《人臉識別技術應用的法律分析》14000字

緒論一、選題背景在當今社會，許多應用于社會生活各個方面的技術給我們帶來了很多便利。隨著生物信息識別技術的發(fā)展和人臉識別服務的增加，人臉識別技術的應用已經(jīng)被公眾廣泛接受。然而，社會自然人和法人在接受這一技術帶來的便利的同時，并沒有意識到收集和使用人臉信息背后的隱私侵犯風險。近年來，侵犯人臉識別技術的案件逐漸顯示出保護個人信息的重要性，尤其是具有生物唯一識別性質(zhì)的人臉信息。繼中國“人臉識別第一案”的法學博士郭冰指責杭州野生動物園用人臉識別代替年卡中的指紋識別后，清華大學法學院教授勞東延指責小區(qū)安裝人臉識別門禁的消息也相繼傳出。要求車主提供人臉識別、房產(chǎn)證、身份證等信息，以及ZAO換臉app等案例。網(wǎng)絡環(huán)境下，人類的一切行為都會在網(wǎng)絡中留下數(shù)據(jù)的痕跡。由于網(wǎng)絡環(huán)境的隱蔽性和信息的不對稱性，個人很難控制自己的個人信息數(shù)據(jù)。然而，這些數(shù)據(jù)的簡單關聯(lián)和整合很容易導致個人隱私和財產(chǎn)權受到威脅。與文字信息相比，人臉作為一種固有的生物特征，是不可復制的，也是難以偽造的。人臉數(shù)據(jù)一旦被盜，將對個人隱私造成不可挽回的損害。而且人臉識別技術具有很強的專業(yè)性，這種專業(yè)性導致的信息不對稱使得用戶的人臉信息可以以很低的成本收集，用戶對收集到的個人人臉信息缺乏有效的監(jiān)督管理手段。在這種情況下，甚至一些商業(yè)倫理下的個人或企業(yè)惡意買賣面部信息獲取利益，導致侵犯個人隱私和財產(chǎn)權。目前國內(nèi)還沒有專門規(guī)范人臉識別技術的法律，個人信息保護法也沒有出臺。面對沒有特別法可以解決的困境，在中國，要求通過特別立法來保護個人信息保護法，包括對人臉識別技術的規(guī)制，呼聲越來越高。二、研究綜述(一)人臉識別技術的定義和特征在中國，人臉識別技術在許多層面上被廣泛歸類為屬于科學和工程的技術概念。對于該技術的應用和定義，國內(nèi)一些法律學者和相關技術專家仍有不同意見。他們大多認為這項技術直接或間接應用了一些理工科的技術和相關的權威技術概念。例如，李武軍博士認為這叫做動態(tài)人臉識別。是一種技術，一般是指利用已經(jīng)合法保存的信息，與若干證人身份未知的動態(tài)人臉圖像，在場景環(huán)境下，對一些靜態(tài)人臉圖像或其他動態(tài)錄制的影片等信息進行人臉識別和比較，從而確定一個或多個個人身份的技術。中國學者沒有具體研究和分析人臉識別技術的特點。其中，學者黃認為人臉識別是生物識別中的獨特之處，學者林將人臉識別技術的特點概括為隱蔽性強、通用性強、經(jīng)濟易用，學者認為人臉識別技術具有非侵入性、使用方便、符合人們的生活習慣等特點。（二）人臉識別技術應用風險及其成因人臉識別技術在帶來收益的同時，其應用風險也逐漸被中國學者所關注。其中，我國部分專家學者最為關注和重視的是可能由此引發(fā)的信息安全和隱私問題。學者王認為，由于移動互聯(lián)網(wǎng)的人臉識別技術與現(xiàn)代移動互聯(lián)網(wǎng)的密切關系，由于現(xiàn)代移動互聯(lián)網(wǎng)所需要的信息多樣性、隱藏功能和信息虛擬化的特點難以捉摸，對社會保護公民的信息安全和隱私造成了極大的危害和威脅。學者牛金認為，雖然目前的人臉識別技術給社會和公民帶來了便利，但也可能給社區(qū)和公民帶來一定的信息安全和隱私風險，但這些技術及其立法仍存在許多不足，導致基于人臉識別技術的安全和隱私風險。學者梁立文認為，人臉信息的弱隱私性是隱私風險的根源，提高人臉識別的隱私保護標準是解決隱私風險的關鍵。此外，中國學者對當前人臉識別技術中的大量數(shù)據(jù)安全和風險進行了深入研究。例如，學者吳迪認為，監(jiān)管機制不完善、執(zhí)法權限不明確、人臉識別技術經(jīng)理對數(shù)據(jù)進行技術培訓的需求以及企業(yè)的經(jīng)濟合理性是造成數(shù)據(jù)安全風險的原因。除了隱私風險和數(shù)據(jù)安全風險，中國學者還涉及到人臉識別技術的歧視風險和自由風險。如學者周認為，人臉識別技術由于技術人員的操作失誤、數(shù)據(jù)庫信息采集失誤等問題，或多或少存在匹配錯誤，一旦涉及敏感信息，就會產(chǎn)生歧視風險。學者蔣捷認為，過度使用人臉識別技術會將公民置于“全景開放式監(jiān)獄”，從而威脅公民自由。（三）人臉識別技術法律規(guī)制的對策研究中國學者也對人臉識別技術的法律規(guī)制對策提出了許多有益的建議。