如何對人臉識別進行法律規制

就政府部門使用人臉識別的法律規制，特別許可使用制度既發揮人臉識別技術之利，又防範人臉識別技術之弊，是一種更加理性的制度安排。就非政府部門使用人臉識別的法律規制，對人臉資訊作出比一般個人資訊更為嚴格的特別保護和特別規制，更有利於保護個人的人臉資訊。

在無競爭性的服務領域（如民航、鐵路、學校、社區等）使用人臉識別技術，當人們拒絕“刷臉”時，應提供其他替代性的驗證機制，而不能不“刷臉”就不能使用或進入。即使不全面叫停政府部門安裝、使用人臉識別技術，也應該對其進行嚴格的法律規制，防範安全風險，防止被濫用。

隨著技術的發展，人臉識別（俗稱“刷臉”）在我國逐漸盛行。我國目前對人臉識別技術尚無專門的法律規定，無論是政府、社區、事業單位還是商家，均可以任意安裝人臉識別技術，強制人們“刷臉”驗證。而人們若拒絕“刷臉”，則基本上無法使用相關服務。如若不服，則投訴無門，只能對簿公堂，但訴訟成本高昂。基於此，有必要對人臉識別的法律規制予以深入研究，厘定人臉識別技術應遵循的法律底線，明晰人臉識別技術法律規制的基本要點。

人臉識別技術的特徵、收益與風險

人臉識別可簡單地概括為：機器對靜態或視頻中的人臉圖像進行特徵提取、分類識別，以達到身份鑒別的目的。人臉識別技術的應用場景日漸豐富，其功能歸納起來主要是身份驗證和監控。這又可以分為政府機構的公共應用和非政府機構的商業應用與慈善應用等。

人臉具有如下的特徵：獨特性和直接識別性，方便性，不可更改性，變化性，易採集性，不可匿名性，多維性。人臉的上述特徵直接決定了人臉識別技術具有複雜性特徵，而現實中很多收集人臉的機構並不具備相應的風險防控、安全保障能力、組織和機制。

人臉識別技術的收益是世所公認的，人臉識別技術可以應用於諸多場景。

但是，另一方面，人臉識別技術的風險也是不可小覷的。其風險主要有：一是誤差風險。如果人臉識別技術不夠成熟，可能出現混淆。此外，由於人臉為非剛體性，人臉之間的相似性以及各種變化因素的影響，準確的人臉識別仍較困難。二是身份認證被破解的風險。密碼是秘密保存的，但人臉卻是公之於眾的。最新的人臉驗證技術，結合了3D圖片進行登錄與驗證，這比以前的技術更難破解，但破解並非完全不可能。三是資訊洩露風險。用於保存人臉資訊的電子電腦系統存在被駭客入侵、病毒入侵的風險，這可能導致資訊洩露。此外，內部員工的作案也可能導致資訊洩露。生物資訊具有100%的可識別性，一旦被洩露或是被不當利用，後果無法估量。

國外人臉識別法律規制的經驗

從美國有限的既有立法或立法草案、建議來看，美國對政府部門使用人臉識別的法律規制，有別於對非政府機構使用人臉識別的法律規制，二者是分別立法、分別規制的，規制的具體方法和價值取向截然不同。對政府部門使用人臉識別的法律規制主要分為三種：第一種是禁止使用制度，第二種是特別許可使用制度，第三種是任意使用制度。禁止使用制度為美國舊金山市所首創，目前備受關注。特別許可使用制度目前尚處於民間建議階段。任意使用制度即對政府使用人臉識別尚未特別立法，政府部門可以任意使用人臉識別。而美國對非政府機構使用人臉識別的法律規制，主要是將人臉資訊作為生物資訊之一加以規制，它也可以分為兩種路徑：一種是比對一般個人資訊的保護更為嚴格的高強度規制路徑或特別規制路徑，另一種是與對一般個人資訊的保護沒有區分的、同等程度保護的普通規制路徑。

歐盟與美國對政府部門和商業部門使用人臉識別技術分別進行立法不同，歐盟《通用數據保護條例》（以下簡稱GDPR）是對公私部門一體適用的。這就意味著，無論是政府部門還是非政府部門，只要使用人臉識別技術，就必須遵守相同的規範。

