中國(guó)人民大學(xué)一級(jí)教授、中國(guó)法學(xué)會(huì)副會(huì)長(zhǎng)、民法學(xué)會(huì)會(huì)長(zhǎng)王利明

人臉識(shí)別技術(shù)正在不斷地改變我們的生活，現(xiàn)在已經(jīng)被大規(guī)模地應(yīng)用于安防、支付等重要場(chǎng)景中。但這項(xiàng)改變生活的技術(shù)，如今卻處于前所未有的爭(zhēng)議之中。針對(duì)人臉識(shí)別技術(shù)被濫用的原因、如何保護(hù)好個(gè)人隱私等問(wèn)題，中國(guó)人民大學(xué)一級(jí)教授、中國(guó)法學(xué)會(huì)副會(huì)長(zhǎng)、民法學(xué)會(huì)會(huì)長(zhǎng)王利明表示，在平衡“利用與保護(hù)”關(guān)系時(shí)，人臉信息等敏感信息要更注重保護(hù)，其他非敏感信息則更多地強(qiáng)調(diào)“利用”。

以公共利益為限制標(biāo)準(zhǔn)，防范人臉識(shí)別被濫用

人臉信息是個(gè)人核心隱私，也是個(gè)人敏感信息。人臉信息不僅涉及個(gè)人肖像，還包括身體、健康、年齡、種族等信息，甚至可能包括個(gè)人的心理信息。

并且，人臉信息廣泛涉及個(gè)人其他私密信息。比如，有些銀行賬戶和人臉信息進(jìn)行綁定、關(guān)聯(lián)。因此，一旦人臉信息被泄露，或被不法分子違法共享、轉(zhuǎn)讓，會(huì)造成嚴(yán)重后果。因此，對(duì)于人臉識(shí)別被濫用的現(xiàn)象，確實(shí)應(yīng)該引起高度的關(guān)注。

人臉信息屬于敏感信息，必須權(quán)利人“明確同意”才能進(jìn)行采集，如果權(quán)利人沒(méi)有明確同意，則必須要基于公共利益的需要才能收集。

現(xiàn)在人臉識(shí)別之所以被濫用，是因?yàn)橛行┦褂靡呀?jīng)明顯超出公共利益范疇。雖然公共利益的解釋可能會(huì)比較寬泛，但還是有特定內(nèi)涵，比如為了公共安全、保護(hù)個(gè)人生命財(cái)產(chǎn)安全等，都屬于公共利益的范圍；而出于商業(yè)目的或盈利目的，則不屬于公共利益范圍。在“人臉識(shí)別第一案”中，動(dòng)物園就屬于商業(yè)機(jī)構(gòu)，其收集很難說(shuō)是為了公共利益。

因此，未經(jīng)權(quán)利人“明確同意”的采集，應(yīng)該符合公共利益的需要。這可能是防范人臉識(shí)別技術(shù)被濫用最重要的規(guī)則。并非所有的機(jī)構(gòu)都能夠進(jìn)行人臉識(shí)別信息的收集。

人臉信息屬于個(gè)人敏感信息，要用戶明確同意

保護(hù)人臉信息，首先要認(rèn)真遵守貫徹好《民法典》對(duì)人的信息保護(hù)的應(yīng)用?！睹穹ǖ洹返?035條明確收集信息應(yīng)當(dāng)堅(jiān)持合法、正當(dāng)、必要原則，堅(jiān)持最小化原則，能不收集盡量不收集，能少收集盡量少收集。這里自然也涉及人臉信息保護(hù)的規(guī)范問(wèn)題。

同時(shí)，《民法典》第1038條也明確規(guī)定這些信息不得擅自轉(zhuǎn)讓、共享；在共享時(shí)要再次取得權(quán)利人的同意，除非已進(jìn)行匿名化處理。但即便如此，相關(guān)方也要負(fù)起安全維護(hù)職責(zé)。

