人脸识别技术的法律规制研究

摘要

人脸识别技术是生物识别技术的一种,与其他生物识别技术相比而言，具有人身关系密切性、识别过程自主性、风险防控复杂性三大特点。因其具备良好的安全性、可靠性和有效性，无论是在公益领域还是在私益领域均存在广泛适用空间，现已成为安防行业、金融行业、医疗行业、教育行业、智慧城市等领域应用最广的技术。人脸识别技术的普遍应用在为社会公众带来诸多便利的同时，也引发了人们对其所带来的隐私风险、数据安全风险、歧视风险、自由风险的担忧，通过分析发现，回应型立法缺失、行政监管乏力、司法救济滞后、行业自律组织尚未成熟是人脸识别技术应用风险产生的重要原因。通过对域外欧盟和X人脸识别技术法律规制的分析比较发现，其区分适用场景，充分尊重用户自由意志，划定人脸识别技术使用的“禁区”，加强行政监管和惩处以及赋予公民诉权进行司法救济等方式，是值得借鉴的。在人脸识别技术未来发展道路上，我国应从立法、行政、司法以及自律组织四个方面来对其进行规制：立法上，我国宜采取“专门+分散”立法模式，通过立法的方式确立相关基本原则，并在立法上进一步区分应用人脸识别技术所获取的一般个人信息与敏感个人信息；行政上，我国应当进一步完善行政监管体系，通过设立专门监管机构对人脸识别技术的应用进行专门监管，此外，还应当通过加大行政处罚力度威慑和惩处人脸识别技术的非法使用；司法上，首先应当明确诉权的主体，其次，在举证责任上宜采取举证责任倒置，最后，还需要不断提高司法的应对能力；自律组织上，国家行政机关和企业组织应当强化合作关系，共同加强行业自律组织的建设，完善人脸识别技术应用的行业自律组织公约。

关键词：人脸识别技术；隐私风险；数据安全风险；歧视风险；自由风险

1绪论

1Introduction

　1.1选题背景（Topic selection background）

XXX总XX在XXX报告中提出,要“推动互联网、大数据、人工智能与实体经济的深度融合”，人脸识别技术作为人工智能的重要细分领域，相关的政策支持促进其繁荣发展。随着当代信息技术的飞速发展，通过计算机技术与高科技技术紧密结合，智能时代已经悄悄到来。人脸识别技术是一种时兴且发展速度迅猛的生物识别技术，具备良好的便捷、高效、安全等特性，且在一些条件受限的应用场景下有独特的优势，现在已经在安防行业、金融行业、医疗行业、教育行业等领域得到广泛应用。在我国，部分高校使用人脸识别技术，应用于课堂签到、学生考试、宿舍管理等多个方面；火车站安检利用人脸识别技术，不仅能快速地识别乘客的进站信息，提高乘客进站的效率，而且能够协助相关部门，快速甄别逃犯身份信息；在酒店、商店安装人脸识别装置，不需要带钱包、身份证等也能实现“刷脸”支付和入住，为人们提供了更加智能、人性化、精细化服务……

人脸识别技术的广泛应用，在为社会带来便利的同时，也存在着因技术滥用给公民权利、利益带来各种风险的情形。在“2019啄木鸟数据治理论坛”上，《人脸识别落地场景观察报告》引发了社会广泛关注。该调查中显示，约40%的调查者担心人脸识别会导致公民的个人信息泄漏。数据管理者能否合法地收集使用数据、人脸识别技术是否可靠、以及人脸被盗用等都是人们十分担心的问题。此外，在人脸识别技术应用中的透明度不够充足，许多场景下人脸识别设备没有提供隐私政策或用户协议，公众无法在用户知情、同意的前提下使用。以无人商店为例，用户进入摄像头范围内就被“刷脸”，关于相关的面部数据如何搜集、存储、利用等问题，并没有进行任何说明。在一些设置了人脸识别摄像头的场所，大部分公民甚至不知道自己会被拍摄。

人脸识别技术的应用给人们的日常生活带来了极大方便，可以获得更有效率、更加优质的服务，然而，人脸识别技术一旦失控，造成滥用，则可能威胁个人权利、自由、安全，随之而来的数据安全、隐私泄露、歧视风险、自由风险问题不容忽视。因此，亟需在保障面部信息与技术进步之间找到平衡点，采取积极可靠的策略，从而切实保障公民的面部信息安全。

　1.2研究综述（Research Overview）

　　1.2.1国内研究现状

以“人脸识别技术”在知网检索出相关论文9700余篇，但大多数均为理工科人脸识别技术识别方法的研究，以“人脸识别技术”+“法律”在知网检索，仅有16篇文献，由此可见，我国在人脸识别技术法律规制研究十分匮乏。从现有的文献来看，我国学者主要从人脸识别技术的定义、特征、风险、成因以及对策等方面来研究人脸识别技术的法律规制。

（1）人脸识别技术的定义和特征

人脸识别技术更多归类为理工科的概念，对于人脸识别技术的定义，国内法学学者对此分歧不大，大多数都是直接套用理工科的权威概念，如李武军认为人脸识别, 是指利用已经存储的若干已知身份的脸部数据信息，对特定场景静态图像或者动态视频进行识别、比对，从而确定单个或者多个个人身份的技术。对于人脸识别技术的特征，我国学者没有专门研究分析，其中学者黄岚文认为人脸识别具有生物识别唯一性的特点，学者林宏忆将人脸识别技术的特征概括为高度隐蔽性、普遍性、经济易用，学者李子青认为人脸识别技术具有非侵扰性、使用便捷、与人们生活习惯协调一致。

（2）人脸识别技术应用风险及其成因

人脸识别技术带来效益的同时，其应用风险也逐渐被我国学者所关注。其中，我国学者最关注的是其引发的隐私风险，学者王宗煜认为，当下人脸识别技术与互联网相联系，因互联网所有的多样性、隐蔽性和虚拟性的特点，难以捉摸，对公民隐私权造成了极大威胁，学者牛瑾认为人脸识别技术带来便利的同时也带来了隐私风险，但归根到底是技术和立法层面不足，造成了人脸识别技术的隐私风险，学者梁丽雯认为，脸部信息的弱隐私性是隐私风险的根源，完善人脸识别隐私保护标准是解决隐私风险的关键。此外，我国学者还针对人脸识别技术的数据安全风险展开了研究，比如，学者吴迪认为监管机制不完善，执法权限不明，人脸识别技术管理者需要数据进行技术训练以及企业的经济理性是数据安全风险的成因。除隐私风险及数据安全风险外，我国学者还对人脸识别技术的歧视风险、自由风险有所涉及，如学者周坤琳认为人脸识别技术因技术人员操作失误、数据库信息收集错误等问题，或多或少存在匹配错误，一旦涉及敏感信息，将会引发歧视风险。学者蒋洁认为人脸识别技术的过度使用，将会使得公民处于“全景敞视监狱之下”，从而威胁公民自由。

（3）人脸识别技术法律规制的对策研究

在人脸识别技术法律规制的对策研究方面，我国学者也提出了许多有益建议。学者史洪举从“人脸识别技术第一案”出发，依据《消费者权益保护法》，认为人脸识别应当遵循法律边界，除必须即维护重大利益不得使用脸部信息，经营者不得未经许可收集和使用个人信息。学者史宇航认为，人脸识别技术风险防范需要依赖法律和技术，法律上，通过《民法典》纳入对个人信息保护的相关法律，并提出和“知情——同意”原则，技术上，通过“反人脸识别技术”来拒绝脸部信息被收集。学者王春晖认为，个人信息保护应当作为一项法律原则，纳入我国法律体系，未经同意不得使用，并且还应当将不履行安全管理义务的使用者纳入刑法的监管范围，追究其相应的刑事责任。学者崔爽认为，由于人脸识别法律法规之后，平台利益诱导，用户权利意识淡薄等原则，个人信息过度收集已经成为普遍现象，基于此，他提出了信息收集的“合法、正当、必要”三原则。学者洪延青认为，人脸识别技术带来机遇的同时，也会直接或间接的侵犯用户隐私权、自由人权、诱发歧视问题，并提出应从XX和行业自律两大方面对人脸识别技术进行规制。学者褚连杰认为，人脸识别技术尚未成熟，存在易受网络攻击，导致信息泄露等风险，主张从国家立法、建立标准制度以及提高技术应对能力三个方面应对人脸识别技术风险。

　1.2.2国外研究现状

人脸识别技术最初的科学研究来自域外，尽管在法律方面的研究较少，但研究却从未停止过，其中具有代表性的学者有：

Benjamin Hale认为，人脸识别技术作为身份认证技术的一种，会带来身份危机，危机主要表现为侵犯公民的自由意志，因此，他建议人脸识别技术的使用必须以取得用户同意为必要条件。Lander Karen等学者通过研究认为，人脸识别技术可以通过个体之间的差异，实现准确识别，在刑事调查和安全防护方面起着重要作用，因此，将人脸识别技术用于刑事侦查将会极大提高案件的侦破率，维护社会安全。但与此同时，他也意识到了人脸势必技术的过度使用必然会对公民的自由等基本权利造成危险，因此，他提出人脸识别技术的使用应当区分场景，公益场景下可以使用，但使用应当以维护公众基本权利为底线，不得利用人脸识别技术实现对公民生活的监视，妨害公民基本权利。Aletta Norval等学者认为，人脸识别技术极为可能侵犯公民的基本权利，尤其表现在对个人信息权利的侵犯，他强烈批评了人脸识技术在社交网络上普遍被滥用的行为，主张应当通过立法、加强行政监管、提高企业责任意识、公民基本权利意识等方面来引导人脸识别技术走向正轨。Kevin Bowyer等学者通过研究观察发现，人脸识别技术会基于技术误差以及使用者的有意识行为，针对不同种族的人，产生不同的识别结果，针对人脸识别技术可能存在的歧视风险，他提出应该给人脸识别技术划定“禁区”，对于可能引发的歧视风险，不应当完全依赖人脸识别技术自主识别，而应当增加人工判断，以此尽可能降低歧视风险发生的可能性。Niloufer Selvadurai等学者认为，人脸识别技术所识别的不仅仅是人脸而已，而是包括通过人脸识别技术识别人脸后，可能分析出来的一系列其他信息，包括健康信息、种族信息、性倾向等，因此，他主张对于人脸识别技术风险的防范，不应当仅仅关注脸部信息，更应该将注意力放在由此可能引发的一系列其他个人信息安全，此外，他还特别强调，应当通过行业自律组织来加强人脸识别技术风险的防范能力，统一人脸识别技术的安全使用标准。

