江苏警官学院 徐千惠，顾宣娅，陈玉立

虽然有关个人信息的规定在我国《中华人民共和国民法典》《个人信息保护法》中有所体现，但是这些法律法规对公民人脸识别信息的法律保护以及应用的规制过于宽泛，不具有专门性以及针对性。2020年10月1日实施的《信息安全技术个人信息安全规范（2020年版）》（以下简称《规范》）对人脸识别信息的收集、存储、使用等作出了明确的规定，但是此《规范》只是推荐性的标准，不具有法律强制约束力。由此可见，目前针对人脸识别技术的法律规制尚且不足，其社会风险却日趋严重，对人脸识别技术的法律规制研究箭在弦上。本文立足于对人脸识别技术的必要性进行说明，分析人脸识别技术的社会风险，结合社会发展的现状和趋势，从国家、社会、个人三个层面对人脸识别技术的法律规制进行研究，以便更好地发挥人脸识别技术的作用。

一、人脸识别技术应用的特点

（一）人脸识别技术具有高效便捷性

人脸识别技术的高效便捷主要体现在人脸识别技术算法先进、速度快。人脸识别技术通过后台数据分析，可以大大缩短人工识别时间，短时间内实现智能预警判断，提供远端识别服务，帮助用户通过验证，为人们提供便捷、安全、可靠的技术服务，改变了传统的验证模式，大大提高了认证效率，为用户带来便利。

（二）人脸识别技术具有低成本性

从其使用成本来看，人脸识别技术在应用过程中仅具备摄像装置就能应用，并且人脸识别技术对硬件的要求不高，所使用的是常规通用的摄像头，相比其他生物识别技术所需的硬件措施，具有更高的性价比。除此之外，人脸识别技术应用于公共管理、企业经营等各个领域时，可以代替人工，降低人力成本。

（三）人脸识别技术具有非接触性

人脸识别技术的非接触性不仅大幅缩短了信息采集时间，而且在如今严峻的新冠疫情环境下起到了重要的作用。对于疫情防控工作，相较于刷卡、指纹等直接接触式的生物识别方式，人脸识别这种无需直接接触的识别方式更适合于目前的公共卫生环境，其因效率的提高减少了人群的聚集度，无接触式的信息验证能够在一定程度上降低病毒的交互，阻止疫情的蔓延。

（四）人脸识别技术具有普适性

随着社会信息技术的迅猛发展，人脸识别技术使用主体也变得多元而广泛。不论是政府机关，还是经营、运营公共服务场所的企事业单位或民营企业，从金融、安防领域到消费、生活、医疗、交通、学校、社区、企业等多个领域，都实现了人脸识别技术覆盖适用。人脸识别技术的广泛应用，不仅使人们的日常生活更便利，从社会公共管理和国家治理层面，也能维护社会公共安全和执法公平。

二、人脸识别技术应用中存在的社会风险

（一）权利侵犯

随着科技的进步，人脸识别技术应用门槛逐渐降低，信息收集主体信息安全意识和防范信息泄露的信息安全保障能力不足，加之信息安全保护责任的不明确，可能会导致人脸信息被随意共享，用于非法交易。通过与其他大数据相匹配，借助人脸识别信息甚至能够了解一个人的收入水平、家庭成员、教育程度等详细的个人信息[1]。人脸信息属于敏感信息，一旦泄露或被滥用会使公民的隐私权受到侵犯，极易导致个人名誉权、肖像权、身体权、财产权受损，进而影响其生活安宁与私密活动。

（二）人群歧视

商家为了加大销售力度，根据人脸识别技术得到的信息，对不同的消费者提供差别待遇，这些行为不仅是对消费者隐私的侵犯，也极易造成一定的人群歧视。除此之外，收集者往往通过“使用即同意”协议，要求用户提供人脸信息。如果用户拒绝，即被排除在该项服务或产品之外。部分人脸识别技术使用方的强制使用，对行动不便、对新事物接受缓慢的老年人以及整容者也存在一定的歧视。

（三）技术滥用

人脸识别信息有较低的应用门槛却具备很高的应用价值，企业在逐利动机驱使下会想方设法以更低的成本去收集、使用、处理、共享数据，并尽可能延长数据使用周期，过度挖掘其利用价值，以“优化产品体验”“保障用户安全”等理由在公共场所未经授权收集自然人面部数据[2]。2021年，新京报推出《人脸识别黑产调查》专题报道，曝光了人脸信息在网络上被贩卖的情况，除了照片和身份证信息，甚至还有动态验证视频，卖家还承诺他们出售的视频能通过大部分平台的验证。

