人脸识别技术的应用风险及其法律规制

颜文彩

(福州大学 法学院，福建 福州 350108)

2019年10月，杭州野生动物世界为方便消费者入园将“指纹入园”升级为“人脸识别入园”被消费者起诉，理由为：被收集的人脸信息属高度敏感的生物信息，如被非法使用将危害个人人身与财产安全。该案引起人们对个人隐私保护的重视，被称为“中国人脸识别第一案”。无独有偶，2019年底，北京地铁将应用人脸识别技术进行分类安检亦引发热议。随着科技发展，人脸识别技术的应用范围日渐广泛，公众在习惯人脸识别的同时也开始反思该技术除带来便利外将伴随哪些风险及应如何进行规制，此即本文研究和分析的目的。

一、人脸识别技术的应用及潜在风险

(一)人脸识别技术的应用

人脸识别技术是基于生理特征的识别，通过计算机提取人脸特征，并依特征进行身份验证的一种技术。[1]近年来，人脸识别技术呈井喷式增长，尤其是2020年新冠疫情爆发后，该技术以非接触性的优势得到广泛应用。依人脸识别技术的应用目的，可分为出于公益目的与出于私益目的的应用。[2]

基于公益目的的人脸识别技术主要应用在公共管理及公共服务领域。前者如治安管理中利用人脸识别网络系统进行公安巡查、户籍调查或网上追逃；交通管理方面，如出入境识别、火车站或地铁站抓拍人脸查证；社保领域亦可通过人脸识别核查参保人身份的真实性，以避免骗保、冒领。后者如学校管理中，运用人脸识别技术防止作弊、进行课堂签到；医疗领域中则可通过微信刷脸挂号、签到、缴费。基于私益目的的应用，即私主体(主要指营利法人)为减少运营成本、提高经济效益的运用。主要包括门禁考勤，如在社区、办公楼等场所应用人脸识别测温考勤，实现门禁、考勤、访客管理及识别预警；零售领域，如超市的人脸识别自助收银终端设备、人脸识别智慧自动售货机；金融领域包括支付宝刷脸登陆付款、通过人脸识别存取款及电子银行远程开户；智能设备及APP应用领域，则可通过人脸识别解锁屏幕或登录APP，部分APP亦可通过人脸图像分析进行换脸、性格判断、健康情况预测。

(二)人脸识别技术应用的潜在风险

1.侵权风险

人脸识别技术的应用存在侵犯平等权的风险，该技术本身可能因数据偏差存在歧视。麻省理工对微软、Facebook等公司的人脸识别系统的一项研究表明，检测肤色较深女性的出错率高于检测肤色较浅的男性。换言之，检测过程存在性别与肤色歧视(种族歧视)。[3]使用者还可通过人脸识别系统分析购物者的购物习惯与消费水平，以此推荐不同商品或服务并给出不同价格(价格歧视)，对需求稳定的或消费水平较高的顾客往往实行高一级的价格标准。

人脸识别技术的应用存在侵犯隐私权的风险。人脸识别技术的非接触性特点，使其具有侵入性，任何带有摄像头的设备均可采集人脸信息，使人脸这一个人信息无时无刻不暴露在公众视野下。使用者未经当事人知情和同意进行采集，进而通过技术手段依人脸特征计算个人年龄、种族、健康状况等信息，若再将人脸信息的专属性与数据库中的其他信息结合，即能锁定个人的身份信息、家庭情况、社交关系，使得个人隐私暴露无遗。

人脸识别技术的应用还存在限制自由的风险。人脸识别技术具有非接触性与无意识性特征，个人在未作出选择的情况下可能已被迫适用该技术，这就限制了人们的选择自由。该技术的应用亦会使个人行动面临被监视和记录的风险，公众出于防范心理会更不愿参加社会活动或被迫采取遮掩个人面部等方式谨慎出行和社交，这在一定程度上限制了个人的行动自由和结社自由。