史、等學者從人臉識別技術的第一個案例出發(fā)，依據(jù)《消費者權益保護法》，認為人臉識別技術不僅識別人臉，還包括人臉識別技術后可能分析的一系列其他信息，包括健康信息、種族信息、性取向等。因此，他主張對人臉識別技術風險的防范不能只著眼于人臉信息。應更加關注由此可能引發(fā)的一系列其他個人信息安全問題。此外，他還強調(diào)，行業(yè)自律組織應加強防范人臉識別技術風險的能力，統(tǒng)一人臉識別技術的安全使用標準。雖然我國學者在人臉識別技術的法律規(guī)制方面取得了一些研究成果，但與人臉識別技術的風險相比，我國目前仍需要加大研究力度?？偟膩碚f，我國在人臉識別技術法律規(guī)制的研究中，缺乏系統(tǒng)的研究，研究數(shù)量少，缺乏整體把握和綜合分析的研究成果。從現(xiàn)有的研究文獻來看，雖然學者們已經(jīng)逐漸認識到人臉識別技術的風險，但大多數(shù)文獻并沒有充分論證。雖然有學者對具體案例進行了分析，但分析并不全面和深刻?；谌四樧R別技術的定義和特點，結(jié)合一些實際案例，對理論進行升華，總結(jié)人臉識別技術風險的成因和類型，并積極探索國外經(jīng)驗，以期提供全面詳細的風險應對建議。三、研究意義如今，人臉識別技術已經(jīng)廣泛應用于許多場合。然而，人臉識別技術的大規(guī)模發(fā)展和應用與個人隱私保護的焦慮也隨之提升。根據(jù)最近發(fā)布的《人臉識別應用公眾調(diào)查報告》(2020年)，60%的受訪者認為人臉識別技術有濫用傾向，30%的受訪者表示因人臉信息的泄露和濫用而遭受隱私或財產(chǎn)損失。技術是一把“雙刃劍”。人臉識別技術不僅提高了服務的便利性，還存在安全隱患。按照法律規(guī)定，這些信息應該歸入個人隱私，而不是開發(fā)商或用戶的“財產(chǎn)”。因為人臉數(shù)據(jù)是“活數(shù)據(jù)”，一旦被泄露、非法提供或濫用，不僅會侵犯用戶的個人隱私和人格權利，甚至可能被犯罪分子用于詐騙等犯罪活動。因此，在人臉識別技術的監(jiān)管中，立法應盡快提上日程。雖然我國《中華人民共和國網(wǎng)絡安全法》、《信息安全技術個人信息安全規(guī)范》等法律法規(guī)在一定程度上保護了人臉信息，“個人生物特征信息”被列為“個人信息”，但我國的個人生物特征信息保護體系并不完善。對生物特征信息的概念缺乏認識，行業(yè)自律體系的指導和關于保護生物特征信息的相關法律原則和權利義務的規(guī)范性原則沒有得到充分明確，生物特征信息的應用沒有監(jiān)督管理部門，對生物特征信息的損害或痛苦缺乏相關救濟措施。本文將對這一問題進行深入研究。通過探討網(wǎng)絡環(huán)境下隱私的概念，比較國內(nèi)外人臉識別技術的應用規(guī)定，尋找我國人臉識別技術隱私保護的規(guī)制路徑。的第二章人臉識別技術的應用一、人臉識別技術的定義特征人臉識別技術主要是指通過抓取和分析已知或未知的人的各種面部特征,將其與人類已有或者將有的數(shù)據(jù)庫中所有人的各種表情信息相互地進行匹配從而達到實現(xiàn)身份驗證的一種新型生物識別技術。與目前的所有虹膜圖像識別、指紋識別等新型人體微生物學以及特征圖像識別等新技術裝備相比,隨著現(xiàn)代可見光與紅外線人臉識別的融合、3d識別等創(chuàng)新技術的應用和發(fā)展,人臉識別技術也步入了迅猛發(fā)展的關鍵階段,主要應用在刑偵破案與安防系統(tǒng)、出入驗證與考勤系統(tǒng)、金融支付驗證與解鎖系統(tǒng)以及通過人臉捕捉實現(xiàn)動態(tài)監(jiān)控等場景。人臉識別技術的廣泛應用為現(xiàn)代人們的工作和生活提供了便捷,提高了商業(yè)、監(jiān)管等活動的效率。人臉識別具有以下五個特點:一是非接觸性,人臉識別可以在不與識別裝置進行觸碰的條件下進行;二是非強制性,在識別過程中在不強制人具體做動作的方式通過提取含有人臉信息的圖像和視頻流等方式自動與數(shù)據(jù)庫中的信息進行比對;三是隱蔽性,人臉識別可以在對方不經(jīng)意間完成,具有一定的隱蔽性。因此,這種配合度要求低、匹配與識別效率高的生物特征信息識別技術得到了更為廣泛的應用。四是網(wǎng)絡依賴性。人臉識別技術從網(wǎng)絡中誕生,并且運行依托于網(wǎng)絡,對網(wǎng)絡具有較強的依賴性。