摘要：人脸识别已经成为人们从移动互联网转向智能互联网的重要入口，其应用过程中给人们带来便利的同时也存在侵权风险。纵使国家已出台了《中华人民共和国个人信息保护法》（以下简称《个保法》）保护公众人脸信息安全，但在实际适用中，与此相关的法律链条仍缺乏紧密性。本文基于人脸识别技术应用带来的风险，深挖其导致风险的原因并提出人脸识别数据保护路径。本文具体从法律法规、人脸识别技术本身以及社会规制几个方面提出对策建议，以实现科技发展与信息安全之间的利益协调。

关键词：人脸识别信息；人脸识别技术；安全风险；法律规制

中图分类号：D9文献标识码：Adoi：10.19311/j.cnki.16723198.2024.15.073

1提出问题

智能信息技术的快速发展，将个人生活状态、身份等私密信息刻画进一个全新的数字空间，这推动了社会的发展，但也使我们陷入个人信息泄露的威胁。继我国“人脸识别第一案”后，依法规制人脸识别技术成为学界以及公众热烈讨论的问题。从现有的研究看，不同学者主要从以下几个方面对人脸识别信息展开讨论：①通过多重视角阐释和界定人脸识别信息Pmr40e+YvSc28dAubiOoN5p58CTPYeDd08lvhmaTjK0=的含义；②针对特定环境，探讨人脸识别技术的具体应用；③分析普遍应用人脸识别技术所引发的危害和难题；④提出人脸识别信息的法律保护途径和方法。这为保护人脸识别信息提供了理论支持。一定意义上，对人脸识别信息犯罪问题的相关探讨最终指向对公众面部信息进行有效保护这一根本问题。本文基于人脸识别技术在实际应用中导致的安全风险以及造成其风险的具体成因，从民刑关系以及行刑关系出发，结合平台、个人和第三方监督机构的关系，对个人面部信息保护提出可行性建议。

2人脸识别技术应用产生的风险

2.1侵权风险

人脸作为个人身份标识，本身具有公开性，一旦通过算法分析，面部图像背后的年龄、爱好、健康情况等多种个人隐私将会逐渐“透明化”。当公民的人脸数据被政府部门或企业组织大量收集后，如果信息存储泄露或被滥用，信息主体的隐私权益将面临巨大的安全隐患，并且很难对损害后果进行补救。同时，随着人脸识别技术被频繁应用于商业领域，数据控制者通过算法分析以获得信息主体的消费水平、消费习惯等数据并对其进行贴标签和区别对待。这种算法歧视严重侵害了信息主体的人格尊严。此外，AI换脸技术的兴起，打破了传统“人脸即真实”的社会认知，增加社会的不稳定因素，让公众陷入信息安全和人身权利被侵害的风险中，给公众的肖像权保护带来巨大挑战。

2.2加剧社会破碎化

当前，科学技术已深扎社会土壤，一旦被滥用，将从根本上影响甚至阻碍社会发展。人脸识别技术的应用更是关乎着社会稳定。掌握该核心技术的主体一旦非法利用该技术，则会侵犯他人的权利，加大人与科技的距离与隔阂，扰乱社会秩序，加剧社会破碎的风险。在数字利维坦即大数据越来越脱离人类的掌控并逐渐呈现异化的背景下，极端主义以及恐怖主义观念逐渐兴起并呈现扩散趋势。一旦该技术被滥用，人们的人脸信息将暴露在大众面前，由此引发更多违法犯罪现象。这将会进一步冲击现存的理论概念以及行为边界，摧毁社会存在的基石，导致社会进一步分裂。

2.3威胁财产安全

人脸识别信息不仅涉及到信息主体的人身权利，其商业价值也愈发凸显。随着“刷脸支付”的不断推广，人脸交易的现象越发广泛，相应的黑色产业链也在不断壮大。由于人脸信息与银行卡或电子账户进行了绑定，人脸信息充当支付的密钥角色，如果不对人脸信息的收集和使用加以规制，容易导致人脸信息滥用，从而威胁财产安全。