此外，對(duì)于人臉信息的保護(hù)，僅僅依靠《民法典》還不夠，還要通過(guò)正在制定的《個(gè)人信息保護(hù)法》來(lái)加強(qiáng)保護(hù)，特別是以下幾方面，要格外關(guān)注。

首先是個(gè)人敏感信息的概念?！睹穹ǖ洹窙](méi)有提到個(gè)人敏感信息的概念，是因?yàn)椤睹穹ǖ洹分皇且?guī)定了一般信息的保護(hù)規(guī)則，不可能規(guī)定得非常詳盡，需要在《個(gè)人信息保護(hù)法》中作出規(guī)定。

其次是“同意”的方式。一般信息的收集處理規(guī)則，《民法典》中用的是“同意”。這可以采取默示同意方式，也可以采取明示同意方式。但人臉信息有別于一般信息，屬于敏感信息。對(duì)于敏感信息不能泛泛地采用默示同意方式，除非是為了公共利益的需要，必須權(quán)利人“明確同意”才可收集。并且，在此之前還要有告知義務(wù)，使權(quán)利人詳細(xì)知道搜集的信息是要干什么，做什么用途。

所以，建議在《個(gè)人信息保護(hù)法》中可以針對(duì)人臉信息，進(jìn)一步要求明確同意，這樣可能更有利于保護(hù)人臉信息。

第三，要加強(qiáng)對(duì)未成年人人臉信息的保護(hù)。采集未成人人臉信息，必須要取得其監(jiān)護(hù)人同意。

第四，要嚴(yán)格限制人臉信息的共享。如果收集方要與他人共享人臉信息，須取得權(quán)利人的明確同意。只有進(jìn)行第二次的“明確同意”，才能更好地保護(hù)人臉信息。

最后，要強(qiáng)化對(duì)采集人臉信息的安全維護(hù)。如果沒(méi)有建立相應(yīng)的維護(hù)措施，這些信息一旦被泄露，后果很嚴(yán)重。因此，從法律層面上看，不僅迫切需要確立安全維護(hù)的義務(wù)，而且對(duì)沒(méi)有盡到義務(wù)、導(dǎo)致大面積信息泄露、對(duì)權(quán)利人造成損害的有關(guān)單位，應(yīng)該明確承擔(dān)相應(yīng)的責(zé)任。

人臉信息屬于隱私權(quán)，應(yīng)該強(qiáng)調(diào)保護(hù)而非利用

從全世界范圍來(lái)看，法律層面上處理個(gè)人信息，都要面對(duì)兩個(gè)問(wèn)題，一是對(duì)個(gè)人信息進(jìn)行保護(hù)，二是在保護(hù)的同時(shí)又要注重對(duì)個(gè)人信息的利用。

可以說(shuō)，在法律層面上如何平衡好個(gè)人信息的保護(hù)與利用的關(guān)系，是各國(guó)個(gè)人信息保護(hù)法制定時(shí)需要考慮的最大問(wèn)題。

在我國(guó)《民法典》的制定過(guò)程中，就反復(fù)討論、平衡兩者的關(guān)系。如果保護(hù)過(guò)度會(huì)影響個(gè)人信息的利用，影響數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，甚至影響技術(shù)的發(fā)展。但如果保護(hù)門檻太低，對(duì)個(gè)人人格權(quán)益的保護(hù)也是非常不利的。

因此，現(xiàn)在《民法典》中的“個(gè)人信息保護(hù)”后面沒(méi)有跟著一個(gè)“權(quán)”字，主要就是擔(dān)心如果將個(gè)人信息提升到人格權(quán)層面，會(huì)不會(huì)使得其保護(hù)程度過(guò)高，影響和妨礙了信息的利用。并且，在《民法典》中，個(gè)人信息和隱私是區(qū)別對(duì)待的，隱私保護(hù)程度要比個(gè)人信息更高。

