[摘要]數(shù)字時代的到來為人臉識別的異軍突起提供了機遇。然而，不同于一般個人信息，人臉識別采集門檻低、流通濫用風險高，給個人安全帶來一定風險。我國人臉識別在規(guī)制現(xiàn)狀中出現(xiàn)了知情同意機制實際執(zhí)行率低、公民個人維權救濟效益甚微等問題。如何實現(xiàn)個人信息保護、數(shù)據(jù)價值釋放、國家安全管理三者之間的平衡亟待解決。本文通過對美國差異化的規(guī)制模式的域外治理經(jīng)驗借鑒，探索立足于中國社會土壤的規(guī)制途徑，力求通過完善法律規(guī)制、借助大數(shù)據(jù)賦能、設置權威評估與監(jiān)督機構等具體手段解決沖突。

[關鍵詞]人臉識別；域外治理；數(shù)字化治理

[中圖分類號]DF37""""" [文獻標識碼]A

[DOI]：10.20122/j.cnki.2097-0536.2023.10.006

一、問題的提出

在2016年7月初發(fā)生的徐玉玉案件中，罪犯陳文輝從罪犯杜天禹手中購買五萬余條山東省2016年高考考生信息，騙子執(zhí)掌政府機關信息，冒充政府機關詐騙，敲響了個人信息泄露的警鐘；2022年6月發(fā)生的學習通數(shù)據(jù)泄露更是把中國一代代青年學生的權益置于風口浪尖，而這只是信息泄露、盜用的初階危機。在個人信息保護、數(shù)據(jù)價值釋放、國家安全管理三個支點框架下，人臉識別技術帶來的沖突與矛盾比一般個人信息更加突出。

二、我國規(guī)制現(xiàn)狀及問題

（一）規(guī)制現(xiàn)狀

針對人臉識別技術，我國雖沒有單獨的立法，但已陸續(xù)出臺相關的法律法規(guī)及國家標準。在法律頒行方面，2017年生效的《網(wǎng)絡安全法》中，已明確將個人生物識別信息納入個人信息的范圍。2021年11月1日生效的《個人信息保護法》在此基礎上給出了細化規(guī)定，完善了個人信息處理規(guī)則，明確了個人在個人信息處理活動中的權利以及個人信息處理者的義務，同時《個人信息保護法》中第62條規(guī)定將由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關部門推進人臉識別技術的個人信息保護工作。

（二）呈現(xiàn)的問題

1.知情同意機制實際執(zhí)行率低

當下我國采取知情同意制度，“同意”是知情并且自愿的并實現(xiàn)數(shù)據(jù)隱私權利和數(shù)字產(chǎn)業(yè)發(fā)展之間實現(xiàn)的利益權衡。然而，因用戶與平臺主體之間存在巨大的技術鴻溝，用戶自愿的同意并不能確保其為完全知情的，其中的部分同意是消極默認的承認。在司法實踐中，有的辯護人指出，人臉識別信息的獲取是經(jīng)過了用戶的明確同意。然而，用戶往往并不能夠充分理解自己的同意會帶來什么樣的法律風險以及法律后果，法律若是將責任過重地壓在用戶一方，會使得雙方的收益與風險失調(diào)，不利于個人數(shù)據(jù)權利的保護。

2.公民個人維權救濟效益甚微

在進行權利救濟的過程中，由于個人與企業(yè)或政府存在科技實力的鴻溝，一般人無法證明依靠自己證實處理者采集或處理人臉識別信息的行為未經(jīng)當事人同意或者存在安全隱患。即使個人信息已經(jīng)被泄露了，造成一定法益侵犯后果，也很難證明是誰泄露的。而且個人需要聘請專家進行信息跟蹤調(diào)查，門檻高，成本高，一定程度上使得當事人放棄維權。

三、域外經(jīng)驗比較與分析

美國出于對巨大經(jīng)濟利益、技術發(fā)展和高立法成本之間矛盾的考慮，審慎推動AI技術和產(chǎn)業(yè)發(fā)展、極力維持人臉識別技術應用與個體隱私之間的平衡，配合行業(yè)自律等其他規(guī)范手段，采取以隱私權為基礎的差異化保護模式。綜合考慮國內(nèi)人臉識別技術規(guī)制現(xiàn)狀，筆者在允許人臉識別使用的法律規(guī)制中總結經(jīng)驗。

