人脸识别技术的法律规制研究

2022-05-30赵倩

客联 2022年8期

赵倩

摘要：近年来人工智能迅速发展，人脸识别作为人工智能中一个发展迅速的分支，给我们的日常生活带来了巨大而便利，但与此同时也存在着巨大的风险。在保护个人信息安全的同时兼顾技术发展。文章在分析美国，欧盟关于人脸识别的相关规定的基础上，结合我国的具体情况提出了建立完善的法律系统规制人脸识别技术的应用，区分公权力机关和私人企业的规制重心，利用与规制并行建立健全责任追究制度的建议，对人脸识别技术的应用进行规制。

关键词：人脸识别;人工智能;法律规制;生物识别信息

在当今的人工智能时代，人脸识别技术在越来越多的场合得到应用，已经嵌入到了人们的日常生活之中，甚至涉及到国家安全方面，例如刷脸支付，刷脸进火车站，刷脸取款，刷脸取快递，手机解锁，刑事侦查、安全保障等领域。i人脸识别技术给我们带来便利的同时也存在着巨大的风险问题。随着“杭州人脸识别第一案”的出现，人脸识别技术应用的问题逐渐显现，人脸识别技术如果不加以限制，很容易对个人的信息、财产、隐私等造成侵权。人脸识别是人工智能领域的一个发展迅速且应用广泛的分支，技术的发展理应得到我们的支持，但是技术的滥用会造成一系列不利的后果，我们应当对其进行规制，对人脸识别技术的应用应当慎之又慎。

人脸识别技术相较于之前的身份证识别、指纹识别、虹膜识别、语音识别等，人脸识别具有显著的优势，它可以无需接触就可以进行识别，能够提高交易的效率，并且不容易被他人盗取。截至2019年我国监控摄像头约有6亿多个，监控着14亿公民。这些监控摄像头借助大数据驱动面部识别技术，能够识别一个人的姓名，身份证号，性别，衣着等，由此可见人脸识别技术不仅对个人生活提供了便利，对国家安全也有很大帮助。但是，我国现有法律对人脸识别技术应用的规制远远不够，从长期来看，大数据信息所具有的潜在风险会随着技术的发展逐步显现，给个人信息，个人隐私，社会安全，金融安全等领域带来威胁。因此，我们对人脸识别技术应当持审慎的态度，避免其野蛮生长，造成不必要的后果。

一、人脸信息的特征及人脸识别的利益衡量

（一）人脸信息的特征

1、人脸信息具有社会性

在原始初民社会，人们生活的群落比较小，在这个群落中，人们通过认脸识别他们彼此之间的身份地位，“人脸”被赋予了某种权力色彩，使得人们可以维系他们之间的交往。ii人脸是人们的外在特征，一个人很难拒绝来自另一个人的人脸识别，从这一角度来说，人脸识别是人类社会的一种规范制度，是人们进行人际交往的一种游戏规则。随着现代社会技术的发展，人脸的社会性遭到削弱，但是其社会性在一个人的正常交际范围之内还具有很强的效力。

2、人脸信息具有唯一性

面部特征是一个人重要的生物信息，具有区分此与彼的作用，每个人都有独一无二的人脸识别，即使是同卵双胞胎也有区别。人脸的生物数据库一旦被破解，大量的人脸信息就被不法分子获取，人脸一旦被盗用，将会对人的隱私、信息、财产等造成侵害，造成不可估量的损害。

3、人脸信息具有易获取性

人脸是一个人显现于外部的一个生物特征，一个人走在路上就可能被别人偷拍，或者被监控摄像头捕获面部信息，从而通过一些技术手段，对人脸进行识别并与数据库中既有的其他信息进行整合分析，可以得到这个主体的非常全面的信息，在一定程度上说，在信息时代的每个人的隐私都被暴露在太阳底下，无处安放。2020年5月，Facebook就因为默认的人脸识别而遭到用户的诉讼。通过人脸识别追踪个人的具体信息，对用户来说是非常可怕的。iii

4、人脸信息具有可破解性

任何一种技术都不是绝对的安全，目前人脸识别技术正处于发展的当中，尚未到达完全成熟的阶段。iv近年来，时常有人脸识别被破解的例子发生，目前研究发现，有五种破解人脸识别的方法。人脸信息数据库一旦被攻破，危害的范围、造成的损失可能是我们无法想象的。

（二）人脸识别技术的利益衡量

一种新技术的出现，是人类社会发展带来的必然结果，但是与新技术相伴而生的是它所带来的风险，这种风险不是因为自然变化而产生的自然风险，而是一种人为创造的风险。人脸识别技术确实可以给我们带来便利，可以提供更为便利的支付方式，更加安全可靠的生活环境，提高我们经济活动的交易效率，同时，它也带来了一系列的风险，从长期来看，它对人们的生活的影响可能是非常巨大的。目前人脸识别技术的法律规制并不完善，现实生活中存在人脸信息被滥用的风险，人脸识别的风险目前虽然尚不明确，但是也有必要构建法律框架来规制其利用，降低技术应用所带来的风险。下文将从成本收益角度进行分析。

