鐵路客運應用人臉識別技術 侵權防范的思考

陳瑞英

（石家莊鐵道大學 文法學院，河北 石家莊 050043)

0 引言

隨著人臉識別技術的發展和多場景應用，其所存在的侵權風險也不容忽視[1]。為了防范侵權風險，國外有些城市禁止了人臉識別的使用，如美國的舊金山、薩默維爾等[2]。作為世界上人臉識別技術發展和運用最快，應用規模和積累數據世界第一的國家[3]，我國政府和學術界高度關注技術應用時的權利保護。國家通過立法和制定規范等方式，包括《中華人民共和國憲法》《中華人民共和國民法典》《中華人民共和國網絡安全法》《信息安全技術個人信息安全規范》、《公共安全人臉識別應用圖像技術要求》等，保障公民權利不受新技術應用的侵犯。學術界對人臉識別特征、人臉識別的法律規則及應用風險控制等進行了廣泛研究，提出了很多有價值的建議，但侵權事件仍時有發生，侵權行為表現形式多樣，如用戶協議不規范，不依法依規收集使用用戶個人信息[4]、強制使用人臉識別[5]、人臉數據泄露等[6]。在應用人臉識別技術時，如何保護公民權利成為備受關注的問題。

我國鐵路客運量大，為了讓旅客的出行更加方便和快捷，提高車站的檢驗效率、維持治安穩定，從2017年春運至今，大中型車站相繼配置了人臉識別設備，借助人臉識別技術完成人、證、票的核驗，大大提高了通行效率。鐵路客運遵循法律要求的“合法、正當、必要”原則合法合理應用人臉識別技術，可以為更多領域防范侵權發生提供有益思考。

1 鐵路客運人臉識別技術應用可能引發的侵權風險

我國鐵路客運量大，對速度、效率、安全和秩序要求更高，人臉識別技術的應用給人們出行帶來了極大的便利，但因人臉識別技術具有非接觸性、智能性、網絡依存性和算法保密性等技術特征和形式性、易于復制和傳播性、人格性和財產性等法律特征，應用不當可能引發侵犯旅客的隱私權、知情權和自主選擇權、個人信息甚至數據權的風險。

1.1 旅客的隱私權

隱私是公民個人擁有的，與公共生活無關，極具個人私密特征，不愿公開、不愿讓他人知曉的私密空間、私密活動、私密信息等，如住所、行蹤、姓名、性別、收入、生物識別信息等。旅客的隱私權是指旅客對自己的隱私所享有的控制、決定、不被他人非法知悉和利用的權利。

根據法律規定，通過人臉識別所抓取的旅客面部特征屬于旅客個人隱私，必須經過旅客授權才能使用。由于人臉識別技術的隔空捕捉信息和網絡爬取數據等特征使其在具體應用過程中有能力繞過對方知情同意，在未經授權或超出用戶明確許可的收集目的之外，采集、使用、流轉他人的面部信息數據[7]。

1.2 旅客的知情權和自主選擇權

知情權是公民知悉有關人臉識別技術使用的必要性、程序、所采集信息的使用目的、使用范圍和使用方法及最終去向的真實情況的權利。自主選擇權是公民在知道真實情況的基礎上，自主做出是否選擇人臉識別技術方式的權利。

鐵路客運在應用人臉識別技術時應當把抓取旅客臉部特征信息的目的、使用范圍、使用方式等情況如實告知旅客，并提供可供旅客選擇的其他方式，使旅客在知道真實情況的前提下，自主選擇是否使用人臉識別。

1.3 旅客的個人信息權

我國法律和相關政策明確界定和列舉了公民個人信息權，如《中華人民共和國網絡安全法》第76條、《中華人民共和國民法典》第1034條和《信息安全技術個人信息安全規范》(GB/T 35273—2020)。個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括隱私信息和非隱私信息。個人信息權是指公民對于個人信息享有決定如何使用、是否允許他人知悉與使用及允許他人如何使用的權利。

人的面部特征包含十分重要的個人信息，鐵路客運應用人臉識別技術快速準確完成旅客識別，根本原因就在于對旅客面部信息的收集和數據庫中信息的比對。除法律、行政法規另有規定以外，應用人臉識別沒有經過旅客知情同意而收集使用旅客個人信息，即構成對旅客個人信息權的侵犯。

1.4 旅客的數據權

大數據時代的數據具有巨大的經濟價值和社會價值，被稱為21世紀的“鉆石礦”，成為各方爭相獲取的資源。人臉識別技術就是通過收集個人面部特征信息，將其“翻譯”成數據，通過與數據庫信息的數據比對完成識別。

