就政府部门使用人（rén）脸识（shí）别的（de）法（fǎ）律规制，特别许可使用制度（dù）既发（fā）挥人脸识别技（jì）术之利，又防（fáng）范人脸识（shí）别技术之（zhī）弊，是一种更（gèng）加（jiā）理性（xìng）的制度（dù）安排。就非政府部门（mén）使用人脸识别（bié）的法律（lǜ）规制（zhì），对人脸信息作出比一（yī）般个（gè）人信息更（gèng）为严格（gé）的特别保（bǎo）护和特别规制，更（gèng）有利于保护（hù）个人的人脸信（xìn）息（xī）。

  在无竞（jìng）争性（xìng）的服务领域（如民航、铁路、学校、社区等）使用人脸识（shí）别技术，当人（rén）们拒绝（jué）“刷（shuā）脸”时，应提（tí）供其他替代（dài）性的验证机制，而（ér）不（bú）能不“刷脸”就不能使用或（huò）进入（rù）。即使不全面叫（jiào）停政府部门安装（zhuāng）、使用人脸识别技术，也应该对其（qí）进行严格的法律规制，防范安全风险，防止被（bèi）滥用。

  随（suí）着技术的发展，人脸（liǎn）识别（俗称 “刷脸”）在我国逐渐盛行。我国目（mù）前对人脸识别技术尚无专门的法律规定，无（wú）论是政府、社区、事（shì）业单（dān）位还是商家，均可以任意安装人（rén）脸识别技术，强（qiáng）制人们“刷脸”验（yàn）证。而人们（men）若拒绝“刷脸”，则基本上（shàng）无法（fǎ）使用相关服务。如若（ruò）不服，则投诉（sù）无门，只能对簿公堂，但诉讼成本高昂。基于此（cǐ），有（yǒu）必要对人脸（liǎn）识别的法（fǎ）律规（guī）制予以深入研究（jiū），厘定人脸识别技术应遵（zūn）循的法律底线，明晰人脸识别（bié）技术法律规制（zhì）的基本要点。

  人脸识别技术（shù）的（de）特征、收益与风险

  人脸识别可（kě）简单地（dì）概（gài）括（kuò）为（wéi）：机器对静态或视频中的人脸图（tú）像（xiàng）进行（háng）特征（zhēng）提取、分类识别（bié），以达（dá）到身份鉴别的目的（de）。人脸识别技术的应（yīng）用场景日（rì）渐丰富，其功能归纳起（qǐ）来主要是身份验证和监（jiān）控。这又可以分为政（zhèng）府机构的（de）公共（gòng）应用（yòng）和非（fēi）政府机构的商业应（yīng）用与慈善应用等（děng）。

  人脸（liǎn）具有如（rú）下（xià）的特（tè）征：独特性和直接识别性（xìng），方（fāng）便性，不可（kě）更（gèng）改性，变化（huà）性，易采集性（xìng），不可（kě）匿名性，多维性。人脸（liǎn）的上述特征（zhēng）直接决定了人脸识别技术具有复（fù）杂性特征，而现实中（zhōng）很多收（shōu）集人（rén）脸（liǎn）的机构并（bìng）不具备相应的风（fēng）险防控、安（ān）全保障能（néng）力、组织和机（jī）制。

  人（rén）脸识别技术的收益是世所公认（rèn）的，人脸识别技术可（kě）以应用于诸多场景。

  但是，另一方面，人脸识别技（jì）术的风险也是不可小觑（qù）的。其风险（xiǎn）主要有：一是误差风险。如果（guǒ）人脸识（shí）别技术不够（gòu）成熟，可（kě）能（néng）出（chū）现混（hún）淆。此（cǐ）外，由于人（rén）脸为非（fēi）刚体性，人脸之间的（de）相似（sì）性以（yǐ）及各（gè）种变化因素的影响（xiǎng），准确的人脸识（shí）别仍较困难（nán）。二（èr）是身份认证被破解的风险。密码是秘密（mì）保（bǎo）存（cún）的（de），但（dàn）人脸却是公之于众的。最新的人（rén）脸验（yàn）证技术（shù），结（jié）合（hé）了3D图片进行登录与验证，这比以前的（de）技术更难（nán）破（pò）解，但破（pò）解并（bìng）非完（wán）全不可（kě）能。三（sān）是信（xìn）息泄露风险。用于保存人脸信息的电子计算机系（xì）统存在（zài）被黑客入侵、病毒入侵的风险，这（zhè）可能导（dǎo）致信息（xī）泄露。此外（wài），内部员工（gōng）的作案也可能导（dǎo）致信息泄露（lù）。生（shēng）物信息（xī）具有（yǒu）100%的可识别性，一旦被泄（xiè）露或（huò）是被不当利用，后果无法估量。

