摘   要：人脸识别是人工智能不断发展的一种技术应用。近年来，人脸识别已在电子支付等诸多领域广泛使用，但同时也暗含着滥用等诸多风险。目前，我国在相关专门立法尚未出台之际，已先行实施了人脸识别线下支付行业自律公约。文章在分析了美国、欧盟和法国关于人脸识别专门立法与人工智能监管的基础上，认为上述地区已在立法与监管方面迈出了实质性步伐，值得借鉴。文章建议我国应该立法引领个人信息保护机制，构建多层次的人工智能治理体系，并逐渐完善人脸识别应用的相关规范制度，从而结束“人脸裸奔”现状。

关键词：人脸识别;生物识别数据;人工智能;执法部门;法律规制建议

中图分类号： TP309          文献标识码：A

Abstract： Facial recognition technology increasingly relies on artificial intelligence， to sift through still images or video of people's faces and obtain identity matches. In recent years， facial recognition has been widely used in electronic payment and many other fields， but it also has many risks at the same time， such as abuse of this technology. At present， when the relevant special legislation has not yet been introduced， China has issued first industry guidelines for facial recognition offline payments. Based on the analysis of the special legislation of facial recognition and artificial intelligence supervision in the United States， EU and France， this paper holds that those countries have taken substantial steps in legislation and supervision. In the future， this article suggests that China should start drafting a law on personal information protection， establishing a multi-level governance framework for artificial intelligence， and gradually improving the relevant norms of facial recognition applications， so as to put an end to the abuse of this technology.

Key words： facial recognition; biometric data; artificial intelligence; law enforcement agency; legal regulation advise

1 引言

2020年1月10日，首次以“加强大数据时代个人信息保护”为主题的全国政协网络议政远程协商会在北京举行。来自全国政协的14位委员与专家通过远程连线的方式，就如何平衡个人信息保护与数据产业发展建言献计，其中如何应对人脸识别风险隐忧，成为委员专家们热议的话题。

就在政协委员们热议人脸识别等话题之际，1月21日，由中国支付清算协会发布的全国首个人脸识别线下支付行业自律公约正式实施，进一步规范了人脸识别线下支付，防范刷脸支付的安全风险。消息一出，引起国内民众对人脸识别的再次广泛热议。这标志着人脸识别应用风险的防范需要法律政策、行业自律、技术保障等诸多方式予以规制应对。目前，在相关法律尚未出台、安全技术标准仍待深入研究之际，电子支付领域的行业自律公约的实施，为应对人脸识别风险、架构合理的前沿技术治理体系提供了有益经验。

2 人脸识别线下支付行业自律公约

2.1 尊重用户刷脸支付选择权，建立人脸信息全生命周期安全管理机制

中国支付清算协会的成员单位应根据用户意愿为其提供开通或关闭刷脸支付服务。用户开通的，应以显著方式提示服务协议中与其有重大利害关系的事项，采取包括隐私政策、格式条款、短信提示在内的方式，确保用户知情同意可选择。具体到人脸数据采集环节，应确保用户知情同意，只收集与目的、使用方式所必要的且相关的信息。在存储环节，用技术加密存储原始面部信息，与银行账号、支付账号、身份证号等用户个人隐私安全隔离。在使用环节，收单机构与商户不得截留原始面部信息，实现隐私端到端保护。

2.2 确保线下支付商户合法资质，切实履行日常管理主體责任

提供线下刷脸支付的单位应具备中国人民银行规定的相关主体资格，定期巡查审核商户资质，着力健全商户风险评级制度及黑名单管理机制。同时，强化商户日常收单环节支付敏感信息的主体安全责任，不得将核心业务运营、受理终端密钥管理、特约商户资质审核交由外包机构办理。

2.3 严格支付终端管理认证，预防刷脸支付各环节风险隐患

刷脸支付受理终端产品应符合相关金融科技产品认证条件，及时办理登记注册手续。建立覆盖刷脸支付受理终端开通、使用、更换、维护、撤销等各环节的风险管理制度，开展刷脸支付受理终端定期巡检，及时发现排除支付风险隐患，确保产品终端风险可控。

2.4 强化支付交易风险管理，采取多种风控措施确保交易安全

中国支付清算协会的成员单位应结合用户信用状况、风险程度等因素，对用户刷脸支付可开通的交易类型进行限制。通过协议约定交易限额、设置或约定刷脸支付单笔及日累计交易限额、建立突发事件应急处理机制等风控措施，以便及时、有效地化解刷脸支付风险，保障支付交易和用户资金安全。

