人脸识别急需法律规制

　　今年的央视“3·15”晚会上，多家知名商家违规采集人脸信息的事件被曝光。4月9日，备受关注的“人脸识别第一案”也迎来了终审判决，被告杭州野生动物世界被判删除原告郭兵办理指纹年卡时提交的包括照片在内的面部特征信息和指纹识别信息。一时间，人脸识别成为热议话题。

　　可以说，人脸识别因关系到我们每一个人而受到社会各界的广泛关注。如何保护好自己的脸，成为大数据时代无法逃避的课题。我们知道，随着科技的发展，我国的人脸识别技术应用广泛，“刷脸”在线上线下处处可见。该技术的广泛应用，创造了巨大的社会价值和经济价值，给我们的工作和生活带来了极大便利。

　　但同时也应看到，人脸信息数据一旦泄露，就意味着个人的隐私、财产等诸多的安全受到威胁，不可避免地会带来一系列现实的和潜在的信息安全风险。及时回应人脸识别技术发展带来的新挑战，治理人脸识别之乱象，防范人脸识别技术应用的法律风险，成为当下关注的焦点之一。

　　对此，本社记者就如何完善对人脸识别的法律规制，厘定人脸识别技术应遵循的法律底线等问题，对邢会强教授进行了专访。

　　

　　答：人脸识别可简单地概括为：机器对静态或视频中的人脸图像进行特征提取、分类识别，以达到身份鉴别的目的。人脸识别具有七项特征：1.独特性和直接识别性。每个人的人脸都是独特的，通过人脸可以直接识别到个人，而无需结合其他信息（当然，如果结合其他个人信息进行识别则准确度更高）。2.方便性。与其他人体生物特征相比，人脸具有不容易被遗忘的特征。它“随身携带”，方便验证。3.不可更改性。密码也可以用来进行账户登录和身份验证，但密码很容易更改，而人脸一般是不可以更换的。4.变化性。人脸虽难以更改，但会发生变化。岁月、整容、光线等都会使人脸发生变化，从而导致识别困难甚至识别错误。5.易采集性。采集人脸，可使用摄像头自动抓拍，无须人工操作，也无须被采集者配合，只要其以正常状态经过摄像头前即可。6.不可匿名性。很多个人信息都可以去身份而实现匿名化，但是人脸无法去身份和匿名化。7.多维性。通过人脸识别可获得表情信息，如悲伤、忧愁、高兴等，通过“观色”，可以洞察人心。

　　人脸识别的上述特征，直接决定了人脸识别技术具有复杂性特征，而现实中很多收集人脸的机构并不具备相应的风险防控、安全保障能力、组织和机制。

　　记者：人脸识别技术有哪些收益和风险？

　　答：人脸识别技术的收益是世所公认的。人脸识别技术可以应用于诸多场景，从改善银行业和零售业的消费者体验到加快机场边境管制等等。该项技术的发展与应用，创造了大量裨益社会的机会。其收益主要在于它识别速度更快，能极大地节省成本。

　　但是，人脸识别技术的风险也是不可小觑的。其风险主要有：1.误差风险。如果人脸识别技术不够成熟，可能出现混淆。此外，由于人脸为非刚体性，人脸之间的相似性以及各种变化因素的影响，准确的人脸识别仍较困难。2.身份认证被破解的风险。密码是秘密保存的，但人脸却是公之于众的。最新的人脸验证技术，结合了3D图片进行登录与验证，这比以前的技术更难破解，但破解并非完全不可能。3.信息泄露风险。用于保存人脸信息的电子计算机系统存在被黑客入侵、病毒入侵的风险，这可能导致信息泄露。此外，内部员工的作案也可能导致信息泄露。生物信息具有100%的可识别性，一旦被泄露或是被不当利用，后果无法估量。

　　因此，人脸识别技术虽然能带来可观的收益，但其风险也是不可低估甚至是难以估量的，风险大于收益的可能性也是存在的。即使人脸识别技术的收益大于风险，也有必要建立强有力的治理架构来降低风险。

　　记者：国外对人脸识别的法律规制有哪些做法？

　　答：美国对人脸识别的法律规制主要包括对于政府部门使用人脸识别的法律规制和对于非政府机构使用人脸识别的法律规制，二者是分别立法、分别规制的，规制的具体方法和价值取向截然不同。

