就政（zhèng）府部门使用人脸识别的法律规制，特别许可使用制度既发挥人脸识别技术之利，又防（fáng）范人脸识别技（jì）术之弊，是一种更加理性的制度（dù）安排。就非政府部门使用人脸识别的法律规制，对人脸信息作出比一般个（gè）人信息更为严格的（de）特别保（bǎo）护和（hé）特（tè）别规制（zhì），更有利（lì）于保护个人的人脸信息。

  在无竞争性的服务领域（如民航、铁路（lù）、学（xué）校、社区（qū）等（děng））使用人脸识别技术，当（dāng）人们拒（jù）绝“刷（shuā）脸”时，应提（tí）供其（qí）他替代（dài）性的验证机（jī）制，而（ér）不能不（bú）“刷脸”就（jiù）不能使用或（huò）进（jìn）入（rù）。即使不全面叫（jiào）停（tíng）政府部门安装、使用人脸（liǎn）识（shí）别技术，也应该对其进行严格（gé）的法律规制，防（fáng）范安（ān）全风险，防止被（bèi）滥用。

  随（suí）着技术的（de）发展，人脸识别（俗（sú）称 “刷脸”）在我（wǒ）国逐渐盛行。我国（guó）目前对人脸识别技术尚无（wú）专门的法律规定，无论是（shì）政府、社区、事（shì）业（yè）单位还是商家，均可（kě）以（yǐ）任意安装人（rén）脸识别技（jì）术（shù），强（qiáng）制（zhì）人们“刷脸（liǎn）”验证。而人们若（ruò）拒绝“刷（shuā）脸”，则基本（běn）上无法使用相关服务。如（rú）若（ruò）不服（fú），则投（tóu）诉无门，只（zhī）能对簿公堂，但（dàn）诉（sù）讼（sòng）成本高昂。基于此，有（yǒu）必（bì）要（yào）对人脸（liǎn）识别的（de）法律规制（zhì）予以深入研究，厘定人脸识别技术（shù）应遵循的法律底线（xiàn），明晰人脸识别技术法律规制的基本（běn）要点。

  人脸识别技术的特征、收益与（yǔ）风（fēng）险（xiǎn）

  人脸（liǎn）识别可简单地概括为：机器对静态或视频中的人（rén）脸图像进行特征提取（qǔ）、分类识别，以达到（dào）身份（fèn）鉴别（bié）的（de）目的（de）。人脸识（shí）别技术的应用场景日渐丰富，其（qí）功能（néng）归纳起来主要（yào）是身份验证和监控。这又可（kě）以（yǐ）分为政府（fǔ）机构（gòu）的公（gōng）共应用和非政府机（jī）构（gòu）的商业应用与慈善应用（yòng）等。

  人脸（liǎn）具（jù）有如（rú）下的（de）特征：独特（tè）性和直（zhí）接识别性，方便性，不（bú）可（kě）更改性，变化性，易采集性（xìng），不可匿名性，多维性（xìng）。人脸的（de）上述特征直（zhí）接（jiē）决定了（le）人脸（liǎn）识（shí）别技术具有复杂性特征，而现实中很（hěn）多收集人脸的机构（gòu）并不具备相应的（de）风险防控、安全保障能力、组织（zhī）和机制。

  人脸识别技（jì）术的收益是世（shì）所公认（rèn）的，人（rén）脸识别技术可以应（yīng）用于诸多（duō）场（chǎng）景。

  但是，另（lìng）一方面，人（rén）脸识别技（jì）术的风险也是不可小（xiǎo）觑（qù）的。其风（fēng）险主要有：一是误差风险。如果人脸识别技术不（bú）够成熟，可能出现混淆。此外，由于人脸为非刚体性，人脸（liǎn）之（zhī）间的相似性（xìng）以（yǐ）及各种变化因素的影响，准确的人（rén）脸识别仍较（jiào）困难。二是身份认（rèn）证被破解的风险。密码是秘密保存的，但人脸却是公之（zhī）于众的。最新（xīn）的人脸（liǎn）验证（zhèng）技术（shù），结合了3D图片（piàn）进行登录与验证，这（zhè）比以前的（de）技术更难破解，但破（pò）解并非完全不可能（néng）。三是（shì）信（xìn）息（xī）泄露风险。用于保存人脸信息（xī）的电（diàn）子（zǐ）计算机系统存在被黑（hēi）客入侵、病毒入侵的风（fēng）险，这可（kě）能导致信（xìn）息泄露。此外，内部员（yuán）工的（de）作（zuò）案也可能导致信息泄露。生物信息（xī）具（jù）有100%的可识别性（xìng），一旦（dàn）被泄露或（huò）是（shì）被（bèi）不当利用，后果无法估量。