例如,人臉識別系統(tǒng)采集的數(shù)據(jù)將通過網(wǎng)絡傳送給數(shù)據(jù)庫,在數(shù)據(jù)庫中發(fā)現(xiàn)或沒有發(fā)現(xiàn)匹配的數(shù)據(jù),將通過網(wǎng)絡反饋給終端機,實現(xiàn)數(shù)據(jù)共享,但網(wǎng)絡依賴性也意味著人臉識別一但脫離網(wǎng)絡,就會處于一個無法工作的癱瘓狀態(tài)。最后則是不可控性。由于人臉識別技術帶有人工智能普遍擁有的主動性,其可以通過計算機數(shù)據(jù)的變化尋找經(jīng)驗,從中習得新的識別經(jīng)驗,這在設計時是人力所不能遇見的,其所依賴的經(jīng)驗后的行為帶有強烈的自主性,因此是很難控制的。例如,人臉識別的識別系統(tǒng),在沒有外力的干擾下,會根據(jù)距離的遠近隨機識別。吳學安.“刷臉”時代更需注意個人隱私安全[N].上海法治報,2020-02-12(B02).二、人臉識別技術的應用場景目前,從我國的人臉識別技術在行業(yè)中的應用情況來看,主要集中于以下幾個領域:公共安全領域、信息安全領域、商業(yè)企業(yè)領域、場所進出領域、城市建設領域、日常生活領域等。具體應用來看,在公安刑事偵查、罪犯身份識別、邊防安全、家庭成員住房資金管理、社會福利、保險、電子商務、電子貨幣及其他網(wǎng)絡金融支付,如微信手機網(wǎng)上銀行、"刷臉"手機支付,還有考勤、市場營銷、軍事公安機關執(zhí)法部門和其他商業(yè)金融機構(gòu)的機場門禁管理監(jiān)督和商品進入出口管理,交通、教育、社保,如違章拍照,火車和地鐵安檢和進出校園門禁等較為普及。由此可見人臉識別技術的運用越來越廣泛。三、人臉識別技術對隱私保護的挑戰(zhàn)通常來講,人臉識別的技術應用過程中往往含有的隱私挑戰(zhàn)問題具體表現(xiàn)在缺乏知情同意以及信息自主的失控方面以及行業(yè)監(jiān)管缺失與相關立法滯后三個方面。(一)"知情同意缺乏"侵犯意志自由周坤琳、李悅：《回應型理論下人臉數(shù)據(jù)運用法律規(guī)制研究》，《西南金融》2019年第12期知情同意作為一項倫理原則源于醫(yī)療領域,最初目的是保護病患的自主表達,現(xiàn)在已經(jīng)成為生命倫理學的一項基本倫理準則,它體現(xiàn)了尊重、不傷害和公正等倫理精神。人類具有尊嚴,而尊嚴來自主體的意志自由,來自其自主選擇的能力。中國傳統(tǒng)倫理學推崇人的意志自由,孔子認為"三軍可奪帥也,匹夫不可奪其志也"。他認為人有道德的自主自由性,并進一步提出"為仁由己,而由人乎哉",其實質(zhì)是肯定道德主體的意志自由、自主性。康德認為"只有當生命作為自主的可能性之條件時,才有尊嚴"。當代中國政治思想哲學家羅納德德沃金曾經(jīng)指出:"即使國家實施改善公共設施、使其成員獲得便利的舉措,也不能對個人的權利進行干預或者侵入。"所以,尊重一個人的思想和尊嚴,就必須要充分地尊重一個人的思想和自主性,尊重一個人的意志自由。伴同當今社會發(fā)展,知情同意的原則已經(jīng)延伸至各個領域。在當今信息時代,知情同意原則作為隱私保護的第一道防線,是當事人行為道德選擇的前提與基礎,是對人類尊嚴和人格利益維護的彰顯。我國于2020年3月發(fā)布的最新版《信息安全技術個人信息安全規(guī)范》(GB/T352732020,以下簡稱"規(guī)范")在2017版的基礎上對個人生物信息的收集與儲存進行了完善與細化。該規(guī)范中明確指出:"在收集個人信息時,應向其他收集、使用個人信息的主體通過電子郵件或者網(wǎng)絡方式通知其收集、使用個人信息的目標、方式和范圍,并取得其他信息主體的授權或許可。在收集到與相關的其他個人生物識別資料前,應單獨向其他有關個人信息的保存者和主體進行通報,告知其收集和使用與相關的其他有關個人生物識別資料的方法、范圍、保存時間與其目的等,并且事先向收集到相關的個人信息保存者或主體提出明示或者是否同意。"然而,在人臉識別技術應用中大量私自收集、加工、分析與使用個人信息的行為正在侵蝕公民的隱私權。當前,大多商用人臉識別在收集人臉信息時并未就其收集方式、范圍、目的、存儲時間等做任何告知,更不用說征求人臉主體的同意。日前,"中國人臉識別第一案"的主要受害人之一杭州蕭山野生動物園就曾經(jīng)因涉嫌非法利用這種人臉識別應用技術將其非法應用于作為入園動物安全檢查的主要技術手段,被害人未經(jīng)過他人提前事先通知與合理要求或未征得他人同意的情況下,私自向當?shù)厝嗽核阉鞑⑹占巳四様?shù)據(jù)等信息資料為由向當?shù)厝嗣穹ㄔ涸V諸此案,引起了多方的關注。Facebook也曾卷入未經(jīng)同意而濫用伊利諾伊州人臉數(shù)據(jù)的350億美元集體訴訟案。