人脸识别问题的法律规制

龚晓蔚 王 敏

（陕西理工大学，陕西 汉中 723001）

日前，“动物园人脸识别第一案”引起了人们的注意。背后折射出的是普通民众的存疑心理：动物园是否有收集公民人脸信息的权利？其如何保证客户脸部信息的安全性？而人脸识别技术使用的门槛又如此之低吗？法律作为规范社会秩序的“守门人”，有必要对这一系列的问题作出回应，从而厘清有权与无权、合法与非法的界限，进一步提出如何从法律路径上来规范人们的行为、提高企业的自律以及表明政府的责任。

一、人脸识别相关问题概述

人脸识别，是指基于人的脸部特征信息进行身份识别的一种生物识别技术。人脸信息具有各种特殊性，人脸识别技术很大程度上受到人脸特征的影响，从而形成了其复杂性的特征。因而，有必要对人脸信息的特征一一陈述。

（一）人脸信息的唯一性

所谓“唯一”，也就是独有的、不可复制的。据最近一次世界人口统计，目前世界人口总数已近76亿。然而在这其中，却很难找出两个相貌完全一样的人，哪怕是双胞胎，也有细枝末节的差别。因为每个个体都有属于自己的脸部特征，眉、眼、鼻、嘴形态各异，所构成的综合体千姿百态。所以，在使用人脸识别技术时，就很容易辨别是与非了。

（二）人脸信息的易采集性

易采集性，是指采集的方式和途径多样且便利。现如今，自媒体发达，人脸识别逐步由技术化偏向娱乐化。2018年底，根据中国消费者协会发布的《100款App个人信息收集与隐私政策测评报告》显示，10类100款App中，多达91款App列出的权限涉嫌“越界”，存在过度收集用户个人信息的问题。而个人信息中包含的14项信息，仅生物识别信息就占比10%。由此可见人脸信息采集的简易程度。

（三）人脸信息的不可更改性

不可更改，即不能改变。学者林凌、贺小石［1］在其文章中提到，人脸信息不同于手机号、密码等常见的个人信息，手机号可以换、密码可以重置。而人脸信息在录入的那一刻就定格了，以至于后来再次验证时，都需要与第一次保持一致，否则会有验证失败之可能。学者文铭、刘博［2］曾强调，人脸信息一旦丢失，随之而来的损失也是不可逆的，“丢失”意味着个人的人脸信息完全公开、完全透明，这将对个人生活造成极大的影响，带来极大的不利。

二、人脸识别的应用及反思

（一）人脸识别的应用

“人脸识别”作为一项新型的检验身份标准的技术，其具有的速度、效率、成本等方面的优势，在一定程度上代替了人工识别，获得了迅速传播与应用。

（二）法律视角下人脸识别弊端的反思

古语有云，“福祸相依”。不可否认的是，人脸识别的使用也引发了一系列的问题，需要社会的关注、法律的回应。具体如下：

1.现实应用层面：人脸识别实践运用存在违法之嫌

（1）产生以人脸信息为虚拟产品的线上交易。公众在使用软件、享受服务时，只有同意了服务者提供的用户协议，才能进行一系列的活动。虽然技术本身没有立场可言，但是使用技术的人有好坏之分。客户方不了解更不能控制软件背后操作者的行为。现在任意打开一个搜索引擎，输入“人脸信息”，就会出现“人脸信息0.5元一份”的信息条。这一现象反映了他人的脸部信息被随意兜售的猖獗，由此推断，其背后更深层次的产业链势必更加肆意妄为。

（2）在存储、流转过程中发生脸部信息泄露。在现有情况下，收集公民个人脸部信息没有一个强制且规范的规定，或者说，只要软件设置的服务有需要，再通过客户对象的授权，那幺，产品服务方很容易可以得到用户的脸部信息。正如学者邢会强［3］所述，大到企事业单位、政府机关，小到商家，都可以安装人脸识别技术，强制刷脸。然而，在数据时代下，互联网使得资源共享变成一件稀松平常的事情。在共享、流转信息或者公司正常转让、过渡的过程中，信息丢失、遗失、泄露等情况都时有发生。

