數(shù)字法治：人臉識(shí)別技術(shù)的風(fēng)險(xiǎn)與法律規(guī)制

2021-04-30 16:57:07 來(lái)源：中國(guó)周刊

作者：余圣琪：華東政法大學(xué)博士研究生。本文原載《上海法學(xué)研究》集刊2020年第15卷

隨著數(shù)字時(shí)代的到來(lái)，人臉識(shí)別技術(shù)的發(fā)展取得了重大的進(jìn)步。人臉識(shí)別技術(shù)現(xiàn)已成為一種流行，被廣泛運(yùn)用于多個(gè)領(lǐng)域。特別是在新冠肺炎疫情防控期間，人臉識(shí)別進(jìn)入了小區(qū)、校園、辦公樓，前段時(shí)間甚至進(jìn)入了東莞星級(jí)公廁引發(fā)了公眾熱議。人臉識(shí)別技術(shù)在給人們生活帶來(lái)便利的同時(shí)，也給個(gè)人隱私權(quán)、財(cái)產(chǎn)安全、公共安全帶來(lái)風(fēng)險(xiǎn)和威脅。2020年11月20日，杭州市富陽(yáng)區(qū)人民法院對(duì)我國(guó)人臉識(shí)別第一案進(jìn)行了宣判。2019年瑞典GDPR第一案因瑞典學(xué)校使用面部識(shí)別技術(shù)登記學(xué)生出勤率而被罰款。Facebook因人臉識(shí)別技術(shù)引發(fā)了其在伊利諾伊州的集體訴訟而賠償6.5億美元。加拿大商場(chǎng)在沒(méi)有獲得授權(quán)的情況下使用人臉識(shí)別技術(shù)，采集了超過(guò)五百萬(wàn)人臉信息。美國(guó)公開(kāi)禁止人臉識(shí)別技術(shù)的城市已經(jīng)包括舊金山、波特蘭市、薩默維爾市等八個(gè)城市。歐盟發(fā)布的《歐盟人工智能白皮書(shū)》提出將在公共場(chǎng)所禁用人臉識(shí)別技術(shù)3到5年。

一、人臉識(shí)別技術(shù)應(yīng)用的風(fēng)險(xiǎn)

隨著人工智能、大數(shù)據(jù)的發(fā)展，人臉識(shí)別技術(shù)成為熱門(mén)的AI技術(shù)。人們最常使用的AI應(yīng)用有“刷臉”解鎖“刷臉”支付“刷臉”簽到等。美國(guó)商會(huì)認(rèn)為面部識(shí)別技術(shù)有巨大的潛力，可以在交通、零售、酒店和金融服務(wù)等眾多領(lǐng)域中進(jìn)行創(chuàng)新。人臉識(shí)別技術(shù)不同于其他的生物識(shí)別技術(shù)，具有不可復(fù)制性、非接觸性、可擴(kuò)展性和快速性等特點(diǎn)。人臉識(shí)別技術(shù)在應(yīng)用中對(duì)于個(gè)人隱私權(quán)保護(hù)、財(cái)產(chǎn)權(quán)益及公民權(quán)利具有法律風(fēng)險(xiǎn)。

（一）人臉信息的收集侵犯隱私權(quán)保護(hù)

人臉識(shí)別技術(shù)日益完善，在街頭的各處都布有攝像頭，收集個(gè)人面部生物信息更加便捷。人臉識(shí)別技術(shù)在抓取個(gè)人的面部信息后，與數(shù)據(jù)庫(kù)的既有數(shù)據(jù)進(jìn)行比對(duì)。通過(guò)個(gè)人圖像與一個(gè)廣泛已知的圖像數(shù)據(jù)庫(kù)進(jìn)行比對(duì)，確定一個(gè)未知人的身份是一種侵入個(gè)人領(lǐng)域的表現(xiàn)。雖然不屬于隱私，但由于個(gè)人面部生物信息具有唯一性，且能通過(guò)信息比對(duì)知曉個(gè)人的基本信息、出行軌跡、密切接觸人員等相關(guān)信息，人臉信息的收集挑戰(zhàn)對(duì)于隱私權(quán)的保護(hù)。

一方面，人臉信息收集的方式挑戰(zhàn)“信息隱私權(quán)”。隱私權(quán)是自然人所享有的私人生活安寧與私人信息秘密依法受到保護(hù)，不被他人非法侵?jǐn)_、知悉、搜集、利用和公開(kāi)的一種人格權(quán)。到底何為隱私？隱私既可以視為物理的私人空間不被打擾的權(quán)利，也可以包括在數(shù)字、虛擬世界中不受干擾的權(quán)利。隱私權(quán)理論起源于美國(guó)，是在自由主義思想影響下的產(chǎn)物。美國(guó)的隱私權(quán)理論從基于“獨(dú)處權(quán)”的隱私權(quán)理論，隨著信息技術(shù)的發(fā)展，延伸出了信息隱私權(quán)理論以適應(yīng)高速發(fā)展的信息社會(huì)。

