【摘要】人臉識(shí)別是人工智能技術(shù)發(fā)展的重要應(yīng)用。人臉識(shí)別應(yīng)用為公共安全、法律執(zhí)行及社會(huì)管理帶來(lái)諸多便利，但其也可能對(duì)個(gè)人隱私與自由、人格尊嚴(yán)、人身及財(cái)產(chǎn)安全帶來(lái)風(fēng)險(xiǎn)。因此，這一技術(shù)在許多國(guó)家的法律上仍存在爭(zhēng)議?；谖覈?guó)經(jīng)濟(jì)和社會(huì)發(fā)展實(shí)際情況，不宜采取一刀切式禁止，而應(yīng)充分考慮其所可能帶來(lái)的風(fēng)險(xiǎn)，由法律進(jìn)行嚴(yán)格規(guī)制。

【關(guān)鍵詞】人臉識(shí)別 個(gè)人信息 生物識(shí)別信息 敏感信息

【中圖分類號(hào)】D912.1 【文獻(xiàn)標(biāo)識(shí)碼】A

近年來(lái)，隨著人工智能技術(shù)的快速發(fā)展，以人臉識(shí)別技術(shù)（FRT）為代表的生物識(shí)別信息技術(shù)開(kāi)始為人所熟知。生物識(shí)別信息是指自然人可識(shí)別的身體生理信息或行為特征，包括個(gè)人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識(shí)別特征等。生物識(shí)別信息直接反映自然人獨(dú)一無(wú)二與不可替代的身體、生理或行為特征，具有強(qiáng)烈的人身屬性。作為自然人最直接和便捷的生物標(biāo)識(shí)，人臉信息被廣泛用于身份識(shí)別、認(rèn)證和安全管理等諸多行政、商業(yè)和私人領(lǐng)域。人臉識(shí)別作為一種識(shí)別個(gè)人身份信息的新型技術(shù)，其主要特征是非接觸性、主體唯一性和不易復(fù)制性，同時(shí)也具有無(wú)須攜帶、易于采集、成本低廉等特點(diǎn)。從技術(shù)角度來(lái)看，人臉識(shí)別包含四個(gè)階段：首先，探測(cè)人臉。攝像頭可以從人群中捕捉并固定特定個(gè)人的人臉。其次，對(duì)人臉進(jìn)行分析。軟件“閱讀”臉部信息并且識(shí)別其特征，譬如，兩眼之間的距離或者嘴部的寬度、面部主要輪廓。再次，將視頻圖像轉(zhuǎn)換為數(shù)據(jù)。圖像在被分析后，會(huì)轉(zhuǎn)換成一序列數(shù)據(jù)；臉部的數(shù)字信息被稱為“臉?。╢aceprint，如同指紋一樣）”。最后，進(jìn)行比對(duì)匹配。將算法所形成的“臉印”與數(shù)據(jù)庫(kù)中的人臉信息進(jìn)行比對(duì)和識(shí)別，將其與特定個(gè)人相關(guān)聯(lián)。

人臉識(shí)別確實(shí)可以給社會(huì)的運(yùn)行與管理帶來(lái)很大的便利，這一技術(shù)尤其在執(zhí)法過(guò)程中被廣泛使用。但是，人臉識(shí)別也經(jīng)常發(fā)生錯(cuò)誤，譬如，錯(cuò)誤識(shí)別有色人種人士，或者進(jìn)行錯(cuò)誤的比對(duì)和匹配。導(dǎo)致人臉識(shí)別錯(cuò)誤的成因有：其一，人臉識(shí)別算法的品質(zhì)可能存在很大差異；其二，所拍攝照片的質(zhì)量對(duì)于匹配的精度有顯著影響；其三，即便在照片質(zhì)量較高的情況下，系統(tǒng)的某些設(shè)置也可能導(dǎo)致識(shí)別錯(cuò)誤發(fā)生。除了人臉識(shí)別技術(shù)較高的出錯(cuò)率之外，人臉識(shí)別技術(shù)的應(yīng)用對(duì)個(gè)人的隱私和自由可能構(gòu)成威脅。正是基于這些原因，人臉識(shí)別在很多國(guó)家都引發(fā)了法律上的爭(zhēng)議。