　1.2.3 国内外研究现状评述

通过横向比较，纵向观察，人脸识别技术的法律规则研究尽管有了一定的发展，但是仍旧存在许多不足之处，主要表现在以下几方面：

研究主要集中于隐私权与个人信息安全，并且两者经常是混杂在一起研究讨论的，不存在区分。无论是国内学者还是国外学者，对于人脸识别技术的风险研究，主要集中在隐私风险，对于其他相关风险的研究，十分有限，这就意味着，对人脸识别技术的法律规制范围存在局限性，不能够完全防范人脸识别技术风险，安全迎接人脸识别技术的到来。

现行研究风险成因分析主要归结于立法的不足，缺乏全面分析。国内外学者对于人脸识别技术风险防范往往大多归因于立法上的不足，主张通过全面立法的模式，对人脸识别技术风险进行规制。对于行政、司法以及行业自律组织的分析鲜有涉及，致使大多数研究都在重复前人的研究成果,也因对成因分析的不全面，致使对策研究往往也难以全面。

对策研究集中在立法和行政两个方面，在司法救济以及行业自律组织上的研究较少。无论是国内还是国外学者，均将其焦点放于完善以及设立专门的监管机构，对于事后的司法救济对策研究、行业自律组织建设研究较为匮乏。并且，在立法和行政监管研究上，研究不够深入，全面，细致。

总而言之，国内外研究往往仅仅针对人脸识别技术的某一方面展开分析、研究，尚未做到全面分析，难以为人脸识别技术风险提供全面的保护，此外，对于人脸识别技术法律规制的对策，往往泛泛而谈，没有提供切实可行的具体对策。

　1.3研究意义（Research Significance）

　　1.3.1实践意义

目前，人脸识别技术已经广泛应用于生活的方方面面，如支付行业、商业银行、机场安检等，但是对于人脸识别技术风险的防范与救济措施，无论是立法还是行业自律组织上均缺乏明确的规定，由此导致用户对于诸如“人脸识别技术第一案”等侵权行为，或救济无门、或难以全面救济，既严重侵犯了个人权利，也阻碍了人脸识别技术的进一步发展。本文通过研究，详细分析了人脸识别技术风险的特点及其成因，从而从立法、行政、司法以及行业自律组织四个方面，为人脸识别技术风险提供了全面、详细的应对措施，既为人脸识别技术风险的防治提供了具体应对措施，也为企业应用人脸识别技术的边界提供了现实指引，助力人脸识别技术的广泛应用和发展。

　1.3.2理论意义

尽管我国学者在人脸识别技术法律规制上已经有了部分研究成果，但相对于人脸识别技术现在所显现的风险来说，我国目前对此研究力度仍需加大。整体来看，在人脸识别技术法律规制研究上，我国缺乏系统性研究、研究数量较少，缺少整体把握、全面分析的研究成果。从现有研究文献来看，学者们尽管已经逐渐意识到了人脸识别技术的风险问题，但是大多数文献论证不够充分，尽管有部分学者针对具体案件进行了分析，但是分析不全面、深刻。本文从人脸识别技术的定义、特点出发、结合部分实践案例，进行理论升华，总结了人脸识别技术风险的成因以及类型，并积极探寻域外经验，以期提供全面、详尽的风险应对建议。

　1.4研究思路与研究方法（Research Ideas and Research Methods）

　　1.4.1 研究思路

本文大体上遵循“提出问题”“分析问题”“解决问题”的研究思路。首先，从人脸识别技术的定义和特点出发，介绍人脸识别技术的应用场景，提出人脸识别技术应用可能存在的风险类型。其次，通过研究，深入分析人脸识别技术的成因。最后，通过分析借鉴域外相关法律规制经验，总结规律，结合风险成因，从立法、行政、司法以及行业自律组织四个方面提出对策与建议。

　1.4.2 研究方法

（1）文献调研法：利用中国矿业大学图书馆中的多个中外文数据库检索相关资料，包括世界各国关于人脸识别技术、个人信息保护的立法现状、学术研究进展及相关的司法判例，通过文献调研的方式，全面了解人脸识别技术在各国的发展及相关研究状况。

（2）比较研究法：由于我国尚无对人脸识别技术的专门立法，本文通过对域外相关立法的对比分析，结合我国现状，试图为我国人脸识别的法律规制提出可行对策与建议。

（3）案例分析法：查找国内外有关人脸识别技术的典型案例，通过案例分析，归纳总结案件的争议焦点并进行分析，得出人脸识别技术风险防范应当关注的重点问题。

　1.5重点、难点与创新点（Key points, difficulties and innovations）

　　1.5.1 重点

本文重点在于分析人脸识别技术的特点，并通过总结分析，类型化人脸识别技术的风险类型，进一步理论升华，探寻人脸识别技术风险可能的成因，并在此基础上，提出相应的因应性对策与建议。

　1.5.2 难点

本文研究难点主要存在三方面：其一，现有研究文献较少，参考资料不全面。因人脸识别技术属于新兴科技，所以对此研究尚处于起步阶段，许多参考文献难以寻找，对研究造成了一定难度；其次，本文对于域外国家人脸识别技术研究较少，对于其经验因基本国情的差别，对于相关建议，其可行性有待考察；最后，以往研究往往抓住人脸识别技术的某一个点进行深入研究，本文力图从整体、全面把握人脸识别技术的全面可能引发的风险问题，此种研究目的对于资料的搜集整理概括能力提出了更高的要求，增加了研究难度。

　1.5.3 创新点

本文的创新点是：第一，研究问题新。人脸识别技术作为新兴科学技术的一种，目前我国对此研究文献较少，国内学者对此研究亦尚未深入，作为兴问题，十分具有研究价值。第二，研究视角新。对于科学技术的风险防范问题，一般采取完善科学技术以应对科技风险，本文并未落脚于科学技术的完善，而是主张通过立法、司法、行政等法律规制手段，从管理上对其风险进行管理。第三，研究观点新。本文研究并不仅仅局限于法律研究，而是将视野放于人脸识别技术的风险防范，采取“问题导向”思维，提出在人脸识别技术的法律规制上，也应当加强行业自律组织的建设，通过完善行业自律公约，为行政管理、人脸识别技术风险管理提供有益经验。

2人脸识别技术概述

2Face recognition technology overview

　2.1人脸识别技术的定义和特征（Definition and characteristics of face recognition technology）

　　2.1.1人脸识别技术的定义

早在20世纪60年代，美、日、德等国便对人脸识别技术展开了一系列研究，但因技术水平以及应用范围的限制，对其研究仅限于人脸特征识别算法和一些基本模式识别领域，尽管是一些基础性研究，但其在感知、认知以及心理学方面的探索，对当代人脸识别技术有着十分深刻影响。20世纪80年代初，人脸识别技术开始在弹性匹配技术、形状分离、灰度图像等方面展开研究，这一时期，人脸识别技术无论是在识别率还是应用场景上都有了显著进步，欧美等国已经可以将其投入某些初级应用。到20世纪90年代初，随着数据信息、算法、芯片工艺以及光成像技术的突破性发展，人脸识别技术的主要应用场景已然落地，并建立了众多商业人脸识别系统，随着人工智能的深度发展，人脸识别技术逐渐开始实现自主学习、主动识别的效果。21世纪以来，人们不断深入探索，提升硬件性能、改善软件算法、创新人脸识别方法，加之在大数据、深度学习、人工智能等理论的加持下，使得当前人脸识别技术达到空前热度和成熟度，基本可以实现快速、精准识别的要求，给人类生产和日常生活带来了极大方便。

所谓人脸识别技术，是通过收集自然人脸部信息，使用算法、算力等科学技术对面部表征进行精准分析，从而进行身份识别的一种可视化的识别技术。人脸识别技术首先借助摄像机、计算机成像技术来获取基础人脸图像数据库，之后应用生物统计学原理，凭借计算机技术的强大识别和储存功能，对数据信息进一步分析处理，提取专有信息，最后，通过构建数学模型，对数据信息进行对比分析，从而实现其身份确认或者身份查找的功能。科技的进步和社会各个层面发展的需求，使得人脸识别技术逐步实现行业化、商业化的高速发展。

　　2.1.2人脸识别技术的特征

(1)人身关系密切性

“这是一个看脸的时代”。相较于指纹识别、语音识别、虹膜识别等生物技术，人脸识别技术与人身关系最为密切，直接关系着自然人的肖像权。肖像权不仅仅关系着财产利益，更和精神利益直接相关。精神利益是肖像权的基本利益，主要内容，财产性利益是肖像权的派生利益、次要内容，两者既密切联系又相互独立。肖像权于自然人而言是至关重要的，但我们又不得不将我们的脸暴露于公共场所，无时无刻不处于“危险之中”，易受侵害。正是意识到肖像权重要但却又脆弱的特性，《民法总则》第110条专门列举：自然人享有肖像权。然而，在人脸识别技术的语境下，人们根本不需要专门配合人脸采集设备, 在没有意识的状态下人脸图像就被获取，人脸将会变成直接客体，使用者无时无刻不在收集、储存、记忆人脸信息，人类的肖像权随着人脸识别技术的发展，正面临着前所未有的挑战。

（2）识别过程自主性

从人工密码到手机短信、动态密码，再到指纹、虹膜、语音等生物识别技术，人类信息认证方式经历了一次又一次的改革创新，无一例外地朝着高效、便捷、安全方向迅速发展。然而，纵观整个信息识别方式的发展历程，不难发现，无论是何种认证方式或多或少地都需要人工参与，极大损害了客户的体验感，不免令人遗憾。

就现代生物技术而言，指纹识别需要主动按压，受到按压方向，按压力度的影响，虹膜识别需要将眼睛对准识别器方可精准识别，语音识别需要通过语言发声来进行声波识别。而人脸自动识别却可以最大程度地减少人工参与，带来更大的便利性。其自动识别功能的实现主要依赖于面部检测、定位和面部特征提取、识别两个阶段来完成，前者目的在于找到选取目标客体，后者实现特征提取，实现精准识别。就实际操而言，前一阶段可以在人工参与下进行人脸信息收集，但在大多数情况下，人脸信息的检测和定位是通过摄影技术等，自主完成的，而后一阶段，则主要依赖于算法、算力的发展。因此，就人脸识别技术而言，大多数情况下，无需过多的人工参与。正是基于人脸识别技术的这种自主识别特性所带来的便利，使其更容易被人们接受。