2.5 建立健全风险补偿机制，切实保障用户合法权益

会员单位应建立用户刷脸支付投诉处理流程，明确投诉受理责任部门与受诉渠道，及时处理客户提出的差错争议和投诉问题。建立健全风险拨备资金、保险计划、应急处置等风险补偿机制，对不能有效证明因用户原因导致的资金损失及时先行赔付。

3 国际社会主要立法与监管经验

3.1 美国州法先行，立法规制人脸识别，尤其是暂时禁止执法部门使用

2019年10月，美国加州州长签署了首个州级别的身体摄像头责任法案《California's Body Camera Accountability Act》，法案规定将在未来3年内，禁止政府执法部门使用面部识别或任何生物识别技术。

其一，法案以预防公民权利自由过度受侵为制度逻辑核心。面部监控将破坏执法人员携带随身摄像头的执法目的，将提升责任感和透明度的设备转为全天候监控的工具，不成比例地危害公民权利和自由的可能性大大超过了其聲称的利益，这将加剧种族不公正，并威胁人们不受政府持续监控的生活能力。

其二，法案以专属概念为制度依托，规范识别面部行为。人脸识别和其他生物特征监控（Facial Recognition or other Biometric Surveillance）是指通过捕获或分析个人生物特征数据，以识别或协助识别个人的自动或半自动过程;或是生成或协助生成有关个人生物特征数据的监控信息的自动或半自动过程。执法人员摄像头（Officer Camera）指的是执法人员随身携带的，用以记录或传输图像或声音，便携式相机或类似设备。

其三，法案以技术禁止范围特定，留足完善空间为制度设计基点。法案明确条款有效期只有3年，为技术完善与成熟立法留足空间。受限人群只包括州与地方警察，面部监控工具也仅限于随身携带的摄像头，不包括其他面部识别技术，例如固定摄像设备等。

进入2020年，华盛顿州在规制人脸识别技术的立法进程中又迈出了重要一步，于3月被参众两院正式通过，标志着全美首个州级别的人脸识别专门法案正式出台。鉴于该法案恐成为未来美国联邦与各州立法的风向标，参照意义较大。本文拟从规范构造、制度机理以及价值取向三个层面予以展开。

在规范构造层面，法案从基础性专门概念入手，意图界定清楚人脸识别技术的基本范畴。例如，罗列了一系列专属概念：面部模板（Facial Template）、持续监视（Ongoing Surveillance）、持续追踪（Persistent Tracking）和非识别人口数据（Nonidentifying Demographic Data）等，旨在强调人脸面部也可单独构成识别每个个体的生物特征标识，精准定位出个人行踪轨迹，甚至勾勒预测出个体未来的图景画像。

在制度机理层面，法案以外部强问责，提升透明度为外在表征;以规范监控行为，平衡隐私与公益为内在逻辑。就外部问责而言，法案不仅要求拟使用该技术的公共部门，在使用前90天向社会公布使用面部识别技术的目的、途径及方法等信息，更强制要求人脸识别服务的提供商提供责任报告（Accountability Report），说明人脸识别产品或服务的基本用途功能、数据流转方式、预期与目的等方面的基本信息。就透明度提升来讲，法案要求数据管理政策需简洁明了。例如，在政策中清晰陈述识别服务的方式、时间、主体等;描述为减少不必要收集面部数据而采取的相应措施;哪些数据被政府机构收集和使用等。就规范监控行为来看，法案规定州级和地方政府暂不得使用人脸识别服务，以停止持续监视、实时识别与持续追踪等行迹。但若获得相关授权、存在危机情形以及获取法官令状，则不受上述规范约束。而就平衡个人隐私与公共权益而言，法案也规定执法机构在使用人脸识别得出的相应结论，不得作为刑事侦查中的相当理由（Probable Cause）的唯一定罪基础。

在价值取向层面，法案通篇贯穿预防偏见，保障公平的指导思想。一方面法案从人员与技术设置上预防识别偏见，明确使用识别服务作出决策时应当进行有意义的人工审查以及技术运营测试。另一方面，法案强调州与地方政府在使用该技术时不得基于宗教、种族和犯罪史等因素带有歧视性偏见，特别是严禁透过犯罪特征分析进行预测性执法活动，从而罔顾了公正执法的根本要义。

综合前述两部法案，会发现之所以存在各州分散立法的现状，是因为对制定一部统一的联邦层面的人脸识别专门法案尚有分歧。但值得注意的是，此种分歧正在逐渐缩小，进行联邦立法的尝试接续不断。例如，2019年有议员就起草了《人脸识别技术搜查法案》《人脸识别道德使用法案》以及《商业面部识别隐私法案》，试图从规范化搜查、架构技术的道德框架以及场景化隐私保护等不同面向，分别立法规制人脸识别技术可能产生的诸多风险。

