□陈 涵

人脸识别在中国的发展起步于20世纪90年代末，在经历了二十多年的发展历程后，其在技术上取得了巨大的进步，并被广泛运用于社会的各个领域之中。尤其是在疫情期间，人脸识别技术在人口流动管理、体温检测等方面发挥了重要作用。然而这项生物识别技术在给社会的经济发展与公民的个人生活带来便利的同时，也让公民的个人信息安全面临着巨大的挑战。

一、人脸识别技术面临的法律风险

人脸识别技术是基于人的面部特征，用摄像机或摄像头采集含有人脸的图像或视频，并自动在图像中检测和跟踪人脸，进而对检测到的人脸进行识别的一系列相关技术。与其他类型的生物识别方式不同，人脸识别具有非接触性、唯一性的特点。一旦泄露，不管是政府部门还是企事业单位，都将会面临巨大的法律风险。

(一)政府使用人脸识别技术所面临的法律风险。随着现代化进程的进一步深入，各地人口的流动性也在持续加大，人口构成成分也越来越复杂。在这种新形势下，政府在人员管控与安全防范这两个方面都将面临着巨大的挑战[1]。这也就意味着如何在公共安全领域内高效、快速地完成公民的信息采集，进而保障公民的人身权利，成为了政府工作中的重中之重。因此，为了提高工作效率，政府会将人脸识别技术作为日常办理公共事务的一个重要手段。但是在社会公共领域内使用人脸识别技术，不免会发生公权力与私权利互相冲突的问题。例如安徽省阜阳市率先启用行人闯红灯抓拍系统，对于擅闯红灯的人，该系统会通过人脸识别的方式自动获取该公民的个人信息，并将其个人信息以及闯红灯的抓拍画面在电子显示屏上进行播放与曝光，而在曝光的信息上，除了有公民的姓名和性别，还有公民的身份证件与家庭住址。针对这一问题，法理上说当公权力与私权利产生冲突时，应当遵循公权优先原则，但并不意味着政府要以过分牺牲公民的私权利为代价去维护社会的公共安全[2]。因此对于政府使用人脸识别技术的情形，最重要的是明确公权力与私权利之间的界限，在哪些场合下，政府能够使用人脸识别技术以及在哪些场合下，政府不能够使用人脸识别技术。

(二)企业使用人脸识别技术所面临的法律风险。企业作为人脸识别系统的设计者、经营者与使用者，其所面临的法律风险也是相当高的。从企业采集用户人脸信息的方式上看，在线上，大多数企业则是通过一揽子授权的方式来获取用户的人脸信息[3]，用户一旦不同意该企业获取自己的人脸信息，就无法得到该企业的服务。而在线下，由于人脸识别具有非接触性、隐蔽性强、可远距离采集等特征，就使得人们往往无法及时发现人脸识别的存在，也就无法做出相应的意思表示。例如在2021年的3.15晚会上，主持人曝光科勒卫浴、宝马、Max Mara等品牌的部分门店采用人脸识别技术非法搜集消费者的个人信息，然后评估出消费者的经济能力，给消费者推荐或抬高自己的商品价格，从而导致消费者的合法权益受到损害；从企业内部储存的人脸数据上看，企业主要是将人脸作为一个身份认证方式。在前期，企业会将用户的信息数据保存在企业内部的数据库中。如果用户想使用自己的人脸去进行某一项操作时，系统会自动将扫描到的人脸图像与数据库中所保存的人脸图像进行比对，一旦比对成功，便可实施下一项的操作，从而实现对用户个人身份的识别。但是数据库本身如果存在一定的安全隐患的话，一旦遭受外部人员的技术入侵，就容易导致大量用户的个人信息惨遭泄露；从企业运行人脸识别的算法上看，尽管人脸识别技术逐渐趋于成熟，但是在现阶段仍存在一些不足之处，因此极易出现被某些不法分子冒用，贩卖公民个人身份信息的情况发生。在“净网2020”行动中，深圳龙岗警方发现一些不法分子利用非法获取的公民照片，将照片进行一定的预处理，并通过AI换脸技术，继而骗过企业的人脸识别系统从而完成认证，最终导致公民的合法权益受到了侵犯。同时，由于大量采集的生物信息储存在统一的平台内，导致数据量呈指数倍增长。若同时运行或输出各种不同的数据，平台程序多次频繁运行，势必造成输出数据错位和内部信息错乱的问题，为信息数据的储存和运行带来安全风险[4]；从企业应用人脸识别技术的场景上看，除了在刷脸支付、解锁解密等领域内得到应用，企业还会将人脸识别技术应用到一些娱乐领域中，其中最为典型的便是“ZAO-逢脸造戏”APP中的换脸娱乐功能。其玩法是通过实时拍摄人像或上传已有的人像图片替换到视频素材或者其他图片素材的人像上，而这极有可能导致用户侵犯他人肖像权，从而承担一定的法律责任。

