人脸识别技术中个人信息保护的法律问题及完善对策

宋晓会

西藏大学，西藏 拉萨 850000

一、人脸识别技术的概述

在我国传统的熟人社会中，人脸是一种进入特定社交范围的身份认证标识。人们通过不同面部特征的脸来识别和对应对方的身份信息、家庭信息、社会信息，从而实现与对方的交流和沟通。人脸识别技术源于20世纪60年代，并于90年代开始应用。如今，人脸识别技术正在颠覆传统的身份识别与认证方式，其与大数据和物联网进行联动，在世界范围内呈现出快速增长的态势，并且应用于上班打卡、地铁安检、小区安保、医疗机构、辅助执法、快捷支付等不同的场景当中。但与此同时，人脸识别技术的广泛运用也对公民个人信息的安全产生了威胁与风险。

（一）人脸识别技术的概念和工作原理

人脸识别技术是基于光学人脸图像的身份识别与验证的简称，是依据人的面部特征来进行身份识别的技术，其本身涉及了计算机视觉、图像处理、神经网络、人工智能等相关知识，属于生物识别技术。根据匹配量级的不同，人脸识别技术分为三种不同的类型，分别是人脸认证（1：1模式）、人脸辨认（1：N模式）与人脸检索（M：N模式）。［1］由此延伸出了人脸识别技术的三大基础功能：验证、识别和检测。

人脸识别技术常常应用于日常生活中各种刷脸的场合，本文以最常见的刷脸技术为例来阐释人脸识别技术的工作原理。“刷脸”利用了计算机视觉技术，把收集到的人脸照片信息用参数标记等特定方法处理形成一个个独一无二的人脸数据的文件。［2］以日常生活中最为常见的小区门禁刷脸系统为例，系统将每一个刷脸者的面部信息同照片数据库中的人脸数据文件进行比对，若人像与数据库中的某个特定住户的面部信息符合，则可以确认其身份并允许通行，反之则不可以。

（二）人脸识别技术的主要应用场景

人脸识别技术已经广泛地应用于如下的领域中：在辅助执法领域中，人脸识别技术可以帮助打击违法犯罪、寻找失踪人口。人脸识别技术有分析与筛选的功能，可以服务于执法领域中的身份识别与身份验证的需要。公安部打拐行动中应用的内部软件“团圆系统”，在识别和辨认走失儿童的能力方面也高于其近亲属的直接识别；在公共治理领域方面，人脸识别技术在应对新冠肺炎疫情的危机中也做出了突出贡献。政府借助了非接触式的人脸识别技术，通过刷脸系统测体温、标记体温异常人员、查询新冠肺炎确诊病例的密切接触者，有针对性地找到了重点观察对象，对阻断疫情的传播链条，尽快遏制疫情的蔓延做出了贡献；在商业领域和移动支付领域中，人脸识别技术已经得到了广泛应用；在社区管理领域中，人脸识别技术可以提供刷脸门禁、对访客进行管理、通过刷脸实现垃圾分类投放以及电梯的安全管控；在医疗卫生领域中，人脸识别系统可以对医闹黑名单者进行识别和匹配，维护医院的正常秩序。如成都三六三医院就以人脸识别技术为基础建立了医院的智能安防系统。人脸识别系统亦可以打击医院的“号贩子”，规范医院的预约挂号流程，北京天坛医院就安装了此系统。在医保在线支付方面，人脸识别技术也发挥了重要作用。

（三）人脸识别技术的潜在风险

第一，人脸识别技术存在技术风险。具体表现为人脸识别错误与欺骗攻击。人脸识别存在误差的原因是图像质量不佳、人脸遮挡或者是化妆等原因。欺骗攻击指的是在人脸识别系统中冒充身份，骗取认证信任；第二，人脸识别技术存在隐私风险。人脸信息是高度敏感的信息，具有一定的信息安全隐患。若人脸信息在存储、使用、处理的过程中被黑客或者内部人员窃取和利用，则存在泄露个人隐私的风险。目前我国对于人脸识别技术的监管尚不完善，在很多领域内存在过度收集人脸信息等人脸识别技术的滥用问题；第三，人脸识别技术存在财产风险。人脸信息具有唯一性和相对稳定性，每个人的面部信息与身份信息是绑定的。若不法分子利用此技术背后的高危漏洞来转移被面部识别者的财产，将对被人脸识别者造成财产侵权；第四，人脸识别技术存在社会风险。具体表现为社会伦理困境和社会矛盾加剧等方面的问题。［3］

