2021-04-30 16:57:07 來源：中國周刊

作者：余圣琪：華東政法大學博士研究生。本文原載《上海法學研究》集刊2020年第15卷

隨著數字時代的到來，人臉識別技術的發展取得了重大的進步。人臉識別技術現已成為一種流行，被廣泛運用于多個領域。特別是在新冠肺炎疫情防控期間，人臉識別進入了小區、校園、辦公樓，前段時間甚至進入了東莞星級公廁引發了公眾熱議。人臉識別技術在給人們生活帶來便利的同時，也給個人隱私權、財產安全、公共安全帶來風險和威脅。2020年11月20日，杭州市富陽區人民法院對我國人臉識別第一案進行了宣判。2019年瑞典GDPR第一案因瑞典學校使用面部識別技術登記學生出勤率而被罰款。Facebook因人臉識別技術引發了其在伊利諾伊州的集體訴訟而賠償6.5億美元。加拿大商場在沒有獲得授權的情況下使用人臉識別技術，采集了超過五百萬人臉信息。美國公開禁止人臉識別技術的城市已經包括舊金山、波特蘭市、薩默維爾市等八個城市。歐盟發布的《歐盟人工智能白皮書》提出將在公共場所禁用人臉識別技術3到5年。

一、人臉識別技術應用的風險

隨著人工智能、大數據的發展，人臉識別技術成為熱門的AI技術。人們最常使用的AI應用有“刷臉”解鎖“刷臉”支付“刷臉”簽到等。美國商會認為面部識別技術有巨大的潛力，可以在交通、零售、酒店和金融服務等眾多領域中進行創新。人臉識別技術不同于其他的生物識別技術，具有不可復制性、非接觸性、可擴展性和快速性等特點。人臉識別技術在應用中對于個人隱私權保護、財產權益及公民權利具有法律風險。

（一）人臉信息的收集侵犯隱私權保護

人臉識別技術日益完善，在街頭的各處都布有攝像頭，收集個人面部生物信息更加便捷。人臉識別技術在抓取個人的面部信息后，與數據庫的既有數據進行比對。通過個人圖像與一個廣泛已知的圖像數據庫進行比對，確定一個未知人的身份是一種侵入個人領域的表現。雖然不屬于隱私，但由于個人面部生物信息具有唯一性，且能通過信息比對知曉個人的基本信息、出行軌跡、密切接觸人員等相關信息，人臉信息的收集挑戰對于隱私權的保護。

一方面，人臉信息收集的方式挑戰“信息隱私權”。隱私權是自然人所享有的私人生活安寧與私人信息秘密依法受到保護，不被他人非法侵擾、知悉、搜集、利用和公開的一種人格權。到底何為隱私？隱私既可以視為物理的私人空間不被打擾的權利，也可以包括在數字、虛擬世界中不受干擾的權利。隱私權理論起源于美國，是在自由主義思想影響下的產物。美國的隱私權理論從基于“獨處權”的隱私權理論，隨著信息技術的發展，延伸出了信息隱私權理論以適應高速發展的信息社會。

1967年，威斯汀在《隱私與自由》一書中提出了“信息性隱私權”。“所謂隱私權，指自然人所享有的決定何時、何種方式以及何種程度將其個人信息向別人公開的權利。”從威斯汀對“信息性隱私權”的界定中可以看出，在信息時代，隱私權更多體現的是一種決定權。決定何時、以何種方式以及何種程度的信息公開的權利。威斯汀的信息隱私權理論在司法實踐中得到了聯邦最高法院的認可，在具體個案中法院對于信息隱私權理論進行了系統的闡釋。信息隱私理論的核心是“控制權”，信息隱私權指自然人所享有的對其個人信息以及能夠被識別的個人信息獲取、披露和使用予以“控制”的權利。人臉信息的收集目前多采取在生活場景中放置攝像頭拍攝和識別的方式，如售樓處對看房者使用人臉識別系統進行抓拍。這樣的無接觸性收集方式侵害了被收集者的“信息隱私權”，被收集者無從知曉于何時何地被收集了人臉信息，更無法對人臉信息行使控制權。

