人臉識別技術(shù)應(yīng)用的法律風(fēng)險防范體系構(gòu)建

摘 要：人臉識別技術(shù)的應(yīng)用在給我們生活帶來便利的同時，其所生之諸多法律風(fēng)險也日漸彰顯，如侵犯隱私權(quán)、導(dǎo)致個人信息泄漏和濫用等。該文提出應(yīng)從立法和監(jiān)管兩個層面對人臉識別之法律風(fēng)險防范體系進(jìn)行構(gòu)建。在立法體系構(gòu)建方面，宜采用專門立法模式，明確立法宗旨和八大原則，并創(chuàng)設(shè)個人信息權(quán)。在監(jiān)管體系構(gòu)建方面，建立風(fēng)險評估和許可機制，并成立個人信息保護(hù)委員會，強化執(zhí)法力度。

關(guān)鍵詞：人臉識別;隱私權(quán);個人信息;法律風(fēng)險;防范體系

一、問題的提出

人臉識別技術(shù)是一種基于人的面部特征信息進(jìn)行身份識別的一種生物識別技術(shù)，也叫做人像識別、面部識別。[1]隨著人臉識別技術(shù)的不斷優(yōu)化和完善，人臉識別的準(zhǔn)確率和安全性得到了很大提升，打消了人們之前對其望而卻步的念頭，人們對它的接受度和信賴度也隨之得到了增強，使得該技術(shù)能夠被公眾所認(rèn)可和接納，并在各個行業(yè)、各領(lǐng)域得到廣泛運用，較為常見的有刷臉支付、刷臉報到、刷臉解鎖、刷臉入住、刷臉登機等。然而，在人臉識別技術(shù)應(yīng)用的同時，其所生之諸多法律風(fēng)險也日益凸顯。

（一）侵犯隱私權(quán)之風(fēng)險

人臉識別技術(shù)可以在用戶無意識的情況下對用戶的面部信息進(jìn)行采集，由此獲取用戶的年齡、性別、國籍、膚色、種族、心情、行蹤軌跡等個人隱私信息，侵犯用戶的隱私權(quán)。更可怕的是，隨著人臉識別技術(shù)的不斷進(jìn)步以及攝像頭覆蓋面積的不斷增加，我們的一舉一動包括行蹤軌跡都將在攝像頭之下暴露無遺，人類將逐步進(jìn)入“弱隱私時代”。屆時，由此引發(fā)的隱私問題將進(jìn)一步惡化。[2]

（二）侵犯肖像權(quán)、名譽權(quán)之風(fēng)險

不法分子通過人臉檢測識別用戶發(fā)布在社交網(wǎng)站上的照片是否含有人臉圖像，如果檢測到照片中含有人臉圖像則將其保存，用于販賣，侵犯用戶肖像權(quán)。據(jù)了解，目前網(wǎng)上存在不少涉及人臉照片的交易信息，交易價格也是參差不齊，一些售賣人臉照片的賣家透露稱8元便可購買3萬張人臉照片。此外，一些不法分子通過一些換臉軟件，將他人的頭像進(jìn)行交換，從而對他人形象進(jìn)行丑化，損害他人名譽。更有甚者將一些明星的照片換在一些色情表演者身上，嚴(yán)重侵犯他人的名譽權(quán)。[3]

（三）引發(fā)種族歧視之風(fēng)險

根據(jù)麻省理工學(xué)院一項研究表明，人臉識別技術(shù)在算法設(shè)計階段對給白種人和非白種人做了明顯的區(qū)別，對于白種人的識別率要高于非白種人。[4]再比如美國邁阿密的智能化治安監(jiān)控系統(tǒng)重點關(guān)注低收入的黑人群體和西班牙移民。[5]可見，人臉識別技術(shù)的應(yīng)用仍蘊含著種族歧視的風(fēng)險。

