许 可

“新兴科技”（Emerging Technologies）与法律之间的紧张和互动关系已成为法学的核心命题之一。从人际关系的可计算化到人的数据化，再到生活世界的虚拟化，新兴科技不但革新了外部系统，也革新了我们自己。正是由于新兴科技的自反性和非线性，它对人类社会与法律的挑战才更加复杂而深刻。本文所聚焦的“人脸识别技术”（Facial Recognition Technology）恰是此种新兴科技的典型例证。作为生物识别技术的子集，人脸识别技术是利用卷积神经网络自动学习、局部二值模式（Local Binary Pattern）的强度影像（Intensity Images）技术、图像序列技术（Video Sequences）、3D 信息技术等〔1〕，对静态或视频中的人脸图像进行特征提取与分类，从而用于个人的身份鉴别、验证与分析。与指纹识别、掌纹识别、虹膜识别、体态识别相比，人脸识别技术因其非接触性、便利性、多维性而成为最广泛使用的生物识别技术。在“自然人”迈向“数字人”的进程中，人脸识别技术发挥着不可替代的作用，由此引发的对人之主体性的侵蚀也随之成为法律关注的核心问题。与既有人脸识别的法学研究不同，本文试图从“何为科技”的哲学追问入手，检视不同科技观念下的治理范式，进而反观以人脸识别技术为代表的新兴科技治理，以期在范式革新和时代演进中探寻更广阔也更具启发性的科技治理之道。

一、新兴科技法律治理的经典范式

目前，对“科技”的概念存在诸多理解，本文试图从工具论、实质论、建构论的理论原型出发，删繁就简地整合成如下三种科技治理范式。

（一）基于“科技工具论”的法律治理

“科技工具论”（Technological Instrumentalism）将科技视为服务于人类的工具。作为最契合社会常识的观点〔2〕，科技工具论包含着两个独立但关联的主张：一是科技是旨在满足人类特定需要与目的的手段，因而它本身不包含任何价值，其既非恶非善，又可恶可善，没有追求完美的理想，也无毁灭的邪恶；二是科技产生何种影响与其自身无关，而取决于人们如何使用它。所谓善恶并非科技的性质，相反，其指向了使用者的行为。基于此，法律通过一系列案件将“科技工具论”演绎为“科技中立原则”（Technology Neutrality）。在历史上，这一原则于1908 年在美国怀特史密斯音乐出版公司诉阿波罗公司案中被提出。〔3〕在该案中，原告声称阿波罗公司以乐谱形式出版的钢琴卷轴侵犯了其音乐著作权，但法院最终判定：自动转轴钢琴因操作者机械式地转动机器而发出声音，只要技巧熟练，即可操作此设备演奏原本录制在音乐纸片上的乐曲，此种技术并未侵害原告的著作权，因而驳回原告诉求。〔4〕1984 年的索尼案进一步明确了该原则。法院在判决中指出：打字机、摄像机、复印机等通用商品，从技术上说均对人们利用其实施的侵权行为有所帮助。但是，若把这种帮助看作充分的责任基础，将会大大扩张侵权法的适用范围，法院不能仅因制造商应当知道侵权可能性的存在，就要求其承担帮助侵权责任，否则必将阻碍商业和科技的发展。索尼案将“科技中立原则”具体化为“实质性非侵权用途”规则，即对于“被广泛用于合法的、不受争议用途的技术”的研发者和产品的制造商并不对使用者的侵权行为担责。由此，人们将这一案件视为技术和消费者的胜利，科技中立原则也被看作技术时代的“大宪章”（Magna Carta）。①Sony Corp.of America，Inc.v.Universal City Studios，Inc.，464 U.S.（1984）.在TCL 互联网电视著作权侵权案中，我国法院亦借鉴该原则，认为互联网电视机虽可作为信息网络终端，但倘若其制造商并未参与侵权行为，则仅仅是一种工具的制造者和提供者，并不因此赔偿损失。②北京市第二中级人民法院（2009）二中民初字第17910号民事判决书。