  国外人脸识别（bié）法（fǎ）律规（guī）制的（de）经验

  从（cóng）美国有限的既有立法或立法草案（àn）、建（jiàn）议（yì）来看（kàn），美（měi）国（guó）对政府部门使用人脸识别（bié）的法律规制，有别（bié）于（yú）对（duì）非政府机构使用人（rén）脸识别的（de）法（fǎ）律（lǜ）规制，二者是（shì）分别立法、分别规制（zhì）的，规制（zhì）的具体方法和价值取向截（jié）然不同。对（duì）政府部门使用人脸识（shí）别的法（fǎ）律规制主要（yào）分（fèn）为三种：第一种是禁止使用制度，第二种是（shì）特别许（xǔ）可使用制（zhì）度，第（dì）三种是任意使用制（zhì）度（dù）。禁止（zhǐ）使用（yòng）制度（dù）为美（měi）国旧金山（shān）市所首创，目前备受关注。特别（bié）许可（kě）使用制度目（mù）前尚（shàng）处于民间建议阶（jiē）段（duàn）。任意（yì）使用制度即对政府（fǔ）使用（yòng）人脸识别（bié）尚未（wèi）特别立法，政府（fǔ）部门可（kě）以任意使用人（rén）脸（liǎn）识别（bié）。而（ér）美国（guó）对非政（zhèng）府机构使用人脸识别的（de）法律规制（zhì），主要是（shì）将（jiāng）人脸信息作为生物信息之一（yī）加以（yǐ）规（guī）制，它（tā）也可以分为两（liǎng）种路径：一种是（shì）比对（duì）一般（bān）个（gè）人信息的（de）保（bǎo）护（hù）更为严格（gé）的高强度规制路径或（huò）特（tè）别规制路径（jìng），另一种是（shì）与对一般个人信息的保护没有区分的、同（tóng）等程度保护的（de）普（pǔ）通规制路径（jìng）。

  欧盟与（yǔ）美（měi）国对政府部门和商（shāng）业部（bù）门使用人脸识别技术（shù）分别进（jìn）行（háng）立法不同，欧盟《通用数据（jù）保护条例》（以下（xià）简称GDPR）是对公私部门（mén）一体适（shì）用（yòng）的。这就（jiù）意味着，无（wú）论是政府部门还（hái）是非政府部门，只（zhī）要使用人脸（liǎn）识别技术，就必须（xū）遵守相同的规（guī）范。

  GDPR第4条定义条款对“生（shēng）物数据”（biometric data）进行的（de）界定包括“面部图像”（facial images）。GDPR第9条规定了特（tè）殊种类的个人数据处理，其中就包括生物（wù）数据（jù）。GDPR对生物数据的处（chù）理，遵循“原则禁止，特殊例外”的原则。数据（jù）控制者（zhě）可援引（yǐn）“数据主（zhǔ）体的同意”作（zuò）为个人生物数（shù）据处理的例外（wài），但（dàn）该同意必须是“自由给予、明确、具体、不含混”的（de），数据（jù）主体的（de）任何被动（dòng）同（tóng）意均不符合GDPR的规（guī）定。

  2019年7月，欧洲数据保护委（wěi）员会（EDPB）颁（bān）布了《关（guān）于（yú）通过（guò）视（shì）频设备处理个人数据的3/2019指引》提供（gòng）了尽量降低风险的措施（shī），例如，对原始数据进行（háng）分离（lí）存储和传输；对生物（wù）识别数据尤其是分（fèn）离（lí）出的（de）片段数据进（jìn）行加密并制定加密和秘钥管理（lǐ）政策；整合关于反欺诈（zhà）的组织性和技术性措施；为数据分配整（zhěng）合代码；禁止外部访（fǎng）问生物识别数据；及时删除原（yuán）始数（shù）据，如果必须保存则（zé）采取添加干扰（noise-additive）的保（bǎo）护方法。

