就政府部门（mén）使（shǐ）用人（rén）脸识别的法律规制，特别许（xǔ）可（kě）使用制度既（jì）发挥人脸识别技术之利，又（yòu）防范人（rén）脸识别技（jì）术之弊，是一（yī）种更加理性（xìng）的制度（dù）安（ān）排。就（jiù）非政府（fǔ）部门使（shǐ）用人脸识别的法律规制，对人脸（liǎn）信息作出比一般个（gè）人信息更为严格的特别保（bǎo）护和特别规（guī）制，更有利（lì）于（yú）保护个人（rén）的人脸信息。

  在无竞争（zhēng）性的服务领（lǐng）域（yù）（如（rú）民航、铁路、学校、社区等（děng））使（shǐ）用人脸识别技术，当人们拒绝“刷脸”时，应（yīng）提供其他替代（dài）性的验证机制，而不（bú）能不“刷脸（liǎn）”就不能使用或进入。即使（shǐ）不（bú）全面叫停政府部门（mén）安装、使用人脸识别技术（shù），也应该（gāi）对（duì）其进行严格的法律规（guī）制（zhì），防范安全（quán）风险（xiǎn），防止被滥用。

  随着技术的发展，人（rén）脸识别（俗称 “刷脸”）在我国逐（zhú）渐（jiàn）盛行。我国目前对人脸识别技（jì）术（shù）尚无（wú）专门（mén）的（de）法律规定，无论是政府（fǔ）、社区、事业（yè）单位（wèi）还是商家，均可（kě）以任意安装（zhuāng）人脸识（shí）别技术，强制（zhì）人（rén）们“刷脸”验证（zhèng）。而人们（men）若（ruò）拒（jù）绝“刷脸（liǎn）”，则基本上无法使用相关服务。如若不服（fú），则投诉无门，只（zhī）能对簿公堂，但诉讼成本高昂（áng）。基于此，有必要对人脸识别的法律（lǜ）规（guī）制予以深入研究，厘定人脸识别技术应遵循的法律底（dǐ）线，明晰人脸识别技术法律规制的（de）基本要点。

  人脸识别技术的（de）特征、收（shōu）益（yì）与风险

  人脸识别可（kě）简单地概括为：机器对静态或视频中的人脸图像进（jìn）行（háng）特（tè）征提（tí）取、分类识别，以达到身份鉴别的目的。人脸识别技术（shù）的应用场景（jǐng）日渐丰富，其功（gōng）能归（guī）纳（nà）起（qǐ）来主（zhǔ）要是身份验证和监（jiān）控。这又（yòu）可以（yǐ）分（fèn）为（wéi）政府机构（gòu）的公共应用和非政府机构（gòu）的商（shāng）业应用与慈善应用等（děng）。

  人（rén）脸具有如下的特征：独特性和直接识别性，方便性，不可更改性，变（biàn）化性，易采集性，不可匿名（míng）性（xìng），多维性。人脸的（de）上述特征（zhēng）直接决定了（le）人脸识别技术具有复杂性特征，而现实中很多收集人脸的机构并不具备相应（yīng）的风险防控、安（ān）全保（bǎo）障能力、组织和机（jī）制。

  人脸识别技术的收益是世所公（gōng）认的，人脸识别技术可（kě）以应用于诸（zhū）多场景。

  但是，另一方（fāng）面（miàn），人（rén）脸识别技术的风险也是不可小觑的。其风险主要（yào）有（yǒu）：一是（shì）误差风险。如果人脸识别技（jì）术（shù）不够成（chéng）熟，可能出现混（hún）淆。此外，由于人脸（liǎn）为非刚体性，人（rén）脸之间（jiān）的相（xiàng）似性（xìng）以及各种变化（huà）因素的影响，准确的人（rén）脸识别（bié）仍较困难。二是身份认证被破解（jiě）的（de）风险。密码是（shì）秘密保存（cún）的，但人（rén）脸却是（shì）公之于众的。最新（xīn）的人脸验证（zhèng）技术，结合了3D图片进行登录与验（yàn）证，这比以前的技术更难破（pò）解，但破解并非完（wán）全不（bú）可（kě）能。三是信（xìn）息泄露风险。用于（yú）保存人（rén）脸（liǎn）信息的电子计算机系统（tǒng）存（cún）在（zài）被黑客入侵、病毒入侵的风（fēng）险，这可能导致（zhì）信息泄露。此（cǐ）外，内部员工的作（zuò）案（àn）也（yě）可能导致（zhì）信（xìn）息泄露（lù）。生物信息具（jù）有100%的可识别性，一（yī）旦被泄露（lù）或是被不当利用，后果（guǒ）无法估量。