（一）明確使用門檻，劃清權責界線

基于私營主體和公權力主體在使用人臉識別技術上的性質和頻率不同，美國針對不同主體，進行分開專門立法。

1.私營主體

2017年7月23日華盛頓州通過的與生物識別標識符相關的法案——H.B.1493，涉及生物識別標識符的商業(yè)用途，對出于商業(yè)目的收集和使用生物識別標識符的企業(yè)提出了要求。它禁止將一個人的“生物識別標識符”記錄到商業(yè)數(shù)據(jù)庫中，在沒有首先提供通知，獲得同意并提供一種機制以防止隨后將生物識別標識符用于商業(yè)目的的情況下。其中值得注意的是，醫(yī)療保健例外是從生物識別標識符的定義中劃出的，只要這些信息是為醫(yī)療保健治療，付款或運營而收集，使用或存儲的。

2.政府機關

2020年3月31日華盛頓州出臺的SB 6280號法案建立了基本的透明度和問責機制以備政府決定部署反烏托邦式的實時監(jiān)控，要求政府部門除緊急情況之外，應當在進行人臉識別掃描之前取得法院合法簽發(fā)的搜查令，但其中的緊急情況并未作出詳細說明。2020年6月華盛頓州州長簽署了《面部識別法》，要求警方在使用面部識別進行“持續(xù)監(jiān)視或實時識別”之前首先要獲得搜查令，并要求希望使用FRT的政府機構首先發(fā)布公告，然后發(fā)布一份報告“概述該技術對公民自由的潛在影響”。

（二）聯(lián)合公私主體，助力協(xié)同治理

美國于2022年5月25日發(fā)布的第14074號行政命令中提及總檢察長應通過其國家研究委員會請求美國國家科學院簽訂合同，以便對面部識別技術，使用生物特征信息的其他技術和預測算法進行研究，并發(fā)布報告詳細說明該研究的結果?？倷z察長、國土安全部部長和OSTP主任應共同領導一個跨機構進程，涉及LEA使用面部識別技術、使用生物特征信息的其他技術和預測算法，以及有關這些技術的數(shù)據(jù)存儲和訪問，并應確保機構間程序涉及保護隱私，公民權利和公民自由，并確保定期評估此類技術不會因種族、民族、國籍、宗教、性別或殘疾而產(chǎn)生不同的影響。

（三）制定行業(yè)標準，加強行業(yè)自律

美國采取差異化的管理規(guī)制模式，在法規(guī)制定、司法判決上存在較大的分歧甚至是對立。美國產(chǎn)業(yè)制定相應的行業(yè)標準以加強行業(yè)自律，緩解差異化規(guī)制帶來的問題。“在線隱私聯(lián)盟”為典型代表，已擁有一百多個成員和支持者，該成員應遵守共同的保護網(wǎng)絡隱私權的行為指導原則，如同意采取并執(zhí)行隱私政策、全面公布和告知隱私政策等，其致力于為商業(yè)行為創(chuàng)造互信的良好環(huán)境和推動對個人網(wǎng)絡隱私權的保護。

四、經(jīng)驗借鑒實現(xiàn)本土化生長

立足于國內(nèi)的數(shù)字時代土壤，我們不能夠完全脫離開人工智能的存在，究其根本，當今對于人工智能的批評和譴責不是對于人工智能的排斥與否定，而是對于人工智能人臉識別存在的預期風險的出于本能的防范與抵觸。我們真正需要思考和解決的就是風險與收益的利益權衡的問題，人類究竟需要的是怎樣的人臉識別技術？回答是——可信的、負責任的、可問責的、符合道德倫理的。當然我們需要明確沒有哪一類數(shù)字治理方式是盡善盡美的，我們有必要在比較中取長補短，使得人臉識別技術的應用在合法合規(guī)的軌道上運行的同時又在使用價值上最大化。

（一）完善相關法律，追求多邊共贏

1.完善救濟途徑，保護技術弱勢群體利益

在對于人臉識別領域的權利救濟手段上，需引入新的機制去平衡雙方的權利與義務。人臉識別技術的侵權救濟是公民對自身人格權的保護以及發(fā)生損害后的賠償，以民事訴訟為主，行政訴訟、刑事訴訟相輔助的機制。需要明確規(guī)定侵犯個人隱私識別信息的情形、舉證主體、行政投訴部門、民事賠償義務機關、刑事追訴對象，更有利于權利得到充分的保護與救濟。 ^[1]當事人相對于商戶或者政府，處于技術上的極度弱勢的地位，在人臉識別信息泄露被濫用的實害結果出來之前，當事人很難舉證得到自己的人臉識別相關信息被盜用。若使用舉證責任倒置，附加代表訴訟制度等，將在一定程度上加重企業(yè)的責任，使得權利與義務能夠處于有效平衡狀態(tài)。企業(yè)也就有了內(nèi)生動力去規(guī)范化保護人臉識別信息，形成負反饋機制，能夠形成良性的循環(huán)。同時在行政復議、行政訴訟以及行政賠償中實行舉證責任倒置，能夠規(guī)范公權力行使，增加內(nèi)生改革動力。對于個人權利救濟上門檻高，成本高，花費時間長的問題。法律中也應該清楚地提及進行集體訴訟的詳細程序，且企業(yè)不得在協(xié)議中擅自主張不接受集體訴訟。