另一方面，人臉信息的比對識別損害“人格尊嚴”。隱私權保護自然人的安寧狀態及個人的人格尊嚴。信息主體的人格尊嚴和自由價值需要進行保護已經成為共識。“人格尊嚴”表征著人是主體、目的，而非手段、工具，擁有不可侵犯與不可剝奪的尊嚴。人們對自身價值有著本能和微妙的感覺，對自身價值的貶損不亞于對身體和財物的損害。人格尊嚴是一項根本的、終極性的價值，它需要通過具體權利來實現，隱私權是人格尊嚴在私法領域的體現，是人格尊嚴的必要條件。在數字時代，人格尊嚴體現為能夠為自己所獨立自主支配的私人空間，并且能在私人空間中不受打擾地展示自己。人臉識別技術中心的“識別”已經不再只是個人對世界的識別，逐漸演化為社會機器對個人的識別。與此同時，隱私理論也從古典時期的空間范式向信息時代的控制范式進行轉變。

個人“信息自決權”最早是由德國的施泰姆勒在70年代個人信息保護法的草案中提出。個人“信息自決權”強調的是信息主體對于個人信息的自我決定的權利。從“個人信息權”的角度出發，個人行使自決權的前提是充分知情，即個人需要充分了解風險，同時要求個人全程參與個人信息流動的過程。人臉識別技術進行無感抓拍、實行非接觸性的收集，在這種情況下個人無法控制甚至無法意識到自己的面部生物信息正在被收集和使用。人臉識別信息如果被泄露或者濫用，將會對個人隱私造成巨大損害與此同時也將嚴重的侵犯人格尊嚴。正如瑞典在2019年對一所學校使用面部識別技術來登記學生的出勤率，瑞典數據監管局認為這種行為嚴重侵犯了學生的個人隱私，對該校處于瑞典歷史上第一個GDPR處罰。人臉識別信息屬于典型的敏感個人信息，我國《公共及商用服務信息系統個人信息保護指南》和《個人信息安全規范》規定對于敏感信息的收集需要獲得信息主體的明示同意授權。學校收集、處理和使用面部信息需要獲得學生的同意和授權

（二）人臉信息的非法使用侵害財產權益

中國的人臉識別技術在安防、交通、金融、教育等各個領域已開始廣泛運用。通過攝像頭可以輕松獲取面部生物信息。與此同時，人臉信息易于被破解，破解廈門銀行APP人臉識別技術的“黑客”是僅有初中文化的00后。人臉識別技術給人們的生活帶來了便利、使得管理變得高效有序，但是如果人臉信息被泄露和濫用將會對信息主體、信息控制者、信息使用者造成財產權益的損害。

其一，人臉信息的泄露侵害信息主體財產權益。人臉信息屬于生物識別信息，我國《信息安全技術個人信息安全規范》將生物識別信息歸屬于敏感數據。我國《公共及商用服務信息系統個人信息保護指南》和《個人信息安全規范》將一般信息和個人敏感信息作出了區分，并規定對于敏感信息的收集需要獲得信息主體的明示同意授權。即在收集人臉信息時，建立在信息主體知情同意的基礎上；人臉信息在使用時，應該在確保安全的前提下公開使用規則、使用目的、方式和范圍。隨著人臉識別技術的發展，信息泄露造成信息主體財產權益損害的案件頻頻發生。正如多家售樓處使用人臉識別系統區分不同的客戶以進行不同的優惠。決定購房優惠力度的關鍵是購房者是否曾經被人臉識別系統拍到，而這個人臉識別系統，購房者即使戴著口罩也可以進行識別。為了保護個人信息，避免財產權益的損失，出現了購房者戴著頭盔去看房的新聞。

