【专栏】人脸识别监管难，到底差在哪儿？

作者 | 肖飒团队 来源 | 零壹财经专栏

在我国，个人生物识别信息数据被盗或过度滥用的问题层出不穷，引人关注的某“刷屏”级换脸APP的从爆红和爆黑就是典型例子。这一应用项目所采用的格式化用户协议存在过度攫取用户授权和单方强加用户义务的嫌疑，从而引起社会公众的普遍担忧。

此外，利用人脸识别技术从事违法犯罪活动的情况也屡见不鲜。如被告人田某通过软件抓包、PS身份证等非法手段，将银行系统下发的人脸识别身份认证数据包进行拦截保存，在手机银行APP内使用虚假身份信息注册账户，再将账户信息卖出获得报酬。飒姐团队在办案过程中也遇到过有公司超过用户的授权范围将人脸识别技术所采集的信息违法出售给其他公司的情况，该行为显然违反了《个人信息保护法》，严重者甚至可能涉嫌构成侵犯公民个人信息罪。

今天，飒姐团队就来聊一聊人脸识别信息的安全隐患及其法律保护。

与其他个人信息相比，人脸信息具有不可更改性，人脸数据能准确、真实、无法更改地识别信息主体；人脸识别技术具有无接触性，人脸信息的收集可以通过远距离、无感知的方式实现，因此人脸信息滥用的安全隐患呈现高危性。

这种风险隐患表现在以下两个方面。其一，隐私风险提升。人脸信息是一种敏感个人信息，间接关涉公民隐私与自由。当人脸所携带的信息与它所出现的时空信息相结合时，就能破解个人隐私，从而侵犯个人隐私。其二，安全风险恶化。人脸识别技术特点之一是“非受控制性”，这意味着人脸信息一旦被收集，信息控制者对信息使用将脱离信息主体控制，从而加剧信息被滥用的风险。

商业主体可基于此，形成线上与线下对消费者的全过程监控，获取数据，进行精准营销，消费者将面临无休止的商业推广轰炸，不法之徒可以此窃取盗.刷公民的数字财产等。且人脸数据一旦泄露将导致不可逆的危害后果，因为人脸数据具有不可更换性，一旦泄露就是终身泄露，即便采取法律手段维权成功，也难以恢复原状，在救济效果上大打折扣。可见人脸识别信息不仅仅是对自然人生理特征的识别，而且将生物识别信息与个人身份、金融、行为、位置、偏好等信息对接，使得该信息具有更强的人身属性和财产属性。

人脸信息是个人核心隐私，也是敏感个人信息。从法理和学理来看，人脸识别信息在个人信息与隐私权之间存在交叉关系。法理上，《民法典》通过人格权而非肖像权对人脸信息予以保护，肯定了人脸信息的生物信息属性；在学理上，人脸识别信息不仅包括人脸信息，亦包括基于人脸信息采集的诸如个人标识型信息以及住址、电话号码等其他信息，将人脸识别信息认定为敏感个人信息乃至隐私，有利于降低自然人人格尊严被侵害的风险。《民法典》考虑到了个人信息与隐私的区别，但并未像规定个人信息一样对隐私的采集、处理等各个环节进行具体规定，故其更侧重于事后救济，在事前预防和事中限制中效力不强。当隐私权没有规定或无法有效救济受害人时，《个人信息保护法》可以弥补《民法典》之不足，比如查阅复制权、异议更正权、删除权，这些权利既可利用亦可防御。

在商业人脸识别技术应用中，自然人被人脸识别设备采集的信息应当是隐私权和个人信息的交叉概念，即“私密信息”。隐私权和个人信息的双重保护要求事前、事中阶段适用《个人信息保护法》以弥补《民法典》效力不足的缺陷。即当侵权事实发生时，适用《民法典》隐私权相关规定；当隐私权没有受到《民法典》保护或无法有效救济受害人时，适用《个人信息保护法》相关规定，力求全面维护自然人的合法权益。因此，当人脸识别侵权发生时，受害人有权依照法律规定请求行为人承担民事责任，其不仅可以主张对个人信息权益进行救济，还可以主张对隐私权进行救济。同时应当在技术和法律上提高人脸信息收集、储存、使用的准入门槛，加强信息保护力度。

《民法典》第1035条所确立的“知情同意”要求信息处理者在处理个人信息时应当征得自然人或其监护人同意，并告知自然人有关信息处理的目的、方式和范围等事项，但该规则在适用于人脸识别技术生成、处理人脸识别信息的过程中需要进一步完善“知情同意”的可操作性。

从个人信息保护实践来看，知情同意原则的局限性是客观存在的，通过“同意”来实现充分的信息自决或意思自治仅是立法所追求的理想法益状态，但前述并不成熟的知情同意规则使得信息处理者只需要通过一个格式条款性质的知情同意协议，就可以将信息泄露风险及后果转嫁至消费者身上，消费者需要付出更高的事前注意义务，这显然是不合理的。因此该项制度在商业实践中已经演变为消费者对信息处理者信赖的重新建构，一方面，自然人通过知情同意原则建构起对信息处理活动的初步信赖；另一方面，信息处理者在遵守前述“信赖”内容的基础上完成信息的自由流动。

（二）明确必要性原则，构建事前信息保护技术规范

对此可以借鉴欧美对人脸识别技术的严监管态度，譬如借鉴欧盟《通用数据保护条例》（GDPR）的“经由设计的数据保护”思路，除了提供一般意义上的个人信息处理行为规范，强化人脸识别技术对个人信息安全的影响评估，包括人脸大数据建构的合规性评估、人脸识别技术更新的安全评估、人脸识别信息及其数据库的更新维护评估等内容，尽可能在事前阶段完成信息安全风险的最大化分散。

飒姐团队在办案过程中，遇到企业抱怨得最多的，就是监管态度不明确、监管框架不清晰，使得他们想在人脸识别技术上合规都难以找到准确的路径，一不小心又触犯了规定。因此，当下，立法者所要明确的并非是人脸识别技术如何进行监管，而是如何明确与解释围绕人脸识别信息的权利义务关系，避免行政监管可能造成的技术创新枷锁。当然，这并不意味着放弃监管，而是以技术标准的方式规范人脸识别信息的处理活动，形成行业内统一的行为规范，降低新兴信息技术的安全风险。同时，信息处理者是否遵循相应的行业标准也应成为司法审判中判断责任归属之依据，技术引发的现代化风险也于此在信息处理者与自然人之间进行再次分配。