赵凡硕

【摘  要】人脸识别技术对每个人的影响是广泛且意义深远的，使人类的生产生活形式发生了较大的变革。然而，人脸识别技术存在风险，人脸数据采集形式具有潜在侵害公民的知情权的隐蔽性，技术研发人员与数据管理方的安全保障义务仍待完善，政府的法律规制及防范都亟待解决。

【关键词】人脸识别技术;风险;法律防范;行业监管

引言

随着科学技术领域取得的瞩目成果越来越多，人脸识别技术对每个人的影响是广泛的且意义深远。例如：个人间及商业支付结算、电子设备密保、公民个人信息修改及重要场合安保等等。但是，由于人脸识别技术的效益十分可观，导致大量企业大肆涌入人脸识别领域，并且没有完善健全的监管体系，致使该项技术存在着较大的应用风险。

1.人脸识别技术的风险

1.1公民个人的隐私风险

人脸识别是一种重要的个人生物信息，不同于指纹、虹膜等识别技术，人脸具有识别个体性别、年龄、种族等的独特功能。其之所以被广泛采用，是因为人脸在社交互动中起着传递个人身份的重要作用。人脸不是隐藏的，识别它不需要先进的硬件，也不需要身体接触。人脸识别技术与肖像权间具有紧密联系，我国最新颁布的《民法典》第1018条关于自然人享有肖像权的规定中：“任何组织或者个人不得以丑化、污损，或者利用信息技术手段伪造等方式侵害他人的肖像权。未经他人同意，不得制作、使用、公开肖像权人的肖像，但法律另有规定的除外。”虽然存在法律规定，但未經本人许可与授权私自采集人脸信息，侵犯其隐私的事件也屡见不鲜。

例如，2020年11月，郭兵诉杭州野生动物世界侵犯隐私权和服务合同违约一案终于有了结果，杭州富阳法院通过法庭审理认为，当事人双方在办理年卡时，约定采用的是以指纹识别方式入园，但是野生动物世界采集郭兵及其妻子的照片信息的行为，已经超出了合同义务，同时也违背了法律必要原则要求，因此该行为不具有正当性。正如清华大学法学院的劳东燕教授所说：“人脸识别技术所涉及的，不仅是隐私权问题，更关乎社会的基本走向。眼下技术的发展能力，远远超过对其的控制能力。”

1.2人脸数据的泄露风险

由于人脸数据的使用是多次反复，即使是采取合理保护措施的公司，仍面临着被黑客攻击的风险。2019年早先发布的《人脸识别落地场景观察报告》就曾暴露出民众对于人脸数据泄露风险的深切担忧。在2020年年初，Clearview AI公司遭遇重大数据泄露，30亿张人脸数据泄露，引发美国社会的巨大担忧。2019年2月，媒体报道追踪MongoDB数据库多年的荷兰著名安全研究员维克多·盖弗斯发现，仅中国一家名为深网视界的人脸识别公司造成的个人数据泄露事件，就超过250多万人的核心数据极有可能被不法分子轻易获取，个人信息数据达680余万条被泄露，这其中包括了身份证信息，人脸识别图像及GPS位置记录等。某安全研究员认为：“知道某人何时不在办公室或家里，对于简单的入室盗窃犯罪来说是有用的，对于进入建筑物的攻击也是有用的。”

1.3技术使用的歧视风险

尽管因生理差异、民族差异或生理差异，允许合理差别，但不因种族、肤色、年龄、性别等差别而遭到区别对待是国际共识。作为人工智能之一的人脸识别技术存在两大公认的歧视：一是人为歧视，即人脸识别程序的调控者预先设定好程序。二是算法歧视，人脸识别系统对所收集的信息不断自我分类、自我汇总，然而在此过程中形成的算法并不是完美的。

美国麻省理工大学研究发现：肤色越暗识别准确性越差，在两组肤色较白的男性与女性照片中，性别判断的错误率很低，分别为1%和7%，而在两组肤色较黑的男性与女性照片中，性别判断的错误率却直线上升，分别为12%和35%。这与非裔美国计算机科学家布兰威尼的观点不谋而合，她在乔治亚理工学院就读本科时，人脸识别技术对她的白人朋友们来说效果很好，但是却无法识别出她的脸。她的论文中曾明确提出，美国市面上的三款主流识别软件，针对黑人的识别错误率远远高于白人，是白人识别错误率的20至30倍。即便当今世界各国都广泛强调各民族间平等，但在人脸识别技术方面的隐性歧视仍旧存在。即算法依赖数据，数据又是社会文化的镜像，虽然从道德上讲，歧视并不高尚，但它却从未在人类的意识中缺席过。

2.对完善人脸识别技术法律保障的思考

2.1完善立法

就我国的立法现状来说，关于生物信息的法律规范存在缺乏专门立法、立法迟延、立法规定分散等现实缺陷。现行立法中，2017年实施的《中华人民共和国网络安全法》和2020年实施的《中华人民共和国密码法》的规定较为全面，其中《中华人民共和国网络安全法》针对公民个人信息的规定为：首先，互联网企业在收集、使用公民的个人信息时，不得以违法、不正当、非必要的心态，公开收集、使用个人生物信息，必须明示收集、使用的目的、方式等必要要素，必须经被收集者同意。其次，网络运营者负有义务保护其收集的个人信息的完整性、真实性;最后，未经被收集者同意，不得向他人提供个人信息。

