涂 萌，谭诗悦

(重庆理工大学 重庆知识产权学院， 重庆 400054)

一、引言

2019年10月,郭兵与杭州野生动物世界有限公司服务合同纠纷一案引起了社会各界的高度关注，被称为中国“人脸识别第一案”。一审法院经审理后认定杭州野生动物园将合同履行期间的指纹入园方式更改为人脸识别系单方变更合同内容的违约行为，判决其删除包括原告照片在内的面部特征信息并赔偿郭某合同利益损失及交通费。由该案引发的人脸识别技术的隐私安全与法律规制问题成为社会讨论的热点话题。人脸识别技术是现阶段应用最为广泛的人工智能技术之一，但从隐私安全角度而言，人脸识别机制的基本技术属性引发的法律风险将是该领域内不可忽视的重大挑战。

二、人脸识别技术的应用场景与隐私安全风险分析

人脸识别技术是基于人脸中的生物特征进行模式识别，在信息系统中将提取的面部特征信息与储存的人脸数据集进行识别和匹配，进行个人身份核验的技术，主要涉及模式识别与信息安全两个部分[1]。其流程为：首先，对输入的人脸图像进行图像预处理操作，消除光照、背景、姿态等干扰因素的影响；其次，在图像预处理的基础上进行人脸检测，系统返回检测的人脸矩形边界的多个坐标值；然后，确定根据眼睛、耳朵、鼻子等器官以及嘴唇和面部轮廓构成的人脸特征点，并根据特征点提取个人面部的几何特征；最后，将待识别的人脸图像与已知的人脸数据库进行对比，从而确定个人真实身份[2]。

综上所述，人脸识别技术安全主要关注应用系统的安全；模式识别则主要根据人脸图片信息提取的特征使用识别算法进行比对，其中涉及人脸数据集的使用。本文则主要对以上两个部分中涉及隐私的个人信息安全风险进行分析。

(一)模式识别中的隐私安全

模式识别过程主要涉及人脸图片信息收集(提取)、使用(比对)两个阶段。其易引发的隐私安全风险主要涉及面部信息的非法收集与面部信息的非法使用。

面部信息的非法收集是指未经信息主体同意，通过擅自收集、交换、非法窃取等方式获取他人面部识别信息。2020年4月，江苏省宿迁市某健身中心被发现共收集和存储了2万多名会员用户的个人信息，包含人脸信息和指纹等敏感个人信息[3]。该健身中心在未取得会员同意的情况下，收集人脸信息和指纹等敏感个人信息，亦未明确信息收集的目的、用途和处理方式，涉嫌侵犯用户的隐私。人脸信息的非法使用是指未经过信息主体同意，将人脸信息用于实施盗窃、诈骗等犯罪行为。例如，周某利用互联网搜集桑某的电话号码，并查询桑某的支付宝账户信息。随后，周某利用某视频APP收集桑某的动态人脸图像，多次使用人脸识别技术盗取桑某支付宝账户资金[4]。随着人脸识别技术的持续发展以及应用场景的不断扩张，人脸信息的非法使用案件频发，如利用人脸照片盗窃丰巢快递柜货件、利用人脸照片制作3D图像绕过支付宝人脸识别活体验证等等。

(二)人脸识别技术应用引发的隐私安全风险

基于深度学习的人脸识别算法精准率已达到97%，已经能够解决光影、遮挡等影响因素问题。对此算法在最新的Labeled Faces in the Wild(标准人脸数据集)上的使用结果测试，显示其能够超过人类识别水平。基于深度学习的人脸识别算法不断提高的准确性和易用性，它已经能够满足身份认证、监控、调查取证等不同应用场景的需要。对社会管理而言，人脸识别技术被广泛应用于出入境检查、刑事侦查、政府服务、人口管理，尤其是治安管理和交通运输场所安检等社会管理领域，在增强行政执法能力、强化社区安全以及便捷公民生活等方面发挥重要作用。如，公安机关通过整合人脸识别技术与城市监控系统，将目标人脸图像与人脸数据库进行比对，能迅速并准确识别目标人物进而将其抓捕。此外，人脸识别技术在商业经营场所中的应用范围也迅速拓展。商业主体通常基于提高效率的目标使用人脸识别技术[5]，应用场景包含电子支付、物业安保、智能快递以及交互软件等。如，人脸支付以其便捷性、无接触性被广泛应用于无人超市，消费者只需要通过人脸识别和身份信息验证即可完成支付。