  国外人脸识别法律（lǜ）规制的（de）经验

  从美国有限（xiàn）的既有（yǒu）立法或立法草案、建议来看（kàn），美国对政府部门使用人脸识（shí）别的（de）法律规制，有别于对非政（zhèng）府机构使（shǐ）用人（rén）脸（liǎn）识（shí）别（bié）的法律（lǜ）规制，二者是分（fèn）别立法、分别规制的，规制的具体（tǐ）方（fāng）法和价值取向（xiàng）截然（rán）不同。对政府部门使用人脸识别的法律规制主要分为（wéi）三种：第一（yī）种（zhǒng）是禁（jìn）止使用（yòng）制度，第二种是特别许（xǔ）可使用制度（dù），第三种是任（rèn）意（yì）使用制度。禁止使用制（zhì）度为美国旧（jiù）金山市所首创，目前备受（shòu）关注。特别许可（kě）使（shǐ）用制度目前尚处于民间建议阶段。任意使用（yòng）制（zhì）度即对（duì）政府使用（yòng）人脸识别尚（shàng）未特别立法，政府部门可以任意（yì）使用人脸（liǎn）识别。而美国（guó）对非（fēi）政府机（jī）构使用人脸识别的法（fǎ）律规制，主（zhǔ）要是将（jiāng）人脸信（xìn）息（xī）作为生物信息之一（yī）加以规制，它也可以（yǐ）分为（wéi）两（liǎng）种路径：一种是比（bǐ）对一般个（gè）人信息的保护更为严格（gé）的高强度规制（zhì）路径或特别（bié）规（guī）制路径，另一种是与对一般个人信（xìn）息的保护（hù）没有区分的、同等程（chéng）度保（bǎo）护（hù）的普通规制路径。

  欧盟与美国对政府部门和商业部门使（shǐ）用人脸识别技术（shù）分别进（jìn）行立法不同，欧盟《通（tōng）用数据保护（hù）条例》（以下（xià）简（jiǎn）称（chēng）GDPR）是对公私部门一体适用（yòng）的。这就意（yì）味着，无论是政府部门还是非政府部门（mén），只要使用人脸识别（bié）技术，就必须遵守相同的规范（fàn）。

  GDPR第4条定义条款对“生物数据”（biometric data）进行的界定包括“面（miàn）部图像”（facial images）。GDPR第9条（tiáo）规定了（le）特殊（shū）种类的个人（rén）数（shù）据处理，其中就包括生（shēng）物数据。GDPR对（duì）生（shēng）物数据的处理，遵循“原（yuán）则禁止，特殊例外”的原（yuán）则。数据控制者可援引“数据主体的同意”作（zuò）为个人（rén）生物（wù）数据处理的（de）例外，但该同意必须（xū）是“自由给予（yǔ）、明确、具体、不含（hán）混”的，数据（jù）主（zhǔ）体的任何被（bèi）动同意均不符合GDPR的规定。

  2019年7月，欧洲数据（jù）保（bǎo）护委员会（EDPB）颁布（bù）了《关于（yú）通过视频设备处理个人（rén）数据的（de）3/2019指引》提供了尽量降低（dī）风险的（de）措施（shī），例如，对原始数（shù）据（jù）进行分离存储和传输；对生物（wù）识别数据尤其是分离（lí）出的片段数据进行（háng）加密并（bìng）制定（dìng）加密和秘钥管理政策；整合关于（yú）反（fǎn）欺诈的组织（zhī）性（xìng）和技术（shù）性措施（shī）；为数据分配整合代码；禁止（zhǐ）外部访问生物识别数据；及时删除原始（shǐ）数据，如（rú）果必须保存则采取添加干扰（rǎo）（noise-additive）的（de）保护方（fāng）法。