  国外人脸（liǎn）识别法律规制的经验（yàn）

  从美国有限的既（jì）有立法或立法草案、建议来（lái）看（kàn），美国对政府部门使用人脸识（shí）别（bié）的法律规制，有别于对非政府机构使用人脸识别（bié）的法律规制，二（èr）者是分别立法、分别（bié）规（guī）制的，规（guī）制的具体方法和价值取向截（jié）然不同。对政府部门使用人脸（liǎn）识别的法律规制主要分为三种：第（dì）一种是禁止使用（yòng）制度（dù），第（dì）二（èr）种是特（tè）别许可使用（yòng）制度，第（dì）三种（zhǒng）是任意使用制（zhì）度（dù）。禁止使用制度为美国（guó）旧金山（shān）市所首创，目前备受关注。特（tè）别许可使用制度目前尚处于民间建议阶（jiē）段（duàn）。任（rèn）意使用制度即对政（zhèng）府使用人（rén）脸识别尚未特别立（lì）法，政（zhèng）府部门（mén）可（kě）以任（rèn）意使（shǐ）用（yòng）人（rén）脸识别。而美国对非政府（fǔ）机（jī）构使用人脸识别的法律规（guī）制（zhì），主（zhǔ）要是将（jiāng）人脸信息作为生（shēng）物信息之一加以规制，它（tā）也可以（yǐ）分为两种（zhǒng）路径（jìng）：一种（zhǒng）是（shì）比对一般（bān）个人信息的保护更为严格的（de）高强度规制路径或特别规制路径（jìng），另一种是与对一般个（gè）人信（xìn）息的保护没有区分的（de）、同（tóng）等程度保护的普（pǔ）通规（guī）制（zhì）路径（jìng）。

  欧盟与美国（guó）对（duì）政府部门和（hé）商业部门使用人脸识别（bié）技术分别进行（háng）立（lì）法不同（tóng），欧盟《通用（yòng）数据保（bǎo）护条（tiáo）例（lì）》（以（yǐ）下简（jiǎn）称GDPR）是对公私部门一体适用的。这就意味着（zhe），无论（lùn）是政府部门还（hái）是非政（zhèng）府部门，只要使用人脸识别技术（shù），就（jiù）必须遵守相同的规范。

  GDPR第4条（tiáo）定义条款对“生物数据”（biometric data）进行的界定包括“面部（bù）图像”（facial images）。GDPR第9条（tiáo）规定了特殊种类的（de）个人数（shù）据处理（lǐ），其中就（jiù）包括生物数（shù）据。GDPR对生物数据的处理（lǐ），遵循（xún）“原则禁止，特殊例外”的原则。数据控（kòng）制者可（kě）援（yuán）引“数据主（zhǔ）体的同意”作为个人生物数据处理的例（lì）外，但该同意必须是（shì）“自由给（gěi）予、明确、具体、不含混”的（de），数（shù）据主体的任何被动同（tóng）意均不符合GDPR的规定。

  2019年7月，欧洲数据保护委员会（EDPB）颁布了《关于通过视频设备处理个人数据（jù）的3/2019指引》提供了尽量（liàng）降低风险的措（cuò）施（shī），例如，对原始数据进行分离存储和（hé）传输；对（duì）生物识别数据尤（yóu）其是分离出的片（piàn）段数（shù）据进行加密并制定加密和秘（mì）钥管理（lǐ）政策；整合关于反欺诈的组织性和技术性措施；为数据分配整合代（dài）码；禁止外部访问生物识别数据；及时删除原始数据，如果必（bì）须（xū）保（bǎo）存则采取添加干扰（noise-additive）的保（bǎo）护方法。

