作者:宁宣凤 吴涵 李沅珊 潘驰 张乐健 金杜律师事务所

近年来,人工智能应用逐渐落地,其中尤以人脸识别最为典型[1]。新技术固然给日常生活带来了种种便利,但因为人脸包含生物识别特征的特殊属性,相关争议从未停止[2]。在瑞典,一所中学因使用人脸识别系统被认定违反《通用数据保护条例》,收到瑞典数据保护机构的首张罚单;在美国,伊利诺伊州的一起集体诉讼案中Fb被指控滥用人脸图像数据,最终不得不支付5.5亿美元的隐私和解金[3];在我国,人脸识别技术在金融等领域已有广泛应用,但人脸信息的滥用、泄露和安全问题也层出不穷[4]

本文将从我国法律法规有关人脸信息保护的不同角度出发,针对人脸应用的不同场景,结合海外相关的立法和执法案例,试探讨不同场景下人脸数据采集、使用的权利边界,人脸数据采集及使用的合规界线。

一、传统人脸法律的保护路径

(一)肖像权保护的外延扩展

人脸往往与肖像有着紧密关联。通常意义的肖像指通过绘画、摄影等方式在一定物质载体上所反映的特定自然人可以被识别的外部形象,而法律意义上的肖像是指自然人因其外部特征而享有的一种人格利益[5],因此当自然人的脸作为最能反映其外部形象的身体部分出现在绘画、照片、视频中时,自然人当然享有肖像权。肖像权在我国受到民法保护,根据《民法通则》[6]的规定,肖像权侵权须以“未获本人同意”与“以营利为目的”作为构成要件。但司法实践与学理中,均认为如依此将侵害肖像权的行为限定于“以营利为目的”过于狭隘。

近年来,随着科技的发展,肖像权保护也受到了新的挑战。一方面,社交软件的广泛应用和摄影技术的高速发展,使我们的肖像可通过多种途径被轻易取得;另一方面随着换脸等技术的发展,只需要简单操作手机屏幕,我们的肖像就能被不法商人制作成虚假广告谋取利益,也可能被制作成足以以假乱真的色情视频、假新闻用来打击报复、敲诈勒索,使得人的人格权益与财产权益受到严重威胁。去年发布的《民法典人格权编(草案三审稿)》也对近来火热的AI换脸予以关注,进一步明确了对肖像权的规制,其中删去了“以营利为目的”的侵权要件,规定丑化、污损,利用信息技术手段伪造等方式侵害他人肖像,或擅自制作、使用、公开他人肖像的行为都可能构成肖像权侵权[7]

(二)人脸作为隐私保护的客体

随着人脸识别等技术的飞速发展,人脸的可识别性、天然的唯一性使其被应用于安检、追踪逃犯、支付等多个领域,为人们的生活带来安全与便利的同时,人脸的隐私保护问题也得到了更多的关注。去年发布的《民法典人格权编(草案)》[8]首次在立法层面给予“隐私”明确的定义,即自然人不愿为他人知晓的私密空间、私密活动和私密信息等,规定任何组织或个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权,并在第八百一十二条[9]进一步列举了一些可能构成侵犯隐私权的具体行为,例如APP未获取权限即访问用户相册、在他人住宅外安装摄像头等。立法层面的进展可以看出隐私权保护得到了更多的关注。在国外,多国政府也对人脸识别带来的隐私权担忧作出回应,美国多个城市先后出台禁令禁止公权力机构使用人脸识别技术,欧盟此前也曾计划颁布人脸识别技术禁令,在五年内禁止在公共场所使用人脸识别技术[10]

二、人脸数据作为个人信息保护的客体

除了传统人脸保护的规则随着科技的发展日益完善,人脸作为能反映特定个人身份的属性还可能被认定为个人信息中较为敏感的一类,即个人生物识别信息,并受到相应规制。除了遵守一般个人信息的保护要求,以GB/T 37036.3-2019《信息技术 移动设备生物特征识别 第3部分:人脸》以及最新出台的推荐性国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》(“新版《个人信息安全规范》”)[11]和JR/T 0171-2020《个人金融信息技术安全规范》为例,我国对于人脸作为个人生物识别信息的收集和使用施加了更为严格的要求。

尽管随着人脸识别技术的广泛应用,将其作为个人生物识别信息进行保护的法律法规正在日益完善,然而这些法律法规在各类新型应用场景下的适用仍然面临着诸多的挑战。当人脸数据的采集和使用行为不仅反映人脸主体的利益,还牵涉到社会的公共利益和企业的正当权益时,如何在保障人脸数据的隐私和安全同时,仍然能实现企业和公权力机关等其他主体基于不同目的对人脸数据予以收集和使用的正当诉求,是值得探讨的问题。