  就政府部门（mén）使用人脸识别（bié）的法律规制，目前（qián）国外（wài）虽然（rán）三种制度并存，但任意使用制（zhì）度显然（rán）是大数据时代之前的做法，未认识（shí）到（dào）人脸识别技术给人（rén）们带（dài）来的风险；禁止使用制度（dù）也太过于（yú）激进（jìn），不利于发挥（huī）人脸（liǎn）识（shí）别技术的优势，扼杀了技术的（de）发展。相（xiàng）比（bǐ）较而（ér）言，特别许可使用制度既（jì）发挥人脸识（shí）别（bié）技术之利，又（yòu）防（fáng）范人脸识别（bié）技术之弊，是一（yī）种（zhǒng）更加理性的制度安排，值得我国借鉴。

  就（jiù）非政府（fǔ）部门使用人脸识（shí）别的法律规制，目前国外虽然（rán）两种制（zhì）度（dù）并存，但将人脸信息作为一般个人信息对待（dài）的普通规制路径显然是没有认识到人脸信息及人脸识别技术（shù）的特殊性，将个人置于极大的风（fēng）险（xiǎn）之中。而（ér）对人脸信（xìn）息作（zuò）出比对一（yī）般个（gè）人信息更为严格的特别（bié）保护和特别规制，更有利于保护（hù）个人的人脸信息，更（gèng）值得我国借鉴。

  但是，各国（guó）的政治、社会和技术背景（jǐng）存在各自的特殊性（xìng），这就决定了国外对（duì）于人（rén）脸识（shí）别技术（shù）的相关制度未必适合于我（wǒ）国，我国在引进（jìn）相关制度（dù）时需要审慎甄别。

  完善我国人（rén）脸识别法律（lǜ）规（guī）制的建议

  我国2020年5月颁布的民法典第1034条第1款（kuǎn）规（guī）定，“自然人的个（gè）人信息（xī）受法律保护”，并在该条第（dì）2款个人信息的定义中（zhōng），明（míng）确将（jiāng）生物识别信息列举为个人信息，但也（yě）未对个人生物识别信息作特别保护。个人（rén）信息保护法（草案）第27条（tiáo）规定：“在公共场所安装图像采集、个人身份（fèn）识（shí）别设备，应当为（wéi）维护公（gōng）共安全所必需，遵守（shǒu）国家有（yǒu）关规定，并设置显（xiǎn）著（zhe）的提示标识。所收集的个人图像、个（gè）人身份特征信息只能用于（yú）维护公共安全的（de）目的（de），不（bú）得公开或者向（xiàng）他人提供；取得个人单独同（tóng）意或者（zhě）法律、行政法规另有规定的除外。”这里“图像采集”包括人脸识别（bié）。个人（rén）信息（xī）保护法（草案）第29条将个人生（shēng）物信息（xī）作为（wéi）敏感（gǎn）个人信息加（jiā）以（yǐ）保护（hù），并（bìng）规定了“充分必要”原则。但总体而言，个人信息保护法（草（cǎo）案）对（duì）人脸识别技术的（de）规制（zhì）仍较为简（jiǎn）略（luè）。

  我国目前对（duì）包括人脸信息在内（nèi）的生物识别信（xìn）息的特别（bié）保护呈现出软法先（xiān）行的特点。2020年2月，全（quán）国金融标准化技术委员会审查通过的（de）《个人金融信息（xī）保护技术规范（fàn）》（JR/T 0171-2020）（以（yǐ）下（xià）简称《规范》）将生（shēng）物识别信息列为敏感性最高的C3类信息（xī），并要求金融机构不应委托或授（shòu）权无金（jīn）融业相关（guān）资质的（de）机构收（shōu）集C3类信息，金融机构及其受托人收集、通过公（gōng）共网络传输、存储C3类信（xìn）息（xī）时（shí），应使用加密措施。2020年3月新修（xiū）订的（de）我国国（guó）家标（biāo）准（zhǔn）GB/T 35273-2020《信息安全（quán）技术个人信息安（ān）全规范》明确规定个（gè）人生物识（shí）别信息属于个人（rén）敏感信息，并对（duì）个人敏感信息（xī）进行了特殊（shū）保护。2020年（nián）11月27日（rì），工信（xìn）部组（zǔ）织发布了电信终端产业协会团体（tǐ）标准《APP收集使用个（gè）人（rén）信息最小必（bì）要评估规（guī）范 人脸信息（xī）》，规定（dìng）了移动应用软件对人脸（liǎn）信息的收集、使用（yòng）、存（cún）储（chǔ）、销（xiāo）毁等活动中的（de）最小（xiǎo）必要规范和评估方法，并通过个人（rén）信息处理活动中的（de）典型应用场景来（lái）说（shuō）明如（rú）何落（luò）实最小必要原则。

