人脸识别|如何对人脸识别进行法律规制人脸识别|人脸|政府部门|人脸

本文转自【经济参考报】；
就政府部门使用人脸识别的法律规制，特别许可使用制度既发挥人脸识别技术之利，又防范人脸识别技术之弊，是一种更加理性的制度安排。就非政府部门使用人脸识别的法律规制，对人脸信息作出比一般个人信息更为严格的特别保护和特别规制，更有利于保护个人的人脸信息。
在无竞争性的服务领域（如民航、铁路、学校、社区等）使用人脸识别技术，当人们拒绝“刷脸”时，应提供其他替代性的验证机制，而不能不“刷脸”就不能使用或进入。即使不全面叫停政府部门安装、使用人脸识别技术，也应该对其进行严格的法律规制，防范安全风险，防止被滥用。
随着技术的发展，人脸识别（俗称 “刷脸”）在我国逐渐盛行。我国目前对人脸识别技术尚无专门的法律规定，无论是政府、社区、事业单位还是商家，均可以任意安装人脸识别技术，强制人们“刷脸”验证。而人们若拒绝“刷脸”，则基本上无法使用相关服务。如若不服，则投诉无门，只能对簿公堂，但诉讼成本高昂。基于此，有必要对人脸识别的法律规制予以深入研究，厘定人脸识别技术应遵循的法律底线，明晰人脸识别技术法律规制的基本要点。
人脸识别技术的特征、收益与风险
人脸识别可简单地概括为：机器对静态或视频中的人脸图像进行特征提取、分类识别，以达到身份鉴别的目的。人脸识别技术的应用场景日渐丰富，其功能归纳起来主要是身份验证和监控。这又可以分为政府机构的公共应用和非政府机构的商业应用与慈善应用等。
人脸具有如下的特征：独特性和直接识别性，方便性，不可更改性，变化性，易采集性，不可匿名性，多维性。人脸的上述特征直接决定了人脸识别技术具有复杂性特征，而现实中很多收集人脸的机构并不具备相应的风险防控、安全保障能力、组织和机制。
人脸识别技术的收益是世所公认的，人脸识别技术可以应用于诸多场景。
但是，另一方面，人脸识别技术的风险也是不可小觑的。其风险主要有：一是误差风险。如果人脸识别技术不够成熟，可能出现混淆。此外，由于人脸为非刚体性，人脸之间的相似性以及各种变化因素的影响，准确的人脸识别仍较困难。二是身份认证被破解的风险。密码是秘密保存的，但人脸却是公之于众的。最新的人脸验证技术，结合了3D图片进行登录与验证，这比以前的技术更难破解，但破解并非完全不可能。三是信息泄露风险。用于保存人脸信息的电子计算机系统存在被黑客入侵、病毒入侵的风险，这可能导致信息泄露。此外，内部员工的作案也可能导致信息泄露。生物信息具有100%的可识别性，一旦被泄露或是被不当利用，后果无法估量。
国外人脸识别法律规制的经验
从美国有限的既有立法或立法草案、建议来看，美国对政府部门使用人脸识别的法律规制，有别于对非政府机构使用人脸识别的法律规制，二者是分别立法、分别规制的，规制的具体方法和价值取向截然不同。对政府部门使用人脸识别的法律规制主要分为三种：第一种是禁止使用制度，第二种是特别许可使用制度，第三种是任意使用制度。禁止使用制度为美国旧金山市所首创，目前备受关注。特别许可使用制度目前尚处于民间建议阶段。任意使用制度即对政府使用人脸识别尚未特别立法，政府部门可以任意使用人脸识别。而美国对非政府机构使用人脸识别的法律规制，主要是将人脸信息作为生物信息之一加以规制，它也可以分为两种路径：一种是比对一般个人信息的保护更为严格的高强度规制路径或特别规制路径，另一种是与对一般个人信息的保护没有区分的、同等程度保护的普通规制路径。
欧盟与美国对政府部门和商业部门使用人脸识别技术分别进行立法不同，欧盟《通用数据保护条例》（以下简称GDPR）是对公私部门一体适用的。这就意味着，无论是政府部门还是非政府部门，只要使用人脸识别技术，就必须遵守相同的规范。
GDPR第4条定义条款对“生物数据”（biometric data）进行的界定包括“面部图像”（facial images）。GDPR第9条规定了特殊种类的个人数据处理，其中就包括生物数据。GDPR对生物数据的处理，遵循“原则禁止，特殊例外”的原则。数据控制者可援引“数据主体的同意”作为个人生物数据处理的例外，但该同意必须是“自由给予、明确、具体、不含混”的，数据主体的任何被动同意均不符合GDPR的规定。
2019年7月，欧洲数据保护委员会（EDPB）颁布了《关于通过视频设备处理个人数据的3/2019指引》提供了尽量降低风险的措施，例如，对原始数据进行分离存储和传输；对生物识别数据尤其是分离出的片段数据进行加密并制定加密和秘钥管理政策；整合关于反欺诈的组织性和技术性措施；为数据分配整合代码；禁止外部访问生物识别数据；及时删除原始数据，如果必须保存则采取添加干扰（noise-additive）的保护方法。