人脸识别技术的滥用极大地侵犯了公民的个人隐私，泄漏了个人的脸部信息，偏离了人脸识别技术便利人类生活的初心，成为帮助违法犯罪的工具，人脸识别技术滥用情况丛生，对社会公共安全造成严重损害。

三、人脸识别技术应用中的法律规制研究

（一）国家层面

1.立法方面

（1）建立健全法律体系。随着人脸识别技术的不断发展进步，其需要规制的内容及要求也应相应变化，且需要有具体性。我国目前对人脸识别技术规制所采取的“软法先行”的规制方式在一定程度上是符合我国国情的。但是随着人脸识别技术的不断发展，软法对于规制该技术应用时就存在一系列不足之处。由于我国关于规制该技术的条文比较分散，在适用条文时需要在各种法律法规中查询和汇总，因此会增加适用的时间成本和人工成本，并且可能会出现无法完全适用的情况。因此，应当加快立法脚步，制定关于规制人脸识别技术的专门性法律。同时，尽快推进《刑法》《民法典》以及《个人信息保护法》等法律关于个人信息泄露事前预防、事中审核、事后救济制度的立法工作。另外，可采用部门规章或强制性国家标准的形式，制定专门的个人生物识别信息保护规范，重点规制人脸识别信息处理行为。总之，我国以专门立法保护为基础，辅以其他部门法，从而形成一套坚不可摧的个人信息保护法律体系。（2）加大刑法的打击力度。在个人遭遇侵害时，由于不知道泄露的主体、方式及时间，会面临举证困难的窘境，提起民事诉讼的概率较低，且一旦泄露后果也具有不可逆转性。《刑法》应发挥其作为最后防线的作用，对于技术使用所带来的不可避免的风险，明确其制裁边界及程度，在实现技术发展的同时确保公众生活安全有序，避免风险转化为现实侵害。可以从《刑法》上设立新的罪名，对人脸识别信息安全进行特殊保护，也可以尝试通过《刑法》解释的兜底条款明确人脸识别信息所应归入的类别，对人脸识别相关犯罪行为进行打击。（3）明确人脸识别技术侵权的责任主体。侵犯个人信息的侵权案件不同于普通的侵权案件，普通的侵权案件往往可以直接确定责任的主体范围，但在如今的大数据时代，对于被侵权人来说，其很难判断自己的信息是经何种渠道泄露的。虽然对人脸信息的处理往往是由人脸识别技术的使用方进行，但是人脸识别技术的提供方也极有可能实施人脸识别技术的侵权行为。因此，确定人脸识别技术侵权的责任主体可以采用连带责任追责机制，即在人脸识别过程中，可以让人脸识别技术的提供方和人脸识别技术的使用方承担连带责任，如果其中一方有证据证明自己没有实施侵权行为，则由另一方承担侵权责任，这有利于在发生侵害或者损害后明确侵权责任主体，也有利于加强企业内部对个人信息的保护，技术提供方与技术使用方互相牵制、互相监督，从根源上提高人脸识别技术的安全性。

2.执法方面

自我国法律明确保护个人信息以来，具体领域的相关行政职能主要由网信部门、工信部门，公安部门以及市场监督管理部门共同履行，最主要和最常见的执法行为是行政检查与行政处罚。事实上，目前我国对于人脸识别技术的监管大多数采用的是“行政约谈”的方式，即当企业或者单位在运用人脸识别技术时，存在数据泄露的风险或者隐私协议存在不规范等情形，我国工信部网络安全管理局会立即约谈该企业，并且要求该企业在内部进行有效自查、整改，因此，我国对人脸识别技术应用风险的规避更多依靠的是该技术应用企业自身的自觉性和责任感。在发生个人信息泄露或者滥用等安全事件后，用户常遇到投诉无门或相关部门各自为政的情形，信息处理单位也可能会遇到不同执法部门就同一事项重复检查且标准不一的问题，为强化该领域监管工作的权责统一，在中央统一领导下，指定或者整合一个专门机构来具体实施包括人脸信息在内的个人信息保护的规制完善与执法工作，以更好地保障该技术的积极健康发展。该专门机构可以进行以下规制：（1）设立人脸识别技术的企业入行标准，提高其准入门槛，把人脸识别技术应用纳入行政许可范围。（2）健全年审、备案机制。年审机制的作用在于审查各个企业一年来在研发、应用人脸识别技术的过程中是否有不合规范的地方。备案机制的目的是让企业及时存储人脸数据信息，并做好数据库保护工作，及时保存获得信息主体授权时向用户所作出的承诺书，方便责任认定工作的开展[4]。（3）将人脸识别技术应用纳入听证制度，听取多方有效的意见，形成平等公开的意见发表模式。

