原创 刘海燕 民主与法制周刊

文/本社记者 刘海燕

来源：《民主与法制》周刊2021年第25期

编者按

长期以来，隐私和个人信息保护问题一直是一个被忽视乃至被遗忘的“角落”。社会的进步，特别是互联网和数字化的突飞猛进，开启了一个全新的时代，让我们每一个人都变成了“透明人”。

个人信息保护的事件和案例屡屡见诸报端，引起社会各界极大关注。由此造成的个人信息大量泄露，各种推销、骚扰电话、垃圾短信、诈骗信息层出不穷，给人们的生活造成了极大困扰。特别是人脸识别信息技术的出现，直接触发了社会对信息泄露问题深层次的焦虑和担忧。

从民法典到《刑法修正案(七)》、“两高”关于办理侵犯公民个人信息刑事案件适用法律若干问题的司法解释，从网络安全法、数据安全法到正在审议的个人信息保护法，国家正在构建一整套个人信息保护法律体系，让民众彻底告别“信息裸奔”。

但是，个人信息保护是一项综合性的系统工程，需要社会各界共同努力。除立法外，加强政府监管、充分发挥检察机关公益诉讼的作用、促进行业自律和个人保护意识提升，也不可或缺。只有多方形成合力，个人信息保护才能真正落到实处。

《“透明人”时代的个人信息保护》系列报道之四

刷脸时代，“人脸识别”的喜与忧

4月9日，备受关注的“人脸识别第一案”迎来了终审判决。杭州市中级人民法院二审判决杭州野生动物世界赔偿郭兵1038元，同时判决杭州野生动物世界删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息以及指纹识别信息。

“人脸识别第一案”拉开了人脸信息司法保护的序幕。人们希望该案能够发挥出影响性诉讼的示范意义，推动个案正义走向制度正义。而规范人脸识别技术应用、防范人脸识别法律风险，寻求个人信息保护和人脸识别技术应用之间的平衡，则是法治的不二选择。

“人脸识别”亟待规制

近年来，我国的人脸识别技术发展迅速，人脸识别技术及人脸识别产品已广泛用于政府、金融、商务、教育、医疗、安全防务、司法等众多领域。随着该项技术的不断完善和社会对其认同度的进一步提高，可以预见，未来人脸识别技术将会应用到更多的领域，发挥难以估量的更大作用。但由于人脸识别技术的复杂性及其技术规范和法律规制的不足，也存在着被滥用的风险。去年网上曝出了“戴头盔看房”的视频，今年央视的“3·15”晚会又曝光了多家商店安装人脸识别摄像头的现象，人们在享受诸多便利的同时，也开始审视滥用人脸识别技术对个人信息保护的新挑战。规制人脸识别已成为当务之急。

关于人脸识别技术的特征和风险，中央财经大学法学院教授邢会强认为，人脸具有独特性、方便性、不可更改性、变化性、易采集性、不可匿名性、多维性等特征，这些特征决定了人脸识别技术的复杂性。而现实中很多收集人脸信息的机构并不具备相应的能力，人脸识别技术的风险不可小觑。他认为，人脸识别技术的风险主要有误差风险、身份认证被破解的风险、信息泄露的风险等。由于生物信息具有100%的可识别性，如果被泄露或者被不当使用，其造成的后果是难以估量的。

因此，寻求个人信息保护与人脸识别技术应用之间的平衡，合理规范人脸识别技术应用，依法保护好个人信息，就成为法治的一道必答题。

“人脸识别”暴露个人信息保护制度缺陷

我国现行法律如何保护人脸特征信息，防范“人脸识别”带来的风险？记者注意到，我国现行的法律并没有明确对“人脸识别”作出具体规定，但对于个人信息却是有明确保护要求的。目前，可通过对个人信息保护法律的一般规定寻求人脸特征信息保护，以期防范“人脸识别”风险。

如2013年修订的消费者权益保护法增加了消费者“享有个人信息依法得到保护的权利”，并就侵害消费者该项权利的民事责任作出了规定。这是我国法律首次从民事权利的角度对个人信息进行规定。

又如，网络安全法将生物识别信息纳入到个人信息当中，给予相应的保护。第七十六条第5项明确规定：个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。上述规定中的“生物识别信息”就包含人脸特征信息。

再如，2021年1月1日起开始施行的民法典，明确将以人脸信息为代表的生物识别信息纳入了个人信息的保护范畴。民法典第一千零三十四条规定：个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

