人臉識別法律制度域外比較與借鑒

朱利平，徐東琴，岳楊，朱鈺濤，陳文亮

西南科技大學

一、引言

人臉識別技術源于 20 世紀中葉，并于 20 世紀末21 世紀初開始廣泛普及。如今，人臉識別技術正在改革傳統的身份識別方式，通過與大數據和物聯網聯動，應用于公司打卡、地鐵安檢、小區安保、醫療機構、快捷支付等不同的場景當中。但同時，人臉識別技術的廣泛運用也對公民個人信息的安全產生了威脅。在我國的法律規范中，主要通過《民法典》中人格權編來進行一般性保護，通過《個人信息保護法》進行相對更重點的特別保護，但對于實際人臉信息的保護遠遠不夠，同時，對人臉識別的具體保護制度規定的也不夠完善，而這一點在部分國外法律中是有經驗可循的。

二、美、歐、加等域外國家人臉識別技術立法情況及其比較

（一）美國

1.立法背景

美國國會議員于2022 年提出了《面部識別法》，該法案將限制和禁止執法部門使用“ FRT(Facial Recognition Technology)?！备鶕绹鴩覙藴逝c技術研究所（NIST）的一項研究，FRT 中使用的算法錯誤地識別了非裔美國人和亞洲人的臉比白臉多10 到100 倍，算法偏見問題十分突出。為此，紐約頒布的新法案要求紐約市內使用算法來幫助招聘決策的企業在這些算法與有偏見的決策相關聯的情況下承擔責任。2022 年最新擬議的《面部識別法》對美國50 個州中的每一個州的執法機構制定新的規定，要求執法人員在任何調查中使用面部識別之前，必須獲得法官授權的逮捕令。

2.主要法條對比分析內容

（1）關于被采集人臉信息者的被遺忘權：我國《個人信息保護法》（以下簡稱《個保法》）第47 條只有一般的要求刪除的規定，無特殊規定。美國規定與面部識別一起使用的逮捕照片數據庫，在每六個月該數據庫的保管人應從該數據庫中刪除每個人的所有照片。除此之外，美國的相關規定則是針對特殊人群所設置特殊規定：對于未滿18 周歲；已被無罪釋放；在撤銷或駁回指控后被釋放、被指控的罪行被宣告無罪的人員要進行刪除，這也在一定程度上更有利于個人信息的保護。（2）有關人臉識別中敏感信息和算法歧視的規定：《個保法》第28 條只規定了生物識別信息、宗教信仰按照敏感個人信息保護處理。美國對于人臉算法歧視的種類相關規定較多，并且為防止根據人臉識別信息識別其他敏感個人信息進行了規定。如種族、民族、國籍、宗教、殘疾、性別等。（3）有關人臉信息的報告審計義務的規定：《個保法》第54 條只簡單規定了審計義務而沒有具體規定審計的具體期限和內容。美國在對人臉信息的報告審計義務進行了詳細規定。如報告義務規定授權面部識別的法官應向國家機構報告授權的命令、數量、授權是否根據規定發出。（4）對當事人的通知：《個保法》第57 條規定在個人信息泄露、篡改、丟失的情形下通知信息擁有者。美國則規定只要使用了相關人臉信息就需要將使用的相關信息通知信息主體。（5）準確性偏差測試：我國暫時沒有規定無準確性偏差測試內容。美國則對準確性偏差測試進行規定：“調查或執法人員不得使用面部識別系統或從中獲取的信息，除非該系統每年提交給美國國家標準與技術研究院的基準面部識別測試，供執法部門確定?！?/p>