Clearview AI公司的法律爭(zhēng)議

Clearview AI公司是一家位于紐約的美國(guó)科創(chuàng)型企業(yè)，成立于2016年。該公司使用圖像掃描器自動(dòng)收集社交媒體和其他網(wǎng)站上公開(kāi)的人臉照片，以建立其生物識(shí)別數(shù)據(jù)庫(kù)；它向執(zhí)法機(jī)構(gòu)和私營(yíng)公司出售其服務(wù)。Clearview的人臉識(shí)別技術(shù)包含四個(gè)步驟：首先，Clearview在公眾可以訪問(wèn)的網(wǎng)絡(luò)平臺(tái)及Facebook（已改名為Meta）、Twitter、Instagram、LinkedIn等社交媒體上“抓取”人臉照片，并存入其數(shù)據(jù)庫(kù)；其次，創(chuàng)建生物識(shí)別標(biāo)識(shí)符，以數(shù)字化方式來(lái)表達(dá)每一幅人臉圖片；再次，允許用戶上傳圖片，與數(shù)據(jù)庫(kù)中的生物識(shí)別符進(jìn)行匹配和比對(duì)；最后，提供一序列比對(duì)結(jié)果，包括所有被比對(duì)的照片和數(shù)據(jù)，如果用戶點(diǎn)擊其中任何結(jié)果，軟件可以將其指引到照片的源文件。Clearview 存儲(chǔ)了超過(guò)三十億張人臉圖片和相應(yīng)的生物識(shí)別符，其中包括很多兒童照片。僅在美國(guó)，該公司就已向超過(guò)600家執(zhí)法機(jī)構(gòu)提供了數(shù)據(jù)及人臉識(shí)別系統(tǒng)服務(wù)，包括聯(lián)邦調(diào)查局、國(guó)土安全部和許多州警察局。2021年1月6日美國(guó)國(guó)會(huì)騷亂事件后，Clearview發(fā)現(xiàn)其人臉?biāo)阉鲬?yīng)用的數(shù)量增長(zhǎng)了26%，佛羅里達(dá)和阿拉巴馬等州警察局使用其應(yīng)用來(lái)識(shí)別參與騷亂的人員。

但Clearview在美國(guó)的多個(gè)州都遭遇了訴訟，包括伊利諾伊州、弗吉尼亞州、紐約州、佛蒙特州，其中，僅在伊利諾伊州就被提起至少三起訴訟，包括針對(duì)著名零售商Macy的訴訟，后者是Clearview的大客戶之一，被指控使用其人臉識(shí)別應(yīng)用。另外，Google和Twitter明確向Clearview發(fā)出了停止訪問(wèn)函，禁止其從它們網(wǎng)站上收集人臉照片。但Clearview認(rèn)為它擁有收集人們公開(kāi)發(fā)布的照片的權(quán)利。同樣，一些外國(guó)的執(zhí)法機(jī)構(gòu)因?yàn)槭褂闷浞?wù)而在本國(guó)引發(fā)爭(zhēng)議。2021年2月，瑞典隱私保護(hù)機(jī)構(gòu)IMY對(duì)瑞典警察部門(mén)罰款250萬(wàn)瑞典克朗，理由是后者使用Clearview 的服務(wù)違反了瑞典“犯罪數(shù)據(jù)法”。瑞典警察部門(mén)在2019年秋季至2020年3月期間，曾間斷性地使用Clearview 人臉識(shí)別應(yīng)用，查找犯罪的受害人及嫌疑人。IMY認(rèn)為這一做法違反了“犯罪數(shù)據(jù)法”的多個(gè)條文，根據(jù)該法，生物識(shí)別信息及基因信息只能在有明文規(guī)定的情況下，用于絕對(duì)必須的處理目的。

2021年2月，加拿大隱私專員辦公室與魁北克、不列顛哥倫比亞及阿爾伯塔三省的個(gè)人信息保護(hù)機(jī)構(gòu)所聯(lián)合發(fā)起的、針對(duì)Clearview的調(diào)查報(bào)告指出，其人臉識(shí)別工具違反了加拿大個(gè)人信息保護(hù)法的統(tǒng)一和適當(dāng)目的等要求。盡管加拿大個(gè)人信息保護(hù)法對(duì)于“可公開(kāi)獲得的信息”豁免信息主體的同意要求，但是，從公開(kāi)的網(wǎng)站包括社交媒體上所獲得的人臉信息并不適用公開(kāi)獲得信息的豁免規(guī)則。此外，Clearview違反了個(gè)人信息保護(hù)法的適當(dāng)目的要求，這一要求對(duì)于有效同意的場(chǎng)景也仍然適用。Clearview公司收集和使用圖片是不適當(dāng)?shù)模驗(yàn)檫@些用途與照片最初被上傳的目的沒(méi)有關(guān)聯(lián)，這些照片被無(wú)限期的保留，并且其使用損害了個(gè)人的利益（譬如被用于隨后針對(duì)其所發(fā)起的起訴），而且其使用的方式對(duì)個(gè)人造成了重大風(fēng)險(xiǎn)。此外，Clearview無(wú)差別地從網(wǎng)站抓取人臉照片，屬于信息收集的不合理方式。

北美地區(qū)的法律：對(duì)政府機(jī)構(gòu)使用人臉識(shí)別技術(shù)進(jìn)行限制

在美國(guó)，率先就人臉識(shí)別問(wèn)題作出法律規(guī)定的是一些州的城市。2019年5月，加利福尼亞州舊金山市成為美國(guó)最先以立法禁止政府機(jī)構(gòu)使用人臉識(shí)別技術(shù)的城市。同年6月，馬薩諸塞州的薩默維爾市議會(huì)一致表決通過(guò)議案，禁止政府機(jī)構(gòu)使用人臉識(shí)別技術(shù)。隨后，馬薩諸塞州的波士頓、伊斯特漢普頓以及密蘇里州的斯普林菲爾德等城市也相繼通過(guò)了類似禁令。與之類似，紐約市的法令規(guī)定，娛樂(lè)場(chǎng)所、零售店、食品與飲料商店在其營(yíng)業(yè)范圍內(nèi)，不得使用人臉識(shí)別技術(shù)。不過(guò)，對(duì)于一般商業(yè)機(jī)構(gòu)，紐約市并不禁止其對(duì)消費(fèi)者使用人臉識(shí)別技術(shù)，但要求在消費(fèi)者入口處以清晰和顯著的標(biāo)識(shí)告知消費(fèi)者進(jìn)入人臉識(shí)別區(qū)域。

