金文惠

摘 要：人脸信息属于个人生物信息，也是个人敏感信息，一旦被恶意滥用，后果将不堪设想。目前，人脸识别技术的发展带来了许多法律问题，民众的隐私权、知情权、个人信息权等权利受到了严重侵害。欧美国家为了应对人脸识别技术的应用所造成的问题，不断出台相关条例来进行规制。我国也为了解决民众人脸信息保护问题在立法方面做出了许多努力，即将正式实施的《个人信息保护法》可以当作是我国针对人脸信息等个人信息保护法律规制方面的一部进步之作。

关键词：人脸识别；法律规制；个人信息保护；个人信息保护法

中图分类号：D9     文献标识码：A      doi：10.19311/j.cnki.16723198.2023.02.060

0 引言

随着社会与科学技术发展，人脸识别技术在生活中逐渐得到了较为广泛的应用。人脸识别技术的应用给予民众许多便利的同时，也产生了侵犯民众的隐私、人身安全、财产等方面的隐患。人脸信息属于个人独有的生物识别信息，民众无法像更换手机或账号那样更换其面部信息，因此无论是国家、社会还是个人都应当重点关注和保护人脸信息及与其具有紧密关联的其他个人信息。我国通过有关保护人脸信息的法律规定，即《个人信息保护法》，由此可证，国家已经开始将视线转到人脸识别技术这一新型科学技术，并对其产生的法律问题给予初步的重视。人脸识别技术带来的个人信息保护方面的问题有待进行深入的讨论。

1 人脸识别的概念

人脸识别是一项热门的计算机技术研究领域，它属于生物特征识别技术，是对生物体（一般特指人）本身的生物特征来区分生物体个体。人脸识别能够进行智能分析，只要人脸被摄像头抓取就能被轻松识别并自动生成编号，商家、APP、政府机关或其他组织等任何可能获取人脸信息的主体在未经过民众的同意下私自应用此技术而谋取商业利益，或者将抓取到的信息进行恶意售卖、恶意泄露，这无疑是对民众的隐私权和知情权的严重侵害。

2 人脸识别的应用产生的法律问题及案例

（1）个人信息被滥用，法律威慑力不够强大。部分商家或APP通过人脸识别技术获取社会民众的人脸信息等重要个人信息，进而分析、整理社会民众的兴趣、品味以及需求，在未经过客户同意的情况下，擅自使用已收集的个人信息，甚至为实现其商业利益而售卖客户的人脸信息，严重侵害了自然人的隐私权等人格权益。如在“净网2021”专项行动中侦办查获的，夫妻俩为了增加收入而贩卖民众个人信息，不惜自建服务器和网站，将个人信息转成乱码卖给客户的事件，外界宣称“夫妻店”被端案件。不法分子获取民众个人信息的渠道和成本极低，一条信息价格在几毛钱至三元不等，获利却相较丰厚，依据目前为止在我国出台的法律，并不能对这些不法行为产生强大的威慑力，民众的个人信息权利缺乏法律有力的保障。

（2）人脸信息的保护措施不够完善，存储不安全。如今民众的个人信息正面临着许多安全方面的隐患，因此GB/T 35273-2020《信息安全技术个人信息安全規范》针对个人信息在收集、存储、使用、共享、转让与公开披露等信息处理环节中的相关行为进行相对严格的规范，为民众个人合法权益与社会公共利益给予了一定程度的保护。目前我国对人脸信息的保护措施尚未完善，就算采取加密等安全措施，应用于储存人脸信息的电子计算机系统仍然存在被黑客入侵、病毒入侵的风险，从而导致人脸信息的泄漏。生物信息一旦被泄漏或被非法利用，有可能造成不可逆转的损害，个人人身财产都会因此受到牵连，后果将不堪设想。

（3）收集超越民众授予的权限范围，民众对自己人脸信息的掌控不够自由。一些APP采用强制性的手段，诱导或逼迫用户提供人脸信息及其个人身份信息。收集个人信息后，一些APP也没有提供可以选择删除人脸信息的功能，用户一旦开通人脸识别，无法根据自己的意思表示自由撤回其个人敏感信息。如2021年轰动全国的支付宝人脸识别事件，在支付宝提供人脸信息时，用户以为自己只露了面部，实际上支付宝后台审核人员看到的远不只是面部，用户的其他身体部位也暴露在镜头内，因为支付宝的人脸识别是人工审核的，用户的个人敏感信息被审核人员看到了也就没有补救的方法，用户无法根据自己的意愿撤回其信息。