三、人脸数据的采集场景及相关分析

(一)人脸识别应用场景的分类

大致而言,人脸识别的场景可以分为三种类型:

  • 11人脸识别模式主要是用于身份验证:1:1人脸识别技术是一种静态对比,比较两个人的相似度。主要是利用图像处理技术从图像中提取人脸特征值,计算机对当前人脸与人像数据库进行快速人脸比对,并得出是否匹配的过程。
  • 1N人脸识别模式主要是用于行业场景落地:1:N人脸识别技术是在海量的人像数据库中找出当前用户的人脸数据并进行匹配。N的数目在千万级。典型场景如电子班牌、物业小区、新零售的客户识别等。
  • N:N人脸识别模式主要用于政府机关:是1:N的延伸,即同时对多张人脸进行人脸检索,是通过计算机对场景内所有人进行面部识别并与人像数据库进行比对的过程,是动态人脸比对。应用场景主要为公共安防、天网系统等。

以下我们将选取人脸识别的若干典型场景,分析每种类型下人脸识别应用可能存在的合规问题和各方参与主体对于人脸数据采集及使用的权利边界。

1、1:1人脸识别模式下的身份验证

1:1人脸识别的应用场景主要为人脸手机解锁、人证合一,通常应用落地场景为手机厂商寻找有算法识别技术的软件供应商为其内置SDK,辅助代码移植,使其手机不将人脸传输至服务器,而是在本地即拥有人脸识别解锁的能力[12]

在现行《个人信息安全规范》中也指出,“如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于本标准所称的收集行为”并例举了离线导航软件在终端获取用户位置信息的事例。因此我们理解,在这种情况下,从现行《个人信息安全规范》而言,如果人脸数据仅在本地化存储,且人脸识别技术的提供者和产品或服务提供者均不对人脸数据进行访问,产品或服务的提供者被认定为收集的可能性会显著降低。如此一来,人脸数据本地化可能引发的问题则包括:

(1)不将人脸数据本地化处理认定为采集行为的目的何在,目前我国法律法规和《个人信息安全规范》有关个人信息采集、使用的要求是否可以在人脸数据本地化场景下予以部分或全部的豁免?

由于人脸数据本地化处理,相比于上传至云端而言,企业对其进行进一步使用和信息泄露的风险降低。在企业对该信息的控制权和使用权减弱的同时,现行《个人信息安全规范》也希望相对降低企业对于该信息采集的责任义务要求。然而,从个人信息主体权益保护的角度而言,个人信息采集、使用的要求并不能在人脸数据本地化处理的场景下被完全豁免。例如:

推荐性国家标准GB/T 37036.3-2019 《信息技术 移动设备生物特征识别 第3部分:人脸》[13]中则将移动设备生物特征识别分为本地识别[14]和远程识别两种模式,而无论是本地识别还是远程识别,都需要参考借鉴相应的标准要求。其中,根据安全要求[15]的相关规定,在采集用户人脸样本前,仍应向用户明确告知所提供的产品或服务收集、使用用户人脸数据的规则,并获得用户的授权同意。

同时,人脸数据的本地化存储还需要保障个人信息主体对数据的控制权;例如某著名手机公司在2019年8月宣布在“默认情况下不再保留语音交互的录音”并且允许用户在系统设置中关闭语音唤醒功能;“某著名网络电商的语音助手为用户提供了不同级别的隐私保护设置,如查看语音记录或删除所有录音”,类似地包括允许用户在关闭Face ID功能时同时删除此前收集的人脸图像和面部特征信息等。

(2)如果人脸数据的本地化处理不被认定为产品或服务的提供者的个人信息采集行为,那么应当由谁来承担本地化人脸数据处理的安全保护责任?

尽管通过本地化存储和非接触式处理的方式,产品或服务提供者的行为可能不被认定为收集个人信息,但根据《网络安全法》中对网络产品、服务的安全性要求[16],以及其他国家标准、行业规范等内容的规定,产品或服务的提供者仍然有义务采取必要的措施保障人脸数据在本地存储的安全,包括但不限于“设置人脸特征采集超时处理机制”、建立“移动设备可信环境”、“人脸特征项提取后的人脸样本不可恢复地删除”、“本地识别模式中的人脸数据的保密性和完整性”等[17]

2、1:N人脸识别模式下的行业场景:如何获得消费者的明示同意?

