前言：

人臉，承載了重要的個(gè)人身份信息。技術(shù)的發(fā)展，則讓人臉成為了辨別個(gè)人身份的“重要數(shù)據(jù)”。各大手機(jī)廠商推出的新一代手機(jī)中，刷臉解鎖已經(jīng)替代了指紋解鎖，一些支付系統(tǒng)也都紛紛采用了人臉識(shí)別技術(shù)。目前，人臉識(shí)別無疑是人工智能浪潮中最火熱的、被廣泛應(yīng)用的技術(shù)之一，為生活出行、社會(huì)治安等提供了便利。

刷臉是否安全

“刷臉”進(jìn)門，“靠臉”吃飯。..。..在人臉識(shí)別技術(shù)日漸成熟的今天，這些曾經(jīng)的想象已經(jīng)無限接近于現(xiàn)實(shí)。根據(jù)前瞻行業(yè)研究院的預(yù)測，未來五年中國人臉識(shí)別整體市場將快速成長，實(shí)現(xiàn)多行業(yè)應(yīng)用，預(yù)計(jì)到2021年中國人臉識(shí)別市場規(guī)模將突破50億元。

除了對隱私的擔(dān)憂，公眾對人臉識(shí)別技術(shù)另一方向的憂慮來自于技術(shù)本身的安全。此前，浙江小學(xué)生發(fā)現(xiàn)打印照片就能代替“刷臉”，騙過小區(qū)里的豐巢快遞柜的新聞，似乎正是其“不靠譜”的寫照。

與對隱私的擔(dān)憂相比，對“刷臉”技術(shù)本身安全性的憂慮卻有恐慌之嫌。實(shí)際上快遞柜能被照片蒙騙，主要是因?yàn)槠渲胁⑽醇尤牖铙w檢測技術(shù)，“如今連活體檢測都不用就敢‘放出來’的人臉識(shí)別技術(shù)應(yīng)用相當(dāng)罕見”。

從技術(shù)本身來看，目前人臉識(shí)別分為2D和3D兩種技術(shù)方案，以支付寶和微信的“刷臉支付”為例，兩者使用的都是3D人臉識(shí)別技術(shù)，會(huì)通過軟硬件結(jié)合的方法開展檢測，來判斷采集到的人臉是否為活體，可有效防范視頻、紙片等冒充。

不同場景，不同邊界

商業(yè)化場景：在滿足個(gè)人信息主體“知情同意”情形下，鑒于人臉信息蘊(yùn)含著更高的信息安全風(fēng)險(xiǎn)以及潛在的更廣泛的信息內(nèi)涵，企業(yè)應(yīng)當(dāng)謹(jǐn)慎評(píng)估使用行為是否遵循“合法、正當(dāng)、必要”原則，避免被質(zhì)疑“殺雞焉用宰牛刀”。

基于公共利益的應(yīng)用場景：與傳統(tǒng)法學(xué)上對于肖像權(quán)的限制觀點(diǎn)相類似，基于社會(huì)公共利益所需的情形下，自然人就其人臉信息所享有的權(quán)利也得以在一定程度內(nèi)被限制。然而考慮到過度使用人臉識(shí)別技術(shù)可能對種族平等、言論自由可能帶來的威脅，一般認(rèn)為在公共場所使用這一技術(shù)時(shí)，建議注意遵守授權(quán)原則、法律保留原則、比例原則等。

人臉識(shí)別技術(shù)應(yīng)用的合規(guī)問題

①含人臉圖像的照片的性質(zhì)認(rèn)定

《信息安全技術(shù) 個(gè)人信息安全規(guī)范》中，面部識(shí)別特征與個(gè)人基因、指紋、聲紋、掌紋、耳廓、虹膜等一并構(gòu)成個(gè)人敏感信息下的“個(gè)人生物識(shí)別信息”，保護(hù)程度和相關(guān)的合規(guī)要求均較一般個(gè)人信息更高。今年6月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布了《信息技術(shù) 安全技術(shù) 生物特征識(shí)別信息的保護(hù)要求（征求意見稿）》，其中對于生物特征識(shí)別數(shù)據(jù)的定義為“生物特征樣本、生物特征、生物特征模型、生物性質(zhì)、原始描述數(shù)據(jù)的生物識(shí)別特征，或上述數(shù)據(jù)的聚合”，而“人臉”被列為可據(jù)以對個(gè)體進(jìn)行識(shí)別的生理特征之一。然而，對于承載人臉圖像的照片是否會(huì)被認(rèn)定為個(gè)人敏感信息，我國目前尚未予以明確。

包含人臉圖像的照片在性質(zhì)上并非當(dāng)然構(gòu)成受到更高保護(hù)程度的生物識(shí)別信息/個(gè)人敏感信息，而是當(dāng)經(jīng)由特定技術(shù)處理后能夠使其具有可識(shí)別個(gè)人身份的屬性時(shí)，才會(huì)受制于更高的合規(guī)要求。

②人臉識(shí)別技術(shù)的商業(yè)化使用

《網(wǎng)安法》要求網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息，應(yīng)明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。將監(jiān)控設(shè)備基于安監(jiān)目的所收集的人臉圖像、影像信息進(jìn)一步應(yīng)用于商業(yè)化的精準(zhǔn)廣告營銷，超出了消費(fèi)者對于其個(gè)人信息使用的正常預(yù)期。

因此，企業(yè)因安全監(jiān)控等目的所獲知的人臉圖像、影像，如后續(xù)被用于其他商業(yè)目的，則需保障個(gè)人信息主體的知情、同意要求。此外，企業(yè)還需采取合理措施防止對該述信息的未經(jīng)授權(quán)訪問或獲取，并遵循保存時(shí)限合理必要的最小化要求。

