人工智能時代下人臉信息安全問題及其法律規制研究

舒馨怡　金素素　何函穎　章曉棟　梁蕾蕾

摘要：刷臉時代悄然到來，然而現階段人們對刷臉技術的狂熱已經讓這一技術有失控的危險?？傮w上看，其對個人信息保護力度遠遠跟不上人工智能時代下迅速發展的人臉信息采集技術，關于個人信息保護的法律條文散見于各類法律規范之中，體系仍然較為混亂。立足于AI時代刷臉潮流，我們應該對刷臉技術進行理性分析，認識到人臉信息密碼的重要性，通過國內外法律規制現狀比較，借鑒海外經驗，完善我國法律規制多維度保護我們的人臉信息安全。

關鍵詞：刷臉時代;人臉識別技術;信息保護;法益;法律

中圖分類號：D901

本文將通過國內外比較、多維度優化解決方案這樣的線性結構來展開論述。在探尋對人臉信息安全問題的研究意義之后，了解該問題是一個立足于實際且將愈發受到關注和引發爭議的問題。在明晰研究意義的基礎之上，必然要將眼光投向實地，“沒有調查就沒有發言權”，進行現狀分析是必不可少且關鍵的一環。由此，我們可以通曉人臉識別技術相關產業的現狀，政府在其中扮演的角色，相關法律法規的缺失并以具體地區來作為典例。在進行對問題提出相應的解決方案之前，我們需要研究和吸收國內外解決這些相似乃至相同的問題的先行性措施及其有益經驗。綜合以上，我們提出了相應的解決措施，即是在立法、執法、司法三個維度來確保人臉識別技術相關法律法規的完善，同時加強監管、打擊和公民隱私意識的提升，借鑒相關有益經驗，實現對人臉信息安全的充分保護。

在美國，目前共有6個州或城市制定了與生物識別數據相關的法案。美國參眾兩院提出的多項人臉識別法案，證明了其對人臉信息安全的重視。這些人臉識別信息法案中，最典型的有三項，分別是《道德使用人臉識別法案》（2020年）、《商業人臉識別隱私法案》（2019年）、《人臉識別技術授權法案》（2019年）。在美國州或地方政府方面，華盛頓州參眾兩院于2020年3月12日通過了《人臉識別服務法》，旨在規范州和地方政府使用人臉識別服務，防止以危害民主自由、威脅公民自由的方式使用人臉服務。無獨有偶，2020年2月14日，加利福尼亞州眾議院通過了第2261號關于人臉識別技術的法案，明確規定收集人臉識別信息應當征得個人同意，要求建立政府機構使用人臉識別服務的問責機制，同時限制政府機構對人臉識別服務的使用。而伊利諾伊州的《生物信息隱私法案》指出：a、對企業在收集人臉信息過程中的收集的情況、收集目的進行實時監管;b、對人臉數據的保留時間進行明確界定，企業須制定書面政策設定生物識別數據的保留時間表;c、明確規定生物人臉識別數據不得出售，且除非獲得相關自然人的同意或如法律規定的特定情況不得對他人披露;

歐盟保護人臉識別數據的核心法律是《通用數據保護法規》（General Data Protection Regulation），采用在整體上嚴格限制生物識別數據的使用，限制企業和公共機構“不加區分地使用人臉識別技術”，其序言第171條明確規定，“如果數據是基于歐盟第95/46/EC號指令下的同意，且作出該同意的形式符合本條例的規定，則該數據控制者可在本條例施行之后繼續進行數據處理，數據主體不需要再次作出同意?！盙DPR對人臉識別等人工智能（AI）技術進行立法規管，建立人臉識別技術行業的準入標準，要求所有使用人臉識別技術獲取人臉信息的企業在上市前與國家信息安全部門簽訂協議，保證其在上市后納入國家相關監管系統之下，避免出現“躲在暗處的賣臉交易”。我們將具體分析和比較“美國模式”和“歐盟模式”對于個人信息的保護，找出其中適合應用于我國人臉識別相關規范可以學習的方式，創造我國特色的人臉識別保護模式。

立法先行，制定大數據時代下關于個人隱私信息保護的專門法律，如前所述，我國目前雖然已經在與個人相關的私密性信息保護方面有所規定，但對于這些信息的保護都是散落于各個法律條文中，且并沒有專門針對大數據時代針對人臉信息權里保護的強有力的法條，這除了加大了司法實踐上的困難之外，也讓公眾由于失去了法律的引導作用下懈怠了關于人臉信息保護的警惕心理，法律上起不到威懾作用，更談何保護？飛速發展的刷臉時代下，我們需要及時對現存的法律理論以及法律系統進行優化，構建更全面的法律保障體系。對于如何進行立法，需要對以下幾點進行分析：