人脸识别应用系统本质上是一个信息系统，极易遭受恶意的攻击。一方面，人脸图像本身具有隐私性，可以被直接用来识别自然人身份。另一方面，通过算法分析，可以从人脸图像中分析出年龄、性别、健康状况等其他多种个人隐私。攻击各种人脸识别应用系统的主要的目的是将面部信息用于实施非法经营行为，并从中获利。据相关媒体报道，有商家在淘宝、咸鱼等电商交易平台上，公开兜售人脸信息，比如手持身份证的人脸图片仅需0.5元一张[6]。除售卖人脸数据外，一些商家还出售“照片活化”工具。商家只需输入一张人脸图片，即可将其修改为执行“眨眼、张嘴、点头”等操作的人脸验证视频。这些人脸信息如果被不法分子购买，并单独或者与其他非法获取的个人信息结合使用，将对信息主体的人身权以及财产权造成严重侵害。

三、我国人脸识别技术法律规制的现状与问题剖析

(一)我国人脸识别技术应用法律规制现状

1.我国人脸识别技术应用立法现状考察

我国尚未对人脸识别技术进行立法规制，对个人信息保护的规定也散见于相关法律文件中。主要体现于：《民法典(人格权编)》《民法典(侵权责任编)》《刑法》《网络安全法》等法律文件；《互联网个人信息安全指南》《APP违法违规收集使用个人信息行为认定方法》等行业规范性文件；《个人信息安全规范》(以下简称《规范》)等推荐性国家标准。如《网络安全法》第41条规定了网络运营者使用个人信息的合法、正当、必要的基本原则。《民法典》第1034条从私法层面明确了对个人信息保护的规则，并在第990条第2款规定，自然人享有基于个人自由和人格尊严的其他个人权益。因此，基于个人自由和尊严，自然人的个人信息权可以归属于自然人的其他个人权利和利益[7]。《刑法》第253条之一的侵犯公民个人信息罪，对个人信息予以严格的公法保护。但是，只有《规范》对生物识别信息作出较为全面的规定。《规范》根据敏感程度将个人信息分为一般个人信息和敏感个人信息，并详细规定了敏感个人信息在收集过程中的同意原则、使用和共享过程中的最小够用原则，以及授权原则，并制定了安全事故的处置程序，但尚未专门规定收集、存储、使用及共享人脸信息等环节的条款，且仅为推荐性国家标准，没有强制效力。

除此之外，我国另有针对生物特征识别信息的专门规范文件，包括《人类遗传资源管理条例》《人类遗传资源管理暂行办法》《涉及人的生物医学研究伦理审查办法》等。《人类遗传资源管理条例》第12条第1款规定：“采集我国人类遗传资源，应当事先告知人类遗传资源提供者采集目的、采集用途、对健康可能产生的影响、个人隐私保护措施及其享有的自愿参与和随时无条件退出的权利，征得人类遗传资源提供者的书面同意。”虽然该规定符合个人信息收集的一般法律的要求，但是并未针对公民个人生物识别信息的敏感度和隐私性进行特殊的保护[8]。

(二)中国人脸识别技术法律规制存在的问题剖析

1.未明确界定人脸信息的法律属性

人脸信息相比一般个人信息具有更突出的人格利益特征。我国实施的《民法典》并未就人脸信息等生物识别信息的法律保护作出专门规定，仅在第1034条规定“个人信息中的私密信息，同时适用于隐私权保护的相关规定”。由此可见，我国可能将人脸信息纳入隐私权的保护范围。然而，人脸信息体现公民的人格尊严和自由价值，隐私权强调私人生活不受他人干预，两者展现不同的价值取向，难以在同一平面进行比较和规制[9]。此外，《规范》基于信息类型化保护个人信息，但其划分标准存在冲突。《规范》将人脸信息归类于敏感个人信息，同时又将其纳入个人信息的范畴。而后，在信息应用的环节均采用敏感性作为划分标准，容易引发标准适用的争议[10]。