1967年，威斯汀在《隱私與自由》一書(shū)中提出了“信息性隱私權(quán)”?！八^隱私權(quán)，指自然人所享有的決定何時(shí)、何種方式以及何種程度將其個(gè)人信息向別人公開(kāi)的權(quán)利?！睆耐雇?duì)“信息性隱私權(quán)”的界定中可以看出，在信息時(shí)代，隱私權(quán)更多體現(xiàn)的是一種決定權(quán)。決定何時(shí)、以何種方式以及何種程度的信息公開(kāi)的權(quán)利。威斯汀的信息隱私權(quán)理論在司法實(shí)踐中得到了聯(lián)邦最高法院的認(rèn)可，在具體個(gè)案中法院對(duì)于信息隱私權(quán)理論進(jìn)行了系統(tǒng)的闡釋。信息隱私理論的核心是“控制權(quán)”，信息隱私權(quán)指自然人所享有的對(duì)其個(gè)人信息以及能夠被識(shí)別的個(gè)人信息獲取、披露和使用予以“控制”的權(quán)利。人臉信息的收集目前多采取在生活場(chǎng)景中放置攝像頭拍攝和識(shí)別的方式，如售樓處對(duì)看房者使用人臉識(shí)別系統(tǒng)進(jìn)行抓拍。這樣的無(wú)接觸性收集方式侵害了被收集者的“信息隱私權(quán)”，被收集者無(wú)從知曉于何時(shí)何地被收集了人臉信息，更無(wú)法對(duì)人臉信息行使控制權(quán)。

另一方面，人臉信息的比對(duì)識(shí)別損害“人格尊嚴(yán)”。隱私權(quán)保護(hù)自然人的安寧狀態(tài)及個(gè)人的人格尊嚴(yán)。信息主體的人格尊嚴(yán)和自由價(jià)值需要進(jìn)行保護(hù)已經(jīng)成為共識(shí)。“人格尊嚴(yán)”表征著人是主體、目的，而非手段、工具，擁有不可侵犯與不可剝奪的尊嚴(yán)。人們對(duì)自身價(jià)值有著本能和微妙的感覺(jué)，對(duì)自身價(jià)值的貶損不亞于對(duì)身體和財(cái)物的損害。人格尊嚴(yán)是一項(xiàng)根本的、終極性的價(jià)值，它需要通過(guò)具體權(quán)利來(lái)實(shí)現(xiàn)，隱私權(quán)是人格尊嚴(yán)在私法領(lǐng)域的體現(xiàn)，是人格尊嚴(yán)的必要條件。在數(shù)字時(shí)代，人格尊嚴(yán)體現(xiàn)為能夠?yàn)樽约核?dú)立自主支配的私人空間，并且能在私人空間中不受打擾地展示自己。人臉識(shí)別技術(shù)中心的“識(shí)別”已經(jīng)不再只是個(gè)人對(duì)世界的識(shí)別，逐漸演化為社會(huì)機(jī)器對(duì)個(gè)人的識(shí)別。與此同時(shí)，隱私理論也從古典時(shí)期的空間范式向信息時(shí)代的控制范式進(jìn)行轉(zhuǎn)變。

個(gè)人“信息自決權(quán)”最早是由德國(guó)的施泰姆勒在70年代個(gè)人信息保護(hù)法的草案中提出。個(gè)人“信息自決權(quán)”強(qiáng)調(diào)的是信息主體對(duì)于個(gè)人信息的自我決定的權(quán)利。從“個(gè)人信息權(quán)”的角度出發(fā)，個(gè)人行使自決權(quán)的前提是充分知情，即個(gè)人需要充分了解風(fēng)險(xiǎn)，同時(shí)要求個(gè)人全程參與個(gè)人信息流動(dòng)的過(guò)程。人臉識(shí)別技術(shù)進(jìn)行無(wú)感抓拍、實(shí)行非接觸性的收集，在這種情況下個(gè)人無(wú)法控制甚至無(wú)法意識(shí)到自己的面部生物信息正在被收集和使用。人臉識(shí)別信息如果被泄露或者濫用，將會(huì)對(duì)個(gè)人隱私造成巨大損害與此同時(shí)也將嚴(yán)重的侵犯人格尊嚴(yán)。正如瑞典在2019年對(duì)一所學(xué)校使用面部識(shí)別技術(shù)來(lái)登記學(xué)生的出勤率，瑞典數(shù)據(jù)監(jiān)管局認(rèn)為這種行為嚴(yán)重侵犯了學(xué)生的個(gè)人隱私，對(duì)該校處于瑞典歷史上第一個(gè)GDPR處罰。人臉識(shí)別信息屬于典型的敏感個(gè)人信息，我國(guó)《公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》和《個(gè)人信息安全規(guī)范》規(guī)定對(duì)于敏感信息的收集需要獲得信息主體的明示同意授權(quán)。學(xué)校收集、處理和使用面部信息需要獲得學(xué)生的同意和授權(quán)

