就政府部门使用人脸识别的法（fǎ）律规制，特（tè）别（bié）许可使用制度既发挥人（rén）脸识别技术之利，又防范人脸（liǎn）识别技术（shù）之弊，是一种更加理性的制度（dù）安（ān）排。就非（fēi）政（zhèng）府部门使用人脸识别的法律规制，对人脸信（xìn）息（xī）作出比一般个人信息（xī）更为（wéi）严格的特别保护（hù）和特别规制，更有利于保护个人（rén）的（de）人脸信息。

  在无（wú）竞（jìng）争性的服务领域（如民航、铁路（lù）、学校、社区等）使用（yòng）人脸识别技术，当人（rén）们（men）拒绝“刷脸（liǎn）”时，应提供其他替代（dài）性的（de）验证机制，而不能不“刷（shuā）脸（liǎn）”就不能（néng）使（shǐ）用或进入。即使不全面叫停政（zhèng）府部门安装、使用人脸识别技术，也应该对其进行（háng）严格的法律规制（zhì），防范（fàn）安全风险，防止被（bèi）滥用（yòng）。

  随着技术的发（fā）展，人脸识别（俗（sú）称 “刷脸”）在我（wǒ）国逐（zhú）渐（jiàn）盛行。我（wǒ）国目前对人脸识别（bié）技术尚无专门的法律规定（dìng），无论是政府、社区、事业单位还是商家，均可以任意安装人脸识别技（jì）术（shù），强制人们“刷脸”验证。而（ér）人们（men）若拒绝“刷脸”，则（zé）基（jī）本上无法使用相（xiàng）关服务。如若不服，则投诉无门（mén），只能对簿公堂，但诉讼（sòng）成本高昂。基于此，有必要对人脸识（shí）别的法律规（guī）制予以深入研（yán）究，厘（lí）定人脸识别（bié）技术应遵循的法律底线，明晰人脸识别技术法律规制的基本要点。

  人脸识（shí）别技（jì）术的（de）特征、收益与风险

  人脸识别（bié）可（kě）简单地（dì）概（gài）括为：机器对静态或视频中的人脸图像进（jìn）行特征（zhēng）提取、分类识别，以达到（dào）身份（fèn）鉴别（bié）的目的。人脸识别技术的（de）应用场景日渐丰富，其功能归纳起来主要是身份验证和（hé）监控。这（zhè）又可以分为政（zhèng）府机构的公（gōng）共应用和非政府（fǔ）机（jī）构（gòu）的（de）商业应用与慈善应用等。

  人（rén）脸具（jù）有如下的（de）特征（zhēng）：独（dú）特性和直（zhí）接识别性（xìng），方便（biàn）性，不可更改性，变化性，易采集（jí）性，不（bú）可匿名性，多（duō）维性（xìng）。人脸的上述（shù）特征直接决定了人（rén）脸识别技术具有（yǒu）复杂性特征，而现实中很多收集人脸的机构并不具备相应（yīng）的风（fēng）险防控（kòng）、安全保障能（néng）力、组织（zhī）和机制。

  人（rén）脸识（shí）别技术的收（shōu）益是（shì）世所公认的（de），人脸识别技术可（kě）以应（yīng）用（yòng）于诸（zhū）多场景（jǐng）。

  但（dàn）是，另一方面，人脸（liǎn）识别技术的风（fēng）险也（yě）是不（bú）可小觑的。其风险主要有：一是误差风险。如（rú）果人（rén）脸识别技术不（bú）够成熟（shú），可能出现混淆。此外，由于人脸（liǎn）为非刚体（tǐ）性，人脸之间的相似性以及各种变化因素的影响，准确的人脸识别仍较困难。二是身份认证被破解（jiě）的风险（xiǎn）。密码是秘密保存的，但人（rén）脸却是（shì）公之于众（zhòng）的（de）。最新的人脸验（yàn）证（zhèng）技术，结合了3D图片进行登（dēng）录与验证，这比以前的技术（shù）更（gèng）难破（pò）解，但破（pò）解并非完全不可能（néng）。三是信息泄（xiè）露风险。用于保存人（rén）脸信息（xī）的电子计算（suàn）机系统（tǒng）存（cún）在被黑客入侵、病毒入（rù）侵（qīn）的风（fēng）险，这可能导（dǎo）致（zhì）信息泄露（lù）。此外，内部（bù）员工的作（zuò）案也可能导致信息泄露。生（shēng）物信息具有（yǒu）100%的可识别（bié）性，一旦被泄露或（huò）是被不（bú）当（dāng）利用，后（hòu）果无法估量（liàng）。