GDPR第4條定義條款對“生物數據”（biometric data）進行的界定包括“面部圖像”（facial images）。GDPR第9條規定了特殊種類的個人數據處理，其中就包括生物數據。GDPR對生物數據的處理，遵循“原則禁止，特殊例外”的原則。數據控制者可援引“數據主體的同意”作為個人生物數據處理的例外，但該同意必須是“自由給予、明確、具體、不含混”的，數據主體的任何被動同意均不符合GDPR的規定。

2019年7月，歐洲數據保護委員會（EDPB）頒布了《關於通過視頻設備處理個人數據的3/2019指引》提供了儘量降低風險的措施，例如，對原始數據進行分離存儲和傳輸；對生物識別數據尤其是分離出的片段數據進行加密並制定加密和秘鑰管理政策；整合關於反欺詐的組織性和技術性措施；為數據分配整合代碼；禁止外部訪問生物識別數據；及時刪除原始數據，如果必須保存則採取添加干擾（noise-additive）的保護方法。

就政府部門使用人臉識別的法律規制，目前國外雖然三種制度並存，但任意使用制度顯然是大數據時代之前的做法，未認識到人臉識別技術給人們帶來的風險；禁止使用制度也太過於激進，不利於發揮人臉識別技術的優勢，扼殺了技術的發展。相比較而言，特別許可使用制度既發揮人臉識別技術之利，又防範人臉識別技術之弊，是一種更加理性的制度安排，值得我國借鑒。

就非政府部門使用人臉識別的法律規制，目前國外雖然兩種制度並存，但將人臉資訊作為一般個人資訊對待的普通規制路徑顯然是沒有認識到人臉資訊及人臉識別技術的特殊性，將個人置於極大的風險之中。而對人臉資訊作出比對一般個人資訊更為嚴格的特別保護和特別規制，更有利於保護個人的人臉資訊，更值得我國借鑒。

但是，各國的政治、社會和技術背景存在各自的特殊性，這就決定了國外對於人臉識別技術的相關制度未必適合於我國，我國在引進相關制度時需要審慎甄別。

完善我國人臉識別法律規制的建議

我國2020年5月頒布的民法典第1034條第1款規定，“自然人的個人資訊受法律保護”，並在該條第2款個人資訊的定義中，明確將生物識別資訊列舉為個人資訊，但也未對個人生物識別資訊作特別保護。個人資訊保護法（草案）第27條規定：“在公共場所安裝圖像採集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，並設置顯著的提示標識。所收集的個人圖像、個人身份特徵資訊只能用於維護公共安全的目的，不得公開或者向他人提供；取得個人單獨同意或者法律、行政法規另有規定的除外。”這裡“圖像採集”包括人臉識別。個人資訊保護法（草案）第29條將個人生物資訊作為敏感個人資訊加以保護，並規定了“充分必要”原則。但總體而言，個人資訊保護法（草案）對人臉識別技術的規制仍較為簡略。

我國目前對包括人臉資訊在內的生物識別資訊的特別保護呈現出軟法先行的特點。2020年2月，全國金融標準化技術委員會審查通過的《個人金融資訊保護技術規範》（JR/T 0171-2020）（以下簡稱《規範》）將生物識別資訊列為敏感性最高的C3類資訊，並要求金融機構不應委託或授權無金融業相關資質的機構收集C3類資訊，金融機構及其受託人收集、通過公共網路傳輸、存儲C3類資訊時，應使用加密措施。2020年3月新修訂的我國國家標準GB/T 35273-2020《資訊安全技術個人資訊安全規範》明確規定個人生物識別資訊屬於個人敏感資訊，並對個人敏感資訊進行了特殊保護。2020年11月27日，工信部組織發佈了電信終端産業協會團體標準《APP收集使用個人資訊最小必要評估規範人臉資訊》，規定了移動應用軟體對人臉資訊的收集、使用、存儲、銷毀等活動中的最小必要規範和評估方法，並通過個人資訊處理活動中的典型應用場景來説明如何落實最小必要原則。

數據治理的普遍性、技術性、複雜性、應時性等特點決定了數據治理具有一定的軟法空間，但軟法欠缺強制力的特點決定了對包括人臉資訊在內的個人生物識別資訊的特別保護離不開硬法的托底。因此，有必要從硬法的角度系統思考對包括人臉資訊在內的個人生物識別資訊的特別法律保護、對人臉識別的特別法律規制問題。

1、建立健全一體適用的安全與責任底線

法律規制人臉識別技術的目的，不是一味地叫停該項技術的使用，而是要在確保安全的前提下，倡導一種負責任的使用。為此，筆者建議建立如下公私部門一體適用的安全與責任底線。如果不符合這些安全與底線原則，則為違法收集個人資訊。

