人臉識別技術(shù)應(yīng)用中的社會風(fēng)險及其法律規(guī)制研究*

江蘇警官學(xué)院 徐千惠，顧宣婭，陳玉立

雖然有關(guān)個人信息的規(guī)定在我國《中華人民共和國民法典》《個人信息保護(hù)法》中有所體現(xiàn)，但是這些法律法規(guī)對公民人臉識別信息的法律保護(hù)以及應(yīng)用的規(guī)制過于寬泛，不具有專門性以及針對性。2020年10月1日實施的《信息安全技術(shù)個人信息安全規(guī)范（2020年版）》（以下簡稱《規(guī)范》）對人臉識別信息的收集、存儲、使用等作出了明確的規(guī)定，但是此《規(guī)范》只是推薦性的標(biāo)準(zhǔn)，不具有法律強制約束力。由此可見，目前針對人臉識別技術(shù)的法律規(guī)制尚且不足，其社會風(fēng)險卻日趨嚴(yán)重，對人臉識別技術(shù)的法律規(guī)制研究箭在弦上。本文立足于對人臉識別技術(shù)的必要性進(jìn)行說明，分析人臉識別技術(shù)的社會風(fēng)險，結(jié)合社會發(fā)展的現(xiàn)狀和趨勢，從國家、社會、個人三個層面對人臉識別技術(shù)的法律規(guī)制進(jìn)行研究，以便更好地發(fā)揮人臉識別技術(shù)的作用。

一、人臉識別技術(shù)應(yīng)用的特點

（一）人臉識別技術(shù)具有高效便捷性

人臉識別技術(shù)的高效便捷主要體現(xiàn)在人臉識別技術(shù)算法先進(jìn)、速度快。人臉識別技術(shù)通過后臺數(shù)據(jù)分析，可以大大縮短人工識別時間，短時間內(nèi)實現(xiàn)智能預(yù)警判斷，提供遠(yuǎn)端識別服務(wù)，幫助用戶通過驗證，為人們提供便捷、安全、可靠的技術(shù)服務(wù)，改變了傳統(tǒng)的驗證模式，大大提高了認(rèn)證效率，為用戶帶來便利。

（二）人臉識別技術(shù)具有低成本性

從其使用成本來看，人臉識別技術(shù)在應(yīng)用過程中僅具備攝像裝置就能應(yīng)用，并且人臉識別技術(shù)對硬件的要求不高，所使用的是常規(guī)通用的攝像頭，相比其他生物識別技術(shù)所需的硬件措施，具有更高的性價比。除此之外，人臉識別技術(shù)應(yīng)用于公共管理、企業(yè)經(jīng)營等各個領(lǐng)域時，可以代替人工，降低人力成本。

（三）人臉識別技術(shù)具有非接觸性

人臉識別技術(shù)的非接觸性不僅大幅縮短了信息采集時間，而且在如今嚴(yán)峻的新冠疫情環(huán)境下起到了重要的作用。對于疫情防控工作，相較于刷卡、指紋等直接接觸式的生物識別方式，人臉識別這種無需直接接觸的識別方式更適合于目前的公共衛(wèi)生環(huán)境，其因效率的提高減少了人群的聚集度，無接觸式的信息驗證能夠在一定程度上降低病毒的交互，阻止疫情的蔓延。

（四）人臉識別技術(shù)具有普適性

隨著社會信息技術(shù)的迅猛發(fā)展，人臉識別技術(shù)使用主體也變得多元而廣泛。不論是政府機關(guān)，還是經(jīng)營、運營公共服務(wù)場所的企事業(yè)單位或民營企業(yè)，從金融、安防領(lǐng)域到消費、生活、醫(yī)療、交通、學(xué)校、社區(qū)、企業(yè)等多個領(lǐng)域，都實現(xiàn)了人臉識別技術(shù)覆蓋適用。人臉識別技術(shù)的廣泛應(yīng)用，不僅使人們的日常生活更便利，從社會公共管理和國家治理層面，也能維護(hù)社會公共安全和執(zhí)法公平。