  数据治理的普遍性、技（jì）术性、复杂性、应时性（xìng）等（děng）特点决（jué）定了数（shù）据治理具有一定的软法空间，但软（ruǎn）法欠（qiàn）缺强制力的特点决定了对包括人脸信（xìn）息在内的个（gè）人（rén）生物识别信息的特别保护离不开硬法的托底。因此，有必（bì）要从硬法的角度系统思考对包括人脸信息在内的个人生物识（shí）别信息的特别法律保（bǎo）护、对（duì）人脸识别的特别（bié）法律规制问题。

  1、建立健全一体适用的安（ān）全（quán）与（yǔ）责任底线

  法律规制（zhì）人脸识别技术的目的，不是一味地叫（jiào）停该（gāi）项技术的使用，而是（shì）要（yào）在（zài）确保（bǎo）安全的（de）前提下，倡导一（yī）种负责任的（de）使用。为此，笔者建议建（jiàn）立如下公私（sī）部门一体适用的（de）安全与责（zé）任底（dǐ）线。如果不符（fú）合这些安全与底线原则，则为违法收集个（gè）人信息（xī）。

  其一，无论谁（shuí）使（shǐ）用人脸识别（bié）技术，人（rén）脸识别系（xì）统要经第三方（fāng）独立机构定期检测，以检测（cè）其准（zhǔn）确性与非歧视（shì）性。必要时（shí），人脸（liǎn）识别系统及其定期检测结果应向监管部门备案。

  其二，无（wú）论谁通过公共网络收集、传输、存储（chǔ）人脸信息（xī），都应使（shǐ）用加密措施，并对收（shōu）集到的人脸信息进行分片段单（dān）独（dú）存储（chǔ），并不得公开披露（lù）人（rén）脸信（xìn）息。

  其（qí）三，无论（lùn）谁使用（yòng）人脸识别技术，都应（yīng）该建立可追踪的（de）技术体系。谁在何时何地查询（xún）、使用、修改、下（xià）载了人脸信息，事后都可查证，以便发生侵权时，人脸识别（bié）技术使用主体对侵权人进行查（chá）证和追责（zé）。

  其四（sì），法律应该规定（dìng），无论是（shì）谁使用（yòng）人脸识别技术，如果其收（shōu）集的信（xìn）息被证（zhèng）明出现（xiàn）被盗窃、泄（xiè）露、非法使用、非法出售、非法提供（gòng）等（děng）情形，从而给信息主体造（zào）成损失的，收（shōu）集者对受害人受到的实际（jì）损失承担（dān）连带赔偿责（zé）任；如（rú）果受害人的实际损失难以证明，则应对每个受害人至少赔偿一定数额（é）（如2000元（yuán）人民币）的法定定额赔（péi）偿（cháng）金。受（shòu）害人受到（dào）的（de）实际（jì）损失小于该法定定额（é）赔（péi）偿（cháng）金的，受害人可直接主张法定定（dìng）额赔（péi）偿金。

  其五，无论是（shì）谁使用人（rén）脸（liǎn）识别（bié）技术，人们（men）均有权拒绝“刷脸”。如（rú）果是（shì）在无竞争（zhēng）性的（de）服务领（lǐng）域（yù）（如民（mín）航、铁路、学校、社区（qū）等（děng））使（shǐ）用人（rén）脸识别技术，当人们拒绝（jué）“刷脸（liǎn）”时，应提供（gòng）其他替代性的验证机制，而不能不“刷脸”就不能使用或进入。毕（bì）竟，每个人的风险偏好是不尽相同的，法（fǎ）律规则的设置（zhì）应容忍和（hé）尊重那（nà）些低风险偏好的人（rén），尤（yóu）其（qí）是（shì）在当前（qián）不能做到（dào）人脸识别系统百分（fèn）之（zhī）百安（ān）全的情况下。

