就政府部门使用人脸识别的法律（lǜ）规制，特别许可（kě）使用（yòng）制度既发（fā）挥人脸（liǎn）识别技术之利，又防范人脸识（shí）别（bié）技术之弊，是一（yī）种更加（jiā）理性（xìng）的制度安排。就非政府（fǔ）部门（mén）使用（yòng）人（rén）脸识别的法律规制，对人脸信息作出比一般个人信息更为严格的（de）特别保护和特别规制（zhì），更有利于（yú）保护个人的人脸（liǎn）信息。

  在无竞争性的服务领域（如民航、铁路、学校（xiào）、社（shè）区等）使用人脸识别技（jì）术（shù），当人们拒绝“刷（shuā）脸”时，应提供其（qí）他替代性的验证机制，而不能不“刷脸”就不能使（shǐ）用或进入。即（jí）使不全面叫停政（zhèng）府部门安装、使用人脸识别（bié）技术，也应该对其进（jìn）行严（yán）格的法律规制（zhì），防范安全风险（xiǎn），防止被滥用。

  随着技术的发展，人脸识别（俗（sú）称 “刷脸”）在（zài）我国逐渐盛行。我国目（mù）前对人脸识别技术尚无专门的法律规定，无论是政府、社区、事业单位还是商家，均（jun1）可以任意（yì）安装人（rén）脸识别技（jì）术，强制人们“刷脸”验（yàn）证。而人们若拒绝（jué）“刷脸”，则基（jī）本上无法使用（yòng）相关服务。如若不服，则投诉无门，只（zhī）能对（duì）簿公堂，但诉讼成本高昂。基于此，有必要（yào）对人（rén）脸（liǎn）识别的法律（lǜ）规制予以深（shēn）入研究，厘定人脸识（shí）别技（jì）术应遵循的法律底线，明晰人脸识别技术法律规制的（de）基本要点。

  人脸识别技术的特征、收益（yì）与风险

  人脸识别可简单（dān）地（dì）概括为：机（jī）器对（duì）静态或视频中的（de）人脸图像（xiàng）进行（háng）特征（zhēng）提取（qǔ）、分类识别（bié），以达到（dào）身（shēn）份（fèn）鉴别的目（mù）的。人脸识别技术的应（yīng）用（yòng）场（chǎng）景日渐丰富，其功（gōng）能（néng）归纳起来（lái）主要（yào）是身份（fèn）验证（zhèng）和监（jiān）控。这（zhè）又可以（yǐ）分为（wéi）政府机构（gòu）的公（gōng）共（gòng）应用（yòng）和非政府机构的（de）商业（yè）应用与（yǔ）慈善应用等。

  人脸具有如下的特征：独（dú）特性（xìng）和直（zhí）接识别性，方（fāng）便（biàn）性，不可更改（gǎi）性，变化性，易采集性，不可匿（nì）名性，多（duō）维性（xìng）。人脸（liǎn）的上述特征直接决定了人脸（liǎn）识（shí）别（bié）技术（shù）具有复杂性（xìng）特（tè）征（zhēng），而（ér）现实中很（hěn）多收集人脸的机构（gòu）并不具备相应的风险防控、安全保障能力、组织和机（jī）制（zhì）。

  人（rén）脸识别技术的收益是（shì）世所公认的，人脸识别技术可以应用于诸多场景（jǐng）。

  但是，另一方（fāng）面，人脸识别技术的风险也（yě）是不可小觑的。其风（fēng）险主要有：一是误差（chà）风险。如果人脸（liǎn）识别技术不够（gòu）成熟，可能出现混淆。此外，由于（yú）人脸为非刚体（tǐ）性，人脸（liǎn）之间（jiān）的相似性以（yǐ）及各种变化因素的影（yǐng）响，准确的（de）人（rén）脸识别仍较困难（nán）。二（èr）是身份认（rèn）证被（bèi）破（pò）解（jiě）的风险（xiǎn）。密码是秘密保存的，但（dàn）人脸却是公之于众的。最新的（de）人（rén）脸验证技术，结合了3D图片进行登（dēng）录与验证，这比（bǐ）以前的（de）技术更难破解，但破（pò）解并非完全不可（kě）能。三是信息泄露风险。用于保存人脸（liǎn）信息的（de）电子（zǐ）计算机（jī）系（xì）统存在被黑客入侵（qīn）、病毒入侵的风险（xiǎn），这（zhè）可能导致信息（xī）泄露。此外（wài），内部员（yuán）工（gōng）的作案也可能导致信息泄露。生（shēng）物信息具有（yǒu）100%的可识别性，一旦被泄露（lù）或是被（bèi）不当利（lì）用，后果无法（fǎ）估量。