人脸识别的收益是世界各国所共同承认的。世界经济论坛指出：“人脸识别技术可以应用于诸多场景，从改善银行业和零售业的消费者体验到加快机场边境管制。该项技术的发展创造了大量裨益社会的机会。”v人脸识别技术的收益主要在于以下几个方面：一是人脸识别只需要辨认人们外在的脸部特征就可以确认人们的身份，识别的方式非常便捷，人们不需要繁琐的程序（出示身份证等）就可以确认身份;二是人脸识别具有非接触性，机器在识别人脸的时候不需要与被识别的主体发生空间上接触，与其他识别技术相比，具有一台机器可以同时识别多个主体的优势;三是人脸识别可以在不侵扰、不被被识别主体发觉的情况下，实现人脸信息的采集，对于一些被通缉的犯罪分子，可以通过人脸识别技术捉拿归案，维护社会的安宁;四是人脸识别的准确性很高，目前人脸识别的准确率已经在97%以上，相较于人的肉眼识别，准确率大大提高。vi

但是，任何事物都具有两面性，一个事物并不是只有好的方面，它也存在弊端。人脸识别技术也存在其弊端，存在潜在的风险。成本和风险是一体的，除了直接损失或间接损失之外，风险有无、大小也是确定成本所要考虑的因素，甚至说风险本身就是一种成本。人脸识别技术应用所面临的风险或者说成本主要包括以下两个方面：一是误差所产生的成本。对于任何一个量的测量或者观察都不能得出一个绝对的准确的数值，误差是客观存在的，只要有测量就有误差的存在。目前人脸识别的准确率在97%以上，可是说已经达到了一个较高的水平，但是还是存在识别错误的概率。在进行人脸识别的时候，有时会遇到两个极其相似的主体，如果人脸识别的技术不够成熟，很有可能会出现识别错误的情形。而且人脸是处于动态变化之中，这与肤色，皱纹等有关。上述的一系列因素都有可能会影响人脸识别的准确性。如果在性命攸关或者关系社会甚至国家重大利益的的情况下运用人脸识别技术出现错误情形，会造成难以估量的后果。二是人脸信息数据存在被破解的风险。人脸是外在的公之于众的信息，监控者很容易获取被识别主体的脸部，然后利用人脸识别的技术漏洞破解人脸信息，并作出损害被识别主体的行为，例如利用3D打印制作模型可以将手机解锁等。三是存在信息泄露的风险。在大数据时代，各种各样的信息都被保存在数据库之中，人脸信息同样如此，人脸信息被保存在数据库中，信息数据库并不是想象中的那么安全，安全防护系统并不是一块铜墙铁壁，它可能遭到黑客的攻击甚至破解，一旦破解必然会导致数据库内的信息泄露，从而侵犯人们的隐私、财产甚至人身安全。

二、域外对人脸识别的法律规制

（一）美国对人脸识别的法律规制

美国可以说的上是人脸识别技术应用和法律规制的先驱者。美国出于人脸识别技术应用可能会侵犯人们的隐私信息安全等的考量，对待人脸识别技术的态度是十分谨慎的。vii就目前而言，美国联邦立法机关還没有出台相关法律来规制人脸识别技术的应用，但是例如华盛顿州以及加利福尼亚州的立法机关已经制定了相关法律来约束人脸识别技术的使用了。具体包括美国议员提出的三个典型的法案：《道德使用人脸识别法案》、《商业人脸识别隐私法案》、《人脸识别技术授权法案》。州政府层面的立法主要有：华盛顿州出台的《人脸识别服务法》、加利福尼亚州出台的《人脸识别技术法（草案）》等。

