从FACEBOOK人脸识别集体诉讼案看《第108号公约》

关于人脸识别的指南的规制意义

2021-02-24

一、引入

虽然人脸识别的普遍应用带给人类生活和工作巨大的便利，但是它也带来了极大的隐私风险和相应争议。据外媒最新消息，美国社交网络公司Facebook于2020年11月26日表示，同意支付6.5亿美元，以解决因其在伊利诺伊州使用人脸识别技术而遭遇的用户集体诉讼，由此，Facebook滥用人脸识别数据一案落下帷幕。在本案中，原告用户集体代理人指控称，Facebook公司违反了伊利诺伊州生物特征隐私法，在未经许可的情况下，从该州数百万用户的照片中获取面部数据用于标签建议，Facebook也没有告诉他们这些数据将保留多长时间^[1]。根据伊利诺伊州生物特征隐私法，每张未经允许被Facebook自动识别的照片，都有可能获得1000~5000美元的赔偿，约合人民币6285~31424元。目前，共涉及200余起案件，从Facebook、Google^[2]和Snapchat^[3]等科技巨头都遭遇涉及生物识别技术的指控，引发行业和个人重大关注。

人脸识别技术是基于人的面部特征信息进行身份识别的一种生物识别技术．是数字时代的重要技术应用。人脸识别技术具备远程识别性、识别唯一性和关联验证性，导致在系统识别过程中，恐产生应用风险，例如精准识别的稳定性不足，数据算法偏见的结构性锁定，人脸数据收集与流转的知情同意风险。此外，人脸识别还有1:1、1:N、N:N等多种操作模式，容易产生技术风险^[4]。部分重视个人隐私的国家和法域已经通过了相应的条款对人脸识别技术的应用予以规制，如美国各州有独立的立法，而欧盟GDPR（《通用数据保护条例》）也有相应的条款限制人脸识别技术的滥用。此外，2021年1月28日，《关于个人数据自动处理过程中的个人保护公约》（《第108号公约+》）咨询委员会发布了关于人脸识别的指南^[5]（以下简称人脸识别指南），使人脸识别这一数字时代的重要技术应用在规制的道路上更进一步。

二、人脸识别规制的域外借鉴

（一）美国:差异化的规制模式

美国在联邦层面没有统一的法律规制人脸识别数据的收集和使用，而是通过各州的独立立法进行管理。目前共有六个州或城市制定了与生物识别数据相关的法案，分别为伊利诺伊州、华盛顿州、德克萨斯州、俄勒冈州、新汉普郡以及加利福尼亚州旧金山市^[6]。其中，伊利诺伊州颁布的《生物信息隐私法案》^[7]（Biometric Information Privacy Act,简称BIPA）最引发关注，BIPA的规制范围并不在于能否收集、使用生物识别数据，而在于收集、使用生物数据的方式，具体体现在以下几个方面：

1.初次收集某自然人的生物标识符或者生物识别信息时，需要告知该自然人其生物数据被收集的情况、收集目的、数据的保留时间，并获得该自然人的书面授权

2.企业须制定书面政策设定生物识别数据的保留时间表，且当收集数据的目的已达到或距信息主体与企业最后一次联络已满三年时，应当摧毁该数据

3.生物识别数据不得出售，且除非获得相关自然人的同意或如法律规定的特定例外情况不得对他人披露

（二）欧盟模式：统一化的规制模式

欧盟保护人脸识别数据的核心法律是《通用数据保护条例》（即GDPR），根据GDPR，生物识别数据明确包括面部图像，且对面部识别数据和照片进行了区分^[8]。而我国通常标准认为，人脸识别是生物识别的下位概念，生物识别信息已被列为敏感度最高的C3类信息，因此人脸识别所获得的面部数据是具有高度敏感性质的信息^[9]GDPR认为，处理照片并不当然地被认为是处理个人敏感数据。仅在通过特定技术方法对照片进行处理，使其能够识别或认证特定自然人时，照片才被视为是生物识别数据^[10]。此外，GDPR第九条规定，生物特征数据属于个人数据的“特殊类别”，除非涉及公共利益等重要事件，不得处理该等数据。人脸识别技术的商业应用可适用的唯一例外是“数据主体已明确表示同意”。在我国，理论界已经达成共识，“知情、同意”是用户被商户采集敏感数据的前提和基础，如果用户未表示同意，那么信息采集方就可能涉嫌违法^[11]。在这里，被采集者的同意必须明确且具体。此外，GDPR第9条第4款规定：欧盟各国在特定情况下可以不适用GDPR中对处理生物识别的数据的限制。例如：荷兰规定为完成认证或国家安全的需要，可以处理生物识别数据。