基于工具论的逻辑，法律所欲规制的绝非中立性的新兴科技及其研发者，而直接指向了使用者。但是，新兴科技产品/服务的提供者并不必然免责。一方面，在新兴科技产品无法兑现其技术承诺时，即构成“产品缺陷”，提供者应承担产品责任。以自动驾驶汽车为例，车辆摄像头、传感器、雷达等感知系统功能障碍或安装错误，导致无法发现周围物体、行人或车辆并发生碰撞即属于“制造缺陷”；未充分预估驾驶人可能放弃对车辆控制并做出安全预案，或具有深度自主学习能力的人工智能的决策行为无法控制，即属于“设计缺陷”；生产者未对自动驾驶系统算法进行解释说明，使消费者对人工智能产生了盲目自信，即构成“警示缺陷”〔5〕。另一方面，既然新兴科技是提供者的工具，那么在提供者能够预料和控制并促成或放任其使用效果时，即应承担因此发生的不利法律后果。〔6〕此外，在上述责任机制无法高效、及时、充分填补损害时，可以引入责任保险制度，进行社会化的救济，疫苗事故、核事故、自动驾驶汽车的交通事故均是责任保险的适用例证。〔7〕

（二）基于“科技实质论”的法律治理

与科技工具论相比，“科技实质论”（Technological Substantivism）并不将科技看作无目的工具的集合，而是认为科技是一种自主的、使人类适应其目的的非人类系统。就此而言，不是人使用工具，而是工具在使用人，极端地说，人是科技的工具。〔8〕我们不妨由浅入深地把握这一理论的意蕴。首先，科技有着自身的性质、力量和规则，其独立于自然规律和社会规律之外，不但是诸多构成模块之间的自组织，也是自我创生的。借用经济学家阿瑟的说法，科技能够繁殖、生长、反应和适应周围环境、摄入和释放能量以保持自身。因此，它是有生命的有机体。〔9〕这说明，科技可以自身设定发展路线，趋于自我封闭和自我决定。其次，科技的独立性反过来造就了一种具有特定政治模式的公共关系，发展出一种与科技相融的社会行动和社会生产的社会形态。在理论脉络上，该等实质论将导向科技决定论，在历史发展的过程中，颠覆性、根本性的新兴科技必将对社会造成不可抗拒的决定性影响。最后，既然科技已成为展现“存在”的支配性方式，它自然也是我们生存的环境和“座架”（Ge-stell）。在科技的裹挟下，人不再是技术的主导者，而仅仅被动参与其中，不但失去了控制，还失去了自由。

基于科技实质论的理路，科技自身就应被法律驯化，此即法律对科技的“管制模式”〔10〕。作为对科技中立的否定，管制模式将科技“人为工具化”，拒绝将科技的结构、功能和社会反馈作为其评判标准，而是将国家目标和社会观念全面贯彻到科技之中，一旦科技不能满足或与之冲突，法律就否定或限制其存在。例如，欧盟《人工智能法》草案明确禁止多种“不可接受风险”的人工智能技术，并对“高风险”人工智能技术设定严格要求。为防范科技这种“异物”引发人的“异化”，科技自研发开始，便在法律的调控之下。随着人工智能的迭代，人类与科技之间的关系从“主体—客体”的服务变为主体间的交流，使得新兴科技的法律地位从“客体”逐渐转向“主体”，一种新的法律管制构想开始出现。2017 年《欧盟机器人民事责任法律规则》建议明确了“网络物理系统、自主系统、智能自主机器人及其子类别的共同定义”，同时考虑为具有目的性系统的机器人赋予“电子人”身份。〔11〕尽管强人工智能远未到来，但为平衡研发者、生产商、所有者、使用者、第三人等主体之间利益，人们建议将部分高级人工智能体扩张解释为法律主体，从而对其设定义务、苛以责任或特别保护。〔12〕

（三）基于“社会建构论”的法律治理

“社会建构论”（Social Constructivism）反对科技的自我发展及其对社会的决定作用，转而主张科技是社会建构的产物。循此，从科技的构思设计到产品应用扩散的整个过程中，经济、社会、政治、文化和意识形态等诸多因素共同参与并彼此调和。〔13〕就此而言，科技本身并非自在自为，相反，它应被理解为不断在社会选择中变化着的“社会过程”，因而深深地嵌入社会之中。基于此，社会建构论以非本质主义和历史性的态度去检视科技的脉络，力求打开科技的黑箱，运用社会学的方法分析不同行为者和社会群体参与科技形成的活动，来考察社会是如何影响科技的形式和内容。从强社会建构论的视角看，一项科技没有任何独立的性质、力量、效应，如果它能有某种影响的话，那么这种影响必然来自社会的选择，并在整体上处于社会控制之下。〔14〕