就州層面而言，一些州對(duì)于生物識(shí)別信息作出了法律規(guī)定，例如德州、伊利諾伊州和華盛頓州，這些法律要求企業(yè)收集和使用生物識(shí)別信息必須盡到事先告知和知情同意義務(wù)。例如，根據(jù)伊利諾伊州的“生物識(shí)別信息隱私法（BIPA）”，私立機(jī)構(gòu)在使用消費(fèi)者的生物識(shí)別信息之前，必須書(shū)面告知消費(fèi)者，其生物識(shí)別信息正在收集和存儲(chǔ)以及其期限；該機(jī)構(gòu)不得利用這些信息，向他人出售、出租或營(yíng)利。紐約州的法律亦有類似規(guī)定；俄克拉荷馬州和肯塔基州的法律規(guī)定，必須要有清晰的告知和獲得個(gè)人的知情同意；佛羅里達(dá)州和猶他州則在其隱私法中強(qiáng)化信息主體的權(quán)利及相關(guān)的告知和同意要求。

在美國(guó)，華盛頓州被認(rèn)為在科技立法領(lǐng)域經(jīng)常走在各州前列。2020年3月，華盛頓州通過(guò)法律對(duì)人臉識(shí)別應(yīng)用進(jìn)行規(guī)制，要求人臉識(shí)別技術(shù)必須確保其公平性和準(zhǔn)確性；執(zhí)法機(jī)構(gòu)如需使用人臉識(shí)別技術(shù)，需獲得法院的授權(quán)令；另外，法律責(zé)成州政府設(shè)立專門(mén)的研究小組，研究公共機(jī)構(gòu)如何使用和部署人臉識(shí)別設(shè)施。另有一些州對(duì)人臉識(shí)別采取了暫緩禁令（moratorium）或?qū)⑵鋺?yīng)用限于特定領(lǐng)域的做法。例如，2019年3月，加州通過(guò)立法為警察機(jī)構(gòu)使用人臉識(shí)別技術(shù)設(shè)定了三年的禁止期限，自2020年1月起實(shí)施。2021年5月，馬薩諸塞州通過(guò)法律，要求警察局等執(zhí)法機(jī)構(gòu)在使用州機(jī)動(dòng)車登記處、聯(lián)邦調(diào)查局或州警察局所建立的人臉數(shù)據(jù)庫(kù)的照片進(jìn)行比對(duì)之前，須獲得法院的許可令；為防止人臉識(shí)別技術(shù)的濫用，法律要求其應(yīng)用僅限于犯罪偵查領(lǐng)域，不得擴(kuò)展至民事糾紛。而與之相對(duì)照的是，緬因州則通過(guò)了更為嚴(yán)厲的立法。根據(jù)緬因州議會(huì)在2021年6月通過(guò)的法律，執(zhí)法機(jī)構(gòu)原則上不得使用人臉識(shí)別技術(shù)，除非其有證據(jù)證明特定個(gè)人犯下“嚴(yán)重的罪行”，另外，人臉識(shí)別技術(shù)還可以用來(lái)識(shí)別死者或失蹤人員；人臉識(shí)別的結(jié)構(gòu)本身并不能成為警察逮捕嫌疑人的證據(jù)。法律也限制警察部門(mén)使用人臉身份識(shí)別技術(shù)，在某些特定情形下警察部門(mén)可求助于聯(lián)邦調(diào)查局或州機(jī)動(dòng)車登記處；執(zhí)法機(jī)構(gòu)如果使用了人臉識(shí)別技術(shù)，必須留存記錄備查。另外，如果公民認(rèn)為執(zhí)法機(jī)構(gòu)非法使用了人臉識(shí)別技術(shù)，可以對(duì)其提起訴訟；法律還明確禁止在政府機(jī)構(gòu)的大部分區(qū)域、公立學(xué)校等場(chǎng)所使用人臉識(shí)別技術(shù)。這被認(rèn)為是美國(guó)迄今為止最為嚴(yán)厲的人臉識(shí)別法律。

在聯(lián)邦層面，值得注意的是，2021年6月，美國(guó)參議員在國(guó)會(huì)提出了《人臉識(shí)別和生物識(shí)別技術(shù)禁止法案》，準(zhǔn)備對(duì)聯(lián)邦和大多數(shù)州的全部生物識(shí)別技術(shù)采取一攬子禁止，包括在全國(guó)范圍內(nèi)禁止執(zhí)法機(jī)構(gòu)使用人臉識(shí)別技術(shù)。這一法案也被批評(píng)為可能會(huì)剝奪生物識(shí)別技術(shù)給執(zhí)法機(jī)構(gòu)所帶來(lái)的便利，包括：查找被綁架的受害人，識(shí)別在機(jī)場(chǎng)入口所使用的偽造身份文件，在關(guān)鍵場(chǎng)合幫助反恐偵查，使得無(wú)辜的人免受犯罪指控等。