在人臉識別技術應用過程中的人臉信息儲存、使用等環(huán)節(jié),信息控制者為減少支出或避免沖突,在很大程度上會主動忽視信息主體的知情同意訴求。此外,由于當代社會數(shù)據(jù)流通速度較高，使得信息控制者在客觀上也無法達到信息主體的"知情同意"要求。這些主客觀因素均使得信息主體的知情同意權處于被動壓制狀態(tài)。(二)"信息自主失控"妨礙人的主體性自古以來,思想家們所探究的核心的核心問題一直都有“人是什么”這一問題,他們以各種各樣的維度來論證人的特征,到了現(xiàn)在這個問題依舊是哲學界熱點的探討問題。而當代學者以前人所研究的成果為基礎，從一個嶄新的角度對這個問題做出了回應。甘紹平教授是這樣說的,人類是一種二元的存在,它是一種文化精神和社會主義自然界中生命活動的統(tǒng)一體,從倫理學上來看,人的根源和本質(zhì)也就在于這種精神性的表達和體現(xiàn),而一個人的精神性首先要體現(xiàn)成為一個人的自由。從另一個角度來說，人的自由、自主決定的能力是人之為人的本質(zhì)體現(xiàn)。所謂自由和自主就是當事人可以基于自身的決斷來行事,做自己的主人,而不是受他人意志的驅(qū)使。在人臉識別技術應用生活化的今天,個人信息自主更應該成為隱私保護的重要舉措。孫鐵文．手機APP收集用戶個人敏感信息規(guī)制分析——由“ZAO”軟件隱私風波引發(fā)的思考［J］．現(xiàn)代商貿(mào)工業(yè)，2019，40（32）：166-168．然而,從2019年zao的ai互聯(lián)網(wǎng)換臉事件發(fā)生風波，利用人臉資料進行信息輔助無法通過賬號實名認證的個體和組織來完成實名認證以及為了獲取不法利益而開展的過臉行業(yè),以及近期福建一銀行APP人臉識別技術被破解等一系列事實來看,人臉識別技術的廣泛與非理性應用嚴重侵擾了人們的信息自主。在對人臉識別技術的應用發(fā)展過程中,個人肖像公開導致使得主體們完全失去了對其的控制,信息很有可能被非法利用(這其中不僅僅是一些人臉信息,亦有可能還會包含其他的個人隱私,譬如一個家庭的住址、行走軌跡、通信方式、財產(chǎn)資料、身份證號碼、健康和生理資料等對于個人的敏感信息)。并且,在當前網(wǎng)絡信息時代背景下,隱私信息經(jīng)過上萬次甚至千萬次的傳播與流轉(zhuǎn),信息主體對于自身信息所向何處、為誰所用、所用為何根本無法控制,個人信息自主權完全沒有得到保障。除此之外,個體信息自主的損害以及喪失不僅僅影響了我們自身,同樣其對群體隱私利益也存在著嚴重的威脅。人臉識別信息技術當中的應用研究及推廣的使用發(fā)展無法離開對企業(yè)當中人臉識別信息處理數(shù)據(jù)庫的技術支撐,但這些數(shù)據(jù)庫中的人臉模型信息卻不是信息主體能夠掌控的。2019年已經(jīng)有多起關于人臉信息數(shù)據(jù)泄露的新聞報道,最為引人注目的可能是一家位于安防行業(yè)龍頭企業(yè)人工智能公司的大型數(shù)據(jù)被曝光。該企業(yè)因內(nèi)部數(shù)據(jù)庫的安全防護缺失導致250余萬公民個人信息數(shù)據(jù)被不受限制訪問。美國圣母大學的SheriA.alpert探索了個體血親基因與其自己所在的血親基因和其自己所在種群中的血親基因間的相互關系,并明確指出:"在任何情況下,所有血親基因的相互信息不僅與任何一個個體有關,而且與他(她)的血親基因有關,還很容易就會與他(她)自己所在的血親群體有關,任何一個人都是其中的一小部分。的信息均可(正確或錯誤)包含本組中該群體的全部成員。"與基因信息同屬生物信息的人臉信息不僅包含著單個個體生物特征,也包含了其所在群體的整體生物特征。如若數(shù)據(jù)庫中的人臉圖譜被作為預測群體基因信息的樣本,那么,不管作為樣本的那一小部分人的信息能否準確地預測群體基因,我們都應該重新考慮人臉識別技術應用對隱私的挑戰(zhàn)與威脅,避免其成為基因武器。綜上所述,隱私權作為人權的組成部分,體現(xiàn)了人對基本權益的共同需求。而我國的人權作為一種完整的、全球性的、跨越文化、跨國家和民族的倫理道德秩序,具有其道德權利和法律權力的雙重關系屬性,是對人的根本利益的維護,是不同社會文化和社會生活方式的共同需求。保護隱私權在內(nèi)的人權所表達的不傷害理念體現(xiàn)了道德規(guī)范的根本性內(nèi)容。人臉識別技術對人類隱私的侵犯,導致對人類意志自由和信息自主的傷害,這足以體現(xiàn)人臉識別技術倫理問題的普遍性和嚴峻性。(三)行業(yè)監(jiān)管缺失與相關立法滯后人們抵觸人臉識別技術大范圍應用的重要原因之一是行業(yè)監(jiān)管不力、標準參差不齊、數(shù)據(jù)安全防范不足導致人臉信息泄露。