2.安全隐患风险

人脸信息的使用环节存在人身与财产安全隐患。人脸识别技术的本质是一项基于人脸数据分析的人工智能身份验证技术，[4]攻击者可通过向人脸识别技术系统演示假识别信息，而智胜人脸识别系统。简言之，不法分子可使用照片、视频或人造面具“欺骗”人脸识别系统，使之“相信”被认证的对象为本人。曾有人用3D打印制作的蜡像人头，骗过支付宝的人脸识别系统；不法分子还可通过“欺骗”人脸识别的门禁系统“破门而入”。而“被换脸”也是人脸识别技术附随的安全隐患，2020年发生的盗用公民个人信息案中，就有犯罪嫌疑人利用AI换脸技术获取公民照片并通过照片活化软件生成动态视频，骗过人脸识别系统。

人脸信息的存储与流转环节亦存在信息泄露的隐患。人脸本身不可复制，然通过网络使用人脸信息就需将其转化为计算机可识别的二进制代码，而二进制代码在传输过程中可能被复制、泄露或窃取。据网络安全企业奇安信集团网络安全专家陈洪波介绍，目前无论是将人脸信息存储在本地服务器或托管到公有云上，都有被攻破的风险。[5]

3.难以补救及救济的风险

人脸信息一旦被泄露将难以补救。基因、指纹、人脸等高度敏感的生物信息具有人身专属性及不可更改性。相较而言，人脸信息更易通过照片、视频等载体传播，其被泄露和滥用的可能性较大且扩散范围和用途也不可控。人脸信息一旦遭到泄露，当事人无法像更改密码般更换面部信息。而互联网是有记忆的，故泄露人脸信息的后果是不可逆的，即使通过法律手段维权成功，被泄露的信息也难以追回。

人脸信息的储存、应用与转让都是无声的，实践中往往难以找到数据泄露者，数据采集者、使用者、保管者间亦可能互相推诿责任。而现有过错责任的归责原则在对数据泄露者的追责上亦不周延。因人脸识别算法的复杂性，技术开发者往往可以知识偏差为由免于或减轻责任。[6]且这类侵权案件中，原被告双方大多在知识背景、经济实力上不对等，人脸识别技术本身亦具专业性、隐蔽性，使得原告在举证上困难重重。

二、域外人脸识别技术的法律规制

当前在人脸识别技术的规制上，美国和欧盟已作出较多尝试，故本文将对这二者的相关规定进行分析，以期从中获得启示。

(一)美国

美国联邦政府并未在立法层面限制人脸识别技术的应用，而交由各州、各城市依情况自主规定。公共领域方面，部分城市禁止政府机构使用人脸识别技术，如2019年美国加利福尼亚州旧金山市通过《停止秘密监视》条例，禁止政府机构使用人脸识别技术和人脸识别技术获取的信息。随后奥克兰、马萨诸塞州的萨默维尔市和波士顿也接连通过类似法案。部分州则倡导限制政府机构应用该技术，如乔治敦法律隐私与技术中心起草的《人脸识别示范法》提出，原则上调查和执法部门不得使用人脸识别技术与身份证照片数据库比对，除非获得法院许可。商业领域，当前仅俄勒冈州波特兰市禁止私人企业使用人脸识别技术。以伊利诺伊州的《生物信息隐私法》为典型代表，该法规定个人、合伙企业等私主体在收集生物识别信息前应征得客户同意；①企业须制定书面政策设定生物识别数据的保留时间，当数据收集目的已达到或距信息主体与企业最后一次联络满三年时，就应摧毁该数据。允许应用人脸识别技术的州、城市亦有限制性规定，如德克萨斯州的《统一商法典》规定，未经同意不得获取信息主体的生物识别信息；除满足一定条件外，生物识别信息不得售卖或披露。华盛顿州也同样以当事人同意作为获取和使用人脸识别技术的前提。

综合而言，美国对人脸识别技术的规制呈现出几个特点：第一，政府部门应用人脸识别技术由来已久，随着应用过程中暴露出的歧视和滥用问题，各州、各城市逐步启动规制该技术的研究；第二，禁用人脸识别技术的州、城市较少，禁止政府部门应用的仅前文列举的四个城市，禁止私企业应用的仅一个城市；第三，限制人脸识别技术应用的居多，具体方式包括应用前获得许可、限制数据保留时间等。

