人脸识别的法律边界：中美欧隐私保护法律比较

2019年9月，ZAO代表的“换脸”App因用户隐私协议不规范遭工信部网络安全管理局约谈，要求按照严格按照相关法规要求进行自查整改，该事件引发了公众对人脸识别隐私问题的热议。同样在2019年9月，根据北京青年报的报道，一个网络商户公开兜售数量约17万条的人脸数据，涵盖2000人的肖像，每个人约有50到100张照片，每张照片搭配一份关于眼睛、眉毛、鼻子等轮廓信息的数据文件。

人脸识别的广泛应用，如手机和计算机解锁等，使其成为近年生物识别应用的代表之一。人脸识别的技术为何？其在政府活动和商事领域应用的法律边界在哪？针对这些问题，本文初步对比了中美欧三地的法律实践，试图探讨人脸识别技术的隐私保护法律边界。

一、 人脸识别的对象、技术和设备

早在1964年至1965年期间，Woody Bledsoe与Helen Chan Wolf, Charles Bisson等科学家已经开展使用计算机识别人类面部的研究。大约至1997年，多国研究机构均开发了人脸识别系统，其中德国Bochum大学的ZN-face软件被德意志银行和多个机场采用，据称其可以准确识别人脸，无视胡须、发型甚至太阳镜等障碍。如今，人脸识别技术已经获得迅速发展，从安防监控、刑事侦查、政府登记等公共领域扩展到金融、第三方支付、在线P图等商业领域。

从人脸识别的对象来看，由于人脸识别技术的目的是精准地识别或锁定特定自然人，因此该技术可能对人脸的清晰度或人像的分辨率具有一定的要求，比如在拍摄人像时要求正面朝前、表情自然、光线充足、距离合理等，因此像素一般的照片或视频中的人像不一定满足人脸识别的要求。此外，许多商业化应用要求进行活体检测，即确认采集的特征是否来源于真实的人脸还是带有人脸的照片，这可能对人脸的三维特征提出了更高的要求。

从技术来看，如以下流程图所示，人脸识别主要包括四个步骤：（1）人脸图像采集及检测；（2）人脸图像预处理；（3）人脸图像特征提取；（4）匹配与识别。通过前三个步骤，采集设备（比如摄像头）自动搜索并拍摄用户的人脸图像，通过拉伸、光线补偿、灰度变换等措施对图像进行预处理，最终提取有用特征并转化为一串数字（一般称为特征向量）进行存储。第四个步骤则是将待识别人脸所提取的特征与数据库中的人脸特征进行比对，根据相似度进行辨别、确认。

从人脸识别应用的设备来看，人脸识别包括前端摄像头、中端网络传输渠道以及后端计算机。根据我国的数据保护相关法律法规，三端的操作行为均需要符合相关法律规定：前端的信息收集行为需符合用户授权等相关规定；中端的信息传输行为需符合网络安全保护相关规定；以及后端的信息分析和存储行为需符合信息处理和存储等相关规定。

二、 我国法律现状：对面部识别特征进行较为严格的保护

我国关于人像采集的法律法规主要集中于出入境管理、身份证办理、刑事侦查、道路交通安全管理等法律法规，公安机关等相关政府部门有权力强制采集数据主体的人像、指纹等生物识别信息。比如，《身份证法》第三条规定居民身份证登记的项目包括本人相片、指纹信息等。

除了法律对人像采集有强制性规定的场合之外，人脸识别正在被广泛运用到火车站/飞机场的“刷脸进站”、学校的课堂监控、企事业单位的“真人打卡”等公共管理领域，以及银行等金融机构的身份验证、支付宝等第三方支付的身份验证、在线美颜和P图等商业领域。上述行为是否符合《网络安全法》及相关信息保护法律规范的要求值得思考。

根据《网络安全法》和国家推荐性标准《个人信息安全规范（草案）》（“《规范》”） ，“面部识别特征”是“个人生物识别信息”的一种，属于“个人敏感信息”的范畴，在信息收集、共享、传输和存储等方面应当受到比普通个人信息更加严格的保护。