3.美國法案關于人臉識別各階段出現問題的解決方式

（1）采集階段：《2020 年國家生物識別信息隱私法案》（以下簡稱《隱私法案》）規定私人實體收集人臉信息應制定并向公眾提供書面聲明，書面聲明需要規定永久銷毀人臉信息的時間表和準則。這使相關公眾能更好地行使自己的知情選擇權，避免出現知情同意原則被架空的情況?！?019年面部識別技術授權法案》還規定，如果信息采集存在瑕疵，被采集人均可以采取行動壓制通過使用面部識別技術直接獲得的信息。這使得用戶可以通過抗辯對瑕疵收集到的信息進行行動壓制，有效解決采集瑕疵的問題。（2）運輸階段：對最終用戶造成可預見的重大財務損害、可能對最終用戶高度冒犯的事項進行審查，至少一個合法從事獨立測試的第三方能夠對面部識別技術的準確性和偏差進行測試。通過第三方對存儲的人臉信息進行嚴密的監督與檢查，在一定程度上緩解了存儲單位安全技術力量薄弱、數據安全得不到保障的問題。（3）使用階段：規定人臉信息使用需為了支持司法活動，需申請法院命令并按照命令內容使用，期限不得超過30 天。通過司法授權的方式使人臉信息的使用受到嚴格限制，期限限制的方式同時解決了知情同意動態實現的問題。（4）救濟階段：美國對于違反保護人臉信息也制定了一定處罰，如按照每次違約金一千美金或者被害人實際損失較高者定，并且對于故意或者罔顧后果的給予5000 美元的懲罰性賠償金。通過較高額的賠償金的設置使被侵權人得到法律救濟的同時使得潛在的侵權人望而卻步。

（二）歐盟

1.立法背景

在對人臉識別規制方面，歐盟現在沒有專門性的法律，歐盟針對人臉識別的法律規制主要有三個核心文件，即《通用數據保護條例》（GDPR）《人臉識別指南》《人工智能法案》，但歐盟對于人臉識別信息的保護在相關法律規定上較為嚴格。

2.主要法條對比分析內容

將歐盟《通用數據保護條例》（GDPR）與我國《個人信息保護法》對比之后發現兩者之間有相似之處，也存在許多差別，可以供我國借鑒學習。（1）適用范圍：歐盟在適用上排除了個人、家庭使用以及為了刑事犯罪和預防公共危害兩種情形。我國個保法則適用于上述兩種情形。（2）處理原則（舉證責任）：歐盟采用“問責舉證”原則來處理個人信息。而我國規定在幾種特殊情形下由信息處理者承擔舉證責任外，其他情形采用“誰主張誰舉證”原則。（3）涉及犯罪的個人信息處理：歐盟規定了處理涉及犯罪的個人信息處理的被允許的條件。我國無相關規定。（4）不需要識別的信息：歐盟規定了不需要識別即可不依條例進行需要個人信息識別的一些法定義務。我國無相關規定。（5）無需告知的處理：歐盟沒有對無需告知的處理的相關規定。我國法律法規規定緊急情況下無需事前告知，但須事后告知。（6）處理活動記錄：歐盟對處理活動中所涉及的主體和事項有相應的記錄要求。而我國僅要求公開和向履行個人信息保護職責的部門移送個人信息保護負責人的相關信息，并對處理情況進行記錄。（7）監管機構設立規則及其獨立性：歐盟對設立相應的個人信息的監管機構有相應的法律規定，同時，也確認了其監管機構的獨立性地位。我國法律有規定履行個人信息保護職責的部門，但我國尚未建立一個專門、獨立的個人信息保護監管機構。

（三）加拿大

加拿大國內尚未頒布規范面部識別技術的重要立法。隨著關于面部識別軟件的對話繼續成為全球爭論的焦點，加拿大政府官員已成立最新的監管機構，呼吁制定立法，以限制全國各地使用面部識別。[1]下議院道德委員會呼吁聯邦政府對使用面部識別技術進行限制和頒布法律，包括暫停警方不受限制地使用面部識別技術。除此之外，有議員還表示如果發現警方未經適當授權使用面部識別技術，應該面臨“明確的處罰”。一些議員還要求披露在不侵犯公民個人隱私權的情況下使用面部識別技術的情況。人臉識別技術相關的潛在危害導致許多人建議以更有效和高效的方式監管此類技術。[2]

除了面部識別技術對加拿大個人隱私造成的擔憂外，算法偏見是議員們強調的另一個討論話題。對于各類相機進行實驗的相關研究人員發現，人臉識別技術“錯誤地識別了三分之一以上的深色皮膚女性，但白人男性準確率為99%”。例如2015 年，谷歌圖片軟件的自動標記功能，誤將兩名黑人標記為“大猩猩”；2016 年，微軟的首個聊天機器人Tay 上線，由于事先沒有為它植入規則，希望它在與人互動中產生自己的愿望與想法，結果Tay一上線聊天就被網民們“教壞”，成了一個集反猶太人、性別歧視、種族歧視于一身的“不良少女”，如果不加控制，人類固有的偏見將會轉移到創建的軟件程序中。[3]

