人臉識別技術的風險與規(guī)制*

常州大學史良法學院 陸亞媛

人臉識別技術具有著非接觸性、可擴展性及高準確度目前我國各行業(yè)的應用日益廣泛，尤其是在新冠疫情常態(tài)化防控工作中有著特殊優(yōu)勢。但在實際應用中存在的數(shù)據(jù)泄露風險、侵犯公民隱私風險以及算法歧視風險等風險，這對個人信息保護造成了一定挑戰(zhàn)。鑒于我國目前對于人臉信息的法律保護存在不足，公眾對于人臉信息的重要性也沒有足夠的認識。為了平衡數(shù)字經(jīng)濟的發(fā)展以及公民權益的保護，可以通過區(qū)分公私部門不同的規(guī)制重心、建立專門機構常態(tài)化監(jiān)管以及各方主體及時行使“刪除權”等方面規(guī)制人臉識別技術的應用。

1 人臉識別技術概述

1.1 人臉識別技術的特征

人臉識別，是通過攝像頭采集人臉的圖像，并對特征信息進行分析從而進行身份識別的生物識別技術[1]。與其他識別技術如虹膜識別、指紋識別等相比較，人臉識別技術具有特殊的有利條件:（1）非接觸性，用戶不需要與人臉識別采集設備直接接觸，數(shù)據(jù)就可以被采集到。（2）可擴展性，在對人臉信息進行識別之后，根據(jù)處理后的數(shù)據(jù)可以延伸出更多現(xiàn)實的應用。（3）高準確率，相比于其他生物特征信息，人臉信息在鑒別人員身份方面的效率及準確率都更高，目前十億級別的人臉檢索已經(jīng)可以實現(xiàn)。

1.2 人臉識別技術的主要應用場景與價值分析

隨著人臉識別技術的不斷發(fā)展以及社會對安全性要求的提高，人臉識別技術的應用領域逐漸變化，對于安全性要求更高的領域如證券交易、金融理財、社保醫(yī)保等更傾向于應用人臉識別技術。

新冠疫情目前已在全球蔓延并流行，對于疫情防控工作，相較于刷卡、指紋等直接接觸式的生物識別方式，人臉識別這種無需直接接觸的識別方式將更適合于目前的公共衛(wèi)生環(huán)境。從具體操作方面來看，一方面，將人臉識別設備匹配以紅外線體溫測量設備，能夠及時有效的監(jiān)測人們的健康狀況，在發(fā)生異常情況時迅速的鎖定人員并上報相關信息，從源頭上遏制疫情；另一方面，通過覆蓋率較高的監(jiān)控系統(tǒng)，防控工作人員可以更便捷的獲取一些重點人員的流程軌跡信息，從而保障防控管制措施的嚴密。

2 人臉識別技術對個人信息保護的挑戰(zhàn)

人臉信息屬于敏感個人信息，一旦發(fā)生泄露，就會威脅到個人的人身和財產(chǎn)安全，公共安全也可能受到影響。據(jù)《人臉識別應用公眾調研報告》顯示，94.07%的受訪者用過人臉識別技術，64.39%的受訪者認為人臉識別技術有被濫用的趨勢[2]。

2.1 數(shù)據(jù)泄露風險

對于人臉信息的存儲存在著數(shù)據(jù)泄露的風險。對于人臉信息的獲取及利用等涉及到存儲數(shù)據(jù)的環(huán)節(jié)較多，在各個環(huán)節(jié)都都存在泄露數(shù)據(jù)的風險。同時，收集人臉信息的過程對于環(huán)境和設備都沒有較高的要求，而正是由于人臉信息在許多情況下并不需要被收集人配合也可以在較遠距離收集到，使得人臉信息的發(fā)生泄露的風險增加。更重要的是，人臉識別的精確性依賴于人臉信息數(shù)據(jù)庫的數(shù)量，因此，數(shù)據(jù)收集者總是希望收集更多的人臉信息從而提高識別的精確性，但越龐大的數(shù)據(jù)庫，其泄露造成的風險也越大。