（4）人脸信息一旦被恶意使用，民众人身财产将受到巨大威胁。如浙江省宁波市的一位购房者因其人脸信息已被杭州湾楼盘的售楼处的人脸识别记录而无法得到购房优惠，据查明，售楼大厅没有公开明示收集买房人脸部信息的目的、方式和范围，也未主动告知并经卖房人同意，擅自存储买房人人脸信息，用来区分客户来源，甄别是否中介带客。售楼处的行为不仅违反了《消费者权益保护法》第29条，《最高法发布审理使用人脸识别技术处理个人信息相关民事案件的司法解释》第二条，侵犯了购房者的隐私权、知情权和个人信息的权益，还严重侵害了购房者的财产权，致使其无法得到购房优惠，造成财产的损失。除此之外，黑客还会通过民众的个人信息，攻击其银行卡、学生卡、微信支付、支付宝等可以进行交易的媒介，转走民众的钱款，对民众的财产安全造成威胁。非法讨债甚至绑架勒索等犯罪活动也会悄然降临在民众身边，对民众的人身安全造成巨大威胁。

3 欧美针对人脸识别的法律规制

科技的发展向来就是一把双刃剑，任何一项技术的应用都常有利弊相随。欧美一直对研究人脸识别技术表达了开放性的态度，但随着人脸识别技术应用产生的问题所引发的社会影响越来越大，欧美国家对人脸识别技术的应用似乎走向了保守的道路。事实证明，不仅只有我国遇到此类难题，欧美亦是如此，面对这些问题欧美的各地方政府相继出台了相关法律对人脸识别技术的应用进行严格限制与规范，这将对完善我国针对人脸识别技术应用的法律产生积极的影响。

3.1 美国针对人脸识别的法律规制

（1）人脸识别技术的应用在美国产生的问题。

人脸识别技术在美国的推进困难重重。警方、政府部门需要使用人脸识别技术来协助警务，但又这不可避免地导致侵犯隐私、人权，歧视少数族裔、歧视女性等结果，因此人脸识别受到了广大美国公民的批判。

据2018 年纽约时报英文网站发表的一篇文章显示，如今非常热门的AI应用人脸识别，针对不同种族和性别，其准确率存在巨大差异，例如，针对黑人女性的错误率高达 21%-35%，而针对白人男性的错误率则低于 1%，这显然隐含对种族和性别的歧视。目前，人脸识别技术的准确性还不能完全保证，将人脸识别技术应用到前端视频监控摄像机上，可能会打破隐私及实用性之间的平衡。假设美国警方有若干台拥有可疑人员的黑名单照片库的安防摄像机，与可疑人员相像的人一旦进入警察的安防摄像机的镜头之内，都有可能受到警方的盘问。大多数美国公民认为这是对其隐私权的侵犯和对其人格权的侮辱。

（2）美国针对人脸识别的立法与监管措施。

目前，美国还没有出台专门的有关使用人脸识别技术的联邦法律，但美国的个别州和地方政府已经做出了自己的努力：加利福尼亚州、缅因州、伊利诺伊州、俄勒冈州等州采取法律措施，规范人脸识别技术的应用。

旧金山《停止秘密监察条例》规定，政府机构不得使用人脸识别技术，未经城市管理者的批准，任何购买新型监控技术的计划都不可擅自实施。事先征得监事会的批准成为旧金山城市部门使用监控技术或服务的必要前提，并且每年都需要向监事会报告监管设备和服务是否按批准方式使用。

缅因州波特兰市于2020年11月也颁布了禁令，禁止政府机构通过人脸识别进行非法取证，并允许公民起诉非法监视行为。该条例中还新增了具体的处罚标准，规定如果公民被违规监视，可累计每次获得100美元补偿，或者直接获得1000美元，以金额较高者为准，还会收到律师费的补偿，违规使用人脸识别也将成为公职人员被停职或解雇的理由。

此外，伊利诺伊州的《生物信息隐私法案》也要求公司在收集生物识别信息之前应当征得客户的允许。俄勒冈州波特市议会也在2020年9月通过《禁止私人实体在波特兰市的公共场所使用人脸识别技术》。