1:N的人脸识别是商业实践中最为常见的应用方式之一,其典型应用场景包括但不限于刷脸支付、无人零售等;但在实践中,二者却又有所不同。

刷脸支付

对支付行业而言,2019年也被称为“刷脸支付元年”[18]。2019年8月,中国人民银行(“央行”)提出“探索人脸识别线下支付安全应用……突破1:N人脸辨识支付应用性能瓶颈,由持牌金融机构构建以人脸特征为路由标识的转接清算模式……”[19],从监管角度释放“人脸支付业务发展的积极信号”[20];10月,中国银联携手60多家银行机构与产业合作伙伴发布智能支付产品“刷脸付”,通过“刷脸”和支付口令即可完成付款[21]……对刷脸支付的探讨应当区分线上和线下两类场景,其中“线下刷脸支付技术已较为成熟”[22],但即便如此线下刷脸支付也面临着人脸数据采集和存储、使用的合规性、数据安全的相关限制[23]

从数据源头开始,刷脸支付面临的首要挑战是如何保证人脸数据收集的合规性,特别是新版《个人信息安全规范》中收集个人生物识别信息的单独告知并征得个人信息主体明示同意[24]的要求?在现有的线下刷脸支付实践中,用户在开通相应的刷脸支付功能时,一般需要事先在对应的App上先行开通刷脸支付功能,通常会在相应功能界面上提供特定《刷脸支付用户协议》或《刷脸支付个人信息保护政策》文本并要求用户输入支付密码或其他可以验证账户身份的要素;在线下实际使用前,消费者还需要先主动在众多支付方式中选择“刷脸支付”,在做出选择后终端设备才会开始采集人脸数据。就前述环节而言,是否可以将开通刷脸支付功能时的文本视为单独告知,用户通过输入支付密码等方式完成业务开通的行为视为明示同意?如果认为新版《个人信息安全规范》中的“单独告知与明示同意”对告知与同意的时点有着更为严格的要求,个人信息主体在线下付款环节,在众多支付手段中的主动选择刷脸支付的这一行为,能否实现“告知与同意”从开通到使用之间的跨越?抑或者企业要在线下刷脸机器中完成《刷脸支付用户协议》或《刷脸支付个人信息保护政策》的内置、并在每次选择唤醒刷脸支付时,先行弹窗完成文本展示并要求消费者勾选同意,才能满足合规的要求?鉴于后者可能带来消费者时间成本、企业运营成本的显著增加和刷脸支付手段的效率降低,其要求的正当性基础是否充分?又是否有必要且能够通过利益衡量的测试?这些问题或许有待于进一步的探讨。

同时,刷脸支付除了涉及人脸数据的采集外,还与个人信息主体的交易安全密切相关。尽管客户本人生理特征要素可以作为支付交易的验证要素之一,但可能并不适宜作为唯一要素[25];同时考虑到人脸数据,相比于其他如指纹、虹膜等生物识别信息,采集行为具有非接触性,相应个人信息主体感知可能性也更低,更需要通过其他验证要素完成安全性的补强,实现“安全与便捷”的兼顾[26]。目前实践中常用的包括手机号码后四位以及口令支付密码,根据监管机构的态度,二者在信息本身的保密性、作为验证要素的安全性方面可能存在一定的差异。同时,在此之外是否还可以选择其他的验证要素,在保障刷脸支付的便捷同时不断提升其安全性,维护个人信息主体的交易安全与财产安全,可能也是刷脸支付未来需要思考的问题。

此外,刷脸支付并非是一项孤立存在的产品,而是一个庞大的产业链和商业生态系统,其中除了刷脸支付服务的直接提供者外,还可能涉及消费者、商户、硬件设备制造商、人脸识别技术服务商、存储服务商等诸多主体,消费者(即个人信息主体)的人脸数据可能以原始图像、摘要信息、去标识化后的数据等不同形式在多主体之间流转交互,其中也同样涉及人脸数据的存储。而这一过程同样需要受到诸多法律法规、国家标准、行业规范的限制。例如,根据JR/T 0171-2020《个人金融信息保护技术规范》中用于用户鉴别的个人生物识别信息(C3类别信息)不应共享、转让;新版《个人信息安全规范》中要求“原则上不应存储原始个人生物识别信息”[27]但同时肯定了“个人信息控制者履行法律法规规定的义务相关的情形除外”……在种种规则交织的情况下,如何通过不同环节、不同程度的数据处理行为使得人脸数据以合理的形式在各主体之间形成有序流转,如何通过协议、审计等方式合理分配不同主体保障人脸数据安全的义务与责任;如何通过合规管理制度和数据安全技术措施评估人脸相关数据的存储必要性并保障人脸数据的存储安全,都是刷脸支付所需要回应的问题。

