人脸识别技术的风险与法律规制

郑煌杰，曹 阳

（上海政法学院 法律学院， 上海 201701）

当下人们利用人脸识别技术进入住宅小区和工作单位，进行交易付款等，这些行为标志着现代社会逐渐向智能化转型。人脸识别技术的运用在提高社会生产效率和为人们提供生活便利的同时，也随之产生了一系列新的隐患和问题，引发人们对技术伦理的忧虑和省思。基于比较法的视角来看，一些国家已经针对人脸识别问题制定了相应的法律。比如，美国发布了“人脸识别的商业建议”，而后又通过立法严禁国家相关部门机构运用人脸识别技术。与此同时，欧盟也明确提出“务必合理运用人脸识别技术”，为此要求执法部门在使用人脸识别技术时应当提供相应的证明报告。在我国，最高人民法院虽然专门出台了有关人脸识别技术运用的司法解释，但对于现实生活中频繁发生的案件还是有点“力不从心”，例如，某公司因为泄露客户信息被罚款1.6 亿而引发人们对人脸识别技术本质的思考，还有“人脸识别第一案”所揭示的其可能存在的风险隐患等，这些都让人们渐渐意识到规制人脸识别技术的重要性，近几年，学界对其相关法律问题的探讨也在不断深入［1］。人脸识别技术不断发展所带来的安全隐患，亟须得到法律回应，怎么对其进行法律规制是实现智能化社会的核心关键。鉴于此，笔者将以人脸识别技术性质转变为基础，考量其转变后所导致的风险变化，并基于此提出针对性的法律规制路径。

一、人脸识别的性质转变

从传统社会活动方式的“人眼识别”到现代技术层面的“人脸识别”过程中，人脸识别正在不断模拟人的思维方式，识别的方式主要是根据收集的人脸图像，而后对此进行检测、匹配，本质上是一种能够识别出特定某个人的身份识别机制。随着人工智能技术的发展，人脸识别与此进行融合运用在许多领域，使其在识别的基础上能够进一步分析人的生活习惯、健康状况、情绪状态等。换言之，人脸识别不再只是简单的识别机制，而是升级成一种既能识别也能分析的身份识别分析机制。

（一）人脸识别的起源与本质

脸是生物的“标签”，具有可识别性、直观性、稳定性、易收集性等特点。人脸是人体重要组成部分之一，从古至今人们大多都是利用人脸来进行感情表达、识别他人身份等日常交流活动。以小区的门禁系统为例，在过去一般是由小区保安根据人脸特点和行为方式来识别小区内居民。人脸识别本质上是以智能化的方式替代人眼识别，其技术来源于国外研究者伍迪·布莱索团队在1960年发明的第一个半智能化的人脸识别系统，当时是利用计算机识别人像照片的特征，而后进行人工分析［2］。在大数据时代，得益于计算机和人工智能的发展，人脸识别能够智能化地完成对人脸信息的收集和分析，也就是我们所说的“刷脸科技”。此项技术已经被广泛运用在密码系统、监控系统、追踪系统、交易支付系统等众多领域，是当前身份识别的通用方法。根据《人民法院在线诉讼规则》规定，如今人们身份的验证不仅能够利用线上电子证件，也能够使用人脸识别方式。中国银保监会也提出，识别人的身份可以通过人脸识别、银行预留信息、人工核实等方式。在生活中，人脸识别正在逐渐取代过去人们所使用的密码等传统安全验证方式，传统密码验证因为需要较强的安全性，所以会要求人们设置复杂的密码，导致用户十分容易遗忘密码，进而又需要重新验证或者重新设置密码。对比之下，人脸识别验证机制存在明显的优势，其不仅能够方便减轻人们的记忆负担，还能够提高人们生活工作效率。