（二）人臉信息的非法使用侵害財(cái)產(chǎn)權(quán)益

中國(guó)的人臉識(shí)別技術(shù)在安防、交通、金融、教育等各個(gè)領(lǐng)域已開(kāi)始廣泛運(yùn)用。通過(guò)攝像頭可以輕松獲取面部生物信息。與此同時(shí)，人臉信息易于被破解，破解廈門(mén)銀行APP人臉識(shí)別技術(shù)的“黑客”是僅有初中文化的00后。人臉識(shí)別技術(shù)給人們的生活帶來(lái)了便利、使得管理變得高效有序，但是如果人臉信息被泄露和濫用將會(huì)對(duì)信息主體、信息控制者、信息使用者造成財(cái)產(chǎn)權(quán)益的損害。

其一，人臉信息的泄露侵害信息主體財(cái)產(chǎn)權(quán)益。人臉信息屬于生物識(shí)別信息，我國(guó)《信息安全技術(shù)個(gè)人信息安全規(guī)范》將生物識(shí)別信息歸屬于敏感數(shù)據(jù)。我國(guó)《公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》和《個(gè)人信息安全規(guī)范》將一般信息和個(gè)人敏感信息作出了區(qū)分，并規(guī)定對(duì)于敏感信息的收集需要獲得信息主體的明示同意授權(quán)。即在收集人臉信息時(shí)，建立在信息主體知情同意的基礎(chǔ)上；人臉信息在使用時(shí)，應(yīng)該在確保安全的前提下公開(kāi)使用規(guī)則、使用目的、方式和范圍。隨著人臉識(shí)別技術(shù)的發(fā)展，信息泄露造成信息主體財(cái)產(chǎn)權(quán)益損害的案件頻頻發(fā)生。正如多家售樓處使用人臉識(shí)別系統(tǒng)區(qū)分不同的客戶以進(jìn)行不同的優(yōu)惠。決定購(gòu)房?jī)?yōu)惠力度的關(guān)鍵是購(gòu)房者是否曾經(jīng)被人臉識(shí)別系統(tǒng)拍到，而這個(gè)人臉識(shí)別系統(tǒng)，購(gòu)房者即使戴著口罩也可以進(jìn)行識(shí)別。為了保護(hù)個(gè)人信息，避免財(cái)產(chǎn)權(quán)益的損失，出現(xiàn)了購(gòu)房者戴著頭盔去看房的新聞。

其二，人臉信息的濫用沖擊企業(yè)商業(yè)利益和國(guó)家公共利益。人臉信息是復(fù)合權(quán)益的體現(xiàn)。一方面，個(gè)人面部生物信息不僅承載著“人格要素”，同時(shí)也承載著“財(cái)產(chǎn)利益”。之前在網(wǎng)絡(luò)商城，有商家公開(kāi)出售“人臉數(shù)據(jù)”，數(shù)量達(dá)到17萬(wàn)條之多，而且當(dāng)事人對(duì)此事毫不知情。另一方面，個(gè)人面部生物信息具有多重利益主體。人臉信息對(duì)于數(shù)據(jù)主體而言具有個(gè)人價(jià)值、對(duì)于企業(yè)而言具有商業(yè)價(jià)值、對(duì)于社會(huì)而言具有公共價(jià)值。人臉信息的濫用導(dǎo)致企業(yè)的商業(yè)利益和國(guó)家的公共利益都受到損害。正如我國(guó)人臉信息刑事第一案，犯罪嫌疑人通過(guò)濫用人臉信息進(jìn)行頭像偽造，損害了企業(yè)的財(cái)產(chǎn)權(quán)益。在“凈網(wǎng)2020”行動(dòng)中，龍崗警方在廣東、河南、山東等地抓獲犯罪嫌疑人13名，不法分子利用人臉信息提供虛假注冊(cè)、刷臉支付等數(shù)據(jù)黑產(chǎn)服務(wù)。

（三）人臉信息的識(shí)別誤差損害人權(quán)保護(hù)

面部識(shí)別技術(shù)主要是通過(guò)公共場(chǎng)所中攝像頭拍攝到的人臉信息與數(shù)據(jù)庫(kù)中的圖像進(jìn)行對(duì)比識(shí)別，使用面部識(shí)別技術(shù)對(duì)人權(quán)的侵犯主要源于人臉識(shí)別技術(shù)的核心算法設(shè)計(jì)。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院的一份研究表明，不同開(kāi)發(fā)者的算法精確度不同。研究評(píng)估了軟件算法后發(fā)現(xiàn)，在一對(duì)一的匹配中，亞洲與非洲裔美國(guó)人比白種人的人臉圖像取偽錯(cuò)誤率更高；在一對(duì)多的匹配中，非洲裔美國(guó)女性的取偽錯(cuò)率較高。