在加拿大，并無(wú)專門(mén)針對(duì)人臉識(shí)別的法律，而適用個(gè)人信息保護(hù)法的一般規(guī)則。具體來(lái)說(shuō)，私立機(jī)構(gòu)處理個(gè)人信息適用“個(gè)人信息保護(hù)法（PIPEDA）”，而公立機(jī)構(gòu)處理個(gè)人信息則適用“隱私法案”。“個(gè)人信息保護(hù)法”規(guī)定，收集、使用或公開(kāi)個(gè)人信息必須告知個(gè)人并征得其同意。對(duì)于某些敏感信息，必須征得個(gè)人的“有效同意”。根據(jù)該法第6.1條，只有以下事實(shí)是可以合理被期待的時(shí)候——個(gè)人可以理解其給予同意的信息收集、使用或公開(kāi)等行為的性質(zhì)、目的和結(jié)果，個(gè)人的同意方可被認(rèn)為是有效的。對(duì)于政府機(jī)構(gòu)，“隱私法案”限定其使用或公開(kāi)個(gè)人信息必須用于“指定的目的”，除非個(gè)人對(duì)于其他用途的使用或公開(kāi)給予了同意；法案還要求政府機(jī)構(gòu)必須告知個(gè)人信息收集的目的。“個(gè)人信息保護(hù)法”要求收集、使用或公開(kāi)個(gè)人信息，必須基于一個(gè)通情達(dá)理的人在所處的具體環(huán)境下認(rèn)為是適當(dāng)（appropriate）的目的。

歐洲國(guó)家的法律：嚴(yán)格限制下的例外允許

就英國(guó)而言，2020年8月，英國(guó)法院裁定南威爾士警方使用人臉識(shí)別技術(shù)侵犯了人權(quán)和個(gè)人信息保護(hù)法。南威爾士警方在2017年5月至2019年4月期間，曾在公共事件中使用人臉識(shí)別設(shè)備掃描了50萬(wàn)余張人臉圖像，后被一名叫Edward Bridges的民權(quán)人士提起訴訟，他聲稱曾兩次接近人臉識(shí)別設(shè)備，盡管并非設(shè)備識(shí)別的對(duì)象，但他認(rèn)為其圖像仍被設(shè)備抓取，侵害了歐洲人權(quán)公約第8條所保護(hù)的隱私權(quán)，也違反了英國(guó)的個(gè)人信息保護(hù)法及2010年平等法案中的“公立部門(mén)平等職責(zé)（PSED）”等法律規(guī)定。2019年9月，一審法院駁回了其起訴，但上訴法院則支持了其請(qǐng)求，認(rèn)為具體執(zhí)法的警官的裁量權(quán)過(guò)大，很難清楚地預(yù)知誰(shuí)會(huì)在人臉識(shí)別的名單上。法院認(rèn)為，警方違反了“公立部門(mén)平等職責(zé)”，警方未能采取合理措施來(lái)判斷人臉識(shí)別應(yīng)用軟件是否存在種族或性別歧視。

2021年6月，英國(guó)信息專員辦公室發(fā)布了新的“實(shí)踐指南”，對(duì)視頻監(jiān)控和人臉識(shí)別技術(shù)提供了指引。新指南指出，“（人臉識(shí)別）系統(tǒng)是有價(jià)值的工具，有助于提升公共治安和安全的水準(zhǔn)，可以保護(hù)人身和財(cái)產(chǎn)安全”。就公共場(chǎng)所的視頻監(jiān)控設(shè)備使用，指南嘗試列出最佳實(shí)踐和指導(dǎo)原則。這一文件認(rèn)為可以允許公共機(jī)構(gòu)和企業(yè)在公共場(chǎng)所使用遠(yuǎn)程生物識(shí)別技術(shù)，但認(rèn)為應(yīng)設(shè)置較高的準(zhǔn)入門(mén)檻；不過(guò)，該文件并不贊成采取完全的禁止。指南要求人臉識(shí)別的使用必須合法，信息的控制者必須對(duì)處理特殊類別的信息提供合法基礎(chǔ)，并確保其處理符合必要原則，與其所實(shí)現(xiàn)的目的成比例，并考慮使用人臉識(shí)別對(duì)個(gè)人所造成的潛在危害。

在法國(guó)，關(guān)于人臉識(shí)別的法律框架主要有：1978年的信息與自由法（2018年12月修訂）；歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）；歐盟2016年第2016/680號(hào)關(guān)于刑事領(lǐng)域個(gè)人信息保護(hù)的“警察—司法指令”。根據(jù)GDPR第4條，生物識(shí)別信息屬于敏感信息，原則上禁止處理，僅在該條所列明的例外情況下方可進(jìn)行處理：信息主體明確同意，履行法定職責(zé)，保護(hù)自然人的重大利益，保護(hù)公共利益，信息主體已公開(kāi)的信息，基于醫(yī)療診斷或評(píng)估雇員工作能力需要等。