其中，在实践中最难以满足的要求是采集人像时获取用户的明示授权同意。《网络安全法》第四十一条规定，“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”然而，在实践中，用户面对的可能只是一个摄像头，就人脸采集的图像、用途、存储等事项一无所知，其面对镜头似乎等同于“默认同意”。人脸识别正是因其非侵入性（比如无需主动按压指纹）和便利性为公共管理和商业实践广泛采纳，但同时牺牲的是用户对于个人信息的知情同意权。如何在效率与个人信息保护之间进行平衡可能还需要实践进行探索。

根据《规范》，在存储和传输包括面部识别特征时，应当采取加密措施，而且应采用技术措施确保信息安全后再进行存储，例如将个人生物识别信息的原始信息和摘要分开存储，或仅存储摘要信息。其实，从人脸识别的技术来看，除了首次在数据库中存储的面部识别特征，在此后的面部识别中采集的面部特征可以仅用于校对，而不进行存储。不收集或减少收集不必要的个人敏感信息也符合《网络安全法》关于数据收集的“必要”原则，同时也可以减少数据泄露的安全风险。

对外出售、未经许可与他人共享或公开披露面部特征将触犯人脸识别的法律红线，然而我国仍有大量商户对个人敏感信息的保护认识不足。2019年9月，北京青年报曾报道，一个网络商户公开兜售数量约17万条的人脸数据，包含眼睛、眉毛、鼻子等轮廓信息。根据两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，非法获取、出售或提供公民个人信息五千条以上的符合侵犯公民个人信息罪的“情节严重”要件，相关责任人面临最高七年的有期徒刑。

三、 美欧法律现状：对政府应用的限制vs 个人敏感信息的严格保护

目前，美国在联邦层面尚未有针对人脸识别隐私保护的专门法律规范，但是部分州已经发布了关于生物识别特征隐私保护的法案，而且部分城市明令禁止政府采用人脸识别技术侵犯公民隐私，比如2019年5月加利福尼亚州的旧金山市是首个禁止政府部门购买以及使用面部识别技术的法案的城市、紧随着2019年8月马塞诸塞州的萨默维尔市成为了第二个禁止市政部门使用人脸识别技术的城市。

除了个人隐私之外，公众还热议执法机构使用人脸识别技术可能引发性别和种族歧视等问题。支持者认为人脸识别技术可以帮助警察等执法人员更有效率地识别和抓捕犯罪嫌疑人。但反对者认为使用该技术的弊大于利，比如根据美国民主自由联合会（ACLU）关于亚马逊人脸识别软件的调查，其错误地将28名国会议员识别为罪犯，而且麻省理工学院的研究人员认为人脸识别软件对女性（尤其是深肤色女性）的结果很不准确。因此，现实中的性别和种族歧视等问题可能在算法训练这一层面就被强化，从而影响执法结果的准确性和客观性。基于上述原因，执法机构使用人脸识别技术正在被越来越多的美国城市抵制，2018年6月，亚马逊与美国政府的Rekognition人脸识别项目引起民众抗议，最终美国奥兰多警察局被迫放弃相关计划。

同时，也有州对商业领域的人脸识别技术进行了严格的法律规制。比如，伊利诺伊州于2008年颁布了《生物信息隐私法案》（BiometricInformation Privacy Act, “BIPA”），该法案是美国境内首个关于生物识别信息的全面性的法律规范，包括在收集信息时充分告知和获取用户书面授权，制定信息的保留时间表并即时销毁、不得对外出售或公开披露信息。

与美国各州有充分的立法自由不同，欧盟在2018年出台的《通用数据保护条例》（GDPR）应用于欧盟境内所有成员国，而GDPR对面部识别特征在内的生物识别数据采取严格的法律规制态度。GDPR规定，第9条将“能识别特定自然人的生物识别数据”视作个人数据的特殊类型——个人敏感数据。原则上，GDPR禁止企业处理生物识别数据，除非满足获取用户的明示授权同意等例外情形。违反GDPR的后果严重，企业被罚款金额可达其全球收入的4%。