  国外人脸（liǎn）识别法律规制（zhì）的经验

  从美国有限的既（jì）有立法或立法草案、建议来看，美国对政府部门使用人脸（liǎn）识别的法律规制，有（yǒu）别于对（duì）非政府机（jī）构使用（yòng）人脸（liǎn）识别（bié）的法律规制，二（èr）者是（shì）分别立法、分别规制的（de），规制的（de）具体方法和价值取（qǔ）向截然不（bú）同。对政府部门使用人脸识别（bié）的法律（lǜ）规制主要分（fèn）为三种：第一种是（shì）禁止使用制度，第二种是特别许可使用制度，第三种是任意使用制（zhì）度（dù）。禁止使用制（zhì）度为美国旧金山（shān）市所首创，目前备受关注（zhù）。特别许可使用制度目前尚（shàng）处于民间建议阶段。任意（yì）使用制度（dù）即对政府使用人（rén）脸识（shí）别尚未特别立法，政（zhèng）府部门可以任（rèn）意（yì）使用人脸识（shí）别。而美国对非政（zhèng）府机构使用（yòng）人脸识（shí）别的法律规制，主要是将人脸信（xìn）息（xī）作（zuò）为生物信息之一加以规（guī）制，它也（yě）可以（yǐ）分为两种路径（jìng）：一（yī）种是比对一般个人信息的保护更为（wéi）严格的高强度规（guī）制路径或（huò）特别（bié）规制路径（jìng），另一种是与对一般个人信息的保（bǎo）护（hù）没有区分的、同等程度保护（hù）的（de）普通规制路径（jìng）。

  欧盟与美国（guó）对政府部门和商业部门使用人脸识别技术（shù）分（fèn）别进行立法（fǎ）不同，欧盟《通用数据保护条例》（以下简称GDPR）是对（duì）公私部门（mén）一体（tǐ）适用的。这就意味着，无（wú）论是政府部门还是非政府部门（mén），只要使用人脸识别技术，就必（bì）须（xū）遵守相同的规范。

  GDPR第4条定义条款对（duì）“生物数据”（biometric data）进行（háng）的（de）界定包（bāo）括（kuò）“面部图像”（facial images）。GDPR第9条（tiáo）规定了特殊种类的个人数据处理，其中（zhōng）就包括生物（wù）数据。GDPR对生物数据（jù）的处理，遵（zūn）循“原则禁止，特殊例外”的原则（zé）。数据控制者可援引（yǐn）“数（shù）据主体的同意”作为个人生物数据处理（lǐ）的例外，但（dàn）该同意必须是“自由（yóu）给予、明（míng）确（què）、具体、不（bú）含混”的，数据主体（tǐ）的任何被动同意均（jun1）不符合GDPR的规定（dìng）。

  2019年7月，欧洲数据保护委员会（huì）（EDPB）颁（bān）布了《关（guān）于通过（guò）视频设备处（chù）理个人（rén）数（shù）据（jù）的3/2019指引》提供了尽量降低风险的措施，例如，对（duì）原始数据进行（háng）分离存储（chǔ）和传输（shū）；对生物识别（bié）数（shù）据（jù）尤其是分离出的片段数（shù）据进行加密并制定加（jiā）密和秘（mì）钥管理政策；整（zhěng）合关（guān）于（yú）反欺（qī）诈的（de）组织性和（hé）技术性措（cuò）施；为数据分配整合代码；禁（jìn）止外部（bù）访问生物识（shí）别（bié）数据；及时删除原始数据，如果（guǒ）必须保存（cún）则采取添（tiān）加干（gàn）扰（noise-additive）的保护方法。