（3）美国政策与立法对我国的借鉴意义。

美国是联邦制国家，虽然美国没有专门的监管人脸识别技术应用的联邦法律，但是美国一些州和地方政府通过立法来防治政府机关或其他组织滥用人脸识别技术，监管该技术应用的地方法律对我国是很好的借鉴。

在我国人脸识别技术在先进的地区已经开始广泛使用，与此同时监管该技术使用的法律也随着技术的应用在先进地区相继出台。如天津、南京、杭州、深圳等地区相继出台条例来监管人脸识别的应用。以深圳为例，《深圳经济特区公共安全视频图像信息系统管理条例（草案）》中严格限制了摄像头的装置，其规定旅馆客房、集体宿舍、公共浴室、洗手间、更衣室、哺乳室等可能泄露民众隐私的区域场所，禁止安装系统。单位和个人安装公共安全视频图像信息系统应当仅限于满足自身安全防范需要。

但是，我国关于监管人脸识别技术应用的地方法律并不完善，除了上述的部分先进地区，其他地区并没有监管该技术的法律法规，民众的隐私权、个人信息权依然得不到有效的保護。美国地方政府与我国先进地区监管人脸识别技术使用的立法启示我国要督促国内制定类似法律，来惩治类似违法行为，并将政府机关或其他组织滥用人脸识别技术的情形扼杀在摇篮。

3.2 欧盟针对人脸识别的法律规制

（1）欧盟针对人脸识别的立法与监管措施。2018年5月，欧盟《通用数据保护条例》（GDPR）正式生效，适用于各成员国，涵盖了生物识别数据在公共和私人领域的应用。此后，法国对Google开出了高达5千万欧元的罚单，认为其服务条款不够透明，违背了取得用户“有效同意”的原则。瑞典数据监管机构也依据该条例对一所高中开出罚单，认为使用人脸识别记录出勤违背了“必要性原则”。据统计，截至2020年1月，欧盟各国数据监管机构接到的违规举报超过16万件，而各国开出的罚单总金额达1.14亿欧元。此外，欧盟还通过了《数据保护执法指令》，专门针对执法部门，当执法者需为预防、监控、调查或起诉犯罪行为使用个人数据时，需遵守该指令。

（2）欧盟政策与立法对我国的借鉴意义。GDPR被誉为“史上最严格数据保护法”，也影响了其后多国的数据立法。相较于欧盟关于人脸识别的法律，我国对滥用人脸识别技术，侵害民众隐私权、个人信息权的违法行为的惩罚并不严格，已出台的法律对此违法行为产生的威慑作用并不大，利用人脸识别技术侵犯他人利益的情形并不会有所减少。欧盟GDPR的实施，启示我国要加强对人脸识别应用的监管力度，应当完善立法，惩罚制度要有所加强，并且要打造典型执法案例，对法律条文进一步解释。

4 《个人信息保护法》出台对于保护人脸信息的意义

我国《民法典》已经对民众的个人信息给予了一定程度的法律保护，明确将生物识别信息列举为个人信息，但是对民众人脸信息等个人生物信息的保护力度并不大，缺乏对个人生物信息的特别保护措施。与相对严格的“欧盟模式”以及相对宽松的“美国模式”不同，我国《个人信息保护法》采取“宽严相济”的立法模式，探索出了第三条个人信息保护路径。《个人信息保护法》针对过度收集信息、大数据杀熟、滥用人脸识别技术问题做出了进一步的立法，对收集个人信息监管力度也有所加强。

（1）在法律的层面规制应用软件未经允许用户允许滥用用户人脸信息的现象，为网络用户提供了敏感个人信息的法律保障。如《个人信息保护法》第61条和第66条，规定专门部门保护用户人脸信息等个人信息的具体职责和处罚违法行为的具体职权。

（2）用立法手段有力回应“大数据杀熟”问题，禁止个人信息处理者通过自动化决策利用人脸信息等个人信息实行不合理的差别对待。《个人信息保护法》明确禁止经营者无论在哪个平台都不得通过识别人脸信息来分辨消费者是否为熟客，对不同消费者在交易价格等交易条件上实行不合理的差别对待。

