□ 文 林梓瀚 史 渊

0 引言

人脸识别是将人的脸部信息作为基础进行生物特征识别的技术，这一概念应用于不同领域，其内涵和外延也有所不同。狭义的人脸识别仅指识别某一指定图像中的人的身份。而法学领域所说的“人脸识别”的规制，是更为广义的范畴，涉及的内容往往不仅包括狭义的人脸识别这一过程，还包括人脸检测和人脸检索的过程。人脸检测即检测图像中人脸区域的位置，人脸检索则是在数据库中检索包含指定人脸的图片，即人脸识别包含了一整套完整的采集图像，检测定位人脸，提取人脸特征进行比对并最终识别身份的过程。

自20世纪70年代产生以来，人脸识别技术在如今被越来越多的运用在日常生活中。Gen Market Insights发布的《全球人脸识别设备市场研究报告》中指出，在2018-2025年间，全球人脸识别设备市场价值增速可以达到26.8%，2025年底总值预计将达到71.7亿美元。人脸识别技术目前有两个分支，即2D人脸识别和3D人脸识别，两种技术各有优缺点，2D人脸识别的算法发展较为成熟，在没有遮挡的情况下几乎能够实现百分之百准确的识别，3D人脸识别技术则是基于更深层的人脸特征，在动态、存在阴影或遮挡等情况下，有更高的识别准确度。

人脸识别技术近年能够迅速发展，一方面是由于人脸识别技术自身依托的大数据、人工智能等领域的发展，给其进步提供了更多可能；另一方面是人脸识别的独特优势，更符合现代社会高效、便捷的需求，给这一技术的运用带来了广阔的空间。不可否认，人脸识别技术的运用给多种领域带来了进一步发展创新的可能，其运用有多个分支：一是涉及国家公共安全层面的，如犯罪侦查；二是社会和个人层面的，如考勤管理，门禁系统；三是商业层面的，如电子支付；四是政府职能层面的，如电子政务等。在各行业从人脸识别中获益的同时，作为已经开始较大规模普及的技术，人脸识别自身的不足以及其运用可能带来的难以估量的风险，也是不可忽略的事实，这也使得对于其是否应该继续得到发展运用这一问题产生了分歧。

IBM宣布完全放弃人脸识别领域的业务，世界最大的人脸识别数据库MS Celeb也被微软悄然删除，这些科技巨头对于人脸识别态度的变化传递出了对于人脸识别发展的恐惧。在人脸识别技术快速发展的背后，退缩不前与放任自由都过于极端，必须在正确分析风险的基础上，依靠法律手段从中进行调节。

1 人脸识别技术优势与困境

与传统的指纹、虹膜一样，人脸也是生物识别信息的一种。但与前两者比较而言，人脸是更加直观、外露的，也因此使其在某些方面具有更大的优势。首先，人脸识别不需要被识别对象直接接触识别设备，在利用摄像头识别人脸信息时，即使距离较远也可以实现。加之还能在此基础上实现动态的、范围性的主动识别，使人脸识别的效率得到更大的提高。这一特点也决定了人脸识别能够具有一定的隐蔽性，且不需要被识别人的配合，不易被察觉，从而在一定程度上避免欺骗行为，也为刑事侦查提供了便利。其次，现有的硬件设施可以为人脸识别提供更多的运用空间。公共场所遍布的摄像头能够为人脸识别的进行提供支持，无需像识别其他生物信息一样只能依赖设置专门的其他设备。再次，比起指纹或者虹膜识别，人脸识别的方式更类似于人类自身识别他人身份的方式，即通过对方一定的面部特征做出判断，因此也有助于减轻被识别人心理上的抵触情绪。最后，人脸识别技术的可拓展性非常强，现代社会日常生活处处少不了身份核验的环节，人脸识别的便捷高效使其有了更大的可塑性，能够与多种技术接轨，满足社会需求。

“ZAO”app的人工智能换脸风波引发了对人脸信息的普遍关注，除了各类应用软件，在网上也存在相关渠道，仅需八元就可以购买到三万张人脸照片，其中很多照片都来自各种社交软件的自拍。人脸信息作为一种数据，本身具有唯一性和不可变性，不像传统密码可以通过定期更换来减小风险。并且人脸比普通的生物识别信息蕴含更多内容，通过对人脸特征、表情等进行分析，甚至可以推测出识别对象的心情、性取向等内心世界的感受，关乎个人隐私甚至是尊严，一旦泄露可能造成无法挽回的后果，因此存储及使用过程中的安全无疑是最需要关注的。