（四）個人信息泄露、濫用、盜用之風(fēng)險

人臉數(shù)據(jù)的保管者沒有盡到妥善保管義務(wù)，亦或數(shù)據(jù)保管系統(tǒng)被不法分子侵入均可能造成個人信息的泄露。人臉數(shù)據(jù)與密碼不同，密碼泄露可以及時更換，而人臉數(shù)據(jù)具有不可更改性，一旦泄露就是終身泄露。由此導(dǎo)致人臉數(shù)據(jù)主體、控制者、使用者喪失對該數(shù)據(jù)的控制，進(jìn)而將人臉數(shù)據(jù)安全置于更大的不確定性中。[6]數(shù)據(jù)本無罪，使用者卻有善惡之分。人臉數(shù)據(jù)使用者如果并沒有嚴(yán)格按照約定的方式使用其所收集的人臉數(shù)據(jù)，亦或是未經(jīng)他人允許私自使用他人泄漏的個人信息，均會造成個人信息的濫用。相對于個人信息濫用，其被盜用所帶來的風(fēng)險則更加巨大。一旦我們的個人生物信息被不法分子獲取，不法分子便可以通過技術(shù)手段偽裝成“另一個我”，從而對我們實施欺詐、脅迫等不法行為，侵犯我們的人身和財產(chǎn)權(quán)益。

二、人臉識別法律規(guī)制現(xiàn)狀分析

縱觀世界各國，對人臉識別技術(shù)應(yīng)用的法律風(fēng)險防范主要有兩種方式：一種是通過對含人臉數(shù)據(jù)在內(nèi)的個人數(shù)據(jù)保護(hù)來進(jìn)行防范，如歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）;另一種是通過制定專門的人臉識別法律進(jìn)行防范，如2020年美國加利福尼亞州的《面部識別法案》。

（一）美國模式

美國目前涉及人臉識別技術(shù)規(guī)制的法案尚有三部正在審議當(dāng)中，即《商業(yè)性人臉識別隱私法案（2019）》、《面部識別技術(shù)授權(quán)法案（2019）》、《人臉識別道德使用法案（草案）》。分析三部法案可知，在商業(yè)領(lǐng)域，美國持較為開放的態(tài)度，在用戶明確積極同意下，鼓勵人臉識別技術(shù)的商業(yè)運用。然而，對于政府層面的運用，美國卻持相對謹(jǐn)慎的態(tài)度，原則上對州和地方政府對人臉識別的使用進(jìn)行了較為嚴(yán)格的限制。例如，2019年5美國舊金山市立法機構(gòu)通過了《停止秘密監(jiān)控法令》、2020年3月華盛頓州頒布《面部識別法案》，均對州和地方政府對于人臉識別技術(shù)的使用做了嚴(yán)格限制。

（二）歐盟模式

歐盟對個人信息的保護(hù)比較保守，更注重個人數(shù)據(jù)隱私，其采取的是一種全方位國家立法模式。[7]具體來講，歐盟針對人臉識別技術(shù)應(yīng)用的法律風(fēng)險防范主要是通過GDPR中對個人生物識別數(shù)據(jù)的保護(hù)來實現(xiàn)的。GDPR 第 9 條規(guī)定，生物識別數(shù)據(jù)屬于“特殊種類的個人數(shù)據(jù)”，除一些特殊情況外，如為了公共利益、科學(xué)研究、統(tǒng)計的目的，原則上禁止處理。但是在商業(yè)領(lǐng)域中，在獲得用戶明確同意情況下，可以使用人臉識別技術(shù)對用戶的人臉數(shù)據(jù)進(jìn)行收集和使用，但應(yīng)對數(shù)據(jù)的收集和使用情況進(jìn)行公示。