在法國(guó)，個(gè)人信息監(jiān)管機(jī)構(gòu)是1978年所創(chuàng)立的“信息與自由委員會(huì)（CNIL）”，該機(jī)構(gòu)同時(shí)是政府與國(guó)會(huì)的咨詢機(jī)構(gòu)，就信息立法提供咨詢意見(jiàn)。鑒于法國(guó)一些機(jī)構(gòu)申請(qǐng)?jiān)囉萌四樧R(shí)別技術(shù)，CNIL對(duì)此設(shè)定了三個(gè)條件：第一，劃定所應(yīng)遵守的紅線，遵守歐盟GDPR條例和“警察—司法指令”。CNIL認(rèn)為，盡管存在可以合法使用人臉識(shí)別技術(shù)的一些情形，但是不能據(jù)此推論一切皆合乎需要，或者一切皆可為；必須將人的尊重和保護(hù)置于這一體系的中心地位，特別是確保對(duì)隱私權(quán)的保護(hù)；必須要獲得個(gè)人的知情同意，用戶必須可以控制其信息，并可能行使其同意的撤回權(quán)；人臉識(shí)別系統(tǒng)對(duì)個(gè)人應(yīng)保持完全透明，應(yīng)確保生物識(shí)別信息的安全。第二，將人的尊重和保護(hù)置于這一體系的中心地位，特別是確保對(duì)隱私權(quán)的保護(hù)。必須獲得個(gè)人的知情同意，用戶可以控制其信息，并可能行使其同意的撤回權(quán)；人臉識(shí)別系統(tǒng)對(duì)個(gè)人應(yīng)保持完全透明，應(yīng)確保生物識(shí)別信息的安全；私立機(jī)構(gòu)如果使用人臉識(shí)別技術(shù)，應(yīng)獲得個(gè)人的知情同意，這一同意必須明確、特定、自由作出且毫不含糊，符合GDPR的要求。為此，必須提供人臉識(shí)別的替代措施，這些替代措施應(yīng)提供與人臉識(shí)別技術(shù)同樣的便利。第三，對(duì)于人臉識(shí)別的試用必須設(shè)定時(shí)間與空間上的明確限制，并具有明確的可識(shí)別的目標(biāo)，且有績(jī)效評(píng)估模式。

就人臉識(shí)別而言，CNIL提出“在現(xiàn)在和未來(lái)并非一切皆可為”。在此前，CNIL曾拒絕同意尼斯和馬賽的兩所中學(xué)在其入口處安裝人臉識(shí)別設(shè)備；CNIL強(qiáng)調(diào)應(yīng)遵守比例性原則，所使用的手段與所達(dá)到的目的之間應(yīng)當(dāng)相稱；此外，應(yīng)當(dāng)對(duì)未成年人給予特殊保護(hù)。2019年，尼斯市政府安裝了具有人臉識(shí)別功能的視頻監(jiān)控，拍攝了上千人的面部照片，這些照片被相關(guān)軟件進(jìn)行實(shí)時(shí)分析。CNIL認(rèn)為，尼斯市政府就此提交的報(bào)告太過(guò)于模糊，缺乏對(duì)技術(shù)因素的必要說(shuō)明。因此，報(bào)告無(wú)法讓人就人臉識(shí)別試用得出客觀的視角，也無(wú)法評(píng)估其有效性。在新冠肺炎疫情期間，戛納市政府希望安裝監(jiān)控設(shè)備，以核實(shí)人們是否按要求佩戴了口罩，市政府準(zhǔn)備購(gòu)買(mǎi)一家名為Datakalab的設(shè)備和服務(wù)，該公司的設(shè)備同樣安裝在巴黎市中心的夏特萊地鐵站進(jìn)行試用，該公司聲稱，它們并非用于識(shí)別公眾，而只是在計(jì)算佩戴口罩的人數(shù)。但CNIL則認(rèn)為，公眾無(wú)法行使其異議權(quán)，因?yàn)樗麄兏静恢老到y(tǒng)在分析他們的臉部。因此，CNIL叫停了戛納市的人臉識(shí)別應(yīng)用計(jì)劃，同時(shí)也叫停了巴黎夏特萊地鐵站人臉識(shí)別設(shè)備的試用。還值得注意的是，2020年10月，由萬(wàn)喜（Vinci）集團(tuán)管理的里昂機(jī)場(chǎng)試用Mona公司人臉識(shí)別系統(tǒng)，在法國(guó)機(jī)場(chǎng)中首開(kāi)先河。這一技術(shù)的主要目的是減少旅客的排隊(duì)等候時(shí)間，因?yàn)槁每屯ǔＰ枰徊轵?yàn)身份（身份證件、機(jī)票等），比較費(fèi)時(shí)。根據(jù)這一系統(tǒng)的使用方法，旅客自行在手機(jī)上下載軟件，開(kāi)設(shè)賬號(hào)，上傳人臉照片；到機(jī)場(chǎng)后可以走專門(mén)通道，“僅需刷臉”閘機(jī)即自動(dòng)放行；每位旅客平均可節(jié)約半小時(shí)左右的時(shí)間。這套設(shè)備首先試用于Transavia 和 TAP兩家航空公司用于飛往波爾圖和里斯本的航班的旅客，未來(lái)將逐步擴(kuò)展至其他航班。

