【摘要】人臉識別是人工智能技術(shù)發(fā)展的重要應用。人臉識別應用為公共安全、法律執(zhí)行及社會管理帶來諸多便利，但其也可能對個人隱私與自由、人格尊嚴、人身及財產(chǎn)安全帶來風險。因此，這一技術(shù)在許多國家的法律上仍存在爭議?；谖覈?jīng)濟和社會發(fā)展實際情況，不宜采取一刀切式禁止，而應充分考慮其所可能帶來的風險，由法律進行嚴格規(guī)制。

【關鍵詞】人臉識別 個人信息 生物識別信息 敏感信息

【中圖分類號】D912.1 【文獻標識碼】A

近年來，隨著人工智能技術(shù)的快速發(fā)展，以人臉識別技術(shù)（FRT）為代表的生物識別信息技術(shù)開始為人所熟知。生物識別信息是指自然人可識別的身體生理信息或行為特征，包括個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等。生物識別信息直接反映自然人獨一無二與不可替代的身體、生理或行為特征，具有強烈的人身屬性。作為自然人最直接和便捷的生物標識，人臉信息被廣泛用于身份識別、認證和安全管理等諸多行政、商業(yè)和私人領域。人臉識別作為一種識別個人身份信息的新型技術(shù)，其主要特征是非接觸性、主體唯一性和不易復制性，同時也具有無須攜帶、易于采集、成本低廉等特點。從技術(shù)角度來看，人臉識別包含四個階段：首先，探測人臉。攝像頭可以從人群中捕捉并固定特定個人的人臉。其次，對人臉進行分析。軟件“閱讀”臉部信息并且識別其特征，譬如，兩眼之間的距離或者嘴部的寬度、面部主要輪廓。再次，將視頻圖像轉(zhuǎn)換為數(shù)據(jù)。圖像在被分析后，會轉(zhuǎn)換成一序列數(shù)據(jù)；臉部的數(shù)字信息被稱為“臉?。╢aceprint，如同指紋一樣）”。最后，進行比對匹配。將算法所形成的“臉印”與數(shù)據(jù)庫中的人臉信息進行比對和識別，將其與特定個人相關聯(lián)。

人臉識別確實可以給社會的運行與管理帶來很大的便利，這一技術(shù)尤其在執(zhí)法過程中被廣泛使用。但是，人臉識別也經(jīng)常發(fā)生錯誤，譬如，錯誤識別有色人種人士，或者進行錯誤的比對和匹配。導致人臉識別錯誤的成因有：其一，人臉識別算法的品質(zhì)可能存在很大差異；其二，所拍攝照片的質(zhì)量對于匹配的精度有顯著影響；其三，即便在照片質(zhì)量較高的情況下，系統(tǒng)的某些設置也可能導致識別錯誤發(fā)生。除了人臉識別技術(shù)較高的出錯率之外，人臉識別技術(shù)的應用對個人的隱私和自由可能構(gòu)成威脅。正是基于這些原因，人臉識別在很多國家都引發(fā)了法律上的爭議。

Clearview AI公司的法律爭議

Clearview AI公司是一家位于紐約的美國科創(chuàng)型企業(yè)，成立于2016年。該公司使用圖像掃描器自動收集社交媒體和其他網(wǎng)站上公開的人臉照片，以建立其生物識別數(shù)據(jù)庫；它向執(zhí)法機構(gòu)和私營公司出售其服務。Clearview的人臉識別技術(shù)包含四個步驟：首先，Clearview在公眾可以訪問的網(wǎng)絡平臺及Facebook（已改名為Meta）、Twitter、Instagram、LinkedIn等社交媒體上“抓取”人臉照片，并存入其數(shù)據(jù)庫；其次，創(chuàng)建生物識別標識符，以數(shù)字化方式來表達每一幅人臉圖片；再次，允許用戶上傳圖片，與數(shù)據(jù)庫中的生物識別符進行匹配和比對；最后，提供一序列比對結(jié)果，包括所有被比對的照片和數(shù)據(jù)，如果用戶點擊其中任何結(jié)果，軟件可以將其指引到照片的源文件。Clearview 存儲了超過三十億張人臉圖片和相應的生物識別符，其中包括很多兒童照片。僅在美國，該公司就已向超過600家執(zhí)法機構(gòu)提供了數(shù)據(jù)及人臉識別系統(tǒng)服務，包括聯(lián)邦調(diào)查局、國土安全部和許多州警察局。2021年1月6日美國國會騷亂事件后，Clearview發(fā)現(xiàn)其人臉搜索應用的數(shù)量增長了26%，佛羅里達和阿拉巴馬等州警察局使用其應用來識別參與騷亂的人員。

