界面新聞記者 | 程大發

界面新聞編輯 | 翟瑞民

近日，最高人民檢察院發布了個人信息保護檢察公益訴訟8起典型案例，其中有3起涉及人臉識別（俗稱“刷臉”）被違法違規亂用問題。

隨著數字技術飛速發展，人臉識別當前已被廣泛使用于安防、金融、醫療、支付、教育、文娛等諸多領域。“刷臉”消費為經濟社會發展帶來新機遇的同時，人臉識別技術被濫用的風險也在加劇。

北京科技創新中心研究基地副主任、北京航空航天大學法學院副教授趙精武向界面新聞介紹，當前經營者對人臉識別技術的應用存在一些亂象。諸如數據泄露、強制采集和過度采集是當前人臉識別技術應用中主要存在的侵權問題。

上海政法學院人工智能法學院教授楊華日前在法治日報發文稱，關于人臉識別技術應用的邊界、如何避免人臉識別技術濫用、人臉識別信息受到侵害后如何救濟等等，亟待通過專門立法予以明確。

濫用存四大嚴重問題

人臉識別是基于人的臉部特征信息進行身份識別的一種生物識別技術。近年來，人臉識別技術在社會生活中應用導致問題頻發。

據媒體報道，2019年2月，以人臉識別、AI和安防為主營業務的深圳市深網視界科技有限公司被曝發生數據泄露，致使250萬人的私人信息能夠不受限制被訪問，同時被泄露的還有身份證數據、照片、工作信息等。

也是在2019年，因杭州野生動物世界強制要求消費者“刷臉”入園，浙江理工大學法政學院特聘副教授郭兵將其告上法庭。此案也被稱為國內“人臉識別第一案”。

“在2019年前后，人臉識別侵權的案件還比較少見，但也出現了一些不法分子利用人臉識別來盜刷錢財的案件。”郭兵告訴界面新聞，人臉具有獨特性和唯一性，是敏感的個人信息。從個人信息保護的角度來說，人臉識別技術所收集、處理的信息，比普通個人信息風險更高。

相比傳統的安保手段，景區人臉識別閘機因能極大提升了安全檢查的速度和準確性，而受旅游市場歡迎。據市場研究機構統計，2021年我國景區人臉識別閘機市場規模已達到50億元，預計未來幾年還將持續增長。

同時增長的還有中國裁判文書網上的相關案例。界面新聞以“人臉識別”為關鍵詞，檢索結果顯示，案由為侵犯公民個人信息罪的刑事案件有45條，涉及隱私權的民事糾紛則有51條。

其中，被稱為國內人臉數據刑事第一案的案件發生于2018年，張富等5人非法竊取人臉數據近2000萬條，用軟件制作3D頭像通過支付寶人臉識別認證詐騙錢財。2020年，浙江省衢州市中級人民法院作出終審判決，5人因犯有侵犯公民個人信息罪、詐騙罪，分別被判處6個月到4年8個月不等的有期徒刑，以及2000到15000元不等的罰金。

根據全國信息安全標準化技術委員會等機構2020年發布的《人臉識別應用公眾調研報告》，在2萬多名受訪者中，94.07%的受訪者用過人臉識別技術，64.39%的受訪者認為人臉識別技術有被濫用的趨勢，30.86%受訪者已經因為人臉信息泄露、濫用等遭受損失或者隱私被侵犯。

在2023年1月召開的人臉識別相關研討會上，中國人民大學法學院教授、網絡與信息法學研究會副會長張新寶介紹，“當前，人臉識別的泛用與濫用存在四大嚴重問題，即處理人臉識別信息缺乏合法性基礎，很多并未經過單獨同意；背離原始采集目的用于其他場景；泄露引致人身和財產安全隱患；超過保存期限未及時刪除等。”

違法行為具有隱蔽性

2021年，央視“3·15”晚會就曾曝光科勒衛浴、寶馬4S店等商家安裝“人臉識別系統”，在消費者不知情的情況下采集人臉信息的亂象。此次最高檢發布的典型案例中，也有江蘇無錫某健身房以及浙江湖州某景區，強制要求消費者“刷臉進入”的侵權案件。

根據界面新聞對中國裁判文書網相關案例梳理，人臉識別技術不規范采集，集中體現在三個領域：一是商場、健身房、景區等商業場景的應用；二是以及小區、寫字樓等為主物業門禁系統的應用；三是部分線上平臺或者應用軟件，通過拒絕使用軟件的方式強制索取用戶人臉信息。