基于社会建构论的洞见，法律对科技的回应就要放宽视野，将与科技相关的所有社会群体的互动和协商置于中心，由此衍生出哈贝马斯意义上的“沟通性治理”〔15〕。详言之，现代社会的新兴科技已经是一种潜在的破坏者，科技权力的边界绝非如契约型政府那样被一次性划定，也并非如反思型政府一样由科技系统自我划定，而应由民主立法过程决定和调整。因而，在治理新兴科技时，国家应为所有利害关系人的参与提供渠道，为公共推理与公私合作搭建制度平台，力图促使受到国家规制影响的个体或组织在审慎论辩基础上作出决定。同时，考虑到科技弱势群体在经济资源、政治机会和信息获取上的欠缺，国家还应进行倾斜性的“赋权”（Empowerment），以实现真正意义上的审议和决定。相应地，科技治理主要不是基于国家规制来直接协调社会活动，而更多的是通过组织非国家主体的有效参与，确保社会政策的公共代表性以及相关机构的可问责性。

二、基于经典范式的人脸识别技术法律治理

科技的不同观念令新兴科技法律治理呈现出不同的面貌：科技工具论的法律治理以“科技使用者”以及特定情形下的“科技产品/服务提供者”为对象，主要通过侵权法、刑法等责任法在事后追究责任；科技实质论的法律治理以“科技自身及其研发者”为对象，主要通过行为管制等行政法在事前和事中予以控制；社会建构论的法律治理以“科技的各利益相关方”为对象，主要通过民主立法程序等宪法性规则确定整体架构。为全面比较三种范式并将它们进一步适用于人脸识别技术的治理，表1从治理主体、治理法律和治理阶段三方面梳理了三种范式各自的主要特征。

表1 三种科技观念下的法律治理

（一）基于“科技工具论”的人脸识别技术法律治理

遵循该范式的人脸识别技术治理一般将“人脸识别技术”视为使用者处理人脸信息的特定工具，因此治理重点依然落在对技术以外的一般性权利（如数字人权、人格权等）的保护之上。例如，2019 年瑞典数据保护机构对安德升托普中学罚款20 万瑞典克朗，理由是其安装人脸识别设备用于学生考勤的做法违反了欧盟《一般数据保护条例》（GDPR）第5 条“数据处理最小必要性原则”和第7条“同意须为自由作出（freely given）”的要求。①KamR Stockholm-Case No.5888-20，https://gdprhub.eu/index.php?title=KamR_Stockholm_-_Case_No._5888-20，2023-10-15.我国亦遵循了该治理逻辑，最高人民法院发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》以“侵害自然人人格权益”作为规范基础。这一执法思路亦被我国400余起人脸识别行政处罚案件所验证。〔16〕循此，人脸识别技术的治理应以“敏感个人信息”保护为主线。

第一，人脸识别应当具有特定的目的和充分的必要性。相较于一般个人信息，对人脸识别信息的保护更加严格。因此，《个人信息保护法》在目的限定和必要原则的普遍适用规范外，额外强调特定目的和充分必要。这里的特定目的比第6条“明确、合理的目的”的要求更高，可理解为法律、法规及合同明确规定、由处理者的特定身份和特定活动所决定的“具体目的”；这里的充分必要亦高于第6 条“与处理目的直接相关”的要求，可理解为“特定处理目的和人脸识别信息的处理活动”之间存在“充分必要关系”，即处理人脸识别信息是特定目的实现的充分且必要条件。职是之故，国家网信办发布的《人脸识别技术应用安全管理规定（试行）（征求意见稿）》（以下简称“《人脸识别管理规定》”）第4条明确，若存在其他非生物特征识别技术方案，能够实现相同目的或者达到同等业务要求，应当优先选择非生物特征识别技术方案。〔17〕

第二，对人脸识别应当开展个人信息保护影响评估，并采取严格保护措施。根据《个人信息保护法》第55、56 条，人脸识别信息处理属于高风险的处理行为，在开展相关活动之前，应评估其处理目的与处理方式等是否合法、正当、必要，对个人权益的影响及安全风险，所采取的保护措施是否有效及与风险的适应程度等，以判断其对个人权益的影响程度及风险控制有效性。除上述评估内容外，《人脸识别管理规定》第15条进一步增设：（1）是否符合法律、行政法规的规定和国家标准的强制性要求，是否符合伦理道德；（2）是否限于实现目的所必需的准度、精度及距离要求。此外，处理者在处理人脸识别信息时，还应制定相应内部管理制度和操作规程、提高操作权限、制定并组织实施安全事件应急预案以及对人脸识别信息作去标识化、匿名化处理等。