无人零售

打开手机App界面通过感应器进门,拿起需要的午餐三明治和一瓶果汁,然后大摇大摆走到闸机口,无需付账闸机门自动打开走出商店;这一幕并非是任何“乌托邦”社会的构想,而是发生在美国无人超市的真实场景[28]。随着人脸识别技术在新零售领域的广泛应用和关键赋能,利用含有人脸识别技术的摄像头构建起系统性的客户跟踪和锁定机制,完成顾客的定位,并结合“货架上的压力传感器和红外线探头”感知重量变化等,判断“哪位顾客拿走了多少货物”,最终完成结算,无人超市模式大大节省了消费者的购物时间,提升了购物效率[29]。在中国,2017年曾被业内人士称为“无人零售元年”[30],但在2年多后的今天,中国无人零售的发展之路并未如美国一般一帆风顺,暂且抛开商业发展不提,无人零售场景下,人脸数据采集和使用的告知同意、数据的共享与流转、数据安全都面临着合规性的挑战。

曾有观点提出,无人超市等新零售场景在媒体宣传下,其使用人脸识别技术追踪用户,为用户提供便利的特性如果成为一种公认的常识,那么在商店门口做适当告知,是否可认为步入无人超市的个人已经对生物识别信息被收集有了合理预期[31],进入商店的行为可以构成对于收集使用行为的同意。但在新版《个人信息安全规范》发布后,对于这一观点的讨论看似已经尘埃落定,考虑到生物识别信息收集“单独告知+明示同意”的要求,“步入”行为已经无法满足现有的合规标准;而企业如何在无人零售场景下完成“单独告知+明示同意”则需要进一步探讨。

与线下刷脸支付相类似的是,无人零售的场景下,消费者往往需要事先下载APP或在其他移动终端注册为相应的会员客户[32],在这一过程中,企业可以考虑通过单独的《无人零售服务协议》、《无人零售个人信息保护政策》等方式就人脸数据的采集、使用和存储等内容进行单独告知,并要求用户勾选同意。但不同于实践中线下刷脸支付场景中,用户通常会有在多种支付方式中“主动选择”的行为;鉴于消费者在“步入”无人零售店时可能更难被认定为“明示同意”,也更难被用于实现业务开通与信息收集时的告知同意跨越与迁移。对此我们理解,AG的模式可以提供一些借鉴。即通过设置特定的闸机门或设置其他权限准入机制,为用户提供主动选择和再次表达“同意”的机会,以AG模式而言,用户在打开App,并将其置于闸机验证时,其行为具有主动性并能够在一定程度上表达自我意愿;同时为进一步加强对用户告知的适时性,还可以考虑通过闸机上的显示屏对进入人脸数据采集区域进行再次提示。

如果认为无人零售的价值仅仅在于缩短用户的单次购物时间,只怕是小觑了智慧零售的商业模式。除了采集人脸数据用于识别消费者的单次购物情况并作为支付结算的依据,智慧零售的智慧更多体现在对消费者行为数据的挖掘与整合,实现线上线下数据的打通[33]。人脸识别系统除了能够识别和提取消费者的面部特征,还可能基于面部特征对消费者的性别、年龄、表情、欢乐度等进行分析[34],并用于向消费者进行精准推荐,无论是通过店员等人为推荐抑或是在无人零售场景下通过终端优惠券的分发实现推荐行为。在享受便利的同时,问题则在于,这些属性的提取与分析以及后续的使用行为是否已经超过了必要原则的限制,如果是以分发优惠券为目的,是否能够增强这一场景下的人脸数据收集必要性;前述的告知与同意又是否能延及精准推荐与营销之范围?此外,在熟客营销环节,往往还需要涉及人脸数据的回传[35],前端或系统内的展示[36]及与其他数据的融合,在这一过程中,应当对人脸数据进行怎样的处理?其中不同主体对人脸数据的获取与使用边界如何确定?也是人脸识别在智慧零售场景下引发广泛关注的议题。

3、N:N人脸识别模式下:公权力与私权利的平衡问题

N:N人脸识别的应用场景主要为公共安防、天网系统等。比如公共场所动态监控、缉拿逃犯、人员布控等就是典型的运用N:N人脸识别模式。N:N人脸识别模式下的人脸数据处理,往往存在公共利益与个人数据主体权益间的博弈。

