朱 红

（南京审计大学,江苏 南京 211815）

人脸识别带来的便捷性毋庸置疑，但是一男子为保护个人信息戴着头盔去看房的视频新闻，引起了大家广泛的关注。业内人士指出，售楼处引入人脸识别技术，多半与其“分销模式”有关，就是借助人脸识别，帮房企判断购房者是“自然到访客户”还是“渠道客户”，以确定促销佣金如何发放。“戴头盔看房”虽然略显夸张，但它是对人脸识别技术滥用的有力控诉，折射出消费者对于人脸识别技术滥用的无奈抗争。2020年杭州市富阳区法院公开审理了一件“国内人脸识别案”，这是我国法院首次审理此类案件。案件原告是浙江理工大学副教授郭兵，被告为杭州野生动物世界有限公司，郭兵购买了野生动物世界的双人年卡，当时明确规定采用指纹识别的方式进园，郭兵夫妇也按要求录入了指纹，当时也能正常进园。之后，动物世界就调整了年卡用户的入园方式，改为人脸识别方式入园。动物世界曾两次告知郭兵变更年卡入园识别方式，要求其录入人脸特征，否则会影响入园。而郭兵则主张人脸信息为个人隐私，因此坚决反对人脸识别入园，并要求园方退卡。但园方主张则明确告诉郭兵，如果不先激活人脸识别系统，就无法办理退卡手续，郭兵随之将动物世界告上了法庭。技术本身并没有好坏之分，完全是客观存在的，但技术的用途是什么，究竟该如何使用技术，均由人所决定。只有以正向价值为引领，以严密法律为准绳，才能让技术充分释放红利。

1 人脸识别的概述

人脸识别技术是一种基于生物特征的识别技术，其依托于计算机技术，先收集人脸特征，然后与真人进行分析与匹配，一旦匹配成功，则允许后续操作，反之，则给出提示[1]。人脸识别技术包含3个步骤，即对人脸进行检测、对人脸进行追踪以及对人脸进行比对。对人脸进行检测的过程，是指在监测画面当中确认是否有人脸的过程；对人脸进行追踪，是指在监测画面当中检测到人脸时，对人脸进行追踪，从而提取对应的人脸特征；对人脸进行比对，就是将已经提取的人脸特征数据与数据库当中已有的人脸数据进行比对[2]。

1.1 人脸识别技术的应用场景

在《人脸识别应用公众调研报告（2020）》中，总结了当下10种较为常见的人脸识别场景，分别是：①支付转账（如刷脸支付、转账提现等）；②开户销户（如银行开户、开店、开播、注销等环节）；③实名登记（如酒店入住、购票抢票等）；④解锁解密（如解锁手机、开启未成年人模式、解密私人相册等）；⑤换脸娱乐（如换脸、算命等软件）；⑥政府办事（如工商注册、个人报税、福利发放等）；⑦交通安检（如飞机场、火车站进站人脸识别等）；⑧门禁考勤（如小区、公园门禁、公司人脸识别考勤等）；⑨校园、在线教育（如查看抬头率、刷脸签到等）；⑩公共安全监管（如闯红灯识别、大型活动安检等）。从上述列举中，可以看到，人脸识别已经覆盖了我们生活的各个领域。可以预见的是，随着时代的不断发展，人脸识别技术的市场应用范围将会持续扩大，有着光明的发展前景。

1.2 人脸识别技术的特点

人脸与指纹、虹膜等人体生物特征具有的共同特征是自然性、唯一性和不易复制性，相比指纹识别和刷卡通过人脸识别的特点在于非接触性，相比虹膜识别人脸识别的信息处理设备性价比较高，在疫情防控期间得到了大力推广[3]。人脸识别技术通过精准识别，可以让出行者在非接触的情况下实现出入自由，减少了人际接触带来的风险隐患，提高了便捷度和效率，给人们的生活带来了便利。基于亿欧智库所给出的报告能够获悉，目前人脸识别技术已经覆盖多个行业领域：诸如互联网金融服务、交通出行、参观及安防等，以2018年为例，当时安防领域有超过60%的都引入了人脸识别技术，金融领域为17.1%，智慧园区为6.7%[4]。