第三，人脸识别使用者应当履行增强告知义务。所谓“增强告知义务”，意指在个人信息处理者除告知（1）个人信息处理者的名称或者姓名和联系方式；（2）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；（3）个人行使权利的方式和程序外，还要采取明示方式告知处理人脸识别信息的必要性和对个人权益的影响。其中，必要性如前所述。对个人权益的影响亦与个人信息保护影响评估的结果保持一致，基于信息披露有效性的考虑，可以参考国家标准《个人信息安全影响评估指南》，从影响个人自主决定权、引发差别性待遇、个人名誉受损和遭受精神压力、个人财产受损四个维度，列出严重、高、中、低四种影响程度。以此观之，《人脸识别管理规定》第7条针对公共场所安装图像采集、个人身份识别设备“设置显著提示标识”的规定尚不充分，还应设置二维码，扫描后即可展示上述增强告知的内容。〔18〕

第四，人脸识别使用者当取得信息主体的单独同意，但根据《个人信息保护法》第13 条规定无须取得个人同意的除外。作为“单独同意”，即个人对人脸识别信息的处理行为及其规则，能够独立于其他个人信息处理行为及规则自由、明确、具体地作出同意。详言之，个人对人脸识别信息的处理者、处理目的、处理方式应作出全面、明示的同意，采取清楚、肯定的行动（a clear and affirmative action），而单纯沉默（silence）、已经预设勾选同意（pre-ticked boxes）或是不作为（inactivity）等，都不构成有效的同意。就此而言，尽管我国“人脸识别第一案”①浙江省杭州市富阳区人民法院（2019）浙01民初6971号民事判决书。在《个人信息保护法》生效之前，但司法审查的重点同样落在了个人是否作出明确的同意之上。其次，个人对人脸识别信息处理的同意应当与其他的个人信息处理的同意相区分，以破除一揽子同意和捆绑同意。再次，处理者不得通过欺诈、胁迫、诱导等违反诚信原则的方式，使个人陷入意志不自由的困境，作出违背自愿原则的同意。当人脸识别信息不属于提供产品、服务所必需时，个人完全可以拒绝，且该拒绝操作不得影响个人使用产品或服务。最后，并非人脸识别信息的所有处理活动都应取得个人单独同意：在为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需，如开立金融账户；为履行法定职责或者法定义务所必需，如公安机关依法侦查时；为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需以及法律、行政法规规定的其他情形时，可豁免个人单独同意。

（二）基于“科技实质论”的人脸识别技术法律治理

遵循该范式的人脸识别技术治理将人脸识别技术本身视为风险源泉，从而明确禁止该技术的使用或限定严格的准入条件。例如，在美国联邦层面，《商业人脸识别隐私法案》《人脸识别技术授权法案》《道德使用人脸识别法案》《2002 年人脸识别法案》相继提出，试图明确政府机构不得安装任何与人脸识别技术相连接的摄像机，不得在未经授权的情况下获取或使用通过人脸识别技术获得的个人信息，不得在没有逮捕令的情况下使用人脸识别技术来识别特定个人。在大洋彼岸，欧盟的《人工智能法案》拟禁止可能给人类安全带来不可接受风险的人脸识别技术，包括但不限于：公共场合的“实时”或“后期”的远程识别系统、从互联网或闭路电视录像中无目标地抓取面部图像以创建或扩展面部识别数据库，以及在执法、边防、工作场所和教育机构等领域中用于推断自然人的情绪识别系统等。

我国对人脸识别技术的限制与欧美有微妙但显著的差异。2015 年，国家发改委等九部委联合颁发《关于加强公共安全视频监控建设联网应用工作的若干意见》，指出到2020年基本实现“全域覆盖、全网共享、全时可用、全程可控”的公共安全视频监控建设联网应用。〔19〕在此背景下，《个人信息保护法》第26条将“为维护公共安全所必需”作为在公共场所安装图像采集、个人身份识别设备的必要条件。不过，考虑到在公共场所彻底禁止基于商业目的的人脸识别技术可能过于僵化，上海市的《公共场所人脸识别分级分类应用规范（征求意见稿）》试图从风险规制的角度，将人脸识别技术根据应用场景和应用领域予以分类分级，在一定程度上允许金融、医疗、教育、建筑、房地产、商业、娱乐等行业以及社区、园区的应用。〔20〕《人脸识别管理规定》第10 条一方面将人脸识别技术缩限到“远距离、无感式辨识特定自然人”，另一方面将使用目的扩展到“维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需”，亦是平衡风险和收益的举措。〔21〕可以预见，未来对人脸识别技术的控制可以采取严格禁止、行政许可、安全评估等多层次规范模式，以确保人脸识别技术及其监管措施的合理性与合比例性。