(1)N:N人脸识别模式下的最小化原则应用

面部识别特征作为生物识别特征的一种,在涉及国家安全,如反恐等场景中具有广泛的应用。2019年4月,欧洲议会投票同意建立一个包含公民“身份信息(姓名、出生日期、护照号码和其他身份信息)和生物特征信息(指纹和面部图像)”的“通用身份资源库(CIR)”并向所有边境和执法部门开放,以实现更高效的出入境控制、追踪移民和犯罪分子[37]。而我国的《反恐怖主义法》第五十条则规定,公安机关在调查恐怖活动嫌疑时,可以依照有关法律提取或采集肖像等人体生物识别信息。

我们理解,在这类场景下人脸数据的采集和使用与保障国家安全有着密切的联系,并且往往有相应的法律法规为人脸数据的采集和使用提供合法性基础。但另一方面为保障国家安全采集人脸数据并不等同于漠视隐私、肖像和个人信息的正当权益,2018年6月,联合国在考虑保护隐私和个人数据需要的基础上发布了《联合国关于反恐斗争中负责任地使用与分享生物识别技术的建议实践概要》,就在反恐场景下收集生物识别数据(包括人脸数据)的实践提出了建议[38];欧盟在2019年最终出台的针对出入境系统使用生物识别技术的指南[39]中将采集指纹的个数从最初版本中的10 降低到了4,其反映的正是在保障国家安全同时兼顾个体隐私和个人信息权益的逻辑,尽量将生物识别特征的采集限定在必要范围内。

就我国目前的实践而言,我们建议在通过法律法规为与国家安全有关的人脸数据采集和使用行为构建合法性的同时,也需要重视对相关采集、使用和存储的技术规范和管理制度的构建,在合理范围内保障人脸主体的隐私和个人信息权益。

(2)N:N人脸识别模式下的比例性原则应用

除此之外,N:N人脸识别模式还在社会治理中有着广泛应用。通常而言这些场景属于社会治理行为,其本身具有公共属性,与公共利益有着密切的联系。但是另一方面,这种人脸数据的采集和使用也可能对个体隐私和肖像权造成影响;且如果视频图像可以直接或间接识别特定自然人,那么可能还存在未经个人信息主体同意收集信息,侵犯个人信息权益的风险。

在这种情况下,比例原则为公共利益、社会效率与个人权益的平衡提供了思路。在社会治理语境下,比例原则是指社会治理行为应兼顾治理目标的实现和保护相对人的权益[40]。一方面,治理者需要明确在具体的社会治理活动的目的,并在此基础上评估人脸数据的采集和使用对实现该目的是否必要,所谓必要并非要求人脸数据采集是实现相应目的的唯一手段,而是指采用其他替代手段可能会导致目的无法实质完成或效率的显著下降;而在此基础上,还需要进一步考虑人脸数据采集可能给个人主体造成的权益损害,包括受损害权益的性质及程度,以寻得合理的边界。举例而言,这种平衡可能体现在对包含人脸的视频图像存储时间的严格限制。例如欧盟在《基于视频设备的个人数据处理指南(征求意见稿)》[41]规定,通过视频设备采集的个人数据应当在处理个人数据的目的实现后立即删除,通常为保护个人财产安全、收集民事诉讼证据等目的而录制的视频监控图像,能够在1-2天内实现相应目的;如果该视频的存储期限超过72小时,则需要提供更多论证以证明目的合法性和存储的必要性[42]

(3)N:N人脸识别模式下的公权力对于人脸识别信息使用用途的变更限制

除此之外,“目的变更”也可能为社会治理中人脸数据的超范围使用的规制提供另一种规制路径。在《基于视频设备的个人数据处理指南(征求意见稿)》[43]中,EDPB列举了“安装在停车场围栏以分辨确认损失的视频监控录像因纯娱乐目的在网上发布”的事例,并指出在这种情况下目的已经发生变更。类似地,如果本来用于社会治理目的的视频监控影像资料被泄露,并出于纯粹的娱乐目的放置到公开的互联网上,对这种行为是否可以通过“目的变更”加以限制和规范,同样是值得讨论的问题。

(二)不以识别或验证为目的的人脸信息处理

在一些不以识别特定个人的场合中,视频监控、高清摄像机等的使用同样可能会采集人脸图像信息,例如,在自动驾驶领域,应用毫米波雷达、 激光雷达、超声波雷达和/或摄像头实现环境感知和动态物体监测是主流方式[44],区别于车内摄像头使用人脸识别技术完成驾驶员身份验证、状态监测等功能[45],以外环境感知为目的的摄像头图像采集并不以识别特定个人为目的,而主要用于识别车辆、行人、车道线、交通标志等图像[46],在这种情况下人脸图像是否需要受制于人脸数据的相关规范呢?答案可能是肯定的。