但Clearview在美國的多個州都遭遇了訴訟，包括伊利諾伊州、弗吉尼亞州、紐約州、佛蒙特州，其中，僅在伊利諾伊州就被提起至少三起訴訟，包括針對著名零售商Macy的訴訟，后者是Clearview的大客戶之一，被指控使用其人臉識別應用。另外，Google和Twitter明確向Clearview發(fā)出了停止訪問函，禁止其從它們網(wǎng)站上收集人臉照片。但Clearview認為它擁有收集人們公開發(fā)布的照片的權(quán)利。同樣，一些外國的執(zhí)法機構(gòu)因為使用其服務而在本國引發(fā)爭議。2021年2月，瑞典隱私保護機構(gòu)IMY對瑞典警察部門罰款250萬瑞典克朗，理由是后者使用Clearview 的服務違反了瑞典“犯罪數(shù)據(jù)法”。瑞典警察部門在2019年秋季至2020年3月期間，曾間斷性地使用Clearview 人臉識別應用，查找犯罪的受害人及嫌疑人。IMY認為這一做法違反了“犯罪數(shù)據(jù)法”的多個條文，根據(jù)該法，生物識別信息及基因信息只能在有明文規(guī)定的情況下，用于絕對必須的處理目的。

2021年2月，加拿大隱私專員辦公室與魁北克、不列顛哥倫比亞及阿爾伯塔三省的個人信息保護機構(gòu)所聯(lián)合發(fā)起的、針對Clearview的調(diào)查報告指出，其人臉識別工具違反了加拿大個人信息保護法的統(tǒng)一和適當目的等要求。盡管加拿大個人信息保護法對于“可公開獲得的信息”豁免信息主體的同意要求，但是，從公開的網(wǎng)站包括社交媒體上所獲得的人臉信息并不適用公開獲得信息的豁免規(guī)則。此外，Clearview違反了個人信息保護法的適當目的要求，這一要求對于有效同意的場景也仍然適用。Clearview公司收集和使用圖片是不適當?shù)模驗檫@些用途與照片最初被上傳的目的沒有關聯(lián)，這些照片被無限期的保留，并且其使用損害了個人的利益（譬如被用于隨后針對其所發(fā)起的起訴），而且其使用的方式對個人造成了重大風險。此外，Clearview無差別地從網(wǎng)站抓取人臉照片，屬于信息收集的不合理方式。

北美地區(qū)的法律：對政府機構(gòu)使用人臉識別技術(shù)進行限制

在美國，率先就人臉識別問題作出法律規(guī)定的是一些州的城市。2019年5月，加利福尼亞州舊金山市成為美國最先以立法禁止政府機構(gòu)使用人臉識別技術(shù)的城市。同年6月，馬薩諸塞州的薩默維爾市議會一致表決通過議案，禁止政府機構(gòu)使用人臉識別技術(shù)。隨后，馬薩諸塞州的波士頓、伊斯特漢普頓以及密蘇里州的斯普林菲爾德等城市也相繼通過了類似禁令。與之類似，紐約市的法令規(guī)定，娛樂場所、零售店、食品與飲料商店在其營業(yè)范圍內(nèi)，不得使用人臉識別技術(shù)。不過，對于一般商業(yè)機構(gòu)，紐約市并不禁止其對消費者使用人臉識別技術(shù)，但要求在消費者入口處以清晰和顯著的標識告知消費者進入人臉識別區(qū)域。

就州層面而言，一些州對于生物識別信息作出了法律規(guī)定，例如德州、伊利諾伊州和華盛頓州，這些法律要求企業(yè)收集和使用生物識別信息必須盡到事先告知和知情同意義務。例如，根據(jù)伊利諾伊州的“生物識別信息隱私法（BIPA）”，私立機構(gòu)在使用消費者的生物識別信息之前，必須書面告知消費者，其生物識別信息正在收集和存儲以及其期限；該機構(gòu)不得利用這些信息，向他人出售、出租或營利。紐約州的法律亦有類似規(guī)定；俄克拉荷馬州和肯塔基州的法律規(guī)定，必須要有清晰的告知和獲得個人的知情同意；佛羅里達州和猶他州則在其隱私法中強化信息主體的權(quán)利及相關的告知和同意要求。

