■翁齐铭，寇晨雪

（福建师范大学法学院，福建 福州 350000）

一、人脸识别技术的问题梳理

（一）技术漏洞难以克服

首先，即使我国人脸识别技术已经历经若干阶段的算法更替与技术改进，也仍然存在着一些技术漏洞。目前，市场上的人脸识别技术有多种类型，主要分为2D人脸识别和3D人脸识别。其中，2D人脸识别的摄像头设备及后端算法等相关配套设施的成本较低，以致技术精确度也随之降低且更容易被破解。某些厂商为了降低成本便会采用这种比较落后的设备，个人权益可能会因此受到侵害。但即便是3D人脸识别这种更为先进的技术，其精确度也会受到光线、摄像机性能、算法等因素的影响，因此，在现有技术的背景下是无法避免错误产生的。这种风险是致命的：比如，人脸识别技术所采集的人脸信息会因数据主体的不同，如性别或者肤色而存在差异，这种偏见和歧视分为故意性与非故意性，后者是技术漏洞的结果；又如，数据控制者（能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、代理机构或者其他组织[1]）和数据处理者（为数据控制者处理个人数据的自然人、法人、公共机构、代理机构或者其他组织[1]）将人脸信息储存在内部建立的数据库系统，而技术漏洞的存在却又使其无法抵御黑客攻击，由此数据库信息泄露的案件也就变得屡见不鲜。因此，如何兼顾技术性方法与非技术性方法，降低人脸识别技术产生错误的可能性以及建立错误结果发生后的风险应对机制，是目前规制人脸识别技术要解决的一大难题。

（二）准入门槛长期缺位

其次，我国尚未对使用人脸识别技术设立准入门槛。因此，在不需要复杂的技术设备，只需要基础的硬件设施、相关算法和数据库，即可轻易获取并使用人脸识别技术的情况下，市场上的滥用现象将会极其普遍。此前，杭州动物园“中国人脸识别第一案”引发了诸多争议，像动物园这类娱乐场所强制采集人脸信息并将其作为唯一的入园验证方式的做法，其必要性有待商榷。并且，在信息安全管理“谁收集、谁负责”的归责制度下，这类主体保障客户信息安全的能力令人质疑。除此之外，“ZAO”APP娱乐换脸引争议案、杭州课堂安装人脸识别技术监控事件等所涉领域也引人深思，人脸识别技术带来的安全隐患成为社会舆论的焦点。虽然我国《民法典》特别增加了个人信息保护立法，但仍然不够具体、明确，像第1035条所述“合法、正当、必要”充其量只是一项原则性规定，在个案中判断某一领域的使用是否合规，更多地取决于法官的自由裁量权，这对于规范人脸识别技术市场是相当不利的。

（三）信息处理不合规范

再次，我国人脸识别技术行业存在着大量信息处理不合规范的问题，这涉及多个阶段：采集、存储、处理、使用、流转以及销毁等等。采集过程主要存在三个问题：一是非法采集，由于人脸识别技术具有非接触性的特点，当数据主体出入某些公共场合时，其人脸信息即可被摄像机捕捉。当这类信息的采集是为了对数据主体进行分析形成用户画像，以此达到商业目的时，就是对数据主体知情同意权的侵犯；二是强迫采集，“强制授权”成为了隐私政策的内核，如何解决“同意即可进入、不同意就无法使用”的问题是关键所在；三是过度采集，事实上，即使数据主体认真阅读了隐私政策并且“不被强迫地”同意，也不能充分保障其合法权益。在某些隐私政策中，根本没有载明人脸信息的使用目的和处理方式，由此被采集的人脸信息是否与提供的商品或者服务相关也无法进行判断，过度采集的现象也就无可避免了。其他过程主要是不当泄露与非法提供的问题，这些则需要通过人工审查与测试、对人员进行定期培训等方法来解决。

（四）救济渠道过于狭窄

又次，我国人脸识别技术行业同样也存在着事后救济的困难。目前，我国主要是依靠行政约谈的方式对人脸识别技术进行监督，而这种方式只能要求相关企业自行开展整改，并不会在实际层面上对其实施惩处。在诉讼途径下，由于人脸识别技术的复杂性与隐蔽性，当数据主体的合法权益受到侵害时，通常会有举证困难、审理困难等问题。另外，我国也并未明确规定人脸识别技术所涉具体问题，导致执法人员在实践中遇到相关问题时无法可依，最终只能依据隐私权、财产权等规定进行裁量。