  就政府部门使用人脸（liǎn）识别（bié）的（de）法律（lǜ）规（guī）制，目前国外虽然三种制度并存，但（dàn）任意使（shǐ）用制度显然是大数据时代（dài）之前的做（zuò）法，未认识到人脸识别技术给人们带来的风险；禁止使（shǐ）用制度也（yě）太过于激进（jìn），不利于发挥人（rén）脸识别技术的优势，扼杀了技术的发展。相比较而（ér）言，特别许可使用（yòng）制度既发挥人脸识别技术（shù）之利，又防范人脸识别技术之弊，是一种更加理性的制度安（ān）排，值得我国借（jiè）鉴。

  就非政府部门使（shǐ）用人（rén）脸识别的法律规制，目（mù）前（qián）国（guó）外（wài）虽然两（liǎng）种（zhǒng）制度（dù）并存，但将（jiāng）人脸信息作为（wéi）一般个人信息对（duì）待（dài）的普通规制路径显（xiǎn）然（rán）是没有认识到人脸（liǎn）信息（xī）及人脸识别技术的特殊性，将个人（rén）置于极大的风（fēng）险（xiǎn）之中。而对（duì）人脸信息作出（chū）比对一般个（gè）人信（xìn）息更为严格的特别保护和（hé）特别规制（zhì），更有利于保护个人的人脸信息，更值得我国借鉴。

  但是，各国的政治、社（shè）会和（hé）技术（shù）背景存（cún）在各自的特殊性（xìng），这就决定了国（guó）外对于人脸识（shí）别（bié）技术（shù）的相关（guān）制度未（wèi）必适（shì）合（hé）于我国，我国在引进相（xiàng）关制度时需要审（shěn）慎甄别。

  完善（shàn）我国（guó）人（rén）脸识别法律规制的（de）建议

  我国2020年（nián）5月颁布的民（mín）法典第1034条第1款规定，“自然人（rén）的个人信息受法律保（bǎo）护”，并（bìng）在该条第2款（kuǎn）个人信息的定义中，明确将生物识（shí）别信息列举为个（gè）人信息（xī），但也未对个人（rén）生物识（shí）别信（xìn）息作特别保护。个（gè）人（rén）信（xìn）息保护法（草案）第27条（tiáo）规定：“在公共场（chǎng）所安装图像采（cǎi）集、个人（rén）身份识别设备，应（yīng）当为维护公共安全所必需，遵（zūn）守国家有关（guān）规定，并设（shè）置显著的（de）提示标（biāo）识（shí）。所收集的个人图（tú）像（xiàng）、个人身（shēn）份特征（zhēng）信息（xī）只能用于维（wéi）护公（gōng）共安全的目的，不得公开或者向（xiàng）他人（rén）提（tí）供；取得个（gè）人单独（dú）同意或者法律、行（háng）政法规另有（yǒu）规定（dìng）的除（chú）外。”这里“图像采集”包（bāo）括人脸识别。个人信息（xī）保（bǎo）护法（草案）第29条将个人生物信息（xī）作为敏感个人信息加以保护，并规定（dìng）了（le）“充（chōng）分（fèn）必要（yào）”原则。但（dàn）总（zǒng）体而言，个人信息保护法（草案）对人（rén）脸识别技术（shù）的规制（zhì）仍较为简略。

  我国目前对包（bāo）括人脸信息在内的生物识别（bié）信息（xī）的特别保护呈现（xiàn）出软法先（xiān）行的特点。2020年2月，全国（guó）金融标（biāo）准化技术（shù）委（wěi）员会审查通过（guò）的《个人金融信息保护技（jì）术规范》（JR/T 0171-2020）（以（yǐ）下（xià）简称《规范》）将生物（wù）识别信（xìn）息列为敏感性（xìng）最高（gāo）的C3类信息（xī），并要求金融机构不应委托或授权无金融业（yè）相关资质的机构收集C3类（lèi）信息（xī），金融机（jī）构及其受托（tuō）人（rén）收集、通过（guò）公共（gòng）网络传输、存储C3类信（xìn）息时（shí），应使（shǐ）用加密措施。2020年3月新（xīn）修订的我国国家（jiā）标准GB/T 35273-2020《信息安全（quán）技术个人（rén）信息安全规范》明确（què）规定个人生物识别信息属于个人敏感信息，并对个人敏感（gǎn）信息进（jìn）行了（le）特殊保护。2020年11月27日（rì），工（gōng）信部组织（zhī）发布了电信终端产业协会团体标准（zhǔn）《APP收集使用个人信息（xī）最小必要评（píng）估规范 人脸信（xìn）息》，规定了（le）移动应用软件对（duì）人（rén）脸信息的收（shōu）集、使用、存（cún）储、销毁等活动中的（de）最小必要规范和评估方法，并（bìng）通过个人（rén）信息处理活动中的典型应用（yòng）场（chǎng）景来（lái）说（shuō）明如（rú）何（hé）落实最小（xiǎo）必要（yào）原则（zé）。