一是人臉信息掌握的不對(duì)稱。隨著數(shù)字時(shí)代的到來(lái)，由傳統(tǒng)社會(huì)走向了信息社會(huì)，由單一的物理空間向物理/電子（現(xiàn)實(shí)/虛擬）的雙重空間轉(zhuǎn)換。信息時(shí)代有三個(gè)變化：“雙重空間”“人機(jī)協(xié)同”“雙重屬性”?！皻v史已經(jīng)向我們表明重大的技術(shù)變遷會(huì)導(dǎo)致社會(huì)和經(jīng)濟(jì)的范式轉(zhuǎn)換”，人臉識(shí)別技術(shù)的應(yīng)用將引起數(shù)字時(shí)代人權(quán)的重塑和變革。“所有的數(shù)據(jù)都由我們自身產(chǎn)生，但所有權(quán)卻并不歸屬于我們”。正如各種街頭、商戶、銀行、學(xué)校等的攝像頭，無(wú)感實(shí)時(shí)的抓拍由我們自身產(chǎn)生的具有唯一性且不可更改的人臉信息，但我們卻無(wú)法控制和使用這些信息，甚至我們根本無(wú)從知曉何時(shí)何地被收集了人臉信息。由于沒(méi)有經(jīng)過(guò)用戶的同意非法收集和存儲(chǔ)了數(shù)百萬(wàn)用戶的生物特征數(shù)據(jù)，2015年Facebook被美國(guó)伊利諾伊州的用戶提起集體訴訟，F(xiàn)acebook同意將賠償金額由5.5億美元增加至6.5億美元，目前訴訟雙方已達(dá)成和解。由于信息掌握的不對(duì)稱性，人臉信息的被收集者常常無(wú)法知道信息被收集，沒(méi)有經(jīng)過(guò)當(dāng)事人同意收集、使用人臉識(shí)別，會(huì)侵犯其個(gè)人的人權(quán)。

二是人臉數(shù)據(jù)的鴻溝。由于技術(shù)或者經(jīng)濟(jì)等相關(guān)方面的原因如沒(méi)有互聯(lián)網(wǎng)設(shè)備、缺少互聯(lián)網(wǎng)知識(shí)等造成的數(shù)據(jù)鴻溝，數(shù)據(jù)鴻溝對(duì)一些社會(huì)群體進(jìn)行賦權(quán)，而對(duì)另一些社會(huì)群體則沒(méi)有。由于數(shù)據(jù)鴻溝的關(guān)系，知識(shí)儲(chǔ)備和技術(shù)掌握的不同，人們對(duì)于人臉識(shí)別技術(shù)所持有的觀點(diǎn)也不同。有人認(rèn)為人臉識(shí)別技術(shù)是科技的進(jìn)步，為我們的生活帶來(lái)便利，順其自然的享受便利即可；也有人認(rèn)為人臉識(shí)別技術(shù)的泄露和濫用有侵犯人權(quán)的風(fēng)險(xiǎn)；還有人認(rèn)為在享受人臉識(shí)別技術(shù)便利的同時(shí)需要對(duì)人臉識(shí)別技術(shù)的使用進(jìn)行規(guī)定和限制。人臉識(shí)別技術(shù)的算法由于數(shù)據(jù)的鴻溝不易被人們所了解，算法的識(shí)別誤差侵犯公民的基本權(quán)利。例如北京地鐵站為了提高安檢效率準(zhǔn)備對(duì)乘客進(jìn)行分類安檢，對(duì)于不同類別的乘客采取不同的安檢方式。這樣的分類標(biāo)準(zhǔn)是一種算法的體現(xiàn)，由于數(shù)據(jù)鴻溝的存在算法不易被人理解、接受，這樣的分類行為將侵犯公民的人權(quán)。

二、域外人臉識(shí)別技術(shù)的法律規(guī)制

由于政治、經(jīng)濟(jì)、社會(huì)和文化的不同，歐美對(duì)于人臉識(shí)別技術(shù)的法律規(guī)制方式和路徑也不相同。美國(guó)采取的是分散的管理模式，美國(guó)各州在聯(lián)邦政府之前已經(jīng)開(kāi)始對(duì)人臉識(shí)別技術(shù)的使用進(jìn)行規(guī)制。目前已經(jīng)有八個(gè)州公開(kāi)禁止使用人臉識(shí)別技術(shù)；歐盟采取的是統(tǒng)一禁止的態(tài)度，強(qiáng)調(diào)對(duì)于“基本權(quán)利”的保護(hù)。

（一）美國(guó)人臉識(shí)別應(yīng)用的法律規(guī)制

美國(guó)對(duì)數(shù)據(jù)隱私和數(shù)據(jù)安全領(lǐng)域進(jìn)行分別立法，并且美國(guó)聯(lián)邦層面沒(méi)有制定統(tǒng)一的數(shù)據(jù)保護(hù)基本法典，而是對(duì)數(shù)據(jù)進(jìn)行分行業(yè)式的分散立法，制定專門(mén)的數(shù)據(jù)保護(hù)法律，進(jìn)行分類管理。美國(guó)各州則形成了具有各州特色的數(shù)據(jù)保護(hù)法律框架。關(guān)于人臉識(shí)別技術(shù)的運(yùn)用，目前美國(guó)聯(lián)邦層面沒(méi)有統(tǒng)一的法律法規(guī)，但部分州已經(jīng)在聯(lián)邦之前對(duì)人臉識(shí)別技術(shù)進(jìn)行限制。