在刑事、民事、行政领域，尽管存在近40部法律、30多部法规、超过200部规章，但相关规定极为分散，难以形成合力。这就需要针对我国国情与实际适应情境，创制较为完备的具有专门性、针对性、可操作性的法律规范。对于立法而言，可以学习借鉴先进国家的立法形式。例如，欧盟于2018年5月出台的《通用数据保护条例》明确规定对违法企业采取高罚金的惩罚措施;企业必须事先征得用户授权及明确告知用户有关采集其生物信息等必要程序，否则将采取必要手段进行违法处理;企业必须使用明确、具体的语言，据此告知用户的各项权利及义务;明文规定了用户的“被遗忘权”，即用户个人可以要求责任方删除关于自己的数据记录。最著名的当属英国航空公司泄露50余万名用户的信息案，被罚1.8339亿英镑。英国信息专管局的专员表示，人们的私人数据具有专属性，他人无权查阅。法律明文规定，受托人需要保护好委托人的个人数据，尽到勤勉与保密义务。我国在对个人信息的分类上可以参考欧盟，不应“一刀切式”的管理，人脸识别技术获取的信息可分为一般性个人信息与敏感性个人信息。一般性个人信息，如轨迹信息、购物信息等，可采取常规限制手段。敏感性个人信息，如面部特征、家庭住址、种族民族等，宜采取严苛的保护措施。

2.2完善国家的监督管理机制

我国应加快成立专门的、独立的监督机构，以监测人脸识别技术的发展。通过法律法规等行政手段所设置的准入门槛，筛选出符合规范的企业，并采取定期为主、不定期为辅的审查模式，使其合法合规储存、使用公民的生物信息，同时对违法企业进行公示，以此加强企业与用户之间的联系、增强沟通的便捷性，不断改善由于监管主体不明确、执法主体混乱，出现监管领域空白、执法效果不到位的状况，逐步形成保护公民个人生物信息的固定体系。

一是建立健全的行业准入制度。人脸识别技术本身并不存在高门槛，如今的算法演进已经较为成熟，任何一个有技术人员与资金支持的企业都可以踏足该行业。但并不是每一个企业都拥有强大的自检与抗风险能力，这有赖于监管部门依据行业准入标准的规定，严格筛选，过滤掉不符合资质要求的企业。

二是企业备案制度。人脸数据的收集、储存、应用等环节，企业应备案登记，使数据使用有迹可循，一方面，方便国家行政监督;另一方面，为企业自检、自查提供完整的数据支撑。

三是审查认证制度。企业虽经过市场准入制度的筛选获得从业资格，但這种资格并不能认定为永久。国家建立定期审查与不定期审查制度，不合格的企业在合理期限内整改并接受复检，通过后方能继续从业。

2.3建立人脸识别技术行业的自律机制

科技的发展、行业的蓬勃与稳定，不仅需要国家大力投入精力，还需要企业及科研人员选派代表组成行业自律组织。所以，在国家与企业共同出资支持下，成立国家的保护公民生物信息安全部门，并加快完善企业层面的行业自律机制，做到政府适当干预，行业依照自律机制，形成合力。例如，1月20日，为规范人脸识别线下支付应用创新，防范人脸支付所带来的种种不稳定因素，确保各合作单位的合法权益不受风险侵害，维护公民的交易权利和利益，中国支付清算协会发布《人脸识别线下支付行业自律公约（试行）》，即日起实施。《公约》要求从事刷脸支付收单服务的会员单位应严格遵守《银行卡收单业务管理办法》、《非银行支付机构网络支付业务管理办法》、《中国人民银行关于进一步加强银行卡风险管理的通知》、《中国人民银行关于加强银行卡收单业务外包管理的通知》等管理要求，承担收单环节支付敏感信息安全管理责任，外包服务机构及其他无资质机构不得涉足核心业务系统运营、受理终端密钥管理、特约商户资质审核等关键领域。虽然《公约》仍存在缺乏具体操作的条款，但这表明，我国在规范人脸识别技术行业与防范该技术所带来的风险领域，不断尝试为人脸识别技术的实际使用提供切实指引。

3.结语

正是由于当今科学技术的迅猛发展，使得每个公民与人脸识别技术形成了紧密的联系，但是，行业准入门槛的限制不高、国家的行政监管较为迟滞、行业自身缺乏有效自律机制等因素，使用过程中所产生侵犯公民个人隐私、数据泄露、算法歧视等问题也引起了社会大众和有关组织的担忧，亟待国家、企业及科研人员所组成的行业、消费者三方的协同运作，不断优化并确保人脸识别技术的合规合法，真真正正的造福于人类发展。

参考文献

[1]Turk M，Pentland A.Eigenfaces for recognition[J].Journal of cognitive neuroscience，1991，3（1）：71-86.

[2]Belhumeur PN，Hespanha JP，Kriegman DJ.Eigenfaces vs.fisherfaces：Recognition using class specific linear projection[J].IEEE Transactions on pattern analysis and machine intelligence，1997，19（7）：711-720.

[3]Zahid Akhtar， Ajita Rattani. A Face in any Form： New Challenges and Opportunities for Face Recognition Technology[J].Computer， 2017， 50（4）：80-90.

[4]劳东燕.潜在风险与法律保护框架的构建[J].检察日报，2020年10月12日第004版

[5]王心阳.技术监控时代：个人信息保护的艰难选择及行政法思考[J].网络法律评论，2017（01）：290-305.

[6]张玉宏，秦志光，肖乐.大数据算法的歧视本质[J].自然辩证法研究，2017，33（05）：81-86.

长春理工大学法学院    吉林长春    130022