此外，瑞典数据监管机构（The Swedish Data Inspection Authority，下称“DPA”）对当地一所高中开出第一张基于GDPR的罚单，金额为20万瑞典克朗（约合人民币14.8万元）^[12]。该校使用人脸识别系统记录学生的出勤率，而瑞典DPA通过对系统试行期间涉及的22名学生进行调查，最终认定学校董事会对学生个人信息的处理不符合GDPR的规定。学校强调，他们事先获得了学生的同意。但是，瑞典DPA律师Ranja Bunni指出：＂事先获得学生同意的说法不可接受，因为学生是在学校董事会管理之下的”。也就是说，无法判断这里的“同意”是否为学生的独立意志。这进一步说明了知情同意原则应当是信息被采集者在意志完全自由情况下的了解和授权，仅仅是形式上的同意并不能称为完全意义上的同意。

三、《人脸识别指南》内容概述

《人脸识别指南》的出台进一步引发了世界各国对人脸信息保护的重视。

《人脸识别指南》就人脸识别技术在全球范围内提供了迄今为止最广泛的建议，分别为立法者和决策者，公共和私营实体，人脸识别技术的开发商、制造商和服务提供商，以及使用人脸识别技术的实体提供了一套全面的参考措施，旨在确保人脸识别技术“不会对任何人的人格尊严、人权和基本自由，包括保护个人数据的权利产生不利影响。”

指南将人脸识别的应用场景分为受控与非受控环境，鉴于非受控环境下，人脸识别技术可在数据主体毫无感知且无需数据主体配合的情况下进行，立法者和决策者应当确保该环境下人脸识别技术使用的合法性；此外，指南还提出，监管部门须系统性地参与涉及人脸识别技术的立法与行政措施，在人脸识别开展试验项目和部署之前，各部门有权对项目的实施进行评估，以确保人脸识别技术的合法使用^[13]。

指南禁止公共实体在秘密的环境中使用人脸识别技术，除非是以防止对公共安全造成迫在眉睫的重大风险为目的。指南禁止私营实体在购物中心等非受控环境中使用人脸识别技术，特别是用于营销和私人安全目的。此外，私营实体在部署人脸识别技术时，应当获得数据主体的明示同意，同时提供操作难易程度相当的替代方案（如密码和身份标识牌）^[14]。

指南还禁止仅以确定个人肤色、宗教信仰、性别、种族或族裔、年龄、健康状况或社会状况为目的而使用人脸识别技术^[15]。通过面部表情进行情绪识别，检测人格特质或心理健康状况，以此评估雇员的敬业度或确定获得保险和受教育的机会同样被禁止。

指南要求立法者和决策者对人脸识别技术的开发商、制造商和服务提供商建立数据保护认证机制，确保数据的处理符合法律规定；同样地，指南第二节对人脸识别技术的开发商、制造商和服务提供商提供了技术要求，以减少偏差，确保人脸识别技术的准确性^[16]。

指南要求，使用人脸识别技术的实体应当确保人脸识别技术使用的公平性，透明性和准确性，以及遵守目的限制、数据最小化以及和存储时间的原则。公共和私营实体统一适用问责制，除根据法律要求自证其履行义务的能力外，还应当根据使用人脸识别技术的目的和场景采取适当的保障措施，以确保其符合必要性和比例性原则，例如，建立道德框架，设立咨询委员会，对特殊用例进行分析评估，为雇员或举报人提供保护措施等^[17]。