2.4威胁国家信息安全

在数据成为国家战略性资源的今天，数字安全与国家信息安全紧密相连。人脸识别信息作为敏感个人信息，如果被非法收集、篡改，将会对国家信息安全构成重大威胁。近年来，在数字利维坦的背景下，域外恐怖势力和其他游走于法外灰色地带的不法分子一旦对国家信息技术系统发起攻击，国家各种信息基础设施和重要机构更容易成为攻击目标，对国家数据保护产生巨大影响。

3人脸识别技术应用风险成因分析

3.1人脸识别存在风险

人脸识别技术在不断更新的同时容易出现漏洞，给个人信息安全和社会稳定带来隐患。从技术角度分析，存在风险的原因主要有欺诈性攻击、仿冒登录、人脸冒用以及人脸识别精准度较低等。其一欺诈性攻击。攻击者向人脸识别系统提交虚假面部数据以获取身份验证，其本质是一种错误接受。其二仿冒登录。由于人脸识别程序复杂，并且常受到摄像设备、光线、距离以及信息主体发型、肤色、身高等因素的影响，导致人脸识别数据常常出现误差。这使不法分子可以通过化妆、戴面具等手段仿冒登录获取他人的人脸信息。其三人脸识别精准度低。诸多支付程序在支付时不仅扫描到面部，还会触及到肢体以及周围环境，导致信息处理主体在不知情的情况下暴露更多个人隐私，侵犯信息主体权利。

3.2相关主体防范意识薄弱

第一，个人意识薄弱。当个体个人信息置于庞大的人脸数据库时，个体只占据其中的一小部分，同时由于人脸识别技术应用的隐蔽性，以及公众在平台及相关机构前的弱势地位，导致个体在面临个人信息权益受到损害时，维权积极性不高。第二，人脸识别技术提供平台未尽到防范义务。人脸识别技术的核心在于人工智能算术，而这一算术主要掌握在该项技术的设计者和提供者手中。一旦设计者不合理设计人脸识别技术系统或者有价值观上的偏差，极可能会游走于法外灰色空间，对一般的信息主体造成极大威胁。而对于人脸识别技术提供者或决策使用者来说，一旦决策失衡，或者滥用职权不合理使用人脸识别信息系统，则会侵害公民的合法权益，公众的信息安全将难以得到保障。

3.3监管力度不够

人脸识别技术具有复杂性和系统性，再加上使用范围广泛，监管部门难以对人脸识别技术的准入及运用进行管控。无论是在公共场合还是商业应用领域，监管部门的作用都是极其重要的。但是在实践中，人脸识别技术披着“智慧”的外衣在多种场合使用。由于人脸识别技术本身具有隐蔽性以及受外界干扰大等因素影响，监管部门对该项技术应用合规性和正当性的审查是存在疑问的。即便对其进行了审查，但由于无法确定审查结果的真实性，滥用人脸识别技术、非法获取并应用人脸识别数据的情况仍然频繁发生。如最近网络上比较流行的颜值检测软件，在用户提供照片后，是否对人脸信息进行收集，普通民众并不知晓。这就需要监管部门履行监管职责，保障公民个人信息安全。

3.4法律规制不足

第一，人脸识别技术规制的缺失。近年来，我国加快了人脸识别信息的立法进程，在宏观个人信息保护规范层面，已经形成由《民法典》引领、《个人信息保护法》《数据安全法》《网络安全法》三位一体的信息数据保护体系。与此同时，《信息安全技术人脸识别数据安全要求》的出台以及最高人民法院颁布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，对人脸识别数据收集、存储、使用等作出规定。尽管如此，法律对于人脸识别技术的研发、运用领域、操作手段、使用目的等多个层次的规制仍需进一步优化。因此，对于如何使用人脸识别技术，在司法实践中仍然存在一系列难题。