（3）风险防控复杂性

科技进步与全球化趋势是现代性风险的主要来源，然而，风险蕴藏危险、恐惧、不安的同时，也孕育了机遇、发展和突破，科技风险一边提醒我们如何采取有效的措施来面对由此引发的种种挑战，另一边又吸引我们探索这些风险所伴生的各种机遇。对科技的不充分了解、对科技本身所具有不确定性的质疑以及先前科技风险的所造成的余悸，使得当代风险理论往往异化、夸大科学技术所带来的风险。而忽视了其可以通过预警、监控等方式实现事前防范。但作为科技前沿的人脸识别技术，其所带的风险防控具有其特殊性、复杂性。

首先，人脸识别技术风险难以预见。人脸识别技术犹如一把双刃剑，带来机遇的同时也带来了风险，机遇使其合法，风险却又紧随其后。人脸识别技术的每一次合法使用都是一次从“合法”到“风险”的惊险跳跃。在“合法”使用的外衣之下，人脸识别技术的客体不知何时将面临“风险”，人脸识别技术风险随时可能发生。其次，人脸识别技术风险具有较强隐蔽性。人脸识别技术的非接触性、无需过多人力的参与，既使得其能够在众多生物识别技术中脱颖而出，却又是人脸识别技术风险的重要来源之一，在人脸识别技术时代，作为客体的人完全可能在毫不知情的情况下，被拍摄，大量人脸数据将会在本人不知情的情况下被收集、整理、出售、贩卖……最后，人脸识别技术风险不易管控。算法是人工智能发展的关键所在，作为人工智能的一种，未来人脸识别技术能够发展到何种程度，很大程度上依赖于能否在算法上取得进一步的突破。然而，大数据时代下，即便算法研究者没有歧视意图，依然可能产生算法歧视。麻省理工学院的一项研究显示，人脸识别技术对黑人和白人的识别率存在显著差异，肤色越暗，其错误率越高，就刑事犯罪领域而言，人脸识别技术将黑人误认为犯罪分子的概率远远超过白人。此外，互联网语境下的人脸识别技术风险防控，又具有了扩散速度快，传播范围广、危害后果严重的特点，使得人脸识别技术的风险防控变得愈加复杂性。

　2.2 人脸识别技术的主要应用场景与价值分析（Main application scenarios and value analysis of face recognition technology）

指纹、虹膜、静脉、语音等生物识别技术存在硬件成本高昂、操作流程复杂、精准识别度较低，并且多数需要目标对象主动参与，积极配合。与之相比，在人工智能技术不断突破算法、算力和数据瓶颈的背景下，人脸识别技术可以在无需自然人过多参与下，只依靠一台摄像设备便可自然、不易察觉、非强制、便利并精准识别目标对象本身特有的脸部信息。正是基于人脸识别技术的上述优势，其应用场景迅速拓展，全球市场规模高达达23.91亿美元，展现出巨大的发展潜力。目前，我国人脸识别技术市场规模达到4.4亿美元，人才储备位列全球第三，科技巨头们高瞻远瞩，纷纷扎堆布局人脸识别技术，依图科技深耕算法研发，商汤科技聚焦视觉研究，寒武纪专注硬件保障，就具体应用场景而言，大致可以分为两类：公益目的应用和私益目的应用。

　2.2.1公益目的应用及价值

日益成熟的人脸识别技术被广泛应用于智慧城市建设、刑事侦查、违法行为曝光、户籍查重、出入境识别、机场安检等XX治理、治安防控、轨道交通、医疗卫生、人口管理以及其他涉及社会公共利益的重要领域，极大地提高了XX执政执法能力，保重了社会安全、改善居民生活质量。

以刑事侦查为例，2018年6月，疑似涉嫌故意伤害致人死亡的在逃人员周某在某商场出现。利用人脸识别技术，通过人卡系统交叉比对和人工研判，结果均显示该人很可能为周某，经过现场盘查，结合其他认证信息，最终确认了其身份，最终成功抓获已潜逃5年的周某。我国人口众多，交通便利，人流量大，犯罪分子作案逃离后，难以缉拿归案的现象普遍存在。借助庞大的人口信息数据库，依据办案人员提供的嫌疑人照片或图像信息，通过人脸识别技术，形成众多视频源，通过对比分析，可按照相似度的高低顺序，迅速、及时地进行系列筛选，以供侦查人员扑捉犯罪嫌疑人行踪，极大降低了我国刑事侦查的工作难度。再以该技术在校园图书馆的应用为例，资源有限的前提下，校园图书馆往往仅对本校学生开放，学生一般通过学生卡进入、借书、归还。但学生卡存在遗失、忘记携带等的不便，并且因卡可与人可相分离的特性，往往发生盗用、冒用的风险，学校的图书往往是不知究竟何人在借阅，置图书于未知危险之中。人脸识别技术以其识别对象的唯一性、安全性、便捷性，在校园图书馆的使用中，学生随到随入，图书馆准确定位图书借阅者，不仅方便了师生，更保障学校图书资源的安全性。

　2.2.2私益目的应用及价值

随着人脸识别技术的应用，手机从密码、指纹解锁转向人脸识别智能解锁，银行从现场身份验证发展到人脸识别远程验证、人们不再满足于繁琐而复杂的手工修图，逐渐选择“一键人脸美颜”，人脸识别技术的商业化应用在给企业带来“低成本、高效率”的同时，也给人们带来了“更安全、更方便”的全新体验。此外，人脸识别技术也可以有效助力于企业合规性实践，减少道德及法律风险。

人脸识别技术以其“高效便捷、稳定安全”的特点，一方面，保障了企业和客户对安全的需求，另一方面，又有效提高了用户体验，因此逐渐为企业与客户所接纳。以商业银行为例，无论是传统的“账号+密码”认证方式，还是动态口令牌，都在存在遗失与被盗的风险，无法确保操作者是用户本人，而人脸识别技术所具备的不易被盗或伪造、不会丢失、遗忘等优势恰好可以解决这一系列难题，从而保障资金安全。与此同时，人脸识别技术可以实现人与机器的直接交互，为客户提供更加方便、快捷的服务，极大提高了金融服务的质量与效率。人脸识别技术的应用不但能够积极正面地促进企业发展，而且能够保障企业合规性经营，从而降低道德、法律风险，促进企业积极承担社会责任。以腾讯游戏《王者荣耀》为例，该款游戏因存在大量低龄玩家，被新华社和《人民日报》连续痛批八次，一度陷入道德与法律的双重危机。直至2018年，腾讯游戏开始使用人脸识别技术，加强对未成年人游戏时间的监控，使得该款游戏成功达到了网络游戏监管规范的要求，不仅使得腾讯游戏以其积极承担企业社会责任的形象获得社会一致认可，更为重要的是，通过创新管理方式，将人脸识别技术引入游戏监管中，为未成年人打造了健康的游戏环境。

3人脸识别技术的应用风险及其成因分析

3 Application risk of face recognition technology and its cause analysis

　　3.1人脸识别技术的应用风险（Application risks of face recognition technology）

科技是一把双刃剑。作为人工智能落地的前沿风口，人脸识别技术给人类社会带来福利同时，也存在种种风险。首先，脸部信息作为个人信息的一种，随意收集和分析，将会引发隐私风险；其次，算法的不确定性，技术处理的误差将会带来歧视风险；然后，数据的不合规使用，导致数据被盗、滥用，是数据安全风险的根源；最后，人脸识别技术的过度使用，存在将公民至于全场景的监视下，对公民自由产生威胁。

　3.1.1 人脸识别技术应用的隐私风险

人脸属于信息隐私的一种，一方面，人脸图像本身作为一种身份信息，可以用于身份识别，另一方面，通过数据挖掘算法和图像处理技术，可以从人脸信息中分析出他人的性别、年龄、种族、健康状况、性取向、情绪变化等多种信息。隐私风险问题，在人脸识别时代尤其值得关注和防范。

人脸是相对公开的。与指纹、虹膜、声纹相比，人脸特征属于“弱隐私”性生物特征，我们可以不伸出手指，以免暴露指纹，也可以不说话，防止声纹被盗，但却不能不以脸见人。我们的脸无时无刻不处于暴露状态，人脸识别技术所具有的识别过程自主性、非接触性、无需他人配合、同意的特征，使得人脸信息时刻处于危险边缘，难以确保收集者不会出于自我利益考虑，滥用人脸图像。例如，将人脸信息中所泄露的健康状况贩卖给医疗服务商，侵犯他人隐私，有媒体发现，人脸数据照片，8元即可购买3万张。在人脸识别技术以其唯一性创造安全感的同时，却难免侵犯隐私，在这样双重矛盾下，人们不停地自问：安全还是隐私？科技进步与隐私保护必须两者择一吗？

　3.1.2 人脸识别技术应用的歧视风险

与歧视对应，平等权是公民享有的一项基本权利，是指法律面前人人平等，每一个人都享有人格尊严权，在人格上一律平等，尽管因生理差异、民族差异或生理差异，允许合理差别，但不因种族、肤色、年龄、性别等差别而遭到区别对待是国际共识，平等反对歧视。人脸识别技术作为人工智能的一种，由其引发的歧视风险大体可以分为两类：人为歧视风险和科技歧视风险。

所谓人为歧视，是指在人脸识别过程中，操作者有意识的将某些或某类人的识别率调高或者调低，或有意识地输入特定的识别数据，造成识别歧视。如某国智能安防系统着重关注西班牙移动以及低收入黑人，在安防识别过程中，黑人以及西班牙移民的识别率较高，这意味着，相比于白人和其他移民，他们将会面临更多的临时检查与抽查，造成更多不必要的延误。再比如，通过人脸识别门禁或支付系统，分析用户的购物爱好和习惯，从而判断其购物特征，依此推荐不同产品或服务，同时给出存在明显差别的另一套价格标准，这种价格歧视现象又称“大数据杀熟”。该种歧视是人为的，本质上是人的歧视，人脸识别技术是人为歧视的工具。加之算法的高科技性、复杂性，它不是普通公众所能理解的，因此，在人脸识别技术使用过程中，看似我们在使用人脸识别技术，而实际上，我们仅仅是一个被动识别的客体，对于人脸识别计算的算法、运作过程、以及后果，一无所知。所谓科技歧视，主要是指算法歧视，该歧视并非有意而为之，而是指算法在自主学习过程中，基于数据偏差或其他技术原因，自然而然的产生的歧视风险。国内有部分学者认为，技术是中立的，其本身无“好”“坏”之分。但该观点是指的商榷的，现代研究不断发现，即使设计者、操作者没有歧视的意识，人脸识别技术本身也可能进行一系列不合理的差别对待。正如哲学家凯文·凯利所言：“人类在机器设备上设定自然逻辑之时，也把技术逻辑带到了生命之中……机器人、人脸识别技术等人类产品越来越具有生命属性”算法依赖数据，数据又是社会文化的镜像，虽然从道德上讲，歧视并不高尚，但它却从未在人类的意识中缺席过。麻省理工学院的一项研究显示，人脸识别技术对黑人和白人的识别率存在显著差异，肤色越暗，其错误率越高，就刑事犯罪领域而言，人脸识别技术将黑人误认为犯罪分子的概率远远超过白人。尽管世界已普遍承认男女平等、种族无优劣，也毫无证据表明，使用这有意而为之。