人臉信息被廣泛收集并形成大數據之后，可能會對個人隱私、個人安全、社會與國家安全帶來風險和威脅。這種風險和威脅可能貫穿于人臉信息大數據形成與應用的始終[8]，具有長期性和極大的潛在危險性。旅客享有對其人臉識別數據的收集、使用的決定權。因此，針對全球每天有超過2500萬條數據遭到入侵或泄露的現狀，鐵路客運在應用人臉識別技術時，應當合法獲取、合法利用并安全存儲旅客信息數據。

2 鐵路客運對人臉識別技術的應用

人臉識別技術具有高效、便捷和精準的優勢，使乘客只需“刷臉”，就能完成進站實名制核驗[9]，不需要攜帶和出示更多的證件，為人工核驗通道進站效率的10倍左右。從2017年春運開始，大中型車站相繼配置了人臉識別設備，借助人臉識別完成人、證、票的核驗，大大提高了通行效率。隨著2020年6月20日起正式啟動電子客票，人臉識別技術的應用更加廣泛，但是鐵路客運對人臉識別技術的應用始終保持著比較審慎的態度。

2.1 專業科研機構提供技術支持

鐵路客運站使用的基于鐵路實名制進站核驗系統的人臉識別，是由專業科研機構研發并提供技術支持的，保證了技術的高質量、規范性和針對性?；阼F路實名制進站核驗系統的人臉識別系統設計嚴格遵循安全性原則，保障系統安全穩定運行，保障旅客的信息安全，符合現有的鐵路安全設計規范要求，確保系統核心交易不間斷運行，確保系統核心數據不泄密，確保系統運行效率不降低，確保系統基礎數據不被盜取[10]。

2.2 重視信息數據安全保護

鐵路運輸企業和主管部門重視通過制度化的方式對旅客信息數據安全進行保護和對員工進行信息數據安全教育。例如，通過制定和實施網絡安全管理的各項制度保障旅客信息數據安全，員工違反規定泄露旅客信息將受到嚴肅處理。通過印發相關標準性技術文件規范自助實名制核驗系統架構和產品技術條件。2015年1月1日起施行的《鐵路旅客車票實名制管理辦法》第10條和第16條則明確規定：“鐵路運輸企業登記、查驗旅客身份信息，應當符合法律、行政法規和國家有關規定要求。鐵路運輸企業及其工作人員對實施車票實名制管理所獲得的旅客身份信息及乘車信息應當予以保密”“鐵路運輸企業工作人員竊取、泄露旅客身份信息的，由公安機關依法處罰；構成犯罪的，依法追究刑事責任”等[11]。

2.3 合法獲取和使用旅客信息

鐵路客運應用人臉識別技術，主要用來核驗“票、證、人”是否相符。通過抓取旅客面部特征信息，顯示出旅客姓名、身份證號、購票情況等，與旅客身份證芯片里的信息進行比對識別，如果判斷購票人、持票人、持證人和乘車人相符，閘機自動放行。否則，會被阻擋在閘機外不能乘車。因此，通過人臉識別獲取的旅客信息與旅客實名購票時所必需的身份信息是一致的，不過多獲取旅客其他信息，即只獲取乘車所必需的信息。而旅客在購票系統提交的身份信息是旅客同意提交的。這就使鐵路客運企業應用人臉識別獲取和使用旅客數據符合法律要求的“正當、必要”，且經過被收集信息者的同意而具有了合法性。

2.4 防止旅客信息泄露

個人信息泄露的原因主要有3方面：一是掌握信息數據的主體為了某種原因主動把信息泄露給其他人，二是系統本身存在漏洞造成信息泄露，三是使用的設備或系統被技術性攻擊導致信息泄露。個人信息泄露會造成信息數據超出了收集信息的使用目的和范圍而被濫用。鐵路客運應用人臉識別技術時，在專網內進行臉部特征獲取和使用，采用分布式系統，利用閘機的讀卡器進行信息數據的讀取，并在終端完成信息比對，信息不上傳到服務器，實行4級等保防護。核驗系統只跟公安網和客票網聯網，實時將信息傳輸到公安網，使公安機關實現對重點人員的監控。這樣就最大限度地防范了旅客信息數據的泄露。

2.5 給旅客提供多種選擇

人臉識別技術可以快速收集和處理公民的個人信息，但我國目前缺乏人臉識別技術的專門法律規定。根據《中華人民共和國網絡安全法》《中華人民共和國消費者權益保護法》和《中華人民共和國民法典》等法律和有關公民信息保護的政策規定，應用人臉識別技術收集和使用公民個人信息時，應當經公民同意。如果公民不同意，則應該提供其他選擇方式。鐵路客運對旅客進行票證核驗時，車站提供人工核驗和人臉識別核驗2種方式，旅客可以根據自己的需要進行選擇。國家鐵路局制定于2021年2月1日實施的《市域(郊)鐵路設計規范》中明確提出市域(郊)鐵路乘車憑證可選用電子客票(如二維碼、身份證)、生物特征票(如人臉識別、指紋識別)等，充分尊重了旅客的權利。