（三）基于“社会建构论”的人脸识别技术法律治理

遵循该范式的人脸识别技术治理要求将受到人脸识别技术影响的各利益相关方，特别是个体纳入技术设计之中。这一进路并不认可“人脸识别技术及其风险的特殊性并施加特殊规制”的观点，而主张将消除社会公众与技术之间的信任危机作为一般立场，以期化解个体对个人信息安全、身份验证准确以及对人脸识别技术泛滥的隐患，“透明性”由此成为治理的核心问题之一。〔22〕2022 年，全球隐私大会发布《关于在人脸识别技术中适当使用个人信息的原则和期望的决议》，将“透明性”列入治理原则之一。据此，所有人（特别是未成年人和弱势群体）有权知悉：（1）其面部图像可能或将被用于人脸识别系统；（2）其面部图像可能或将被纳入人脸识别系统的参考数据库；（3）人脸识别信息的储存方式和地点、信息的处理目的、信息的保留时间；（4）可能与哪些实体共享信息。为此，人脸识别设备应当设置醒目的标识，清楚地标明正在使用人脸识别，而不是一个标准的安全摄像头，并在合理情形下通知被处理的所有个人。〔23〕

在宏观层面，“社会建构论”的人脸识别技术法律治理倡导一种多利益相关方的共同治理。为实现此目标，世界经济论坛在法国率先建设了人脸识别技术的多利益相关方社区，汇聚了设计、研发、采购人脸识别技术的公司、商业机构、政府部门、学者和民间社会代表，通过共同研究和论辩确定负责任使用人脸识别的定义和原则；其次，从“经由设计的负责”原则开发一套最佳实践，以支持上述原则；进而，借助评估问卷，由各方评估其实施是否符合要求；最后，再由授信第三方审核实践中的组织和操作，以验证原则的遵守情况。〔24〕这一程序性的治理机制并不预设任何群体、任何主张的优先性，而是借由搭建利益相关方之间可持续的合作关系，使其在科技的道路上审慎地权衡取舍，为真正以人类福祉为本的科技奠定基础。

三、范式革新：人脸识别技术系统的法律治理

科技工具论、科技实质论和社会建构论分别关注了“人—技术—社会”三个因素。但究其实质，科技是自然属性和社会属性的统一体，无法将科技从其所束缚的社会结构之网中移除；另一方面，离开人类能动性和科技原理及其历史脉络，任何科技创新也如无源之水。实际上，科技实践和治理远比单一观点的表述要复杂和微妙，只有综合“人—技术—社会”的三维视角，才能获得对科技的整全性治理。在此，将这一新的范式称之为“科技系统论”。

（一）迈向“科技系统论”的法律治理

科技系统论旨在打破经典范式对“人—技术—社会”的割裂，如其倡导者托马斯·休斯所言：对于科技系统和网络建设时代的发明者、工程师和管理者来说，技术与科学、科技与社会、纯粹研究与应用研究、科技内部人与科技外部人都是一些陌生的二分法。相反，技术、专业人士、各种组织都是科技系统中的互动实体，发挥着独立作用，从而共同构成了“无缝之网（Seamless Web）”〔25〕。循此，我们要区分两种不同的概念：一个是技术（Technical），包括物理人工物（如发电机、变压器、电灯和输电线路等）和软件（如专业知识）；一个是科技（Technology），即涵盖了物理人工物、软件、组织、法律人造物和自然资源的“技术—社会系统（Socio-technical System）”〔26〕。自工业时代的能源、通信、交通等技术兴起以来，后一种“科技”（即“技术—社会系统”）已经成为现代科技的基本图式。随着数字时代的来临，新兴科技亦取代工业技术，化身当代大型技术系统（Large Technological System）〔27〕的最佳代表，成为集企业、政府机构、社会群体、消费者组织、标准化实体、监管人员、在线系统、算法等多种异质要素于一身的复杂系统。

“对称原则”和“互动原则”是科技系统论的基本原则。所谓“对称原则”，即在剖析科技系统时应平等对待“技术的社会决定”和“社会的技术建构”，平等对待“人类行动者”和“非人行动者”，平等对待“技术的世界”和“非技术的世界”。所谓“互动原则”，即上述两两对立的要素不但可变且相互影响，因此可以在“共同的、偶然的、场景的目标与利益”下，动态调试、自由连接并生成网络。故而，若系统的一个组件被移除或性质发生改变，其他组件也将相应发生改变。由于所有要素均为变动且可反转的因缘际会，科技系统就不再是被“决定的”，而是在经济、政治、文化和物理的永恒流动中，展现出的生态秩序“转译历程（Translation Process）”〔28〕。

