人脸识别技术应用侵权风险及法律规制

□文/谢堇涵

（吉首大学 湖南·吉首）

［提要］人脸识别技术作为一项新兴科学技术，被广泛运用于各个领域，但同时也带来大量的社会问题及矛盾。人脸识别技术的无节制应用导致个人面部信息的大量泄露和滥用，这无疑亟须通过法律加以规范。目前，全面系统的相关法律体系还未建立，而人脸识别技术不断更迭，反映的问题也日益突出。因此，厘清人脸识别技术的应用边界，研究其中蕴含的法律问题及风险，以实现人脸识别技术带来的高效便捷与保护个人信息安全之间的平衡则尤为重要。

一、人脸识别技术概述

（一）人脸识别技术的定义。人脸识别技术是通过摄像头抓取自然人的面部特征，随后利用大数据快速进行人脸比对，实现个人身份验证的一项数据识别技术。通过阅读相关资料可以得知其具体的技术步骤如下：首先由摄像头采集个人面部信息，然后数据系统自动对该面部信息进行特征分析，再将该分析数据传输至人脸数据库，得出匹配结果，最后完成人脸验证。

（二）人脸识别技术的特征

1、人身附属性。人脸识别技术即根据自然人的个人脸部特征信息进行身份识别和验证。在一般情况下，个人的脸部信息具有唯一性并且具有较强的个人人身附属性。

2、自动识别性。人脸识别技术的广泛应用，不仅能够缓解需要大量人力完成的工作压力，此外也能够最大限度地节约经营成本，因此这项技术越来越广泛地被各行各业应用。该技术能够在其应用场景下实现对人脸的自动追踪及识别，这一特性无疑使得身份识别这一工作变得高效便捷。

3、运用风险复杂性。在人脸识别技术高速发展的同时，也面临着许多未知的风险和挑战。由于我国目前对人脸识别技术的理论研究还不太深入和系统，在立法、执法层面也存在着监管缺失等多重问题，并且由于标准的不明确导致行业准入门槛较低，诸多原因导致了运用人脸识别技术的风险更加复杂以及应对其风险变得更加艰巨。

二、人脸识别技术应用的侵权风险

（一）侵害人格权风险

1、侵害肖像权风险。《中华人民共和国民法典》第1019条规定，任何组织或者个人不得以丑化、污损，或者利用信息技术手段伪造等方式侵害他人的肖像权。依照民法典的相关规定可以得知认定肖像权的侵犯是没有任何附加条件的，只要是未经本人同意的，即便不存在营利目的和主观恶意，同样能够构成侵害肖像权。在人脸识别系统的应用场景中，基础数据是用户的人脸信息。层出不穷的换脸软件肆意利用个人的面部五官信息，而未经换脸技术处理时的个人照片属于肖像权保护范畴。

2、侵害名誉权风险。《中华人民共和国民法典》第1024条规定，任何组织或者个人不得以侮辱、诽谤等方式侵害他人的名誉权。如今，因为违法成本低等原因致使人脸识别技术在各行各业都存在被滥用的情形。在国内外都有这样的新闻：诸多藏于幕后的不法分子利用各种各样的换脸技术或软件，肆意妄为地使用他人肖像。这种滥用人脸识别技术的行为无疑对被换脸者的肖像权和名誉权造成了严重侵犯，甚至可能对被换脸者造成严重的精神损害。

3、侵害隐私权风险。人脸识别技术具有隐蔽性，因此任意主体通过简易设施就能够对大众进行人脸采集。同时，因为摄像头抓取极具隐蔽性，公民的知情权不受保障，信息风险巨大。而人脸信息这一敏感个人信息的泄露，无疑会对信息主体的隐私权造成极大威胁。同时，同意面部信息采集的人也不一定知晓这可能意味着其他信息被获取，被采集方与信息采集方之间存在极大的权利不对等，亟须完备的法律规定使其达到有效平衡。

（二）侵害财产权风险。数据时代，信息的价值达到前所未有的高度。人脸识别技术应用下经由算法处理的电子化人脸信息是一项生物识别信息，其同时具有人格属性与财产属性。在刷脸支付与人脸认证的背景下，人脸信息被窃取与盗用会直接产生财产损失。例如：在广西南宁，十几名业主被不法中介忽悠刷了一下脸，其房产就在他们毫不知情的情况下被轻易地转手卖掉，所造成的总损失逾超千万元，这无疑是一个损失巨大的警醒。人脸识别技术的不规范应用无疑会对公共及私人财产的安全性都造成巨大的威胁。