《道德使用人脸识别法案》主要有三方面的内容：一是对于政府部门使用人脸识别技术的态度原则上是禁止的，但是也规定了例外制度;二是对于在应用人脸识别技术的过程中出现的侵权现象提供救济途径，受害者可以提起诉讼，使自己得到救济;三是设立专门的委员会，有委员会成员来制定人脸识别技术的应用规则viii。《商业人脸识别隐私法案》是商业领域应用人脸识别的法律规制，主要内容是：一是强调在获取他人的人脸时要经过被获取人的明示同意;二是获取人脸数据信息之后进行处理时要遵循法律的规定，不能任意而为;三是列举了可以使用人脸识别技术的例外情形;四是要求人脸识别技术的应用者在进行人脸识别的时候要有独立的第三方来对人脸识别技术的准确定性进行测试评估。ix《人脸识别技术授权法案》的目的在于限制一些机关或者机构对人脸识别技术的滥用，具体内容是：一原则上不能使用人脸识别技术对个人或者群体进行持续监视，但是该法案中规定了持续监视的条件，在满足条件的情况下可以进行持续监视;二是对允许持续监视并通过持续监视获得的数据信息作为证据的使用做出了一定限制;三是为了确保人脸识别的准确性，需要定期对人脸识别进行审查的测试。《人脸识别服务法》是美国华盛顿州出台的法案，目的是为了规范人脸识别技术在州内的使用，具体内容如下：一是建立了人脸识别技术应用的问责机制，政府在使用人脸识别技术的时候需要编制问责报告;二是建立人脸识别的准确性审查机制;三是对政府使用人脸识别技术做出了限制性的规定;四是设立工作组，对一些事务提出建议。《人脸识别技术法（草案）》是加利福尼亚州众议院通过的一项法案，主要包括四方面的内容：一是获取人脸信息需要得到当事人的同意;二是建立人脸识别的准确性审查机制;三是建立了人脸识别技术应用的问责机制;四是对政府使用人脸识别技术作出限制。

（二）欧盟对人脸识别的法律规制

旨在应对与个人信息保护相关的挑战，欧盟制定了《通用数据保护条例（GDPR）》并于2018年生效。GDPR规定了生物识别数据的定义，其中就包括“面部图像”。对于个体的生物识别数据的收集遵循的是“原则禁止，特殊例外”的原则，在数据被收集者明确同意的情况下，数据采集者可以对其生物识别数据进行处理。x但是这些规定在具体的现实操作之中存在一定的困难，因为如果是在公共场合中应用人脸识别，没办法征求一整个群体的明示的表示同意。因此，欧盟此后又出台了《人工智能白皮书》来限制人脸识别的使用，这个文件认为人脸识别技术的应用必须以保护人们的隐私等一系列基本权利作为前提。xi此外，欧盟还发起了倡议，以及发布《人脸识别的指南》，其基本的宗旨是，在保护人们基本权利的前提下，使用人脸识别技术。

三、我国对人脸识别法律规制现状

人脸识别技术所收集的人脸信息在我国法律中的归属是个人信息的范畴，理应受到个人信息保护法的规制和约束。我国目前关于个人信息保护的法律主要包括《民法典》第111条、《侵权责任法》第6条、《刑法》第253条、《网络安全法》第41条、《消费者权益保护法》第29条、《电子商务法》第23条、《互联网个人信息安全保护指南》。xii从现有的法律可以看出，我国对个人信息的保护并不完善，目前我国对企业收集个人信息的限制比较严格，但是对政府机关等对个人信息的收集并无相关的法律限制，而且并没有专门的法律保护公民的个人信息安全，只是零散地分布在其他法律中，立法非常的碎片化，此外，在相关法条中的一些规定是一些原则性地规定，并未规定具体的细节，可操作性不强，最后，大多数的法律位阶比较低，对人脸识别技术的规制或者是个人信息的保护起不到很好的作用。

需要重点指出的是，在2020年新颁布的《民法典》中，提供了人脸识别侵权的保护路径。人脸识别生物信息可以附于一定的载体之上并且为人们所识别，从这个意义上来说，人脸识别生物信息可以被视为肖像，使用时应当获得肖像权人的同意，但是国家机关依法律的需要使用不受此限制;《民法典》还明确将生物识别信息划归到了个人信息的范畴，人脸识别信息属于生物识别信息的范畴，因此也受到相关的个人信息法律的保护。虽然民法典对人脸识别信息有一定的涉及但是这是远远不够的，尤其是在面对人脸识别的潜在风险的情况下。

从上述法律规定可以看出，我国对人脸识别应用的规制并不像欧美国家那么严格，而是采用了一种相对宽容的态度，采取的是先发展后规制的模式。但是这种模式使得法律远远滞后于科技的发展，面对人工智能快速发展的今天，出现的新情况新现象不能够很好地做出应对，对社会中出现的情况不能做出正确的评判，如果人脸识别技术应用侵犯了人们的隐私、信息安全，甚至危害社会的公共安全或者国家安全，而此时法律却对它无可奈何，那么将会造成非常严重的后果。

四、对我国人脸识别技术应用法律规制的建议

（一）建立完善的法律系统规制人脸识别技术的应用

在目前人脸识别技术被广泛应用，给人们带来便利的同时，因人脸识别技术被侵害的案件也层出不穷，公民越来越关注自己的个人信息安全的保护问题，他们对法律保护个人隐私，信息安全的要求也越来越高，而现有法律根本不能满足他们的需求，因此有必要构建完整的法律体系或者出台一部专门的法律来保护他们的生物信息安全。