3.2 欧盟加快评估面部识别风险，拟近期出台人工智能监管框架

在部分国家个人数据保护机构出台评估报告的同时，欧盟也在抓紧制定人工智能监管框架。2020年1月17日，欧盟委员会披露出人工智能白皮书草案，拟考虑大致从可信AI标签化、政府部门使用面部识别、高风险应用的强制管控、安全与责任、治理五个方面展开，其中包括在一定期限内，例如三到五年内禁止私人或公共管理者在公共场所使用面部识别技术，为立法者出台人脸识别法案赢得时间。同时在此期间，制定一套合理方案评估该技术的影响和风险。

一是标签化可信人工智能。开发者可以在自愿基础上选择打造合乎道德和值得信赖的人工智能，若满足相应合规要求，则被标签为“合乎道德和可信赖的人工智能”，并附有相应约束力条件。

二是公共部门应保障个人免受自动化决策权。鉴于越来越多的人脸识别被应用于公共场所，数据主体有权不受制于已经或可能对其造成重大影响的自动化处理措施，避免与其本人直接相关的工作、生活、个人偏好等任何构成结构化个人信息集合的个人信息被预测分析出。

三是具有法律约束力的监管目前只适用于人工智能高风险领域。所谓高风险是指风险来源于包括医疗、交通、警务、司法领域在内的高风险领域，存在潜在的法律后果，或者会造成个人受伤、死亡以及重大物质损失的风险。此种基于风险路径的监管，将聚焦于面临风险的公众以及渐受威胁的重要法益。

四是适度修订现有产品责任法律，完善人工智能技术安全治理体系。对尚未涵盖网络安全威胁、个人信息安全、隐私泄露风险的相关法律予以针对性修订，包括《一般产品安全指令》《机械指令》《无线电设备指令》《产品责任指令》等。在未来，可能会严格区分人工智能开发者与生产者责任，将人工智能系统纳入产品责任范畴。

3.3 法国试验性技术方案先行，逐步确立以尊重他人为核心的技术法律框架

2019年11月，法国数据保护机构（CNIL）发布了人脸识别报告，从三个方面提出了应对人脸识别风险的法律规制框架要点。

第一，在试验性使用人脸识别技术前应确保符合法律规定，严守社会底线。当前人脸识别应用无论是试验性暂时之举，还是全面正式实施，任何情形下均需遵循《一般数据保护条例》（GDPR）与《数据保护执法指令》框架。具体来说，对于需进行高级别身份验证的情形，生物识别数据控制权需交由数据主体本身，且面部识别满足合法性原则、合比例性原则。对于已被社会禁止针对特定人群识别的情形，例如校园中的儿童，则需通过以其他侵入性较小的有效安全手段运用人脸识别。对于过往不加区分群体笼统捕捉人脸图像信息，检测抽取面部特征予以分析的历史，要尤其注意不再发生此种范围广、程度深侵入性强的监视方式，毕竟识别系統针对不同种族群体、不同肤色的识别准确率不高。

第二，坚持以尊重他人为核心的个人信息自决理念，建立人脸信息全周期管理机制。人脸识别所采集到的信息涉及基本隐私，终端设备收集信息前需事前取得个人知情同意，且遵循最小够用原则。在存储环节，确保人脸信息存储主体安全可靠，存储流程没有泄露。在使用环节，提供清晰、可理解、易于访问的信息，尤其在自动控制场景下，保障个人退出权、信息访问权和干预权。

第三，采用真正的试验性路径，逐步测试和完善合乎法律框架的技术性方案。考虑到人脸识别带来的信息泄露以及滥用隐患，需防止与某些设备关联后产生的棘轮效应。在全国范围内推广更加定型的法律监管制度前，最好分批次、按类型、依地域逐步推进人脸识别试验，在合理时间内透过强对抗、跨学科方式遴选出真正的试验性路径评估方案，为未来搭建合乎法律框架的技术性方案，确保以公正性判断、以基础的法律框架奠定基础。

4 对我国人脸识别法律规制建议

首先，立法引领个人信息保护机制。我国应采取人脸识别专门立法的立法保护模式，在已纳入立法规划的《个人信息保护法》中专条规定人脸识别，进一步明确相关立法理念、厘定基本范畴以及构建制度规范。