二、人臉識別技術(shù)應(yīng)用中存在的社會風(fēng)險

（一）權(quán)利侵犯

隨著科技的進(jìn)步，人臉識別技術(shù)應(yīng)用門檻逐漸降低，信息收集主體信息安全意識和防范信息泄露的信息安全保障能力不足，加之信息安全保護(hù)責(zé)任的不明確，可能會導(dǎo)致人臉信息被隨意共享，用于非法交易。通過與其他大數(shù)據(jù)相匹配，借助人臉識別信息甚至能夠了解一個人的收入水平、家庭成員、教育程度等詳細(xì)的個人信息[1]。人臉信息屬于敏感信息，一旦泄露或被濫用會使公民的隱私權(quán)受到侵犯，極易導(dǎo)致個人名譽權(quán)、肖像權(quán)、身體權(quán)、財產(chǎn)權(quán)受損，進(jìn)而影響其生活安寧與私密活動。

（二）人群歧視

商家為了加大銷售力度，根據(jù)人臉識別技術(shù)得到的信息，對不同的消費者提供差別待遇，這些行為不僅是對消費者隱私的侵犯，也極易造成一定的人群歧視。除此之外，收集者往往通過“使用即同意”協(xié)議，要求用戶提供人臉信息。如果用戶拒絕，即被排除在該項服務(wù)或產(chǎn)品之外。部分人臉識別技術(shù)使用方的強制使用，對行動不便、對新事物接受緩慢的老年人以及整容者也存在一定的歧視。

（三）技術(shù)濫用

人臉識別信息有較低的應(yīng)用門檻卻具備很高的應(yīng)用價值，企業(yè)在逐利動機驅(qū)使下會想方設(shè)法以更低的成本去收集、使用、處理、共享數(shù)據(jù)，并盡可能延長數(shù)據(jù)使用周期，過度挖掘其利用價值，以“優(yōu)化產(chǎn)品體驗”“保障用戶安全”等理由在公共場所未經(jīng)授權(quán)收集自然人面部數(shù)據(jù)[2]。2021年，新京報推出《人臉識別黑產(chǎn)調(diào)查》專題報道，曝光了人臉信息在網(wǎng)絡(luò)上被販賣的情況，除了照片和身份證信息，甚至還有動態(tài)驗證視頻，賣家還承諾他們出售的視頻能通過大部分平臺的驗證。

人臉識別技術(shù)的濫用極大地侵犯了公民的個人隱私，泄漏了個人的臉部信息，偏離了人臉識別技術(shù)便利人類生活的初心，成為幫助違法犯罪的工具，人臉識別技術(shù)濫用情況叢生，對社會公共安全造成嚴(yán)重?fù)p害。

