企业合规师资讯：人脸识别技术的法律风险及规制路径

      人脸识别技术是在开源算法以及框架的基础上所形成的一种生物识别技术，“人脸识别系统主要包括人脸图像采集及检测、人脸图像预处理、人脸图像特征提取、人脸图像匹配与识别四个组成部分，主要针对人脸中不易产生变化的部分，如眼眶、颧骨周围及嘴部边缘区域等进行图像处理”。

      人脸识别是最自然的解锁方式，其应用场景正在不断延伸。和虹膜、视网膜、声纹、指纹等专属个人生物信息相比，人脸信息具有明显的身份表征性和可识别性，可以在实时移动、光线变化的多样化场景中被应用，但是同时具有弱隐私性，加之开源算法的无偿性和开放性，故该项技术给人们日常生活带来快捷便利的同时，也存在安全保护不足的问题，如果滥采滥用人脸信息就会产生隐私泄露、数据安全、催生非法产业等问题，亟须法律予以规范。人脸识别支付作为一种具有便捷性、无接触性、易推广性的新型支付方式，广泛应用于生活场景，在数字经济高速发展背景下具有天然的发展优势。

      存在的风险

      当前，人脸识别技术能够为社会治理智能化转型提供大量技术支持，但却由于人脸识别技术极易被滥用，也容易在当前社会不断发展的背景下带来诸多风险。目前，我国对人脸识别技术的法律规制并未跟上这一技术广泛运用的趋势，具体表现为这一技术在实际运用过程中未明确其权利属性、可能产生一定规制效果的立法目的并不一致且针对性不强以及法律本身所具有的事后规制逻辑导致的一系列问题。主要表现在以下三个方面：

      一是误差风险。人脸识别技术在本质上是容易出错的。生物特征比较系统提供的答案从来并非是或否，它是匹配的概率。任何技术在实际应用中都存在一定的误差，但目前人脸识别技术在实际应用中所存在的容错率高于应有的容错率。为了满足自动人脸识别技术实时性的要求，人脸识别技术在必要时需要与指纹、虹膜等其他识别技术相融合。但是，当前许多人脸识别技术的验证方式仍是仅凭人脸，并未结合其他手段。另外，人脸识别误差所带来的负面影响应当得到重视。可以说，用于身份识别功能的系统对容错率的要求相当高，由系统本身的不准确性造成的潜在消极效益难以评估。

      二是身份认证被破解风险。人脸识别验证早在2009年就已经出现，但随后出现的各种问题让人们对这项新技术充满怀疑，比如黑客用一张打印的照片就能解锁。在之后的技术发展过程中，人脸识别技术结合了动态验证，如眨眼等验证方式，但还是未彻底解决所有的问题。目前，最新的人脸验证技术，结合3D图片进行登录与验证，这比以前的技术更难破解，但仍然存在一定的破解风险。人脸识别技术有利于识别和抓捕罪犯，但抓捕的往往是“低级”罪犯，更“高级”的罪犯则能够利用人脸识别技术的漏洞实施犯罪，其行为手段更为隐蔽。

      三是信息泄露风险。人脸识别是基于身份验证的需要，在许多场景中，人脸信息可以替代身份证、钥匙、银行卡等，人脸识别的安全应用需要可以信赖的执行环境作为技术保障。人脸识别的基本原理是把终端服务器采集到的信息和云端储存的信息进行比对，查看是否一致。认证需要大量的处理能力，比对的过程需要多层数据转接，每一次转接都有若干家商业机构从不同渠道介入，每一次介入时数据都在不同商业机构的服务器中缓存，并且无法通过注销机制将上传的人脸信息予以删除。如果人脸信息审核通过，这些商业机构也会得到验证结果。在个人面部信息的采集和验证过程中，整个产业链的商业机构都会有人脸数据库。在人脸识别采集、验证、审核的链条中，任何环节都可能存在信息泄露的运营风险和技术风险。