就歐盟而言，歐盟委員會(huì)2021年4月所提交的“人工智能條例”草案將執(zhí)法機(jī)構(gòu)在公共場(chǎng)所使用的實(shí)時(shí)生物識(shí)別系統(tǒng)定性為“不可接受的風(fēng)險(xiǎn)”，除非基于某些明確限定的目的。草案采取了以風(fēng)險(xiǎn)為基礎(chǔ)的方法，根據(jù)人工智能產(chǎn)品和服務(wù)的風(fēng)險(xiǎn)，將其區(qū)分為低風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)和高風(fēng)險(xiǎn)的不同等級(jí)，還有一些人工智能應(yīng)用則被完全禁止。草案建議禁止在公共場(chǎng)所使用包括人臉識(shí)別在內(nèi)的“遠(yuǎn)程生物識(shí)別體系（RBIS）”，除法律所規(guī)定的例外情形，這些例外情形都是為實(shí)現(xiàn)重大的公共利益所必須，所保護(hù)利益的重要性超過(guò)其風(fēng)險(xiǎn)，包括：查找潛在的犯罪受害人包括失蹤兒童，對(duì)自然人的生命和身體安全的某些威脅或者恐怖主義攻擊，偵測(cè)、定位、識(shí)別或檢控犯罪嫌疑人。與歐盟委員會(huì)的立場(chǎng)不同，歐盟議會(huì)2021年10月6日以壓倒性多數(shù)決議通過(guò)了一項(xiàng)名為“關(guān)于在刑法領(lǐng)域的人工智能及其由警察與司法機(jī)構(gòu)在刑事事務(wù)中的應(yīng)用”為題的決議，呼吁全面禁止公共場(chǎng)所的大規(guī)模生物識(shí)別監(jiān)控技術(shù)。決議認(rèn)為，人工智能驅(qū)動(dòng)的遠(yuǎn)程監(jiān)控技術(shù)，如面部識(shí)別，對(duì)隱私等基本權(quán)利和自由有巨大影響，但已經(jīng)在歐洲的公共場(chǎng)合悄然開(kāi)始使用。為了尊重“隱私和人類尊嚴(yán)”，歐洲議會(huì)議員表示，歐盟立法者應(yīng)通過(guò)一項(xiàng)永久禁令，禁止在公共場(chǎng)所對(duì)個(gè)人進(jìn)行自動(dòng)識(shí)別，并表示公民只有在涉嫌犯罪時(shí)才應(yīng)受到監(jiān)控。歐盟議會(huì)還呼吁禁止使用私人數(shù)據(jù)庫(kù)，如Clearview 的數(shù)據(jù)庫(kù)，并表示基于行為數(shù)據(jù)的預(yù)測(cè)性警務(wù)也應(yīng)被禁止。歐洲議會(huì)的決議要求歐盟采取措施，必要時(shí)甚至可以啟動(dòng)追責(zé)程序，以全面禁止就基于執(zhí)法目的對(duì)生物識(shí)別信息的任何處理包括人臉識(shí)別而在公共場(chǎng)所實(shí)施的大規(guī)模監(jiān)控；要求歐盟委員會(huì)停止資助有關(guān)的研究項(xiàng)目。

構(gòu)建符合我國(guó)國(guó)情的人臉識(shí)別法律規(guī)制框架

從前述分析可以看出，人臉識(shí)別技術(shù)是人工智能十分強(qiáng)大的應(yīng)用，對(duì)于法律執(zhí)行機(jī)構(gòu)和商業(yè)實(shí)體都能帶來(lái)很大的便利，譬如，維護(hù)公共安全，協(xié)助警方查找受害人或犯罪嫌疑人，查找失蹤人口等。其使用成本也較為低廉，因此，其使用范圍有不斷擴(kuò)大的趨勢(shì)。但是，人臉識(shí)別技術(shù)也是一項(xiàng)高度侵入性（invasive）的監(jiān)控技術(shù)，對(duì)隱私和人權(quán)可能造成風(fēng)險(xiǎn)，并可能造成歧視。另外，人臉識(shí)別涉及高度敏感的生物識(shí)別信息的收集和處理，而生物識(shí)別信息對(duì)每個(gè)人來(lái)說(shuō)都是獨(dú)一無(wú)二的，并且很難隨著時(shí)間的推移而改變。因此，一旦泄露或被非法獲取，會(huì)給個(gè)人帶來(lái)嚴(yán)重影響。結(jié)合大多數(shù)國(guó)家的普遍經(jīng)驗(yàn)，基于我國(guó)經(jīng)濟(jì)和社會(huì)發(fā)展實(shí)際情況，人臉識(shí)別技術(shù)已廣泛應(yīng)用于公共安全、智慧產(chǎn)業(yè)發(fā)展、網(wǎng)絡(luò)支付等多個(gè)領(lǐng)域，因此，不宜采取一刀切式禁止，而應(yīng)充分考慮其所可能帶來(lái)的風(fēng)險(xiǎn)，由法律進(jìn)行嚴(yán)格規(guī)制。