（三）中國現(xiàn)狀分析

目前，我國尚未制定關(guān)于人臉識別技術(shù)應(yīng)用法律風(fēng)險防范的專門法律，只是通過在《民法典》、《網(wǎng)絡(luò)安全法》、《消費者權(quán)益保護(hù)法》等法律中設(shè)置關(guān)于對個人信息保護(hù)或隱私保護(hù)的條款加以規(guī)制，既分散，又較為概括，現(xiàn)實可操作性不強，仍需進(jìn)一步整合細(xì)化。

三、人臉識別的法律風(fēng)險防范體系構(gòu)建

筆者認(rèn)為，要解決人臉識別技術(shù)所帶來的法律風(fēng)險防范問題，除了通過增加科研投入來提高該技術(shù)的準(zhǔn)確性和安全性，并通過行業(yè)標(biāo)準(zhǔn)及行業(yè)自律來規(guī)范該技術(shù)的使用外，關(guān)鍵仍在于構(gòu)建完備的法律體系和監(jiān)督體系。

（一）法律體系構(gòu)建

1.立法模式的選擇

美國在商業(yè)領(lǐng)域并不排斥人臉識別技術(shù)的使用，其持較為開放和樂觀的態(tài)度，規(guī)定在滿足“知情+同意”的情況下，允許使用人臉識別技術(shù)。但是，美國很多州原則上禁止并限制政府機構(gòu)使用人臉識別的做法并不可取。著眼歐盟從數(shù)據(jù)保護(hù)層面對人臉識別進(jìn)行規(guī)制的方式，我國目前正在制定的《個人信息保護(hù)法》似乎較符合歐盟關(guān)于GDPR的立法模式，即從宏觀個人信息保護(hù)層面對人臉識別進(jìn)行規(guī)制，但這種模式也存在著諸多的不足，它在細(xì)致性、征對性、可操作性上不如專門立法來的好。因此，考慮到針對個人信息的專門立法正在進(jìn)行，目前尚無一部針對人臉識別技術(shù)進(jìn)行規(guī)制的法律，且對于人臉識別技術(shù)的法律規(guī)制又顯得尤為迫切。因此，我國現(xiàn)階段可以借鑒美國模式，在制定《個人信息保護(hù)法》的同時，加快制定專門性的人臉識別規(guī)制法，這是較為適當(dāng)?shù)牧⒎ūＷo(hù)模式。[8]

2.明確立法宗旨和原則

人臉識別規(guī)制法應(yīng)明確以規(guī)范人臉識別技術(shù)行業(yè)發(fā)展、促進(jìn)社會進(jìn)步和保護(hù)個人信息和隱私相結(jié)合的立法宗旨。人臉識別技術(shù)的使用應(yīng)遵循合法、目的正當(dāng)、程序正當(dāng)、最小必要、信息安全保障、主體參與、公開透明、權(quán)責(zé)一致的原則。合法原則要求人臉識別的使用應(yīng)遵守相關(guān)公民隱私和個人信息保護(hù)的法律法規(guī)，不得損害國家、集體和他人的合法權(quán)益，亦不可違背公序良俗。目的正當(dāng)原則要求人臉識別技術(shù)的使用者在收集和使用公民人臉信息時，應(yīng)具有正當(dāng)目的，并有助于促進(jìn)社會的進(jìn)步與發(fā)展。程序正當(dāng)原則要求通過人臉識別技術(shù)收集、使用公民的人臉數(shù)據(jù)時，應(yīng)告知公民人臉信息采集的用途、方式、使用范圍、保存期限、可能存在的風(fēng)險等信息，并征得公民明確且肯定的同意。最小必要原則要求人臉信息收集者或人臉識別技術(shù)使用者在權(quán)衡收集、使用人臉信息過程中蘊含的風(fēng)險與企業(yè)可得利益后，在滿足特定用途的前提下，盡可能少的收集用戶的人臉信息，在信息使用完后及時予以刪除。信息安全保障原則要求對于收集的人臉信息，企業(yè)應(yīng)該根據(jù)信息的敏感性、規(guī)模和使用環(huán)境，將原始人臉信息加密存儲。同時，要求個人信息控制者將可用于恢復(fù)識別個人的信息與去標(biāo)識化后的信息分開存儲。[9]主體參與原則要求人臉信息收集者向個人信息主體提供能夠訪問、更正、刪除其個人信息的途徑。[10]公開透明原則要求數(shù)據(jù)的控制者和使用者及時向社會公布人臉信息收集的范圍、存儲的期限、使用的目的等相關(guān)信息，并接受公眾的監(jiān)督。權(quán)責(zé)一致原則要求經(jīng)用戶授權(quán)收集和使用人臉信息的個人或單位，對用戶的人臉信息負(fù)有安全保障義務(wù)，因其收集、使用、存儲不當(dāng)造成用戶合法權(quán)益受損的應(yīng)承擔(dān)相應(yīng)的責(zé)任。