  国（guó）外（wài）人脸识（shí）别法律规制（zhì）的经验

  从（cóng）美国有限的既有立法或立法草（cǎo）案、建（jiàn）议来看，美国对政府部门使用人（rén）脸识别的法律规（guī）制，有别（bié）于对非政府机构使用人脸识别的法律规制，二者是分别（bié）立（lì）法、分别规制（zhì）的，规（guī）制的具体方法和价值取向截然不同。对政府部（bù）门使用人脸识别的法律规制主要分为三（sān）种（zhǒng）：第一（yī）种是禁止（zhǐ）使用制（zhì）度，第二种是特别许可使用制（zhì）度，第三种是任（rèn）意使用制度。禁止使用（yòng）制度为美国旧金山市所首（shǒu）创，目前备受关注。特别许可使用制度目前（qián）尚处于民（mín）间建议阶段。任意使用制度即对（duì）政府使用人脸识别尚未特别立法，政府部门可以任（rèn）意使用人脸（liǎn）识别。而美国（guó）对非政府机构（gòu）使用人脸识（shí）别的法律（lǜ）规制，主要是将人脸信息（xī）作为生（shēng）物信息之一加以规制，它也（yě）可以分为两种路径：一种是（shì）比对（duì）一般个人信息的（de）保护更为严格的高强度规制路径或特别规制路径，另一种是与（yǔ）对（duì）一般个人信息的保护没有区分的、同等程（chéng）度保（bǎo）护（hù）的普通规制（zhì）路径（jìng）。

  欧（ōu）盟（méng）与美国对政府部门和商业部门使用（yòng）人脸识别技术分别（bié）进行立法不（bú）同（tóng），欧盟《通用数据保（bǎo）护条例（lì）》（以下简称GDPR）是（shì）对公私部门一体适用的（de）。这（zhè）就意味着（zhe），无论是政（zhèng）府部门（mén）还（hái）是（shì）非政府部门（mén），只要使用人（rén）脸识（shí）别（bié）技术，就必须遵（zūn）守相同的规（guī）范。

  GDPR第4条定义条款对“生物（wù）数据（jù）”（biometric data）进行的界（jiè）定包括“面部图像”（facial images）。GDPR第9条规（guī）定了特殊种类的个人数据处理，其中就包括生物数据（jù）。GDPR对生物（wù）数（shù）据的处理（lǐ），遵循（xún）“原则禁止，特（tè）殊例外（wài）”的原则。数据控制（zhì）者可援引“数据主体的（de）同意”作为（wéi）个人生物数据（jù）处理（lǐ）的（de）例外，但该（gāi）同意必须是“自由给予、明确（què）、具体（tǐ）、不含混”的，数（shù）据（jù）主体的任何被动同意均不符合GDPR的规定（dìng）。

  2019年7月，欧洲数据保护委员会（EDPB）颁布了《关于通过视（shì）频（pín）设（shè）备处（chù）理个（gè）人数据的（de）3/2019指引》提供了尽量降低风险的（de）措施，例（lì）如（rú），对原始数据进行分离存储（chǔ）和传（chuán）输；对生物识别数据尤其是分（fèn）离出的片段数据（jù）进行（háng）加密（mì）并制定加密和秘钥管理政策（cè）；整（zhěng）合关于反欺诈的（de）组织性和（hé）技（jì）术性（xìng）措施（shī）；为数据分配（pèi）整（zhěng）合代码；禁止外部（bù）访问生物识别数据；及时删（shān）除原（yuán）始数据（jù），如果必须保存则采取添加干扰（noise-additive）的保护方法。