      “野蛮生长”的原因分析

      人脸识别技术发挥充分的想象力，在越来越多的商业领域都能见到这项技术的应用。人脸识别技术在商业应用的模式里“野蛮生长”的原因主要有以下三点：

      一是商业机构无意于构建维护人脸信息安全的“护城河”。我国的数字经济发展较快，风险已初现端倪，这些风险大都来源于相关市场主体。首先，部分商业机构责任意识淡薄。在面对众多的终端用户时为了免责，在采集人脸信息过程中会以含有免责条款的格式合同或者单方告示的形式，迫使用户同意出让自己的面部识别信息，试图以一纸声明的方式撇清关系。其次，商业机构在传输数据时安全措施不到位。一些商业机构把重心放在业务发展和商业利益上，对数据安全没有落实传输、保管客户数据安全维护制度，接入的设备越多、数据流转程序越多，就越可能成为人脸数据泄露的风险点。最后，数据存储存在漏洞。数据往往采取分布式的方式进行存储，人脸识别技术的安全性很大程度依赖于行业和企业自律，现实情况是相关企业资质良莠不齐，数据保管维护能力存在一定差异，一旦泄露就会酿成公共事件。

      二是回应性立法不够周延充分。集预见性、规范性、救济性于一体的法律防范无疑是最佳模式，但是立法碎片化的现象比较突出，对于防范应对人脸识别风险的法律规范比较分散滞后，缺乏针对性，相关法律保护散见于网络安全法、国家标准《信息安全技术 个人信息安全规范》、个人信息保护法、刑法和民法典中，这些法律规范难以适用于日新月异的人脸识别技术及其应用风险。从立法现状来看，现有法律规定没有明确回应人脸识别应用和隐私权保护的边界。

      三是行政监管不完善。宽松的行政监管环境促进了这项技术实现积极的社会价值和商业价值，但是行政监管缺位也可能会导致商业行为滥用这项技术，比如刷脸进小区、入公园等。公安、网信以及其他涉个人隐私保护部门对商业机构使用这项技术没有实行事先审批制度，也没有对其所采集人脸数据的使用和保管进行必要的规制和保障，没有落实各环节的安全主体责任，没能督促人脸信息采集企业建立起数据安全保障机制增强其风险防控能力。

      风险规制的对策建议

      加强人脸信息保护，不但是大数据商用的前提，也是实现数字经济健康发展的必然要求。目前，我国在人脸识别技术等互联网技术上实现了弯道超车，应用走到法律规范的前头。人脸识别技术法律规制要明确主体权责，在协商共治的基础上不断进步。现有的法律规制从事后保障出发，保障力度不足。在综合性立法的契机之下，人脸识别技术法律规制的下一阶段，要注重体系化构建和多元规范复合规制。总而言之，对于该问题的探讨仍应建立在社会治理实践基础上。

      一是建立行业良好内循环体系。现实中，由于立法的滞后性，完备的法律规范总是落后于高新技术的发展。基于此，行业良好的内循环体系建设举足轻重。内循环体系较之于公权力机关，可以凭借最快速度对行业中出现的问题进行预防和回应，同时弥补公权力保护中出现的滞后和相应的空白现象。具体而言，行业良好内循环体系在人脸信息方面的应用，可以从以下方面进行建设：第一，坚持严格审核，积极构建合法要件，最好由行业本身结合相关法律规定和社会实际，细化制定出统一的人脸信息收集、使用规则，确定相应规范。第二，建立行业审查组织，这一组织设立目的在于对内积极针对信息安全工作的监管与审查，及时审查行业内部企业的安全防护、技术水平等，从而构建良好的行业生态;对外禁止不合规的人脸信息来源，严格规范信息获取渠道，进而构建良好的企业形象，保障消费者的合理信赖。第三，建立统一的行业信息识别机制。成本问题是企业经营必须面对的现实难题，企业若出于降低成本的现实考量，选择使用识别精准度过低的面部信息，便意味着匿名化和去标识化程度会大大减少，进而在很大程度上会侵犯公民的合法权益，为此应该制定相应的技术门槛和行业准入规则预防此类情况的发生。