人臉信息比較特殊，與一般個(gè)人信息有所不同，涉及隱私和個(gè)人信息的交叉。人臉信息不僅是個(gè)人信息，實(shí)際上還包括個(gè)人核心隱私。所以，人臉信息應(yīng)該成為隱私權(quán)的重要組成部分。

我更傾向于將人臉信息等敏感信息與一般的信息保護(hù)進(jìn)行區(qū)別對(duì)待，在如何平衡“利用與保護(hù)”兩者關(guān)系時(shí)，人臉信息要更注重保護(hù)，而其他非敏感信息則是更多地強(qiáng)調(diào)“利用”。

國(guó)際人臉識(shí)別立法與案例

在生物識(shí)別信息中，人臉識(shí)別是最為火熱的應(yīng)用技術(shù)。但由于人臉信息涉及許多隱私數(shù)據(jù)，使用不當(dāng)將存在巨大的風(fēng)險(xiǎn)，因此亟須立法規(guī)范。歐美是此領(lǐng)域立法的先行者。尤其是美國(guó)，近兩年來(lái)許多城市均出臺(tái)相應(yīng)的禁令。

2008年

●美國(guó)伊利諾伊州《生物信息隱私法》

該法是美國(guó)州層面第一部保護(hù)個(gè)人生物信息的法律。該法要求私人實(shí)體收集個(gè)人生物信息之前，須提供通知，并獲得個(gè)人的同意，且應(yīng)當(dāng)是書(shū)面的。

2018年5月

●歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）

GDPR被譽(yù)為“史上最嚴(yán)格數(shù)據(jù)保護(hù)法”，但對(duì)更為敏感的生物識(shí)別數(shù)據(jù)，比如人臉數(shù)據(jù)，GDPR仍存在局限性。

2019年5月

●英國(guó)威爾士卡迪夫

英國(guó)威爾士首府卡迪夫的埃德·布里奇斯向法庭提訴訟，稱警方對(duì)他使用人臉識(shí)別技術(shù)是非法侵犯他的隱私權(quán)。這一案件被認(rèn)為是英國(guó)，乃至世界第一例涉及人臉識(shí)別技術(shù)的案件。

2019年8月

●瑞典謝萊夫特奧市

瑞典數(shù)據(jù)監(jiān)管機(jī)構(gòu)（DPA）對(duì)當(dāng)?shù)匾凰咧虚_(kāi)出第一張基于歐盟GDPR的罰單。該學(xué)校使用人臉識(shí)別系統(tǒng)記錄學(xué)生的出勤率。

2019年

●美國(guó)《商用人臉識(shí)別隱私法》（草案）

該法案到2019年3月已被美國(guó)國(guó)會(huì)審議兩次，并提交到“商業(yè)、科學(xué)和交通委員會(huì)”。該法案主要目的是禁止商業(yè)機(jī)構(gòu)在未獲得個(gè)人明示同意的情況下使用人臉識(shí)別技術(shù)。

2020年2月

●美國(guó)《加州人臉識(shí)別技術(shù)法案》

該法案主要對(duì)州內(nèi)私營(yíng)主體與公共主體分別應(yīng)如何使用人臉識(shí)別技術(shù)問(wèn)題做出了規(guī)定。該法案對(duì)公共主體使用面部識(shí)別技術(shù)的態(tài)度較為寬松，但對(duì)于使用人臉信息和人臉識(shí)別進(jìn)行持續(xù)監(jiān)視的行為，原則上仍被禁止。

2020年4月

●美國(guó)華盛頓州《人臉識(shí)別服務(wù)法》

該法是美國(guó)第一部嚴(yán)格限制執(zhí)法部門使用人臉識(shí)別技術(shù)的州法律。這使得華盛頓州成為美國(guó)首個(gè)通過(guò)面部識(shí)別法案的州。該法適用于華盛頓州所有公共機(jī)構(gòu)。