  就政府部门使（shǐ）用人脸（liǎn）识别的法（fǎ）律规（guī）制，目（mù）前国外虽然（rán）三种制度并存，但任意使用（yòng）制度显（xiǎn）然是（shì）大（dà）数据时代之前的做法，未（wèi）认识到人脸识（shí）别技（jì）术给人们带来的风（fēng）险；禁止使（shǐ）用（yòng）制（zhì）度（dù）也太过于激进（jìn），不（bú）利于发挥人（rén）脸识别技术（shù）的优势，扼杀了技（jì）术（shù）的发展。相比较而（ér）言，特别许可使用制度既发挥（huī）人脸识别技术之利，又防范人脸识别技术（shù）之弊，是一种更加理性的制度安排，值得（dé）我（wǒ）国借鉴。

  就非政府部门使用（yòng）人脸识（shí）别的法律规制，目前国外虽然两种制度并（bìng）存（cún），但将人脸（liǎn）信息作为一般个人（rén）信息对待的普通规制（zhì）路径显然（rán）是没有认识到人脸信息及人脸识别（bié）技术的特殊（shū）性，将个人置于极大的风险（xiǎn）之中。而对人脸信息作（zuò）出比对一般个人信息更为严（yán）格的特别保护和特别规制，更有利于（yú）保护个人的人脸信息，更（gèng）值得我国借鉴。

  但是，各国的政治（zhì）、社会和技术背景（jǐng）存（cún）在各自的（de）特殊性，这就（jiù）决定（dìng）了国外对（duì）于人脸识（shí）别技术的相关制度未必（bì）适合于（yú）我国，我国在引进（jìn）相关制度（dù）时需要审慎甄别。

  完善（shàn）我（wǒ）国（guó）人脸识别法律规制的建议

  我国2020年5月颁布的民（mín）法典第1034条第1款规定，“自然人的个（gè）人信息受法律保护（hù）”，并在该条第2款个（gè）人（rén）信息的定义（yì）中，明确将生（shēng）物识（shí）别信息列举为（wéi）个人信息，但也未对个人生物识别信息作特（tè）别保（bǎo）护。个人信息保护法（草案）第27条（tiáo）规定：“在公共场所（suǒ）安装（zhuāng）图像（xiàng）采集、个人身份（fèn）识别设（shè）备，应当为维护公共安全所必需，遵守国家有关规定，并设置（zhì）显著的提示标识。所收集的个人图像、个人身份（fèn）特征信息只能用（yòng）于维护（hù）公共安全的（de）目的，不得（dé）公开或者（zhě）向他人提供；取得个人单独同（tóng）意（yì）或者法律、行（háng）政法（fǎ）规（guī）另有规定的除外。”这里“图像（xiàng）采集”包括（kuò）人脸识（shí）别（bié）。个（gè）人信（xìn）息保护法（草案）第29条将个人生物（wù）信息作为敏感（gǎn）个（gè）人信息加以保护，并规定了“充分必要”原（yuán）则（zé）。但总体（tǐ）而言（yán），个人信息保护法（fǎ）（草案）对人脸识别技术的（de）规（guī）制仍较为简略。

  我国（guó）目前对包括人（rén）脸信息在内（nèi）的生物识（shí）别信息的特别保护呈现（xiàn）出软法先（xiān）行的特（tè）点。2020年（nián）2月，全（quán）国金融（róng）标准化技（jì）术委员会（huì）审（shěn）查通过的《个人金融信息保（bǎo）护技术规（guī）范》（JR/T 0171-2020）（以下简称《规范》）将生物识别（bié）信息列为敏感性最高的C3类（lèi）信息，并要求金融机构（gòu）不应委托或授权无金融业相关（guān）资质的机（jī）构收集C3类（lèi）信息（xī），金融机构及其受托人收（shōu）集、通过（guò）公共网络（luò）传输、存（cún）储C3类信息时，应使（shǐ）用加密措施。2020年3月新修订（dìng）的我（wǒ）国（guó）国家标准GB/T 35273-2020《信息（xī）安全技术（shù）个人信息安（ān）全（quán）规范》明确规（guī）定个人生（shēng）物识别信息属于（yú）个（gè）人敏感信息，并对（duì）个人敏（mǐn）感信息（xī）进行了特殊保护。2020年11月（yuè）27日，工（gōng）信部组织发布（bù）了电（diàn）信（xìn）终（zhōng）端产业（yè）协（xié）会团（tuán）体标准《APP收集使用（yòng）个人（rén）信息最小必要（yào）评估规范 人脸信息》，规（guī）定（dìng）了移动应用软件对（duì）人（rén）脸信息的收（shōu）集（jí）、使用、存（cún）储、销毁等活（huó）动中的最小必要规（guī）范（fàn）和评（píng）估方法，并通过个人信（xìn）息处理活动中的典型（xíng）应用场景来（lái）说明如何落实（shí）最小必要原则。