三、人臉識別技術(shù)應(yīng)用中的法律規(guī)制研究

（一）國家層面

1.立法方面

（1）建立健全法律體系。隨著人臉識別技術(shù)的不斷發(fā)展進(jìn)步，其需要規(guī)制的內(nèi)容及要求也應(yīng)相應(yīng)變化，且需要有具體性。我國目前對人臉識別技術(shù)規(guī)制所采取的“軟法先行”的規(guī)制方式在一定程度上是符合我國國情的。但是隨著人臉識別技術(shù)的不斷發(fā)展，軟法對于規(guī)制該技術(shù)應(yīng)用時就存在一系列不足之處。由于我國關(guān)于規(guī)制該技術(shù)的條文比較分散，在適用條文時需要在各種法律法規(guī)中查詢和匯總，因此會增加適用的時間成本和人工成本，并且可能會出現(xiàn)無法完全適用的情況。因此，應(yīng)當(dāng)加快立法腳步，制定關(guān)于規(guī)制人臉識別技術(shù)的專門性法律。同時，盡快推進(jìn)《刑法》《民法典》以及《個人信息保護(hù)法》等法律關(guān)于個人信息泄露事前預(yù)防、事中審核、事后救濟(jì)制度的立法工作。另外，可采用部門規(guī)章或強制性國家標(biāo)準(zhǔn)的形式，制定專門的個人生物識別信息保護(hù)規(guī)范，重點規(guī)制人臉識別信息處理行為?？傊覈詫ｉT立法保護(hù)為基礎(chǔ)，輔以其他部門法，從而形成一套堅不可摧的個人信息保護(hù)法律體系。（2）加大刑法的打擊力度。在個人遭遇侵害時，由于不知道泄露的主體、方式及時間，會面臨舉證困難的窘境，提起民事訴訟的概率較低，且一旦泄露后果也具有不可逆轉(zhuǎn)性?！缎谭ā窇?yīng)發(fā)揮其作為最后防線的作用，對于技術(shù)使用所帶來的不可避免的風(fēng)險，明確其制裁邊界及程度，在實現(xiàn)技術(shù)發(fā)展的同時確保公眾生活安全有序，避免風(fēng)險轉(zhuǎn)化為現(xiàn)實侵害?？梢詮摹缎谭ā飞显O(shè)立新的罪名，對人臉識別信息安全進(jìn)行特殊保護(hù)，也可以嘗試通過《刑法》解釋的兜底條款明確人臉識別信息所應(yīng)歸入的類別，對人臉識別相關(guān)犯罪行為進(jìn)行打擊。（3）明確人臉識別技術(shù)侵權(quán)的責(zé)任主體。侵犯個人信息的侵權(quán)案件不同于普通的侵權(quán)案件，普通的侵權(quán)案件往往可以直接確定責(zé)任的主體范圍，但在如今的大數(shù)據(jù)時代，對于被侵權(quán)人來說，其很難判斷自己的信息是經(jīng)何種渠道泄露的。雖然對人臉信息的處理往往是由人臉識別技術(shù)的使用方進(jìn)行，但是人臉識別技術(shù)的提供方也極有可能實施人臉識別技術(shù)的侵權(quán)行為。因此，確定人臉識別技術(shù)侵權(quán)的責(zé)任主體可以采用連帶責(zé)任追責(zé)機制，即在人臉識別過程中，可以讓人臉識別技術(shù)的提供方和人臉識別技術(shù)的使用方承擔(dān)連帶責(zé)任，如果其中一方有證據(jù)證明自己沒有實施侵權(quán)行為，則由另一方承擔(dān)侵權(quán)責(zé)任，這有利于在發(fā)生侵害或者損害后明確侵權(quán)責(zé)任主體，也有利于加強企業(yè)內(nèi)部對個人信息的保護(hù)，技術(shù)提供方與技術(shù)使用方互相牽制、互相監(jiān)督，從根源上提高人臉識別技術(shù)的安全性。

2.執(zhí)法方面

自我國法律明確保護(hù)個人信息以來，具體領(lǐng)域的相關(guān)行政職能主要由網(wǎng)信部門、工信部門，公安部門以及市場監(jiān)督管理部門共同履行，最主要和最常見的執(zhí)法行為是行政檢查與行政處罰。事實上，目前我國對于人臉識別技術(shù)的監(jiān)管大多數(shù)采用的是“行政約談”的方式，即當(dāng)企業(yè)或者單位在運用人臉識別技術(shù)時，存在數(shù)據(jù)泄露的風(fēng)險或者隱私協(xié)議存在不規(guī)范等情形，我國工信部網(wǎng)絡(luò)安全管理局會立即約談該企業(yè)，并且要求該企業(yè)在內(nèi)部進(jìn)行有效自查、整改，因此，我國對人臉識別技術(shù)應(yīng)用風(fēng)險的規(guī)避更多依靠的是該技術(shù)應(yīng)用企業(yè)自身的自覺性和責(zé)任感。在發(fā)生個人信息泄露或者濫用等安全事件后，用戶常遇到投訴無門或相關(guān)部門各自為政的情形，信息處理單位也可能會遇到不同執(zhí)法部門就同一事項重復(fù)檢查且標(biāo)準(zhǔn)不一的問題，為強化該領(lǐng)域監(jiān)管工作的權(quán)責(zé)統(tǒng)一，在中央統(tǒng)一領(lǐng)導(dǎo)下，指定或者整合一個專門機構(gòu)來具體實施包括人臉信息在內(nèi)的個人信息保護(hù)的規(guī)制完善與執(zhí)法工作，以更好地保障該技術(shù)的積極健康發(fā)展。該專門機構(gòu)可以進(jìn)行以下規(guī)制：（1）設(shè)立人臉識別技術(shù)的企業(yè)入行標(biāo)準(zhǔn)，提高其準(zhǔn)入門檻，把人臉識別技術(shù)應(yīng)用納入行政許可范圍。（2）健全年審、備案機制。年審機制的作用在于審查各個企業(yè)一年來在研發(fā)、應(yīng)用人臉識別技術(shù)的過程中是否有不合規(guī)范的地方。備案機制的目的是讓企業(yè)及時存儲人臉數(shù)據(jù)信息，并做好數(shù)據(jù)庫保護(hù)工作，及時保存獲得信息主體授權(quán)時向用戶所作出的承諾書，方便責(zé)任認(rèn)定工作的開展[4]。（3）將人臉識別技術(shù)應(yīng)用納入聽證制度，聽取多方有效的意見，形成平等公開的意見發(fā)表模式。