2.2 侵犯公民隱私風險

人臉本身并不屬于隱私，但是人臉識別技術識別后存儲的人臉信息可以讓該信息不經(jīng)公民的知情同意便傳播到未知的領域。這便拓寬了隱私的邊界，使得人臉信息也成為了隱私。如隱私法學者Julie E.Cohen的所言，缺乏隱私為個人人格所構建的發(fā)展空間，個人將不可能培養(yǎng)獨立的人格[3]。在大數(shù)據(jù)的背景下，公民的人臉信息是與其他個人信息如名稱、位置、偏好等相關聯(lián)的，根據(jù)這些信息，個體將會形成一個具體清晰的用戶畫像，并在互聯(lián)網(wǎng)記憶中不斷更新完善。一旦信息泄露，公民很可能陷入“隱私裸奔”的境地。如2020年3月，莫斯科警方根據(jù)面部識別系統(tǒng)抓獲了200名違反疫情期間自我隔離規(guī)定的民眾，這些涉嫌違規(guī)者出現(xiàn)在戶外不到半分鐘就被攝像頭捕捉到了[4]。

2.3 算法歧視風險

算法極可能產(chǎn)生偏見及歧視，自動化決策的結果是建立在大量的數(shù)據(jù)的基礎上，但往往在數(shù)據(jù)收集的階段就是偏見或歧視的角度下進行，由此自動化決策產(chǎn)生的結果就是充滿偏見與歧視的結果。比如，杭州某置業(yè)公司為促進銷售，利用人臉抓拍系統(tǒng)記錄下訪客的人臉信息，并匹配出其身份、到訪次數(shù)、消費情況等信息。自動化決策根據(jù)數(shù)據(jù)將訪客們分類，這極易導致訪客在毫不知情的情況下被歧視。

3 我國人臉識別技術應用的個人信息保護現(xiàn)狀

3.1 立法層面

目前我國沒有專門針對人臉識別技術的立法，僅有相關的司法解釋即《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》。該司法解釋重點對以下幾個方面進行規(guī)制:（1）企業(yè)通過App等以捆綁、強迫形式獲得消費者同意人臉信息處理構成侵權；（2）嚴格的舉證責任規(guī)定之下，企業(yè)在處理人臉信息時應注意“留痕”；（3）明確了物業(yè)、建筑管理人不得以人臉識別作為唯一門禁方式。

3.2 執(zhí)法層面

2019年，網(wǎng)信辦、工信部、公安部、市監(jiān)局進行了關于App收集個人信息的聯(lián)合整治行動，對App收集使用個人信息的亂象進行整治，對例如換臉軟件ZAO進行約談。但是目前并沒有明確具體承擔個人信息保護職能的機構。尤其是網(wǎng)絡環(huán)境涉及多個部門，容易出現(xiàn)管理交叉甚至空白的情況。由于各部門各司其職，缺乏統(tǒng)一協(xié)調的部門，個人信息主體會出現(xiàn)投訴無門，難以救濟自身權益的情況。

3.3 司法層面

目前我國進入司法領域的關于人臉識別技術的案件只有郭兵訴杭州野生動物世界一案。郭兵在購買了野生動物世界的年卡之后被告知原指紋識別已取消，要想正常入園必須通過人臉識別的方式，不接受也不能退卡。2021年4月，杭州中院作出二審判決，二審判決野生動物世界刪除郭兵的人臉信息及指紋信息。但駁回了郭兵要求確認店堂告示、短信通知中相關內容無效等訴訟請求。

雖然法院判決商家刪除人臉信息，但是判決其實都是從合同法的角度出發(fā)，認定園區(qū)單方面違約。法院卻未對商家強制要求應用人臉識別方式入園這一不合理的方式作出直接的回應，同時也未對人臉識別技術濫用的情況進行審查?？梢哉f，目前在司法領域還未有對人臉識別技術應用的合理性有所回應。