其原因在于,尽管在自动驾驶的外环境感知等场景下,含有人脸的图像采集的目的并非是识别图像所关联的特定个人,但是考虑到随着摄像、视频设备的发展,高清的人脸图像使得图像所有者基于该视频影像识别或关联到特定个人成为可能,在此情况下,仅以视频图像的采集目的为由否认人脸数据收集的事实,可能并不具有正当性。类似地,欧盟在《基于视频设备的个人数据处理指南(征求意见稿)》中也指出,“通过视觉或试听系统对某一区域进行自动化监控,……将会收集并保留所有进入监控区域的个人的视觉或视听信息,并能够基于其外表或其他具体因素而识别特定个人,并使得进一步处理相应个人在特定区域的外表与行为等个人数据成为可能” [47]。而当数据处理与特定个人无关,例如无法直接或间接识别特定个人时,视频数据处理不适用于《通用数据保护条例》(“GDPR”)。因此,在某些人脸图像收集场景中,尽管收集行为本身并不以识别特定个人为目的,如果基于收集的图像能够客观上识别特定个人,则仍然可能需要受到人脸数据的相关规范与限制。

四、总结

在人脸识别技术不断发展,遍地开花的今天,我们的脸被赋予了更多的内涵与价值,但同时也正面临泄露与滥用的风险。传统的肖像权、隐私权保护模式正受到挑战,个人信息保护成为目前人脸最主要的保护路径。如何在不侵犯人脸数据主体权利的前提下,合法合规地采集并使用人脸数据,正成为各行各业密切关注的话题。从前述场景化分析中不难看出,探究人脸数据采集、使用的权利边界是一个动态的利益衡量过程,可能因不同的数据采集场景、采集和使用方式及目的而产生较大的差异。总体而言,我们对人脸数据采集和使用权利边界的探讨需要:

  • 利益衡量要以厘清具体场景下的人脸属性、不同主体的权益为前提;
  • 在基于国家安全、社会公共利益等目的采集和使用人脸数据时,遵循比例原则,从采集的范围、保存期限和存储安全性、使用用途的限制等方面进行约束,以兼顾个人隐私、肖像及个人信息权益;
  • 在商业化的利用场景中,在保障个人主体权益的同时正视企业在交易行为中的合法权益,平衡人脸数据作为人脸的人格属性和作为数据的财产属性;
  • 坚守对人脸数据的保护底线,人脸数据作为与个人主体密切关联的数据,有强烈的人格表征,应当认为对于主体在人脸数据中的某些权益是不可让渡的。

我们期待着未来在实践和立法层面对人脸数据采集、使用边界的进一步探讨和明确,在保护个人权益的前提下,综合考量个人、社会、产业的不同诉求,促进相关产业健康发展[48], 让“人面不知何处去”的担忧,变成“人面桃花相映红”的安心。

[1] 来自国金证券行业研报显示:全球40%的人工智能企业都涉及计算机视觉。另有市场咨询公司预测,2019年全球人脸识别市场的规模预计为32亿美元,到2024年该市场规模将达到79亿美元,复合年增长率高达16.6%。

[2] “人脸和其他生物的特征数据,比如和指纹之间存在一个巨大区别是,它们可以远距离起作用。任何人只要有手机都能拍摄一张照片供人脸识别程序使用。” 李甜,唐金燕,陈溢波. 人脸识别安全之考[EB/OL] http://paper.people.com.cn/rmzk/html/2019-12/10/content_1960803.htm. 2019-10-26.

[3] Fb和解人脸识别侵权集体诉讼赔偿5.5亿美元[EB/OL]. https://tech.qq.com/a/20200130/009037.htm. 2020-1-30.

[4] 姚佳莹,黄姝静. 人脸识别管放之争:一眼认出藏匿逃犯,一键兜售人脸[EB/OL]. https://finance.sina.com.cn/stock/hyyj/2019-12-15/doc-iihnzahi7725008.shtml. 2019-12-15.

[5] 杨立新. 人格权法论[M]. 北京:人民法院出版社, 2002. 459.

