人脸识别技术运用的法律规制

人脸识别技术运用的法律规制
摘要：随着互联网技术的发展，包括人脸识别在内的生物识别技术已广泛运用于生活中的各方面。

一方面，人脸识别技术的无接触性、高效快速等特点使得数据收集更为便利。

另一方面，这些特点也使利用该技术进行的侵权更具隐蔽性和普遍性。

“3.15晚会”曝光以科勒卫浴为首的经营者在消费者不知情的情况下进行人脸识别，江苏张家港名创优品门店利用“万店掌”收集并分析消费者数据等等，这些问题要求我们从人脸识别的各阶段进行法律规制以平衡其带来的利益和风险。

关键词：人脸识别；数据安全；个人信息；法律规制
近年来，随着互联网技术的发展，人脸识别技术的使用门槛逐渐降低。

不断拓宽的应用场景和不断降低的使用门槛带来的不仅是便利，随之而来还有人脸信息泄露的风险和侵权危机。

技术应用的低门槛使得公权力主体和私主体都有可能成为人脸数据的收集、处理者。

而这些主体素质和法律意识的良莠不齐，及其数据储存、处理和风险应对能力的差异导致在技术普及的同时数据滥用的风险也在增大。

因此，厘清人脸识别技术所涉及的法律关系，从人脸识别技术运用所面临的现实困境出发，进行适当的法律规制，平衡各方利益，使其更好的服务于我们的生活很有必要。

一、人脸识别技术运用法律规制的基本理论
人脸识别技术虽运用广泛，但在法律领域的讨论尚不充分。

人脸识别技术的涵义界定、特征等相关理论尚待完善。

（一）人脸识别技术的涵义界定
人脸识别技术是利用计算机分析人脸图象,进而从中提取出有效的识别信息 ,用来“辨认”身份的一门技术。

②即以自然人的人脸信息为对象，通过对人脸信
息的采集、加工处理、储存形成数据库，当需要“辨认”身份时对识别对象的人
脸信息进行采集处理并于数据库相匹配的一种计算机技术。

（二）人脸识别技术的特征：
1.被采信息的不易改变性和唯一识别性。

人的面部特征相对稳定，非外力介
入（如创伤或医学整形）无法轻易改变。

故当此类生物特征作为识别依据发挥
“密匙”般的作用时，不易改变性决定了其不可同普通密码一般修改或挂失，是
通往人脸识别的唯一“密匙”。

2.识别过程的非接触性。

大多生物特征识别技术的识别以“接触”为前提。

如指纹，指纹的细节为精密度较低的设备所难以区别，因此指纹识别通常以与特
定设备接触的方式进行。

而人脸识别则可以实现远距离捕捉，以非接触方式进行。

3.被动参与性。

被采集者只需使自己的面部特征处于能为采集设备所“捕获”的暴露状态即可实现识别，而这正是人们的常态。

因此，人脸识别具有可被
动参与性。

4.识别对象的易采集性。

相较于指纹识别、虹膜识别、指静脉识别，人脸识
别有更强的易采集性。

人脸识别对设备要求低，且采集目标较大，识别容易，在
人员流动的场所都能轻易实现识别。

5.较低的防欺骗性。

人脸信息较低的独特性和极高的易采集性决定其具有易
伪造性。

这一特性同人脸识别算法的现有缺陷共同造成了人脸识别技术的较低防
欺骗性，更容易通过信息伪造突破识别的安全防线。

（三）人脸识别技术运用法律规制的必要性
人脸识别技术在运用过程中的部分问题需要依靠法律规范来解决，因此，对
其进行法律规制具有必要性。

1.平衡各方利益的需要
人脸识别技术运用场景广泛，所涉利益众多。

即包括个人权益，又包括企业
组织利益，甚至涉及国家和公共利益。

当这些利益存在冲突且市场调节不能时，
就需要法律作出价值判断，平衡各方权益。

2.人脸识别技术可持续运用和发展的需要
人脸信息具有天然的敏感性，在《信息安全技术个人信息安全规范》中，包
括人脸信息在内的生物识别信息被划分为“个人敏感信息”。