1.3 “人脸”信息的法律性质

在“国内人脸识别”首案中，原告郭兵主张人脸信息为个人隐私，反对以人脸识别的方式进入园区。有学者指出人脸信息是一种隐私，公民依法对其享有隐私权[5]。而学者王锴（2020）指出，人脸信息属于个人信息，而不是隐私[6]。学者劳东燕（2020）认为，个人信息的保护，评估标准不是隐私，而是可识别性[7]。《中华人民共和国民法典》（以下简称《民法典》）规定，隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。可以看出，隐私兼具“隐”和“私”的双重属性，不仅具有私密性，同时还不愿为他人知晓，而人脸信息只要没有遮挡物，就是对所有人公开的，人们对自己的脸不享有合理的隐私期待，所以，人脸信息不属于隐私。在民法典规定生物识别信息类属于个人信息。在《信息安全技术个人信息安全规范（2020）》（以下简称《规范》）[8]中也明确指出：个人生物识别信息不仅属于个人信息，更是个人敏感信息。进而能够总结出，人脸信息属于个人生物识别信息范畴，为个人信息，因此我国公民有权享有个人信息保护。

2 我国人脸信息保护的立法现状及存在的问题

人脸识别技术运用于社会治理的各个方面，在追缉犯罪分子、养老金认证、门禁考勤等维护社会秩序和加强社会治理方面发挥了巨大的作用，学者劳东燕认为，社会治理现代化并非简单的数字化管理，如果仅仅实现管理手段的数字化，就无法有效解决社会上的治理问题，甚至还会激化矛盾。我国现行法律对于人脸信息的收集、使用未予禁止，然而在实践中，存在许多不够明晰的地方，包括立法体系不健全、信息处理标准不具体、收集限度不严格等问题，从而导致人脸信息的滥用。“国内人脸识别第一案”中存在以下争议：经营者是否有权收集客户的人脸信息，消费者是否具有选择权，这其中涉及有权进行收集、使用人脸信息的主体以及信息主体的知情权和选择权等问题。

2.1 立法现状导致无法有效救济

《宪法》规定我国公民的人格尊严不受侵犯。尤其是在《民法典·人格权编》中，更是回应了目前关于个人信息保护的问题，这为个人信息保护提供了基本法依据，但是《民法典》中并没有将个人生物识别信息与其他个人信息做明显的区分，未对个人敏感信息做出明确界定。虽然在《规范》中对个人信息、个人生物识别信息、个人敏感信息的规定较为具体和详细，并且规定了“敏感个人信息的处理机制”，但是《规范》只是行业标准，并不是法律，不具有法律效力。我国还未出台专门的法律文件来规制人脸识别技术应用问题，这将对个人生物识别信息是否应当采取较于其他一般个人信息更为严格的法律保护造成障碍。目前，我国法律对于个人信息保护仅限于平等主体之间，而对于不平等主体之间或者是国家机关在行使公权力的过程中获得的人脸信息的法律保护力度不够，相关的法律依据不够。

2.2 人脸信息处理标准不具体

《民法典》《消费者权益保护法》《个人信息保护法》均明确指出，在处理个人信息时，务必要严格按照合法、正当、必要等原则进行。可见，虽然现行法律规定了个人信息的处理规则，但个人信息通常默认为人脸信息的上位概念，而人脸信息又是个人敏感信息，应当采取比处理个人信息更严格的处理规则。由于法律对人脸信息处理标准规定不具体，造成在实际生活中私自收集、加工、分析及使用个人生物识别信息的行为屡见不鲜，影响了对个人生物识别信息的保护。例如上述“国内人脸识别第一案”中原告提出的动物园是否有权收集人脸信息的问题。所以，需要对现行个人信息处理规则进行细化，从而有效地规制滥用人脸信息的不法行为。

2.3 知情同意原则的困境

《个人信息保护法》规定在处理个人信息时,前提是确保当事人充分知情,然后自愿且明确做出表示，甚至要给出书面同意。但是，在实践中，无论是在公领域还是私领域，人脸识别应用主体大多不会征求信息主体的同意而收集其人脸信息。其中既包括由于当事人认知能力不足或信息不对称而没有在真正意义上知情，也包括在知情之后不能发自内心做出同意或者反对。例如网络服务提供者会与用户达成“使用即同意”协议，只有用户同意其服务协议，方可享受相应的服务，若用户基于保护个人信息的理由而拒绝提供人脸信息，则用户不会享受到网络信息服务[9]。使用即同意原则导致用户只有“同意”的权利，没有协商谈判的权力，在网络服务提供者与用户之间形成了不平等的关系，严重损害了网络用户的权利。实践中，往往把“一次同意”概括为“永远同意”，因为当信息主体同意应用主体收集并使用人脸信息后，人脸信息被转换为数字安全码，进而存在于应用主体的数据库中，经营者可随时在没有得到信息主体的同意下使用人脸信息。目前，为满足用户数据安全与价值开发的均衡要求，各国均将用户同意作为数据处理的前提，但没有具备划分书面告知的情形，这需要借助法律的形式进行完善。