职是之故，新兴科技的法律治理不但应平等考量“技术”和“法律”，还应着眼于整个科技系统，而非立足技术或法律单一组件。在此，我们不妨将之称为治理的“共同优化原则”（Principle of Joint Optimization）。须知，系统内特定维度上臻于完善，系统整体未必达致最优。事实上，系统最优往往以每个独立维度的状态都低于最佳状态为代价。作为彼此独立的要素，技术和法律遵循着迥然不同的逻辑，但基于互动原则，如果两者难以契合，就会导致不平衡，从而危及系统整体目标的实现，甚至使之成为不可能。故此，在优化新兴科技治理时，法律/技术的“输入”应转译为技术/法律的“输出”，从而实现共同优化的异质耦合。〔29〕因而，新兴科技的法律治理一方面要尊重技术规律，尝试从技术内在视角观察法律并优化技术，由此形成以自然规律为基础的技术标准法律化和法律规范标准化；另一方面要以科技系统内各种“人类行动者”，尤其是“系统建立者”为对象，通过法律权利、义务、责任的设定促进各方开展利益协调和重构科技系统。为此，法律应从命令服从机制转向激励相容机制，调动被监管者的守法诱因，以推动内生治理和外部规制的有效合作。〔30〕

（二）科技系统论下的治理迭代和人脸识别技术治理的革新

与科技工具论、科技实质论、社会建构论相比，科技系统论的法律治理在治理主体上既包括科技自身，更指向了人类行动者，但又不会将所有利益相关方全部纳入，避免了治理主体过于泛化的缺陷。其次，在治理法律的性质上，科技系统论的法律治理主要表现为“激励法”，即将法律视为一种激励个体改变自身行为的工具，其作用发挥必须以治理主体在法律阴影下自身效用最大化为前提，在此意义上，法律不仅是强制性原则，更是可执行、可预期的诱导性规则。最后，在治理阶段上，科技系统论的法律治理是融合事前（研发）、事中（应用）、事后（责任）的全链路治理。需要说明的是，从经典范式到科技系统论的迭代，并不意味后者对经典范式的取代，毋宁是一种能级跃迁，确保后者可以向下兼容科技工具论、科技实质论、社会建构论，进而形成“人—技术—社会”整全性治理。

基于上述原理，科技系统论视野下的人脸识别技术治理，一方面涵盖了基于个人信息保护的治理（科技工具论）、基于技术风险的治理（科技实质论）以及基于透明性的治理（社会建构论）；另一方面它超越了经典范式，在科技系统的建构和解构的双向运作中，抽离出人脸识别的行动者、场景、算法、数据等系统组件，凭借共同优化原则，实现法律和技术的同频共振。事实上，《人脸识别管理规定》恰恰建立在这一范式之上。该规定第1条开宗明义地将立法依据扩展到《网络安全法》《数据安全法》《个人信息保护法》〔31〕，充分说明其不再是根据《个人信息保护法》第62 条“针对人脸识别制定专门的个人信息保护规则、标准”授权而制定的下位法，而是从宏观维度对人脸识别技术的系统性规范、相关条款的展开，更鲜明地体现了不同参与者、多种场景和细化技术标准相呼应的系统论方法。

（三）基于“科技系统论”的人脸识别技术法律治理

从科技系统论出发，首先要辨明人脸识别技术系统的人类行动者。基于对技术系统生态的观察，相关主体可类型化为：（1）技术提供者，即提供包含视频人脸识别、图片人脸识别和数据库对比检验等技术的提供方；（2）产品/服务提供者，即根据具体应用场景的需要，提供离线SDK、在线API、人脸识别一体机等软件服务、软硬件一体终端以及运行维护服务的提供者；（3）产品/服务使用者，即将人脸识别技术实际应用于智慧安防、智慧金融、手机娱乐、出行交通等多个场景中的使用方；（4）平台管理者，即提供产品/服务提供者或使用者的接入或向其运营提供技术资源和信息收集渠道，以及提供市场和用户触达中介服务的操作系统、应用程序分发平台、大型平台型APP。基于共同优化原则，人脸识别技术法律治理应广泛吸纳《远程人脸识别系统技术要求》《人脸识别数据安全要求》《公共安全重点区域视频图像信息采集规范》《公共安全人脸识别应用图像技术要求》《移动智能终端人脸识别安全技术要求及测试评估方法》《人脸识别支付场景个人信息保护安全要求（征求意见稿）》等技术标准，令抽象的法律规范和充满细节的技术要求彼此协作，从而为相关主体设定即时回应且可操作的行为指引。