二、人脸识别技术中个人信息保护存在的问题

技术给人类社会生活带来的影响和冲击往往是利弊兼有的，人脸识别技术也不例外。人脸识别技术给我们的生活带来了极大的便利，广泛应用于商业管理活动与公共管理活动中，但不可否认的是，人脸识别技术的运用还存在着一些现实的问题。

（一）人脸识别技术中个人信息保护的相关法律不够完善

个人信息保护在《民法典·人格权编》中有着原则性的规定，个人信息受到法律保护，处理个人信息要遵循合法、正当和必要的原则。人脸信息属于个人信息中的生物识别信息，对其处理也必然要受到以上原则的约束。但这种约束只是原则性上的约束，并没有监管措施和相应的惩罚手段，在操作上存在困难。新颁布的《个人信息保护法》中对个人信息的保护的规定有许多亮点，细化了个人信息的处理规则，明确了个人所享有的权利和个人信息处理者的义务。《个人信息保护法》第二十六条中规定了在公共场所收集个人的图像信息、身份识别信息只能用于公共安全的目的，而对“公共安全”没有做过多解释，可能会限制为商业目的而应用人脸识别的行为。在面临人脸识别技术复杂的应用场景和功能时，该法在具体实施上存在一定的困难。在相关概念的表述上，《民法典》中的私密信息与《个人信息保护法》中的敏感信息的称呼不完全相同，在具体适用时，会产生能否把私密信息等同于敏感信息的疑问。如果没有对概念进行厘清，将影响法律在具体落地时的衔接和实施。

（二）对人脸识别技术应用的监管缺乏成效

目前对于人脸识别技术的应用缺乏统一的行业监管模式，造成了与人脸识别技术有关的各种行业乱象和负面案例。如各种手机应用软件在安装的时候被要求对不必要的权限进行获取。诸如读取通讯录权限、读取相册权限、读取麦克风权限等。2021年的“3·15晚会”上，披露了多个商家私自安装人脸识别摄像头的行为，他们绕过了被拍摄者的知情同意权，收集了大量的用户面部信息，一夜之间引发了消费者对于商家使用人脸识别系统的担忧和不安。这样的例子还有很多，在互联网如此发达的现在，“电子眼”的存在让我们在毫无防备的情况下赤裸裸地暴露在人脸信息收集者的屏幕面前。各种平台和应用软件可以利用监管的漏洞窃取我们的个人信息而规避了处罚，很难说我们的个人信息得到了相应的保护。

（三）行业主体责任的落实存在欠缺

商事活动的发展在为社会源源不断地创造财富的同时也推动了技术的革新和法律的进步。包括民商法在内的很多法律规范都是基于公司商事活动的实践从而不断得到完善的。人脸识别技术能在广袤的中国大地上迅速推广和应用，渗透到人们衣食住行的方方面面，与公司的力量是分不开的。但企业和公司毕竟是追求经济利益最大化的营利组织，对人脸识别技术加以监管也是需要花费成本的，因此商业领域内常出现人脸识别技术的滥用。一个用户的姓名、手机号、地址，这类看似简单无用的个人信息，如果可以被商户所取得，就可以实现对潜在顾客人群实施精准投放广告、推销等行为，从而达到节约广告成本的目的。国外一些知名公司如谷歌、微软、IBM等都曾经呼吁在人脸识别系统方面出台更加严格的管控措施。Facebook也进一步明确人了脸部识别技术的适用范围、使用手段和目的。而我国自2020年中国支付清算协会印发《人脸识别线下支付行业自律公约（试行）》的通知后，其他涉及人脸识别技术的行业自律公约迟迟没有出台。

（四）被人脸识别的对象缺乏对维权的重视和对救济渠道的了解

一方面，与西方国家崇尚的个人主义相比，我国的文化传统中更多呈现出来的是集体主义的特征。我国的文化传统不强调对个人信息的保护，使得人们在个人信息权利受到侵犯时的警惕性较低。同时，从社会心理角度来看，人脸经常暴露在外界，人脸信息不必要通过个人主动配合方可获取，因此我们在面对摄像头、刷脸考勤机、人脸识别门禁机、人脸温控识别机等机器的时候，对个人信息受到的侵犯缺乏一定的敏感度。不然也不会在人脸识别技术在我国快速应用的大背景下，直到2021年才有了“中国人脸识别第一案”；另一方面，保护个人信息的相关法律宣传还不到位，即使个人信息被侵犯，也不知被侵权，亦不了解相应维权途径，只好停留在被侵权的现状上难以及时实现救济。