3 域外人脸识别技术的法律规制及其启示

3.1 欧盟人脸识别技术的法律规制

目前，欧盟并没有规制人脸识别的专门法律。欧盟对于人脸信息保护采取的是综合立法保护模式，大致内容为把不同种类、级别、性质的个人信息全都纳入《通用数据保护条例》（GDPR）中，把民事、刑事和行政法律的保护措施集中在此条例中的立法模式。GDPR中规定收集和处理人脸信息要遵循严格的规则，包括“禁止处理”“明示同意”和“法定必要”等要件。不仅如此，GDPR还明确规定在对人脸信息进行处理时，务必要秉承权责一致、保密完整、必要、安全、正当、合法合理透明等原则。必须区分识别人脸的目的，限制该项技术的使用场景，通过算法的提高避免歧视现象的出现从而保护公民的人格尊严，确立独立的监督机构对人脸识别技术的发展进行密切的关注和监督。由于人脸识别技术是一项前沿性技术，目前缺少相关的使用经验，欧洲对于人脸识别技术的应用还是持谨慎态度，必须采取更加严格的监管，减少技术带来的风险。

3.2 美国人脸识别技术的法律规制

目前美国联邦法院还未专门制定相应的法律法规来规定人脸识别技术的应用，但美国参众两院就此领域问题，提出了多项人脸识别法案：禁止将人脸识别技术引入美国各政府机构部门中，直至国务委员会确定完备的政府使用准则与限制条件，以防此技术侵犯公民隐私权、自由权等；规范商用人脸识别技术的各种情形，规定在使用个人信息前务必先要征得主体同意；限制联邦调查局、移民和海关执法局等机构的人脸识别技术监视情形，明确指出只有在得到法院允许后，方可将人脸识别技术用以监视。由于联邦立法针对人脸识别应用情形还没有给出具体的法律规范，所以一些美国地方政府开始出台相关法律，来规范人脸识别技术的应用情形。比如美国的华盛顿州、得克萨斯州、俄勒冈州、和旧金山市等地，都陆续立法明确禁止政府机构在公共场所引入人脸识别技术，并制定了关于生物识别信息保护的法律文件[10]。

3.3 域外的法律规制的启示与借鉴意义

欧盟原则上禁止收集处理人脸信息，在制定GDPR时表明了严格保护人脸信息的态度，并且在实践中执法机关也严格贯彻了这一立法态度，总体而言，GDPR的生效实施为保护人脸信息提供了最为直接的法律依据。欧盟建议不断发展的科学技术对公民基本权利的影响带来了极大的不确定性，因此需要建立一个集权力、资源、专业知识于一体的监督机构对人脸信息的处理过程进行监督，防止侵害公民基本权利的现象出现。由于美国一直以来都强调人权与自由，因此美国政府对人脸识别技术的应用始终较为谨慎，当下联邦层面与州层面立法规制多集中在人脸识别数据的采集与使用，商用人脸识别的情形与限制，严禁人脸识别技术被滥用等方面。我国可参考美国在人脸识别技术应用方面的相关法律制度与做法，严格规范敏感信息的采集与处理，不断完善人脸识别技术的应用监管框架，并明确规定行政主体使用人脸识别的范畴，以期有效保护个人信息[11]。从美国加州近期出台的《人脸识别技术法案》中可以看出，对人脸识别技术应用的使用限制正在逐渐放宽，整体呈现出由紧到松的趋势。当然，法律移植要考虑中国的本土性，西方国家的价值观是“个人本位”，强调个人的自由与权利；而我国更加注重“社会本位”，强调集体观念，因为价值体系的不同，所以不能生搬硬套域外经验，要结合我国的实际以及公众对人脸识别技术的态度进行相应的法律规制。

4 我国人脸识别技术法律规制的对策与建议

以法律的形式来明确规定人脸识别技术的应用目的，而非一刀切地禁止此项技术的使用。企业是以盈利为目的的，在市场巨大利润的诱惑下，要企业在商业成功和社会责任之间进行选择，我们不能报以过高的期待，所以靠企业自律是不行的。

4.1 完善人脸信息保护的法律救济

将《民法典》《个人信息保护法》分别作为个人信息保护的基本法与特别法依据,构建一条具有中国特色、符合我国实际国情的立法模式，实行“专门立法+分散立法”的模式。即在《个人信息保护法》等个人信息专门立法的统领下，不断完善《刑法》《网络安全法》等关于个人信息的分散性立法，最终实现对个人信息的有效保护，以确保涵盖人脸信息在内的个人信息安全。对人脸信息的保护，除了立法保护外，还非常有必要采取行政保护和司法保护。在行政方面，应不断完善行政监管体系，积极推动人脸识别技术领域的监管机构建设，通过加大行政处罚力度的方式减少非法使用人脸识别技术，在司法上，通过明确诉权主体、确定当事人举证责任范围、提高司法应对能力等措施来应对司法救济的不足。