  就政府部门使用人脸识（shí）别的法律规制，目前国外虽然三种制（zhì）度并存，但（dàn）任意使用（yòng）制度显然是大数据时代之前的做法，未认识到人（rén）脸识（shí）别（bié）技术给人（rén）们带（dài）来的风险；禁止使用制度也（yě）太过于激进，不利于发挥（huī）人（rén）脸识别技术的优势，扼杀（shā）了技术的发展。相比较（jiào）而（ér）言，特别许可使用制度既发挥（huī）人脸（liǎn）识别技术之（zhī）利，又防（fáng）范人脸识别技术之弊，是一种更加理（lǐ）性（xìng）的制度安排，值（zhí）得我国（guó）借鉴。

  就非（fēi）政府部门（mén）使（shǐ）用人脸识别的法律规（guī）制，目前国（guó）外虽然两种制度并存，但将（jiāng）人脸信息（xī）作为一般个人（rén）信息对待（dài）的普（pǔ）通（tōng）规制路（lù）径（jìng）显然是没有认识到人脸信息及人脸识别技术的特殊性，将个人（rén）置于极大的风险（xiǎn）之中。而对人脸信息作出比对（duì）一（yī）般（bān）个人信息（xī）更（gèng）为严格（gé）的特别保护和（hé）特别规制，更有利于保护个人的人脸信息，更值得我国借鉴。

  但是，各国的政治、社会和技术背景（jǐng）存在各自（zì）的特（tè）殊性，这就决定了国外对于（yú）人（rén）脸识别（bié）技术的相（xiàng）关制度未必适合于我国，我国在（zài）引进相关制度（dù）时（shí）需（xū）要审慎甄别。

  完善我国（guó）人脸识别（bié）法律规制的建议（yì）

  我（wǒ）国2020年5月颁（bān）布的民法典（diǎn）第1034条（tiáo）第（dì）1款规定，“自然人的个人信息（xī）受法（fǎ）律保护”，并在该条第2款个人信息的定义（yì）中，明确将生物（wù）识别信息（xī）列举为（wéi）个（gè）人信息，但也未对个人生物识别信息作特（tè）别保（bǎo）护。个人信息保护法（草案）第27条规定：“在公共场所安装（zhuāng）图像采集、个人身份识别设备，应当为维护公（gōng）共安（ān）全（quán）所必需，遵守国家有关规定，并（bìng）设（shè）置（zhì）显著的（de）提示标识（shí）。所收集的个人图像、个（gè）人身（shēn）份特征信（xìn）息只（zhī）能用于维护公共安全的目（mù）的，不得（dé）公（gōng）开或者向他人提供；取得个人（rén）单独同意或者法律、行（háng）政法规另有规（guī）定的（de）除（chú）外。”这里“图像采集”包括人脸识别。个人信（xìn）息保护法（草案）第29条将个人生物信息作为敏感个人信息加以保护，并规定（dìng）了“充分必要”原则。但总（zǒng）体（tǐ）而言，个人信（xìn）息保护法（草（cǎo）案）对（duì）人脸识别技术的规（guī）制仍较为简略（luè）。

  我国目前对包括人脸（liǎn）信息在内的（de）生物识别信息的特别保护呈现（xiàn）出软（ruǎn）法（fǎ）先行的特点。2020年2月，全国金融标（biāo）准化（huà）技术委员会审查通过的《个人金融（róng）信息保护技术规范》（JR/T 0171-2020）（以（yǐ）下简（jiǎn）称《规范》）将（jiāng）生物识别信息列为敏（mǐn）感性最高的（de）C3类信息（xī），并（bìng）要求（qiú）金融机构不（bú）应委托或授权无金（jīn）融业相（xiàng）关资质的（de）机构收集C3类信息，金融机构及其受托人收集、通过公共网络传输、存储C3类（lèi）信息时，应使用加密措施。2020年3月新修订（dìng）的（de）我国国家标准GB/T 35273-2020《信息安全技术个人信息安全（quán）规范》明确规（guī）定（dìng）个人生（shēng）物识别信息属于个人敏感信息，并对个人敏感信息进（jìn）行了特殊（shū）保护。2020年11月（yuè）27日，工信部组织（zhī）发布了电信终端产（chǎn）业协（xié）会（huì）团体（tǐ）标准《APP收集使用个人信息最（zuì）小必要（yào）评估（gū）规范 人（rén）脸信息》，规定了移（yí）动应用软件对（duì）人脸信息的收集、使用、存（cún）储、销毁等活动中的最（zuì）小必要规范（fàn）和（hé）评估方法（fǎ），并通过个人信（xìn）息处（chù）理活动中的典型应用场（chǎng）景来说（shuō）明如何落实最小必要（yào）原则。