具体怎么提供对个人生物识别信息的保护？清华大学法学院副院长程啸教授指出，我国民法典对此提供了多重保护方法：一是对于自然人的脸部特征等在一定载体上所反映的特定自然人可以被识别的外部形象，因其属于肖像，故此受到作为人格权的肖像权的保护。任何组织或者个人不得以丑化、污损或者利用信息技术手段伪造等方式侵害他人的肖像权，未经肖像权人同意，任何组织或者个人不得非法制作、使用、公开肖像权人的肖像。二是如果对自然人人脸等生物识别信息的采集的是偷拍偷录等方式，则该行为构成侵害隐私权。民法典第一千零三十三条明确禁止任何组织或者个人在未经权利人的明确同意或者法律另有规定的情形下，拍摄、窥视、窃听、公开他人的私密活动，拍摄、窥视他人身体的私密部位，处理他人的私密信息。三是对自然人的声音，明确规定应参照适用肖像权保护的有关规定给予保护。四是对于生物识别信息，如果属于私密信息的，则适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

刑事法律则是对侵犯个人信息的行为规定了相应的法律责任。2015年11月1日起施行的《刑法修正案（九）》，扩大了侵犯公民个人信息罪的犯罪主体和个人信息的范围，明确规定“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的”“窃取或者以其他方法非法获取公民个人信息的”，均涉嫌构成侵犯公民个人信息罪。上述规定中的“公民个人信息”，也包括人脸特征信息等个人敏感信息。

记者了解到，尽管我国个人信息保护法律制度在逐步建立，但仍难以适应信息化快速发展的现实情况和人民日益增长的美好生活需要。由于目前我国法律并没有直接对“人脸识别”作出具体规定，且我国个人信息保护的相关法律规定呈现出“碎片化”“散乱化”“板块化”的特点，不够具体明确，在现有法律框架下将无法有效实现对“人脸识别”的规制。要有效防范滥用“人脸识别”对个人信息保护带来的风险，法律亟须跟上信息技术的发展，增强法律规范的系统性、针对性和可操作性。

“人脸识别”国家标准先行

记者在采访中感受到，我国对人脸识别技术所采取的态度不同于欧盟统一禁止的模式。

邢会强教授表示，我国目前对包括人脸信息在内的生物识别信息的特别保护呈现出软法先行的特点。2020年2月，全国金融标准化技术委员会审查通过了《个人金融信息保护技术规范》（JR/T 0171-2020）。同年3月，我国国家标准GB/T 35273-2020《信息安全技术个人信息安全规范》进行了修订。2020年11月26日，工信部组织发布了电信终端产业协会团体标准《App收集使用个人信息最小必要评估规范人脸信息》。

2021年4月25日，《信息安全技术人脸识别数据安全要求》国家标准的征求意见稿面向社会公开征求意见，拟通过制定国家标准来解决人脸数据滥采、泄露或丢失以及过度存储、使用等问题。国家标准要求，收集人脸识别数据时应征得数据主体明示同意，不得利用人脸识别数据评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。同时，应提供除人脸识别外的其他身份识别方式供用户选择，不应因用户不同意收集人脸识别数据而拒绝数据主体使用基本业务功能等。针对人脸图像，国标要求应在完成验证或辨识后立即删除，如果开发商希望存储人脸图像，同样要经过数据主体单独书面授权同意。

由于国家标准不具有法律强制性，对于国家标准如何有效执行，中国社会科学院法学研究所研究员刘仁文、浙江理工大学法政学院法律系副主任郑旭江在《人脸识别技术的应用风险和法律规制》一文中指出，个人信息领域的行业标准兼具技术和制度的双重属性，决定了我们应在制定科学标准的同时加以有效执行，以最终形成全行业普遍遵从的共识。

为确保标准落地，上述两位学者认为，应进一步明确中央和地方层面的监管机构和监管事项，突出国家和地方网信办的牵头作用，避免不同监管机构窗口指导中潜在的随意性和模糊性；采取分级分类制度对人脸识别技术的软硬件进行专业认证，以确保人脸识别的安全性和准确性；建立“检测评估类”机制，以针对现有标准设定可执行和可重复的验收规则与核查程序。同时，整合全国信息安全标准化技术委员会网站、中国知网标准库等信息源，推动统一的标准信息公开平台建设，以指导不同主体在人脸识别技术领域的合规运行。

邢会强教授则认为，软法欠缺强制力的特点，决定了对包括人脸信息在内的个人生物识别信息的特别保护离不开硬法的托底。因此，我们应在及时总结软法的成熟的治理工具和治理经验的基础上，及时将软法规范上升为硬法规定。