在美國，華盛頓州被認為在科技立法領域經(jīng)常走在各州前列。2020年3月，華盛頓州通過法律對人臉識別應用進行規(guī)制，要求人臉識別技術(shù)必須確保其公平性和準確性；執(zhí)法機構(gòu)如需使用人臉識別技術(shù)，需獲得法院的授權(quán)令；另外，法律責成州政府設立專門的研究小組，研究公共機構(gòu)如何使用和部署人臉識別設施。另有一些州對人臉識別采取了暫緩禁令（moratorium）或?qū)⑵鋺孟抻谔囟I域的做法。例如，2019年3月，加州通過立法為警察機構(gòu)使用人臉識別技術(shù)設定了三年的禁止期限，自2020年1月起實施。2021年5月，馬薩諸塞州通過法律，要求警察局等執(zhí)法機構(gòu)在使用州機動車登記處、聯(lián)邦調(diào)查局或州警察局所建立的人臉數(shù)據(jù)庫的照片進行比對之前，須獲得法院的許可令；為防止人臉識別技術(shù)的濫用，法律要求其應用僅限于犯罪偵查領域，不得擴展至民事糾紛。而與之相對照的是，緬因州則通過了更為嚴厲的立法。根據(jù)緬因州議會在2021年6月通過的法律，執(zhí)法機構(gòu)原則上不得使用人臉識別技術(shù)，除非其有證據(jù)證明特定個人犯下“嚴重的罪行”，另外，人臉識別技術(shù)還可以用來識別死者或失蹤人員；人臉識別的結(jié)構(gòu)本身并不能成為警察逮捕嫌疑人的證據(jù)。法律也限制警察部門使用人臉身份識別技術(shù)，在某些特定情形下警察部門可求助于聯(lián)邦調(diào)查局或州機動車登記處；執(zhí)法機構(gòu)如果使用了人臉識別技術(shù)，必須留存記錄備查。另外，如果公民認為執(zhí)法機構(gòu)非法使用了人臉識別技術(shù)，可以對其提起訴訟；法律還明確禁止在政府機構(gòu)的大部分區(qū)域、公立學校等場所使用人臉識別技術(shù)。這被認為是美國迄今為止最為嚴厲的人臉識別法律。

在聯(lián)邦層面，值得注意的是，2021年6月，美國參議員在國會提出了《人臉識別和生物識別技術(shù)禁止法案》，準備對聯(lián)邦和大多數(shù)州的全部生物識別技術(shù)采取一攬子禁止，包括在全國范圍內(nèi)禁止執(zhí)法機構(gòu)使用人臉識別技術(shù)。這一法案也被批評為可能會剝奪生物識別技術(shù)給執(zhí)法機構(gòu)所帶來的便利，包括：查找被綁架的受害人，識別在機場入口所使用的偽造身份文件，在關鍵場合幫助反恐偵查，使得無辜的人免受犯罪指控等。

在加拿大，并無專門針對人臉識別的法律，而適用個人信息保護法的一般規(guī)則。具體來說，私立機構(gòu)處理個人信息適用“個人信息保護法（PIPEDA）”，而公立機構(gòu)處理個人信息則適用“隱私法案”。“個人信息保護法”規(guī)定，收集、使用或公開個人信息必須告知個人并征得其同意。對于某些敏感信息，必須征得個人的“有效同意”。根據(jù)該法第6.1條，只有以下事實是可以合理被期待的時候——個人可以理解其給予同意的信息收集、使用或公開等行為的性質(zhì)、目的和結(jié)果，個人的同意方可被認為是有效的。對于政府機構(gòu)，“隱私法案”限定其使用或公開個人信息必須用于“指定的目的”，除非個人對于其他用途的使用或公開給予了同意；法案還要求政府機構(gòu)必須告知個人信息收集的目的。“個人信息保護法”要求收集、使用或公開個人信息，必須基于一個通情達理的人在所處的具體環(huán)境下認為是適當（appropriate）的目的。