指南提出，使用人脸识别技术，应当将必要性，目的的比例性，以及对数据主体权利的影响一起进行评估。数据主体享有知情权、访问权、了解人脸识别使用目的及其原因的权利、反对权和更正权，此外，指南提出，如果技术的操作人员完全根据人脸识别技术的结果做决定，则可被视为自动化决策，因此，数据主体可以根据《第108号公约+》的规定，为人脸识别技术的部署提供意见^[18]。

这些措施和意见可以为我国对人脸识别技术的规制提供良好的参考。

四、我国人脸识别应用现状

目前，人脸识别技术的使用可谓参差不齐。

对于人脸而言，其本身应当是三次元立体形状，人脸识别机器应当采用三维提取技术对人脸特征进行采集。然而，有些商家的人脸识别应用技术并未达到此标准，甚至有报道称：浙江一个小学生拿照片通过了人脸识别机器^[19]，这从侧面反映出了人脸识别机器质量的行业标准尚有模糊的情况。

此外，在实践中，人脸识别也出现了众多问题，比如，我们所熟知的“人脸识别第一案”^[20]中，浙江理工大学郭兵副教授以杭州某动物园要求顾客进行人脸识别侵犯顾客个人信息为由，要求其停止侵害，最终胜诉；甚至还有更加恶劣的刑事侵犯：比较典型的是发生在四川省成都市的一起性质更为严重的“人脸识别案”，该案中，唐杰非法获取唐某的支付宝账户信息和人脸肖像后，采用制作唐某3D人脸动态图的方式突破了支付宝人脸识别认证系统，后又将唐某的支付宝账户信息提供给张羽，张羽采取相关手段盗窃了唐某支付宝账户内的人民币2.4万余元^[21]。该案的严重性体现在唐杰非法获取唐某的生物识别信息后非法提供给他人，引发了财产犯罪的发生，最终导致唐某的财产遭受侵害。但容易被忽略而更值得注意的是，即便唐某得知其人脸信息被泄露后想及时“止损”，都无法通过“换脸”的方式直接、迅速地修改该密码，而只能向支付宝企业申请停用该密码，更为麻烦的是，唐某还必须在所有运用其人脸信息的场合一一申请停用该密码，这可能造成其在支付、出行等各方面的不方便。此外，唐某在所有的场合都成功申请停用该密码之前，如果该密码继续被他人以各种方式利用，甚至有人利用该密码“刷脸”进入其居住的小区和住宅，唐某遭受的侵害可能不仅仅来源于财产犯罪，甚至可能是人身犯罪。

由此可见，人脸识别技术的应用可能存在很多技术上的风险。

五、人脸识别的学理风险探究

（一）信息存在泄露风险

人脸识别最明显的特点即：人脸是时刻暴露在公众的观察之下的，由于人体面部的特征或者要素过多，因此，对于人脸的采集和识别并不需过高的标准。而随着现代科技的发展，某些不法分子和社会不稳定分子已经开始利用针孔摄像头等不法手段提取公民的面部特征，从而导致公民的信息被泄露和不法利用。

此外，由于被识别者没有渠道接触人脸识别终端的数据，那么商家到底会不会因一己私利而出卖公民的人脸信息就存在不确定性，按照人性恶的方向进行推理，公民的面部信息被泄露的风险就进一步加大。

（二）更多信息可能存在被交叉识别的风险

当一个人的面部信息被提取时，其所被采集的绝非仅有面部信息。至少，数据采集者可以了解到被采集者出现的地点，甚至可以通过多方地点的连接推导出公民的行踪、轨迹。

此外，在没有旁人在附近时，人往往会不自觉地流露出自己的真实情绪，而这些情绪可以通过面部表情反应在脸上，人脸识别设备就可以通过精密的计算把握被识别者的心情或者情绪，从而推导出其更多信息，比如：今天是否工作顺利、今天是否谈判成功等商业信息。