  就（jiù）政（zhèng）府部门使用人脸识别的法律规制，目（mù）前（qián）国外虽（suī）然三种制度并存，但任意（yì）使用制度显然是大数据时代之前的（de）做法，未认识到人（rén）脸（liǎn）识别技术（shù）给人们带来的风险；禁止使用制度也太过于激进，不利于（yú）发挥人脸（liǎn）识别技术的优势，扼杀（shā）了技（jì）术的（de）发（fā）展（zhǎn）。相比较（jiào）而言，特别许可使用制度既发挥人（rén）脸识别技术（shù）之利，又（yòu）防范人（rén）脸识别技术之弊（bì），是一种更加理（lǐ）性的制度安排，值得（dé）我（wǒ）国借鉴。

  就（jiù）非政府部门使用人（rén）脸（liǎn）识别的法（fǎ）律规制，目前（qián）国外（wài）虽然两（liǎng）种制度并（bìng）存，但将人脸信息（xī）作为一般个人（rén）信息对待的普通（tōng）规制路径显然（rán）是没有认识到人脸（liǎn）信息（xī）及人脸识别（bié）技术的特殊性，将个人置（zhì）于极大的风险之中。而对人（rén）脸（liǎn）信息（xī）作出比（bǐ）对一般个人信息更（gèng）为严（yán）格的特别保护和特别规（guī）制（zhì），更（gèng）有利于保（bǎo）护个人（rén）的人脸（liǎn）信息，更值得我国（guó）借鉴。

  但（dàn）是，各（gè）国（guó）的政治、社会（huì）和技术背景（jǐng）存在各（gè）自的特（tè）殊性，这就决定了国外对（duì）于人脸（liǎn）识别技（jì）术的相关制度未必（bì）适合（hé）于我国，我国在引进（jìn）相关制度时需要审慎甄别（bié）。

  完善我国人脸识别（bié）法律规制的建议

  我国2020年（nián）5月颁布（bù）的民法典第（dì）1034条（tiáo）第1款规定，“自然人（rén）的个人信息（xī）受法（fǎ）律（lǜ）保护”，并在该条（tiáo）第2款个人信息的定义中，明确将（jiāng）生物识别信息列举（jǔ）为（wéi）个人信息，但也未对个人生物识别（bié）信息作（zuò）特别保护。个人信（xìn）息保护法（草案）第27条规定：“在公共场所安装（zhuāng）图像采（cǎi）集（jí）、个（gè）人身份识别设备，应当为维护公共安全（quán）所必需（xū），遵守国家有关（guān）规定，并设置显著的提示标识。所收集的个人图像、个人（rén）身份（fèn）特征信息（xī）只能用（yòng）于维（wéi）护公共安全的（de）目（mù）的，不（bú）得（dé）公开或（huò）者向他人（rén）提供；取得个（gè）人单独同意或（huò）者法律、行政（zhèng）法规另有规定的除外。”这（zhè）里（lǐ）“图像采集”包括人脸识（shí）别。个人信息保护法（fǎ）（草（cǎo）案）第29条将个人生物信息作为敏感个人信息加以保护，并规定了（le）“充分必要（yào）”原（yuán）则（zé）。但总体而言（yán），个人信息保护法（草案）对人脸识别技术的规制（zhì）仍较（jiào）为简略。

  我国（guó）目前对包括（kuò）人脸信息在（zài）内的生（shēng）物识（shí）别信息的特（tè）别保（bǎo）护呈现出软法（fǎ）先行（háng）的特点。2020年2月（yuè），全国金融标准化技术（shù）委员会审（shěn）查通过的《个人金融信息保护技术规范》（JR/T 0171-2020）（以下（xià）简（jiǎn）称《规范》）将生物识（shí）别信息列为敏感性最高的C3类信息，并要求金融机（jī）构不应委托（tuō）或授权无金融业（yè）相关资质的机构收集C3类信息，金融机构及其受托人收集、通过公共网络传（chuán）输、存储C3类信息（xī）时，应使用加密措施。2020年3月新修订的我国国家（jiā）标准GB/T 35273-2020《信息安全技术个人信息安全规范》明确规定个人生物识别信（xìn）息属于个人（rén）敏感（gǎn）信（xìn）息，并对个人（rén）敏感信息进行（háng）了特殊保护。2020年（nián）11月27日（rì），工信部组（zǔ）织发布（bù）了电（diàn）信终端（duān）产业协会团（tuán）体标（biāo）准《APP收集使用个人信息最（zuì）小（xiǎo）必要评估规范 人（rén）脸信息》，规定了移动应（yīng）用软件（jiàn）对（duì）人（rén）脸信息的收集（jí）、使（shǐ）用、存储、销毁等活动（dòng）中的最（zuì）小必（bì）要规范和评估方法，并通过个人信（xìn）息（xī）处理（lǐ）活动（dòng）中（zhōng）的典（diǎn）型应用（yòng）场景（jǐng）来说（shuō）明如何落实最小必要原则。

