科学规范人脸识别应用场景丨法经兵言

近日，中共中央办公厅、国务院办公室印发《关于完善市场准入制度的意见》，这是中央层面首次专门就完善市场准入制度建设出台政策文件，其中明确人工智能、信息安全等新业态领域，要优化创新成果转化机制，优化创新资源协同。

基此，聚焦人脸识别技术及应用的定位与实质，探析新技术、新业态、新产业发展中的安全与发展的动态平衡关系，就显得尤为重要，因为顶层设计最终需要落地实施，小切口观察大问题，不失为一种现实可行的研究和工作方法。

去年8月，国家互联网信息办公室发布的《人脸识别技术应用安全管理规定（试行）（征求意见稿）》（下称《征求意见稿》）对规范“刷脸”技术作出较多制度安排，《征求意见稿》贯彻“非必要不使用”原则，对人脸识别技术的使用场景和具体要求做了规定，但是由于征求意见稿尚未正式发布，当前“刷脸”进入各类场景的要求，在不同地区仍然有不同体现，出现一些收集人脸信息不规范、授权使用不规范、诱导式授权等行为，使得公众加深了对个人信息泄露尤其是“人脸”数据泄露的担忧和疑虑。对于新技术开发、新业态发展，要平衡处理好发展与安全的关系。

全面看待人脸识别技术应用

在《人脸识别技术应用安全管理规定（试行）（征求意见稿）》未正式发布前，对一些本不必使用人脸识别系统的场景是否应该由行政监管部门一律予以制止，还是分场景分类别由用户个人选择是否做认证，对于后者采集单位应承担何种责任，除采取严格保护措施外，也应提供其他选项。

实践中人脸识别可能会带来一定的便利，商业楼宇、国有企事业单位、小区的门禁系统采用人脸识别系统，便利员工、职工上下班打卡，便利本小区居民出入小区；部分自动售货机、一些商超的自助收费设备会通过优先推荐使用刷脸支付，将刷脸支付作为默认支付选项等方式，这实际上也是消费者自愿认证的过程,从经济便利的角度言，是让用户以个人隐私信息换取便利的一种选择，有一定合理性，特别是这里强调的是自愿认证，而非强制。需要注意的是，当商户提供自愿认证作为交易的同时，也应当提供另一种交易渠道让用户选择，否则即便是自愿认证在特定情形下也会变成强制认证。

总体来讲，“人脸”作为生物识别信息，属于个人敏感信息，即便是自愿认证，人脸识别系统的使用应更加谨慎，公民个人应不断提高保护个人敏感信息的安全意识。

目前就制度设计上而言，《民法典》《个人信息保护法》等相关法律制度的设计已相对合理，许多地方已经取消了人脸识别要求，但是仍有部分主体还没有完全落实制度，在非必要采集、使用人脸信息的情况下仍旧采集、使用“人脸”。

人脸在采集、使用中仍应秉持“非必要不采集、不使用”的原则，在《征求意见稿》出台前，行政监管部门可以对一些本不必使用人脸识别系统的场景予以制止，严格规制人脸识别系统的使用，只有出于公共利益目的、国家安全目的，才可以采集、使用人脸信息。

这里要充分关注商业场景下的人脸自愿认证中的分类分级的使用规则的设计，防止一刀切。特别在自愿认证后，如何依法依规保护和使用用户信息的问题，也赋予用户充分的知情同意权利的实现，以及清除以上自愿认证时所提供的信息的权利。

目前，我国对个人信息数据的使用管理，总体上采取了鼓励创新、审慎监管的发展模式，为激活数据红利创造了充足空间。如何达到“人脸识别”善用善治，如何统筹个人信息保护与利用平衡发展是当前亟待回应的问题。

做好事前评估需平衡多元利益

在《征求意见稿》中提到了人脸识别技术使用者处理人脸信息，应当事前进行个人信息保护影响评估，如何将该事前评估具化落地，其中重要的一点是如何平衡多元利益。

对于“人脸识别”的使用，应被赋予公共价值，将其上升为公共利益层面，并在技术层面确保“人脸”不会被滥用、泄露，以满足公众对隐私保护的合理期待。行政监管部门应积极作为，规制“非必要”的人脸识别使用场景；设置人脸识别技术公司的准入门槛，在鼓励创新的同时更好规范人脸识别技术的使用。人脸属于生物识别信息、个人敏感信息，应更加注重保护。以为实现公共利益、维护国家安全时，方能使用相关人脸信息。