二、欧美对于人脸识别技术的法律规制现状

(一)美国对于人脸识别技术的法律规制现状。美国在联邦层面尚没有制定专门的法律来规制人脸识别数据的收集与使用，一旦遇到因人脸识别技术所引发的案件时，主要是以美国各州制定的隐私保护法案作为诉讼的主要依据。同时，由于历史传统文化及文化驱动力的不同，美国在保护个人数据主体权利的基础上，侧重于促进数据共享流动与数据的商业利用价值[5]。因此在人脸识别的数据保护上，美国对于政府和企业的规制态度是有所不同的。在政府层面，绝大多数州要求政府及其执法机构禁止在社会公共领域内使用人脸识别技术。以旧金山市为例，该市于2019年5月通过《停止秘密监视条例》(以下简称《条例》)，在内容上该条例禁止政府部门使用人脸识别技术以及依靠该技术获取公民的个人信息，这使得该市成为美国第一个禁止使用人脸识别技术的城市；而在企业层面，美国的大多数州在法律上并没有对企业使用人脸识别技术实行诸多限制，只是简要规定了企业不能将人脸识别技术交由政府进行使用以及企业在采集公民个人信息的过程中应当遵循知情同意的原则。这就意味着对于美国的企业来说，其主要是靠各行业之间的严格自律来实现人脸数据的隐私保护目的，这也就导致了在美国境内发生过多起公民诉美国科技公司的案件。以“Facebook侵犯用户隐私权”的案件为例，在2020年1月，起因是Facebook在未经用户许可并告知使用期限的情况下，从伊利诺伊州数百万用户照片中获取人脸数据，导致该州的三位公民分别向法院提起诉讼，最终以Facebook向该州用户支付6.5亿美元的和解费并将“人脸识别”的默认设置调整为“关闭”状态来宣告此案件的结束。

(二)欧盟对于人脸识别技术的法律规制现状。欧盟在人脸识别领域并没有制定专门的法律法规，因此在人脸识别的法律适用问题上主要是用《通用数据保护条例》(英文简称“GDPR”)来加以规制。相较于美国重点限制公权力随意采集公民的个人信息，但对企业发展人脸识别技术留有较大的空间所不同的是，欧盟在人脸识别的应用上采取统一禁止的管理模式。其认为相较于人脸识别技术给社会带来的巨大便利，公民的个人隐私安全显得更为重要。因此无论是行使公权力的政府还是行使私权利的企业，在使用公民人脸信息的方面，都必须遵守以“禁止处理”为原则，以“明示同意，法定必要”为例外的规定[6]。例如GDPR的第7条赋予了公民的知情同意权，其要求无论是人脸识别技术的开发者、经营者还是使用者，收集公民个人信息的前提便是在用户充分知情的情况下做出的以书面形式同意的意思表示。同时该条文还赋予了公民撤回同意的权利。一旦公民撤回同意，控制者便自始丧失使用公民个人信息的权利。此项规定的设立充分地保障了公民的合法权益。而在收集人脸信息的合法性与必要性上，GDPR的第6条对此情形进行了列举，如基于数据主体的知情同意、履行数据主体参与合同的必要性、执行公共利益领域的任务的必要性等六种情形。因此在“Anderstorps高中侵犯学生隐私权案”中，Anderstorps高中通过以人脸识别的方式来记录学生的出勤情况，该行为被认为是侵犯了学生的个人隐私权。其主要原因便是学校完全可以通过其他方式来记录学生的考勤情况，缺乏使用人脸识别技术的必要性。最终瑞典数据保护机构对其作出20万瑞典克朗的罚款，并要求立刻停止该行为。

与此同时，为了防止数据控制者与数据处理者在使用过程中滥用权利，GDPR为此严格规制控制者和处理者控制、处理数据的行为。对于数据控制者来说，在使用数据时需要对数据进行匿名化处理并进行一定的加密措施。而对于高风险的数据处理活动，则需要到监管机构进行事前评估并设立数据保护专员来对数据进行一定的保护。一旦有信息数据泄露的情况发生，数据控制者应当自知道事故发生之日起3日内通知监管机构并公布数据泄露报告；对于数据处理者来说，主要是通过与控制者签订的合同来加以限制。签订合同的双方在合同中需要明确处理数据的目的、类型、期限以及明确双方之间的权利业务关系；而在监管机构的监督与公民的救济方面，监管机构在监管的过程中一旦发现有违法收集、滥用权利等情况的发生，其有权要求数据控制者或数据处理者修改、删除或者销毁个人数据并对其处以罚金。而对于不服监管机构作出的决定或者针对监管机构的不作为，公民有权对其进行诉讼，并要求其承担一定的法律责任[7]。