（四）小結：域外立法考慮因素的分析

歸納來看，各國人臉識別立法規制主要考慮因素有以下幾個方面：第一，人臉識別技術涉及大面積的隱私泄露，數據保護問題受到各國廣泛關注。第二，算法偏見與歧視問題顯現，大量的算法程序都夾雜著歧視與偏見，而這將侵害著公民的基本人權。第三，人臉識別技術極大影響著互聯網與公眾場所下的公民的匿名權、加密權的行使，關乎著公民的民主政治參與能否良好實現。第四，執法人員在執行公務中使用人臉識別技術，可能違反“無罪推定”原則，損害公民基本權利。

三、域外人臉識別法律制度對我國的借鑒意義

1.對人臉信息處理活動進行記錄以及定期公開

通過對歐盟《通用數據保護條例》（GDPR）進行對比分析可以發現歐盟比較注重對處理活動中所涉及的主體和事項制定相應的專門記錄要求，而我國僅要求公開向履行個人信息保護職責的部門移送個人信息保護負責人的相關信息，這在一定程度上存在著處理活動不透明、處理信息缺乏公示的情況。我國可以加強對個人信息處理者進行事前個人信息保護影響評估機制的建立，并對信息處理情況進行記錄和在一定程度上定期公開，這樣也有助于對數據處理主體的監督與評價。

2.數據庫亟需定期刪除

我國個保法在第47 條進行了個人信息刪除的一般表述與規定，但在刪除期限上還有待進行一些細則的補充說明，可以考慮設定固定期限（如6 個月）作為國家標準，也在一定程度上可以促進各行業人臉識別信息處理的合規化。此外，在美國的法案中可以看到專門性的關于特殊人群的被遺忘權的規定，例如未成年人、被宣告無罪的人等特殊群體的人臉信息在被收集后可以更加注重定期刪除的操作，有助于特殊群體權益的保護。

3.設立獨立的專門性的監管機構

在我國，履行個人信息保護職責的部門主要是國家網信部門、國務院有關部門以及縣級以上地方人民政府有關部門。而落實到基層，考慮到政府部門管理事務的龐雜，如果各省、自治區、直轄市以及設區的市人民政府沒有建立專門進行個人信息監督管理的部門和機構，可能會導致主體責任不明確，人臉信息主體權利難以得到救濟現象。而隨著網絡化和信息化的加劇，人臉識別技術的廣泛應用，信息傳播的速度與范圍是十分迅速的，造成的損害也是難以估量的。因此，有必要進一步明確各層級人民政府設立人臉信息監督的專門部門和機構，明確監管機構獨立的地位，才能對社會技術變革帶來的不利影響進行有力的防范與應對，從而切實有效地保護信息主體的人臉信息權益。

4.設立懲罰性賠償金問題

在我國，對于侵犯人臉信息的案件多采用賠禮道歉、刪除信息等方式，基本不采取損害賠償的方式。但這種救濟措施在一定程度上不能對當事人進行充分救濟和制止加害人在未來做出類似的加害行為。而根據域外賠償金設立有值得借鑒之處，比如違反人臉信息采集的相關規范采集人臉按照每次違約金一千美金或者受害人實際損失較高者定。對于故意違反或者罔顧后果的給予5000 美金的懲罰性賠償金。我國可以結合實際情況設立相關懲罰性賠償金。

5.適當對采集主體進行專門限制性規定

我國法律對于收集人臉信息的主體沒有進行特別規定，基于人臉信息采集后對于被采集者影響較大并且社會影響面較大，所以采集時應該較為謹慎，限制其采集主體和采集程序。參考域外有關法律規定，一般人臉信息使用需要支持司法活動并且需要申請法院命令，并按照法院涵蓋的內容使用，并且該命令授權持續監視時間不能超過30 天。

6.對于識別準確性進行實時監測

我國法律沒有對于人臉識別準確性若出現偏差應該采取何種措施的具體規定，從域外法律規定來看需要至少一個從事獨立性測試的第三方能夠對人臉識別技術的準確性和偏差進行合理的測試，并在測試不通過時暫時停止使用相關數據庫。這對于人臉識別的準確性具有重大意義，我國法律可以對此加以借鑒。