世界范围内的其他国家一般会将人脸信息划入个人生物识别信息的范畴里，对人脸识别信息进行妥善周全地保护，因此我国也可以借鉴其他国家的这种立法的模式，将人脸识别信息划入个人生物识别信息然后通过个人信息保护法进行保护。xiii但是法律借鉴并非盲目，我国在借鉴域外经验的时候不能生搬硬套，立法应充分结合我国的国情和具体情况。具体而言，可以从人脸识别的特点出发，对人脸识别的获取的方式，收集的主体和行为，信息的储存，信息的处理，信息的利用等方面进行限制，以保护人们的个人信息为原则，以人们的知情同意为前提，严格限制人脸识别技术的利用，防止人脸识别技术的滥用造成的不必要的损害。

（二）区分公权力机关和私人企业的规制重心

我国相关的政府部门虽然有义务规制人脸识别技术的应用和保护人们的生物识别信息，但是并没有对人脸识别技术的应用做专门的规制，也没有专门的部门来负责人脸识别技术的应用。就目前来看如果国家有关部门任意安装人脸识别设备，那么可能会侵害人们的权利，这将会演变成公司主体之间的侵权问题，在未经信息主体同意的情况下收集其人脸信息，仍会对公民的合法权益造成侵害，对政府的公信力产生影响。因此，对于政府部门安装、使用的行为应当得到有关机关的授权与监督。xiv

对于非政府机构例如私人企业等应用人脸识别技术的规制应当与公权力机关相区别，对于非政府机构的规制应当以事后事中规制为主，主要是因为一个新技术的产生到成熟必然要经历一个过程，如果在人脸识别技术产生之初就对其进行事前规制那么很有可能造成阻滞人脸识别技术发展的不利后果，因此可以通过受害人时候诉讼或者行政部门监管，事后处罚等方式来对侵害人们个人生物信息的非政府机构进行追责。

（三）利用与规制并行建立健全责任追究制度

法律规制人脸识别技术应用的目的不是限制技术的发展，而是在发展技术的同时也要保障安全，这两者是不矛盾的，因此有必要规定安全与责任的底线，建立健全责任追究机制。

首先，人脸识别系统要经第三方独立机构定期检测其准确性，并且向有关部门报告;其次，加强保密措施，对储存人脸信息的数据库采取加密，不得向公众披露;再次，要健全责任追究的机制，对于侵权主体所实施的侵权行为能够追责，避免找不到侵权人的情况的出现，必要时可以采取连带责任原则;最后，建立健全对受害人的救济机制，对于人脸识别信息被泄露的情况，给信息主体造成损害的，应当追究信息收集者以及信息泄露者的责任，确保被侵害主体的权益受到保护。

五、结语

在人脸识别技术迅速发展并被广泛应用的今天，我们一方面需要对新技术的利用和技术的发展要持有宽容的心态也要注重对人们生物识别信息的保护，因此有必要在促进技术发展的同时对其进行必要的限制。我们要以开放包容的心态对待技术的发展，对新技术带了的益处持肯定的态度，对新技术所带来的潜在风险持审慎对待的态度。在理性的支配下，建立在不抑制技术发展的情况下，保护个人信息安全的配套的法律体系。

注释：

i 参见尹菡：《AI人脸识别技术滥用的法律规制》，载《上海法学研究》集刊（2020年第5卷总第29卷）——2020年世界人工智能大会法治论坛文集，第51-58页。

ii 参见胡凌：《刷脸：身份制度、个人信息与法律规制》，载《法学家》2021年第2期，第41-55页。

iii 参见凯文·米特尼克，罗伯特·瓦摩西：《捍卫隐私》，吴攀译，《浙江人民出版社》2019年版，第148-153页.

iv 参见银丹妮，许定乾：《人脸识别技术应用及其法律规制》，载《前沿思考》2020年第4期，第32-39页。

v WFE， A Framework for Responsible Limits on Facial Recognition Use Case： Flow Management， Feb. 2020.

vi https：//www.qianzhan.com/wenda/detail/190817-163e86fd.html

vii 參见闫晓丽：《美国对人脸识别技术的法律规制及启示》，载《信息安全与通信保密》2020年第11期，第94-101页。

viii 参见林梓瀚，史渊：《欧美基于人脸识别技术的法律规制研究》，载《互联网天地》2021年第4期，第47-50页。

ix 参见袁俊：《人脸识别国际监管经验及规制建议》，载《网格空间安全》2020年第7期，第120-124页。

xEls J. Kindt，Transparency and Accountability Mechanisms for Facial Recognition，German Marshall Fund of the United States，1-8（2021）.

xi 参见林梓瀚，史渊：《欧美基于人脸识别技术的法律规制研究》，载《互联网天地》2021年第4期，第47-50页。