关于执法过程中收集个人数据，GDPR第6条和第10条规定，在执行维护公共利益任务或履行政府职权以及侦查犯罪时，可以处理个人数据。因此，与美国部分城市禁止执法部门使用人脸识别技术不同的是，GDPR授权执法机构处理个人数据，未明确反对使用面部识别技术。

四、 人脸识别技术的法律边界仍待探索

法律总是滞后于科技和实践的迅速发展，目前中美欧对人脸识别这种验证技术的法律规制仍处于论证、探索阶段，并无统一使用的法律规定，尽管人脸采集的应用场景以及授权许可的程度仍不明朗，但各辖区对人脸识别技术的滥用已有一定执法和司法实践。

2016年，伊利诺伊州Facebook用户起诉该社交平台，在用户使用Tag Suggestion功能时未经用户许可扫描其上传的面部图片用于关联好友，违反了BIPA的法律规定。2019年，瑞典数据保护机构开出首张GDPR罚单，对某个学校对学生进行人脸识别罚款20万瑞典克朗（约2.9万美元）。无独有偶，2019年9月，针对中国某高校推进人脸识别、大数据采集技术的情况，教育部司长雷朝滋表示教育部正在组织专家论证研究，同时指出“包含学生的个人信息都要非常谨慎，能不采集就不采。能少采集就少采集，尤其涉及到个人生物信息的。”

关于面部特征这一特殊的个人敏感信息，中国的《网络安全法》和欧盟的GDPR均采用严格的法律规制条款，美国的伊利诺伊州等部分州也出台了法案予以严格规制。因此，从商业合规的角度来看，在采用人脸识别技术时应当遵循收集的必要性原则、获取用户的明示授权、采取安全加密的传输和存储措施、减少存储及存储时间等。

对于政府使用人脸识别技术，我国和欧盟原则上允许政府部门出于维护公共利益的任务需要进行使用，而美国部分城市的民众对政府部门侵犯个人隐私、种族/性别歧视等表达强烈的担忧，因此颁布法案禁止政府部门使用人脸识别技术。如果不加以规制，政府部门确实可能滥用人脸识别技术侵犯个人隐私。比如，根据央视网报道，山东、江苏一些城市开始在交通路口上启用人脸识别系统，针对行人和非机动车闯红灯等违规行为进行抓拍，并现场曝光个人身份信息（姓名、性别、身份证号等）。公示个人身份信息尽管可以起到一定的警示教育作用，但以曝光个人隐私的方式可能逾越了执法权限的边界。(本文源自作者投稿，感谢Zoe，Austin对本文贡献。)

注释：

[1] Williams, Mark."Better Face-Recognition Software". Retrieved 2008-06-02.

[2] 知乎，人脸识别的思路和步骤，https://zhuanlan.zhihu.com/p/37820628。

[3] 2019年1月30日，国家标准化管理委员会发布《信息安全技术 个人信息安全规范（草案）》。

[4] 北京青年报，17万“人脸数据”公开售卖被下架, http://news.ynet.com/2019/09/11/2071864t70.html?forward=1。

[5] ACLU, Amazon’s FaceRecognition Falsely Matched 28 Members of Congress With Mugshots,https://www.aclu.org/blog/privacy-technology/surveillance-technologies/amazons-face-recognition-falsely-matched-28

[6] 人工智能网，处处人脸识别，人脸的隐私权又如何保障？，https://www.ofweek.com/ai/2018-12/ART-201721-8500-30291003.html。

[7] 洪延青，人脸识别技术的法律规制研究初探（DPO社群成员观点），https://mp.weixin.qq.com/s/bpjPLpj1VyD0TAtpDQocOA。

[8] 观察者，深圳曝光闯红灯行人：照片身份证号一目了然，https://www.guancha.cn/society/2018_03_15_450331.shtml。

声明：本文来自个人信息与数据保护实务评论，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。