三、人脸识别技术中对个人信息保护的完善对策

（一）加强人脸识别技术的法律规制，进一步完善相关法律制度

为了解决人脸识别技术的发展和个人信息保护之间存在的问题和冲突，应尽早填补相关法律的立法漏洞，细化相关法律法规的实施细则，完善人脸识别技术中个人信息保护的法律体系。根据《个人信息保护法》第六十二条规定，网信部门要牵头推进与人脸识别技术相关的专门规则和标准，因此网信办要从实践出发，不断完善具体规定。根据《新一代人工智能发展规划》的相关要求，要分类详细地制定适应人脸识别技术应用的各种规范，明确公权力介入的边界，进一步明确政府、企业、用户和其他使用人脸识别技术的主体之间的权责关系，明确和规范人脸识别技术的市场准入制度，对应用场景的要求进一步细化，不断完善有关人脸识别技术的法律体系。

（二）强化政府职能，建立完善的监管体系

政府需要建立以其为主导的全过程监管体系，及时回应人们在人脸识别技术应用方面的担忧和期待，为公民提供一个安全的网络环境，助力“平安中国”的建设，让公民的安全感更充实、更有保障、更可持续。2022年8月10日，国家网信办发布的《数字中国发展报告》提出了要完善数字安全和治理体系，营造健康安全的发展环境的要求，具体来说要坚定不移地坚持总体国家安全观，提升数据安全管理水平，强化个人信息保护，集中整治违法违规收集个人信息等行为，切实维护广大网民的合法权益。政府在支持人脸识别技术发展的同时，也要对企业进行监管，明确企业在收集人脸数据时的知情同意权，对不必要的授权行为加以限制，防止企业滥用人脸识别技术。使得采集人脸识别信息的行为更加公开透明，尽量避免可能的信息安全风险转化为实实在在的损害行为。

（三）加强行业自律，落实行业主体的责任

行业自律是指某个特定的行业经过内部的协商之后，在不违反现有的法律的前提下制定统一的准则并加以自觉遵守，以达到维护行业内的公平竞争、协调行业内的利益关系、不断规范本行业行为的目的。在现行法律中对于商业化的人脸信息收集行为，并没有采取绝对禁止的态度。因此作为人脸识别应用最广泛的商业领域要承担起行业责任，加强行业自律，强化相关行业的道德感与社会责任感，不要片面追求经历利益。《个人信息保护法》为企业收集、使用、保存、处理人脸识别中涉及的个人信息做了原则上的规定。行业自律准则是对相关法律在实际操作过程中的有效补充，通过制定行业自律准则，可以促进企业在应用人脸识别技术时对个人信息的保护进行具体的规制。商业主体是技术革命的推动者，他们理应在创新、生产、经营与投资的全程中落实相应的责任。加强行业的自律与监督，可避免相关的行业出现只被监管而无主动权的情形，以求相关行业在发展的过程中不断完善人脸识别技术的应用难题，通过安全合规的产业链推动行业的健康发展。

（四）将提高个人维权意识与畅通救济手段相结合

一方面，公民要提高警惕，从事前到事后的全程中都要积极维护自己的个人信息权和隐私权。做到事前提高警惕性，积极学习《个人信息保护法》和《民法典》等法律法规中对个人信息保护的相关规定，熟悉人脸识别中个人信息保护的相关法条，并且在遇到侵权的情况时要积极主动使用法律的武器维护自己的合法权益；另一方面，有权利则必有救济，要畅通相关救济途径。个人要从事前就开始提高警惕性，加强对保护个人信息安全的意识，在个人信息受到侵犯时要借助合法的途径加以救济，维护自己的个人信息安全。

四、小结

伴随着人脸识别技术在各种场合下的广泛应用，人们对于这种技术不再陌生。在了解这个技术的安全隐患和社会上发生的许多有关人脸识别的负面案例之后，人们对人脸识别技术的运用感到了不安并对其逐渐提高了警惕。人脸识别技术亟待通过完善法律保障、加强政府监管和行业自律，以及促进个人加强隐私权保护的方式来保护个人信息的安全。新事物的发展总是伴随着各种各样的社会问题和法律问题。目前我们要对人脸识别技术保持一个谨慎乐观的态度，不应因噎废食。在人脸识别技术中的个人信息保护问题上，我们还任重道远。人脸识别技术应当为我们所用，而不是让我们成为它的奴隶。最后，我们也应当加强对人脸识别技术之外的其他生物信息识别技术在实务中运用的反省和思考。