其二，人臉信息的濫用沖擊企業商業利益和國家公共利益。人臉信息是復合權益的體現。一方面，個人面部生物信息不僅承載著“人格要素”，同時也承載著“財產利益”。之前在網絡商城，有商家公開出售“人臉數據”，數量達到17萬條之多，而且當事人對此事毫不知情。另一方面，個人面部生物信息具有多重利益主體。人臉信息對于數據主體而言具有個人價值、對于企業而言具有商業價值、對于社會而言具有公共價值。人臉信息的濫用導致企業的商業利益和國家的公共利益都受到損害。正如我國人臉信息刑事第一案，犯罪嫌疑人通過濫用人臉信息進行頭像偽造，損害了企業的財產權益。在“凈網2020”行動中，龍崗警方在廣東、河南、山東等地抓獲犯罪嫌疑人13名，不法分子利用人臉信息提供虛假注冊、刷臉支付等數據黑產服務。

（三）人臉信息的識別誤差損害人權保護

面部識別技術主要是通過公共場所中攝像頭拍攝到的人臉信息與數據庫中的圖像進行對比識別，使用面部識別技術對人權的侵犯主要源于人臉識別技術的核心算法設計。美國國家標準與技術研究院的一份研究表明，不同開發者的算法精確度不同。研究評估了軟件算法后發現，在一對一的匹配中，亞洲與非洲裔美國人比白種人的人臉圖像取偽錯誤率更高；在一對多的匹配中，非洲裔美國女性的取偽錯率較高。

一是人臉信息掌握的不對稱。隨著數字時代的到來，由傳統社會走向了信息社會，由單一的物理空間向物理/電子（現實/虛擬）的雙重空間轉換。信息時代有三個變化：“雙重空間”“人機協同”“雙重屬性”。“歷史已經向我們表明重大的技術變遷會導致社會和經濟的范式轉換”，人臉識別技術的應用將引起數字時代人權的重塑和變革。“所有的數據都由我們自身產生，但所有權卻并不歸屬于我們”。正如各種街頭、商戶、銀行、學校等的攝像頭，無感實時的抓拍由我們自身產生的具有唯一性且不可更改的人臉信息，但我們卻無法控制和使用這些信息，甚至我們根本無從知曉何時何地被收集了人臉信息。由于沒有經過用戶的同意非法收集和存儲了數百萬用戶的生物特征數據，2015年Facebook被美國伊利諾伊州的用戶提起集體訴訟，Facebook同意將賠償金額由5.5億美元增加至6.5億美元，目前訴訟雙方已達成和解。由于信息掌握的不對稱性，人臉信息的被收集者常常無法知道信息被收集，沒有經過當事人同意收集、使用人臉識別，會侵犯其個人的人權。

二是人臉數據的鴻溝。由于技術或者經濟等相關方面的原因如沒有互聯網設備、缺少互聯網知識等造成的數據鴻溝，數據鴻溝對一些社會群體進行賦權，而對另一些社會群體則沒有。由于數據鴻溝的關系，知識儲備和技術掌握的不同，人們對于人臉識別技術所持有的觀點也不同。有人認為人臉識別技術是科技的進步，為我們的生活帶來便利，順其自然的享受便利即可；也有人認為人臉識別技術的泄露和濫用有侵犯人權的風險；還有人認為在享受人臉識別技術便利的同時需要對人臉識別技術的使用進行規定和限制。人臉識別技術的算法由于數據的鴻溝不易被人們所了解，算法的識別誤差侵犯公民的基本權利。例如北京地鐵站為了提高安檢效率準備對乘客進行分類安檢，對于不同類別的乘客采取不同的安檢方式。這樣的分類標準是一種算法的體現，由于數據鴻溝的存在算法不易被人理解、接受，這樣的分類行為將侵犯公民的人權。

二、域外人臉識別技術的法律規制

由于政治、經濟、社會和文化的不同，歐美對于人臉識別技術的法律規制方式和路徑也不相同。美國采取的是分散的管理模式，美國各州在聯邦政府之前已經開始對人臉識別技術的使用進行規制。目前已經有八個州公開禁止使用人臉識別技術；歐盟采取的是統一禁止的態度，強調對于“基本權利”的保護。