2.对人脸识别技术应用场景未加以合理限制

在人脸识别技术发展的同时，未对其应用场景加以合理限制，导致人脸识别技术存在被滥用的风险。2019年8月，瑞典Anderstrops的高校应用人脸识别技术统计学生课堂出勤率，被瑞典数据监管机构(DPA)认定违反GDPR的规定，罚款20万瑞典克朗(约人民币14.8万元)。瑞典数据监管机构认为：首先，人脸识别技术严重侵扰了学生的隐私权，学校可以使用侵害性更小的方式考勤；其次，鉴于学校和学生之间的不平等关系，信息主体“同意”并不能等同于法律原则上的“自愿”，因此学校与家长之间达成的协议不能有效支撑学校使用人脸识别技术[11]。此案引发对人脸识别技术应用场景过度扩张的深入思考，学校、医院这类机构是否有必要应用人脸识别技术值得进一步深思。

3.缺乏对人脸识别技术滥用行为法律责任的规定

在举证责任层面，我国民事诉讼通常适用“谁主张谁举证”的原则，即由信息主体承担信息处理者的侵权行为以及实质损害结果的举证责任。然而，信息主体一般对人脸信息侵权并不知情，即便知情也难以充分证明因信息处理者的违法处理行为而导致实质损害后果[12]。同时，信息主体一般只能获知侵权损害结果，难以证明人脸信息泄漏的源头和传播的途径，亦难以确认侵权主体的身份[12]。以2016年谷歌遭遇的集体诉讼案件为例，法官最终以原告无法证明谷歌公司的行为对其造成“具体损害”，而驳回原告的起诉。由此可见，信息主体举证难度大，举证责任分配规则有待完善。

在公法层面，《刑法》第253条之一的侵犯公民个人信息罪对侵犯公民个人信息的行为规定了相应的刑事责任，但该条仅针对非法盗窃、提供以及出售个人信息等行为进行刑事处罚，并未涉及非法获取个人信息行为。同时，最高人民法院与最高人民检察院制定的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》亦未明确生物识别信息的分类和入罪条件。如果将生物识别信息纳入其他信息的范围中，那么就需要达到5 000条及以上才能构成犯罪，因而难以进行有效保护。人脸信息等生物识别信息是否应当纳入个人信息当中的健康生理信息，应当给予进一步明确。

四、我国人脸识别技术应用法律规制的完善建议

(一)完善人脸识别技术应用法律规制相关立法

1.赋予个人信息权利并界定敏感个人信息

基于不同的社会背景和立法考量，欧美立法模式呈现各自的特点。美国没有从联邦层面对人脸识别进行统一的立法规制，而是采取各州专项立法保护模式，制定与人脸识别相关的法案。伊利诺伊州于2008年率先颁布《生物特征信息隐私法》(Illinois Biometric Information Privacy Act，简称BIPA)，是美国生物识别信息专门立法模式的典型代表。然而，美国使用隐私权对人脸信息进行保护，面临的主要困境是人脸信息侵权和隐私侵权的巨大差异。基于人脸信息侵权结果通常不是十分显性，以及信息主体面临诸多取证难题，民事权利诉讼救济的实现可能性并不十分充分[13]。然而，欧盟的综合立法较为成熟，区分了隐私权与个人数据权利，并通过宪法文件对个人数据权利进行独立确权。在Michael Schwarz v.Stadt Bochum案件的司法审判过程中，欧盟法院(CJEU)认为生物识别信息应当视为公民宪法上的权利，需得到法律的特别保护(1)参见 European Court of Justice, Michael Schwarz v Stadt Bochum (Case C-291/12).2013.。因此，我国可以借鉴欧盟立法经验，明确个人信息具有独立的法律地位。在民法上，将个人数据权定义为新型权利有助于厘清人脸信息的法律属性，构建侵权损害的认定标准[9]，从而得到更加全面的保护。

其次，欧美国家早已根据敏感程度对个人信息进行分级保护。其中，敏感个人信息往往承载了更高的人格属性，需要法律的特别保护[14]。我国《规范》虽然详细规定了生物识别信息属于敏感个人信息，但其分类标准存在缺陷，而且不具有强制效力。有鉴于此，我国个人信息保护立法应当明确个人信息的分类分级制度，将人脸信息等生物识别信息纳入敏感个人信息规制范围，并予以特殊的法律保护。