（五）法律规制亟待完善

最后，人脸识别技术属于新兴技术产业，目前我国对此的知识储备不足，因此仍未着手完善规制，以致法律体系散乱，并且保护力度较低，大多只是提供了原则性的治理框架，尚无具体的治理机制。具体而言，针对人脸识别技术的法律法规仅有涉及公共安全领域的《公共安全人脸识别应用图像技术要求》以及金融领域的《人脸识别线下支付行业自律公约（试行）》。其他相关的法律法规主要是《民法典》关于个人信息法律保护的概括性、原则性的规定；《消费者权益保护法》关于消费者对个人信息享有的同意权、知情权等权利；《网络安全法》关于网络运营者收集、使用个人信息等规范；《刑法修正案九》规定的“侵犯公民个人信息罪”以及“拒不履行信息网络安全管理义务罪”。可以发现，我国现行法律法规主要针对的是个人信息的总体保护，并不区分一般信息与敏感信息，而从目前各国的立法体例来看，敏感信息的保护程度普遍高于一般信息的保护程度。我国应当对此作出合理回应，顺应全球趋势，对人脸信息这类的敏感信息采取特殊保护措施。此外，我国立法也未涉及人脸识别技术使用产生的安全责任等问题。

二、人脸识别技术的国外立法

专门针对人脸信息进行立法的国家在少数，大多都寻求了个人信息保护法中敏感信息一类的规制保护，而其中最具代表性的无疑就是欧盟模式和美国模式。从立法模式上看，欧盟采取了集中立法的模式，但也赋予了“成员国保留”的权利，即成员国将直接适用欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR），但同时也能对部分条款进行修改或者作出进一步规定；美国则采取了分散立法的模式，即联邦政府对此不作出统一规定，而是赋予各州较大的自主决定权以“独立立法”。从法理基础上看，欧盟立法对个人信息的属性采用基本权利说，主张个人信息是一项独立权利、应进行独立保护；美国立法则是基于传统的隐私权理论，引入“信息隐私”的概念，将个人信息纳入隐私权保护的框架之下。从价值取向上看，欧盟的主体规制不以公共领域与非公共领域为标准，而是将其直接划分为数据主体、数据控制者和数据处理者进行统一规范，例外地提出“公共利益保留”；美国的自由主义传统强调政治自由、经济自由与个人自由，在立法体例下，私权利处于核心地位，因其独特的价值背景，美国对个人信息的立法倾向于对公共领域的限制，对于非公共领域则是排除立法干涉，更多地依靠行业自律和市场机制进行调整。

（一）欧盟模式

《通用数据保护条例》是欧盟模式下处于主导地位的个人信息保护法，自2018年5月25日正式生效以来，其影响早已不再局限于欧盟内部，而是在全球范围内掀起了一场个人信息的立法革命。

该条例第4（14）条对“生物特征数据”作出界定，明确指出了“人脸图像”属于生物特征数据的范畴。第9条进一步规定，与人脸图像相关的生物特征数据属于特殊类型个人数据，该类型的数据处理原则上应当被禁止，但也规定了十种例外情形，如个人作出明确同意或者为了重大公共利益等。尽管立法没有明确，但可以推定在符合上述例外情形时也应当遵循一般类型个人数据的处理标准，甚至更为严苛，即按照GDPR的框架线索，以“合法、公平和透明（lawfulness,fairness and transparency）”“目的限制（purpose limitation）”“数据最小化（data minimization）”“准确（accuracy）”“存储限制（storage limitation）”“完整和保密（integrityand confidentiality）”等基本原则为核心主线，建立起数据主体、数据控制者和数据处理者的权利义务体系。

（二）美国模式

美国模式下最具典型意义的是伊利诺伊州颁布的《生物识别信息隐私法案》（Illinois Biometric Information PrivacyAct，简称BIPA）。该法案提出了“生物标识符”概念，指明其包含了“面部特征的扫描”。相较于欧盟模式，BIPA规制的范围并不在于能否使用生物识别数据，而在于使用生物数据的方式[2]，如告知与授权义务、保管与销毁义务等。

除此以外，基于种族歧视、监视常态化以及言论自由等原因，美国多地限制甚至禁止使用人脸识别技术的呼声较高。2019年5月14日，旧金山市创设了全球范围内的首例禁令，率先宣布全市包括警方在内的多个市政机构禁止使用人脸识别技术。此后，萨默维尔、奥克兰以及波士顿等城市也纷纷发布了关于人脸识别技术的禁令。2020年9月9日，波特兰市通过第一个禁止私营部门使用人脸识别技术的禁令，其明令禁止政府部门以及商店、旅馆等主体使用人脸识别技术。另外，其他各州政府也在寻求对人脸识别技术的专门立法保护，如华盛顿州、加利福利亚州等。但总体而言，美国绝大多数州和地方政府都将其禁令或法案的适用范围限定在公共机构这一主体上。

三、人脸识别技术的规制建议

（一）立法导向

一方面，应当对采集处理的人脸信息进行定性。一般认为，人脸信息属于敏感信息，宜采用一般禁止式的保护模式，即只有在某些例外情形下，法律才能允许数据控制者和数据处理者对其采集和处理。这些例外情形必须经过法律确认，除了《民法典》第1037条规定的“经过数据主体的明示同意”“处理已经合法公开的信息”以及“维护公共利益或者数据主体的合法权益”以外，还应当包括“实现相关主体行使权利、履行合同义务与法定义务的必要”。应当注意的是，在符合三、四两类情形时，还需要对其进行利益衡量，使处理信息的所得利益具有明显的优先性。