如果对人脸识别的
滥用不及时规制，这种敏感性会使信息主体对该技术进行自发地抵触，从而使人
脸识别技术的运用举步维艰，阻碍人脸识别技术的发展。

3.市场作用的有限性和权力监督的需要
在公共领域，人脸识别较传统工作方式更为高效便利，更易被公共服务所选择，同时也加大了权力滥用的风险。

在私人领域，相关的行业规范尚不成熟，市
场调节的盲目性和滞后性恐会导致识别的滥用和数据歧视，侵害信息主体的合法
权益。

二、我国人脸识别技术运用法律规制现状及存在问题
现阶段，我国对人脸信息的保护主要通过“个人信息”在刑法、民法、消费
者权益保护法等规范中初步确立。

（一）法律规制现状
我国对人脸识别技术的运用尚欠缺明确的法律规定，但其所依赖的“人脸信息”却作为“个人信息”的一部分，散见于各法律法规当中。

《民法典》原则性地确定了“自然人的个人信息受法律保护”，并以隐私
权进行补充。

《中华人民共和刑法》也确定了“侵犯公民个人信息罪”这一罪名。

《中华人民共和国网络安全法》明确了网络运营者对个人信息的保护义务。

《消
费者权益保护法》明确了“经营者收集、使用消费者个人信息，应当遵循合法、
正当、必要的原则”。

此外，《规范互联网信息服务市场秩序若干规定》也规定：“不得将用户个人信息提供给他人，但是法律、行政法规另有规定的除外”。

最
高人民法院发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用
法律若干问题的规定》，就规范人脸信息处理做了相应规定。

（二）存在的问题
目前我国人脸识别技术运用的法律规制主要存在：立法分散、缺乏具体可操
作性、缺乏事前监管等问题。

1.立法分散
目前的法律规制立法分散，缺乏协调。

立法者在对个人信息保护进行规定时，注重与其他法律法规保持一致。

例如，对“个人信息”的界定，《民法典》《网
络安全法》《规范互联网信息服务市场秩序若干规定》都相差无几。

但仅于言筌
上保持一致，不注重深层次的有机统一，也导致这些法律规定之间缺乏层次和联系，形成同而不和的尴尬局面。

2.缺乏具体可操作性
现有法律多为原则性规定，缺乏具体可操作性。

现有法律未顾及人脸信息的
特殊性，对人脸信息的法律属性、功能及作用欠缺明确，对有权采集信息的主体
也无具体规定，使法律适用困难重重。

3.缺乏事前监管
人脸识别信息泄露所造成的损害多不可逆，一旦泄露将覆水难收，针对这一
特点需要法律更早地进行干预。

而现有法律规范多为事后救济性规范，欠缺事前
法律监管制度。

三、人脸识别技术运用法律规制的域外考察及借鉴
人脸识别技术在世界范围内都有广泛的运用，许多国家也逐渐意识到了对该
技术进行法律规制的必要性并出台了相关规定，其中不乏有值得我国借鉴的经验。

（一）美国­­——专门立法模式
在联邦层面美国尚未对人脸识别专门立法，但在地方层面，许多州市已有立法。

由于政治和历史背景的原因，美国对政府主体使用人脸识别技术有着更为严
格的规制，如旧金山市的《停止秘密监控条例》、萨默维尔市的《萨默维尔市禁
止人脸技术监控条例》等规范，都严格禁止政府部门使用人脸识别。

相反，对政
府非主体使用人脸识别技术却较于宽容。

美国伊利诺伊州的《生物信息隐私法》
允许私主体在获得书面知情同意后收集个人生物信息，但不得以此获利，并将个
人生物信息放到与“机密和敏感信息”等同甚至更高的保护水平上去。

（二）欧盟——综合立法模式
与美国的政府主体与非政府主体相区分的专门式立法不同，欧盟的《通用数
据保护条例》则是同时兼顾这两类主体的综合性法律规范。

但与美国相似的是，
该条例也将包括人脸信息在内的生物数据纳入特殊种类的个人数据进行特别规制，并要求对这类数据的处理以禁止为原则，以数据主体明确、主动的知情同意为例外。

（三）对我国借鉴意义
结合美国和欧盟针对人脸识别运用立法的主要特点，总结出以下两点供我国
借鉴。

第一，要完善知情同意原则。

在信息采集、处理中，美国强调“书面知情
同意”，而欧盟要求“明确、主动的知情同意”。

从这些表述中不难看出，旧的
知情同意原则已无法应对人脸识别技术运用所带来的新挑战。

人脸识别的隐蔽性
及识别主体之间的实际不平等，使旧有原则无法真正实现信息主体的信息自决。

放眼我国，营业者私自采集用户人脸信息、强制进行人脸识别等问题，都要求我
们借鉴这一经验，完善知情同意原则。

第二，要严格生物识别信息的保护。

在欧盟和美国的法律当中，生物识别信
息较一般个人信息有更高的法律保护地位。

在美国，其等同甚至高于“机密和敏
感信息”，而欧盟则将生物数据纳入特殊种类的个人数据进行规制。

正如前文所述，个人生物识别信息具有敏感性，需要更严格的法律保障，而对其进行特殊保护，正是因势利导，充分考虑其敏感特性的良策。

四、完善我国人脸识别技术运用法律规制的路径
针对我国现阶段人脸识别技术运用所面临的问题，结合人脸识别技术自身特点、域外先进经验及我国法律规制现状提出如下几点建议：
（一）完善立法保护模式（专门+分散模式）
在专门立法层面，要求明确界定包括人脸信息在内的生物识别信息的法律属性、功能及作用，并在针对信息处理的各个环节进行规范。