[6] 第一百条 公民享有肖像权,未经本人同意,不得以营利为目的使用公民的肖像。

[7] 第七百九十九条 任何组织或者个人不得以丑化、污损,或者利用信息技术手段伪造等方式侵害他人的肖像权。未经肖像权人同意,不得制作、使用、公开肖像权人的肖像,但是法律另有规定的除外。

[8] 第八百一十一条 自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人不愿为他人知晓的私密空间、私密活动和私密信息等。

[9] 第八百一十二条 除法律另有规定或者权利人同意外,任何组织或者个人不得实施下列行为:(一)搜查、进入、窥视、拍摄他人的住宅、宾馆房间等私密空间;(二)拍摄、录制、公开、窥视、窃听他人的私密活动;(三)拍摄、窥视他人身体的私密部位;(四)收集、处理他人的私密信息;(五)以短信、电话、即时通讯工具、电子邮件、传单等方式侵扰他人的生活安宁;(六)以其他方式侵害他人的隐私权。

[10] 蒋琳. 周三欧盟将发布人工智能白皮书 公共场所人脸识别五年禁令被取消[EB/OL]. https://m.mp.oeeee.com/a/BAAFRD000020200218266354.html. 2020-2-18.

[11] 新版《个人信息安全规范》将于2020年10月1日生效。

[12] 2017年,当某知名手机中应用Face ID面部识别进行加密认证和解锁时,Face ID的安全性曾引发广泛质疑,该公司公共政策副总裁回应“用户的脸部信息数据将会被加密,并且只会存储在本地”。该手机的Face ID数据只会存储在本地并加密[EB/OL]. https://www.ithome.com/html/iphone/330287.htm. 2017-10-17.

[13] 该标准将于2020年5月1日施行。

[14] “即人脸特征采集模块、人脸特征存储模块和人脸特征比对模块均在移动设备中实现,并在人脸特征采集模块中进行质量判断和呈现攻击检测”

[15] GB/T 37063.3-2019 《信息技术 移动设备生物特征识别 第3部分:人脸》第9条 安全要求

[16] 《网络安全法》第二十二条第一款,“网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”

[17] GB/T 37063.3-2019 《信息技术 移动设备生物特征识别 第3部分:人脸》

[18] 2022年刷脸支付用户将达7.6亿[EB/OL]. http://www.gd.xinhuanet.com/newscenter/2019-11/22/c_1125262424.htm. 2019-11-22

[19] 中国人民银行关于印发《金融科技(FinTech)发展规划(2019-2021年)》的通知

[20] 之邪. 评《人脸识别线下支付行业自律公约》(试行)[EB/OL]. http://m.mpaypass.com.cn/news/202002/05101242.html. 2020-02-25.

[21] 刷脸支付国家队入场! [EB/OL]. https://www.jiqizhixin.com/articles/2019-10-29. 2019-10-29

[22] 央行李伟:刷脸支付线上线下场景应区分[EB/OL]. https://new.qq.com/omn/20190924/20190924A0OP9M00.html. 2019-09-24.

[23] 包括但不限于GB/T 35273-2020《信息安全技术 个人信息安全规范》、JR/T 0171-2020《个人金融信息保护技术规范》中个人生物识别信息、C3类别用户鉴别信息的收集、存储、使用和共享等方面的要求。以及中国支付清算协会印发的《人脸识别线下支付行业自律公约(试行)》中涉及“安全管理、终端管理、风险管理和用户权益保护”等内容 。

[24] “收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。” GB/T 35273-2020《信息安全技术 个人信息安全规范》第5.4条。

[25] 《非银行支付机构网络支付业务管理办法》第二十二条中规定支付机构可以组合选用“仅客户本人知悉的要素,如静态密码等”、“仅客户本人持有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、电子签名,以及通过安全渠道生成和传输的一次性密码等”和“客户本人生理特征要素,如指纹等”用于对客户使用支付账户余额付款的交易进行验证。

[26] 参见央行李伟:刷脸支付线上线下场景应区分[EB/OL]. https://new.qq.com/omn/20190924/20190924A0OP9M00.html. 2019-09-24.

[27] 可采取的措施包括但不限于:1)仅存储个人生物识别信息的摘要信息;2)在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;3)在使用面部识别特征、指纹、掌纹、虹膜等实现身份识别、认证等功能后删除可提取个人生物识别信息的原始图像。

[28] 邢逸帆. [EB/OL]. https://mp.weixin.qq.com/s/SZidR-lUnL0KWlXJyoumLg. 2018-11-08.

[29] 邢逸帆. [EB/OL]. https://mp.weixin.qq.com/s/SZidR-lUnL0KWlXJyoumLg. 2018-11-08.

[30] 杜鑫. 无人零售,无人问津?[EB/OL]. http://www.xinhuanet.com/fortune/2020-01/06/c_1125424311.htm. 2020-01-06.