　3.1.3 人脸识别技术应用的数据安全风险

尽管隐私风险大多数时候表现为个人信息的泄露，为外人所知，处于非私密状态，表现为个人数据信息的非安全性，但隐私安全绝不等于数据安全，尽管有部分重合，但它们之间也存在着天壤之别。就法律而言，隐私权主要包括两个方面内容：一是自然人依法享有私人生活安宁权，即个人生活不被打扰，如私人住宅他人不可随意进入；二是个人私密信息安全，即自然人享有财产状况、健康状况、社会关系等个人信息不为他人所知的权利。隐私权的核心特点在于非公开性、私密性，其核心权能在于自然人享有对自己隐私，按照自己的自由意志进行支配的权利。这就意味着，公开的并不属于隐私的范畴，自然人可以准许和不准许他人知悉自己的隐私，准许他人知悉，就包括准许不特定地大多数人知晓，比如脸部信息，我们从未见过一个正常人，一直带着口罩，遮住自己的脸和这个社会进行交往，在某种程度而言，我们是允许他人知晓我们的脸部信息这一个隐私的。但与此同时，我们默认允许他人知晓的同时，却并不意味着他人可以随意收集、储存和使用，在这一过程中，未经同意的随意收集、储存和使用毫无疑问侵犯了他人的隐私权，但在人脸识别时代，该技术在各个方面渗透我们的生活，为了生活的便利。我们在享受科技成果带来的便捷，难免将会默认他人的特定目的的收集、储存和使用，而此时，信息暴露是自然人自由意志的体现，脸部信息更多的不再属于隐私，我们将面临的也不再仅仅是隐私风险，更多的风险在于人脸数据信息安全风险。

首先，从数据收集环节来看，人脸识别技术具有无意识性和非接触性的特征，可以远距离、长时间不间断的获取个人脸部信息，但对于信息的获取，往往是在用户无意识下进行的，并未征得被收集人的同意，属于非法收集。此外，对于部分看似征得了信息主体的同意，但对于信息的使用范围、目的以及后续处理等情况，用户无法得知，该种情形下的同意，很难认定为有效的同意。

其次，从数据保管环节来看，一旦人脸识别技术企业没有妥善保管脸部数据信息，将会导致脸部数据信息大规模泄露的问题，即便是采取了合理保护措施的企业，依然可能面临黑客入侵导致数据泄露的风险。脸部信息具有唯一性、稳定不变性，一旦泄露其危害是不可逆转的。此外，数据作用的发挥在于流转，脸部信息使用过程中必然需要进行多次利用，不断流转，当下人脸识别技术尚未制定市场准入标准，人脸识别技术行业企业资质参差不齐，其数据保管能力也存在一定的差异，在此背景下，对于如何保管脸部数据信息、防范数据安全风险，便显得尤为重要。

最后，从数据使用环节来看，企业收集脸部数据信息之后，对于如何存储以及如何使用，缺乏透明度，由此，导致脸部数据信息滥用风险极高。企业一旦收集到脸部信息，将可以无限制、无条件、不为人知的尽情使用，用户对此一无所知，必将严重侵害用户的个人信息权。

　3.1.4 人脸识别技术应用的自由风险

当我们关注人脸识别技术给我们生活带来便利、安全、快捷，将注意力关注于其引发的隐私风险、歧视风险以及数据安全风险时，往往有意或无意地忽视人脸识别技术可能给公民自由带来的威胁。人脸识别技术的过度应用正一步步地将公民日常生活置于“全景敞视监狱”之下。2018年11月，X民主党7名众议院成员针对人脸识别技术的准确性提出质疑，并提出，公民可能因出于对人脸识别技术的恐惧，不再愿意积极参与公共场合举行的游行、示威、集会、抗议、宗教等活动，甚至不再有勇气在公共场合发表言论，严重扼杀《第一修正案》赋予X公民在公共场合行使言论及行动自由的权利。

近代意义上的自由，既是对权利的伸张，更是对权力的限制，就法律自由而言，是指公民在国家权力允许的领域内，有按照自己的想法进行活动的权利和自由，是受法律约束并得到法律保障的。然而，当我们发现，如今我们正处于大数据共享、开放且智能的时代，在人脸识别技术的广泛应用下，每一个社会个体都处于“上帝视角”的监视之下，还有何种自由可言？在人脸识别技术语境下，自由风险主要来源于两方面：是否使用人脸识别技术的自由以及使用人脸识别技术之后，公民是否还能享受自由？首先，我们是否有权拒绝使用该项技术呢？答案是肯定的。我们可以基于自由意志选择使用一件产品也有权利拒绝使用任何一件产品，这是自由最基本的含义。然而，该技术的非接触性、无意识性，正迫使我们被动使用着，这一过程是侵犯隐私、个人信息的表现，更是侵犯自由选择权的行为。此外，当人脸识别技术的隐私风险、歧视风险以及数据安全风险不可避免时，而人脸识别技术又涉及生活的方方面面，我们是否还有选择权呢？君不见，当微信支付和支付宝等便捷支付方式成为大多数人的普遍选择之时，部分商店竞公然打出只接受微信或支付宝支付，那么那些不会使用智能手机的老人们又该何去何从?当技术风险真实存在且不可避免时，我们是否还有权利拒绝使用人脸识别技术，继续选择传统的安全识别方式，并且还能够保持现有的便捷性，而不遭到歧视或区别对待呢？这是一个值得思考的问题！其次，在人脸识别技术普遍使用的时代，随时随地可能被记录的不仅仅是我们的脸部信息，还有通过脸部信息分析出的一系列个人信息，试问，若我们的每一次谈话、每一次行动、甚至每一个思想都面临着被记录，留待检查的话，那么交往自由、言论自由、行动自由甚至思想自由又从何谈起？我们所有的选择都基于我们所处的社会背景、文化背景、家庭背景、过往经验等，然而这一切都可以作为社会镜像，反映为数据，从而为人脸识别技术所收集，储存，借助人脸识别技术，很快XX和大型企业将会比你更加了解你“自己”，从而使得人类自由前所未有的面临来自科技的威胁。

　3.2人脸识别技术应用风险的成因分析（Application risks of face recognition technology）

作为人工智能的一种，人脸识别技术和众多科技一样，充满了复杂性和不确定性，风险中伴随着机遇，机遇中蕴藏着风险。控制和预防人脸识别技术风险最理想的做法莫过于事先建立良好的监控和预警机制，事中进行动态规制和修正，事后积极进行补偿和救济，集规范性、预见性、强制性、普遍性、救济性于一体的法律防范无疑是最显效的方式。然而，我国从立法、执法、司法各个环节却都没有为迎接人脸识别技术风险做好充足的准备。

　3.2.1 回应型立法的缺失

在《转变中的法律与社会：迈向回应型法》一书中，诺内特等人以历史发展的视角，将世界现存的法律类型大致分为压制型立法和自治型立法，并预测，未来立法将迈向回应型立法。所谓回应型立法，是指通过观察法律所调整的对象，通过分析、预测其需求和愿望，通过立法的方式，规范其发展，保持其活力，将风险、损害、破坏最小化的一种立法方式。简而言之，回应型立法是以社会需要和愿望为中心，促进调整对象正面效益最大化，负面效益最小化的一种开放性、灵活性立法类型。在诸如科学技术这种具有“双重性”调整对象上，回应型立法体现的最明显，然而，在人脸识别技术问题上，此种回应性立法无疑是缺失的。

从立法现状来看，我国关于生物信息的法律规范存在缺乏专门立法、立法延后、规定分散等缺陷。我国目前并不存在关于生物信息的专门立法，对生物信息的法律保护主要集中于《信息安全技术个人信息安全规范》、《网络安全法》以及民法、刑法、行政法、经济法中关于个人信息的分散性规定。尽管《个人信息保护法》、《数据安全法》、《密码法》已纳入立法规划，但其立法进展却十分缓慢，距其颁布和生效，道长且阻。现行立法中，有关生物数据信息规定最为全面的要属《信息安全技术个人信息安全规范》和《网络安全法》，但前者仅仅是全国信息安全标准化技术委员会发布的部门工作文件，属于部门规范性文件，而后者尽管于2016年11月颁布，2017年6月已正式实施，但面对高速发展、日新月异的现代技术和网络，该法在很多方面早已难以适用，呈现出严重的滞后性。在刑事、民事、行政领域，尽管存在近40部法律、30多部法规、超过200部规章，但相关规定极为分散，难以形成合力，其对个人信息的保护效果可想而知。此外，从具体内容来看，对行业自律组织的监管和激励措施立法不足，歧视性、准确性等关键性标准尚未建立，规制措施大多停留在原则、指导、建议层面，具体措施没有明确规定等问题，预示着我国与人脸识别技术相关的立法还有很大作用空间。另外，现行法规关于公民针对面部信息享有何种权利、非信息主体应当承担何种义务并无明确的法律规定。

　3.2.2 行政监管乏力

人脸识别技术风险具有内容复杂性、高度不确定性、后果极端性等特征，其风险规制的关键在于实现风险承担与效益之间的动态平衡。行XXX涉及我们日常生活的方方面面，以“追求效能及经济效益最大化”为价值取向的行XXX，依其性质，最适用于风险防控，依法防控科技风险、保障公民权益，亦是行政机关履行公共管理职能的基本要求。科技带来风险的同时也为XX治理模式创新与改进提供了充足机会，XX应从根本上适应风险与变化正在成为共识。人脸识别技术能否实现风险最小化、效益最大化，关键在于行XXX力能否依法行政、实现主动监管，达到动态调控的目的。