最高人民法院于2021年7月發(fā)布了《關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規(guī)定》，這也是我國(guó)專門(mén)針對(duì)人臉識(shí)別應(yīng)用進(jìn)行規(guī)制的第一部法律文件，具有里程碑式的重要意義。2021年8月，備受矚目的《個(gè)人信息保護(hù)法》由立法機(jī)關(guān)通過(guò)，其中關(guān)于敏感個(gè)人信息的規(guī)定、關(guān)于公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備的規(guī)定，與人臉識(shí)別密切相關(guān)。2021年11月，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》。另外，《民法典》在其第四編人格權(quán)編規(guī)定了個(gè)人信息保護(hù)的基本原則和框架。這些法律規(guī)則構(gòu)成了我國(guó)關(guān)于人臉識(shí)別規(guī)制的主要法律框架。在充分借鑒和吸收國(guó)際經(jīng)驗(yàn)的基礎(chǔ)上，我國(guó)對(duì)人臉識(shí)別進(jìn)行法律規(guī)制的主要內(nèi)容有：

人臉信息屬于生物識(shí)別信息，是敏感個(gè)人信息?！睹穹ǖ洹返?034條引入了“生物識(shí)別信息”這一重要范疇；《個(gè)人信息保護(hù)法》第28條第1款明確將生物識(shí)別信息列為首要的敏感個(gè)人信息類型，足見(jiàn)其極端重要性。最高人民法院“人臉識(shí)別司法解釋”第1條進(jìn)一步明確：人臉信息屬于“生物識(shí)別信息”。因此，信息處理者如處理人臉識(shí)別信息，需遵守關(guān)于敏感信息處理的相關(guān)規(guī)則?！秱€(gè)人信息保護(hù)法》對(duì)敏感信息的處理設(shè)定了嚴(yán)格的法律規(guī)則，根據(jù)該法第28條第二款，只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息。

人臉識(shí)別信息的收集和處理須遵循合法、正當(dāng)、必要原則，特別是最小夠用原則，不得擅自與第三方分享。根據(jù)《民法典》第1035條和《個(gè)人信息保護(hù)法》第5條和第6條，處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過(guò)度處理；收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集個(gè)人信息?！秱€(gè)人信息保護(hù)法》第26條規(guī)定：在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國(guó)家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識(shí)。所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的，不得用于其他目的。由此，公共場(chǎng)所人臉識(shí)別的設(shè)備應(yīng)基于公共安全目的僅用于身份識(shí)別，而不能用于分析其經(jīng)濟(jì)狀況、消費(fèi)能力及偏好、個(gè)人興趣、健康狀況等其他用途，以防止“購(gòu)房人戴頭盔看房”現(xiàn)象的重演。

處理人臉識(shí)別信息須獲得個(gè)人的單獨(dú)同意。《個(gè)人信息保護(hù)法》第29條規(guī)定，處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。因此，從比較法的經(jīng)驗(yàn)看，對(duì)于人臉識(shí)別，信息處理者需要在其隱私政策和使用條件之外以單獨(dú)文件向信息主體進(jìn)行告知，并獲得信息主體的明確同意。信息處理者在履行告知義務(wù)的時(shí)候，充分保障信息主體的知情同意權(quán)，因此，必須遵循《個(gè)人信息保護(hù)法》第7條所規(guī)定的公開(kāi)、透明原則，公開(kāi)個(gè)人信息處理規(guī)則，明示處理的目的、方式和范圍。此外，處理者還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響。另外，根據(jù)《個(gè)人信息保護(hù)法》第15條，個(gè)人有權(quán)撤回其同意。個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。“人臉識(shí)別司法解釋”第4條進(jìn)一步規(guī)定信息處理者不得對(duì)信息主體采取強(qiáng)迫同意、捆綁同意等手段，包括：信息處理者要求自然人同意處理其人臉信息才提供產(chǎn)品或者服務(wù)的，但是處理人臉信息屬于提供產(chǎn)品或者服務(wù)所必需的除外；信息處理者以與其他授權(quán)捆綁等方式要求自然人同意處理其人臉信息的；強(qiáng)迫或者變相強(qiáng)迫自然人同意處理其人臉信息的其他情形。