2.明确信息主体的权利和数据处理者的义务与责任

在权利内容设定方面，人脸信息主体应当享有一般性权利和特殊性权利。数据主体的一般性权利包括知情权、访问权、被遗忘权、更正权等。此外，人脸信息作为敏感类个人信息，其数据主体还应该享有“书面授权同意”“合理拒绝权”“选择使用权”等特殊性权利[8]。在责任方面，欧盟GDPR以禁止处理个人数据为原则，将“禁止处理”“明示同意”“法定必需”作为人脸信息等敏感类个人信息保护的特定原则,需要限制数据处理者的资格，对国家机关和非国家机关的个人信息收集加以规范[15]。此外，为保障人脸数据安全以及数据主体利益最大化，应当明确数据处理者必须合法合规处理收集的人脸数据，接受法定监管机构的监督和检查，并采取适当的安全保障措施。

3.明确限定人脸识别技术的应用场景

任何技术的发展和应用都应有一定边界。我国《民法典》第1035条第1款规定“收集、处理自然人个人信息的，应当遵循合法、正当、必要原则”。因此，我国对人脸信息应用场景可以从合法、正当、必要三个层面进行限制[16]。首先，满足合法性。在社会公共管理应用场景下，公权力机关必须合法合理使用人脸识别技术，充分发挥其在刑事侦查、政务管理以及维护社会秩序中的重要作用，并不得逾越法律规定的适用范围。在商业经营应用场景下，任何私营主体不得违反法律法规，并充分考量人脸识别应用带来的价值和效益能否抵消人脸信息泄漏或者滥用造成的损失和代价[17]。其次，满足必要原则。必要原则能够促使信息处理者使用侵害性更小的方式处理个人信息，有效保障信息主体权利不被过度侵犯。最后，需要满足正当原则。人脸识别技术不能被盲目和无限制地使用，如果人脸识别技术的应用可能导致公民权利被非法侵害，则应当被严格禁止使用。

(二)优化人脸识别技术应用的司法救济

1.民事法律保护救济途径

民事法律保护制度可以从举证责任、确定损害赔偿的适用条件以及完善集体诉讼3个层面对人脸识别技术进行规制。

第一，确定侵权的过错推定和举证责任倒置规则[12]。通常情况下，由于证据距离的原因以及技术性强的特点，信息主体对加害人的主观过错以及损害后果与侵权人的加害行为之间的因果关系往往难以证明，这对权利主体提起民事损害赔偿之诉造成极大阻碍。有鉴于此，我国可以考虑适用“过错推定”和“举证责任倒置”原则，即信息处理者必须在证明自己无过错的情况下，才免除责任。

第二，确定损害赔偿的适用条件。传统损害赔偿责任的认定需要以受害人的直接或间接损失为前提。而在Rosenbach v.Six Flags Entertainment Corp一案中，伊利诺伊州最高法院推翻上诉法院的裁决，认为只要在本案中被告的行为侵犯原告根据BIPA规定所享有的公民权利，即使没有对原告造成不利影响或者实质侵害后果，原告也可以根据该法案的规定向被告寻求损害赔偿和禁令救济(2)参见 Rosenbach v. Six Flags Entertainment Corp. 2017 IL App(2d)170317,No. 2-17-0317.。因此，即使信息主体在遭受侵害但没有造成实质损害的情况下，仍旧可以通过提起民事损害赔偿之诉并主张精神损害赔偿的方式来保障自己的权利。

第三，完善集体诉讼制度。美国BIPA和欧盟GDPR均规定被侵权信息主体可以提起私人诉讼并获得损害赔偿的权利，表明法律对个体权利保障的重视。然而，人脸信息通常呈集体性泄漏或者被滥用[18]，信息处理者可能同时侵害多个信息主体的权益。因此，在司法实践中，除了受害人可以提起集体诉讼之外，公益团体以及人民检察院应当有权代表受害人提起公益诉讼，这有助于对人脸识别技术的使用行为形成有效约束。

2.刑事法律保护救济途径

刑事法律保护机制是对日益泛滥的侵犯人脸信息行为必不可少的法律预防和制裁措施。我国《刑法修正案(九)》第253条之一的侵犯公民个人信息罪规定禁止非法出售、盗取或者提供公民个人信息，并规定情节严重的处以3年以下有期徒刑，情节特别严重的处以3年以上7年以下有期徒刑。最高人民法院、最高人民检察院司法解释文件《关于办理个人信息刑事案件适用法律若干问题的解释》规定行踪和财产类信息、通信和健康生理类信息以及其他信息的入罪条件分别是50条、500条和5 000条及以上。但是《刑法》和司法解释均未明确人脸信息的性质以及侵犯人脸信息行为的入罪条件。如果将人脸信息确定为其他类信息，即入罪条件在5 000条及以上，难以体现人脸信息对公民个人的重要性，亦难以明确其法律地位。因此，可以将生物识别信息纳入健康生理信息范畴，明确人脸信息等生物识别信息的入罪条件为500条及以上，从公法上加以严格保护。