3.個人信息權(quán)的創(chuàng)設(shè)

目前，關(guān)于公民個人信息保護(hù)的現(xiàn)有法律尚未明確個人信息權(quán)，只是在一些部門法予以較為概括和寬泛的保護(hù)。個人信息權(quán)與隱私權(quán)有著本質(zhì)的區(qū)別。[11]個人信息權(quán)更多的是一種對個人信息控制的主動性權(quán)利，包括對個人信息的復(fù)制、使用、轉(zhuǎn)讓、銷毀等一系列權(quán)利，是一種兼具人格性和財產(chǎn)性的權(quán)利，而隱私權(quán)則更多地體現(xiàn)為一種人格性權(quán)利，是一種對人格尊嚴(yán)和自由嚴(yán)格保護(hù)的防御性權(quán)利。故，有必要在法律上明確創(chuàng)設(shè)個人信息權(quán)，并確定該權(quán)利的人格和財產(chǎn)雙重屬性、地位和具體內(nèi)容，為個人信息的保護(hù)提供強有力的法律保障。

（二）監(jiān)管體系構(gòu)建

目前政府在人臉識別技術(shù)的監(jiān)管過程中并非順風(fēng)順?biāo)?，針對侵犯公民人臉信息的行政處罰因缺乏專門具體的法律依據(jù)，導(dǎo)致頻發(fā)的個人臉部信息泄露和濫用問題多以主管部門約談、整改收場。因此，有必要構(gòu)建強有力的監(jiān)管體系。

1.建立風(fēng)險評估和許可機制

人臉識別技術(shù)風(fēng)險評估具有較強的專業(yè)性，為了保障評估結(jié)果的公正客觀性，宜通過第三方機構(gòu)對人臉識別技術(shù)相關(guān)軟件和應(yīng)用予以風(fēng)險評估，并將評估報告交給專門的個人信息保護(hù)機構(gòu)，由其進(jìn)行審核備案。只有風(fēng)險評估結(jié)果為合格的人臉識別軟件或應(yīng)用，個人信息保護(hù)機構(gòu)應(yīng)該許可其向市場投放使用。針對人臉識別應(yīng)用或軟件的風(fēng)險評估報告應(yīng)及時通過網(wǎng)上平臺或政府信息公示渠道向社會公示，讓公眾能夠及時查詢，以便在使用相關(guān)人臉識別技術(shù)軟件和應(yīng)用時對其可靠程度有一個較為準(zhǔn)確的認(rèn)識，避免公眾因市場上人臉識別軟件和應(yīng)用良莠不齊導(dǎo)致的個人信息泄漏和侵權(quán)風(fēng)險。