对比以上两种立法模式不难发现，无论是美国还是欧盟，他们对于人脸识别的使用均持一种比较严谨的态度，究其原因便是他们希望该技术能够尽可能地造福社会，而不是给公民带来一定的副作用。然而相较于欧美较为严格的限制乃至禁止政策，我国对于人脸识别的使用则采取一种开放、包容的态度。因此，从人脸识别的法律层面上讲，各国应立足于本国国情和本国的经济发展状况来进行制定相应的法律法规。但对于他国的一些治理经验和治理方式，却是可以值得借鉴与使用的。

三、我国对于人脸识别领域内的法律规制现状

我国对于人脸识别的保护模式跟欧盟一样，采用的是综合性立法保护模式。《网络安全法》《民法典》《个人信息保护法》《刑法》以及最高院颁布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《人脸识别司法解释》)等司法解释初步构建起了人脸识别的法律规范体系。

在《民法典》和《网络安全法》中，立法者将人脸识别作为个人信息中的生物识别信息来加以保护。对于公民个人信息的保护，《民法典》第1,034条第3款规定：个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。从中便可看出，《民法典》对公民的私密信息进行了“隐私权+个人信息”的二元保护模式。根据这一规定，在公民私密信息的保护问题上应优先适用隐私权的规定，隐私权中没有规定的，才能用个人信息加以保护。其中前者指的是自然人所享有的私人生活安宁与私人信息秘密依法受到保护，不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权，后者指的是对如自然人的姓名、出生日期、身份证件号码等个人信息的保护，具体可分为对一般个人信息的保护和对敏感个人信息的保护。而对于人脸来说，由于人脸常年暴露在外的社会公开性，故难以将其认定为公民的私密信息，只有通过电子设备所扫描识别出人脸背后所蕴藏的个人信息才属于公民的私密信息。一旦人脸背后的个人信息被泄露或者被非法使用，就容易导致自然人的人格尊严、人身安全以及财产安全受到侵害，因此法律更加注重的是人脸信息背后所在的人身属性和财产价值，而这便是一般个人信息与敏感个人信息的本质区别所在。所以对于人脸识别，法律应当制定更加严苛的规定。而在最近颁布的《个人信息保护法》中，立法者将人脸识别定性为敏感个人信息，并从公权力和私权利这两个角度对人脸识别做了专门性的法律规定。

在公权力的领域中，《个人信息保护法》着重规定了国家机关作为个人信息处理者在处理个人信息方面，以及国家机关作为一个行政执法机构在监督企业、商家上的一些法律条文。前者要求国家机关在处理个人信息时，具有向公民告知的义务。同时在公权力与私权利的边界问题上，法律规定国家机关在行使行政权力时应当遵循比例原则，这也就意味着在维护社会重大利益的前提下，政府部门可以通过人脸识别的方式采集公民的个人信息，如利用人脸识别技术来抓捕罪犯、利用人脸识别技术来确定患者的行动轨迹。但如果政府是基于一般性地维护社会公共利益的目的而使用人脸识别技术，如行人闯红灯抓拍系统，该行为则便违反了比例原则；而对于后者来说，法律规定政府及其各职能部门应当在各自的职责范围内负责个人信息的保护与监管工作。因此对于企业、商家违反法律规定处理公民个人信息的行为，行政机关有权要求对其进行一定的行政处罚，构成犯罪的，可以按照《刑法》的规定，依法追究其刑事责任。

在私权利的领域中，《个人信息保护法》规定，企事业单位在人脸识别采集与使用的过程中，除了遵循“合理合法、公开透明”的原则，还应当遵守“特定目的+单独同意”的原则。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下以及征得公民的单独同意之后，个人信息处理者方可处理敏感个人信息。同时在个人信息处理者的义务上面，《个人信息保护法》在借鉴欧盟GDPR的基础上也作出了明确规定。其中第51条规定为了防止个人信息泄露、篡改、丢失，企业不但要制定相应的操作流程和应急预案，还需要定期对企业的内部员工进行一定的安全教育培训；第55条、56条则是对企业处理方式的补充；第58条则表明企业具体履行的义务有哪些。因此在私权利的领域中，《个人信息保护法》相比较于《民法典》来说，前者在保护公民个人隐私的基础之上，更加注重公民与信息处理者之间的纠纷。所以对于《个人信息保护法》中的民事规范部分，应当基于特别法优于一般法的原则，优先适用于《个人信息保护法》中的规定[8]。

四、人脸识别领域的法律规制建议

在信息科技时代，个人信息保护已成为广大人民群众最关心的利益问题之一。《个人信息保护法》和《人脸识别司法解释》的出台，标志着我国个人信息保护制度逐渐走向成熟，对我国法治化建设进程有着重要意义。但是，光靠我国现有的法律进行保护，还是远远不够的，在这其中还有许多需要完善的地方。