(三)强化人脸识别技术应用的行政监管

1.建立统一监管主体

我国对个人信息的保护尚未设置统一的监管机构来管理，针对不同的信息处理问题是由不同的执法机关管理的，比如，网信息办监管网上信息泄漏问题，公安机关监管非法盗窃信息问题[2]。目前，网信办和国家信息中心负责统筹网络安全和信息化建设工作以及监督管理互联网信息内容等，但在法律层面上，不具有专门数据监管机构的地位、性质、职能和权限。欧盟GDPR和美国各州的生物识别信息隐私保护法案，普遍规定设置数据监管机构，并明确其名称、职能、权限和责任。借鉴欧美立法经验，我国行政立法层面应当设置国家数据监管机构并设置地方专门行政部门，保障人脸识别技术的合法合规应用与持续发展。

2.明确监管职责和权限

数据监管机构应当规定各类信息处理者在使用人脸识别技术时，要将合法、公平、透明、目的限制、必需以及侵入性最小等原则作为基本要求，审查并评估信息处理者应用人脸识别技术的客观要件以及必要性，从而保障信息处理者合法合规使用人脸识别技术。此外，数据监管机构一般对信息处理者的各类数据处理行为具有法定的审查权、许可权、调查权、通知权、指示权和命令权等；接受信息主体向数据监管机构提出的行政控诉；接受信息主体对信息处理者的投诉并处理投诉等法定义务。

3.加大行政处罚力度

加强对人脸识别技术的行政监管力度，有利于技术的持续发展。域外立法对企业实施较为严重的行政处罚，相比之下，我国采取行政约谈和整改的方式规制人脸识别技术的应用，缺乏实质性的行政监管处罚。例如，伊利诺伊州BIPA明确阐述私营主体在疏忽违法的情况下，需要承担不低于1 000美元或者赔偿实际损失的法律责任；欧盟GDPR设置严格的行政处罚，对违反GDRP非法处理个人信息的企业采取的惩罚性赔偿为1 000万欧元或者企业年度全球营业额的2%的罚款(以数额较大者为准)；针对情节严重的可以处以2 000万欧元或者企业年度全球营业额的4%的罚款。欧盟加大企业数据合规监管力度，促使企业合法合理应用人脸识别技术。因此，我国可以借鉴欧盟的立法经验，立足自身国情，在保障人脸识别技术健康发展的前提下，进一步增强对人脸识别技术应用的行政监管。

(四)提升人脸识别技术应用的行业自律

1.强化企业数据保护责任

企业在收集和存储人脸信息时，应当确保用户信息安全。首先，企业应当构建安全问责机制。具体而言，企业需要建立健全审计机制，定期对人脸信息进行审计以及培训数据处理人员，并聘请专业隐私机构对企业人脸数据的存储和应用进行审查和评估。其次，数字化产业中的企业，收集的用户个人信息可能同时包含一般个人信息和敏感个人信息。在多级个人信息保护场景中，应当符合法律对最高级别信息收集、处理与应用的要求[9]。比如手持身份证的面部拍照，鉴于对人脸信息的保护要求，企业应当采取敏感个人信息保护的相关规定对此类信息进行收集和处理。

2.明确企业使用数据规则

企业在使用和共享人脸信息时，应当着重加强人脸信息应用过程的规范管理。企业应用人脸识别技术首先应当满足合法、正当、必要等法律原则。其次，在多元义务主体对人脸信息的应用中，普遍存在第三方经营者参与数据处理的情形，从而增加了人脸信息被非法传播与利用的风险。为降低个人敏感信息被滥用的风险，我国应当将第三方经营者纳入风险评估机制中，防止其逃脱责任[19]。此外，数据控制者必须保证第三方机构达到国家信息安全认证标准并具有一定的安全保障能力，能够及时维护人脸信息的安全存储和处理，如此才可以向第三方机构共享和转让人脸信息[15]。如果数据控制者明知或者应知第三方机构存在数据安全风险仍向该机构共享人脸信息的，将承担连带法律责任。