目前有關人臉識別技術的行業(yè)標準尚未成體系,僅存在一些對人臉識別技術中的部分技術的統(tǒng)一標準。在人臉識別技術商用過程中人臉信息的采集和保管全靠商家自律,因此,在人臉識別技術應用實踐中保護人臉信息主體的信息安全存在諸多障礙。相較于人臉識別技術進步與突破的速度,有關人臉識別技術應用以及人臉信息保護的立法明顯出現(xiàn)滯后。當前涉及人臉信息隱私保護的窘境在于:對人臉識別技術的應用場景,人臉信息的采集、存儲、使用環(huán)節(jié)以及權力歸屬還沒有嚴格的法律限制。造成這種狀況的原因有三:其一,面對巨大的使用人群、海量的數(shù)據(jù)信息以及多元的價值觀念,建立一套完備的法律體系絕非易事;其二,高科技技術更新周期短,面對多變的立法訴求與瞬息萬變的新問題、新情況,整合相關的法律規(guī)則與調(diào)整方案絕非一日之功;其三,我國的立法程序嚴格,一部成熟適用的法典必須經(jīng)過反復斟酌與檢驗,不可不慎。第三章域外人臉識別技術的法律規(guī)制一、美國人臉識別技術隱私權保護的法律規(guī)制美國是一個典型的資本主義國家，強調(diào)個人利益，因此十分注重個人權益的保護，個人信息作為個人利益中的重要內(nèi)容備受重視，從美國的各種法律和規(guī)范來講，對于個人信息保護采取的大致方針是分散式立法，此外，美國的社會信用體系也極為發(fā)達，社會信用體系也在保護個人信息上發(fā)揮了重要作用，具體來說，美國的個人信息保護工作除依據(jù)分散式立法的法律根據(jù)外，行業(yè)性自律也是其中的重要內(nèi)容。法治是個人信息強有力的保障，法律制度是法治的基礎，此理論無論是在中國還是于世界各國都是通用的，美國個人信息安全保護的法律制度在聯(lián)邦層面依靠的是憲法，如果按照是否是成文法的角度分類，其屬于成文法；除此之外，美國在國家組成上是由多個洲聯(lián)合組成的國家，由于地理和人文等方面的因素，美國各州的法律都有些許差異，因此又有各州法律以及行政管理法組合建立。但是在這一制度體系中主要起到了基礎性影響的就是美國憲法。結(jié)合主題，我們重新討論人臉識別技術中設計個人隱私的問題，在此方面美沒有通過統(tǒng)一的法律規(guī)制來對人臉識別技術的應用進行統(tǒng)一規(guī)定來保護隱私權，上述論述也已經(jīng)提到美國對于，但是已有相關的條款嚴格保護用戶的隱私權,美國憲法第四修正案和第五修正案規(guī)定的有關個人信息的隱私保護內(nèi)容對整個美國個人信息隱私權保護起著總體上的引導作用,任何憲法相違背的法律都是無效的。其次是各個州立法。美國國土面積廣闊，各洲之間的區(qū)別較大，因此各州的法律有很大的不同，其內(nèi)容主要是各州根據(jù)本州的實際情況來分立法,適應不同的情況。1994年美國伊利諾伊州頒布的《生物信息隱私法案》具有重要的歷史代表性。簡稱BIPA。該一系列相關法案將當前在人臉識別技術中面部信息明確定義為"生物信息",并且明確規(guī)定了其對面部信息的具體使用和傳遞方式:一個重要的特點是在初次采取信息使用時,必須向自然人提供有關生物信息數(shù)據(jù)被采取和處理所收集的實際情況、收集的主要目的、數(shù)據(jù)所有權和保留期及時間以及獲得本人的書面許可和授權。二是數(shù)據(jù)的儲存期限,滿三年應當摧毀。三是未經(jīng)自然人同意和法律約束下的其他人臉數(shù)據(jù)均不得以出售、且在任何一種情形下,未經(jīng)法律許可以允許的例外情形均不能對他人進行披露。以BIPA為代表的各州立法在人臉識別技術應用的隱私保護上提供了法律依據(jù),也成為了分散立法模式的重要基礎。與之類似的法律還有《華盛頓人臉識別服務法》,法案已經(jīng)在華盛頓州立法機構(gòu)批準并在2020年7月1日正式生效。最后是行政法規(guī)與政策,2012年美國政府曾頒布了《消費者隱私權保護框架》,這項法規(guī)指明用戶有權對人臉識別服務所包含的個人信息具有控制權。2019年,美國商會成員會同面部識別供應商,開發(fā)者,使用者和其他利益相關者共同起草了《美國商會面部識別政策原則》,該政策原則主要內(nèi)容包含:1、優(yōu)先考慮使用透明面部識別技術。2、保護我們的隱私和其他個人資料,從政策和技術雙重領域來保護人權和公民自由。3、研究適當?shù)谋O(jiān)督管理框架,減輕隱私風險侵害的同時促進人臉識別技術的有益用途。4、通過適當?shù)臉藴屎蜏y試促進問責制和一致性。除了立法領域的分散立法,美國人臉識別隱私保護體系的另一大組成部分是個人信息行業(yè)自律體制。