如果采取人臉識(shí)別作為身份識(shí)別的方式，則應(yīng)同時(shí)提供非人臉識(shí)別的身份識(shí)別方式，由信息主體選擇使用?！毒W(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》第25條規(guī)定：“數(shù)據(jù)處理者利用生物特征進(jìn)行個(gè)人身份認(rèn)證的，應(yīng)當(dāng)對(duì)必要性、安全性進(jìn)行風(fēng)險(xiǎn)評(píng)估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個(gè)人身份認(rèn)證方式，以強(qiáng)制個(gè)人同意收集其個(gè)人生物特征信息。”由此，基于信息主體的同意權(quán)，其可以對(duì)信息處理者處理其人臉信息給予同意，也可以拒絕，此種拒絕不得影響其享有公共服務(wù)的權(quán)利。因此，個(gè)人應(yīng)享有同意和拒絕之間的選擇。據(jù)此，“人臉識(shí)別司法解釋”第10條規(guī)定，物業(yè)服務(wù)企業(yè)或者其他建筑物管理人以人臉識(shí)別作為業(yè)主或者物業(yè)使用人出入物業(yè)服務(wù)區(qū)域的唯一驗(yàn)證方式，不同意的業(yè)主或者物業(yè)使用人請(qǐng)求其提供其他合理驗(yàn)證方式的，人民法院依法予以支持。

原則上不應(yīng)使用人臉識(shí)別方式對(duì)不滿十四周歲的未成年人進(jìn)行身份識(shí)別。當(dāng)下大量的手機(jī)App（如短視頻、直播及游戲類）的主要用戶群體為未成年人，而不少應(yīng)用軟件以身份認(rèn)證為由要求進(jìn)行人臉識(shí)別。但未成年人由于其身心發(fā)育特點(diǎn)，對(duì)人臉識(shí)別的風(fēng)險(xiǎn)缺乏必要的認(rèn)知和警惕性，甚至由于好奇心驅(qū)使而輕易向平臺(tái)提供其人臉信息，這些信息如被擅自分析、泄漏或被盜用，可能對(duì)其未來(lái)一生的成長(zhǎng)產(chǎn)生不利影響，導(dǎo)致其成為一些犯罪行為（如綁架拐騙）的受害對(duì)象。因此，對(duì)未成年人的個(gè)人信息特別是敏感信息給予特別保護(hù)，這是全世界的普遍做法。就我國(guó)而言，《個(gè)人信息保護(hù)法》第28條規(guī)定，不滿十四周歲未成年人的個(gè)人信息屬于敏感個(gè)人信息；《個(gè)人信息保護(hù)法》第31條及《未成年人保護(hù)法》第72條規(guī)定：個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。“人臉識(shí)別司法解釋”第3條也特別規(guī)定：人民法院認(rèn)定信息處理者承擔(dān)侵害自然人人格權(quán)益的民事責(zé)任，應(yīng)考慮受害人是否為未成年人這一重要因素?；谶@些法律規(guī)則和立法精神，應(yīng)原則上禁止對(duì)不滿十四周歲的未成年人進(jìn)行人臉識(shí)別；如基于公共安全（如校園安全）等原因確需對(duì)未成年人進(jìn)行人臉識(shí)別，應(yīng)征得未成年人的父母或者其他監(jiān)護(hù)人的明確同意，經(jīng)公安部門(mén)及履行個(gè)人信息保護(hù)職責(zé)的主管部門(mén)批準(zhǔn)，并應(yīng)采取嚴(yán)格的信息安全保護(hù)措施。

（作者為中國(guó)人民大學(xué)民商事法律科學(xué)研究中心研究員、法學(xué)院教授）

【注：本文系國(guó)家社科基金重大項(xiàng)目“健全以公平為原則的產(chǎn)權(quán)保護(hù)制度研究”（項(xiàng)目編號(hào)：20ZDA049）的階段性成果】

【參考文獻(xiàn)】

①陳宗波：《我國(guó)生物信息安全法律規(guī)制》，《社會(huì)科學(xué)家》，2019年第1期。

②張勇：《個(gè)人生物信息安全的法律保護(hù)——以人臉識(shí)別為例》，《江西社會(huì)科學(xué)》，2021年第5期。

③石佳友、劉思齊：《人臉識(shí)別技術(shù)中的個(gè)人信息保護(hù)——兼論動(dòng)態(tài)同意模式的建構(gòu)》，《財(cái)經(jīng)法學(xué)》，2021年第2期。

④US 117th Congress (1st Session)，F(xiàn)acial Recognition and Biometric Technology Moratorium Act of 2021, Bill introduced by Mr. MARKEY, Mr. MERKLEY, Mr. SANDERS, Ms. WARREN, and Mr. WYDEN.

⑤Information Commissioner' s Opinion: The use of live facial recognition technology in public places, 18 June 2021.

⑥European Parliament, Resolution of 6 October 2021 on artificial intelligence in criminal law and its use by the police and judicial authorities in criminal matters (2020/2016(INI)).

⑦石佳友：《人臉信息司法保護(hù)的里程碑》，《人民法院報(bào)》，2021年7月28日。

責(zé)編/銀冰瑤 美編/李智

聲明：本文為人民論壇雜志社原創(chuàng)內(nèi)容，任何單位或個(gè)人轉(zhuǎn)載請(qǐng)回復(fù)本微信號(hào)獲得授權(quán)，轉(zhuǎn)載時(shí)務(wù)必標(biāo)明來(lái)源及作者，否則追究法律責(zé)任。