人脸识别个人信息的合理使用及保护

文/胡欣欣    

摘要：人脸识别技术门槛降低及非接触性等特点使其具备较高使用价值，但是人脸数据作为生物识别数据，具有独特性性且不可更改，导致一旦泄露会对个人造成巨大损失。本文通过对“人脸识别第一案”引发的法律问题进行思考，分析人脸识别中使用个人信息风险存在的成因分析，对国外相关的立法模式进行研究，结合我国具体国情和传统法制，提出相应的民法构想，为我国生物识别数据保障制度提供新的可能。

关键词：人脸识别;个人信息;法律规制

1 “人脸识别第一案”的法律思考

1.1 案例介绍

2019年4月27日，浙江理工大学教授郭兵因动物园进行人脸识别认证影响所办年卡的正常使用起诉杭州野生动物园,此前动物园一直刷卡入园，然而动物园单方面短信通知原告不进行人脸识别不得入园。郭兵认为，园区升级后的人脸识别将收集他的面部特征，侵犯个人隐私，一旦泄露或者滥用，将对消费者的人身及财产造成巨大的损失。对此，郭兵请求判令被告杭州野生动物世界退还年卡卡费并承担本案诉讼费。

1.2 案例引出的法律思考

该案作为全国首例“人脸识别第一案”，备受全国人民的关注，最终原告的诉讼请求得到支持，此案件中，园方在未与消费者协商的情况下，单方面改变消费方式，侵犯了消费者的知情权和自主选择权；况且动物园是否有权采集人脸信息处于待证状态，目前法律在强制方面只规定了公安部门、铁路部门有权利，在非强制方面，必须征得个人同意；笔者认为，人脸识别在提高入园效率方面确实起到了一定的作用，经用户同意，并不是检票的唯一手段，且在消费者的利益保护和秩序衡量下，人脸识别入园并不能达到利益最大化，反而加大信息泄露的风险，使用一般的身份证件或者指纹也能进行身份认证。而且根据郭兵拍摄的照片可知，是由第三方科技公司来做信息系统，是否有安全的数据保密系统以防止信息泄露也无从知晓，实践中，我们应在充分调研论证的基础上，给一些新兴技术的应用划定法律边界。

2 人脸识别中个人信息使用存在隐患的成因分析

2.1 相关法律法规的不完善

关于个人信息，我国已有相关的法律规制，2016年针对网络安全颁布的《中华人民共和国网络安全法》规定网络经营者应保护网络用户的个人信息，不得泄露、篡改；2020颁布的民法典在总则的基础上也对个人信息进行解释并对收集使用做出了相关规定；2020年3月1日起实施的《网络信息内容生态治理规定》中对人肉搜索、网络暴力等违法活动进行规制，进一步强调对个人信息进行保护；目前的法律框架下，对生物识别数据规定较全的是《信息安全技术个人信息安全规范》，将生物信息归入个人敏感信息，然而这些法律在保护公民个人信息方面都做出了类似规定，却缺少一部系统且专业化的法律，况且科技发达的当代，在人脸识别涉及的相关特殊领域，例如人脸识别支付、无人机、旅游业等并没有专门的条款进行规定，立法上仍存在不成熟、碎片化的特点，实质意义上个人信息安全并没有得到很好的落实。

2.2 政府监管的失职

目前，我国行业协会发展不平衡，各行业由政府直接主导，而政府的功能一直是通过行使公权力来得以实现，使行业发展不断具有行政化色彩，缺乏专业化的理论支持，极易造成政府过度干预行业内部，限制各行业的自我发展，而且作为行业内部工作人员，法律素养不高、执法不严等因素，皆为利往的心态导致个人信息泄露事件频频发生。另一方面，立法的不明确性使政府缺乏执行力，无法直接引用相关法律条款，对于违反行业规定的行为不能对症下药，没有发挥法律的预防功能，造成监管资源的浪费，无法从真正意义上规制违法行为。

2.3 公民保护意识的欠缺

我国对个人信息举证并没有特殊规定，且实际生活中侵权主体在资金、技术设备等都处于优势地位，并且信息泄露渠道不断增加，高端网络技术侵权变换无穷，权利人证明自己信息被特定主体侵害的举证难度增大，原告胜诉的可能性小。关于公民个人信息保护意识，同时，公民法制观念、权利意识的增强也会制约着执法机关不断规范自身行为，要做到合法权益不受侵害，就需要加强公民“事前预防”＋“事后保护”的自我保护意识。