一是要明确立法理念。由于面部信息内涵的识别唯一性能够准确识别出个人敏感信息，极容易侵犯个人隐私，因此要优先保护面部信息，全面保护背后的人格利益。在此基础上，注重合理的面部信息利用。若相关机构依据法定事由行使公共权力或已经个人授权同意，则可合理地利用面部信息。此外，鉴于人脸识别技术仍在不断发展，立法需留足发展空间，可以暂时禁止特定机构、指定人群和若干场所使用人脸识别，亦或针对禁止性条款设置有效期限。

二是需厘定基本范畴。从基本概念角度看，应规定若干人脸识别专属概念，譬如人脸识别技术、生物识别信息、监控摄像头等。从人脸识别信息的权属界定上看，其承载着人格利益，与人格的健全完整与功能发挥具有紧密联系，具备典型的人格要素，认定为具体人格权较为适宜。从人脸识别信息在个人信息中的体系定位看，应在生物识别信息的内涵中明确面部特征的唯一识别性，同时在外延中明确规定，并置于优先保护位置。

三是建构相关的制度规范。我国应细化人脸识别的应用规制，就公共场所大规模使用与商业场景商业化利用分别设计不同的制度规范。就以收集面部信息的正当性为例，在边境安防等公共领域，应明确基于何种公共职权、履行哪类公共职责、能否采用其他方式实现相同目的等，从而论证公权力机构收集数据的正当性权源。而在扫脸支付等商业场景下，收集面部信息的正当性就在于个人事前的知情同意基础，因此在收集前就应明确告知面部信息收集的目的、范围、方式以及销毁时间等。在此基础上，严格规范面部数据的后续存储、使用、共享和删除等处理行为。鉴于面部信息的唯一识别性对个人的精准识别，应尤其注意当收集目的已达，或距离最初收集已达到法定期限或合理时限，则必须永久删除相关的面部特征信息，或者销毁可提取面部信息的原始图像。

其次，构建多层次的人工智能治理体系。人脸识别技术作为人工智能的一种类型化应用，近年来随着深度学习等人工智能底层技术的突破性进步，才被广泛应用到日常生活与工作中。为了有效应对包括人脸识别技术在内的个人信息保护风险，不能单单依靠法律与监管，而要采取规范标准、技术指南、行业自律公约、最佳实践做法以及人工智能伦理框架等诸多软法性质的非强制性规则。

最后，制定人脸识别应用的相关配套制度。建议对于公私部门，尤其是执法部门大规模公共场所采用人脸识别，应自觉遵循“比例原则”与“必要性原则”，明确收集的范围与所达目的直接相关且必要，尽量减少不必要的负面影响，必要时在高风险场所建立“黑名单”制度。与此同时，严格遵守“正当程序原则”，切实履行审批、听证和公开等法定程序。逐渐让公众参与到相关的公共政策讨论中，及时公开面部信息收集的范围、目的，从程序上保障民众的知情权参与权。

5 结束语

随着人脸识别应用的不断增多，人脸识别潜在风险亟需理论界与实务界加强研究。在对新技术抱以审慎包容态度的同时，要充分借鉴域外国家法律监管经验，不断逐渐从人脸识别专门立法与强化人工智能监管两个方面，予以完善人脸识别法律监管，早日摆脱“人脸裸奔”的现状。理论构建充满挑战，立法制定任重道远。在制定《个人信息保护法》的关键节点，希望从法律规制人脸识别技术为切入点，以期为个人生物特征信息法律规制理论研究有所助益。

参考文献

[1] CNIL.FACIAL RECOGNITION： FOR A DEBATE LIVING UP TO THE CHANLLENGES[EB/OL]. https：//www. cnil.fr/en/facial-recognition-debate-living-challenges，2020-06-2/2020-03-28.

[2] Euractiv. Structure for the White Paper on Artificial Intelligence—a European approach[EB/OL]， https：//www.euractiv.com/section/digital/news/leak-commission-considers-facial-recognition-ban-in-ai-white-paper/，2020-06-2/2020-03-16.

[3] 洪延青.人脸识别技术的法律规制研究初探[J].中国信息安全，2019（08）：85.

[4] 吕尧，周千荷.欧美限制人脸识别技术对我国的启示[J].网络空间安全，2020（02）：93.

[5] 蔡雄山，袁俊.如何应对人脸识别技术的安全隐忧[N].光明日报，2019（12）26（14）.

作者简介：

袁俊（1994-），男，汉族，山西太原人，对外经济贸易大学，硕士;主要研究方向和关注领域：人脸识别、数据治理、网络空间治理。