（二）人脸识别的发展与忧虑

首先，人脸不仅能被用于识别身份，还能直接表现出人的状态和特征。生活中所说的面无血色、喜形于色、沉鱼落雁、尖嘴猴腮等都体现人不同的精神状态与外形特征。这些大部分都是主观性描述，甚至有时还有点封建迷信，例如有些长辈描述一个人有福相会说其“方面大耳、面方如田”等。国外也有学者提出有些人与生俱来就是犯罪分子的观点，这种观点是通过量化分析方法，即通过收集罪犯的外形信息，得出具有某一类形体特征的人更容易犯罪的结论［3］。这样的观点很明显是不科学的，且具有历史局限性，非常容易产生种族歧视的后果。知名科幻片《小数派报告》中就结合此观点展示了人脸识别技术的运用场景，一方面，事先分析预测潜在的犯罪分子，在其违法犯罪之前就将其抓捕。另一方面，则是通过收集人们日常生活过程中，因主动进行人脸识别而产生的人脸信息，并将这些信息导入已有的数据库中，充当之后分析预测的素材基础。时至今日，电影中所描述的场景已然演变成现实，一些具有人脸识别功能的广告牌能够依据经过的人流量、停留时间或者其他吸引人们注意的标准，进行识别分析并基于此投放特定的广告。同时，在一些公共场所的监控中，为了维护公共安全，也可以运用人脸识别技术来“观察”他人的情绪状态。以广州互联网法院的线上调解系统为例，其能够对当事人的精神状态进行数据分析，呈现当事人各种情绪状态的数值。由此可见，人脸识别的性质已经发生变化，不再是仅仅局限于人们的身份识别，而是侧重于在识别人脸的基础上进行关联性分析，从单纯的身份识别机制转换为“识别+分析”机制。

其次，基于技术视角来看，人脸识别分析机制与“人眼识别”相比有着许多不同之处。其一，人脸识别既能将有关人的面部特征用数值化的方式呈现出来，也能对此进行更深层次的分析预测，即能够对人的性别、年龄，甚至是生活习惯等特征进行深入分析。其二，人脸识别能够与互联网技术、大数据技术结合使用，即其可以基于他人个性化的特征作出预测分析。研究表明，人们可以将收集的人脸信息与个人已经公开的信息相结合，从而分析推理出个人生活偏好甚至是个人的隐私信息等［4］。其三，人脸识别能够通过隐蔽的方式准确分析个人的敏感信息。以美国斯坦福大学设计的人脸识别算法为例，其能够根据人脸的特征判断他人的性取向。正是因为这样的识别分析机制能够深入解析个人信息，所以引起社会公众的普遍担忧，担心自己的信息容易被泄露。此外，基于技术哲学角度分析“人眼识别”与“人脸识别”，前者是通过感官而后利用相关工具进行分析，而后者中的身份识别机制，是利用机器设备感知人脸，一般是智能化的机器同时还能进行关联性分析，而恰恰也是因为这点引发了人们的担忧。申言之，这些智能化的机器设备可能将人脸信息与个人的消费信息、健康信息、喜好信息等相关联，这样极易对个人权益保护产生安全风险，甚至引发歧视、偏见等问题。

二、人脸识别的风险变化

诚如上文所述，人脸识别的性质从身份识别机制转变为识别分析机制，这也使得其风险发生变化。申言之，原本人们能够控制人脸识别存在的风险，然而人脸识别技术的升级使得其风险又再次扩大。另外，人脸识别技术运用在公共监控中也形成了监控权力，进而可能危害人们的基本权益。

（一）风险的形成、控制、扩大

人脸识别的风险主要表现为识别错误率高和被破解风险大。其一，识别错误率高。人脸识别基本需要通过正面对个人的面部进行识别，所以往往容易受表情、视角、姿态等因素影响。2017年欧冠决赛中就曾使用人脸识别技术，结果却出现92%的识别错误率。其二，人脸识别非常容易被破解。在物流快递中，就有人用他人的照片打开其物品的储存柜。又比如偷拍他人照片后制作人脸动态图像来盗取其银行账户金额等。随着人脸识别的算法不断进步，稍微降低了上述风险。如今，收集的人脸关键点从最初的21个到当前的240个以后可能还会继续增多，从而有效降低了其识别的错误率［5］。此外，当前进行人脸识别时需要人们做出一些特定的姿势动作，来提高其应用的准确性。在此基础上，如果继续增加一些因素条件，将提高身份识别的安全性与稳定性。例如，我国教育部提出，参加考试的学生身份的确认可以同时使用身份证与人脸识别技术。国家网络工信相关部门也提出，人们在网络上进行实名认证时可以同时使用人脸识别、个人信息填写等验证方式。然而，人脸识别的风险也受上述应用的影响而再次扩大。一方面，如果人脸识别对应的算法出现问题，不仅会出现错误的识别结果，还会损害他人的基本权益。另一方面，“识别分析”可能将错误的信息进行关联，导致错误的结果可能会被无限放大［6］。换言之，如今的人脸识别机制即使出现很小的错误，也可能导致很严重的后果，可谓是“牵一发而动全身”。