（一）美國人臉識別應用的法律規制

美國對數據隱私和數據安全領域進行分別立法，并且美國聯邦層面沒有制定統一的數據保護基本法典，而是對數據進行分行業式的分散立法，制定專門的數據保護法律，進行分類管理。美國各州則形成了具有各州特色的數據保護法律框架。關于人臉識別技術的運用，目前美國聯邦層面沒有統一的法律法規，但部分州已經在聯邦之前對人臉識別技術進行限制。

由于歷史傳統文化及立法驅動力的不同，美國在保護個人數據主體權利的基礎上，側重于促進數據共享流動與數據的商業利用價值。關于人臉識別的數據保護，美國對于政府等公權力部門和商業私營機構采取了不同的規制態度。通過抑制政府部門權力，利用美國各個行業之間的嚴格自律來實現人臉數據隱私保護的目的。由于面部生物信息具有易獲取性、唯一性、不可更改性、難以救濟性等特征，《2019年商業面部識別隱私》提出禁止商業上的面部信息的使用，足以可見面部生物信息保護的特殊性和重要性。2020年2月，美國兩位民主黨參議員提出了人臉識別道德使用法案，主要包括三個方面：其一成立國會委員會，專門制定在美國使用人臉識別技術的準則；其二在委員會頒布人臉識別技術使用指南前，限制政府機構使用人臉識別技術；其三是關于救濟渠道和限制聯邦基金使用的相關執行規定。美國科技業代表公司對于公權力機關使用人臉識別技術相繼表態，IBMCEO克里希納宣布不再提供通用人臉識別軟件，亞馬遜、微軟都聲明將暫停向警方提供人臉識別技術，并提議國家相關法律的出臺。

目前，已經有八個州對人臉識別技術的應用作出相關規定。美國舊金山市、奧克蘭、薩默維爾、麥迪遜等市都對人臉識別技術出臺了禁令。2019年5月，美國舊金山出臺了停止秘密監控法令，禁止將人臉識別技術用于公共部門，成為美國第一個禁止使用人臉識別技術的城市。伊利諾伊州制定了生物識別數據相關的專門法案，生物信息隱私法案于2008年頒布，是美國境內第一部規范“生物標識符和信息”的法律。伊利諾伊州擁有全美關于生物特征隱私保護最全面的法律，基于此Facebook同意賠償6.5億美金與伊利諾伊州集體訴訟的用戶和解。2020年3月華盛頓州通過人臉識別服務法，該法強調州和地方政府機構應以有益于社會、保護公民自由的方式使用人臉識別技術。首先，州或地方政府機構在開發、使用、獲取人臉識別服務時需要向立法機關提交問責報告；其次，在運營狀態下對人臉識別服務進行合法、獨立、合理的測試，確保準確性。最后，從事人臉識別服務的技術人員需要定期進行培訓。由此可見，華盛頓州對政府使用人臉識別技術進行嚴格限制。加州也在2020年制定專門的人臉識別法，該法授予個人關于人臉識別信息的確認權、刪除權、撤回權以及糾正或質疑的權利；與此同時，加州人臉識別法規定了強制令處罰，對違法行為處以不超過2500美元的民事處罰或對故意違法行為處以7500美元的罰款。

（二）歐盟人臉識別技術的法律規制

歐盟目前并沒有對于人臉識別技術的應用制定專門的法律法規，主要是通過通用數據保護條例（以下簡稱GDPR）進行法律規制。歐盟制定的GDPR以人權高度及天價罰款樹立起保護個人數據權利的最高標準。GDPR第1章是關于基本條款的規定，第2章談論的是數據保護的基本原則，第3章對數據權利保護進行了專章的規定，由此可以看出GDPR對于數據權利的重視。