4 完善人臉識別技術應用個人信息保護的對策建議

4.1 區(qū)分公私部門不同規(guī)制方式

公私部門應用人臉識別技術的側重點不同，所對應的規(guī)制方式也應該有所區(qū)別。從行為主義規(guī)制的進路出發(fā)，個人信息的保護應根據(jù)不同行為所可能侵犯的個體與社會的權益而進行不同程度的規(guī)制。政府部門使用人臉識別技術的主要目的是提高工作效率，更好的保障公眾的安全，那么其收集、使用人臉信息都應該僅限于執(zhí)行公務的范圍，超出此范圍的應用可能會造成侵權。因此，對政府部門應著重于事前規(guī)制。一方面，政府部門在安裝應用人臉識別的設備前應征求相關機構的意見，獲得批準以后才可以投入使用；另一方面，相關機構在審核是否準許應用時，應綜合考慮政府部門是否有應用人臉識別技術的必要性，同時要依據(jù)公開、透明、民主參與等原則予以批準[5]。

對于商業(yè)機構等私主體則應以事中和事后的規(guī)制為主。因為商業(yè)機構往往在技術創(chuàng)新方面較為領先，如果采取較為嚴格的事前規(guī)制可能會影響先進技術的研究，遏制市場的發(fā)展，同時，在獲得個人同意的情形下人臉信息具有一定的流通的自由。在給予市場一定自由的情況下，如果發(fā)生了侵權的情況，消費者可以通過不同方式的救濟途徑保障權益，賠償損失。在這種情況下，應該加大對商業(yè)機構應用人臉識別技術產(chǎn)生的侵權行為的懲處力度，如提高賠償額、禁止再應用等。由此能夠警醒商業(yè)機構合理應用人臉識別技術，努力保障消費者的合法權益。

4.2 形成常態(tài)化的風險監(jiān)管

基于上述人臉識別技術存在的數(shù)據(jù)泄露、侵犯公民隱私及算法歧視等風險，有必要設立常態(tài)化風險監(jiān)管的專門管理機構。面對千變萬化的信息收集場景，個體很難對自身信息實現(xiàn)有效保護，大量的個人信息保護工作仍然依賴于公共監(jiān)管機構的監(jiān)管[6]。這其中有兩點需要注意:（1）在評估專家中要增加政府外專家的比例，同時也需要有其他學科背景的專家參加，從而確保平衡地處理各種科學證據(jù)。（2）設立評估的公告評論制度，公告評論即將風險評估報告草案向社會公開，征求意見，并根據(jù)意見修正評估報告，這可以給利益相關群體提供參與的機會，從而確保相關問題得到充分討論[7]。

對于風險的性質、規(guī)制的成本效益等問題，應當通過客觀的分析盡可能揭示問題的全貌，如果政府通過相應的風險溝通，公眾完全可以提高自身的風險意識，就此而言，法律有義務也有能力引導公眾觀念的變革。

4.3 各方主體主動及時的行使“刪除權”

鑒于公眾對于人臉信息的收集有著有較高的接受度，但對于相關風險的認識度卻不高，有必要提高公眾的參與度，從信息主體及信息控制者兩方面提高人臉信息“刪除權”的使用。

對于信息主體，在一定情況下享有要求刪除被收集的人臉信息的權利，刪除信息的理由包括但不限于:已經(jīng)達到信息使用目的； 超出授權使用的期限； 有其他正當理由的。同時，信息主體還有權要求刪除已經(jīng)公開的其他個人信息。

對于信息控制者，對人臉信息的保存不得超過收集的目的及必要時間，一旦收集目的實現(xiàn)或者信息主體撤回了同意，信息控制者就應該刪除其儲存的人臉信息及其他相關信息。從信息主體和信息收集者兩個方面進行規(guī)制，能夠更好的保障“刪除權”的及時有效行使，減少人臉信息泄露以及被濫用的風險。

5 結語

技術的發(fā)展會給公眾帶來更便捷的生活，但是當技術應用存在的風險可能超越它所帶來的便利時，我們有必要反思如何更合理的應用技術來為我們服務。在人工智能技術飛速發(fā)展并廣泛應用的現(xiàn)代社會，人臉識別技術作為其中一個小部分所體現(xiàn)的問題也是整體技術應用的一個縮影，在意識到它存在的風險之后，我們有必要對將來新技術的應用采取更加謹慎的態(tài)度，避免產(chǎn)生難以彌補的損失。社會在發(fā)展數(shù)字經(jīng)濟的同時也要兼顧個人的權益，只有這樣才能保證社會健康和諧的發(fā)展。