(一)完善人脸识别领域下的行政治理模式。《个人信息保护法》在第六章节确立了由国家网信部门统筹协调，政府及其职能部门共同管理的行政治理新模式。在此章节的内容中，第60条明确了个人信息保护部门的范围；第61条规定了个人信息保护部门具有调查处理、指导监督、组织企业进行测评等义务；第63条、第64条规定了个人信息保护部门具有约谈、查阅、查封扣押等行政权利。但是在具体场景中，到底由哪个部门来进行治理、究竟该如何治理，法律对此并没有作出具体的规定。与此同时，关于本法中“法律责任”的部分，法律规定对于违法处理个人信息的个人信息处理者，经责令改正拒不改正的，可以并处一百万元以下罚款。情节严重的，可以并处五千万元以下或者上一年度营业额百分之五以下罚款。对直接负责的主管人员和其他责任人员处以十万元以上一百万元以下的罚款。动辄上百万元、上千万元的罚款，设定的罚款数额之高，这虽然能体现出立法者打击滥用人脸识别技术乱象的坚定决心，但由于其制定的范围过于宽泛，在实际的执法过程中容易导致处罚数额不够合理的情况发生。因此在现阶段，我国需要制定相应的行政法规和部门规章，并将其中的问题加以细化，从而更好地完善人脸识别领域内的法律规制体系。

(二)完善人脸识别相关技术，保障公民个人隐私安全。在现有的法律规制体系中，立法者在人脸识别的应用方面作出了具体的规定，但是在人脸识别领域内的算法与数据方面，如黑客入侵、输出数据错位等问题，法律对此很难作出详细的规定。由此看来，对人脸识别领域内算法与数据的完善就显得尤为重要。针对这一问题，企业对外需要持续引进高端人才，对内需要持续加大研发投入，从而进一步地提高企业的自主创新能力；政府需为企业创造良好的运营环境，鼓励企业进行知识产权创新，从而提高人脸识别算法的精确性与安全性[4]；企业将人脸识别技术投入到商业应用之前，应当进行企业内部与监管机关的双重评估，以确保算法在之后的运行过程当中没有技术问题发生，从而更好地保障公民的个人隐私安全。

(三)完善事前防范机制，充分保障公民的知情同意原则。知情同意原则是人脸识别保护的核心和基础，也是保护公民个人信息的第一道防线。但是在面对现实生活中“知情同意原则”过于形式化的问题，仅仅靠法律给予公民事后救济的权利还是远远不够的。只有将事前防范与事后救济结合起来，才能充分保障公民的合法权益。对此，一方面可以通过宣传教育的方式来增强公民的个人信息保护意识；另一方面可以引入公众参与机制，让越来越多的公众参与到企业日常运营的监管上来，从而避免相关事件的发生[9]。另外，从企业的角度上看，无论是在线上还是在线下，使用人脸识别的前提必须是充分告知，但是在采取的具体措施上可以不完全相同。比如说在线上，有些应用软件通常以一揽子授权的方式来征得用户的同意，还有些应用软件通常以条款的方式来获取用户的同意。对于前者来说，《人脸识别司法解释》对此现象作出了禁止性规定；对于后者来说，条款描述的内容偏多，这使得绝大部分用户在使用前都不会仔细认真地观看，而这有可能导致企业在征得用户同意的过程中，通过提供格式条款的方式来免除其责任，加重对方主要责任的情况发生。因此在线上，当企业以授权的方式来征得用户的同意时，还应当要求对用户进行书面告知。对于书面告知的内容，其重点部分可以通过字体加大加粗的方式来引起用户的注意[10]。同时，无论是企业还是政府，都应当设立并公布相应的投诉渠道，从而更好地保障用户的知情监督权；在线下，企业通常以人脸识别的方式来收集消费者的个人信息，其主要目的是为了更好地进行销售，从而获得更多的经济利益，因此企业在商业领域内使用人脸识别技术的时候，需要明确人脸识别技术的使用范围。一旦企业基于商业目的使用人脸识别技术，在使用之前就必须要征得消费者的同意，反之则需要向消费者提供能够解决问题的其他替代性方案，从而保障消费者的合法权益不会因此受到侵犯。

五、结语

在大数据时代的背景下，科技的发展意味着将产生各种新事物，而对于新事物给大家带来便利和舒适的同时，亦会引发诸多的法律问题。因此在面对人脸识别技术应用可能导致的问题和引发的科技风险，我国在进行精细化利益衡量的基础上，应当采取更加开放、包容的态度，从而实现人脸识别技术应用与公民个人信息保护之间的利益平衡[2]。