　　对政府部门使用人脸识别的法律规制主要分为三种：第一种是禁止使用制度，第二种是特别许可使用制度，第三种是任意使用制度。禁止使用制度为美国旧金山市所首创，目前备受关注。特别许可使用制度目前尚处于民间建议阶段。任意使用制度即对政府使用人脸识别尚未特别立法，政府部门可以任意使用人脸识别。

　　对非政府机构使用人脸识别的法律规制，主要是将人脸信息作为生物信息之一加以规制，可以分为两种路径：一种是比对一般个人信息的保护更为严格的高强度规制路径或特别规制路径，另一种是与对一般个人信息的保护没有区分的、同等程度保护的普通规制路径。

　　与美国对政府部门和商业部门使用人脸识别技术分别进行立法不同，欧盟采取的是统一禁止的态度，强调对于“基本权利”的保护。欧盟《通用数据保护条例》（以下简称GDPR）是对公私部门一体适用的。这就意味着，无论是政府部门还是非政府部门，只要使用人脸识别技术，就必须遵守相同的规范。

　　GDPR第4条定义条款对“生物数据”（biometric data）进行的界定包括“面部图像”（facial images）。GDPR第9条规定了特殊种类的个人数据处理，其中就包括生物数据。GDPR对于生物数据的处理，遵循“原则禁止，特殊例外”的原则。数据控制者可援引“数据主体的同意”作为个人生物数据处理的例外，但该同意必须是“自由给予、明确、具体、不含混”的，数据主体的任何被动同意均不符合GDPR的规定。

　　2019年7月，欧洲数据保护委员会（EDPB）颁布了《关于通过视频设备处理个人数据的3/2019指引》，提供了尽量降低风险的措施。例如，对原始数据进行分离、存储和传输；对生物识别数据尤其是分离出的片段数据进行加密并制定加密和秘钥管理政策；整合关于反欺诈的组织性和技术性措施；为数据分配整合代码；禁止外部访问生物识别数据；及时删除原始数据，如果必须保存则采取添加干扰（noise-additive）的保护方法。

　　答：就政府部门使用人脸识别的法律规制，目前国外虽然三种制度并存，但任意使用制度显然是大数据时代之前的做法，未认识到人脸识别技术给人们带来的风险；禁止使用制度也太过于激进，不利于发挥人脸识别技术的优势，扼杀了技术的发展。相比较而言，特别许可使用制度既发挥了人脸识别技术之利，又防范了人脸识别技术之弊，是一种更为理性的制度安排，值得借鉴。

　　就非政府部门使用人脸识别的法律规制，目前国外虽然两种制度并存，但将人脸信息作为一般个人信息对待的普通规制路径，显然是没有认识到人脸信息及人脸识别技术的特殊性，将个人置于极大的风险之中。而将人脸信息作为比对一般个人信息更为严格的特别保护和特别规制，更有利于保护个人的人脸信息，更值得借鉴。

　　但是，各国的政治、社会和技术背景存在各自的特殊性，这就决定了国外对于人脸识别技术的相关制度未必适合于我国，我国在借鉴相关制度时需要审慎甄别。

　　记者：目前我国对人脸识别法律规制的情况如何？

　　答：我国2020年5月颁布的民法典第一千零三十四条第1款规定，“自然人的个人信息受法律保护”，并在该条第2款个人信息的定义中，明确将生物识别信息列举为个人信息，但未对个人生物识别信息作特别保护。日前公布的《中华人民共和国个人信息保护法（草案）（二次审议稿）》第二十七条规定：“在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供，取得个人单独同意的除外。”这里“图像采集”包括人脸识别。个人信息保护法（草案）（二次审议稿）第二十九条将个人生物信息作为敏感个人信息加以保护，并规定了“充分必要”原则。

　　我国目前对包括人脸信息在内的生物识别信息的特别保护呈现出软法先行的特点。2020年2月，全国金融标准化技术委员会审查通过的《个人金融信息保护技术规范》（JR/T 0171-2020）将生物识别信息列为敏感性最高的C3类信息，并要求金融机构不应委托或授权无金融业相关资质的机构收集C3类信息，金融机构及其受托人收集、通过公共网络传输、存储C3类信息时，应使用加密措施。2020年3月新修订的我国国家标准GB/T 35273-2020《信息安全技术个人信息安全规范》明确规定，个人生物识别信息属于个人敏感信息，并对个人敏感信息进行了特殊保护。2020年11月26日，工信部组织发布了电信终端产业协会团体标准《APP收集使用个人信息最小必要评估规范人脸信息》，规定了移动应用软件对人脸信息的收集、使用、存储、销毁等活动中的最小必要规范和评估方法，并通过个人信息处理活动中的典型应用场景来说明如何落实最小必要原则。2021年4月25日，《信息安全技术人脸识别数据安全要求》国家标准的征求意见稿面向社会公开征求意见。该征求意见稿对个人信息保护法（草案）（二次审议稿）中的人脸识别相关的规定，有一定的体现和细化。