六、人脸识别的法律规制对策之讨论

（一）政企分开、各有侧重

对于人脸识别技术之规制，绝不可一概而论，而应当对不同主体分而治之。对于政府而言，政府采用人脸识别技术往往是为了公共利益，一旦政府的人脸识别技术被认定为侵权，将严重损害国家行政机关的权威，并且面对政府，公民仍是弱势一方，维权之路可能会倍加艰辛。因此，对政府可以采取事前限制的方法，履行严格的备案程序或者审查程序。而对于企业而言，采取过于严厉的事前规制手段可能不利于企业的内部创新，可能会打击社会主义市场经济的发展，况且在纠纷发生时，公民完全可以通过向企业索赔的方式维护自己的合法权益，因此有专家观点认为可以对企业方的人脸识别技术采取事前形式审查，事后实质审查的管理方式^[22]。

（二）企业自律、信息公开、引入第三方监管和安全使用原则

在立法尚有空缺的领域，企业应当加强自身约束^[23]，如：通过建立人脸识别自律协会的方式向社会和公众表明自己绝不滥用公民因人脸识别而被提取的面部信息的决心。

对于某些关乎社会公共利益、不属于商业秘密的被提取数据，企业应当在不侵犯公民隐私权的前提下，在合适的时间点和范围内向社会披露其所提取信息的流转情况以及相关的保密情况，在增进自身商业信誉的同时，约束自身行为，避免公民个人信息的流出。

人脸识别信息提取的使用者，不论是政府还是企业，都应当自觉接受第三者监督机构的监管^[24]，监督机构也应当定期对人脸识别使用商家所提取的数据进行检测以保证数据被提取者的个人信息安全。

此外，我们有必要借鉴《人脸识别指南》中有益的条款，引入指南中的有关人脸保护的各项原则。如设计数据保护技术，使用这些技术进行识别或验证的实体必须确保其使用的产品或服务的设计符合目的限制、数据最小化和存储期限有限的原则，以及加密、分片段等技术体系作为安全原则和底线，并在技术中集成所有其他必要的保护措施；必须确保生物特征模板和数字图像是准确和更新的，例如，必须检查监控列表中插入的图像和生物模板的质量，以防止潜在的错误匹配，因为低质量的图像会导致错误数量的增加。这与监视列表中编译的图像的来源直接相关，监视列表要求严格遵守数据保护原则，如目的限制原则；面部识别技术的数据必须在处理之前进行影响评估，因为这些技术的使用涉及生物识别数据处理，对数据主体的基本权利构成高风险；发布关于面部识别技术具体应用的透明度报告，为负责处理面部识别数据的人员制定和实施培训方案和审计程序；除了尊重法律义务之外，为这项技术的使用提供一个道德框架也是至关重要的，特别是考虑到在某些部门使用面部识别技术固有的较高风险。这可以采取独立的道德操守咨询委员会的形式，在更长时间的部署之前和期间可以征求这些委员会的意见，进行审计并公布其研究结果，以补充或认可一个实体的问责制。

（三）软法先行

法律具有滞后性，在科技日新月异的时代背景下，不得不说，立法在人脸识别领域尚存在空白。在立法条件尚不完备的情况下，国务院各部门可以针对性地制定有关规制人脸识别技术的部门规章，以“软法”来约束某些滥用人脸识别技术的主体。

其实，《民法典》在人格权编已经规定了个人信息保护的条款，但此规定确存有些模糊，因此，《个人信息保护法（草案）》通过之前，可以将适用软法，即关于人脸识别的部门规章所带来的成功的经验提取、总结，针对人脸识别领域进行具体的立法，即“硬法续上”。

（四）务必达成实质合意义务之强调

鉴于公民人脸信息之重要性，人脸识别提取者在提取人脸信息时应当保证被提取信息者的知情权和同意权，《人脸识别指南》也强调了人脸信息被采集者应当知晓并同意采集方的采集。因此采用足够突出的方式使被提取面部信息者了解其同意的法律后果是有必要的，例如：可以采取书面告知的形式使信息被提取者了解其存在的法律风险，使其在完全知情的情况下与面部信息提取者达成合意。而首次授权后，在授权相关领域采集方无须获取二次同意。

