舒馨怡　金素素　何函颖　章晓栋　梁蕾蕾

摘要：刷脸时代悄然到来，然而现阶段人们对刷脸技术的狂热已经让这一技术有失控的危险。总体上看，其对个人信息保护力度远远跟不上人工智能时代下迅速发展的人脸信息采集技术，关于个人信息保护的法律条文散见于各类法律规范之中，体系仍然较为混乱。立足于AI时代刷脸潮流，我们应该对刷脸技术进行理性分析，认识到人脸信息密码的重要性，通过国内外法律规制现状比较，借鉴海外经验，完善我国法律规制多维度保护我们的人脸信息安全。

关键词：刷脸时代;人脸识别技术;信息保护;法益;法律

中图分类号：D901

本文将通过国内外比较、多维度优化解决方案这样的线性结构来展开论述。在探寻对人脸信息安全问题的研究意义之后，了解该问题是一个立足于实际且将愈发受到关注和引发争议的问题。在明晰研究意义的基础之上，必然要将眼光投向实地，“没有调查就没有发言权”，进行现状分析是必不可少且关键的一环。由此，我们可以通晓人脸识别技术相关产业的现状，政府在其中扮演的角色，相关法律法规的缺失并以具体地区来作为典例。在进行对问题提出相应的解决方案之前，我们需要研究和吸收国内外解决这些相似乃至相同的问题的先行性措施及其有益经验。综合以上，我们提出了相应的解决措施，即是在立法、执法、司法三个维度来确保人脸识别技术相关法律法规的完善，同时加强监管、打击和公民隐私意识的提升，借鉴相关有益经验，实现对人脸信息安全的充分保护。

在美国，目前共有6个州或城市制定了与生物识别数据相关的法案。美国参众两院提出的多项人脸识别法案，证明了其对人脸信息安全的重视。这些人脸识别信息法案中，最典型的有三项，分别是《道德使用人脸识别法案》（2020年）、《商业人脸识别隐私法案》（2019年）、《人脸识别技术授权法案》（2019年）。在美国州或地方政府方面，华盛顿州参众两院于2020年3月12日通过了《人脸识别服务法》，旨在规范州和地方政府使用人脸识别服务，防止以危害民主自由、威胁公民自由的方式使用人脸服务。无独有偶，2020年2月14日，加利福尼亚州众议院通过了第2261号关于人脸识别技术的法案，明确规定收集人脸识别信息应当征得个人同意，要求建立政府机构使用人脸识别服务的问责机制，同时限制政府机构对人脸识别服务的使用。而伊利诺伊州的《生物信息隐私法案》指出：a、对企业在收集人脸信息过程中的收集的情况、收集目的进行实时监管;b、对人脸数据的保留时间进行明确界定，企业须制定书面政策设定生物识别数据的保留时间表;c、明确规定生物人脸识别数据不得出售，且除非获得相关自然人的同意或如法律规定的特定情况不得对他人披露;

欧盟保护人脸识别数据的核心法律是《通用数据保护法规》（General Data Protection Regulation），采用在整体上严格限制生物识别数据的使用，限制企业和公共机构“不加区分地使用人脸识别技术”，其序言第171条明确规定，“如果数据是基于欧盟第95/46/EC号指令下的同意，且作出该同意的形式符合本条例的规定，则该数据控制者可在本条例施行之后继续进行数据处理，数据主体不需要再次作出同意。”GDPR对人脸识别等人工智能（AI）技术进行立法规管，建立人脸识别技术行业的准入标准，要求所有使用人脸识别技术获取人脸信息的企业在上市前与国家信息安全部门签订协议，保证其在上市后纳入国家相关监管系统之下，避免出现“躲在暗处的卖脸交易”。我们将具体分析和比较“美国模式”和“欧盟模式”对于个人信息的保护，找出其中适合应用于我国人脸识别相关规范可以学习的方式，创造我国特色的人脸识别保护模式。

立法先行，制定大数据时代下关于个人隐私信息保护的专门法律，如前所述，我国目前虽然已经在与个人相关的私密性信息保护方面有所规定，但对于这些信息的保护都是散落于各个法律条文中，且并没有专门针对大数据时代针对人脸信息权里保护的强有力的法条，这除了加大了司法实践上的困难之外，也让公众由于失去了法律的引导作用下懈怠了关于人脸信息保护的警惕心理，法律上起不到威慑作用，更谈何保护？飞速发展的刷脸时代下，我们需要及时对现存的法律理论以及法律系统进行优化，构建更全面的法律保障体系。对于如何进行立法，需要对以下几点进行分析：