　　记者：您认为应如何完善对人脸识别的法律规制？

　　答：我认为应从三个方面完善人脸识别技术的法律规制：

　　法律规制人脸识别技术的目的，是在确保安全的前提下，倡导一种负责任的使用。为此，要建立如下公私部门一体适用的安全与责任底线。如果不符合这些安全与底线原则，则为违法收集个人信息。第一，无论谁使用人脸识别技术，人脸识别系统都要经第三方独立机构定期检测，以检测其准确性与非歧视性。必要时，人脸识别系统及其定期检测结果应向监管部门备案。第二，无论谁通过公共网络收集、传输、存储人脸信息，都应使用加密措施，并对收集到的人脸信息进行分片段单独存储，并不得公开披露人脸信息。第三，无论谁使用人脸识别技术，都应该建立可追踪的技术体系。谁在何时何地查询、使用、修改、下载了人脸信息，事后都可查证，以便发生侵权时，人脸识别技术使用主体对侵权人进行查证和追责。第四，法律应该规定，无论是谁使用人脸识别技术，如果其收集的信息被证明出现被盗窃、泄露、非法使用、非法出售、非法提供等情形，从而给信息主体造成损失的，收集者对受害人受到的实际损失承担连带赔偿责任；如果受害人的实际损失难以证明，则应对每个受害人至少赔偿一定数额（如2000元人民币）的法定定额赔偿金。受害人受到的实际损失小于该法定定额赔偿金的，受害人可直接主张法定定额赔偿金。第五，无论是谁使用人脸识别技术，人们均有权拒绝“刷脸”。如果是在无竞争性的服务领域（如民航、铁路、学校、社区等）使用人脸识别技术，当人们拒绝“刷脸”时，应提供其他替代性的验证机制，而不能不“刷脸”就不能使用或进入。毕竟，每个人的风险偏好是不尽相同的，法律规则的设置应容忍和尊重那些低风险偏好的人，尤其是在当前不能做到人脸识别系统百分之百安全的情况下。

　　对政府部门使用人脸识别技术应以事前事中规制为主，对非政府部门使用人脸识别技术应以事中事后规制为主。这是因为，政府部门执行公务过程中构成侵权，因有国家赔偿法的限额赔偿而使当事人难以获得充分赔偿，且一旦政府部门涉嫌侵权对政府部门的声誉将造成重大不良影响，因此，应着重从事前进行风险防范，即对于政府部门安装、使用人脸识别技术应坚持有权机构批准同意原则。有权机构在批准时，应考虑到安装、使用人脸识别技术的必要性、正当性，且应通过一定的法律正当程序，遵循公开、透明、民主参与等原则予以批准。

　　如果对商业部门安装、使用人脸识别技术也坚持事前批准的话，则可能遏制商业创新和技术创新。同时商业部门的人脸识别如果给消费者造成损害的话，受害人可以通过事后的民事诉讼来进行追责，执法部门也可以通过事中或事后的执法进行监管和追责。当然，这需要我们健全法律框架，使执法部门有法可依，使受害人可以依法维权。

　　三是对人脸信息的采集施加比对一般个人信息的采集更强的规制力度

　　在采访中，记者注意到，近年来，为规范和保障信息技术和数字经济的健康发展，我国立法机关不断完善信息技术和数字经济方面的相关立法。在2018年个人信息保护法被正式列入第十三届全国人大常委会立法规划和年度立法工作计划后，第十三届全国人大常委会已经先后于2020年10月和2021年4月对个人信息保护法（草案）进行了两次审议。在向全社会公布的个人信息保护法（草案二审稿）第二十七条中，对人脸识别进行了专门规定，及时地回应了公众的迫切需求。与此同时，行业标准的出台及国家标准的即将出台，都为进一步规制人脸识别提供了规范依据。我们期待更多的法学法律专家立足法治前沿，密切配合立法机关及相关部委加强对前沿新兴领域立法的研究，为建立健全人脸识别的法律规制献计献策，让人脸识别技术的发展与应用在规范有序的道路上前行，为公众带来更加便利、安全和高效的幸福生活。