1.技术提供者的治理

技术提供者是人脸识别技术应用的源头活水，其治理自然构成技术治理的重中之重。详言之，技术提供者的治理又可分为数据安全治理和算法可信治理。人脸识别技术以数据为驱动力。典型的人脸识别系统由“训练”和“识别”两部分组成，前者包括人脸数据库、人脸检测与定位、人脸图像预处理、特征提取与选择、训练；后者包括人脸信息采集、图像像素数据化、数据库比对识别。据此，技术提供者在数据训练、存储、传输、删除均负有保证技术研发可靠、安全的义务。

在数据训练环节，技术提供者应特别关注以下方面：（1）技术设计选择；（2）数据采集；（3）数据准备处理操作（注释、标记、清洗、充实和汇总）；（4）数据应衡量和代表的信息假设；（5）事先评估所需数据库的可用性、数量和适用性；（6）可能存在偏见的检查；（7）确定任何可能的数据空白或不足以及如何解决这些空白和不足。技术提供者应当确保训练、验证和测试数据库具有代表性、完整且没有错误。同时，数据应具有适当的统计属性，特别是与拟识别人群有关的属性。在存储环节，技术提供者应采取加密或去标识化的安全技术措施，包括但不限于生成不可逆、可更新的人脸特征后再存储，以及特征提取算法、密码学技术、假名标识符等技术。同时，存储环境应提供分类管理的机制，保证人脸识别信息与身份信息分开存储，建议采用人脸信息与身份信息设置不同访问权限的控制、隔离的物理机房或独立数据系统中存储、两套数据有解耦等隔离手段。在传输环节，技术提供者应确保传输环境安全，建立安全的人脸信息传输通道，在传输或接受传输前，对通信双方的真实身份进行鉴别和认证，并采用防火墙、事前检测等安全技术或设备。在删除环节中，技术提供者应确保及时删除人脸信息，利用慢速格式化、Secure-Delete指令等可行方法，使系统具备删除后防止恢复的能力。

人脸识别技术内含高风险算法，技术提供者应当在研发伊始，就将算法可信理念植入需求分析和系统详细设计等规划设计中，从而使后续的研发测试和运营始终符合算法可信要求。一方面，技术提供者须承担算法准确性、鲁棒性、安全性的义务。为此，其可以通过备份、故障安全计划等技术冗余的解决方案，利用在技术投入使用后仍会持续学习和反馈循环的开发方式。同时，对于未经授权的第三方通过系统漏洞更改使用或性能的尝试，人脸识别系统应具有复原性，足以化解所处环境的可能故障，特别是因其与操作人员或其他系统的相互作用所引发的错误。最后，技术提供者还要采取对抗训练，以预防操纵训练数据集的攻击措施，防范导致模型出错的输入或模型缺陷。另一方面，技术提供者还应积极履行算法安全评估与审计，定期审核、评估、验证人脸识别算法的机制机理，全面审计人脸识别技术的模型训练和模型评估等实现流程，提升系统可追溯能力。其中，模型训练是为算法系统赋有“智能”的关键，对硬件平台、软件框架、算法选择、调参过程等环节的全面审计，能有效确保技术的源头可信性。模型评估反映算法系统在实际应用中的性能表现和泛化能力，标准严谨的评估过程能衡量模型质量，并判断其是否能满足设计要求，帮助发现系统实现过程中的问题并不断改进。因而，详细审计模型在验证集、测试集上的指标表现和变化对算法可信治理而言不可或缺。最后，在必要时可以通过算法备案，以增强上述算法安全评估和审计的透明度。〔32〕