  数据治（zhì）理的普遍性、技（jì）术（shù）性、复杂（zá）性（xìng）、应（yīng）时性等特点决定了数（shù）据治理具有一（yī）定的（de）软法空间，但软法欠（qiàn）缺强制力（lì）的特点（diǎn）决定了（le）对包括人脸信息在内的个人生物识别信息的特别（bié）保护（hù）离不开硬法的托（tuō）底。因（yīn）此，有必要从硬法的角度系统思考对包括人脸（liǎn）信息在内（nèi）的个人生（shēng）物识（shí）别信息的（de）特（tè）别法律保护（hù）、对人脸识别的特别法律规制问题（tí）。

  1、建立健全一（yī）体（tǐ）适用的（de）安（ān）全与责任底线

  法律规制（zhì）人（rén）脸识别技术（shù）的目的，不是一味地叫停该项技术的（de）使（shǐ）用，而是要在确（què）保（bǎo）安（ān）全的前提下，倡导一种负责任的（de）使用。为此，笔者建议建立如下公私部门一体适用的安全与责（zé）任底线。如果不符合这些安全与（yǔ）底线原则，则为违（wéi）法收集个人信（xìn）息（xī）。

  其一，无论（lùn）谁（shuí）使用人脸识别技（jì）术，人脸（liǎn）识别系统要经第三方（fāng）独立（lì）机构定期检测，以检测（cè）其（qí）准（zhǔn）确（què）性（xìng）与非（fēi）歧视性。必要时，人脸识别系统及（jí）其定期（qī）检（jiǎn）测结果应（yīng）向监管部门备案。

  其二，无论谁通过公共网络（luò）收集、传输、存（cún）储人（rén）脸（liǎn）信息，都应使用（yòng）加（jiā）密措施，并对收集到（dào）的（de）人脸信息进行分片段单独存储，并不得公开披露人脸信息。

  其三，无论（lùn）谁使用人脸识别（bié）技术，都应该建立可追踪的技术体（tǐ）系。谁在何时何（hé）地查（chá）询、使（shǐ）用、修改（gǎi）、下载了（le）人脸信（xìn）息，事后都可（kě）查证，以便发（fā）生侵权（quán）时，人脸识别技术使（shǐ）用主体（tǐ）对侵权人（rén）进行查证（zhèng）和（hé）追责。

  其四，法律应该（gāi）规定，无（wú）论是（shì）谁使（shǐ）用（yòng）人（rén）脸识别技术，如果其收集的（de）信息被证（zhèng）明（míng）出现被盗窃（qiè）、泄露、非（fēi）法使用、非法出售、非法提供等情形，从而给信息主体造成损失（shī）的，收集者对受（shòu）害人受到的实（shí）际损失承担连带赔偿责任；如果受害人（rén）的实际损失难以证明，则应对（duì）每（měi）个受害人（rén）至少（shǎo）赔偿一定数额（如2000元人民币）的法定定额赔偿金。受（shòu）害人受到的实（shí）际损（sǔn）失小于该法定定额赔（péi）偿金的，受害人（rén）可直接主张法定定额赔偿金。

  其五，无论是谁（shuí）使用人脸识别技术（shù），人（rén）们均（jun1）有权拒绝“刷脸”。如果是在无（wú）竞争性（xìng）的服务领域（如（rú）民航、铁（tiě）路（lù）、学校（xiào）、社区等）使用人脸识别技（jì）术，当人们拒绝“刷脸（liǎn）”时，应提（tí）供其（qí）他替（tì）代性的验证机制，而不（bú）能（néng）不“刷（shuā）脸”就不能使用或（huò）进入。毕竟，每个人的（de）风险偏好是不尽相同的，法律规则的设（shè）置应容忍和尊重那些（xiē）低风险偏好的人，尤其是在（zài）当（dāng）前不（bú）能做到人脸识别系（xì）统百分（fèn）之百安全（quán）的情况下。