3 对人脸识别中个人信息合理使用及保护的构想

3.1 借鉴国外立法经验，建立统一立法模式          

一种立法模式是在统一的个人信息/数据保护立法中规定对个人生物识别信息的保护，例如印度在2018年出台了《个人数据保护法（草案）》，草案中明确规定,将个人生物识别信息作为敏感个人信息的一类进行保护，境内数据主体的画像活动有关行为受法律保护。草案中“个人数据”也以可识别性为标准，对于不同处理依据有不同的法律规制，且法案严格区分个人信息数据和个人敏感数据，对儿童信息进行专项保护。

另一种模式是以美国一些州制定的隐私法案为典型的专门立法模式，加利福尼亚州旧金山市颁布法令，禁止在公共场所使用人脸识别以保护个人隐私。专门立法模式具有专属的法律概念，针对特定领域有特定的法律规制，对症下药，操作具有高效性。      

目前，虽然对个人信息有相关法律规定且草案将生物识别信息明确规定为个人信息，但侵权情形、场景、主体众多并不足以规范和保护公民利益，全国人大常委会将《个人信息保护法》纳入立法规划的举动也表明我国将更倾斜统一立法，建议将个人信息列为一项敏感个人信息来加强保护，以满足其在统一体系下立法的统一性和衔接性。

3.2 对不同主体设置不同的责任追究制度

在不同的人脸识别场景下，信息主体相对处于弱势地位，针对未成年和老年人辨别能力不强，维权意识及能力不足的现状，更应该加强对他们的保护。首先，在收集信息严格限制主体，严格审查其收集目的，严格控制其信息的流转，即使目的正确也要加以防范。其次，将未成年人及老年人的个人信息单独分类管理，引入第三方监督管理机构，对信息主体的流通进行定期管控，同时监察机构的权利义务也要明确规定，明确网络运营商的权利义务，推送适合的内容面向青少年。再次，由于未成年人是限制民事行为能力人，心智方面尚不成熟，因此，法院在认定相关主体责任的同时，应结合未成年的心智发展状况，分析其提供同意的能力，欧盟的GPDR明确规定被遗忘权，在认定时可认为未成年人间接同意监护人对其数据信息的披露，待成年后，未成年可以删除对自己社会评价降低的相关内容，这一权利，对未成年人的身心健康成长起到一定作用，又能达到利益最大化，可以为我国所借鉴。

3.3 采取过错归责原则及增加事后赔偿

针对信息主体举证难，权益无法得到保障的现状，新型技术的出现，归责原则也应最有利于信息主体，在能够确认侵权主体时采取过错原则，在不能确定侵权主体时采取过错推定原则，解决信息主体取证难的难题，协调了多方利益，且能在一定程度上遏制收集个人信息的不法行为。另外，由于网络传播迅速，利用网络泄露个人信息似乎采用恢复原状也不能弥补信息主体的原有利益，因此不仅要在刑法加强惩罚力度，民法也要加大赔偿力度，其中被侵权人主张的精神损害赔偿，也因个人信息泄露所造成的危害后果达不到标准而无法获得赔偿，实践中应为赔偿数额设立最低最高限度，在限度范围内，根据行为表现、实际损害后果及被侵权者心理表现进行认定，从而对信息掌控者起到警示作用，增强信息主体的维权积极性，严厉打击违法行为。

3.4 加强对使用人脸识别技术行业的规制

法律存在滞后性和局限性，无法应对所有的社会关系，就需要企业加强行业规范，对不同行业不同的个人信息进行针对性的保护，启用第三方测试人脸识别服务的准确性和个人数据存储的秘密性程度，第三方测试公司须具备专业资质，对人脸识别系统进行审查，并进行定期检查识别系统是否存在漏洞，保持识别准确的连续性，在发现风险后进行及时修复，此外企业负有通知义务，通知个人对已达到目的的个人信息进行及时删除。

4 结语

任何新生事物的发展，必然会带来各种各样的挑战，大数据的利用在精准分析的同时，对个人信息保护也带来了巨大挑战，如何在技术上不断提升，如何在法律层面加以规范，如何进行事后弥补成为世界的共同关注热点。

本文经修改，理论水平尚浅显，对于人脸识别的民法规制体系并不成系统，且随着科技的不断进步，人脸识别涉及专业性强，未来法律的制定也需要不同专业的结合，希望日后能够不断完善人脸识别个人信息的保护体系。

（作者单位：西北政法大学）