王 勇 黄中钰

（大连大学，辽宁 大连 116622）

一、人脸识别技术的概念

人脸识别技术是以人工智能算法为支撑，采用大数据分析的手段，将给定的面部图像与现有图像数据库中的面部图像进行比对，从而将已知图像和场景中的人的身份精确匹配的一项技术。人脸识别技术作为一种先进的生物特征识别技术，因人体面部的虹膜、容貌等特征具有不可复制性、稳定性，基本没有丢失、被窃或者被遗忘的可能，所以具有较强的安全性和准确性。［1］人脸识别技术的基本原理是通过检测、对应、编码、匹配四个环节来完成识别的。

二、滥用人脸识别技术实例及原因分析

（一）人脸识别技术被滥用实例

2020年，国内“人脸识别第一案”——“郭某诉野生动物世界服务合同纠纷案”中，郭某夫妇向野生动物世界购买双人年卡，留存了相关的个人身份信息、录入了指纹信息，并拍摄了面部照片。此后，野生动物世界要求将原本的指纹识别变更为面部识别，并且要求郭某夫妇到场进行人脸激活，由此引发了纠纷。

一审法院经审理，依照《消费者权益保护法》第二十九条的规定，判令野生动物世界赔偿郭某合同利益损失及交通费共计1038元；删除郭某办理指纹年卡时提交的包括照片在内的面部特征信息；驳回郭某要求确认店堂告示、短信通知中相关内容无效等其他诉讼请求。郭某与野生动物世界均表示不服，分别向中级人民法院提起上诉。二审法院经审理，在原判决的基础上，增判野生动物世界删除郭某办理指纹年卡时提交的指纹识别信息。

野生动物世界欲利用收集的照片扩大信息处理范围，超出了其收集信息后所追求的原本的目的范围，这种行为暗藏着对当事人的人格权的侵犯可能。然而作为侵权人，野生动物世界仅仅只被判处删除面部特征信息和指纹信息，赔偿1000元左右的损失，并无停业整改等惩罚措施，违法成本之低可见一斑。

在日常生活中，由于人脸识别技术相对较为新颖，公众对于其获取自身信息数据的后果了解相对匮乏，加之目前人脸识别技术应用领域广，与日常生活息息相关，诸如小区门禁、公司考勤等都会进行人脸识别，公民对人脸识别的警惕性低，进而导致公众的面部信息保护意识薄弱，就算被不法分子获取了自身面部数据，也难以意识到自己可能遭受到了权利的侵害。

（二）人脸识别技术被滥用的原因

面部识别信息作为敏感的个人信息，深度体现了自然人的生理特征，作为一种独特的生物性标志，具备较强的人格属性，是十分重要的个人信息。人脸面部信息与资产、人身安全、个人关系网等方面都存在着密切联系。

人脸识别技术的滥用原因一般包括：面部信息本身隐私性不强，基本属于暴露状态，容易被各种设备截取；缺乏针对进行人脸识别后所取得的数据的存储以及运用的法律规范，以及相应的违法惩罚，不法分子违法成本低廉；公民缺乏个人信息保护意识，轻视人脸面部数据作为具有唯一性的生物识别特征的重要性，对个人信息的安全不够重视。［2］

三、应用人脸识别技术存在的法律问题

（一）我国法律规定零散，涵盖内容不足

我国对人脸识别技术的应用并未设置专项法律规范，针对个人信息和数据安全的法律并不健全。《民法典》《网络安全法》《消费者权益保护法》《刑法》等法律对人脸识别技术的应用有一定的规制作用，但涵盖内容并不充足。

1.没有设置成为信息处理者的具体标准

《民法典》第一千零三十五条和一千零三十八条规定了个人信息处理的相关的原则和条件，但其中作为行为主体的信息处理者的主体资格却没有明确规定，没有设置成为个人信息处理者所需要通过的标准和门槛，人人都可能成为公民个人信息的收集者、传播者，容易导致公民的信息安全受到威胁，极易被滥用。