美國行業(yè)自律體系主要包含三種不同的自律方式:第一類是技術性保護模式,最具有代表性和廣泛性的是萬維網(wǎng)聯(lián)盟的P3P模式,即隱私偏好設定平臺。即用戶可以通過設置隱私偏好,如可以或不同意人臉識別來避免閱讀復雜的隱私政策。這種方式使用戶免于冗長隱私保護協(xié)議的困擾,而是能準確控制人臉信息的應用。第二類是行業(yè)指引,即通過加入該行業(yè)聯(lián)盟,就必須遵守該聯(lián)盟指定的個人信息隱私保護標準。擁有雅虎。微軟等成員的著名的在線隱私聯(lián)盟便屬于之一類。第三類是隱私保護資格認證,只有符合組織關于人臉識別技術服務的應用標準,以及救濟方式等保護個人隱私信息各個方面要求,如同產(chǎn)品上表一樣,才能具備該組織的認證標識。二、歐盟人臉識別技術隱私權保護制度歐盟對于個人信息的保護也極為看重，在人臉識別領域的防范也取得了一些成果，歐盟的保護立法主要體現(xiàn)在《通用數(shù)據(jù)保護條例》(以下簡稱GDPR)是對公私部門一體適用與美國對政府部門和商業(yè)部門使用人臉識別技術分別進行立法不同。對于歐盟的規(guī)定而言，無論是政府部門還是非政府部門,只要使用人臉識別技術,就必須遵守相同的規(guī)范。明確地指出對于特殊情況下類型個體所需要進行的數(shù)據(jù)化處理,其中就包含了生物資源。GDPR對于生物數(shù)據(jù)的處理,遵循"原則禁止,特殊例外"的原則。數(shù)據(jù)主體的控制者也或許可以直接利用援引"數(shù)據(jù)主體的同意"作為對某個人或其他自然生物體系中的一個數(shù)據(jù)主體進行主動處理的重要例外,但該一個數(shù)據(jù)主體的處理同意必須并且應當能夠保證是"自由給予、明確、具體、不含混"的,數(shù)據(jù)處理主體的任何一個被動地進行處理同意都是不一定能夠完全遵守gggdpr的任何有關國家法律文件的規(guī)定。2019年7月,歐洲網(wǎng)絡數(shù)據(jù)保護工作委員會正式頒布《關于通過視頻設備處理個人數(shù)據(jù)的3/2019指引》,并進一步明確提出了盡量減少和有效地降低個人數(shù)據(jù)風險的技術手段和方法,例如,對原始數(shù)據(jù)進行分離存儲和傳輸;對生物識別數(shù)據(jù)尤其是分離出的片段數(shù)據(jù)進行加密并制定加密和秘鑰管理政策;整合關于反欺詐的組織性和技術性措施;為數(shù)據(jù)分配整合代碼(例如標識符和哈希表);禁止外部訪問生物識別數(shù)據(jù);及時刪除原始數(shù)據(jù),如果必須保存則采取添加干擾的保護方法。近期，有一市政府部門被開出罰單，該案件發(fā)生在瑞典，處罰金額2萬歐元，其原因是該政府設計了侵犯公民個人隱私，其通過捕捉影像,使用了人臉識別技術,將其與學生進行匹配,來監(jiān)督學生的考勤。根據(jù)執(zhí)法部門的意見，該學校的行為存在嚴重的問題，首先其目的過于侵犯隱私，其次，缺乏GDPR第9條下所述的有效法律依，并且，不滿足GDPR第35條、第36條關于數(shù)據(jù)保護影響評估以及事前協(xié)商的要求。因此該行為嚴重違法規(guī)定，不符合法律規(guī)定，沒有起到良好的社會效應。第四章我國人臉識別技術的規(guī)制途徑一、完善相關領域立法保護，采用"專門+分散"立法模式歐盟在總體和模式的選擇立法上對于生物標志和識別大氣污染數(shù)據(jù)的利用方式進行了嚴格的規(guī)范和限制,但同時也賦予了其成員國必須具有一定的自由裁量權,并在歐盟全體成員國內(nèi)頒布對人臉識別技術進行全面規(guī)制的專門法案《通用數(shù)據(jù)保護條例》。美國與歐盟不同，其采取比較自由的手段和方式,并且在聯(lián)邦政策層面上沒有限制對于面部識別和數(shù)據(jù)的利用,賦予了各州相當程度的法律規(guī)制和裁量權。但諸如伊利諾伊州、德克薩斯州、華盛頓州均通過專門立法來規(guī)范生物識別技術的應用。總而言之,無論是歐盟還是美國,均對人臉識別技術進行了相關專門立法,并且其立法位階較高，具有相當?shù)匚?。而從我國角度出發(fā),盡管2020年3月6日國家市場監(jiān)督管理總局、國家標準化管理委員會發(fā)布《信息安全技術個人信息安全規(guī)范》,對生物信息的利用進行了專門的法律規(guī)制,此種順應時代發(fā)展,采取專門立法規(guī)制的方式雖然是值得肯定的,但在法律位階上,該規(guī)范僅屬于部門規(guī)范性文件,法律效力不夠，對于人臉識別技術時代的信息保護顯然是不夠的。