歐洲國家的法律：嚴格限制下的例外允許

就英國而言，2020年8月，英國法院裁定南威爾士警方使用人臉識別技術(shù)侵犯了人權(quán)和個人信息保護法。南威爾士警方在2017年5月至2019年4月期間，曾在公共事件中使用人臉識別設備掃描了50萬余張人臉圖像，后被一名叫Edward Bridges的民權(quán)人士提起訴訟，他聲稱曾兩次接近人臉識別設備，盡管并非設備識別的對象，但他認為其圖像仍被設備抓取，侵害了歐洲人權(quán)公約第8條所保護的隱私權(quán)，也違反了英國的個人信息保護法及2010年平等法案中的“公立部門平等職責（PSED）”等法律規(guī)定。2019年9月，一審法院駁回了其起訴，但上訴法院則支持了其請求，認為具體執(zhí)法的警官的裁量權(quán)過大，很難清楚地預知誰會在人臉識別的名單上。法院認為，警方違反了“公立部門平等職責”，警方未能采取合理措施來判斷人臉識別應用軟件是否存在種族或性別歧視。

2021年6月，英國信息專員辦公室發(fā)布了新的“實踐指南”，對視頻監(jiān)控和人臉識別技術(shù)提供了指引。新指南指出，“（人臉識別）系統(tǒng)是有價值的工具，有助于提升公共治安和安全的水準，可以保護人身和財產(chǎn)安全”。就公共場所的視頻監(jiān)控設備使用，指南嘗試列出最佳實踐和指導原則。這一文件認為可以允許公共機構(gòu)和企業(yè)在公共場所使用遠程生物識別技術(shù)，但認為應設置較高的準入門檻；不過，該文件并不贊成采取完全的禁止。指南要求人臉識別的使用必須合法，信息的控制者必須對處理特殊類別的信息提供合法基礎，并確保其處理符合必要原則，與其所實現(xiàn)的目的成比例，并考慮使用人臉識別對個人所造成的潛在危害。

在法國，關于人臉識別的法律框架主要有：1978年的信息與自由法（2018年12月修訂）；歐盟《通用數(shù)據(jù)保護條例》（GDPR）；歐盟2016年第2016/680號關于刑事領域個人信息保護的“警察—司法指令”。根據(jù)GDPR第4條，生物識別信息屬于敏感信息，原則上禁止處理，僅在該條所列明的例外情況下方可進行處理：信息主體明確同意，履行法定職責，保護自然人的重大利益，保護公共利益，信息主體已公開的信息，基于醫(yī)療診斷或評估雇員工作能力需要等。

在法國，個人信息監(jiān)管機構(gòu)是1978年所創(chuàng)立的“信息與自由委員會（CNIL）”，該機構(gòu)同時是政府與國會的咨詢機構(gòu)，就信息立法提供咨詢意見。鑒于法國一些機構(gòu)申請試用人臉識別技術(shù)，CNIL對此設定了三個條件：第一，劃定所應遵守的紅線，遵守歐盟GDPR條例和“警察—司法指令”。CNIL認為，盡管存在可以合法使用人臉識別技術(shù)的一些情形，但是不能據(jù)此推論一切皆合乎需要，或者一切皆可為；必須將人的尊重和保護置于這一體系的中心地位，特別是確保對隱私權(quán)的保護；必須要獲得個人的知情同意，用戶必須可以控制其信息，并可能行使其同意的撤回權(quán)；人臉識別系統(tǒng)對個人應保持完全透明，應確保生物識別信息的安全。第二，將人的尊重和保護置于這一體系的中心地位，特別是確保對隱私權(quán)的保護。必須獲得個人的知情同意，用戶可以控制其信息，并可能行使其同意的撤回權(quán)；人臉識別系統(tǒng)對個人應保持完全透明，應確保生物識別信息的安全；私立機構(gòu)如果使用人臉識別技術(shù)，應獲得個人的知情同意，這一同意必須明確、特定、自由作出且毫不含糊，符合GDPR的要求。為此，必須提供人臉識別的替代措施，這些替代措施應提供與人臉識別技術(shù)同樣的便利。第三，對于人臉識別的試用必須設定時間與空間上的明確限制，并具有明確的可識別的目標，且有績效評估模式。

