陈瑞英

（石家庄铁道大学 文法学院，河北 石家庄 050043)

0 引言

随着人脸识别技术的发展和多场景应用，其所存在的侵权风险也不容忽视[1]。为了防范侵权风险，国外有些城市禁止了人脸识别的使用，如美国的旧金山、萨默维尔等[2]。作为世界上人脸识别技术发展和运用最快，应用规模和积累数据世界第一的国家[3]，我国政府和学术界高度关注技术应用时的权利保护。国家通过立法和制定规范等方式，包括《中华人民共和国宪法》《中华人民共和国民法典》《中华人民共和国网络安全法》《信息安全技术个人信息安全规范》、《公共安全人脸识别应用图像技术要求》等，保障公民权利不受新技术应用的侵犯。学术界对人脸识别特征、人脸识别的法律规则及应用风险控制等进行了广泛研究，提出了很多有价值的建议，但侵权事件仍时有发生，侵权行为表现形式多样，如用户协议不规范，不依法依规收集使用用户个人信息[4]、强制使用人脸识别[5]、人脸数据泄露等[6]。在应用人脸识别技术时，如何保护公民权利成为备受关注的问题。

我国铁路客运量大，为了让旅客的出行更加方便和快捷，提高车站的检验效率、维持治安稳定，从2017年春运至今，大中型车站相继配置了人脸识别设备，借助人脸识别技术完成人、证、票的核验，大大提高了通行效率。铁路客运遵循法律要求的“合法、正当、必要”原则合法合理应用人脸识别技术，可以为更多领域防范侵权发生提供有益思考。

1 铁路客运人脸识别技术应用可能引发的侵权风险

我国铁路客运量大，对速度、效率、安全和秩序要求更高，人脸识别技术的应用给人们出行带来了极大的便利，但因人脸识别技术具有非接触性、智能性、网络依存性和算法保密性等技术特征和形式性、易于复制和传播性、人格性和财产性等法律特征，应用不当可能引发侵犯旅客的隐私权、知情权和自主选择权、个人信息甚至数据权的风险。

1.1 旅客的隐私权

隐私是公民个人拥有的，与公共生活无关，极具个人私密特征，不愿公开、不愿让他人知晓的私密空间、私密活动、私密信息等，如住所、行踪、姓名、性别、收入、生物识别信息等。旅客的隐私权是指旅客对自己的隐私所享有的控制、决定、不被他人非法知悉和利用的权利。

根据法律规定，通过人脸识别所抓取的旅客面部特征属于旅客个人隐私，必须经过旅客授权才能使用。由于人脸识别技术的隔空捕捉信息和网络爬取数据等特征使其在具体应用过程中有能力绕过对方知情同意，在未经授权或超出用户明确许可的收集目的之外，采集、使用、流转他人的面部信息数据[7]。

1.2 旅客的知情权和自主选择权

知情权是公民知悉有关人脸识别技术使用的必要性、程序、所采集信息的使用目的、使用范围和使用方法及最终去向的真实情况的权利。自主选择权是公民在知道真实情况的基础上，自主做出是否选择人脸识别技术方式的权利。

铁路客运在应用人脸识别技术时应当把抓取旅客脸部特征信息的目的、使用范围、使用方式等情况如实告知旅客，并提供可供旅客选择的其他方式，使旅客在知道真实情况的前提下，自主选择是否使用人脸识别。

1.3 旅客的个人信息权

我国法律和相关政策明确界定和列举了公民个人信息权，如《中华人民共和国网络安全法》第76条、《中华人民共和国民法典》第1034条和《信息安全技术个人信息安全规范》(GB/T 35273—2020)。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括隐私信息和非隐私信息。个人信息权是指公民对于个人信息享有决定如何使用、是否允许他人知悉与使用及允许他人如何使用的权利。

人的面部特征包含十分重要的个人信息，铁路客运应用人脸识别技术快速准确完成旅客识别，根本原因就在于对旅客面部信息的收集和数据库中信息的比对。除法律、行政法规另有规定以外，应用人脸识别没有经过旅客知情同意而收集使用旅客个人信息，即构成对旅客个人信息权的侵犯。

1.4 旅客的数据权

大数据时代的数据具有巨大的经济价值和社会价值，被称为21世纪的“钻石矿”，成为各方争相获取的资源。人脸识别技术就是通过收集个人面部特征信息，将其“翻译”成数据，通过与数据库信息的数据比对完成识别。