一般认为，行政监管在人脸识别技术时代，要发挥其应有的作用，至少应当转变管理理念、建立持续动态监管制度、提高执法队伍建设，完善风险治理体系。然而，观察我国现行行XXX力的运作方式，结果是让人遗憾的。首先，在人脸识别技术进一步驱动经济发展的同时，注重科技经济的行XXX力，能否做到科技理性，是值得怀疑的。其次，行XXX力遵循依法行政，在立法匮乏的背景之下，行政不作为变得理所当然，能够有效控制人脸识别技术风险的动态、持续监控体系尚未建立。再次，基于我国分散型的立法模式，对于人脸识别技术缺乏专门的监管机构，其中人脸识别技术网络问题属于网信办监管范围、刑事问题则由公安机关侦查、违法经营又归工商行政部门管理，这种多头监管、九龙治水的局面，也是人脸识别技术行政监管乏力的重要原因。最后，对人脸识别技术的行政监管并非宽松或加强之间的简单选择，而是对行政机关应对和处理风险能力的又一次重大考验，但与监管难度不匹配的是，目前风险治理体系具有明显的滞后性，相关的行政机关及其公职人员也未能实时更新和加强应对科技风险的能力，面对许多人脸识别技术的相关问题，行政机关一筹莫展，甚至并未意识到风险正在慢慢逼近。以ZAO事件为例，2019年8月，现象级人脸识别应用 ZAO从火爆到爆黑仅仅用了几天时间。ZAO通过“霸王条款”，增加用户责任、减少自身责任、使之实际上能够无风险地拥有获取、使用、转售包括用户脸部信息等众多人身信息的权利。尽管存在诸如信息风险、隐私风险以及其他众多风险问题，但该款APP至今仍旧可以无障碍的下载、使用，对其行政监管，仅有工信部的约谈措施，并不存在任何行政处罚，哪怕是责令改正等警示性的行政行为。最后迫使ZAO作出改变，修改用户协议的，与此说是行政监管的功劳，不如说是公民权利意识的觉醒，行政监管的乏力可见一斑。

　3.2.3 司法救济滞后性

司法救济分为刑事司法救济、行政司法救济以及民事司法救济，理论上，司法救济包括以上三方面，但事实上，一方面，因该技术属于新兴人工智能，对其所蕴藏的刑事和行政风险认识不够。另一方面，该技术具有双重性，以刑事制裁这种严厉的方式，将会严重阻碍其发展，甚至将其扼杀在摇篮，而行政救济基于法律传统，本就属于较少发生的诉讼类型，此外，在建设法治国家，践行依法行政的理念下，XX治理方式有了很大改善。因此，笔者以“人脸识别”作为检索条件，在中国裁判文书网尚未发现相关案例，也未检索到相关报道，由此可见，人脸识别技术方面的刑事和行政司法救济目前尚不存在，现实社会中，必然存在其发挥作用的空间，但实际上却并不存在相关案例，司法救济的不足与滞后是其中的一个原因。因此，与人脸识别相关的司法救济往往发生在与公民日常生活息息相关的民事领域，本文也主要以民事领域为例，来说明人脸人别技术中司法救济存在的缺陷。

以“人脸识别第一案”为例，浙江理工大学特聘副教授郭兵购买杭州野生动物世界年卡一张，约定自2019年4月27日起的1年内，郭兵可以通过年卡及指纹不限次数入园，6个月后，被告知需要凭借人脸识别以及年卡才能入园，郭兵基于《消费者权益保护法》第29条，以被告未经消费者同意擅自收集公民面部为由，提起诉讼，要求赔偿。在人脸识别技术无需过度增加用户负担，刷脸即可，甚至为用户提供了更加便捷、高效的服务之际，郭兵依旧提起诉讼，毫无疑问，他所担忧的是人脸识别技术收集脸部信息可能导致的数据安全问题以及隐私泄露问题。也正是基于此，他提起诉讼依据的是以保护个人信息为目标的《消费者权益保护法》第29条。那么对于人脸识别技术所引发的数据安全、隐私等风险，民法上存在何种救济手段呢？首先，从违约角度来看，原告可以提起违约之诉，以对方违约为由，从而拒绝使用人脸识别技术。此种方法仅仅是以违约之诉为手段，间接地保护了数据和隐私安全。其次，从侵权角度来看，一方面，基于《消费者权益保护法》，原告可以以被告未经同意，强制收集、使用脸部信息为由，要求其承担违约之诉，另一方面，原告也可以《民法总则》第111条赋予的公民个人信息权，来主张被告承担侵权责任。但分析这两种保护路径，不难发现。违约之诉，其提供的保护是间接性、涵射性的，并以存在相关约定为前提。以《消费者权益保护法》为法律依据的侵权之诉中，其保护范围限于消费者购买和使用商品或接受服务过程中产生的侵权行为，并未对个人信息权利形成完整的确认，此外，以过错为提前的归责路径，在原被告双方知识背景、经济实力相差悬殊，人脸识别技术获取脸部信息又具有隐蔽性、技术性、复杂性等特点的情况下，难以切实保护消费者权益。基于《民法总则》提起的侵权之诉中，尽管明确了公民的个人信息权，但相关民事责任在《侵权责任法》《人格权编》均没有明确细致的规定。显然，我国对于人脸识别技术所引发的一些问题，司法救济问题上，存在着较大缺陷。

　3.2.4 行业自律组织尚未成熟

现代社会管理日益趋于网络化、自治化、多样化的复杂但又科学的治理模式，面对日新月异的人脸识别技术所引发的诸多风险，仅仅依靠具有严重滞后性、严谨性的法律法规和行政监管，便显得有些力不从心了。因此，转变国家治理观念和方式，整合行业内部核心力量，以科技向善作为治理目标，强化人脸识别生命周期全过程监管，通过安全、可靠、高效、便捷的产业链推动人脸识别技术行业的健康发展，显得尤为重要。一方面，该技术的实际使用主体大多数是企业，企业通过人脸识别技术与一般社会群体接触最为密切，由其作为人脸识别技术的守护者是最合适的；另一方面，企业作为科技的研发者、创造者、使用者、利益获得者，对于人脸识别技术所引发的风险，理应承担相应监管责任，此外，经济实力强大、科研力量雄厚、数据信息全面的企业有能力在人脸识别技术风险防范中发挥其关键性作用。

以IEEE为例，其组织业内行业组织，至今制定超过1300余项电子与信息科学标准，其中包括许多国际通用的生物信息标准，极大的促进了电子信息行业的安全、稳定、有序、健康发展。再以我国中国支付清算协会为例，2020年1月，为规范人脸识别线下支付（以下简称刷脸支付）应用创新，防范刷脸支付安全风险，保障企业合法权益，维护社会公众利益，中国支付清算协会发布《人脸识别线下支付行业自律公约（试行）》，即日起实施。在国家法律法律尚未制定的当下，行业自律组织率先行动，不仅有利于人脸技术行业的发展，更为未来制定法律法规和国家监管提供了有益经验和探索。然而，就我国目前人脸识别技术相关行业自律组织而言，存在较大缺陷。首先，相较于人脸识别技术的企业数量，加入行业协会并严格遵循协会制定安全标准的企业占比较少，行业标准不存在法律强制力，在行业企业之间难以得到贯彻落实。其次，行业企业标准由该行业的相关核心企业自行制定，以盈利为首要目标的企业，由其制定的行业标准，无疑是以维护自身利益为首要目的，行业自律规范，处处掺杂着企业私利。最后，相较于国家法律法规的制定而言，行业自律组织囿于本身经济实力、制定规范能力等的客观限制，其制定的行业规范本身存在着较大缺陷，难以完全为行业健康发展，提供指引。

4域外人脸识别技术的法律规制现状及其启示

4Legal Status and Enlightenment of Extraterrestrial Face Recognition Technology

人脸识别技术发轫于西方，最早的制度性规制措施也源于此。其中欧盟以整体严格控制的调整手段，X以去中心化的各州自由规制，暂不制定联邦统一法案的方式，分别对人脸识别技术进行规制。此外在具体的制度措施上，欧盟、X均确定了知情同意、数据合规使用、赋予公民诉权等措施，在人脸识别技术的法律规制上，走在了世界前列，值得学习和借鉴。

　4.1 欧盟人脸识别技术的法律规制（Legal Regulations of EU Face Recognition Technology）

在人脸识别技术规制方面，欧盟整体上持严格限制使用的态度，据欧联社报道，欧盟近期正在研商在接下来的五年内禁止在公共场所使用人脸识别技术。欧盟在立法模式上采取统一、专门立法的立法模式，其中2018年5月在全欧盟范围内生效的《通用数据保护条例》（General Data Protection Regulation, 简称“GDPR”）被称为最严个人信息保护法案。

在具体内容上，欧盟人脸识别技术的法律规制具有如下特点：（1）严格规定该技术合法使用的方式。GDPR第6条明确规定了包括数据主体同意、为了履行法律义务、为了公共利益等六种方式。（2）对于该技术的应用，欧盟持积极态度，区分不同场景适用人脸识别技术。GDPR第6条和第10条规定，在执行维护公共利益任务或履行XX职权以及侦查犯罪时，可以处理个人数据。（3）该技术对个人信息的处理，严格以数据主体同意为要件，并且赋予个人数据主体拒绝权。GDPR第7条明确要求数据主体需要同意，且该同意必须是书面、明确、显著的，并且允许撤销的同意的存在，撤销同意要求和同意使用一样便捷、有效。GDPR第21条规定个人数据主体可以自由行使拒绝权，对于个人数据主体的拒绝，任何数据控制者都应当予以尊重。（4）禁止特殊数据的收集和使用。GDPR第9条规定，对揭示种族或民族出身，政治观点、宗教或哲学信仰，以及能够识别具有自然人唯一特质的基因数据、生物表征数据，人们的有关性生活或性取向的数据的处理该当被禁止。（5）要求数据控制者使用数据过程透明、且需要积极与数据主体沟通。GDPR第12条要求数据控制者使用数据过程要透明，并且随时和数据主体交流，获得许可。（6）GDPR还要求，如果人脸识别技术很可能对个人的权利与自由造成侵害的话，需要进行数据保护影响评估，并要求对数据进行脱敏化和匿名化处理，采取更加严格的数据保护措施。（7）GDPR虽然在欧盟中具有普遍效力，但其允许成员国作出例外规定。GDPR第9(4)条容许欧盟各成员国在一定情况下不适用GDPR中对处理生物识别的数据的限定。（8）司法实践中，严格查处违法行为。比利时当局针对2000名员工的生物识别数据（指纹）泄露展开调查，瑞典以某学校使用人脸识别技术不符合GDPR第9、35、36条的规定，对其处于高达2000欧元的行政罚款。