  数据治理（lǐ）的（de）普（pǔ）遍性（xìng）、技术性、复杂性（xìng）、应时性等特点决定了数据治理具（jù）有一（yī）定（dìng）的软法（fǎ）空（kōng）间，但软法欠缺强制力的特点决定（dìng）了（le）对包括人脸信息（xī）在内的个（gè）人生物（wù）识别信息（xī）的特（tè）别（bié）保护离（lí）不开硬法的托底。因此，有（yǒu）必要从硬（yìng）法的角度系统思考对（duì）包括人脸信（xìn）息在内的（de）个人生物识别信息（xī）的特别法律保（bǎo）护、对人（rén）脸识（shí）别的特别法律规制问（wèn）题。

  1、建立健全一体（tǐ）适用的安全与责任底线

  法律规制人脸识别（bié）技术（shù）的目（mù）的（de），不是一味地叫停该项技术的使用，而是要在（zài）确保安全（quán）的前提下，倡导一种负（fù）责任的（de）使用。为此，笔者（zhě）建议建立如（rú）下公私部门一体（tǐ）适用的安全与责任底线（xiàn）。如果不符合这些安全与（yǔ）底线原则，则为（wéi）违法收集个人信息。

  其一，无论谁使用（yòng）人脸（liǎn）识（shí）别技（jì）术，人脸（liǎn）识别系统要经第（dì）三方独立机构定期检测，以检测其准（zhǔn）确性与非歧视性。必（bì）要（yào）时，人脸（liǎn）识别（bié）系统及其定期检测结（jié）果应向监管部（bù）门备案（àn）。

  其二，无论（lùn）谁通过公共网（wǎng）络（luò）收（shōu）集、传输（shū）、存储人脸信息，都应（yīng）使用加密（mì）措（cuò）施，并对收集到的人脸信息进行分片段单（dān）独存储，并不得（dé）公开披（pī）露人（rén）脸信息。

  其三，无论（lùn）谁使用人脸识（shí）别技术，都应该建（jiàn）立可（kě）追踪的技（jì）术体系。谁在何时（shí）何地查询、使用、修改、下载了人脸信息，事后都可（kě）查证，以便发生侵权时（shí），人脸识别技术使用主体对侵权人进行查证（zhèng）和追责。

  其四，法律应该规定，无论是谁使用人脸识别技术，如果（guǒ）其（qí）收集的信息被证明出现被（bèi）盗窃、泄露、非法使用、非（fēi）法出售、非法（fǎ）提供等情形，从而给信息（xī）主体造成损失的，收集者对受害人受到的实际损失承担连带赔偿责（zé）任；如果受害人（rén）的（de）实际损失难（nán）以证明，则应对每个（gè）受害人至少赔偿一定（dìng）数（shù）额（如2000元（yuán）人民币（bì））的法（fǎ）定（dìng）定额赔偿金。受害人受到的实际损失（shī）小于（yú）该（gāi）法（fǎ）定定额赔（péi）偿金的（de），受害人（rén）可直接主张法定定（dìng）额赔偿金。

  其五，无论是谁使用（yòng）人脸识别技术，人们（men）均（jun1）有权拒绝“刷脸”。如果是在（zài）无竞（jìng）争性的（de）服务领（lǐng）域（如民航、铁路（lù）、学校、社区等）使用人脸（liǎn）识别技术，当人们拒绝“刷（shuā）脸”时，应提（tí）供其他替代性的验证机（jī）制，而不能（néng）不“刷（shuā）脸”就不能（néng）使用或进（jìn）入（rù）。毕（bì）竟，每个人的风（fēng）险偏好是不（bú）尽相同的，法律（lǜ）规则的（de）设置应容忍和尊重那些低风险偏好的人，尤其是在当前（qián）不能（néng）做到人（rén）脸识别系统百分之百安全的情况下。