由于歷史傳統(tǒng)文化及立法驅(qū)動(dòng)力的不同，美國(guó)在保護(hù)個(gè)人數(shù)據(jù)主體權(quán)利的基礎(chǔ)上，側(cè)重于促進(jìn)數(shù)據(jù)共享流動(dòng)與數(shù)據(jù)的商業(yè)利用價(jià)值。關(guān)于人臉識(shí)別的數(shù)據(jù)保護(hù)，美國(guó)對(duì)于政府等公權(quán)力部門(mén)和商業(yè)私營(yíng)機(jī)構(gòu)采取了不同的規(guī)制態(tài)度。通過(guò)抑制政府部門(mén)權(quán)力，利用美國(guó)各個(gè)行業(yè)之間的嚴(yán)格自律來(lái)實(shí)現(xiàn)人臉數(shù)據(jù)隱私保護(hù)的目的。由于面部生物信息具有易獲取性、唯一性、不可更改性、難以救濟(jì)性等特征，《2019年商業(yè)面部識(shí)別隱私》提出禁止商業(yè)上的面部信息的使用，足以可見(jiàn)面部生物信息保護(hù)的特殊性和重要性。2020年2月，美國(guó)兩位民主黨參議員提出了人臉識(shí)別道德使用法案，主要包括三個(gè)方面：其一成立國(guó)會(huì)委員會(huì)，專門(mén)制定在美國(guó)使用人臉識(shí)別技術(shù)的準(zhǔn)則；其二在委員會(huì)頒布人臉識(shí)別技術(shù)使用指南前，限制政府機(jī)構(gòu)使用人臉識(shí)別技術(shù)；其三是關(guān)于救濟(jì)渠道和限制聯(lián)邦基金使用的相關(guān)執(zhí)行規(guī)定。美國(guó)科技業(yè)代表公司對(duì)于公權(quán)力機(jī)關(guān)使用人臉識(shí)別技術(shù)相繼表態(tài)，IBMCEO克里希納宣布不再提供通用人臉識(shí)別軟件，亞馬遜、微軟都聲明將暫停向警方提供人臉識(shí)別技術(shù)，并提議國(guó)家相關(guān)法律的出臺(tái)。

目前，已經(jīng)有八個(gè)州對(duì)人臉識(shí)別技術(shù)的應(yīng)用作出相關(guān)規(guī)定。美國(guó)舊金山市、奧克蘭、薩默維爾、麥迪遜等市都對(duì)人臉識(shí)別技術(shù)出臺(tái)了禁令。2019年5月，美國(guó)舊金山出臺(tái)了停止秘密監(jiān)控法令，禁止將人臉識(shí)別技術(shù)用于公共部門(mén)，成為美國(guó)第一個(gè)禁止使用人臉識(shí)別技術(shù)的城市。伊利諾伊州制定了生物識(shí)別數(shù)據(jù)相關(guān)的專門(mén)法案，生物信息隱私法案于2008年頒布，是美國(guó)境內(nèi)第一部規(guī)范“生物標(biāo)識(shí)符和信息”的法律。伊利諾伊州擁有全美關(guān)于生物特征隱私保護(hù)最全面的法律，基于此Facebook同意賠償6.5億美金與伊利諾伊州集體訴訟的用戶和解。2020年3月華盛頓州通過(guò)人臉識(shí)別服務(wù)法，該法強(qiáng)調(diào)州和地方政府機(jī)構(gòu)應(yīng)以有益于社會(huì)、保護(hù)公民自由的方式使用人臉識(shí)別技術(shù)。首先，州或地方政府機(jī)構(gòu)在開(kāi)發(fā)、使用、獲取人臉識(shí)別服務(wù)時(shí)需要向立法機(jī)關(guān)提交問(wèn)責(zé)報(bào)告；其次，在運(yùn)營(yíng)狀態(tài)下對(duì)人臉識(shí)別服務(wù)進(jìn)行合法、獨(dú)立、合理的測(cè)試，確保準(zhǔn)確性。最后，從事人臉識(shí)別服務(wù)的技術(shù)人員需要定期進(jìn)行培訓(xùn)。由此可見(jiàn)，華盛頓州對(duì)政府使用人臉識(shí)別技術(shù)進(jìn)行嚴(yán)格限制。加州也在2020年制定專門(mén)的人臉識(shí)別法，該法授予個(gè)人關(guān)于人臉識(shí)別信息的確認(rèn)權(quán)、刪除權(quán)、撤回權(quán)以及糾正或質(zhì)疑的權(quán)利；與此同時(shí)，加州人臉識(shí)別法規(guī)定了強(qiáng)制令處罰，對(duì)違法行為處以不超過(guò)2500美元的民事處罰或?qū)室膺`法行為處以7500美元的罰款。