第一、明確可采集個人信息的場景、使用范圍，將人臉信息以及相關生物特征信息納入隱私信息的保護范圍?！睹穹ǖ洹返谝磺Я闳臈l規定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?！泵穹ǖ湟呀洖榇髷祿r代下的人臉信息等個人隱私做出努力，雖然沒有明文規定人臉信息屬于隱私保護范疇，但其可以作為“生物識別信息”受到相應的保護。這已然是一個可喜的現象，但我國現行立法對于隱私權的內涵敘述仍然相對含糊，各類關于隱私信息的法條散見于各個法律規范之中，僅靠民法典的努力是完全不夠的。大數據時代下的背景下，這樣的現象容易發生界定不明的問題，無法對合法權益提供有力及時的法律支撐。將人臉信息及相關生物特征信息納入隱私信息的保護范圍，并對其內涵和外延做出合理的解釋，賦予公眾人臉保障的權利。

第二、將人臉信息等相關隱私信息與財產權利、安全掛鉤，在信息采集-儲存-運輸-公開等各個方面建立全方位賠付補償機制?，F如今我們可以看到，刷臉時代下人臉已經成為人們十分重要的身份密碼，刷臉進站、刷臉支付等已經融入人們的日常生活，個人身份信息與我們的財產安全、身份安全、名譽等方方面面息息相關，如何在互聯網傳播線路下對與人臉信息掛鉤的財產進行保護，在發生了因人臉信息泄露而導致的財產流失的情況下如何進行法律救濟與懲戒，將成為我們在立法規制過程中需要考慮的一個問題。制定相關懲罰措施，建立嚴格賠付補償機制。將不講信用擅自泄露用戶數據的企業納入社會失信黑名單，對其今后經濟行為進行限制，并要求其賠付補償受害者，等都可以是我們今后將可以考慮的方向。

第三、明確雙方權利義務，賦予公眾對被采集人臉信息保護的監督權與知道權，同時要求人臉采集方承擔人臉信息保護的保密義務。目前來看，人臉信息的儲存傳輸都是由掌握人臉識別技術、采集人臉信息的公司所有的，人臉信息采集者對人臉信息的使用和保護均不由人臉提供者自身所知曉，公眾無法知道自己的人臉信息究竟在哪些地方曾被使用甚至侵犯?，F階段，灰產與黑產相互依附、交織，已發展為跨平臺、跨行業的集團犯罪鏈條。人臉信息的非法買賣，看似是灰色產業，背后潛在的卻是網絡詐騙、盜竊、攻擊等各類黑產的巨大風險。賦予公眾對人臉信息的使用權、控制權、監督權將能更好地打擊灰色產業，提高行業透明度。

第四、設立市場準入制度，參考借鑒美國歐盟在人臉識別等技術應用的限制，結合國內市場特點，明確規定哪些機構或者政府部門有資格、有權力收集使用公民個人信息，出臺有關采集使用和保管公民生物特征信息的規則和標準。目前，人臉識別技術泛濫，小至餐飲行業都可以通過價格優惠來讓消費者提供自己的臉部信息。這將會加大國家對人臉信息管控的難度。通過設立國家專門機構來對收取人臉信息的各個平臺進行審核，未達到安全系數的平臺將失去國家授予的人臉信息收集權限，同時對各個平臺實行考量制度，通過對各平臺人臉信息的儲存-傳輸-公示-使用等方面進行實時跟蹤監管，全方位對平臺的安全系數進行實時積分考量，實現行業內部的清潔自律。

第五、全面實現活體認證，賦予公眾決定權。尊重用戶知情權、選擇權。企業商戶在用戶使用刷臉支付時，獲得法律授權是前提，需以用戶可獲悉的方式告知風險，征得本人同意。因此，活體認證措施十分必要，其不僅可以保障用戶的知情權，還可有效抵御照片、換臉、面具、遮擋以及屏幕翻拍等常見的攻擊手段，從而幫助用戶甄別欺詐行為，保障用戶的利益。

參考文獻：

[1]安防展覽網.人臉識別+安防將掀起下一輪技術浪潮.經濟學人.[A/OL].（2016-11-21）.https：//www.afzhan.com/news/detail/50535. html.

[2]安防展覽網.人臉識別技術如何跨過數據和隱私安全門檻？.物聯中國.[A/OL].（2017-11-16）.https：//www.afzhan.com/news/detail/ 61541. html.

[3]高秦偉.個人信息概念之反思和重塑——立法與實踐的理論起點.[J].人大法律評論，2019，（01）：172

[4]張勇進，王璟璇：《主要發達國家大數據政策比較研究》，《中國行政管理》2014 年第12期

[5]王宗煜.人臉識別系統下的個人隱私法律規制研究[D].廣東外語外貿大學，2019.

[6]文銘，劉博.人臉識別技術應用中的法律規制研究[J].科技與法律，2020（4）：82