就人臉識別而言，CNIL提出“在現(xiàn)在和未來并非一切皆可為”。在此前，CNIL曾拒絕同意尼斯和馬賽的兩所中學在其入口處安裝人臉識別設備；CNIL強調(diào)應遵守比例性原則，所使用的手段與所達到的目的之間應當相稱；此外，應當對未成年人給予特殊保護。2019年，尼斯市政府安裝了具有人臉識別功能的視頻監(jiān)控，拍攝了上千人的面部照片，這些照片被相關軟件進行實時分析。CNIL認為，尼斯市政府就此提交的報告太過于模糊，缺乏對技術(shù)因素的必要說明。因此，報告無法讓人就人臉識別試用得出客觀的視角，也無法評估其有效性。在新冠肺炎疫情期間，戛納市政府希望安裝監(jiān)控設備，以核實人們是否按要求佩戴了口罩，市政府準備購買一家名為Datakalab的設備和服務，該公司的設備同樣安裝在巴黎市中心的夏特萊地鐵站進行試用，該公司聲稱，它們并非用于識別公眾，而只是在計算佩戴口罩的人數(shù)。但CNIL則認為，公眾無法行使其異議權(quán)，因為他們根本不知道系統(tǒng)在分析他們的臉部。因此，CNIL叫停了戛納市的人臉識別應用計劃，同時也叫停了巴黎夏特萊地鐵站人臉識別設備的試用。還值得注意的是，2020年10月，由萬喜（Vinci）集團管理的里昂機場試用Mona公司人臉識別系統(tǒng)，在法國機場中首開先河。這一技術(shù)的主要目的是減少旅客的排隊等候時間，因為旅客通常需要被查驗身份（身份證件、機票等），比較費時。根據(jù)這一系統(tǒng)的使用方法，旅客自行在手機上下載軟件，開設賬號，上傳人臉照片；到機場后可以走專門通道，“僅需刷臉”閘機即自動放行；每位旅客平均可節(jié)約半小時左右的時間。這套設備首先試用于Transavia 和 TAP兩家航空公司用于飛往波爾圖和里斯本的航班的旅客，未來將逐步擴展至其他航班。

就歐盟而言，歐盟委員會2021年4月所提交的“人工智能條例”草案將執(zhí)法機構(gòu)在公共場所使用的實時生物識別系統(tǒng)定性為“不可接受的風險”，除非基于某些明確限定的目的。草案采取了以風險為基礎的方法，根據(jù)人工智能產(chǎn)品和服務的風險，將其區(qū)分為低風險、中風險和高風險的不同等級，還有一些人工智能應用則被完全禁止。草案建議禁止在公共場所使用包括人臉識別在內(nèi)的“遠程生物識別體系（RBIS）”，除法律所規(guī)定的例外情形，這些例外情形都是為實現(xiàn)重大的公共利益所必須，所保護利益的重要性超過其風險，包括：查找潛在的犯罪受害人包括失蹤兒童，對自然人的生命和身體安全的某些威脅或者恐怖主義攻擊，偵測、定位、識別或檢控犯罪嫌疑人。與歐盟委員會的立場不同，歐盟議會2021年10月6日以壓倒性多數(shù)決議通過了一項名為“關于在刑法領域的人工智能及其由警察與司法機構(gòu)在刑事事務中的應用”為題的決議，呼吁全面禁止公共場所的大規(guī)模生物識別監(jiān)控技術(shù)。決議認為，人工智能驅(qū)動的遠程監(jiān)控技術(shù)，如面部識別，對隱私等基本權(quán)利和自由有巨大影響，但已經(jīng)在歐洲的公共場合悄然開始使用。為了尊重“隱私和人類尊嚴”，歐洲議會議員表示，歐盟立法者應通過一項永久禁令，禁止在公共場所對個人進行自動識別，并表示公民只有在涉嫌犯罪時才應受到監(jiān)控。歐盟議會還呼吁禁止使用私人數(shù)據(jù)庫，如Clearview 的數(shù)據(jù)庫，并表示基于行為數(shù)據(jù)的預測性警務也應被禁止。歐洲議會的決議要求歐盟采取措施，必要時甚至可以啟動追責程序，以全面禁止就基于執(zhí)法目的對生物識別信息的任何處理包括人臉識別而在公共場所實施的大規(guī)模監(jiān)控；要求歐盟委員會停止資助有關的研究項目。