  2、区（qū）分公私部门（mén）配（pèi）置不同的规制重（chóng）心

  对政府（fǔ）部门使用人脸识别（bié）技术应以事前事中规制为主，对（duì）非政（zhèng）府（fǔ）部（bù）门使（shǐ）用人脸（liǎn）识别技术应以事中（zhōng）事（shì）后规制为（wéi）主。

  政府部门执行公务（wù）过（guò）程中构成侵权，因有国（guó）家（jiā）赔（péi）偿法的限额赔偿而使当事人难以（yǐ）获得充分（fèn）赔偿，且一旦政府（fǔ）部（bù）门涉嫌（xián）侵权对政（zhèng）府部门的（de）声誉将造成重大不良影（yǐng）响，因此，应着重从事前进行（háng）风险（xiǎn）防范，即对政府部门安装、使用人脸识（shí）别技（jì）术应坚持有权机构批准同意原则，未（wèi）经有权机构批准（zhǔn）同意，政府任何部门不得（dé）安装、使用人脸识别技术。有权机构（gòu）在（zài）批准时，应考虑到安装（zhuāng）、使（shǐ）用人脸识别技术的必要性、正当性，且（qiě）应通过一（yī）定的法律正当程（chéng）序，遵循公（gōng）开、透明、民主参与等原则予（yǔ）以批准。

  如果对商（shāng）业部门安装、使（shǐ）用人脸识别技术坚持（chí）事前批准的话，因政府部门在技术上往往落后于（yú）商业部门，这可能发（fā）展不出来一种有效的审批，更为重要的是，还可能遏制商业（yè）创新和技术（shù）创新。但是，如果商（shāng）业部门（mén）的人脸识别给（gěi）消费者造成（chéng）损害的话，受（shòu）害人可以通（tōng）过事后的民（mín）事诉讼来进（jìn）行追责，执法部门也可以通过事（shì）中或事后（hòu）的执法进行监（jiān）管（guǎn）和追责。当（dāng）然，这需要我们健全法律框架，使执（zhí）法（fǎ）部门有法（fǎ）可（kě）依，使受害人可以依法维权。

  至于我（wǒ）国是否需（xū）要全面（miàn）禁止政（zhèng）府部门安装（zhuāng）、使用人脸识（shí）别系（xì）统（tǒng），这属于政治过程决定的（de）结果。我国（guó）公安机（jī）关（guān）布控的天眼系统，通（tōng）过（guò）安装（zhuāng）在城市公共场合的摄像头对人（rén）脸进（jìn）行实（shí）时、精准且快（kuài）速的（de）甄别，让犯罪分子（zǐ）无处可逃。但通过（guò）人脸识别技术所进行的监控对个人自由的威胁也越来越引起人们的（de）重视。人们对全面（miàn）监控（kòng）感（gǎn）到（dào）压迫和焦（jiāo）虑（lǜ）。即使不全面叫停政府部门安装、使（shǐ）用人脸（liǎn）识别技术（shù），也应该（gāi）对（duì）其进行严格的法律规制，防范安全风（fēng）险，防止被滥用。

  3、对人脸信息的采集施加比（bǐ）对（duì）一（yī）般个人信息（xī）的采集更（gèng）强（qiáng）的规（guī）制力（lì）度

  人脸（liǎn）信息不（bú）同（tóng）于一（yī）般个人信息，甚至人脸（liǎn）信息作（zuò）为生物信息也与其（qí）他生物信息（如指纹）也（yě）有（yǒu）较大区别。因（yīn）此，人脸信息的采集（jí）应坚持特别（bié）规制即差异化规制（zhì），即应坚持更（gèng）强的知情（qíng）同意原则。

  采（cǎi）集（jí）一般个（gè）人信息，除了法定例（lì）外情形（xíng），一般都需要征得数据主体的（de）知情同意（yì）。但人脸信息（xī）具有特（tè）殊性，除了法（fǎ）定例外情形，其所适用的知情（qíng）同（tóng）意原则，应比一般的个人信息所适用的知情同意原则更（gèng）严格，即应坚持书面（written）知情同意原则（zé）。此外，法律应（yīng）规定采（cǎi）集人脸信息之（zhī）前，采集者（zhě）应告知被采集（jí）者其采集的（de）信息具体类型、目的、保（bǎo）存时间、被采（cǎi）集者的风险与权利，告知的方式必须是（shì）书面的。