（3）对未成年人的人脸信息等敏感个人信息进行特殊保护。《个人信息保护法》将不满十四周岁未成年人的个人信息规定为敏感个人信息，有助于有效杜绝未成年人个人信息被超范围收集的现象。未成年人对人脸识别还不够了解，自我保护意识和能力较弱，人脸信息等个人信息也很容易被不法分子所利用，本法的出台强调了收集未成年人个人信息的必要性原则，采取严格保护措施，对未满十四周岁未成年人的人脸信息等个人信息进行升级保护。

5 针对人脸识别的个人信息保护问题提出的建议

（1）任何主体应用人脸识别技术应当遵守合法、正当、必要性原则，明确规定相应的标准来判断民众的人脸信息是否为必要收集的个人信息。

（2）针对侵害民众人脸信息等个人信息的违法行为应当明确多方侵权主体责任，采取过错责任原则来要求侵权主体承担相应的赔偿责任。对民众人脸信息的侵权主体除了直接滥用人脸信息的一方以外还可能包括人脸识别技术的研发方、人脸信息收集方等。在侵权责任承担的认定方面，可以借鉴德国《联邦数据法》最新修正案的规定，由具有嫌疑的主体共同承担连带责任，这样可以有效维护民众的诉讼权利，在一定程度缓解无法确切认定侵权方的难题。

（3）建立统一的监管平台，实时动态监管，完善人脸识别监管体系。我国人脸信息在合法收集后发生泄漏、滥用，是因为人脸信息的收集环节、后续的存储、转让、使用等环节缺乏专门的监管。因此，完善人脸识别监管体系，组建统一的监管平台，进行实时动态监管，严格把关人脸信息被收集后的后续环节是很有必要性的。

（4） 民众要积极参与社会监督。若发现政府机关或其他组织机构滥用人脸识别技术，非法收集个人信息，可以行使监督权利，及时制止非法行为，保护民众的个人信息权等合法权益。

6 结论

科技发展的初衷是为了给予人类更大的便利与舒适，而不是利用科技，不惜侵害他人的权利来满足自己的私欲。科技的利用会不会产生好的效果全在利用者的一念之间，为了科技的健康发展，对科技的立法规制是必不可少的。限制科技的使用，对企业与社会的未来发展会造成一系列问题，会打消科技创新者的创新积极性。但是，法律的不断完善就是为了在避免科技发展停滞的前提下，用法律规制非法行为，规范科技的应用，让科技更好地为人类服务。

参考文献

[1]樊华，何延哲，陈萍.App收集使用人脸信息现状研究[J].中国信息安全，2021，（4）：7072.

[2]闫丽君.贩卖50万条个人信息，“夫妻店”被端[EB/OL].http：//www.mzyfz.com/html/1293/2021-03-26/content-1471086.html.

[3]信安标准.重磅：GB/T 35273-2020《信息安全技术个人信息安全规范》最新解读[EB/OL].https：//blog.csdn.net/wuguojie888/article/details/105203508/.

[4]邢会强.比较法研究[M].北京：中国政法大学比较法研究所，2020：5163.

[5]程潇龙.“售楼处的人脸识别记住你了”浙江女孩去买房被中介拒绝！[EB/OL].https：//www.163.com/dy/article/G4KVS2CA051492LM.html.

[6]潘颖欣.美波特兰市通过人脸识别禁令，公职人员违规使用或被解雇[EB/OL].https：//www.163.com/dy/article/FQPJ1ULC05129QAF.html.

[7]Dave Lee.San Francisco is first US city to ban facial recognition[EB/OL].https：//www.bbc.com/news/technology-48276660.

[8]张佳.人脸识别技术禁令再来！美国又一城市禁止面部识别软件[EB/OL].https：//baijiahao.baidu.com/s？id=1638046876035950377&wfr=spider&for=pc.

[9]Dave Gershgorn. Maine passes the strongest state facial recognition ban yet [EB/OL].https：//www.theverge.com/2021/6/30/22557516/maine-facial-recognition-ban-state-law.

[10]陈熊海，司新宣，谭永刚.2020年深圳各类 摄像头达200万个[N].南方日报.2019-03-29（A13）.

[11]21世紀经济报道.欧盟人工智能立法：呼吁禁止公共场所人脸识别，严格监管或为市场[EB/OL].https：//baijiahao.baidu.com/s？id=1703621624829551327&wfr=spider&for=pc.

[12]罗晓宇.网络消费者个人信息的法律保护研究[D].辽宁：辽宁大学，2020.

[13]王清.人脸识别技术应用的法律规制研究[D].上海：华东理工大学，2021.