　4.2 X人脸识别技术的法律规制（Legal Regulations of American Face Recognition Technology）

与欧盟对人脸识别技术的规制路径不同，X采用的是一种较为自由的立法模式，在联邦层面不存在限制面部识别数据的使用的相关规定，而是赋予各州自由裁量权，由其自行对各领域形式其认为合适的规制。但这并不意味这X对人脸识别技术是持完全的宽松、放任的态度，尽管联邦层面没有统一立法，但在州层面上，立法规制相当严格。

各州对人脸识别技术的规制实践上，具有如下特点：（1）在公共领域方面，部分州限制XX部门使用人脸识别技术。加州旧金山市以“相较于人脸识别技术对公民基本权利和自由可能造成的威胁而言，其所带来的利益微不足道”为由，禁止XX部门使用人脸识别技术。此外，马萨诸塞州萨默维尔市、加州奥克兰市也以类似理由，限制XX部门在监控领域上使用人脸识别技术。马萨诸塞州的萨默维尔市议会曾经使用投票的方式禁止当地公安和市政部门使用相关的面部识别软件，还禁止在有关刑事案件或法律诉讼中使用人脸识别软件系统产生的数据或证据。（2）在商业领域方面，允许特定领域使用人脸识别技术。在商业领域，X部分州允许将人脸识别技术运用于面部信息抓拍，收集、使用与分享个人信息，但针对欺诈性贸易行为和不公平贸易行为将会进行严厉处罚。（3）在允许人脸识别技术使用的领域内，各州对其使用方式进行了严格的限制，其中，伊利诺伊州、德克萨斯州、华盛顿州通过专门立法来规范生物识别技术的商业应用。伊利诺伊州颁布《生物信息隐私法案》（Biometric Information Privacy Act, “BIPA”），要求企业在使用人脸识别技术之前，需要制定生物数据收集、储存、以及销毁的相关政策并对外公开；收集时需要征求数据主体的同意并说明目的和使用期限，同意必须是书面的；此外，该州明确禁止售卖、除执法或者数据主体同意外，严禁披露相关生物信息；最后，伊利诺伊州以立法方式明确赋予公民诉讼权，过失抑或故意均需要对数据主体承担赔偿责任，其中故意侵权的，需要赔偿每一位原告5000美元。德克萨斯州在上述规定之外，还要求雇主收集、使用员工生物信息的期限不得超过雇佣期。华盛顿州也明确以同意作为使用人脸识别技术的前提条件。

4.3域外法律规制的启示与借鉴意义（Enlightenment and References of Extraterritorial Legal Regulations）

法律移植不仅是可能的，而且是必须的，从古代、中世纪到近代，法律移植的例子不胜枚举，当代法律不断完善的过程中，法律移植也是广泛存在的现象和主旋律。欧盟、X人脸识别技术法律规制的成功经验，至少给了我们以下四个方面的启示，值得借鉴：

首先，在人脸识别技术尚未成熟时，可以先采取区分场景适用的方式，稳步推进。在人脸识别技术尚未成熟时，欧盟采取限制其使用范围，只有在法律规定范围内的使用才是合法的，同时，区分不同场景适用，在公共利益上，允许使用，在商业利益上存在较多的限制。尽管X多个州限制XX使用人脸识别技术，但该禁止性规定仅仅是为了保护公民的自由和基本权利，言外之意，在保证该前提下，是允许使用的，如伊利诺伊州明确规定执法构成披露信息的原因之一。在商业利益上的使用，X和欧盟一样采取了严格限制的态度。

其次，充分尊重用户的自由意志。无论是欧盟要求使用脸部数据信息时，需要获得数据主体书面、明确、显著同意，并赋予数据主体拒绝权、撤销同意权，要求数据控制者使用数据过程透明，积极与数据主体沟通，抑或是X伊利诺伊等州要求收集数据时需要明确的书面同意，说明使用目的及期限，无不体现出对公民自由意志的尊重。面对风险重重的人脸识别技术，充分尊重用户的自由选择权是至关重要的，包括是否选择使用以及选择使用后，面对风险，自由选择是否撤销选择的自由。

此外，对于特殊数据以及基于特定目的，划定人脸识别技术使用的“禁区”。欧盟规定，对揭示种族或民族出身、政治观点、宗教或哲学信仰、性取向等方面的数据应当被禁止收集，X各州因顾及人脸识别技术可能对公民自由以及基本权利造成损害，严禁XX部门使用人脸识别技术。基于对该技术歧视风险、自由风险等的考量，在风险不可控或者弊大于利领域，严禁人脸识别技术未尝不是一种理性选择。

最后，通过严格惩罚措施以及赋予公民诉权的方式，对公民权利进行救济。欧盟成员国瑞典对于不符合GDPR规定的行为，以高额的行政处罚进行威慑。X伊利诺伊州则率先赋予公民诉权，并且故意或者过失均需要对受害人进行赔偿。“没有救济，就没有权利”，严格的行政处罚对于新兴事物或许也存在一定阻碍，但对于其稳步发展未尝也不是一件好事，此外，赋予公民救济权利，既是对公民基本权利的尊重，亦是促进企业积极承担企业责任的良好方式，对于促进该技术积极健康发展无疑是有益的。

5我国人脸识别技术法律规制的对策与建议

5 China’s Face Recognition Technology Legal Regulations and Suggestions

人脸识别技术风险不属于单一风险，而是多种组合的复杂风险，从其风险成因以及域外经验来看，对人脸识别技术风险的规制不能仅仅依靠单一的手段，而是要从立法、行政、司法以及行业自律组织四个方面对其风险进行全面控制和防范。

　5.1完善立法保护（Improving legislative protection）

　　5.1.1采用“专门+分散”立法模式

在立法模式的选择上，欧盟在整体上对生物识别数据的使用进行严格的限制，但同时赋予其成员国一定的自由裁量权，并在欧盟全体成员国内颁布对人脸识别技术进行全面规制的专门法案《通用数据保护条例》。X则采取的比较自由的方式，不在联邦层面限制面部识别数据的使用，赋予各州极大的规制自由裁量权。但诸如伊利诺伊州、德克萨斯州、华盛顿州均通过专门立法来规范生物识别技术的应用。简而言之，无论是欧盟还是X，均对人脸识别技术进行了专门立法，并且其立法位阶较高。

反观我国，尽管2020年3月6日国家市场监督管理总局、国家标准化管理委员会发布《信息安全技术个人信息安全规范》，对生物信息的利用进行了专门的法律规制，此种顺应时代发展，采取专门立法规制的方式，是值得肯定的，但在法律位阶上，该规范仅仅是部门规范性文件，对于人脸识别技术时代的信息保护显然是不够的。为此，我国应当加快对《个人信息保护法》、《数据安全法》等专门个人信息法律规范的立法进程，但与此同时，我们也不应忽视《民法总则》、《消费者权益保护法》、《网络安全法》中分散性立法在维护公民信息上发挥的重要作用。我国未来可以走一条不同于欧盟和X的中国特色立法道路，即在《个人信息保护法》、《数据安全法》等专门立法的总领下，在《民法总则》、《消费者权益保护法》、《网络安全法》中完善相关分散性立法，借助“专门立法+分散立法”的模式，形成对包括脸部信息在内的个人信息保护的合力，共同维护我国个人信息应用的安全、高效。

　5.1.2确立相关基本原则

基本原则是法律规范的社会和经济基础，贯穿于立法、执法和司法全过程，是具有普遍效力的指导思想和基本准则。因此，在立法上首先确立个人脸部信息保护以及风险防范的相关基本原则是至关重要的，笔者认为，我国应当在人脸识别技术时代至少确立如下三个基本原则。

第一，知情同意原则。用户知情同意不仅反映了对公民自由意志的尊重，而且也是风险防范、风险最小化的重要手段。知情同意原则首先要求企业告知人脸识别技术的使用流程，用户风险，让用户尽可能的知晓与之相关的全部信息，明确用户和企业各自权利义务，使得企业与用户之间信息对等，方便双方均能够基于自由意志作出符合自身利益的准确判断。此外，基于企业和用户之间天然的经济实力、科技能力的不对等，为避免概括性授权和僵化同意模式，使得知情同意原则流于形式，应当让企业在保障知情同意原则上承担更多责任，比如，企业必须获得用户书面、明确的同意，必须让用户知晓同意内容及其风险，同意必须符合监管机构要求的标准和行业习惯做法，并且允许数据主体随时行使撤销权。

第二，准确透明原则。准确透明原则不仅包括透明性原则还包括准确性原则。透明性原则是指人脸识别技术使用者必须向数据主体及时、准确、全面地公布数据收集、储存、应用、流转、使用目的、范围以及销毁的全过程，尤其是在大数据时代信息频繁处理和多次利用的需求下，要求企业建立持续的信息披露，保证用户及时了解与自身密切相关的风险问题，做好风险应对措施。所谓准确性原则，是指人脸识别技术使用者必须使用“人工+技术”手段，尽可能保证数据的准确性，是对数据处理质量上的要求。首先，在人脸识别技术使用过程中，在技术操作层面上，对于种族、性别、性取向等敏感数据信息在技术上进行标识、不予收集，无意收集的立即销毁。其次，对于不可避免的技术漏洞，需要人工参与，此外，在作出法律认为“产生重大后果”的重大决定的情况下，必须由人类进行审查。

第三，狭义比例原则。任何事物均存在风险，风险无法避免，而法律的意义在于规制和找寻技术上可以管理的哪怕是极低可能性的风险和灾难的每一个节点。对于人脸识别技术而言，狭义比例原则，是指人脸识别技术的使用全过程必须符合法律目的、符合用户利益，对于违法行为，其监管措施和手段也要适当合理，在确实无法避免危害结果发生时，应当采取损害最小的方式。该原则是对数据保护手段与目的联系的考量，也是数据保护原则具化的标准，亦是实现多元价值或利益平衡的重要手段。人脸识别技术应用过程中，其科学技术性带来诸多不确定性，科学技术的不成熟产生许多非人为风险，在这种情况下，既要实现人脸识别技术的风险防范，又要实现效益获取，在科学技术不成熟的背景之下，以狭义比例原则作为价值指引，就显得十分重要。

　5.1.3立法上区分一般个人信息与敏感个人信息

人脸识别技术获得的个人信息大致可以分为两大类，一类为一般个人信息，比如位置信息、网购信息、行踪信息等，另一类为敏感个人信息，比如种族信息、性倾向、健康信息等，加强敏感个人信息的保护，促进一般个人信息的流通和利用是实现人脸识别技术时代个人信息保护与利用之间利益平衡的关键。[]人脸识别技术所产生的隐私风险、数据安全风险、歧视风险乃至自由风险在某种程度而言均是由于对敏感个人信息保护不利所致。因此，在立法上区分一般个人信息与敏感个人信息，从而采取不用态度是促进人脸识别技术健康发展的重要举措。