  2、区分公私部门配置不同的规制重心

  对（duì）政府部门使用人脸识别技术应（yīng）以事前事中规制为主，对非政府部门使用人脸识别技术应（yīng）以事中事（shì）后规制为主。

  政府部门（mén）执行公务（wù）过程中构（gòu）成侵权，因有国家赔偿法的限额赔偿而使（shǐ）当事人难以获得充分赔偿，且一旦（dàn）政府（fǔ）部门涉嫌侵权对政府部门的声誉将造成重大（dà）不良影响，因此，应着重从事前（qián）进行风险防范（fàn），即对政府部门（mén）安装、使用人脸识（shí）别技（jì）术应坚持有（yǒu）权（quán）机构批准同意（yì）原则，未（wèi）经有权机构批准同意（yì），政府任（rèn）何部（bù）门不得安装、使用人脸识（shí）别技（jì）术。有（yǒu）权机构在批准时，应考（kǎo）虑到安装（zhuāng）、使用人脸识别技术（shù）的必（bì）要性、正当性，且（qiě）应通过一定的法律正（zhèng）当程序，遵（zūn）循公开、透（tòu）明、民主参与等原则予以批准。

  如果对商业部（bù）门安装、使用（yòng）人脸识别技术坚持事（shì）前批准（zhǔn）的话，因政府部门在（zài）技术（shù）上往往落后于商业（yè）部门，这可（kě）能发展不（bú）出来一种有效的审批，更为重要的是，还（hái）可（kě）能遏制商业创新和技术创新（xīn）。但是，如果商业（yè）部门的人脸识别给消费（fèi）者造成损害的（de）话，受害人可（kě）以通过事后的民（mín）事诉讼（sòng）来（lái）进行追责，执（zhí）法部门也可以通过（guò）事中或事后的执法进行监管和追责。当然，这需要我们健全法（fǎ）律（lǜ）框架，使（shǐ）执法部门有法可（kě）依，使受害人（rén）可以依（yī）法维权。

  至于（yú）我国是（shì）否需要全面（miàn）禁止政府部门安装、使用人脸识别系统，这（zhè）属于政治过程决定的结果。我国公安机（jī）关（guān）布控的天眼（yǎn）系统，通过（guò）安装在（zài）城市公共场（chǎng）合的摄像头对人脸进行（háng）实时、精准且快速的甄（zhēn）别，让犯罪分子无处可（kě）逃。但通过人（rén）脸识别技术所进行的监控对个人自（zì）由（yóu）的威胁也越来越引起人们的重视。人们对全面监控感到压迫和焦虑。即使不全面叫停政府部门安装（zhuāng）、使用人脸识别技术，也应该对其进行严格的法律规制，防范安全风（fēng）险，防止被滥（làn）用。

  3、对人脸信（xìn）息（xī）的采（cǎi）集施加比（bǐ）对一般个（gè）人信（xìn）息的采集更强的规制力（lì）度

  人脸信息不同于一（yī）般个人信息，甚至人脸信息作为生物信息也与其（qí）他生物（wù）信息（如指纹）也有较（jiào）大区别。因此，人（rén）脸信息的采集应坚持特别规（guī）制即差异化规（guī）制，即应坚持更强的知（zhī）情同意原则。

  采集一（yī）般个人信（xìn）息，除了法定例外情形，一般（bān）都需要（yào）征得数据主体的知情同（tóng）意。但（dàn）人脸（liǎn）信息（xī）具（jù）有特殊性，除了法定（dìng）例（lì）外（wài）情形（xíng），其所适用的（de）知（zhī）情同意原则，应比一般的（de）个人信（xìn）息所适用的知情（qíng）同意原则更严格，即（jí）应坚持书面（written）知情（qíng）同意原则。此外，法律应（yīng）规定采（cǎi）集人脸信息之前，采集者应告知被（bèi）采集者其采集的信息具体（tǐ）类型、目的、保存时间、被采（cǎi）集（jí）者的风险（xiǎn）与权利，告知的方（fāng）式必须是书（shū）面（miàn）的。