[31] 类似地,可参考欧盟《基于视频设备的个人数据处理指南(征求意见稿)》(Guidelines 3/2019 on processing of personal data through video devices (version for public consultation))中将数据主体的预期作为利益衡量中的考虑因素之一(第3.1.3项)。例如,银行客户在银行内或自动取款机前,应当可以预见其可能处于被监控的状态,而大多数情况下员工在办公场所可能不会被认定为

[32] 如所有首次进入SN无人店的用户“在进店前……需通过SN金融APP绑定人脸和银行卡,……刷脸进店”,参见:SN将在全国新开20家“无人超市”:人脸识别/RFID/大数据技术加持[EB/OL]. https://mp.weixin.qq.com/s/kJK3SaZBXf-EF-xBVL0l9A. 2017-09-27;此外,顾客在进入AG无人超市前,也需要“下载AG应用软件,登录自己的AG账号并绑定一张银行卡”,参见:邢逸帆. 亚马逊无人超市开业了,我在里面“偷”了样东西[EB/OL]. https://mp.weixin.qq.com/s/SZidR-lUnL0KWlXJyoumLg. 2018-11-08.

[33] 零售门店使用人脸识别技术的主要法律问题[EB/OL]. https://www.secrss.com/articles/16289. 2019-12-30.

[34] 何智翔,杨睿昕. 新零售下的精准营销利器:人脸属性识别[EB/OL]. https://www.infoq.cn/article/lcy2xDV*161RgvBmj9HY. 2019-06-24.

[35] 零售门店使用人脸识别技术的主要法律问题[EB/OL]. https://www.secrss.com/articles/16289. 2019-12-30.

[36] 如以原始人脸图片信息的形式展现在店员PAD上。参见:零售门店使用人脸识别技术的主要法律问题[EB/OL]. https://www.secrss.com/articles/16289. 2019-12-30.

[37] AI时代 国外生物识别领域新进展有哪些[EB/OL]. 转引自http://ai.qianjia.com/html/2019-09/23_350804.html. 2019-09-23.

[38] AI时代 国外生物识别领域新进展有哪些[EB/OL]. 转引自http://ai.qianjia.com/html/2019-09/23_350804.html. 2019-09-23.

[39] “Specifications for the biometrics used in its Entry/Exit System (EES)”please see Burt, C. EU Sets Biometric Standards for Entry/Exit System [EB/OL]. https://www.biometricupdate.com/201903/eu-sets-biometric-standards-for-entry-exit-system. 2019-05-27.

[40] 吴灿林. 浅谈行政法中的比例原则[EB/OL]. https://www.chinacourt.org/article/detail/2013/11/id/1125301.shtml. 2013-11-11.

[41] EDPB Plenary meeting, Guidelines on Processing of Personal Data through Video Devices (Version for Public Consultation), 2019-07-10.

[42] Whether the personal data is necessary to store or not, should be controlled within a narrow timeline. In general, legitimate purposes for video surveillance are often property protection or preservation of evidence. Usually damages that occurred can be recognized within one or two days. Taking into consideration the principles of Article 5 (1) (c) and (e) GDPR, namely data minimization and storage limitation, the personal data should in most cases (e.g. for the purpose of detecting vandalism) be erased, ideally automatically, after a few days. The longer the storage period is set (especially when beyond 72 hours), the more argumentation for the legitimacy of the purpose and the necessity of storage has to be provided.

[43] EDPB Plenary meeting, Guidelines on Processing of Personal Data through Video Devices (Version for Public Consultation), 2019-07-10.

[44] Challey. 自动驾驶的眼睛:激光、毫米波雷达&摄像头三种技术产品之比较[EB/OL]. https://www.eet-china.com/robotics/2777.html. 2019-08-14.

[45] 李玓. 面向智能驾舱的人脸识别技术发展现状及趋势[EB/OL]. http://www.autoinfo.org.cn/autoinfo_cn/content/news/20191012/1843693.html. 2019-12-10.

[46] Challey. 自动驾驶的眼睛:激光、毫米波雷达&摄像头三种技术产品之比较[EB/OL]. https://www.eet-china.com/robotics/2777.html. 2019-08-14.

[47] “systematic automated monitoring of a specific space by optical or audio-visual means… This activity brings about collection and retention of pictorial or audio-visual information on all persons entering the monitored space that are identifiable on basis of their looks or other specific elements. Identity of these persons may be established on grounds of these details. It also enables further processing of personal data as to the persons´ presence and behaviour in the given space”

[48] 喻思南. 数字时代如何保护个人信息 [EB/OL]. http://paper.people.com.cn/rmrb/html/2019-10/16/nw.D110000renmrb_20191016_2-05.htm.