為此,我國政府部門應當積極加快針對《個人信息保護法》《數(shù)據(jù)安全法》等相關專業(yè)個人信息保護法律和規(guī)范進行修訂和立法的過程,但是與此同時,我們還不能過度忽略《民法總則》、《消費者權益保護法》《網(wǎng)絡安全法》這些法律規(guī)定中的分散性和非法定的立法對于保護整個社會公民的信息安全所有權起到重大意義。我國未來仍然有可能繼續(xù)走一條不同于歐盟和美國的一條具有中國特色的立法道路,即在《個人信息保護法》《數(shù)據(jù)安全法》《網(wǎng)絡安全法》等專門立法的指導和總領下,在《民法總則》（如今已被民法典取代）、《消費者權益保護法》、《網(wǎng)絡安全法》中進一步完善了與相關的分散性立法,借助"專門立法+分散立法"的模式,形成了對包括臉部信息在內(nèi)的所有個人信息進行保護的一種合力,共同維護我國個人信息應用的安全、高效。二、加大對個人信息采集更強的監(jiān)管力度人臉信息與普通人身份證上的個別信息進行對照,即使是作為一種生物信息,但是人臉信息也和其他生物(例如指紋)相比還是有較多的差異。比如,人臉信息的識別程度要弱于手機上的指紋信息;由于人臉圖像信息具有很強的易采性,可以在不知不覺中進行采集,而對于指紋信息的采集卻并不完全具備該特點。因此,對于人臉信息的采集應堅持特別規(guī)制即差異化規(guī)制,即應堅持強有力的知情同意原則。除了法定例外情形,采集個人日常信息，一般都需要征得數(shù)據(jù)主體的知情同意。但是人臉信息的特殊性,除了法定例外的情形,其所適用的知情同意原則比一般個人信息所適用的知情同意原則更嚴格,也就意味著我們應該始終堅持書面知情同意的原則。同時美國伊利諾伊州《生物信息隱私法》也是這樣規(guī)定的。此外,法律還要求在采集人臉圖像信息之前,采集主體應當明確告知其他采集主體所需要采集到的信息具體種類、目的、保存期限、被采集者的風險與權利,且告知相關個人的方式必須是書面的。（一）明確用戶"知情-同意"原則軟件應用、網(wǎng)絡平臺等其它個人信息的收集使用者運用人臉識別等技術識別特定的用戶時,首先應當明確告知用戶,通過用戶協(xié)議、郵件或是其他方式保障用戶對于自身個人信息用途的知情權。隨后,必須獲得用戶的明確肯定。如今許多應用在用戶協(xié)議上多為默認同意,用戶協(xié)議應該為明示同意。同意應當明確做出肯定發(fā)福,并符合該行業(yè)的一般準則。"知情-同意"原則是保護個人信息的最重要原則之一,只有在此原則下設立的具體規(guī)定才有意義。（二）確定數(shù)據(jù)合理使用原則這項原則在歐美也稱為必要原則,即應用人臉識別技術的服務提供者在收集和使用人臉信息時應考慮是否必要。針對不同的用戶,不同的領域,平衡應用人臉識別技術所帶來的便利和個人信息要承擔的隱私侵權風險。如兒童,明星等特殊社會群體,對其作出規(guī)定（3）確定的數(shù)據(jù)安全保管原則專門法應對個人信息打得儲存做出具體規(guī)定。針對不同的個人信息收集使用者制定分級制度來進行區(qū)別,如公權力機關和其他人臉識別應用者。根據(jù)其權利范圍的不同,設定不同的分級。在立法層面上針對可能產(chǎn)生的隱私侵權風險進行分級處理,提升個人信息隱私保護的科學性。主要從三個方面來進行區(qū)分:首先是保管的"內(nèi)容",公權力可保管的個人信息要比其他一般主體的范圍要廣,主體不能超越自己的保管權限儲存?zhèn)€人信息。其次是"時限"高等級主體由于具備更高的技術水平與技術手段,其安全性更高,個人隱私受到侵害的風險也就更小,儲存主體應根據(jù)自己的權限來進行數(shù)據(jù)儲存。最后是風險評估,任何自然人或者法人應用人臉識別技術或是承擔個人信息的儲存以為都事先需要進行專門機構(gòu)對其進行風險評估,以此來決定自身分級。三、加強行政監(jiān)管，完善行政監(jiān)管體系全面的制度性防范措施是完善行政監(jiān)管體系,實現(xiàn)人臉識別技術風險防范的關鍵所在。針對公權力的行使與個人隱私權保護的沖突,設置專門的監(jiān)督機構(gòu)有利于促進二者的平衡。監(jiān)督機構(gòu)應制定政府部門或社會機構(gòu)應用人臉識別技術的程序以及限制。規(guī)定政府部門在一般情況下,使用人臉識別技術或者獲取人臉信息需要向該監(jiān)督機構(gòu)通知并報告使用目的。該機構(gòu)在對使用目的,使用必要以及資質(zhì)和風險進行評估后決定出具許可,并對該許可限定時限。在使用人臉識別技術的過程中,監(jiān)督機構(gòu)為其提供必要的技術指導和培訓,保障人臉識別技術能夠被正確合理地運用。