③公共場所使用人臉識(shí)別技術(shù)的限制

一方面，政府基于建設(shè)智慧城市如在地鐵等公共交通樞紐場地安裝人臉識(shí)別裝置或基于行政執(zhí)法目的收集、使用人臉信息，是對公共安全的保障甚至能夠推動(dòng)公共出行的便捷。另一方面，在日益增多的公共場所監(jiān)控場景中，個(gè)人無法拒絕對于人臉識(shí)別信息的獲取，也同時(shí)增加了個(gè)人信息被濫用的風(fēng)險(xiǎn)。

雖然上述為公權(quán)力使用場景，但其中所體現(xiàn)出的利益權(quán)衡對于在公共場所部署監(jiān)控設(shè)備的企業(yè)而言依然有一定的借鑒意義。企業(yè)在處理人臉識(shí)別信息時(shí)應(yīng)當(dāng)考慮行為的正當(dāng)性和必要性，應(yīng)積極制定并遵從敏感信息處理政策，以明示告知信息主體并取得信息主體的妥當(dāng)授權(quán)，確保收集和處理該信息僅應(yīng)以其業(yè)務(wù)目的之必要為限度，并在上線監(jiān)控技術(shù)之前對其可能對個(gè)人隱私造成的影響予以評(píng)估。

④人臉識(shí)別技術(shù)下的歧視問題

隨著我國對于個(gè)人信息處理的合法性、透明性要求日漸增強(qiáng)，企業(yè)在完全依靠自動(dòng)化算法處理人臉識(shí)別信息并作出顯著影響個(gè)人信息主體權(quán)益的決定時(shí)，為了避免可能的算法歧視對自然人造成的影響，建議應(yīng)：

（1）全面告知人臉識(shí)別信息的使用用途;

（2）AI自動(dòng)算法的工作原理以及AI將使用何種特征來評(píng)估數(shù)據(jù)主體;

（3）就收集人臉識(shí)別信息以及后續(xù)的AI處理行為獲取數(shù)據(jù)主體同意;

（4）向個(gè)人信息主體提供申訴方法，以保障受影響的主體質(zhì)疑自動(dòng)化決策所做結(jié)論的權(quán)利。

受限于技術(shù)發(fā)展現(xiàn)狀、原始數(shù)據(jù)的偏差、算法設(shè)計(jì)者自身的偏見，使用人臉識(shí)別算法通過標(biāo)簽化的判斷方式增加了作出歧視性決策的風(fēng)險(xiǎn)，而這些風(fēng)險(xiǎn)絕大程度上將由本身已處于相對劣勢地位的人群承擔(dān)。在缺乏監(jiān)管、有效保障措施、透明度和問責(zé)機(jī)制的情形下，人臉識(shí)別算法的運(yùn)用將加速現(xiàn)有的不平等現(xiàn)象。而令人擔(dān)憂的是，通過借助復(fù)雜晦澀的算法，歧視往往以一種不易察覺的方式進(jìn)行。

我國法律對面部識(shí)別特征進(jìn)行較為嚴(yán)格的保護(hù)

人臉識(shí)別帶來的便利不可忽視，然而技術(shù)的發(fā)展沒有邊界，但技術(shù)的使用必須有邊界，可這個(gè)邊界是模糊的。哪些場景可以應(yīng)用，哪些領(lǐng)域可以擴(kuò)展，均無明顯規(guī)范。因此，當(dāng)其逾越了邊界，自然就產(chǎn)生了諸多爭議。

我國關(guān)于人像采集的法律法規(guī)主要集中于出入境管理、身份證辦理、刑事偵查、道路交通安全管理等法律法規(guī)，公安機(jī)關(guān)等相關(guān)政府部門有權(quán)力強(qiáng)制采集數(shù)據(jù)主體的人像、指紋等生物識(shí)別信息。比如，《身份證法》第三條規(guī)定居民身份證登記的項(xiàng)目包括本人相片、指紋信息等。

除了法律對人像采集有強(qiáng)制性規(guī)定的場合之外，人臉識(shí)別正在被廣泛運(yùn)用到火車站/飛機(jī)場的“刷臉進(jìn)站”、學(xué)校的課堂監(jiān)控、企事業(yè)單位的“真人打卡”等公共管理領(lǐng)域，以及銀行等金融機(jī)構(gòu)的身份驗(yàn)證、支付寶等第三方支付的身份驗(yàn)證、在線美顏和P圖等商業(yè)領(lǐng)域。上述行為是否符合《網(wǎng)絡(luò)安全法》及相關(guān)信息保護(hù)法律規(guī)范的要求值得思考。

其實(shí)，從人臉識(shí)別的技術(shù)來看，除了首次在數(shù)據(jù)庫中存儲(chǔ)的面部識(shí)別特征，在此后的面部識(shí)別中采集的面部特征可以僅用于校對，而不進(jìn)行存儲(chǔ)。不收集或減少收集不必要的個(gè)人敏感信息也符合《網(wǎng)絡(luò)安全法》關(guān)于數(shù)據(jù)收集的“必要”原則，同時(shí)也可以減少數(shù)據(jù)泄露的安全風(fēng)險(xiǎn)。

結(jié)尾：

人臉信息，作為人體重要的生物信息，在技術(shù)發(fā)展的推動(dòng)下，已經(jīng)應(yīng)用到支付、娛樂、安防、教育等各個(gè)生活領(lǐng)域。技術(shù)是一把雙刃劍，人臉識(shí)別作為一項(xiàng)高新技術(shù)，人們在體驗(yàn)其為生活帶來便利的同時(shí)，也不能忽視其帶來的信息安全、隱私泄露等問題，更不能對其帶來的法律風(fēng)險(xiǎn)視而不見。

責(zé)任編輯：ct