另一方面，应当对相关主体的权利义务进行界定。第一，数据主体享有同意权。由于人脸信息具有可识别性，涉及数据主体的切身利益，因此认定构成同意的标准应当进行严苛的限制，即必须明示同意，默示同意不产生法律效力。另外，数据主体有权对其作出的同意予以撤回。第二，数据主体享有知情权。其核心内涵是确保数据主体能够及时、准确地获取信息，这种信息包括数据控制者应当提供的信息以及数据主体主动要求其提供的信息。第三，数据主体享有纠正权和删除权。即数据主体有权要求数据控制者立即纠正不准确的人脸信息，如果对其所采集和处理的人脸信息缺乏合法基础或者已经达成目的，数据主体亦有权要求其立即删除。最后，数据控制者的义务与数据主体的权利呈现对应关系，而数据处理者仅在与数据控制者订立的合同范围内承担责任。

（二）事前评估

一是风险评估。基于对上文客观存在的技术漏洞的考量，建立第三方评估机构尤为必要。任何主体包括公权力机关在进入人脸识别技术市场前，都需要通过该机构的评估环节。评估内容可以分为技术评估与非技术评估。具体而言，技术评估包括其采用的人脸识别技术是否符合透明性、稳定性、准确性、安全性、非歧视性等要求；非技术评估包括其内部的管理机制、责任机制、预防与应对风险机制等制度是否完善。符合评估标准的，予以准入；不符合评估标准的，要求纠正；纠正后仍不符合的，不予准入。另外，在第三方评估机构的运行相对成熟且资金较为充足时，可以考虑将评估手段扩展到事中与事后，保证技术使用全周期的稳健性与可靠性。

二是场景评估。应当明确的是，不是所有主体都有使用人脸识别技术的资格，设置准入门槛同样极为重要。一般来说，相较于公共领域，商业领域的限制应当更为严苛。原因在于，不同于美国的社会背景，我国公民对公权力机关的信任感与依赖度普遍较高，因此后者在执法过程中对人脸识别技术的使用也通常会被允许。并且，公权力机关的职责如预防、制止和侦查违法犯罪活动也需要依靠人脸识别技术来实现。另外，譬如学校、公共交通等领域，考虑到其所涉的公共利益，也应当被授权许可。与之相反的是，私营企业将会因其缺乏公益性而被排除在外，只有当人脸识别技术是在该企业经营必要的业务范围之内时，其使用才会被法律认可。然而，即便某些企业获得了准入资格，在上述风险评估环节也会被采取更加严格的标准，因此最终能够进入人脸识别技术市场的企业不会占多数。

（三）事中审计

报告制度是对人脸识别技术的使用进行审计的核心内容，审计主体是独立于政府的第三方监管机构，需要审计的报告类型分为定期报告与临时报告。一是定期报告，根据时间的跨度，又可将其分为年度报告、中期报告与季度报告。报告内容主要是数据控制者在某一时间段内使用人脸识别技术的情况，包括但不限于评估阶段未发现的技术漏洞、使用过程中发生的操作不当、人脸信息泄露事件以及侵犯数据主体权利的诉讼案件等。二是临时报告，这种报告通常应用于紧急情况，即数据控制者在知道人脸信息泄露后应当及时报告给监管机构，GDPR对此规定的时间是72小时以内。报告内容包括但不限于信息泄露可能导致的后果、数据控制者已经采取的措施等。如果信息泄露是由数据处理者引起的，那么数据处理者也负有向数据控制者报告的义务，数据控制者在接到通知后应当立即转报给监管机构。

（四）事后救济

第一，拓宽救济途径。数据主体可以向监管机构提起申诉，对监管机构作出的决定不服的，可以向人民法院提起行政诉讼；数据主体也可以直接以数据控制者和数据处理者为被告，向人民法院提起诉讼。第二，完善审理机制。加快建立互联网纠纷集中审理机制，解决数据主体举证困难、审理困难等问题，提高纠纷处理的高效性与专业性。第三，加大惩处力度。数据控制者和数据处理者侵犯数据主体权利或者泄露数据主体信息给数据主体造成损失的，除了应当承担停止侵害、赔礼道歉等非财产责任以外，还需要对数据主体承担损害赔偿责任。这种损害可以分为直接损害和间接损害。前者是对数据主体造成的实际财产损害，若实际财产损害无法确定，则应当向数据主体支付法定数额的损害赔偿金；另一种是间接损害，比如数据主体的维权费用。

四、结语

在衡量人脸识别技术为社会带来利益的同时，也不能忽视其存在的风险。技术漏洞难以克服、准入门槛长期缺位、信息处理不合规范、救济渠道过于狭窄、法律规制亟需完善等问题无疑阻碍了技术的进步。通过比较借鉴欧美立法，结合我国国情特点，为我国人脸识别技术的法律规制提出行之有效的治理建议。以立法导向为核心，完善事前评估、事中审计与事后救济制度，以期促进人脸识别技术的健康发展。