能认为该应用商家已取得用户同意。而概括同意最易发生在人脸数据处理者收集人脸数据时，为了便利以一次告知的形式取得同意[7]。

在人脸识别技术使用中应当严格限制概括同意，首先，概括同意规则本身应当被信息个人同意，即该信息个人应当明确其同意将应用于其他范围；其次，概括同意情形下对人脸数据的使用依旧需要限定在最小范围内，遵循“非必要，不使用”的原则；最后，充分保障信息个人的知情权，即将使用信息完全告知信息个人以保障其知情权以及撤回权[8]。

4.1.2 引入动态同意模式

《个人信息保护法》 中撤回权的规定对于动态同意模式建立提供了良好的基础，信息个人可以随时撤回其对于信息处理者的同意，并且信息处理者应当积极配合。

此外，完善的信息使用规则，要求信息使用者公开告知个人信息使用范围、频率等使用数据[9]，将这些数据使用信息与国家个人信息数据库建立联系，个人可以据此进行信息动态把握，以随时撤销其同意预防其人脸数据被用于其他范围造成损失，但同时在对个人信息保护立法中，也应当限制信息个人反复撤回造成的资源成本浪费。

4.2 明确公私领域的使用边界

4.2.1 明确划定政府机构使用界限

在我国当前个人信息保护立法中，对于政府机构出于公共领域的使用人脸识别数据并没有要求公民同意的规定，但这种使用并非毫无界限的。

在打击违法犯罪领域，公安部门对人脸的数据库收集与使用应当只限于其专业领域，对此，公民无权拒绝人脸识别技术使用。但是，在类似重大公共卫生事件防控中对于公民人脸数据收集使用在范围界限上应当有时间界限，如在风险降低之后对于相关采集数据，如进出入小区、学校的人脸数据应当进行删除、封存等处理方式。同时，对于政府机构为实现政府职能进行人脸识别设备安装的应当加以限制，因为对于此类人脸识别适用不紧迫的范围应当允许公民选择其他身份识别方式，而非强制性采集使用人脸识别技术[10]。

因此，即使在政府使用人脸识别技术的公共领域，也应当将具有强制性的使用方式压缩到必要的领域，例如违法犯罪和户籍身份管理等领域。对于应对特定公共事件，除了应遵循最小限度的原则之外，注重时间界限以尽可能消除对个人的影响，而对于其他公共领域应当允许替代性的身份识别方式以限制政府机构滥用人脸识别技术。

4.2.2 私人主体与政府形成合作监管模式

对于私人主体作为人脸数据处理者的，建议其数据库与政府人脸数据总库形成对接，由政府对于私人主体的适用范围、收集信息的准确度进行严格监管，即私人主体对人脸识别使用与政府数据库相挂钩。

当下，《个人信息保护法》中对于政府机构与私人主体使用人脸识别技术采用了不同的规制方式，具有合理性，并在第五十九条中规定以国家网信部门负责监督工作，因此私人主体的人脸识别信息使用应当得到政府网信部门以及相关数据管理部门的监管，但这种监管尚不全面。私人主体与政府应当更进一步形成私人主体信息处理者登记备案制，即在经过网信部门审查后将对其使用人脸数据的业务范围进行登记备案，其使用记录由网信部门的相关数据库直接记录监管，形成合作监管模式。

4.3 健全技术准入与信息披露制度

对于人脸识别技术的技术准入制度在我国已逐步在各类技术规范中建立起来，但仍存在技术规范与技术应用脱节的问题。美国《道德使用人脸识别法案》中，为了防止此种风险而将技术规则的确立放在技术使用之前。我国近几年人脸识别技术已在公私领域广泛适用，此时在技术准入上应当注重技术准入标准的变化，每年定期审查人脸识别数据使用主体是否达到规定的技术标准，并且此种标准应当随着人脸识别技术领域的扩展而革新。

为充分保障信息个人的知情权，《个人信息保护法》应当完善信息披露制度，进一步明确在草案中规定的定期发布社会责任报告的具体内容，包含人脸数据数量、使用范围、保护强度等方面，并且风险评估报告也应当是面向社会公布的重要内容，力求做到从收集、使用到储存各方面的风险防控信息披露。

5.结论

人脸识别技术在社会生活中的使用已经成为技术发展的趋势，在此种技术手段带来便利的同时，应当注重防控其隐藏的风险。我国当前法律对于人脸识别技术的规制尚处于较为宽松的阶段，未来个人信息保护立法中更应当注重对信息个人权利的保护以及对人脸信息处理者的监管，以求人脸识别技术在完善的法律规制下更好地服务于大众生活。

注释：

①《民法典》第一千零三十四条规定“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。

② 包括支付宝在2019年发布了《生物识别用户隐私与安全保护倡议》,中国支付清算协会在2020年则发布了《人脸识别线下支付行业自律公约(试行)》。

③除旧金山外，美国马萨诸塞州的萨默维尔市通过了《萨默维尔市禁止人脸技术监控条例》,加州的奥克兰市修改了《奥克兰市政法典》,均禁止政府部门对人脸识别技术的使用。

④ 欧盟委员会发布的《人工智能白皮书》草案中曾建议全面禁止在公共场所使用人脸识别技术五年，但此后发布的正式文件中并未提及。