構(gòu)建符合我國國情的人臉識別法律規(guī)制框架

從前述分析可以看出，人臉識別技術(shù)是人工智能十分強大的應用，對于法律執(zhí)行機構(gòu)和商業(yè)實體都能帶來很大的便利，譬如，維護公共安全，協(xié)助警方查找受害人或犯罪嫌疑人，查找失蹤人口等。其使用成本也較為低廉，因此，其使用范圍有不斷擴大的趨勢。但是，人臉識別技術(shù)也是一項高度侵入性（invasive）的監(jiān)控技術(shù)，對隱私和人權(quán)可能造成風險，并可能造成歧視。另外，人臉識別涉及高度敏感的生物識別信息的收集和處理，而生物識別信息對每個人來說都是獨一無二的，并且很難隨著時間的推移而改變。因此，一旦泄露或被非法獲取，會給個人帶來嚴重影響。結(jié)合大多數(shù)國家的普遍經(jīng)驗，基于我國經(jīng)濟和社會發(fā)展實際情況，人臉識別技術(shù)已廣泛應用于公共安全、智慧產(chǎn)業(yè)發(fā)展、網(wǎng)絡支付等多個領域，因此，不宜采取一刀切式禁止，而應充分考慮其所可能帶來的風險，由法律進行嚴格規(guī)制。

最高人民法院于2021年7月發(fā)布了《關于審理使用人臉識別技術(shù)處理個人信息相關民事案件適用法律若干問題的規(guī)定》，這也是我國專門針對人臉識別應用進行規(guī)制的第一部法律文件，具有里程碑式的重要意義。2021年8月，備受矚目的《個人信息保護法》由立法機關通過，其中關于敏感個人信息的規(guī)定、關于公共場所安裝圖像采集、個人身份識別設備的規(guī)定，與人臉識別密切相關。2021年11月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》。另外，《民法典》在其第四編人格權(quán)編規(guī)定了個人信息保護的基本原則和框架。這些法律規(guī)則構(gòu)成了我國關于人臉識別規(guī)制的主要法律框架。在充分借鑒和吸收國際經(jīng)驗的基礎上，我國對人臉識別進行法律規(guī)制的主要內(nèi)容有：

人臉信息屬于生物識別信息，是敏感個人信息?！睹穹ǖ洹返?034條引入了“生物識別信息”這一重要范疇；《個人信息保護法》第28條第1款明確將生物識別信息列為首要的敏感個人信息類型，足見其極端重要性。最高人民法院“人臉識別司法解釋”第1條進一步明確：人臉信息屬于“生物識別信息”。因此，信息處理者如處理人臉識別信息，需遵守關于敏感信息處理的相關規(guī)則。《個人信息保護法》對敏感信息的處理設定了嚴格的法律規(guī)則，根據(jù)該法第28條第二款，只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。

人臉識別信息的收集和處理須遵循合法、正當、必要原則，特別是最小夠用原則，不得擅自與第三方分享。根據(jù)《民法典》第1035條和《個人信息保護法》第5條和第6條，處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理；收集個人信息，應當限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息?！秱€人信息保護法》第26條規(guī)定：在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規(guī)定，并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他目的。由此，公共場所人臉識別的設備應基于公共安全目的僅用于身份識別，而不能用于分析其經(jīng)濟狀況、消費能力及偏好、個人興趣、健康狀況等其他用途，以防止“購房人戴頭盔看房”現(xiàn)象的重演。

處理人臉識別信息須獲得個人的單獨同意?！秱€人信息保護法》第29條規(guī)定，處理敏感個人信息應當取得個人的單獨同意。因此，從比較法的經(jīng)驗看，對于人臉識別，信息處理者需要在其隱私政策和使用條件之外以單獨文件向信息主體進行告知，并獲得信息主體的明確同意。信息處理者在履行告知義務的時候，充分保障信息主體的知情同意權(quán)，因此，必須遵循《個人信息保護法》第7條所規(guī)定的公開、透明原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍。此外，處理者還應當向個人告知處理敏感個人信息的必要性以及對個人權(quán)益的影響。另外，根據(jù)《個人信息保護法》第15條，個人有權(quán)撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。“人臉識別司法解釋”第4條進一步規(guī)定信息處理者不得對信息主體采取強迫同意、捆綁同意等手段，包括：信息處理者要求自然人同意處理其人臉信息才提供產(chǎn)品或者服務的，但是處理人臉信息屬于提供產(chǎn)品或者服務所必需的除外；信息處理者以與其他授權(quán)捆綁等方式要求自然人同意處理其人臉信息的；強迫或者變相強迫自然人同意處理其人臉信息的其他情形。