郭兵介紹，人臉識別違法的行為具有隱蔽性，導致對其進行監管有一定難度。

由于人臉識別技術帶有“無感式”采集特點，信息處理者常常在未經同意的情況下就擅自采集消費者人臉信息。“最典型的場景就是商場、商店等，商家使用的攝像頭，有的可能不一定具有人臉識別功能。只是為了防范小偷。但實際上它到底具不具備人臉識別功能？消費者其實是沒辦法判斷的。”郭兵說。

對于被侵權人而言，趙精武介紹，由于與個人信息處理者之間存在巨大的信息差，維權也存在侵權行為隱蔽、舉證困難、維權成本較高等諸多問題。

這也是最高人民檢察院大力倡導并推進這一領域公益訴訟的原因之一。觀韜中茂律師事務所合伙人王渝偉對界面新聞表示，我國針對個人信息保護的相關法律，已賦予用戶在個人信息處理活動中的權利以保證個人能夠有維權的途徑。

“但從立法初衷以及立法效果來看，是更傾向于通過行政監管，比如直接進行行政處罰，或是在眾多個人權益受到侵害后，通過專門機構比如人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織依法提起公益訴訟等方式，來達到規范個人信息處理者違法行為的目的。”王渝偉說。

若被侵權人維權難度較高，是否能通過設立相關技術門檻，提高人臉識別準入標準？

王渝偉介紹，對人臉識別等技術開發及應用的監管本身也需要考慮到規范與發展之間的平衡，其中更會涉及到很多技術層面的專業問題。因此，一方面需要有關部門對敏感個人信息的使用亂象加強監管，但另一方面，如果法律對此規定得太細，可能會限制行業發展，從而限制技術發展帶來的利好，這就需要更多思考如何做到精細立法與精準執法。

專門立法是否可行？

2023年全國兩會期間，全國政協委員胡誠林提交《關于將人臉識別保護納入國家立法計劃的提案》，建議盡快著手制定《人臉識別數據處理條例（草案）》，報請全國人大納入立法審議程序，一經通過后公布實施，實現人臉識別技術推廣使用的同時，切實保護公民合法權益。

界面新聞注意到，當前，我國對人臉識別技術應用尚無出臺專門的法律規定。楊華在《人臉識別信息保護亟待專門立法》一文中表示，與人臉識別信息保護密切相關的法律有個人信息保護法、數據安全法和網絡安全法，三部法律通過對個人信息或數據保護的法律規范，對人臉識別信息保護起到了間接規范作用。但除此之外，憲法、民法典、刑法等法律、行政法規，均無法直接適用于人臉識別信息保護。

楊華還指出，此前很多地方政府或人大已制定了涉及人臉識別應用的法律法規，顯示人臉識別在全國很多地方正在走向法治化道路。然而，這些地方立法大都是參照現有國家立法所做的簡單重復，而且條文比較少，對人臉識別技術應用的過程規范性、對自然人人臉識別信息的保護及其受到侵害后的損害救濟，均缺乏相應規定。

此前在2021年，最高人民法院曾發布《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》。該司法解釋從人格權和侵權責任角度，明確了濫用人臉識別技術處理人臉信息行為的性質和責任，對濫用人臉識別問題作出統一規定。

對此，趙精武認為，在現行立法框架下，人臉識別技術應用相關立法已經相當成熟，不需要單行立法，將既有的立法資源激活即可，比如細化相關司法解釋中的相關規則。

根據現行個人信息保護法第六十六條規定，對于個人信息處理的違法行為，除沒收違法所得之外，還可處以5000萬元以下或者上一年度營業額5%以下罰款。但是，郭兵介紹，從實踐中看，對侵犯個人信息行為采取高額罰款的案件非常少，“監管部門一方面要考慮保護個人信息，另一方面也需要考慮保護企業的發展。這也是涉及到執法平衡考量的問題。”

如何規范應用人臉識別技術？郭兵指出，按照我國法律規定，個人信息已經不需要使用時，個人信息處理者應當主動刪除個人信息。這也是保護敏感個人信息的一個有效方式。

此前已有范例可以參考。根據“平安無錫”微信公眾號消息，2023年3月2日，江蘇省無錫市舉行了涉疫個人數據銷毀儀式，在第三方審計和公證處參與下，確保數據徹底銷毀、無法還原，首批共銷毀數據10億條。同時，門鈴碼、疫查通、貨運通行證等“數字防疫”40多項應用，也陸續下線。