西南石油大学 陈丹

2021年4月9日，浙江省杭州市中级人民法院对在社会上引起广泛讨论的个人信息侵权案—“人脸识别第一案”，依法做出了二审判决。判决内容包括：维持一审判决的第1项、第2项。野生动物世界赔偿郭兵1038元，其中包括合同利益损失、交通费等；此外，动物园删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息，以及指纹识别信息；驳回郭兵其他诉讼请求。虽然该案件涉及的金额小，但是在社会上引起了大众对于人脸识别信息的关注和对人脸识别技术运用法律规制的思考。

人脸识别技术的快速发展，使其在社会生活中已具有普遍性。其应用于商业、门禁、司法等各个领域。人脸识别技术给我们的生活带来了一定的方便，但是随着人脸识别技术的迅速普及，其应用风险也日益凸显。人脸识别信息的随意、广泛采集以及泄露等现象会对个人的人身、财产、隐私等造成一定的风险，而我国目前并无仅针对人脸识别技术的法律规定，因而该如何对人脸识别技术应用进行法律规制的研究就显得尤为急切与重要。

一、人脸识别技术规制的必要性

（一）人脸识别信息的唯一性

欧盟正式颁布、实施的《通用数据保护条例》中对个人生物识别信息的定义：“生物识别数据是通过自然人的物理、生物或行为特征进行特定的技术处理而得到的个人数据。这类数据生成了那个自然人的唯一标识，如人脸图像或指纹数据①。”人脸识别信息与公民的姓名、账号密码等个人信息不同，其具有唯一性、不可更改性。若公民的账号密码等泄露或者丢失，那么可通过更换救济保护，而公民的人脸识别信息一旦泄露则很难进行更改。

（二）人脸识别信息的特殊性

人脸识别信息是目前应用最广泛的生物识别技术之一，其特征之一就是可以在自然人毫无察觉的情况下进行人脸识别信息的捕捉，比如监控摄像头、手机摄像头等。要想获得自然人的传统个人信息是需要通过自然人的同意以及接触性操作才能取得，而对自然人人脸识别信息的获取则是非接触性的，直接通过设备捕捉即能取得该信息，因此自然人人脸识别信息被非法获取的危险性更强，这就是人脸识别信息的特殊性。

（三）人脸识别信息使用的风险性

人脸识别信息在采集后，由于其需要及时建立信息库进行存储，而该信息库的数据是存在被盗窃、泄露的风险的。人脸识别数据作为一种唯一的、不可更改的自然人生物信息，若泄露则是永久性泄露，会对该自然人造成不可逆转的损害。人脸识别信息的使用会涉及对数据的传送、识别、保存等流程，随着人脸识别技术的广泛运用，数据市场不断扩大，信息泄露的风险也会随之增加。

二、我国人脸识别技术应用的法律问题

（一）缺乏专门性法律规定

当前我国对公民个人信息保护的专门性法律还处于草案阶段，并未通过实施，因此对属于公民个人生物信息的人脸识别数据的保护只能适用《民法典》关于个人信息保护的规定以及其他法律法规中的相关条款进行适用。虽然有关个人信息的规定在《个人信息保护草案》中有所体现，即个人信息为通过电子记录或其他方式记录的，与已经识别或可识别的自然人相关的各类信息，人脸识别数据也属于该草案规制的对象，但是公民个人信息不仅包括可识别的自然人生物信息，同样也包括传统的个人信息，因此该草案对公民人脸识别信息的法律保护以及应用的规制的宽泛，不具有专门性以及针对性。由于人脸识别信息具有与传统个人信息不同的特点，因此在面对人脸识别技术运用中的一些特殊情况，该草案及《民法典》可能会存在无法适用的情况。

（二）缺乏有效的监管措施

随着人脸识别技术的广泛应用，人脸识别数据的广泛采集，人脸识别技术产业随之发展壮大，人脸识别数据泄露的可能性增加。目前我国对于人脸识别技术的监管采用的是“行政约谈”的方式，即当企业或者单位在运用人脸识别技术时存在数据泄露的风险或者隐私协议存在不规范等情形时，我国工信部网络安全管理局就会立即约谈该企业，并且要求该企业在企业内部进行有效自查、整改。目前我国对人脸识别技术的应用风险的规避更多依靠的是该技术应用企业自身的自觉性和责任感。公权力机关对于该技术的监管力度不足，规制程度不够。