  数据治理的普遍性、技（jì）术性、复杂性、应时性等特点决定了数据治理具有一定的软法（fǎ）空间，但软法欠缺强（qiáng）制力（lì）的特（tè）点决定了对包括人脸信息在内的个人生物识别信（xìn）息（xī）的特（tè）别保护离（lí）不开硬法的托底。因此，有必要（yào）从硬法的角度系统（tǒng）思考对包（bāo）括人脸（liǎn）信息（xī）在内的个人生物识别信息的特别法（fǎ）律保护、对人脸识别的特别法律规制问题。

  1、建立健全一体（tǐ）适用的安全与责任（rèn）底线（xiàn）

  法律规制人脸识别技术（shù）的目的，不是一味地叫（jiào）停（tíng）该项技术的使用，而是要在（zài）确保安全的（de）前提（tí）下，倡导（dǎo）一（yī）种负责任的（de）使用。为此（cǐ），笔者建议建立如下公（gōng）私部门一体适（shì）用的安全（quán）与责任底线。如果（guǒ）不符（fú）合这些安（ān）全（quán）与底线原则，则（zé）为违（wéi）法收集个人信息。

  其一，无论谁使用（yòng）人（rén）脸识别技术，人脸识别系统要（yào）经第三方（fāng）独立机构（gòu）定期检测，以检测其准确性与非（fēi）歧视性。必要时，人脸识（shí）别（bié）系统及其定期检测结果应向（xiàng）监管部门备案。

  其二，无（wú）论谁通过公共网络收集、传输、存储（chǔ）人（rén）脸信息，都应使用加密措施，并对（duì）收集到的人脸信息进行分片段单（dān）独（dú）存（cún）储，并不得公开披露人脸（liǎn）信息。

  其三，无论谁使用（yòng）人脸识别技术，都应该建（jiàn）立（lì）可追踪的（de）技术体系。谁在何（hé）时（shí）何（hé）地查询、使用、修改、下载了人脸（liǎn）信息（xī），事后都可查证，以便发生侵权时，人脸（liǎn）识（shí）别技术使用主体对（duì）侵权人（rén）进行查证和追责。

  其四，法律应（yīng）该规定，无（wú）论是谁使用（yòng）人脸识别技（jì）术（shù），如果其收集的信息被证明出（chū）现（xiàn）被盗窃（qiè）、泄露（lù）、非法使（shǐ）用、非法（fǎ）出（chū）售、非法提供等情（qíng）形，从而给信息主体造成损失的，收（shōu）集者对受害人（rén）受（shòu）到的实际损失承（chéng）担（dān）连带赔偿责任；如果受害人的实际（jì）损失难以证明，则应对每个（gè）受害（hài）人至少（shǎo）赔偿一定数额（如2000元人民币）的法定定额赔偿金。受害（hài）人受到的实际（jì）损失小于该法定定（dìng）额赔偿（cháng）金的，受害人可直接主张法定定（dìng）额赔（péi）偿金。

  其五，无论是（shì）谁使用人脸（liǎn）识别技术，人们均有权拒绝“刷脸（liǎn）”。如果是在无竞争性的（de）服（fú）务领域（如（rú）民航、铁路、学校、社区等）使用人脸识别技（jì）术，当人们拒（jù）绝“刷脸”时，应提供其他替代性的验证机（jī）制，而不能不“刷脸”就不（bú）能使用或进入。毕竟，每个人的（de）风（fēng）险偏好是不尽相同的（de），法律规则的设置（zhì）应容忍和尊重那些低风险（xiǎn）偏好（hǎo）的人，尤其是（shì）在（zài）当前不能（néng）做到（dào）人脸（liǎn）识（shí）别系统百分之百（bǎi）安全的情况下。