(二)欧盟

欧盟规制人脸识别技术的核心法律为2018年施行的《通用数据保护条例》(简称GDPR)，该条例适用于公私主体。主要内容包括：第一，原则上禁止处理能识别出特定个人的敏感数据，除非符合下列条件之一：获得数据主体同意；为保护合法诉求必须为之；为公共利益需要而为之。第二，完善数据处理体系，企业应将个人信息保护融入相关产品设计和公司运营中，可采拟定假名或加密个人数据等方法。第三，扩大责任主体范围，责任主体从数据收集者、使用者扩展至数据处理者(如提供数据处理服务的供应商)。第四，用户拥有数据知情权、修改权、撤销权，应用数据的目的已达到或不再适用时，相关主体应删除用户信息。第五，建立监管体系，欧盟成员国需设立监督人员并建立执行机制，处理大量敏感数据的企业应聘请数据保护官，发生数据泄露时，需及时通知监督人员进行处置。第六，加大处罚力度，如企业违规内容涉及未经用户同意使用数据、侵犯用户人权或非法跨境流通数据，最高可获2 000万欧元或其全球年营业额4%的罚款。第七，区分应用人脸识别技术的不同场景，授予公法主体执行维护公共利益任务或履行政府职权、侦查犯罪时处理个人数据。

可以看出欧盟对人脸识别技术的适用持审慎态度，GDPR严格保护人脸信息这一生物数据，全面规制人脸信息采集、使用、存储、责任及监管环节。

三、我国人脸识别技术的法律规制建议

(一)规制方式选择

前述分析表明，美国与欧盟规制人脸识别技术的措施虽不尽相同，但总体趋势一致：保护个人敏感信息的意识逐渐增强，并采取限制措施。欧盟对个人数据过于严格的立法保护，已日益显现出阻碍科技与经济发展的弊端。我国人脸识别技术的应用和发展走在世界前列，截至2020年10月，全国共有10 443家企业的经营范围涵盖人脸识别。[7]美国商务部2018年报告亦显示，全球前四的人脸算法技术均为中国公司持有。我国对这一技术的应用广泛而迅速，若绝对禁止使用显然不利于经济发展。当前禁用人脸识别技术的城市也仅在某些领域禁止使用，即便在欧盟的严格规定下，亦允许特定情形应用该技术。需承认的是人脸识别技术的发展创造了大量裨益社会的机会，如何规范和保障新兴技术的应用和发展才是我们的关键议题。

现代文明以尊重个人基本权利为前提，允许伴随风险的新技术应用，应确保其建立在合法、合理的基础上。已有学者指出，我国多地因人脸识别技术应用过于广泛而引起民众不适，部分民众在公众场合会通过遮面或低头以避免人脸信息暴露。该现象反映民众对人脸识别技术的抵触，若不予理会并长期、大范围应用和发展该技术，必将动摇我国社会治理的根基。[8]人脸识别技术伴随的风险客观存在，随着我国大规模地应用人脸识别技术，其危害后果必将逐渐显现，而危害后果的不可逆要求必须建立并完善相应的规制措施。

(二)具体规制建议

2021年11月起施行的《个人信息保护法》初步形成个人信息保护的法律框架，然相关规定还不甚明晰和有针对性。我国应尽快补足这一短板，进一步明确人脸识别技术的安全底线和责任，借鉴美国、欧盟的先进经验，规范人脸识别技术的应用。具言之，可从几方面展开：

1.划定人脸识别技术的应用范围

《个人信息保护法》仅规定了公共场所采集人脸信息须以维护公共安全为目的并设置显著标识。本文认为，基于公主体与私主体应用该技术目的不同伴随的风险亦有所不同，对此，可参考欧盟GDPR对不同应用场景的区分，对公私主体的应用范围和前提采不同原则。

公主体基于公权力应用人脸识别，应用范围应限定在维护公益目的中，对“公共利益维护”的解释须遵循合法性、正当性、必要性三原则。合法性包括内容合法与程序合法，前者要求不同主体应依规定在职权范围内应用该技术，后者要求公主体内部建立审批、报备、监管程序并严格按程序行事。正当性要求人脸识别技术的应用目的正当，确实为国家利益或可切实增进社会公共利益，且相较于对公民权利的影响该目的的实现具有重要性和紧迫性。必要性则要求公共部门应坚持最小够用标准，综合各方面因素，确保应用范围与方式能达目的即可。