第二，授权性立法欠缺。相对于个体犯罪，公权机关权力滥用更令人担忧。据统计，在我国的天网中，官方拥有的摄像头应当在1亿个左右，国人每天平均要暴露在各种摄像头下超过500次。面对如此恐怖的数据，公民的权利将随时受到侵犯。公权力对人脸识别技术的使用应当遵循“法无授权不可为”的限制，但是在目前的法律规范体系中，我国尚未规定法律授权公权力机关应用人脸识别技术，导致公权力在实践中应用人脸识别技术时无法可依。

第三，相关法律实用性较弱。人脸识别数据流转速度快且该项技术研发和应用较复杂，法律具有滞后性、抽象性和概括性，并且我国目前还未针对该项技术出台专门的法律，因此在实践中，只能依据部门规章和国家标准进行规制。而对于人脸信息的保护措施也分散在各个部门的网络安全、信息科技以及个人信息的法律条文中，还没有建立起一个完备的法律防护体系。依据现行的网络安全和信息技术法规，在应对复杂的实际问题时，其效力并不明显，实用性也相对较低。

4人脸识别信息法律保护的完善路径

4.1完善法律规制

第一，增强法律适用性。增强人脸识别信息相关法律的适用性，在于最大程度发挥现有法律法规的作用。《民法典》作为基本法，对个人信息保护主要作出概括性规定，而《个保法》对个人信息作出的规定更加具体、细致，内涵也更加丰富。即便如此，个人信息权益作为由《民法典》所确认的重要民事权益类型，其关于人格权保护、侵权责任等的规定具有兜底和补缺的重要价值，《个保法》的适用应在《民法典》的框架体系中展开，以其为适用基础。另外，从两部法律所采取的调整方法来看，《民法典》主要采取事后补救，而《个保法》更注重对个人信息权益进行事先的、预防性的保护。因此，只有两法相互协调、互相补充才能形成一个事前、事中、事后相互联系的法律保护体系。

第二，促进公私法一体化保护。人脸识别信息保护涉及到信息的收集、存储、使用、传输、提供、公开以及删除等诸多方面，仅仅依靠传统打击违法犯罪行为的方法已经不能保障人们的信息安全。同时，个人信息具有天然的公共价值属性，所蕴含的法益具有多元性，仅仅利用私法进行保护也显然不能满足实践的需要。因此公私法的融合成为一种必然的趋势。当然，使用刑法规制滥用人脸信息行为时，应当保持公私法各自的独立性，必须发挥私法的主导作用，而公法保护进行辅助和补充。

第三，对人脸识别技术进行法律规制。其一，规制人脸识别技术的使用范围。本文认为可从合法性、必要性和正当性三个原则出发，对其进行规制。首先合法性，不管是在公共场所还是私人空间使用人脸识别技术，都必须符合法律规定，不能随意滥用；其次必要性，即从经济效益角度出发，使用该项技术的收益大于风险；最后正当性，人脸识别技术的使用必须是正当的，不能盲目、过度使用。其二，规制人脸识别技术的使用手段。用户是人脸识别信息流转的初始源头，要实现人脸识别技术使用手段的合法化，主要是“告知—同意”原则的实质化。告知方面，应从法律上明确作出规定，使人脸识别技术的使用者采用清晰、透明的方式告知被收集者，让其明确知晓面部信息被收集并做出判断。同意方面，必须在信息处理主体完全了解的前提下，采取书面或口头的形式，获得信息主体明确单独同意。信息主体是未成年人或老年人时，应当采取特殊的同意模式：对未成年人采取本人及监护人双重同意模式，最大程度保护未成年人的信息安全；对老年人采取简洁模式，既要保障老年人的信息安全又要满足老年人对新技术的期许。而在公共场合使用人脸识别技术，应当经过严格审查，确保公众信息安全。此外，还应对人脸识别技术使用目的和技术研发进行规制，以保护公众信息安全。