  2、区分公私部门（mén）配置（zhì）不同的规制重心

  对政府部（bù）门（mén）使用人脸（liǎn）识别技术应以（yǐ）事前事中规制为主，对非政府（fǔ）部门使用人脸识别技术应以事中事后（hòu）规制为主。

  政府部门执行（háng）公务过程中构成（chéng）侵权，因有国家（jiā）赔偿法（fǎ）的限额赔（péi）偿而使当事人难以获（huò）得充（chōng）分赔偿，且一旦政（zhèng）府部门涉嫌侵权对政府部门（mén）的（de）声誉将（jiāng）造成重大不（bú）良影响，因此（cǐ），应着重从事前（qián）进行（háng）风险防范，即对政府部门安装、使用人脸识别技术（shù）应坚（jiān）持（chí）有（yǒu）权机构批（pī）准同意原则，未（wèi）经有权机构批准同（tóng）意，政（zhèng）府任何部门不得安装、使用人脸识别（bié）技（jì）术。有权机构在批准时（shí），应考（kǎo）虑到（dào）安装（zhuāng）、使用人脸识（shí）别技术（shù）的必要性、正当性，且应通（tōng）过一定的法律正当程序（xù），遵（zūn）循公（gōng）开、透明、民（mín）主参与（yǔ）等原则予以批准。

  如果对商业部门安装（zhuāng）、使用人脸识（shí）别（bié）技术坚持事前批准的话，因政府部门在技（jì）术（shù）上往往落后（hòu）于商（shāng）业（yè）部（bù）门，这可能发展不出来一种有效（xiào）的审（shěn）批，更为重要的是，还可能遏制商业创新和技术（shù）创新。但是，如果商业（yè）部门的人脸识别（bié）给消费者造成损害的话，受害人可以通过事后的民事诉讼（sòng）来进行追责，执（zhí）法部门也可以通过事中或事后的执法进行监管（guǎn）和追责。当然，这需要我（wǒ）们健（jiàn）全法（fǎ）律框架，使执法部门（mén）有法可依，使（shǐ）受害人可以依法（fǎ）维权。

  至于我国（guó）是（shì）否需要全面禁止政（zhèng）府部门（mén）安装、使用人（rén）脸识别系统（tǒng），这属于政治过程决定（dìng）的结（jié）果。我国公安机关布控的（de）天眼（yǎn）系统，通过（guò）安装在城市（shì）公共场合的摄像（xiàng）头对人脸进行（háng）实时、精准且（qiě）快速的甄别，让犯（fàn）罪分子（zǐ）无处可逃。但通过人（rén）脸识别技术所进行的监控对个（gè）人自由的威胁也越来（lái）越引起（qǐ）人们（men）的重视。人们对全面监控感到压迫和焦虑。即（jí）使不全面叫停政（zhèng）府（fǔ）部门安装、使（shǐ）用人脸识（shí）别技术，也应该对其进行严（yán）格的法律规制，防范安全风险，防止被滥用（yòng）。

  3、对（duì）人脸信（xìn）息的采集施加比（bǐ）对一（yī）般个人信息的采集更强的规制力（lì）度

  人脸信息（xī）不同于（yú）一（yī）般个人（rén）信（xìn）息，甚至人脸（liǎn）信息作（zuò）为生（shēng）物信息也与其（qí）他（tā）生物信息（xī）（如指纹）也有较大区（qū）别。因此，人脸信息（xī）的采集应坚持特别规制即差异化（huà）规制，即应坚持更强（qiáng）的知情同意原则。

  采集一般个人信息，除了（le）法定例外情形，一般都需要征得数据主（zhǔ）体的知情同意。但人脸（liǎn）信息（xī）具有特殊（shū）性，除了法定例外情（qíng）形，其所适用的（de）知情同意（yì）原则，应比（bǐ）一（yī）般的个人信息所适用的知情（qíng）同意原则更严格（gé），即应（yīng）坚持书面（written）知情同意（yì）原则。此外，法律应规定采集人脸信息（xī）之（zhī）前，采集者应告知被采（cǎi）集者其采集（jí）的信息具体类型、目（mù）的、保存（cún）时间、被采集者（zhě）的风（fēng）险（xiǎn）与权（quán）利，告知的方式必须是书面的。