3.司法部門

（1）對接不同的部門法律規(guī)范。司法部門應(yīng)對接不同部門法規(guī)范，通過訴訟實現(xiàn)對人臉識別信息在內(nèi)的個人信息的一體化保護(hù)。在民事領(lǐng)域，平衡各方主體利益，尊重對人臉識別信息合理使用的創(chuàng)新行為，并進(jìn)行有效規(guī)制。在刑法領(lǐng)域，對突破道德底線、性質(zhì)惡劣的侵犯人臉識別信息的行為進(jìn)行嚴(yán)厲懲處，并長期保持高壓態(tài)勢[3]。（2）對人臉識別技術(shù)應(yīng)用的合理性作出回應(yīng)。目前在司法領(lǐng)域還未對人臉識別技術(shù)應(yīng)用的合理性有所回應(yīng)，對于當(dāng)時引起熱議的郭兵訴杭州野生動物世界一案，雖然法院判決商家刪除人臉信息，但是判決僅僅是從合同法的角度出發(fā)，認(rèn)定園區(qū)單方面違約，卻未對商家強制要求應(yīng)用人臉識別方式入園這一不合理的方式作出直接回應(yīng)，同時也未對人臉識別技術(shù)濫用的情況進(jìn)行審查。司法部門應(yīng)當(dāng)通過司法解釋或指導(dǎo)性案件，對人臉識別技術(shù)應(yīng)用的合理性作出回應(yīng)，提高公眾對人臉識別技術(shù)的認(rèn)識。

（二）社會層面

1.技術(shù)使用方面

（1）拒絕強制性，給予當(dāng)事人更多的選擇權(quán)。對于人臉識別信息的采集應(yīng)堅持差異化規(guī)制，除法定情形外，技術(shù)使用方應(yīng)當(dāng)向技術(shù)被使用方充分解釋說明該技術(shù)的使用風(fēng)險和不利影響，不能僅告知當(dāng)事人技術(shù)使用的優(yōu)點及好處，誘導(dǎo)使用者同意。技術(shù)使用方應(yīng)盡量給予公民在驗證身份時除人臉識別外的其他可替代方式，供公民選擇，不得將人臉識別作為唯一方式，變相強迫公民提供人臉信息。

（2）提高風(fēng)險責(zé)任意識。技術(shù)使用方應(yīng)建立數(shù)據(jù)采集、傳輸、存儲、使用、加工等多方面的合規(guī)機制，明確人臉識別信息收集行為中每一步的邊界，依法對所采集的人臉識別信息進(jìn)行安全管理。在采集程序上，堅持采集適度原則，防止過度采集個人信息和數(shù)據(jù)的濫用，以能達(dá)到使用目的的最小限度為準(zhǔn)。加強企業(yè)內(nèi)部的安全管理，與員工簽訂相應(yīng)的人臉信息保密協(xié)議，制定相應(yīng)的隱私條例和內(nèi)部規(guī)章制度，明令禁止員工出售任何人臉信息，對于違反規(guī)定者給予嚴(yán)厲的懲罰。組織員工進(jìn)行有關(guān)人臉技術(shù)相關(guān)法律知識的學(xué)習(xí)，定期進(jìn)行法律培訓(xùn)，避免侵權(quán)行為的發(fā)生。最后，企業(yè)還需加強對員工的文化培訓(xùn)，在潛移默化中健全員工的信息保護(hù)與安全機制。