（二）监控权力的产生、扩张、危害

首先，公共场所的监控运用人脸识别技术可以更高效便捷地识别出某个特定的人，然而在此过程中也容易形成“监控权力”。有学者借用边沁的“全景图牢房”来解释监控权力的内涵，即被监控者只能服从监控者的权力之下，无法选择拒绝监控［7］。联合国人权高级专员提出，在这种监控权力之下，个人的人权很难得到保障。其次，监控权力受人脸识别机制影响而不断扩张。研究表明，公共场所的监控程度通常与监控系统的数字化水平、响应速度与分析能力有着密切联系［8］。现阶段，生活中的人脸识别大多数与互联网、大数据相结合使用。以人脸识别的Clearview应用为例，其能够自动爬取人们在互联网上留下的数据信息，将收集而来的人脸信息进行深度分析进而形成“个人形象”，而后持续对其追踪监控。随着监控权力的不断扩张，将给人们的基本权利保护带来以下几方面问题。其一，基于个人的基本政治权利和自由视角。针对人脸识别技术的广泛运用，欧盟基本权利机构提出，这类智能化应用将对个人的言论、行为、集会等自由产生一系列负面效应，例如在全方位的监控之下，个人可能无法自由地在公共场合发表言论。其二，基于个人的平等权视角。研究表明，人脸识别运用在女性和一些有色人种上时，经常容易出现错误的结果，换言之，其技术的运用可能存在歧视性因素［9］。其三，基于个人的人格尊严和个人信息视角。以俄罗斯某企业开发的FindFace程序为例，利用该程序进行人脸识别，能够轻易通过关联分析他人的信息，发现他人的社交账号，泄露他人隐私。由此可见，人脸识别技术的运用正在将原本以保护个人信息为主的社会，逐渐变为一个完全透明化的社会，在这样的社会之下每一个人将被“一览无余”，从而导致个人的基本权益保护无法得到保障。除此之外，人脸识别机制也正在对数字经济进行监控，例如将收集到的消费者信息进行识别分析，而后根据分析结果作出营销策略行为，人脸识别广告的运行逻辑就与此完全符合，这将可能造成一个不公平的市场交易环境。

三、人脸识别的法律规制

诚如前文所述，当今的人脸识别机制是既能识别也能分析的技术机制，故需要结合其技术属性与产生风险来制定相应的规制路径。鉴于此，笔者认为可以从下几个方面对其进行法律规制。

（一）比例原则与必要原则的前置性检验

当前人脸识别机制之所以存在不可控的安全风险，是因为其识别分析机制过度解析个人相关信息。对此，可以以个人信息保护为宗旨，使用比例原则与必要原则对人脸识别技术运用前进行前置性检验。比例原则和必要原则是个人信息保护价值内涵所遵循的基本原则，根据我国《个人信息保护法》（以下简称《个保法》）第6条规定，可以得出信息使用者在处理个人信息时采取的方式应当对个人权益影响较小，且是在处理目的范围所需采取的必要手段。而人脸识别也是对个人信息的处理，故也应当满足比例原则与必要原则的要求［10］。具言之，比例原则要求需要了解信息使用者运用人脸识别技术的目的，还需要考量对被识别的个人是否会产生不利影响。同时，其也需要证明无法通过其他合理方式，才利用人脸识别的方式来达到处理个人信息的目的。如果存在其他对个人权益影响较小的方式，就能达到处理信息的目的，那么此时可以说人脸识别技术的运用不符合比例原则。当人脸识别技术不是信息使用者唯一处理个人信息的方式，就应当将其与其他方式进行比较，而后选择对个人权益影响较小的方式。虽然人脸识别技术更具有高效性，但这并不是合理处理个人信息的前置条件，也无法证明其技术的运用是有必要的。以瑞典学校利用人脸识别技术记录学生考勤案件为例，瑞典数据保护局基于比例原则提出，运用人脸识别记录学生的考勤是不合理的且没有必要的，因为还存在其他对学生信息权益影响较小的方式就能达到记录考勤的目的。同时，如以维护公共利益为目的而运用人脸识别技术，也不代表着其一定符合必要原则，特别是法定职责的国家部门在履行职务时，如遇到需要处理个人敏感信息的情况，应当遵循必要原则的要求。以欧洲发生的“马普尔”案为例，本案中欧洲法院认为基于维护公共安全的目的，永久地保存曾经已经释放的犯罪嫌疑人的身份信息等相关个人信息，这样的做法容易对个人信息权益造成极大损害，同时也是不合理的且没有必要的［11］。由此可见，利用比例原则和必要原则对人脸识别活动进行前置性检验，这是平衡各方利益的有效方式，其目的也是为了维持信息使用者、个人、社会公共等多方之间的利益平衡。易言之，在运用人脸识别技术之前也需要进行风险评估。根据欧盟《一般数据保护条例》第75条规定，人脸识别技术的运用风险可以基于对个人身体、财产或其他非物质损害等因素来综合评估。经过风险评估和满足利益平衡的条件，如果此时人脸识别技术运用的预期目的非常重要，同时能证明采取这样的做法是符合比例原则、必要原则的，那么就可以进行相关的应用。例如，警察为了蹲点抓捕犯罪嫌疑人、公共部门为了有效防控新冠疫情等而使用人脸识别技术，这样的行为一般是合乎比例原则与必要原则要求的。