人脸信息被广泛收集并形成大数据之后，可能会对个人隐私、个人安全、社会与国家安全带来风险和威胁。这种风险和威胁可能贯穿于人脸信息大数据形成与应用的始终[8]，具有长期性和极大的潜在危险性。旅客享有对其人脸识别数据的收集、使用的决定权。因此，针对全球每天有超过2500万条数据遭到入侵或泄露的现状，铁路客运在应用人脸识别技术时，应当合法获取、合法利用并安全存储旅客信息数据。

2 铁路客运对人脸识别技术的应用

人脸识别技术具有高效、便捷和精准的优势，使乘客只需“刷脸”，就能完成进站实名制核验[9]，不需要携带和出示更多的证件，为人工核验通道进站效率的10倍左右。从2017年春运开始，大中型车站相继配置了人脸识别设备，借助人脸识别完成人、证、票的核验，大大提高了通行效率。随着2020年6月20日起正式启动电子客票，人脸识别技术的应用更加广泛，但是铁路客运对人脸识别技术的应用始终保持着比较审慎的态度。

2.1 专业科研机构提供技术支持

铁路客运站使用的基于铁路实名制进站核验系统的人脸识别，是由专业科研机构研发并提供技术支持的，保证了技术的高质量、规范性和针对性。基于铁路实名制进站核验系统的人脸识别系统设计严格遵循安全性原则，保障系统安全稳定运行，保障旅客的信息安全，符合现有的铁路安全设计规范要求，确保系统核心交易不间断运行，确保系统核心数据不泄密，确保系统运行效率不降低，确保系统基础数据不被盗取[10]。

2.2 重视信息数据安全保护

铁路运输企业和主管部门重视通过制度化的方式对旅客信息数据安全进行保护和对员工进行信息数据安全教育。例如，通过制定和实施网络安全管理的各项制度保障旅客信息数据安全，员工违反规定泄露旅客信息将受到严肃处理。通过印发相关标准性技术文件规范自助实名制核验系统架构和产品技术条件。2015年1月1日起施行的《铁路旅客车票实名制管理办法》第10条和第16条则明确规定：“铁路运输企业登记、查验旅客身份信息，应当符合法律、行政法规和国家有关规定要求。铁路运输企业及其工作人员对实施车票实名制管理所获得的旅客身份信息及乘车信息应当予以保密”“铁路运输企业工作人员窃取、泄露旅客身份信息的，由公安机关依法处罚；构成犯罪的，依法追究刑事责任”等[11]。

2.3 合法获取和使用旅客信息

铁路客运应用人脸识别技术，主要用来核验“票、证、人”是否相符。通过抓取旅客面部特征信息，显示出旅客姓名、身份证号、购票情况等，与旅客身份证芯片里的信息进行比对识别，如果判断购票人、持票人、持证人和乘车人相符，闸机自动放行。否则，会被阻挡在闸机外不能乘车。因此，通过人脸识别获取的旅客信息与旅客实名购票时所必需的身份信息是一致的，不过多获取旅客其他信息，即只获取乘车所必需的信息。而旅客在购票系统提交的身份信息是旅客同意提交的。这就使铁路客运企业应用人脸识别获取和使用旅客数据符合法律要求的“正当、必要”，且经过被收集信息者的同意而具有了合法性。

2.4 防止旅客信息泄露

个人信息泄露的原因主要有3方面：一是掌握信息数据的主体为了某种原因主动把信息泄露给其他人，二是系统本身存在漏洞造成信息泄露，三是使用的设备或系统被技术性攻击导致信息泄露。个人信息泄露会造成信息数据超出了收集信息的使用目的和范围而被滥用。铁路客运应用人脸识别技术时，在专网内进行脸部特征获取和使用，采用分布式系统，利用闸机的读卡器进行信息数据的读取，并在终端完成信息比对，信息不上传到服务器，实行4级等保防护。核验系统只跟公安网和客票网联网，实时将信息传输到公安网，使公安机关实现对重点人员的监控。这样就最大限度地防范了旅客信息数据的泄露。

2.5 给旅客提供多种选择

人脸识别技术可以快速收集和处理公民的个人信息，但我国目前缺乏人脸识别技术的专门法律规定。根据《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》和《中华人民共和国民法典》等法律和有关公民信息保护的政策规定，应用人脸识别技术收集和使用公民个人信息时，应当经公民同意。如果公民不同意，则应该提供其他选择方式。铁路客运对旅客进行票证核验时，车站提供人工核验和人脸识别核验2种方式，旅客可以根据自己的需要进行选择。国家铁路局制定于2021年2月1日实施的《市域(郊)铁路设计规范》中明确提出市域(郊)铁路乘车凭证可选用电子客票(如二维码、身份证)、生物特征票(如人脸识别、指纹识别)等，充分尊重了旅客的权利。