2.信息被收集者的同意认定不明确

《网络安全法》第四十一条规定，信息收集者收集信息需经被收集者同意。但目前，对于经被收集者同意并非被收集者主动作出。一是在网上APP的下载使用中，很多都存在着“同意协议才可使用”的情况，而协议里面又需要公民同意企业对个人信息进行收集，公民想使用该APP，就必须要同意协议，这实际是一种变相的强迫同意。二是存在着如线下刷脸支付之类的情况下，被收集者因使用这些功能，在未被提示进行同意的不知情的情况下，而作出同意的情况。法律对被收集者的同意应该有明确规定，比如应规定被收集者作出的同意应是主观的、非强迫的；以及收集者运用合法手段对公民进行信息收集，需要征求被收集者同意时，不应具有暗示性、引导性。

3.未明确规定公权力机构的信息收集权力范围

我国目前重点限制企业采集个人信息，但对公权力收集个人信息的限制相对比较薄弱，公权力机构在具体应用人脸识别技术时，应当注意保证“法无规定不可为”。［3］对公权力在人脸识别技术方面的应用，法律应该规定公权力应用的范围和权限，让公权力机构在法律规定的范围内行使权力。

（二）监管缺失，信息强制采集和滥用行为缺乏规制

目前我国对个人信息收集、使用行为的监管主体是公安机关，而由于我国法律尚未出台《个人信息安全法》《数据保护法》等具体法律，公安机关在监管时没有具体的法条可以依照，导致其往往难以确定信息收集者和使用者的人脸识别技术的应用是否违规，从而出现监管缺失的情况。

公民以交换个人信息为代价，用以获取其他企业机构的服务，导致公民的信息被随意地采集，这种现象的出现是因为我国对于信息收集并没有设置相应的门槛要求，许多部门、机构和公司对公民信息的采集都普遍带有某种目的性。且因为缺乏市场约束和法律监管，企业强制采集用户信息已成为常态。大多数软件采取用户不同意采集则被禁止享有App服务。除此之外，灰色信息数据产业链也存在于法律阴影之下，个人面部信息常常被用于实施不法行为，滥用情况丛生。

目前法律对面部信息滥用问题的规制尚不完善，我国缺少对于个人面部信息收集者和数据控制者的合法性审查，导致从人脸识别技术的提供端就开始出现不合规的情况，企业生产的人脸识别产品质量好坏不一，因系统的缺陷和安全漏洞造成个人面部特征数据外泄的情况也常常发生。［4］法律应当划定一条监督管理的责任底线，监管该领域的部门要肩负管理和整治责任，在该底线的基础上推动企业自觉遵守应用规则，进行自我规范。

（三）对个人信息主体的基本权利缺乏重视

人脸识别技术应用的法律规制必须以充分保障个人信息主体的基本权利为前提，保障个人主体具有充分的知情权、同意权等权利。具体而言，在收集人脸信息时，应有相应法律规定需要充分告知个人主体信息采集需求并征得其同意；采集完成后，如何存储、使用也应当有必要的法律限制。

而目前我国法律在人脸识别技术领域明显缺乏具体法律规范，虽有部分规定体现出对公民的具体人格权的保障意识，但是对于一些侵犯到公民人格权的行为的人脸识别情况却没有规定相应的惩罚，导致公民的人格权在人脸识别技术应用领域中看似被法律庇护着，事实却是缺乏实质上的保护，体现出了目前法律对该技术领域下的公民人格权保护较低的重视程度。

四、关于人脸识别技术的法律规制建议

（一）完善立法，明确主体责任标准，设置强制性法律义务

现阶段我国对人脸识别技术应用的立法尚未完善，目前仅有《民法典》《网络安全法》等有零星的法律规定。现行的《个人信息保护法》和《数据安全法》仅同样原则性地规定了“推进针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准”。以上立法并未形成专门体系，缺少可操作性。我们应当整合并细化相关立法，借鉴欧盟的《通用数据保护法规》的人本化立法，明确保护公民的个人信息安全，规定公民个人信息的收集使用的范围，同时规定禁止技术应用的黑色领域、不可以应用技术的具体情形、进行监督管理的部门以及部门职责措施、违反法规的惩罚措施等，从而加强对人脸识别技术领域的规制力度。