（二）歐盟人臉識(shí)別技術(shù)的法律規(guī)制

歐盟目前并沒(méi)有對(duì)于人臉識(shí)別技術(shù)的應(yīng)用制定專門(mén)的法律法規(guī)，主要是通過(guò)通用數(shù)據(jù)保護(hù)條例（以下簡(jiǎn)稱GDPR）進(jìn)行法律規(guī)制。歐盟制定的GDPR以人權(quán)高度及天價(jià)罰款樹(shù)立起保護(hù)個(gè)人數(shù)據(jù)權(quán)利的最高標(biāo)準(zhǔn)。GDPR第1章是關(guān)于基本條款的規(guī)定，第2章談?wù)摰氖菙?shù)據(jù)保護(hù)的基本原則，第3章對(duì)數(shù)據(jù)權(quán)利保護(hù)進(jìn)行了專章的規(guī)定，由此可以看出GDPR對(duì)于數(shù)據(jù)權(quán)利的重視。

歐盟對(duì)于人臉識(shí)別技術(shù)的規(guī)制不同于美國(guó)，采取統(tǒng)一禁止的管理模式。歐盟不僅僅限制公權(quán)力收集人臉信息同時(shí)也嚴(yán)格限制私企業(yè)采集人臉數(shù)據(jù)。具體到歐洲各國(guó)，對(duì)于人臉識(shí)別技術(shù)的規(guī)制持有不同的態(tài)度。瑞典GDPR第一案以及法國(guó)數(shù)據(jù)保護(hù)法都表明出對(duì)人臉識(shí)別數(shù)據(jù)的強(qiáng)監(jiān)管態(tài)度。但英國(guó)卻表現(xiàn)出不同的態(tài)度，認(rèn)可警察使用人臉識(shí)別技術(shù)的合法性。2019年5月，英國(guó)公民里奇斯認(rèn)為南威爾士警方在沒(méi)有獲得其本人同意的情況下，使用人臉識(shí)別技術(shù)獲取了其面部生物數(shù)據(jù)的行為侵犯了其隱私權(quán)。原告認(rèn)為警方使用人臉識(shí)別技術(shù)“AFRLocate”違反了《歐洲人權(quán)公約》，違背英國(guó)數(shù)據(jù)保護(hù)法的相關(guān)規(guī)定，未盡公共部門(mén)平等職責(zé)。

法院認(rèn)為：第一，警方使用“AFRLocate”有職權(quán)依據(jù)，警察的普遍法權(quán)力使得警方可以使用該人臉識(shí)別設(shè)備，警察為了預(yù)防、偵查犯罪有權(quán)合理使用個(gè)人的照片。第二，警方使用“AFRLocate”符合正當(dāng)性原則。警方在部署人臉識(shí)別設(shè)備時(shí)對(duì)公眾進(jìn)行了告知；使用該技術(shù)有時(shí)限限制且覆蓋范圍有限；對(duì)于原告權(quán)利的限制僅限于對(duì)其面部數(shù)據(jù)的比對(duì)，如果比對(duì)成功最多保留24小時(shí)，如果未比對(duì)成功將會(huì)自動(dòng)刪除，并不涉及對(duì)原告信息的披露和存儲(chǔ)。

三、完善我國(guó)人臉識(shí)別技術(shù)的法律規(guī)制

隨著萬(wàn)物互聯(lián)時(shí)代的到來(lái)，數(shù)據(jù)成為一種財(cái)富，成為驅(qū)動(dòng)商業(yè)的一種重要模式。運(yùn)用人臉識(shí)別技術(shù)收集的面部生物信息，對(duì)于個(gè)人而言使得生活更加便捷、智能；對(duì)于企業(yè)而言人臉數(shù)據(jù)具有高額的變現(xiàn)價(jià)值；對(duì)于政府而言利用人臉識(shí)別技術(shù)有利于社會(huì)的治理。由于信息革命的推動(dòng)，引發(fā)了包括價(jià)值觀念、生產(chǎn)方式、生活方式、社會(huì)關(guān)系、社會(huì)秩序等在內(nèi)的全方位的變革。我國(guó)在運(yùn)用人臉識(shí)別技術(shù)推動(dòng)智慧社會(huì)建設(shè)的同時(shí)，也要注意人臉識(shí)別技術(shù)運(yùn)用帶來(lái)的法律風(fēng)險(xiǎn)，完善我國(guó)人臉識(shí)別技術(shù)的法律規(guī)制。

（一）建構(gòu)統(tǒng)一的法律規(guī)范體系

對(duì)于個(gè)人信息保護(hù)，我國(guó)多部法律、行政法規(guī)、部門(mén)規(guī)章、地方性法規(guī)、地方規(guī)章及司法解釋都作出了相關(guān)規(guī)定。目前我國(guó)采用的是安全防范為主兼顧數(shù)字經(jīng)濟(jì)發(fā)展的個(gè)人信息保護(hù)模式。我國(guó)制定了很多與安全相關(guān)的規(guī)范，如國(guó)家安全法、網(wǎng)絡(luò)安全法、個(gè)人信息安全規(guī)范、網(wǎng)絡(luò)安全審查辦法、數(shù)據(jù)安全法草案、個(gè)人信息保護(hù)法草案等，法律規(guī)范體系都是從安全風(fēng)險(xiǎn)防范的邏輯體系構(gòu)建的，與此同時(shí)，我國(guó)高度重視數(shù)字經(jīng)濟(jì)的發(fā)展。總體而言，由于我國(guó)個(gè)人信息保護(hù)的法律規(guī)范體系不完整，呈現(xiàn)出“碎片化”“散亂化”“板塊化”的特點(diǎn)。