2.建立多重侵權(quán)救濟(jì)途徑，通過民事公益訴訟保障公民權(quán)利

人臉識別技術(shù)的非接觸性和隱蔽性使公民在不知情的情況下被采集了面部數(shù)據(jù)信息，即使公民知情并同意，在信息被采集后，公民也無法監(jiān)控自身數(shù)據(jù)的使用和流轉(zhuǎn)情況，其權(quán)利救濟(jì)無從談起。濫用人臉識別技術(shù)、非法獲取公民個人信息、泄露公民人臉數(shù)據(jù)等侵權(quán)行為所侵害的主體在數(shù)量上往往具有廣泛性和分散性，但由于侵權(quán)行為的難以察覺性、取證的艱難性等，公民很難通過訴訟維護(hù)自身權(quán)利。行業(yè)內(nèi)部可以設(shè)立專門的數(shù)據(jù)管理監(jiān)督組織，對數(shù)據(jù)的收集、使用和保護(hù)進(jìn)行監(jiān)控，發(fā)現(xiàn)企業(yè)如有侵權(quán)行為應(yīng)提起民事公益訴訟。如果社會組織和行政機關(guān)沒有及時向法院提起公益訴訟，則由檢察機關(guān)提起民事公益訴訟。如果行政機關(guān)濫用權(quán)力侵權(quán)，則可以由公民申請行政復(fù)議或者直接提起行政訴訟。

（三）個人層面

技術(shù)被使用者不能因為部分商家的濫用，就將新技術(shù)的應(yīng)用“一棒子打死”，而是要理性地審視和分析自身與技術(shù)使用者之間的法律關(guān)系，正視自身為取得產(chǎn)品或接受服務(wù)將要承擔(dān)的風(fēng)險與責(zé)任，權(quán)利與義務(wù)，不斷提高認(rèn)知能力和法律意識，消除認(rèn)知偏差，積極獲取與人臉識別有關(guān)的各類信息，認(rèn)真閱讀人臉信息處理過程中的告知書、協(xié)議等書面材料，了解個人信息被侵犯或濫用時的救濟(jì)渠道。

四、結(jié)語

技術(shù)的更迭需要法律的更新與之相匹配，即使人臉識別技術(shù)的應(yīng)用在短期內(nèi)帶來了高收益與高便利，但其所帶來的社會風(fēng)險也不容忽視，人臉識別技術(shù)應(yīng)被限制在合理且必需的領(lǐng)域內(nèi)。因此，國家在立法方面應(yīng)建立健全一套完整的法律體系，加大刑法的打擊力度，明確人臉識別技術(shù)侵權(quán)的責(zé)任主體；在執(zhí)法方面，設(shè)置專門機構(gòu)統(tǒng)籌個人信息保護(hù)工作；在司法方面，對接不同的部門法律規(guī)范，對人臉識別技術(shù)應(yīng)用的合理性作出回應(yīng)；在行政管理方面，設(shè)立人臉識別技術(shù)的企業(yè)入行標(biāo)準(zhǔn)，健全年審、備案機制，將人臉識別技術(shù)應(yīng)用納入聽證制度；社會應(yīng)建立多重侵權(quán)救濟(jì)途徑，通過民事公益訴訟保障公民權(quán)利；技術(shù)使用方應(yīng)當(dāng)拒絕強制性，給予被使用方更多的選擇權(quán)，提高風(fēng)險責(zé)任意識，技術(shù)被使用方也要提高個人的信息保護(hù)意識。各方共同努力，充分利用人臉識別技術(shù)，保護(hù)人臉信息安全，做到科技發(fā)展與風(fēng)險規(guī)制的平衡。