3 鐵路客運應用人臉識別技術侵權防范的對策

鐵路客運對人臉識別技術的應用，客觀上從多角度保護了旅客的權利，但旅客權利仍存在被侵犯的可能。例如，隨著科技的進步，盜取信息數據的技術也在發展，在人臉識別旅客信息數據的防護上，鐵路客運需要隨時防范旅客信息被盜取而造成信息泄露的風險，來保障旅客信息數據的安全。因此，為了使鐵路客運在應用人臉識別技術時能更好地防范侵權，保護旅客權利，需要國家和社會構建起更加完善的制度+技術防控體系。

3.1 健全完善法律制度

我國雖然有公民隱私等權利的保護框架，但存在規定比較分散、比較原則、有些內容缺乏規定等問題。健全法律制度才能更好地發揮法律的功能，推動社會整體上進一步提升法律意識、道德水平和自律性。健全法律制度，需要盡量制定專門立法，保證內容的集中統一，對較原則的內容進行細化，增加可操作性。對缺乏的內容要盡快增加，如制定個人信息保護、信息數據流轉、人臉識別等領域的法律規范，為旅客信息保護和鐵路客運應用人臉識別技術侵權防范提供直接具體法律指引。

3.2 加強現有法律的實施

雖然我國目前缺乏人臉識別技術的明確法律規定，但加強現有法律的實施，增強法律的實效性，也是可以防范侵權，保護公民權利的。例如，我國《中華人民共和國消費者權益保護法》《中華人民共和國網絡安全法》《中華人民共和國民法典》都規定了 “收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意?！边@就需要加大法律宣傳，培育公眾的法律意識和義務觀念，使大家不僅了解法律，還要遵守法律。

3.3 重視司法引導

司法不僅僅解決當事人之間的糾紛，還承擔價值評判和法律評價的作用，發揮著社會主義核心價值觀普及和行為模式的引導作用。針對我國民眾普遍缺乏信息和數據保護意識的現狀，司法機關應就人臉識別案件的審理和判決的法律依據進行深度解讀，廣泛宣傳，使各主體認識到在人臉識別技術研發和應用上的權利和義務，預知違法行為及后果，從而選擇合法行為。

3.4 強化行業自律

在人臉識別法律制度不完備時，需要提升企業的道德水平和強化行業自律。在一定程度上，客戶信息數據權利的實現和企業的道德水平緊密相關。人臉識別技術領域的行業自律可以通過以下方式得到強化：增強企業的責任意識和道德感，堅持科技為人類服務的宗旨；樹立行業榜樣，發揮示范和輻射作用；形成行業治理共識，制定行業規范和標準，并認真執行。

3.5 利用技術支撐

除不斷探索新安全技術，繼續打造更加完備的侵權防范體系外，還應從組織機構、安全性措施、技術保障、區塊鏈技術應用、技術安全保障聯盟等方面入手，加強技術支撐。①人臉識別國家標準工作組不僅作為制定人臉識別國家標準的組織機構，還應當作為人臉識別的技術引導和監管服務機構，審核算法、加強監管等，參與人臉識別侵權案件的侵權技術判斷，用專業性保障人臉識別技術不被濫用[12]。②從產品研發階段就嵌入有效的安全性措施，如建設人臉數據專網，人臉識別技術研究所需人臉數據均存儲在專網內，訓練建模研究均在專網內進行。③根據不同領域的實際需求，從技術上保障不發生侵權，如數據收集的合理適當，強化隱私保護處理技術、瞬間刪除技術、信息存儲安全技術等。區塊鏈技術可以讓信息數據來源、數據流通和數據利用路徑變得清晰，即便經過無數次的轉載、復制和交易，依然能夠非常容易地確認數據的生產者、擁有者和使用者[13]，便于明確各環節主體的權利、義務和責任。加入技術安全保障聯盟，如國家數據安全技術創新聯盟、企業數據安全技術聯盟、互聯網金融身份認證聯盟等[14]，為侵權防范提供專業安全技術支撐。

4 結束語

近年全球多發的人臉數據被竊取事件表明，人臉識別作為AI的標志性技術，在應用時應加強侵權防范，在法律指引下，發揮道德和行業規范的作用，保護公民權利。鐵路客運站對人臉識別技術的應用，在提升服務水平和旅客體驗的同時，有效防范了侵權風險，在全社會起到良好示范作用，并促使政府和學界深入思考，如何推進國家治理體系和治理能力現代化，制定出規范新技術發展和保護公民權利的有效制度規則，并從執法、司法等多維度保證制度的落實。