在分散立法层面，则
要求各法律规范作出相应的特别规定，并不断向下细化，结合其他法律规范和国
家标准，确保人脸信息在各个方面都能得到明确且可行的法律保障。

由此一来，
由人脸识别专门法律规范作为直接指引，其他法律法规作为完善和补充，各法律
规范之间协调互补，构成和谐统一的人脸识别法律保护体系。

（二）确立相关基本原则
第一，主体平等原则。

主体平等原则要求，在人脸识别过程中，各方主体的
权利义务必须平等。

一方主体不得利用的优势或对方的劣势达成不平等的识别约定，更不得以此限制对方的知情同意权。

第二，必要性原则。

必要性原则要求，对人脸识别技术的使用及个人信息的
收集、储存流转都以禁止为原则，非必要不得为之。

各方主体必须审慎地使用人
脸识别技术，否则将承担法律带来的不利后果。

第三，伤害最小化原则。

伤害最小化原则既是基于结果目的论伦理基本原则，也是基于个体权利不受侵犯的义务论伦理要求而总结的原则。

③该原则与必要性
原则相互补充，要求在有必要运用人脸识别的场景下，做到对信息主体伤害的最
小化。

第四，动态、真实的知情同意原则。

这一原则要求知情同意贯穿于识别的每
个环节，要求每一次对人脸信息的利用都经过信息主体的知情同意。

同时，这种
知情同意是真实、主动的同意，而非认识不全面、能力不足等劣势情况下进行的
被迫同意。

（三）完善现有的个人信息法律保护制度
针对我国现有法律缺乏具体可操作性的问题，建议从识别各环节入手，对现
有制度继续细化。

首先，要完善信息收集制度，明确信息收集的主体、收集方法、程度和标准。

其次，要建立具体的信息储存制度、数据流转限制制度、数据处理
制度，明确在这些环节中各方的权利与义务。

最后，还需完善信息权利救济机制
并配置行业自律机制从多方面保护个人信息安全，形成全方位、多层次及可操作
性强的保护体系。

（四）加强行政监管
加强对人脸识别技术的行政监管，有利于实现事前救济，实现防患于未然。

首先，要从全局出发，完善行政监管体系，健全行政监管机制，使人脸识别的行
政法律监管做到统一协调。

其次，应设立单独的监管机构。

人脸识别技术侵权等这类利用计算机技术的
侵权，往往具有隐蔽性、复杂性等特点，要求监管机构具备一定的专业素养和敏
感性，一般性监管机构难以满足，因此需要设立专门的监管机构，实现常态化监管。

最后，需加大行政处罚力度。

在大数据时代，个人信息被赋予了更多的价值，人脸识别技术运用违法往往存在高收益、低违法成本的特点。

甚至存在经营者在
权衡法律后果后仍选择违法的现象，因此，有必要加大行政处罚力度。

参考文献：
[1]石佳友,刘思齐.人脸识别技术中的个人信息保护——兼论动态同意模式
的建构[J].财经法学,2021(02)
[2]邢会强.人脸识别的法律规制[J].比较法研究,2020(05).
[3]林凌,贺小石.人脸识别的法律规制路径[J].法学杂志,2020,41(07).
[4]赵精武.《民法典》视野下人脸识别信息的权益归属与保护路径[J].北京
航空航天大学学报(社会科学版),2020,33(05).
[5]胡凌.刷脸：身份制度、个人信息与法律规制[J].法学家,2021(02).
[6]李庆峰.人脸识别技术的法律规制：价值、主体与抓手[J].人民论
坛,2020(11).
[7]潘林青.面部特征信息法律保护的技术诱因、理论基础及其规范构造[J].西北民族大学学报(哲学社会科学版),2020(06).
注释：
基金项目：四川省南充市2021年度社科规划项目（NC21B057）
作者单位：袁合川，男，汉族，重庆梁平人，西华师范大学法学院副教授，研究方向为民商法。

李锦琦，女，汉族，西华师范大学法学院2020级硕士研究生。

②张翠平，苏光大.人脸识别技术综述[J].中国图象图形学报,2000(11):7-
16.
③张秀.智能传播视阈下伤害最小化伦理原则探讨——以智能人脸识别技术为例[J].当代传播,2020(02):82-84.。