  数据治理的普遍性、技术（shù）性（xìng）、复杂性、应时（shí）性等特点决定了数据治理具有一定的软（ruǎn）法空（kōng）间，但软法欠缺强制力的特（tè）点决定了对包括（kuò）人脸信（xìn）息在内的个人生物（wù）识别信息的（de）特（tè）别保护离不（bú）开硬法的托（tuō）底。因此，有必要从硬法的（de）角（jiǎo）度系统思（sī）考对包括人（rén）脸信息（xī）在内的个（gè）人生物识别信息的特别法律保护、对人（rén）脸识别的特（tè）别法（fǎ）律规制问题。

  1、建（jiàn）立健全一体适用的安全与责（zé）任底线

  法（fǎ）律规（guī）制人脸识别（bié）技术的目的，不是一味地叫（jiào）停该项（xiàng）技（jì）术的使用，而是要在确保安全的（de）前提下，倡导一种负责任的使用。为此，笔者建议建立如下公私部（bù）门一（yī）体适用（yòng）的安（ān）全与责任底（dǐ）线。如果不（bú）符（fú）合这些安全与底线原则，则为违法收集个人信息。

  其一，无论谁使用人（rén）脸识别技术，人脸识别系（xì）统要（yào）经第三方（fāng）独立机构定期检测，以检测其准确性与非歧视性。必要时，人（rén）脸识别系统及其（qí）定期（qī）检测（cè）结果应向（xiàng）监（jiān）管部门备案（àn）。

  其二，无论谁通过公（gōng）共网络收（shōu）集、传输、存储人脸信息，都应使用加密措（cuò）施（shī），并对（duì）收集到的人脸信息进行分片段单独存储，并不得公开披露人（rén）脸信息。

  其三，无（wú）论谁（shuí）使用人（rén）脸识别技术，都（dōu）应该建立可追踪的技术体系。谁在何时何（hé）地（dì）查（chá）询、使用、修改（gǎi）、下载了人脸信息，事后都可（kě）查证，以便发生侵（qīn）权时，人脸（liǎn）识（shí）别技（jì）术（shù）使用主体对（duì）侵权人进行查证和追责。

  其（qí）四（sì），法律应（yīng）该规定（dìng），无论是谁（shuí）使用人脸识别技（jì）术，如果其收集的信（xìn）息被证明出现被盗（dào）窃、泄露、非法使用、非法出售、非（fēi）法提供（gòng）等情形，从而给信息主体造成损（sǔn）失的，收集者对（duì）受害人受到（dào）的实际（jì）损失承担连（lián）带（dài）赔（péi）偿责任；如果受（shòu）害人的实际损失难以证明，则应对（duì）每个受害人（rén）至少赔偿一定（dìng）数额（如2000元人民币（bì））的法定定额赔偿金。受（shòu）害人受到的（de）实际损失小（xiǎo）于该（gāi）法（fǎ）定定额赔偿（cháng）金的，受（shòu）害人可直（zhí）接主张法定定额赔偿（cháng）金。

  其五（wǔ），无论是谁（shuí）使用人脸（liǎn）识别技术，人们（men）均有权（quán）拒绝“刷脸”。如果（guǒ）是在无竞争性的服务领域（如民航、铁路、学校（xiào）、社（shè）区等）使（shǐ）用人（rén）脸识（shí）别技术（shù），当（dāng）人们拒绝“刷脸”时（shí），应提供其他替代性的验证机制，而不（bú）能不“刷脸”就不（bú）能使用或进入。毕竟，每个人的风（fēng）险偏好是不尽相同的，法（fǎ）律规则的（de）设置应容忍（rěn）和尊重那（nà）些低风险偏好的（de）人，尤其（qí）是在当前不能做到人脸识别（bié）系统（tǒng）百（bǎi）分之百安全的情况下（xià）。