歐盟對于人臉識別技術的規制不同于美國，采取統一禁止的管理模式。歐盟不僅僅限制公權力收集人臉信息同時也嚴格限制私企業采集人臉數據。具體到歐洲各國，對于人臉識別技術的規制持有不同的態度。瑞典GDPR第一案以及法國數據保護法都表明出對人臉識別數據的強監管態度。但英國卻表現出不同的態度，認可警察使用人臉識別技術的合法性。2019年5月，英國公民里奇斯認為南威爾士警方在沒有獲得其本人同意的情況下，使用人臉識別技術獲取了其面部生物數據的行為侵犯了其隱私權。原告認為警方使用人臉識別技術“AFRLocate”違反了《歐洲人權公約》，違背英國數據保護法的相關規定，未盡公共部門平等職責。

法院認為：第一，警方使用“AFRLocate”有職權依據，警察的普遍法權力使得警方可以使用該人臉識別設備，警察為了預防、偵查犯罪有權合理使用個人的照片。第二，警方使用“AFRLocate”符合正當性原則。警方在部署人臉識別設備時對公眾進行了告知；使用該技術有時限限制且覆蓋范圍有限；對于原告權利的限制僅限于對其面部數據的比對，如果比對成功最多保留24小時，如果未比對成功將會自動刪除，并不涉及對原告信息的披露和存儲。

三、完善我國人臉識別技術的法律規制

隨著萬物互聯時代的到來，數據成為一種財富，成為驅動商業的一種重要模式。運用人臉識別技術收集的面部生物信息，對于個人而言使得生活更加便捷、智能；對于企業而言人臉數據具有高額的變現價值；對于政府而言利用人臉識別技術有利于社會的治理。由于信息革命的推動，引發了包括價值觀念、生產方式、生活方式、社會關系、社會秩序等在內的全方位的變革。我國在運用人臉識別技術推動智慧社會建設的同時，也要注意人臉識別技術運用帶來的法律風險，完善我國人臉識別技術的法律規制。

（一）建構統一的法律規范體系

對于個人信息保護，我國多部法律、行政法規、部門規章、地方性法規、地方規章及司法解釋都作出了相關規定。目前我國采用的是安全防范為主兼顧數字經濟發展的個人信息保護模式。我國制定了很多與安全相關的規范，如國家安全法、網絡安全法、個人信息安全規范、網絡安全審查辦法、數據安全法草案、個人信息保護法草案等，法律規范體系都是從安全風險防范的邏輯體系構建的，與此同時，我國高度重視數字經濟的發展。總體而言，由于我國個人信息保護的法律規范體系不完整，呈現出“碎片化”“散亂化”“板塊化”的特點。

我國需要制定統一的個人信息保護法。具體到人臉識別規制上，我國目前并沒有對人臉數據的規制進行專門立法，多以地方性法規和部門規章的形式予以規制。《信息安全技術個人信息安全規范》對個人敏感信息進行了界定，并將一般信息和個人敏感信息作出了區分，規定對于指紋、虹膜、面部信息等敏感信息的收集需要獲得信息主體的明示授權同意。《信息安全技術個人信息安全規范》是國家標準，法律效力較低，對于生物識別信息的法律屬性、功能沒有具體的規定，缺乏系統、統一的法律規制機制。因此需要制定統一的個人信息保護法。

（二）建立政府主導的多重治理機制

隨著互聯網、人工智能、大數據的發展，人類進入了數字時代。在大數據時代，人臉識別技術的應用對于企業而言具有變現價值。在使用人臉識別技術時，人臉數據的保護應該強調政府和社會共同參與、合作，鼓勵互聯網企業、行業協會等單位依法收集、處理、使用人臉數據，在保護數據權利的前提下才能更好地促進人臉識別技術的使用和發展。