如果采取人臉識別作為身份識別的方式，則應同時提供非人臉識別的身份識別方式，由信息主體選擇使用?！毒W(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》第25條規(guī)定：“數(shù)據(jù)處理者利用生物特征進行個人身份認證的，應當對必要性、安全性進行風險評估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式，以強制個人同意收集其個人生物特征信息。”由此，基于信息主體的同意權(quán)，其可以對信息處理者處理其人臉信息給予同意，也可以拒絕，此種拒絕不得影響其享有公共服務的權(quán)利。因此，個人應享有同意和拒絕之間的選擇。據(jù)此，“人臉識別司法解釋”第10條規(guī)定，物業(yè)服務企業(yè)或者其他建筑物管理人以人臉識別作為業(yè)主或者物業(yè)使用人出入物業(yè)服務區(qū)域的唯一驗證方式，不同意的業(yè)主或者物業(yè)使用人請求其提供其他合理驗證方式的，人民法院依法予以支持。

原則上不應使用人臉識別方式對不滿十四周歲的未成年人進行身份識別。當下大量的手機App（如短視頻、直播及游戲類）的主要用戶群體為未成年人，而不少應用軟件以身份認證為由要求進行人臉識別。但未成年人由于其身心發(fā)育特點，對人臉識別的風險缺乏必要的認知和警惕性，甚至由于好奇心驅(qū)使而輕易向平臺提供其人臉信息，這些信息如被擅自分析、泄漏或被盜用，可能對其未來一生的成長產(chǎn)生不利影響，導致其成為一些犯罪行為（如綁架拐騙）的受害對象。因此，對未成年人的個人信息特別是敏感信息給予特別保護，這是全世界的普遍做法。就我國而言，《個人信息保護法》第28條規(guī)定，不滿十四周歲未成年人的個人信息屬于敏感個人信息；《個人信息保護法》第31條及《未成年人保護法》第72條規(guī)定：個人信息處理者處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監(jiān)護人的同意。“人臉識別司法解釋”第3條也特別規(guī)定：人民法院認定信息處理者承擔侵害自然人人格權(quán)益的民事責任，應考慮受害人是否為未成年人這一重要因素?；谶@些法律規(guī)則和立法精神，應原則上禁止對不滿十四周歲的未成年人進行人臉識別；如基于公共安全（如校園安全）等原因確需對未成年人進行人臉識別，應征得未成年人的父母或者其他監(jiān)護人的明確同意，經(jīng)公安部門及履行個人信息保護職責的主管部門批準，并應采取嚴格的信息安全保護措施。

（作者為中國人民大學民商事法律科學研究中心研究員、法學院教授）

【注：本文系國家社科基金重大項目“健全以公平為原則的產(chǎn)權(quán)保護制度研究”（項目編號：20ZDA049）的階段性成果】

【參考文獻】

①陳宗波：《我國生物信息安全法律規(guī)制》，《社會科學家》，2019年第1期。

②張勇：《個人生物信息安全的法律保護——以人臉識別為例》，《江西社會科學》，2021年第5期。

③石佳友、劉思齊：《人臉識別技術(shù)中的個人信息保護——兼論動態(tài)同意模式的建構(gòu)》，《財經(jīng)法學》，2021年第2期。

④US 117th Congress (1st Session)，F(xiàn)acial Recognition and Biometric Technology Moratorium Act of 2021, Bill introduced by Mr. MARKEY, Mr. MERKLEY, Mr. SANDERS, Ms. WARREN, and Mr. WYDEN.

⑤Information Commissioner' s Opinion: The use of live facial recognition technology in public places, 18 June 2021.

⑥European Parliament, Resolution of 6 October 2021 on artificial intelligence in criminal law and its use by the police and judicial authorities in criminal matters (2020/2016(INI)).

⑦石佳友：《人臉信息司法保護的里程碑》，《人民法院報》，2021年7月28日。

責編/銀冰瑤 美編/李智

聲明：本文為人民論壇雜志社原創(chuàng)內(nèi)容，任何單位或個人轉(zhuǎn)載請回復本微信號獲得授權(quán)，轉(zhuǎn)載時務必標明來源及作者，否則追究法律責任。