第一、明确可采集个人信息的场景、使用范围，将人臉信息以及相关生物特征信息纳入隐私信息的保护范围。《民法典》第一千零三十四条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”民法典已经为大数据时代下的人脸信息等个人隐私做出努力，虽然没有明文规定人脸信息属于隐私保护范畴，但其可以作为“生物识别信息”受到相应的保护。这已然是一个可喜的现象，但我国现行立法对于隐私权的内涵叙述仍然相对含糊，各类关于隐私信息的法条散见于各个法律规范之中，仅靠民法典的努力是完全不够的。大数据时代下的背景下，这样的现象容易发生界定不明的问题，无法对合法权益提供有力及时的法律支撑。将人脸信息及相关生物特征信息纳入隐私信息的保护范围，并对其内涵和外延做出合理的解释，赋予公众人脸保障的权利。

第二、将人脸信息等相关隐私信息与财产权利、安全挂钩，在信息采集-储存-运输-公开等各个方面建立全方位赔付补偿机制。现如今我们可以看到，刷脸时代下人脸已经成为人们十分重要的身份密码，刷脸进站、刷脸支付等已经融入人们的日常生活，个人身份信息与我们的财产安全、身份安全、名誉等方方面面息息相关，如何在互联网传播线路下对与人脸信息挂钩的财产进行保护，在发生了因人脸信息泄露而导致的财产流失的情况下如何进行法律救济与惩戒，将成为我们在立法规制过程中需要考虑的一个问题。制定相关惩罚措施，建立严格赔付补偿机制。将不讲信用擅自泄露用户数据的企业纳入社会失信黑名单，对其今后经济行为进行限制，并要求其赔付补偿受害者，等都可以是我们今后将可以考虑的方向。

第三、明确双方权利义务，赋予公众对被采集人脸信息保护的监督权与知道权，同时要求人脸采集方承担人脸信息保护的保密义务。目前来看，人脸信息的储存传输都是由掌握人脸识别技术、采集人脸信息的公司所有的，人臉信息采集者对人脸信息的使用和保护均不由人脸提供者自身所知晓，公众无法知道自己的人脸信息究竟在哪些地方曾被使用甚至侵犯。现阶段，灰产与黑产相互依附、交织，已发展为跨平台、跨行业的集团犯罪链条。人脸信息的非法买卖，看似是灰色产业，背后潜在的却是网络诈骗、盗窃、攻击等各类黑产的巨大风险。赋予公众对人脸信息的使用权、控制权、监督权将能更好地打击灰色产业，提高行业透明度。

第四、设立市场准入制度，参考借鉴美国欧盟在人脸识别等技术应用的限制，结合国内市场特点，明确规定哪些机构或者政府部门有资格、有权力收集使用公民个人信息，出台有关采集使用和保管公民生物特征信息的规则和标准。目前，人脸识别技术泛滥，小至餐饮行业都可以通过价格优惠来让消费者提供自己的脸部信息。这将会加大国家对人脸信息管控的难度。通过设立国家专门机构来对收取人脸信息的各个平台进行审核，未达到安全系数的平台将失去国家授予的人脸信息收集权限，同时对各个平台实行考量制度，通过对各平台人脸信息的储存-传输-公示-使用等方面进行实时跟踪监管，全方位对平台的安全系数进行实时积分考量，实现行业内部的清洁自律。

第五、全面实现活体认证，赋予公众决定权。尊重用户知情权、选择权。企业商户在用户使用刷脸支付时，获得法律授权是前提，需以用户可获悉的方式告知风险，征得本人同意。因此，活体认证措施十分必要，其不仅可以保障用户的知情权，还可有效抵御照片、换脸、面具、遮挡以及屏幕翻拍等常见的攻击手段，从而帮助用户甄别欺诈行为，保障用户的利益。

参考文献：

[1]安防展览网.人脸识别+安防将掀起下一轮技术浪潮.经济学人.[A/OL].（2016-11-21）.https：//www.afzhan.com/news/detail/50535. html.

[2]安防展览网.人脸识别技术如何跨过数据和隐私安全门槛？.物联中国.[A/OL].（2017-11-16）.https：//www.afzhan.com/news/detail/ 61541. html.

[3]高秦伟.个人信息概念之反思和重塑——立法与实践的理论起点.[J].人大法律评论，2019，（01）：172

[4]张勇进，王璟璇：《主要发达国家大数据政策比较研究》，《中国行政管理》2014 年第12期

[5]王宗煜.人脸识别系统下的个人隐私法律规制研究[D].广东外语外贸大学，2019.

[6]文铭，刘博.人脸识别技术应用中的法律规制研究[J].科技与法律，2020（4）：82