（三）侵害知识产权风险。换脸技术大多数情况下被应用在影视场景下，而相关的影视作品是受著作权法所保护的主体。换脸平台通常是在没有取得相关作品的著作权人授权同意就自作主张地滥用人脸识别技术支持用户对作品进行任意的换脸篡改，这无疑严重地侵犯了著作权人的修改权以及保护作品完整权。在此情况下，著作权人可以要求平台所有人承担相应的侵权责任。

三、人脸识别技术法律规制现状

（一）我国法律规制现状

1、现有有效法律规制。我国对于“人脸识别”的法律规制仍处在起步阶段。目前没有专门法律对人脸信息的保护进行规制，仅在《个人信息保护法》的第26条规定中出现了个人图像的描述，而且目前我国《民法典》中关于个人信息的条文只有6条且规定较为原则，不具备较强的现实操作性。

2、法律规制的不足。目前我国对人脸识别技术及人脸信息保护的相关立法不完善，有关人脸识别的法律纠纷日益凸显，法律规定却较为空白。《民法典》中有关规定原则性强、现实操作性弱。《个人信息保护法》本应极力弥补《民法典》在具体规则方面的缺失，然而其仍没有对现实中存在的诸多应用风险问题进行细致分析及防控，总的来说仍然是亟待完善的。

（二）域外法律规制分析

1、美国法律规制模式。目前，美国是联邦政府与各州两级立法模式，所以总体看来，美国联邦政府与各州关于隐私权中生物识别信息的立法模式也呈现出较为分散的状态。作为世界上首部生物特征信息隐私保护法律，2008年伊利诺斯州立法机构通过了《伊利诺斯生物特征信息隐私法》（简称BIPA）后，美国各州各市也相继出台了专门用于规制生物识别信息的隐私权保护法案。随后在2009年，德克萨斯州也制定并颁布了该州的《生物特征信息隐私法》。而后在2017年，华盛顿州也公布了关于在该州制定并颁布个人生物识别信息法的立法计划。2018年12月，加利福尼亚州发布了《加利福尼亚州消费者隐私法》（简称CCPA），CCPA就个人生物识别信息也做出了不同于隐私权保护的说明，并规定了特殊保护方式。

2、欧盟法律规制模式。在个人生物信息的立法方面，欧盟的法律保护条例无疑是十分严格的。当下欧盟保护人脸识别数据的核心法律是《通用数据保护法规》（简称GDPR）。与美国的法律规制不同的是，欧盟着重考虑的是生物识别数据的可使用性。GDPR明确了面部数据属于生物识别数据，并强调了面部识别数据与图像照片的不同之处，该做法与BIPA相类似。此外，欧盟在相关案例的司法判决中表示，要将收集、存储、使用、处理个人生物数据的公共目的与以私人合同形式签订的生物信息数据处理私人目的进行严格区分。一般是允许相关组织、企业与个人为了公共目的或是社会公益应用处理个人生物信息数据，且以公益目的处理他人生物信息的时候，还要严格遵循合理性、必要性、正当性原则。值得一提的是，2020年2月欧盟委员会颁布了《人工智能白皮书——通往卓越和信任的欧洲路径》，对诸如人脸识别等的识别技术的应用和发展都进行了严格的规制，并且该规定的适用范围不限于本地企业，因此极可能对大多数在欧洲发展的企业造成冲击。

四、我国人脸识别技术法律规制完善路径

（一）完善人脸信息保护的法律救济。介于当前我国对于人脸信息保护的法律规定较为笼统模糊，在立法上应当完善对人脸信息的保护规范，其次要全方面地对人脸识别技术进行规制和防范。因此，建立起符合中国国情和特色的立法模式是确有必要的。随着《个人信息保护法》的颁布实施，我国当前形成了基本法与特别法相结合的立法结构，为更全面系统地对人脸信息进行保护，可以结合我国特色确立“专门立法+分散立法”的立法模式，以我国目前的专门立法——《个人信息保护法》为核心，在不断丰富专门立法保护的同时完善诸如《网络安全法》等相关分散性立法规范，以实现对人脸信息的多维度保护，充分发挥法律的规范和指引功能。