笔者认为，立法上，对于一般个人信息的利用，采取一般同意即可，对其利用不应存在过多的法律限制。与之相反，对于敏感个人信息的界定宜采取“静态列举+动态认定”的办法，实现全面保护。首先，对于已经属于普遍共识，属于敏感个人信息的，如性信息、宗教信仰信息、种族信息等，应当直接归入敏感个人信息，其次，对于哪些蕴含着歧视风险以及很可能侵害公民基本权的个人信息，也应当纳入敏感个人信息的保护范围。对于敏感个人信息的保护，原则上禁止收集和处理，在特殊情况下，如涉及犯罪侦查、起诉、审判和判决执行等直接相关的信息处理时，允许有条件的使用。

　5.2 加强行政监管（Strengthening administrative supervision）

　　5.2.1 完善行政监管体系

全面的制度性防范措施是完善行政监管体系，实现人脸识别技术风险防范的关键所在。第一，建立健全该技术的市场准入制度。人脸识别技术属于高科技领域，普通企业既没有足够的研发能力，也没有足够的风险防范能力，若放任企业自由进入，后果不堪设想，因此，在企业涉足人脸识别技术领域时，监管机构必须采取严格且公平的审查措施，去粗存精。第二，建立备案审查制度。人脸识别技术语境下的备案审查制度并不是指对数据主体数据的备案、储存，而是指企业征得用户同意，企业采取公开风险信息以及其他依据法定程序采取的相关措施的备案，以便在风险发生时，查证企业是否尽到合理注意义务，便于追责，也有利于监管机构对企业进行监督管理。第三，构建评估制度。人脸识别技术领域既是一个不断发展的领域，日新月异，也是一个充满风险的领域，因此，需要对其进行定期和不定期的评估，以此保证科技向善，同时，除了XX评估、第三方评估，企业同行评估也有必要纳入该制度，以便加强企业之间的技术交流，最大可能的保证最新科技成果的共享。第四，建立该技术的安全标准制度。人脸识别技术的高度科技性和不确定性决定了人脸识别技术安全标准建立的必要性，通过持续不断地更新人脸识别技术标准，规范企业合规行为，从而保障数据安全，防止人脸识别技术风险的发生。

　5.2.2设立专门监管机构

就我国现存人脸识别技术风险的行政监管而言，因监管工作缺乏明确的法律授权，加之有关部门对脸部信息的监管职责划分不明确，导致我国目前对脸部信息的监管处于多头监管的混乱局面。例如人脸识别技术涉及的网络问题由网信办管理，涉及的刑事问题又由公安机关进行侦查，若触及违法经营的问题，又属于工商行政部门的监管范围。正是这种看似监管部门众多，监管严密，却导致“主体虚化”，出现“真空地带”，行政监管反而不到位，因此，我国急需建立统一并且独立的监管主体，进行统筹管理。

我国当下应当及时建立人脸识别技术的统一监管机构——个人信息保护委员会。首先，尽管人脸识别技术收集和分析所得的相关信息仅属于个人信息的一小部分，但是对于个人信息整体而言，其保护价值和需求日益展现，因此，设立一个统一的个人信息保护委员会，不仅切实可行，而且也能够为人脸识别技术在行政监管上保驾护航，其次，类型化、专门化的监管方式，不仅是人脸识别技术高科技的需要，更是国际通用模式、未来的发展趋势，如英、法、德等国均采取“专门立法，统一监管”模式，效果显著。个人信息委员会的主要职责是：对企业信息进行登记核实、监督企业信息公开并对信息主体公开相关数据、建立和维护信息查询系统、监督数据处理活动、加强与企业、用户之间的信息沟通与交流，形成一个完整的体系网来保护信息主体的利益。个人信息委员会通过执行行政监管制度，事先制定安全标准，决定相关企业的进入和退出，事中对企业的信息处理情况进行定期和不定期的审查评估，事后通过违法公示制度，将企业列入黑名单，辅之以行政强制、行政处罚等监管措施，实现其惩处和威慑作用。

　5.2.3加大行政处罚力度

行政处罚的目的在于威慑，威慑的作用在于保护，威慑作用的发挥无疑需要适当的处罚力度。但我国行政处罚力度明显不足，甚至在人脸识别技术下，并不存在相应的行政处罚措施。以我国《网络安全法》为例，对于侵犯个人信息的，处以100万以下罚款，对直接责任人员处于1-10万元罚款，对ZAO违规事件，行政监管仅有工信部的约谈措施，反观欧盟《一般数据保护条例》，泄露个人信息的处于营业额4%或者2000万欧元罚款，X加州对侵犯隐私的行为，不仅需要向消费者赔偿750美元，更面临这高达7500美元的行政罚款。一味的严惩是不可取的，但是对于故意以及重大过失行为，行政监管仍处于保守地位的话，其危害性不亚于一味严惩，因此，对于利用人脸识别技术故意或者重大过失侵害用户权益的行为，在行政监管上首先可以根据情节严重禁止其一段时间进入该领域，比如5年禁入，对于情节更加严重的，永远禁止其进入人脸识别技术领域，除此之外，加大经济惩处也是必要的，比如，可以对于侵害用户信息权益的，根据情节，对企业以营业额为基础进行处罚，比如处以全年营业额的5%罚款，对于直接相关人员，可以以其工资为基准，比如处以月薪或者年薪的40%等，对于侵权行为的帮助者、教唆者以及实际获利人也可以适当纳入处罚范围。此外，对于情节严重的，可以纳入征信系统，通过限制其他方面的权益，以防止人脸识别技术侵权行为的发生。

　5.3 构建司法救济体系（Building a judicial relief system）

　　5.3.1 明晰诉权主体

人脸识别技术识别过程具有自主性，对于个人信息的收集，往往呈现出隐蔽性、复杂性和技术性的特点。首先，人脸识别技术通过远程、非接触识别，通常情况下，被识别者往往在不知不觉中被收集了脸部信息，其次，正是基于人脸识别技术识别过程的自主性以及隐蔽性，在其广泛应用时，信息主体的信息的收集者往往不仅仅是只有一个，而是存在许多未知的脸部信息收集者。此外，在网络技术时代，信息高速流转、传播，最初的脸部信息收集者的确认就显得尤为艰难。因此，当发生隐私泄露、数据泄露时，信息主体往往无法准确的找到侵害人，即权利主体是信息的被收集者，但是被告却不明确，由此，司法上，明确侵权主体，明确被告就显得十分必要。

对于人脸识别技术下的侵害人的确认如果可以准确定位，无疑应当以实际的侵害人作为被告，但若在无法准确定位的，可以借鉴《侵权责任法》第43条和第44条关于产品缺陷责任追究的相关规定，即可以追究产品生产者、销售者以及运输者、仓储者的责任，并且这些被告可以事后相互追偿。具体到人脸识别技术侵权行为而言。首先，可以直接确定脸部信息侵害行为收集者的，可以直接以其为被告，提起诉讼；其次，在无法确定信息收集者的，对于传播者，一般为网站管理者，脸部信息主体也可以以其为被告提起诉讼，此外，鉴于收集者和传播者都与侵害行为相关，因此，可以择一或者共同作为被告，至于最后责任的承担，可以允许被告之间相互追偿。此种被告确认办法，不仅省去原告确定被告的繁琐细节，避免被告之间责任承担的相互推诿，便于当事人维权，而且可以鞭策信息收集者、传播者在利用、传播脸部信息应当更加谨慎。

　5.3.2明确举证责任

我国民事举证责任以“谁主张，谁举证”为原则，举证责任倒置则需要法律明确规定，因此，在立法上没有明确规定时，人脸识别技术的民事侵害行为，其举证方式采取原则性规定，即谁主张谁举证，即原告需要证明被告有侵害行为、存在侵害结果，并且两者之间存有因果关系，此外，原告还需证明被告主观上存在过错。但在人脸识别技术语境下，此种责任承担方式无疑显得不公平。首先，就科技水平和经济实力而言，脸部信息的收集者，一般为XX部门以及科研能力和经济实力均较强的企业，在举证责任中，他们反倒承担更少的举证责任，与公平正义不符。其次，就举证责任的便利性以及经济性而言，XX部门以及企业等脸部信息的收集者，他们熟知信息的收集、使用、流转的全过程，“我们的信息，他们更熟悉”，因此，由他们来承担更多的举证责任，无疑是符合经济性和便利性原则的。最后，人脸识别技术识别过程自主性，人身关系密切性使得其与公民基本权利密切相关，但又因其具有隐蔽性、技术性、传播迅速等特点，在侵害行为发生时，被害人往往举证不能，力不从心。由此合理分配举证责任，实现制度正义就十分必要了。

就具体举证责任承担范围而言，对于XX部门，行XXX力维护公民基本权利是其存在的正当性基础，行政诉讼法中也将举证责任赋予了行政机关，此外，行政侵害行为，往往涉及众多公民的基本权利，因此，XX部门的侵害行为，由此承担过错责任以及因果关系存在与否的举证责任是合适的，即在XX部门侵权行为中，原告只需要承担侵害行为存在以及存在损害结果的证明责任即可。对于企业，基于经济实力、科研能力、对脸部信息收集、使用、流转过程的掌握程度以及被害人举证能力缺陷等因素的考量，由其承担因果关系以及是否存在主观过错的证明责任也是合理。另外，对于一般个人对脸部信息的传播侵权行为，因其和被害人实际上处于相同地位，并不存在特别优势，因此，对于因传播构成侵权的，采用一般举证责任原则较为适宜。

　　5.3.3提高司法应对能力

面对新兴科技，在司法上提高应对能力，是解决司法纠纷，适应时代发展变化的必经之路。人脸识别技术下的司法能力建设，可以从以下三方面着手。

首先，类型化侵权行为。传统的民事救济分为侵权和违约两大类，尽管此种区分可以涵盖民事侵害行为的大部分，但在人脸识别技术下，却显得有些“无的放矢”，难以准确表明人脸识别技术下的真正救济对象。因此，可以将人脸识别技术下的侵害行为进一步细分为未经许可共享面部信息的侵害行为和处理面部信息侵害行为两大类，其中对面部信息处理的规制是关键，对于共享行为防范是基于大数据时代下，信息传播的速度比以往更快，损害结果严重的司法考量。