其一，無論誰使用人臉識別技術，人臉識別系統要經第三方獨立機構定期檢測，以檢測其準確性與非歧視性。必要時，人臉識別系統及其定期檢測結果應向監管部門備案。

其二，無論誰通過公共網路收集、傳輸、存儲人臉資訊，都應使用加密措施，並對收集到的人臉資訊進行分片段單獨存儲，並不得公開披露人臉資訊。

其三，無論誰使用人臉識別技術，都應該建立可追蹤的技術體系。誰在何時何地查詢、使用、修改、下載了人臉資訊，事後都可查證，以便發生侵權時，人臉識別技術使用主體對侵權人進行查證和追責。

其四，法律應該規定，無論是誰使用人臉識別技術，如果其收集的資訊被證明出現被盜竊、洩露、非法使用、非法出售、非法提供等情形，從而給資訊主體造成損失的，收集者對受害人受到的實際損失承擔連帶賠償責任；如果受害人的實際損失難以證明，則應對每個受害人至少賠償一定數額（如2000元人民幣）的法定定額賠償金。受害人受到的實際損失小于該法定定額賠償金的，受害人可直接主張法定定額賠償金。

其五，無論是誰使用人臉識別技術，人們均有權拒絕“刷臉”。如果是在無競爭性的服務領域（如民航、鐵路、學校、社區等）使用人臉識別技術，當人們拒絕“刷臉”時，應提供其他替代性的驗證機制，而不能不“刷臉”就不能使用或進入。畢竟，每個人的風險偏好是不盡相同的，法律規則的設置應容忍和尊重那些低風險偏好的人，尤其是在當前不能做到人臉識別系統百分之百安全的情況下。

2、區分公私部門配置不同的規制重心

對政府部門使用人臉識別技術應以事前事中規制為主，對非政府部門使用人臉識別技術應以事中事後規制為主。

政府部門執行公務過程中構成侵權，因有國家賠償法的限額賠償而使當事人難以獲得充分賠償，且一旦政府部門涉嫌侵權對政府部門的聲譽將造成重大不良影響，因此，應著重從事前進行風險防範，即對政府部門安裝、使用人臉識別技術應堅持有權機構批准同意原則，未經有權機構批准同意，政府任何部門不得安裝、使用人臉識別技術。有權機構在批准時，應考慮到安裝、使用人臉識別技術的必要性、正當性，且應通過一定的法律正當程式，遵循公開、透明、民主參與等原則予以批准。

如果對商業部門安裝、使用人臉識別技術堅持事前批准的話，因政府部門在技術上往往落後於商業部門，這可能發展不出來一種有效的審批，更為重要的是，還可能遏制商業創新和技術創新。但是，如果商業部門的人臉識別給消費者造成損害的話，受害人可以通過事後的民事訴訟來進行追責，執法部門也可以通過事中或事後的執法進行監管和追責。當然，這需要我們健全法律框架，使執法部門有法可依，使受害人可以依法維權。

至於我國是否需要全面禁止政府部門安裝、使用人臉識別系統，這屬於政治過程決定的結果。我國公安機關布控的天眼系統，通過安裝在城市公共場合的攝像頭對人臉進行實時、精準且快速的甄別，讓犯罪分子無處可逃。但通過人臉識別技術所進行的監控對個人自由的威脅也越來越引起人們的重視。人們對全面監控感到壓迫和焦慮。即使不全面叫停政府部門安裝、使用人臉識別技術，也應該對其進行嚴格的法律規制，防範安全風險，防止被濫用。

3、對人臉資訊的採集施加比對一般個人資訊的採集更強的規制力度

人臉資訊不同於一般個人資訊，甚至人臉資訊作為生物資訊也與其他生物資訊（如指紋）也有較大區別。因此，人臉資訊的採集應堅持特別規制即差異化規制，即應堅持更強的知情同意原則。

採集一般個人資訊，除了法定例外情形，一般都需要徵得數據主體的知情同意。但人臉資訊具有特殊性，除了法定例外情形，其所適用的知情同意原則，應比一般的個人資訊所適用的知情同意原則更嚴格，即應堅持書面（written）知情同意原則。此外，法律應規定採集人臉資訊之前，採集者應告知被採集者其採集的資訊具體類型、目的、保存時間、被採集者的風險與權利，告知的方式必須是書面的。

（作者為中央財經大學法學院教授）