2.成立個人信息保護(hù)委員會，強化執(zhí)法力度

目前，針對人臉識別技術(shù)使用所引發(fā)的個人信息泄漏和隱私侵犯問題，呈現(xiàn)出了執(zhí)法分散和執(zhí)法力度不夠的特點。筆者認(rèn)為，針對此類侵犯個人信息和隱私的問題時不應(yīng)一味地采取一些臨時性處罰措施，而應(yīng)總體布局，協(xié)調(diào)聯(lián)動，充分調(diào)動市場監(jiān)管總局、公安部、工信部、中央網(wǎng)信辦等有關(guān)部門力量，形成合力，并從各相關(guān)政府部門中抽調(diào)負(fù)責(zé)個人信息安全職能的工作人員，成立個人信息保護(hù)委員會，建立常態(tài)化監(jiān)管機制，從而避免執(zhí)法分散的弊端。個人信息委員會的職責(zé)包括對人臉識別技術(shù)風(fēng)險評估報告進(jìn)行審核備案，對人臉識別技術(shù)的開發(fā)商、應(yīng)用平臺、相關(guān)軟件進(jìn)行監(jiān)管并進(jìn)行定期檢查。此外，對人臉識別技術(shù)使用過程中存在的違法違規(guī)行為應(yīng)依法查處，構(gòu)成犯罪的，及時移送司法機關(guān)并追究其刑事責(zé)任。[12]

結(jié)語

科學(xué)技術(shù)的進(jìn)步為我們開拓了一個新時代，引領(lǐng)我們?nèi)ヌ剿鬟@個復(fù)雜繽紛的大千世界。在面對諸如人臉識別這樣的新興技術(shù)時，切不可“窺一斑而見全豹，因噎而廢食”，我們應(yīng)該保持理性的態(tài)度，用包容、開放、全面、發(fā)展的眼光來看待它，簡單叫停并非良策，唯有正確使用、科學(xué)防控，并為其構(gòu)建完善的法律和監(jiān)管體系，方可便利生活、方便生產(chǎn)、促進(jìn)人類進(jìn)步。

參考文獻(xiàn)

[1]李梅;范東琦;任新成;廖忠志.物聯(lián)網(wǎng)科技導(dǎo)論[M]. 北京：北京郵電大學(xué)出版社，2015：44.

[2]方陵生.臉部識別系統(tǒng)：個人隱私終結(jié)者[J]. 世界科學(xué)，2015，（03）：38-39.

[3]侯學(xué)賓.AI換臉：法律風(fēng)險不容小覷[J]. 浙江人大，2019，（11）：45.

[4]洪延青.人臉識別技術(shù)的法律規(guī)制研究初探[J]. 中國信息安全，2019，（08）：85-87.

[5]蔣潔.人臉識別技術(shù)應(yīng)用的侵權(quán)風(fēng)險與控制策略[J]. 圖書與情報，2019，（05）：58-64.

[6]張凱倫，王倩.你知道“刷臉”的風(fēng)險嗎[J]. 方圓，2019，（09）：60-63.

[7]張平.大數(shù)據(jù)時代個人信息保護(hù)的立法選擇[J]. 北京大學(xué)學(xué)報（哲學(xué)社會科學(xué)版），2017，54（03）：143-151.

[8]付微明.個人生物識別信息的法律保護(hù)模式與中國選擇[J]. 華東政法大學(xué)學(xué)報，2019，22（06）：78-88.

[9]陳云峰.區(qū)塊鏈征信業(yè)務(wù)中如何保證數(shù)據(jù)使用合規(guī)[J]. 中國信用，2018，（08）：116-117.

[10] 蘇鳴立.ZAO隱私保護(hù)存“大坑”[J]. 計算機與網(wǎng)絡(luò)，2019，45（17）：8-10.

[11] 王利明.論個人信息權(quán)的法律保護(hù)——以個人信息權(quán)與隱私權(quán)的界分為中心[J]. 現(xiàn)代法學(xué)，2013，35（04）：62-72.

[12] 張曉彤.為“刷臉”技術(shù)劃定法律邊界[J]. 人民論壇，2020，（05）：72-73.

作者簡介：

余磊（1992-），男（漢族），四川西昌人。福建農(nóng)林大學(xué)公共管理學(xué)院，2019級法律碩士在讀。