我國(guó)需要制定統(tǒng)一的個(gè)人信息保護(hù)法。具體到人臉識(shí)別規(guī)制上，我國(guó)目前并沒(méi)有對(duì)人臉數(shù)據(jù)的規(guī)制進(jìn)行專門(mén)立法，多以地方性法規(guī)和部門(mén)規(guī)章的形式予以規(guī)制?！缎畔踩夹g(shù)個(gè)人信息安全規(guī)范》對(duì)個(gè)人敏感信息進(jìn)行了界定，并將一般信息和個(gè)人敏感信息作出了區(qū)分，規(guī)定對(duì)于指紋、虹膜、面部信息等敏感信息的收集需要獲得信息主體的明示授權(quán)同意?！缎畔踩夹g(shù)個(gè)人信息安全規(guī)范》是國(guó)家標(biāo)準(zhǔn)，法律效力較低，對(duì)于生物識(shí)別信息的法律屬性、功能沒(méi)有具體的規(guī)定，缺乏系統(tǒng)、統(tǒng)一的法律規(guī)制機(jī)制。因此需要制定統(tǒng)一的個(gè)人信息保護(hù)法。

（二）建立政府主導(dǎo)的多重治理機(jī)制

隨著互聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)的發(fā)展，人類進(jìn)入了數(shù)字時(shí)代。在大數(shù)據(jù)時(shí)代，人臉識(shí)別技術(shù)的應(yīng)用對(duì)于企業(yè)而言具有變現(xiàn)價(jià)值。在使用人臉識(shí)別技術(shù)時(shí)，人臉數(shù)據(jù)的保護(hù)應(yīng)該強(qiáng)調(diào)政府和社會(huì)共同參與、合作，鼓勵(lì)互聯(lián)網(wǎng)企業(yè)、行業(yè)協(xié)會(huì)等單位依法收集、處理、使用人臉數(shù)據(jù)，在保護(hù)數(shù)據(jù)權(quán)利的前提下才能更好地促進(jìn)人臉識(shí)別技術(shù)的使用和發(fā)展。

各大互聯(lián)網(wǎng)企業(yè)是數(shù)據(jù)權(quán)利保護(hù)重要的主體，加強(qiáng)企業(yè)的自律機(jī)制也是數(shù)據(jù)權(quán)利保護(hù)的重要環(huán)節(jié)。正如美國(guó)對(duì)于數(shù)據(jù)立法采用的是自由式市場(chǎng)為導(dǎo)向，以強(qiáng)監(jiān)管為基礎(chǔ)的治理模式。為了促進(jìn)數(shù)據(jù)的流動(dòng)，CCPA采用的是選擇退出（opt-out）的模式，對(duì)于數(shù)據(jù)收集采取的是通知告知原則。CCPA的管轄范圍設(shè)置了三個(gè)門(mén)檻：第一個(gè)是年收入門(mén)檻，即年度總收入超過(guò)2500萬(wàn)美元；第二個(gè)門(mén)檻是數(shù)量門(mén)檻，即5萬(wàn)條及以上數(shù)量的個(gè)人信息；第三個(gè)門(mén)檻是收入比例門(mén)檻，即年收入的50%及以上來(lái)自出售消費(fèi)者個(gè)人信息。只有當(dāng)企業(yè)達(dá)到上述一個(gè)或多個(gè)門(mén)檻時(shí)，并且“以商業(yè)目的處理加州居民個(gè)人信息”時(shí)，才屬于CCPA管轄的實(shí)體。由于美國(guó)對(duì)于數(shù)據(jù)的價(jià)值取向更加鼓勵(lì)數(shù)據(jù)的自由流動(dòng)，所以美國(guó)鼓勵(lì)企業(yè)實(shí)行自律管理，但當(dāng)企業(yè)無(wú)法自我規(guī)制，美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）有強(qiáng)監(jiān)管權(quán)。歐盟GDPR采用的是選擇進(jìn)入（opt-in）的模式，GDPR重視對(duì)于人權(quán)的保護(hù)，在使用數(shù)據(jù)之前需要獲得數(shù)據(jù)主體的同意，才能選擇進(jìn)入。我國(guó)對(duì)于人臉數(shù)據(jù)應(yīng)該采用“opt-in”為主、“opt-out”為輔的模式，因?yàn)槿四様?shù)據(jù)等生物識(shí)別數(shù)據(jù)屬于敏感信息，需要建立在主體數(shù)據(jù)明示同意授權(quán)的基礎(chǔ)上才能進(jìn)入，在選擇進(jìn)入后應(yīng)該給予企業(yè)風(fēng)險(xiǎn)評(píng)估等數(shù)據(jù)處理的空間和權(quán)利。