4.2 细化人脸信息处理标准

人脸信息处理标准的具体化也应当从公私二元领域着手。在公领域范围内，出于维护公共安全和社会秩序的目的，应用人脸识别技术的是国家行政机关。合法性要求行政主体必须是法律明文规定或者是法律法规授权的，在法律规定的范围内依据法定权限和程序进行人脸识别。正当性主要是考察行政目的，评估行政目的是否是“迫切的或实质的国家利益”[12]，要求行政主体必须是在为了迫切或实质的国家利益、社会公共利益或紧急情况下为了保护自然人的利益而进行人脸识别。必要性要求行政主体必须是在满足正当目的时而采取人脸识别技术，如果不是非得采取人脸识别技术不可，可以优先考虑其他方法或技术。在公领域范围内，对于行政主体应用人脸识别技术，由于双方不是处于平等的法律地位，所以对“必要性”的理解应当更为严格，防止公权力主体对公民权利的侵害，规制重点在于“正当性”，判定重点在于“使用目的”。人脸识别在当下互联网信息时代，不能彻底避免提供人脸信息以获取某些服务的情形，应用人脸识别技术主要是为信息主体提供方便、快捷以及个性化的私人服务，当应用主体是企事业单位、网络运营商等私主体时，合法性要求私主体应当按照法律法规规定的人脸信息处理规则进行信息的处理，严禁违反相关法律规定，应充分尊重主体的个人信息自主权，严禁损害他人的合法权益[13]。正当性要求目的的正当性，比如由于疫情防控的原因，师生出入校园及校内公共场所都需要测温，所以许多高校采用人脸识别和红外测温相结合，不但提高了学生管理工作的效率，而且记录了每个学生在校园轨迹回溯中的情况，涵盖应用主体和信息主体之间通过合意实现，为履行个人作为一方当事人的合同所必需的[14]。必要性要求私主体采取的手段应尽可能将损害降到最低。比如近些年学校、宿舍、图书馆安装的人脸识别门禁系统等，违反了“最小必要原则”，因为学校完全可以采用其他方式进行日常管理。可见，私领域范围应用人脸识别的规制重点在于“必要性”。

4.3 书面知情同意原则

2008年，美国伊利诺伊州正式颁发实施了美国在州层面的首部个人生物信息保护法律——《生物信息隐私法》，该法只规范私主体，要求私主体在收集个人的生物信息之前，应当采用书面形式提供通知并取得个人的书面同意[15]，即“书面知情同意原则”。我国《个人信息保护法》规定在处理个人信息时,应当由个人在充分知情的前提下，自愿、明确作出意思表示。由于信息主体在人脸识别中并不处于优势地位，极易受到应用主体的侵犯，如果只是取得信息主体的口头同意或者默示同意，并不能严格保护信息主体。所以，法律规定“默示不被视为同意”条款，强调在“法律、行政法规另有规定或与信息主体另有约定”时，可推定信息主体的同意[16]。不仅如此，法律还应明确规定在采集人脸信息前，应“书面告知”信息主体其采集信息的具体类型、目的、保存时间等。此规定有助于落实信息主体对人脸信息的自决权，以防出现“强制性”的人脸识别情形。最重要的一点是信息主体的书面同意应当是“一次性书面同意协议”，限制个人信息处理者在收集人脸信息进行符合正当目的的处理后再次使用个人的人脸信息。

5 结语

人脸识别系统深度学习的数据越多，人脸识别的效果就会越精确。只要给予足够多的人脸攻击大数据样本，机器就能够自主地学习到伪造图像或合成视频中的瑕疵，最终就能得到对于这些攻击的分辨能力。并且，随着学习数据的不断增多，深度学习系统也会越来越强大，让各种各样的“换脸”无所遁形。人脸识别技术可谓是把双刃剑，通过立法，不但能够有效保护智能产业的创新活力，而且能够有效防止人脸识别技术的滥用，维护公民个人信息及相关利益的安全，法律规制的初衷是通过调整与规范公私二元领域人脸识别技术的应用，来缓解互联网信息时代发展和个人信息保护之间的冲突，以确保人脸识别技术的规范使用，从而实现利益最大化，使人脸识别技术造福人类，使社会管理更有效，使人们的生活更加便捷，让人们在享受科技带来便利的同时也能保护好自己的个人信息不被滥用，满足人们对美好生活的追求，实现国家治理体系和治理能力的现代化。