  2、区分公私部门配置不同的规制重心

  对政府（fǔ）部门（mén）使用人脸识（shí）别（bié）技术应（yīng）以事前事中规制为主，对非政府部门使用人脸识（shí）别技术应（yīng）以事中事后规制为主。

  政府部门执行公务过（guò）程中构（gòu）成侵权，因有国家赔（péi）偿法的限额赔（péi）偿而使当事（shì）人难以获得充分赔偿，且一旦政（zhèng）府（fǔ）部门涉嫌侵权对政府部门的声誉将造成重大（dà）不（bú）良影响，因此，应着重从事前进行（háng）风险防（fáng）范，即对政（zhèng）府部门安装（zhuāng）、使（shǐ）用人脸识别技术应（yīng）坚持有（yǒu）权机构（gòu）批准（zhǔn）同意原则，未经有权机构批准同意，政（zhèng）府（fǔ）任何部门不得（dé）安（ān）装、使（shǐ）用人脸识别技术。有（yǒu）权（quán）机构（gòu）在批准时，应（yīng）考（kǎo）虑到安（ān）装（zhuāng）、使用人脸识别技术（shù）的必（bì）要性、正当性，且应通过一定的（de）法律正当程序（xù），遵循（xún）公开、透明、民主参与等原则予以批准。

  如果（guǒ）对商（shāng）业部门安装、使用人脸识别技术坚持事前批准的话，因政府部门在技术上往（wǎng）往落后于商业部（bù）门（mén），这可能发展（zhǎn）不出来一种有效的审批，更为重要的（de）是（shì），还可能遏制商业创新和技术创新。但（dàn）是，如果商业部门的人（rén）脸（liǎn）识别（bié）给消（xiāo）费者造（zào）成损害的话，受害人可以（yǐ）通（tōng）过（guò）事后的民事诉讼（sòng）来进（jìn）行追责，执法部门（mén）也可以通过事中（zhōng）或事后的执法进行（háng）监管和（hé）追责。当然，这需（xū）要我们（men）健全法律框架，使（shǐ）执法（fǎ）部（bù）门有法可依，使受害人（rén）可以依法（fǎ）维权。

  至于我国是否（fǒu）需要全（quán）面禁止政府部门安装、使用人脸识别系统，这属于（yú）政治过程（chéng）决定的结果。我国公安机关布控的天（tiān）眼系统，通过安装在城（chéng）市公共场合的摄像头（tóu）对人脸进行实时、精准且快速的甄别，让（ràng）犯罪分子无处可（kě）逃。但通（tōng）过人脸识别技术所进行的（de）监控对个人（rén）自（zì）由的威胁（xié）也越来越引起（qǐ）人们的重视。人们对全面监（jiān）控感到（dào）压迫和焦虑。即使不（bú）全面叫停政府（fǔ）部门安装、使用人（rén）脸识别（bié）技术，也应该对其进行严格的法律规制，防范安（ān）全风（fēng）险，防止被滥用。

  3、对人脸信息的采集施加比对一般个人信（xìn）息的采（cǎi）集更强的规制力度

  人（rén）脸信（xìn）息不同于一般个（gè）人信息，甚至人脸信息作为生（shēng）物信息也与其他生物信息（如指（zhǐ）纹）也有较大区别。因此，人脸信息（xī）的采（cǎi）集应坚持特（tè）别规制即差异化规制，即应坚持更强的知情同意原则。

  采（cǎi）集（jí）一（yī）般个人信（xìn）息，除（chú）了法定例外情形，一（yī）般都需要征得数（shù）据（jù）主体的（de）知情同意。但人脸信息具有特殊性，除了法定例外情形，其所适（shì）用（yòng）的知情同（tóng）意原则，应（yīng）比一般的个人（rén）信（xìn）息所适用（yòng）的知（zhī）情同意原则更严格，即（jí）应（yīng）坚（jiān）持书面（written）知情同意原则。此外，法律应规（guī）定采（cǎi）集人（rén）脸信息之前，采集者应告知被采集者其（qí）采（cǎi）集的信（xìn）息具体类型、目的、保存时间、被采集（jí）者的风（fēng）险与（yǔ）权利，告知的方式必须是书面的。