2.人脸识别产品/服务提供者的治理

人脸识别产品/服务提供者是人脸识别系统生态的中间力量，其上连接技术提供者，下启人脸识别服务使用者，发挥着承上启下的枢纽作用。据此，人脸识别产品/服务提供者应承担如下义务。（1）质量管理义务。产品/服务提供者应全面建立质量控制和质量保证的组织和程序、严重事故和故障的应急程序，以及支持监管机构监督和执法系统等。对于列入网络关键设备和网络安全专用产品目录的图像采集设备、个人身份识别设备，还应按照国家标准的强制性要求，由具备资格的机构认证合格或者检测符合要求后，方可提供。（2）人工监督义务。为降低风险，产品/服务提供者应采用适当的人机界面工具，使其在运行过程中可以由人介入和监督。为此，人脸识别系统应具备人脸识别信息访问控制功能，确保信息复制与下载等重要操作由特定人员在执行、操作过程中验证身份、及时收回执行人员操作权限。同时，负责监督的人员须充分了解人脸识别的功能和局限性，有能力发现并解决功能异常和意外性能的故障；并能意识到过度依赖人脸识别技术产生的“自动化偏差”以及其他风险，可以采取快速接管或通过“一键关停”的方式终止服务。（3）算法日志记录义务。产品/服务提供者应当确保人脸识别技术具有系统运行时自动记录事件（日志）功能，包括记录系统每次使用的时间、针对其检查输入数据的参考数据库、搜索导致匹配的输入数据以及相关自然人的身份。（4）起草技术文件义务。产品/服务提供者应当编制技术文件，并向监管机构提供，以评估其合规性。（5）保密义务。产品/服务提供者对获取的个人图像、身份识别信息负有保密义务，不得非法泄露或者对外提供。

3.人脸识别产品/服务使用者的治理

作为面向公众提供的主体，使用者是人脸识别技术的终端，承担最终责任。为此，使用者首先负有个人信息保护义务。在收集人脸信息时，应以提供单独弹窗、单独提示等方式进行告知，供人脸信息处理者用于告知收集人脸信息事宜以及处理人脸信息保护政策；应具备便于查看人脸信息保护政策的功能；应具备用户撤回同意、单独同意或拒绝的功能，并且在用户单独同意后才进行收集；应能够针对意外收集的非注册用户人脸信息进行及时删除或匿名化处理。在存储人脸信息时，应确保能够到期自动删除；应确保人脸信息主体行使个人信息权利能够及时响应。〔33〕此外，对“影响个人自主决定权”“引发差别性待遇”“个人名誉受损或遭受精神压力”“个人财产受损”等权益影响及安全风险，以及所采取的保护措施是否合法、有效并与风险程度相适应等方面应开展个人信息影响评估。其次，使用者负有算法解释义务。在“产品/服务使用者”和“产品/服务提供者”二分架构下，使用者是人脸识别算法解释的首要主体。〔34〕基于此，个人有权要求使用者在合理范围内，展示输入人脸信息，并要求说明相应人脸识别信息对决策结果产生何种影响。此外，使用者还应针对模型、数据和结果保留明确记录，从而在变动对应因素后，使算法输出特定决策，以备监管部门、第三方机构或法院的核查，最终判断算法是否导致歧视性或其他不当后果。最后，使用者还应当履行相应的备案义务。根据《人脸识别管理规定》第16 条规定，在公共场所使用人脸识别技术，或者存储超过1万个人脸信息的人脸识别技术使用者，应当在30 个工作日内向网信部门备案，并将人脸识别技术使用者及其个人信息保护负责人的基本情况，处理人脸信息的必要性说明，人脸信息的处理目的，处理方式和安全保护措施，人脸信息的处理规则和操作规程，个人信息保护影响评估报告等信息提供给监管机构。〔35〕

4.平台管理者的治理

鉴于平台管理者实际控制了技术环境和运营环境，对人脸识别服务的技术设置和条款条件具有决定性作用，其应特别承担“守门人”义务。为此，平台管理者首先应制定符合国家法律法规等规定要求的准入规范，不得为不达标的人脸识别产品/服务提供者或使用者利用其所管控的通道、空间和其所提供的服务。其次，应采取必要的技术手段，对利用其所管控的通道、空间和使用其所提供的技术服务的第三方人脸识别行为进行监管，必要时提出警告和整改意见。最后，还应建立相关的投诉受理和处置机制，配合监管机构对违反法律法规的第三方App进行调查处理。〔36〕

四、结语

40 年前，托马斯·休斯曾提出一个饶有趣味的问题：为什么20 世纪初的电力系统在不同的时间、不同的地区和国家有不同的特性？例如，柏林拥有大约六个大型发电厂，而伦敦则有50 多个小型发电厂，引人注目的差异不只是数量，更重要的是电力产生、传输和分配的方式。〔37〕其实，正是这些不同的“技术风格”才充分表明：从没有整齐划一的科技理想图式，科技始终在“技术—社会—人”的复杂互动中悄然成型。因此，面对新型科技对人类的挑战，我们必须超越经典的“科技决定论”“科技实质论”和“社会建构论”，迈向科技系统的法律综合治理，经由“技术—社会—人”的同频共振，最终实现科技善治。