同时，对于公共场所采取的大范围的人脸识别开始实施后，范围内所有人便无法选择不被监测和识别，有背自愿性，也可能会引发群众因感到被监视而产生的不安情绪。除了数据安全存在极高的风险外，人脸识别也会受到其他外部因素的干扰，如光线、角度的不同，化妆、表情或者佩戴口罩的影响，年龄的变化等，都可能会给人脸识别的准确度增加不确定性。加之人脸识别运用领域的极速拓展，在市场技术水平参差不齐且对于人脸识别技术的选择运用缺乏规范的环境下，也带来了隐患。在技术本身方面，尤其是3D人脸识别依赖的算法也存在歧视问题，种族、性别等都可能成为被歧视的要素，导致出现错误的识别结果，算法存在的“对抗样本”漏洞，也使得人脸识别有被破解的可能。

人脸识别的运用固然存在上述诸多风险，但技术本身并无善恶之分，优点与缺点并存更是事物存在的常态。每一次技术革命的新产物带来机遇的同时，也往往伴随着挑战，通过法律的规制，运用良法使技术服务于社会并在正确的轨道上发展进步。

2 美国人脸识别法律规制

美国联邦层面还没有对人脸识别的统一规定，但是弗洛依德案爆发后引发的反对种族歧视的浪潮，也将人脸识别使用边界的问题推向了风口浪尖，美国将加快推进人脸识别联邦层面的立法。

现有的人脸识别技术对于肤色较深的对象识别不够准确，引起了群众对于可能产生的不公正逮捕的担忧，因此公众对政府、警察这类公权力机关使用人脸识别技术的权利提出质疑。亚马逊在2020年6月宣布将暂停美国警方使用其人脸识别软件为期一年，微软也公开表态，在没有联邦法律进行规范的情况下，不会向警方提供人脸识别技术。目前已经有议员提出《道德使用人脸识别法案》、《商业人脸识别隐私法案》、《人脸识别技术授权法案》、《2020年人脸识别和生物特征识别技术禁令法案》等几项关于人脸识别技术的法案。这些法案从不同角度提出了对人脸识别技术使用的限制措施，既有政策层面，也有技术层面。

《道德使用人脸识别法案》对政府提出的要求较高，为了保护公民的自由和隐私权不受侵犯，禁止政府在人脸识别技术使用指南出台之前运用该技术。《商业人脸识别隐私法案》主要规范商业领域人脸识别技术的运用，包括被识别主体的明确同意，信息控制者的有限使用，能够使用该技术的例外情况，以及对人脸识别进行第三方测试，以确保其准确性。《人脸识别技术授权法案》主要规范的是公共场所监控领域的人脸识别技术，对实施监控并最终成为证据的条件进行了明确，同时也提出应对人脸识别技术进行定期测试。《2020年人脸识别和生物特征识别技术禁令法案》则禁止联邦政府在没有明确法定授权的情况下进行针对生物识别特征的监视，并扣留州和地方政府进行生物识别特征监视的某些联邦公共安全补助金。2021年3月4日，美国众议院通过《乔治•弗洛伊德警务正义法案》，法案中提出了对人脸识别的相关立法规制，包括限制联邦执法部门使用人脸识别技术以及禁止在对来自人体摄像头或巡逻车收集的录像使用该工具。

各州市层面，部分州市对于政府在公共场所使用人脸识别技术较为担忧，认为公共主体使用该技术更类似于在对人群进行“监控”，使人们的自由和隐私受到了侵犯。旧金山市因此成为全球首个对人脸识别发布禁令的城市，禁止政府和警方使用该技术，奥克兰、萨默维尔等市也紧随其后。华盛顿特区、加利福尼亚州等州对人脸识别的运用也均有自己的限制。华盛顿特区《生物识别信息法》并未完全禁止政府机构运用人脸识别技术，只是政府机构进行的人脸识别扫描必须有许可令。2020年2月加州通过的《加州人脸识别技术法案》采取的态度也较为包容，采取对私营主体和公共主体的使用条件做出区分的模式，由公共主体制定并公开关于其使用人脸识别技术的问责报告，来确保技术使用受到公众监督的方式，给予了公共主体使用人脸识别技术的空间。