（五）审慎规制

对于人脸识别的规制程度，关键在于人脸识别技术所带来的效益和所承受风险的轻重对比。

当然，在如今人脸识别风险尚未完全明晰的情况下，政府和社会应该抱着审慎的态度，在某些领域对其审慎规制以保证公民的个人信息安全；而公民也应当增加自身的信息保护意识，避免自己的信息被不法商家所利用，最终，实现人脸识别技术效用和风险的平衡。有人认为，人脸识别既然如此容易侵犯隐私，一禁了之就好^[25]。而欧盟委员会副主席玛格丽特·维斯塔格认为，应当进一步加强对人脸识别应用的规制。对此本文认为，应当进一步加强对《人脸识别指南》的借鉴，加强对人脸识别技术的规制，防止技术侵犯用户隐私，而不是一味禁用人脸识别。技术中立，相信对人脸识别予以规制后能够实现数据利用和用户保护的平衡。

文中备注：

[1]Supreme Court decides to hear Facebook facial recognition case，

https://thehill.com/policy/technology/479126-supreme-court-declines-to-hear-facebook-facial-recognition-case

[2]Court tosses lawsuit over google photo’s facial recognition，https://www.engadget.com/2018-12-30-court-tosses-google-photos-lawsuit.html

[3]Is Snapchat Building a Facial Recognition Database for the Feds？https://www.snopes.com/fact-check/snapchat-facial-recognition/

[4]宁宣凤,吴涵,李沅珊,潘驰,张乐健：“人脸数据采集及使用的权利边界”，上海市法学会.《上海法学研究》集刊（2020年第13卷 总第37卷）——金杜律师事务所、金杜研究院文集[C].:上海市法学会,2020:9.

[5]参见https://ai-regulation.com/council-of-europes-new-guidelines-strict-regulation-is-needed-for-facial-recognition/ or https://rm.coe.int/guidelines-on-facial-recognition/1680a134f3

[6]洪延青：“人脸识别技术的法律规制研究初探”，《中国信息安全》2019年第 8 期，第 85-87 页。

[7]此法案旨在限制企业存储、利用人们的生物特征，其中特别对这些生物特征进行了明确定义，包括指纹、声纹、视网膜、红膜扫描等。

[8]参见GDPR第4条第14款之规定。

[9]邢会强：“人脸识别的法律规制”，《比较法研究》2020年第 5 期，第 51-63 页。

[10]参见GDPR第51条之规定。

[11]宁园：“健康码运用中的个人信息保护规制”，《法学评论》2020年第 6 期，第 111-121 页。

[12]参见《瑞典“人脸识别进校园”被判违反欧盟GDPR最高罚款1000万。https://www.xianjichina.com/special/detail_417472.html

[13]参见《Guidelines on Facial Recognition》第二章。

[14]参见《Guidelines on Facial Recognition》第一章第二条第三款。

[15]有学者研究认为，针对不对的肤色，人脸识别技术可能存在应用歧视：在人脸识别技术可能存在偏差的情况下，美国白人似乎更容易通过人脸识别的检测，而黑人、拉丁美裔被识别错误的概率则远高于美国白人，如此一来，其就有被更大概率地错认为社会不安定分子的可能。

[16]参见《Guidelines on Facial Recognition》第二章。

[17]参见《Guidelines on Facial Recognition》“伦理框架”章。

[18]同以上脚注17。

[19]同以上脚注4。

[20]浙0111民初6971号判决书。人脸识别第一案的判决表明我国学者已经率先加大对自己面部信息的重视程度。

[21]成都市郫都区人民法院（2019）川 0124 刑初 610 号刑事判决书。

[22]同以上脚注11。

[23]曹兴权：“金融行业协会自律的政策定位与制度因应——基于金融中心建设的考量”，《法学》2016年第 10 期，第 79-88 页。

[24]庄玮：“我国互联网第三方支付行业现状及监管法律制度研究”，《现代商业》2019年第 34 期，第30-31 页。

[25]杨蓉：“旧金山成全球首个禁用人脸识别的城市”，《计算机与网络》2019年第 11 期，第 12-13 页。

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。