3.司法部门

（1）对接不同的部门法律规范。司法部门应对接不同部门法规范，通过诉讼实现对人脸识别信息在内的个人信息的一体化保护。在民事领域，平衡各方主体利益，尊重对人脸识别信息合理使用的创新行为，并进行有效规制。在刑法领域，对突破道德底线、性质恶劣的侵犯人脸识别信息的行为进行严厉惩处，并长期保持高压态势[3]。（2）对人脸识别技术应用的合理性作出回应。目前在司法领域还未对人脸识别技术应用的合理性有所回应，对于当时引起热议的郭兵诉杭州野生动物世界一案，虽然法院判决商家删除人脸信息，但是判决仅仅是从合同法的角度出发，认定园区单方面违约，却未对商家强制要求应用人脸识别方式入园这一不合理的方式作出直接回应，同时也未对人脸识别技术滥用的情况进行审查。司法部门应当通过司法解释或指导性案件，对人脸识别技术应用的合理性作出回应，提高公众对人脸识别技术的认识。

（二）社会层面

1.技术使用方面

（1）拒绝强制性，给予当事人更多的选择权。对于人脸识别信息的采集应坚持差异化规制，除法定情形外，技术使用方应当向技术被使用方充分解释说明该技术的使用风险和不利影响，不能仅告知当事人技术使用的优点及好处，诱导使用者同意。技术使用方应尽量给予公民在验证身份时除人脸识别外的其他可替代方式，供公民选择，不得将人脸识别作为唯一方式，变相强迫公民提供人脸信息。

（2）提高风险责任意识。技术使用方应建立数据采集、传输、存储、使用、加工等多方面的合规机制，明确人脸识别信息收集行为中每一步的边界，依法对所采集的人脸识别信息进行安全管理。在采集程序上，坚持采集适度原则，防止过度采集个人信息和数据的滥用，以能达到使用目的的最小限度为准。加强企业内部的安全管理，与员工签订相应的人脸信息保密协议，制定相应的隐私条例和内部规章制度，明令禁止员工出售任何人脸信息，对于违反规定者给予严厉的惩罚。组织员工进行有关人脸技术相关法律知识的学习，定期进行法律培训，避免侵权行为的发生。最后，企业还需加强对员工的文化培训，在潜移默化中健全员工的信息保护与安全机制。

2.建立多重侵权救济途径，通过民事公益诉讼保障公民权利

人脸识别技术的非接触性和隐蔽性使公民在不知情的情况下被采集了面部数据信息，即使公民知情并同意，在信息被采集后，公民也无法监控自身数据的使用和流转情况，其权利救济无从谈起。滥用人脸识别技术、非法获取公民个人信息、泄露公民人脸数据等侵权行为所侵害的主体在数量上往往具有广泛性和分散性，但由于侵权行为的难以察觉性、取证的艰难性等，公民很难通过诉讼维护自身权利。行业内部可以设立专门的数据管理监督组织，对数据的收集、使用和保护进行监控，发现企业如有侵权行为应提起民事公益诉讼。如果社会组织和行政机关没有及时向法院提起公益诉讼，则由检察机关提起民事公益诉讼。如果行政机关滥用权力侵权，则可以由公民申请行政复议或者直接提起行政诉讼。

（三）个人层面

技术被使用者不能因为部分商家的滥用，就将新技术的应用“一棒子打死”，而是要理性地审视和分析自身与技术使用者之间的法律关系，正视自身为取得产品或接受服务将要承担的风险与责任，权利与义务，不断提高认知能力和法律意识，消除认知偏差，积极获取与人脸识别有关的各类信息，认真阅读人脸信息处理过程中的告知书、协议等书面材料，了解个人信息被侵犯或滥用时的救济渠道。

四、结语

技术的更迭需要法律的更新与之相匹配，即使人脸识别技术的应用在短期内带来了高收益与高便利，但其所带来的社会风险也不容忽视，人脸识别技术应被限制在合理且必需的领域内。因此，国家在立法方面应建立健全一套完整的法律体系，加大刑法的打击力度，明确人脸识别技术侵权的责任主体；在执法方面，设置专门机构统筹个人信息保护工作；在司法方面，对接不同的部门法律规范，对人脸识别技术应用的合理性作出回应；在行政管理方面，设立人脸识别技术的企业入行标准，健全年审、备案机制，将人脸识别技术应用纳入听证制度；社会应建立多重侵权救济途径，通过民事公益诉讼保障公民权利；技术使用方应当拒绝强制性，给予被使用方更多的选择权，提高风险责任意识，技术被使用方也要提高个人的信息保护意识。各方共同努力，充分利用人脸识别技术，保护人脸信息安全，做到科技发展与风险规制的平衡。