事前进行个人信息保护影响评估，首先，应评估处理人脸识别信息的行为是否具有必要性，是否符合法律、法规的规定，是否出于保护公共利益或维护国家安全的目的。其次应评估该行为是否会损害公民个人的隐私，并就损害可能发生的情形制定相应的损害救济措施。

人脸识别信息使用者可设立专门的个人信息保护影响评估机构或者委托专业的第三方评估机构进行评估。行政监管部门应审核监督评估结果的合理性。

这里也要注意事前评估的边界，处理好公共利用、企业正当商业利益以及个人用户权益之间的关系。即要认识到，人脸识别技术适用是具有很大商业价值的，同时也具有社会治理的公共价值。

故此，在涉及人脸识别技术的适用时，要平衡好多元利益之间的关系。目前，对个人用户利益的考量侧重于人身权益，特别是人身安全、私隐保护，当然也涉及用户的财产利益，尤其是当以人脸识别作为支付交易的认证过程时，其人脸等生物信息就具有很强的财产属性，好比传统的数字密码、密钥等。

以良法善治统筹安全与发展

首先，通过完善法律法规，并出台专门规定，对敏感个人数据给予更严格的保护。《征求意见稿》通过征求社会各界、专家学者等多方意见，力求出台更具实用性、针对性的规定。

其次，坚持保护数据安全的原则，明确敏感个人数据的采集者、使用者的责任与义务，提升敏感数据处理技术的安全水平，谨防数据泄露行为的发生，警惕用户个人隐私泄露的风险。

再次，统筹安全和发展的关系，对于人脸识别技术的应用强调安全是前提，但是不能以安全为由而不发展，发展人脸识别技术的应用规律、场景及规则，也是应对人工智能时代的必经之路，在技术浪潮面前，回避甚或抑制不是优选，而是有智慧且积极的迎接，做好沙盒监管实验，分级分类推动人脸识别技术的应用，以时间换空间，先立后破，稳中求进，以进促稳。

最后，需明确的是，人脸识别技术的开发与应用已在实践中广泛展开，各类场景均已有数据采集。当前的核心议题并非是否应用该技术，而是如何确保其在规范、安全、健康且可持续的前提下使用。即不要对人脸识别技术视为洪水猛兽，即便是存在风险，也需要在实验使用中驾驭该类技术。要充分意识到随着人工智能技术的开发和使用，对人类生物信息的研究和认识也到达了新的高度，在当下和未来，对于人脸作为重要的人类生物信息的定位和价值可能也需要再认识。

换言之，当前的技术发展可能或已经引发对人类生物信息采集、获取、储存及使用的变革，在此背景下，人脸作为一种生物信息，与指纹、手纹、声纹、体态、步态等生物信息已经高度一致性，而后者的获取早已更加普遍，然而，并未引起如人脸识别般的关注。

在很大程度上，可能是因为人脸信息对自然人个体而言更加在意，所带来的人与人之间的可信度更高，由此所引发的法律效果可能更加明显，然而，在技术上讲可能与其他生物信息并未有实质区别。这里所引申的核心问题，在于如何有效平衡并协同技术与法律之间的步调，利用技术的实质进步来消解或合理解释法律的顾虑。

事实上，在技术日新月异的今天，任何生物信息都已然转化为一种机读代码，尽管对“人脸”信息的保护至关重要，但在实践中，其保护难度往往显著增加，甚至可能显得“不那么重要”，因为实现全面保护极具挑战性。进一步而言，鉴于“严防死守”的策略并不可行，我们应聚焦于对开发者、使用者及受益者的科学规范和规训，这是当前切实可行的做法。

（陈兵系南开大学法学院副院长、教授，数字经济交叉科学中心研究员，中国新一代人工智能发展战略研究院特约研究员）