4.2建立健全人脸识别监管体系

我国现行个人信息保护的法律条文比较零散，缺乏专门的个人信息监管机构和执法运行机制。应当加快建立健全人脸识别监管体系，转变传统的事后监管思维，加强对公权力机关的事前监管，同时加大监管技术的投入，实现智能监管。首先，建立独立统一的监管部门。可以设置国家层面的“信息监管机构”，在技术和资金方面能够独立建设和运营，保障监管公众信息权益不受其他因素干扰。在信息监管机构内部设置“生物识别信息监管部门”，同时在省级、地级市设置下级机构，以实现从中央到地方的垂直、统一监管。其次，建立个人信息保护监测中心。利用技术手段全方位动态监测人脸识别数据，将违法犯罪的想法和行为扼杀在萌芽阶段，实现事前精准预防人脸信息违法犯罪行为，降低事后救济成本。

4.3建立专业的评估认证机制

虽然我国已逐步建立人脸识别技术的准入制度，但是当前的规范并不能适应技术的发展。因此，应当建立专门的评估认证机制，对人脸识别技术的精准性、安全系数以及风险系数进行认证评估，同时对人脸识别技术的准入进行审核。具体而言，就是在人脸识别技术应用之前，应当由法定授权第三方专业评估机构根据理性设计的审查标准和步骤，对技术准确性、算法非歧视性设置、安全加密设置和主体权利保障路径等进行评估，从根本上保障人脸识别数据的安全。

4.4增强公众的人脸信息保护意识

虽然国家已经出台了《个人信息保护法》，也发布了相应的推荐性国家标准和规范sbudA7o3yOp1i4/3/XCijss4WaTaeKFqYcj1PikTxaA=性文件，但诸多信息主体依然对人脸信息不够重视。同时，普通民众很难接触到相关专业知识，导致公众对于人脸识别信息的法律认知相对薄弱。国家机关包括政府和网信部门等应当加大人脸信息安全的宣传力度。相关部门可以通过短视频平台推送专业知识，也可以通过讲座、发放小册子等方法让民众了解到保护人脸识别信息的重要性，在生活当中处理个人信息时更加谨慎。

5结语

随着人脸识别技术的应用，人脸识别信息所牵涉的人格尊严、隐私权利和个人信息权益遭遇了前所未有的挑战。面对人脸识别信息保护困境，一方面我国应重点把握当前人脸识别技术规范缺失问题，积极借鉴域外经验并结合本土实际情况，设计一套具有中国特色的人脸识别技术规范体系；另一方面，人脸识别技术的滥用与其带来的经济利益密不可分，部分企业更是利用该项技术牟取暴利，因此，我们理应在技术层面寻找出路的同时，积极鼓励行业自治，形成商业使用人脸识别技术的最佳准则，建立人脸识别技术应用的行业规范。“当前包括人脸识别在内的各种信息技术已经成为一种超级数字利维坦，它还在不断的膨胀之中，吞吃一切数据”。如果任其发展可能对人类造成毁灭性后果，法治应守好最后一道防线，及时应对技术变革带来的法律后果。

参考文献

[1]张款峰.人脸识别技术应用中个人信息法律保护研究[D].安徽财经大学，2022.

[2]孙道锐.人脸识别技术的社会风险及其法律规制[J].科学学研究，2021，（01）.

[3]唐皇凤.数字利维坦的内在风险与数据治理[J].探索与争鸣，2018，（05）.

[4]张溪瑨，王晓丽.人脸识别技术与应用的风险及治理研究[J].科学学研究，2023，41（03）.

[5]姜野.人脸识别技术应用的场景化法律规制[J].法制与社会发展，2023，29（01）.

[6]程啸.个人信息保护法理解与适用[M].2021年版.中国法制出版社，2021.

[7]王利明.论《个人信息保护法》与《民法典》的适用关系[J].湖湘法学评论，2021，1（01）.

[8]姜野.人脸识别技术应用的场景化法律规制[J].法制与社会发展，2023，29（01）.

[9]于洋.论个人生物识别信息应用风险的监管构造[J].行政法学研究，2021，（06）.

[10]潘林青.面部特征信息法律保护的技术诱因、理论基础及其规范构造[J].西北民族大学学报（哲学社会科学版），2020，（06）.

[11]许静文.人脸识别技术与安全风险治理问题研究[J].甘肃政法大学学报，2020，（06）.