其次，协调行政监管与司法救济之间的关系。行政监管行为涉及日常生活的方方面面，具有确定力、拘束力和执行力，通过行政强制、行政处罚等措施，实现高效运转，早已成为国家规制的重要手段，行政司法行为也日益成为新兴名词，许多行政行为实际上起着司法救济的作用。因此，在人脸识别技术规制上，需要协调好两者之间的关系，形成合力，共同防范人脸识别技术下的各种风险。基于行政监管的高效便捷性，以及我国现存司法制度存在着诉讼成本高、举证困难等缺陷，加上传统厌讼心理，在协调行政监管与司法救济时，可以设定行政前置措施，通过行政监管措施，实现大部分面部信息侵害行为的救济。此外，通过行政监管不能得到完全救济或者不能救济的，应当允许进行司法救济。因此，有必要协调好行政与司法之间的证据移送、案件事实调查等衔接程序。

最后，提高审判人员的审判能力。人脸识别技术属于人工智能的一种，具有高科技性、利益冲突复杂性等特点，由此，在对面部信息进行司法救济时，审判人员是否知晓人脸识别技术的识别过程、运作过程、侵害路径，是否具有相关知识背景，将直接影响到案件审判的公正性。因此，法院可以选拔部分法官，专门处理人脸识别技术侵害行为，并定期或不定期地通过讲座学习以及专门培训等方式，弥补司法工作人员相关知识背景的缺陷，以提高司法审判能力，应对人脸识别技术风险。

　5.4 优化行业自律（Optimizing industry self-regulation）

　　5.4.1 加强行业自律组织建设

人脸识别技术发展日新月异，尽管从XX层面规制人脸识别技术更为有力，但法律法规滞后于科技发展已经成为社会发展的新常态，人脸识别技术的治理完全依赖XX，既不可能，也不现实，企业不应依赖XX规制，此外，即使法律赋予个人再多权利，如果没有实际掌握脸部信息的企业配合，这些权利也很难以实现。保护面部信息需要企业自觉贯彻落实相关法律，将法律转化为企业的制度和行动，这就是行业自律的作用。然而，我国行业自律组织尚未成熟，尽管已经存在众多行业协会，如中国支付清算协会、中国防伪协会等，但这些自律组织存在加入企业少、标准没有强制执行力、“会员经济理性”以及行业协会自身发展存在缺陷等问题，一直困扰着行业自律组织的建设，并且这些问题并非仅依靠企业一己之力便可以完全解决。因此，在行业自律组织建设上，不仅需要依赖企业自身的力量，而且也需要XX的适当干预，与行业协会形成合力，共同加强行业自律组织的建设，这既是XX监管人脸识别技术的需要，也是营造健康良好市场氛围的必由之路。

在行业自律组织建设问题上，XX可以通过财政支持，对加入行业自律组织并遵守行业自律公约的企业，优先提供信贷，以此来激励企业积极加入行业协会、遵守行业规范。对于行业自律组织制定的、切实可行的行业标准、行业自律公约，可以适时纳入法律法规，赋予其强制执行力，此外，对于行业自律组织存在的制定规范能力不足的问题，可以建立XX和行业协会立法人才交流机制，进行定期和不定期交流，实现人才共享。最后，行业协会成员并非是公正无私的，各成员往往是基于私利而加入行业协会，行业协会本身也有其自身的私益，因此，XX在积极加强行业自律组织建设的同时，也应当对其加强监管，以达到公益与私益之间的最佳平衡点。

　5.4.2完善行业自律公约

自区分场景使用、稳步推进是人脸识别技术风险防控的重要举措。中国支付清算协会2020年1月20日在人脸识别技术支付领域发布了首份人脸识别技术公约，既为行业监管提供了依据，也为XX未来对人脸识别技术的监管提供了值得借鉴的经验。该公约分为总则、安全管理、终端管理、风险管理、用户权益保护、附则等六章，共三十条规定。内容涉及用户同意、数据安全、用户权利、问责制度等。该公约尽管为人脸识别技术在支付领域提供了规范性指引，但内容涉及不全面，难以实现人脸识别技术支付风险的全面防控，此外，30条规定中，大部分为原则性、指导性规定，缺乏具体操作措施，难以为人脸识别技术的实际使用提供切实指引。

笔者认为，行业自律公约应当全面且注重实践，能够为人脸识别技术应用风险防范提供切实的指引，因此，行业自律公约内容上至少应当包括以下七部分内容。（1）用户同意。人脸识别技术的使用，首先要求用户同意，且同意必须明确，同意的方式必须严格谨慎，如必须要有书面形式的同意，并且将是否获得同意的责任赋予企业，即没有获得同意或者同意是模糊的，企业便违反了行业自律公约。（2）准确透明。行业自律公约应当创设标准制度、评估制度、公告制度、备案等制度，通过制度措施，实现人脸识别过程的准确和透明，保证用户基本权益。（3）合规使用。行业自律公约应当以法律法规作为指引，在人脸识别技术自律公约制定时，应以法律法规的规定为底线，企业使用人脸识别技术必须符合法律法规的规定，在此基础上，行业自律公约应当尽可能的制定更高要求行业的标准。（4）数据安全。对于人脸识别技术收集的脸部信息，应当事先确定相关防护措施，通过数据加密、访问限制，病毒防控以及员工培训等方式，为数据安全提供安全防护。（5）基本权利。尽管企业尽职尽责即可保障用户的基本权利，但在行业自律公约制定时，应当确立用户的基本权利，以此明确企业义务，弥补企业义务规定上的不完全、不全面。（6）隐私防护。尽管隐私问题和数据安全防护存在交叉重叠，但对于隐私的保护仅仅依赖数据安全是不可行的。因此，在人脸识别技术行业制定行业自律公约时，必须明确保护用户的隐私权利，对于种族、性倾向、健康信息等，无论是在何种领域使用或者出于何种目的的使用，企业均禁止收集。（7）问责机制。责任的承担是制度得以实施，用户权益得以实现的保障。行业自律中应当规定相关惩罚措施。比如违反公约的，不能再继续享有协会自助贷款以及其他一系列便利服务，情节十分严重的，开除会员资格。此外，行业协会应与国家行政机关建立衔接机制，对于违法违规的行为，可以由行业协会举报、告知国家行政机关，从而实现对违规企业的法律制裁。当然，以上七个部分仅仅是简单的列举，随着时代的发展，基于社会治理的需要，对于其他有利于公民基本权利保障、有利于实现人脸识别技术风险防控，有利于促进人脸识别技术合法、科学、安全使用的措施，行业自律公约都应当积极、及时采纳。

6结论

6 Conclusions

人脸识别技术作为人工智能的一种，具有唯一性、安全性、便捷性等优势，广泛应用于各种或公益或私益的场景中，带来诸多便利。但该技术的应用并非只有益处，恰恰相反，人脸识别技术作为尖端科技的一种，充满科学技术所具有的不确定性风险，必然或多或少的引发隐私风险、数据安全风险、歧视风险、自由风险。但我们切不可因噎废食，放弃人脸识别技术的发展，相反，加大研究力度，迎难而上，做好风险防控措施，积极应对人脸识别技术风险才是正途。

通过分析发现，人脸识别技术风险根源在于其人身关系密切性、识别过程自主性、风险防控复杂性三大特点，表现为回应型立法的缺失、行政监管乏力、司法救济滞后、行业自律组织尚未成熟四个方面，因此，意识到风险成因后，在人脸识别技术未来发展道路上，应当积极借鉴域外经验，取长补短，在立法、司法、行政与行业自律组织四方面防范人脸识别技术风险：首先，在立法上，基于立法现状的考量，应当采取“专门+分散”立法模式，通过立法确立相关基本原则，并在立法上将应用人脸识别技术所获取的个人信息进一步区分为一般个人信息与敏感个人信息，同时加大对敏感个人信息的保护力度。其次，在行政上，通过行政制度建设，完善行政监管体系，加快人脸识别技术专门监管机构的建设，通过加大惩罚力度的方式，减少人脸识别技术的非法使用；此外，在司法上，通过明确诉权主体、确定当事人举证责任范围、提高司法应对能力三大措施，以应对人脸识别技术下司法救济的不足；最后，在行业自律组织上，国家行政机关应当注重行业自律组织的作用，积极扶持人脸识别技术行业组织的建设，在行业自律公约的制定上，XX和企业应当加强合作交流，以制定全面，切实可行的行业自律公约。唯此，我国才有可能在未来人脸识别技术的世界发展大潮中，占有有利地位，抢占人脸识别技术发展的国际制高点。

参考文献

[1]李武军,王崇骏,张炜,陈世福.人脸识别研究综述[J].模式识别与人工智能,2006,19(01):58-66.

[2]黄岚文.存在安全风险的人脸识别[J].科学大观园,2017,(8):78-79.DOI:10.3969/j.issn.1003-1871.2017.08.052.

[3]林宏忆.浅析人脸识别技术及其应用[J].数字通信世界,2018(01):134+222.

[4]李子青.人脸识别技术应用和市场分析[J].中国安防,2007(08):42-46.

[5]王宗煜.人脸识别系统下的个人隐私法律规制研究[D].广东外语外贸大学,2019.

致谢

时光如梭，三年研究生生涯转瞬即逝，很快到了要毕业的时刻，能在中国矿业大学公共管理学院学习深造，我倍感荣幸。回首这几年在中国矿业大学与各位同学以及授课老师接触的美好时光，入学时的所有场景就如同刚刚发生一样，让我难以释怀。在这异常珍贵的学习期间里，我对各位老师的悉心培养一直怀着感恩的心，对同学们在求学期间与论文撰写期间的互相鼓励与互相监督感到无比的温暖，在毕业之际，我要衷心感谢所有帮助过我的老师、同学和朋友们。感谢我的导师老师，在老师的悉心指导下，我顺利完成了我的学习生涯和毕业论文的撰写，老师自始至终都对我认真负责，使我不断提升自己的理论水平。毕业论文的题目选择、资料搜集、困难应对，都离不开老师的指导与帮助。同时我要特别感谢我的学长学姐，在论文撰写期间给予我的帮助与鼓励。我也要感谢其他老师的悉心教诲，你们教会了我学术论文的写作方法，让我学到了专业知识，再次感谢各位老师对我的帮助。此外，感谢与我一起度过学习时光的同学们，你们让我体会到了友情，收获到了家一般的温暖。最后，请允许我再次向帮助过我的老师们、同学们表示最真挚的谢意，感谢你们对我的帮助与支持！