（三）缺乏相应的救济措施

《中华人民共和国民事诉讼法》第六十四条明确规定，当事人在提起民事诉讼时对自己所提出的主张，当事人有责任提供证据。由于人脸识别技术是新兴广泛运用的技术，因此目前并未出台专门的法律。由于人脸识别广泛应用于大众的生活中，随之也出现了更多的关于人脸识别技术的侵权问题，当企业在运用人脸识别技术时导致使用者信息泄露或者不合理使用，若被侵权人想提起诉讼以保障自己的权益，就需要遵守民事诉讼法的规定，由被侵权人提供证据证明企业泄露或者不合理使用自己的数据信息，而被侵权人往往会因为其采集能力受限以及信息不对称等原因无法提供证据，因此会导致其权益遭受侵害却难以救济甚至无法救济的情况发生。

三、人脸识别技术应用法律规制路径

（一）加快专门立法

我国目前对人脸识别技术规制所采取的“软法先行”的规制方式在一定程度上是符合我国国情的。但是随着人脸识别技术的不断发展，软法对于规制该技术应用时就存在不足之处了，由于我国关于规制该技术的条文比较分散，在适用条文时需要在各种法律法规中查询进行汇总，因此会增加适用的时间成本和人工成本，且由于法条分散在适用时也可能会出现未合理适用的情况。此外随着人脸识别技术的不断发展进步，其需要规制的内容以及要求也应当有相应的变化且需要有具体性。因此，应当加快立法脚步，制定关于规制人脸识别技术的专门性法律。美国第一部关于规制生物标识的法案—《生物识别信息隐私法案》(Biometric Information Privacy Act)，于2008年在美国伊利诺伊州通过②。在立法方面，我国可以对美国立法方面的经验进行借鉴，制定专门的生物识别信息规制法律。

（二）加强监管设置

政府机构由于公权的高权性色彩浓厚，“命令-控制型的行政规制”特征明显③。强有力的监管能够更好地规制信息采集主体的行为，但是目前我国对于人脸识别数据的监管仅限于有限的行政监管以及单位自身监管的方式，对于单位泄露风险等也仅限于行政约谈。由于数据产业的崛起，数据信息被大量采集和使用，因此，对于数据信息采集与使用的监管也应当加强。数据信息泄露会对自然人造成不可逆的损害，因此对于人脸识别信息的监管应当在法律中明确以政府监管为主与企业自查相结合的方式成立专门的政府监管部门，并且对于泄露数据信息的企业应当作出实质性的行政处罚，比如行政罚款等经济型惩罚等。

对人脸识别技术应用的监管的力度以及监管方式可以按监管对象的类型不同而有所区分。目前美国对于人脸识别的规制与监管主要分为两类，一是对政府部门使用人脸识别技术的监管；二是对非政府部门使用人脸识别技术的规制④。我国不仅非公权力机关使用人脸识别技术，公权力机关也在使用人脸识别技术。但由于公权力机关与非公权力机关使用人脸识别技术的目的、范围以及方式不同，因此，为了能够更有效、有针对性地规制人脸识别技术的应用，对于人脸识别技术的监管可以进行分类监管。比如事前、事中监管的方式应当主要应用于政府部门在采用人脸识别技术的情形之中；而对于非政府部门，应当主要采取事中、事后监督的方式。

（三）明确救济措施

“谁主张谁举证的原则”是目前我国民事诉讼法所明确的侵权之诉中的一般性原则，人脸识别数据泄露侵权在进行侵权之诉时是适用该权责的，但是在人脸识别信息这类侵权中，由于被侵权者在举证过程中处于弱势地位，因此，为了更好地坚持公平原则，法律应当在这类型诉讼中做出特殊规定，信息采集单位承担过错推定责任，由其举证自己对于泄露数据信息没有过错。此外，随着人脸识别技术侵权情况的增加，可适当明确不同侵权事件中的救济程序以及赔偿金额等。对于人脸识别技术应用的风险产生的侵权行为，涉及个人人格或财产等权利的相关损失，均应获得合理、合法赔偿。与此同时，一些严重侵犯个人隐私权的现象应对其采取严厉的刑事制裁。

注释

①李爱君,苏桂梅主编.国际数据保护要览[M].北京:法律出版社,2018:344.

②袁俊.论人脸识别技术的应用风险及法律规制路径[J].信息安全研究,2020,6(12):64-72.

③宋华琳.论政府规制中的合作治理[J].政治与法律,2016(8):14-23.

④邢会强.人脸识别的法律规制[J].比较法研究,2020(5):51-63.