      二是适当拓展消费者维权渠道。目前，我国人脸信息维权存在救济渠道单一、对于侵权认定的逻辑不畅通、司法裁决困难等现实问题。基于此，应该在公权力救济为主的基础上，适当拓展消费者维权渠道。第一，引入禁令制度。对于个人的人脸识别信息受到的侵害，寻求司法救济往往会经历较长的过程，很难解决现实的急切问题。为此，当事人在民事诉讼中，可以提出申请，要求被告停止某种侵害行为，如禁止使用、公开、传播或销毁其人脸信息。在得到有效的禁令后，如果侵权方继续违反禁令，则可以采取强制执行措施，直至达到预期效果。引入禁令制度，有助于加快对人脸信息侵权行为的管控速度，从而提高维权的针对性和实效性。第二，适用举证责任倒置原则。在权利主体向司法机关寻求司法救济时，时常要承担大量的举证责任，而人脸信息方面的高技术性以及侵权方法的高隐蔽性，对于普通公民而言，举证难度也将大幅提升，此时应考虑将举证责任倒置原则适用于人脸信息识别领域，进而减轻受害人负担，增强对受害人的保护。第三，建立个人信息公益诉讼制度。在面对人脸信息侵权行为时，公民个体往往存在取证难、专业知识欠缺等问题，影响其维权的积极性。在这种情况下，建立个人信息公益诉讼制度是一个可行的解决方案。由检察机关等公权力机关代表广大群众起诉，以保护个人信息和公共利益的诉讼，有效保护广大公民的合法权益。

      三是坚守商业道德、行业自律先行。行业自律是指行业组织在微观的层面上发挥市场主体自我管理的基础功能。人脸识别具有很强的专业技术性，政府资源有限，很难覆盖商业应用的各个领域，不得不依靠数据密集型商业机构和行业组织解决收集和处理人脸信息的问题，逐渐形成自我管理为中心的机制。第一，行业组织理应有所担当，建立和维护查询网站，使用户可以查询到其人脸信息被采集、被存储、被使用等信息，保障用户知情权，减少不合理使用。第二，行业组织应当践行社会责任发挥引领示范作用，建立公民隐私的保护标准和技术应用标准，确立隐私保护的原则、规则，在保护评估、安全认证方面提出一些明确具体的解决现实问题的方案，并注重行业自律中的可预测性，对这项技术未来发展中可能出现的新问题提出前瞻性应对措施。第三，行业组织根据实际情况建立年审机制，定期检查会员企业对人脸信息的采集、存储、传输、利用的情况，发布保护隐私审查报告，接受社会监督。由行业组织根据年审情况对运营商进行认证评估，对于随意收集、非法买卖、过度利用人脸信息的违规企业予以曝光、通报批评，并要求其整改;对于严重违规的企业报请主管机关，并通知其暂停服务或者给予处罚，对存在违法行为的企业，要及时向公安机关移送案件线索，使其承担相应的行政处罚和刑事责任。

      四是立法划出法律底线。立法是人脸信息保护全面系统的顶层设计，是从宏观层面上确立保护人脸信息隐私权的基本原则和整体框架。法律应当立足于数字经济的商业用途和大数据时代隐私权保护之间的平衡，既要清晰地评估应用中存在的风险，为收集和处理人脸信息与隐私保护树立边界，又要统筹发展与安全两种法律价值，为人脸识别的合理利用拓展空间。第一，立法应当从源头上做好风险防控，要求人脸信息采集企业在数据创立之初就必须做好隐私保护，杜绝因为缺乏保护而造成人脸信息泄露。第二，建立统一的人脸数据保护标准。直面企业滥用人脸信息的顽瘴痼疾，紧扣人脸信息处理、储存、传输中的安全主题，把禁止项作为企业经营红线，既保障用户人脸信息安全，又为数字经济发展预留必要空间，为隐私保护和数字经济奠定法律基础。第三，法律应当明确人脸信息采集和处理的企业主体责任，把人脸信息安全作为企业合规建设的重要内容。

      作者单位：江西省宜春市中级人民法院

      编辑：白楚玄

      来源：法治网