但中国法学会法治研究所研究员刘金瑞认为，应该走法律和标准同向发力、刚柔并济的治理之路，对于技术性很强的新兴问题，考虑到技术发展尚未定型，法律一开始不可能规定得很细致，只能先明确底线红线，往往表现为先规定一些法定原则，比如规定不能侵害主体的合法权益，而由标准去细化具体技术应用场景中不侵害主体合法权益的良好做法。拿的准的一些做法可以规定为强制性标准，需要经过实践验证的一些做法可以先规定为推荐性标准，不管是强制性标准还是推荐性标准，都可以为之后的细化立法积累有益经验。但只靠国家标准尤其是目前以推荐性标准为主，是远远不够的，不具有强制力的推荐性标准，无法为相关主体的合法权益提供充分保护。

人脸特征信息保护进入立法视野

庆幸的是，2021年4月29日，全国人大常委会公布了个人信息保护法草案二审稿并公开征求意见。草案二审稿中对人脸识别进行了专门规定，为应对人脸识别新技术对个人信息保护带来的新挑战，从源头上防范人脸特征信息等敏感个人信息被非法收集和滥用提供具体的法律依据。个人信息保护法被列为2021年立法计划，将在三审后审议通过。目前草案二审稿对人脸识别的专门规定较为原则，尚需在公开征求意见的基础上修改补充。

如何平衡好个人信息的保护与利用的关系？中国法学会副会长、中国法学会民法学研究会会长、中国人民大学一级教授王利明在《人脸信息是敏感信息和核心隐私应该强化保护》一文中指出，人脸信息属于隐私权，应该强调保护而非利用。他指出，在法律层面上如何平衡好个人信息的保护与利用的关系，是各国个人信息保护法制定时需要考虑的最大问题。人脸信息比较特殊，与一般个人信息有所不同，涉及隐私和个人信息的交叉。人脸信息不仅是个人信息，实际上还包括个人核心隐私。所以，人脸信息应该成为隐私权的重要组成部分。他更倾向于将人脸信息等敏感信息与一般的信息保护进行区别对待，在如何平衡“利用与保护”两者关系时，人脸信息要更注重保护，而其他非敏感信息则是更多地强调“利用”。

中国人民大学法学院副教授郭锐在2021年3月22日至23日召开的“中英个人信息保护法研讨会”上指出：“在伦理层面，利益平衡的方法可能陷入伦理相对主义的困境。以人脸识别为代表的人工智能的发展存在‘终极准则难题’和‘因果关系难题’。前者表现为社会对诸多问题的价值判断缺乏共识；后者体现在人类缺乏对全部后果的认知，对决策结果的伦理性判断不足。对此，可以从‘人的根本利益原则’和‘责任原则’两个方面思考法律规制的路径。同时还要更加注重问题产生的社会背景，关注社会的长远利益和弱势群体的利益。”

对于完善个人信息保护法对人脸识别技术的法律规则，邢会强教授认为应从三个方面入手：一是建立健全一体适用的安全与责任底线；二是区分公私部门配置不同的规制重心，对政府部门使用人脸识别技术应以事前事中规制为主，对非政府部门使用人脸识别技术应以事中事后规制为主；三是对人脸信息的采集施加比对一般个人信息的采集更强的规制力度。

中国人民大学民商事法律科学研究中心执行主任、法学院教授石佳友在“中英个人信息保护法研讨会”上指出：“人脸信息的收集会严重威胁个人隐私，人脸识别技术也会造成人身、财产和心理上的安全隐忧，人脸识别算法更可能造成对特定群体的歧视和‘自由危机’。”

他强调，应当贯彻民法典确立的合法、正当、必要原则，建立人脸识别的技术准入审查机制，落实有效的知情同意原则，严格限制“概括同意”的应用场景，引入“动态知情同意”模式。此外，还应当严格规制公共视频的人脸识别应用，强调“基于预防、调查违法、犯罪行为等目的”，并增加“依法保护个人的隐私权等合法权益”的规定。

关于增强人脸识别法律规定的可操作性，中国法学会网络与信息法学研究会负责人、中国社会科学院法学研究所副所长周汉华研究员建议，在个人信息保护法出台后，应尽快制定可操作的管理细则。管理部门与市场主体都要高度重视，共同努力，防止技术滥用，培育安宁、和谐、宽松的社会环境。

我们相信，个人信息保护法的颁布实施，将有助于在法治的轨道上建立个人信息保护和人脸识别技术应用之间的平衡，更好地平衡好个人信息保护与数字经济发展的关系，平衡好保护个人信息和维护公共安全的关系，形成信息安全、技术进步协同发展的良好趋势，使人脸识别技术更好地造福于社会，使民众更有幸福感和安全感。

原标题：《《“透明人”时代的个人信息保护》系列 刷脸时代，“人脸识别”的喜与忧》

阅读原文