  2、区分公私部门配置不（bú）同的规制重（chóng）心

  对政府（fǔ）部门使用（yòng）人脸识别技术应以事前事中规制为主（zhǔ），对非（fēi）政府部门使用人脸识别技（jì）术应（yīng）以事中事后（hòu）规制为主。

  政府部门（mén）执行公务过程中构成侵权，因有（yǒu）国家赔偿法的限额（é）赔（péi）偿而使当事人（rén）难以获得充分赔偿（cháng），且一旦政府部门涉嫌侵权对（duì）政府部门（mén）的声誉将造成重大不良影响，因此，应着重从事（shì）前进行风险防范，即（jí）对政府部门安（ān）装、使用人脸识别技术（shù）应坚持（chí）有（yǒu）权机（jī）构批准（zhǔn）同意原则，未经有权机构批准同意，政府（fǔ）任何部门（mén）不得安（ān）装、使用人（rén）脸识（shí）别（bié）技术。有权机构在批（pī）准时，应（yīng）考（kǎo）虑到（dào）安装、使用（yòng）人脸识（shí）别技（jì）术的必要性（xìng）、正当性，且应通过一定的（de）法律正当程序，遵循公开、透（tòu）明、民（mín）主参与等原则予以批准（zhǔn）。

  如果对商业部门安装、使用人（rén）脸识别技（jì）术坚持事前批（pī）准（zhǔn）的（de）话，因政府部门在技术上往往落后于商业部门，这（zhè）可能（néng）发展不出来一种有效的审批，更为重（chóng）要的是，还可能（néng）遏制商业创新和技术创新。但是，如果商业部（bù）门的人脸（liǎn）识（shí）别给消费者造成损害的话，受害人可以通过（guò）事（shì）后的民事诉讼（sòng）来（lái）进行追责，执法部门也可以通（tōng）过事中或事后（hòu）的执法进（jìn）行监（jiān）管和（hé）追责。当然，这（zhè）需要我们健（jiàn）全法（fǎ）律（lǜ）框（kuàng）架，使执法部门有法（fǎ）可依，使受害人可以依（yī）法维权。

  至于（yú）我国是（shì）否（fǒu）需（xū）要全面禁止政（zhèng）府部门安装、使用人脸识别系统（tǒng），这属于政治过程（chéng）决定的结果。我国公（gōng）安机（jī）关布（bù）控（kòng）的天眼系统（tǒng），通过安装在城市公共场合的摄像（xiàng）头（tóu）对人脸进行实时、精（jīng）准且快速的甄别，让犯罪分子无处可逃。但通过人脸识别技术所进行的（de）监控对（duì）个人（rén）自由的威胁（xié）也越来越引起（qǐ）人们（men）的重视（shì）。人们对全面监控感到压迫（pò）和焦（jiāo）虑。即使不（bú）全面叫停政府部（bù）门安（ān）装、使（shǐ）用人脸识别技（jì）术，也应该（gāi）对其进行严格的法（fǎ）律规制（zhì），防范安全风险，防止被滥用（yòng）。

  3、对人脸信息的采集施（shī）加比对一般个人信息的采集（jí）更强（qiáng）的规制力度

  人脸（liǎn）信息不同于一般个人信息，甚至人脸信息作为生物信（xìn）息也与其他生物信（xìn）息（xī）（如指纹）也（yě）有较大区别（bié）。因此，人脸（liǎn）信息的采集应坚持特别规制即差异（yì）化规制，即应坚（jiān）持更强的知情（qíng）同意原则。

  采集一般（bān）个（gè）人信息（xī），除了法定例外（wài）情（qíng）形，一般都需要征（zhēng）得数（shù）据主体的知（zhī）情同意。但人脸信（xìn）息具（jù）有特殊性，除了法定例外情形，其所适（shì）用的知情同意原则，应比一般的个人信（xìn）息所适用的知情同意（yì）原则更严（yán）格，即应坚（jiān）持书面（written）知（zhī）情同意原则。此外，法律应规定采集（jí）人（rén）脸信息之（zhī）前，采集（jí）者应告（gào）知被采集者（zhě）其采（cǎi）集（jí）的（de）信（xìn）息具体类型、目的、保（bǎo）存时（shí）间、被采集（jí）者（zhě）的风（fēng）险与权（quán）利，告知的方式必须是书（shū）面的（de）。