（三）塑造“數(shù)字人權(quán)”的正義觀

隨著大數(shù)據(jù)、人工智能的發(fā)展，人臉識(shí)別技術(shù)也在走進(jìn)人們的日常生活。人臉識(shí)別技術(shù)在給人們的生活帶來(lái)便利的同時(shí)也存在著侵犯公民人權(quán)的風(fēng)險(xiǎn)。2011年聯(lián)合國(guó)宣布互聯(lián)網(wǎng)接入權(quán)是基礎(chǔ)性人權(quán)，2016年聯(lián)合國(guó)認(rèn)為互聯(lián)網(wǎng)相關(guān)的權(quán)利是人權(quán)的重要組成部分，2018年聯(lián)合國(guó)社會(huì)發(fā)展研究機(jī)構(gòu)（UNRISD）在報(bào)告中討論了新技術(shù)對(duì)于傳統(tǒng)三代人權(quán)的變革和顛覆。

卡雷爾·瓦薩克提出的“三代人權(quán)”理論被大眾所知悉并接受，“第一代人權(quán)”主張公民政治權(quán)利，“第二代人權(quán)”強(qiáng)調(diào)經(jīng)濟(jì)、社會(huì)和文化權(quán)利，“第三代人權(quán)”主張的是民族自決權(quán)和生存發(fā)展權(quán)。自主性、福利和自由構(gòu)成了最高層次的人權(quán)的一個(gè)三元組合。三代人權(quán)的理念都建立在傳統(tǒng)的工商業(yè)時(shí)代基礎(chǔ)上，涉及的是物理時(shí)空中的生產(chǎn)生活關(guān)系。如今數(shù)字時(shí)代，傳統(tǒng)的人權(quán)理念已經(jīng)無(wú)法保護(hù)數(shù)字時(shí)代遭遇的線上線下雙重空間的人權(quán)挑戰(zhàn)，如算法霸權(quán)、算法歧視、數(shù)字鴻溝等。數(shù)字人權(quán)是以數(shù)據(jù)和信息為載體，展現(xiàn)著智慧社會(huì)中人的數(shù)字化生存樣態(tài)和發(fā)展需求的基本權(quán)利，其目標(biāo)在于反技術(shù)霸權(quán)、反數(shù)據(jù)信息控制，努力消解和應(yīng)對(duì)信息鴻溝、侵犯隱私、算法歧視、監(jiān)控?cái)U(kuò)張等人權(quán)難題?！皵?shù)字人權(quán)”的意義在于，以人權(quán)的力量和權(quán)威強(qiáng)化對(duì)數(shù)字科技開(kāi)發(fā)及其運(yùn)用的倫理約束和法律規(guī)制。雖然“數(shù)字人權(quán)”理念目前只是處在學(xué)界討論的階段，并沒(méi)有相關(guān)的法律法規(guī)或制度上予以確立。但伴隨著數(shù)字科技的發(fā)展，社會(huì)已經(jīng)進(jìn)入到智能時(shí)代，“數(shù)字人權(quán)”是更加適合數(shù)字時(shí)代的人權(quán)觀念?！盁o(wú)數(shù)字，不人權(quán)”。數(shù)字時(shí)代帶來(lái)的社會(huì)全方位的變革使得“數(shù)字人權(quán)”的探討和研究急迫且重要。

結(jié) 語(yǔ)

郭兵訴杭州野生動(dòng)物世界有限公司案被稱為中國(guó)“人臉識(shí)別第一案”，2020年11月20日法院進(jìn)行了判決，引起了學(xué)界的關(guān)注和討論。人臉識(shí)別技術(shù)目前被廣泛地運(yùn)用于各個(gè)領(lǐng)域?！叭四樧R(shí)別”技術(shù)在便利生活、發(fā)揮技術(shù)潛力的同時(shí)也存在著法律風(fēng)險(xiǎn)，如人臉信息的收集侵犯隱私權(quán)保護(hù)、人臉信息的非法使用侵害財(cái)產(chǎn)權(quán)益、人臉信息的識(shí)別誤差損害人權(quán)保護(hù)。域外對(duì)于人臉識(shí)別技術(shù)的法律規(guī)制也不相同，歐盟采取的是統(tǒng)一禁止的態(tài)度；美國(guó)目前已經(jīng)有八個(gè)州公開(kāi)禁止使用人臉識(shí)別技術(shù)。我國(guó)目前并沒(méi)有制定專門(mén)規(guī)制“人臉識(shí)別”技術(shù)的法律法規(guī)，為了防范“人臉識(shí)別”運(yùn)用帶來(lái)的法律風(fēng)險(xiǎn)，需要建構(gòu)統(tǒng)一的法律規(guī)范體系、建立政府主導(dǎo)的多重治理機(jī)制、塑造“數(shù)字人權(quán)”的正義觀等規(guī)制方式，在保護(hù)公民隱私權(quán)、財(cái)產(chǎn)權(quán)益、人權(quán)的同時(shí)促進(jìn)“人臉識(shí)別”技術(shù)合法、合理的使用。

《數(shù)字法治》專題由華東政法大學(xué)數(shù)字法治研究院供稿。專題統(tǒng)籌：秦前松。

編輯：海洋