目前地下灰色数据交易链暗潮涌动，对我国信息安全有着重大隐患，故需设置人脸识别应用标准以及人脸识别技术市场准入标准，明确违法惩罚，增加技术滥用后的违法成本。由于法律的不完善性，主体责任难以确认，鉴于人脸识别信息作为生物信息特征具有唯一性的特点，法律应当对数据控制者施加强制的收集、使用、存储以及销毁方面的强制性法定义务，以保障数据安全。在当公共执法机构基于公权力强制审查相关内容，则此种不区分特定场景和合理事由，没有限制地向第三方公开个人面部信息的做法，会被迫强制数据控制者披露信息。故此，应确定数据控制者披露信息的法律义务，规定除数据主体同意外，数据控制者只有存在政府或司法机关强制命令之时，才可向执法部门公开披露人脸识别信息。

（二）厘清人脸识别技术应用边界，推动监管完善

1.明确技术应用范围

在我国，对于该项技术而言，法律并没有明确技术应用的范围。目前因没有明确技术应用范围而难以决断的情况有：该技术是否能被私人应用于获取他人的面部特征信息，例如私人企业通过人脸识别技术手段，收集入访者的面部信息的合法性；该技术是否能被应用获取面部信息进行交易获利，例如应用该技术获取公众人物面部照片用于转卖的应用行为。

立法应当明确以保护公民个人信息权利为前提，符合市场和科技形势，合理合法的技术应用范围，坚持特定范围内的“合法、必要、正当”原则，从而可以避免公私随意采集、使用、出售个人信息，保障公众信息安全。［5］

2.明确信息收集权利的机构部门

我国应当明确规定有权力收集公民个人信息的部门机构。未来法律应当明确规定工信部门和公安机关可以进行公民个人信息的收集，原因在于：工信部门是维护我国信息安全的重要部门，而公安机关是维护我国社会治安的重要部门，工信部门和公安机关收集公民信息，都能对公民个人信息的安全提供有效保障，降低信息泄露的可能性；赋权给工信部门后，有利于促进其出台有关采集、使用和处理公民生物信息特征的规则和标准；赋权给公安部门收集公民信息，可以使获知违法犯罪人员的较为具体的情况，有利于其抓捕罪犯，打击违法犯罪行为，维护社会治安秩序。为了不使部门权力膨胀，可以借鉴美国华盛顿州的《人脸识别专门法案》，使用技术收集公民个人信息时，向司法部门进行报备，从而达到限制权力的目的。

明确技术应用范围和信息收集部门机构，对于监督主体来说，有利于强化监察力度，明确监管范围，避免出现难以判断技术应用是否违规的情况。除此之外，有利于统筹监管数据库，加强监管保护和加固技术措施的维护，避免企业或其他部门滥用职权，从而可以降低不必要的危险因素。

（三）尊重个人信息主体权利，坚持“合法、正当、必要”原则

对于公民的人脸信息数据的收集、控制者，需要在一定范围内为其运用该数据的权利进行限制，以保障个人信息主体的权利不受侵害。数据收集、控制者在必要收集个人面部数据的情况下，原则上不得对不相关人士或其他方面披露；且应赋予个人信息主体一系列数据权利，例如获取人脸识别技术使用目的的知情权，将其人脸信息收纳在人脸识别数据库中的同意权等。在条件允许的情况下，需要取得用户的面部识别信息时，应当及时征求个人同意，可以借鉴欧盟“GDPR”法案中“自由给予、明确、具体、不含混”的要求，明确主体的同意性质，对非自愿情况下的被动同意表示应不认为是实质同意。人脸所蕴含信息具有较高的安全风险，而且潜在存有更为广泛的数据信息内容。所以，在应用人脸识别技术，采集个人面部信息时，应当谨慎评估其采集、应用的行为，认定有无必要情况，坚持“合法、有序、正当、必要”的原则。