（二）智能化决策过程的场景规制

人脸识别的运行逻辑是全智能化地识别分析人脸信息，根据《个保法》第24条规定，可以得出人脸识别过程应当满足过程透明化、结果是公平且公正的。具言之，其一，人脸识别过程透明化的要求应当更加严格。借鉴英国关于人脸识别的法律规定，涉及人脸识别过程的透明化既要求信息使用者向个人告知其行为的必要性与可能产生的影响，也要求其说明处理人脸信息的目的［12］。其二，人脸识别结果公平、公正不仅要求其技术上的精准性，也要求其不会产生具有歧视性的结果。借鉴欧盟关于人脸识别的规定，人脸识别技术应当基于不同种族、性别、宗教信仰等可能涉及歧视性内容进行分类，防止其技术在识别分析之前就存在歧视性因素［12］。同时，应当具体化人脸识别技术的运用场景，特别是当运用于对个人影响较大的场景如医疗、教育、司法等场景。结合《个保法》第24条规定可以得出，个人有权要求信息使用者说明人脸识别技术中涉及的具体内容，也可以拒绝其处理自己的人脸信息。同时，为了能让个人更方便行使此拒绝权，需要通过通俗易懂的语言或方式让个人清楚理解人脸识别的运行逻辑，以及基于什么要素作出智能化决策。当然，如人脸识别不符合比例原则、必要原则，那么个人也有权行使其拒绝权。我国最高人民法院出台的“人脸识别司法解释”第10条明确提出，如果小区或一些公共服务场所擅自规定人脸识别是出入这些场所的唯一验证方式，那么此时就违反了比例原则、必要原则，个人有权拒绝并可以要求相关人员提供除此之外的身份验证方式。需要说明的是，国外有学者提出常见的人脸识别场景规制是采取公共部门、私人部门分别规制的模式［13］。在这种规制模式之下，公共部门的人脸识别又能划分为绝对禁止和相对禁止两种类型模式。前者模式适用地区有美国的马塞诸塞州、萨默维尔市、加州等，这些地区都严禁运用人脸识别技术。而美国华盛顿州则采用后者模式，要求在人脸识别时需要同时进行算法解释、算法问责等等。针对私人部门的人脸识别主要是偏重于人脸识别技术使用者需要履行告知个人的义务并经过个人同意。我国有学者提出可以借鉴上述两种模式进行人脸识别场景规制［14］，笔者并不赞同此观点，理由如下：其一，公共部门与私人部门的区别对待是基于美国个人信息保护的立法模式所决定的。而我国颁布的《个保法》采取的是统一立法模式，故不需要按照公共部门与私人部门场景规制模式对“人脸识别信息”进行区别保护。其二，上述模式主要还是规制公共部门所运用的人脸识别技术，对于私人部门则是放宽规制，然而从当下数字经济的角度来看，前者的风险不一定比后者大，故也许应当对后者进行更严格的规制，来保证社会公共利益与私人利益之间的平衡。其三，上述两种模式都只是在强调人脸识别技术应用的主体，没有指向其应用的具体场景。只有结合人脸识别技术运用的具体场景进行分析，才能综合考量人脸识别对个人可能产生的影响和风险，并制定有针对性的规制方法。