此外，应当要拓展人脸信息保护的救济途径。在推进全方面立法保护的同时，兼顾完善司法方面的保护措施。在司法方面，由于存在证据偏在，因此应当要减轻人脸信息被侵权者的举证责任，由信息侵权者对其是否存在过错的行为进行阐明。为了缓和对社会公众人脸信息的肆意侵犯的现实压力，应当明确诉权主体、统一司法审判标准，做到同案同判，提高司法审判的效率，实现更加快速便捷地解决人脸信息侵权的矛盾纠纷。

（二）增设惩罚性赔偿条款。在立法中增设惩罚性赔偿条款，能够更好地应对实践中日益猖獗的非法应用人脸识别技术的行为。当前在商业用途中存在着诸多非法利用人脸识别技术肆意收集并滥用人脸信息的不法行为，而提高该不法行为的违法成本无疑是对其进行遏制的有效手段。国外学者曾提出“数据财产权”的概念，认为对个人权利保护仅规定责任规则是不够的，还需要以财产规则进行保护。毕竟，人脸识别技术的滥用将会导致公众的财产安全乃至人身安全都处于不可预测的危险之中。而在现实情况下，这类侵权行为对信息主体造成的损失通常无法估量而且难以补救，双方明显存在较大的利益不平衡。因此，增大金钱惩罚力度才能够在根源上对商业中的非法应用行为进行有效的防控，切实做到极大地打击相关商业主体的不法动机，维护商业市场数据的良好环境。

（三）明确信息处理者在第三人侵权下的责任承担。在第三人侵害人脸信息权益的情况下，如何分配信息处理者与第三人之间的侵权责任，对于个人面部信息权益的保护来说也是至关重要的。有学者认为当出现第三人侵权的情形时，信息处理者与第三人应当承担按份责任，信息处理者的疏忽行为与第三人的故意行为共同导致了个人信息被窃取等损害结果，属于多因一果，此时应适用《中华人民共和国民法典》第1072条的规定承担按份责任。笔者认为，在个人面部信息权益受损的第三人侵权纠纷中，信息处理者应承担补充责任。《中华人民共和国民法典》明确了违反安全保障义务时应当承担补充责任，因此在这种存在直接侵权人的情况下，基于公平原则，个人面部信息处理者应当在其过错范围内承担相应的补充责任。

（四）转变监管思维，健全技术准入制度。转变传统的事后监管思维，应当健全全方位技术监管体系，利用“法律+技术”实现精准监管和智能监管。首先，通过建立个人信息保护监测中心，实现对人脸识别技术的精准监管。由于人脸识别技术对数据的获取通常是大规模并且隐蔽的，因此传统的监管方式难以对其进行有力防控。技术监管即建立个人信息保护监测中心对人脸数据的控制者的数据收集及管理的状态进行全方位地监测，同时限制个人信息保护监测中心仅拥有监测相关数据的运行是否存在异常以及限制数据控制者向其他第三方传输的权能，如确有必要转移数据的，应当取得相关行政部门的许可。其次，建立智能风险预警机制，增强相关部门的风险应对能力。由于滥用人脸识别技术造成的损害后果通常是严重并且不可逆转的，因此事前防控是必不可少的。在个人信息保护监测中心设置相应算法程序，对可能出现的漏洞以及遭受的攻击进行预先警醒和应对，能够做到在源头预防风险，最大限度降低数据安全的风险性。

此外，虽然我国已经在逐步建立起人脸识别相关的技术准入制度，但就当前的规范情况来看，技术的规范与应用发展明显存在不匹配。近年来，人脸识别技术已然在我国的公私领域被广泛地应用，而关于该项技术的相关规范仍比较模糊和宽泛，因此理应将技术准入标准顺应时代的变迁和技术的发展变化而及时更新。为此，有关部门应当制定细则并按时查验相关使用主体是否能够达到技术准入的标准。同时，该标准也切不可一成不变，而是应当随着人脸识别技术的发展而更新改进。

综上，人脸信息是自然人日常生活中极其重要的一项信息构成，其暗含相关个人诸多的人格利益及财产权益。人脸识别这一带来极大便利的技术背后，也隐藏着威胁广大应用个体诸多权益的巨大风险。因此，研究人脸识别技术应用的风险并对其进行全面的法律规制无疑是推动社会发展必不可少的一环。