（3）迎合信息收集方利益的需要使得脸部信息被滥用。有部分商家为了加大销售力度，通过对客户脸部的追踪，判断其曾否来店和来店次数、消费情况以及消费的意愿和偏好等，再向其推荐适宜的产品。新的营销模式对商家而言，不仅能够在短时间内满足客户的需求，还提高了店铺的效率；对客户而言，也节约了闲逛的时间成本。但这看似两全其美的方案，却极大地侵犯了民众的个人隐私、滥用了个人的脸部信息。

2.法律规制层面：人脸识别法律规范不完善

（1）收集人脸信息的主体资格不明确。很多软件采用的是“不授权无服务”的态度，并且部分民众愿意用暂时的授权换取片刻的娱乐和便利。至此，只要产品服务和客户需求相对应，收集人脸信息就轻而易举了。这也是人脸识别技术使用门槛低而使用率高的原因。出现这一问题的关键，在于收集人脸信息的主体，其是否具有收集的资质，收集是否有必要，收集后是否有存储和保护的能力，以及一旦出现泄露、滥用等情况，又是否有承担相应责任的能力。如果商家缺乏存储客户脸部信息安全的能力，其又有什幺资格来收集脸部信息呢？只收集不存储、只建立不保护，这样的便利所带来的收益相较于人脸信息使用不当带来的风险，小之又小。

（2）收集的人脸数据后续走向不清。用户在享受服务之前，对于授权的内容、使用目的和使用范围都有了解，但是该“同意”并不能为被收集后的自身的脸部信息换来应有的安全保障。一旦同意授权，该用户的脸部信息就会成为收集主体数据库中的一员，无形中成了收集方的虚拟财产，为收集方提供流量和其他利益所得。这一切，都是用户在授权时所没有预料的。

三、对人脸识别现存法律问题的对策和建议

（一）加快建立专门的个人信息保护法

在2003年，《个人信息保护法》专家建议稿就开始起草，这表明个人信息的重要性很早就得到了立法机关的重视。但由于当时我国制定该基本法律的条件不成熟，社会对于个人信息的敏感度不高，没有预料将来脸部也为成为一种个人信息，并且个人信息收集和传播的方式与途径也不如现在迅速、快捷，种种原因，使得公众在漫长的等待中，也一再付出着成为“透明人”的代价。因而有必要加快建立《个人信息保护法》，明确个人信息的地位和重要性，在包括脸部信息在内的公民个人信息遭到交易、泄露、滥用时，给予受害者相应的法律救济途径和依据。

（二）明确市场准入机制

明确市场准入机制，明确收集人脸信息的主体资格。从“人脸识别第一案”的出现，便可以窥见该技术使用之广，范围之大。实际上，很多行业在增强自身建设和发展的同时，都有幸搭上了科技的快车。然而，在资本逐利和流量的催生下，或多或少地让科技被贴上“不敢信任”的标签。但是为了保护个人信息安全，而不利用科技，或者说为了发展科技，而不得不牺牲部分信息安全的话，又似乎显得不够理智。因而，有必要加强新型科技的市场准入机制，明确能够使用的行业范围。一项事物，只有设置一定的门槛，才会遏制门槛外的鱼目混珠，防止泛滥成灾的恶况出现，才能促使门槛内的人自我提升，不断完善。

（三）明确用户方和收集方的权责关系

要了解被收集数据的后期走向，需要明确用户方和收集方的权责关系。收集方在为用户提供服务时，需要在用户协议中写明收集人脸信息的目的、用途、使用范围、数据可能的流向、使用期限等条款；而用户在享受服务之前，也应提前阅读有关事项，保证自己对自身脸部信息何时、在何处、被何人采集、使用、存储的情况有所了解，再确定是否授权。

四、结语

人脸识别技术作为一项新型的科技，有许多待开发的领域，同时也充满了许多的未知和冒险。这都需要理论界和实践界的配合和研究。对于新型事物，尤其是新型科技，要怀抱一种包容且谨慎的态度，力求用“高收益、低风险、小伤害”的方式，将科技用于生活，规范于法律，这才是“高性价比”！