（三）技术设计架构的完善路径

首先，根据我国《个保法》第51条规定，可以得出运用人脸识别技术时应当要同时采取安全措施保障个人的人脸信息。此条规定与欧盟《一般数据保护条例》中“隐私设计条款”的设计逻辑相似，即要求人脸识别相关产品的研发设计遵循个人信息保护的理念。鉴于此，笔者认为人脸识别产品的研发设计可以采用以下几种方式：其一，在编程人脸识别产品代码时，可以使用“隐私计算”（算法中加入保护他人隐私的设计代码）技术来提升其识别分析结果的稳定性、准确性。其二，在推出人脸识别产品与相关服务时要履行告知义务，保障个人的知情权与选择权，同时防止过度分析个人的人脸信息导致个人信息权益的损害。例如，在手机端的人脸识别应用中，可以利用智能语音播报或者弹窗震动等方式提醒个人需要注意的事项，不能直接以“默认勾选”的方式告知个人（因个人在使用人脸识别产品时一般不会仔细审查注意条款）。其三，可以设计开发“反人脸识别”配置来保护人脸信息。例如，当手机进行人脸识别时镜头会自动发出闪光破坏识别过程，或者通过手机端向信息使用者说明本人拒绝进行人脸识别。

其次，人脸识别技术可以采取去标识化与匿名化的方式完善其技术设计架构。我国《个保法》第51条就明确提出将“去标识化”视为一种安全技术措施。例如，对人脸识别的图像进行去标识化处理可以通过“计算机伪装”技术来完成，即当人脸识别无法识别分析到具体的某个人时，那么此时该人脸信息就转变为匿名信息［15］。如前文所述，人脸识别广告中，即使、广告经营者是为了之后广告的精准推送而收集人脸信息，但其并没有消除人脸信息的“标识化”（可识别性），还是可以根据相关信息识别到特定某个人，故其本质上还是属于个人信息的处理。那么，识别收集到的人脸信息能进行去标识化、匿名化处理吗？答案是肯定的。以德国企业使用AdPack的人脸识别技术为例，此项技术能将收集到的人脸信息在150毫秒内进行处理使用，使用完毕后马上自动删除［16］。这种“瞬间人脸识别”技术能让信息使用者或者潜在第三方再也不能二次使用所收集到的人脸信息，这在一定程度上可谓是实现了匿名化。然而即便如此，与AdPack相类似的应用还是无法被社会公众所接受。其引发的思考是人脸识别中的匿名信息是否还属于个人信息？针对这个问题，有学者提出即使是匿名信息也受个人信息法律保护，应当将其视为特殊的个人信息进行保护［17］。对此，笔者并不赞同，此时应当立足个人信息的本质内涵，换言之，匿名信息并不是个人信息而是属于自由流通的信息。对人脸识别技术的运用限制并不是越多越好，其规制措施应当是基于现实应用过程中存在的风险而作出的，不能因为其存在一定的不确定性就限制相关技术的创新发展。正如有学者所言，人们对于新事物的认知局限性，容易产生“忽视几率”的现象，即人们担心事物产生的负面后果，而忽视该后果发生的可能性［18］。为此，法律如采取“大量措施”来消除人们的忧虑，将可能导致付出巨大的成本实际上却没有什么收获的结果。研究表明，如果过度扩大人们的担忧，在此基础上来制定相关规则，那么将畏手畏脚无法促进新技术的发展应用［19］。针对人脸识别的法律规制，需要明确法律存在滞后性是正常的，面对新技术也应当保持适当的谦抑。现阶段，人脸识别技术还是有着巨大应用潜力的。人脸识别中分析机制的运行不一定就得以识别机制为前提，其与识别机制能够互相独立、相互区分。公共场合的人数统计、体温测量、照片美化等等，这些都不以人脸的识别为基础而是直接对人脸进行分析应用。一言以蔽之，完善人脸识别的架构设计，不仅能够推动其技术发展，还能降低其产生的现实风险，也能消除人们对其运用的恐惧。

四、结语

随着数字时代的到来，人脸识别作为一种智能化的信息分析技术，一定会被运用在许多领域中，从而促进社会生产力的发展。从“人眼识别”到“人脸识别”升级的过程中，人脸识别的风险隐患不是在于“识别”，而是在于“分析”，即将收集到的人脸信息进行深度以及关联分析。人脸识别是一种识别分析机制，其运行逻辑与治理模式并不复杂。人脸识别从只“识别”到“识别+分析”的转变过程中，其风险隐患也随之发生变化，对此，应当基于比例原则与必要原则进行对其前置性检验、运用场景规制其智能化的决策过程以及完善其技术架构设计三个方面予以应对，这样才能在促进人脸识别技术发展的同时保障个人信息权益，进而维持数字社会下各方主体之间的利益平衡。