私主体使用人脸识别的目的在于减少运营成本与提升经济效益，应坚持法定范围与当事人同意原则。国家应尽快确立人脸识别技术应用的审批制度，着重审查私主体应用该技术的范围、方式、管理水平、保障措施及过往是否有泄露信息的不良记录等。私主体与人脸信息的权利主体双方地位平等，其应用该技术前应明确告知当事人人脸信息的用途、储存方式、风险及安全保障措施，并获当事人明确同意。

2.加强对人脸识别技术应用过程的规制

《个人信息保护法》仅规定不得向他人公开或提供收集的信息，但取得个人同意或法律法规另有规定除外。人脸识别技术伴随的风险主要是因人脸信息泄露或滥用所致，故亦需强化对人脸信息储存、使用与流转的规制。

信息储存方面，依使用目的不同，可分为单次、短期、长期使用。对于只需应用一次的人脸信息应即时使用即时删除；需在一定时间内使用的，设定储存时限为短期和长期，期满应自动删除。借鉴欧盟GDPR规定个人信息授权亦可随时撤回，可以赋予当事人要求应用主体删除人脸信息的权利。此外，还需规定比储存一般信息更严格的管理标准，应建立人脸识别数据库，配套数据加密、访问控制、病毒防范及数据库遭入侵的应急手段等技术措施。对数据库的管理应定期评估，及时升级，定期培训数据管理主体。

信息使用方面，应规定禁止不当使用与禁止超范围使用。前者指应以正当途径应用人脸识别。正当性是伦理学概念，用以判断某种行为是否适度、合宜与中道，人脸识别技术应以是否侵犯公民尊严为应用标准，不得歧视或违背伦理道德。后者则指应在规定范围内使用人脸识别，范围与前述公私主体的采集信息范围基本一致。鉴于应用过程的持续性、不稳定性，还需定期进行评估，取消不当使用与超范围使用者的应用资格或予以处罚。

信息流转方面，应明确《个人信息保护法》规定的个人同意与法律、法规另有规定的情形。原则上禁止人脸信息传输，例外情况因公私主体不同而有所区分：公共部门仅可向同样基于公共利益维护、具有同等保护数据能力的公共部门传输；私主体是在当事人同意下获得信息采集与使用权，应再次获得当事人同意后，再向具有应用人脸识别技术资质的第三方传输，同时应确保人脸信息传输的完整性与保密性，因传输导致信息泄露的应承担责任。

3.完善人脸识别技术侵权的救济制度

人脸信息泄露的后果具有不可逆性，规制重点应放在防止泄露和滥用上，而完善救济途径则可最大程度减少受害者损失，责任的明确也可督促责任主体审慎应用人脸识别。

关于责任主体，如能确定是信息收集者或使用者或相关主体的不当行为造成侵权的，以其为被告追究责任。然人脸信息侵权中往往难以确定侵权人和侵权环节，对此可参考欧盟GDPR关于责任共担的规定及我国《侵权责任法》中的缺陷产品责任规定，在不能确定具体侵权人的情况下，可从信息的收集者、使用者、处理者或其他相关主体中，选择一个主体或几个或全部作为被告承担责任，之后被告之间可相互追偿。

关于举证责任，人脸信息所产生的风险主要因信息收集者、使用者或处理者的不当行为所致。前述主体亦是利益享有者，这类主体对人脸信息的收集、使用、传输等过程的熟悉程度及经济实力均超过当事人，故由这类主体承担更重的责任亦是合理的，可规定人脸信息识别侵权的案件采举证责任倒置。

关于责任承担方式，鉴于人脸信息背后蕴含巨大的利益空间，人脸信息买卖案件层出不穷。依人脸信息侵权的特点，除停止侵害、消除影响、恢复名誉等传统责任外，可考虑规定更严苛的赔偿制度，强化惩罚威慑效果并赔偿原告难以从补偿中获得的救济损失。对此，本文建议引入惩罚性赔偿责任。

除补足民事责任规定的短板外，也应尽快完善行政法、刑法等相关内容。行政方面可进一步明确对人脸信息采集和使用的许可制度、审批制度、检查监督与处罚等规定；刑事方面应加快完善对非法出售或使用人脸信息的犯罪行为的规制，从严从重处理。惟此，方可建立起人脸信息的联合法律保护体系。

注释：

①Rosenbach v.Six Flags Entertainment Corp.,2019 IL 123186(Jan.25,2019).