各大互聯網企業是數據權利保護重要的主體，加強企業的自律機制也是數據權利保護的重要環節。正如美國對于數據立法采用的是自由式市場為導向，以強監管為基礎的治理模式。為了促進數據的流動，CCPA采用的是選擇退出（opt-out）的模式，對于數據收集采取的是通知告知原則。CCPA的管轄范圍設置了三個門檻：第一個是年收入門檻，即年度總收入超過2500萬美元；第二個門檻是數量門檻，即5萬條及以上數量的個人信息；第三個門檻是收入比例門檻，即年收入的50%及以上來自出售消費者個人信息。只有當企業達到上述一個或多個門檻時，并且“以商業目的處理加州居民個人信息”時，才屬于CCPA管轄的實體。由于美國對于數據的價值取向更加鼓勵數據的自由流動，所以美國鼓勵企業實行自律管理，但當企業無法自我規制，美國聯邦貿易委員會（FTC）有強監管權。歐盟GDPR采用的是選擇進入（opt-in）的模式，GDPR重視對于人權的保護，在使用數據之前需要獲得數據主體的同意，才能選擇進入。我國對于人臉數據應該采用“opt-in”為主、“opt-out”為輔的模式，因為人臉數據等生物識別數據屬于敏感信息，需要建立在主體數據明示同意授權的基礎上才能進入，在選擇進入后應該給予企業風險評估等數據處理的空間和權利。

（三）塑造“數字人權”的正義觀

隨著大數據、人工智能的發展，人臉識別技術也在走進人們的日常生活。人臉識別技術在給人們的生活帶來便利的同時也存在著侵犯公民人權的風險。2011年聯合國宣布互聯網接入權是基礎性人權，2016年聯合國認為互聯網相關的權利是人權的重要組成部分，2018年聯合國社會發展研究機構（UNRISD）在報告中討論了新技術對于傳統三代人權的變革和顛覆。

卡雷爾·瓦薩克提出的“三代人權”理論被大眾所知悉并接受，“第一代人權”主張公民政治權利，“第二代人權”強調經濟、社會和文化權利，“第三代人權”主張的是民族自決權和生存發展權。自主性、福利和自由構成了最高層次的人權的一個三元組合。三代人權的理念都建立在傳統的工商業時代基礎上，涉及的是物理時空中的生產生活關系。如今數字時代，傳統的人權理念已經無法保護數字時代遭遇的線上線下雙重空間的人權挑戰，如算法霸權、算法歧視、數字鴻溝等。數字人權是以數據和信息為載體，展現著智慧社會中人的數字化生存樣態和發展需求的基本權利，其目標在于反技術霸權、反數據信息控制，努力消解和應對信息鴻溝、侵犯隱私、算法歧視、監控擴張等人權難題。“數字人權”的意義在于，以人權的力量和權威強化對數字科技開發及其運用的倫理約束和法律規制。雖然“數字人權”理念目前只是處在學界討論的階段，并沒有相關的法律法規或制度上予以確立。但伴隨著數字科技的發展，社會已經進入到智能時代，“數字人權”是更加適合數字時代的人權觀念。“無數字，不人權”。數字時代帶來的社會全方位的變革使得“數字人權”的探討和研究急迫且重要。

結 語

郭兵訴杭州野生動物世界有限公司案被稱為中國“人臉識別第一案”，2020年11月20日法院進行了判決，引起了學界的關注和討論。人臉識別技術目前被廣泛地運用于各個領域。“人臉識別”技術在便利生活、發揮技術潛力的同時也存在著法律風險，如人臉信息的收集侵犯隱私權保護、人臉信息的非法使用侵害財產權益、人臉信息的識別誤差損害人權保護。域外對于人臉識別技術的法律規制也不相同，歐盟采取的是統一禁止的態度；美國目前已經有八個州公開禁止使用人臉識別技術。我國目前并沒有制定專門規制“人臉識別”技術的法律法規，為了防范“人臉識別”運用帶來的法律風險，需要建構統一的法律規范體系、建立政府主導的多重治理機制、塑造“數字人權”的正義觀等規制方式，在保護公民隱私權、財產權益、人權的同時促進“人臉識別”技術合法、合理的使用。

《數字法治》專題由華東政法大學數字法治研究院供稿。專題統籌：秦前松。

編輯：海洋