第一,建立健全該技術的市場準入制度。人臉識別技術屬于高科技領域,普通企業(yè)既沒有足夠的研發(fā)能力,也沒有足夠的風險防范能力,若放任企業(yè)自由進入,后果不堪設想,因此,在企業(yè)涉足人臉識別技術領域時,監(jiān)管機構(gòu)必須采取嚴格且公平的審查措施,去粗存精。第二,建立備案審查制度。人臉識別技術語境下的備案審查制度并不是指對數(shù)據(jù)主體數(shù)據(jù)的備案、儲存,而是指企業(yè)征得用戶同意,企業(yè)采取公開風險信息以及其他依據(jù)法定程序采取的相關措施的備案,以便在風險發(fā)生時,查證企業(yè)是否盡到合理注意義務,便于追責,也有利于監(jiān)管機構(gòu)對企業(yè)進行監(jiān)督管理。第三,構(gòu)建評估制度。人臉識別技術領域既是一個不斷發(fā)展的領域,日新月異,也是一個充滿風險的領域,因此,需要對其進行定期和不定期的評估,以此保證科技向善,同時,除了政府評估、第三方評估,企業(yè)同行評估也有必要納入該制度,以便加強企業(yè)之間的技術交流,最大可能的保證最新科技成果的共享。第四,建立該技術的安全標準制度。人臉識別技術的高度科技性和不確定性決定了人臉識別技術安全標準建立的必要性,通過持續(xù)不斷地更新人臉識別技術標準,規(guī)范企業(yè)合規(guī)行為,從而保障數(shù)據(jù)安全,防止人臉識別技術風險的發(fā)生。四、優(yōu)化本行業(yè)自律屬性，加強行業(yè)自律組織建設社會關于人臉識別技術的發(fā)展日新月異,盡管從政府層面的角度來看,對人臉識別技術進行規(guī)制更有利,但法律法規(guī)滯后于科技發(fā)展已經(jīng)成為社會發(fā)展的新常態(tài),人臉識別技術的治理完全依賴政府,既不可能,也不現(xiàn)實,企業(yè)不應依賴政府規(guī)制,此外,即使法律賦予個人再多權利,如果沒有實際掌握臉部信息的企業(yè)配合,這些個人信息權利也很難以實現(xiàn)。保護面部信息權益就需要我們的企業(yè)必須自覺地貫徹落實好相關的法律,將這些法律變成了一個企業(yè)的體系管理制度與行動,這就是行業(yè)自律的作用。然而,我國支付清算行業(yè)的自律組織尚未成熟,盡管目前已經(jīng)出現(xiàn)了眾多的行業(yè)協(xié)會,例如中國支付清算協(xié)會、中國防偽協(xié)會等,但這些自律組織存在加入企業(yè)少、標準沒有強制執(zhí)行力、"會員經(jīng)濟理性"以及行業(yè)協(xié)會自身發(fā)展存在缺陷等問題,一直困擾著行業(yè)自律組織的建設,并且這些問題并非僅依靠企業(yè)一己之力便可以完全解決。因此,在行業(yè)自律組織建設上,不僅需要依賴企業(yè)自身的力量,而且也需要政府的適當干預,與行業(yè)協(xié)會形成合力,共同加強行業(yè)自律組織的建設,這既是政府監(jiān)管人臉識別技術的需要,也是營造健康良好市場氛圍的必由之路。在推進行業(yè)社會自律和組織的建設方面,政府部門可以考慮通過一些金融資本和社會的財政扶持措施,對已經(jīng)加入了行業(yè)社會自律和組織且嚴格遵守行業(yè)社會自律和組織條例的企業(yè),優(yōu)先給予銀行和社會信貸,以此為基礎來引導和鼓勵社會企業(yè)積極參與到行業(yè)社會服務協(xié)會、遵守相關行業(yè)規(guī)范。對于由相關行業(yè)的自律組織制訂的切實可行的專業(yè)標準、自律規(guī)章和公約,可以適時將其納入相關的法律法規(guī),賦予其一定的強制執(zhí)行力,此外,對于相關行業(yè)的自律組織也有著制定和規(guī)范的能力缺乏明確認識和缺乏重視。可以建立政府和行業(yè)協(xié)會立法人才交流機制,進行定期和不定期交流,實現(xiàn)人才共享。最后,行業(yè)協(xié)會成員并非是公正無私的,各成員往往是基于私利而加入行業(yè)協(xié)會,行業(yè)協(xié)會本身也有其自身的私益,因此,政府在積極加強行業(yè)自律組織建設的同時,也應當對其加強監(jiān)管,以達到公益與私益之間的最佳平衡點。結(jié)語：隨著科技發(fā)展，人臉識別技術已經(jīng)成為被人們廣泛關注的社會熱點技術，整合以人臉技術為主要內(nèi)容的個人信息已成為了社會與國家的主流以及必然趨勢。人臉識別的應用給社會和人們帶來了極大的便利，大大提升了公共安全、交通領域、金融方面的工作效率，作為以前不曾被人們所重視的人臉信息如今卻與個人的財產(chǎn)隱私息息相關，而面部信息又是具有生物唯一性