2.推行多元共治，實行風險等級評估制度

要加強各政府部門之間的溝通和協(xié)調(diào)，整合個人信息安全工作資源，統(tǒng)籌管理、組織、指導個人信息保護工作。由網(wǎng)信部門牽頭，聯(lián)合公安、工信、安全等部門，聯(lián)合制定全國個人信息保護規(guī)劃。 ^[2]可以攜手非政府機構如科研機構、高校、人工智能企業(yè)共同制定相關行業(yè)標準，借鑒歐盟實行風險等級評估制度，針對不同的情景與主體，設置不同的準入、運營、銷毀標準。也可以同時進行社會調(diào)研觀測，傾聽民眾的聲音，使得人臉識別技術更好地服務于人類社會。 ^[3]

（二）數(shù)據(jù)賦能平臺，明確可問責性

政府機關可以借助大數(shù)據(jù)賦能創(chuàng)建人臉識別信息告知的規(guī)范化平臺，需要如實公布人臉識別信息的使用情況，私主體使用也需要通過政府核準并且登記于這個平臺。未經(jīng)過登記的判定為非法并進行嚴懲，形成負反饋機制，構建良性循環(huán)。公民出于對自身隱私權保護的需要，能夠獲得與自身相關政府人臉識別的具體采集情況和實際用途，通過查找可以找到任何一家合法使用人臉識別技術的相關企業(yè)。若此類大數(shù)據(jù)技術能夠真正應用于人臉識別信息系統(tǒng)的推送與告知，可以很好地規(guī)范人臉識別的運作，規(guī)范商戶的所作所為。

（三）搭建權威機構，進行評估監(jiān)督

1.實現(xiàn)目的與手段的相稱性

《個人信息保護法》第28條規(guī)定“只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下”才可處理?！疤囟康摹痹瓌t要求個人信息處理手段與目的之間應具有合理關聯(lián)性，不得超出特定、明確、合理的正當目的。 ^[4]針對該具體切實的目的，信息處理者應當充分考慮使用人臉識別技術可能帶來的影響及對個人信息主體可能帶來的風險，加強風險防范措施以確保數(shù)據(jù)安全?！俺浞直匾痹瓌t要求基于場景考慮是否滿足合法處理的要件，評估使用人臉識別技術的必要性，考慮是否有替代方案，盡量減少政策對公民基本權力的干涉。

2.增加人臉識別的可操作性

AI技術既可以是“矛”也可以是“盾”，AI技術可以成為虛假圖片、虛假視頻的“粉碎機”?？赏ㄟ^反向利用AI技術，從偽造圖片的蛛絲馬跡中辨別真?zhèn)涡畔ⅰ?sup> [5]通過提高人臉識別技術的甄別能力，確定人類視覺系統(tǒng)和計算機視覺系統(tǒng)在識別特定信息的認知特性、機理與計算方法，通過借鑒兩類視覺系統(tǒng)之間的認知以及計算的差異性和關聯(lián)性來鑒別圖像真?zhèn)巍?/p>

五、結語

以上是筆者對于人臉識別規(guī)制手段的一些思考。數(shù)字時代的到來為人臉識別的異軍突起提供了機遇。然而，不同于一般個人信息，人臉識別采集門檻低、流通濫用風險高，其創(chuàng)造巨大價值的同時也存有較大的安全風險。我國人臉識別在規(guī)制現(xiàn)狀中呈現(xiàn)出知情同意機制未實現(xiàn)預期目的、貫徹執(zhí)行力不強、公民個人維權救濟效益甚微等問題。筆者探索立足于中國社會土壤的規(guī)制途徑，力求實現(xiàn)個人信息保護、數(shù)據(jù)價值釋放、國家安全管理三者之間的平衡。

參考文獻：

[1]龐嘉.人臉識別技術的侵權及救濟探究[J].太原城市職業(yè)技術學院學報，2022（7）：191-195.

[2]劉玉琢.歐盟個人信息保護對我國的啟示[J].網(wǎng)絡空間安全，2018，9（7）：42-46.

[3]張豫辰.人臉識別技術應用中隱私權風險控制路徑構建——基于場景差異性的考量[J].湖北警官學院學報，2022，35（2）：77-85.

[4]劉權.論個人信息處理的合法、正當、必要原則[J].法學家，2021（05）：1-15+191.

[5]本刊編輯部.人工智能產(chǎn)業(yè)化，漸行漸近[J].中國信息化，2019（9）：24-25.

作者簡介：金李晨（2003.9-），女，漢族，浙江臺州人，本科在讀，研究方向：民事訴訟法學。