3 铁路客运应用人脸识别技术侵权防范的对策

铁路客运对人脸识别技术的应用，客观上从多角度保护了旅客的权利，但旅客权利仍存在被侵犯的可能。例如，随着科技的进步，盗取信息数据的技术也在发展，在人脸识别旅客信息数据的防护上，铁路客运需要随时防范旅客信息被盗取而造成信息泄露的风险，来保障旅客信息数据的安全。因此，为了使铁路客运在应用人脸识别技术时能更好地防范侵权，保护旅客权利，需要国家和社会构建起更加完善的制度+技术防控体系。

3.1 健全完善法律制度

我国虽然有公民隐私等权利的保护框架，但存在规定比较分散、比较原则、有些内容缺乏规定等问题。健全法律制度才能更好地发挥法律的功能，推动社会整体上进一步提升法律意识、道德水平和自律性。健全法律制度，需要尽量制定专门立法，保证内容的集中统一，对较原则的内容进行细化，增加可操作性。对缺乏的内容要尽快增加，如制定个人信息保护、信息数据流转、人脸识别等领域的法律规范，为旅客信息保护和铁路客运应用人脸识别技术侵权防范提供直接具体法律指引。

3.2 加强现有法律的实施

虽然我国目前缺乏人脸识别技术的明确法律规定，但加强现有法律的实施，增强法律的实效性，也是可以防范侵权，保护公民权利的。例如，我国《中华人民共和国消费者权益保护法》《中华人民共和国网络安全法》《中华人民共和国民法典》都规定了 “收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”这就需要加大法律宣传，培育公众的法律意识和义务观念，使大家不仅了解法律，还要遵守法律。

3.3 重视司法引导

司法不仅仅解决当事人之间的纠纷，还承担价值评判和法律评价的作用，发挥着社会主义核心价值观普及和行为模式的引导作用。针对我国民众普遍缺乏信息和数据保护意识的现状，司法机关应就人脸识别案件的审理和判决的法律依据进行深度解读，广泛宣传，使各主体认识到在人脸识别技术研发和应用上的权利和义务，预知违法行为及后果，从而选择合法行为。

3.4 强化行业自律

在人脸识别法律制度不完备时，需要提升企业的道德水平和强化行业自律。在一定程度上，客户信息数据权利的实现和企业的道德水平紧密相关。人脸识别技术领域的行业自律可以通过以下方式得到强化：增强企业的责任意识和道德感，坚持科技为人类服务的宗旨；树立行业榜样，发挥示范和辐射作用；形成行业治理共识，制定行业规范和标准，并认真执行。

3.5 利用技术支撑

除不断探索新安全技术，继续打造更加完备的侵权防范体系外，还应从组织机构、安全性措施、技术保障、区块链技术应用、技术安全保障联盟等方面入手，加强技术支撑。①人脸识别国家标准工作组不仅作为制定人脸识别国家标准的组织机构，还应当作为人脸识别的技术引导和监管服务机构，审核算法、加强监管等，参与人脸识别侵权案件的侵权技术判断，用专业性保障人脸识别技术不被滥用[12]。②从产品研发阶段就嵌入有效的安全性措施，如建设人脸数据专网，人脸识别技术研究所需人脸数据均存储在专网内，训练建模研究均在专网内进行。③根据不同领域的实际需求，从技术上保障不发生侵权，如数据收集的合理适当，强化隐私保护处理技术、瞬间删除技术、信息存储安全技术等。区块链技术可以让信息数据来源、数据流通和数据利用路径变得清晰，即便经过无数次的转载、复制和交易，依然能够非常容易地确认数据的生产者、拥有者和使用者[13]，便于明确各环节主体的权利、义务和责任。加入技术安全保障联盟，如国家数据安全技术创新联盟、企业数据安全技术联盟、互联网金融身份认证联盟等[14]，为侵权防范提供专业安全技术支撑。

4 结束语

近年全球多发的人脸数据被窃取事件表明，人脸识别作为AI的标志性技术，在应用时应加强侵权防范，在法律指引下，发挥道德和行业规范的作用，保护公民权利。铁路客运站对人脸识别技术的应用，在提升服务水平和旅客体验的同时，有效防范了侵权风险，在全社会起到良好示范作用，并促使政府和学界深入思考，如何推进国家治理体系和治理能力现代化，制定出规范新技术发展和保护公民权利的有效制度规则，并从执法、司法等多维度保证制度的落实。