整体来看，美国人脸识别的法律规定目前较为自由，但是有向更保守的态度发展的趋势，不过还是依然立足于在保护公民个人信息安全和促进人脸识别运用发展中寻求平衡点。

3 欧盟人脸识别法律规制

根据欧盟《通用数据保护条例》（GDPR）规定，旨在识别特定自然人生物识别数据被认定为特殊类型的个人数据。对于自然人生物识别数据等数据，在数据主体明确同意的情形下，数据控制者可以对特殊类型的个人数据进行相关必要的处理。同时，若基于侦查犯罪的需要，在必须使用的情形下，为了公共利益及国家利益的维护，该特殊类型的个人数据同样可在未经数据主体同意的情形下被使用，但是必须保证对数据主体最小程度的损害。欧盟GDPR规定，对于基因数据、生物性识别数据以及健康相关数据，各成员国可维持其在欧盟GDPR颁布前所作出的相关规定，或者进行新的与欧盟GDPR规定有所不同的具体规则制定。

但是相关规定在实际操作中存在着一定的难度，在公共场所中的人脸识别通常无法普遍征得公众的明示同意。因此此前在《人工智能白皮书（草案）》中，欧盟委员会表示正在考虑实施史上最严的人工智能监管措施，其中，公共或私人机构在公共场所使用人脸识别技术将被禁止3至5年的时间。欧盟委员会最终删除了上述人脸识别技术禁令，但对使用人脸识别等远程生物识别系统提出了严格限制。最终版本的《人工智能白皮书》指出欧洲的人工智能必须以欧洲的价值观以及人类尊严、隐私保护等基本权利为基础，着重建构可信与安全的人工智能监管框架。

对于人脸识别，《人工智能白皮书》认为将人工智能用于远程生物特征识别及其他侵入式监视技术始终被认为是高风险的，因此有关人脸识别的处理活动必须出于严格的必要，获得欧盟及成员国法律的许可且配备适当的保障措施。同时，除满足《通用数据保护条例》的相关规定外，此类处理活动还需受《欧盟基本权利宪章》的约束，既只有在正当、符合比例并受到充分保护的情况下，才可将人工智能系统用于人脸识别。

2021年1月欧盟委员会决定发起一个名为“禁止生物识别大规模监视实践的公民社会倡议”（ECI）。ECI的组织者希望欧盟委员会可以提出一项法案以永久地终止对生物特征数据无区别及任意针对性地使用，防止可能出现的大规模监视或对公民基本权利的不当干预。因此，对人脸识别的法律规制，欧盟在GDPR及《基本权利宪章》基础上，不断严格法律框架限制人脸识别的使用范围与场景，明确“最小损害”与“严格必要”原则，最终实现对欧盟公民个人信息安全以及个人尊严的保护。

此外，2021年1月28日，欧盟之外的欧洲委员会（Council of Europe）《第108号公约+》咨询委员会发布了《人脸识别的指南》为立法者和决策者，公共和私营实体提供了一套全面人脸识别技术使用的参考措施，对全球人脸识别的法律规制起到了重要的参考作用。

4 对我国启示

一直以来，欧美基于不同的产业技术背景，对于个人信息的保护采取不同的态度。我国的国情和文化背景与欧美也并不相同，从古延续至今的户籍制度使得国人对于政府采集、管理及使用个人信息的工作有着较高的接受度和信任度，这给公权力主体合理使用人脸识别技术，提高工作效率提供了较好的环境，也更符合国家治理能力现代化水平提高的要求。而人脸识别商业化发展，也早已融入人们的生活并提供了不少便利，因此，我国未来采取的人脸识别技术规制方向既无法像欧洲一样保守，也不会像美国一样对于公共主体使用该技术有过多的顾虑和反对。但人脸识别技术自身的特点意味着它与一般的个人信息，甚至是其他敏感个人信息有所区别，需要更特殊的措施来保障被识别人的权利。

面对还在不断发展的人脸识别技术，我国目前的立法进程显得较为滞后，还需尽快落实《个人信息保护法》和《数据安全法》，并加快人脸识别的法律规制，在制定过程中加入前瞻性、引导性内容，确保法律保护的范围不要脱离技术发展的脚步。